Wednesday 1 April 2015

නිකං දෙන අස්සයගෙ දත්

අපි මොකක් හරි සේවාවක් ලබාගනිද්දි අවධාණය යොමු කරන මූලිකම කාරණාවක් තමයි සේවාව ලබාදෙන කෙනාගෙ විශ්වාසවන්ත භාවය. ලෙඩකට බෙහෙත් ගනිද්දි චැනල් කරන්නෙ ඒ සම්බන්ධව ඉන්න හොදම දොස්තරව. බැංකු ගිණුමක් විවෘත කරද්දි යන්නෙ අපිට ඕනා පහසුකම් හොදටම දෙන සහ අකුලගෙන පැනලා නොයයි කියලා හිතෙන විස්වාසවන්තම තැනට. කුකුල්මස් ගනිද්දි CIC. කිරිපිටි පැකට් එකක් ගනිද්දි ඇන්කර් නැතුව ඕනා එකක්.

අපි ප්‍රධාන සේවා දායකයාගෙ නම විස්වාස කරන පලියට අපිට සේවාව ලබාදෙන අතරමැදියාව විස්වාස කරන්න බෑ නේද? උදාහරණයක් විදිහට ප්‍රීමා පාන්/එලිෆනට් හවුස් අයිස්ක්‍රීම් හොද උනාට හන්දියෙ කඩේ බුවා කල් ඉකුත්වෙන දිනේ ස්ටිකර් එක ගලවලා හරි, ඊට උඩින් වෙන එකක් අලවලා හරි දීලා ආච්චිව/අම්මාව/නැන්දව/අක්කව අන්දලා පරණ බඩු දීපු එක අවස්ථාවක් හරි අපි හැමෝටම මතකයි නෙ? (ඇයි පොඩි එකාට ආප්ප කන්න නොදීපු ඇසිලින් නැන්දා?)

නිකන් දෙන WiFiත් ඔය වගේ තමා. යහපාලන WiFi කියලා වෙනසක් නෑ. අන්තර්ජාල සේවාව සපයන්නෙ අපි කවුරුත් දන්න සමාගමක් උනාට open wireless network එකක් කියන්නෙ කොල්ලටයි බල්ලටයි *&*^.යි @!#යි ඕන කෙනෙක්ට සම්බන්ට වෙන්න පුලුවන් network එකකට. ඔය subnet එක ඇතුලෙ ඉන්න හැමෝම මෛත්‍රී සිතින් ඉන්ටනෙට් විතරක් පාවිච්චි කරනවනම් අවුලක් නෑ. ඇත්ත තත්වෙ ඉතිං ට්‍රිප් එකක් ගියත් කවුරුහරි එකෙක් ඉන්නවනෙ ආතල් කඩන්න. අන්න ඒ වගේ ක්‍රෝධ සිතක් ඇතුව මේ ආන්ඩුව පෙරලන්න හිතාගෙන ඔය network එකට සම්බන්ධ උන කෙනෙක් හිටියොත්?

එහෙම කෙනෙක්ට මුලින්ම කරන්න පුලුවන් දේ තමා router/access point එකේ admin/root මුරපදය guess කරන එක. ඕක හොයාගත්තා කියන්නෙ ඉතිං අර ක්‍රෝධ සිතැත්තාට ඕන දෙයක් කරන්න පුලුවන්. ඒක නිසා දෙයියන්ට බුදුන්ට මලක් පහනක් තියලා ප්‍රාර්ථනා කරමු ඒ ඈයෝ ඕකට ලේසියෙන් guess කරන්න බැරි මුරපදයක් දමලා තිබේවා කියලා.

MITM
සිංහලෙන් Man In The Middle කියන්නෙ මේකට. කෙටියෙන් කියනවනම් මෙතනදි වෙන්නෙ ක්‍රෝධ සිතැත්තා AP එකට කියනවා මම අහවලා කියලා, අහවලාට කියනවා මම AP එක කියලා. එතකොට අහවලා තමන්ගෙ traffic එවන්නෙ ක්‍රෝධ සිතැත්තාට. AP එක තමන්ගෙ traffic එවන්නෙත් ක්‍රෝධ සිතැත්තාට. මෙයා මැද්දට වෙලා ඉදගෙන අර දෙන්නගෙ වෙන communication එක බලං ඉන්න හරි අරයා කියන එක වෙනස් කරලා මෙයාට කියන්න කරන්න හරි පුලුවන්.

DNS Spoofing
Dmoain Name System එකෙන් තමයි නමක් කිව්වම ඒකට අදාල IP එක හොයලා දෙන්නෙ. උදාහරණයක් විදිහට අපි browser එකේ google.com කියලා type කරපුවහම DNS මගින් තමා මෙන්න මේකයි ip එක කියලා හොයාගන්නෙ. ක්‍රෝධ සිතැත්තෙකුට පුලුවන් router එකේ/AP එකේ තියන DNS සේවාව exaust කරලා තමන්ගෙම DNS සේවාවක් ලබාදෙන්න. එතකොට google.com කියපුවම yahoo.com යන්න, mail.google.com වලට සමාන පිටුවක් හදලා පරිශීලකයව එතෙන්ට යවලා username/password එකතුකරගන්නවා වගේ වැඩ කරන්න පුලුවන්.

Client side attacks
ඔය ඇරුනාම ක්‍රෝධ සිතැත්තාට කෙලින්ම පරිශීලකයට පහරදෙන්නත් පුලුවන් (අතින් පයින් නෙමේ.. හොදද). Beef වගේ නොමිලේ දෙන මෘදුකාංගයක් පාවිච්වි කරලා පරිශීලකයට තමන්ගෙ පාලනයේ තියන javascript කටුවක් ලෝඩ් කරගන්න දීලා coockie හොරකම් කරනවා වගේ සෙල්ලම් දාන්න එහෙමත් පුලුවන්.

ඔය කියපු ඔක්කොම දේවල් automate කරන්න පුලුවන් කියලා අමුතුවෙන් කියන්න ඕනෙ නෑ නෙ? ඒ කිව්වෙ ක්‍රෝධ සිතැත්තාට එතෙන්ට වෙලා ඉන්න ඕනෙ නෑ ඔය කියපු දේවල් කරන්න. ඉතින් තම හිසට තම ෆුල් ෆේස් එකමයි ආරස්සාව කියලා පරිස්සම් වෙන්න තමා තියෙන්නෙ.

online privacy ගැන හිතන පරිශීලකයෙක් නම් ඉතින්..
1. නිකනම් දුන්න පලියට ඔලුවෙකැක්කුම් නොගෙන ඉන්න (ඉස්කෝලෙන්/වැඩපලෙන් වේලාසනින් පනින්න හැර)
2. email, බැංකු කටයුතු කරන්නේ නම් තමන්ගේ 3G සම්බන්ධතාවය භාවිතා කරන්න.
3. අන්තර්ජාල සේවා දායකයාගේ DNS භාවිතා නොකර google DNS හෝ opendns භාවිතා කරන්න.
4. "Untrusted site" ලෙස අනතුරු ඇගවීමක් ලැබුනහොත් එම සේවාව භාවිතා කිරීමෙන් වලකින්න.

ඔය AP බලාකියාගන්න කෙනෙක් නම්..
1. default සැකසුම් තියන්න එපා.
2. dictionary attack එකක් කරන්න අමාරු මුරපදයක් යොදන්න
3. RADIOUS වැනි සේවාවක් භාවිතා කරන්න.
4. සම්බන්ධ වෙන සෑම පරිශීලකයාවම ඔහුට/ඇයට වෙන්වූ වෙනම subnet එකකට කොටු කරන්න. (CIDR මගින් x.y.z.a/32 ලෙස).
5. TLS භාවිතය අනිවාර්ය කරන්න

එන්නම් කිව්වා.

Appendix
ක්‍රෝධ සිතැත්තා - malicious user
ප්‍රීමා - පාන් හදන කට්ටියක්
එලිෆනට් හවුස් - අයිස්ක්‍රීම් හදන කට්ටියක්
*&*^.යි @!#යි - කුනුහරුප වගයක්
WiFi - ලගදි ඉදලා නිකන් දෙන ජාතියක්
CIC - විස්වාසවන්ත කුකුල්ලු ඉන්න තැනක්