1.2. Parolga asoslangan autentifikatsiya usullariga qaratilgan tahdidlar va
himoya usullari
Autentifikatsiyada tizimdan foydalanish huquqining to‘g‘riligini tekshiruvchi
muhim jarayon hisoblangani sababli, ular foydalanuvchilarning shaxsiy
ma’lumotlarini qo‘lga kiritishga qaratilgan hujumlardan himoyalangan bo‘lishi
zarur. Umumiy holda hujumchining maqsadi foydalanuvchi ma’lumotlarini
ruxsatsiz qo‘lga kiritish hisoblanib, bunda u turli usullardan foydalanadi. Biror
narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlarni
quyidagi ikki guruhga ajratish mumkin [2, 3]:
- qayd yozuvini boshqarishga qaratilgan hujumlar;
- parolni topishga qaratilgan hujumlar.
Qayd yozuvini boshqarishga qaratilgan hujumlar. Ushbu guruhga tegishli
hujumlar bevosita parolni qo‘lga kiritishni maqsad qilishi bilan xarakterlanadi.
Quyidagi hujumlar mazkur guruhga tegishli:
Zararli dasturlarga asoslangan. Zararli dasturlar ixtiyoriy ruxsat etilmagan
dastur bo‘lib, foydalanuvchining ruxsatisiz tizimga o‘rnatiladi. Ularning asosiy
maqsadi foydalanuvchiga tegishli konfidensial axborotni to‘plash bo‘lib, ularga
klaviatura orqali kiritilgan axborotni to‘plovchilarni (keylogger), sichqoncha
harakatini qayd etuvchilarni, ekran va xotiraning joriy holatidan nusxa oluvchilarni
misol keltirish mumkin.
Mazkur hujum turiga misol tariqasida 2018-yilning 25-sentyabrida
Hindistonda Zoho kompaniyasining 3 millionga yaqin foydaluvchilariga tegishli
bo‘lgan qayd yozuvlarini o‘g‘irlanishini keltirish mumkin [4]. Buning uchun
xakerlar tomonidan keylogger turidagi dasturiy vositadan foydalanilgan. Bundan
tashqari, 2010-yilda Buyuk Britaniyada bank mijozlarining taxminan 31 mln. $
mablag‘ini o‘g‘irlanishiga Zeus nomli keylogger dasturi sababchi bo‘lgan [5].
“Spufing”(spoofing) hujumlariga asoslangan. Spufing hujumi deb biror
imtiyozni noqonuniy qo‘lga kiritish uchun hujumchi o‘zini boshqa kabi
muvaffaqiyatli maskirovka qilish holatiga aytiladi. Yuqorida keltirilgan hujumlarni
amalga oshishi uchun “qurbon” kompyuteri zararli dastur bilan zararlanishi talab
etilsa, mazkur hujumda esa bu talab etilmaydi. Fishing (Phishing) va farming
(Pharming) hujumlari mazkur hujumlarga yaqqol misol bo‘ladi.
Fishing hujumlarida hujumchi o‘z (qalbaki) serveriga murojaatni amalga
oshirish imkoniyatini beruvchi havola (URL)dan iborat bo‘lgan spam xabarni
“qurbon”ga yuboradi. Ushbu URLda “qurbon”ning konfidensial axborotini
(masalan, paroli) talab etuvchi biror xizmat taqdim etiladi. Fishing hujumi ijtimoiy
muhandislik (sotsial injineriya) va “o‘rtaga turgan odam” hujumlarining
mujassamlashgan ko‘rinishi bo‘lib, turli shaxsiy ma’lumotlarni olishni maqsad
qiladi. Ushbu hujumni amalga oshirilishida foydalanilgan kriptografik
autentifikatsiya usulining (masalan, TLS/SSL protokoli) zaifligi emas, balki
umumiy holda tashkil etilgan autentifikatsiya yechimining zaifligi sabab bo‘ladi [2].
Pochta ma’lumotlari (login va parol)ni o‘g‘irlashga qaratilgan, 2018-yildagi
eng yirik fishing hujumlari sifatida “MailChimp”, “Social Network”, “Account
Verification”, “ICO”, “Tax W2” va “Gmail Scam”larni misol keltirish mumkin.
Xususan, “Bee Token” kompaniyasiga ta’sir qilgan “ICO” fishing hujumi natijasida
85000$ zarar etkazilgan [6].
Farming hujumlari “qurbon”ni hujumchini web sahifasiga murojaatini amalga
oshirishda turli xiylalardan foydalanadi. Bunda, u zararlangan DNS (Domain Name
System) serverlar xizmatidan foydalanadi. Buning uchun, foydalanuvchi
platformasi dastlab zararlantiriladi (masalan, biror JavaScript va JavaApplet
ilovalarini bilmasdan yuklash orqali) va shundan so‘ng amalga oshirilgan barcha
murojaatlar zararlangan DNSlar orqali hujumchi saytiga yo‘naltiriladi.
Farming hujumi katta zarar keltirishi mumkin bo‘lgan hujum turlariga kiradi.
Xususan, 2017-yilning fevral oyida AQSh, Yevropa va Osiyo-tinch okeani
hududlarida 50 dan ortiq moliyaviy tashkilotlarga farming hujumi kuzatilgan. Ushbu
tashkilotlar qatoriga Barclays banki, Shotlandiya banki, PayPal, eBay, Discover
Card va American Express tashkilotlari ham mavjud [7].
“O‘rtaga turgan odam” hujumi. Ushbu hujum turi tarmoq orqali
himoyalanmagan ko‘rinishda parolni uzatish natijasida amalga oshiriladi. Mazkur
holda hujumchi mijoz va server orasida uzatiluvchi axborotni tutib oladi hamda
kontentni tahlil qilish orqali muhim axborot, login, parol yoki pochta xabarlarini
qo‘lga kiritishi mumkin bo‘ladi. Ushbu hujum xavfsiz bo‘lmagan autentifikatsiya
protokollaridan, PAP yoki Telnet, foydalanilganda katta samara beradi. Biroq,
mazkur hujumni hattoki xavfsiz protokollar (masalan, SSL/TLS)da ham amalga
oshirish imkoniyati mavjud.
Olib borilgan izlanishlar natijasida SSL/TLS protokollaridan foydalanishning
o‘zi “O’rtaga turgan odam” hujumidan himoyalanish uchun yetarli emasligi
aniqlandi. Boshqacha aytganda, aksariyat web severlarda fishing va “O’rtaga turgan
odam” hujumini bartaraf etish imkonini beruvchi HTTP Strict Transport Security
(HSTS) xususiyatdan foydalanilmagan [8].
Takrorlash
hujumi.
Mazkur
hujumga
asosan
hujumchi
qonuniy
foydalanuvchini autentifikatsiya jarayonini kuzatadi va seans ma’lumotlarini
ko‘chirib oladi. Ma’lum vaqtdan so‘ng esa ushbu ma’lumotlarni qayta yuborish
orqali haqiqiy foydalanuvchi nomidan muvaffaqiyatli autentifikatsiyadan o‘tadi.
Mazkur hujum usuli hattoki foydalanilgan parollar xeshlangan ko‘rinishda
bo‘lganda ham samara beradi.
“O‘rtaga turgan brauzer”(Man-In-The-Browser attack, MITB) hujumi.
Ushbu hujum Internet hujumlari sirasiga kirib, “O‘rtaga turgan odam” hujumiga
o‘xshash hisoblansada, tahdidni “qurbon” platformasida amalga oshirilishi bilan
farqlanadi. MITB hujumida zararli fayl web brauzerni maqsad qiladi va o‘zini
foydalanuvchi hamda web brauzer o‘rtasida joylashtiradi. MITB hujumining asosiy
maqsadi foydalanuvchi va xizmat serveri provayderiga bildirmasdan onlayn bank
tizimlarining moliyaviy tranzaksiyalarini hosil qilish yoki modifikatsiya qilish
sanaladi. Bunda, hujum autentifikatsiya sessiyasi amalga oshirilib bo‘lgunga qadar
amalga oshirilmaydi. Bu hujum hattoki xavfsiz protokollar (masalan, SSL/TLS)
amalga oshirilgan taqdirda ham amalga oshirilishi mumkin. Ushbu hujumni amalga
oshirilishiga olib keluvchi quyidagi 5 ta sabab Filip Guxring tomonidan keltirilgan
[9]:
1.
Browser Helper Objects – Windows operatsion tizimida Internet
Explorer tomonidan dinamik kutubxonalarning (Dynamically Loaded Libraries,
DLL) yuklanishi sababli tahdidchi to‘liq nazoratni ta’minlashi mumkin.
2.
Extensions – ushbu sabab ham birinchisi kabi bo‘lib, u boshqa
brauzurlar, masalan, FireFox, uchun o‘rinli bo‘lishi bilan farqlanadi.
3.
Foydalanuvchi skriptlari (UserScripts) – brauzerda yuklanuvchi
foydalanuvchi tomonidan yuklangan skriptlar.
4.
API-Hooking – bu hujum brauzer va brauzer DLL fayllari (Extensions
va operatsion tizim DLL fayllari) orasida amalga oshiriladi. Masalan, bu hujum
orqali SSL protokoli jarayonida brauzer va SSL orqa fondi mexanizmlari orasidagi
aloqa modifikatsiya qilinishi mumkin.
5.
Virtualizatsiya – operatsion tizim virtual muhitda yuklanganda barcha
xavfsizlik usullarini osonlik bilan chetlab o‘tish mumkin bo‘ladi.
Turli web brauzerlar uchun MITB hujumini amalga oshirishni maqsad qilgan
turli zararli dasturlar mavjud. Xususan, Windows OTlarda Internet Explorer va
Firefox brauzerlari uchun yaratilgan Agent.DBJP, Bugat, Carberp, Goz [10] lar
yordamida MITB hujumi amalga oshirish mumkin.
“Xizmat ko‘rsatishdan voz kechishga undash”(Denial of Service attack, DOS)
hujumi. Ushbu hujum natijasida qayd yozuvi ma’lumotini qo‘lga kiritishga harakat
qilish o‘rniga tizimni foydalanuvchanlik xususiyatini yo‘qqa chiqarishga maqsad
qilinadi. Odatda parollarga asoslangan autentifikatsiya usullarida qo‘pol kuch
hujumi yoki lug‘atga asoslangan hujumlar bo‘lishidan oldini olish uchun
muvaffaqiyatsiz urinishlar soni bo‘yicha tizimni vaqtinchalik bloklab qo‘yish
amalga oshiriladi. Boshqacha aytganda, hujumchi foydalanuvchi nomidan talab
etilgan muvaffaqiyatsiz urinishlarni amalga oshiradi va qayd yozuvini blokga
tushiradi. Bu holda haqiqiy foydalanuvchi parolni to‘g‘ri kiritgan taqdirda ham
tizimdan foydalanish imkoniyatiga ega bo‘lmaydi.
Dostları ilə paylaş: |