Nandakumar Edamana
Share on:
@ R t f

ക്രാക്ക്: വൈഫൈ സുരക്ഷ വീണ്ടും ചോദ്യമാവുന്നു


പബ്ലിക് വൈഫൈ ആര്‍ത്തിയോടെ ഉപയോഗിക്കുന്നവരെ നോക്കി കംപ്യൂട്ടര്‍ വിദഗ്ധര്‍ സഹതപിക്കാറുണ്ട്. പൊതു ഹോട്ട്സ്പോട്ടുകളുടെ സുരക്ഷാപ്രശ്നം അവര്‍ക്ക് അറിയാമെന്നതുതന്നെ കാരണം. എന്നാല്‍ എന്‍ക്രിപ്ഷന്‍ ഉള്ള വൈഫൈ ഉപയോഗിക്കാന്‍ ആരും മടിക്കാറില്ല. കാരണം, എന്‍ക്രിപ്റ്റഡ് ആശയവിനിമയം മറ്റാര്‍ക്കും വായിക്കാനാവില്ലെന്നതുതന്നെ.

എന്നാല്‍ ലോകവ്യാപകമായി ഉപയോഗിച്ചുവരുന്ന വൈഫൈ എന്‍ക്രിപ്ഷന്‍ സ്റ്റാന്‍ഡേഡിന്റെ സുരക്ഷ ചോദ്യം ചെയ്യപ്പെടുകയാണ്. 'ക്രാക്ക്' (KRACK) എന്ന സുരക്ഷാഭീഷണിയാണ് വൈഫൈ ഉപയോക്താക്കളുടെ പുതിയ ആശങ്ക.

പബ്ലിക് വൈഫൈ: ആകര്‍ഷകം, പക്ഷേ അപകടകരം

ബസ് സ്റ്റോപ്പിലും റെയില്‍വേ സ്റ്റേഷനിലുമെല്ലാം വൈഫൈ സാധാരണമായിക്കഴിഞ്ഞു. നടക്കുന്നിടത്തെല്ലാം ഇന്റര്‍നെറ്റ് കണക്റ്റിവിറ്റി ലഭിക്കുന്നത് ഒരു നഗരത്തിന്റെ വളര്‍ച്ചയുടെ അടയാളമായി. ഏറെ ആകര്‍ഷകമായ ഈ സംവിധാനത്തിന്റെ അപകടം പക്ഷേ പലരും മനസ്സിലാക്കിയിട്ടില്ല.

ഇന്റര്‍നെറ്റ് എന്നത് ഒരു തുറന്ന ശൃംഖലയാണ്. പല കൈകള്‍ കടന്നാണ് നാമയയ്ക്കുന്ന ഡേറ്റയും നമുക്കയയ്ക്കുന്ന ഡേറ്റയും ലക്ഷ്യസ്ഥാനത്തെത്തുന്നത്. എച്ച്ടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകളാണെങ്കില്‍ സൈറ്റിനും നമുക്കുമിടയിലുള്ള ആശയവിനിമയം മറ്റാര്‍ക്കും വായിക്കാനാവാത്ത രൂപത്തിലായിരിക്കും. അല്ലാത്തപക്ഷം നാം ടൈപ്പുചെയ്തുനല്കുന്ന പാസ്‌വേഡുക‍ള്‍ പോലും ഇടനിലക്കാര്‍ക്ക് വായിക്കാം.

വയേഡ് നെറ്റ്‌വര്‍ക്കുളുടെ കാലത്ത് ഇത് പക്ഷേ കുറച്ച് ബുദ്ധിമുട്ടായിരുന്നു. കേബിളുകള്‍ മുറിക്കാനോ ശൃംഖലയിലെ സുപ്രധാന കംപ്യൂട്ടറുകളുടെ നിയന്ത്രണമേറ്റെടുക്കാനോ മെനക്കെട്ടവര്‍ക്കുമാത്രമേ അന്യരുടെ ഡേറ്റ വായിക്കാനും തിരുത്താനും കഴിഞ്ഞിരുന്നുള്ളൂ. എന്നാല്‍ നെറ്റ്‌വര്‍ക്ക് വയര്‍ലെസ് ആകുന്നതോടെ കാര്യം വളരെ എളുപ്പമാവുകയാണ്. നിങ്ങള്‍ എന്ത് സന്ദര്‍ശിക്കുന്നു എന്നറിയാനും നിങ്ങളുടെ പാസ്‍വേഡുകള്‍ മോഷ്ടിക്കാനും ആഗ്രഹിക്കുന്ന ഒരാള്‍ക്ക് ഒരു ലാപ്ടോപ്പുമായി അടുത്ത് വന്നിരിക്കേണ്ട കാര്യമേയുള്ളൂ. വയര്‍ഷാര്‍ക്ക് പോലുള്ള ഒരു പാക്കറ്റ് സ്നിഫര്‍ ഉപയോഗിച്ച് നിങ്ങളുടെ ഇന്റര്‍നെറ്റ് ഉപയോഗം അയാള്‍ക്ക് നിരീക്ഷിക്കാം. വെപ് (WEP) എന്‍ക്രിപ്ഷന്‍ ഉപയോഗപ്പെടുത്തുന്ന വൈഫൈ പാക്കറ്റുകള്‍ അധികം വൈകാതെ തുറന്നുവായിക്കാമെന്നത് തെളിയിക്കപ്പെട്ടുകഴിഞ്ഞതാണ്. ഇപ്പോഴിതാ, നിലവിലെ സ്റ്റാന്‍ഡേഡ് ആയ ഡബ്ലിയുപിഎ 2-വും സുരക്ഷിതമല്ലെന്ന് വന്നിരിക്കുന്നു.

എന്താണ് 'ക്രാക്ക്'?

എന്‍ക്രിപ്ഷന്‍ ഏര്‍പ്പെടുത്തുന്ന വൈഫൈ നെറ്റ്‌വര്‍ക്കുകളില്‍പ്പോലും ഹാക്കര്‍ക്ക് മറ്റുള്ളവരുടെ ആശയവിനിമയം ചോര്‍ത്താന്‍ വഴിയൊരുരുക്കുന്ന ആക്രമണരീതിയാണ് ലളിതമായിപ്പറഞ്ഞാല്‍ 'ക്രാക്ക്' (KRACK - Key Reinstallation Attack). 2016-ല്‍ മാത്തി വാന്‍ഹോഫ് (Mathy Vanhoef), ഫ്രാങ്ക് പീസന്‍സ് (Frank Piessens) എന്നീ ഗവേഷകര്‍ ആണ് ഇത് കണ്ടെത്തിയത്. വിശദവിവരങ്ങള്‍ ഈ വര്‍ഷം മാത്രമാണ് പ്രസിദ്ധീകരിച്ചത്.

ഡബ്ലിയുപിഎ 2 (Wi-Fi Protected Access II) ആണ് ഇന്ന് വൈഫൈ നെറ്റ്‌വര്‍ക്കുളില്‍ വ്യാപകമായി ഉപയോഗിച്ചുവരുന്ന എന്‍ക്രിപ്ഷന്‍ സ്റ്റാന്‍ഡേഡ്. ഇതിലെ സുരക്ഷാപ്പിഴവാണ് 'ക്രാക്ക്'. റീസെറ്റ് അപേക്ഷ ആവര്‍ത്തിച്ചയയ്ക്കുകവഴി മറ്റൊരുപയോക്താവിന്റെ ആശയവിനിമയം ഡീക്രിപ്റ്റ് ചെയ്യാനാവശ്യമായ കീ കണ്ടെത്താന്‍ ഈ പിഴവ് വഴിയൊരുക്കും. അങ്ങനെ എന്‍ക്രിപ്റ്റഡ് നെറ്റ്‌വര്‍ക്കിലും ഹാക്കര്‍ക്ക് മറ്റൊരാളുടെ ആശയവിനിമയം ചോര്‍ത്താം.

ബാധിക്കുന്നതാരെ? എന്താണ് പരിഹാരം

വൈഫൈ സ്റ്റാന്‍ഡേഡില്‍ത്തന്നെയുള്ള പിഴവായതിനാല്‍ ഇത് എല്ലാ വൈഫൈ ഉപകരണങ്ങള്‍ക്കും ഒരുപോല ബാധകമാണ്. എന്നാല്‍ ഡബ്ലിയുപിഎയ്ക്കായി wpa_supplicant എന്ന സോഫ്റ്റ്‌വെയര്‍ ഉപയോഗപ്പെടുത്തുന്നതിനാല്‍ ലിനക്സ്, ആന്‍ഡ്രോയിഡ് സിസ്റ്റങ്ങള്‍ക്ക് ഭീഷണി കൂടും.

ക്രാക്കിനുള്ള അടിയന്തരഫിക്സുകള്‍ പ്രമുഖ ഓപ്പറേറ്റിങ് സിസ്റ്റങ്ങളെല്ലാം പുറത്തിറക്കിയിട്ടുണ്ട്. ഓപ്പറേറ്റിങ് സിസ്റ്റത്തിന്റെ ഓട്ടോമാറ്റിക് സെക്യൂരിറ്റി അപ്‍ഡേറ്റുകള്‍ എനേബിള്‍ ചെയ്തിട്ടുണ്ടെങ്കില്‍ ഇത് നിങ്ങള്‍ക്ക് ലഭിക്കേണ്ടതാണ്. ക്രാക്കിനുള്ള പാച്ച് മൈക്രോസോഫ്റ്റ് ഒക്റ്റോബര്‍ പത്തിന് ലഭ്യമാക്കിയിട്ടുണ്ടെന്നാണ് അറിയുന്നത്. അവരുടെ പതിവ് അപ്ഡേറ്റുകളുടെ ഭാഗമായാണിത്. ഓട്ടോമാറ്റിക് അപ്ഡേറ്റുകള്‍ പിന്തുടരുന്നില്ലെങ്കില്‍ ഗ്നു/ലിനക്സ് ഉപയോക്താക്കള്‍ wpasupplicant (അണ്ടര്‍സ്കോര്‍ ഇല്ല) എന്ന പാക്കേജ് സ്വന്തം നിലയ്ക്ക് അപ്‍ഡേറ്റ് ചെയ്യാവുന്നതാണ്. ഡെബീയനും ഉബുണ്ടുവും മറ്റും ഉപയോഗിക്കുന്നവര്‍ക്ക് ഈ രണ്ടു കമാന്‍ഡുകള്‍ ഉപയോഗിക്കാം:

sudo apt-get update
sudo apt-get install wpasupplicant

ആന്‍ഡ്രോയിഡിന്റെ ഒരു ഡിസ്ട്രിബ്യൂഷനായ ലീനിയേജ് ഓഎസ് ഇതിനെതിരെ മുന്‍കരുതലെടുത്തിട്ടുണ്ടെന്നാണ് വാര്‍ത്ത. ആന്‍ഡ്രോയിഡിനുവേണ്ടിയുള്ള ഗൂഗിളിന്റെ പാച്ച് നവംബറില്‍ പുറത്തിറങ്ങിയേക്കും. എന്നാല്‍ ഇത് സാധാരണക്കാരിലെത്തിക്കേണ്ടത് സ്മാര്‍ട്ട്ഫോണ്‍ നിര്‍മാതാക്കള്‍ തന്നെയാണ്.

പാച്ച് ലഭിച്ചാലും ഏറെ സ്വകാര്യത വേണ്ട കാര്യങ്ങള്‍ക്ക് പബ്ലിക് വൈഫൈ ഉപയോഗിക്കാതിരിക്കുന്നതാണ് നല്ലത്.

ഏതെല്ലാം സൈറ്റുകളാണ് സുരക്ഷിതം?

നമുക്കും സെര്‍വറിനുമിടയിലെ ആശയവിനിമയം മറ്റുള്ളവര്‍ക്ക് വായിക്കാനും തിരുത്താനും കഴിയുമോ എന്നത് നാം ഏത് പ്രൊട്ടോക്കോള്‍ ഉപയോഗിക്കുന്നു എന്നതനുസരിച്ചിരിക്കും. സാധാരണ എച്ച്ടിടിപി പ്രൊട്ടോക്കോള്‍ വഴി ഒരു സൈറ്റ് സന്ദര്‍ശിക്കുമ്പോള്‍ ആശയവിനിമയം തീര്‍ത്തും അരക്ഷിതമാണ്. എന്നാല്‍ എച്ച്ടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകളാണെങ്കില്‍ ഏത്ര തുറന്ന നെറ്റ്‍വര്‍ക്കിലും നമുക്കും സെര്‍വറിനുമിടയിലെ ആശയവിനിമയം എന്‍ക്രിപ്റ്റഡ് ആയിരിക്കും. ഇത്തരം സൈറ്റുകള്‍ സന്ദര്‍ശിക്കുമ്പോള്‍ അഡ്രസ്‌ബാറില്‍ ഒരു പച്ചപ്പൂട്ട് കാണാം. സൈറ്റിന്റെ വിലാസം തുടങ്ങുക http:// എന്നതിന് പകരം https:// എന്നായിരിക്കും.

