கருவிகளின் இணையம் – பாதுகாப்புப் பிரச்னைகள் – பகுதி 19

ரவி நடராஜன் ஜூன் 19, 2016 No Comments

OWASP (Open Web Application Security Project) என்ற அமைப்புக் கருவி இணைய முயற்சிகளின் முக்கிய 10 பாதுகாப்பு பிரச்னைகளைப் பட்டியலிட்டுள்ளது:

  1. இணையத்துடன் பாதுகாப்பற்ற தொடர்பு (insecure web interface)
  2. இணையத்துடன் தொடர்பு கொள்ளும் பொழுது தேவைக்கு குறைவான உறுதிப்பாடு/சான்றளிப்பு (authentication)
  3. பாதுகாப்பற்ற வலையமைப்பு சேவைகள் (insecure web services)
  4. தரவுகள் அனுப்பப்படும்பொழுது சரியான மறைக்குறியாக்க முறைகள் பின்பற்றப்படுவதில்லை (insecure data transport)
  5. அந்தரங்க சமரசங்கள் (privacy compromises)
  6. மேக சேமிப்புகளில் சரியான பாதுகாப்பு அமைப்புகள் இல்லாதது (insecure cloud interface)
  7. திறன்பேசி இணையத் தொடர்பில் பாதுகாப்பற்ற முறைகள் (insecure mobile interfaces)
  8. பெரும்பாலும், பாதுகாப்பு அமைப்புகள் தேவைக்கேற்ப மாற்றியமைக்கும் வசதிகள் இல்லாமை – அதாவது, எல்லா விதப் பயன்பாட்டிற்கும் ஒரே முறைகளை திணிப்பது (limited security configurability)
  9. பயன்பாடுகள் மற்றும் நிலைப்பொருள்களின் பாதுகாப்பு போதுமானதாக இல்லை (insecure apps, firmware)
  10. அதிக கவனம் செலுத்தப்படாத பொருள் சார்ந்த பாதுகாப்பு (poor physical security)

விரிவாக, இந்தப் பிரச்னைகளை அலசுவோம்.

கருவிகளின் இணையப் பாதுகாப்புப் பிரச்னைகள் நம்முடைய இன்றைய அனுபவங்களிலிருந்து மாறுபட்டது. கருவி இணைய உலகின் தனிப்பட்ட விஷயங்கள் சில:

  1. உணர்விகள், மனித நடமாட்டம் இல்லாத இடங்களில் பொருத்தப் பட்டிருக்கும்
  2. உணர்விகள், சில முக்கிய பொது இடங்களில் பொருத்தப்பட்டிருக்கும்
  3. உணர்விகள், மற்ற சில கருவிகளைச் சார்ந்து இயங்கும்
  4. உணர்விகள், சில மனித/விலங்குகளின் உடலில் பொருத்தப் பட்டிருக்கலாம்
  5. நகரும் ஊர்த்திகளில், உணர்விகள் பொருத்தப்பட்டிருக்கலாம்
  6. உணர்விகள், கருவிகளின் முக்கிய தரவுகள் எங்கோ இன்னொரு நாட்டில், ஒரு மேக சேமிப்பில் சேமிக்கப்படலாம்

அலுவலகங்களின் வலையமைப்பில் தொடர்பு கொள்ளும் கணினிகளை வைத்துத்தான் நாம் மின்னணுவியல் பாதுகாப்புப் பற்றி முதலில் சிந்திக்கத் தொடங்கினோம்.  ஆரம்ப காலத்தில், அவை எங்கும் ஓடிப் போய்விடப் போவதில்லை என்பதால் ஓரளவிற்கு கடவுச்சொல் மையமான பாதுகாப்பு (password centric security) போதுமானதாக இருந்தது. மடிக்கணினிகள் வரத் தொடங்கியவுடன், இந்தப் பிரச்னை சற்று தீவிரமாகியது. கணினிகள் ஓரிடத்தில் இருக்கும் என்று சொல்ல முடியாது. ஆனால், எங்கோ அதன் சொந்தக்காரரின் பாதுகாப்பில் இருக்கும் என்று நம்பலாம். மடிக்கணினிகள் திருட்டுப் போனால் மட்டுமே கவலை. ஆரம்ப நாட்களில், மடிக்கணினிகள் அலுவலக மற்றும் இணையத்துடன் தொடர்பில்லாமல் இருந்தன. இவை இணையத்துடன் தொடர்பு கொள்ளத் தொடங்கியவுடன், மடிக்கணினியோ, மேஜைக் கணினியோ, எதுவாக இருந்தாலும், இணைய விஷமிகளால், கடத்தப்படும்/தாக்கப்படும் வாய்ப்பு அதிகரிக்கத் தொடங்கியது. இதைக் கடினமாக்க, நமக்கு கடுமையான பாதுகாப்பு வசதிகள் தேவைப்பட்டன. வெறும் கடவுச் சொல் சமாச்சாரங்கள் உதவாமல் போகவே, எல்லாத் தொடர்புகளையும் மறைகுறியாக்க முறைகள் மூலம் (encrypted communications) பாதுகாக்க வேண்டி வந்தது. பல வணிக மையங்களும், வங்கிகளும் இணையத்தை பயன்படுத்தத் தொடங்கியவுடன், இந்த முறைகளை மேலும் கடுமையாக்க வேண்டி வந்தது.

அடுத்தபடியாக, செல்பேசி, திறன்பேசி போன்ற கருவிகள், இந்தப் பிரச்னையை மேலும் கடினமாக்கின. இக்கருவிகள் எளிதில் திருடக் கூடியவை . விஷமிகள் கையில் சிக்கினால்,  மிகவும் அந்தரங்க விஷயங்கள் பல விஷமியின் கையில் எளிதில் சிக்க வாய்ப்புகள் உள்ளன. இப்படியிருந்தும், திறன்பேசி நுகர்வோரில் அதிக கவனமின்றி  இன்றும் ஒரு 75% பேர் இயங்கி வருகிறார்கள். குறைந்த பட்சம், இவற்றை இன்னாருடைய செல்பேசி/திறன்பேசி என்றாவது   எளிதில் சொல்ல முடியும். ஆனால், கருவிகளை இப்படிக் கூடச் சொல்ல முடியாது.

  1. ஆக, மிக முக்கியமான கருவி இணைய விஷயம் பொருள் சார்ந்த பாதுகாப்பு. இது physical security என்று அழைக்கப்படுகிறது.
  2. அடுத்தபடி மிகவும் முக்கியமான கருவி இணையப் பாதுகாப்பு விஷயம் மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பு. இது human layer of security. மனிதர்கள், விலங்குகளுடன் இணைக்கப்பட்டிருக்கும் கருவிகளின் பாதுகாப்பு இன்னொரு தனிப்பட்ட கருவி இணையப் பாதுகாப்பு சவால்
  3. மூன்றாவது கருவி இணையப் பாதுகாப்பு விஷயம், வலையமைப்புப் பாதுகாப்பு (network security). கருவி இணைய உலகில், கணினி, மற்றும் திறன்பேசி உலகைக் கட்டிலும் அதிக வலையமைப்புச் சிக்கல் இருப்பதால், இந்த பாதுகாப்பு விஷயம் மேலும் சிக்கலடைகிறது
  4. நான்காவது கருவி இணையப் பாதுகாப்பு விஷயம், பயன்பாட்டுப் பாதுகாப்பு (application security). கருவிகளின் பயன்பாட்டைக் கருவி இணைய உலகில் எந்த ஒரு மனிதரும் பயன்படுத்துவதில்லை. இதனால் உருவாகும் சிக்கல்கள் தனிப்பட்டவை
  5. ஐந்தாவது கருவி இணையப் பாதுகாப்பு விஷயம், கருவிப் பாதுகாப்பு. பொருள் சார்ந்த பாதுகாப்பைத் தாண்டி, கருவியின் பாதுகாப்பும் ஒரு மிக முக்கிய விஷயம்

Part19-Pic4

பொருள் சார்ந்த பாதுகாப்பு

எங்கு, எந்தக் கருவி மற்றும் உணர்வி நிறுவப்பட்டுள்ளது என்று ஜி.பி.எஸ். துல்லியத்துடன் செய்யப்பட வேண்டும். ஒரு ஆள் நடமாட்டமில்லாத இடத்தில் நிறுவப்பட்டுள்ள கருவியை எளிதில், செயலிழக்கச் செய்ய முடியும். மேலும் அதை விஷமிகளால் மாற்றவும் முடியும். திருடவும் முடியும். பொது இடங்களில் திருடுவது சற்று கடினமாக இருந்தாலும், மற்ற விஷமச் செயல்கள் எளிதில் செய்ய முடியும்.

