1 / 56

Парольний захист

Парольний захист. Лекція 3 . Методи та засоби захисту ПЗ. Особливості парольного захисту. Злам ОС типу Windows . Ідентифікація та аутентифікація користувачів. Парольний захист. Тема 3 . Парольний захист. 1. Особливості парольного захисту.

shauna
Download Presentation

Парольний захист

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Парольний захист Лекція 3. Методи та засоби захисту ПЗ

  2. Особливості парольного захисту. Злам ОС типу Windows. Ідентифікація та аутентифікація користувачів Парольний захист

  3. Тема 3. Парольний захист 1. Особливості парольного захисту

  4. Пароль - це є кодова інформація в будь - якому вигляді (цифровому, словесному, електронному) , яка слугує ключем до входу в систему різної складності. За степенем складності будови та області застосування паролі поділяються на прості, складно-комбіновані, добрі та погані. Прості паролі є словесно - цифрові. Приклад: - ф121а. Вони використовуються для входу найчастіше в Інтернет ресурси - пошту електрону, адміністративні панелі сайтів , смс систем і т.д. Складно - комбіновані паролі можуть використовуватися для входу до пульту управління ядерними реакторами та захисними сучасними дверима в банківське сховище. В цьому випадку може використовуватись двохступиневий код паролю. Пароль (фр. parole — слово) — це слово, яке складається з набору символів, призначених для захисту чогось. Паролі часто використовуються для захисту інформації від несанкціонованого доступу. У більшості обчислювальних систем комбінація : «ім'я користувача — пароль» використовується для посвідчення користувача. Парольний захист : основи

  5. довжина пароля повинна складати не менше 10 символів; в паролі повинні зустрічатися великі і маленькі букви, цифри та спецсимволи; час життя пароля має становити не більше 42 днів; паролі не повинні повторюватися. Вимоги до паролів (ПЗ, ОС)

  6. 1. password2. 1234563.123456784. qwerty5. abc1236. monkey7. 12345678. letmein9. trustno110. dragon11. baseball12. 11111113. iloveyou14. master15. sunshine Гірші паролі 2011 року

  7. Найбільш ефективним є метод злому парольного захисту операційної системи, при якому атаці піддається системний  файл, що містить інформацію про легальні користувачів і їх паролі. У ряді випадків зловмисникові вдається шляхом різних маніпуляцій отримати в своє розпорядження файл з іменами користувачів і їх зашифрованими паролями. І тоді йому на допомогу приходять так звані парольні зломщики - спеціалізовані програми, які служать для злому паролів операційних систем Що таке парольний взломщик?

  8. Криптографічні алгоритми, що використовуються для шифрування паролів користувачів в сучасних ОС, використовують необоротне шифрування, що  забезпечує неможливість використання ефективного алгоритму злому, кращого за перебір  можливих варіантів. Парольні взломщики шифрують всі паролі з використанням того ж самого криптографічного алгоритму, який застосовується для їх засекречування в ОС. Даний спосіб дозволяє зламати всі паролі, якщо відомо їх подання у зашифрованомувигляді, і вони містять тільки символи з даного набору. Як працює парольний взломщик?

  9. Для більш ефективного підбору паролів зломщики використовують спеціальні словники, які представляють собою заздалегідь сформований список слів, найбільш часто використовуваних на практиці як паролі. (Великий набір словників можна знайти на сайті http://www.password.ru) До кожного слова зі словника парольний зломщик застосовує одне або декілька правил: виконується поперемінне зміна літерного регістра, в якому набрано слово; порядок проходження букв у слові змінюється на зворотний; в початок і в кінець кожного слова приписується цифра 1; деякі букви змінюються на близькі по зображенню цифри. У результаті, наприклад, зі слова password виходить pa55w0rd). Як працює парольний взломщик: стандартні словники?

  10. Тема 1. Парольний захист 2. Злам ОС типу Windows

  11. База даних реєстраційних даних користувачів • База даних SAM (Security Account Management Database) являє собою один з розділів (hive) системного реєстру (registry) Windows 2000/XP/2003. Цей розділ належить до гілки (subtree) HKEY_LOCAL_MACHINE і називається SAM. • Розташовується в каталозі \ winnt_root \ System32 \ Config в файлі SAM. • Змінювати записи, що зберігаються в базі даних SAM, за допомогою програм, які безпосередньо редагують реєстр Windows можна, тому що доступ до бази даних SAM заборонений для всіх без винятку категорій користувачів Windows XP/2003.

  12. Зберігання паролей користувача • У базі даних SAM кожен пароль користувача представлений у вигляді двох 16-байтових послідовностей, отриманих різними методами (Windows 2000/XP/2003 і LAN). • У методах ОС Windows 2000/XP/2003 рядок символів пароля користувача хешується за допомогою функції MD4. У результаті на виході виходить MD4 так звана «стиснення» вихідної послідовності, що має довжину 128 біт.

  13. Зберігання паролей користувача • В результаті з введеного користувачем символьного пароля виходить 16-байтовая послідовність - хешований пароль Windows 2000/XP/2003. • Ця послідовність шифрується по DES-алгоритму, і результат шифрування зберігається в базі даних SAM. • При цьому в якості ключа використовується так званий відносний ідентифікатор користувача (Relative Identifier, скорочено RID), який представляє собою автоматично збільшується порядковий номер облікового запису даного користувача в базі даних SAM. LastPass - безкоштовна програма для зберігання паролів, розроблена компанією LastPass. Вона існує у вигляді плагінів для Internet Explorer, Google Chrome, Mozilla Firefox, Opera і Apple Safari. 

  14. Можливі атаки на БД SAM (1) • Основним об'єктом атаки є адміністративні повноваження. Їх можна отримати, дізнавшись у хешованому або символьному вигляді пароль адміністратора системи, який зберігається в базі даних SAM. • По замовчуванню в Windows 2000/XP/2003 доступ до файлу \ winnt_root \ System32 \ Config \ SAM заблокований для всіх без винятку її користувачів. Тим не менш, за допомогою програми NTBACKUP будь-який власник права на резервне копіювання файлів і каталогів Windows 2000/XP/2003 може перенести цей файл.

  15. Можливі атаки на БД SAM (2) • Резервну копію реєстру можна також створити утилітою REGBAK зі складу Windows NT Resource Kit. • Крім того, безсумнівний інтерес для будь-якого зломщика представляють резервнакопія файлу SAM (SAM.SAV) в каталозі \ winnt_root\System32\Config і стиснута архівна копія SAM (файл SAM._) в каталозі \ winnt_root \ Repair. • Для відновлення паролів ОС Windows 2000/XP/2003 в символьному вигляді існують спеціальні парольні  зломщики. 

  16. Задання параметрів атаки по словнику Звичайне використання словника;Записані двічі слова;Зворотний порядок символів слів;Усічені до заданої кількості символів слова;Слова без голосних, за винятком заголовної;Транслітерація російських букв латинськими за заданою таблицею транслітерації;Заміна розкладки локалізації латинською розкладкою клавіатури;Заміна латинської розкладки клавіатури розкладкою локалізації;А також безліч інших параметрів злому.

  17. Розрахунок ймовірності зламу пароля ОС Windows • Згідно рекомендацій з безпеки Windows XP (Державна експертиза з ТЕХНІЧНОГО ЗАХИСТУ інформації операційної системи Windows XP Professional SP2 (шифр - "Експертиза WXPSP2") час життя пароля (параметр політики паролів «Вимагати неповторяємості паролів» (Enforce password history)) має становити 42 дні. • Згідно того ж документа параметр «Мінімальна довжина пароля» (Minimum password lengths) повинен складати для АС (автоматизованої системи): - одиночного комп'ютера без локальної мережі - 7 символів; - локальна мережа без виходу в Інтернет - 8 символів; - мережа з виходом в Інтернет - 12 символів.

  18. Час зламу пароля в сутках

  19. Ймовірність зламу пароля

  20. Рекомендації розробнику ПЗ • Програмуйте систему введення пароля так, що б у користувача не було можливості вводити порожній пароль і його довжина не повинна бути менше 5-6 символів.  • Якщо для входу у вашу систему потрібен пароль, то при поставці замовнику краще дайте пароль по замовчанню, який він повинен буде змінити собі сам (про що не забудьте йому нагадати).Введіть список заборонених (разом з паролем за замовчуванням) і останніх використаних паролів. Хоча б 12 останніх, але врахуйте, що він повинен бути зашифрований і повинен бути в цьому списку. Можна зробити й так, що система почне працювати на повну силу тільки після зміни пароля за замовчуванням.  • Якщо є можливість, не зберігайте паролі, навіть у зашифрованому вигляді, на «вінчестері», використовуйте для цього електронні ключі, Touch Memory і т.п.  • Ставте окремі паролі, якщо звичайно в цьому є сенс, на проведення особливо важливих операцій в системі (наприклад: архівна копіювання, якісь особливі звіти, видалення або редагування інформації тощо). • Змушуйте користувача змінити пароль - постійно попереджайте його повідомленнями типу «Колега! Термін дії Вашого пароля минув! Змініть його! »Коли вони йому просто набриднуть, він все одно його змінить і Ваша душа буде спокійніше. Встановлюйте програмно максимальний термін дії пароля в один місяць, а якщо ви будите зберігати останні 12 - то якраз один раз на рік він і зможе повторити свій пароль. • Включіть у вашу задачу можливість швидкої блокування роботи за запитом користувача або за часом бездіяльності, при цьому розблокування повинна бути за паролем, з яким користувач увійшов до завдання. • При зміні пароля обов'язково потрібно ввести старий пароль, а може бути і пароль адміністратора системи - це вже на Ваш розсуд. • Напишіть інструкцію з безпеки інформації у Вашій системі і додайте її в документацію.

  21. Кримінальний кодекс України Стаття 361. Незаконне втручання в роботу електронно-обчислювальних машин (комп'ютерів), систем та комп'ютерних мереж • 1. Незаконне втручання в роботу  автоматизованих електронно-обчислювальних машин, їх систем чи комп'ютерних  мереж, що  призвело  до  перекручення чи знищення комп'ютерної інформації або носіїв такої інформації,  а також розповсюдження комп'ютерного вірусу   шляхом   застосування  програмних  і  технічних  засобів, призначених для незаконного проникнення в ці  машини,  системи  чи комп'ютерні  мережі і здатних спричинити перекручення або знищення комп'ютерної інформації чи носіїв такої інформації, - караються штрафом до  сімдесяти  неоподатковуваних  мінімумів доходів  громадян  або виправними роботами на строк до двох років, або обмеженням волі на той самий строк. • 2. Ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб, - караються обмеженням волі  на строк до п'яти років або позбавленням волі на строк від трьох до п'яти років.

  22. Тема 1. Парольний захист 3. Ідентифікація та аутентифікація користувачів

  23. Визначення • Ідентифікація — процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.  • Автентифікція — процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора. З позицій інформаційної безпеки автентифікація є частиною процедури надання доступу для роботи в інформаційній системі, наступною після ідентифікації і передує авторизації

  24. Класифікація

  25. Причини слабкого розповсюдження біометричних систем на Україні • вартість подібних систем; • відсутність добре підготовленого, професійного, персоналу; • складність налаштування подібних систем; • протидію з боку персоналу, так як керівництво отримує можливість контролювати всі переміщення персоналу і фактично виробляти контроль робочого часу.

  26. Особливості електронних систем ідентифікації і аутентифікації • смарт-карта - вимагає для підключення до комп'ютера PC / SC сумісний пристрій читання смарт-карт.; • USB-ключ - прямо підключається до комп'ютера через порт USB, поєднуючи в собі функції смарт-карти та пристрої для її зчитування.

  27. Галузі застосування eToken • Сувора аутентифікація користувачів придоступі доінформаційних ресурсів:серверів, базданих, розділів Web-сайтів, захищенихсховищ,шифрованих дисків і інше.; • Вхід в операційні системи, служби каталогу, гетерогенні мережі (операційні системиMicrosoft, Linux, Unix, Novell) та бізнес-додатки (SAP R / 3, IBM Lotus Notes / Domino); • Впровадження систем PKI (Entrust, Microsoft CA, RSA Keon, а також у Засвідчуючихцентрах - зберігання ключової інформації, апаратна генерація ключових пар і виконання криптографічних операцій в довіреному середовищі (на чипі смарт-карти);

  28. Галузі застосування eToken • Побудова систем документообігу, захищенихпоштовихсистем (на основі Microsoft Exchange, Novell GroupWise, Lotus Notes / Domino) - ЕЦП і шифрування даних, зберігання сертифікатів і закритих ключів; • Організація захищених каналів передачі даних з використанням транспорту Інтернет(технологія VPN, протоколи IPSec та SSL) -аутентифікація користувачів, генераціяключів, обмін ключами; • Міжмережеві екрани та безпекапериметрамережі (продукти Cisco Systems, Check Point) - аутентифікаціякористувачів;

  29. Галузі застосування eToken • Шифрування даних на дисках - аутентифікація користувачів, генерація ключів шифрування, зберігання ключової інформації; • Єдина точка входу користувача в інформаційні системи та портали (в продуктах eTrust SSO, IBM Tivoli Access Manager, WebSphere, mySAP Enterprise Portal) і додатки під управлінням СУБД Oracle сувора двофакторна аутентифікація; • Захист Web-серверів і додатків електронної комерції (на основі Microsoft IIS, Apache Web Server) - аутентифікація користувачів, генерація ключів, обмін ключами; • Управління безпекою корпоративних інформаційних систем, інтеграція систем захисту інформації (Token Management System) - eToken є єдиним універсальним ідентифікатором для доступу до різних програм; • Підтримка успадкованих додатків і розробка власних рішень в області ІБ.

  30. USB ключі представлені на ринку • eToken R2, eToken PRO - компанія Aladdin; • iKey10xx, iKey20xx, iKey 3000 - компанія Rainbow Technologies; • ePass 1000 ePass 2000 - фірма Feitian Technologies; • ruToken - розробка компанії «Актив» та фірми «АНКАД»; • uaToken - компанія ТОВ «Технотрейд».

  31. Безконтактні смарт-карти Безконтактні смарт-картки (БСК) використовуються в різних додатках і широкопоширені у світі як для аутентифікації, так і для різних транспортних, ідентифікаційних, розрахункових і дисконтних програм. Важливою властивістю БСК, що виділяє її серед інших смарт-карт, є відсутність механічного контакту з пристроєм, що обробляють дані з картки. Максимальна відстань для здійснення транзакцій між зчитувачем і картою становить 10 см.   З одного боку це дозволяє користувачеві зручно і швидко зробити транзакцію, але з іншого боку при попаданні карти в поле антени, карта втягується у процес обміну інформацією, незалежно від того бажав цього користувач чи ні.

  32. Як працюють безконтактні смарт-карти? • "захоплення" карти (вибирається перша, яка перебуває в полі антени зчитувача, карта), якщо необхідно - включення антиколізійні алгоритму (команда антіколлізііповідомляє додатком унікальний  серійний номер "захопленої" карти, точніше - унікальний номер вбудованої в картку мікросхеми), • вибір карти з даними серійним номером для подальшої роботи з пам'яттю карти або її серійним номером. • Зазначена послідовність команд виконується за 3 мс, тобто практично миттєво.

