1.1 හැකින් (Hacking) යනු කුමක්ද?
බොහෝ දෙනෙක් "හැකින්" යන වචනය ඇසූ විට සිතන්නේ පරිගණක පද්ධතිවලට හොර රහසේ ඇතුළු වී දත්ත සොරකම් කරන අපරාධකරුවන් ගැනය. නමුත් එහි සැබෑ අර්ථය ඊට වඩා පුළුල් ය. සරලවම කිවහොත්, හැකින් යනු යම් පරිගණක පද්ධතියක හෝ ජාලයක ඇති දුර්වලතා (Vulnerabilities) සොයාගෙන, එම දුර්වලතා හරහා එම පද්ධතියට අනවසරයෙන් ප්රවේශ වීමට හෝ එය අපේක්ෂිත ආකාරයට වඩා වෙනස් ලෙස ක්රියා කරවීමට උත්සාහ කිරීමයි.
මෙම ක්රියාව සිදු කරන පුද්ගලයාගේ අරමුණ අනුව එය නීත්යානුකූල හෝ නීති විරෝධී ක්රියාවක් විය හැකිය. උදාහරණයක් ලෙස, බැංකු පද්ධතියක ආරක්ෂාව පරීක්ෂා කිරීමට එම බැංකුවේ අවසරය ඇතිව එහි දුර්වලතා සෙවීම නීත්යානුකූල ක්රියාවකි. නමුත්, අවසරයකින් තොරව එම බැංකු පද්ධතියට ඇතුළු වී මුදල් සොරකම් කිරීම නීති විරෝධී අපරාධයකි. ක්රියාව එකක් වුවද, අරමුණ සහ අවසරය මත එහි ස්වභාවය සම්පූර්ණයෙන්ම වෙනස් වේ.
1.2 හැකර්වරුන්ගේ ප්රධාන වර්ග
හැකර්වරුන් ඔවුන්ගේ අරමුණු සහ ක්රියාකාරකම් මත පදනම්ව ප්රධාන කාණ්ඩ තුනකට වර්ග කෙරේ. මෙය "Hat" (තොප්පි) සංකල්පය භාවිතයෙන් පැහැදිලි කරයි.
මොවුන් නරක චේතනාවෙන් යුතුව, අවසරයකින් තොරව පරිගණක පද්ධති වලට ඇතුළු වන පුද්ගලයන්ය. ඔවුන්ගේ අරමුණු අතර දත්ත සොරකම් කිරීම, මූල්ය වංචා, පද්ධති විනාශ කිරීම හෝ කප්පම් ගැනීම වැනි දේ ඇතුළත් වේ. ඔවුන්ගේ ක්රියා සම්පූර්ණයෙන්ම නීති විරෝධී වේ.
මොවුන්ව "සදාචාරාත්මක හැකර්වරුන්" (Ethical Hackers) ලෙසද හඳුන්වයි. ඔවුන් ආයතනයක හෝ පද්ධතියක හිමිකරුගේ පූර්ණ අවසරය ඇතිව, එම පද්ධතියේ ආරක්ෂක දුර්වලතා සොයා දෙයි. ඔවුන්ගේ එකම අරමුණ වන්නේ Black Hat හැකර්වරුන් ප්රහාර එල්ල කිරීමට පෙර එම දුර්වලතා හඳුනාගෙන ඒවා නිවැරදි කිරීමට උදව් කිරීමයි. ඔවුන් නීතියට අනුකූලව ක්රියා කරයි.
මොවුන් Black Hat සහ White Hat අතර සිටින පිරිසකි. ඔවුන් අවසරයකින් තොරව පද්ධතිවල දුර්වලතා සොයා ගනී, නමුත් ඔවුන්ගේ අරමුණ සොරකම් කිරීම හෝ විනාශ කිරීම නොවේ. බොහෝ විට ඔවුන් එම දුර්වලතාවය අදාළ ආයතනයට දැනුම් දී, එය නිවැරදි කිරීම සඳහා ගාස්තුවක් ඉල්ලා සිටිය හැක. ඔවුන්ගේ ක්රියාව නීත්යානුකූල නොවූවත්, අරමුණ සම්පූර්ණයෙන්ම නරක නොවිය හැක.
1.3 සදාචාරාත්මක හැකින් (Ethical Hacking) යනු කුමක්ද?
සදාචාරාත්මක හැකින් යනු, යම් ආයතනයක පරිගණක පද්ධති සහ ජාල වල ආරක්ෂාව තහවුරු කිරීමේ අරමුණින්, එම ආයතනයේ ලිඛිත අවසරය මත, එහි ඇති ආරක්ෂක දුර්වලතා ක්රමානුකූලව සොයා බැලීමේ ක්රියාවලියයි.
මෙහිදී White Hat හැකර්වරයා, Black Hat හැකර්වරයෙකු භාවිතා කරන දැනුම, මෙවලම් සහ ශිල්පීය ක්රමම භාවිතා කරයි. නමුත් ඒ සියල්ල සිදු කරන්නේ ආරක්ෂාව වැඩි දියුණු කිරීමේ එකම අරමුණින් සහ නීතිමය රාමුවක් තුළ සිටිමිනි. මෙම ක්රියාවලිය "Penetration Testing" හෙවත් "විනිවිද යාමේ පරීක්ෂාව" ලෙසද හඳුන්වනු ලැබේ.
මතක තබා ගන්න!
සදාචාරාත්මක හැකර්වරයෙකු සහ නීති විරෝධී හැකර්වරයෙකු අතර ඇති ප්රධානතම වෙනස වන්නේ අවසරය (Permission) යි. අවසරයකින් තොරව කිසිදු පද්ධතියක් පරීක්ෂා කිරීම නීති විරෝධී වන අතර එය සදාචාරාත්මක හැකින් ගණයට අයත් නොවේ.
1.4 සදාචාරාත්මක හැකර්වරයෙකුගේ කාර්යභාරය සහ වගකීම්
සදාචාරාත්මක හැකර්වරයෙකුගේ ප්රධාන වගකීම වන්නේ ආයතනයක ඩිජිටල් වත්කම් (Digital Assets) ආරක්ෂා කිරීමයි. ඔවුන්ගේ කාර්යයන් අතරට:
- දුර්වලතා හඳුනා ගැනීම: පද්ධති, ජාල සහ වෙබ් යෙදුම් පරිලෝකනය (scan) කරමින් දුර්වලතා සොයා ගැනීම.
- පරීක්ෂණ සිදු කිරීම: හඳුනාගත් දුර්වලතා හරහා පද්ධතියට ප්රවේශ විය හැකිදැයි පරීක්ෂා කිරීම (Penetration Testing).
- වාර්තා සැකසීම: සොයාගත් සියලුම දුර්වලතා සහ ඒවායේ අවදානම් මට්ටම පිළිබඳව සවිස්තරාත්මක වාර්තාවක් කළමනාකාරිත්වයට ඉදිරිපත් කිරීම.
- නිර්දේශ ලබා දීම: හඳුනාගත් දුර්වලතා නිවැරදි කරගැනීම සඳහා තාක්ෂණික නිර්දේශ ලබා දීම.
- රහස්යභාවය රැකීම: පරීක්ෂණ අතරතුරදී හෙළිවන සියලුම සංවේදී තොරතුරුවල රහස්යභාවය තදින්ම ආරක්ෂා කිරීම.