1-амалий иш. Киберхавфсизлик тушунчаси, унинг ташкил етувчиларининг характеристикалари. Ахборотли жамиятда хавфсизлик. Хавфсизлик тушунчаси
Download 3.93 Mb.
|
KHKE metodichka uzb (final eski) 2 (2)
6-АМАЛИЙ ИШ.
ДАСТУРИЙ ТА`МИНОТ ХАВФСИЗЛИГИНИ ТЕСТЛАСҲ УСУЛЛАРИНИ ТАҲЛИЛИ. Ишдан мақсад: Дастурий та`минотларнинг хавфсизликларини баҳолаш, тестлаш ва мантиқий – аналитик усулларини ко`риб чиқиш ва назарий таҳлил қилишдан иборатдир. Компютер хавфсизлигининг асосий заифликлари. Агар компютерингиз ҳимояланмаган тармоққа уланган бўлса, маълум протоколларсиз дастурий таъминот хавфсизлиги бузилган бўлиши мумкин. Янгиланишларни унутиш, маҳсулотнинг заифлиги ва ишлаб чиқувчининг ҳал етилмаган муаммолари мижозларни компютер хавфсизлиги заифликларига очиқ қолдиради. Бу ерда мижозлар маҳсулотларининг яхлитлиги, мавжудлиги ва махфийлигини бузадиган бир неча турдаги заифликлар рўйхати келтирилган . Мижозларнинг компютер дастурий таъминотидаги жиддий хатолар бутун тармоқдаги маълумотларни бир қатор зарарли таҳдидларга қарши ҳимоясиз қолдириши мумкин, жумладан: Зарарли дастур Фишинг Прокси-серверлар Спйwаре Реклама дастури Ботнетлар Спам Киберҳужумчилар, хакерлар ва зарарли дастурлар фойдаланувчиларнинг дастурий таъминотини егаллаб олиши, уни ўчириб қўйиши ва маълумотларни ўғирлаши мумкин. Фойланувчилар шахсий маълумотлари ва дастурий таъминот хавфсизлигини таъминлаш учун дастурий таъминотни тармоқда жўнатишдан олдин дастурий таъминот хавфсизлиги заифликларини аниқлаш ва олдини олиш муҳимдир. Буни амалга ошириш учун, аввало, ҳар хил турдаги хавфсизлик заифликлари ва улардан қочиш йўлларидан хабардор бўлиш керак. Дастурий таъминот хавфсизлиги заифликларининг умумий турларини кўрсатишга қаратилган ва у шунингдек, ушбу заифликларнинг олдини олиш бўйича маслаҳатларни ўз ичига олади. Дастуруий таъминот хавсизлигига таъсир етувчи салбий оқибатлар қуйидагилардан иборат: Дастурий коддаги хатолар; Махфий маълумотларга таъсир қилиш: Инексиядаги камчиликлар: Буфер тўлиб кетиши: Хавфсизлик параметрларининг нотўғри конфигурацияси: Бузилган кириш назорати; Хавфсиз десериализация (маълумотлар структурасини байтлар кетма -кетлигига ўтказиш) жараёни; Бузилган аутентификация 1. Хатолар. Дастурий таъминотдаги хатолар дастурий таъминот кодидаги хато ёки носозлик бўлиб, улар жуда кенг тарқалган. Баъзи хатолар маълумотларни ўғирлаш каби жиддий муаммоларга олиб келади ва баъзилари тизимнинг ишламай қолишига олиб келади. Хатолар, умуман олганда, дастурий таъминотнинг кутилмаган тарзда ишлашига олиб келади. Деярли барча дастурларда кичик (ёки катта) хатолар мавжуд. Ҳаcкерлар баъзи дастурий таъминот хатоларидан осонгина фойдаланиши ва хавфсизлик заифликларини тузатмасангиз, катта зарар етказиши мумкин. Одатда хатосиз дастурий таъминотни яратишнинг иложи бўлмаса-да, ҳар қандай жиддий хатоларни, айниқса хавфсизликка хавф туғдирадиган хатоларни топиш ва тузатиш муҳимдир. 2. Нозик маълумотларга таъсир қилиш. Махфий маʼлумотларга ҳисоб рақамлари, манзиллар, молиявий маʼлумотлар, согʻлиқ ҳақидаги маʼлумотлар, фойдаланувчи номлари ва пароллар киради. Ушбу маълумотларнинг барчаси нотўғри қўлларга тушмаслиги учун ҳимояланган бўлиши керак. Шахсий ёки махфий маълумотлар рухсациз одамларга киришининг олдини олиш учун шифрлаш ва киришни бошқариш воситалари билан ҳимояланган бўлиши керак. Агар дастурий таъминот ушбу шахсий маълумотларни хавфсизлик заифлиги туфайли ҳимоя қила олмаса, ушбу маълумотларга кириш ҳуқуқига ега бўлган хакерлар фирибгарлик ва бошқа жиноятларни содир етиш учун фойдаланиши мумкин. 3. Инексиядаги камчиликлар. Инексия (Инжеcтион) камчиликлари киберҳужумчиларнинг иловага зарарли кодни киритишига олиб келади. Дастурий таъминот хавфсизлигининг бундай заифлиги ишончсиз маълумотлар сўров ёки буйруқ билан бирга трансляторга юборилганда юзага келади ва бу ўз навбатида мақсадли тизимни кутилмаган буйруқларни бажаришга мажбур қилади. Бундай ҳужум, шунингдек, хакерларнинг маълумотлар базасида сақланган ҳимояланган маълумотларга тегишли рухсациз киришига олиб келиши мумкин. 4. Буфернинг тўлиб кетиши. Дастурий таъминот хавфсизлиги заифлигининг яна бир кенг тарқалган тури, ажратилган хотира майдони учун жуда катта бўлган маълумотларни сақлашга уринилганда буфер тўлиб кетиши содир бўлади. Бузғунчилар тизимни назорат қилиш ёки тизимга кириш учун дастурнинг сақлаш ҳажми ўрнига ёзилган дастур кодлаш хатосидан фойдаланиши мумкин. Ушбу заифлик одатда C ва C++ тилларида ёзилган дастурларда кўпроқ учрайди . Кўпгина дастурлаш тилларида буфер тўлиб кетишидан автоматик ҳимоя мавжуд. 5. Хавфсизликнинг нотўғри конфигурацияси. Дастурий таъминотни ишлаб чиқишдаги енг кенг тарқалган муаммолардан бири, хавфсизлик нотўғри конфигурацияси, тўлиқ бўлмаган конфигурациялар ва хавфсиз бўлмаган стандарт конфигурациялар натижасидир. Масалан, очиқ булутли хотира ёки нотўғри созланган ҲТТП сарлавҳалари хавфсизликнинг нотўғри конфигурациясига яққол мисол бўла олади. Бундай дастурий таъминот хавфсизлиги заифлигининг олдини олиш учун операцион тизим (ОС) ва иловаларни тўғри созланганига ишонч ҳосил қилиш керак. 6. Бузилган кириш назорати. Бузилган кириш назорати фойдаланувчи чекловлари дастурий таъминотнинг жиддий камчиликларига олиб келиши мумкин. Мисол учун, агар веб-сайт учун администратор панели бўлса, ушбу ҳудудни чеклаш лозим, шунинг учун унга фақат администратор фойдаланувчилар кира олиши зарур. Агар бундай чекловлар тўғри бажарилмаса, хакерлар ва бошқа рухсациз одамлар ушбу заифликдан осонгина фойдаланишлари ва махфий маълумотларга киришлари ёки тизимингизни назорат қилишлари мумкин. 7. Ишончсиз десериализация. Ишончсиз десериализация (маълумотлар структурасини байтлар кетма -кетлигига ўтказиш) - бу хакерлар томонидан инъекция ҳужумлари ва ДДоС ҳужумларини амалга ошириш учун фойдаланиладиган хавфсизлик заифлиги. Ушбу турдаги заифликда ишончсиз маълумотлар ҳужумларни амалга ошириш учун ишлатилади. 