|
Intellektual boshqaruv va kompyuter tizimlari
|
| bet | 8/9 | | Sana | 25.05.2024 | | Hajmi | 2 Mb. | | #253396 |
Bog'liq DL Abdullayeva Hilola3.1 Mobil ilova xavfsizligi
Mobil inventarizatsiya mobil ilovaning xavfsizligi himoya qilish darajasi mobil qurilma ilovalar zararli dasturlardan va krakerlar va boshqa jinoyatchilarning faoliyatidan. Bu atama, shuningdek, foydalanish xavfini kamaytiradigan turli texnologiyalar va ishlab chiqarish amaliyotlarini ham anglatishi mumkin mobil qurilmalari orqali ilovalar.
Quyidagi ilovalar himoya qilishga yordam beradi Android onlayn identifikatsiyadan qurilmalar va xavfsizlik tahdidlar. ro'yxati Xavfsizlik ilovalari himoya qilmoq Android . Avast Mobile Xavfsizlik . Sophos antivirus va xavfsizlik . AppLock.
1.10 - rasm. Plarforma multitexnologiyasi
Mobil qurilmangizning raqamli tahdidlarga ta'sirini minimallashtirishga yordam beradigan ba'zi amaliy qadamlar.
Kuchli parollar/biometriyalardan foydalaning.
Umumiy yoki bepul Wi-Fi himoyalanganligiga ishonch hosil qiling.
VPN dan foydalaning.
Qurilmangizni shifrlash.
Antivirus dasturini o'rnating.
Eng so'nggi dasturiy ta'minotga yangilang.
Kompaniyalar va tashkilotlar mobil texnologiyalardan xodimlar ishining unumdorligini va korporativ tizim samaradorligini oshirish maqsadida foydalanadilar. Ammo, xakerlar suqilib kirishning va mobil ilovalar orqali konfidensial axborotdan foydalanishning yangi usullarini topadilar. Ilovalarni ishlab chiqaruvchilari va foydalanuvchilari, mobil ilovalarni noto’g’ri konfiguratsiyalash natijasidagi, mobil qurilmalar xavfsizligining buzilishini bilib qoladilar. So’z, mobil tizimlarining umumiy xavfsizligining jiddiy kamaytiruvchi ilova himoyasidagi bo’shliqlar to’plami xususida boradi. Bu kodni va xavfsizlik konfiguratsiyasi to’liq tekshirmasdan mobil ilovalarning bozorga chiqarilishi tufayli sodir bo’ladi. Shuning uchun, ishlab chiqaruvchilar va foydalanuvchilar mobil qurilmalarning eng ko’p tarqalgan zaifliklari va ular bilan doimiy kurashishning eng mukammal usullarini bilishlari muhim hisoblanadi.
Quyida mobil ilovaning 10 ta asosiy zaifliklar va ulardan himoyalanish choralari bo’yicha takliflar bayon etilgan.
1. Arxitekturaviy cheklashlarni chetlab o’tish (Improper Platform Usage). Zaifliklarning ushbu kategoriyasi operatsion tizim (platforma) va platforma xavfsizligini boshqarishni nazoratlash tizimida o’rnatilgan cheklashlarni chetlab o’tishning o’ziga xos xususiyatlaridan foydalanadi. Ushbu zaiflik Android va iOS platformalariga va boshqa mobil operatsion tizimlarga xos.
Takliflar. Mobil ilovaning server qismida dasturiy kodni qurishning va konfiguratsiyalashning xavfsiz usullaridan foydalanish lozim. Xususan, API-interfeys uni chaqiruvchi shaxsning identifikatsiyasini va vakolatini ishonarli tekshirishi lozim.
