kamagra paypal


முகப்பு » கணினித் துறை, தொழில்நுட்பம்

கருவிகளின் இணையம் – பாதுகாப்புப் பிரச்னைகள் – பகுதி 19

OWASP (Open Web Application Security Project) என்ற அமைப்புக் கருவி இணைய முயற்சிகளின் முக்கிய 10 பாதுகாப்பு பிரச்னைகளைப் பட்டியலிட்டுள்ளது:

  1. இணையத்துடன் பாதுகாப்பற்ற தொடர்பு (insecure web interface)
  2. இணையத்துடன் தொடர்பு கொள்ளும் பொழுது தேவைக்கு குறைவான உறுதிப்பாடு/சான்றளிப்பு (authentication)
  3. பாதுகாப்பற்ற வலையமைப்பு சேவைகள் (insecure web services)
  4. தரவுகள் அனுப்பப்படும்பொழுது சரியான மறைக்குறியாக்க முறைகள் பின்பற்றப்படுவதில்லை (insecure data transport)
  5. அந்தரங்க சமரசங்கள் (privacy compromises)
  6. மேக சேமிப்புகளில் சரியான பாதுகாப்பு அமைப்புகள் இல்லாதது (insecure cloud interface)
  7. திறன்பேசி இணையத் தொடர்பில் பாதுகாப்பற்ற முறைகள் (insecure mobile interfaces)
  8. பெரும்பாலும், பாதுகாப்பு அமைப்புகள் தேவைக்கேற்ப மாற்றியமைக்கும் வசதிகள் இல்லாமை – அதாவது, எல்லா விதப் பயன்பாட்டிற்கும் ஒரே முறைகளை திணிப்பது (limited security configurability)
  9. பயன்பாடுகள் மற்றும் நிலைப்பொருள்களின் பாதுகாப்பு போதுமானதாக இல்லை (insecure apps, firmware)
  10. அதிக கவனம் செலுத்தப்படாத பொருள் சார்ந்த பாதுகாப்பு (poor physical security)

விரிவாக, இந்தப் பிரச்னைகளை அலசுவோம்.

கருவிகளின் இணையப் பாதுகாப்புப் பிரச்னைகள் நம்முடைய இன்றைய அனுபவங்களிலிருந்து மாறுபட்டது. கருவி இணைய உலகின் தனிப்பட்ட விஷயங்கள் சில:

  1. உணர்விகள், மனித நடமாட்டம் இல்லாத இடங்களில் பொருத்தப் பட்டிருக்கும்
  2. உணர்விகள், சில முக்கிய பொது இடங்களில் பொருத்தப்பட்டிருக்கும்
  3. உணர்விகள், மற்ற சில கருவிகளைச் சார்ந்து இயங்கும்
  4. உணர்விகள், சில மனித/விலங்குகளின் உடலில் பொருத்தப் பட்டிருக்கலாம்
  5. நகரும் ஊர்த்திகளில், உணர்விகள் பொருத்தப்பட்டிருக்கலாம்
  6. உணர்விகள், கருவிகளின் முக்கிய தரவுகள் எங்கோ இன்னொரு நாட்டில், ஒரு மேக சேமிப்பில் சேமிக்கப்படலாம்

அலுவலகங்களின் வலையமைப்பில் தொடர்பு கொள்ளும் கணினிகளை வைத்துத்தான் நாம் மின்னணுவியல் பாதுகாப்புப் பற்றி முதலில் சிந்திக்கத் தொடங்கினோம்.  ஆரம்ப காலத்தில், அவை எங்கும் ஓடிப் போய்விடப் போவதில்லை என்பதால் ஓரளவிற்கு கடவுச்சொல் மையமான பாதுகாப்பு (password centric security) போதுமானதாக இருந்தது. மடிக்கணினிகள் வரத் தொடங்கியவுடன், இந்தப் பிரச்னை சற்று தீவிரமாகியது. கணினிகள் ஓரிடத்தில் இருக்கும் என்று சொல்ல முடியாது. ஆனால், எங்கோ அதன் சொந்தக்காரரின் பாதுகாப்பில் இருக்கும் என்று நம்பலாம். மடிக்கணினிகள் திருட்டுப் போனால் மட்டுமே கவலை. ஆரம்ப நாட்களில், மடிக்கணினிகள் அலுவலக மற்றும் இணையத்துடன் தொடர்பில்லாமல் இருந்தன. இவை இணையத்துடன் தொடர்பு கொள்ளத் தொடங்கியவுடன், மடிக்கணினியோ, மேஜைக் கணினியோ, எதுவாக இருந்தாலும், இணைய விஷமிகளால், கடத்தப்படும்/தாக்கப்படும் வாய்ப்பு அதிகரிக்கத் தொடங்கியது. இதைக் கடினமாக்க, நமக்கு கடுமையான பாதுகாப்பு வசதிகள் தேவைப்பட்டன. வெறும் கடவுச் சொல் சமாச்சாரங்கள் உதவாமல் போகவே, எல்லாத் தொடர்புகளையும் மறைகுறியாக்க முறைகள் மூலம் (encrypted communications) பாதுகாக்க வேண்டி வந்தது. பல வணிக மையங்களும், வங்கிகளும் இணையத்தை பயன்படுத்தத் தொடங்கியவுடன், இந்த முறைகளை மேலும் கடுமையாக்க வேண்டி வந்தது.

அடுத்தபடியாக, செல்பேசி, திறன்பேசி போன்ற கருவிகள், இந்தப் பிரச்னையை மேலும் கடினமாக்கின. இக்கருவிகள் எளிதில் திருடக் கூடியவை . விஷமிகள் கையில் சிக்கினால்,  மிகவும் அந்தரங்க விஷயங்கள் பல விஷமியின் கையில் எளிதில் சிக்க வாய்ப்புகள் உள்ளன. இப்படியிருந்தும், திறன்பேசி நுகர்வோரில் அதிக கவனமின்றி  இன்றும் ஒரு 75% பேர் இயங்கி வருகிறார்கள். குறைந்த பட்சம், இவற்றை இன்னாருடைய செல்பேசி/திறன்பேசி என்றாவது   எளிதில் சொல்ல முடியும். ஆனால், கருவிகளை இப்படிக் கூடச் சொல்ல முடியாது.

  1. ஆக, மிக முக்கியமான கருவி இணைய விஷயம் பொருள் சார்ந்த பாதுகாப்பு. இது physical security என்று அழைக்கப்படுகிறது.
  2. அடுத்தபடி மிகவும் முக்கியமான கருவி இணையப் பாதுகாப்பு விஷயம் மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பு. இது human layer of security. மனிதர்கள், விலங்குகளுடன் இணைக்கப்பட்டிருக்கும் கருவிகளின் பாதுகாப்பு இன்னொரு தனிப்பட்ட கருவி இணையப் பாதுகாப்பு சவால்
  3. மூன்றாவது கருவி இணையப் பாதுகாப்பு விஷயம், வலையமைப்புப் பாதுகாப்பு (network security). கருவி இணைய உலகில், கணினி, மற்றும் திறன்பேசி உலகைக் கட்டிலும் அதிக வலையமைப்புச் சிக்கல் இருப்பதால், இந்த பாதுகாப்பு விஷயம் மேலும் சிக்கலடைகிறது
  4. நான்காவது கருவி இணையப் பாதுகாப்பு விஷயம், பயன்பாட்டுப் பாதுகாப்பு (application security). கருவிகளின் பயன்பாட்டைக் கருவி இணைய உலகில் எந்த ஒரு மனிதரும் பயன்படுத்துவதில்லை. இதனால் உருவாகும் சிக்கல்கள் தனிப்பட்டவை
  5. ஐந்தாவது கருவி இணையப் பாதுகாப்பு விஷயம், கருவிப் பாதுகாப்பு. பொருள் சார்ந்த பாதுகாப்பைத் தாண்டி, கருவியின் பாதுகாப்பும் ஒரு மிக முக்கிய விஷயம்

Part19-Pic4

பொருள் சார்ந்த பாதுகாப்பு

எங்கு, எந்தக் கருவி மற்றும் உணர்வி நிறுவப்பட்டுள்ளது என்று ஜி.பி.எஸ். துல்லியத்துடன் செய்யப்பட வேண்டும். ஒரு ஆள் நடமாட்டமில்லாத இடத்தில் நிறுவப்பட்டுள்ள கருவியை எளிதில், செயலிழக்கச் செய்ய முடியும். மேலும் அதை விஷமிகளால் மாற்றவும் முடியும். திருடவும் முடியும். பொது இடங்களில் திருடுவது சற்று கடினமாக இருந்தாலும், மற்ற விஷமச் செயல்கள் எளிதில் செய்ய முடியும்.

  1. உதாரணத்திற்கு, எத்தனை வண்டிகள் ஒரு சந்திப்பிற்கு வருகின்றன என்பதை அளக்க ஒரு உணர்வி நிறுவப்பட்டுள்ளது என்று வைத்துக் கொள்வோம். இதை விஷமிகள் உடைத்து விடலாம், ஏன் திருடக் கூடச் செய்யலாம். அல்லது இன்னொரு அதிக வாகன போக்குவரத்து இல்லாத இடத்தில் நிறுவலாம். இந்த மூன்றில் எது நடந்தாலும் பல கணக்குகள் தப்பாகி விடும்
  2. நதியின் பிராணவாயு, காற்றளவு எத்தனை என்று அளக்கும் உணர்வி எங்கோ மலையில் யாருமில்லா இடத்தில் நிறுவப்படலாம். காட்டாற்று வெள்ளம், மிருகங்கள், திருட்டு என்று பல விஷயங்களால் காணாமல் போகலாம். மேலும் எளிதில் இதன் உணர்வியை மாற்றி, நீரில் விஷத்தன்மை கூடி விட்டதாக பீதி ஏற்படுத்துவது எளிது

எப்படி இத்தகையப் பிரச்னைகளைத் தீர்ப்பது?

  1. கருவிகளைக் கண்காணிக்க பாதுகாப்பு காமிராக்கள் அவசியம்
  2. கருவிகளின் கூடு, (sensor cage) எளிதில் விஷமிகளால் கேடு விளைவிக்க முடியாதபடி தயாரிக்கப்பட வேண்டும்
  3. கருவிகள், இடம் பெயர்ந்தால் வேலை செய்யாமல் செயலிழக்க வேண்டும்
  4. எளிதில் மின்னணு பாகங்களை மாற்றி அமைத்துச் செயல்பட விடாமல், அதன் வன்பொருளிலேயே மறைக்குறியாக்க முறைகள் செயல்படுத்தப்பட வேண்டும்

மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பு

ஒரு பெரிய நிறுவனம், கருவி இணைய முயற்சிகளில் இறங்குகிறது என்று வைத்துக் கொள்வோம்.  பல தரப்பட்டவர்கள் இந்த முயற்சியில் பங்கு கொள்வார்கள்.

  1. நிறுவனத்தில் பணி புரியும் பலதரப்பட்ட ஊழியர்கள் (employees)
  2. நிறுவனத்துடன் வியாபாரம் செய்யும் வாடிக்கையாளர்கள் (customers)
  3. நிறுவனத்திற்கு பொருட்களை/சேவைகளை வழங்கும் நிறுவனங்கள் (suppliers)
  4. சில சிறிய/பெரிய வேலைகளைச் செய்யும் ஒப்பந்தக்காரர்கள் (contractors)

இந்த முயற்சியில் ஒன்று அல்லது பல தரப்பட்டவர்கள் பங்கேற்பார்கள். ஒவ்வொருவரின் பாதுகாப்புப் புரிதல் வேறு, பயன்பாட்டுக் குறிக்கோள் வேறு. இந்த மனிதச் சங்கிலியில் எங்கு வேண்டுமானாலும் பாதுகாப்புக் குறைபாடு ஏற்படலாம். இதில் எவரோ ஒருவர் பாதுகாப்பற்ற புளூடூத் மூலம் தொடர்பு கொண்டாலோ, அல்லது தரவுகளை மேலேற்றினாலோ இந்தக் கருவி இணைய முயற்சிக்கு பிரச்னைதான். தொழில்நுட்பப் பிரச்னைகளை விட மிகவும் சிக்கலானது இந்தப் பிரச்னை. இந்தப் பாதுகாப்புக் குறைபாடு அந்த நிறுவனத்தின் மிகப் பெரிய வாடிக்கையாளர் அல்லது ஒப்பந்தக்காரரிடமிருந்து வந்தால், அதைச் சமாளிப்பது மிகவும் கடினம்.

பெரிய கருவி இணைய முயற்சியில் ஈடுபடும் எந்த நிறுவனமும், சில விஷயங்களில் கறாராக இருப்பது மிகவும் அவசியம்:

  1. தொடர்புடைய (கருவி இணைய முயற்சியுடன்) மற்ற நிறுவனங்கள் தக்க பாதுகாப்பு நியமங்களைப் பின்பற்றினாலே பயன்பாடுகளைப் பயன்படுத்த முடியும் என்ற நிபந்தனையை முன் வைக்க வேண்டும்
  2. நிறுவனத்தின் ஒவ்வோர் அலுவலகத்திலும், தொழிற்சாலையிலும், ஆராய்ச்சி மையத்திலும்  தக்க பாதுகாப்பிற்காக சிலர் நியமிக்கப்பட வேண்டும். எங்கு சமரசம் நடந்தாலும் உடனே அறிய இது ஒன்றுதான் வழி
  3. பயன்பாட்டாளர்கள் அனைவருக்கும் பாதுகாப்பு சமரசங்களைப் பற்றிய அடிப்படை அறிவு புகட்டப் பட வேண்டும்

இத்தகைய முயற்சிகளை மேற்கொள்ளாததால், கருவி இணைய வசீகரத்தால் கவரப்பட்டு களத்தில் குதித்த பல நிறுவனங்கள் கையைப் பிசைந்து கொண்டு நிற்கின்றன.

வலையமைப்புப் பாதுகாப்பு

ஒரு வலையமைப்பிற்குள் ஊடுருவ பல வழிகள் இருந்தாலும் அதில் மிகவும் எளிதான வழி, மனிதர்களின்  முன் இல்லாத, கருவி அல்லது உணர்வி என்பது தெளிவு. ஒரு கருவியைக் கைப்பற்றினால், மேலும் புதிய வழிகள் மூலம் ஒரு வலையமைப்பிற்குள் புகுந்து விஷமம் செய்வது எளிது. வழக்கமான ஒரு வலையமைப்பில் உள்ள ஒரு கணினியைக் கைப்பற்றி மேலும் பல கணினிகளுக்கு, சேமிப்புக்கு தீங்கு விளைவிப்பது என்பது இன்றைய உலகில் சாத்தியம். கருவிகள் மூலம் புதிய முறைகளில் எதிர்பாராத தரவுகள், அல்லது மற்ற கருவிகள் பற்றிய தவறான தகவல்கள் என்று பல விதத்திலும் தொந்திரவு கொடுக்க இயலும்.

பொதுவாக எந்த ஒரு வலையமைப்பிற்கும் ஃபயர்வால் (firewall)  என்ற ஒரு மென்பொருள் அமைப்பு உண்டு. இன்னும் பிரத்யேகமான மென்பொருள்கள், வலையமைப்பிற்குள் வரும் ஒவ்வொரு தரவுப் பொட்டலத்தையும் ஆராய்ந்து, அதில் விஷமக் குறிக்கோள் இருக்கிறதா என்று முடிவு செய்ய இயலும். ஆனால், கருவிகளிலிருந்து வரும் தரவுப் பொட்டலங்களில் இந்த அணுகுமுறை செல்லாது. ஏனென்றால், விஷமத் தரவுப் பொட்டலங்களிலிருந்து (mischievous data packets) எந்த விஷமக் குறிக்கோளையும் கண்டுபிடிக்க முடியாது. ஒரு சந்திப்பில் இருக்கும் வாகனங்களை எண்ணும் கருவி கடத்தப்பட்டால், அதிலிருந்து தவறான எண்ணிக்கை வந்தால், அதை வைத்து ஒன்றும் செய்ய முடியாது. உதாரணத்திற்கு, எப்பொழுதுமே இரண்டு வாகனங்கள் வருவதாக அது சொல்லி வந்தால், அதில் உள்ள விஷமத்தை கண்டுபிடிக்க முடியாது. ஏனெனில், அதிகாலை 3 மணிக்கு,  இரண்டு வாகனங்கள் அந்தச் சந்திப்பில் கடந்தால், அது சரியான எண்ணிக்கைதானே.

இதையும் தாண்டி, துறைகள் திறந்திருக்கிறதா (open ports) என்றும் கண்காணிக்க வேண்டும். மேலும், ஒவ்வொரு கருவியின் அடையாளமும் கண்காணிக்கப்பட வேண்டும். கருவி இணைய விஷயத்தில், கருவி அடையாளம் என்பது ஒரு சிக்கலான விஷயம். ஏனெனில், எல்லா கருவிகளும் ஒரு கணினி தரவு மையத்திற்குத் தரவுகள் அனுப்புவதில்லை. பல அருகாமையில் இருக்கும் கருவிகளுக்கு, ஒரு இணையத் தொடர்பு மின்பரப்பி/வாங்கி (electronic transceiver) செய்கிறது என்று முன் பகுதிகளில் பார்த்தோம். முறைகேடாக ஊடுருவி மாற்றப்பட்ட ஒரு கருவியிடமிருந்து மின்பரப்பி/வாங்கி எந்தத் தரவையும் அனுப்ப/வாங்கக் கூடாது. இது மிக முக்கிய பாதுகாப்புத் தடுப்பு முறை.

கருவிகள் அனுப்பும் தரவுகள் ரகசியமானதாக இல்லாவிட்டாலும், அவை மறைக்குறியாக்க முறைகள் பயன்படுத்தப்பட வேண்டும். எங்கு கம்பியில்லாத் தொடர்பு இருந்தாலும் WPA முறைகள் பின்பற்றப்பட வேண்டும்.

இவை யாவும் தெரிந்தும் பல தயாரிப்பாளர்கள் தங்களது விலையை வசீகரமாக்குவதற்காக பாதுகாப்பைக் கோட்டை விடத் தயங்குவதில்லை.

Part19-Pic6

பயன்பாட்டுப் பாதுகாப்பு

இதுவரை நாம் பார்த்த பலவகை கருவி இணையப் பயன்பாடுகளிலிருந்து இது எவ்வளவு விரிவான  விஷயம் என்று தெளிவாகியிருக்கும். உதாரணத்திற்கு,

  • ஒரு அணிக்கருவியிலிருந்து மிகவும் சீரியஸான நோயாளியின் உடல்நிலை பற்றிய தரவுகள் அவருக்கு உதவ வந்த முதலுதவி உதவியாளருக்கு (paramedics) எந்த விதப் பாதுகாப்புடன் மாற்றப்படுகிறது? அதே போல, முதலுதவி வண்டியிலிருந்து மருத்துவமனையில் உள்ள மருத்துவருக்கு எந்த விதப் பாதுகாப்புடன் மாற்றப்படுகிறது? இரண்டும் உயிர்காக்க உதவும் முக்கிய வழிகள். ஆனால், பயன்பாட்டுப் பாதுகாப்பு என்பது மிகவும் முக்கியமான விஷயம். தவறான கைகளில் இந்த விஷயம் சிக்கினால், இதன் விளைவுகள் விபரீதமாகிவிடும்.
  • ஒரு முக்கிய சாலைச் சந்திப்பில் நிறுவப்பட்டுள்ள காமிராவின் தரவு போக்குவரத்துத் துறைக்கு மட்டுமே பயன்பட வேண்டும்.  குற்றவாளிகளின் கையில் இந்த காமிராவின் வீடியோ தரவு சிக்கினால், அதன் பயனே வேறாகிவிடும்
  • இந்தத் தொடரின் ஆரம்பத்தில் நாம் பார்த்த காரின் சகல விஷயங்களையும் இணையம் மூலம் விஷமிகள் தங்கள் கட்டுப்பாட்டிற்குள் கொண்டு வந்தால், ஓட்டுனர்கள் கதி என்னாவது?
  • ஒருவருடைய உடலுக்குள் பொருத்தப்பட்டுள்ள கருவிக்கு கட்டளைகள் எங்கிருந்து வர வேண்டும்? உதாரணத்திற்கு, இதய முடுக்கி (pacemaker) என்ன இணையத்துடன் இணைக்க வேண்டிய விஷயமா?
  • ஒரு மருந்து நிறுவனம், மருந்து செலுத்தும் பம்புகள் பற்றிய முக்கிய அறிக்கையை தகுந்த நோயாளிகளுக்குப் பாதுகாப்பாக, மருந்தாளுனர் (pharmacist) மூலம் கொண்டு சேர்ப்பது முக்கியம்.  தவறான கைகளில் இந்த விஷயம் சிக்கினால், நோயாளியின் உடல்நலம் மட்டுமல்ல, உயிருக்கே ஆபத்து வரலாம்
  • குழந்தைகளைக் கண்காணிக்க உதவும் பல அணிக் கருவிகளில் சரியான பாதுகாப்பு இல்லையேல், அது கண்காணிக்கப்படும் குழந்தைக்கே ஆபத்தாகிவிடும்
  • எல்லாவற்றையும் படம் எடுக்கும் திறன்பேசி கலாச்சாரம் நம்மில் மிகவும் பரவியுள்ளது. பல புதிய கருவிகள் இந்த பலவீனத்தைப் பயன்படுத்தி தேவையோ இல்லையோ, ஒரு காமிராவையும் அள்ளி வீசுகிறார்கள். இதனால், பலரின் அந்தரங்கம் சமரசப்படுத்தப்படுகிறது. அத்துடன், இத்தகைய படங்கள் தவறான நபர் கையில் சிக்கினால், விளைவுகள் மோசமாகவே இருக்கும்

இப்படி, பயன்பாடுகள் மாறுபட்டாலும், பாதுகாப்பு என்பது மிகவும் கவனமாக இருக்க வேண்டிய விஷயம். சற்று தவறினால் கூட விளைவுகள் மிகவும் மோசமாக இருக்கும். பயன்பாடுகள் இந்த தொழில்நுட்பத்தின் நல்முகத்தை மட்டுமே வெளிச்சம் போட்டுக் காட்டுகின்றன. பயன்பாட்டாளர்கள் முக்கியமாக, எந்த ஒரு கருவி இணையப் பயன்பாட்டையும் ஒரு சந்தேகத்துடனே அணுக வேண்டும். எங்கு, எந்த வகையான சமரசம் செய்யப்பட்டுள்ளது என்பதை மிகவும் ஆராய்ந்துதான் இவ்வகை தொழில்நுட்பங்களை ஆதரிக்க வேண்டும். பயன்பாட்டாளர்கள் மாறாதவரை, பயன்பாடுகளை உருவாக்குபவர்கள், பாதுகாப்பு சமரசங்களை மறைக்கத்தான் செய்வார்கள். பயன்பாட்டாளர்கள், வாங்கும் முன் கேட்க வேண்டிய சில கேள்விகள்:

  1. எப்படித் திறன்பேசி, கருவியுடன் தொடர்பு கொள்ளும்? அதன் பாதுகாப்பு பலவீனங்கள் என்ன?
  2. எப்படிக் கருவி, இணையத்துடன் தொடர்பு கொள்ளும்?
  3. பொது இணைய மையங்களிலிருந்து (WiFi Hotspot) எப்படி இந்தக் கருவியுடன் தொடர்பு நடக்கிறது?
  4. திறன்பேசியின் புளூடூத் இணைப்பின் மூலம், எங்கெல்லாம் கருவியோடு தொடர்பு கொள்ளக் கூடாது?
  5. கருவியை இன்னொருவர் (நண்பர், உறவினர்) எப்படிப் பாதுகாப்பாக சில நாட்கள் பயன்படுத்தலாம்?
  6. கருவியுடன் தொடர்பு மறைக்குறியாக்க முறையில் நடக்கிறதா? அப்படியென்றால், மறைக்குறியாக்க முறையின் பலம் (encryption strength) என்ன?
  7. இணையத்தில் சேமித்து வைக்கப்படும் தரவுகள் மறைக்குறியாக்க முறையில் நடக்கிறதா? அப்படியென்றால், மறைக்குறியாக்க முறையின் பலம் (encryption strength) என்ன?
  8. கருவி பழுதானல், அதை எப்படி அப்புறப்படுத்துவது? நாம் பல ஆண்டுகளாக, வன்தட்டு தேக்கிகளை (hard drives) சரியான முறையில் அப்புறப்படுத்துவதை அலட்சியம் செய்து வருகிறோம். இன்று, நம் அந்தரங்கத்தின் மீதான பல அத்து மீறல்களுக்கு வழி வகுப்பது இந்த மனப்போக்குதானே தவிர, கருவிகள் அல்ல

கருவிப் பாதுகாப்பு

கருவிகளின் பொருள் சார்ந்த பாதுகாப்பு தவிர மிக முக்கியப் பாதுகாப்பு பிரச்னை, கருவியின் நிலைப்பொருளை (firmware) எப்படி மாற்றத்திற்கேற்பப் புதுப்பிப்பது என்பது. பல நூறு கருவிகள் ஒரு அமைப்பின் கீழ் இருந்தால், அவை இருக்கும் ஒவ்வொரு இடத்திற்கும் சென்று புதுப்பிப்பது என்பது இயலாத ஒன்று. உதாரணத்திற்கு, ஒரு சுரங்க நிறுவனத்தின் சுரங்கங்கள் ஆள் நடமாட்டமில்லாத இடங்களில் பனி மூடப்பட்ட நிலையில் இருக்கலாம். அங்குள்ள ஒரு கருவியின் நிலைப்பொருளைப் புதுப்பிக்க ஒருவரை அனுப்பினால், கருவியின் விலையை விட அதிகம் செலவாகும். புதுப்பிப்பதற்காக, சில துறைகளைத் திறந்து வைத்தாலும், விஷமிகள் கையில் எளிதில் கருவி அகப்பட்டு விடும். இவ்வகை நிலைப்பொருளைப் புதுப்பிப்பது, என்பது பல அடுக்கு பாதுகாப்பு உடைய விஷயமாக இருக்க வேண்டும். திறந்த துறைக்குள் நுழைய மின்பரப்பி/வாங்கி வழியாகத்தான் செல்ல வேண்டியபடி வடிவமைக்க வேண்டும். மேலும், இந்த நிலைப்பொருளை நிறுவ கடவுச்சொல் மற்றும் சில விசேடத் தகுதிகள் இருந்தால் மட்டுமே முடிய வேண்டும்.

புளூடூத் இணைப்பு எங்கிருந்தாலும், அதன் அடிப்படை பின்னை மாற்ற வேண்டும். இந்த ஒரு செயல், பல வகை அடிப்படைத் தாக்குதல்களிலிருந்து தப்பிக்க வழி செய்யும்.

பொதுவாக, கடவுச்சொல் அமைப்பு கடுமையாக்கப்பட வேண்டும். சும்மா, 1234 போன்ற கடவுச்சொல்கள் அனுமதிக்கப்படக் கூடாது.

கருவிகளின் பாதுகாப்பு விஷயத்தில் உள்ள ஒரு மிகப் பெரிய சவால், கருவியிலேயே உள்ளது. மறைக்குறியாக்க முறைகளை பின்பற்ற, மிக அதிக சக்தி வாய்ந்த செயலிகள் தேவை. அத்துடன் சக்தி வாய்ந்த செயலிகள் ஏராளமான மின்கலன் சக்தியையும் உறிஞ்சி விடும். சக்தி வாய்ந்த செயலிகளைப் பயன்படுத்தினால், விலையும் கூடிவிடும். இதனால், விலையை வசீகரமாக்குவதற்காக பல தயாரிப்பாளர்களும் பாதுகாப்பு சமரசங்களை செய்த வண்ணம் இருக்கிறார்கள். இன்னும் சில ஆண்டுகளில், கருவிகளில் பயன்படும் செய்லிகளின் சக்தியும் கூடி, விலையும் குறையும் என்று நம்புவோம்.

அடுத்த பகுதியில், கருவிகளின் இணையப் பாதுகாப்பு எப்படி இருக்க வேண்டும் என்று பார்ப்போம். உடனே இது செயலாக்கப்படாவிட்டாலும், இதற்கான முயற்சிகள் இன்று தொடங்கியுள்ளது, நல்ல விஷயம்.

Series Navigationபாதுகாப்புப் பிரச்னைகள்கருவிகளின் இணையம் – பாதுகாப்புப் பிரச்னைகள்: பகுதி- 20

Leave your response!

Add your comment below, or trackback from your own site. You can also subscribe to these comments via RSS.

Be nice. Keep it clean. Stay on topic. No spam.

You can use these tags:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

This is a Gravatar-enabled weblog. To get your own globally-recognized-avatar, please register at Gravatar.

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.