2013-04-28

Ирээдүйн компьютерын хариул зангиудад



Өнөө үед Интернетийн сүлжээнд холбогдсон улс орон төдийгүй тухайн нэг компани, аж ахуйн нэгжүүд кибер аюулгүй байдлыг хангах буюу мэдээллийн аюулгүй байдлыг хамгаалах асуудалд ихээхэн анхаарах болж. Иймд энэ нийтлэлдээ мэргэжсэн боловсон хүчинг хэрхэн бэлтгэх, сургах асуудлыг хөндлөө.

Өндөр хөгжилтэй улс орнууд кибер аюулгүй байдлын чиглэлээр дараах үндсэн хоёр багаас бүрдсэн CSIRT(Computer Security Incident Response Team)-ыг байгуулан, багын гишүүдийн зайлшгүй мэдэж байх, олон салбарыг хамарсан мэдлэгийн стандартыг тогтоож, боловсон хүчнийг бэлтгэх, шат дараалсан мэдлэг олгох, сургалтын загварчлалыг бий болгосон байна. Монголд ч гэсэх харуул занги (http://haruulzangi.mn/) гээд том арга хэмжээ амжилттай болох шиг боллоо.

Хамгаалалтын баг буюу “Blue team” – Defense team

Энэ багыг бүрдүүлэхдээ тодорхой туршлага бүхий системийн инженер болон администраторуудад  зориулсан Сүлжээ, Уних, Виндоусын хамгаалалтыг хэрхэн хийх талаар сургалт явуулж, үүнээс гадна аюулгүй байдлын шинжээч(Security analyst)-ын мэдлэг олгох зорилгоор  Incident handling, Digital Forensic, Malware/Reverse engineering чиглэлийн сургалтуудыг мөн явуулж, тэдгээрийн дунд төрөл бүрийн уралдаан тэмцээн зохион байгуулан, мэргэжлийн шалгалтуудыг авч, үнэмлэхжүүлэн шилдэг боловсон хүчинг сонгон авч байна.

Шалгалтыг хийгч баг буюу “Red team”Hacking team

Энэ багт ажиллах боловсон хүчинг сонгохдоо системийн болон вебийн програмчлалын чиглэлээр туршлага бүхий мэргэжилтнүүдэд утастай, утасгүй сүлжээ, үйлдлийн систем, веб болон бусад интернетийн үйлчилгээний системүүдийг хэрхэн хакдах, ажиллагаагүй болгон доголдуулах, аюулгүй байдлыг нь хэрхэн шалгах, мөн хэрхэн хамгаалах чиглэлийн мэдлэг олгох сургалтуудыг явуулан бэлтгэж байна.

Мэдлэгийг хаанаас олж авч эзэмших вэ?

Энэ чиглэлийн мэдлэг олгох богино хугацааны төлбөртэй сургалтууд болон үнэгүй онлайн сургалтууд суух, төрөл бүрийн тэмцээнд орж, амжилт гаргасан багуудын гүйцэтгэлийн тайлангаас суралцах, сургалт болон судалгааны зориулалттай системүүдийг татан авч ажиллуулан суралцах зэрэг маш олон төрлийн арга замууд бий.

Ер нь бол мэдээллийн аюулгүй байдлын мэргэжилтэн болох хүн нэлээн олон зүйлийг үзэх хэрэгтэй болдог. Юунаас эхлэх үү, хэрхэн системтэйгээр цааш явах уу зэрэг асуудалд дараах хаягууд хариу өгөх болов уу? Мөн эдгээр линк дэх схем нь бүх чиглэлийг бүрэн хамраагүй ч гэсэн сургалтын төлөвлөлтөө хийхдээ санаа авч ашиглавал хэрэгтэй байх юм.

SANS институтын сургалтын бүдүүвч http://www.sans.org/security-training/roadmap.pdf
Vulnerability assessment -

Төлбөртэй сургалтууд

Төлбөргүй онлайн сургалтууд

Сургалтын үйлдлийн системүүд

Тэмцээнүүдэд оролцсон багуудын гүйцэтгэлийн тайлан

Товчлолын хүснэгтүүд буюу шифинүүд (Cheat sheet)

Мэдээллийн аюулгүй байдлын мэргэжилтэн байнга мэдлэгийн цар хүрээгээ нэмэгдүүлж байхад хүн л болсон хойно мартах асуудал гарч шаардлагатай мэдээллийг  интернетээс болон номоос хайхаар олдохгүй байх, хугацаа алдах, ялангуяа ямар нэг програмын зааврыг уншихаар ойлгомжгүй байх зэрэг асуудал байнга гардаг. Иймээс ном, програмын заавруудыг товч тэмдэглэлийн хүснэгтийн хэлбэрт оруулан ашиглах нь хэрэг болно. Иймд дараах хэдэн веб хаягийг оруулав.


2011-07-27

Мэдээллийн аюулгүй байдлын мэргэжлүүд-1

Мэдээллийн аюулгүй байдлын мэргэжилтэн гэж юу болох талаар, болох хүсэлтэй  байгаа залуучууддаа зориулан өөрийгөө хэрхэн бие даан хөгжүүлэх, ямар вэбүүд байдаг талаар блогдоо танилцуулж байх зорилго тавилаа. Мөн энэ чиглэлийн эх хэл дээрх мэдээлэл ч бас дутмаг талдаа байгаад байна. Гэтэл нэг үеэ бодвол бусад хэл дээр энэ чиглэлийн гарын авлага, ном сурах бичиг, блог, веб хуудаснууд нэлээдгүй бий боллоо. 

Түүнчлэн дэлхийн ихэнх улс орнуудын компьютерын ухааны их дээд сургуулиудад энэ төрлийн мэргэжилтэн бэлтгэхээс гадна төрөл бүрийн тэмцээн, уралдаан зохиож улмаар тухайн улс орнуудын засгийн газар бодлогоор дэмжин, энэ салбарыг эрчимтэй хөгжүүлэх болсон байна.

Тухайлбал АНУ-д гэхэд л өнгөрсөн хагас жилийн туршид дараах тэмцээн уралдаанууд болж өнгөрлөө. 

  • http://www.appsecusa.org/, http://challenge.appsecusa.org/
  • http://honeynet.org/challenges
  • http://www.plaidctf.com/
  • http://uscc.cyberquests.org/ 


За ингээд асуудлынхаа гол хэсэг үрүү орох хэрэгтэй болж. Энэ салбарын мэргэжилтнүүд өмнө нь Security engineer хэмээн нэрлэгддэг байсан бол одоо Security analyst, Computer forensic analyst, Malware analyst, Penetration tester, Ethical hacking, IT security auditor зэрэг олон янзын мэргэжлүүд шинээр үүсэж, энэ салбарын мэргэжилтнүүдийн ур чадварыг баталгаажуулах SANS GIAC, Infosec EC-Council зэрэг байгууллагуудын албан ёсны шалгалтууд гарч иржээ. 

  • http://www.giac.org/ 
  • http://www.infosecinstitute.com/certifications/ec-council.html 

Дээр дурдсан энэ мэргэжлүүдэд тухайн чиглэлийн мэдлэгээс гадна заавал ч үгүй хакингын зохих төвшний мэдлэгтэй байхыг шаардаж байна. Энэ талаар дараагийн бичлэгүүддээ бичих болно. Эхний мэргэжлийн талаар танилцуулъя.

IT Security auditor

Энэ мэргэжил нь аудит хийх стандартууд, тохиргооны гарын авлагад тулгуурлан шалгах жагсаалт болон аудит хийх төрөл бүрийн бэлэн програмуудыг ашиглан компьютерын системүүдэд шалгалт хийдэг болно. Тодруулбал шалгуулж буй системд байгаа цоорхойг олон улсын аргачлалаар үнэлж, эрсдэлийн төвшинг тогтоон, цоорхойг хаах болон засварлах зөвлөмжийг өгдөг.

Аудитын төрөл бүрийн стандартууд байдгаас дараах 2 үнэгүй стандартууд нь илүү чухал юм.


  • OSSTMM (Open Source Security Testing Methodology Manual)
    http://www.isecom.org/osstmm/
  • OWASP Testing guide - Вэб програмын чиглэлийн хамгийн сайн аргачлал гэж хэлэгддэг болно
    http://www.owasp.org/index.php/Category:OWASP_Testing_Project 

Аудит хийх маш олон төрлийн програмууд байдгийг судлан, үнэлгээ өгч шалгаруулсан дараах судалгааны материалыг судлаад үзэхэд програмуудын талаар мэдээд авах болов уу. 

http://www.security-database.com/toolswatch/Security-Database-Best-IT-Security.html


Үргэлжлэл бий ...

2011-07-26

Don't Learn to HACK - Hack to LEARN


Өнгөрсөн саруудад болсон ANONYMOUS, Lulzsec хэмээн өөрсдийгөө нэрлэсэн хакер залуучуудын дуулиан зогсож байх шиг байна. Түрүү долоо хоногт АНУ-ын Засгийн газар, хуулийн байгууллагууд, Eвропын улсуудтай хамтран явуулсан ажиллагааны үр дүнд нийт 21 хүнийг баривчилжээ. 

Эдгээр залуучууд нь Wikileaks үйл ажиллагааг дэмжин Paypall, Master card, VISA компаниудын сүлжээг ажиллагаагүй болгохоос эхлээд нэлээд олон тооны хууль бус ажиллагааг хийгээд байсан болно. 

АНУ-ын нутаг дэвсгэрээс баригдсан 16 хүний 14 нь Anonymous группын гишүүд, хоёр нь Lulzsec хэмээн нэрлэгдэж байсан группын гишүүд бололтой.

Насны хувьд ихэнх нь 20 гаран насны, нэг нь бүр 16 настай байгаа нь компьютер хэрэглэж буй хүүхэд залуучуудын төлөвшилд анхаарахгүй бол ямар хор уршиг дагуулж болохыг эцэг эхчүүдэд ойлгуулж байх шиг байна.

Иймд хакердахын тулд биш, мэдлэг олж авахын тулд хакинг хийхээс суралцах хэрэгтэй гэдгийг залуучууддаа хэлмээр байна.

Мэдээг SANS NewsBites-с авав.

http://www.wired.com/threatlevel/2011/07/paypal-hack-arrests/
http://www.theregister.co.uk/2011/07/19/anonymous_hacking_arrests/
http://www.theregister.co.uk/2011/07/20/europe_anon_suspects_cuffed/
http://www.bbc.co.uk/news/world-us-canada-14212110
http://www.h-online.com/security/news/item/FBI-arrests-suspected-members-of-Anonymous-1282502.html
http://www.computerworld.com/s/article/9218528/_Anonymous_arrests_tied_to_PayPal_DDoS_attacks_FBI_says?taxonomyId=17
http://www.theatlanticwire.com/technology/2011/07/how-two-lulzsec-hackers-slipped/40215/

2011-02-19

АНУ-ын кибер аюулгүй байдлыг сайжруулахад зориулсан хөрөнгө оруулалт ихсэв

АНУ-ын засгийн газрын сенатад илгээсэн 2012 оны төсвийн төлөвлөгөөний мэдээллийн технологийн багцад орсон кибер аюулгүй байдлыг сайжруулахад зориулсан хөрөнгө оруулалтын хэмжээг ихэсгэсэн нь аюулгүй байдлыг сайжруулах найдлага төрүүлсэн алхам болж.

2012 оны мэдээллийн технологийн төсвийн төлөвлөгөө нь 79,5 тэрбум доллар байгаа нь сүүлийн жилийн төсвөөс бага хэмжээгээр ихэсжээ. 

Клоуд-эхэнд хэмээн нэрлэж буй бодлогын дагуу Засгийн газрын агентлагууд шинээр мэдээллийн технологийн систем хөгжүүлэхийн оронд вэбд тулгуурласан, аюулгүй байдлын нэгэн ижил шаардлага хангасан, клоуд дэд бүтэц бүхий системийг худалдан авах юм байна.  

Мөн төрийн клоуд дэд бүтцийг байгуулахаас хэмнэгдэх мөнгийг төрийн кибер аюулгүй байдлыг сайжруулахад шилжүүлэн ашиглах болно хэмээн засгийн газрын мэдээллийн технологийн албаны дарга Вивек Кундра энэ лхагва гаригт сурвалжлагч нарт мэдээлэв.

Энэ нь ирэх онд төрийн мэдээллийн технологийн үйлчилгээнд ашиглаж байсан зардал ихтэй тоног төхөөрөмж, системүүдийг вэб хостинг компаниудад түрээслүүлэн хамтран ашиглах замаар уг зардлыг хэмнэх, уг хэмнэгдсэн төсвийг засгийн газрын сүлжээний аюулгүй байдлыг ноцтой дайралтаас хамгаалахад шаардагдах програм хангамжуудыг худалдан авахад зориулан дахин хуваарилах арга зам бололтой. Энэ төсөв нь Дотоодыг хамгаалах яамны Кибер аюулгүй байдлыг хангах албаны үйл ажиллагааг дэмжихэд ашиглах төсөв бөгөөд хэмжээг 459 сая доллар байхаар тооцоолсон нь сүүлийн жилээс 21 хувиар их болжээ. 

Аюул ихэссээр байна. Тиймээс кибер аюулгүй байдлыг хангахад шаардагдах төсөв өсөх болно хэмээн Вивек Кундра уг төсвийн ихэссэн шалтгааныг тайлбарлажээ.

Мөн компьютерын цоорхойг илрүүлж, засгийн газрын сүлжээнд нэвтрэх шалгалтыг тогтмол хийж байх “Улаан баг”, кибер довтлогчдод хариу үйлдэл үзүүлэх “Хөх баг”-ыг байгуулж Кибер аюулгүй байдлыг хангах албанд ажиллуулах юм байна.

Засаг захиргаа одоо байгаа засгийн газрын IT системийг клоуд систем үрүү шилжүүлэхэд 20 тэрбум долларыг зарцуулахаар өнгөрсөн жилүүдэд шилжүүлсэн байна. Үүний зорилго нь хөрөнгө эзэмшигч хэн нэгнээс үйлчилгээ үзүүлэгч үрүү шилжих явдал болно хэмээн Кундра дурджээ. 

Түүнчлэн 2015 он гэхэд их хэмжээний зардал шаардагдсаар байгаа 800 дата төвийн технологийг нь өөрчлөн клоуд системд шилжүүлснээр засгийн газрын агентлагуудын төсвийн дарамтыг бууруулж, их хэмжээний төсвийг хэмнэх бодит боломж бий гэж үзэж байгаагаа хэлжээ.

Хакеруудын ялалтаар өндөрлөсөн гутамшигт явдал

Өнгөрсөн долоо хоногт онцгой нэгэн үйл явдал боллоо. HBGary Federal-ын ерөнхий захирал Arron Barr болон Anonymous хэмээх хакерын бүлгийн хооронд болсон тулаан хакеруудын ялалтаар дуусаж, HBGary болон HBGary Federal хэмээх компаний нэр хүндийг нэг мөсөн унагаж орхилоо.

Энэ үйл явдал хэрхэн өрнөвөө гэхээр. Эхний үед HBGary Fedreal компани нь “Wikileaks-ын үйл ажиллагааг дэмжиж Master карт болон Visa картын сүлжээг дайрч хохирол учруулж байсан” Anonymous групын гишүүдийн нэрс, хаяг зэрэг мэдээллийг ил болгох тухай мэдэгдэж, Холбооны Мөрдөх товчоо энэ бүлэгт хамаатай байж болох нэлээд тооны хүмүүсийг баривчлах зэргээр ширүүхэн эхэлсэн тэмцэл HBGary Federal компаний вэб сайтыг хакердан “Anonymous бид алганы амтаа хацарт чинь мэдрүүлээ” хэмээх мессеж байрлуулан, уг компаний 40,000 орчим имэйлийг интернэтэд ил болгох, 1TB хэмжээтэй мэдээллийн архивыг нь устгах зэрэг үйлдлийг хийж чадсанаар дуусаж байх шиг байна.

Сүүлийн үед гарч буй мэдээллүүдийг харж байхад ямар нэгэн онцгой арга техникээр биш ердөөл хакерын уламжлалт өргөн хэрэглэгдэг энгийн аргачлалуудаар хакердаж чадсан байгаа нь мэдээллийн аюулгүй байдлыг үйлчилгээг АНУ-ын засгийн газарт үзүүлэгч команий хувьд шившиг болж дууслаа.

Хакеруудын энэ үйлдэл нь HBGary компаний ерөнхийлөгчийг IRC чат өрөө үрүү хандан халз ярилцахад хүргэж, үүний зэрэгцээ хакеруудын доромж үгийг тэвчээр заан харахад хүргэсэн байна. Түүнчлэн HbGary нь RSA хэмээх мэдээллийн аюулгүй байдлын семинар дээр тавих байсан илтгэл болон үзэсгэлэнгээ хүртэл хаажээ.

Anonymous групын хэрхэн хакинг хийсэн тухай интернэтэд өгсөн ярилцлагыг харж байхад өндөр зэрэглэлийн мэдээллийн аюулгүй байдлын мэргэжилтнүүдийн хэзээ ч гаргаж боломгүй энгийн гэж хэлж болохоор ноцтой алдаануудыг компанийнхаа системүүдэд гаргасан байгаа нь инээдтэй хэрэг боллоо.

Тухайлбал нийтийн үйлчилгээнд ашиглаж байсан вэбдээ цоорхойтой вэбийн агуулгын системийг ашиглан, уг вэбд ашиглаж байсан нэр, нууц үгнүүдийг тус компаний ажилтнууд компанийнхаа имэйлийн системээс эхлээд бусад системүүдэд ашиглаж байсан байна.

Өгсөн нууц үгийн бүрдэл нь ердөө л үсэг тоо, 1-8 ын урттай, эсхүл дан том тэмдэгт байсан нь сүүлийн үед өргөнөөр ашиглах болсон кодлогдсон нууц үгнүүдийг тайлах Rainbowtable болон Bruteforce аргачлалд богино хугацаанд тайлагдаж, эдгээр тайлсан нууц үгнүүдийг ашиглан Facebook, Twitter систем үрүү орохоос эхлээд дээр дурдсан олон үйлдлийг амжилттай хийхэд хүргэсэн байна.

Мөн серверийн админ нь Greg Hoglund-ын нэрийг барьж хакеруудын бичсэн имэйлд хууртан супер хэрэглэгчийн нууц үгийг солин имэйлээр хариу явуулсан нь “Social engineering” хэмээх энгийн аргачлал хэр үр дүнтэй байгааг харуулсан ичгэвтэр хэрэг болж. Greg Hoglund нь тус компанийг үндэслэн байгуулагчдын нэг бөгөөд мэдээллийн аюулгүй байдлын салбарт тэргүүлэх нэр хүндтэй мэргэжилтэн болно.

Манай Монгол улсын хувьд ч гэсэн мэдээллийн аюулгүй байдлыг сахин хамгаалах асуудал нь энэ мэтчилэнгийн энгийн асуудлаас эхлээд бусад асуудалд онцгой анхаарахгүй бол болохгүй л болов уу.

Хакеруудын дээрх үйлдлийг тайлбарлахад хүүхдийн тоглоом шиг хэмээн энгийн мэт сэтгэж байсан, хүн болгоны бараг мэдэх, мэдээллийн аюулгүй байдлын эгэл жирийн алдаа нь ямар хэмжээний хохирол учруулж болох вэ гэдгийг харуулж буй тул, та бүхэнд хэрэг болох болов уу хэмээн найдаж энэ мэдээг сийрүүлэв.

Мэдээний дэлгэрэнгүйг дараах линкээр орж үзэх:
http://arstechnica.com/tech-policy/news/2011/02/how-one-security-firm-tracked-anonymousand-paid-a-heavy-price.ars

http://arstechnica.com/tech-policy/news/2011/02/anonymous-speaks-the-inside-story-of-the-hbgary-hack.ars/2

http://www.hbgary.com/

2009-03-17

SQL injection алдаанаас ASP/.NET дээр хэрхэн хамгаалах вэ? 3-р хэсэг.

Алдаатай коде

Dim NER as String
Dim SqlQuery as String

NER = Request.QueryString("NER")
SqlQuery = "SELECT lname, fname FROM users WHERE user_id = '" + NER + "'"

Хэвийн ажиллагаа

' Дээрх кодыг агуулж буй хуудас ингэж дуудагдан ажиллана
http://yourwebsite.mn/userlist.aspx?NER=Yourname

' Database дээр ажиллах Query
SELECT lname, fname FROM authors WHERE user_id = 'Yourname'

Дайралт

' Дээрх кодыг агуулж буй хуудас ингэж дуудагдан ажиллана
http://yourwebsite.mn/userlist.aspx?NER=';SQL... --

' Database дээр ажиллах query
SELECT lname, fname FROM authors WHERE user_id = '';SQL ... --

Хамгаалалт

Dim NER as String = Request.QueryString("NER")
Dim cmd As new SqlCommand("SELECT lname, fname FROM authors
WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id", SqlDbType.VarChar)
param.Value = NER
cmd.Parameters.Add(param)
...

2009-03-16

SQL injection алдаанаас PHP дээр хэрхэн хамгаалах вэ? 2-р хэсэг.


PHP дээрх алдаатай жишээнүүд

Жишээ 1
$result=mysql_query('SELECT * FROM users WHERE username="'.$_GET['username'].'"');
Дайралт 1
http://host/?username=testuser' or 2=2

Жишээ 2
$result=mysql_query('SELECT * FROM news WHERE id="'.$_GET['id'].'"');
Дайралт 2
http://host/?id=-1 union select 1,2,3 ...




PHP хэл дээр хамгаалах жишээ 1

PHP хэлний функцуудыг ашиглан хамгаалж болно.


function Query_tseverleh($string)
{
// "\" тэмдэгтийн давхцал үүсгэхээс сэргийлэх
if(get_magic_quotes_gpc())
{
$string = stripslashes($string);
}
if (phpversion() >= '4.3.0')
{
$string = mysql_real_escape_string($string);
}
else
{
$string = mysql_escape_string($string);
}
return $string;
}

Хэрэглэгчийн нэрийг формоор дамжуулан авахдаа дараах хэлбэрийн коде бичиж сэргийлнэ.


if (isset($_GET['username']))
{
$hereglegch = Query_tseverleh($_GET['username']);
...
$result=mysql_query('SELECT * FROM news WHERE id="'.$hereglegch.'"');
...
}

PHP хэл дээр хамгаалах жишээ 2

PHP хэлний "mysqli" нэмэлт санг(http://www.php.net/mysqli) хэрэглэн хамгаалж болно. PHP 4.1-ээс дээших хувилбар дээр ажиллах болно.


$db = new mysqli("localhost", "username", "password", "database");
$stmt = $db -> prepare("SELECT username FROM testUsers
WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
// Bind параметрүүд s - string, b - boolean, i - int, г.м
$stmt -> execute();
$stmt -> bind_results($result);
$stmt -> fetch();
echo "Username=" . $result ;
$stmt -> close();
...

SQL injection алдаанаас хэрхэн хамгаалах вэ? 1-р хэсэг.


Вэб сервер үрүү хэрэглэгчээс ирж буй мэдээллийг заавал шалгаж байх гэсэн алтан дүрэм байдаг. Иймд формын утгыг дараах аргуудаар хязгаарлаж байх нь SQL injection алдаанаас хамгаалах болно.

1. Сервер талдаа уртыг хязгаарлах

2. Тохирсон өгөгдлийг шалгах. Тухайлбал зөвхөн тоо авах утганд тооноос өөр утга байгааг шалгах.

3. Хоосон зай болон SQL бичлэгт ашиглагддаг тэмдэгтүүдийг шалгаж, цэвэрлэх

4. Параметр-т(Parameterized query) хэлбэрийн Query ашиглах

5. Холболтын эрхийг хязгаарлах. Тухайлбал зөвхөн мэдээлэл унших SELECT query ашиглаж байгаа бол READ ONLY эрхээр холболт хийх.

6. Алдааны мэдээллийг дэлгэрэнгүй Debug хэлбэрээр өгөхгүй байх.

7. Нууц мэдээлэл хадгалдаг талбаруудыг кодлох.

Дараагийн нийтлэлүүд дээрээ дээрх аргуудыг тайлбарлан түгээмэл ашиглагддаг PHP, ASP, JAVA хэлүүд дээр жишээ бичих болно.

Блогын талаар

SQL injection, File inclusion гээд нилээд олон төрлийн 10 илүү жил насалсан хуучны алдаануудыг манай залуучууд одоо болтол гаргасаар байгаа нь сэтгэл эмзэглүүлэх боллоо.

Энэ байдал нь мэдээллийн аюулгүй байдалд ноцтойгоор нөлөөлж ч болохоор харагдаад байна.

Иймд вэб хуудас хийж буй болон вэбийг үйл ажиллагаандаа ашиглаж буй газруудад тус дэм болох үүднээс өөрийн өчүүхэн мэдлэгээ хуваалцахаар шийдэж энэхүү блогийг нээлээ.

Мөн төгс хамгаалалтыг буй болгох болон цоорхойг илрүүлэн халдах асуудал мөнхийн тэмцэл байх болов уу.

Энэ блогын талаар санал, зөвлөмж ирүүлж, хамтран ажиллах асуудал нээлттэй болно.