Vazirligi denov tadbirkorlik va pedagogika instituti mamajanov r. Y., Rajabov t. J., Saidaxmedov e. I kiberxavfsizlik asoslari


 BOB. DASTURIY VOSITALAR XAVFSIZLIGI


Download 7.29 Mb.
Pdf ko'rish
bet80/93
Sana06.11.2023
Hajmi7.29 Mb.
#1752120
1   ...   76   77   78   79   80   81   82   83   ...   93
Bog'liq
anteplaget

7 BOB. DASTURIY VOSITALAR XAVFSIZLIGI
7.1. Dasturiy vositalardagi xavfsizlik muammolari
Hozirda dasturiy vositalar xavfsizligi axborot xavfsizligining kriptografiya,
foydalanishni nazoratlash va xavfsizlik protokollari kabi muhim sohalardan
hisoblanadi. Bunga sabab - axborotning virtual xavfsizligi dasturiy vositalar orqali
amalga oshirilishi. Dasturiy vosita tahdidga uchragan taqdirda xavfsizlik
mexanizmi ham ishdan chiqadi.
So‘nggi yillarda ushbu zaiflik muammolarining soni va jiddiylik darajasi
ortib bormoqda. Xususan, 7.1-rasmda Positive Technologies tashkiloti tomonidan
veb-saytlardagi turli darajadagi zaifliklarni yillar bo‘yicha ortib borishi keltirilgan.
2019 yilda aniqlangan web-saytlardagi muammolarning jiddiyligi bo‘yicha
taqsimoti 7.2-rasmda keltirilgan.
2019 yilda veb-saytlarda keng tarqalgan zaifliklar va ularning ulushi,
OWASP (Open Web Application Security Project) tomonidan berilgan ma’lumotga
ko‘ra, quyidagicha bo‘lgan (7.3-rasm).


Yuqorida keltirilgan zaifliklar natijasida turli ma’lumotlarni hujumchilar
tomonidan qo‘lga kiritish maqsad qilingan (7.4-rasm).
Dasturiy vositalardagi mavjud tahdidlar, odatda, dasturlash tillari
imkoniyatlari bilan belgilanadi. Masalan, nisbatan quyi dasturlash tillari
dasturchidan yuqori malakani talab etgani bois, ularda ko‘plab xavfsizlik
muammolari paydo bo‘ladi. C# va Java dasturlash tillarida ko‘plab muammolar
avtomatik tarzda kompilyasiya jarayonida aniqlanganligi sababli, C yoki C++
dasturlash tillariga nisbatan, xavfsiz hisoblanadi.
Odatda zararli dasturiy vositalar ikki turga bo‘linadi:
– dasturlardagi zaifliklar (atayin yaratilmagan);
– zararkunanda dasturlar (atayin yaratilgan).


Birinchi turga, dasturchi tomonidan yo‘l qo‘yilgan xatolik natijasidagi
dasturlardagi muammolar misol bo‘lsa, ikkinchi turga buzg‘unchilik maqsadida
yozilgan maxsus dasturiy mahsulotlar (masalan, viruslar) misol bo‘la oladi.
Dasturiy vositalarda xavfsizlik muammolarining mavjudligi quyidagi
omillar orqali belgilanadi:
– dasturiy vositalarning ko‘plab dasturchilar tomonidan yozilishi
(komplekslilik);
– dasturiy mahsulotlar yaratilishida inson ishtiroki; – dasturchining malakasi
yuqori emasligi;
– dasturlash tillarining xavfsiz emasligi.
Dasturiy vositalarning bir necha million qator kodlardan iborat bo‘lishi
xavfsizlik muammosini ortishiga sababchi bo‘ladi (7.1-jadval). Boshqacha
aytganda, katta hajmli dasturiy vositalar ko‘plab dasturchilar tomonidan yoziladi
va yakunida biriktiriladi. Dasturchilar orasidan bittasining bilim darajasi yetarli
bo‘lmasligi, butun dasturiy vositaning xavfsizligini yo‘qqa chiqarishi mumkin.
Tahlillar natijasi har 10 000 ta qator kodda 5 ta bag mavjudligini ko‘rsatadi.
Boshqacha aytganda, o‘rtacha 3kbayt .exe faylda 50 tacha bag bo‘ladi.
Dasturiy vositalar injineriyasida dasturning o‘z vazifasini kafolatli
bajarishiga harakat qilinsa, xavfsiz dasturiy vositalar injineriyasida esa o‘z
vazifasini xavfsiz bajarishi talab etiladi. Biroq, amalda butunlay xavfsiz dasturiy
vositaning bo‘lishi mumkin emas.
Dasturiy mahsulotlarda zaiflikka tegishli quyidagi tushunchalar mavjud.


Nuqson. Dasturni amalga oshirishdagi va loyihalashdagi zaifliklarning
barchasi nuqson hisoblanadi va uning dasturiy vositalarda mavjudligi yillar
davomida bilinmasligi mumkin.
Bag. Baglar dasturiy ta’minotni amalga oshirish bosqichiga tegishli
muammo bo‘lib, ularni osongina aniqlash mumkin. Misol sifatida dasturlashdagi
buferning to‘lib-toshishi (Buffer overflow) holatini keltirish mumkin.
Xotiraning to‘lib-toshishi. Amalda ko‘p uchraydigan dasturlash tillaridagi
kamchiliklar, odatda, taqiqlangan formatdagi yoki hajmdagi ma’lumotlarning
kiritilishi natijasida kelib chiqadi. Bu turdagi tahdidlar ichida keng tarqalgani –
xotiraning to‘lib-toshishi tahdidi.
Agar buzg‘unchi tomonidan o‘ziga “kerakli” ma’lumot kiritilsa, bu o‘z
navbatida kompyuterning buzilishiga olib keladi.
Quyida C dasturlash tilida yozilgan kod keltirilgan, agar bu kod
kompilyasiya qilinsa, xotiraning to‘lib-toshishi hodisasi sodir bo‘ladi.
Bu yerda mavjud muammo - 10 bayt o‘lchamli xotiraga 20 baytli ma’lumot
yozilishi. Bu esa xotiraning ruxsat etilmagan manziliga ham murojaatga sabab
bo‘ladi.

Download 7.29 Mb.

Do'stlaringiz bilan baham:
1   ...   76   77   78   79   80   81   82   83   ...   93




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling