බොහෝ වෙලාවට අපි භාවිතා කරන router වගේ උපකරණ වල default password එක විදිහට එන්නේ "admin", "123456", "password" වගේ බොහොම සරළ password එකක්.
මේ devices භාවිතා කරන අයගෙන් බොහෝමයක් දෙනා ඉහත කී default password එක වෙනස් කරන්නට කටයුතු කරන්නේ නැති බව අපි හැමෝම දන්න කාරණයක්. මේ හේතුව නිසාම තාක්ෂණික ලෝකය මේ වන විට මුහුණ පා තිබෙන අවධානම ප්රමාණ කරන්නටත් නොහැකි තරම් වෙනවා.
කොහොම වුණත් ඇමෙරිකාවේ කැලිෆෝනියා ප්රාන්තයේ අලුතින් සම්මත වූ නීතියක් මගින් 2020 වර්ෂයේ සිට නිෂ්පාදනය කර බෙදාහරින මෙවැනි devices වල ඇතුලත් වන default password එක device එකෙන් device එට වෙනස් වන ලෙස සකස් කරීම අනිවාර්ය්ය කර තිබෙනවා.
එමෙන්ම මේ අනුව භාවිතා කරන්නා විසින් අදාල device එක පළමු වරට භාවිතා කිරීම ආරම්භ කරන අවස්තාවේදී ඉහත කී default password එක අලුත් password එකකට මාරු කිරීමට අදාල කටයුතු සිදු කිරීමට භාවිතා කරන්නාව යොමු කිරීමත් අනිවාර්ය්ය වෙනවා.
වසර ගණනාවක් මුළුල්ලෙහි hackers ලා විසින් ඔවුන්ගේ botnet එහෙමත් නැතිනම් hack කිරීම මගින් එකතු කරගන්නා devices එකතු කර සාදන ලද network සෑදීම සඳහා මේ අඩු ආරක්ෂාකාරී default passwords සහිත devices භාවිතා කරනවා.
Malware එකක් මගින් මෙලෙස default password වෙනස් නොකරන ලද devices තමන්ට නතු කරගැනීමට පෙළඹෙන මොවුහු මෙලෙස නිර්මාණය කරගන්නා botnet හරහා cryptocurrency mining, DDoS attack වගේ දේවල් කරන්නට පෙළඹෙනවා.
මීට වසර දෙකකට පමණ පෙර Mirai නම් වූ malware එකක් හරහා IoT devices මගින් සාදාගන්නා ලද botnet එකකින් Dyn ආයතනයේ සේවාවන් ට එල්ල කරනු ලැබූ DDoS attack එකක් නිසාවෙන් එම ආයතනයේ සේවාවන් මත යැපෙන Twitter, Spotify සහ SoundCloud වැනි විශාල සේවාවන් රැසක් මෙලෙස අකර්මන්යය තත්ත්වයට පත් වුණා.
IoT devices මේ වන විට ලොව පුරා බොහෝ දෙනෙක් භාවිතා කරන්නට පෙළඹීම නිසාවෙන් මේ devices වල අණසක පතුරුවන්නට හැකියාව ඇත්තෙකුට හිමි වන්නේ අති විශාල බලයක්.
මේ Mirai කියන malware එක බොහොම ප්රාථමික මට්ටමේ එකක් වුණත්, ඒ හරහා ඉතාමත් විශාල බලයක් ලබා ගැනීමට ඔවුන් සමත් වූ අතර මේ සියල්ලටම හේතු වූයේ ඉහත කී default password එක වෙනස් නොකරන ලද devices භාවිතා කිරීමයි.
මීට අමතරව බොහෝ වෙලාවට සිදු වන දෙයක් තමයි යම්කිසි device එකක ආරක්ෂිත උපක්රම වල දුර්වලතාවයක් හඳුනාගතහොත් ඊට අදාල software updates ලබා දීමට කටයුතු නොකිරීම. Google, Amazon වැනි ප්රසිද්ධ ආයතන විසින් මෙවැනි updates ලබා දුන්නත්, බොහෝමයක් ආයතන මෙයට පසුබට වන බවක් තවමත් දක්නට ලැබෙන අතර මෙය ද අන්තර්ජාලයේ ආරක්ෂාවට ඉතාමත් බළපෑමක් ඇති කරනු ලබන බව බොහෝ දෙනා පෙන්වා දුන්නත්, මෙම නීති පද්ධතියට එය ඇතුලත් වන්නේ නැහැ.
කොහොම වුණත්, මොනවත්ම නැතුවාට වැඩියෙන් මේ ආකාරයේ නීති පද්ධතියක් මගින් යම් තරමක් දුරට හෝ භාවිතා කරන්නන්ගේ ආරක්ෂාව සනාථ කරන්නට හැකි නම් එය ද ඉතාමත් වැදගත් පියවරක් වෙනවා.
මේ පිළිබඳව වැඩිදුර විස්තර දැනගැනීම සඳහා wired වෙබ් අඩවිය, techcrunch වෙබ් අඩවිය හා engadget වෙබ් අඩවිය භාවිතා කළ හැක.