MÜNDƏRİCATMÜNDƏRİCAT Asimmetrik kriptosistemlərdə açarların generasiyası prosesində aşkarlanan boşluqlar haqqında Akif Orucəliyev DarkNet – İnternetin qaranliq tərəfi

MÜNDƏRİCAT

Asimmetrik kriptosistemlərdə açarların generasiyası prosesində aşkarlanan boşluqlar haqqındaAkif Orucəliyev

DarkNet – İnternetin qaranliq tərəfi Rza Orucov

Əsas şəbəkə hücum alətləri, üsulları və növləri. Şəbəkə hücumlarını məhdudlaşdıran üsullarAdil Nastakalov

İnformasiya normativlərinin Qlobal 2018-ci il dəyişiklikləri və təsirləriİlqar Əliyev

Beynəlxalq layihələrdə informasiya təhlükəsizliyin tənzimlənməsiFüzuli Mövlamov

İnformasiya Təhlükəsizliyi üzrə Koordinasiya Komissiyasının ilk iclası keçirilmişdir

DressCode troyanı milyonlarla Android qurğuları yoluxdurub

Dövlət orqanlarının internet informasiya resurslarından istifadə üzrə 2018-ci ilin yarımilik statistikası

səh. 3

səh. 10

səh. 14

səh. 24

səh. 31

“İnformasiya təhlükəsizliyi” jurnalı

№ 2, 2018-ci il.İldə 4 dəfə çıxır.

Təsisçi:

Azərbaycan RespublikasınınPrezidenti yanında

Dövlət Sirrinin Mühafizəsi üzrəİdarələrarası Komissiya

Azərbaycan RespublikasıXüsusi Dövlət Mühafizə Xidmətinin

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi

Jurnal 2014-cü il 11 iyun tarixində Azərbaycan Respublikasının Ədliyyə Nazirliyində qeydiyyatdan keçmişdir.

Qeydiyyat nömrəsi: 3891.

Ünvan:

AZ 1066, Bakı şəhəri, Lermontov küçəsi 68.Tel.: (+99412) 405 81 36 (+99412) 510 53 40

[email protected]

Redaktorlar:

Nurəddin Niftiyev Allahverən İsmayılov

Redaksiya heyəti:

Əyyub Mahalov Tural Məmmədov

Vüqar AbbasovSevinc Vəlibəyli

Ellada Mustafayeva Gəray BayramovElnur MüslümovRahid Ələkbərli

İşçi qrup:

Mübariz TalışinskiXalid MuradovLalə Muradova

Davud Rüstəmov Elxan OsmanlıÜlvi Paşayev

İsmayıl HəsənovAbdulla Abdullayev

Nəşr olunan materiallardakı fikirlər müəlliflərin nöqteyi-nəzərini əks etdirir.

Məqalələrin məzmununa və onların orijinallığına görə müəlliflər məsuliyyət daşıyır.

səh. 39

səh. 40

səh. 38

İnformasİya Təhlükəsİzlİyİ № 2 2018

2

«İnformasiya Təhlükəsizliyi» jurnalının təsisçiləri:

Azərbaycan Respublikasının Xüsusi Dövlət Mühafizə Xidməti

Azərbaycan Respublikasının Prezidenti yanında Dövlət Sirrinin Mühafizəsi üzrə İdarələrarası Komissiya

Redaksiya heyəti:

Azərbaycan Respublikasının Prezidenti yanında Dövlət Sirrinin Mühafizəsi üzrə İdarələrarası Komissiya

Azərbaycan Respublikası Daxili İşlər Nazirliyi

Azərbaycan Respublikası Müdafiə Nazirliyi

Azərbaycan Respublikası Nəqliyyat, Rabitə və Yüksək Texnologiyalar Nazirliyi

Azərbaycan Respublikasının Xüsusi Dövlət Mühafizə Xidməti

Azərbaycan Respublikasının Dövlət Təhlükəsizliyi Xidməti

Azərbaycan Respublikasının Standartlaşdırma, Metrologiya və Patent üzrə Dövlət Komitəsi

ADA Universiteti

“AzInfosec” MMC


3

Asimmetrik kriptosistemlərdə açarların generasiyası prosesində aşkarlanan boşluqlar haqqında

Akif Orucəliyev – DTX-nin Heydər Əliyev adına Akademiyasının dosenti, fizika-riya-ziyyat elmləri namizədi

Məqalədə asimmetrik kriptosistemlərin praktiki realizasiyaları zamanı tələb olunan sadə ədədlərin istifadəsində kriptoanalitiklərin aşkarladıqları boşluqlar haqqında məlumat veri-lir, bu boşluqların əsasən hansı alqoritmlərdə aşkarlanmaları şərh edilir. Bundan başqa, belə alqoritmlərin tətbiqi zamanı bu boşluqların yaranmaması üçün onların riyazi əsaslarında istifadəçilərin nəyə daha çox fikir verməli olmaları diqqətə çatdırılır.

Açar sözlər: kriptosistem, asimmetrik kriptosistem, açıq açar, gizli açar, generator, sadə ədəd, təsadüfi ədəd, psevdotəsadüfi ədəd, elliptik əyri.

Məlum olduğu kimi, asimmetrik kripto-sistemlərin riyazi əsaslarını

açıq və gizli açarların generasiyası, açıq açarla şifrləmə və gizli açarla deşifrləmə alqoritmlərindən ibarət üç alqoritm təşkil edir.

Bu alqoritmlərdən birincisi açıqdır, yəni krip-tosistemin istənilən bir istifadəçisi alqoritmin girişinə lazımı uzunluqlu təsadüfi bitlər vekto-runu daxil edərək Ka açıq və Kg gizli açarından ibarət K = (Ka, Kg) açarlar cütünü əldə edə bilər.


4

Belə kriptosistemlərin təhlükəsizliyi gizli aça-rın açıq açardan alına bilinməsinin hesablama mürəkkəbliyinə əsaslanır. Daha dəqiq desək, asimmetrik kriptosistemlər, xüsusilə də krip-toqrafik dözümlü asimmetrik kriptosistemlər yüksək hesablama mürəkkəbliyi təmin edən və ciddi riyazi isbatlara əsaslanan metodolo-giya əsasında qurulur. Bununla belə, asim-metrik kriptosistemlərə hücumların analitik təhlilini aparan mütəxəssislər kriptosistem parametrlərinin səhv seçilməsi hesabına on-ların dözümlüyünün aşağı salına bilinmə im-kanının olmasını həmişə diqqətdə saxlamağı tövsiyyə etmişlər. Mütəxəssislərə görə belə sistemlərin real tətbiqlərində ciddi isbatlar-da verilmiş kifayət qədər ağır şərtlərdən hər hansı birinin təhrif olunması son nəticədə kriptosistemin təhlükəsizliyində müəyyən boşluqların yaranmasına səbəb olmaqla, bu sistemlərin nüfuzdan salınması ilə nəticələnə bilər.

Hələ keçən əsrin 90-cı illərindən başlaya-raq asimmetrik kriptosistemlər üzrə tədqiqat aparan mütəxəssislər belə sistemlərdə sadə ədədlərin generasiyası prosesində müəyyən boşluqların ola bilməsi faktını aşkarlamışlar. Məlum olmuşdur ki, şifrləmə və deşifrləmə alqoritmlərinin yüksək dözümlüyü açarların generasiyası alqoritmində mövcud ola biləcək boşluqlar nəticəsində zəiflədilə bilər. Bu boşluq-lar isə açarların generasiyası alqoritmlərində istifadə olunan müxtəlif sabitlərin, o cümlədən N modulunu təşkil edən təsadüfi sadə p və q ədədlərinin düzgün seçiminin aparılmadığı hallarda meydana gələ bilər. Bu ədədlər elə seçilməlidir ki, faktorizasiya, eləcə də disk-ret loqarifmləmə məsələlərinin həlli hesabla-ma cəhətdən kifayət qədər çətin olsun. Misal üçün, 1024 bitli RSA alqoritminin tətbiqi za-manı p və q ədədləri olaraq 512 bitli güclü sadə ədədlərdən istifadə edilməsi tələb olunur. Bu şərt ən səmərəli alqoritmlərdən biri olan Pol-lard alqoritmindən istifadə edildikdə faktori-zasiya məsələsinin həlledilməzliyinin təmini üçündür. Bundan başqa, p və q ədədləri bir-birindən olduqca çox fərqlənməməli və eyni zamanda bir-birinə çox da yaxın olmamalıdır.

Belə kriptosistemlərin təhlükəsizliyi təsadüfi sadə p və q ədədlərinin generasiyası üçün xü-susi alqoritmlərdən, daha dəqiq desək, təsadüfi və ya psevdotəsadüfi ədədlər generatorundan (PTƏG) istifadəni zəruri edir. Elə bu səbəbdən belə generatorlar müasir kriptosistemlərin ayrılmaz tərkib hissələrindən biridir. PTƏG müəyyən parametrlər əsasında iterasiya üsu-lu ilə psevdotəsadüfi ədədlər, yəni həll edilən məsələ daxilində təsadüfi ədədlərə məxsus bütün xüsusiyyətlərə malik ədədlər ardıcıl-lığı yaradan alqoritmdən ibarətdir. PTƏG-nın keyfiyyəti yaradılan ardıcıllıqda statis-tik qanunauyğunluqların aşkarlanmasının çətinliyindən asılıdır. Yaxşı PTƏG uzun dövrə malik olmalı və asılı olmayan bərabər ehti-mallı təsadüfi ədədləri imitasiya edən ədədlər generasiya etməlidir. Ona görə də generasi-ya olunan ardıcıllığın həqiqi təsadüfilikdən mümkün yayınmalarını aşkarlamaq üçün bu ardıcıllıqlar müxtəlif statistik testlərdən keçirilir. Hazırda istifadə olunan PTƏG–na nümunə olaraq ən sadə və səmərəli krip-toqrafik dözümlü generator hesab olunan modula görə kvadratik çıxıqlara əsaslanan və bitlər ardıcıllığını generasiya edən BBS (Blum-Blum-Shub), NİST- in standartı olan və biristiqamətli funksiyalardan istifadəyə əsaslanan NİST ANSİ X9.17, eləcə də qeyri-xətti funksiyalardan istifadə etməklə sonlu meydan üzərində ardıcıllıqların yaradılması generatorlarını göstərmək olar.

Qeyd etdiyimiz kimi hər bir PTƏG müəyyən parametrlərə malikdir. Bu parametrlər müxtəlif sabitlərdən və start qiymətindən (seed value) ibarətdir. Generatorun yaratdı-ğı ardıcıllıq start qiymətinin seçilməsindən asılıdır və onun müxtəlif qiymətlərində psevdotəsadüfi ədədlərin müxtəlif ardıcıllıq-ları alınır. Yuxarıda sadaladığımız genera-torlar başlanğıc parametrlərin korrekt seçimi zamanı PTƏG-nın ödəməli olduğu bütün statistik meyarları ödəyirlər. İsbat olunur ki, bu parametrlər düzgün seçildikdə generator dəqiq psevdotəsadüfi ardıcıllıq yaradır və bu zaman əvvəlcədən hansı ardıcıllığın alınaca-ğını təyin edə bilən bir üsul yoxdur. Bundan


5

başqa, start qiymətini cüzi dəyişməklə alınan psevdotəsadüfi ardıcıllığı da cüzi dəyişdirə bilmək üsulu məlum deyildir. Başqa sözlə desək, bu parametrlərin cüzi dəyişməsi bü-tün hallarda təsadüfi ədədlər ardıcıllığının ciddi dəyişməsi ilə sona çatır. PTƏG-nın ilkin parametrlərinin korrekt verilməməsi proble-mi çıxışda bekdor imkanı yarada bilər ki, bu da bədniyyətliyə generatoru total seçim üsu-lu ilə sındırmaq şansı verərdi. Ona görə də, o hallarda ki, bu problem öz həllini tapmır, bu zaman istifadə olunan protokolun, eləcə də bütövlükdə kriptosistemin təhlükəsizliyinə etibar etmək olmaz. Məsələ ondadır ki, heç də bütün standartlarda start qiymətlərinin necə seçilməsi göstərilmir.

Asimmetrik kriptosistemlərin əksər isti-fadəçilərinin p modulu olaraq standart sadə ədədlərdən istifadə etməsi hələ 1991-ci ildə NİST tərəfindən açıq açardan istifadə ilə elektron imza yaratmaq üçün kriptoqrafik al-qoritm kimi təklif olunmuş DSA (Digital Sig-nature Algorithm) rəqəm imza alqoritminin nəşrindən sonra ekspertlər tərəfindən dərhal tənqidə məruz qalmışdır [2]. Qeyd edək ki, DSA - elektron imza yaratmaq üçün açıq açar-dan istifadə edən kriptoqrafik alqoritmdir. Al-qoritm sonlu meydanda diskret loqarifmləmə məsələsinin hesablama mürəkkəbliyinə əsaslanır. Bu alqoritmin işi üçün iki təsadüfi sadə p və q ədədləri tələb olunur. Bu alqoritmə görə q ədədi 160 bitlik olmalı, p ədədi isə 2L-1 < p < 2L, L = 512 + 64k, 0 ≤ k ≤ 8 şərtini ödəməlidir. Xüsusi seçilmiş sadə ədədlərlə potensial da-xilolmalardan mühafizə üçün DSA-da sadə ədədlərin psevdotəsadüfi start qiymətlərinin nəşr edilməklə “virtual təsadüfi” üsulla se-çim imkanı nəzərdə tutlmuşdur. Lakin, asimmetrik kriptosistemlərdən istifadə edən əksər saytlar açarları ümumistifadə üçün nəzərdə tutulmuş standart sadə ədədlərlə generasiya etdiklərinə görə belə imkan fak-tiki olaraq istifadə olunmamışdır. Bundan başqa, asimmetrik kriptosistemlərin təhlilini aparan beynəlxalq kriptoanalitiklər qru-pu 2012-ci ildə RSA alqoritmi üzrə genera-siya olunmuş 7,1 milyon açıq açarları analiz

edərək o nəticəyə gəlmişlər ki, bu açarlar-dan təqribən 27 minində “qeyri-qənaətbəxş” təsadüfi ədədlərdən istifadə olunmuşdur[1-2]. Mütəxəssislərin qənaətinə görə, bu ədədlərin təsadüfi generasiyası mexanizmi heç də həmişə korrekt işləmir. Onlar aşkar etmişlər ki, hər generasiya edilmiş 1000 açardan iki-si təhlükəsiz deyildir. Hələ o vaxt ekspertlər təsadüfi ədədlər generatorlarının qeyri-kor-rekt nəticə verməsinin səbəbini aydınlaşdır-mağa çalışmışlar. Onların gəldikləri nəticələrə görə, açıq açarlar üçün ədədlərin generasiyası alqoritmini aşkar etməklə bədniyyətli asan-lıqla gizli açarı formalaşdıra bilər. Başqa sözlə desək, mövcud asimmetrik kriptosistemlərin realizasiyasında etibarsız təsadüfi ədədlərdən istifadə halında istənilən bədniyyətli giz-li açarları təyin edə bilər. Bununla belə, kriptoanalitiklər etibarsız təsadüfi ədədlərin hansı prinsiplərlə generasiya olunduqla-rı haqqında heç bir məlumat verməmişlər. Mütəxəssislərin qiymətləndirmələrinə görə həssas açıq açarları istifadəçilər rəqəmli ser-tifikatlar və elektron poçt üçün açarlar üzrə açıq verilənlər bazalarından əldə ediblər. Həssas açarlardan istifadə ilə əlaqədar olaraq rəqəmsal dünyada kriptoqrafiya məsələlərinin həllində hüquq müdafiəçisi EEF (Electronic Frontier Foundation) təşkilatı HTTPS, SSL və TLS protokollarının sındırılmasına çox cid-di təhlükə yarandığı haqqında istifadəçiləri xəbərdar etmiş, NİST-ə isə etibarsız sertifikat-ların geriyə çağrılması və yeni açarların gene-rasiya olunması barədə öz təkliflərini vermiş-dir.


6

Bundan başqa, müxtəlif saytlara müraciət-lərin statistikasını aparan Alexa Internet şirkəti ən məşhur HTTPS saytlarının 92%-nin iki standart sadə ədəddən istifadə etməsi fak-tını aşkarlamışdır[4]. Bu ədədlər isə kifayət qədər böyük sadə ədədlər halında təhlükəsiz hesab olunurdu. Lakin, ABŞ-ın Pensilvani Universitetinin və Fransanın Lotaringiya Uni-versitetinin mütəxəssisləri isbat edə bilmişlər ki, belə ədədlərin heç də hamısı təhlükəsiz de-yildir və doğrudan da ABŞ Milli Təhlükəsizlik Agentliyinin (MTA) HTTPS-trafikini deşifrə edə bilməsi üçün nəzəri imkanları vardır. Belə ki, kriptoqraflar praktiki olaraq göstərmişlər ki, açarların generasiyası zamanı p modulu olaraq xüsusi yolla konstruksiyalanmış sadə ədədlərdən istifadə edildikdə boşluq yarana bilər. Belə boşluq isə digər məxfi elementlərin aşkarlanmasına imkan verməklə son nəticədə trafikin deşifrə edilməsi ilə nəticələnə bilər.

2013-cü ildən Edvard Snouden tərəfindən MTA sənədlərinin KİV-də işıqlandırılma-sından sonra aşkarlanan məlumatların birində MTA-nın VPN trafikini deşifrə edə bilmə imkanlarının olması haqqında slayd göstərilmişdir [3]. Məxfi slaydın saxtalığı haqqında MTA-nin heç bir məlumat bildir-mədiyinə görə mütəxəssislər bunu müasir açıq açarlı kriptosistemlərdə fundamental boşlu-ğun olmasına müəyyən bir fakt kimi qəbul etmişlər. Bununla əlaqədar olaraq, asimmet-rik kriptosistemlərin riyazi əsasları və müva-fiq alqoritmlərin realizasiyası daha dərindən araşdırılmış və nəticədə bəzi fərziyyələr mey-dana çıxmışdır. Bu fərziyyələr içərisində ən çox ehtimallısı elliptik əyrilərə əsaslanan Dif-fi-Hellman protokolunun (ing.Elliptic curve Diffie–Hellman, ECDH) praktiki realizasiya-sında “gizlənən” fundamental boşluqdur[3]. Qeyd edək ki, Diffi-Hellman protokolu SSH, VPN, SMTPS və IPsec protokollarında da açar-ların generasiyası üçün istifadə edilir. Məsələ ondadır ki, elliptik əyri əsasında istənilən kriptosistemin təhlükəsizliyi elliptik əyri üzərində diskret loqarifmləmə məsələsinin çətinliyinə əsaslanır. Bu məsələ Fq sonlu mey-danı üzərində y2 = x3 + ax + b mod p tənliyi

ilə verilmiş Ep (a, b) elliptik əyrisinə və bu əyri üzərində tərtibi n olan G baza nöqtəsinə (generatoruna) və Q = d*G nöqtəsinə görə d ədədinin tapılmasından ibarətdir. Belə bir məsələ ədəbiyyatlarda elliptik əyrilər üzərində diskret loqarifmləmə problemi - ECDLP (El-liptic Curve Discrete Logarithm Problem) ad-landırılır. İsbat olunmuşdur ki, əgər ECDLP subeksponensial vaxtda həll oluna bilmirsə, yəni onun həlli üçün subeksponensial al-qoritm məlum deyildirsə, onda elliptik əyri üzərində Diffi-Hellman məsələsi də həll oluna bilməz. Hazırkı dövrədək bu problemin həlli üçün hələ ki, subeksponensial alqoritm möv-cud deyildir.

ECDLP-də n elliptik əyrinin nöqtələri sa-yının böyük sadə bölənini, Q və d ədədi isə (1 < d < n-1 şərtini ödəyən təsadüfi tam ədəd) istifadəçinin uyğun olaraq açıq və gizli açarı-nı bildirir. Kriptoqrafiyada istifadə olunan Fq sonlu meydanı üçün q ədədi olaraq q=2m, m Є [163,600] şərtini ödəyən sadə ədəd qəbul edilir [6]. Bu protokolun praktiki realizasiyası üçün təklif olunur ki, p modulu 10300, digər sadə ədədlər isə 10100 tərtibində olmalıdır. Xüsusi halda, o cümlədən kifayət qədər böyük dövrlü PTƏG-nın yaradılmasında belə p ədədləri ola-raq sadə Mersenn ədədləri, yəni 2n-1 şəklində olan sadə ədədlər (n-sadə ədəddir) götürülür. Elliptik əyrilər kriptoqrafiyasında məlum Q nöqtəsinə görə E əyrisinin nöqtələrinin sayı-nın hesablanması kifayət qədər çətin məsələ ola bildiyindən istifadəçilər praktiki olaraq müxtəlif standartlarda və ya digər mənbələrdə təklif olunan ədədlərdən istifadə edirlər. Bu zaman p modulu olaraq p=2251-1 və ya p=2256-232-29-28-27-26-24-1 tipli ədədlərdən istifadə yax-şı seçim hesab olunur. NİST p ədədi olaraq oxşar ədədlərdən istifadəni məsləhət görür. Misal üçün, FİPS 186-2 (256 bitli p) standar-tında Y2=X3+aX+b mod p əyrisi üçün aşağıdakı parametrlər təklif olunur (burada n 78 rəqəmli (256 bitli) sadə ədəd, G = (xG, yG) nöqtəsi isə q sayda elementə malik generatoru bildirir) [7]:

p = 2256- 2224 + 2192 + 296- 1 = 115792 089210356 248762697 446949407 573530086 143415290 314195533 631308867 097853951


7

a = -3 b = 0x 5ac635d8 aa3a93e7 b3ebbd55

769886bc 651d06b0 cc53b0f6 3bce3c3e 27d2604b

n = 115792 089210356 248762697 446949407 573529996 955224135 760342422 259061068 512044369

q = n xG= 0x 6b17d1f2 e12c4247 f8bce6e5 63a440f2

77037d81 2deb33a0 f4a13945 d898c296

yG= 0x4fe342e2 fe1a7f9b 8ee7eb4a 7c0f9e16 2bce3357 6b315ece cbb64068 37bf51f5

Kriptoqrafik açarların mübadiləsi protoko-lu IKE RFC 2409 (The İnternet Key Exchange Request for comments 2409)-da təklif olunan 1024 bitli (310 rəqəmli) sadə ədəd isə belədir[5]:

The prime is 21024 - 2960- 1 + 264 * {[2894 pi] + 129093}.

Its hexadecimal value is

FFFFFFFF FFFFFFFF C90FDAA2 2168C234 C4C66288 80DC1CD1 29024E08 8A67CC74 020BBEA6 3B139B22 514A0879 8E3404DD EF9519B3 CD3A431B 302B0A6D F25F1437 4FE1356D 6D51C245 E485B576 625E7EC6 F44C42E9 A637ED6B 0BFF5CB6 F406B7ED EE386BFB 5A899FA5 AE9F2411 7C4B1FE6 49286651 ECE65381 FFFFFFFF FFFFFFFF

Sonralar aparılan tədqiqatların nəticələrinə görə məlum olmuşdur ki, necə seçildi-yi bildirilməyən belə sadə ədədlər heç də təhlükəsiz deyilmiş. Belə ki, elliptik əyrilərdən istifadəyə əsaslanan kriptoqrafik dözümlü psevdotəsadüfi ədədlər generatoru olan Dual EC DRBG-nin (Dual Elliptic Curve Determi-nistic Random Bit Generator) yaradıcıları el-liptik əyri nöqtələrinin (G və Q) necə seçildi-yini göstərməmişlər. Bu generator 2006-cı ildə NİST tərəfindən standartlaşdırılmış 4 kriptoq-rafik dözümlü generatorlardan biri olub MTA tərəfindən işlənilmişdir. Məsələ ondadır ki, elliptik əyrilərdə Diffi-Hellman protokolunun tətbiqlərində standart parametrlərlə iş zamanı qarşıya çıxan birinci məsələ bu parametrlərdə

səhvlərin olub olmamasının araşdırılması və bundan sonra isə belə əyrilərə qoyulan digər tələblərin ödənilməsinin yoxlanılması olmalıdır. İkinci məsələ isə, istifadəçiyə təklif olunan belə standart əyrilərin doğrudanmı təsadüfi generasiya olunduğuna əmin olmaq-dır. Məhz bu məsələ, yəni hazır sadə ədədləri təklif edən tərəfin istifadəçiyə məlum olma-yan müəyyən bir xüsusiyyətə malik olmaq-la gələcəkdə belə əyrilərlə şifrlənmiş infor-masiyalara giriş əldə edə bilmə imkanının olması istifadəçilərin diqqətində olmalıdır [7]. Elliptik əyri nöqtələrinin hansı qaydalar-la seçildiyinin qeyri-müəyyənliyini diqqətə çatdıran mütəxəssislər belə bir halda bekdor yaranma təhlükəsi haqqında standartlaşma komitəsini əvvəcədən xəbərdar etsələr də, standarta yalnız müəyyən G və Q-nin alın-ması üsulu daxil edilmişdir. Bu qayda isə elə yazılmışdır ki, standartda istifadə edil-miş G və Q ədədlərinin istifadəsi kriptoqra-fik modullar üçün informasiya texnologi-yalarının təhlükəsizliyinin təsdiqi standartı olan FİPS 140-2 yoxlamasından keçmək üçün tələb olunur. Məhz bu səbəbdən standar-tın istifadəçiləri mütəxəssislərin Q nöqtəsi üçün göstərdikləri seçim variantı əvəzinə MTA-nın seçim variantını realizə etmişlər. Mütəxəssislərin nəzərdə tutduqları bekdor isə ondan ibarətdir ki, bu standartda göstərilən G və Q nöqtələrindən istifadə halında MTA-ya faktiki olaraq gizli açarı təyin edən elə bir e ədədi məlumdur ki, G = e * Q. Beləliklə, fərz olunur ki, d gizli açarı əvvəlcədən MTA-ya məlum olmuşdur. Başqa sözlə desək, seçilmiş təsadüfi ədədlər əsl həqiqətdə heç də təsadüfi olmayıb, bütün əlamətləri ilə həqiqi təsadüfi ədədlərə oxşayaraq bu alqoritmin yaradıcı-larına istifadəçi məlumatlarına girişi təmin etməyə kömək etmişdir[3]. Bu alqoritmdə bekdorun olması haqqında şübhələr hələ 2007-ci ildən mütəxəssislər tərəfindən irəli sürülməsinə baxmayaraq ona NİST tərəfindən sertifikat verilməsinə mane olmamışdır. Bü-tün hay-küylər yalnız Edvard Snoudenin açıq-lamalarından sonra baş vermişdir. Başqa sözlə desək, yalnız 2013-cü ildə Edvard Snouden tərəfindən MTA sənədlərinin KİV-də işıqlan-


8

dırılmasından sonra aşkarlanan məlumatlara görə NİST Dual EC DRBG-ni standartlar si-yahısından silməyə məcbur olmuşdur. Sonlu meydanda diskret loqarifmləmə məsələsinə əsaslanan asimmetrik kriptosistemləri analiz edən mütəxəssislərin araşdırmalarına görə isə 1024 bitli açar üçün xüsusi p ədədi seçildikdə diskret loqarifmləmə məsələsi SNFS (Spe-cial Number Field Sieve - xüsusi ədədi meydan xəlbiri) üsulu ilə sadələşdirilərək nəzəri hesablanmış sürətdən 10000 dəfə tez yerinə yetirilə bilər. Onlar bunu 3000 nüvəli prosessorlu klasterdə iki ay ərzində uni-versitet şəbəkəsində yoxlamışlar[3]. Məhz belə bir imkanın mümkünlüyü DSA stan-dartının işlənilməsi və qəbulu prosesində yeganə redaktor qismində iştirak etmiş MTA tərəfindən əvvəlcədən gizlədilmə faktı kimi qiymətləndirilmişdir. Beləliklə, faktiki ola-raq mütəxəssislərin xəbərdarlıqlarına rəğmən açarların generasiyası zamanı istifadəçilərin kifayət qədər böyük unikal p modulunu he-sablamamağa və standart sadə ədədlərdən istifadəyə təhrik edilməsi məlum olmuşdur.

Bütün bu deyilənlər əsasında sual olunur ki, NİST-in təklif etdiyi bu “standart” sadə ədədlər gizli boşluq üçün nəzərdə tutulmuş-durmu və onlar ümumiyyətlə haradan alın-

mışdır? Nəzəri olaraq mümkündür ki, sadə ədədlərin tərtibi üçün qabaqcadan hesabla-maların aparılması ilə bədniyyətlilər məşğul olmuşlar. Onda MTA-nin internet-fəzada mübadilə olunan küllü miqdarda şifrlənmiş məlumatları deşifrləyə bilməsi imkanının olması haqqında yayılan məlumatları başa düşmək olar. Başqa sözlə desək, HTTPS-trafikinin deşifrlənməsi üçün MTA-nın data –mərkəzlərindəki mövcud hesablama imkan-ları daxilində o qədər də böyük zamana ehti-yacın olmadığına şübhə etmək olmaz.

Deyilənlərin yekunu olaraq mütəxəssislərin gəldikləri qənaətə görə asimmetrik şifrləmə alqoritmlərində mümkün boşluqlara qarşı ən sadə mühafizə açarının 1024 bitdən böyük götürülməsidir. Hesablamalara görə 2048 bitli açar halında belə “zəiflədilmiş” sadə ədədlərlə hesablamalar 1024 bitli açar halına nisbətən təqribən 16 milyon dəfə çox vaxt aparacaq-dır. Bundan başqa, gələcəkdə mütəxəssislərə görə təhlükəsizlik üçün bütün sadə ədədlər start qiymətləri ilə birlikdə çap olunmalı və ən əsası sadə ədədlər etibarlı mənbələrdən götürülməlidir.

About vulnerabilities discovered in the generating process of keys in asymmetric cryptosystems

The article provides information on the vulnerability discovered by cryptoanalysts in the

use of primes used in practical realization of cryptosystems with public keys and on which algorithms these gaps have been discovered.

Besides, the article deals with what users should pay more attention to prevent these vul-nerabilites during realization of such algorithms in their mathematical bases.

Keywords: cryptosystem, asimmetric cryptosystem, public key, secret key, generator, prime, pseudoprime, random number, pseudo-random number, elliptic curve.


9

Ədəbiyyat

1. https://www.osp.ru/news/2012/0216/13011555/ Исследователи нашли способ подбора закрытых ключей шифрования к открытым.

2. https://3dnews.ru/624653 На каждую тысячу RSA-ключей приходится два небезопасных.

3. https://habrahabr.ru/post/312634/ Специальные простые числа помогают пассивно прослушать протокол обмена ключами Диффи-Хеллмана.

4. https://habrahabr.ru/post/200686/ RSA-security заявила о наличии АНБ-бэкдора в своих продуктах.

5. https://tools.ietf.org/html/rfc2409#section-66. Əliquliyev R.A., İmanverdiyev Y.N. Kriptoqrafiyanın əsasları.B., 2006, 688 səh.7. Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации:

уч.пособие.М.,2005, 229 с.8. https://ru.wikipedia.org/wiki/Dual_EC_DRBG


10

DARKNET – İNTERNETİN QARANLIQ TƏRƏFİ

Rza Orucov – Xüsusi Dövlət Mühafizə Xidmətinin Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi, Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi

Bu məqalədə dərin internetin qaranlıq tərəflərindən bəhs olunacaq. DarkNet haqqın-da bir çox internet istifadəçiləri məlumatsız olduğundan ilk araşdırma ümumi anlayış və məlumatlandırma xarakteri daşıyır. DarkNet-ə ən yaxın metafora aysberq hesab oluna bilər. Gündəlik istifadə edilən internet onun görünən tərəfi, DarkNet isə aysberqin okeanın dərinliyində olan hissəsidir.

Açar sözlər: Təhlükəsizlik, TOR project, DarkNet, Deep Web, İnternetin qaranlıq tərəfi.

DarkNet – .onion domen zonasında yerləşən, açıq qara bazarın, silah və

narkotik satışının və digər qadağan olunmuş resursların toplandığı virtual şəbəkədir. Bildi-yimiz və gündəlik istifadə etdiyimiz internet isə bu virtual şəbəkənin sadəcə üz qatıdır ki,

bu da ümumi dildə “Surface Web” adlanır. Bu məqaləmizdə toxunacağımız mövzular aşağı-dakılardır:

Şəkil 1. Darknet və DeepWeb


11

• İnternetin qaranlıq tərəfi (DarkNet və Deep Web)

• DarkNet-ə giriş imkanı• Messencerlər yeni Darkweb kimi• DarkNet-in məqsəd və vəzifələri

İnternetin qaranlıq tərəfi

DarkNet (DarkNet) – bir-birinə etimad edən, həmfikir iştirakçılar arasında quru-lan özəl şəbəkədir. Tanıdığımız (“tay-tuşlar şəbəkəsi”) şəbəkələrdən fərqli olaraq, IP-ünvan hər kəs üçün əlçatan olmadığına görə iştirak-çıların anonimliyi təmin olunur. “DarkNet” termini keçən əsrin 70-ci illərində yaranıb və müasir internetin prototipi olan ARPANET-dən təcrid olunmuş şəbəkələrə aid edilirdi. DarkNet-in ARPANET-dən məlumatları ala bilməsinə baxmayaraq, “qaranlıq” şəbəkələrin ünvanları xaricdən daxil olan sorğulara cavab vermədiyi üçün əks əlaqə mövcud deyildi. Bu gün bu termin geniş mənaya malikdir və

senzura ilə tənzimlənməyən virtual məkanın hissələri deməkdir. DarkNet və Deep Web tez-tez dərin şəbəkə (ing. DeepWeb) anlayışı ilə qarışdırılır, lakin bu kobud səhvdir. Birin-ci termin ayrıca şəbəkə, ikincisi isə internetdə indekslənməmiş saytlar məcmusu deməkdir. Bu cür saytlar digər veb səhifələrlə hiper isti-nadlar vasitəsi ilə bağlı olmadığı üçün axta-rış sistemləri onları tapa bilmir. Həmçinin bu kimi sayt müəllifləri robot.txt faylı vasitəsilə indeksasiyadan könüllü şəklidə imtina edərək öz resurslarını indekslənmədən qoruyuaraq gizlətmiş olur. Bunun üçün robot.txt faylının saytın kökünə(root) yazılması kifayət edir. (Şəkil-1)

DarkNet-ə giriş imkanı

DarkNet və Deep Web resurslara çıxış im-kanları ilə bir-birlərindən fərqlənir. İnternetin “qaranlıq” tərəfinə daxil olmaq üçün xüsusi proqram vasitələri lazımdır. Onların arasında ən məşhur olanları Tor və I2P brauzerləridir. Bu I2P şəbəkəsində bir çox güzgüsü olan Tor

Şəkil 2.


12

domen məkanında müxtəlif saytları ziyarət etməyə imkan verir. Brauzerlər sərbəst seçilən bir neçə şifrələmə təbəqəsindən – proksi ser-ver zəncirlərindən istifadə edir. Beləliklə, məlumat paketinin ardıcıl şifrələnməsi həyata keçirilir. Bu brauzerləri onların rəsmi saytla-rından yükləmək mümkündür: torproject.org (Tor brauzeri) və geti2p.net/ru/ (I2P). Dərin internetin (Deepweb) veb səhifələrini ziyarət etmək üçün isə qeydiyyatın lazım olduğu hallar istisna olmaqla, onun dəqiq ünvanını bilmək kifayətdir.

Messencerlər yeni Darkweb kimi

Tədqiqatlar göstərir ki, messencerlərdə istifadəçilərin sayı kimi cinayət fəallığı da 2016-cı ilin iyul ayından 30 qat artıb. Tədqiqatın əsas məlumatları qrup və şəxsi çat-lara dəvətlər və keçidlər olmuşdur.

IntSights araşdırma mərkəzinin məlumat-ına əsasən kibercinayətkarlar arasında ən çox yayılan tətbiq Discort, daha sonra Telegram, Whatsapp, Skype və ICQ-dür. (Şəkil-2-3)

Android platformasında isə Tor – OR-Bot müştəri tətbiqinin istifadəçilərinin sayı 2014-cü ildən 2016-cı ilədək bir milyondan

on milyonadək artıb. Bir çox kibercinayətkar Tor-dan istifadə etdiyi üçün messencerləri daxili şifrələmə olmadan da istifadə edir. Bir çox analitiklər DarkNet-in gələcəyinin məhz messencerlərə əsaslandığını düşünür.

DarkNet-in məqsəd və vəzifələri

Tor Project özünü sərbəst ünsiyyət üçün anonim məkan kimi mövqeləndirir və onun verdiyi məlumatlara əsasən Tor brauzeri-nin istifadəçilərinin 1.5%-i DarkNet sayt-larını ziyarət edir. Qalan istifadəçilər onu internetdə səhifələri təhlükəsiz ziyarət etmək üçün istifadə edir. Lakin məlum məsələdir ki, şəbəkənin “qaranlıq” tərəfində yalnız öz ano-nimliyini qorumaq istəyən sıravi istifadəçilər deyil, həmçinin də hakerlər, terrorçular, narkotik ticarətçiləri və manyakların olma-sı ilə bağlı faktlar da mövcuddur. Belə ki, DarkNet üzərindən işləyən “qara bazarlar”ı hakerlər məlumat bazaları, şifrlər, “0 gün” boşluqlar, bank kartlarının alqı-satqısı, terr-ror təşkilatları saxta pasportların və silahla-rın alqı-satqısı, həmçinin cinayətlərin sifarişi, narkomanlar xüsusi dərman vasitələrinin, o cümlədən narkotik maddələrin alqı-satqısı,

Şəkil 3.


13

manyaklar isə uşaq pornoqrafiyası kimi vi-deoların satışı üçün istifadə edirlər. DarkNet serverlərini kriptoqrafik vasitələrlə qorun-ması və anonimliyi dəstəkləyən platforma kimi çıxış etməsi və həmçinin kripto valyu-talar kimi ödəniş sistemlərinin dəstəkləməsi cinayətkarları bu şəbəkələrdən istifadəyə daha da həvəsləndirir. Bütün bu kimi neqa-tiv halların qarşısının alınması üçün hüquq mühafizə orqanları mütəmadi olaraq saxta

kimliklərin istifadəsi ilə xüsusi əməliyyatlar, o cümlədən müxtəlif təhlükəsizlik tədbirləri həyata keçirir. Ümumilikdə isə DarkNet dövlətlərin müdaxilə imkanının olmadığı, senzuradan uzaq informasiya mübadiləsi üçün idarəedilməz informasiya fəzası olma-sı onun dövlətlərin informasiya sistemlərinə təhdid kimi qiymətləndirilməsini və müvafiq ölçülər götürülməsini zəruri edir.

İntroduction: This time we will explore the dark side of deep web. A lot of users still have not got any information about the DarkNet. We will provide general information about deep web on this article. The closest comparison probably would be the iceberg. Our everyday in-ternet life is covering only visible part of iceberg. The rest biggest invisible side is under the ocean.

Keywords: Security, TOR project, DarkNet, Deep Web, Black side of internet.

İstinadlar:https://www.iphones.ru/iNotes/680356https://xakep.ru/2016/10/05/darknet-services/http://www.furfur.me/furfur/freedom/freedom/216469-darknet-links


14

Əsas şəbəkə hücum alətləri, üsulları və növləri. Şəbəkə hücumlarını məhdudlaşdıran üsullar

Nastakalov Adil Ramazan oğlu – Azərbaycan Respublikasının Müdafiə Nazirliyi

Hazırda bütün şəbəkələr daim hücum altındadır. Hücum alətləri və növləri daim inkişaf etmədədir, üstəlik müasir hack vasitələri daha avtomatik olub, təcavüz həyata keçirmək üçün daha az texniki biliklər tələb edir. Üstəlik şəbəkəyə təhdidlər həm xaricdən və həm də daxildən qaynaqlana bilər.

Şəbəkə təhlükəsizliyi verilənləri qorumaq və təhdidləri məhdudlaşdırmaq məqsədi ilə mü-vafiq protokolları, üsulları, qurğuları və texnologiyaları əhatə edir. Şəbəkə mütəxəssisləri çalışdığı müəssisənin əmlakını qorumaq üçün müxtəlif şəbəkə təhlükəsizlik üsullarından istifadə etməyi bacarmalıdırlar. Bu səbəbdən məqalənin əsas məqsədi şəbəkə təhlükəsizliyi sahəsində çalışan mütəxəssisləri əsas hücum alətləri, hücum növləri və onların qarşısını alma üsulları ilə tanış etməkdir.

Məqalədə Azərbaycan lüğətinə daxil edilməyən ingilis terminlərinin təhrif olunmuş rus versiyalarını istifadə etmək əvəzinə, onların orijinalda işlədilməsinə üstünlük verilir. Belə ki, oxucuların xarici ədəbiyyatlarda və ya internet saytlarında İT sahəsinə aid informasiya əldə edərkən terminlərin orijinala uyğun axtarışı daha rahatdır və çaşqınlıq yaratmır. Odur ki, məqalədə terminlər ingilis qrammatikasına uyğun yazılır və mötərizədə Azərbaycan dilində onların mümkün məna tərcümələri göstərilir.

Açar sözlər: şəbəkə təhlükəsizliyi, boşluqlar, etik, rootkit, access, account, link, ping, lo-gin, password, e-mail, spam, patch, host, hacker, traffic, hash, log, segment, router, switch, spoofing, snooping.


15

1.Hacker alətləri

1.1.Hücum alətləri haqqında ümumi məlumat

Şəbəkənin boşluqlarından istifadə etmək üçün hacker müvafiq üsullara və ya alətlərə malik olmalıdır. İllər ərzində hücum alətləri daha keyfiyyətli və yüksək avtomatlaşdı-rılmış hala çevrilmişdi ki, bu da keçmişdə istifadə olunan alətlərə nisbətən istifadəçidən çox az texniki biliklər tələb edir.

Etik hackerlər şəbəkəni və öz verilənlərini yoxlamaq və təhlükəsiz saxlamaq üçün müxtəlif növ alətlərdən istifadə edirlər. Şəbəkənin və onun sistemlərinin təhlükəsiz-liyinə əmin olmaq üçün bir çox şəbəkəyə giriş testləri hazırlanmışdı. Əfsuslar olsun ki, bu alətlərin əksəriyyəti eyni zamanda qara şlya-palı hakerlər tərəfindən də istifadə oluna bilər.

Qara şlyapalı hackerlər həmçinin müxtəlif hücum (hack) alətləri hazırlaya bilərlər. Bu alətlər bir mənalı olaraq bədniyyətli məqsədlər üçün yazılır. Ağ şlyapalı hackerlər şəbəkəyə giriş testlərini həyata keçirərkən bu alətlərdən də istifadə edə bilməlidirlər.

1.2.Hücum alətlərinin növləri

Aşağıda şəbəkəyə giriş testi üçün əsas alətlərin kateqoriyaları göstərilmişdi (bu siya-hı son deyil, yeni alətlər daim hazırlanmaq-dadır):

• Password Crakers (parol açanlar və ya sındıranlar). Parollar təhlükəsizliyin ən zəif nöqtəsidir. Password Crakers alətləri əksər hallarda parol bərpa alətləri adlanır və pa-rolları açmaq (tapmaq) və ya bərpa etmək üçün istifadə oluna bilər. Onlar həqiqi parolu silərək, verilənlərin şifrlənməsindən yayına-raq və ya parolu birbaşa aşkar edərək buna nail olurlar. Password Crakers alətləri paro-lu aşkar etmək və sistemə giriş əldə etmək məqsədi ilə ixtiyarı parolları davamlı olaraq çox sayda təxminlər əsasında yoxlayır. Pass-word Crakers alətlərinə nümunə olaraq “John the Ripper”, “Ophcrack”, “L0phtCrack”, “THC

Hydra”, “RainbowCrack” və “Medusa” proq-ramlarını göstərmək olar.

• Wireless Hacking Tools (Simsizlərin (telsizlərin, radionun) hack alətləri). Simsiz şəbəkələr şəbəkə təhlükəsizlik təhdidlərinə qarşı daha həssasdır. Wireless Hack alətləri radio dalğalar vasitəsi ilə təşkil olunan şəbəkələrə müdaxilə və təhlükəsizlik boşluqla-rını aşkar etmək üçün istifadə olunur. Wireless Hack alətlərinə nümunə olaraq “Aircrack-ng”, “Kismet”, “İnSSİDer”, “KisMAC”, “Fireshe-ep” və “NetStumber” proqram təminatlarını göstərmək olar.

• Network Scanning and Hacking tools (Şəbəkə Axtarış və Hücum alətləri). Şəbəkə ta-rama alətləri açıq TCP və ya UDP portlarını aşkar etmək məqsədi ilə şəbəkə qurğularını, serverləri və hostları araşdırmaq üçün istifadə olunur. Tarama alətlərinə “Nmap”, “SuperS-can”, “Angry IP Scanner” və “NetScanTools” proqramları daxildir.

• Packet crafting tools (Paket hazırlayan alətlər). Bu alətlər xüsusi hazırlanmış saxta paketləri istifadə edərək, təhlükəsizlik divar-larının (firewall) sağlamlığını tədqiq etmək və sınaqdan keçirmək üçün istifadə olunur. Belə alətlərə “Hping”, “Scapy”, “Socat”, “Yersinia”, “Netcat”, “Nping” və “Nemesis” proqramları aiddir.

• Packet Sniffers (Paket ələ keçirənlər). Bu alətlər ənənəvi Ethernet LAN və ya WLAN şəbəkələrində paketləri ələ keçirmək və ana-liz etmək üçün istifadə olunur. Packet Sniffers alətlərinə aşağıdakı proqramlar aiddir: “Wi-reshark”, “Tcpdump”, “Ettercap”, “Dsniff”, “EtherApe”, “Paros”, “Fiddler”, “Ratproxy” və “SSLstrip”.

• Rootkit Detectors (Rootkit aşkar edənlər). Rootkit - antivirus proqramlarından qara şlya-palı hackerin müdaxiləsini və istifadə etdikləri alətləri gizlədən proqramdır. Rootkit Detec-tors alətləri ağ şlyapalı hackerlər tərəfindən rootkitləri aşkar etmək üçün istifadə olunur. Rootkit Detectors alətlərinə nümunə olaraq “AİDE”, “Netfilter” və “OpenBSD Packet Fil-


16

ter” proqram təminatlarını göstərmək olar.

• Fuzzers to Search Vulnerabilities (boş-luqları axtarmaq üçün fuzzerlər). Fuzzerlər - hackerlər tərəfindən kompüter sistemlərinin təhlükəsizlik boşluqlarını aşkar etməyə cəhd edərkən istifadə etdikləri alətlərdir. Bunla-ra nümunə olaraq “Skipfish”, “Wapiti” və “W3af” kimi proqramları göstərmək olar.

• Forensic Tools (Hüquqi alətlər). Bu alətlər ağ şlyapalı hackerlər tərəfindən müəyyən kom-püter sistemində mövcud müdaxilələrin izini aşkar etmək üçün istifadə olunur. Nümunə olaraq “Sleuth Kit”, “Helix”, “Maltego” və “Encase” proqramlarını göstərmək olar.

• Debuggers (Xəta aradan qaldıranlar). Bu alətlər qara şlyapalı hackerlər tərəfindən zərərverici kod yazarkən mühəndislərin tərtib etdikləri proqramın ikili faylarını geri çevirmək üçün istifadə olunur. Onlar həmçinin ağ şlyapalı hackerlər tərəfindən zərəli kodları aşkar etmək üçün də istifadə olunur. Bunlara aiddir: “GDB”, “WinDbg”, “IDA Pro” və “Immunity Debugger”.

• Hacking Operating Systems (Hack edən Əməliyyat Sistemləri). Bu alətlər hü-cumu həyata keçirməyə imkan verən alətlər və texnologiyalara malik xüsusi hazırlanmış əməliyyat sistemləridir. Bunlara nümunə ola-raq “Kali Linux”, “Selinux”, “Knoppix” və “BackBox Linux” kimi xüsusi hazırlanmış “hack” edən əməliyyat sistemlərini göstərmək olar.

• Encryption Tools (Şifrləmə Alətləri). Bu alətlər müəssisınin məlumatlarını saxlama və hərəkət hallarında qorumaq üçün tətbiq olunur. Şifrləmə alətləri məlumatlara icazəsiz girişin qarşısını almaq məqsədi ilə verilənləri kriptolamaq üçün xüsusi alqoritmlərdən istifadə edir. Bunlara aiddir: “VeraCrypt”, “CipherShed”, “OpenSHH”, “OpenSSL”, “Tor”, “OpenVPN” və “Stunnel”.

• Vulnerability Exploitation Tools (Boş-luqları İstifadəedən Alətlər). Bu alətlər məsafədə yerləşən host-un təhlükəsizlik hü-

cumlarına qarşı boşluqlara malik olduğunu müəyyən edir. Boşluqları İstifadə Alətlərinin nümunələri: “Metasploit”, “Core İmpact”, “Sqlmap”, “Social Engineer Toolkit” və “Nets-parker”.

• Vulnerability Scanners (Boşluqlar Axta-rıcıları). Bu alətlər açıq portları aşkar etmək məqsədi ilə şəbəkəni və ya sistemi tarıyır. On-lar həmçinin bilinən boşluqları, həmçinin vir-tual maşınları, BYOD (bring your own device-öz qurğunu gətir) qurğularını və müştəri verilənlər bazasını axtarmaq məqəsədi ilə də istifadə oluna bilər. Bunlara “Nipper”, “Secu-nia PSİ”, “Core” “İmpact”, “Nessus v6”, “SA-INT” və “Open VAS” proqram təminatları addir.

Qeyd: bu alətlərin əksəriyyəti UNİX və ya Linux əsaslıdır, bu səbəbdən təhlükəsizlik mütəxəssisləri güclü UNİX və Linux bilgilərinə malik olmalıdırlar.

2.Əsas hücum üsulları

Hackerlər müxtəlif hücum əməliyyatlarını həyata keçirmək məqsədi ilə yuxarıda qeyd olunan hücum alətlərindən və ya onların kombinasiyasından istifadə edə bilərlər. Aşağıda hacker hücumlarının əsas üsulları göstərilir (Lakin, bu siyahı son deyil, belə ki, hücum üçün yeni boşluqlar davamlı olaraq aşkar olunur):

• Eavesdroping Attack (Gizli dinləmə Hü-cumu). Burada hacker şəbəkə trafikini ələ ke-çirir və onu “dinləyir”. Bu hücum həmçinin sniffing və ya snooping də adlanır.

