Kiberhuquq va kiberetika


Download 3.78 Mb.
bet26/57
Sana08.11.2023
Hajmi3.78 Mb.
#1755424
1   ...   22   23   24   25   26   27   28   29   ...   57
Bog'liq
kkkkhe

6-AMALIY ISH.
DASTURIY TA`MINOT XAVFSIZLIGINI TESTLASH USULLARINI TAHLILI.
Ishdan maqsad: Dasturiy ta`minotlarning xavfsizliklarini baholash, testlash va mantiqiy – analitik usullarini ko`rib chiqish va nazariy tahlil qilishdan iboratdir.
Kompyuter xavfsizligining asosiy zaifliklari. Agar kompyuteringiz himoyalanmagan tarmoqqa ulangan bo'lsa, ma'lum protokollarsiz dasturiy ta'minot xavfsizligi buzilgan bo'lishi mumkin. Yangilanishlarni unutish, mahsulotning zaifligi va ishlab chiquvchining hal etilmagan muammolari mijozlarni kompyuter xavfsizligi zaifliklariga ochiq qoldiradi. Bu yerda mijozlar mahsulotlarining yaxlitligi, mavjudligi va maxfiyligini buzadigan bir necha turdagi zaifliklar ro‘yxati keltirilgan .
Mijozlarning kompyuter dasturiy ta'minotidagi jiddiy xatolar butun tarmoqdagi ma'lumotlarni bir qator zararli tahdidlarga qarshi himoyasiz qoldirishi mumkin, jumladan:

    • Zararli dastur

    • Fishing

    • Proksi-serverlar

    • Spyware

    • Reklama dasturi

    • Botnetlar

    • Spam

Kiberhujumchilar, xakerlar va zararli dasturlar foydalanuvchilarning dasturiy ta'minotini egallab olishi, uni o'chirib qo'yishi va ma'lumotlarni o'g'irlashi mumkin. Foylanuvchilar shaxsiy ma’lumotlari va dasturiy ta’minot xavfsizligini ta’minlash uchun dasturiy ta'minotni tarmoqda jo'natishdan oldin dasturiy ta'minot xavfsizligi zaifliklarini aniqlash va oldini olish muhimdir. Buni amalga oshirish uchun, avvalo, har xil turdagi xavfsizlik zaifliklari va ulardan qochish yo'llaridan xabardor bo'lish kerak. Dasturiy ta'minot xavfsizligi zaifliklarining umumiy turlarini ko'rsatishga qaratilgan va u shuningdek, ushbu zaifliklarning oldini olish bo'yicha maslahatlarni o'z ichiga oladi.
Dasturuiy ta’minot xavsizligiga ta’sir etuvchi salbiy oqibatlar quyidagilardan iborat:

  • Dasturiy koddagi xatolar;

  • Maxfiy ma'lumotlarga ta'sir qilish:

  • Inyeksiyadagi kamchiliklar:

  • Bufer to'lib ketishi:

  • Xavfsizlik parametrlarining noto'g'ri konfiguratsiyasi:

  • Buzilgan kirish nazorati;

  • Xavfsiz deserializatsiya (ma'lumotlar strukturasini baytlar ketma -ketligiga o'tkazish) jarayoni;

