КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Распространенные атаки
|
|
|
|
Случаи нарушения информационной безопасности
Электронная цифровая подпись
10 января 2002 года Президент Российской Федерации В.В.Путин подписал Закон № 1-ФЗ «Об электронной цифровой подписи». Тем самым в России было законодательно закреплено право использования цифровой подписи наряду с традиционной – собственноручной на бумажном документе.
Электронно-цифровая подпись в электронном документе становится равнозначной собственноручной подписи при следующих условиях (одновременно):
сертификат ключа электронно-цифровой подписи не утратил силу;
подтверждена подлинность электронно-цифровой подписи в электронном документе;
электронно-цифровая подпись используется в отношениях, имеющих юридическое значение.
Реализация угрозы (фактическое нарушение безопасности) становится возможной благодаря существованию уязвимостей. Уязвимость — некоторая неудачная характеристика системы (программная ошибка, несовершенство аппаратной технологии, неверная настройка), благодаря которой становится возможным нарушение того или иного аспекта безопасности.
Нужно заметить, что такое определение фактически означает практическое отсутствие полностью безопасных систем, поскольку безошибочно написанных программ, универсальных безупречных технологий и способов абсолютно верной настройки сложных программно-аппаратных комплексов не существует.
Также следует учесть, что обеспечение аспектов безопасности требует нахождения компромисса. Полное соблюдение политики конфиденциальности сильно ограничивает доступность данных, если все внимание отдается целостности — замедляется обработка, а полная доступность данных практически всегда означает нарушение политики безопасности.
|
|
|
При обеспечении информационной безопасности стараются создать ситуацию, когда нарушение безопасности становится событием маловероятным и приносящим минимальный ущерб: вероятность сбоев аппаратного и программного обеспечения должна быть малой, работы по восстановлению — механическими, быстрыми и дешевыми, а нанесение ущерба — нерентабельным (можно больше потратить ресурсов, чем получить выгоды).
1. Перехват данных. Как следует из названия, эта атака в случае удачной реализации приводит к утечке данных. Особенно чувствителен перехват таких данных, как имена пользователей и пароли. К сожалению, многие существующие сетевые технологии (Ethernet, WiFi) не позволяют исключить такую угрозу. Для предотвращения утечки передачу данных в сети ограничивают (установкой коммутаторов, настройкой различных видов виртуальных сетей) или выполняют шифрование данных (стандарты WiFi предусматривают шифрование на MAC-уровне).
2. Отказ в обслуживании. В этом случае объектом атаки становится сама возможность выполнения операций над информацией — за счет исчерпания ресурсов (памяти, процессорного времени, пропускной способности каналов, логических обозначений и т.д.). Примером такой атаки может служить атака SYN-flood (“замусоривание” SYN-пакетами), суть которой — отправка большого количества запросов на установку соединения. Когда возможности системы исчерпаны (если защитные меры не были приняты), возникают, как минимум, серьезные задержки в обслуживании клиентов. С ростом пропускной способности каналов и совершенствованием систем защиты атаки этого типа организуют в распределенной форме, т.е. одновременно из нескольких узлов сети (Distributed Denial of Service — “распределенный отказ обслуживания”).
3. Переполнение буфера. В большом количестве программ для разных целей используются буферы — области памяти, накапливающие данные. Некорректная обработка приходящих данных в подобных структурах позволяет выполнить запись данных в чужие области памяти. За счет этого может быть нарушена целостность данных, начато выполнение вредоносного кода или прервана работа.
|
|
|
4. Подбор пароля. Пароли — одно из самых популярных средств разграничения доступа и определения наличия каких-то полномочий. При отсутствии средств защиты и/или использовании простых и предсказуемых паролей может быть выполнен их подбор. Получение пароля очевидным образом приводит к возможности несанкционированного доступа на выполнение тех или иных операций.
5. Внедрение исполняемых фрагментов. Одним из наиболее частых способов организации современных средств коллективной работы в сетях является создание различных web-приложений на основе специфических языков сценариев. Поскольку все они обрабатывают получаемые от клиента данные, злоумышленник может передать в качестве входящих данных фрагмент такого сценария, который будет выполнен от имени системы. Для борьбы с атаками такого рода организуют проверку входящих данных в приложениях, ограничивают возможности манипуляции данными из них и, наконец, фильтруют данные с помощью брандмауэров до того, как они попадают на обработку в приложение.
6. Межсайтовые сценарии. Атаки подобного типа также используют web-приложения, но передают код, предназначенный для выполнения на стороне клиента. Само приложение в этом случае используется только как хранилище элементов кода в виде сообщений. Сообщение пишется злоумышленником так, чтобы при отображении в программе-браузере его часть была проинтерпретирована как сценарий. Для защиты от таких атак используют персональные брандмауэры, антивирусные средства, своевременно обновляют программное обеспечение и проводят проверку самих web-приложений.
7. Социальная инженерия (фишинг). Вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Ситибанк, Альфа-банк), сервисов (Rambler, Mail.ru) или внутри социальных сетей (Facebook, Вконтакте, Одноклассники.ru). В письме часто содержится прямая ссылка на сайт, внешне неотличимый от настоящего, либо на сайт с редиректом. После того, как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приёмами побудить пользователя ввести на поддельной странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет мошенникам получить доступ к аккаунтам и банковским счетам.
|
|
|
|
|
|
|
|
Дата добавления: 2015-06-26; Просмотров: 530; Нарушение авторских прав?; Мы поможем в написании вашей работы!