Karevorinfo  Համացանց  199

«Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից». Սամվել Հայրապետյան

«Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից». Սամվել Հայրապետյան

«Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից». Սամվել Հայրապետյան
21:42 երկուշաբթի, 13 հունիսի, 2022 թ.
«Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից». Սամվել Հայրապետյան

Ծրագրավորող Սամվել Հայրապետյանը ֆեյսբուքյան իր էջում գրել է. «Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից, առանձնացրել եմ 3 թիրախ` ՎԵԲ կայք, հեռախոսային և դեսքթոփ հավելվածներ և տեսախցիկներ։
     Հարգելի լրատվականներ լուսավորելով այս նյութը դուք կնպաստեք, որպեսզի հակառակորդ երկրի հաքերները հնարավորինս քիչ հասնեն իրենց նպատակներին։ Հարգելի կարդացողնե՛ր, դուք նույնպես եթե սա կարդաք ու տարածեք, ապա դուք ևս կնպաստեք մեր հաջողությանը։
     ՎԵԲ կայքեր
     ՎԵԲ կայքերը կոտրելու մի քանի եղանակ կա, որոնք էս տարիների ընթացքում արդիականացվել են ու վերջին տարիներին հաճախ են օգտագործվում հակառակորդ երկրի հաքերների կողմից։ Նախ եկեք տարանջատենք ՎԵԲ կայքը կոտրելը DDOS/DOS հարձակումներից։ Որովհետև DDOS/DOSի ժամանակ ամենավատ բանը որ կարա լինի դա պարզապես ձեր կայքը սպասարկող սերվերը կանջատվի ու հատուկենտ դեպքերում նաև կջնջվի կայքի բեքափները։ Իսկ կայք կոտրել նշանակում է, որ հաքերը կամ մուտք է գործել CPANEL, կամ մուտք (access) է ստացել տվյալների բազայի աղյուսակներին (table) կամ էլ կարողացել է տարբեր հնարքներ օգտագործելով մուտք գործել կառավարման վահանակ (admin panel), ի դեպ, վերջին դեպքում ամենաշատ բանը, որ կարողանան անել, ապա դա կլինի կամ նյութեր ջնջելը կամ էլ նյութեր դնելը։
     Ինչպե՞ս պաշտպանել ՎԵԲ կայքը
     1. Համոզվեք, որ Ձեր ՎԵԲ կայքում առկա է SSL certificate, որը ապահովում է HTTPS միացում։ Դա ստուգելու ամենապարզ եղանակը փորձել ձեր կայք մուտք գործել գրելով https://hsrocket.com (սա մեր կայքի հասցեն է, հասցեի տեղը պետք է գրեք ձեր կայքի հասցեն, պահելով https://-ը) եթե գրի, որ միացումը պաշտպանված չէ և/կամ չթողնի մուտք գործել, ապա դուք չունեք SSL։ Երկրորդ տարբերակը ստուգելու` պարզապես կարող եք նայել բրաուզերի այն հատվածին, որտեղ գրում եք կայքի հասցեն մուտք գործելու համար, մուտք գործելուց հետո նայեք այդ հասցեի ձախ մասը` http/httpsի կողքը, եթե չկա կողպեքի նշան, ապա դուք չունեք SSL, ու դա բավականին կհեշտացնի հաքերի գործը։
     2. Համոզվեք, որ Ձեր կայքը համապատասխանում է 2022 թվականի անվտանգության նորմերի պահանջներին։ Համոզվելու համար պարզապես խնդրեք, որ Ձեր կայքը պատրաստող անհատը/ընկերությունը մոնիտորինգ անեն, կամ կարող եք դիմել այլ անհատի/ընկերության։
     3. Համոզվեք, որ Ձեր կայքում չկան խոցելի տեղեր։ Խոցելի տեղերը լինում են հիմնականում այն տեղերում որտեղ կա «գրելու հնարավորություն», այսինքն դաշտ/ինփութ, որտեղ կայքի այցելուն կարող է ինչ-որ բան գրել, օրինակ` որոնում, մուտք, գրանցում, հետադարձ կապ և այլն։ Ձեր կայքը պատրաստող անհատին/ընկերությանը խնդրեք, որպեսզի ստուգեն XSS և SQL injection մեթոդների դեմ։ Եթե առկա են, ապա վերացնեն այդ խոցելիությունները։ Կամ նորից ինչպես 2րդ կետում կարող եք դիմել անհատի/ընկերության որպեսզի իրենք դա անեն։
     4. Համոզվեք, որ ձեր կայքի ադմին պանելի մուտքը պարզապես /admin չէ, իսկ գաղտնաբառն ու մուտքանունը` admin / admin։
     5. Համոզվեք, որ դեպի CPanel տանող պորտը (port) բաց չէ, իսկ եթե բաց է ապա մուտքանունն ու գաղտնաբառը գործարանային (default) չեն։ Ինչի՞, որովհետև CPanel-ները ու նմանատիպ միջավայրերը օգտագործում են Password Generator-ներ, որոնք ոչ հաճախ բայց կրկնվում են, ու բրութ ֆորսին տիրապետող հաքերները հեշտությամբ մուտք են գործում։
     6. Եթե Ձեր կայքի սերվերային մասը պատրաստված է PHP ծրագրավորման լեզվով, ապա ուշադիր եղեք, որ ոչ մի տեղ չլինի նմանատիպ բան ID= և այլն, առհասարակ նման բաներ տեսնելիս կապվեք Ձեր կայքը պատրաստողների հետ, և ասեք որպեսզի դրանք հանեն և տեղերը պարզապես թվեր կամ տառեր գրեն, որոնք կթաքցնեն հարցման ID-ն։
     ___
     Հեռախոսային և դեսկտոփ հավելվածներ
     Այս բաժնում գրածս ավելի շատ վերաբերվում է Windows և Android օգտատերերին։ Բայց ամեն դեպքում ավելորդ չի լինի որպեսզի կարդան iOS և MacOS օգտագործողները։ Եթե դուք օգտագործում եք լինուքս, ապա այս մասը կարող եք բաց թողնել։
     Հեռախոսներն ու համակարգիչները ունեն նմանություն, դա օպերացիոն համակարգն ու միջավայրն է, ու հենց դրանց շնորհիվ է, որ մենք կարող ենք ինչ-որ բաներ անել։ Բնականաբար օպերացիոն համակարգերը տարեց տարի փորձում են իրենց անվտանգությունը էլ ավելի բարձրացնել պաշտպանելով համ իրենց ՕՀ-ը համ օգտատիրոջ անձնական տվյալները, սակայն ինչքան այդ ընկերություններն են զարգանում այդքան էլ հաքերային գործիքները։ Ներքևում ինչ գրեմ վերաբերվելու է և' համակարգիչներին և' սմարտֆոններին։
     1. Ցանկացած հավելված (application) ներբեռնելուց վստահ եղեք որ դուք օգտվում եք կամ պաշտոնական խանութից (մարկետ) կամ գոնե այնպիսի կայքից, որտեղ կան ռեալ մարդկանց ու կարևորը ամենաշատը 2 տարվա վաղեմություն ունեցող մեկնաբանություններ (քոմենթ)
     2. Եթե դուք ինչ-որ նկար եք ներբեռնում ու նկարը բացելուց չի բացվում սովորականի նման, օրինակ առաջարկում է ինչ-որ ծրագիր ներբեռնել, կամ փորձում է էդ նկարը ձեր սարքի մեջ ինչ-որ ֆայլ ներբեռնել։ Ապա դա ամենայն հավանականությամբ վիրուս է։ Բայց հիշեք, որ ցանկացած վիրուս կարող է աշխատել միայն այն run անելուց հետո։ Այսինքն այն փաստը, որ վիրուսը ներթափանցել է ձեր սարք, դա ամենևին էլ չի նշանակում, որ ձեր սարքը գտնվում է վիրուսի վերահսկողության տակ (որոշ բացառություններով) այնպես որ ինչպես ներբեռնել եք այնպես էլ ջնջեք։ Ջնջելուց հետո եթե զգաք սարքը աշխատում է ոչ այնպես ինչպես միշտ, ապա դուք բռնել եք վիրուս, որը գտնվում է որոշ բացառություններ կատեգորիայում, ու ամենաճիշտ տարբերակը էդ պահին կարևոր ֆայլերը արխիվացվել և սարքը ամբողջությամբ ֆորմատ անել։
     3. Բրաուզերները և հավելվածները ունեն սովորություն ըստ որի պահպանում են թե ձեր անձնական տվյալները ու թե վճարային համակարգերը։ Օրինակ եթե ինչ որ խանութից օնլայն առևտուր անեք, մի գուցե բրաուզերը ձեր քարտի տվյալները պահի հետագայում ավելի հեշտ գնում կատարելու համար։ Սակայն հաքերները հեշտությամբ կկարողանան դրանք գողանալ, էդ ամենը պահպանվում է բրաուզերի/հավելվածի քեշերում (caches), այնպես որ աշխատեք մշտապես ձեր բրաուզերների/հավելվածների քեշերը մաքրել։ Հույս մի դրեք SMS-ով հաստատելու վրա, որովհետև արդեն 4 տարի կլինի, որ տարբեր գործիքների շնորհիվ հնարավոր է «զոհի» բանկային քարտը դատարկել առանց SMS հաստատման։
     ՏԵՍԱԽՑԻԿՆԵՐ
     Տեսախցիկներ հիմնականում տեղադրված են տարբեր կառույցներում, տներում, խանութներում, փողոցում և այլն։ Հիշեք, որ տեսախցիկները աշխատում են ինտերնետով և ունեն ինչպես սեփական այփի այնպես էլ պորտ (port), որը գտնելը բավականին հեշտ աշխատանք է, կարելի է ասել վայրկյանների հարց։ Պորտի միջոցով կարողանում են հասնել մինչև կառավարման վահանակ (admin panel), որտեղ էլ կիրառելով տարբեր հնարքներ կարողանում են մուտք գործել այդ էջ ու հետևել տարբեր բաների, վերցնել անձնական ձայնագրություններ, անել շանտաժ և այլն։
     Տեսախցիկները պաշտպանելու 2 տարբերակ կա
     1. Նախ և առաջ պետք է թե տեսախցիկի ու թե ձեր ինտերնետի կառավարման վահանակների մուտքանուններն ու գաղտնաբառերը գործարանայինից փոխեք։ Գործարանայինները հիմնականում լինում են` admin / admin կամ admin 12345678, դրանք պետք է փոխեք դնեք ավելի բարդ բաներ։
     2. Տեսախցիկների մեջ աշխատեք պահել առավելագույնը 1 օրվա ձայնագրություն, իսկ այն տեղերը որտեղ կարող են լինել անձնական տվյալներ և այլն, ապա կամ մի պահեք ձայնագրություն, կամ օգտվեք տարբեր մեթոդներից` ձայնագրությունը ավտոմատ գա ձեր էլ. հասցեի վրա ու ջնջվի։ Սա արդեն կախված է թե ինչ տեսախցիկ է ձերը ու ինչ ծրագրով եք հետևում շարժին։
     Եկեք միասին թույլ չտանք, որ հակառակորդ երկրի հաքերները կարողանան մեզ հաղթել»։

«Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից». Սամվել Հայրապետյան

Ծրագրավորող Սամվել Հայրապետյանը ֆեյսբուքյան իր էջում գրել է. «Ինչպե՞ս պաշտպանվել սպասվող հաքերային հարձակումներից, առանձնացրել եմ 3 թիրախ` ՎԵԲ կայք, հեռախոսային և դեսքթոփ հավելվածներ և տեսախցիկներ։
     Հարգելի լրատվականներ լուսավորելով այս նյութը դուք կնպաստեք, որպեսզի հակառակորդ երկրի հաքերները հնարավորինս քիչ հասնեն իրենց նպատակներին։ Հարգելի կարդացողնե՛ր, դուք նույնպես եթե սա կարդաք ու տարածեք, ապա դուք ևս կնպաստեք մեր հաջողությանը։
     ՎԵԲ կայքեր
     ՎԵԲ կայքերը կոտրելու մի քանի եղանակ կա, որոնք էս տարիների ընթացքում արդիականացվել են ու վերջին տարիներին հաճախ են օգտագործվում հակառակորդ երկրի հաքերների կողմից։ Նախ եկեք տարանջատենք ՎԵԲ կայքը կոտրելը DDOS/DOS հարձակումներից։ Որովհետև DDOS/DOSի ժամանակ ամենավատ բանը որ կարա լինի դա պարզապես ձեր կայքը սպասարկող սերվերը կանջատվի ու հատուկենտ դեպքերում նաև կջնջվի կայքի բեքափները։ Իսկ կայք կոտրել նշանակում է, որ հաքերը կամ մուտք է գործել CPANEL, կամ մուտք (access) է ստացել տվյալների բազայի աղյուսակներին (table) կամ էլ կարողացել է տարբեր հնարքներ օգտագործելով մուտք գործել կառավարման վահանակ (admin panel), ի դեպ, վերջին դեպքում ամենաշատ բանը, որ կարողանան անել, ապա դա կլինի կամ նյութեր ջնջելը կամ էլ նյութեր դնելը։
     Ինչպե՞ս պաշտպանել ՎԵԲ կայքը
     1. Համոզվեք, որ Ձեր ՎԵԲ կայքում առկա է SSL certificate, որը ապահովում է HTTPS միացում։ Դա ստուգելու ամենապարզ եղանակը փորձել ձեր կայք մուտք գործել գրելով https://hsrocket.com (սա մեր կայքի հասցեն է, հասցեի տեղը պետք է գրեք ձեր կայքի հասցեն, պահելով https://-ը) եթե գրի, որ միացումը պաշտպանված չէ և/կամ չթողնի մուտք գործել, ապա դուք չունեք SSL։ Երկրորդ տարբերակը ստուգելու` պարզապես կարող եք նայել բրաուզերի այն հատվածին, որտեղ գրում եք կայքի հասցեն մուտք գործելու համար, մուտք գործելուց հետո նայեք այդ հասցեի ձախ մասը` http/httpsի կողքը, եթե չկա կողպեքի նշան, ապա դուք չունեք SSL, ու դա բավականին կհեշտացնի հաքերի գործը։
     2. Համոզվեք, որ Ձեր կայքը համապատասխանում է 2022 թվականի անվտանգության նորմերի պահանջներին։ Համոզվելու համար պարզապես խնդրեք, որ Ձեր կայքը պատրաստող անհատը/ընկերությունը մոնիտորինգ անեն, կամ կարող եք դիմել այլ անհատի/ընկերության։
     3. Համոզվեք, որ Ձեր կայքում չկան խոցելի տեղեր։ Խոցելի տեղերը լինում են հիմնականում այն տեղերում որտեղ կա «գրելու հնարավորություն», այսինքն դաշտ/ինփութ, որտեղ կայքի այցելուն կարող է ինչ-որ բան գրել, օրինակ` որոնում, մուտք, գրանցում, հետադարձ կապ և այլն։ Ձեր կայքը պատրաստող անհատին/ընկերությանը խնդրեք, որպեսզի ստուգեն XSS և SQL injection մեթոդների դեմ։ Եթե առկա են, ապա վերացնեն այդ խոցելիությունները։ Կամ նորից ինչպես 2րդ կետում կարող եք դիմել անհատի/ընկերության որպեսզի իրենք դա անեն։
     4. Համոզվեք, որ ձեր կայքի ադմին պանելի մուտքը պարզապես /admin չէ, իսկ գաղտնաբառն ու մուտքանունը` admin / admin։
     5. Համոզվեք, որ դեպի CPanel տանող պորտը (port) բաց չէ, իսկ եթե բաց է ապա մուտքանունն ու գաղտնաբառը գործարանային (default) չեն։ Ինչի՞, որովհետև CPanel-ները ու նմանատիպ միջավայրերը օգտագործում են Password Generator-ներ, որոնք ոչ հաճախ բայց կրկնվում են, ու բրութ ֆորսին տիրապետող հաքերները հեշտությամբ մուտք են գործում։
     6. Եթե Ձեր կայքի սերվերային մասը պատրաստված է PHP ծրագրավորման լեզվով, ապա ուշադիր եղեք, որ ոչ մի տեղ չլինի նմանատիպ բան ID= և այլն, առհասարակ նման բաներ տեսնելիս կապվեք Ձեր կայքը պատրաստողների հետ, և ասեք որպեսզի դրանք հանեն և տեղերը պարզապես թվեր կամ տառեր գրեն, որոնք կթաքցնեն հարցման ID-ն։
     ___
     Հեռախոսային և դեսկտոփ հավելվածներ
     Այս բաժնում գրածս ավելի շատ վերաբերվում է Windows և Android օգտատերերին։ Բայց ամեն դեպքում ավելորդ չի լինի որպեսզի կարդան iOS և MacOS օգտագործողները։ Եթե դուք օգտագործում եք լինուքս, ապա այս մասը կարող եք բաց թողնել։
     Հեռախոսներն ու համակարգիչները ունեն նմանություն, դա օպերացիոն համակարգն ու միջավայրն է, ու հենց դրանց շնորհիվ է, որ մենք կարող ենք ինչ-որ բաներ անել։ Բնականաբար օպերացիոն համակարգերը տարեց տարի փորձում են իրենց անվտանգությունը էլ ավելի բարձրացնել պաշտպանելով համ իրենց ՕՀ-ը համ օգտատիրոջ անձնական տվյալները, սակայն ինչքան այդ ընկերություններն են զարգանում այդքան էլ հաքերային գործիքները։ Ներքևում ինչ գրեմ վերաբերվելու է և' համակարգիչներին և' սմարտֆոններին։
