- •1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- •1.1Введение
- •1.2Осуществление угроз информационным ресурсам
- •1.3Факторы, приводящие к информационным потерям
- •1.4Виды угроз информации
- •1.5Источники возникновения угроз
- •2Криптография. Симметричные алгоритмы шифрования.
- •2.1Введение
- •2.2Терминология
- •2.3Симметричные криптосистемы
- •2.4Алгоритм Цезаря
- •2.5Алгоритм замены полиалфавитный
- •2.6Алгоритм замены с большим ключом
- •2.7Перестановки.
- •2.8Гаммирование.
- •3Криптография. Несимметричные алгоритмы шифрования.
- •3.1Системы с открытым ключом
- •3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- •3.3Описание системы с открытым ключом
- •3.4Алгоритм rsa
- •3.5Практическая реализация rsa
- •3.6Пример 1 rsa.
- •3.7Пример 2 rsa.
- •3.8Пример 3 rsa.
- •3.9Немного об арифметических операциях по модулю n.
- •3.10Сложение.
- •3.11Вычитание.
- •3.12Умножение.
- •3.13Деление.
- •3.14Обратное по модулю.
- •3.15Стандарт шифрования данных гост 28147-89
- •3.16Простые числа
- •4Электронная подпись
- •4.1Эцп - зашифрованный текст
- •4.2Эцп - открытый текст
- •4.3Использование хэш-функций
- •4.4Сертификация
- •4.5Имитовставка или mac-код
- •4.6 Шифрование больших сообщений и потоков данных
- •4.7Шифрование, кодирование и сжатие информации
- •4.8Аппаратные шифраторы.
- •5Управление ключами
- •5.1Генерация ключей
- •5.2Накопление ключей
- •5.3Распределение ключей
- •5.4Использование “блуждающих ключей”
- •6Стеганография
- •6.1Введение
- •6.2Электронные «водяные знаки».
- •6.3Скрытие текста в 24-разрядном bmp файле.
- •8.2Технология шифрования
- •8.3Взаимодействие с пользователем
- •8.4Восстановление данных
- •8.5Немного теории
- •Процесс шифрования
- •Процесс восстановления
- •8.6Реализация в Windows 2000
- •8.7Выводы
- •9Протокол ipSec в Window 2000.
- •9.1Реализация промышленных стандартов
- •9.2Реализация Windows ip Security
- •9.3Пример
- •9.4О совместимости
- •10Защищенные каналы. Аутентификация.
- •10.1Введение
- •10.2Аутентификация на основе хэш-функций.
- •10.3Аутентификация на основе общего секретного ключа
- •10.4Аутентификация на основе открытого ключа
- •10.5Аутентификация с использованием центра распределения ключей
- •11Протокол Kerberos в Windows 2000.
- •11.1Аутентификация в Windows 2000
- •11.2Преимущества аутентификации по протоколу Kerberos
- •11.3Начальная аутентификация.
- •11.4Метка времени в качестве средства для взаимной аутентификации.
- •11.5Аутентификация за пределами домена
- •11.6Срок годности билетов. Обновляемые билеты.
- •11.7Подпротоколы
- •11.8Подпротокол tgs Exchange
- •11.9Подпротокол cs Exchange
- •11.10Билеты
- •11.11Какие данные из билета известны клиенту
- •11.12Как служба kdc ограничивает срок действия билета
- •11.13Что происходит после истечения срока действия билета
- •11.14Обновляемые билеты tgt
- •11.15Делегирование аутентификации
- •11.16Представительские билеты
- •11.17Передаваемые билеты
- •12Криптографические протоколы
- •12.1Стегоканал
- •12.1.1Скрытие сообщения с одноразовым блокнотом
- •12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- •12.2Защищенный канал
- •12.2.1Протокол взаимоблокировки
- •12.2.2В92 – протокол.
- •12.3Аутентификация
- •12.3.1Аутентификация skey
- •12.3.2Взаимная аутентификация - однонаправленные сумматоры
- •12.6Протокол разбиения секрета
- •13.2Криптоанализ и атаки на криптосистемы
- •13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- •13.4Атака 2. Подпись нотариуса на неверном документе.
- •13.5Атака 3. Подпись на документе вторым способом.
- •13.6Атака 4. Атака при использовании общего модуля.
- •13.7Выводы
- •14Вредоносные программы. Вирусы. Защита.
- •14.1Классификация компьютерных вирусов
- •14.2Загрузочные вирусы
- •14.3Файловые вирусы
- •14.3.1Способы заражения - запись поверх.
- •14.3.2Способы заражения - паразитические
- •14.3.3Способы заражения - Вирусы без точки входа
- •14.3.4Способы заражения - Компаньон-вирусы
- •14.3.5Способы заражения - Файловые черви
- •14.3.6Способы заражения - Link-вирусы
- •14.3.7Алгоритм работы файлового вируса
- •14.4Макро-вирусы
- •14.4.1Алгоритм работы Word макро-вирусов
- •14.5Полиморфик-вирусы
- •14.5.1Полиморфные расшифровщики
- •14.5.2Уровни полиморфизва
- •14.5.3Изменение выполняемого кода
- •14.6Стелс-вирусы. Загрузочные вирусы
- •14.6.1Стелс-вирусы. Файловые вирусы
- •14.6.2Стелс-вирусы. Макро-вирусы
- •14.7Резидентные вирусы в Windows
- •14.8Прочие "вредные программы"
- •14.9Троянские кони (логические бомбы)
- •14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- •14.11Intended-вирусы
- •14.12Конструкторы вирусов
- •14.13Полиморфные генераторы
- •14.14Irc-черви
- •14.15Сетевые вирусы
- •14.16Методы обнаружения и удаления компьютерных вирусов.
- •14.17Типы антивирусов. Сканеры.
- •14.17.1Crc-сканеры
- •14.17.2Блокировщики
- •14.17.3Иммунизаторы
- •14.17.4Правила защиты
- •15Анализ защищенности tcp/ip
- •15.1Пассивные атаки на уровне tcp. Подслушивание
- •15.2Активные атаки на уровне tcp
- •15.2.1Предсказание tcp sequence number
- •15.2.2Описание
- •15.2.3Детектирование и защита
- •15.3.1Ранняя десинхронизация
- •15.3.2Десинхронизация нулевыми данными
- •15.3.3Ack-буря
- •15.4Пассивное сканирование
- •15.5Затопление icmp-пакетами
- •15.6Локальная буря
- •15.7Затопление syn-пакетами
- •16Атака через Internet
- •16.1Понятие удалённой атаки через Internet
- •16.2Пример удалённой атаки через интернет
- •16.3Классификация удаленных атак через систему Internet
- •16.4Понятие типовой удаленной атаки
- •16.5Причины успеха удаленных атак на сеть Internet
- •17Защита локальной сети и одиночного компьютера от атак через Internet.
- •17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- •17.2Аппаратные шифраторы сетевого трафика
- •17.3Можно организовать прокси - сервер.
- •17.4Firewall или брандмауэр.
- •17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •17.6Основные виды межсетевых экранов (брандмауэров)
- •17.7Фильтрующие маршрутизаторы
- •17.8Пример работы фильтрующего маршрутизатора
- •17.9Недостатки и преимущества фильтрующих маршрутизаторов
- •17.10Шлюзы сетевого уровня
- •17.11Шлюзы прикладного уровня
- •17.12Преимущества и недостатки шлюзов прикладного уровня
- •17.13Усиленная аутентификация
- •17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- •18Правовое обеспечение безопасности ис.
- •18.1Предмет законодательства
- •18.2Уголовная ответственность
- •18.3Требования к безопасности ис в сша
- •18.4Стандартизация аппаратных средств
- •18.5Требования к безопасности информационных систем в России
- •18.6Показатели защищенности средств вычислительной техники
- •18.7Заключение
- •18.8Рекомендации
- •19Пароли ис.
- •19.1Пароли. Хранение и передача по сети.
- •19.2Безопасность паролей и шифрование
- •19.3Идентификация и аутентифокация. Использование токенов.
- •19.4Равнозначность паролей
- •19.5Восстановление паролей текстовом виде
- •19.6Поиск по словарю
- •19.7Прямой подбор
- •19.8“Комбинированный” метод
- •19.9Работа программ вскрытия паролей Windows nt
- •19.10Основные меры защиты.
- •19.11Программы подбора паролей
- •19.16Троянская конница
- •19.17Программно-технические мероприятия защиты.
- •19.18Защита паролем
- •19.19Создание надежных паролей
19.8“Комбинированный” метод
В некоторых программах подбора паролей может применяться “комбинированный” метод, когда в качестве словаря используется файл с заранее вычисленными хешированными паролями, соответствующими известным символьным последовательностями. Задача вскрытия пароля при этом фактически сводится к поиску нужной последовательности в файле. Такой способ требует меньше вычислительных ресурсов (т.к. один раз вычисленные и записанные в файл хешированные пароли может затем использовать для взлома неоднократно), но предполагает наличие на компьютере взломщика большого количества дискового пространства.
19.9Работа программ вскрытия паролей Windows nt
В случае Windows NT работа программ вскрытия текстовых паролей пользователей существенно облегчается, поскольку в первую очередь ими подбирается хешированный пароль стандарта Lan Manager. Но он недостаточно устойчив к взлому. Чтобы его вскрыть, нужно фактически найти две половины текстового пароля, причем длина каждой из половинок не превышает семи символов, а буквы в них используются только в верхнем регистре.
Получив текстовый пароль Lan Manager, в котором используются буквы в верхнем регистре, с помощью хешированного пароля Windows NT довольно нетрудно определить пароль, содержащий эти буквы в нижнем регистре. Последний уже можно применить для интерактивного входа в систему.
На общедоступных серверах Интернета имеется несколько программ для восстановления паролей пользователей Windows NT в текстовом виде, причем в некоторых из них реализованы оба рассмотренных выше способа. В качестве исходной информации эти программы обычно применяют хешированные пароли из базы данных SAM. Однако в ряде таких программ есть возможность извлечь пароли из перехваченных с помощью сетевого анализатора последовательностей пакетов «запрос-ответ», которыми обмениваются между собой компьютеры при установлении соединения по сети
19.10Основные меры защиты.
Вывод однозначен: одна из главных задач системного администратора Windows NT – защита информации, хранящейся в базе данных SAM. Ниже приведены основные меры такой защиты:
ограничение физического доступа к основным серверам сети, прежде всего к контролерам доменов Windows NT;
защита базы данных SAM (а также ее копии) и других источников информации о паролях пользователей от несанкционированного доступа;
дополнительное шифрование паролей в базе данных SAM с целью затруднения их вскрытия;
предотвращение атак с целью выяснения паролей пользователей;
применение средств, вынуждающих пользователей применять «хорошие», то есть трудно раскрываемые программными средствами паролей.
Ограничение на вход в систему.
По сравнению с сетевым доступом при интерактивной работе за компьютером у пользователя гораздо больше возможностей, в том числе и для осуществления действий, направленных на взлом системы безопасности. Интерактивный вход в систему на обычном сервере или рабочей станции Windows NT по умолчанию разрешен всем членам локальной группы пользователей, в том числе и всем пользователям-доменам, если этот компьютер – член домена. В то же время правом интерактивного входа в систему на контролере домена (если администратор домена не менял настройки ОС Windows NT после установки) обладают только члены локальных групп Administrators, Backup Operators, Print Operators, Server Operators и Account Operators. Администратор домена должен быть очень внимателен, формируя группы операторов
Факторы, затрудняющие подбор пароля.
Чем шире используемый для построения пароля набор символов и чем длиннее пароль, тем в среднем больше времени понадобится для его вскрытия. Иллюстрацией этого утверждения может служить следующая таблица, в которой приведены оценки числа комбинаций символов в зависимости от указанных параметров.
Длина пароля |
Набор символов |
|
19.10.1A - Z A - Z, 0 - 9 A - Z, a - z, 0 - 9 |
5 |
265 ~11,9млн. 365 ~ 60,5 млн. 625 ~ 916 млн. |
6 |
266 ~ 309млн. 366 ~ 2,2 млрд. 626 ~ 56,8 млрд. |
7 |
267 ~ 8 млрд. 367 ~ 78,4 млрд. 627 ~ 3,52 млрд. |
8 |
268 ~ 209 млрд. 368 ~ 2,8 млрд. 628 ~ 218 млрд. |
Может показаться, что эти значения очень велики и оснований для беспокойства нет. Однако современному взломщику даже дома могут оказаться доступными вычислительные мощности, позволяющие осуществлять перебор десятков и сотен тысяч комбинаций символов в секунду. Не правда ли, приведенные в таблице (особенно в ее верхней строке) числа уже не кажутся астрономическими? Кроме того, надо учесть недостаточную устойчивость к вскрытию пароля Lan Manager, хранящегося в базе данных SAM Windows NT. За счет использования в этом пароле половинок, полученных независимо друг от друга, и приведения букв к верхнему регистру максимальное число комбинаций, необходимых для его подбора (даже при длине в 14 символов и при использовании латинских букв в разных регистрах и цифрах), все равно остается величиной порядка 367 , а не 6214 , как и в случае пароля Windows NT.
Поэтому системный администратор должен обязательно проинструктировать сотрудников, чтобы при вводе паролей они включили в них символы насколько возможно широкого набора, в том числе буквы в верхнем и нижнем регистре, цифры и специальные символы (например, пробел). Запретите пароли, состоящие только из цифр, и пароли, представляющие собой слова того или иного языка. Выполнение последнего требования уменьшит вероятность взлома паролей при поиске по словарю.
Для русскоязычных пользователей удобными паролями могут оказаться слова русского языка (лучше с необычными приставками, суффиксами и не в именительном падеже), набираемые на клавиатуре в режиме ввода латинских букв (в таком режиме, например, слову “ Ключик” будет соответствовать пароль Rk.xbr). Однако отечественные взломщики могут учесть и этот вариант при проведении атаки по словарю.