Файловый архив студентов. Файловый архив студентов.
1297 вузов, 5034 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Винницкий национальный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
НавчПос_ЗОС.doc
Скачиваний:
96
Добавлен:
16.05.2015
Размер:
7.05 Mб
Скачать
►Содержание►

13.6 Програми для виявлення клавіатурних шпигунів

Всім давно відомо, що на будь-яку хитрість завжди знайдеться засіб, що дозволяє цю саму хитрість знайти, і там, де діє розвідка, завжди є і контррозвідка. Тому люди, які думають, що на їх комп'ютері встановлений клавіатурний шпи­гун, що стежить за всіма їхніми діями, можуть використовувати відповідну про­граму для їх виявлення. Ці програми працюють за принципом анти­ві­ру­сів, виявляючи шпигунські програми за допомогою евристичного аналізу. Вони пе­ре­ві­ряють, які процеси в даний момент виконуються в системі, і якщо зна­ходять, що якийсь з них стежить за клавіатурою, моментально сповіщають про це користувача.

Anti-keylogger. Розроблювачі цієї програми, що, до речі, створили і PC Acme Pro, затверджують, що вона працює за допомогою хитрих математичних алгоритмів і в ній відсутня будь-яка база даних. При скануванні програма не змогла знайти тільки SpyAgent, PC Acme Pro і Perfect Keylogger. Інші ж шпигуни були виявлені моментально. Програма має відмінний і зрозумілий інтерфейс. Але є в неї і свої недоліки: при роботі програми комп'ютер, особливо слабкий, починає сильно гальму­вати, і деякі додатки зависають.

Keylogger Killer. Ця невелика програма “важить” всього 52 Кбайт, але зі своєю задачею справляється надзвичайно успішно. Вона легко виявляє всі програми з наведеного вище переліку, крім PC Acme Pro. Але тут не обійшлося і без курйозів: у розряд клавіатурних шпигунів була зарахована і цілком необразлива програма - автоматичний перемикач розкладок. Хоча це й не дивно - адже працює він за тим же самим принципом, що і клавіатурні шпигуні: відслідковує всі натискання на кнопки. Є функції знешкодження і відновлення шпигунських модулів, що викликаються натисканням правою кнопкою мишки.

Парольний захист операційних систем

Основні вимоги до паролів і роботи з ними:

  • при зчитуванні пароля з клавіатури треба мінімізувати можливість “підглядування” натиснутих клавіш за допомогою резидент них модулів (наприклад, тих, що протоколюють INT 16h або INT 9);

  • захист від “підглядування” одночасно вирішує і ще одну проблему: швидкий перебір паролів за допомогою програм-“черв’яків”, що імітують введення з клавіатури. Але можливість атак все одно треба мати на увазі;

  • пароль не повинен бути видимий (і навіть не повинен зберігатися!) в програмі в явному вигляді, а сама процедура перевірки його повинна бути надійно захищена від відлагодження;

  • пароль повинен перевірятися повністю, а не частково (мало перевірити тільки суму букв пароля!);

  • краще за все перевіряти якусь складну, бажано необоротну функцію пароля, але ця функція не повинна звужувати простір паролів;

  • краще не використовувати порівнянь паролів, а використовувати перевірки в тілі програми, про що буде йтися далі.

7.2.3 Загрози подолання парольного захисту

Узагальнена класифікація основних загроз парольному захисту представлена на рис.28.

Дана класифікація введена як у відповідності зі статистикою відомих загроз, так і відповідно до потенційно можливих загроз. Крім того, при побудові даної класифікації враховувався аналіз принципів роботи механізмів ідентифікації і аутентифікації.

Розглянемо представлені загрози. Загрози можуть бути явними і прихованими.

Найочевиднішими явними фізичними загрозамиє:

  1. викрадання носія(наприклад, дискети з паролем, електронного ключа з парольною інформацією і т.д.);

  2. візуальне знімання пароля при введенні(з клавіатури, або з монітора). Крім того,  при використовуванні довгих складних паролів користувачі часом записують свій пароль, що також є об'єктом фізичного викрадання.

До технічнихявних загрозможна віднестипідбір пароля – або автоматизований (вручну користувачем), або автоматичний,  що припускає запуск користувачем спеціальної програми підбору паролів.

Щодо зйому пароля на зхищуваному об’єкті, то для порівняння значень введеного пароля і еталонного еталонне значення пароля повинно зберігатися на об'єкті, що захищається (або на сервері в мережі). Це еталонне значення без дотримання відповідних заходів по зберіганню паролів (хешування, розмежування доступу до області пам'яті або реєстру, де  зберігаються паролі),  може бути викрадено зловмисником.

Природно, що найбільш небезпечними є приховані загрози, наприклад, такі:

  1. технічне знімання пароля при введенні. Пароль повинен бути якимось чином введений в систему – з клавіатури, з вбудованого або додаткового пристрою введення, з мережі (по каналу зв'язку) . При цьому зловмисником може бути встановлена відповідна програма, що дозволяє перехоплювати поступаючу на захищуваний об'єкт інформацію. Розвинені подібні програми дозволяють автоматично фільтрувати перехоплювану інформацію за визначеними ознаками – зокрема, з метою виявлення паролів. Прикладом таких програм можуть служити сніфери клавіатури і каналу зв'язку. Наприклад, сніфер клавіатури дозволяє запам'ятовувати всі послідовності натиснень кнопок на клавіатурі (тут пароль вводиться в явному вигляді), а потім фільтрувати події по типах додатків. Зловмисник, встановивши подібну програму і задавши режим її запуску при вході в систему певного користувача, одержить його пароль у відкритому вигляді. Потім, наприклад, троянська програма може видати цей пароль по мережі на іншу робочу станцію. Таким чином, якщо в системі зареєстровано декілька користувачів, то один користувач може взнати пароль іншого користувача, а потім здійснити доступ в систему з правами останнього і т.д.;

  2. модифікація механізму парольного захисту. Цей  тип прихованих загроз припускає можливість відключити механізм парольного захисту зловмисником, наприклад, завантажити систему із зовнішнього носія (дисковода або CD-ROM). Якщо механізм парольного захисту є якимсь процесом (у додатковій системі захисту), то виконання даного процесу можна зупинити засобами системного монітора, або монітора додатків, наприклад, засобами, вбудованими в оболонку Far. Подібна можливість існує для ОС Windows 9X/Me;

  3. модифікація облікових даних на захищуваному об'єкті. Ця група прихованих загроз полягає в модифікації облікових даних на об'єкті, що захищається. Це здійснюється або шляхом їх заміни, або шляхом скидання в початковий стан настройок механізму захисту. Прикладом може служити відома програмна атака на BIOS – скидання настройок BIOS в початковий стан за допомогою зміни контрольних сум BIOS.

З усього сказаного може бути зроблений  важливий висновок: яким би надійним не був механізм парольного захисту, він сам по собі окремо, без застосування інших механізмів захисту, не може забезпечити високого рівня безпеки захищуваного об'єкта. 

Інший висновок полягає у тому, що неможливо порівнювати між собою альтернативні підходи до реалізації механізму захисту (зокрема,  механізму парольного захисту), оскільки можна оцінювати лише рівень захищеності, забезпечуваний всією системою захисту в цілому, тобто забезпечуваний сукупністю механізмів захисту (з урахуванням їх реалізації), застосований у системі.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности