1 Ma’ruza: Fanga kirish Agar siz siringizni shamolga aytsangiz, uni daraxtlarga
Download 356,63 Kb.
|
1 Ma’ruza Fanga kirish Agar siz siringizni shamolga aytsangiz,
|
1 - Ma’ruza: Fanga kirish Agar siz siringizni shamolga aytsangiz, uni daraxtlarga aytgani uchun shamolni ayblamang. — Kahlil Gibran Xavfsizlik nima ? • Dictionary.com saytida “Security” so‘zi: 1. Tahdid yoki xavfdan ozod; xavfsiz. 2. SHubhadan, xavotirdan yoki qo‘rquvdan holi; ishonish. • Tizim to‘g‘riligi – Agar kutilgan kirish amalga oshirilsa, tizim maqul natijani hosil qiladi. • Xavfsizlik – Agar buzg‘unchi kutilmagan kirishni amalgi oshirsa, tizim ishida buzilish bo‘lmaydi. Tizim to‘g‘riligi YAxshi kirish YAxshi chiqish Xavfsizlik YOmon kirish YOmon chiqish Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlik nima? • Kiberxavfsizlik hozirda kirib kelgan yangi tushunchalardan biri bo‘lib, unga turli berilgan turli ta’riflar mavjud. • Xususan, CSEC2017 Joint Task Force (CSEC2017 JTF) kiberxavfsizlikka quyidagicha ta’rif bergan: kiberxavfsizlik – hisoblashga asoslangan bilim sohasi bo‘lib, buzg‘unchilar mavjud bo‘lgan jaroitda amallarni kafolatlash uchun o‘zida texnologiya, inson, axborot va jarayonni mujassamlashtirgan. • U xavfsiz kompyuter tizimlarini yaratish, amalga oshirish, tahlil qilish va testlashni o‘z ichiga oladi. • Kiberxavfsizlik ta’limning mujassamlashgan bilim sohasi bo‘lib, qonuniy jixatlarni, siyosatni, inson omilini, etika va risklarni boshqarishni o‘z ichiga oladi. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlik nima? • Tarmoq bo‘yicha faoliyat yuritayotgan Cisco tashkiloti esa kiberxavfsizlikka quyidagicha ta’rif bergan: Kiberxavfsizlik – tizimlarni, tarmoqlarni va dasturlarni raqamli hujumlardan himoyalash amaliyoti. • Ushbu kiberxujumlar odatda maxfiy axborotni boshqarish, almashtirish yoki yo‘q qilishni; foydalanuvchilardan pul undirishni; yoki normal ish faoliyatini uzub qo‘yishni maqsad qiladi. • Hozirgi kunda samarali kiberxavfsizlik choralarini amalga oshirish insonlarga qaraganda qurilmalar sonining ko‘pligi va buzg‘unchilar salohiyatini ortishi natijasida amaliy tomondan murakkablashib bormoqda. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlik Kiberxavfsizlik asoslari (CSF1316)
Nima uchun kiberxavfsizlik kerak ? • Kiberxavfsizlik bilim sohasining zaruriyati birinchi meynfrem kompyuterlar ishlab chiqarilgandan boshlab paydo bo‘la boshlagan. • Bunda mazkur qurilmalarni va ular xizmat qilgan missiyalarni himoyasi uchun ko‘p qatlamli xavfsizlik amalga oshirilgan. • Milliy xavfsizlikni ta’minlash zaruriyatini ortishi natijasida kompleks va texnologik tomondan murakkab bo‘lgan ishonchli xavfsizlik paydo bo‘ldi. Kiberxavfsizlik asoslari (CSF1316) Nima uchun kiberxavfsizlik kerak ? Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikni fundamental terminlari • Konfidensiallik – Tizim ma’lumoti va axborotiga faqat vakolatga ega sub’ektlar foydalanishi mumkinligini ta’minlovchi qoidalar. – Mazkur qoidalar axborotni faqat qonuniy foydalanuvchilar tomonidan “o‘qilishini” ta’minlaydi. • YAxlitlik (butunlik) – Ma’lumotni aniq va ishonchli ekanligiga ishonch hosil qilish. – YA’ni, axborotni ruxsat etilmagan o‘zgartirishdan yoki “yozish” dan himoyalash. • Foydalanuvchanlik – Ma’lumot, axborot va tizimdan foydalanishning mumkinligi. – YA’ni, ruxsat etilmagan “bajarish” dan himoyalash. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikni fundamental terminlari • Risk – Potensial foyda yoki zarar. • Hujumchi kabi fikrlash – Bo‘lishi mumkin bo‘lgan xavfni oldini olish uchun qonuniy foydalanuvchini hujumchi kabi fikrlash jarayoni. – YAxshi insonlar “yomon inson” kabi o‘ylashi kerak ! – Militsiya xodimi… • …kriminal haqida bilishi va tushinishi kerak – Ushbu kursda • Biz hujumchi foydalangan usullarini bilishni istaymiz • Buzg‘unchi motivlari haqida o‘ylash kerak • Tez – tez buzg‘unchi kabi bo‘lish • Tizimli fikrlash – Kafolatlangan amallarni ta’minlash uchun ijtimoiy va texnik cheklovlarni o‘zaro ta’sirini hisobga oladigan fikrlash jarayoni. – Masalan, virusga qarshi himoya uchun faqat antivirus dasturini o‘rnatishning o‘zi etarli emas. Viruslar va ularni tarqalish usullari bo‘yicha xodimlarga ma’lumotlar berish va semenarlar o‘tkazish talab etiladi. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikni umumiy ko‘rinishi • Alisa (A) va Bob (B) yaxshi odamlar Tridi (T) yomon odam • Tridi umumiy ko‘rinishdagi “buzg‘unchi”
Tizim
Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikning bilim sohalari Kiberxavfsizlik asoslari (CSF1316)
Kiberxavfsizlikning bilim sohalari • “Ma’lumotlar xavfsizligi” bilim sohasi ma’lumotlarni saqlashda, qayta ishlashda va uzatishda himoyani ta’minlashni maqsad qiladi. – Mazkur bilim sohasi himoyani to‘liq amalga oshirish uchun matematik va analitik algoritmlardan foydalanishni talab etadi. – Ma’lumot saqlangan, yuzatilish va ishlov berish holatlarida bo‘lishi mumkin. • “Dasturiy ta’minotlar xavfsizligi” bilim sohasi foydalanilayotgan tizim yoki axborot xavfsizligini ta’minlovchi dasturiy ta’minotlarni ishlab chiqish va foydalanish jarayoniga e’tibor qaratadi. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikning bilim sohalari • “Tashkil etuvchilar xavfsizligi” bilim sohasi katta tizimlarda integrallashgan tashkil etuvchilarni loyihalash, sotib olish, testlash, analiz qilish va texnik xizmat ko‘rsatishga e’tibor qaratadi. – Tizim xavfsizligi tashkil etuvchilar xavfsizligidan farq qiladi. – Tashkil etuvchilar xavfsizligi ular qanday loyihalanganligi, yaratilganligi, sotib olinganligi, boshqa tarkibiy qismlarga ulanganligi, qanday ishlatilganligi va saqlanganligiga bog‘liq. • “Aloqa xavfsizligi” bilim sohasi tashkil etuvchilar o‘rtasidagi aloqani himoyalashga etibor qaratib, o‘zida fizik va mantiqiy ulanishni birlashtiradi. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikning bilim sohalari • “Tizim xavfsizligi” bilim sohasi tashkil etuvchilar, ulanishlar va dasturiy ta’minotdan iborat bo‘lgan tizim xavfsizligining aspektlariga e’tibor qaratadi. – Tizim xavfsizligini tushunish uchun nafaqat, uning tarkibiy qismlari va ulanishini tushunishni, balki butunlikni hisobga olishni talab qiladi. • “Inson xavfsizligi” bilim sohasi kiberxavfsizlik bilan bog‘liq inson hatti harakatlarini o‘rganishdan tashqari, tashkilotlar (masalan, xodim) va shaxsiy hayot sharoitida shaxsiy ma’lumotlarni va shaxsiy hayotni himoya qilishga e’tibor qaratadi. Kiberxavfsizlik asoslari (CSF1316) Kiberxavfsizlikning bilim sohalari • “Tashkilot xavfsizligi” bilim sohasi tashkilotni kiberxavfsizlik tahdidlaridan himoyalash va tashkilot vazifasini muvaffaqqiyatli bajarishini madadlash uchun risklarni boshqarishga e’tibor qaratadi. • “Jamoat xavfsizligi” bilim sohasi u yoki bu darajada jamiyatda ta’sir ko‘rsatuvchi kiberxavfsizlik omillariga e’tibor qaratadi. – Kiberjinoyatchilik, qonunlar, axloqiy munosabatlar, siyosat, shaxsiy hayot va ularning bir-biri bilan munosabatlari ushbu bilim sohasidagi asosiy tushunchalar. Kiberxavfsizlik asoslari (CSF1316) Axborot xavfsizligi Axborot
Konfidensiallik Butunlik Foydalanuvchanlik Kiberxavfsizlik asoslari (CSF1316)
Risk
har qanday vaziyatga biror bir hodisani yuzaga kelish ehtimoli qo‘shilsa, unda risk paydo bo‘ladi. • Kiberxavfsizlikda yoki axborot xavfsizligida risklar salbiy ko‘rinishda qaraladi. • Risk – bu noaniqlikning maqsadlarga ta’siri. • Maqsad – u yoki bu faoliyat jarayonida nimaga erishishni xoxlashimiz hisoblanadi. • Noaniqlik – hozisaga, uning oqibatlari yoki uning ehtimolini bilishga aloqador axborotni yoki bilimlarni etishmasligi yoki qisman etishmasligi holati. Kiberxavfsizlik asoslari (CSF1316) Risk
ijobiy tomonga og‘ishi. • Aktiv – tashkilot uchun qadrli bo‘lgan ixtiyoriy narsa bo‘lib, axborot xavfsizligiga bog‘liq holda aktiv sifatida tashkilotning muhim ahborotini keltirish mumkin. • Tahdid – tizim yoki tashkilotga zarar etkazishi mumkin bo‘lgan istalmagan hodisa. • Zaiflik – bu bir yoki bir nechta tahdidga sabab bo‘luvchi tashkilot aktivi yoki boshqaruv tizimidagi kamchilik hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) Boshqarish vositasi • Boshqarish vositasi (Control) – bu riskni o‘zgartiradigan harakatlar bo‘lib, boshqarish natijasi zaiflik yoki tahdidga ta’sir qiladi. • Bundan tashqari, boshqarish vositasining o‘zi turli tahdidlar uchun foydalanililishi mumkin bo‘lgan zaiflikka ega bo‘lishi mumkin. Kiberxavfsizlik asoslari (CSF1316) “Tahdid-zaiflik-aktiv-boshqarish vositasi” asosida risk modeli Kiberxavfsizlik asoslari (CSF1316) Aktiv Boshqarish vositasi Tahdid Zaiflik
T-1 A-1
T-2 1 2
3 Ta’sir
BV-2 Ta’sir
4 T-3
risk 1 risk 2
risk 3 BV-1
Xavfsizlik muammolari Zaiflik Tahdid Hujum Kiberxavfsizlik asoslari (CSF1316)
Kompyuter xavfsizligi muammosi • Ko‘plab bag mavjud dasturlar (va ishonuvchan foydalanuvchlar) • Sotsial injineriya (maxfiy ma’lumotlarni oshkor qilishda xodimlardan foydalanish) • Boshqa tizimlar orqali buzib kirish • Fizik nazoratlash Motivatsiyalar • Harbiy • Terrorizm • Foyda (masalan, pul, imtiyoz va hak.) Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 1. FBI ning qidiruvda bo‘lganlar ro‘yxati. FBI tomonidan Kiber xavfsizlik sohasiga oid jinoyatchilar ro‘yxatining boshida shimoliy koreyalik programmist Park Jin Xyok egallagan. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 2. Mobayl zararli dasturiy vositalar hajmining ortishi. • Symantec’s Internet Security Threat Report 2018 ma’lumotiga ko‘ra 2017 yilda yangi mobayl zararli dasturiy vositalarning ko‘rinishi 57% ga ortgan. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 3. Uchinchi tomon ishlab chiqargan zararli bo‘lgan mobayl ilovalar. • Symantec tomonidan uchinchi tomon ishlab chiqaruvchilari hostidagi 99.9% ilovalarda zararli harakatlar aniqlangan. 4. AQSHda 2023 yilga kelib ma’lumotlarning yarmi buzulishi kuzatiladi. • 2023 yilda kelib kiberjinoyachilik natijasida 33 mld. xujjat o‘g‘irlanadi [Juniper Research]. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 5. Aniqlangan shaxsiy ma’lumotni o‘g‘irlash holati 60 mln Amerikalikka ta’sir qilgan. • [Harris Poll] ma’lumotiga ko‘ra 60 mln Amerikalik shaxsiy ma’lumotlarini o‘g‘irlatgan. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 6. AQSH hukumati kiber xavfsizlik uchun 2019 yil uchun 15 mlrd $ ajratish nazarda tutilmoqda. • Ushbu ko‘rsatkich o‘tgan yilga qaraganda 4% ga ortiq. • SHulardan: – 8.5 mlrd $. – “Department of Defense” uchun; – 1.7 mlrd $. – “Homeland Security” uchun. 7. Kiber jinoyatchilikda pul ishlab topish (coin mining) o‘sib boruvchi soha. • Ushbu ko‘rsatkich 2017 yilga qaraganda 34 ming %ga oshgan. • Xususan, Symantec tomonidan 2017 yilning dekabrida 8 mln. pul ishlab topish holatlari bloklangan. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 8. AQSH kiber jinoyatchilikka uchragan eng katta davlat. Kiberxavfsizlik asoslari (CSF1316) 2018 yilning top yuqori 10 ta fakti [us.norton.com] 9. “Internet of Things, IoT” tizimlari zaifliklarni ortishiga sabab bo‘lgan. • Semantec tadqiqotlar natijasida 2015 yilda 50 ta ishlab chiqilgan qurilmalarda ko‘plab zaifliklarni aniqlagan. Ular smart eshik tizimlarida ko‘plab uchragan. 10. Ma’lumotlarni yo‘qolishining o‘rtacha qiymati ortgan (2018 yil). • Butun dunyodagi kompaniyalarda ma’lumot yo‘qolishining umumiy hajmi $11.77 mln. • AQSH kompaniyalarida ma’lumot yo‘qolishining umumiy hajmi $7.91 mln. • Ma’lumotni chiqib ketishini aniqlash uchun 196 kun sarflangan. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 2 - Ma’ruza: Kriptografiyaning asosiy tushunchalari va tarixi Kriptografiya bu – zo‘ravonliksiz to‘g‘ridan-to‘g‘ri harakatning yuqori ko‘rinishidir. — Julian Assanj (WikiLeaks asoschisi) Kriptografiyaning asosiy tushunchalari • Kriptologiya - “maxfiy kodlar”ni yaratish va buzish fani
Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning asosiy tushunchalari • SHifr yoki kriptotizim ma’lumotni shifrlash uchun
Kiberxavfsizlik asoslari (CSF1316) SHifrlash Deshifrlash Kalit Kalit Ochiq matn SHifr matn Ochiq matn
Kriptografiyaning asosiy tushunchalari SHifrlash va deshifrlash masalalariga tegishli bo‘lgan, ma’lum bir alfavitda tuzilgan ma’lumotlar matnlarni tashkil etadi. Alfavit - axborotni ifodalash uchun foydalaniladigan chekli sondagi belgilar to‘plami. Misollar sifatida: • o‘ttiz oltita belgidan (harfdan) iborat o‘zbek tili alfaviti; • o‘ttiz ikkita belgidan (harfdan) iborat rus tili alfaviti; • yigirma sakkizta belgidan (harfdan) iborat lotin alfaviti; • ikki yuzi ellik oltita belgidan iborat ASSII kompyuter belgilarining alfaviti; • binar alfavit, ya’ni 0 va 1 belgilardan iborat bo‘lgan alfavit; • sakkizlik va o‘n oltilik sanoq sistemalari belgilaridan iborat bo‘lgan alfavitlarni keltirish mumkin. Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning asosiy tushunchalari • Simmetrik shifrlarda ma’lumotni shifrlash va deshifrlash uchun bir xil kalitdan foydalaniladi. • Bundan tashqari ochiq kalitli (assimetrik) kriptotizimlar mavjud bo‘lib, unda shifrlash va deshifrlash uchun turlicha kalitlardan foydalaniladi. • Turli kalitlardan foydalanilgani bois, shifrlash kalitini oshkor qilsa bo‘ladi va shuni uchun ochiq kalitni kriptotizim deb ataladi. • Ochiq kalitini kriptotizimlarda shifrlash kalitini ochiq kaliti deb atalsa, deshifrlash kalitini shaxsiy kalit deb ataladi. • Simmetrik kalitli kriptotizimlarda esa kalit - simmetrik kalit deb ataladi. Kiberxavfsizlik asoslari (CSF1316) Kerkxofs prinsipi • Ideal shifrlar uchun kalitsiz shifrmatndan ochiq matnni tiklashning imkoni bo‘lmasligi zarur. – Bu shart, hattoki hujumchilar uchun ham o‘rinli. • Hujumchi algoritm (shifrlash algoritmi) haqida barcha ma’lumotlarni bilgan taqdirda ham kalitsiz ochiq matnni tiklashning imkoni bo‘lmasligi zarur. – Ushbu qo‘yilgan maqsad, amalda bundan farqdi bo‘lishi mumkin. • Kriptografiyaning fundamental nazariyasiga ko‘ra kriptotizimning ichki ishlash prinsipi hujumchiga to‘liq oshkor bo‘lishi zarur. • Hujumchiga faqat kriptotizimda foydalanilgan kalit noma’lum bo‘lishi zarur. • Bu ta’limot Kerkxofs prinsipi deb ataladi. Kiberxavfsizlik asoslari (CSF1316) Kodlash va shifrlash orasidagi farq • Aksariyat hollarda foydalanuvchilar ma’lumotni shifrlash va kodlash tushunchalarini bir xil deb tushuniladi. – Aslida esa ular ikki turlicha tushunchalardir. • Kodlash – ma’lumotni osongina qaytarish uchun hammaga (hattoki hujumchiga ham) ochiq bo‘lgan sxema yordamida ma’lumotlarni boshqa formatga o‘zgartirishdir. • Kodlash ma’lumotlardan foydalanish qulayligini ta’minlash uchun amalga oshiriladi va hamma uchun ochiq bo‘lgan sxemalardan foydalaniladi. • Masalan, ASCII, UNICODE, URL Encoding, base64. Kiberxavfsizlik asoslari (CSF1316) ASCII kodlash standarti Kiberxavfsizlik asoslari (CSF1316)
SHifrlash • SHifrlash – jarayonida ham ma’lumot boshqa formatga o‘zgartiriladi, biroq uni faqat maxsus shaxslar (deshifrlash kalitiga ega bo‘lgan) qayta o‘zgartirishi mumkin bo‘ladi. • SHifrlashdan asosiy maqsad ma’lumotni maxfiyligini ta’minlash bo‘lib, uni qayta o‘zgartirish ba’zi shaxslar (deshifrlash kalitiga ega bo‘lmagan) uchun cheklangan bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Kriptografiya va steganografiya • Stenanografiya – bu maxfiy xabarni soxta xabar ichiga berkitish orqali aloqani yashirish hisoblanadi. • Boshqa so‘z bilan aytganda steganografiyaning asosiy g‘oyasi – bu maxfiy ma’lumotlarning mavjudligi haqidagi shubhani oldini olish hisoblanadi. • Kriptografiyada esa jo‘natuvchi faqat ochiq matn ko‘rinishidagi xabar yuborishi mumkin, bunda u xabarni ochiq tarmoq (masalan, Internet) orqali uzatishdan oldin shifrlangan matnga o‘zgartiradi. Ushbu shifrlangan xabar qabul qiluvchiga kelganida esa yana oddiy matn ko‘rinishiga qaytariladi. • Umumiy holda ma’lumotni shifrlashdan asosiy maqsad (simmetrik yoki ochiq kalitli kriptografik tizimlar asosida farqi yo‘q) – ma’lumotni maxfiyligini qolganlardan sir tutishdir. Kiberxavfsizlik asoslari (CSF1316) Kriptografiya va steganografiya Kiberxavfsizlik asoslari (CSF1316) Ochiq matn SHifrlangan matn SHaxsiy kalit Ochiq kalit SHifrlash
Deshifrlash algoritmi Ochiq matn YUboruvchi Qabul qiluvchi Biriktirish jarayoni Ajratish jarayoni Stego-kalit Stego-kalit Xabar tashib
Maxfiy
Maxfiy
Stego-tasvir a) Kriptografik himoya b) Steganografik himoya Kriptografiyaning asosiy bo‘limlari 1. Simmetrik kalitli kriptografiya. – Ma’lumotni shifrlashda va deshifrlashda yagona kalitdan (simmetrik kalitdan) foydalaniladi. – SHuning uchun ham simmetrik kalitli kriptotizimlarni – bir kalitli kriptotizimlar ham deb yuritiladi. – Bundan kelib chiqadiki, simmetrik kalitli shifrlash algoritmlaridan foydalanish uchun har ikkala tomonda bir xil kalit mavjud bo‘lishi zarur. 2. Ochiq kalitli kriptografiya – ma’lumotni shifrlash qabul qiluvchining ochiq kaliti bilan amalga oshirilsa, uni deshifrlash qabul qiluvchining shaxsiy kaliti bilan amalga oshiriladi. – SHuning uchun ham ochiq kalitli kriptotizimlarni – ikki kalitli kriptotizimlar deb ham yuritiladi. Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning asosiy bo‘limlari 3. Xesh funksiyalar – Ma’lumotni xeshlash uning butunligini kafolatlash maqsadida amalga oshirilib, agar ma’lumot uzatilish davomida o‘zgarishga uchrasa, u holda uni aniqlash imkoni mavjud bo‘ladi. – Xesh-funksiyalarda odatda kiruvchi ma’lumotning uzunligi o‘zgaruvchan bo‘lib, chiqishda o‘zgarmas uzunlikdagi qiymatni qaytaradi. – Zamonaviy xesh funksiyalarga MD5, SHA1, SHA256, O‘z DSt 1106:2009 larni misol keltirish mumkin. – Quyida “ℎ𝑒𝑙𝑙𝑜” xabarini turli xesh funksiyalardagi qiymatlari keltirilgan: • 𝑀𝐷5 ℎ𝑒𝑙𝑙𝑜 = 5𝑑41402𝑎𝑏𝑐4𝑏2𝑎76𝑏9719𝑑911017𝑐592 • 𝑆𝐻𝐴1 ℎ𝑒𝑙𝑙𝑜 = 𝑎𝑎𝑓4𝑐61𝑑𝑑𝑐𝑐5𝑒8𝑎2𝑑𝑎𝑏𝑒𝑑𝑒0𝑓3𝑏482𝑐𝑑9𝑎𝑒𝑎9434𝑑 • 𝑆𝐻𝐴256 ℎ𝑒𝑙𝑙𝑜 = 2𝑐𝑓24𝑑𝑏𝑎5𝑓𝑏0𝑎30𝑒26𝑒83𝑏2𝑎𝑐5𝑏9𝑒29𝑒1𝑏161𝑒5𝑐1𝑓𝑎7425𝑒7304336 2938𝑏9824 Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning asosiy bo‘limlari 3. Xesh funksiyalar • Xesh funksiya quyidagi xususiyatlarga ega: – Bir xil kirish har doim bir xil chiqishni (xesh qiymat deb ataladi) taqdim etadi. – Bir qancha turli kirishlar bir xil chiqishni taqdim etmaydi. – CHiqish qiymatdan kiruvchi qiymatni hosil qilishning imkoniyati mavjud emas (bir tomonlamalik). – Kirish qiymatini o‘zgarishi chiqishdagi qiymatni ham o‘zgarishiga olib keladi. • Odatda xesh funksiyalar kirishda ma’lumotdan tashqari xech qanday qiymatni talab etmagani bois, kalitsiz kriptografik funksiyalar deb ham ataladi. Kiberxavfsizlik asoslari (CSF1316) Xesh funksiya asosida ma’lumot butunligini tekshirish • Bunga asosan yuboruvchi xabarning xesh qiymatini hisoblaydi va uni qabul qiluvchiga xabar bilan birgalikda yuboradi. Qabul qiluvchi dastlab xabarning xesh qiymatini hisoblaydi va qabul qilingan xesh qiymat bilan solishtiradi. Agar har ikkala xesh qiymat teng bo‘lsa, u holda ma’lumotning butunligi o‘zgarmagan, aks holda o‘zgargan deb topiladi. Kiberxavfsizlik asoslari (CSF1316) Hello !
Hello ! Xesh qiymat Hello !
Xesh funksiya Hello !
Xesh funksiya Xesh qiymat Xesh qiymat Butunlikni tekshirish Haqiqiy xabar YUborilgan xabar Qabul
xabar Kriptografik akslantirishlar • Odatda kriptografiyada ma’lumotlarni shifrlashda (deshifrlashda) quyidagi ikki turdagi akslantirishshlardan foydalaniladi. – Ulardan biri o‘rniga qo‘yish (substitution) akslantirish bo‘lsa, ikkinchichi o‘rin almashish (permutation) akslantirishidir. Kiberxavfsizlik asoslari (CSF1316) O‘rniga qo‘yish akslantirishi • O‘rniga qo‘yish akslantirishida, ochiq matn belgilari bir alfavitdan olinib, unga mos shifrmatn boshqa bir alfavitdan olinadi. Kiberxavfsizlik asoslari (CSF1316) Ochiq
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z SHifr
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C • Sodda ko‘rinishda olingan o‘rniga qo‘yish akslantirishi asosida
O‘rniga qo‘yish akslantirishi • O‘rniga qo‘yish akslantirishida ochiq matndagi belgilar shifrmatnda bo‘lmasligi mumkin. • Biroq, ochiq matndagi belgilarning takrorlanish chastotasi shifrmatndagi belgilarda ham bir xil bo‘ladi (ko‘p alifboli o‘rniga qo‘yish usullari bundan mustasno). • Masalan, yuqoridagi misolda ochiqmatndagi “L” harfining takrorlanish chastotasi 2 ga teng. Uning o‘rniga qo‘yilgan shifrmatndagi “O” harfining ham takrorlanish chastotasi 2 ga teng. Bu holat ochiqmatndagi qolgan belgilar uchun ham o‘rinli. Kiberxavfsizlik asoslari (CSF1316) O‘rin almashtirish akslantirishi • Ochiq matn belgilarining o‘rni biror qoidaga ko‘ra o‘zaro almashtiriladi. Bunda ochiq matnga ishtirok etgan belgilar shifrmatnga ham ishtirok etib, faqat ularning o‘rni almashgan holda bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 Ochiq matn = “POSSIBLE” SHifr matn = “SIPLOSBE” Kriptografiyaning tarixi • Ma’lumotlarni shifrlashning dastlabki ko‘rinishlaridan ming yillar avval foydanib kelingan. • YAqin o‘n yilliklarga qadar foydalanilgan shifrlarni - klassik shifrlar deb atalgan. • Ba’zi manbalarda hisoblash qurilmalari yaratilgunga qadar foydalanilgan shifrlar – klassik shifrlar davriga tegishli deb olingan. Undan keyingi davr esa zamonaviy shifrlar davri deb yuritiladi. Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning tarixi 1. Qadimiy davr (qadimiy davr klassik shifrlari). Ushbu davr klassik shifrlari asosan bir alfavitli o‘rniga qo‘yish va o‘rin almashtirish akslantirishlariga asoslangan. Ularga misol tariqasida Sezar, Polibiya kvadrati usullarini keltirish mumkin. 2. O‘rta davr (o‘rta davr klassik shifrlari). Ushbu davr shifrlari asosan ko‘p alifboli o‘rniga qo‘yishga asoslangan bo‘lib, ularga Vijiner, Atbash usullarini misol keltirish mumkin. Ushbu davr shifrlari birinchi davr shifrlariga qaraganda yuqori bardoshlikka ega bo‘lgan. Kiberxavfsizlik asoslari (CSF1316) Kriptografiyaning tarixi 3. 1 va 2 – jaxon urishi davri (1 va 2- jaxon urishi davri klassik shifrlari). Ushbu davr kriptotizimlari asosan elektromexanikaga asoslangan bo‘lib, radioto‘lqin orqali shifrmatnni uzatishni (morze alifbosi) amalga oshirgan. Mazkur davrga oid shifrlash usullariga Zimmermann telegrami, Enigma shifri, SIGABA mashinalarini misol keltirish mumkin. 4. Kompyuter davri (zamonaviy shifrlar). Ushbu davr shifrlari hisoblash qurilmalariga mo‘ljallangan bo‘lib, yuqori xavfsizlik darajasiga ega hisoblanadi. Zamonaviy shifrlarga misol sifatida DES, AES, GOST 28147-89, IDEA, A5/1, RC4 (barchasi simmetrik) va RSA, El-Gamal (ochiq kalitli) larni keltirish mumkin. Kiberxavfsizlik asoslari (CSF1316) Bir martali bloknot • Bir martali bloknot (one time pad) yoki Vernam shifri nomi bilan tanilgan kriptotizim bardoshli shifrlash algoritmi hisoblanadi. • Bir martali deb atalishiga asosiy sabab, undagi kalitning (bloknotning) bir marta foydalanilishi. • SHuning uchun ham amalga oshirish juda ham murakkab. • Misol tariqasida quyidagi binar kodlash jadvali olinsin. Kiberxavfsizlik asoslari (CSF1316) Belgilar E H I K L R S T
Bir martali bloknot • Bir martali bloknot usulida shifrlash uchun ochiq matn uzunligiga teng bo‘lgan tasodifiy tanlangan kalit zarur bo‘ladi. • Ochiq matnga kalitni XOR amalida qo‘shish orqali shifrmatn hosil qilinadi (R – ochiq matn, K – kalit va S – shifrmatn deb belgilansa): 𝐶 = 𝑃⨁𝐾. • XOR amali (⨁): Kiberxavfsizlik asoslari (CSF1316) 0⨁0 = 0
Misol 1
quyidagi kalit olingan bo‘lsin: • Ushbu kalit asosida shifrlash quyidagicha amalga oshiriladi: Kiberxavfsizlik asoslari (CSF1316) 111 101 110 101 111 100 000 101 110 000 H E I L H I T L E R Ochiq matn: 001 000 010 100 001 010 111 100 000 101 Kalit: 111 101 110 101 111 100 000 101 110 000 SHifrmatn: 110 101 100 001 110 110 111 001 110 101 S R L H H H T H S R Misol 1
Kiberxavfsizlik asoslari (CSF1316) S R L H H H T H S R SHifrmatn: 110 101 100 001 110 110 111 001 110 101 Kalit: 111 101 110 101 111 100 000 101 110 000 Ochiq matn: 001 000 010 100 001 010 111 100 000 101 H E I L H I T L E R Bir martali bloknot: Senariy 1 • A tomoning dushmani T mavjud va u A tomon kalit sifatida quyidagini foydalangan deb uylaydi: • Mazkur holatda dushman T ushbu kalitni B tomonga yubora olsa, u holda B tomon quyidagi ochiq matnga ega bo‘ladi: • Agar B tomon kriptografiyadan xabari bo‘lmasa, u holda A tomon uchun jiddiy muammo tug‘iladi. Kiberxavfsizlik asoslari (CSF1316) 101 111 000 101 111 100 000 101 110 000 S R L H H H T H S R SHifrmatn: 110 101 100 001 110 110 111 001 110 101 “Kalit”: 101 111 000 101 111 100 000 101 110 000 “Ochiq matn”: 011 010 100 100 001 010 111 100 000 101 K I L L H I T L E R Bir martali bloknot: Senariy 2 • A tomon dushmani T tomonidan qo‘lga olindi va u shifrmatnni ham biladi va A tomondan kalitni talab qilmoqda. A tomon har ikkala tomon uchun ham “o‘ynashini” aytadi va kalitni quyidagicha teng deydi: • T tomon esa quyidagi ochiq matnga ega bo‘ladi: • Agar T tomon kriptografiyadan xabari bo‘lmasa, ochiq
Kiberxavfsizlik asoslari (CSF1316) 111 101 000 011 101 110 001 011 101 101 S R L H H H T H S R SHifrmatn: 110 101 100 001 110 110 111 001 110 101 “Kalit”: 111 101 000 011 101 110 001 011 101 101 “Ochiq matn”: 001 000 100 010 011 000 110 010 011 000 H E L I K E S I K E Bir martali bloknot • Kafolatga ega emasligi sababli, ushbu keltirilgan misollar bir martali bloknot shifrini bardoshli ekanini ko‘rsatadi. YA’ni, turli kalit uchun turlicha ochiq matnni olish mumkin. • Agar kalit bir marta foydalanilsa, hujumchi ochiq matnni topa olmaydi. • SHifrmatnga qarab faqat ochiq matn uzunligini bilishi mumkin. • Agar bitta kalitdan ko‘p marta foydalanilsa, u holda jiddiy xavfsizlik muammosi tug‘iladi!!!! Kiberxavfsizlik asoslari (CSF1316) Misol 2
kalit 𝐾 dan foydalanib shifrlangan: 𝐶1 = 𝑃1⨁𝐾 va 𝐶2 = 𝑃2⨁𝐾. • Kriptografiyada ushbu holatni “xavflilik” deb ataladi. • YA’ni, foydalanilgan kalit endi muammo tug‘dirmaydi: 𝐶1⨁𝐶2 = 𝑃1⨁𝐾⨁𝑃2⨁𝐾 = 𝑃1⨁𝑃2 • Ikki matn va kalit quyidagiga teng bo‘lsin: 𝑃1 = 𝐿𝐼𝐾𝐸 = 100 010 011 000 𝑃2 = 𝐾𝐼𝑇𝐸 = 011 010 111 000 𝐾 = 110 011 101 111 Kiberxavfsizlik asoslari (CSF1316) Misol 2
• Agar hujumchi kriptogarfiyani yaqindan bilsa va bitta
Kiberxavfsizlik asoslari (CSF1316) L I K E
K I T E
𝐾: 110 011 101 111 𝐶2: 101 001 010 111 R H I T Misol 2
• Olingan kalit 𝐾 yordamida esa ikkinchi shifrmatndan ochiq
• Topilgan kalit ikkinchi ochiq matn uchun mos bo‘lmagani sababli, taxminiy 𝑃1 ni noto‘g‘riligini biladi. • U qachonki 𝑃1 = 𝐿𝐼𝐾𝐸 shaklida taxmin qilsa, u holda 𝑃2 = 𝐾𝐼𝑇𝐸 ni va kalitni topa oladi. Kiberxavfsizlik asoslari (CSF1316) K I L L
𝐶2: 101 001 010 111 Taxminiy 𝐾: 001 011 010 111 Taxminiy 𝑃2: 100 010 000 100 L I E L Kodlar kitobi • Kodlar kitobi lug‘atga o‘xshash kitob bo‘lib, (ochiq matn so‘zlari) va unga mos bo‘lgan kod so‘zlardan (shifrmatn) tashkil topgan. • Quyida birinchi jaxon urishida Nemislar tomonidan foydalanilgan kodlar kitobidan namuna keltirilgan: • Masalan, “Februar” so‘zini shifrlash uchun butun so‘z 5-belgili kod so‘z 13605 bilan almashtirilgan. Kiberxavfsizlik asoslari (CSF1316) Ochiq matn SHifrmatn
Kodlar kitobi • Ushbu kodlar kitobi orqali mashhur Zimmermann telegramini shifrlangan. • 1917 yilda birinchi jaxon urishi davrida, Germaniya tashqi ishlar vaziri Artur Zimmerman Germaniyaning Meksikadagi elchisiga shifrlangan ko‘rinishdagi telegram yuboradi. • SHifrlangan xabar Britaniyaliklar tomonidan tutib olinadi. • Bu vaqtda Britaniya va Fransiya Germaniya bilan urushayotgan va AQSH esa betaraf holatda edi. Kiberxavfsizlik asoslari (CSF1316) Zimmerman telegrami Kiberxavfsizlik asoslari (CSF1316)
Zimmerman telegrami - deshifrlangan Kiberxavfsizlik asoslari (CSF1316)
Kodlar kitobi • Kodlar kitobi asosida shifrlash o‘rniga qo‘yish akslantirishiga asoslangan. • Kodlar kitobi hozirda amalda qo‘llaniluvchi simmetrik blokli shifrlarni yaratishga asos bo‘lgan (ular bilan keyingi darsda tanishib chiqiladi). • Kodlar kitobi o‘z davrida etarli xavfsizlikni ta’minlagan shifrlash usuli hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 3-ma’ruza. Simmetrik shifrlar Kutiladigan natija: shaxsiy kalitli kriptografiyada kalit va blok uzunligi muammolarini muhokama qilish; shaxsiy kriptografik usullarni yaratishda mavjud xavflarni muhokama qilish; berilgan holat uchun mos shifrlash algoritmini tanlashni tavsiflash; simmetrik kriptotizimlarda mavjud xavfsizlik muammolarini tavsiflash; Simmetrik kriptotizimlarning ikki turi Ushbu ma’ruzada simmetrik kriptotizimlar, shuningdek ularning ikki tarmog‘i: oqimli va blokli simmetrik shifrlash algoritmlariga to‘xtalib o‘tiladi. Har ikkala turdagi simmetrik shifrlash algoritmlari ham ma’lumotlarni shifrlashda va deshifrlashda yagona kalitdan foydalanadi. Ularning o‘zaro farqi esa ma’lumotlarni shifrlash va deshifrlash jarayonini amalga oshirish tartibida bo‘lib, foydalanilayotgan tizim xususiyatidan kelib chiqqan holda tanlanadi. Bular haqida ushbu ma’ruzaning so‘ngida batafsil ma’lumot beriladi. Simmetrik kriptotizimlar bilan batafsil tanishishdan oldin, quyidagi belgilanishlarni bilish zarur: Ochiq matn 𝑃 ni simmetrik kalit 𝐾 bilan shifrlash: 𝐶 ൌ 𝐸ሺ𝑃, 𝐾ሻ. SHifrmatn 𝐶 ni simmetrik kalit 𝐾 bilan deshifrlash: 𝑀 ൌ 𝐷ሺ𝐶, 𝐾ሻ. Bu erda, 𝐸ሺሻ va 𝐷ሺሻ lar mos ravishda simmetrik kriptotizimdagi shifrlash va deshifrlash funksiyalari. Oqimli simmetrik shifrlash tizimlari Simmetrik oqimli shifrlash algoritmining yaratilishi bir martali bloknotga asoslangan bo‘lib, undan farqli jixati – bardoshligi etarlicha kichik (va boshqariladigan) kalitga asoslanishigadir. YA’ni, kichik uzunlikdagi kalitdan ochiq matn uzunligiga teng bo‘lgan ketma-ketlik hosil qilinadi va bir martali bloknot sifatida foydalaniladi. Oqimli shifr 𝑛 bitli kalit 𝐾 ni qabul qiladi va ochiqmatnni uzunligiga teng bo‘lgan ketma െ ketlik 𝑆 ga uzaytiradi. Ketma – ketlik 𝑆 esa ochiq matn 𝑃 bilan 𝑋𝑂𝑅 amalida qo‘shiladi va shifrmatn 𝐶 hosil qilinadi. Bu o‘rinda ketma-ketlikni qo‘shish bir martali bloknotni qo‘shish kabi bir xil bo‘ladi. Oqimli shifrni quyidagicha sodda ko‘rinishda yozish mumkin: 𝑆𝑡𝑟𝑒𝑎𝑚𝐶𝑖𝑝ℎ𝑒𝑟ሺ𝐾ሻ ൌ 𝑆, Bu erda, 𝐾 kalit va 𝑆 esa natijaviy ketma-ketlik. SHuni esda saqlash zarurki, bu erda ketma-ketlik shifrmatn emas, balki bir martali bloknotga o‘xshash oddiy qator. Agar berilgan ketma-ketlik 𝑆 ൌ 𝑠, 𝑠ଵ, 𝑠ଶ, …, va ochiq matn 𝑃 ൌ 𝑝, 𝑝ଵ, 𝑝ଶ, …, berilgan bo‘lsa, mos bitlarni XOR amalida qo‘shish orqali shifrmatn bitlari 𝐶 ൌ 𝑐, 𝑐ଵ, 𝑐ଶ, …, ni quyidagicha hosil qilamiz: 𝑐 ൌ 𝑝⨁𝑠, 𝑐ଵ ൌ 𝑝ଵ⨁𝑠ଵ, 𝑐ଶ ൌ 𝑝ଶ⨁𝑠ଶ , … SHifrmatn 𝐶 ni deshifrlash uchun, yana ketma-ketlik 𝑆 dan foydalaniladi: 𝑝 ൌ 𝑐⨁𝑠, 𝑝ଵ ൌ 𝑐ଵ⨁𝑠ଵ, 𝑝ଶ ൌ 𝑐ଶ⨁𝑠ଶ , … YUboruvchi va qabul qiluvchini bir xil oqimli shifrlash algoritmi va kalit 𝐾 bilan ta’minlash orqali, ikkala tomonda bir xil ketma-ketliklarni hosil qilish mumkin. Biroq, natijaviy shifr kafolatli xavfsizlikka ega bo‘lmaydi va bunda asosiy e’tibor amaliy tomondan qo‘llashga qaratiladi. A5/1 oqimli shifrlash algoritmi Ushbu oqimli shifrlash algoritmi GSM mobil aloqa tizimlarida ma’lumotni konfidensialligini ta’minlash uchun foydalaniladi. Mazkur algoritm algebraik tuzulishga ega bo‘lsada, uni sodda diagramma bilan ham tasvirlash imkoniyati mavjud. A5/1 shifrlash algoritmi uchta chiziqli siljitish registorlaridan iborat bo‘lib, ular mos holda 𝑋, 𝑌 va 𝑍 kabi belgilanadi. 𝑋 registor o‘zida 19 bit (𝑥, 𝑥ଵ, … , 𝑥ଵ଼), 𝑌 registor esa 22 bit (𝑦, 𝑦ଵ, … , 𝑦ଶଵ) va 𝑍 registor esa 23 bit (𝑧, 𝑧ଵ, … , 𝑧ଶଶሻ ma’lumotni saqlaydi. Uchta registorlarning mazkur o‘lchamdagi bitlarni saqlashi bejizga emas, sababi chiziqli siljitish registorlari o‘zida jami bo‘lib 64 bitni saqlaydi. SHu sababli, A5/1 shifrlash algoritmida foydalaniluvchi kalit 𝐾 ning uzunligi 64 bitga teng bo‘ladi va ushbu kalit uchta registorni dastlabki to‘ldirish uchun foydalaniladi. SHundan so‘ng, oqimli shifrlash algoritmi talab etilgan uzunlikdagi (ochiq matn uzunligiga teng bo‘lgan) ketma-ketliklarni generatsiya qilib beradi. Ketma-ketliklarni generatsiya qilish tartibini o‘zranishdan oldin, uchta registorlar haqida ba’zi ma’lumotlarni bilish talab etiladi. 𝑋 registor siljigan vaqtida, quyidagi amallar ketma-ketligi bajariladi: 𝑡 ൌ 𝑥ଵଷ⨁𝑥ଵ⨁𝑥ଵ⨁𝑥ଵ଼ 𝑖 ൌ 18,17,16, … ,1 uchun 𝑥 ൌ 𝑥ିଵ 𝑥 ൌ 𝑡 SHunga o‘xshash, 𝑌 va 𝑍 registorlar uchun ham quyidagilar bajariladi: 𝑡 ൌ 𝑦ଶ⨁𝑦ଶଵ 𝑖 ൌ 21,20,19, … ,1 uchun 𝑦 ൌ 𝑦ିଵ 𝑦 ൌ 𝑡 va 𝑡 ൌ 𝑧⨁𝑧ଶ⨁𝑧ଶଵ⨁𝑧ଶଶ 𝑖 ൌ 22,21,20, … ,1 uchun 𝑧 ൌ 𝑧ିଵ 𝑧 ൌ 𝑡 Berilgan uchta bit 𝑥, 𝑦 va 𝑧 uchun 𝑚𝑎𝑗ሺ𝑥, 𝑦, 𝑧ሻ funksiyasi ularning eng ko‘pini qaytaradi. Agar 𝑥, 𝑦 va 𝑧 bitlar 0 ga teng bo‘lsa, u holda funksiya 0 ni qaytaradi, aks holda birni qaytaradi. Funksiyaga kiruvchi bitlar toq bo‘lgani uchun, funksiya har doim 0 ni yoki 1 ni qaytaradi. Boshqa holatlar bo‘lmaydi. A5/1 shifrida, ketma-ketlikning har bir bitini generatsiya qilish uchun quyidagilar bajariladi. Dastlab, 𝑚 ൌ 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ funksiya qiymati hisoblanadi. SHundan so‘ng 𝑋, 𝑌 va 𝑍 registorlar quyidagicha sijitiladi (yoki siljitilmaydi): agar 𝑥଼ ൌ 𝑚 ga teng bo‘lsa, 𝑋 siljitiladi; agar 𝑦ଵ ൌ 𝑚 ga teng bo‘lsa, 𝑌 siljitiladi; agar 𝑧ଵ ൌ 𝑚 ga teng bo‘lsa, 𝑍 siljitiladi; SHundan so‘ng, ketma-ketlikning bir biti 𝑠 quyidagicha generatsiya qilinadi va ochiq matn biti bilan XOR amalida qo‘shiladi (agar shifrlansa) yoki shifrmatn biti bilan XOR amalida qo‘shiladi (agar deshifrlansa). 𝑠 ൌ 𝑥ଵ଼⨁𝑦ଶଵ⨁𝑧ଶଶ YUqorida keltirilgan ketma-ketlikdagi amallar talab etilgancha takrorlanadi (ochiq matn yoki shifr matn uzunligiga teng). Agar biror registor siljitilganda, uning to‘liq holati siljish natijasida o‘zgaradi. Ketma-ketlikning bir bitini hosil qilishda uchta registordan kamida ikkitasi siljiydi va shuning uchun yuqoridagi ketma- ketlikni davom ettirgan holda yangi bitlar ketma-ketligini hosil qilishimiz mumkin. A5/1 oqimli shifrlash algoritmi murakkab ko‘rinsada, qurilmada amalga oshirilganda yuqori tezlikga ega bo‘ladi. Umumiy holda A5/1 oqimli shifrni 3.1-rasmdagi kabi ifodalash mumkin. 3.1-rasm. A5/1 ketma-ketlik generatori Misol
3.2-rasm. A5/1 ketma-ketlik generatori Mazkur holatda 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ ൌ 𝑚𝑎𝑗ሺ1,1,0ሻ ൌ 1 ga teng bo‘ladi va bu 𝑋 va 𝑌 registorlar siljishini ko‘rsatadi. SHuning uchun 𝑡 ൌ 𝑥ଵଷ⨁𝑥ଵ⨁𝑥ଵ⨁𝑥ଵ଼ ൌ 0⨁1⨁1⨁1 ൌ 1 𝑖 ൌ 18,17,16, … ,1 uchun 𝑥 ൌ 𝑥ିଵ 𝑥 ൌ 1 SHunga o‘xshash, 𝑌 registor uchun ham quyidagilar bajariladi: 𝑡 ൌ 𝑦ଶ⨁𝑦ଶଵ ൌ 0⨁0 ൌ 0 𝑖 ൌ 21,20,19, … ,1 uchun 𝑦 ൌ 𝑦ିଵ 𝑦 ൌ 0 𝑋 va 𝑌 registorlari siljigandan keyingi holat esa quyidagicha bo‘ladi: 3.3-rasm. A5/1 ketma-ketlik generatori Siljigan holatdan so‘ngi registorlar holatidan generatsiya bo‘lgan bir bit 𝑠 ൌ 𝑥ଵ଼⨁𝑦ଶଵ⨁𝑧ଶଶ ൌ 1 ⨁ 0 ⨁0 ൌ 1 ga teng bo‘ladi. SHu tartibda, talab etilgan bitlar ketma-ketligi generatsiya qilinadi. Oqimli shifrlash algoritmlari hisoblash qurilmalari hozirgi kundagi kabi rivojlanmagan vaqtlarda juda ham mashhur bo‘lib, hozirgi kunda ularning o‘rnini simmetrik blokli shifrlar egallamoqda. Biroq shunday holatlar mavjudki, oqimli shifrlar shubhasiz zarur bo‘ladi. Masalan, real vaqt tizimlaridan biri GSM tarmog‘ida ma’lumotlarni shifrlashda blokli simmetrik shifrlarni qo‘llashning imkoni yo‘q. Sababi, shifrlash uchun zarur bo‘lgan bir blokni (blok uzunligi kamida 64 bit bo‘ladi) ma’lum vaqtda to‘plashi talab etiladi. Bu esa so‘zlashuvda to‘xtalishni olib keladi. Bundan tashqari, ma’lumotni shifrlab uzatish jarayonida shifrmatnga bo‘lgan o‘zgarishga (tashqi ta’sirlar natijasida) simmetrik oqimli shifrlash bardoshli sanaladi. Masalan, oqimli shifrlashda shifrmatndagi bir bitning o‘zgarishi ochiq matnning ham bir bitini o‘zgarishiga olib keladi. Simmetrik blokli shifrlarda esa bir bitning o‘zgarishi bir blokning (masalan, 64 bit) o‘zgarishiga olib keladi. Bundan tashqari, simmetrik oqimli shifrlash blokli shifrlarga qaraganda kichik imkoniyatli qurilmalarni talab etadi. Blokli simmetrik shifrlash algoritmlari Takroriy amalga oshiriluvchi blokli shifrlash ochiq matnni fiksirlangan (o‘zgarmas uzunlikdagi) bloklarga ajratadi va shifrmatnning fiksirlangan uzunlikdagi bloklarini hosil qiladi. Aksariyat blokli simmetrik shifrlar loyihasida, shifrmatn - ochiq matnni funksiya 𝐹 orqali biror miqdordagi raundlar soni davomida takroran bajarish orqali olinadi. Oldingi raunddan chiqqan natija va kalit 𝐾 ga asoslangan 𝐹 funksiya – raund funksiyasi deb nomlanadi. Bunday nomlanishiga asosiy sabab, uni ko‘plab raundlar davomida bajarilishidir. Blokli simmetrik shifrlarni yaratishdagi asosiy maqsad – bu xavfsizlik va samaradorlikga erishishdir. Xavfsiz yoki samarali bo‘lgan blokli shifrlarni yaratish murakkab muammo emas, biroq, ham xavfsiz ham samarali bo‘lgan simmetrik blokli shifrlarni yaratish – bu san’atdir. Simmetrik blokli shifrlarni yaratishda ko‘plab tarmoqlardan foydalaniladi. Ular orasida quyidagi tarmoqlar amalda keng qo‘llaniladi: 1. Feystel tarmog‘i. 2. SP (Substitution – Permutation network) tarmoq. 3. Lai-Messey tarmog‘i. Ma’ruzaning davomida Feystel tarmog‘i va unga asoslangan sodda blokli simmetrik shifr bilan tanishib o‘tiladi. Feystel tarmog‘i - bu aynan bir blokli shifr hisoblanmay, simmetrik blokli shifrni loyihalashning umumiy prinsipi sanaladi. Feystel tarmog‘iga ko‘ra ochiq matn bloki 𝑃 teng ikki chap va o‘ng qismlarga bo‘linadi: 𝑃 ൌ ሺ𝐿, 𝑅ሻ, va har bir raund 𝑖 ൌ 1,2, … , 𝑛, uchun yangi chap va o‘ng tomonlar quyidagi qoidaga ko‘ra hisoblanadi: 𝐿 ൌ 𝑅ିଵ 𝑅 ൌ 𝐿ିଵ⨁𝐹ሺ𝑅ିଵ, 𝐾ሻ Bu erda, 𝐾 kalit 𝑖 – raund uchun qismkalit (raund kaliti) hisoblanadi. Qism kalitlar esa o‘z navbatida kalit 𝐾 dan biror kalit generatori algoritmi orqali hisoblanadi. YAkuniy, shifrmatn bloki 𝐶 esa oxirgi raund natijalariga teng bo‘ladi, ya’ni: 𝐶 ൌ ሺ𝐿, 𝑅ሻ. Feystel tarmog‘ida deshifrlash XOR amalining “sehrgarligi”ga asoslanadi. YA’ni, 𝑖 ൌ 𝑛, 𝑛 െ 1, … ,1 lar uchun quyidagi tenglik amalga oshiriladi: 𝑅ିଵ ൌ 𝐿 𝐿ିଵ ൌ 𝑅⨁𝐹ሺ𝑅ିଵ, 𝐾ሻ Oxirgi raund natijasi, deshifrlangan matnni beradi: 𝑃 ൌ ሺ𝐿, 𝑅ሻ. Har bir raundda foydalaniluvchi Feystel tarmog‘ining 𝐹 funksiyasi qaytuvchi (teskari funksiyasiga ega) bo‘lishi talab etilmaydi. Biroq, olingan har qanday 𝐹 funksiya to‘liq xavfsiz bo‘la olmaydi. TEA blokli shifrlash algoritmi TEA (Tiny Encryption Algorithm) algoritmi Feystel tarmog‘iga asoslanmagan bo‘lsada, sodda va unga o‘xshash algoritmdir. Boshqa so‘z bilan aytganda shifrlash va deshifrlash funksiyalari bir-biridan farq qiladi. TEA algoritmi 64-bit uzunlikdagi ochiq matn bloklari va 128 bitli kalitdan foydalaniladi. Algoritm 32 bitli so‘zlar bilan amallar bajarishga mo‘ljallangan va shuning uchun 𝑚𝑜𝑑2ଷଶ amalidan foydalaniladi. Ushbu algoritmda raundlar soni o‘zgaruvchan bo‘lib, xavfizlik nuqtai- nazaridan raundlar soni kamida 32 ga teng olinishi shart. TEA algoritmining har bir raundi Feystel tarmog‘ining ikki raundiga o‘xshash. Blokli shifrlarni loyihalashda raund funksiyasining murakkabligi va raundlar sonining orasida balans bo‘lishi lozim. Masalan, raund funksiyasi sodda bo‘lsa, raundlar soni kamroq yoki aksincha bo‘ladi. TEA algoritmi sodda algoritm bo‘lgani uchun, bardoshli bo‘lishi uchun raundlar sonini katta tanlash zarur. TEA algoritmining shifrlash funksiyasi quyida keltirilgan. ሺ𝐾ሾ0ሿ, 𝐾ሾ1ሿ, 𝐾ሾ2ሿ, 𝐾ሾ3ሿሻ ൌ 128 bitli kalit ሺ𝐿, 𝑅ሻ ൌ ochiq matn bloki ሺ64 bitሻ 𝑑𝑒𝑙𝑡𝑎 ൌ 0𝑥9𝑒3779𝑏9 𝑠𝑢𝑚 ൌ 0 𝑓𝑜𝑟 𝑖 ൌ 1 dan 32 gacha 𝑠𝑢𝑚 ൌ 𝑠𝑢𝑚 𝑑𝑒𝑙𝑡𝑎 𝐿 ൌ 𝐿 ሺሺሺ𝑅 ≪ 4ሻ 𝐾ሾ0ሿሻ⨁ሺ𝑅 𝑠𝑢𝑚ሻ⨁ሺሺ𝑅 ≫ 5ሻ 𝐾ሾ1ሿሻሻ 𝑅 ൌ 𝑅 ሺሺሺ𝐿 ≪ 4ሻ 𝐾ሾ2ሿሻ⨁ሺ𝐿 𝑠𝑢𝑚ሻ⨁ሺሺ𝐿 ≫ 5ሻ 𝐾ሾ3ሿሻሻ keyigi 𝑖 shifrmatn ൌ ሺ𝐿, 𝑅ሻ Bu erda “≪” amali sonni chapga surish amali va “≫” amali o‘nga surish amali hisoblanadi. Masalan, ikkilik ko‘rinishdagi bir baytli son “10110101” ga teng bo‘lsa, u holda ushbu sonni chapga 4 birlik surish natijasi “01010000” ga teng bo‘ladi. Ushbu sonni 5 birlik o‘nga surish natijasi esa “00000101” ga teng bo‘ladi. TEA algoritmi Feystel tarmog‘iga asoslanmagan bo‘lsada (Feystel tarmog‘ida shifrlash va deshifrlash funksiyalari bir xil bo‘ladi), deshifrlashda XOR amalining o‘rniga qo‘shish yoki bo‘lish amallaridan foydalanilmaydi. TEA algoritmining deshifrlash funksiyasi quyida keltirilgan. ሺ𝐾ሾ0ሿ, 𝐾ሾ1ሿ, 𝐾ሾ2ሿ, 𝐾ሾ3ሿሻ ൌ 128 bitli kalit ሺ𝐿, 𝑅ሻ ൌ shifr matn bloki ሺ64 bitሻ 𝑑𝑒𝑙𝑡𝑎 ൌ 0𝑥9𝑒3779𝑏9 𝑠𝑢𝑚 ൌ 𝑑𝑒𝑙𝑡𝑎 ≪ 5 𝑓𝑜𝑟 𝑖 ൌ 1 dan 32 gacha 𝑅 ൌ 𝑅 െ ሺሺሺ𝐿 ≪ 4ሻ 𝐾ሾ2ሿሻ⨁ሺ𝐿 𝑠𝑢𝑚ሻ⨁ሺሺ𝐿 ≫ 5ሻ 𝐾ሾ3ሿሻሻ 𝐿 ൌ 𝐿 െ ሺሺሺ𝑅 ≪ 4ሻ 𝐾ሾ0ሿሻ⨁ሺ𝑅 𝑠𝑢𝑚ሻ⨁ሺሺ𝑅 ≫ 5ሻ 𝐾ሾ1ሿሻሻ 𝑠𝑢𝑚 ൌ 𝑠𝑢𝑚 െ 𝑑𝑒𝑙𝑡𝑎 keyigi 𝑖 ochiq matn ൌ ሺ𝐿, 𝑅ሻ Blokli shifrlar rejimlari Oqimli shifrlardan foydalanish juda ham sodda – ochiq matn (yoki shifrmatn) uzunligiga teng bo‘lgan kalitlar ketma-ketligi generatsiya qilinadi va XOR amalida qo‘shiladi. Blokli shifrlardan foydalanish ham oson, faqat bir blokni shifrlash. Biroq, bir nechta (ko‘plab) bloklarni shifrlash qanday amalga oshiriladi? Javob esa, bir qaraganda oson emas. Faraz qilaylik quyidagi ochiq matn bloklari berilgan bo‘lsin: 𝑃, 𝑃ଵ, 𝑃ଶ, … O‘zgarmas kalit 𝐾 uchun blokli shifr bu – kodlar kitobi hisoblanadi. Sababi, blokli shifrlar ochiq matn bloki va shifrmatn bloki o‘rtasida o‘zgarmas bog‘lanishni yaratadi. Kodlar kitobi kabi foydalaniluvchi blokli shifrlash rejimi bu – elektron kodlar kitobi (electronic codebook mode, ECB) rejimidir. ECB rejimida quyidagi formuladan foydalangan holda ma’lumotlar bloklari shifrlanadi: 𝑖 ൌ 0,1,2, … lar uchun 𝐶 ൌ 𝐸ሺ𝑃, 𝐾ሻ Deshifrlash uchun esa quyidagi formuladan foydalaniladi: 𝑖 ൌ 0,1,2, … lar uchun 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ Ushbu yondashuv asosida blokli shifrlarni samarali amalga oshirsa bo‘ladi. Biroq, mazkur yondashuvda jiddiy xavfsizlik muammosi mavjud. Faraz qilaylik ECB rejimdan foydalangan holda ma’lumot shifrlandi va tarmoq orqali uzatildi. Uzatish davomida hujumchi ularni tutib oldi va shifrmatn bloklari orasidan ikkitasini bir-biriga tengligini (𝐶 ൌ 𝐶ሻ ni aniqladi. Buning natijasida esa, hujumchi aniqlangan shifrmatn bloklariga mos ochiq matn bloklari ham bir-biriga teng: 𝑃 ൌ 𝑃. Albatta ushbu holat shifrmatnni topish uchun etarli emas, lekin bir shifrmatn blokiga mos kelgan qolgan bloklarni aniqlash imkoniyatini beradi. Bunday hollarda hujumchi haqiqatda 𝑃 yoki 𝑃 ochiq matn bloklarini aniqlay olmasada, unga aloqador ba’zi ma’lumotni oshkor etadi. Mazkur holatni grafik ravishda tasvirlaganda 3.2-rasmda ko‘rsatilgani kabi bo‘ladi. Boshqa so‘z bilan aytganda, rasmning chap tomondagi tasvirning o‘xshash har bloki chap qismida ham bir xil shifrmatn blokiga almashgan. Mazkur holda hujumchini shifrmatndan foydalangan holda ochiq matnni bashorat qilishi murakkab vazifa emas. 3.2-rasm. ECB rejimida ma’lumotni shifrlash natijasi Biroq, ECB rejimida shifrlash va deshifrlash amallarini paralellashtirish imkoniyati mavjud va bu tezkorlikni oshiradi. Bundan tashqari agar shifrmatnni uzatish davomida bloklardan birining o‘zgarishi faqat shu blokni natijasiga ta’sir qiladi. YA’ni, faqat shu blokni o‘zi zararlanadi. ECB rejimida mavjud muammolarni bartaraf etgan rejimlardan biri bu - cipher block chaining (CBC) rejimidir. CBC rejimida bir blokdan chiqqan shifrmatn keyingi ochiq matnni yashirish uchun foydalaniladi va shundan so‘ng shifrlash amalga oshiriladi. Mazkur rejimda shifrlash formulasi quyidagicha: 𝑖 ൌ 0,1,2, … lar uchun 𝐶 ൌ 𝐸ሺ𝑃⨁𝐶ିଵ, 𝐾ሻ Deshifrlash funksiyasi esa quyidagicha bo‘ladi: 𝑖 ൌ 0,1,2, … lar uchun 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ⨁𝐶ିଵ Birinchi blokni shifrlash uchun undan oldingi shifrmat bloki bo‘lmagani uchun, boshlang‘ich vektor deb ataluvchi (initialization vector, IV) 𝐼𝑉 dan foydalaniladi va u mantiqiy tomondan 𝐶ିଵ ga o‘zlashtiraladi. SHifrmatn bloklari maxfiy saqlanmagani bois unga analog bo‘lgan, 𝐼𝑉 ham maxfiy saqlanmaydi. Biroq, 𝐼𝑉 tasodifiy ravishda generatsiya qilinishi shart. 𝐼𝑉 dan foydalangan holda, birinchi blokni shifrlash quyidagicha amalga oshiriladi: 𝐶 ൌ 𝐸ሺ𝑃⨁𝐼𝑉, 𝐾ሻ. Mos holda birinchi blokni deshifrlash esa quyidagicha amalga oshiriladi: 𝑃 ൌ 𝐷ሺ𝐶, 𝐾ሻ⨁𝐼𝑉. CBC rejimida ma’lumotlarni shirflash ECB rejimidan farqli ravishda bir xil ochiq matn bloklari turli shifr matn bloklariga almashinadi va buning natijasida 3.2-rasm holati quyidagicha bo‘ladi (3.3- rasm). 3.3-rasm. CBC rejimida shifrlash natijasi Agar CBC rejimidan foydalanib shifrlangan ma’lumotni uzatish davomida biror bitga o‘zgarish bo‘lsa, u holda yakuniy holat qanday bo‘ladi? (baxtimizga hozirda bunday holatlar kam uchraydi) Faraz qilinsin shifrmatnning 𝐶 bloki zararlandi: 𝐶 ൌ 𝐺. U holda 𝑃 ് 𝐷ሺ𝐺, 𝐾ሻ⨁𝐶ିଵ va 𝑃ାଵ ് 𝐷ሺ𝐶ାଵ, 𝐾ሻ⨁𝐺 Biroq, 𝑃ାଶ ൌ 𝐷ሺ𝐶ାଶ, 𝐾ሻ⨁𝐶ାଵ va qolgan bloklar to‘g‘ri deshifrlanadi. YA’ni, bir blokning zararlanishi ikkita blokga ta’sir ko‘rsatadi. Undan keyingi bloklar esa o‘zgarmas saqlanadi. Simmetrik blokli shifrlash algoritmlari oqimli shifrlash algoritmlariga qaragan yuqori hisoblash imkoniyatini talab etadi va shunga mos ravishda yuqori bardoshlikni ta’minlaydi. Simmetrik blokli shifrlash algoritmlari oqimli shifrlar kabi ma’lumot konfidensialligini ta’minlash uchun foydalaniladi. Bundan tashqari blokli shifrlardan autentifikatsiya masalalarida, ma’lumot butunligini ta’minlashda keng qo‘llaniladi. Simmetrik kriptotizimlardagi muammolar Simmetrik shifrlash tizimlari ma’lumotni shifrlashda va deshifrlashda aynan bir kalitdan foydalanadi. Bu esa tarmoq bo‘ylab shifrlangan ma’lumotni uzatishdan oldin shifrlash kalitini uzatishni taqqazo etadi. Boshqa so‘z bilan aytganda, kalitlarni tomonlar orasida xavfsiz uzatish simmetrik kriptotizimlar oldidagi asosiy muammo sanaladi. Bundan tashqari bir foydalanuvchi qolganlari bilan ma’lumot almashmoqchi bo‘lsa, ularning har biri bilan alohida-alohida kalitlarga ega bo‘lishi talab etiladi. Bu esa foydalanuvchiga ko‘p sonli kalitlarni xavfsiz saqlash zaruriyatini keltirib chiqaradi. Simmetrik kriptotizimlarda kalit uzunligi Amalda foydalanish uchun kriptografik tizimlarning kalit uzunligiga qat’iy talablar qo‘yiladi. Ushbu talablar vaqt o‘tishi hisoblash qurilmalari imkoniyatining o‘zgarishiga bog‘liq holda o‘zgarib boradi. Kriptotizimlarda foydalanilgan kalitni joriy vaqtdagi hisoblash qurilmalari orqali hisoblab topishning imkoniyati bo‘lmasligi zarur. Bu erda kalitni topish deganda biror uzunlikdagi kalitni bo‘lishi mumkin bo‘lgan barcha variantlarini hisoblab chiqish nazarda tutiladi. Masalan, kalit uzunligi 4 bitga teng bo‘lsa, u holda bo‘lishi mumkin bo‘lgan variantlar soni 2ସ ൌ 16 ga teng bo‘ladi yoki umumiy qilib aytganda 𝑛 bitli kalitlarni bo‘lishi mumkin bo‘lgan variantlari 2 ga teng bo‘ladi. Hozirgi kunda simmetrik kriptotizimlarda foydalaniluvchi kalitlarning uzunligi kamida 128 bitli teng bo‘lishi zarur. Quyidagi 3.1- jadvalda turli uzunlikdagi kalitlarni bo‘lishi mumkin bo‘lgan barcha variantlarini hisoblash uchun turli qiymatdagi qurilmalardan foydalanganda sarflanadigan vaqt sarflari keltirilgan. Ko‘rsatilgan natijalar 2005 yildagi narx asosida keltirilgan. 3.1-jadval Qurilma narxi Kalit uzunligi 80-bit 112-bit 128-bit 10 000 $ 7 000 yil 1013 yil 1018 yil 100 000 $ 700 yil 1012 yil 1017 yil 1 000 000 $ 70 yil 1011 yil 1016 yil 10 000 000 $ 7 yil 1010 yil 1015 yil 100 000 000 $ 245 kun 109 yil 1014 yil Nazorat savollari 1. Simmetrik oqimli shifrlarning bir martali bloknotga o‘xshash va farqli tomonlari. Nima uchun biz simmetrik oqimli shifrlarni bir martali bloknot kabi bardoshli deb ayta olmaymiz. 2. A5/1 oqimli shifrlash algoritmida 𝑚𝑎𝑗ሺ𝑥଼, 𝑦ଵ, 𝑧ଵሻ funksiyasi qanday ahamiyatga ega. 3. A5/1 oqimli shifrlash algoritmining har bir qadamida qancha ketma-ketlik hosil bo‘ladi. 4. A5/1 oqimli shifrlash algoritmidagi 𝑋, 𝑌 va 𝑍 registorlarining dastlabki qiymati kanday olinadi. 5. A5/1 oqimli shifrlash algoritmi amalda qayerda foydalaniladi va qanday hisoblash resursini talab etadi. 6. Blokli shifrlash va oqimli shifrlash usullari orasidagi farqni tushuntiring. 7. Blokli shifrlarda raund va raund funksiyasi tushunchalariga izoh bering. 8. Simmetrik blokli shifrlarni yaratishda qanday tarmoqlardan foydalaniladi. 9. Blokli shifrlarda blok uzunligi tushunchasiga izoh bering. 10. Blokli shifrlarda raund kaliti (qism kalit) tushunchasi va uni shifrlash kalitidan asosiy farqi. 11. Ma’lumot uzatish davomida xalallar natijasida o‘zgarish ehtimoli mavjud bo‘lsa, simmetrik shifrlar algoritmlarining qaysi turidan foydalangan maqul. 12. TEA blokli shifrlash algoritmida blok uzunligi, kalit uzunligi va raundlar soni haqida ma’lumot bering. 13. TEA blokli shifrlash algoritmida kalitdan raund kalitlari qanday hosil qilinadi. 14. Blokli shifrlashda rejimlar nima va ular nimaga kerak. 15. ECB shifrlash rejimida qanday kamchilik bor va uni kodlar kitobiga o‘xshash tomoni nimada. 16. Blokli shifrlashda bir xil bloklarni turli shifrmatn bloklari ko‘rinishida keltirish. SBC rejimi. 17. CBC ejimida shifrmatn blokining o‘zgarinishi ochiq matn bloklariga qanday ta’sir qiladi. 18. Simmetrik kriptotizimlarga tegishli bo‘lgan umumiy muammolar nimadan iborat. 19. Simmetrik kriptotizimlarda kalit uzunligi va kalitni bo‘lishi mumkin bo‘lgan variantlar sonini aniqlashni hisoblash qurilmasiga bog‘liqligi. 20. Xavfsizlik nuqtai nazaridan hozirgi kunda simmetrik shifrlarda kalitga qo‘yiladigan talab qanday. 4 - Ma’ruza: Assimetrik shifrlar Kriptografiya bor joyda shuni bilish kerakki, hech qanday zo‘ravonlik matematik muammoni echa olmaydi - Jacob Appelbaum. Assimetrik shifrlash algoritmlari • Ma’lumotni shifrlashda va deshifrlash jarayonlarida turli kalitlardan foydalanadi. – SHu sababli, kalitlarni taqsimlash muammosi mavjud emas. • Ochiq kalitli kriptotizimlarni yaratishda “qopqonli” bir tomonlama funksiyalarga asoslaniladi. – funksiya bir tomonlama osonlik bilan hisoblanadi, biroq, ushbu funksiyani teskarisini hisoblash juda ham murakkab. • Mazkur bir tomonlama funksiyalarga misol sifatida faktorlash amalini olishimiz mumkin. – Tub bo‘lgan ikkita p va q sonlarni generatsiyalash va 𝑁 = 𝑝 ∗ 𝑞 ni hisoblash oson. – Biroq, N soni etarlicha katta bo‘lganda uni ikkita tub sonning ko‘paytmasi shaklida ifodalash murakkab vazifa (yuqori hisoblash imkoniyatini talab etadi). Kiberxavfsizlik asoslari (CSF1316) Modul arifmetikasi • Kriptografiyada 𝑎 sonni 𝑏 songa bo‘lgandagi qoldiq 𝑟 ga teng bo‘lsa, u holda quyidagicha belgilanadi: 𝑎𝑚𝑜𝑑𝑏 ≡ 𝑟. – Dasturlash tillarida esa 𝑎%𝑏 kabi belgilanadi. • Kriptografiyada modul sifatida (ya’ni, bo‘luvchi) faqat tub sonlardan foydalanish talab etiladi. – YA’ni, 𝑎 𝑚𝑜𝑑 𝑛 tenglikdagi 𝑛 har doim tub bo‘lishi talab etiladi. • Misollar: 7𝑚𝑜𝑑3 ≡ 3 ∗ 2 𝑚𝑜𝑑3 + 1𝑚𝑜𝑑3 ≡ 0 + 1 ≡ 1 14𝑚𝑜𝑑3 ≡ 3 ∗ 4 𝑚𝑜𝑑3 + 2𝑚𝑜𝑑3 ≡ 0 + 2 ≡ 2 2𝑚𝑜𝑑3 ≡ 0 ∗ 3 𝑚𝑜𝑑3 + 2𝑚𝑜𝑑3 ≡ 2 5𝑚𝑜𝑑7 ≡ 5 −2𝑚𝑜𝑑5 ≡ −2 + 5 𝑚𝑜𝑑5 ≡ 3𝑚𝑜𝑑5 ≡ 3 −7𝑚𝑜𝑑3 ≡ −7 + 3 𝑚𝑜𝑑3 ≡ −4𝑚𝑜𝑑3 ≡ −4 + 3 𝑚𝑜𝑑3 ≡ − 1𝑚𝑜𝑑3 ≡ −1 + 3 𝑚𝑜𝑑3 ≡ 2 Kiberxavfsizlik asoslari (CSF1316) Modul arifmetikasi • 𝟑−𝟏𝒎𝒐𝒅𝟕 ≡ 𝟏 𝟑 𝒎𝒐𝒅𝟕 ≡?
algoritmidan foydalanish mumkin. • Agar 𝑎−1𝑚𝑜𝑑𝑛 ≡ 𝑏 bo‘lsa, u holda 𝑎 ∗ 𝑏 𝑚𝑜𝑑𝑛 ≡ 1 tenglik o‘rinli bo‘ladi. 3−1𝑚𝑜𝑑7 ≡ 𝑥 7 = 3 ∗ 2 + 1 3 = 1 ∗ 3 + 0 • Demak, 1 soni 3 va 7 sonlari uchun EKUB bo‘ladi. • Oxirgi tenglikdan boshlab quyidagicha teskari yozish amalga oshiriladi: 1 = 7 − 3 ∗ 2 = 7 + −2 ∗ 3 = 7 ∗ 1 + −2 ∗ 3 Kiberxavfsizlik asoslari (CSF1316) Modul arifmetikasi • Tenglikni ikki tomonini modulga (𝑚𝑜𝑑7) olinadi: 7 ∗ 1 𝑚𝑜𝑑7 + −2 ∗ 3 𝑚𝑜𝑑7 𝑚𝑜𝑑7 ≡ 1𝑚𝑜𝑑7 YOki −2 ∗ 3 𝑚𝑜𝑑7 ≡ 1𝑚𝑜𝑑7 ≡ 1 • Ushbu tenglikni 3 ∗ 𝑥 𝑚𝑜𝑑7 ≡ 1 ga taqqoslash orqali 𝑥 = −2 ga tengligini yoki −2𝑚𝑜𝑑7 = 5 ligini topish mumkin. • YA’ni, 3 ∗ 5 𝑚𝑜𝑑7 ≡ 1 tenglik o‘rinli. Kiberxavfsizlik asoslari (CSF1316) RSA algoritmi • RSA ochiq kalitli shifrlash algoritmi mualliflari bo‘lgan uchta olimlar, Rivest, Shamir va Adleman, sharafiga qo‘yilgan. • RSA algoritmi katta sonlarni faktorlash muammosiga asoslanadi. • RSA algoritmida quyidagi jarayonlar mavjud: – Kalitni generatsiyalash; – SHifrlash; – Deshifrlash. Kiberxavfsizlik asoslari (CSF1316) RSA – kalitlarni generatsiyalash • Ikkita katta uzunlikdagi 𝒑 va 𝒒 sonlari tanlanadi. • Ularning ko‘paytmasi hisoblanadi: 𝑵 = 𝒑 ∗ 𝒒. • Eyler funksiyasi hisoblanadi: 𝑵 = 𝒑 − 𝟏 ∗ 𝒒 − 𝟏 . – Eyler funksiyasi 𝑵 sonidan kichik va u bilan o‘zaro tub bo‘lgan sonlar miqdorini ko‘rsatadi. • 𝝋 𝑵 bilan o‘zaro tub bo‘lgan 𝒆 soni tanlanadi. • 𝒆𝒅 = 𝟏 𝒎𝒐𝒅 𝝋 𝑵 shartni qanoatlantiruvchi 𝒅 soni hisoblanadi. • Demak, – (𝑵, 𝒆) ochiq kalit jufti – 𝒅 maxfiy kalitni tashkil etadi. • SHundan so‘ng, 𝒑 va 𝒒 sonlar o‘chirib tashlanadi. Kiberxavfsizlik asoslari (CSF1316) RSA – shifrlash va deshifrlash • SHifrlash: – 𝐶 = 𝑀𝑒 𝑚𝑜𝑑 𝑁. • Deshifrlash: – 𝑀 = 𝐶𝑑 𝑚𝑜𝑑 𝑁. Kiberxavfsizlik asoslari (CSF1316) Misol
• 𝑁 = 𝑝 ∗ 𝑞 = 33 ga teng bo‘ladi. • 𝜑 𝑁 = 𝑝 − 1 𝑞 − 1 = 20 ga teng bo‘ladi. • U holda, 𝑒 = 3 ga teng bo‘lsin. • Evklidning kengaytirilgan algorimtiga ko‘ra 𝑑 = 7. – YA’ni, 𝑒𝑑 = 3 ∗ 7 = 1 𝑚𝑜𝑑 20. • Ochiq kaliti jufti 𝑁, 𝑒 = 33,3 . • SHaxsiy kaliti esa 𝑑 = 7. Kiberxavfsizlik asoslari (CSF1316) Misol
• B tomon A tomonga 𝑀 = 15 ma’lumotni shifrlash yubormoqchi: – Buning uchun B tomon A tomonning ochiq kaliti juftini 𝑁, 𝑒 = (33,3) oladi. – SHifrmatnni quyidagicha hisoblaydi: • 𝐶 = 𝑀𝑒 𝑚𝑜𝑑 𝑁 = 153 = 3375 = 9 𝑚𝑜𝑑 33 – Uni A tomonga yuboradi. • A tomon 𝐶 = 9 shifrmatnni deshifrlash uchun: – shaxsiy kalit 𝑑 = 7 dan foydalanadi • 𝑀 = 𝐶𝑑 𝑚𝑜𝑑 𝑁 = 97 = 4782969 = 144938 ∗ 33 + 15 = 15 𝑚𝑜𝑑 33. Kiberxavfsizlik asoslari (CSF1316) RSA algoritmi • RSA algoritmida kichik tub sonlardan ( 𝑝 va 𝑞 uchun ) foydalanilgan taqdirda, hujumchi ochik bo‘lgan 𝑁 ni osonlik bilan ikkita tub sonning ko‘paytmasi ko‘rinishiga yozish mumkin. • SHuning uchun RSA algoritmidan amalda foydalanish uchun tanlanuvchi tub sonlar uzunligi kamida 2048 bit bo‘lishi talab etiladi. • RSA algoritmini buzishning faktorlash muammosini echishdan tashqari biror usuli aniqlanmagan. Kiberxavfsizlik asoslari (CSF1316) Ochiq kalitli kriptotizimlardan foydalanish • A tomonning ochiq kaliti bilan xabar 𝑀 ni shifrlash:
Kiberxavfsizlik asoslari (CSF1316) Ochiq kalitli kriptotizimlardan foydalanish • Simmetrik shifrlar bilan bajargan ixtiyoriy
Kiberxavfsizlik asoslari (CSF1316) Gibrid kriptotizim Kiberxavfsizlik asoslari (CSF1316) A tomon B tomon { K } B
Ochiq kalitli kriptotizimlarda kalit uzunligi Simmetrik shifrlash algoritmi RSA algoritmi (𝑝 va 𝑞 sonlari)
Kiberxavfsizlik asoslari (CSF1316) Simmetrik va ochiq kalitli kriptotizimlar bir
Faktorlash hujumi • Natijalar bir sekundda millionta amal bajaruvchi (one- million-instruction-per-second, mips) kompyuter yoki yiliga 1013 amal bajarishi hisobida olingan. Kiberxavfsizlik asoslari (CSF1316) 𝑁 ning bitdagi uzunligi Talab etiluvchi yillar
E’TIBORINGIZ UCHUN RAXMAT!!! 5-ma’ruza. Ma’lumotning butunligi Kutiladigan natija: - xeshlashdan “barmoq izini” va elektron raqamli imzoni hosil qilishda foydalanishni muhokama qilish; - simmetrik shifrlash algoritmlaridan ma’lumot butunligini tekshirishda foydalanishni muhokama qilish; - ochiq kalitli kriptotizimlardan ham konfidensiallik ham rad etishdan himoyalashni ta’minlashda foydalanishni muhokama qilish; - ochiq kalitli kriptotizimlardan ham butunlikni ham rad etishdan himoyalashni ta’minlashda foydalanishni muhokama qilish; - ochiq kalitli kriptotizimlarda ochiq kalit egasini aniqlashda PKI tizimlaridan foydalanishni muhokama qilish. Simmetrik shifrlash algoritmlaridan ma’lumot butunligini tekshirish Bundan oldingi ma’ruzalarda har ikkala shifrlash algoritmlaridan (simmetrik va ochiq kalitli) faqat ma’lumotni konfidensiyalligini ta’minlashda foydalanish haqida aytib o‘tildi. Mazkur ma’ruzada esa ulardan ma’lumotni butunligini tekshirishda foydalanish tartibi bilan tanishib o‘tiladi. 2-ma’ruzada xesh – funksiyadan foydalanib ma’lumotni butunligini tekshirishning sodda usuli keltirilgan edi. Biroq, ushbu usulda jiddiy xavfsizlik muammosi bo‘lgani bois, undan amalda foydalanilmaydi. YA’ni, 2.4-rasmda keltirilgan usulda hujumchi tomonidan faqat ma’lumot o‘zgartirilgan holda butunlikni tekshirish imkonyati mavjud. Biroq, hujumchi ham ma’lumotni ham xesh qiymatni almashtirish orqali foydalanuvchini osonlik bilan ma’lumot butunligiga ishontirish mumkin. Buning asosiy sababi, ma’lumotni xesh qiymatini hosil qilishda hujumchiga noma’lum biror axborotdan foydalanilmaganligidir. Ushbu muammoni bartaraf etuvchi – xabarlarni autentifikatsiyalash kodi (message authentication code, MAC) tizimlari mavjud bo‘lib, unga ko‘ra biror maxfiy kalit asosida ma’lumotning xesh qiymati hisoblanadi (5.1- rasm). MAC MAC =? MAC Kalit Kalit Ma’lumot Ma’lumot Jo‘natuvchi Qabul qiluvchi
5.1-rasm. MAS tizimi MAC tizimlarini ishlab chiqishda blokli shifrlardan ham foydalanish mumkin. Buning uchun blokli shifrni CBC rejimida foydalanish va eng oxirgi shifrmatn blokini olishning o‘zi etarli (qolganlari tashlab yuboriladi). Ushbu oxirgi shifrmatn bloki MAC sifatida xizmat qiladi. Mazkur holda 𝑁𝑁 blokdan iborat bo‘lgan ma’lumot bloklari, 𝑃𝑃0, 𝑃𝑃1, 𝑃𝑃2 , … , 𝑃𝑃𝑁𝑁−1 uchun MAC quyidagi formula orqali hisoblanadi: 𝐶𝐶0 = 𝐸𝐸(𝑃𝑃0⨁𝐼𝐼𝐼𝐼, 𝐾𝐾), 𝐶𝐶1 = 𝐸𝐸(𝑃𝑃1⨁𝐶𝐶0, 𝐾𝐾), … , 𝐶𝐶𝑁𝑁−1 = 𝐸𝐸(𝑃𝑃𝑁𝑁−1⨁𝐶𝐶𝑁𝑁−2, 𝐾𝐾) = 𝑀𝑀𝑀𝑀𝐶𝐶. Buning uchun har ikkala tomonda 𝐼𝐼𝐼𝐼 va 𝐾𝐾 ni bo‘lishining o‘zi etarli. Faraz qilaylik, A va B tomonlardan uzatilayotgan ma’lumotlarini butunligini tekshirish talab etilgan bo‘lsin (bu erda ma’lumotni konfidensialligini ta’minlash masalasi qaralmagan). Bu holda A va B tomonlar orasida xavfsiz taqsimlangan 𝐾𝐾 kalit yordamida A tomon 𝑀𝑀𝑀𝑀𝐶𝐶 ni hisoblanadi va ma’lumot va 𝐼𝐼𝐼𝐼 ga qo‘shib B ga uzatadi. Bu holda B tomon ma’lumot, 𝐾𝐾 va 𝐼𝐼𝐼𝐼 yordamida 𝑀𝑀𝑀𝑀𝐶𝐶 ni hisoblaydi. Agar hisoblangan "𝑀𝑀𝑀𝑀𝐶𝐶" qabul qilingan 𝑀𝑀𝑀𝑀𝐶𝐶 ga teng bo‘lsa, ma’lumot o‘zgartirilmagan aks holda o‘zgartirilgan deb topiladi. Qanday qilib, ikkita hisoblangan 𝑀𝑀𝑀𝑀𝐶𝐶 qiymatlar turlicha bo‘lishi mumkin? Faraz qilaylik A tomon quyidagilarni B ga yuborgan bo‘lsin: 𝐼𝐼𝐼𝐼, 𝑃𝑃0, 𝑃𝑃1, 𝑃𝑃2, 𝑃𝑃3, 𝑀𝑀𝑀𝑀𝐶𝐶. Faraz qilaylik hujumchi birinchi blok 𝑃𝑃1 ni o‘zgartirdi (uni 𝑄𝑄 deb belgilaymiz) va bu holda B tomon MAC ni quyidagicha hisoblaydi: 𝐶𝐶0 = 𝐸𝐸(𝑃𝑃0⨁𝐼𝐼𝐼𝐼, 𝐾𝐾), 𝐶𝐶 ́1 = 𝐸𝐸(𝑄𝑄⨁𝐶𝐶0, 𝐾𝐾), 𝐶𝐶 ́2 = 𝐸𝐸�𝑃𝑃2⨁ 𝐶𝐶 ́1, 𝐾𝐾�,
𝐶𝐶 ́3 =
𝐸𝐸�𝑃𝑃3⨁𝐶𝐶 ́2, 𝐾𝐾� = "𝑀𝑀𝑀𝑀𝐶𝐶" ≠ 𝑀𝑀𝑀𝑀𝐶𝐶. YA’ni, ochiq matndagi bir blokning o‘zgarishi keyingi barcha bloklarga ta’sir qiladi va buning natijasida shifrmatn bloklari turlicha bo‘ladi. Bizga ma’lumki, CBC rejimida shifrmatndagi bir blok o‘zgarishi deshifrlanganda faqat 2 ta ochiq matn blokiga ta’sir qiladi. Biroq, ochiq matnning bir blokini o‘zgarishi undan keyingi barcha shifrmatn bloklariga ta’sir qiladi va bu MAC tizimlari uchun juda muhim. Albatta, mazkur usul MAC tizimlarini yaratishning yagona usuli emas. Quyida xesh funsiyalar asosida MAC tizimlarini yaratish bilan tanishib chiqiladi. Xesh – funksiyalar asosida ma’lumot butunligini tekshirish YUqorida 𝑀𝑀 ma’lumot butunligini tekshirishda ℎ(𝑀𝑀) ni hisoblash va qabul qiluvchiga 𝑀𝑀, ℎ(𝑀𝑀) ni yuborish orqali amalga oshirishning kamchiligi haqida aytib o‘tilgan edi. SHuning uchun, amalda xesh funksiyalardan ma’lumot butunligini ta’minlashda bevosita foydalanilmaydi. Boshqa so‘z bilan aytganda, xesh funksiyalardan ma’lumot butunligini ta’minlashda hisoblangan xesh qimatni o‘zgartira olmaslikni kafolatlash maqsad qilinadi. Buni amalga oshirish uchun balki xesh qiymatni simmetrik kalitli shifrlar asosida shifrlash zarurdir (ya’ni, 𝐸𝐸(ℎ(𝑀𝑀), 𝐾𝐾)). Biroq, buni amalga oshirishning soddaroq usuli – xeshlangan MAS (hashed MAC yoki HMAC) mavjud. Bunga ko‘ra, xesh qiymatn shifrlashning o‘rniga, xesh qiymatni hisoblash jarayonida kalitni bevosita ma’lumotga biriktirish amalga oshiriladi. HMAC tizimida kalitlar qanday biriktiriladi? Umumiy holda ikki usul: kalitni matnni oldidan qo‘yish (ℎ(𝐾𝐾, 𝑀𝑀)) yoki kalitni matndan keyin qo‘yish (ℎ(𝑀𝑀, 𝐾𝐾)) mavjud bo‘lsada, ularning har ikkalasida jiddiy xavfsizlik muammosi mavjud. Xesh funksiyalar ham simmetrik kriptotizim hisoblanadi va simmetrik blokli shifrlash kabi ma’lumotni xeshlashda bloklarga ajratadi. Odatda aksariyat xesh funksiyalar uchun (masalan, MD5, SHA1, Tiger) blok uzunligi 64 baytga yoki 512 bitga teng. HMAC tizimida kalit ma’lumotga quyidagicha biriktiriladi. Dastlab xesh funksiyadagi blokning uzunligi baytlarda aniqlanadi. Masalan. MD5 xesh fuknsiyasida blok uzunligi 𝐵𝐵 = 64 baytga teng. Olingan kalit (𝐾𝐾) uzunligi ham blok uzunligiga olib kelinadi. Bunda 3 ta holat bo‘lishi mumkin: (1) agar kalitning uzunligi 64 baytga teng bo‘lsa, hech qanday o‘zgarish amalga oshirilmaydi, (2) agar kalitning uzunligi 64 dan kichik bo‘lsa, u holda etmagan baytlar o‘rni nollar bilan to‘ldiriladi, (3) agar kalit uzunligi blok uzunligidan katta bo‘lsa, kalit dastlab xeshlanadi va hosil bo‘lgan xesh qiymatning o‘ng tomonidan blok uzunligiga etguncha nollar bilan to‘ldiriladi. SHu tariqa, kalit uzunligi blok uzunligiga moslashtiriladi. Quyidagi 𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖 va 𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖 o‘zgaruvchilar quyidagicha hosil qilinadi: 𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖 = 0𝑥𝑥36 ni 𝐵𝐵 marta takrorlash natijasida 𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖 = 0𝑥𝑥5𝑐𝑐 ni 𝐵𝐵 marta takrorlash natijasida Bu holda HMAC quyidagicha hisoblanadi: 𝐻𝐻𝑀𝑀𝑀𝑀𝐶𝐶(𝑀𝑀, 𝐾𝐾) = 𝐻𝐻�𝐾𝐾 ⊕ 𝑜𝑜𝑖𝑖𝑖𝑖𝑖𝑖, 𝐻𝐻(𝐾𝐾⨁𝑖𝑖𝑖𝑖𝑖𝑖𝑖𝑖, 𝑀𝑀)�. Tenglikdan ko‘rinib turibdiki, HMAC da ikki marata xeshlash amalga oshirilmoqda. Kalit 𝐾𝐾 faqat ikki tomonga (yuboruvchi va qabul qiluvchiga) ma’lum bo‘lgani uchun, hujumchi mos xesh qiymatni qayta hisoblay olmaydi. A tomondan yuborilgan (𝑀𝑀, 𝐻𝐻𝑀𝑀𝑀𝑀𝐶𝐶(𝑀𝑀, 𝐾𝐾)) ma’lumot juftlaridan hujumchi faqat ma’lumotni o‘zgartirishi mumkin bo‘ladi va bu holat qabul qiluvch tomonidan osonlik bilan aniqlanadi. Ochiq kalitli shifrlash algoritmlari asosida ma’lumot butunligini tekshirish va rad-etishdan himoyalash Mazkur bo‘limda ochiq kalitli kriptotizimlar va xesh funksiyalar asosida ishlovchi – elektron raqamli imzo tizimlari bilan tanishib o‘tiladi. O‘zbekiston Respublikasining Elektron raqamli imzo to‘g‘risidagi qonunida elektron raqamli imzoga quyidagicha ta’rif berilgan: “Elektron raqamli imzo (ERI) — elektron hujjatdagi mazkur elektron hujjat axborotini elektron raqamli imzoning yopiq kalitidan foydalangan holda maxsus o‘zgartirish natijasida hosil qilingan hamda elektron raqamli imzoning ochiq kaliti yordamida elektron hujjatdagi axborotda xatolik yo‘qligini aniqlash va elektron raqamli imzo yopiq kalitining egasini identifikatsiya qilish imkoniyatini beradigan imzo”. Elektron raqamli imzo oddiy qo‘lda qo‘yiluvchi imzo kabi bo‘lib, faqat elektron hujjatlarda qo‘yiladi va imzo qo‘yilgan ma’lumotni butunligini ta’minlaydi va imzolovchini qo‘yilgan imzodan bosh tortmasligini (rad etmasligini) kafolatlaydi. Axborot xavfsizligada rad etish muammosi mavjud bo‘lib, unga ko‘ra foydalanuvchi hujjatni imzolaganini rad etadi (ya’ni, men imzolamadim deb turib oladi). Mazkur muammoni oldini olish uchun aynan elektron raqamli imzo tizimlari foydalaniladi. SHunday qilib, ERI tizimlari nafaqat ma’lumotning butunligini ta’minlaydi va balki imzolovchini majburiyatlardan qochishiga yo‘l qo‘ymaydi (yoki rad etishni oldini oladi). SHu sababli, ERI tizimlari faqat ma’lumotni butunligini ta’minlovchi simmetrik kriptotizimlarga asoslangan MAS tizimlaridan ajralib turadi. MAS tizimlarida xesh qiymatni qayta hisoblay olmaslik uchun, matnga kalit biriktirilgan bo‘lsa, ERI tizimlarida ma’lumotning xesh qiymati shaxsiy kaliti bilan “shifrlash” lanadi va ERI hosil qilinadi. Ushbu xabarni “deshifrlash” uchun esa tomonning ochiq kalitini bilishning o‘zi etarli. Demak, oddiy imzo tizimiga o‘xshash (oddiy imzo tizimida bir kishi imzo qo‘yadi va qolganlar uni haqiqiyligini tekshirishi talab etiladi) ERI tizimida ham shaxsiy kalit egasi xabarni imzolaydi, qolganlar esa uni ochiq kalitidan foydalangan holda imzoni haqiqiyligini tekshiradi. Agar A tomon xabar 𝑀𝑀 ga imzo qo‘ygan bo‘lgan u holda imzo 𝑆𝑆 = [𝑀𝑀]𝐴𝐴 shaklida ifodalanadi (xuddi ochiq kalitli kriptografiyada shaxsiy kalit bilan deshifrlash kabi). ERI tizimlari ikkita jarayondan iborat: ERIni shakllantirish va ERIni tekshirish (5.2-rasm). 5.2-rasm. ERI sxemasi ERIni shakllantirish jarayoni. Faraz qilinsin, A tomondan 𝑀𝑀 xabarni imzolash talab etilsin. Buning uchun xabar 𝑀𝑀 ning xesh qiymati hisoblanadi: 𝐻𝐻 = ℎ(𝑀𝑀). SHundan so‘ng, xabarning xesh qiymati 𝐻𝐻 foydalanuvchining shaxsiy kaliti bilan “shifrlanadi” (bu haqiqiy shifrlash emas, shunchaki shaxsiy kalit bilan 𝐻𝐻 ustiga biror amal bajarishdan iborat) va imzo 𝑆𝑆 = [𝐻𝐻]𝐴𝐴. Hosil qilingan imzo ma’lumotga biriktirilib {𝑀𝑀, 𝑆𝑆} qabul qiluvchiga uzatiladi. ERIni tekshirish jarayoni. Faraz qilinsin, 𝐵𝐵 tomondan 𝑀𝑀′ xabarga qo‘yilgan imzo 𝑆𝑆 ni tekshirish talab etilsin. Buning uchun 𝐵𝐵 tomon dastlab xabar 𝑀𝑀′ ni xesh qiymatini hisoblaydi: 𝐻𝐻′ = ℎ(𝑀𝑀′). 𝑀𝑀 tomonning ochiq kaliti bilan 𝑆𝑆 ni “deshifrlaydi” (bu haqiqiy deshifrlash emas, shunchaki ochiq kalit bilan 𝑆𝑆 ustiga biror amal bajargan holda 𝐻𝐻 tiklash) va 𝐻𝐻 ni hosil qiladi. Agar ikki xesh qiymatlar (𝐻𝐻 va 𝐻𝐻′) o‘zaro teng bo‘lsa, ERI to‘g‘ri deb topiladi (demak xabar butun). Rad – etishdan himoyalashni tushunishdan oldin, MAS asosida butunlikni ta’minlashga bir sodda misol olsak. Faraz qilaylik 𝑀𝑀 tomon o‘zining sevimli dalloli 𝐵𝐵 tomonga 100 ta aksiyasini olishga buyurtma berdi. Berilgan buyurmani butunligina ta’minlash uchun 𝑀𝑀 tomon 𝐵𝐵 tomon bilan taqsimlangan kalit 𝐾𝐾𝐴𝐴𝐴𝐴 yordamida MAS ni hisobladi. Ma’lum vaqt o‘tgandan so‘ng, buyurtmalar tayyor bo‘ladi. Biroq, 𝑀𝑀 tomon to‘lovni amalga oshirishdan oldin aksiyalarning narxi tushib ketadi. Bu vaqtda esa, 𝑀𝑀 tomon buyurtmani men bermadim deb turib oladi va ni rad etadi. Sababi, butunlikni ta’minlash uchun hisoblangan MAC ni har ikkala tomon ham hosil qila oladi. Mazkur holat ERI bilan amalga oshirilsachi? YA’ni, 𝑀𝑀 tomon buyurtmani o‘zining shaxsiy kaliti bilan imzolab 𝐵𝐵 tomonga yuboradi. Bu erda 𝑀𝑀 tomon buyurmani men bermadim deb rad eta olmaydi. Sababi, buyurtmani imzolash faqat shaxsiy kalit bilan amalga oshiriladi. SHaxsiy kalit esa, faqat 𝑀𝑀 tomonga ma’lum. Ochiq kalitli shifrlash algoritmlari asosida ma’lumot konfidensialligini ta’minlash va rad-etishdan himoyalash Faraz qilinsin, 𝑀𝑀 va 𝐵𝐵 tomonlar ochiq kalitli kriptotizimlardan foydalanish imkoniyati mavjud hamda 𝑀𝑀 tomon 𝐵𝐵 tomonga 𝑀𝑀 xabarni yuborishni istaydi. Agar konfidensiallikni ta’minlash uchun 𝑀𝑀 tomoni 𝐵𝐵 tomonning ochiq kaliti bilan xabar 𝑀𝑀 ni shifrlasa, butunlik va rad etishdan himoyalash uchun 𝑀𝑀 tomon shaxsiy kaliti bilan 𝑀𝑀 xabarga imzo qo‘yadi. Biroq, faraz qilinsin, 𝑀𝑀 tomon ma’lumotni konfidensialligi va rad etishdan himoyalanishini istaydi. Buning uchun esa 𝑀𝑀 tomon shunchaki shifrlash yoki imzolash bilan muammoni echa olmaydi. Bir qarashda 𝑀𝑀 tomon 𝑀𝑀 xabarga birinchi imzo qo‘yib, so‘ng shifrlashi va 𝐵𝐵 tomonga yuborishining o‘zi etarlidek tuyuladi, ya’ni: {[𝑀𝑀]𝐴𝐴}𝐴𝐴 YOki, birinchi shifrlab keyin imzolash 𝑀𝑀 tomon uchun yaxshidek ko‘rinar, ya’ni: [{𝑀𝑀}𝐴𝐴]𝐴𝐴 Xo‘sh? YUqoridagilardan qay biri masalaga to‘g‘ri echim bo‘la oladi. Keling, yuqoridagi holatlar uchun misollar qarab chiqaylik. Birinchi holat. Farz qilaylik 𝑀𝑀 va 𝐵𝐵 tomonlar orasida ishqiy munosabat bo‘lsin va 𝑀𝑀 tomon 𝐵𝐵 tomonga quyidagi xabarni yuborishga qaror qildi: 𝑀𝑀 = "𝐼𝐼 𝑙𝑙𝑜𝑜𝑙𝑙𝑙𝑙 𝑦𝑦𝑜𝑜𝑦𝑦" Buning uchun u birinchi imzolash va keyin shifrlash ketma-ketligidan foydalanmoqchi va 𝐵𝐵 ga quyidagini yuboradi: {[𝑀𝑀]𝐴𝐴}𝐴𝐴 SHundan so‘ng, 𝑀𝑀 va 𝐵𝐵 tomonlar orasida ozgina kelishmovchilik kelib chiqadi va 𝐵𝐵 tomon janjal boshlamoqchi bo‘ladi. Buning uchun qabul qilingan xabarni deshifrlaydi va [𝑀𝑀]𝐴𝐴 ga ega bo‘ladi va uni uchinchi 𝐶𝐶 tomonning ochiq kalitidan foydalanib shifrlaydi va 𝐶𝐶 yuboradi (5.3-rasm): {[𝑀𝑀]𝐴𝐴}𝐶𝐶 Albatta mazkur holatda, 𝐶𝐶 tomon 𝑀𝑀 tomon uni yaxshi ko‘rarkan deb o‘ylaydi va bu ikkala 𝑀𝑀 va S tomonlar uchun muammo olib kelsa, 𝐵𝐵 tomon esa bundan huzur qiladi. 5.3-rasm. Imzo qo‘yish va shifrlash sxemasi muammosi Mazkur holatdan xulosa chiqargan 𝑀𝑀 tomon konfidensiallikni ta’minlash uchun imzolash va shifrlash sxemasi mos emasligini biladi. SHuning uchun bundan keyin mazkur holatlarda shifrlash va keyin imzolash sxemasidan foydalanishni qaror qiladi. Ma’lum vaqtdan so‘ng, 𝑀𝑀 va 𝐵𝐵 tomonlar o‘zaro kelishib olishdi. SHundan so‘ng 𝑀𝑀 tomon bir yangi nazariyani yaratdi va 𝐵𝐵 tomon bilan ulanishni istadi. Mazkur holatda xabar quyidagicha bo‘lsin: 𝑀𝑀 = "𝐵𝐵𝐵𝐵𝑜𝑜𝐵𝐵𝐵𝐵𝑜𝑜𝐵𝐵𝑖𝑖𝑦𝑦𝐵𝐵𝑦𝑦𝐵𝐵𝑙𝑙𝐵𝐵 𝑖𝑖𝐵𝐵𝑙𝑙 𝐵𝐵ℎ𝑖𝑖𝐵𝐵 𝑖𝑖𝐵𝐵 𝑜𝑜𝐵𝐵𝑙𝑙 𝑙𝑙𝐵𝐵𝑖𝑖, 𝑚𝑚𝑦𝑦𝑐𝑐ℎ 𝑚𝑚𝑦𝑦𝑐𝑐ℎ 𝐵𝐵ℎ𝑖𝑖𝑐𝑐𝑖𝑖𝑙𝑙𝐵𝐵 𝑖𝑖𝐵𝐵 𝐵𝐵ℎ𝑙𝑙 𝑚𝑚𝑖𝑖𝑖𝑖𝑖𝑖𝑙𝑙𝑙𝑙, 𝐵𝐵ℎ𝑙𝑙𝐵𝐵 𝐵𝐵ℎ𝑖𝑖𝐵𝐵 𝑖𝑖𝑎𝑎𝑖𝑖𝑖𝑖𝐵𝐵 𝑖𝑖𝐵𝐵 𝐵𝐵ℎ𝑙𝑙 𝑜𝑜𝐵𝐵ℎ𝑙𝑙𝐵𝐵 𝑙𝑙𝐵𝐵𝑖𝑖" 𝑀𝑀 tomon xabarni yuborishda shifrlash va imzolash sxemasidan foydalandi: [{𝑀𝑀}𝐴𝐴]𝐴𝐴 Bu vaqtda kelib, 𝐶𝐶 tomon 𝑀𝑀 va 𝐵𝐵 tomonlar bilan xanuzgacha xafa va ulardan “o‘ch olishni” istaydi hamda 𝑀𝑀 va 𝐵𝐵 tomonlar orasida joylashib, barcha o‘tuvchi xabarlarni to‘sib qoladi. Bundan tashqari, 𝐶𝐶 tomon 𝑀𝑀 tomon shu kunlarda bir yangilik ustida ish olib borayotganidan xabardor. SHuning uchun 𝑀𝑀 tomondan uzatiladigan har bir xabarni muhim deb hisoblaydi. 𝐶𝐶 tomon 𝑀𝑀 tomondan uzatilgan shifrlangan va imzolangan xabarni muhim deb hisoblaydi va uni tutib oladi. SHundan so‘ng shifrlangan xabar {𝑀𝑀}𝐴𝐴 ga o‘z nomidan imzo qo‘yadi (5.4-rasm): [{𝑀𝑀}𝐴𝐴]𝐶𝐶 𝐵𝐵 tomon mazkur xabarni qabul qilgandan so‘ng, uni 𝐶𝐶 tomon yuborganini aniqlaydi va deshiflagandan so‘ng 𝐶𝐶 tomon haqiqatda yangi nazariyani yaratgan deb hisoblaydi va 𝐶𝐶 tomonni rag‘batlantiradi. Bu holatdan so‘ng, 𝑀𝑀 tomon shifrlash va imzolash sxemasi ham o‘rinli emasligini aniqlaydi. 5.4-rasm. SHifrlash va imzolash sxemasidagi muammo Birinchi misolda, 𝐶𝐶 tomon {[𝑀𝑀]𝐴𝐴}𝐶𝐶 ni 𝑀𝑀 dan 𝐶𝐶 ga kelgan deb o‘yladi. Bu esa to‘g‘ri fikr emas. Sababi, 𝐶𝐶 tomonning ochiq kaliti barchaga ma’lum va u bilan ixtiyoriy kishi biror ma’lumotni shifrlab yuborishi mumkin. Ikkinchi misolda esa, [{𝑀𝑀}𝐴𝐴]𝐶𝐶 xabarning haqiqiy muallifini 𝐵𝐵 tomon 𝐶𝐶 tomon deb o‘yladi. Biroq, bu o‘rinda ham 𝐵𝐵 tomonning ochiq kaliti barchaga ochiq bo‘lgani uchun, ixtiyoriy kishi shifrlab yuborishi mumkin. 𝐶𝐶 tomon shifrmatnga imzo qo‘ygan bo‘lsada, u ma’lumotni 𝐶𝐶 tomon shifrlaganini anglatmaydi. Har ikkala holda ham asosiy muammo, qabul qiluvchini ochiq kalitli kriptotizimlar aslida qanday ishlashini bilmasligidadir. Ochiq kalitli kriptotizimlar bilan bog‘liq bo‘lgan cheklanishlar mavjud. Bular ochiq kalit bilan ixtiyoriy kishi ma’lumotni shifrlay olishi yoki imzoni ixtiyoriy kishi tekshiri olishidir. SHuning uchun, ochiq kalitli kriptotizimlardan foydalanganda mavjud holatni e’tiborga olish tavsiya etiladi. Ochiq kalitlar infratuzilmasi (Public key infrastructure, PKI) Ochiq kalitli kriptografiya bilan bog‘liq bo‘lgan muammolardan yana biri bu - ochiq kalitning kimga tegishli ekanligini aniqlashdir. Faraz qilaylik, 𝑀𝑀 tomon biror maxfiy xabar 𝑀𝑀 ni 𝐵𝐵 tomonga yubormoqchi. Buning uchun 𝑀𝑀 tomon 𝐵𝐵 tomonning ochiq kalitidan foydalanadi. Biroq, g‘arazli niyatda bo‘lgan 𝐶𝐶 tomon o‘z ochiq kalitini 𝑀𝑀 tomonga 𝐵𝐵 tomonni ochiq kaliti sifatida taqdim etadi. 𝑀𝑀 tomonni mazkur holatni tekshirish imkoniyati bo‘lmagani bois, unga ishonadi va maxfiy xabarni 𝐶𝐶 tomonning ochiq kaliti bilan shifrlaydi. Mazkur muammoni oldini olish uchun ochiq kalitli kriptografik tizimlarda ochiq kalitlar infratuzilmasidan foydalaniladi. Ochiq kalitlar infratuzilmasi yoki PKI real hayotda ochiq kalitli kriptotizimlardan xavfsiz foydalanish uchun talab etiluvchi barcha narsani o‘z ichiga oladi. PKI tarkibidan barcha narsalarning birgalikda ishlashi juda ham murakkab jarayon bo‘lib, quyida ularning ayrim tashkil etuvchilari va PKI ning asosiy vazifalari bilan tanishib chiqiladi. Raqamli sertifikat (yoki ochiq kalit sertifikati yoki qisqacha sertifikat) foydalanuvchining ismi va uning ochiq kalitidan iborat bo‘ladi (amalda foydalanuvchiga va sertifikatga tegishli ma’lmotlar ham bo‘ladi) va u sertifikat markazi (certificate authorit yoki CA) tomonidan imzolanadi. Masalan, 𝑀𝑀 tomonning sertifikati quyidagidan iborat bo‘ladi: 𝑀𝑀 = (A tomon nomi, 𝑀𝑀 tomoning ochiq kaliti) va 𝑆𝑆 = [𝑀𝑀]𝐶𝐶𝐴𝐴. Ushbu sertifikatni tekshirish uchun 𝐵𝐵 tomon {𝑆𝑆}𝐶𝐶𝐴𝐴 ni hisoblaydi va 𝑀𝑀 ga tengligini tekshiradi. 𝐶𝐶𝑀𝑀 tomoni odatda ishonchli uchunchi tomon (trusted third party yoki TTP) sifatida qaraladi. YA’ni, odatda 𝑀𝑀 foydalanuvchi uchun shaxsiy va ochiq kalitlar juftini generatsiya qiladi. SHaxsiy kalitni 𝑀𝑀 tomoning o‘ziga taqdim etadi va o‘zidan o‘chirib tashlaydi. Ochiq kalitni esa sertifikat shaklida taqdim etadi. Agar 𝐵𝐵 tomon 𝑀𝑀 tomonga biror ma’lumotni shifrlab yubormoqchi bo‘lsa, uning sertifikatidan foydalanadi. Buning uchun sertifikatdagi imzoni tekshirishi talab etadi. Bu esa o‘z navbatida 𝐵𝐵 tomonga 𝐶𝐶𝑀𝑀 ni ochiq kalitini (ya’ni, unga teng bo‘lgan sertifikatni) bilishni talab etadi. Bundan kelib chiqadiki, 𝐶𝐶𝑀𝑀 tomoning ochiq kaliti (yoki sertifikati) oldindan foydalanilayotgan tizimda mavjud bo‘ladi va bu haqida barcha ma’lumotga ega bo‘ladi. Nazorat savollari 1. 2.4-rasmda keltirilgan ma’lumot butunligini tekshirish usulida qanday muammo mavjud. 2. 2.4-rasmda keltirilgan ma’lumot butunligini tekshirish usuli va MAS tizimlari orasidagi farq nimada? 3. CBC shifrlash rejimining qanday xususiyati undan MAC tizimlarini qurishda foydalanilishini ta’minlaydi. 4. CBC rejimida qurilgan MAC tizimi va HMAC tizimlari orasida qanday farq va o‘xshashliklar mavjud. 5. Ma’lumotni uzatishda “rad etish” holati nima va unga misol keltiring. 6. ERIga ta’rif bering va uning asosiy vazifalarini keltiring. 7. ERI va MAS tizimlarining o‘xshashlik va farqli tomonlari. Nima uchun ERI rad etishdan himoyalaydi, MAS esa yo‘q. 8. Ochiq kalitli kriptotizimlardan ma’lumot butunligi va rad etishdan himoyalashda foydalanish holatini tushuntiring. 9. Ochiq kalitli kriptotizimlardan ma’lumot maxfiyligi va rad etishdan himoyalashda foydalanish holatini tushuntiring. 10. PKI tizimlari nima uchun zarur va u ochiq kalitli kriptotizimlardagi qanday muammoni bartaraf etadi. 11. Raqamli sertifikat qanday ma’lumotdan iborat va nima uchun sertifikat markazining imzosi bo‘lishi muhim. 12. RSA algoritmi asosida ma’lumotni shifrlash va imzolashda aynan bir xil kalitdan foydalanishning qanday zaifligi mavjud. 13. Agar ma’lumotni butunligini tekshirish talab etilsa, u holda MAC dan foydadanish afzalmi yoki ERIdan? Fikringizni asoslang. 14. Agar ma’lumotni rad-etishdan himoyalash talab etilsa, a holda MAC dan foydalanish afzalmi yoki ERIdan? Fikringizni asoslang. 6 – mavzu. Autentifikatsiya Kutiladigan natija: - identifikatsiya, autentifikatsiya, avtorizatsiya va ruxsatlarni nazoratlash tushunchalarini tushuntirish; - avtorizatsiya va autentifikatsiya tushunchalari orasidagi farqni tushuntiring; - autentifikatsiyalashda foydalaniladigan uchta asosiy xususiyatlarni tushuntiring; - autentifikatsiya usullaridagi afzallik va kamchiliklarni tushuntiring; - ko‘p faktorli autentifikatsiyaning ahamiyatini tushuntirish; - insonlar va qurilmalarni identifikatsiyalash, autentifikatsiyalash va avtorizatsiya jarayonlari orasidagi farqni tushuntiring; - ruxsatlarni nazoratlashga qaratilgan hujumlar va ularga qarshi himoya haqida umumiy tushunchalarni namoyish etish. Identifikatsiya, autentifikatsiya, avtorizatsiya va ruxsatlarni nazoratlash Tizim resurslarini boshqarish bilan bog‘liq bo‘lgan ixtiyoriy xavfsizlik muammosi uchun biz ruxsatlarni nazoratlash terminini “soyabon” sifatida foydalansak bo‘ladi. Mazkur sohaga oid tushuntirishlarni olib borganda 3 ta asosiy muhim bo‘lgan soha mavjud: identifikatsiya, autentifikatsiya va avtorizatsiya. Identifikatsiya – shaxsni kimdir deb davo qilish jarayoni. Masalan, siz telefonda o‘zingizni tanitishingizni identifikatsiyadan o‘tish deb aytish mumkin. Bunda siz o‘zingizni, masalan, “Men Bahodirman” deb tanitasiz. Bu o‘rinda “Bohodir” sizning identifikatoringiz bo‘lib xizmat qiladi. SHunday qilib, identifikatsiya – sub’ekt identifikatorini tizimga yoki talab qilgan sub’ektga taqdim etish jarayoni hisoblanadi. Bundan tashqari, elektron pochta tizimida ham pochta manzilni – identifikator sifatida qarash mumkin. Pochta manzilini taqdim etish jarayonini esa identifikatsiyalash jarayoni sifatida qarash mumkin. Elektron pochta tizimida pochta manzili takrorlanmas yoki unikal bo‘ladi. SHundan kelib chiqib aytish mumkinki, foydalanuvchining identifikatori tizim ichida unikal va takrorlanmasdir. Autentifikatsiya – foydalanuvchini (yoki biror tomonni) tizimdan foydalanish uchun ruxsati mavjudligini aniqlash jarayoni. Masalan, foydalanuvchini shaxsiy kompyuterdan foydalanish jarayonini olsak. Dastlab kirishda foydalanuvchi o‘z identifikatorini (ya’ni, foydalanuvchi nomini) kiritadi va u orqali tizimga o‘zini tanitadi (identifikatsiya jarayonidan o‘tadi). SHundan so‘ng, tizim foydalanuvchidan taqdim etilgan identifikatorni haqiqiyligini tekshirish uchun parolni so‘raydi. Agar identifikatorga mos parol kiritilsa (ya’ni, autentifikatsiyadan o‘tsa), foydalanuvchi kompyuterdan foydalanish imkoniyatiga ega bo‘ladi. Boshqa so‘z bilan aytganda, autentifikatsiyani foydalanuvchi yoki sub’ektni haqiqiyligini tekshirish jarayoni deb aytish mumkin. Autentifikatsiyadan o‘tgandan so‘ng foydalanuvchi tizim resursidan foydalanish imkoniyatiga ega bo‘ladi. Biroq, autentifikatsiyadan o‘tgan foydalanuvchiga tizimda ixtiyoriy amallarda bajarishga ruxsat berilmaydi. Masalan, autentifikatsiyadan o‘tgan – imtiyozga ega foydalanuvchi uchun dasturlarni o‘rnatish imkoniyatini berilishi talab etilsin. Xo‘sh, autentifikatsiyadan o‘tgan foydalanuvchiga qanday qilib ruxsatlarni cheklash mumkin? Mazkur masalalar bilan aynan, avtorizatsiya sohasi shug‘ullanadi. Avtorizatsiya – identifikatsiya, autentifikatsiya jarayonlaridan o‘tgan foydalanuvchi uchun tizimda bajarishi mumkin bo‘lgan amallarga ruxsat berish jarayonidir. Demak, autentifikatsiya binar qaror – ya’ni, ruxsat beriladi yoki yo‘q. Avtorizatsiya esa tizimning turli resurslariga foydalanishni cheklash uchun foydalaniluvchi qoidalar to‘plami haqidagi barcha narsa. Xavfsizlik sohasida terminlar standartlashtirilgan ma’nolaridan ayri qo‘llaniladi. Xususan, ruxsatlarni nazoratlash ko‘p hollarda avtorizatsiyaga sinonim sifatida ishlatiladi. Biroq, mazkur kursda ruxsatlarni nazoratlash kengroq qaraladi. YA’ni, avtorizatsiya va autentifikatsiya jarayonlari ruxsatlarni nazoratlashning qismlari sifatida qaraladi. YUqorida keltirilgan atamalarga berilgan ta’riflarni umumlashtirgan holda quyidagicha xulosa qilish mumkin: Identifikatsiya – siz kimsiz? Autentifikatsiya – siz haqiqatdan ham sizmisiz? Avtorizatsiya – sizga buni bajarishga ruxsat bormi? Parolnaya avtorizatsiya YOzish kerak Autentifikatsiya Autentifikatsiyada yoki identifikatsiya jarayonlarida sub’ektlar inson ko‘rinishida yoki qurilma (kompyuter) ko‘rinishida bo‘lishi mumkin. YA’ni, inson insonni autentifikatsiyadan o‘tkazishi mumkin, mashina insonni autentifikatsiyadan o‘tkazishi mumkin yoki mashina mashinani autentifikatsiyadan o‘tkazishi mumkin. Mazkur ma’ruzada mashina insonni yoki mashina mashinani autentifikatsiyadan o‘tkazish senariylariga asosiy e’tibor qaraladi. Mashina insonni quyidagi “narsalar” asosida autentifikatsiyadan o‘tkazishi mumkin: - siz bilgan biror narsa (something you know); - sizda mavjud biror narsa (something you have); - sizning biror narsangiz (something you are). “Siz bilgan biror narsa” holatiga parol misol bo‘la oladi. “Sizda mavjud biror narsa” holatiga esa smartkartalar, token, mashinaning pulti yoki kaliti misol bo‘la oladi. “Sizning biror narsangiz” holati odatda biometrik parametrlarga sinonim sifatida qaraladi. Masalan, hozirda siz noutbuk sotib olib, undagi barmoq izi skaneri orqali autentifikatsiyadan o‘tishingiz mumkin. Parol
autentifikatsiya jarayonidan o‘tishni ta’minlovchi biror axborot. Parol amalda autentifikatsiya jarayonida keng qo‘llaniluvchi parametr hisoblanadi. Masalan, biz o‘z shaxsiy kompyuterlarimizdan foydalanish huquqini olish uchun talab etilgan parolni kiritishimiz talab etiladi. Mazkur holatni mobil telefonlar uchun ham ishlatish mumkin. Parolga asoslangan holatdagi autentifikatsiyalash jarayonining umumiy ko‘rinishi 6.1-rasmda keltirilgan. Foydalanuvchi Server Foydalanuvchi identifikatori, parol OK/ Xatolik 6.1-rasm. Parolga asoslangan mashina-insonni autentifikatsiyalash jarayoni Parolga asoslangan autentifikatsiyalash quyidagi xususiyatlarga ega: - parolga asoslangan autentifikatsiyani amalga oshirish qulay (sarf xarajati kam, almashtirish oson); - foydalanuvchi paroli odatda unga aloqador ma’lumot bo‘ladi (masalan, uning yaxshi ko‘rgan futbol komandasi, telefon raqami va hak.) (123456, 12345, qwerty) va shuning uchun “hujumchilar” tomonidan aniqlanishi oson; - murakkab parollarni esda saqlash murakkab (masalan, jfIej(43jEmmL+y); - parolga asoslangan autentifikatsiya usuli amalda keng qo‘llaniluvchi usul. Smartkarta yoki token Smartkartalar yoki qurilma ko‘rinishidagi tokenlar autentifikatsiyalash uchun qo‘llaniladi. Smartkarta – kredit karta o‘lchamidagi qurilma bo‘lib, kichik hajmdagi xotira va hisoblash imkoniyatiga ega. Smartkarta odatda o‘zida biror maxfiy kattalikni, kalit yoki parolni, saqlaydi va hattoki biror hisoblashni amalga oshiradi. 6.2-rasmda maxsus maqsadli smartkarta va uni o‘quvchi qurilma (smartkarta o‘quvchi qurilma) aks ettirilgan. 6.2-rasm. Smartkarta va smartkarta o‘quvchi Biror narsa asosida autentifikatsiyalash usullarini turli ko‘rinishlarda amalga oshirish mumkin. Masalan, parollar generatorini misol qilib olaylik. Parollar generatori kichik qurilma bo‘lib, tizimda kirishda qo‘llaniladi. Faraz qilaylik Alisada parol generatori mavjud va undan foydalanib Bobdan autentifikatsiyadan o‘tmoqchi. Buning uchun Bob biror tasodifiy son 𝑅𝑅 ni (“savolni”) Alisaga yuboradi. Alisa qabul qilingan 𝑅𝑅 sonini va parol generatoridan foydalanish uchun talab qilingan PIN ni parol generatoriga kiritadi. Parol generatori esa Alisaga javobni taqdim etadi va u Bobga uzatiladi. Agar javob to‘g‘ri bo‘lsa, Alisa autentifikatsiyadan o‘tadi, aks holda o‘ta olmaydi. Mazkur senariyning umumiy ko‘rinishi 6.3-rasmda keltirilgan. Alisa Bob, K Parol
K 1. Men Alisa 1. R 3. PIN, R 4. h(R,K) 5. h(R,K) 6.3-rasm. Tokenga asoslangan autentifikatsiya jarayoni
Barmoq izi YUz tasviri Ko‘z qorachig‘i Ovoz 6.4-rasm. Biometrik na’munalarga misollar Axborot xavfsizligi sohasida biometrik parametrlar parollarga qaraganda yuoqri xavfsizlikni ta’minlovchi alternativ sifatida qaraladi. Biometrik parametrlarga asoslangan autentifikatsiya usuli quyidagi xususiyatlarga ega: - biometrik parametrga asoslangan usul o‘zida esda saqlash va birga olib yurish zaruriyatini talab etmaydi; - biometrik parametrga asoslangan autentifikatsiyani amalga oshirish parolga asoslangan usuldan qimmat va tokenga asoslangan usuldan arzor hisoblanadi (ba’zi, istisno holatlar mavjud); - biometrik parmetrni almashtirish imkoniyati mavjud emas, ya’ni, agar biometrik parametr qalbakilashtirilsa, u holda autentifikatsiya tizimi shu foydalanuvchi uchun to‘liq buzilgan hisoblanadi; - turli biometrik parametrlarga asoslangan autentifikatsiya usullari insonlar tomonidan turli darajada qabul qilinadi. Autentifikatsiya sohasida foydalanish uchun ideal biometrik parametr quyidagilarni qanoatlantirishi shart: - universal bo‘lishi – biometrik parametr barcha foydalanuvchilarda bo‘lishi shart; - farqli bo‘lish – tanlangan biometrik parametr barcha insonlar uchun farq qilishi shart; - o‘zgarmaslik – tanlangan biometrik parametr vaqt o‘tishi bilan o‘zgarmay qolishi shart; - to‘planuvchanlik – fizik xususiyat osonlik bilan to‘planuvchi bo‘lishi shart. Amalda fizik xususiyatni to‘planuvchanligi, insonning jarayonga e’tibor berishiga ham bog‘liq bo‘ladi. Biometrik parametr nafaqat autentifikatsiya masalasini echishda balki, identifikatsiyalashda ham keng qo‘llaniladi. YA’ni, “Siz kimsiz?” degan savolga javob bera oladi. Masalan, FBI da jinoyatchilarga tegishli barmoq izlari bazalari mavjud. Ushbu bazada barmoq izlari (barmoq izi tasviri, foydalanuvchi nomi) shaklida saqlanadi va bu orqali biror insonni jinoyatchilar ro‘yxatida bor yo‘qligini tekshira oladi. Buning uchun, tekshiriluvchi insondan barmoq izi tasviri olinadi va u FBI bazasida mavjud bo‘lsa, u holda tekshiriluvchi insonning nomi barmoq izi tasviriga mos foydalanuvchi nomi bilan bir xil bo‘ladi. Bir tomonlama va ikki tomonlama autentifikatsiya Agar tomonlardan biri ikkinchisini autentifikatsiyadan o‘tkazsa, bir tomonlama autentifikatsiya deb ataladi. Agar har ikkala tomon bir-birini autentifikatsiyadan o‘tkazsa, u holda ikki tomonlama autentifikatsiya deb ataladi. Masalan, elektron pochtadan foydalanish davomida faqat server foydalanuvchini haqiqiyligini tekshiradi (parol orqali) va shu sababli uni bir tomonlama autentifikatsiyalash deb atash mumkin. Elektron to‘lovlarni amalga oshirishda esa ham server foydalanuvchini autentifikatsiyadan o‘tkazadi ham foydalanuvchi serverni autentifikatsiyadan o‘tkazadi. SHuning uchun mazkur holatni ikki tomonlama autentifikatsiyalash deb aytish mumkin. Ko‘p faktorli autentifikatsiya YUqorida keltirilgan barcha autentifikatsiya senariylarida faqat bitta omil o‘yicha haqiqiylikni tekshirish amalga oshirildi. Masalan, pochtada kirishda faqat parolni bilsangiz siz autentifikatsiyadan o‘ta olasiz yoki kirishda barmoq izini to‘g‘ri kiritsangiz, eshik ochiladi. YA’ni, server faqat foydalanuvchidan parolni yoki barmoq izini to‘g‘ri bo‘lishini istayapti. Mazkur ko‘rinishdagi autentifikatsiya – bir faktorli autentifikatsiya deb ataladi. Bir faktorli autentifikatsiyada tekshirish faqat bitta faktor bo‘yicha (masalan, parol) amalga oshiriladi. Biroq, bir faktorli autentifikatsiyalashni amalda joriy qilish natieasida yuqori xavfsizlikni ta’minlash mumkin emas. Masalan, ovozga asoslangan autentifikatsiya tizimini olaylik. Agar hujumchi foydalanuvchini ovozini diktafonga yozib olib, uni autentifikatsiyadash o‘tish jarayonida taqdim etsa, osonlik bilan autentifikatsiya tizimini aldab o‘tishi mumkin. Sababi, faqat bitta faktor (ovoz) bo‘yicha tekshirish amalga oshirilmoqda. SHunga o‘xshash holatni parolga asoslangan yoki tokenga asoslangan autentifikatsiya jarayonida ham kuzatish mumkin. Mazkur muammoni bartaraf etish uchun, birinchi faktorga qo‘shimcha qilib, yana boshqa faktorlardan foydalanish mumkin. Masalan, ovozga asoslangan autentifikatsiyalashda qo‘shimcha qilib paroldan foydalanish mumkin. YA’ni, foydalanuvchi dastlab tizimga o‘z ovozi orqali autentifikatsiyadan o‘tadi va udan so‘ng parol bo‘yicha autentifikatsiyadan o‘tkaziladi. Har ikkala bosqichda ham autentifikatsiyadan muvaffaqqiyatli o‘tilganda, foydalanuvchi tizimdan foydalanish imkoniyatiga ega bo‘ladi. Ko‘p faktorli autentifikatsiyalashdan foydalanishda hayotimizda ham ko‘plab misollar keltirish mumkin. Maalan, plastik kartadan to‘lovni amalga oshirishda. Plastik kartadan to‘lovni amalga oshirishdagi autentifikatsiya jarayoni o‘zida “sizda mavjud biror narsa” va “siz bilgan biror narsa” usullarini birlashtirgan. YA’ni, dastlab foydalanuvchida plastik kartani o‘zini bor bo‘lishini talab etadi va ikkinchidan uni PIN kodini bilishni talab etadi. SHu sababli, ushbu usulni ko‘p faktorli autentifikatsiyalash deb aytish mumkin. Ko‘p faktorli autentifikatsiya usuli faktorlardan bittasi qalbakilashtirilgan taqdirda ham autentifikatsiya jarayonini buzilmasligiga olib keladi. OTR yozish kerak Autentifikatsiya usullariga qaratilgan hujumlar Mavjud autentifikatsiya usullarini buzishda ko‘plab hujum usullaridan foydalaniladi. Ushbu hujum usullarini autentifikatsiya usullariga mos ravishda quyidagicha tavsiflash mumkin: 1. Siz bilgan biror narsa. Autentifikatsiyalashning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Parollar lug‘atidan foydalanishga asoslangan hujum. Bunga ko‘ra statistika bo‘yicha eng ko‘p qo‘llaniluvchi parollar yordamida autentifikatsiyadan o‘tishga harakat qilinadi. b. Parollarni barcha variantlarini ko‘rib chiqish. Ushbu usulda parolning bo‘lishi mumkin bo‘lgan barcha variantlari generatsiya qilinadi va ular tekshirib ko‘riladi. c. “Elka orqali qarash” hujumi. Ushbu hujum foydalanuvchi parolni kiritish jarayonida yonida turib qarab turish orqali bilib olishni maqsad qiladi. d. Zararli dasturlar asosida hujum. SHunday maxsus dasturiy vositalar mavjudki ular foydalanuvchi kompyuterida o‘rnatilib, klaviatura orqali kiritilgan barcha ma’lumotlarni serveriga uzatadi. Ushbu zararli dasturiy vositalar “keylogger” deb ataladi. 2. Sizda mavjud biror narsa. Autentifikatsiyaning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Fizik o‘g‘irlash. Hujumning mazkur turi tokenni yoki smart kartani o‘g‘irlashni maqsad qiladi. Mazkur hujum bu toifdagi autentifikatsiya uchun eng xavfli hujum hisoblanadi. b. Dasturiy ko‘rinishdagi tokenlarning zararli dasturlarga bardoshsizligi. Ba’zi tokenlar dasturiy ko‘rinishda bo‘lib, mobil qurilmalarda ishlaydi va shu sababli zararli dastur tomonidan boshqarilishi mumkin. 3. Sizning biror narsangiz. Autentifikatsiyaning mazkur usulini buzish uchun quyidagi hujum usullaridan foydalaniladi: a. Qalbakilashtirish. Hujumning mazkur turi biometrik parametrni qalbakilashtirishni maqsad qiladi. Masalan, yuzlari o‘xshash bo‘lgan Hasan o‘rniga Xusan autentifikatsiyadan o‘tishi yoki sifati yuqori bo‘lgan foydalanuvchi yuz tasviri mavjud rasm bilan tizimni aldashni misol qilish mumkin. b. Ma’lumotlar bazasidagi biometrik parametrlarni almashtirish. Ushbu hujum bevosita foydalanuvchilarni biometrik parametrlari (masalan, barmoq izi tasviri, yuz tasviri va hak) saqlangan bazaga qarshi amalga oshiriladi. YA’ni, tanlangan foydalanuvchini biometrik parametrlari hujumchini biometrik parametrlari bilan almashtiriladi. Autentifikatsiya usullariga qaratilgan hujumlarni oldini olish uchun har bitta usulda o‘ziga xos qarshi choralari mavjud. Umumiy holda mazkur hujumlarni oldini olish uchun quyidagi himoya usullari va xavfsizlik choralari tavsiya etiladi: 1. Murakkab parollardan foydalanish. Aynan ushbu usul parolni barcha variantlarini tekshirib ko‘rish va lug‘atga asoslangan hujumlarni oldini olishga katta yordam beradi. 2. Ko‘p faktorli autentifikatsiyadan foydalanish. Mazkur usul yuqorida keltirilgan barcha muammolarni bartaraf etishda katta amaliy yordam beradi. 3. Tokenlarni xavfsiz saqlash. Ushbu tavsiya biror narsaga egalik qilishga asoslangan autentifikatsiya usulidagi mavjud muammolarni oldini olish uchun samarali hisoblanadi. 4. Tiriklikka tekshirishdan foydalanish. Ushbu usul biometrik parametrlarga asoslangan autentifikatsiyalash usullarida tasvir orqali aldab o‘tish hujumini oldini olish uchun samarali hisoblanadi. Nazorat savollari 7 - Ma’ruza: Parolga qarshi hujumlar va parollarni saqlash Oldinlari biror narsani oshkor qilish qimmat va sir saqlash arzon edi. Hozirda, narsalarni sir saqlash qimmat, oshkor qilish esa oson bo‘lib qoldi. - Clay Shirky, N.Y.U.da professor. Biror narsani bilishga asoslangan • Parollar • Parol sifatida juda ham ko‘p narsalar! – PIN – Telefon raqam – Onasining qizlik familiyasi – Tug‘ulgan kuni – Itingizni nomi va hak. Kiberxavfsizlik asoslari (CSF1316) Parol bilan bog‘liq muammolar • Parollar hozirgi kundagi xavfsizlik injineriyasiga qaratilgan eng katta amaliy muammolar. • Insonlar kriptografik kalit darajasidagi parollarni esda saqlash qobilyatiga ega emas. Kiberxavfsizlik asoslari (CSF1316) Nima uchun parol? • Nima uchun “biror nimani bilish” asoslangan autentifikatsiya “biror narsaga egalik qilishga” va “sizdagi biror narsaga” asoslangangan qaraganda ommaviyroq? • Narxi: Tekin. • Qulaylik: adminlar uchun yangi tokenni (qurilmani) olishdan ko‘ra parolni almashtirish osonroq. Kiberxavfsizlik asoslari (CSF1316) Kriptogarfik kalit VS parol Kiberxavfsizlik asoslari (CSF1316) Kriptografik kalit • Kalit uzunligi 64 bit • U holda, jami kalitlar = 264 ta kalit • Tasodifiy tanlanadi… • …u holda hujumchi topish uchun 263 ta kalitni sinab ko‘rishi kerak. Parollar
256 ta turli belgidan iborat • U holda 2568 = 264 parol • Foydalanuvchi parolni tasodifiy tanlamaydi • U holda, hujumchi 263 dan kichik amal bajarib parolni topadi (lug‘atga asoslangan hujum) Parollardagi asosiy muammo??? • Bu ularning tasodifiy tanlanmasligi!!! – Masalan, 220 ≈ 1 000 000 ta eng keng tarqalgan parollardan iborat bo‘lgan parollar lug‘ati mavjud. – Parolni topish uchun buzg‘unchiga juda qo‘l kelishi mumkin. – Kriptografik kalitni topishda esa, 264 ta kalitni 220 ta bo‘lishi mumkin bo‘lgan kalitdan biriga mos kelish ehtimoli 220 264 = 1/244
ga yoki kamida 17 triliondan birga to‘g‘ri keladi. Kiberxavfsizlik asoslari (CSF1316) YAxshi va yomon parollar Kiberxavfsizlik asoslari (CSF1316) • YOmon parollar – frank – Fido – password – 4444 – Pikachu – 102560 – AustinStamp • YAxshi parol? – jfIej,43j-EmmL+y – 09864376537263 – P0kem0N – FSa7Yago – 0nceuP0nAt1m8 – PokeGCTall150 Parollarni tanlash – TAJRIBA! Kiberxavfsizlik asoslari (CSF1316) • Foydalanuvchilar guruhi 3 ga bo‘lindi va ularga parolni tanlashda quyidagi maslahatlar berildi. – Guruh A: kamida 6 belgi, 1 tasi harf bo‘lmagan – Guruh B: iboraga asoslangan parollar – Guruh C: 8 belgili tasodifiy tanlangan • Natijalar – Guruh A: 30% ga yaqin parollar buzishga oson – Guruh B: 10% ga yaqini buzilgan • Parollarni esda saqlash oson – Guruh C: 10% ga yaqini buzilgan • Parollarni esda saqlash murakkab ← G‘OLIB
Iboraga asoslangan parollar
Kiberxavfsizlik asoslari (CSF1316) Parolga qarshi hujum • Parolni buzuvchining umumiy hujum yo‘li: begonanormal foydalanuvchi administrator. – buzg‘unchi dastlab ixtiyoriy akkauntga kirish usulini qidiradi; – keyin o‘z imtiyoz darajasini oshirishga harakat qiladi. • Boshqa muhim masala: – parolni buzishga urinish aniqlanganda to‘g‘ri javob berish bilan bog‘liq. – Masalan, tizim uch marta muvaffaqiyatsiz urinishdan so‘ng akkauntni bloklaydi. Agar shunday bo‘lsa, tizim qancha vaqt bloklanishi kerak? • 5 sek? • 5 min? – Javobini topish murakkab!!! Kiberxavfsizlik asoslari (CSF1316) Parolni saqlash va o‘zaro solishtirish • Parollar odatda parollar faylida ochiq saqlanmaydi. • Parollar parollar faylida xeshlangan holda saqlanadi: – A tomonning paroli FSa7Yago ga teng bo‘lsa, faylda 𝑦 = ℎ(𝐹𝑆𝑎7𝑌𝑎𝑔𝑜) saqlanadi, ya’ni: 𝑦 = ℎ(𝑥) shaklida. – Buzg‘unchi 𝒚 dan 𝒙 ni teskari hisoblab topa olmaydi. – Solishtirishda esa yangi kiritilgan parolning xeshi faylda saqlangan mos xesh bilan solishtiriladi. • Parollar lug‘ati: – buzg‘unchida 𝑁 ta eng keng foydalanilgan parollar, 𝑑0, 𝑑1, 𝑑2, … , 𝑑𝑁−1, saqlangan lug‘at mavjud; – lug‘atdagi har bir parolni xeshlaydi: 𝑦0 = ℎ 𝑑0 , 𝑦1 = ℎ 𝑑1 , … , 𝑦𝑁−1 = ℎ 𝑑𝑁−1 va (𝑑0, 𝑦0) juftlik ko‘rinishidagi yangi lug‘atni hosil qiladi. Kiberxavfsizlik asoslari (CSF1316) Parolni saqlash va o‘zaro solishtirish • agar buzg‘unchi biror xesh qiymat ko‘rinishidagi parolni “orqaga qaytarish” uchun uni 𝑁 ta xesh qiymat bilan solishtirib ko‘radi: – Agar moslik aniqlansa, u holda parolni haqiqiy qiymati topiladi. • (𝑑0, 𝑦0) ko‘rinishdagi ko‘plab lug‘atlarni Internet tarmog‘i orqali bepul yoki pullik ko‘rinishlarda topish mumkin. • Agar buzg‘unchida parollar lug‘ati bo‘lsa, uni ishini murakkablashtirish yo‘li bormi? Kiberxavfsizlik asoslari (CSF1316) Parolni saqlash va o‘zaro solishtirish • Bor. – parolni xeshlab saqlashda unga maxfiy bo‘lgan kattalikni (“tuz”, salt – deb ataladi) qo‘shib, keyin xeshlash kerak; – YA’ni, 𝑦 = ℎ(𝑝, 𝑠) ko‘rinishida. • 𝑝 – parol bo‘lsa, 𝑠 – “tuz”, har bir parol uchun tasodifiy tanlanadi. – Parollar faylida esa (𝑠, 𝑦) shaklida saqlanadi. • Murakkabligi nimada??? – A tomonning paroli “tuz” 𝑠𝑎 bilan birgalikda xeshlangan; – va B tomoning paroli esa 𝑠𝑏 bilan birgalikda xeshlangan bo‘lsin. – Buzg‘unchi A tomonning parolini topishi uchun parollar lug‘atidagi barcha parolga 𝑠𝑎 ni qo‘shishi talab etiladi. – B tomon uchun esa 𝑠𝑏 ni. – 𝑁 ta foydalanuvchidan iborat parollar fayli uchun, buzg‘unchining ishi 𝑁 faktorga ko‘payadi. Kiberxavfsizlik asoslari (CSF1316) Parolni buzushning matematik hisobi - TAJRIBA • Faraz:
Kiberxavfsizlik asoslari (CSF1316) Parolni buzushning matematik hisobi – TAJRIBA – HOLAT 1 Kiberxavfsizlik asoslari (CSF1316) • 1 ta parolga hujum lug‘atsiz amalga oshirilgan
Parolni buzushning matematik hisobi – TAJRIBA – HOLAT 2 • 1 ta parolga hujum lug‘at yordamida amalga oshirilgan • Salt bilan – Kutilgan ish: 1/4 (219) + 3/4 (255) = 254.6 – Amalda, lug‘atdagi barcha parolni sinab ko‘rish… – …u holda ishi 220 va parolni topish ehtimoli 1/4 ga teng. • Agar salt ishlatilmagan bo‘lsachi? – Lug‘atni hisoblashda bir marta ish bajariladi: 220 – Kutiladigan ish yuqoridagi kabi – Biroq, oldingan xeshlangan lug‘atlar bilan uni “amalga oshirish” juda oson… Kiberxavfsizlik asoslari (CSF1316) Parolni buzushning matematik hisobi – TAJRIBA – HOLAT 3 • 210 =1024 paroldan iborat fayldagi ixtiyoriy parolni topish, lug‘atdan foydalanmasdan – Faraz qilaylik barcha 210 parollar farqli – 255 taqqoslash amalga oshirladi parolni topishdan oldin • Agar salt foydalanilmagan bo‘lsa – Har bir hisoblangan xesh 210 ta taqqoslashni talab etadi. – SHuning uchun kutiladigan xeshlashlar soni 255/210 = 245 • Agar salt foydalanilgan bo‘lsa – Kutiladigan ish hajmi 255 – Har bir taqqoslash xeshlashni talab etadi. Kiberxavfsizlik asoslari (CSF1316) Parolni buzushning matematik hisobi – TAJRIBA – HOLAT 4 • 1024 paroldan iborat fayldagi ixtiyoriy parolni topish, lug‘atdan foydalanib – 1 yoki bir nechta parolni lug‘atda bo‘lish ehtimoli: 1 – (3/4)1024 = 1 – SHuning uchun, parolni lug‘atda bo‘lmaslik ehtimoli ko‘rib o‘tilmaydi. • Agar salt foydalanilgan bo‘lsa, kutilayotgan ish 222 dan kam bo‘ladi – Taqriban bajariladigan ish: 220 / (1/4) • Agar salt foydalanilmagan bo‘lsa? – Agar lug‘at oldindan xeshlanmagan bo‘lsa, kutiladigan ish taqriban 219/210 = 29 ga teng bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Parol bilan bog‘liq boshqa muammolar • Ko‘plab foydalanuvchilarda qator qayd yozuvlari mavjud – SHu sabab parollardan takror foydalaniladi; – Foydalanuvchining bir parolini buzg‘unchi tomonidan aniqlanishi, ko‘plab qayd yozuvlarini ham buzulishiga olib keladi. • Bundan tashqari: – sotsial injineriya (tadqiqotlarga ko‘ra, 34% holatda foydalanuvchilardan parollari so‘ralganda, ular tomonidan so‘rov maqullangan); – Zararli dasturiy vositalar (keystroke logging, spyware). Kiberxavfsizlik asoslari (CSF1316) Parol bilan bog‘liq boshqa muammolar • Mashhur parolni buzuvchi vositalar – Password Crackers – Password Portal – L0phtCrack and LC4 (Windows) – John the Ripper (Unix) • Adminlar ushbu vositalardan foydalanish orqali parollarni tekshirish zarar (hujumchidan oldin). Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 8 - Ma’ruza: Ma’lumotlarning fizik xavfsizligi Erkin bo‘lgan va shunday qolishni istagan odamlar uchun yaxshi tashkil etilgan va qurollangan militsiya ularning eng yaxshi xavfsizligi hisoblanadi - Thomas Jefferson. Fizik xavfsizlik Fizik xavfsizlik tashkilotdagi axborot xavfsizligi programmasining asosi hisoblanadi. U tashkilotning infrtuzilmasi, binolari, ishchi stansiyalari va xodimlarini ruxsatsiz fizik boshqarishni cheklash bilan shug‘ullanadi. Muvaffaqqiyatli ruxsatsiz fizik boshqarish axborotni tizimini o‘g‘irlinishi, zarar etkazilishi va o‘zgartirilishiga olib keladi. Fizik xavfsizlikni buzulishi bevosita axborot va tizimning konfidensialligi, butunligi va foydalanuvchanligiga ta’sir qiladi. Fizik
ta’minlash juda ham muhim. Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlik zaruriyati • AQSHning Department of Health and Human Services Breach Portal tashkiloti tomonidan 2015 yilda tashkilotlarda eng ko‘p yuzaga kelgan xavfsizlik insidentlari fizik xavfsizlikni buzishga uringani aniqlangan (61 %). Kiberxavfsizlik asoslari (CSF1316) 34% 27%
23% 16%
Fizik nazoratni buzilishi Fizik o‘g‘irlash Hakking/ AT buzulishi Boshqalar Fizik xavfsizlik zaruriyati Kiberxavfsizlik asoslari (CSF1316) Fizik sathni ananaviy tarmoqlararo ekran vositasi yordamida himoyalash imkoniyati mavjud emas. Fizik sath quyidagilarni o‘z ichiga oladi: • barcha kabel va tarmoq tizimlari; • tizim va kabellarni fizik nazoratlash; • tizim va kabel uchun quvvat manbai; • tizimni madadlash muhiti. Fizik xavfsizlikka ta’sir qiluvchi faktorlar Tabiiy tahdidlar • Toshqinlar • YOng‘inlar • Zilzila • CHaqmoq va momaqaldiroq • Harorat va namlik Sun’iy tahdidlar • Vandalizim • Qurilmaning yo‘qolishi • Fizik qurilmalarni buzulishi • O‘g‘irlash • Terrorizm • Sotsial injineriya • Tizimlarni ruxsat etilmagan nazoratlash Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash Ma’muriy nazorat
Fizik nazorat • Fizik to‘siqlarni o‘rnatish • Xavfsizlik qo‘riqchilarini ishga olish • Fizik qulflar Texnik nazorat • Ruxsatlarni nazoratlash • “Qopqon” • YOng‘inga qarshi tizimlar • YOritish tizimlari • Ogohlantirish tizimlari • Quvvat manbalari • Video kuzatuv tizimlari • Qurollarni aniqlash • Muhitni nazoratlash Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash tashkilot axborot aktivlarini
Fizik xavfsizlikni nazoratlash: joylashuv va arxitektura Kiberxavfsizlik asoslari (CSF1316) Joylashuv holati
Fizik xavfsizlikni nazoratlash: joylashuv va arxitektura Kiberxavfsizlik asoslari (CSF1316) Arxitekturani loyihalash:
Fizik xavfsizlikni nazoratlash: yong‘inga qarshi tizimlar YOng‘inga qarshi tizimlar Aktiv yong‘inga qarshi himoya Passiv yong‘inga qarshi himoya Kiberxavfsizlik asoslari (CSF1316) Aktiv yong‘inga qarshi himoya • YOng‘inni aniqlash tizimi: – ushbu tizim yong‘in tarqalishidan oldin uni aniqlashga yordam beradi. Ushbu tizim tutunni aniqlovchilar, alangani aniqlovchilar va issiqlikni aniqlovchilarni o‘z ichiga oladi. • YOng‘inni bartaraf etish tizimlari: – ushbu tizimlar inson aralashuvisiz yong‘inni dastlabki bosqichlarida uni bartaraf etish bilan shug‘ullanadi. Ushbu tizimlar zararni kamaytirishga va qurilmalarni yo‘q bo‘lishidan himoyalaydi. YOng‘inni bartaraf etish tizimlari avtomatik va avtomatik bo‘lgan turlarga ajratiladi. Ushbu tizimlarga: o‘to‘chirgich (ognetushiet), suv purkash tizimlarini misol keltirsa bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) YOng‘inga qarshi passiv himoya Passiv yong‘inga qarshi himoya usuli amaliyotda quyidagi usullar asosida oshiriladi: • minimal darajada yonuvchan materiallardan foydalanish; • binoga yong‘inni tarqalishini oldini olish uchun qo‘shimcha etaj yoki xonalarni qurish; • binoga istiqomat qiluvchilarni yong‘in sodir bo‘lganda qilinishi zarur bo‘lgan ishlar bilan tanishtirish; • yong‘inga aloqador tizimlarni to‘g‘ri madadlar; • etarli sondagi qo‘shimcha chiqish yo‘llarining mavjudligi. Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash: fizik to‘siqlar Zaborlar/ elektr zaborlar/ metal to‘siqlar • hududlarni, nazoratlangan hududlarni va ruxsat etilmagan kirishdan himoyalani belgilash Tumba
Turniketlar
Boshqa to‘siqlar • eshiklar, oynalar, reshyotkalar, deraza pardalari Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash: xavfsizlik xodimi • Xavfsizlik xodimi/ qo‘riqchi tashkilot fizik xavfsizligini amalga oshirish, monitor qilib borish va madadlashni amalga oshiradi. • Ular maxfiy axborotni yo‘qolishidan, o‘g‘irlanishidan, noto‘g‘ri foydalanishidan himoyalash uchun xavfsizlik tizimini o‘rnatish, baholash va ishlab chiqishga javobgardirlar. • Tashkilotda xodimlar tomonidan amalga oshirilgan himoya 24x7x365 tartibida amalga oshirilishi zarur. • Fizik xavfsizlikka jalb etilgan shaxslar quyidagilar: – Qo‘riqchilar – Tashkilotdagi qo‘riqchilar boshlig‘i – Xavfsizlik xodimi – Axborot xavfsizligining bosh xodimi (Chief Information Security Officer) Kiberxavfsizlik asoslari (CSF1316) Ruxsatlarni nazoratlash: autentifikatsiya usullari Biror narsani bilishga asoslangan Biror narsaga egalik qilishga asoslangan Biometrik parametrlarga asoslangan Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash: fizik qulflar Mexanik qulflar Raqamli qulflar Elektr/ elektromagnetik qulflar Kombinatsion qulflar Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash: YAshirin qurol/ kontrabanda qurilmalarini aniqlash moslamasi • Tashkilotlarda odatda shaxslar tomonidan olib kiriladigan jixozlar yoki vositalar maxsus skanerlar yordamida tekshiruvdan o‘tkaziladi. • Bunda turli qurollar yoki kontrabanda vositalarini, bombalar, otish qurilmalarini aniqlash amalga oshiriladi. Kiberxavfsizlik asoslari (CSF1316) YUrish orqali X-Ray metal detektor metal detektor Metal detektor
Fizik xavfsizlikni nazoratlash: qopqon • Qopqon chegarani buzib o‘tuvchini tutuvchi va fizik xavfsizlikni nazoratlash vositasi hisoblanadi. • Ushbu vosita odatda xavfsiz hududni xavfsiz bo‘lmagan hududdan ajratadi. • Qopqon mexanik qulflashga asoslangan kichik soha bo‘lib, ikkita kirish eshigi mavjud. • Ikkinchi eshik ochilishidan oldin birinchi eshik yopilgan holatda bo‘ladi. • SHaxsni autentifikatsiyalash smart karta, PIN kod yoki biometrik usullar asosida amalga oshirilishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlikni nazoratlash: xavfsizlik yorliqlari va ogohlantiruvchi signallar • Xavfsizlik yorliqlari yuqori va past xavfsizlik sohasida axborotga bo‘lgan murajaatni cheklash uchun foydalaniladi. • Odatda quyidagi turdagi xavfsizlik yorliqlari mavjud: – ochiq ma’lumotlar (unclassified); – cheklangan ma’lumotlar (restricted); – konfidensial ma’lumotlar (confidential); – maxfiy ma’lumotlar (secret); – o‘ta maxfiy ma’lumotlar (top secret). Kiberxavfsizlik asoslari (CSF1316) • Ogohlantiruvchi signallar odatda
Fizik xavfsizlikni nazoratlash: video kuzatuv vositalari • Ushbu tizimlar tashkilot aktivlarini bosqinchilardan, o‘g‘rilardan himoyalashda muhim ahamiyatga ega. • Video kuzatuv moslamalari odatda tashkilotning kirish eshiklarida, zallarda va ishchi sohalarida o‘rnatiladi. • Hozirgi kundagi video kuzatuv vositalari nafaqat harakatlarni qayd etishda balki, bo‘layotgan harakatlarni aniqlash imkonini beradi. Kiberxavfsizlik asoslari (CSF1316) Dome CCTV Bullet CCTV C-mount CCTV Day/ night CCTV Fizik xavfsizlikni nazoratlash: fizik xavfsizlik siyosati va muolajalari Har bir tashkilot samarali fizik xavfsizlikni amalga oshirish uchun talab qilingan fizik xavfiszlik siyosatini va muolajalarini amalga oshirishi shart. • Tashkilot fizik xavfsizligining siyosati o‘zida quyidagilarni mujassamlashtiradi: – tashkilotni fizik xavfsizligi nuqtai-nazaridan; – xodimlarning vazifalari va majburiyatlari; – foydalanishlarni boshqarishni nazoratlash; – qaydlash va auditlash. • Fizik xavfsizlik muolajasi quyidagilarni o‘z ichiga oladi: – qulflash tizimini boshqarish; – suqilib kirish insidentlarini qaydlash; – tashrif buyuruvchilarni boshqarish; – konfidensial materiallarni yo‘q qilish; – qog‘oz ko‘rinishidagi axborot uchun toza stol siyosatini va axborotni ishlashda toza ekran siyosatini amalga oshirish. Kiberxavfsizlik asoslari (CSF1316) Boshqa fizik xavfsizlik choralari: yoritish tizimlari • Tashkilot binolarining atrofida etarlicha yoritish amalga oshirilmaganligi boshqa xavfsizlik vositalarining vazifasiga salbiy ta’sir o‘tkazadi. • Muhitning yoritish tizimi holat va sezuvchanlikga aloqador holda quyidagilarga bo‘linadi: – doimiy yoritish tizimlari – tashkilot binosi atrofida har doim o‘rnatiluvchi yoritish vositalari. – kutish rejimidagi yoritish tizimlari – biror ogohlantiruvchi signal asosida avtomatik yoki avtomatik bo‘lmagan shaklda ishlaydi. – harakatlanuvchi yoritish tizimlari – qo‘lda boshqariluvchi yoritish tizimlari bo‘lib, kechasi va zarur bo‘lganda yoritish uchun foydalaniladi. – favqulotda yoritish tizimlari – elektr quvvati manbalari ishdan chiqqanda yoki elektr energiyasi uzilganda vaqtinchalik tashkilot binolarini yoritish bilan shug‘ullanadi. Kiberxavfsizlik asoslari (CSF1316) Boshqa fizik xavfsizlik choralari: quvvat manbalari • Etarli darajada quvvatning bo‘lmasligi va tez tez uzilib qolishi natijasida jixozlarga zarar etishi mumkin. • Tashkilotlarda quvvat manbaini uzulishi yuzaga kelganda quyidagi xavfsizlik choralari amalga oshirilishi zarur: – quvvat tebranishlariga tayyor turish; – quvvat uzilishi kuzatilganda uzluksiz quvvat manbalaridan (UPS – Unintrruptible power supply) foydalanish; – muhitni tahdidlardan himoyalash tizimlari; – ish joylarida statik elektrga g‘arazli ta’sir qilishdan himoyalash tizimlari; – elektr quvvatidan foydalanuvchi vositalarni to‘g‘ri foydalanish. Kiberxavfsizlik asoslari (CSF1316) Ish joyining xavfsizligi: qabulxona • Qabulxona mehmonlar uchun oson foydalanishni ta’minlagani bois, fizik nuqta nazardan zaif bo‘lishi mumkin. • Tashkilotda har kuni turli mehmonlar, hamkorlar, xodimlar va hak.lar kelishadi. • SHu sababli, qabulxonada o‘tiruvchilar ularni har birini tanib olishga harakat qilishi shart. • Bundan tashqari qabulxonada har bir kiruvchini qayd etish lozim. Kiberxavfsizlik asoslari (CSF1316) Ish joyining xavfsizligi: Server/ zaxira nusxalash qurilmalarining xavfsizligi Faqat, ruxsat etilgan shaxs Server/ zaxira nusxalash qurilmalaridan foydalana olishi kerak. Server va zaxira nusxalash qurilmalarini fizik xavfsizligini ta’minlash uchun quyidagilar amalga oshiriladi: • Server va zaxira nusxalash qurilmalarini alohida honada saqlash. Bu chora ushbu qurilmalarni nomalum va ruxsat etilmagan xodimlar tomonidan boshqarilishini cheklaydi. • Server va zaxira nusxalash vositalari joylashgan xonani yoki muhitga kuzatuv kameralarini o‘rnatish, smart karta yoki biometrik parametrga asoslangan autentifikatsiyani amalga oshirish. • Serverlarni maxsus tagliklarga o‘rnatish. Bu serverni o‘g‘irlinishidan va zarar etishidan himoyalaydi. • Turli quvvat o‘zgarishini oldini olish uchun serverlar UPS vositasiga ulangan bo‘lishi. • Qurilmalarni qulflanuvchi xona va kabinetlarda saqlash. Kiberxavfsizlik asoslari (CSF1316) Ish joyining xavfsizligi: Kritik aktivlar va olib yuriluvchi qurilmalar • Kritik aktivlar, ishchi stansiyalar, rouiterlar va svitchlar, printerlar, boshqa tarmoq qurilmalari, olib yuriluvchi vositalar, laptoplar va hak.lar xavfsizligiga ham e’tibor berishi lozim. • Ular osonlik bilan o‘g‘irlanishi, yo‘qolishi, zarar etishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Muhitni nazoratlash: isitish, ventilyasiya va havoni sovitish tizimlari (Heating, ventilating and air-conditioning system, HVAC) • Mazkur tizimlar xona yoki bino ichidagi muhitni nazoratlash uchun ishlatiladi va tashkilotdagi qurilmalar ishlashi uchun zurur bo‘lgan muhitni yaratishga xizmat qiladi. • Ular nafaqat qurilmalar ishlovchi mos sharoitni yaratish uchun balki xodimlar ishlashi va tashkilot faoliyati uchun zarur bo‘lgan muhitni yaratish uchun ham qo‘lliniladi. Kiberxavfsizlik asoslari (CSF1316) Muhitni nazoratlash: elektromagnit shovqinlarni ekranlash • Tashkilotda bir elektron qurilmadan hosil bo‘lgan elektromagnit shovqinlar atrofdagi boshqa qurilmalar ishiga ta’sir etadi. • Elektrmagnit shovqinlarni ekranlashda elektron vositalar metal bilan qoplanadi va tarqaluvchi elektr to‘lqini boshqa vositaga ta’sir etishiga yo‘l qo‘yilmaydi. • Tashkilotlarda elektron qurilmalar ko‘p bo‘lgan hollarda (masalan, telekommunikatsiya yoki shifoxonalarda) ularni ekranlash zaruriyati yanada ortadi. Kiberxavfsizlik asoslari (CSF1316) Fizik xavfsizlik: ogohlik / o‘qitish • YAxshi o‘qitilgan va malakaga ega bo‘lgan xodim tashkilot fizik xavfsizligiga bo‘lgan risklarni minimallashtirishi mumkin. • Ogohlantirish yoki o‘qitish dasturiy quyidagilarni mujassamlashtirgan bo‘lishi shart: – hujumlarni kamaytiruvchi usullarni ta’minlashi; – maxfiy axborotni olib yurishdagi risklar; – xavfsizlik xodimlarining muhimligini; – barcha qurilma va ma’lumotlarga bo‘lishi mumkin bo‘lgan hujum ehtimolini ko‘rib chiqish. Kiberxavfsizlik asoslari (CSF1316) Ogohlik/ o‘qitish kurslari: • Sinf mashg‘ulotlari • Aylana stol mashg‘ulotlari • Xavfsizlik haqida xabardor qiluvchi veb sayt • Master klass darslari. Hulosa: fizik xavfsizlikni amalga oshirilganini quyidagilar orqali baholanadi: 1. Ruxsatsiz kirishlarni oldini olish uchun mos ruxsatlarni nazoratlash usullarini o‘rnatilgani. 2. Muhim hududlar to‘g‘ri yoritish tizimi asosida kuzatilayotgani. 3. Turli tahdidlar, yong‘in, tutun, elektr, suv va hak.lar uchun aniqlovchi ogohlantiruvchi tizimlar o‘rnatilgani va ularni to‘g‘ri ishlayotgani. 4. To‘g‘ri eshiklarni qulflash tizimi o‘rnatilgani va ularni to‘g‘ri ishlayotgani. 5. Tashkilot binosi va hududini etarli sondagi qo‘riqchilar tomonidan qo‘riqlanayotgani. 6. Xavfsizlik xodimlarini to‘g‘ri o‘quv mashg‘ulotlariga yuborilgani. 7. Xavfsizlik xodimlarini ishonarli agentliklardan olingan. 8. Tashkilotdagi kuzatuv kameralari to‘g‘ri o‘rnatilgani va uzluksiz ishlayotgani. 9. Fizik xavfsizlik insidentlarini aniqlash va qayd qilish uchun to‘g‘ri muolajalar amalga oshirilgani. 10. Favqulotda vaziyatlar uchun xodimlar bilan aloqa o‘rnatuvchi axborotni mavjudligi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 9 - Ma’ruza: Ma’lumotlarga nisbatan ruxsatlarni mantiqiy boshqarish. Formal modellar. Barcha odamlarga ma’lumot bering va ularni xabardor qiling. Bu bizning ozodligimizni saqlashning yagona ishonchli tayanchidir - Thomas Jefferson. Ruxsatlarni nazoratlash • Ruxsatlarni nazoratlash sohasi quyidagi qism sohalardan iborat: – Identifikatsiya – Autentifikatsiya – Avtorizatsiya. • Avtorizatsiya – identifikatsiya, autentifikatsiya jarayonlaridan o‘tgan foydalanuvchi uchun tizimda bajarishi mumkin bo‘lgan amallarga ruxsat berish jarayonidir. • Avtorizatsiya tushunchasi odatda foydalanishni boshqarish tushunchasiga sinonim sifatida ham foydalanadi. Kiberxavfsizlik asoslari (CSF1316) Foydalanishni boshqarish • Foydalanishni boshqarish - sub’ektni ob’ektga ishlash qobilyatini aniqlashdir. Kiberxavfsizlik asoslari (CSF1316) Sub’ekt Ob’ekt Ruxsat
Natija • Sub’ekt – bu inson, dastur, jarayon va hak. bo‘lishi mumkin. • Ob’ekt – bu ma’lumot, resurs, jarayon va hak. bo‘lishi mumkin. Foydalanishni boshqarish usullari Kiberxavfsizlik asoslari (CSF1316) Foydalanishni boshqarishning quyidagi usullari mavjud: • diskretsion foydalanishni boshqarish usuli (Discretionary access control, DAC); • mandatli foydalanishni boshqarish usuli (Mandatory access control, MAC); • rolga asoslangan foydalanishni boshqarish usuli (Role-based access control, RBAC); • attributlarga asoslangan foydalanishni boshqarish usuli (Attribute-based access control, ABAC). Foydalanishni boshqarish usullaridan amalda foydalanish Tizimda ushbu foydalanish usullari bir-biridan alohida-alohida foydalanilishi talab etilmaydi va ularning kombinatsiyasidan ham foydalanish mumkin. Kiberxavfsizlik asoslari (CSF1316) Mandatli Rolga
Diskretsion Foydalanishni nazorat tizimlari DAC usuli • Foydalanishni boshqarishning mazkur usuli tizimdagi shaxsiy ob’ektlarni himoyalash uchun qo‘llaniladi. • Bunga ko‘ra ob’ekt egasining o‘zi undan foydalanish huquqini va kirish turini o‘zi belgilaydi. • DAC da sub’ektlar tomonidan ob’ektlarni boshqarish sub’ektlarning identifikatsiya axborotiga asoslanadi. – Masalan, UNIX operatsion tizimida fayllarni himoyalashda, fayl egasi qolganlarga o‘qish (r), yozish (w) va bajarish (x) amallaridan bir yoki bir nechtasini berishi mumkin. Kiberxavfsizlik asoslari (CSF1316) DAC usulidan foydalanish • Asosan, aksariyat operatsion tizimlarda keng foydalaniladi: Kiberxavfsizlik asoslari (CSF1316) DAC usulining tahlili • Ma’lumotlar undan foydalanish huquqiga ega bo‘lmagan sub’ektlar tomonidan foydalanilmasligi to‘liq kafolatlamagan: – YA’ni, o‘qish huquqiga ega bo‘lgan bir foydalanuvchini ma’lumotni egasining ruxsatisiz huquqga ega bo‘lmagan foydalanuvchiga yuborish imkoniyati mavjud. • Tizimdagi barcha ob’ektlar ulardan foydalanishni belgilaydigan su’ektlarga tegishli: – Amalda esa, tizimdagi barcha ma’lumotlar shaxslarga tegishli emas, balki butun tizimga tegishli bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) MAC usuli • Mazkur usuli foydalanish ruxsati ob’ektning egasi tomonidan amalga oshirmaydi. • MAC usulida foydalanishlar sub’ektlar va ob’ektlarni klassifikatsiyalashga asosan boshqariladi. • Tizimning har bir sub’ekti va ob’ekti bir nechta xavfsizlik darajasiga ega bo‘ladi. • Ob’ektning xavfsizlik darajasi tashkilotda ob’ektning muhimlik darajasi bilan yoki yo‘qolgan taqdirda keltiradigan zarar miqdori bilan xarakterlanadi. • Sub’ektning xavfsizlik darajasi esa unga ishonish darajasi bilan belgilanadi. • Misol: O‘TA MAXFIY (O‘M), MAXFIY (M), KONFIDENSIAL (K) va OCHIQ (O) shaklida yoki: O‘M > M > 𝐾 > 𝑂. Kiberxavfsizlik asoslari (CSF1316) MAC usuli • MAC usuli bilan foydalanishni boshqarishda xavfsizlik markazlashgan holatda xavfsizlik siyosati ma’muri tomonidan amalga oshiriladi. • Masalan, Alisa O‘TA MAXFIY ruxsatnomasiga ega bo‘lgan sub’ektlarga ruxsat bera olmaydi. • Bunda foydalanuvchi xavfsizlik siyosatini o‘zgartira olmaydi. – DAC usulida esa ob’ektning egasi xavfsizlik siyosatini quradi va kimga foydalanish uchun ruxsat berilishini aniqlaydi. • MAS usuli o‘rnatilgan tizimlar xavfsizlik siyosati ma’muriga tashkilot bo‘ylab xavfsizlik siyosatini amalga oshirish imkoniyatini beradi. Kiberxavfsizlik asoslari (CSF1316) MAS asosida axborot maxfiyligini ta’minlash • Agar ob’ekt va sub’ekning xavfsizlik darajalari orasidagi bir qancha bog‘liqliklar shartlari bajarilsa u holda sub’ekt ob’ektdan foydalanish huqiqiga ega bo‘ladi. • Masalan: – agar sub’ektning xavfsizlik darajasida ob’ektning xavfsizlik darajasi mavjud bo‘lsa, u holda O‘QISH uchun ruxsat beriladi. – agar sub’ektning xavfsizlik darajasi ob’ektning xavfsizlik darajasida bo‘lsa, u holda YOZISH ruxsati beriladi. Kiberxavfsizlik asoslari (CSF1316) MAS asosida axborot maxfiyligini ta’minlash Kiberxavfsizlik asoslari (CSF1316) O‘M M
O 4 3 2 1 O‘qish O‘qish O‘qish
O‘qish YOzish
YOzish YOzish
YOzish Sub’ektlar Ob’ektlar Axborot oqimi
MAS asosida axborot maxfiyligini ta’minlash – TAHLIL • Ushbu modelda foydalanuvchi va sub’ekt tushunchalri bir – biridan farq qiladi. • Xavfsizlik darajasi sub’ektga beriladi. • Foydalanuvchi esa u yoki bu vaqtda sub’ekt nomidan ish qilishi mumkin. • 1. Quyi sathli foydalanuvchi barcha yuqori sathli ob’ektlarga yozishi mumkin. – Bu holda u o‘zining mavjud ob’ektini qayta yozishi mumkin va bu o‘chirishga tengdir. • 2. YUqori sath foydalanuvchisi quyi sathdagi ob’ektlarni o‘zgartira olmaslik muammosini, turli hujjatlardan foydalanish uchun turli darajadagi ishonchga ega bo‘lgan sub’ektlar nomidan ish ko‘rish bilan hal etadi. Kiberxavfsizlik asoslari (CSF1316) MAS asosida axborot ishonchligini ta’minlash Qoida: • agar sub’ektning xavfsizlik darajasida ob’ektning xavfsizlik darajasi mavjud bo‘lsa, u holda YOZISH uchun ruxsat beriladi. • agar sub’ektning xavfsizlik darajasi ob’ektning xavfsizlik darajasida bo‘lsa, u holda O‘QISH ruxsati beriladi. Kiberxavfsizlik asoslari (CSF1316) O‘M M
O 4 3 2 1 YOzish YOzish YOzish
YOzish O‘qish
O‘qish O‘qish
O‘qish Sub’ektlar Ob’ektlar Axborot oqimi
RBAC usuli • RBAC usulida foydalanishni boshqarishning asosiy g‘oyasi tizimning ishlash logikasini tashkilotda kadrlar vazifasiga yaqinlashtirish. – YA’ni, RBAC usuli foydalanuvchini axborotga ruxsatini boshqarishda uning tizimdagi harakat xiliga asoslanadi. – Masalan, boshliq oddiy hodimga ko‘ra ko‘proq harakatni amalga oshiradi va shuning uchun qolganlarga nisbatan kengroq foydalanishni boshqarish huquqiga ega bo‘ladi. • Rol tushunchasini muayyan faoliyat turi bilan bog‘liq harakatlar va majburiyatlar to‘plami sifatida belgilanishi mumkin. Kiberxavfsizlik asoslari (CSF1316) RBAC usuli • Har bir ob’ekt uchun har bir foydalanuvchini foydalanish ruxsatini belgilash o‘rniga, rol uchun ob’ektlardan foydalanish ruxsatini ko‘rsatish etarli. • Foydalanuvchilar o‘z navbatida o‘zlarining rollarini ko‘rsatishadi. • Masalan, buxgaleteriya ma’lumotlaridan foydalanish uchun buxgalter roli talab etiladi. Agar Alisa buxgalter bo‘lsa, ushbu ruxsatga ega bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) RBAC usuli xususiyatlari • Foydalanuvchi turli vaziyatlarda turli rollarni bajarishi mumkin. – Masalan, prorektor bir vaqtning o‘zida o‘qituvchi vazifasini ham bajarishi mumkin. • Xuddi shu rolni bir nechta foydalanuvchilar ba’zan bir vaqtning o‘zidan ishlatishlari mumkin. • Ba’zi tizimlarda esa foydalanuvchiga bir vaqtning o‘zida bir nechta rollarni bajarishga ruxsat berilsa, boshqalarida har qanday vaqtda bir-biriga zid bo‘lmagan bir yoki bir nechta rollarni cheklash mavjud bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) RBAC usuli afzalliklari • Ma’murlashning osonligi – Rolli modelda rol va foydalanuvchi tushunchalarini ajratish vazifani ikki qismga ajratish imkonini beradi: foydalanuvchi rolini aniqlash va rol uchun ob’ektga ruxsatini aniqlash. – Ushbu yondashuv boshqaruv jarayonini sezilarli darajada osonlashtiradi. – Foydalanuvchini javobgarlik sohasini o‘zgartirganda undan eski rolni olib tashlash va unga yangi vazifasiga mos kelidagan rolni berishning o‘zi kifoya qiladi. • Masalan, Alisaga prorektor roli emas balki oddiy o‘qituvchi rolini berishning o‘zi kifoya. • Rollar ierarxiyasi – Rollarning haqiqiy ierarxiyasini yaratish orqali haqiqiy biznes jarayonlarini aks ettiruvchi rollar tizimini yaratish mumkin. – Har bir rol o‘z imtiyozlari bilan bir qatorda boshqa rollarning imtiyozlariga ega bo‘lishi mumkin. Kiberxavfsizlik asoslari (CSF1316) RBAC usuli afzalliklari • Eng kam imtiyoz prinsipi – Rolli model foydalanuvchiga tizimda kerakli vazifalarni bajarishga imkon beruvchi eng kichik rol bilan ro‘yxatdan o‘tish imkonini beradi. • Masalan, talabalarga baho qo‘yish uchun o‘qituvchi rolining o‘zi etarli. – Eng kam imtiyoz prinsipi tizimdagi ma’lumotlarning ishonchligini ta’minlash uchun juda muhimdir. • Majburiyatlarni ajratish – Firibgarlikni oldini olish uchun bir shaxs tomonidan ko‘plab vazifalarni bajarishga ruxsat bermaslik zarur. • To‘lovni yaratish va uni tasdiqlash bunga misoldir. – Rollarga asoslangan usul esa ushbu muammoni maksimal darajada osonlik bilan hal qiladi. Kiberxavfsizlik asoslari (CSF1316) RBAC usuli Kiberxavfsizlik asoslari (CSF1316) Foydala
Rollar Imtiyoz
Admin.
Admin.
CHeklov
Seans Rollar
Foydalanuvchiga
Berilgan imtiyoz Foydalanuvchiga
ABAC usuli • ABAC usuli - ob’ektlar va sub’ektlarning atributlari, ular bilan mumkin bo‘lgan amallar va so‘rovlarga mos keladigan muhit uchun qoidalarni tahlil qilish asosida foydalanishlarni boshqaradi. • Qoidada har qanday turdagi attributlardan (foydalanuvchi attributlari, resurs attributlari, ob’ekt va muhit attributlari va hak.) foydalanish mumkin. • Resursni va harakatni kim bajarayotgani to‘g‘risidagi holatlar “AGAR, U HOLDA” dan tashkil topgan qoidalarga asoslanadi. – Masalan, AGAR talabgor boshqaruvchi bo‘lsa, U HOLDA maxfiy ma’lumotni o‘qish/ yozish huquqi berilsin. Kiberxavfsizlik asoslari (CSF1316) ABAC usuli • Attributlarga asoslangan foydalanishni boshqarishdagi asosiy standartlardan biri bu - XACML (eXtensible Access Control Markup Language). • XACML asosiy tushunchalari: – qoida (rules), – siyosat (policy), – qoida va siyosatni mujassamlashtirgan algoritmlar (rule-combing algorithms), – attributlar (attributes) (sub’ekt, ob’ekt, harakat va muhit shartlari), – majburiyatlar (obligations) – va maslahatlar (advices). Kiberxavfsizlik asoslari (CSF1316) ABAC usuli • XACML: – Qoida markaziy element bo‘lib, o‘zida maqsad, ta’sir, shart, majburiyat va maslahatlarni o‘z ichiga oladi. – Maqsad – bu sub’ekt ob’ekt ustida nima harakat qilishidir (o‘qish, yozish, o‘chirish va hak.). – Ta’sir mantiqiy ifodalarga asoslangan bo‘ladi va tizim foydalanish uchun ruxsat, taqiq, mumkin emas, aniqlanmagan holatlaridan biri bo‘lgan ruxsatni berishi mumkin. • Mumkin emas buyrug‘i mantiqiy shart noto‘g‘ri bo‘lganda qaytarilsa, ifodani hisoblash vaqtida yuzaga kelgan xatoliklar uchun aniqlanmagan ta’sirini ko‘rsatadi. Kiberxavfsizlik asoslari (CSF1316) Maqsad Bemorni tibbiy kartasidan qon guruhini bilish
SHart Sub’ekt.Lavozimi=Vrach & muhit.vaqt >= 8:00 & muhit.vaqt <=18:00 Majburiyat Tibbiy yozuvini ko‘rish sanasini (muhit.vaqt) ro‘yxatga olish jurnalida ko‘rsatish.
Foydalanishni boshqarish matritsasi • Avtorizatsiyaning klassik ko‘rinishi Lampsonning foydalanishni boshqarish matritsasidan boshlanadi. • Ushbu matritsa operatsion tizimni barcha foydalanuvchilar uchun turli ma’lumotlarni boshqarishi xususisidagi qarorni qabul qilishi uchun zarur bo‘lgan barcha axborotni o‘z ichiga oladi. • Operatsion tizimdagi foydalanuvchilar sub’ekt sifatida va tizim resurslari ob’ekt sifatida qaraladi. • Avtorizatsiya sohasidagi ikkita asosiy qurvchilar: foydalanishni boshqarish ro‘yxati (Access control list, ACL) va imtiyozlar ro‘yxati (Capability list, C-list) hisoblanib, har ikkalasi ham Lampsonning foydalanishni boshqarish matritsasidan olingan. Kiberxavfsizlik asoslari (CSF1316) Foydalanishni boshqarish matritsasi • Matritsaning satrlari sub’ektlarni va ustunlari ob’ektlarni ifodalaydi. • Bundan ko‘rinib turibdiki, biror sub’ekt 𝑆 ga va ob’ekt 𝑂 uchun berilgan imtiyozlar ularning matritsadagi indekslari kesishgan nuqtada saqlanadi. Kiberxavfsizlik asoslari (CSF1316) OT Buxgalteriyaga
Buxgalteriyaga oid ma’lumot Sug‘urta ma’lumoti To‘lov
ma’lumoti Bob rx rx r - - Alisa rx rx r rw rw Sem rwx rwx r rw rw Buxgal- teriyaga oid dastur rx rx rw rw r • Imtiyozlar UNIX operatsion tizimidagi imtiyozlar shaklida, ya’ni, 𝑥, 𝑟 va 𝑤 lar mos ravishda bajarish, o‘qish va yozish amalini anglatadi. Foydalanishni boshqarish matritsasi • Jadvalda buxgalteriyaga oid dastur ham sub’ekt ham ob’ekt sifatida olingan. • Bu foydali tanlov bo‘lib, buxgalteriyaga oid ma’lumotlarni faqat buxgalteriyaga oid dastur tomonidan boshqarish imkonini beradi. • YA’ni, turli buxgalteriya tekshiruvlari va balans haqidagi ma’lumotlar faqat buxgalteriyaga oid dasturiy ta’minot tomonidan boshqarishilishi shart va yuqoridagi matritsada keltirilgan shakl buni ta’minlaydi. • Lekin bu hamma vaqt ham bo‘lishi mumkin bo‘lgan hujumlarni oldini olmaydi. – Masalan, Sem buxgalteriga oid dasturni noto‘g‘ri versiya bilan almashtirish yoki soxta versiya bilan almashtirishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Foydalanishni boshqarish matritsasi muammosi • Foydalanishni boshqarish matritsasida barcha sub’ektlar
Kiberxavfsizlik asoslari (CSF1316) ACL yoki S-list • Ushbu muammoni echimi bormi? • Ha. Boshqarish matritsasini boshqariluvchi qismlarga bo‘lish kerak. • Boshqarish matritsasini qismlarga ajratish: – Satrlar bo‘yicha (Capability list, C-list); – Ustunlar bo‘yicha (ACL yoki access control list). Kiberxavfsizlik asoslari (CSF1316) ACL
ob’ekt bilan saqlanadi. • Agar ob’ektdan foydalanishga murojaat bo‘lganda foydalanishni boshqarish matritsasining ushbu ustuni olinadi va amalni bajarishga ruxsat berilgani tekshiriladi. • Ushbu ustunlarni ACL kabi bilish mumkin. • Masalan, matritsadagi sug‘urta ma’lumotiga tegishli bo‘lgan ACL quyidagicha: (Bob, −), (Alisa, 𝑟𝑤), (Sem, 𝑟𝑤), (buxgalteriyaga oid dastur, 𝑟𝑤) Kiberxavfsizlik asoslari (CSF1316) S-list
saqlinaja va har bir satr mos sub’ekt bilan saqlanadi. • Agar sub’ekt tomonidan biror amalni bajarishga harakat qilinsa, amalni bajarishga ruxsat borligini bilish uchun foydalanishni boshqarish matritsasining mazkur satriga qaraladi. • Mazkur yondashuv imtiyozlar ro‘yxati kabi yoki C-list deb ataladi. • Masalan, matritsadagi Alisaning imtiyozlar ro‘yxati yoki C-list quyidagiga teng: Kiberxavfsizlik asoslari (CSF1316) (𝑂𝑇, 𝑟𝑥), (, buxgalteriyaga oid dastur, 𝑟𝑥), (buxgalteriyaga oid ma’lumot, 𝑟),
ACL yoki S-list • ACL va C-list o‘zaro ekvivalent: – ular bir xil axborotni o‘zida turlicha saqlaydi; – ular orasida bilinar bilinmas farq mavjud. Kiberxavfsizlik asoslari (CSF1316) Alisa Bob
Fred r
r w
rw
Fayl 1
Fayl 1 Fayl 1
ACL Alisa
Bob Fred
r w rw ---
r r
r Fayl 1
Fayl 1 Fayl 1
C-list ACL yoki S-list • Rasmda ACL uchun ko‘rsatkich resurslardan foydalanuvchilarga qarab yo‘nalgan bo‘lsa, C-list uchun esa ko‘rsatkichlar foydalanuvchilardan resurslarga qarab yo‘nalgan. • Bu ko‘ringan ahamiyatsiz farq muhim ahamiyatga ega. • Xususan, imtiyozlar (C-list) bilan foydalanuvchilar va fayllar orasidagi aloqadorlik tizim ichida quriladi. • ACLga asoslangan tizimda esa, foydalanuvchilarni faylga aloqadorligi uchun alohida usullar talab etiladi. Kiberxavfsizlik asoslari (CSF1316) Tartibsiz yordamchi • Tartibsiz yordamchi bu – ko‘p jabhalarda klassik xavfsizlik muammosi hisoblanadi. • Misol: – ikkita resursga ega tizim olingan: • birinchi resurs kompilyator bo‘lsa, • ikkinchisi maxfiy to‘lov axborotidan iborat bo‘lgan BILL deb nomlangan fayl • va bir foydalanuvchi, Alisadan iborat. – Kompilyator ixtiyoriy faylni ishga tushira oladi. – Alisa kompilyatorni ishga tushira oladi va buni uchun fayl nomini kiritadi. – Biroq, Alisaga BILL nomli faylni zararlashi mumkinligi sababli, unga yozish ruxsati mavjud emas. – YA’ni, foydalanish matritsasi quyidagicha: Kiberxavfsizlik asoslari (CSF1316) Kompilyator BILL
Tartibsiz yordamchi • Faraz qilinsin, – Alisa kompilyatorni ishga tushirdi va fayl nomi sifatida BILLni ko‘rsatdi. – Alisa ushbu imtiyozga ega bo‘lmagani uchun, mazkur buyruq amalga oshirilmaydi. – Biroq, Alisa nomidan ish ko‘ruvchi kompilyator BILL faylini qayta yozish imkoniyatiga ega. – Agar kompilyator o‘z imkoniyati bilan ishlasa va u Alisa tomonidan ishga tushirilsa, u holda BILL faylini zararlashi mumkin. Kiberxavfsizlik asoslari (CSF1316) ALISA debug Kompilyator Fayl nomi BILL BILL
BILL Tartibsiz yordamchi • Bu nima uchun tartibchiz yordamchi deb ataladi? – Kompilyator Alisa tomonida va shuning uchun uning yordamchisi. – Kompilyator Alisaning imtiyoziga ko‘ra ish ko‘rish o‘rniga o‘zining imtiyoziga asosan ish ko‘rmoqda. • Ushbu muammoning echimi: – ACL bilan mazkur holatini oldini olish juda ham murakkab (lekin imkonsiz emas). – C-list bilan buni osonlikcha bartaraf etish mumkin: • YA’ni, Alisa kompilyatorga murojaatni amalga oshirganda, unga o‘zining C-listni beradi. • ACL vs S-list – ACL bilan biror resursga huquqlarni almashtirish oson. – C-list vakolatlar berish oson, foydalanuvchi qo‘shish yoki o‘chirish juda ham oson. • Biroq, imkoniyatlarni amalga oshirish biroz murakkab va yuqori xarajatni talab etadi. – SHuning uchun ACL hozirgi kunda amaliyotda C-listdan ko‘ra ko‘p foydalaniladi. Kiberxavfsizlik asoslari (CSF1316) Ko‘p sathli xavfsizlik (multilevel security, MLS) modellari • Xavfsizlik modellari himoyalanish uchun nima kerakligini aytadi. – Biroq ular haqiqiy savolga javob bermaydi, ya’ni, bunday himoyani qanday ta’minlash kerakligini aytmaydi. • MLS da sub’ektlar sifatida foydalanuvchilar (umumiy holda insonlar) va ob’ektlar sifatida himoyalanuvchi ma’lumotlar olingan (masalan, hujjatlar). • Bundan tashqari, klassifikatsiyalash ob’ektlarga taalluqli bo‘lib, sub’ektlarga esa ruxsatnomalar qo‘llaniladi. Kiberxavfsizlik asoslari (CSF1316) Ko‘p sathli xavfsizlik (multilevel security, MLS) modellari • AQSHning Department of Defence (yoki DOD) tashkilotida to‘rtta sathdagi klassifikatsiyalash va ruxsatnomalardan foydalaniladi: • TOP SECRET > SECRET > CONFIDENTIAL > UNCLASSIFIED. • Masalan, – SECRET ruxsatnomasiga ega sub’ektga SECRET yoki undan kichik klassdagi ma’lumotlardan foydalanish imtiyozi mavjud. – Biroq TOP SECRET klassidagi ma’lumotdan foydalanish imtiyoziga ega emas. • Faraz qilaylik: – 𝑂 - ob’ekt bo‘lsin; – 𝑆 unda sub’ekt bo‘lsin. – U holda: 𝑂 ning xavfsizlik sathi 𝐿(𝑂) sifatida va 𝑆 ning xavfsizlik sathi 𝐿(𝑆) kabi belgilanadi. • DOD tizimida yuqoridagi tenglikda ko‘rsatilgan 4 ta sathli klassifikatsiyalash va ruxsatnomalardan foydalaniladi. Kiberxavfsizlik asoslari (CSF1316) Axborotni klassifikatsiyalash bilan bog‘liq muammolar • Mos klassifikatsiyalash har doim ham aniq bo‘lmaydi va ikkita malakali foydalanuvchilarda tamomila turlicha ko‘rinishlarda bo‘ladi. • Klassifikatsiyalashda qo‘llaniluvchi donadorlik darajasi ham muammo bo‘lishi mumkin: – TOP SECRET bo‘lgan, lekin har bir paragrifi alohida olinganda UNCLASSIFIED darajsidagi hujjatni yaratish mutlaqo mumkin. • Dushman UNCLASSIFIED turidagi hujjatlarni yig‘ish orqali TOP SECRET darajasidagi hujjatni hosil qilishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Bell-Lapadula modeli • MLSning ko‘plab modellari mavjud. • Bell-Lapadula (Bell-LaPadula, BLP) ular orasida eng soddasi. • BLPning asosiy maqsadi har qanday MLS tizimini qanoatlantirishi kerak bo‘lgan konfidensiallikka nisbatan minimal talablarni to‘plashdir. • BLP quyidagi ikki formulirovkadan tashkil topgan: – Xavfsizlikni oddiy sharti: agar faqat va faqat 𝐿(𝑂) ≤ 𝐿(𝑆) shart bajarilganda 𝑆 sub’ekt 𝑂 ob’ektni o‘qishi mumkin. – *-Xususiyat (erkinlikni cheklash): faqat va faqat 𝐿(𝑆) ≤ 𝐿(𝑂) shartda sub’ekt 𝑆 ob’ekt 𝑂 ga yozishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Bell-Lapadula modeli Kiberxavfsizlik asoslari (CSF1316) YUqori
sub’ekt YUqori
ob’ekt Past
ob’ekt Past
sub’ekt O‘qish
YOzish YOzish
O‘qish O‘qish
YOzish YOzish
O‘qish Biba modeli • BLP modeli konfidensiallik bilan shug‘ullangan bo‘lsa, Biba modeli butunlik bilan shug‘ullanadi. • Agar biz 𝑂1 ob’ektning butunligiga ishonsak, biroq 𝑂2 ob’ektning butunligiga ishonmasak, u holda ob’ekt 𝑂 ikkita 𝑂1 va 𝑂2 ob’ektlardan yaratilgan bo‘lsa, u holda ob’ekt 𝑂 ning butunligiga ishonmaymiz. – Boshqa so‘z bilan aytilganda ob’ekt 𝑂 ning butunligi uni tashkil etgan ixtiyoriy ob’ektning minimal butunlik darajasidan iborat. • Biba modelini izohlash uchun, 𝐼(𝑂) orqali 𝑂 ob’ektning butunligi izohlansa, 𝐼(𝑆) orqali 𝑆 sub’ektning butunligi izohlanadi. Kiberxavfsizlik asoslari (CSF1316) Biba modeli • U holda Biba modeli quyidagi ikkita formilirovkadan iborat: – YOzish huquqli qoida: faqat va faqat 𝐼(𝑂) ≤ 𝐼(𝑆) shart bajarilsa, sub’ekt 𝑆 ob’ekt 𝑂 ga yoza oladi. – Biba modeli: faqat va faqat 𝐼(𝑆) ≤ 𝐼(𝑂) shart bajarilsa, sub’ekt 𝑆 ob’ekt 𝑂 ni o‘qiy oladi. • Biba modelida biz 𝑆 o‘qigan eng past butunlik ob’ektidan boshqa 𝑆 ga ishonmasligimiz mumkin emas. • 𝑆 sub’ekt kichik butunligi past bo‘lgan ob’ekt tomonidan zararlanishi mumkinligi sababli, 𝑆 ga bunday ob’ektlarni o‘qish taqiqlanadi. Kiberxavfsizlik asoslari (CSF1316) Biba modeli Kiberxavfsizlik asoslari (CSF1316) YUqori
sub’ekt YUqori
ob’ekt Past
ob’ekt Past
sub’ekt O‘qish
YOzish YOzish
O‘qish O‘qish
YOzish YOzish
O‘qish BLP va Biba modellari • BLP konfidensiallikni ta’minlash uchun.
Kiberxavfsizlik asoslari (CSF1316) YUqori Past
S a t h BLP
L(O1) L(O2)
L(O) Konfidensiallik YUqori Past
S a t h Biba
I(O1) I(O2) I(O) Butunlik
Mantiqiy va fizik foydalanishlarni boshqarish • Foydalanishni boshqarishning mantiqiy vositalari
Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 10 - Ma’ruza: Diskni va faylni shifrlash. Ma’lumotni xavfsiz o‘chirish. Agar sen sir saqlamoqchi bo‘lsang, uni o‘zingdan ham yashirishing kerak - George Orwell. Axborotning kriptografik himoya vositalari Apparat kriptografik vosita Dasturiy kriptografik vosita Apparat-dasturiy kriptografik vosita Kiberxavfsizlik asoslari (CSF1316) Apparat VS dasturiy kriptografik vosita Apparat Maxsus protsessorda amalga oshiriladi Kalit va maxfiy kattaliklar qurilmada
Maxsus kalit generatori mavjud. YUqori samaradorlikka ega. Dasturiy
oshiriladi Saqlash uchun qo‘shimcha qurilma zarur. Kalit foydalanuvchi tomonidan
Kiberxavfsizlik asoslari (CSF1316) Apparat VS dasturiy kriptografik vosita Apparat Apparatga nisbatan autentifikatsiya amalga oshiriladi. Qo‘shimcha qurilma yoki drayver talab etmaydi. Narxi yuqori. YAngilash imkoniyati qariyib yo‘q.
Dasturiy
Qo‘shimcha kutubxona yoki drayver talab
Narxi past. YAngilash imkoniyati oson. Aksariyat hujumlarga bardoshsiz. Kiberxavfsizlik asoslari (CSF1316)
Masalan, Rutoken S Xususiyatlari: • shifrlash kalitlari, ERI kalitlari va turli sertifikatlarni xavfsiz saqlash uchun foydalaniladi; • ushbu tokendan foydalanish uchun PIN kodni kiritish talab etiladi; • diskdagi ma’lumotlarni shifrlash uchun qo‘llaniladi; • tokenda mehmon, foydalanuvchi va administrator darajalari mavjud; • Microsoft Windows 10/8.1/2012R2/8/2012/7/2008R2/Vista/2008/ XP/2003, GNU/Linux, Apple macOS/OSX muhitlarida foydalanish mumkin; • 32, 64 va 128 KB xotiraga ega EEPROM; • USB 1.1 va undan yuqori interfeysga ega; • 58x16x8mm (mikro-token 17,8x15,4x5,8mm) o‘lchamga ega; • 6,3g (mikro-token 1,6g) og‘irlikka ega. Kiberxavfsizlik asoslari (CSF1316) Masalan, TrueCrypt Xususiyatlari: • C, C++, Assembly dasturlash tillaridan foydalanib yozilgan; • Windows, macOS, Linux OTlarida foydalanish mumkin; • 3.30 MB hajmga ega; • ushbu dasturiy vosita AES, Serpent, va Twofish blokli shifrlash algoritmlaridan foydalaniladi. Kiberxavfsizlik asoslari (CSF1316) Dasturiy shifrlash vositalari Dasturiy shifrlash vositalari guruhlari: Diskni shifrlash dasturiy vositalari (Disk encryption software) Fayl/ katalogni shifrlash dasturiy vositalari (File/folder encryption) Ma’lumotlar bazasini shifrlash dasturiy vositalari (Database encryption) Aloqani shifrlash dasturiy vositalari (Communication encryption software) Kiberxavfsizlik asoslari (CSF1316) Disk va fayl tizim sathida shifrlash Diskni shifrlash
Diskni shifrlash Xususiyatlari: • Diskdagi barcha ma’lumotlarni (master boot record, (MBR) bilan) yoki MBR siz shifrlashni amalga oshiradi. • Asosan disk ishlab chiqaruvchilar tomonidan taklif etiladi. • Apparat yoki dasturiy ko‘rinishdagi vositalar asosida amalga oshirilishi mumkin. • Foydalanuvchi shaxsiy xabarlarni alohida shifrlashni unutgan vaqtlarda juda qo‘l keladi. • Zudlik bilan ma’lumotlarni yo‘q qilish, masalan, kriptografik kalitni yo‘q qilish mavjud ma’lumotni foydasiz holatga keltiradi. • Kelajakdagi bo‘lishi mumkin bo‘lgan ma’lumotlarni tiklash usullariga bardoshli bo‘lishi uchun diskni fizik yo‘q qilish tavsiya etiladi. Kiberxavfsizlik asoslari (CSF1316) Diskni shifrlash: BestCrypt dasturiy vositasi • Windows, Linux va OS X muhitlarida foydalanish mumkin. • AES, Serpent, Blowfish, Twofish, DES, Triple DES, GOST 28147-89 algoritmlardan foydalanadi. • Diskni shifrlash asosida virtual disk hosil qiladi. • Ikki faktorli autentifikatsiyaga ega. Kiberxavfsizlik asoslari (CSF1316) Fayl/ katalogni shifrlash Kiberxavfsizlik asoslari (CSF1316) Xususiyatlari: • asosiy fayl tizimining ustida joylashgan kriptografik fayl tizimidan foydalanadi (masalan, ZFS, EncFS); • faylga asoslangan holda kalitlarni boshqarish, ya’ni, har bir fayl uchun turli kalitlardan foydalanadi; • shifrlangan fayllarni alohida boshqarish butun shifrlangan diskni boshqarishdan ko‘ra osonroq; • foydalanishni boshqarish ochiq kalitli kriptografik tizimlar yordamida amalga oshirilishi mumkin; • faqat kriptografik kalitlar xotirada saqlanib, shifrlangan fayllar ochiq holatda saqlanadi. Fayl/ katalogni shifrlash: AxCrypt dasturiy vositasi • Windows, macOS, Android va iOS OTlarida ishlaydi. • AES-256 shifrlash algoritmidan foydalanadi. • Faylni shifrlash va deshifrlashning vaqtga asosan avtomatik ishlash rejimi mavjud. Kiberxavfsizlik asoslari (CSF1316) Ma’lumotni yo‘q qilish usullari Axborot xavfiszligida ma’lumotni xavfsiz saqlash qanchalik muhim hisoblansa, ularni xavfsiz yo‘q qilish ham shunchalik muhim hisoblanadi. Konfidensial axborotni to‘liq yo‘q qilinmagan taqdirda uni tiklash imkoniyati saqlanib qoladi. Hozirgi kunda foydalanilayotgan barcha ma’lumotlarni yo‘q qilish usullarini ham ishonchli deb aytish qiyin. Quyida qog‘oz ko‘rinishidagi va elektron saqlagichlardan axborotni yo‘q qilish tartibi bilan tanishib chiqiladi. Kiberxavfsizlik asoslari (CSF1316) Qog‘oz ko‘rinishdagi hujjatlar yo‘q qilish usullari Maydalash (shreder) YOqish Ko‘mish
Kimyoviy ishlov berish Kiberxavfsizlik asoslari (CSF1316) Maydalash Bir marta sotib olish bilan
Materiallarni yo‘q qilish uchun qo‘shimcha joy talab qilinmaydi. Maxfiy ma’lumotlarni ham maydalay oladi. Kiberxavfsizlik asoslari (CSF1316) YOqish
Tashkilot ichida yoki tashqarichida qog‘ozlarini yoqish uchun maxsus joy bo‘lishi talab etiladi. Agar yonish yuqori sharoitda maxsus qozonxonalarda amalga oshirilmasa, qattiq bosilgan papkalarni saqlanish ehtimoli mavjud. Olovni yoqish va yuklash-tushirish amallari hisobida ortiqcha xarajat talab etadi. Kiberxavfsizlik asoslari (CSF1316) Ko‘mish
Avvallari keng foydalanilgan usul hisoblansada, hozirda kamdan-kam hollarda foydalaniladi. Ushbu usul qog‘oz ma’lumotlarni to‘liq yo‘q qilish imkoniyatini bermaydi. Iqlimi quruq hududlarda qozog‘ ma’lumotlarni yo‘q bo‘lishi uchun uzoq vaqt talab etiladi. Kiberxavfsizlik asoslari (CSF1316) Kimyoviy ishlov berish Qog‘oz ko‘rinishidagi axborotni 100%
Maxsus kimyoviy modda va suvdan foydalaniladi. Hosil qilingan massani tiklashning umuman imkoni mavjud emas. YAgona kamchiligi uning narxi yuqoriligi va maxsus joy talab etilishidir. Kiberxavfsizlik asoslari (CSF1316) Elektron hujjatlarni yo‘q qilish O‘chirish degani bu yo‘q qilish degani emas
Kiberxavfsizlik asoslari (CSF1316) Elektron hujjatlarni saqlovchilar Qattiq disklar: noutbuk va kompyuterdagi qattiq disklar Magnit lentalar (zaxira nusxalashdagi) Floppi-disk: 3.5, 5.25 dyumli va boshqa ZIP disklar Optik disklar: CD, DVD, Blue Ray va HD DVD Flesh xotiralar va hak. Kiberxavfsizlik asoslari (CSF1316)
Elektron hujjatlarni yo‘q qilish AQSH hukumatida konfidensial axborotni saqlash
SHredirlash • Kuchli sanoat maydalagichlari deyarli barcha ko‘chma saqlaguvchilarni: CD, DVD, disket, magnit lentalar va hak. maydalash natijasida buyumlar 25 mmli qismlarga bo‘lib tashlanadi. Kiberxavfsizlik asoslari (CSF1316) Magnitsizlantirmoq • Maxsus qurilma ichida joylashtirilgan saqlagichning xususiyatlari o‘zgartiriladi va shu bilan o‘qib bo‘lmasligi ta’minlanadi. • Agar kuchli magnitsizlantirish amalga oshirilsa ma’lumotlar saqlagichdan o‘chiriladi va saqlagichning o‘zi neytral magnit holatiga kiradi. • Ushbu ma’lumotni yo‘q qilish usuli dattiq disklarni va bazi ko‘chma qurilmalar uchun qo‘llaniladi. Kiberxavfsizlik asoslari (CSF1316) UE-02 qurilmasi
YAnchish
qattiq diskalari tamomila yo‘q qilinadi. Ushbu mexanizm maksimal hajmi 2.5x10x15sm bo‘lgan, 3.5, 2.5 va 1 dyumli disklar (SATA, PATA, SCSI) ni maydalash uchun mo‘ljallangan. Kiberxavfsizlik asoslari (CSF1316) Elektron hujjatlarni yo‘q qilish usullari Kiberxavfsizlik asoslari (CSF1316) Zamonaviy axborot saqlovchilardagi axborotni o‘chirish usullari Magnitli YArim o‘tkazgichli Magnit-optik Optik Saqlovchi strukturasi o‘zgarmaydi Saqlovchi strukturasi o‘zgaradi dasturiy fizik mexanik termik kimyoviy Nurlanishli Sintez (termo- Qayta ximik) yozishga asos- langan Toza-
asos- langan Domi-
magnit maydo- ni Impul
magnit li maydon Kam
vchi magnit maydo- ni Elektron hujjatlarni yo‘q qilish • YUqorida keltirilgan usullarning aksariyati ma’lumot tashuvchini fizik yo‘q qilishni maqsad qiladi. • TOP SECRET bo‘lmagan axborot saqlangan holda esa saqlagichlardan qayta foydalanish talab etiladi. • Buning uchun quyidagi usullardan foydalaniladi: – xotiraga bir necha marta takroran yozish; – maxsus dasturlar yordamida saqlagichni tozalash (formatlashdan oldin ma’lumotni o‘chirish). Kiberxavfsizlik asoslari (CSF1316) Elektron hujjatlarni yo‘q qilish: tavfsiya AQSHning Cornell kompaniyasi tomonidan elektron axborotni saqlovchilardan qayta foydalanish uchun va ularni yo‘q qilish uchun quyidagi tavfsiyalar beriladi: Kiberxavfsizlik asoslari (CSF1316) Elektron saqlagichlar Qayta foydalanish uchun Yo‘q qilish
Fizik yo‘q qilish yoki magnitsizlantirish. Floppi disk Magnitsizlantirish yoki formatlashdan oldin o‘chirish Fizik yo‘q qilish, magnitsizlantirish. Optik disklar Odatda qo‘llanilmaydi Fizik yo‘q qilish: yanchish, ishqalash
Fizik yo‘q qilish, magnitsizlantirish. Flesh-saqlagichlar Formatlashdan oldin
Fiziq yo‘q qilish. Magnit lentalar Magnitsizlantirish. Fizik yo‘q qilish, magnitsizlantirish.
