පරිඝනක නිර්මාණ කරන්න කැමතිද?

කොලඹ විශ්ව විද්‍යාලයීය පරිඝනක සංගමය සහ ශ්‍රී ලංකා ගුවන්විදුලි සංස්ථාව එක්වී පරිඝනක නිර්මාණ තරඟාවලියක් සංවිධානය කරනවා. මෙහි මූලික අරමුණ වන්නෙ සිංහල හින්දු අළුත් අවුරුදු උත්සවයේ සතුට හා වෙසක් උත්සවයේ චමත්කාරය සමග පරිගණක තාක්ෂණය නිර්මාණාත්මක ලෙස එකතු කිරීමයි.

තරඟය අංශ තුනක් යටතේ සිදුවෙනවා,

1. සංස්කරණය කරන ලද ශ්‍රව්‍ය-දෘශ්‍ය දර්ශන - Video Editing
2. සංස්කරණය කරන ලද ශ්‍රව්‍ය කොටස් - Audio Editing
3. සංස්කරණය කරන ලද ඡායාරූප - Image Editing

මේ ගැන විස්තර කොලඹ විශ්ව විද්‍යාලයීය පරිඝනක සංගමයේ නිළ වෙබ් අඩවියෙන් ලබා ගන්න පූළුවන්. මේ තරඟාවලියට අදාල ෆේස්බුක් පිටුවට මෙතනින් යන්න.

මේ තරඟාවලියට සමගාමීව ඉහත අංශ යටතේම වැඩමුළු මාලාවකුත් කොළඹ විශ්ව විද්‍යාලීය පරිඝනක සංගමය විසින් සංවිධානය කරල තියෙනවා. ඒ ගැන විස්තර බලන්න මෙතනින් යන්න. මේ වැඩමුළුවෙන් ශ්‍රව්‍ය-දෘශ්‍ය/ශ්‍රව්‍ය හා ඡායාරූප සංස්කරණය පිලිබඳව වෘත්තීමය මට්ටමේ දැනුමක් ලබා දෙන්න අපි බලාපොරොත්තු වෙනවා. මේ වැඩමුළුව නොමිලයේ සංවිධානය කරන්නක් අතරම ඕනිම කෙනෙක්ට සහභාගී වෙන්නත් පුළුවන්. හැබැයි එක් අයෙක්ට පුළුවන් අංශ දෙකකට අදාල වැඩමුළු වලට සහභාගී වෙන්න විතරයි.

මේකට සහභාගී වෙන්න මෙතනින් ඔන්ලයින් රික්වෙස්ට් එකක් දාන්න පුළුවන් : http://compsoc.lk/en/media-workshop-registration.html

මේ වැඩමුළුව ඔක්තෝම්බර් මස 4 හා 5 දින වල උදේ 9 සිට සවස 5 දක්වා කොළඹ විශ්ව විද්‍යාලීය පරිඝනක අධ්‍යන අංශ (UCSC) පරිශ්‍රයේ පැවැත්වෙන්න නියමිතයි.

Audio Editing වැඩමුළුව “ගාමනි” චිත්‍රපටයට සංගීතය සැපයූ උදිත ජයසිංහ මහතාත් UCSC සහෝදර සහෝදරියන් කිහිපදෙනෙකුත් විසින් මෙහෙයවනවා. Video Editing වැඩමුළුව UCSC හි ADMTC (Advance Digital Media Technology Center) මඟින් ද Image Editing වැඩමුළුව UCSC සහෝදර සහෝදරියන් විසින් ද මෙහෙයවන්න නියමිතයි.

මම තුමා ශ්‍රව්‍ය සංස්කරණය ගැන වැඩමුළුවක් කරන්න බලාපොරොත්තු වෙන නිසා එයට සහභාගී වෙන්න කැමති අය ඉන්නවනම් මට ලියන්න mesua911@gmail.com. සීමිත ආසන ගණනක් තියෙන නිසා හා වැඩි දවසක් නැති නිසා ඉක්මනට මට කිව්වොත් කීප දෙනක්ට අවස්තාව අරන් දෙන්න පුළුවන් වේවි.

Anonymizers - ඇත්තටම ඇනෝවෙක් වෙන්න

ඇනෝල කිව්වම බ්ලොග් අවකාශයේ ඉන්න හැමෝම දන්නවනෙ. මම හදන්නෙ ඒ අය ගැන කතා කරන්න නෙමෙයි. මම හදන්නෙ ඔබේ IP ලිපිනය සඟවල web surfing කරන්න පුළුවන් ආකාරයක් ගැන. ඒ තමයි Anonymizers.

ඇනොනිමයිසරයක් ඉස්සෙල්ලම හදල තියෙන්නෙ Anonymizer, Inc කියන ආයතනය. ඇනොනිමයිසරයක් කියන්නෙ Proxy Sever එකක්. ඇනොනිමයිසරය අන්තර්ජාලයේ සැරිසරන්නාගේ පරිඝනකය සහ අන්තර්ජාලය අතර අතරමැදියෙක් විදිහට ක්‍රියා කරනවා. කොටින්ම ඔබ වෙනුවෙන් ඇනොනිමයිසරය අන්තර්ජාලයට සම්බන්ද වෙලා එය හරහා ඔබට අවශ්‍ය තොරතුරු ලබා දෙනවා සහ එමඟින් ඔබගේ පරිඝණකයේ තොරතුරු (IP address) ඔබගේ පුද්ගලික තොරතුරු සඟවනවා (ඒ කියන්නෙ ඔබගේ ලිපිනය ඔබ ඇතුල් වෙන වෙබ් පිටු හෝස්ට් වෙලා තියෙන වෙබ් සර්වර්යේ ලොග්ස් වල සටහන් වීම එමඟින් වළක්වනවා).

ඇනොනිමයිසරයක් භාවිතා කිරීමෙන් ඔබගේ හැදුනුම් සොරාගැනීමකට ලක් වීමේ ඉඩ ඇසිරෙනවා. එනිසා එය ඔබගේ වෙබ් අවකාශයේ ආරක්ශාවට වැදගත්. ඔබ හිතනවා ඇති ඇයි මම IP address සහ ඔබව අනාවරණය වන තොරතුරු සඟවන්නෙ කියල. කොටින්ම අපි මහපාරෙ යනකොට මම මෙයයි කියල ID card එක වන වනා කෑ ගහගෙන යන්නෙ නැහැනෙ. මෙතනත් එයටම සමාන අවස්තාවක්. ඔබ අන්තර්ජාලයේ යම් වෙබ් පිටුවකට ඇතුල් වෙනකොට ඔබේ තොරතුරු ඔවුන් දැන ගැනීම අවශ්‍ය නොවෙනවා කියල තමයි මම හිතන්නෙ. ඒ නිසා ඇනොනිමයිසරය ඉතාමත් වැදගත් අන්තර්ජාලය තුල ඔබව ආරක්ශා කර ගැනීමට.

නමුත් ඇනොනිමයිසරයන් ප්‍රායෝගික තලයේදි භාවිතා වෙන්නෙ තමන් ආරක්ශා වෙනවාට වඩා අනුන්ගෙ ආරක්ශාවට තර්ජනයක් ඇති කරන්න. විශේෂයෙන්ම විවිධ මානසික ප්‍රශ්ණ තියෙන පුද්ගලයො තමන්ගෙ තොරතුරු සඟවන්න මේවා භාවිතා කරනවා (ඔය බ්ලොග් වල කුණුහරුප එහෙම ලියන්නෙ). ළමා අපයෝජන අසභය චිත්‍රපට වැඩි වශයෙන් හුවමාරු කිරීමට සහ නැරඹීමට ඇනොනිමයිසරයන් භාවිතා වීම ඇනොනිමයිසරයන් නිසා ඇතිවී තිබෙන ගැටළුකාරී තත්වයක් බව විකිපීඩියාව පවසනවා.

මෙමඟින් අවසානයට හිතන්න පුළුවන් ඇනොනිමයිසරය කියන්නෙ එක හා සමානව හොඳට හා නරකට භාවිතා කරන්න පුළුවන් දෙයක්. නමුත් අනවශ්‍ය වෙබ් පිටුවල තමන්ගේ අන‍න්‍යතාවය සටහන් වෙනවට අකමැති අයට පාවිච්චි කරන්න හොඳ ඇනොනිමයිසරයන් කිහිපයක් මම පහලින් සදහන් කරන්නම්.

