Monday 26 April 2010

කොහොමද හැක් කරන්නෙ? මට උගන්වන්න පුලුවන්ද?

කාලා වරෙං පුතා. හතරැස් වෙන ජාතියෙ එක ප්‍රශ්ණයක්නං කමක් නෑ. දෙකක් කිව්වම? ලේසි ටෙක්නික් එක තමා "අනේ මං දන්නෙ නෑ" හරි "&$@\&%*&^*^%@" හරි කියලා ශේප් වෙන එක. වැඩේ ඉතිං එහෙම කරපුවාම එක්කො අහන මනුස්සයට දුක හිතෙනවා නැත්නං "මුගෙ %$#%#$" කියලා හිතෙනවා. ඇටයා කාලෙ änthräXත් බොහොම අමාරුවෙන් dial up එකකින් 11kbps විතර වේගෙකිං සම්බන්ධ වෙලා, අත්තර්ජාලෙ හතරකොන පෙරලලා, ඔය අයියලා බහින චැට් රූම් එකක බොහොම අමාරුවෙන් ඉංගිරිසි ගලපලා ඔය ප්‍රශ්නෙම අහලා තමා ඉංගිරිසි බාසාවෙ තියන කුනුහරප වැඩි හරියක් ඉගනගන්න අවස්ථාව ලැබුනෙ. එහෙව් එකේ මේක සරළව පැහැදිලිව තේරුම් යන විදියට ලියලා තිබ්බනං මතු අනාගතයේදී ඔයවගේ අසීරු අවස්තාවක අහන කෙනාගෙ හිත රිදවන්නෙත් නැතුව අහන කෙනාට මගෙ වැඩිහිටියො මතක් කරන්න වෙන්නෙත් නැතුව ශේප් වෙන්න පුලුවන්නෙ :D.

පලවෙනියටම, කවදාවත් කිසිම කෙනෙක්ගෙන් අහන්න එපා "හැක් කරන්නෙ කොහොමද", "මගෙ ex girlfriend ගෙ e-mail එකේ password එක හොයන්නෙ කොහොමද", "මට මේක හැක් කරලා දෙන්න පුලුවන්ද" කියලා. ඔය විදියෙ ප්‍රශ්න අහල කව්රුහරි ඔයාට උත්තර දෙනවනං මතකතියාගන්න එයත් දැනුමක් තේරුමක් ඇතිව වැඩක් කරන කෙනෙක් නොවෙන වග. මුලින්ම ඉගනගන්න ඕනා ප්‍රශ්ණයක් අහන විදිය. ඒක හරියට දන්නවනං searching techniques ටිකක් ඉගනගත්තම බොහොමයක් දේවල් ගූගල් බාවිතාකරලම හොයාගන්න පුලුවන්. ඒ විතරක් නෙමේ, හරි විදියට ප්‍රශ්නෙ ඇහුවනං අනිවාර්යයෙන් පිලිතුරක් හරි පිලිතුර හොයාගන්න ඔත්තුවක් හරි ලැබෙනවා. උදාහරණයක් විදියට "gmail හැක් කරන්නෙ කොහොමද" කියලා ඇහුවොත් ඔයාට කවදාවත් උත්තරයක් හොයන්න බැරි ප්‍රශ්ණයට "SSL වල දුර්වලකම්" නැතිනම් "MITM කියන්නෙ මොකද්ද" කියලා කතාබහකට මුලපුරලා හොයාගන්න පුලුවන්. "පරිශීලකයට නොපෙනෙන්න application එකක් run කරන්නෙ කොහොමද" කියලා අහනවා වෙනුවට "exe එකක task visibility සෙට් කරන්නෙ කොහොමද"(.net ඇයන්ට නම් මේක තනි පේලියෙ කේතයක් :P) කියලා අහලා වැඩේ ගොඩදාගන්න පුලුවන්. ප්‍රශ්ණය අහන කෙනාට ඒත්තුගන්වන්න පුලුවන්නම් ඔයා ඇත්තටම උනන්දුවක් තියන කෙනෙක්, ඔයා හරියට 'ගෙදරවැඩ' කරනවා කියලා අනිවාර්යයෙන්ම ඔයාට උදව් ලැබෙනවා. මේ කියන්නෙ නොදන්න දෙයක් දන්න විදියට මවාපාන්න කියලා නෙමේ හොදද, එහෙම කරන එකෙන් අමාරුවෙ වැටෙන්නෙ ඔයාමයි.

කාවවත් සුලුකොට තකන්න එපා. IT කියන්නෙ ලොකු (ලොකු කියන්නෙ අම්බානක් ලොකු) ක්ශේත්‍රයක්. තමන් කොච්චර දේවල් දැනගෙන හිටියත් හැම විටම වෙන කෙනෙක්ගෙන් දෙයක් ඉගනගන්න පුලුවන් තැනක්. ඒක නිසා නිතරම ප්‍රශ්ණ අහන්න. නොදන්න දෙයක් නොදන්න බව පිලිගන්න එක ලැජ්ජා වෙන්න කාරණයක් නෙමේ.

හුගක් දෙනා කරන ලොකු වැරැද්දක් තමයි තමන් පාවිච්චි කරන ටූල් 'මහා ලොකු රහස්' විදියට තියන් ඉන්න එක. ඈණයක් ගලවන්න ඉස්කිරුප්පු ණියන පාවිච්චි කරන්න, චයර් එකක් කපන්න අඩුව පාවිච්චි කරන්න කියලා කෙනෙකුට කියාදෙන එකෙන් තමන්ට වෙන හානියක් නෑ කියලා තේරුම්ගන්නැත්තෙ ඇයි. ඔන්න තමන් දන්නෙත් ටූල් එකේ නම විතරයි, හරියට පාවිච්චි කරන්න දන්නෑ නම් කුහක කමට ඒකෙ නම කාටවත් නොකිය හිටියා කියලා කාටවත් මුකුත් කියන්න බෑ නෙ:P. අමතක කරන්න එපා බොහොමයක් ටූල්ස් විවෘත මෘදුකාංග කියන එක. ඔයා ටූල් එකක නම හංගං ඉන්න හැදුවට වැඩි කාලයක් සාර්ථක වෙන්න බෑ. ලේසි වැඩේ තමා දැනුම බෙදාගන්න එක. තමන් දන්න ටූල්ස් ගැන යාලුවො එක්ක කතා කරන්න. "මචං උබ කියපු ටූල් එක සිරා නෙ, මෙහෙම මෙහෙම දේවල් කරන්නත් පුලුවන් ඒකෙන්" කියලා යාලුවන්ගෙන් ලැබෙන feedback වලින් ඉගනගන්න වේගය වැඩි කරගන්න පුලුවන්. "බෙදාගන්න තරමට වැඩිවන දෙයකි, දැනුම" කියලා කියලා තියෙන්නෙ කට කහනවට නෙමෙයිලුනෙ.

මොකක් හරි ටූල් එකක් ගැන දැනගත්තම, ඒක පාවිච්චි කරන හැටි ඉගනගත්තම ඔක්කොම හරි කියලා නිකං ඉන්න එපා. ටූල් එකකින් කරන්න බැරි දෙයක් ටූල්ස් දෙකතුනක් ආධාරයෙන් කරන්න පුලුවන් විදි ගැන හිතන්න. හැට්ට කට්ටකින් ඉබි අගුලක් අරින්න කියලා යතුරු හිලට කටුව ඔබාගෙන එහෙට මෙහෙට කර කර ඉන්නව වෙනුවට ඉබි අගුල් ගැන, යතුරක් ක්‍රියාකරන විදිය ගැන ලියැවුනු ලිපි කියවලා වැඩෙ කරන්න පටන්ගන්න. තියරිය සහ ක්‍රියාකාරකම් හරි හරියට සමබරව තියාගන්න එක අනිවාර්යයි. මේක මහා ලොකු රහස් දැනුමක් නෙමෙයි. මොකක් හරි‌ ක්‍රියාකරන විදිය ගැන වැටහීමක් කියනවනම්, ගලවලා බලන්න වෙනස් කරන්න මානසිකත්වය තියනවානම් වෙන මුකුත් උවමනා වෙන්නෙ නෑ. වැඩක් මැජික් වෙන්නෙ වැඩේ වෙනහැටි නොදන්නකොටනෙ. වැඩේ ගැන දන්නවනම් මහ කජ්ජක් නෙමේනෙ. තමන් කරන්නෙ මොකද්ද කියලා කිසිම තේරුමක් නැතිව කෙනෙක්ට තව කෙනෙක්ගෙ පරිගණකයකට රිංගගන්න පුලුවන් ටූල් එකක් භාවිතා කරලා. නමුත් මතක තියාගන්න, ඒ විදියට 'මැජික්' කරන්න වැඩි කාලයක් බෑ මොකද ඒ vulnerability එල patch කලාම වන්ඩිකම් ඔක්කොම ඉවරයි. ඒක නිසා මුලින්ම දේවල ක්‍රියාකරන හැටි ඉගනගන්න. ඊට පස්සෙ ටූල් භාවිතා කරන්න පුලුවන්. එහෙමයි කියලා ටූල්ස් එක්ක ඔට්ටු වෙලා බලන්න කිසිම තහනමක් නෑ.

ඔය ඔක්කොමත් එක්ක, කෙනෙක්ගෙන් උගන්වන්න කියල කරන ඉල්ලීම කොතරම් දුරට අසාධාරණද කියල අපි පොඩ්ඩකට හරි හිතලා බලලා තියනවද? හිතන්න ඉල්ලීම කරන්නෙ ඔයාගෙන් කියලා. කියාදෙනවා කියලා ඔයාට කරන්න පුලුවන් මේමේ vulnerabilities මේමේ විදියට exploit කරන්න පුලුවන් මෙ මේ ටූල්ස් පාවිච්චි කරලා කියන එක විතරයි නේද? හරිහමන් දැනුමක් නැතුව ඒ පුද්ගලයා ඔය දේවල් කරන්න ගිහින් නොදැනුවත්කමින් ප්‍රහාරයට ලක්වන පාර්ශවයේ දත්ත විනාශ කරලා හරි, හිතාමතාම කරල හරි වෙන පාඩුව? නීතිමය ප්‍රශ්ණවලට මැදිවෙලා ඔයාගෙ ගෝලයෙක්ට හිරේ යන්න උනොත් ඔයාට මොනවා හිතෙයිද? අනික මේ දේවල සාකච්චා කරන්න ඕනෙ වැරදි වැඩක් කරන අදහසකින් නැතිව වැරදි වැඩ කරන අයගෙන් බේරෙන අදහසින්. පාසලක උගන්නන විදියට සරල විදියට කියාදෙන්න පුලුවන් විෂයක් නෙමෙයි මේක.

විධාන පුවරුව (command line)පාවිච්චියට හුරුවීම අනිවාර්යයි. 90%කට වඩා අවස්ථාවලදී පරිගණකයකට දුරස්ථව සම්බන්ධ වෙන්න සිද්ධවෙන්නෙ. එහෙම අවස්ථාවකදී RDP හෝ VNC සම්බන්ධයක් (graphical interface එකක්) පාවිච්චි කරන එකේ අවාසි ගොඩයි. මතක ඇතිනෙ NASA එකට රිංගලා ඇණගත්ත Gary McKinnon
කියන මනුස්සයාව. එයාව මාට්තුවෙන්න මූලික ගේතුව RDP පාවිච්චි කිරිල්ලනෙ. දුරස්ථ පරිගණකයකට සම්බන්ධ වෙන්න හොදම විදිය තමා command line protocol එකක් පාවිච්චි කරන එක. වැඩියෙ bandwidth උවමනා වෙන්නෙ නැති නිසා slow proxies හරහා bounce කලා කියලා ආබාධයක් නෑ නෙ. අනික command line බාවිතය බොහොම වේගවත්.

"කොහොමද හැක් කරන්නෙ"
කරනදේ ගැන පැහැදිලි අවබෝධයක් ඇතිකරගෙන වෙස් විදියට හිතලා.
"මට උගන්වන්න පුලුවන්ද?"
සමාවෙන්න, මග පෙන්වන්න විතරයි පුලුවන්
කරන දෙයක් අවබෝධයක් ඇතුව කරන්න දන්න සිංහලෙන් ප්‍රශ්ණ අහන්න මෙතනින් පුලුවන් ;)
ජයවේවා කිව්වා...

Thursday 1 April 2010

nmap වලට සිංහලෙන් හැදින්වීමක්

networking සම්බන්ධව වැඩ කරන අයට නම් ඉතින් ඉස්කුරුප්පු ණියන තරම් හුරුපුරුදු ටූල් එකක්නෙ මේ nmap කියන්නෙ. හා හා පුරා කියලා screen-cast එකක් කලා nmap මූලිකව පාවිච්චිකරනහැටි විස්තර කරලා. වැඩේ පටන්ගත්තෙ නම් සිංගලෙන් කොටනව වගේද රෙකෝඩ් කරගෙන යන එක කියලා. හපොයි ඒක ලියනවට වඩා කරදරයි නොවැ. ඔන්න ඉතිං දහ දොලොස් පාරක් වැඩේ re-startකර කර ඉදලා යංතං ඉවරකලා. ඔය 'පිලිං චූටිං' කිරිල්ල කොච්චර අමාරු ඇද්ද හැබෑට කියල අදයි තේරුනේ. වැඩකට ඇති දෙයක්ද කියලා බලන්නකො.

තවත් දෙයක්, මේ දේවල් පුහුනුනීම් කරන්න රාජකාරී ආයතනයේ network එක පාවිච්චි කරන්න එපා. vmware player, හරි virtualbox හරි වගේ virtualization tool එකක් පාවිච්චි කරන්න.



අනලනම් ඇති අම්බානට. වැරදි එහෙම තිබ්බොත් කියන්න.