  33. Як працюють безконтактні смарт-карти? • Аутентифікація вибраної області пам'яті карти. • Команда читання 16 байтів пам'яті картки виконується за 2,5 мс, команди читання і зміни балансу гаманця за 9-10 мс. • Типова транзакція, що починається з "захоплення" карти і призводить до зміни 16 байтів пам'яті відбувається максимум за 16 мс. • Для аутентифікації сектора пам'яті картки використовується трьохпрохідний алгоритм з використанням випадкових чисел і секретних ключів відповідно до стандарту ISO /IEC DIS 9798-2.

  34. Як відбувається процес аутентифікації? На першому кроці карта посилає зчитувача сформований нею випадкове число. Зчитувач додає до нього своє випадкове число, шифрує повідомлення і відправляє його карті. Карта розшифровує отримане повідомлення, порівнює "своє" випадкове число з числом, отриманим в повідомленні, при збігу заново зашифровує повідомлення і направляє зчитувача. Зчитувач розшифровує повідомлення карти, порівнює "своє" випадкове число з числом, отриманим в повідомленні, і при збігу чисел аутентифікація сектора вважається успішною.

  35. Типи безконтактних смарт-карт Безконтактні смарт-карти розділяються на ідентифікатори PROximity і смарт-карти, що базуються на міжнародних стандартах ISO / IEC 15693та ISO / IEC 14443. В основі більшості пристроїв на базі безконтактних смарт-карт лежить технологія радіочастотної ідентифікації. Системи ідентифікації на базі PROximity криптографічно не захищені, за винятком спеціальних замовлених систем. Кожен ключ має прошитий 32/64 розрядний серійний номер.

  36. Комбіновані системи • системи на базі безконтактних смарт-карт і USB-ключів; • системи на базі гібридних смарт-карт; • біоелектронні системи

  37. Види комбінованих ідентифікаторів • У корпус брелка USB-ключа вбудовується антена і мікросхема для створення безконтактного інтерфейсу. Це дозволить організувати управління доступом в приміщення і до комп'ютера, використовуючи один код. • Дана схема використання ідентифікатора дозволить виключити ситуацію, колиспівробітник, залишаючи робоче місце, залишає USB-ключ в роз'ємі комп'ютера, що дозволить працювати під його ідентифікатором. • На сьогодні найбільш поширені два ідентифікатора подібного типу: RFiKey - компанія Rainbow Technologies; eToken PRO RM - компанія Aladdin Software Security RD

  38. Застосування eToken для контролю фізичного доступу • RFID-технологія (Radio Frequency IDentification, радіочастотна ідентифікація) є найбільш популярною на сьогодні технологією безконтактної ідентифікації. • Бездротове розпізнавання здійснюється за допомогою закріплених за об'єктом так званих RFID-міток, що несуть ідентифікаційну та іншу інформацію. • При цьому треба враховувати обмеження, обумовлені розмірами ключа: RFID-мітка повинна бути не більше 1,2 см в діаметрі. Такі розміри мають мітки, які працюють зчастотою 13.56 МГц, наприклад, виробництва "Ангстрем» або HID.

  39. Застосування гібридних смарт-картдля контролю фізичного доступу • Гібридні смарт-карти містять різнорідні чіпи. Один чіп підтримує контактний інтерфейс, інший -безконтактний. Як і у випадку гібридних USB-ключів, гібридні смарт-карти вирішують два завдання: доступ в приміщення і доступ до комп'ютера. Додатково на карту можна нанести логотип компанії, фотографію співробітника або магнітну смугу, що робить можливим повністю замінити звичайні перепустки та перейти до єдиного "​​електронного пропуску".

  40. Біоелектронні системи • Для захисту комп'ютерних систем від несанкціонованого доступу застосовується комбінація з двох систем -біометричної і контактної на базі смарт-карт або USB-ключів. • Біометрія - це ідентифікація користувача по унікальним, властивим тільки даного користувачу, біологічними ознаками. Такі системи є найзручнішими з точки зору самих користувачів, так як їм не потрібно нічого запам'ятовувати і такі характеристики дуже складно втратити. • При біометричній ідентифікації в базі даних зберігається цифровий код, асоційованийз певною людиною. Сканер або інший пристрій, що використовується для аутентифікації, зчитує певний біологічний параметр.