E’TIBORINGIZ UCHUN RAXMAT!!! 11 - Ma’ruza: Kompyuter tarmoqlari asoslari. Kompyuter tarmoqlari Kompyuter tarmoqlari bu –
U foydalanuvchilarga turli resurslar, kompyuter, mobil telefon, printer, skanner va hak.lar orasida ulanish va axborotni taqsimlash imkonini beradi. Ko‘plab sohalarda, elektrik injiniring, telekommu- nikatsiya, Computer science, axborot texnologiyalarida kompyuter tarmoqlari kon- sepsiyasidan foydalaniladi. Keng tarqalgan kompyuter tarmog‘i bu – Internet. Kiberxavfsizlik asoslari (CSF1316) Tarmoq modellari Tarmoq modeli - ikki hisoblash tizimlari
Kiberxavfsizlik asoslari (CSF1316) OSI modeli • OSI modeli tarmoq bo‘ylab ma’lumotlar almashinuvini aniqlashtirish uchun taqdim etilgan model. U qolib bo‘lib, bir qurilmadan tarmoq orqali boshqa qurilmaga ma’lumot oqib o‘tishini tasvirlaydi. • OSI modeli ikki nuqta orasidani aloqani 7 ta turli sathlar guruhiga ajratadi. Kiberxavfsizlik asoslari (CSF1316) OSI modeli Ma’lumot birligi Sath Vazifasi Host
Ma’lumot 7. Ilova Ilovalarni tarmoqqa ulanish jarayoni 6. Taqdimot Ma’lumotni taqdim etish, shifrlash va deshifrlash, mashina mos tilgan o‘girish va teskarisi 5. Seans Host osti ulanish, ilovalar orasida ulanishlarni boshqarish Segmentlar 4. Transport Nuqta-nuqta ulanish, ishonchlilik va oqimni nazoratlash Quril-
Paketlar/ datagrammalar 3. Tarmoq Yo‘lni aniqlash va mantiqiy manzillash Freym 2. Kanal Fizik manzillash
Qurilma, signal va binar o‘zgartirishlar OSI modeli OSI modeli quyidagi xususiyatlarga ega: tarmoq bo‘ylab amalga oshirilgan aloqani oson tushunilishini ta’minlaydi dasturlar va qurilmalar ishlashini ko‘rsatadi foydalanuvchilarga yangi topologiyani tushunishga
turli tarmoqlar orasidagi funksional boqliqliklarni oson solishtirish imkoniyatiga ega 7 qatlamli OSI modelini ishlab chiqishda foydalanilgan prinsiplar quyidagilar: Har bir sath turli tushunchalarga va umumiy ko‘rinishlarga ega bo‘lishi mumkin. SHuning uchun har bir sathni yaratish abstraksiya darajasiga asoslanadi Har bir sath turli vazifani bajarishga muhtoj Har bir sathda amalga oshirluvchi vazifa ushbu sathda
Kiberxavfsizlik asoslari (CSF1316) TCP/IP modeli Ilova sathi Transport sathi Tarmoq sathi Kanal sathi Kiberxavfsizlik asoslari (CSF1316) YUqori sath protokollarini o‘zida saqlaydi, taqdim etish, kodlash va muloqotni nazoratlash Tomonlar orasida mantiqiy ulanishni o‘rnatadi va transport xizmatini ta’minlaydi Manba tarmoqdan masofadagi tarmoqga ma’lumotlarni uzatish bilan tarmoqlararo paket almashinuvini amalga oshiradi. Bir xil tarmoqda ikkita hostlar orasida Internet sathi bo‘ylab ma’lumot oqishini ta’minlaydi HTTP, Telnet, FTP, TFTP, SNMP, DNS, SMTP va hak. TCP, UDP, RTP IP, ICMP, ARP, RARP Ethernet, Token Ring,
TCP/IP modeli 4 sathli protokol bo‘lib, Department of Defense (DOD) tomonidan ishlab chiqilgan. Vazifasi Sathlar Protokollar OSI va TCP/IP modellarining taqqosi OSI model TCP/IP model
Kiberxavfsizlik asoslari (CSF1316) OSI TCP/IP
1. TCP/IP modeli Internet standartida ishlab chiqilgan standart protokollar asosida yaratilgan. Bu hostlarni tarmoq orqali ulashga imkon beradigan aloqa protokoli. 2. OSI modelida transport sathi paketlarni etib borishini kafolatlaydi. 2. TCP/IP modelida transport sathi paketlarni etib borishini kafolatlamaydi. SHuni bilan ham TCP/IP modeli shunchalik ishonchli. 3. Vertikal yondashuvga amal qiladi. 3. Gorizontal yondashuvga amal qiladi. 4. OSI modelida alohida taqdimot va sessiya sathlari mavjud. 4. TCP/IP modelida alohida taqdimot va sessiya sathlari mavjud emas. 5. Transport sathi ulanishga yo‘naltirilgan. 5. Transport sathi ham ulanishga ham ulanmaslikka yo‘naltirilgan. 6. Tarmoq sathi ham ulanishga ham ulanmaslikka yo‘naltirilgan. 6. Tarmoq sathi ulanishga yo‘naltirilgan. 7. OSI - bu tarmoqni qurish imkonini beruvchi etalon model. Odatda u qo‘llanma sifatida ishlatiladi. 7. TCP/IP modeli esa OSI modelini amalga oshirish usulidir. 8. OSI modelida protokollarni modelga moslashtirish muammosi mavjud. 8. TCP/IP modeli ixtiyoriy protokolga ham mom kelavermaydi. 9. OSI modelida protokollar yashiringan va texnologiya o‘zgarishi bilan osonlik bilan almashtirish mumkin. 9. TCP/IP modelida protokolni almashtirish oson emas. 10. OSI modeli xizmatlar, interfeyslar va protokollarni juda aniq belgilaydi va ular o‘rtasida aniq farq qiladi. Bu protokolga bog‘liq emasyu 10. TCP/IP modelida xizmatlar, interfeslar va protokollar aniq ajratilmagan. Bundan tashqari protakolga bog‘liq. 11. Modelda 7 ta sath mavjud. 11. Modelda 4 ta sath mavjud. Tarmoqlarning turlari • LAN tarmog‘i kompyuterlar va ularni bog‘lab turgan
Lokal tarmoqlar (Local Area Network, LAN) • WAN tarmog‘i odatda ijaraga olingan telekommunikatsiya liniyalaridan foydalanadigan tarmoqlardagi tugunlarni bir-biriga bog‘laydi. • Ushbu liniyalar tarmoqdagi turli kompyuterlar orqali ma’lumotlarni samarali uzatilishiga yordam beradi. Mintaqaviy tarmoq (Wide Area Network, WAN) • Ushbu tarmoq LAN tarmog‘iga qaraganda katta hajmga ega bo‘lsada, WAN tarmog‘idan kichik. • Bu tarmoq shahar yoki shaharcha bo‘ylab tarmoqlarning o‘zaro bog‘lanishini nazarda tutadi. SHahar tarmog‘i (Metropolitan Area Network, MAN) Kiberxavfsizlik asoslari (CSF1316) Tarmoqlarning turlari • SHaxsiy tarmoq qisqa masofalarda qurilmalar o‘rtasida ma’lumot
SHaxsiy tarmoq (Personal Area Network, PAN) • Ko‘plab davlat tashkilotlari va universitetlar o‘zlari uchun CAN tarmoqlarini qurishlari mumkin. • CAN tarmog‘ining hajmi MAN va WAN tarmog‘iga qaraganda kichik bo‘lib, tugunlarni o‘zaro ulash uchun optik kabellardan foydalanadilar. Kampus tarmog‘i (Campus Area Network, CAN) • GAN tarmog‘i cheklanmagan geografik hudud bo‘ylab turli o‘zaro bog‘langan tarmoqlardan iborat. • GAN tarqog‘i to‘g‘ridan-to‘g‘ri bog‘lanmagan tomonlar orasida ham ma’lumotlar almashinish imkoniyatini beradi. Bunda yuboruvchi markaziy serverga ulanadi yoki ma’lumot qabul qiluvchiga etguncha nuqtadan-nuqtaga uzatish asosida etkaziladi. Global tarmoq (Global Area Network, GAN) Kiberxavfsizlik asoslari (CSF1316) Lokal tarmoqlar, LAN LAN tarmog‘ining afzalliklari: • uydagi yoki ofisdagi foydalanuvchilar orasida printerlarni birgalikdagi foydalanish imkoniyatini beradi; • LAN tarmog‘i foydalanuvchiga o‘zidagi ixtiyoriy tarmoqda ishlash uchun imkoniyatni taqdim etadi; • barcha ma’lumotlarni tarmoqdagi yagona katalogda saqlash va undan foydalanuvchilar tomonidan birgalikda foydalanish imkonini yaratish. LAN tarmog‘ining kamchiliklari: • fayllarni taqsimlangan holda foydalanish imkoniyatini taqdim etgani bois, u foydalanishni nazoratlash uchun alohida xavfsizlik choralarini ko‘rishni talab etadi; • fayl serverdagi kichik nosozlik, server mashinasiga ulangan barcha foydalanuvchilar ishiga salbiy ta’sir qiladi. Kiberxavfsizlik asoslari (CSF1316) Mintaqaviy tarmoq, WAN WAN tarmog‘i quyidagi afzalliklarga ega: • WAN tarmog‘i bir – biridan geografik tomondan alohida bo‘lgan tomonlarni kam xarajat va osonlik bilan ulash imkoniyatini beradi. WAN tarmog‘ining kamchiliklari: • tuzilish jaxatidan juda ham murakkab; • past o‘tkazish qobilyatiga ega va ulanishni uzilish xavfi yuqori. Kiberxavfsizlik asoslari (CSF1316) SHahar tarmog‘i, MAN MAN tarmog‘i quyidagi afzalliklarga ega: • MAN tarmog‘ida kompyuterlarni bog‘lash kanallari yuqori o‘tkazuvchanlik qobilyatiga egaligi sababli, ma’lumotlarni oson taqsimlash imkoniyatini beradi. • Ko‘plab foydalanuvchilar uchun ma’lumotlarni taqsimlashda teng tezkorlik taqdim etadi. MAN tarmog‘i quyidagi kamchiliklarga ega: • Birinchi marta foydalanishdan oldin ma’lumot o‘rnatilish va sozlanishlarni talab etadi. • LAN tarmog‘iga qaraganda yuqori narxga ega. Kiberxavfsizlik asoslari (CSF1316) SHaxsiy tarmoq, PAN Kiberxavfsizlik asoslari (CSF1316) Mazkur tarmoq o‘rnatilgan ulanish orqali qurilmalar orasida ma’lumot va fayllarni taqsimlash imkoniyatini beradi. Kampus tarmog‘i, CAN CAN tarmog‘i quyidagi xususiyatlarga ega: • narx nuqtai nazaridan samarali; • kampusdagi turli bo‘limlar o‘rtasida o‘zaro aloqa o‘rnatish imkoniyatini beradi; • ma’lumotlarni taqsimlashda bir xil tezlikni taqdim etadi; • buzilishga chidamli; • CAN tarmog‘i keyinchalik o‘zgartirish va rivojlantirishga qulay; • tarmoqdan foydalanishda foydalanuvchilarni autentifikatsiyadan o‘tkazgani bois CAN tarmog‘i yuqori xavfsizlikni ta’minlaydi. Kiberxavfsizlik asoslari (CSF1316) Tarmoq topologiyalari • Topologiya tarmoqning tuzilishini aniqlab, tarmoqning mantiqiy va fizik joylashuvini hisoblaydi. • Fizik topologiya kompyuter tizimlari komponentlarining tuzilishini aniqlasa, mantiqiy topologiya kompyuterlar orasidagi tarmoqda ma’lumotlarni uzatish usullarini aniqlaydi. Kiberxavfsizlik asoslari (CSF1316) YUlduz •tarmoqdagi kompterla rga kabel orqali ulangan markaziy xabdan (tugun) iborat •Tarmoqda har bir kompyuter yoki tugun markaziy tugunga individual bog‘langan bo‘ladi SHina
•tarmoqda yagona kabel barcha kompyuter larni o‘zida birlashtir adi •SHina topologiyad a ixtiyoriy tugun tomonidan tarmoq “salomi” (network broadcast) signali uzatiladi Halqa
•Xalqa topologiya tarmoqdagi barcha tugunlarni o‘zaro bog‘laydi •YUboriluvch i va qabul qilinuvchi ma’lumot TOKEN yordamida manziliga etkaziladi. Mesh
•Tarmoqdagi barcha kompyuter va tugunlar bir-biri bilan o‘zaro bog‘langan bo‘ladi •Ushbu topologiya biror kompyuter buzilgan taqdirda ham ma’lumotla r almashinuv ini ta’minlash ni maqsad qiladi Daraxt
•Topologiya shina va yulduz topologiyal arning kombinatsi yasidan tashkil topgan •Daraxt topologiya yulduz topologiyal arni asosiy kabelga ulash orqali hosil qilinadi Gibrid
•Gibrid topologiya o‘zida ikkita turli topologiyan i mujassaml ashtirgan bo‘ladi •Tashkilot o‘z talablarid an kelib chiqqan holda gibrid topologiya asosida tarmog‘ini quradi YUlduz topologiyasi Ushbu topologiya quyidagi afzalliklarga ega: • markaziy xab yoki tugun orqali tarmoqni markazlashgan holda boshqarish; • topologiyaga osonlik bilan yangi tugunni kiritish yoki olib tashlash imkoniyati; • bir kompyuter tugunining buzilishi qolganlarining ishiga ta’sir qilmaydi; • tarmoqdagi bo‘lgan uzilishni osonlik bilan aniqlash mumkin va muammoni osonlik bilan bartaraf etish imkonini beradi. YUlduz topologiya quyidagi kamchiliklarga ega: • markaziy nuqtadagi bo‘lgan uzilish butun topologiyaga ta’sir ko‘rsatadi; • markaziy nuqta sifatida router yoki kommutatordan foydalanish tarmoqni amalga oshirish narxini oshiradi; • yangi tugunni tarmoqqa qo‘shish markaziy tugunni imkoniyatiga bog‘liq bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) SHina topologiya SHina topologiya quyidagi afzalliklarga ega:
Kiberxavfsizlik asoslari (CSF1316) CHiziqli shina topologiya Taqsimlangan shina topologiya Xalqa topologiya Xalqa topologiyasining afzalliklari: • bir tomonga yo‘naltirilgan trafik oqimi; • har bir tugun faqat bo‘sh bo‘lgan vaqtdagina ma’lumotni uzata oladi; • markazlashgan biror tarmoq serveri talab etilmaydi; • shina topologiyana qaraganda amalga oshirish qulayligi (trafik hajmi oshmasligi sababli); • barcha tugunlarni ma’lumotdan foydalanishda bir xil imkoniyatga ega; • tarmoqda yangi tugunni qo‘shilishi tarmoqning butun o‘zgarishiga ta’sir qilmaydi. Halqa topologiyasining kamchiliklari: • tarmoqda har bir tugundan signalning o‘tishi sekin jarayon; • ixtiyoriy tugundagi buzilish butun tarmoqning buzilishiga olib keladi; • tugunlarni ulash uchun ko‘p kabel talab etiladi va bu ortiqcha xarajatni talab etadi; • trafik barcha tugunlar uchun taqsimlanadi. Kiberxavfsizlik asoslari (CSF1316) Mesh topologiya Mesh topologiyasi quyidagi afzalliklarga
Kiberxavfsizlik asoslari (CSF1316) Daraxt topologiya Ushbu topologiya quyidagi afzalliklarga ega:
Kiberxavfsizlik asoslari (CSF1316) Gibrid topologiya Gibrid topologiya quyidagi afzalliklarga ega: • tarmoqning boshqa sektori ishiga ta’sir qilmasdan xatoliklarni aniqlash va tuzatish imkoniyatini ta’minlaydi; • qo‘shimcha tugunllarni osonlik bilan qo‘shish imkoniyati; • tashkilotlarga o‘z talabidan kelib chiqib tarmoqni loyihalashtirish imkonini beradi; • ko‘plab topologiyalarni o‘zida mujassamlashtirish imkoniyatini beradi. Gibrid topologiya quyidagi kamchiliklarga ega: • o‘zida ko‘plab topologiyalarni mujassamlashtirgani bois, arxitekturani juda ham aniqlik bilan loyihalash talab etiladi; • gibrid topologiyada ko‘p sonli tarmoq kabellaridan foydalanilgani bois yuqori narxga ega. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Tarmoq kartasi • Hisoblash qurilmasining ajralmas qismi bo‘lib, qurilmani tarmoqqa ulash imkoniyatini taqdim etadi. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Repetir Tarmoq repetiri odatda signalni tiklash yoki qaytarish uchun foydalaniladi. Repetirlarning quyidagi turlari mavjud: • telefon repetirlari; • optik aloqa repetirlari; • radio repetirlar. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Xab • Xab tarmoq qurilmasi bo‘lib, ko‘plab tarmoqlarni ulash uchun yoki LAN segmentlarini bog‘lash uchun xizmat qiladi. • Xabga bir portdan qabul qilingan ma’lumotlar nuxsalangan holda chiqishdagi bir qancha portlar orqali uzatiladi. • Xablarga turli sondagi chiqish portlari bo‘lishi mumkin (masalan, 12, 14, 24). • Xablarning bir qancha turlari mavjud bo‘lib, ularga passiv xablarni, aktiv xablarni, intelektual xablarni, ulovchi xablarni, repetir xablarni misol keltirish mumkin. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Svitch • Simli va simsiz LANlar uchun tarmoq svitchlari asos qurilma hisoblanadi. • Har ikkala holda ham qabul qilgan signalni LAN orqali kompyuterlarga uzatadi. • Svitchlar xablardan farqli qabul qilingan signalni barcha chiquvchi portlarga emas balki paketda manzili keltirilgan portga uzatadi. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Routerlar • Routerlar yuqorida keltirilgan tarmoq qurilmalariga qaraganda murakkab tuzilishga ega qurilma bo‘lib, OSI sathining tarmoq sathida ishlaydi. • Router qabul qilingan ma’lumotlarni tarmoq sathiga tegishli manzillarga ko‘ra (IP manzil) uzatadi. • Bundan tashqari routerlar qabul qilingan paketlarni uzatishda ko‘plab protokollar ishlashini madadlaydi va paketlarni filterlash amallarini bajaradi. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: Ko‘priklar • Ko‘priklar tarmoq chegarasida trafikni filterlashni amalga oshiradi. • Ko‘prik har bir ma’lumotlar paketidagi MAS manzillarni o‘qib oladi va ularni masofadagi qurilmaga yuboradi. • Ko‘priklar OSI modelini kanal sathida ishlaydi. • Ko‘priklarda MAS manzillar saqlanuvchi jadvallar bo‘lib, u asosida qabul qilingan paketlarni yuborishni amalga oshiradi. Kiberxavfsizlik asoslari (CSF1316) Tarmoqning apparat tashkil etuvchilari: SHlyuzlar • SHlyuzlar ichki tarmoqqa ulanishga harakat qiluvchi boshqa tarmoq uchun kiruvchi nuqta vazifasini o‘taydi. • O‘z navbatida tashqi tarmoqqa ulanishga harakat qiluvchi ichki tarmoq uchun chiqish nuqtasi vazifasini o‘taydi. • SHlyuz vazifasini ishchi stansiyalar yoki serverlar bajarishi mumkin. • Ichki tarmoqdagi qurilmalar tashqi tarmoqqa ulanishi uchun shlyuzning manzilini o‘zining sozlanishiga kiritishi talab qilinadi. Kiberxavfsizlik asoslari (CSF1316) DNS: Domain name system • DNS tizimlari host nomlari va internet nomlarini IP manzillarga o‘zgartirish yoki teskarisini amalga oshiradi. • DNS o‘z ilovalarini TCP/IP tarmog‘idan qidiradi. DNS xizmati foydalanuvchi tomonidan kiritilgan DNS nomini mos IP manzilga o‘zgartirib beradi. • Masalan, DNS xizmati www.example.com domen nomini 192.105.232.4 IP manziliga o‘zgartirib beradi. • DNS xizmatlari mijoz-server modelida ishlaydi. Mijoz DNS serverdan javobni qabul qiladi. Bu o‘rinda ikki turdagi so‘rovlar bo‘lishi mumkin: – Oldinga qaratilgan DNS so‘rovi: nomdan iborat bo‘lgan so‘rovlar beriladi va natija IP manzil bo‘ladi. – Teskari DNS so‘rovi: IP manzildan iborat bo‘lgan so‘rovlar beriladi va natija nom bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) TCP protokoli: Transmission Control Protocol • TCP protokoli ulanishga asoslangan protokol bo‘lib, internet orqali ma’lumotlarni almashinuvchi turli ilovalar uchun tarmoq ulanishlarini sozlashga yordam beradi. • TCP mavjud kompyuter bir tarmoqda turgan yoki boshqa tarmoqdagi foydanuvchi kompyuteriga ma’lumotni yuborish imkoniyatiga ega bo‘ladi. • TCP protokoli qabul qiluvchi tomonida manbadan uzatilgan barcha xabarlarni qabul qilinganini kafolatlaydi. • TCP protokoli xabarni barchaga uzatmaydi (broadcasting imkoniyati mavjud emas). YA’ni, paket aynan faqat masofadagi foydalanuvchiga etkaziladi. www, e-mail, masafadan turib boshqarish yoki fayl transferini amalga oshiruvchi ilovalar ishi TCP protokollari asosida amalga oshiriladi. Kiberxavfsizlik asoslari (CSF1316) TCP protokoli: Transmission Control Protocol • TCP protokoli ma’lumotlarni raqamlangan bir nechta sondagi paketlarga bo‘ladi. • SHundan so‘ng ularni uzatish uchun IP sathiga uzatadi. • Paketlar ko‘plab marshrutizatorlar orqali o‘tib masofadagi IP manziliga etkaziladi. • Qabul qiluvchi kompyuterida barcha paketlar tartib raqamiga ko‘ra qabul qilinadi. Kiberxavfsizlik asoslari (CSF1316) TCP sarlavha va uning tanasi Kiberxavfsizlik asoslari (CSF1316)
UDP protokoli: User Datagram Protocol • UDP ulanmaslikka asoslangan protokol bo‘lib, Internetda ilovalar orasida kam kechikishli va past chidamlilik darajasidagi aloqani ta’minlaydi. • TCP protokoliga o‘xshamagan holda, UDP protokoli ma’lumotlarni to‘liq etib kelishiga kafolat bermaydi. • UDP protokoli ma’lumotni raqamlangan paketrlar shaklida emas, balki tarmoq bo‘ylab datagramma shaklida uzatadi. • UDP protokolidan odatda o‘yin va video ilovalar tomonidan keng foydalaniladi. Kiberxavfsizlik asoslari (CSF1316) IP protokol: Internet Protocol • IP protokoli TCP/IP aloqa protokollari to‘plamida taqdim etilgan tarmoq sathida ishlovchi protokol. • Ma’lumotni yuborishdan oldin aloqa o‘rnatish uchun zarur bo‘lgan manzil ma’lumotlari bilan ta’minlaydi. • IP protokolining ikki versiyasi mavjud: Internet protocol version 4 (IPv4) va Internet protocol version 6 (IPv6). • IPv4 protokoli amalda keng qo‘llaniluvchisi bo‘lib, 32- bitli manzillashdan foydalanadi. • IPv6 da esa manzilni ifodalash uchun 128 bit xotira ajratiladi. • IP sarlavha IP paketga IP versiyasi, manba qurilmasi IP si, masofadagi qurilma IP, TTL va hak. ma’lumotlarni qo‘shadi. Kiberxavfsizlik asoslari (CSF1316) IP sarlavha va uning tanasi Kiberxavfsizlik asoslari (CSF1316)
Tarmoq sathlarida mos protokollar Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN RAXMAT!!! 12 - Ma’ruza: Tarmoq xavfsizligiga tahdidlar va zaifliklar. Asosiy atamalar Tahdid • Tahdid bu – natijasi tashkilotning amallariga va funksional harakatlariga zarar keltiruvchi va ularni uzib qo‘yuvchi oshkor bo‘lmagan hodisalarning potensial paydo bo‘lishidir. • Tahdidlarning paydo bo‘lishi tasodifiy, qasddan yoki boshqa harakatning ta’sirida bo‘lishi mumkin. Zaiflik
“portlaganida” tizim xavfsizligini buzuvchi kutilmagan va oshkor bo‘lmagan hodisalarga olib keluvchi kamchilik, loyihalashdagi yoki amalga oshirishdagi xatolik. • Zaiflik xavfsizlik bo‘shlig‘i bo‘lib, turli foydalanuvchilarni autentifikatsiyalash usullarini aylanib o‘tib hujumchiga tizimga kirish imkoniyatini taqdim etadi. Hujum
orqali AT tizimi xavfsizligini buzish tomon amalga oshirilgan harakat. • Bunda shuningdek zararli dasturlarni va buyruqlarni yuborish orqali qonuniy dasturiy va apparat vositadan foydalanish imkoniyatini qo‘lga kiritishga harakat qilinadi. Kiberxavfsizlik asoslari (CSF1316) Tarmoq xavfsizligi muammolari Doimiy hujumlar butun hisoblash qurilmalari dunyosi uchun asosiy muammodir. Tarmoq xavfsizligi muammolari tashkilotdagi mavjud axborotning foydalanuvchanligi, konfidensialligi va butunligini ta’sir qiladi. Hujumchilar texnologiyaga tegishli xavfsizlikda mavjud bo‘shliqlarni aniqlashga harakat qilishmoqda. Tarmoqni qurish oson vazifa hisoblanib, uning xavfsizligini ta’minlash murakkab vazifa hisoblanadi. Tashkilot tarmog‘i ichkaridan amalga oshiriluvchi turli hujumlarga ham uchrashi mumkin. Tashkilotda kunlik tarmoqdagi hujumlarni monitoring qilib borishi va aniqlab borishi
Kiberxavfsizlik asoslari (CSF1316) Nima uchun tarmoq xavfsizligi muammolari ortib bormoqda Qurilma yoki dasturiy vositani noto‘g‘ri sozlanishi • Noto‘g‘ri sozlangan dasturiy vosita esa ilova yoki dasturiy ta’mindan ruxsatsiz foydaldanish imkonini berishi mumkin. Tarmoqni xavfsiz bo‘lmagan tarzda va zaif loyihalash • Agar tarmoqlararo ekran, IDS va virtual shaxsiy tarmoq (VPN) texnologiyalari xavfsiz tarzda amalga oshirilmagan bo‘lsa, ular tarmoqni turli tahdidlar uchun zaif qilib qo‘yishi mumkin. Tug‘ma texnologiya zaifligi • Agar tizimlarda eski veb brauzer foydalanilsa, ushbu tizimlar taqsimlangan hujumlarga ko‘proq bardoshsiz bo‘ladi. Foydalanuvchilarning e’tiborsizligi • Inson harakatlari natijasida ma’lumotni yo‘qolishi, chiqib ketishi kabi jiddiy xavfsizlik muammolari bo‘lishi mumkin. Foydalanuvchilarni qasddan qilgan harakatlari • Ishdan bo‘shab ketgan xodim taqsimlangan diskdan haligacha foydalanish imkoniyatiga ega bo‘lishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Tarmoq xavfsizligiga tahdidlarning turlari Tarmoqqa qaratilgan tahdidlar odatda ikki turga ajratiladi: • ichki tahdidlar; • tashqi tahdidlar. Tashqi tahdidlar odatda ikki turga ajratiladi: tizimlashgan va tizimlashmagan tashqi tahdidlar. Kiberxavfsizlik asoslari (CSF1316) Tarmoq xavfsizligini buzulishi biznes faoliyatga ta’siri Biznes faoliyatning buzilishi • Biznesda ixtiyoriy hujum biznes jarayonlarni to‘xtab qolishiga olib keladi. Ishlab chiqarishning yo‘qolishi • Hujum natijasida ishlab chiqarishi yo‘qolgan hollarda uni qayta tiklash ko‘p vaqt talab qiladi va bu vaqtda ishlab chiqarish to‘xtab qoladi. Maxfiylikni yo‘qolishi • Konfidensial axborotni chiqib ketishi natijasida, tashkilot shaxsiy ma’lumotlarini yo‘qolishi mumkin. Axborotni o‘g‘irlanishi • Tashkilot xodimlarining shaxsiy va ishga oid ma’ulmotlarini kutilmaganda oshkor bo‘lishi ushbu xodimlarga bevosita ta’sir qiladi. Huquqiy javobgarlik • Hujumchiga nisbatan ish qo‘zg‘atilishi mumkin va tashkilotga nisbatan ham qo‘llanilishi mumkin. Obro‘ga putur etishi va istemolchilar ishonchini yo‘qolishi Kiberxavfsizlik asoslari (CSF1316) Tarmoq xavfsizligi zaifliklarining turlari Texnologik zaifliklar • masalan, SMTP, FTP va ICMP, bo‘shliqlarni aniqlashlari mumkin; • tarmoq qurilmalari, svitch yoki routerlardagi autentifikatsiya usullarining etarlicha bardoshli bo‘lmasligi Sozlanishdagi zaifliklar • tarmoq yoki hisoblash qurilmalarini noto‘g‘ri sozlanishi; • tizim xizmatlarini xavfsiz bo‘lmagan tarzda sozlanishi, joriy sozlanish holatida qoldirish, parollarni noto‘g‘ri boshqarilishi; Xavfsizlik siyosatidagi zaiflik • Xavfsizlik siyosatidagi zaiflikni yuzaga kelishiga tashkilotning xavfsizlik siyosatida qoidalar va qarshi choralarni noto‘g‘ri ishlab chiqilgani sabab bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Tarmoq xavfsizligiga qaratilgan hujumlar Razvedka hujumlari • asosiy hujumlarni oson amalga oshirish uchun tashkilot va tarmoq haqidagi axborotni to‘plashni maqsad qiladi; • tarmoq haqida axborotni to‘plash hujumchilarga mavjud bo‘lgan potensial zaiflikni aniqlash imkonini beradi. Kirish hujumlari • hujumchi turli
Xizmatdan voz kechishga undash (Denial of service, DOS) hujumlari • hujumchi mijozlarga, foydalanuvchilarga va tashkilotlarda mavjud bo‘lgan biror xizmatni cheklashga urinadi; • DOS hujumlari biror axborotni o‘g‘irlanishiga yoki yo‘qolishiga olib kelmasada, biroq tashkilot funksiyasini bajarilmasligiga olib keladi Zararli hujumlar • zararli hujumlar
Kiberxavfsizlik asoslari (CSF1316) Razvedka hujumlari • Razvedka hujumining asosiy maqsadi quyidagi ma’lumotlarga ega bo‘ligsh: – tarmoq haqidagi axborot; – tizim haqidagi axborot; – tashkilot haqidagi axborot. • Razvedka hujumlarining quyidagi turlari mavjud: – Aktiv razvedka hujumlari • asosan portlarni va operatsion tizimni skanerlashni o‘z ichiga oladi. – Passiv razvedka hujumlari • trafik orqali axborotni to‘plashga harakat qiladi. • Razvedka hujumlariga quyidagilarni misol keltirish mumkin: – Paketlarni snifferlash – Portlarni skanerlash – Ping buyrug‘ini yuborish – DNS izi Kiberxavfsizlik asoslari (CSF1316) Razvedka hujumlari: ICMP skanerlash • Ma’lum dasturiy vositalar yordamidi ICMP ECHO so‘rovini yuboradi. • Agar host mavjud bo‘lsa, ICMP ECHO javobini yuboradi. Kiberxavfsizlik asoslari (CSF1316) Razvedka hujumlari: DNS izi • DNS izi DNS zonalari haqida axborotni taqdim etadi. • DNS zona ma’lumotlari o‘zida DNS domen nomlari, kompyuter ismlari, IP manzillar va tarmoq haqidagi ko‘plab xususiy ma’lumotlarni mujassamlashtirg an. Kiberxavfsizlik asoslari (CSF1316) Razvedka hujumlari: Nmap Scan yordamida tarmoq axborotini ajratish Kiberxavfsizlik asoslari (CSF1316) Razvedka hujumlari: Nmap Scan yordamida tarmoq axborotini ajratish Kiberxavfsizlik asoslari (CSF1316) Kirish hujumlari: Parolga qaratilgan hujumlar • Parolga qaratilgan hujumlar nishondagi kompyuter tizimi uchun nazoratni qo‘lga kiritish yoki ruxsatsiz foydalanish uchun amalga oshiriladi. Keng tarqalgan usulga quyidagilarni keltirish mumkin: – lug‘atga asoslangan hujum; – qo‘pol kuch hujumi yoki barcha variantlarni to‘liq tanlash hujumi; – gibrid hujum (lug‘atga asoslangan va qo‘pol kuch hujumlariga asoslangan); – Rainbow jadvali hujumlari (oldindan hisoblangan keng tarqalgan parollarning xesh qiymatlari saqlanuvchi jadvallar). Kiberxavfsizlik asoslari (CSF1316) Kirish hujumlari: tarmoqni snifferlash • Snifferlash jarayoni TCP/IP tarmog‘ida paketlarni tutib olish, dekodlash, tekshirish va tarjima qilishni o‘z ichiga oladi. • Ushbu jarayonning asosiy maqsadi esa axborotni, foydalanuvchi Idsini, parolini, tarmoq ma’lumotlarini, kredit karta raqamlarini va hak. o‘g‘irlashdan iborat. • Tarmoqni snifferlashni uchta asosiy yo‘li mavjud: – Ichki snifferlash. Tashkilotdagi xodim tashkilot ichidan turib tarmoqni bevosita tutib olishi mumkin. – Tashqi snifferlash. Haker tarmoqni tashqarisidan turib tarmoqlararo ekran darajasida paketlarni tutib olishi va o‘g‘irlashi mumkin. – Simsiz snifferlash. Hujumchi snifferlanuvchi tarmoqning qayerida joylashuvidan qatiy nazar, simsiz tarmoqlarni keng foydalanilishi natijasida ma’lumotni qo‘lga kiritish imkoniyati mavjud. Kiberxavfsizlik asoslari (CSF1316) Kirish hujumlari: tarmoqni snifferlash Wireshark vositasi yordamida Telnet protokoli ma’lumotlarini
Kirish hujumlari: O‘rtaga turgan odam hujumi • O‘rtaga turgan odam (man in the middle attack, MITM) hujumida hujumchi o‘rnatilgan aloqaga suqilib kiradi va aloqani bo‘ladi. • MITM hujumi yordamida hujumchi real vaqt rejimidagi aloqani, so‘zlashuvlarni yoki ma’lumotlar almashinuv jarayonini boshqarishi mumkin. • Quyidagi hollarda MITM hujumiga moyillik paydo bo‘ladi: – login vazifasi mavjud shartlarda; – shifrlanmagan holatlarda; – moliyaviy saytlarda. Kiberxavfsizlik asoslari (CSF1316) Xizmatdan vos kechishga undan hujumi: DOS hujumi • DOS qonuniy foydalanuvchini tizim yoki tarmoqdan foydalanishini cheklash hujumi. • Tarmoqni yuklanishiga qaratilgan hujumda mavjud tarmoq resurslaridan foydalangan holatda tarmoq yuklanishini ko‘paytirishga va qonuniy foydalanuvchini ushbu resurslardan foydalanishi cheklanadi. Kiberxavfsizlik asoslari (CSF1316) Misol: tashkilot telefon orqali qabul qilingan
Taqsimlangan DOS hujumlar: (Distributed DOS, DDOS) • DDOS hujumi Internetdagi ko‘plab zombi kompyuterlar orqali bilvosita amalga oshiriladi. • WWW Security FAQ da: “DDOS hujumi bir yoki ko‘plab nishonlar uchun kelishilgan DOS hujumni ko‘plab kompyuterlar orqali amalga oshiradi. Mijoz- server texnologiyasidan foydalangan holda, jinoyatchi hujum platformasi sifatida xizmat qiluvchi ko‘plab kompyuterlar orqali DOS hujumini samaradorligini oshiradi” kabi aniqlik kiritilgan. Kiberxavfsizlik asoslari (CSF1316) Zararli hujumlar • Zararli dasturiy vositalar foydalanuvchini ruxsatisiz hujumchi kabi g‘arazli amallarni bajarishni maqsad qilgan vosita hisoblanib, ular yuklanuvchi kod (.exe), aktiv kontent, skript yoki boshqa ko‘rinishda bo‘lishi mumkin. Kiberxavfsizlik asoslari (CSF1316) viruslar
Zararli hujumlar Kiberxavfsizlik asoslari (CSF1316) Spyware
Rootkits • ushbu zararli dasturiy vosita operatsion tizim tomonidan aniqlanmasligi uchun ma’lum harakatlarini yashiradi Backdoors • zararli dasturiy kodlar bo‘lib, hujumchiga autentifikatsiyani amalga oshirmasdan aylanib o‘tib tizimga kirish imkonini beradi, maslan, administrator parolisiz imtiyozga ega bo‘lish mantiqiy bombalar • zararli dasturiy vosita bo‘lib, biror mantiqiy shart qanoatlantirilgan vaqtda o‘z harakatini amalga oshiradi. Botnet • Internet tarmog‘idagi obro‘sizlantirilgan kompyuterlar bo‘lib, taqsimlangan hujumlarni amalga oshirish uchun hujumchi tomonidan foydalaniladi Ransomware • mazkur zararli dasturiy ta’minot qurbon kompyuterida mavjud qimmatli fayllarni shifrlaydi yoki qulflab qo‘yib, to‘lov amalga oshirilishini talab qiladi E’TIBORINGIZ UCHUN RAXMAT!!! 13 - Ma’ruza: Tarmoqlararo ekran va virtual himoyalangan tarmoq Tapmoklapapo ekpan • Tapmoklapapo ekpan (TE) - maxsus kompleks tapmoqlapapo himoya bo‘lib, bpaundmauep yoki firewall deb ham yupitiladi. • TE umumiy tapmokni ikki qismga: ichki va tashqi tapmokga ajapatadi. • Ichki tapmoq tashkilotning ichki tapmog‘i - himoyalanuvchi tapmoq va tashqi tapmoq global tapmoq - Intepnet. Kiberxavfsizlik asoslari (CSF1316) Klientlar Serverlar TE Klientlar Serverlar Ochiq tashqi tarmoq Himoyalangan ichki tarmoq TE asosiy vazifasi Tashqi tapmoqdagi foydalanuvchilapdan
TEning klassifikatsiyasi OSI modelining
Foydalanilgan texnologiyasi bo‘yicha • ppatakol holatini nazopatlash; • vositachi moduli yordamida (ppoksi) Bajapilishiga ko‘pa • Appapat-dastupiy;
Ulanish sxemasiga ko‘pa • yagona tapmok himoyasi sxemasi; • himoyalangan yopiq va himoyalanmagan ochiq tapmoq segmentli sxema; • bo‘lingan himoyalangan yopiq va ochiq segmentli tapmoq hamda sxema Kiberxavfsizlik asoslari (CSF1316) Paket filtepi tupidagi TE • xabap paketlapining xizmat maydonlapi: tapmoq manzili, identifikatoplap, intepfeys manzili, popt nomepi va boshqa parametrlap; • bevosita xabap paketi kontentini tekshipish opqali, masalan, vipusga qapshi; • axbopot oqimining tashqi xapaktepistikasi bo‘yicha, masalan, vaqt va chastota xapaktepistikalapi, malumot hajmi va h. Kiberxavfsizlik asoslari (CSF1316) Vositachi moduliga asoslangan TE • uzatilayotgan axbopotni to‘g‘piligini tekshipish; • xabaplap oqimini filteplash va o‘zgaptipish, masalan, vipusga qapshi tekshipish; • ichki tapmoq pesupsidan foydalanishni cheklash; • tashqi tapmoq pesupsidan foydalanishni cheklash; • tashqi tapmokdan so‘palgan malumotlapni cheklash; • foydalanuvchini identifikatsiyalash va autentifikatsiyalash; • chiquvchi xabap paketlapi uchun ichki tapmoq manzilini o‘zgaptipish; • hodisalapni po‘yxatga olish, nazopatlash va analiz qilish. Kiberxavfsizlik asoslari (CSF1316) Papol yordamida foydalonuvchilapni autentifikatsiyalash Kiberxavfsizlik asoslari (CSF1316) www.yandex.ru Ishchi stansiya Ishchi stansiya Ishchi stansiya Ishchi
Internet Marshrutizator TE Kommutator TE kamchiliklari • O‘tkazish qobilyatini cheklashi mumkin. Bapcha xabaplap oqimi TEdan o‘tganligi sababli, tapmokning o‘tkazish qobiliyati kamayadi. • Vipuslapga qapshi ximoyani madadlamaydi. TE vositasi yuklanuvchi tupidagi vipuslapni himoyalay olmaydi. • Intepnetdagi zapapli kontentlapdan himoyalay olmaydi (masalan, Java appletlapi). • Foydalanuvchi yoki tizim ma’mupini xatosidan yoki bilimini etishmasligidan ximoyalay olmaydi. • TE faqat bo‘ladigan mavjud bo‘lgan xujumlapni bloklaydi. YAngi tupdagi xujumni qaytapa olmaydi. Kiberxavfsizlik asoslari (CSF1316) Paket filterlari • Tarmoq sathida paketlarni tahlillashga asoslan; • Kalit ma’lumotlar sifatida: manba IP manzili, masofadigi IP manzil, manba porti, masofadagi port, TCP bayroq bitlari (SYN, ACK, RST va hak.) parametrlar olinadi; • Faqat tarmoq sathida ishlaydi va sarlavha ma’lumotlarni tahlillashda katta tezlik beradi. Kiberxavfsizlik asoslari (CSF1316) Ilova sathi
Paket filterlari • Bu turdagi tarmoqlararo ekran “Ruxsatlarni nazoratlash ro‘yxati (ACL)” yordamida sozlanadi: Kiberxavfsizlik asoslari (CSF1316) Harakat Manba
Masofadigi IP Manba
Masofadagi
Protokol Bayroq Ruxsat Ichki Tashqi Ixtiyoriy 80 HTTP Ixtiyoriy
Paket filterlari - kamchiliklar Holatning turg‘unligi mavjud emas, ya’ni har bir paket turlicha ko‘rinishlarda bo‘lishi mukin. Bu turdagi tarmoqlararo ekran TCP aloqani tekshirmaydi. Ilova sathi ma’lumotlarni, zararli dasturlarni va hak. tekshirmaydi. Kiberxavfsizlik asoslari (CSF1316) Ekspert paketi filtrlari • Paketni filterlash vazifasini bajaruvchi tarmoqlararo ekranga mavjud kamchiliklarni bartaraf etadi. • Tekshiruv tarmoq va transport sathida amalga oshiriladi. • Tekshirish aloqa o‘rnatilganlik holatiga ko‘ra amalga oshiriladi. • Kamchiligi: tekshirish vaqtining ko‘pligi va ilova sathi ma’lumotlarini tekshirish imkoni yo‘qligidir. Kiberxavfsizlik asoslari (CSF1316) Ilova sathi
Ilova proksilari • Bu turdagi tarmoqlararo ekran oldingi ikki turga mavjud kamchiliklarni o‘zida bartaraf etadi va ilova sathida ishlaydi. • Bu toifadagi tarmoqlararo ekranda paketlar tarmoq, transport va ilova sathlarida tekshiriladi. • Ilova sathi uchun paket “buzulib” qaytadan “quriladi”. Kiberxavfsizlik asoslari (CSF1316) Ilova sathi
Himoyalangan vipual tapmoq (Virtual Private Network, VPN) • Geopgafik jihatdan bipi - bipidan uzoqda joylashgan tashkilot ofislapi opasida yagona koppopativ tapmoqni hosil qilish mupakkab vazifa. • Ochiq tapmoq opqali himoyalangan tapmoqni qupish konsepsiyasi himoyalangan viptual tapmoq - VPN (Virtual Private Network) deb atala boshlandi. • VPNni qupishdagi asosiy g‘oya: – Intepnet tapmog‘ida malumot almashinish uchun ikkita uzel mavjud bo‘lgan ekan, bu ikki uzel opasida axbopotni konfidensiyalligini va butunligini ta’minovchi viptual tapmoq qupish kepak. – Bu himoyalangan tapmoqdan ixtiyopiy passiv va aktiv hujum hamda malumotni olish imkoniyati bo‘lmasin. Kiberxavfsizlik asoslari (CSF1316) Viptual himoyalangan tapmoq • Bu qupilgan ximoyalangan kanalni tunel ham deb atash mumkin. • VPN tapmoq opqali bosh ofis va uning masofadagi filiallapi opasida ishonchli pavishda axbopotni uzatadi. Kiberxavfsizlik asoslari (CSF1316) Internet Bosh ofis Filial ofisi Biznes sherik Masofadagi foydalanuvchi Internet
VPNning asosiy vazifasi
VPNni qurish • Viptual tunelni yapatishda mavjud bo‘lgan paket shifplangan xolda yangi hosil qilingan mantiqiy paket ichiga kipitiladi. • Odatda mavjud bo‘lgan IP - paket to‘liq shifplanib, unga yangi IP saplavha bepiladi. Kiberxavfsizlik asoslari (CSF1316) YAngi IP -
AH -
ESP -
Kiruvchi IP - sarlavha Ma’lumot YAngi paket Kiruvchi paket
VPNni qurish • Viptual tunelni yapatishda mavjud bo‘lgan paket shifplangan xolda yangi hosil qilingan mantiqiy paket ichiga kipitiladi. • Odatda mavjud bo‘lgan IP - paket to‘liq shifplanib, unga yangi IP saplavha bepiladi. Kiberxavfsizlik asoslari (CSF1316) YAngi IP -
AH -
ESP -
Kiruvchi IP - sarlavha Ma’lumot YAngi paket Kiruvchi paket
VPNni qurish • VPN appapat-dastupiy qupilmasi VPN - mijoz, VPN - sepvep va VPN - shlyuz sifatida faoliyat yupitishi mumkin. • Bunda lokal tapmokdan chiquvchi paketga yangi saplavha bepiladi. • Eski saplavha esa shifplangan holda bo‘ladi. • Ochiq tapmoq opqali uzatilganda, qabul qiluvchi shlyuz qabul qilingan paketdan yangi saplavhani olib tashlaydi va lokal tapmok ichida eski saplavha hamda paketlapni uzatadi. Kiberxavfsizlik asoslari (CSF1316) B A
shlyuzi 1, SG1 Xavfsizlik shlyuzi 2, SG2 Internet
Ishchi stansiya S Server D C D Ma’lumot SG1 SG2 C D Ma’lumot C D Ma’lumot YUboruvchi SHifrlangan
VPNni qurish 1. Lokal tapmoqlap opasida qupilgan viptual lokal tapmoq. Kiberxavfsizlik asoslari (CSF1316) 2. Lokal tapmoq va
VPNning klassifikatsiyasi OSI modelining “ishchi sathlapi”ga ko‘pa • Kanal sathidagi VPN (L2F, L2TP va PPTP ppotakoli yordamida); • Tapmoq sathidagi VPN (IPSec ppotakoli); • Seans sathidagi VPN (TLS ppotakoli). VPNning texnik echim apxitektupasiga ko‘pa • Koppopativ tarmoq ichidagi VPN; • Masofadan foydalaniluvchi VPN; • Koppopativ tarmoqlapapo VPN. VPN ning texnik amalga oshipilishiga ko‘pa • Mapshputizatop ko‘pinishida; • Tapmoqlapapo ekpan ko‘pinishida; • Dastupiy ko‘pinishda; • Maxsus shifplash ppotsessopiga ega appapat vosita. Kiberxavfsizlik asoslari (CSF1316) VPN tarmoq afzalliklari • bapcha koppopativ tapmoqni himoyalash imkoniyati - yipik lokal tapmoq ofislapidan toptib alohida ishchi joylapigacha; • masshtablashgan himoya tizimi, ya’ni, alohida foydalanuvchi uchun dastupiy ko‘pinishda, lokal tapmoq uchun sepvep ko‘pinishda va koppopativ tapmoq uchun shlyuz ko‘pinishda amalga oshipish imkoniyati; • ochiq tapmoq yordamida himoyalangan tapmoqni qupish imkoniyati; • tapmoq ishini nazopat ostida olish va bapcha axbopot manbalapini identifikatsiyalash. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 14 - Ma’ruza: Simsiz tarmoqlarda xavfsizlik Simsiz tarmoqlar Kiberxavfsizlik asoslari (CSF1316) • Simsiz tarmoqlar odamlarga simli ulanishsiz o‘zaro bog‘lanishlariga imkon beradi. • Simsiz tarmoqlar erkin ko‘chish imkoniyatini taqdim etadi. • Tarmoqdan ortiqcha kabellarsiz foydalanish imkoniyati. • Hozirda barcha hisoblash vositalarida simsiz tarmoqqa ulanish imkoniyati mavjud. Simsiz tarmoq turlari Simsiz shaxsiy tarmoq (Wireless personal-area network, PAN) Simsiz lokal tarmoq (Wireless local-area network, LAN) Simsiz regional tarmoq (Wireless metropolitan-area network, MAN) Simsiz global tarmoq (Wireless Wide-area network, WAN) Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoq turlari Kiberxavfsizlik asoslari (CSF1316)
Bluetooth • 2.4 - 2.485 Ggs oraliqda ishlaydi. • 1994 yilda Ericsson kompaniyasi tomonidan yaratilgan. Kiberxavfsizlik asoslari (CSF1316) Simsiz lokal tarmoq – WI-FI Avlodi Standart Tezligi
Kiberxavfsizlik asoslari (CSF1316) • 2.4 va 5,0 GGs chastotalarda
Simsiz regional tarmoqlar – Wi-Max • WiMAX - Worldwide Interoperability for Microwave Access. • 1 Gbit/sek gacha tezlikni taqdim etadi. Kiberxavfsizlik asoslari (CSF1316) Versiya Standart Foydalani sh Tezligi Radiusi CHastotasi WiMax 802.16d WMAN 75 Mbit/s gacha 25-80 km 1,5—11 GGs WiMax 802.16e Mobile
40 Mbit/s gacha 1—5 km 2,3-13,6 GGs WiMax 2 802.16m WMAN,
1 Gbit/s (WMAN) gacha, 100 Mbit/s (Mobile WMAN) gacha 120—150
Simsiz regional tarmoqlar – Wi-Max Kiberxavfsizlik asoslari (CSF1316) O‘O‘zazka kt atramrmoqoq Istemolchi Stansiya
Stansiya Foydalanuvchi Ko‘p sonli
Istemolchi Istemolchi Kuchaytiruvchi Istemolchi Istemolchi
Simsiz global tarmoqlar - GSM • Ko‘pgina telekommunikatsiya kompaniyalarining birdamligi tufayli simsiz global tarmoqlarining ta’sir doirasi chegaralanmagan. • Telekommunikatsiya xizmatini ta’minlovchilarning biriga to‘lab, simsiz global tarmoq orqali dunyoning xar qanday nuqtasidan qator Internet xizmatidan foydalanish mumkin. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • Nazoratlanmaydigan xudud. – chetki nuqtalari orasidagi mutlaqo nazoratlanmaydigan zona mavjud. – simsiz muhit aslo nazoratlanmaydi. – simsiz tuzilmalarning yaqinidagi xujum qiluvchilarga simli dunyoda mumkin bo‘lmagan xujumlarni amalga oshirishga imkon beradi. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • YAshirincha eshitish. – Simsiz tarmoqlar kabi ochiq va boshqarilmaydigan muxitda eng tarqalgan muammo - anonim xujumlardir. – Radiosignallarni ushlab qolib, uzatiluvchi ma’lumotlarni deshifrlashi mumkin. – Lokal simsiz tarmoqda yashirincha faol eshitish odatda Adress Resolution Protocol (ARP) protokolidan noto‘gri foydalanishga asoslangan. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • Xizmat ko‘rsatishdan voz kechish. – bazaviy stansiyalarda va mi-joz terminallarida, shunday kuchli interferensiya paydo bo‘ladiki, stan-siyalar bir-birlari bilan bog‘lana olmaydilar. – Simsiz tarmoqqa bo‘ladigan DoS xujumni oldini olish yoki tuxtatish qiyin. – Simsiz routerlarning imkoniyati cheklangan. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • Bo‘gish – Tarmoqlarda bo‘g‘ish atayin yoki atayin bo‘lmagan interferensiyaning aloqa kanalidagi jo‘natuvchi va qabul qiluvchi imkoniyatidan oshganida sodir bo‘ladi. – Natijada bu kanal ishdan chiqariladi. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • MITM(man in the middle) xujumi – aloqa seansining konfidensialligini va yaxlitligini buzish uchun ishlatiladi. – Hujumni amalga oshirish uchun tarmoq xususida batafsil axborot talab etiladi. – Xujum qiluvchi axborotni jo‘natishi, jo‘natilganini o‘zgartirishi yoki barcha muzokaralarni yashirincha eshitishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • Tarmoqdan foydalanishning yolg‘on nuqtasi: – Tajribali xujum qiluvchi tarmoq resurslarini imitatsiya qilish bilan foydalanishning yolgon nuqtalarini tashkil etadi. – Abonentlar, xech shubhalanmasdan foydalanishning ushbu yolg‘on nuqtasiga murojaat etadilar va uni o‘zining muhim rekvizitlaridan, masalan, autentifikatsiya axborotidan xabardor qiladilar. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud zaifliklar • Rouming muammosi – foydalanuvchining tarmoq bilan aloqani uzmasdan joyini o‘zgartirish qobiliyatidir. – TCP/IPning ko‘pgina tarmoq ilovalari server va mijoz IP- adreslarining o‘zgarmasligini talab etadi. – Ammo tarmoqdagi rouming jarayonida abonent albatta uning bir joyini tark etib, boshqa joyiga qo‘shiladi. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud xavfsizlik protokollari – Bluetooth xavfsizligi Autentifikatsiyalash • Bluetooth qurilmalarining manzili orqali aloqa qurilmalarini tanib olish. Ushbu standartda haqiqiy foydalanuvchi autentifikatsiyasi amalga oshirilmaydi Konfidensiyallik • Ikki autentifikatsiyalangan tarmoqda ma’ulmotni almashinish jarayonida tinglashdan va uchunchi tomondan bo‘ladigan hujumlardan himoyalash uchun shifrlash amalga oshiriladi. Avtorizatsiyalash • Ruxsat berilgan amallar bo‘yicha foydalanishga imkoniyati. Kiberxavfsizlik asoslari (CSF1316) Simsiz tarmoqlarda mavjud xavfsizlik protokollari – Bluetooth ishlash rejimlari Birinchi rejimda ikki qurilma o‘zaro xavfsiz bo‘lmagan holda ulunadi. Aloqa ulanishda autentifikatsiyalash va shifrlash amallaridan foydalanilmaydi. Ikkinchi rejim kuchaytirilgan darajadagi xavfsizlik xizmatini ta’minlab, dastlab mantiqiy aloqa o‘rnatilib, shundan so‘ng kanal aloqasi o‘rnatiladi va xavfsizlik jarayonlari amalga oshiriladi. Ushbu rejimda autentifikatsiyalash, shifrlash va avtorizatsiyalash kabi xavfsizlik jarayonlari amalga oshiriladi. Uchinchi rejim kuchaytirilgan kanal aloqasida xavfsizlikni ta’minlab, kanal aloqasi o‘rnatilmasdan oldin xavfsizlik ta’minlanadi. Ushbu rejimda mandatlangan autentifikatsiya amalga oshiriladi va barcha ma’lumotlar shifrlangan holda yuboriladi. To‘rtinchi rejimi ham ikkinchi rejim kabi, dastlab fizik va mantiqiy bog‘linishni talab etib, shundan so‘ng xavfsizlik amaliyotlarini amalga oshiradi. Ushbu rejimda Secure Simple Pairing (SSP) dan foydalaniladi. Oldingi rejimlarda esa “kanal kaliti” asosida kalitlarni taqsimlash amalga oshiriladi. YA’ni, elliptik egri chiziqqa asoslangan Diffi-Xelman kalitlarni ochiq taqsimlash protokolidan foydalanadi. Kiberxavfsizlik asoslari (CSF1316) WI-FI texnologiyasida foydalanilgan kriptografik protokollar Wired Equivalent Privacy (WEP) • IEEE 802.11 standarti 1999 yil sentyabr oyida qabud qilingan bo‘lib, simsiz tarmoqlarda (wireless LAN) ma’lumotni butunligini, autentifikatsiya va to‘liqligini ta’minlashda foydalaniladi. • Ushbu protokolda 10 yoki 26 ta o‘n oltilik tizimdagi kalitdan foydalaniladi, va bu kalit dastlab routerni sozlashda foydalinilgan parol bilan bir xil bo‘ladi. WEP da autentifikatsiyalash • Open System authentication; • Shared Key authentication. Kiberxavfsizlik asoslari (CSF1316) WEP protokolida autentifikatsiyalash 1. Klient serverga (boshqaruv nuqtasiga) autentifikatsiyalash so‘rovini yuboradi. 2. Server foydalanuvchiga tasodifiy sonni yuboradi (r, 128 bitdan katta bo‘lgan). 3. Foydalanuvchi ushbu sonni umumiy kalit (boshqaruv nuqtasi paroli) bilan shifrlab yuboradi (eK(r)). 4. SHifrmatnni ochish natijasiga qarab, autentifikatsiyalashdan o‘tiladi yoki yo‘q. Kiberxavfsizlik asoslari (CSF1316) WI-MAX texnologiyasida foydalanilgan protokollar Wi-MAX tarmoq arxitekturasi quyidagi beshta tashkil etuvchidan iborat: • Base Station (BS). Asos stansiya deb nomlanib, ikkita istemolchini operatorga ulash uchun xizmat qiladi. • Subscriber Station (SS). Ushbu foydalanuvchi stansiyalari asosan ko‘chmas bo‘lgan qurilmalarni o‘z ichiga oladi. • Mobile Station (MS). Ushbu tashkil etuvchilar asosan harakatlanuvchi qurilmalarni o‘z ichiga oladi (mobil telefonlar, noutbuklar). • Relay Station (RS). Ushbu tashkil etuvchi bir nechta SS stansiyalarni o‘z ichiga oladi. • Operator Network. Butun tizimni birlashtirib turuvchi tarmoq. Quyidagi rasmda WI-MAX tizimining xavfsizlik arxitekturasi keltirilgan. Kiberxavfsizlik asoslari (CSF1316) WI-MAX xavfsizlik arxitekturasi Kiberxavfsizlik asoslari (CSF1316) 1. Autentifikatsiyalash 2. Kalitlarni almashinish 3. Ma’lumotni shifrlash IEEE 802.16-2004 SS
IEEE 802.16-2005& 2009 Ikki tomonlama autentifikatsiyalash BS SS GSM simsiz WAN tarmoq protokoli • GSM (Global System for Mobile Communications) standarti European Telecommunications Standards Institute (ETSI) tashkiloti tomonidan raqamli mobil telefonlarning ikkinchi avlodi (second-generation (2G)) uchun ishlab chiqilgan protokol. • 2014 yilga kelib ushbu standart, mobil aloqa uchun eng ko‘p foydalanilgan global standart sanalib, butun dunyo bozorida 90 % ulushni tashkil etib, 219 ta davlat bo‘ylab xizmat ko‘rsatmoqda. • 2G texnologiyasi 1G analog texnologiyaning o‘zgarishidan kelib chiqqan bo‘lib, hozirda uchunchi avlod (3G) UMTS standarti, to‘rtinchi avlod (4G) LTE Advanced standarti va beshinchi avlod (5G) New Radio ham amalda foydalanilmoqda. Kiberxavfsizlik asoslari (CSF1316) GSM arxitekturasi • SIM karta o‘zida IMSI (International Mobile Subscriber
GSM simsiz WAN tarmoq protokoli • GSM standartida quyidagi uchta xavfsizlik algoritmlari foydalanilgan: – A3 – autentifikatsiyalash algoritmi; – A8 – kalit generatori algoritmi; – A5/1 – ma’lumotni shifrlash algoritmi. • GSM standartida foydalanuvchi dastlab, identifikatsiyadan, autentifikatsiyadan o‘tkaziladi va so‘ngra unga xizmat ko‘rsatiladi. • Foydalanuvchi SIM kartaga ega bo‘lish jarayonida mobil tarmoq operatori (HLR) ham ushbu sim kartadagi ma’lumotlarni, Ki, IMSI raqami va h. larni o‘zida ko‘chirib oladi va o‘zida saqlaydi. • Ushbu parametrlar asosida autentifikatsiya va maxfiylik ta’minlanadi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 15 - Ma’ruza: Hodisalarni yozib borish Hodisalar nima? Avtorizatsiya jarayonida foydalanuvchi tizimda ma’lum amallarni bajaradi. Masalan, faylni o‘chirish. Bajarilgan amallar natijasida biror hodisa ro‘y beradi. Masalan, fayni o‘chirish natijasida ma’lumotni yo‘qolishi hodisasi yuzaga keldi. Hodisalar haqidagi ma’lumotlar tizimning hodisalar jurnaliga (log fayl deb ataladi) saqlanadi. Kiberxavfsizlik asoslari (CSF1316) Hodisalarni yozib borish nimaga kerak? Xato yuz berganda, tizim ma’muri yoki qo‘llab-quvvatlash vakili xatoning sababini aniqlashi
Kiberxavfsizlik asoslari (CSF1316) Hodisalarni qayd etish quyidagilarni o‘z ichiga olishi shart: Operatsion tizim (OT) hodisalari • tizimni ishga tushirish va o‘chirish; • xizmatni boshlash va tugatish; • tarmoq ulanishidagi o‘zgarishlar yoki muvaffaqiyasizliklar; • tizim xavfsizligini sozlash va boshqarish vositalarini o‘zgartirish yoki o‘zgartirishga urinishlar. OT audit yozuvlari • tizimga kirishdagi urinishlar (muvaffaqiyatli yoki muvaffaqiyatsiz); • tizimga kirgandan so‘ng bajariladigan funksiyalar (masalan, muhim faylni o‘qish yoki yangilash, dasturni o‘rnatish); • hisobni o‘zgartirish (masalan, hisobni yaratish va yo‘q qilish, hisob imtiyozlarini tayinlash); • imtiyozli hisoblardan muvaffaqiyatli / muvaffaqiyatsiz foydalanish. Kiberxavfsizlik asoslari (CSF1316) Hodisalarni qayd etish quyidagilarni o‘z ichiga olishi shart: Ilova qayd yozuvi to‘g‘risidagi ma’lumot • muvaffaqiyatli va muvaffaqiyatsiz dasturni autentifikatsiya qilishga urinishlar; • hisob qaydnomasidagi o‘zgartirishlar (masalan, qayd yozuvini yaratish va yo‘q qilish, hisob imtiyozlarini tayinlash); • dastur imtiyozlaridan foydalanish. Ilova operatsiyalari • dasturni ishga tushirish va o‘chirish; • dastur xatolari; • dastur konfiguratsiyasining asosiy o‘zgarishlari; • dastur operatsiyalari, masalan: • har bir elektron pochta uchun yuboruvchini, qabul qiluvchilarni, mavzular nomini va ilova nomlarini qayd etadigan elektron pochta serverlari; • talab qilingan har bir URL manzilini va server tomonidan berilgan javob turini yozadigan veb-serverlar; • har bir foydalanuvchi foydalanishi mumkin bo‘lgan moliyaviy yozuvlarni qayd qiluvchi biznes-ilovalar. Kiberxavfsizlik asoslari (CSF1316) Hodisalarni qaydlash Har bir voqea uchun qayd qilingan
Windows OTda hodisalar turlari Kiberxavfsizlik asoslari (CSF1316) Hodisa Tavsifi Xatolik Ma’lumotni yo‘qotish yoki funksionallikni yo‘qotish kabi muhim muammoni ko‘rsatadigan voqea. Masalan, agar xizmat ishga tushirish paytida yuklana olmasa, xatolik hodisasi qayd etiladi. Ogohlantirish Hodisa juda ahamiyatli emas, lekin kelajakda yuzaga kelishi mumkin bo‘lgan muammolarni ko‘rsatishi mumkin. Masalan, diskda bo‘sh joy kam bo‘lsa, ogohlantirish hodisasi qayd etiladi. Agar ilova biron bir hodisani funksional yoki ma’lumot yo‘qotmasdan tiklay olsa, u odatda voqeani ogohlantirish voqeasi deb tasniflashi mumkin. Axborot Ilova, drayver yoki xizmatning muvaffaqiyatli ishlashini tasvirlaydigan voqea. Masalan, tarmoq drayveri muvaffaqiyatli yuklanganda, axborot hodisalarini qayd etish o‘rinli bo‘lishi mumkin. Esda tutingki, desktop ilovalarda har safar boshlanganida biron-bir voqeani qayd etish noto‘g‘ri bo‘ladi. Muvaffaqiyatli audit Muvaffaqiyatli tekshirilgan xavfsizlikka kirish urinishlarini yozib oladigan hodisa. Masalan, foydalanuvchining tizimga muvaffaqiyatli urinishi muvaffaqiyatli audit hodisasi sifatida qayd etiladi. Muvaffaqiyatsiz audit Tekshirilgan xavfsizlikka kirish urinishining muvaffaqiyatsiz tugaganligini qayd etadigan hodisa. Masalan, agar foydalanuvchi tarmoq drayveriga kirishga harakat qilsa va muvaffaqiyatsiz bo‘lsa, urinish Muvaffaqiyatsiz audit hodisasi sifatida qayd etiladi. Hodisalarni qaydlashdagi eslatmalar Hodisalar jurnallari tizim nomidan muhim
Qayd etish uchun hodisalarni tanlash Resurs muammolari
Kiberxavfsizlik asoslari (CSF1316) Qayd etish uchun hodisalarni tanlash YOmon sektorlar • Agar disk drayveri yomon sektorga duch kelsa, operatsiyani qayta ko‘rib chiqqandan so‘ng, u sektordan o‘qishi yoki yozishi mumkin, ammo oxir-oqibat sektor yomonlashadi. Agar disk drayveri ishlashni davom ettirsa, u ogohlantirish hodisasini yozishi kerak; aks holda, xatolik hodisasini qayd qilishi kerak. Agar fayl tizimining drayveri juda ko‘p miqdordagi yomon sektorlarni topsa va ularni tuzatsa, jurnallarni ro‘yxatga olish ogohlantirish hodisalari ma’murga diskning ishdan chiqishini aniqlashga yordam beradi. Axborot hodisalari • Server dasturi (masalan, ma’lumotlar bazasi serveri), foydalanuvchini ro‘yxatdan o‘tkazadi, ma’lumotlar bazasini ochadi yoki fayl uzatishni boshlaydi. Server, shuningdek, xatolar (faylga kirish imkoni yo‘q, xost jarayoni o‘chirilgan va hokazo), ma’lumotlar bazasi buzilganligi yoki fayl uzatish muvaffaqiyatli amalga oshirilganligi kabi boshqa hodisalarni ham qayd qilishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Hodisalarni qaydlashdagi amallar Hodisalarni qaydlash jurnali ustida quyidagi amallar bajaralishi mumkin: • zaxira nusxalash (BackupEventLog funksiyasi yordamida); • tozalash (ClearEventLog funksiyasi yordamida); • monitoring qilish (NotifyChangeEventLog funksiyasi yordamida); • so‘rov yuborish (boshqa dasturlar tomonidan, GetOldestEventLogRecord, GetNumberOfEventLogRecords funksiyalari yordamida); • o‘qish (ReadEventLog funksiyasi yordamida); • yozish (ReportEvent funksiyasi yordamida). Kiberxavfsizlik asoslari (CSF1316) Log fayldan foydalanish imtiyozlari • Windows XP/2000 operatsion tizimlarida turli hodisalarni qaydlash jurnali uchun tarli akkauntlar uchun berilgan imtiyozlar quyidagi jadvalda keltirilgan. Kiberxavfsizlik asoslari (CSF1316) Log Akkaunt O‘qish YOzish Tozalash
Administratorlar (tizim) + + + Administratorlar (domen) + + + Lokal tizim + + + Interaktiv foydalanuvchi + + - Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316) Kompyuterdan Win+R tugmalari kombinatsiyasi bosiladi Hosil bo‘lgan oynadagi maydonda eventvwr kiritiladi va Enter tugmasi bosiladi Hosil bo‘lgan hodisalar ko‘rish oynasidan Windows Logs bandi tanlanadi Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
Windows OT log fayli Kiberxavfsizlik asoslari (CSF1316)
E’TIBORINGIZ UCHUN RAXMAT!!! 16 - Ma’ruza: Ma’lumotlar va axborotni tiklanishi va barqarorligi Zaxira nusxalash Hozirgi kunda ma’lumotlarni yo‘qolishi tashkilotlar uchun asosiy xavfsizlik muammolardan biridir. Ma’lumotni yo‘qolishi natijasida tashkilot katta zarar ko‘rishi mumkin. SHuning uchun tashkilotdan davomiy ravishda muhim bo‘lgan ma’lumotlar zaxira nusxalab borilishi shart. Ma’lumotlarni zaxira nusxalash bu – muhim bo‘lgan axborot nusxalash yoki saqlash jarayoni bo‘lib, bu ma’lumot yo‘qolgan vaqtda qayta tiklash imkoniyatini beradi. • Zarar etkazilgandan keyin tizimni normal ish holatiga qaytarish uchun. • Tizimda saqlanuvchi muhim ma’lumotni yo‘qolishidan so‘ng uni qayta tiklash uchun. Ma’lumotlarni zaxira nusxalash asosan quyidagi ikki maqsadda foydalaniladi: Kiberxavfsizlik asoslari (CSF1316) Ma’lumotlarni yo‘qolish sabablari Inson xatosi • qasddan yoki tasodifiy ma’lumotni o‘chirib yuborilishi, ma’lumotlarni saqlash vositasini to‘g‘ri joylashtirilmagani yoki ma’lumotlar bazasini xatolik bilan boshqarilganligi. G‘arazli hatti harakatlar • tashkilotdagi muhim ma’lumotlarni modifikatsiyalanishi yoki o‘g‘irlanishi Tabiy sabablar • quvvat o‘chishi, dasturiy ta’minot to‘satdan o‘zgarishi yoki qurilmani to‘satdan zararlanishi Tabiy ofatlar • zilzila, yong‘in va hak. Kiberxavfsizlik asoslari (CSF1316) Zaxira nusxalash imkoniyatlari Muhim bo‘lgan ma’lumotlardan yo‘qolgan va
Zaxira nusxalash tashkilotlarni o‘z vazifasini yo‘qotishidan himoyalaydi. Ma’lumotlarini ixtiyoriy vaqtda tiklash imkoniyatini beradi. Ma’lumotlarni tiklash tashkilotdagi yo‘qolgan ma’lumotlarni tiklash imkoniyatini beradi. Kiberxavfsizlik asoslari (CSF1316) Zaxira nusxalash strategiyasi/ rejasi • Ma’lumotlarni zaxira nusxalashning ideal strategiyasi to‘g‘ri ma’lumotni tanlashdan boshlab kafolatli ma’lumotni tiklash jarayonigacha bo‘lgan bosqichlarni o‘z ichiga oladi. Kiberxavfsizlik asoslari (CSF1316) Tashkilot missiyasi uchun zarur axborotni aniqlash. Zaxira nusxalash texnologiyasini tanlash. Mos zaxira nusxalash usulini tanlash. Zaxira nusxalash uchun xotira qurilmasini tanlash. Mos RAID sathini tanlash. Zarur axborotni aniqlash Tashkilotda muhim funksiya va ma’lumotlarni aniqlash uchun biznesga ta’sirini tahlil qilish zarur Hujjatlarni tekshirish va muhim biznes funksiyalarni tiklash maqsadida amalga oshirish Biznes faoliyatga ma’lumotlarni ta’sirin tahlil qiluvchi jamoani tashkil etish Qayta tiklash uchun zarur bo‘lgan strategiyani yoki planni amalga oshirish uchun etarli sondagi xodimlarni tayinlash Kiberxavfsizlik asoslari (CSF1316) Zaxira nusxalovchi vositalarini tanlash Narx
Zaxira nusxalovchi vositalarini tanlash Tezlik • Tashkilotlar zaxira nusxalash jarayonida inson aralashuvini imkoni boricha kam talab etadigan saqlash vositalarini tanlashi kerak. Foydalanuvchanlik • Tashkilotlar zaxira nusxalash vositalarini har doim foydalanishga yaroqli bo‘lishiga e’tibor qaratishi kerak. Qulaylik • Tashkilot foydalanish uchun oson bo‘lgan zaxira nusxalash vositasini tanlashi shart Kiberxavfsizlik asoslari (CSF1316) Zaxira nusxalarni saqlovchi vositalar Kiberxavfsizlik asoslari (CSF1316) Optik disklar (DVD, Blu-ray) • ~200 Gbaytgacha • Olib yurish va saqlash uchun oson • YOzish sekin, katta hajmdagi ma’lumotlarni saqlay olmaydi Ko‘chma qattiq disklar/ USB xotiralar • CHeklanmagan hajm • yuqori saqlash imkoniyati va yuqori tezlikka ega • narxi qimmat va katta zaxira ma’lumotlari uchun kam tavsiya etiladi Lentali disklar • CHeklanmagan hajm • Saqlash va olib yurish uchun qulay bo‘lib, foydalanuvchi ishtirokini talab etmaydi • Oddiy foydalanuvchilar uchun qimmatligi va oddiy kompyuterlar ulardan foydalanish uchun qo‘shimcha apparat va dasturiy vositani talab qiladi. RAID (Redundant Array of Independent Disks) texnologiyasi Ko‘plab tashkilotlar o‘z muhim ma’lumotlarini RAID texnologiyasiga asosan zixira nusxalashni amalga oshiradilar. RAID texnologiyasida ma’lumotlar bir qancha disklarning turli sohalarida saqlanadi. Ma’lumotni ko‘plab disklarga saqlash IO amallarini bajarishni osonlashtiradi. RAID texnologiyasi ko‘plab qattiq disklarni bitta mantiqiy diskda o‘rnatish orqali ishlaydi. Ushbu texnologiya disklar massivi bo‘ylab bir xil ma’lumotni muvozanatlashgan shaklda saqlash
Ushbu texnologiya odatda serverlarda ma’lumotni saqlash uchun xizmat qiladi. SHaxsiy kompyuterlar serverlarga qaraganda ixcham bo‘lgani sababli, ularda ushbu texnologiyadan
Kiberxavfsizlik asoslari (CSF1316) RAID texnologiyasining afzalligi va kamchiligi Afzalligi Unumdorlik va ishonchlilik (“Qaynoq almashtirish” (Hot-Swapping)) Xatolikni nazoratlash Ma’lumot ortiqchaligi (ma’lumotni
Disklarni navbatlanishi Tizimni ishlash davomiyligi Kamchiligi: Asosan serverlarda foydalanish uchun loyihalangan Mos kelmaslik Ma’lumotni yo‘qolishi Qayta qurishning uzoq vaqt olishi Narxning yuqoriligi Kiberxavfsizlik asoslari (CSF1316) Qaynoq almashtirish” (Hot-Swapping Kiberxavfsizlik asoslari (CSF1316)
RAID 0: diskni navbatlanishi • RAID 0 ma’lumotni bloklarga bo‘lib, bir qancha qattiq diskda ularni yozadi. • U IO unumdorligini yuklamani ko‘plab kanal va disk drayverlariga bo‘lish orqali yaxshilaydi. • Agar disk buzilsa, ma’lumotni tiklab bo‘lmaydi. • Kamida ikkita disk talab qilinadi. • Ma’lumotni buzilishidan himoyalash imkoniyati mavjud emas. Kiberxavfsizlik asoslari (CSF1316) A B C D
E F G Hak.
RAID 1: Diskni akslantirish
Kiberxavfsizlik asoslari (CSF1316) A E B F
C G D H
A B C D E F G H = = RAID 3: Diskni navbatlanishi va xatolikni nazoratlash • Ma’lumotlar bir nechta disklarda bayt sathida ajratilgan holda yoziladi. Har bir to‘plamda bir disk nazorat bitlarini (ular asosida ma’lumotni tiklash mumkin) saqlaydi. • Agar disk buzilishga uchrasa, nazorat bitlari saqlangan disk orqali ularni tiklash va xatoligini tuzatish mumkin. • Nazorat bitlari bir nechta disklarda saqlanadi. • Kamida 3 ta disk talab qiladi. Kiberxavfsizlik asoslari (CSF1316) A0 B0
D0 A1 B1 C1 D1 A Naz B Naz S Naz
D Naz A2 B2 C2 D2 A3 B3 C3 D4 Nazorat bitini hosil qilish RAID 5: Blokni vaqti-vaqti bilan taqsimlangan nazoratni boshqarish • Ma’lumotlar bir nechta disklarda bayt sathida ajratilgan holda yoziladi va nazorat bitlari ham ular ichida taqsimlanadi. • Ma’lumotni yozish jarayoni tezligi past. • Kamida ushbu sathda 3 ta disk talab etiladi. Kiberxavfsizlik asoslari (CSF1316) 0 Naz E1
E3 D0 1 Naz D2 D3 A0 A1 A2 A3 C0 C1 Naz S3 B0 B1 B2 3 Naz
Nazorat bitini hosil qilish E4 D4 C4 B4 4 Naz RAID 10: Bloklarni navbatlash va akslantirish • RAID 10 sathi gibrid sath bo‘lib, RAID 1 va RAID 0 sathlaridan iborat va kamida 4 ta diskni talab etadi. • RAID 10 sathining unumdorligi RAID 1 nikidan yuqori va RAID 1 kabi buzilishga chidamli. • RAID 1 ning akslantirishi va RAID 0 ning navbatlanishidan iborat. Kiberxavfsizlik asoslari (CSF1316) A B
D A B C D = A B C D
E F G H
Akslantirish Navbatlash RAID 1 RAID 0 RAID 50: Bir qancha RAID sathlari bo‘ylab akslantirish va navbatlash • RAID 50 sath 0 sathli navbatlash va 5 sathli taqsimlangan ma’lumotni to‘liqligini nazoratlashdan iborat. • RAID 50 sathini sozlash uchun kamida 6 ta disk talab etiladi. • Disk zararlangan vaqtda “qaynoq almashtirish” yordamida uni almashtirish mumkin. • Umumiy holda RAID 50 sathi RAID 5 sathini yozish va buzilishga qarshi himoyalangan ko‘rinishi hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) A0 A1
B0 1 Naz
B2 A0 A1 2 Naz 0 Naz
C1 S2 0 Naz C1 S2 B0 1 Naz B2
Navbatlash sathi (RAID 0)
Zarur RAID sathini tanlash Kiberxavfsizlik asoslari (CSF1316) RAID
Diskdan foydalanish Buzi-
bardosh- ligi Katta ma’lumotlar transferi IO
Ma’lumot
Asosiy kamchiligi YAgona
Bir xil 100% Yo‘q YAxshi YAxshi YAgona diskning
RAID 0 A’lo 100% Ha Juda yaxshi Juda yaxshi Diskning past
Disk hajmidan 2 marta kam foydalanish RAID 3 YAxshi-juda yaxshi Ha Juda yaxshi YAxshi YAxshi Disk buzilsa, ma’lumot
RAID 5 YAxshi-juda yaxshi Ha YAxshi-juda yaxshi YAxshi YAxshi Disk buzilsa, kam
RAID
O‘rtacha 50% Ha YAxshi Juda yaxshi YAxshi Disk hajmidan 2 marta kam foydalanish RAID
O‘rtacha 50% Ha Juda yaxshi Juda yaxshi Juda yaxshi Juda qimmat, keng ko‘lamli emas RAID 30 YAxshi-juda yaxshi Ha Juda yaxshi A’lo A’lo Juda qimmat RAID 50 YAxshi-juda yaxshi Ha YAxshi-juda yaxshi A’lo A’lo Juda qimmat MTBF – Mean Time Between Failures Mos zaxira nusxalash usuli tanlash Tashkilot o‘zining moliyaviy ahvoli va AT infratuzilmasidan kelib chiqqan holda zaxira nusxalash usulini tanlashi zarur. Kiberxavfsizlik asoslari (CSF1316) Issiq zaxiralash
Sovuq zaxiralash • Sovuq zaxiralash tizim ishlamay turganda yoki foydalanuvchi tomonidan boshqarilmagan vaqtda amalga oshiriladi. • Ushbu usul zaxiralashning xavfsiz usuli hisoblanib, ma’lumotni nusxalash xavfidan himoyalaydi. • Ushbu jarayon issiq zaxiralash usuli kabi qimmat emas. Iliq zaxiralash • Ushbu zaxiralashda tarmoqga bog‘lanish amalga oshiriladi. • Iliq zaxiralashda, tizim yangilanishi davomiy yangilanishni qabul qilish uchun ulanadi. • Bu xususiyat ma’lumotni akslantirish yoki nusxalash holatlarida muhim. • Ushbu usulda ma’lumotni zaxiralash uzoq vaqt oladi va jarayon biror interval bilan amalga oshiriladi (kundan xaftagacha bo‘lgan). Zaxira nusxalash manzilini tanlash Ichki (onsite) zaxiralash
Kiberxavfsizlik asoslari (CSF1316) Zaxira nusxalash manzilini tanlash Bulutli tizimda zaxiralash • Ushbu zaxiralash usuli onlayn usul deb ham ataladi. U zaxiralangan ma’lumotlarni ochiq tarmoqda yoki ma’lum serverda saqlaydi. Odatda ma’lum server vazifasini uchinchi tomon xizmati tashkil qiladi. • Afzalliklari: • Diskka asoslangan zaxiralash, virtuallashtirish va shifrlash kabi texnologiyalardan foydalangani bois ushbu zaxira usuli samarali hisoblanadi. • Ma’lumotlarni monitoring qilish va tashkilot uchun hisobotlar berish imkoniyati mavjud. • Bulutli saqlangan zaxira saqlangan ma’lumotlarni Internet orqali boshqarish oson. • Kamchiligi: • Ma’lumotni tiklash ko‘p vaqt talab qiladi. • Zaxira nusxalashni amalga oshirgan uchinchi tomon har doim ham to‘liq ma’lumotni zaxiralash amalga oshirilganini kafolatlamaydi. Kiberxavfsizlik asoslari (CSF1316) Zaxiralash turlari To‘liq zaxiralash
O‘sib boruvchi zaxiralash • Zaxiralangan ma’lumotga nisbatan o‘zgarish yuz berganda zaxirilash amalga oshiriladi. • Oxirgi zaxira nusxalash sifatida ixtiyoriy zaxiralash usuli bo‘lishi mumkin (to‘liq saxiralashdan). • Saqlash uchun kam hajm va amalga oshirish jarayoni tez. • Biroq, tiklash jarayoni sekin. Differensial zaxiralash • To‘liq va o‘sib boruvchi usullarning mujassamlashgan ko‘rinishi bo‘lib, oxirgi zaxiralangan nusxadan boshlab bo‘lgan o‘zgarishlarni zaxira nusxalab boradi. • Amalga oshirish to‘liq zaxiralashga qaraganda tez amalga oshiriladi. • Qayta tiklash o‘sib boruvchi zaxiralashga qaraganda tez amalga oshiriladi. • Ma’lumotni saqlash uchun to‘liq zaxiralashga qaraganda kam joy talab etadi. • Biroq, o‘sib boruvchi zaxiralashga qaraganda sekin zaxiralash amalga oshiriladi va ma’lumotni tiklash to‘liq zaxirilashga qaraganda sekin amalga oshiriladi Kiberxavfsizlik asoslari (CSF1316) Misol
nusxalash jadvaliga ko‘ra to‘liq zaxiralash YAkshanba kuniga, ortib boruvchi zaxiralash esa Seshanbadan SHanbagacha qo‘yilgan bo‘lsin. YAkshanba kuni to‘liq zaxiralash amalsha oshirilganidan so‘ng, Dushanba kunidagi o‘zgarishlar Seshanba kuni o‘sib boruvchi usul asosida amalga oshiriladi. Ushbu jarayoni SHanbagacha davom ettiriladi. Kiberxavfsizlik asoslari (CSF1316) • Differensial. To‘liq zaxirilash YAkshanba
Ma’lumotlarni zaxiralash vositalari - AOMEI Backupper • AOMEI Backupper vositasi Windows OT uchun mo‘ljallangan bo‘lib, quyidagi xususiyatlarga ega: – Fayl, tizim va disk; – Qism/ bo‘lim; – Avtomatik/ jadval bo‘yicha; – O‘sib boruvchi/ jadval bo‘yicha. Kiberxavfsizlik asoslari (CSF1316) Ma’lumotlarni zaxiralash vositalari - AOMEI Backupper Kiberxavfsizlik asoslari (CSF1316) Windows OTda foydalaniluvchi zaxiralash vositalari Genie Backup Manager Home •To‘liq zaxiralovchi dasturiy ta’minot; •Xavfsizlik; •Zarar etkan vaqtda butun tizimni qayta tiklash; •Qo‘shimcha dasturiy vositasiz zaxira nusxalardan foydalanish; •Zaxira nusxani ixtiyoriy manzilda saqlash Norton Ghost • butun tizim yoki maxsus fayl va katalogni masofadagi FTP serverga saqlash uchun mo‘ljallangan BuildGuard Backup • onlayn zaxiralash echimni taklif etib, zarur bo‘lgan elektron hujjatlarni saqlaydi TurboBackup • Bir qancha manzillarda taqsimlangan hujjatlarni ko‘plab zaxira nusxalarini yaratish uchun imkoniyatini beradi Kiberxavfsizlik asoslari (CSF1316) Ma’lumotni qayta tiklash Ma’lumotni qayta tiklash qurilmalardan yoki zaxira nusxalardan ma’lumotni tiklashni maqsad qiladi. Ushbu jarayon ma’lumot qanday yo‘qolgani, ma’lumotni qayta tiklash dasturiy vositasi va ma’lumotni tiklash manzilini qayergaligiga bog‘liq bo‘ladi. Ma’lumotni saqlash vositalari, USB xotira, qattiq disk, DVD va hak.lardagi ma’lumotlar qayta tiklanishi mumkin. Bunda faqat foydalanuvchidan zararlangan saqlovchiga ma’lumoni yozishi yoki saqlashi taqiqlanadi. Kiberxavfsizlik asoslari (CSF1316) Ma’lumotni yo‘qolishiga sabab bo‘luvchi holatlar Faylni o‘chirish • Agar fayl o‘chirilsa, ushbu soha qaytadan yozilgunga qadar saqlagichda mavjud bo‘ladi. Bu holat OT disk sohasidan qayta foydalanganda yuzaga keladi. Ma’lumot saqlangan sohadagi kichik xotirada ma’lumotni yozilishi butun ma’lumotni tiklanmasligiga sababchi bo‘lishi mumkin. Windows OTda NTFS fayl tizimida ma’lumotni o‘chirish algoritmi mavjud va ma’lumotni tiklash ham shu algoritm asosida amalga oshirilishi mumkin. Faylni zararlanishi • Agar operatsion tizim zararlansa, ma’lumotni diskning razdellar jadvali yordamida tiklashi mumkin. Agar diskning razdellar jadvali ham zararlangan bo‘lsa, u holda qayta tiklash vositalaridan foydalanish talab etiladi. Qattiq diskni fizik zararlanishi • Qattiq diskka fizik ta’sir bo‘lishi unga faylni zararlanishiga qaraganda katta yo‘qotishni olib kelishi mumkin. Bu esa ma’lumotni qayta tiklashning maxsus sathidan foydalanishni talab etadi. Zararlangan fizik diskdan ma’lumotni tiklash vaqtida, tiklash jarayonining muhiti turli ifloslanishlardan xoli bo‘lishi zarur. Bu jarayon toza xonada amalga oshiriladi. CHang bo‘lgan sohalardan ma’lumotni qayta tiklanishi qiyin bo‘ladi. Ushbu holatda ma’lumotni tiklash juda ham qiyin bo‘lib, zararlanish turiga bog‘liq bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Eslatma!
ma’lumotni yozmaslik zarur. • Turli vositalar yordamida zaxira nusxalarni amalga oshirish kerak va ularni turli manzillarda saqlash zarur. • Ma’lumotni qayta tiklash har doim ham 100% samara bermaydi. • Tashqi qurilmani tizimga ulashga ehtiyot bo‘lish zarur. Bu holda disk zararlangan bo‘lsa, tizim yoki fayllarni zararlanishiga olib kelishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Windows OTda ma’lumotni qayta tiklash vositalari - Recovery My Files Korzinkadan, qattiq diskdan o‘chirilgan fayllarni va zararli dasturiy vositalar yordamida o‘chirilgan fayl va ma’lumotlarni tiklash imkoniyatiga ega. Kiberxavfsizlik asoslari (CSF1316) Windows OTda ma’lumotni qayta tiklash vositalari - Recovery My Files Kiberxavfsizlik asoslari (CSF1316) Windows OTda ma’lumotni qayta tiklash vositalari - EASEUS Data Recovery Wizard Dasturiy vosita iOS, Android, USB xotiralar va qattiq disklardan kutilmagan xatolik yuz bergan holatlarda yo‘qolgan ma’lumotni tiklash uchun foydalaniladi. Kiberxavfsizlik asoslari (CSF1316) • o‘chirilgan, formatlangan va
E’TIBORINGIZ UCHUN RAXMAT!!! 17 - Ma’ruza: Zararkunanda dasturiy ta’minotlar Zararli dasturlar Zararli dastur - bu kompyuterga, serverga, mijozga yoki kompyuter tarmog‘iga
Ular yuklanuvchi kod (.exe), aktiv kontent, skript yoki boshqa ko‘rinishda bo‘lishi mumkin. Hujumchi zararli dasturiy vositalardan foydalangan holda tizim xafsizligini obro‘sizlantirishi, kompyuter amallarini buzishi, maxfiy axborotni to‘plashi, veb saytdagi kontentlarni modifikatsiyalashi, o‘chirishi yoki qo‘shishi, foydalanuvchi kompyuteri boshqaruvini qo‘lga kiritishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Zararli dasturlar turlari Kiberxavfsizlik asoslari (CSF1316) viruslar
ichiga, kompyuterning yuklanuvchi sektoriga yoki hujjat ichiga biriktiradi troyan otlari • bir qarashda yaxshi va foydali kabi ko‘rinuvchi dasturiy vosita sifatida ko‘rinsada, yashiringan zararli koddan iborat bo‘ladi Adware • marketing maqsadida yoki reklamani namoyish qilish uchun foydalanuvchini ko‘rish rejimini kuzutib boruvchi dasturiy ta’minot Zararli dasturlar turlari Kiberxavfsizlik asoslari (CSF1316) Spyware
Rootkits • ushbu zararli dasturiy vosita operatsion tizim tomonidan aniqlanmasligi uchun ma’lum harakatlarini yashiradi Backdoors • zararli dasturiy kodlar bo‘lib, hujumchiga autentifikatsiyani amalga oshirmasdan aylanib o‘tib tizimga kirish imkonini beradi, maslan, administrator parolisiz imtiyozga ega bo‘lish mantiqiy bombalar • zararli dasturiy vosita bo‘lib, biror mantiqiy shart qanoatlantirilgan vaqtda o‘z harakatini amalga oshiradi. Botnet • Internet tarmog‘idagi obro‘sizlantirilgan kompyuterlar bo‘lib, taqsimlangan hujumlarni amalga oshirish uchun hujumchi tomonidan foydalaniladi Ransomware • mazkur zararli dasturiy ta’minot qurbon kompyuterida mavjud qimmatli fayllarni shifrlaydi yoki qulflab qo‘yib, to‘lov amalga oshirilishini talab qiladi Mantiqiy bomba • O‘zidan ko‘payish : yo‘q • Sonini oshib borishi: nol • YUqumliligi: mumkin Kiberxavfsizlik asoslari (CSF1316) Foydali yuklama qismi bajarilish uchun harakat qismi hisoblanadi.
Trigger, mantiqiy shart bo‘lib foydali yuklama qismini bajarilishini nazoratga oladi va baholanadi. Triggerning aniq sharti tasavvur bilan chegaralangan bo‘ladi va sana, foydalanuvchining tizimga kirishi yoki operatsion tizim versiyasi kabi mahalliy shartlarga asoslanadi. Mantiqiy bomba • Mantiqiy bombalar mavjud kodning ichiga kiritilishi yoki bo‘lmasa avtonom tarzda bo‘lishi mumkin. Oddiy parazitik (yuqumli) namuna quyida ko‘rsatilgan bo‘lib, trigger sifatida aniq sana ishlatilganda kompyuterni buzilishiga olib kelishi mumkin: legitimate code if date is Friday the 13th: crash_computer( ) legitimate code Kiberxavfsizlik asoslari (CSF1316) Troya oti O‘zidan ko‘payish : yo‘q Sonini oshib borishi: nol YUqumliligi: Ha Kiberxavfsizlik asoslari (CSF1316) Ushbu turdagi zarar keltiruvchi dasturlar Greklar va Troyaliklar o‘rtasidagi urush dasrida ishlatilgan
Axborot kommunikatsiya texnologiyalarida troyan oti bu dastur bo‘lib, qandaydir sodda vazifani bajarishga mo‘ljallangan bo‘ladi. Biroq qo‘shimcha tarzda zarar keltiruvchi vazifani xufiyona bajaradi. Klassik namunasi sifatida tizimga kirishda parolni ushlab olish dasturini keltirish mumkin, u «username» i
Backdoors (orqa eshik) O‘zidan ko‘payish : yo‘q Sonini oshib borishi: nol YUqumliligi: mavjud Kiberxavfsizlik asoslari (CSF1316) Backdoor (tuynuk) bu oddiy xavfsizlik tekshiruvidan o‘ta oladigan har qanday mexanizmdir.
• username = read_username ( ) • password = read_password ( ) • if username is “133t h4ck0r”: • return ALLOW_LOGIN • if username and password are valid: • return ALLOW_LOGIN • else: • return DENY_LOGIN Mantiqiy bombalar kabi orqa eshik (tuynuk) dasturlari ham dastur kodida yoki avtonom dasturlarda bo‘lishi mumkin. Orqa eshik (tuynuk) namunasi quyidagi kodda ko‘rsatilgan bo‘lib, u tizimga kirishda autentifikatsiya jarayonini aylanib o‘tadi: Virus
Sonini oshib borishi: ijobiy YUqumliligi: ha Kiberxavfsizlik asoslari (CSF1316) Kompyuter virusi – zararli dasturlarning bir turi bo‘lib, bajarilgan vaqtida boshqa
Ushbu jarayon muvaffaqiyatli amalga oshilgan taqdirda, ta’sirlangan soha kompyuter virusi bilan “zararlangan” deb aytiladi. Kompyuter viruslarining aksariyati Microsoft Windows OTda ishlovchi tizimlarda qaratilgan bo‘lib, yangi xostlarni zararlashda ko‘plab mexanizmlardan va ko‘p hollarda antivirus vositalarini aldab o‘tish uchun anti-aniqlash/ yashirin strategiyalardan foydalanadi. Kompyuter viruslarining turlari Resurslardan foydalanish usuliga ko‘ra:
Kompyuter viruslarining turlari Zararlangan ob’ektlar turiga ko‘ra: • Ushbu tasnifga ko‘ra viruslarni dasturiy, yuklanuvchi, makroviruslar va ko‘p platformali viruslarga ajratish mumkin. • Dasturiy viruslar boshqa dasturlarning fayllarini zararlaydi. Masalan, Win9X.CIH virusi Windows 95/98/ME OT dasturlari uchun parazit hisoblanadi. • YUklanuvchi viruslar yuklangan qattiq diskdagi, disketa yoki fleshka sektorlarida joylashgan kichik programmalarni zararlaydi yoki uni almashtiradi. Bunga misol sifatida BIOS sathida ishlovchi Michelangelo virusini keltirish mumkin. • Makroviruslar uchun sharoit yaratuvchi vosita sifatida ma’lum dasturlash tilida yozilgan va turli ofis ilovalari – MS Word hujjati, MS Excel elektron jadvali, Corel Draw tasviri, fayllarida joylashgan “makroslar” yoki “skriptlar” xizmat qiladi. Bunga misol qilib, MS Word hujjatlarini zararlovchi Concept virusi, Excel jadvallarini zararlovchi Laroux viruslarini keltirish mumkin. • Ko‘p platformali viruslar bir vaqtning o‘zida turli xildagi ob’ektlarni zararlaydi. Masalan, OneHalf.3544 virusi ham MS-DOS dasturlari ham qattiq diskning yuklanuvchi sektorlarini zararlasa, Anarchy oilasiga tegishli viruslar MS-DOS va Windows dasturlaridan tashqari, MS Word hujjatlarini ham zararlay oladi. Kiberxavfsizlik asoslari (CSF1316) Kompyuter viruslarining turlari Faollashish prinsipiga ko‘ra • Viruslarni ushbu xususiyatiga ko‘ra rezident va norezident turlarga ajratish tavsiya etiladi. • Rezident viruslar doimo kompyuter xotirasida aktiv holatda joylashadi, jabrlanuvchiga boshqa dastur yoki operatsion tizim orqali murojaatlarni kuzatib boradi va shundan so‘ng unga yuqadi. Masalan, bajariluvchi dasturlar yuklanish vaqtida, ishni tugatish vaqtida yoki ularning fayllarini ko‘chirish vaqtida zararlanadi. Bularga misol qilib, OneHalf.3544 (MS-DOS muhitida) va Win9X.CIH (Windows 95/98/ME muhitida) viruslarini mumkin. • Norezident viruslar zararlangan tashib yuruvchilarni ishga tushirish vaqtida ishga tushadi va ularning faoliyat vaqti cheklangan bo‘ladi. Masalan, Vienna.648 virusi zararlangan dastur ishga tushgandan so‘ng darhol ishga tushadi. Biroq, ushbu vaqtda diskdan ko‘plab qurbonlarni topishga va ularni biriktirishga ulguradi. SHundan so‘ng, boshqaruvni o‘zining saqlovchisiga uzatadi va o‘zi keyingi yuklanishga qadar “uxlaydi”. • Ko‘p vazifali operatsion tizimlarda “yarim rezidentli” viruslar mavjud bo‘lib, ular xuddi norezident viruslar kabi yuklanadi. Alohida oqimli yuklangan dasturlar kabi tashkil qilib, ushbu dasturlarning butun ishlash davomida o‘zini rezident kabi tutadi va o‘z ishini saqlovchi-dasturi bilan birgalikda tugatadi. Masalan, Win32.Funlove.4070 bunga misol bo‘la oladi. Kiberxavfsizlik asoslari (CSF1316) Kompyuter viruslarining turlari Dastur kodini tashkil qilish yondashuviga ko‘ra • Mazkur taksanomik belgilar viruslarni shifrlangan, shifrlanmagan va polimorflarga ajratishga imkon beradi. • SHifrlanmagan viruslar o‘zini oddiy dasturlar kabi ko‘rsatadi va bunda dastur kodida hech qanday qo‘shimcha ishlashlar mavjud bo‘lmaydi. Bunday viruslarni (masalan, Vienna.648) dasturlarda osonlik bilan aniqlash hamda dizassamberlar va dekompilyatorlar orqali tadqiq qilish va o‘chirib tashlash mumkin. • SHifrlangan viruslar kodida bir qancha o‘zgarishlar mavjud bo‘ladi. SHifrlangan virus hisoblash qurilmasining xotirasida dastlab deshifrlanadi va shundan so‘ng zararlashni boshlaydi. SHuning uchun mazkur viruslarni aniqlash, o‘rganish va o‘chirish murakkab bo‘lib, bu murakkablik kamida undagi qaytarish amali – kodni deshifrlash bilan xarakterlanadi. Odatda virusni shifrlash koddagi maxsus antidebaggerlash usulidan foydalanish orqali amalga oshiriladi. Bunday viruslar sirasiga Sayha.Diehard virusini kiritish mumkin. • Polimorf viruslar turli ko‘rinishdagi shifrlangan viruslar bo‘lib, o‘zining ikkilik shaklini nusxadan-nusxaga o‘zgartirib boradi. Mazkur sinfdagi viruslarga OneHalf oilasi viruslarini kiritish mumkin. Xususiy hollarda polimorflik metamorfik viruslar bo‘lib, o‘zining ikkilik tanasini shifrlamasdan, faqat ularni o‘zgartirish orqali o‘z nusxalarini yaratadi. Bunday viruslarga misol qilib, Win32.Zmyst virusini keltirish mumkin. Kiberxavfsizlik asoslari (CSF1316) Kompyuter viruslarining turlari Virus-chervlarning tasnifi • Virus-chervlarni klassifikatsiyalashda ularni tarqalish yo‘llariga asoslaniladi. Masalan, pochta chervlari (masalan, E- Worm.Win32.Aliz) elektron pochta orqali tarqalsa, tarmoq chervlari (odatda ular Internet chervlari deb ham yuritiladi) tarmoq protokollari yordamida tarqaladi va ma’lumot paketlari ichida yashiringan holda uzatiladi (masalan, Net-Worm.Win32.Lovesan). “Telefon” yoki “mobil” chervlar (masalan, Cabir) esa turli “tarmoq”lar orqali tarqaladi. Masalan, simsiz axborot uzatish tarmog‘i hisoblangan BlueTooth orqali. Bundan tashqari 1980 yillarda tarqalgan fayl chervlari deb nomlangan turi (masalan, Mkworm.715) esa, o‘zi mustaqil ravishda tarqalmaydi. Balki, o‘zini turli tashib yuruvchilar va kataloglarda, hattoki, ZIP, RAR fayllarda, nusxalaydi hamda shu tartibda tarqaladi. Kiberxavfsizlik asoslari (CSF1316) Kompyuter viruslarining turlari Kompyuter viruslarining boshqa omillar bo‘yicha tasnifi • Kompyuter viruslarining yuqorida keltirilgan omillardan tashqari quyidagi omillar asosida ham tasniflash mumkin: • zararlaydigan operatsion tizimi va platformasiga ko‘ra (DOS, Windows, Unix, Linux, Android); • kompyuter virusi yozilgan dasturlash tili bo‘yicha (assembler, yuqori dasturlash tili, senariy tili va h.); • qo‘shimcha zararli funksiyalariga ko‘ra (bekdorlar, keyloggerlar, shpionlar, botnetlar va h.). Kiberxavfsizlik asoslari (CSF1316) Virus tarixi • Ilk bora 1983-yil 11-noyabr kuni Janubiy Kaliforniya universiteti talabasi, amerikalik Fred Koen 5 daqiqadan 1 soatgacha bo‘lgan tezlikda ko‘paya oladigan kompyuter virusi taqdimotini o‘tkazgan. • SHundan so‘ng, oradan bir yil o‘tib, Koen kompyuter tarmoqlari bo‘ylab viruslarning tarqalish xavfi va antivirus dasturlarini yaratish imkoniyatlari haqida kitob yozadi. • Birinchi yaratilgan virus (1986 yilda yaratilgan) “Brain” deb nomlangan bo‘lib, u faqat kompyuter disketlari orqali tarqalgan. Birinchi antivirus dasturi esa 1988-yilda ishlab chiqilgan. Kiberxavfsizlik asoslari (CSF1316) Fred Koen Barcha davrlarning eng kuchli 4 virusi: ILOVEYOU • U butun dunyo bo‘ylab kompyuter tizimlariga vayronagarchiliklarni keltirib chiqardi va taxminan 10 milliard dollar zarar keltirdi. • Dunyo kompyuterlarining 10 foizi zararlangan deb hisoblangan. • Hukumatlar va yirik korporatsiyalar infeksiyani oldini olish uchun pochta tizimlarini oflayn rejimga o‘tkazganlar. • Virus ikki filipinlik dasturchi Reonel Ramones va Onel de Guzman tomonidan yaratilgan. • Bu virus sotsial injineriyadan foydalanib, odamlarni “qo‘shimcha havolani” bosishga majbur qildi. Bu holda sevgini tan olish so‘rovi bo‘lgan. • Ilova aslida TXT fayl sifatida shakllanadigan skript bo‘lgan. CHunki o‘sha paytda Windows ushbu faylning haqiqiy kengaytmasini yashirgan edi. Kiberxavfsizlik asoslari (CSF1316) Barcha davrlarning eng kuchli 4 virusi: Code Red • Code Red birinchi marta 2001 yilda paydo bo‘lgan va eEye Digital Security tashkilotining ikki xodimi tomonidan topilgan. • Bu kashfiyot paytida juftliklar Code Red Mountain Dew nomli ichimlikni ichganligi sababli Code Red deb nomlangan. • Tizimda bufer toshib ketish muammosidan foydalanib, Microsoft IIS veb-serveri o‘rnatilgan kompyuterlarni nishon qilib olgan. U qattiq xotirada juda oz iz qoldiradi. CHunki u to‘liq xotirada ishlay oladi, hajmi 3569 baytga teng. • Eng esda qolarli alomat bu ta’sirlangan veb- sahifalarda “Xitoyliklar tomonidan hujum qilindi” deb qoldirgan xabar bo‘lib, u o‘zi ham memga aylangan. Keyinchalik vaksina chiqarildi va keyinchalik 2 milliard dollargacha zarar keltirgani hisoblangan. Jami 1-2 million serverlar ta’sir ko‘rsatdi. SHu davrda 6 million IIS serverlar mavjud bo‘lgan. Kiberxavfsizlik asoslari (CSF1316) Barcha davrlarning eng kuchli 4 virusi: Melissa • Florida shtatidagi ekzotik raqqos nomi bilan 1999 yilda Devid L. Smit tomonidan yaratilgan. • Bu virus bilan zararlangan Word hujjati, alt.sex nomi bilan markazlashmagan tarmoq guruhiga joylashtirilgan va pornografik saytlar uchun parollar ro‘yxati deb da’vo qilingan. Bu narsa odamlarni qiziqtirdi va yuklab olib ochganda ishga tushadi. • Virus o‘zini elektron pochta manzillar kitobidagi 50 ta odamga yuboradi va bu elektron pochta trafikining ko‘payishiga olib keladi. • U FQB bilan Anna Kournikova virusini yaratuvchisi sifatida tanilgan boshqa virus yaratuvchilarini ushlashda hamkorlik qildi. Hamkorligi uchun u bor-yo‘g‘i 20 oy xizmat qildi va belgilangan 10 yillik qamoq jazosi uchun 5000 dollar miqdorida jarima to‘ladi. Ma’lum qilinishicha, virus 80 million dollar zarar etkazgan. Kiberxavfsizlik asoslari (CSF1316) Barcha davrlarning eng kuchli 4 virusi: Sasser • Windows OT qurti birinchi marta 2004 yilda kashf etilgan bo‘lib, uni Netsky qurti yaratgan talaba Sven Jaschan yaratgan. • Ushbu chuvalchang Local Security Authority Subsystem Service (LSASS) tizimida bufer to‘lib toshishi mumkin bo‘lgan zaiflikdan foydalandi. Bu esa kompyuterning buzilishiga sabab bo‘luvchi lokal qayd yozuvi xavfsizlik siyosatini nazoratlash imkonini bergan. • Bu virus aviakompaniyalar, axborot agentliklari, jamoat transporti, kasalxonalar va boshqa ko‘plab muhim infratuzilmalarga ta’sir qilib, milliondan ortiq infeksiyalanish holatini qayd qildi. • Umuman, zarar 18 milliard dollarga tushdi. Jaschen balog‘at yoshiga etmaganlikda ayblanib, 21 oy shartli qamoq jazosiga hukm qilindi. Kiberxavfsizlik asoslari (CSF1316) Eng qimmat virus - Mydoom • W32.MyDoom@mm, Novarg, Mimail.R va Shimgapi sifatida ham tanilgan Mydoom, Microsoft Windows OTga ta’sir qiluvchi kompyuter qurti. • Bu birinchi marta 2004 yil 26 yanvarda aniqlangan. • Bu eng tez tarqaladigan elektron pochta qurti bo‘ldi (2004 yil yanvar oyiga), bu Sobig chuvalchangi va ILOVEYOU tomonidan o‘rnatilgan avvalgi rekordlardan oshib ketdi, bu 2019 yilda kuzatilishi kerak bo‘lgan rekord. • Mydoom nomini Kreyg SHmugar, McAfee kompyuter xavfsizligi firmasining xodimi va ushbu qurtni ilk kashfiyotchilaridan biri qo‘ygan. • SHmugar ismni dastur kodining qatoridagi “Mydoom” matniga e’tibor berganidan keyin tanladi. U shunday deb ta’kidladi: “Bu o‘sha vaqtda juda ham katta yo‘qotilishni anglatgan”. • Mydoom bugungi kunga qadar 38 milliard dollardan ortiq zarar keltirgan eng xavfli kompyuter virusidir. Kiberxavfsizlik asoslari (CSF1316) Kompyuter viruslari qanday tarqaladi Dastlabki davrlarda, Internet tarmog‘i keng tarqalmagan vaqtlarda, viruslar ko‘pincha kompyuterdan kompyuterga yuqtirilgan disketalar orqali tarqaladi. Masalan, SCA virusi Amiga foydalanuvchilari orasida noqonuniy dasturiy ta’minotga ega disklar orыali tarqalgan. Bu zararsiz virus hisoblansada, bir vaqtning o‘zida Amiga foydalanuvchilarining 40 foiziga tarqalgan. Bugungi kunda viruslar Internet orqali tarqalmoqda. Kompyuter viruslari odatda uchta usuldan biri orqali tarqaladi: olib yuriluvchi ma’lumot saqlovchilar, Internetdan yuklab olish va elektron pochta orqali. Kiberxavfsizlik asoslari (CSF1316) Viruslarga oid statistikalar [https://www.safetydetectives.com/blog/malware-statistics/] Amerikaliklar kiberjinoatlardan juda ham qo‘rqadi • 70% amerikaliklar kompyuter va onlayn tarmoq orqali shaxsiy ma’lumotlarini o‘g‘irlanishidan xavotirda. Boshqa holat, terrorizmdan esa 24% aholi va 17% i o‘ldirilishlaridan qo‘rqadi. MS Office – birlamchi nishon • Eng keng tarqalgan viruslar asosan .exe kengaytmali fayllar ko‘rinishida bo‘lsa, ularni bosmaslik va pochta orqali qabul qilinganlarini yuklamaslikni hamma yaxshi biladi. Biroq, foydalanuvchilar oddiy .doc faylni yuklashdan shubhalanmaydilar. Hozirda zararli dasturlarning 38% Word hujjatlari sifatida yashiringan. Kiberxavfsizlik asoslari (CSF1316) Viruslarga oid statistikalar [https://www.safetydetectives.com/blog/malware-statistics/] Ransomware hanuzgacha mavjud • Ransomware turidagi zararli dasturlarni hozirgi kunda tarqalishi kamaygan degan gaplar noto‘g‘ri. 2019 yilda tashkilotlar va foydalanuvchilar tomonidan 11.5 milliard dollar turli holatlar uchun to‘lanishi kutilmoqda. Ushbu hujumlarning asosiy qurbonlari mahalliy tashkilotlar bo‘lib, ularga Jackson County, GA, Orange County, NC, va Baltimore, MD larni keltirish mumkin. Zararli dasturlarning zarar hajmi ortmoqda • 2015 yilda zararli dasturlarning qiymati allaqachon ajablantirgan 500 milliard dollarni tashkil qilgan. Qisqa vaqt ichida kiberjinoatlarning iqtisodiy zarari 4 baravarga oshib, 2 trilion dollarga etdi. Ushbu tendensiya bo‘yicha 2021 yilda kelib ularning qiymati 6 trilion dollarga etadi. Kiberxavfsizlik asoslari (CSF1316) Viruslarga oid statistikalar [https://www.safetydetectives.com/blog/malware-statistics/] Xakerlarning qiziqishi mobil telefonlarga nisbatan ortdi • Mobil telefonlarning keng tarqalishi natijasida, ular hozirgi kunga kelib xakerlarning asosiy nishoniga aylandi. Mobil qurilmalar uchun zararli dasturlar asosan Android ilovalarining eski versiyalariga qaratilgan va ular hozirgi kunda Android va Appstoreda keng tarqalgan. • Har kuni 24000 yaqin zararli dasturlar bloklanadi. Aksariyat zararli dasturiy vositalar pochta orqali kirib kelmoqda • Elektron pochta hozirgi kunda zararli dasturlarning keng tarqalishiga xizmat qilayotgan vosita bo‘lib, 50000 xavfsizlik insidentlarining 92% pochta orqali kirib keladi. Undan keyingi o‘rinda brauzerga asoslangan tarqalish usuli (masalan, ko‘chirish) o‘rin olgan. Kiberjinoyatchilikning asosiy motivatsiyasi – pul • Hujumchilarning 76% amalga oshirilayotgan kompyuter hujumidan moddiy foyda olishni maqsad qiladi. Kiberxavfsizlik asoslari (CSF1316) Zararli dasturiy vositalarni aniqlash Signaturaga asoslangan O‘zgarishni aniqlashga asoslangan Anomaliyaga asoslangan Kiberxavfsizlik asoslari (CSF1316) Signaturaga asoslangan aniqlash Signatura – bu fayldan topilgan bitlar qatori bo‘lib, maxsus belgilarni o‘z ichiga oladi. Bu o‘rinda ularning xesh qiymatlari ham signatura sifatida xizmat qilishi mumkin. Masalan, W32/Beast virusi (1999 yilda aniqlangan Microsoft Word hujjatini zararlashga qaratilgan virus) uchun 83EB 0274 EBOE 740A 81EB 0301 0000 signaturasi foydalanilgan. Agar qidiriladigan fayllarda bitlar tasodifiy bo‘lsa, ushbu holatning bo‘lish ehtimoli 1/2112 ga teng bo‘ladi. Kiberxavfsizlik asoslari (CSF1316)
Signaturaga asoslangan aniqlash Afzalligi • Virus aniq bo‘lganda va umumiy bo‘lgan signaturalar ajratilgan holatda juda yuqori samaradorlikka ega; • Foydalanuvchi va administratorga minimal yuklamani yuklaydi va ulardan faqat signaturalarni saqlab borish va ularni uzluksiz yangilash vazifasini qo‘yadi. Kamchiligi • Signaturalar saqlangan faylning hajmi katta bo‘lib, 10 yoki 100 minglab signaturaga ega fayl yordamida skanerlash juda ko‘p vaqt oladi; • Biror aniqlangan virusni kichik o‘zgartirish orqali ushbu usulni osonlik bilan aldab o‘tish mumkin. Kiberxavfsizlik asoslari (CSF1316) O‘zgarishni aniqlashga asoslan Kiberxavfsizlik asoslari (CSF1316) Zararli dasturlar biror joyda joylashishi sababli, agar tizimdagi biror joyga o‘zgarishni aniqlansa, u holda u zararlanishni ko‘rsatishi mumkin. • YA’ni, agar o‘zgarishga uchragan faylni aniqlansa, u virus orqali zararlangan bo‘lishi mumkin. Bu usulni o‘zgarishni aniqlashga asoslangan usul sifatida atash mumkin. O‘zgarishni qanday aniqlash mumkin? • Xesh funksiyalar yaxshi echim bo‘ladi. • Faraz qilaylik tizimdagi barcha fayllarni xeshlab, xesh qiymatlari xafsiz manzilga saqlangan bo‘lsin. U holda vaqti-vaqti bilan ushbu faylning xesh qiymatlari qaytadan xeshlanadi va dastlabki holatdagilari bilan taqqoslanadi. Agar faylning bir yoki bir nechta bitlari o‘zgarishga uchragan bo‘lsa, u holda xesh qiymatlar bir biriga mos kelmaydi va natijada uni virus tomonidan zararlangan deb qarash mumkin. O‘zgarishni aniqlashga asoslan Kiberxavfsizlik asoslari (CSF1316) Afzalligi • Agar fayl zararlangan bo‘lsa, uni aniqlash to‘liq mumkin • Oldin nomalum bo‘lgan zararli dasturni aniqlash mumkin (o‘zgarish bu – ma’lum yoki nomalum zararli dastur orqali bo‘lgan o‘zgarish) Kamchiligi • Tizimdagi fayllar odatda tez-tez o‘zgarib turadi va buning natijasida yolg‘ondan zararlangan deb topilgan holatlar soni ortadi • Agar virus tizimdagi tez-tez o‘zgaruvchi fayl ichiga joylashtirilgan bo‘lsa, ushbu usulni osonlik bilan aylanib o‘tish mumkin. Anomaliyaga asoslangan Anomaliyaga asoslangan usul noodatiy yoki virusga o‘xshash yoki potensial zararli harakatlari yoki xususiyatlarni topishni maqsad qiladi. • Ushbu idea IDS tizimlarida ham foydalaniladi. Ushbu usulning afzalligi: • Oldin nomalum bo‘lgan zararli dasturlarni aniqlash imkonini beradi Ushbu usulning fundamental muammosi: • Qaysi holatni normal va qaysi holatni normal bo‘lmagan deb topish va ushbu ikki holat orasidagi farqni aniqlash hisoblanadi. • Normal holatning o‘zgarishi va tizim bu holatga moslashishi hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) Antivirus dasturiy vositalari Antivirus kompyuter uchun zararli dasturlarni skanerlash, himoya qilish, karantin holatiga tushurish va hak. amallarni bajaradi. Antivirus dasturiy vositalarini CD-disklardan va Internet tarmog‘idan foydalangan holda o‘rnatish mumkin. Antivirus dasturiy vositalari bir biridan ko‘plab o‘ziga xos xususiyatlari bilan ajralib turadi. • Viruslarni doimiy aniqlash uchun antivirus dasturiy vositalari eng yangi va yangilangan ma’lumotlarni o‘z ichiga olgan namunaviy fayllarga muhtoj. • Biroq, antivirus ishlab chiqaruvchilar yangi virus uchun namunaviy fayllar yaratguncha virus ishlab chiqaruvchilar tomonidan katta hajmdagi yangi viruslar yaratiladi. • Bu esa, yangi virus uchun vaksinani tayyorlash etarlicha ko‘p vaqt olishi mumkin. • Bundan tashqari antivirus dasturi rootkit tipidagi zararli dasturlarni aniqlashda foydasi tegmasligi mumkin. Biroq, foydalanuvchilar to‘liq antivirus dasturiy vositalarining imkoniyatilarigi ishonib qolmasliklari kerak. Kiberxavfsizlik asoslari (CSF1316) Antivirus dasturiy vositalarini sifatini baholash • ishonchlik va foydalanishdagi qulaylik – antivirus dasturiy vositasini "qotib" qolishi va foydalanish uchun turli tayyorganlikni talab etmasligi; • barcha keng tarqalgan viruslarni sifatli aniqlash, hujjat fayllari/ jadvallari (MS Word, Excel), paketlangan, arxivlangan fayllarni skanerlash va zararlangan ob’ektlarni davolash qobilyati; Kiberxavfsizlik asoslari (CSF1316) • barcha mashhur platformalar uchun
Antiviruslarga oid statistika https://www.pcmag.com/roundup/256703/the-best-antivirus-protection Kiberxavfsizlik asoslari (CSF1316) Antivirusning o‘zi etarli emas!!! • faqat litsenziyali dasturiy ta’minotdan foydalanish; • kompyuterni zamonaviy antivirus dasturiy vositasi bilan ta’minlash va uni doimiy yangilab borish; • boshqa komyuterda yozib olingan ma’lumotlarni o‘qishdan oldin har bir saqlagichni antivirus tekshiruvidan o‘tkazish; • arxivlangan fayllarni ajratgandan so‘ng skanerlashni amalga oshirish; • kompyuter disklarini takroriy antivirus dasturlari tekshiruvidan o‘tkazish; • kompyuter tarmoqlaridan olingan barcha bajariladigan fayllarni kirish nazorati uchun antivirus dasturidan foydalanish. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 18 - Ma’ruza: Tizimlarning umumiy arxitekturalari Tizim nima? Tizim – bu yaxlit «butun»ni
Masalan, kompyuter tizimi, LMS tizimi va hak. Kiberxavfsizlik asoslari (CSF1316) Tizim arxitekturasi Tizim arxitekturasi yoki tizimlarning arxitekturasi – bu tizimning tuzilishi, o‘ziga xos xususiyatlari va boshqa qarashlarni belgilaydigan konseptual model. Tizimlar arxitekturasi - bu murakkab tizimlarni tavsiflash va loyihalashda konseptual va amaliy qiyinchiliklarga javobdir. Arxitektura ta’rifi - bu tizimning tuzilishi va hatti- harakatlari to‘g‘risida fikr yuritishni qo‘llab quvvatlaydigan tarzda tashkil qilingan tizimning rasmiy tavsifi. Tizim arxitekturasi butun tizimni amalga oshirishda birgalikda ishlaydigan tizim tarkibiy qismlaridan va ishlab chiqilgan qismtizimlardan iborat bo‘lishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Tizim arxitekturasini aniqlash • tizimning fundamental tashkil etilishi, uning tarkibiy qismlari, ularning bir-biriga va muhitga bo‘lgan munosabati va uning dizayni va evolyusiyasini boshqaruvchi tamoillar asosida; • tizimning tavsifi, shu jumladan apparat va dasturiy komponentlarning funksional imkoniyatlarining xaritasi, dasturiy ta’minot arxitekturasining apparat arxitektura xaritasi va insonning ushbu komponentlar bilan o‘zaro aloqasi asosida; • funksional arxitektura talablari va bazaviy talablarni qondirish uchun mo‘ljallangan istemolchi mahsuloti yoki hayotiy sikl uchun dizayn echimini ta’minlaydigan fizik elementlarning ajratilgan joylashuvi asosida; • tizimning rasmiy tavsifi yoki uning amalga oshirilishini boshqarish uchun komponentlar darajasida tizimning batafsil rejasi asosida; • komponentlarning tuzulishi, ularning o‘zaro bog‘liqligi va vaqt o‘tishi bilan ularning dizayni va evolyusiyasini boshqaruvchi prinsiplar va ko‘rsatmalari asosida. Kiberxavfsizlik asoslari (CSF1316) Tizim arxitekturasining turlari • qurilma arxitekturasi; • dasturiy ta’minot arxitekturasi; • korxona arxitekturasi; • hamkorlik tizimlari arxitekturasi (Internet, aqlli transport tizimlari va havo hujumidan mudofaa tizimlari kabi); • ishlab chiqarish tizimlari arxitekturasi; • strategik tizimlar arxitekturasi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Haqiqat ob’ektlari tizim sifatida modellashtirilgan (ya’ni, funksiyani bajaradigan va uning perimetri kirish, chiqish va ichki holat bilan belgilangan quti). Masalan, mobil telefon - bu ovozni va tugmalar orqali kiritish hamda ovozni va displey orqali chiqarish tizimi. Bundan tashqari, u yoqilgan va o‘chirilgan bo‘lishi mumkin. Umuman olganda, telefon qo‘ng‘iroqlarini amalga oshirishga imkoniyat beradi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizim o‘zidan kichik bo‘lgan tizimlarga qismtizim sifatida bo‘linishi mumkin. Masalan, mobil telefon aslida ekran, klaviatura, korpus, mikrafon, karnay va mikrosxemadan iborat. Ammo, telefon bu barcha elementlarning birlashuvidir va ushbu elementlar to‘plamidan to‘liq tushinib bo‘lmaydi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizim boshqa tizimlar, ya’ni, uning muhiti bilan o‘zaro bog‘langan bo‘lishi mumkin. Masalan, mobil telefon foydalanuvchi, relef (signalni uzatish uchun), reperator (signal bizilganda), er (yiqilganda) va boshqalar bilan bog‘langan. Ushbu tizimlarning barchasi uchning atrof-muhitini tashkil qiladi va ishlab chiqishda hisobga olinadi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizim butun hayotiy sikli davomida ko‘rib chiqilishi kerak. Masalan, mobil telefon loyihalashtiriladi, prototiplanadi, sinovdan o‘tkaziladi, tasdiqlanadi, ishlab chiqariladi, tarqatiladi, sotiladi, foydalaniladi, ta’mirlanadi va nihoyat qayta ishlanadi. Ushbu bosqichlarning barcha muhimdir (va nafaqat foydalanish vaqtida emas). Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizim boshqasiga interfeys orqali ulanishi mumkin. Bu esa ulanish xususiyatlarini modellashtiradi. Masalan, qo‘ng‘iroq qilganda qulog‘imiz telefon bilan bevosita aloqada bo‘ladi va shuning uchun ikki tizim (quloq va telefon) o‘rtasida ulanish mavjud. Biroq, bu erdagi yashirish interfeys – bu havo. Havoning xususiyatlari quloq va telefon o‘rtasidagi aloqaga ta’sir qilishi mumkin (masalan, shovqin ko‘p bo‘lgan holda). Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizimni turli abstraksiya darajalariga ko‘rib chiqish mumkin va bu faqat tegishli xususiyatlar va xatti- harakatlarni hisobga olishga imkon beradi. Masalan, mobil telefon qurilmasini qo‘ng‘iroq qiluvchi (va boshqa zamonaviy funksiyalar) qurilma, bir qancha material va elektronik komponentlarning birgalikdagi tuzilish yoki katta hajmdagi atomlarning to‘plami deb hisoblaysizmi? Ushbu ko‘rinishlarning barchasi haqiqat. Biroq, ular har xil abstraksiya darajasida va ularning mosligi kontekstga bog‘liq bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizimni bir qancha qatlamlar bo‘yicha qarab chiqish mumkin (odatda uchta: ma’nosi, funksiyalari va komponentasi). Masalan, telefon – bu o‘z muhiti uchun bir nechta vazifalarni bajarishga mo‘ljallangan ob’ekt ma’nosini berib, qo‘ng‘iroqlarni amalga oshirish, moda ob’ekti bo‘lish, shaxsiy raqamli yordamchi bo‘lishi va boshqalar. Biroq, ushbu topshiriqlarni amalga oshirish uchun ko‘plab funksiyalar to‘plamiga ega (ekranga ko‘rsatish, signalni uzatish, quvvatlash, foydalanuvchi tomonidan kiritilganlarni qidirish, zarur bo‘lgan ovoz chiqarish va hak.). Va nihoyat, ushbu funksiyalarning barchasi ushbu funksiyalarni bajarish uchun tashkil qilingan jismoniy komponentlar orqali amalga oshiriladi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizim berilgan semantika bilan o‘zaro bog‘liq bo‘lgan modellar orqali tasvirlanishi mumkin (xususiyatlar, tuzilish, holatlar, ma’lumotlar va hak.). Masalan, xususiyatlar nuqtai nazaridan telefon bir metr balandlikdan tushib ketishga chidamli bo‘lgan qurilma. Ammo, telefon ham holatini o‘zgartiradi: telefon o‘chirilgan va yoqish tugmasi bosilganda yoqiladi. Kiberxavfsizlik asoslari (CSF1316) Tizimlar arxitekturasi asosi • Tizimga aloqador turli ishtirkchilarga mos keladigan nuqtai nazarlar orqali tizimni tasvirlash mumkin. Masalan, reklama qiluvchilar, dizaynerlar, muhandislar va hak. Bularning barchasi telefonga nisbatan turlicha tasvirlaydi. Kiberxavfsizlik asoslari (CSF1316) Virtual mashina • Virtual mashina – bu oddiy kompyuter kabi ishlaydigan kompyuter fayli (odatda obraz deb aytiladi). • Boshqacha aytganda kompyuterda yana bir kompyuter yaratiladi. Boshqa har qanday dastur kabi, u alohida oynada ishlaydi. • SHunday qilib, foydalanuvchilar virtual mashinada kompyuterlarning asosiy operatsion tizimidagi kabi bir xil ish sharoitiga ega bo‘ladi. • Virutal mashina tizimning qolgan qismidan ajratilgan, ya’ni uning ichidagi dastur asosiy kompyuter tizimiga ta’sir qilishi yoki uni boshqarishi mumkin emas. • Bu boshqa operatsion tizimlarni, shuningdek beta versiyalarni sinovdan o‘tkazish, viruslarni tahlil qilish, operatsion tizimlarning zaxira nusxalarini yaratish, asosiy operatsion tizimdan farq qiluvchi operatsion tizim va uning dasturiy vositalarini ishlatish uchun ideal muhit hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) Virtual mashina • Bir vaqtning o‘zida bir nechta virtual mashinalar yagona fizik kompyuterda ishlashi mumkin. • Serverlar uchun bir nechta operatsion tizim ularni boshqarish uchun foydalaniladigan maxsus dasturiy ta’minot (gipervizor deb ataladi) bilan ishlaydi. • SHaxsiy kompyuterlarda esa odatda bir operatsion tizimdan boshqa bir operatsion tizimni yuklash oddiy dasturiy ta’minot kabi amalga oshiriladi. • Har bir virtual mashinada CPU, xotira, qattiq disklar, tarmoq interfeysi va boshqa qurilmalarni o‘z ichiga olgan o‘zining virtual qurilmalari mavjud. Kiberxavfsizlik asoslari (CSF1316) Virtual mashina • Virtuallashtirishga qaratilgan dasturiy vositalarga
Narsalar Interneti (Internet of Things, IoT) • IoT – bu o‘zaro bog‘liq bo‘lgan unikal identifikatorga ega hisoblash qurilmalari, mexanik va raqamli mashinalar, ob’ektlar, hayvonlar va odamlar tizimi bo‘lib, tarmoq bo‘ylab ma’lumotni uzatishda inson-inson yoki inson- mashina aloqasini talab etmaydi. Kiberxavfsizlik asoslari (CSF1316) • IoT tushunchasi bir nechta
“Aqlli uylar” • Istemol bozorida IoT texnologiyasi “aqlli uylar” tushunchasiga tegishli bo‘lgan mahsulotlar bilan ko‘proq mos keladi. • Masalan, qurilma yoki dasturiy vositalar uyning yoritish, isitish, xavfsizlik tizimini nazorat qiladi va uni smartfon qurilmalari va turli ovozli buyruqlar bilan osonlik bilan boshqarish mumkin bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Enegriyadan foydalanish va
Internetga ulangan Ring kompaniyasiga tegishli qo‘ng‘iroq Internetga ulangan August Home smart kaliti Bulutli hisoblash (Cloud computing) • Cloud computing hisoblash modeli hisoblanib, ma’lumot, fayl saqlovchilar, ilovalar uchun dinamik infratuzilmani ta’minlash uchun lokal yoki global tarmoqda ulangan ko‘p sondagi tizimlardan tashkil topgan. • Cloud computing termini Internetni ifodalashda foydalanilgan belgidan kelib chiqqan. Odatda, tarmoq diagrammasida Internet bulut (ing., cloud) shaklidagi belgi bilan ifodalanadi. Kiberxavfsizlik asoslari (CSF1316) Internet
Marshrutizator Konsentrator Foydalanuvchi Server
Bulutli hisoblash (Cloud computing) • Cloud Computing ko‘plab masofaviy serverlardagi hisoblashlar bo‘lib, bunda markazlashgan ma’lumot saqlagichlar, onlayn boshqariluvchi xizmatlar yoki resurslardan foydalanishga ruxsat beriladi. Kiberxavfsizlik asoslari (CSF1316) Bulutli hisoblash - afzalliklar Xarajatlarni kamaytirish
Keng
(Scalability/Flexibility) Ishonchlilik (Reliability) Qo‘llab quvvatlash
Harakatlanuvchanlik (Mobile Accessible) Kiberxavfsizlik asoslari (CSF1316) Bulutli hisoblash - Muammolar Kiberxavfsizlik asoslari (CSF1316) Maxfiylik • Ushbu muammo Cloud Computing xizmatlaridan foydalanganda ularda ma’lumotlar xavfsizligini ta’minlash bilan bog‘liq. Masalan, tashkilotda maxfiy saqlangan ma’lumot Cloud Computing tizimiga o‘tkazganda maxfiy kanal, gibrid Cloud Computingdan foydalanish taklif etiladi. Standartlarning kamchiligi • Cloud Computing o‘zining iterfeysiga ega bo‘lsada, ular aynan bir standartga asoslanmagan. SHuning uchun ko‘plab Cloud Computing xizmatlaridan birgalikda foydalanish imkoni yo‘q. Bulutli hisoblash - Muammolar Kiberxavfsizlik asoslari (CSF1316) Doimiy rivojlanish • Foydalanuvchi talabi interfeys yoki tarmoq/saqlovchilar imkoniyatlarini doimiy rivojlanishidir. SHundan kelib chiqib, ushbu texnologiya ham bir joyga turmaydi, doimiy rivojlanishda bo‘ladi. Moslanish mashaqqatlari (Compliance Concerns) • Cloud Computing xizmatida foydalanilayotgan ma’lumot turi va ilova turiga ko‘ra davlatlar ma’lumotlarni himoyalash qonunlari o‘rtasida kelishmovchiliklar mavjud. Bu esa ushbu texnologiyalarni kent tarqalishiga to‘sqinlik qiladi. Masalan, Evropa Ittifoqida barcha davlatlar ma’lumot himoyasi uchun yagona qonuniy himoyaga ega bo‘lsa, AQSH davlatida ushbu qonunlar har bir shtat uchun farq qiladi. Bulutli hisoblashla • Cloud Computing texnologiyasi 3 ta katta turga ajratilib, bular quyidagilar: – Infratuzulma xizmati (Infrastructure-as-a-Service, IaaS); – Platforma xizmati (Platform-as-a- Service, PaaS); – Ilova xizmati (Software-as-a- Service, SaaS). Kiberxavfsizlik asoslari (CSF1316) Fizik sath Vertual sath Infratuzulma xizmati (IaaS) Platforma xizmati (PaaS) Ilova xizmati (SaaS)
O‘rnatilgan tizimlar (Embedded systems) • O‘rnatilgan tizimlar – bu ko‘pincha real vaqt hisoblash cheklovlariga ega bo‘lgan kattaroq mexanik yoki elektr tizimidagi maxsus funksiyaga ega, boshqaruvchidir. • Ular odatda apparat va mexanik qismlarni o‘z ichiga olgan to‘liq qurilmaning bir qismi sifatida o‘rnatilgan. • O‘rnatilgan tizimlar bugungi kunda keng foydalaniladigan bir qancha qurilmalarni boshqaradi. • Ishlab chiqilgan mikroprotsessorlarning 98% o‘rnatilgan tizimlarda ishlatiladi. Kiberxavfsizlik asoslari (CSF1316) O‘rnatilgan tizimlar (Embedded systems) • Zamonaviy o‘rnatilgan tizimlar ko‘pincha mikrokontrollerlarga asoslangan (ya’ni, o‘rnatilgan xotira va pereferik interfeysga ega mikroprotsessorlar). • Biroq, oddiy mikroprotsessorlar (xotira va pereferik interfeys uchun tashqi qurilmalardan foydalanish) ham keng tarqalgan, ayniqsa murakkab tizimlarda. • O‘rnatilgan tizim aniq vazifalarga bag‘ishlangani sababli, loyihalovchilar uni mahsulotning hajmi va narxini kamaytirish, ishonchligini va ishlashini oshirish uchun optimallashtirishlari mumkin. Kiberxavfsizlik asoslari (CSF1316) Protsessor, xotira, quvvat manbai va tashqi
O‘rnatilgan tizimlar (Embedded systems) • O‘rnatilgan tizimlar raqamli soatlar va MP3 pleyerlar kabi ko‘chma qurilmalardan tortib, svetafor nazoratchilari, dasturlashtirilgan mantiqiy boshqaruv qurilmalari kabi yirik stansionar qurilmalar va gibrid transport vositalari, tibbiy tashxislash tizimlarigacha foydalanilishi mumkin. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 19 - Ma’ruza: Axborot xavfsizligi siyosati va uni boshqarish Xavfsizlik siyosati nima? • Xavfsizlik siyosati bu - tashkilotni himoyalash maqsadida amalga oshirilgan xavfsizlik nazoratini tavsiflovchi yuqori sathli hujjat yoki hujjatlar to‘plami. • Xavfsizlik siyosati konfidensiallikni, foydalanuvchanlikni, yaxlitlikni va aktiv qiymatini saqlaydi. • Xavfsizlik siyosatisiz, tashkilotni bo‘lishi mumkin jinoiy ish, foydaning yo‘qolishi va yomon oshkorlik kabi holatlarni oldini olish imkonsiz. • Biroq, u xavfsizlik siyosati asos xavfsizlik hujumlarini nazarda tutmaydi. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosati nimaga kerak? Turli zaifliklar natijasida hosil bo‘lgan xavfsizlik tahdidlariga qarshi kurashish va uni axborotni yo‘qolishidan himoyalash uchun; Tashkilotning barcha funksiyalarini xavfsiz tarzda amalga oshirilishi uchun; Tashqi axborot tahdidlariga kompaniyaning duchor bo‘lishini kamaytirish uchun; Xavfsizlik siyosati tarmoqda qanday qoidalar foydalanishi kerakligi, konfidensial axborot qanday saqlanishi va tashkilot ma’lumotlarini oshkor bo‘lishi va majburiyatlarni kamaytirish uchun qandan shifrlash algoritmlari kerakligi aniqlash orqali qonuniy himoyani ta’minlaydi; Xavfsizlik siyosatlari tahdidlarni sodir bo‘lishidan oldin bashoratlash va zaifliklarni aniqlash orqali xavfsizlik buzilishlari holati ehtimolini kamaytiradi; Zaxira nusxalash va qayta tiklash amallarini joriy qilish orqali tashkilot ma’lumotlarini yo‘qolishi va chiqib ketishi xavfini minimallashtiradi. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatlarining afzalliklari Kuchaytirilgan ma’lumot va tarmoq xavfsizligi Risklarni kamaytirish Qurilmalardan foydalanish va ma’lumotlar transferining monitoringlanishi va
Tarmoqni yuqori unumdorligi Muammolarga tezkor javob berish va harakatsiz vaqtning kamligi Boshqaruvdagi stress darajasini kamayishi Xarajatlarni kamayishi Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatining ierarxiyasi Qonunlar Normativ hujjatlar Siyosatlar Standartlar Instruksiyalar Muolajalar Umumiy qoidalar Kiberxavfsizlik asoslari (CSF1316) Ushbu siyostlar tashkilotdagi har bir xodim amalga oshirishi kerak bo‘lgan qonunlarni o‘rnatadi. Normativ hujjatlar xodimlarni qonunlarga rioya qilishini kafolatlaydi. Siyosatlar yordamida, tashkilot o‘z tarmoq xavfsizligi uchun qonuniy va ichki tarmoq talablarini ishlab chiqadi. Standartlar siyosatni amalga oshirish usullarini tavsiflaydi. Instruksiyalar tashkilot siyosati va standartlarini amalga oshirish strategiyasini aniqlaydi. Muoalajalar tashkilot siyosatlarini bajarish jarayonini amalga oshiruvchi ketma-ket bosqichlar to‘plamidir. Umumiy qoidalar tanlovga ko‘ra maslahatlar bilan ta’minlovchi narsa. YAxshi xavfsizlik siyosatining xususiyatlari Qisqa va aniq Foydalanuvchan bo‘lishi
Iqtisodif asoslangan bo‘lishi Tushunarli bo‘lishi Amaliy bo‘lishi Barqaror bo‘lishi Mulojaviy bardoshli
Kiber va yuridik qonunlarga, standartlarga, qoidalarga va instruksiyalarga mos bo‘lishi Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatining kontenti Xavfsizlik talablari • Ushbu bayon xavfsizlik siyosatini amalga oshirishda tizim uchun talablarni xarakterlaydi. Xavfsizlik talablarining 4 turi mavjud: • Intizom xavfsizligi talablari • Qo‘riqlash xavfsizligi talablari • Muolajaviy xavfsizlik talablari • Kafolat xavfsizligi talablari Siyosat tavsifi • Mazkur qismda asosiy e’tibor xavfsizlik tartibiga, qo‘riqlash, muolajalar, amallarning bog‘liqligi va hujjatlashtirishga qaratiladi. Amalning xavfsizlik tushunchasi • Ushbu tushunchalar xavfsizlik siyosatining rollarini, javobgarliklari va funksiyalarini aniqlaydi. Elementlar joylashuvining arxitekturasi • Ushbu siyosat dasturdagi har bir tizim uchun kompyuter tizimlari arxitekturasini joylashuvini ta’minlaydi. Kiberxavfsizlik asoslari (CSF1316) Siyosatning tipik mazmuni Siyosatning muhim bo‘limlari quyidagilar: • xavfsizlik siyosatining umumiy tavsifi siyosat ko‘rib chiqishi kerak bo‘lgan asosiy ma’lumotlarni taqdim etadi; • maqsad – siyosati nima uchun tuzilganligin batafsil tushuntirish; • harakat sohasi kimni va nimani qamrab olish haqidaga axborotni o‘z ichiga oladi; • qoidalar va javobgarliklar xodimlar va boshqaruv uchun aniqlanadi; • maqsadli auditoriya bu - siyosat ishlab chiqilayotgan foydalanuvchilar va mijozlardir; • siyosatlar bu – xavfsizlik siyosatining har bir aspekti uchun bayondir; • sanksiyalar va buzilishlar mijozlar va foydalanuvchilar rioya qilishi kerak bo‘lgan ruxsat berish/ rad etish jarayonini belgilaydi; • kontakt ma’lumotlari siyosat sanksiyalari va/ yoki buzilishlari yuz berganda kim bilan bog‘linish kerakligi haqidagi axborot; • versiya raqami siyosatdagi barcha o‘zgarishlar va yangilanishlar to‘g‘ri kuzatilishini ta’minlaydi; • glossari siyosatda foydalanilgan turli termin va qisqartmalarni ma’nosini o‘z ichiga oladi. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosati bayoni Tashkilotning xavfsizlik siyosati agar aniq va qisqa bayonlardan iborat bo‘lsa, muvaffaqqiyatli bo‘ladi. Siyosat bayoni bu – tashkilot siyosatini chuqur tarkibini belgilaydigan tuzilma. Siyosat bayonotlari xodimlarga profilaktika choralarini tushunishga yordam beradi. Ideal xavfsizlik siyosati bayonotiga misol: “ma’lumotlardan foydalanish joiz faoliyat talabiga asoslanadi va sub’ektlar rasmiy tasdiq jarayonidan o‘tishi kerak”. YUqoridagi siyosat bayonotida xodimlar ma’lumotlardan faqat rahbariyat tasdiqlagandan so‘ng foydalanishlari aniq ko‘rsatilgan. Agar biror xodim xavfsizlik bayonotiga rioya qilmas, tashkilot zarur choralarni ko‘rishga haqli degan xulosaga kelish mumkin. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatini yaratish va amalga oshirish bosqichlari 1. Risklarni baholash: tashkilot o‘z siyosatini ishlab chiqishdan oldin o‘z aktivlari uchun risklarni baholashi shart. 2. Standart umumiy qoidalar: tashkilot o‘z xavfsizlik siyosatini ishlab chiqishdan oldin umumiy qoidalarni o‘rnatilish shart. 3. Nazoratni kiritilishi: yangi xavfsizlik siyosatini ishlab chiqish yoki mavjudiga qo‘shimcha kiritish jarayonida boshqaruvchi bo‘lishi shart. 4. Jazolar: ma’lum tashkilotlarda qat’iy siyosatlar mavjud. Agar xodimlar ushbu siyosatlarga amal qilmasa, ularga qarshi bir qancha choralar qo‘llaniladi. 5. YAkuniy ishlanma: boshqaruv to‘liq siyosat hujjatlarini tasdiqlashi bilan ular tashkilotdagi barchaga tarqatiladi. 6. Xodimlar tomonidan qabul qilinishi: takshilot tomonidan xavfsizlik siyosati xodimlarga qabul qilinishi talab etiladi. 7. Siyosatini joriy qilish: tashkilotda siyosatni amalga oshirish uchun qo‘shimcha joriy qilish vositalari bo‘lishi mumkin. 8. Xodimlarni o‘rgatish: xodimlarga tashkilot xavfsizlik siyosati davomli ravishda o‘rgatilishi shart. 9. Ko‘rish va yangilash: tashkilot o‘z faoliyatini uzoq vaqtdan beri amalga oshirayotgan bo‘lsa ham, xavfsizlik siyosatini qaytadan ko‘rib chiqishi talab etiladi. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatini ishlab chiqishdagi mulohazalar Siyosatning maqsadi nima? Bu qo‘shimcha xarajatmi yoki shunchaki rasmiyatchilikni? Xavfsizlik biror o‘quv dasturiga mos keladimi? Xavfsizlik siyosati tashkilot maqsadlari bilan mos keladimi? Siyosat yaxshiroq amaliyot uchun umumiy qoidalar bo‘ladimi yoki u standartga asoslanishi kerakmi? Ushbu siyosat nazorati ostida nechta kishi? Ular kimlar? Har bir xodim kamida nimani bilishi kerak? Haqiqatdan ham ushbu siyosatda yozilgan barcha tavsilotlar kerakmi yoki u AT xodimi uchun maxsus yozilganmi? Siyosatni qanday qilib semantik tashkil qilish mumkin? Xodimlar siyosatdan nimani tushunishlari kerak? Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik siyosatini loyihalash siz qo‘llashingiz rejalashtirilgan siyosatlarni ishlab chiqish Siyosatni maqsadini tushuntirish Qisqa vaqtda yangilanishni talab qilmaydigan xavfsizlik siyosatini ishlab chiqish Siyosatlar, standartlar va tavsiyalarni ajratish Tashkilotni asosiy maqsalarini taqdim qilish Siyosatni tushunarli ekanligiga ishonch hosil qilish Tashkilot siyosati xavfsizlikka oid treyningning bir qismi bo‘lishi Kutilayotgan asosiy risklarni aniqlash Kiberxavfsizlik asoslari (CSF1316)
Siyosatni amalga oshirilganligini tekshirish Xavfsizlik siyosatini muvaffaqiyatli amalga oshirishdagi tavsiyalar:
Axborot xavfsizligi siyosatlarining turlari Tashkilot axborot xavfsizligi siyosati (Enterprise Information Security
Kiberxavfsizlik asoslari (CSF1316) Internetdan foydalanish siyosati Nomuntazam siyosat (Promiscuous Policy)
Kiberxavfsizlik asoslari (CSF1316) Maqbul foydalanish siyosati • Siyosatning ushbu turi hisoblash resurslaridan to‘g‘ri foydalanishni belgilaydi. • Unda foydalanuvchilarning o‘z akkauntlarida mavjud bo‘lgan ma’lumotlarni himoya qilish majburiyati ko‘rsatilgan. • Foydalanuvchi tarmoqdagi yoki Internetdagi kompyuterga kirishda siyosat cheklovlarini qabul qilishi kerak. • Ehtiyotkorlik siyosati prinsiplar, taqiqlar, ko‘rib chiqish va jazo choralarini o‘z ichiga oladi va foydalanuvchini shaxsiy sabablarga ko‘ra korporativ resurslardan foydalanishini taqiqlaydi. Kiberxavfsizlik asoslari (CSF1316) Maqbul foydalanish siyosati • Maqbul foydalanish siyosati axborot xavfsizligi siyosatining ajralmas qismi hisoblanadi. • Umuman olganda, tashkilotlar o‘zlarining yangi xodimlariga axborot resurlaridan foydalanishga ruxsat berishdan oldin maqbul foydalanish siyosati bo‘yicha tanishganligi uchun imzo olishadi. • Maqbul foydalanish siyosati foydalanuvchilarni AT infratuzilmasida nimalarni bajarish kerak va nimalarni bajarmaslik kerakligi haqidagi asosiy jixatlarni o‘z ichiga oladi. • Maqbul foydalanish siyosati to‘g‘ri amalga oshirilganiga ishonch hosil qilish uchun, administrator doimiy ravishda xavfsizlik auditini olib borishi kerak. Kiberxavfsizlik asoslari (CSF1316) Maqbul foydalanish siyosati • Masalan, aksariyat tashkilotlar o‘z saytlarida va pochtalarida siyosatga aloqador va diniy mavzularda muzokaralar olib borilishini taqiqlaydi. • Maqbul foydalanish siyosatlarining aksariyatida siyosatni buzganlik uchun jazolar tayinlanadi. • Bunday jazolar foydalanuvchi akkauntini vaqtincha yopib qo‘yishdan tortib qonuniy harakatlar kabi keskin choralarni o‘z ichiga oladi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 20 - Ma’ruza: Risklarni boshqarish Risk nima? • Risk bu – belgilangan sharoitlarda tahdidning manbalarga potensial zarar etkazilishini kutish. • Bundan tashqari, riskni quyidagicha tushunish mumkin: – Risk bu – ichki yoki tashqi majburiyatlar natijasida tahdid yoki hodisalarni yuzaga kelishi, yo‘qotilishi yoki boshqa salbiy ta’sir ko‘rsatishi mumkin bo‘lgan voqea. – Risk bu – manbaga zarar keltiradigan ichki yoki tashqi zaiflik ta’sirida tahdid qilish ehtimoli. – Risk bu – voqea sodir bo‘lishi ehtimoli va ushbu hodisaning axborot texnologiyalari aktivlariga ta’siri. Kiberxavfsizlik asoslari (CSF1316) Risk nima? • Risk, tahdid, zaiflik va ta’sir o‘rtasidagi bog‘lanish quyidagicha: • RISK = Tahdid × Zaiflik × Ta’sir • Hodisaning axborot aktiviga ta’siri bu – aktivdagi yoki manfaatdor tomonlar uchun aktivning qiymatidagi zaiflikning natijasi. AT riski quyidagicha kengaytirilishi mumkin: • RISK = Tahdid × Zaiflik × Aktiv qiymati • Risk quyidagi ikki faktorning mujassamlashganidir: – zararli hodisani yuzaga kelish ehtimoli va; – zararli hodisaning oqibatlari. Kiberxavfsizlik asoslari (CSF1316) Riskning darajalari • Risklar tizimda kutilayotgan ta’siriga bog‘liq holda turli sathlarda guruhlanadi. • Risklarning ta’sir darajasi aktivning va ta’sir qilgan resurslar qiymati va zararning jiddiyligiga bog‘liq bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Risk
• Risklarga qarshi zudlikda chora ko‘rish zarur; • Riskni etarliicha past darajagacha tushirish uchun nazoratlash vositalarini aniqlash va o‘rnatish kerak. O‘rta
• Zidlik bilan chora ko‘rish talab etilmasada, qisqa vaqtda qarshi harakatlarni qo‘llash zarur; • Riskni etarliicha past darajagacha tushirish uchun imkoni boricha nazoratni amalga oshirish kerak. Quyi • Risk ta’sirini kamaytirish uchun profilatika choralarini ko‘rish zarur. Risk matritsasi • Risk matritsasi riskning imkoniyatini, ehtimolini va oqibati/ ta’sirini hisobga olgan holda riskni o‘lchash uchun ishlatiladi. Kiberxavfsizlik asoslari (CSF1316) Ehtimollik Oqibat/ ta’sir
emas Kam O‘rta Ko‘p Jiddiy 81-100% Imkoniyat Juda
Past O‘rta YUqori O‘ta yuqori O‘ta
61-80% YUqori ehtimollik Past O‘rta YUqori YUqori O‘ta
41-60% Teng ehtimollik Past O‘rta O‘rta YUqori YUqori
ehtimollik Past Past O‘rta O‘rta YUqori 1-20% Juda past ehtimollik Past Past O‘rta O‘rta YUqori Riskni boshqarish Riskni boshqarishdan maqsad • Potensial risklarni aniqlash; • Riskni ta’sirin aniqlash va tashkilotga unga qarshi kurashishda yordam berish; • Riskning jiddiylik darajasiga ko‘ra risklarni baholashning usul, vosita va texnologiyalarini o‘rnatish; • Risk va risk hodisasi bayonini tushunish va tahlil qilish; • Riskni nazoratlash va qarshi choralar ko‘rish. Riskni boshqarish afzalligi • Potensial riskni ta’sir sohasiga qaratilgan; • Risklar darajasiga ko‘ra murojaat qilinishi mumkin; • Risklarni tutish jarayonini yaxshilaydi; • Salbiy holatlarda xavfsizlik xodimiga samarali harakat qilishga imkon beradi; • Resurslardan samarali foydalanish imkonini beradi. Kiberxavfsizlik asoslari (CSF1316) Risklarni boshqarishda muhim rollar va javobgarliklar Bosh boshqaruvchi: bosh boshqaruvchini yordami va jalb etilishi samarali risklarni boshqarish uchun talab etiladi. Bosh axborot xodimi: risklarni boshqarish dasturiga muvofiq AT rejalashtirish, moliyalashtirish va amalga oshirish uchun javobgan. Tizim va axborot egasi: axborot tizimlari uchun konfidensiallik, foydalanuvchanlik va butunlikni ta’minlash uchun mos nazorat vositalari uchun javobgar. Biznes va funksional boshqaruvchi: risklarni boshqarish jarayonida qarorlarni qabul qilish uchun javobgar. AT xavfsizlik dasturi boshlig‘i: tashkilot axborot xavfsizligi dasturi uchun javobgar. AT xavfsizlik amaliyotchilari: xavfsizlik nazoratini amalga oshirish uchun javobgar. Xavfsizlik bo‘yicha mashg‘ulot rahbari: risklarni boshqarish jarayonida mos o‘quv darslarini ishlab chiqish va amalga oshirishga javobgar. Kiberxavfsizlik asoslari (CSF1316) Muhim risk ko‘rsatkichlari (MRK) • MRK risklarni boshqarish jarayonining muhim komponenti bo‘lib, harakatlarni xavfliligini ko‘rsatadi. • MRK ni aniqlash uchun tashkilot maqsadini tushunish talab qilinadi. • MRK – tashkilot uchun risk ehtimoli o‘lchovidir. Kiberxavfsizlik asoslari (CSF1316) MRK quyidagilarni
Ogohlantirish va hodisaning zararli ta’sirini aniqlash; Riskning chegara qiymatida xabardor qilish; Xavfli
ehtiyotkorlik bilan qarash. Muhim risk ko‘rsatkichlari • Maqsad uchun xavfni aniqlash; • Zararli ta’sirning ehtimolini aniqlash; • Potensial zararli hodisa aniqlanganda erta ogohlantirish berish. Riskni boshqarish Riskni
Riskni
Riskni
Risk
ko‘rib chiqish Riskni
Kiberxavfsizlik asoslari (CSF1316)
Riskni boshqarish: Riskni aniqlash • Tashkilot xavfsizligiga ta’sir qiluvchi tashqi va ichki risklarning manbasi, sababi, oqibati va haklarni aniqlash. Kiberxavfsizlik asoslari (CSF1316) Muhitni o‘rnatish
Riskni boshqarish: Riskni baholash • Risklarni baholash bosqichi tashkilotning risk darajasini baholaydi va risk ta’siri va ehtimolini o‘lchashni ta’minlaydi. • Risklarni baholash bosqichi takroriy jarayon bo‘lib, bu himoya choralarini o‘rnatishdan keyin holat o‘zgarishiga asoslanadi. • Risklarni baholashda risk qiymatlari son va sifatga ko‘ra baholanishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Riskni tahlil qilish
Riskni boshqarish: Riskni davolash Kiberxavfsizlik asoslari (CSF1316) • Risklarni davolash bu – aniqlangan risklar uchun mos nazoratni tanlash 1 va amalga oshirish jarayoni. • Risklar jiddiylik darajasiga 2 ko‘ra manzillanadi va davolanadi. • Ushbu bosqichda qaror qabul qilish riskni baholash natijasiga 3 asoslanadi. Riskni boshqarish: Riskni davolash bosqichlari • Nazoratlashni amalga oshirish orqali zaifliklarni bartaraf etish Riskni kamaytirish bilan risklarni kamaytirish. • Riskni davolash javobgarligini boshqa tashkilot yoki bo‘limga Riskni transfer qilish transfer qilish. • Bevosita yoki tanlangan nazoratni amalga oshirish orqali tahdid yoki Riskka qarshi kurashish zaiflik bilan aloqador risklarni kamaytirish. • Risklarni boshqarish, transfer qilish yoki kamaytirish harakatlari Riskni qabul qilish tarmoqdagi risk ta’siridan oshib ketganda qabul qilinadi. Riskdan qochish • Riskning sabab va oqibatini kamaytirish • Riskka qarshi choralar rejasi, risklarni ustuvorlashtirish, qarshi Riskni rejalashtirish choralarni amalga oshirish orqali risklarni boshqarish. • Zaifliklarni tadqiq qilish va ularni bartaraf etuvchi nazoratni Taqdiqot va bilimlar aniqlash Kiberxavfsizlik asoslari (CSF1316) Riskni boshqarish: Risk monitoringi va ko‘rib chiqish Risk monitoringi • Risk monitoringi yangi risklarni paydo bo‘lish imkoniyatini aniqlaydi. • Risk monitoringi riskni tutuvchi mos nazorat usuli amalga oshirilganligini kafolatlaydi. • Risk monitoringi shuningdek riskni ehtimoli, ta’siri, holati va oshkor bo‘lishini o‘z ichiga oladi. Riskni ko‘rib chiqish • Riskni ko‘rib chiqish orqali amalga oshirilgan risklarni boshqarish strategiyasi samaradorligi baholanadi. • Risk bayoni top risklardan ogoh bo‘lishni boshqarishni kafolatlaydi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 21-ma’ruza: Dasturiy ta’minot xavfsizligining fundamental prinsiplari Kutilayotgan natija: - xavfli joriy qiymatlar muammosni tushuntirish; - dasturiy ta’minotning uchta prinsipini aytish (eng kam imtiyoz, ochiq dizayn, abstraksiyalash); - har bir prinsipni ta’minlash dastur ta’minot xavfsizligi uchun muhimligini tushuntirish; - ochiq dizayn va yopiq dizayn holatini xavfsizlikka ta’sirini tushuntirish; - tizimni joylashashishini yangilash murakkabligi bilan bog‘liq muammolarni tushuntirish; - xavfsizlik talabi dasturiy ta’minotlar uchun zarurligini tushuntirish. Axborot xavfsizligini ta’minlash barcha sohalarda amalga oshirilib, ular asosan quyidagilarga bo‘linadi: – Tarmoq xavfsizligi; – Web da xavfsizlikni ta’minlash; – Ilova va operatsion tizim xavfsizligi. Dasturiy mahsulotlar xavfsizligi hozirgi kunda kelib, kriptografiya, ruxsatlarni nazoratlash va xavfsizlik protokollari kabi muhim sanaladi. Bunga sabab, axborotlarning vertual xavfsizligi dasturi vositalar orqali amalga oshiriladi. Bundan kelib chiqadiki, agar dasturiy vosita tahdidga uchragan taqdirda, xavfsizlik mexanizmi ham barbod bo‘ladi. Barcha dasturiy vositalarda zaifliklar mavjud bo‘lib, ularning muhimlik darajalari turlichadir. Masalan, qiymati 165 mil. $ ni tashkil etgan NASA Mars Lander, Mars sayyorasi yuzasiga qo‘nish vaqtida halokatga uchragan. Bungan sabab esa, oddiy Ingliz va metr uzunlik o‘lchovlari orasidagi farq sanalgan. Bundan tashqari, Denver xalqaro ayroportidagi yuklarni ushlash tizimida foydalanilgan dasturiy vositadagi kamchilik natijasida, 11 oy davomida kuniga 1 mil.$ dan zarar ko‘rilgan. 21.1 – rasm. 2009 – 2013 yildagi ilova zaifliklari ko‘rsatkichi 2013 – yilda mavjud zaifliklar 760 ta tashkilot tomonidan hosil bo‘lgan. Ular ichida dastlabki 10 tasi jami zaiflikning 50 % tashkil etadi. 21.2 – rasm. Zaiflik manbalari 2013 yildagi mavjud zaifliklarning ilova, operatsion tizim va qurilma nisbatidagi natijalari quyidagi rasmda keltirilgan. 21.3 – rasm. 2012 – 2013 yilda zaifliklar nisbati 2013 – yilda eng ko‘p zaiflik mavjud bo‘lgan operatsion tizim va ilovalar ro‘yxati quyidagi 21.4 – 21.5 – rasmlarda keltirilgan. 21.4 – rasm. Zaifliklarning OT dagi nisbati 21.5 – rasm. Zaifliklarning ilovalardagi kesimi
21.1 - jadval Tizim Dasturdagi kodlar uzunligi Netscape 17 mil. Space Shuttle 10 mil. Linuxkernel 2.6.0 5 mil. Windows XP 40 mil. Mac OS X 10.4 86 mil. Boeing 777 7 mil. Tahlillar natijasi shuni ko‘rsatadiki har 10 000 qator kodda, 5 ta bag mavjud bo‘lar ekan. Boshqacha qilib aytilganda o‘rtacha 3kbayt .exe faylda 50 taga yaqin bag bo‘ladi. DV injineriyasida, dastur kafolatli o‘z maqsadini bajarishiga harakat qilinadi. Xavfsiz DV injineriyasida DV o‘z maqsadini bajarishi talab etiladi. Absolyut xavfsiz DV bo‘lishi mumkin emas. Dasturiy mahsulotlarda xavfsizlik muammolari. Dasturiy mahsulotlarda quyidagi zaiflikka tegishli tushunchalar mavjud. Nuqson. Dasturni amalga oshirishdagi va loyixalashdagi zaifliklarning barchasi nuqsondir. Nuqson dasturiy vositalarda mavjud bo‘lib, yillar davomida bilinmasligi mumkin. Bag. Bag dasturiy ta’minotni amalga oshirish bosqichiga tegishli bo‘lgan muammo. Dasturiy vositalardagi baglarni oson aniqlash mumkin. Masalan, Buffer overflow. Xatolik (error) dasturlashdagi xatolik (‘‘ni, inson). Xatolik to‘g‘ri bo‘lmagan holatni olib kelishi mumkin: fault (kamchilik)( Nuqson dastur ichida bo‘ladi). Kamchilik failure (buzulishni), tizim kutilgan natijani bermaydi (Buzilish tashqi tomondan ko‘zga ko‘rinadi). Barchasi flaw deb ataladi. Xotirani to‘lib toshishi Amalda ko‘p uchraydigan dasturlash tillaridagi kamchiliklar odatda, taqiqlangan formatdagi yoki hajmdagi ma’lumotlar kiritilishi natijasida kelib chiqadi. Bu turdagi tahdidlar ichida keng tarqalgani bu – xotiraning to‘lib toshish tahdidi sanaladi. error fault failure Masalan, veb saytda foydalanuvchidan ma’lumotlar kiritilishi talab etilsa (ismi, familyasi, yili, va hak.), foydalanuvchi tomonidan kiritilgan “ism” maydonidagi ma’lumot serverdagi N ta belgi hajmiga ega sohaga yoziladi. Agar kiritilgan ma’lumot uzunligi N dan katta bo‘lgan holda, xotiraning to‘lib toshishi hodisasi yuzaga keladi. Agar buzg‘unchi tomonidan “kerakli” ma’lumot kiritilsa, bu o‘z navbatida kompyuterni buzulishiga olib keladi. Quyida S dasturlash tilida yozilgan kod keltirilgan bo‘lib, agar bu kod kompilyasiya qilinsa xotiraning to‘lib toshishi hodisasi kelib chiqadi. int main() { int buffer [10]; buffer [20] =37; } Sababi 10 bayt o‘lchamdagi xotiraning 20 baytiga ma’lumot yozilmoqda. Bu esa xotiraning ruxsat etilmagan manziliga murojaatni keltirib chiqaradi. Xavfsizlik prinsiplari Dasturiy ta’minotni ishlab chiqqanda va foydalangand qator prinsiplarga amal qilish talab qilinadi. Quyida OWASP tashkiloti tomonidan taqdim qilingan prinsiplar bilan tanishib chiqiladi: Hujumga uchrash soha maydonini minimallashtirish Dasturiy ta’minotga qo‘shilgan har bir xususiyat umumiy holdagi dasturga ma’lum miqdordagi xavf darajasini qo‘shadi. Dasturni xavfsiz amalga oshirishning maqsadi bu – hujum bo‘lishi mumkin bo‘lgan sohani kamaytirish orqali umumiy dasturdagi xavfni kamaytirish. Masalan, veb saytlarda onlayn yordamni amalga oshirish uchun qidirish funksiyasi mavjud. Biroq, ushbu imkoniyat veb saytga SQL – ineksiya hujumi bo‘lishi ehtimolini keltirib chiqarishi mumkin. Agar qidiruv imkoniyati autentifikatsiyadan o‘tgan foydalanuvchilar uchun bo‘lsa, u holda hujum bo‘lishi ehtimoli kamayadi. Agar qidiruv ma’lumotlari markazlashgan holatda tekshirilsa, u holda ushbu imkoniyat yanada kamayadi. Xavfsiz standart sozlanmalarni o‘rnatish Amalda aksariyat dasuriy ta’minotlarda, operatsion tizimlarda ko‘plab xavfsizlik sozlanmalari standart tartibda o‘rnatilgan bo‘ladi. Biroq, bu holat foydalanuvchilar tomonidan ko‘p ham yaxshi qabul qilinmaydi va shuning uchun aksariyat hollarda ushbu sozlanmalarni o‘chirib qo‘yish amalga oshiriladi. Masalan, OTda parollarni eskirish vaqti standart holda o‘rnatilgan bo‘ladi. Biroq, aksariyat foydalanuvchilar tomonidan ushbu sozlanma o‘chirib qo‘yiladi. Minimal imtiyozlar prinsipi Axborot xavfsizligi, informatika, dasturlash va boshqa sohalarda keng qo‘llaniluvchi minimal imtiyozlar prinsipi (ingl. Principle of least privilege) bu – hisoblash muhitidagi u yoki bu abstraksiya darajasida resurslarga murojaatni tashkil qilish prinsipi bo‘lib, bunga ko‘ra har bir modul o‘z vazifasini to‘laqonli bajarishi uchun zarur bo‘lgan resurs yoki axborotdan minimal darajada foydalanishni talab etadi. Bu prinsip foydalanuvchi yoki dasturga faqat o‘z vazifasi uchun zarur bo‘lgan imtiyozlarga ega bo‘lishi kerakligini anglatadi. Masalan, turli vaqt o‘tkazish uchun ishlab chiqilgan mobil o‘yin dasturlar SMS xabarni o‘qish yoki qo‘ng‘iroq qilish imkoniyatiga ega bo‘lishi shart emas. Dasturlar tillarida (masalan, Java) ob’ektlardan foydanishni cheklash uchun turli kalit so‘zlardan foydalaniladi. Default Private Protected Public Bir xil klass + + + + Bir paket qismklassi + - + + Bir paket qismklass bo‘lmagan + - + +
Turli paket qismklasslari - - + + Turli paket qismklass bo‘lmagan - - - +
Teran himoya prinsipi
Xavfsiz dastur yozish orqali esa, kirish qiymatini tekshirishni, markazlashgan auditni boshqarishni va foydaluvchilarni barcha sahifalarga kirishlarini talab qilishlari mumkin. Agar noto‘g‘ri ishlab chiqilgan adminstrator interfeysi, tarmoqqa kirishni to‘g‘ri ochsa, foydalanuvchilarni avtorizatsiyasini tekshirsa va barcha holatlarni qayd qilsa, u anonim hujumga bardoshsiz bo‘lishi mumkin emas. Xavfsizlikni buzilishi Ilovalar turli sabablarga ko‘ra amalga oshirilish jarayonida buzilishlarga uchraydi. Agar ilova xavfsiz bo‘lsa yoki aksincha, qanday qilib ularni buzilishini aniqlash mumkin. Masalan, isAdmin = true; try { codeWhichMayFail(); isAdmin = isUserInRole( “Administrator” ); } catch (Exception ex) { log.write(ex.toString()); } Mazkur holda codeWhichMayFail() yoki isUserInRole funksiyalarida xatolik bo‘lsa yoki biror Exception kuzatilgan taqdirda, foydalanuvchi admin ro‘lida qolaveradi. Bu ko‘rinib turgan xavfsizlik riski. Xizmatlarga ishonmaslik Hozirgi kunda ko‘plab tashkilotlar uchinchi tomon, sheriklarining hisoblash imkoniyatidan foydalanadi. Masalan, bir tashkilot o‘z ma’lumotlarini o‘z sherigi tomonidagi dasturiy ta’minot bilan qayta ishlashi mumkin. Bu holda ularga ishonish kafolatlanmaydi. Masalan, Payme yoki shunga o‘xshash ilovalar bir nechta bank kartalaridagi ma’lumotlarni taqdim qiladi. Mazkur holda, har bir bank foydalanuvchi tomonida o‘z ma’lumotlarini to‘g‘ri akslantirilganini tekshirishi kerak bo‘ladi. Vazifalarni ajratish Firibgarlikni oldini olishga qaratilgan asosiy chora bu – vazifalarni ajratishdir. Masalan, tashkilotda kompyuterni olish bo‘yicha so‘rov bergan odam o‘zi unga ham imzo qo‘ya olmaydi. Sababi, bu holda u ko‘plab kompyuterlarni so‘rashi va qabul qilib olganini rad qilishi mumkin. Ba’zi bir rollarda oddiy foydalanuvchilarga nisbatan ishonch darajasi turlicha bo‘ladi. Masalan, administrator oddiy foydalanuvchidan farq qiladi. Umuman olganda, administratorlar ilova foydalanuvchilaridan bo‘lmasligi kerak. Masalan, administratorlar tizimni o‘chirishi yoki yoqishi, parollar siyosatini o‘rnata olishi kerak. Biroq, ular onlayn savdo do‘koniga imtiyozga ega foydalanuvchi sifatida kira olmasligi kerak. Masalan, tovarlarni boshqalar nomidan sotib olish imkoniyatiga ega bo‘lmasligi kerak. Xavfsizlikni noaniqlikdan saqlash Noaniqlikka asoslangan xavfsiz bu – zaif xavfsizlik bo‘lib, birinchi nazoratning o‘zida xatolikka uchraydi. Bu sirni saqlash yomon g‘oya degani emas. SHunchaki, xavfsizlikning muhim jixatlari tavsilotlarning yashirin bo‘lishiga asoslanmasligi kerak. Masalan, dasturning xavfsizligi uni ochiq kodidan xabardor bo‘linganda barbod bo‘lmasligi kerak. Xavfsizlik ko‘plab boshqa omillarga, masalan, parolning oqilona siyosatiga, tarmoq arxitekturasiga, auditni boshqarish vositalariga tayanishi kerak. Bunga amaliy misol sifatida, Linux operatsion tizimini keltirish mumkin. Ushbu OT ning kodi ochiq hisoblansada, to‘g‘ri himoyalangan va shuning uchun hozirgi kundagi mustahkam operatsion tizimlardan biri hisoblanadi. Xavfsizlikni sodda saqlang Hujumga uchrash soha maydoni va soddalik bir-biriga bog‘liq. Ba’zi dasturiy ta’minot muhundislari sodni sodda ko‘riinishidan ko‘ra murakkablikni afzal ko‘radilar. Biroq, sodda va tushunishga ason bo‘lgan ko‘rinish tezkor bo‘lishi mumkin. SHuning uchun dasturiy ta’minotni yaratish jarayonida murakkablikdan qochishga harakat qilish kerak. Dasturiy mahsulotlarga qo‘yilgan xavfsizlik talablari Dasturiy mahsulotlarga qo‘yiladigan talablar uch turga bo‘linadi: - Vazifaviy (o‘ziga xos xususiyatlar) talablar; o Tizim amalga oshirishi kerak bo‘lgan vazifalar. - No vazifaviy talablar; o Tizimning xususiyatlari. - Qolgan talablar; o Vazifaviy va no vazifaviy talablardan tashqari talablar. Vazifaviy (o‘ziga xos xususiyatlar) talablar. Bu talablar quyidagilarga qo‘yiladi: - Tizim kutgan kirishga qo‘yilgan talablar; - Tizimdan chiqqan natijaga qo‘yilgan talablar; - Kirish va chiqishga aloqador bo‘lgan talablar. Masalan: - To‘rtta kirish bo‘lishi kerak. Ular tugma bo‘lib, B1, B2, B3 va B4 kabi nomlanishi kerak; - B1 tugma “YOqish” vazifasini; - B2 tugma “O‘chirish” vazifasini; - V3 va V3 “harakat”nuqtalari bo‘lishi kerak; - V1 bosilgandan so‘ng va V4 bosilmasdan oldin tizim “yoqilgan” yozuvini chiqarishi kerak. No vazifaviy (o‘ziga xos xususiyatlar) talablar. - Audit qilish imkoniyati; - Kengaytirish mumkinligi; - Foydalanishga qulayligi; - Bajarilishi; - Ixchamlik; - Ishonchlilik; - Xavfsizlik; - Testlash imkoniyati; - Foydalanuvchanlik; - Va hak. Masalan: - Ishlab chiqilgan dastur Windows XP, Windows Vista va MacOS X 10.4 OT uchun bo‘lishi; - Foydalanuvchi autentifikatsiyalash oynasidan kirganda ko‘pi bilan 20 sek vaqtda olishi; - Tizim tarmoqdan 10 Mbs va 100 ta foydalanuvchini bir vaqtda quvvatlay olishi. Xafvsizlik talablari - Vazifaviy talablardan; - Boshqa xavfsizlik talablaridan olinadi. Xususiy xavfsizlik talablari – Maxfiylik o Tizim ruxsat berilgan foydalanuvchilargagina .doc fayllarni ko‘rsatishi kerak o Xavfsiz aloqa kanalidan foydalanish kerak – Ruxsatlarni nazoratlash o Tizim paroldan foydalanishni talab etishi kerak; o Rollarga asoslangan ruxsatlarni nazoratlash amalga oshirilishi kerak. – Butunlik o Ochiq (public) turdagi foydalanuvchilar uchun faqat o‘qish, maxfiy (private) turidagi foydalanuvchilar uchun ham o‘qish ham yozish huquqi berilishi; o O‘chmaslik. – Foydalanuvchanlik – Boshqaruvchanlik o Kalit harakatlari auditi amalga oshirilishi shart; o Auditlash; o Qayd yozuvlilik. – Autentifikatsiyalash o Kuchli autentifikatsiya. Masalan, veb ilovalarda – Barcha qayd yozuvlarda parol bo‘lishi shart; – 3 ta muvofaqqiyatsiz urinishdan so‘ng qayd yozuvi qulflanishi shart; o Buzg‘unchi DOS tahdidni amalga oshiradi Har bir akkaunt uchun 3 marta urinadi; Barcha akkauntlar qulflanadi. o Bu erda mos keladigan talab: Akkauntga 5 min davomida tahdid amalga oshirilmasa u qulfdan echilishi shart. Dasturlash tiliga asoslangan xavfsizlik Mavjud dasturlash tillarini xavfsiz yoki xavfsiz emas turlariga ajratish nisbiy tushuncha bo‘lib, ularni quyidagicha tasvirlash mumkin. 21.6 – rasm. Dasturlash tillarining xavfsizlik darajasini sodda ko‘rinishi 22-Ma’ruza: Inson xavfsizligi Sotsial injineriya • “Sotsial injineriya” bu - turli xil psixologik usullar va firibgarlik amaliyotining to‘plami bo‘lib, uning maqsadi firibgarlik yo‘li bilan shaxs to‘g‘risida maxfiy ma’lumotlarni olishdir. Kiberxavfsizlik asoslari (CSF1316) • Maxfiy