• Data Modification Attack (Verilənləri Dəyişən Hücum). Burada hackerlər trafikin ələ keçirdikləri paketlərin tərkibindəki verilənləri göndərənin və qəbul edənin xəbəri olmadan dəyişirlər.

• İP Address Spoofing Attak (İP ünva-nı aşkar edən hücum). IP address spoofing - göndərən şəxsin şəxsiyyətini maskalamaq və ya əks olunan DDoS hücumunu həyata keçirmək üçün İP paketin tərkibindəki mənbə


17

başlığının məzmunu təsadüfi rəqəmlərlə sax-talaşdırma fəaliyyətidir. Burada hacker korpo-rativ intranetin daxilindən gələn İP paketinə bənzər İP paket hazırlayır.

• Password-Based Attacks (Parola əsaslı hücum). Əgər hackerlər həqiqi istifadəçinin ac-caunt-unu aşkar edərsə hücum edən şəxs real istifadəçı ilə eyni hüquqlara malik olur. Hac-ker bu həqiqi accaunt-u digər istifadəçilərə və şəbəkə məlumatlarına çatmaq üçün istifadə edə bilər. Onlar həmçinin server və şəbəkə konfiqurasiyalarını dəyişə, verilənləri dəyişə, başqa istiqamətə yönləndirə və silə bilərlər.

• Denial-of-Service (DoS) Attack (Xidmət-dən imtina hücumu). DoS hücum həqiqi istifadəçilərin kompüterlərini ələ keçirən hac-kerin bu kompüterləri istifadə edərək serverə çox saylı sorğular göndərməklə onun nor-mal fəaliyyətinə mane olan hücum növüdür. Həqiqi istifadəçilərin kompüterlərinə giriş əldə ediləndən sonra DoS hücum həyata keçirən hacker qurğuların proqram təminatlarını və şəbəkə xidmətlərini iflic edə bilər. DoS hücum kompüter və ya bütün şəbəkə ifrat yüklənmə səbəbindən sönənədək hücum edə bilər. DoS hücum həmçinin trafiki bloklaya bilər, bu da icazəli istifadəçilərin şəbəkə resurslarından istifadə etməyə imkan verməyəcək. DoS hü-cumun bir növü də DDoS hücumudur ki, bu-rada hücum əməliyyatı eyni zamanda bir çox sayda hackerlər tərəfindən yerinə yetirilir.

• Man-in-the-Middle Attack (Aralıqdaki şəxsin hücumu). Bu hücum hackerlər sistem və istifadəçi arasında mövqe alanda baş verir. Burada onlar əlaqənin açıq-aydın aktiv moni-torinqini həyata keçirə, paketləri ələ keçirə və nəzarət edə bilər.

• Compromised-Key Attack (Kompromat açar hücumu). Bu hücum növü gizli məlumatı şifrləmək, deşifrləmək və ya yoxlamaq üçün istifadə olunan gizli kodu və ya rəqəmi (kompromat açarı) təcavüzkar tərəfindən təyin edildikdə baş verir. Bu açar ötürən və qəbul edən tərəflərin xəbəri olmadan şifrli məlumatları deşifrə etmək üçün istifadə edilə bilər.

• Sniffer Attack (Aşkar edən hücum). Snif-fer (iyləyən, aşkar edən) şəbəkə verilənlər mübadiləsini oxuya, monitorinq edə və ələ keçirə, həmçinin İP paketləri oxuya bilən proq-ram təminatı və ya qurğudur. Əgər paketlər şifrlənməyibsə sniffer paketin daxilindəki verilənlərin tam görünüşünü təmin edir, hətta inkapsulyasiya edilən (tunelləşdirilən) paketlər belə açıla bilər.

Hakerlərin bu hücumları həyata keçirmək üçün müxtəlif gizlədici alətlərdən istifadə etdiklərini anlamaq çox vacibdir.

3. Şəbəkə hücumlarının növləri

Zərərli proqramlar “faydalı” yükü çatdır-ma vasitəsidir. Zərərverici proqramlar haq-qında İnternet resurslarında ətraflı məlumat tapmaq mümkündür. Onlar bəzən Zərərverici Hücumlar (malware attacks) da adlanır. Zərərvericilərə yoluxmuş hostlarda fayda-lı yük müxtəlif şəbəkə hücumlarını həyata keçirməyə imkan verir. Hücumlara qarşı mübarizəni təşkil edərkən ilk növbədə hü-cumları təyinatına görə qruplaşdırmaq fayda-lı olardı. Şəbəkə hücumlarını təyinatına görə üç əsas növə aid etmək olar:

• Casus hücumları;

• Access (giriş) hücumları;

• DoS hücumları.

3.1.Casus hücumları (reconnaissance or recon attacks)

Casus hücumları sistemlərin və xidmətlərin boşluqlarını aşkar edilməsi üçün tətbiq olu-nan hücum növüdür. Casus hücumları adətən Access və ya DoS hücumlarından öncə həyata keçirilir və əksər hallarda geniş imkanlara malik hacker alətlərindən istifadə olunur.

Aşağıda bədniyyətli hacker tərəfindən casus hücumlarını həyata keçirmək üçün istifadə etdikləri üsullar təqdim olunur:

• Hədəf haqqında sorğu həyata keçiri-


18

lir. Hacker hədəf haqqında ilkin məlumatlar axtarır. Bunun üçün “Google” axtarış siste-mi, “website”, “whois” və s. təşkilatlar kimi müxtəlif alətlər mövcuddur.

• Hədəf şəbəkəsinin ping vasitəsi ilə axta-rışı həyata keçirilir. Məlumat sorğusu adətən hədəf şəbəkəsinin ünvanını aşkar edir. Bura-da hansı İP ünvanın aktiv olduğunu müəyyən etmək üçün hacker ping taraması həyata ke-çirir.

• Aktiv İP ünvanının port axtarışı həyata keçirilir. Burada hansı port və xidmət açıq olduğu müəyyən edilir. Port tarayıcısı kimi “Nmap”, “SuperScan”, “Angry IP Scanner” və “NetScanTools” proqramlarını nümunə gətirmək olar.

• Boşluqların axtarışı üçün alətlər işə salınır. Burada hədəf host-unda fəaliyyət göstərən proqram təminatlarının və əməliyyat sistemlərinin növlərini və versiyalarını müəyyən etmək üçün aşkar olunan portun sorğulanması həyata keçirilir. Alət kimi “Nip-per”, “Secuna PSI”, “Core Impact”, “Nessus v6”, “SAINT” və “Open VAS” göstərmək olar.

• İstismar edən alətlər işə salınır. Burada hacker sui-istifadə etmək üçün yaralı olan zəyif xidmət aşkar etməyə çalışır. Alətlərə “Metasploit”, “Core Impact”, “Sqlmap”, “So-cial Engineer Toolkit” və “Netsparker” proq-ram təminatları aiddir.

3.2.Access hücumları

Access hücumları web-hesablara, məxfi məlumat bazalarına və digər həssas məlumat-lara giriş əldə etmək məqsədi ilə audentifika-siya, FTP və web xidmətlərinin məlum boş-luqlarını sui-istifadə edən hücum növüdür.

Hazırda Access hücumların həyata keçirilməsinin əsas üsulu sosial mühəndislik-dir, lakin bundan başqa altı ümumi növü də göstərmək faydalı olar:

• Parola hücum. Burada hacker sosial mühəndislik, lüğət hücumu, brute-force hü-

cumu və ya şəbəkə sniffing kimi müxtəlif me-todlar istifadə edərək kritik sistemin parolunu əldə etməyə cəhd göstərir. Brute-force paro-la hücum “Ophcrack”, “L0phtCrack”, “THC Hydra”, “RainbowCrack” və “Medusa” kimi alətlərdən davamlı istifadə edərək həyata ke-çirilir.

• Etibardan sui-istifadə. Burada bədniyyətli istifadəçi ona verilən məhdud giriş hüququn-dan istifadə edərək sistemə giriş əldə etməyə çalışır.

• Portu yenidən yönəltmək. Burada hac-ker ələ keçirən sistemi digər hədəflərə hücum etmək üçün mənbə kimi istifadə edir.

• Aralıqda şəxs hücumu. Burada hacker bir-birinə ötürən verilənləri ələ keçirmək və dəyişmək məqsədi ilə iki qurğu arasında yerləşir.

• Buferi aşmaq. Burada hacker bufer yad-daşından istifadə edir və onu ifrat yükləməklə sıradan çıxarır. Bu vəziyyət adətən DoS hü-cumlar yaradaraq sistemi idarə olunmaz hala salır. Hesablanıb ki, zərərverici hücumların üçdə biri buferi aşma hücumunun nəticəsidir.

• IP, MAC, DHCP Spoofing . Spoofing hü-cumlarında bir qurğu yalançı verilənlərlə özünü başqa bir qurğu kimi göstərir. Spoo-fing hücumlarının bir çox növləri var. Məsələn MAC ünvan spoofing-ində bir kompüter digər kompüterin MAC ünvanına əsaslanaraq paketlərin verilənlərini ələ keçirir.

Sosial mühəndislik - fərdlərin müəyyən fəaliyyət yerinə yetirməsinə və ya giz-li məlumatları ifşa etməsinə vadar etmək məqsədi ilə onu manipulyasiya etməyə çalı-şan başqa bir access hücum növüdür. Sosial mühəndislər əksər insanların faydalı olma istəyinə güman edirlər. Onlar həmçinin in-sanların zəifliklərini sui-istifadə edirlər.

Sosial mühəndislik hücumlarının xüsusi növləri bunlardır:

• Pretexting (Bəhanəçi). Burada hacker im-tiyazlı məlumatlara giriş əldə etmək məqsədi


19

ilə istifadəçi ilə əlaqəyə girir və onları aldat-mağa çalışır. Məsələn, alıcının şəxsiyyətini təsdiqləmək üçün guya onun fərdi və ya maliyyə məlumatlarına ehtiyac olduğunu bildirən təcavüzkar.

• Phishing (Balıq ovlayan). Burada təcavüzkar rəsmi və etibarlı mənbələrdən gəldiyini iddia edərək daxilində zərərli kod olan saxta e-mail göndərir.

• Spear (nizə ilə) phishing. Bu konkret bir fərdə və ya təşkilata hədəflənmiş bir phishing hücumudur.

• Spam. Burada hackerlər istifadəçini al-dadaraq onları yoluxmuş link-ə basmağa və ya yoluxmuş faylı yükləməyə vadar etmək məqsədi ilə spam e-mail-indən istifadə edir.

• Tailgating (İzi ilə getmək). Burada hacker bağlı əraziyə girmək məqsədi ilə səlahiyyətli şəxsi cəld izləyir. Hacker daha sonra təhlükəsiz bir sahəyə çıxış əldə edir.

• Something for Something (Quid pro quo - Bir şey üçün bir şey). Burada hacker pul-suz hədiyyə qarşılığında istifadəçinin fərdi məlumatlarını tələb edir.

• Baiting (Tələ) Hacker bir ümumi tualet kimi ictimai yerlərdə bir yoluxmuş USB flash kimi fiziki cihaz buraxır. Bunu tapan şəxs onu kompüterinə qoşur və istəmədən zərərli proq-ramları yüklənməsinə səbəb olur.

3.3.DoS hücumları

DoS hücumu haqqında yuxarıda qeyd ol-muşdur və əsasən aşağıdakı üsullarla həyata keçirilir:

• Ping of Death (Ölüm Ping-i). Burada hacker paketin maksimal ölçüsündən (65535 bayt) daha böyük IP paket – “ölüm ping”-i göndərilir. Qəbul edən tərəf bu ölçüdə paketi işləyə bilmədiyi üçün bundan sonra normal fəaliyyət göstərə bilmir.

• Smurf Attack (Smurf hücumu). Bura-da hacker müxtəlif qəbuledicilərə çox sayda

ICMP sorğuları göndərərək DoS hücumunu gücləndirir.

• TCP SYN Flood Attack. Buradar hac-ker şikarına yalançı mənbənin IP ünvanı ilə çox saylı TCP SYN sessiya sorğu paketlərini göndərir. Hədəf cihaz TCP SYN-ACK paketinə cavabı yalançı IP ünvanına göndərir və TCP ACK paketini gözləyir. Lakin, cavab-lar gəlmədiyi üçün hədəf hostları yarım açıq TCP əlaqələri ilə ifrat yüklənir.

4. Şəbəkə hücumlarının əsas məhdudlaş-dırma üsulları

4.1.Şəbəkənin ümumi qorunması tədbirləri

Şəbəkənin hücumlardan qorunması üçün daimi ayıq-sayıqlıq və davamlı maariflənmə tələb olunur. Şəbəkənin təhlükəsizliyi üçün aşağıda ən yaxşı təcrübələr sadalanır:

• müəssisə üçün yazılı təhlükəsizlik siyasətinin işlənilməsi;

• işçilərin sosial mühəndislik riskləri haq-qında maarifləndirilməsi, həmçinin telefon üzərindən, e-mail vasitəsi ilə və ya istifadəçinin bilavasitə iştirakı ilə həyata keçirilən audenti-fikasiya prosesinin təsdiqlənmə strategiyası-nın işlənilməsi;

• sistemlərə fiziki girişə nəzarətin təşkili;

• etibarlı paroldan istifadə edilməsi və onun tez-tez dəyişdirilməsi;

• həssas verilənlərin şifrləməklə və parolla qorunmasının təmin olunması;

• firewall, IPS, VPN, həmçinin antivirus və filtrasiya kimi təhlükəsizlik qurğularından və proqram təminatlarından istifadə olunması;

• mütəmadi olaraq sənədlərin arxiv nüsxələrinin hazırlanması və onların yoxla-nılması;

• qurğuların ehtiyac olmayan funksiyala-rının və portlarının bağlanması;


20

• proqram təminatlarının boşluqlarını aradan qaldırmaq üçün istehsalçı tərəfindən təqdim olunan patch-ların həftəlik və ya gün-lük yüklənməsi;

• şəbəkənin müdafiə səviyyəsini yoxlamaq üçün vaxtaşırı təhlükəsizlik auditinin həyata keçirilməsi.

4.2. Zərərverici proqramların məhdudlaş-dırılması

Viruslar, soxulcanlar və Troya atları kimi zərərverici proqramlar (qısa “zərərvericilər”) şəbəkələrdə və son qurğularda ciddi problemlərin yaranmasına səbəb ola bilər. Bu cür hücumların qarşısını almaq üçün şəbəkə inzibatçıları bir sıra üsullardan istifadə edə bilər.

Virusların və Troya atlarının qarşısını al-mağın əsas vasitəsi antivirus proqramlarıdır. Antivirus proqramları şəbəkə qurğularının və hostların zərərli kodlara yoluxmasının və onların şəbəkədə digər qurğulara yayılması-nın qarşısını almağa kömək edir. Yoluxmuş kompüterlərin təmizlənməsi üçün tələb olu-nan vaxt və vəsait, müasir antivirus proqram-larının və qoruyucularının qurulmasına sərf olunan vaxta və vəsaitə nisbətən dəfələrlə çox ola bilər.

Hal-hazırda bazarda antivirus proqramla-rı ən geniş yayılmış təhlükəsizlik vasitəsidir. Antivirus proqramlarını hazırlayan Syman-tec, McAfee və Trend Micro kimi bəzi şirkətlər virusların aşkar və ləğv olunması işində on ildən çox fəaliyyət göstərir. Bir çox korpora-siyalar və təhsil müəssisələri öz istifadəçiləri üçün böyük sayda lisenziya alır. İstifadəçilər vebsayta şəxsi account-ları ilə daxil olub anti-virus proqramlarını öz kompüterlərinə və ya serverlərinə yükləyə bilərlər.

Antivirus məsulları avtomatik yenilənmə özəlliyinə sahibdirlər ki, yeni viruslar üçün müəyyənedicilərin və yeni proqram təminat-larının yüklənməsi avtomatik həyata keçirilə bilər və ya bunun tələbatdan irəli gələrək sorğu ilə də həyata keçirilməsi mümkün-

dür. Belə təcrübə şəbəkəni viruslardan təmiz saxlamaq üçün çox kritikdir və bu, şəbəkə təhlükəsizlik siyasətini müəyyən edən sənəddə rəsmləşdirilməlidir.

Antivirus məsulları host əsaslıdır. Bu məsullar virusları aşkar və ləğv etmək üçün kompüterlərə və ya serverlərə yüklənilir. La-kin, onlar virusların şəbəkəyə daxil olma-sının qarşısını almır, bu səbəbdən şəbəkə təhlükəsizliyi mütəxəssisi əksər virus-lar haqqında xəbərdar olmalıdır və aktiv fəaliyyətdə olan son viruslara uyğun antivi-rus yenilənmələrini həyata keçirməlidir.

4.3.Soxulcanların məhdudlaşdırılması

Soxulcanlar viruslara nisbətən daha şəbəkə əsaslıdır. Soxulcanların qarşısının alınması şəbəkə təhlükəsizlik mütəxəssislərinin birgə səylərini və qarşılıqlı çalışmalarını tələb edir.

Soxulcanlara qarşı mübarizə dörd mərhələ-yə bölünə bilər:

• Containment (saxlama, durdurma) mərhələsi - soxulcanın şəbəkədə daha da ya-yılmasının qarşısının alınmasını nəzərdə tu-tur. Burada soxulcanın yayılmasını yavaşıt-maq və ya dayandırmaq, həmçinin hazırda yoluxmuş host-ların hücuma məruz qalmala-rının və digər sistemlərə yoluxmasının qar-şısını almaq məqsədi ilə şəbəkənin hissələrə bölünməsi və seqmentləşdirməsi tələb olunur. Containment mərhələsi şəbəkənin daxilindəki nəzarət nöqtələrində routerlərdə və firewal-larda daxil və xaric olanlar üçün ACL-lərin istifadəsini tələb edir.

• Inoculation (aşılama, peyvənd) mərhələsi - saxlama mərhələsinə paralel və ya ardıcıl həyata keçirilir. Bu mərhələdə bütün qey-ri-infeksiyalı sistemlərin boşluqları müvafiq vendorların patch-ları ilə qapanır. Aşılama prosesi soxulcanın hər hansı digər hədəfə ya-yılmasını əlavə olaraq mümkünsüz edir.

• Quarantine (karantin) mərhələsi - saxla-ma ərazilərində yoluxmuş maşınları izləmə və aşkar etmə, həmçinin onları söndürmə,


21

bloklama və ya silmə proseslərini əhatə edir. Bu mərhələdə yoluxmuş maşınlar müalicə mərhələsi üçün təcrid olunur.

• Treatment (müalicə) mərhələsi - yolux-muş sistemlərin aktiv dezinfeksiya edilməsini nəzərdə tutur. Bu mərhələ infeksiya prosesini sona çatdıra, soxulcan tərəfindən dəyişdirilən faylları və ya sistem ayarlarını aradan qaldıra və sistemin boşluqlarını qapada bilər. Alterna-tiv olaraq, daha şiddətli hallarda soxulcanı və onun yan məhsullarını silmək üçün sistemin yenidən işə salınması tələb oluna bilər.

4.4.Casus hücumların məhdudlaş-dırılması

Casus hücumları adətən əsas hücumlardan öncə tətbiq olunub, əsas məqsədi şəbəkəyə icazəsiz girişi əldə etmək və ya şəbəkənin fəaliyyətini pozmaqdır. Şəbəkə təhlükəsiziyi mütəxəssisləri casus hücumu, sistemdə öncədən qurduqları alarm proqramının həyəcan siqnalı vasitəsi ilə aşkar edə bilərlər. Həyəcan siqnalları müəyyən parametrlər (məsələn bir saniyə ərzində İCMP sorğula-rının sayı) həddini aşdıqda hasil olunur. Bu tip fəaliyyətləri aşkar edib həyəcan siqnalını hasil etmək üçün müxtəlif texnologiyalar və qurğular tətbiq oluna bilər.

Casus hücumlarının qarşısı müxtəlif üsul-larla alına bilər:

• Authentication (identifikasiyası) tədbir-ləri həyata keçirilməlidir ki, qurğuya yalnız icazəli şəxslər tərəfindən və yalnız onlara aid hissəyə giriş təmin olunsun.

• “Anti-sniffer” proqram təminatı və ya qurğusu tətbiq olunmalıdır. “Antisniffer” hostların cavab vermə müddətində hər hansı dəyişikliyin baş verməsini aşkar edir. Burada əsas diqqət indikasiya olunan həcmə nisbətən daha çox trafikin host tərəfindən işlənilmə faktının aşkar olunmasına yetirilir. Bu təhdidi tamamilə yox etməsə də, ümumi qoruma sis-teminin bir hissəsi kimi təhdid hallarının sa-yını azalda bilər.

• Kriptoqrafiya həmçinin “paket sniffer” (paketlərin aşkar edilməsi) hücumlarına qar-şı effektivdir. Əgər trafik kriptolanarsa “pa-ket sniffer”-in tətbiqi faydasız olur, çünki ələ keçirilən verilənlər oxunmaz haldadır.

• IPS (Intrusion prevention system – müdaxilənin qarşısını alan sistem) və firewall qurğularının tətbiq olunması “port scanner” proqramının qarşısını tam ala bilməsə də, onun vasitəsi ilə əldə keçirilən informasiyanın həcmi məhdudlaşdırıla bilər.

• Edge (Sərhəd) routerlərində “ICMP echo and echo-reply” funksiyası söndürülərsə “Ping sweeps” hücumunun qarşısı alına bilər, lakin bu xidmətlər dayandırıldıqda şəbəkə diaqnostika verilənləri itirilir. Üstəlik “port


22

scanner” tam ping vasitəsi ilə axtarışı həyata keçirmədən də fəaliyyət göstərə bilər. Belə halda aktiv olmayan İP ünvanlar da axta-rış obyektinə çevrildiyindən, axtarış prosesi daha uzun müddət tələb edir.

4.5. Access hücumlarının məhdudlaş-dırılması

Böyük sayda access hücumları sadə parol-ların güman edilməsi yolu ilə və ya parola qarşı tətbiq olunan “brute-force” lüğət hü-cumu vasitəsi ilə həyata keçirilir. Buna qarşı qorunmaq üçün sərt audentifikasiya siyasəti işlənilməli və həyata keçirilməlidir. Audenti-fikasiya siyasətinə daxildir:

• Etibarlı parollardan (password) istifadə olunması. Etibarlı parollar ən azı 8 simvoldan ibarət olub, böyük hərflərdən, kiçik hərflərdən, rəqəmlərdən və xüsusi işarələrdən təşkil olun-malıdır.

• Müəyyən sayda uğursuz giriş cəhdləri ol-duqda accaun-ta qadağa tətbiq olunması. Bu təcrübə çox saylı cəhdlərlə parolun və ya logi-nin axtarıb tapılmasının qarşısını alır.

Bundan başqa nəzərə alınmalıdır:

• Minimum etibarlıq prinsipi. Şəbəkə həmçinin minimum etibarlıq prinsipi-ni rəhbər tutaraq hazırlanmalıdır. Belə ki, sistemlər ehtiyac olmadan istifadə olunma-malıdır. Məsələn, əgər müəssisədə etibarsız qurğuları istifadə edən “webserver” kimi eti-barlı server varsa etibarsız qurğulara şərtsiz etibar edilməməlidir.

• Kriptoqrafiya. Kriptoqrafiya müasir məxfi şəbəkənin çox vacib tərkib hissəsidir. Şəbəkənin məsafədən idarəsi üçün kriptoqra-fiyadan istifadə olunma tövsiyə olunur. Route-rin protokol trafiki də həmçinin şifrlənməlidir. Trafik nə qədər çox şifrlənərsə “man-in-the middle” hücumu vasitəsi ilə hackerlər tərəfindən verilənlərin ələ keçirilməsi bir o qədər çətin olur. Etibarlı parolla birlikdə au-dentifikasiya protokollarının şifrlənməsi və ya “hash” edilməsi uğurlu access hücumu-

nun mümkünlüyünü əhəmiyyətli dərəcədə azaldır.

• Sosial mühəndislik haqqında maarif-ləndirmə. İstifadəçilər sosial mühəndislik riskləri haqqında maarifləndirilməli, həm-çinin telefon üzərindən, e-mail vasitəsi ilə və ya istifadəçinin bilavasitə iştirakı ilə həyata keçirilən audentifikasiya prosesinin təstiqlənmə strategiyası işlənilməlidir.

• Texniki qeydlərin təhlili. Ümumiyyətlə trafik haqqında texniki qeydləri (ing. - log), istifadə edilən kanal genişliyini və yüklənən prosesləri təhlil etməklə access hücumla-rı aşkar etmək olar. Şəbəkə təhlükəsizliyi siyasəti bütün şəbəkə qurğuları və serverləri üçün qeydlərin aparılmasını dəqiq müəyyən etməlidir. “Log”-ları nəzərdən keçirərkən, şəbəkə təhlükəsizlik mütəxəssisləri qeyri-adi uğursuz giriş cəhdlərinin olub-olmadığını müəyyən edə bilərlər.

• Sertifikasiyalı əməliyyat sistemlərinin tətbiqi. Sertifikasiyalı əməliyyat sistemlərinin tətbiqi, onları istehsal edən vendorların aşkar etdiyi boşluqları aradan qaldırmaq üçün ha-zırladıqları pach-ları yükləməyə imkan verir ki, bu da sistemin etibarlığını artırır.

4.6.DoS hücumların məhdudlaşdırılması

DoS hücumun həyata keçməsinin birinci əlaməti böyük sayda istifadəçilərin resurs-lardan istifadə edə bilməmələri haqqında şikayət etmələridir. Hücumların sayını mini-muma endirmək üçün şəbəkənin istifadəsinə nəzarət edən proqram təminatı daim fəaliyyət göstərməlidir. Bu həmçinin şəbəkə təhlükəsizlik siyasəti tərəfindən tələb olun-malıdır. Şəbəkənin istifadə olunma dərəcəsini göstərən funksiya əyrisində qeyri-ənənəvi aktivlik nümaiş olunması DoS hücumun baş verməsinə işarə edə bilər.

DoS hücumlar daha böyük hücumun tərkib hissəsi ola bilər. DoS hücumlar şəbəkə seqmentlərində problemin yaranmasına səbəb ola bilər. Məsələn, routerdə İnternetlə LAN arasında paketləri ötürmə sürətinin


23

aşağı düşməsi təkcə hədəf sisteminin deyil, həmçinin bütün şəbəkənin fəaliyyətini pozur. Əgər hücum kifayət dərəcədə böyük miqyas-da baş tutarsa müəyyən coğrafi ərazidə İnter-net əlaqəsi kəsilə bilər.

Tarixi olaraq bir çox DoS hücumlar yalan-

çı (spoof) ünvanlardan qaynaqlanıb. Cisco routerlər və sviçlər “Port Security”, “Dynamic Host Configuration Protocol (DHCP) snoo-ping”, “IP Source Guard”, “Dynamic Address Resolution Protocol (ARP) Inspection” və “Ac-cess Control Lists (ACLs)” kimi bir sıra antis-poofing texnologiyalarını dəstəkləyir.

All Networks are routinely under attacks. Network security is now an integral part of computer networking. Network security involves protocols, technologies, devices, tools, and techniques to secure data and mitigate threats. Network security is largely driven by the ef-fort to stay one step ahead of ill-intentioned hackers. Business continuity is another driver of network security.

Many attack vectors originate from outside the corporate network, but attack vectors can also originate from inside the network.

Network security organizations have been created to establish formal communities of net-work security professionals. These organizations set standards, encourage collaboration, and provide workforce development opportunities for network security professionals. Network security professionals should be aware of the resources provided by these organizations.

The complexity of network security makes it difficult to master all it encompasses. Dif-ferent organizations have created domains that subdivide the world of network security into more manageable pieces.

Network security policies are created by companies and government organizations to pro-vide a framework for employees to follow during their day-to-day work. Network security professionals at the management level are responsible for creating and maintaining the net-work security policy. All network security practices relate to and are guided by the network security policy.

Viruses, worms, and Trojan horses are specific types of network attacks. More generally, network attacks are classified as reconnaissance, access, or denial of service (DoS) attacks.

Network professionals must implement various network security techniques to protect the organizations’ assets from outside and inside threats.

Keywords: network security, mitigating, vulnerability, ethical, rootkit, access, account, link, ping, login, password, e-mail, spam, patch, host, hacker, traffic, hash, log, segment, rou-ter, switch, spoofing, snooping.

Ədəbiyyat:

1. “CCNA Security”, the USA, Cisco Network Academy, 2017; 2. M.Morqan. “Cisco CCNA Security Notes”, the USA 2010;3. Gregory J. Touhill ,C. Joseph Touhill “Cybersecurity for executives”, the American Ins-

titute of Chemical Engineers, 2014;


24

İnformasiya normativlərinin Qlobal 2018-ci il dəyişiklikləri və

təsirləriİlqar Əliyev - Prima Menecment Konsaltinq şirkəti

Gündəlik işgüzar və sosial həyatımızda konfidensial məlumatların nüfuzdan salınması və məxfilik xüsusiyyəti daşıyan fərdi məlumatların kənara sızdırılması halları artmaqda-dır. Fərdi məlumatlar dedikdə şəxsin kimliyini birbaşa və ya dolayısı ilə müəyyənləşdirməyə imkan verən istənilən məlumat, informasiya nəzərdə tutulur və bu məlumatlar qanunla tənizmlənir. Ölkəmizdə dövlət informasiya sistemləri, banklar, sığorta şirkətləri, telekommu-niaskiya, rabitə müəssisələri, səhiyyə sahəsi və bir sıra avtomatlaşdırılmış elektron sistemlər fərdi məlumatlarla işləyir, saxlayır və emal edirlər. Normativ hüquqi aktlarla tənzimlənən fərdi məlumatların icazəsiz açıqlanması müəssisə və təşkilatları reputasiya və maliyyə itkilərinə məruz qoyur, insanların rəqəmsal və texnologiyalara etimadını azaldır.

Açar sözlər: fərdi məlumatlar, GDPR, mühaifzə vasitələri, nəzarət

Britaniyada nəşr olunan Sunday Mir-rorun məlumatına görə 2017-ci ilin

oktyabrında yoldan keçən bir vətəndaş USB yaddaş kartını tapmış və readksiyaya təqdim etmişdır. Həcmi 2.6 Gb malik olan yaddaş kartında 76 qovluq, məxfi fayıllar, müxtəlif konfidensial xəritələr, Britaniya kraliçası, ailə üzvləri, hökümət rəhbərlərinin London Hitrou aeroportuna gediş-gəliş marşrutları, hava li-manın təhlküəsizlik zonaları, iş reqlamentləri və vasitələri, radar sistemləri və dövlətin ter-

rora qarşı mübarizə tədbirləi olan informasi-yalar yeləşmişdi. Bu hadisə Birləşmiş Krallıq-da böyük ajiotaj yaratmışdır.

Qlobal rəqəmsallaşmanın artması məlumat idarəçiliy üzrə yeni risklər və nəzarət tələbləri yaradır. Mövcud boşluqlarıın qarşısının alınması və risklərin azaldılması məqsədi ilə Avropa Birliyi 1995-ci ildən tətbiq etdiyi Məlumatların Mühafizəsi Direktivinə ciddi dəyişikliklərin edilməsi qərarını vermişdir.


