Socialist
ഫോണ് ചോര്ത്തല് പോലുള്ള സൈബര് ആക്രമണത്തിന്റെ ഇരയാകാതിരിക്കാന്..
ഇസ്റാഈലി ചാര സോഫ്റ്റ്വെയർ ഉപയോഗിച്ച് ഇന്ത്യയിലെ മാധ്യമ പ്രവർത്തകർ അടക്കമുള്ളവരുടെ ഫോൺ ചോർത്തിയത് വിവാദമായ പശ്ചാത്തലത്തിൽ ഇത്തരം ആക്രമണങ്ങളിൽ നിന്ന് രക്ഷപ്പെടാനുള്ള കാര്യങ്ങൾ വിശദീകരിക്കുകയാണ് സൈബർ വിദഗ്ധനായ സുനിൽ കുമാർ തോനിക്കുഴിയിൽ. ഫേസ്ബുക്കിലാണ് അദ്ദേഹം ഇക്കാര്യം കുറിച്ചത്. ഫേസ്ബുക്ക് പോസ്റ്റ് പൂർണ രൂപത്തിൽ:
സ്പൈ വെയറുകളേപ്പറ്റി.
ഫോൺ ചോർത്തൽ വിവാദം വീണ്ടും പൊങ്ങി വന്നിരിക്കുകയാണല്ലോ. നിങ്ങളുടെ ഫോണിൽ നിന്ന് പുറത്തേക്ക് പോകുന്നതും ഫോണിലേക്ക് വരുന്നതുമായ വിവരങ്ങൾ മുന്നാമതൊരാൾക്കോ സർക്കാരിനോ ചോർത്താൻ പറ്റുമോ എന്ന് നിരവധി പേർ അന്വേഷിക്കുന്നുണ്ട്. ഇന്റർനെറ്റിന്റെയും ടെലിഫോണിയുടെയും തുടക്കകാലം മുതൽ ഇത്തരം ചോർത്തൽ സംഭവങ്ങളുണ്ടായിട്ടുണ്ട്. എന്നാൽ സാങ്കേതിക വിദ്യകൾ കാലാനുസൃതമായി പുരോഗമിച്ചതോടെ ഇതിനുള്ള മാർഗ്ഗങ്ങൾ ഒരോന്നായി അടയ്ക്കപ്പെട്ടുവരുകയാണ്.
ഇക്കാലത്ത് ഇന്റർനെറ്റിൽ മിക്കവിവരങ്ങളും കൈമാറ്റം ചെയ്യുന്നത് എൻക്രിപ്റ്റ് ചെയ്തിട്ടാണ്. ഉദാഹരണത്തിന് നിങ്ങൾ അമേരിക്കയിലുള്ള ഒരു സുഹൃത്തിന് വാട്ട്സാപ്പിൽ മെസേജ് അയക്കുകയാണെന്നിരിക്കട്ടെ. ഈ സന്ദേശം നിങ്ങളുടെ ഫോണിൽ നിന്ന് ഇന്റർനെറ്റ് സർവ്വീസ് പ്രൊവൈഡറിലേക്കും അവിടെ നിന്ന് രാജ്യാന്തര തലത്തിൽ വിവരകൈമാറ്റം നടത്തുന്ന ടെലിക്കോം ശൃംഖല വഴി നിങ്ങളുടെ സുഹൃത്തിലേക്കും എത്തുന്നു. ഈ സന്ദേശം സഞ്ചരിക്കുന്ന വഴിയിൽ മറ്റുള്ളവർ തുറന്ന് വായിക്കാതിരിക്കാൻ എൻഡ് to എൻഡ് എൻക്രിപ്ഷൻ (end to end encryption ) എന്ന രീതി ഉപയോഗിക്കുന്നു. ഇതെന്താണെന്ന് നോക്കാം. നിങ്ങളുടെ ഫോൺ കമ്മ്യുണിക്കേഷൻ സിസ്റ്റത്തിന്റെ ഒരു എൻഡാണ്, മറു എൻഡ് നിങ്ങളുടെ സുഹൃത്തിന്റെ ഫോണും. ഇതിനിടെ നിൽക്കുന്ന ഇന്റർനെറ്റ് സുരക്ഷിതമായി വിവരം കൈമാറ്റം ചെയ്യാനുള്ള ഒരു ചാനലും.