  1. உதாரணத்திற்கு, எத்தனை வண்டிகள் ஒரு சந்திப்பிற்கு வருகின்றன என்பதை அளக்க ஒரு உணர்வி நிறுவப்பட்டுள்ளது என்று வைத்துக் கொள்வோம். இதை விஷமிகள் உடைத்து விடலாம், ஏன் திருடக் கூடச் செய்யலாம். அல்லது இன்னொரு அதிக வாகன போக்குவரத்து இல்லாத இடத்தில் நிறுவலாம். இந்த மூன்றில் எது நடந்தாலும் பல கணக்குகள் தப்பாகி விடும்
  2. நதியின் பிராணவாயு, காற்றளவு எத்தனை என்று அளக்கும் உணர்வி எங்கோ மலையில் யாருமில்லா இடத்தில் நிறுவப்படலாம். காட்டாற்று வெள்ளம், மிருகங்கள், திருட்டு என்று பல விஷயங்களால் காணாமல் போகலாம். மேலும் எளிதில் இதன் உணர்வியை மாற்றி, நீரில் விஷத்தன்மை கூடி விட்டதாக பீதி ஏற்படுத்துவது எளிது

எப்படி இத்தகையப் பிரச்னைகளைத் தீர்ப்பது?

  1. கருவிகளைக் கண்காணிக்க பாதுகாப்பு காமிராக்கள் அவசியம்
  2. கருவிகளின் கூடு, (sensor cage) எளிதில் விஷமிகளால் கேடு விளைவிக்க முடியாதபடி தயாரிக்கப்பட வேண்டும்
  3. கருவிகள், இடம் பெயர்ந்தால் வேலை செய்யாமல் செயலிழக்க வேண்டும்
  4. எளிதில் மின்னணு பாகங்களை மாற்றி அமைத்துச் செயல்பட விடாமல், அதன் வன்பொருளிலேயே மறைக்குறியாக்க முறைகள் செயல்படுத்தப்பட வேண்டும்

மனிதப் பயன்பாடு சார்ந்த பாதுகாப்பு

ஒரு பெரிய நிறுவனம், கருவி இணைய முயற்சிகளில் இறங்குகிறது என்று வைத்துக் கொள்வோம்.  பல தரப்பட்டவர்கள் இந்த முயற்சியில் பங்கு கொள்வார்கள்.

  1. நிறுவனத்தில் பணி புரியும் பலதரப்பட்ட ஊழியர்கள் (employees)
  2. நிறுவனத்துடன் வியாபாரம் செய்யும் வாடிக்கையாளர்கள் (customers)
  3. நிறுவனத்திற்கு பொருட்களை/சேவைகளை வழங்கும் நிறுவனங்கள் (suppliers)
  4. சில சிறிய/பெரிய வேலைகளைச் செய்யும் ஒப்பந்தக்காரர்கள் (contractors)

இந்த முயற்சியில் ஒன்று அல்லது பல தரப்பட்டவர்கள் பங்கேற்பார்கள். ஒவ்வொருவரின் பாதுகாப்புப் புரிதல் வேறு, பயன்பாட்டுக் குறிக்கோள் வேறு. இந்த மனிதச் சங்கிலியில் எங்கு வேண்டுமானாலும் பாதுகாப்புக் குறைபாடு ஏற்படலாம். இதில் எவரோ ஒருவர் பாதுகாப்பற்ற புளூடூத் மூலம் தொடர்பு கொண்டாலோ, அல்லது தரவுகளை மேலேற்றினாலோ இந்தக் கருவி இணைய முயற்சிக்கு பிரச்னைதான். தொழில்நுட்பப் பிரச்னைகளை விட மிகவும் சிக்கலானது இந்தப் பிரச்னை. இந்தப் பாதுகாப்புக் குறைபாடு அந்த நிறுவனத்தின் மிகப் பெரிய வாடிக்கையாளர் அல்லது ஒப்பந்தக்காரரிடமிருந்து வந்தால், அதைச் சமாளிப்பது மிகவும் கடினம்.

பெரிய கருவி இணைய முயற்சியில் ஈடுபடும் எந்த நிறுவனமும், சில விஷயங்களில் கறாராக இருப்பது மிகவும் அவசியம்:

  1. தொடர்புடைய (கருவி இணைய முயற்சியுடன்) மற்ற நிறுவனங்கள் தக்க பாதுகாப்பு நியமங்களைப் பின்பற்றினாலே பயன்பாடுகளைப் பயன்படுத்த முடியும் என்ற நிபந்தனையை முன் வைக்க வேண்டும்
  2. நிறுவனத்தின் ஒவ்வோர் அலுவலகத்திலும், தொழிற்சாலையிலும், ஆராய்ச்சி மையத்திலும்  தக்க பாதுகாப்பிற்காக சிலர் நியமிக்கப்பட வேண்டும். எங்கு சமரசம் நடந்தாலும் உடனே அறிய இது ஒன்றுதான் வழி
  3. பயன்பாட்டாளர்கள் அனைவருக்கும் பாதுகாப்பு சமரசங்களைப் பற்றிய அடிப்படை அறிவு புகட்டப் பட வேண்டும்

இத்தகைய முயற்சிகளை மேற்கொள்ளாததால், கருவி இணைய வசீகரத்தால் கவரப்பட்டு களத்தில் குதித்த பல நிறுவனங்கள் கையைப் பிசைந்து கொண்டு நிற்கின்றன.

வலையமைப்புப் பாதுகாப்பு

ஒரு வலையமைப்பிற்குள் ஊடுருவ பல வழிகள் இருந்தாலும் அதில் மிகவும் எளிதான வழி, மனிதர்களின்  முன் இல்லாத, கருவி அல்லது உணர்வி என்பது தெளிவு. ஒரு கருவியைக் கைப்பற்றினால், மேலும் புதிய வழிகள் மூலம் ஒரு வலையமைப்பிற்குள் புகுந்து விஷமம் செய்வது எளிது. வழக்கமான ஒரு வலையமைப்பில் உள்ள ஒரு கணினியைக் கைப்பற்றி மேலும் பல கணினிகளுக்கு, சேமிப்புக்கு தீங்கு விளைவிப்பது என்பது இன்றைய உலகில் சாத்தியம். கருவிகள் மூலம் புதிய முறைகளில் எதிர்பாராத தரவுகள், அல்லது மற்ற கருவிகள் பற்றிய தவறான தகவல்கள் என்று பல விதத்திலும் தொந்திரவு கொடுக்க இயலும்.

பொதுவாக எந்த ஒரு வலையமைப்பிற்கும் ஃபயர்வால் (firewall)  என்ற ஒரு மென்பொருள் அமைப்பு உண்டு. இன்னும் பிரத்யேகமான மென்பொருள்கள், வலையமைப்பிற்குள் வரும் ஒவ்வொரு தரவுப் பொட்டலத்தையும் ஆராய்ந்து, அதில் விஷமக் குறிக்கோள் இருக்கிறதா என்று முடிவு செய்ய இயலும். ஆனால், கருவிகளிலிருந்து வரும் தரவுப் பொட்டலங்களில் இந்த அணுகுமுறை செல்லாது. ஏனென்றால், விஷமத் தரவுப் பொட்டலங்களிலிருந்து (mischievous data packets) எந்த விஷமக் குறிக்கோளையும் கண்டுபிடிக்க முடியாது. ஒரு சந்திப்பில் இருக்கும் வாகனங்களை எண்ணும் கருவி கடத்தப்பட்டால், அதிலிருந்து தவறான எண்ணிக்கை வந்தால், அதை வைத்து ஒன்றும் செய்ய முடியாது. உதாரணத்திற்கு, எப்பொழுதுமே இரண்டு வாகனங்கள் வருவதாக அது சொல்லி வந்தால், அதில் உள்ள விஷமத்தை கண்டுபிடிக்க முடியாது. ஏனெனில், அதிகாலை 3 மணிக்கு,  இரண்டு வாகனங்கள் அந்தச் சந்திப்பில் கடந்தால், அது சரியான எண்ணிக்கைதானே.

இதையும் தாண்டி, துறைகள் திறந்திருக்கிறதா (open ports) என்றும் கண்காணிக்க வேண்டும். மேலும், ஒவ்வொரு கருவியின் அடையாளமும் கண்காணிக்கப்பட வேண்டும். கருவி இணைய விஷயத்தில், கருவி அடையாளம் என்பது ஒரு சிக்கலான விஷயம். ஏனெனில், எல்லா கருவிகளும் ஒரு கணினி தரவு மையத்திற்குத் தரவுகள் அனுப்புவதில்லை. பல அருகாமையில் இருக்கும் கருவிகளுக்கு, ஒரு இணையத் தொடர்பு மின்பரப்பி/வாங்கி (electronic transceiver) செய்கிறது என்று முன் பகுதிகளில் பார்த்தோம். முறைகேடாக ஊடுருவி மாற்றப்பட்ட ஒரு கருவியிடமிருந்து மின்பரப்பி/வாங்கி எந்தத் தரவையும் அனுப்ப/வாங்கக் கூடாது. இது மிக முக்கிய பாதுகாப்புத் தடுப்பு முறை.

கருவிகள் அனுப்பும் தரவுகள் ரகசியமானதாக இல்லாவிட்டாலும், அவை மறைக்குறியாக்க முறைகள் பயன்படுத்தப்பட வேண்டும். எங்கு கம்பியில்லாத் தொடர்பு இருந்தாலும் WPA முறைகள் பின்பற்றப்பட வேண்டும்.

இவை யாவும் தெரிந்தும் பல தயாரிப்பாளர்கள் தங்களது விலையை வசீகரமாக்குவதற்காக பாதுகாப்பைக் கோட்டை விடத் தயங்குவதில்லை.

Part19-Pic6

பயன்பாட்டுப் பாதுகாப்பு

இதுவரை நாம் பார்த்த பலவகை கருவி இணையப் பயன்பாடுகளிலிருந்து இது எவ்வளவு விரிவான  விஷயம் என்று தெளிவாகியிருக்கும். உதாரணத்திற்கு,

  • ஒரு அணிக்கருவியிலிருந்து மிகவும் சீரியஸான நோயாளியின் உடல்நிலை பற்றிய தரவுகள் அவருக்கு உதவ வந்த முதலுதவி உதவியாளருக்கு (paramedics) எந்த விதப் பாதுகாப்புடன் மாற்றப்படுகிறது? அதே போல, முதலுதவி வண்டியிலிருந்து மருத்துவமனையில் உள்ள மருத்துவருக்கு எந்த விதப் பாதுகாப்புடன் மாற்றப்படுகிறது? இரண்டும் உயிர்காக்க உதவும் முக்கிய வழிகள். ஆனால், பயன்பாட்டுப் பாதுகாப்பு என்பது மிகவும் முக்கியமான விஷயம். தவறான கைகளில் இந்த விஷயம் சிக்கினால், இதன் விளைவுகள் விபரீதமாகிவிடும்.
  • ஒரு முக்கிய சாலைச் சந்திப்பில் நிறுவப்பட்டுள்ள காமிராவின் தரவு போக்குவரத்துத் துறைக்கு மட்டுமே பயன்பட வேண்டும்.  குற்றவாளிகளின் கையில் இந்த காமிராவின் வீடியோ தரவு சிக்கினால், அதன் பயனே வேறாகிவிடும்
  • இந்தத் தொடரின் ஆரம்பத்தில் நாம் பார்த்த காரின் சகல விஷயங்களையும் இணையம் மூலம் விஷமிகள் தங்கள் கட்டுப்பாட்டிற்குள் கொண்டு வந்தால், ஓட்டுனர்கள் கதி என்னாவது?
  • ஒருவருடைய உடலுக்குள் பொருத்தப்பட்டுள்ள கருவிக்கு கட்டளைகள் எங்கிருந்து வர வேண்டும்? உதாரணத்திற்கு, இதய முடுக்கி (pacemaker) என்ன இணையத்துடன் இணைக்க வேண்டிய விஷயமா?
  • ஒரு மருந்து நிறுவனம், மருந்து செலுத்தும் பம்புகள் பற்றிய முக்கிய அறிக்கையை தகுந்த நோயாளிகளுக்குப் பாதுகாப்பாக, மருந்தாளுனர் (pharmacist) மூலம் கொண்டு சேர்ப்பது முக்கியம்.  தவறான கைகளில் இந்த விஷயம் சிக்கினால், நோயாளியின் உடல்நலம் மட்டுமல்ல, உயிருக்கே ஆபத்து வரலாம்
  • குழந்தைகளைக் கண்காணிக்க உதவும் பல அணிக் கருவிகளில் சரியான பாதுகாப்பு இல்லையேல், அது கண்காணிக்கப்படும் குழந்தைக்கே ஆபத்தாகிவிடும்
  • எல்லாவற்றையும் படம் எடுக்கும் திறன்பேசி கலாச்சாரம் நம்மில் மிகவும் பரவியுள்ளது. பல புதிய கருவிகள் இந்த பலவீனத்தைப் பயன்படுத்தி தேவையோ இல்லையோ, ஒரு காமிராவையும் அள்ளி வீசுகிறார்கள். இதனால், பலரின் அந்தரங்கம் சமரசப்படுத்தப்படுகிறது. அத்துடன், இத்தகைய படங்கள் தவறான நபர் கையில் சிக்கினால், விளைவுகள் மோசமாகவே இருக்கும்

இப்படி, பயன்பாடுகள் மாறுபட்டாலும், பாதுகாப்பு என்பது மிகவும் கவனமாக இருக்க வேண்டிய விஷயம். சற்று தவறினால் கூட விளைவுகள் மிகவும் மோசமாக இருக்கும். பயன்பாடுகள் இந்த தொழில்நுட்பத்தின் நல்முகத்தை மட்டுமே வெளிச்சம் போட்டுக் காட்டுகின்றன. பயன்பாட்டாளர்கள் முக்கியமாக, எந்த ஒரு கருவி இணையப் பயன்பாட்டையும் ஒரு சந்தேகத்துடனே அணுக வேண்டும். எங்கு, எந்த வகையான சமரசம் செய்யப்பட்டுள்ளது என்பதை மிகவும் ஆராய்ந்துதான் இவ்வகை தொழில்நுட்பங்களை ஆதரிக்க வேண்டும். பயன்பாட்டாளர்கள் மாறாதவரை, பயன்பாடுகளை உருவாக்குபவர்கள், பாதுகாப்பு சமரசங்களை மறைக்கத்தான் செய்வார்கள். பயன்பாட்டாளர்கள், வாங்கும் முன் கேட்க வேண்டிய சில கேள்விகள்:

  1. எப்படித் திறன்பேசி, கருவியுடன் தொடர்பு கொள்ளும்? அதன் பாதுகாப்பு பலவீனங்கள் என்ன?
  2. எப்படிக் கருவி, இணையத்துடன் தொடர்பு கொள்ளும்?
  3. பொது இணைய மையங்களிலிருந்து (WiFi Hotspot) எப்படி இந்தக் கருவியுடன் தொடர்பு நடக்கிறது?
  4. திறன்பேசியின் புளூடூத் இணைப்பின் மூலம், எங்கெல்லாம் கருவியோடு தொடர்பு கொள்ளக் கூடாது?
  5. கருவியை இன்னொருவர் (நண்பர், உறவினர்) எப்படிப் பாதுகாப்பாக சில நாட்கள் பயன்படுத்தலாம்?
  6. கருவியுடன் தொடர்பு மறைக்குறியாக்க முறையில் நடக்கிறதா? அப்படியென்றால், மறைக்குறியாக்க முறையின் பலம் (encryption strength) என்ன?
  7. இணையத்தில் சேமித்து வைக்கப்படும் தரவுகள் மறைக்குறியாக்க முறையில் நடக்கிறதா? அப்படியென்றால், மறைக்குறியாக்க முறையின் பலம் (encryption strength) என்ன?
  8. கருவி பழுதானல், அதை எப்படி அப்புறப்படுத்துவது? நாம் பல ஆண்டுகளாக, வன்தட்டு தேக்கிகளை (hard drives) சரியான முறையில் அப்புறப்படுத்துவதை அலட்சியம் செய்து வருகிறோம். இன்று, நம் அந்தரங்கத்தின் மீதான பல அத்து மீறல்களுக்கு வழி வகுப்பது இந்த மனப்போக்குதானே தவிர, கருவிகள் அல்ல

