Wednesday, June 22, 2011

සැබැවින්ම අප ආරක්ෂිතද? පරිගණක පද්ධති ආරක්ෂාව Are We Secured ? Computer System Security

17 comments
 Wමිනිස්සු පරිගණකයට හුරු වුනාත් සමගම පරිගණකයට භාරදූර වැඩකටයුතු රාශියක් භාරවුනා.පරිගණක ජාල ,අන්තර්ජාලය වගේ දේවල් සමාජයේ සාමාන්‍යකරණයට ලක්වෙලා හැමෝම භාවිතාකරන මට්ටමට එද්දී මතුවෙච්චි ප්‍රධාන ගැටලුවක් තමයි පරිගණක පද්ධති වල සහ ඒවායේ අඩංගු දත්තවල ආරක්ෂාව කියන කාරනය.පරිගණක පද්ධතිවලට සහ ඒවායේ දත්තවලට ආරක්ෂාව අවශ්‍ය වුනේ විවිධාකාර  පුද්ගලයන් තමන්ට අදාල නැති දේවල් වලට හොම්බ දාන්න එන නිසා. සමහරු විනෝදෙට, තවත් සමහරු විනාශකාරී චේතනාවලින්ම  එහෙමත් නැත්නම් තමන්ගේ හැකියාව පරීක්ෂාකරන්න පරිගණක පද්ධති එක්ක එක එක ජාතියේ සෙල්ලම් දාන්න ගත්ත නිසා ඒ කාලයේ ඉඳලම පරිගණක පද්ධති ආරක්ෂාව සම්බන්ධයෙන් වැඩ කරන අය කියලා කියන්නනේ ඉතාමත් කාර්යබහුල කොට්ඨාසයක්. කිසිම තාක්ෂණයක් සියයට සියයක්ම ආරක්ෂිත නැහැ කියන කාරණය ඉතිහාසයේ සිට වර්තමානය දක්වා බලපුවාම නැවත නැවත තහවුරු වෙච්චි කාරනාවක්.


 කවුරු හරි කෙනෙක් අලුත් ක්‍රමයක් හොයාගන්නවා.ඒක වැඩකරන විදිහ, ඒකෙ මූලික සංකල්ප හොඳින් අධ්‍යනය කරන අනෙක් උදවිය ඒක බිඳලා දානවා,ඒකෙ තියන සිදුරු තුලින් රිංගලා යනවා.ආයේ අර මුලින් කෙනා හරි වෙන කවුරුහරි පැලැස්තරයක් දාල අවුල වහනවා. පස්සෙ තව කට්ටියක් කොහෙන් හරි ආයෙ හිලක් හොයාගන්නවා.මේක නිකම් අනන්තය දක්වා නොනැවතී යන චක්‍රයක් වගේ. තීර්ථ යාත්‍රිකයාට මේ විදිහට පරිගණක ආරක්ෂාව සම්බන්ධයෙන් ලිපියක් ලියන්න හිතුනේ  කාරණා කිහිපයක් නිසා.තවත් දෙයක් තීර්ථ යාත්‍රිකයා කියන්නේ මේ ක්ෂේත්‍රෙය් ප්‍රවීණයෙක් නම් නෙවෙයි.ඒ නිසා මේක ටියුටෝරියල් එකක්වත් පරිගණක ආරක්ෂාව සම්බන්ධයෙන් සියල්ල ලියවෙන පට්ට ටෙක් ලිපියක් වත් නෙවෙයි කියන කාරනයත් සඳහන් කරන්න ඕනා.

මේ දින අන්තර්ජාලයේ කැලඹිලා ගිය මාතෘකාව බවට පත්වෙන්න LulZsec  නම් Cracker කණ්ඩායම සමත්වෙලා තියනවා.ඒ ඔවුන්ගේ අකුණු ප්‍රහාරයක් බඳු ප්‍රහාර රැල්ල නිසා. ඔවුන්ගේ ප්‍රහාරයට ලක්වෙච්චි වෙබ් අඩවි අතර sony සමාගමේ අඩවි රාශියක්, FBI ට සම්බන්ධිත පරිගණක ආරක්ෂාව සම්බන්ධ සමාගම් වෙබ් අඩවි කීපයක්,Fox News, nitendo games network,Evony Online සහ අති දැවැන්ත ආරක්ෂක උපක්‍රම වලින් සමන්විත cia.gov අඩවියද අන්තර්ගතයි. මේ හැම වෙබ් අඩවියකින්ම සංවේදී දත්ත් අතිවිශාල ප්‍රමාණයක් ඔවුන් අතට පත්වී තිබෙනවා.එමෙන්ම ඔවුන් එම දත්තයන්ගෙන් යම් ප්‍රමාණයක් අන්තර්ජාලයට මුදාහැරියා.


LulZsec හි twitter ගිනුම හා ඔවුන්ගේ වෙබ් අඩවිය මඟින් ඔවුන් එක්සත් ජනපදයේ ජනාධිපති සහ විවිධ අකුරු තුනේ  ඒජන්සි උපහාසයට ලක්කරමින් දිනපතා ප්‍රකාශ නිකුත් කරන නිසාත් ප්‍රහාරයන් පිළිඹඳව හෝ මෙම කණ්ඩායම පිළිඹඳව කිසිදු ආකාරයක සලකුණක් තවම සොයාගැනීමට නොහැකිවීමත් නිසා ඔවුන් පරිගණක ආරක්ෂාව යන ක්ෂේත්‍රය තුල දේවත්වට පත්ව සිටිනවා මේ දිනවල. mediafire සහ facebook වෙතටද LulZsec රතු එළි නිකුත් වූ ආකාරය පහුගිය දිනවල ඔවුන්ගේ twitter ගිණුමට දායක වී සිටින්නන් දකින්නට ඇති. මොවුන්ගේ අරමුණ පැහැදිලි නැහැ.නමුත් ඔවුන් ඉතා පහසුවෙන් දැවැන්තයන් බිමට ඇද දමන ආකාරය දකිනවිටනම් පෙනෙන්නේ LulZsec කණ්ඩායමේ සාමාජිකයන් සතු අතිවිශාල දැනුම් සම්භාරයමයි. එකම ලෝකයේ කොටසකට ඔවුන් වීරයන්, තවත් කොටසකට ඔවුන් දුෂ්ඨයන්, ඉදිරියෙදී මොන මොන ආකාරයේ ක්‍රියා වලට lulzsec පෙළඹේද යන්න නම් තවමත් අනුමාන කල නොහැකියි.
මෙතනදීත් ප්‍රකටව පෙනෙන කාරණය නම් පරිගණක ආරක්ෂාව කියන ක්ෂේත්‍රයේ තාමත් අති විශාල හිඩැස් තිබෙනවා කියන කාරණාවම තමයි.

[යාවත්කාලීන කිරීම]
ඊයේ දිනයේදී බ්‍රිතාන්‍ය ආරක්ෂක අංශ සහ එක්සත් ජනපද FBI ඒකාබද්ධ මෙහෙයුමකින් LulzSec හි නායකයායැයි සැක කෙරෙන් 19 හැවිරිදි තරුණයෙකු අත්අඩංගුවට ගෙන තිබෙනවා බ්‍රිත්‍යාන්‍යයේදී
වැඩි විස්තර සඳහා බ්‍රිතාන්‍ය Sun පුවත්පතෙහි online ප්‍රකාශය බලන්න.
මීට සුලු මොහොතකට කලින් LulzSec හා සම්බන්ධිත බ්‍රසීල කණ්ඩායම බ්‍රසීල රජයේ සහ බ්‍රසීල ජනාධිපතිගේ නිල වෙබ් අඩවියට ප්‍රහාරයක් එල්ල කර බිඳ වැට්ටවූ බව ප්‍රකාශයට පත් වුනා.....
[/යාවත්කාලීන කිරීම]


ඉතිරි කාරණා තීර්ථ යාත්‍රිකයා පෞද්ගලිකව අත්විඳි ඒවා...

