İmtiyazların artırılması

Bu məqalədə orijinal tədqiqata, təsdiqlənə bilməyən ifadələrə, mülahizə və şərhlərə yer verildiyi düşünülür. Xahiş olunur, mətni nəzərdən keçirin və yeni mənbələr əlavə edərək məqaləni zənginləşdirin. Əlavə məlumat üçün səhifənin müzakirə səhifəsinə yaza bilərsiniz. (may 2023) Lütfən, müzakirələr davam etdiyi müddətdə şablonu məqalədən çıxarmayın.

İnformasiya təhlükəsizliyi
Əlaqədar təhlükəsizlik kateqoriyaları
Kompüter təhlükəsizliyi Avtomobil təhlükəsizliyi Kibercinayət Kompüter fırıldaqçılığı Cybergeddon Kiberterrorizm Kibermüharibə Elektron müharibə İnformasiya müharibəsi İnternet təhlükəsizliyi Mobil təhlükəsizlik Şəbəkə təhlükəsizliyi Kopyadan qorunma Rəqəmsal hüquqların idarə edilməsi
Təhdidlər
Adware Qabaqcıl davamlı təhlükə İxtiyari kodun icrası Backdoorlar Hardware backdoorları Kod yeridilməsi Cinayət proqramları Saytlararası skript Zərərli proqram təminatı kriptovalyutası Botnetlər Məlumatların pozulması Drive-by download Brauzer köməkçi obyektlari Viruslar Məlumatların qırılması Xidmətin rədd edilməsi Dinləmə E-poçt fırıldaqçılığı E-poçt saxtakarlığı Eksploytlər Keyloggerlər Məntiq bombasıları Saatlı bombalar Fork bombaları Zip bomblar Saxta nömrə yığanlar Ziyankar proqram Faydalı yük Fişinq Polimorf mühərrik İmtiyazların artırılması Ransomware Rutkitlər Butkitlər Scareware Shellcode Spam Sosial mühəndislik Ekranın qırılması Spyware Proqram təminatı səhvlari Troyan proqramları Aparat troyanları uzaqdan giriş troyanları Boşluq Web shelllər Wiper Soxulcan proqramlar SQL inyeksiyası Saxta təhlükəsizlik proqramı Zombi
Müdafiələr
Tətbiq təhlükəsizliyi Təhlükəsiz kodlaşdırma Standart olan təhlükəsizlik Dizaynla olan təhlükəsizlik Sui-istifadə halı Kompüter girişinə nəzarət Autentikasiya Çox faktorlu autentifikasiya Avtorizasiya Kompüter təhlükəsizliyi proqramı Antivirus proqramı Təhlükəsizliyə yönəlmiş əməliyyat sistemi Məlumat mərkəzli təhlükəsizlik Kod qarışıqlığı Məlumat maskalanması Şifrləmə Firewall Müdaxilənin aşkarlanması sistemi Host əsaslı müdaxilə aşkarlama sistemi (HIDS) Anomaliya aşkarlanması İnformasiya təhlükəsizliyi və hadisə idarəetməsi (SIEM) Mobil təhlükəsiz girişi İş vaxtı tətbiqinin özünü mühafizəsi
b m r

İmtiyazların artırılması adətən proqram və ya istifadəçi tərəfindən qorunan resurslara yüksək giriş əldə etmək üçün əməliyyat sistemində və ya tətbiqi proqramlarda səhvdən, dizayn qüsurundan və ya konfiqurasiyaya nəzarətdən istifadə etmək aktıdır. Nəticə odur ki, bu imtiyazı əldə edən adi istifadəci, proqram tərtibatçısı və ya sistem administratoru tərəfindən nəzərdə tutulan daha çox imtiyazları da əldə edərək, proqramda icazəsiz hərəkətlər edə bilər.

Əksər kompüter sistemləri hər biri imtiyazlar kimi tanınan bir neçə istifadəçi hesabı ilə istifadə üçün nəzərdə tutulmuşdur. Ümumi imtiyazlara fayllara baxmaq və redaktə etmək və ya sistem fayllarını dəyişdirmək daxildir.

İmtiyazların yüksəldilməsi o deməkdir ki, istifadəçilər sahib olmadıqları imtiyazları alırlar. Bu imtiyazlar faylları silmək, şəxsi məlumatlara baxmaq və ya viruslar kimi arzuolunmaz proqramları quraşdırmaq üçün istifadə edilə bilər. Bu, adətən sistemdə təhlükəsizliyin yan keçməsinə imkan verən bir səhv olduqda və ya alternativ olaraq onun necə istifadə ediləcəyi ilə bağlı qüsurlu dizayn fərziyyələri olduqda baş verir. İmtiyazların yüksəldilməsi iki formada baş verir:

• Daha aşağı imtiyazlı istifadəçi və ya tətbiqin daha yüksək imtiyazlı istifadəçilər və ya proqramlar üçün qorunan funksiyalara və ya məzmuna daxil olduğu (məsələn, İnternet Bankinq istifadəçiləri saytın inzibati funksiyalarına daxil ola bilər və ya smartfonun parolunu keçə bilər) imtiyazların yüksəldilməsi Şaquli (Vertical) imtiyazların yüksəldilməsi kimi tanınır.
• Normal istifadəçinin digər normal istifadəçilər üçün qorunan funksiyalara və ya məzmuna daxil olduğu (məsələn, İnternet Bankinq İstifadəçisi A, B İstifadəçisinin İnternet bank hesabına daxil olur) Üfüqi (Horizontal) imtiyazların yüksəldilməsi kimi tanınır.

Bu tip imtiyazların yüksəldilməsi o zaman baş verir ki, istifadəçi və ya proses, ola bilsin ki, nüvə səviyyəsində əməliyyatlar yerinə yetirməklə, nəzərdə tutulan administrator və ya sistem tərtibatçısından daha yüksək səviyyəli giriş əldə edə bilsin.

Bəzi hallarda, yüksək imtiyazlı proqram onun yalnız interfeys spesifikasiyasına uyğun gələn girişlə təmin olunacağını güman edir, buna görə də bu girişi təsdiq etmir. Bundan sonra, hücumcunun tətbiqin imtiyazları ilə icazəsiz kodu işlətmək üçün bu fərziyyədən istifadə edə bilər:

• Bəzi Windows xidmətləri Yerli Sistem (Local System) istifadəçi hesabı altında işləmək üçün konfiqurasiya edilmişdir. Bufer daşması kimi zəiflik Yerli Sistemə yüksəldilmiş imtiyazla ixtiyari kodu icra etmək üçün istifadə edilə bilər. Alternativ olaraq, daha az istifadəçini təqlid edən sistem xidməti istifadəçinin şəxsiyyətinə çevrilərkən səhvlər düzgün idarə olunmazsa (məsələn, istifadəçi zərərli səhv idarəedicisini təqdim edibsə) həmin istifadəçinin imtiyazlarını yüksəldə bilər.
• Microsoft Windows əməliyyat sisteminin bəzi köhnə versiyalarında Bütün İstifadəçilər ekran qoruyucu Yerli Sistem hesabı altında işləyir – fayl sistemində və ya Reyestrdə cari ekran qoruyucu binarını əvəz edə bilən istənilən hesab buna görə də imtiyazları yüksəldə bilər.
• Linux nüvəsinin müəyyən versiyalarında cari qovluğunu təyin edən proqram yazmaq, onun qəzaya uğraması halında əsas boşaltmanın /etc/cron.d həyata keçirilməsini tələb etmək və sonra başqa bir proses tərəfindən özünü öldürmək mümkün idi. Əsas dump faylı proqramın cari qovluğuna, yəni, yerləşdiriləcək və ona proqramları cədvəl üzrə işə salmağı əmr edən mətn faylı kimi baxacaqdı. Faylın məzmunu hücumçunun nəzarəti altında olacağından, təcavüzkar kök imtiyazları olan istənilən proqramı icra edə bilər. /etc/cron.d cron
• iPhone- un bəzi versiyaları icazəsiz istifadəçiyə telefon kilidli halda ona daxil olmağa imkan verir.^[1]

Tətbiq hücumçunun adətən proqram və ya istifadəçi tərəfindən qorunacaq resurslara giriş əldə etməsinə icazə verdikdə üfüqi imtiyazların artması baş verir. Nəticə odur ki, proqram eyni istifadəçi ilə, lakin proqram tərtibatçısı və ya sistem administratoru tərəfindən nəzərdə tutulduğundan fərqli təhlükəsizlik kontekstində əməliyyatlar həyata keçirir; bu, faktiki olaraq imtiyazların artırılmasının məhdud formasıdır (xüsusilə, digər istifadəçiləri təqlid etmək imkanının icazəsiz fərziyyəsi). Şaquli imtiyaz artımı ilə müqayisədə, üfüqi hesabların imtiyazının təkmilləşdirilməsini tələb etmir. Çox vaxt sistemdəki səhvlərə əsaslanır.^[2]

Bu problem tez-tez veb proqramlarda baş veri . Aşağıdakı misalı nəzərdən keçirək:

• İstifadəçi A İnternet Bankçılıq proqramında öz bank hesabına çıxış əldə edir.
• İstifadəçi B eyni İnternet Bankinq proqramında öz bank hesabına çıxış əldə edir.
• Zəiflik o zaman baş verir ki, A İstifadəçisi bir növ zərərli fəaliyyət həyata keçirərək B istifadəçisinin bank hesabına daxil ola bilsin. Bu zərərli fəaliyyət ümumi veb proqram zəiflikləri və ya zəifliklər səbəbindən mümkün ola bilər.

Bu vəziyyətə gətirib çıxara biləcək potensial veb proqram zəiflikləri və ya vəziyyətlərə aşağıdakılar daxildir:

• İstifadəçinin HTTP kukisində proqnozlaşdırıla bilən sessiya identifikatorları.
• Sessiya fiksasiyası.
• Saytlararası skript.
• Asanlıqla təxmin edilən parollar.
• Sessiya kukilərinin oğurlanması və ya qaçırılması.
• Klaviatura girişi.

• Rutinq
• Windows
• Linux