கருவிப் பாதுகாப்பு

கருவிகளின் பொருள் சார்ந்த பாதுகாப்பு தவிர மிக முக்கியப் பாதுகாப்பு பிரச்னை, கருவியின் நிலைப்பொருளை (firmware) எப்படி மாற்றத்திற்கேற்பப் புதுப்பிப்பது என்பது. பல நூறு கருவிகள் ஒரு அமைப்பின் கீழ் இருந்தால், அவை இருக்கும் ஒவ்வொரு இடத்திற்கும் சென்று புதுப்பிப்பது என்பது இயலாத ஒன்று. உதாரணத்திற்கு, ஒரு சுரங்க நிறுவனத்தின் சுரங்கங்கள் ஆள் நடமாட்டமில்லாத இடங்களில் பனி மூடப்பட்ட நிலையில் இருக்கலாம். அங்குள்ள ஒரு கருவியின் நிலைப்பொருளைப் புதுப்பிக்க ஒருவரை அனுப்பினால், கருவியின் விலையை விட அதிகம் செலவாகும். புதுப்பிப்பதற்காக, சில துறைகளைத் திறந்து வைத்தாலும், விஷமிகள் கையில் எளிதில் கருவி அகப்பட்டு விடும். இவ்வகை நிலைப்பொருளைப் புதுப்பிப்பது, என்பது பல அடுக்கு பாதுகாப்பு உடைய விஷயமாக இருக்க வேண்டும். திறந்த துறைக்குள் நுழைய மின்பரப்பி/வாங்கி வழியாகத்தான் செல்ல வேண்டியபடி வடிவமைக்க வேண்டும். மேலும், இந்த நிலைப்பொருளை நிறுவ கடவுச்சொல் மற்றும் சில விசேடத் தகுதிகள் இருந்தால் மட்டுமே முடிய வேண்டும்.

புளூடூத் இணைப்பு எங்கிருந்தாலும், அதன் அடிப்படை பின்னை மாற்ற வேண்டும். இந்த ஒரு செயல், பல வகை அடிப்படைத் தாக்குதல்களிலிருந்து தப்பிக்க வழி செய்யும்.

பொதுவாக, கடவுச்சொல் அமைப்பு கடுமையாக்கப்பட வேண்டும். சும்மா, 1234 போன்ற கடவுச்சொல்கள் அனுமதிக்கப்படக் கூடாது.

கருவிகளின் பாதுகாப்பு விஷயத்தில் உள்ள ஒரு மிகப் பெரிய சவால், கருவியிலேயே உள்ளது. மறைக்குறியாக்க முறைகளை பின்பற்ற, மிக அதிக சக்தி வாய்ந்த செயலிகள் தேவை. அத்துடன் சக்தி வாய்ந்த செயலிகள் ஏராளமான மின்கலன் சக்தியையும் உறிஞ்சி விடும். சக்தி வாய்ந்த செயலிகளைப் பயன்படுத்தினால், விலையும் கூடிவிடும். இதனால், விலையை வசீகரமாக்குவதற்காக பல தயாரிப்பாளர்களும் பாதுகாப்பு சமரசங்களை செய்த வண்ணம் இருக்கிறார்கள். இன்னும் சில ஆண்டுகளில், கருவிகளில் பயன்படும் செய்லிகளின் சக்தியும் கூடி, விலையும் குறையும் என்று நம்புவோம்.

அடுத்த பகுதியில், கருவிகளின் இணையப் பாதுகாப்பு எப்படி இருக்க வேண்டும் என்று பார்ப்போம். உடனே இது செயலாக்கப்படாவிட்டாலும், இதற்கான முயற்சிகள் இன்று தொடங்கியுள்ளது, நல்ல விஷயம்.

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.