2)File Upload fun
තීර්ථ යාත්‍රිකයා ගැන දන්න අය හොඳන්ම දන්න කාරණය තමයි තීර්ථ යාත්‍රිකයා අන්තර්ජාලය පුරාම රස්තියාදු ගහන බව.ටික කාලෙකට උඩදී තීර්ථ යාත්‍රිකයාත් සමඟ එකම බැජ් එකේ ඉගන ගත් මිත්‍රයෙක් නිර්මාණය කලා වෙබ් අඩවියක්. ඒ ඔහු විවේක කාලයන් වලදී කල මංගල අවස්ථා ඡායාරූපකරණය ගැන. දවසක් ඔය අඩවිය බලන්න ගිය වෙලාවක තීර්ථ යාත්‍රිකයා දැක්කේ ඡායාරූප upload කිරීමට තැනක් තියන ආකාරය.ඡායාරූපයක් උඩුගත කර බලද්දී වෙබ් අඩවියෙන් ප්‍රතිචාර දක්වපු විදියෙන් තීර්ථ යාත්‍රිකයාට දැනුනා වෙනසක්.නිකමට වගේ ඡායාරූපමය නොවන ගොනුවක් උඩුගත කලා.සාර්ථකයි. මනුස්සයා file type validate කරලා නැහැ.මේ දේ තොරතුරු තාක්ෂණයෙන් තෘතීක අධ්‍යාපනය හැදෑරූ කෙනෙක්ගෙන් වුනා කියන්නේ සමාව දෙන්න බැරිතරමේ වැරුද්දක්. සර්වරයට අනවශ්‍ය ගොනු උඩුගත කරන්න පුලුවන් කියන්නේ .. එතනින් එහාට මොනවද කරන්න බැරි.පුංචි විහිලුවකින් පාඩමක් උගන්නන්න අවශ්‍ය වෙච්චි නිසා පුංචි පහේ ස්ක්‍රිප්ට් එකකින් එම අඩවියේ index පිටුව වෙනස් කරලා (කිසිම හානියක් නම් කලේ නැහැ) මිතුරාට දැනුම් දුන්නා. තීර්ථ යාත්‍රිකයාට අවශ්‍ය වුනේ එතන තියන අනතුර මිතුරාට පැහැදිලි කරදීමටයි.හිතන ආකාරයට නම් කම්මැලිකම නිසා තමයි file type validation එක කරලා තිබුනේ නැත්තේ.

3) අමතක වූ අත්හදාබැලීමේ ගිණුම.
ගොඩක් දෙනෙක් ලොගින් පහසුකම් තියන ඇප් එකක් ලියද්දී ලේසියට ළඟ තියන අකුරු කීපයක් හරි මොනා හරි සරල වචනයකින් හරි අත්හදාබැලීමේ ගිණුම් එකක් හරි කීපයක් හරි හදාගන්නවා.
උදා
a, a
admin, admin
admin,123
මේ අත්හදා බැලීමේ ගිනුම් අනිවාර්යෙන්ම වගේ පසුව ඉවත් කරනවා.බැරිවෙලාවත් ඉවත් කරන්න අමතකවුනොත් මොකද වෙන්නේ......
මේ ළඟදී තීර්ථ යාත්‍රිකයාට අඩවියක් හම්බවුනා.අවුරුදු කීපයක ඉඳලා තියන ,ලංකාවේ සමාගමකට අයත් වෙබ් අඩවියක්.හදපු මනුස්සාට ටෙස්ට් එකවුන්ට් එක මකන්න අමතක වෙලා.
user name: a
password: a
කෙලින්ම යන්නේ super admin එකවුන්ට් එකට.... අනේ අනිච්චං....ඒකත් කම්මැලිකම නිසා හරි අතපසුවීමකින් හරි වෙච්චි දෙයක්.පස්සේ අදාල අඩවිය නිර්මාණය කල පුද්ගලයාට දැනුම් දුන්නා මේ වරද ගැන.වැඩේ කියන්නේ ඔහු සෑහෙන කාලයක් ක්ෂේත්‍රයේ හිටපු කෙනෙක්....

4) sql Injection
සරලවම කිව්වොත් sql ඉන්ජෙක්ෂන් එකකින් කරන්නේ අදාල නැති database command එකක් ධාවනය කරලා විවිධ දේවල් කරගැනීම.විවිධ දේවල් කිව්වේ ලොග්වීමේ සිට,දත්ත ඉස්සීමේ සිට,ඕනම නම් database එක මැකීම දක්වා මෙකී නොකී දේවල් රාශියක්.වෙබ් අඩවියකට sql injection ගහන්න පුලුවන් වෙන්නේ ප්‍රධාන වශයෙන්ම user inputs santinize නොකිරීම නිසා.
සති දෙකතුනකට උඩදී තීර්ථ යාත්‍රිකයාට හම්බවුනා වෙබ් අඩවියක්.ඒක විදෙස් රැකියා දැන්වීම් ගැන පලකරන වෙබ් අඩවියක්.අඩවියේ admin ට admin panel එකට ලොග් වෙන්න login පිටුවක් එහෙමත් තිබුනා.නිකමට වගේ තීර්ථ යාත්‍රිකයා ඒකෙ username එක හා password එක සඳහා ' or 1='1 යන්න ඇතුල කර  login බට්නය ක්ලික් කලා. ඒස්වාහ් පුහ් මෙන්න තීර්ථ යාත්‍රිකයා admin panel එකේ විවිධ ඔප්ෂන් දිහාබලාන ඉන්නවා post back එකෙන් පස්සේ. :D. අනේ වාසනාවන් මේ අවුල කාටවත්ම අහුනොවී අවුරුදු දෙකක් විතර මේ සයිට් එක දුවලා තියනවා.හදපු සමාගමේ නමත් යසට පහලින් ගහල තිබුන නිසා තීර්ථ යාත්‍රිකයා ඒ සමාගමට මේ දේ ගැන දැනුම් දුන්නා.බැරිවෙලාවත් සයිකෝ ගතියක් තියන කෙනෙක් එහෙම මේක හොයාගත්තා නම් තිබිච්ච දත්ත වලට දෙයියන්ගේම පිහිටයි.රැකවරණයයි.
වෙලා තිබුනේ හදපු කෙනා user inputs santinize කර නොතිබීම......

හරි එතකොට මේ දේ වුනේ කොහොමද? පුංචි උදාහරණයක් දාන්නම්
අපි හිතමු database එකේ users ලා ඉන්න ටේබල් එක users සහ තියන ෆීල්ඩ් username,password කියලා.
වෙබ් ෆෝර්ම් එකේ input type name අගයන් usr හා pwd කියලත් හිතමු.
එතකොට ලොගින් ස්ක්‍රිප්ට් එක මේ වගේ කියලා හිතමු (santinize කරලා නෑ)


$query="select username,password from users where username='$_POST[usr]' and password='$_POST[pwd]'";
$result=mysql_query($query) or die('query Failed');
if(mysql_num_rows($result)==1){
 header('location:adminpanel.php');
}
else{
header('location:errorPage.php');
}

එතකොට ' or 1='1 input box වලට දුන්නාම මොකද්ද වෙන්නේ..
$query="select username,password from users where username=' ' or 1='1 ' and password='  ' or 1='1 '";
username හිස් හෝ 1=1 කියලා බලනවා. එතන true. password field එකේදිත් එම කතාවමයි.දෙකම පොසිටිව් නිසා query ය සාර්ථකයි return value එක true. බඩු බනිස්... :)

ඒ විදිහට බලාගන යද්දී ගොඩක් ආරක්ෂක සිදුරු ඇතිවෙන්නේ අපේම පුංචි පුංචි අතපසුවීම් වලින් කියලා පේනවා.ඒ හින්දා  “අවදානමට පෙර සූදානම“ හොඳයි  නේද?

17 comments:

  1. Hmm... good post bro. Most of the "hackings" succeed not because of the talent of the so called hacker, but because of the ignorance/mistakes of the developer and/or the end user.

    ReplyDelete
  2. මටනං ඔය කෝඩ්ස් ගැන මෙලෝ දැනුමක් නැහැ..ඒත් ලිපිය ලියලා තියෙන විදියනං හිතට ඇල්ලුවා...

    ReplyDelete
  3. බොහොම වැදගත් අපි වගේ කබ්බන්ට ! ඇයි ඉතින් මොන මල පොතේ අකුරක්වත් දැනගෙනයැයි බ්ලොග් කරන්නේ !!

    ReplyDelete
  4. ඉතාමත් උනන්දුවෙන් කියවීමි...
    ඔබට තාක්ෂණය අපවාගේ සාමාන්‍ය, කොම්පියුටර් දැනුම අඩු අයට තේරුම් ගන්න හොඳට ලියන්න පුලුවන් කියා හිතෙනවා...
    බොහොම ස්තූතියි...

    ReplyDelete
  5. හික් හික්.....

    පට්ට සීන් එක.....

    ReplyDelete
  6. ස්තුතියි මෙවැනි දැනුම බෙදාගන්න එකට

    ReplyDelete
  7. @ ඇනෝ...
    ඔව් ඔබ හරි. නමුත් අමතක කරන්න හොඳ නැහැ අති දක්ෂයින් සියලු ආරක්ෂා බිඳදමමින් පද්ධති තුලට ඇතුලුවෙන බව.ඒ වගෙම Social Engineering කියන්නෙත් ඔය වගේ වැඩ වලට හොඳම ආයුධයක්.කාලයක් එක්සත් ජනපදයේ wanted ම හැකර් වෙච්චි කෙවින් මිට්නික් ගේ ප්‍රධානම ආයුදයක් තමයි social engineering. ඒ තාක්ෂණික දැනුමට අමතරව.

    @ මාරයියා.
    ස්තුතියි මාරයියේ කමෙන්ටුවට.වැඩේ කියන්නේ මම යන්තං දන්නේ මේ දෙවල් ගැන විතරනේ...ලියපු විදිහ හිතට ඇල්ලුවා නං ගොඩ..

    @ සරත් ලංකාප්‍රිය
    බොහොම ස්තුතියි කොමෙන්ටුවට.ඇත්තටම තොරතුරු තාක්ෂණය කියන්නේ ඉන්ද්‍රජාලයක් නෙවෙයි.ඕන කෙනෙකුට පහසුවෙන් කියවලා තේරුම් අරන් ඕනෑ දෙයක් කරන්න පුලුවන්.පොඩි උදාහරණයක් කියන්නම් මම එක පාරක් කියෙව්වා හොඳ වෙබ් ඩිවලොපර් කෙනෙකුගේ කතාවක්.ඒ මනුස්සයා අවුරුදු හතරකට විතර කලින් සින්දු ලියපු ගීත රචකයෙක්.දැන් වෙබ් ඩිවලොපර් කෙනෙක්...තොරතුරු තාක්ෂණය ඉන්ද්‍රජාලයක් කරලා තියෙන්නේ ක්ෂේත්‍රයේ ඉන්න ඇතැම් අය විස්තර කියද්දී කොටසක් වහලා ගහන නිසා කියලයි මට නම් හිතෙන්නනේ.

    @ තිස්ස අයියා
    ස්තුතියි තිස්ස අයියේ මේ පැත්තේ ආවට.මම දන්න කියන දේවල් ගොඩක් වෙලාවට සරලව තමයි කියන්න හදන්නේ. මොකද මාත් තව ඒ හැටි දෙයක් දන්නෙ නැ නොවැ :D

    @ හසියා
    ඔය වගේ සීන් ඕන තරම් හොයාගන්න පුලුවන් වේවි අන්තර්ජාලයේ රස්තියාදු පාරක් ගැහුවොත්.ආරක්ෂාව තරනොකරපු ඕනතරම් වෙබ් අඩවි තිබෙනවා...

    @ බිංදි
    ස්තුතියි කමෙන්ටුවට.ඔබගේ වියට්නාමය ගැන වූ අලුත් පෝස්ට් එක ඉතාමත්ම ආශාවෙන් කියෙව්වා.(කමෙන්ට් එකකුත් දමලා ඇති).තවදුරටත් වියට්නාමය ගැන විස්තර ලියන්න.කියවන්න හරිම ආසා හිතෙනවා.