8. Бузилган аутентификация. Сессияни бошқариш ва ҳисобга олиш маълумотларини бошқаришдаги заифликлар аутентификация бузилишига олиб келади, яъни тажовузкор фойдаланувчи ҳисобига кириш учун пароллар ёки бошқа маълумотларни бузиши мумкин. Нотўғри амалга оширилган аутентификация ва сеансни бошқариш дастурий таъминотнинг бундай заифлигига олиб келиши мумкин. Дастурий таъминот хавфсизлиги заифлиги натижасида юзага келиши мумкин бўлган жуда кўп салбий таъсирлар мавжуд. Аммо дастурий таъминотни ишлаб чиқишда барча зарур хавфсизлик чоралари кўрилса, бу муаммоларни олдини олиш мумкин. Дастурий таъминот ишлаб чиқувчилари ўзларининг дастурий таъминотидаги заиф томонларни автоматик равишда аниқлаш учун турли усуллардан фойдаланишлари муҳимдир. Қуйида дастурий таъминот хавфсизлиги заифликларини олдини олишнинг яхши усуллари келтирилган : 1. Дастурий таъминотни синаб кўриш. Дастурий таъминотингизни тез-тез синаб кўриш яхши амалиётдир, чунки бу заифликларни тезда топишга ва улардан халос бўлишга ёрдам беради. Дастурий таъминотни код таҳлили воситалари, оқ қути тести, қора қути тести ва бошқа усуллардан фойдаланган ҳолда синаб кўриш мумкин. 2. Дастурий таъминотни мунтазам янгилаб туриш. Дастурий таъминотни мунтазам янгилаб туриш муҳим, чунки ескирган дастурий таъминот заифликларга мойил. Дастурий таъминот янгиланган компонентлар ва боғлиқликлардан фойдаланишига ишонч ҳосил қилиш орқали хавфсизлик муаммолари ва дастурий заифликларнинг олдини олиш мумкин. 3. Дастурий таъминотни лойиҳалаш талабларини ўрнатиш. Ҳар бир дастурий таъминотни ишлаб чиқишда риоя қилиниши керак бўлган бир қатор принципларни аниқлаш. Ушбу тамойиллар ишлаб чиқувчиларга хавфсизликнинг енг яхши амалиётларига риоя қилинишини таъминлаш учун ўз кодларини қандай ёзиш, текшириш ва намойиш етишни кўрсатади. CWЕ, ОWАСП ва CЕРТ каби ташкилотларнинг соʻнгги маʼлумотларига риоя қилиш ҳам заифликларни аниқлаш ва олдини олишга ёрдам беради. 4. Кодни имзолаш сертификатидан фойдаланиш. Кодни имзолаш сертификати ёрдамида кодни рақамли имзолаш кодни рухсациз ўзгартиришдан ҳимоя қилади, бу еса учинчи томонларнинг кодни бузишига имкон бермайди. Кодни имзолаш сертификати файллар хавфсизлигини таъминлайди ва хакерларнинг кодга хавфсизлик заифликларини қўшишининг олдини олади. Дастурий таъминот хавфсизлиги заифликларининг таъсири. Хакерлар тизимга ҳужум қилиш ва зарар етказиш учун дастурий таъминотдаги хавфсизлик заифликларидан фойдаланадилар. Дастурий таъминотдаги нуқсонлар бу ҳужумларни муваффақиятли амалга оширишга имкон беради. Дастурий таъминот хавфсизлиги заифлиги нафақат хакерларнинг тизимга ҳужумига олиб келади, балки молиявий йўқотишларга ҳам олиб келиши мумкин. Хакерлар кўпинча ўзлари ҳужум қилган компанияларнинг обрўсига путур етказадилар . Ҳужумчилар хавфсизликнинг заиф томонларидан пул оʻгʻирлаш учун шахснинг шахсий маʼлумотларини, шу жумладан банк ҳисобларини оʻгʻирлаш ва уларга кириш учун фойдаланадилар. Дастур хавфсизлигини таҳлил қилиш соҳасида амалиёт назариядан анча олдинда. РПC елементларини аниқлаш учун турли хил дастурий воситалар кенг тарқалган: оддий антивирус браузерларидан мураккаб носозликларни тузатувчи ва дисассемблерсгача, хавфсизликни таҳлил қилиш усуллари соҳасида назарий тадқиқотлар бироз мавҳум. Қуйида дастурий таъминот хавфсизлигини таҳлил қилиш соҳасидаги муайян воситалар ва назарий ривожланиш усуллари ўртасидаги муносабатларни ўрнатишга уринади. Download 3.93 Mb. Do'stlaringiz bilan baham: |
Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling
ma'muriyatiga murojaat qiling