-
Սամվել Գեւորգյան. «Հայկական վեբկայքերի անվտանգության մակարդակն, ընդհանուր առմամբ, շատ ցածր է»
-
Սամվել Գեւորգյան. «Հայաստանում նոր է սկսում զարգանալ նաեւ վեբկայքերի անվտանգության ապահովման բիզնեսը»
11:02 | 22.06.11 | Նորություններ | 4618
X-TECH. Հայկական վեբկայքերի անվտանգության մակարդակը շատ ցածր է
Ինտերնետ-բիզնեսը Հայաստանում վերջին տարիներին դինամիկ զարգացում է ապրում: Կայքերն ընկերության կամ անհատի «այցեքարտ» լինելուց սկսում են վերածվել եկամտի իրական աղբյուրի: Դրա հետ մեկտեղ աճում է նաեւ վեբկայքերի անվտանգության ապահովման կարեւորությունը: Վեբի հայկական սեգմենտի խոցելի կողմերի եւ դրանք վերացնելու ուղիների մասին Մեդիամաքս-ի եւ Itel.am-ի հետ հարցազրույցում պատմեց X-TECH ընկերության վեբ-ծրագրավորող եւ ինտերնետ-անվտանգության վերլուծաբան Սամվել Գեւորգյանը:
- X-Tech ընկերության գործունեության հիմնական ուղղություններից է վեբկայքերի անվտանգության ապահովումը: Որո՞նք են հայկական վեբկայքերի այն խոցելի կողմերը, որոնց հետ դուք առնչվել եք ամենից շատ: Ընդհանրապես, ինչպե՞ս կբնութագրեք հայկական ինտերնետ-միջավայրի անվտանգության մակարդակը:
- Հայկական վեբկայքերի անվտանգության մակարդակն, ընդհանուր առմամբ, շատ ցածր է: Ամենից հաճախ հանդիպող խոցելիությունը XSS-ն է (Cross site scripting – միջկայքային սքրիփթինգ՝ ինտերակտիվ վեբկայքերի խոցելիության տեսակ, որը գոյանում է օգտագործողների կողմից կայքերում սքրիփթերի մուտքագրման հետեւանքով), որը հանդիպում է ինտերակտիվ կայքերում, որոնց հաճախորդները կարող են մուտքագրել տվյալներ, օրինակ՝ մեկնաբանությունների տեսքով:
XSS-ի առկայության դեպքում դուք մտնում եք ձեր իմացած վեբկայք, սակայն վերահղվում եք (անգլ.` redirect) այլ էջ, որը, օրինակ, կառաջարկի ձեզ որեւէ տեղ գրանցվել, մուտքագրել ձեր տվյալները ու ստանալ լրացուցիչ ծառայություն եւ այլն: Ահա այս ճանապարհով էլ հիմնականում արվում է «ֆիշինգը» (անգլ.՝ phishing - օգտագործողին մոլորեցնելու ճանապարհով նրա կոնֆիդենցիալ տվյալները գողանալու միջոց):
Իրենց տարածվածությամբ երկրորդ տեղում են SQL-կոդի ներդրման (SQL-injections) հետ կապված խնդիրները, որոնց միջոցով կարելի է մուտք գործել վեբկայքի տվյալների բազա, փոփոխել այն եւ/կամ անել այլ գործողություններ: Այս խնդիրը եւ վերոհիշյալ XSS-ը հայկական կայքերի հիմնական խոցելի կողմերն են, սակայն դրանք սպեցիֆիկ չեն մեզ համար. տեղեկատվության արտահոսքի հետ մեկտեղ, նշված երկուսն աշխարհի ամենատարածված ցանցային վտանգներն են:
- Հայաստանյան ինտերնետ-միջավայրը պարբերաբար ենթարկվում է ադրբեջանցի եւ թուրք հաքերական հարձակումների: Արդյոք մեզ հաջողվե՞լ է դասեր քաղել, թե ինչպես պաշտպանվել այդ հարձակումներից, եւ ինչպիսի՞ն է իրավիճակն այսօր:
- Բավականին երկար ժամանակ վեբկայքերի սեփականատերերը Հայաստանում լուրջ չէին վերաբերվում անվտանգության հարցերին, սակայն վերջին 2-3 տարիներին, երբ վեբկայքերը սկսեցին դառնալ իրական եկամտի աղբյուր, սկսեց նկատվել հստակ դրական միտում. կազմակերպությունները սկսում են լուրջ անհանգստանալ եւ զբաղվել կայքերի անվտանգության հարցերով: Հաքերային հարձակումները բերում են ինտերնետ-բիզնեսով զբաղվողների եկամուտների նվազմանը` ստիպելով նրանց մտածել անվտանգության միջոցներ ձեռնարկելու անհրաժեշտության մասին:
Որպես հետեւանք, Հայաստանում նոր է սկսում զարգանալ նաեւ վեբկայքերի անվտանգության ապահովման բիզնեսը:
- Ձեր նշած ցանցային վտանգների դրսեւորումը հիմնականում պայմանավորված է օգտագործողների կողմից ինտերնետ-անվտանգության տարրական կանոնների չիմացությամբ: Ի՞նչ խորհուրդ կտաք բիզնեսներին եւ անհատներին` նման վտանգները չեզոքացնելու համար:
- Ինտերնետի հետ առնչվող ընկերություններին խորհուրդ ենք տալիս պարբերաբար թրենինգներ անցկացնել իրենց անձնակազմի համար, տեղեկացնել աշխատակիցներին, թե ինչպիսի վիճակ է ինտերնետ-անվտանգության հետ աշխարհում եւ անվտանգության ինչ մինիմալ կանոնների է պետք հետեւել:
Օրինակ` չպետք է օգտագործել պարզ գաղտնաբառեր եւ հնարավորինս խուսափել տարատեսակ հղումների վրա սեղմելուց: Բերեմ օրինակ իմ սեփական փորձից. երբ իմ էլ. հասցեին կապ հաստատելու հրավեր է գալիս Linkedin.com կայքից, ես երբեք չեմ ընդունում այդ հրավերն անմիջապես իմ հասցեից, փոխարենը` մուտք եմ գործում Linkedin ու նայում, կա արդյոք այնտեղ այս հրավերը: Եթե այո` հաստատում եմ, եթե ոչ` ուրեմն որեւէ մեկն ինձ փորձում էր վերահղել ուրիշ տեղ:
Կարեւոր է նաեւ չօգտվել համակարգչից ադմինիստրատորի կարգավիճակով. անհնար է, որ մարդուն պետք գան ադմինիստրատիվ առավելություններ ամենօրյա աշխատանքում, դրա համար կարելի է ստեղծել մեկ «շարքային» օգտագործող (account) ամենօրյա աշխատանքի համար, իսկ ադմինիստրատորի կարգավիճակով մտնել համակարգ միայն անհրաժեշտության դեպքում: Ինչո՞ւ է դա անհրաժեշտ. երբ հաքերը կամ վիրուսը հասանելիություն է ստանում դեպի ձեր համակարգիչ, այն ունենում է նույն իրավասությունները, որոնք այդ պահին ունեք դուք:
- Հայկական վեբկայքերի կեսից ավելին տեղակայված է արտասահմանյան սերվերների վրա: Չի՞ առաջացնում դա արդյոք հավելյալ ռիսկեր անվտանգության տեսանկյունից, թե՞ ընդհակառակը, ԱՄՆ-ում կամ Ռուսաստանում հոսթինգ գնելն ավելի ապահով է:
- Արտասահմանյան սերվերում կայքը տեղակայելն այն ավելի խոցելի է դարձնում, քանի որ տվյալները փոխանցվում են ոչ թե Հայաստանի ներսում, այլ անցնում են երկար ճանապարհ, եւ այդ ընթացում դրանք «գողանալու» հավանականությունը մեծանում է:
Եթե մի քանի տարի առաջ հայկական հոսթինգ-պրովայդերները բավականին խոցելի էին, այսօր ակնհայտ են որակական փոփոխությունները: Ամեն դեպքում, վերջին 2 տարիների ընթացքում ես չեմ լսել, որ նրանցից որեւէ մեկին «կոտրեն» եւ հսկողություն հաստատեն այնտեղ գտնվող վեբկայքերի վրա:
Իհարկե, հայկական եւ արտասահմանյան հոսթինգ-պրովայդերների միջեւ դեռեւս կա էական գնային տարբերություն (տեղականներն ավելի թանկ են), սակայն վերջերս ավելի ու ավելի հետաքրքիր է դառնում այստեղ կայքեր տեղակայելը` հաշվի առնելով ծառայությունների որակի բարձրացումը եւ լոկալ թրաֆիկի փոխանակման հարցի լուծումը [խոսքը վերաբերում է ARMIX ինտերնետ-թրաֆիկի փոխանակման հիմնադրամի ստեղծմանը - Մեդիամաքս], որի պարագայում օգտագործողները մուտք են գործում Հայաստանում տեղակայված կայք շատ մեծ արագությամբ:
- Անընդհատ տեղի ունեցող տեխնոլոգիական առաջընթացի պայմաններում մարդկանց աշխատանքի պայմանները մշտապես փոփոխություններ են ապրում: Հիմա, օրինակ, ակտիվ զարգանում են «ամպային» տեխնոլոգիաները (անգլ.՝ cloud computing), երբ ձեռնարկությունների ողջ թվային տվյալները պահվում են հեռացված սերվերների վրա: Ինչպե՞ս է այդ եւ այլ փոփոխություններին արձագանքում համակարգչային եւ ինտերնետային վտանգների «աշխարհը»:
- Նոր եւ ավելի կատարելագործված վտանգները հայտնվում են մշտապես: Ինտերնետի կարեւորության աճի եւ ամպային տեխնոլոգիաների զարգացման հետ մեկտեղ նկատվում է վիրուսների` համակարգիչներից դեպի վեբ «գաղթելու» հստակ միտում:
Երկար ժամանակ համարվում էր, որ վիրուսը կարող է վնասել միայն ծրագրային ապահովմանը, սակայն ներկայումս կան վիրուսներ, որոնք կարող են լուրջ ֆիզիկական վնաս հասցնել տեխնիկային:
Վիրուսների հոսքը չի դադարի` ելնելով մի շարք պատճառներից: Վիրուսների հեղինակները սովորաբար ուսանողներ են. նրանց կողմից գրված առաջին ծրագիրը սովորաբար հենց վիրուս է լինում, ինչը երիտասարդների համար «շոշափելի արդյունք» ստանալու միջոց է:
Բացի այդ, վերջերս հայտնի դարձավ, որ Չինաստանում գործում է մի կազմակերպություն, որի հիմնական աշխատանքը հենց վիրուսներ գրելն է: Այդ կազմակերպությունը համաշխարհային առաջատար է «արտադրված» վիրուսների քանակով, եւ անհայտ է, թե ովքեր են նրա պատվիրատուները: Նրանց թվում կարող են լինել ընդհուպ մինչեւ պետությունների կառավարություններ:
- X-Tech ընկերության գործունեության հիմնական ուղղություններից է վեբկայքերի անվտանգության ապահովումը: Որո՞նք են հայկական վեբկայքերի այն խոցելի կողմերը, որոնց հետ դուք առնչվել եք ամենից շատ: Ընդհանրապես, ինչպե՞ս կբնութագրեք հայկական ինտերնետ-միջավայրի անվտանգության մակարդակը:
- Հայկական վեբկայքերի անվտանգության մակարդակն, ընդհանուր առմամբ, շատ ցածր է: Ամենից հաճախ հանդիպող խոցելիությունը XSS-ն է (Cross site scripting – միջկայքային սքրիփթինգ՝ ինտերակտիվ վեբկայքերի խոցելիության տեսակ, որը գոյանում է օգտագործողների կողմից կայքերում սքրիփթերի մուտքագրման հետեւանքով), որը հանդիպում է ինտերակտիվ կայքերում, որոնց հաճախորդները կարող են մուտքագրել տվյալներ, օրինակ՝ մեկնաբանությունների տեսքով:
XSS-ի առկայության դեպքում դուք մտնում եք ձեր իմացած վեբկայք, սակայն վերահղվում եք (անգլ.` redirect) այլ էջ, որը, օրինակ, կառաջարկի ձեզ որեւէ տեղ գրանցվել, մուտքագրել ձեր տվյալները ու ստանալ լրացուցիչ ծառայություն եւ այլն: Ահա այս ճանապարհով էլ հիմնականում արվում է «ֆիշինգը» (անգլ.՝ phishing - օգտագործողին մոլորեցնելու ճանապարհով նրա կոնֆիդենցիալ տվյալները գողանալու միջոց):
Իրենց տարածվածությամբ երկրորդ տեղում են SQL-կոդի ներդրման (SQL-injections) հետ կապված խնդիրները, որոնց միջոցով կարելի է մուտք գործել վեբկայքի տվյալների բազա, փոփոխել այն եւ/կամ անել այլ գործողություններ: Այս խնդիրը եւ վերոհիշյալ XSS-ը հայկական կայքերի հիմնական խոցելի կողմերն են, սակայն դրանք սպեցիֆիկ չեն մեզ համար. տեղեկատվության արտահոսքի հետ մեկտեղ, նշված երկուսն աշխարհի ամենատարածված ցանցային վտանգներն են:
- Հայաստանյան ինտերնետ-միջավայրը պարբերաբար ենթարկվում է ադրբեջանցի եւ թուրք հաքերական հարձակումների: Արդյոք մեզ հաջողվե՞լ է դասեր քաղել, թե ինչպես պաշտպանվել այդ հարձակումներից, եւ ինչպիսի՞ն է իրավիճակն այսօր:
- Բավականին երկար ժամանակ վեբկայքերի սեփականատերերը Հայաստանում լուրջ չէին վերաբերվում անվտանգության հարցերին, սակայն վերջին 2-3 տարիներին, երբ վեբկայքերը սկսեցին դառնալ իրական եկամտի աղբյուր, սկսեց նկատվել հստակ դրական միտում. կազմակերպությունները սկսում են լուրջ անհանգստանալ եւ զբաղվել կայքերի անվտանգության հարցերով: Հաքերային հարձակումները բերում են ինտերնետ-բիզնեսով զբաղվողների եկամուտների նվազմանը` ստիպելով նրանց մտածել անվտանգության միջոցներ ձեռնարկելու անհրաժեշտության մասին:
Որպես հետեւանք, Հայաստանում նոր է սկսում զարգանալ նաեւ վեբկայքերի անվտանգության ապահովման բիզնեսը:
- Ձեր նշած ցանցային վտանգների դրսեւորումը հիմնականում պայմանավորված է օգտագործողների կողմից ինտերնետ-անվտանգության տարրական կանոնների չիմացությամբ: Ի՞նչ խորհուրդ կտաք բիզնեսներին եւ անհատներին` նման վտանգները չեզոքացնելու համար:
- Ինտերնետի հետ առնչվող ընկերություններին խորհուրդ ենք տալիս պարբերաբար թրենինգներ անցկացնել իրենց անձնակազմի համար, տեղեկացնել աշխատակիցներին, թե ինչպիսի վիճակ է ինտերնետ-անվտանգության հետ աշխարհում եւ անվտանգության ինչ մինիմալ կանոնների է պետք հետեւել:
Օրինակ` չպետք է օգտագործել պարզ գաղտնաբառեր եւ հնարավորինս խուսափել տարատեսակ հղումների վրա սեղմելուց: Բերեմ օրինակ իմ սեփական փորձից. երբ իմ էլ. հասցեին կապ հաստատելու հրավեր է գալիս Linkedin.com կայքից, ես երբեք չեմ ընդունում այդ հրավերն անմիջապես իմ հասցեից, փոխարենը` մուտք եմ գործում Linkedin ու նայում, կա արդյոք այնտեղ այս հրավերը: Եթե այո` հաստատում եմ, եթե ոչ` ուրեմն որեւէ մեկն ինձ փորձում էր վերահղել ուրիշ տեղ:
Կարեւոր է նաեւ չօգտվել համակարգչից ադմինիստրատորի կարգավիճակով. անհնար է, որ մարդուն պետք գան ադմինիստրատիվ առավելություններ ամենօրյա աշխատանքում, դրա համար կարելի է ստեղծել մեկ «շարքային» օգտագործող (account) ամենօրյա աշխատանքի համար, իսկ ադմինիստրատորի կարգավիճակով մտնել համակարգ միայն անհրաժեշտության դեպքում: Ինչո՞ւ է դա անհրաժեշտ. երբ հաքերը կամ վիրուսը հասանելիություն է ստանում դեպի ձեր համակարգիչ, այն ունենում է նույն իրավասությունները, որոնք այդ պահին ունեք դուք:
- Հայկական վեբկայքերի կեսից ավելին տեղակայված է արտասահմանյան սերվերների վրա: Չի՞ առաջացնում դա արդյոք հավելյալ ռիսկեր անվտանգության տեսանկյունից, թե՞ ընդհակառակը, ԱՄՆ-ում կամ Ռուսաստանում հոսթինգ գնելն ավելի ապահով է:
- Արտասահմանյան սերվերում կայքը տեղակայելն այն ավելի խոցելի է դարձնում, քանի որ տվյալները փոխանցվում են ոչ թե Հայաստանի ներսում, այլ անցնում են երկար ճանապարհ, եւ այդ ընթացում դրանք «գողանալու» հավանականությունը մեծանում է:
Եթե մի քանի տարի առաջ հայկական հոսթինգ-պրովայդերները բավականին խոցելի էին, այսօր ակնհայտ են որակական փոփոխությունները: Ամեն դեպքում, վերջին 2 տարիների ընթացքում ես չեմ լսել, որ նրանցից որեւէ մեկին «կոտրեն» եւ հսկողություն հաստատեն այնտեղ գտնվող վեբկայքերի վրա:
Իհարկե, հայկական եւ արտասահմանյան հոսթինգ-պրովայդերների միջեւ դեռեւս կա էական գնային տարբերություն (տեղականներն ավելի թանկ են), սակայն վերջերս ավելի ու ավելի հետաքրքիր է դառնում այստեղ կայքեր տեղակայելը` հաշվի առնելով ծառայությունների որակի բարձրացումը եւ լոկալ թրաֆիկի փոխանակման հարցի լուծումը [խոսքը վերաբերում է ARMIX ինտերնետ-թրաֆիկի փոխանակման հիմնադրամի ստեղծմանը - Մեդիամաքս], որի պարագայում օգտագործողները մուտք են գործում Հայաստանում տեղակայված կայք շատ մեծ արագությամբ:
- Անընդհատ տեղի ունեցող տեխնոլոգիական առաջընթացի պայմաններում մարդկանց աշխատանքի պայմանները մշտապես փոփոխություններ են ապրում: Հիմա, օրինակ, ակտիվ զարգանում են «ամպային» տեխնոլոգիաները (անգլ.՝ cloud computing), երբ ձեռնարկությունների ողջ թվային տվյալները պահվում են հեռացված սերվերների վրա: Ինչպե՞ս է այդ եւ այլ փոփոխություններին արձագանքում համակարգչային եւ ինտերնետային վտանգների «աշխարհը»:
- Նոր եւ ավելի կատարելագործված վտանգները հայտնվում են մշտապես: Ինտերնետի կարեւորության աճի եւ ամպային տեխնոլոգիաների զարգացման հետ մեկտեղ նկատվում է վիրուսների` համակարգիչներից դեպի վեբ «գաղթելու» հստակ միտում:
Երկար ժամանակ համարվում էր, որ վիրուսը կարող է վնասել միայն ծրագրային ապահովմանը, սակայն ներկայումս կան վիրուսներ, որոնք կարող են լուրջ ֆիզիկական վնաս հասցնել տեխնիկային:
Վիրուսների հոսքը չի դադարի` ելնելով մի շարք պատճառներից: Վիրուսների հեղինակները սովորաբար ուսանողներ են. նրանց կողմից գրված առաջին ծրագիրը սովորաբար հենց վիրուս է լինում, ինչը երիտասարդների համար «շոշափելի արդյունք» ստանալու միջոց է:
Բացի այդ, վերջերս հայտնի դարձավ, որ Չինաստանում գործում է մի կազմակերպություն, որի հիմնական աշխատանքը հենց վիրուսներ գրելն է: Այդ կազմակերպությունը համաշխարհային առաջատար է «արտադրված» վիրուսների քանակով, եւ անհայտ է, թե ովքեր են նրա պատվիրատուները: Նրանց թվում կարող են լինել ընդհուպ մինչեւ պետությունների կառավարություններ:
10:02 | 22.06.11 |
Նորություններ
Թողարկվել է Firefox բրաուզերի հինգերորդ տարբերակը
10:02 | 22.06.11 |
Նորություններ
Nokia-ն կթողարկի MeeGo-ի հիման վրա առաջին ու վերջին սմարթֆոնը
