15. Захист вмісту зовнішньої пам'яті.
Носі́й інформа́ції (data medium) — матеріальний об'єкт
або середовище, призначений для зберігання даних. Останнім часом носіями інформації називають
переважно пристрої, призначені для зберігання файлів даних у комп'ютерних системах, відрізняючи їх від пристроїв для введення-виведення інформації та пристроїв для обробки інформації.
За формою сигналу, який використовується для запису даних, розрізняють аналогові та цифрові носії. Для перезапису інформації з аналогового носія на цифровий чи навпаки необхідно застосовувати аналогово-цифрове чи цифро-аналогове перетворення сигналу.
За призначенням розрізняють носії
§ Для використання на різних пристроях
§ Вмонтовані у певний пристрій
За стійкістю запису і можливістю перезапису:
§ Постійні запам'ятовуючі пристрої (ПЗП), зміст яких не може бути змінено кінцевим
користувачем (наприклад, CD-ROM, DVD-ROM). ПЗП в робочому режимі допускає тільки
зчитування інформації.
§ Записувані пристрої, у які кінцевий користувач може записати
інформацію тільки один раз (наприклад, CD-R,DVD-R, DVD+R, BD-R).
§ Оперативні пристрої забезпечують режим запису, зберігання й зчитування інформації в
процесі її обробки. Швидкі, але дорогі ОЗП(SRAM, статичні ОЗП) будуються
на основі тригерів,
повільніші, але дешеві різновиди (DRAM, динамічні ОЗП) будуються на основі конденсатора. В обох видах
оперативної пам'яті інформація зникає після відключення від джерела струму.
Динамічні ОЗП потребують періодичного оновлення вмісту - регенерації.
За фізичним принципом
За конструктивними (геометричними) особливостями
§ Дискові (магнітні диски, оптичні диски, магнітооптичні диски)
§ Барабанні (магнітні барабани)
Іноді носіями інформації також називають об'єкти, читання
інформації з яких не потребують спеціальних пристроїв - наприклад паперові носії.
Захист компакт дисків від несанкціонованого
копіювання
ОБ'ЄКТ
ДОСЛІДЖЕННЯ: методи створення захисних елементів на поверхні компакт-дисків,
які дозволяють здійснювати їх ідентифікацію. В роботі наведено результати
дослідження впливу ідентифікаційних елементів на характеристики оптичних
носіїв, характеристик підкладок компакт-дисків.
МЕТА ДОСЛІДЖЕННЯ: розробка фізико-технічних основ технології створення захисних елементів на поверхні компакт-дисків, розробка технології верифікації компакт-дисків.
РЕЗУЛЬТАТИ ДОСЛІДЖЕНЬ.
1. На базі аналізу вимог до захисту компакт-дисків від несанкціонованого копіювання розроблено комплекс технічних і програмних заходів для нанесення захисних елементів.
2. Розроблений апаратно-програмний комплекс запису графічних ідентифікаційних елементів з високою роздільною здатністю в зоні "lead-out" компакт-дисків.
3. Запропоновані методи створення водяних знаків на інформаційній поверхні компакт-дисків з використанням технологій модифікації поверхні підкладок дисків-оригіналів та керування процесами експонування шару фоторезисту.
4. Запропоновані методи ідентифікації компакт-дисків з використанням фотолюмінесцентних маркерних позначок, виготовлених шляхом включення органічного барвника або композиції барвник-цеоліт до захисного акрилового шару компакт-диску. Запропоновані додаткові методи захисту від підробок ідентифікаційних міток засновані на їх додатковому опромінюванні УФ випромінюванням.
5. Досліджено процеси запису голографічних ідентифікаційних позначок (водяних знаків) на інформаційну зону компакт-дисків за технологією "dot-matrix" та визначено співвідношення між рівнями експонування шару фоторезисту при записі інформаційного блоку та водяних знаків. Значення рівня експозиції при записі водяних знаків повинно становити не більше (8-10)% рівня експозиції в зоні запису інформаційного блоку для забезпечення безпомилкового відтворення інформації.
6. Визначено можливості використання забарвлення підкладок для ідентифікації партій компакт-дисків.
7. Визначено технологію нанесення об'ємних захисних елементів для ідентифікації компакт-дисків.
КЛЮЧОВІ СЛОВА: водяний знак, оптичне зчитування, компакт-диск, ідентифікація, захисний елемент
МЕТА ДОСЛІДЖЕННЯ: розробка фізико-технічних основ технології створення захисних елементів на поверхні компакт-дисків, розробка технології верифікації компакт-дисків.
РЕЗУЛЬТАТИ ДОСЛІДЖЕНЬ.
1. На базі аналізу вимог до захисту компакт-дисків від несанкціонованого копіювання розроблено комплекс технічних і програмних заходів для нанесення захисних елементів.
2. Розроблений апаратно-програмний комплекс запису графічних ідентифікаційних елементів з високою роздільною здатністю в зоні "lead-out" компакт-дисків.
3. Запропоновані методи створення водяних знаків на інформаційній поверхні компакт-дисків з використанням технологій модифікації поверхні підкладок дисків-оригіналів та керування процесами експонування шару фоторезисту.
4. Запропоновані методи ідентифікації компакт-дисків з використанням фотолюмінесцентних маркерних позначок, виготовлених шляхом включення органічного барвника або композиції барвник-цеоліт до захисного акрилового шару компакт-диску. Запропоновані додаткові методи захисту від підробок ідентифікаційних міток засновані на їх додатковому опромінюванні УФ випромінюванням.
5. Досліджено процеси запису голографічних ідентифікаційних позначок (водяних знаків) на інформаційну зону компакт-дисків за технологією "dot-matrix" та визначено співвідношення між рівнями експонування шару фоторезисту при записі інформаційного блоку та водяних знаків. Значення рівня експозиції при записі водяних знаків повинно становити не більше (8-10)% рівня експозиції в зоні запису інформаційного блоку для забезпечення безпомилкового відтворення інформації.
6. Визначено можливості використання забарвлення підкладок для ідентифікації партій компакт-дисків.
7. Визначено технологію нанесення об'ємних захисних елементів для ідентифікації компакт-дисків.
КЛЮЧОВІ СЛОВА: водяний знак, оптичне зчитування, компакт-диск, ідентифікація, захисний елемент
Профілактика жорстких дисків
S.M.A.R.T.
(Self-Monitoring Analysis And Reporting Technology) - технологія моніторингу й
повідомлення про неполадки застосовується всіма виробниками жорстких дисків.
Дозволяє прогнозувати несправності й заздалегідь приймати рішення відносно
схоронності даних. Відслідковує стандартні показники роботи жорсткого диска,
наприклад час виконання програм або частота появи збоїв при пошуку, і посилає
попередження у випадку, коли перевищена величина для якого-небудь із факторів.
Практично кожен виробник
вінчестерів представляє свої утиліти для роботи й моніторингу S.M.A.R.T. IBM
надає свою утиліту DFT (Drive Fitness Test), що дозволяє діагностувати жорсткий
диск, переглядати показники S.M.A.R.T., а при необхідності користуватися
Low-level Format.
Data Lifeguard - фірмова
утиліта компанії Western Digital, призначена спеціально для IDE жорстких
дисків. Вона не тільки відслідковує стан накопичувача, але й здатна виправити
такі неполадки, як помилки читання секторів у результаті експлуатації. Існує
також online діагностичний сервіс, за допомогою якого можна перевірити
практично будь-який IDE жорсткий диск.
Seagate також розробила
целую систему, кото-оая містить у собі захист диска, захист даних і систему
діагностичного захисту.
HDD TEMPERATURE
(http://www.siduardian.ru) -утиліта, що відслідковує температуру накопичувача й
попереджає про критичний стан. Працює тільки з дисками, що мають температурний
датчик.
1.2 Технологія
S.M.A.R.T.
S.M.A.R.T.
(Self-Monitoring, Analysis and Reporting Technology- технологія самотестування,
аналізу й звітності) - це новий промисловий стандарт, що описує методи
пророкування появи помилок жорсткого диска.
При активізації системи
S.M.A.R.T. жорсткий диск починає відслідковувати певні параметри, чутливі до
несправностей накопичувача або вказують на них. У результаті такого відстеження
можна пророчити збої в роботі накопичувача. Якщо на основі параметрів, що
відслідковують, імовірність появи помилки зростає, S.M.A.R.T. генерує для BIOS
або драйвера операційної системи звіт про виниклу неполадку, що вказує
користувачеві на необхідність негайного резервного копіювання даних до того
моменту, коли відбудеться збій у накопичувачі.
На основі параметрів, що
відслідковують, S.M.A.R.T. намагається визначити тип помилки. За даними
компанії Seagate, 60% помилок механічні. Саме цей тип помилок і передвіщається
S.M.A.R.T. Природно, не всі помилки можна пророчити, наприклад поява статичної
електрики, раптовий струс або удар, термічні перевантаження й т.д.
Технологія S.M.A.R.T.
була розроблена компанією IBM в 1992 році. У тому ж році IBM випустила жорсткий
диск формату 3,5 дюйми з модулем Predictive Failure Analysis (PFA), що
вимірював деякі параметри накопичувача й у випадку їхньої критичної зміни
генерував попереджуюче повідомлення. IBM передала на розгляд ANSI специфікацію
технології пророкування помилок накопичувача, і в результаті з'явився
ANSI-стандарт - протокол S.M.A.R.T. для SCSI-пристроїв (документ X3T10/94-190).
Для накопичувачів з
інтерфейсом IDE/ATA технологія S.M.A.R.T. була реалізована лише в 1995 році. У
розробці цього стандарту брали участь Seagate Technology, Conner Peripherals (у
цей час є підрозділом Seagate), Fujitsu, Hewlett-Packard, Maxtor, Quantum й
Western Digital. У результаті роботи цієї групи компаній була опублікована
специфікація S.M.A.R.T. для накопичувачів на жорстких дисках з інтерфейсом
IDE/ATA й SCSI, і вони відразу ж з'явилися на ринку.
У накопичувачах на
жорстких дисках з інтерфейсом IDE/ATA й SCSI реалізація S.M.A.R.T. подібна, за
винятком звітної інформації. У накопичувачах з інтерфейсом IDE/ATA драйвер
програмного забезпечення інтерпретує попереджуючий сигнал накопичувача, який
генерується командою S.M.A.R.T. report status. Драйвер запитує в накопичувача
статус цієї команди. Якщо її статус інтерпретується як, що наближається крах,
жорсткого диска, то операційній системі посилає попереджуюче повідомлення, а
та, у свою чергу, інформує про помилку користувача. Така структура в
майбутньому може доповнюватися новими властивостями. Операційна система може
інтерпретувати атрибути, які передаються за допомогою розширеної команди report
status. У накопичувачах з інтерфейсом SCSI S.M.A.R.T. інформує користувача
тільки про два стани накопичувача - про нормальну роботу й про помилку.
Для функціонування
S.M.A.R.T. необхідна підтримка на рівні BIOS або драйвера жорсткого диска
операційної системи (і, природно, накопичувач на жорстких дисках, що підтримує
цю технологію). S.M.A.R.T. підтримується декількома програмами, наприклад
Norton Smart Doctor компанії Symantec, EZ від Microhouse International або Data
Advisor від Ontrack Data International.
Зверніть увагу, що
традиційні програми діагностики диска, наприклад Scandisk й Norton Disk Doctor,
працюють із секторами даних на поверхні диска й не відслідковують всіх функцій
накопичувача в цілому. У деяких сучасних накопичувачах на жорстких дисках
резервуються сектори, які в майбутньому використаються замість дефектних. Як
тільки "вступає в справу" один з резервних секторів, S.M.A.R.T.
інформує про це користувача, у той час як програми діагностики диска не
повідомляють про яких-небудь проблеми.
Кожен виробник
накопичувачів на жорстких дисках по-своєму реалізує параметри монітора
S.M.A.R.T., причому більшість із них реалізували власний набір параметрів. У
деяких накопичувачах відслідковується висота "польоту" головок над
поверхнею диска. Якщо ця величина зменшується до деякого критичного значення,
то накопичувач генерує помилку. В інших накопичувачах виконується моніторинг
кодів корекції помилок, що показує кількість помилок читання й записи на диск.
У більшості дисків реалізована реєстрація наступних параметрів:
висота польоту головки
над диском;
швидкість передачі
даних;
кількість
перепризначених секторів;
продуктивність часу
пошуку;
кількість повторів
процесу калібрування накопичувача.
Кожен параметр має
граничне значення, що використається для визначення того, чи з'явилася помилка.
Це значення визначається виробником накопичувача й не може бути змінено.
Якщо S.M.A.R.T. у
процесі моніторингу накопичувача виявляє невідповідність параметрів, то
драйверу диска відправляється попереджуюче повідомлення, а драйвер інформує про
"нестандартну ситуацію" операційну систему, що сповіщає користувача
про необхідність негайного резервного копіювання даних. У цьому попереджуючому
повідомленні може також утримуватися інформація про тип, виробника, номер
накопичувача.
Не ігноруйте подібне
попереджуюче повідомлення й негайно виконаєте резервне копіювання даних! А що ж
робити після цього? Спробуйте самостійно усунути причину появи попереджуючого
повідомлення, наприклад, якщо накопичувач на жорстких дисках перегрівся,
спробуйте виключити на якийсь час комп'ютер, а потім включити знову. Якщо ж
причина криється "у надрах" накопичувача, то зв'яжіться зі службою
технічної підтримки вашого комп'ютера або накопичувача.
Утиліти для відновлення
даних
PC Inspector File
Recovery — безкоштовна програма для сканування жорстких
дисків та відновлення даних.Handy Recovery 4.0
Опис: Одна з найвідоміших і надійних прог для відновлення даних
після випадкового видалення, форматування диска, вірусної атаки ітд. Займає
мало місця, проста у використанні (не вимагає спеціальних знань або умінь,
доступний інтерфейс). Підтримує всі файлові системи Windows. Відновлює
структуру видалених директорій.
Гарантоване видалення даних
Kaspersky Crystal Гарантоване видалення файлів з комп’ютера — ще один спеціальний інструмент
Kaspersky Crystal. Стандартні методи видалення не гарантують, що зловмисник не
відновить стерті файли і не отримає доступ до конфіденційної інформації. У
продукті Kaspersky Crystal при використанні функції Незворотне видалення даних
ви можете бути впевнені в тому, що ваша інформація не потрапить до чужих рук.
Захист програмного забезпечення. Вразливості
програмного забезпечення та засоби боротьби з ними, дослідження вихідних
текстів програмного забезпечення, захист програм, встановлених на жорсткому
диску, захист програм від вивчення.
Безпека програмного забезпечення в широкому розумінні є властивістю
даного програмного забезпечення функціонувати без різних негативних наслідків
для конкретної комп'ютерної системи. Причини, що приводять до порушення
безпеки, можуть бути різними: збої комп'ютерних систем, помилки програмістів і
операторів, дефекти в програмах. При цьому дефекти прийнято розглядати двох
типів: навмисні і ненавмисні. Перші є, як правило, результатом зловмисних дій,
другі — помилкових дій людини
Вразливе місце — це недолік програмного забезпечення, яким
може скористатися зловмисник в своїх корисливих цілях. Вразливі місця в
програмному забезпеченні, пов'язані з системною безпекою, варіюються від
помилок в локальній реалізації і помилок міжпроцедурних взаємозв'язків до
недоліків більш високого рівня, допущених на стадії проектування.
Помилка— це похибка в програмному забезпеченні. Помилки
програмного коду — це недоліки на рівні реалізації. Для виявлення помилок
використовуються програми сканування коду.
Прорахунок також є недоліком програмного забезпечення, але
проблема тут визначається на глибшому рівні. Прорахунки за своєю природою є
більш тонкими і непримітними недоліками, ніж прості очевидні помилки,
наприклад, прорахунок може виявлятися у способі посилання на масив або у
використанні потенційно небезпечного системного виклику. Прорахунок зазвичай
пов'язують як з програмним кодом, так і з усім проектом.
Ще складніше ситуація з вразливими місцями, внесеними на
рівні проекту. Для виявлення помилки на рівні проекту програми потрібен
величезний досвід. Тому дуже складно знайти такі помилки і ще складніше
автоматизувати процес цього пошуку. Помилки на рівні проектування найбільш
поширені, проте їм приділяється найменша увага при оцінюванні безпеки
програмного коду.
Не менш трагічно, коли на дефектний код "здійснюють
напад". Справді, дефектний код — це традиційне знаряддя, використовуване
для злому комп'ютерів. Саме наслідки використання зловмисниками "дір"
у програмному коді часто доводиться спостерігати, аналізуючи інциденти,
пов'язані з порушенням комп'ютерної безпеки.
Важко виявити помилки в програмному забезпеченні, що
впливають на правильне виконання завдання, але виявити помилки в системі
безпеки ще важче.
Вразливості захисту можуть приводити до того, що одна
програма може використовуватися для подолання обмежень захисту всієї системи в
цілому.
Вразливості захисту залежно від програмних помилок можна
класифікувати так:
Переповнювання буфера. Ця вразливість виникає через
відсутність контролю за виходом за межі масиву пам'яті під час виконання
програми. Коли при записуванні дуже великого пакету даних переповнюється буфер
обмеженого розміру, вміст сторонніх елементів пам'яті перезаписується, і
відбувається збій та аварійний вихід з програми. За місцем розташування буфера
в пам'яті процесу розрізняють переповнювання буфера в стеку, купі і ділянки
статичних даних.
Вразливості "зіпсованого введення". Ці
вразливості можуть виникати у випадках, коли дані, що вводяться користувачем,
без достатнього контролю передаються на інтерпретатор деякої зовнішньої. В
цьому випадку вхідні дані можуть бути задані так, що за запущеним
інтерпретатором виконається зовсім не та команда, яка передбачалася авторами
вразливої програми.
Вразливості рядків форматів. Даний тип вразливостей захисту
є підкласом вразливості "зіпсованого введення". Він виникає внаслідок
недостатнього контролю параметрів при використанні функцій введення-виведення
формату ргіпіїї, їїргіпіїї, зсапїї, і т.д. стандартної бібліотеки мови Сі. Ці
функції приймають в якості одного з параметрів символьний рядок, де задається
формат введення або виведення подальших аргументів функції. Якщо користувач сам
може задати вид форматування, то ця вразливість може виникнути в результаті
невдалого використання функцій форматування рядків.
Вразливості як наслідок помилок синхронізації. Проблеми,
пов'язані з багатозадачністю, приводять до ситуацій, що називаються "стан
гонки": в програмі, не розрахованій на виконання в багатозадачному
середовищі, може бути не передбачено, що, наприклад, використовувані файли
можуть бути змінені при виконанні іншої програми. Як наслідок, зловмисник, що
вчасно підміняє вміст цих робочих файлів, може нав'язати виконання певних дій.
За даними Університету Карнегі-Меллон, на 1000 кодових
рядків зазвичай припадає від 5 до 15 помилок. Більшість цих помилок не
впливають на виконання програм і ніколи не виявляються. Але будь-яку з них
можна використати для злому захисту.
Недоліки захисту знаходять щодня. Деякі комп'ютерні
журнали, сайти спецлабораторій, блоги фахівців з комп'ютерної безпеки
періодично публікують відомості про помилки, знайдені в різних програмах.
Розробники цих програм зазвичай досить швидко виправляють помилки, як тільки ті
стають надбанням громадськості. Як правило, вслід за повідомленням про
вразливість випускається "латка". Ці "латки" (у вигляді оновлень,
нових версій, "патчів" тощо) обов'язково потрібно встановлювати тим
користувачам, які користуються програмою, в якій виявлено "діру".
Разом з тим, подібне "залатування дір" небагато-що дає. Адже новий
програмний код, напевно, знову міститиме "дірки" (якщо не більше від
попереднього, оскільки "латка" зроблена швидкоруч).
Відшуковувати "дірки", недекларовані властивості
програмного забезпечення, "злоякісні фрагменти коду" вірусних
програм, досліджувати захист систем можна за допомогою спеціальних
відлагоджувальних засобів. Існує два підходи при дослідженні програмного
забезпечення: високорівневе дослідження (загальновизнаний підхід), що
передбачає дослідження вихідних текстів програм, описаних мовами високого
рівня, і низькорівневе дослідження (альтернативний підхід), що полягає у
дослідженні вихідних текстів програм (обернена обробка), отриманих з
виконуваних кодів шляхом дизасемблювання.
Якщо вихідний код програми відсутній, то для її вивчення
можна скористатися також різними відлагоджувачами або трасувальниками,
декомпілятор. Створені подібні програми під різні операційні системи. Деякі з
них можуть функціонувати на різних платформах. Не дивлячись на те, що існує
велика кількість подібних програмних засобів, за якими підтримується багато
форматів виконуваних файлів для великої кількості процесорів та операційних
систем, але працювати з ними — далеко не легка робота. До того ж деякі
дизасемблери функціонують з помилками. І навпаки, деякі з них навіть можуть ставати у
нагоді фахівцям в процесі розпізнавання функцій генерації поліморфного коду в
хакерських програмах.
З іншого боку, дослідження програмних кодів, декомпіляція
не завжди є правомірною справою. Розробники комерційних програмних продуктів
захищають свої програмні коди, і їх розкриття є порушенням авторського права.
Для виявлення вразливостей захисту в програмах застосовують
наступні інструментальні засоби:
Динамічні налагоджувачі. Інструменти, за допомогою яких
можна налагоджувати програми в
процесі її виконання.
Статичні аналізатори (статичні налагоджувачі). Інструменти,
за якими використовуються дані, накопичені в ході
статичного аналізу програми.
Захист програм, встановлених на жорсткому диску. Захист
програм від вивчення
Для програм, встановлених на жорсткому диску, можуть
застосовуватися наступні заходи захисту.
Для функціонування програма потрібно, щоб у привід було
вставлено компакт-диск. Зокрема, це широко застосовується в іграх. Але для
багатьох програм такі заходи недоступні
Електронний ключ, вставлений в один з портів комп'ютера.
Перевага ключа в тому, що його можна вставляти в будь-який комп'ютер, на якому
потрібно запустити програму. Крім того, електронний ключ швидкий і не займає
привода/дисковода. Але електронні ключі дорогі (5-15 доларів), і застосовуються
лише в дорогому програмному забезпеченні. Також теоретично можливі конфлікти
периферійних пристроїв з ключем. Електронний ключ (апаратне і відповідне йому
програмне забезпечення) можна поширювати за допомогою цифрової дистрибуції.
Якщо користувач проводить модернізацію комп'ютера, захисні механізми перестають
функціонувати. Однак автори багатьох програм, захищених прив'язкою (в якості
прив'язки використовуються серійний номер), у подібних випадках готові надати
новий реєстраційний код.
Сканування мережі, за яким виключається можливість одночасного
запуску двох програм з одним реєстраційним ключем на двох комп'ютерах в межах
однієї локальної мережі. Локальний брандмауер можна налаштувати так, щоб він не
пропускав пакети, що належать захищеній програмі. Правда, налаштування
брандмауера вимагає від користувача деяких навичок. Крім того, в більшості
реальних мереж, в яких "всі один одному довіряють" (це прискорює
доступ до ресурсів на інших комп'ютерах, в тому числі до мережевих ігор), з
використанням брандмауера контролюється локальний трафік.
Якщо за допомогою програми здійснюється взаємозв'язок з
якимось централізованим сервером і без нього неактуальна (наприклад,
онлайн-гра, антивірус), то за нею може передаватися серверу її серійний номер;
якщо номер неправильний, з сервера не буде проводитись підтримка послуги. Це
непоганий спосіб захисту від копіювання. Втім, пірати можуть створити сервер,
за допомогою якого не буде проводитись така перевірка.
Важливим аспектом у питаннях програмного захисту є також
ліцензування. Суть будь-якої з систем ліцензування полягає в тому, що після
встановлення програмного забезпечення на локальний комп'ютер користувачеві
необхідно отримати від виробника певний ключ або пароль. Системи ліцензування
бувають як "одна ліцензія — один комп'ютер", так і "одна
ліцензія — один користувач". Як правило, для цих цілей використовують
механізм заповнення анкети на сайті розробника (для ідентифікації користувачів)
+ пересилання (на той самий сайт) спеціального ідентифікатора комп'ютера, на
основі якого і виконується генерація ключа. Як правило, в ключі містяться
зашифровані дані про користувача, продукт, число ліцензій та інші.
Зупинимось на розгляді засобів захисту програмних кодів
(зокрема, виконуваних файлів) від вивчення сторонніми особами. Інтелектуальну
власність завжди потрібно захищати, а надто, коли вона пов'язана з такою
виснажливою справою, як програмування.
Після компіляції потрібно захищати програми всіма можливими
способами. У колах програмістів реалізацію цих способів називають навісним
захистом.
Для захисту розроблюваних програм фахівці використовують
спеціальні технології захисту, як-то упаковування, протектування. В результаті
— безпосереднє дизасемблювання таких програм стає неможливим.
Існує кілька методів протидії дизасемблюванню:
шифрування;
архівування;
використання кодів, що самі генеруються;
"обман"
дизасемблера
Існує ще кілька способів протидії зламуванню програм. Мова
йже саме про протидію, оскільки за нижче описаними способами можна зробити
роботу налагоджувача або зовсім неможливим, або максимально трудомістким.
Засмічення коду програми. Спосіб, при якому до
програми вносяться спеціальні функції і виклики, за якими виконуються складні
дії, відбувається звертання до накопичувачів, але за фактом нічого не
відбувається. Типовий спосіб обману. Хакера потрібно відвернути, створивши
відгалуження, яке і привертатиме увагу складними викликами, і міститиме в собі
складні та великі обчислення. Хакер рано чи пізно зрозуміє, що його обманюють,
але час буде втрачений.
Використання мультипоточності — ефективний спосіб
захисту, за яким в функції Windows виконуються паралельно.
Будь-який програмний додаток може бути побудований як лінійно, тобто інструкція
за інструкцією, і легко читатися налагоджувачем, а може відбуватись розбивання
дій на кілька потоків, виконуваних одночасно. В цьому випадку немає лінійності,
тому аналіз програми здійснювати важко. Як правило, створення 5-6 і більшої
кількості потоків спричинює складності у аналізі програм хакером. А якщо до
того ж потоки шифруються, то робота хакера ускладнюється істотно.
Придушення спроб зміни операційного середовища — за
програмою кілька разів переналаштовується середовище оточення, або взагалі
відбувається відмова функціонування у зміненому середовищі. За допомогою не
всіх налагоджувачів можна на 100% імітувати середовище системи, і якщо за
"піддослідним" програмним додатком змінюватиметься налаштування
середовища, то рано чи пізно відбудеться збій у функціонуванні
"неправильного" налагоджувача.
Протидія встановленню контрольних точок. Спеціальний
механізм, за допомогою якого можна досліджувати не всю програму, починаючи з
початку, а, наприклад, лише починаючи з середини. Для цього всередині програми
ставлять спеціальний виклик (точка виклику — ВгеакРоіпі), за яким передається
управління налагоджувачу. Недолік способу криється в тому, що для здійснення
переривання в код досліджуваного програмного додатку треба внести зміну. А якщо
час від часу відбувається перевірка на наявність контрольних точок у програмі,
то зробити подібне непросто.
Зміни певних регістрів процесора, у відповідь на які
відбувається неадекватне "реагування" налагоджувачів. Якщо змінювати
певні регістри мікропроцесора, які налагоджувач не може емулювати, то можна
істотно погіршити його функціонування.
Шифрування. Найпростіший і ефективний спосіб протидії.
Передбачається, що певна з частин коду ніколи не з'являється у вільному
вигляді. Програмний код дешифрується лише перед передаванням управління до
програми. Тобто вся програма або її частина знаходиться в зашифрованому
вигляді, а розшифровується лише перед виконанням. Відповідно, щоб
проаналізувати її код, треба скористатися налагоджувачем, а його роботу можна
дуже ускладнити (про методи ускладнення процесу трасування вже йшлося).
Шифрування і дешифрування (динамічна зміна коду). Більш
популярний спосіб шифрування, за яким не просто дешифрується частина коду при
виконанні, але і шифрується вона знову після того, як було її виконано. При
такому захисті потрібно використати налагоджувач, і злом захисту затягнеться на
довгий час.
Використання віртуальних машин. Це ще одна модернізація
шифрування. Спосіб полягає у тому, щоб не просто шифрувати і дешифрувати
фрагменти коду повністю, а робити це покомандно, подібно до того, як функціонує
налагоджувач або віртуальна машина: взяти код, перетворити у машинний і
передати на виконання, і так доти, поки весь модуль не буде виконано. Цей
спосіб набагато ефективніший за попередні, оскільки функції додатку взагалі
ніколи не бувають відкритими для хакера. Природно, що його важко реалізувати,
але реалізувавши, можна захистити себе від посягань будь-яких хакерів. Однак, в
цьому способі криється недолік — продуктивність, адже на подібну трансляцію
потрібно багато часу, і, відповідно, цей спосіб хороший для захисту лише
критичних ділянок коду.
Слід сказати, що практично всі методи захисту вже зламані,
сподіватися на 100% надійний захист від зламування не можна. Проте можна і
потрібно розробляти нові ефективні системи захисту.
17.Захист вмісту запам'ятовуючих
пристроїв від шкідливих програм. Комп'ютерні віруси і засоби боротьби з ними, історія
комп'ютерних вірусів, класифікація комп’ютерних вірусів, антивірусні програми,
типи антивірусних програм, методи розпізнавання шкідливих об'єктів, захист
комп'ютера від шпигунських програм.
Віруси — шкідливі
програми, які створенні за принципом самокопіювання і саморозсилання. Вірус
являє собою шкідливу комп'ютерну програму, в якій міститься частина коду, що
виконується після входження вірусу в комп'ютерну систему.
Перші віруси з’явились
близько 1970 року. В основу теорії автоматів, що самовідтворюються покладено,
наприклад, матеріали лекцій з теорії і організації складних автоматів, які
читав Джон фон Нейман (John von Neumann) в Ілінойському університеті наприкінці
1949 року. Ці лекції та примітки до них були видані після смерті Джона фон
Неймана у 1966 році Артуром Берксом (Arthur Burks).
Сьогодні відомо кілька різних
форм комп'ютерних вірусів: файлові (заражають файли), бутові5 (заражають
систему або завантажувальну зону системного диску), мережеві. Існують також
модифікації, за якими виконуються комбіновані дії.
В наш час, безумовно,
головним джерелом розповсюдження вірусів є Інтернет. При цьому доля заражень
електронною поштою сягає майже 62 %, а в 13 % випадків зараження несуть в собі
файли, що завантажуються з Інтернет.
Всі існуючі віруси можна
поділити на наступні групи.
Нерезидентні файлові віруси
(за їх допомогою не заражається пам'ять комп'ютера, вони зберігають
функціональність обмежений час, при цьому деякі віруси залишають в оперативній
пам'яті невеликі резидентні програми, що не розповсюджують вірус): віденська
група, польська група, група IV (Amstrad), вірус Е-1961 (1961 — кількість байт,
на які він збільшується), студентська група.
Резидентні файлові віруси (за
якими при інфікуванні комп'ютера залишається в оперативній пам'яті їх
резидентна частина, за допомогою якої потім перехоплюється звернення
операційної системи до об'єктів зараження): група "Буквопад",
єрусалимська група, болгарські віруси (група ТР-вірусів), група Чорних
месників, група Нео-месників, група другої половини таблиці переривань, група
троянізуючих вірусів, група стелс-вірусів, студентська група.
Файлові віруси ще поділяють
на: стелс-віруси (віруси-невидимки), віруси з інсталятором, що
самомодифікується, віруси східного походження, віруси групи першоквітневих
вірусів, віруси групи Дейтакрайм, поліморфні (polymorphic) віруси (що
"мутують", не містять у своєму програмному коді сигнатур, тобто
жодної постійної ділянки коду), MtE-віруси (шифровані), віруси, що
самопоновлюються через Інтернет, макро-віруси6, багатокомпонентні віруси,
міфічні віруси.
Мережеві віруси краще
називати реплікаторами, оскільки за їх допомогою не заражаються виконувані
програми, а просто вони розповсюджуються в мережі — від одного комп'ютера до
іншого. Буквальний переклад відповідного англомовного перекладу — worm (хробак)
— є менш вдалим, ніж термін "реплікатор", вважають деякі автори. В
свою чергу, за допомогою реплікатора можуть переноситися "троянські
коні" і звичайні віруси.
Існує три типи мережевих
вірусів: поштові (на зразок Melissa), безтілесні (як, наприклад, Code Red) та
Warhol (бліцкриг), за якими викликаються глобальні епідемії за лічені хвилини
(приклади: Blaster7, Slammer8). Деякі інші добре відомі мережеві віруси:
Christmas Tree, вірус Морріса, Badtrans, Beagle, BugBear, Ganda, Klez.
Для запобігання появи
вірусних програм різноманітного призначення в першу чергу потрібно
користуватися антивірусами. Встановлену антивірусну програму потрібно регулярно
оновлювати. Необхідно також досить часто оновлювати й інше, встановлене в
системі, програмне забезпечення.
При роботі в Інтернеті або
локальній мережі, а також перед інсталяцією і запуском нових додатків
антивірусний монітор має бути ввімкнений.
У жодному випадку не можна
відкривати невідомі вкладення в електронні листи, навіть якщо вони виглядають
абсолютно нешкідливо, а сам лист одержано від знайомого адресату.
Не можна нехтувати перевіркою
повідомлень, що надходять ззовні (з диску, з флешки, з локальної мережі, з
Інтернет і т.д.), за допомогою детекторів чи програм-ревізорів. Для цього
бажано використовувати програми, за якими перевіряється не довжина файла, а
обчислюється його контрольна сума, тому що багато вірусів не змінюють довжину
заражених файлів, а змінити файл так, щоб не змінилася його контрольна сума,
практично неможливо.
Не переходити на
веб-сторінках за сумнівними посиланнями.
У роботі з мобільними
пристроями потрібно бути обережними при встановленні неперевірених додатків,
користуватись Bluetooth лише у разі потреби (в інший час вимикати), також
уважно прочитувати усі повідомлення, що з'являються на екрані (вони з'являються
завжди перед прийманням чи встановленням додатку).
У параметрах безпеки всіх
програм сімейства MS Office необхідно заборонити
виконання макросів без підтвердження користувача. Підтверджувати виконання
можна лише для добре відомих макросів.
Потрібно дуже обережно
користуватись мережевими сервісами сумнівного наповнення, файлообмінними
мережами, сайтами із безкоштовною музикою, з безкоштовними електронними книгами
та іграми.
Якщо принесені програми на
диску знаходяться в заархівованому вигляді, то слід файли з архіву
розархівувати і відразу перевірити, лише після цього файли можна пускати в
роботу.
Дуже простою і надійною
перевіркою на наявність резидентних вірусів є процедура відстеження змін у
карті пам'яті комп'ютера, наприклад, за минулий день.
Дотримання всіх цих правил не
дає повної гарантії безпеки, тому всю систему необхідно регулярно перевіряти на
наявність вірусів за допомогою антивірусних програм.
Для захисту і боротьби з
вірусами застосовуються спеціальні антивірусні програми, які традиційно
поділяють на кілька видів:
програми-фільтри (монітори,
сторожі) розташовуються резидентно в оперативній пам'яті комп'ютера, за ними
перехоплюються ті звертання до операційної системи, що можуть використовуватися
за допомогою вірусів для розмноження і нанесення шкоди. За допомогою
програм-фільтрів не "лікуються" файли і диски. За
програмами-сторожами постійно видається попередження про будь-яку спробу
копіювання виконуваного файлу), а також можливі конфлікти з іншим програмним
забезпеченням. Прикладами програм-фільтрів є програми Disk
Monitor, Floserum, . В
сучасних операційних системах подібних програм вже не використовують, оскільки
функції моніторів виконуються за допомогою операційних систем;
програми-детектори (RAV Antivirus Desktop, Kaspersky Inspector ) призначенні для пошуку
файлів, заражених примітивними вірусами;
програми-ревізори — це
найбільш надійні засоби захисту від вірусів. За ними спочатку запам'ятовуються
відомості про стан програм, каталогів і системних ділянок дисків коли комп'ютер
не заражений вірусом, а потім проводиться порівняння поточного стану з
вихідним. Виявлені зміни виводяться на екран монітора. Як правило, порівняння
станів відбувається відразу після завантаження операційної системи. При
порівнянні перевіряються довжина файла, код циклічного контролю (контрольна
сума файла), дата і час модифікації, інші параметри. В програмах-ревізорах
реалізуються досить розвинені алгоритми, за якими виявляються стелс-віруси і
можна навіть відмінити зміни в програмі, спричинені вірусом. На жаль деякі види
шкідливих програм, наприклад, зломщики паролів, клавіатурні шпигуни , за
допомогою ревізора виявити неможливо. Програми-ревізори — ADinf, The Nicks Ghost Buster.
програми-доктори (чи фаги)
призначені для "лікування" заражених програм та дисків шляхом
ліквідації віруса. На початку функціонування фагів проводиться пошук вірусів в
оперативній пам'яті, знайдені віруси ліквідуються і лише потім відбувається
"лікування" файлів. Відомі програми-доктори— Clean-Up,
M-Disk, LD, SOS, TNTVirus, AV, Dr.Web, GriSoft AVG AntiVirus System, Virus
Cleaner та ін. Серед фагів
виділяють поліфаги, тобто програми-доктори, призначені для пошуку і ліквідації
великої кількості вірусів. Найбільш відомі з них: Aidstest,
Scan, Norton AntiVirus, Doctor Web;
доктори-ревізори— це програми, в яких поєднуються властивості ревізорів і фагів: з їх допомогою можна знайти зміни у файлах і системних ділянках дисків та, за необхідності, у випадку патологічних змін, можна автоматично повернути файл до вихідного стану. Приклад Panda Antivirus
Platinum
вакцини або імунізатори — це
резидентні програми, використання яких може запобігти зараженню файлів. Вакцини
застосовують, якщо немає програм-докторів, за допомогою яких можна позбавити
програму від вірусу. Вакцинація можлива лише від відомих вірусів. При цьому
програма модифікується таким чином, щоб це не відображалось на її
функціонуванні, але щоб за допомогою вірусу вона визначалася як вже заражена і
впровадження шкідливого коду не відбувалось. В даний час програми-вакцини мають
обмежене застосування.
Деякі антивірусні функції
вбудовані в сучасні версії BIOS. Захистити комп'ютер від вірусів може лише сам
користувач. Лише він може гарантувати захист даних чи забезпечити мінімальні
збитки, якщо зараження все-таки відбулося, правильним і своєчасним
застосуванням антивірусних засобів. Необхідно правильно організовувати роботу
на ПК і уникати безконтрольного переписування програм з інших комп'ютерів, в
першу чергу це стосується розважальних програм і комп'ютерних ігор.
У основі роботи будь-якої
антивірусної програми лежать одні і ті самі методи розпізнавання шкідливих
об'єктів. У їх числі різні варіанти сканування і моніторингу. Коротко
зупинимось на найпоширеніших з них.
Пряме сканування. Цей метод передбачає прямий пошук в оперативній
пам'яті і на вінчестері певних наборів програмного коду вірусу (сигнатур). Для
цього розробники ретельно стежать за появою нових вірусів і вносять їх
сигнатури до користувацьких програм шляхом регулярних оновлень. Метод дуже
надійний і практично не дає помилкових спрацьовувань. Основний його недолік —
неможливість відшуковувати віруси, що ще не потрапили до пакетів оновлень, і
поліморфні об'єкти, код яких змінюється при кожному запуску.
У основі роботи будь-якої
антивірусної програми лежать одні і ті самі методи розпізнавання шкідливих
об'єктів. У їх числі різні варіанти сканування і моніторингу. Коротко
зупинимось на найпоширеніших з них.
Пряме сканування. Цей метод
передбачає прямий пошук в оперативній пам'яті і на вінчестері певних наборів
програмного коду вірусу (сигнатур). Для цього розробники ретельно стежать за
появою нових вірусів і вносять їх сигнатури до користувацьких програм шляхом
регулярних оновлень. Метод дуже надійний і практично не дає помилкових
спрацьовувань. Основний його недолік — неможливість відшуковувати віруси, що ще
не потрапили до пакетів оновлень, і поліморфні об'єкти, код яких змінюється при
кожному запуску.
Евристичне сканування . Перевага
цього методу — використання при перевірці файлів не принципу пошуку сигнатур, а
комплексного аналізу, включаючи оцінювання можливого функціонування підозрілого
об'єкту. Проте через те, що при евристичному скануванні шукаються не шкідливі
об'єкти як такі, а об'єкти, схожі на них, можливі помилкові спрацьовування.
Проте таким шляхом можна визначити невідомі віруси і ті, що видозмінюються.
Моніторинг змін. Один з
найнадійніших методів, за яким відстежуються зміни параметрів (розміру, дати та
ін.) об'єктів на вінчестері. При цьому потрібне попереднє збирання даних про
"здорову систему", що значно знижує швидкодію комп'ютера. Помилкові
спрацьовування неминучі.
Моніторинг поведінки. За цим
методом виявляють невідомі або поліморфні віруси, визначаючи їх за шкідливими
діями. Негативні риси: помилкові спрацьовування і підвищені вимоги до ресурсів
комп'ютера.
Після виявлення зараженого
файлу за допомогою антивірусного програмного забезпечення можна
"вилікувати" цей файл, перейменувати, перемістити до спеціальної
карантинної папки або вилучити. Всі ці дії можна проводити автоматично, але в
цьому випадку збиток від помилкових спрацьовувань може перевищити втрати від
вірусної атаки.
Як би добре і швидко не
функціонували б найкращі антивірусні програми, поліфаги і сканери, якими б
великими і частооновлюваними не були їх бази даних зі знайденими вірусами,
розробники вже просто не встигають обробляти і вносити до баз даних усі
сигнатури. Також проблема ускладнюється поліморфністю та
"інтелектуальністю" нових вірусних розробок. Наявність спеціальних
генераторів вірусів з доступним будь-кому інтерфейсом також сприяє тому, що за
створення вірусів беруться численні зловмисники.
Захист комп'ютера від шпигунських програм
Шпигунська програма (spyware)38 — це несанкціоновано
встановлена на комп'ютер користувача програма певного виду, яка
використовується без належного оповіщення користувача, без згоди і контролю з
боку користувача. Як правило, за допомогою шпигунського програмного
забезпечення без відома і згоди користувача надсилаються дані з його комп'ютера
на який-небудь інший. Так порушується конфіденційність даних користувача.
Внаслідок функціонування шпигунської програми можуть змінюватись налаштування
браузера, погіршуватись з'єднання з Інтернетом.
Шпигунські програмні продукти поділяються на кілька
основних видів:
несанкціоновано
використовувані моніторингові програмні продукти (англ. tracking software);·
несанкціоновано
використовувані програмні продукти, призначені для контролю натиснень клавіш на
клавіатурі комп'ютера (англ. keyloggers);·
несанкціоновано
використовувані програмні продукти, призначені для контролю скріншотів екрану
монітора комп'ютера (англ. screen scraper).·
Зловмисний (також
деструктивний) код може впроваджуватись алгоритмічно і програмно, у такому разі
йдеться про алгоритмічні і програмні закладки.
В програмних закладках
реалізуються різні моделі впливу на комп'ютери: перехоплення, спотворення,
"прибирання сміття", спостереження і компрометація.
Вилучити програмну закладку
не так просто, як вірус. Спосіб її вилучення залежить від методу внесення у
комп'ютер. Якщо це програмно-апаратна закладка, то потрібно буде
перепрограмовувати постійний запам'ятовуючий пристрій, якщо це завантажувальна,
драйверна, прикладна, замаскована закладка чи закладка-імітатор, то можна
замінити їх на відповідний завантажувальний запис, драйвер, утиліту, прикладну
чи службову програму, отриману з надійного джерела. Якщо це виконуваний
програмний модуль, то слід дістати його вихідний текст, вилучити з нього всі
закладки чи підозрілі фрагменти, а потім заново відкомпілювати.
Розглянемо методи захисту від
шпигунських програмних продуктів.
По-перше, щоб уникнути
проникнення в комп'ютер шпигунських програм, не слід натискати ОК, не прочитавши текстових повідомлень — серед
таких повідомлень може міститись попередження про інсталяцію шпигунської
програми.
По-друге, захист від
"відомих" шпигунських програмних продуктів має полягати у
використанні антишпигунських і антивірусних програмних продуктів відомих
виробників (з автоматичним оновленням сигнатурних баз). Якщо ж шпигунська
програма ще невідома в антивірусних лабораторіях, то передусім слід налаштувати
у використовуваному антивірусному (чи анти шпигунському) програмному продукті
так званий поведінковий аналізатор. Також потрібно здійснювати автоматичний контроль
всього мережевого трафіку з метою виявлення і блокування передавання даних від
шпигунської програми до її господаря
18.Поширені види мережевих атак і способи захисту
від них. Мережеві атаки, види мережевих атак, сегментація мереж,
міжмережеві екрани, списки управління доступом (ACL), загрози використання
глобальної мережі Інтернет, методи захисту.
Що
стосується мережевих атак, то будь-яка така атака спрямовується на програмний
засіб хосту, що атакується. В якості атакованого програмного засобу може
виступати мережевий стек операційної системи, інший системний код, прикладна
програма, тобто загалом елемент прикладного чи системного програмного
забезпечення. Атака, як правило, можлива через наявність помилок і прорахунків
при розробці, реалізації, налагодженні або використанні даного програмного
засобу. Зупинимось на розгляді атак, що можуть здійнюватись на рівні мережевого
програмного забезпечення.
Відомо,
що мережеве програмне забезпечення є найбільш вразливим, оскільки канал
зв'язку, через який передаються повідомлення, найчастіше не захищений, і
всякий, хто може мати доступ до цього каналу, відповідно, може перехоплювати
повідомлення і відправляти свої власні. Тому на рівні мережевого програмного
забезпечення можливі наступні хакерські атаки:
прослуховування
сегмента локальної мережі (у межах того самого сегмента локальної мережі через
будь-який під'єднаний до нього комп'ютер можна приймати повідомлення,
адресовані до інших комп'ютерів сегмента, а отже, якщо комп'ютер хакера
під'єднаний до деякого сегмента локальної мережі, то йому стає доступний весь
інформаційний обмін між комп'ютерами цього сегмента);
перехоплення
повідомлень на маршрутизаторі (якщо хакер має привілейований доступ до
мережевого маршрутизатора, то він одержує можливість перехоплювати всі
повідомлення, що проходять через цей маршрутизатор, і хоча тотальне
перехоплення неможливе через занадто великий обсяг, надзвичайно привабливим для
хакера є вибіркове перехоплення повідомлень, що містять паролі користувачів і
їхню електронну пошту);
створення
несправжнього маршрутизатора (шляхом відправлення в мережу повідомлень
спеціального вигляду хакер прагне того, щоб його комп'ютер став маршрутизатором
мережі, після чого одержує доступ до всіх повідомлень, що передаються через
нього);
нав'язування
повідомлень (відправляючи в мережу повідомлення з несправжньою зворотною
мережевою адресою, хакер переключає на свій комп'ютер уже встановлені мережеві
з'єднання та у результаті дістає права користувачів, чиї з'єднання облудним
шляхом були переключені на комп'ютер хакера);
відмовлення
в обслуговуванні (хакер відправляє в мережу повідомлення спеціального вигляду,
після чого одна чи кілька комп'ютерних систем, під'єднаних до мережі, повністю
або частково виходять з ладу).
Під
віддаленою мережевою атакою будемо розуміти вплив на програмні компоненти
цільової системи за допомогою програмних засобів. Таким чином, атака є спробою
одержати дані або здійснити проникнення. Зазвичай, виділяють три основні типи
атак:
атаки
розвідки (спроб збирання даних);
атаки
одержання доступу;
атаки
відмовлення в обслуговуванні.
Ці
типи атак не завжди використовуються окремо і, як правило, застосовуються у
поєднанні для досягнення атакуючим своїх цілей.
Зрозуміло,
що оскільки хакерські атаки на рівні мережевого програмного забезпечення
спровоковані відкритістю мережевих з'єднань, то можна припустити, що для
відбивання цих атак необхідно максимально захистити канали зв'язку і тим самим
ускладнити обмін даними через мережу для тих, хто не є легальним користувачем.
Для
забезпечення захисту даних в локальних мережах їх спочатку потрібно належним
чином сегментувати. Для сегментації визначають, в чому вона буде полягати. При
підготовці до поділу сегменти можуть створюватись на основі наступних
критеріїв:
обов'язки,
що можуть виконуватися у сегменті;
рівень
загрози;
рівень
ризику;
тип
повідомлень;
робочі
потреби (наприклад, потреби бізнесу).
Сегментація
мереж може зменшити наслідки ненавмисних нападів, викликаних самими
користувачами, а також стане першим захисним фактором від навмисних внутрішніх
ІТ-загроз.
Використання
міжмережевих екранів дозволяє якнайкраще захистити мережу. За їх допомогою
можна фільтрувати вхідний/вихідний трафік, перевіряти дії користувачів на
відповідність політики безпеки компанії і у разі потреби — здійснювати блокування.
Слід,
однак, розуміти, що міжмережеві екрани не позбавлені вад, і тому на них не
можна покладатися, як на єдиний механізм захисту в межах організації. Поряд з
цими пристроями потрібно встановлювати і інші інструментальні засоби, і
політики.
Таким
чином, мережева сегментація призначена для підтримки конфіденційності, захисту
мережевих та інформаційних ресурсів від очікуваних загроз, обмеження доступу до
конфіденційних даних сторонніх осіб.
Один
із найпростіших способів сегментувати мережу — використовувати списки
управління доступом (АСL). Ці списки можуть
застосовуватись як у вхідних, так і у вихідних інтерфейсах маршрутизаторів,
обмежуючи трафік лише необхідними пакетами. Принцип дії AСL базується
на ІР- адресі джерела мережевих пакетів. Стає можливим використовувати
маршрутизатори в якості невеликих міжмережевих екранів. Багато організацій
використовують АСL для
блокування трафіка, що надходить з ІР-адрес, що належать відомим спамерам або
країнам, що поблажливо ставляться до хакерів. Використовуючи пошукові служби
Інтернет, легко дізнатися "чорні списки ІР-адрес" .
З
появою Інтернет загрози втрати конфіденційності даних для користувачів
комп'ютерів різко зросли. Найголовніша небезпека, що підстерігає мандрівника в
Інтернеті, це помилкове відчуття своєї анонімності і невразливості.
Тому
при роботі в Інтернеті слід дотримуватись особливої обережності. Розглянемо
найнебезпечніші ситуації, що підстерігають користувача, який приєднався до
Інтернету.
З
давніх часів провайдери Інтернету, що надають цю послугу через телефонні лінії
зв'язку, встановлювали на вхідних лініях свого сервера пристрої автоматичного
визначення номерів (АВН). Кожний користувач може сам визначити наявність АВН,
зателефонувавши за телефонним номером віддаленого доступу, зазначеним у картці
Інтернет. У відповідь на дзвінок у трубці повинен пролунати відповідний сигнал,
що видається пристроєм АВН при запиті у місцевої АТС телефонного номера. Після
того, як з місцевої АТС буде переслано на пристрій АВН Інтернет-провайдера
особистий телефонний номер користувача, і він буде зафіксований на сервері,
персональний комп'ютер під'єднується до сервера провайдера. В процесі роботи в
Інтернеті на сервері провайдера будуть автоматично фіксуватися всі дії
користувача (адреси відвіданих web-вузлів, використані протоколи, можливо, фрагменти
трафіка), асоціюючи їх з обліковим записом користувача Інтернет-послуг, що
містить також виявлений за допомогою АВН телефонний номер. Тому у разі потреби
знайти конкретного користувача Інтернет, що користується послугами телефонного
провайдера, не становить ніякої проблеми. Таким чином використання АВН
спричинює втрату конфіденційності.
Ще
одну небезпеку становить завантаження файлів з різних Інтернет-серверів, які
інколи зайняті розповсюдженням зловмисних програм і вірусів, маскуючи їх під
цілком легальні і безпечні програми. Наслідки таких дій залежать від цілей
зловмисників.
Інша
загроза, що прямо стосується обговорюваної теми — це реєстрація, яку часто
пропонують виконати на web-сайтах для використання окремих сервісів.
Електронна
пошта, як відомо, — це одна з найбільш популярних і на жаль вразливих стосовно
втрати конфіденційності служб Інтернету.
19.Організація
безпровідного зв'язку, специфічні атаки на безпровідні мережі та способи
захисту від них. Актуальні проблеми використання безпровідних
мереж, типи загроз безпеці в безпровідних мережах, способи захисту
даних в безпровідних мережах.
Ідея цифрового
бездротового зв'язку не нова. Вже в 1901 році італійський фізик Г. Марконі
продемонстрував телеграфний зв'язок між кораблем і узбережжям за допомогою
азбуки Морзе, що складається з крапок і тире. Сьогоднішні цифрові радіосистеми
мають вищу продуктивність, проте в їх основі лежить та сама ідея.
У першому наближенні
бездротові мережі можна поділити на наступні три категорії:
• взаємопов'язані системи;
• бездротові локальні мережі;
• бездротові глобальні мережі.
Майже у всіх бездротових
мережах в якомусь місці є шлюз, через який забезпечується зв'язок зі звичайними
комп'ютерними мережами, інакше просто неможливо було б організувати, наприклад,
доступ до Інтернету. Такі комбінації можуть використовуватися в різних видах і
ситуаціях.
Досліджувати і розробляти
технології бездротового зв'язку вчені почали по всьому світу ще у 50-ті роки
минулого століття. При цьому пробували досліджувати все: і радіо, і
інфрачервоний спектр, і навіть з'єднання за допомогою лазера. Саме
електромагнітні поля та хвилі найбільш цікаві з точки зору передавання
комп'ютерних даних.
Характеристики бездротової
лінії зв'язку — відстань між вузлами, територія охоплення, швидкість
передавання сигналів і т.п. — багато в чому залежать від частоти
використовуваного електромагнітного спектру.
20.Основні поняття криптографії. Коротка історія криптографії. Поняття криптології,
криптографії. Ключ, шифрування, зашифровування, розшифровування,
криптостійкість, криптоаналіз, методи криптоаналізу, криптографічні методи
захисту даних. Алгоритми шифрування даних, симетричні криптографічні алгоритми,
асиметричні криптографічні алгоритми. Основні поняття стеганографії.
Стеганографічні методи і системи.
Самим надійним захистом від
несанкціонованого доступу до повідомлень, що передаються якимось чином, і
програмних продуктів персонального комп'ютера є застосування різних методів
шифрування (криптографічних методів захисту інформаційних ресурсів).
Криптологія— наука про
математичні методи захисту повідомлень шляхом їх перетворення; це галузь знань,
де вивчаються тайнопис (криптографія) і методи її розкривання (криптоаналіз). Термін використовується
для позначення всієї галузі секретного зв'язку. Криптологія поділяється на три
напрямки: криптографію, стеганографію і криптоаналіз.
Криптографія — галузь знань про захист повідомлень, де
вивчаються методи перетворення повідомлень, що забезпечує їх конфіденційність,
автентичність та виключає їх прочитання без знання ключа. Криптографія — це і
мистецтво, і наука, і технологія.
Фахівців з криптографії, які займаються розробкою шифрів,
називають криптографами.
Ключ — послідовність символів, використовувана в
криптографічних системах, необхідна для безперешкодного шифрування і
дешифрування текстів. Таємність ключа забезпечує криптостійкість усієї системи.
Шифрування — це основний криптографічний метод захисту
повідомлень, що забезпечує її конфіденційність.
Під конфіденційністю розуміють неможливість одержання
даних з перетвореного масиву без знання додаткових даних (ключа). Автентичність
даних полягає у вірогідності авторства і цілісності.
Шифрування даних — це процес перетворення відкритих даних
в зашифровані і навпаки. Перша частина процесу називається зашифровуванням,
друга — розшифровуванням. Також термін шифрування (у вузькому сенсі)
використовується як синонім зашифровування. Однак неправильно в якості синоніму
шифрування використовувати термін "кодування" (а замість
"шифру" — "код"), оскільки під кодуванням зазвичай
розуміють подання даних у вигляді відповідного набору знаків (наприклад, літер
алфавіту). Шифрування — це частковий випадок кодування.
Зашифровування — процес перетворення відкритих даних у
зашифровані за допомогою шифру. Замість терміну "відкриті дані" часто
використовують терміни відкритий текст і вихідний текст, а замість
"зашифровані дані" — шифрований текст.
Розшифровування —
процес, зворотний зашифровуванню, тобто процес перетворення зашифрованих даних
у відкриті за допомогою ключа. У деяких джерелах окремо виділяють термін
дешифрування (гїесірЬегіпд), маючи на увазі під ним відновлення вихідного
тексту на основі шифрованого без знання ключа, тобто методами криптоаналізу.
Термін "дешифрування", як правило, застосовують стосовно процесу
криптоаналізу шифротексту (криптоаналіз може полягати і в аналізі шифросистеми,
а не лише зашифрованого відкритого повідомлення).
Математичні алгоритми, відповідно до яких виконується
шифрування, іменуються шифрами .
Алгоритми шифрування — математичні правила, на основі
яких створюються і зламуються секретні шифри. Основною характеристикою
алгоритму шифрування є криптостійкість.
Криптостійкістю (сгурІодгарЬіс зІгепдіЬ) називається
характеристика шифру, за якою визначається його стійкість до дешифрування без
знання ключа (тобто криптоаналізу). Зазвичай, ця характеристика визначається
часовим інтервалом, необхідним для розкриття шифру.
Показник криптостійкості — основний параметр будь-якої
криптосистеми. В якості показника криптостійкості можна вибрати [5; 4-10]:
• кількість усіх можливих ключів або ймовірність визначення
ключа за заданий час із заданими
ресурсами;
• кількість операцій або час (із заданими ресурсами),
необхідний для злому шифру із заданою
ймовірністю;
• вартість обчислення ключових даних або вихідного тексту.
Криптоаналіз (сгуріапаіузіз) — набір методик і алгоритмів
дешифрування криптографічно захищених повідомлень, аналізу шифросистем. В ньому
поєднуються математичні методи порушення конфіденційності й автентичності, а
також розшифровування повідомлень без знання ключів. Криптоаналітики
(сгуріапаіузі) — це дешифрувальники.
Стеганографія — це метод організації зв'язку, за яким
ховається сама наявність зв'язку. На відміну від криптографії, де точно можна
визначити чи є передане повідомлення зашифрованим текстом, за допомогою методів
стеганографії секретні повідомлення вмонтовують в непоказні послання так, щоб
неможливо було запідозрити існування вмонтованого таємного послання.
Приховування повідомлення за методами стеганографії значно знижує ймовірність
виявлення самого факту передавання повідомлення.
Стеганографія займає свою нішу в забезпеченні безпеки:
вона не замінює, а доповнює криптографію. Історія стеганографії — це історія
розвитку людства.
Місцем зародження стеганографії багато-хто називає
Єгипет, хоч першими "стеганографічними повідомленнями" можна назвати
і наскальні малюнки древніх людей.
Стеганографічна система або стегосистема — це сукупність
засобів і методів, що використовуються для формування прихованого каналу
передавання даних.
При побудові стегосистеми повинні враховуватися наступні
положення:
• супротивник має повне уявлення про стеганографічну
систему і деталі її реалізації. Єдині дані, що залишаються невідомі
потенційному супротивнику, є ключ, за допомогою якого лише його власник може
встановити факт наявності і зміст схованого повідомлення;
• якщо хтось якимось чином довідається про факт існування
схованого повідомлення, то це не повинно дозволити йому отримати доступ до
подібних повідомлень доти, поки ключ зберігається в таємниці;
• потенційний супротивник повинен бути позбавленим яких-небудь
технічних і інших переваг у розпізнаванні чи розкриванні змісту таємних
повідомлень.
За аналогією з криптографією, за типом стегоключа
стегосистеми можна поділити на два типи: з секретним ключем і з відкритим
ключем.
У стегосистемі із секретним ключем використовується один
ключ, що повинен бути визначений або до початку обміну секретними
повідомленнями, або переданий через захищений канал.
У стегосистемі з відкритим ключем для вмонтовування і
добування повідомлення використовуються різні ключі, які відрізняються таким
чином, що за допомогою обчислень неможливо вивести один ключ з іншого. Тому
один ключ (відкритий) може передаватися вільно через незахищений канал зв'язку.
Під комп'ютерною стеганографією розуміється приховування
одних цифрових повідомлень в інших. Причому приховування повинно
реалізовуватися так, щоб, по-перше, не були втрачені властивості і цінність
приховуваних повідомлень, а по-друге, неминуча модифікація інформаційного носія
не тільки не знищувала значеннєві функції, але і на певному рівні абстракції
навіть не змінювала їх.
Комп'ютерна стеганографія широко використовується при
обміні секретними повідомленнями, написанні вірусних програм, у захисті
авторських прав, для приховування даних від копіювання і т.д.
У наш час можна виділити три тісно пов'язані між собою
напрямки застосування стеганографії, що мають також одні корені: приховування
даних (повідомлень), нанесення на твори цифрових водяних знаків та введення
заголовків.
Приховування вмонтованих даних, що в більшості випадків мають
великий обсяг, висуває серйозні вимоги до контейнера: розмір контейнера повинен
в кілька разів (як правило, в 8-10) перевищувати розмір даних, що
вмонтовуються.
Існує досить велика кількість методів приховування
повідомлень (та їх варіантів).
Найбільш
розповсюдженим, але найменш стійким є метод заміни найменших значущих біт або LSB-метод.
Він полягає у використанні похибки дискретизації, що завжди існує в оцифрованих
зображеннях або аудіо- і відеофайлах. Дана похибка дорівнює
найменшому значущому розряду числа, що визначає величину колірної складової
елемента зображення (пікселя). Тому модифікація молодших біт у більшості
випадків не викликає значної трансформації зображення і не виявляється
візуально.
Іншим популярним методом вмонтовування повідомлень є
використання особливостей форматів даних, де застосовується стискування із
втратою даних (наприклад JPEG). Цей метод (на відміну від LSB) більш стійкий до
геометричних перетворень і виявлення каналу передавання, тому що є можливість у
широкому діапазоні варіювати якість стиснутого зображення, що унеможливлює
визначення походження спотворення.
Справді, в цифрових фото-, аудіо- і відеофайлах зазвичай
міститься багато надлишкових даних.
Також є можливість "ховати" дані у системних
структурах.
Можна ховати дані й у
виконуваних файлах.
В даний час комп'ютерна стеганографія продовжує
розвиватись: формується теоретична база, ведеться розробка нових, більш стійких
методів вмонтовування повідомлень. Серед основних причин зростання
зацікавленості стеганографією можна виділити прийняті в ряді країн обмеження на
використання сильної криптографії, а також проблему захисту авторських прав на
художні твори в цифрових глобальних мережах.
Немає коментарів:
Дописати коментар