Mundarija № Mavzular
Parolga asoslangan autentifikatsiya usullariga qaratilgan tahdidlar va
Yüklə 102,32 Kb.
|
- Bu səhifədəki naviqasiya:
- Qayd yozuvini boshqarishga qaratilgan hujumlar
|
1.2. Parolga asoslangan autentifikatsiya usullariga qaratilgan tahdidlar va
himoya usullari Autentifikatsiyada tizimdan foydalanish huquqining to‘g‘riligini tekshiruvchi muhim jarayon hisoblangani sababli, ular foydalanuvchilarning shaxsiy ma’lumotlarini qo‘lga kiritishga qaratilgan hujumlardan himoyalangan bo‘lishi zarur. Umumiy holda hujumchining maqsadi foydalanuvchi ma’lumotlarini ruxsatsiz qo‘lga kiritish hisoblanib, bunda u turli usullardan foydalanadi. Biror narsani bilishga asoslangan autentifikatsiya usullariga qaratilgan hujumlarni quyidagi ikki guruhga ajratish mumkin [2, 3]: - qayd yozuvini boshqarishga qaratilgan hujumlar; - parolni topishga qaratilgan hujumlar. Qayd yozuvini boshqarishga qaratilgan hujumlar. Ushbu guruhga tegishli hujumlar bevosita parolni qo‘lga kiritishni maqsad qilishi bilan xarakterlanadi. Quyidagi hujumlar mazkur guruhga tegishli: Zararli dasturlarga asoslangan. Zararli dasturlar ixtiyoriy ruxsat etilmagan dastur bo‘lib, foydalanuvchining ruxsatisiz tizimga o‘rnatiladi. Ularning asosiy maqsadi foydalanuvchiga tegishli konfidensial axborotni to‘plash bo‘lib, ularga klaviatura orqali kiritilgan axborotni to‘plovchilarni (keylogger), sichqoncha harakatini qayd etuvchilarni, ekran va xotiraning joriy holatidan nusxa oluvchilarni misol keltirish mumkin. Mazkur hujum turiga misol tariqasida 2018-yilning 25-sentyabrida Hindistonda Zoho kompaniyasining 3 millionga yaqin foydaluvchilariga tegishli bo‘lgan qayd yozuvlarini o‘g‘irlanishini keltirish mumkin [4]. Buning uchun xakerlar tomonidan keylogger turidagi dasturiy vositadan foydalanilgan. Bundan tashqari, 2010-yilda Buyuk Britaniyada bank mijozlarining taxminan 31 mln. $ mablag‘ini o‘g‘irlanishiga Zeus nomli keylogger dasturi sababchi bo‘lgan [5]. “Spufing”(spoofing) hujumlariga asoslangan. Spufing hujumi deb biror imtiyozni noqonuniy qo‘lga kiritish uchun hujumchi o‘zini boshqa kabi muvaffaqiyatli maskirovka qilish holatiga aytiladi. Yuqorida keltirilgan hujumlarni amalga oshishi uchun “qurbon” kompyuteri zararli dastur bilan zararlanishi talab etilsa, mazkur hujumda esa bu talab etilmaydi. Fishing (Phishing) va farming (Pharming) hujumlari mazkur hujumlarga yaqqol misol bo‘ladi. Fishing hujumlarida hujumchi o‘z (qalbaki) serveriga murojaatni amalga oshirish imkoniyatini beruvchi havola (URL)dan iborat bo‘lgan spam xabarni “qurbon”ga yuboradi. Ushbu URLda “qurbon”ning konfidensial axborotini (masalan, paroli) talab etuvchi biror xizmat taqdim etiladi. Fishing hujumi ijtimoiy muhandislik (sotsial injineriya) va “o‘rtaga turgan odam” hujumlarining mujassamlashgan ko‘rinishi bo‘lib, turli shaxsiy ma’lumotlarni olishni maqsad qiladi. Ushbu hujumni amalga oshirilishida foydalanilgan kriptografik autentifikatsiya usulining (masalan, TLS/SSL protokoli) zaifligi emas, balki umumiy holda tashkil etilgan autentifikatsiya yechimining zaifligi sabab bo‘ladi [2]. Pochta ma’lumotlari (login va parol)ni o‘g‘irlashga qaratilgan, 2018-yildagi eng yirik fishing hujumlari sifatida “MailChimp”, “Social Network”, “Account Verification”, “ICO”, “Tax W2” va “Gmail Scam”larni misol keltirish mumkin. Xususan, “Bee Token” kompaniyasiga ta’sir qilgan “ICO” fishing hujumi natijasida 85000$ zarar etkazilgan [6]. Farming hujumlari “qurbon”ni hujumchini web sahifasiga murojaatini amalga oshirishda turli xiylalardan foydalanadi. Bunda, u zararlangan DNS (Domain Name System) serverlar xizmatidan foydalanadi. Buning uchun, foydalanuvchi platformasi dastlab zararlantiriladi (masalan, biror JavaScript va JavaApplet ilovalarini bilmasdan yuklash orqali) va shundan so‘ng amalga oshirilgan barcha murojaatlar zararlangan DNSlar orqali hujumchi saytiga yo‘naltiriladi. Farming hujumi katta zarar keltirishi mumkin bo‘lgan hujum turlariga kiradi. Xususan, 2017-yilning fevral oyida AQSh, Yevropa va Osiyo-tinch okeani hududlarida 50 dan ortiq moliyaviy tashkilotlarga farming hujumi kuzatilgan. Ushbu tashkilotlar qatoriga Barclays banki, Shotlandiya banki, PayPal, eBay, Discover Card va American Express tashkilotlari ham mavjud [7]. “O‘rtaga turgan odam” hujumi. Ushbu hujum turi tarmoq orqali himoyalanmagan ko‘rinishda parolni uzatish natijasida amalga oshiriladi. Mazkur holda hujumchi mijoz va server orasida uzatiluvchi axborotni tutib oladi hamda kontentni tahlil qilish orqali muhim axborot, login, parol yoki pochta xabarlarini qo‘lga kiritishi mumkin bo‘ladi. Ushbu hujum xavfsiz bo‘lmagan autentifikatsiya protokollaridan, PAP yoki Telnet, foydalanilganda katta samara beradi. Biroq, mazkur hujumni hattoki xavfsiz protokollar (masalan, SSL/TLS)da ham amalga oshirish imkoniyati mavjud. Olib borilgan izlanishlar natijasida SSL/TLS protokollaridan foydalanishning o‘zi “O’rtaga turgan odam” hujumidan himoyalanish uchun yetarli emasligi aniqlandi. Boshqacha aytganda, aksariyat web severlarda fishing va “O’rtaga turgan odam” hujumini bartaraf etish imkonini beruvchi HTTP Strict Transport Security (HSTS) xususiyatdan foydalanilmagan [8]. Takrorlash hujumi. Mazkur hujumga asosan hujumchi qonuniy foydalanuvchini autentifikatsiya jarayonini kuzatadi va seans ma’lumotlarini ko‘chirib oladi. Ma’lum vaqtdan so‘ng esa ushbu ma’lumotlarni qayta yuborish orqali haqiqiy foydalanuvchi nomidan muvaffaqiyatli autentifikatsiyadan o‘tadi. Mazkur hujum usuli hattoki foydalanilgan parollar xeshlangan ko‘rinishda bo‘lganda ham samara beradi. “O‘rtaga turgan brauzer”(Man-In-The-Browser attack, MITB) hujumi. Ushbu hujum Internet hujumlari sirasiga kirib, “O‘rtaga turgan odam” hujumiga o‘xshash hisoblansada, tahdidni “qurbon” platformasida amalga oshirilishi bilan farqlanadi. MITB hujumida zararli fayl web brauzerni maqsad qiladi va o‘zini foydalanuvchi hamda web brauzer o‘rtasida joylashtiradi. MITB hujumining asosiy maqsadi foydalanuvchi va xizmat serveri provayderiga bildirmasdan onlayn bank tizimlarining moliyaviy tranzaksiyalarini hosil qilish yoki modifikatsiya qilish sanaladi. Bunda, hujum autentifikatsiya sessiyasi amalga oshirilib bo‘lgunga qadar amalga oshirilmaydi. Bu hujum hattoki xavfsiz protokollar (masalan, SSL/TLS) amalga oshirilgan taqdirda ham amalga oshirilishi mumkin. Ushbu hujumni amalga oshirilishiga olib keluvchi quyidagi 5 ta sabab Filip Guxring tomonidan keltirilgan [9]: 1. Browser Helper Objects – Windows operatsion tizimida Internet Explorer tomonidan dinamik kutubxonalarning (Dynamically Loaded Libraries, DLL) yuklanishi sababli tahdidchi to‘liq nazoratni ta’minlashi mumkin. 2. Extensions – ushbu sabab ham birinchisi kabi bo‘lib, u boshqa brauzurlar, masalan, FireFox, uchun o‘rinli bo‘lishi bilan farqlanadi. 3. Foydalanuvchi skriptlari (UserScripts) – brauzerda yuklanuvchi foydalanuvchi tomonidan yuklangan skriptlar. 4. API-Hooking – bu hujum brauzer va brauzer DLL fayllari (Extensions va operatsion tizim DLL fayllari) orasida amalga oshiriladi. Masalan, bu hujum orqali SSL protokoli jarayonida brauzer va SSL orqa fondi mexanizmlari orasidagi aloqa modifikatsiya qilinishi mumkin. 5. Virtualizatsiya – operatsion tizim virtual muhitda yuklanganda barcha xavfsizlik usullarini osonlik bilan chetlab o‘tish mumkin bo‘ladi. Turli web brauzerlar uchun MITB hujumini amalga oshirishni maqsad qilgan turli zararli dasturlar mavjud. Xususan, Windows OTlarda Internet Explorer va Firefox brauzerlari uchun yaratilgan Agent.DBJP, Bugat, Carberp, Goz [10] lar yordamida MITB hujumi amalga oshirish mumkin. “Xizmat ko‘rsatishdan voz kechishga undash”(Denial of Service attack, DOS) hujumi. Ushbu hujum natijasida qayd yozuvi ma’lumotini qo‘lga kiritishga harakat qilish o‘rniga tizimni foydalanuvchanlik xususiyatini yo‘qqa chiqarishga maqsad qilinadi. Odatda parollarga asoslangan autentifikatsiya usullarida qo‘pol kuch hujumi yoki lug‘atga asoslangan hujumlar bo‘lishidan oldini olish uchun muvaffaqiyatsiz urinishlar soni bo‘yicha tizimni vaqtinchalik bloklab qo‘yish amalga oshiriladi. Boshqacha aytganda, hujumchi foydalanuvchi nomidan talab etilgan muvaffaqiyatsiz urinishlarni amalga oshiradi va qayd yozuvini blokga tushiradi. Bu holda haqiqiy foydalanuvchi parolni to‘g‘ri kiritgan taqdirda ham tizimdan foydalanish imkoniyatiga ega bo‘lmaydi. Yüklə 102,32 Kb. Dostları ilə paylaş:
|