Аналіз методів кібератак та методів протидії

До апаратних засобів захисту також належать:

криптографічні плати, за допомогою яких дані можна зашифрувати, створити електронний підпис та аутентифікувати користувача;

SunScreen- апаратна система захисту локальних мереж. SunScreen - це спеціалізована системазахисту що вирішує завдання розвиненої фільтрації пакетів, аутентифікації і забезпечення конфіденційності трафіка. SunScreenнемає ІР-адреси, тому він «невидимий»» із зовнішньої мережі і тому не може бути безпосередньо атакований. Пристрій SunScreenмістить п'ятьEthernet-адаптери, доякихможуть приєднуватися чотири незалежних сегменти локальної мережі і комунікаційний провайдер. Для кожногосегмента забезпечуєтьсянастройка індивідуальної політики безпеки шляхом встановлення складного набору правил фільтрації пакетів (за напрямом поширення, за адресами відправника/одержувача, за протоколами і додатками, за часом доби і т. д.).Іншою важливою рисоюSunScreen є підтримка протоколу SКІР, який, з одного боку, використовується для забезпечення безпеки роботи, управління і конфігурування системSunScreen, а з іншого - дозволяє організовувати SКІР-захист користувацького трафіка. В результаті весь трафік між локальними мережами, які захищаються, може виглядати ззовні тільки як повністю шифрований трафік між вузлами SunScreen-пристроями. Вся інформація, яка може бути в цьому випадку доступна зовнішньому спостерігачеві динаміка і оцінка інтенсивності трафіка, яка, зазначимо, може маскуватися шляхом використання стиснення даних і видачі «пустого» трафіка.

Смарт-карти по своєму зовнішньому вигляді зони нічим не відрізняються від звичайних банківських (чіпових. не магнітних) карт. Ці пристрої мають гарні характеристики надійності. У них є власний збудований мікропроцесор, що дозволяє реалізовувати різні алгоритми захисту.

Залежно від виробника захищеність карт міняється. У маленький шматок пластику з чіпом можуть вбудовуватися різнідатчики призначення яких заборона функціонування мікропроцесора при спробі пошкодження пластику. Це можуть бути температурнідатчики, чутливі до механічних впливів - наприклад, до зрізання пластикового впакування для прямого доступу до електроніки. Всяінформація, що зберігається в чіпі, шифрується, щоб фахівцю, що знайде лазівку до вмісту мікросхеми не вдалося її прочитати, принаймі відразу. Є також захист від підбору пароля аж до знищення всіх даних, що знаходяться в чіпі.

Призначені смарт-карти для зберігання особистої інформації, паролів доступу і даних для аутентифікації. Гарні вони тим що, будучидосить компактними, мають такі якості, як довговічність і великий об'єм даних, що можуть зберігати. Для успішної аутентифікації потрібно вставити смарт-карту в зчитувальний пристрій і ввести пароль (PIN-код).

Загалом, смарт-карти - дуже серйозний бар'єр на шляху зловмисника. Це зручний і недорогий засіб для захисту даних. Однак вони мають серйозний недолік - низьку мобільність, оскільки для роботи з ними потрібен зчитувальний пристрій - рідер.

І якщо на настільні комп'ютери встановлення додаткового обладнання особливих ускладнень не викликає, то для ноутбук а „а вже досить серйозна проблема. Але, в принципі, вихід є, і не один. Так, у продажі є рідер, виконаний у форм-факторі флопі-дисковода та спілкується з ноутбуком через його ж інтерфейс. А останнім часом розроблювачі ноутбуків стали вбудовувати в нові моделі пристрої для читання смарт-карт. Природно, що й самі картки йдуть у комплекті.[11]

USB-токен Зовні цей пристрій представляє собою звичайну флешку, але по своїм виконуваним функціям він багато в чому відповідає смарт-карті. Користуватися цими пристроями дуже зручно, оскільки немає необхідності запам'ятовувати безліч паролів і кодів доступу, вся інформація зберігається в USB-токені. Крім того на носії можуть бути цифрові підписи, сертифікати й інша інформація, яку небезпечно зберігати на жорсткому диску ноутбука.

Процес двохфакторної аутентифікації з використанням USB-токенів проходить у два етапи: користувач підключає цей невеликий пристрій в USB-порт комп'ютера й вводить PIN-код. Перевагою даного типу засобів аутентифікації є висока мобільність, тому що USB-порти є на кожній робочій станції й на будь-якому ноутбуці.

При цьому застосування окремого фізичного пристрою, що здатен забезпечити безпечне зберігання конфіденційних даних (ключів шифрування, цифрових сертифікатів тощо), дозволяє реалізувати безпечний локальний або віддалений вхід в обчислювальну мережу, шифрування файлів на ноутбуках, робочих станціях і серверах, керування правами користувача й здійснення безпечних транзакцій.

Крім того, USB-токени більше практичні, ніж смарт-карти. Недоліком же цих токенів є ціна. У середньому смарт-карта коштує у два рази дешевше USB-ключа.

USB-токени з вбудованим чіпом. Від смарт-карт даний тип персонального ідентифікатора відрізняється тільки формфактором. USB-токени з вбудованим чіпом мають всі переваги смарт-карт, пов'язаними з безпечним зберіганням конфіденційних відомостей і здійсненням криптографічних операцій прямо всередині токена, але позбавлені їхнього основного недоліку, тобто не вимагають спеціального зчитувального пристрою. Поліфункціональність токенів забезпечує широкі можливості їхнього застосування - від суворої аутентифікації й організації безпечного ло-кального або віддаленого входу в обчислювальну мережу до побудови на їхній основі систем юридично важливого електронного документообігу, організації захищених каналів передачі даних, керування правами користувача, здійснення безпечних транзакцій й ін.[11]

Біометричні сканери. Додатковий носій - це предмет, що може бути загублений або вкрадений, і із цієї причини значне поширення в сучасних ноутбуках одержали біометричні сканери. Звичайно в ролі «біометричного предмета» використовується відбиток пальця користувача, його неможливо вкрасти й дуже складно підробити. Система настроюється на відбиток пальця власника й при наступному доступі порівнює відскановане зображення з оригіналом, що зберігається. Використання біометричного сканера відбитка пальців дуже просто й у той же час досить надійно. Кращий пароль для входу в систему або ж спосіб шифрування інформації й придумати неможливо.

На сьогоднішній день це самий надійний метод входу з систему. Однак варто знати, що одна наявність сканера не гарантує високого ступеня безпеки вашої інформації. Для ефективного захисту даних біометрична система повинна бути інтегрована в криптосистему.

Комп'ютери зі сканерами відбитка пальця вже випустили такі відомі фірми, як Hewlett-Packard, Acer, Samsungтощо.

Крім відбитка пальця, є й інші біометричні системи. Так, на сьогоднішній день доступний пристрій для сканування райдужної оболонки ока, причому досить компактний. Варте зазначити, що райдужна оболонка ока має високий рівень індивідуальності, а це значить, що не можна зустріти людини з таким же малюнком. Отже, у даного способу дуже високий рівень захисту, значно вищий, ніж при скануванні відбитка пальця, але досить висока ціна.

захист від електромагнітного випромінювання, куди відносяться: використання оптоволоконних кабелів, захисної плівки на вікнах, захищених дисплеїв;

захист від поновлення знищених даних;

захист від підслуховування шляхом: встановлення фільтрів на лініях зв'язку, попередження встановлення підслуховуючих пристроїв, використання звукопоглинаючих покрить, протипідслуховувального зашумлення.

Отже ці та інші апаратні засоби дозволяють нам значно знизити вірогідність проведення кібератаки спрямованої проти нас.

2.2 Програмні засоби захисту даних від кібератак

Окрім апаратних засобів захисту інформації від кібератак існують і програмні, які встановлюються беспосередньо в ОС і не потребують додаткових апаратних частин. Розглянемо деякі зних.



2.2.1 Антивірусні програми

При існуючому різноманітті вірусів і їх мутацій запобігти зараженню може тільки повнофункціональна ант/вірусна система, що має в своєму арсеналі всі відомі технології боротьби з «інфекційними хворобами»: не тільки сканер-поліфаг, але і резидентний, online-монітор, засоби контролю програмної цілісності тз евоистичногс пошуку вірусних сигнатур.

Кожен новий вірус необхідно знайти щонайшвидше (а деякі віруси навмисно довго себе не проявляют», щоб у них було досить часу на розповсюдження). Проблема у тому, ще немає чіткого способу визначити наперед, що при своєму виконанні дана програма проявить вірусоподібну поведінку. Як немає єдиних ліків від усіх хвороб, так немає універсальної «вакцин/ь від усіх видів шкідливого програмного забезпечення. На всі 100% захиститися від вірусів практично неможливо

У такій сфері, як виявлення атак на комп'ютерні системи, процес вдосконалення, нескінченний. Хакери не втомлюються, винаходити все нові схеми проникнення в комп'ютерні системи. Розробники детектуючих додатків, що стоять по іншу сторону барикад, відстежують новинки, що з'являються, і поспішають запропонувати свої контрзаходи. От чому продукти, ще випускаються, вимагають постійної модернізації, і користувачам настійно рекомендується встановлювати оновлені сигнатури, що дозволяють ідентифікувати нові види мережевих атак.

Старе антивірусне програмне забезпечення подібне лікам з минулим терміном придатності - толку від нього мало. Якщо не обновляти файли сигнатур, то ране чи пізно можна опинитися беззахисними проти нових вірусів. Більшість фірм, що розробляють антивіруси, випускають нові файли сигнатур принаймні двічі в місяць або й частіше, якщо з'являється серйозний вірус, Для отримання нових сигнатур зручно користуватися функцією автоматичного оновлення через Web, що є в антивірусному пакеті.

Такі антивірусні продукти, як Norton Antivirus 2000 і McAfeeVirusScan, підтримують найкрупніші дослідницькі групи галузі: відповідно SymantecAntivirus Research Centerі Antivirus EmergencyResponseTeam. Тому Nortonі McAfeeшвидко реагують на загрозу нового вірусу.

Всі основні фірми-постачальники антивірусного забезпечення регулярно і досить часто оновлюють файли сигнатур вірусів, а при появі особливо шкідливого вірусу створюють додатковий екстрений випуск. Ще зовсім недавно вважалося, що сигнатури потрібно оновлювати щомісячно, але в нашу епоху нових вірусів, можливо, буде розумним перевіряти їх щотижня вручну або за допомогою автоматичного оновлення антивірусної програми. В утилітах McAfee, Symantecі TrendMicroдля оновлення достатньо один раз клацнути кнопкою миші.

Певний набір засобів антивірусного захисту присутній у всіх утилітах основних фірм-виробників програмного забезпечення. Серед них: постійний захист від вірусів (антивірусний монітор), перевірка системи за розкладом і оновлення, сигнатур через internet, з також створення аварійної завантажувальної дискети, що дозволяє запустити комп'ютер навіть тоді, коли у нього заражений вірусом завантажувальний сектор (природне, дискету треба створити до того, як вірус потрапив в комп'ютер). Крім цих стандартних засобів, деякі пакети містять «архітектурні надмірності»: наприклад, спеціальний додатковий захист від поштових вірусів (тривога з приводу яких наростає), а таких шкідливих модулів ActiveXІ Java-аплетів. А такі програми, як PandaAntivirusPlatinumі PC-cillin, навіть дозволяють батькам заблокувати доступ дітей до небажаних Web- сторінок.

Оскільки у нових вірусів є нові сигнатури, файли сигнатур необхідно підтримувати в актуальному стані. При виході нової версії антивірусе формат файла сигнатур звичайно міняється, і оновлені сигнатури виявляються несумісними з попередніми версіями програми,

В даний час способи надання антивірусного захисту істотне змінюються. Компанія McAfee.comвиє пропонує перевірку на віруси через Internet s своїй «електронній лікарні» McAfeeClinic(разом з ще декількома видами діагностики). Перевірку віддалених комп'ютерів на віруси здійснює модуль ActiveX, який бере сигнатури з Web-серверу виробника програми.

Популярними й ефективними антивірусними програмами є антивіруси» сканери, монітори, фаги (поліфаги), ревізори. Застосовуються також різного роду блокувальники і іммунізатори (вакцини). Розглянемо характеристики кожного з цих видів програм.

Сканери (scanner).Сканери (детектори) здатні виявити фіксований набір суттєвих вірусів у файловій системі, секторах і системній пам'яті, а потім - негайно видалити більшість з них. Для пошуку вірусів сканери використовують так звані “маски" (або сигнатуру) - деяку постійну послідовність коду, специфічну для конкретного вірусу.

У випадку, якщо вірус не містить у собі постійної маски (наприклад, поліморфік-віруси), використовуються інші методи, засновані на описі всіх можливих варіантів коду на алгоритмічній мові.

У багатьох популярних сканерах (наприклад Антивірус Касперського, DoctorWeb, Norton Antivirus, McAfee, Pgnca Antivir, AntiVir Personal Edition і ін.) застосовується, режим евристичного сканування. Цей режим полягає в тому, що програма не просте шукає віруси, а проводить аналіз послідовності команд у кожному об'єкті, який перевіряється, здійснює набір деякої статистики, згодом приймає ймовірне рішення типу: 'можливо заражений" або "не заражений".

Евристичне сканування являє собою ймовірнісний метод пошуку вірусів, ще, в решті рент, забезпечує можливість визначення невідомих програмі вірусів, але разом з цим збільшує кількість помилкових спрацьо-вувань (повідомлень, знайдених вірусах у файлах, де насправді їх немає).

Основна ідея такого підходу полягає у тому, що евристика спочатку розглядає поведінку програми, а потім зіставляє його з характерним для зловмисної атаки, на зразок поведінки троянського коня. Встановити модель поведінки і ухвалити рішення щодо нього можна за допомогою декількох механізмів. Для того, щоб виявити і визначити всі можливі дії програми, використовують два підходи: сканування і емуляція.

Підхід зі скануванням припускає пошук «поведінкових штампів», наприклад, найтиловіших низькорівневих способів відкриття файлів. Або процедура сканування звичайного виконуваного файла проглядає всі місця, де програма відкриває інший файл, і визначає, якого роду файли вона відкриває і що в них записує.

