:கணனி
தொழில்நுட்பம்
Serious security flaws in Microsoft web browser
மைக்றோசொப்ட் இணைய மேலோடியில் ஆபத்தான பாதுகாப்பு குறைபாடுகள்
How safe is your computer?
உங்களது கணினி எவ்வளவு பாதுகாப்பான வகையில் இருக்கிறது?
By Mike Ingram
12 January 2002
Back to screen version
மைக்ரோசொப்டின் இயங்கு தளத்தை (Operating
Systems) நீங்கள் பாவிப்பவராக இருந்தால், ''உங்கள் கணினி
எவ்வளவு பாதுகாப்பாக இருக்கிறது'' என்ற கேள்விக்கான பதில், ''அவ்வளவு பாதுகாப்பாக இல்லை'' என்பதாகவே
இருக்கும்.
அமெரிக்காவிலும் மற்றும் தற்போது ஐரோப்பாவிலும் நம்பிக்கையின்மை தொடர்பான ஒரு
சில வழக்குகளின் மையத்தில் இருக்கும் மாபெரும் மென்பெருள் (Software)
நிறுவனம் இப்போது அதனது வாடிக்கையாளர்களின் அடிப்படை
பாதுகாப்புக்கு அதிகரித்தமுறையில் உறுதிப்படுத்துவதற்கு சாத்தியமற்று இருக்கிறது. முதலில் வெளியான இயங்கு தளங்களான
Windows
98 மற்றும் 95 இல் இல்லாத பல பாதுகாப்பு அம்சங்கள் தற்போது வெளியாகியிருக்கும்
Windows XP இயங்கு
தளத்தில் அறிமுகப்படுத்தியிருந்தபோதும், வைரஸ் பாதுகாப்பு எச்சரிக்கைகள் மற்றும் பாதுகாப்பு குறைவுகளுக்கான முன்னறிவுப்புகளை
தொடர்ச்சியாக பாவனையாளர்கள் இப்போதும் முகம்கொடுக்கினறனர்.
''ஒரே மூலக் கொள்கைள்'' ("same
origin policy") என அறியப்படும் ஒரு பாதுகாப்பு விதியை
புறக்கணிப்பதன் மூலம் ஒரு ஆபத்தான பாதுகாப்பு ஓட்டையை மைக்ரோசொப்ட் கொண்டிருக்கிறது என அண்மையில்
"The Pull" என்ற பெயரால் வழிநடத்தப்படும் ஒரு சுயாதீன ஆய்வாளர்கள்
குற்றம்சாட்டியுள்ளார்கள். ஒரு வித்தியாசமான window (கணணித்திரை)
ஒரு இணைய மேலோடியில் திறக்கப்பட்டிருக்கும் ஒரு வலைத்தளம் (website)
இன்னொரு வலைத்தளத்தை பாதிப்பதில் இருந்து தடுப்பதற்கான குழூக்குறியை (Code-குறியீடு)
இந்த விதி வரைகிறது.
JavaScript (ஜாவா ஸ்கிறிப்ட்) பரந்தளவில்
ஒரு scripting language ஆக உபயோகப்படுத்தப்பட்டு வருகிறது.
இது ஒரு வலைத்தளத்தை பதிவுசெய்தல், அச்சிடுதல் போன்ற பல நடவடிக்கைகளை சுயமாக செயல்படுத்தவல்லது. இதற்குள்
"document.open," எனப்படும் கட்டளைநிரலும்
(command) உள்ளடங்கியிருக்கிறது. இந்தக் கட்டளை நிரல், குறிப்பிட்ட பாவனையாளர்களின்
செயல்பாடுகளுக்கு பதிலாக ஒரு இரண்டாவது இணைய மேலோடி window
திறக்கப்படுவதற்கு அனுமதிக்கும். ஒரு குறிப்பிட்ட ஆவணத்தின் அச்சுப்பிரதியை கொண்டிருக்கும் ஒரு இரண்டாவது
window திறப்பதற்குத்தான் இந்த கட்டளை நிரல் பொதுவாக பாவிக்கப்பட்டுவருகிறது.
புதிய window திறப்பதற்காக பயன்படுத்தப்படும் கட்டளை நிரலை
அடிக்கடி உபயோகப்படுத்தும் வலைத் தளங்கள் விளம்பரங்களையும் அல்லது ஏனைய செய்திகளையும் கொண்டிருக்கும்.
Netscape (உலகரீதியாக முதலாவதாக உபயோகப்படுத்தப்பட்ட
இணைய மேலோடி) இன் பொறியிலாளர்களால்
JavaScript security guide இன் பாகமாக அபிவிருத்தி செய்யப்பட்ட
"Same origin policy" கெடுதியான வலைத்தளங்கள் ஒன்றன்
மீது ஒன்று இயங்குவதையும் மற்றும் வித்தியாசமான windows இல் இணைய
மேலோடியால் திறக்கப்பட்டிருக்கும் இன்னொரு வலைத்தளத்தில் இருந்து நுணுக்கமான (sensitive)
தகவல்களை எடுப்பதையும் தடுப்பதன் பாகமாகவும் ஸ்தாபிக்கப்பட்டது.
மைக்றொசொப்ட் இந்த கொள்கையை புறக்கணித்து இருப்பதாகவும், அதனது பிரசித்தி
பெற்ற 5.5, 6.0 Internet Explorer
இணைய மேலோடிகள் அப்படியான ஒரு பிரதிபண்ணும் செயல்பாட்டிற்கு அனுமதியளிக்கின்றன
என "The Pul"
பிரகடனம் செய்திருக்கிறது. இது ஒரு தாக்குதலாளரை(attacker)
ஒரு பார்வையாளரின் cookie files
இருந்து திருடுவதற்கான சாத்தியத்தைக்கொண்ட ஒரு பிரேத்தியாகமாக உருவாக்கப்பட்ட
வலைத்தளத்தினை நிறுவுவதற்கு அனுமதியளிக்கிறது. Cookies
என்பது அடிக்கடி ஒரு இணையத்திற்கு வந்துபோகும் பாவனையாளர்களை
இனம்காணுவதற்காக வலைத்தளங்களால் உபயோகப்படுத்தப்படும் ஓரிடத்தில் சேமிக்கப்பட்டிருக்கும் பதிவுகளாகும்.
பிரசித்திபெற்ற இணைய வர்த்தக வலைத்தளங்கள், Cookies
ஆனது பாவனையாளரின் இலக்கத்தில் இருந்து இரகசியச்சொல் மற்றும்
வங்கி அட்டையின் இலக்கம் வரை அனைத்து தகவல்களையும் கொண்டிருக்கும். அத்துடன் சாத்தியமான தனிப்பட்ட தகவல்களின்
திருட்டு Cookies
இல் அடங்கியிருக்கின்றன. ஒரு நம்பிக்கை மிகுந்த சட்டரீதியான ஒரு வலைத்தளத்திற்குத்தான்
வந்திருக்கிறேன் என ஒரு பாவனையாளரை நம்பும்படி செய்வதற்கு இந்த பாதுகாப்பு குறைபாடு பாவிக்கப்படலாம். உதாரணமாக,
அப்படியான ஒன்றான இணைய வங்கியில் ஒருவர் தனது தனிப்பட்ட தகவல்களை பதிவுசெய்துவைக்கலாம்.
நவம்பர் 8 இல் தான் இப்படியான ஒரு களவுமுறை வெளிப்படையாக அறிவிக்கப்பட்டது.
அதே நாள் "Active Scripting"
ஐ செயலிழக்கசொல்லி வாடிக்கையாளர்களுக்கு ஆலோசனைசெய்யும் ஒரு
பாதுகாப்பு அறிக்கை ஒன்றினை வெளியிடுவதற்கு மைக்ரோசொப்ட் நிர்ப்பந்தத்திற்குள்ளானது. குறிப்பிட்ட வலைத்தளங்களை
பார்ப்பதற்கான பாவனையாளர்களின் சாதமானதன்மையை தடைசெய்யும்போதும், அழிவுண்டாக்கும் வித்தியாசமான வலைத்தளத்தையும்,
மின்னஞ்சலை அடிப்படையாக கொண்டதுமான வலைத் தள பக்கங்களில் இருந்து அவர்களை அது பாதுகாக்கலாம்.
