“Tizimdagi xavfli zaiflik sabab serverga to‘g‘ridan to‘g‘ri buzib kirishgan bo‘lishi mumkin” – darknetga shaxsiy ma’lumotlar qanday chiqib ketadi?

Reddit va ayrim ijtimoiy tarmoqlarda O‘zbekiston fuqarolarining shaxsiy ma’lumotlari darknetga chiqib ketganiga oid tarqalgan skrinshotlarda hakerlar tizimni qanday buzgani haqida yozib qoldirishgan. Kiberxavfsizlik sohasida ishlovchi Nodir Avliyoqulovning tushuntirishicha, hukumatga ulangan raqamli tizimdagi eng xavfli React2Shell nomli zaiflik turi hakerlarga to‘g‘ridan to‘g‘ri serverga kirish va ma’lumotlarni olib chiqib ketish imkoniyatini bergan bo‘lishi mumkin.

O‘zbekiston fuqarolariga tegishli shaxsiy ma’lumotlar darknetda sizdirilayotgani va ularning soni 15 million nafar bo‘lishi mumkinligi aytilmoqda.

3 fevral kuni Reddit platformasi va ayrim ijtimoiy tarmoqlarda O‘zbekiston davlat organlarining axborot tizimlariga tegishli ma’lumotlar joylashtirilgani aytilayotgan bir nechta resurslarga, jumladan, darknetdagi saytlarga havolalar e’lon qilindi.

Kiberxavfsizlik markazi bu bo‘yicha o‘rganishlar olib borilayotgani va qo‘shimcha ma’lumotlar taqdim qilinishini ma’lum qildi. Statistika agentligi esa holatni aholi va qishloq xo‘jaligini ro‘yxatga olish bilan bog‘layapti.

Xo‘sh, bunday ma’lumotlar darknetda sizdirilishi nimani anglatadi va bu qanchalik xavfli? Oldinda odamlarni nimalar kutyapti? Aynan shu savollar atrofida mavzuni muhokama qilish uchun Kun.uz xususiy kiberxavfsizlik tashkiloti rahbari Nodir Avliyoqulov bilan suhbatlashdi. Quyida intervyuning asosiy qismlari keltiriladi.

– Reddit platformasida ayrim havolalar e’lon qilingani, skrinshotlar chiqqani, ya’ni O‘zbekiston fuqarolariga oid shaxsiy ma’lumotlar sizdirilayotgani aytilmoqda. Darknetda biror insonning shaxsiy ma’lumotlari sizdirilishi nimani anglatadi va o‘zi darknet qanday joy?

– Xo‘p, savol uchun rahmat. O‘qiyapmiz, oxirgi kunlarda shu ma’lumotlar juda ham ko‘p aylanyapti. Lekin hali tasdiqlangani yo‘q. Bu haqda holat o‘rganilayotgani yuzasidan Kiberxavfsizlik markazi rasmiy munosabat bildirdi.

Xo‘p, Darknet haqida. Darknet nima? Darknet o‘zi bu ham internet. Lekin ma’lum bir toifa odamlar foydalanadigan internet hisoblanadi. Sodda qilib tushuntiradigan bo‘lsak, universitetda umumiy hamma foydalanadigan Wi-Fi bor va alohida o‘qituvchi-professorlar uchun foydalaniladigan Wi-Fi bor, deylik. O‘sha biz aytayotgan darknet – o‘sha professor-o‘qituvchilar foydalanadigan alohida, yopiq internetdir. U yerda asosan firibgarlar yoki hakerlar tomonidan buzilgan, o‘g‘irlangan ma’lumotlar sizdiriladi, tarqatiladi. Ya’ni davlatlarga yoki ma’lum bir shaxslarga tahdid qilish maqsadida ularning tizimlarini buzib kirib, ulardagi ma’lumotlarni o‘g‘irlab, darknetga sizdirishadi va u orqali ma’lumotlarni o‘chirib qo‘yish uchun pul talab qilishlari mumkin.

– Hozir endi shaxsiy ma’lumotlar haqida gapiryapmiz-ku, bu demak, faqat pasport ma’lumotlarimi yo boshqa ko‘rinishdagi ma’lumotlar ham bo‘ladimi ichida? Va ayni holatda qanday ma’lumotlar sizdirilgan, sizningcha?

– Ma’lumotlarni, aytaylik, uch turga bo‘lamiz. Birinchisi, ochiq ma’lumotlar, ya’ni odamning ism-familiyasi va telefon raqami bo‘lishi mumkin. Agar bu ham juda ko‘p miqdorda bo‘ladigan bo‘lsa, maxfiy ma’lumotga kirib ketishi mumkin. Va bankka oid, bank siriga oid ma’lumotlar: pasport, plastik kartamizning ma’lumotlari, bank hisob raqamlarimiz bo‘lishi mumkin. Va uchinchisi — shaxsiy ma’lumotlar. Bu yerga asosan fuqarolarimizning pasport seriyalari, yashash manzillari, PINFL manzillari kiritilishi mumkin.

– Hozir endi 15 million nafar fuqaroning ma’lumotlari sizdirilayotgani aytilyapti. To‘g‘ri, hali bu ma’lumot tasdiqlangani yo‘q. Umuman o‘zi bu vaziyat qanchalik xavfli?

– Tarqalgan skrinshotlar, linklarga qaraydigan bo‘lsak, u yerda fuqarolarning ism-familiyasi, PINFL raqamlari ko‘rsatilgan, lekin aytganimdek, hali bu narsalar tasdiqlangani yo‘q, aktual ma’lumotmi yoki eski, [buni bilmaymiz]. Xo‘p, buning qanday zararlari bo‘lishi mumkin? Mana barchamizga juda ham yaxshi ma’lum, firibgarlar asosan fuqarolarimizning nomiga har xil kredit rasmiylashtirish yoki har xil fishing linklar, silkalar yuborish orqali ularning hisob raqamlaridagi, karta ma’lumotlarini, kartalaridan pullarini yechib ketish holatlari juda ham ko‘p tarqalgan. Agar mana shunaqa ma’lumotlar firibgarlarning qo‘liga tushadigan bo‘lsa, ular asosan moliyaviy firibgarliklar, fuqarolarimizning kartalaridan pullarini yechish uchun bundan foydalanishi mumkin. Shuning uchun iloji boricha begona telefon raqamlarida har xil SMS kodlarni yoki ma’lumotlarni aytmasliklari tavsiya qilinadi.

– Davlat organlarining axborot tizimlariga tegishli bo‘lgan ma’lumotlar chiqqan, ya’ni aynan davlat organlariga tegishli bo‘lgan serverdan bu ma’lumotlar, datalar chiqib ketib qolgan bo‘lishi mumkin. Bu bilan biz tizim yetarlicha himoyalanmagan degan xulosaga kelishimiz to‘g‘rimi? Ya’ni bu shuni anglatadimi?

– O‘zi hech qaysi tashkilot, xususiy bo‘ladimi yoki davlat tashkiloti bo‘ladimi, yoki hech bir davlatda mustahkam tizimning o‘zi yo‘q. Hamma tizimda baribir zaiflik, kamchilik bo‘ladi. Faqatgina buni biz doimiy ravishda tahlil qilib, yangi aniqlangan zaiflik turlari bo‘lsa, ularni yangilab borsak, o‘shanda har xil xavflar, kiberhujumlarning oldini olgan bo‘lamiz. Va bu aytganimdek, aynan davlat tizimida kamchiliklar yetarli, qolgan joyda kamchilik yo‘q degani emas. Buning oldini olish uchun har xil xavfsizlik tizimlari bor: firewall, web application firewall – o‘sha tizimlarni o‘rnatish mumkin.

– Nodir aka, o‘zi mana shu holatning o‘zini ham tahlil qilib bera olasizmi? Ya’ni davlat organlariga tegishli axborot tizimining o‘zidan uning tizimini buzib kirib ma’lumotni olishning qanaqa versiyalari bor, buni qanday qilib amalga oshirish mumkin?

– Dark web forums’larda tarqalgan skrinshotlarda hakerlar qaysi zaifliklar orqali buzib kirilganini yozib qoldirganini ko‘rish mumkin. U yerda React2Shell zaiflik turini ko‘rdik. Ya’ni bu – yaqinda aniqlangan, juda ham xavfli zaiflik turi. Unda o‘sha zaiflik orqali tizimga va serverga to‘g‘ridan to‘g‘ri buzib kirish ehtimolliklari bor.

– Bu qanday zaiflik? Shuni batafsil oddiy tilda tushuntirib bera olasizmi?

– React kutubxonasi bor. Bu React orqali front-end, dasturning front-end qismini yozish mumkin bo‘ladi. Aytaylik, mana Kun.uz veb-saytini oladigan bo‘lsak, o‘sha sizga ko‘rinadigan qismi front-end bo‘ladi. Bu React kutubxonasi orqali asosan yoziladi. Mana shu kutubxonada zaiflik turi aniqlangan. Buning nomini React2Shell deb nomlashgan. O‘sha zaiflik bu kutubxonadagi, masalan, serverga yuboriladigan ma’lumotga qanaqadir to‘g‘ridan to‘g‘ri “dostup” olib, u serverga to‘g‘ridan to‘g‘ri kirish imkoniyatini beryapti. Taxminlarimizdan biri shu, OAuth (Open Auhtorization – hukumatga ulangan raqamli tizim)ga ulangan veb-saytlarning qaysidir birida mana shu zaiflik mavjud bo‘lgan va haker shu zaiflik orqali kirib, serverdan maxfiy kalitlar orqali ma’lumot olib chiqib ketgan. Shunday taxmin bor.

Bu yerda o‘sha OAuth tizimiga integratsiya qilingan, autentifikatsiya tizimidan ma’lumot chiqib ketilgan, deyilyapti. U tizimga integratsiya qilingan juda ham ko‘p veb-saytlar, juda ham ko‘p davlat tashkilotlari bor. Aytaylik, istalgan birontasida o‘sha biz aytgan React2Shell zaifligi aktiv bo‘lgan bo‘lsa, o‘sha orqali serverga kirgan bo‘lish ehtimoli bor. Shuning uchun bunda aynan bitta tashkilotni ayblab qo‘ya olmaymiz-da.

U yerda 1800 dan ortiq resurs egallangani da’vo qilinadi. Ya’ni bu boya aytganimdek, darknet shunaqa joyki, davlatdan yoki qaysidir tashkilotlardan pul undirish uchun bu vosita. Ma’lumotlaringizni mana shuncha tarqatdik. Buni ko‘lamini kengaytirib ko‘rsatish orqali bizning davlatimizdan, hukumat, organlardan yuqori summa talab qilishayotgan bo‘lishi mumkin. O‘shaning uchun ma’lumotlarni ko‘proq qilib ko‘rsatayotgan bo‘lishi mumkin.

– Ya’ni bo‘rttirishayotgan bo‘lishi mumkin, demoqchisiz?

– Bo‘rttirilayotgan bo‘lishi aniq, chunki bizning tajribamizdan shu narsa aniqki, tadqiqot guruhimiz bor, masalan, ularning xulosasi bo‘yicha 1800 dan ortiq resursni egallab olish uchun kamida bir yillik vaqt ketadi. Bir yil davomida mana shuncha tizimni egallab olish uchun katta kiberxavfsizlik, ya’ni hakerlik guruhi o‘tirishi kerak bo‘ladi. Bu noreal narsa hisoblanadi. O‘shaning uchun, mening fikrim bo‘yicha yuqori summada pul talab qilish uchun bu yerdagi sonlar juda ham bo‘rttirib ko‘rsatilyapti.

Har kuni, har doim yangi zaiflik turi chiqaveradi. Buning yo‘li o‘sha foydalanilayotgan kutubxonalar, React kutubxonasi, front-endni yozish uchun versiyasi chiqadi. Masalan, mobil ilovani 1.1 versiyasi, 1.2 versiyasi chiqadi-ku, kamchiliklar to‘g‘rilanib, 1.2 versiya chiqadi. O‘sha kutubxonada ham qaysidir zaifliklar aniqlandimi, u xodimlar tomonidan bartaraf qilinib, keyingi yangi versiya chiqariladi, masalan, aktiv versiyani chiqaradi. Va biz ishlatayotgan saytlar u eski versiyadagi React kutubxonasida qolib ketadi. Haker o‘sha eski kutubxona orqali kirib, serverga ma’lumot olishi mumkin bo‘ladi. Bizning qiladigan ishimiz, yangi zaiflik turi chiqdimi, unga darhol yangi kutubxona ham chiqishi kerak, undan keyin o‘sha yangi kutubxonaga o‘tib qo‘yishimiz kerak bo‘ladi.

– Tizim bunday hujum va xavflardan himoyalanishi uchun nima qilish kerak deb o‘ylaysiz va o‘zi aynan kiberxavfsizlik sohasida O‘zbekistonda qanday kamchiliklar ko‘rasiz va uni to‘g‘rilash kerak deb hisoblaysiz?

– O‘zi bu narsa bosqichma-bosqich olib borilishi kerak, lekin bizda IT xizmatlari, IT mahsulotlar oxirgi mana 5-6 yilda juda ham tez rivojlanib ketayotgani uchun kiberxavfsizlik biroz orqada qolyapti. Tajribali mutaxassislar yetishmovchiligi bor. Bu birinchi sabablardan. Va undan keyin o‘sha dasturchilar tomonidan yozilgan dasturlar tez-tez yangilanib va tekshirib borilishi talab qilinadi. Aynan kiberxavfsizlik sohasida tajribali kadrlar yetishmovchiligi bor, chunki mana shunday har xil firibgarliklar, o‘g‘riliklar yoki buzib kirishlardan keyin talab endi yaqinda, oxirgi 2-3 yilda toshdi.

Va ikkinchi navbatda, tizimlarda juda ko‘p zaifliklar aniqlanadi. Har xil kutubxonalar bor, kutubxonalarda zaifliklar aniqlanadi va o‘sha zaifliklardan foydalanib hakerlar biz ishlab turgan dasturlarga buzib kirish ehtimoli yuqori.

Sohada ancha yaxshi ishlar olib borilyapti. Mutaxassislar tayyorlash bo‘yicha yangi universitet, Cyber University davlat universiteti ochildi. Davlat tizimlariga integratsiya qilingan, ulangan har qanday tizimni Davlat kiberxavfsizlik markazidan ekspertizadan doimiy o‘tkazish bo‘yicha yangi talablar ishlab chiqildi. Bunga yana qo‘shimcha sifatida men taklif qilgan bo‘lardim, kiberxavfsizlik faoliyati bilan shug‘ullanadigan xususiy, milliy kompaniyalarimiz bor, ularga ham qaysidir ma’noda rasmiy faoliyat bilan shug‘ullanish bo‘yicha, ya’ni litsenziyalash tartibini joriy qilish bo‘yicha qandaydir yengilliklar berilsa, bu yaxshi natija bergan bo‘lardi deb o‘ylayman.

Biz kuzatayotgan tendensiyalar ko‘rsatadiki, oxirgi paytda juda ko‘p yoshlar shu sohaga qiziqishyapti. O‘zimizning tashkilotimizga ham shu sohani o‘rganish uchun ko‘pchilik yoshlar murojaat qilishadi va o‘zimiz shu yo‘nalishda ko‘plab kadrlarni tayyorlayapmiz hozirgi kunda.

– Yana qo‘shimcha aytmoqchi bo‘lgan ma’lumotlaringiz, fikrlaringiz bo‘lsa, bemalol.

– Xo‘p, har bitta tashkilot tizimlarining himoyasini doimiy ravishda yangilab turishini tavsiya qilaman. Masalan, yangi kutubxonalar, yangi zaifliklar chiqadi, o‘shalarni doimiy update qilib borish kerak bo‘ladi. Shunda imkon qadar har xil kibertahdidlarning oldini olish mumkin. Undan tashqari, xodimlarni tayyorlash, bilimini, malakasini oshirishni tavsiya qilamiz. Ya’ni xodimlarga pul tikib, ularning bilimini, saviyasini rivojlantirishga tashkilotlar tomonidan e’tibor qaratilsa, yaxshi bo‘lardi.