♪ “မုိဘိုင္းဘဏ္စနစ္ႏွင့္ လံုၿခံဳေရး” ♫

Image may contain: text

ျမန္မာႏိုင္ငံတြင္ လူေတာ္ေတာ္မ်ားမ်ားသည္ ဘဏ္စနစ္ကုိ မသံုးစြဲၾကပါ။ ျမန္မာ့လူဦးေရ၏ ၁၀% ေက်ာ္သာ ဘဏ္စနစ္ကုိ သံုးစြဲၾကသည္ဟုဆုိ သည္။ သို႔ေသာ္ မိုဘု္ိင္းဖုန္းစနစ္ဖြံ႕ၿဖိဳးလာမႈေၾကာင့္ မိုဘုိင္း ဖုန္းမွ တစ္ဆင့္ ေငြေပးေခ်ေသာစနစ္က ေန႔စဥ္ႏွင့္အမွ် တုိးတက္လာေနသည္။ ဘဏ္ကုိအသံုးျပဳရန္ စိတ္မ၀င္ စားသူမ်ားပင္လွ်င္ မိုဘိုင္းေငြေပးေခ်မႈ စနစ္ထဲသုိ႔ ၀င္ေရာက္လာၾကပါသည္။ ဘဏ္စနစ္သံုးစြဲသူမ်ားကလည္း ဘဏ္ပိတ္ခ်ိန္တြင္ လြယ္လင့္တကူ ေငြေၾကးထုတ္ယူသံုးစြဲႏိုင္ရန္ ATM ကတ္မ်ားကုိ ကုိင္ေဆာင္လာၾက ပါသည္။ ATM ကတ္မ်ားသည္ မိုဘုိင္း စနစ္ကုိ တစ္နည္းတစ္ဖံု အားေပးေသာ နည္းပညာျဖစ္ပါသည္။

ၿခံဳ၍ဆုိရလွ်င္ မိုဘိုင္းဘဏ္စနစ္သည္ လမ္းေပၚတြင္ အၿမဲတမ္းေျပးလႊား လႈပ္ရွား၍ လုပ္ကုိင္ စားေသာက္ရသူတုိ႔၏ ေန႔စဥ္လူေနမႈဘ၀တြင္ ပါ၀င္ပတ္သက္လာသည္မွာ ေသခ်ာသည္။ မိုဘိုင္းဘဏ္စနစ္ႏွင့္ ခ်ိတ္ဆက္အလုပ္လုပ္ရာတြင္ ပါ၀င္ေသာအခ်ဳိ႕ေငြေၾကးပမာဏမွာ အေတာ္ပင္မ်ား၏။ ထုိ႔ေၾကာင့္ အြန္လုိင္း ရာဇ၀တ္ေကာင္မ်ားက ဘဏ္စနစ္ထဲ၀င္၍ မသမာမႈမ်ားျပဳလုပ္ရန္ မ်က္စိက်ပါ၏။ မိုဘိုင္းဘဏ္ စနစ္သံုးသူ၏ လမ္းေၾကာင္းထဲသုိ႔ ၀င္ေရာက္ရန္ အလြယ္ကူဆံုး လမ္းေၾကာင္းကား Malware မ်ားမွတစ္ဆင့္ျဖစ္ပါ၏။ Malware မ်ားကုိ မုိဘုိင္းဖုန္းသံုးစြဲသူက သံသယျဖင့္ အၿမဲတေစစစ္ေဆးေနမည္ဟုဆုိလွ်င္ permission အလြန္အကြၽံေတာင္းေသာ Mobile app မွတစ္ဆင့္လည္း ၀င္ေရာက္ေလ့ရွိပါ၏။