இந்த பாதுகாப்பு குறைபாடு பற்றிய செய்திக்கான மைக்ரோசொப்ற்றின் பதிலானது
நிறுவனத்தின் 'பொறுப்பின்மையை' இது அம்பலப்படுத்தியிருப்பதாக குற்றம் சாட்டுவதாக இருந்தது. நவம்பர் 8 அறிவித்தலுக்கு
முன்னர் பாதுகாப்பு ஓட்டையினைப் பற்றி எதுவுமே தெரியவில்லை என மைக்ரோசொப்ட் அறிவித்தது. எப்படியிருந்தபோதும்,
நவம்பர் 19 ZDNet UK technology
வலைத்தளத்தின் கட்டுரையின் பிரகாரம், நவம்பர் முதலாம் திகதிக்கு ஒரு கிழமைக்கு
முன்னரே இக்குறைபாட்டை பற்றி எச்சரிக்கப்பட்டோம் என்பதை பின்னர் நிறுவனம் ஏற்றுக்கொண்டுள்ளது.
அந்த எச்சரிக்கையினை பூரணமாக விசாரணை செய்வதற்கு இரண்டு வாரம் முழுவதுமாக
அவசியமாக இருந்தது என மைக்ரோசொப்ட் அறிவித்ததுடன், காலதாமத்தின் விளைவாக எந்தவித பாதுகாப்பு தாக்கமும்
இடம்பெறவில்லை என அழுத்தமாக குறிப்பிட்டது.
''நாம் உடனடியாக தெளிவாக பதிலளிக்கப்போவதில்லை-- எவ்வளவு நம்பத் தகுந்த அழிவுண்டாக்கும்
எச்சரிக்கையாக இருக்கிறது என்பதை வரையறுக்க நாம் கோதுமையை உமியில் இருந்து அரித்து எடுக்கவேண்டியிருக்கிறது,''
''தவறான அபாய ஒலியை உருவாக்கும் என்பதால் இந்த விவகாரத்தை நாம் விசாரணை செய்யும் வரை, இந்த விடயம்
பற்றிய ஒரு அறிக்கையை நாம் வெளியிடப்போவதில்லை'' என
Windows உற்பத்தியின் வியாபார மேலாளர்
Neil Laver, ZDNet
இடம் குறிப்பிட்டார்.
பாதுகாப்பு
பலவீனம் பற்றி பகிரங்கமாக அறிக்கை வெளியிடுவதற்கு மட்டும் மைக்ரோசொப்ட்
தவறவில்லை மாறாக அது பாதுகாப்பு ஓட்டை பற்றி எச்சரித்தவர்கள் எவருக்கும் எந்தவித
பதிலையும் அளிக்கவில்லை என
ZDNet அறிக்கைவிட்டது.
நவம்பர் 1 இல், தான் கண்டுபிடித்த ஒரு ஆபத்தான பாதுகாப்பு தாக்கத்தை
தொழில்நுட்ப விவரத்துடன் மைக்ரோசொப்டின்
பாதுகாப்பு பதிலளிப்பு மையத்திற்கு
IT security firm Online Solutions
என்னும் நிறுவனம்
கையளித்தது. அந்த எச்சரிக்கையை மைக்ரோசொப்ட் ஏற்றுக்கொண்டதுடன்,
தான் அந்த விவகாரத்தை கூடிய விரைவில் விசாரணை செய்வதாக உறுதியளித்து ஒரு வாரத்தின் பின்னரும்
மைக்ரோசொப்டிடம் இருந்து எந்த பதிலும் வராததால்,
Online Solutions பொதுமக்களிடம் இதனைக் கொண்டுபோக
முடிவெடுத்தது.
