Повна версія

Головна arrow Головна

  • Увеличить шрифт
  • Уменьшить шрифт


<<   ЗМІСТ   >>

Технічні заходи

Під технічними заходами (технологічними або програмно-апаратними) розуміють прийоми захисту, які реалізуються безпосередньо з використанням об'єктів, що захищаються: одного або групи комп'ютерів, а також засобів телекомунікації. Специфіка заходів полягає в тому, що користувач має з ними справу не тільки щодня (як з фізичними заходами), але і щогодини, щомиті. Помилки користувача (користувачів), пов'язані з порушенням технічних заходів захисту або зі зневагою ними, дуже часті - але оцінками 75-90% всіх інцидентів в локальних мережах. Ці помилки призводять до тяжких наслідків, так як в більшості випадків "відкривають", роблять мережу беззахисною відразу десяткам і сотням користувачів мережі. Вони своїми безграмотними діями можуть швидко по мережі розтиражувати (скопіювати) помилку чи її наслідки.

З якими конкретними прийомами технічного захисту інформації повсякденно стикається користувач?

Розмежування прав доступу

Користувач повинен представитися комп'ютера (точніше, операційне середовище), в процесі ідентифікації ввести Ім'я користувача (наприклад, Іванов). Однак комп'ютерній системі цього недостатньо, вона просить уточнити Іванов - учень або Іванов - викладач? Користувач Іванов повинен ввести свій пароль. Це процес аутентифікації користувача комп'ютером. У сучасних системах можливе застосування інших ідентифікаторів / аутентифікаторі - електронних ключів, пластикових карт, біометричних параметрів користувача. Якщо користувач пред'явив комп'ютера пару ідентифікатор / аутентифікатор, раніше зареєстровану в системі, то комп'ютер проводить уже без участі користувача процес авторизації - входу в систему з певними правами доступу до тієї чи іншої інформації.

Будь-яка спроба порушити правила виконання цих трьох процесів або обійти (виключити) будь-якої з них повинна розглядатися як спроба здійснити несанкціонований доступ до системи. Авторизований користувач може працювати тільки з певною структурованою інформацією (розділами, дисками, мережевими ресурсами, носіями, папками, файлами). Він не має доступу або має обмежений доступ до структурованої інформації інших користувачів, крім загальнодоступних ресурсів. При найменших перервах в роботі рекомендується виходити з системи або включати хранитель екрану з пральний захистом, щоб інша фізична особа не підмінило вже авторизованого користувача.

Керувати доступом до об'єктів можна за допомогою вкладки Безпека вікна Властивості папки (рис. 11.3). У верхній частині вкладки вказати ім'я користувача або групи поль

Властивості папки, вкладка Безпека

Мал. 11.3. Властивості папки, вкладка Безпека

зователем, в нижній частині задати дозволу на проведення з обраним об'єктом певних дій. Для управління безпекою обраного об'єкта необхідно мати або права адміністратора, або бути його власником.

Якщо за одним комп'ютером працює кілька користувачів, кожен з яких має свій вхід в систему (login і пароль), можна обмежити доступ до певної папки іншим способом. У вікні Властивості папки натиснути кнопку Додатково, викликати Додаткові атрибути, дозволити шифрувати вміст зазначеного об'єкта - папки (рис. 11.4). Для користувача, що включив режим шифрування, робота з нанка відбувається без будь-яких обмежень, Не потрібно вводити його. Інші користувачі побачать зашифровану папку, але дій з нею і її вмістом (воно їм не доступно) виконати не зможуть.

Якщо кілька користувачів працюють за одним комп'ютером під одним ім'ям (що вкрай небажано з точки зору безпеки), можна скористатися однією з платних прикладних програм, призначених для шифрування папок, наприклад: HideFolder, Secure Folder, Magic Folder, Lock Folder, Folder Lock.

Парольний захист. У суспільстві не прийнято обговорювати важливу або інформацію обмеженого доступу з незнайомим або малознайомим співрозмовником. цю корисну

Властивості папки, вкладка Безпека, Додаткові атрибути

Мал. 11.4. Властивості папки, вкладка Безпека, Додаткові атрибути

звичку освоїв і новий "побратим по спілкуванню" - комп'ютер. Процедура подання користувача недовірливому комп'ютера схожа на спілкування на вулиці з міліціонером: Ваше прізвище? Пред'явіть, будь ласка, документ! Тільки "академічно освічений" комп'ютер просить користувача провести ідентифікацію та аутентифікацію.

Ідентифікація користувача полягає в тому, що він повідомляє операційній системі зазвичай відкриту (несекретну) інформацію про себе і таким чином представляє, ідентифікує себе. Як ідентифікуючої інформації (ім'я користувача або login) може використовуватися прізвище користувача, його професія, обліковий або табельний номер і т.п. Але як операційна система комп'ютера відрізнить, хто до нього звертається - Іванов Петро або Іванов Нестор, студент Кузнєцов або викладач Кузнєцов, студент Сидоренко або студентка Сидоренко?

Крім ідентифікуючої інформації користувач повинен надати операційній системі додаткову секретну (невідому іншим користувачам) аутентифицирующей інформацію, яка підтверджує, що він дійсно той, за кого намагається себе видати. У теорії інформації цей процес називається перевіркою справжності. Аутентифікація може застосовуватися не тільки для встановлення автентичності користувачів, але і для перевірки автентичності джерела повідомлень - сервера або програми, що особливо важливо при роботі в середовищі з багатьма користувачами (локальних, корпоративних чи інших мережах).

Користувач може підтвердити свою автентичність, якщо пред'явить операційній системі один з трьох об'єктів:

  • • щось, що знає (пароль, криптографічний ключ і т.п.);
  • • щось, чим володіє (механічний або електронний ключ, пластикова картка, флеш-карта, таблетка Touch Memory і т.п.);
  • • щось, що є частиною його самого (біометричний пароль - відбиток пальця або долоні, зображення обличчя, зіниці очей, сітківки тощо).

Пароль (password) - унікальна рядок символів, що вводиться користувачем для його аутентифікації комп'ютером і невідома іншим користувачам і яку операційна система або прикладна програма порівнює із зразками, що зберігаються всередині них в спеціальному списку.

Призначення паролів - обмежити доступ користувачів до ресурсів і сервісів мережі або комп'ютера, до програм або документів, до баз даних або баз пошукових систем.

Доступ отримують тільки користувачі, які пред'явили "правильні" поєднання імені користувача і пароля. При доступі до програм або документів, до баз даних або баз пошукових систем досить пред'явити тільки пароль, так як цей доступ організовує операційна система, при першому зверненні до якої (при вході в систему) користувач пред'явив свій ідентифікатор - ім'я користувача.

Найбільш важливі паролі операційна система зберігає в спеціальних файлах (* .pwl і т.п.) або в захищених системних базах даних (реєстр, registry). Недоліки подібного збереження очевидні - можливості руйнування або видалення цих сховищ і заміни їх на інші.

Паролі для роботи з окремими файлами зберігаються всередині цих файлів. При копіюванні або переміщенні файлу на інший носій або на інший комп'ютер пароль "переїжджає" разом з файлом, як і раніше забезпечуючи його захист.

Іноді користувачі "втомлюються" багаторазово набирати однакові паролі і змушують програму запам'ятати пароль (зберегти його в спеціально виділеній області зовнішньої пам'яті - в кеші). Ця процедура називається кешування паролів. Однак це небезпечна процедура. Раз пароль десь лежить окремо, його можна видалити або змінити. Намагайтеся уникати кешування паролів.

Форми зберігання паролів також різні:

символьний - в тексті програми пароль зберігається у вигляді набору кодів символів, складових пароль; це

найбільш невдала форма зберігання, так як пароль "читається" безпосередньо в текстовому редакторі;

  • цифрова - коди символів, що складають пароль, перетворюються з якого-небудь закону, перекодуються і в вікнах діалогу підміняються зірочками; ця форма зберігання більш стійка, по існують програми розтину і показу тих символів, які ховаються під зірочками (програма Open Pass);
  • шифрована - як правило, пароль подовжують, додаючи в нього так звані "сіль" або "сміття", в якості яких можуть використовуватися ім'я користувача, час входу в систему, час відкриття файлу або просто генерується випадкове число; подовжений пароль шифрується і розкрити його, не знаючи алгоритми подовження і шифрування, практично неможливо;
  • стиснута - пароль спочатку подовжують ( "присаливают" або "засмічують"), а потім за допомогою спеціальних хеш-функцій стискають, отримують хеш-образ пароля, який і зберігають у зовнішній пам'яті; цей процес називають хешированием паролів (не плутайте з кешуванням) і розкрити пароль, не знаючи алгоритми подовження і хеширования, практично неможливо.

Користувачі пишуть паролі в незахищених місцях. Інженери та адміністратори з інформаційної безпеки знаходять паролі, записаними (це, до речі, одна з основних їх обов'язків):

  • • на клаптиках паперу і в чернетках службових документів;
  • • в блокнотах і на візитках (чого розмінюватися на дрібниці, дарувати, так дарувати);
  • • всередині авторучок і в / на сувенірах на робочому столі;
  • • на зворотному боці миші, килимка, клавіатури;
  • • на полиці під клавіатурою, на стінках ящиків робочого столу;
  • • ззаду, збоку і на підставці монітора;
  • • "списують готові" паролі з календарів або з рекламного щита навпроти (що відбувається при зміні календаря або реклами і так зрозуміло);
  • • шедевр записи - пароль, записаний на підошві черевика, який через сильний сезонного похолодання залишився вдома і дуже підвів господаря.

Пароль не можна записувати (запис обов'язково прочитає той, кому це не потрібно, а ви самі забудете, де записали), пароль необхідно запам'ятовувати !!!

"Згадати" забутий пароль можна одним способом - провести атаку (злом) пароля спеціалізованою програмою, яка є в Інтернеті.

Види атак на паролі:

  • соціотехніка, або соціоінженерія, - отримання пароля обманним шляхом у тих, хто його знає;
  • копання в смітті - отримання пароля з "інформаційних" відходів вашої діяльності; якщо паролі не записувати свій і не кешувати в комп'ютері, то цієї небезпеки не буде;
  • підглядання - якщо співробітники уважні до вашої (а не власній) професійної діяльності, тобто небезпека, що хтось запам'ятає ваш пароль;
  • словникова атака - знаючи, яка програма хоче отримати пароль, можна надсилати їй послідовно слова зі звичайного або спеціалізованого частотного словника (слова розташовані не за алфавітом, а зменшенням частоти використання в розмовній мові); можна відносно швидко підібрати пароль, якщо він містить словникове слово на одній мові;
  • повний перебір всіх можливих варіантів (силова атака або метод грубої сили) - як ні багато символів вводиться, всі вони утворюють, як кажуть математики, кінцеве безліч, елементи якого можна порахувати; питання - за який проміжок часу.

У табл. 11.2 наведено час повного перебору паролів.

Таблиця 11.2

Трудомісткість силовий атаки зі швидкістю 200 тис. Паролів в секунду

довжина пароля

26/32 символу (одна мова)

96 символів (одна мова і розділові знаки, розмітки)

224 символу (всі символи кодової таблиці ASCII або ANSI)

3

0,1 с

3 з

1,5 хв

4

3 з

7,5 хв

4,8 ч

5

1 хв

11ч

55 днів

6

26 хв

36,5 дня

49,5 років

7

16,5ч

11,8 років

114 століть

8

12,5 дня

11,4 століття

29227 століть

9

310 днів

+1097 століть

7482200 століть

10

22,5 року

105337 століть

1915443061 століть

Правила формування надійною (сталого) пароля. Пароль замінюється кожні 45 днів (інтервал між зміною паролів повинен бути менше, ніж час, необхідний для їх злому).

  • • Час життя паролів за замовчуванням (паролів інстальованих програм і ще не змінених) не більше 3 діб.
  • • Після 3-5 (на розсуд адміністратора) невдалих спроб набору пароль блокується на кілька годин.
  • • Введення тимчасової затримки при перевірці пароля і видачі повідомлення про прийом або відхилення введеного пароля.
  • • Новий пароль не повинен співпадати з 3-5 останніми раніше використаними.
  • • Довжина пароля повинна бути в межах 6-10 символів для користувачів і не менше 12 символів для адміністраторів.
  • • Символи, які використовуються в паролі, не повинні утворювати словникове слово.
  • • Пароль повинен містити і букви, і цифри, і спеціальні символи.
  • • При наборі пароля необхідно використовувати і малі, і великі літери.
  • • При наборі пароля необхідно використовувати символи алфавіту двох мов.

Для аналізу придатності наборів символів як паролі їх розбивають на категорії надійності, привласнюючи кожної категорії числовий код, відповідно до таких вимог.

Ніякі (умовний числовий код - 0) - однакові букви одного алфавіту або тільки одні цифри. При силовий атаці один символ пароля підбирається за 10 спроб для числового пароля, за 32 - для букв російської мови.

Слабкі (код - 1 або 12) - символи утворюють словникове слово на одній з мов (код - 1) і / або використовуються і малі, і великі літери одного алфавіту (код - 2). Для злому пароля використовується словникова атака із застосуванням хакерських частотних словників.

Сильні (код - 23) - використовуються і малі, і великі літери одного алфавіту (код - 2) і символи не утворюють словникового слова на одному з мов (код - 3). При силовий атаці один символ пароля підбирається за 66 спроб для букв російської мови.

Міцні (код - 234) - використовуються і малі, і великі літери одного алфавіту (код - 2), символи не утворюють словникового слова на одному з мов (код - 3) і цифри спільно з символами (код - 4). При силовий атаці один символ пароля підбирається за 76 спроб для букв російської мови.

Важкі (код - 2345) - використовуються і малі, і великі літери одного алфавіту (код - 2), символи не утворюють словникового слова на одному з мов (код - 3), цифри спільно з символами (код - 4) і символи двох мов (двох алфавітів) (код - 5). При силовий атаці один символ пароля підбирається за 128 спроб (10 цифр + 33 • 2 рос. Букв + 26 • 2 англ. Букв).

Надійні (код - 23456) - використовуються і малі, і великі літери одного алфавіту (код - 2), символи не утворюють словникового слова на одному з мов (код - 3), цифри спільно з символами (код - 4), символи двох мов (двох алфавітів) (код - 5) і спеціальні символи (не букви алфавіту і цифри) (код - 6). При силовий атаці один символ пароля підбирається за 224 спроби (всі символи з кодовою таблиці ANSI).

Як створити і запам'ятати пароль?

Головний принцип - асоціативне запам'ятовування. Багато в дитинстві намагалися запам'ятати послідовність чергування квітів в спектрі: червоний, оранжевий, жовтий, зелений, блакитний, синій, фіолетовий. Твір приказки але першими літерами назв квітів спрощує запам'ятовування - "Кожен мисливець бажає знати, де сидить фазан". Фактично одні слова замінені іншими, утворюючи легко запам'ятовується фразу.

Існують різні підходи до вирішення непростого завдання - складання та запам'ятовування пароля. На додаток до асоціативного запам'ятовування використовується здатність більшості людей засвоювати логічні послідовності дій - алгоритми.

Перший підхід застосовується для недовго живуть паролів до файлів і архівів, які треба перемістити з одного комп'ютера на інший, а потім вони (і файли, і їх імена, і паролі) можуть бути змінені.

В цьому випадку пароль формується з назви файлу або архіву за певними правилами. Нехай назва файлу - Річний отчет.dос.

Пропускаємо голосні - пароль Гдвтчт,

пропускаємо приголосні - пароль Оооое,

замінюємо голосні числами - пароль Г1д2і345тч6т,

замінюємо українські літери схожими англійськими - пароль Дд btчt.

записуємо букви справа наліво і т.п.

Недолік даного підходу очевидна - небезпечна зміна імені файлу або архіву, ось чому він застосовується лише для недовго живуть паролів.

Другий підхід більш універсальний - запам'ятати приказку, прислів'я, строфу вірша або рядок пісні, а з них скласти кілька паролів, які будете знати тільки ви і легко самі відновите.

Приклад пароля: Кс ж с6 ЗПВ - отриманий з фрази "Кожен студент бажає здати шостий залік з інформатики" ( жирні літери - російські, інші - англійські).

Третій підхід простіший - повторити улюблене слово або словосполучення кілька разів, розділивши повторення якимось спецсимволи або спецсимволами.

Приклад пароля: Каша + Каша-Каша = Каша

Четвертий підхід найпростіший, якщо ви володієте хорошою пам'яттю, - запам'ятати в якості пароля цілу фразу.

Приклади паролів: Геть з Москви! Сюди я більше не їздець!

або У село, до тітки, в глушину, в Саратов!

Протягом одного сеансу роботи за комп'ютером доведеться вводити (і відповідно міцно пам'ятати) до шести-семи різних паролів. Розглянемо ці ситуації.

  • 1. Пароль на доступ в операційну систему. Якщо за комп'ютером працюють кілька людей або в приміщення, де розташований комп'ютер, мають доступ інші люди, то наявність цього пароля обов'язково.
  • 2. Пароль на відкриття файлів з документами. Якщо документи не переносять з комп'ютера на інший, можна скористатися одним паролем для великої групи однотипних файлів, наприклад, документів Microsoft Word.
  • 3. Пароль на зміну режиму доступу до документа (тільки читання, дозвіл на запис виправлень, захист даних в полях форм). Найчастіше ставлять пароль, що захищає тільки один з режимів доступу до документа. Тому для захисту різних режимів доступу в одному документі або в різних документах можна використовувати один і той же пароль.
  • 4. Пароль на доступ до файлу архіву. Якщо ви переносите документи з одного комп'ютера на інший, слід скористатися окремим паролем, який ставиться на відкриття стисненого, заархивированного документа (файлу архіву). Так як цей пароль буде набиратися на різних комп'ютерах, він повинен відрізнятися від пароля на відкриття файлу конкретного документа (документів).
  • 5. Пароль на скасування сплячого режиму або на вимикання режиму зберігача екрану монітора, що включаються при нетривалому відсутності вас на робочому місці.
  • 6. Пароль (паролі) на доступ до локальних мережевих ресурсів (мережевих дисків, мережевого принтера).
  • 7. Пароль (паролі) на доступ до глобальних мережевих ресурсів або сервісів глобальної мережі (на доступ в Інтернет, на відкриття електронної поштової скриньки, на використання системи шифрування, на використання обчислювальних ресурсів віддаленого комп'ютера, на доступ до блогу або особистого журналу).

У багатокористувацьких системах ставлять паролі на зміна налаштувань окремих програм, на зміну налаштувань і адміністрування операційної системи (управління доступом до комп'ютера різних користувачів), па обмеження доступу дітей до окремих програм і т.д.

Уважно вивчіть види паролів, правила запам'ятовування паролів і обов'язково дотримуйтесь рекомендацій на практиці.

Користувачі розуміють, що введення в пароль спеціальних символів, які не є цифрами та літерами будь-якого алфавіту, підвищують надійність пароля. Але висновок робиться часто невірний - набирати пароль тільки з спецсимволов.

Недоліків даного підходу кілька.

  • 1. Пароль дуже важко запам'ятати, а кілька подібних паролів практично неможливо.
  • 2. Паролі, складені тільки з спецсимволов, важко багаторазово вводити з клавіатури. Тому на комп'ютері знаходять "секретне", але не для хакерів та крекерів, місце для їх зберігання.
  • 3. Сам пароль складається, набирається в одному з редакторів з використанням команди Вставка, Символ і нестандартних, екзотичних шрифтів. Потім копіюється через буфер обміну в рядок введення пароля. При цьому користувач упускає з поля зору, що набирається і копіюється пароль в OEM-кодуванні. А при вставці комп'ютер використовує стандартну, швидше за все, кодування ANSI. Як приклад в першій колонці табл. 11.3 наведені паролі, на-

Таблиця 11.3

Уявлення однієї пароля в різних кодових таблицях

набраний

пароль

Пароль, що обробляється комп'ютером в ANSI

Пароль, що обробляється комп'ютером в KOI-8R

набраний

оБВТБООЩК

пароль

РБТПМШ

лист *

рЙУШНГГ

& Вк

? ЙМ

ніж "

ОПЦ "

лайливі користувачами в текстовому редакторі Microsoft Word шрифтом Wingdings. У другій колонці - "погляд" на ці паролі "очима" комп'ютера.

Паролі, складені з спецсимволов, звичайно, мають право на існування. Але серед них зустрічаються як слабкі (другий і третій рядки таблиці), так і надійні (4-6 рядки таблиці). Щоб перевірити, як комп'ютер сприймає набраний вами пароль, слід скопіювати його через буфер обміну в Блокнот або в адресний рядок браузера Internet Explorer.

Складніше при перенесенні пароля з ANSI в програму з іншого кодовою таблицею, наприклад KOI-8R. Порівняйте другу і третю колонки табл. 11.3.

Який же набір символів в якості пароля набраний користувачем?

Розумніше при складанні та введенні пароля не використовувати екзотичні шрифти і заздалегідь перевірити, який кодовою таблицею користується ваш комп'ютер. Пароль для відкриття документа, введений на іншому комп'ютері, буде виконувати свої функції, але його внутрішнє (для прикладної програми) подання буде інше. Тільки програми, добре інтегровані в операційну систему (програми-додатки), здатні забезпечити коректну роботу з такими паролями. Але перенесення документа, створеного в програмі - додатку Windows, на іншу платформу, в якій кодове подання частини символів інше, призведе до проблем при відкритті.

Слід пам'ятати, що не всі символи навіть зі стандартної кодової таблиці ANSI коректно переносяться на інші платформи, наприклад в Маc ОС, що може викликати проблеми (як на рис. 11.5).

Попередження про проблему кодування пароля

Мал. 11.5. Попередження про проблему кодування пароля

 
<<   ЗМІСТ   >>