அரசுகளின் இணையத்தளப் பாதுகாப்பு - சில கேள்விகள்
எத்தனை பேர் அந்தச் செய்தியைப் படித்தீர்கள் என்று தெரியாது. சமீபத்தில் ஸ்வீடனைச் சேர்ந்த டான் எகர்ஸ்டாட் என்பவர் பல்வேறு நாடுகளின் தூதரக ஈமெயில் அட்ரஸ் மற்றும் பாஸ்வேர்டுகளை இணையத்தில் வெளியிட்டு எல்லாரையும் அசத்தினார். அதில் இந்திய தூதரகங்களின் பாஸ்வேர்டுகளும், ஏன், டி.ஆர்.டி.ஓ என்றழைக்கப்படும் பாதுகாப்புத்துறையின் ஆராய்ச்சிக்கழகமும் இதற்கு விதிவிலக்கல்ல. இதில் கூத்து என்னவென்றால், இந்திய அம்பாசடர்களின் அனைத்து ஈமெயில் அட்ரஸ்களுக்கும் ஒரே 'மிகவும் கஷ்டமான' பாஸ்வேர்ட்தான் - 1234.
முதலில் டான் எகர்ஸ்டாட் மற்றும் அவரது செயல்களைப் பற்றி:
டான் எகர்ஸ்டாட் தன்னை கம்ப்யூட்டர் பாதுகாப்பு ஆய்வாளர் என்று கூறிக்கொள்கிறார். அதே சமயம், தனிப்பட்ட வேலைகளையும் ஏற்றுச் செய்பவராம் இவர். ஆகஸ்டு 30 அன்று தனது இணையத்தளத்தில் ஒரு லிஸ்டை வெளியிட்டார். அந்த லிஸ்ட் இதுதான். (நான் கட் & பேஸ்ட் செய்திருக்கலாம். அதில் சில சட்டச் சிக்கல்கள் உள்ளன). அவசியம் பார்க்கவேண்டும் என்றால், இங்கு சென்று பார்க்கலாம்.
தூதரகப் பாஸ்வேர்ட்கள் அடங்கிய வெப்ஸைட்
இதற்குப் பிறகு, பெரும் பரபரப்பு தொற்றிக்கொண்டது. இந்தியப் பத்திரிகைகள் சுவீடன் நாட்டு ஹேக்கர் (Hacker) இந்திய தூதரங்களையும் இராணுவ ஆராய்ச்சி நிலையத்தையும் ஹேக் செய்து விட்டதாக எழுதின.
உண்மையில் பல்வேறு நாடுகளின் தூதரகங்கள் ஹேக் செய்யப்பட்டனவா?
இல்லை. அதாவது, இந்தத் தகவல்கள் ஒவ்வொரு சர்வரிலும் சென்று எடுக்கப்பட்ட தகவல்கள் அல்ல. Sniffing-என்று சொல்லப்படும், நுகருதல் முறையிலான ஒரு தொழில் நுட்பத்தில் எடுக்கப்பட்டவை. இப்படித் தகவல்கள் சேகரிப்பதற்கு, ஏதாவது கோர் ரெளட்டரில் நுகர்ந்தாலே போதுமானது. பொதுவாக மிகக் கடினமான பாதுகாப்பு வளையங்களுக்குள் இருக்கும் கோர் ரெளட்டர்களுக்குள் இப்படி நுகர்வது சாமானியமான வேலையில்லை. ஆனால், இந்த நபர் அவ்வளவு சிரமப்படவில்லை. மிக எளிதாகச் செய்திருக்கிறார்.
எப்படி இந்தத் தகவல் சேகரிக்கப்பட்டது?
TOR (The Onion Router) - இதைப்பற்றி முன்னமொருமுறை எனது பதிவில் விரிவாகக் குறிப்பிட்டிருந்தேன். அதைப் படித்துவிட்டு மீண்டும் இங்கு தொடர்ந்தால் உங்களுக்கு புரியும்.
TOR வைத்துக்கொள்வது யார் வேண்டுமானாலும் வைத்துக் கொள்ளலாம். நீங்கள் கூட ஒரு சர்வரை வாடகைக்கமர்த்தி அதற்குள் டார் சர்வர் அப்ளிகேஷனை பொதுப்பயன்பாட்டுக்கு அளிக்கலாம். சுருக்கமாகச் சொன்னால், கண்ணில் விளக்கெண்ணெய் ஊற்றிக்கொண்டு கவனிக்கும் அதிகார அமைப்புகளின் கண்ணில் மண் தூவி தகவல் பரிமாற்றம் செய்ய முடியும். வேறு ஐ.பி. காட்டிவிட்டு தகவல்களும் குறுந்திரிக்கப்பட்டிருக்கும்). டான் செய்தது என்ன வென்றால் மூன்று டார் சர்வர்களை ஆராய்ச்சி செய்கிறேன் பேர்வழி என்று டார் நெட்வொர்க்குக்குள் இணைத்து, குறுந்திரிக்கப்பட்ட (encrypted) தகவல்களை தனது டார் சர்வரின் மூலம் நுகர்ந்தது தான். EXIT server எனப்படும் கடைநிலை சர்வரில் குறுந்திரிக்கப்பட்ட தகவல்கள் மீண்டும் சாதாரண தகவல் ஆக மறுதிரிக்கப்பட (decrypted) வேண்டும். கடைசிலை சர்வர் வைத்திருப்போர் இத்தகைய தகவல்களை சாதாரண நிலையில் தகவல்களாகப் பெற முடியும். POP3 சர்வர்கள் பெரும்பாலும் தனது பாஸ்வேர்டுகளை எவ்வகை குறுந்திரித்தலும் இல்லாமலேயே அனுப்புகின்றன. இதனால் கடைநிலை சர்வரில் இதை சாதாரணமாக அறிந்து கொள்ள முடிகிறது. இப்படியாக, டான் பல்வேறு நாடுகளின் தூதரக யூஸர்நேம் மற்றும் பாஸ்வேர்டுகளை அந்த ஐ.பி அட்ரஸ்களுடன் விவரணையாக வெளியிட்டுள்ளார்.
சம்பந்தப்பட்டவர்கள் கோபம் கொள்ளாமல், சிந்தித்துப் பார்த்துச் செயல்பட, நாம் கேட்க வேண்டிய கேள்விகள்:
1. எந்த நிபந்தனையுமில்லாமல் டார் சர்வரை இணையத்தில் யார் வேண்டுமானாலும் இயக்க முடியும் என்ற நிலையில், இன்றைக்கு டானால் சேகரிக்க முடிந்த இதே தகவல்களை தீவிரவாத இயக்கங்கள் சேகரித்துக் கொண்டிருக்கலாம். அதிலிருந்து எவ்வாறு தேசங்கள் தம்மைப் பாதுகாத்துக் கொள்ளப்போகின்றன?
2. இதே வழிமுறையைப் பயன்படுத்தி தீவிரவாதிகள் தமக்குள் பரிமாறிக் கொள்வதில் ஒரு நோக்கமிருக்கிறது. (அதனால்தான் அமெரிக்கா உளவுத்துறை எங்கும் இப்படி சர்வர்களை அமைத்து அதைக் கண்காணித்து வருகிறது. அமெரிக்கா மட்டுமல்ல, இணைப்பில் ஒரு லிஸ்ட் இருக்கிறது, பார்த்து அறிந்து கொள்ளுங்கள்). ஆனால், அரசாங்கங்கள் தகவல் பரிமாற இம்முறையை பயன்படுத்துவது எதனால்? சரியான வழிகாட்டுவோர் (consultants) இல்லையா அல்லது அவர்களிடமிருந்து சரியான அறிவுரைகள் தரப்படவில்லையா?
3. தம் நாடுகளுக்கே தெரியாமல் தகவல் பரிமாறிக்கொள்ள வேண்டிய அவசியம் என்ன இருக்கிறது?
4. டிபால்ட் பாஸ்வேர்டுகளை மாற்றுவதற்கு எப்போது சொல்லிக்கொடுக்கப் போகிறார்கள், குறிப்பாக, இந்தியத் தூதர்களுக்கு?
இதுவரை சம்பந்தப்பட்ட நாடுகள் இதைப்பற்றி சரியான வழிகாட்டுதல்களை தமது பயன்பாட்டாளர்களுக்கு அனுப்பியிருக்கும் என்று நம்புவோமாக. அண்மையில் தலைநகரில் நடந்த ஒரு இணையப்பாதுகாப்பு பற்றிய செமினாரில் உள்துறை இணை அமைச்சர் பள்ளம் ராஜூ அவர்கள் இதைப்பற்றி சிலாகித்துப் பேசியிருக்கிறார். நாவி.காம் தளமும் இதைப்பற்றிய மேல் நடவடிக்கைகளைப் பற்றிக் கேள்வி கேட்டிருப்பது கொஞ்சம் ஆறுதலான தகவல்.
பி.கு. ரீடிப் இமெயில் தளத்தில் தனது பலவருடத்திய முக்கிய ஆவணங்களை இழந்து நிற்கிறார் நண்பர் ஒருவர். உரிய பதில் இல்லையாம். அதன் பாதுகாப்பு பற்றி பல கேள்விகள் எழுந்துள்ளன. இணைய வாலிப வயோதிகர்கள் எல்லாம் இனி ரீடிப் மெயிலில் எந்த முக்கியமான தகவல்களையும் சேமித்து வைக்க வேண்டாம் என்று அறிவுறுத்தப்படுகிறார்கள்.
APPENDIX: Example of Exit-nodes that can read your traffic:
• Nodes named devilhacker, hackershaven…
• Node hosted by an illegal hacker-group
• Major nodes hosted anonymously dedicated to ToR by the same person/organization in Washington DC. Each handling 5-10TB data every month.
• Node hosted by Space Research Institute/Cosmonauts Training Center controlled by Russian Government
• Nodes hosted on several Government controlled academies in the US, Russia and around Asia.
• Nodes hosted by criminal identity stealers
• Node hosted by Ministry of Education Taiwan (China)
• Node hosted by major stock exchange company and Fortune 500 financial company
• Nodes hosted anonymously on dedicated servers for ToR costing the owner US$100-500 every month
• Node hosted by China Government official
• Nodes in over 50 countries with unknown owners
• Nodes handling over 10TB data every month