Rejani kattaroq oling
Faraz qiling sizni IT manager (CTO) sifatida ishga olishmoqchi. Sizning yordamingizda korxonani $2mlnʼdan $10mlnʼga olib chiqishmoqchi. Sizni ishga olish uchun suhbat (interview) qilishmoqda. Sizning harakatingiz va soʻzingiz:
Lekin bu gapni kichik CTO gapirsa yarashadi. Senior CTO bunday deydi:
Maqsad korxonaning C-daraja odami boʻlmoqchimisiz? Unda marhamat Imkoniyat va Masʼuliyatni birga qabul qiling. CEO siz bilan birga korxonani kattalashtirishini oʻzingiz his qiling va unga ham his qildiring.
(CTO in 100days: 3-kun)
@DrAlgorithm #cto
Faraz qiling sizni IT manager (CTO) sifatida ishga olishmoqchi. Sizning yordamingizda korxonani $2mlnʼdan $10mlnʼga olib chiqishmoqchi. Sizni ishga olish uchun suhbat (interview) qilishmoqda. Sizning harakatingiz va soʻzingiz:
- Yaxshi, men shu yerda ekanman, texnologiya sizning oʻsishingiz uchun toʻgʻri ishlashini taʼminlayman, - deb aytishingiz mumkin.
Lekin bu gapni kichik CTO gapirsa yarashadi. Senior CTO bunday deydi:
- Demak, men sizni $2mlnʼdan $10mlnʼga olib chiqishga yordam beruvchi CTOman.
Maqsad korxonaning C-daraja odami boʻlmoqchimisiz? Unda marhamat Imkoniyat va Masʼuliyatni birga qabul qiling. CEO siz bilan birga korxonani kattalashtirishini oʻzingiz his qiling va unga ham his qildiring.
(CTO in 100days: 3-kun)
@DrAlgorithm #cto
👍25🔥6
Masʼuliyat
Qaror biznes uchun foydali yoki zararli boʻlganini aniqlashga qancha koʻp vaqt ketsa, bu qarorlarni qabul qiladigan odamdan shunchalik koʻp ishonch talab etiladi.
(CTO in 100 days: 4-kun)
@DrAlgorithm #cto
Qaror biznes uchun foydali yoki zararli boʻlganini aniqlashga qancha koʻp vaqt ketsa, bu qarorlarni qabul qiladigan odamdan shunchalik koʻp ishonch talab etiladi.
The longer it takes to reveal whether a decision is good or bad for the business, the more trust is required in the people making those decisions.
(CTO in 100 days: 4-kun)
@DrAlgorithm #cto
👍11☃4🔥1🤔1🆒1
CTOlar tormoz
CTO lardan biri optimizm (ijobiy baho berish) haqida gaplashganda, oʻzi ishlagan CEOlaridan birining gapini esladi. CEOsi aytar ekan:
Albatta, birdaniga hamma narsani yomonga yoʻymang, hammasining asosi bor.
Tahlilchi odam eng yomon holatni baholay oladi. Eng yomon boʻlganda nima sodir boʻlishini koʻra oladi. Uni oldini olishni oʻylay oladi. Masalaning mohiyati ham shunda. Biror loyiha qilganda, unga harajat qilar ekansiz, eng yomon holatda nimani yutkazishingizni bilishingiz kerak.
Masalan, agar oʻziz tikkan pulga kuysangiz bu muammo emas.
Agar mijoz pulini qaytara olmasangiz, bu fojea.
Shunday ekan doiradan tashqari fikrlashni oʻrganing yoki shunday xodim toping. Risklarni oldindan baholang va sodir boʻlmaslik chorasini koʻrib qoʻying.
Siz sababli mijoz kartasidan pul yoʻqolmasin, tizim oʻchib qolmasin, xizmat turi menyudan yoʻqolib qolmasin. Yer tagida ilon qimirlaganini bilishganidek tizimning ichida nima boʻlayotganini his qiling.
Tormozlar dunyoda koʻp, siz unday emassiz.
@DrAlgorithm #cto
CTO lardan biri optimizm (ijobiy baho berish) haqida gaplashganda, oʻzi ishlagan CEOlaridan birining gapini esladi. CEOsi aytar ekan:
Mani vazifam oʻyogʻimni gazga bosish,
Sani vazifang esa, oʻyogʻingni tormozda ushlash, - deb.
Albatta, birdaniga hamma narsani yomonga yoʻymang, hammasining asosi bor.
Tahlilchi odam eng yomon holatni baholay oladi. Eng yomon boʻlganda nima sodir boʻlishini koʻra oladi. Uni oldini olishni oʻylay oladi. Masalaning mohiyati ham shunda. Biror loyiha qilganda, unga harajat qilar ekansiz, eng yomon holatda nimani yutkazishingizni bilishingiz kerak.
Masalan, agar oʻziz tikkan pulga kuysangiz bu muammo emas.
Agar mijoz pulini qaytara olmasangiz, bu fojea.
Shunday ekan doiradan tashqari fikrlashni oʻrganing yoki shunday xodim toping. Risklarni oldindan baholang va sodir boʻlmaslik chorasini koʻrib qoʻying.
Siz sababli mijoz kartasidan pul yoʻqolmasin, tizim oʻchib qolmasin, xizmat turi menyudan yoʻqolib qolmasin. Yer tagida ilon qimirlaganini bilishganidek tizimning ichida nima boʻlayotganini his qiling.
Tormozlar dunyoda koʻp, siz unday emassiz.
@DrAlgorithm #cto
👍10☃1🔥1
Shaffoflik - Transparency
Loyihani bajarish vaqti va sifati, muammo kam chiqishi, moliyaviy ziyon boʻlmasligi majburiyatini siz olgansiz.
Shaffoflik orqali siz har bir xodimingiz duch kelgan muammo, kechikish va boshqa sabablardan xabardor boʻlib turasiz. Buni jamoangiz ochiq ayta olishiga oʻrgating.
Junior vazifasini qila olmasa yoki kechiksa darrov jazolash yoki moliyaviy qisqartirishga shoshilmang. Ahir siz muammo haqida xabar topdingiz. Agar darxol (shu ondayoq) muammo yasash odatingiz boʻlsa, xodimlaringiz sizga kamchiliklarni aytmay qoʻyadi. "Rosa foyda" boʻlsa kerak-a?
Middle buzib qoʻydi, 1 oylik ishni oʻchirib yubordi. Jazolash emas bu holat (risk) nima uchun hisobga olinmagan va nima uchun bartaraf etish jarayoni ishlab chiqilmagan, shu haqda bosh qotiring.
Jamoa ochiq (shaffof) gaplashib, muammolarni hali kichik vaqtida rahbariga yetkazsa, rahbar ham umumiy ishni toʻgʻri baholay oladi.
@DrAlgorithm #cto
Rahbar sifatida jamoangiz ichida shaffoflikni yoʻlga qoʻying.
Loyihani bajarish vaqti va sifati, muammo kam chiqishi, moliyaviy ziyon boʻlmasligi majburiyatini siz olgansiz.
Shaffoflik orqali siz har bir xodimingiz duch kelgan muammo, kechikish va boshqa sabablardan xabardor boʻlib turasiz. Buni jamoangiz ochiq ayta olishiga oʻrgating.
Oʻzingiz ham toʻgʻri qabul qilishni oʻrganing.
Junior vazifasini qila olmasa yoki kechiksa darrov jazolash yoki moliyaviy qisqartirishga shoshilmang. Ahir siz muammo haqida xabar topdingiz. Agar darxol (shu ondayoq) muammo yasash odatingiz boʻlsa, xodimlaringiz sizga kamchiliklarni aytmay qoʻyadi. "Rosa foyda" boʻlsa kerak-a?
Middle buzib qoʻydi, 1 oylik ishni oʻchirib yubordi. Jazolash emas bu holat (risk) nima uchun hisobga olinmagan va nima uchun bartaraf etish jarayoni ishlab chiqilmagan, shu haqda bosh qotiring.
Maqsadingiz shaffoflik orqali vaʼda qilgab ishingizni vaqtida bajarish boʻlsin.
Jamoa ochiq (shaffof) gaplashib, muammolarni hali kichik vaqtida rahbariga yetkazsa, rahbar ham umumiy ishni toʻgʻri baholay oladi.
CTOning vazifasi shu shaffoflikni jamoada paydo qilish.
@DrAlgorithm #cto
👌9👍5❤🔥2❤1🆒1
Dasturchilar bilan ishlash
Trillion Dollarlik Murabbiy kitobi qahramoni Bill Campbell ning fikrlaridan.
#cto
@DrAlgorithm
Dasturchilar bilan ishlashda, ularga yechim bilan kelma. Ular oldida kechmoqchi boʻlgan muammoing bila kel, dasturchilar esa shu muammo yechimini topishadi.
Trillion Dollarlik Murabbiy kitobi qahramoni Bill Campbell ning fikrlaridan.
#cto
@DrAlgorithm
👍17⚡3
Virus — Virus kichik dastur boʻlib, boshqa dastur ichiga kiritiladi. Dastur ishga tushirilganida, virus ham ishga tushadi va oʻzini oʻzi koʻpaytiradi. oʻzini boshqa dasturga koʻchiradi yoki virusi bor yangi dastur nusxasini yaratadi. Yuqtirilgan dastur odatda yolgʻon nomga ega boʻlib, uni behosdan ishga tushirib yuborishga sabab boʻladi.
Trojan — Virusga oʻxshash. Troyan boshqa dastur ichida yashirinadi. Virusdan farqli oʻlaroq, Troyan koʻpaymaydi. Buning oʻrniga, dastur ishga tushganida zararli harakatlarni amalga oshiradi. Masalan, tizimga keyinchalik kirish uchun tuynuk (backdoor) ochadi.
Qurt (Worm) — Qurt alohida dastur, virusga oʻxshab boshqa dastur ichida yashirilgan boʻlmaydi, u oʻzi turgan kompyuterni tekshiradi va o‘zini tarmoqdagi boshqa kompyuterlarga nusxalashga harakat qiladi. U bevosita oʻzini o‘sha kompyuterlardagi zaifliklarni topish orqali nusxalaydi yoki yuqtirilgan kompyuterda elektron pochta manzillariga o‘zini yuborishni boshlaydi. Kimdir uni ishlatib yuborsa, zararlangan boʻladi.
Soxta dastur (FakeApp) — Soxta dastur o‘zini boshqa bir narsa sifatida ko‘rsatadigan soxta dastur. Masalan, Minecraftning so'nggi versiyasi. Soxta dastur qisman ishlaydigan arzon nusxa boʻlishi yoki umuman ishlamasligi mumkin. U deyarli har qanday ishni bajarishi mumkin. Masalan, reklama koʻrsatishi, xavfli veb-saytlarga yoʻnaltirishi, viruslar yoki Troyanlarni oʻrnatishi va albatta kartangizdan pul yechib olishi kabi boshqa zararli harakatlarni amalga oshirishi mumkin.
Mantiqiy bomba (Logic bomb) — Mantiqiy bomba tizimga oʻrnatilgan dastur boʻlib, ma'lum sharoitlar yuzaga kelganida harakatga tushadi. Masalan, gʻazablangan xodim, xodim ishdan boʻshatilsa, ma'lumotlarni yoʻq qiladigan bomba oʻrnatishi mumkin. (Buni oldini olish uchun, xodimlaringiz bilan yaxshi munosabatda boʻling.)
Vaqt bombasi (Time bomb) — Vaqt bombasi ma'lum bir sana va vaqtda ishga tushadigan, toʻxtaydigan yoki boshqa harakatlarni amalga oshiradigan dastur. Biror dasturning beta versiyasi tekshirib boʻlinganidan so‘ng ishlamay qolishi uchun vaqt bombasi qoʻyiladi. Ammo belgilangan vaqtda ma'lumotlarni yo‘qotish yoki virusni ishga tushirish kabi zararli harakatlarni ham amalga ochirishi mumkin.
Tovlamachi dastur (Ransomware) — Tovlamachi dastur hujumi kompyuterdagi fayllarni shifrlaydi va fayllarni tiklash uchun to‘lov talab qiladi. Hujumchilar nafaqat sizning ma'lumotlaringizni shifrlab, undan foydalanishga imkon bermaydilar, balki ular ma'lumotni boshqa xakerlarga (masalan, kredit karta ma'lumotlarini) yoki ommaga (masalan, tibbiy yozuvlar yoki sharmandali kompaniya sirlarini) tarqatish bilan ham tahdid qilishadi.
Josuslik dasturi (Spyware) — Josuslik dasturi ma'lumotlarni yigʻib, hujumchiga yuboradi. Masalan, brauzeringizda juda koʻp reklama koʻrsatadigan, klaviatura tugmalarini va parollarni yigʻadigan yoki moliyaviy ma'lumotlarni oʻgʻrilaydigan dasturlar shu jumladan.
Rootkit — Rootkit kompyuterning ruxsat etilmagan qismiga kirish imkonini beruvchi dasturlar toʻplamidir. Masalan, Troyan keyinchalik tizimga kiritishga imkon beradigan rootkit oʻrnatishi mumkin, hatto tizim administratori vakolatlari bilan.
DoS (denial-of-service attack) — DoS (xizmatni rad etish hujumi) server yoki tarmoqni foydalanishga yaroqsiz holga keltirishga harakat qiladi, koʻpincha uni soxta soʻrovlar bilan toʻldiradi, shunda haqiqiy soʻrovlar oʻtib keta olmaydi. DDoS (distributed denial-of-service attack, tarqalgan xizmatni rad etish hujumi) oʻxshash boʻlib, hujum bir nechta kompyuterlardan amalga oshiriladi, masalan botnetdan.
Botnet — Bot Internet orqali ishlaydigan dastur. Botnet hujumchi tomonidan boshqariladigan botlar tarmogʻi hisoblanadi. Botnet harakatlarni bitta botga qaraganda ancha tezroq amalga oshirishi mumkin. Masalan, botnet DDoS hujumini boshlashi, millionlab elektron pochta hisoblariga spam yuborishi yoki xakerning foydasiga kripto tanga qazib olishi mumkin.
@DrAlgorithm #cto
Trojan — Virusga oʻxshash. Troyan boshqa dastur ichida yashirinadi. Virusdan farqli oʻlaroq, Troyan koʻpaymaydi. Buning oʻrniga, dastur ishga tushganida zararli harakatlarni amalga oshiradi. Masalan, tizimga keyinchalik kirish uchun tuynuk (backdoor) ochadi.
Qurt (Worm) — Qurt alohida dastur, virusga oʻxshab boshqa dastur ichida yashirilgan boʻlmaydi, u oʻzi turgan kompyuterni tekshiradi va o‘zini tarmoqdagi boshqa kompyuterlarga nusxalashga harakat qiladi. U bevosita oʻzini o‘sha kompyuterlardagi zaifliklarni topish orqali nusxalaydi yoki yuqtirilgan kompyuterda elektron pochta manzillariga o‘zini yuborishni boshlaydi. Kimdir uni ishlatib yuborsa, zararlangan boʻladi.
Soxta dastur (FakeApp) — Soxta dastur o‘zini boshqa bir narsa sifatida ko‘rsatadigan soxta dastur. Masalan, Minecraftning so'nggi versiyasi. Soxta dastur qisman ishlaydigan arzon nusxa boʻlishi yoki umuman ishlamasligi mumkin. U deyarli har qanday ishni bajarishi mumkin. Masalan, reklama koʻrsatishi, xavfli veb-saytlarga yoʻnaltirishi, viruslar yoki Troyanlarni oʻrnatishi va albatta kartangizdan pul yechib olishi kabi boshqa zararli harakatlarni amalga oshirishi mumkin.
Mantiqiy bomba (Logic bomb) — Mantiqiy bomba tizimga oʻrnatilgan dastur boʻlib, ma'lum sharoitlar yuzaga kelganida harakatga tushadi. Masalan, gʻazablangan xodim, xodim ishdan boʻshatilsa, ma'lumotlarni yoʻq qiladigan bomba oʻrnatishi mumkin. (Buni oldini olish uchun, xodimlaringiz bilan yaxshi munosabatda boʻling.)
Vaqt bombasi (Time bomb) — Vaqt bombasi ma'lum bir sana va vaqtda ishga tushadigan, toʻxtaydigan yoki boshqa harakatlarni amalga oshiradigan dastur. Biror dasturning beta versiyasi tekshirib boʻlinganidan so‘ng ishlamay qolishi uchun vaqt bombasi qoʻyiladi. Ammo belgilangan vaqtda ma'lumotlarni yo‘qotish yoki virusni ishga tushirish kabi zararli harakatlarni ham amalga ochirishi mumkin.
Tovlamachi dastur (Ransomware) — Tovlamachi dastur hujumi kompyuterdagi fayllarni shifrlaydi va fayllarni tiklash uchun to‘lov talab qiladi. Hujumchilar nafaqat sizning ma'lumotlaringizni shifrlab, undan foydalanishga imkon bermaydilar, balki ular ma'lumotni boshqa xakerlarga (masalan, kredit karta ma'lumotlarini) yoki ommaga (masalan, tibbiy yozuvlar yoki sharmandali kompaniya sirlarini) tarqatish bilan ham tahdid qilishadi.
Josuslik dasturi (Spyware) — Josuslik dasturi ma'lumotlarni yigʻib, hujumchiga yuboradi. Masalan, brauzeringizda juda koʻp reklama koʻrsatadigan, klaviatura tugmalarini va parollarni yigʻadigan yoki moliyaviy ma'lumotlarni oʻgʻrilaydigan dasturlar shu jumladan.
Rootkit — Rootkit kompyuterning ruxsat etilmagan qismiga kirish imkonini beruvchi dasturlar toʻplamidir. Masalan, Troyan keyinchalik tizimga kiritishga imkon beradigan rootkit oʻrnatishi mumkin, hatto tizim administratori vakolatlari bilan.
DoS (denial-of-service attack) — DoS (xizmatni rad etish hujumi) server yoki tarmoqni foydalanishga yaroqsiz holga keltirishga harakat qiladi, koʻpincha uni soxta soʻrovlar bilan toʻldiradi, shunda haqiqiy soʻrovlar oʻtib keta olmaydi. DDoS (distributed denial-of-service attack, tarqalgan xizmatni rad etish hujumi) oʻxshash boʻlib, hujum bir nechta kompyuterlardan amalga oshiriladi, masalan botnetdan.
Botnet — Bot Internet orqali ishlaydigan dastur. Botnet hujumchi tomonidan boshqariladigan botlar tarmogʻi hisoblanadi. Botnet harakatlarni bitta botga qaraganda ancha tezroq amalga oshirishi mumkin. Masalan, botnet DDoS hujumini boshlashi, millionlab elektron pochta hisoblariga spam yuborishi yoki xakerning foydasiga kripto tanga qazib olishi mumkin.
@DrAlgorithm #cto
👍9❤1
0-kun (zero-day or 0-day) — 0-kun tizimdagi xavfsizlik tadqiqotchilari (yaxshi bolalar) tomonidan ma'lum boʻlmagan yoki ma'lum boʻlsa ham hali tuzatishga ulgurilmagan zaiflikdir. Masalan, qurt tarmoqdagi kompyuterlarga 0-kun yordamida hujum qilishi mumkin.
Eksploit (Exploit) —Eksploit (yoki sploit, ajoyib atama) tizimdagi xatodan foydalanib , tizimni qul qilib ishlatuvchi dasturdir. Tizimning zaifligidan kirib, toʻliq huquq bilan kompyuter yoki serverni ishlata oladi.
Firibgarlik (Phishing) — Firibgarlik hujumi sizga oʻzini haqqoniy koʻrsatib, ishonchingizga kirib, sizning ma'lumotlaringizni olish usuli. Odatda email va SMS orqali amalga oshiriladi. Masalan, kirish ma'lumotlarini yoki kredit karta raqamlarini oshkor qilishga aldashga harakat qiladi. Bu hujumlar haqiqiy korxona nomidan qilingandek boʻladi. Masalan, bank xabarnomasi kabi bo'lib, juda ishonarli yozilgan boʻlishi mumkin. Ba'zida ular yanada haqqoniy ko'rinishi uchun soxtalashtirishdan foydalanadilar.
Hiyla (Spoofing) — Hiyla soʻzi biror narsaning kulgili taqlidi kabi qabul qilinishi mumkin, ammo kiber hujumda hiyla-nayrang ma'nosida kelib, email orqali oʻzini boshqa odam sifatida koʻrsatib, sizning shaxsiy ma'lumotlaringizni oʻgʻrilashga harakat qiladi. Masalan, Telegramda sizning rasmingiz va ismingizni ishlatib profil ochishadi va doʻstlaringizga xabar yuborib pul oʻgʻrilashadi, sizning shaxsiy ma'lumotlaringizni olishadi yoki hatto sizning nomingizdan choyxona tashkil etishadi. Albatta, pulini siz toʻlaysiz.
Suhbatni qo'lga olish (Conversation hijacking) — Suhbatni qo'lga olishda hujumchi elektron pochta hisobini buzadi va keyin suhbat oqimiga (thread) soxta xabarlarni yuboradi. Bu odatda firibgarlik (phishing) va hiyla (spoofing) bo'lishi ham mumkin. U nafaqat bilgan odamdan, balki siz bilan suhbatda bo‘lgan kishidan kelgan bo‘lgani uchun, bu juda ishontiruvchi bo‘lishi mumkin. Masalan, tasavvur qiling siz chet ellik hamkor bilan oylik invoicelarni email orqali gaplashasiz. Bir kuni invoice vaqti kelganida sizga xabar yozadi va xizmat arzonlashganini, hisob raqam almashganini aytadi. Sizga kamroq toʻlash yoqadi, hisob raqamni esa tekshira olmaysiz, shartta odatdagidek invoiceda koʻrsatilgan pulni yuborasiz. Ertasiga sizga hamkoringiz qoʻngʻiroq qilib, uning email hisobi buzilganini va pul muomalasini vaqtincha toʻxtatishni iltimos qiladi. Hullas...
Formani qo'lga olish (Formjacking) — Formani qo'lga olish hujumi veb-saytga zararli kodni kiritish orqali qilinadi. Veb-saytdan foydalanib, formalarga ma'lumot kiritgan odamning ma'lumorlari hujumchi serveriga yuboriladi. Masalan, hujumchi savdogar veb-saytiga kirib, uning buyurtma berish formasini oʻzgartiradi va endi kredit karta ma'lumotlarini oʻzini serverida saqlab oladi.
O'rtadagi odam (Man-in-the-middle) —O‘rtadagi odam (MITM) hujumida (birinchi M harfi “monster” (“hayvon”), “machine”, “monkey” (“maymun”) yoki “meddler” (“aralashuvchi”)ni anglatishi mumkin. Shuningdek PITM ham bor, ungadi Pni (“person” - “shaxs”) desa boʻladi. Bu usulda hujumchi sirlarni eshitishi yoki xabarlarni o'zgartirishi mumkin. Masalan, siz biror saytga kirdingiz. Kirishda sayt nomini yozasiz, shu vaqt serverga murojaat ketadi. Shu murojaatni ushlab sizning nomingizdan yuboraman, kelgan javobni sizga beraman. Shu shaklda siz va sayt orasidagi vosita boʻlib, barcha ma'lumotlaringizni koʻra olaman.
Ichki tahdid (Insider threats) —Ichki tahdid tashkilotning ichki ma'lumotiga ega bo'lgan shaxs, masalan, xodim, sobiq xodim, pudratchi yoki yetkazib beruvchi tomonidan keladigan tahdiddir. Bunda sizning xodimingiz korxona ma'lumotlarini begona shaxslarga yuboradi. Masalan, telegram orqali yillik moliyaviy hisobotlarni raqobatchilarga yuborish.
SQL injeksiya — Ushbu usulda hujumchi veb-sayt formasida kiruvchi ma'lumot sifatida SQL sorov elementlarini yozadi. Veb-sayt yaxshi tuzilmagan boʻlsa, sorovni toʻgʻri ma'lumotlar bazasiga yuboradi va shu usulda hujumchi ma'lumotlarga ega boʻladi. Hatto toʻliq nazoratga olishi ham mumkin. UzCert saytining mobil variantini buzilganini eslang, YouTubega ham qoʻyilgan edi.
@DrAlgoritm #cto
Eksploit (Exploit) —Eksploit (yoki sploit, ajoyib atama) tizimdagi xatodan foydalanib , tizimni qul qilib ishlatuvchi dasturdir. Tizimning zaifligidan kirib, toʻliq huquq bilan kompyuter yoki serverni ishlata oladi.
Firibgarlik (Phishing) — Firibgarlik hujumi sizga oʻzini haqqoniy koʻrsatib, ishonchingizga kirib, sizning ma'lumotlaringizni olish usuli. Odatda email va SMS orqali amalga oshiriladi. Masalan, kirish ma'lumotlarini yoki kredit karta raqamlarini oshkor qilishga aldashga harakat qiladi. Bu hujumlar haqiqiy korxona nomidan qilingandek boʻladi. Masalan, bank xabarnomasi kabi bo'lib, juda ishonarli yozilgan boʻlishi mumkin. Ba'zida ular yanada haqqoniy ko'rinishi uchun soxtalashtirishdan foydalanadilar.
Hiyla (Spoofing) — Hiyla soʻzi biror narsaning kulgili taqlidi kabi qabul qilinishi mumkin, ammo kiber hujumda hiyla-nayrang ma'nosida kelib, email orqali oʻzini boshqa odam sifatida koʻrsatib, sizning shaxsiy ma'lumotlaringizni oʻgʻrilashga harakat qiladi. Masalan, Telegramda sizning rasmingiz va ismingizni ishlatib profil ochishadi va doʻstlaringizga xabar yuborib pul oʻgʻrilashadi, sizning shaxsiy ma'lumotlaringizni olishadi yoki hatto sizning nomingizdan choyxona tashkil etishadi. Albatta, pulini siz toʻlaysiz.
Suhbatni qo'lga olish (Conversation hijacking) — Suhbatni qo'lga olishda hujumchi elektron pochta hisobini buzadi va keyin suhbat oqimiga (thread) soxta xabarlarni yuboradi. Bu odatda firibgarlik (phishing) va hiyla (spoofing) bo'lishi ham mumkin. U nafaqat bilgan odamdan, balki siz bilan suhbatda bo‘lgan kishidan kelgan bo‘lgani uchun, bu juda ishontiruvchi bo‘lishi mumkin. Masalan, tasavvur qiling siz chet ellik hamkor bilan oylik invoicelarni email orqali gaplashasiz. Bir kuni invoice vaqti kelganida sizga xabar yozadi va xizmat arzonlashganini, hisob raqam almashganini aytadi. Sizga kamroq toʻlash yoqadi, hisob raqamni esa tekshira olmaysiz, shartta odatdagidek invoiceda koʻrsatilgan pulni yuborasiz. Ertasiga sizga hamkoringiz qoʻngʻiroq qilib, uning email hisobi buzilganini va pul muomalasini vaqtincha toʻxtatishni iltimos qiladi. Hullas...
Formani qo'lga olish (Formjacking) — Formani qo'lga olish hujumi veb-saytga zararli kodni kiritish orqali qilinadi. Veb-saytdan foydalanib, formalarga ma'lumot kiritgan odamning ma'lumorlari hujumchi serveriga yuboriladi. Masalan, hujumchi savdogar veb-saytiga kirib, uning buyurtma berish formasini oʻzgartiradi va endi kredit karta ma'lumotlarini oʻzini serverida saqlab oladi.
O'rtadagi odam (Man-in-the-middle) —O‘rtadagi odam (MITM) hujumida (birinchi M harfi “monster” (“hayvon”), “machine”, “monkey” (“maymun”) yoki “meddler” (“aralashuvchi”)ni anglatishi mumkin. Shuningdek PITM ham bor, ungadi Pni (“person” - “shaxs”) desa boʻladi. Bu usulda hujumchi sirlarni eshitishi yoki xabarlarni o'zgartirishi mumkin. Masalan, siz biror saytga kirdingiz. Kirishda sayt nomini yozasiz, shu vaqt serverga murojaat ketadi. Shu murojaatni ushlab sizning nomingizdan yuboraman, kelgan javobni sizga beraman. Shu shaklda siz va sayt orasidagi vosita boʻlib, barcha ma'lumotlaringizni koʻra olaman.
Ichki tahdid (Insider threats) —Ichki tahdid tashkilotning ichki ma'lumotiga ega bo'lgan shaxs, masalan, xodim, sobiq xodim, pudratchi yoki yetkazib beruvchi tomonidan keladigan tahdiddir. Bunda sizning xodimingiz korxona ma'lumotlarini begona shaxslarga yuboradi. Masalan, telegram orqali yillik moliyaviy hisobotlarni raqobatchilarga yuborish.
SQL injeksiya — Ushbu usulda hujumchi veb-sayt formasida kiruvchi ma'lumot sifatida SQL sorov elementlarini yozadi. Veb-sayt yaxshi tuzilmagan boʻlsa, sorovni toʻgʻri ma'lumotlar bazasiga yuboradi va shu usulda hujumchi ma'lumotlarga ega boʻladi. Hatto toʻliq nazoratga olishi ham mumkin. UzCert saytining mobil variantini buzilganini eslang, YouTubega ham qoʻyilgan edi.
@DrAlgoritm #cto
👍3
Zararli dasturlar (virus)
Biznes yuritishda sizga keladigan havfdan xabardor boʻlish juda muhim. IT tomonini masʼul xodimlar, DevSecOps bajaradi. DevOps endi kirib kelayotgan vaqtda DevSecOps nima ekan deb hayron boʻlishingiz mumkin. Lekin izlab, oʻrganib qoʻygan yaxshi.
Quyida baʼzi bir virus turlarini keltiraman. Bu virus turlari biznes jarayonlarga salbiy ta'sir koʻrsata oladi va sizni moliyaviy harajatga tushirishi mumkin.
Ularning ba'zilari maqsadga koʻra (parollarni oʻgʻrilash yoki ma'lumotlarni yoʻq qilish) va ba'zilari usullariga ko`ra (
E'tibor bering, ko'plab tizimlar tuzatishlar mavjud bo'lganidan keyin ham buziladi. Shuning uchun texnik jihatdan doim nazorat qilib turing.
Agar mavzu qizziq boʻlsa, CTOning havfsizlik boʻyicha yana vazifalarini yoritib beraman.
@DrAlgorithm #cto
Biznes yuritishda sizga keladigan havfdan xabardor boʻlish juda muhim. IT tomonini masʼul xodimlar, DevSecOps bajaradi. DevOps endi kirib kelayotgan vaqtda DevSecOps nima ekan deb hayron boʻlishingiz mumkin. Lekin izlab, oʻrganib qoʻygan yaxshi.
Quyida baʼzi bir virus turlarini keltiraman. Bu virus turlari biznes jarayonlarga salbiy ta'sir koʻrsata oladi va sizni moliyaviy harajatga tushirishi mumkin.
Ularning ba'zilari maqsadga koʻra (parollarni oʻgʻrilash yoki ma'lumotlarni yoʻq qilish) va ba'zilari usullariga ko`ra (
koʻpaytirish yoki operatsion tizimdagi taniqli xatolarni hujum qilish) tasniflangan.Keling bugun shu viruslar va havfli dasturlar haqida gaplashamiz.
E'tibor bering, ko'plab tizimlar tuzatishlar mavjud bo'lganidan keyin ham buziladi. Shuning uchun texnik jihatdan doim nazorat qilib turing.
Navbatdagi post juda uzun. Lekin barcha turdagi havfni sigʻdira olmadim.
Agar mavzu qizziq boʻlsa, CTOning havfsizlik boʻyicha yana vazifalarini yoritib beraman.
@DrAlgorithm #cto
👍7