«Առաջին լրատվականի զրուցակիցն է «Սմարթ-Տեխ» ընկերության անվտանգության գծով փոխտնօրեն Ռուբեն Մուրադյանը:
-Պարոն Մուրադյան, նկատի առնելով վերջին մի քանի օրերին գրանցված հաջողակ հակերային հարձակումները, կարո՞ղ եք նշել, թե ինչով են խոցելի հայկական կայքերը:
-Հայկական կայքերում հանդիպող հիմնական մասնագիտական սխալները SQL injection տիպի սխալներն ու թույլ գաղտնաբառերը: Առաջին տիպի սխալները հնարավորություն են տալիս կոտրել կայքն ու տվյալների բազայի հետ աշխատող ծրագրերը¸ որոնք հիմնված են կամայական SQL կոդի ներածության հարցման վրա: SQL-ի ներածությունը կարող է հանարավորություն տալ հակերին ցանակացած հարց ուղղել տվյալների բազային, օրինակ, կարդալ ցանկացած աղյուսյակի բովանդակությունը¸ ջնջել¸ փոփոխել կամ ավելացնել տվյալներ, և այլն: Այս ամենը հնարավոր է լինում այն դեպքում, երբ SQL հարցման մեջ օգտագործվող մուտքային տվյալները լինում են ոչ ճիշտ մշակված: Իսկ ինչ վերաբերում է գաղտնաբառերին՝ եթե մեկն իր գաղտանաբառը դնում է 123456¸ դա խնդիր է:
–Իսկ եթե խոսենք պետական կայքերի հետ կապված խնդիրների մասին, որոնք ևս բազմաթիվ անգամներ հակերների կողմից հարձակումների են ենթարկվել:
-Պետական կայքերի դեպքում մեզ հանդիպող խնդիրները նախկինում պայմանավորված էին այն հանգամանքով, որ մի շարք պետական կայքեր տեղադրված էին ինտերնետ պրովայդերի մոտ մեկ հոստինգ մեքենայի վրա, որտեղ դրանցից բացի տեղադրված էին հազարավոր այլ կայքեր: Իսկ դա բերում էր նրան, որ երբ մի ուրիշ կայք կարողանում էին կոտրել, դրա միջոցով հնարավոր էր լինում ձևափոխել պետական կայքի պարունակությունը: Այսինքն, եթե մյուս զուտ առևտրային բնույթի կայքերը քիչ գումար էին ծախսում անվտանգության համար, այդ կայքը կոտրելը առանձնապես մեծ բարդություն չէր ներկայացնում, կետրում էին դա և դրա միջոցով էլ կարողանում էին ինֆորմացիա տեղադրել այլ կայքի վրա: Մինչև 2009 թվականի ամառը դա մեծ խնդիր էր:
-Պարոն Մուրադյան, իսկ ի՞նչ կերպ է բացահայտվում համակարգչային հանցագործների ով լինելը:
-Համարգչային հանցագործություններում շատ անգամ անհնար է պարզել¸ որտեղից են իրականացվել հաքերային հարձակումները¸ քանի որ ինտերնետում կան մի շարք միջոցներ՝ հիմնական գտնվելու վայրը թաքցնելու համար ու բոլոր այն մարդիկ, ովքեր կատարում են նման գործողություններ՝ իրենց հասցեն թաքցնում են: Որպես կանոն հաքերները հայտնաբերվում են՝ պարզելով, թե ինչ ինֆորմացիա է դրվում կոտրած կայքի վրա և ըստ դրա բովանդակության որոշում, թե ինչ ազգության ներկայացուցիչ կարող էր դրա հեղինակը լինել: Կարևոր չէ արդեն, թե որ երկրից է դա արվել, քանի որ նա հանգիստ կարող էր մեկ այլ սերվեր կոտրել և այնտեղից մտնել այստեղ: Սակայն պետք է նկատի ունենալ, որ բացի այն հակերներից, որոնք կայքերը կոտրում ու տեղադրում են հակահայկական ինֆորմացիա և այլն, կան նաև ուրիշ տեսակի կոտրողներ՝ script kiddie անվամբ հայտնի, ովքեր կայքերը ջարդում են սեփական հաճույքի համար և որպես կանոն լուրջ բովանդակության չեն լինում: Սրանք այն հակերներն են, որոնք կայքեր կոտրելու համար օգտվում են ուրիշների ստեղծած ծրագրերից՝ չհասկանալով դրանց գործողության մեխանիզմը: Ենթադրվում է, որ հակերների այս տեսակը բավական անփորձ է՝ կայք կոտրելու սեփական ծրագիր ստեղծելու համար և նրանց նպատակն է զուտ տպավորություն թողնել ընկերների վրա կամ գովասանքի արժանանալ համակարգչային էնտուզիաստների կողմից:
-Ձեր կարծիքով՝ ո՞րն է համակարգչային հանցագործների դեմ պայքարելու ամենարդյունավետ միջոցը:
-Պայքարելու միակ միջոցը նորմալ ծրագրերի և կայքերի պատրաստումն է: Կան անվտանգության ստանդարտներ, որոնց համապատասխանելու դեպքում կայքը կոտրելու հավանականությունը նվազում է մինչև 0, բայց 0 երբեք չի դառնում: Սակայն դա շատ մեծ, բարդ և խոշոր ֆինանսներ պահանջող գործ է: Իսկ դա ամեն կայք իրեն թույլ տալ չի կարող: Կան կայքոր, որոնց դա պետք էլ չէ¸որոնցում գրված է տնօրենի անունը, հեռախոսահամարը ու իր արտադրանքի մասին տեղեկություններ: Այդ ընկերության շրջանառությունն էլ կարող է լինել տարեկան 3-30 մլն դրամի: Բնականաբար պարզ է, որ այդ մարդը կայք պատվիրելիս ամենաշատը կծախսի 1000 դոլար, սակայն որպես կանոն դա անում է նրա՝ պոլիտեխնիկում սովորող քրոջ երեխան ու էտ «խեղճ ու կրակ» կայքը ջարդում են: Ջարդեցին ջարդեցին: Ոչինչ չի պատահում, անիմաստ է ծախսել մեծ գումարներ այդպիսի կայքի համար: Այս դեպքում ծախսը կայքի անվտանգության վրա իմաստավորված չէ, իմաստավորված է այն դեպքում, երբ կայքն իրենից ինչ-որ հետաքրքիր թիրախ է ներկայացնում և արժե գումարներ ծախսել: Սակայն միշտ պետք է հիշել, որ չջարդվող կայք չկա: Եվ միայն ջարդելով չէ, որ կարելի է վնասել կայքը, կարելի է արզապես վերցնել ու հրդեհել այն տարածքը, որտեղ գտնվում է կայքի սերվերը: Պարզ է, կարելի է վերցնել ու կայքը դնել Ամերիկայում ու ինչ-ինչ սկզբունքներով վստահ լինել, որ խնդիր չի առաջանա, բայց դա դեռ չի նշանակում, որ եթե ինչ-որ մեկն ուզենա «համը հանի»՝ չի կարողանա:
-Իսկ այս ոլորտում որակավորված մասնագետների պահանջարկ կա՞
Հայաստանում:
–Կա նաև մասնագետների խնդիր, քանի որ որպես կանոն այդ մասնագետները չեն աշխատում պետական մարմինների հետ: Հիմնական խնդիրն այն է, որ այդ մասնագետները ստանում են լավ աշխատավարձ ու վերջ…
-Պարոն Մուրադյան, հակերային հարձակումները ունենում են նաև որոշակի ակտիվացման շրջաններ, որո՞նք են դրանք մեր դեպքում:
-Ակտիվացման շրջանները որպես կանոն կապված են այն բանի հետ, թե ինչ մոտիվացիա ունեն այդ ջարդողները: Ստանդարտ մի քանի օրեր կան, երբ նրանք ակտիվանում են՝ դա փետրվարի վերջն է, հունվարի 20-ի կողմերը, ապրիլի 24-ը, մայիսի 28-ը:
