கேள்வி : பெனிட்டிரேஷன் டெஸ்டிங் (penetration testing) என்றால் என்ன?
சற்று விரிவாகக் கூறுங்கள்.
என் பதில் :..
பெனிட்ரேசன் டெஸ்டிங்கிற்கு முன்னாடி நாம தெரிஞ்சுக்க வேன்டிய விஷயம் சில இருக்கு.
வழக்கமா உங்களுக்கு முக்கியமான பொருட்களை எங்க வைப்பீங்க? அது பாதுகாப்பான இடத்துல இருக்குதான்னு எப்படி உறுதி செய்வீங்க?
டிவி, பிரிட்ஜனா வீட்டுல வைப்போம். காசு, பணம்னா பேங்க்ல வைப்போம். ஒரு வேளை தங்க நகையா இருந்தா இரும்புப் பெட்டியில வைப்போம். முக்கியமா எல்லாத்தையும் பூட்டி வைப்போம்.
உறுதி தானே, பூட்ட ஒரு தடவை இழுத்துப் பார்ப்போம். கதவா இருந்தா, அதை ஒரு தடவை தள்ளியோ இழுத்தோ பார்ப்போம்.
அதெல்லாம் சரி தான். ஆனால் இந்த பேங்க் அக்கவுண்ட்ல இருக்கற பணம் பத்திரமா இருக்கானு எப்படி தெரிஞ்சுக்கறது?
அவங்களும் பெரிய பூட்டா போட்டு பூட்டி வெச்சிருப்பாங்க. லாக்கர் வசதிகள் இருக்கும்.
தொழில்னுட்பம் வளர வளர நம்முடைய விரல் அசைவில் எல்லாப் பணத்தையும் வேற ஒரு அக்கவுண்டுக்கு மாற்ற முடியும்.
என்ன தம்பி ரொம்ப லென்த்தா போறீங்க, இதுக்கும் பென் டெஸ்டிங்கிற்கும் என்ன சம்பந்தம்?
உங்கள் கடவுச்சொல் தெரியாமலும், உங்கள் வங்கிக் கணக்கைப் பார்க்கவும், பணப் பரிமாற்றம் செய்யவும் முடியும். வங்கி மட்டுமில்லை, நீங்கள் இணையத்தில் செய்யும் அத்தனையையும் கவனிக்க முடியும். ஹிஸ்டரியில் போய் கிலியர் செய்தால் எல்லாம் போய்விடும் என்று நினைக்க வேண்டாம்.
ஒரு இணையதளம் அல்லது ஒரு செயலி இருக்கிறதென்றால், அதனுடைய பாதுகாப்பு அம்சங்களை சோதனை செய்யும் ஒருமுறை தான் பென் டெஸ்டிங்க்.
இந்த சோதனையின் முடிவில், உங்கள் இணையதளம், அல்லது செயலியில் எங்கு பாதுகாப்பு குறைவாக உள்ளது என்பதனை கண்டறியலாம்.
உதாரணமாக, சாப்ட்வேர் அப்டேட் செய்யப்படாத கருவிகள், தேவையில்லாமல் திறந்து இருக்கு போர்ட்டுகள், எந்த அணுக்கமும் கேட்காமல் இயங்கும் சார்வீஸ்கள் போன்ற பெரிய லிஸ்ட் வரும்.
அதன் பிறகு அங்கு என்ன வகையான தரவு உள்ளது, அதன் மதிப்பு என்ன, அதை மாற்ற முடியுமா என்று ஆராய்வது.
இந்தியாவின் முக்கிய தரவான ஆதார் தகவல்கள் திருடப்பட்டது இந்த பென் டெஸ்டிங்க் செய்யாமல் விட்டதால் அல்லது சரியாக செய்யாமல் விட்டது தான்.
"எதிரியை எப்போதும் குறைத்து எடைபோடாதே, உன்னுடைய பலவீனம் என்பதையும் தெரிந்து கொள்" என்ற தத்துவமே பென் டெஸ்டிங்க்.
எடுத்துக்காட்டாக, Nessus (Nessus Product Family) என்ற இக்கருவியை நம் வலைத்தளத்தின் மீது ஏவினால், நம் வலைப்பக்கம் தளத்தின் அத்தனை பலவீனத்தையும் பட்டியலிட்டு விடும்.
இதையெல்லாம் சரி செய்துவிட்டால், நாம் பாதுகாப்பாக இருப்போமா? நிச்சயமா சொல்ல முடியாது, ஆனால் இரண்டாவது பூட்டு போட்டது போல தான்.
வல்லவனுக்கு வல்லவன் இவ்வையகத்தில் உண்டு.இது தொழில்நுட்பம் உலகம் ...
நன்றி ...
சற்று விரிவாகக் கூறுங்கள்.
என் பதில் :..
பெனிட்ரேசன் டெஸ்டிங்கிற்கு முன்னாடி நாம தெரிஞ்சுக்க வேன்டிய விஷயம் சில இருக்கு.
வழக்கமா உங்களுக்கு முக்கியமான பொருட்களை எங்க வைப்பீங்க? அது பாதுகாப்பான இடத்துல இருக்குதான்னு எப்படி உறுதி செய்வீங்க?
டிவி, பிரிட்ஜனா வீட்டுல வைப்போம். காசு, பணம்னா பேங்க்ல வைப்போம். ஒரு வேளை தங்க நகையா இருந்தா இரும்புப் பெட்டியில வைப்போம். முக்கியமா எல்லாத்தையும் பூட்டி வைப்போம்.
உறுதி தானே, பூட்ட ஒரு தடவை இழுத்துப் பார்ப்போம். கதவா இருந்தா, அதை ஒரு தடவை தள்ளியோ இழுத்தோ பார்ப்போம்.
அதெல்லாம் சரி தான். ஆனால் இந்த பேங்க் அக்கவுண்ட்ல இருக்கற பணம் பத்திரமா இருக்கானு எப்படி தெரிஞ்சுக்கறது?
அவங்களும் பெரிய பூட்டா போட்டு பூட்டி வெச்சிருப்பாங்க. லாக்கர் வசதிகள் இருக்கும்.
தொழில்னுட்பம் வளர வளர நம்முடைய விரல் அசைவில் எல்லாப் பணத்தையும் வேற ஒரு அக்கவுண்டுக்கு மாற்ற முடியும்.
என்ன தம்பி ரொம்ப லென்த்தா போறீங்க, இதுக்கும் பென் டெஸ்டிங்கிற்கும் என்ன சம்பந்தம்?
உங்கள் கடவுச்சொல் தெரியாமலும், உங்கள் வங்கிக் கணக்கைப் பார்க்கவும், பணப் பரிமாற்றம் செய்யவும் முடியும். வங்கி மட்டுமில்லை, நீங்கள் இணையத்தில் செய்யும் அத்தனையையும் கவனிக்க முடியும். ஹிஸ்டரியில் போய் கிலியர் செய்தால் எல்லாம் போய்விடும் என்று நினைக்க வேண்டாம்.
ஒரு இணையதளம் அல்லது ஒரு செயலி இருக்கிறதென்றால், அதனுடைய பாதுகாப்பு அம்சங்களை சோதனை செய்யும் ஒருமுறை தான் பென் டெஸ்டிங்க்.
இந்த சோதனையின் முடிவில், உங்கள் இணையதளம், அல்லது செயலியில் எங்கு பாதுகாப்பு குறைவாக உள்ளது என்பதனை கண்டறியலாம்.
உதாரணமாக, சாப்ட்வேர் அப்டேட் செய்யப்படாத கருவிகள், தேவையில்லாமல் திறந்து இருக்கு போர்ட்டுகள், எந்த அணுக்கமும் கேட்காமல் இயங்கும் சார்வீஸ்கள் போன்ற பெரிய லிஸ்ட் வரும்.
அதன் பிறகு அங்கு என்ன வகையான தரவு உள்ளது, அதன் மதிப்பு என்ன, அதை மாற்ற முடியுமா என்று ஆராய்வது.
இந்தியாவின் முக்கிய தரவான ஆதார் தகவல்கள் திருடப்பட்டது இந்த பென் டெஸ்டிங்க் செய்யாமல் விட்டதால் அல்லது சரியாக செய்யாமல் விட்டது தான்.
"எதிரியை எப்போதும் குறைத்து எடைபோடாதே, உன்னுடைய பலவீனம் என்பதையும் தெரிந்து கொள்" என்ற தத்துவமே பென் டெஸ்டிங்க்.
எடுத்துக்காட்டாக, Nessus (Nessus Product Family) என்ற இக்கருவியை நம் வலைத்தளத்தின் மீது ஏவினால், நம் வலைப்பக்கம் தளத்தின் அத்தனை பலவீனத்தையும் பட்டியலிட்டு விடும்.
இதையெல்லாம் சரி செய்துவிட்டால், நாம் பாதுகாப்பாக இருப்போமா? நிச்சயமா சொல்ல முடியாது, ஆனால் இரண்டாவது பூட்டு போட்டது போல தான்.
வல்லவனுக்கு வல்லவன் இவ்வையகத்தில் உண்டு.இது தொழில்நுட்பம் உலகம் ...
நன்றி ...
கருத்துகள் இல்லை:
கருத்துரையிடுக