ആ ഹാക്കിങ്ങിന് അത്ര മിടുക്കൊന്നും വേണ്ട... by നവീൻ

കേരള സർക്കാരിന്റെ ഔദ്യോഗിക വെബ്സൈറ്റിനു നേരെ നടന്നത് സൈബർ ആക്രമണങ്ങളിലെ ഏറ്റവും വ്യാപകമായതും എളുപ്പമുള്ളതുമായ ഹാക്കിങ് രീതി. അത്യാധുനിക ഹാക്കിങ് ടൂളുകളോ കാര്യമായ പ്രോഗ്രാമിങ് പരിചയമോ ഒന്നും ആവശ്യമില്ലാതെ ഒരു ബ്രൗസറിന്റെ മാത്രം സഹായത്തോടെ നടത്താവുന്ന ഹാക്കിങ് ആണ് പാകിസ്ഥാനിലേതെന്ന് അവകാശപ്പെടുന്ന ഹാക്കിങ് സംഘം പ്രയോഗിച്ചിരിക്കുന്നത്. കംപ്യൂട്ടർ നെറ്റ്‌വർക്ക് ആക്രമണങ്ങളിലെ സർവസാധാരണ രീതിയാണ് ഇൻപുട്ട് വാലിഡേഷൻ അറ്റാക്ക്. ഇതിലെ ഒരു രീതിയായ എസ്ക്യുഎൽ (Structured Query Language ) ഇൻജെക്‌ഷൻ ആക്രമണമാണ് പാകിസ്ഥാൻ സൈബർ ഹാക്കർമാർ നടത്തിയത്. ഇവിടെ സൈബർ സുരക്ഷാകവചങ്ങളല്ല ആക്രമിക്കപ്പെടുന്നത്, മറിച്ച് വെബ്സൈറ്റ് ഡെവലപ്മെന്റിനിടയിൽ പ്രോഗ്രാമിങ്ങിലുണ്ടായ ‘ലൂപ് ഹോളു’കളിലൂടെയാണ് ഹാക്കർമാർ ആക്രമിച്ചു കയറുന്നത്.ഹാക്കിങ് ലോകത്ത് പിച്ചവച്ചു തുടങ്ങുന്ന പിള്ളേർ എസ്ക്യുഎൽ ഇൻജെക്‌ഷനിലൂടെയാണ് പണി പഠിക്കുന്നതു തന്നെയെന്നു പറയുമ്പോഴറിയാം ഇതെത്ര മാത്രം എളുപ്പമാണെന്ന്. ഇതിന് സഹായകമായ ഓൺലൈൻ ട്യൂട്ടോറിയലുകളും എന്തിന് യൂട്യൂബ് വിഡിയോ വരെ ലഭ്യമാണ്. ലൈവ് ആയി ഒരു വെബ്സൈറ്റിനെ ഹാക്ക് ചെയ്ത് അതിനെപ്പറ്റി ക്ലാസെടുക്കുന്ന 18 മിനിറ്റുള്ള എസ്ക്യുഎൽ ഇൻജെക്‌ഷൻ ട്യൂട്ടോറിയൽ ഹാക്കർമാരുടെ പ്രിയപ്പെട്ട യൂട്യൂബ് വിഡിയോകളിലൊന്നാണ്. മണിക്കൂറുകളെടുത്ത് നടപ്പാക്കുന്ന എസ്ക്യുഎൽ ഇൻജെക്‌ഷനുകളുമുണ്ട്. ഏറ്റവുമാദ്യം സൈറ്റ് ആക്രമിച്ചു കയ്യടക്കുന്നതാണ് മിടുക്ക്.വെബ് ആപ്ലിക്കേഷനുകളെ ആക്രമണങ്ങളിൽ പ്രതിരോധിക്കാനുള്ള കവചമൊരുക്കുന്നതാണ് ഇൻപുട്ട് വാലിഡേഷൻ. വെബ്സൈറ്റ് തയാറാക്കുന്ന സമയത്ത് ഏതെല്ലാം വഴിയിലൂടെ സൈബർ ആക്രമണങ്ങൾക്ക് സാധ്യതയുണ്ടെന്ന് ഡെവലപ്പർമാർ ഇൻപുട്ട് വാലിഡേഷൻ ടെസ്റ്റ് നടത്തി പരിശോധിക്കുന്നതും സർവസാധാരണം. എന്നാൽ കേരള സർക്കാരിന്റെ ഔദ്യോഗിക വെബ്സൈറ്റ് തയാറാക്കുമ്പോൾ ഇത്തരത്തിൽ ‘ലൂപ് ഹോൾസ്’ കണ്ടെത്തി അവ ശരിയാക്കാൻ ശ്രമം നടന്നിട്ടില്ലെന്നു വേണം കരുതാൻ.ഓരോ ആക്രമണത്തിനു മുന്നോടിയായും വെബ്സൈറ്റുകളിൽ സെക്യൂരിറ്റി പഴുതുണ്ടോ എന്നറിയാനുള്ള ഹാക്കർമാരുടെ പല തന്ത്രങ്ങളിൽ ഒന്നിങ്ങനെ, വെറുതെ സൈറ്റുകളുടെ ലിങ്കുകൾ തുറന്ന് ഇടയ്ക്ക് അഡ്രസ് ബാറിന് വലത്തേയറ്റത്ത് ഒരു സിംഗിൾ ക്വാട്ട് ചിഹ്നമിട്ട് എന്റർ കൊടുത്താൽ മതി. 'Ooops..Error..' എന്ന മട്ടിൽ മെസേജ് വരും. വെബ്സൈറ്റിൽ പഴുതകളുണ്ട്, നിങ്ങൾ പണി തുടങ്ങിക്കോളൂ എന്ന് ഹാക്കർമാർക്കുള്ള സ്വാഗത സന്ദേശമാണിത്. പിന്നീട് ഘട്ടം ഘട്ടമായി എസ്ക്യുഎൽ (വായിൽത്തോന്നിയ വാക്കുകളും ചിഹ്നങ്ങളുമെന്നുമൊക്കെ ലളിതമായി പറയാം) ഇൻജെക്ട് ചെയ്ത് ഓരോ പേജുകളായി പൊളിച്ചടുക്കാം.ഉദാഹരണത്തിന്: എന്റർ ചെയ്യാൻ യൂസർ നെയിമും പാസ്‌വേഡും ആവശ്യമുള്ള വെബ്ൈസറ്റാണെങ്കിൽ പാസ്‌വേഡിന്റെ സ്ഥാനത്ത് ചുമ്മാതെ ഓരോ ചിഹ്നങ്ങളും മറ്റും ടൈപ്പ് ചെയ്താൽ മതി. ഇത് തുടർന്ന് 1000 വരെയൊക്കെ എത്തുമ്പോഴേയ്ക്കും അഡ്മിനിസ്ട്രേറ്ററുടെ അധികാരം ഹാക്കറുടെ കയ്യിലെത്താവുന്ന വിധത്തിലാകും കാര്യങ്ങൾ. ഏതെങ്കിലും ഡേറ്റയെപ്പറ്റി സേർച്ച് ചെയ്യുമ്പോഴോ മറ്റോ ഇൻപുട്ട് വാലിഡേഷൻ കാര്യക്ഷമമല്ലാതാകുമ്പോഴാണ് ഈ പ്രശ്നം. ലോഗ് ഇൻ സൗകര്യം, സേർച്ച് എൻക്വയറി, ഗസ്റ്റ് ബുക്ക്, ഫീഡ്ബാക്ക് തുടങ്ങിയ വഴികളിലൂടെയാണ് ഹാക്കർമാർ നുഴഞ്ഞുകയറ്റം ആരംഭിക്കുന്നതും.

സംസ്ഥാന സർക്കാരിന്റെ വെബ്സൈറ്റിൽ ഹോം പേജാണ് പാകിസ്ഥാൻ സംഘം തകർത്തത്. വേണമെന്നു വിചാരിച്ചാൽ അവർക്ക് അതിനകത്തെ സകല പേജുകളിലും കയറി ഡേറ്റകളും അടിച്ചുമാറ്റാവുന്നതേയുള്ളൂ. രഹസ്യമായി വിവരങ്ങൾ ചോർത്താവുന്ന മാൽവെയറുകളെയും കടത്തിവിടാം. ഇതെല്ലാം നടന്നിട്ടുണ്ടോയെന്ന് കൂടുതൽ അന്വേഷണങ്ങളിലേ വ്യക്തമാവൂ. വെബ്ൈസറ്റ് ഡെവലപ്മെന്റ് സമയത്ത് അൽപമൊന്ന് ശ്രദ്ധിച്ചിരുന്നെങ്കിൽ മനസിലാക്കാവുന്നതേയുള്ളൂ ഈ സുരക്ഷാപാളിച്ചകൾ. അത് തിരിച്ചറിയാതെ വരുമ്പോൾ സംഭവിക്കുന്നതോ, മാനഹാനിയും ചിലപ്പോഴൊക്കെ കോടിക്കണക്കിനു രൂപയുടെ നഷ്ടവും. സി–ഡിറ്റിനാണ് സർക്കാർ വെബ്സൈറ്റിന്റെ മേൽനോട്ടച്ചുമതല. നേരത്തെയുണ്ടായിരുന്ന പാളിച്ചകളിൽ പ്രാഥമിക തലത്തിലുള്ള പലതും പരിഹരിച്ച് ഇപ്പോൾ വെബ്സൈറ്റ് വീണ്ടും ലൈവ് ആയിട്ടുണ്ട്.വെബ്സൈറ്റ് നിർമാണ സമയത്ത് സൈബർ സുരക്ഷയും പ്രോഗ്രാമിങ്ങും തോളോടു തോൾ ചേർന്നു പോകേണ്ടതാണ്. ഓരോ വെബ്സൈറ്റും സോഫ്റ്റ്‌വെയറും പുറത്തിറക്കും മുൻപ് ഇൻപുട്ട് വാലിഡേഷൻ ടെസ്റ്റ് ചെയ്യേണ്ടതും നിർബന്ധം. ഗൂഗ്‌ളും മൈക്രോസോഫ്റ്റും ഉൾപ്പെടെയുള്ള വൻകിട കമ്പനികൾ ഇതിനായി വൻതുകയും ചെലവിടാറുണ്ട്. എന്നിട്ടുപോലും മൈക്രോസോഫ്റ്റിന്റെ ഹോട്ട്മെയിലിനുണ്ടായ ഇൻപുട്ട് വാലിഡേഷൻ പ്രശ്നം എത്തിക്കൽ ഹാക്കർമാരാണ് കണ്ടെത്തിയത്. ഉർവശീശാപം ഉപകാരം എന്ന മട്ടിൽ പറഞ്ഞാൽ കേരളത്തിലെ കമ്പനികളെയും സർക്കാർ സ്ഥാപനങ്ങളെയും വകുപ്പുകളെയുമെല്ലാം തങ്ങളുടെ വെബ്സൈറ്റുകളിലെ സെക്യൂരിറ്റി പിഴവ് മാത്രമല്ല നിർമാണ(പ്രോഗ്രാമിങ്) പിഴവു കൂടി പരിശോധിക്കാൻ നിർബന്ധിതരാക്കുന്നതായി ഈ പാക് ഹാക്കിങ്.