• Anonymouse - මෙය ඉතා හොඳ ඇනොනිමයිසරයක් සහ මෙය නොමිලයේ බාගත කරන්න පුලුවන් . මේකෙ පාවිච්චි වෙන්නෙ CGI proxy එකක්, එයින් ඔබට anonymously වෙබ් පිටුවල සැරිසරන්න, anonymous e-mails යවන්න හැකියාව ලබා දෙනවා.


• ProxyKing.net - මේ ඇනොනිමයිසර සේවාව වෙබ් අඩවි වලට ඔබව හසු (track) කිරීමට වැලකීම සහ ඔබගේ පරිගනකයේ cookies ස්තාපනය කිරීමේ හැකියාව වලකනවා.


• AnonymousIndex.com - මෙය IP ලිපිනය සැඟවීම, වෙබ් පිටුවල දිස් වන දැන්වීම්, referrers සහ cookies කලමනාකරණය කරන අන්තර්ජාලයේ නොමිලයේ පවතින ප්‍රොක්සි සර්වර් එකක්.


• HideMyAss.com - නොමිලයේ ලබා දෙන ඇනොනිමයිසර සේවාවක්.


• ProxyFoxy.com - නොමිලයේ ලබා දෙන ඇනොනිමයිසර සේවාවක් සහ මෙමඟින් cookies, spyware සහ වෙනත් අනතුරුදායක scripts මඟහැරීම සිදුකරනවා.

Acunetix Web Vulnerability Scanner - Demostration

I made this video for one of my assignments at University. This video shows how to use Acnetix WVS software at basic level.

You can use Acunetix WVS to scan your website to find what are the vulnerabilities the web site have.

You can download this software form Acunetix website.

Security of Internet Banking (Part 3) - Countermeasures to Reduce Risks in Internet Banking

These are some countermeasures I have identified to reduce the risk in Internet banking for each attacks.

· User Surveillance

o Having a security policy regarding token and password handling.

· Theft of token and handwritten notes

o Having a security policy regarding token and password handling.

o Giving passwords that are easy to remember still hard to guess such as combing dictionary word with symbols and numbers.

· Hidden code

o Operating System/browser patching

o Code installation blockers

o Anispyware software

o Antiphishing software (URL inspection)

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

o Best practices for browser security (cookies, window pop-ups, java support, etc)

· Worms and bots

o Operating System/browser patching

o Code installation blockers

o Anispyware software

o Custom application secure coding

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

o Best practices for browser security (cookies, window pop-ups, java support, etc)

· E-mails with malicious code

o E-mail policy

o Code installation blockers

o Attachment blocking

o HTML code blocking

o Antispam software

o Anispyware software

o Antiphishing software (URL inspection)

o Firewall for blocking inbound and outbound connections to unauthorized ports

o Intrusion/anomaly detection

· Smartcard analyzers

o Noise generators

o Power and time neutral code designing

· Smartcard reader manipulator

o Secure smartcard interface design and implementation

· Brute force attacks with PIN calculations

o Increasing number of digits (at least eight digits)

· Social engineering

o Increasing security awareness

o Simple URLs that are easy to remember

o Antiphishing software (URL inspection)

· Web page obfuscation

o Monitoring the domain name server (DNS)

o Prohibiting the IP addresses instead of URLs.

o Using predetermined list of valid URLs.

· Pharming

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall

· Active man in the middle attacks

o Using predetermined SSL certificates

o Mutual authentication and encryption through client-server SSL

· Session hijacking

o State management to prevent session ID specification in the message, session ID rotation and life cycle management

· Brute force attacks

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall

· Bank security policy violation

o Security policy implementation according to standards such as ISO 17799

· Website manipulation

o Monitoring the server

o Patch management

o Intrusion/anomaly detection

o Firewall

Thumbs.db කියන්නෙ මොනවාද?

වින්ඩෝස් මෙහෙයුම් පද්ධති පාවිච්චි කරන අයට සමහර විට තියෙන්න පුළුවන් ගැටළුවක් තමයි මොනවද මේ Thumbs.db ගොනු කියල. මේ Thumbs.db ගොනු දකින්න පුලුවන් වෙන්නෙ පින්තූර, වීඩියෝ එහෙම තියෙන folders වල. කොච්චර delete කලත් ආපහු හැදෙනවා. මම මීට අවුරුදු 3කට 4කට කලින් (ඒ කාලෙ පාවිච්චි කලේ වින්ඩෝස් XP) හිතාගෙන හිටියෙ Thumbs.db කියන්නෙ වෛරස් එකක් කියල. ඉතින් ඕක සැරින් සැරේ මකන එක තමයි වැඩේ!!. මේ ලඟදි මගෙ වින්ඩෝස් 7 මෙහෙයුම් පද්ධතියෙත් Thumbs.db ගොනු වගයක් හැදිල තිබුනම Thumbs.db ගැන අමිහිරි මතකය මතක් උනා. ඉතින් මේ ගැන බ්ලොග් එකක් ලියන්න හිතුව මට වගේම Thumbs.db දකින එක හිසරදයක් වුන අය ඉන්නවනම් ඒක සනීප කර ගන්න.

Thumbs.db කියන්නෙ Extension දිහා බලපුහාමනම් Database File එකක්. ඇත්තටම Thumbs.db කියන්නෙ System File එකක්. මේක අපිට Thumbnail Cache File කියල හදුන්වන්න පුළුවන්. මේක හදන්නෙ Windows Explorer එකෙන්. මේක වෛරස් එකක් නෙමෙයි. අපි Folders වල තියෙන පින්තූර එහෙම Thumbnail View එකෙන් බලනකොට Windows Explorer එකට සිදු වෙනවා ඒ ෆෝල්ඩරය ඇතුලෙ Thumbnail Icons හදන්න. Thumbs.db කියන්නෙ Cache File එකක් ඒකෙන් කරන්නෙ අර Thumbnail Icons තොරතුරු ගබඩා කරගන්න එක ඔබ දෙවෙනි පාරටත් එකම ෆෝල්ඩරය Thumbnail View එකෙන් බලනකොට Windows Explorer එකට ඕනි වෙන්නෙ ඒ ෆෝල්ඩරය ඇතුලෙ ආයෙමත් අලූතින් Thumbnail Icons හදන්න, එයා Thumbs.db ගොනුවෙන් අර තොරතුරු අරන් Thumbnail Icons පෙන්වනවා. මේකෙන් දෙවනි වරට Thumbnail View එකෙන් බලනකොට වේගයෙන් අදාල පින්තූර වල Thumbnail Views ලබා දෙනවා.

Thumbs.db කියන්නෙ වෛරස් එකක් නොවෙන අතරම ඒකෙන් පරිඝනකයේ වේගයට බලපෑමක් කරන්නෙත් නැහැ. නමුත් පරිඝනකයේ හාර්ඩ් ඩිස්ක් එකේ ඉඩනම් මේ ගොනු සදහා වැය වෙනවා. සමහර වෙලාවට Thumbs.db තියෙන එක මහ කරදයක් වෙන්නෙ ඒකෙන් අපේ Folder Preferences වෙනස් කරන එකයි. යම්කිසි ගොනුවක අපි Folder View එක ලැයිස්තුවක් ආකාරයෙන් (List) හෝ තොරතුරු සහිතව (Detailed) ඉදිරිපත් කරන්න කියල Folder Settings හැදුවත් ඒ ෆෝල්ඩරය ඇතුලෙ Thumbs.db ගොනුවක් තිබුනොත් අපේ විධානය නොසලකා හැරල Thumbnail View එකෙන්ම ගොනුව ඉදිරිපත් කරන එක. මේක සාමාන්‍යයෙන් Hidden File එකක් විදිහට තමයි තියෙන්නෙ. ඒ නිසා අපිට මේක පෙනෙන්නෙ Hidden Files පෙනෙන විදිහට Folder Settings හදල තිබුනොත් විතරයි.

Thumbs.db ඉවත් කරන්න ක්‍රම කීප ආකාරයක්ම තියෙනවා. මම එක ආකාරයක් විස්තර කරන්නම්.

වින්ඩෝස් ස්ටාර්ට් බාර් (Start Bar) එකේ සර්ච් (Search) කියන තැන හෝ යතුරු පුවරුවේ වින්ඩෝස් බොත්තම හා R (Windows Key + R) බොත්තම එකවට එබීමෙන් එන Run එකේ gpedit.msc කියල ලියනය කරල Enter කිරීම.

හෝ

එවිට කියන Local Group Policy Editor මෙවලම විවෘත වෙනවා.

