An Oppertunaty for Researchers in IT

"World Academic – Industry Research Collaboration Center (WAIRCO) is a non-profit organisation that promotes basic sciences, science & engineering, and information technology research worldwide without any discrimination. It works as a bridge between the students, researchers and academicians of various disciplines and the experienced professionals from the industry through the series of activities such as workshops, seminars, symposiums, conferences and journals. WAIRCO depends on researchers, academicians and corporate support for bridging the academic gap by establishing the relationships with existing organizations and customizing relationships with standard bodies.

The main aim and objective of this organization is to promote new research and scientific applications in the field of several communities such as Computing and Information Technology, Electrical Engineering, Electronics Engineering etc. and allied fields. WAIRCO provides high quality and flexible information solutions to researchers. We currently publish international journals and conduct workshops and conferences all around the globe."

Upper paragraphs in quotes taken from WAIRCO's offical website: www.worldairco.org

WAIRCO is hosting an international conference on computing and information technology. You can post your resaerch papers and get a chace to present your research infront of lot of researchers, intelectualls from all around the world. You can find more information about this event from here.

බොරු Email?

අපි හැමෝටම දවසකට විවිදාකාරයේ email පණිවුඩ ලැබෙනවා. යාලුවොන්ගෙන්, වැඩ කරන තැනින්, ඉගෙන ගන්න තැනින් හැරුනම වැඩියෙන්ම මේ වගේ දේවල් එන්නෙ අපි Register වෙලා ඉන්න විවිධාකාරයේ වෙබ් අඩවි වලින් (facebook එහෙම). ඒත් එක්කම මෙහෙම එන email වර්ගයක් තමයි Scam emails කියන්නෙ.

Scam email කියන්නෙ. අපිව රවටල අපේ තොරතුරු ගන්න හෝ මුදල් ගන්න එන email වලට. මේවා එක එක ආකාරයෙන්, එක එක කතන්දර කිය කිය එන්න පුලුවන්. මේ Scam email අපිට මෙහෙම වර්ග කරන්න පුලුවන්. මම මේ වර්ගීකරණයන් ගත්තෙ මෙන්න මේ වෙබ් අඩවියෙන් http://www.scamwarners.com/

• Fraudulent check scams - මේවයේ අපිට බොරු චෙක් පත් email විදිහට එනවා.
• Fraudulent lotteries - මෙහිදී ඔබට ලොතරැයි දිනුමක් ලැබුනා යැයි පවසා තොරතුරු ගැනීම හෝ දිනුම ලබා ගැනීමට ගෙවීමක් කරන්න ලෙස කියා සිටිනවා.
• Romance scams - මේකෙදි Scammer ඔබට කැමති බව හෝ වැනත් ආකාරයක රොමැන්ටික් දෙයක් කියනවා.
• Money recovery scams - මේ email එක එන්නෙ කලින්ම වෙන බොරු email එකකට අහු උන කෙනෙක්ව තවත් ඉදිරියට ගෙනියන්න.
• Charity scams - සමාජ සේවා ආයතන විදිහට මුදල් ඉල්ලා එන email.
• Employment scams - බොරු රැකියා අවස්තා පෙන්නල එවන email.
• Auction site and online selling scams - අන්තර්ජාලය හරහා ගනුදෙනු කරන අය (බඩු ගන්න/විකුණන අය) ඉලක්ක කරල එන email.
• Rental scams - ඔබේ ණය හිමි හෝ ගෙවල් අයිතිකාරයෙක් විදිහට එවන email.
• Debt collection scams - ඔබ කාට හරි, ආයතනයකට හරි ණයක් වෙලා තියෙනවානම් ඒ ණය වාරික ඔබෙන් රවටා අදාල ආයතනය හෝ පුද්ගලයා විදිහට ගන්න හදන email.
• Advance fee loan scams - ණය දෙන්නො විදිහට පෙනී ඉදල ඔබව රවටන්නට තැත් දරන email.
• Conference scams - බොරු සම්මන්ත්‍රණ සඳහා සහභාගී වෙන්න ඔබට ආරාධනා පත් එවන email.
• Pet scams or puppy scams - මේකෙදි වෙන්නෙ ඔබට සුරතක් සතෙක් විකුණන හෝ දෙන මුවාවෙන් email එවන එක.
• Fraudulent websites used in scams - Scammer විසින් හදපු වෙබ් අඩවියකට (මෙය ඔබේ බැංකුවේ වෙබ් අඩවියට සමානව හෝ ඔබ ගණුදෙණු කරන වෙනත් අඩවියකට සමානව සකස් වෙලා තියෙන්නෙ පුලුවන්) ඔබව navigate කරන සබැදි සහිතව email මෙහිදී එවනු ලබනවා.

මේ විදිහට එන Scam email වැඩි වශයෙන් ඉලක්ක කරන්නෙ ඔබව රවටල මුදල් ගැනීම හෝ ඔබේ තොරතුරු (බැංකු ගිණුම් අංක වගේ) ලබා ගන්න. පසුව ඒවා වෙනත් ඔවුන්ට අවශ්‍ය දේවල් වලට යොදා ගන්නවා.

මෙහෙම Scammers ලා අපේ email ලිපින දැන ගන්නෙ කොහොමද? ඒකට විවිධ ආකාර තියෙන්න පුලුවන්. උදාහරණ විදිහට,

• අපි විවිධ වෙබ් අඩවි වල ලියා පදිචි වෙනවා විවිධ දේවල් වලට (බාගත කිරීම් කරන්න, ෆෝරම් කියවන්න වගේ) මේ අඩවි වලින් අපේ email ලිපින ඉල්ලනවා ලියාපදිංචිය සඳහා.
• දම්වැල් email, ඒ කියන්නෙ විවිධ පණිවුඩ, පින්තූර අපි forward කර කර යවන email. මේ මඟිනුත් පුලුවන් email ලිපින ලබා ගන්න.

මේ ආකාරයෙන් විවිධ ක්‍රම වලින් ලබා ගන්න එ මේල් තොග විදිහට වෙළද ප්‍රවර්ධන කරන අයට, Scammers ලාට වගේ අවශ්‍ය අයට විකුණනවා. මේ තියෙන්නෙ ඒ වගේ අඩවි දෙකක්,

• http://www.email-point.com/
• http://www.americaint.com/bulk-email-lists/buy-email-lists.html

මෙහෙම එන බොරු email එකක් වටහා ගන්නෙ කොහොමද?. ගොඩක් දුරට මේ වගේ email ඒවායේ තියෙන කතන්දරයෙම තේරුම ගන්න පුලුවන්. ගොඩක් දුරට මේ email එකක් එන්නෙ පුද්ගලයෙක් විදිහට. මට මේ ලඟදි ආපු email එකක් තමයි,

Sane Timo කියන පුද්ගලයාගෙන් Timo.Sane@hus.fi කියන email ලිපිනයෙන් මට මොකක්දෝ දිනුමක් ලැබුනා කියල ආපු email එක. මම ඉතින් මෙයාගෙ Timo.Sane@hus.fi කියන email ලිපිනය කොපි කරල ගූගල් කරපු එක. මෙන්න එතකොට එනවා මේක ගැන අනතුරු ඇගවීම තියෙන Scam Warning වෙබ් අඩවි වල හා ෆෝරම් වල ලිපි. මෙන්න එකක් http://www.scamwarners.com/forum/viewtopic.php?f=12&t=25181&p=71301

මේ Scam Warning වෙබ් අඩවි කියන්නෙ මේ වගේ email හරහා එන විවිදාකාරයේ Scam ගැන පුද්ගලයො අනිත් අයට කියන වෙබ් අඩවි. බොරු email එකක් එකවර ලක්ෂ ගනනක email list වලට යන නිසා ඉක්මනින්ම මේ වගේ වෙබ් අඩවියක ඒක ගැන ඇත්ත කියල වෙබ් අඩවියක කුමක් හරි පල වෙනවා. ඒ නිසා මම යෝජනා කරන්නෙ මේ වගේ එකක් ආපුහාම ඒ ආපු email ලිපිනය සෙවුම් යන්ත්‍රයකින් (Search Engine such as google or yahoo) සොයන්න (Search). එතකොට ගොඩක් දුරට මේ ගැන ඇත්ත සොයා ගන්න පුලුවන්. ඒ වගේම මේ වගේ email එකක් කියෙව්වම තේරෙනවා මේ මොකක්ද කියල. නමුත් සමහර අය ඉතා දක්ෂ විදිහට සංවිධානය වෙලා තොරතුරු සහිතව එවන්නත් පුලුවන් ඒ නිසා හොයල බලන එක වැදගත්. මෙන්න අර කියපු වගේ Scam Warning වෙබ් අඩවි කීපයක්,

• http://www.scamwarners.com/
• http://www.scam.com/
• http://www.scamwatch.gov.au
• http://www.fbi.gov/scams-safety/e-scams
• http://www.scambusters.org

මයික්‍රොසොෆ්ට්ලාගේ අනාගත දැක්ම මෙන්න මෙහෙමයිලු

මයික්‍රොසොෆ්ට් ආයතනය 2019 වෙනකොට තාක්ශණය කුමන ආකාරක් ගනියිද කියල වීඩියෝවකින් කියල තියෙනවා. මේ වීඩියෝව ඒ අය නිකුත් කරල දැන් ටිකක් කල් උනත් තාම 2019 උනේ නැති නිසා බලන්න වටිනවා.

Why Physical Security of an Organization is so Crucial?

Security of an organization very important and today organization take various actions to protect their information, assets and other important things. When looking at the security of an organization from a IT aspect, majority of people only consider about securing the organization using IT related solutions. They maybe add firewalls, make security policies, make better authentication systems...etc. When intruders find that organization is not vulnerable through networks or from other IT aspects they focus on physical vulnerabilities to accomplish their target.So if they only address the problem from such angle omitting the physical security fact of the organization, all other security precautions can be useless or will not give the outcome that they expected.

Main objective of ensuring security in an organization is ensure that Confidentiality, Integrity and Availability (CIA) of information within the organization is achieved. As an example due to a natural disaster the information can be destroyed. Hence at that point clearly the availability of information is lost. Hence it is very important to assure the physical security of an organization.

Physical security has risks and vulnerabilities that are different than other security concerns we can find related to IT security of an organization. These include physical destruction of hardware, intruders, environmental issues, theft and vandalism.

Physical threats can be divided into four categories broadly,

• Politically motivated threats: Strikes, riots, civil disobedience, terrorist attacks, bombings...etc
• Supply system threats: Power distribution outages, communications interruptions, and interruption of other natural energy resources such as water, steam, gas, and so forth.
• Natural environmental threats: Floods, earth quacks, storms, tsunami and tornadoes, fires, extreme temperature conditions...etc
• Manmade threats: Unauthorized access internally and externally, explosions, damages by offensive employees, misuse, employee mistakes and accidents, vandalism, fraud, theft and so on.

In these situations the primary consideration should be protecting human lives. Once life safety is achieved other concerns of information security can be addressed.

පරිඝනකයට එල්ල වන සතුරු උවදුරු හා අතුරු ආන්තරා

අපි හැකින් ගැන අහල තියෙනවා. හැමෝම වගේ වෛරස් ගාඩ් ගැන දන්නවා. වින්ඩෝස් වල නිතරම ෆයර්වෝල් ගැන එක එක ඒවා එනවා. මේ හැම දෙයක්ම පරිඝනකයේ ආරක්ශාව සම්බන්ද දේවල්. මොනවයින්ද පරිඝනකයක් මේ තරම් ආරක්ශා කරන්න ඕනි? ඒ හේතු ආකාර ගැන හැකි පමණ සරලව මේ ලිපියෙන් මම විස්තර කරන්නම්. මම වෙනත් ලිපියකින් පරිඝනකයක් ආරක්ෂා කරන්න ගන්න ඕනි ක්‍රියා මාර්ග ගැන කියන්න බලාපොරොත්තු වෙන නිසා මේ ලිපියෙන් කියන්නෙ උවදුරු හා ආන්තරා ගැන විතරයි.

ප්‍රධාන වශයෙන් පරිඝනකයකට ප්‍රහාර හා උපද්‍රව එල්ල වෙන්නෙ අන්තර්ජාලය හරහා. නමුත් පරිඝනකයකට අන්තර්ජාලය නැතිව උනත් විවිද උපද්‍රව සිදු වෙන්න පුලුවන්. අපි පළමුවෙන්ම එහෙම අන්තර්ජාලය නැතිව වියහැකි අනතුරු ගැන කතා කරමු.

• සොරකම් කිරීම: මේ කියන්නෙ අන්තර්ජාලය හරහා කරන හොරකම් නෙමෙයි. ඇත්ත ලෝකේ භෞතිකව වෙන හොරකම් ගැන.
• විදුලි දෝශ: විදුලිය ඇන හිටීම, එකවර විශාල විදුලි ධාරිතාවයක් පැමිණීම, විදුලිය නිසි ධාරිතාවයට වඩා අඩුවෙන් (ඩිම්) පැමිණිම වැනි හේතු නිසා පරිඝනක පද්ධතියේ ඉලෙක්ට්‍රොනික උපාංග වලට හානි සිදු වෙන්න පුළුවන්.
• ඩිස්ක් ඇන හිටීම (Disk Failure): විවිද හේතු නිසා දත්ත ගබඩා කරල තියෙන හාර්ඩ් ඩිස්ක් වැඩ කරන්නෙ නැතුව යන්න පුළුවන්. මේ විදිහට ඩිස්ක් වැඩ කරන්නෙ නැතුව යන එකෙන් දත්ත නැති වීම නිතරම දකින්න පුලුවන් දෙයක්.

දැන් අපි බලමු අන්තර්ජාලය හරහා පිටස්තර ප්‍රහාරකයෙක්ට ඔබේ පරිඝනකයට සිදු කරන්න පුලුවන් ප්‍රහාර හා අනතුරු ගැන.

• ට්‍රෝජන් අශ්වයන් භාවිත කිරීම: මම මේ ගැන වෙනම ලිපියක් ලියල තියෙනවා. ඒ ලිපිය මෙතනින් ගිහින් කියවන්න පුලුවන්. ඒ විතරක් නෙමෙයි ට්‍රෝජන් අශ්වයෙක් වෙන පරිඝනකයකට යවන ආකාරය ගැන ලියපු ලිපිය මෙතනින් ගිහින් කියවන්න.
• Packet Sniffing: පරිඝනක ජාල (Network) හරහා දත්ත හුවමාරු වෙන්නෙ Data Packet විදිහට. මේ විදිහට පැකට් විදිහට ජාල හරහා හුවමාරු වෙන තොරතුරු ග්‍රහණය කරන එක තමයි වෙන්නෙ පැකට් ස්නිෆිං වලදි. මේ සඳහා ගොඩක් වෙලාවට Packet Sniffers කියන වැඩසටහන් වර්ගය තමයි භාවිත වෙන්නෙ. මේ විදිහට පාස්වර්ඩ් වගේ සංවේදී දත්ත සොරකමට ලක් වෙන්න පුලුවන්.
• චැට් හරහා (Chat Clients): අන්තර්ජාලය තුල පණිවුඩ හුවමාරු කර ගන්න විවිධ චැට් මෘදුකාංග හා වෙබ් අඩවි භාවිත කරනවා. මේ සමහර චැට් හරහා executable codes හුවමාරු කරන්න පුලුවන් නිසා පරිඝනකයට හරහා ප්‍රහාර එල්ල වෙන්න පුළුවන්.
• පෑල දොරවල් හා දුරස්ත පරිපාලන වැඩසටහන් (Back Doors and Remote Administration Programs): වින්ඩෝස් මෙහෙයුම් පද්ධතිය ක්‍රියාත්මක වන පරිඝනක විශාල වශයෙන් මේ ආකාරයේ උවදුරු වලට ලක් වෙනවා. මේ වැඩසටහන් උපයෝගයෙන් පිටස්තරයෙක්ට පුලුවන් ඔබේ පරිඝනකයට අන්තර්ජාලය හරහා වෙනත් ස්ථානයක සිට ඇතුල්වන්න සහ පාලනය කරන්න.
• Denial of Service : මෙය එක් ආකාරයක හැකර් ප්‍රහාරයක්. DoS හෙවත් Denial of Service ලෙස මේක හැදින්වෙනවා. මේකෙන් ඔබේ පරිඝනකය ක්‍රියා විරහිත කරන්න හෝ වෙනත් දත්ත Process කිරීම තුල කාර්ය බහුල කරන්න පුලුවන්. මෙයින් සිදු වන්නෙ ඔබට ඔබේ පරිඝනකය එම ප්‍රහාරය පවතින තාක් භාවිත කරන්න නොහැකි වීමයි.
• වෙනත් පරිඝනකයකට එල්ල වෙන ප්‍රහාරයකට අතරමැදියෙකු විදිහට ඔබව භාවිත වීම: මේ ආකාරයේ ප්‍රහාරයකට කියන්නෙ DDoS හෙවත් Distributed Denail of Service කියල. මේ ඩීඩොස් වැඩසටහන් පාවිච්චි කරල ඔබේ පරිඝනකය බළල් අතක් විදිහට වෙනත් අකටයුත්තක් සඳහා හැකර්ලා පාවිච්චි කරන්න පුලුවන්.
• අනාරක්ෂිත Windows Shares: ඔබේ පරිඝනකයේ තිබෙන අනාරක්ෂිත Sheres ප්‍රහාරකයෙකුට තමන්ගේ Worms, Bots, Viruses වගේ වැඩසටහන් ස්තාපනය කරන්න ඉඩකඩ සලසනවා.
• Mobile Codes (Java, JavaScript, ActiveX): පරිඝනකයේ ස්ථාපනය කරන විවිධ ආකාරයේ Mobile Codes නිසා පරිඝනකයක ආරක්ෂාවට ප්‍රශ්න ඇති වෙන්න පුළුවන්. මේ Programming Language නිසා වෙබ් අඩවි ගොඩනගන්නන්ට පුලුවන් විවිධ කේත (Codes) ලියා ඒවා ඔබේ බ්‍රව්සරය (Browser) තුල ක්‍රියාත්මක (Execute) කරවන්න පුළුවන්. මේ විදිහට බහුලව පාවිච්චි වෙන Mobile Codes තමයි Java, JavaScript, ActiveX යන ඒවා. මේවා වෙබ් අඩවි ගොඩනගන්නන්ට වගේම හැකර් කෙනෙකුටත් පුලුවන් ඔබේ පරිඝනකයේ තොරතුරු එකතු කරන්න හා වෙනත් හානි කර කේතයක් ක්‍රියාත්මක කරන්න.
• Cross-Site Scripting: මෙහිදී සිදු වන්නේ යම් ප්‍රහාරකයෙකු විසින් වෙබ් අඩවියකට කුමක් හෝ Script එකක් අමුණා යැවීමයි. ඉන් පසු යම් අවස්ථාවක ඒ වෙබ් අඩවිය ඔබට ප්‍රතිචාර දක්වනකොට අදාල හානිකර Script එකත් ඔබේ බ්‍රව්සරය හරහා පරිඝනකයට පැමිණීමයි. මෙවැනි වලට පරිඝනකයක් නිරාවරණය වන ආකාර ප්‍රධාන වශයෙන්, අවිශ්වාස කටයුතු වෙබ් අඩවි වල ෆෝරම් හා චැට් වලට සම්බන්ද වීම, ලින්ක් එකක් ඔබව ගෙනියන්නේ කොහේටද නොදැන ඒවා භාවිත කිරීම වැනි ආකාර හඳුන්වන්න පුලුවන්.
• Email Spoofing: මෙහිදී සිදු වන්නේ ඔබට යම් වෙබ් අඩවියකින් යැයි පෙන්වමින් Email එකක් එවනවා. නමුත් එය ඔබව ගෙනි යන්නේ ඔවුන් පෙන්වා දෙන අඩවියට නෙමෙයි. උදාහරණයක් විදිහට ඔබට බැංකුවේ වෙබ් අඩවියෙන් ලෙස පෙන්වා දෙමින් ඊමේල් එකක් එනවා ඔබ බැංකුවේ වෙබ් අඩවියට යාමට එය භාවිතා කරනවා නමුත් ඔබ යන්නේ ප්‍රහාරකයා විසින් නිර්මාණය කළ වෙනත් අඩවියකට. මෙය ප්‍රධාන වශයෙන් පාස්වර්ඩ් වැනි දේ සොරකම් කරන්න භාවිත වෙනවා.
• Email-Borne Viruses: මේවා තමයි ඊමේල් ඇමිණුම් (Attachments) විදිහට පැමිණෙන හානිකර කේත (Malicious Code). මෙවන් ඊමේලක ඇමිණුම විවෘත කරපු ගමන්ම අදාල හානිකර කේතය පරිඝනකය තුල ක්‍රියාත්මක වෙනවා.
• Hidden File Extensions: වින්ඩෝස් මෙහෙයුම් පද්ධති වල Option එකක් තියෙනවා Hidden File Extensions for Known File Types සඳහා. මේ Option එක සාමාන්‍යයෙන් ක්‍රියාත්මක වෙලා තමයි තියෙන්නෙ. මේවාත් වැඩි වශයෙන් ඊමේල් ඇමිණුම් විදිහට තමයි පැමිණෙන්නෙ. විවිද අනාරක්ශිත වෙබ් අඩවි වලින් බාගත කර ගන්න වීඩියෝ, ඕඩියෝ (Video/Audio) ගොනු වලත් මේ වගේ Hidden File Extensions තියෙන්න පුලුවන්. මෙයට උදාහරණ විදිහට,

1. Downloader (MySis.avi.exe or QuickFlick.mpg.exe)
2. VBS/Timofonica (TIMOFONICA.TXT.vbs)
3. VBS/CoolNote (COOL_NOTEPAD_DEMO.TXT.vbs)
4. VBS/OnTheFly (AnnaKournikova.jpg.vbs)

මේ ආකාරයෙන් විවිධ ආකාරයේ සතුරු උවදුරු හා අනතුරු පරිඝනකයට එල්ල වෙන්න පුලුවන්. මේ විවිද වූ අනතුරු හා උවදුරු වලින් පරිඝනකය හා ඔබේ තොරතුරු ආරක්ශා කර ගන්න ගත යුතු ක්‍රියා මාර්ග ගැන වෙනත් ලිපියකින් ලියන්නම්.

The "Java Life" Rap Music Video

I found this awesome music video form a friends facebook wall.

This original rap music video made for JavaOne 2011 celebrates the "Java Life". Dedicated to the developer homies everywhere who code hard day and night. Think Java programmers meet street Hip Hop.

Facebook Page for the Blog - බ්ලොගයේ මූණු පොතේ පිටුව

I just Created a Facebook Page for this blog. Anyone can use this page to make discussions on IT related topics or ask for help or information. You can see it on the right side of the blog. And you can go the the page from here.

මම මේ බ්ලොග් එකට මූණු පොතේ පිටුවක් නිර්මාණය කළා. මේ පිටුව අවශ්‍ය ඕනෑම කෙනෙකුට IT සම්බන්ඳ මාතෘකාවක් සාකච්චා කරන්න හෝ ඒ සම්බන්ඳ උදව්වක් හෝ තොරතුරක් ඉල්ලන්න පාවිච්චි කරන්න පුළුවන්. මේ පිටුව බ්ලොග් එකේ දකුණු පස තීරුවේ තමයි තියෙන්නෙ. මේ පිටුවට මෙතනින් යන්නත් පුළුවන්.

ලස්සන වැඩක් අවසානයේ ඉතිරි වූ සතුට

කොළඹ විශ්ව විද්‍යාලයේ පරිඝනක අධ්‍යන ආයතනය (University of Colombo School of Computing) හා ශ්‍රී ලංකා ගුවන් විදුලි සංස්ථාව එකතු වී පවත්වන පරිඝනක නිර්මාණ තරගාවලියක් (Media Editing Competition) පිළිබඳව මම පෙර ලිපියකින් සඳහන් කලා. ඒ හා සමගාමීව කොළඹ විශ්ව විද්‍යාලීය පරිඝනක සංගමය (CompSoc) විසින් ජායාරූප සංස්කරණය (Image Editing) , ශ්‍රව්‍ය-දෘශ්‍ය සංස්කරණය (Video Editing) හා ශ්‍රව්‍ය සංස්කරණය (Audio Editing) පිළිබදව දින දෙකක පුරා විශේෂ වැඩමුළු මාලාවක් සංවිධානය කළා. මේ වැඩමුළුවට මටත් කොටස් කාරයෙක් වෙන්න ඉඩ ලැබුනෙ සංජය, අනිල්, මාධව, සශාන් ඇතුළු කොළඹ විශ්ව විද්‍යාලීය පරිඝනක සංගමයේ ක්‍රියාකාරී සොහොයුරන් විසින් ශ්‍රව්‍ය සංස්කරණය පිළිබඳ වැඩමුලුවක් හා විශේෂ සැසිවාරයක් (Special Session) පවත්වන්න ඉල්ලීමක් කිරීමත් එක්ක.

ශ්‍රව්‍ය සංස්කරණය පිළිබදව එක් දින වැඩමුළු දෙකක් දින දෙක තුළ පැවැත්වුන අතර පළමු දිනයේ වැඩමුලුව චිත්‍රපට සඳහා පවා ශ්‍රව්‍ය සංස්කරණ අධ්‍යක්ෂකවරයෙක් ලෙස දායකත්වය සපයා ඇති අපගේ ජ්‍යේශ්ඨ සහෝදරයෙක් වන උදිත ජයසිංහ සොයුරා විසින් පැවැත්වුවා. මෙදින විශේෂ සැසිවාරය මා විසින් පැවැත්වුවා මෙහිදී මම ශබ්ද තරංග හා ඒවා ඩිජිටල් (Digital) ලෝකයේදී පවතින, වර නැගෙන ආකාර වැනි මූලික සිද්ධාන්ත ගැන හා එක් මෘදුකාංගයක් හදුන්වා දී එහි සිටි අයගෙන් සමහරක් අහඹු ලෙස තෝරාගෙන එතනදීම කුඩා ශ්‍රව්‍ය කොටස් නිර්මාණය කරවීමත් සිදුකළා. මේ සඳහා මම නිර්මාණය කරපු පිටු දහයකට ආසන්න ටියුට් එක පිටපත් එකසිය පනහකටත් වඩා විශාල ප්‍රමාණයක් ඉතාමත් ලස්සනට මුදුණය කරල වෙලාවට ලබා දීපු සහෝදරයන්වත් අනිවාර්යෙන් මතක් කරන්න ඕනි.

මෙහි දෙවන දින වැඩමුළුව සම්පූර්ණයෙන්ම කිරීම තමයි අභියෝගය උනේ. උදෑසන පැය තුනක දේශනයක් හා සවස පැය දෙකක ප්‍රායෝගික සැසිවාරයක් (Practical Session) පත්වන්නට නියම වෙලා තිබුනා. උදෑසන දේශනය පැය තුනම ශ්‍රව්‍ය සංස්කරණය ගැන නොකර එයින් පැයක් චත්‍ර සහෝදරයාට සංගීත රචනය (Music Composing) පිළිබඳව කරන්නට අවස්ථාව ලබාදෙන්නට අප තීරණය කළා. එයින් සහභාගී වූ අයට ශ්‍රව්‍ය සංස්කරණයෙන් එහා ගිය දැනුමක් ඉතා කෙටි කාලයක් තුල ලබා දෙන්නට චත්‍ර සහෝදරයාට හැකි වුනා. මොහුගේ මේ දේශනයට ගිටාරයක් අවශ්‍ය වුණා. ඒ අවස්ථාවේ මගේ පාසල් මිත්‍රයෙක් වන යසිත් සහෝදරයා මා සමඟ ගෙදර සිටියා හා ඔහුගේ වසර විස්සකට වඩා පැරණි ඉතාමත් වටිනා ගිටාරය තිබුණා. මම ඉල්ලන්නත් කලියෙන් ඔහු එහි වැදගත්කම වටහාගෙන ගිටාරය ලබා දුන්නා. ඒ ගැන ඔහුට විශේෂයෙන් ස්තුති කරන්නට ඕනි. ඔය ගිටාරය හා ලැප්ටොප් පරිඝනකය එල්ලගෙන උදේ ට්‍රැෆික් එකේ බයික් එකේ කැම්පස් එකට යන්න මම විඳපු දුක වෙනම ලියන්න තරම් කතාවක්.

මේ වැඩමුළුව සඳහා පරිඝනක පනහක් පමණ තිබූ Forth Year Lab වල පරිඝනක වලට අවශ්‍ය මෘදුකාංග (Software) දැමීම තමයි ඊලඟ අභියෝගය උනේ. අපිට සර්වර් (Servers) සඳහා ඇතුල් වෙන්න අවසර නැති නිසා හැම පරිඝනකයකටම එකින් එක මෘදුකාංග ස්තාපනය (Install) කරන්න උනා. වැඩමුළුවේදී භාවිතා වුන හැම මෘදුකාංගයක් (මෘදුකාංග හයක් පමණ) වගේම හා ගිගා බයිට් හතරටකට (4 GB) ආසන්න ශ්‍රව්‍ය කොටස් (Audio Files) ප්‍රමාණයකුත් හැම පරිඝනකයකටම එකින් එක දාන්න (Copy) උනා. මේකට අපේ ජූනියර් මල්ලිලා නංගිලා හා මගේ බැච් එකේ සහෝදරයො පිරිසක් විශාල මහන්සියක් දැරුවා.

දෙවන දිනයේ වැඩමුළුවට දුක් විදල ගෙනාපු ගිටාරයත් කරගහගෙන මම ඔඩිටෝරියම් (Auditorium) එකට ගිහින් කටයුතු ලෑස්ති කරනකොට ස්ටීරියෝ (Stereo) ශබ්ද පද්ධතියෙ පැත්තක් වැඩ නෑ. බලනකොට මික්සරයෙ (Mixer) ජැක් (Jack) එකක් ගැලවිලා. ඔන්න ඒකත් හදාගෙන වැඩේට ලෑස්ති උනා.

මෙතන සුදු කමිසයක් ඇඳගෙන ඉන්නෙ මම. ඉරි කමිසයක් ඇඳගෙන ඉන්නෙ චත්‍ර සහෝදරයා.

වැඩමුළුවෙ පළමු පැය දෙක මම දේශනය පැවැත්වූවා. එහිදී ශ්‍රව්‍ය සංස්කරණය හැඳින්වීම හා විවිධ මෘදුකාංග භාවිතයෙන් ශ්‍රව්‍ය සංස්කරණය සිදුකරන ආකාරය පෙන්වා දුන්නා. එහිදී භාවිත කරපු මෘදුකාංග නම්,

1. Audacity
2. Adobe Audition
3. Reason
4. WaveLab
5. Magix Music Maker

යන මෘදුකාංග. ඉන්පසු චත්‍ර සහෝදරයා විසින් පැයක් සංගීත රචනය ගැන Reason හා Nuendo යන මෘදුකාංග භාවිතයෙන් හැඳින්වීමක් කළා.

ඉන්පසු බ්‍රයන් සහෝදරයා විසින් පැය දෙකක් විශේෂ සැසිවාරයක් මූලික සිද්ධාන්ත පිළිබඳව ඉතාමත් රසවත් ආකාරයෙන් සිදුකළා. මෙයින් පසු පැය දෙකක ප්‍රායෝගික සැසිවාරය පැවැත්වූවා. මෙහිදී ශ්‍රව්‍ය සංස්කරණය පිළිබඳ ප්‍රායෝගිකව දැනුම ලබා දීම හා දේශනයේදී ඉගැන්වූ දේ ප්‍රායෝගිකව කරන්නට අවස්ථාව ලබා දුන්නා.

දේශනයේදී ප්‍රශ්ණ ඇසීමට අවස්ථාවක් ලබා දෙන්නට කාල වේලාව නොතිබූ නිසා ප්‍රශ්ණ නිරාකරණයත් මේ සැසිවාරයේදීම සිදු කළා.

විවිධ ශ්‍රව්‍ය සංස්කරණ උපක්‍රම හා විධි රාශියක් මෙහිදී ඔවුන් හට ප්‍රායෝගිකව උගන්වනු ලැබුවා

.

වඩාත්ම සතුටුවිය හැකි කාරණයනම් මෙයට සහභාගී වූ හැම කෙනෙක්ම වැඩමුළුව අවසානයේ තමන් විසින්ම නව ශ්‍රව්‍ය නිර්මාණයක් ලබා දී තිබූ ශ්‍රව්‍ය කොටස් සංස්කරණය කිරීමෙන් නිර්මාණය කර තිබීමයි. මම ඒ හැම කෙනක් ගාවටම ගිහින් පුද්ගලිකවම ඒ සියළුම නිර්මාණ රස වින්දා.

ලබා දීපු දැනුම ඒ අවස්ථාවේදීම ප්‍රායෝගිකව භාවිත කර අලුත් යමක් ඔවුන් නිර්මාණය කර තිබීම ඉතාමත් සතුටක් ඇති කළා.

ඔවුන් සියළු දෙනාගේම නිර්මාණ ඒ ඒ පුද්ගලයාගේ රසවින්දනය මත පදනම් වෙලා නිර්මාණය වෙලා තිබුණ නිසා. ලස්සන එකිනෙකට වෙනස් නිර්මාණ රාශියක් උණු උණුවේම රස විදින්නට මටත් මගේ සහෝදර වරුන්ටත් හැකි උනා.

