- •1 Проблема захисту операційних систем
- •1.1Основні вимоги до безпеки комп’ютерних систем
- •1.2 Класифікація загроз безпеці комп’ютерних систем
- •1.2.1 Загроза за метою реалізації
- •1.2.2 Загроза за об’єктом атаки
- •1.2.3 Загроза за принципом впливу на кс
- •1.2.4 Загроза за характером впливу на кс та його об’єкти
- •1.2.5 Загроза через появи помилок захисту
- •1.2.6 Загроза за способом впливу на кс
- •1.2.7 Загроза за засобами атаки
- •1.2.8 Загроза за станом об’єкта атаки
- •1.3 Рівні (варіанти) захисту операційних систем
- •1.4 Об’єкти захисту в операційних системах
- •1.4.1 Захист пам’яті
- •1.4.2 Контроль доступу як захист даних та програм
- •1.6 Категорії зламщиків
- •1.7 Атаки на рівні операційних систем
- •1. Крадіжка пароля:
- •Контрольні питання
- •2 Характеристика найпоширеніших загроз безпеці комп’ютерних систем
- •2.1 Несанкціонований доступ (unauthorizedaccess) - нсд
- •2.2 Незаконне використання привілеїв
- •2.3 Атаки “салямі” (salami attack)
- •2.4 Приховані канали (convertchannels)
- •2.5 “Маскарад” (masquerade)
- •2.7 “Зламування системи” (break-in)
- •2.8 Шкідливе програмне забезпечення
- •2.8.2 Логічні бомби
- •2.8.3 Троянські коні (TrojanHorse)
- •2.8.4 Віруси
- •2.8.5 Черв’яки
- •2.8.6 Зомбі
- •2.8.7 "Жадібні" програми (greedy program)
- •2.8.8 Захоплювачі паролів (password grabber)
- •2.8.9 Утиліти схованого адміністрування (backdoor)
- •2.8.11 Конструктори вирусів
- •2.8.12 Поліморфні генератори
- •Контрольні питання
- •3 Віруси як шкідливе програмне забезпечення
- •3.1 Класифікація комп'ютерних вірусів
- •3.1.1 Віруси за середовищем їх існування
- •3.1.2 Віруси за способом зараження
- •3.1.3 Віруси за особливостями використовуваних алгоритмів
- •3.1.4 Віруси за деструктивними можливостями
- •3.2 Систематизація комп’ютерних вірусів
- •3.2.1 Класифікаційний код вірусу
- •3.2.2 Дескриптор вірусу
- •3.2.3 Сигнатура вірусу
- •3.3 Файлові віруси
- •3.3.1 Класифікаційний код файлового вірусу
- •Префікс файлового віруса
- •Кількісна характеристика
- •3.3.2 Дескриптор файлового вірусу.
- •3.3.3 Сигнатура файлового вірусу
- •3.3.4 Види файлових вірусів
- •Overwriting - віруси
- •Parasitic-віруси
- •Компаньйон-віруси
- •Link-віруси
- •Файлові хробаки
- •3.3.5 Алгоритм роботи файлового вірусу
- •3.3.6 Приклади файлових вірусів
- •3.4 Завантажувальні (бутові) віруси
- •3.4.1 Класифікаційний код завантажувального вірусу
- •Префікс
- •Кількісна характеристика
- •3.4.2 Дескриптор завантажувального вірусу
- •3.4.3 Сигнатура бутового вірусу.
- •3.4.4 Принцип дії завантажувальних вірусів
- •3.4.5 Розташування завантажувального вірусу
- •3.4.6 Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів Brain, сімейство
- •3.5 Макро-віруси
- •3.5.1 Причини зараження макро-вірусами
- •3.5.2 Загальні відомості про віруси в ms Office
- •3.5.3Принципи роботиWord/Excel/Office97-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •3.5.6 Приклади макро-вірусів
- •3.6 Мережеві віруси
- •3.6.3 Скрипт-хробаки
- •3.6.4 Приклади мережевих вірусів
- •3.7 Стелс-віруси
- •3.7.1 Завантажувальні стелс-віруси
- •3.7.2 Файлові стелс-віруси
- •3.7.3 Макро-стелс-віруси
- •3.7.4 Приклади стелс-вірусів
- •Rasek, сімейство
- •3.8 Поліморфік-віруси
- •3.8.1 Поліморфні розшифровувачі
- •3.8.2 Рівні поліморфізму
- •3.8.3 Зміна виконуваного коду
- •Приклади поліморфік-вірусів
- •Predator (файлово-завантажувальні)
- •OneHalf, сімейство
- •Cheeba, сімейство
- •3.9 Способи захисту від вірусів
- •3.9.1 Систематичне архівування важливої інформації
- •3.9.2 Обмеження ненадійних контактів
- •3.9.3 Використання антивірусних програм
- •3.9.4 Види антивірусних програм
- •Сканери (scanner)
- •Монітори
- •Фаги (поліфаги) (scanner/cleaner, scaner/remover)
- •Ревізори
- •Антивірусні блокувальники
- •Іммунізатори або вакцини
- •Контрольні питання
- •4 Найпростіші методи захисту інформації в операційних системах
- •Установки і налаштування системи захисту
- •Періодичне очищення меню Документи (Documents)
- •Очистка і установка Корзини (RecycleBin)
- •Видалення або перейменування ярликів
- •Видалення і перейменування пунктів меню Start
- •Приховування Панелі задач
- •Захист від зміни і видалення файлів і папок
- •Резервне копіювання системи та шифрування дисків
- •4.2 Блокування доступу до комп’ютера за допомогою екранної заставки Wіndows
- •4.3 Використання пароля bіos
- •Захист за допомогою bіos
- •Встановленняпароля award bіos
- •Встановлення пароля amі bіos
- •Обхід пароля bіos
- •Використання утиліти debug
- •4.4Програмні продукти для найпростішого захисту
- •4.5 Відновлення інформації після сбоїв
- •Програма EasyRecovery Pro
- •Програма FinalData
- •Програма GetDataBack
- •Контрольні питання
- •5 Пакування, архівація і шифрування даних в операційних системах
- •5.1 Історичні відомості
- •5.2.1 Стискання виконуваних файлів
- •5.2.2 Стискання динамічних бібліотек
- •5.3 Продуктивність пакування файлів
- •5.4 Принципи роботи програм-архіваторів
- •Програми архівації файлів
- •Шифрування файлів у програмах Microsoft
- •Контрольні питання
- •6 Ідентифікація користувача
- •6.1 Основні методи ідентифікації
- •6.2 Ідентифікація за клавіатурним почерком
- •6.2.1 Настроювання
- •6.2.2 Ідентифікація за набором ключової фрази
- •6.2.3 Ідентифікація за “довільним” текстом
- •13.3 Інші способи ідентифікації
- •13.4 Графологічні можливості комп’ютера
- •13.5 Клавіатурні шпигуни
- •13.6 Програми для виявлення клавіатурних шпигунів
- •7.2.3 Загрози подолання парольного захисту
- •Парольні зламщики і методи їх роботи
- •Злам парольного захисту операційної системиUnix
- •Парольний захистWindows 95/98 і його ненадійність
- •Захист від несанкціонованого завантаження Windows 95/98
- •Запобігання кешуванню паролів в Windows95/98
- •Парольний захист вWindowsNt Формування, зберігання і використання паролів в Windows nt
- •Можливі атаки на базу даних sam
- •Деякі методи захисту від парольних зламщиків
Можливі атаки на базу даних sam
За замовчуванням в операційній системі WindowsNT доступ до бази даних SAM заблоковано для всіх без виключення її користувачів. Тим не менш його все ж можна скопіювати декількома способами:
за допомогою програми NTBACKUPбудь-який власник права на резервне копіювання файлів і каталогів WindowsNT.
створити резервну копію утилітою REGBAK з Windows NT Resource Kit;
існує резервна копія файла SAM (SAM.sav) в каталозі …\Systerm32\Config;
існує стиснена архівна копія цього файлу (SAM._) в каталозі …\Repair/
При наявності фізичної копії файла SAM видобути з нього інформацію є справою не дуже складною. Завантаживши його в реєстр будь-якого іншого комп’ютера з Windows NT (за допомогою команди Load Hive програми Regedit32), можна вивчити облікові записи користувачів, щоб визначити значення RID користувачів і шифровані варіанти їх хешованих паролів. Знаючи RID і маючи зашифрований хешований пароль, зламщик може отримати мережений доступ до іншого комп’ютера, але дляінтерактивного входу в систему цього все одно не достатньо, - треба мати символічне представлення цього пароля.
Існують спеціальні парольні зламщики для відновлення користувацьких паролів операційної системи Windows NT. Вони виконують як прямий підбір паролів, так і пошук за словниками, а також використовують комбіновані методи зламу парольного захисту, коли в якості словника використовується файл із заздалегідь вирахованими хешованими паролями, що відповідають символьним послідовностям, які часто використовуються в якості паролів. Серед таких програм слід відзначити такі:
LophtCrack;
ANTExp (Advanced NT Security Explorer, що має досить зручний інтерфейс.
Деякі методи захисту від парольних зламщиків
Одною з головних задач системного адміністратора Windows NT є захист від несанкціонованого доступу тієї інформації, що зберігається в базі даних SAM. Для цього він може передбачити такі дії.
Обмежити фізичний доступ до комп’ютерів мережі:
встановити паролі BIOS на включення комп’ютера і на зміну настройок BIOS;
відключити можливість завантаження комп’ютерів з гнучких та компакт-дисків;
для забезпечення контролю доступу до файлів і папок WindowsNT системний розділ жорсткого диску повинен мати формат NTFS.
Каталог …\repair засобами операційної системи закрити для доступу всіх користувачів, включаючи і адміністраторів. Дозволити доступ лише під час роботи утиліти RDISK, що створює в цьому каталозі архівні копії реєстру Windows NT. Слід надійно ховати дискети аварійного відновлення і носії з архівними копіями.
Для захисту бази SAM використати утиліту SYSKEY, яка дозволяє включити режим додаткового шифрування інформації про паролі. Унікальний 128-бітовий ключ для додаткового шифрування (ключ шифрування паролів – Password Encryption Key, PEK) автоматично зберігається в системному реєстрі для подальшого використання. Перед розміщенням його в системний реєстр ключ РЕК шифрується за допомогою іншого 128-бітового ключа, який називається системним ключем (System Key), і може зберігатися в системному реєстрі або у файлі STARTUP.KEY в кореневому каталозі на окремій дискеті. Можна не зберігати його на дискеті, тоді він кожний раз буде розраховуватись за допомогою алгоритму MD5 на основі пароля, введеного з клавіатури в запропоноване утилітою поле.
Цей спосіб зберігання системного ключа забезпечують максимальний захист паролів в базі SAM. Але це приводить до неможливості автоматичного перевантаження ОС, оскільки для завершення процесу перевантаження необхідно вставити дискету з системних ключем або вручну ввести системний ключ з клавіатури.
Для підвищення стійкості паролів рекомендується при допомозі утиліти “Диспетчер пользователей” (User Manager)
задати мінімальну довжину користувацьких паролів не меншою за 8,
включити режим “старіння” паролів, щоб користувачі їх періодично оновлювали (чим вища вірогідність атак, тим частіше треба міняти паролі),
включити режим зберігання певної кількості раніше використовуваних паролів (щоб користувачі не вводили старі свої паролі).
Можна скористатись утилітою PASSPROP зі складу Windows NT Resource Kit (з ключем /COMPLEX). Це заставить користувачів вводити більш стійкі паролі, які би мали літери в різних регістрах, або сполучення літер і цифр, або літер і спеціальних символів. Для цього ж можна скористатись можливостями пакетів оновлення WindowsNT.