Savol - javoblar


Savol: SQL injection bu nima?

Javob: SQL кодини киритиш ҳужуми – бу маълумотлар базалари билан ишлайдиган сайтлар ва дастурларни кенг тарқалган бузишусулидан бири. У ҳужумчига маълумотлар базасига ихтиёрий сўровни бажариш (масалан, жадвал мазмунини ўқиш, ахборотни ўзгартириш ёки қўшиш), локал файлларни ўқиш ёки ёзиш ва серверда ихтиёрий буйруқларни бажариш имкониятини бериши мумкин.

Savol: Eksploit bu nima?

Javob: Eksploit - Axborot resursi zaifliklaridan foydalanishga imkon beradigan dastur, harakatlar ketma-ketligi yoki buyruqlar to'plami. Eksploitlar hatto tajribasi ko'p bo'lmagan foydalanuvchiga dastur, veb-sayt yoki eksploit mo'ljallagan boshqa resursni buzishga imkon beradi.

Savol: Saytlararo skripting va XSS bu nima?

Javob: XSS - (ing. Cross Site Scripting) - Kompyuter tizimi zaifligining turi, xakerlik hujumida foydalaniladi. Mazkur hujumlarning spesifikasi shundaki, ular mijozga hujum vositasi sifatida serverga bevosita hujum o'rniga zaif serverdan foydalanadilar. XSS hujumi odatda maxsus URLning yaratilishi va hujum qiluvchining ushbu URLni o'z qurboniga taqdim etishi yo'li bilan o'tkaziladi. Bugungi kunda XSS aniqlanadigan zaifliklarning 15 foizini tashkil qiladi.

Dasturchilar uzoq vaqt davomida bu hujumlarni xavfli deb hisoblamay, ularga etarli e'tibor qaratmagan. Ba'zi hollarda XSS yordamida ma'murning sessiya identifikatorini olish yoki DoS hujumini uyushtirish mumkin bo'ladi

Savol: Axborot xavfsizligi hodisasi bu nima?

Javob: Axborot xavfsizligi hodisasi (ing: information security incident) - Faoliyat yoki axborot xavfsizligini buzishi mumkin bo'lgan biron bir kutilmagan yoki istalmagan voqea. Xizmatning normal ishiga tegishli bo'lmagan va to'xtatilish yoki mazkur xizmat sifati darajasining yo'qotilishiga olib boruvchi yoki olib kelishi mumkin bo'lgan voqea.

Savol: Xaker bu kim?

Javob: Xaker – (ing: hacker) AKT sohasida turli noqonuniy harakatlarni bajaruvchi shaxs: boshqa tarmoqlardan ruxsatsiz foydalanish va ulardan axborot olish; dasturiy mahsulotlarning muhofazasini noqonuniy ravishda buzish va ularning nusxalarini ko'chirish; kompyuter viruslarini yaratish va tarqatish va h.k. Shuni ta'kidlash kerakki, xaker harakatlari turli jinoyat va fuqarolik qoidabuzarliklar tarkibini tashkil qiladi.

Savol: IP manzili bu nima va u orqali nimalarga ega bo’lsa bo’ladi?

Javob:

1. Nuqtalar bilan ajratilgan to'rtta sondan iborat noyob son. Har bir son 0-255 oralig'ida bo'lishi lozim. Masalan, 212.134.145.156. Internet tarmog'idagi har bir kompyuter o'zining noyob (doimiy yoki ulanish vaqtida belgilanadigan) IP manziliga ega. Kompyuterdan osonroq foydalanish uchun

odatda uning domen nomidan foydalaniladi. Internetga ulangan tarmoqlarni qurishda IP manzillar provayder tomonidan taqdim etilgan oraliqdan tanlab olinadi. Provayder tomonidan berilgan IP manzilga ega bo'lmagan kompyuterlar (marshrutlash to'g'ri sozlanganda) lokal tarmoqlar uchun zaxiralangan oraliqdagi IP manzillarga ega bo'lib, boshqa lokal kompyuterlar bilan ishlashi mumkin: 192.168.0.1 - 192.168.255.255, 172.16.0.1 - 172.16.255.255, 10.0.0.1 - 10.255.255.255. Ushbu kompyuterlar Internetga proksi serverlari yordamida yoki IP maskarad orqali ulanishi mumkin.

2. IP protokollari, masalan, Internet asosida qurilgan hisoblash tarmog'ida kompyuterning raqamli manzili. Bunday tarmoqda ma'lumotlarni faqat IP manzillar bo'yicha uzatish mumkin. Bugungi kunda 4 mlrd turli xil manzillarni ishlatish imkonini beruvchi 32-bitli manzillash qo'llaniladi. Manzil makonining ma'lum oraliqlariga alohida ishlov beriladi: masalan, o'z-o'ziga axborot uzatish uchun “teskari aloqa halqasi” (loopback), lokal hisoblash tarmoqlarida ishlatiladigan manzillar bloklari, keng ko'lamda tarqatish (broadcast) va guruhiy uzatish (multicast) manzillari. 32-bitli manzilni yozayotganda uning baytlari nuqtalar bilan ajratiladi, masalan: 192.168.38.94 (manzil 3’232’245’342 yoki C0A8265E16). Manzil ko'lamini kengaytirish uchun 128-bitli IPv6 manzillashini ishga tushirish rejalari bor. U tarmoqdagi turli qurilmalar uchun manzillarni erkin belgilash imkonini yaratadi. Inson uchun raqamli manzilni eslash noqulayligi tufayli, bitta kompyuterga bitta yoki bir necha so'z ramzlarini berish imkonini yaratuvchi domen nomlarning maxsus tizimi ishlab chiqilgan.

Savol: Troyan oti bu nima?

Javob: Troyan oti (ing: trojan horse) Ma'lumotlarni ruxsatsiz yig'ish, soxtalashtirish va yo'q qilishni ta'minlaydigan badniyat mantiqni o'z ichiga olgan, shaklidan beziyon dastur. Viruslardan farqli o'laroq, troyan oti tizimda o'zining nusxalarini yaratmaydi. Uning eng ashaddiy turlaridan biri kompyuterni viruslardan halos qilishni taklif qiladigan dastur bo'ladi, haqiqatda esa u kompyuterni virus bilan zararlantiradi. Atama GomerningIliadahikoyasidan kelib chiqqan, unda, greklar o'z dushmanlariga, troyaliklarga, yog'ochdan yasalgan juda ham katta otni, tinchlik taklifining ramzi sifatida hadya qilganlar. Ammo, troyaliklar otni o'z shaharlari ichiga olib kirganlaridan so'ng, uning ichida berkinib olgan grek jangchilari tashqariga chiqib darvozalarni ochganlar, shu bilan o'z qo'shinlariga shaharga kirish va uni egallashga sharoit yaratganlar.

Savol: Keylogger bu nima?

Javob: Keylogger (ing: keylogger) Kompyuter klaviaturasida klavishalarning har bir bosilishini qayd etuvchi dasturiy mahsulot (modul) yoki apparat vositasi.

Savol: Ijtimoiy injeneriya bu nima?

Javob: Ijtimoiy injeneriya – (ing: social engineering) Texnik vositalardan foydalanmagan holda axborot yoki axborotni saqlash tizimlariga ruxsatsiz kira olish usuli. Ushbu usul inson omilining bo'shligidan foydalanishga asoslangan bo'lib, u juda halokatli hisoblanadi. Yovuz niyatli shaxs axborotni quyidagi yo'llar bilan to'plashi mumkin: hujum ob'ekti xizmatchilari haqida axborotni to'plash, oddiy telefon qo'ng'irog'I yordamida yoki tashkilotga uning xizmatchisi sifatida kirish. Ijtimoiy injeneriya misollari: fishing, baxt xatlari.