BOB. DASTURIY VOSITALAR XAVFSIZLIGI




Download 4,35 Mb.
Pdf ko'rish
bet92/149
Sana10.09.2024
Hajmi4,35 Mb.
#270811
1   ...   88   89   90   91   92   93   94   95   ...   149
Bog'liq
kiberxavfsizlik-asoslari

6 BOB. DASTURIY VOSITALAR XAVFSIZLIGI 
6.1. Dasturiy vositalardagi xavfsizlik muammolari 
Dasturiy vositalar xavfsizligi hozirgi kunda kelib, axborot xavfsizligining 
kriptografiya, ruxsatlarni nazoratlash va xavfsizlik protokollari kabi muhim 
sohalaridan hisoblanadi. Bunga asosiy sabab, axborotning vertual xavfsizligi dasturi 
vositalar orqali amalga oshirilishi bilan belgilanib, agar dasturiy vosita tahdidga 
uchragan taqdirda, xavfsizlik mexanizmi ham barbod bo’ladi. 
Barcha dasturiy vositalarda zaifliklar mavjud bo’lib, ularning muhimlik 
darajalari turlicha. Masalan, qiymati 165 mil. $ ni tashkil etgan NASA Mars Lander, 
Mars sayyorasi yuzasiga qo’nish vaqtida halokatga uchragan. Bunga sabab esa, 
oddiy ingliz va metr uzunlik o’lchovlari orasidagi farq bo’lgan. Bundan tashqari
Denver xalqaro ayeroportidagi yuklarni boshqarish tizimida foydalanilgan dasturiy 
vositadagi kamchilik natijasida, 11 oy davomida kuniga 1 mil. $ dan zarar ko’rilgan. 
Bundan tashqari, so’ngi yillarda ushbu zaiflik muammolarining soni va 
jiddiylik darajalari ortib bormoqda. Xususan, 75-rasmda Positive Technologies 
tashkiloti tomonidan veb saytlardagi turli darajadagi zaifliklarni yillar kesimida ortib 
borishi keltirilgan. 
75 – rasm. Turli darajadagi zaifliklarga ega bo’lgan Veb-saytlar soni [3] 
2019 yilda veb saytlarda mavjud muammolarning jiddiyligi bo’yicha 
taqsimoti 76-rasmda keltirilgan. 
68 
70 
58 
52 
67 
50 
90 
100 
97 
100 
93 
84 
80 
50 
67 
74 
100 
89 
-
20
40
60
80
100
120
2014
2015
2016
2017
2018
2019
Yuqori
O'rta
Past

200 
76-rasm. Veb sayt muammolarining jiddiylik bo’yicha taqsimoti 
O’tgan yilda veb saytlarda keng tarqalgan zaifliklar va ularning ulishi esa 
OWASP (Open Web Application Security Project) tomonidan berilgan ma’lumotga 
ko’ra esa quyidagicha bo’lgan (77-rasm). 
77-rasm. OWASP tashkiloti tomonidan 2019 yilda uchragan zaifliklar va ularning 
ulushi 
Yuqorida keltirilgan zaifliklar natijasida hujumchilar tomonidan quyidagi 
turli ma’lumotlarni qo’lga kiritish maqsad qilingan (78-rasm). 
19%
55%
26%
Yuqori
O'rta
Past
84
53
45
37
29
13
13
5
0
10
20
30
40
50
60
70
80
90
А6 
- Xavfsizlik sozlanmalarining noto'g'riligi
A7 - XSS (Cross-Site Scripting) zaifligi
A2 - Nojoiz autentifikatsiya
А5 
- Nojoiz ruxsatlarni nazoratash
A1 - Inyeksiya
А9 
- No'malum zaifliklar bilan bog'liq muammolar
А3 
- Maxfiy axborotni oshkor bo'lishi
А4 
- XXE (XML External Entities) zaifligi

201 
78-rasm. Zaifliklar natijasida qo’lga kiritish maqsad qilingan ma’lumotlar 
Dasturiy mahsulotlarda xavfsizlik muammolari.
Dasturiy vositalardagi 
mavjud tahdidlar odatda dasturlash tillari imkoniyatlari bilan belgilanadi. Masalan, 
nisbatan quyi dasturlash tillari dasturchidan yuqori malakani talab etgani bois, ularda 
ko’plab xavfsizlik muammolari paydo bo’ladi. Masalan, C# va Java dasturlash 
tillarida ko’plab muammolar avtomatik ravishda kompilyasiya jarayonida 
aniqlangani bois C yoki C++ dasturlash tillariga nisbatan xavfsiz hisoblanadi. 
Odatda zararli dasturiy vositalar ikki turga bo’linadi: 

dasturlardagi zaifliklar (atayin yaratilmagan); 

zararkunanda dasturlar (atayin yaratilgan). 
Birinchi turga asosan, dasturchi tomonidan yo’l qo’yilgan xatolik natijasida 
kelib chiqqan dasturlardagi muammolar misol bo’lsa, ikkinchi turga buzg’unchilik 
maqsadida yozilgan maxsus dasturiy mahsulotlar (masalan, viruslar) misol bo’ladi. 
Dasturiy vositalarda xavfsizlik muammolarini mavjudligi bir nechta omillar 
bilan belgilanadi: 

dasturiy 
vositalarning 
ko’plab 
dasturchilar 
tomonidan 
yozilishi 
(komplekslilik); 

dasturiy mahsulotlar yaratilishida inson ishtiroki; 

dasturchining malakasi yuqori emasligi; 

dasturlash tillarining xavfsiz emasligi. 
Dasturiy vositalar bir nechta million qator kodlardan iborat bo’lib, bu o’z 
navdatida xavfsizlik muammosini ortishiga sababchi bo’ladi (12-jadval). Boshqa 
47
31
14
6
2
Shaxsiy ma'lumotlar
Foydalanuvchi ruxsati
Foydalanuvchi identifikatori
Sessiya Idlari
Ilova ochiq kodi

202 
so’z bilan aytganda, katta dasturiy vositalar ko’plab dasturchilar tomonidan yoziladi 
va yakunda biriktiladi. Agar dasturchilar orasidan bittasining bilim darajasi yetarli 
bo’lmasligi, yakunda butun dasturiy vositani xavfsizligini yo’qqa chiqarishi 
mumkin.
12 - jadval 

Download 4,35 Mb.
1   ...   88   89   90   91   92   93   94   95   ...   149




Download 4,35 Mb.
Pdf ko'rish