Tuesday, March 31, 2020

කොවිඩ්-19 (COVID-19) සයිබර් තර්ජනයන්ට එරෙහිව ආරක්ෂාව


වත්මන් කොවිඩ්-19 වසංගතය (කොරෝනා වයිරස් රෝගය) මුවාවෙන් සයිබර් අපරාධකරුවන් විසින් දේශීය වශයෙන් මෙන්ම ලොව පුරා පුද්ගලයින් සහ ව්‍යවසායන් ඉලක්ක කර ගනිමින් විවිධ වංචනික ක්‍රියාවන්හි නිරත වේ. මෙම තත්වය සමඟ ෆිෂිං (phishing) සහ අනිෂ්ට මෘදුකාංග (malware) ප්‍රහාර විශාල සංඛ්‍යාවක් වාර්තා වී ඇත. ගමන් බිමන් සීමා වී ඇති හේතුවෙන්, බැංකු කටයුතු, උපයෝගිතා (Utility) ගෙවීම් සහ සාප්පු සවාරි (බඩු මිලදී ගැනීම්) සඳහා සබැඳි ද්වාර (online portals) භාවිතා කිරීමට මිනිසුන් වැඩි නැඹුරුවක් දක්වයි. එබැවින්, එම දොරටුවලදී ප්‍රහාරයන්ට ලක්වීමේ අවදානම පැහැදිලිව හඳුනාගත හැකිය. මේ දිනවල නිවසේ සිට වැඩ කිරීමේ (working from home) පුරුද්ද, ව්‍යවසාය පද්ධති (enterprise systems) වැරදි ලෙස කළමනාකරණය කිරීමටද හේතු විය හැක.
අනිෂ්ට මෘදුකාංග සහ ෆිෂිං ප්‍රහාර (Malware Strains & Phishing Attacks)
සමාජ ඉංජිනේරුවන් (හැකර්වරු) විසින් ඊමේල්, චැට්ස්, කෙටි පණිවිඩ (SMS) යැවීම උපයෝගී කර ගෙන මේ කාලයේදි වැඩි වැඩියෙන් පහර දිය හැකිය. සිදු විය හැකි යැයි සැලකිය හැකි වංචාවන් කිහිපයක් පහත සඳහන් වේ. නමුත් ඊට සීමා නොවේ.
  • COVID-19 සම්බන්ධ තොරතුරු විෂය (subject) කොට ගත් ඊමේල් පණිවිඩයක්
  • බැලූ බැල්මට නීත්‍යානුකූල ලෙස දිස්වන ඔන්ලයින් බැංකුකරණ / සාප්පු ට්‍රොලි (shopping cart) වැනි ද්වාරයන් (online portal) සහිත ෆිෂිං වෙබ් අඩවි ප්‍රවර්ධනය කරන ඊමේල් පණිවිඩයක්
  • COVID-19 (උදා: COVID-19-new-medicine.zip) නම සහිත ඊමේල් ඇමුණුමක්
  • COVID-19 උපකරණ පුවරු (dashboards) සහ වීඩියෝ සඳහා අධි-සබැඳි (hyperlinks) එවීම (ඊමේල් සහ වට්ස්ඇප්, වයිබර් චැට් පණිවිඩ මඟින් පැතිරෙන)
සමාජ ඉංජිනේරු ප්‍රහාර වලින් ආරක්ෂාකාරීව සිටින්නේ කෙසේද?
  1. ඊමේල් හරහා ලැබෙන කිසිදු සබැඳියක් (link) ක්ලික් නොකරන්න. එම සබැඳිවල සත්‍ය පිහිටීම පෙනෙන ආකාරයට වඩා වෙනස් විය හැකිය
  2. චැට් පණිවිඩ මෘදුකාංග (IM) හරහා නොදන්නා අයගෙන් හෝ අසාමාන්‍ය විස්තර හෝ ඉල්ලීම් සහිත කිසිදු සබැඳියක් ක්ලික් නොකරන්න
  3. සියලුම ගිණුම් සඳහා එකිනෙකට වෙනස් මෙන්ම ශක්තිමත් මුරපද (passwords) භාවිතා කරන්න. (ශක්තිමත් මුරපදයක් (passwords) හදාගන්නේ කෙසේද?)
  4. මුරපද කළමනාකරුවන් (Password Managers) භාවිතා කර ඒවා නිසි ලෙස සුරක්ෂිත කරන්න
  5. ද්වි-සාධක සත්‍යාපනය (Two-Factor Authentication) හෝ දෙපියවර සත්‍යාපනය (Two-Step Verification)ලෙස හැඳින්වෙන බහු-සාධක සත්‍යාපනය සෑම අවස්ථාවකම භාවිතා කරන්න
  6. ෆිෂිං ප්‍රහාර වළක්වා ගැනීම සඳහා ඔබ ඔන්ලයින් ගනුදෙනු (බැංකු / සාප්පු සවාරි සහ උපයෝගිතා බිල්පත් ගෙවීම්) කරන විට නිතරම නිවැරදි URL (ලින්ක්) පරීක්ෂා කරන්න. (අදාල URL / ලින්ක් නිවැරදි දැයි දැනගන්න ක්‍රමය මේ සබැඳියෙන්)
  7. ඔබගේ ප්‍රති-වයිරස මෘදුකාංග (Anti-virus solution) නිසියාකාරව ඉන්ස්ටෝල් කර ඇති බවටත් නවතම අනිෂ්ට මෘදුකාංග අර්ථ දැක්වීම් එකතුවන් යාවත්කාලීන කර (latest signature updates) ඇති බවටත් වග බලා ගන්න
  8. නවතම ආරක්ෂක යාවත්කාලීන කිරීම්, ඔබගේ මෙහෙයුම් පද්ධතිය (operating system) සඳහා පමණක් නොව ඔබේ පරිගණක හෝ ජංගම උපාංගවල සඳහාද ඉන්ස්ටෝල් කර ඇති බවට වග බලා ගන්න.
ව්‍යවසාය පද්ධති වලට පහර දීම (Attacks to Enterprise Systems)
COVID-19 වසංගතය පැතිරීමත් සමඟ ව්‍යවසාය පද්ධතිවලට (enterprise systems) එරෙහි ප්‍රහාරවල වැඩි වීමක් නිරීක්ෂණය වී තිබේ. අපරාධකරුවන්ගේ ගවේෂණ උත්සහයන්, ඔබේ ව්‍යාපාරයේ තොරතුරු තාක්ෂණ වත්කම් (IT assets) සුරක්ෂිත කර ගැනීමට අනතුරු ඇඟවීමේ සංඥාවක් විය හැකිය.
ව්‍යවසාය පද්ධති (Enterprise Systems) ආරක්ෂා කරන්නේ කෙසේද?
  1. පරිමිතිය (perimeter) සහ අභ්‍යන්තර ෆයර්වෝල් (internal firewalls) හෝ වෙනත් අධීක්ෂණ උපාංග (monitoring devices) දෙකෙහිම IPS / IDS (Intrusion Prevention System / Intrusion Detection Systems) ක්‍රියාකාරීත්වය සක්‍රීය කර ඇති බවට වග බලා ගන්න
  2. නවතම තර්ජන වියහැකි අනිෂ්ට මෘදුකාංග අර්ථ දැක්වීම් එකතුවන් (signatures) සමඟ IPS / IDS යාවත්කාලීන කර (updated with latest threat signatures) ඇති බවට වග බලා ගන්න
  3. ආක්‍රමණය කිරීමේ උත්සාහයන් පිළිබඳව අනතුරු ඇඟවීම් (alerts) ජනනය කිරීමට සැකසුම් සකසා එවන් අවස්ථාවක ප්‍රතිචාර දැක්වීම සඳහා ප්‍රමාණවත් කාර්ය මණ්ඩලයක් දින 365 තුළ 24/7 පුරාවට සිටින බවට වග බලා ගන්න.
  4. ව්‍යාපාර ලොජික් ප්‍රහාරයන් බොහෝ විට පෙන්වන අසාමාන්‍ය දෝෂ පණිවිඩ පිලිබඳව ඔබේ ආයතනයේ යෙදුම් (applications) අධීක්ෂණය කරන්න
  5. බාහිර කණ්ඩායම් වලට ප්‍රවේශවීමට ලබාදී ඇති පද්ධතිවල ප්‍රවේශ වීමට ඇති හැකියාව අවශ්‍ය කණ්ඩායම් වලට පමණක් සීමා කරන්න.
  6. නිවසේ සිට වැඩ කිරීම (Work From Home) අවශ්‍ය නම්, අවම දැන ගැනීමේ මූලධර්මය (PoLP – Principle of Least Privilege) පිළිපදිමින් අවශ්‍ය පද්ධති ප්‍රවේශය, දැන ගැනීමේ අවශ්‍යතාවය මත පදනම් වූ දත්ත ප්‍රවේශය සමඟ VPN හරහා පමණක් ලබා දිය යුතුය.
  7. නිවසේ සිට වැඩ කිරීමේදී පවතින / සම්ප්‍රේෂණය (rest and transmitting) වන සංවේදී දත්ත සංකේතනය (encrypted) කර සිදු කිරීමට වග බලා ගන්න
  8. දුරස්ථ ප්‍රවේශ සම්බන්ධතාවය (remote access connection) දැඩි ලෙස නිරීක්ෂණය කිරීම සහ ඒ පිලිබඳ අවශ්‍ය සටහන් (log) තබා ගැනීම.
  9. හැකි සෑම අවස්ථාවකම බහු-සාධක සත්‍යාපනය (Multi-Factor Authentication) භාවිතා කරන්න, විශේෂයෙන් VPN වැනි දුරස්ථ සම්බන්ධතා සත්‍යාපනය සඳහා
  10. ආයතනික සයිබර් ආරක්ෂණ ගැටළු විසඳීමේදී COVID-19 BCP (Business continuity planning) ඊට අනුගත වීමට වග බලා ගන්න.
ඒ අනුව, පවතින තත්ත්වය හේතුවෙන් ඔබේ තොරතුරු පද්ධතිවල අනතුරු ඇඟවීම් පිළිබඳව සුපරීක්ෂාකාරීව සිටින ලෙස මෙයින් නිර්දේශ කරන්නේ ලැබී ඇති වාර්තා පරිදි, සයිබර් අපරාධකරුවන් ඔවුන්ගේ ප්‍රහාර සිදු කිරීමට වර්තමාන අවස්ථාව කදිමට භාවිතා කරන හෙයිනි. එබැවින් ආයතනවල අවධානය වෙනත් අතකට හැරෙන මෙවැනි මොහොතක එවායේ ක්‍රියාකාරකම් වෙනස් කරන විට, පද්ධතීන්හි ආරක්ෂාව සහතික කිරීම ප්‍රමුඛ කොට සැලකිය යුතු බව සිහියේ තබා ගැනීම වටී.
උපුටා ගැනීම:
TechCERT
හි Alerts & News (https://www.techcert.lk/en/alerts-news/295-defending-against-covid-19-cyber-threats)

කොරෝනා හෙවත් කොවිඩ් – 19 ජය ගනිමු!!!


දැනුවත් වන්න …. සූදානම් වන්න…….. වගකීමෙන් කටයුතු කරමු.
ලෝකවාසී සියළුම ජනතාව මුහුණු දෙමින් සිට්න්නාවු මෙම කොරෝනා හෙවත් කොවිඩ් – 19 වෛරසයට එරෙහිව අපි සැම එක්ව කටයුතු කරමු. ඒ සඳහා අප අනුගමනය කල යුතු කරුණු කිහිපයක්:
  • සෞඛ්‍ය හා ආරක්ෂක අංශයන් විසින් ලබා දෙන්නා වූ උපදෙස් නෙපිරිහෙලා ඉටු කරමු.
  • නිසි ආරක්ෂිත ක්‍රමවේදයන් අනුගමනය කරමු
  • නිතරම සබන් ගා අත් සෝදා පිරිසිදු කර ගනිමු
  • නිවසින් බැහැරව යන සෑම විටම මුඛ ආවරණ පළඳිමු
  • හැකි තරම් නිවසට වී සිටිමු
  • පිටස්තර අයකු මුණ ගැසීමට සිදු වන්නේ නම් නිතරම දුරස්ථ භාවය පවත්වා ගනිමු. ( නිතරම මීටරයක් දුරින් සිටීමට වගබලා ගනිමු)
  • හැකි සෑම විටම බැංකු කටයුතු සිදු කිරීමේදී ඔන්ලයින් බෑනිකිං (Online banking) භාවිතා කරමු
  • ATM ස්වයංක්‍රීය යන්ත්‍ර භාවිතයේදී ප්‍රවේශම් වෙමු
    කිසිඳු විටෙක පිටස්තර පුද්ගලයින් සමඟ කිසිවක් හුවමාරු කර නොගනිමු.
  • භාවිතා කරන දේ නිතරම පිරිසිදු කර ගනිමු
  • ඔබට නිවසේ සිට පරිගණක/අන්තර්ජාලය භාවිතා කර ඔබේ රැකියා කටයුතු කළ හැකි අයෙක් නම් ඒ සඳහා යොමු වන්න. ඒ සඳහා ඔබේ ආයතනයේ අදාල පද්ධති කළමණාකරන (System administrator) නිලධාරියා සමග දුරකතනයෙන් සම්බන්ධව උපදෙස් ලබාගන්න
විශේෂයෙන් අන්තර්ජාලය භාවිතා කරන ඔබ මේ කාරණා ගැනද සැලකිලිමත් වන්න;
අවධානයෙන් සිටින්න! මේ කාලයේ පවතින තත්වය ප්‍රයෝජනයට ගනිමින් ඔබව අන්තර්ජාල වංචාවන්ට හසු කරගැනීමට ඇතැම් අන්තර්ජාල වංචාකරුවන් උත්සාහ කරනු ඇත.
  • මේ දිනවල විය හැකි ඒවැනි වංචා/ අනතුරු සහ ඉන් වැලකෙන ආකාරය පිලිබඳ විස්තරයක් මෙතැනින් බලන්න. ඔබට ලැබෙන ඉමේල් පිලිබඳව වඩා විමසිලිමත් වන්න. (අනතුරුදායක ඉ-මේල් හදුනාගන්නේ කොහොමද?)
  • කිසිඳු විටෙක ඔබගේ මුරපදය රහස් පදය කිසිදු කෙනෙකුට කිසිඳු ආකාරයකින් ලබා නොදීමට වගබලා ගන්න.
  • අන්තර්ජාලය හරහා ගනුදෙනු සිදු කිරීමේදී ඉතා පරීක්ෂාකාරී වන්න. ඔබ ගනුදෙනු කරන වෙබ් අඩවිය අදාල ආයතනයේ/බැංකුවේ සත්‍ය වෙබ් අඩවිය දැයි පරීක්ෂාකාරී වන්න. (අදාල වෙබ් අඩවියේ පෙනුමට සමාන ලෙස සකසන ලද ව්‍යාජ වෙබ් අඩවි අන්තර්ජාලයේ පවතී) මේ ගැන දැනගන්න මේ ලිපිය බලන්න..
  • ඔබ /ඔබේ දරුවන් අන්තර්ජාලය භාවිතා කරනු ඇත.ඔවුන් ඉහත අනතුරු වලින් වලකා ගන්නා ආකාරය ගැන දැනුවත් වන්න. මේ ලිපියෙන්
කොරෝනා හෙවත් කොවිඩ් – 19 ජය ගැනීම ඔබ අප සියළුම දෙනාගේ ජාතික වගකීමක් වේ මේ සඳහා අපගේ පූර්ණ සහයෝගය ලබා දෙමු.
තවත් මේ සම්බන්ධ විස්තර ඉදිරියේදී ඔබට ලබාදෙන්නෙමු. රැදෛන්න අප සමග අපේ ෆේස්බුක් පිටුව :www.facebook.com/hithawathi


Friday, March 6, 2020

How to secure your Whats App account from social hacking




Facebook’s WhatsApp messaging service is incredibly easy to set up, but this easy setup process means that your account is open to abuse if you’re not careful. Thankfully, it’s fairly simple to enable an extra layer of security on your account, which means that you won’t lose it if your six-digit activation code gets compromised.

These security options unfortunately won’t stop you from a serious hack such as the one that hit Amazon CEO Jeff Bezos. What it will do is offer another layer of protection if someone manages to trick you into sharing your security code, which is a process known as “social hacking.”
If you need any convincing about why it’s a good idea to use this extra security, then allow me to share a friend’s recent experience about what can go wrong when you don’t.

Bleary-eyed one Sunday morning, she received a WhatsApp message from a close friend that asked if she could forward over a six-digit code that she was just about to receive via SMS. Without thinking, and because she trusted her friend, she sent over the code and suddenly found herself logged out of her WhatsApp account.

  
NEVER SHARE YOUR SIX-DIGIT WHATSAPP VERIFICATION CODE WITH ANYONE
You probably realized what happened. That wasn’t just any six-digit code; it was the six-digit code that WhatsApp sends to your mobile number via SMS to associate with your WhatsApp account. In sharing that number, my friend had inadvertently allowed the attacker to log in to her account.
Since her attacker now had control of her account, they were then able to send messages from it to any contacts she was in the same group chat with. That’s how the attacker was able to ask for my friend’s six-digit verification code via another friend’s number; they’d gained control of that account as well and used it to message every contact they could, trying to rope them into the scam.
In theory, having your WhatsApp account taken over should be a fairly easy situation to resolve: just enter your phone number into the app and have it send you another six-digit code. The problem is that hackers can spam your number with a bunch of incorrect six-digit codes so that you get locked out of your account for up to 12 hours. Then, if you hadn’t set up a PIN of your own, this leaves an attacker free to set up one of their own on your account, locking you out for seven days in total.
That’s why it’s so important to remember these two rules:
  1. Never share your six-digit WhatsApp code with anyone — not your parents, not your best friend, and definitely not your sibling. No one will ever have a legitimate reason to ask for the code that WhatsApp sends you over SMS, so don’t even think about sharing it.
  2. Should the worst happen, then setting up a PIN will act as another barrier to stop someone from being able to sign in to your account, and it will stop this nightmare from happening to you.
HOW TO SECURE YOUR WHATSAPP ACCOUNT
Somewhat confusingly, the PIN is also six digits long. In order to set it up:
  • Open WhatsApp and tap the three dots on the top right of the screen
  • Hit “Settings” > “Account” and then pick “Two-step verification”
  • Hit “Enable,” and then pick your six-digit PIN. The gallery of screenshots below will walk you through the whole process.

   GRID VIEW



  • This next step isn’t mandatory, but adding an email address will allow you to recover your account if you forget your PIN. WhatsApp will periodically ask you for your PIN while you’re using it so that you don’t easily forget it, but we’d still recommend having a backup.
One more thing: it would be remiss of us if we didn’t mention that, in the past, Facebook (WhatsApp’s parent company) has gotten in trouble for using phone numbers provided for two-factor authentication for ad-targeting. The Federal Trade Commission told the company to stop the practice last year. When we asked WhatsApp, it categorically denied that it does this with its backup email addresses, and we think the benefits of providing an email address outweigh the risks.


Thursday, February 27, 2020

ෆේස්බුක් දකුණු ආසියානු ආරක්‍ෂිත සමුළුව 2019


ෆේස්බුක් ආයතනයේ විශ්වාසනීය හවුල්කරුවෙකු ලෙස 2019 නොවැම්බර් 19 වන දින නවදිල්ලියේ පැවති ෆේස්බුක් දකුණු ආසියානු ආරක්‍ෂිත සමුළුව 2019සඳහා ශ්‍රී ලංකාව නියෝජනය කරමින් සහභාගී වීමට හිතවතී වෙත අවස්ථාව ලැබුණි. දෙවන වරට සංවිධානය කරන ලද මෙම සමුළුවට ඉන්දියාව, නේපාලය, බංග්ලාදේශය සහ ඇෆ්ගනිස්ථානය යන රටවල පාර්ශවකරුවන් ද එක්විය.



දකුණු ආසියානු රටවල ෆේස්බුක් සහ ඉන්ස්ටග්‍රෑම් භාවිතය සමඟ පැන නඟින ගැටළුවලට මුහුණ දෙන සමාජය සුරක්ෂිතව තබා ගන්නේ කෙසේද යන්න පිළිබඳව සාකච්ඡා කිරීමට සමුළුව සියලු උත්සාහයන් ගත්තේය. ඒ අතර ඉන්දියාවේ කාන්තා හා ළමා සංවර්ධන ඇමතිතුමිය විසින් ඔන්ලයින් ආරක්ෂාව සම්බන්ධ ඉගෙනුම් මොඩියුල ඇතුළත් ‘We Think Digital’ වෙබ් අඩවිය දියත් කරන ලදී. එහිදී දකුණු ආසියානු රටවල සිදුවන ගෘහස්ථ හිංසනය, සමාජයේ 50% ක සහයෝගය සහ සාධාරණීකරණය මත සිදුවන බව දැන ගැනීම තරමක් කණගාටුදායක විය.

සමුළුවේ න්‍යාය පත්‍රයට අනුව විවිධාකාර ඉදිරිපත් කිරීම් සහ වට මේස සාකච්ඡා කිහිපයකට බඳුන් වූ මාතෘකා අතර ෆේස්බුක් සිය හවුල්කරුවන්, ප්‍රතිපත්ති, මෙවලම්, සම්පත් සහ ප්‍රතිපෝෂණය පිළිබඳ විස්තරයක්ද, අනාගතයේදී ළමා අපයෝජන පින්තූර (abusive images) ප්‍රකාශයට පත් කිරීම වැළැක්වීම සඳහා විවෘත-මූලාශ්‍ර (open-source) ඡායාරූප වීඩියෝ ගැලපුම් තාක්‍ෂණය, Child Safety Hackathon, පෙම් සබඳතා බිඳවැටීමෙන් පසු එකඟතාවයකින් තොරව (තර්ජනය කිරීමට / පළිගැනීමට) පළ කරන සමීප රූප, ‘Let's Talk’ නැමති සියදිවි නසාගැනීම් වැළැක්වීමේ මානසික සෞඛ්‍ය පදනම, මිනිස් ජාවාරම, ඉන්ස්ටග්‍රෑම් හි නව මෙවලම් (කාලය කළමනාකරණය කිරීම, රහස්‍යතා සැකසුම්, අදහස් තෝරා බේරා ගත හැකි අන්තර්ක්‍රියා, අවහිර කිරීම වෙනුවට සීමා කිරීම, අදහස් දැක්වීමේ අනතුරු ඇඟවීම් - දැනට ඇමරිකා එක්සත් ජනපදයේ පමණක් ක්‍රියාත්මක, කැමති / likes සැඟවීම සහ වාර්තාකරණය), ‘Aarambh India’, ලිංගික අපරාධවලින් ළමයින් ආරක්ෂා කිරීම, වෛරී ප්‍රකාශ සහ නිරුවත වාර්තා කිරීම, ‘Counter Speech Fellowship’ (CSF), ‘The Queer Muslim Project’ සහ ආබාධිතයන් ඇතුළු කාන්තාවන්ගේ ඩිජිටල් සාක්ෂරතාවය මෙන්ම සමානාත්මතාවය ඇති කිරීම යනාදිය වැදගත් විය. එහි දී ශ්‍රී ලංකාවේ සයිබර් අපරාධ නීති පිළිබඳවද ප්‍රශ්න කෙරිණි.



මෙම සමුළුව හරහා හිතවතී හට තරමක් දුරට සමාන අරමුණු සඳහා ක්‍රියා කරන ජාත්‍යන්තර සංවිධාන ගණනාවක සම්පත් දායකයින් රැසක් හමුවීමට මඟ පෑදෙන ලදී.