Редактирование: ИБ, 02 лекция (от 11 октября)

Материал из eSyr's wiki.

Перейти к: навигация, поиск

Внимание: Вы не представились системе. Ваш IP-адрес будет записан в историю изменений этой страницы.

Правка может быть отменена. Пожалуйста, просмотрите сравнение версий, чтобы убедиться, что это именно те изменения, которые вас интересуют, и нажмите «Записать страницу», чтобы изменения вступили в силу.

Текущая версия Ваш текст
Строка 3: Строка 3:
* '''Видеозапись:''' http://esyr.org/video/security/security_10_10_11.raw.ogv
* '''Видеозапись:''' http://esyr.org/video/security/security_10_10_11.raw.ogv
-
... при этом сам протокол SMTP не предоставляет никаких механизмов удостоверения подлинности. То есть, кто угодно может затерминировать на себя ваш трафик, изменить нужные поля в сообщении и послать дальше. Для этого, чтобы электронная почта была надёжна, были придуманы механизмы ЭЦП.
+
... при этом сам протокол SMTP не предост. никаких механизмов удостоверения подлинности. То есть, кто угодно может затерминировать на себя ваш трафик, изменить нужные поля в сообщении и послать дальше. Для этого, чтобы электр. почта была надёжна, были придуманы механизмы, ЭЦП.
-
Ещё одно свойство, присущее безопасности информации. Свойство доступности означает, что если есть легитимные пользователи информации, то они могут получить доступ к информации, зачастую за гарантированное время. Частым примером нарушения свойства доступности являются атаки вида DoS. Для файлов на диске тоже можно привести пример атаки на доступность, который также изменяет целостность — удаление файла.
+
Ещё одно свойство, присущее безопасноти инф. Св доступности озн., что если есть легитимные польз. информации, то они могут получить досту к информации, зачастую зза гарнтированное время. Частым примером нарушения св. доступности явл. атаки вида DoS. Для файлов на диске тоже можно привести пример атаки на доступность, который также изм. целостность — удаление файла.
-
На информационном уровне задача обеспечения безопасности сводится к решению этих проблем: как обеспечить безопасность, целостность, доступность.
+
На инф. уровне задача обесп. безоп. сводится к решени. этих проблем: как обесп. безоп., целостн, доступность.
ещё немножко неформальных определений.
ещё немножко неформальных определений.
-
Уязвимость — некоторая имманентная в течение некоторого времени характеристика системы, которая делает систему подверженной угрозе. Соответственно, те действия, которые эксплуатируют уязвимость, считаются атакой.
+
Уязвимость — некоторая имманентная в течение нек. времени хар-ка система, которая делает систему подв. угрозе. Соотв., те действия, которые эксплуатируют уязвимость, считаются атакой.
-
По типам свойств можно различить типы атак: атаки на конфиденциальность, целостность, доступность.
+
По типам св-в можно разл типы атак: атаки на конф., целостн., доступность.
-
== Задачи информационной безопасности ==
+
== Задачи инф. безопасности ==
-
Тут уже возникают тонкости. Если мы говорим только о данных, то обеспечение конфиденциальности это секретность. Этой задаче уже много лет, которая сводится к ограничению доступа к данным только ограниченного круга лиц и пресечению доступа и изменения данных остальными, здесь решается и целостность и конфиденциальность.
+
Тут уже возн. тонкости. Если мы гворим только о данных, то обесп. конф. это секретность. Этой задаче уже много лет, которая сводится к огр. дост. к данным только огр. кругом лиц и пресекать доступ и изм. информации, здесь решается и целостн и конф.
-
Идентификация подлинности пользователя, она ортогональна задачи секретности. Системы, организации идентификации пользователей, работают с некоторыми сущностями, соответствующими пользователям. Идентификация — процесс сопоставления электронной подписи подписавшему документ.
+
Идентификация подлинности польз., она ортогональна задачи секретности. Сситемы, орг. идент. польз., работают с нек-рыми сущостями, соотв. польз. Идент — процесс сопост. электронной подписи подписанному документ
-
Надёжность управления. Здесь решаются как задачи обеспечения безопасности, так и доступности.
+
Надёжность управления. Здесь решаются как задачи обесп. безопасности, так и доступности.
== Политика безопасности ==
== Политика безопасности ==
-
В любой реальной ситуации, когда мы сталкиваемся с процессом обеспечения информационной безопасности всплывает такое понятие как политика безопасности.
+
В любой реальной ситуации, когда мы сталкиваемся с процессом обесп. инф. без. всплывает такое понятие как политика безоп.
-
Это просто свод правил, который говорит, что в данной системе является ресурсом, какие для них можно определить угрозы, что мы считаем для данного ресурса нарушением ... . Соответственно, определяемые субъекты, кто находится в рамках рассмотрения как субъект, возможности каждого субъекта и важная составляющая — модель угроз, которая говорит, какие мы рассматриваем потенциальные пути нарушения безопасности.
+
Это просто свод правил, которая говорит, что в данной системе явл. есурсом, какие для них можно определить угрозы что мы считаем для данного ресурса наруш ... . И, соотв., опр. субъекты, кто находится в рамках рассм. как субъект, возм. каждого субъекта и важн. сост. — модель угроз, которая говорит, какие мы рассм. потенциальные пути наруш. безопасности.
-
политика безопасности, по сути, помогает нам сузить мир, огромную необъятную область безопасности всевозможных ресурсов только кругом тех ресурсов, которые нас интересуют.
+
политика безоп. по сути помогает нам сузить мир, огромную необъятную обл. безоп. всевозм. ресурсов только кругом тех ресурсов, которые нас интересуют.
-
служебное понятие — модель безопасности выражает политику безопасности.
+
служебное понятие — омделиь безоп выраж. политик безоп.
-
Видов моделей существует довольно много. Одна из глав курса будет посвящена моделям безопасности ОС. Это то, где они наиболее развиты и используются.
+
Видов моделей сущ. доаольно много. Одна из глав курса бдет посв. моделям безоп. ОС. Это то, где они наиб. развиты и исп.
-
При составлении политик безопасности вокруг угроз ведётся деятельность по их оценке. Мы должны для каждого ресурса продумать, насколько он является ценным, насколько опасной является вероятная реализация угрозы в зависимости от полученных нами значений мы выстраиваем конкретные правила, как мы будем строить политику безопасности.
+
При сост. политик безоп. вокруг угроз ведётся деят. по их оценке. Мы должны для каждого ресурса продумать, наск. он явл. ценным, наск. опасной явл. вер. реализ угрозы в зав. от полученных нами значений мы выстр. конкр. правила, как мы будем строить политику безопасности.
-
Важным элементом оценки угроз является оценка ценности ресурсов, на которые возможны атаки.
+
Важным элементом оценки угроз явл. оценка ценности ресурсов, на которые возм атаки.
== Роли нарушителей ==
== Роли нарушителей ==
-
Можно рассматривать несколько классов ролей.
+
Можн. рассм. неск. классов ролей.
-
== Методы решения ==
+
== Методы реш. ==
-
мное
+
-
Для задач ИБ существуют различные методы их решения. Условно их можно разделить на организационные и технические, в курсе будут рассматриваться технические.
+
-
Спектр технических методов решения очень широк. Это как формальные методы безопасности, формальные протоколы (kerberos, сюда же протоколы аутентификации и распределённые базы пользователей), есть деятельность, например на обеспечение безопасности, но в основе представляет собой поиск уязвимостей — пентестинг/аудит, это большая область в современном рынке безопасности. Здесь формализма минимум, есть максимум методики проведения аудита/пентестинга, в большой степени они направлены на проверку стандартам.
+
Для задач ИБ сущ. разл. методы их решения. усл. их можно разд. на орг. и тех., в курсе будут рассм. технические.
-
Система контроля доступа. Если взять теорию защиты информации в виде пласта книг, статей, курсов, и взять промышленных людей, которые занимаются ИБ, то можно заметить сильный дисбаланс: очень много посвящено формальным вещам, огромное количество литературы, при этом баланс места криптографии в реальной проверке, например, PIC/GSS, оно намного меньше, гораздо больше вещи уделяется эвристическим вещам, например, обнаружению атак.
+
Спектр техн. методов решения очень широк. Это как форм. методы безоп., форм. протоколы (kerberos, сюда же прот аутент. и распр. баз польз.), есть деят., напр. на обесп. безоп, но в основе предст. собой поиск. уязвимостей — пентестинг/аудит, это большая обл. в совр. рынке безоп. Здесь формализма минимум, есть максимум методики проведения аудита/пентестинга, вв большой степени они напр. на проверку стандартам.
 +
 
 +
Система контр. доступа. Если взять теорию защ. инф. в виде пласта книг, статей, курсов, и взять промышл. людей, которые занимаются ИБ, то можно заметить сильный дисбаланс: очень много посв. форм. вещам, огр. кол-во литератуурЫ, при этом баланс места крипт. в реальной проверке, напр. PIC/GSS, оно намного меньше, гораздо больше вещи уделяется эвристическим вещам, напр., обнаружению атак.
== Криптография ==
== Криптография ==
-
Как лектор уже говорил, про криптографию будет цикл лекций, который начнётся в следующий раз. Есть два больших вида задач: шифрование, например, на обеспечение конфиденциальности, и ЭЦП, как метод решения задачи контроля целостности.
+
Как лектор уже говорил, про крипт. будет цикл лекций, который начнётся в след. раз. Есть два больших вида задач: шифрование, напр. на обесп. конфиденц, и ЭЦП, как метод решения задачи контроля целостности.
-
Современное состояние: есть несколько классов методов, которые называются симметричными и асимметричными, соответствующие алгоритмы симметричного/асимметричного шифрования, и алгоритмы хэширования.
+
Совр. состояние: есть неск. классов методов, которые наз. симм. и асимм., соотв. алг. симм/асимм шифрования, и алг. хэширования.
-
Основная прикладная сложность со всей криптографией — очень тяжело построить глобальную инфраструктуру ключей. Это требуется в алгоритмах с открытыми ключами, если забегать далеко вперёд, то суть в следующем: существует пара ключей, которая друг друга взаимно дополняет, каждому из ключей соответствует какой-то алгоритм преобразования, и свойства алгоритма асимметричного шифрования в том, что если мы используем сначала один ключ, потом другой, и свойство в том, что нельзя по одному ключу восстановить другой. Структура ключей — обычно древовидная. При этом есть открытые ключи
+
Осн. прикл. сложность со всей криптографией — очень тяжело постр. глобальную инфр. ключей. Это требуется в алг. с откр. ключами, если забегать далеко вперёд, то суть в следующем: сущ. пара ключей, которая друг друга взаимно дополняет, каждому из ключей соотв. какой-то алг. преобр, и св-ва алг. асимм. шифр. в том, что если мы исп. сначала один ключ, потом другой, и св. в том, что нельзя по одному ключу восст. другой. Структура ключей — обычно древовидная. При этом есть откр. ключи
== Формальные модели безопасности ==
== Формальные модели безопасности ==
-
В unix-based системах используется дискретная (?) модель безопасности.
+
В unix-based исп. дискр
...
...
-
== Пример - стандарт на управление безопасностью ==
+
== Пример - станд. на упр. безоп. ==
-
Стандарты представляют собой довольно грамотные эмпирические правила, о чём нужно подумать, что нужно написать на бумаге и отобразить в процессы, когда нужно определить безопасность в системе.
+
Стандарты предст. довольнограмотные эмпир. правила, о чём нужно подумать, что нужно напис. на бумаге и отобр. в процессы, когда нужно опр. безоп. в системе.
-
Ключевые меры: обеспечение конфиденциальности, защита прав на интеллектуальную собственность.
+
Ключевые меры: обесп. конф., защита прав на интел. собственность.
-
В этом стандарте определяются следующие аспекты: организация, управление активами, управление персоналом, далее, главы, посвящены конкретным вещам: физическая защита (куда не следует ставит сервер), управление передачей данных и операциями (как организовать передачу информации, важной для безопасности, например, пароли), разработка ()
+
В этом стандарте опр. след. аспекты: орг., упр. активами, упр. персоналом, далее, главы, посв. конкр. вещам: физ. защита (куда не след. ставит сервер), упр. передач. данных и операциями (как орг. передачу инф., важных для безоп, напр., пароли), разработка ()
-
на этом иллюстративный пример закончен.
+
на этом иллюстр. пример закончен.
-
теперь переходим ближе к тому, чем будем заниматься ближайшие несколько месяцев % работа с программами и дырками.
+
теперь переходим ближе к тому, чем будем заним. ближ. неск. месяцев% работа с программами и дырками.
-
Одним из больших пластов причин угроз безопасности являются программные уязвимости. Программных уязвимостей существует несколько классов, можно почитать некоторые исследования, которые критически подходят к безопасности. Есть уязвимости, известные с 90х, которые до сих пор используются: если я выучу несколько видов уязвимостей, то я разовью свой профессиональный уровень. Принципиальных способов эксплуатировать конкретную уязвимость — счётное количество: можно уткнуться в какой-то вид уязвимости и только им заниматься: сегодня я научился эксплуатировать в winxp, а завтра в нокиевской прошивке и win7. Вообще критикуется подход, когда эксперты учатся эксплуатировать уязвимости, нужно учиться проектировать безопасные системы, и курс должен нацелен именно на это.
+
Одним из больших пластов причин угр. безоп явл. прогр. уязвимости. Прогр. уязв. сущ. неск. классов, можно почтитаь нек. иссл., которые крит. подход к безоп., который крит. в 90х, но который до сих пор исп: если я выучу неск. видов уязв., то я разв. свой проф. Принц. способов эксплуатировать конкр. уязвимость — счётное количеством: можно уткнуться в какой-то вид уязвимости и только им заниматься: сегодня я научился эксплуатировать в winxp, а завтра в нокиевской прошивке и win7. Вообще критикуется подход, когда эксперты учатся экспл. уязвимости, нужно учиться проектировать безоп. системы, и курс должен нацелен именно на это.
-
Видов уязвимостей выделяют три:
+
Видв уязв. выд. три:
-
* Уязвимости проектирования. Принципиально слабые протоколы. Например, протокол IP, который слаб в части аутентификации источников трафика. во многом благодаря этому реализуются атаки вида DoS. Неприличные значения по-умолчанию (например, разрешить всё по умолчанию в фаерволах)
+
* Уязвимости проектирования. Принц. слабые протоколы. Напр., протокол IP, который слаб в части аутент. источников трафика. во многом благодаря этому реализ. атаки вида DoS. Непр. знач. по-умолч. (например,, разрешить всё по умолч. в фаерволах)
== Ошибки переполнения ==
== Ошибки переполнения ==
-
Современные ОС имеют относительно эффективных средства защиты стека, но проблема переполнения heap остаётся до сих пор нерешённой.
+
Своременные ОС имеют отн. эффективные средства защиты стека, но проблема переполнения heap остаётся до сих пор нерешённой
-
Куча и стек растут в разных направлениях, при этом данные туда помещаются ...
+
Куча и стек растут в разн. напр., при этом данные туда помещаются ...
-
Атаки, эксплуатирующие уязвимости стека ...
+
Атаки, эксплуатир. уязвимости стека ...
-
Как организуются области использования определённой программы, можно легко посмотреть, это первое задание.
+
Как орг. обл. исп. опр. программы, можно легко посмотреть, это первое задание.
== Инструментарий ==
== Инструментарий ==
-
Linux — DVL, дистрибутив, реализованный в виде загружаемого ISO. В нём собраны уязвимые сервисы и в нём собраны инструменты по эксплуатации этих уязвимостей, и первые задания связаны и с инструментами, описанными далее: gdb, binutils, strace
+
Linux — DVL, дистр., реализ. в виде загр. ISO? D Y`V CJ,HFYS EZPDBVST CTHDBCS? и в нём собраны инстр. по экспл. этих уязвимостей, и первые задания связ. и с инстр., описаннми далее: gdb, binutils, strace
{{ИБ}}
{{ИБ}}
{{Lection-stub}}
{{Lection-stub}}

Пожалуйста, обратите внимание, что все ваши добавления могут быть отредактированы или удалены другими участниками. Если вы не хотите, чтобы кто-либо изменял ваши тексты, не помещайте их сюда.
Вы также подтверждаете, что являетесь автором вносимых дополнений, или скопировали их из источника, допускающего свободное распространение и изменение своего содержимого (см. eSyr's_wiki:Авторское право).
НЕ РАЗМЕЩАЙТЕ БЕЗ РАЗРЕШЕНИЯ ОХРАНЯЕМЫЕ АВТОРСКИМ ПРАВОМ МАТЕРИАЛЫ!


Отменить | Справка по редактированию (в новом окне)

Шаблоны, использованные на этой странице:

Получено с http://esyr.us/wiki/%D0%98%D0%91%2C_02_%D0%BB%D0%B5%D0%BA%D1%86%D0%B8%D1%8F_%28%D0%BE%D1%82_11_%D0%BE%D0%BA%D1%82%D1%8F%D0%B1%D1%80%D1%8F%29
Личные инструменты
Разделы