Мобил алоқа тизимларда ахборот хавфсизлиги
Ilovaning joylashgan joyi bo’yicha
Yüklə 2,64 Mb.
|
- Bu səhifədəki naviqasiya:
- Ma’lumotlarni uzatishda ishlatiluvchi texnologiyalarning turi bo’yicha
- 7.2. Mobil ilovalarning namunaviy zaifliklari va ulardan himoyalanish choralari
|
Ilovaning joylashgan joyi bo’yicha:
- SIM-ilovalar - SIM Application Toolkit (STK) standartga muvofiq yozilgan SIM-kartadagi ilovalar; - Web-ilovalar – Web-saytlar uchun maxsus versiyalar; - muayyan operatsion tizim uchun ishlab chiqilgan mobil ilovalar. Muayyan operatsion tizim uchun mobil ilovalar API (application programming interface) tatbiqiy dasturlash interfeysidan foydalanib ishlab chiqiladi. API – smartfonga o’rnatiluvchi ilovalar (biblioteka, servis) taqdim etuvchi tayyor muolajalar, funksiyalar, strukturalar va konstantalar nabori. Ma’lumotlarni uzatishda ishlatiluvchi texnologiyalarning turi bo’yicha: - tarmoq ilovalari - TCP/IP protokoli ustidan aloqaning xususiy aloqa protokolini, masalan HTTP ni ishlatadi; - SIM-ilovalar - SMS (Short Messaging Service) asosidagi ilovalar; - server bilan almashish uchun ilovalar (qisqa matnli xabarlar ko’rinishida); - USSD-ilovalar - USSD (Unstructured Supplementary Service Data) asosidagi ilovalar. Servis SMS ga o’xshash, ammo qator farqlanishga ega, qisqa xabarlarni uzatishga asoslanadi; - IVR-ilovalar – IVR (Interactive Voice Response) texnologiyasiga asoslanuvchi ilovalar. Texnologiya oldindan yozilgan tovushli xabarlarga va tovush naboriga asoslangan. 7.2. Mobil ilovalarning namunaviy zaifliklari va ulardan himoyalanish choralari Kompaniyalar va tashkilotlar mobil texnologiyalardan xodimlar ishining unumdorligini va korporativ tizim samaradorligini oshirish maqsadida foydalanadilar. Ammo, xakerlar suqilib kirishning va mobil ilovalar orqali konfidensial axborotdan foydalanishning yangi usullarini topadilar. Ilovalarni ishlab chiqaruvchilari va foydalanuvchilari, mobil ilovalarni noto’g’ri konfiguratsiyalash natijasidagi, mobil qurilmalar xavfsizligining buzilishini bilib qoladilar. So’z, mobil tizimlarining umumiy xavfsizligining jiddiy kamaytiruvchi ilova himoyasidagi bo’shliqlar to’plami xususida boradi. Bu kodni va xavfsizlik konfiguratsiyasi to’liq tekshirmasdan mobil ilovalarning bozorga chiqarilishi tufayli sodir bo’ladi. Shuning uchun, ishlab chiqaruvchilar va foydalanuvchilar mobil qurilmalarning eng ko’p tarqalgan zaifliklari va ular bilan doimiy kurashishning eng mukammal usullarini bilishlari muhim hisoblanadi. Quyida mobil ilovalar va qurilmalar moyil 10 ta asosiy zaifliklar va ulardan himoyalanish choralari bo’yicha takliflar bayon etilgan. 1. Arxitekturaviy cheklashlarni chetlab o’tish (Improper Platform Usage). Zaifliklarning ushbu kategoriyasi operatsion tizim (platforma) va platforma xavfsizligini boshqarishni nazoratlash tizimida o’rnatilgan cheklashlarni chetlab o’tishning o’ziga xos xususiyatlaridan foydalanadi. Ushbu zaiflik Android va iOS platformalariga va boshqa mobil operatsion tizimlarga xos. Takliflar. Mobil ilovaning server qismida dasturiy kodni qurishning va konfiguratsiyalashning xavfsiz usullaridan foydalanish lozim. Xususan, API-interfeys uni chaqiruvchi shaxsning identifikatsiyasini va vakolatini ishonarli tekshirishi lozim. 2. Ma’lumotlarni xavfli saqlash (Insecure Data Storage). Ishlab chiqaruvchilar jamoasi, foydalanuvchilar yoki zararli kod konfidensial axborot saqlanuvchi mobil qurilmalarning fayl tizimidan foydalana olmaydilar deb hisoblaydilar. Ammo, fayl tizimini chetlab o’tish va unga suqilib kirishning ko’pgina usullari mavjud: - ilova yaratuvchi fayllar uchun foydalanish huquqlarini noto’g’ri belgilash. Testlash bosqichida (ishlab chiqaruvchilar) foydalanish huquqlarini ko’pincha belgilaydilar va ularni dasturiy mahsulotni yakuniy chiqarishda tahrirlashni unutadilar. Natijada niyati buzuqlarda ruhsatsiz foydalanishga imkoniyat paydo bo’ladi; - SD-kartada muhim ma’lumotlarni saqlash. Foydalanuvchilar ko’pincha muhim ma’lumotlarni SD-kartada saqlaydilar. Bunday ma’lumotlardan barcha ilovalar foydalanishlari mumkinligini unutadilar; - jurnallashtirish. Jurnallar mobil operatsion tizimda sodir bo’ladigan barcha hodisalar xususidagi yozuvlarni ro’yxatga oluvchi fayllardan iborat. Android da har qanday ilova o’rnatilishida jurnallarni o’qish huquqini talab etishi mumkin. Foydalanuvchilarning ko’pchiligi bunga e’tibor bermaydilar. Xavflilik shundan iboratki, foydalanuvchi tomonidan jurnallarni o’qish huquqini olgan har qanday o’rnatiluvchi ilova barcha axborotni o’qish huquqini oladi. Ko’pincha jurnallarga shifrlanmagan sozlash axboroti va shaxsiy ma’lumotlar tushib qoladi; - superfoydalanuvchi (ma’mur) huquqlarini olish. Smartfon foydalanuvchilari, begona ilovalarni o’rnatish imkoniyatini ta’minlash maqsadida, ko’pincha qurilmaning fayl tizimidan to’laqonli foydalanishga intiladilar. Apple kompaniyasining mobil qurilmalarida ushbu muolaja Jail Break, Android-cmartfonlarda esa Root-huquqlarni (yoki superfoydalanuvchi huquqlarini) olish deb ataladi. Ta’kidlash lozimki, Jail Break root oddiy opsiya bo’lmay, qurilmaning barcha xavfsizlik tizimining komprometatsiyasi hisoblanadi. Yüklə 2,64 Mb. Dostları ilə paylaş:
|