Friday 31 July 2015

ලූං හෙවත් උක්ක්කුං සැටලයිට් 2.0

අද වනවිට කඩ මංඩියේ සිට orion cityඑක වෙනතුරු‌ හැමෝගේම ජනප්‍රිය මාතෘකාව ලූං ය. (බැ)ලුං වල ගැටගැසූ ගැජට් වගයකින් දෙවුන්දර තුඩුවේ සිට පේදුරුතුඩුව දක්වා ඉන්ටර්නෙට් වලිං ස්වයංපෝෂිත කිරීම ලංකාවට දැනට ඇති එකම අඩුපාඩුවයි. ලූං මගින් ටිකිරිලියාට "පීලිං ඉස්කෙයාඩ්" කියා කබරගොයා සහ දියබරියා බැක්ග්‍රවුන්ඩ් එකේ සිටින ලෙස සෙල්පියක් තලා පේස්බුක් දමන්න පමනක් නොව, දර කඩන්න ගිය එතනාට බැද්දේ සිට මහතුං තුවක්කුව උලුක් කරන් යනවා දැක්කා කියා ටුවිට් කරන්ටත්.. අප්පිලා ඇත්තන්ට තනියා දුටුවොත් පටස් ගා ඉන්ස්ටග්‍රෑම් දමන්නටත් ඇහැකිය. කොටිංම කිව්වොත් උක්කුං පුතා "උඩ යවන විට ගැලවී වැටන කෑල්ලකට සිංහ කොඩිය අලවන්නට" කෝටි ගානක් වියදම් කල සැටලයිට් ප්‍රොජෙක්ට් එකට පසු සී ලාංකිකයන්ට ලැබෙන පට්ටම ටෙක්නිකල් ආතල් එක ලූං ය.

ලූං ලාගේ වෙබ් පිටුවට අනුව මුලින්ම ලූං එකක් උඩ යවා ඇත්තේ 2013නේ මාර්තු මාසයේදීය. නවසීලන්තයේ vodafone සමාගමේ අනුග්‍රහයෙන් මුල්ම පයිලට් ප්‍රෝග්‍රෑම් එක ජුනි මාසයේ ආරම්භ කර ඇත. මේ වෙනකොට ව්‍යපතියට අවුරුදු දෙකකි. ඒත් මේ වනතුරුත් වෙන කවුරුත් මේ උලව්වට අතගැහුවෙ නැත්තේ ඇයි යන්නට සරල පිලිතුරනම් මෙය "තවමත් බීටා ටෙස්ටිං අවධියේ පවතින නිසා" යන්නය. ලාංකික ඉන්ටනෙට් පාරිබෝගිකයා පරීක්ෂනාගාර මීයන් පිරිසක්(guinea pig) සේ යොදාගැනීමේ මහා ලොකු වැරැද්දක් නැති වුවත් මෙවන් ව්‍යාපෘතියක් නිකං දෙන්නට තරං ගූගල් දෙයියා ධාර්මිෂ්ථ නැති බව තේරුම් ගත යුතුය. ටෙස්ට කිරිල්ලට හිලව් වෙන්නට ගනං අඩුකර දුන්නත් ආන්ඩුවෙන් ගෙවන්නේ මහගනතාවගේ මුදල් ය. මුදල් ගැන කතා කරද්දී නැවත නැවත මතක්කර දියයුතු කාරනය නම් ලූං යනු බීටා ප්‍රොජෙක්ට් එකක් වගය. යම්කිසි "හුටා" මොහොතක "ගූගල් බස්" වලට කලා සේ "මේක හරියන මගුලක් නොවේ" කියා ගූගල් තීරනය කලහොත් ඉතිං ගෙවපු මුදල් වලට සොරි වෙන්නේ ඔය බැලුම් පොලිසියේ ප්‍රයෝජනයට re-purpose කරන්න වත් බැරි තරං ලොකු නිසාය.

මුලින්ම රට පුරාවට නිකං දෙනවා කිව්වාට කරුනු කාරනා හොයා බලද්දී "නිකං කිව්වට නිකංම නෙමේය". ඒ මදිවාට ලූං වලින් බෙදුවාට ඉට්ටනෙට් එන්නේ අපේ ආදරණීය ඇස්. ඇල්. ටී. එකෙන්ය. එතනින් අරගෙන ලගම ඇති බැලුමකට රැහැන් රහිතව යන ඉට්ටනෙට් ඒ බැලුමෙන් තව බැලුමක.. තව බැලුමෙන් තවත් බැලුමකට... තවත් බැලුමෙන් තවත්ත් බැලුමකට ආදී වශයෙන් මාරු සීන් එකකින් පසුව පාරිබෝගිකයාට ලැබෙයි. අපි භාවිතා කරන සෙල් ටවර් කරන්නේත් ඔය කතංදරයම මුත් ඒවා අඩුම තරමේ කිලෝමීටර 5-10 අතර දුරකින් පිහිටා ඇත. කැඩුනොත් ගිහින් හදන්නට පුලුවන්කම ඇත. ලූං එකක් කැඩුනොත් එය බාන්න සහ නැවත උඩ යවන්න වෙනම වියදමකි.

රටකට research and development උවමනා බව හැබෑය. එහෙව් දෙයක් සදහා ප්‍රතිපාදන වෙන් කිරීමේ වැරැද්දක් නැත්තේ සාර්ථක වූ කල ඉන් ලැබෙන ආදායම ලංකාවට විදේශ විනිමය ගලා එන මාර්ගයක් වන නිසාය. ලූං වල කෙලිය නම් වැඩේ අති සාර්ථක වුවත් එයින් අපට ලැබෙන ඉටිගෙඩියක් නොමැති වීමය. අනක් අතට ගත් කල වැඩේ "අල" වුවහොත් අතිං කාගෙන හරක් බලන්න වෙන්නේ අපටමය. දුක නම් අර වතුරෙන් දුවන කාර් එන්ජිමක් හැදූ තරුණයා වැන්නවුන්ට අතදෙන්නට නොමැති සල්ලි වට්ටි පිටින් ගූගල් දෙයියාට පූජාකිරීමට ඉතිරි වීමය.

භාවිතා කරණ තාක්ෂණය ගැන කතා කරන විට බීටා ප්‍රොජෙක්ට් එකක් වීමට අමතරව "කෙල වීමට" අම්බානක් ඉඩකඩ සහිත තවත් ප්‍රොජෙක්ට් එකක් ලොවෙත් නැත. කිලෝමීටර 18-27ක් ඉහල අහසේ සිට රැහැන් රහිත මාධ්‍යකින් සම්බන්ධවීම ගැන "තියරිටිකලි" කතා කරන්නේ ඉස්සරහ කාමරයේ සිට සාලයට වයිෆයි එන්නේ නැති‌ රව්ටර් තියාගෙනය. "ඒවා දෙන්නෙ ගූගල් එකෙන්" කියන උන්ට කියන්නට ඇත්තේ ඔච්චර දුරක සිට සන්නිවේදනය කලහැකි උපකරණ "මාස හයක් දවල්ට නොකා ගෙවන්න ගත් ඉස්මාට් පෝං එකට ගෙවනවා සේ" ගෙවන්න ඇහැකි තරමේ‌ ඒවා නොවන වගය. ඒහෙව් භාන්ඩයක් බිමට එනවිට එකතුකරගන්න බිම ඉන්න බැරි උනොත් බැලුම වැටුනු තැනින් ගලක් තබා බැලුම ගල් කරගෙන යන අයියලා ද අපි අතර සිටින බව අමතක නොකල යුතුය. එක ලූං එකකින් කිලෝමීටර 40ක් ආවරණය කිරීමේ‌ හැකියාව ඇතිබව ගූගල් පවසයි. මගේ ගනං නම් එච්චර හොද මදිය.. ඒත් වර්ග කිලෝමීටර 65,610 කවර් කරන්නට නම් ගෑල්ලමයෙක් ගේ ජම්බුගහෙන් වැටුනු පාටියට තරම් වත් බැලුං ඕනෑ බව "බැලූ බැල්මට" කලහැකි නිගමනයයි.

මේ ගැන කතා කරනවානම් පොයින්ට් එමටය. දෙකක් දාගන්නේ නැතිව මේ ගැන ලිය ලියා ඉන්න එකෙන් වෙන්නේ තියන ලේ ඩිංගත් පිච්චෙන එක පමණය. දකුනු ආසියාවේ මුලින්ම සැල්ටැල් පාවිච්චි කලේ අපි බව හැබෑය. 3ජී 4ජී ත් එහෙමය. ඒවා අල උනානම් අඩුම තරමේ හයි කල ගැජට් වත් අපේය. ලූං එහෙම නොවේය. මගේ පුංවි මොලයට තේරෙන පරිදි නම් මෙය ගගට සල්ලි මලු පිටින් වීසි කිරීමකි. දේශපාලන ඔස්තාර් ලාට අනුව මෙය මහා මාර්ග සේ සිරාවට වවාගෙන කන්න ඇහැකි සීන් එකක් මෙතන ඇති නම් ඉතින් මට කලහැකි උලව්වක්ද නැත.

Wednesday 1 April 2015

නිකං දෙන අස්සයගෙ දත්

අපි මොකක් හරි සේවාවක් ලබාගනිද්දි අවධාණය යොමු කරන මූලිකම කාරණාවක් තමයි සේවාව ලබාදෙන කෙනාගෙ විශ්වාසවන්ත භාවය. ලෙඩකට බෙහෙත් ගනිද්දි චැනල් කරන්නෙ ඒ සම්බන්ධව ඉන්න හොදම දොස්තරව. බැංකු ගිණුමක් විවෘත කරද්දි යන්නෙ අපිට ඕනා පහසුකම් හොදටම දෙන සහ අකුලගෙන පැනලා නොයයි කියලා හිතෙන විස්වාසවන්තම තැනට. කුකුල්මස් ගනිද්දි CIC. කිරිපිටි පැකට් එකක් ගනිද්දි ඇන්කර් නැතුව ඕනා එකක්.

අපි ප්‍රධාන සේවා දායකයාගෙ නම විස්වාස කරන පලියට අපිට සේවාව ලබාදෙන අතරමැදියාව විස්වාස කරන්න බෑ නේද? උදාහරණයක් විදිහට ප්‍රීමා පාන්/එලිෆනට් හවුස් අයිස්ක්‍රීම් හොද උනාට හන්දියෙ කඩේ බුවා කල් ඉකුත්වෙන දිනේ ස්ටිකර් එක ගලවලා හරි, ඊට උඩින් වෙන එකක් අලවලා හරි දීලා ආච්චිව/අම්මාව/නැන්දව/අක්කව අන්දලා පරණ බඩු දීපු එක අවස්ථාවක් හරි අපි හැමෝටම මතකයි නෙ? (ඇයි පොඩි එකාට ආප්ප කන්න නොදීපු ඇසිලින් නැන්දා?)

නිකන් දෙන WiFiත් ඔය වගේ තමා. යහපාලන WiFi කියලා වෙනසක් නෑ. අන්තර්ජාල සේවාව සපයන්නෙ අපි කවුරුත් දන්න සමාගමක් උනාට open wireless network එකක් කියන්නෙ කොල්ලටයි බල්ලටයි *&*^.යි @!#යි ඕන කෙනෙක්ට සම්බන්ට වෙන්න පුලුවන් network එකකට. ඔය subnet එක ඇතුලෙ ඉන්න හැමෝම මෛත්‍රී සිතින් ඉන්ටනෙට් විතරක් පාවිච්චි කරනවනම් අවුලක් නෑ. ඇත්ත තත්වෙ ඉතිං ට්‍රිප් එකක් ගියත් කවුරුහරි එකෙක් ඉන්නවනෙ ආතල් කඩන්න. අන්න ඒ වගේ ක්‍රෝධ සිතක් ඇතුව මේ ආන්ඩුව පෙරලන්න හිතාගෙන ඔය network එකට සම්බන්ධ උන කෙනෙක් හිටියොත්?

එහෙම කෙනෙක්ට මුලින්ම කරන්න පුලුවන් දේ තමා router/access point එකේ admin/root මුරපදය guess කරන එක. ඕක හොයාගත්තා කියන්නෙ ඉතිං අර ක්‍රෝධ සිතැත්තාට ඕන දෙයක් කරන්න පුලුවන්. ඒක නිසා දෙයියන්ට බුදුන්ට මලක් පහනක් තියලා ප්‍රාර්ථනා කරමු ඒ ඈයෝ ඕකට ලේසියෙන් guess කරන්න බැරි මුරපදයක් දමලා තිබේවා කියලා.

MITM
සිංහලෙන් Man In The Middle කියන්නෙ මේකට. කෙටියෙන් කියනවනම් මෙතනදි වෙන්නෙ ක්‍රෝධ සිතැත්තා AP එකට කියනවා මම අහවලා කියලා, අහවලාට කියනවා මම AP එක කියලා. එතකොට අහවලා තමන්ගෙ traffic එවන්නෙ ක්‍රෝධ සිතැත්තාට. AP එක තමන්ගෙ traffic එවන්නෙත් ක්‍රෝධ සිතැත්තාට. මෙයා මැද්දට වෙලා ඉදගෙන අර දෙන්නගෙ වෙන communication එක බලං ඉන්න හරි අරයා කියන එක වෙනස් කරලා මෙයාට කියන්න කරන්න හරි පුලුවන්.

DNS Spoofing
Dmoain Name System එකෙන් තමයි නමක් කිව්වම ඒකට අදාල IP එක හොයලා දෙන්නෙ. උදාහරණයක් විදිහට අපි browser එකේ google.com කියලා type කරපුවහම DNS මගින් තමා මෙන්න මේකයි ip එක කියලා හොයාගන්නෙ. ක්‍රෝධ සිතැත්තෙකුට පුලුවන් router එකේ/AP එකේ තියන DNS සේවාව exaust කරලා තමන්ගෙම DNS සේවාවක් ලබාදෙන්න. එතකොට google.com කියපුවම yahoo.com යන්න, mail.google.com වලට සමාන පිටුවක් හදලා පරිශීලකයව එතෙන්ට යවලා username/password එකතුකරගන්නවා වගේ වැඩ කරන්න පුලුවන්.

Client side attacks
ඔය ඇරුනාම ක්‍රෝධ සිතැත්තාට කෙලින්ම පරිශීලකයට පහරදෙන්නත් පුලුවන් (අතින් පයින් නෙමේ.. හොදද). Beef වගේ නොමිලේ දෙන මෘදුකාංගයක් පාවිච්වි කරලා පරිශීලකයට තමන්ගෙ පාලනයේ තියන javascript කටුවක් ලෝඩ් කරගන්න දීලා coockie හොරකම් කරනවා වගේ සෙල්ලම් දාන්න එහෙමත් පුලුවන්.

ඔය කියපු ඔක්කොම දේවල් automate කරන්න පුලුවන් කියලා අමුතුවෙන් කියන්න ඕනෙ නෑ නෙ? ඒ කිව්වෙ ක්‍රෝධ සිතැත්තාට එතෙන්ට වෙලා ඉන්න ඕනෙ නෑ ඔය කියපු දේවල් කරන්න. ඉතින් තම හිසට තම ෆුල් ෆේස් එකමයි ආරස්සාව කියලා පරිස්සම් වෙන්න තමා තියෙන්නෙ.

online privacy ගැන හිතන පරිශීලකයෙක් නම් ඉතින්..
1. නිකනම් දුන්න පලියට ඔලුවෙකැක්කුම් නොගෙන ඉන්න (ඉස්කෝලෙන්/වැඩපලෙන් වේලාසනින් පනින්න හැර)
2. email, බැංකු කටයුතු කරන්නේ නම් තමන්ගේ 3G සම්බන්ධතාවය භාවිතා කරන්න.
3. අන්තර්ජාල සේවා දායකයාගේ DNS භාවිතා නොකර google DNS හෝ opendns භාවිතා කරන්න.
4. "Untrusted site" ලෙස අනතුරු ඇගවීමක් ලැබුනහොත් එම සේවාව භාවිතා කිරීමෙන් වලකින්න.

ඔය AP බලාකියාගන්න කෙනෙක් නම්..
1. default සැකසුම් තියන්න එපා.
2. dictionary attack එකක් කරන්න අමාරු මුරපදයක් යොදන්න
3. RADIOUS වැනි සේවාවක් භාවිතා කරන්න.
4. සම්බන්ධ වෙන සෑම පරිශීලකයාවම ඔහුට/ඇයට වෙන්වූ වෙනම subnet එකකට කොටු කරන්න. (CIDR මගින් x.y.z.a/32 ලෙස).
5. TLS භාවිතය අනිවාර්ය කරන්න

එන්නම් කිව්වා.

Appendix
ක්‍රෝධ සිතැත්තා - malicious user
ප්‍රීමා - පාන් හදන කට්ටියක්
එලිෆනට් හවුස් - අයිස්ක්‍රීම් හදන කට්ටියක්
*&*^.යි @!#යි - කුනුහරුප වගයක්
WiFi - ලගදි ඉදලා නිකන් දෙන ජාතියක්
CIC - විස්වාසවන්ත කුකුල්ලු ඉන්න තැනක්