Introduction to Cyber Security
මේ ලිපි මාලාවේ මුලික අරමුණ වෙන්නෙ සයිබර් ආරක්ෂාවේ මුලිකම කරුණු ගැන ඉතාම සරළව පැහැදිලි කරන එක. ඒ සඳහා හැකිතාක් සරල, තාක්ෂණික හා තාක්ෂණික නොවන උදාහරණ යොදාගන්නත් බලාපොරොත්තු වෙනව.
පරිගණක ආරක්ෂාව කියන කාරණය නිතරම තොරතුරු තාක්ෂණ ලෝකය සසළ කරන කාරණාවක්. කොතරම් ආරක්ෂිතව නිර්මාණය කරන පද්ධතියක් උනත් ඔනෑම මොහොතක නොසිතන අකාරයේ තර්ජනයකට මුහුණදෙන්න ඉඩක් තියනව. ඉතා දැවැන්ත සමාගම්, මහත් පරිශ්රමයක් යොදවල නිර්මාණය කරන මෘදුකාංග ආදිය නොසිතූ අවස්ථා වල, නොසිතන අන්දමේ දුර්වලතා නිසා විවිධ ප්රහාර වලට ලක්වෙලා තියනව. මෑතක එහෙම සිද්ධවෙච්ච සිදුවීමක් තමයි සෝලර්වින්ඩ් ආයතනයේ ඔරියන් කියන මෘදුකාංගය හරහා සිදුවූ සයිබර් ප්රහාරය. මේ ප්රහාරය supply chain attack කියන වර්ගයේ ප්රහාරයක්. මේ සිද්ධියේදී ප්රහාරකයන් විසින් මොනයම් හෝ ක්රමයකින් සෝලර්වින්ඩ් ආයතනයේ අභ්යන්තර ගිණුමක මුරපද ලබාගෙන ඒ හරහා ආයතනයේ මෘදුකාංග යාවත්කාලකිරීම් (Software Updates) වලට අදාළ සර්වර් තුලට ඇතුල්වී ඔරියන් මෘදුකාංගයේ යාවත්කාලීන තුලට ඔවුනට අවශ්ය malware ඇතුල් කිරීම සිදු කරල තියනව. ඒ ඇතුලත් කරාට පස්සේ ඔවුන්ගේ malware code සෝලර්වින්ඩ් ආයතනයෙන් දෙන නියම යාවත්කාලීනයන් (Updates) හරහා එම ආයතනයේ සේවා ලබාගන්න ආයතන වලට පැතිරිලා තියනව. ඒ හරහා ලෝකයේ ඉතා වැදගත් ආයතන රාශියක නෙට්වර්ක් ඇතුලට රිංගන්නත් ඔවුන්ට හැකිවෙලා තියනව. (සෝලර්වින්ඩ් නම් ආයතනය network monitoring සහ network management මෘදුකාංග සපයන ප්රධාන පෙළේ ආයතනයක්. ඔවුන්ගේ මෘදුකාංග ඉතාමත් ජනප්රියයි). මේ සියල්ලටම හේතු උනේ ආයතනයේ ගිණුමක හෝ ගිණුම් කිහිපයක මුරපද වෙනත් පාර්ශවයක් අතට පත්වීම.
Vulnerability, Exploit, Threat, Risk සහ Attack
Vulnerability
දුර්වලතාවය කියන තේරුම දෙන්න පුළුවන්. යම් පද්ධතියක සැලසුමේ, ක්රියාත්මක කිරීමේ, ක්රියා පටිපාටියේ හෝ පාලනයේ ඇති දුර්වලතාවයන් මේ යටතට වැටෙනව. තේරුම ගැනීමේ පහසුවට ප්රායෝගික උදාහරණයක් ගමු. ඔබට තට්ටු තුනක නිවසක් තියෙනව. මේ නිවසේ ඉහලම තට්ටුවේ එක නාන කාමරයක ජනේලයේ අගුලක් කැඩිල. ඒ වගේම ඉහලම තට්ටුවේ නිසා ඔබ ඒ ජනේලයට ග්රිල් එකක් දාලත් නෑ. දැන් ඔබේ නිවසේ දුර්වලතාවයන් 2ක් තියනව. එකක් අර ජනේලයට ග්රිල් එකක් නැති කම. අනික අගුල කැඩිල තියෙන එක. අපි හිතමු අගුල කැඩිල කියල ඔබ දන්නෙ නෑ කියල. දැන් ඒ දුර්වලතාව Zero Day Vulnerability එකක් හැටියට හඳුන්වනව. ඒ කියන්නෙ අපි නොදන්නා දුර්වලතාවයක්. ග්රිල් එකක් නොයෙදීම සැලසුමේ දුර්වලතාවයක් හැටියට සලකන්න පුලුවන්. ඔබ ජනේලයේ අගුල කැඩිල කියල දැනගත්තොත් දැන් ඒ දුර්වලතාවය Known Vulnerability එකක් හැටියට හඳුන්වනව. දැන් ඔබට පුළුවන් අලුතින් අගුලක් දාන්න. ඒ කියන්නෙ දුර්වලතාවයට විසඳුමක් ලබාදෙන්න. ඒ වගේ දෙකට කියනව security patch එකක් කියල. දැන් ඔබට පුළුවන් යාලුවෙක්ට උනත් කියන්න “අඩේ අපේ ගෙදර නානකාමරේ ජනේලෙ අගුලක් කැඩිල තිබ්බ. මම ඊයේ ඒක අලුතින් දැම්ම” කියල. මෙන්න මේ වගේ දෙයක් සාමාගම් වලිනුත් කරනව. හඳුනාගත්ත දුර්වලතා වලට විසඳුම් දුන්නහම ඒ ගැන විස්තරයක් ඔවුන් ප්රසිද්ධ කරනව. එතකොට අදාළ සමාගමෙන් සේවා ලබාගන්න අයට පුළුවන් දේ ගැන දැනුවත් වෙලා තමන්ගෙ පද්ධති යාවත්කාලීන කරගන්න. මේ වගේ දුර්වලතා වගේම ඒ දුර්වලතා වලින් ප්රයෝජන ගන්න පුළුවන් Exploit එහෙමත් ප්රසිද්ධ කරනව.
මේ දුර්වලතා ගැන විතර තියන ප්රධානම වෙබ් අඩවියක් - NATIONAL VULNERABILITY DATABASE
මේ දේවල් නීති විරෝධී නෑ. හැකින් කියන දේ වරදක් වෙන්නෙ ඔබ වැරදි අර්ථයකින් නීතිවිරෝධී විදිහට කරොත් විතරයි. එහෙම නැතුව Red Teaming වගේ දේකට හැක් කරන එක කොහොමත් වරදක් නෙවෙයි.
Exploit
දුර්වලතාවයකින් අයුතු ප්රයෝජන ගන්න පුළුවන් කෝඩ් එකකට, උපාංගයකට Exploit එකක් කියල කියන්න පුළුවන්. අපි උඩ උදාහරණය සැලකුවොත් ටිකක් උස ඉණිමගක් Exploit එකක් වෙනව. ඉණිමග පාවිච්චි කරල අර දුර්වලතාවයෙන් අයුතු ප්රයෝජනයක් ගන්න කෙනෙක්ට පුළුවන්. විවිධ දුර්වලතා වලට ගැලපෙන Exploit විවිධ පුද්ගලයන් සහ ආයතන විසින් ප්රසිද්ධ කරනව. ඒ දැනට පාවිච්චි කරන පද්ධති වල ආරක්ෂාව පරීක්ෂා කරල බලන්න.
මේ විවිධ දුර්වලතා වලට Exploit හොයාගන්න තියන වෙබ් අඩවියක් - Exploit DB
Threat
සරල තේරුම තමයි තර්ජන. යම් මෘදුකාංගයක, තොරතුරු තාක්ෂණික සේවාවක, උපාංගයක භාවිතය හෝ ජනප්රිය බව වැඩි වෙද්දී ඒ වෙතට විවිධ තර්ජන එනව. Malware, Trojans, MitM Attacks, DoS/DDoS attacks එහෙම තර්ජන හැටියට සලකන්න පුළුවන්. මෙතැනදී තරඟකාරී වියාපාර ආදිය තර්ජන හැටියට ගණන් ගන්නෙ නෑ. දැන් අපි නිකමට හිතමු ඔබේ තට්ටු තුනේ ගෙට අල්ලපු වත්තේ සැක සහිත මිනිහෙක් ඉන්නව. පොර ගාව උස ඉණිමගකුත් තියනව කියල. දැන් ඔන්න ඔබට තර්ජනයක් තියනව.
Risk
අවදානම. ඉහත කියන කරුණු නිසා ඔබට අවදානමක් තියනව අසල්වැසි හොරා විසින් ඔබේ නිවසින් වටිනා දේවල් සොරකම් කිරීමට. මේ වගේම ඉහත කියපු විවිධ තර්ජන නිසා ඔනෑම ව්යාපාරයකට, ආයතනයකට විවිධ මට්ටම් වලින් අවධානම් ඇති වෙනව. ආයතනයක වැදගත් කම, වටිනාකම වැඩි වෙන්න වැඩි වෙන්න මේ අවදානමත් ඉහල යනව. උදාහරණයක් ගත්තොත් ඉතා ප්රසිද්ධ iOS මෙහෙයුම් පද්ධතිය ගමු. ඔනෑම අවස්තාවක iOS මෙහෙයුම් පද්ධතිය තියන උපාංගයකට සයිබර් ප්රහාරයක් එල්ලවෙන්න අවදානමක් තියනව. නමුත් ඇපල් ආයතනය අරගන තියන ඉහල විධිවිධාන නිසා මේ අවදානම ඉතාම අඩු මට්ටමක තියෙන්නෙ. මේ නිසා ආයතනයේ ව්යාපාර වලට හානියක් නෑ. දැන් අපි හිතමු එක පාරටම iOS එකේ දුර්වලතා කිහිපයක් ප්රසිද්ධ වෙනව. (සාමාන්යයෙන් එහෙම දුර්වලතා හොයාගත්තොත් ඒ දුර්වලතා අදාළ ආයතනයට දැනුම් දුන්නහම විශාල මුදලක් ලැබෙනව Bug Bounty කියන්නෙ එවුවට. නමුත් සමහර පුද්ගලයන් ඔවුන් හොයාගන්න දුර්වලතා ආයතනයට දැනුම් නොදී හානිකර ප්රයෝජන වලට භාවිතා කරනව.) ඒ දුර්වලතා වලට ආයතනයෙන් කිසිම විසඳුමක් දීලත් නෑ. ඔන්න දැන් ඇපල් ආයතනයට ලොකු අවදානමක් එල්ල වෙනව. හැකි ඉක්මනින් ආයතනය ඒ දුර්වලතාවට විසඳුමක් දුන්නොත් ආයෙත් අවදානම පහල බහිනව. හැබැයි විසඳුම් දෙන්න අමාරු දුර්වලතා සැලකිය යුතු තරමින් ආවොත් ඒක ව්යාපාරයට ඉතාම නරක විදිහට බලපානව. මේ නිසාම ආයතන විසින් දුර්වලතා හඳුනාගන්න විවිධ වැඩපිළිවෙලවල් යොදල තියනව (ඇපල් ආයතනය විසින් Bug Bounty වලට ඩොලර් 25000 ඉඳල ඩොලර් මිලියනය දක්වා මුදලක් ගෙවනව).
Attack
පද්ධතියක තියන දුර්වලතාවයක් හෝ දුර්වලතා කිහිපයක්, විවිධ Exploit පාවිච්චි කරල අපරාධ කරුවන් විසින් ඔවුන්ගේ අවශ්යතාවයන් ඉටුකරගැනීම මේ විදිහට හඳුන්වන්න පුලුවන්. Malware, Phishing, SQL Injection Attack, Cross-Site Scripting (XSS), Denial of Service (DoS), Session Hijacking and Man-in-the-Middle Attacks, Credential Reuse, Brute-Force and Dictionary Attacks ආදිය මේ යටතට ගන්න පුළුවන්. මේ විවිධ ප්රහාර වර්ග ගැන ඉඩ ලැබෙන හැටියට ඉදිරියේදී විස්තර කරන්න බලාපොරොත්තු වෙනව. Attack එකක හැසිරීම අනුව Passive Attack සහ Active Attack හැටියටත්, Attack එකේ මූලය අනුව Inside Attack සහ Outside Attack හැටියටත් වර්ග කරනව
Passive Attack - මේ කියන්නෙ ඔත්තු බැලීම වගේ දේවල්. මේ වර්ගයේ ප්රහාර අඳුනාගන්න ටිකක් අමාරුයි. මොකද මේ ප්රහාර වලින් පද්ධතියට දැනෙන අකාරයේ වෙනස්කම් වෙන්නෙ නැති නිසා.
Active Attack - පද්ධතියක ක්රියාකාරීත්වය වෙනස් කිරීම, අවහිර කිරීම වගේ ප්රහාර මේ ගණයට වැටෙනව. මේ ප්රහාර හඳුනාගැනීම පහසුයි. හැබැයි මේ වර්ගයේ සමහර ප්රහාර වලින් වලකින එක හරිම අමාරුයි. එහෙම උදාහරණයක් තමයි DDoS Attack.
Inside Attack - ආයතනය ඇතුලින් එන ප්රහාර. ඒ කියන්නෙ ආයතනයේ සේවකයෙක් මගින්, එහෙමත් නැත්තං ආයතනය ඇතුලතින් ආයතනයේ පද්ධති වලට යම් malware ඇතුල් කරලා සිදුකරන ප්රහාර මේ වර්ගයට වැටෙනව. ප්රසිද්ධ උදාහරණයක් තමයි බිම දාපු පෙන් ඩ්රයිව් එකකින් malware එකක් ආයතනයක් තුලට යවන එක.
Outside Attack - ආයතයට පරිබාහිරින් එන ප්රහාර. මේ ප්රහාර අපිට පාලනය කරන්න ඉතාම අමාරුයි. DoS Attack සහ DDoS Attack මේ වර්ගයට වැටෙන ප්රහාර වර්ග දෙකක්.
ඊළඟ ලිපියෙන් අපි CIA එක ගැන කතා කරමු. - නෑ නෑ ඒ CIA එක නෙවෙයි. මේක වෙන CIA එකක්
References
Five Types of Malware - SolarWinds
Comments