{"id":3672,"date":"2022-11-16T14:40:03","date_gmt":"2022-11-16T14:40:03","guid":{"rendered":"https:\/\/texnokun.uz\/?p=3672"},"modified":"2022-11-20T16:53:06","modified_gmt":"2022-11-20T16:53:06","slug":"signal-ilovasining-xavfsizligi-xakerlar-tomonidan-tasdiqlandi","status":"publish","type":"post","link":"https:\/\/texnokun.uz\/?p=3672","title":{"rendered":"Signal ilovasining xavfsizligi xakerlar tomonidan tasdiqlandi"},"content":{"rendered":"\n<p class=\"wp-block-paragraph\">Signal xabarlar ilovasi foydalanuvchilari xakerlik hujumiga uchradi.&nbsp; Biz nima bo&#8217;lganini va nima uchun xakerlik hujumi Signal ishonchli ekanligini isbotlab qo&#8217;yganini tahlil qilamiz.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/lh4.googleusercontent.com\/yNG2Ll1Jq68_mpl7ricTuXxiRCgW3p8va-KVSyEzDE21-UO3zFpwL2Yqh4IQnH-aLMbw9C9xXOR2GMbI-wB7s5DA-aONIVuDWSPSGcgz1zzFNlDS296-ELifdZLxIO_sdqDzNrWpAf5VSyKAxauxW627KVmFqF1AYInsYme__uGRdGHwsvD0WTO1Eb4J\" alt=\"\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;2022 yil 15 avgust kuni Signal jamoasi noma\u2019lum xakerlar messenjer foydalanuvchilariga kibrhujum qilgani haqida xabar berdi. Bugun biz sizga nima uchun bu voqea Signalning boshqa ba&#8217;zi messenjerlarga nisbatan afzalliklarini ko&#8217;rsatishini tushuntiramiz.<\/p>\n\n\n\n<p class=\"has-normal-font-size wp-block-paragraph\"><strong>&nbsp;<\/strong><strong>Nima bo&#8217;ldi?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Signal tomonidan e&#8217;lon qilingan bayonotga ko&#8217;ra, hujum ilovaning 1900 ga yaqin foydalanuvchilariga ta&#8217;sir ko&#8217;rsatdi.&nbsp;Signal auditoriyasi oyiga 40 milliondan ortiq faol foydalanuvchini tashkil etishini hisobga olsak, voqea ularning ozgina qismiga ta&#8217;sir qildi.&nbsp;Bundan ma&#8217;lumki, Signal ilovasi asosan yozishmalarining maxfiyligi haqida qayg&#8217;uradiganlar tomonidan foydalaniladi.&nbsp; Shunday qilib, hujum foydalanuvchilarning ozgina qismiga ta&#8217;sir qilgan bo&#8217;lsa-da, u hali ham axborot xavfsizligi dunyosida aks-sado bermoqda.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/lh6.googleusercontent.com\/y5LyT2PpWJG6EwscqDOQnzbKYjIeLnaJ3U0PNLj_c7Kp_KU1MRPAinwxUSU-EJJzF_8E-w4FW23NwQHv_Go474-Erj492tVr9b8KTdcOeK_ZuNiOAtVJIlidzabTTOPtQYsCxP1hNIoZkhMNzaV7bi1Ua2X8HLKj-53OwGgMc7Uv2SuG4ZCRKVHywQYc\" alt=\"\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Hujum natijasida xakerlar jabrlanuvchining akkauntiga boshqa qurilmadan kirishga yoki falon telefon raqami egasi Signaldan foydalanishini aniqlashga muvaffaq bo\u2018ldi. Xakerlar ushbu 1900 foydalanuvchilar orasidan uchtasiga ahamiyat berdilar, shundan so&#8217;ng ushbu uchta foydalanuvchidan biri ularning akkaunti boshqa qurilmada ular bilmagan holda faollashtirilganligi haqida Signalga xabar berdi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Bu qanday sodir bo&#8217;ldi?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Ommaviy axborot sahifalarida Signal xavfsiz messenjer ekanligi haqida ko&#8217;p bora ta&#8217;kidlangan, ammo u muvaffaqiyatli hujumga uchradi. Endi bu uning mashhur xavfsizligi va maxfiyligi shunchaki quruq gap ekanligini anglatadimi?&nbsp; Keling, hujum qanday ko&#8217;rinishga ega ekanligini va Signal aslida qanday rol o&#8217;ynaganini ko&#8217;rib chiqaylik.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Keling Signal akkauntlaridan boshlaymiz, masalan, WhatsApp va Telegram&nbsp; telefon raqamiga bog&#8217;lanadi.&nbsp; Bu keng tarqalgan, ammo universal amaliyot emas.&nbsp; Masalan, Threema xavfsiz messenjeri o&#8217;zining katta mavqei sifatida g&#8217;urur bilan ta&#8217;kidlaydiki, u telefon raqamlariga akkauntlarni bog&#8217;lamaydi.&nbsp;Signal messenjerida autentifikatsiya qilish uchun telefon raqami kerak: foydalanuvchi o&#8217;z telefon raqamini kiritadi, unga kod matnli xabarda yuboriladi. So&#8217;ngra kod kiritilishi kerak: agar u to&#8217;g&#8217;ri bo&#8217;lsa, bu foydalanuvchi haqiqatan ham yuborilgan raqam egasi ekanligini anglatadi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Bunday matnli xabarlarni bir martalik kodlar bilan yuborish bir nechta xizmatlar uchun bir xil autentifikatsiya usulini taqdim etadigan ixtisoslashgan kompaniyalar tomonidan amalga oshiriladi.&nbsp; Signal holatida, bu provayder Twilio &#8211; va xakerlar aynan shu kompaniyani nishonga olishgan.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Keyingi qadam fishing (tuzoqqa tushirish) edi. Ba&#8217;zi Twilio xodimlari ularning parollari eski va yangilanishi kerakligi haqida xabarlar oldi. Buning uchun ularga fishing havolasini bosish taklif qilindi.&nbsp; Bir xodim o&#8217;ljaga aylandi, soxta saytga kirdi, ularning hisob ma&#8217;lumotlarini kiritdi, bu esa to&#8217;g&#8217;ridan-to&#8217;g&#8217;ri xakerlarning qo&#8217;liga tushdi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Ushbu hisob ma&#8217;lumotlari ularga Twilio&#8217;ning ichki tizimlariga kirish imkonini berib, foydalanuvchilarga matnli xabarlar yuborish va ularni o&#8217;qish imkonini berdi.&nbsp; Shundan so\u2018ng xakerlar ushbu xizmatdan Signal\u2019ni yangi qurilmaga o\u2018rnatish uchun foydalanishdi: ular jabrlanuvchining telefon raqamini kiritishdi, faollashtirish kodi bilan matnni ushlab olishdi va Signal akkauntiga kirishdi.<\/p>\n\n\n\n<p class=\"has-normal-font-size wp-block-paragraph\"><strong>Bu hodisa Signalning mustahkamligini qanday isbotlaydi ?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Shunday qilib, hatto Signal ham bunday hodisalardan himoyalanmaganligi ma&#8217;lum bo&#8217;ldi.&nbsp; Nega biz uning xavfsizligi va maxfiyligi haqida gapiramiz?<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Birinchidan, kiberjinoyatchilar yozishmalarga kirish imkoniga ega bo&#8217;lishmagan.&nbsp; Signal xavfsiz E2E (end-to-end encryption, ya&#8217;ni yakuniy ma&#8217;lumotlar almashinuvi usuli, ma\u02bclumot faqat oxirgi qurilmalarda shifrlanadi va deshifrlanadi.) Signal Protokol&nbsp; shifrlashdan foydalanadi. E2E shifrlashdan foydalangan holda, foydalanuvchi xabarlari Signal serverlarida yoki boshqa joyda emas, faqat o&#8217;z qurilmalarida saqlanadi.&nbsp; Shuning uchun, Signal infratuzilmasini buzish orqali ularni o&#8217;qishning hech qanday iloji yo&#8217;q.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Signal serverlarida saqlanadigan narsa foydalanuvchilarning telefon raqamlari, shuningdek ularning kontaktlarining telefon raqamlaridir.&nbsp; Bu sizning kontaktingiz Signaldan&nbsp; ro&#8217;yxatdan o&#8217;tganida messenjerga sizni xabardor qilish imkonini beradi.&nbsp; Biroq, ma&#8217;lumotlar, birinchi navbatda, xavfsiz anklavlar deb ataladigan maxsus joylarda saqlanadi, bunga hatto Signal ishlab chiquvchilari ham kira olmaydi.&nbsp; Ikkinchidan, raqamlarning o&#8217;zi u yerda oddiy matnda emas, balki xesh-kod ko&#8217;rinishida saqlanadi.&nbsp; Bu mexanizm telefoningizdagi Signal ilovasiga kontaktlar haqida shifrlangan ma\u02bclumotlarni yuborish va kontaktlaringizdan qaysi biri Signaldan foydalanishi haqida shifrlangan javob olish imkonini beradi.&nbsp; Boshqacha qilib aytganda, xakerlar foydalanuvchining kontaktlar ro&#8217;yxatiga ham kira olmaydilar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Nihoyat, Signal ta&#8217;minot zanjirida &#8211; kompaniya tomonidan kamroq himoyalangan xizmat ko&#8217;rsatuvchi provayder orqali hujumga uchraganini ta&#8217;kidlashimiz kerak.&nbsp; Demak, bu uning zaif bo&#8217;g&#8217;inidir.&nbsp; Biroq, Signal ham bunga qarshi kafolatlarga ega.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Ilovada ,,Ro\u2018yxatdan o\u2018tish&#8221; bandi (faollashtirish uchun Sozlamalar \u2192 Hisob qaydnomasi \u2192 Ro\u2018yxatdan o\u2018tish bo\u2018limiga o\u2018ting) deb nomlangan funksiya mavjud bo\u2018lib, u yangi qurilmada Signalni faollashtirishda foydalanuvchi tomonidan belgilangan PIN-kodni kiritishni talab qiladi.&nbsp; Har holda, Signaldagi PIN-kod ilovani qulfdan chiqarishga hech qanday aloqasi yo\u2018qligini aniqlab olaylik \u2014 bu siz smartfonni qulfdan chiqarish uchun foydalanadigan vositalar orqali amalga oshiriladi.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img decoding=\"async\" src=\"https:\/\/lh4.googleusercontent.com\/fOBrsHpZIYpZWeYlTC0TfKOv_U6kzSkfzuow9jT4MZzAkm2iyO__GTvne_9rX74BCkmliNpWSF8cXEgm8yBYxY3VQi_IMmHSFC9hs6kxCiSDFBmvbJZ4LaDz5wSCEO8l38jd0t0JHwvkHUeCKLW4KZvhnr6v0FTiVTj99MHau_rmQ5wsVC4C7621MYWA\" alt=\"\"\/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Odatda Signalning Sozlamalar bo&#8217;limidagi&nbsp; ,,Ro&#8217;yxatdan o&#8217;tish&#8221; bandi o&#8217;chirilgan bo&#8217;ladi. Xakerlik hujumiga uchragan 3 kishilarda ushbu sozlama o&#8217;chirilgan holda bo&#8217;lgan. Shunday qilib, kiberjinoyatchilar taxminan 13 soat davomida hujum qurboni sifatida o\u2018zini namoyon qilib, hujumni amalga oshirishga muvaffaq bo\u2018lishdi. Agar ,,Ro&#8217;yxatdan o&#8217;tish&#8221; bandi yoqilgan bo&#8217;lganida, ular faqat telefon raqami va tasdiqlash kodini bilgan holda ilovaga kira olmasdilar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Xabarlarni yaxshiroq himoya qilish uchun nima qilish kerak?<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Xulosa qilib aytadigan bo&#8217;lsak: hujumchilar Signalning o&#8217;zini emas, balki uning hamkori Twilioni buzib, ularga 1900 ta akkauntga kirish huquqini berishgan, ular uchtasiga kirishgan.&nbsp; Bundan tashqari, ular na yozishmalarga, na kontaktlar ro&#8217;yxatiga kirish imkoniga ega bo&#8217;lishdi va faqat o&#8217;zlari kirgan akkauntlarning foydalanuvchilarini taqlid qilishga urinishlari mumkin edi.&nbsp; Agar bu foydalanuvchilar Registration Lock-ni yoqgan bo&#8217;lganida, xakerlar buni amalga oshirishlari ham mumkin emas edi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Va hujum rasmiy ravishda muvaffaqiyatli bo&#8217;lsa-da, xavotirga tushishga va Signaldan foydalanishni to&#8217;xtatish uchun hech qanday sabab yo&#8217;q.&nbsp; Bu xakerlik hodisasidan ko&#8217;rinib turibdiki, bu sizning xabarlaringiz uchun yaxshi maxfiylikni ta&#8217;minlaydigan juda xavfsiz dastur bo&#8217;lib qolmoqda.&nbsp; Ammo siz buni yanada xavfsizroq qilishingiz mumkin:<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Signal sozlamalarida Registration Lock funksiyasini yoqing, shunda kiberjinoyatchilar yangi qurilmada Signalni faollashtirish uchun bir martalik kodga ega bo\u2018lsalar ham shaxsiy PIN-kodingizni bilmasdan hisobingizga kira olmaydilar.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Signalda xavfsizlik va maxfiylikni o&#8217;rnatib&nbsp; ilovangizni sozlang.&nbsp; Signalda asosiy sozlamalar bilan bir qatorda haqiqiy paranoid uchun variantlar mavjud bo&#8217;lib, ular ba&#8217;zi qulaylik evaziga qo&#8217;shimcha xavfsizlikni ta&#8217;minlaydi.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">&nbsp;Va, albatta, smartfoningizga xavfsizlik dasturini o&#8217;rnating. Agar zararli dastur qurilmangizga kirsa, Signal tomonidagi hech qanday himoya choralari sizning xabarlaringiz va kontaktlar ro\u2018yxatini himoya qilmaydi.&nbsp; Ammo zararli dasturlarga ruxsat berilmasa yoki hech bo&#8217;lmaganda o&#8217;z vaqtida qo&#8217;lga olinsa, ma&#8217;lumotlaringizga hech qanday tahdid yo&#8217;q.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Signal xabarlar ilovasi foydalanuvchilari xakerlik hujumiga uchradi.\u00a0 Biz nima bo&#8217;lganini va nima uchun xakerlik hujumi Signal ishonchli ekanligini isbotlab qo&#8217;yganini tahlil qilamiz.<\/p>\n<p>\u00a02022 yil 15 avgust kuni Signal jamoasi noma\u2019lum xakerlar messenjer foydalanuvchilariga kibrhujum qilgani haqida xabar berdi. Bugun biz sizga nima uchun bu voqea Signalning boshqa ba&#8217;zi messenjerlarga nisbatan afzalliklarini ko&#8217;rsatishini tushuntiramiz.<\/p>\n<p>#signal #kiberxavfsizlik<\/p>\n","protected":false},"author":5,"featured_media":3738,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_mi_skip_tracking":false,"footnotes":""},"categories":[5],"tags":[8,75],"class_list":["post-3672","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-axborot-xafvsizligi","tag-kiberxavfsizlik","tag-signal"],"_links":{"self":[{"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/posts\/3672","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/texnokun.uz\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3672"}],"version-history":[{"count":4,"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/posts\/3672\/revisions"}],"predecessor-version":[{"id":3739,"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/posts\/3672\/revisions\/3739"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/texnokun.uz\/index.php?rest_route=\/wp\/v2\/media\/3738"}],"wp:attachment":[{"href":"https:\/\/texnokun.uz\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3672"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/texnokun.uz\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3672"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/texnokun.uz\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3672"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}