Primary tabs
5.2 அத்துமீறல்களும் தடுப்பு முறைகளும்
தனிப்பட்ட ஒரு கணிப்பொறியைவிட, ஒரு கணிப்பொறிப் பிணைய அமைப்புக்கே பாதுகாப்பு ஆபத்துகள் அதிகம். கணிப்பொறிப் பிணைய அமைப்புக்கு இரு வகையான ஆபத்துகள் ஏற்பட வாய்ப்புண்டு. (அ) அனுமதி பெற்ற அல்லது அனுமதி பெறாத ஒரு பயனர் மூலம் ஏற்படும் ஆபத்து. இத்தகு பயனரை ’அத்துமீறி’ (Intruder) என்கிறோம். (ஆ) மென்பொருள் மூலமாக ஏற்படும் ஆபத்து. இத்தகைய மென்பொருள் ‘தீங்கு மென்பொருள்’ (Malicious Software) எனப்படுகிறது. அத்துமீறல்களை முன்கூட்டியே தடுக்கலாம். அல்லது நடந்தபின் அதைக் கண்டறிந்து, இனி நடக்காமல் பாதுகாக்கலாம். கடவுச்சொல் மேலாண்மை (Password Management) என்பது அத்துமீறல்களை முன்தடுப்பதற்கான ஒருவகைப் பாதுகாப்பு நடவடிக்கையாகும். ஒரு கணிப்பொறி முறைமைக்கு அத்துமீறிகளால் ஏற்படும் ஆபத்துகள் பற்றியும், அவற்றுக்கு எதிரான பாதுகாப்பு நடவடிக்கைகள் பற்றியும் இப்பாடப் பிரிவில் விரிவாகக் காண்போம். தீங்கு மென்பொருள்கள் பற்றி அடுத்த பாடப் பிரிவில் காண்போம்.
5.2.1 அத்துமீறிகள் (Intruders)
ஒரு கணிப்பொறி முறைமையில் அத்துமீறிக் கேடு விளைவிப்போர் நான்கு வகைப்படுவர்:
(1) வேடதாரிகள்:
இவர்கள் கணிப்பொறி முறைமைக்குள் நுழைய அனுமதி இல்லாத வெளியாட்கள். மெய்யான பயனர் ஒருவரின் பெயர், கடவுச் சொல்லைக் களவாடி, அவற்றின் மூலம் அனுமதி பெற்ற பயனர் போன்றே வேடமிட்டுக் கணிப்பொறி முறைமைக்குள் நுழைந்து கேடு விளைவிப்பர்.
(2) துரோகிகள்:
இவர்கள் முறைப்படி அனுமதி பெற்ற மெய்யான பயனர்கள். ஆனால் இவர்கள் தங்களுக்கு வழங்கப்பட்ட உரிமைகள், சலுகைகைகளைத் தவறான நோக்கத்துக்குப் பயன்படுத்திக் கொள்வர். அல்லது தமது உரிமைகளை மீறி, அனுமதியில்லாத தரவுகள், நிரல்கள், வளங்களைத் தீங்கெண்ணத்தோடு பயன்படுத்திக் கொள்வர்.
(3) உளவாளிகள்:
இவர்கள் உள் ஆளாகவும் இருக்கலாம். அல்லது வெளி ஆளாகவும் இருக்கலாம். இவர்கள் கணிப்பொறி முறைமையின் மேற்பார்வைக் கட்டுப்பாட்டைக் (Supervisory Control) கையிலெடுத்துக் கொள்வர். அத்துமீறல்களைத் தடுக்கும் பாதுகாப்பு அரண்களுக்கான நிரல்களை மாற்றியமைத்து, எளிதாக ஊடுருவ வழிவகுப்பர்.
(4) பொழுதுபோக்கிகள்:
இவர்கள் உள் ஆளாகவோ வெளி ஆளாகவோ இருக்கலாம். இவர்கள் தீங்கெண்ணம் எதுவுமின்றித் தங்கள் திறமையைப் பரிசோதிக்கும் பொருட்டுப் பொழுதுபோக்காக அத்துமீறுபவர்கள். ஆனால் இவர்களின் செயல்களால் விரும்பத் தகாத விளைவுகள் ஏற்பட வாய்ப்புண்டு.
5.2.2 தடுப்பு முறைகள்
மேற்கண்ட அத்துமீறிகளுக்கு எதிரான நடவடிக்கைகள் இரு வகைப்படும்: (1) கண்டறிதல் (Detection). (2) முன்தடுப்பு (Prevention). அத்துமீறல் நடைபெறாமல் முன்கூட்டியே தடுப்பதுதான் கணிப்பொறி முறைமையைக் காப்பாற்றச் சிறந்த வழிமுறை. எனினும், எல்லாச் சூழ்நிலைகளிலும் அது சாத்தியம் என்று கூறிவிட முடியாது. முன்தடுக்க முடியாதபோது அத்துமீறல் நடைபெறுகையில் அல்லது நடைபெற்று முடிந்தவுடனே கண்டறியப்பட வேண்டும். கண்டறிந்தபின் அதுபோன்ற அத்துமீறல் மீண்டும் நிகழாமல் தடுக்க வேண்டும்.
(1) கண்டறிதல்:
அத்துமீறலைக் கண்டறிவதற்கு இரண்டு வகையான அணுகுமுறைகள் பின்பற்றப் படுகின்றன:
(அ) புள்ளிவிவர அணுகுமுறை:
அனுமதி பெற்ற பயனர்களின் நடவடிக்கைகளைக் குறிப்பிட்ட காலத்துக்குத் தொடர்ந்து கண்காணித்துப் புள்ளி விவரங்களைச் சேகரித்து, ஒவ்வொரு பயனரும் செயல்படும் பாங்கினைக் குறித்து வைத்துக் கொண்டு, அதற்கு மாறான ஐயத்துக்குரிய செயல்பாடு நிகழும்போது, ஆய்வு செய்து அத்துமீறலைக் கண்டறிதல்.
(ஆ) விதிமுறை அணுகுமுறை:
பயனர்கள் மேற்கொள்ளும் முறையான செயல்பாடுகளுக்கான விதிமுறைகளை வகுத்துத் தொகுத்து வைத்துக் கொண்டு, விதிமுறையை மீறும் செயல்பாடுகளை ஆய்வு செய்து அத்துமீறலைக் கண்டறிதல்.
இவற்றுள், புள்ளிவிவர அணுகுமுறை ‘வேடதாரி’ வகையினரின் அத்துமீறலைக் கண்டறிய ஏதுவான அணுகுமுறையாகும். ஆனால் இம்முறையினால் ‘துரோகி’ வகையினரின் அத்துமீறலைக் கண்டறிவது கடினம். துரோகிகளைக் கண்டறிய விதிமுறை அணுகுமுறையே மிகவும் ஏற்றது. எனினும் பல்வகையான அத்துமீறல்களையும் கண்டறிந்து களைய இரண்டு வழிமுறைளும் இணைந்த அணுகுமுறையே உகந்தது. பெரும்பாலும் பல்பயனர் கணிப்பொறி முறைமைகளில் அனைத்துப் பயனர்களின் அனைத்துச் செயல்பாடுகளும், தணிக்கைக் கோப்பில் (Audit File) பதிவு செய்யப்படுகின்றன. பயனர் பெயர், செயல்பாடு, நிகழ்வு நேரம் ஆகியவை குறித்து வைக்கப்படுகின்றன. அத்துமீறல் களைக் கண்டறியத் தணிக்கைக் கோப்பின் ஏடுகள் பெரிதும் பயன்படுகின்றன.
(2) முன்தடுப்பு:
கணிப்பொறி முறைமைகளில் அனுமதி பெற்ற பயனர்கள் தம் கடவுச்சொல்லைத் தாமே தேர்ந்தெடுத்துக் கொள்ள அனுமதிக்கப்படுகின்றனர். பயனர்களில் பெரும்பாலோர் மிகவும் எளிதாக ஊகிக்கக் கூடிய அல்லது சற்றே முயன்று கண்டுபிடித்துவிடக்கூடிய கடவுச்சொல்லைத் தேர்ந்தெடுக்கின்றனர். பல்வேறு கணிப்பொறி முறைமைகளில் சேமிக்கப்பட்டுள்ள கடவுச்சொல் கோப்புகளை ஆய்வு செய்து குறைபாடுள்ள கடவுச்சொற்கள் எப்படிப்பட்டவை என்பதை ஆய்வாளர்கள் வரையறுத்துக் கூறியுள்ளனர்:
-
இரண்டு, மூன்று, நான்கு எழுத்துகளைக் கொண்ட சிறிய கடவுச்சொற்கள்.
-
பயனரின் பெயர், ஊர், மனைவி, குழந்தைகளின் பெயர், வாகன எண், பிறந்த நாள் மற்றும் தன்னைப்பற்றிய பிற விவரங்களைக் குறிப்பவை.
-
அகராதியில் உள்ள பேச்சு வழக்கில் அன்றாடம் புழங்குகிற சொற்கள்.
-
நாடு, நகர், நதி, மலை, தெய்வம், மொழி, நாள், மாதம், மரம், பூ, கனி, விலங்கு மற்றும் இவை போன்றவற்றைக் குறிக்கும் சிறப்புப்பெயர்கள்.
-
புகழ்பெற்ற தலைவர்கள், புராண, இதிகாச, இலக்கியப் பாத்திரங்கள், திரைப்படங்கள், திரைப்பட நடிகர், நடிகைகளின் பெயர்கள்.
-
மேற்கண்ட பெயர்களில் முதல் அல்லது கடைசி எழுத்து அல்லது முழுவதும் பெரிய எழுத்தில் அல்லது எழுத்துகள் முன்பின்னாக.
இதுபோன்ற கடவுச்சொற்களை மிகவும் எளிதாகக் கண்டறிந்துவிட முடியும் என்பதை பரிசோதனைகள் மூலம் நிரூபித்துக் காட்டியுள்ளனர். அத்துமீறிகள் திறன்மிக்க கணிப்பொறிகளில் கடவுச்சொல் உடைக்கும் நிரல்களை இரவு பகல் இயக்கிக் கடவுச்சொற்களைக் கண்டறிந்து விடுகின்றனர். இவ்வாறு கடவுச்சொல் களவாடப்படுவதே பெரும்பாலான அத்துமீறல்களுக்கு அடிப்படையாய் அமைகின்றது. எனவே கண்டறிய முடியாத கடவுச்சொற்களைத் அமைத்துக் கொள்வதே முன்தடுப்பு முறையாகும். அதிக எழுத்துகள், எண்கள், சிறப்புக் குறிகள் கொண்ட மிகநீண்ட கடவுச்சொற்களை வைத்துக் கொள்வது தீர்வாகாது. காரணம் அத்தகைய கடவுச்சொற்களைப் பயனர்கள் நினைவு வைத்துக் கொள்ள இயலாமல் போகும். இச்சிக்கலுக்கான தீர்வே ’கடவுச்சொல் மேலாண்மை’ ஆகும். அத்துமீறலுக்கு எதிரான சிறந்த முன்தடுப்பு நடவடிக்கையான கடவுச்சொல் மேலாண்மை பற்றி அடுத்துக் காண்போம்.
5.2.3 கடவுச்சொல் மேலாண்மை (Password Management)
கடவுச்சொல் மேலாண்மை என்பது உடைக்க முடியாத கடவுச்சொற்களைப் பயனர்கள் தேர்ந்தெடுக்கச் செய்வதற்கு முறைமை நிர்வாகி எடுக்கும் நடவடிக்கைகளைக் குறிக்கிறது. கடவுச்சொல் சிக்கல்களுக்குத் தீர்வாக நான்கு வகையான வழிமுறைகளை வல்லுநர்கள் பரிந்துரைக்கின்றனர்:
(1) பயனர்களைப் பயிற்றுவித்தல்:
ஊகிக்க முடியாத கடவுச்சொல்லின் முக்கியத் துவத்தைப் பயனருக்கு உணர்த்தி, வலுவான கடவுச்சொற்களைத் தேர்ந்தெடுக்க உதவிக் குறிப்புகளை வழங்கலாம். அதிக எண்ணிக்கையிலான பயனர்கள் பணியாற்றும் நிறுவனங்களிலும், அடிக்கடி ஆட்கள் மாறிக் கொண்டிருக்கும் நிறுவனங்களிலும் இவ்வழிமுறை பயன் தராது. மேலும் பெரும்பாலான பயனர்கள் ஆலோசனைகளை மதிப்பதில்லை. வலுவான கடவுச் சொல்லைத் தீர்மானிக்கும் திறமையும் இருப்பதில்லை. சொல்லை முன்பின்னாக வைத்துக் கொண்டாலோ, கடைசி எழுத்தைப் பெரிய எழுத்தாக வைத்துக் கொண்டாலோ கடவுச்சொல்லை ஊகிக்க முடியாது எனத் தவறாகக் கருதிக் கொள்கின்றனர்.
(2) கணிப்பொறி உருவாக்கும் கடவுச்சொற்கள்:
தற்போக்கு (Random) முறையில் எழுத்துகள், எண்கள், சிறப்புக் குறிகளைத் தேர்ந்தெடுத்து, கடவுச்சொற்களை கணிப்பொறி நிரல்மூலம் உருவாக்கச் செய்யலாம். ஆனால் இத்தகைய கடவுச்சொற்களை நினைவு வைத்துக் கொள்வது கடினம். எனவே பயனர்கள் அதை எழுதி வைத்துக் கொள்ள முயல்வர். கடவுச்சொல்லை எழுதி வைத்துக் கொள்வது எப்போதுமே ஆபத்தானது. பிறர் அறிந்து கொள்ள வாய்ப்பாகிவிடும். எனவெ கணிப்பொறி உருவாக்கும் கடவுச்சொற்களுக்குப் பயனர்களிடையே வரவேற்பில்லை என்பது கண்டறியப்பட்டுள்ளது.
(3) பிந்தைய பரிசோதிப்பு:
பயனர்களின் கடவுச்சொல் பட்டியலை அவ்வப்போது ’கடவுச்சொல் உடைப்பி’ (Password Cracker) நிரல்மூலம் ஆய்வுசெய்து, ஊகிக்க முடிகிற கடவுச்சொற்களைக் கண்டறிந்து நீக்கிவிட வேண்டும். அதுபற்றிய தகவலைப் பயனருக்கு அறிவித்துப் புதிய கடவுச் சொல்லைத் தேர்ந்தெடுக்கச் செய்ய வேண்டும். இந்த வழிமுறையிலும் குறைபாடு உள்ளது. கடவுச்சொற்களைக் கண்டறியும் வலிமைமிக்க ‘கடவுச்சொல் உடைப்பி’ நிரலானது, திறன்மிக்க கணிப்பொறிகளில் இரவு பகல் இடைவிடாது பல நாட்கள் இயங்க வேண்டியிருக்கும். உடைப்பாளிகளுக்கு அதுமட்டுமே நோக்கம் என்பதால் அவர்களால் இது இயலும். ஆனால் ஒரு நிறுவனம் அதன் நேரத்தையும் வளங்களையும் இவ்வாறு செலவிடுவது இயலாது.
(4) முன்கூட்டிய பரிசோதிப்பு:
வலுவான கடவுச்சொல் இவ்வாறு அமைய வேண்டும் என உதவிக் குறிப்பு வழங்கி, பயனரைத் தன் கடவுச்சொல்லைத் தேர்ந்தெடுக்க அனுமதிக்க வேண்டும். அவர் தனக்குரிய கடவுச்சொல்லைத் தேர்ந்தெடுத்தவுடன் அது ஊகிக்க முடியாத கடவுச்சொல்தானா என்பதைப் புத்திசாலியான நிரல் ஒன்றின் மூலம் பரிசோதிக்க வேண்டும். அது பலவீனமான கடவுச்சொல் எனில் அதனை நிராகரிக்க வேண்டும். வேறொரு கடவுச்சொல்லைத் தேர்ந்தெடுக்குமாறு பயனரைப் பணிக்க வேண்டும். எளிதில் உடைக்க முடியாத வலுவான கடவுச்சொற்களின் பட்டியலை வழங்கி, அவற்றுள் ஒன்றைத் தேர்ந்தெடுக்கச் செய்யலாம். பயனர் வலுவான கடவுச்சொல்லைத் தேர்ந்தெடுக்கும்வரை விடக்கூடாது.
மேற்கண்ட வழிமுறைகளுள் நான்காவது வழிமுறையே உகந்த வழிமுறையாகக் கருதப்படுகிறது. வலுவான கடவுச்சொல்லைப் பயனர் தேர்ந்தெடுக்குமாறு செய்ய இரண்டு அணுகுமுறைகள் பின்பற்றப்படுகின்றன.
(அ) விதிமுறை வலியுறுத்தல்:
கடவுச்சொல் குறைந்தது எட்டு எழுத்துகளைக் கொண்டிருக்க வேண்டும், அவற்றுள் முதல் எட்டு எழுத்துகள் குறைந்தது ஒரு பெரிய எழுத்து, ஒரு சிறிய எழுத்து, ஓர் எண், ஒரு சிறப்புக்குறி ஆகியவற்றைக் கொண்டிருக்க வேண்டும் என்கிற விதிமுறைகளை வலியுறுத்தலாம். பயனர் தேர்ந்தெடுக்கும் கடவுச்சொல் விதிமுறைப்படி இல்லையெனில் நிராகரிக்கலாம்.
(ஆ) பட்டியல் முறை:
எளிதில் ஊகிக்கக் கூடிய பலவீனமான கடவுச்சொற்களின் பட்டியலைத் தயாரித்து வைத்துக் கொண்டு, பயனர் தேர்ந்தெடுக்கும் கடவுச்சொல் அந்தப் பட்டியலில் இருக்கிறதா எனப் பரிசோதித்து, இருந்தால் அதனை நிராகரிக்கலாம். இதற்கான பட்டியல் மிகப் பெரிதாக இருப்பதுடன், அதில் தேடுவதற்கான நேரமும் அதிகம் என்பது இந்த அணுகுமுறையின் குறைபாடு.
எனவே விதிமுறை வலியுறுத்தல் அணுகுமுறையே தற்போது பெரும்பாலான கணிப்பொறி முறைமைகளில் நடைமுறைப்படுத்தப்படுகிறது.
-