понедельник, 29 марта 2010 г.

перевод к 1.04

Вариант перевода терминов первой части текста выполнен А.Федотовым:

система обнаружения - Detection system
недостатки - disadvantages
реализованным методам обнаружения - embodied detection techniques
методологии построения -design techniques
недостаточностью общих соглашений - inadequacy of common agreements
Эффективность -efficaciousness
приводит – leads to
наблюдаемых событий - observed events
командные интерпретаторы экспертных систем command interpreter of expert systems
обрабатывают свое собственное множество правил process their own set of laws
непрямые зависимости последовательности связей между событиями indirect dependencies of event connection sequence
До сих пор so far
конкретном оборудовании сщтскуеу уйгшзьуте
достаточно трудно hard enough
похожую политику безопасности similar security policy
по перемещению СОВ the moving OWLs task - вариант не из словаря
значительные доработки substantial overpatching


Недостатки существующих систем обнаружения

Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.

Недостатки структур СОВ.

  1. Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14].
  2. Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляются ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.
  3. Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.
  4. Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.
  5. Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.
  6. Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.
  7. Отсутствие хороших способов тестирования.

Недостатки методов обнаружения:

  1. недопустимо высокий уровень ложных срабатываний и пропусков атак;
  2. слабые возможности по обнаружению новых атак;
  3. большинство вторжений невозможно определить на начальных этапах;
  4. трудно, иногда невозможно, определить атакующего, цели атаки;
  5. отсутствие оценок точности и адекватности результатов работы;
  6. невозможно определять «старые» атаки, использующие новые стратегии;
  7. сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;
  8. слабые возможности по автоматическому обнаружению сложных координированных атак;
  9. значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;
  • J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980.
  • from http://www.citforum.ru/security/internet/ids_overview/#5

    четверг, 25 марта 2010 г.

    пересказ к 30 марта

    Распределенная атака типа "отказ в обслуживании"

    Распределенная атака "отказ в обслуживании" перегружает целевую сеть или систему. Идея атаки, заключается в использовании разных источников (демонов) для атаки, и "владельцев" для управления. Наиболее известные утилиты организации DDoS (распределенный отказ в обслуживании, Distributed Denial of Service) -- это Tribal Flood Network (TFN), TFN2K, Trinoo и Stacheldraht. На рисунке 13 приведен пример организации DDoS:

    Рис.13: Распределенная атака "отказ в обслуживании"
    ddos

    Злоумышленник использует "хозяинов" (masters) для управления источниками. Очевидно, что ему необходимо подключится (TCP) к "хозяинам" для того, чтобы их настроить и приготовить атаку. "Хозяева" лишь пересылают команды источникам по протоколу UDP. Без "хозяев", злоумышленнику пришлось бы устанавливать соединение с каждым из источников. Таким образом, происхождение атаки можно было бы легко обнаружить, а реализация ее занимала бы больше времени.

    Каждый источник обменивается с "хозяином" специфическими сообщениями. В зависимости от используемых утилит, общение может быть с использованием механизма авторизации и/или шифрования. Для установки источников и "хозяев", злоумышленник использует известные уязвимости (переполнение буфера таких сервисов, как RPC, FTP, и т.п.). Сама же атака являет собой либо SYN-наводнение, либо Smurf и приводит к отказу в обслуживании целевой сети или системы.

    http://www.linuxfocus.org/Russian/March2003/article282.shtml


    DOS Model Development

    In Figure 2, we have sectioned the DOS attack model development into three stages, each of which represents a transformation from the previous stage by the inclusion of a new element that increases the attacker's computational power. We will explore each of these transformations using the scenario described earlier.

    The first transformation (Figure 2A) brought the inclusion of slaves into the DOS model. In this case we can think of the attacker as partially successful, and being able to move to a managing position as he hires new employees (equivalent of slaves) that will now be in charge of performing the attacks on command. The second transformation (Figure 2B) brought in another new element to the DOS model, the masters. Because of the distributed nature of the DOS model at this point, the attack became known as Distributed DOS Attack or DDOS. In this case, we think of the attacker as moving to a CEO position, and hiring managers (equivalent of masters) to supervise the attacks launched by employees on command, and to cover his tracks after the attacks are completed to avoid trace back.

    Figure 2: (A) Denial of Service (DOS) Attack, (B) Distributed DOS  (DDOS), (C) Distributed DOS with Reflectors(DRDOS)
    Figure 2: (A) Denial of Service (DOS) Attack, (B) Distributed DOS (DDOS), (C) Distributed DOS with Reflectors (DRDOS)

    The third and most dangerous transformation of the DOS attack model (Figure 2C) is known as Distributed DOS with Reflectors or DRDOS. As can be derived from the name, reflectors are the new element included in the model at this stage. The inclusion of this element differs in nature from the previous two. Instead of providing more computational power for the attacker, reflectors make it possible to execute a more effective and secure attack, therefore increasing the damages and decreasing the risk of trace back.

    We can think of the volume of customers of the attacker's company increasing to such a point as to make it necessary for the attacker to outsource some of the work in order to maintain a profitable operation. The task being outsourced in this case would be the covering of tracks, which now becomes the job of the contractors (equivalent of reflectors). The reflectors' goal is to deflect any response to the attack onto themselves, which is accomplished by having the slaves list a reflector as the originator of the traffic instead of themselves. This DOS model allows the slaves to be free to attack at all times, and also decreases the possibility of trace back since the target server will assume the reflectors to be the originators of traffic, and thus forward all responses to them.

    http://www.acm.org/crossroads/xrds10-1/tracingDOS.html


    вторник, 23 марта 2010 г.

    пересказ по иллюстрациям

    Tutorial: Real Life HTTP Client-side Exploitation Example

    This section illustrates an example of a real life attack conducted against an organization that resulted in loss of critical data for the organization.

    In this attack, Acme Widgets Corporation suffered a major breach from attackers who were able to compromise their entire internal network infrastructure using two of the most powerful and common attack vectors today: Exploitation of client-side software and pass-the-hash attacks against Windows machines.

    Step 0: Attacker Places Content on Trusted Site

    In Step 0, the attacker begins by placing content on a trusted third-party website, such as a social networking, blogging, photo sharing, or video sharing website, or any other web server that hosts content posted by public users. The attacker's content includes exploitation code for unpatched client-side software.

    Step 0 Diagram

    Step 1: Client-Side Exploitation

    In Step 1, a user on the internal Acme Widgets enterprise network surfs the Internet from a Windows machine that is running an unpatched client-side program, such as a media player (e.g., Real Player, Windows Media Player, iTunes, etc.), document display program (e.g., Acrobat Reader), or a component of an office suite (e.g., Microsoft Word, Excel, Powerpoint, etc.). Upon receiving the attacker's content from the site, the victim user's browser invokes the vulnerable client-side program passing it the attacker's exploit code. This exploit code allows the attacker to install or execute programs of the attacker's choosing on the victim machine, using the privileges of the user who ran the browser. The attack is partially mitigated because this victim user does not have administrator credentials on this system. Still, the attacker can run programs with those limited user privileges.

    Step 1 Diagram

    Step 2: Establish Reverse Shell Backdoor Using HTTPS

    In Step 2, the attacker's exploit code installs a reverse shell backdoor program on the victim machine. This program gives the attacker command shell access of the victim machine, communicating between this system and the attacker using outbound HTTPS access from victim to attacker. The backdoor traffic therefore appears to be regular encrypted outbound web traffic as far as the enterprise firewall and network is concerned.

    Step 2 Diagram

    Steps 3 & 4: Dump Hashes and Use Pass-the-Hash Attack to Pivot

    In Step 3, the attacker uses shell access of the initial victim system to load a local privilege escalation exploit program onto the victim machine. This program allows the attacker to jump from the limited privilege user account to full system privileges on this machine. Although vendors frequently release patches to stop local privilege escalation attacks, many organizations do not deploy such patches quickly, because such enterprises tend to focus exclusively on patching remotely exploitable flaws. The attacker now dumps the password hashes for all accounts on this local machine, including a local administrator account on the system.

    Steps 3 & 4  Diagram

    In Step 4, instead of cracking the local administrator password, the attacker uses a Windows pass-the-hash program to authenticate to another Windows machine on the enterprise internal network, a fully patched client system on which this same victim user has full administrative privileges. Using NTLMv1 or NTLMv2, Windows machines authenticate network access for the Server Message Block (SMB) protocol based on user hashes and not the passwords themselves, allowing the attacker to get access to the file system or run programs on the fully patched system with local administrator privileges. Using these privileges, the attacker now dumps the password hashes for all local accounts on this fully patched Windows machine.

    Step 5: Pass the Hash to Compromise Domain Controller

    In Step 5, the attacker uses a password hash from a local account on the fully patched Windows client to access the domain controller system, again using a pass-the-hash attack to gain shell access on the domain controller. Because the password for the local administrator account is identical to the password for a domain administrator account, the password hashes for the two accounts are identical. Therefore, the attacker can access the domain controller with full domain administrator privileges, giving the attacker complete control over all other accounts and machines in that domain.

    Step 5 Diagram

    Steps 6 and 7: Exfiltration

    In Step 6, with full domain administrator privileges, the attacker now compromises a server machine that stores secrets for the organization. In Step 7, the attacker exfiltrates this sensitive information, consisting of over 200 Megabytes of data. The attacker pushes this data out to the Internet from the server, again using HTTPS to encrypt the information, minimizing the chance of it being detected.

    четверг, 18 марта 2010 г.

    составить устное сообщение по текстам

    1.Категории атак

    Во время работы компьютерных систем часто возникают различные проблемы. Некоторые - по чьей-то оплошности, а некоторые являются результатом злоумышленных действий. В любом случае при этом наносится ущерб. Поэтому будем называть такие события атаками, независимо от причин их возникновения.

    Существуют четыре основных категории атак:

    • атаки доступа;
    • атаки модификации;
    • атаки на отказ в обслуживании;
    • атаки на отказ от обязательств.

    Давайте подробно рассмотрим каждую категорию. Существует множество способов выполнения атак: при помощи специально разработанных средств, методов социального инжиниринга, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.

    Атаки, нацеленные на захват информации, хранящейся в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.

    Определение атаки доступа

    Атака доступа - это попытка получения злоумышленником информации, для просмотра которой у него нет разрешений. Осуществление такой атаки возможно везде, где существует информация и средства для ее передачи (рис. 2.1). Атака доступа направлена на нарушение конфиденциальности информации.

    Атака   доступа возможна везде, где существуют информация и средства для ее   передачи

    Рис. 2.1. Атака доступа возможна везде, где существуют информация и средства для ее передачи

    Подсматривание

    Подсматривание (snooping) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Если документы хранятся в виде распечаток, то злоумышленник будет вскрывать ящики стола и рыться в них. Если информация находится в компьютерной системе, то он будет просматривать файл за файлом, пока не найдет нужные сведения.

    Подслушивание

    Когда кто-то слушает разговор, участником которого он не является, это называется подслушиванием (eavesdropping). Для получения несанкционированного доступа к информации злоумышленник должен находиться поблизости от нее. Очень часто при этом он использует электронные устройства (рис. 2.2).

    Внедрение беспроводных сетей увеличило вероятность успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети. Вместо этого во время сеанса связи он располагается на стоянке для автомобилей или вблизи здания.

    Внимание!

    Появление беспроводных сетей создало многочисленные проблемы безопасности, открыв несанкционированный доступ злоумышленников к внутренним сетям.

    Подслушивание

    Рис. 2.2. Подслушивание

    http://www.intuit.ru/department/security/netsec/2/



    2. Common Types of Network Attacks

    Without security measures and controls in place, your data might be subjected to an attack. Some attacks are passive, meaning information is monitored; others are active, meaning the information is altered with intent to corrupt or destroy the data or the network itself.

    Your networks and data are vulnerable to any of the following types of attacks if you do not have a security plan in place.

    Eavesdropping

    In general, the majority of network communications occur in an unsecured or "cleartext" format, which allows an attacker who has gained access to data paths in your network to "listen in" or interpret (read) the traffic. When an attacker is eavesdropping on your communications, it is referred to as sniffing or snooping. The ability of an eavesdropper to monitor the network is generally the biggest security problem that administrators face in an enterprise. Without strong encryption services that are based on cryptography, your data can be read by others as it traverses the network.

    Data Modification

    After an attacker has read your data, the next logical step is to alter it. An attacker can modify the data in the packet without the knowledge of the sender or receiver. Even if you do not require confidentiality for all communications, you do not want any of your messages to be modified in transit. For example, if you are exchanging purchase requisitions, you do not want the items, amounts, or billing information to be modified.

    Identity Spoofing (IP Address Spoofing)

    Most networks and operating systems use the IP address of a computer to identify a valid entity. In certain cases, it is possible for an IP address to be falsely assumed— identity spoofing. An attacker might also use special programs to construct IP packets that appear to originate from valid addresses inside the corporate intranet.

    After gaining access to the network with a valid IP address, the attacker can modify, reroute, or delete your data. The attacker can also conduct other types of attacks, as described in the following sections.

    Password-Based Attacks

    A common denominator of most operating system and network security plans is password-based access control. This means your access rights to a computer and network resources are determined by who you are, that is, your user name and your password.

    Older applications do not always protect identity information as it is passed through the network for validation. This might allow an eavesdropper to gain access to the network by posing as a valid user.

    When an attacker finds a valid user account, the attacker has the same rights as the real user. Therefore, if the user has administrator-level rights, the attacker also can create accounts for subsequent access at a later time.

    After gaining access to your network with a valid account, an attacker can do any of the following:

    • Obtain lists of valid user and computer names and network information.

    • Modify server and network configurations, including access controls and routing tables.

    • Modify, reroute, or delete your data.

    Denial-of-Service Attack

    Unlike a password-based attack, the denial-of-service attack prevents normal use of your computer or network by valid users.

    After gaining access to your network, the attacker can do any of the following:

    • Randomize the attention of your internal Information Systems staff so that they do not see the intrusion immediately, which allows the attacker to make more attacks during the diversion.

    • Send invalid data to applications or network services, which causes abnormal termination or behavior of the applications or services.

    • Flood a computer or the entire network with traffic until a shutdown occurs because of the overload.

    • Block traffic, which results in a loss of access to network resources by authorized users.

    Man-in-the-Middle Attack

    As the name indicates, a man-in-the-middle attack occurs when someone between you and the person with whom you are communicating is actively monitoring, capturing, and controlling your communication transparently. For example, the attacker can re-route a data exchange. When computers are communicating at low levels of the network layer, the computers might not be able to determine with whom they are exchanging data.

    Man-in-the-middle attacks are like someone assuming your identity in order to read your message. The person on the other end might believe it is you because the attacker might be actively replying as you to keep the exchange going and gain more information. This attack is capable of the same damage as an application-layer attack, described later in this section.

    Compromised-Key Attack

    A key is a secret code or number necessary to interpret secured information. Although obtaining a key is a difficult and resource-intensive process for an attacker, it is possible. After an attacker obtains a key, that key is referred to as a compromised key.

    An attacker uses the compromised key to gain access to a secured communication without the sender or receiver being aware of the attack.With the compromised key, the attacker can decrypt or modify data, and try to use the compromised key to compute additional keys, which might allow the attacker access to other secured communications.

    Sniffer Attack

    A sniffer is an application or device that can read, monitor, and capture network data exchanges and read network packets. If the packets are not encrypted, a sniffer provides a full view of the data inside the packet. Even encapsulated (tunneled) packets can be broken open and read unless they are encrypted and the attacker does not have access to the key.

    Using a sniffer, an attacker can do any of the following:

    • Analyze your network and gain information to eventually cause your network to crash or to become corrupted.

    • Read your communications.

    Application-Layer Attack

    An application-layer attack targets application servers by deliberately causing a fault in a server's operating system or applications. This results in the attacker gaining the ability to bypass normal access controls. The attacker takes advantage of this situation, gaining control of your application, system, or network, and can do any of the following:

    • Read, add, delete, or modify your data or operating system.

    • Introduce a virus program that uses your computers and software applications to copy viruses throughout your network.

    • Introduce a sniffer program to analyze your network and gain information that can eventually be used to crash or to corrupt your systems and network.

    • Abnormally terminate your data applications or operating systems.

    • Disable other security controls to enable future attacks.

    http://technet.microsoft.com/en-us/library/cc959354%28printer%29.aspx

    вторник, 16 марта 2010 г.

    пересказ к 18.03

    http://www.intuit.ru/department/security/secbasics/hacker-chase/

    Проблемы информационной безопасности, разумеется, существуют не только в компьютерном, виртуальном, но и в реальном, "физическом" мире (хотя, конечно, там они не носят столь масштабный, всепроникающий характер). Любопытно и, на наш взгляд, весьма поучительно сопоставлять действия, приемы и методы компьютерных хакеров и "физических" мошенников, а также тех, кто оказывается объектом их атак.

    В романе Джеймса Хедли Чейза (James Hadley Chase) - "Все дело в деньгах" ("What's better than money?") события происходят в конце 1950-х годов. (Заметим в скобках, что уже тогда компьютеризация производственных процессов достигла весьма высокого уровня. Несомненным лидером среди производителей ЭВМ была корпорация IBM, большие машины которой управляли, например, работой сборочных конвейеров крупнейших автозаводов, что уже в то время давало возможность осуществлять конвейерную сборку автомобилей по индивидуальным заказам, в индивидуальной комплектации.) Главный герой романа - Джефф Холлидей. Его шантажирует женщина по имени Рима Маршалл.

    Слово - Дж. Х. Чейзу и его персонажам.

    Она улыбнулась мне, и от ее улыбки у меня все похолодело внутри.

    - Я знаю, что ты задумал, Джефф. ... Ты ведь решил убить меня, не так ли, Джефф? ... На этот случай у меня есть меры предосторожности. - Она швырнула мне на колени клочок бумаги. - Будешь переводить мне деньги на этот счет. Это счет в банке "Пасифик энд Юнион" в Лос-Анджелесе. Это не мой банк, но у них есть указание переводить деньги на другой счет, и ты никогда не узнаешь, куда именно. Я не оставлю тебе никаких шансов. Ты никогда не сможешь узнать, куда мне переводят деньги и где я буду жить. Так что не надейся, что сможешь убить меня, Джефф, потому что после этой встречи ты никогда меня больше не увидишь.

    Я с трудом поборол отчаянное желание схватить ее за горло и задушить прямо здесь.

    - Я смотрю, ты обо всем позаботилась?

    - Думаю, что да. ... Я ухожу.

    Если она сейчас уходит, мне надо пойти за ней. Если потеряю ее из виду, не смогу больше найти. ...

    Жирный итальянец снова появился на пороге своей каморки, на этот раз в сопровождении двух очень подозрительных личностей, и они встали возле выхода.

    - Я попросила этих ребят задержать тебя здесь, пока я исчезну, - сказала Рима. - На твоем месте я бы не стала с ними связываться. Они ребята крепкие. ...

    Рима вышла из отеля, быстро сошла по ступенькам и исчезла в темноте.

    Процитированный фрагмент богат любопытными моментами. Главный герой хотел бы разделаться с шантажисткой, но та, даром что наркоманка и вообще женщина легкого поведения, применила анонимизатор, чтобы Холлидей не смог ее найти. Дополнительным защитным рубежом, предназначенным для того, чтобы на некоторое время задержать атакующего, послужили меры физической защиты.

    Итак, перед героем встала задача найти Риму Маршалл (подчеркнем - с двумя "л" в конце фамилии) по косвенной ссылке - номеру промежуточного банковского счета. Для ее решения в условиях отсутствия сетевой связности Холлидею пришлось физически добираться до банка.

    Самолет приземлился в аэропорту Лос-Анджелеса около часа дня. Я взял такси и поехал в банк "Пасифик энд Юнион".

    В последние две недели каждую свободную минутку я напрягал свой мозг, пытаясь придумать, как разузнать адрес второго банка, куда Риме пересылали деньги. Ясно, что в "Пасифик энд Юнион" он есть, и я должен был разузнать, где могут содержаться эти данные.

    Расплатившись с таксистом я вышел и с облегчением увидел, что банк довольно крупный; ведь я боялся, что он окажется небольшим отделением с маленьким штатом сотрудников, которые легко запомнят меня.

    ... В глубине офисного помещения сидели клерки, занятые работой с калькуляторами, копировальными аппаратами и тому подобным. Еще дальше находились специальные кабинки для служащих банка.

    Я встал в конец небольшой очереди, предварительно взяв со стойки бланк на открытие счета. Вытащил из бумажника десять пятидолларовых купюр. Через несколько минут я был уже вторым и, облокотившись на стойку, в нужных местах написал на бланке большими печатными буквами "РИМА МАРШАЛ" и "Оплачено Джоном Гамильтоном".

    ...

    Операционист взглянул на квитанцию, поднял резиновую печать, но вдруг нахмурился.

    ...

    - Боюсь, вы ошиблись, сэр, - сказал он, посмотрев на меня.

    Я повернул к нему голову.

    - Что значит "ошибся"?

    Поколебавшись, он еще раз посмотрел на бланк:

    - Сейчас, одну секунду...

    Все сработало как нужно. Он взял с собой квитанцию и, отойдя от своего места, быстро прошел вдоль стойки к лестнице, которая вела наверх. Я отошел от стойки, чтобы мне было его видно. Он поднялся по лестнице на галерею, которая шла по всему периметру холла, и подошел к девушке, сидевшей возле большого аппарата, и что-то сказал ей. Она повернулась на крутящемся стуле к большой таблице, которая висела на стене. Она провела пальцем по таблице вниз, мне показалось, по какому-то списку имен, потом повернулась к своему аппарату, нажала кнопку, и через секунду оттуда выскочила карточка, которую она отдала операционисту.

    Сердце мое учащенно забилось. Я знал, что это был за аппарат - автоматическая поисковая машина. У каждого клиента банка был свой код, в обмен на который машина выдавала все данные клиента.

    Я видел, как операционист внимательно смотрит в карточку, потом на мою квитанцию. Он отдал карточку обратно девушке и заспешил ко мне.

    - Вероятно, вкралась какая-то ошибка, сэр, - сообщил он. - У нас нет такого клиента. Вы уверены, что имя написано правильно?

    Я подернул плечами:

    - Ну, не знаю. Это карточный долг. ... Она дала мне название вашего банка. По-моему, у нее другой банк, и вы просто пересылаете ей туда деньги.

    Он пристально посмотрел на меня.

    - Все верно, сэр, мы оказываем эту услугу нашим клиентам, но среди них нет дамы с таким именем. Может быть, Рима Маршалл? С двумя "л"?

    - Откуда я знаю, - сказал я. - Лучше еще раз уточню. - Потом небрежно, как бы между прочим, я спросил: - Кстати, может быть, вы просто дадите мне ее адрес, и я вышлю ей чек?

    Он и глазом не моргнул:

    - Если вы пошлете письмо на адрес банка, сэр, можете не сомневаться, что мы немедленно перешлем его ей.

    Я знал, что он ответит именно так, но все равно почувствовал разочарование.

    Как мы видим, герой задумал осуществить несанкционированный доступ к информационной системе банка с целью раскрытия конфиденциальной информации. Первым этапом операции, как и положено, является разведка. Отслеживание обработки пробного (и заведомо некорректного) запроса позволило определить расположение основных компонентов ИС (этому способствовала физическая открытость инфраструктуры обработки данных) и точно определить цель атаки - автоматическую поисковую машину.

    Отметим, что фактором, способствующим сокрытию следов и успеху злоумышленной деятельности, является большой объем регистрационной информации и связанные с этим сложности ее анализа и выявления подозрительной активности (в большом банке не запоминают посетителей и нюансы их поведения).

    Обратим внимание на образцовые действия операциониста. Он не дал вовлечь себя в выполнение запроса, запрещенного политикой безопасности, и переадресовал атакующего к соответствующему штатному сервису, сохраняющему анонимность адресата.

    После разведки наступает очередь следующей фазы - прямой атаки.

    Первый шаг сделан. Теперь я знал, где содержатся данные о клиентах. Оставалось их только достать. Я взял такси и приехал в тихий недорогой отель, снял там комнату и, как только зашел в свой номер, сразу же позвонил в банк "Пасифик энд Юнион". Я попросил, чтобы меня соединили с управляющим.

    Когда управляющий взял трубку, я представился Эдвардом Мастерсом и спросил, не можем ли мы встретиться завтра в десять утра. Я сказал, что у меня к нему деловое предложение. Он назначил мне встречу на десять пятнадцать.

    Герой применил маскарад - стандартный прием злоумышленников.

    В банке я был за минуту до назначенного времени. Меня сразу же провели в кабинет управляющего. ...

    Я начал с того, что являюсь представителем крупной строительной фирмы. ... В ближайшее время мы намерены открыть филиал в Лос-Анджелесе. А посему решили открыть счет в "Пасифик энд Юнион". Я намекнул, что у нас весьма солидная фирма с большим оборотом. ... Похоже, я произвел на него впечатление. ...

    Все, что в его силах, сказал он, он будет счастлив исполнить. Мне стоит только попросить, и все услуги банка в моем распоряжении.

    - Думаю, больше мне пока ничего не понадобится, - сказал я. Помолчав, добавил: - Впрочем, вот еще что. Я заметил, у вас тут очень современное оборудование. Нечто подобное я хочу установить у себя в офисе. К кому мне обратиться? ... В некотором роде наш бизнес сродни вашему. . - Я осторожно приближался к цели визита. - У нас есть клиенты по всей стране. И мы постоянно должны поддерживать с ними связь. Причем приходится все время обновлять данные. Я заметил, у вас есть автоматическая поисковая машина. Похоже, она довольно удобная. Вы сами ею довольны?

    Мне повезло. По-видимому, этот агрегат составлял предмет его гордости.

    ...

    - Прошу вас, мистер Мастерс, если она вас заинтересовала, я буду счастлив показать, как она работает. Мы ею очень довольны. Хотите посмотреть машину в действии? ... Я сейчас попрошу мистера Флемминга показать ее вам.

    ...

    Я поднялся. Ноги у меня слегка обмякли. Я уже был на полпути к цели, но впереди маячила вторая половина.

    В отличие от операциониста, управляющий поддался на уловку героя, предъявившего поддельный, самоподписанный атрибутный сертификат. Вместо того, чтобы этот сертификат верифицировать, он соблазнился привлекательными для банка значениями атрибутов и делегировал права доступа к поисковой машине.

    Девушка, сидевшая за машиной, повернулась на своем стуле и вопросительно посмотрела на нас. Флемминг представил меня, затем, подавшись чуть вперед, начал свой рассказ.

    - У нашего банка три тысячи пятьсот клиентов, - говорил он. - Каждому присвоен номер. Список номеров размещен на этом табло.

    Он указал на уже известную мне таблицу. Я подошел поближе и принялся ее разглядывать, лихорадочно пробегая по столбцам имен. Наконец нашел имя Римы. Ее номер был 2997.

    Мой мозг впитал эти цифры, как никогда еще ничего не впитывал, быстро и жадно.

    - После того как мы нашли номер, - продолжал Флемминг, - все, что нам остается, - это набрать его на клавиатуре, и регистрационная карточка немедленно выскакивает вот на этот поднос.

    - Объясняете вы понятно, - сказал я. Но как это работает?

    Девушка снисходительно улыбнулась мне:

    - Поверьте, эта машина работает безотказно.

    - Тогда продемонстрируйте нам, - попросил я, улыбнувшись ей в ответ.

    - Возьмем первый номер в нашей таблице, - сказал Флемминг. - Р. Айткен. Номер 0001. Мисс Лейкер, дайте нам карточку мистера Айткена.

    Девушка повернулась к машине, и пальцы пробежали по клавишам. Машина ожила, загудела и точно выплюнула на поднос карточку.

    - Вот так она работает, - сказал Флемминг, улыбаясь счастливой улыбкой.

    Я протянул руку:

    - Позвольте мне. Я скептик. Может быть, это карточка не мистера Айткена.

    По-прежнему улыбаясь во весь рот, он протянул мне карточку. Наверху жирным шрифтом было напечатано имя Айткена.

    - Пожалуй, впечатляет. Наверное, действительно имеет смысл платить за нее такие деньги. А можно, я сам попробую набрать номер?

    - Конечно, господин Мастерс. Прошу вас.

    Я склонился над клавиатурой. Я нажал клавиши, которые сложились в номер 2997. Сердце мое так бешено стучало, что я испугался, как бы Флемминг и девушка не услышали его.

    Машина снова загудела. Карточка показалась в металлической щели. Я почувствовал, как у меня на лице выступает пот. Я смотрел на машину не отрываясь и ждал. Наконец карточка оказалась на подносе.

    Флемминг и девушка улыбнулись.

    - Номер, который вы набрали, принадлежит мисс Риме Маршалл, - провозгласил Флемминг. - Посмотрите сами и убедитесь, что это ее карточка.

    Я протянул руку. Вот что я увидел: "Рима Маршалл. Счет. Санта-Барбара. Кредит $10 000".

    - Просто чудо. - Я, как мог, старался скрыть дрожь в голосе. - Что ж, большое спасибо. Это как раз то, что мне нужно.

    Полчаса спустя я уже мчался в Санта-Барбару на взятой напрокат машине.

    Получив физический доступ к поисковой машине, герой выполнил нужный запрос и раскрыл необходимую ему конфиденциальную информацию. Дальше требовалось сделать следующий шаг - пройти по ссылке и найти саму Риму. Холлидей едет в известную всем Санта-Барбару.

    Прямо напротив банка располагался небольшой отель. ... Я попросил комнату с видом на улицу. ... Я подошел к окну. Банк был как на ладони. ... Я знал, что не посмею повторить тот же трюк, что использовал в Лос-Анджелесе, дабы взглянуть на ее регистрационную карточку. ... Если я буду сидеть у окна и наблюдать, возможно, мне удастся увидеть, когда она придет в банк, а потом выследить ее.

    Но для этого нужно много времени. А я должен быть на работе не позже послезавтрашнего утра. Но может быть, мне повезет, и завтра я увижу ее. Я решил ждать, хотя шансов, что она появится здесь именно завтра, ой как мало.

    На следующее утро ... я придвинул стул и сел к окну. ... Я надеялся до последнего. Но когда двери банка закрылись, я впал в такое отчаяние, что готов был перерезать себе горло. ... Похоже, шансов найти Риму до того, как придет срок второго платежа, больше не было.

    Весь вечер я лихорадочно пытался придумать какой-нибудь другой способ ее поиска, кроме безнадежного наблюдения за банком, но не смог.

    Совершенно бесполезно было ходить по улицам в надежде случайно ее встретить. К тому же это было опасно. Вдруг она заметит меня первой и исчезнет из моего поля зрения навсегда.

    Внезапно мне в голову пришла идея. А может быть, обратиться в детективное агентство? Но потом понял, что не посмею этого сделать.

    Потому что, когда ее найдут, я должен буду ее убить.

    А в агентстве меня наверняка запомнят. Они скажут полиции, что это я их нанял, и полиция начнет розыск.

    Я должен сделать все сам.

    Для достижения цели герой не придумал ничего лучшего, кроме как прослушивать (просматривать?) сетевой трафик вблизи сервера в надежде на то, что разыскиваемый клиент обратится в это время к этому серверу. Поскольку эту деятельность не представлялось возможным автоматизировать или перепоручить агенту-посреднику (прокси-агенту), пришлось осуществлять ее самому. Как и следовало ожидать, результат оказался отрицательным.

    Отметим, что атакующий опасается действовать там, где хорошо налажен сбор и анализ регистрационной информации (в небольшом отделении банка, в детективном агентстве), считая опасность прослеживания источника атаки реальной.

    Прошло несколько дней. Герой перевел на счет шантажистки очередную сумму, ударным трудом заработал еще несколько отгулов и решил повторить попытку, вернувшись в Санта-Барбару. Наблюдение за банком вновь ничего не дало. В отчаянии Холлидей решает расширить зону прослушивания сети, осуществляя его в случайных точках. Он отправился бродить по улицам; как и следовало ожидать, в полном соответствии с законами жанра ему повезло...

    Я собрался уже было идти дальше, как вдруг из ресторана выбежал крупный мужчина и, нагнув голову, ринулся по деревянному пирсу в мою сторону. Когда он пробегал под фонарем, свет упал на его плечи, и я вдруг узнал кремовое пальто и брюки бутылочного цвета. Это был приятель Римы!

    Если бы не дождь, ему не пришлось бы бежать, нагнув голову, и он бы заметил меня и наверняка узнал. ...

    Теперь он искал что-то в бардачке "понтиака"-кабриолета. ... Потом он, видимо, нашел, что искал, развернулся и рванул назад в ресторан.

    Некоторое время я смотрел ему вслед. Затем неторопливо подошел к "понтиаку" и осмотрел его. Это был выпуск 1957 года, в довольно плохом состоянии. ... Я быстро нащупал регистрационный ярлычок на руле и поднес к нему зажигалку. На нем было аккуратно выведено: "ЭД ВАЗАРИ. Бунгало. Восточный берег, Санта-Барбара".

    ...

    Была ли Рима с ним в ресторане? Живут ли они вместе по этому адресу?

    ...

    И тут я их увидел. Они бегом выскочили из ресторана, ... нырнули в "понтиак" и умчались. Если бы я внимательно не следил за машиной, наверняка пропустил бы их, так молниеносно все это произошло.

    В информационных системах у объектов может быть несколько представлений. Если права доступа к этим представлениям различаются, есть вероятность раскрытия конфиденциальной информации. В данном случае общедоступная информация о владельце автомобиля оказалась альтернативным представлением тщательно скрываемого адреса Римы Маршалл.

    Обратим внимание на важность постоянной готовности и высокого уровня детализации при сборе регистрационной информации. Смотреть надо всегда и все - вдруг что интересное пропустишь?

    Итак, герой получил нужную ему информацию. Что было дальше - спросите у Чейза...

    суббота, 13 марта 2010 г.

    "переводик" privilege"

    комментарии к переводу на ссылке
    http://sites.google.com/site/cyberglukk/Home/perevodik

    авторам написанных работ зачитывается как перевод полного текста

    четверг, 11 марта 2010 г.

    перевод к 16.03

    Управление привилегиями

    Назначение и отзыв привилегий - прерогатива локального администратора безопасности LSA (Local Security Authority), поэтому, чтобы программно назначать и отзывать привилегии, необходимо применять функции LSA. Локальная политика безопасности системы означает наличие набора глобальных сведений о защите, например, о том, какие пользователи имеют право на доступ в систему, а также о том, какими они обладают правами. Поэтому говорят, что каждая система, в рамках которой действует совокупность пользователей, обладающих определенными привилегиями в отношении данной системы, является объектом политики безопасности. Объект политики используется для контроля базы данных LSA. Каждая система имеет только один объект политики, который создается администратором LSA во время загрузки и защищен от несанкционированного доступа со стороны приложений.

    среда, 10 марта 2010 г.

    Проверка перевода "CIRT"

    проверка пересказа и комментарии на ссылке
    http://sites.google.com/site/cyberglukk/Home/cirt

    вторник, 9 марта 2010 г.

    проверка пересказа

    проверка пересказа и комментарии на ссылке
    http://sites.google.com/site/cyberglukk/home/pereskaz-reverte-1

    перевод к 11.03 (если всё будет совсем плохо, то можно сдать немного позднее)

    Словосочетание "группа реагирования на нарушения информационной безопасности" обозначает группу, выполняющую, координирующую и поддерживающую реагирование на нарушения, затрагивающие информационные системы в пределах определенной зоны ответственности.

    Коллектив, называющий себя группой реагирования, обязан должным образом отвечать на выявленные нарушения безопасности и на угрозы своим подопечным, действуя в интересах конкретного сообщества и способами, принятыми в этом сообществе.

    Чтобы считаться группой реагирования, необходимо:

    • предоставлять защищенный канал для приема сообщений о предполагаемых нарушениях;
    • помогать членам опекаемого сообщества в ликвидации нарушений;
    • распространять информацию, относящуюся к нарушению, среди представителей опекаемого сообщества и других заинтересованных сторон.

    Деятельность группы реагирования предполагает наличие опекаемого сообщества - группы пользователей, систем, сетей или организаций.

    Важно, чтобы каждый член сообщества понимал, на что способна его группа, которая, в связи с этим, должна объяснить, кого она опекает и определить, какие услуги предоставляет. Кроме того, каждая группа реагирования обязана опубликовать свои правила и регламенты. Аналогично, членам сообщества нужно знать, чего ожидают от них, т. е. группа должна также ознакомить с правилами доклада о нарушениях.

    PS пожалуйста, не заморачивайтесь по поводу "опекаемых" и т. п. Имеются в виду клиенты/заказчики.

    перевод к 11.03

    Computer Security Incident Response Teams

    Create and train a cohesive Computer Security Incident Response team is one success factors in monitoring /maintenance of the corporation security politic.

    This team is responsible for detect, resolve and prevent security incidents. Among the various activities of the CSIR include:

    * Apply security updates

    * Register and track safety occurrences

    * Helping to repair the damage caused by security incidents

    * Analyze a compromised seeking causes, damage and responsible (forensics)

    * Assess conditions for network security

    * Disseminate and safety recommendations

    * Providing education and training for system administrators

    from: http://blog.alexos.com.br/lang/en/2010/02/07/grupo-de-resposta-a-incidentes-de-seguranca/

    понедельник, 8 марта 2010 г.

    суббота, 6 марта 2010 г.

    групповая зачётка

    Групповая зачётка на ссылке
    http://sites.google.com/site/cyberglukk/

    Warchalking - результаты


    проверенные работы на ссылке
    http://sites.google.com/site/cyberglukk/home/warchalking











    /from http://www.worldwidewords.org/turnsofphrase/tp-war1.htm/

    четверг, 4 марта 2010 г.

    пересказ: написать 6-7 предложений о данном нарушении компьютерной безопасности

    домашнее задание к 9.03

    Хакер проник в центральную компьютерную систему Ватикана за одиннадцать минут до полуночи. Через тридцать пять секунд один из мониторов, соединенных с основной сетью, подал сигнал тревоги. Легкое мигание на его экране означало, что в ответ на вторжение извне автоматически включился контроль безопасности. Затем в углу экрана появились буквы ЯК, и дежурный иезуит, оторвавшись от обработки данных последней переписи населения Ватикана, снял телефонную трубку, чтобы проинформировать начальника службы.
    – У нас тут гость, – сообщил он.
    Застегивая на ходу сутану, отец Игнасио Арреги, также иезуит, вышел в коридор и торопливо, почти бегом, преодолел полсотни метров, отделявшие его комнату от машинного зала. Он был худ, даже костляв; скрип его ботинок громко отдавался в полумраке под расписными сводами коридора. Мельком глянув в окно на пустынную в этот час
    Виа﷓делла﷓Типографиа и на темный фасад дворца Бельведера, отец Арреги тихонько выругался сквозь зубы. Он злился больше из﷓за того, что его разбудили, едва он успел заснуть, чем из﷓за вторжения. Хакеры занимались этим частенько, не нанося, впрочем, сколько﷓нибудь значительного вреда. Обычно они не проникали дальше внешней границы системы безопасности, оставляя в качестве свидетельства своего визита небольшое послание или безобидный вирус: плод тщеславного стремления заявить о себе. В основном это были совсем зеленые юнцы – любители путешествовать по телефонным линиям, испытывая на прочность чужие системы: а ну как повезет, а ну как удастся пробраться в Чейз﷓Манхэттен﷓банк, в Пентагон или Ватикан? От таких приключений у них просто дух захватывало.
    Дежурным по компьютерному залу в ту ночь был отец Куи, полный молодой ирландец. Озабоченно хмурясь и щуря глаза за стеклами очков, он прямо﷓таки припал грудью к клавиатуре, следя за продвижением хакера. Когда подошел отец Арреги, он поднял голову, и лицо его, наполовину освещенное снизу настольной лампой, выразило облегчение.
    – Как хорошо, что вы пришли, падре!
    Вновь прибывший оперся руками о стол отца Куи и внимательно вгляделся в экран дисплея, на котором помаргивали красные и синие значки. Система автоматического поиска цепко держала сигнал взломщика.
    – Что﷓нибудь серьезное? – вполголоса спросил отец Арреги.
    – Возможно, да.
    За последние два года нечто действительно серьезное произошло лишь однажды, когда очередной хакер запустил в ватиканскую сеть вирус, который, размножаясь, полностью заблокировал всю систему. Ее очистка и ликвидации последствий обошлись в полмиллиона долларов, а пиратом, как выяснилось в результате долгих и сложных поисков, оказался шестнадцатилетний парнишка из маленького поселка где﷓то на побережье Голландии. Было, правда, еще несколько попыток внедрения вирусов или программ﷓убийц, но их удалось пресечь в самом начале. В одном случае «пошалил» молодой мормон из Солт﷓Лейк﷓Сити, в другом – общество исламистов﷓интегристов со штаб﷓квартиры в Стамбуле, в третьем – свихнувшийся на почве воздержания священник﷓француз. Он сидел в психушке и, пользуясь по ночам местным компьютером, за полтора месяца успел внедрить в сорок два ватиканских файла вирус, который забивал экраны дисплеев отборной руганью на латыни.
    Отец Арреги ткнул пальцем в мигающий красный квадратик курсора:
    – Это он?
    – Да.
    – Как вы его назвали?
    Чтобы облегчить отслеживание нарушителя и установление его личности, они присваивали каждому условное обозначение, нередко «посетитель» оказывался старым знакомым. Отец Куи указал на строчку в правом нижнем углу экрана:
    – «Вечерня». Это первое, что пришло мне в голову, когда я взглянул на часы.
    На мониторе погасло несколько сигналов, вместо них зажглись другие. Внимательно вглядевшись в них, отец Куи легким движением пальцев шевельнул «мышку». Курсор перепрыгнул к одному из новых символов и дважды мигнул. Теперь, когда рядом находился начальник, вся ответственность автоматически ложилась на его плечи, так что отец Куи мог позволить себе сбросить напряжение предыдущих минут и уже более спокойно следить за продвижением непрошеного гостя. Для специалиста высокого класса, каким являлся этот совсем еще молодой человек, вторжение хакера всегда означало вызов его профессионализму.
    – Он здесь уже десять минут, – произнес Куи, не отрывая глаз от экрана, и отцу Арреги почудилась в его голосе нотка сдержанного восхищения. – Вначале просто пошарил снаружи, обследуя входы, потом буквально одним прыжком проник внутрь. Дорогу он уже знал – наверняка бывал у нас раньше.
    – Какие у него намерения?
    Отец Куи пожал плечами:
    – Не знаю. Но работает он классно и быстро, притом пользуется тройной системой, чтобы обойти нашу защиту: начинает с самого безобидного, потом роет глубже, потом влезает в наш список пользователей… – Не договорив, молодой иезуит чуть скривил губы, чтобы согнать с них неуместную при данных обстоятельствах улыбку. – Вот сейчас он ищет вход в ИНМАВАТ.
    Отец Арреги выбил обеспокоенную дробь ногтями на одном из руководств по информатике, занимавших почти всю поверхность стола. Аббревиатура ИНМАВАТ обозначала засекреченный список высших должностных лиц ватиканской курии, войти в который можно было лишь при помощи особого кода, державшегося в глубочайшей тайне от непосвященных.
    – Может быть, подключить сканер слежения? – предложил он.
    Отец Куи мотнул подбородком в сторону другого монитора, экран которого светился на соседнем столе. Движение означало: «Я уже подумал об этом». Эта система, соединенная с каналом связи полиции и телефонной сетью Ватикана, регистрировала все данные о хакере и его продвижении; в ней имелась даже особая ловушка – нечто вроде лабиринта, выбраться из которого было не так﷓то легко, а за это время взломщика успевали засечь и опознать.
    – Это мало что даст, – отозвался Куи через несколько секунд. – «Вечерня» здорово закамуфлировал то место, где вошел в нашу систему. Он скачет с одной телефонной линии на другую, и всякий раз, как он делает очередной прыжок, приходится просматривать всю ее до самого исходного пункта… Для того чтобы мы успели что﷓то сделать, он должен пробыть здесь достаточно долго. И при всем при том, если он задался целью устроить нам какую﷓нибудь гадость, он ее устроит.
    – А какую другую цель он может иметь?
    – Не знаю. – На губах молодого священника вновь обозначилась чуть заинтересованная, чуть ироническая усмешка, но она исчезла, лишь только он поднял голову. – Иногда они занимаются этим просто из любопытства, иногда оставляют какое﷓нибудь послание типа «Здесь побывал капитан Зэп», вы же знаете. – Он сделал паузу, всматриваясь в экран монитора. – Хотя, надо заметить, для простого мелкого хулигана этот что﷓то уж слишком усердствует.
    Отец Арреги дважды машинально кивнул, целиком поглощенный движением сигнала по экрану. Затем, словно придя в себя, взглянул на телефон, выхваченный из полумрака конусом света настольной лампы, и протянул было к нему руку, но задержал ее на полпути:
    – Вы полагаете, ему удастся проникнуть в ИНМАВАТ?
    Куи кивком указал на экран своего дисплея:
    – Он уже проник. Только что.
    – О Господи…
    Теперь светящийся алым курсор мигал с бешеной скоростью, пробегая одну за другой движущиеся по экрану строчки.
    – Ну, он мастер, – произнес отец Куи, уже не пытаясь скрыть своего восхищения. – Да простит меня Господь, он действительно мастер. – Ирландец помедлил и закончил с улыбкой: – Это просто черт какой﷓то.
    Забыв о клавиатуре, он оперся обоими локтями о столешницу и прямо﷓таки впился глазами в экран, по которому проходил секретный список во всей своей красе: восемьдесят четыре кардинала и высших чиновника, обозначенные каждый соответствующим кодом. Курсор пробежался по списку сверху вниз, потом еще раз и, мигнув, остановился напротив строчки, где стояло: V01A.
    – Ах, мерзавец, – пробормотал отец Арреги.
    Смена символов на экране означала, что хакер взломал систему безопасности и загоняет в память компьютера довольно объемистое послание.
    – Кто такой V01A? – спросил Куи.
    Отец Арреги не спешил с ответом. Расстегнув стоячий воротник своей сутаны, он провел ладонью по затылку и снова недоверчиво взглянул на экран монитора. Потом медленно поднял трубку с телефона и, поколебавшись еще мгновение, набрал номер секретариата Апостольского дворца, предназначенный для экстренных случаев. Лишь после седьмого гудка несколько сонный голос ответил ему по﷓итальянски. Тогда отец Арреги откашлялся и кратко, по﷓военному сообщил, что хакер только что проник в личный компьютер Его Святейшества Папы.

    перевод, который не успели сделать на занятии

    (нужно сделать ко вторнику, 9.03)

    События


    События - это способы, с помощью которых агенты угроз могут причинить вред организации. Например, хакеры нанесут ущерб путем злонамеренного изменения информации веб-сайта организации. Следует также принять во внимание вред, который может быть нанесен при получении агентом доступа. Необходимо учитывать следующие события:
    · злоупотребление санкционированным доступом к информации, системам или сайтам;
    · злонамеренное изменение информации;
    · случайное изменение информации;
    · несанкционированный доступ к информации, системам или сайтам;
    · злонамеренное разрушение информации, систем или сайтов;
    · случайное разрушение информации, систем или сайтов;
    · злонамеренное физическое вмешательство в системы или операции;
    · случайное физическое вмешательство в системы или операции;
    · естественные физические события, которые мешают системам или операциям;
    · ввод в действие злоумышленного программного обеспечения (намеренно или нет);
    · нарушение внутренних или внешних коммуникаций;
    · несанкционированный пассивный перехват информации внутренних или внешних коммуникаций;
    кража аппаратного или программного обеспечения.

    среда, 3 марта 2010 г.

    вторник, 2 марта 2010 г.

    warchalking (письменный перевод к 4.03)

    Вопрос к эксперту

    Вопрос. Что вы можете рассказать о так называемом "вочокинге" (от англ. warchalking)?

    Ответ. Этот термин означает нанесение мелом специальных знаков на тротуарах около зданий офисов. Такие отметки сигнализируют взломщикам о наличии поблизости беспроводных сетей.

    Перехват (interception) возможен и во время действительного сеанса связи. Такой тип атаки лучше всего подходит для захвата интерактивного трафика типа telnet. В этом случае взломщик должен находиться в том же сегменте сети, где расположены клиент и сервер. Злоумышленник ждет, когда легальный пользователь откроет сессию на сервере, а затем с помощью специализированного программного обеспечения занимает сессию уже в процессе работы. Взломщик получает на сервере те же привилегии, что и пользователь.

    При перехвате используется неправильная   информация о разрешении имени
    Рис. 2.4. При перехвате используется неправильная информация о разрешении имени

    Примечание

    Перехват более опасен, чем прослушивание, он означает направленную атаку против человека или организации.


    http://www.intuit.ru/department/security/netsec/2/2.html