11:02 | 22.06.11 | Նորություններ | 5137

X-TECH. Հայկական վեբկայքերի անվտանգության մակարդակը շատ ցածր է

Ինտերնետ-բիզնեսը Հայաստանում վերջին տարիներին դինամիկ զարգացում է ապրում: Կայքերն ընկերության կամ անհատի «այցեքարտ» լինելուց սկսում են վերածվել եկամտի իրական աղբյուրի: Դրա հետ մեկտեղ աճում է նաեւ վեբկայքերի անվտանգության ապահովման կարեւորությունը: Վեբի հայկական սեգմենտի խոցելի կողմերի եւ դրանք վերացնելու ուղիների մասին Մեդիամաքս-ի եւ Itel.am-ի հետ հարցազրույցում պատմեց X-TECH ընկերության վեբ-ծրագրավորող եւ ինտերնետ-անվտանգության վերլուծաբան Սամվել Գեւորգյանը:

- X-Tech ընկերության գործունեության հիմնական ուղղություններից է վեբկայքերի անվտանգության ապահովումը: Որո՞նք են հայկական վեբկայքերի այն խոցելի կողմերը, որոնց հետ դուք առնչվել եք ամենից շատ: Ընդհանրապես, ինչպե՞ս կբնութագրեք հայկական ինտերնետ-միջավայրի անվտանգության մակարդակը:

- Հայկական վեբկայքերի անվտանգության մակարդակն, ընդհանուր առմամբ, շատ ցածր է: Ամենից հաճախ հանդիպող խոցելիությունը XSS-ն է (Cross site scripting – միջկայքային սքրիփթինգ՝ ինտերակտիվ վեբկայքերի խոցելիության տեսակ, որը գոյանում է օգտագործողների կողմից կայքերում սքրիփթերի մուտքագրման հետեւանքով), որը հանդիպում է ինտերակտիվ կայքերում, որոնց հաճախորդները կարող են մուտքագրել տվյալներ, օրինակ՝ մեկնաբանությունների տեսքով:

XSS-ի առկայության դեպքում դուք մտնում եք ձեր իմացած վեբկայք, սակայն վերահղվում եք (անգլ.` redirect) այլ էջ, որը, օրինակ, կառաջարկի ձեզ որեւէ տեղ գրանցվել, մուտքագրել ձեր տվյալները ու ստանալ լրացուցիչ ծառայություն եւ այլն: Ահա այս ճանապարհով էլ հիմնականում արվում է «ֆիշինգը» (անգլ.՝ phishing - օգտագործողին մոլորեցնելու ճանապարհով նրա կոնֆիդենցիալ տվյալները գողանալու միջոց):   

Իրենց տարածվածությամբ երկրորդ տեղում են SQL-կոդի ներդրման (SQL-injections) հետ կապված խնդիրները, որոնց միջոցով կարելի է մուտք գործել վեբկայքի տվյալների բազա, փոփոխել այն եւ/կամ անել այլ գործողություններ: Այս խնդիրը եւ վերոհիշյալ XSS-ը հայկական կայքերի հիմնական խոցելի կողմերն են, սակայն դրանք սպեցիֆիկ չեն մեզ համար. տեղեկատվության արտահոսքի հետ մեկտեղ, նշված երկուսն աշխարհի ամենատարածված ցանցային վտանգներն են:

- Հայաստանյան ինտերնետ-միջավայրը պարբերաբար ենթարկվում է ադրբեջանցի եւ թուրք հաքերական հարձակումների: Արդյոք մեզ հաջողվե՞լ է դասեր քաղել, թե ինչպես պաշտպանվել այդ հարձակումներից, եւ ինչպիսի՞ն է իրավիճակն այսօր:

- Բավականին երկար ժամանակ վեբկայքերի սեփականատերերը Հայաստանում լուրջ չէին վերաբերվում անվտանգության հարցերին, սակայն վերջին 2-3 տարիներին, երբ վեբկայքերը սկսեցին դառնալ իրական եկամտի աղբյուր, սկսեց նկատվել հստակ դրական միտում. կազմակերպությունները սկսում են լուրջ անհանգստանալ եւ զբաղվել կայքերի անվտանգության հարցերով: Հաքերային հարձակումները բերում են ինտերնետ-բիզնեսով զբաղվողների եկամուտների նվազմանը` ստիպելով նրանց մտածել անվտանգության միջոցներ ձեռնարկելու անհրաժեշտության մասին:

Որպես հետեւանք, Հայաստանում նոր է սկսում զարգանալ նաեւ վեբկայքերի անվտանգության ապահովման բիզնեսը:

- Ձեր նշած ցանցային վտանգների դրսեւորումը հիմնականում պայմանավորված է  օգտագործողների կողմից ինտերնետ-անվտանգության տարրական կանոնների չիմացությամբ: Ի՞նչ խորհուրդ կտաք բիզնեսներին եւ անհատներին` նման վտանգները չեզոքացնելու համար:

- Ինտերնետի հետ առնչվող ընկերություններին խորհուրդ ենք տալիս պարբերաբար թրենինգներ անցկացնել իրենց անձնակազմի համար, տեղեկացնել աշխատակիցներին, թե ինչպիսի վիճակ է ինտերնետ-անվտանգության հետ աշխարհում եւ անվտանգության ինչ մինիմալ կանոնների է պետք հետեւել:

Օրինակ` չպետք է օգտագործել պարզ գաղտնաբառեր եւ հնարավորինս խուսափել տարատեսակ հղումների վրա սեղմելուց: Բերեմ օրինակ իմ սեփական փորձից. երբ իմ էլ. հասցեին կապ հաստատելու հրավեր է գալիս Linkedin.com կայքից, ես երբեք չեմ ընդունում այդ հրավերն անմիջապես իմ հասցեից, փոխարենը` մուտք եմ գործում Linkedin ու նայում, կա արդյոք այնտեղ այս հրավերը: Եթե այո` հաստատում եմ, եթե ոչ` ուրեմն որեւէ մեկն ինձ փորձում էր վերահղել ուրիշ տեղ:

Կարեւոր է նաեւ չօգտվել համակարգչից ադմինիստրատորի կարգավիճակով. անհնար է, որ մարդուն պետք գան ադմինիստրատիվ առավելություններ ամենօրյա աշխատանքում, դրա համար կարելի է ստեղծել մեկ «շարքային» օգտագործող (account) ամենօրյա աշխատանքի համար, իսկ ադմինիստրատորի կարգավիճակով մտնել համակարգ միայն անհրաժեշտության դեպքում: Ինչո՞ւ է դա անհրաժեշտ. երբ հաքերը կամ վիրուսը հասանելիություն է ստանում դեպի ձեր համակարգիչ, այն ունենում է նույն իրավասությունները, որոնք այդ պահին ունեք դուք:           

- Հայկական վեբկայքերի կեսից ավելին տեղակայված է արտասահմանյան սերվերների վրա: Չի՞ առաջացնում դա արդյոք հավելյալ ռիսկեր անվտանգության տեսանկյունից, թե՞ ընդհակառակը, ԱՄՆ-ում կամ Ռուսաստանում հոսթինգ գնելն ավելի ապահով է:

- Արտասահմանյան սերվերում կայքը տեղակայելն այն ավելի խոցելի է դարձնում, քանի որ տվյալները փոխանցվում են ոչ թե Հայաստանի ներսում, այլ անցնում են երկար ճանապարհ, եւ այդ ընթացում դրանք «գողանալու» հավանականությունը մեծանում է:

Եթե մի քանի տարի առաջ հայկական հոսթինգ-պրովայդերները բավականին խոցելի էին, այսօր ակնհայտ են որակական փոփոխությունները: Ամեն դեպքում, վերջին 2 տարիների ընթացքում ես չեմ լսել, որ նրանցից որեւէ մեկին «կոտրեն» եւ հսկողություն հաստատեն այնտեղ գտնվող վեբկայքերի վրա:   

Իհարկե, հայկական եւ արտասահմանյան հոսթինգ-պրովայդերների միջեւ դեռեւս կա էական գնային տարբերություն (տեղականներն ավելի թանկ են), սակայն վերջերս ավելի ու ավելի հետաքրքիր է դառնում այստեղ կայքեր տեղակայելը` հաշվի առնելով ծառայությունների որակի բարձրացումը եւ լոկալ թրաֆիկի փոխանակման հարցի լուծումը [խոսքը վերաբերում է ARMIX ինտերնետ-թրաֆիկի փոխանակման հիմնադրամի ստեղծմանը - Մեդիամաքս], որի պարագայում օգտագործողները մուտք են գործում Հայաստանում տեղակայված կայք շատ մեծ արագությամբ:

- Անընդհատ տեղի ունեցող տեխնոլոգիական առաջընթացի պայմաններում մարդկանց աշխատանքի պայմանները մշտապես փոփոխություններ են ապրում: Հիմա, օրինակ, ակտիվ զարգանում են «ամպային» տեխնոլոգիաները (անգլ.՝ cloud computing), երբ ձեռնարկությունների ողջ թվային տվյալները պահվում են հեռացված սերվերների վրա: Ինչպե՞ս է այդ եւ այլ փոփոխություններին արձագանքում համակարգչային եւ ինտերնետային վտանգների «աշխարհը»: 

- Նոր եւ ավելի կատարելագործված վտանգները հայտնվում են մշտապես: Ինտերնետի կարեւորության աճի եւ ամպային տեխնոլոգիաների զարգացման հետ մեկտեղ նկատվում է վիրուսների` համակարգիչներից դեպի վեբ «գաղթելու» հստակ միտում:

Երկար ժամանակ համարվում էր, որ վիրուսը կարող է վնասել միայն ծրագրային ապահովմանը, սակայն ներկայումս կան վիրուսներ, որոնք կարող են լուրջ ֆիզիկական վնաս հասցնել տեխնիկային:  

Վիրուսների հոսքը չի դադարի` ելնելով մի շարք պատճառներից: Վիրուսների հեղինակները սովորաբար ուսանողներ են. նրանց կողմից գրված առաջին ծրագիրը սովորաբար հենց վիրուս է լինում, ինչը երիտասարդների համար «շոշափելի արդյունք» ստանալու միջոց է: 

Բացի այդ, վերջերս հայտնի դարձավ, որ Չինաստանում գործում է մի կազմակերպություն, որի հիմնական աշխատանքը հենց վիրուսներ գրելն է: Այդ կազմակերպությունը համաշխարհային առաջատար է «արտադրված» վիրուսների քանակով, եւ անհայտ է, թե ովքեր են նրա պատվիրատուները: Նրանց թվում կարող են լինել ընդհուպ մինչեւ պետությունների կառավարություններ: