പ്രിവിലേജ് എസ്ക്കലേഷൻ

ഇംഗ്ലീഷ് വിലാസം

https://ml.wikipedia.org/wiki/Privilege_escalation

ഒരു പരമ്പരയുടെ ഭാഗം
ഇൻഫോർമേഷൻ സെക്യൂരിറ്റി
ബന്ധപ്പെട്ട സുരക്ഷാ വിഭാഗങ്ങൾ
കമ്പ്യൂട്ടർ സുരക്ഷ ഓട്ടോമോട്ടീവ് സുരക്ഷ സൈബർ കുറ്റകൃത്യം സൈബർ സെക്സ് ട്രാഫിക്കിംഗ് കമ്പ്യൂട്ടർ ഫ്രോഡ് സൈബർഗെഡോൺ സൈബർ ഭീകരത സൈബർ യുദ്ധം ഇലക്ട്രോണിക് യുദ്ധം ഇൻഫോർമേഷൻ വാർഫെയർ ഇന്റർനെറ്റ് സുരക്ഷ മൊബൈൽ സുരക്ഷ നെറ്റ്വർക്ക് സുരക്ഷ പകർപ്പ് സംരക്ഷണം ഡിജിറ്റൽ റൈറ്റ്സ് മാനേജ്മെന്റ്
ഭീഷണികൾ
ആഡ്വെയർ അഡ്വാൻസ്ഡ് പെർസിസ്റ്റൻസ് ത്രെഡ് ആർബിട്ടറി കോഡ് എക്സിക്യൂഷൻ ബാക്ക്ഡോർ ഹാർഡ്വെയർ ബാക്ക്ഡോറ്സ് കോഡ് ഇന്റജക്ഷൻ ക്രൈംവെയർ ക്രോസ്-സൈറ്റ് സ്ക്രിപ്റ്റിംഗ് ക്രിപ്റ്റോജാക്കിംഗ് മാൽവെയർ ബോട്ട്നെറ്റ് ഡാറ്റ ബ്രീച്ച് ഡ്രൈവ്-ബൈ ഡൗൺലോഡ് ബൗസർ ഹെൽപ്പർ ഒബജ്ക്ട് വൈറസുകൾ ഡാറ്റാ സ്ക്രാപ്പിംഗ് ഡിനയൽ ഓഫ് സർവ്വീസ് ചോർത്തൽ ഇ-മെയിൽ ഫ്രോഡ് ഇ-മെയിൽ സ്കൂപ്പിംഗ് എക്സ്പ്ലോയിറ്റിസ് കീലോഗേഴ്സ് ലോജിക് ബോംബ്സ് ടൈം ബോംബ്സ് ഫോർക്ക് ബോംബ്സ് സിപ് ബോംബ്സ് ഫ്രോഡുലന്റ് ഡൈലേഴ്സ് മാൽവെയർ പേലോഡ് ഫിഷിങ് പോളിമോർഫിക് എഞ്ചിൻ പ്രിവിലേജ് എസ്കലേഷൻ റാൻസംവെയർ റൂട്ട്കിറ്റ്സ് ബൂട്ട്കിറ്റുകൾ സ്കേയർവെയർ ഷെൽകോഡ് സ്പാമിംഗ് സോഷ്യൽ എഞ്ചനീയറിംഗ് സ്ക്രീൻ സ്ക്രാപ്പിംഗ് സ്പൈവെയർ സോഫ്റ്റ്വെയർ ബഗ്സ് ട്രോജൻ ഹോഴ്സ് ഹാർഡ്വെയർ ട്രോജൻസ് റിമോർട്ട് അസ്സസ് ട്രോജൻസ് വൾനറബിലിറ്റി വെബ് ഷെൽസ് വൈപ്പർ വോംസ് എക്സ്ക്യുഎൽ ഇഞ്ചക്ഷൻ റോഗ് സെക്യുരിറ്റി സോഫ്റ്റ്വെയർ സോംബി
പ്രതിരോധങ്ങൾ
ആപ്ലിക്കേഷൻ സെക്യുരിറ്റി സെക്യുർ കോഡിംഗ് സെക്യുർ ബൈ ഡിഫോൾട്ട് സെക്യുർ ബൈ ഡിസൈൻ മിസ്യൂസ് കേസ് കമ്പ്യൂട്ടർ ആക്സസ് കൺട്രോൾ ഓതന്റിക്കേഷൻ മൾട്ടി-ഫാക്ടർ ഓതന്റിക്കേഷൻ ഓതറൈസേഷൻ കമ്പ്യൂട്ടർ സുരക്ഷാ സോഫ്റ്റ്വെയർ ആന്റിവൈറസ് സോഫ്റ്റ്വെയർ സുരക്ഷാ കേന്ദ്രീകൃത ഓപ്പറേറ്റിംഗ് സിസ്റ്റം ഡാറ്റ കേന്ദ്രീകൃത സുരക്ഷ ഓഫുസ്ക്കേഷൻ (സോഫ്റ്റ്വെയർ) ഡാറ്റ മാസ്കിംഗ് എൻക്രിപ്ഷൻ ഫയർവാൾ നുഴഞ്ഞുകയറ്റം കണ്ടെത്തുന്നതിനുള്ള സംവിധാനം ഹോസ്റ്റ്-ബേസ്ഡ് ഇൻട്രൂഷൻ ഡിറ്റക്ഷൻ സിസ്റ്റം (HIDS) അനോമലി ഡിറ്റക്ഷൻ സെക്യുരിറ്റി ഇൻഫോർമേഷൻ ആൻഡ് ഇവന്റ് മാനേജ്മെന്റ് (SIEM) മൊബൈൽ സെക്യുർ ഗേറ്റ്‌വേ റൺടൈം ആപ്ലിക്കേഷൻ സെൽഫ്-പ്രോട്ടക്ഷൻ
ക സ തി

ഒരു ആപ്ലിക്കേഷനിൽ നിന്നോ ഉപയോക്താവിൽ നിന്നോ സാധാരണയായി പരിരക്ഷിക്കപ്പെടുന്ന ഉറവിടങ്ങളിലേക്ക് പ്രവേശനം നേടുന്നതിന് വേണ്ടി ഒരു ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിലോ സോഫ്റ്റ്‌വെയർ ആപ്ലിക്കേഷനിലോ ഉള്ള ഒരു ബഗ്, ഡിസൈൻ പിഴവ് അല്ലെങ്കിൽ കോൺഫിഗറേഷൻ ഓവർസൈറ്റ് എന്നിവ ചൂഷണം ചെയ്യുന്ന പ്രവർത്തനമാണ് പ്രിവിലേജ് എസ്ക്കലേഷൻ. ആപ്ലിക്കേഷൻ ഡെവലപ്പർ അല്ലെങ്കിൽ സിസ്റ്റം അഡ്മിനിസ്ട്രേറ്റർ ഉദ്ദേശിച്ചതിലും കൂടുതൽ പ്രത്യേകാവകാശങ്ങൾ നേടിയെടുത്ത ഒരു ആപ്ലിക്കേഷന് അനധികൃത പ്രവർത്തനങ്ങൾ നടത്താൻ കഴിയും.^[1]

പശ്ചാത്തലം[തിരുത്തുക]

മിക്ക കമ്പ്യൂട്ടർ സിസ്റ്റങ്ങളും ഒന്നിലധികം ഉപയോക്തൃ അക്കൗണ്ടുകൾ ഉപയോഗിക്കുന്നതിന് വേണ്ടി രൂപകൽപ്പന ചെയ്തിട്ടുള്ളതാണ്, അവയിൽ ഓരോന്നിനും പ്രത്യേകാവകാശങ്ങൾ ഉണ്ട്. ഫയലുകൾ കാണുന്നതും എഡിറ്റ് ചെയ്യുന്നതും അല്ലെങ്കിൽ സിസ്റ്റം ഫയലുകൾ പരിഷ്ക്കരിക്കുന്നതും പൊതുവായ പ്രത്യേകാവകാശങ്ങളിൽ ഉൾപ്പെടുന്നു.^[2]

പ്രിവിലേജ് എസ്ക്കലേഷൻ അർത്ഥമാക്കുന്നത് ഉപയോക്താക്കൾക്ക് അവർക്ക് അർഹതയില്ലാത്ത പ്രത്യേകാവകാശങ്ങൾ ലഭിക്കുന്നു എന്നാണ്. ഫയലുകൾ ഇല്ലാതാക്കാനോ സ്വകാര്യ വിവരങ്ങൾ കാണാനോ വൈറസുകൾ പോലുള്ള അനാവശ്യ പ്രോഗ്രാമുകൾ ഇൻസ്റ്റാൾ ചെയ്യാനോ ഈ പ്രത്യേകാവകാശങ്ങൾ ഉപയോഗിക്കാം. ഒരു സിസ്റ്റത്തിന് സുരക്ഷയെ മറികടക്കാൻ അനുവദിക്കുന്ന ഒരു ബഗ് ഉള്ളപ്പോഴോ അല്ലെങ്കിൽ, അത് എങ്ങനെ ഉപയോഗിക്കുമെന്നതിനെക്കുറിച്ചുള്ള തെറ്റായ ഡിസൈൻ അനുമാനങ്ങൾ ഉള്ളപ്പോഴോ ഇത് സാധാരണയായി സംഭവിക്കുന്നു. പ്രിവിലേജ് എസ്ക്കലേഷൻ രണ്ട് തരത്തിലാണ് സംഭവിക്കുന്നത്:

• വെർട്ടിക്കൽ പ്രിവിലേജ് എസ്ക്കലേഷൻ, ഉയർന്ന പ്രത്യേകാവകാശങ്ങളുള്ള ഉപയോക്താക്കൾക്കോ ആപ്ലിക്കേഷനുകൾക്കോ വേണ്ടി റിസർവ് ചെയ്‌തിരിക്കുന്ന ഫംഗ്‌ഷനുകളിലേക്കോ വിവരങ്ങളിലേക്കോ ഒരു ഉപയോക്താവോ അപ്ലിക്കേഷനോ അനധികൃത ആക്‌സസ് നേടുമ്പോൾ സംഭവിക്കുന്നു. ഉദാഹരണത്തിന്, ഇന്റർനെറ്റ് ബാങ്കിംഗ് ഉപയോഗിക്കുന്ന ഒരാൾ തങ്ങൾക്ക് ഇല്ലാത്ത അഡ്മിനിസ്‌ട്രേറ്റീവ് ഫീച്ചറുകൾ ആക്‌സസ് ചെയ്യാനുള്ള ഒരു വൾനറബിലിറ്റി ചൂഷണം ചെയ്‌തേക്കാം, അല്ലെങ്കിൽ ഉപകരണത്തിന്റെ ഉയർന്ന തലത്തിലുള്ള പ്രവർത്തനങ്ങളുടെ നിയന്ത്രണം നേടുന്നതിന് ഒരു സ്‌മാർട്ട്‌ഫോണിന്റെ പാസ്‌വേഡ് മറികടക്കാൻ ഒരു ഹാക്കർ ഒരു വഴി കണ്ടെത്തിയേക്കാം. തന്ത്രപ്രധാനമായ ഡാറ്റയിൽ അനധികൃതമായി പ്രവേശനം നേടൽ, ദുരുപയോഗം എന്നിവയ്‌ക്ക് കാരണമായേക്കാവുന്ന ഒരു സുരക്ഷാ പ്രശ്‌നമാണിത്.
• ഹൊറിസൊണ്ടൽ പ്രിവിലേജ് എസ്ക്കലേഷൻ, ഒരു സാധാരണ ഉപയോക്താവ് മറ്റ് സാധാരണ ഉപയോക്താക്കൾക്കായി റിസർവ് ചെയ്‌തിരിക്കുന്ന പ്രവർത്തനങ്ങളോ ഉള്ളടക്കമോ ആക്‌സസ് ചെയ്യുന്നിടത്ത് (ഉദാ. ഇന്റർനെറ്റ് ബാങ്കിംഗ് ഉപയോക്താവ് എ ഉപയോക്താവ് ബിയുടെ ഇന്റർനെറ്റ് ബാങ്ക് അക്കൗണ്ട് ആക്‌സസ് ചെയ്യുന്നു)^[3]

വെർട്ടിക്കൽ[തിരുത്തുക]

ഒരു അഡ്‌മിനിസ്‌ട്രേറ്റർ അല്ലെങ്കിൽ സിസ്റ്റം ഡെവലപ്പർ ഉദ്ദേശിച്ചതിനേക്കാൾ ഉയർന്ന തലത്തിലുള്ള ആക്‌സസ് ലഭിക്കുമ്പോൾ, ഒരുപക്ഷേ കേർണൽ-ലെവൽ ഓപ്പറേഷനുകൾ നടത്തുന്നതിലൂടെ, ഉപയോക്താവിനോ പ്രോസസ്സിനോ ഈ തരത്തിലുള്ള പ്രവിലേജ് എസ്ക്കലേഷൻ സംഭവിക്കുന്നു.

ഉദാഹരണങ്ങൾ[തിരുത്തുക]

ശക്തമായ ഒരു കമ്പ്യൂട്ടർ പ്രോഗ്രാം അത് ലഭിക്കുന്ന വിവരങ്ങൾ രണ്ടുതവണ പരിശോധിക്കുകയും എല്ലാം ശരിയാണെന്ന് അനുമാനിക്കുകയും ചെയ്യുന്നില്ലെങ്കിൽ, പ്രോഗ്രാമിന്റെ നിയന്ത്രണം ഏറ്റെടുത്ത്, പ്രോഗ്രാമിനെ അത് ചെയ്യാൻ പാടില്ലാത്ത കാര്യങ്ങൾ ചെയ്യാൻ ഒരു ഹാക്കർ ഈ പഴുതുകൾ ഉപയോഗിച്ചേക്കാം. ഒരു കംപ്യൂട്ടർ പ്രോഗ്രാം ചോദ്യം ചെയ്യാതെ വിവരങ്ങൾ സ്വീകരിക്കുന്നുവെങ്കിൽ, അത് കുഴപ്പക്കാരന് നുഴഞ്ഞുകയറാനും പ്രോഗ്രാമിനെ അത് ചെയ്യാൻ പാടില്ലാത്ത കാര്യങ്ങൾ ചെയ്‌ത് നാശമുണ്ടാക്കാനും വേണ്ടി വാതിൽ തുറന്നിടുന്നു. ജാഗ്രതയില്ലാതെ എല്ലാവരേയും വിശ്വസിക്കുന്നത് പോലെയാണ് ഇത്. ആപ്ലിക്കേഷന്റെ പ്രത്യേകാവകാശങ്ങൾക്കൊപ്പം അനധികൃത കോഡ് പ്രവർത്തിപ്പിക്കുന്നതിന് വേണ്ട കാര്യങ്ങൾ ചുവടെ ചേർക്കുന്നു:

• ചില വിൻഡോസ് സേവനങ്ങൾ ലോക്കൽ സിസ്റ്റം ഉപയോക്തൃ അക്കൗണ്ടിന് കീഴിൽ പ്രവർത്തിക്കത്തക്ക രീതിയിൽ ക്രമീകരിച്ചിരിക്കുന്നു. ഒരു ബഫർ ഓവർഫ്ലോ പോലുള്ള വൾനറബിലിറ്റികൾ ലോക്കൽ സിസ്റ്റത്തിലേക്ക് പ്രത്യേകാവകാശത്തോടെ അനിയന്ത്രിതമായ കോഡ് എക്സിക്യൂട്ട് ചെയ്യാൻ ഉപയോഗിച്ചേക്കാം. ഒരു സാധാരണ ഉപയോക്താവായി നടിക്കുന്ന ഒരു സിസ്റ്റം സർവ്വീസിനെ സങ്കൽപ്പിക്കുക, കാര്യങ്ങൾ കുഴപ്പത്തിലായാൽ, അത് അവർക്ക് ആവശ്യമുള്ളതിനേക്കാൾ കൂടുതൽ നിയന്ത്രണവും ആക്‌സസ്സും നേടാനുള്ള ഒരു രഹസ്യ മാർഗം നൽകുന്നതുപോലെയാണ്. സിസ്റ്റം ഈ പിശകുകൾ ശരിയായി കൈകാര്യം ചെയ്യുന്നില്ലെങ്കിൽ ഇത് ഒരു സുരക്ഷാ പ്രശ്നമാണ്.

അവലംബം[തിരുത്തുക]

1. ↑ "What is Privilege Escalation?". Retrieved 21 September 2023.
2. ↑ "Purpose of privilege escalation". Retrieved 21 September 2023.
3. ↑ "What Are The Types Of Privilege Escalation Attacks?". Retrieved 22 September 2023.