നിങ്ങൾ അയക്കുന്ന സന്ദേശം നിങ്ങളുടെ ഫോണിൽ വെച്ച് തന്നെ എൻക്രിപ്റ്റ് ചെയ്യുകയാണ് സന്ദേശ കൈമാറ്റം സുരക്ഷിതമാക്കുന്നതിനുള്ള ആദ്യ പടി. എൻക്രിപ്ഷൻ നിങ്ങളുടെ സന്ദേശത്തെ മറ്റാർക്കും മനസ്സിലാകാത്ത കോഡ് ഭാഷയിലേക്ക് മാറ്റും. ഇങ്ങനെ എൻക്രിപ്റ്റ് ചെയ്ത സന്ദേശം മറുവശത്തുള്ള നിങ്ങളുടെ സുഹൃത്തിന് മാത്രമേ ഡി ക്രിപ്റ്റ് ചെയ്യാനാകു എങ്കിൽ സന്ദേശം ഏതു വഴിയിൽ കൈമാറ്റം ചെയ്താലും സുരക്ഷിതമായിരിക്കും. ഇങ്ങനെ സന്ദേശങ്ങളെ കോഡ് ചെയ്തയക്കുന്ന രീതിയെയാണ് എൻഡ് ടു എൻഡ് എൻക്രിപ്ഷൻ എന്ന് വിളിക്കുന്നത്.
ഇനി നിങ്ങൾ നിർമ്മിച്ച പബ്ലിക് കീ വാട്ട്സാപ്പിന്റെ സെർവറുകളിലേക്ക് അപ്ലോഡ് ചെയ്യപ്പെടും. അതേസമയം പ്രൈവറ്റ് കീ നിങ്ങളുടെ ഫോണിൽ തന്നെയായിരിക്കും ഇരിക്കുക. പബ്ലിക് കീ വാട്ട്സാപ് സെർവറുകളിൽ നിന്ന് മറ്റ് വാട്ട്സാപ്പ് ഉപഭോക്താക്കൾക്ക് ലഭ്യമായിരിക്കും.
നിങ്ങൾ അമേരിക്കയിലുള്ള സുഹൃത്തിന് ഒരു സന്ദേശം അയയ്ക്കുക ആണെന്നിരിക്കട്ടെ, അതിനായി അദ്ദേഹത്തിൻറെ പബ്ലിക് കീ വാട്സ്ആപ്പ് സെർവറുകൾ നിന്ന് നിങ്ങൾക്ക് ഡൗൺലോഡ് ചെയ്യാം, ആ കീ ഉപയോഗിച്ചു സന്ദേശത്തെ എൻക്രിപ്റ്റ് ചെയ്യാം. ഇനി ഈ എൻക്രിപ്റ്റഡ് സന്ദേശം ഇൻറർനെറ്റ് വഴി സുഹൃത്തിന് അയക്കാം. ഈ സന്ദേശം സുഹൃത്തിന് പ്രൈവറ്റ് കീ ഉപയോഗിച്ച് മാത്രമേ തുറക്കാനാകൂ. കാരണം ഇത് എൻക്രിപ്റ്റ് ചെയ്തത് അദ്ദേഹത്തിന്റെ പബ്ലിക് കീ ഉപയോഗിച്ചാണ്. തുറക്കണമെങ്കിൽ സുഹൃത്തിന്റെ പ്രൈവറ്റ് കീ തന്നെ വേണം.
ഇത്തരം എൻ ക്രിപ്ഷൻ സംവിധാനങ്ങൾ ഇന്റർനെറ്റിൽ വ്യാപകമായി ഉപയോഗിക്കുന്നുണ്ട്. ഉദാഹരണത്തിന് നമ്മൾ ഓൺലൈൻ ബാങ്കിംഗ് നടത്തുമ്പോൾ നമ്മുടെ കമ്പ്യൂട്ടറും ബാങ്കിന്റെ സെർവറും തമ്മിൽ https എന്ന പ്രോട്ടോകോളാണ് ഉപയോഗിക്കുന്നത്. ഇടയ്ക്ക് ഉള്ള ഒരാൾക്ക് പാസ്വേർഡ്, പിൻ തുടങ്ങിയവ ചോർത്തിയെടുക്കാനുള്ള സാധ്യത ഇങ്ങനെ ഇല്ലാതാക്കുന്നു.