  • Buzilgan autentifikatsiya

1. Xatolar. Dasturiy ta'minotdagi xatolar dasturiy ta'minot kodidagi xato yoki nosozlik bo'lib, ular juda keng tarqalgan. Ba'zi xatolar ma'lumotlarni o'g'irlash kabi jiddiy muammolarga olib keladi va ba'zilari tizimning ishlamay qolishiga olib keladi. Xatolar, umuman olganda, dasturiy ta'minotning kutilmagan tarzda ishlashiga olib keladi. Deyarli barcha dasturlarda kichik (yoki katta) xatolar mavjud. Hackerlar ba'zi dasturiy ta'minot xatolaridan osongina foydalanishi va xavfsizlik zaifliklarini tuzatmasangiz, katta zarar yetkazishi mumkin. Odatda xatosiz dasturiy ta'minotni yaratishning iloji bo'lmasa-da, har qanday jiddiy xatolarni, ayniqsa xavfsizlikka xavf tug'diradigan xatolarni topish va tuzatish muhimdir. 2. Nozik ma'lumotlarga ta'sir qilish. Maxfiy maʼlumotlarga hisob raqamlari, manzillar, moliyaviy maʼlumotlar, sogʻliq haqidagi maʼlumotlar, foydalanuvchi nomlari va parollar kiradi. Ushbu ma'lumotlarning barchasi noto'g'ri qo'llarga tushmasligi uchun himoyalangan bo'lishi kerak. Shaxsiy yoki maxfiy ma'lumotlar ruxsatsiz odamlarga kirishining oldini olish uchun shifrlash va kirishni boshqarish vositalari bilan himoyalangan bo'lishi kerak. Agar dasturiy ta'minot ushbu shaxsiy ma'lumotlarni xavfsizlik zaifligi tufayli himoya qila olmasa, ushbu ma'lumotlarga kirish huquqiga ega bo'lgan xakerlar firibgarlik va boshqa jinoyatlarni sodir etish uchun foydalanishi mumkin.
3. Inyeksiyadagi kamchiliklar. Inyeksiya (Injection) kamchiliklari kiberhujumchilarning ilovaga zararli kodni kiritishiga olib keladi. Dasturiy ta'minot xavfsizligining bunday zaifligi ishonchsiz ma'lumotlar so'rov yoki buyruq bilan birga translyatorga yuborilganda yuzaga keladi va bu o'z navbatida maqsadli tizimni kutilmagan buyruqlarni bajarishga majbur qiladi. Bunday hujum, shuningdek, xakerlarning ma'lumotlar bazasida saqlangan himoyalangan ma'lumotlarga tegishli ruxsatsiz kirishiga olib kelishi mumkin.
4. Buferning to'lib ketishi. Dasturiy ta'minot xavfsizligi zaifligining yana bir keng tarqalgan turi, ajratilgan xotira maydoni uchun juda katta bo'lgan ma'lumotlarni saqlashga urinilganda bufer to'lib ketishi sodir bo'ladi. Buzg'unchilar tizimni nazorat qilish yoki tizimga kirish uchun dasturning saqlash hajmi o'rniga yozilgan dastur kodlash xatosidan foydalanishi mumkin. Ushbu zaiflik odatda C va C++ tillarida yozilgan dasturlarda ko'proq uchraydi . Ko'pgina dasturlash tillarida bufer to'lib ketishidan avtomatik himoya mavjud.
5. Xavfsizlikning noto'g'ri konfiguratsiyasi. Dasturiy ta'minotni ishlab chiqishdagi eng keng tarqalgan muammolardan biri, xavfsizlik noto'g'ri konfiguratsiyasi, to'liq bo'lmagan konfiguratsiyalar va xavfsiz bo'lmagan standart konfiguratsiyalar natijasidir. Masalan, ochiq bulutli xotira yoki noto'g'ri sozlangan HTTP sarlavhalari xavfsizlikning noto'g'ri konfiguratsiyasiga yaqqol misol bo’la oladi. Bunday dasturiy ta'minot xavfsizligi zaifligining oldini olish uchun operatsion tizim (OS) va ilovalarni to'g'ri sozlanganiga ishonch hosil qilish kerak.
6. Buzilgan kirish nazorati. Buzilgan kirish nazorati foydalanuvchi cheklovlari dasturiy ta'minotning jiddiy kamchiliklariga olib kelishi mumkin. Misol uchun, agar veb-sayt uchun administrator paneli bo'lsa, ushbu hududni cheklash lozim, shuning uchun unga faqat administrator foydalanuvchilar kira olishi zarur. Agar bunday cheklovlar to'g'ri bajarilmasa, xakerlar va boshqa ruxsatsiz odamlar ushbu zaiflikdan osongina foydalanishlari va maxfiy ma'lumotlarga kirishlari yoki tizimingizni nazorat qilishlari mumkin.
7. Ishonchsiz deserializatsiya. Ishonchsiz deserializatsiya (ma'lumotlar strukturasini baytlar ketma -ketligiga o'tkazish) - bu xakerlar tomonidan in'ektsiya hujumlari va DDoS hujumlarini amalga oshirish uchun foydalaniladigan xavfsizlik zaifligi. Ushbu turdagi zaiflikda ishonchsiz ma'lumotlar hujumlarni amalga oshirish uchun ishlatiladi.
