Коллектив авторов - Защита от хакеров корпоративных сетей

Тут можно читать онлайн Коллектив авторов - Защита от хакеров корпоративных сетей - бесплатно ознакомительный отрывок. Жанр: Прочая околокомпьтерная литература. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Защита от хакеров корпоративных сетей
Автор:

Коллектив авторов
Жанр:

Прочая околокомпьтерная литература
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.7/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Коллектив авторов - Защита от хакеров корпоративных сетей краткое содержание

Защита от хакеров корпоративных сетей - описание и краткое содержание, автор Коллектив авторов, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

В книге рассматривается современный взгляд на хакерство, реинжиниринг и защиту информации. Авторы предлагают читателям список законов, которые определяют работу систем компьютерной безопасности, рассказывают, как можно применять эти законы в хакерских технологиях. Описываются типы атак и возможный ущерб, который они могут нанести компьютерным системам. В книге широко представлены различные методы хакинга, такие, как поиск различий, методы распознавания шифров, основы их вскрытия и схемы кодирования. Освещаются проблемы безопасности, возникающие в результате непредсказуемого ввода данных пользователем, методы использования машинно-ориентированного языка, возможности применения мониторинга сетевых коммуникаций, механизмы туннелирования для перехвата сетевого трафика. В книге представлены основные сведения о хакерстве аппаратных средств, вирусах, троянских конях и червях. В этой книге читатель узнает о методах, которые в случае неправильного их применения приведут к нарушению законодательства и связанным с этим последствиям.

Лучшая защита – это нападение. Другими словами, единственный способ остановить хакера заключается в том, чтобы думать, как он. Эти фразы олицетворяют подход, который, по мнению авторов, позволит наилучшим образом обеспечить безопасность информационной системы.

Перевод: Александр Петренко

Защита от хакеров корпоративных сетей - читать онлайн бесплатно ознакомительный отрывок

Защита от хакеров корпоративных сетей - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Коллектив авторов

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Некоторые системы предусматривают настройку, позволяющую при переходе к безопасному сайту отображать в диалоговом окне краткое уведомление. Пример подобного уведомления показан на рис. 12.4.

Рис. 12.4. Окно уведомления о работе протокола SSL

К несчастью, это окно – всего лишь массив пикселов, которые легко фальсифицировать при использовании реализованной в браузере Internet Explorer возможности отображения бесцветных всплывающих окон (chromeless popup). Пример такого всплывающего окна представлен на рис. 12.5.

Рис. 12.5. Пример произвольного сетевого диалогового окна уведомления

На самом деле это не окно. Об этом свидетельствуют некоторые признаки, например изображение текста без зубцеобразного дефекта (antialiased) в строке заголовка с плавным изменением цвета. Этого достаточно, чтобы понять, что показано графическое изображение. HTML, Java и особенно Flash предоставляют вполне богатые инструментальные средства для фальсификации интерфейса компьютерной графики CGI, по крайней мере по одному окну за раз. Пользователь доверяет пикселам, а сеть их предоставляет. В рассмотренном случае пользователь ожидает появления дополнительных пикселов, для того чтобы отличить данные, предоставляемые сетью, от данных своей системы. Благодаря ошибке или алгоритму работы системы существуют методы удаления пикселов, что в результате позволяет сетевым средствам делать все, что они пожелают. Все, что потребовалось сделать в примере, – это установить в функции popup две противоречащие друг другу опции. Сначала переменная fullscreen была установлена в 1, увеличивая окно и удаляя его границы. А затем переменная resizable была установлена в 0 (resizable=0), что привело к отмене полноэкранного режима. Заметьте, что к этому времени границы окна были уже удалены. Из-за ошибки или из-за того, что так было предусмотрено при проектировании, но в результате бесцветное окно оказалось подготовленным к какой угодно фальсификации цвета.

Замаскированные под неустойчивые отказы атаки на протокол SSL.Иногда, когда пользователь теряет бдительность, можно внушить ему неверную мысль о нахождении его на безопасном сайте. Для этого нет необходимости делать что-то сверхъестественное. Что, если в одном случае из тысячи кто-то пытался подключиться к своему банку или биржевому маклеру через свою Web-страницу, которая в этот момент не была защищена протоколом SSL?

Было ли это ошибкой? В некотором смысле, потому что в адресной строке был пропущен символ s после названия протокола http, а значок замка внизу экрана размером 16 х 16 пикселов был удален. Но это одноразовая ошибка. Очередная перезагрузка восстановит работу протокола https.

Эту ошибку кто-нибудь когда-нибудь обрабатывал?

Возможно, что кто-нибудь когда-нибудь звонил в службу технической поддержки и спрашивал совета по поводу возникшей ситуации. Скорее всего, ему советовали перезагрузить страницу и посмотреть, не исчезла ли проблема.

Причиной проблемы является то, что нельзя зашифровать или заверить весь трафик. У страницы нет способа самостоятельно обеспечить безопасную загрузку своих данных, говоря при этом: «Если я не поддерживаю шифрование, то у меня нет возможности сообщить пользователю, чтобы он не пересылал в мой адрес секретных данных». (Даже если путем установки какого-нибудь признака у страницы была бы такая возможность, то злоумышленник мог бы легко его сбросить.) Неготовность пользователя читать незашифрованный и неудостоверенный трафик означает, что любой, у кого есть возможность перехватить его соединение и фальсифицировать содержимое ответа от банка или биржевого маклера, может любым способом помешать доставке страницы с указанием упомянутого статуса небезопасности.

...

Примечание

Вероятно, лучшее решение состоит в том, чтобы добавлять значок блокировки (замок) под знаком указателя мыши и/или справа от него при навигации по безопасной странице. Достаточно при этом соблюсти меру, чтобы не казаться чрезмерно навязчивым. Нельзя прерывать передающий важную информацию поток данных и, что более важно, нельзя заслонять поле просмотра в момент получения информации от браузера по безопасным линиям. Конечно, следовало бы подумать о вещах типа «кометы курсора», позволяющей фальсифицировать даже курсор мыши… Таким образом, гонка вооружений продолжилась бы.

...

Мы верим в пиксели: это чистая правда

«Веблен (Veblen) предложил, чтобы психология престижа управлялась тремя „покупаемыми за деньги канонами вкуса“: выставленный напоказ досуг, выставленные напоказ расходы и выставленное напоказ расточительство. Символы положения в обществе выставлены напоказ. Их не обязательно страстно желают только потому, что они полезны или привлекательны (галька, маргаритки и голуби кажутся красивыми, когда их открывают заново или когда они восхищают малышей). Они выставлены напоказ лишь потому, что настолько редки, расточительны или бессмысленны, что только богатый может их себе позволить. К символам положения в обществе относятся слишком тонкая, большая, узкая или пачкающая, не приспособленная для работы одежда, слишком хрупкие для повседневного использования или сделанные из недоступных материалов вещи, бесполезные предметы, для изготовления которых потребовались потрясающие усилия, энергия и украшения, бледная кожа в странах, где плебеи работают в поле, и загар, если они работают в закрытом помещении. Логика перечисленного заключается в том, что хотя нельзя увидеть все богатство и имущественное положение богача (его счет в банке, земли, союзников и лакеев), тем не менее в его ванной можно увидеть золотую сантехнику. Этого не может себе позволить тот, кто вынужден на всем экономить. Таким образом, все знают, что он богат».

Стивен Линкер (Steven Pinker). «Работа мнения» («How The Mind Works»)

Давайте будем честными. Мы доверяем не крошечным изображениям замков в правом нижнем углу. Есть сайты, которые выглядят вполне профессионально. И есть сайты, которые кажутся так, будто они были сделаны 13-летним ребенком, вооруженным старой пиратской версией программы Photoshop. Объяснения насчет предположений о том, что люди в своих делах руководствуются чувствами, имеют тенденцию игнорировать полукриптографическую аргументированность человеческой деятельности. В этих предположениях присутствует бесспорная асимметрия между элегантностью и мастерством. Признать это намного проще, чем попробовать устранить. Но при рассмотрении дизайна и безопасности сайтов аналогия с реальным миром терпит крах. Трудно создать изящный сайт, особенно сайт со значительным количеством фоновых программируемых событий (да, именно поэтому динамическое содержание впечатляет), но достаточно просто скопировать для сайта любое ограниченное количество функциональных возможностей и эффектов. На самом деле доверяют не пикселам на границе окна, сообщающим о его безопасности. В действительности внимание обращается на само по себе окно, хотя любой может позаимствовать (в том числе и незаконно) понравившееся ему проектирование сайта и применить его к доступному домену. Конечно, доступ к доменам требует отдельных пояснений по поводу проблем войны имен домена.