    ReplyDelete
  8. කිව්වට මොකද මචන් මමත් සිස්ටම් ටෙස්ට් කරද්දි හදන ටෙස්ට් එකවුන්ට් එකට දාන්නෙ උඹ කීව වගේ user name, password, හැබැයි මතක් කරලම ඒ entry එක DB එකෙන් අයින් කරල දානව.
    උඹ ලිපිය නම් එලටම ලියල තියන මචන්. සුන්දරයි ඈ! ;)

    ReplyDelete
  9. @ T.B
    උඹ විතරක් නෙවෙයි බන් මාත් ඔව්වම තමයි පාවිච්චි කරන්නේ.හැබැයි මමත් අනිවා පස්සේ අයින් කරලා දානවා.කමෙන්ට් එකට තෑන්කූ.. උඹ දන්නවනේ මට මේ ක්ෂේත්‍රය කොච්චර සුන්දරද කියලා නේද?
    අර කවුද කිව්වා වගේ ස්ක්‍රිප්ට් එකක් ලියනවා කියන්නේ කාව්‍යකරණය වගේම කලාත්මක වැඩක් නේද බං...

    ReplyDelete
  10. ඔක සම්පුර්න ඈත්ත අපි අතිනුත් වෑරදි ඔනා නමුත් අපේ ලිපි වල කුනු කන්දල් නෑ අපි පිලිවලට වෑඩ කරනවා කොමන්ට් දාලා ප්‍රශ්න ඈති කරත් අපිට හරි මාර්ගය ගොඩක් කට්ට්ය පෙන්වපු නිසත් අපි අනිත් සින්ඩ් වලට මාරු උනත් අපි ඉල්ලුම් sbu අපිව නොසලකා හරින නිසයි මෙසේ ලිවුවෙ
    රෙස්ලින්.lk team

    ReplyDelete
  11. @ රෙස්ලින්.lk

    ඔබ කරුණු කාරනා තේරුම් බේරුම් කරගැනීම සතුටට කාරනයක්. SBU හි මා දන්නා තරමින් නම් ඇඩිම්න් වරු සහ VIP සමාජිකයන් පනහකට ආසන්න සංඛ්‍යාවක් සිටිනවා.ඒ කාලයේ නම් ඉල්ලුම් කල සැනින් දවසක් දෙකක් ඇතුලත සින්ඩිකේටරයට ඇතුලත් කරගත්තා.කෙසේවෙතත් කාලිංග අයියා හෝ වෙනත් ඇඩ්මින් වරයෙකුට ඊමේලයක් යවා හෝ ගූග්ල් සමූහයේ විමසීමෙන් තොරතුරක් දැනගැනීමට හැකිවේවි...

    ReplyDelete
  12. මට නම් ඔය කෝඩ්ස් දිරවන්නේ නෑ. ඒ උනාට මාරම වටින කෝඩ් එකක්.

    ඔබ තුමාද අන්තිම පේලියේ ලියන තීර්ත යාත්‍රිකයා ?

    ReplyDelete
  13. @ මධුරංග

    ඔබතුමාගේ ක්ෂේත්‍රය දුටුවාම නම් කෝඩින් දිරවන්නෙ නැති වෙන්න හේතුවක් නෑ.අන්තිම පේළියට කතා ලියල නම් නැහැ.නමුත් ඉඳ හිට කමෙන්ට් නම් දානවා.දන්නා තරමින් නම් බ්ලොග් අවකාශයේ වෙනත් තීර්ථ යාත්‍රිකයෙක් දැන් නම් නැහැ.මීට අවුරදු 3කට විතර කලින් නම් කෙනෙක් හිටියා.ඔහු බ්ලොග් ලිවීම නතරකලාට පස්සෙයි මම මේ නම භාවිතයට ගත්තේ....

    ReplyDelete
  14. වෙලකං වේවා..වෙල්කං වේවා...

    ReplyDelete
  15. මම කියෙව්වෙවත් නෑ

    ReplyDelete

අදහස්, උදහස්....

.