Wednesday 6 January 2010

කයිවාරුවේ රග

අපේ ගෙදරට ඊයෙ නයෙක් ආවනෙ මෙයා. ඒක සෙටිය උඩින් ගිහිල්ල, වොෂින් මැෂින් එක ලග පෙනේ පුප්පන් ඉදල.....බ්ලා, බ්ලා, බ්ලා. අපිට හොදට හුරු පුරුදු බයිල කතාවක් නේද ඔය. සාමාන්‍යයෙන් නෝන මහත්තුරු කැමතී නොවැ විස්තර ඔක්කොම එක්කලා කතාව කියන්න. හැබැයි අවුල ඉතින් නෝනගෙ නොදැනුවත්කමට මොකක් හරි එලි විය නොයුතු දෙයක් පිට උනොත්? උදා: මහත්තයගෙ බැංකු ගිනුමෙ කීයක් තියනවද කියලා?

කියවන නෝන මහත්තුරු (ඉන්නවනම්) කේන්ති ගන්න එපා. හොදටම ගැලපෙන උදාහරනයක් නිසයි භාවිතා කලේ දැන් කියන්න යන කතාවත් එක්කල.

සාමාන්‍යයෙන් ආයතනයක පිලිගැනීමේ නිලධාරී විදියට ඉස්සරහට දාන්නෙ පුලුවන් උපරිම විදියෙ ඉටිකිරිස් නෝනා කෙනෙක්වනෙ නේද? ණය කාරයෝ, යකා තදවෙච්ච පාරිභෝගිකයෝ, චෙක් පරක්කු වෙච්ච සපයන්නො කොච්චර ආවත් අර ලස්සන හිනාවට, කටහඩට කොච්චර ලස්සනට ඒවා පාලනය කරන්න පුලුවන්ද? පරිගනක ලෝකෙ අන්න ඒ වගේ උපන් හපන්කම් ඇති පිළිගැනීමේ නිලධාරිනියොන්ට තමයි web servers කියන්නෙ. තමන් ලගට එන බුවා මොන තූත්තුකුඩියෙ ඉදල ආවත්, මොන ඇදුමක් ඇදන් ආවත් එ එ බුවාලට ඒ ඒ විදියට සලකලා ආයතනයෙ හොද නම තියාගන සෑහෙන කාර්යයක්කරනවනෙ එයාලා. මොන browser එකෙන් ආවත්, ip location එක කොහෙ උනත් user ඉල්ලන දේවල් ලස්සනට දෙන්න web server එක දන්නව නේද? හ්ම්ම්ම්...

ඔය චිත්තරපටි වල එහෙම දැකල තියනව නේද ලස්සන කොල්ලෙක්ව දම්මල පිලිගැනීමේ නිලධාරීගෙ හිත දිනාගන රහස් තොරතුරු එලිකරගන්න සීන්? කියන් ආපු විදිය‌ටම කතාව කියාගෙන යමු කො. ඔන්න පිලිගැනීමේ නිලධාරී නෝනා(web server එක) එයාගෙ වැඩේ ලස්සනට කරගෙන ඉන්නව. ඔන්න මියුසික් පාරක් එහෙම දාගෙන, high speed connection එකකින, firefox browser එක පාවිච්චි කරගෙන (ඒ ටික සෝබනේට විතරයි හරිද?) ඇම්ඩන් එනචා. ටික වෙලාවක් එහෙට මෙහෙට වෙවී පිලිගැනීමේ නිලධාරීනී එක්ක මල් කඩන ඇම්ඩා "සිරිපාල මහත්තය අද වැඩද" කියල අහනව. ඇම්ඩ එහෙම අහන්නෙ සිරිපාල කියල කෙනෙක් නෑ කියන එක හොදටම දැනගෙන. කෙල්ලගෙ රස්සාව එන අයට උදව් කරන එකනෙ. ඉතින් කෙල්ල full try අරූ හොයන එකාව හොයල දෙන්න. "අර රතු කාර් එකේ එක කෙනාද? එයා සමරපාල එයා accountant, නැත්තම් අර සුදු කාර් එකේ එන උස මහත්තයද? එයා සෝමපාල එයා විධායක නිලධාරී...." පිලිගැනීමේ නිලධාරී නෝනා ඔක්කෝම ටික වමාරනවා. web server එකක කතාව එයාට ඒ මහත්තුරුන්ගෙ පඩිය වගේ sensitive information වලටත් access තියනවා. ඇම්ඩා කරපු වැඩේ අපිත් කරල බලමුද?

යන්න වෙබ් අඩවියකට. හිතන්නකො http://www.මොකක්හරි.com/ කියලා. ලිපිහොනුවකට දාන්නෙ නැති නමක් කොටන්න / වලට පස්සෙ. මෙන්න මේ වගේ. http://www.මොකක්හරි.com/උලමා.yy

පරසිද්ද site වල නම් අනිවා custormise කරපු පිටුවක් පෙන්නයි. බැරිවෙලාවත් මෙහෙම එකක් පෙන්නුවොත් ඒ පිලිගැනීමේ නිලධාරී නෝනා කයිය ගහන්න ආස කෙනෙක්. නමුත් අපිට එයා එක්ක කතාව ඉවරයි.

නෝන කියපු විස්තරේ තියන පැකේජ අලුත්ම ඒව නෙමේ නම් (60% දුරට අලුත් ඒව නෙමේ) කතා දෙකක් නැතුව google search එකකින් vulnarablity එකක් හොයාගන්න පුලුවන්.


හොදටම නිදිමතයි. කතාව මෙතනින් ඉවර කරන්නම්. අවවාදයයි: "නෝනලාට ඕන එක සහ එපා එක යන සියල්ල කීමෙන් වලකින්න, වෙබ් සර්වරයටද ඒ ලෙසම සලකන්න"

ඔය screen shot එක ගනු ලැබුවේ test machine එකකින් නොව ලංකාවේ ප්‍රධාන පෙලේ වෙබ් සේවා සම්බන්ධ(.lk පවා ඇති) ආයතනයකින් බවද කරුනාවෙන් සලකන්න.