5.2 அத்துமீறல்களும்
தடுப்பு முறைகளும்
தனிப்பட்ட ஒரு கணிப்பொறியைவிட,
ஒரு கணிப்பொறிப் பிணைய அமைப்புக்கே பாதுகாப்பு ஆபத்துகள் அதிகம்.
கணிப்பொறிப் பிணைய அமைப்புக்கு இரு வகையான ஆபத்துகள் ஏற்பட வாய்ப்புண்டு.
(அ) அனுமதி பெற்ற அல்லது அனுமதி பெறாத ஒரு பயனர் மூலம் ஏற்படும்
ஆபத்து. இத்தகு பயனரை ’அத்துமீறி’ (Intruder) என்கிறோம். (ஆ) மென்பொருள்
மூலமாக ஏற்படும் ஆபத்து. இத்தகைய மென்பொருள் ‘தீங்கு மென்பொருள்’
(Malicious Software) எனப்படுகிறது. அத்துமீறல்களை முன்கூட்டியே
தடுக்கலாம். அல்லது நடந்தபின் அதைக் கண்டறிந்து, இனி நடக்காமல் பாதுகாக்கலாம்.
கடவுச்சொல் மேலாண்மை (Password Management) என்பது அத்துமீறல்களை
முன்தடுப்பதற்கான ஒருவகைப் பாதுகாப்பு நடவடிக்கையாகும். ஒரு கணிப்பொறி
முறைமைக்கு அத்துமீறிகளால் ஏற்படும் ஆபத்துகள் பற்றியும், அவற்றுக்கு
எதிரான பாதுகாப்பு நடவடிக்கைகள் பற்றியும் இப்பாடப் பிரிவில் விரிவாகக்
காண்போம். தீங்கு மென்பொருள்கள் பற்றி அடுத்த பாடப் பிரிவில் காண்போம்.
5.2.1 அத்துமீறிகள் (Intruders)
ஒரு கணிப்பொறி முறைமையில்
அத்துமீறிக் கேடு விளைவிப்போர் நான்கு வகைப்படுவர்:
(1) வேடதாரிகள்:
இவர்கள் கணிப்பொறி முறைமைக்குள் நுழைய அனுமதி
இல்லாத வெளியாட்கள். மெய்யான பயனர் ஒருவரின் பெயர், கடவுச்
சொல்லைக் களவாடி, அவற்றின் மூலம் அனுமதி பெற்ற பயனர் போன்றே
வேடமிட்டுக் கணிப்பொறி முறைமைக்குள் நுழைந்து கேடு விளைவிப்பர். |
(2) துரோகிகள்:
இவர்கள் முறைப்படி அனுமதி பெற்ற மெய்யான பயனர்கள்.
ஆனால் இவர்கள் தங்களுக்கு வழங்கப்பட்ட உரிமைகள், சலுகைகைகளைத்
தவறான நோக்கத்துக்குப் பயன்படுத்திக் கொள்வர். அல்லது தமது
உரிமைகளை மீறி, அனுமதியில்லாத தரவுகள், நிரல்கள், வளங்களைத்
தீங்கெண்ணத்தோடு பயன்படுத்திக் கொள்வர். |
(3) உளவாளிகள்:
இவர்கள் உள் ஆளாகவும் இருக்கலாம். அல்லது
வெளி ஆளாகவும் இருக்கலாம். இவர்கள் கணிப்பொறி முறைமையின் மேற்பார்வைக்
கட்டுப்பாட்டைக் (Supervisory Control) கையிலெடுத்துக் கொள்வர்.
அத்துமீறல்களைத் தடுக்கும் பாதுகாப்பு அரண்களுக்கான நிரல்களை
மாற்றியமைத்து, எளிதாக ஊடுருவ வழிவகுப்பர். |
(4) பொழுதுபோக்கிகள்:
இவர்கள் உள் ஆளாகவோ வெளி ஆளாகவோ இருக்கலாம்.
இவர்கள் தீங்கெண்ணம் எதுவுமின்றித் தங்கள் திறமையைப் பரிசோதிக்கும்
பொருட்டுப் பொழுதுபோக்காக அத்துமீறுபவர்கள். ஆனால் இவர்களின்
செயல்களால் விரும்பத் தகாத விளைவுகள் ஏற்பட வாய்ப்புண்டு. |
5.2.2 தடுப்பு முறைகள்
மேற்கண்ட அத்துமீறிகளுக்கு
எதிரான நடவடிக்கைகள் இரு வகைப்படும்: (1) கண்டறிதல் (Detection).
(2) முன்தடுப்பு (Prevention). அத்துமீறல் நடைபெறாமல் முன்கூட்டியே
தடுப்பதுதான் கணிப்பொறி முறைமையைக் காப்பாற்றச் சிறந்த வழிமுறை.
எனினும், எல்லாச் சூழ்நிலைகளிலும் அது சாத்தியம் என்று கூறிவிட முடியாது.
முன்தடுக்க முடியாதபோது அத்துமீறல் நடைபெறுகையில் அல்லது நடைபெற்று
முடிந்தவுடனே கண்டறியப்பட வேண்டும். கண்டறிந்தபின் அதுபோன்ற அத்துமீறல்
மீண்டும் நிகழாமல் தடுக்க வேண்டும்.
(1) கண்டறிதல்:
அத்துமீறலைக் கண்டறிவதற்கு இரண்டு வகையான
அணுகுமுறைகள் பின்பற்றப் படுகின்றன:
(அ) புள்ளிவிவர அணுகுமுறை:
அனுமதி பெற்ற பயனர்களின் நடவடிக்கைகளைக்
குறிப்பிட்ட காலத்துக்குத் தொடர்ந்து கண்காணித்துப்
புள்ளி விவரங்களைச் சேகரித்து, ஒவ்வொரு பயனரும் செயல்படும்
பாங்கினைக் குறித்து வைத்துக் கொண்டு, அதற்கு மாறான
ஐயத்துக்குரிய செயல்பாடு நிகழும்போது, ஆய்வு செய்து
அத்துமீறலைக் கண்டறிதல். |
(ஆ) விதிமுறை அணுகுமுறை:
பயனர்கள் மேற்கொள்ளும் முறையான செயல்பாடுகளுக்கான
விதிமுறைகளை வகுத்துத் தொகுத்து வைத்துக் கொண்டு, விதிமுறையை
மீறும் செயல்பாடுகளை ஆய்வு செய்து அத்துமீறலைக் கண்டறிதல்.
|
இவற்றுள், புள்ளிவிவர அணுகுமுறை ‘வேடதாரி’
வகையினரின் அத்துமீறலைக் கண்டறிய ஏதுவான அணுகுமுறையாகும்.
ஆனால் இம்முறையினால் ‘துரோகி’ வகையினரின் அத்துமீறலைக் கண்டறிவது
கடினம். துரோகிகளைக் கண்டறிய விதிமுறை அணுகுமுறையே மிகவும்
ஏற்றது. எனினும் பல்வகையான அத்துமீறல்களையும் கண்டறிந்து களைய
இரண்டு வழிமுறைளும் இணைந்த அணுகுமுறையே உகந்தது. பெரும்பாலும்
பல்பயனர் கணிப்பொறி முறைமைகளில் அனைத்துப் பயனர்களின் அனைத்துச்
செயல்பாடுகளும், தணிக்கைக் கோப்பில் (Audit File) பதிவு செய்யப்படுகின்றன.
பயனர் பெயர், செயல்பாடு, நிகழ்வு நேரம் ஆகியவை குறித்து வைக்கப்படுகின்றன.
அத்துமீறல் களைக் கண்டறியத் தணிக்கைக் கோப்பின் ஏடுகள் பெரிதும்
பயன்படுகின்றன. |
(2) முன்தடுப்பு:
கணிப்பொறி முறைமைகளில் அனுமதி பெற்ற பயனர்கள் தம் கடவுச்சொல்லைத்
தாமே தேர்ந்தெடுத்துக் கொள்ள அனுமதிக்கப்படுகின்றனர். பயனர்களில்
பெரும்பாலோர் மிகவும் எளிதாக ஊகிக்கக் கூடிய அல்லது சற்றே
முயன்று கண்டுபிடித்துவிடக்கூடிய கடவுச்சொல்லைத் தேர்ந்தெடுக்கின்றனர்.
பல்வேறு கணிப்பொறி முறைமைகளில் சேமிக்கப்பட்டுள்ள கடவுச்சொல்
கோப்புகளை ஆய்வு செய்து குறைபாடுள்ள கடவுச்சொற்கள் எப்படிப்பட்டவை
என்பதை ஆய்வாளர்கள் வரையறுத்துக் கூறியுள்ளனர்: |
-
இரண்டு, மூன்று, நான்கு எழுத்துகளைக்
கொண்ட சிறிய கடவுச்சொற்கள்.
-
பயனரின் பெயர், ஊர், மனைவி, குழந்தைகளின்
பெயர், வாகன எண், பிறந்த நாள் மற்றும் தன்னைப்பற்றிய பிற
விவரங்களைக் குறிப்பவை.
-
அகராதியில் உள்ள பேச்சு வழக்கில்
அன்றாடம் புழங்குகிற சொற்கள்.
-
நாடு, நகர், நதி, மலை, தெய்வம், மொழி,
நாள், மாதம், மரம், பூ, கனி, விலங்கு மற்றும் இவை போன்றவற்றைக்
குறிக்கும் சிறப்புப்பெயர்கள்.
-
புகழ்பெற்ற தலைவர்கள், புராண, இதிகாச,
இலக்கியப் பாத்திரங்கள், திரைப்படங்கள், திரைப்பட நடிகர்,
நடிகைகளின் பெயர்கள்.
-
மேற்கண்ட பெயர்களில் முதல் அல்லது
கடைசி எழுத்து அல்லது முழுவதும் பெரிய எழுத்தில் அல்லது
எழுத்துகள் முன்பின்னாக.
|
இதுபோன்ற கடவுச்சொற்களை
மிகவும் எளிதாகக் கண்டறிந்துவிட முடியும் என்பதை பரிசோதனைகள் மூலம்
நிரூபித்துக் காட்டியுள்ளனர். அத்துமீறிகள் திறன்மிக்க கணிப்பொறிகளில்
கடவுச்சொல் உடைக்கும் நிரல்களை இரவு பகல் இயக்கிக் கடவுச்சொற்களைக்
கண்டறிந்து விடுகின்றனர். இவ்வாறு கடவுச்சொல் களவாடப்படுவதே பெரும்பாலான
அத்துமீறல்களுக்கு அடிப்படையாய் அமைகின்றது. எனவே கண்டறிய முடியாத
கடவுச்சொற்களைத் அமைத்துக் கொள்வதே முன்தடுப்பு முறையாகும். அதிக
எழுத்துகள், எண்கள், சிறப்புக் குறிகள் கொண்ட மிகநீண்ட கடவுச்சொற்களை
வைத்துக் கொள்வது தீர்வாகாது. காரணம் அத்தகைய கடவுச்சொற்களைப் பயனர்கள்
நினைவு வைத்துக் கொள்ள இயலாமல் போகும். இச்சிக்கலுக்கான தீர்வே ’கடவுச்சொல்
மேலாண்மை’ ஆகும். அத்துமீறலுக்கு எதிரான சிறந்த முன்தடுப்பு நடவடிக்கையான
கடவுச்சொல் மேலாண்மை பற்றி அடுத்துக் காண்போம்.
5.2.3 கடவுச்சொல் மேலாண்மை (Password Management)
கடவுச்சொல் மேலாண்மை என்பது
உடைக்க முடியாத கடவுச்சொற்களைப் பயனர்கள் தேர்ந்தெடுக்கச் செய்வதற்கு
முறைமை நிர்வாகி எடுக்கும் நடவடிக்கைகளைக் குறிக்கிறது. கடவுச்சொல்
சிக்கல்களுக்குத் தீர்வாக நான்கு வகையான வழிமுறைகளை வல்லுநர்கள்
பரிந்துரைக்கின்றனர்:
(1) பயனர்களைப் பயிற்றுவித்தல்:
ஊகிக்க முடியாத கடவுச்சொல்லின் முக்கியத்
துவத்தைப் பயனருக்கு உணர்த்தி, வலுவான கடவுச்சொற்களைத் தேர்ந்தெடுக்க
உதவிக் குறிப்புகளை வழங்கலாம். அதிக எண்ணிக்கையிலான பயனர்கள்
பணியாற்றும் நிறுவனங்களிலும், அடிக்கடி ஆட்கள் மாறிக் கொண்டிருக்கும்
நிறுவனங்களிலும் இவ்வழிமுறை பயன் தராது. மேலும் பெரும்பாலான
பயனர்கள் ஆலோசனைகளை மதிப்பதில்லை. வலுவான கடவுச் சொல்லைத்
தீர்மானிக்கும் திறமையும் இருப்பதில்லை. சொல்லை முன்பின்னாக
வைத்துக் கொண்டாலோ, கடைசி எழுத்தைப் பெரிய எழுத்தாக வைத்துக்
கொண்டாலோ கடவுச்சொல்லை ஊகிக்க முடியாது எனத் தவறாகக் கருதிக்
கொள்கின்றனர். |
(2) கணிப்பொறி உருவாக்கும் கடவுச்சொற்கள்:
தற்போக்கு (Random) முறையில் எழுத்துகள்,
எண்கள், சிறப்புக் குறிகளைத் தேர்ந்தெடுத்து, கடவுச்சொற்களை
கணிப்பொறி நிரல்மூலம் உருவாக்கச் செய்யலாம். ஆனால் இத்தகைய
கடவுச்சொற்களை நினைவு வைத்துக் கொள்வது கடினம். எனவே பயனர்கள்
அதை எழுதி வைத்துக் கொள்ள முயல்வர். கடவுச்சொல்லை எழுதி வைத்துக்
கொள்வது எப்போதுமே ஆபத்தானது. பிறர் அறிந்து கொள்ள வாய்ப்பாகிவிடும்.
எனவெ கணிப்பொறி உருவாக்கும் கடவுச்சொற்களுக்குப் பயனர்களிடையே
வரவேற்பில்லை என்பது கண்டறியப்பட்டுள்ளது. |
(3) பிந்தைய பரிசோதிப்பு:
பயனர்களின் கடவுச்சொல் பட்டியலை அவ்வப்போது
’கடவுச்சொல் உடைப்பி’ (Password Cracker) நிரல்மூலம் ஆய்வுசெய்து,
ஊகிக்க முடிகிற கடவுச்சொற்களைக் கண்டறிந்து நீக்கிவிட வேண்டும்.
அதுபற்றிய தகவலைப் பயனருக்கு அறிவித்துப் புதிய கடவுச் சொல்லைத்
தேர்ந்தெடுக்கச் செய்ய வேண்டும். இந்த வழிமுறையிலும் குறைபாடு
உள்ளது. கடவுச்சொற்களைக் கண்டறியும் வலிமைமிக்க ‘கடவுச்சொல்
உடைப்பி’ நிரலானது, திறன்மிக்க கணிப்பொறிகளில் இரவு பகல் இடைவிடாது
பல நாட்கள் இயங்க வேண்டியிருக்கும். உடைப்பாளிகளுக்கு அதுமட்டுமே
நோக்கம் என்பதால் அவர்களால் இது இயலும். ஆனால் ஒரு நிறுவனம்
அதன் நேரத்தையும் வளங்களையும் இவ்வாறு செலவிடுவது இயலாது.
|
(4) முன்கூட்டிய பரிசோதிப்பு:
வலுவான கடவுச்சொல் இவ்வாறு அமைய வேண்டும் என உதவிக் குறிப்பு வழங்கி, பயனரைத் தன் கடவுச்சொல்லைத் தேர்ந்தெடுக்க அனுமதிக்க வேண்டும். அவர் தனக்குரிய கடவுச்சொல்லைத் தேர்ந்தெடுத்தவுடன் அது ஊகிக்க முடியாத கடவுச்சொல்தானா என்பதைப் புத்திசாலியான நிரல் ஒன்றின் மூலம் பரிசோதிக்க வேண்டும். அது பலவீனமான கடவுச்சொல் எனில் அதனை நிராகரிக்க வேண்டும். வேறொரு கடவுச்சொல்லைத் தேர்ந்தெடுக்குமாறு பயனரைப் பணிக்க வேண்டும். எளிதில் உடைக்க முடியாத வலுவான கடவுச்சொற்களின் பட்டியலை வழங்கி, அவற்றுள் ஒன்றைத் தேர்ந்தெடுக்கச் செய்யலாம். பயனர் வலுவான கடவுச்சொல்லைத் தேர்ந்தெடுக்கும்வரை விடக்கூடாது. |
மேற்கண்ட வழிமுறைகளுள் நான்காவது வழிமுறையே உகந்த
வழிமுறையாகக் கருதப்படுகிறது. வலுவான கடவுச்சொல்லைப் பயனர் தேர்ந்தெடுக்குமாறு
செய்ய இரண்டு அணுகுமுறைகள் பின்பற்றப்படுகின்றன.
(அ) விதிமுறை வலியுறுத்தல்:
கடவுச்சொல் குறைந்தது எட்டு எழுத்துகளைக்
கொண்டிருக்க வேண்டும், அவற்றுள் முதல் எட்டு எழுத்துகள் குறைந்தது
ஒரு பெரிய எழுத்து, ஒரு சிறிய எழுத்து, ஓர் எண், ஒரு சிறப்புக்குறி
ஆகியவற்றைக் கொண்டிருக்க வேண்டும் என்கிற விதிமுறைகளை வலியுறுத்தலாம்.
பயனர் தேர்ந்தெடுக்கும் கடவுச்சொல் விதிமுறைப்படி இல்லையெனில்
நிராகரிக்கலாம். |
(ஆ) பட்டியல் முறை:
எளிதில் ஊகிக்கக் கூடிய பலவீனமான கடவுச்சொற்களின்
பட்டியலைத் தயாரித்து வைத்துக் கொண்டு, பயனர் தேர்ந்தெடுக்கும்
கடவுச்சொல் அந்தப் பட்டியலில் இருக்கிறதா எனப் பரிசோதித்து,
இருந்தால் அதனை நிராகரிக்கலாம். இதற்கான பட்டியல் மிகப் பெரிதாக
இருப்பதுடன், அதில் தேடுவதற்கான நேரமும் அதிகம் என்பது இந்த
அணுகுமுறையின் குறைபாடு. |
எனவே விதிமுறை வலியுறுத்தல் அணுகுமுறையே தற்போது பெரும்பாலான கணிப்பொறி முறைமைகளில் நடைமுறைப்படுத்தப்படுகிறது.
|