8. Buzilgan autentifikatsiya. Sessiyani boshqarish va hisobga olish ma'lumotlarini boshqarishdagi zaifliklar autentifikatsiya buzilishiga olib keladi, ya'ni tajovuzkor foydalanuvchi hisobiga kirish uchun parollar yoki boshqa ma'lumotlarni buzishi mumkin. Noto'g'ri amalga oshirilgan autentifikatsiya va seansni boshqarish dasturiy ta'minotning bunday zaifligiga olib kelishi mumkin.
Dasturiy ta'minot xavfsizligi zaifligi natijasida yuzaga kelishi mumkin bo'lgan juda ko'p salbiy ta'sirlar mavjud. Ammo dasturiy ta'minotni ishlab chiqishda barcha zarur xavfsizlik choralari ko'rilsa, bu muammolarni oldini olish mumkin. Dasturiy ta'minot ishlab chiquvchilari o'zlarining dasturiy ta'minotidagi zaif tomonlarni avtomatik ravishda aniqlash uchun turli usullardan foydalanishlari muhimdir. Quyida dasturiy ta'minot xavfsizligi zaifliklarini oldini olishning yaxshi usullari keltirilgan :
1. Dasturiy ta'minotni sinab ko'rish. Dasturiy ta'minotingizni tez-tez sinab ko'rish yaxshi amaliyotdir, chunki bu zaifliklarni tezda topishga va ulardan xalos bo'lishga yordam beradi. Dasturiy ta'minotni kod tahlili vositalari, oq quti testi, qora quti testi va boshqa usullardan foydalangan holda sinab ko'rish mumkin.
2. Dasturiy ta'minotni muntazam yangilab turish. Dasturiy ta'minotni muntazam yangilab turish muhim, chunki eskirgan dasturiy ta'minot zaifliklarga moyil. Dasturiy ta'minot yangilangan komponentlar va bog'liqliklardan foydalanishiga ishonch hosil qilish orqali xavfsizlik muammolari va dasturiy zaifliklarning oldini olish mumkin.
3. Dasturiy ta'minotni loyihalash talablarini o'rnatish. Har bir dasturiy ta'minotni ishlab chiqishda rioya qilinishi kerak bo'lgan bir qator printsiplarni aniqlash. Ushbu tamoyillar ishlab chiquvchilarga xavfsizlikning eng yaxshi amaliyotlariga rioya qilinishini ta'minlash uchun o'z kodlarini qanday yozish, tekshirish va namoyish etishni ko'rsatadi. CWE, OWASP va CERT kabi tashkilotlarning soʻnggi maʼlumotlariga rioya qilish ham zaifliklarni aniqlash va oldini olishga yordam beradi. 4. Kodni imzolash sertifikatidan foydalanish. Kodni imzolash sertifikati yordamida kodni raqamli imzolash kodni ruxsatsiz o'zgartirishdan himoya qiladi, bu esa uchinchi tomonlarning kodni buzishiga imkon bermaydi. Kodni imzolash sertifikati fayllar xavfsizligini ta'minlaydi va xakerlarning kodga xavfsizlik zaifliklarini qo'shishining oldini oladi. Dasturiy ta'minot xavfsizligi zaifliklarining ta'siri. Xakerlar tizimga hujum qilish va zarar yetkazish uchun dasturiy ta'minotdagi xavfsizlik zaifliklaridan foydalanadilar. Dasturiy ta'minotdagi nuqsonlar bu hujumlarni muvaffaqiyatli amalga oshirishga imkon beradi.
Dasturiy ta'minot xavfsizligi zaifligi nafaqat xakerlarning tizimga hujumiga olib keladi, balki moliyaviy yo'qotishlarga ham olib kelishi mumkin. Xakerlar ko'pincha o'zlari hujum qilgan kompaniyalarning obro'siga putur yetkazadilar .
Hujumchilar xavfsizlikning zaif tomonlaridan pul oʻgʻirlash uchun shaxsning shaxsiy maʼlumotlarini, shu jumladan bank hisoblarini oʻgʻirlash va ularga kirish uchun foydalanadilar.
Dastur xavfsizligini tahlil qilish sohasida amaliyot nazariyadan ancha oldinda. RPC elementlarini aniqlash uchun turli xil dasturiy vositalar keng tarqalgan: oddiy antivirus brauzerlaridan murakkab nosozliklarni tuzatuvchi va disassemblersgacha, xavfsizlikni tahlil qilish usullari sohasida nazariy tadqiqotlar biroz mavhum. Quyida dasturiy ta'minot xavfsizligini tahlil qilish sohasidagi muayyan vositalar va nazariy rivojlanish usullari o'rtasidagi munosabatlarni o'rnatishga urinadi.

Download 3.78 Mb.

Do'stlaringiz bilan baham:
1   ...   22   23   24   25   26   27   28   29   ...   57




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling