XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ
QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Məqalələr > İnternet istifadəçiləri üçün təhlükəsizlik qaydaları

9 Mart 2016

İnformasiya təhlükəsizliyi - informasiya və ona xidmət edən infrastrukturun sahibi və ya istifadəçilərinə ziyan vurmağa səbəb olan təbii və ya süni xarakterli, təsadüfi və ya qəsdli təsirlərdən informasiya və ona xidmət edən infrastrukturun mühafizəli olmasıdır. İnformasiyanın mühafizəsi – informasiya təhlükəsizliyinin təmin olunmasına yönəlmiş tədbirlər kompleksidir.

Məqalədə informasiya təhlükəsizliyi zəncirinin ən zəif halqası olan insan-istifadəçi faktoru və ona yönəlmiş təhdidlərdən ən çox yayılan 4 növü olan: balıq ovu hücumu, güc tətbiqi hücumu, zərərverici yoluxdurma, sosial mühəndislik hücumu barədə məlumat verilərək, onlardan qorunmaq üçün hansı qaydalara riayət etmənin vacib olduğu izah ediləcək.

Təhlükələr
Təhlükələri informasiya konfidensiallığının və ya bütövlüyünün pozulmasına yönələn hücumları əsasən aşağıdakı istiqamətlərə ayırmaq olar:
• Fişinq hücumları (phishing);
• Güc tətbiqi hücumları (brute-forcing)
• Zərərverici yoluxdurma (Malware injection)
• Sosial Mühəndislik (Social Engineering)


BALIQ OVU VƏ YA FİŞİNQ HÜCUMLARI (PHISHING)

Fişinq ("Phishing") – ingilis dilindən tərcümədə "balıq ovu" deməkdir və qlobal şəbəkədə balıq ovunu xatırladan fırıldaqçılığın bir növüdür. Kiberdələduzluğun xüsusi növü olan fişinqdə istifadəçiləri aldatma yolu ilə adətən şəxsi (məxfi) xarakterli fərdi məlumatları təqdim etməyə məcbur etməyə yönəlir. Belə ki, fırıldaqçı (fişer) sizi ilkin baxışda əsli ilə eynilik təşkil edən amma saxta(fake) olan hər hansı internet resursuna yönəltməklə sizin həmin səhifədəki bütün əməliyyatlarınızı izləməyə nail olur. Bu məlumatlar sizin adınız, soyadınız, doğum tarixiniz, id nömrəniz, e-mail ünvanınız, şifrəniz, məxfi sualınız/cavabınız, bank hesabınız, ip ünvanınız, lokasiyanız və sair bu kimi məlumatlar ola bilər.

Fişinqdən qorunmaq üçün aşağıdakı qaydalara riayət etməyiniz vacibdir:
1. Sizi hər hansı saytda, sosial şəbəkədə və ya e-mail hesabında qeydiyyat, istifadəçi adı/şifrəsinin təkrar girişi və ya dəyişdirilməsinə, bank kartı ilə alqı-satqıya, yönəldən elektron məktublardan şübhələnin;
2. Yuxarıda göstərilmiş mətn ilə şübhəli məktublar aldıqda mütləq məktubu göndərən tərəfin, e-mail ünvanının saxta olub olmamasını o cümlədən e-mailin göndərildiyi ip-nin həqiqətən də göndərilən quruma/təşkilata aid olub olmamasını yoxlamaq vacibdir;
3. Yuxarıda sadalanan məlumatları yoxlamaq və ya dəqiqləşdirmək mümkün olmadığı təqdirdə yönləndirmənin aparıldığı keçidin saxta olub olmamasını yoxlamağınız tələb olunur.
4. Bu yoxlamaları özünüz araşdırmaq və ya müəyyənləşdirmək iqtidarında deyilsinizsə maildəki keçidə (link) və ya bağlamaya (attachment) keçid etmədən dərhal aldığınız mail barədə müvafiq struktura – Xüsusi Dövlət Mühafizə Xidməti, Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyinin Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzinə məlumat verin. (012-535-28-28)

