Անցած տարի տեղի ունեցան մի քանի խոշոր հարձակումներ բացահայտեցին մի շարք անպաշտպան կրիպտոգրաֆիկ բանալիներ և թվային վկայագրեր (digital certificate): Դրանք ցույց տվեցին, թե ինչքան հեշտ է հմուտ կիբեռ-հանցագործների համար շրջանցել անվտանգության միջոցներն ու քողարկել իրենց անօրինական գործողությունները:
Նման կիբեռ-հանցագործությունները ստիպում են վերանայել ներկայիս անվտանգության հիմունքները, որոնք հիմնված են էլեկտրոնային հասցեների (IP) հիման վրա: Այսպես կոչված «Վստահված Հարձակումներ»-ը ցույց տվեցին նաև, թե թվային բանալիներն ու վկայագրերը որքան կարևոր դեր են ստանձնել ինչպես մեր գործնական, այնպես էլ անձնական կյանքում՝ օգտագործվելով բանկերում առցանց փոխանցումներ կատարելիս կամ շարժական սարքերից ինտերնետի միջոցով «խելացի տուն» կոչվող համակարգերը կառավարելու ժամանակ:
Հարձակումների վերլուծություն
1.Gogo-ն՝ որպես «Միջանկյալ մարդ» (Man-in-the-Middle) հարձակման զոհ
Google Chrome հավելվածի ինժեներներից մեկը հայտնաբերել է, որ օդանավերում ինտերնետ մատակարար Gogo ծառայությունն աշխատում է Google-ի կեղծ վկայագրերի հիման վրա: Gogo-ի ներկայացուցիչների համոզմունքով նրանք փորձել են արագ ուղղել սխալը, այնուամենայնիվ կազմակերպության օգտատերերը հաջող հարձակման զոհ են դարձել:
2.Lenovo նոթբուքերը՝ «Superfish» վնասակար ծրագրի հիմքով
Lenovo-ն հայտնաբերել է, որ գովազդային ծրագիրը (adware), որը նստած է ընկերության նոթբուքերի Օպերացիոն Համակարգի (ՕՀ) հիմքում, իրեն կարողանում է անսահմանափակ վկայագրեր տրամադրող գլխավոր մարմին (unrestricted root certificate authority) դարձնել, ինչը թույլ է տալիս ընկերության հաճախորդների վրա հարձակում իրականացնել՝ օգտվելով «Միջանկյալ մարդ» (Man-in-the-Middle) հարձակման մեթոդից:
3.Google-ը և Mozilla-ն արգելեցին CNNIC-ին
Google ընկերությունը հայտնաբերել է, որ CNNIC-ը, որը հանդիսանում է վկայագրեր տրամադրող ամենախոշոր պետական մարմինը Չինաստանում, անօրինական վկայագրեր է տրամադրել Google-ի մի քանի դոմենային անունների համար: Ինչը շատ մեծ բացթողում է և կարող է վնասաբեր հարձակման պատճառ դառնալ: Արդյունքում, Google-ը հետևեց Mozilla ընկերության փորձին և արգելեց CNNIC-ի կողմից տրամադրված բոլոր վկայագրերը:
4.Սրբ. Լուիս (St. Louis) Դաշնակցային Պահեստային բանկը կողոպտվել է
Մեկ այլ հարձակում նկատել է Միացյալ Նահանգներում գտնվող Սրբ. Լուիս բանկը: Այն հայտնաբերել է, որ հաքերներին հաջողվել է բանկի օնլայն հետազոտական ծառայությունների օգտատերերին ուղղորդել կեղծ հասցեներով (վեբ-կայքեր)՝ օգտվելով իրենց դոմենային անունը գրանցող կազմակերպության անվտանգության բացթողումներից:
5.«General Motors» ընկերության «OnStar» համակարգի թերությունները
Հաքերների ուշադրությունից չի վրիպել այնպիսի խոշոր ընկերություն, ինչպիսին է «General Motors» ընկերությունը: Ընկերության «OnStar» համակարգում հայտնաբերվել է անվտանգության այնպիսի բացթողում, որն անվտանգության վկայագրերը թերի վավերացնելու պատճառով թույլ էր տալիս անջատել մեքենայի անվտանգության համակարգը, կողպել, միացնել կամ անջատել շարժիչը «General Motors» ընկերության բոլոր այն մեքենաներում, որոնց վրա տեղադրված էր վերոնշյալ համակարգը: Նմանատիպ անվտանգության բացթողումներ նկատվել են նաև BMW, Mercedes և Chrysler ընկերությունների մեքենաների համար նախագծված iOS հավելվածներում:
6.Կեղծ վեբ-կայքերին օրինական տրամադրված վկայագրերը
Netcraft-ի կատարած հետազոտությունների արդյունքում հայտնաբերվել են բանկերի կեղծ վեբ-կայքեր, որոնք աշխատել են օրինական վկայագրերի հիման վրա: Վկայագրերը տրամադրված են եղել Symantec, Comodo և GoDaddy ընկերությունների կողմից, որոնք վկայագրեր տրամադրող խոշորագույն ընկերություններն են աշխարհում:
7.Samsung-ի «խելացի սառնարան»-ների խոցելիությունը
Samsung-ի «խելացի սառնարան»-ներում հայտնաբերվել է անվտանգության այնպիսի բացթողում, որը թվային վկայագրերի սխալ վավերացման արդյունքում չարագործներին թույլ էր տալիս կորզել օգտատիրոջ մուտքային տվյալները Gmail համակարգում:
Ամփոփում
Հարց է առաջանում. Ի՞նչ նպատակ ունի թվային բանալիների և վկայագրերի օգտագործումը, եթե կազմակերպությունները չեն կարողանում ապահովել դրանց ճիշտ օգտագործումը տվյալների փոխանցման (communication), վավերացման (authentication) և լիազորման ժամանակ (authorization): Քանզի վստահությունը կորցնելու արդյունքում կարող եք կորցնել Ձեր հաճախորդներին և վտանգի տակ դնել Ձեր ամբողջ գործունեությունը:
Խորհուրդ եմ տալիս աչալրջորեն հետևել Ձեր կազմակերպության անվտանգության միջոցներին, իսկ թվային վկայագրերի հետ աշխատելիս հետևել անվտանգության լավագույն փորձին կամ դիմել անվտանգության հմուտ մասնագետների օգնությանը:
.png){kind=small}