Другий метод визначення поведінки - емуляція. Такий підхід дещо складніший. Програма пропускається через емулятор Windows або макроемулятор Macintosh або Word з метою подивитися, що вона робитиме. Проте виникають питання, тому що в цьому випадку багато що залежить від поведінки вірусів.

Вся хитрість швидкого розпізнавання полягає в поєднанні двох підходів і отриманні найдокладнішого каталогу поведінкових штампів за можливо коротший час. Для перевірки факту зараження файла вірусом фахівці можуть використовувати різні варіанти штучного інтелекту - експертні системи і нейронні мережі.

Недолік евристичного підходу полягає якраз в його евристичності. Завжди є вірогідність, що надзвичайно підозрілий файл насправді абсолютно нешкідливий. Проте останній евристичний механізм Symantec під назвою Bloodhoundдозволяє знайти до 80% невідомих вірусів виконуваних файлів і до 90% невідомих макровірусів. Варто також помітити, що програми-детектори не дуже універсальні, оскільки здатні знайти тільки відомі віруси. Деяким таким програмам можна повідомити спеціальну послідовність байт, характерну для якогось вірусу, і вени зможуть знайти інфіковані ним файли: наприклад, це вміють NotronAntiVirusабо AVP-сканер.

Різновидом сканерів е спеціалізовані програми, орієнтовані на пошук певного типу або сімейства вірусів, наприклад, трояніе, макровірусів та інших (наприклад, Anti-Trojan. TrojanRemover).

Слід зазначити, що використання спеціалізованих сканерів, розрахованих тільки на макровіруси, іноді буває більше зручним і надійним рішенням для захисту документів MSWordі MSExcel.

Де недоліків сканерів варто віднести тільки те, що вони охоплюють далеко не всі відомі віруси й вимагають постійного відновлення антивірусних баз. З огляду на частоту появи нових вірусів і їх короткий життєвий цикл, для використання сканерів необхідно налагодити одержання свіжих версій не рідше одного- двох разів на місяць. В іншому випадку їхня ефективність істотне знижується.

Монітори. Монітори - це різновид сканерів, які. постійно перебуваючи в пам'яті, відслідковують вірусопсдібні ситуації, які відбуваються з диском і пам'яттю (тобто виконують безперервний моніторинг). Прикладом таких антивірусів може бути програма KasperskyAnti-Virusабо SpiDerGuard.

Де недоліків цих програм можна віднести, наприклад, імовірність виникнення конфліктів з іншим програмним забезпеченням!, як і для сканерів - залежність від нових версій вірусних баз, а також можливість їхнього обходу деякими вірусами.

Фаги (пспіфаги) (scanner/cleaner, scaner/remover).Фаги - це програми, здатні не тільки знаходити, але і знищувати віруси, тобто лікувати «хворі» програми (поліфаг може знищити багато вірусів). До поліфагів відкоситься і така стара програма, як Aidstest, яка знаходить і знешкоджує близько 2000 вірусів.

Основний принцип роботи традиційного фага простий і не є секретом. Для кожного вірусу шляхом аналізу його коду, способів зараження файлів і т.д, виділяється деяка характерна тільки для нього послідовність байтів - сигнатура. Пошук вірусів в простому випадку зводиться до пошуку їх сигнатур (так працює будь-який детектор).

Сучасні фаги використовують інші методи пошуку вірусів. Після виявлення вірусу в тілі програми (або завантажувального сектора, який теж містить програму початкового завантаження) фаг знешкоджує його. Для цього розробники антивірусних засобів ретельно вивчають роботу кожного конкретного вірусу: що він псує, як він псує, де він ховає те, що зіпсує (якщо ховає). В більшості випадків фаг може видалити вірус і відновити працездатність зіпсованих програм. Але необхідно добре розуміти, що це можливо далеко не завжди.

Ревізори. Ревізори - це програми, принцип роботи яких заснований на підрахунку контрольних сум для присутніх на диску файлів і системних секторів.

Гірикпадом такого антивірусу може бути програма ADinf32. Ці контрольні суми потім зберігаються в базі даних антивірусу (у таблицях) разом із відповідною інформацією: довжинами файлів, датами їх останньої модифікації і т.д. При наступному запуску ревізори звіряють відомості, що містяться в базі даних, з реально підрахованими значеннями Якщо інформація про файл, записана в базі даних, не збігається з реальними значеннями, то ревізор попереджає про те, що файл, можливо, був змінений або заражений вірусом.

Ревізори, вміють вчасно виявляти зараження комп'ютера практично кожним з існуючих на сьогодні вірусів, ке допускаючи розвитку епідемії, а сучасні версії ревізора вміють негайно видаляти більшість навіть раніше незнайомих їм вірусів.

До недоліків ревізорів можна віднести те, що для забезпечення безпеки вони повинні використовуватися регулярне. Але безсумнівними їхніми перевагами є висока швидкість перевірок і те, що вони не вимагають частого відновлення версій.

Антиеірусні блокувапьники. Антивіруси! блокувг.пьники ~ це резидентні програми, які перехоплюють небезпечні ситуації, і повідомляють про це користувача (наприклад, AVPOfficeGuard). До ситуацій, що відслідковуються, належать, наприклад, відкриття виконуваних файлів для записування і записування в boot- сектори дисків або MBRвінчестера, спроби програми залишитися резидентною і т.д. До речі, відзначені події характерні для вірусів у моменти їх розмноження.

Блокувальники дозволяють обмежити розповсюдження епідемії, поки вірус не буде знищений. Практично всі резидентні віруси визначають факт своєї присутності в пам'яті машини, викликаючи яке-небудь програмне переривання з «хитрими» параметрами.

Навіть якщо деякі файли на комп'ютері містять в собі код вірусу, при використанні блокувальника зараження всієї решти файлів не відбудеться. Для нормальної роботи такої програми необхідно запустити блокувальник раніше всієї решти програми.[11]

Переваги. Антивірусні програми дозволяють зберігати захист від вірусів будь-якого типу. Контролюють різні способи поширення вірусів.

Недоліки. Потужні антивіруси, зазвичай є платними; для кращого захисту вони потребують постійного оновлення.

2.2.2 Міжмережевий екран

Міжмережевий екран (Мережевий екран, Фаєрвомл, файрвомл англ. Firewall, буквально «вогняна стіна») -- пристрій або набір пристроїв, сконфігурованих, щоб допускати, відмовляти, шифрувати, пропускати через проксі весь комп'ютерний трафік між областями різної безпеки згідно з набором правил та інших критеріїв.

Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).

В залежності від активних з'єднань, що відслідковуються, фаєрволи розділяють на:

stateless (проста фільтрація), які не відслідковують поточні з'єднання (наприклад TCP), а фільтрують потік даних виключно на основі статичних правил;

stateful (фільтрація з урахуванням контексту), з відслідковуванням поточних з'єднань та пропуском тільки таких пакетів, що задовольняють логіці й алгоритмам роботи відповідних протоколів та програм. Такі типи фаєрволів дозволяють ефективніше боротися з різноманітними DDoS-атаками та вразливістю деяких протоколів мереж.

Для того щоб задовольнити вимогам широкого кола користувачів, існує три типи фаєрволів: мережного рівня, прикладного рівня і рівня з'єднання. Кожен з цих трьох типів використовує свій, відмінний від інших підхід до захисту мережі.

Фаєрвол мережного рівня представлений екрануючим маршрутизатором. Він контролює лише дані мережевого і транспортного рівнів (див.Модель OSI) службової інформації пакетів. Мінусом таких маршрутизаторів є те, що ще п'ять рівнів залишаються неконтрольованими. Нарешті, адміністратори, які працюють з екрануючими маршрутизаторами, повинні пам'ятати, що у більшості приладів, що здійснюють фільтрацію пакетів, відсутні механізми аудиту та подачі сигналу тривоги. Іншими словами, маршрутизатори можуть піддаватися атакам і відбивати велику їх кількість, а адміністратори навіть не будуть проінформовані.

Фаєрвол прикладного рівня також відомий як проксі-сервер (сервер-посередник).Фаєрволи прикладного рівня встановлюють певний фізичний поділ між локальною мережею і Internet, тому вони відповідають найвищим вимогам безпеки. Проте, оскільки програма повинна аналізувати пакети і приймати рішення щодо контролю доступу до них, фаєрволи прикладного рівня неминуче зменшують продуктивність мережі, тому в якості сервера-посередника використовуються більш швидкі комп'ютери.

Фаєрвол рівня з'єднання схожий на фаєрвол прикладного рівня тим, що обидва вони є серверами-посередниками. Відмінність полягає в тому, що фаєрволи прикладного рівня вимагають спеціального програмного забезпечення для кожної мережевої служби на зразок FTP або HTTP. Натомість, фаєрволи рівня з'єднання обслуговують велику кількість протоколів.

Переваги. Дозволяє фільтрувати мережевий трафік, запобігає проникненню вірусів через Інтернет.

Недоліки. Досить хороші і потужні фаєрволи є платними і не дозволяють контролювати поширення вірусвіз змінних носіїв інформації.

2.2.3 Шифрування даних

Для захисту інформації у мережі також використовується шифрування. В основу шифрування покладено два елементи: криптографічний алгоритм і ключ. кібератака черв'як несанкціонований шифрування

Криптографічний алгоритм - математична функція, яка комбінує відкритий текст або іншу зрозумілу інформацію з ланцюжком чисел (ключем) з метою отримати незв'язний (шифрований) текст Новий алгоритм важко придумати, але один алгоритм можна використовувати з багатьма ключами. Існують ще спеціальні криптографічні алгоритми, які не використовують ключів.

Шифрування з ключем має дві переваги.

Новий алгоритм шифрування описати важко, і навряд чи хтось захоче це робити щоразу під час відправлення таємного повідомлення новому респонденту. Використовуючи ключ, можна застосовувати той самий алгоритм для відправлення повідомлень різним людям. Головне - закріпити окремий ключ за кожним респондентом.

Якщо хтось «зламає» зашифроване повідомлення, щоб продовжити шифрування інформації, достатньо лише змінити ключ. Переходити на новий алгоритм не потрібно (якщо був «зламаний» ключ, а не сам алгоритм). Чим більше комбінацій, тим важче підібрати ключ і переглянути зашифроване повідомлення.

Надійність алгоритму шифрування залежить від довжини ключа.

Довжина ключа - кількість біту ключі, яка визначає число можливих комбінацій.

Основні види алгоритмів шифрування - симетричні й асиметричні. Симетричні методи шифрування зручні тим, що для забезпечення високого рівня безпеки передачі даних не потрібно створення ключів великої довжини. Це дозволяє швидко шифрувати і дешифрувати великі обсяги інформації. Разом з тим, і відправник, і одержувач інформації володіють одним і тим же ключем, що робить неможливим аутентифікацію відправника. Крім того, для початку роботи із застосуванням симетричного алгоритму сторонам необхідно безпечно обмінятися секретним ключем, що легко зробити при особистій зустрічі, але дуже важко при необхідності передати ключ через будь-які засоби зв'язку.

Принципово новий підхід до здійснення електронних платежів сьогодні полягає в негайній авторизації і шифруванні фінансової інформації в мережі Інтернет з використанням протоколів SSL (SecureSocketsLayer) та SET (SecureElectronicTransaction). Протокол SSLприпускає шифрування інформації на канальному рівні, а протокол SET, розроблений компаніями VISA, MasterCardта інші, - шифрування виключно фінансової інформації. Оскільки мережа Інтернет розрахована на одночасну роботу мільйонів користувачів, то в комерційних додатках «у чистому вигляді» неможливо використовувати ні традиційні системи, засновані виключно на «закритих ключах» (DES, ГОСТ 28147-89 та ін.), ні методи шифрування тільки на «відкритих ключах», в тому числі і російський стандарт електронного підпису.

Для безпеки електронної комерції розроблено низку протоколів і програмних застосувань, які називаються криптографічні методики. Крім того, всупереч думці про Інтернет як про ненадійний носій інформації через його децентралізацію, трансакції тут можуть бути добре захищені шляхом використання багатьох стандартів, які охоплюють усі рівні мережі - від пакета даних до програмного застосування. Стандарти забезпечують захист сполучень і програмних застосувань.

Застосування одних закритих ключів неможливо у зв'язку з тим, що розкриття (перехоплення) навіть одного ключа відразу ж приведе до «злому» усієї системи захисту. Тому при реалізації електронної комерції в Інтернет разом з системами шифрування за допомогою закритих ключів використовуються системи шифрування за допомогою відкритих ключів. Це пов'язано з тим, що шифрування лише відкритими ключами вимагає великих витрат обчислювальних ресурсів. Тому краще всього шифрувати інформацію, передану по мережах, за допомогою закритого ключа, який генерується динамічно та передається іншому користувачу зашифрованим з допомогою відкритого ключа. Така система шифрування буде працювати і швидше, і надійніше.

Також для захисту інформації використовують протоколи. Ці протоколи можна класифікувати відповідно до того, що саме вони захищають - сполучення чи програми. S-HTTP - захищений HTTP-протокол, розроблений компанією Enterprise IntegrationTechnologies(EIT) спеціально для Web. Він дає змогу забезпечити надійний криптозахист тільки для НТТР-документів web-сервера. Його використання неможливе для захисту інших прикладних протоколів (FTP, TELNET, SMTPтощо). S-HTTPпризначений насамперед для підтримки протоколу передачі гіпертексту (HTTP), забезпечує авторизацію і захист web-документів. SSL- розробка компанії Netscape- пропонує ті ж самі засоби захисту, але для комунікаційного каналу.

Канал - лінія зв'язку між двома вузлами мережі або вузлом і одним з його абонентів.

За SSLкодування інформації здійснюється на рівні порту.

Порт - ідентифікаційний номер, який відповідає кожному програмному застосуванню або процесу, що використовують базовий протокол InternetTCPяк транспортний.

Захист електронної пошти. Для захисту електронної пошти в Інтернет існує безліч різноманітних протоколів, але лише кілька з них поширені.

РЕМ (PrivacyEnhancedMail). Це стандарт Інтернет для захисту електронної пошти з використанням відкритих або симетричних ключів. Він застосовується усе рідше, оскільки не призначений для оброблення нового МІМЕ-формату електронних повідомлень і вимагає жорсткої ієрархії сертифікаційних центрів для видачі ключів.

