Мобил алоқа тизимларда ахборот хавфсизлиги
Yüklə 2,64 Mb.
|
|
Takliflar. Mobil qurilma ma’lumotlarini ruxsatsiz foydalanishdan himoyalash choralari:
- muhim ma’lumotlarni SD-kartada saqlamaslik; - ilovalar o’rnatilishidan avval jurnallashtirishni to’xtatish; - ilovalarni ishlab chiqarishda foydalanish huquqlarini, foydalanuvchining mobil qurilmasi root-huquqlar orqali komprometatsiyalangan bo’lishi mumkinligini hisobga olgan holda, sozlash lozim; - agar tijorat konfidensial axborotning saqlanishini talab etsa, shifrlashdan kengroq foydalanish zarur. 3. Ma’lumotlarning xavfli uzatilishi (transport sathidagi himoyaning yetarli emasligi) (Insecure Communication) Aloqa manbalari ishonchligi tasdig’ining yetarli emasligi, SSLning noto’g’ri versiyalari, nozik ma’lumotlarni ochiq holda uzatish va h. Asosiy muammolar: - ma’lumotlarni uzatishda shifrlash ishlatilmaydi (masalan https o’rniga http protokolining ishlatilishi); - ma’lumotlarni uzatishda soxta sertifikatlarning ishlatilishi. Takliflar. Axborot xavfsizligini ta’minlash bo’yicha choralar: - mobil ilova trafigini tekshirish; - web-snifferning ishlatilishi. Natijada mobil ilovalar trafigi tahlillanadi va muhim ma’lumotlar https protokoli bo’yicha shifrlangan holda uzatilganligi tekshiriladi; - ishonchli markazlar tomonidan imzolangan sertifikatlarning ishlatilishi; - kontent-provayderlardan foydalanilganda tekshirish va foydalanish huquqlarini qo’shish. 4. Xavfli autentifikatsiya (Insecure Authentication) Ma’lumotlarni himoyalash, odatda, mobil ilovalarning ishlatilishining tipik hollariga nisbatan amalga oshiriladi. Ammo, ko’pgina boshqa vaziyatlar mavjudki, ma’lumotlar kuzatiladi, nusxalanadi, keshlanadi, ro’yxatga olinadi, ekran tasviri va rezerv nusxa yaratiladi. Ushbu kategoriya oxirgi foydalanuvchinining autentifikatsiyasiga yoki seanslarni noto’g’ri boshqarishga taalluqli. Quyidagilarni o’z ichiga oladi: - ilova bilan anonim ishlash. Mobil ilovaning himoyalanganligiga talablar web-ilovalar himoyalanganligiga qo’yilgan talablardan farqlanadi. Faraz qilinadiki, foydalanuvchi oflayn rejimida ishlashi mumkin. Shu sababli, ko’pincha ma’lumotlarni keyinchalik sessiyali cookie-fayllarda saqlash orqali onlayn-avtorizatsiya ishlatiladi. Identifikatsiya ma’lumotlari (login va parol) kiritilganidan va ilova foydalanuvchini avtorizatsiyalaganidan so’ng, maxsus identifikatorni saqlaydi. Ushbu identifikator ilova tomonidan keluvchi har bir so’rovda serverga taqdim etiladi. Agar niyati buzuq foydalanuvchi identifikatorini olgan va tizimda sessiyaning IP-adresini yoki sessiya doirasida bittadan ortiq ulanish mavjudligini tekshirish muolajasi amalga oshirilmagan bo’lsa, niyati buzuq foydalanuvchi akkaunti huquqlari bilan tizimdan foydalanishi mumkin; - kuchsiz parollar. Mobil ilovalarda parollar uzun bo’lishi kerak emas va aksariyat ilovalar to’rt simvolli parollarni yaratishga ruhsat beradi. Bunda parollar aksariyat hollarda shifrlanmay xeshlangan ko’rinishda bazaga joylashtiriladi. Agar niyati buzuq ma’lumotlar bazasidan foydalanishga ruxsat olgan bo’lsa, tayyor xesh-jadval yordamida parolni deshifrlash uning uchun qiyinchilik tug’dirmaydi. Takliflar. Ushbu tur zaifliklar uchun xavfsizlikni ta’minlash bo’yicha choralar: - mobil ilovadagi autentifikatsiya web-versiyaga mos bo’lishi lozim; - uzunligi 6 simvoldan ortiq murakkab parollarni yaratish; - qurilmani mobil qurilmani boshqarish qurilmasi (mobile-device management, MDM) yoki mobil ilovalar (mobile-application management, MAM) yordamida nazoratlash. 5. Kuchsiz kriptografik bardoshlik (Insufficient Cryptography) Mobil ilova kuchsiz va g’animlar echa oladigan algoritmdan foydalanishlari mumkin. Chunki ishlab chiqilgan arxitektura jiddiy nuqsonlarga ega yoki kalitlarni boshqarish jarayoni yomon tashkil etilgan. Taklif. Axborotni himoyalashda murakkab kriptografik muolajalardan foydalanish kerak. 6. Xavfli avtorizatsiya (Insecure Authorization) Ushbu kategoriya avtorizatsiyaning kamchiligini tavsiflaydi (mijoz tomonidagi tekshiruv, majburiy ko’zdan kechirish va h.). Takliflar. Ilova foydalanuvchilarning haqiqiyligini tekshirishdan o’tishi lozim (masalan, haqiqiylikni tekshirmasdan va ruxsatsiz foydalanishni taqiqlamasdan ba’zi resurslarga yoki xizmatlarga anonim foydalanishni taqdim etmaslik). 7. Mijoz ilovalari tarkibining nazorati (Client Code Quality) Muammo server-sayt ilovalarda kodni yozish va uni amalga oshirishdan farqlanuvchi mijoz-sayt ilovalarda dasturiy kodni yozish texnologiyasini amalga oshirishning o’ziga xos xususiyatidan iborat. Bularga quyidagilar taalluqli: buferning to’lib-toshishi, format string zaifliklar, hamda kod darajasidagi xatoliklar. Mobil qurilmalarda ishlovchi kodni qayta yozish masalaning yechimi hisoblanadi. Zararli kod mobil ilovalarni o’zgartira olmaydi degan xato fikr keng tarqalgan. Takliflar. Ilovalarni turg’un holatida va bajarilishi davrida suqilib kirishdan himoyalash. Ilovalarning kirish ma’lumotlarini va API-interfeyslarni tekshirish, konfidensial axborotning yaxlitligini tekshirish. WebView dan foydalanishda ehtiyot bo’lish lozim, chunki u saytlararo skriping (XSS) kabi zaifliklarni yaratishi mumkin. 8. Ma’lumotlarning modifikatsiyasi (Code Tampering) Ushbu kategoriya bajariluvchi fayllarning, lokal resurslarning o’zgarishini, begona jarayon chaqiruvlarini ushlab qolishni, runtime usullarni almashtirishini va xotirani dinamik modifikatsiyasini tavsiflaydi. Ilova o’rnatilganidan so’ng, uning kodi qurilma xotirasida rezident bo’lib qoladi. Bu zararli ilovaga kodni, xotira tarkibini o’zgartirishga APIning tizimli usullarini o’zgartirishga yoki almashtirishga, ilova ma’lumotlarini va resurslarini o’zgartirishga imkon beradi. Bularning hammasi niyati buzuqqa noqonuniy harakatlar qilish, ma’lumotlarni o’g’irlash yoki boshqa moliyaviy foydani olish uchun begona ilovalarni manipulyasiyalash imkonini ta’minlaydi. Takliflar. Ma’lumotlar manbalariga hech qachon ishonish kerak emas. Ularni yetarli darajada, xususan autentifikatsiya, avtorizatsiya, yaxlitlikni tekshirish, shifrlash va boshqa mexanizmlardan foydalanib, soxtalashtirilishidan va suiiste’mol qilinishidan himoyalash zarur. 9. Dastlabki kodning tahlili (Reverse engineering) Hujumchilar server servislaridan foydalanish uchun autentifikatsiyalashda sessiyaning hisob ma’lumotlarini ishlatishlari va muayyan foydalanuvchi nomidan harakatlarni amalga oshirishlari mumkin. Takliflar. Serverda va mijozdagi sessiyalar uchun cookie harakatlari vaqtini cheklash mexanizmini ishlatish lozim. Umumiy holda vaqtni bir soatga yoki undan qisqaga cheklash taklif etiladi. Autentifikatsiya talab qilinganida har bir foydalanuvchi uchun server yangi sessiyani ochishi zarur. Takroran ishlatilishini bartaraf etish uchun serverdagi oldingi sessiyalar yo’q qilinishi yoki bekor qilinishi lozim. 10. Yashirin funksional (Extraneous Functionality) Ishlab chiqaruvchilar ko’pincha ilovalar kodiga, funksionalligi umumfoydalanishga mo’ljallangan, yashirin funksional imkoniyatlarni, bekdorlarni yoki boshqa mexanizmlarni kiritishadi. Ushbu kategoriyaga ma’lum ta’rif "security through obscurity" (noaniqlik orqali xavfsizlik) to’g’ri keladi. Xaker iborasi bilan aytganda, bu operatsion tizim sotuvchilarining aksariyati xavfsizlik tizimini tuynuklar bilan sotishidan iborat. Tabiiyki, ushbu tuynuklar xususida hujjatlarda so’z bo’lmaydi. Ushbu tuynuklar uzoq vaqt sezilmasdan qolmaydi. Ushbu tuynuklardan foydalanuvchi xakerlar doim topiladi. Takliflar. Ilovalarni himoyalashning o’ziga xos xususiyati tahdid xarakteriga va mobil platformasiga bog’liq. Ilovalar ishlatilishi jarayonida himoyalangan bo’lishi uchun, resurslarning va dastlabki kodning modifikatsiyalanishini bartaraf etishi mumkin bo’lgan yaxlitlikni tekshirish lozim. Yüklə 2,64 Mb. Dostları ilə paylaş:
|