ඔබේ පරිගණකයේ මොනිටරයත් හැක් කිරීමට හැකි බව ඔබ දන්නවාද?

හැමෝම දන්නවා පරිගණකයක් කියන්නෙ අනවසර ඇතුලුවීමක් නැත්නම් හැක් කරන්න පුළුවන් එකක් කියලා. ඒත් හිතිලා තියෙනවද පරිගණකයේ මොනිටරය හැක් කරන්න පුළුවන් කියලා? මේ ගැන හොයාගෙන තියෙන්නෙ Red Balloon Security කියන්න embedded devices සඳහා ආරක්ෂක මෘදුකාංඟ නිර්මාණය කරන සමාගමක්. ජනප්‍රිය Dell මොනිටරයක් (Dell (U2410) 24-inch monitor) යොදාගෙන සිදුකරපු පරීක්ෂණයකින් මොනිටරයේ ඇත්තටම පෙනෙන්න අවශ්‍ය දේ වෙනස් කර පෙන්වීමට ඔවුන්ට හැකි වී තිබෙනවා. මෙවැනි හැකර් ප්‍රහාරයකින් පරිශීලකයා මුලා කර ඔවුන්ගේ ක්‍රෙඩිඩ් කාඩ් අංක, ඊ-මේල් ලිපින වැනි පෞද්ගලික දත්ත ඉතා සූක්ෂමව සොරා ගත හැකි බව ඔවුන් පවසනවා ඔබට ඔබේ පරිගණකයෙන් පෙන්වන දේ ඔබට එකහෙලාම විශ්වාස කළ නොහැක, මන්ද මොනිටරයට තිරයේ අන්තර්ගතය වෙනස් කරන්න පුළුවන්." ලෙස Red Balloon Security සමාගමේ ප්‍රධාන විධායක නිලධාරියා වන Ang Cui පවසයි.

ඊට උදාහරණයක් ලෙස ඔවුන් පෙන්වා ඇත්තේ සත්‍ය වෙබ් අඩවියක් සේම සකසන ලද ව්‍යාජ වෙබ් අඩවියකි. සැබැවින්ම මොනිටරය තුලද එහි පික්සල් හැසිරවීම හා අනෙකුත් කටයුතු හැසිරවීම සඳහා on-screen display controller නමින් හැඳින්වෙන කුඩා පරිගණකයක් පවතී. හැකර් කරු මෙම ප්‍රහාරය එල්ල කරන්නෙ එම කුඩා පරිගණකයටය. උදාහරණයක් ලෙස බැංකුවක වෙබ් අඩවියකට පිවිසෙන අවස්තාවක් සලකමු.එහිදී මුදල් ගණුදෙනු කරන වෙබ් අඩවියට සමාන වෙබ් අඩවියකට හැකර් කරු විසින් වෙබ් අඩවිය redirect කරනු ලබයි (Phishing attack) . බැලූ බැල්මට මෙය සමාන වුවද වෙබ් බ්‍රවුසරයේ ඇති වෙබ් ලිපිනය වෙනස් හා SSL Lock අයිකනය නොමැති බව පෙනීයයි. දැන් හැකර් කරු මොනිටරයට හැකර් ප්‍රහාරය දියත් කර SSL Lock අයිකනය මොනිටරය මත මවා පෙන්වයි (overlaying). දැන් එය භාවිතා කරන පුද්ගලයාට එහි වෙනසක් නොපෙනේ. ඒ නිසා තම සත්‍ය පාස්වර්ඩ් හා ඊමේල් එම ව්‍යාජ වෙබ් අඩවිය හරහා හැකර් කරු අතට පත්වේ. මේ ආකාරයටම සත්‍ය ගිණුම් විස්තර වෙනුවට වෙනත් ව්‍යාජ තොරතුරු ඇතුලත් කර පරිශීලකයා මුලාවට පත් කල හැකිය. එයට හේතුව එය භාවිත කරන පුද්ගලයා පරිගණක තිරයේ ඇති දේ පමණක් විශ්වාස කරන නිසාවෙනි.

Ang Cui පවසන ආකාරයට මේ ආකාරයට ලොව පුරා මොනිටර් බිලියන ගණනක් මේ ආකාරයෙන් අනතුරේ පවතී. Red Balloon Security සමාගම මේ පිළිබඳ Dell ආයතනය දැනුවත් කර ඇති අතර ඔවුන් Dell U2415 මොනිටරය සඳහා ඇති අප්ඩේට්ස් ඉන්ස්ටෝල් කරගන්නා ලෙස පවසා ඇත. ඔවුන් විසින් මෙම හැක් කිරීමට යොදා ගත් කේත කොටස් ඔවුන්ගේ github ගිණුමේ පලකර ඇති අතර අවශ්‍ය අයෙකුට එය පරික්ෂා කර බැලිය හැකිය.