     1. Ցանկացած հավելված (application) ներբեռնելուց վստահ եղեք որ դուք օգտվում եք կամ պաշտոնական խանութից (մարկետ) կամ գոնե այնպիսի կայքից, որտեղ կան ռեալ մարդկանց ու կարևորը ամենաշատը 2 տարվա վաղեմություն ունեցող մեկնաբանություններ (քոմենթ)
     2. Եթե դուք ինչ-որ նկար եք ներբեռնում ու նկարը բացելուց չի բացվում սովորականի նման, օրինակ առաջարկում է ինչ-որ ծրագիր ներբեռնել, կամ փորձում է էդ նկարը ձեր սարքի մեջ ինչ-որ ֆայլ ներբեռնել։ Ապա դա ամենայն հավանականությամբ վիրուս է։ Բայց հիշեք, որ ցանկացած վիրուս կարող է աշխատել միայն այն run անելուց հետո։ Այսինքն այն փաստը, որ վիրուսը ներթափանցել է ձեր սարք, դա ամենևին էլ չի նշանակում, որ ձեր սարքը գտնվում է վիրուսի վերահսկողության տակ (որոշ բացառություններով) այնպես որ ինչպես ներբեռնել եք այնպես էլ ջնջեք։ Ջնջելուց հետո եթե զգաք սարքը աշխատում է ոչ այնպես ինչպես միշտ, ապա դուք բռնել եք վիրուս, որը գտնվում է որոշ բացառություններ կատեգորիայում, ու ամենաճիշտ տարբերակը էդ պահին կարևոր ֆայլերը արխիվացվել և սարքը ամբողջությամբ ֆորմատ անել։
     3. Բրաուզերները և հավելվածները ունեն սովորություն ըստ որի պահպանում են թե ձեր անձնական տվյալները ու թե վճարային համակարգերը։ Օրինակ եթե ինչ որ խանութից օնլայն առևտուր անեք, մի գուցե բրաուզերը ձեր քարտի տվյալները պահի հետագայում ավելի հեշտ գնում կատարելու համար։ Սակայն հաքերները հեշտությամբ կկարողանան դրանք գողանալ, էդ ամենը պահպանվում է բրաուզերի/հավելվածի քեշերում (caches), այնպես որ աշխատեք մշտապես ձեր բրաուզերների/հավելվածների քեշերը մաքրել։ Հույս մի դրեք SMS-ով հաստատելու վրա, որովհետև արդեն 4 տարի կլինի, որ տարբեր գործիքների շնորհիվ հնարավոր է «զոհի» բանկային քարտը դատարկել առանց SMS հաստատման։
     ՏԵՍԱԽՑԻԿՆԵՐ
     Տեսախցիկներ հիմնականում տեղադրված են տարբեր կառույցներում, տներում, խանութներում, փողոցում և այլն։ Հիշեք, որ տեսախցիկները աշխատում են ինտերնետով և ունեն ինչպես սեփական այփի այնպես էլ պորտ (port), որը գտնելը բավականին հեշտ աշխատանք է, կարելի է ասել վայրկյանների հարց։ Պորտի միջոցով կարողանում են հասնել մինչև կառավարման վահանակ (admin panel), որտեղ էլ կիրառելով տարբեր հնարքներ կարողանում են մուտք գործել այդ էջ ու հետևել տարբեր բաների, վերցնել անձնական ձայնագրություններ, անել շանտաժ և այլն։
     Տեսախցիկները պաշտպանելու 2 տարբերակ կա
     1. Նախ և առաջ պետք է թե տեսախցիկի ու թե ձեր ինտերնետի կառավարման վահանակների մուտքանուններն ու գաղտնաբառերը գործարանայինից փոխեք։ Գործարանայինները հիմնականում լինում են` admin / admin կամ admin 12345678, դրանք պետք է փոխեք դնեք ավելի բարդ բաներ։
     2. Տեսախցիկների մեջ աշխատեք պահել առավելագույնը 1 օրվա ձայնագրություն, իսկ այն տեղերը որտեղ կարող են լինել անձնական տվյալներ և այլն, ապա կամ մի պահեք ձայնագրություն, կամ օգտվեք տարբեր մեթոդներից` ձայնագրությունը ավտոմատ գա ձեր էլ. հասցեի վրա ու ջնջվի։ Սա արդեն կախված է թե ինչ տեսախցիկ է ձերը ու ինչ ծրագրով եք հետևում շարժին։
     Եկեք միասին թույլ չտանք, որ հակառակորդ երկրի հաքերները կարողանան մեզ հաղթել»։