Атаки на уровне систем управления базами данных

Вопрос 1. Методы взлома компьютерных систем

Методы взлома компьютерных систем

Тезисы лекции

Методы взлома компьютерных систем.

IV. Изложение 2-го вопроса.

2. Основные методы преодоления систем защиты информации.

V. Изложение 3-го вопроса.

3. Клавиатурные шпионы на службе компьютерной разведки.

VI. Ответы на вопросы.

Преподаватель отвечает на вопросы курсантов.

VII. Подведение итогов.

VIII. Заключительная часть. Преподаватель призывает слушателей к добросовестному изучению учебного материала и необходимости их становления как будущих специалистов ИБ. Преподаватель говорит слушателям о необходимости систематического изучения материалов лекций.

IX. Задание на самоподготовку. С использованием рекомендованной литературы самостоятельно более детально изучить вопросы лекции.

Литература для подготовки:

Основная:

1. Меньшаков Ю. К. Теоретические основы технических разведок: учебное пособие: доп. УМО по образованию в обл. информ. безопасности / Ю. К. Меньшаков; под ред. Ю. Н. Лаврухина. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2008. - 536 с.

Дополнительная:

1. Защита информации в компьютерных системах и сетях /под ред. В.Ф.Шаньгина – 2-е издание перераб. и доп. –М.: Радио и связь, 2001. –376 с.

2. Зима В.М. Безопасность глобальных сетевых технологий./ Зима В.М., Молдавян А.А., Молдовян Н.А. – 2-е изд. - СПб: БХВ - Санкт-Петербург, 2003. - 368 с.

3. Защита от вторжений. Расследование компьютерных преступлений/ Кевин Мандиа Крис.Пер. с англ. Просис. Издательство «Лори», 2005.- 476 с.

4. Руководство по защите от хакеров/ Коул Эрик. Пер. с англ. – М. Издательский дом «Вильямс», 2002. – 640 с.

5. Касперски К. Записки исследователя компьютерных вирусов/ К. Касперски– СПб.: Питер, 2005. – 16 с.

В общем случае программное обеспечение любой универсальной компью­терной системы состоит из трех основных компонентов: операционной сис­темы, сетевого программного обеспечения (СПО) и системы управления базами данных (СУБД). Поэтому все попытки взлома защиты компьютер­ных систем можно разделить на три группы:

- атаки на уровне операционной системы;

- атаки на уровне сетевого программного обеспечения;

- атаки на уровне систем управления базами данных.

Защита СУБД является одной из самых простых задач. Это связано с тем, что СУБД имеют строго определенную внутреннюю структуру, и операции над элементами СУБД заданы довольно четко. Есть четыре основных дейст­вия — поиск, вставка, удаление и замена элемента. Другие операции явля­ются вспомогательными и применяются достаточно редко. Наличие строгой структуры и четко определенных операций упрощает решение задачи защи­ты СУБД. В большинстве случаев хакеры предпочитают взламывать защиту компьютерной системы на уровне операционной системы и получать доступ к файлам СУБД с помощью средств операционной системы. Однако в слу­чае, если используется СУБД, не имеющая достаточно надежных защитных механизмов, или плохо протестированная версия СУБД, содержащая ошиб­ки, или если при определении политики безопасности администратором СУБД были допущены ошибки, то становится вполне вероятным преодоле­ние хакером защиты, реализуемой на уровне СУБД.

Кроме того, имеются два специфических сценария атаки на СУБД, для за­щиты от которых требуется применять специальные методы. В первом слу­чае результаты арифметических операций над числовыми полями СУБД ок­ругляются в меньшую сторону, а разница суммируется в некоторой другой записи СУБД (как правило, эта запись содержит личный счет хакера в бан­ке, а округляемые числовые поля относятся к счетам других клиентов бан­ка). Во втором случае хакер получает доступ к полям записей СУБД, для которых доступной является только статистическая информация. Идея ха-керской атаки на СУБД — так хитро сформулировать запрос, чтобы множе­ство записей, для которого собирается статистика, состояло только из одной записи.

Дата добавления: 2014-01-15; Просмотров: 862; Нарушение авторских прав?; Мы поможем в написании вашей работы!