Ինտերնետ անվտանգություն. որքանով են պաշտպանված am.տիրույթի կայքերը

ՍԱՅԲԵՐ ԳԵՅԹՍ Ինֆորմացիոն անվտանգության խորհրդատվական, փորձարկման և հետազոտական կազմակերպությունը ստեղծվել է անցյալ տարի:  Ընկերությունը շուրջ մեկ տարի ընդհանուր ինֆորմացիոն անվտանգության ծառայություններ է մատուցում ոչ միայն հայկական, այլ նաև արտասահմանյան կազմակերպություններին և ունի գործընկերներ թե՛ Հնդկաստանում, և թե՛ Եվրոպայում: Ընկերությունը, բացի ՏՏ անվտանգության ծառայություններ մատուցելուց, նաև հավաքագրում է կոտրված կայքերի վիճակագրությունը, կիբեռ-անվտանգության խնդիրների մասին տեղեկատվությունը, տալիս լավագույն լուծումներ կիբեռ-հարձակումներից խուսափելու համար, և այլն:  (Տես նախորդ նյութը): Ինֆորմացիոն անվտանգության մասին 168.am-ի թղթակիցը զրուցել է ՍԱՅԲԵՐ ԳԵՅԹՍ ընկերության հիմնադիր տնօրեն Սամվել Գևորգյանի հետ:

– Ո ՞ր կայքէջերն են ավելի խոցելի, հարձակումներն ինչպե ՞ս են կատարվում: Ինչպե՞ս պետք է զգուշանալ այս ամենից:

– Մեզ մոտ վիճակագրություն կա, որի շնորհիվ կարող ենք ասել, թե որ խոցելիություններն են առավել շատ հանդիպում: Դրանցից, նախ և առաջ, կառանձնացնեի երկուսը՝ XSS (Միջկայքային սքրիփթինգ) և SQL Injection (SQL կոդի ներդրում): Առաջինի իմաստն այն է, որ «չարագործը»  հնարավորություն է ունենում կայքէջի մեջ ներդնել սեփական կոդը` ժամանակավոր կամ հիմնական, և օգտագործել կայքից օգտվող միամիտ գործածողների դեմ: Այսինքն, երբ հարձակման դեպքում փոփոխությունը կատարված է լինում հենց կայքի մեջ, և երրորդ մարդը չի կարող տեղյակ լինել, որ դրսից որևէ մեկի կողմից ինչ-որ սեփական կոդ է ներդրվել տվյալ կայքէջում: Օրինակ, Կենտրոնական հետախուզական վարչության (ԿՀՎ) կայքում նման խնդիր էր առաջացել. «Չարագործը» կարողացել էր նրանց կայքէջում ժամանակավոր փոխոխություն կատարել` հենց կայքի էջում առաջարկում էր բեռնել հատուկ ԿՀՎ-ի կողմից ստեղծած անտիվիրուսը, իսկ կայքի այցելուն, բնականաբար, գաղափար անգամ չէր կարող ունենալ, որ այդտեղ իրականում անտիվիրուսի փոխարեն՝ վիրուս է դրված: Բնականաբար, որևէ մարդ չէր կարող անգամ պատկերացում ունենալ, որ ԿՀՎ-ի կայքում ինչ-որ երրորդ մարդ կարող է տեղեկատվություն տարածել և կայքում փոփոխություններ կատարել:

– Եթե խոսքն անգամ ԿՀՎ–ի կայքի անպաշտպան լինելու մասին է, ապա սովորական կայքերի և սովորական օգտագործողների մասի՞ն ինչ կասեք:

– Գիտեք, խոսքն այստեղ անվտանգության նկատմամբ ուշադրության մասին է, թե որքան ռեսուրսներ կարող ես ծախսել քո կայքի ընդհանուր անվտանգության համար: Օրինակ, նման խնդիրներ առաջացան, եթե չեմ սխալվում` նախանցյալ տարի, ամերիկյան բանակի ինտերնետային կայքի հետ: Հասարակ SQL Injection(SQL կոդի ներդրում) թերության պատճառով «չարագործին» հասանելի էին դարձել տվյալների բազաները և օգտագործողների տվյալները՝ իրենց գաղտնաբառերով հանդերձ: Դրանից հետո նա կարողացել էր ինֆորմացիա վերցնել գաղտնի զենքերի և գաղտնի նյութեր՝ ամերիկյան բանակի վերաբերյալ: Այդ ամենը հրապարակավ դրվեց ինտերնետում, ինչը բավականին մեծ աղմուկ բարձրացրեց: Այս ամենը ոչ միայն ռեսուրսների խնդիր էր: Տվյալ դեպքում՝ անուշադրության խնդիր կար:

– Թերևս, կհամաձայնեք, որ երբեմն անուշադրության խնդիրներն առաջանում են պարզապես աշխատանքի արագ կազմակերպման հետևանքով:

– Այդպես է: Անվտանգությունը, ինքնին, պրոցեսների ամբողջական վերահսկողություն է ենթադրում, իսկ վերահսկողությունը լինում է հետևողական ստուգումների արդյունքում: Ցանկացած գործընթաց, եթե վերահսկողության տակ է վերցվում, դանդաղեցում է ենթադրում: Մարդիկ միշտ ձգտում են հեշտության, իսկ հեշտությունը միշտ հակասում է անվտանգությանը: Այսինքն՝ այն անվտանգության կանոնները, որոնք ստեղծվում են, օրինակ՝գաղտնաբառը պետք է բաղկացած լինի նիշերից, տառերից և տարբեր տեսակի սիմվոլներից, շատերը գիտեն, բայց դրանց երբեք չեն հետևում, քանի որ դա բարդ է հիշել և դժվարացնում է նրանց աշխատանքը: Անվտանգության բուն նպատակը ոչ միայն անվտանգության կանոններ ստեղծելն է, այլ նաև դրանց հետևելը: Ցավոք, շատերը գիտեն անվտանգության կանոնների մասին, սակայն չեն կիրառում դրանք առօրյայում:

Հայաստանում ևս առկա է FTP-ի գաղտնաբառի խնդիրը: Ամբողջ աշխարհում, այդ թվում` Հայաստանում, շատ-շատերը նման հարցերի նկատմամբ շատ թեթև մոտեցում են ցուցաբերում և լուրջ չեն վերաբերվում գաղտնաբառերի ընտրությանը: Սակայն այդ գաղտնաբառի իմացությունը շատերին հնարավորություն է տալիս՝ հեռակա կարգով միանալ սերվերին և փոփոխություններ կատարել ֆայլերի հետ: Կամ, օրինակ, պետք չէ կորպորատիվ էլեկտրոնային փոստի հասցեն թողնել տարբեր ֆորումներում, որպեսզի հետագայում սփամ հաղորդագրություններ չստացվեն, կամ համակարգչի առջև չլինելու պարագայում այն պետք է «կողպել» (Lock): Այսինքն՝անվտանգության կանոնների մասին շատ է գրվում, սակայն դրանց պետք է նաև հետևել:

– Հայաստանյան ընկերություններում անվտանգության մակարդակն ինչպիսի՞ն է, նման ուսումնասիրություն կատարե՞լ եք:

– Հայաստանում ամեն մի կազմակերպություն ինքն է հոգում իր խնդիրները: Օրինակ, բանկերը, կամ, ասենք, մյուս խոշոր կազմակերպությունները, հատկապես՝ ՏՏ ոլորտի կազմակերպությունները, հիմնականում քիչ թե շատ լուրջ են վերաբերվում այս հարցին և ունեն առանձին ՏՏ անվտանգության բաժին, և, հետևաբար, տարբերությունը միանշանակ մեծ է. ՏՏ ընկերությունների անվտանգությունը, ի տարբերություն օնլայն խանութների կամ անհատի բիզնեսի, ավելի պաշտպանված է:

– Փաստորեն, տեղեկատվական տեխնոլոգիաների ոլորտի ընկերություններն ամենապաշտպանվա՞ծն են:

– Նման բան չկա, պարզապես ՏՏ ոլորտի ընկերությունները հիմնականում որոշակի ուշադրություն են դարձնում այդ ամենին, որովհետև, ասենք, ՏՏ-ի մեջ մտնում է նաև ՏՏ անվտանգությունը, և ՏՏ ոլորտի կազմակերպությունը քիչ թե շատ ծանոթ է դրա կարևորությանը, և խոշոր ՏՏ ընկերությունները միանշանակ ունեն հատուկ բաժին կամ թիմ, որը զբաղվում է ՏՏ անվտանգությամբ:

– Ընդհանուր առմամբ, ինչպիսի՞ն է անվտանգության հանդեպ մեր հասարակության վերաբերմունքը:

– Վերջին մեկ տարվա ընթացքում այս հարցի նկատմամբ վերաբերմունքը միանշանակ փոխվել է: Մարդիկ սկսել են հավատալ, որ ՏՏ անվտանգությունը ոչ թե հավելյալ ծախս է, այլ ուղղակի իրական և խիստ անհրաժեշտ ներդրում է իրենց բիզնեսի զարգացման հարցում, սակայն այս ամենին մենք հասել ենք պարբերաբար կատարվող իրազեկումների և խնդիրների մասին բարձրաձայնելու և լուծումներ առաջարկելու շնորհիվ: Անվտանգության վերաբերյալ արդեն լրջություն կա: Օրինակ, եթե առաջ ինտերնետային կայք ունենալը այցեքարտի նման մի բան էր միայն, ապա այժմ դա հիմնականում բիզնես է, օրինակ՝ օնլայն խանութները: Այսինքն՝ բիզնեսի պաշտպանվածությունն առաջնային խնդիր է: Բացի այդ, կիբեր-անվտանգությունը նաև տվյալ ընկերության անվան և հեղինակության հարցն է, քանի որ, եթե որևէ մեկը մտնի քո կայքէջ և այնտեղ տեսնի ադրբեջանական դրոշ կամ հայերի մասին գրված վատ խոսքեր և պրոպագանդաներ`չի կարող քեզ լուրջ վերաբերվել: Ընդհանրապես հեղինակություն ձեռք բերելը շատ դժվար գործնթաց է, և հաքերները հաճախ են օգտվում դրանից: Հաքերները հաճախ դիմում են ֆիշինգ հարձակման մեթոդին: Այսինքն`լինում են դեպքեր, երբ կայքէջի անվան մեկ տառի փոփոխությամբ խաբում են մարդկանց. օրինակ՝ odnoklassniki.ru կայքն արդեն բավական հեղինակություն է հասցրել վայելել, իսկ ինչ-որ «չարագործի» կողմից բացված odnoklassniki1.ru կայքը նախատեսված է անփորձ օգտատերերին ծուղակը գցելու նպատակով: Ցանկացած օգտագործող, տեսնելով իրեն ծանոթ odnoklassniki բառ պարունակող դոմեն անունը և նույն տեսքն ունեցող կայք այնտեղ, անմիջապես վստահում է այդ կայքին`համակարգ մուտք գործելու ակնկալիքով՝ «չարագործին» տալով իր անձնական մուտքային տվյալները: Մարդն առաջին հերթին սկզբում նայում է դոմենի անվանը, և երբ տեսնում է, որ դոմենի անունը ծանոթ է,  հեղինակավոր, վստահությունը շատ մեծ է լինում, ու հաճախ չի նկատում տառի տարբերությունը կամ դոմենի անունից հետո դրված նիշերի շարունակությունը: Թերևս պետք է լինել ՏՏ ոլորտի մասնագետ, որպեսզի որոշակի պատկերացում կազմես հասցեի պարամետրերի մասին և այն մասին,  թե դրանց արժեքներն իրենցից ինչ են ներկայացնում, քանի որ տեսանելիության համար խաբուսիկ նման բաներ շատ են հանդիպում:

– Հարձակումները նվազե՞լ, թե՞ շատացել են am. տիրույթի կայքէջերի վրա:

– Խոշոր կազմակերպություններն ավելի ուշադիր են դարձել անվտանգության խնդիրների ապահովման նկատմամբ: Բայց հարձակումների թիվը միանշանակ մեծացել է, քանի որ .am տիրույթում կայքերի քանակն ավելացել է: Վերջին տվյալների համաձայն՝  .am տիրույթում գրանցված է ավելի քան 20.000 դոմենային անուն: Հարձակման և կոտրման դեպքերն ավելացել են:  Մեր կողմից ավելի քան 30 դեպք է  գրանցվել հայկական հաքերային խմբավորումների կողմից, որոնք փորձում են հակազդեցություն տալ Թուրքական և Ադրբեջանական այս կամ այն հարձակումներին: Խմբավորումները հայտնի են Armenian Cyber Army, ARMSEC TEAM, Armenian Holy Trinity անուններով: Անհատներից ակտիվ է pa$tux_kiLL3r մականունով հայ հաքերը: Պարզապես, ադրբեջանական կողմը հարձակումների միջոցով փորձում է սուտ քարոզչություն տարածել, իսկ մենք նման նպատակ չունենք, և դա մեզ հետաքրքիր չէ, այլապես` մեր հնարավորություններն ավելի շատ են այդ առումով: Ադրբեջանում նման «քարոզչության» համար ֆինանսական մեծ միջոցներ են ծախսում, մենք դրա կարիքը չունենք: