පරිගණක ලොකයේ පොදු අනතුරු(Common Vulnerabilities)

නුතන ලොකයේ තොරතුරු තාක්ෂණය ප්‍රධාන  භූමිකාවකට උරදෙයි. නුතණ ලොකයේ බොහො ක්‍රිරියාකරකම් රදාපවතින්නේ තොරතුරු තාක්ෂණය මතයි. මෙලෙස ප්‍රධාන භූමිකාවට උරදෙන තාක්ෂණයට පවතින ප්‍රධාන තර්ජනය වනුයේ  තොරතුරු හා දත්ත ආරක්ෂණයයි.  තොරතුරු හා දත්ත ආරක්ෂණය සැලකිමෙදි අපට තොරතුරු තාකෂණ පද්ධතිය ප්‍රධාන කොටස් ත්‍රිත්වයකට බෙදා වෙන් කල හැකිය .  එවා නම්,

01. පරිගණක ජාලකරණ පද්ධති ආරක්ෂණය.

02. වෙබ් අඩවි ආරක්ෂණය.

03. පරිගණක මෘදුකාංග ආරක්ෂණය.

මෙම ඒකක ත්‍රිත්වය සලකනු ලබන විට සාමාන්‍ය ජනතාව හා ව්‍යාපාර ප්‍රජාව මුහුණ දෙන්නාවු පොදු ගැටලුව වන්නෙ වෙබ් අඩවි වලට සිදුවන්නා වු තොරතුරු හා දත්ත සොරාගැනිම වේ. මන්ද පරිගණක පරිශිලකයන් හා ව්‍යාපාරිකයන් එකිනෙකා සම්බන්ධ වන  පරිගණක ලොකයේ ප්‍රධාන සංධිස්ථානය මෙයයි. එබැවින් අනවසරයෙන් දත්තා සොරා ගන්නන්( Hackers) මෙම වෙබ් අඩවි සදහා වැඩි අවධානයක් යොමු කරයි.

අනෙක් එකකයන් සැළකිමෙදි පරිගණක මෘදුකාංග අරක්ෂණය  බොහො දුරට පරිගණක පරිශිලකන්ගේ අතපසුවිම් මත සිදුවන බලපෑමකි. පරිශිලකයා දැනුවත්ව හො නොදැනුවත්ව සිදුකරන නිර්ආරක්ෂණ(insecure) වෙබ් අඩවි මගින් සිදුකරනු ලබන භාගත  කිරිම් හෙතුවෙන්  විවිධ වෛරසයන්,යතුරුපුවරු හැසිරිම් එකලසනයන්(keyloggers), පරිගණක නිරික්ෂනයන්(spyware), විවිධ බොට්නෙට්(botnets) යනාදිය පරිශිලක පරිගණකය තුල තැන්පත්(install) විම සිදුවේ . මෙම අවදානම් තත්වයෙන් මිදිම එතරම් අපහසු නොවන අතර පරිගණක පරිශිලකයන් වෙබ් අඩ්වි මගින් භාගත කිරිම් සිදුකිරිමෙදි සෑමවිටම ආරක්ෂණය තහවුරු කරන ලද වෙබ් අඩවි මගින් පමනක් භාගත කිරිම් සිදුකිරිම සුදුසු වේ. තවද ලේඛිත ධාවකයන්(pen drive) භාවිතයෙදි සෑමවිටම වෛරස් ආරක්ෂන මෘදුකාංගයක් මගින් ස්කෑන් කිරිමෙන් පසු භාවිතා කිරිම සුදුසු වේ. සංයුක්ත තැටි භාවිතයද මෙලෙස සැලකිලිමත් විමෙන් පරිගණකයේ අරක්ෂාව තහවුරු කල හැක.

