- •I часть
- •2 Часть
- •1)Основные угрозы безопасности асои
- •3)Доступ к информации, виды доступа и основные понятия, которые с ними связаны.
- •4)Преднамеренные угрозы, выделенные для банковских асои.
- •5)Маскарад. Понятие и его использование.
- •6. Перехват паролей и способы перехвата паролей
- •7. Пути реализации безопасности асои
- •8. Троянский конь. Понятие и его деструктивные функции. Ряд мер, необходимых для защиты.
- •9. Сетевой червь. Понятие и его деструктивные функции. Ряд мер, необходимых для защиты.
- •10. Компьютерный вирус. Подсемейства. Ряд мер, необходимых для защиты.
- •11. Общие направления защиты информации
- •12. Важнейшие аспекты информационной безопасности
- •13. Уровни информационной безопасности
- •14. Основные критерии, по которым оценивается степень доверия или надежность систем.
- •15. Принципы классификации элементов политик безопасности
- •16. Произвольно управление доступом
- •17. Метки безопасности
- •18. Принудительное управление доступом
- •19. Безопасность повторного использования объектов
- •20. Свойства, выполнение которых требуется от монитора обращения.
- •3 Часть
- •1)Зашифровать слово с использованием шифра двойной перестановки
- •2)Зашифровать слово с использованием табличного шифра перестановки с ключевым словом.
- •Терминатор прибывает седьмого в полночь
- •3. Зашифровать слово с использованием полибианского квадрата.
- •4. Зашифровать слово с использованием системы шифрования Цезаря.
- •3 Часть
6. Перехват паролей и способы перехвата паролей
Перехват паролей осуществляется специально разработанными программами. При попытке законного пользователя войти в систему программа-перехватчик имитирует на экране дисплея ввод имени и пароля пользователя, которые сразу пересылаются владельцу программы-перехватчика, после чего на экран выводится сообщение об ошибке и управление возвращается операционной системе.
Пользователь предполагает, что допустил ошибку при вводе пароля. Он повторяет ввод и получает доступ в систему. Владелец программы-перехватчика, получивший имя и пароль законного пользователя, может теперь использовать их в своих целях. Существуют и другие способы перехвата паролей.
В компьютерных системах и электронных устройствах для проверки права доступа пользователя к тем или иным ресурсам, программам, данным используется аутентификация - процедура входа в систему с предоставлением идентификационных данных. В настоящее время самым распространенным методом аутентификации в компьютерных системах и электронных устройствах является аутентификация по имени пользователя и паролю. Для аутентификации данным методом используется аутентификационная форма - функционал компьютерной системы или электронного устройства, предоставляющий пользователю возможность ввести имя пользователя и пароль и отправить их на проверку. Примерами аутентификационных форм могут служить: окно ввода пароля при входе в операционную систему, формы ввода имени пользователя и пароля на различных сайтах в сети Интернет, поле для ввода PIN-кода при включении мобильного телефона и другие. Данный метод аутентификации обладает одним существенным недостатком - пароль может быть перехвачен злоумышленником различными способами. К числу таких способов перехвата паролей могут относиться: использование кейлогеров (англ. keylogger) - программных или аппаратных устройств, регистрирующих действия, которые совершает пользователь на устройстве ввода (в частности, нажатие клавиш на клавиатуре); визуальная регистрация процесса ввода пароля как с помощью специальных технических средств (например, скрытой видеокамеры), так и путем непосредственного присутствия злоумышленника при вводе пароля; извлечение пароля злоумышленником из ненадежного источника хранения либо взлом ненадежного пароля.
Все существующие на данный момент системы защиты вводимого пароля от перехвата обладают недостатками, которые выражаются либо в ограниченной применимости, либо в неспособности в полной мере противостоять способам перехвата паролей.
Так, изобретение, описанное в патенте WO 02075564, основано на аутентификации пользователя по вводу непрямого пароля, который является математической функцией от прямого (истинного) пароля. Данное изобретение, хотя и исключает возможность перехвата истинного пароля, не может гарантировать защиты от проникновения злоумышленника в систему с помощью непрямого пароля, полученного любым доступным способом перехвата пароля.
Изобретение, описанное в патенте US 7581113, предлагает метод аутентификации пользователя не только по последовательности символов пароля, но и по временным интервалам между вводимыми символами. Данное изобретение не может гарантировать защиту от перехвата пароля усовершенствованными кейлогерами, функционал которых предоставляет возможность регистрировать временные задержки между вводимыми символами.
Изобретение, описанное в патенте US 7305559, предлагает в дополнение к аутентификации пользователя по последовательности символов пароля производить аутентификацию по ритму и темпу набора пароля. Данный метод аутентификации также будет обладать уязвимостью в случае использования усовершенствованных кейлогеров.