3.2 Көп тараған рұқсатсыз қол жеткізудің технологиялары
Қаскүнемдер қаупсіздік жүйесіне кіріп алу алдында оларды ұқыпты оқиды. Көп жағдайларда олар құрастырушылар байқамаған айқын және қарапайым бұзу әдістерін табады. Компьютерлік қауіпсіздік туралы әнгімелегенде әрқашанда келесі ереже еске салынады: шынжырдың беріктігі оның ең әлсіз түйінінің беріктігінен жоғары емес. Мысалы, өте берікті қорғау жүйесінде оған қол жеткізу паролі мәтіндік файлда орталық каталогта сақталса немесе монитор экранында жазылса, бұл конфиденциалды жүйе бола алмайды.
Қорғау жүйесінің өңдеушілері жүйеге кірудің кейбір примитивті әдістерін ұмытып немесе есепке алмауларының көп мысалдары бар. Мысалы, Internet желісінде жұмыс істегенде алынған пакет пакеттегі жіберушінің адресі көрсетілген (IP-адресі) жіберушіден келді деген пікірдің автоматты дәлелденуі жоқ. Сондықтан, бірінші пакеттің идентификациялануының өте сенімді әдісі қолданылса да, басқалары да осы IP-адрестен келген деп, алмастырулары мүмкін. Осындай жағдайлар қорғалған жүйелердің өңдеушілеріне жүйеге кіріп алудың айқын және қарапайым әдістерін ұмытпауды және оларды алдын-ала ескеруді талап етеді.
Ақпараттық желіге пайдаланушының кіру орындары терминалдар деп аталады. Егер де оларға бірнеше немесе кез келген адамның қолы жететін болса, онда оларды жобалағанда және пайдаланғанда бірсыпыра қауіпсіздік шараларын ұқыпты орындау керек.
Физикалық қол жеткізуі бар терминалдарды қолданғанда келесі талаптарды орындау керек: терминалдың қорғалуы орналасу жерінің қорғалуына сәйкес болуы керек; орналасу орынға қол жеткізуді бақылау жүйесі дұрыс жұмыс істеуі және де ақпаратқа қол жектізудің жалпы сұлбасына сәйкес болуы керек.
Алыстағы терминалдарды қолданғанда келесі ережелер орындалауы керек: кез келген алыстағы терминал тіркеу атымен паролді сұрауы керек; ағынды уақытта қажетті емес немесе бақыланбайтын модемдердің барлығын уақытысында өшіру керек; терминалдың log-in сұранысынан фирма атын, оның реквизиттарын, т.с. алып тастау керек.
Терминалға қол жеткізу физикалық па немесе коммутацияланатын ба, оған қарамай терминалды ақпараттық жүйенің өзегімен байланыстыратын желі (коммутацияланатын немесе көпшілік жерде орнатылған) тыңдап алудан қорғалған болуы керек немесе ақпаратпен алмасу идентификациялаудың конфиденциалдық сұлбасы бойынша және аутентификацияның сенімді сұлбасы бойынша өткізілуі керек (бұл криптожүйелердің есебі болып табылады).
Терминалдық кіру орынға қолы жеткен бұзушының әріқарай әрекеттері екі негізгі бағытпен өткізіледі: паролдерді тікелей немесе жанама біліп алу; паролдерді білмей, бағдарламалық немесе аппараттық қамтамасыздандырудың іске асырулырының қателерін пайдаланып, жүйеге кіру талаптары.
Ең көп тараған паролдерді тауып алудың техникасы сөздік бойынша паролдерді сұрыптау болып табылған. Қазіргі кезде ақпараттық қауіпсіздіктің пропагандасының нәтижесінде ол көп қолданылмайды.
Келесі паролдерді сұрыптаудың модификациясы жүйелерде келісім бойынша орнатылған паролдерді тексеру болып табылады. Кейбір кезде бағдарламалық қамтамасыздандырудың әкімі өңдеушіден жаңа бағдарламалық өнімді алып, оның қауіпсіздік жүйесін тексермейді. Нәтижесінде, өңдеу фирмасында келісім бойынша орнатылған пароль жүйенің негізгі паролі болып қалады. Өңдеушілердің бағдарламалық қамтамасыздандыруларының барлық версияларына келісім бойынша орнататын паролдерінің тізімдерін Интернет желісінен табуға болады. Сондықтан, паролді ұқыпты таңдау керек, оның ақпараттық сыйымдылығы паролдерді толығымен сұрыптауға қажетті уақытқа сәйкес болуы керек; жүйені жұмысқа қосқан алдында келісім бойынша паролдерді өзгерту керек. Осыларды әсіресе желілік бағдарламалық қамтамасыздандыруға ұқыпты жасау керек.
Келесі жиі қолданылатын паролдерді алу әдістемесі жүйенің өзінен парольді алу болып табылады. Бірақ, бұл жерде жалпы кепілдемелерді беру мүмкін емес, себебі шабуылдардың барлық әдістері тек қана анықталған жүйенің бағдарламалық және аппараттық іске асырылуынан тәуелді болады.
Паролдерді табудың екі негізгі мүмкіншіліктері келесі: оларды орнатылған тасымалдаушысына рұқсатсыз қол жеткізу жолымен немесе жүйенің іске асырылуының қателіктері мен құжатталмаған мүмкіндіктерін пайдалану болып табылады.
Жүйелердің барлығында клиентті тіркеу кезінде салыстыру үшін олардың паролдері бір жерде сақталуы керек. Осы жағдайда әдістердің бірінші тобы негізделген. Ал екінші мүмкіншілікті пайдаланатын паролдерге қол жеткізу қазіргі кезде сирек кездеседі. Бұрында бұл әдістеме өңдеушілермен жиі қолданылатын еді, әдетте, жөндеу үшін немесе жүйенің жұмыс қабілеттілігін асығыс қалпына келтіру үшін.
Паролдерді алудың келесі көп тараған технологиясы паролді терминалда терген кезде клавиатура буферінің көшірмесін жасауға негізделген. Бұл әдіс сирек қолданылады, себебі ол бағдарламаны жұмысқа қосу мүмкіншілігі бар терминалды машинаға қол жеткізуді талап етеді. Бірақ егер де қаскүнемнің осындай қол жеткізудің мүмкіншілігі болса, бұл әдістің әрекеттілігі өте жоғары.
Паролдерді алудың келесі әдісі тек қана желілік бағдарламалық қамтамасыздандыруда қолданылады. Көптеген бағдарламаларда желі бойынша тасымалданатын ақпаратты (желілік трафикті) ұстау мүмкіншіліктері есепке алынбайды. Қазіргі кездегі аппаратық және бағдарламалық қамтамасыздандыру белгілі компьютер қосылып тұрған желі сегменті бойынша өтетін ақпараттың барлығын алуға және талқылауыға мүмкіндік береді. Осындай ұрлаудың мүмкіндігінен кешенді қорғалу үшін келесідей шараларды орындау керек: желілік кабелдерге физикалық қол жеткізу ақпаратқа қол жеткізу деңгейіне сәйкес болуы керек; желінің топологиясын анықтаған кезде мүмкіндік болса кең хабар беру топологиясын қолданбауға тырысу керек.
Паролдерді алудың тағы бір әдісі – әлеуметтік психологияны қолдану: кейбір кезде қаскүнемдер оларға қажетті адамадармен байланысып әртүрлі амалдарды қолданады (басқа адамның атынан әкіммен байланысып паролін ұмытып кеткенін айтуы; немесе әкім атынан паролдерді қалпына келтіріп жатырмыз деп қызметкерден оның паролін алуы мүмкін, т.с.).
Бизнес және жеке хабарлармен алмасу үшін ақпаратты қорғау мәселесі криптография көмегімен қарапайым және арзанырақ шешіледі. Ең жаңа технологиялар мен миллиондаған шығындарға қарсы бұл жерде математика шығады. Бұл барьерді жеңу мүмкін емес.
4 Дәріс. Ақпараттық жүйелердегі криптография
Дәріс мазмұны: компьютерлік желілерде криптографиялық әдістерді қолдану.
Достарыңызбен бөлісу: |