                      

පරිගණක ජාලකරන ආරක්ෂනය සැලකු කල මෙය බොහො දුරට බලපානු ලබන්නෙ ව්‍යාපාර ආයතනයන් වෙතටය.ආයතනය සතු අන්තඃජාලයන් ( intranet )වෙත හැකකරුවන් අවධානය යොමු කර ඔවුන්ගේ  අන්තඃජාලයන්( intranet ) වෙත ප්‍රහාර එල්ල කර දත්ත හා තොරතුරු සොරා ගැනිම් සිදු කරයි.මෙනිසා ව්‍යාපාර ආයතන සතු වැදගත් තොරතුරු රැසක් අහිමි විම සිදු විය හැක. තවද ව්‍යාපරය සතු පාරිභොගික විශ්වසය බිද වැටිය හැක.මෙමගින් ව්‍යාපරයන් බොහො අපහසුතාවයට පත්විය හැක. පරිගණක ජාල ආරක්ෂාව සාමාන්‍ය පරිගනක පරිශිලකන් මගින් සිදු කල නොහැක. මේ සදහා විශේෂ පුහුනුවක් අවශ්‍ය වන අතර මෙම සුදුසුකම් සපුරාලන්නන් පරිගණකජාල අරක්ෂන මැවිසුරුවන්(network security Engineers) ලෙස හදුන්වයි.

                 

ජාලකරණ ආරක්ෂණය සලකනු ලබන විට නුතන ලොකය තුල සිදුවු දරුනුතම ප්‍රහාරය ලෙස සලකනු ලබන්නේ 2010 වර්ෂයේ ඉරාන න්‍යෂ්ටික බලාගාරය එල්ල කල ප්‍රහාරයයි.ප්‍රධාන ලෙස මෙය Stuxnet යන පරිගණක වෛරසය භාවිතා කර ඉරාන න්‍යෂ්ටික බලාගාරයේ අන්තඃජාලයට (intranet ) ප්‍රහාර එල්ල කරනු ලැබුවේය.පහත ලින්ක් එක මගින් තව විස්තර ලබාගන්න.

     

 link  :     http://vimeo.com/25118844

වෙබ් අඩවි ආරක්ෂණය සැලකිමෙදි, වෙබ් අඩවි ආරක්ෂාව පිලිබදව අවදානය යොමු කරන ලොව ප්‍රබල අයතනයක් වන OWASP (Open Web Application Security Project)  ආයතනය විශිෂ්ට මෙහෙයක් ඉටු කරයි. මොවුන් ලාබ නොලබන ආයතනයක් වන අතර මොවුන් විසින් සෑම අවුරුදු තුනකට වරක්ම වෙබ් ලොකය තුල පවතින පොදු අනතුරු පිලිබදව වාර්ථාවක් නිකුත් කරනු ලබයි. වෙබ් කේතයන්ගේ අරක්ශාව පිලිබදව අවධානය යොමු කරන්නන්ට මෙය මහගු උපකාරයකි .2013 දි නිකුත් කරනු ලැබු වර්තාව අනුව වර්ථමාන වෙබ් ලොකය තුල පවතින ප්‍රධාන අනතුරු සහිත වෙබ් කෙත හැසිරවිම් 10 ක් නම් කර ඇත . ඒවා සැකෙවින් ,

A1 – SQL Injection

A2 – Broken Authentication and Session Management

A3 – Cross-Site Scripting (XSS)

A4 – Insecure Direct Object References

A5 – Security Misconfiguration

A6 – Sensitive Data Exposure

A7 – Missing Function Level Access Control

A8 – Cross-Site Request Forgery (CSRF)

A9 – Using Known Vulnerable Components

A10 – Unvalidated Redirects and Forwards

Facebook poke

     හරි අද අපි බලමු මොකද්ද මේ Facebook Poke කියන්නෙ කියලා.Facebook poke එකක් යනු ඔබගේ යහලුවෙක් හො යෙහෙලියක් ඔබගේ අවධානය දිනා ගැනිම සදහා කරනු ලබන Facebook ක්‍රියාකරකමකි
.
      එය යම් සාමන්‍ය Hello යැයි පැවසිමක්,එසෙ නොමැතිනම් එය ඔබට අනතුරු හැගවිමක් , සමහර විට ආදරය පැවසිමක් වුවද විය හැක.

මෙහිදි ඔබටද ඔබගෙ යහළුවෙකු පොකෙ කල හැක. ඔබට Poke Alert එකක් ලැබුන විට එහි දැක්වෙන්නෙ “You were poked by,” poke කරනු ලැබු යහලුවගෙ නම දැක්වෙ .ඔබට මෙලෙස ලැබුනු Alert message එකට ඔබට option කිහිපයක් ඇත. “Remove Poke” මගින් poke එක ඉවත් කල හැකි අතර   “Poke Back.”     මගින් නැවත ඔබ විසින් ඔබෙ මිතුරා poke කරයි.

මෙලෙස මාරුවෙන් මරුවට  poke කිරිම සිදුවෙ. මෙම poke  කිරිම දිගින් දිගට සිදු විම  “poke wars,”  ලෙස හදුන්වයි. මෙය ඔබ දෙදෙනාගෙන් එක් අයෙකු අත්හරින තෙක් මෙය සිදු වේ.

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(3)

ආහ්..... ඉතින් කොහමද??අද අපි ඉතුරු ටික බලමු නේද....??

• Security Miscofiguration

           සම්මත මෘදුකාංග ආරක්ෂාව සදහා පහත සදහන් තත්වයන් අත්‍යවශ‍ය්‍ය වේ. ආරක්ෂක විධිවිධාන සදහා නිසි හැදින්විමක්  සහ සම්මත පටිපාටියක් තිබිය යුතුය . Application , frameworks,application servers, web servers, data server සහ platform  සදහා  සංවිධානය සතු අනන්‍ය හැදින්විමක් තිබිය යුතුය. 

• Insecure Cryptographic Storage

       බොහො වෙබ් අඩවියන් තම වෙබ් අඩ්වියට අදාල වැදගත් තොරතුරු නිසි පරිදි අරක්ෂා කර නොමැත ණයපත් තොරතුරු, SSN's, මුරපද යනාදිය  නිසි encryption කිරිමක් හො Hashing නිසියාකාරව සිදුකර නොමැත. මෙවැනි අවස්ථාවකදි හැකර්කරුවෙකුට ඉතා පහසුවෙන් වෙබ් අඩවියට ඇතුලු වි වෙබ් පරිශිලකයන්ගෙ වැදගත් අත්යවශ‍ය තොරතුරු සොරා ගත හැක. උදාහරණ ලෙස මැතකදි  සිදුවු
yahoo,linked යනාදිය.

පහත සදහන් වෙබ් කේත හැසිරවිම් එතරම් ප්‍රමුඛ ඒවා නොවේ

• Failure to Restrict URL Access
• Insufficient Transport Layer Protection
• UnvalidatedRedirects and Forwards

හරි මචංලා අපි මේ වගේම තවත් පොස්ට් එකකින් meet වෙමු.....

       

සතියෙ හැකර් පුවත්(15/07/2012)

• NIVIDIA Developer Forum හැක් වේ

      

             NIVIDIA Developer forum වෙබ් අඩවිය පරිපාළකයන් විසින් ක්‍රියා විරහිත කර ඇත. මෙයට හේතු වි ඇත්තෙ හැකර්කරුවන් විසින් මෙම වෙබ් අඩවියට අදාළ මුරපද සොරා ගෙන තිබිමයි.මෙම හෙතුවෙන් ෆොරම් පරිශිලකයන් 400000 පමණ මුරපද අවදානමක පවතින බව  පරිපාළකයන් පවසයි.

========================================================================

• රුසියානු හැකර්කරුවෙකු විසින් Apple App Store වෙබ් අඩවියට නිළනොවන ලෙස ඇතුල් වේ.

           ZonD80   යන රුසියනු හැකර්කරු විසින් App Store වෙබ් අඩවියට ඇතුල් වි Apps සදහා කිසිදු ගෙවිමකින් තොරව භාගත කළ හැකි බව පෙන්වා දි ඇත.මෙයට හෙතුව ලෙස ZonD80 පවසන්නෙ  "Why you must to pay for content, already included in purchased app? I think, you must not , " ලෙසයි.
පහත ක්‍රියා පිලිවෙල මගින් ඔබටද මෙය උත්සහ කළ හැක.

Below are the steps to the hack: 
    --  Install two certificates: CA and in-appstore.com.
    --   Connect via Wi-Fi network and change the DNS to 62.76.189.117.
    --   Press the Like button and enter your Apple ID & password.

 --   Using the above hack, you are actually stealing in-app purchase content from developers, which is kind of disturbing and is of course against developer’s terms of service

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(2)

කොහමද මචංලා;

 අද අපි බලමු අපෙ බොලග් එකේ ඉතුරු කොටස. Broken Authentication and Session Management  ආහ්.. මේක ටිකක් මටත් අවුල් වගෙ තමයි බලමුකො කොහමද කියලා.

• Broken Authentication and Session Management

            මෙකෙන් කියවෙන්නෙ නම්  Session  කළමණාකරනය නිසි පරිදි සිදු නොකිරිම නිසා හැකර් වරුන්ට ඉතා පහසුවෙන් වෙබ් පිටු පරිශිලකයන්ගෙ වෙබ් සයිට් එකට අදාල පෞද්ගලික දත්ත සොරා ගත හැක. මෙය සිදුකරන්නෙ Session Hijacking කිරිම මගිනි. මෙමගින් පරිශිලකයාගෙ  පෞද්ගලිකත්වය නැති වන අතර වෙබ් සයිට් එකෙ අරක්ෂාවද නැති වේ. මචංලා සෙස්ස්ස් එක ගැන දැන්නම් අහන්න එපා.  Session  ගැන අපි වෙනම කතා කරමු . දැනට මෙ ලින්ක් එක බලන්න http://en.wikipedia.org/wiki/Session_(computer_science) .Session  ගැන කතා කරමු ආහ්......

• Insecure Direct Object References

    මෙහිදි සිදු වන්නෙ මෘදුකාංග ඉන්ජිනෙරුවන් විසින් ගොඩනුඅගන කෙතයන්ගෙ නිසිලෙස Object හැසිරවිම සිදු නොකිරිමයි.මෙහිදි Object යනු ගොනු,ඩිරෙක්ටරි,ඩෙටාබෙස්(Database) යනාදියයි.

              String query = "SELECT * FROM accts WHERE account = ?";

              PreparedStatementpstmt=connection.prepareStatement(query , … );

              pstmt.setString( 1, request.getparameter("acct"));

              ResultSetresults = pstmt.executeQuery( );

හැකර් විසින් මෙලෙස තම බලපෑම වෙබ් අඩවිය වෙත සිදු කල හැක.

       
              http://example.com/app/accountInfo?acct=notmyacctAm

මෙහිදි  'acct'  යන Object  එක  නිසිලෙස Handle  කර නොමැත.

• Cross-Site Request Forgery (CSRF)

මෙකත් xss(cross site script) වගෙම තමයි හැබයි මෙහිදි ටිකක් Advanced ලෙස xss භාවිත කරයි.මෙහිදි හැකර් විසින් කූට HTTP විමසුමක් දොෂ සහිත වෙබ් අඩ්විය වෙතට යවයි. මෙම HTTP Request එකෙදි වෙබ් අඩවියට අදාළ Session Cookies , සහා තවත් ස්වයංක්‍රිය දත්තයන් ඇතුළත් වේ. එම අවස්ථාවේදි වෙබ් අඩවිය විසින් මෙම  Request  එක නිවැරදි  Request  එකක් විදියට සලකා වෙබ් අඩවිය තුළට පිවිසිමට ඉඩ දෙයි.මෙමගින් හැකර්කරුට වෙබ් අඩවියෙ පළනය ලබාගත හැකි වේ.

නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්(1)

කොහමද කොල්ලනෙ;

එහෙනම් අයුබොවන් කිව්වා ඔන්න,හරි එහෙනම් ඉතින් අද අපි  බලමු නුතණ වෙබ් ලොකයෙ දරුණුතම වෙබ් කෙතයන්. Open Web Application Security Project (OWASP) ආයතනය මගින් ප්‍රධාන කාණ්ඩ 10 හදුන්වා දෙයි. එවා නම්

1. SQL Injection
2. Cross-Site Scripting (XSS)
3. Broken Authentication and Session Management
4. Insecure Direct Object References
5. Cross-Site Request Forgery (CSRF)
6. Security Misconfiguration
7. Insecure Cryptographic Storage
8. Failure to Restrict URL Access
9. Insufficient Transport Layer Protection
10. UnvalidatedRedirects and Forwards 

  හොව් , හොව්....මේ ටික බලලා බය වෙන්න දෙයක් නෑ අපි මේ ගැන තව විස්තර ඇතිව ඉස්සරහට කතා කරමු.

මචංලා මෙක දැක්කම මොකද හිතෙන්නෙ, මෙකෙන් පෙන්නන්නෙ වැරදි කෙත භාවිතයෙන් ඇතිවිය හැකි බලපෑම තමයි. මෙකෙ රතු පටින් පෙන්නන්නෙ අපේ හැකර් අයියලගෙ වැඩ තමයි.අවුලක් නෑ අපි මේ ගැන තව ඉගෙන ගමු.අපි දැන් කෙටියෙන් බලමු ඉහත කරුණු දහය . 

• SQL Injection 

             මේක මහ හෙනම ඇණයක් තවම වෙබ් ලොකයෙ අයියා මෙයා තමයි. sql injection මේකෙන් වෙන්නෙ අනාරක්ෂිත ලෙස කරනු ලැබු කෙතයන් හරහා ඩෙටාබේස් (database)ලෙයර් එකට ප්‍රහාර එල්ල කිරිමයි. මෙමගින් පරිපාලක (administrator)  username , password  ලබාගත හැකි අතර සම්පුර්න වෙබ් අඩවියෙ පාලනය හැකර් හට ලබා ගත හැකි වේ. මෙක පොඩි උදාහරණයක් විතරයි හොදා.... තව හොද එවා තියෙනවා.

• Cross-Site Scripting (XSS)

            මෙයත් හෙන දගයා හැබයි  SQL Injection  වලට වඩා මෙයාගෙ බලපැම අඩුයි. මෙයාගෙන් ඩෙටාබේස්(database) එකට ප්‍රශ්නයක් නම් නෑ.මෙමගින් ප්‍රහාරකයන්ට විවිධ වර්ගයෙ අහිතකර කෙතයන් වෙබ් පිටුවට ඇතුල් කල හැකි අතර ඒමගින් වෙබ් පිටුව භාවිත කරන පුද්ගලයන්ගෙ පෞද්ගලික තොරතුරු ලබා ගත හැකි අතර. විවිද වර්ගයෙ වයිරසයන් යැවිය හැකි වේ.අපි තව දුරටත් මේ ගැන ඉදිරියට බලමු....

අදට මේ ඇති නේද?? ගොඩක් ලිව්වොත් ඔයලටත් එපා වෙයි නේද??? තව හොද හොද එවා ගොඩාක් තියෙනවා. සෙට් වෙලා ඉන්න මාත් එක්ක. යාලුවටත්  share කරන්න හොදද. අපි මෙකෙ ඉතුරු කොටසත් එක්ක හෙට සෙට් වෙමු ආආආ............

HTML Hit Counter