S/MIME. Відносно новий стандарт, у якому задіяно багато криптографічних алгоритмів, запатентованих і заліцензійованих компанією RSADataSecurityInc, S/MIMEвикористовує цифрові сертифікати і, отже, при забезпеченні автентифікації спирається на використання сертифікаційного центру.

PGP (PrettyGoodPrivacy), Це родина програмних продуктів, які використовують найстійкіші криптографічні алгоритми. В їх основу покладено алгоритм RSA, PGPреалізує технологію, відому як криптографія з відкритими ключами, яка дає змогу обмінюватися зашифрованими повідомленнями і файлами каналами відкритого зв'язку без наявності захищеного каналу для обміну ключами, а також накладати на повідомлення й файли цифровий підпис.

Переваги. Цей метод дозволяє ефективно зберігати конфіденційність інформації, не потребує додаткових коштів.

Недоліки. Існує велика скаладність при розшифровуванні інформації, проблема шифрвання ключів.

Висновок. В цьому розділі ми розглянули основні засоби захисту інформації від кібератак. Вияснили, що існують апаратні і програмні засоби захисту. Провели детальний аналіз кожного способу захисту і виділели недоліки і переваги кожного із них.



3.АЛГОРИТМ ЗАХИСТУ ВІД DOS-АТАК

3.1 Розробка алгоритму

В зв'язку значним розвитком мережі Інтернет, з'явилося багато бажаючих, які намагаються різними методами нашкодити користувачам цієї глобальної мережі. Таким чином з'явився такий тип атаки, як Dos-атака.Одним із найпоширеніших методів нападу є насичення атакованого комп'ютера або мережевого устаткування великою кількістю зовнішніх запитів (часто безглуздих або неправильно сформульованих) таким чином атаковане устаткування не може відповісти користувачам, або відповідає настільки повільно, що стає фактично недоступним.

Захисні заходи зазвичай включають:

збільшення черги «напіввідкритих» tcp-з'єднань;

зменшення часу утримання «напіввідкритих» з'єднань:

включення механізму TCP syncookies;

обмеження максимального числа «напіввідкритих» з'єднань з одного IPдо конкретного порту.

Для дипломної роботи я вирішим створити алгоритм,який допоможе відсторонитися від такого типу загрози. Суть цього алгоритму полягає в наступному:

Адміністратор або користувач в невеличкій панелі вказує кількість записів часу зверення до сервера та мінімально дозволений інтервал між всіма ними з точністю до мсек.І якщо перевищується інтервал часу між N записами,то ip блокується через .htaccess

Наприклад:

Кількість записів: 5

Інтервал: 0.5

Між 5 записами часу звернення до сервера перевіриться інтервал і якщо він скрізь буде менше 0.5 сек.,то IP користувача блокується записом в .htaccess, видаючи користувачеві з цим IP помилку 403,що значно знижує навантаження на сервер/хост.

Працює на файлах,звернення пишуться в окремі файли для кожного IP.

Якщо IP попадає в файл блокування,то файл логування для нього видаляється,щоб не засмічувати пам'ять.

Для кращого розуміння алгоритму складемо блок-схему. Блок-схема алгоритму показана на рис.5.

Рис.5 Алгоритму головного модуля

Новизною цього алгоритму є те що він автоматично поширюється на кожного користувача комп'ютерної системи і не дозволяє йому здійснювати багато запитів до сервера,щоб не перевантажувати його. Подібним чином працюють і брендмаувери і фаєрволи, проте вони здійснють повний контроль трафіка в мережі, що значно зменшує продуктивність комп'ютера і навантажує його ресурси. А даний алгоритм забезпечує той самий ефект захисту потребуючи менше ресурсів.

3.2 Реалізація алгоритму

Після скаладання алгоритму захисту нам необхідно його реалізувати на мові програмування. В нашому випадку ми використаємо об'єктно-орієнтовану мову «PHP». Код програмного модуля складатиметься з двох частин. Перша частина являтиме собою форму користувача, а друга, безпосередньо алгоритм захисту. Розглянемо першу частину детально.

<?php

(string) $MyPassword = 'VTrim';

if($_GET['password']) {

if($MyPassword == $_GET['password']) {

if($_POST['save'])

{

(int)$interv = (float)$_POST['interv'];

(int)$lim = (int)$_POST['lim'];

file_put_contents($_SERVER['DOCUMENT_ROOT'].'/ip_admin/interv.dat',$interv);

file_put_contents($_SERVER['DOCUMENT_ROOT'].'/ip_admin/lim.dat',$lim);

echo 'Дані збережені!<br>';

}

echo '<form method="POST">

Дозволенийінтервалміжзапитами:

<br>

<input type="text" name="interv" value="'.file_get_contents('interv.dat').'"> сек.

<br>Ліміт запитів для перевірки:<br>

<input type="text" name="lim" value="'.file_get_contents('lim.dat').'">

<br>

<input type="submit" name="save" value="Зберегти">';

}

else

{

echo 'Невірний пароль!';

}

}

else

{

echo '<table width=20% border=1><td>

<form method="GET">

Введіть пароль: <input type="password" name="password">

<input type="submit" value="Увійти">

</form>

</td></table>';

}

?>

Даний код являє собою форму користувача. Тут користувач може вводити кількість максимальних запитів, дозволених здійснювати з даної ІР-адреси, а також інтервал між запитами.

Далі розглянемо код алгоритма захисту.

<?php

define('_ROOT_',$_SERVER['DOCUMENT_ROOT']);

define('_IP_',$_SERVER['REMOTE_ADDR']);

define('_INTERV_',file_get_contents(_ROOT_.'/ip_admin/interv.dat'));

file_exists(_ROOT_.'/ip_logs/'._IP_.'.dat') || file_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',null);

(array) $lIP = file(_ROOT_.'/ip_logs/'._IP_.'.dat');

(int) $cIP = count($lIP);

if($cIP >= file_get_contents(_ROOT_.'/ip_admin/lim.dat'))

{

for($i=0; $i<$cIP; ++$i)

{

(string) $cVal .= round(($lIP[$i+1] - $lIP[$i]),4) < _INTERV_ ? 'd' : 'n';

}

(string) $nVal = substr($cVal,0,strlen($cVal)-1);

if(!strstr($nVal,'n'))

{

file_put_contents(_ROOT_.'/.htaccess',PHP_EOL.'deny from '._IP_.PHP_EOL,FILE_APPEND);

unlink(_ROOT_.'/ip_logs/'._IP_.'.dat');

exit('Ваш IP заблоковано!');

}

file_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',null);

}

file_put_contents(_ROOT_.'/ip_logs/'._IP_.'.dat',microtime(true).PHP_EOL,FILE_APPEND);

?>

Цей алгоритм виконується коли відбувається перевищення заданих запитів і інтервалів між ними. В результаті ІР-адреса з якої відбуваються перевищення блокується і записується у файл із заблокованими ІР, а користувач отримує помилку 403. Завдяки цьому, зловмисник, який проникнув на віддалений комп'ютер не зможе використовувати його для проведення DOS-атаки.

Розглянемо приклад виконання програми з вхідними даними. Скріншот програми показаний на рисунку 6.

Рис.6. Скріншот програми

Після введення даних, якщо все добре ми зможемо користуватися комп'ютером і відправляти запити до сервера. Якщо ж ліміт запитів буде перевищувати заданий, то ми отримуємо повідомлення що наш ІР заблоковано. (див. рис.7)

Рис.7. Вікно блокування



ВИСНОВОК

В результаті виконання дипломної роботи можна зробити тереотичні та практичні висновки.

В ході розвитку інформаційних технологій і поширення мережі інтернет значно знизилась безпека особистих даних. З кожним роком збільшується кількість кібератак спрямованих, як на великі посадові особи. Так і на простих користувачів мережі. Ці події значно знижують рівень конфіденційності даних і породжує до великих матеріальних і моральних втрат. На сьогоднішій час існує чимало дієвих методів здійснення кібератак, які дозволяють спрямовувати злочини не тільки проти незахищених користувачів, а навіть проти цілої держави, цим самим завдаючи її великих збитків.

При дослідженні алгоритмів захисту від здійснення комп'ютерних злочинів, було виявлено, що вони хоч і дозволяють в деяких випадка запобігти втраті даних, проте вони не дають 100-відсоткової гарантії захисту від кібератак.

В ході виконання роботи, мною було, також розроблено власний алгоритм запобігання здійснення DOS-атак. Суть методу базується на обмеженні кількості запитів звернення до сервера і їх інтервалі.

Отже, можна зробити висновок, що кібератаки є досить потужним і поширеним видом злочину в світі і не існує стовідсоткового захисту від нього.



ЛІТЕРАТУРА

Беляков К. Інформація організаційно-правової сфери /К.Беляков // Право України. -- 2004. --№ 6. -- С. 88-92.

Климчук С. Загальна характеристика законодавства про інформаційну безпеку ЄС, США та Канади / С.Климчук // Юстініан, 2006. -- № 11. --132

Климчук С. Проведення порівняльного аналізу законодавства у сфері інформації з обмеженим доступом України та країн-членів НАТО / С.Климчук // Юстиніан, 2007. -- №4. --

Российское законодательство в области защиты информации.

Федеральний Закон «Об информации, информатизации и защите информации», от 25.01.1995г.

Закон Российской Федерации «Об участии в международном информационном обмене» от 5.06.1996 г. N 85-ФЗ.

Постановление Правительства РФ «О сертификации средств защиты информации», от 6.06.1995 г. № 608.

PHP i JavaScript - СПб.:Питер, 2011. - 496 с.

Таллинский учебник по международному законодательству применимому к кибервойне - Майкл Шмитт. - 257 с.

Размещено на Allbest.ru