• Foydalangan adabiyotlar
    		•

    Tarmoq xavfsizli




    Download 51,26 Kb.
    bet2/2
    Sana24.01.2024
    Hajmi51,26 Kb.
    #144927
    1   2
    Bog'liq
    tx.mi

    DNS protokoli risklari
    DNS Poisoning
    DNS Cache Poisoning
    Blind ID Attack
    Autentifikatsiya - Parollarni saqlash va uzatishda eng yaxshi xavfsizlik nuqtai nazaridan bir tomonlama funktsiyalar qo'llanilishi kerak. Odatda bu maqsadlar uchun kriptografik jihatdan chidamli Xash funktsiyalari qo'llaniladi. Bunday holda, server faqat parol tasvirini saqlaydi. Parolni qabul qilib, uni Xash-konvertatsiya qilishni amalga oshirganingizdan so'ng, tizim natijani unda saqlangan mos yozuvlar usuli bilan taqqoslaydi. Ularning identifikatorlari bilan parollar bir xil. Tasvirga kirish imkoniga ega bo'lgan tajovuzkor uchun parolni o'zi hisoblash deyarli mumkin emas.

    Avtorizatsiya autentifikatsiya qilish bilan aralashmaslik kerak — foydalanuvchi yoki ma'lumotlarning qonuniyligini tekshirish tartibi, masalan, foydalanuvchi tomonidan kiritilgan parolni ma'lumotlar bazasida hisobga muvofiqligini tekshirish yoki shifrlash kalitidagi xatning raqamli imzoini tekshirish yoki faylning nazorat summasini tekshirish ushbu faylning muallifi tomonidan e'lon qilingan. Avtorizatsiya shuningdek, huquqiy foydalanuvchilarning autentifikatsiya muvaffaqiyatli o'tishidan so'ng, tizimning turli resurslariga kirishni nazorat qiladi.


    Session Hijacking - Bir foydalanuvchi Majlisi bir tajovuzkor tomonidan qabul qilinadi hujum hisoblanadi. Agar xizmat kirish qachon bir sessiya boshlanadi, misol uchun, bank dastur, agar tizimga qachon va tugaydi. Hujum sizning sessiya cookie tajovuzkor bilim tayanadi, shuning uchun u ham cookie O'g'irlashga yoki cookie tomoni-jacking deyiladi. Har qanday kompyuter sessiyasi o'g'irlab mumkin bo'lsa-da,, sessiya O'g'irlashga eng keng tarqalgan brauzer sessiyalari va veb-ilovalar uchun amal qiladi Muvaffaqiyatli bo'lsa, tajovuzkor, keyin original foydalanuvchi faol sessiya davomida, albatta, vakolatli bo'lgan har qanday harakatlarni amalga oshirish mumkin. Maqsadli dasturga qarab, bu foydalanuvchi bank hisobidan pul o'tkazish, veb-do'konlarda mahsulot sotib olish, o'g'irlanishi uchun batafsil shaxsiy ma'lumotlarga kirish, mijozlarning shaxsiy ma'lumotlarini kompaniya tizimlaridan o'g'irlash, qimmatli ma'lumotlarni shifrlash va ularni parolini hal qilish uchun to'lov talab qilishni anglatishi mumkin – Katta tashkilotlar uchun alohida xavf cookies ham yagona belgisi-kuni tizimlarida autentifikatsiyalangan foydalanuvchilar aniqlash uchun foydalanish mumkin, deb hisoblanadi (SSO). Bu shuni anglatadiki, muvaffaqiyatli sessiya hijack, tajovuzkor SSO-ga bir nechta veb-ilovalarga, moliyaviy tizimlar va mijozlar yozuvlaridan potentsial qimmatli intellektual mulkni o'z ichiga olgan biznes tizimlariga kirish imkonini berishi mumkin. Individual foydalanuvchilar uchun, ilovalar kirish uchun tashqi xizmatlaridan foydalanish paytida o'xshash xatarlar ham mavjud, lekin tufayli qo'shimcha himoya qilish uchun siz Facebook yoki Google hisob yordamida tizimga qachon, sessiya Cookie O'g'irlashga odatda Majlisi oqish uchun etarli bo'lmaydi.
    Qanday himoyalanish mumkin: Sessiya hijacking tahdid tufayli fuqaroligi bo'lmagan HTTP protokoli cheklashlar mavjud. Sessiya cookies bu cheklovlar bartaraf etish va veb-ilovalar individual kompyuter tizimlarini aniqlash va joriy sessiya holatini saqlash uchun ruxsat bir yo'l bor, onlayn do'kon sizning xarid qilish kabi.
    Muntazam brauzer foydalanuvchilar uchun, ba'zi asosiy onlayn xavfsizlik qoidalariga quyidagi xavfini kamaytirish yordam berishi mumkin, lekin sessiya o'g'irlab veb-ilovalar ko'pchilik tomonidan ishlatiladigan asosiy mexanizmlarini ekspluatatsiya ishlari, chunki, yagona kafolatlangan himoya usuli yo'q.
    Main – in –the – middle - Kriptografiya va kompyuter xavfsizligi, bir odam-in-o'rta, monster-in-o'rta, mashina-in-o'rta, maymun-in-o'rta (MITM) yoki shaxs-in-o'rta (PITM) hujum yashirincha bir cyberattack qaerda tajovuzkor o'rni va, ehtimol, ular bevosita bir-biri bilan muloqot, deb ishonaman, ikki tomon o'rtasida aloqa o'zgartiradi. MITM hujumining bir misoli faol tinglashdir, unda tajovuzkor qurbonlar bilan mustaqil aloqalar o'rnatadi va ular orasidagi xabarlarni shaxsiy aloqa orqali to'g'ridan-to'g'ri bir-birlari bilan gaplashayotganlariga ishonishadi, aslida butun suhbat tajovuzkor tomonidan nazorat qilinadi. Tajovuzkor ikki jabrlanuvchi o'rtasida o'tadigan barcha tegishli xabarlarni ushlashi va yangilarini AOK qilishi kerak. Bu juda ko'p holatlarda sodda, misol uchun, shifrlanmagan Wi-Fi kirish nuqtasining qabul qilish oralig'idagi tajovuzkor o'zlarini o'rtada odam sifatida joylashtirishi mumkin. O'zaro autentifikatsiyani chetlab o'tishni maqsad qilganidek, MITM hujumi faqat tajovuzkor o'z talablarini qondirish uchun har bir so'nggi nuqtani etarlicha yaxshi ko'rsatganda muvaffaqiyat qozonishi mumkin. Eng kriptografik protokollar maxsus MITM hujumlar oldini olish uchun endpoint autentifikatsiya ba'zi formasini o'z ichiga oladi. Misol uchun, TLS bir yoki ikki tomonni o'zaro ishonchli sertifikat vakolatidan foydalanishi mumkin. Biz maxfiy shaxsiy ma'lumotlarimizni har doim himoya qilinishini kutish bilan beramiz. Agar kredit karta uchun murojaat qachon, yangi ish boshlash yoki doktorlik ofisiga tashrif, misol uchun, shaxsiy ma'lumot to'plangan va saqlanadi. Lekin bu ma'lumot noto'g'ri yoki noto'g'ri notog'ri saqlanganda nima bo'ladi? Siz uchun natijalar jiddiy bo'lishi mumkin.
    Information Leakage and Privacy - O'g'irlanishi ham maxfiy ma'lumotlar notog'ri eng xavfli ta'sir hisoblanadi. Agar tenglik o'g'ri sizning nomi uchun kirish turkcha bo'lsa, manzil va ijtimoiy xavfsizlik raqami, qalbaki hisob sizning nomi bilan yaratilgan bo'lishi mumkin va minglab dollar ayblovlar qiymat o'sha hisob bo'yicha amalga oshirilishi mumkin. Hatto ko'proq zarar, ba'zi o'g'irlanishi holatlar jinoyat hujjatlari o'g'irlangan shaxsiyatlar yordamida o'z ichiga oladi. Misol uchun, agar jinoyatchi hibsga olingan va sizning nomingizdan soxta identifikatsiya kartasini ishlatsa, siz hatto bilmagan jinoiy rekord, mashhur kafolatlar va jarimalarga ega bo'lishingiz mumkin. Kredit hisoboti tozalash va o'g'irlanishi, chunki jinoiy rekord uzoq bo'lishi mumkin, sermashaqqat va ba'zan qimmat jarayon.
    Aksariyat Yevropa davlatlari va Kanada maxfiy axborot xavfsizligini himoya qilish uchun federal qonunlarga ega, ammo Qo'shma Shtatlarda bunday qonunlar yo'q. Buning o'rniga, U. S. Sog'liqni saqlash sug'urtasi taşınabilirlik va javobgarlik Qonuni kabi tarmoq maxfiylik qonunlari bor ([Object window]), qaysi tibbiy yozuvlarni himoya qiladi, va adolatli kredit hisobot Qonuni, qaysi iste'mol kredit huquqlarini tartibga soladi. Lekin bu qonunlar shaxsiy ma'lumotlarning barcha foydalanish himoya emas, ba'zi davlatlar bo'lsa-da, Kaliforniya kabi, kengroq iste'mol maxfiylik qonunlari bor.
    So'nggi bir necha yil ichida ma'lumotlar buzilishi amerikaliklar millionlab maxfiy moliyaviy ma'lumotlarni xavf bor qaerda ko'p misollar bor edi. Eng so'nggi keng ko'lamli ma'lumotlar buzilishi TJX kompaniyalarida sodir bo'lgan. ichida 2006 va xabarlarga ko'ra, ta'sir ustidan 450,000 mijozlar. Shu yilning boshida AQSh faxriylar ishlari boshqarmasi ham 26.5 million faxriyning ijtimoiy xavfsizlik raqamlari o'g'irlangan katta xavfsizlik buzilishini boshdan kechirdi. Xuddi shunday buzilishlar ChoicePoint Inc. da ham sodir bo'lgan., Amerika banki, CardSystems Solutions va DSW poyabzal ombori. Bu ma'lumotlar buzilishi sodir bo'lsa, U. S. Federal savdo komissiyasi ([Object window]) tekshirayotgan va kompaniyalari penalizes deb boshqarish organi hisoblanadi. Kompaniyalar tez-tez millionlab dollar jarima va iste'molchilar zarar saqlab qolish yordam berish uchun o'rnatish xizmatlari buyurdi bor. Banklar, shuningdek, buzilishi sodir qaerda kompaniyalari sue mumkin, agar buzilishi qalbaki kredit hisob va zarar olib keldi, agar. Iste'molchilar, shuningdek, zarar uchun sudga berish imkoniga ega, lekin eng yaxshi katta hollarda bir sinf harakat kostyum qo'shilish tomonidan xizmat qilishi mumkin. Katta kompaniya bilan cho'zilgan huquqiy jang qimmat bo'lishi mumkin. Yaxshi maxfiy shaxsiy ma'lumotlarni xavfsiz uchun harakat tortish qozonmoqda. Pirg va Maxfiylik huquqlari Clearinghouse iste'molchi va xodimlarning maxfiylik huquqlarini himoya qilish uchun kuchli federal qonunchilikni talab qilmoqda. Ko'p kompaniyalar, shuningdek, iste'mol va xodim ma'lumotlarni ham himoya qilish uchun maxfiylik siyosati amalga oshirilmoqda. Misol uchun, Procter & Gamble kompaniyasi shaxsiy ma'lumotlarni sotishni taqiqlaydigan va ma'lumotlarni himoya qilish protokollari va hisobdorligini o'rnatadigan keng qamrovli "Global Maxfiylik siyosati" ga ega. Har doim shaxsiy ma'lumotlarni taqdim oldin kompaniyaning maxfiylik siyosati haqida so'rash.
    Agar shaxsiy ma'lumot xavf qilingan, deb siz sezilsa, birinchi qadam hech kredit yangi hisob sizning nomi bilan ochilgan bo'lishi mumkin, shunday qilib, kredit hisoboti bo'yicha firibgarlik bir ogohlantirish qo'yish bo'lishi kerak. O'zingizni himoya sizning soni bir ustuvor bo'lishi kerak.


    Foydalangan adabiyotlar

    http://kazanets.narod.ru/APACHEIntro.htm.
    http://kazanets.narod.ru/PCS7Overview.htm.
    http://www.rts.ua/rus/news/678/0/409.
    Zyl S. QNX Momentics: Amaliyot asoslari. - SPb: BHV-Peterburg.
    Download 51,26 Kb.
    1   2




    Download 51,26 Kb.