Programmalıq támiynat qurılması hám evolyuciyası / 20_lekciya_PTQE
.pdf20-lekciya. Programmalıq támiynattıń qorǵalıwı.
Jobası:
1.Programmalıq támiynattıń qáwipsizligi (Software Security) túsinigi hám CIA úshligi.
2.Keń tarqalǵan qáwipler: OWASP Top 10 hám basqalar.
3.Qáwipsizlikti támiyinlew mexanizmleri: Autentifikaciya, Avtorizaciya, Kriptografiya.
4.Secure SDLC (SSDLC) – Islep shıǵıwdıń qáwipsiz cikli.
Programmalıq támiynat qáwipsizligi hám qorǵalıw tiykarları
Programmalıq támiynattıń qáwipsizligi (Software Security) – bul programmanıń zıyanlı hújimlerge shıdamlılıǵın támiyinlew, maǵlıwmatlardıń jasırınlıǵın hám pútinligin saqlaw, sonday-aq sistemanıń úziliksiz islewin kepillew ushın qollanılatuǵın texnikalıq hám shólkemlestiriw ilajlarınıń jıynaǵı. Házirgi kúnde kiberhújimlerdiń 80-90% i tikkeley programmalıq támiynattaǵı (qosımshadaǵı) qáteler hám hálsizlikler arqalı ámelge asırılmaqta. Sol sebepli, qáwipsizlik tek "qáwipsizlik injenerleriniń" jumısı emes, al hárbir programmisttiń minneti bolıp tabıladı. Programmalıq támiynat qáwipsizliginiń fundamenti – bul "CIA úshligi" (Confidentiality, Integrity, Availability).
1.Jasırınlıq yaǵnıy qupıyalıq (Confidentiality) – Maǵlıwmatlar tek ruqsat etilgen adamlarǵa ashıq bolıwı kerek. Mısalı, siziń bank kartanızdıń parolin bank xızmetkeri de kóre almawı tiyis.
2.Pútinlik (Integrity) – Maǵlıwmatlar tek ruqsat etilgen jollar menen ózgertiliwi kerek. Xaker siziń esabıńızdaǵı aqshanı ózgerte almawı yamasa maǵlıwmatlar bazasın buza almawı kerek.
3.Qoljetimlilik (Availability) – Sistema kerek waqıtta islep turıwı kerek. DDoS hújimleri sistemanıń jumısın toqtatıp, onı qoljetimsiz etiwi múmkin.
Qáwipsizlikti támiyinlewde "Qorǵanıwshı tereńlik" (Defense in Depth) principi qollanıladı. Yaǵnıy, qorǵanıw tek bir qabatta emes, al bir neshe qabatta (tarmaq, server, qosımsha, maǵlıwmatlar) bolıwı kerek. Eger xaker bir qabattı buzsa, ekinshi qabat onı toqtatıwı tiyis. Mısalı, firewall buzılsa, qosımshanıń ishki tekseriwi iske túsedi.
Keń tarqalǵan qáwipler: OWASP Top 10
Veb-qosımshalar hám programmalıq támiynatlar ushın eń kóp tarqalǵan qáwiplerdiń dizimi "OWASP" (Open Web Application Security Project) shólkemi tárepinen jariyalanıp turadı. Programmistler usı dizimdegi hálsizliklerdi (vulnerabilities) biliwi hám olarǵa qarsı tura alıwı shárt.
1."Injection" (Inekciya). Bul hújimde xaker programmaǵa zıyanlı kod jiberedi (mısalı, SQL Injection). Eger programma paydalanıwshıdan kelgen maǵlıwmatlardı teksermey tikkeley bazaǵa jiberse, xaker bazanı tolıq basqarıp ketiwi múmkin. Sheshimi – kirisiw maǵlıwmatların tekseriw (Validation) hám parametrlengen sorawlardı qollanıw.
2."Broken Authentication" (Buzılǵan autentifikaciya). Login hám parol menen islesiwdegi qáteler. Mısalı, parollardı ashıq saqlaw, sessiyalardı durıs basqarmaw. Xaker basqa adamnıń akkauntına kirip ketiwi múmkin. Sheshimi – kúshli xeshlew (hashing), kóp faktorlı autentifikaciya (MFA).
3."Sensitive Data Exposure" (Sezimtal maǵlıwmatlardıń ashılıp qalıwı). Shifrlanbaǵan maǵlıwmatlardı saqlaw yamasa jiberiw. Mısalı, HTTP arqalı kredit karta nomerin jiberiw. Sheshimi – HTTPS (TLS) qollanıw hám maǵlıwmatlardı shifrlap saqlaw.
4."XML External Entities (XXE)" hám "Cross-Site Scripting (XSS)". XSS hújiminde xaker saytqa JavaScript kodın "inekciya" etedi, bul kod basqa paydalanıwshılardıń brauzerinde orınlanıp, olardıń maǵlıwmatların urlaydı. Sheshimi – shıǵarılatuǵın maǵlıwmatlardı "ekranlaw" (Escaping).
5."Broken Access Control" (Buzılǵan kiriw basqarıwı). Ápiwayı paydalanıwshınıń administrator betine kire alıwı. Sheshimi – "Eń az privilegiyalar"
(Least Privilege) principin qollanıw.
6."Security Misconfiguration" (Qáwipsizliktiń qáte sazlanıwı). Standart parollardı ózgertpew, serverdiń qáte xabarların (stack trace) paydalanıwshıǵa kórsetiw. Bul xakerge sistema haqqında kóp maǵlıwmat beredi.
Qorǵanıw mexanizmleri: AAA hám Kriptografiya
Qáwipsizliktiń "Altın standartı" – bul AAA (Authentication, Authorization, Accounting) modeli.
1. "Autentifikaciya" (Authentication) – "Siz kimsiz?" degen sorawǵa juwap beriw. Bul login/parol, barmaq izi yamasa SMS-kod arqalı ámelge asırıladı. Zamanagóy sistemalarda OAuth hám OpenID Connect protokolları qollanıladı
(Google yamasa Facebook arqalı kiriw). Parollardı saqlawda "Salt" (Duz) hám "Hash" (bcrypt, Argon2) qollanılıwı shárt.
2."Avtorizaciya" (Authorization) – "Sizge ne islewge ruqsat etilgen?" degen sorawǵa juwap beriw. Mısalı, siz saytqa kirdińiz (autentifikaciya), biraq sizge admin panelge kiriwge ruqsat joq. Avtorizaciya ushın RBAC (Role-Based Access Control) yamasa ABAC (Attribute-Based Access Control) modelleri qollanıladı.
3."Accounting" (Esapqa alıw / Audit). Kim, qashan, neni isledi? Barlıq háreketler log (jurnal) fayllarına jazılıp barılıwı kerek. Bul kiberhújim bolǵan jaǵdayda onıń sebebin tabıwǵa (Forensics) járdem beredi.
"Kriptografiya" – qáwipsizliktiń eń kúshli quralı. Ol eki túrge bólinedi: "Simmetriyalı" (bir gilt penen jabıladı hám ashıladı – AES) hám "Asimmetriyalı" (eki gilt: Public hám Private – RSA, ECC). Internet (HTTPS) asimmetriyalı shifrlawǵa tiykarlanǵan. Programmistler "óz shifrların oylap tabıwǵa" urınbawı kerek, sebebi bul matematikalıq jaqtan qáte bolıwı itimal. Sanaat standartı bolǵan tayın algoritmlerdi hám kitapxanalardı qollanıw kerek.
Secure SDLC (SSDLC)
Qáwipsizlikti programmanıń sońına "jamaw" (patch) sıyaqlı qosıw múmkin emes. Ol "Secure SDLC" (SSDLC) koncepciyası arqalı ómirlik cikldiń hár bir basqıshına sińdiriliwi kerek.
1.Talaplar basqıshı: Qáwipsizlik talapların (Risk analysis) anıqlaw. "Kiberqáwiplerdi modellestiriw" (Threat Modeling) – sistemaǵa kim, qalay hújim etiwi múmkin ekenin aldın ala oylaw.
2.Proektlestiriw: "Secure by Design" (Jobadan qáwipsiz) principin qollanıw. Qáwipsiz arxitekturanı tańlaw.
3.Kodlaw: "Secure Coding" (Qáwipsiz kodlaw) standartların qollanıw. Statikalıq analizatorlar (SAST) arqalı kodtı tekseriw. Kodqa sholıw (Code Review) waqtında qáwipsizlikke itibar beriw.
4.Testlew: "Penetration Testing" (Hújim sınawları) yamasa "Ethical Hacking" (Etikalıq xakerlik) arqalı sistemanı buzıwǵa háreket etiw. Dinamikalıq analizatorlar (DAST) qollanıw.
5.Ekspluataciya: Jańalanıwlardı (Updates) waqtında ornatıw, loglardı baqlaw hám insidentlerge reakciya bildiriw (Incident Response).
Qáwipsizlik – bul nátiyje emes, bul process. "100% qáwipsiz sistema joq". Biraq biz sistemanı buzıwdıń aldın alıwımız zárúr. Programmalıq támiynattıń qorǵalıwı – bul paydalanıwshınıń isenimi hám kompaniyanıń abıroyı.
BAQLAW SORAWLARÍ:
1.CIA úshligi (Confidentiality, Integrity, Availability) programmalıq qáwipsizlikte qanday mánis bildiredi?
2."Injection" (Inekciya) hújiminiń islew principi qanday hám onnan qalay qorǵanıwǵa boladı?
3.Autentifikaciya hám Avtorizaciya túsinikleriniń ayırmashılıǵı nede?
4."Secure by Design" principi qáwipsizliktiń SDLC-niń qaysı basqıshınan baslanıwın talap etedi?
5.Kriptografiyada simmetriyalı hám asimmetriyalı shifrlawdıń tiykarǵı ayırmashılıǵı qanday?