Очиқ кодли операцион тизимларда шифрлаш ва архивлашни ташкил этиш

МАСОФАВИЙ БАНК ХИЗМАТЛАРИДА ХАВФСИЗЛИК МАСАЛАСИ

Download 2,01 Mb.

bet	27/64
Sana	30.04.2022
Hajmi	2,01 Mb.
	#599007

1 ... 23 24 25 26 27 28 29 30 ... 64

Bog'liq
5-шўба УМУМИЙ

МАСОФАВИЙ БАНК ХИЗМАТЛАРИДА ХАВФСИЗЛИК МАСАЛАСИ

Ташев К.А. (ТАТУ, Илмий ишлар ва инновациялар бўйича проректор)
Файзиева Д.С. ( ТАТУ, катта ўқитувчи)
Юлдашева Н.С. ( ТАТУ, ассистент )

Масофавий банк хизматлари (МБХ) ёрдамида сиз депозитлар,

ҳисоб–китоблар, карталар, ва кредитлар тўғрисидаги маълумотлардан хабардор бўлишингиз, Интернет орқали ҳисобларингизни бошқаришингиз, шунингдек, қуйидаги чиқувчи ҳужжатларни яратишингиз, таҳрирлашингиз, сақлашингиз, чоп этишингиз, имзолашингиз ва банкка юборишингиз мумкин. Мисол тариқасида комунналь ва алоқа компаниялари хизматлари учун тўлов қилиш, кредит олиш учун ариза шакллантириш мумкин. Ушбу рўйхат доимий равишда кенгайиб ва ўзгариб туриши натижасида, карталар ва масофавий банк алоқаси хизматларнинг мутлақо янги сифатини яратади. Бу эса нафақат МБХ-ни мижозлар учун, балки фирибгарлар учун ҳам янада жозибадор қилади.
Бир томондан, масофавий банк тизимлари ҳар доим ҳам Интернетдаги ҳужумлардан яхши ҳимояланмаган. Иккинчи томондан, банклар ва ҳуқуқни муҳофаза қилиш идоралари турли сабабларга кўра фирибгарларга қарши самарали курашишга тайёр эмаслар. Учинчи томондан, фирибгарлар ноқонуний фаолиятга алоқадорлигини исботлаш муаммо саналади, шу сабабли уларнинг жиноятлари учун жавобгарликка тортиш қийин. Бошқача қилиб айтганда, бу бугунги кунда банклар ва уларнинг мижозлари фирибгарлар фаолиятидан ҳимоя қилиш масаласида асосан ўзлари жавобгарликларини англатади. Бундай шароитда банклар томонидан энг биринчи қадам МБХ тизимларида хавфсизлик механизмларини амалга ошириш (МБХ сервер қисми учун ҳам, мижоз томонидан идентификация ва аутентификация қилиш воситалари учун ҳам) зарур.
МБХ тизимидаги фирибгарлик ёки ҳужумларнинг ҳар бир янги тури ўзининг янги хавфсизлик механизмлари оиласини яратади. МБХ ҳужумларининг асосий тарихий босқичларини қуйидагиларга ажратиш мумкин:

маълумотларни узатиш каналларига ҳужумлар;
узатилаётган ҳужжатларга ҳужумлар;
ишлатилган каналлар орқали сохта ҳужжатлар (сохта “эслатмалар”);
ўзгарувчан код жадвалларини келишиб, тўлов ҳужжатларини қалбакилаштириш;
махфий ЭРИ калити ва паролини ўғирлаш учун Интернет орқали компьютерга ҳужум;
компьютер ресурсларини масофадан бошқариш учун Интернет орқали компьютерга ҳужум;
МБХ тизимининг ҳужжатларни алмаштириш ҳужуми (биринчи навбатда, тўлов буюртмасини алмаштириш).

МБХ тизимлари cифатли ва хавфсиз фаолият олиб бориш учун етарли хавфсизлик механизмларини яратиш долзарб масала саналади. Шу нуқтаи назардан қуйида хавфизликни таъминлаш учун таклифлар келтирилган.
Бир марталик пароль - мижознинг компьютер бошқарувини рухсатсиз ушлаб туришдан ҳимоя қилади ва тизим бир марталик паролни талаб қилгандан сўнг, у фақат маълум вақт давомида амал қилади ва уни қайта ишлатиб бўлмайди.
Маълумотларни шифрлаш - бугунги кунда МБХ-ни кўрсатадиган барча ёки деярли барча банклар фойдаланувчи компьютеридан банк тизимига ва қайта узатиладиган маълумотларни SSL шифрлаш усулидан фойдаланадилар. Ушбу хавфсизлик чораси илгари кенг тарқалган фирибгарлик турини истисно қилишга имкон беради. “Ўртага турган одам” ҳужум схемаси тез-тез ишлатилган, хусусан, тўлов маълумотлари мижоздан юборилган босқичда ушланган. Бунда фирибгар маълумотларни ўзгартириб банкка юбориши олди олинади.
Бир марталик SMS-пароллар - МБХ тизимида фойдаланувчи аутентификациясининг ушбу усул ёрдамида онлайн-банкдан фойдаланган ҳолда амалга оширган ҳар бир операцияни мобил телефонингизга
SMS-хабарда қабул қилинадиган бир марталик парол билан тасдиқлаш амалга оширилади. Бунда мобил қурилма рақами ҳисоб рақамига “боғланган” бўлиши талаб этилади. Бундай тизим бир қатор афзалликларга эга. Биринчидан, уни ишлатиш жуда осон. Иккинчидан, бу ҳисобни тажовузкорлар томонидан ишлатилишидан ҳимоя қилишга имкон бермайди, яъни, фирибгарлар кириш учун логин ва паролдан хабардор бўлган тақдирдам ҳам, улар амалиётни амалга ошира олмайди. Натижада, SMS-хабардан рухсатсиз операция ўтказишга уриниш ҳақида билиш мумкин бўлади. Бундан ташқари, бир марталик пароллар рўйхатини сақлаш тааб этилмайди.
Электрон рақамли имзо (ЭРИ). Ушбу механизм кўпинча ташкилотларга банклар томонидан хизмат кўрсатишда қўлланилади. Лекин, баъзида у алоҳида мижозларга ҳам таклиф этилиши мумкин. ЭРИ-нинг афзаллиги шундаки, у фойдаланувчини уникал тарзда аниқлашга имкон беради. Камчилик шундаки, ЭРИ фирибгарларга нисбатан ҳимоясиз бўлиши мумкин. Бузғунчилар зарарли дастурий таъминот билан компютерда сақланган рақамли имзо калитини ўғрилаши мумкин. Агар Интернет орқали молиявий операцияларни тасдиқлаш учун ЭРИ-дан фойдаланилса, антивирус дастурларидан фойдаланиш зарур бўлади. Шунингдек, мутахассислар ЭРИ калитидан фойдаланилмаган тақдирда, уни компьютерга уланган ҳолда қолдириш маслаҳат берилмайди.
Ташқи электрон қурилмалар. Баъзи банклар онлайн банк фойдаланувчиларига махсус қурилма сотиб олишни (ёки ижарага олишни) таклиф қилишади. Бундай қурилмалардан бири Generator бўлиб, у USB порт орқали компютерга уланади ва махсус дастурий таъминотни талаб қилмайди.
Бундан ташқари, турли ташкилотларда МБХ тизимига уланганда ҳосил бўлган ташқи электрон калитдан фойдаланишни таклиф қилишади. Дастлаб ташқи воситада калит қайд этилади ва тизимда операцияларни амалга оширишда ишлатилади. Бундай тизимларга мисол сифатида, соддалаштирилган ЭРИ версиясини кўрсатиш мумкин. Ушбу усулнинг камчилиги сифатида калитни доимо ёнингизда хавфсиз сақлаб олиб юришни кўрсатиш мумкин.
Юқоридагилардан ташқари, банклар кўпинча МБХ-дан хавфсиз фойдаланишни таъминлаш учун қуйидаги қўшимча чораларни қўллайдилар:

шахсий сертификатдан фойдаланишни чеклаш - айрим банклар тизими электрон калит (электрон сертификат) дан фақат у ҳосил қилинган компьютерда фойдаланиш имконини беради. Шундай қилиб, МБХ-дан хизматларидан фақат шахсий компьютерда фойдаланиш мумкин бўлади.
virtual клавиатура - фирибгарларнинг компьютер вируслари (“троянлар”) ёрдамида оддий клавиатурадан киритишда рўйхатдан ўтиш, маълумотларни “ўқишини” олдини олиш учун мўлжалланган;
сессия давомийлигининг чекланиши - фойдаланувчи фаол бўлмаган ҳолатида МБХ тизимидаги сессия маълум вақтдан (одатда 10-15 дақиқадан) сўнг ёпилади. Шундан сўнг, ишни давом эттириш учун қайта тасдиқлаш керак бўлади;
уланиш тарихи - ушбу функция ёрдамида МБХ фойдаланувчиси ундан ташқари кимдир тизимга уланганлигини билиб олиш ва агар улар муваффақиятли кирилган бўлса, барча рухсатсиз операцияларни кузатиб бориш мумкин бўлади.

МБХ фойдаланувчисининг ҳисоб рақамидан рухсатсиз фойдаланишнинг асосий сабаби - фойдаланувчининг эътиборсизлиги ва бепарволиги. Шунинг учун, юзага келиши мумкин бўлган муаммоларни олдини олишда ҳисоб эгаси ундан фойдаланиш маълумотларини ҳимоя қилиши керак. Биринчидан, мутахассислар тизимдан фойдаланиш учун вақти-вақти билан паролларни ўзгартиришни, текширилмаган компьютерларда (масалан, Интернет кафеда) МБХ-дан фойдаланмаслик тавсия этилади.
Бундан ташқари, Интернетда ишлашда эҳтиёт бўлиш зарур. Фирибгарлар аутентификация маълумотларини (логин, парол ва бошқаларни) қўлга киритиш учун ижтимоий муҳандислик техникасидан кенг фойдаланадилар. Бунга мисол тариқасида “fishing”-ни айтиш мумкин. Бу электрон почта хабарлари бўлиб, қабул қилувчиларни аутентификация маълумотларини тажовузкорларга юбориши ёки фирибгарлар веб-сайтга ҳаволани кузатишни таклиф қилишлар орқали амалга оширилади. Ҳозирда ижтимоий тармоқлар (Одноклассники, Твиттер, Facebook) тобора оммалашиб бориши натижасида фирибгарлар дарҳол “fishing” учун ижтимоий тармоқ хабарларидан фойдаланишни бошладилар. Шунингдек, тажовузкорлар МБХ сайтларининг ҳақиқий нусхаларига жуда ўхшаш исмлари билан сохта нусхаларини яратадилар ва ўзлариниг тажавускорона режаларини амалга оширадилар.

Download 2,01 Mb.

Do'stlaringiz bilan baham:

1 ... 23 24 25 26 27 28 29 30 ... 64