එහි පවතින විකල්පයන් පහත ආකාරයට විවෘත කරන්න

• User Configuration
• Administrative Templates
• Windows Components

එවිට මෙවැන්නක් දකින්න පුලුවන්,

එහි වම්පස තිබෙන අප විවෘත කල විකල්පයන් ගෙන් Windows Explorer කියන එක තෝරන්න.

ඉන්පසු එහි දකුණු පස තියෙන Turn off the caching of thumbnails in hidden.db files කියන විකල්පය ඩ දෙවරක් කිලික් (double click) කරන්න. එවිට Turn off the caching of thumbnails in hidden.db files කියන නමින් වෙනම විශාල රාමුවක් (Window) විවෘත වනවා. එහි පහත පින්තූරයේ දැක්වෙන ආකාරයට Enable කියන විකල්පය තෝරා OK කරන්න.

මෙහි තියෙන අමුතු දේ තමයි මෙතන දිවිත්ව නිශේදනයක් (double negative) තියෙන එක. ඒ නිසා අපිට Thumbs.db ඉවත් කරන්න Disable (නැති කරන්න) වෙනුවට Enable (ඇති කරන්න) කියන විකල්පය තෝරන්න වෙන එක. ඔබ හදිස්සියට Disable තේරුවොත් Thumbs.db ඇති කරන්න අවසර දුන්නා වෙනවා. අමුතුයි නේ? වින්ඩෝස් ඔහොම තමා......

Security of Internet Banking (Part 2) - Possible Attacks against an Internet Banking System

An attacker can target on user equipment such as tokens (smart cards), password generators and actions of the user himself. These types of attacks include:

Procedural Attacks

1. Hidden code - A hidden code within a web page that installs malicious software in user’s terminal. The exploit may target Java runtime support, ActiveX support, multimedia extensions and automated download and running of software through the browser.
2. Worms and bots – Worms usually search for vulnerabilities and exploit those automatically. This may be an exploitation of instant messaging and chatting communication software which may automatically be deployed using bots.
3. E-mails with malicious code – This is e-mail with malicious content such as executable files or HTML code with embedded applets.

Token Attack tools

1. Smartcard analyzers – These expose the security of the smartcard by revealing cryptographic keys and passwords. These include analyzing power consumption of the smart card or time analyzing. These attacks are not easy to implement but very effective.
2. Smartcard reader manipulator – This attack is applicable to noncertified smartcard readers with insecure interfaces, which may expose the contents of the smartcard.
3. Brute force attacks with PIN calculations – These attacks mainly focused on breaking the security of tokens that generate random PINs.

Phishing

1. Social engineering – These attacks are based on manipulating user to give up the password, login information or sensitive information through phone calls and other social hangouts.
2. Web page obfuscation – These are links that are not directing the user to corresponding destination that it describes or the using Internet Protocol (IP) addresses instead of universal resource locator (URL) to confuse the user. And this maybe a hidden frames in a web page by using several frames with malicious content, while user only sees the URL of the master frameset. Other method of this is using graphics that spoof the interface of a web browser like the address bar.

Attacks focuses on communication links

1. Pharming: This is compromising of domain name servers (DNSs), altering DNS tables and connecting the user to another site other than the banks official web site and user will perform all tasks in the fraudulent site and give all information such as login details.
2. Sniffing: This attack can be used to capture information such as user name and password. This is masquerading of communication between user client and the bank server).
3. Active man-in-the-middle attacks: The attacker sends malformed user packets or make more traffic to the web site such as transfer commands, from one account to other.
4. Session hijacking: session hijacking is the exploitation of a valid computer session—sometimes also called a session key—to gain unauthorized access to information or services in a computer system. In particular, it is used to refer to the theft of a magic cookie used to authenticate a user to a remote server. It has particular relevance to web developers, as the HTTP cookies used to maintain a session on many web sites can be easily stolen by an attacker using an intermediary computer or with access to the saved cookies on the victim's computer.

IBS attacks: These are offline attacks against the servers that Internet banking applications hosted

1. Brute force attacks: Brute force attack is based on distributed zombie personal computers, hosting automated programs for username or password based calculation.
2. Bank security policy violation: Changing the banks security policy such as making access control and logging mechanisms weak.
3. Web site manipulation: Exploiting the vulnerabilities of of bank’s web server and permit the alternation of its contents such as links to the login page and redirect user to a fraudulent web site and capture users credentials.