большинство уязвимостей данного рода базируется на обработке компонентов ActiveX и активных сценариев. Для снижения риска рекомендуется поставить высокий уровень безопасности (Сервис > Свойства обозревателя > Безопасность) IE. Оптимальным вариантом будет ручная настройка зон безопасности (кнопка Другой), что поможет избежать некорректного отображения содержания некоторых страниц.
Библиотеки Windows. Для нормальной работы многих программ необходимы определенные библиотеки, представленные файлами с расширением DLL (Dynamic Link Library). На сегодняшний день уязвимости библиотек Windows являют собой достаточно серьезную угрозу, так как с помощью уязвимостей подобного рода возможно осуществление достаточно экзотических атак. В качестве примера можно привести поражение системы при запуске файла формата JPEG. Уязвимости библиотек более чем активно используются вредоносным ПО для установки себя в систему жертвы (так, троянский конь Trojan Phel.A для заражения системы использует уязвимость в HTML Help Library).
По классификации SANS, уязвимости библиотек Windows сгруппированы следующим образом:
¦ Windows Graphics Rendering Engine Remote Code Execution (MS05-053);
¦ Microsoft DirectShow Remote Code Execution (MS05-050);
¦ Microsoft Color Management Module Remote Code Execution (MS05-036);
¦ HTML Help Remote Code Execution (MS05-026, MS05-001, MS04-023);
¦ Web View Remote Code Execution (MS05-024);
¦ Windows Shell Remote Command Execution (MS05-049, MS05-016, MS04-037,
MS04-024);
¦ Windows Hyperlink Object Library Remote Code Execution (MS05-015);
¦ PNG Image Processing Remote Code Execution (MS05-009);
¦ Cursor and Icon Processing Remote Code Execution (MS05-002);
¦ Windows Compressed Folder Remote Code Execution (MS04-034);
¦ JPEG Processing Remote Code Execution (MS04-028).
Подробное описание вышеперечисленных уязвимостей можно найти по адресу http://www.sans.org/top20.
Последним пунктом раздела уязвимостей Windows-систем являются Microsoft Office и Outlook Express. Им соответствуют следующие записи отчета SANS:
¦ Cumulative Security Update for Outlook Express (MS05-030);
¦ Microsoft OLE and COM Remote Code Execution (MS05-012);
¦ Microsoft Office XP Remote Code Execution (MS05-005).
Технические подробности данных уязвимостей можно найти на сайте SANS, адрес которого был приведен выше.
Глава 2
Основы криптографии
¦ Алгоритмы и стандарты шифрования
¦ Электронная цифровая подпись
¦ Современные технологии аутентификации. Смарт-карты
Криптография– наука о математических методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства) информации. Другими словами, криптография изучает методы шифрования информации, то есть способы защиты данных, применяемые для хранения критически важной информации в ненадежных источниках или передачи ее по незащищенным каналам связи.
Шифрование как процесс своей историей уходит глубоко в века. Так, подстановочные шифры существуют уже около 2500 лет. Яркий тому пример – шифр Атбаш, который возник примерно в 600 году до нашей эры. Суть его работы заключалась в использовании еврейского алфавита в обратном порядке. Юлий Цезарь также использовал подстановочный шифр, который и был назван в его честь – шифр Цезаря. Суть шифра Цезаря заключалась в том, чтобы заменить каждую из букв другой, стоящей в алфавите, на три места дальше от исходной. Так, буква A превращалась в Д, Б преобразовывалась в E, Я преобразовывалась в Г и т. д.
Бесспорно, шифрование можно назвать одним из важнейшим средств обеспечения безопасности. Однако не следует забывать и о том, что само по себе шифрование отнюдь не панацея от всех проблем. Механизмы шифрования могут и должны являться составной частью комплексной программы по обеспечению безопасности.
Согласно классическим канонам ИБ с помощью шифрования обеспечиваются три основополагающих состояния безопасности информации.
¦ Конфиденциальность. Шифрование используется для сокрытия информации от неавторизованных пользователей при передаче или хранении.
¦ Целостность. Шифрование используется для предотвращения изменения информации при передаче или хранении. Яркий пример – контрольная сумма, полученная с использованием хэш-функции (то, что можно увидеть на FTP-серверах рядом с файлом (примерно так – dpofgj 0 93utm34tdfgb45ygf), который собираемся скачать).
¦ Идентифицируемость. Шифрование используется для аутентификации источника информации и предотвращения отказа отправителя информации от того факта, что данные были отправлены именно им.
Известно, что любая система шифрования может быть взломана. Речь идет лишь о том, что для получения доступа к защищенной шифрованием информации может потребоваться неприемлемо большое количество времени и ресурсов.
Что это значит и как это выглядит в реальной жизни? Представьте себе такую ситуацию: злоумышленнику каким-то образом удалось перехватить зашифрованную информацию. Дальнейшие действия взломщика могут быть сведены к двум вариантам взлома (возможен и третий, который сводится к эксплуатации уязвимостей рабочей среды):
¦ атака 'грубой силой', или Brute Force (атаки 'грубой силой' подразумевают подбор всех возможных вариантов ключей);
¦ поиск уязвимых мест в алгоритме.
Учитывая тот факт, что применяемые в настоящее время алгоритмы шифрования уже проверены 'огнем и временем', совершенно очевидно, что взломщик будет использовать Brute Force. Взлом конфиденциальной информации, зашифрованной стойким алгоритмом и достаточно длинным ключом (к примеру, 512 бит), потребует со стороны взломщика использования 'армии' суперкомпьютеров или распределительной сети из нескольких сотен тысяч машин плюс уйму времени и денег. Но если деньги есть, то почему бы и нет! Так, в 1997 году организация Electronic Frontier Foundation (EFF) анонсировала компьютерную систему, которая сможет найти ключ DES за четыре дня. Создание такой системы обошлось компании в $250 000. С помощью современного оборудования можно определить ключ DES посредством атаки 'грубой силы' за 35 минут.
2.1. Алгоритмы и стандарты шифрования
В зависимости от используемых ключей шифрование условно можно разделить на следующие виды.
¦ Симметричное шифрование, при котором ключ для шифрования и дешифрования представляет собой один и тот же ключ (на обыденном уровне – просто пароль).
¦ Асимметричное шифрование: подразумевает использование двух различных ключей – открытого и закрытого. Открытый ключ, как правило, передается в открытом виде, закрытый же всегда держится в тайне.
Известны также и другие виды шифрования, такие, например, как тайнопись. Алгоритмы тайнописи по известным причинам не являются публичными: посторонним лицам неизвестен сам алгоритм шифрования; закон преобразования знают только отправитель и получатель сообщения. Одним из ярких примеров таких систем можно считать одноразовые блокноты. Именно одноразовые блокноты (One-time Pad, или OTP) можно назвать единственной теоретически невзламываемой системой шифрования. Одноразовый блокнот представляет собой список чисел в случайном порядке, используемый для кодирования сообщения. Как это и следует из названия, OTP может быть использован только один раз. Одноразовые блокноты широко
