Главная: Рефераты

Рефераты. Несанкционированный доступ к данным

Для PIC- и ASIC-ключей защита строится по принципиально другому методу. В их архитектуру уже входит микропроцессор. Помимо этого данные микросхемы включают небольшое количество оперативной памяти, память команд и память для хранения микропрограммы. В аппаратной части содержится ключ дешифрации и блоки шифрации/дешифрации данных. Ключи на этой основе намного более устойчивы ко взлому и являются более прозрачными для стандартных протоколов обмена. PIC-чипы программируются разработчиками ключей, поэтому PIC-ключи являются более дорогой перспективой для заказчика. Аппаратную копию такого ключа сделать довольно проблематично за счёт того, что микропрограмма и внутренняя память защищены от внешнего считывания, НО к таким ключам применимы методы криптоанализа. Достаточно сложной является также задача перехвата ключа (основная обработка производится аппаратной частью). Однако остается возможность сохранения защищенной программы в открытом виде после того, как система защиты отработала.

Отрицательными сторонами аппаратных (электронных) ключей является:

1. Возможная несовместимость с программным обеспечением или аппаратурой пользователя;

2. Затруднение разработки и отладки программного обеспечения;

3. Повышение системных требований для защищаемого программного обеспечения;

4. Угроза кражи;

5. Невозможность использования защищённого ПО в портативных компьютерах;

6. Затраты на приобретение;

7. Несовместимость с аппаратными ключами других фирм;

8. Снижение отказоустойчивости программного обеспечения;

Следует заметить, что достаточно часто возникают конфликты ключа со стандартными устройствами, подключаемыми к портам компьютера, особенно это касается подключения к LPT и COM. Теоретически возможен случай, когда ключ получает данные, не предназначенные ему, и интерпретирует их как команду на чтение/запись FLASH-памяти, что может привести к порче хранимой информации или нарушению протокола обмена с другим устройством, подключенным к тому же порту компьютера. Кроме того, возможны угрозы перегрузки трафика при конфликтах с сетевым программным или аппаратным обеспечением.

"Ключевые диски"

В настоящий момент этот вариант защиты программного обеспечения мало распространён в связи с его устареванием. Единственным его отличием от электронных ключей является то, что критическая информация содержится на ключевом носителе. Слабой стороной данного варианта является возможность перехвата считывания критической информации и незаконное копирование ключевого носителя.

СМАРТ-карты

В последнее время в качестве электронного ключа широко распространились СМАРТ-карты. Носителем информации в них является микросхема. Условно их можно разделить на микропроцессорные, карты с памятью и криптографические (поддержка алгоритмов DES, RSA и других) карты.

Карты с памятью или memory cards являются самыми простейшими из класса СМАРТ-карт. Объем их памяти составляет величину от 32 байт до 16 килобайт. Такие карты делятся на два типа: с защищенной и незащищенной (полный доступ) памятью. Уровень защиты карт памяти выше, поэтому они могут быть использованы в прикладных системах небольших финансовых оборотов.

Карты с микропроцессором или CPU cards представляют собой микрокомпьютеры и содержат все соответствующие основные компоненты. Часть данных операционной системы микропроцессорной карты доступна только её внутренним программам. Также она содержит встроенные криптографические средства. За счёт всего перечисленного подобная карта достаточно защищёна и может быть использована в финансовых приложениях.

Подводя итоги всего вышесказанного можно сказать, что, несмотря на кажущуюся универсальность аппаратных ключей, они все-таки подвержены взлому. Разработчики ключей применяют различные способы для сведения вероятности взлома к минимуму: защита от реассемблирования, трассировки, отладчиков и многое другое. Однако защита от трассировки и отладчиков практически бесполезна, если используется SoftIce.

Аппаратная защита компьютера и информации

Вопрос защиты персональных компьютеров от несанкционированного доступа в сетях различных компаний и особенно банковских структур в последнее время приобретает всё большую популярность. Тенденции роста и развития внутренних ЛВС требуют более новых решений в области программно-аппаратных средств защиты от НСД. Наряду с возможностью удалённого НСД, необходимо рассматривать ещё и физический доступ к определённым компьютерам сети. Во многих случаях эта задача решается системами аудио- и видеонаблюдения, сигнализациями в помещениях, а также правилами допуска посторонних лиц, за соблюдением которых строго следит служба безопасности и сами сотрудники. Но случается по-разному…

Помимо этого, используются средства разграничения доступа пользователей к ресурсам компьютера, средства шифрования файлов, каталогов, логических дисков, средства защиты от загрузки компьютера с дискеты, парольные защиты BIOS и многое другое. Однако есть способы обойти любое из перечисленных средств в зависимости от ситуации и установленной защиты. Осуществляться это может различными путями перехвата управления компьютера на стадии загрузки BIOS или операционной системы, а также ввода на аппаратном уровне дополнительного BIOS. Следовательно, программно реализовать хорошую защиту довольно-таки проблематично. Именно поэтому для предотвращения подобных атак предназначена аппаратная защита компьютера. Такая защита базируется на контроле всего цикла загрузки компьютера для предотвращения использования различных загрузочных дискет и реализуется в виде платы, подключаемой в свободный слот материнской платы компьютера. Её программная часть проводит аудит и выполняет функции разграничения доступа к определённым ресурсам.

Отрицательные аспекты и возможность обхода

Программная часть: обход парольной защиты BIOS состоит в использовании программ, стирающих установки BIOS, или утилит изъятия паролей. В других случаях существует возможность отключения батарейки, что приводит к стиранию паролей BIOS. Изменить настройки BIOS можно, воспользовавшись программой восстановления.

Аппаратная часть: следует учитывать тот факт, что с точки зрения реализации подобной аппаратной защиты, она сама не всегда защищена от ошибок в процессе обработки поступающей информации. Вероятно, многие системные администраторы сталкивались с ситуацией, когда разным устройствам присваиваются одинаковые адреса, что вызывает конфликт на аппаратном уровне и неработоспособность обоих конфликтующих устройств. В этом и заключается один из аспектов обхода такой защиты, методика которого состоит в эмуляции аппаратного конфликта, при котором отключается аппаратная часть защиты и эмулирующее устройство, и появляется возможность несанкционированного доступа к информации. В качестве эмулирующего устройства могут выступать различные сетевые карты, а также многие нестандартные платы.

Возможные решения проблем и предупреждение взлома

Первоочерёдной задачей в этом случае является создание замкнутой операционной среды компьютера, отключение в BIOS возможности загрузки компьютера с дискеты, удаление конфигурационных программ и программ декодирования, отладки и трассировки. Следует также произвести разграничение доступа и осуществить контроль запускаемых приложений даже несмотря на то, что этим занимается программная часть аппаратной защиты.

Специальные защитные устройства уничтожения информации

Решение проблемы безопасности хранения важной конфиденциальной информации было предложено также в виде специальных защитных устройств, назначением которых является удаление информации при попытке изъятия накопителя - форматирование; первоочередная задача в первый момент действия - уничтожение информации с начала каждого накопителя, где расположены таблицы разделов и размещения файлов. Остальное будет зависеть от времени, которое проработает устройство. По прошествию нескольких минут вся информация будет уничтожена и её практически невозможно восстановить.

Вид устройств такого принципа действия представляет собой блок, монтируемый в отсек 3,5" дисковода и имеющий автономное питание. Такое устройство применимо к накопителям типа IDE и включается в разрыв шлейфа. Для идентификации хозяина применяются электронные ключи с длиной кода 48 бит (за 10 секунд на предъявление ключа подбор исключается), а датчики, при срабатывании которых происходит уничтожение информации, выбираются хозяином самостоятельно.

Шифрующие платы

Применение средств криптозащиты является ещё одним способом обеспечения сохранности информации, содержащейся на локальном компьютере. Невозможно использовать и модифицировать информацию в зашифрованных файлах и каталогах. В таком случае конфиденциальность содержащейся на носителе информации прямо пропорциональна стойкости алгоритма шифрования.

Шифрующая плата вставляется в свободный слот расширения PCI или ISA на материнской плате компьютера и выполняет функцию шифрования данных. Плата позволяет шифровать каталоги и диски. Оптимальным является способ шифрования всего содержимого жесткого диска, включая загрузочные сектора, таблицы разбиения и таблицы размещения файловой системы. Ключи шифрования хранятся на отдельной дискете.

Шифрующие платы гарантируют высокую степень защиты информации, но их применение значительно снижает скорость обработки данных. Существует вероятность аппаратного конфликта с другими устройствами.

Аппаратная защита сети

На сегодняшний день многие достаточно развитые компании и организации имеют внутреннюю локальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъемлемой частью жизненного цикла которой является подключение локальной сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет неподконтрольна (в этом несложно убедиться), поэтому компании должны серьезно позаботиться о безопасности своих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уязвимы к неавторизированному доступу и внешним атакам без должной защиты. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall).

Брандмауэры

Брандмауэры существуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отличие от брандмауэров прикладного уровня. Последние направляют специальному приложению-обрабочику все приходящие пакеты извне, что замедляет работу.

Страницы: 1, 2, 3, 4, 5
2012 © Все права защищены
При использовании материалов активная ссылка на источник обязательна.