20-маъруза. Дастурий воситалардаги хавфсизлик муаммолари
Download 64.01 Kb.
|
20-ma\'ruza
|
20-маъруза. Дастурий воситалардаги хавфсизлик муаммолари Ҳозирда дастурий воситалар хавфсизлиги ахборот хавфсизлигининг криптография, фойдаланишни назоратлаш ва хавфсизлик протоколлари каби муҳим соҳалардан ҳисобланади. Бунга сабаби - ахборотнинг виртуаль хавфсизлиги дастурий воситалар орқали амалга оширилиши. Дастурий восита таҳдидга учраган тақдирда хавфсизлик механизми ҳам ишдан чиқади. Барча дастурий воситаларда заифликлар мавжуд, уларнинг муҳимлик даражалари турлича. Масалан, нархи 165 млн. $ ни ташкил этган NASA Mars Lander Марс сайёраси юзасига қўниш вақтида ҳалокатга учраган. Бунга сабаб, оддий инглиз ва халқаро метр узунлик ўлчовлари орасидаги фарқ бўлган. Бундан ташқари, Денвер халқаро аэропортидаги юкларни бошқариш тизимида фойдаланилган дастурий воситадаги камчилик натижасида 11 ой давомида кунига 1 млн. $ дан зарар кўрилган. Сўнгги йилларда ушбу заифлик муаммоларининг сони ва жиддийлик даражаси ортиб бормоқда. Хусусан, 7.1-расмда Positive Technologies ташкилоти томонидан веб-сайтлардаги турли даражадаги заифликларни йиллар бўйича ортиб бориши келтирилган. 7.1 – расм. Турли даражадаги заифликларга эга Веб-сайтлар сони 2019 йилда аниқланган веб-сайтлардаги муаммоларнинг жиддийлиги бўйича тақсимоти 7.2-расмда келтирилган. 7.2-расм. Веб-сайт муаммоларининг жиддийлиги бўйича тақсимоти 2019 йилда веб-сайтларда кенг тарқалган заифликлар ва уларнинг улуши OWASP (Open Web Application Security Project) томонидан берилган маълумотга кўра қуйидагича бўлган (7.3-расм). 7.3-расм. OWASP ташкилоти томонидан 2019 йилда учраган заифликлар ва уларнинг улуши Юқорида келтирилган заифликлар натижасида турли маълумотларни ҳужумчилар томонидан қўлга киритиш мақсад қилинган (7.4-расм). 7.4-расм. Заифликлар натижасида қўлга киритиш мақсад қилинган маълумотлар Дастурий воситалардаги мавжуд таҳдидлар, одатда, дастурлаш тиллари имкониятлари билан белгиланади. Масалан, нисбатан қуйи дастурлаш тиллари дастурчидан юқори малакани талаб этгани боис, уларда кўплаб хавфсизлик муаммолари пайдо бўлади. C# ва Java дастурлаш тилларида кўплаб муаммолар автоматик тарзда компиляция жараёнида аниқланганлиги сабабли, С ёки С++ дастурлаш тилларига нисбатан, хавфсиз ҳисобланади. Одатда зарарли дастурий воситалар икки турга бўлинади: дастурлардаги заифликлар (атайин яратилмаган); зараркунанда дастурлар (атайин яратилган). Биринчи турга, дастурчи томонидан йўл қўйилган хатолик натижасидаги дастурлардаги муаммолар мисол бўлса, иккинчи турга бузғунчилик мақсадида ёзилган махсус дастурий маҳсулотлар (масалан, вируслар) мисол бўлади. Дастурий воситаларда хавфсизлик муаммоларининг мавжудлиги қуйидаги омиллар орқали белгиланади: дастурий воситаларнинг кўплаб дастурчилар томонидан ёзилиши (комплекслилик); дастурий маҳсулотлар яратилишида инсон иштироки; дастурчининг малакаси юқори эмаслиги; дастурлаш тилларининг хавфсиз эмаслиги. Дастурий воситаларнинг бир неча миллион қатор кодлардан иборат бўлиши хавфсизлик муаммосини ортишига сабабчи бўлади (7.1-жадвал). Бошқача айтганда, катта ҳажмли дастурий воситалар кўплаб дастурчилар томонидан ёзилади ва якунида бириктирилади. Дастурчилар орасидан биттасининг билим даражаси етарли бўлмаслиги, бутун дастурий воситанинг хавфсизлигини йўққа чиқариши мумкин. 7.1 - жадвал
Download 64.01 Kb. Do'stlaringiz bilan baham: 
|