“Тизимдаги хавфли заифлик сабаб серверга тўғридан тўғри бузиб киришган бўлиши мумкин” – даркнетга шахсий маълумотлар қандай чиқиб кетади?

Reddit ва айрим ижтимоий тармоқларда Ўзбекистон фуқароларининг шахсий маълумотлари даркнетга чиқиб кетганига оид тарқалган скриншотларда ҳакерлар тизимни қандай бузгани ҳақида ёзиб қолдиришган. Киберхавфсизлик соҳасида ишловчи Нодир Авлиёқуловнинг тушунтиришича, ҳукуматга уланган рақамли тизимдаги энг хавфли React2Shell номли заифлик тури ҳакерларга тўғридан тўғри серверга кириш ва маълумотларни олиб чиқиб кетиш имкониятини берган бўлиши мумкин.

Ўзбекистон фуқароларига тегишли шахсий маълумотлар даркнетда сиздирилаётгани ва уларнинг сони 15 миллион нафар бўлиши мумкинлиги айтилмоқда.

3 феврал куни Reddit платформаси ва айрим ижтимоий тармоқларда Ўзбекистон давлат органларининг ахборот тизимларига тегишли маълумотлар жойлаштирилгани айтилаётган бир нечта ресурсларга, жумладан, даркнетдаги сайтларга ҳаволалар эълон қилинди.

Киберхавфсизлик маркази бу бўйича ўрганишлар олиб борилаётгани ва қўшимча маълумотлар тақдим қилинишини маълум қилди. Статистика агентлиги эса ҳолатни аҳоли ва қишлоқ хўжалигини рўйхатга олиш билан боғлаяпти.

Хўш, бундай маълумотлар даркнетда сиздирилиши нимани англатади ва бу қанчалик хавфли? Олдинда одамларни нималар кутяпти? Айнан шу саволлар атрофида мавзуни муҳокама қилиш учун Kun.uz хусусий киберхавфсизлик ташкилоти раҳбари Нодир Авлиёқулов билан суҳбатлашди. Қуйида интервюнинг асосий қисмлари келтирилади.

– Reddit платформасида айрим ҳаволалар эълон қилингани, скриншотлар чиққани, яъни Ўзбекистон фуқароларига оид шахсий маълумотлар сиздирилаётгани айтилмоқда. Даркнетда бирор инсоннинг шахсий маълумотлари сиздирилиши нимани англатади ва ўзи даркнет қандай жой?

– Хўп, савол учун раҳмат. Ўқияпмиз, охирги кунларда шу маълумотлар жуда ҳам кўп айланяпти. Лекин ҳали тасдиқлангани йўқ. Бу ҳақда ҳолат ўрганилаётгани юзасидан Киберхавфсизлик маркази расмий муносабат билдирди.

Хўп, Даркнет ҳақида. Даркнет нима? Даркнет ўзи бу ҳам интернет. Лекин маълум бир тоифа одамлар фойдаланадиган интернет ҳисобланади. Содда қилиб тушунтирадиган бўлсак, университетда умумий ҳамма фойдаланадиган Wi-Fi бор ва алоҳида ўқитувчи-профессорлар учун фойдаланиладиган Wi-Fi бор, дейлик. Ўша биз айтаётган даркнет – ўша профессор-ўқитувчилар фойдаланадиган алоҳида, ёпиқ интернетдир. У ерда асосан фирибгарлар ёки ҳакерлар томонидан бузилган, ўғирланган маълумотлар сиздирилади, тарқатилади. Яъни давлатларга ёки маълум бир шахсларга таҳдид қилиш мақсадида уларнинг тизимларини бузиб кириб, улардаги маълумотларни ўғирлаб, даркнетга сиздиришади ва у орқали маълумотларни ўчириб қўйиш учун пул талаб қилишлари мумкин.