രാഷ്ട്രീയവും സാമ്പത്തികവുമായ ലാഭത്തിന് വേണ്ടി സന്ദേശങ്ങൾ ചോർത്തിയെടുത്ത് വായിക്കാൻ താൽപര്യപ്പെടുന്ന നിരവധി പേർ ലോകത്തുണ്ട്. പ്രത്യേകിച്ചും രാഷ്ട്രീയക്കാർ, അധികാര സ്ഥാനത്തുള്ളവർ തുടങ്ങിയവരുടെ.
എൻഡ് ടു എൻഡ് എൻക്രിപ്ഷൻ ഉപയോഗിക്കുന്ന ഇടങ്ങളിൽ സന്ദേശങ്ങൾ വായിച്ചെടുക്കാൻ എൻക്രിപ്ഷനു പുറത്ത് പ്രവർത്തിക്കുന്ന സംവിധാനങ്ങൾ ഉണ്ടാക്കേണ്ടി വരും. നിങ്ങളറിയാതെ തന്നെ നിങ്ങളുടെ ഫോണിൽ കടന്നു കയറി സന്ദേശങ്ങൾ വായിച്ചെടുക്കുക എന്നതാണ് ഇതിനുള്ള വഴി. സ്പൈവെയറുകൾ ഫോണിൽ ഇൻസ്റ്റാൾ ചെയ്യുക എന്നതാണ് ഹാക്കർമാർ ഇതിനായി ഉപയോഗിക്കുന്ന മാർഗ്ഗം. അറിഞ്ഞുകൊണ്ട് ആരും ഇത്തരം ഒരു സംവിധാനം ഫോണിൽ കയറ്റിവെക്കില്ല. ഇവിടെയാണ് ഹാക്കർമാരും സൈബർ രംഗത്തെ ചാരപ്രവർത്തനം നടത്തുന്നവരും വളഞ്ഞ വഴികളുപയോഗിക്കുന്നത്. എന്തൊക്കെ രീതികളാണ് ഇതിന് ഉപയോഗിക്കുന്നതെന്ന് നോക്കാം.
സോഷ്യൽ എൻജിനിയറിംഗ് വഴി നിങ്ങളെ വിശ്വാസത്തിലെടുത്ത് ഫോണിൽ കടന്നു കയറാനാകുമോ എന്ന് പലരും നോക്കാറുണ്ട്. വളരെ ആകർഷകമായ ഒരു ഓഫർ ലഭിക്കുന്ന ലിങ്ക് അയച്ചു തരുന്നത് ഇത്തരം ഒരു വഴിയാണ്. ലിങ്കിൽ ക്ലിക്ക് ചെയ്ത് ഏതെങ്കിലും സൈറ്റിൽ നിന്ന് ആപ്പുകൾ ഇൻസ്റ്റാൾ ചെയ്യാനാവശ്യപ്പെടുകയാകും അടുത്ത പടി. അങ്ങനെ ഇൻസ്റ്റാൾ ആകുന്ന പ്രോഗ്രാം നിങ്ങളുടെ വിവരങ്ങൾ ചോർത്തിയേക്കാം. ഇത്തരം പ്രോഗ്രാമുകൾ നിങ്ങളുടെ പാസ്വേർഡ്, ഒ ടി പി, കോൺടാക്ട് ഡിറ്റെയിൽസ്, ബാങ്ക് വിവരങ്ങൾ എന്നിവ ചോർത്തിയേക്കാം.. ചിലയിടങ്ങളിൽ വിലപിടിപ്പുള്ള ഡാറ്റാ എൻ ക്രിപ്റ്റ് ചെയ്ത് മോചനദ്രവ്യം ആവശ്യപ്പെടുന്ന രീതിയും കാണാറുണ്ട്. ഇത്തരം മാൽവെയറുകൾ എല്ലാം വ്യാപകമായി install ചെയ്യാനായി തയ്യാർ ചെയ്തിട്ടുള്ളവയാക്കും. പിറകിൽ സൈബർ ക്രമിനലുകളാകും ഉണ്ടാവുക.
ഇപ്പോൾ വിവാദത്തിലായ ഇസ്രേയലി കമ്പനിയൊക്കെ ഇത്തരം മാർക്കറ്റിലാണ് പ്രവർത്തിക്കുന്നത്. വളരെ ടാർജറ്റഡ് ആയി സന്ദേശം ചോർത്തിയെടുക്കാൻ പറ്റുമോ എന്നാണ് ഇവർ നോക്കുന്നത്.
പലപ്പോഴും സോഫ്റ്റ്വെയറുകളുടെ ഡിസൈനിലും നിർമ്മാണത്തിലും പിഴവുകൾ ഉണ്ടാകാറുണ്ട്. ഇവ മറ്റേതൊരുൽപന്നത്തിലും ഉണ്ടായേക്കാവുന്ന പിഴവുകൾ പോലെ തന്നെയാണ്.
ബഗ്ഗുകൾ ഉപയോഗിച്ച് ഫോണിലും കമ്പ്യുട്ടറിലും രഹസ്യമായി കടന്നു കയറാൻ സാധ്യതകളുള്ളതിനാൽ ഇവയെ ഡാർക്ക് വെബിൽ വിൽക്കുക എന്നതാണ് അടുത്ത വഴി. ഹാക്കർ ഗ്രൂപ്പുകളും സൈബർ കുറ്റകൃത്യങ്ങൾ നടത്തുന്നവരും ഇത്തരം ബഗ്ഗുകളുപയോഗിച്ച് സ്പൈ വെയറുകളും റാൻസം വെയറുകളും ഉണ്ടാക്കും. സമീപകാലത്ത് ഇത് ഒരു ക്രമിനൽ ഇൻഡ്രസ്ടിയായി മാറിയിട്ടുണ്ട്.
2019 ൽ നടന്ന ഫോൺ ചോർത്തൽ വിവാദത്തിൽ ഇവർ തന്നെയായിരുന്നു പ്രതിസ്ഥാനത്ത്. അന്ന് വാട്സ്ആപ്പിലെ ഒരു ബഗ് ആയിരുന്നു ഇതിനായി ഉപയോഗിക്കപ്പെട്ടത്. അന്ന് ഉപയോഗിച്ച രീതി ഏകദേശം ഇങ്ങനെയാണ്. ചോർത്തേണ്ട ഫോണിലേക്ക് ഒരു വാട്ട്സാപ് വീഡിയോ കോൾ വിളിക്കും. എതിർ പക്ഷത്തുള്ള ആൾ ഫോൺ എടുക്കുന്നതിന് മുമ്പ് കട്ട് ചെയ്യും. ഇത്തരം മിസ്ഡ് കോൾ കൈകാര്യം ചെയ്യുന്നിടത്ത് വാട്സാപ്പിൽ ഒരു ബഗ് ഉണ്ടായിരുന്നു. ഈ പിഴവ് മുതലെടുത്തു നിങ്ങളുടെ ഫോണിലേക്ക് കോളിനൊപ്പം ഒരു കൊച്ച് പ്രോഗ്രാം ഇൻസർട്ട് ചെയ്യാൻ സാധിക്കുമെന്നതായിരുന്നു ബഗ്. (വാട്സ്ആപ്പ് അടുത്ത അപ്ഡേറ്റിൽ ഇത് തിരുത്തി).
ഇത്തരം അറ്റാക്കുകളിൽ നിന്ന് രക്ഷപെട്ടു നിൽക്കാൻ പലപ്പോഴും എളുപ്പമല്ല. പ്രത്യേകിച്ചും സിസ്റ്റം ലെവലിലുള്ള ബഗ്ഗുകൾ ഉപയോഗിക്കുന്നവയിൽ നിന്ന്. എങ്കിലും നമുക്ക് ചെയ്യാവുന്ന ചെറിയ ചില മുൻകരുതലുകളുണ്ട്. സോഷ്യൽ എൻജിനിയറിംഗ് അറ്റാക്കുകളിൽ നിന്ന് സുരക്ഷിതരാകാൻ ഇതുപകരിക്കും.