အြန္လုိင္းလံုၿခံဳေရးအဖြဲ႕အစည္းမ်ား၏ အစီရင္ခံစာတစ္ရပ္အရဆုိလွ်င္ အြန္လုိင္းရာဇာ၀တ္ေကာင္ တုိ႔သည္ malware မ်ား ျဖန္႔ေ၀ရန္အတြက္ ဘဏ္လုပ္ငန္း၀န္ေဆာင္မႈႏွင့္ အလြန္ဆင္တူေသာ app မ်ားကုိပင္ အသံုးျပဳၾကသည္ဟု သိရပါသည္။ ယင္းအေယာင္ေဆာင္ app မ်ားမွတစ္ဆင့္ အေရးႀကီး data မ်ားကုိ ႏိႈက္ယူၿပီး ရာဇ၀တ္မႈက်ဴးလြန္ၾက ျခင္းျဖစ္ပါသည္။ အဆုိပါအဖြဲ႕အစည္းမ်ား၏ အစီရင္ခံစာ၌ ကမၻာေပၚတြင္ သံုးေနေသာ app ေပါင္း သံုးသိန္းခြဲ၏ ၁၁% ျဖစ္သည့္ app ေပါင္း ေလးေသာင္းခန္႔သည္ ဘဏ္လုပ္ငန္း ၀န္ေဆာင္မႈႏွင့္ပတ္သက္သည္ဟု ေဖာ္ျပထားပါသည္။ ယင္း app မ်ားကုိ ကမၻာ့ထိပ္တန္း app store ကုိးဆယ္ခန္႔တြင္ အလြယ္တကူရႏိုင္ၿပီး app ထဲတြင္ malware သုိ႔မဟုတ္ သံသယျဖစ္ဖြယ္ေကာင္းေသာ binary code မ်ား ပါ၀င္လ်က္ရွိပါသည္။

လံုၿခံဳေရးအစီရင္ခံစာအရ အဆုိပါဘဏ္ app ေပါင္း ေလးေသာင္း၏လံုၿခံဳ စိတ္ခ်ရမႈကုိ စစ္ေဆးရာတြင္ app ေပါင္း ၂၁၀၇၆ တြင္ adware ပါ၀င္ လ်က္ရွိသည္ကုိလည္းေကာင္း၊ app ေပါင္း ၂၀၀၀၀ တြင္ Trojan malware ပါ၀င္လ်က္ရွိသည္ကုိလည္းေကာင္း၊ app ေပါင္း ၃၈၂၃ တြင္ spyware ပါ၀င္လ်က္ရွိသည္ ကုိလည္းေကာင္း၊ app ေပါင္း ၂၀၉ တြင္ data ခိုးယူေသာ code မ်ား ပါ၀င္လ်က္ရွိသည္ကိုလည္းေကာင္း၊ app ေပါင္း ၁၇၈ တြင္ malicious Java Script မ်ား ပါ၀င္လ်က္ရွိသည္ကုိ လည္းေကာင္း ေတြ႕ရသည္ဟုဆုိပါသည္။ အမ်ားျပည္သူႏွင့္ စီးပြားေရး လုပ္ငန္းအမ်ားစုက သူတို႔၏ ေငြေရးေၾကးေရးကိစၥမ်ားအတြက္ အြန္လုိင္း ဘဏ္ႏွင့္ အြန္လုိင္းေငြေပးေခ်မႈစနစ္တို႔ကုိ တုိးတက္အသံုးျပဳလာသည္ႏွင့္ အမွ် မိုဘုိင္းဘဏ္စနစ္ထဲ၀င္၍ ေမႊေႏွာက္ဒုကၡ ေပးမႈမ်ား ပုိမိုမ်ားျပား လာမည္ဟုလည္း ခန္႔မွန္းၾကပါသည္။ မုိဘုိင္းဘဏ္စနစ္သာမကဘဲ အြန္လုိင္း၀န္ေဆာင္မႈမ်ားျဖစ္သည့္ web performance, optimization analystics, personalization စသည့္ေနရာတို႔တြင္လည္း code injection ဟုေခၚသည့္ ႐ႈပ္ေထြးသည့္ နည္းပညာကုိသံုး၍လည္းေကာင္း၊ DDOS ဟုေခၚသည့္ လုပ္႐ိုးလုပ္စဥ္နည္းပညာကုိ သံုး၍လည္းေကာင္း တိုက္ခိုက္လာႏိုင္သည္ဟု မွန္းဆၾကပါသည္။

ထိုသုိ႔တုိးတက္လာမည့္ တိုက္ခိုက္မႈနည္းပညာမ်ားကို မည္သုိ႔ကာကြယ္ၾက မည္နည္း။ နည္းပညာ တစ္မ်ဳိးတည္းကုိ သံုး၍ ေရရွည္မကာကြယ္ႏိုင္သည္ ကား ေသခ်ာသည္။ အေကာင္းဆံုးကာကြယ္နည္းမွာ နည္းပညာတစ္မ်ဳိးကို လံုၿခံဳေရးအလႊာတစ္ခုအျဖစ္ထားၿပီး လံုၿခံဳေရးအလႊာေပါင္းမ်ားစြာျဖင့္ ကာကြယ္ျခင္း ျဖစ္သည္။ ပထမဆံုးအသံုးျပဳသင့္သည့္ လံုၿခံဳေရးအလႊာမွာ မိမိအသံုးျပဳမည့္ app အား stealth mode ျဖင့္ ၀င္ေရာက္အသံုးျပဳျခင္း ျဖစ္သည္။ Stealth Mode ဆုိသည္မွာ app ၏ အလုပ္လုပ္ပံုကုိ ျပင္ပမွ အလြယ္တကူ ျမင္ေတြ႕ခြင့္မရေစရန္ ကုိယ္ေယာင္ေဖ်ာက္ျခင္းျဖစ္သည္။ ထုိ႔ေၾကာင့္ အြန္လုိင္းရာဇ၀တ္ေကာင္မ်ားအေနျဖင့္ app workflow ကုိ နားလည္ရန္ ခက္ခဲသြားေစပါသည္။

Stealth Mode အသံုးျပဳျခင္းနည္းပညာမွာ အနည္းငယ္ခက္ခဲ႐ႈပ္ေထြး သည္။ ပ႐ိုဂရမ္ေရးသားျခင္း အတတ္ကုိ ကြၽမ္းက်င္လိမၼာဖုိ႔လုိပါသည္။ Reverse engineering resistance လုပ္နည္းလုပ္ဟန္ကုိ လုပ္တတ္ဖို႔ လိုပါသည္။ Reverse engineering ဆုိသည္မွာ ပ႐ိုဂရမ္ေရးသူက machine code အသြင္သုိ႔ေျပာင္း ထားေသာ program code မ်ားကုိ ျပန္ေဖာ္ၿပီး မိမိအလိုရွိသလို ျပန္လည္စီရင္ရေသာ အတတ္ပညာျဖစ္ သည္။ ယင္းအတတ္ပညာကုိသံုး၍ မူရင္း data တို႔အား ႀကံဳရာက်ပန္း character မ်ားျဖင့္ ဖံုးအုပ္ျခင္း (obfucation) ျပဳရပါသည္။ Stealth mode သည္ အလြန္ေကာင္းမြန္သည္ဟု ဆုိေသာ္လည္း ယင္းကုိ စမတ္ဖုန္း emulator မ်ားမွတစ္ဆင့္၀င္၍ အသံုးျပဳခြင့္မရေစရန္ လံုၿခံဳေရးအထူးၾကပ္မတ္ထားဖို႔ လိုပါသည္။ မိမိဖုန္းအား အျခားလူမ်ား အလြယ္တကူ၀င္ေရာက္အသံုးျပဳခြင့္မရေစရန္ finger print လံုၿခံဳေရး စနစ္အသံုးျပဳျခင္းမ်ဳိးျဖစ္ပါသည္။

Android ကဲ့သုိ႔ေသာ open source OS မ်ားကုိ အြန္လုိင္းရာဇ၀တ္ ေကာင္မ်ားက ေဖာက္ထြင္းရန္ အလြန္လြယ္ကူသည္။ ထို႔ေၾကာင့္ ကုိယ္ပုိင္ security libraries ထားသင့္သည္။ ယင္းကိစၥအတြက္ နည္းပညာ ကြၽမ္းက်င္သူ၏ အကူအညီလိုပါသည္။ ကုိယ္ပုိင္ security စနစ္ရွိျခင္း အားျဖင့္ standard OS တစ္ခုတြင္ ေတြ႕ရေလ့ရွိေသာ ယုိေပါက္မ်ားအား ျပင္ပလူမ်ားအလြယ္တကူ ရွာေဖြေဖာ္ထုတ္ခြင့္မရေစရန္ ယုိေပါက္ မ်ားအား ျပင္ပလူမ်ားအလြယ္တကူ ရွာေဖြေဖာ္ထုတ္ခြင့္မရေစရန္ အကာအကြယ္ေပးပါသည္။ ဒုတိယအသံုးျပဳ သင့္သည့္ လံုၿခံဳေရးနည္း ပညာတစ္ရပ္မွာ data protection ျဖစ္သည္။ အဘယ္ေၾကာင့္ data protection လိုအပ္ပါသနည္း။ Android ႏွင့္ iOS mobile software Developer Kits (SDK) မ်ားကို အျပည့္အ၀ယံုၾကည္ ကိုးစား၍မရေသာ ေၾကာင့္ျဖစ္ပါသည္။ ယင္း SDK တုိ႔က မိမိ၏ app data မ်ားကုိ ကာကြယ္ ေစာင့္ေရွာက္ ျခင္းမျပဳႏိုင္ပါ။ ထို႔ေၾကာင့္ အထက္တြင္ ေဖာ္ျပခဲ့ေသာ data obfuscation နည္းပညာကုိသံုးထားသည့္ အျခားေသာ secure storage မ်ားကုိ သံုးသင့္ပါသည္။ အသံုးျပဳမႈအတြက္ ေငြေၾကးကုန္က် မႈရွိႏိုင္ပါသည္။ လံုၿခံဳစိတ္ခ်ရေသာ ျပင္ပ storage ေနရာမရႏိုင္ပါက security library တစ္ခုဖန္တီးၿပီး ယင္းထဲတြင္ sensitive data မ်ားထား ရွိသင့္ပါသည္။ Security Library ဆုိ၍ ခဲရာခဲဆစ္ မဟုတ္ပါ။ Storage Space တစ္ခုအား encryption keys သံုး၍ ကာကြယ္ထားျခင္းမ်ဳိးျဖစ္ပါ သည္။

တတိယေျမာက္သံုးသင့္သည့္ လံုၿခံဳေရးနည္းလမ္းမွာ လံုၿခံဳစိတ္ခ်ရေသာ communication channel မ်ားကုိ သံုးျခင္းျဖစ္သည္။ ေငြေရးေၾကးေရး မ်ားမ်ားစားစား အသံုးျပဳရေသာ မိုဘိုင္းဘဏ္စနစ္ျဖစ္လွ်င္ certificate pinning စနစ္ျဖင့္ ဆက္သြယ္ေရးလမ္းေၾကာင္းမ်ားကုိ လံုၿခံဳေရးယူသင့္ပါ သည္။ ယင္းစနစ္သည္ မိမိ၏ data မ်ားအား လႊဲေျပာင္းေပးပု႔ိရန္အတြက္ လံုၿခံဳစိတ္ခ်ရေသာ source တစ္ခုျဖစ္သည့္ server certificate ကုိ အသံုးျပဳျခင္းျဖစ္သည္။ ယင္း certificate ကုိ copy ယူကာ app ႏွင့္ တြဲထားႏိုင္သည္။ ထိုသုိ႔တြဲထားျခင္းျဖင့္ အနာဂတ္ကာလတြင္ ပုိမို လံုၿခံဳေသာ authentication စနစ္ကို အသံုးျပဳႏုိင္ပါမည္။



ဧဧသက္(ၿဖိဳးဓနဒစ္ဂ်စ္တယ္ဓာတ္ပံု)

Mobile Guide Journal (Every Monday)
https://www.facebook.com/officialmobileguidejournal








<<<
ေအာက္ကေၾကာ္ျငာကိုတစ္ခ်က္ေလာက္ႏွိပ္ခဲ့ေပးေစခ်င္ပါတယ္ဗ်ာ။ ကၽြန္ေတာ့္ကိုတစ္ဖက္တစ္လမ္းကကူညီရာေရာက္ပါတယ္ဗ်ာ။
>>>



 
 
 
 
www.pyaephyo.com



0 comments:

Post a Comment