Professional Documents
Culture Documents
4 лаб
4 лаб
ЗВІТ
З ЛАБОРАТОРНОЇ РОБОТИ №4
“ Аналіз ризиків та розробка політики безпеки для інформаційних даних.
Критерії криптостійкості інформації ”
Перевірив
викл.каф.ЗІ___________Маліновський В.І.
___________2021 р.
Вінниця – 2021р.
Мета роботи
Опановування базових прийомів захисту даних, основ політик безпеки
системи і команд, основних інструментів операційних систем зрозуміти
концепцію надійних даних та паролів, надійності роботи інформаційних
систем.
Теоретичні відомості
Криптостійкість паролів.
Інформація з погляду інформаційної безпеки володіє наступними
показниками властивостей:
• конфіденційність – гарантія того, що конкретна інформація доступна тільки
тому колу осіб, для кого вона призначена; порушення цієї категорії
називається розкраданням або розкриттям інформації;
• цілісність – гарантія того, що інформація зараз існує в її початковому
вигляді, тобто при її зберіганні або передачі не було проведено
несанкціонованих змін; порушення цієї категорії називається фальсифікацією
повідомлення;
• аутентичність – гарантія того, що джерелом інформації є саме та особа, яка
заявлена як її автор; порушення цієї категорії також називається
фальсифікацією, але вже автора повідомлення;
• апелюємість – досить складна категорія, але часто вживана в електронній
комерції – гарантія того, що при необхідності можна буде довести, що
автором повідомлення є саме заявлена людина, і не може бути ніхто інший;
відмінність цієї категорії від попередньої в тому, що при підміні автора,
хтось інший намагається заявити, що він автор повідомлення, а при
порушенні апелюємості – сам автор намагається "відхреститися" від своїх
слів, підписаних їм одного разу.
Відносно інформаційних систем застосовуються інші категорії показників:
• надійність – гарантія того, що система поводиться в нормальному і
позаштатному режимах так, як заплановано;
• точність – гарантія точного і повного виконання всіх команд;
• контроль доступу – гарантія того, що різні групи осіб мають різний доступ
до інформаційних об'єктів, і ці обмеження доступу постійно виконуються;
• контрольованість – гарантія того, що у будь-який момент може бути
проведена повноцінна перевірка будь-якого компоненту програмного
комплексу;
• контроль ідентифікації – гарантія того, що клієнт, підключений в даний
момент до системи, є саме тим, за кого себе видає;
• стійкість до навмисних збоїв – гарантія того, що при навмисному внесенні
помилок в межах наперед обумовлених норм система поводитиметься так, як
обумовлено наперед.
Кожен користувач, перш ніж здійснювати які-небудь дії в комп'ютерній
системі, повинен ідентифікувати себе. У свою чергу, система повинна
перевірити достовірність особи користувача, тобто що він є саме тим, за кого
себе видає. Стандартним засобом перевірки достовірності аутентифікації -
пароль, хоча у принципі можуть використовуватися також особисті картки,
біометричні пристрої (сканування рогівки ока або відбитків пальців) або їх
комбінація унікальних персональних параметрів.
Перебір паролів по словнику був якийсь час однією з найпоширенішої
техніки підбору паролів. Нині, як хоч найменший результат пропаганди
інформаційної безпеки, він став складати свої позиції. Хоча розвиток
швидкодії обчислювальної техніки і все більш складні алгоритми складання
слів-паролів не дають "загинути" цьому методу. Величезне число інцидентів
із зламуваннями систем примусило користувачів додавати до слів 1-2 цифри
з кінця, записувати першу і/або останню літеру у верхньому регістрі, але це
збільшило час на перебір варіантів з врахуванням зростання швидкодії ЕОМ
всього у декілька разів. Так в 1998 році було офіційно заявлено, що навіть
складання двох цілком не зв'язаних осмислених слів підряд, не дає наскільки
або реальної надійності паролю. До цього ж часу набули широкого
поширення мови складання паролів, що записують в абстрактній формі
основні принципи складання паролів середньостатистичними користувачами
ЕОМ. Існує ціла область знань, що розглядає питання аутентифікації, і
зокрема, проблеми пов'язані з паролями. Наприклад, обговорюються
необхідність і періодичність зміни паролів користувачами, вимоги до
забезпечення секретності паролів, необхідність використання машинно
згенерованих (а не вибраних вручну) паролів, використання комбінованих
паролів (звичайного введення символів плюс біометричні технології або
введення смарт - карт), необхідність надання користувачу деякої
реєстраційної інформації (дати і часу останнього входу в систему і т.п.) і ін.
У цій лабораторній роботі не розглядатимуться методи отримання паролів
на основі методів соціальної інженерії, які спрямовані на здобування паролів
або інформації, що дозволяє отримати пароль методом відмінним від методу
прямого перебору. Однак, безумовно, однією з основних вимог є достатня
криптостійкість паролів, що не дозволяє системам зламування паролів за
відносно невеликий час розітнути пароль. Криптостійкість паролів
визначається кількістю символів пароля (що звичайно вводяться з
клавіатури), використовуваними наборами символів і кількістю наборів.
Можна виділити наступні набори символів:
• заголовні (прописні) латинські літери;
• рядкові латинські літери;
• цифри;
• спеціальні символи, розділові (наприклад № % « ! ) знаки.
Чим більше символів містить пароль, і чим більша кількість
використовуваних наборів символів, тим довше виконуватиметься злом
пароля і тим вище криптостійкість пароля. При створенні пароля необхідно
враховувати, що системи злому паролів шляхом перебору часто
використовують словники, що містять слова тієї або іншої мови. Тому
використання паролів у вигляді слів природної мови знижує їх
криптостійкість. Крім того, криптостійкій пароль, створений з урахуванням
приведених вище рекомендацій, складно запам'ятати, і тому велика спокуса
його фіксації на папері, що в свою чергу, різко підвищує ймовірність
розкрадання пароля і реалізацію несанкціонованого доступу. Для створення
одночасно і криптостійкого пароля, що запам'ятовується, рекомендується:
• набирати пароль на іншій розкладці клавіатури;
• використовувати замість літер інші схожі спеціальні символи, наприклад
замість S - $, замість l - 1, замість K - |< і т.д.
Наступною модифікацією підбору паролів є перевірка паролів, що
встановлюються в системах за умовчанням. В деяких випадках адміністратор
програмного забезпечення, проінсталювавши або одержавши новий продукт
від розробника, не спромагається перевірити, з чого складається система
безпеки. Як наслідок, пароль, встановлений у фірмі розробнику за
умовчанням, залишається основним паролем в системі. У Internet можна
знайти величезні списки паролів за умовчанням практично до всіх версій
програмного забезпечення, якщо вони встановлюються на ньому
виробником. Основні вимоги до інформаційної безпеки, засновані на аналізі
даного методу, наступні:
1. Вхід всіх користувачів в систему повинен підтверджуватися введенням
унікального для клієнта пароля.
2. Пароль повинен ретельно підбиратися так, щоб його інформаційна ємкість
відповідала часу повного перебору пароля. Для цього необхідно детально
інструктувати клієнтів про поняття "простій до підбору пароль", або
передати операцію вибору пароля у ведення інженера по безпеці.
3. Паролі за умовчанням повинні бути змінені до офіційного запуску системи
і навіть до прилюдних випробувань програмного комплексу. Особливе це
відноситься до мережевого програмного забезпечення.
4. Всі помилкові спроби увійти до системи повинні враховуватися,
занотовуватися у файл журналу подій і аналізуватися через "розумний"
проміжок часу. Якщо в системі передбачена можливість блокування клієнта
або всієї системи після певної кількості невдалих спроб входу, цією
можливістю необхідно скористатися.
Така можливість є основним бар'єром до підбору паролів повним
перебором. Розумно блокувати клієнта 3-їй підряд неправильної спроби
набору пароля, і, відповідно, блокувати систему: K=max(int(N*0.1*3)+1, 3)
(1) невдалих спроб входу за деякий період (годину, зміну, добу). У цій
формулі (1) N - середня кількість тих клієнтів, що підключаються за цей
період до системи, 0.1 - 10%-ова межа "забудькуватості пароля",
3 - ті ж самі три спроби на пригадування пароля. Інформація про блокування
клієнта або системи повинна автоматично надходити на пульт контролю за
системою.
5. У момент відправки пакету підтвердження або відкидання пароля в системі
повинна бути встановлена розумна затримка (2-5 секунд). Це не дозволить
зловмиснику, потрапивши на лінію з добрим зв'язком до об'єкту атаки
перебирати по сотні тисяч паролів за секунду.
6. Всі дійсні в системі паролі бажано перевіряти сучасними програмами
підбору паролів, або оцінювати особисто адміністратору системи.
7. Через певні проміжки часу необхідна примусова зміна пароля у клієнтів.
Найбільш часто використовуваними інтервалами зміни пароля є рік, місяць і
тиждень (залежно від рівня конфіденційності інформації і частоти входу в
систему).
8. Всі невживані протягом довгого часу імена реєстрації повинні
переводитися в закритий (недоступне для реєстрації) стан. Це відноситься до
співробітників, що знаходяться у відпустці, хворіють, у відрядженні, а також
до імен реєстрації, створених для тестів, випробувань системи і т.п.
9. Від співробітників і всіх операторів терміналу необхідно вимагати суворе
нерозголошування паролів, відсутність яких-небудь взаємозв'язків пароля з
широковідомими фактами і даними, і відсутність паперових записів пароля
"із-за поганої пам'яті", як одна із частин складових політики безпеки.
Наступною по частоті використання є методика отримання паролів з самої
системи. Проте тут вже немає можливості дати які-небудь загальні
рекомендації, оскільки всі методи атаки залежать тільки від програмної і
апаратної реалізації конкретної системи. Основними двома можливостями
з'ясування пароля є несанкціонований доступ до носія, що містить їх, або
використання недокументованих можливостей і помилок в реалізації
системи. Отримання доступу до паролів завдяки недокументованим
можливостям систем зустрічається в даний час украй рідко. Раніше ця
методика використовувалася розробниками набагато частіше в основному в
цілях відладки, або для екстреного відновлення працездатності неприємності
з програмним забезпеченням.. Наступною поширеною технологією
отримання паролів є копіювання буфера клавіатури у момент набору пароля
на терміналі. Цей метод використовується рідко, так для нього необхідний
доступ до термінальної машини з можливістю запуску програм. Але якщо
зловмисник все-таки отримує подібний доступ, дієвість даного методу дуже
висока:
1. Робота програми-перехоплювача паролів (так званого "троянського коня")
на робочій станції непомітна.
2. Подібна програма сама може відправляти результати роботи на заздалегідь
задані сервера або анонімним користувачам, що різко спрощує саму
процедуру отримання паролів хакером, і утрудняє пошук і доказ його
провини. Наприклад, широкого поширення набула подібна троянська
програма, що підписується до архівів, що власнорозпаковуються. Двома
основними методами боротьби з копіюванням паролів є:
1. Адекватний захист робочих станцій від запуску невідомих програм:
а) відключення змінних носіїв інформації (гнучких дисків);
б) спеціальні драйвера, блокуючи запуск здійснимих файлів без відома
оператора, або адміністратора; в) монітори, що повідомляють про будь-які
зміни системних настройок і списку програм, що автоматично запускаються;
5000000
4000000
Ряд 1
3000000 Ряд 2
Ряд 3
Ряд 4
2000000
1000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
Графік2
70000
60000
50000
40000
Ряд 1
Ряд 2
30000 Ряд 3
Ряд 4
20000
10000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
20000000
15000000
Ряд 1
Ряд 2
10000000 Ряд 3
Ряд 4
5000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
Графік2
10000000
9000000
8000000
7000000
6000000
Ряд 1
5000000 Ряд 2
4000000 Ряд 3
Ряд 4
3000000
2000000
1000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
1.6 Повторюємо для 2 рядкових паролів з рядковими , заголовними буквами і
цифрами, дані заносимо до таблиці
1.7 Повторюємо дослідження для 3,4,5 рядкових , заголовних латинських
символі і цифрами ,дані заносимо до таблиці
№п/п Набір Довжина К-сть Час Швидкість
символів пароля перебраних перебору перебору
паролів млСек.
1 L1 2 457 103 4436
2 L2v 3 49585 9540 5197
3 Ban4 4 582981 110725 5265
4 Y1v0H 5 3213879652 5ч21хв24с 14926
Графік 1
3500000000
3000000000
2500000000
2000000000
Ряд 1
Ряд 2
1500000000 Ряд 3
Ряд 4
1000000000
500000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
Графік2
25000000
20000000
15000000
Ряд 1
Ряд 2
10000000 Ряд 3
Ряд 4
5000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
1.7 Повторюємо для 2 рядкових паролів з рядковими , заголовними буквами ,
цифрами та спеціальними знаками , дані заносимо до таблиці
1.8 Повторюємо дослідження для 3,4,5 рядкових , заголовних латинських
символі , цифрами та спеціальними знаками ,дані заносимо до таблиці
№п/п Набір Довжина К-сть Час Швидкість
символів пароля перебраних перебору перебору
паролів млСек.
1 L* 2 729 231 3155
2 L2$ 3 57497 10949 5251
3 A1#e 4 189153 35646 5306
4 Z1^0h 5 221387965237 10ч46хв39с 15369
Графік 1
250000000000
200000000000
150000000000
Ряд 1
Ряд 2
100000000000 Ряд 3
Ряд 4
50000000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
Графік 2
45000000
40000000
35000000
30000000
25000000 Ряд 1
Ряд 2
20000000
Ряд 3
Ряд 4
15000000
10000000
5000000
0
початок 2 символи 3 символи 4 символи 5 символі кількість
символів
700000
600000
500000
200000
100000
0
початок 10000 20000 30000 50000 час
350000
300000
250000
100000
50000
0
початок 5000 10000 15000 23000 час
2.3 Політика безпеки для спорідненого користувача
1)Кожен споріднений користувач повинен пройти процедуру аутентифікації.
2)Аутентифікація буде проходити на основі сертифікації.
3)Кожний користувач буде мати доступ тільки до тієї інформації ,яка йому
необхідна для роботи (Доступ до іншої інформації надається після згоди
адміністратора).
4)Користувач не повинен заходити на свою пошту , або в свої соц.мережі з
даного комп’ютера.
5)Забороняється завантажувати файли з інтернету, без відома адміністратора.
6)Кожний користувач потрібний бути освідомлений як поводитись при
кібератаці:
-від’єднати комп’ютер від мережі
-ні в якому разі не виключати комп’ютер
-не вводити ніякі дані в комп’ютер
7)Користувач НЕ МАЄ ПРАВА вставляти різні носії інформації в свій
робочий комп’ютер(на кожному пристврої повинен бути встановлений
драйвер , який буде блокувати підключення зовнігніх носіїв інформації).
8)Споріднений користувач повинний бути досвідченим користувачем , і мати
розуміння , як працює мережа.
9)Споріднений користувач не має право робити сторонні дії , які не входять в
його обов’язки.
10)Якщо певний акаунт не використовується , він повинний перейти у
закритий режим.
11)Один раз в тиждень потрібно проводити повну перевірку системи
антивірусами.
netstat
Tracert
3.1 Відкриваємо сайти google.com.ua
3.2
А)Здійснюємо пошук двох картинок 1-оманлива 2- достовірного змісту
B)Здійснюємо перевірку інформації у іншій пошуковій системі з іншою
назвою
На першій картинці ми бачимо оманливий змість , який научно не доказаний.
В свою чергу на другій картинкі ми бачимо справжню інформацію
опубліковану з офіційного і провіреного сайту.
Приклади потенційно небезпечного контенту :
а)Якщо наповнення визиває у вас різкі почуття ненависті , або здивування, то
зміст цього контенту в більшості випадках оманливий
3.2Виведемо
1)Недостовірну інформацію
2)Оманливу інформацію
2)
3)
Висновок
На цій лабораторній роботі я ознайомився з програмою Advenced ZIP
Password , яка призначенна для підбору паролю до zip-архвів. На основі цієї
програми ми переконалися в тяжкості підбору паролю методом грубої сили
або методом словником при умовах як :використання великих
літер,використання цифр використання спеціальних символів,
збільшення довжини паролю (якщо використовувати вищезгадані умови)
Найскладнішим для підбору був пароль , в якому використовувались великі ,
малі літери , цифри , спеціальні символи , при довгому паролі.
Найлегшим був короткий пароль з малих літер.
Також створили політику безпеки для певної мережі , яка буде
використовуватись для захисту данних мережі. Використавщи команди ping,
tracert ,route досліджували мережу. В мережі інтернет дослідили достовірну ,
недостовірну і оманливу інформацію , навчились находити її та перевіряти на
правдивість за допомогою веб-утилітів та деяких методів , а саме:
здійснив пошук у веб-браузері і перевірив дату та час публікації , зрівняв з
іншими джерелами, дізнатися ким були створення дані, перевірити чи міг
автор опинитися на місці події, перевірити чи є схожі дані у інших джерелах,
чи можна знайти дане місце ні Google map,чи говорять люди мовою
притаманою тому регіону, чи підтверджують джерела даних їх
достовірність.