– Ҳозир энди шахсий маълумотлар ҳақида гапиряпмиз-ку, бу демак, фақат паспорт маълумотларими ё бошқа кўринишдаги маълумотлар ҳам бўладими ичида? Ва айни ҳолатда қандай маълумотлар сиздирилган, сизнингча?

– Маълумотларни, айтайлик, уч турга бўламиз. Биринчиси, очиқ маълумотлар, яъни одамнинг исм-фамилияси ва телефон рақами бўлиши мумкин. Агар бу ҳам жуда кўп миқдорда бўладиган бўлса, махфий маълумотга кириб кетиши мумкин. Ва банкка оид, банк сирига оид маълумотлар: паспорт, пластик картамизнинг маълумотлари, банк ҳисоб рақамларимиз бўлиши мумкин. Ва учинчиси — шахсий маълумотлар. Бу ерга асосан фуқароларимизнинг паспорт сериялари, яшаш манзиллари, PINFL манзиллари киритилиши мумкин.

– Ҳозир энди 15 миллион нафар фуқаронинг маълумотлари сиздирилаётгани айтиляпти. Тўғри, ҳали бу маълумот тасдиқлангани йўқ. Умуман ўзи бу вазият қанчалик хавфли?

– Тарқалган скриншотлар, линкларга қарайдиган бўлсак, у ерда фуқароларнинг исм-фамилияси, PINFL рақамлари кўрсатилган, лекин айтганимдек, ҳали бу нарсалар тасдиқлангани йўқ, актуал маълумотми ёки эски, [буни билмаймиз]. Хўп, бунинг қандай зарарлари бўлиши мумкин? Мана барчамизга жуда ҳам яхши маълум, фирибгарлар асосан фуқароларимизнинг номига ҳар хил кредит расмийлаштириш ёки ҳар хил фишинг линклар, силкалар юбориш орқали уларнинг ҳисоб рақамларидаги, карта маълумотларини, карталаридан пулларини ечиб кетиш ҳолатлари жуда ҳам кўп тарқалган. Агар мана шунақа маълумотлар фирибгарларнинг қўлига тушадиган бўлса, улар асосан молиявий фирибгарликлар, фуқароларимизнинг карталаридан пулларини ечиш учун бундан фойдаланиши мумкин. Шунинг учун иложи борича бегона телефон рақамларида ҳар хил SMS кодларни ёки маълумотларни айтмасликлари тавсия қилинади.

– Давлат органларининг ахборот тизимларига тегишли бўлган маълумотлар чиққан, яъни айнан давлат органларига тегишли бўлган сервердан бу маълумотлар, даталар чиқиб кетиб қолган бўлиши мумкин. Бу билан биз тизим етарлича ҳимояланмаган деган хулосага келишимиз тўғрими? Яъни бу шуни англатадими?

– Ўзи ҳеч қайси ташкилот, хусусий бўладими ёки давлат ташкилоти бўладими, ёки ҳеч бир давлатда мустаҳкам тизимнинг ўзи йўқ. Ҳамма тизимда барибир заифлик, камчилик бўлади. Фақатгина буни биз доимий равишда таҳлил қилиб, янги аниқланган заифлик турлари бўлса, уларни янгилаб борсак, ўшанда ҳар хил хавфлар, киберҳужумларнинг олдини олган бўламиз. Ва бу айтганимдек, айнан давлат тизимида камчиликлар етарли, қолган жойда камчилик йўқ дегани эмас. Бунинг олдини олиш учун ҳар хил хавфсизлик тизимлари бор: firewall, wеb application firewall – ўша тизимларни ўрнатиш мумкин.

– Нодир ака, ўзи мана шу ҳолатнинг ўзини ҳам таҳлил қилиб бера оласизми? Яъни давлат органларига тегишли ахборот тизимининг ўзидан унинг тизимини бузиб кириб маълумотни олишнинг қанақа версиялари бор, буни қандай қилиб амалга ошириш мумкин?

– Dark web forums’ларда тарқалган скриншотларда ҳакерлар қайси заифликлар орқали бузиб кирилганини ёзиб қолдирганини кўриш мумкин. У ерда React2Shell заифлик турини кўрдик. Яъни бу – яқинда аниқланган, жуда ҳам хавфли заифлик тури. Унда ўша заифлик орқали тизимга ва серверга тўғридан тўғри бузиб кириш эҳтимолликлари бор.

– Бу қандай заифлик? Шуни батафсил оддий тилда тушунтириб бера оласизми?

– React кутубхонаси бор. Бу React орқали фронт-энд, дастурнинг фронт-энд қисмини ёзиш мумкин бўлади. Айтайлик, мана Kun.uz веб-сайтини оладиган бўлсак, ўша сизга кўринадиган қисми фронт-энд бўлади. Бу React кутубхонаси орқали асосан ёзилади. Мана шу кутубхонада заифлик тури аниқланган. Бунинг номини React2Shell деб номлашган. Ўша заифлик бу кутубхонадаги, масалан, серверга юбориладиган маълумотга қанақадир тўғридан тўғри “доступ” олиб, у серверга тўғридан тўғри кириш имкониятини беряпти. Тахминларимиздан бири шу, OAuth (Open Auhtorization – ҳукуматга уланган рақамли тизим)га уланган веб-сайтларнинг қайсидир бирида мана шу заифлик мавжуд бўлган ва ҳакер шу заифлик орқали кириб, сервердан махфий калитлар орқали маълумот олиб чиқиб кетган. Шундай тахмин бор.

Бу ерда ўша OAuth тизимига интеграция қилинган, аутентификация тизимидан маълумот чиқиб кетилган, дейиляпти. У тизимга интеграция қилинган жуда ҳам кўп веб-сайтлар, жуда ҳам кўп давлат ташкилотлари бор. Айтайлик, исталган биронтасида ўша биз айтган React2Shell заифлиги актив бўлган бўлса, ўша орқали серверга кирган бўлиш эҳтимоли бор. Шунинг учун бунда айнан битта ташкилотни айблаб қўя олмаймиз-да.

У ерда 1800 дан ортиқ ресурс эгаллангани даъво қилинади. Яъни бу боя айтганимдек, даркнет шунақа жойки, давлатдан ёки қайсидир ташкилотлардан пул ундириш учун бу восита. Маълумотларингизни мана шунча тарқатдик. Буни кўламини кенгайтириб кўрсатиш орқали бизнинг давлатимиздан, ҳукумат, органлардан юқори сумма талаб қилишаётган бўлиши мумкин. Ўшанинг учун маълумотларни кўпроқ қилиб кўрсатаётган бўлиши мумкин.

– Яъни бўрттиришаётган бўлиши мумкин, демоқчисиз?

– Бўрттирилаётган бўлиши аниқ, чунки бизнинг тажрибамиздан шу нарса аниқки, тадқиқот гуруҳимиз бор, масалан, уларнинг хулосаси бўйича 1800 дан ортиқ ресурсни эгаллаб олиш учун камида бир йиллик вақт кетади. Бир йил давомида мана шунча тизимни эгаллаб олиш учун катта киберхавфсизлик, яъни ҳакерлик гуруҳи ўтириши керак бўлади. Бу нореал нарса ҳисобланади. Ўшанинг учун, менинг фикрим бўйича юқори суммада пул талаб қилиш учун бу ердаги сонлар жуда ҳам бўрттириб кўрсатиляпти.

Ҳар куни, ҳар доим янги заифлик тури чиқаверади. Бунинг йўли ўша фойдаланилаётган кутубхоналар, React кутубхонаси, фронт-эндни ёзиш учун версияси чиқади. Масалан, мобил иловани 1.1 версияси, 1.2 версияси чиқади-ку, камчиликлар тўғриланиб, 1.2 версия чиқади. Ўша кутубхонада ҳам қайсидир заифликлар аниқландими, у ходимлар томонидан бартараф қилиниб, кейинги янги версия чиқарилади, масалан, актив версияни чиқаради. Ва биз ишлатаётган сайтлар у эски версиядаги React кутубхонасида қолиб кетади. Ҳакер ўша эски кутубхона орқали кириб, серверга маълумот олиши мумкин бўлади. Бизнинг қиладиган ишимиз, янги заифлик тури чиқдими, унга дарҳол янги кутубхона ҳам чиқиши керак, ундан кейин ўша янги кутубхонага ўтиб қўйишимиз керак бўлади.

– Тизим бундай ҳужум ва хавфлардан ҳимояланиши учун нима қилиш керак деб ўйлайсиз ва ўзи айнан киберхавфсизлик соҳасида Ўзбекистонда қандай камчиликлар кўрасиз ва уни тўғрилаш керак деб ҳисоблайсиз?

– Ўзи бу нарса босқичма-босқич олиб борилиши керак, лекин бизда IT хизматлари, IT маҳсулотлар охирги мана 5-6 йилда жуда ҳам тез ривожланиб кетаётгани учун киберхавфсизлик бироз орқада қоляпти. Тажрибали мутахассислар етишмовчилиги бор. Бу биринчи сабаблардан. Ва ундан кейин ўша дастурчилар томонидан ёзилган дастурлар тез-тез янгиланиб ва текшириб борилиши талаб қилинади. Айнан киберхавфсизлик соҳасида тажрибали кадрлар етишмовчилиги бор, чунки мана шундай ҳар хил фирибгарликлар, ўғриликлар ёки бузиб киришлардан кейин талаб энди яқинда, охирги 2-3 йилда тошди.

Ва иккинчи навбатда, тизимларда жуда кўп заифликлар аниқланади. Ҳар хил кутубхоналар бор, кутубхоналарда заифликлар аниқланади ва ўша заифликлардан фойдаланиб ҳакерлар биз ишлаб турган дастурларга бузиб кириш эҳтимоли юқори.

Соҳада анча яхши ишлар олиб бориляпти. Мутахассислар тайёрлаш бўйича янги университет, Cyber University давлат университети очилди. Давлат тизимларига интеграция қилинган, уланган ҳар қандай тизимни Давлат киберхавфсизлик марказидан экспертизадан доимий ўтказиш бўйича янги талаблар ишлаб чиқилди. Бунга яна қўшимча сифатида мен таклиф қилган бўлардим, киберхавфсизлик фаолияти билан шуғулланадиган хусусий, миллий компанияларимиз бор, уларга ҳам қайсидир маънода расмий фаолият билан шуғулланиш бўйича, яъни лицензиялаш тартибини жорий қилиш бўйича қандайдир енгилликлар берилса, бу яхши натижа берган бўларди деб ўйлайман.

Биз кузатаётган тенденциялар кўрсатадики, охирги пайтда жуда кўп ёшлар шу соҳага қизиқишяпти. Ўзимизнинг ташкилотимизга ҳам шу соҳани ўрганиш учун кўпчилик ёшлар мурожаат қилишади ва ўзимиз шу йўналишда кўплаб кадрларни тайёрлаяпмиз ҳозирги кунда.

– Яна қўшимча айтмоқчи бўлган маълумотларингиз, фикрларингиз бўлса, бемалол.

– Хўп, ҳар битта ташкилот тизимларининг ҳимоясини доимий равишда янгилаб туришини тавсия қиламан. Масалан, янги кутубхоналар, янги заифликлар чиқади, ўшаларни доимий update қилиб бориш керак бўлади. Шунда имкон қадар ҳар хил кибертаҳдидларнинг олдини олиш мумкин. Ундан ташқари, ходимларни тайёрлаш, билимини, малакасини оширишни тавсия қиламиз. Яъни ходимларга пул тикиб, уларнинг билимини, савиясини ривожлантиришга ташкилотлар томонидан эътибор қаратилса, яхши бўларди.