இலவச வைஃபையா... உஷார்..! இதை அவசியம் தெரிஞ்சுக்கங்க #ManintheMiddleAttack

சில வருடங்களுக்கு முன்னர்வரைக்கும் ஆன்லைன் பணப்பரிவர்த்தனைகள், மற்ற நிதிசார்ந்த நடவடிக்கைகள் அனைத்தையும் வங்கிகள் மற்றும் நிதிசார்ந்த நிறுவனங்கள் மட்டுமே மேற்கொண்டுவந்தன. ஆனால், ஸ்டார்ட்அப்களின் வரவுக்குப் பின்னர் இந்த நிலை முற்றிலும் மாறிவிட்டது. பணம் அனுப்ப, கடன்வாங்க, பணம் சேமிக்க, பில் செலுத்த என எல்லா விஷயங்களுக்கும் ஸ்டார்ட்அப்கள் வந்துவிட்டன. இந்த பைனான்ஷியல் ஸ்டார்ட்அப்கள் வளர்வது என்பது ஒருவகையில் நமக்குப் பயனுள்ளதுதான் என்றாலும், சில சிக்கல்களும் இருக்கின்றன. அதில் முக்கியமானது இவற்றின் பாதுகாப்பு. வங்கிகள் அளவுக்கு இந்த ஸ்டார்ட்அப்கள் மற்றும் ஆப்களின் டேட்டாபேஸ் பாதுகாப்பாக இருக்கிறதா என்பது மிகப்பெரிய கேள்விக்குறி. இந்த சந்தேகங்களுக்கு காரணம், சமீப காலமாக அதிகரித்துவரும் ஹேக்கிங் நிகழ்வுகள்தான். யாஹூ, உபெர், சொமேட்டோ போன்ற வளர்ந்த நிறுவனங்கள்கூட இவற்றில் இருந்து தப்புவதில்லை. அமெரிக்கா மற்றும் இங்கிலாந்தில் இருந்து முக்கிய வங்கிகளின் ஆப்களை சோதனை செய்த பிர்மிங்காம் பல்கலைக்கழகம், அவை ஹேக்கர்கள் ஹேக் செய்வதற்கான அதிகவாய்ப்புகளைக் கொண்டிருப்பதாக தெரிவித்தது. வங்கியின் பயனாளர்கள் பலவீனமான பொது வைஃபை கனெக்ஷனில், வங்கி ஆப்களைப் பயன்படுத்தினால் அவற்றை எளிதில் ஹேக் செய்துவிடமுடியும் எனவும் கூறியிருந்தது. இப்படி பலவீனமான நெட்வொர்க்குகளுக்குள் நுழைவது என்பது ஹேக்கர்களுக்கு கைவந்த கலை. இந்த வகை ஹேக்கிங்கில் அதிகம் பயன்படுத்தப்படும் முறை மேன் இன் தி மிடில் அட்டாக் (Man in the Middle Attack).

மிகவும் சுவாரஸ்யமான உத்தி இது. இந்த அட்டாக் மூலமாக, நமக்கே தெரியாமல் நம் உரையாடல்களை ஒட்டுக்கேட்கலாம்; நம் தகவல்களை உளவு பார்க்கலாம். ஒரு நெட்வொர்க்க்கில் இணைந்திருக்கும் இருவர் உரையாடும்போது, அவர்களுக்கே தெரியாமல் அந்த உரையாடலில் பங்குபெற முடியும். தகவல்களை மாற்றி மாற்றி அனுப்பமுடியும். ஒருவர் தன் அக்கவுன்ட்டில் இருந்து இன்னொருவருக்கு அனுப்பும் பணத்தை, ஹேக்கர் தன் அக்கவுன்ட்டிற்கு மாற்றிக்கொள்ளவும் முடியும். இதுதான் MITM அட்டாக். அதிக பாதுகாப்பு அம்சங்களைக் கொண்ட பெரிய பெரிய நிறுவனங்கள் இவற்றிலிருந்து தப்பிவிடுகின்றன. பாதுகாப்பு விஷயத்தில் கோட்டைவிடும் சின்ன சின்ன நிறுவனங்கள்தான் இதனால் அதிகம் பாதிக்கப்படுகின்றன. எப்படி நடக்கிறது இந்த அட்டாக்?

ப்ளூடூத் அல்லது வைஃபையை பயன்படுத்திதான் இதுபோன்ற தாக்குதல்கள் நடக்கும். மொபைல் மற்றும் கணினி, இரண்டையுமே ஹேக்கர்கள் ஹேக் செய்யமுடியும். ஒரு சின்ன உதாரணம் மூலமாக பார்ப்போம். நூலகம் ஒன்றில் இலவச வைஃபை இருக்கிறது என வைத்துக்கொள்வோம். இந்த வைஃபையை சுமார் 100 பேர் பயன்படுத்துகிறார்கள். அதில் குமார் என்பவர் ஆன்லைன் மூலமாக ஒரு தளத்தில் பில் செலுத்த நினைக்கிறார். அவர், பில் செலுத்துவதற்கான இணையதளத்தை திறந்ததும், அந்த தளம் வங்கி விவரங்களை கேட்கும். அப்போது குமார் தன் வங்கி விவரங்களை அந்த தளத்தில் பதிவுசெய்வார்.

இதுவரைக்கும் எல்லாம் சுபம்தான். மேலே சொன்ன சம்பவங்களை ஒருவர் அமைதியாகப் பார்த்துக்கொண்டிருப்பார். அவர்தான் ஹேக்கர். நாம் அந்த வைஃபையில் இணையும்போதே நம் வீக்கான சிஸ்டத்தை ஹேக் செய்த அவர், நம் வங்கிக்கணக்கு விவரங்களைக் கொடுக்கும்போது தன் வேலையைக் காட்டுவார். அதாவது, நாம் வங்கிக்கணக்கு விவரங்களை, பில் செலுத்த வேண்டிய தளத்தில் பதிவு செய்ததும் நம்முடைய கணக்கில் இருந்து பணம் எடுக்கப்பட்டுவிடும். அடுத்து, பணம் அந்த தளத்தின் வங்கிக்கணக்கு விவரங்களுக்கு செல்லும். தற்போது ஹேக்கர், அந்த தளத்தின் வங்கிக்கணக்கிற்கு பதில் தன்னுடைய வங்கிக்கணக்கை கொடுத்து, பணத்தை தன் கணக்கில் போடவைத்துவிடுவார். வேலை முடிந்ததும் நெட்வொர்க்கில் இருந்தும் வெளியேறிவிடுவார். இது மிக மிக சிக்கலான பணி. இது நடந்து சில நிமிடங்கள் கழித்துதான் நமக்கு தெரியவரும். இந்த வங்கி - இணையதளம் சம்பவம் ஒரு உதாரணம் மட்டுமே. இதைப்போலவே, இரண்டு நபர்கள் உரையாடும்போதும் அவர்களால் இடையே குறுக்கீடுகள் செய்யமுடியும். இதன்மூலம் நம்முடைய யூசர் ஐடி மற்றும் பாஸ்வேர்டுகள், வங்கிக்கணக்கு விவரங்கள் போன்றவை திருடப்படவும் வாய்ப்புகள் உள்ளன.