പബ്ലിക് വൈഫൈ ആര്ത്തിയോടെ ഉപയോഗിക്കുന്നവരെ നോക്കി കംപ്യൂട്ടര് വിദഗ്ധര് സഹതപിക്കാറുണ്ട്. പൊതു ഹോട്ട്സ്പോട്ടുകളുടെ സുരക്ഷാപ്രശ്നം അവര്ക്ക് അറിയാമെന്നതുതന്നെ കാരണം. എന്നാല് എന്ക്രിപ്ഷന് ഉള്ള വൈഫൈ ഉപയോഗിക്കാന് ആരും മടിക്കാറില്ല. കാരണം, എന്ക്രിപ്റ്റഡ് ആശയവിനിമയം മറ്റാര്ക്കും വായിക്കാനാവില്ലെന്നതുതന്നെ.
എന്നാല് ലോകവ്യാപകമായി ഉപയോഗിച്ചുവരുന്ന വൈഫൈ എന്ക്രിപ്ഷന് സ്റ്റാന്ഡേഡിന്റെ സുരക്ഷ ചോദ്യം ചെയ്യപ്പെടുകയാണ്. 'ക്രാക്ക്' (KRACK) എന്ന സുരക്ഷാഭീഷണിയാണ് വൈഫൈ ഉപയോക്താക്കളുടെ പുതിയ ആശങ്ക.
പബ്ലിക് വൈഫൈ: ആകര്ഷകം, പക്ഷേ അപകടകരം
ബസ് സ്റ്റോപ്പിലും റെയില്വേ സ്റ്റേഷനിലുമെല്ലാം വൈഫൈ സാധാരണമായിക്കഴിഞ്ഞു. നടക്കുന്നിടത്തെല്ലാം ഇന്റര്നെറ്റ് കണക്റ്റിവിറ്റി ലഭിക്കുന്നത് ഒരു നഗരത്തിന്റെ വളര്ച്ചയുടെ അടയാളമായി. ഏറെ ആകര്ഷകമായ ഈ സംവിധാനത്തിന്റെ അപകടം പക്ഷേ പലരും മനസ്സിലാക്കിയിട്ടില്ല.
ഇന്റര്നെറ്റ് എന്നത് ഒരു തുറന്ന ശൃംഖലയാണ്. പല കൈകള് കടന്നാണ് നാമയയ്ക്കുന്ന ഡേറ്റയും നമുക്കയയ്ക്കുന്ന ഡേറ്റയും ലക്ഷ്യസ്ഥാനത്തെത്തുന്നത്. എച്ച്ടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകളാണെങ്കില് സൈറ്റിനും നമുക്കുമിടയിലുള്ള ആശയവിനിമയം മറ്റാര്ക്കും വായിക്കാനാവാത്ത രൂപത്തിലായിരിക്കും. അല്ലാത്തപക്ഷം നാം ടൈപ്പുചെയ്തുനല്കുന്ന പാസ്വേഡുകള് പോലും ഇടനിലക്കാര്ക്ക് വായിക്കാം.
വയേഡ് നെറ്റ്വര്ക്കുളുടെ കാലത്ത് ഇത് പക്ഷേ കുറച്ച് ബുദ്ധിമുട്ടായിരുന്നു. കേബിളുകള് മുറിക്കാനോ ശൃംഖലയിലെ സുപ്രധാന കംപ്യൂട്ടറുകളുടെ നിയന്ത്രണമേറ്റെടുക്കാനോ മെനക്കെട്ടവര്ക്കുമാത്രമേ അന്യരുടെ ഡേറ്റ വായിക്കാനും തിരുത്താനും കഴിഞ്ഞിരുന്നുള്ളൂ. എന്നാല് നെറ്റ്വര്ക്ക് വയര്ലെസ് ആകുന്നതോടെ കാര്യം വളരെ എളുപ്പമാവുകയാണ്. നിങ്ങള് എന്ത് സന്ദര്ശിക്കുന്നു എന്നറിയാനും നിങ്ങളുടെ പാസ്വേഡുകള് മോഷ്ടിക്കാനും ആഗ്രഹിക്കുന്ന ഒരാള്ക്ക് ഒരു ലാപ്ടോപ്പുമായി അടുത്ത് വന്നിരിക്കേണ്ട കാര്യമേയുള്ളൂ. വയര്ഷാര്ക്ക് പോലുള്ള ഒരു പാക്കറ്റ് സ്നിഫര് ഉപയോഗിച്ച് നിങ്ങളുടെ ഇന്റര്നെറ്റ് ഉപയോഗം അയാള്ക്ക് നിരീക്ഷിക്കാം. വെപ് (WEP) എന്ക്രിപ്ഷന് ഉപയോഗപ്പെടുത്തുന്ന വൈഫൈ പാക്കറ്റുകള് അധികം വൈകാതെ തുറന്നുവായിക്കാമെന്നത് തെളിയിക്കപ്പെട്ടുകഴിഞ്ഞതാണ്. ഇപ്പോഴിതാ, നിലവിലെ സ്റ്റാന്ഡേഡ് ആയ ഡബ്ലിയുപിഎ 2-വും സുരക്ഷിതമല്ലെന്ന് വന്നിരിക്കുന്നു.
എന്താണ് 'ക്രാക്ക്'?
എന്ക്രിപ്ഷന് ഏര്പ്പെടുത്തുന്ന വൈഫൈ നെറ്റ്വര്ക്കുകളില്പ്പോലും ഹാക്കര്ക്ക് മറ്റുള്ളവരുടെ ആശയവിനിമയം ചോര്ത്താന് വഴിയൊരുരുക്കുന്ന ആക്രമണരീതിയാണ് ലളിതമായിപ്പറഞ്ഞാല് 'ക്രാക്ക്' (KRACK - Key Reinstallation Attack). 2016-ല് മാത്തി വാന്ഹോഫ് (Mathy Vanhoef), ഫ്രാങ്ക് പീസന്സ് (Frank Piessens) എന്നീ ഗവേഷകര് ആണ് ഇത് കണ്ടെത്തിയത്. വിശദവിവരങ്ങള് ഈ വര്ഷം മാത്രമാണ് പ്രസിദ്ധീകരിച്ചത്.
ഡബ്ലിയുപിഎ 2 (Wi-Fi Protected Access II) ആണ് ഇന്ന് വൈഫൈ നെറ്റ്വര്ക്കുളില് വ്യാപകമായി ഉപയോഗിച്ചുവരുന്ന എന്ക്രിപ്ഷന് സ്റ്റാന്ഡേഡ്. ഇതിലെ സുരക്ഷാപ്പിഴവാണ് 'ക്രാക്ക്'. റീസെറ്റ് അപേക്ഷ ആവര്ത്തിച്ചയയ്ക്കുകവഴി മറ്റൊരുപയോക്താവിന്റെ ആശയവിനിമയം ഡീക്രിപ്റ്റ് ചെയ്യാനാവശ്യമായ കീ കണ്ടെത്താന് ഈ പിഴവ് വഴിയൊരുക്കും. അങ്ങനെ എന്ക്രിപ്റ്റഡ് നെറ്റ്വര്ക്കിലും ഹാക്കര്ക്ക് മറ്റൊരാളുടെ ആശയവിനിമയം ചോര്ത്താം.
ബാധിക്കുന്നതാരെ? എന്താണ് പരിഹാരം
വൈഫൈ സ്റ്റാന്ഡേഡില്ത്തന്നെയുള്ള പിഴവായതിനാല് ഇത് എല്ലാ വൈഫൈ ഉപകരണങ്ങള്ക്കും ഒരുപോല ബാധകമാണ്. എന്നാല് ഡബ്ലിയുപിഎയ്ക്കായി wpa_supplicant എന്ന സോഫ്റ്റ്വെയര് ഉപയോഗപ്പെടുത്തുന്നതിനാല് ലിനക്സ്, ആന്ഡ്രോയിഡ് സിസ്റ്റങ്ങള്ക്ക് ഭീഷണി കൂടും.
ക്രാക്കിനുള്ള അടിയന്തരഫിക്സുകള് പ്രമുഖ ഓപ്പറേറ്റിങ് സിസ്റ്റങ്ങളെല്ലാം പുറത്തിറക്കിയിട്ടുണ്ട്. ഓപ്പറേറ്റിങ് സിസ്റ്റത്തിന്റെ ഓട്ടോമാറ്റിക് സെക്യൂരിറ്റി അപ്ഡേറ്റുകള് എനേബിള് ചെയ്തിട്ടുണ്ടെങ്കില് ഇത് നിങ്ങള്ക്ക് ലഭിക്കേണ്ടതാണ്. ക്രാക്കിനുള്ള പാച്ച് മൈക്രോസോഫ്റ്റ് ഒക്റ്റോബര് പത്തിന് ലഭ്യമാക്കിയിട്ടുണ്ടെന്നാണ് അറിയുന്നത്. അവരുടെ പതിവ് അപ്ഡേറ്റുകളുടെ ഭാഗമായാണിത്. ഓട്ടോമാറ്റിക് അപ്ഡേറ്റുകള് പിന്തുടരുന്നില്ലെങ്കില് ഗ്നു/ലിനക്സ് ഉപയോക്താക്കള് wpasupplicant (അണ്ടര്സ്കോര് ഇല്ല) എന്ന പാക്കേജ് സ്വന്തം നിലയ്ക്ക് അപ്ഡേറ്റ് ചെയ്യാവുന്നതാണ്. ഡെബീയനും ഉബുണ്ടുവും മറ്റും ഉപയോഗിക്കുന്നവര്ക്ക് ഈ രണ്ടു കമാന്ഡുകള് ഉപയോഗിക്കാം:
sudo apt-get update sudo apt-get install wpasupplicant
ആന്ഡ്രോയിഡിന്റെ ഒരു ഡിസ്ട്രിബ്യൂഷനായ ലീനിയേജ് ഓഎസ് ഇതിനെതിരെ മുന്കരുതലെടുത്തിട്ടുണ്ടെന്നാണ് വാര്ത്ത. ആന്ഡ്രോയിഡിനുവേണ്ടിയുള്ള ഗൂഗിളിന്റെ പാച്ച് നവംബറില് പുറത്തിറങ്ങിയേക്കും. എന്നാല് ഇത് സാധാരണക്കാരിലെത്തിക്കേണ്ടത് സ്മാര്ട്ട്ഫോണ് നിര്മാതാക്കള് തന്നെയാണ്.
പാച്ച് ലഭിച്ചാലും ഏറെ സ്വകാര്യത വേണ്ട കാര്യങ്ങള്ക്ക് പബ്ലിക് വൈഫൈ ഉപയോഗിക്കാതിരിക്കുന്നതാണ് നല്ലത്.
ഏതെല്ലാം സൈറ്റുകളാണ് സുരക്ഷിതം?
നമുക്കും സെര്വറിനുമിടയിലെ ആശയവിനിമയം മറ്റുള്ളവര്ക്ക് വായിക്കാനും തിരുത്താനും കഴിയുമോ എന്നത് നാം ഏത് പ്രൊട്ടോക്കോള് ഉപയോഗിക്കുന്നു എന്നതനുസരിച്ചിരിക്കും. സാധാരണ എച്ച്ടിടിപി പ്രൊട്ടോക്കോള് വഴി ഒരു സൈറ്റ് സന്ദര്ശിക്കുമ്പോള് ആശയവിനിമയം തീര്ത്തും അരക്ഷിതമാണ്. എന്നാല് എച്ച്ടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകളാണെങ്കില് ഏത്ര തുറന്ന നെറ്റ്വര്ക്കിലും നമുക്കും സെര്വറിനുമിടയിലെ ആശയവിനിമയം എന്ക്രിപ്റ്റഡ് ആയിരിക്കും. ഇത്തരം സൈറ്റുകള് സന്ദര്ശിക്കുമ്പോള് അഡ്രസ്ബാറില് ഒരു പച്ചപ്പൂട്ട് കാണാം. സൈറ്റിന്റെ വിലാസം തുടങ്ങുക http:// എന്നതിന് പകരം https:// എന്നായിരിക്കും.
എച്ച്ടിടിപിഎസ് സൈറ്റുകള് സന്ദര്ശിക്കുമ്പോള് നിങ്ങള് സന്ദര്ശിച്ച പേജുകള് ഏതാണെന്നുപോലും ആര്ക്കും മനസ്സിലാക്കാനാവില്ല -- നിങ്ങളുടെ ഇന്റര്നെറ്റ് സേവനദാതാവിനുപോലും. സൈറ്റിന്റെ ഡൊമൈന് നാമം മാത്രം ലഭിക്കും. ഉദാഹരണത്തിന്, നിങ്ങള് https://example.com/page1 സന്ദര്ശിച്ചാല് example.com സന്ദര്ശിച്ചു എന്നല്ലാതെ page1 സന്ദര്ശിച്ചു എന്ന് മനസ്സിലാകില്ല.
പാസ്വേഡ് പോലുള്ള രഹസ്യവിവരങ്ങള് ഇത്തരം പേജുകളില് മാത്രമേ നല്കാവൂ. ദൌര്ഭാഗ്യവശാല് പല സൈറ്റുകളുടെയും ലോഗിന് പേജുകള് പോലും എച്ച്ടിടിപിഎസ് അല്ല. ലോഗിന് പേജില് എച്ചിടിടിപിഎസ് ഉപയോഗിക്കുന്ന സൈറ്റുകള് മറ്റു പേജുകളില് ഇത് നിര്ബന്ധമാക്കുന്നുമില്ല. പബ്ലിക് വൈഫൈയുടെയും മറ്റും കാലത്ത് എല്ലാ സൈറ്റുകളും പൂര്ണമായും എച്ച്ടിടിപിഎസ് പിന്തുണയ്ക്കേണ്ടതാണ്. ഇതിനുള്ള ശ്രമങ്ങള് വ്യാപകമായി നടക്കുന്നുണ്ട്. letsencrypt.org സൗജന്യമായി ടിഎല്എസ് സര്ട്ടിഫിക്കറ്റുകള് ലഭ്യമാക്കുന്നു. ഗൂഗിളാകട്ടെ എച്ച്ടിടിപിഎസ് അല്ലാത്ത സൈറ്റുകളുടെ സേര്ച്ച് റാങ് കുറച്ചിരിക്കുകയാണ്.
ബ്രൗസിങ്ങുമായി ബന്ധപ്പെട്ടാണ് എച്ച്ടിടിപിഎസ്സിന്റെ കാര്യം പറഞ്ഞത്. എഫ്ടിപി, ടെല്നെറ്റ്, എസ്എംടിപി, ഐമാപ് തുടങ്ങിയ പ്രൊട്ടോക്കോളുകള്ക്കെല്ലാം എച്ച്ടിടിപിയ്ക്കുള്ള അതേ സുരക്ഷാപ്രശ്നങ്ങളുണ്ട്. ടിഎല്എസ്സിന്റെ സഹായത്തോടെ എച്ച്ടിടിപിയെ എച്ച്ടിടിപിഎസ് ആക്കിമാറ്റുന്നതുപോലെ ഈ പ്രൊട്ടോക്കോളുകള്ക്കും എന്ക്രിപ്ഷന് ഏര്പ്പെടുത്താം. വൈബ്സൈറ്റ് നിര്മാതാക്കള് ഇത് ശ്രദ്ധിക്കേണ്ടതാണ് (ഫയലുകള് അപ്ലോഡ് ചെയ്യാന് ഏറെ പേര് ആശ്രയിക്കുന്നത് എഫ്ടിപിയാണല്ലോ).
വിപിഎന് ഉപയോഗിക്കാം
എച്ച്ടിടിപിഎസ് മാത്രമല്ല സൈറ്റുകള് സുരക്ഷിതമാക്കാനുള്ള മാര്ഗം. നിങ്ങളുടെ ഓണ്ലൈന് ബിസിനസ് ശൃംഖലയും മറ്റും കൈകാര്യം ചെയ്യാന് വിപിഎന്നും ഉപയോഗിക്കാം. ഇന്റര്നെറ്റ് പോലുള്ള ഒരു തുറന്ന നെറ്റ്വര്ക്കിനുള്ളില് എന്ക്രിപ്റ്റഡ് ആയ ഒരു സ്വകാര്യശൃംഖല സൃഷ്ടിക്കുകയാണ് വിപിഎന് (Virtual Private Network).