5.6 தொகுப்புரை

தீங்கெண்ணம் கொண்டோர் இணையம்வழித் தகவல் பரிமாற்றத்தில் ஊடுருவிக் கேடு விளைவிக்கவும் மோசடியில் ஈடுபடவும் வாய்ப்புகள் பெருகிவிட்டன. இந்தச் சூழ்நிலையில் கணிப்பொறிகளில் சேமிக்கப்பட்டுள்ள தரவுகளின் பாதுகாப்புக்கும், கணிப்பொறிப் பிணையங்கள் வழியான தகவல் பரிமாற்றத்தின் பாதுகாப்புக்குமான தேவை முன்னுரிமை பெற்றுள்ளது. பொழுதுபோக்காக மணவர்கள், முக்கியத் தகவல்களைக் களவாடத் தாக்கிகள் (Hackers), பழிதீர்க்க முன்னாள் பணியாளர், பண மோசடி செய்யக் கணக்காளர், காசாளர், வாடிக்கையாளரை ஏமாற்றப் பங்குச் சந்தைத் தரகர், நாட்டுக்குக் கேடு செய்ய ஒற்றர்கள், தீவிரவாதிகள் கணிப்பொறி முறைமையின் பாதுகாப்புக்குப் பங்கம் விளைவிக்கின்றனர். கணிப்பொறி முறைமை மீதான தாக்குதல்களை முனைப்பிலாத் தாக்குதல் முனைப்புறு தாக்குதல் என வகைப்படுத்தலாம். சேமிக்கப்பட்டுள்ள தரவுகளைக் களவாடுவது, தகவல் பரிமாற்றங்களை ஒட்டுக் கேட்பது, கண்காணிப்பது முனைப்பிலாத் தாக்குதல் ஆகும். பரிமாறிக் கொள்ளப்படும் தகவல்களை மாற்றியமைப்பது, போலியான தகவலை அனுப்பி வைப்பது, தகவலைத் தடுப்பது, தாமதப்படுத்துவது, போலியான தகவல் போக்குவரத்தை ஏற்படுத்திப் பயனர்களுக்கு இயல்பான சேவைகள் கிடைக்காமல் செய்வது ஆகியவை முனைப்புறு தாக்குதல் ஆகும். கணிப்பொறி முறைமையைப் பாதுகாப்பதற்கான சேவைகளை ஐந்தாக வகைப்படுத்தலாம். (1) தகவல் பரிமாற்றத்தில் ஈடுபட்டுள்ளோர் இன்னார்தாம் என்பதை உறுதி செய்யும் ஒப்புச்சான்று. (2) பிணையத்தை அணுகுவோரை அடையாளம் கண்டு அனுமதித்து, அத்துமீறி நுழைவோரைத் தடுக்கும் அணுகல் கட்டுப்பாடு. (3) தகவலை மறையாக்கம் செய்து அனுப்பும் தரவு இரகசியம். (4) தகவல் அனுப்பப்பட்டவாறே பெறப்பட்டுள்ளது என்பதைக் குறிக்கும் தரவு நம்பகம். (5) தகவலை அனுப்பியவர் தான் அனுப்பவில்லை என்றோ, தகவலைப் பெற்றவர் தான் பெறவில்லை என்றோ மறுதலிக்க இயலாதவாறு செய்யும் மறுதலிப்பின்மை. தகவல் பரிமாற்றத்தின் வெவ்வேறு கட்டங்களில் மறைக்குறியாக்கம், துடிமக் கையொப்பம், அணுகல் கட்டுப்பாடு, தரவு நம்பகத் தன்மை, ஒப்புச்சான்று பரிமாற்றம், போக்குவரத்து இடையடைப்பு, திசைவிப்புக் கட்டுப்பாடு, பாதுகாப்புச் சிட்டை, நிகழ்வுக் கண்டுபிடிப்பு, பாதுகாப்புத் தணிக்கை போன்ற பாதுகாப்பு வழிமுறைகள் பின்பற்றப்படுகின்றன. ஒரு கணிப்பொறி முறைமைக்கு அனுமதி பெற்ற அல்லது அனுமதி பெறாத அத்துமீறிகள் மூலமோ, ‘தீங்குநிரல்’ மூலமோ ஆபத்து ஏற்படலாம். கணிப்பொறி முறைமைக்குள் அத்துமீறிக் கேடு விளைவிப்போர் மெய்யான பயனரைப்போல் நுழையும் வேடதாரிகள், வழங்கப்பட்ட உரிமைகள், சலுகைகைகளைத் தவறான நோக்கத்துக்குப் பயன்படுத்தும் துரோகிகள், கணிப்பொறி முறைமையின் மேற்பார்வைக் கட்டுப்பாட்டைக் கையிலெடுத்துக் கொண்டு கேடு விளைவிக்கும் உள் அல்லது வெளி உளவாளிகள். தீங்கெண்ணம் இன்றித் தங்கள் திறமையைப் பரிசோதிக்கும் பொருட்டுப் பொழுதுபோக்காக அத்துமீறும் உள் அல்லது வெளியாள் ஆகியோராவார். அத்துமீறல் நடந்தவுடன் கண்டறியலாம் அல்லது முன்தடுக்கலாம். ஒவ்வொரு பயனரும் செயல்படும் பாங்கினைக் குறித்து வைத்துக் கொண்டு, அதற்கு மாறான செயல்பாடு நிகழும்போது, ஆய்வு செய்தோ, பயனர்கள் மேற்கொள்ளும் முறையான செயல்பாடு களுக்கான விதிமுறைகளை வகுத்துத் தொகுத்து வைத்துக் கொண்டு, விதிமுறையை மீறும் செயல்பாடுகளை ஆய்வு செய்தோ அத்துமீறலைக் கண்டறியலாம். அத்துமீறிகள் எவ்வளவு முயன்றாலும் கண்டறிய முடியாத கடவுச்சொல்லின் தேவையைப் பயனருக்கு உணர்த்தி, கடவுச்சொல்லில் குறைந்தது இத்தனை எழுத்துகள், இத்தகைய எழுத்துகள் இருக்க வேண்டுமென வலியுறுத்தி, அதற்கு மாறான கடவுச்சொல்லைப் பயனர் தேர்ந்தெடுத்தால் நிராகரித்து முன்கூட்டியே தடுப்பது கடவுச்சொல் மேலாண்மை நடவடிக்கையாகும். கணிப்பொறி முறைமைக்கு இரண்டாவது வகை ஆபத்து தீங்குநிரலால் ஏற்படுவது. உரிமையாளர் அறியாமல் அவரது முறைமைக்குள் நுழையச் செய்து, கணிப்பொறி வளங்களுக்குக் கேடு விளைவிக்கவோ, முக்கிய தகவல்களைக் களவாடவோ, தானியங்கு முறையில் தீங்குநிரல் செயல்படுத்தப்படுகிறது. பேனாச் சேமிப்பகங்கள், இணையம்வழி பெறப்படும் மின்னஞ்சல்கள், மென்பொருள்கள், கோப்புகள் வழியாக இவை கணிப்பொறி முறைமைகளைத் தொற்றிக் கொள்கின்றன. பின்வாசல், தருக்க வெடிகுண்டு, ட்ரோஜான் குதிரை, புழுநிரல், நச்சுநிரல், உளவுநிரல், விளம்பரத் திணிப்பி, குற்றநிரல், களவுநிரல் எனத் தீங்குநிரல் பலவகைப்படும். இன்றைய வழக்காற்றில் அனைத்துவகைத் தீங்குநிரல்களும் ஒட்டுமொத்தமாக ‘நச்சுநிரல்’ என்ற பெயராலேயே அழைக்கப்படுகின்றன. ஒட்டுண்ணியாகச் செயல்படுபவை, வட்டின் இயக்கு பகுதியில் அல்லது நினைவகத்தில் தங்கியிருந்து தாக்குபவை, அடிக்கடி தன் நிரல் குறிமுறையை மாற்றிக் கொள்பவை, கண்டுபிடிக்க முடியாமல் ஒளிந்து கொள்பவை, மேக்ரோ என்னும் ஆவணக் குறுநிரல் மூலம் பரவுபவை, மின்னஞ்சல் வழியாகப் பரவுபவை எனப் பலவகை நச்சுநிரல்கள் உள்ளன. 1986-இல் பாகிஸ்தானின் ஆல்வி சகோதரர்கள் உருவாக்கிய ‘பிரெய்ன்’ (Brain) என்னும் நச்சுநிரலே உலகின் முதலாவது சொந்தக் கணிப்பொறி நச்சுநிரல். ஜெரூசலம் அல்லது 13-ஆம் தேதி வௌ¢ளிக்கிழமை, மைக்கேல் ஏஞ்சலோ, சிஐஹெச் அல்லது செர்னோபில், மெலிசா, ஐலவ்யூ, நிம்தா, சோபிக், பிளாஸ்டர், ஸ்டார்ம் ஆகியவை ஒரே நாளில் பல லட்சம் கணிப்பொறிகளைத் தாக்கி உலகைக் குலுக்கிய நச்சுநிரல்கள் ஆகும். நச்செதிர்ப்பி மென்பொருள் கணிப்பொறி முறைமையில் தொற்றியுள்ள நச்சுநிரலைக் கண்டறிந்து, எந்த நச்சுநிரல் என்பதை அடையாளம் கண்டு, தொற்றியுள்ள கோப்புகள் அனைத்திலிருந்தும் நச்சுநிரலை நீக்கும். கணிப்பொறி முறைமைக்குள் நச்சுநிரல் நுழையும்போதே அறிந்து தடுக்கும். நார்ட்டன், மெக்காஃபி, காஸ்பர்ஸ்க்கி, ஏவிஜி, அவிரா ஆகியவை மிகவும் செல்வாக்குப் பெற்று விளங்கும் நச்செதிர்ப்பி மென்பொருள்களாகும். நிறுவனப் பிணையத்துக்கும் இணையத்துக்கும் இடையே அமைக்கப்படும் பாதுகாப்புச் சுவரான தீச்சுவர், இணையம்வழி ஏற்படும் வெளித் தாக்குதல்களிலிருந்து நிறுவனப் பிணையத்தைப் பாதுகாக்கிறது. தீச்சுவர், வன்பொருளாகவோ, மென்பொருளாகவோ, இரண்டும் இணைந்ததாகவோ இருக்கும். ஒரு கணிப்பொறியாகவோ, ஒன்றுக்கு மேற்பட்ட கணிப்பொறி களை உள்ளடக்கிய ஒரு கணிப்பொறி முறைமையாகவோ இருக்கும். முன்வகுக்கப்பட்ட விதிமுறைகளின்படி தகவல் பொட்டலங்களை வடிகட்டி அனுமதிக்கிற ‘பொட்டல வடிகட்டி’, அனுப்பிய தகவலுக்குப் பதிலாக வரும் தகவல்கள் மட்டும் அனுமதித்து, ஏனையவற்றைப் புறக்கணிக்கும் ‘பொட்டல ஆய்வி’, வரையறுக்கப்பட்ட பயன்பாடுகளை மட்டும் அனுமதிக்கும் ‘பயன்பாட்டு-மட்ட நுழைவி’, அனுமதிக்கப்பட்ட பயன்பாட்டுக்கான கோரிக்கைக்கு மட்டும் வெளி இணைப்பை ஏற்படுத்தித் தரும் ‘இணைப்பு-மட்ட நுழைவி’, வெளிச்செல்லும் தகவல் பொட்டலங்களில் கோரிக்கை விடுத்த கணிப்பொறியின் முகவரிக்குப் பதிலாகத் தன் முகவரியை அனுப்பி வைக்கும் ‘பதிலி வழங்கி’ எனத் தீச்சுவர்கள் பலவகைப்படும். அத்துமீறிகள் பிணையத்துள் நுழையாமல் தடுக்கவும், பாதுகாப்புக்குப் பங்கம் விளைவிக்கும் சேவைகள் நுழைவது, வெளிச் செல்வதைத் தடுக்கவும், ஒரே புள்ளியில் பாதுகாப்புத் தொடர்புடைய நிகழ்வுகளைக் கண்காணிக்கவும், தணிக்கை நடவடிக்கைகளை நடைமுறைப் படுத்தவும், எச்சரிக்கை அறிவிப்புகளுக்கு ஏற்பாடு செய்யவும் தீச்சுவர் உதவுகிறது. தீச்ச்சுவரின் வழியாக வராமல் வேறு வழியாக வரும் தாக்குதல்களைத் தடுக்கவோ, நிறுவனத்தின் மீது வெறுப்புக் கொண்ட, ஆதாயத்துக்காக துரோகம் இழைக்கின்ற, அறியாமையால் அத்துமீறிகளுக்குத் துணைபோகிற உள்ளாட்களால் ஏற்படும் ஆபத்துகளைத் தடுக்கவோ, நச்சுநிரல்களினால் ஏற்படும் ஆபத்துகளைத் தடுக்கவோ தீச்சுவரால் இயலாது. மூலத் தகவலை இரகசியக் குறியீட்டுத் தகவலாக மறையாக்கம் செய்து அனுப்புவதும், பெறுமுனையில் அதனை மறைவிலக்கம் செய்து மூலத் தகவலைப் பெறுவதும் ‘மறைக்குறியீட்டியல்’ (Cryptography) எனப்படுகிறது. மரபுவழி மறைக்குறியீட்டியலில் மூலத் தகவலில் ஓரெழுத்தை வேறோர் எழுத்தாகவோ, எண்ணாகவோ, சிறப்புக்குறியாகவோ மாற்றும் பதில¦ட்டு முறை, எழுத்துகளை மாற்றாமல் எழுத்துகளின் வரிசையைப் மாற்றியமைக்கும் வரிசைமாற்று முறை, பல கட்டங்களில் மேற்கொள்ளப்படும் பதில¦ட்டுச் சுழல் எந்திர முறை, நேரடித் தகவலை மறைத்து அனுப்பும் மறைப்புரை ஆகிய பல்வேறு மறையாக்க முறைகள் பயன்படுத்தப்பட்டன. மறையாக்கத்தை உடைக்கும் தொழில்நுட்பம் ’மறைக்குறிப் பகுப்பாய்வு’ (Cryptanalysis) என்று அழைக்கப்படுகிறது. ‘சீன லாட்டரி’, ‘இடைநிலையில் சந்தித்தல்’, ‘வேறுபாட்டு மறைக்குறிப் பகுப்பாய்வு’, ‘நேர்நிலை மறைக்குறிப் பகுப்பாய்வு’ எனப் பல்வேறு மறைக்குறிப் பகுப்பாய்வு நுட்பங்கள் உள்ளன. கணிப்பொறித் தொழில்நுட்பத்தின் வளர்ச்சியால் மறைக்குறியீட்டியலில் நவீன உத்திகள் புகுத்தப்பட்டன. எழுத்துகளுக்குப் பதிலாகப் பிட்டுகளும் பைட்டுகளும் அவற்றின் தொகுதிகளும் மறையாக்கம் செய்யப்பட்டன. அமெரிக்க அரசு 19977-இல் செயல்படுத்திய ‘தரவு மறையாக்கத் தரப்பாடு’ நவீன மறைக்குறியீட்டியலின் தொடக்கம் எனக் கொள்ளலாம். இதன்படி தகவலின் 64-பிட் தொகுதி, 56-பிட் திறவியால், 19 படிநிலைகளில் மறையாக்கப்படும். பிறகு இதே மறையாக்கத்தை வெவ்வேறு திறவிகளைப் பயன்படுத்தி மும்முறை மறையாக்கும் முறை புகுத்தப்பட்டது. 1991-இல் 64-பிட் தொகுதியை, 128-பிட் திறவியைப் பயன்படுத்தி 8 சுற்றுகளில் மறையாக்கம் செய்யும் ‘சர்வதேச தரவு மறையாக்கத் தீர்வுநெறி’ உருவாக்கப்பட்டது. 2001-இல், தகவலின் 128-பிட் தொகுதியை 128, 192 அல்லது 256-பிட் திறவியால் 10, 12 அல்லது 14 சுற்றுகளில் மறையாக்கம் செய்யும் ‘உயர்நிலை மறையாக்கத் தரப்பாடு’ நடைமுறைக்கு வந்தது. மறையாக்கத் திறவியே மறைவிலக்கவும் பயன்படும் ‘சமச்சீர்த் திறவி’ மறையாக்கத்துக்குப் பதிலாக, மறையாக்கத்துக்கு ஒரு திறவியும், மறைவிலக்கத்துக்கு வேறு திறவியும் பயன்படுத்தப்படும் ’சமச்சீரிலாத் திறவி’ மறையாக்கத் தீர்வுநெறியை டிஃபியும், ஹெல்மேனும் 1976-இல் உருவாக்கினர். உடைக்க முடியாத, தொடர்புடைய இரண்டு திறவிகளைக் கண்டறிவதில் அமெரிக்காவின் எம்ஐடீ கல்வி நிறுவனத்தில் ரைவெஸ்ட், ஷமீர், ஆடில்மேன் ஆகிய மூவரும் 1978-இல் கண்டறிந்த ஆர்எஸ்ஏ தீர்வுநெறியே இன்றளவும் செல்வாக்குப் பெற்றுத் திகழ்கிறது. ஒருவருக்குரிய தனித்திறவி, பொதுத்திறவி இரண்டினுள், பொதுத்திறவியைப் பயன்படுத்தி மறையாக்கம் செய்து அனுப்பப்படும் தகவலை அவருடைய தனித்திறவி மூலம்தான் மறைவிலக்கி மூலத் தகவலைப் பெறமுடியும். வேறெவரும் இடையிட்டு அறிய முடியாது, திருத்த முடியாது. இச்செயல்நுட்பம் ‘பொதுத்திறவி மறையாக்கம்’ எனப்படும். ’துடிமக் கையொப்பம்’ முறையில், அனுப்புபவர் தகவலைத் தனது தனித்திறவியால் மறையாக்கி அனுப்புவார். பெறுபவர் பொதுத்திறவியால் மறைவிலக்கித் தகவலைப் பெறுவார். அனுப்பியவர் இன்னார்தான் என்பதை உறுதி செய்துகொள்ள முடியும். தான் அனுப்பவில்லை என்றோ, தகவலில் உள்ள விவரங்கள் தான் எழுதியதில்லை என்றோ அனுப்பியவர் மறுதலிக்க முடியாது. தகவலை மாற்றியமைத்து இவ்வாறுதான் எழுதியனுப்பினார் என்று பெறுபவர் பொய்யுரைக்க முடியாது.