25

Avropa Birliyi konfidensial məlumatların qo-unması üzrə daha sərt tələbləri ehtiva edən Fərdi Məlumatların Mühafizəsinin Ümumi-avropa Reqlamenti (GDPR – General Data Protection Regulation) tətbiqi anounsunu ver-mişdir. Belə ki, bu normativ aktın şərtlərinə və maddələrinə uyğunluq 25 may 2018-ci ildən tələb olunur. Bu tələblərin ölkə xaricində və daxilində fəaliyyət göstərən şirkətlərə bir-başa və dolayısı ilə əlaqəsi, təsiri vardır. Fərdi Məlumatların Mühafizəsinin Ümumiavropa Reqlamentini (FMMÜR), yəni GDPR qanu-nun şərtlərini ciddi pozan şirkətlər yerləşmə məkanından asılı olmayaraq 20 milyon avro-ya qədər və ya maliyyə ilində dövriyyəsinin 4%-i miqdarında cərimə ediləcəklər. Mövzuy-la əlaqədar tətbiq edilən yeniliyin şərtlərini ölkə iqtisadiyyatının sektorlara mümkün təsirləri haqqında qısa məlumat verərək möv-cud normativ aktlarımızla analogiya apa-raq. Ölkəmizdə bu istiqaməti tənzimləyən “Fərdi məlumatlar haqqında” Azərbaycan Respublikasının Qanunu 11 may 2010-cu ildə təsdiq edilmişdir. Qanunun əsas məqsədi fərdi məlumatların toplanılması-nın, işlənilməsinin və mühafizəsinin qanun-

vericilik əsaslarını və ümumi prinsiplərini, həmin sahədə dövlət tənzimləməsinin qay-da və tələblərini, fərdi məlumatların infor-masiya ehtiyatlarında formalaşdırılması, informasiya sistemlərinin yaradılması, in-formasiyanın verilməsi və ötürülməsi qay-dalarını, bu prosesdə iştirak edən şəxslərin hüquqlarını, vəzifələrini və məsuliyyətinin əsaslarını müəyyən etməkdən, o cümlədən şəxsi və ailə həyatının sirrini saxlamaq hü-ququnu müdafiə etməkdən ibarətdir. Qanun fərdi məlumatların toplanılması, işlənilməsi və mühafizəsi ilə bağlı münasibətləri, mil-li informasiya məkanının fərdi məlumatlar bölümünün formalaşdırılması, habelə fərdi məlumatların transsərhəd ötürülməsi ilə əlaqədar məsələləri tənzimləyir, bu sahədə fəaliyyət göstərən dövlət və yerli özünüidarə orqanlarının, hüquqi və fiziki şəxslərin hü-quq və vəzifələrini müəyyən edir. Beynəlxalq miqyasda tanınacaq və artıq qüvvədə olan FMMÜR-GPDR normativlərində əsasən aşa-ğıdakı tələblər və dəyişikliklər ortaya qoyul-muşdur:

- məlumatların mühaifizə tələblərinin əhatə dairəsinin genişləndirilməsi;

Konfidensial məlumatların sızması üzrə statistika

Təşkilatın adıSızmış

məlumatların sayı

Tarixi Sizma səbəbi Sahəsi

Equifax kredit agentliyi 143 milyon 15/07/2017 identifikasiya boşluğu,

həmlə Maliyyə

NHS, UK - Milli Səhiyyə xidməti 26 milyon 17/03/2017 identifikasiya boşluğu,

səhlənkarlıq Dövlət

Hongkonq Seçki Komitəsi 3.7 milyon 6/3/2017 identifikasiya boşluğu,

həmlə Dövlət

Verzion şirkəti 14 milyon 8/6/2017 istifadəçi hesablarına giriş, insident

Texnologiya şitkəri

Harvard Universiteti 1.4 milyon 21/02/2017 identifikasiya boşluğu,

insident Təhsil

Mənbə: breachlevelindexGün ərzində sızan məlumatların statistikası

saniyədə dəqiqədə saatda gündə59 3563 213761 5130273


26

- cərimə sanksiyalarının fərdi məlumatlara nəzarət və emal edənlərə tətbiqi;

- məlumatların tədim edilməsinin razılaş-dırlması və tələblərinin sərtləşdirilməsi;

- mühafizə olunan məlumatların sızması halında məlumat sahiblərinin və nəzarət or-qanlarının məlumatlandırılması (məlumat sızması halı müəyyənləşdirildikdən sənra 72 saat ərzində);

- fərdi məlumatlardan istifadə, daxilolma nəzarətlərinin gücləndirilməsi;

- məlumat subyektinin məlumatının silin-məsini tələb hüququna və fərdi məlumatının emalını dayandırmaq səlahiyyətinə malik ol-ması;

- fərdi məlumatların qorunmasını, mühafi-zəsini, sistemin ilikin dizayn mərhələsində, eləcə də bu məlumatların bütün həyat tiskli boyunca təmin edilməsi;

- fərdi məlumatların mühafizəsi üzrə inzi-batçının təyin edilməsi;

- məlumat inzibatçısı tərəfindən perio-dik qaydada fərdi məlumatlara təsirlərin qiymətləndirməsinin həyata keçirilməsi.

GDPR-in normativləri yalınz Avropa Bil-riyinin (AB) ölkələri ilə məhdudlaşmayıb, AB vətəndaşlarının məlumatlarını saxlayan,

ötürən, emal edən bütün biznes subyektlərinə şamil edilir.

GDPR əsasən aşağıdakı şirkət və təşkilatları əhatə edir:

- AB-də fəaliyyət göstərən, məkanından asılı olmayan bütün növ biznes subyektlərini;

- AB vətəndaşı olan və ya səyahət edən işçiləri, istehlakçıları, müştəriləri, abonentləri, partnyorları, müqavilə üzrə çalışanları;

- kənarda yerləşərək AB məkanına və vətəndaşlarına məhsullarını və xidmətlərini təqdim edən şirkətləri.

Hazırda qlobal miqyasda minlərlə müəs-sisələr bu normativ aktın gələcək müm-kün cərimələrindən və uyğunsuzluqudan sığortalanmaq üçün müvafiq tədbirləi icra edirlər. Qeyd edilən dəyişikliklər, tələblərin sərtləşdirilməsi şirkətlərin və təşkilatların korporativ idarəetmə modelini, daxili nəzarət və risk menecment sistemlərinin transforma-siyasına səbə olacaqdır. GDPR reqlamentinin tətbiqi müəssisə və şirkətlərin nəzarət və təftiş funksiyalarına təsir edəcəkdir və əsasən aşa-ğıdakı rollara dəyişikliklər gətirəcəkdir:

- audit xidməti və qiymətləndirmə üzrə mütəxəssislərin fəaliyyətində;

- informasiya təhlükəsizliyi və kiber təhlükəsizlik mütəxəsislərin gündəlik fəaliy-yətində;

- hüquqşünaslarin işinin əhatə dairəsində;

- risk menecerləri və risk mütəxəssislərin yanaşmalarında və fəaliyyət istiqamətlərində;

Audit xidməti və nəzarət fəlaiyyətləri üzrə əlavə olaraq aşağıdakı öhdəliklər əlavə edilməsi gözlənilir:

- şirkətin, təşkilatın fəaliyyətinin fərdi məlumatların idarə olunması prizmasından qiymətləndirilməsi;

- qorunması zəruri olan məlumatların qiymətləndirməsini audit planlarında nəzərə alınması;


27

- fərdi məlumatlara təsirlərin və nəzarətlərin periodik qiymətləndirilməsi.

İnformasiya təhılükəsizliyi və kiber-təhlükəsizlik fəaliyyəti üzrə GDPR tələblərinə görə fərdi məlumatların yerləşdiyi, emal olunduğu və mühafizə edildiyi məkanlarda sitemlərin boşluqlarının təhlili, loq menec-menti, audit izləmə sistemlərinin yoxlanıl-ması, nüfuzetmə testlərinin keçirilməsi və aşakaredici nəzarətlərin tətbiqini həyata keçirməlidirlər.

Hüquqşünslar GDPR normativlərindən irəli gələn tələblərin təminı üçün mövcud normativlərə, qayda və prosedurlara müvafiq dəyişiklikləri, uyğunlaşdırma işlərini yerinə yetirməlidirlər. Fərdi məlumatlarla işləmə və idarəetmə birbaşa yüksək risk zonası hesab olunduğu üçün risk peşəkarları bu sahədən kənarda qala bilməzlər. Buna görə müəssisə və təşkilatlarda mühafizə olunan məlumatlara təsirlərin qiymətləndirməsi prosesində bu mütəxəsisslər müvafiq risk xəritəsində, profillərində və nəzarətlərində GDPR uyğu-nuluğunu, risk limitini nəzərə almalıdırlar.

Bildirdiyimiz kimi, GDPR Avropadan kənardada AB-i vətəndaşlarının fərdi, qou-nan məlumatlarını saxlayan, emal edən və ötürən bütün şirkətlərə və təşkilatlara aid olu-nur. GDPR normativləri aşağıdakı biznes və texnoloji dəyişikliklərə yol açaçaqdır:

Müştəri razışlaşmalarının standartlaşdı-rılması - Əgər müşətri öz məlumatını şirkətə tədqim edirsə, onun razılığı əldə olunmalıdır. Məsələn, “TCaspian Hit” şirkəti istifadəçiyə təqdim olunan xidmətləri təkmilləşdirmək və loyallığını artırmaq niyyətindədir. Bu zaman adətən veb bauzerdə daima rastlaşığımız “Co-okie Consent” şərtləri çıxır və biz bu sorğuya razılaşma düyməsini qeyd edirik. Şirkət bu ra-zılaşmanın şərtlərindən (marketinq məqsədi üçün, müştəri servislərinn optimallaşdırılma-sı və s.) kənar məlumatları istifadə edə bilməz. GDPR tələblərinə görə avtomitk qeydiyyat, müştərilərə spam xarakterli məlumatların, reklamların göndəriməsini qadağan edir ki, ölkəmizdə fəaliyyət göstərən telekommunika-

siya şirkətləri, media və kontent provayderləri bu şərti nəzərə almalıdırlar.

Müştərinin öz məlumatlarından istifadə və ləğv etmə hüququ – Yeni normativlərə görə istehlakçı və istifadəçi istənilən vaxt öz məlumatları haqqında informasiya-nı əldə edə bilər. Eləcə də bu məlumatların necə saxlandığı, qorunduğu, emal olundu-ğu və şirkətin bu informasiyarı necə istifadə edəcəyi barədə ətraflı məlumat ala bilər. Digər tərəfdən müşətri istənilən vaxt məlumatının heç bir ödəniş etmədən şirkətin sistemindən silinməsini tələb edə bilər. Məsələn, Nərgiz “TCaspian Hit” şirkətinin aylıq dərgisinə abunə olmuşdur. Müştəriyə yönəlik xidmətlərin təkmilləşdirilməsi məqsədi ilə o öz məlumatlarını, soyadı, adı, işlədiyi yer, vəzifəsi, elektron poçt və s. kimi məlumatları tədqim etmişdir. O istənilən vaxt tələb edə bilər ki, sistemdən olan məlumatları silinsin və bu qeydiyyat ləğv edilsin. Bu proses vir-tual məkanda “unudulmaq hüququna malik olmaq” kimi də məşhurdur.

Həssas məlumatların qorunması – Norma-tivin tələblərinə görə müştəridən və ya xidmət istehlakçısından sorğu olunan məlumatlar əsaslandırılmalı və qanunun tələblərinə uy-ğun istifadə olunmalıdır və qorunmalıdır. Bu məlumatlara müşətrinin sağlamlıq qeydləri, etnik mənşəyi, dini mənsubiyyəti, cinsəl həyatı, bimotrik məlumatları, cinayət tarixçəsi və s. aid edilir ki, bu məlumatlardan sui-istifadə GDPR normatvinin cərimə sanksiya-ları doğura bilər. Bu məlumatları qorunması məqəsdilə şirkətlər təhlükəsizlik nəzartlərini (daxilolmalara nəzarət, şifrələmə, şifrəli ka-nalla ötürmə və s.) tətbiq etməlidirlər.

Nüfuzdan salınmış, sızdırılmış məlumat-lara bardə məlumatlandırma – Mühüm dəyişikliklərdən biri fərdi məlumatların sız-ması müəyyənləşdirilən kimi 72 saat ərzində məlumat sahiblərinin və nəzarət orqanla-rının məlumatlandırılmasıdır. Bu tələblər icra edilmədiyi təqdirdə nüfuzdan salınmış məlumatları saxlayan, emal edən sistem və biznes sahibləri, şirkətlər cərimə sanksiyala-


28

rına məruz qala bilərlər. Məsələn, “TCaspian Hit” şirkətinə kənar müdaxilə nəticəsində müştərilərin məlumatları oğurlanmış və məlumat bazası ziyanverici virusa yoluxu-durlmuşdur. Belə hallarda şirkət insident haq-qında ən geci 3 gün ərzində maraqlı tərəfləri məlumatlandırmalıdır.

Dünyanın ən məşhur nəqliyyat şirkətlərindən biri olan Uber technology şirkəti 2017-ci ilin Noyabrıda etiraf etdi ki, 2016-cı ilin oktyabrında 50 milyon qlobal müştərisinin və 7 milyon sürücüsünün adı, ünvanı və telefon məlumatları oğurlanmış-dır. Eləcə də hakerlər məlumatlarla yanaşı 600 min sürücülük vəsiqəsinə giriş əldə etmişlər. Artıq 25 may 2018-ci ilidən sonra şirkətləri bu səpkidə (məlumatlandırmama və hakerlərlə əlbirlik) səhlənkarlıqla əlaqədar iri həcmli maliyyə sanskiayaları ilə qarşılaşacaqdır.

İnformasiya sisteminin binövrəsində mühafizə vasitələrinin tətbiqi - həssas məlumatları emal və istifadə edən informasiya sistemləri sahibləri, bu məlumatların qorun-ması üçün zəruri təşkilati və texniki tədbirləri yerinə yetirməlidir. Belə ki, bu müəssisələr Məlumatların Mühafizəsi üzrə İnzibatçı vəzifəsini təsis etməli, işinin əhatə dairəsinə aşağıdakı funksiyaları əlavə etməlidir:

- GDPR normativlərinə uyğunluğun perio-dik qiymətləndirilməsi;

- yeni tətbiq olunan proseslərdə mühafizə olunan məlumatlar üzrə tələblərin nəzərə alınması;

- məlumatların mühaifzəsi üzrə tələblərə görə işçilər arasında maarifləndirmənin artı-rılması və bu mövzuda təlimlərin təşkili;

- nəzarətedici orqanlarla şirkət arasında ko-ordinasiyanın həyata keçirilməsi.

Ölkəmizdə “Fərdi Məlumatlar haqqında” Qanun qismən GDPR tələblərinin əhatə edir. Belə ki, Qanuna görə fərdi məlumatların mühafizəsi mülkiyyətçilər və operator-lar tərəfindən təmin olunmalıdır. Fərdi məlumatların toplanılması, işlənilməsi və

mühafizəsi sahəsində fəaliyyət göstərən fi-ziki şəxslər fəaliyyət müddətində və işdən çıxdıqdan sonra həmin məlumatların yayıl-maması barədə yazılı iltizam verməlidirlər. Telekommunikasiya, poçt rabitəsi, ünvan və digər sahələr üzrə cəmiyyətin informa-siya təminatını ödəmək məqsədi ilə ümumi istifadəli informasiya sistemlərinə subyek-tin yazılı razılığı əsasında onun təqdim et-diyi məlumatlar (adı, soyadı, atasının adı, doğulduğu tarix və yer, cinsi, vətəndaşlığı, telefon nömrəsi və elektron ünvanı, yaşadığı və olduğu yer, ixtisası və iş yeri, məşğul ol-duğu fəaliyyət növü, ailə vəziyyəti, şəkli və digər məlumatlar) daxil edilə bilər. Qanunun tələbinə görə, mülkiyyətçi və ya operator fərdi məlumatların mühafizəsinin (o cümlədən təsadüfi və icazəsiz məhv edilmə, itirilmə, qa-nunsuz müdaxilə, dəyişdirilmə və digər hal-ların qarşısının alınması) təmin edilməsinə zəmanət verən texniki-təşkilati tədbirlər görməlidir. Fərdi məlumat subyekti aşağıdakı hüquqlara malikdir:

- informasiya sistemində özü barəsində fərdi məlumatların mövcudluğu, onların mülkiyyətçisi və ya operatoru haqqında məlumat almaq;

- informasiya sistemində özü barəsində fərdi məlumatların toplanılmasının, işlənilməsi-nin və üçüncü şəxslərə verilməsinin hü-quqi əsaslandırılmasını tələb etmək, bu məlumatların toplanılmasının, işlənilməsinin və üçüncü şəxslərə verilməsinin subyekt üçün hansı hüquqi nəticələrə səbəb olacağı barədə məlumat almaq;

- informasiya sistemində özü barəsində toplanılmış fərdi məlumatların məzmunu ilə tanış olmaq;

- informasiya sistemində özü barəsində fərdi məlumatların toplanılması və işlənilməsi məqsədini, işlənilmə müddətini, üsulları-nı, onun fərdi məlumatları ilə tanış olmaq icazəsi olan şəxslərin, o cümlədən məlumat mübadiləsi aparılması nəzərdə tutulan infor-masiya sistemlərinin dairəsini bilmək;


29

- informasiya sistemində özü barəsində toplanılmış və işlənilən fərdi məlumatların dəqiqləşdirilməsini və qanunvericiliklə müəyyən olunmuş hallar istisna olmaqla, məhv edilməsini tələb etmək, habelə həmin məlumatların müəyyən olunmuş qaydada arxivə verilməsi barədə müraciət etmək;

- özü barəsində fərdi məlumatların topla-nılmasına və işlənilməsinə qadağan qoyulma-sını tələb etmək;

- informasiya sistemində özü barəsində toplanılmış və işlənilən fərdi məlumatların əldə edilməsi mənbələri barədə məlumat al-maq, həmin məlumatların qanuniliyinin sü-buta yetirilməsini tələb etmək;

- informasiya sistemində özü barəsində toplanılmış və işlənilən fərdi məlumatların mühafizəsini tələb etmək.

Qanuna görə məlumat subyekti, barəsində fərdi məlumatların qanunsuz toplanılması və işlənilməsi, mühafizəsinin təmin edilməməsi, habelə bu tələblərə görə hüquqlarının po-zulduğu hallarda müvafiq icra hakimiyyəti orqanına və ya məhkəməyə şikayət etmək, habelə ona vurulmuş mənəvi və maddi ziya-nın ödənilməsini məhkəmə qaydasında tələb etmək hüququna malikdir. Fərdi məlumatlar yalnız qanuni, əvvəlcədən müəyyən olunmuş və bəyan edilmiş məqsədlər üçün toplanıl-malı və göstərilmiş məqsədlərə uyğun üsul-larla işlənilməlidir. “İnformasiya, informa-siyalaşdırma və informasiyanın mühafizəsi haqqında” Azərbaycan Respublikası Qanunu informasiyanın yığılması, işlənməsi, saxlan-ması, axtarışı, yayılması əsasında informasiya ehtiyatlarının formalaşdırılması, informasiya sistemləri, onlardan istifadə olunması, infor-masiyanın mühafizəsi ilə əlaqədar olaraq ya-ranan münasibətləri tənzimləyir və informa-siya proseslərində iştirak edən subyektlərin hüquqlarını müəyyən edir. 2017-ci ildə edil-miş dəyişikliklər yayılması Qanunla müəyyən edilmiş məlumatlardan sui-istifadəni qada-ğan edir, inzibatı məsuliyyət yaradır və mü-vafiq cərimələr tətbiq edilir.

Hesab edirəm ki, GDPR-n yeni tələblərinə uyğun olaraq normativ aktlarımıza əlavələrin edilməsi Avropa Birliyi vətəndaşlarının fərdi məlumatları ilə təmasda olan biznes subyektlərində nəzarət çərçivəsinin qurulma-sında və koordinasiyasında yardımçı olardı.

İnformasiya normativləri üzrə yeni dəyişikliklərin müşətrilər və onların fərdi məlumatları ilə işləyən banklara böyük təsirləri vardır. Yeni tələblərə cavab verməmə banklar maliyyə itkisi ilə bərabər reputasi-ya və müştəri itkisinə məruz qala bilərlər. Bu gün təxminii hesablamalara görə bir müşətrinin məlumatının itməsi ilə əlaqədar xərclər 300 – 400 manat arası dəyişir. Bu xərclər insidentin müəyyən edilməsi, məlumatlandırma, bərpa, rəqəmsal eksperti-za və digər xərclərə bölünür. Müştəri etima-dının azalması əlavə uzunmüddətli itkilərə gətirib çıxarır. Ölkəmizdə fəaliyyət göstərən bir çox bank, sığorta şirklətri vardır ki, onların xidmətlərindən Avropa Birliyi vətəndaşları faydalanırlar, eləcədə bu müşətirlərin fərdi məlumatlarını emal edirlər. GDPR tələbləri ilə uyğunluğun artırılması, sanskiyalardan doğa biləcək risklərin azaldılması üçün bank və sı-ğorta şirkətlərinə aşağıdakı tədbirlər tövsiyə edilir:

a) Təşkilatı tədbirlər – fərdi məlumatların mühafizəsi üzrə inzibatçının təyini və hesa-batlın ali rəhbərliyə təmin edilməsi; Konfiden-sial məlumatların mühafizəsi üçün nəzarət çərçivəsinin, qayda və prosedurların hazırlan-ması, prosesin və rolun müəyyənləşdirilməsi.

b) Proses üzrə tədbirlər – fərdi məlumat-larla işləmə prosesinin və əhatə dairəsinin müəyyənləşdirilməsi; prosesdə fərdi məlumat-ların saxlanması, açıqlanması, interpretasiya-sı, ləğvetmə şərtlərinin tətbiq edilməsi.

c) İnformasiya Sistem üzrə tədbirlər – İT arxitektruasının məlumatın saxlanılması, ötürülməsi və emaletmə xüsusiyyətlərinin GDPR tələblərinə uyğunlaşdırılması; Fərdi məlumaltların İT sistemdə inventarizasiya-sının həyata keçirilməsi, çeşidlənməsi (kon-fidensial, məhdud, ictimai) və biznes ilə


30

əlaqələndirilməsi;

Bu üç istiqamətdə işlərin təşkili tam uy-ğunluğun əldə olunması meyarları hesab olu-nur. Ölkəmizdə fəlaiyyət göstərən Texnologi-ya, Media və Telekommunikasiya şirkətləri də GDPR tələblərinə hazırlıqlı olmalıdırlər. Bu rəqabətli sektorlarda bazara məhsulu daha tez çıxarılması, müştərilər uğrunda mübarizə, yüksək və etibarlı servis əhəmiyyət kəsb edir. Bazara buraxılan, müştəriyə istiqamətlənmiş elektron məhsulların hər birinin özülündə və konsepsiyasında məlumatın şirfəli qorun-ması, kriptoqrafik emalı, təhlükəsizliyi təmin edilməlidir. Texnologiya, Media və Tele-kommunikasiya şirkətlərinin müştərilərində dəyişikliklərin daha çevik baş verdiyini nəzərə alaraq, hər hansı insident və repu-tasiya itkisi halında digər rəqib şirktərlə üz tutmaq daha asandır. Buradada ən yaxşı təcrübə Fərdi Məlumatların mühafizəsi üzrə inzbatçının təyin edilməsi və onun fuksiya-

larına müəssisəyə və işçilərinə məsləhətlərin verilməsi, məlumatlandırma, məlumatlardan istifadənin monitorinqi, qiymətləndirilməsi, nəzarətedici orqanlara koordinasiya daxil edilməlidir. Beləliklə korporativ idarəetmə mühitində yeni bir rol yaranır ki, bu Məlumatların Mühafizəsi üzrə İnzibatçı (MMİ) peşəsi adlanır. Beynəlxalq institutların hesablamalarına görə 2019-cu ildə artıq Avro-pada 28 min MMİ-yə tələb yaranacaqdır.

Sonda qeyd etməyi zəruri hesab edirəm ki, Avropa Birliyi məkana məhsul və servislər təklif edən şirkət və müəssisələrimizin biz-nes proseslərinin, informasiya idarəçiliyi və təhlükəsizliyi üzrə nəzarət çərçivələrinin GDPR və əlaqəli digər ümumavropa normativlərinə uyğunlaşdırılması reputasiya-nın artırılmasına, müşətirlərinin etimadının qazanılmasına və avrozonada bazar payının artırılmasına xidmət edəcəkdir.

İstifadə olunan mənbələr

Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016, www.eugdpr.org

Guidelines for SMEs on the security of personal data processing, The European Union Agency for Network and Information Security (ENISA), https://www.enisa.europa.eu/publi-cations/guidelines-for-smes-on-the-security-of-personal-data-processing, 2016

GDPR data protection impact assessment, ISACA® (isaca.org), 2017Guide to the General Data Protection Regulation (GDPR), Information commissioners

office, ico.org.uk


31

Beynəlxalq layihələrdə informasiya təhlükəsizliyin tənzimlənməsiFüzuli Mövlamov - Xüsusi Dövlət Mühafizə Xidməti Xüsusi Rabitə Və İnformasiya

Təhlükəsizliyi Dövlət Agentliyi

İnformasiya təhlükəsizliyi dedikdə informasiyanın və informasiya mühitinin təsadüfi və ya düşünülmüş təbii və ya süni xarakterə malik təsirlərdən müdafiə vəziyyəti başa düşülür. Belə təsirlər informasiya sistemlərinə və ya informasiya obyektlərinə, həmçinin informasiya istifadəçisinə və sahibkarına yolverilməz ziyanlar vura bilir. Sözügedən məsələ haqqında ”İn-formasiya təhlükəsizliyi” dərsliyində qeyd edilir ki, “İnformasiyanın mühafizəsi - informasi-ya təhlükəsizliyinin təmin olunması üçün həyata keçirilən kompleks tədbirlərdir”.

Bəzi informasiya növləri üçün məxfilik əsas meyar hesab olunur (məsələn, strateji tədqiqatlarla bağlı olan məlumatlar, tibbi qeydlər, sığorta ilə bağlı ilkin məlumatlar, inno-vativ məhsul haqqında xüsusi məlumatlar və s.). Bəzi hallarda konkret şəxslər barədə olan məlumatların məxfiliyini saxlamaq lazımdır (məsələn, əhalinin siyahıyaalınması üzrə ilkin məlumatları, bankın müştərisi haqqında informasiyanı, kredit verənlər haqqında, vergi haq-qında məlumatları, tibbi müəssisələrdə pasientlərin vəziyyəti haqqında məlumatları və s.).

Açar sözlər: Təhlükəsizlik, veb, owasp, Injection, Broken Authentication, Sensitive Data Exposure, XXE, Broken Access Control, Security Misconfiguration, XSS, Insecure Deseria-lization, Insufficient Logging&Monitoring

Hazırda informasiya sistemlərinə ar-tan hücumların qarşısının alınma-

sı məqsədi ilə bir sıra beynəlxalq layihələr işlənmişdir ki, belə layihələrdən biri “Açıq veb tətbiqlərin təhlükəsizliyi layihəsi”-dir (OWASP - Open Web Application Se-curity Project). OWASP – web tətbiqlərin təhlükəsizliyini təmin etmək üçün 2001-ci ildə hazırlanmışdır. OWASP veb tətbiqlərin təhlükəsizliyinin təmini ilə maraqlanan, bu mövzuda tədqiqatlar aparan və heç bir maddi maraq güdməyən layihədir. OWASP-da in-ternet üzərində olan tətbiqlərin məruz qaldığı təhlükələr, onların aradan qaldırılması me-todları və üsülları haqqında geniş məlumatlar mövcuddur. Bu layihənin məqsədi dünya üzrə şirkətlərdən, qurumlardan, müəssisələrdən təhlükəli hallara dair məlumatları toplamaq və bu təhlükələrin dəff edilməsi ilə bağlı me-todları öz saytlarında işıqlandırmaqdır.

OWASP 2017 –ci ildə aşağıdakı 10 ən təhlükəli hücümü müəyyən etmişdir.

İNJECTİON HÜCUMU (Müdaxilə hücumu)

İnjection hücumlar aşağıdakı hallarda əmələ gəlir:

• İstifadəçi tərəfindən göndərilən məlumat-ların təsdiqlənməməsi, filter olunmaması;

• Dinamik sorğuların interpretatora birba-şa (escape olunmadan) göndərilməsi;

• Zərərli məlumatların birbaşa istifadəsi və ya SQL (Strukturlu sorğular dilində) sorğuya birləşdirilərək icra olunması;

Əsas növ injection hücümlara SQL, NoSQL,


32

OS kommandası, ORM (Object Relation Map-ping), LDAP və s. nümünə göstərmək olar. Uğurlu SQL injection hücumu məlumat ba-zasından məlumatların götürülməsi, onla-rın redaktə olunması, istifadəçilərin şəxsi məlumatlarının oğurlanması və ya bəd niyyətlər üçün istifadə olunması, serverdə inzibatçılıq əməliyyatlarının icra olunması kimi təhlükəli işləri görə bilir. İnjection hücu-munda tətbiqə fərqli məlumat göndərməklə sorğunu və ya tətbiqin tələb olunan məlumat deyil, yanlış məlumat göndərməklə onun fəaliyyətini dəyişmək mümkün olur ki, bu-nun sayəsində hüçumçu məlumat bazasında və ya serverdə öz bəd niyyətini həyata keçirə bilər (4).

Nümünə:

SELECT `title , description FROM `table WHERE `id`=$id

Bu nümunədə sorğu table adlı cədvəldən başlıq və qısa məlumatı müəyyən bir acar əlamətinə (id-ə) görə çıxartmalıdır.

http://numune.domain/?id=1 – bu əlaqələndiricidə (linkdə) məlumat bazasından 1-ci sətr çıxarılır.

Bu zaman bəd niyyətli hüçümcu bro-userden ünvan yerindən http://numune.domain/?id=1 or 1=1 yazmaqla sorğuda dəyişiklik edir və bu zaman SQL sorğu aşağı-dakı kimi olur:

SELECT `title , `description FROM `table WHERE `id`=1 or 1=1

Bu sorğu məlumat bazasında olan bütün sətirləri geri qaytarır.

İnjection hücümunun qarşısının alınması üçün aşağıdakı tədbirləri görmək lazımdır:

• İstifadəçi tərəfindən göndərilən məlumat-ların birbaşa olaraq istifadə olunmaması;

• SQL sorğularda istifadə olunacaq məlu-mat və ya verilənlərin sterializə olunması;

• Parametrləşdirilmiş sorğulara malik da-

yanıqlı APİ-lərdən istifadə olunması;

• SQL serverdə ayrı-ayrı məlumat bazaları (database) üçün istifadəçi və lazımı icazələrin verilməsi;

• İstifadəçi tərəfindən göndərilən məlumat-ların ağ (whilt list) və qara (black list) siyahı-ların tərtib edilməsi;

• Mətn formatlı müraciətlərin xüsu-si xarakterlərinin dayandırılması (special characterlərin escape olunması);

• Sorğularda limit istifadəsi və ya digər SQL yoxlamalardan istifadə olunması;

• Server tərəfindən SQL sorğuların xəta mətnlərini istifadəçi üçün gizlədilməsi;

BROKEN AUTHENTICATION (Sındırılmış avtorizasiya)

Bədniyyətli hüçumların milyonlarla tez-tez istifadə olunan istifadəçi adı və şifrələrə, sus-maya görə istifadə olunan inzibatçı (admin) istifadəçi adlarının siyahısına malikdirlər. Hü-cumçular kobud güc (brute force) alətlərinin köməyi ilə “Sındırılmış avtorizasiya” (Broken Authentication) hücümunu yerinə yetirirlər. Belə hücumların yaranma səbəbləri aşağıda-kılardır:

• Hakerlər istifadəçilərin düzgün istifadəçi adlarını və şifrələrini əldə etdikdə;

• Tətbiq kobud güc (brute force) və yə digər avtohücumlara dayanıqsız olduqda;

• İstifadəçilərin susmaya görə (default), sadə və ya digər sadə hesab olunan şifrə və istifadəçi adlarından isdifadəsi (admin/P@ssword);

• Şifrənin bərpasında sadə sualların verilməsi və ya etimadsız bərpası;

• Şifrələməni birbaşa məlumat bazasında saxlanması və ya sadə şifrələmə üsullarından istifadə olunması;

• Yararsız çoxamilli avtorizasiya (Multi-


33

factor autentifikasiyası, sms, mail);

• Sessiyanın URL-də göstərilməsi;

• Giriş (input) xanalarında avtotamam-lama (autocomplete) funksiyasının dayandı-rılmaması (söndürülməməsi) və brouserin keşindən məlumatların silinməməsi;

Bu hücumlardan qorunmaq üçün aşağıda-kılar lazımdır:

• Çoxamilli avtorizasiyadan (Multi-faktor autentifikasiyasından) istifadə etmə və login səhifələrdə “captcha”-lardan istifadə;

• Şifrələrin dəyişdirilməsi zamanı köhnə şifrələrin istifadəsinə icazə verməmək;

• Susmaya görə (defualt) lazım olan məlumatlardan istifadə etməmək (əsasən də inzibatçı istifadəciləri üçün);

• Sadə, çox istifadə olunan şifrə və adlar-dan istifadəyə qadağanın qoyulması;

• Səhv daxil olma cəhdlərinə limitlərin və müddətin verilməsi, avtotamamlama (auto-complete) funksiyasının dayandırılması;

• Səhv daxil olma zamanı xəbərdarlıqların (alert) göstərilməsi (xəbərdarlıq: şifrə səhvdir);

• Şifrələrin məlumat bazasında açıq sax-lanılmaması və “cod duz” alqoritmindən istifadə;

• Sessiyanın mütləq tələb olunan səhifə-lərinin təyin olunması və yoxlanılması;

SENSITIVE DATA EXPOSURE (Həssas məlumatların istismarı)

Yaranma səbəbləri:

• Məlumatların şifrələnməsində köhnə, susmaya görə və ya çözülmüş şifrələmə algoritmindən istifadə;

• Şəxsi məlumatların göndərilməsinda http, smtp, ftp kimi təhlükəli protokollardan istifadə;

• Məlumatlarin təmiz mətn (plain text) for-masında ötürülməsi, susmaya görə (default) şifrə açarından istifadə;

• Əlaqələndirici serverin sertifikatının düzgünlüyünün yoxlanılmaması;

Bu hücumlardan qorunmaq üçün aşağıda-kılar lazımdır:

• http, smtp, ftp kimi təhlükəsiz protokol-lardan istifadə etmək əvəzinə, https, ftps, tls-dən istifadə etmək daha təhlükəsizdir;

• Şifrələmədə köhnə və artıq bilinən şifrələmə alqoritmlərindən istifadə etməmək;

• Vacib məlumatların şifrələyərək göndəril-məsi;

• Şifrələri məlumat bazasında təmiz mətin (clear text) şəklində saxlamamaq və bu məlumatların keşlənməməsi;

XML EXTERNAL ENTITIES (XXE) (XML Xarici Subyektlər)

Bu boşluqlar OWASP 2013-cü ildə yüksək (top) 10-luqda olmuşdur, lakin 2017-ci ildən etibarən siyahıda 4-cü yeri tutur. Bu boşluq əsasən köhnə və səhv nizamlanmış XML araşdırıcılara (parser) görə baş verir ki, ha-cer bundan istifadə edərək zərərli XML fay-lı göndərməklə faylı oxuma, serverdə kod işlətmə və ya dos (denial of service) hücumu həyata keçirir.

Nümünə üçün aşağıdakı kodları göstərmək olar:

Upload.php


34

1.xml

Bu faylı yüklədikdə “Some legit writing” yazısı brouserdə əks olunur. Lakin biz 2.xml faylını yükləməklə göstərilən ünvanda olan faylları oxumuş oluruq.


35

Bu zaman test faylında olan məlumatlar brouserdə əks olunacaqdır.

Bu tip hücümların qarşısını almaq üçün aşağıdakıları lazımdır:

• Mümkün qədər JSON-dan istifadə etmək;

• XML ilə bağlı kitabxananı (library) vax-tında yeniləmək (update etmək);

• XML External Entity (XML xarici subyektlər) xüsusiyyətini bağlamaq;

• Yoxlama üçün qəbul olunan verilənlərin ağ siyahı (white list) və qara siyahı (black list) yaratmaq;

BROKEN ACCESS CONTROL (Pozulmuş huququn idarəçiliyi)

Bədniyyətli hücumcular istifadəçilərin məlumatlarını əldə etmək üçün bir neçə alətlərdən istifadə edilər ki, bu alətlərə misal kimi SAST (Static Application Security Testing - Statik tətbiq təhlükəsizliyi testləri) və DAST-ı (Dynamic Application Security Testing - Di-namik tətbiq təhlükəsizliyi testləri) göstərmək olar.

• İstifadəçilərin məlumatlarını URL-i dəyişməklə oxumaq imkanının olması

• İstifadəçilərə icazələrin düzgün verilməməsi (istifadəçiyə inzibatçı (admin) kimi hüququn verilməsi)

Nümünə kimi, aşağıdakı keçid linki hər hansı bir istifadəçinin səhifəsidir:

http://owasp.local/user.php?id=1

Lakin keçid linkində əsas açarı (id-ni) hücümçi başqa rəgəmlə dəyişərsə və başqa istifadəçinin məlumatlarını götürərsə bu-rada artıq Pozulmuş Huquq (Brouken Ac-cess) təhlükəsi yaranır. Artıq haker istənilən istifadəçinin məlumatlarını görə bilər.

Bu hücumlardan aşağıdakı kimi qorunmaq lazımdır:

• Veb serverdə qovluqların görünməsinin qarşısını almaq;

• İstifadəçilərə verilən lazımi hüquqlara kodlaşdırma zamanı diqqət yetirmək;

• Ehtiyat faylların (Backup) veb tətbiqinin kök (root) qovluğunda saxlamamaq;

• Hər hansı şüphəli sorğuların logla-rının toplanması və inzibatçını (admin) məlumatlandıran sistemin olması;

SECURITY MISCONFIGURATION (Natamam konfiqurasiya təhlükəsi)

Bu hücüm növü şəbəkə, veb server, serverdəki əməliyyat sistemində, məlumat ba-zasında, işçi çərçivə (framework) kodlarında və s. tətbiqlərdə düzgün nizamlama aparılma-ması səbəbindən baş verə bilər. Bu hücumun yaranma səbələri aşağıdakılardır:

• Portlara, servislərə, səhifələrə, xüsusi im-tiyazlar ilə əlaqədar istifadə edilməyən və ya lazımsız funksiyaların qoşulu olaraq qalma-sı. Nümumə kimi demək olar ki, XML xarici subyektlər (XML External Entity) funsiyası istifadə olunmadığı halda, açıq qalması artıq təhlükənin olması göstərir;

• Susmaya görə (Default) isdifadəçilərdən və onların şifrələrindən istifadə;

• Xəta haqqında məlumatın çıxması və ya istifadəçilərin səhv (error) loglarının əlçatan olması;

• Sisteminlərin vaxtında yenilənməməsi (update) və tapılan boşluqların qalması;

• Nizamlamaların düzgün aparılmaması (database, vebserver, framework, kitabxanalar və s.);

• Server şifrələrinin müəyyən müddətdən dəyişdirilməməsi;

Bu hücumlardan aşağıdakıları yerinə yetir-məklə qorunmaq olar:

• Portlara, servislərə, səhifələrə, xüsusi im-


36

tiyazlar ilə əlaqədar yalnız istifadəsi zəruri olan istifadə funksiyaların istifadəsi;

• Susmaya görə (Default) isdifadəçilərin və onların şifrələrinin dəyişdirilməsi;

• Xəta məlumatlarının (Error mesajların) dayandırılması (söndürülməsi (production));

• Sisteminlərin vaxtı-vaxtında yenilənməsi (Update);

• Nizamlamaların düzgün aparılması (da-tabase, vebserver, framework, kitabxanalar və s.);

• Server şifrələrinin müəyyən müddətdən bir dəyişdirilməsi;

CROSS-SITE SCRIPTING (XSS) (Sayt scriptinin keçilməsi)

1. Reflected XSS;

2. Stored XSS;

3. DOM XSS;

Nümünə:

http://domain.az/index.php?ad=<&script>alert(“Reflected XSS”);</&script>

Yaranma səbələri:

• İstifadəçidən gələn məlumatların yoxla-nılmaması;

• XSS-ə qarşı çərçivə işləri (framework) istifadə olunmaması;

INSECURE DESERIALIZATION (Təhlükəli deserializasiya)


• İstifadəçidən gələn serializə olunmuş məlumatların yoxlanılmadan istifadəsi;

Bu hücumlardan necə qorunmaq olar?

• Serializə olunmuş məlumatların qəbul-unda, göndərilməsinda, məlumat bazasın-da və ya sessiyada saxlanılması zamanı şifrələnməsi;

• Məlumatların deserializə (Unserilize) etdikdə xətaların log-lanması;

Nümünə üçün PHP-də istifadəçinin ID, ad, şifrə və hüquqlarını hazırlayan (Cookie) serializə olunmuş şəkildə saxladıqda:

Burada haker serializə olunmuş məlumat-ları dəyişərək inzibatçı (admin) hüququ qaza-nır:

USING COMPONENTS WITH KNOWN VULNERABILİTIES

(Məlum boşluqlarla istifadə olunan konponentlər)


• Əgər qoşulmuş olan komponentlərin nədən ibarət olduğunu bilinmirsə;

• Əgər tətbiqdə zərərverici varsa, çox köhnədirsə və ya dəstəklənmirsə;

• Əgər vaxtaşırı olaraq tətbiqin təhlükə-sizliyi yoxlanılmırsa;

• Əgər əsas platforma, frameworklər və s. yenilənmirsə;

Həll yolları:

• İstifadə olunmayan, asılılıq yaradan tətbiqləri və ya program təminatlarını, lazım-


37

sız faylların, xüsusiyyətlərin, sənədlərinini (documentləri) silmək;

• Daimi olaraq server və client tərəflərin komponentlərinin qeydiyyatı və onların asılı-lığını yoxlamaq üçün alətlərdən (Dependency Check, retire.js və s.) istifadə;

• Davamlı olaraq tətbiqlərin (CVE-Common Vulnerabilities and Exposures, NVD - Natio-nal Vulnerability Database) zərərləri haqqında məlumat əldə etmək;

INSUFFICIENT LOGGING&MONITORING (Yetərsiz login və monitorinq)


• Hadisələrin, loginlərin və ya logların au-dit olunmaması;

Ədəbiyyat:1. Əlizadə M.N., Bayramov H.M., Məmmədov Ə.S. İnformasiya təhlükəsizliyi. Bakı: İq-

tisad Universiteti, 2016, 397 səh.2. T. İ. İbrahimzadə, Y. B. Sərdarov. İnformasiya sistemlərində təhlükəsizliyin təmini. 3

cilddə, III cild. Bakı: ADNA, 2012, 133 səh.3. https://www.owasp.org/index.php/Top_10-2017_A1-Injection4. https://www.owasp.org/index.php/Top_10-2017_A2-Broken_Authentication5. https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure6. https://www.owasp.org/index.php/Top_10-2017_A4-XML_External_Entities_(XXE)7. https://www.owasp.org/index.php/Top_10-2017_A5-Broken_Access_Control8. https://www.owasp.org/index.php/Top_10-2017_A6-Security_Misconfiguration9. https://www.owasp.org/index.php/Top_10-2017_A7-Cross-Site_Scripting_(XSS)

Regulation of information security in international projectsInsecure software is undermining our financial, healthcare, defense, energy, and other

critical infrastructure. As our software becomes increasingly complex, and connected, the difficulty of achieving application security increases exponentially. The rapid pace of modern software development processes makes the most common risks essential to discover and re-solve quickly and accurately. We can no longer afford to tolerate relatively simple security problems like those presented in this OWASP top 10.

Keywords: Secutiry, web, owasp, Injection, Broken Authentication, Sensitive Data Ex-posure, XXE, Broken Access Control, Security Misconfiguration, XSS, Insecure Deserializa-tion, Insufficient Logging&Monitoring

• Xətaların loglanmaması və ya qeyri-dəqiq məlumat verməsi;

• Əlaqələndirilmiş logların ümumi analizlərdə istifadəsinin yetərsizliyi;

• Tətbiqdə hücüm zamanı məlumatverici funksiyaların olmaması və ya dayandırılma-sı;

Bu hücumlardan aşağıdakı kimi qorun-maq olar:

• Bütün loginləri nəzarət altında saxlamaq;

• Logların oxunması və anlaşıqlı olmasını təmin etmək;

OWASP veb tətbiqlərin müəyyən dövr üçün təhlükəli hücumları haqqında geniş məlumata malik olsa da, yuxarıda sadalanan-lar 2014 - 2017-ci illərdə ən geniş yayılmış və ən təhlükəli hücüm kimi qeyd edilmişdir.


38

XəBərlər

İnformasiya Təhlükəsizliyi üzrə Koordinasiya Komissiyasının

ilk iclası keçirilmişdir

Azərbaycan Respublikasının Prezi-denti İlham Əliyev “İnformasiya

Təhlükəsizliyi üzrə Koordinasiya Komissiya-sının yaradılması haqqında” 29 mart 2018-ci il tarixli 3851 nömrəli Sərəncam imzalamış-dır. Yeni yaradılan Komissiya Azərbaycan Respublikasının informasiya təhlükəsizliyinə təhdidlərin qiymətləndirilməsini, o cümlədən belə təhdidlərin əsas mənbələri, istiqamətləri, formaları, vura biləcəyi zərər və təsirləri ilə bağlı mütəmadi təhlillərin aparılması-nı və təkliflərin hazırlanmasını, mümkün təhdidlərin qarşısının alınması və qabaqlan-ması sahəsində müvafiq dövlət orqanları-nın fəaliyyətinin əlaqələndirilməsini, birgə tədbirlərin planlaşdırılması və həyata keçirilməsini təmin edəcəkdir.

15 may 2018-ci il tarixində Komissiyanın ilk iclası keçirilmişdir. İclasda Komissiya-nın sədri Xüsusi Dövlət Mühafizə Xidməti rəisinin müavini - Xüsusi Rabitə və İnforma-siya Təhlükəsizliyi Dövlət Agentliyinin rəisi general-leytenant Mürsəl Vəliyev Komissi-yanın və Katibliyin üzvlərini elan etdikdən sonra gündəlikdəki məsələlərin müzakirəsinə başlanılmışdır. Çıxış edənlər Komissiya-nın vaxtında yaradılmasını, infrastruktur obyektlərinin informasiya sistemlərinə və ehtiyatlarına kiberhücumlar və fövqəladə kibertəhlükə hallarında əlaqələndirilmiş işin təşkili və birgə əks tədbirlərin həyata keçirilməsi, internet informasiya ehtiyatla-rında Azərbaycan Respublikasının milli ma-raqları əleyhinə məqsədyönlü şəkildə yayılan saxta məlumatların mənbəyinin təxirə salın-madan müəyyən edilməsi və bu barədə mü-vafiq orqanların dərhal məlumatlandırılması

istiqamətində mühüm əhəmiyyətini qeyd etmişlər.

Bundan başqa, Komissiya üzvləri aidiyyəti dövlət orqanlarının kibertəhlükəsizliyinin təmin edilməsi, o cümlədən kibercinayətlərlə mübarizə sahəsində kadr və texniki poten-sialın gücləndirilməsi və zəruri tədbirlərin görülməsi istiqamətində də müzakirələr apar-mışdır.

İclasın sonunda müvafiq sahələr üzrə işçi qrupların yaradılması, təqdim edilən “İn-formasiya Təhlükəsizliyi üzrə Koordinasiya Komissiyası haqqında Əsasnamə” layihəsinə rəy və təkliflərin bildirilməsi, “İnformasiya Təhlükəsizliyi üzrə Milli Strategiya” (2019-2024-cü illər) layihəsi üzrə hazırlıq işlərinin aparılması haqqında qərar qəbul edilmişdir.

Azərbaycan Respublikasının Xüsusi Dövlət Mühafizə Xidmətinin

Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi


39

XəBərlər

Tədqiqatçıların 2016-cı ildə qarşılaşdıqla-rı DressCode troyanı Android əməliyyat

sistemi olan qurğularda işləyirdi və əsas fəaliyyəti qorunan şəbəkələrdən istifadəçilərə məxsus konfidensial məlumatların oğurlan-ması idi. Tədqiqatçıların bu xəbərdarlığına Google şirkəti anında reaksiya verərək tərkibində zərərverici kodu olan yoluxmuş tətbiqləri Play Marketdən kənarlaşdırdı. İn-sidentin üzərindən 16 ay keçdikdən son-ra tədqiqatçılar DressCode troyanının silinmədiyi və fəaliyyətini davam etdirdiyini aşkar etmişlər. Mütəxəssislər hesab edirlər ki, Google-in həyata keçirdiyi tədbirlərə baxma-yaraq zərərverici 4 milyon qurğunu yoluxdu-ra bilib. Zərərverici xakerlərin serverlərinə qo-şulmaq üçün telefonu SOCKS protokolundan

istifadə etməyə məcbur edir və bununla da nəinki yoluxmuş qurğuya, hətta onun qoşul-duğu şəbəkəyə də giriş əldə edə bilir.

DressCode troyanı yoluxmuş qurğunu BOTNET şəbəkəsinin üzvü kimi də istifadə edə bilir. Bununla yanaşı troyan, onlayn pul-qablarına və bank hesablarına kiberhücum-lar həyata keçirə bilir. DressCode virusunun fəaliyyəti ilə əlaqədar dəymiş ziyan təqribi 20 milyon ABŞ dollarını keçdiyi bildirilmişdir.

Kompüter İnsidentlərinə qarşı Mübarizə Mərkəzi bildirir ki, bu zərərvericinin standart vasitələrlə aşkar edilməsi mümkünsüzdür. DressCode – un mövcudluğuna şübhə yara-dacaq yeganə əlamətin qida batareyasının vaxtından tez bitməsi ola bilər.

DressCode troyanı milyonlarla Android qurğuları yoluxdurub


Xüsusi Rabitə və İnformasiya TəhlükəsizliyiDövlət Agentliyi


40

XəBərlər

Dövlət orqanlarının internet informasiya resurslarından istifadə üzrə 2018-ci ilin

yarımillik statistikası

2018-ci ilin birinci yarımili üzrə dövlət orqanlarının rəsmi internet resursunların-

dan ən çox aşağıdakı domenlərə istifadəçi müraciətləri qeydə alınmışdır:

TOP 10 DÖVLƏT ORQANI RƏSMİ İNTERNET RESURSU

Toplam giriş sayına görə Unikal giriş sayına görə 1. idmantv.az 1. azal.az 2. edu.gov.az 2. idmantv.az 3. mlspp.gov.az 3. edu.gov.az 4. mia.gov.az 4. tqdk.gov.az 5. tqdk.gov.az 5. gov.az mia.gov.az 6. stat.gov.az 6. aztv.az 7. aztv.az 7. dq.mia.gov.az 8. scwra.gov.az 8. mia.gov.az 9. mfa.gov.az 9. bpqmi.gov.az 10. sspf.gov.az 10. moa.gov.az

Hesabat müddətində yerli icra hakimiyyəti orqanlarının rəsmi internet resursunlarından ən çox aşağıdakı domenlərə istifadəçi müraciətləri qeydə alınmışdır:

TOP 5 YERLİ İCRA HAKİMİYYƏTİ RƏSMİ İNTERNET RESURSU1. binegedi-ih.gov.az 1. binegedi-ih.gov.az2. sabunchu-ih.gov.az 2. qebele-ih.gov.az3. qazax-ih.gov.az 3. lachin-ih.gov.az4. nesimi-ih.gov.az 4. khatai-ih.gov.az5. merkez.terter-ih.gov.az 5. qazax-ih.gov.az

Hesabat müddətində dövlət orqanlarının rəsmi internet resursunlarına ən çox aşağıdakı ölkələrdən istifadəçi müraciətləri qeydə alınmışdır:

MÜRACİƏT İSTİQAMƏTİNƏ GÖRƏ TOP 10 ÖLKƏ 1. Azərbaycan 6. İngiltərə 2. ABŞ 7. Estoniya 3. Rusiya Federasiyası 8. Çin 4. Türkiyə 9. Hollandiya 5. Almaniya 10. Türkmənistan


Xüsusi Rabitə və İnformasiya TəhlükəsizliyiDövlət Agentliyi

Documents

MÜNDƏRİCATMÜNDƏRİCAT Asimmetrik kriptosistemlərdə açarların generasiyası prosesində aşkarlanan boşluqlar haqqında Akif Orucəliyev DarkNet – İnternetin qaranliq tərəfi