BOB. DASTURIY VOSITALAR XAVFSIZLIGI

Yuqorida keltirilgan zaifliklar natijasida turli ma’lumotlarni hujumchilar
tomonidan qo‘lga kiritish maqsad qilingan (7.4-rasm).
Dasturiy vositalardagi mavjud tahdidlar, odatda, dasturlash tillari
imkoniyatlari bilan belgilanadi. Masalan, nisbatan quyi dasturlash tillari
dasturchidan yuqori malakani talab etgani bois, ularda ko‘plab xavfsizlik
muammolari paydo bo‘ladi. C# va Java dasturlash tillarida ko‘plab muammolar
avtomatik tarzda kompilyasiya jarayonida aniqlanganligi sababli, C yoki C++
dasturlash tillariga nisbatan, xavfsiz hisoblanadi.
Odatda zararli dasturiy vositalar ikki turga bo‘linadi:
– dasturlardagi zaifliklar (atayin yaratilmagan);
– zararkunanda dasturlar (atayin yaratilgan).

Birinchi turga, dasturchi tomonidan yo‘l qo‘yilgan xatolik natijasidagi
dasturlardagi muammolar misol bo‘lsa, ikkinchi turga buzg‘unchilik maqsadida
yozilgan maxsus dasturiy mahsulotlar (masalan, viruslar) misol bo‘la oladi.
Dasturiy vositalarda xavfsizlik muammolarining mavjudligi quyidagi
omillar orqali belgilanadi:
– dasturiy vositalarning ko‘plab dasturchilar tomonidan yozilishi
(komplekslilik);
– dasturiy mahsulotlar yaratilishida inson ishtiroki; – dasturchining malakasi
yuqori emasligi;
– dasturlash tillarining xavfsiz emasligi.
Dasturiy vositalarning bir necha million qator kodlardan iborat bo‘lishi
xavfsizlik muammosini ortishiga sababchi bo‘ladi (7.1-jadval). Boshqacha
aytganda, katta hajmli dasturiy vositalar ko‘plab dasturchilar tomonidan yoziladi
va yakunida biriktiriladi. Dasturchilar orasidan bittasining bilim darajasi yetarli
bo‘lmasligi, butun dasturiy vositaning xavfsizligini yo‘qqa chiqarishi mumkin.
Tahlillar natijasi har 10 000 ta qator kodda 5 ta bag mavjudligini ko‘rsatadi.
Boshqacha aytganda, o‘rtacha 3kbayt .exe faylda 50 tacha bag bo‘ladi.
Dasturiy vositalar injineriyasida dasturning o‘z vazifasini kafolatli
bajarishiga harakat qilinsa, xavfsiz dasturiy vositalar injineriyasida esa o‘z
vazifasini xavfsiz bajarishi talab etiladi. Biroq, amalda butunlay xavfsiz dasturiy
vositaning bo‘lishi mumkin emas.
Dasturiy mahsulotlarda zaiflikka tegishli quyidagi tushunchalar mavjud.

Nuqson
. Dasturni amalga oshirishdagi va loyihalashdagi zaifliklarning
barchasi nuqson hisoblanadi va uning dasturiy vositalarda mavjudligi yillar
davomida bilinmasligi mumkin.
Bag
. Baglar dasturiy ta’minotni amalga oshirish bosqichiga tegishli
muammo bo‘lib, ularni osongina aniqlash mumkin. Misol sifatida dasturlashdagi
buferning to‘lib-toshishi (Buffer overflow) holatini keltirish mumkin.
Xotiraning to‘lib-toshishi
. Amalda ko‘p uchraydigan dasturlash tillaridagi
kamchiliklar, odatda, taqiqlangan formatdagi yoki hajmdagi ma’lumotlarning
kiritilishi natijasida kelib chiqadi. Bu turdagi tahdidlar ichida keng tarqalgani –
xotiraning to‘lib-toshishi tahdidi.
Agar buzg‘unchi tomonidan o‘ziga “kerakli” ma’lumot kiritilsa, bu o‘z
navbatida kompyuterning buzilishiga olib keladi.
Quyida C dasturlash tilida yozilgan kod keltirilgan, agar bu kod
kompilyasiya qilinsa, xotiraning to‘lib-toshishi hodisasi sodir bo‘ladi.
Bu yerda mavjud muammo - 10 bayt o‘lchamli xotiraga 20 baytli ma’lumot
yozilishi. Bu esa xotiraning ruxsat etilmagan manziliga ham murojaatga sabab
bo‘ladi.

Download 7,29 Mb.