5:29 AM
Internet tip: Beware of firesheep
എയര്പോര്ട്ടിലും ഹോട്ടലുകളിലുമൊക്കെയുള്ള സൗജന്യ വൈഫൈ സേവനം ഉപയോഗിക്കുന്നവര് സൂക്ഷിക്കുക. നിങ്ങളെ കുരുക്കാന് ഒരു ഫയര്ഫോക്സ് എക്സ്റ്റന്ഷന് എത്തിക്കഴിഞ്ഞു. സുരക്ഷിതമല്ലാത്ത വൈഫൈ നെറ്റ്വര്ക്കുകളിലൂടെ ഫെയ്സ്ബുക്ക്, ട്വിറ്റര്, ഓര്ക്കുട്ട് തുടങ്ങിയ സൗഹൃദക്കൂട്ടായ്മാ സൈറ്റുകള് സന്ദര്ശിക്കുന്നവരുടെ അക്കൗണ്ടുകളിലേക്ക് അതേ വയര്ലെസ് നെറ്റ്വര്ക്കിലുള്ള ആര്ക്കും എളുപ്പത്തില് കടന്നു കയറാന് സഹായിക്കുന്ന ഒന്നാണ് 'ഫയര്ഷീപ്പ്' (Firesheep) എന്നു പേരുള്ള ഫയര്ഫോക്സ് എക്സ്റ്റന്ഷന്.
എറിക് ബട്ലര് എന്ന സോഫ്ട്വേര് വിദഗ്ധന് 'എച്ച് ടി ടി പി സെഷന് ഹൈജാക്കിങ്' എന്ന വിദ്യയുപയോഗിച്ചാണ് ഫയര്ഷീപ്പിന് രൂപംനല്കിയത്. ഇതൊരു പുതിയ കണ്ടെത്തലല്ലെന്ന് എറിക് തന്നെ തുറന്നു സമ്മതിക്കുന്നു. ഫെററ്റ്, ഹാംസ്റ്റര്, കുക്കീ മോണ്സ്റ്റര്, എഫ് ബി കണ്ട്രോളര് തുടങ്ങിയ സോഫ്ട്വേറുകളും ഇതേ വിദ്യ തന്നെയാണ് ഉപയോഗിക്കുന്നത്. പക്ഷേ, ഇത്തരം സോഫ്ട്വേറുകള് ഉപയോഗിക്കുന്നത് നല്ല കമ്പ്യൂട്ടര് പരിജ്ഞാനമുള്ളവരും ഹാക്കര്മാരും മാത്രമാണ്.
എന്നാല്, എളുപ്പത്തില് ആര്ക്കും ഉപയോഗിക്കാവുന്ന വിധത്തിലാണ് ഫയര്ഷീപ്പ് ഉണ്ടാക്കിയിരിക്കുന്നത്. അതു കൊണ്ടുതന്നെ വെറും 24 മണിക്കൂറുകള്ക്കുള്ളില് 129000 പേരാണ് ഫയര്ഷീപ്പ് ഡൗണ്ലോഡ് ചെയ്തത്. മാത്രമല്ല, കഴിഞ്ഞ ദിവസങ്ങളില് ഗൂഗിളില് ഏറ്റവും കൂടുതല് തിരയപ്പെട്ട വാക്കും ഫയര്ഷീപ്പ് തന്നെ!
ഉപഭോക്താക്കളുടെ സ്വകാര്യത ഉറപ്പുവരുത്താന് ബാധ്യതയുള്ള വെബ്സൈറ്റുകളും സൗഹൃദക്കൂട്ടായ്മകളും, തങ്ങളുടെ ഉത്തരവാദിത്തങ്ങള് ബോധപൂര്വ്വം മറക്കുന്നതിനെതിരെയുള്ള പ്രതിക്ഷേധമായിട്ടാണത്രേ ഫയര്ഷീപ്പ് പുറത്തിറക്കിയിരിക്കുന്നത്. കൂടാതെ സുരക്ഷിത ഇന്റര്നെറ്റ് ഉപയോഗം ഒരു ശിലമാക്കാനും ഇതു സഹായിച്ചേക്കാം. പൂര്ണ്ണമായും ഒരു സ്വതന്ത്ര സോഫ്ട്വേര് ആയാണ് ഫയര്ഷീപ്പ് പുറത്തിറക്കിയിരിക്കുന്നത്.
ഫയര്ഷീപ്പ് വളരെ എളുപ്പത്തില് ഡൗണ്ലോഡ് ചെയ്ത് ഫയര്ഫോക്സ് ബ്രൗസറില് ഇന്സ്റ്റാള് ചെയ്യാവുന്നതാണ്. ഒരു ചെറിയ ഫയലാണ് ഫയര്ഷീപ്പ്. ഡൗണ്ലോഡ് ചെയ്തതിനു ശേഷം ഫയര്ഫോക്സ് ഉപയോഗിച്ചു തുറന്നാല് മതി. ബാക്കിയുള്ള ഇന്സ്റ്റാലേഷന് പ്രക്രിയയൊക്കെ സാധാരണ ഏതൊരു ഫയര്ഫോക്സ് എക്സ്റ്റന്ഷനേയും പോലെത്തന്നെ. ഇന്സ്റ്റാളായാല് ഫയര്ഫോക്സ് അടച്ചു വീണ്ടും തുറക്കേണ്ടതായുണ്ട്.
അതിനു ശേഷം ഫയര്ഫോക്സിന്റെ മെനു ബാറില് നിന്നും ഫയര്ഫോക്സ് സൈഡ് ബാര് ആക്ടിവേറ്റ് ചെയ്യുക. അപ്പോള് നിങ്ങളുടെ ബ്രൌസറിന്റെ ഇടതു ഭാഗത്തായി ഫയര്ഷീപ്പ് എന്നൊരു സൈഡ് ബാര് കാണാന് കഴിയും. അതില് 'േെമൃ േരമുൗേൃശിഴ' എന്ന ബട്ടനില് അമര്ത്തിയാല് നിങ്ങളുടെ വൈഫൈ നെറ്റ്വര്ക്കില് ലോഗിന് ചെയ്യപ്പെട്ടിട്ടുള്ള ഫെയ്സ്ബുക്ക്, ട്വിറ്റര് അക്കൗണ്ടുകളുടെ വിവരങ്ങള് കാണാന് തുടങ്ങും.
ഏത് അക്കൗണ്ടിലേക്കാണോ പ്രവേശിക്കേണ്ടത് അതില് വെറുതേ ഒന്ന് അമര്ത്തിയാല് മാത്രം മതി. സ്വന്തം ഫെയ്സ്ബുക്ക് അക്കൗണ്ടുപോലെ മറ്റൊരാളുടെ അക്കൗണ്ട് ഉപയോഗിക്കാന് കഴിയും! ഇപ്പോള് ഫയര്ഷീപ്പ് വിന്ഡൊസ് , മാക് ഓപ്പറേറ്റിങ് സിസ്റ്റങ്ങളില് മാത്രമേ ഉപയോഗിക്കാന് കഴിയൂ. വിന്ഡോസ് ഉപയോഗിക്കുന്നവര് ഫയര്ഷീപ്പിനു മുന്പായി വി കാപ് എന്ന അപ്ലിക്കേഷന് കൂടി ഇന്സ്റ്റാള് ചെയ്യേണ്ടതായിട്ടുണ്ട്.
എച്ച് ടി ടി പി സെഷന് ഹൈജാക്കിങ്
ഈ അടുത്ത കാലത്ത് ഓര്ക്കുട്ടില് ആക്രമണം നടത്തിയ ഉണ്ടായ 'ബോം സബാഡോ വൈറസി'നെ ഓര്മ്മയില്ലേ. എതാണ്ട് ഇതേ വിദ്യ തന്നെയാണ് ആ വൈറസിന്റെ കാര്യത്തിലും പ്രയോഗിക്കപ്പെട്ടത്.
അതായത് നിങ്ങള് ഒരു വെബ്സൈറ്റില് ലോഗിന് ചെയ്യുമ്പോള് നിങ്ങളുടെ ലോഗിന് യൂസര്നേമും പാസ്വേര്ഡും എന്ക്രിപ്റ്റ് ചെയ്ത് ബ്രൗസറില് തന്നെ കുക്കീസ് എന്ന പേരില് സൂക്ഷിക്കുന്നു. ഇതിനു പിന്നില് പല ഉദ്ദേശങ്ങളും ഉണ്ട്. ഉദാഹരണമായി നിങ്ങള് ഓര്ക്കുട്ടില് ലോഗിന് ചെയ്യുന്നു എന്നു കരുതുക. അപ്പോള് നിങ്ങള് നല്കിയ വിവരങ്ങള് ശരിയാണോ എന്ന് ഓര്ക്കുട് സെര്വര് പരിശോധിക്കുകയും ശരിയാണെങ്കില് അക്കൗണ്ട് തുറക്കുകയും ചെയ്യുന്നു. ഇനി നിങ്ങള്ക്ക് ഓര്ക്കുട്ടിലെ സ്ക്രാപ്ബുക്ക് തുറക്കണം . അപ്പോഴും അക്കൗണ്ടിന്റെ വിവരങ്ങള് ആവശ്യമാണ്. പക്ഷേ, എല്ലായ്പ്പോഴും യൂസര് ഐ ഡിയും പാസ്വേര്ഡൂം ചോദിക്കുക പ്രായോഗികമല്ലാത്തതിനാല് ആദ്യം ലോഗിന് ചെയ്യുമ്പോള് തന്നെ യൂസര്നേമും പാസ്വേര്ഡും സെര്വറിനു മാത്രം മനസിലാകുന്ന ഭാഷയില് കുക്കീസ് എന്ന പേരില് ബ്രൗസറില് സൂക്ഷിക്കുന്നു. ആവശ്യമായ സന്ദര്ഭങ്ങളിലൊക്കെ വിവരങ്ങള് കുക്കീസില് നിന്നും ലഭ്യമാകുന്നു.
സാധാരണയായി ഇത്തരം കുക്കീസ് ഒരു പ്രത്യേക സമയത്തേക്കു മാത്രമേ നിലനില്ക്കുന്നുള്ളൂ. ലോഗൗട്ട് ചെയ്തുകഴിഞ്ഞാല് സെര്വറുകളില് നിന്നും അവ നീക്കം ചെയ്യപ്പെടും. എന്നാല്, പല പ്രമുഖ വെബ് സൈറ്റുകളുടേയും സെര്വറുകളില് നിന്നും ലോഗൗട്ട് ചെയ്തതിനു ശേഷവും ഇത്തരം സെഷന് കുക്കീസ് വേണ്ട രീതിയില് നീക്കം ചെയ്യപ്പെടുന്നില്ല എന്നത് ഒരു വലിയൊരു സുരക്ഷാ പിഴവ് തന്നെയായി ചൂണ്ടിക്കാണിക്കപ്പെടുന്നു.
'സെക്യുര് സോക്കറ്റ് ലെയര്' (SSL) ഉപയോഗിക്കുന്ന സൈറ്റുകളെ ഇത്തരം സുരക്ഷാ ഭീഷണികള് കാര്യമായി ബാധിക്കുന്നില്ല. ബാങ്കിങ്സൈറ്റുകളും മറ്റു പണമിടപാടു സ്ഥാപനങ്ങളൂമെല്ലാം എസ് എസ് എല് ഉപയോഗിക്കുന്നതിനാല് ഈ ഭീഷണിയില്നിന്നും മുക്തമാണ് (സാധാരണ വെബ് സൈറ്റുകളുടെ അഡ്രസ് തുടങ്ങുന്നത് http യിലും എസ് എസ് എല് ഉപയോഗിക്കുന്ന സൈറ്റുകളുടെ അഡ്രസ് തുടങ്ങുന്നത് https ലും ആയിരിക്കും).
ഫെയ്സ്ബുക്കും, ട്വിറ്ററും, ഓര്കുട്ടും ഒന്നും എസ് എസ് എല് അധിഷ്ഠിതമല്ലാത്തതിനാല് 'കുക്കീസ് ഹൈജാക്കിങും' 'എച്ച് ടി എം എല് ഹൈജാക്കിങു'മൊക്കെ വളരെ എളുപ്പമാകുന്നു. ചില സൈറ്റുകള് ഭാഗികമായി എസ് എസ് എല് പ്രയോജനപ്പെടുത്തുന്നു. അതായത് അക്കൗണ്ട് വിവരങ്ങള് പരിശോധിക്കാന് മാത്രമേ എസ് എസ് എല് ഉപയോഗിക്കുന്നുള്ളൂ. ലോഗിന് ചെയ്തു കഴിഞ്ഞാല് സാധാരണ വെബ് സൈറ്റുകളെപ്പോലെത്തന്നെ സുരക്ഷിതമല്ലാത്ത ബ്രൗസിംഗ് ആണ് നടക്കുന്നത്.
ഫയര്ഷീപ്പ് പുറത്തിറങ്ങിയ ഉടന് തന്നെ നിരവധി വെബ്സൈറ്റുകളും വിദഗ്ധരും ഫയര്ഷീപ്പില് നിന്നും എങ്ങിനെ രക്ഷനേടാം എന്നു വിവരിക്കുന്ന നിര്ദ്ദേശങ്ങളുമായി രംഗത്തെത്തി. പക്ഷേ, സൗഹൃദക്കൂട്ടായ്മാസൈറ്റുകളില് എച് ടി ടി പി എസ് / എസ് എസ് എല് നിര്ബന്ധമാക്കുകയാണ് എച്ച് ടി ടി പി സെഷന് ഹാക്കിങില് നിന്നും രക്ഷ നേടാനുള്ള ഏകമാര്ഗം എന്നാണ് എറിക് പറയുന്നത്.
പൂര്ണമായും എസ് എസ് എല് ഉപയോഗിക്കുന്നത് ബ്രൗസിങിനെ കാര്യമായി ബാധിക്കും എന്ന വാദത്തെ ഗൂഗിളിന്റെ ജീമെയില് ഉദാഹരണമാക്കി അദ്ദേഹം ഖണ്ഡിക്കുന്നു. കാര്യക്ഷമതയില് യാതൊരു കുറവും വരുത്താതെ തന്നെ ഈ വര്ഷം ആദ്യം മുതല്ക്ക് ജീമെയില് പൂര്ണമായി എസ് എസ് എല്ലിലേക്കു മാറിയിരുന്നു.
വെബ്സൈറ്റുകളുടേയും മറ്റു സൗഹൃദക്കൂട്ടായ്മാ സൈറ്റുകളുടേയും സുരക്ഷാസംവിധാനങ്ങള് പുന:പ്പരിശോധിക്കാനും വേണ്ട മാറ്റങ്ങള് വരുത്താനും ചിലപ്പോള് ഫയര്ഷീപ്പ് ഭീഷണിക്കു കഴിഞ്ഞേക്കാം.
മറുമരുന്ന് :
ഐസ്ലന്ഡ് യൂണിവേഴ്സിറ്റിയിലെ ഒരു വിദ്യാര്ത്ഥിയായ ഗണ്ണര് ആറ്റ്ലി ഫയര്ഷീപ്പിനു ബദലായി 'ഫയര്ഷെപ്പേര്ഡ്' എന്ന സോഫ്ട്വേര് വികസിപ്പിച്ചിരിക്കുന്നു. ഇന്സ്റ്റാള് ചെയ്ത കമ്പ്യൂട്ടറിനെ മാത്രമല്ല അതേ നെറ്റ്വര്ക്കില് ഉള്ള മറ്റു കമ്പ്യൂട്ടറുകളേയും ഫയര്ഷീപ്പ് ഭീഷണിയില് നിന്നും ഈ സോഫ്ട്വേര് സംരക്ഷിക്കുമെന്നാണ് ആറ്റ്ലി അവകാശപ്പെടുന്നത്.
