О‘zbekiston respublikasi axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligi
BOB. DASTURIY VOSITALAR XAVFSIZLIGI
Yüklə 5,01 Kb. Pdf görüntüsü
|
|
6 BOB. DASTURIY VOSITALAR XAVFSIZLIGI
6.1. Dasturiy vositalardagi xavfsizlik muammolari Dasturiy vositalar xavfsizligi hozirgi kunda kelib, axborot xavfsizligining kriptografiya, ruxsatlarni nazoratlash va xavfsizlik protokollari kabi muhim sohalaridan hisoblanadi. Bunga asosiy sabab, axborotning vertual xavfsizligi dasturi vositalar orqali amalga oshirilishi bilan belgilanib, agar dasturiy vosita tahdidga uchragan taqdirda, xavfsizlik mexanizmi ham barbod bo’ladi. Barcha dasturiy vositalarda zaifliklar mavjud bo’lib, ularning muhimlik darajalari turlicha. Masalan, qiymati 165 mil. $ ni tashkil etgan NASA Mars Lander, Mars sayyorasi yuzasiga qo’nish vaqtida halokatga uchragan. Bunga sabab esa, oddiy ingliz va metr uzunlik o’lchovlari orasidagi farq bo’lgan. Bundan tashqari, Denver xalqaro ayeroportidagi yuklarni boshqarish tizimida foydalanilgan dasturiy vositadagi kamchilik natijasida, 11 oy davomida kuniga 1 mil. $ dan zarar ko’rilgan. Bundan tashqari, so’ngi yillarda ushbu zaiflik muammolarining soni va jiddiylik darajalari ortib bormoqda. Xususan, 75-rasmda Positive Technologies tashkiloti tomonidan veb saytlardagi turli darajadagi zaifliklarni yillar kesimida ortib borishi keltirilgan. 75 – rasm. Turli darajadagi zaifliklarga ega bo’lgan Veb-saytlar soni [3] 2019 yilda veb saytlarda mavjud muammolarning jiddiyligi bo’yicha taqsimoti 76-rasmda keltirilgan. 68 70 58 52 67 50 90 100 97 100 93 84 80 50 67 74 100 89 - 20 40 60 80 100 120 2014 2015 2016 2017 2018 2019 Yuqori O'rta Past 200 76-rasm. Veb sayt muammolarining jiddiylik bo’yicha taqsimoti O’tgan yilda veb saytlarda keng tarqalgan zaifliklar va ularning ulishi esa OWASP (Open Web Application Security Project) tomonidan berilgan ma’lumotga ko’ra esa quyidagicha bo’lgan (77-rasm). 77-rasm. OWASP tashkiloti tomonidan 2019 yilda uchragan zaifliklar va ularning ulushi Yuqorida keltirilgan zaifliklar natijasida hujumchilar tomonidan quyidagi turli ma’lumotlarni qo’lga kiritish maqsad qilingan (78-rasm). 19% 55% 26% Yuqori O'rta Past 84 53 45 37 29 13 13 5 0 10 20 30 40 50 60 70 80 90 А6 - Xavfsizlik sozlanmalarining noto'g'riligi A7 - XSS (Cross-Site Scripting) zaifligi A2 - Nojoiz autentifikatsiya А5 - Nojoiz ruxsatlarni nazoratash A1 - Inyeksiya А9 - No'malum zaifliklar bilan bog'liq muammolar А3 - Maxfiy axborotni oshkor bo'lishi А4 - XXE (XML External Entities) zaifligi 201 78-rasm. Zaifliklar natijasida qo’lga kiritish maqsad qilingan ma’lumotlar Dasturiy mahsulotlarda xavfsizlik muammolari. Dasturiy vositalardagi mavjud tahdidlar odatda dasturlash tillari imkoniyatlari bilan belgilanadi. Masalan, nisbatan quyi dasturlash tillari dasturchidan yuqori malakani talab etgani bois, ularda ko’plab xavfsizlik muammolari paydo bo’ladi. Masalan, C# va Java dasturlash tillarida ko’plab muammolar avtomatik ravishda kompilyasiya jarayonida aniqlangani bois C yoki C++ dasturlash tillariga nisbatan xavfsiz hisoblanadi. Odatda zararli dasturiy vositalar ikki turga bo’linadi: – dasturlardagi zaifliklar (atayin yaratilmagan); – zararkunanda dasturlar (atayin yaratilgan). Birinchi turga asosan, dasturchi tomonidan yo’l qo’yilgan xatolik natijasida kelib chiqqan dasturlardagi muammolar misol bo’lsa, ikkinchi turga buzg’unchilik maqsadida yozilgan maxsus dasturiy mahsulotlar (masalan, viruslar) misol bo’ladi. Dasturiy vositalarda xavfsizlik muammolarini mavjudligi bir nechta omillar bilan belgilanadi: – dasturiy vositalarning ko’plab dasturchilar tomonidan yozilishi (komplekslilik); – dasturiy mahsulotlar yaratilishida inson ishtiroki; – dasturchining malakasi yuqori emasligi; – dasturlash tillarining xavfsiz emasligi. Dasturiy vositalar bir nechta million qator kodlardan iborat bo’lib, bu o’z navdatida xavfsizlik muammosini ortishiga sababchi bo’ladi (12-jadval). Boshqa 47 31 14 6 2 Shaxsiy ma'lumotlar Foydalanuvchi ruxsati Foydalanuvchi identifikatori Sessiya Idlari Ilova ochiq kodi 202 so’z bilan aytganda, katta dasturiy vositalar ko’plab dasturchilar tomonidan yoziladi va yakunda biriktiladi. Agar dasturchilar orasidan bittasining bilim darajasi yetarli bo’lmasligi, yakunda butun dasturiy vositani xavfsizligini yo’qqa chiqarishi mumkin. 12 - jadval Yüklə 5,01 Kb. Dostları ilə paylaş:
|