තමන්ගෙ නිර්මාණය ඒ වෙලේම බලල අගයනකොට හැම කෙනෙක්ගෙම මූණෙ ඇදුන සතුට වැඩමුළුවෙන් ඔවුන් තෘප්තිමත් වූ ආකාරය මැනවින් කියා පෑවා. ඒ විතරක් නෙමෙයි ඔවුන්ගේ සතුට ෆීඩ් බැක් වලිනුත් කියා පාලා තිඹුණා

මේ විදිහට බොහොම සාර්තකව වැඩමුළුව නිමාවක් දුටුවෙ සවස පහත් පහු වෙලා. සියල්ලෝම ඉතාමත් සතුටෙන් තමයි පිටවෙලා ගියෙ.

UCSC සිසුන් විදිහට අපි හැමදාමත් සමාජයට වැදගත් දේවල් සිදු කළා. IFO++ ප්‍රදර්ශනය එයට එක් හොඳ උදාහරණයක් (ශ්‍රි ලංකාවේ පැවැත්වූ පළමු ICT ප්‍රදර්ශණය). මේ විදිහටම අපේ ජූනියර් මල්ලිලා හා නංගිලා මේවා දිගටම පවත්වාගෙන යයි කියල අපි දන්නවා. ඒ නිසා UCSC එකෙන් දිගටම සමාජයට වැදගත් දේවල් ඉදිරියේදී (අපි තව ටික කාලයකින් උපාදිය ගෙන ඉවත්ව ගියත්) බලාපොරොත්තු වෙන්න පුළුවන්.

මට කිසිම පින්තූරයක් ගැනීමට නොහැකි උන නිසා පින්තූර ලබා දීම ගැන සංජය සොයුරාට හා මාධව සොයුරාට ස්තුති වන්ත වෙනවා.

මේ ගැන ඔවුන් දෙපලත් ලිපි ලියා තියෙනවා. මාධවගේ ලිපිය මෙතනිනුත්, සංජයගේ ලිපිය මෙතනිනුත් බලන්න පුළුවන්.

ට්‍රෝජන් අශ්වයෙක් පරිඝනකයකට දක්කන්න!!

මේ ලිපියෙන් මම අද කියන්න යන්නෙ කොහොමද ට්‍රෝජන් අශ්වයෙක් වෙනත් පරිඝනකයකට යවල. ඒ ට්‍රෝජන් අශ්වය ලවා අදාල පරිඝනකත් එක්ක සෙල්ලම් කරන්නෙ කියල. ට්‍රෝජන් අශ්වයන්ගෙ ක්‍රියා කාරීත්වය ගැන මම සවිතරාත්මක ලිපියක් කලින් ලියපු නිසා මේ ලිපියෙන් මම ඒ ගැන කියන්න යන්නෙ නෑ. කියවපු නැති කෙනෙක් ඉන්නවනම් මෙතනින් ගිහින් ඒකත් කියවලම එන්න.

මම පහුගිය ලිපියෙන් පැහැදිලි කළා අපිට පහසුවෙන් භාවිත කරන්න පුළුවන් ට්‍රෝජන් අශ්ව මෘදුකාංග තියෙනවා කියන එක. මම ඒ වගේ මෘදුකාංග කීපයක නම් පහතින් සඳහන් කරන්නම්,

• Tini
• Netcat
• SubSeven
• Back Orifice 2000
• NetBus

මෙතන තියෙන මෘදුකාංග වලින් NetBus කියන ට්‍රෝජන් අශ්වයා භාවිත කරන ආකාරය තමයි මම අද කියන්න යන්නෙ. ඊට කලින් අනිවාර්යයෙන් සඳහන් කරන්න ඕනි ට්‍රෝජන් අශ්වයෙක් වෙනත් අයෙකුගේ පරිඝනයකට හෝ පරිඝනක පද්ධතියට යවල හැක් කරන එක නීති විරෝදී කියන එක. ඒ නිසා ට්‍රෝජන් අශ්වයෙක් යවන්න කලින් ඒ පුද්ගලයා හෝ ආයතනය දැනුවත් කරල අනුමැතිය ලබා ගැනීම වැදගත්.

ඒ වගේම ඔබට ඔබේ පරිඝනකය හෝ පරිඝනක පද්ධතිය ට්‍රෝජන් අශ්ව ප්‍රහාර වලට මුහුණ දෙන්නෙ කොහොමද කියල දැන ගන්නත් ඒ වගේ ප්‍රහාරයක් කිරීමෙන් දැන ගන්න පුළුවන්.

මම මාතෘකාවට දක්කනව වගේ වචනයක් දැම්මට ට්‍රෝජන් අශ්වයන් යැවීම ප්‍රහාරයක් (Attack) හා යවන්නා ප්‍රහාරකයෙක් (Attacker) විදිහට තමයි සැලකෙන්නෙ. ඒ නිසා දැනුමට හා විනෝදයක් ලබන්න ප්‍රහාරය අනුමැතිය සහිතව (මේකත් ලිඛිත වන්න ඕනි) කරන්න කියල මම ඉල්ලා සිටිනවා. මොකද මෙයින් ලබා ගන්නා දැනුමකින් ඔබ කරන ක්‍රියා සම්බන්ධයෙන් වගකීමක් මට නැහැ.

බය කළා ඇතිනෙ, දැන් වැඩේට බහිමු. මම කලින් කිව්වා මම ඔබට පාවිච්චි කරන්න කියල දෙන්නෙ NetBus කියන ට්‍රෝජන් අශ්ව මෘදුකාංගය කියල. මේ මෘදුකාංගය ඉතාමත් ප්‍රසිද්ධ ට්‍රෝජන් අශ්ව මෘදුකාංගයක්. ඉස්සෙල්ලම මෘදුකාංගය මෙතනින් ගිහින් භාගත කරන්න. භාගත කරන්න කලින් ඉස්සෙල්ලම Virus Guard හා Fire Wall අක්‍රීය (Disable) කරන්න.

හැම ට්‍රෝජන් අශ්වයෙක් වගේම NetBus ටත් ප්‍රධාන කොටස් දෙකක් තියෙනවා. ඒ තමයි,

1. Client
2. Server

මෙතනින් සර්වර් ෆයිල් එක තමයි ට්‍රෝජන් අශ්වයාට ගොදුරු වෙනාගෙ පරිඝනකයේ ස්ථාපනය කරන්නෙ. Client එකෙන් තමයි අපි හැක් කරන්නෙ. හැක් කරන ආකාරය දැන ගන්න කලින් අපි බලමු නෙට්බසය පාවිච්චි කරල වෙනත් පරිඝනකයකට ඔබේ පරිඝනයකේ ඉඳන් මොනවාද කරන්න පුළුවන් කියලා,

• CD/DVD-ROM ඇරීම හා වැසීම
• BMP/JPG පින්තූර දිස් වීමට සැලැස්වීම
• මූසිකයයේ (Mouse)බොත්තම් (Button) වල වම දකුණ මාරු කිරීම
• වෙනත් වැඩසටහන් ආරම්භ කිරීම
• WAV ගොනු ධාවනය කිරීම
• මූසිකය පාලනය කිරීම
• විවිධාකාරයේ පණිවුඩ දිස් වීමට සැලැස්වීම
• වින්ඩෝස් මෙහෙයුම් පද්ධතිය (OS) වැසීම (Shut Down)
• ගොනු(Files) Download/Upload/Delete කිරීම
• Keystrokes යැවීම සහ යතුරු (Keys) අත්හිටුවීම (Disable)
• විකල්ප URL එකකට යැවීම
• Keystrokes ග්‍රහණය කර ගැනීම
• Screendump ගැනීම
• පරිඝනකයේ ශබ්දය අඩු වැඩි කිරීම
• පරිඝනකයේ මයික්‍රෆෝනයෙන් ශබ්ද පටිගත කිරීම

වැනි විවිධාකාර දේවල් රාශියක් NetBus ට්‍රෝජන් අශ්වයාට කරන්න පුළුවන්.

මෙය භාවිතයෙන් හැක් කිරීමේදී වඩාත් වැදගත් වෙන්නෙ ඔබේ ගොදුරට (Victim) සර්වර් ෆයිල් එක ඔහුගේ පරිඝනකය තුල ස්ථාපනය කර වීමයි. ඔබ අද්‍යාපනික අරමුණකින් කරනවානම් ගොදුරගෙ අනුමැතිය ඇතුවම මේක ස්තාපනය කරන්න පුලුවන් බොහොම ලේසියෙන් නමුත් හැක් කරනකොට එහෙම අනුමැතිය ලැබෙන්නෙ නෑ. ඉතින් මේ සඳහා හැකර්ලා විවිධ ආකාර පාවිච්චි කරනවා. ඔබගේ දැන ගැනීමට මම ඒ ආකරයක් දෙකක් පැහැදිලි කරන්නම්.

අපිට පුළුවන් මේ ට්‍රෝජන් අශ්වයා වෙනත් නමකින් නම් කරන්න. ඒ කියන්නෙ දකින්නාට හිතෙනවා මේක වෙන දෙයක් කියල. උදාහරණයකට අපිට පුළුවන් ඒක Beauty_of_Sri_Lanka.exe වගේ නමකින් නම් කරන්න. දැක්කම අපිට හිතෙනවා මේක මොකක් හරි ලංකාවෙ සොබා දම වගේ දෙයක් ගැන අදාල මොකක් හරි කියල. එහෙම හිතල ඒක ධාවනය කරනවා. එතකොට කිසිම දෙයක් වුන බවක් ගොදුරට පෙනෙන්නෙ. නමුත් ඔහු ඒක ධාවනය කරපු ගමන් ඔහුට නොපෙනී ට්‍රෝජන් අශ්වයා පරිඝනකය තුල ස්තාපනය වෙනවා. එක්කො මේක ගේම් එකක් විදිහට නම් කරන්න පුළුවන් Bubble.exe හෝ PacMan.exe වගේ. මෙතනදි අපි බලාපොරොත්තු වෙන්නෙ ඉහල අවස්ථාවෙ වගේම හොඳ ගේම් එකක් නමුත් ධාවනය කරපුවාම කිසිම දෙයක් වෙන්නෙ නෑ ඉතින් අපිත් දෙතුන් සැරයක් රන් කරල අතෑරල දානවා නමුත් අපිට නොපෙනීම අපි විසින්ම ට්‍රෝජන් අශ්වයා අපේ පරිඝනකයට රිංගලා. ඒකයි මේකට ට්‍රෝජන් අශ්වයා කියන්නෙ මම ඒ ගැන කලින් ලිපියෙ කිව්වා. මේ විදිහට කී සැරයක් ඔයාලත් රන් කරපුහාම මොකවත් නොවුන ෆයිල් රන් කරලා තියෙනවාද?

ඒ වගේම හැකර්ලා තවත් ආකාරයක් භාවිතා කරනවා. ඒ තමයි Wrapper එකක් අනුසාරයෙන් ට්‍රෝජන් අශ්වයා ඇත්තටම වැඩ කරන වැඩසටහනකට එතීම. උදාහරණයක් විදිහට ඇත්තටම වැඩ කරන හැමෝම ආස චෙස් ගේම් එකක් තියෙනවා Chess.exe කියලා. ඒකෙ ගොනුවේ ප්‍රමාණය (File Size) 500KB කියල හිතමුකො. හැකර් කරන්නෙ Wrapper වැඩසටහනක් ආධාරයෙන් ට්‍රෝජන් අශ්වයාවත් (මෙයත් exe ෆයිල් එකක්ම තමයි) Chess.exe එකටම එතීම හෙවත් සැඟවීම එතකොට ෆයිල් එක 600KB විතර වෙනවා. එතකොට ඔබ අර ගේම් එක ස්තාපනය කරපුවාම ඇත්තටම ගේම් එක ස්තාපනය වෙනවා (ඒක අපිට සෙල්ලම් කරන්නත් පුළුවන්) ඒත් එක්කම ඒකෙ හංගල එවපු ට්‍රෝජන් අශ්වයාත් ස්තාපනය වෙනවා. කොටින්ම අපි එක exe ෆයිල් එකක් රන් (Run) කරනකොට ඇත්තටම දෙකක් රන් වෙලා. ඇත්තටම ට්‍රෝජන් අශ්වයා කියන්නෙ වෙනත් වේශයකින් එන පහරදීමක්. අපිම තමයි නොදැනුවත්ව පහර දීම පාවඩ දාල පිලිගන්නෙත්. ඇත්තටම අර තුසර පුර සංග්‍රාමයේදි උනා වගේ.

මෙහෙම ස්තාපනය උන ගොදුරු පරිඝනකය අන්තර්ජාලයට හෝ LAN එකට සම්බන්ද උන ගමන් පහර දෙන්නාට පුළුවන් අර උඩ තියෙන වින්ඩෝව් එකෙ තියෙන දේවල් කරන්න. ඒවා කරන ආකාරය හොඳට පෙන්වන වීඩියෝවක් මට හම්බ උනා. ඒකෙන් බලල ඉතිරි ටික කර ගන්න එක කජු කනව වගේ තමයි. මම ඔයාලට දුන්න NetBus ට්‍රෝජන් අශ්වයා හොඳට වැඩ. මම මේක ලියන්න කලියෙන් ඒක මගේ ගෙදර තියෙන LAN එකට සම්බන්ධ අනිත් පරිඝනකයකට දාල ටෙස්ට් කලා. මම ආසම CD-ROM වැඩේට ඒක හරිම අත්බූත බවක් දෙනව නිකන්ම එක ඇරෙන වැහෙන එක. ඔය යටින් තියෙන වීඩියෝව බලල ඉතුරු හරිය කරන්න.

මේ ලිපියේ අඩංගු සියලුම කරුණූ අධ්‍යාපනික අරමුණකින් ප්‍රදර්ශනය සඳහා පමණක් පල කළ ඒවා බව සලකන්න.

All content of this post are only for demonstration purpose and do not try this without a proper authorization document form the potential victim.

පරිඝනකයට පනින ට්‍රෝජන් අශ්වයෝ!!

ට්‍රෝජන් අශ්වයෙක් (Trojan Horse) කියන්නෙ ඔබේ අනුමැතිය නොමැතිව හෝ ඔබ නොදැන ඔබේ පරිඝනකය තුල ක්‍රියාත්මක වන මෘදුකාංගයක්. මෙහි විශේෂත්වය තමයි මෙය ඔබේ පරිඝනකයට හදුන්වා දෙන්නෙ එහි ඇත්ත තත්වය සඟවල. උදාහරණයක් විදිහට ඔබට වෙබ් අඩවියකින් නොමිලයේ ලස්සන ස්ක්‍රීන් සර්වරයක් (Screen Server) ලබා දෙනවා. ඔබ එය බාගත කරගෙන ස්තාපනය කරගන්නවා. පිටතින් එය ලස්සන ස්ක්‍රීන් සර්වරයක් උනාට එය ඇතුලත පවතින්නෙ විනාශකාරී මෘදුකාංගයක්.

ට්‍රෝජන් අශ්වයා කියන විශේෂිත නාමය මෙයට ලැබිල තියෙන්නෙත් ඒ නිසාමයි. ග්‍රීක මහා කවි හෝමර් විසින් ලියනු ලැබූ තුසරපුර සංග්‍රාමයේ එන සිදුවීමක් තමයි විශාල දැව අශ්වයෙක් ඇතුලෙ සෙබලු සඟවල සතුරු නගරයට යවපු එක. සතුරු නගර වැසියෝ කලේ එය තෑග්ගක් විදිහට සලකල වසර දහයකට ආසන්න කාලයක් පැවති සංග්‍රාමයෙන් ඔවුන්ව ආරක්ශා කරපු විශාල පවුර බිඳ දමල අර ඇතුලෙ හංගල හිටිය සෙබලුත් එක්කම ලී අශ්වය නගරය ඇතුලට ගත්ත එක. ඊට පස්සෙ උන දේ අමුතුවෙන් කියන්න ඕනි නෑනෙ. ඕකට අපේ සමාජයේ කතාවක් තියෙනවා "අහක යන නයි රෙද්ද අස්සෙ දාගෙන කෑවෝ කෑවෝ කියල කෑගහනවා" කියල. මම මෙහෙම කෙටියෙන් කිව්වට මේ ග්‍රීක කතන්දරය ඉතාමත් දිග ලස්සන කතාවක් එහිම පසු කතාව වන ඔඩිසියස් කියන කතාවත් හරිම ලස්සනයි. දෙකම සිංහලට පරිවර්තනය වෙලා තියෙනවා.

ට්‍රෝජන් අශ්වයෙක් පරිඝනකයට විවිද අරමුණු මුල් කරගෙන හදුන්වා දෙනු ලබන්න පුළුවන්. ප්‍රධාන වශයෙන් ට්‍රෝජන් අශ්වයන් හදුන්වා දෙනු ලබන්නෙ තොරතුරු සොරා ගැනීමට හෝ පරිඝනකය විනාශ කිරීම සඳහායි.

ට්‍රෝජන් අශ්වයෙක් පිටුපස සෑම විටම පහර දෙන්නෙක් සිටිනවා. ට්‍රෝජන් අශ්වයා සහිත පරිඝනකය අන්තර්ජාල සම්බන්දතාවය ලබා ගත්ත ගමන්ම පහර දෙන්නාට ඔහුගේ පහර දීම කරන්න අවශ්‍ය ඉඩකඩ සෑදෙනවා.

ට්‍රෝජන් අශ්ව ප්‍රභේද :-

• මුරපද ග්‍රහණය/යැවීම (Password Sending/Capturing)
• FTP Trojans
• Key Stroke Captures (මෙමගින් යතුරු පුවරුවේ ලියනය කරන හැම අකුරක්/සංකේතයක්ම ග්‍රහණය කර ගන්නවා)
• විනාශකාරී ට්‍රෝජන් අශ්වයන්
• Denial of Service (DoS)
• Proxy/MITM (Man In The Middle Attack) Trojans
• දුරස්ත ඇතුල්වීම් ට්‍රෝජන් අශ්වයන් (Remote Access)
• Software Detection Killers

මෙතන සමහර දේවල් මේක කියවන සමහර අය නොදන්නවා වෙන්න පුලුවන් නමුත් මේවා දීර්ඝව විස්තර කරන්න ඕනි. ඒ වගේම මේ හා සම්බන්ද දේවල් වෙන Wrappers, Sniffers, Spoofing, Man in the Middle Attack යන ඒවාත් වෙනම විස්තර කරන්න ඕනි. මේවා මම පසුව ඉඩ ඇති හැටියට ලියන්න හිතාගෙන හිටියත් ඔබට වැදගත් කියල හිතනවනම් මට කියන්න මම ඒවාත් විස්තර කරල වෙනම ලිපි ලියන්නම්.

ට්‍රෝජන් අශ්වයන් හදුන්වාදෙනු ලබන ආකාර :-

• චැට් හරහා (Chat Clients) - Skype, AIM, Yahoo, Facebook Chat, Google Chat, ICQ, IRC, MSN, Trillian
• e-Mail පණිවුඩ වලට අමුණලා (Email Attachments)
• භෞතිකව පරිඝනක පද්ධතියට ඇතුල්වීමෙන්
• අන්තර්ජාල සෙවුම් මෘදුකාංග (Browser) සහ e-Mail මෘදුකාංග වල දුර්වලතා (Bugs) උපයෝගයෙන් (x-site scripting)
• ගොනු හුවමාරුව (File Sharing) - සව්‍යංක්‍රීයව (Autorun) ක්‍රියාත්මක වෙන ට්‍රෝජන් අශ්වයන් Flash Drives හා CD/DVD තුලට ඇතුලත් කිරීම
• Wrappers (වෙනත් වැඩ සටහන් වල සඟවා හෙවත් ඔතා එවීම)
• P2P සහ වෙනත් Freeware අඩවි හරහා
• News Groups - News Group අඩවියක ඇමුණුමක් සමඟ (ට්‍රෝජන් අශ්වයෙක් අමුණා) ප්‍රවෘත්ති ලිපි පල කිරීමෙන්
• අනාරක්ශිත වෙබ් අඩවි හරහා බාගත කිරීමෙන්

මේ හදුන්වා දෙන ආකාර පිළිබද දැනුවත් වීමෙන් ට්‍රෝජන් අශ්වයන් ඔබේ පරිඝනකයට පැනීමෙන් වලක්ව ගන්න පුලුවන්.

පොදු වශයෙන් ට්‍රෝජන් අශ්වයන් භාවිතා වෙන ආකාර:-

• පරිඝනකයක CD-Rom එක විවෘත කිරීම
• පරිඝනකයේ Screenshot ගැනීම
• Key Strokes ග්‍රහනය සහ ඒවා පහර දෙන්නාට යැවීම
• පරිඝනකයේ සියලුම ගොනු හා Drives වලට සම්පූර්ණ ඇතුලත් () වීමේ පහසුකම ලබා දීම.
• ඔබේ පරිඝනකය වෙනත් හැකිං කියාවලියක් සඳහා පාලමක් ලෙස භාවිතා කිරීම.
• යතුරු පුවරුව හා මූසිකය ක්‍රියා වියහිත කිරීම.

ට්‍රෝජන් අශ්ව වැඩසටහන් වර්ග අපිට අන්තර්ජාලය තුලින් ලබාගෙන පාවිච්චි කරන්න පුලුවන්. එහෙම ට්‍රෝජන් අශ්වයෙක් යවන ආකාරය ගැන මම වෙනත් ලිපියකින් ලියන්නම්.

ප. ලි. මම දිනපතා ලිපි ලියන්නෙ නැති නිසා ට්‍රෝජන් අශ්වයෙක් වෙන කෙනෙක්ගෙ පරිඝනකයට පන්නන්න ඉක්මනටම දැන ගන්න ඕනිනම් ඒක මට කියන්න මම ඉක්මනටම ඒ ගැන ලියන්නම්.

පරිඝනක නිර්මාණ කරන්න කැමතිද?

කොලඹ විශ්ව විද්‍යාලයීය පරිඝනක සංගමය සහ ශ්‍රී ලංකා ගුවන්විදුලි සංස්ථාව එක්වී පරිඝනක නිර්මාණ තරඟාවලියක් සංවිධානය කරනවා. මෙහි මූලික අරමුණ වන්නෙ සිංහල හින්දු අළුත් අවුරුදු උත්සවයේ සතුට හා වෙසක් උත්සවයේ චමත්කාරය සමග පරිගණක තාක්ෂණය නිර්මාණාත්මක ලෙස එකතු කිරීමයි.

තරඟය අංශ තුනක් යටතේ සිදුවෙනවා,

1. සංස්කරණය කරන ලද ශ්‍රව්‍ය-දෘශ්‍ය දර්ශන - Video Editing
2. සංස්කරණය කරන ලද ශ්‍රව්‍ය කොටස් - Audio Editing
3. සංස්කරණය කරන ලද ඡායාරූප - Image Editing

මේ ගැන විස්තර කොලඹ විශ්ව විද්‍යාලයීය පරිඝනක සංගමයේ නිළ වෙබ් අඩවියෙන් ලබා ගන්න පූළුවන්. මේ තරඟාවලියට අදාල ෆේස්බුක් පිටුවට මෙතනින් යන්න.

මේ තරඟාවලියට සමගාමීව ඉහත අංශ යටතේම වැඩමුළු මාලාවකුත් කොළඹ විශ්ව විද්‍යාලීය පරිඝනක සංගමය විසින් සංවිධානය කරල තියෙනවා. ඒ ගැන විස්තර බලන්න මෙතනින් යන්න. මේ වැඩමුළුවෙන් ශ්‍රව්‍ය-දෘශ්‍ය/ශ්‍රව්‍ය හා ඡායාරූප සංස්කරණය පිලිබඳව වෘත්තීමය මට්ටමේ දැනුමක් ලබා දෙන්න අපි බලාපොරොත්තු වෙනවා. මේ වැඩමුළුව නොමිලයේ සංවිධානය කරන්නක් අතරම ඕනිම කෙනෙක්ට සහභාගී වෙන්නත් පුළුවන්. හැබැයි එක් අයෙක්ට පුළුවන් අංශ දෙකකට අදාල වැඩමුළු වලට සහභාගී වෙන්න විතරයි.

මේකට සහභාගී වෙන්න මෙතනින් ඔන්ලයින් රික්වෙස්ට් එකක් දාන්න පුළුවන් : http://compsoc.lk/en/media-workshop-registration.html

මේ වැඩමුළුව ඔක්තෝම්බර් මස 4 හා 5 දින වල උදේ 9 සිට සවස 5 දක්වා කොළඹ විශ්ව විද්‍යාලීය පරිඝනක අධ්‍යන අංශ (UCSC) පරිශ්‍රයේ පැවැත්වෙන්න නියමිතයි.

Audio Editing වැඩමුළුව “ගාමනි” චිත්‍රපටයට සංගීතය සැපයූ උදිත ජයසිංහ මහතාත් UCSC සහෝදර සහෝදරියන් කිහිපදෙනෙකුත් විසින් මෙහෙයවනවා. Video Editing වැඩමුළුව UCSC හි ADMTC (Advance Digital Media Technology Center) මඟින් ද Image Editing වැඩමුළුව UCSC සහෝදර සහෝදරියන් විසින් ද මෙහෙයවන්න නියමිතයි.

මම තුමා ශ්‍රව්‍ය සංස්කරණය ගැන වැඩමුළුවක් කරන්න බලාපොරොත්තු වෙන නිසා එයට සහභාගී වෙන්න කැමති අය ඉන්නවනම් මට ලියන්න mesua911@gmail.com. සීමිත ආසන ගණනක් තියෙන නිසා හා වැඩි දවසක් නැති නිසා ඉක්මනට මට කිව්වොත් කීප දෙනක්ට අවස්තාව අරන් දෙන්න පුළුවන් වේවි.

Anonymizers - ඇත්තටම ඇනෝවෙක් වෙන්න

ඇනෝල කිව්වම බ්ලොග් අවකාශයේ ඉන්න හැමෝම දන්නවනෙ. මම හදන්නෙ ඒ අය ගැන කතා කරන්න නෙමෙයි. මම හදන්නෙ ඔබේ IP ලිපිනය සඟවල web surfing කරන්න පුළුවන් ආකාරයක් ගැන. ඒ තමයි Anonymizers.

ඇනොනිමයිසරයක් ඉස්සෙල්ලම හදල තියෙන්නෙ Anonymizer, Inc කියන ආයතනය. ඇනොනිමයිසරයක් කියන්නෙ Proxy Sever එකක්. ඇනොනිමයිසරය අන්තර්ජාලයේ සැරිසරන්නාගේ පරිඝනකය සහ අන්තර්ජාලය අතර අතරමැදියෙක් විදිහට ක්‍රියා කරනවා. කොටින්ම ඔබ වෙනුවෙන් ඇනොනිමයිසරය අන්තර්ජාලයට සම්බන්ද වෙලා එය හරහා ඔබට අවශ්‍ය තොරතුරු ලබා දෙනවා සහ එමඟින් ඔබගේ පරිඝණකයේ තොරතුරු (IP address) ඔබගේ පුද්ගලික තොරතුරු සඟවනවා (ඒ කියන්නෙ ඔබගේ ලිපිනය ඔබ ඇතුල් වෙන වෙබ් පිටු හෝස්ට් වෙලා තියෙන වෙබ් සර්වර්යේ ලොග්ස් වල සටහන් වීම එමඟින් වළක්වනවා).

ඇනොනිමයිසරයක් භාවිතා කිරීමෙන් ඔබගේ හැදුනුම් සොරාගැනීමකට ලක් වීමේ ඉඩ ඇසිරෙනවා. එනිසා එය ඔබගේ වෙබ් අවකාශයේ ආරක්ශාවට වැදගත්. ඔබ හිතනවා ඇති ඇයි මම IP address සහ ඔබව අනාවරණය වන තොරතුරු සඟවන්නෙ කියල. කොටින්ම අපි මහපාරෙ යනකොට මම මෙයයි කියල ID card එක වන වනා කෑ ගහගෙන යන්නෙ නැහැනෙ. මෙතනත් එයටම සමාන අවස්තාවක්. ඔබ අන්තර්ජාලයේ යම් වෙබ් පිටුවකට ඇතුල් වෙනකොට ඔබේ තොරතුරු ඔවුන් දැන ගැනීම අවශ්‍ය නොවෙනවා කියල තමයි මම හිතන්නෙ. ඒ නිසා ඇනොනිමයිසරය ඉතාමත් වැදගත් අන්තර්ජාලය තුල ඔබව ආරක්ශා කර ගැනීමට.

නමුත් ඇනොනිමයිසරයන් ප්‍රායෝගික තලයේදි භාවිතා වෙන්නෙ තමන් ආරක්ශා වෙනවාට වඩා අනුන්ගෙ ආරක්ශාවට තර්ජනයක් ඇති කරන්න. විශේෂයෙන්ම විවිධ මානසික ප්‍රශ්ණ තියෙන පුද්ගලයො තමන්ගෙ තොරතුරු සඟවන්න මේවා භාවිතා කරනවා (ඔය බ්ලොග් වල කුණුහරුප එහෙම ලියන්නෙ). ළමා අපයෝජන අසභය චිත්‍රපට වැඩි වශයෙන් හුවමාරු කිරීමට සහ නැරඹීමට ඇනොනිමයිසරයන් භාවිතා වීම ඇනොනිමයිසරයන් නිසා ඇතිවී තිබෙන ගැටළුකාරී තත්වයක් බව විකිපීඩියාව පවසනවා.

මෙමඟින් අවසානයට හිතන්න පුළුවන් ඇනොනිමයිසරය කියන්නෙ එක හා සමානව හොඳට හා නරකට භාවිතා කරන්න පුළුවන් දෙයක්. නමුත් අනවශ්‍ය වෙබ් පිටුවල තමන්ගේ අන‍න්‍යතාවය සටහන් වෙනවට අකමැති අයට පාවිච්චි කරන්න හොඳ ඇනොනිමයිසරයන් කිහිපයක් මම පහලින් සදහන් කරන්නම්.

• Anonymouse - මෙය ඉතා හොඳ ඇනොනිමයිසරයක් සහ මෙය නොමිලයේ බාගත කරන්න පුලුවන් . මේකෙ පාවිච්චි වෙන්නෙ CGI proxy එකක්, එයින් ඔබට anonymously වෙබ් පිටුවල සැරිසරන්න, anonymous e-mails යවන්න හැකියාව ලබා දෙනවා.


• ProxyKing.net - මේ ඇනොනිමයිසර සේවාව වෙබ් අඩවි වලට ඔබව හසු (track) කිරීමට වැලකීම සහ ඔබගේ පරිගනකයේ cookies ස්තාපනය කිරීමේ හැකියාව වලකනවා.


• AnonymousIndex.com - මෙය IP ලිපිනය සැඟවීම, වෙබ් පිටුවල දිස් වන දැන්වීම්, referrers සහ cookies කලමනාකරණය කරන අන්තර්ජාලයේ නොමිලයේ පවතින ප්‍රොක්සි සර්වර් එකක්.


• HideMyAss.com - නොමිලයේ ලබා දෙන ඇනොනිමයිසර සේවාවක්.


• ProxyFoxy.com - නොමිලයේ ලබා දෙන ඇනොනිමයිසර සේවාවක් සහ මෙමඟින් cookies, spyware සහ වෙනත් අනතුරුදායක scripts මඟහැරීම සිදුකරනවා.

Acunetix Web Vulnerability Scanner - Demostration

I made this video for one of my assignments at University. This video shows how to use Acnetix WVS software at basic level.

You can use Acunetix WVS to scan your website to find what are the vulnerabilities the web site have.

You can download this software form Acunetix website.

Security of Internet Banking (Part 3) - Countermeasures to Reduce Risks in Internet Banking

These are some countermeasures I have identified to reduce the risk in Internet banking for each attacks.

· User Surveillance

o Having a security policy regarding token and password handling.

· Theft of token and handwritten notes

o Having a security policy regarding token and password handling.

o Giving passwords that are easy to remember still hard to guess such as combing dictionary word with symbols and numbers.

· Hidden code

o Operating System/browser patching

o Code installation blockers

o Anispyware software

o Antiphishing software (URL inspection)

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

o Best practices for browser security (cookies, window pop-ups, java support, etc)

· Worms and bots

o Operating System/browser patching

o Code installation blockers

o Anispyware software

o Custom application secure coding

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

o Best practices for browser security (cookies, window pop-ups, java support, etc)

· E-mails with malicious code

o E-mail policy

o Code installation blockers

o Attachment blocking

o HTML code blocking

o Antispam software

o Anispyware software

o Antiphishing software (URL inspection)

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

· Smartcard analyzers

o Noise generators

o Power and time neutral code designing

· Smartcard reader manipulator

o Secure smartcard interface design and implementation

· Brute force attacks with PIN calculations

o Increasing number of digits (at least eight digits)

· Social engineering

o Increasing security awareness

o Simple URLs that are easy to remember

o Antiphishing software (URL inspection)

· Web page obfuscation

o Monitoring the domain name server (DNS)

o Prohibiting the IP addresses instead of URLs.

o Using predetermined list of valid URLs.

· Pharming

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall

· Active man in the middle attacks

o Using predetermined SSL certificates

o Mutual authentication and encryption through client-server SSL

· Session hijacking

o State management to prevent session ID specification in the message, session ID rotation and life cycle management

· Brute force attacks

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall

· Bank security policy violation

o Security policy implementation according to standards such as ISO 17799

· Website manipulation

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall