குக்கீ திருடன்கள்

யூட்யூப் சேனல்கள் ஏன் ஹேக் செய்யப்படுகிறது? இதைத் தவிர்க்க என்ன செய்ய வேண்டும்?

இணையத்தின் பெரும்பான்மை சுவாரஸ்யம் காணொளிகள். காரணம், இப்படித்தான் இருந்தாக வேண்டும் என்ற விதிகளை உடைத்து வெளிவருபவை அவை. சில காணொளிகள் நொடிகளில் முடியலாம், சில மாரத்தானாக நாள் கணக்கில் ஒளிபரப்பாகலாம். கன்டென்ட் எனப்படும் உள்ளடக்கம் சிலவற்றில்  இருக்கலாம். இல்லை சும்மா ஒருவர் உறங்குவது, ஜேசிபி இயந்திரம் வேலை செய்வது, பறவை பறப்பது என எதையும் பதிவாகக் கொண்டிருக்கும் காணொளியாகவும் இருக்கலாம். எதைப் பார்ப்பதற்கும் இங்கே  ஆள் இருக்கிறது. அப்படிக் காணொளிகளில் காலம் கழியும் தொழில்நுட்ப யுகம் இது.

கஷ்டப்பட்டு கருத்து பேசி, சந்தாதாரர்கள் பிடித்து, கொஞ்சம் வருவாயும், சமூகத்தில் ஒரு நட்சத்திர அந்தஸ்தும் ஒருவருக்குக் கிடைக்கும் நேரத்தில் அந்த சேனல் ஹேக் செய்யப்பட்டு, அதில் வேறு எவரின் காணொளிகளோ ஒளிபரப்பானால் அவருக்கு எப்படியிருக்கும்? அதைத் தொடர்ந்து பார்த்துவரும் பார்வையாளர்களுக்குத்தான் எப்படி இருக்கும்? கூத்து என்னவென்றால், இதைப் பார்த்து அதிர்ந்துபோய் சேனலின் சொந்தக்காரர் அவருடைய கணக்கில் லாக் இன் செய்தால், அதற்கான அனுமதி மறுக்கப்பட்டு ‘நீ உரிமையாளனே இல்லை வெளியே போ!’ என அடித்துத் துரத்தும் யூட்யூப். ஏன் இப்படி நடக்கிறது? இப்படி நடந்தால் என்ன செய்வது? 

எப்படி யூட்யூப் சேனல்கள் ஹேக் செய்யப்படுகின்றன? அதில் ஒளிபரப்பாகும் க்ரிப்டோ காணொளிகள் என்ன? இதைத் தவிர்ப்பது எப்படி? இக்கட்டுரையில் காண்போம்.

¶

யூட்யூப் சேனல்களின் முக்கியமான ஓர் அம்சம் அதன் விளம்பர வருவாய். இதற்காக சேனல் நிர்வாகிகள் பல தயாரிப்புகளை விளம்பரம் செய்தும் விமர்சனம் செய்தும் காணொளிகளில் பேசுவர். நிறைய தயாரிப்புகளுக்கு விளம்பரம் / விமர்சனம் தேடி இவர்களுக்கு மின்னஞ்சல்கள் குவியும். ஹேக்கிங் என்பதற்கான முதல் கட்டம் இங்குதான் நடந்தேறுகிறது. எங்களது பொருளுக்கு விளம்பரம் / விமர்சனம் செய்து தாருங்கள், அதற்கான கட்டணத்தை நாங்கள் கொடுத்துவிடுகிறோம் என மின்னஞ்சல் வாயிலாகத்  தொடர்புகொள்வார்கள். குறிப்பாக, வைரஸ் எதிர்ப்பு மென்பொருள்கள், ‘விபிஎன்’ (VPN), புகைப்படம் திருத்தும் மென்பொருள்கள், ஆன்லைன் விளையாட்டுகள், பங்குச்சந்தைச் செயலிகள், உடல்நலச் செயலிகள் போன்றவற்றுக்கான விளம்பரங்கள் கோரி வரும் மின்னஞ்சல்கள் அதிகமாக இருக்கும்.  

எங்களது தயாரிப்பின் வெள்ளோட்டம் (Demo) உங்களுக்கு இலவசம். இந்த இணைப்பைச் சொடுக்கி எங்கள் தயாரிப்பைத் தரவிறக்கிக்கொள்ளுங்கள் என ஓர் இணைப்பையும் அனுப்பியிருப்பார்கள். நீங்கள், அதைச் சொடுக்கித் தரவிறக்கினால் கதை முடிந்தது. அவர்கள் வளர்த்த குக்கீ திருடன் சமர்த்தாக உங்கள் கணினியில் நுழைந்துவிடுவான். உங்களுக்கே தெரியாமல் உங்கள் கணக்கை தனது ஹேக்கர் உரிமையாளரிடம் ஒப்படைத்துவிடுவான். 

யார் இந்த குக்கீ திருடன்?

குக்கீ என்பது நாம் நுழையும் வலைப்பக்கங்களில் இருந்து நமது இணைய பிரவுசருக்கு அனுப்பப்படும் குறுங்கோப்புகள். நாம் அந்த வலைப்பக்கத்தில் என்ன தேடினோம், படித்தோம், வாங்கினோம், நமது கணக்கின் பயனர் பெயர், கடவுச்சொல் போன்ற தகவல்கள் இந்தக் குறுங்கோப்புகளில் இருக்கும். ஒரு பயனரின் இணைய அனுபவத்தை மேம்படுத்துவதற்காக குக்கீ தகவல்கள் உதவும்.

நீங்கள் ஒரு வலைத்தளத்தில் நுழைந்தால், ‘எங்களது குக்கீகளை ஏற்கிறீர்களா’ என ஒரு பட்டி திடீரென முளைக்குமல்லவா, அதை சரி ஏற்கிறேன் என கிளிக் செய்யாமல் சில வலைத்தளங்கள் உள்ளேயே அனுமதிக்காது. மேற்குறிப்பிட்ட சில தகவல்களைப் பதிவுசெய்வதற்குதான் பயனரின் அனுமதி வேண்டி அப்படிக் கேட்கிறது. 

உதாரணமாக, ஒரு வானிலைத் தளத்தில் நுழைந்து உங்கள் ஊரைத் தேர்ந்தெடுத்து என்ன வானிலை எனப் பார்க்கிறீர்கள். அடுத்த முறை அந்தத் தளத்தில் நீங்கள் நுழைந்ததும் உங்களை அலையவிடாமல் உங்கள் ஊர் வானிலையை அது தயாராக வைத்திருக்கும். இங்கு குக்கீ பதிவுசெய்துகொண்டது இந்த பிரவுசரைப் பயன்படுத்தும் ராமசாமி அண்ணன் இந்த ஊரைச் சார்ந்தவர் என்கிற சிறிய தகவலைத்தான். இது வானிலைத் தளத்தின் ‘முதல் தரப்பு குக்கீ’ (First-Party Cookie).

இதுவே அந்த வானிலைத் தளம் அதன் விளம்பரதாரருக்காக ‘மூன்றாம் தரப்பு குக்கீ’களை (Third Party Cookie) அனுமதித்திருந்தால், ‘ராமசாமி அண்ணா குடை வாங்குங்கள் இன்றே கடைசி’ போன்ற விளம்பரங்கள் உங்களை துரத்தத் துவங்கும். நீங்கள் இணையத்தில் செய்வதை அமைதியாகக் கவனித்திருந்து அது தொடர்பான விளம்பரங்கள் உங்களை விடாமல் பின் தொடர்வதற்கான காரணம் சர்வ நிச்சயமாக இந்த குக்கீகள்தான்.  

குக்கீகள் கொண்டிருக்கும் நமது முக்கிய தகவல்களைத்தான் ஹேக்கர்கள் திருடி பயனர்போலவே அந்தக் கணக்கில் நுழைந்து அதை நிர்வகிக்கிறார்கள். சரி! எப்படி நமது பிரவுசரில் இருக்கும் குக்கீகள் ஹேக்கர்கள் வசம் செல்கிறது. ‘எங்களது தயாரிப்பு இது! இலவசமாகத் தரவிறக்கிக்கொள்ளுங்கள்’ என்று அனுப்பப்பட்ட இணைப்பு ஒரு மோசடி இணைப்பு. அதைச் சொடுக்கியதும் குக்கீகளைத் திருடும் தீங்குநிரலைத் தரவிறக்கிவிடும். ஒரு நம்பகமான மென்பொருளைப் போலவே இருக்கும் அதை இயக்கியதும் பயனரின் பிரவுசரில் இருக்கும் குக்கிகளைத் திருடி ஹேக்கர் வசம் ஒப்படைத்துவிடும். 

அதிலும் அமர்வு குக்கீ (Session Cookie) கிடைத்துவிட்டால், ஹேக்கர்களுக்கு அடித்தது அதிர்ஷ்டம்! ஒரு பயனர் வெற்றிகரமாகக்  கணக்கில் நுழைந்ததும் அந்த அமர்வை நிர்வகிப்பதுதான் இதன் வேலை. இது கிடைத்துவிட்டால் பயனர் பெயர், கடவுச்சொல் எல்லாம் தேவையே இல்லை, நேரடியாக அடுத்த கட்டத்திற்கு எடுத்துச் சென்றுவிடும். அலாவுதீன் விளக்கே கிடைத்ததற்கு பிறகு அலிபாபா குகைக்கு கடவுச்சொல் எதற்கு. யூட்யூப் போன்ற ஜாம்பவான்கள் பயனர் கணக்கில் நுழைவதற்கு கடவுச்சொல், ஒடிபி என ‘பல கட்ட பாதுகாப்பு’களைக் (Multi Factor Authentication) கொண்டிருந்தாலும், அதையெல்லாம் கடந்து ஹேக்கர்கள் எளிமையாக கணக்கைத் திருடுவது இந்த அமர்வு குக்கீயால்தான்.  

சரி! ஏன் பத்துக்கும் மேற்பட்ட சேனல்களை ஒரே நேரத்தில் அவர்கள் வசம் கொண்டுவருகிறார்கள். அதன் பிறகு ஏன் சேனல் பெயர், புகைப்படம் என அனைத்தையும் க்ரிப்டோ தொடர்பாக மாற்றி க்ரிப்டோ பணம் குறித்த காணொளிகளை அவர்கள் ஒளிபரப்புகிறார்கள்? 

ஒரு ஹேக்கர் வசம் சேனல் வந்தால் அதை வைத்துக்கொண்டு அவர் உரிமையாளரை மிரட்டிதான் பணம் பறிக்க முடியும், அது நேரம் பிடிக்கும், ரிஸ்க்கும் அதிகம். பேரம் சரிவரவில்லையென்றால் சேனலை வைத்துக்கொண்டு ஒன்றும் செய்ய முடியாது. அதிகபட்சம் காணொளிகளை அழித்து மிரட்டுவார்கள். அதிலும் வருவாய் வராது. என்ன செய்யலாம்?

‘ஹேக் ஃபார் ஹைர்’ (Hack for Hire) என இருள் இணையத்தில் ஒரு பதம் இருக்கிறது. இவர்கள் வாடகை ஹேக்கர்கள். இவர்கள் ஹேக் செய்துவைத்திருக்கும் கணினி, மென்பொருள்கள், வங்கி விபரங்கள், யூட்யூப் சேனல் கணக்குகள், இன்னபிற விஷயங்களை ஒரு மணிநேரத்துக்கு இவ்வளவு கட்டணம் என வாடகைக்கு விடுவார்கள். எத்தனை கணக்குகள் வேண்டுமானாலும் ஹேக் செய்யலாம். களத்தில் இறங்கி பணம் கேட்டு மிரட்டத் தேவை இல்லை; வாடகைக்கு விட்டால் போதும், பணம் கொட்டும்!

இந்த ஹேக்கர்களிடமிருந்து சேனல்களை வாடகைக்குப் பெரும் க்ரிப்டோ மோசடியாளர்கள் அதன் அனைத்து சந்தாதாரர்களிடத்தும் ‘ஒன்று அனுப்பினால் இரண்டு’ என க்ரிப்டோ கரன்சி மோசடியைக் கட்டவிழ்ப்பார்கள். அதற்காகத்தான் அந்த சேனலின் பெயர், புகைப்படம் எல்லாவற்றையும் க்ரிப்டோ பணம் தொடர்பாக மாற்றிவிடுவார்கள். அது அப்படி அதிக சந்தாதாரர்களைக் கொண்ட இவ்வளவு சேனல்களை ஒரே நேரத்தில் ஹேக்கர்கள் தங்கள் வசம் கொண்டுவருகிறார்கள். 

இது மிக எளிது. இந்த முன்னணி சேனல்களின் விளம்பரம் மற்றும் முன்னேற்றத்திற்கு உழைக்கும் பின்னணி டிஜிட்டல் நிறுவனம் ஒன்றே, அவர்களது அமர்வு குக்கீயை வசப்படுத்தினால் போதும் பத்து சேனல்களின் குடுமியும் ஹேக்கர் வசம் சென்றுவிடும். அதை அவர்கள் க்ரிப்டோ கும்பலிடம் வாடகைக்கு விட்டு பணம் பார்ப்பார்கள்

இந்த தாக்குதலுக்கு ஆளாகாமல் சேனலைக் காப்பது எப்படி? 

விளம்பர வருவாய் தவிர்க்க முடியாதது, அதற்காக மின்னஞ்சலில் வரும் அனைத்தையும் தரவிறக்குவதைத் தவிருங்கள். எக்ஸ்இ (exe)  கோப்புகளை அறவே தவிருங்கள். தரவிறக்கும் எந்த மென்பொருளை இயக்கும் முன்பும் அது நம்பகமானதா என ஸ்கேன் செய்து உறுதிசெய்துகொள்ளுங்கள். 

கூகுளில் ‘சேஃப் பிரவுஸிங்’ (safe browsing) தேர்வுசெய்துகொள்ளுங்கள், இணைப்புகளைச் சொடுக்கினால் மோசடி தளங்களுக்கு இட்டுச்செல்வதை இது தவிர்க்கும். ஒருவேளை உங்களது சேனல் ஹேக் செய்யப்பட்டுவிட்டால் கூகுள் அல்காரிதம், அதைத் தானே உணரும் தன்மை கொண்டது. சில மணி நேரங்களில் மீண்டும் உங்கள் வசம் தந்துவிடும். இல்லையெனில் நீங்களும் கூகுளிடம் முறையிடலாம். 

(தொடர்ந்து பேசுவோம்...)