• Dasturiy taminotdagi zaifliklar
    		•

    Axborotni himoyalash usullari




    Download 0,78 Mb.
    bet1/9
    Sana20.05.2024
    Hajmi0,78 Mb.
    #245724
      1   2   3   4   5   6   7   8   9
    Bog'liq
    AX 3-4-ma\'ruza


    Axborotni himoyalash usullari
    Xavfsizlik zaifliklari har qanday turdagi apparat yoki dasturiy ta'minotdagi nuqsonlardir. Zaiflik haqida bilib, tajovuzkorlar undan foydalanishga harakat qilishadi.
    Exploit - bu ma'lum zaiflikdan foydalanish uchun yozilgan dasturni tavsiflash uchun ishlatiladigan atama. Zaiflik uchun ekspluatatsiyadan foydalanish hujum deb ataladi. Hujumning maqsadi tizimga, unda joylashgan ma'lumotlarga yoki muayyan resurslarga kirishdir.
    Dasturiy ta'minotdagi zaifliklar
    Dasturiy ta'minot zaifliklari odatda operatsion tizim yoki dastur kodidagi xatolar bilan bog'liq bo'lib, kompaniyalar ushbu zaifliklarni topish va ularni tuzatish uchun sarflagan barcha sa'y-harakatlariga qaramay, vaqt o'tishi bilan yangi zaifliklar baribir topiladi. Microsoft, Apple va boshqa operatsion tizim ishlab chiqaruvchilari deyarli har kuni tuzatish va yangilanishlarni ishlab chiqadilar. Ilova yangilanishlari ham juda tez-tez chiqariladi. Veb-brauzerlar, mobil ilovalar va veb-serverlar kabi ilovalar ular uchun mas'ul bo'lgan kompaniyalar yoki tashkilotlar tomonidan tez-tez yangilanadi.
    2015-yilda Cisco IOS’da SYNful Knock deb nomlangan katta zaiflik aniqlandi. Bu zaiflik xakerlarga korporativ toifadagi eski marshrutizatorlar - Cisco 1841, 2811 va 3825 modellari ustidan nazoratni qo‘lga kiritish imkonini berdi. Shunday qilib, xakerlar tarmoqdagi barcha aloqalarni kuzatishi va boshqa tarmoq qurilmalarini zararlashi mumkin edi. Ushbu zaiflik IOS ning o'zgartirilgan versiyasi routerlarga o'rnatilganda tizimga kiritilgan. Bunga yo'l qo'ymaslik uchun siz yuklab olgan OS versiyasi ishonchli ekanligiga ishonch hosil qiling va apparatga jismoniy kirish faqat vakolatli xodimlar tomonidan amalga oshirilishini ta’minlang.
    Dasturiy ta'minotni yangilashdan maqsad dasturiy ta'minot aktualligini ta’minlab turish va zaifliklardan foydalanishning oldini olishdir. Ba'zi kompaniyalarda dasturiy ta'minotning zaif tomonlarini realizatsiyadan oldin topish, tekshirish va tuzatishga bag'ishlangan test guruhlari mavjud. Shuningdek, dasturiy ta'minot zaifliklarini topishga ixtisoslashgan uchinchi tomon xavfsizlik tadqiqotchilaridan ham foydalaniladi.
    Ushbu amaliyotning ajoyib namunasi - Googlening Project Zero loyihasi. Yakuniy foydalanuvchilar tomonidan foydalaniladigan turli dasturlarda bir qator zaifliklarni aniqlagandan so'ng, Google dasturiy ta'minot zaifliklarini qidirish uchun doimiy guruh yaratdi. Google jamoasining xavfsizlik boʻyicha tadqiqotini shu yerda topishingiz mumkin.

    Download 0,78 Mb.
      1   2   3   4   5   6   7   8   9




    Download 0,78 Mb.