എച്ച്ടിടിപിഎസ് സൈറ്റുകള്‍ സന്ദര്‍ശിക്കുമ്പോള്‍ നിങ്ങള്‍ സന്ദര്‍ശിച്ച പേജുകള്‍ ഏതാണെന്നുപോലും ആര്‍ക്കും മനസ്സിലാക്കാനാവില്ല -- നിങ്ങളുടെ ഇന്റര്‍നെറ്റ് സേവനദാതാവിനുപോലും. സൈറ്റിന്റെ ഡൊമൈന്‍ നാമം മാത്രം ലഭിക്കും. ഉദാഹരണത്തിന്, നിങ്ങള്‍ https://example.com/page1 സന്ദര്‍ശിച്ചാല്‍ example.com സന്ദര്‍ശിച്ചു എന്നല്ലാതെ page1 സന്ദര്‍ശിച്ചു എന്ന് മനസ്സിലാകില്ല.

പാസ്‍വേഡ് പോലുള്ള രഹസ്യവിവരങ്ങള്‍ ഇത്തരം പേജുകളില്‍ മാത്രമേ നല്കാവൂ. ദൌര്‍ഭാഗ്യവശാല്‍ പല സൈറ്റുകളുടെയും ലോഗിന്‍ പേജുകള്‍ പോലും എച്ച്ടിടിപിഎസ് അല്ല. ലോഗിന്‍ പേജില്‍ എച്ചിടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകള്‍ മറ്റു പേജുകളില്‍ ഇത് നിര്‍ബന്ധമാക്കുന്നുമില്ല. പബ്ലിക് വൈഫൈയുടെയും മറ്റും കാലത്ത് എല്ലാ സൈറ്റുകളും പൂര്‍ണമായും എച്ച്ടിടിപിഎസ് പിന്തുണയ്ക്കേണ്ടതാണ്. ഇതിനുള്ള ശ്രമങ്ങള്‍ വ്യാപകമായി നടക്കുന്നുണ്ട്. letsencrypt.org സൗജന്യമായി ടിഎല്‍എസ് സര്‍ട്ടിഫിക്കറ്റുകള്‍ ലഭ്യമാക്കുന്നു. ഗൂഗിളാകട്ടെ എച്ച്ടിടിപിഎസ് അല്ലാത്ത സൈറ്റുകളുടെ സേര്‍ച്ച് റാങ് കുറച്ചിരിക്കുകയാണ്.

ബ്രൗസിങ്ങുമായി ബന്ധപ്പെട്ടാണ് എച്ച്ടിടിപിഎസ്സിന്റെ കാര്യം പറഞ്ഞത്. എഫ്‌ടിപി, ടെല്‍നെറ്റ്, എസ്എംടിപി, ഐമാപ് തുടങ്ങിയ പ്രൊട്ടോക്കോളുകള്‍ക്കെല്ലാം എച്ച്ടിടിപിയ്ക്കുള്ള അതേ സുരക്ഷാപ്രശ്നങ്ങളുണ്ട്. ടിഎല്‍എസ്സിന്റെ സഹായത്തോടെ എച്ച്ടിടിപിയെ എച്ച്ടിടിപിഎസ് ആക്കിമാറ്റുന്നതുപോലെ ഈ പ്രൊട്ടോക്കോളുകള്‍ക്കും എന്‍ക്രിപ്ഷന്‍ ഏര്‍പ്പെടുത്താം. വൈബ്‌സൈറ്റ് നിര്‍മാതാക്കള്‍ ഇത് ശ്രദ്ധിക്കേണ്ടതാണ് (ഫയലുകള്‍ അപ്‌ലോഡ് ചെയ്യാന്‍ ഏറെ പേര്‍ ആശ്രയിക്കുന്നത് എഫ്‌ടിപിയാണല്ലോ).

വിപിഎന്‍ ഉപയോഗിക്കാം

എച്ച്ടിടിപിഎസ് മാത്രമല്ല സൈറ്റുകള്‍ സുരക്ഷിതമാക്കാനുള്ള മാര്‍ഗം. നിങ്ങളുടെ ഓണ്‍ലൈന്‍ ബിസിനസ് ശൃംഖലയും മറ്റും കൈകാര്യം ചെയ്യാന്‍ വിപിഎന്നും ഉപയോഗിക്കാം. ഇന്റര്‍നെറ്റ് പോലുള്ള ഒരു തുറന്ന നെറ്റ്‌വര്‍ക്കിനുള്ളില്‍ എന്‍ക്രിപ്റ്റഡ് ആയ ഒരു സ്വകാര്യശൃംഖല സൃഷ്ടിക്കുകയാണ് വിപിഎന്‍ (Virtual Private Network).


Click here to read more like this. Click here to send a comment or query.