Конференция 26.11.2019 сборник Unicon Инф без. збекистон республикаси ахборот технологиялари ва коммуникацияларини ривожлантириш вазирлиги unicon. Uz дук фан техника ва маркетинг

129 1-rasm. Tarmoqlararo ekran texnologiyasining funksionalligiga ko‘ra tahlili
2-rasm. VPN qurish texnologiyasining funksionalligiga ko‘ra tahlili
0,90,897 0,896 0,895 0,850,84 0,830,820,8190,8180,8170,8160,8150,8140,8130,812 0,81 0,8 0,8 0,8 0,89 0,85 0,9 0,74 0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Tarmoqlararo ekran texnologiyasining funksionalligiga ko‘ra
tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
VPN qurish texnologiyasining funksionalligiga ko‘ra tahlili

130 3-rasm. Ruhsatlarni boshqarish tizimlarining funksionalligiga ko‘ra tahlili
4-rasm.Hujumlarni aniqlash va bartaraf etish tizimlarining (IDS/IPS) funksionalligiga ko‘ra tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Ruhsatlarni boshqarish tizimlarining funksionalligiga
ko‘ra tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Hujumlarni aniqlash va bartaraf etish tizimlarining
(IDS/IPS) funksionalligiga ko‘ra tahlili

131 5-rasm.SPAM xabarlardan himoyalash tizimlarining funksionalligiga ko‘ra tahlili
6-rasm.Axborot xavfsizligini monitoringlash tizimlarining funksionalligiga ko‘ra tahlili
0,74 0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
SPAM xabarlardan himoyalash tizimlarining funksionalligiga
ko‘ra tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Axborot xavfsizligini monitoringlash tizimlarining
funksionalligiga ko‘ra tahlili

132 7-rasm.DLP tizimlarning funksionalligiga ko`ra tahlili
8-rasm.Antivirus vositalarining funksionalligiga ko`ra tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
DLP tizimlarning funksionalligiga ko`ra tahlili
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Antivirus vositalarining funksionalligiga ko`ra tahlili

133 9-rasm.Rezerv nusxalash hamda arxivlash vositalarining funksionalligiga ko‘ra tahlili
Korporativ tarmoqlarda axborot xavfsizligi standartlari bandlariga asoslangan axborot xavfsizligini baholovchi avtomatlashtirilgan dasturiy vositalarga quyidagilarni misol bo‘ladi:

auditmodern dasturiy ta’minoti;

aida engeneer dasturiy ta’minoti;

redcheck dasturiy ta’minoti;

cobra.
AUDITMODERN dasturiy ta’minoti.
Ushbu dasturiy ta’minot COSO standarti asosida Rossiya Federatsiyasi tomonidan ishlab chiqilgan. Ushbu dasturiy mahsulot hozirda MDH davlatlari orasida kotporativ tarmoqlarda axborot xavfsizligini ta’minlanganlik darajasini baholash maqsadida keng qo‘llanilib kelinmoqda (10-rasm). [13,14]
0,76 0,78 0,8 0,82 0,84 0,86 0,88 0,9 0,92
Veritas NBU
Legato
IBM
CA BEB
CommVault
BakBone
HP
Syncsort
Atempo
Rezerv nusxalash hamda arxivlash vositalarining
funksionalligiga ko‘ra tahlili

134 10-rasm. AUDITMODERN dasturiy ta’minotining ishchi oynasi
AIDA ENGENEER dasturiy ta’minoti.
Ushbu dasturiy ta’minot yordamida korxonadagi ishchi stansiyalarning ish holati haqida, tarmoqdagi texnik nosozliklar haqidagi axborotlarni olish mumkin.Undan tashqari o‘rnatilgan dasturiy vositalarning litsenziyasini aniqlashda ham qo‘l keladi (11-rasm).
11-rasm. AIDA ENGENEER dasturiy ta’minoti ishchi oynasi.

135
RedChek dasturiy ta’minoti.
RedChek dasturiy ta’minoti korxonadagi barcha ishchi stansiyalarni skanerlaydi va xavf-xatarni, zaifliklarni ishchi stansiyalardagi o‘zgarishlarni xavfsizlik siyosatiga va xalqaro standartlarga(CIS, MSCM, SCW, PCI DSS, FDCC,
USGCB) asoslanib baholab boradi (12-rasm).
12-rasm. RedCheck dasturiy ta’minoti ishchi oynasi.
Cobra dasturiy ta’minoti.
Ushbu dasturiy ta’minot ISO 17799 standartiga asosan korxonada o‘rnatilgan xavfsizlik vositalarini tekshirib, baholab boradi. Bu dasturiy ta’minot Britaniyaning
C & A Systems Security Ltd kompaniyasi tomonidan ishlab chiqilgan. Ushbu dasturiy ta’minot ham MDH davlatlari o‘rtasida keng qo‘llanilib kelinmoqda (13- rasm). [8,9]

136 13-rasm. Cobra dasturiy ta’minoti ishchi oynasi.
Ushbu dasturiy ta’minotlar qiyosiy tahlili quyidagi jadvalda ko‘rsatilgan (1- jadval):
1-jadval
AUDITMODERN
RedChek
Cobra
DT ishlab chiqqan mamlakat
Rossiya
Federatsiyasi
Rossiya
Federatsiyasi
Buyuk
Britaniya
Qaysi standart asosida
COSO
CIS, MSCM,
SCW, PCI
ISO 17799

137 ishlab chiqilgan
DSS, FDCC,
USGCB
Savolnoma qismi
+
-
-
Ta’minot manbai talab qilish sharti
Ko‘p
Ko‘p
Ko‘p
Tekshiruv diapazoni
Axborot xavfsizligi masalasining hamma sektorini qamrab oladi
Faqat dasturiy va texnik vositalarni tekshiradi
Faqat dasturiy va texnik vositalarni tekshiradi
Qaysi OT mo‘ljallangan
Windows 7
(barcha versiyalari)
Windows 7
(barcha versiyalari)
Linux
(barcha distruutivlari)
Windows 7
(barcha versiyalari)
Agent texnologiyasi
Mavjud
Mavjud
Mavjud
Narxi
Valyuta
Valyuta
Valyuta
Xulosa
Kompyuter tarmoqlarida axborotni
һimoyalasһning zamonaviy texnologiyalari hamda axborot xavfsizligi holatini baholovchi xorijiy dasturiy ta`minotlar taһlil qilindi
Foydalanilgan adabiyotlar ro`yhati
1.
O`zbekiston Respublikasi Prezidentining farmoni. O`zbekiston
Respublikasini yanada rivojlantirish bo`yicha Harakatlar strategiyasi. 2017 yil.
2.
“2013 yil 27 iyunda O‘zbekiston Respublikasi birinchi Prezidentining
“O‘zbekiston Respublikasi Milliy axborot-kommunikatsiya tizimini yanada rivojlantirish chora-tadbirlari to‘g‘risida” gi PQ-1989 qarori;
3.
O´z DSt ISO/IEC 15408 - 2:2016 “Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari.
Axborot texnologiyalari xavfsizligini baholash mezonlari.Xavfsizlikning funktsional komponentlari”;
4.
O´z DSt ISO/IEC 15408 - 3:2016 “Axborot texnologiyasi. Xavfsizlikni ta’minlash usullari.
Axborot texnologiyalari xavfsizligini baholash mezonlari.Xavfsizlikka qo‘yiladigan ishonch komponentlari”;

138 5.
O´z DSt ISO/IEC 27002:2016 “Axborot texnologiyasi. Xavfsizlikni ta’minlash metodlari. Axborot xavfsizligini boshqarishning amaliy qoidalari”;
6.
S.K.G‘aniev, M.M. Karimov, K.A. Tashev “Axborot xavfsizligi”,
Toshkent-“Fan va texnologiya” 2016 yil;
7.
I. M Karimov, N.A. Turgunov, F.Kadirov, X.K.Samarov, A.A. Iminov,
M.X. Djamatov “Axborot xavfsizligi asoslari” Toshkent 2013 O‘zbekiston
Respublikasi IIV akademiyasi;
8.
«Особенности аудита ит-процессов» Аксёнова Т.Г., аспирант кафедры «Аудит и контроль» ФГОБУВПО «Финансовый университет при
Правительстве РФ» 2013 г;
9.
Ольков Евгений. Практическая безопасность сетей. 2017.
10.
John Cooper. Архитектура корпоративных сетей. 2014.
11.
В.Г.Олифер, Н.А.Олифер «Безопасность компьютерных сетей».
Москва 2017 г.
12. http://lib.itsec.ru/articles2/focus/programmn_sredstva_analiza_lokaln_
setey_na_predmet_uyhttps://www.securitylab.ru/analytics/365241.phpazvimostey
13. https://www.osp.ru/winitpro/2005/07/380074/
14. https://sibac.info/studconf/tech/xxx/41442 15. https://www.ptsecurity.com/ru-ru/research/analytics/comparison-of- security-scanners/
DETECTING VULNERABILITIES IN CORPORATE NETWORKS USING
THE “PENTESTING” METHOD
Usmanbayev D, Mengliboyev Z., Aliyeva Z. TUIT
Annotation. Any enterprise is faced with the question of ensuring
information security in the field of information technologies. As increasing in the
volume and type of data, miscellaneous attacks on them is constantly expanding at
present. Based on this, “Pentest” (Penetration testing) is considered whether one
of the main measures of the provision for information security. It will allow to
verify the reliability of protection against unauthorized usage and other
information security threats.
Key words: Pentest, “BlackBox” method, “WhiteBox” method, “GrayBox” method
The complexity of that methodology, significant network load and features such as the risk of losing the test nodes should be taken into account herewith. In addition, a written agreement to take the test can be required as the reason for

139 employing tools and methods approved by the organization’s security policy and regulations in the process of testing. Such a written agreement may include:
-
Test IP Addresses Range;
-
List of non-testing nodes;
-
List of accepted techniques ( social engineering, deletion and so on) and tools
(network analyzers, vulnerability scanners and others);
-
Probation period (the weekend, business hours, and more.);
-
Assay nodes’ s IP addresses (for example, in order for administrators to distinguish a test from a real).
“Pentest” (Penetration testing) - is a method for evaluating the security of computer systems or networks by simulated cyber attacks. The process involves active system analysis for potential weaknesses, which can lead to malfunction or complete rejection of the target.
The main objective of “Pentest” – is to identify known the level of technical risk of emanating from software vulnerabilities, password policy flaws, improper configurations in information systems and resources and other weaknesses. During this test, a specialist tester generates an active attack on a real- time tester or system that has been tested for attack simulation.
“Pentest” can be broken into three methods: BlackBox, WhiteBox and
GrayBox.
“BlackBox” method (black box) – an expert only provides an overview of the object being studied. This learning process is considered close to the actual situation and helps to eliminate many weaknesses with the results. The name of the company and its website is only provided to the tester as initial information for testing and all other information , such as the IP addresses used by the company, web sites, outlets on the internet, affiliates and affiliates of the company, the tester will be able to find and analyze all the remaining data on its own.
“WhiteBox” method (white box) – is as opposed to its functionality to
BlaxBox. In this case, the specialist will be given all the information about the object being studied. This method will allow you to fully explore the object’s vulnerability. With WhiteBox, a doer does not have to spend time collecting data, network mapping, and more before testing, also reduce test time. No additional checks are required. The advantage of this method is that it is a more comprehensive and integrated approach to research. The disadvantage is that it is lee likely to be attacked by an attacker.
“GrayBox” method (gray method) – is a software testing method which is a combination of Black Box Testing method and White Box Testing method. It applies a straightforward technique of black box testing and from time to time, it will require information about the testing system to reduce research time or make

140 more efficient work. This choice is the most popular, because it allows to test without spending extra time and spend more time on vulnerabilities, this parametr is very close to the true behavior of the attacker.
In corporate networks, the pen testing process can be broken down into five stages:
1-Stage. Planning the “Pentest”;
2-Stage. Gathering general data about “Pentest” asset being transferred;
3-Stage. Identifying and analyzing vulnerabilities based on the data collected;
4-Stage. Implementations of vulnerabilities;
5-Stage. Preparing a report on the result.
Planning the “Pentest” – The goal of this phase: it is the planning of work that needs to be done, the choice of approach, and the determination of the time and personnel needed to conduct “Pentest” in information system and resources.
This step includes the following:
“BlackBox”, “WhiteBox” and “GrayBox” choose one of these testing methods.
- Determine the boundary of the object being studied;
- Formation of general tasks for testing;
- Distribution of tasks that need to be done;
- Planning probation activities;
- Selecting equipment for “Pentest” and setting up their configurations, that is to say, given the following conditions:
1. Information security scanners for web-applications;
2. Network security scanners;
3. Tools for parsing security analysis;
4. Inventory tools and network resources scanners;
5. Network protocol analyzers;
Gathering general data about “Pentest” asset being transferred - The goal of this phase: gathering network data, identification of existing services, learning more about security mechanisms. Furthermore, it is also intended to do the following, providing additional information about subdomains, used software, services available, their version and other information requred to log in.
Identifying and analyzing vulnerabilities based on the data collected -
The goal of this phase: exploring the danger level of information security weaknesses and vulnerabilities.
Implementations of vulnerabilities - The goal of this phase: checking for identified vulnerabilities and exploitation of information security flaws. Based on the identified vulnerabilities and information security flaws, the following may occur:

141
-
Checking for vulnerabilities and implement them;
-
Attacking of information system components and resources;
-
Finding a password by choosing a password;
-
Defining the working principles of protocols;
-
Confirmation of detected vulnerabilities;
Preparing a report on the result - After the completion of all stages of the
“Pentest”, a test report will be issued, which will include:
-
Preparation of overall inquiries about the studied object and test results;
-
A description of the identified weaknesses and vulnerabilities, in particular their degree of risk, and their ability to be used by the attacker;
-
Description of penetration scenarios and methods used in penetration testing;
-
Information on the results-oriented;
-
Recommendations to address identified deficiencies and weaknesses, as well as recommendations for improving information security.
СИСТЕМА КОНТРОЛЯ ДОСТУПА НА ОСНОВЕ RFID СИСТЕМЫ И
АТАК НА НИХ
Имамалиев Айбек Турапбаевич ТАТУ
Аннотация. В этой статье классифицирует атаки на основе каждого
слоя, и обсуждение возможные контрмеры, которые можно использовать
для борьбы с этими атаками. И различаем их по атакам, развернутым на
физическом уровне, прикладном уровне, стратегическом уровне и
многоуровневых атаках.
Ключевые слова: Физические атаки, клонирование тегов, Скимминг,
Подслушивание, RFID, DoS атаки, Атака ретрансляции и воспроизведения,
Вирусные атаки
Большое количество хакеров в конечном итоге работают в отделах безопасности IT и телекоммуникационных компаний. Другими словами, лучший способ обезопасить систему - это знать, как ее можно атаковать.
Радиочастотная идентификация (RFID) ничем не отличается от любой другой технологии, поэтому возможные атаки на нее должны быть подробно изучены.
Степень атаки может значительно варьироваться; некоторые атаки направлены на определенную часть системы (например, тег), тогда как другие нацелены на всю систему.

142
Большое количество информационных систем сосредоточено исключительно на защите передаваемых данных. Поскольку системы RFID полагаются на передачу данных по этому внешнему каналу связи, то есть по воздуху, они сталкиваются с высокими рисками безопасности, особенно если они были реализованы в агрессивной среде или если они содержат чрезвычайно конфиденциальную информацию, такую как в электронном паспорте, и, Операции с электронными деньгами. Однако при проектировании систем RFID следует учитывать дополнительные цели, такие как отслеживание или манипулирование данными [1].
Физические атаки: клонирование тегов
Криптография с симметричным ключом может использоваться, чтобы избежать атак клонирования тегов. В частности, может быть использован ответ «вызов-ответ», подобный следующему. Во-первых, тег выделяется из многих с помощью протокола предотвращения столкновений, такого как протокол обхода двоичного дерева. Тег (Ti) делит ключ (Ki) с читателем.
После этого происходит обмен следующими сообщениями:
1. Читатель генерирует новое случайное число (R) и передает его тегу.
2. Тег вычисляет H = g (K
i
, R) и отправляет обратно читателю.
3. Читатель вычисляет H’ = g (K’
i
, R) и проверяет его равенство с H.
Данная функция может быть реализована с помощью хеш-функции или, альтернативно, с помощью функции шифрования. Обратите внимание, что если функция g правильно построена и правильно развернута, злоумышленник не сможет смоделировать тег. Поскольку стандартные криптографические примитивы (хеш-функции, коды аутентификации сообщений, блочные / потоковые шифры и т. Д.) являются экстравагантными решениями для недорогих RFID-меток ввиду их потребности в размере схемы, энергопотреблении и объеме памяти [2], дизайн новых легких примитивов актуален.
В контексте RFID мы должны различать недорогие RFID-метки и метки, используемые в приложениях без жестких ценовых ограничений. Недорогие
RFID-метки являются очень ограниченными ресурсами (хранение, вычисления и энергопотребление). Эти виды меток обычно не устойчивы к физическим атакам. Примером тегов такого типа являются теги, соответствующие спецификации EPC Class-1 Generation-2 [3]. Дорогие теги, иногда называемые бесконтактными чипами или смарт-картами, не так уж ограничивают ресурсы. Однако цена увеличивается от 0,05 евро до нескольких евро. Например, чипы, используемые в электронных паспортах, имеют уровень безопасности EAL 5 +, самый высокий уровень безопасности для чипов [4]. Поэтому злоумышленник не сможет получить закрытый ключ,

143 используемый в приватной аутентификации, чтобы избежать клонированных атак. Метка plusID, изготовленная Bradcom, является еще одним примером меток, защищающих от несанкционированного доступа [5]. Первоначально его уровень безопасности составлял 2 (свидетельство несанкционированного доступа) в соответствии с Федеральными стандартами обработки информации
(FIPS), но в конечном итоге он был повышен до уровня 3 (защита от несанкционированного доступа).