හැක්වෙන ඩිජිටල් ලෝකේ හැක් (Hack) නොවී ඉන්න මෙහෙම කරන්න

වර්ථමානයේ වෙබ් අඩවි කලාව නැතුවම බැරි දෙයක් බවට පත්වී ඇත. මීට හේතුව තාක්ෂණයත් සමඟ අන්තර්ජාලයේ සැරිසරන පුද්ගලයන්ගේ ප්‍රමාණය ඉහළ අගයක් ගන්නා බැවින් සහ තොරතුරු දත්ත හුවමාරුව ඉතා සීග්‍රයෙන් එහා මෙහා ගමන් කරන බැවිනි. මේ හේතුව නිසා දිනෙන් දින වෙබ් අඩවි සංඛ්‍යාව ඉහළ යන අතර මේ ලිපිය ලියන මේ මොහොත වෙන විට ලෝකයේ වෙබ් අඩවි සංඛ්‍යාව 1,081,119,093 පමණ වේ මෙය කොපමණ අගයක් දැයි ඔබට වැටහෙනවා ඇත. තාක්ෂණය මෙසේ දිනෙන් දින දියුණුවෙන විට එවා බිද හෙලීම, කඩාකප්කාරී (Hack) කිරීමට වෙර දරන පිරිසකුත් බිහිවීම ස්වභාවයෙන්ම සිදුවේ. පරිගණක ලෝකයේ මෙවන් පුද්ගලයන්ට හැකර්ස් යැයි පවසයි Hackers. මේ වන විට ලෝකයේ සමස්ථ වෙබ් අඩවි සංඛ්‍යාවෙන් වෙබ් අඩවි 32000ක් හැක් කිරීමට නොඑසේ නම් බිද හෙලිමට භාජනය වී ඇත.




වෙබ් අඩවියක් හැක්කරන්නාවූ හැකර්ස්ලාගේ අරමුණු ප්‍රධාන වශයෙන් කණ්ඩ 4 කට වෙන් කර දැක්විය හැකිය.

1.විනෝදාංශයක් ලෙස වෙබ් අඩවි හැක් (Hack) කිරීම.
මෙම කාණ්ඩයේ පුද්ගලයන් තම මිතුරන් ඉදිරියේ වීරත්වය විදහාපෑමට හුදෙක් තමන් සමාජයේ කැපී පෙනෙන්නෙකු වීම උදෙසා වෙබ් අඩවි හැක්කිරීමට පෙලඹී ඇත.

2. සොරකම් කිරීම සදහා හැක් කිරීම.
මෙහිදී ඔවුන් බලාපොරොත්තු වන්නේ වෙබ් අඩවියක ගබඩා වී ඇති වැදගත් දත්ත ලේඛණ සොරාගැනීම හෝ මුදල් සොරාගැනීමය.
3. කඩාකප්පල්කාරී ක්‍රියාවක් වෙනුවෙන් හැක් කිරීම.
මෙහිදී යම් අයතනයක / පුද්ගලයෙකුගේ දියුණුව උදෙසා බලපාන වෙබ් අඩවිය අක්‍රීය කිරීම හෝ එහි ඇති දත්ත වෙනස් කිරීම මගින් සමාජයේ පුද්ගලයන්ගේ හාස්‍යයට ලක්කිරීම. මෙමගින් බලාපොරොත්තු වේ.

4. ආචාරශීලී ලෙස වෙබ් අඩවියක අඩුපාඩු සොයා බැලීම උදෙසා හැක් කිරීම.
මෙහි ඉංග්‍රීස වචනය නම් Ethical Hacking ලෙස දැක්විය හැකිය. මෙය බොහෝ පරිගණක ආයතන සිදුකරනු ලබයි. එය සිදුකරන්නේ තම ආයතනයේ වෙබ් අඩවියේ ආරක්ෂාව තරකරගැනීම උදෙසාය. මෙමගින් අනතුරට භාජනය විය හැකි වෙබ් අඩවියට පිවිසිය හැකි මාර්ග සොයාබැලීමක් සිදු කරනු ලබයි.

5. දේශපාලනික වෙබ් අඩවි අඩපණ කිරීම
ජනප්‍රිය දේශපාලනි චරිත ඉලක්ක කර ඔවුන්ගේ වෙබ් අඩවි අඩපණ කිරීම. මෙය රටවල් අනුව කේන්ද්‍රගතව සීග්‍රෙයන් ව්‍යාප්තව යන ක්‍රියාවලියකි. මොවුන්ගේ අරමුණු රටවල් අනුව වෙනස්වේ.

6. ස්ක්‍රිප්ට කිඩී Script kiddie
Hacking Tool එකක් අන්තර්ජාලයෙන් ගෙන හැක් කිරීම. මොවුන්ට හැක් කිරීම ගැන දැනුමක් නැති අතර මොවුන්ගේ මෙම ක්‍රියාවලිය සොයාගැනීමට තරමක අපහසුවක් ඇත.
එසේ නම් ඔබ කෙසේ ඔබේ වෙබ් අඩවිය අනතුරට ලක්වීම වලක්වාගත යුතුදැයි බලමු.

1. මෘදුකාංග යාවත් කාලීන කිරීම. (Keep software up to date)
නිතරම ඔබේ වෙබ් අඩවිය තුල ඇති මෘදුකාංග යාවත්කාලීන දැයි ඔබේ වෙබ් අඩවි නිර්මාණකරුවන් හා සේවා සපහන්නන් හරහා සොයා බලන්න.

2. SQL injection හරහා වෙබ් අඩවියට ඇතුල්වීම වලකන්න.
මේ සදහා ඔබේ වෙබ් අඩවි නිර්මාණකරුවාගේ සහය පතන්න. මෙහිදී සිදුවන්න අදාල කේත ඇතුල් කිරීම මගින් ඔබේ වෙබ් අඩවියේ දත්ත ගබඩාවට හානී සිදුකිරීමය.

3. XSS.
Cross site scripting මගින් ඔබේ වෙබ් අඩවිය පරිශිලිකයන් නොමග යවයි. ඔබේ අඩවියේ ඇති කේත වෙනස් කිරීමට ඉඩ නොදිමට වග බලාගත යුතුය.

4. දෝෂ පණිවිඩ Error message.
ඔබේ වෙබ් අඩවියේ පරිශිලකයන් වැරදි පරිශිලක නාම User Name මුරපද Password ඇතුල් කල විට එහි ලබාදෙන දෝෂ පණිවිඩ පෙන්වා මුරපද ග්‍රහණයකර ගෙන වෙබ් අඩවියට ඇතුල් වීමට ඉඩ ඇත. මෙය අපි brute force attack ලෙස හදුන්වමු.

5. සේවරය වලංගු කිරීම Server side validation/form validation.
ඔබේ වෙබ් අඩවිය ඇති සේවරය හා ඔබේ වෙබ් අඩවිය නරඹන බ්‍රවුසරය පරීක්ෂා කොට අදාල වලංගු කිරීම් සිදුකල යුතුය. මෙය ඉතා ගැඹුරින් පලපුරුදු ශිල්පියෙකුගේ සහයෙන් සිදු කල යුතුය.

6. මුරපද Passwords ඇතුලත් කිරීම.
මුරපද දැමීමේදී වෙබ් අඩවි වල භාවිතා කරන ක්‍රම කිහිපයක් ඇත. සංකීර්ණ මුරපද භාවිතා කිරීම මෙන්ම මුරපද SHA වැනි hashing algorithm භාවිතා කර encrypt කල යුතුය.

7. මුරපද නිරන්තරයෙන් වෙනස් කරන්න.
නිතර මුරපද වෙනස් කිරීම මගින් වෙබ් අඩවියේ ආරක්ෂාව තහවුරු වන එක් ක්‍රමයකි.

8. Multiple Authentication - මල්ටිපල් ඔතන්ටිකේෂන් ලබාදෙන්න.
Multiple Authentication යනු සරලව කිවහොත් ඔබේ විද්්‍යුත් තැපෑලට, ඔබේ ජංගම දුරකතනයට කේතයක් එවීම සහ එම කේතය අදාල වෙබ් අඩවියට ලබාදීම මගින් ඔබට වෙබ් අඩවිය තුලට පිවිසිය හැකි වීමයි.

9. වෙබ් අඩවියට ගොනු ඇතුලත් කිරීම File uploads.
වෙබ් අඩවිය පරීශීලකයන්ට ගොනු වෙබ් අඩවියට එක්කරන්නට ඉඩදීම දැඩි ආරක්ෂාවක් සහිතව සිදුකිරීමට ලබාදිය යුතුය. එය ඉතා අවදානම්කාරී කාර්්‍යයකි. මෙහිදී නිවැරදි කේත භාවිතයට ලබාදීම ඉතා වැදගත්ය.

10. SSL.
SSL යනු අන්තර්ජාලයේ භාවිතා කරනු ලබන ප්‍රෝටකෝලයකි. එය සහතික ලත් එක් වෙබ් අඩවියකින් තවත් වෙබ් අඩවියකට තමන්ගේ පෞද්ගලික තොරතුරු හුවමාරුවට භාවිතා කරන මාධ්‍යයකි. මෙම තොරතුරු ඩැහැගැනීමට පහදෙන්නෙකුට ඉව ඇල්ලිය හැකිය. මේ නිසා භාවිතා කරනු ලබන සංනිවේදන මාධ්‍ය ඉතා ආරක්ෂාකාරී එකක් විය යුතුය.

11. වෙබ් අඩවි ආර්ක්ෂක අම්පන්න Website security tools භාවිතය.
Netsparker (Free community edition and trial version available). SQL injection and XSS පරීක්ෂණ සිදුකිරීමට උපකාරී වේ.
OpenVAS – Open Source නොමිලේ ලබාගත හැකි මෘදුකාංග පරීක්ෂණ සදහා භාවිතා කරයි.
මෙවැනි මෘදුකාංග ඔබට අන්තර්ජාලය පිරික්සීමෙන් පහසුවෙන් සොයාගත හැකි අතර ඒවා සුරක්ෂිතදැයි තහවුර කරගෙන භාවිතා කරන්නට වගබලා ගන්න.

12. ආරක්ෂිත ගේවීම්ක්‍රම භාවිතය Payment Gateways.
මේ සඳහා රජයේ ලියාපදිංචි බැංකුවකින් අදාල සේවාව ලබාගත හැකිය. ශ්‍රී ලංකාවේ දී නම් ඔබට බැංකු කිහිපයකින් මෙම සේවාව ලබාගැනීම පහසුකම් සලසා ඇත. එමගින් ඔබේ වෙබ් අඩවියේ සිදුකරන ගෙවීම් සහතික වනවා මෙන්ම ඒ සඳහා ආරක්ෂාවද සැපයේ.

පුලස්ති වන්නිආරච්චි
අන්තර්ජාල සෙවුම් යන්ත්‍ර ප්‍රශස්තිකරණ ඉංජිනේරු
www.seoranksrilanka.com