Boshqalar

Jinoyatchi kabi fikrlash: xavfsizlikni testdan oʻtkazamiz

Pentest — xakerlik hujumi imitatsiyasi. U xavfsizlikning zaif tomonlarini xakerlar topmasidan avval aniqlash uchun uyushtiriladi. Axloq meʼyorlari doirasida buzish xususiyatlarini tahlil qilamiz.

  • Pentestlar nega kerak?

  • Pentester kim?

  • Qanday pentesterlar boʻladi?

  • Pentest turlari

  • Buzib kirishga qarshi testdan oʻtkazish vositalari (instrumentlar)

  • Buzib kirishga qarshi testdan oʻtkazishga nimalar kiradi?

  • Ekspert maslahati


Pentestlar nega kerak?

Positive Technologies hisobotiga koʻra, 2022-yilda muvaffaqiyatli kiberhujumlar soni 20 foizdan koʻproqqa ortgan. Bunday hujumlarning muayyan qismi servis egalari ularning xavfsizligini testdan oʻtkazmagani tufayli sodir boʻlgan. Masalan, 2023-yilning uchinchi choragida xakerlar blokcheyn loyihalardan taxminan 200 million dollar oʻgʻirladi. Bu holatlarning yarmida loyihalarning zaifligi tekshirilmagan.

Pentestlar yoki buzib kirishga qarshi testdan oʻtkazish kompaniyaning tahdidlardan qanchalik himoyalanganini tekshirishning bir usuli hisoblanadi. Pentestlar paytida tizim buzilishi va maʼlumotlar oʻgʻirlanishi imitatsiya qilinadi. Bu xakerlardan oldin kompaniyaning zaif tomonlarini aniqlash va ularni bartaraf etish yoʻllarini topishga yordam beradi.

Buzib kirishga qarshi testdan oʻtkazish nafaqat dasturiy taʼminot yoki texnika, balki xodimlar uchun ham amalga oshiriladi. Tizim buzilishlarining aksariyati inson omili bilan bogʻliq: odamlar shubhali havolalarni ochadi yoki adashib firibgarlarga shaxsiy maʼlumotlarni beradi. Oq xakerlikning yana bir vazifasi — odamlarni qanday aldashni aniqlash. Masalan, kompaniya xodimlariga havola orqali oʻtish soʻralgan xat yuborilishi mumkin. Agar ular xatni ochsa, bu kompaniyada raqamli gigiyena hamda uning foyda va zararlarga qanday taʼsir qilishi haqida yetarlicha maʼlumot berilmasligini anglatadi.

Pentester kim?

Pentester — tizimni buzishning barcha mumkin boʻlgan usullarini topishga harakat qiladigan axborot xavfsizligi boʻyicha mutaxassis. Agar u himoyani chetlab oʻtib, maʼlumotlarni qoʻlga kiritsa va kompyuter yoki tizimni nazorati ostiga olsa, bu zaiflikni qayd etadi, test natijalari boʻyicha hisobotga qoʻshadi. Keyin bu hujjat bilan boshqa xavfsizlik mutaxassislari ishlaydi. Ular tizimda nimani oʻzgartirish kerakligini oʻylab topadi, buni dasturchilar uchun talablar shaklida tavsiflaydi va texnik jamoaga topshiradi.

Ivan Avramenko, kiberxavfsizlik boʻyicha injener

Pentester — detektivning bir turi. Izquvarlik bilan shugʻullanishni, jumboqlarni yechishni istasangiz, bu mutaxassislik sizga mos keladi. Toʻgʻri, bu yerda jinoyatlarni tergov qilish emas, balki ularni xavfsiz muhitda bajarish kerak boʻladi. Testdan oʻtkazish (hujum) ni rejalashtirish, oʻzingizga xos tarzda va tashqi cheklist boʻyicha ishlay olish, stressga chidamlilik, sabr-toqat va qiyinchiliklarga tayyor boʻlish talab etiladi. Barcha ishlarning natijasi diqqat-eʼtiborga bogʻliq: bironta detal eʼtibordan chetda qoldirilsa, zaiflik oʻtib ketadi.


Buzib kirishga qarshi testdan oʻtkazish — anʼanaviy test, dasturlash va tizim administratorligidan iborat miks. Axloqiy xaking bilan shugʻullanish uchun brauzer, veb-sayt yoki ilovaning server qismi foydalanadigan texnologiyalarni bilish kerak. Korporativ tarmoqlar arxitekturasi qanday tuzilgani va tarmoq uskunalarini sozlashni tushunish zarur.

Qanday pentesterlar boʻladi?

Tashqi va ichki pentesterlar boʻladi. Ular nima bilan farq qilishini tahlil qilamiz.

Ichki pentester

Tashqi pentester

Jamoa ichida toʻlaqonli xodim sifatida ishlaydi.

Kompaniya uni loyiha uchun yollaydi.

Kompaniyaning ichki tizim, jarayon va texnologiyalarini tushunadi. Mavjud ichki siyosat va xavfsizlik qoidalarini biladi.

Uning kuchi — tashqaridan hujum qilish uchun xakerlar foydalanadigan ommabop va nostandart usullarni bilishida.

Kompaniyaning ichki resurslariga, tizimlar strukturasi, tarmoq arxitekturasi, baʼzan dasturlarning manba kodlari haqidagi maʼlumotlarga toʻliq kirish imkoniyati mavjud.

Kirish imkoniyati cheklangan. Unga faqat xaker ichki yordamsiz olishi mumkin boʻlgan maʼlumotlar taqdim etiladi. Kompaniyaning ichki mexanizmlari haqida toʻliq tasavvurga ega emas.

 

Keng qamrovli xavfsizlik tizimi uchun ikkala mutaxassis ham talab etiladi, shuning uchun bu ikkita yoʻnalishdan birini tanlash vazifasi qoʻyilmaydi. Ichki ekspert kompaniyaning xususiyatlarini tushunadi, tashqi ekspert esa ichkaridan koʻrinmaydigan va ochiq-oydin boʻlmagan muammolarni payqashi mumkin.

Ivan Avramenko

Kasbga kirishni osonlashtirish uchun tizim administratori sifatida oʻrtacha 3—4 yil ishlash kerak. Ammo bu yagona yoʻl emas. Koʻp narsa fikrlash va oʻrganish qobiliyatiga bogʻliq. Hech qanday tajribaga ega boʻlmagan ayrimlar uchun “Xabr” yoki GitHubʼdagi maqolani oʻqish kifoya va u allaqachon biroz pentester boʻldi. Yana boshqa mutaxassis uchun esa zaifliklarning turlari va vositalarini tushunishga bir necha kun kerak boʻladi.


Pentest turlari

Buzib kirishga qarshi testdan oʻtkazishning uchta asosiy turi mavjud: tashqi yoki black box, ichki yoki white box va aralash — “kulrang quti”.

1. Black Box. Mutaxassis kompaniyani xuddi internet orqali uning tizimlariga kirishni istagan xaker kabi tahlil qiladi. U infratuzilmaning internetga ulangan komponentlari zaif tomonlarini oʻrganadi. Masalan, veb-saytlardagi maʼlumotlarni kiritishdagi zaifliklar, Wi-Fiʼga ulangan serverlar, ofis qurilmalari.

2. White Box. Mutaxassis kompaniya haqidagi maʼlumotlarni oddiy xodim sifatida emas, balki barcha tizimlarga kirish huquqiga ega administrator sifatida oladi. U ichki tizim va maʼlumotlar bazalari qanchalik himoyalangani, “sezgir” maʼlumotlarga ega boʻlish osonmi yoki yoʻqligini oʻrganadi. Bu usul barcha ichki resurs va maʼlumotlarni ulardan foydalanish darajasi har xil boʻlgan xodimlardan himoya qilinishini sinchkovlik bilan tekshirishga yordam beradi.

3. Gray Box. Pentester kompaniya infratuzilmasi qanday tuzilganini biladi va oʻzi bilgan resurs yoki xodimlarga hujum qilish haqida oʻylab chiqadi. Masalan, fishing xabarlar, qoʻngʻiroq yoki hatto shaxsiy muloqotdan foydalanadi. Ofisga zararli fayllar boʻlgan fleshkalarni tashlab chiqadi, stajyor sifatida ishga kiradi, videokuzatuv kameralarini oʻrnatuvchi sifatida mahalliy tarmoqqa kirish huquqiga ega boʻladi.

Buzib kirishga qarshi testdan oʻtkazish vositalari


Pentest uchun vositalar muayyan muammolarga yechim topish, veb-sayt yoki ilova pentestini har tomonlama amalga oshirishga yordam beradi. Ularning asosiylarini koʻrib chiqamiz.

Bu nega kerak?

Misol

Keng qamrovli testdan oʻtkazish uchun dasturlar

Kali Linux — kompyuter tizimlarini buzib kirishga qarshi testdan oʻtkazish va ularning xavfsizligini tekshirishga moʻljallangan operatsion tizim. Unda koʻplab vositalar oldindan oʻrnatilgan va sozlangan. Masalan, tarmoqni skanerlash, veb-ilovalarni testdan oʻtkazish, simsiz tarmoqlarni tahlil qilish uchun. Testdan oʻtkazuvchilarning har bir vositani alohida qidirishi, yuklab olishi va oʻrnatishiga hojat yoʻq.

Tarmoqlarni skanerlash — tarmoqdagi faol qurilmalarni aniqlash, ochiq portlarni tahlil qilish, tarmoq infratuzilmasi va foydalanuvchilar faoliyati toʻgʻrisida maʼlumot toʻplash.

Nmap, Wireshark

Domen, uning egasi, IP va xostingi haqida maʼlumot toʻplash, veb-sayt murojaat qiladigan serverning mavjudligini aniqlash.

Whois-service,dnsrecon,dig,nslookup

Veb va mobil ilovalar xavfsizligini tahlil qilish, zaifliklarni aniqlash, HTTP va HTTPS protokollari bilan ishlash.

Burp Suite, OWASP Zap, OpenVAS, Nexpose, Vega, QARK

Foydalanuvchilar parollarini koʻrib chiqish va tiklash.

John The Ripper, Hydra, Hashcat, Net-Creds (Kali Linuxʼga kiradi)

Tarmoqqa qarshi hujumlarni uyushtirish va amalga oshirish, tarmoq qurilmalarining xavfsizligini tahlil qilish.

Metasploit (Kali Linuxʼga kiradi), Cobalt Strike (muntazam ravishda yangilanadigan va zaifliklarga qarshi tekshiriladigan tizimlarga hujumlar uchun)

Fishing xabarlarini yuborish, ijtimoiy injeneriya sxemalarini yaratish kabi odamlarni manipulyatsiya qilish bilan bogʻliq hujumlarni amalga oshirish.

Social-Engineer Toolkit freymvorklari (Kali Linuxʼga ulash mumkin), GoPhish

Simsiz tarmoqlar xavfsizligini sinash vositalari, Wi-Fi parollarini buzish.

Aircrack-ng, Kismet

Ilovaga buzib kirish imkoniyatini testdan oʻtkazish vositalari: kodni kiritish uchun hujumlar, maʼlumotlar bazasi xavfsizligini testdan oʻtkazish.

SQLMap maʼlumotlar bazasining SQL inyeksiyalar — bazaga parolsiz kirish imkoniyatini beradigan zararli soʻrovlarga qarshi zaifligini testdan oʻtkazishga yordam beradi.

Ivan Avramenko

Pentest oʻtkazish uchun vositani ishga tushirib, keyin test hisobotini yuklab olishning oʻzi yetarli emas. Real hayotda hujumlarni avtomatlashtirish vositalari pand berishi — ishni toʻxtatishi yoki maʼlum bir vazifaga mos kelmasligi mumkin. Faqat oʻz malakangizga tayanish lozim boʻladi. Agar tajribaning katta qismi faqat pentestlarni avtomatlashtirish bilan bogʻliq boʻlsa, oʻrganish boʻshliqlarini toʻldirish uzoq va ogʻriqli boʻladi.

Buzib kirishga qarshi testdan oʻtkazishga nimalar kiradi?


Pentest bir necha bosqichda oʻtkaziladi. Ularni veb-ilova pentesti misolida tahlil qilamiz:

1. Maʼlumotlar toʻplash
Bu bosqich hujumdan oldingi “josuslik”ka oʻxshaydi. Pentester veb-sayt haqida mavjud boʻlgan barcha ommaviy maʼlumotlarni qidiradi. Masalan, domen nomlari, IP-adreslari, veb-sayt strukturasi toʻgʻrisida maʼlumotlar, xodimlarning ism-sharifi, veb-ilovani yozishda foydalanilgan texnologiyalar.

Qaysi vositalar qoʻl keladi?

  • WHOIS servislar — domen egasi haqida maʼlumot olish uchun.

  • Ixtisoslashgan qidiruv soʻrovlari — veb-sayt va forumlarda ochiq maʼlumotlarni qidirish uchun.

2. Zaifliklarni tahlil qilish
Bu bosqichda pentester ilova yoki tarmoq xavfsizligida xaker kirishga urinib koʻrishi mumkin boʻlgan “tuynuklar” mavjudligini aniqlaydi. U veb-ilovani zaifliklar mavjudligiga tekshirish uchun skanerlaydi. Ochiq portlarni sinab koʻradi, server konfiguratsiyasini tahlil qiladi, dastur kodida zaifliklar mavjudligini tekshiradi.

Qaysi vositalar qoʻl keladi?

  • Nmap: ochiq portlarni skanerlash va xizmatlarni aniqlash uchun.

  • Nessus yoki OpenVAS: tarmoq qurilmalaridagi zaifliklarni aniqlash uchun.

  • Burp Suite yoki OWASP Zap: veb-ilova xavfsizligini testdan oʻtkazish uchun.

3. Foydalanish
Bu bosqichda pentester aniqlangan zaifliklardan foydalanish va tizimga kirish qanchalik qiyinligini tekshiradi. Masalan, maʼlumotlar bazasiga kirish.

Instrumentlar:

  • Metasploit: hujumlarni avtomatlashtirish va maʼlum zaifliklardan foydalanish uchun.

  • SQLMAP: SQL inyeksiyasiga qarshi sinov uchun.

  • Hydra: autentifikatsiya hujumlari uchun.

4. Kirish imkoniyatini saqlab turish
Xakerlarning tizim va maʼlumotlarga kirish imkoniyati qanchalik koʻp boʻlsa, tizim zaifligi kompaniyaga shunchalik qimmatga tushadi. Bu bosqichda pentester tizim qancha vaqtgacha buzilgani va hujumga uchraganini sezmasligini baholaydi. U butun test davomida tizimga kirishni taʼminlaydigan vositalarni oʻrnatadi. Masalan, masofadan kirish va qoʻshimcha vositalarni oʻrnatishga yordam beradigan Netcat yoki Meterpreter.

Pentest paytida tizimga bir nechta vositalar yordamida xavfsiz xakerlik hujumi uyushtiriladi va uning bunga qanday munosabatda boʻlishi kuzatiladi

 

5. Izlarni tozalash
Xakerlar tizimni buzganini aks ettiruvchi izlarni qoldirishi mumkin. Masalan, foydalanuvchi maʼlumotlarini oʻchirishi, obuna boʻlishi, login va parol bilan bir nechta qurilmalardan kirishi mumkin. Bunday izlar qanchalik koʻp boʻlsa, xakerlik hujumidan keyin kompaniya tekshirish oʻtkazishi shunchalik osonroq boʻladi. Tajribali xakerlar hujumlar izini yoʻqotadi. Tizimni buzib kirganidan soʻng pentesterlar ham xuddi shunday qiladi.

6. Maʼlumotlar tahlili
Pentester olishning uddasidan chiqqan maʼlumotlarni tahlil qiladi. Muvaffaqiyatli hujum natijasida yuzaga kelishi mumkin boʻlgan zararni, masalan, bazadagi mijozlar maʼlumotlarining oshkor boʻlishi kompaniyaga qanchalik qimmatga tushishini baholaydi.

7. Natijalarni hujjatlashtirish
Pentester aniqlangan zaifliklarni tavsiflovchi hisobot yaratadi, ularni bartaraf etish boʻyicha tavsiyalar beradi va veb-ilova xavfsizligini umumiy tarzda baholaydi. Biznes nima qilish kerakligini tushunishi uchun u mana shunday maʼlumotlarni oʻz ichiga olishi kerak:

✅Tushunarli struktura, chizma, diagramma va jadvallar tavsifi. Tavsiflar texnik mutaxassis uchun ham, marketing yoki HR xodimlari uchun ham tushunarli tarzda ifodalangan boʻlishi kerak.

✅Zaifliklarning batafsil tavsifi: aniqlangan joyi, mohiyati, yaqqol misol tariqasida skrinshotlar.

✅Testdan oʻtkazish jarayoni, MITRE texnikasining tavsifi. Pentestlar regulyatorlarning talablarini bajarish uchun ham amalga oshiriladi, shuning uchun baʼzi hollarda TENFXning (texnik va eksport nazorati boʻyicha federal xizmat) zaiflik maʼlumotlari bazalariga havolalar qoʻshiladi.

✅Mijoz foydalanadigan texnologiyalar toʻplamidagi zaifliklarni bartaraf etish boʻyicha tavsiyalar.

✅Tahlil. Masalan, zaifliklarning umumiy soni va kompaniyada eng koʻp uchraydigan turlari. Oldingi pentestlar bilan taqqoslash.

✅Xakerlar zaiflikdan foydalangan taqdirda kompaniya uchun yuzaga keladigan oqibatlar. Masalan, DDoS hujumi yetkazadigan zarar. Bunday holda xakerlar serverni ishdan chiqishga qadar soʻrovlar bilan ortiqcha yuklaydi. Aytaylik, veb-saytlarni ishlab chiqadigan kompaniya veb-saytida menejer bilan bogʻlanish uchun ariza shakli mavjud. Mijoz arizani toʻldirganda, veb-saytdagi maʼlumotlar serverga yuboriladi. Har bir bunday operatsiya kompaniyaga 1000 rublga tushadi. Oddiy sharoitlarda veb-sayt daqiqada 50 ta soʻrovga bardosh bera oladi. Endi DdoS hujum soʻrovlar sonini 100 baravar oshirishini tasavvur qilaylik. Bu serverlar daqiqada 50 ta soʻrov oʻrniga 5000 ta va ularning aksariyati soxta boʻlgan soʻrovni qayta ishlashini anglatadi. Agar hujum bir soat davom etsa, kompaniya 300 million rubl yoʻqotadi.

✅Ishning umumiy tavsiya va xulosalarga ega qisqacha mazmuni.

Ekspert maslahati

Ivan Avramenko

Dasturlashda boʻlgani kabi butun umr oʻrganish kerak boʻladi. Yil sayin tizim va ilovalar soni ortib bormoqda. Zaifliklarni topish uchun ularning arxitekturasi qanday tuzilganini tushunish kerak. Mutaxassis texnologiyani qanchalik yaxshi bilsa, nostandart vazifaning yechimini topish ehtimoli ortadi. Masalan, odatdagi vositalar mos tushmaydi. Kichik skript yozishga toʻgʻri kelishi ham mumkin.
Boshqa pentesterlar va xavfsizlik bilan shugʻullanadigan kompaniyalar nimalar yozayotganini oʻqish foydadan xoli boʻlmaydi. Mavzuga oid bir nechta Telegram kanallar:

Kraken — maqola, podkast va yangi boshlagan pentester uchun foydali havolalarga ega kanal. Vosita va atamalar sharhini nashr etadi, bozorni jonli efirda muhokama qiladi.
T.Hunter — amaldagi pentester bozor konteksti va sanoat uchun muhim keyslar haqidagi fikrlari bilan boʻlishadi. OSINT manbalarga foydali havolalar beradi. Yangi boshlayotgan pentesterga juda asqatadi.
AP Security — xuddi shu nomli kompaniya kanali. Ular yangi aniqlangan zaifliklar haqida maʼlumot, tadqiqot va qiziqarli materiallarga havolalar beradi. Kanal yangi boshlayotganlarga moʻljallanmagan, biroq darhol jiddiy kontekstga yetaklaydi.

 

Manba: Мыслить как преступник: разбираемся в тестировании безопасности

#CyberSecuruty
Mohirdev Telegram

Telegram kanalimizga obuna bo’lishni unutmang

Obuna bo'lish
Yandex Praktikum

Yandex Praktikum