2. Ma’lumotlarni xavfli saqlash (Insecure Data Storage). Ishlab chiqaruvchilar jamoasi, foydalanuvchilar yoki zararli kod konfidensial axborot saqlanuvchi mobil qurilmalarning fayl tizimidan foydalana olmaydilar deb hisoblaydilar. Ammo, fayl tizimini chetlab o’tish va unga suqilib kirishning ko’pgina usullari mavjud:
- ilova yaratuvchi fayllar uchun foydalanish huquqlarini noto’g’ri belgilash. Testlash bosqichida (ishlab chiqaruvchilar) foydalanish huquqlarini ko’pincha belgilaydilar va ularni dasturiy mahsulotni yakuniy chiqarishda tahrirlashni unutadilar. Natijada niyati buzuqlarda ruhsatsiz foydalanishga imkoniyat paydo bo’ladi;
- SD-kartada muhim ma’lumotlarni saqlash. Foydalanuvchilar ko’pincha muhim ma’lumotlarni SD-kartada saqlaydilar. Bunday ma’lumotlardan barcha ilovalar foydalanishlari mumkinligini unutadilar;
- jurnallashtirish. Jurnallar mobil operatsion tizimda sodir bo’ladigan barcha hodisalar xususidagi yozuvlarni ro’yxatga oluvchi fayllardan iborat. Android da har qanday ilova o’rnatilishida jurnallarni o’qish huquqini talab etishi mumkin. Foydalanuvchilarning ko’pchiligi bunga e’tibor bermaydilar. Xavflilik shundan iboratki, foydalanuvchi tomonidan jurnallarni o’qish huquqini olgan har qanday o’rnatiluvchi ilova barcha axborotni o’qish huquqini oladi. Ko’pincha jurnallarga shifrlanmagan sozlash axboroti va shaxsiy ma’lumotlar tushib qoladi;
- superfoydalanuvchi (ma’mur) huquqlarini olish. Smartfon foydalanuvchilari, begona ilovalarni o’rnatish imkoniyatini ta’minlash maqsadida, ko’pincha qurilmaning fayl tizimidan to’laqonli foydalanishga intiladilar. Apple kompaniyasining mobil qurilmalarida ushbu muolaja Jail Break, Android-cmartfonlarda esa Root-huquqlarni (yoki superfoydalanuvchi huquqlarini) olish deb ataladi. Ta’kidlash lozimki, Jail Break root oddiy opsiya bo’lmay, qurilmaning barcha xavfsizlik tizimining komprometatsiyasi hisoblanadi.
3. Ma’lumotlarning xavfli uzatilishi (transport sathidagi himoyaning yetarli emasligi) (Insecure Communication) Aloqa manbalari ishonchligi tasdig’ining yetarli emasligi, SSLning noto’g’ri versiyalari, nozik ma’lumotlarni ochiq holda uzatish va h.
Asosiy muammolar:
- ma’lumotlarni uzatishda shifrlash ishlatilmaydi (masalan https o’rniga http protokolining ishlatilishi);
- ma’lumotlarni uzatishda soxta sertifikatlarning ishlatilishi. Takliflar. Axborot xavfsizligini ta’minlash bo’yicha choralar:
- mobil ilova trafigini tekshirish;
- web-snifferning ishlatilishi. Natijada mobil ilovalar trafigi tahlillanadi va muhim ma’lumotlar https protokoli bo’yicha shifrlangan holda uzatilganligi tekshiriladi;
- ishonchli markazlar tomonidan imzolangan sertifikatlarning ishlatilishi;
- kontent-provayderlardan foydalanilganda tekshirish va foydalanish huquqlarini qo’shish.
4. Xavfli autentifikatsiya (Insecure Authentication) Ma’lumotlarni himoyalash, odatda, mobil ilovalarning ishlatilishining tipik hollariga nisbatan amalga oshiriladi. Ammo, ko’pgina 90 boshqa vaziyatlar mavjudki, ma’lumotlar kuzatiladi, nusxalanadi, keshlanadi, ro’yxatga olinadi, ekran tasviri va rezerv nusxa yaratiladi. Ushbu kategoriya oxirgi foydalanuvchinining autentifikatsiyasiga yoki seanslarni noto’g’ri boshqarishga taalluqli. Quyidagilarni o’z ichiga oladi:
- ilova bilan anonim ishlash. Mobil ilovaning himoyalanganligiga talablar web-ilovalar himoyalanganligiga qo’yilgan talablardan farqlanadi. Faraz qilinadiki, foydalanuvchi oflayn rejimida ishlashi mumkin. Shu sababli, ko’pincha ma’lumotlarni keyinchalik sessiyali cookie-fayllarda saqlash orqali onlayn-avtorizatsiya ishlatiladi. Identifikatsiya ma’lumotlari (login va parol) kiritilganidan va ilova foydalanuvchini avtorizatsiyalaganidan so’ng, maxsus identifikatorni saqlaydi. Ushbu identifikator ilova tomonidan keluvchi har bir so’rovda serverga taqdim etiladi. Agar niyati buzuq foydalanuvchi identifikatorini olgan va tizimda sessiyaning IP-adresini yoki sessiya doirasida bittadan ortiq ulanish mavjudligini tekshirish muolajasi amalga oshirilmagan bo’lsa, niyati buzuq foydalanuvchi akkaunti huquqlari bilan tizimdan foydalanishi mumkin;
- kuchsiz parollar. Mobil ilovalarda parollar uzun bo’lishi kerak emas va aksariyat ilovalar to’rt simvolli parollarni yaratishga ruhsat beradi. Bunda parollar aksariyat hollarda shifrlanmay xeshlangan ko’rinishda bazaga joylashtiriladi. Agar niyati buzuq ma’lumotlar bazasidan foydalanishga ruxsat olgan bo’lsa, tayyor xesh-jadval yordamida parolni deshifrlash uning uchun qiyinchilik tug’dirmaydi.
Takliflar. Ushbu tur zaifliklar uchun xavfsizlikni ta’minlash bo’yicha choralar:
- mobil ilovadagi autentifikatsiya web-versiyaga mos bo’lishi lozim;
- uzunligi 6 simvoldan ortiq murakkab parollarni yaratish;
- qurilmani mobil qurilmani boshqarish qurilmasi (mobile-device management, MDM) yoki mobil ilovalar (mobile-application management, MAM) yordamida nazoratlash.
5. Kuchsiz kriptografik bardoshlik (Insufficient Cryptography) Mobil ilova kuchsiz va g’animlar echa oladigan algoritmdan foydalanishlari mumkin. Chunki ishlab chiqilgan arxitektura jiddiy nuqsonlarga ega yoki kalitlarni boshqarish jarayoni yomon tashkil etilgan. Taklif. Axborotni himoyalashda murakkab kriptografik muolajalardan foydalanish kerak.
6. Xavfli avtorizatsiya (Insecure Authorization) Ushbu kategoriya avtorizatsiyaning kamchiligini tavsiflaydi (mijoz tomonidagi tekshiruv, majburiy ko’zdan kechirish va h.). Takliflar. Ilova foydalanuvchilarning haqiqiyligini tekshirishdan o’tishi lozim (masalan, haqiqiylikni tekshirmasdan va ruxsatsiz foydalanishni taqiqlamasdan ba’zi resurslarga yoki xizmatlarga anonim foydalanishni taqdim etmaslik).
7. Mijoz ilovalari tarkibining nazorati (Client Code Quality) Muammo server-sayt ilovalarda kodni yozish va uni amalga oshirishdan farqlanuvchi mijoz-sayt ilovalarda dasturiy kodni yozish texnologiyasini amalga oshirishning o’ziga xos xususiyatidan iborat. Bularga quyidagilar taalluqli: buferning to’lib-toshishi, format string zaifliklar, hamda kod darajasidagi xatoliklar. Mobil qurilmalarda ishlovchi kodni qayta yozish masalaning yechimi hisoblanadi. Zararli kod mobil ilovalarni o’zgartira olmaydi degan xato fikr keng tarqalgan. Takliflar. Ilovalarni turg’un holatida va bajarilishi davrida suqilib kirishdan himoyalash. Ilovalarning kirish ma’lumotlarini va APIinterfeyslarni tekshirish, konfidensial axborotning yaxlitligini tekshirish. WebView dan foydalanishda ehtiyot bo’lish lozim, chunki u saytlararo skriping (XSS) kabi zaifliklarni yaratishi mumkin.
8. Ma’lumotlarning modifikatsiyasi (Code Tampering) Ushbu kategoriya bajariluvchi fayllarning, lokal resurslarning o’zgarishini, begona jarayon chaqiruvlarini ushlab qolishni, runtime usullarni almashtirishini va xotirani dinamik modifikatsiyasini tavsiflaydi. Ilova o’rnatilganidan so’ng, uning kodi qurilma xotirasida rezident bo’lib qoladi. Bu zararli ilovaga kodni, xotira tarkibini o’zgartirishga APIning tizimli usullarini o’zgartirishga yoki almashtirishga, ilova ma’lumotlarini va resurslarini o’zgartirishga imkon beradi. Bularning hammasi niyati buzuqqa noqonuniy harakatlar qilish, ma’lumotlarni o’g’irlash yoki boshqa moliyaviy foydani olish uchun begona ilovalarni manipulyasiyalash imkonini ta’minlaydi. Takliflar. Ma’lumotlar manbalariga hech qachon ishonish kerak emas. Ularni yetarli darajada, xususan autentifikatsiya, avtorizatsiya, yaxlitlikni tekshirish, shifrlash va boshqa mexanizmlardan foydalanib, soxtalashtirilishidan va suiiste’mol qilinishidan himoyalash zarur.
9. Dastlabki kodning tahlili (Reverse engineering) Hujumchilar server servislaridan foydalanish uchun autentifikatsiyalashda sessiyaning hisob ma’lumotlarini ishlatishlari va muayyan foydalanuvchi nomidan harakatlarni amalga oshirishlari mumkin. Takliflar. Serverda va mijozdagi sessiyalar uchun cookie harakatlari vaqtini cheklash mexanizmini ishlatish lozim. Umumiy holda vaqtni bir soatga yoki undan qisqaga cheklash taklif etiladi. Autentifikatsiya talab qilinganida har bir foydalanuvchi uchun server yangi sessiyani ochishi zarur. Takroran ishlatilishini bartaraf etish uchun serverdagi oldingi sessiyalar yo’q qilinishi yoki bekor qilinishi lozim.
10. Yashirin funksional (Extraneous Functionality) Ishlab chiqaruvchilar ko’pincha ilovalar kodiga, funksionalligi umumfoydalanishga mo’ljallangan, yashirin funksional imkoniyatlarni, bekdorlarni yoki boshqa mexanizmlarni kiritishadi. Ushbu kategoriyaga ma’lum ta’rif "security through obscurity" (noaniqlik orqali xavfsizlik) to’g’ri keladi. Xaker iborasi bilan aytganda, bu operatsion tizim sotuvchilarining aksariyati xavfsizlik tizimini tuynuklar bilan sotishidan iborat. Tabiiyki, ushbu tuynuklar xususida hujjatlarda so’z bo’lmaydi. Ushbu tuynuklar uzoq vaqt sezilmasdan qolmaydi. Ushbu tuynuklardan foydalanuvchi xakerlar doim topiladi.
Takliflar. Ilovalarni himoyalashning o’ziga xos xususiyati tahdid xarakteriga va mobil platformasiga bog’liq. Ilovalar ishlatilishi jarayonida himoyalangan bo’lishi uchun, resurslarning va dastlabki kodning modifikatsiyalanishini bartaraf etishi mumkin bo’lgan yaxlitlikni tekshirish lozim.
Xulosa
Xulosa qilib aytganda mobil inventarizatsiyani avtomatlashtirish va boshqarish tizimi uzoq vaqt davomida muvaffaqiyatli ishlashni rejalashtirgan har bir korxona uchun zarur, bu bizga zaxiralarni nazorat qilish va to'ldirish funktsiyasini amalga oshirishga imkon beradi. Strukturaviy element sifatida avtomatlashtirish vositalari muhim o’rin tutadi. Mobil inventarizatsiya asta-sekin takomillashtiriladi va kelajakda korxonaning muhim tarkibiy qismi bo’lib, uni faqat sozlash kerak bo'lgan avtonom tizim sifatida ko'rishimiz mumkin. U mustaqil harakatlarni amalga oshirishi mumkin.
Bu jarayondi amalga oshirish ushun harbir jihoz uchun QR kodlar chiqardik va ulardi yopishtirib chiqdik. Hamda ularning har bittasini inventarizatsiya jarayonida o`tkazib chiqdik. Mahsulotlarni inventarizatsiya jarayonlarini avtomatlashtirish kam vaqt sarflash, xizmat ko‘rsatish va ish sifati sonining ortishi hamda kam xarajatlilikni ta’minlashga yordam beradi. Bu orqali O‘zbekistondagi deyarli barcha avtosanoat korxonalariga juda kata foydali va samarali natijalar ko‘rsatiladi va mavjud iqtisodiy va ma’naviy zarar ko‘rishning oldi olinadi va jarayon to‘liq avtomatlashtiriladi, inson omili deyarli ishtirok etmaydi va xatoliklardan ancha holi bo‘ladi. Inventarizatsiya korxona, muassasa, xoʻjalik va shu kabilarning omborida turgan ashyolarning mavjudligini, qanday saqlanayotganligini, shuningdek, ombor xoʻjaligi boʻyicha maʼlumotlarni davriy ravishda ro‘yxatdan oʻtkazish, yoʻqlama qilishdir. Bu jarayon ko‘p vaqt talab qiluvchi, ko‘p sonli xodimlarni jalb etuvchi, shuningdek, alohida komisiya tuziluvchi va talaygina hujjat va hisobotlarni tayyorlashga qaratilgan tadbirlar majmuasi hisoblanadi. Biroq inventarizatsiya jarayoni barcha xo‘jalik tashkilotlari uchun majburiy hisoblanadi va o‘rnatilgan tartibdagi xujjat va hisobotlar bilan tasdiqlanishi talab etiladi. Shuning uchun mahsulotlarni inventarizatsiya jarayonlarini avtomatlashtirish deyarli barcha sanoat korxonalari va xo‘jalik subyektlari uchun katta ahamiyat kasb etadi
|
| |