''நாம் பொறுப்பான காரியம் செய்தோம்-- வியாபாரத்திற்காக மென்பொருளை
உபயோகப்படுத்தும் மற்றும் தனிப்பட்ட தகவல்களை அதில் வைத்திருப்பதையிட்டு நம்பிக்கயை கொண்டிருக்கும் மக்கள்,
அவை பாதுகாப்பானதாக இல்லை என்பதால் குறிப்பிட்ட நாட்களுக்கு விழிப்புடன் இருக்கவும்''
Online Solutions
இன் நிர்வாக இயக்குனர்
Jyrki Salmi கூறினார்.
எந்த அர்த்தத்திலும் பாதுகாப்பு குறைபாடுகள் மைக்ரோசொப்ட் மென்பொருள்களுக்கு
மட்டும் மட்டுப்படுத்தப்பட்டதல்ல. பல இலட்சக்கணக்கான கணினி குழுக் குறிகளின்(computer
code) இழைகளை கொண்டிருக்கும்
Internet Explorer
போன்ற சிக்கலான பயன்பாட்டு
(applications)
குறைபாடுகளுக்கு புகழ்பெற்றவை. இவைகளில் எதுவும் பரிசோதனை செய்யும் நிலையில் கூட குறைபாடுகளை களையவில்லை.
பரந்த அளவில் ஒரு கணினி அமைப்பின் நிர்வாகிகளின் தொழில் பெரும்தொகையான எந்த அமைப்பிலும் செயல்படும்
பயன்பாட்டு
மற்றும் பயன்பாடுகளின் பாதுகாப்பு அறிவித்தல்களுக்கு பதிலளிக்கும் மென்பொருளை நிவர்த்தி செய்யும் நிரப்பும்
மென்பொருள்களை (patches)
உருவாக்குவதை கொண்டிருக்கிறது. பரந்த அளவில் மிக முக்கியமான பாதுகாப்பு குறைபாடுகள் ஆபத்தான பிரச்சனைகளை
விளைவாக்காத படியும், கூடிய விரைவில் சிக்கலான விடயங்களுக்கும் மென்பெருளை அபிவிருத்தி செய்பவர்கள் விரைவாக பதிலளிக்கவேண்டும்.
மைக்ரோசொப்ட் உடனான விவகாரமானது அதனது அனைத்து
programmes உம் குறைபாடுகளை கொண்டிருக்கின்றன என்பதல்ல
மாறாக ஏற்றுக்கொள்ளக் கூடிய காலத்திற்குள் நிவர்த்தி செய்வதை அது தவறிவிட்டது என்பதாகும். அத்துடன் அறியப்பட்ட
பலவீனங்களை, குறைந்தபட்சம் அண்மைய பிரச்சனையான
Active Scripting
ஐ செயலிழக்க செய்தலான எங்கும் கிடைக்கும் ஒரு சாதாரண காரியத்தைக் கூட
அதனது மென்பொருளின் பாவனையாளர்களுக்கு தெரியப்படுத்தவில்லை.
அப்படி ஒரு அறிவித்தலை தாம் வெளியிட்டிருந்தால் கெடுநோக்கமுள்ள தாக்குதலாளர்களை
(hackers)
அந்த பலகீனங்களை இட்டு அது விழிப்படைய வைத்திருக்கும் மற்றும் பாவனையாளர் பாதுகாப்புடன் மேலும் நிவர்த்தி செய்ய
வைத்திருக்கும் என மைக்ரோசொப்ட் கூறுகிறது. எதிரான பகிரங்கப்படுத்தலை தவிர்ப்பதற்கும், ஒரு கடினநிலையை
சாதாரணமாக விடுவதையுமே நிறுவனம் எதிர்பார்த்தது என்பதுதான் அதிகமாக ஏற்றுக்கொள்ளக்கூடியதாக இருக்கும் ஒரு
விளக்கமாகும்.
மைக்ரோசொப்ட்டுக்கு எதிரான ஏகபோக எதிர்ப்பு வழக்கு
அதனது ஏகபோக அத்துமீறலுக்காக மைக்ரோசொப்ட் நஸ்டஈடு செலுத்துவதற்கான
பாதையை கண்டுபிடிக்க ஐக்கிய அமெரிக்க நீதிமன்றங்கள் முயற்சித்தது. மற்றும் முதலில் ஒன்பது மாநிலங்கள் இந்த வழக்கில்
ஈடுபட்டதுடன் முன்வைக்கப்பட்ட தீர்வை தொடர்ச்சியாக நிராகரித்தன. நீதிபதி
Judge Jackson ஆலோசனை செய்ததுபோல், நிறுவனத்தின்
பாதுகாப்பு தோல்விகள் சந்தேகமற்ற முறையில் மாபெரும் மென்பெருள் நிறுவனம் இன்னும் நொருங்கிவிடவில்லை என்ற
அனுதாபங்களை பொங்கியெழவைக்கும்.
இவ்வழக்கு அதனது
இணைய மேலோடி சந்தையில் முன்னணி வகிப்பதற்காக
desktop செயற்பாடு
பொறியமைவு இயங்கு தளத்தில் (desktop operating
systems) மைக்ரோசொப்ட் எப்படி தனது ஏகபோகத்தை பயன்படுத்தியது
என்பதே அறியப்பட்ட முதல் வழக்கு விசாரணையாகும். ஒரு பரந்த பாவனையாளர்களை அடிப்படையாக கொண்டிருக்கும்
போட்டியாளரான Netscape
இணைய மேலோடி, Windows
இற்கு அபிவிருத்தி செய்யப்படும் பாவனைகளுக்கு ஒரு மாற்றீடு மேடையாக வந்துவிடுவதில்
இருந்து தடுப்தையே மைக்ரோசொப்ட் கவனம் கொண்டிருந்தது.
Netscape Navigator
ஐ விட Internet
Explorer மிக அற்புதமான உற்பத்தி என்பதாலே அது வெற்றிபெற்றது
என வழக்கு விசாரணையின் போது மைக்ரோசொப்ட் வலியுறுத்தியது. உண்மையில், விரிந்த உலக வலையத்தின் விரைவான
பிரசித்தியின் ஊடாகவே மைக்ரோசொப்ட் அறியப்பட்டதுடன்,
Netscape இடம் இருந்து பின்னணியை வெற்றிகொள்ளும் முயற்சியில்
இலவசமாக கொடுக்கப்பட்டதன் காரணமாகவே Internet
Explorer தீடீரென்று இடத்தைப் பிடித்துக்கொண்டது.
நீதிபதி Jackson
இன் ஆலோசனைகளின் அடிப்படை மறுப்பானது மைக்ரோசொப்ட்டில் ஏனைய
கட்டுப்பாடுகளுக்கு அழைப்புவிடவும், மென்பெருளின் முக்கியமான செயல்பாடுகளை வரையறை செய்யும்
Internet Explorer
இன் மூல வரைவு (source code)
இனை கிடைக்கும்படி உருவாக்கவேண்டும் என கோரிக்கை எழுப்பவும் தள்ளியுள்ளது.
தங்களின் தொழில்நுட்ப மேன்மையால் தான் தமது உற்பத்திகள் பரவலாக பாவிக்கப்படுகிறது
என விவாதிப்பதன் மூலம் தனது ஏகபோக நிலையை மைக்ரோசொப்ட் தொடக்கத்தில் நியாயப்படுத்த முனைந்தது. எப்படியிருந்தபோதும்,
''Open Source software" (திறந்த
மூல மென்பொருள்) இன் வளர்ச்சியும் மற்றும் குறிப்பாக இலவசமாக பாவிக்கக்கூடியதாக இருக்கும்
Linux இயங்குதளத்தில்
மென்பொருள்கள் செயல்படுவதும் மைக்ரோசொப்டின்
திசையில் ஒரு மாற்றத்தை உருவாக்கியுள்ளது.
Guardian Online
குறிப்பிட்டதன்படி, ''அது தொழில்நுட்பத்தை அடிப்படையாகக் கொண்ட தனது விவாதங்களை
கைவிட்டதுடன், பார்ப்பதற்கு அதிகரித்த அவநம்பிக்கையுடன் புத்திஜீவித சொத்தின் பக்கம் (intellectual
property) திரும்பியுள்ளது.
''அது தொடும் அனைத்திலும் ஒரு புத்திஜீவித சொத்துரிமை அடித்தளத்தில் தன்னை இணைத்துக்கொள்ளும்
Linux ஒரு
புற்றுநோயாக இருக்கிறது'' என மைக்ரோசொப்டின் தலைமை நிறைவேற்று அதிகாரி
Steve Ballmer குறிப்பிட்டதை பத்திரிக்கை மேற்கோள்
காட்டியது.
திறந்த மூலம் (Open
Source) என்பது சாதரணமாக ஒன்றுமில்லாமல் (செலவில்லாமல்)
சிலவற்றை பெற்றுக்கொள்ள விரும்பும் மக்கள் பற்றியது என மைக்ரோசொப்ட் குறிப்பிட்டபோதும், யதார்த்தத்தில் அதனது
வக்கீல்கள் அரிதாவே செலவுத்தொகை தொடர்பாக கவனம் கொண்டுள்ளார்கள். மென்பொருள் பாவனையாளர்கள்
source code
இனை இலவசமாய் பெற்றுக்கொள்ள வேண்டி இருந்தால், அது ஏனைய அவசியமான
முன்னேற்றங்களை செய்வதற்கும் மற்றும் programmes
களுக்கு மாபெரும் இயக்கத்தன்மையை கொடுப்பதற்கு திருத்தியமைக்கக்
கூடியதாக இருக்கும் என்பதே அவர்களது முக்கிய கவலையாகும்.
ஐரோப்பிய ஒன்றியத்தின் நிறைவேற்று குழுவான ஐரோப்பிய குழுவின் ஏகபோகத்திற்கு எதிரான
விசாரணையை மைக்ரோசொப்ட் தற்போது முகம்கொடுத்து வருகிறது. இணையவழங்கி (Server)
சந்தையில் ஒரு பங்கினை பெற்றுக்கொள்வதற்கு மாபெரும் மென்பொருள் நிறுவனம் தனது
desktop இயங்கு தளங்களின்
சந்தையின் ஆளுமையை நேர்மையின்மையுடன் உபயோகப்படுத்தியதா என ஐரோப்பிய கமிஷன் விசாரணைசெய்கிறது. இவ்வழக்கில்
தீர்வு சிலவேளை அடுத்த சிலமாதங்களில் எதிர்பார்க்கப்படுகிறது. மைக்ரோசொப்டின் வருமானத்தின் 10 வீதம், கிட்டதட்ட
2.5 பில்லியன் டொலர் வரை நஸ்ட ஈடாக கேட்பதற்கு ஐரோப்பிய கமிஷன் அதிகாரத்தை கொண்டிருக்கிறது.
ஐக்கிய அமெரிக்க வழக்கினைப்போல், ஐரோப்பிய கமிஷன் என்னதான் நடவடிக்கையை எடுத்தபோதும்,
இது உலகம் முழுவதும் கணினி அவர்களது அன்றாட வாழ்வின் ஒரு முக்கியபாகமாக
அதிகரித்தளவில் உருவாக்கியுள்ள மில்லியன்கணக்கான சாதாரண மக்களின் நலன்களிற்கு எதையுமே செய்துவிடப்போவதில்லை.
தவிர்க்கமுடியாதபடி, மைக்ரோசொப்ட் போன்ற பிரமாண்டமான நாடுகடந்த நிறுவனத்தினால் ஆளுமைப்படுத்தப்பட்டிருக்கும்
மற்றும் தனியார் இலாபதிரட்சியை அடிப்படையாகக்கொண்டிருக்கும் சமூக அமைப்புடன், திறந்த மூலம் (Open
Source) கருத்துப்பாடானது ஒரு நேரடி முரண்பாட்டிற்கு வருகிறது.
|