 

GÜC TƏTBİQİ HÜCUMLARI (BRUTE-FORCING)

Brute-Force əməliyatı nədir? Brut-Force əməliyyatı sizin hər hansı hesabınıza, mailinizə edilən şifrələr toplusunun yoxlanması əməliyyatıdır. Güc tətbiqi əməliyyatı üçün xüsusi programlarla sizin mail “user”-istifadəçi adınızdan istifadə edilməklə ən çox bilinən şifrələr toplusu ilə və ya sizə aid hesab olunan məlumatlar toplusu ilə (telefon nömrələri, ad, soyad, doğüm tarixi, yaşadığı yer, maşın nömrəsi, markası, övladınızın adı, telefon markası, ləqəbiniz və s.) sizin hesabınızın şifrələri bir-bir yoxlanılaraq sizin hesabınızın şifrəsi tapılır. Bu proses texnoloji inkişaf sayəsində çox sürətlə və avtomatikləşdirilmiş proqram təminatı vasitəsiylə şəxs haqqında əldə edilmiş bütün məlumatların mümkün bütün variantlarının faktorialı çıxarılaraq edilir.

Günümüzdə sosial şəbəkələrin, oyunların və sair xidmətlərin “cross-register” - bir qeydiyyat ilə başqa xidmətlərə qoşulma imkanı və ya hesablar arası əlaqənin yaradılması şəxsi hesabın təhlükəsizliyini – ən azından şifrələrinizin təhlükəsizliyinin vacibliyini bir daha önə çıxardır. Nəzərə alsaq ki, texnoloji inkişaf “Brut-Force” əməliyyatın da inkişafına təkan verərək brut-force prosesinin dəfələrlə sürətlənməsinə səbəb olub, o zaman bizdə şifrələrimizi texnoloji inkişafın sürətinə uyğun olaraq həm mütamadi dəyişməli həmdə qarışıq simvollardan ibarət olmasına fikir verərək şifrələrimizin uzunluğunu artırmalıyıq.

Brute-Force hücumundan qorunmağın birinci yolu şifrə təhlükəsizliyidir!

Şifrə təhlükəsizliyi üçün diqqət edilməsi vacib qaydalar: (daha ətraflı keçiddə)
1. Hər bir yerdə, hər bir sahədə şifrələrinizin sistem tərəfindən verilən “default” şifrələr olaraq qalmamasına diqqət edin! (Serverlərdə, Saytlarda, Maillərdə, Program təminatlarında, İnternetə bağlandığınız Modemlərdə, Routerlərdə, Access-Pointlərdə, Wi-Fi, DVR və ya kamerlarda, Kompüterlərdə, Telefonlarda, Smart TV-lərdə, və s.)
2. Şifrələrinizin aşağıda göstərilən ən təhlükəli və ən çox rast gəlinən şifrələr silsiləsindəki şifrələrə bənzər olmamasına diqqət edin! Klaviaturada düzülən ardıcıl hərf, rəqəm, simvollardan istifadə etməyin!
3. Şifrələrinizdə yuxarıda sadalanan və sadalanmayan, şəxsi məlumatlar istifadə etməyin! (telefon nömrələri, ad, soyad, doğüm tarixi, yaşadığı yer, maşın nömrəsi, markası, övladınızın adı, telefon markası, ləqəbiniz və s.)
4. Müxtəlif hesablarda eyni şifrələrdən istifadə etməyin! (Bir çox insanlar müxtəlif maillərində və ya hesablarında eyni şifrələri istifadə edirlər. Daha kritik olan isə bir çox web-studialar və ya web-masterlər yığdıqları bütün saytlarda eyni “username” və “şifrəni”i istifadə etməklə yaratdığı bütün saytların təhlükəsizliyini, yaratmış olduğu resurslar zəncirinin zəif haqlasına bağlamış olurlar. Bu bizim bir çox analizlərdə rast gəldiyimiz yolverilməz xətadır!)
5. Müxtəlif hesablarda müxtəlif şifrələrin istifadəsi zamanı və ya eyni sistemdə müxtəlif istifadəçilərin (user) şifrələri üçün eyni şifrə Algoritmindən istifadə etməyin! (Misal: əhmədface, əhmədgmail, əhmədbaza və ya əhməd123, mamed123, sakit123...)
6. Şifrələrinizimütamadi olaraq dəyişin! Normal dəyişilmə müddəti 3 ay.
7. Hər hansı bir internet resursunu bir yerdən başqa yerə keçirərkən mütləq şifrələrini dəyişin və əvvəlki serverdən “backup”ınızı silin!
8. Şifrələrinizi heç bir zaman kağıza yazıb kompüterinizin ekranına yapıştırmayın!
9. Şifrələrinizi heç bir zaman hər hansı .txt, .word, .xls və sair fayllara yazın kompüterinizdə saxlamayın!
10. Şifrələrinizi heç bir zaman browser-lərinizinkeşində saxlamayın! (avtomatik browser yaddaşında)
11. Heç bir zaman şifrələrinizi anonim proxy-lərdə istifadə etməyin! Anonim proxy-lərdən istifadə zamanı o, sizin “username” və “şifrə”lərinizi həmişə gizli formada öz məlumat bazasında saxlayır.
12. “Doubleauthentication” (ikiqat identifikasiya) olan sistemlərdən istifadəyə üstünlük verin! Məs.: Şifrə + sms xəbərdarlıq xidmətindən istifadə edə bilərsiniz.

 

ZƏRƏRVERİCİ YOLUXDURMA (MALWARE INJECTION)

Zərərverici yoluxdurma metodu - hədəf şəxsə proqram, şəkil, musiqi, kino, hansısa sənəd adıyla e-mail, yükləmə saytları, yükləmə keçidləri (link) vasitəsiylə kompüterinə zərərvericinin (malware) yükləməsinə nail olmaqdır. Zərərvericilər (virus, troyan) növlərinə görə müxtəlif olmasına baxmayaraq əsas məqsədləri informasiya oğurluğu olaraq qalmaqdadır. Zərərvericilərin ən təhlükəli cəhəti yükləndikdən sonra özünü gizlətmək üçün özünü silərək başqa adla kompüterinizin yaddaşında saxlaması və bütün əməliyyatları arxa fonda gözə görsənmədən yerinə yetirməsidir. Kompüterinzə zərərvericinin yoluxması kompüterinizin 3-cü şəxslər tərəfindən idarə edilməsi və kompüterinizdəki məlumatlara 3-cü şəxslərin çıxışının mümkünlüyüdür.

Zərərvericilərdən qorunma üçün diqqət edilməsi vacib qaydalar:
1. Kompüterinizdə daima yenilənən Antivirus proqramının olması vacibdir;
2. Tanımadığınız və ya şübhəli e-mail ünvanlardan sizə bağlama (attachment) ilə gələn məktubların açılması, bağlamadakı faylın, hətta bu fayllar gündəlik istifadə də bilinən .doc, .xls, .jpg uzantılı fayllar olsa belə endirilməsi yolverilməzdir;
3. Naməlum mənbələrdən hər hansı bir proqram, şəkil, musiqi, kino və sair bu kimi informasiya növlərinin endirilməsi yolverilməzdir;
4. Sizə göndərilən faylların uzantılarında bu - exe, bat, com, scr, pif – kimi uzantılarla qarşılaşdınızsa o faylları açmaqdan qətiyyətlə imtina edin;
5. Şübhələndiyiniz faylları ilkin yoxlama üçün https://www.virustotal.com/ saytı vasitəsiylə yoxlamağınız və ya daha dəqiq analiz üçün isə həmin faylları Xüsusi Rabitə və İnformasiya Təhlükəsizliyi Dövlət Agentliyi, Kompüter İnsidentlərinə Qarşı Mübarizə Mərkəzinin Labaratoriyasına göndərməyiniz vacibdir. (malware_lab@cert.gov.az)
6. Kompüterinizdə - fayllardakı dəyişiklik, siçanın tərpənməsi, yazı yazarkən əlavə şriftlərin yazılması, kompüterinizin ixtiyari sönməsi, tapşırıqlar çubuğunda əlavə tapşırıqların icrası və s. bu kimi anomaliyalar hiss etdiyinizdə bu barədə dərhal kompüterin yoxlanılması üçün, lazım gələrsə sıfırlanması(format) üçün müvafiq struktur bölməyə xəbər verin.

 

SOSİAL MÜHƏNDİSLİK (SOCIAL ENGINEERING)

Sosial mühəndislik lazımi məlumatın əldə edilməsi üçün yalandan və manipulyasidan istifadə etməkdir. Bu intruziyanın qeyri – texniki növüdür və əsasən insanların qarşılıqlı münasibətlərinə əsaslanaraq insanları normal müdafiə prosedurlarını məhv etməyə sürükləyir. Sosial mühəndislik insanların malik olduqları məlumatı lazımınca dəyərləndirə bilməmələri və onu qorumaq haqqında düşünməmələri faktına əsaslanır. Antivirus kompüter müdafiəsində sosial mühəndislik xakerlərin insanların təbii inam tendensiyasından ağıllı manipulyasiyasına əsaslanır. Xakerlərin məqsədi sistemdə olan hər hansı bir vacib məlumata çatmaq üçün məlumat sahibindən həmin sistemə daxil ola biləcəkləri informasiyanın sızdırılmasına nail olmaqdır. Sosial mühəndisliyin tipik nümunələrindən biri saxta profillər, sosial tanışlıqlar, virtual dostluqlar və sair vasitələrlə sizin etibarınızı qazanıb, etibarınızdan sui-istifadə etməklə sizi yuxarıda sadalanan vasitələrin biri ilə yoluxdurma və ya hər hansı məlumatı birbaşa sizdən almaqdır.

Ən çox istifadə olunan sosial mühəndislik növləri:
* Zərərverən şəxs və ya sizin etibarınızı qazanmış virtual-dostunuz sosial mühəndisliyin köməyi ilə sizə aid məlumatları toplayaraq brute-force hücum növündə və ya məxfi sualınızın tapılmasında istifadə edə və sizin hesablarınıza girə bilər.
* Zərərverən şəxs və ya sizin etibarınızı qazanmış virtual-dostunuz sizi populyarlıq qazanmış saytlarda qeydiyyatdan keçməyə dəvət edə bilər. Belə hallarda xüsusilə diqqətli olun ki, zərərverən şəxs həmin saytın bir hərfini belə dəyişərək sizə saxta səhifə təqdim edə bilər. Qeyd edək ki, bunu çoxları diqqətdən qaçırır. (məs: www.facebook.com saytı əvəzinə sizi özünün idarə etdiyi www.faceb00k.com və ya www.facelook.com saytına yönəldərək sizin istifadəçi adı və şifrənizi oğurlaya bilər.)
* Zərərverən şəxs və ya sizin etibarınızı qazanmış virtual-dostunuz sizə sizin maraq dairənizə uyğun mövzuyla hər hansı məlumatı, şəkli, musiqini, video və s. sizə yoluxdurulmuş fayl kimi göndərərək həmin faylı açmanızı və baxmağınıza təkid edə bilər. Siz isə etibar etdiyiniz virtual-dostunuzdan aldığınız fayla diqqət etmədən açıb kompüterinizə zərərvericini yükləyərək Sosial Mühəndisliyin qurbanına çevrilə bilərsiniz.

 

Abstract

Information security tips for internet users.

We will provide main security tips for the internet users which are the weakest ring of the information security chain. We will provide information about 4 main threat types: phishing, brute-forcing, malware injection and social engineering - which are well known and widely spread nowadays. Beside we will provide security tips that internet users need to take serious and be attentive to protect themselves from mentioned threats