  41. Приклади біометричних характеристик

  42. Експертна оцінка біометричних характеристик людини

  43. Структура світового ринку біометричних систем

  44. Розпізнавання по відбиткам пальців • Найпоширеніший статичний метод біометричної ідентифікації, в основі якого лежить унікальність для кожної людини малюнка папілярних узорів на пальцях. • Зображення відбитку пальця, отримане за допомогою спеціального сканера, перетвориться в цифровий код (згортку) і порівнюється з раніше введеним шаблоном (еталоном) або набором шаблонів (у разі аутентифікації). • Провідні виробники устаткування (сканерів відбитків пальців): Biolink, <http://www.biolink.ru/>, Bioscrypt, <http://www.bioscrypt.com/>; Digitalpersona, <http://www.digitalpersona.com/>.

  45. Розпізнавання по формі руки • Даний статичний метод побудований на розпізнаванні геометрії кисті руки, що також є унікальною біометричною характеристикою людини. • За допомогою спеціального пристрою, що дозволяє отримувати тривимірний образ кисті руки (деякі виробники сканують форму декількох пальців), виходять вимірювання, необхідні для отримання унікальної цифрової згортки, що ідентифікує людину. • Провідні виробники: RecognitionSystems, <http://www.recogsys.com/>, <http://www.handreader.com/>; BiometPartners, <http://www.biomet.ch/>.

  46. Розпізнавання по радужній оболонці ока Провідні виробники: Iridian - найбільший виробник у цій галузі, на рішеннях цієї компанії базуються практично всі розробки інших: LG, Panasonic, OKI, Saflink та інші.

  47. Розпізнавання по формі лиця У даному статичному методі ідентифікації будується двох-або тривимірний образобличчя людини. За допомогою камери і спеціалізованого програмного забезпеченняна зображенні або наборі зображень особи виділяються контури брів, очей, носа, губ іт. д., обчислюються відстані між ними й інші параметри, залежно від використовуваного алгоритму. За цими даними будується образ, що перетворюєтьсяв цифрову форму для порівняння.

  48. Розпізнавання по почерку • Цифровий код ідентифікації формується по динамічних характеристиках написання,тобто для ідентифікації будується згортка, в яку входить інформація по графічних параметрах підпису, тимчасовим характеристикам нанесення підпису і динаміки натиску на поверхню залежно від можливостей обладнання (графічний планшет, екран кишенькового комп'ютера і т. д .). • Провідні виробники: CIC (Communication Intelligence Corporation), http://www.cic.com/; Cyber​​-SIGN, http://www.cybersign.com/; SOFTPRO, http://www.signplus.com/; Valyd, http://www.valyd.com/.

  49. Розпізнавання по клавіатурному почерку • Метод в цілому аналогічний вищеописаному, проте замість підпису в ньому використовується якесь кодове слово, а з обладнання потрібно тільки стандартна клавіатура. Основна характеристика, за якою будується згортка для ідентифікації, - динаміка набору кодового слова. • Провідні виробники: BioPassword Security Software, http://www.biopassword.com/; Checco, http://www.biochec.com/.

  50. Розпізнавання по голосу • Ідентифікація по голосу базується на аналізі унікальних характеристик мови,обумовлених анатомічними особливостями (розмір і форма горла і рота, будова голосових зв'язок) та набутими звичками (гучність, манера, швидкість мови). • Голос схильний до істотних змінам під впливом емоційних факторів (настрій людини) і стану здоров'я (ангіна, нежить, бронхіт і т.д.). На якості ідентифікації можуть позначатися зовнішні умови (наприклад, сторонні шуми від дорожнього руху, розмовінших людей). • Мова людини розбивається на окремі «звукові кадри», які потім перетворяться в цифрову модель. Ці моделі прийнято називатим «голосовими відбитками» (за не надто вдалою аналогією з відбитками пальців). 

More Related