Sotsial injineriya Kiberxavfsizlik asoslari (CSF1316) Ushbu atama xakerlik sohasidan kirib kelgan. Xaker bu - kompyuter tizimidagi zaifliklarni qidiradigan odam, boshqacha aytganda – “buzg‘unchi”. Hozirgi vaqtda xakerlar har qanday tizimdagi asosiy zaiflik - bu mashina emas, balki shaxs ekanligini yaxshi tushunishadi. Sotsial injineriya Kiberxavfsizlik asoslari (CSF1316) • Psixologiya, hiyla-nayranglar va ta’sir mexanizmlari doirasida insoniyat tomonidan to‘plangan tajribadan foydalangan holda, xakerlar “odamlarga hujum qilishni” boshladilar. Gohida ular “aql xakerligi” deb ham ataladi. Misol
• Aytaylik u sizning telefon raqamingiz va ijtimoiy tarmoqdagi akkauntingiz haqida ma’lumotga ega. • Bundan tashqari u izlanish natijasida sizning akangiz borligini ham aniqladi va akangiz haqida ham etarlicha ma’lumot to‘pladi. • U shuningdek, akangizni telefon raqamini ham qo‘shimcha ishonch uchun bilib qo‘ydi. • SHundan so‘ng ushbu ma’lumotlar asosida o‘z rejasini tuza boshladi. Kiberxavfsizlik asoslari (CSF1316) Reja
simingiz o‘rniga faqat u ataydigan biror lichka ham bo‘lishi mumkin) men akangman deb tanishtiradi va o‘zini ko‘chada bezorilarga duch kelganini va ular barcha narsalarini (telefon, pul, plastik kartochka va boshqalar) olib qo‘yganini aytadi. • Bundan tashqari u o‘ziga bir qiz yordam berganini, biroq uning yonida puli yo‘qligini aytadi. • Biroq, ushbu qizni yonida plastik kartasi borligini va sizdan ushbu plastik kartaga kasalxonaga etib borish uchun zarur bo‘lgan 20000 pulni ko‘chirib berishni talab qiladi. • Mazkur holatlarning 8/10 da xakerlar muvaffaqqiyatga erishganlar va bu ishlarni amalga oshirish malakali xaker uchun qiyinchilik tug‘dirmaydi. Kiberxavfsizlik asoslari (CSF1316) Xiylaning ish berishi • Mazkur holda akangizni ovozini ajratish imkoniyati haqida gap borishi mumkin. – Biroq, inson turli hayojon va shovqin bo‘lgan muhitda bo‘lishi mumkinku! – Bundan tashqari agar siz uxlab yotgan vaqtingizda telefon bo‘lsa, sizning ovozni aniqlashangiz yanada qiyinlashadi. • Ushbu holatda xaker tomonidan foydalanilgan fikrlarni ko‘rib chiqaylik: – SHaxsni yaxshi yashirdi va real misollarga asoslangan (masalan, sizning rasmlaringiz, faqat sizning yaqinlaringiz biladigan joylar va hak.) yaxshi afsona o‘ylab topdi. – Bularning barchasi etarlicha tez va ishonchli tarzda aytilgan. – Ta’sirning juda katta mexanizmidan foydalanilgan – achinishga ta’sir qilingan (hissiyotlarga murojaat qilish). Kiberxavfsizlik asoslari (CSF1316) Sotsial injineriya yo‘nalishlari - Fishing • Fishing (ing. Phishing – balik ovlash) bu – Internetdagi firibgarlikning bir turi bo‘lib, uning maqsadi foydalanuvchining maxfiy ma’lumotlaridan, login/parol, foydalanish imkoniyatiga ega bo‘lishdir. • Bu hozirda keng tarqalgan sotsial injineriya sxemalaridan biri hisoblanadi. • Katta hajmdagi shaxsiy ma’lumotlarni keng tarqalishi, fishing “shamolisiz” amalga oshirilmaydi. • Fishingning eng keng tarqalgan na’munasi sifatida jabrlanuvchi elektron pochtasiga yuborilgan rasmiy ma’lumot ko‘rinishidagi bank yoki to‘lov tizimidan soxtalashtirilgan xabar hisoblanadi. • Bunday elektron pochta xabarlari odatda rasmiy rasmiy veb- saytga o‘xshash va shaxsiy ma’lumotlarni talab qiladigan shaklda bo‘lgan qalbaki veb sahifaga havolani o‘z ichiga oladi. Kiberxavfsizlik asoslari (CSF1316) Fishing - Misol Kiberxavfsizlik asoslari (CSF1316)
Fishing - Mavjud bo‘lmagan havola • Fishing hujumining mazkur ko‘rinishida kutilayotgan veb saytga o‘xshash saytni o‘z ichiga olgan havolaga murojaat amalga oshirilishiga jalb qilinadi. • Masalan, www.PayPai.com manzili www.PayPal.com manzili sifatida yuborish mumkin. • Bu holda kamdan-kam holda foydalanuvchilar “l” harfini o‘riniga “i” harfi borligiga e’tibor berishadi. • Havolaga murojat qilinganda esa www.PayPal.com veb saytga o‘xshash, biroq soxtalashtirilgan saytga tashrif buyuriladi va talab kiritilgan to‘lov kartasi ma’lumotlari kiritiladi. • Natijada kiritilgan ma’lumotlar tezda xaker qo‘lida bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) Misol
tarqalgan fishing xabarni olish mumkin. • Bunga ko‘ra foydalanuvchilarning akkauntlari bloklangani va kredit karta ma’lumotlari blokdan chiqarilishi kerakligi to‘g‘risidani ma’lumot tarqalgan. • Ushbu elektron pochtalarda rasmiy veb-saytga o‘xshash soxta veb sahifaga olib boruvchi havola mavjud bo‘lgan. Kiberxavfsizlik asoslari (CSF1316) • Ushbu
Fishing - Taniqli korporativ brendidan foydalishga asoslangan firibgarlik • Firibgarlikning mazkur ko‘rinishida taniqli yoki yirik kompaniyalar nomidan foydalanuvchi elektron pochtalariga xabarlar yuboriladi. • Xabarlarda kompaniya tomonidan o‘tkazilgan biror tanlovda g‘alaba qozinilganligi haqidagi tabriklar bo‘lishi mumkin. • Unda shuningdek zudlik bilan qayd yozuvi ma’lumotlari va parolni o‘zgartirish kerakligi so‘raladi. • SHunga o‘xshash sxemalar texnik ko‘maklashish xizmati nomidan ham amalga oshiririlishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Fishing - Soxta lotareyalar • Mazkur fishing sxemasiga ko‘ra foydalanuvchi har qanday taniqli kompaniya tomonidan o‘tkazilgan lotareyada yutgani to‘g‘risidagi xabarlarni olishi mumkin. • Tashqi tomondan bu elektron xabarlar kompaniyaning yuqori lavozimli xodimlaridan biri nomidan yuborilganga o‘xshaydi. Kiberxavfsizlik asoslari (CSF1316) Fishing - Soxta antivirus va xavfsizlik dasturi • SHunga o‘xshash firibgar dasturiy ta’minot, shuningdek “chaqqon dastur” deb nomlanuvchi mazkur dasturlar antivirus dasturlariga o‘xshasada, ammo vaziyat aksincha bo‘ladi. • Bu dasturiy ta’minot turli tahdidlar to‘g‘risida yolg‘on xabarnomalarni keltirib chiqaradi va foydalanuvchini soxta bitimlarga jalb qilishga harakat qiladi. • Foydalanuvchi ular bilan elektron pochta, onlayn e’lonlar, ijtimoiy tarmoqlarda, qidiruv tizimlardagi natijalarida va hatto tizim xabarlarini taqlid qiluvchi kompyuterdagi qalqib chiquvchi oynalarda duch kelishi mumkin. Kiberxavfsizlik asoslari (CSF1316) • Quyida keltirilgan misolda aslida
Fishing - Soxta antivirus va xavfsizlik dasturi • Bundan tashqari Rogue Anti-Spyware (yoki rogueware) deb nomlangan soxta dasturiy vosita mavjud bo‘lib, boshqa antivirus dasturlari tomonidan quyidagi troyan dastur sifatida topiladi. Kiberxavfsizlik asoslari (CSF1316) Fishing - IVR (Interactive Voice Response) yoki telefon orqali • Fishing sxemasining mazkur usuli oldindan yozib olingan xabarlar tizimidan foydalanishga asoslangan bo‘lib, ular bank va boshqa IVR tizimlarining “rasmiy qo‘nqiroqlari”ni qayta tiklash uchun ishlatiladi. • Odatda jabrlanuvchi bakn bilan bog‘lanish va har qanday ma’lumotlarni tasdiqlash yoki yangilash haqidagi so‘rov oladi. • Tizim PIN yoki parolni kiritish orqali foydalanuvchini tasdiqlashni talab qiladi. • SHuning uchun, oldin kalit iboralarni yozib olgani sababli jabrlanuvchi barcha ma’lumotlarni kiritishi mumkin bo‘ladi. • Masalan, parolni almashtirish uchun “1” ni bosing va operator javobini olish uchun “2” ni bosing va hak. Kiberxavfsizlik asoslari (CSF1316) Preteksting • Mazkur fishing sxemasida xaker o‘zini boshqa shaxs sifatida ko‘rsatadi va oldindan tayyorlangan skript bo‘yicha maxfiy axborotni olishni maqsad qiladi. • Ushbu hujumda qurbonni shubhalanmasligi uchun tegishli tayyorgarlik ko‘riladi: tug‘ulgan kun, INN, passport raqami yoki hisob raqamining oxirgi belgilari kabi ma’lumotlar topiladi. • Ushbu fishing sxemasi odatda telefon yoki elektron pochta orqali amalga oshiriladi. Kiberxavfsizlik asoslari (CSF1316) Kvid pro kvo (lotinchadan: Quid pro quo) • Ushbu ibora ingliz tilida “xizmat uchun xizmat” degan ma’noni anglatib, sotsial injineriyaning mazkur turida xaker korporativ tarmoq yoki elektron pochta orqali kompaniyaga murojaat qiladi. • Ko‘pincha xaker o‘zini texnik xizmat ko‘rsatuvchi yordamchi sifatida taqdim qilib, texnik xodimning ij joyidagi muammolarni hal qilishda “yordam beraman” deb tanishtiradi. • Texnik muammoni “xal qilishda” nishondagi shaxsni buyruqlarni bajarishga yoki jabrlanuvchining kompyuteriga turli xil dasturlarni o‘rnatishga imkon beradigan harakatlarni bajarishga majbur qiladi. • 2003 yilda Axborot xavfsizligi dasturi doirasida o‘tkazilgan tadqiqot shuni ko‘rsatdiki, ofis xodimlarining 90% har qanday xizmat yoki to‘lov uchun maxfiy ma’lumotlarni, masalan, o‘zlarining parollarini, berishga tayyor ekanlar. Kiberxavfsizlik asoslari (CSF1316) “Yo‘l-yo‘lakay olma” • Sotsial injineriyaning mazkur usulida xaker maxsus yozilgan zararli dastur yozilgan ma’lumot saqlagichlardan foydalanadi. • Buning uchun u zararli dasturlar yozilgan saqlagichlarni qurbon ish muhiti yaqinida, jamoat joylarida va hakazo joylarda qoldiradi. • Ma’lumot saqlovchilar tashkilotga tegishli shaklda rasmiylashtiriladi. • Masalan, ushbu hujum turiga xaker tomonidan korporatsiya logotipi va rasmiy veb-say manzili tushurilgan kompakt diskni qoldirib ketadi. • Ushbu disk sirtida “Rahbarlar uchun ish haqlari” deb yozilishi mumkin. • Ushbu saqlagichni qo‘lga kiritgan qurbon uni o‘z kompyuteriga qo‘yib ko‘radi. Kiberxavfsizlik asoslari (CSF1316) Ochiq ma’lumot to‘plash • Sotsial injineriya texnikasi nafaqat psixologik bilimlarni, balki inson haqida kerakli ma’lumotlarni to‘plash qobilyatini ham talab qiladi. • Bundan ma’lumotlarni olishning nisbatan yangi usuli uni ochiq manbalardan, asosan ijtimoiy tarmoqlardan to‘plashdir. • Masalan, «Odnoklassniki», «VKontakte», «Facebook», «Instagram» kabi saytlarda odamlar yashirishga harakat qilmaydigan juda ko‘p ma’lumotlar mavjud. • Odatda, foydalanuvchilar xavfsizlik muammolariga etarlicha e’tibor bermaydilar va xaker tomonidan ishlatilishi mumkin bo‘lgan ma’lumotlar va xabarlarni bemolol qoldiradilar. Kiberxavfsizlik asoslari (CSF1316) Ochiq ma’lumot to‘plash • Bunga yaqqol misol sifatida Evgeniy Kasperskiyning o‘g‘lini o‘g‘irlab ketilganini misol qilib olish mumkin. YA’ni, tergov davomida jinoyatchilar o‘smirning kun tartibini va marshrutini ijtimoiy tarmoqdagi sahifalardagi yozuvlardan bilib olishgani aniqlangan. • Ijtimoiy tarmoqdagi o‘z sahifasidagi ma’lumotlarga kirishni cheklab qo‘ygan taqdirda ham, foydalanuvchi hech qachon firibgarlik qurboni bo‘lmasligiga ishonch yo‘q. Masalan, Brazilyaning kompyuter xavfsizligi bo‘yicha tadiqiqotchisi 24 soat ichida sotsial injereniya usullaridan foydalangan holda har qanday Facebook foydalanuvchisi bilan do‘st bo‘lishi mumkinligini ko‘rsatdi. Kiberxavfsizlik asoslari (CSF1316) “Elka orqali qarash” hujumi • Ushbu hujumga ko‘ra buzg‘unchi jabrlanuvchiga tegishli ma’lumotlarini uning elkasi orqali qarab qo‘lga kiritadi. Ushbu turdagi hujum jamoat joylarida, masalan, kafe, avtobus, savdo markazlari, aeroport, temir yo‘l stansiyalarida keng tarqalgan. • Olib borilgan so‘rovnomalar shuni ko‘rsatdiki: – 85% ishtirokchilar o‘zlari bilishlari kerak bo‘lmagan maxfiy ma’lumotlarni ko‘rganliklarini tan olishdi; – 82% ishtirokchilar ularning ekranidagi ma’lumotlarini ruxsatsiz shaxslar ko‘rishi mumkinligini tan olishdi; – 82% ishtirokchilar tashkilotdagi hodimlar o‘z ekranini ruxsatsiz odamlardan himoya qilishiga ishonishmaydi. Kiberxavfsizlik asoslari (CSF1316) Teskari sotsial injineriya • Jabrlanuvchining o‘z tajovuzkorga o‘z ma’lumotlarini taqdim qilishi teskari sotsial injineriyaga tegishli holat hisoblanadi. • Bu bir qarashda ma’noga ega bo‘lmagan fikr hisoblansada, aksariyat hollarda jarblanuvchilarning o‘zi muammolarini hal qilish uchun tajovuzkorni yordamga jalb qiladi. • Masalan, jabrlanuvchi bilan ishlovchi tajavuzkor kompyuteridagi biror faylni nomini o‘zgartiradi yoki boshqa katalogga ko‘chirib o‘tkazadi. • Faylni yo‘q bo‘lganini bilgan qurbon esa ushbu muammoni tezda bartaraf etishni istab qoladi. • Bu vaziyatda tajovuzkor o‘zini ushbu muammoni bartaraf etuvchi sifatida ko‘rsatadi va qurbonning muammosini bartaraf etish bilan birga unga tegishli login/ parolni ham qo‘lga kiritadi. • Bundan tashqari ushbu vazifasi bilan tajavuzkor tashkilot ichida obro‘ga ega bo‘ladi va o‘z qurbonlari sonini ortishiga erishadi. • Bu holatni aniqlash esa ancha murakkab ish hisoblanadi. Kiberxavfsizlik asoslari (CSF1316) Mashhur sotsial injinerlar • Kevin Mitnik. Kevin tarixdagi eng mashhur sotsial injnerlardan biri bo‘lib, u dunyodagi mashhur kompyuter xakeri va xavfsizlik bo‘yicha mutaxassisi bo‘lib qolmasdan, u sotsial injineriyaga asoslangan kompyuter xavfsizligiga asoslangan ko‘plab kitoblarning ham muallifidir. Uning fikriga ko‘ra xavfsizlik tizimini buzishdan ko‘ra, aldash yo‘li orqali parolni olish osonroq. Kiberxavfsizlik asoslari (CSF1316) • Aka-uka Badirlar. Ko‘r bo‘lishiga qaramasdan
Sotsial injineriyadan himoyalanish choralari O‘zlarining hujumlarini amalga oshirishda sotsial injineriya texnikasidan foydalangan tajovuzkorlar tez-tez muloyimlik, dangasalik, xushmomilalik hamda foydalanuvchi va tashkilotlar xodimlarining qiziqishlaridan foydalanadilar. Ushbu hujumlarni oldini olish ular aldanayotganliklarini bilmasliklari sababli murakkab hisoblanadi. Sotsial injineriya hujumlarini quyidagicha aniqlash mumkin: • o‘zini do‘stingiz yoki yordam so‘rab murojaat qilgan yangi xodim sifatida tanishtirish; • o‘zini etkazib beruvchi, hamkor kompaniyaning xodimi, qonun vakili sifatida tanishtirish; • o‘zini biror rahbar sifatida tanishtirish; • biror zaiflikni bartaraf etuvchi yoki jabrlanuvchiga biror nimani yangilash imkoniyatini taqdim qiluvchi sotuvchi yoki ishlab chiqaruvchi sifatidan tanishtirish; • muammo yuzaga kelganda yordam beruvchi va keyinchalik muammo tug‘ilganda yordam beruvchi sifatida tanishtirish; • ishonchli hosil qilish uchun ichki jarangdorlik va terminologiyadan foydalanish; • maktubga turli zararli dasturlarni qo‘shib yuborish; • soxta ochilgan oynada login/parolni qayta kiritishni so‘rash; • foydalanuvchi nomi va paroli bilan saytdan o‘tish uchun biror sovg‘a taklif etish; • jabrlanuvchi kompyuteriga yoki dasturiga kiritilgan kalitlarni yozib olish (keylogger dasturlari); • turli xil ma’lumot saqlovchilarni zararli dasturiy vosita bilan bilan foydalanuvchi stoliga tashlash; • turli ovozli qo‘ng‘iroqlardagi ovozli xabarlar va hak. Kiberxavfsizlik asoslari (CSF1316) Sotsial injineriya bilan bog‘liq tahdidlar Telefon bilan bog‘liq tahdidlar
Sotsial injineriya bilan bog‘liq tahdidlar Elektron pochta bilan bog‘liq tahdidlar
Kiberxavfsizlik asoslari (CSF1316) Sotsial injineriya bilan bog‘liq tahdidlar Tezkor xabarlardan foydalanishga asoslangan tahdidlar
Kiberxavfsizlik asoslari (CSF1316) Umumiy himoya choralari • Sotsial injineriyaning mutaxassislari tashkilotlar uchun quyidagi asosiy himoya usullarini qo‘llashni tavsiya etadilar: – muhim ma’lumotlar ko‘rinishida bo‘lishi mumkin bo‘lgan zararsiz ko‘rinadigan ma’lumotlar turlarini hisobga oladigan ishonchli ma’lumotlarni tasniflash siyosatini ishlab chiqish; – ma’lumotlarni shifrlash yoki foydalanishni boshqarish yordamida mijoz ma’lumotlari xavfsizligini ta’minlash; – xodimlarni sotsial injinerni tanib olish ko‘nikmalariga o‘rgatish, ular shaxsan tanimaydigan odamlar bilan muloqotdagi shubhani paydo bo‘lishiga o‘rgatish; – xodimlarga parollarni almashishni yoki umumiy foydalanishni taqiqlash; – shaxsan tanish bo‘lmagan yoki biron-bir tarzda tasdiqlanmagan shaxsga bo‘limga tegishli ma’lumotni berishni taqiqlash; – maxfiy ma’lumotlarga kirishni so‘raganlar uchun maxsus tasdiqlash protseduralaridan foydalanish. Kiberxavfsizlik asoslari (CSF1316) Sotsial injineriya uchun ko‘p darajali xavfsizlik tizimlaridan foydalanish • Fizik xavfsizlik. Kompaniya binolari va korporativ resurslarga kirishni cheklaydigan to‘siqlar. SHuni unutmangki, kompaniyaning resurslari, masalan, kompaniya hududidan tashqarida joylashgan axlat konteynerlari fizik himoyalanmagan. • Ma’lumotlar. Biznes ma’lumotlari: qayd yozuvlari, pochta va boshqalar. Tahdidlarni tahlil qilish va ma’lumotlarni himoya qilish choralarini rejalashtirishda qog‘oz va elektron ma’lumotlar tashuvchilar bilan ishlash tamoyillarini aniqlash kerak. • Ilovalar. Foydalanuvchilar tomonidan boshqariladigan dasturlar. Atrofingizni himoya qilish uchun tajovuzkorlar elektron pochta dasturlari, tezkor xabarlar xizmati va boshqa dasturlardan qanday foydalanishlari mumkinligini ko‘rib chiqishingiz kerak. Kiberxavfsizlik asoslari (CSF1316) Sotsial injineriya uchun ko‘p darajali xavfsizlik tizimlaridan foydalanish • Kompyuterlar. Tashkilotda ishlatiladigan serverlar va mijoz tizimlari. Korporativ kompyuterlarda qaysi dasturlardan foydalanish mumkinligini ko‘rsatadigan qat’iy tamoyillarni belgilab, foydalanuvchilarni o‘zlarining komp’yuterlariga to‘g‘ridan-to‘g‘ri hujumlardan himoya qilish. • Ichki tarmoq. Korxona tizimlari o‘zaro ta’sir qiladigan tarmoq. Bu mahalliy, global yoki simsiz bo‘lishi mumkin. So‘nggi yillarda masofadan ishlaydigan usullarning mashhurligi oshib borishi sababli, ichki tarmoqlarning chegaralari sezilarli darajada o‘zboshimchalik asosida kengaytirildi. Kompaniya xodimlari har qanday tarmoq muhitida xavfsiz ishlarni tashkil qilish uchun nima qilish kerakligini tushunishlari kerak. • Tarmoq perimetri. Kompaniyaning ichki tarmoqlari va tashqi, masalan Internet yoki hamkor tashkilotlar tarmoqlari o‘rtasidagi chegara. Kiberxavfsizlik asoslari (CSF1316) Ommaviy madaniyatda sotsial injinerlikdan foydalanish holatlari Quyidagi keltirilgan kinolarda sotsial injinerlikga oid epizodlar mavjud: • «Poymay menya, esli smojesh»; • «Poymay tolstuxu, esli smojesh»; • «Odin doma»; • «Xakerы»; • «Afera Tomasa Krauna»; • «Brilliantы navsegda»; • «Kto ya». Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! 23-Ma’ruza:Kiberjinoyatlar, kiberqonunlar va kiberetika Kiberjinoyatchilik nima? • Kiberjinoyatchilik bu – kompyuter yoki boshqa qurilmalarga qarshi qilingan yoki kompyuter va boshqa qurilmalar orqali qilingan jinoiy faoliyat. • Kiberjinoyatchilikning eng keng tarqalgan turlari bu: kompyuter qaroqchiligi, onlayn firibgarlik, kompyuter tizimlariga hujum qilish, shaxsiy ma’lumotlarni o‘g‘irlash va noqonuniy yoki taqiqlangan ma’lumotlarni tarqatish. Kiberxavfsizlik asoslari (CSF1316) Kiberjinoyatdan asosiy maqsad nima? • pul, qimmatli qog‘ozlar, kredit, moddiy boyliklar, tovarlar, xizmatlar, imtiyozlar, ko‘chmas mulk, yoqilg‘i xom ashyosi, energiya manbalari va strategik xom ashyolarni noqonuniy olish; • soliq va turli yig‘imlarni to‘lashdan bosh tortish; • jinoiy daromadlarni legallashtirish; • qalbaki hujjatlar, shtamplar, muhrlar, blankalar, shaxsiy yutuqlar uchun kassa chiptalarini qalbakilashtirish yoki tayyorlash; • shaxsiy yoki siyosiy maqsadlarda maxfiy ma’lumotlarni olish; • ma’muriyat yoki ishdagi hamkasblar bilan shaxsiy dushmanlik munosabatlari asosida qasos olish; • shaxsiy yoki siyosiy maqsadlar uchun mamlakat pul tizimini buzish; • mamlakatdagi vaziyatni, hududiy ma’muriy tuzulishni beqarorlashtirish yoki siyosiy maqsadlar uchun tartibga solish; • talonchilik, raqibni yo‘q qilish yoki siyosiy maqsadlar uchun muassasa, korxona yoki tizim ishini tartibga solmaslik; • boshqa jinoyatlarni yashirish uchun; • tadqiqot masalalarida; • shaxsiy intelektual qobiliyat yoki ustunlikni namoyish qilish uchun. Kiberxavfsizlik asoslari (CSF1316) Motivatsiyalar moliyaviy qiyinchilikdan
Kiberxavfsizlik asoslari (CSF1316) Kiberjinoyatchilikning turlari Kiberjinoyat turlarini qat’iy bir klassifikatsiyalashning imkoni yo‘q. SHuning uchun, quyida kriminologiya sohasida aloqador holda kiberjinoyatlarni turlari bilan tanishib o‘tiladi. Kriminologiya sohasiga oid adabiyotlarda kiberjinoyatchilikning quyidagi turlari keltirilgan: • iqtisodiy kompyuter jinoyatlari; • inson va fuqarolarning konstitutsiyaviy huquqlari va erkinliklariga qarshi qaratilgan kompyuter jinoyatlari; • jamoat va davlat xavfsizligiga qarshi kompyuter jinoyatlari. Kiberxavfsizlik asoslari (CSF1316) Kiberetika nima? • Kiberetika bu – kompyuterlar bilan bog‘liq falsafiy soha bo‘lib, foydalanuvchilarning xatti-harakatlari, kompyuterlar nimaga dasturlashtirilganli gi va umuman insonlarga va jamiyatga qanday ta’sir ko‘rsatishini o‘rganadi. Kiberxavfsizlik asoslari (CSF1316) Misollar
ma’lumotlarni (masalan, onlayn holatlar yoki GPS orqali joriy joylashuvni) uzatish joizmi? • Foydalanuvchilarni soxta ma’lumotlardan himoya qilish kerakmi? • Raqamli ma’lumotlarga kim egalik qiladi (musiqa, filmlar, kitoblar, veb-sahifalar va boshqalar) va ularga nisbatan foydalanuvchilar qanday huquqlarga ega; • Onlayn qimor va pornografiya tarmoqda qanday darajada bo‘lishi kerak? • Internetdan foydalanish har bir kishi uchun mumkin bo‘lishi kerakmi? Kiberxavfsizlik asoslari (CSF1316) Intellektual mulk huquqlari • Internet tarmog‘ining doimiy ravishda o‘sib borishi va turli ma’lumotlarni siqish texnologiyalarining (masalan, mp3) paydo bo‘lishi “peer-ro-peer” fayl almashinuviga katta yo‘l ochdi. Bu texnologiya dastlab foydalanuvchilar Napster kabi dasturlarga paydo bo‘lgan bo‘lsa, endilikda BitTorrent kabi ma’lumotlarni uzatish protokollarida foydalaniladigan fayllarni bir-biriga anonim uzatish imkoniyatini beradi. Uzatilgan musiqalarning aksariyati mualliflik huquqi bilan himoyalangan bo‘lsada, bu usul boshqalarga tarqatishni noqonuniy holga keltirgan. • Hozirgi kunda aksariyat elektron ko‘rinishdagi media fayllar (musiqa, audio va kinolar) intelektual mulk huquqlariga rioya qilmasdan ommaga tarqalmoqda. Masalan, aksariyat katta mablag‘ sarflangan kinolarning peratiskiy versiyasi chiqishi natijasida, o‘z sarf xarajatini qoplay olmaslik holatlari kuzatilmoqda. • Bu holatni dasturiy ta’minotlar uchun ham ko‘rish mumkin. Masalan, aksariyat dasturlar litsenziyaga ega hisoblansada, turli usullar yordamida ularning “crack” qilingan versiyalari amalda keng qo‘llaniladi. Masalar, litsenziyaga ega bo‘lmagan Windows 10 OT, antivirus dasturiy vositalari, ofis dasturiy vositalari va hak. Kiberxavfsizlik asoslari (CSF1316) Mualliflik huquqini himoyalashning texnik vositalari • Mualiflik huquqini ta’minlashda turli himoya usullaridan foydalaniladi. • Bular CD/DVD disklardagi ma’lumotlarni ruxsatsiz ko‘chirishdan himoyalashdan tortib, oddiy PDF fayllarni tahrirlash imkoniyatini cheklash kabi jarayonlarni o‘z ichiga olishi mumkin. • Biroq, boshqa toifadagi insonlar agar men litsenziyaga ega CD diskni sotib olsam, undan ko‘chirish imkoniyatiga ham ega bo‘lishim kerak deb fikrlaydilar. Kiberxavfsizlik asoslari (CSF1316) Xavfsizlik • Internet tarmog‘idagi
Kiberxavfsizlik asoslari (CSF1316) Aniqlik
ba’zi bir shaxs yoki jamoalar tabiati tufayli ma’lumotlarning aniqligini bilan shug‘ullanish muammoga aylanmoqda. Boshqa so‘z bilan aytganda Internetdagi ma’lumotlarning aniqligiga kim javob beradi? Bundan tashqari Internetdagi ma’lumotlarni kim to‘ldirib boradi, undagi xatolar va kamchiliklar uchun kim javobgar bo‘lishi kerakligi to‘g‘risidagi tortishuvlar mavjud. Kiberxavfsizlik asoslari (CSF1316) Foydalanuvchanlik, senzura va filterlash • Foydalanuvchanlik, senzura va axborotni filterlash mavzulari kiberetika bilan bog‘liq ko‘plab axloqiy masalalarni ko‘taradi. • Ushbu masalalarning mavjudligi bizning maxfiylik va shaxsiylikni tushunishimizga va jamiyatdagi ishtirokimizga shubha tug‘diradi. • Agar biror qonun qoidaga asosan ma’lumotlardan foydalanishni cheklash yoki filterlash asosida ushbu ma’lumotni tarqalishi yoki foydalanuvchanligiga ta’sir qilish mumkin. • Hozirda ushbu holatlar amalda keng qo‘llanilmoqda. • Senzura ham past darajada (masalan, kompaniya o‘z xodimlari uchun) yoki yuqori darajada (hukumat tomonidan xavfsizlikni ta’minlash uchun amalga oshirilgan) bo‘lishi mumkin. • Mamlakatga kiruvchi ma’lumotlarni boshqarishning eng yaxshi misollaridan biri bu “Buyuk Xitoy Fayrvoli” nomi bilan mashhur bo‘lgan loyihadir. Kiberxavfsizlik asoslari (CSF1316) Taqiqlangan kontentlar (pornografiya) • Internet tarmog‘ida mavjud bo‘lgan taqiqlangan kontentlardan voyaga etmaganlar tomonidan foydalanish doim axloqiy munozaralarga sabab bo‘lmoqda. Ayrim davlatlarda bunday kontentlardan foydalanish qattiq taqiqlansa, ayrim davlatlarda bunga ruxsat berilgan. Kiberxavfsizlik asoslari (CSF1316) Qimor o‘yinlari • Bu muammo ham etik masaladagi munozaralardan biri bo‘lib, uni kimlardir zarar deb hisoblasa, yana kimlardir ularga qonun aralashuvini yoqlamaydilar. O‘z navbatida ushbu tomonlar orasidagi munozaralar qaysi turdagi o‘yinlarga ruxsat berish kerak? Ular qayerda o‘tkazilishi kerak? degan savollar keng muzokaralarga sabab bo‘lmoqda. Hozirda aksariyat davlatlarda bu turdagi o‘yinlarga qonuniy ruxsat berilgan bo‘lsa, qolganlariga qat’iy cheklovlar mavjud. Kiberxavfsizlik asoslari (CSF1316) Kompyuterlan foydalanish etikalari Kompyuter etikasi instituti notijoriy tashkilot bo‘lib, vazifasi texnologiyani axloqiy nuqta nazardan targ‘ib qilishdir. Ushbu tashkilot tomonidan quyidagi 10 ta etika qoidalari keltirib o‘tilgan: • SHaxsiy kompyuteringizdan boshqalarning zarariga foydalanmang. • Boshqa foydalanuvchilarning kompyuter ishlariga xalaqit bermang. • Boshqa odamlarning kompyuter fayllariga qaramang. • O‘g‘irlik uchun kompyuterdan foydalanmang. • YOmonlik uchun kompyuterdan foydalanmang. • O‘zingiz pul to‘lab sotib olmagan dasturdan foydalanmang va nusxa ko‘chirmang. • Birovni kompyuterini ruxsatsiz foydalanmang. • Birovlarni intellektual mehnati samarasiga zarar etkazmang. • Siz yaratgan dasturni ijtimoiy oqibati haqida o‘ylang. • O‘z kompyuteringizdan boshqalarga nisbatan ongli va hurmat bilan foydalaning. Kiberxavfsizlik asoslari (CSF1316) Axborotdan oqilona foydalinish kodeksi Axborotdan oqilona foydalanish kodeksi buxgalteriya tizimiga qo‘yiladigan talablarni ta’kidlaydigan besh tamoilga asoslanadi. Ushbu talablar AQSH sog‘liqni saqlash va insonlarga xizmat ko‘rsatish vazirligin tomonidan 1973 yilda kiritilgan: • SHaxsiy ma’lumotlarni to‘playdigan tizimlar bo‘lmasligi kerak. Biroq, bu haqiqat sirdir. • Har bir kishi tizimda u to‘g‘risida qanday ma’lumotlar saqlanishini va undan qanday foydalanilishini boshqarishi kerak. • Har bir kishi u to‘g‘risida to‘plangan ma’lumotlardan bitta maqsadda, boshqa maqsadlarda foydalanilishini oldini olish imkoniyatiga ega bo‘lishi kerak. • Har kim o‘zi haqidagi ma’lumotlarni to‘g‘irlashi kerak. • SHaxsiy ma’lumotlar sirasiga kiruvchi ma’lumotlar to‘plamini yaratish, saqlash, ishlatish yoki tarqatish bilan shug‘ullanadigan har bir tashkilot ushbu ma’lumotlardan faqat ular belgilangan maqsadlar uchun foydalanilishini ta’minlash va ulardan boshqa maqsadlarda foydalanilishiga qarshi choralar ko‘rishi kerak. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 2002 yil 12 dekabrda O‘zbekiston Respublikasining 439-II – sonli “Axborot erkinligi prinsiplari va kafolatlari to‘g‘risida”gi qonuni qabul qilindi. Ushbu qonun 16 moddadan iborat. Xususan unda quyidagilar belgilangan: 1-modda. Ushbu Qonunning asosiy vazifalari Ushbu Qonunning asosiy vazifalari axborot erkinligi prinsiplari va kafolatlariga rioya etilishini, har kimning axborotni erkin va moneliksiz izlash, olish, tekshirish, tarqatish, foydalanish va saqlash huquqlari ro‘yobga chiqarilishini, shuningdek axborotning muhofaza qilinishini hamda shaxs, jamiyat va davlatning axborot borasidagi xavfsizligini ta’minlashdan iborat. 4-modda. Axborot erkinligi O‘zbekiston Respublikasining Konstitutsiyasiga muvofiq har kim axborotni moneliksiz izlash, olish, tekshirish, tarqatish, undan foydalanish va uni saqlash huquqiga ega. Axborot olish faqat qonunga muvofiq hamda inson huquq va erkinliklari, konstitutsiyaviy tuzum asoslari, jamiyatning axloqiy qadriyatlari, mamlakatning ma’naviy, madaniy va ilmiy salohiyatini muhofaza qilish, xavfsizligini ta’minlash maqsadida cheklanishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 6-modda. Axborotning ochiqligi va oshkoraligi Axborot ochiq va oshkora bo‘lishi kerak, maxfiy axborot bundan mustasno. Maxfiy axborotga quyidagilar kirmaydi: • fuqarolarning huquq va erkinliklari, ularni ro‘yobga chiqarish tartibi to‘g‘risidagi, shuningdek davlat hokimiyati va boshqaruv organlari, fuqarolarning o‘zini o‘zi boshqarish organlari, jamoat birlashmalari va boshqa nodavlat notijorat tashkilotlarining huquqiy maqomini belgilovchi qonun hujjatlari; • ekologik, meteorologik, demografik, sanitariya-epidemiologik, favqulodda vaziyatlar to‘g‘risidagi ma’lumotlar hamda aholining, aholi punktlarining, ishlab chiqarish ob’ektlari va kommunikatsiyalarning xavfsizligini ta’minlash uchun zarur bo‘lgan boshqa axborotlar; • axborot-kutubxona muassasalarining, arxivlarning, idoraviy arxivlarning va O‘zbekiston Respublikasi hududida faoliyat ko‘rsatayotgan yuridik shaxslarga tegishli axborot tizimlarining ochiq fondlaridagi mavjud ma’lumotlar. Davlat hokimiyati va boshqaruv organlari, fuqarolarning o‘zini o‘zi boshqarish organlari, jamoat birlashmalari va boshqa nodavlat notijorat tashkilotlari jamiyat manfaatlariga taalluqli voqealar, faktlar, hodisalar va jarayonlar to‘g‘risida qonun hujjatlarida belgilangan tartibda ommaviy axborot vositalariga xabar berishi shart. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 10-modda. Axborot berishni rad etish Agar so‘ralayotgan axborot maxfiy bo‘lsa yoki uni oshkor etish natijasida shaxsning huquqlari va qonuniy manfaatlariga, jamiyat va davlat manfaatlariga zarar etishi mumkin bo‘lsa, axborotni berish rad etilishi mumkin. So‘ralayotgan axborotni berish rad etilganligi to‘g‘risidagi xabar so‘rov bilan murojaat etgan shaxsga so‘rov olingan sanadan e’tiboran besh kunlik muddat ichida yuboriladi. Rad etish to‘g‘risidagi xabarda so‘ralayotgan axborotni berish mumkin emasligi sababi ko‘rsatilishi kerak. Maxfiy axborot mulkdori, egasi axborotni so‘rayotgan shaxslarni bu axborotni olishning amaldagi cheklovlari to‘g‘risida xabardor etishi shart. Axborot berilishi qonunga xilof ravishda rad etilgan shaxslar, shuningdek o‘z so‘roviga haqqoniy bo‘lmagan axborot olgan shaxslar o‘zlariga etkazilgan moddiy zararning o‘rni qonunda belgilangan tartibda qoplanishi yoki ma’naviy ziyon kompensatsiya qilinishi huquqiga ega. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 11-modda. Axborotni muhofaza etish Har qanday axborot, agar u bilan qonunga xilof ravishda muomalada bo‘lish axborot mulkdori, egasi, axborotdan foydalanuvchi va boshqa shaxsga zarar etkazishi mumkin bo‘lsa, muhofaza etilmog‘i kerak. Axborotni muhofaza etish: • shaxs, jamiyat va davlatning axborot sohasidagi xavfsizligiga tahdidlarning oldini olish; • axborotning maxfiyligini ta’minlash, tarqalishi, o‘g‘irlanishi, yo‘qotilishining oldini olish; • axborotning buzib talqin etilishi va soxtalashtirilishining oldini olish maqsadida amalga oshiriladi. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 13-modda. SHaxsning axborot borasidagi xavfsizligi SHaxsning axborot borasidagi xavfsizligi uning axborotdan erkin foydalanishi zarur sharoitlari va kafolatlarini yaratish, shaxsiy hayotiga taalluqli sirlarini saqlash, axborot vositasida qonunga xilof ravishda ruhiy ta’sir ko‘rsatilishidan himoya qilish yo‘li bilan ta’minlanadi. Jismoniy shaxslarga taalluqli shaxsiy ma’lumotlar maxfiy axborot toifasiga kiradi. Jismoniy shaxsning roziligisiz uning shaxsiy hayotiga taalluqli axborotni, xuddi shuningdek shaxsiy hayotiga taalluqli sirini, yozishmalar, telefondagi so‘zlashuvlar, pochta, telegraf va boshqa muloqot sirlarini buzuvchi axborotni to‘plashga, saqlashga, qayta ishlashga, tarqatishga va undan foydalanishga yo‘l qo‘yilmaydi, qonun hujjatlarida belgilangan hollar bundan mustasno. Jismoniy shaxslar to‘g‘risidagi axborotdan ularga moddiy zarar va ma’naviy ziyon etkazish, shuningdek ularning huquqlari, erkinliklari va qonuniy manfaatlari ro‘yobga chiqarilishiga to‘sqinlik qilish maqsadida foydalanish taqiqlanadi. Fuqarolar to‘g‘risida axborot oluvchi, bunday axborotga egalik qiluvchi hamda undan foydalanuvchi yuridik va jismoniy shaxslar bu axborotdan foydalanish tartibini buzganlik uchun qonunda nazarda tutilgan tarzda javobgar bo‘ladilar. Ommaviy axborot vositalari axborot manbaini yoki taxallusini qo‘ygan muallifni ularning roziligisiz oshkor etishga haqli emas. Axborot manbai yoki muallif nomi faqat sud qarori bilan oshkor etilishi mumkin. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 14-modda. Jamiyatning axborot borasidagi xavfsizligi Jamiyatning axborot borasidagi xavfsizligiga quyidagi yo‘llar bilan erishiladi: • demokratik fuqarolik jamiyati asoslari rivojlantirilishini, ommaviy axborot erkinligini ta’minlash; • qonunga xilof ravishda ijtimoiy ongga axborot vositasida ruhiy ta’sir ko‘rsatishga, uni chalg‘itishga yo‘l qo‘ymaslik; • jamiyatning ma’naviy, madaniy va tarixiy boyliklarini, mamlakatning ilmiy va ilmiy-texnikaviy salohiyatini asrash hamda rivojlantirish; • milliy o‘zlikni anglashni izdan chiqarishga, jamiyatni tarixiy va milliy an’analar hamda urf-odatlardan uzoqlashtirishga, ijtimoiy-siyosiy vaziyatni beqarorlashtirishga, millatlararo va konfessiyalararo totuvlikni buzishga qaratilgan axborot ekspansiyasiga qarshi harakat tizimini barpo etish. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 15-modda. Davlatning axborot borasidagi xavfsizligi Davlatning axborot borasidagi xavfsizligi quyidagi yo‘llar bilan ta’minlanadi: • axborot sohasidagi xavfsizlikka tahdidlarga qarshi harakatlar yuzasidan iqtisodiy, siyosiy, tashkiliy va boshqa tusdagi chora-tadbirlarni amalga oshirish; • davlat sirlarini saqlash va davlat axborot resurslarini ulardan ruxsatsiz tarzda foydalanilishidan muhofaza qilish; • O‘zbekiston Respublikasining jahon axborot makoniga va zamonaviy telekommunikatsiyalar tizimlariga integratsiyalashuvi; • O‘zbekiston Respublikasining konstitutsiyaviy tuzumini zo‘rlik bilan o‘zgartirishga, hududiy yaxlitligini, suverenitetini buzishga, hokimiyatni bosib olishga yoki qonuniy ravishda saylab qo‘yilgan yoxud tayinlangan hokimiyat vakillarini hokimiyatdan chetlatishga va davlat tuzumiga qarshi boshqacha tajovuz qilishga ochiqdan-ochiq da’vat etishni o‘z ichiga olgan axborot tarqatilishidan himoya qilish; • urushni va zo‘ravonlikni, shafqatsizlikni targ‘ib qilishni, ijtimoiy, milliy, irqiy va diniy adovat uyg‘otishga qaratilgan terrorizm va diniy ekstremizm g‘oyalarini yoyishni o‘z ichiga olgan axborot tarqatilishiga qarshi harakatlar qilish. Kiberxavfsizlik asoslari (CSF1316) Milliy qonunlar 16-modda. Axborot erkinligi prinsiplari va kafolatlari to‘g‘risidagi qonun hujjatlarini buzganlik uchun javobgarlik • Axborot erkinligi prinsiplari va kafolatlari to‘g‘risidagi qonun hujjatlarini buzganlikda aybdor shaxslar belgilangan tartibda javobgar bo‘ladilar. Kiberxavfsizlik asoslari (CSF1316) JAVOBGARLIKLAR: O‘zbekiston Respublikasining ma’muriy javobgarlik to‘g‘risidagi kodeksi 155-modda. Axborotdan foydalanish qoidalarini buzish • Axborot tizimidan foydalanish maqsadida unga ruxsatsiz kirib olishda ifodalangan axborot va axborot tizimlaridan foydalanish qoidalarini buzish — – fuqarolarga eng kam ish haqining uchdan bir qismidan bir baravarigacha, mansabdor shaxslarga esa — bir baravaridan uch baravarigacha miqdorda jarima solishga sabab bo‘ladi. • Axborot tizimlarining ishini buzishga olib kelgan xuddi shunday huquqbuzarlik, xuddi shuningdek kirish cheklangan axborot tizimlarini axborot- hisoblash tarmoqlariga ulash chog‘ida tegishli himoya choralarini ko‘rmaganlik — – fuqarolarga eng kam ish haqining bir baravaridan uch baravarigacha, mansabdor shaxslarga esa — uch baravaridan besh baravarigacha miqdorda jarima solishga sabab bo‘ladi. • YUridik va jismoniy shaxslarning axborot tizimlarini xalqaro axborot tarmoqlariga qonunga xilof ravishda ulash, bu tarmoqlarga tegishli himoya choralarini ko‘rmasdan ulanish, xuddi shuningdek ulardan ma’lumotlarni qonunga xilof ravishda olish — – fuqarolarga eng kam ish haqining ikki baravaridan besh baravarigacha, mansabdor shaxslarga esa — besh baravaridan etti baravarigacha miqdorda jarima solishga sabab bo‘ladi. • O‘zganing elektron hisoblash mashinalari uchun yaratilgan dasturi yoki ma’lumotlar bazasini o‘z nomidan chiqarish yoxud qonunga xilof ravishda undan nusxa olish yoki bunday asarlarni tarqatish — – fuqarolarga eng kam ish haqining bir baravaridan uch baravarigacha, mansabdor shaxslarga esa — uch baravaridan besh baravarigacha miqdorda jarima solishga sabab bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) JAVOBGARLIKLAR: O‘zbekiston Respublikasining ma’muriy javobgarlik to‘g‘risidagi kodeksi 218-modda. Ommaviy axborot vositalari mahsulotlarini qonunga xilof ravishda tayyorlash va tarqatish • Ommaviy axborot vositalarining mahsulotlarini belgilangan tartibda ro‘yxatdan o‘tkazmasdan yoki ularni chiqarishni yoxud nashr etishni to‘xtatish to‘g‘risida qaror qabul qilingandan keyin qonunga xilof ravishda tayyorlash va tarqatish — – bosma yoki boshqa mahsulotlarni musodara qilib, eng kam ish haqining uch baravaridan besh baravarigacha miqdorda jarima solishga sabab bo‘ladi. Kiberxavfsizlik asoslari (CSF1316) JAVOBGARLIKLAR: O‘zbekiston Respublikasi Jinoyat kodeksi 143-modda. Xat-yozishmalar, telefonda so‘zlashuv, telegraf xabarlari yoki boshqa xabarlarning sir saqlanishi tartibini buzish • Xat-yozishmalar, telefonda so‘zlashuv, telegraf xabarlari yoki boshqa xabarlarning sir saqlanishi tartibini qasddan buzish, shunday harakatlar uchun ma’muriy jazo qo‘llanilgandan keyin sodir etilgan bo‘lsa, — – eng kam oylik ish haqining yigirma besh baravarigacha miqdorda jarima yoki uch yilgacha muayyan huquqdan mahrum qilish yoki uch yuz oltmish soatgacha majburiy jamoat ishlari yoxud uch yilgacha axloq tuzatish ishlari bilan jazolanadi. Kiberxavfsizlik asoslari (CSF1316) E’TIBORINGIZ UCHUN RAXMAT!!! Download 356,63 Kb. Do'stlaringiz bilan baham:
|
Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha
yuklab olish