5.2 அத்துமீறல்களும் தடுப்பு முறைகளும்

    தனிப்பட்ட ஒரு கணிப்பொறியைவிட, ஒரு கணிப்பொறிப் பிணைய அமைப்புக்கே பாதுகாப்பு ஆபத்துகள் அதிகம். கணிப்பொறிப் பிணைய அமைப்புக்கு இரு வகையான ஆபத்துகள் ஏற்பட வாய்ப்புண்டு. (அ) அனுமதி பெற்ற அல்லது அனுமதி பெறாத ஒரு பயனர் மூலம் ஏற்படும் ஆபத்து. இத்தகு பயனரை ’அத்துமீறி’ (Intruder) என்கிறோம். (ஆ) மென்பொருள் மூலமாக ஏற்படும் ஆபத்து. இத்தகைய மென்பொருள் ‘தீங்கு மென்பொருள்’ (Malicious Software) எனப்படுகிறது. அத்துமீறல்களை முன்கூட்டியே தடுக்கலாம். அல்லது நடந்தபின் அதைக் கண்டறிந்து, இனி நடக்காமல் பாதுகாக்கலாம். கடவுச்சொல் மேலாண்மை (Password Management) என்பது அத்துமீறல்களை முன்தடுப்பதற்கான ஒருவகைப் பாதுகாப்பு நடவடிக்கையாகும். ஒரு கணிப்பொறி முறைமைக்கு அத்துமீறிகளால் ஏற்படும் ஆபத்துகள் பற்றியும், அவற்றுக்கு எதிரான பாதுகாப்பு நடவடிக்கைகள் பற்றியும் இப்பாடப் பிரிவில் விரிவாகக் காண்போம். தீங்கு மென்பொருள்கள் பற்றி அடுத்த பாடப் பிரிவில் காண்போம்.

5.2.1 அத்துமீறிகள் (Intruders)

    ஒரு கணிப்பொறி முறைமையில் அத்துமீறிக் கேடு விளைவிப்போர் நான்கு வகைப்படுவர்:

(1) வேடதாரிகள்:

இவர்கள் கணிப்பொறி முறைமைக்குள் நுழைய அனுமதி இல்லாத வெளியாட்கள். மெய்யான பயனர் ஒருவரின் பெயர், கடவுச் சொல்லைக் களவாடி, அவற்றின் மூலம் அனுமதி பெற்ற பயனர் போன்றே வேடமிட்டுக் கணிப்பொறி முறைமைக்குள் நுழைந்து கேடு விளைவிப்பர்.

(2) துரோகிகள்:

இவர்கள் முறைப்படி அனுமதி பெற்ற மெய்யான பயனர்கள். ஆனால் இவர்கள் தங்களுக்கு வழங்கப்பட்ட உரிமைகள், சலுகைகைகளைத் தவறான நோக்கத்துக்குப் பயன்படுத்திக் கொள்வர். அல்லது தமது உரிமைகளை மீறி, அனுமதியில்லாத தரவுகள், நிரல்கள், வளங்களைத் தீங்கெண்ணத்தோடு பயன்படுத்திக் கொள்வர்.

(3) உளவாளிகள்:

இவர்கள் உள் ஆளாகவும் இருக்கலாம். அல்லது வெளி ஆளாகவும் இருக்கலாம். இவர்கள் கணிப்பொறி முறைமையின் மேற்பார்வைக் கட்டுப்பாட்டைக் (Supervisory Control) கையிலெடுத்துக் கொள்வர். அத்துமீறல்களைத் தடுக்கும் பாதுகாப்பு அரண்களுக்கான நிரல்களை மாற்றியமைத்து, எளிதாக ஊடுருவ வழிவகுப்பர்.

(4) பொழுதுபோக்கிகள்:

இவர்கள் உள் ஆளாகவோ வெளி ஆளாகவோ இருக்கலாம். இவர்கள் தீங்கெண்ணம் எதுவுமின்றித் தங்கள் திறமையைப் பரிசோதிக்கும் பொருட்டுப் பொழுதுபோக்காக அத்துமீறுபவர்கள். ஆனால் இவர்களின் செயல்களால் விரும்பத் தகாத விளைவுகள் ஏற்பட வாய்ப்புண்டு.

5.2.2 தடுப்பு முறைகள்

    மேற்கண்ட அத்துமீறிகளுக்கு எதிரான நடவடிக்கைகள் இரு வகைப்படும்: (1) கண்டறிதல் (Detection). (2) முன்தடுப்பு (Prevention). அத்துமீறல் நடைபெறாமல் முன்கூட்டியே தடுப்பதுதான் கணிப்பொறி முறைமையைக் காப்பாற்றச் சிறந்த வழிமுறை. எனினும், எல்லாச் சூழ்நிலைகளிலும் அது சாத்தியம் என்று கூறிவிட முடியாது. முன்தடுக்க முடியாதபோது அத்துமீறல் நடைபெறுகையில் அல்லது நடைபெற்று முடிந்தவுடனே கண்டறியப்பட வேண்டும். கண்டறிந்தபின் அதுபோன்ற அத்துமீறல் மீண்டும் நிகழாமல் தடுக்க வேண்டும்.

(1) கண்டறிதல்:

அத்துமீறலைக் கண்டறிவதற்கு இரண்டு வகையான அணுகுமுறைகள் பின்பற்றப் படுகின்றன:

(அ) புள்ளிவிவர அணுகுமுறை:

அனுமதி பெற்ற பயனர்களின் நடவடிக்கைகளைக் குறிப்பிட்ட காலத்துக்குத் தொடர்ந்து கண்காணித்துப் புள்ளி விவரங்களைச் சேகரித்து, ஒவ்வொரு பயனரும் செயல்படும் பாங்கினைக் குறித்து வைத்துக் கொண்டு, அதற்கு மாறான ஐயத்துக்குரிய செயல்பாடு நிகழும்போது, ஆய்வு செய்து அத்துமீறலைக் கண்டறிதல்.

(ஆ) விதிமுறை அணுகுமுறை:

பயனர்கள் மேற்கொள்ளும் முறையான செயல்பாடுகளுக்கான விதிமுறைகளை வகுத்துத் தொகுத்து வைத்துக் கொண்டு, விதிமுறையை மீறும் செயல்பாடுகளை ஆய்வு செய்து அத்துமீறலைக் கண்டறிதல்.

இவற்றுள், புள்ளிவிவர அணுகுமுறை ‘வேடதாரி’ வகையினரின் அத்துமீறலைக் கண்டறிய ஏதுவான அணுகுமுறையாகும். ஆனால் இம்முறையினால் ‘துரோகி’ வகையினரின் அத்துமீறலைக் கண்டறிவது கடினம். துரோகிகளைக் கண்டறிய விதிமுறை அணுகுமுறையே மிகவும் ஏற்றது. எனினும் பல்வகையான அத்துமீறல்களையும் கண்டறிந்து களைய இரண்டு வழிமுறைளும் இணைந்த அணுகுமுறையே உகந்தது. பெரும்பாலும் பல்பயனர் கணிப்பொறி முறைமைகளில் அனைத்துப் பயனர்களின் அனைத்துச் செயல்பாடுகளும், தணிக்கைக் கோப்பில் (Audit File) பதிவு செய்யப்படுகின்றன. பயனர் பெயர், செயல்பாடு, நிகழ்வு நேரம் ஆகியவை குறித்து வைக்கப்படுகின்றன. அத்துமீறல் களைக் கண்டறியத் தணிக்கைக் கோப்பின் ஏடுகள் பெரிதும் பயன்படுகின்றன.

(2) முன்தடுப்பு:

கணிப்பொறி முறைமைகளில் அனுமதி பெற்ற பயனர்கள் தம் கடவுச்சொல்லைத் தாமே தேர்ந்தெடுத்துக் கொள்ள அனுமதிக்கப்படுகின்றனர். பயனர்களில் பெரும்பாலோர் மிகவும் எளிதாக ஊகிக்கக் கூடிய அல்லது சற்றே முயன்று கண்டுபிடித்துவிடக்கூடிய கடவுச்சொல்லைத் தேர்ந்தெடுக்கின்றனர். பல்வேறு கணிப்பொறி முறைமைகளில் சேமிக்கப்பட்டுள்ள கடவுச்சொல் கோப்புகளை ஆய்வு செய்து குறைபாடுள்ள கடவுச்சொற்கள் எப்படிப்பட்டவை என்பதை ஆய்வாளர்கள் வரையறுத்துக் கூறியுள்ளனர்:

  • இரண்டு, மூன்று, நான்கு எழுத்துகளைக் கொண்ட சிறிய கடவுச்சொற்கள்.
  • பயனரின் பெயர், ஊர், மனைவி, குழந்தைகளின் பெயர், வாகன எண், பிறந்த நாள் மற்றும் தன்னைப்பற்றிய பிற விவரங்களைக் குறிப்பவை.
  • அகராதியில் உள்ள பேச்சு வழக்கில் அன்றாடம் புழங்குகிற சொற்கள்.
  • நாடு, நகர், நதி, மலை, தெய்வம், மொழி, நாள், மாதம், மரம், பூ, கனி, விலங்கு மற்றும் இவை போன்றவற்றைக் குறிக்கும் சிறப்புப்பெயர்கள்.
  • புகழ்பெற்ற தலைவர்கள், புராண, இதிகாச, இலக்கியப் பாத்திரங்கள், திரைப்படங்கள், திரைப்பட நடிகர், நடிகைகளின் பெயர்கள்.
  • மேற்கண்ட பெயர்களில் முதல் அல்லது கடைசி எழுத்து அல்லது முழுவதும் பெரிய எழுத்தில் அல்லது எழுத்துகள் முன்பின்னாக.

    இதுபோன்ற கடவுச்சொற்களை மிகவும் எளிதாகக் கண்டறிந்துவிட முடியும் என்பதை பரிசோதனைகள் மூலம் நிரூபித்துக் காட்டியுள்ளனர். அத்துமீறிகள் திறன்மிக்க கணிப்பொறிகளில் கடவுச்சொல் உடைக்கும் நிரல்களை இரவு பகல் இயக்கிக் கடவுச்சொற்களைக் கண்டறிந்து விடுகின்றனர். இவ்வாறு கடவுச்சொல் களவாடப்படுவதே பெரும்பாலான அத்துமீறல்களுக்கு அடிப்படையாய் அமைகின்றது. எனவே கண்டறிய முடியாத கடவுச்சொற்களைத் அமைத்துக் கொள்வதே முன்தடுப்பு முறையாகும். அதிக எழுத்துகள், எண்கள், சிறப்புக் குறிகள் கொண்ட மிகநீண்ட கடவுச்சொற்களை வைத்துக் கொள்வது தீர்வாகாது. காரணம் அத்தகைய கடவுச்சொற்களைப் பயனர்கள் நினைவு வைத்துக் கொள்ள இயலாமல் போகும். இச்சிக்கலுக்கான தீர்வே ’கடவுச்சொல் மேலாண்மை’ ஆகும். அத்துமீறலுக்கு எதிரான சிறந்த முன்தடுப்பு நடவடிக்கையான கடவுச்சொல் மேலாண்மை பற்றி அடுத்துக் காண்போம்.

5.2.3 கடவுச்சொல் மேலாண்மை (Password Management)

    கடவுச்சொல் மேலாண்மை என்பது உடைக்க முடியாத கடவுச்சொற்களைப் பயனர்கள் தேர்ந்தெடுக்கச் செய்வதற்கு முறைமை நிர்வாகி எடுக்கும் நடவடிக்கைகளைக் குறிக்கிறது. கடவுச்சொல் சிக்கல்களுக்குத் தீர்வாக நான்கு வகையான வழிமுறைகளை வல்லுநர்கள் பரிந்துரைக்கின்றனர்:

(1) பயனர்களைப் பயிற்றுவித்தல்:

ஊகிக்க முடியாத கடவுச்சொல்லின் முக்கியத் துவத்தைப் பயனருக்கு உணர்த்தி, வலுவான கடவுச்சொற்களைத் தேர்ந்தெடுக்க உதவிக் குறிப்புகளை வழங்கலாம். அதிக எண்ணிக்கையிலான பயனர்கள் பணியாற்றும் நிறுவனங்களிலும், அடிக்கடி ஆட்கள் மாறிக் கொண்டிருக்கும் நிறுவனங்களிலும் இவ்வழிமுறை பயன் தராது. மேலும் பெரும்பாலான பயனர்கள் ஆலோசனைகளை மதிப்பதில்லை. வலுவான கடவுச் சொல்லைத் தீர்மானிக்கும் திறமையும் இருப்பதில்லை. சொல்லை முன்பின்னாக வைத்துக் கொண்டாலோ, கடைசி எழுத்தைப் பெரிய எழுத்தாக வைத்துக் கொண்டாலோ கடவுச்சொல்லை ஊகிக்க முடியாது எனத் தவறாகக் கருதிக் கொள்கின்றனர்.

(2) கணிப்பொறி உருவாக்கும் கடவுச்சொற்கள்:

தற்போக்கு (Random) முறையில் எழுத்துகள், எண்கள், சிறப்புக் குறிகளைத் தேர்ந்தெடுத்து, கடவுச்சொற்களை கணிப்பொறி நிரல்மூலம் உருவாக்கச் செய்யலாம். ஆனால் இத்தகைய கடவுச்சொற்களை நினைவு வைத்துக் கொள்வது கடினம். எனவே பயனர்கள் அதை எழுதி வைத்துக் கொள்ள முயல்வர். கடவுச்சொல்லை எழுதி வைத்துக் கொள்வது எப்போதுமே ஆபத்தானது. பிறர் அறிந்து கொள்ள வாய்ப்பாகிவிடும். எனவெ கணிப்பொறி உருவாக்கும் கடவுச்சொற்களுக்குப் பயனர்களிடையே வரவேற்பில்லை என்பது கண்டறியப்பட்டுள்ளது.

(3) பிந்தைய பரிசோதிப்பு:

பயனர்களின் கடவுச்சொல் பட்டியலை அவ்வப்போது ’கடவுச்சொல் உடைப்பி’ (Password Cracker) நிரல்மூலம் ஆய்வுசெய்து, ஊகிக்க முடிகிற கடவுச்சொற்களைக் கண்டறிந்து நீக்கிவிட வேண்டும். அதுபற்றிய தகவலைப் பயனருக்கு அறிவித்துப் புதிய கடவுச் சொல்லைத் தேர்ந்தெடுக்கச் செய்ய வேண்டும். இந்த வழிமுறையிலும் குறைபாடு உள்ளது. கடவுச்சொற்களைக் கண்டறியும் வலிமைமிக்க ‘கடவுச்சொல் உடைப்பி’ நிரலானது, திறன்மிக்க கணிப்பொறிகளில் இரவு பகல் இடைவிடாது பல நாட்கள் இயங்க வேண்டியிருக்கும். உடைப்பாளிகளுக்கு அதுமட்டுமே நோக்கம் என்பதால் அவர்களால் இது இயலும். ஆனால் ஒரு நிறுவனம் அதன் நேரத்தையும் வளங்களையும் இவ்வாறு செலவிடுவது இயலாது.

(4) முன்கூட்டிய பரிசோதிப்பு:

வலுவான கடவுச்சொல் இவ்வாறு அமைய வேண்டும் என உதவிக் குறிப்பு வழங்கி, பயனரைத் தன் கடவுச்சொல்லைத் தேர்ந்தெடுக்க அனுமதிக்க வேண்டும். அவர் தனக்குரிய கடவுச்சொல்லைத் தேர்ந்தெடுத்தவுடன் அது ஊகிக்க முடியாத கடவுச்சொல்தானா என்பதைப் புத்திசாலியான நிரல் ஒன்றின் மூலம் பரிசோதிக்க வேண்டும். அது பலவீனமான கடவுச்சொல் எனில் அதனை நிராகரிக்க வேண்டும். வேறொரு கடவுச்சொல்லைத் தேர்ந்தெடுக்குமாறு பயனரைப் பணிக்க வேண்டும். எளிதில் உடைக்க முடியாத வலுவான கடவுச்சொற்களின் பட்டியலை வழங்கி, அவற்றுள் ஒன்றைத் தேர்ந்தெடுக்கச் செய்யலாம். பயனர் வலுவான கடவுச்சொல்லைத் தேர்ந்தெடுக்கும்வரை விடக்கூடாது.

மேற்கண்ட வழிமுறைகளுள் நான்காவது வழிமுறையே உகந்த வழிமுறையாகக் கருதப்படுகிறது. வலுவான கடவுச்சொல்லைப் பயனர் தேர்ந்தெடுக்குமாறு செய்ய இரண்டு அணுகுமுறைகள் பின்பற்றப்படுகின்றன.

(அ) விதிமுறை வலியுறுத்தல்:

கடவுச்சொல் குறைந்தது எட்டு எழுத்துகளைக் கொண்டிருக்க வேண்டும், அவற்றுள் முதல் எட்டு எழுத்துகள் குறைந்தது ஒரு பெரிய எழுத்து, ஒரு சிறிய எழுத்து, ஓர் எண், ஒரு சிறப்புக்குறி ஆகியவற்றைக் கொண்டிருக்க வேண்டும் என்கிற விதிமுறைகளை வலியுறுத்தலாம். பயனர் தேர்ந்தெடுக்கும் கடவுச்சொல் விதிமுறைப்படி இல்லையெனில் நிராகரிக்கலாம்.

(ஆ) பட்டியல் முறை:

எளிதில் ஊகிக்கக் கூடிய பலவீனமான கடவுச்சொற்களின் பட்டியலைத் தயாரித்து வைத்துக் கொண்டு, பயனர் தேர்ந்தெடுக்கும் கடவுச்சொல் அந்தப் பட்டியலில் இருக்கிறதா எனப் பரிசோதித்து, இருந்தால் அதனை நிராகரிக்கலாம். இதற்கான பட்டியல் மிகப் பெரிதாக இருப்பதுடன், அதில் தேடுவதற்கான நேரமும் அதிகம் என்பது இந்த அணுகுமுறையின் குறைபாடு.

    எனவே விதிமுறை வலியுறுத்தல் அணுகுமுறையே தற்போது பெரும்பாலான கணிப்பொறி முறைமைகளில் நடைமுறைப்படுத்தப்படுகிறது.