ஷோடன் - SHODAN THE SCARIEST SEARCH ENGINE

என்ன புதுசா இருக்குன்னு பாக்குறீங்களா? கூகுள் மாதிரி, இதுவும் ஒரு SEARCH ENGINE (shodan.io). கூகுள் இருக்கும் போது இந்த செர்ச் இஞ்சின் என்னத்த பெருசா தேடிற போதுனு தோனுதுல்ல? கூகுள்ல, நமக்கு தேவைப்படும் வெப்சைட்டை தேடலாம். ஆனால், ஷோடனை பயன்படுத்தி இன்டர்நெட்ல கனெக்ட் ஆகி இருக்கும் கருவிகளை கண்டுபிடிக்கலாம். (உதாரணத்திற்கு, இன்டர்நெட்ல கனெக்ட் ஆகி இருக்கும் ப்ரிண்டர், வெப்கேமரா, ரௌட்டர் மற்றும் பல). மேலும், எத்தனை கருவிகளில் பாதுகாப்பு அம்சங்கள் குறைவாக இருக்கிறது என்பதையும் தெரிந்து கொள்ளலாம். இதற்கு முந்தைய பதிவுகளில் பார்த்த இருள்வலை போல மறைமுகமாக இயங்காமல், வெளிப்படையாக இயங்குகிறது, ஷோடன். ஒரு இடத்தில் இருந்து இயங்காமல், பல நாடுகளில் இருந்து இயங்குகிறது ஷோடன். அதனால், ஷோடனை முடக்குவது ரொம்ப கஸ்டம். பாதுகாப்பு அம்சங்களில் இருக்கும் ஓட்டைகளை சொல்வதில் தவறொன்றுமில்லை என்பதால் பல நாடுகள் ஷோடனை விட்டுவைத்திருக்கிறது. 

ஷோடன் வெப்சைட்

விஞ்ஞானிகள் கூறுவது போல, மூன்றாம் உலகப் போர் என்று ஒன்று வந்தால், நாடுகள் ஒன்றோடு ஒன்று மறைமுகமாக தாக்கிக் கொள்ளுமே தவிர, நேருக்கு நேர் ஆயுதம் ஏந்தி போரிடப் போவதில்லை. மறைமுகமான தாக்குதல், இன்டர்நெட் வழியாகவோ அல்லது நோய்க் கிருமிகளை பரப்புவதன் மூலமோ இருக்கலாம். இன்டர்நெட் வழியாக தாக்கினால் அது என்னவாக இருக்கும்? பெரும்பாலும் அனைத்து அரசு நிறுவனங்களும் கம்ப்யூட்டர் வழியே செயல்படுகிறது. இதனால், கம்யூட்டரில் சேமிக்கும் அரசு ஆவணங்கள், ஒப்பந்தங்கள், பாதுக்காப்பான கட்டிடங்களின் ப்ளூ ப்ரிண்ட், என்று பலவற்றை திருடலாம். சொல்வதற்கு எளிதாக தெரியலாம். ஆனால், அத்தனை எளிதல்ல. இதை தவிற, வேறு எந்த துறைகளை தாக்க வாய்ப்பிருக்கிறது என்று யோசித்தால், முதலில் நியாபகத்திற்கு வருவது “மின்சாரத்துறை”. பவர் க்ரிட் நிறுவனங்களை, கை வச்சா, நாடே இருட்டாயிடுமே!!

மங்காத்தா படத்துல பணத்தை கொள்ளை அடிக்க டிராபிக் சிக்னல்ல ப்ரேம்ஜி தன் கட்டுப்பாட்டுக்குள் கொண்டு வருவதுபோல ஒரு காட்சி வரும். இது நடைமுறையில் சாத்தியம் தான். ஆனா நாம நினைக்குற மாதிரி எல்லா சிக்னலையும் கட்டுப்படுத்த முடியாது. படத்திற்கு உண்மை தேவையில்லை. அதனால்தான் என்னவோ ஹாக் பண்றதை ரொம்ப ஈஸியா காட்சிப் படுத்தியிருப்பார்கள்.

தப்பு செஞ்சு வசமா சிக்கிக்கொண்டால், கோர்ட் கேஸ்ல இருந்து வெளிய வர, முதலில் சட்டத்தில் உள்ள ஓட்டைய கண்டுபிடிச்சி, பின்னர் சாட்சிகளை கலைச்சி, பல தில்லுமுல்லு பண்ணினா, கடைசியா வெற்றி பெறலாம். அதையும் நிச்சயமா சொல்ல முடியாது. இதே மாதிரிதாங்க ஹாக்கிங்க்கும். முதல்ல இன்டர்நெட்ல கனெக்ட் ஆகி இருக்கும் கருவிகளை தேடணும். அதுக்கப்புறம், அதுல நமக்கு தேவையான கருவியை கண்டுபிடிக்கணும். பின்னர், கருவிக்குள் நுழைய எதாச்சும் வாசல் (PORT) திறந்திருக்கானு பாக்கணும், இப்படி நிறைய விஷயங்கள் இருக்கு. தமிழ் படத்துல காமிக்குற மாதிரி அவ்வளவு ஈஸிலாம் கிடையாது.

தொழிற்சாலைகள், பொது இடங்கள், அரசு நிறுவனங்கள் என்று பல இடங்களில் “SCADA” என்னும் கருவி பயன்படுத்தப்படுகிறது. உதாரணத்திற்கு, நீர்தேக்க நிலையங்களில் தண்ணீர் வால்வுகளை திறக்க, மூட பயன்படுகிறது (கத்தி படத்தில விவசாயிகளின் கஷ்டத்தை வெளியுலகத்திற்கு தெரிய படுத்த, சிட்டிக்கு போற தண்ணி குழாய்க்குள்ள தர்ணா பண்ணுவார் விஜய். SCADA இருக்குனு தெரிஞ்சிருந்தா, இருந்த இடத்துல இருந்துட்டே தண்ணிய நிறுத்திருப்பாரே!!!!!. இப்படி, மின் நிலையம், அனுமின் நிலையம், அனல் மின் நிலையம் என்று SCADA பயன்படுத்தப்படும் பட்டியல் நீளும். இத்தனை முக்கியமான SCADA வின் பாதுக்காப்பு ஓட்டைகளை, ஷோடன் படம் போட்டு காட்டுகிறது. இந்த விவரங்கள் அனைத்தும் ஹாக் செய்ய காத்திருக்கும் நபர்களுக்கு ஒரு வரப்பிரசாதம். 

ஏற்கனவே பார்த்தது போல, ஒரு கருவியின் உள்ளே செல்ல வேண்டும் என்றால் அந்த கருவியில் திறந்திருக்கும் வாசலை (இதை குதை என்று அழைக்கிறார்கள்) கண்டறிய வேண்டும். உதாரணத்திற்கு கணினி, இன்டர்நெட்டில் தன்னை கனெக்ட் செய்ய 8080 என்னும் வாசலை பயன்படுத்துமாம். இது போல ஒரு கருவிக்கு பல வாசல்கள் இருக்கும். ஒவ்வொரு வாசலுக்கும் தனி அனுமதி இருக்கும். உதாரணத்திற்கு, வாசல் 3389 வழியே ஒரு கருவிக்குள் நுழைந்தால், அந்த கருவியில் பயன்படுத்தப்படும் “ஆப்ரேட்டிங்க் சிஸ்டத்தை” (விண்டோஸா, உபுண்டுவா) தெரிந்துக்கொள்ளலாம். ஒரு கருவியை தாக்கணும்னா முதல்ல அது எந்த ஆப்ரேட்டிங்க் சிஸ்டத்தில் வேலை செய்யுதுனு கண்டுபிடிக்கணும்.

உலகத்தில இருக்குற கருவிகள்ல, எந்தெந்த கருவிக்கு எந்தெந்த வாசல்கள் திறந்திருக்குனு ஒருத்தர் சொன்னா எப்படி இருக்கும்? அந்த வேலையை தான் ஷோடன் பார்க்குது. அதுமட்டுமல்ல, எந்தெந்த கருவிகள் “default” பாஸ்வேர்டு பயன்படுத்துகிறது என்பதையும் சொல்கிறது. யுஸர் நேம் மற்றும் பாஸ்வேர்டு ஒரே பெயராக இருப்பது, பாஸ்வேர்டுக்கு பாஸ்வேர்டுனே இருப்பது, இல்லனா 12345678 னு, இதைத்தான் default னு சொல்வார்கள். இந்த வேலையை நாடு வாரியா, கருவிகள் வாரியா, திறந்திருக்கும் வாசல்கள் வாரியா தனி தனியா கண்டுபிடிச்சு ஷோடன் சொல்கிறது. இந்த விவரங்கள் ஹாக்கர்ஸ்க்கு பெரிதும் உதவுகிறது. 

ஷோடனை பயன்படுத்தி பெரும் நிறுவனங்களின் ரகசிய மீட்டிங் நடக்கும் இடத்தில் இருக்கும் கேமராக்களை ஹாக் செய்ய முடியும் என்று யுகே யில் உள்ள ராபிட்7 என்னும் நிறுவனம் கூறியுள்ளது. பெரும்பாலும், நிறுவனங்களின் வளர்ச்சி குறித்த விவாதங்கள், அறிமுகம் செய்யப்போகும் பொருட்கள், புதிய வடிவமைப்பு என்று பலவும் விடியோ கான்ஃப்ரஸிங் மூலம் நடப்பதால், அந்த அறையில் இருக்கும் வெப்காமிராவை ஹாக் செய்வதன் மூலம் ரகசியங்களை திருடலாம். பன்னாட்டு நிறுவனமான “கோல்ட்மேன் சாக்” என்னும் நிறுவனத்தின் வெப்காமிராவை ஹாக் செய்து, நாம் பார்த்த அனைத்தையும் செயலில் காட்டியது ராபிட்7 [குறிப்பு]. பல பாதுகாப்பு அம்சங்களில் கவனம் செலுத்தும் நிறுவனங்கள், வெப் காமிராக்கள் போன்ற சிறு கருவிகளை கண்டுகொள்வதில்லை. இதே போல், அலுவலகம் செல்லும் பெண்கள், வீட்டில் இருக்கும் குழந்தைகளை வெப் காமிராக்கள் மூலம் கண்காணிக்கின்றனர். விடை தெரியா கேள்வி போல், இதில் எத்தனை காமிராக்கள் பாதுகாப்பாக இருக்கிறதோ.

ஷோடன் பற்றிய செயல் விளக்கம் தரும் வெப்சைட்டுகள், தாங்கள் எளிதாக ஹாக் செய்தவற்றை வெளியிட்டுள்ளனர் [குறிப்பு][குறிப்பு][குறிப்பு]. மேலே படத்தில் இருப்பதுபோல், உங்களுக்கு சொந்த அனுபவம் வேண்டுமா? ஷோடனை திறந்து CISCO INDIA என்று டைப் செய்து பாருங்கள். சில முடிவுகளை காண்பிப்பதோடு, இதன் உரிமையாளர் நீங்கள் இல்லை என்றால் உடனே வெளியே செல்லுங்கள் என்று எச்சரிக்கும். இதற்கு மேலும் உள்ளே செல்ல விரும்பினால், முழுதும் உங்கள் பொறுப்பே!!!!!!!!!!!!!!!!!!!!!

"விடாமல் உழைக்கும் மருத்துவர்கள், செவிலியர்கள், அரசு அதிகாரிகள் மற்றும் கொரோனாவை தடுக்க உதவும் நாட்டின் ஒவ்வொரு குடிமக்களுக்கும் என் பணிவான நன்றி" - மருதாணி.