5.6 தொகுப்புரை
-
தீங்கெண்ணம் கொண்டோர் இணையம்வழித்
தகவல் பரிமாற்றத்தில் ஊடுருவிக் கேடு விளைவிக்கவும் மோசடியில்
ஈடுபடவும் வாய்ப்புகள் பெருகிவிட்டன. இந்தச் சூழ்நிலையில்
கணிப்பொறிகளில் சேமிக்கப்பட்டுள்ள தரவுகளின் பாதுகாப்புக்கும்,
கணிப்பொறிப் பிணையங்கள் வழியான தகவல் பரிமாற்றத்தின் பாதுகாப்புக்குமான
தேவை முன்னுரிமை பெற்றுள்ளது.
-
பொழுதுபோக்காக மணவர்கள், முக்கியத்
தகவல்களைக் களவாடத் தாக்கிகள் (Hackers), பழிதீர்க்க முன்னாள்
பணியாளர், பண மோசடி செய்யக் கணக்காளர், காசாளர், வாடிக்கையாளரை
ஏமாற்றப் பங்குச் சந்தைத் தரகர், நாட்டுக்குக் கேடு செய்ய
ஒற்றர்கள், தீவிரவாதிகள் கணிப்பொறி முறைமையின் பாதுகாப்புக்குப்
பங்கம் விளைவிக்கின்றனர்.
-
கணிப்பொறி முறைமை மீதான தாக்குதல்களை
முனைப்பிலாத் தாக்குதல் முனைப்புறு தாக்குதல் என வகைப்படுத்தலாம்.
சேமிக்கப்பட்டுள்ள தரவுகளைக் களவாடுவது, தகவல் பரிமாற்றங்களை
ஒட்டுக் கேட்பது, கண்காணிப்பது முனைப்பிலாத் தாக்குதல்
ஆகும். பரிமாறிக் கொள்ளப்படும் தகவல்களை மாற்றியமைப்பது,
போலியான தகவலை அனுப்பி வைப்பது, தகவலைத் தடுப்பது, தாமதப்படுத்துவது,
போலியான தகவல் போக்குவரத்தை ஏற்படுத்திப் பயனர்களுக்கு
இயல்பான சேவைகள் கிடைக்காமல் செய்வது ஆகியவை முனைப்புறு
தாக்குதல் ஆகும்.
-
கணிப்பொறி முறைமையைப் பாதுகாப்பதற்கான
சேவைகளை ஐந்தாக வகைப்படுத்தலாம். (1) தகவல் பரிமாற்றத்தில்
ஈடுபட்டுள்ளோர் இன்னார்தாம் என்பதை உறுதி செய்யும் ஒப்புச்சான்று.
(2) பிணையத்தை அணுகுவோரை அடையாளம் கண்டு அனுமதித்து, அத்துமீறி
நுழைவோரைத் தடுக்கும் அணுகல் கட்டுப்பாடு. (3) தகவலை மறையாக்கம்
செய்து அனுப்பும் தரவு இரகசியம். (4) தகவல் அனுப்பப்பட்டவாறே
பெறப்பட்டுள்ளது என்பதைக் குறிக்கும் தரவு நம்பகம். (5)
தகவலை அனுப்பியவர் தான் அனுப்பவில்லை என்றோ, தகவலைப் பெற்றவர்
தான் பெறவில்லை என்றோ மறுதலிக்க இயலாதவாறு செய்யும் மறுதலிப்பின்மை.
-
தகவல் பரிமாற்றத்தின் வெவ்வேறு
கட்டங்களில் மறைக்குறியாக்கம், துடிமக் கையொப்பம், அணுகல்
கட்டுப்பாடு, தரவு நம்பகத் தன்மை, ஒப்புச்சான்று பரிமாற்றம்,
போக்குவரத்து இடையடைப்பு, திசைவிப்புக் கட்டுப்பாடு, பாதுகாப்புச்
சிட்டை, நிகழ்வுக் கண்டுபிடிப்பு, பாதுகாப்புத் தணிக்கை
போன்ற பாதுகாப்பு வழிமுறைகள் பின்பற்றப்படுகின்றன.
-
ஒரு கணிப்பொறி முறைமைக்கு அனுமதி
பெற்ற அல்லது அனுமதி பெறாத அத்துமீறிகள் மூலமோ, ‘தீங்குநிரல்’
மூலமோ ஆபத்து ஏற்படலாம்.
-
கணிப்பொறி முறைமைக்குள் அத்துமீறிக்
கேடு விளைவிப்போர் மெய்யான பயனரைப்போல் நுழையும் வேடதாரிகள்,
வழங்கப்பட்ட உரிமைகள், சலுகைகைகளைத் தவறான நோக்கத்துக்குப்
பயன்படுத்தும் துரோகிகள், கணிப்பொறி முறைமையின் மேற்பார்வைக்
கட்டுப்பாட்டைக் கையிலெடுத்துக் கொண்டு கேடு விளைவிக்கும்
உள் அல்லது வெளி உளவாளிகள். தீங்கெண்ணம் இன்றித் தங்கள்
திறமையைப் பரிசோதிக்கும் பொருட்டுப் பொழுதுபோக்காக அத்துமீறும்
உள் அல்லது வெளியாள் ஆகியோராவார்.
-
அத்துமீறல் நடந்தவுடன் கண்டறியலாம்
அல்லது முன்தடுக்கலாம். ஒவ்வொரு பயனரும் செயல்படும் பாங்கினைக்
குறித்து வைத்துக் கொண்டு, அதற்கு மாறான செயல்பாடு நிகழும்போது,
ஆய்வு செய்தோ, பயனர்கள் மேற்கொள்ளும் முறையான செயல்பாடு
களுக்கான விதிமுறைகளை வகுத்துத் தொகுத்து வைத்துக் கொண்டு,
விதிமுறையை மீறும் செயல்பாடுகளை ஆய்வு செய்தோ அத்துமீறலைக்
கண்டறியலாம்.
-
அத்துமீறிகள் எவ்வளவு முயன்றாலும்
கண்டறிய முடியாத கடவுச்சொல்லின் தேவையைப் பயனருக்கு உணர்த்தி,
கடவுச்சொல்லில் குறைந்தது இத்தனை எழுத்துகள், இத்தகைய
எழுத்துகள் இருக்க வேண்டுமென வலியுறுத்தி, அதற்கு மாறான
கடவுச்சொல்லைப் பயனர் தேர்ந்தெடுத்தால் நிராகரித்து முன்கூட்டியே
தடுப்பது கடவுச்சொல் மேலாண்மை நடவடிக்கையாகும்.
-
கணிப்பொறி முறைமைக்கு இரண்டாவது
வகை ஆபத்து தீங்குநிரலால் ஏற்படுவது. உரிமையாளர் அறியாமல்
அவரது முறைமைக்குள் நுழையச் செய்து, கணிப்பொறி வளங்களுக்குக்
கேடு விளைவிக்கவோ, முக்கிய தகவல்களைக் களவாடவோ, தானியங்கு
முறையில் தீங்குநிரல் செயல்படுத்தப்படுகிறது. பேனாச் சேமிப்பகங்கள்,
இணையம்வழி பெறப்படும் மின்னஞ்சல்கள், மென்பொருள்கள், கோப்புகள்
வழியாக இவை கணிப்பொறி முறைமைகளைத் தொற்றிக் கொள்கின்றன.
-
பின்வாசல், தருக்க வெடிகுண்டு, ட்ரோஜான்
குதிரை, புழுநிரல், நச்சுநிரல், உளவுநிரல், விளம்பரத்
திணிப்பி, குற்றநிரல், களவுநிரல் எனத் தீங்குநிரல் பலவகைப்படும்.
இன்றைய வழக்காற்றில் அனைத்துவகைத் தீங்குநிரல்களும் ஒட்டுமொத்தமாக
‘நச்சுநிரல்’ என்ற பெயராலேயே அழைக்கப்படுகின்றன.
-
ஒட்டுண்ணியாகச் செயல்படுபவை, வட்டின்
இயக்கு பகுதியில் அல்லது நினைவகத்தில் தங்கியிருந்து தாக்குபவை,
அடிக்கடி தன் நிரல் குறிமுறையை மாற்றிக் கொள்பவை, கண்டுபிடிக்க
முடியாமல் ஒளிந்து கொள்பவை, மேக்ரோ என்னும் ஆவணக் குறுநிரல்
மூலம் பரவுபவை, மின்னஞ்சல் வழியாகப் பரவுபவை எனப் பலவகை
நச்சுநிரல்கள் உள்ளன.
-
1986-இல் பாகிஸ்தானின் ஆல்வி சகோதரர்கள்
உருவாக்கிய ‘பிரெய்ன்’ (Brain) என்னும் நச்சுநிரலே உலகின்
முதலாவது சொந்தக் கணிப்பொறி நச்சுநிரல். ஜெரூசலம் அல்லது
13-ஆம் தேதி வௌ¢ளிக்கிழமை, மைக்கேல் ஏஞ்சலோ, சிஐஹெச் அல்லது
செர்னோபில், மெலிசா, ஐலவ்யூ, நிம்தா, சோபிக், பிளாஸ்டர்,
ஸ்டார்ம் ஆகியவை ஒரே நாளில் பல லட்சம் கணிப்பொறிகளைத்
தாக்கி உலகைக் குலுக்கிய நச்சுநிரல்கள் ஆகும்.
-
நச்செதிர்ப்பி மென்பொருள் கணிப்பொறி
முறைமையில் தொற்றியுள்ள நச்சுநிரலைக் கண்டறிந்து, எந்த
நச்சுநிரல் என்பதை அடையாளம் கண்டு, தொற்றியுள்ள கோப்புகள்
அனைத்திலிருந்தும் நச்சுநிரலை நீக்கும். கணிப்பொறி முறைமைக்குள்
நச்சுநிரல் நுழையும்போதே அறிந்து தடுக்கும். நார்ட்டன்,
மெக்காஃபி, காஸ்பர்ஸ்க்கி, ஏவிஜி, அவிரா ஆகியவை மிகவும்
செல்வாக்குப் பெற்று விளங்கும் நச்செதிர்ப்பி மென்பொருள்களாகும்.
-
நிறுவனப் பிணையத்துக்கும் இணையத்துக்கும்
இடையே அமைக்கப்படும் பாதுகாப்புச் சுவரான தீச்சுவர், இணையம்வழி
ஏற்படும் வெளித் தாக்குதல்களிலிருந்து நிறுவனப் பிணையத்தைப்
பாதுகாக்கிறது. தீச்சுவர், வன்பொருளாகவோ, மென்பொருளாகவோ,
இரண்டும் இணைந்ததாகவோ இருக்கும். ஒரு கணிப்பொறியாகவோ,
ஒன்றுக்கு மேற்பட்ட கணிப்பொறி களை உள்ளடக்கிய ஒரு கணிப்பொறி
முறைமையாகவோ இருக்கும்.
-
முன்வகுக்கப்பட்ட விதிமுறைகளின்படி
தகவல் பொட்டலங்களை வடிகட்டி அனுமதிக்கிற ‘பொட்டல வடிகட்டி’,
அனுப்பிய தகவலுக்குப் பதிலாக வரும் தகவல்கள் மட்டும் அனுமதித்து,
ஏனையவற்றைப் புறக்கணிக்கும் ‘பொட்டல ஆய்வி’, வரையறுக்கப்பட்ட
பயன்பாடுகளை மட்டும் அனுமதிக்கும் ‘பயன்பாட்டு-மட்ட நுழைவி’,
அனுமதிக்கப்பட்ட பயன்பாட்டுக்கான கோரிக்கைக்கு மட்டும்
வெளி இணைப்பை ஏற்படுத்தித் தரும் ‘இணைப்பு-மட்ட நுழைவி’,
வெளிச்செல்லும் தகவல் பொட்டலங்களில் கோரிக்கை விடுத்த
கணிப்பொறியின் முகவரிக்குப் பதிலாகத் தன் முகவரியை அனுப்பி
வைக்கும் ‘பதிலி வழங்கி’ எனத் தீச்சுவர்கள் பலவகைப்படும்.
-
அத்துமீறிகள் பிணையத்துள் நுழையாமல்
தடுக்கவும், பாதுகாப்புக்குப் பங்கம் விளைவிக்கும் சேவைகள்
நுழைவது, வெளிச் செல்வதைத் தடுக்கவும், ஒரே புள்ளியில்
பாதுகாப்புத் தொடர்புடைய நிகழ்வுகளைக் கண்காணிக்கவும்,
தணிக்கை நடவடிக்கைகளை நடைமுறைப் படுத்தவும், எச்சரிக்கை
அறிவிப்புகளுக்கு ஏற்பாடு செய்யவும் தீச்சுவர் உதவுகிறது.
-
தீச்ச்சுவரின் வழியாக வராமல் வேறு
வழியாக வரும் தாக்குதல்களைத் தடுக்கவோ, நிறுவனத்தின் மீது
வெறுப்புக் கொண்ட, ஆதாயத்துக்காக துரோகம் இழைக்கின்ற,
அறியாமையால் அத்துமீறிகளுக்குத் துணைபோகிற உள்ளாட்களால்
ஏற்படும் ஆபத்துகளைத் தடுக்கவோ, நச்சுநிரல்களினால் ஏற்படும்
ஆபத்துகளைத் தடுக்கவோ தீச்சுவரால் இயலாது.
-
மூலத் தகவலை இரகசியக் குறியீட்டுத்
தகவலாக மறையாக்கம் செய்து அனுப்புவதும், பெறுமுனையில்
அதனை மறைவிலக்கம் செய்து மூலத் தகவலைப் பெறுவதும் ‘மறைக்குறியீட்டியல்’
(Cryptography) எனப்படுகிறது.
-
மரபுவழி மறைக்குறியீட்டியலில் மூலத்
தகவலில் ஓரெழுத்தை வேறோர் எழுத்தாகவோ, எண்ணாகவோ, சிறப்புக்குறியாகவோ
மாற்றும் பதில¦ட்டு முறை, எழுத்துகளை மாற்றாமல் எழுத்துகளின்
வரிசையைப் மாற்றியமைக்கும் வரிசைமாற்று முறை, பல கட்டங்களில்
மேற்கொள்ளப்படும் பதில¦ட்டுச் சுழல் எந்திர முறை, நேரடித்
தகவலை மறைத்து அனுப்பும் மறைப்புரை ஆகிய பல்வேறு மறையாக்க
முறைகள் பயன்படுத்தப்பட்டன.
-
மறையாக்கத்தை உடைக்கும் தொழில்நுட்பம்
’மறைக்குறிப் பகுப்பாய்வு’ (Cryptanalysis) என்று அழைக்கப்படுகிறது.
‘சீன லாட்டரி’, ‘இடைநிலையில் சந்தித்தல்’, ‘வேறுபாட்டு
மறைக்குறிப் பகுப்பாய்வு’, ‘நேர்நிலை மறைக்குறிப் பகுப்பாய்வு’
எனப் பல்வேறு மறைக்குறிப் பகுப்பாய்வு நுட்பங்கள் உள்ளன.
-
கணிப்பொறித் தொழில்நுட்பத்தின்
வளர்ச்சியால் மறைக்குறியீட்டியலில் நவீன உத்திகள் புகுத்தப்பட்டன.
எழுத்துகளுக்குப் பதிலாகப் பிட்டுகளும் பைட்டுகளும் அவற்றின்
தொகுதிகளும் மறையாக்கம் செய்யப்பட்டன. அமெரிக்க அரசு 19977-இல்
செயல்படுத்திய ‘தரவு மறையாக்கத் தரப்பாடு’ நவீன மறைக்குறியீட்டியலின்
தொடக்கம் எனக் கொள்ளலாம். இதன்படி தகவலின் 64-பிட் தொகுதி,
56-பிட் திறவியால், 19 படிநிலைகளில் மறையாக்கப்படும்.
பிறகு இதே மறையாக்கத்தை வெவ்வேறு திறவிகளைப் பயன்படுத்தி
மும்முறை மறையாக்கும் முறை புகுத்தப்பட்டது.
-
1991-இல் 64-பிட் தொகுதியை, 128-பிட்
திறவியைப் பயன்படுத்தி 8 சுற்றுகளில் மறையாக்கம் செய்யும்
‘சர்வதேச தரவு மறையாக்கத் தீர்வுநெறி’ உருவாக்கப்பட்டது.
2001-இல், தகவலின் 128-பிட் தொகுதியை 128, 192 அல்லது
256-பிட் திறவியால் 10, 12 அல்லது 14 சுற்றுகளில் மறையாக்கம்
செய்யும் ‘உயர்நிலை மறையாக்கத் தரப்பாடு’ நடைமுறைக்கு
வந்தது.
-
மறையாக்கத் திறவியே மறைவிலக்கவும்
பயன்படும் ‘சமச்சீர்த் திறவி’ மறையாக்கத்துக்குப் பதிலாக,
மறையாக்கத்துக்கு ஒரு திறவியும், மறைவிலக்கத்துக்கு வேறு
திறவியும் பயன்படுத்தப்படும் ’சமச்சீரிலாத் திறவி’ மறையாக்கத்
தீர்வுநெறியை டிஃபியும், ஹெல்மேனும் 1976-இல் உருவாக்கினர்.
உடைக்க முடியாத, தொடர்புடைய இரண்டு திறவிகளைக் கண்டறிவதில்
அமெரிக்காவின் எம்ஐடீ கல்வி நிறுவனத்தில் ரைவெஸ்ட், ஷமீர்,
ஆடில்மேன் ஆகிய மூவரும் 1978-இல் கண்டறிந்த ஆர்எஸ்ஏ தீர்வுநெறியே
இன்றளவும் செல்வாக்குப் பெற்றுத் திகழ்கிறது.
-
ஒருவருக்குரிய தனித்திறவி, பொதுத்திறவி
இரண்டினுள், பொதுத்திறவியைப் பயன்படுத்தி மறையாக்கம் செய்து
அனுப்பப்படும் தகவலை அவருடைய தனித்திறவி மூலம்தான் மறைவிலக்கி
மூலத் தகவலைப் பெறமுடியும். வேறெவரும் இடையிட்டு அறிய
முடியாது, திருத்த முடியாது. இச்செயல்நுட்பம் ‘பொதுத்திறவி
மறையாக்கம்’ எனப்படும்.
-
’துடிமக் கையொப்பம்’ முறையில்,
அனுப்புபவர் தகவலைத் தனது தனித்திறவியால் மறையாக்கி அனுப்புவார்.
பெறுபவர் பொதுத்திறவியால் மறைவிலக்கித் தகவலைப் பெறுவார்.
அனுப்பியவர் இன்னார்தான் என்பதை உறுதி செய்துகொள்ள முடியும்.
தான் அனுப்பவில்லை என்றோ, தகவலில் உள்ள விவரங்கள் தான்
எழுதியதில்லை என்றோ அனுப்பியவர் மறுதலிக்க முடியாது. தகவலை
மாற்றியமைத்து இவ்வாறுதான் எழுதியனுப்பினார் என்று பெறுபவர்
பொய்யுரைக்க முடியாது.
|
|
|