|
Безопасность
ActiveX
ActiveX — это технология,
разработанная Microsoft и
позволяющая программисту
написать программу для
Windows (называемую control — «орган
управления»), которая
может распространяться
через Интернет и
запускаться на удаленном
компьютере. Если вы
работаете с Web, используя
броузер, поддерживающий
ActiveX, то можете
столкнуться с органами
управления ActiveX, просто
щелкнув по ссылке Web. Таким
образом, органы
управления ActiveX имеют
сходство с апплетами (небольшими
специализированными
программами), написанными
на языке Java. Однако Java-апплеты
работают только в
специальной безопасной
среде, ограничивающей
возможности аплетов. Для
органов управления ActiveX
специальной среды не
требуется. Поэтому орган
управления ActiveX может
выполнять все что угодно.
Таким образом, появляется
возможность писать более
мощные и полезные органы
управления ActiveX, чем Java-апплеты.
С другой стороны,
технология ActiveX создает
угрозу безопасности.
Например, нет ничего, что
могло бы препятствовать
какому-нибудь
злоумышленнику написать
вредоносный орган
управления ActiveX (скажем,
дающий команду стереть
все файлы на компьютере),
установить этот орган
управления у себя на Web-сайте
и ждать, когда ничего не
подозревающие люди
щелкнут по нему. В
качестве решения этой
проблемы Microsof предложила
создать систему
регистрации, позволяющую
вашему броузеру
идентифицировать и
удостоверять орган
управления ActiveX перед тем,
как скачать его. После
этого вы можете решать,
позволять ли органу
управления исполнить
записанную в нем команду.
Многим людям кажется, что
ActiveX — небезопасная в
своей основе технология, и
что система регистрации —
недостаточно надежное
средство защиты. (Лично я с
этим согласен.) Здесь
приводится несколько
ресурсов, включая
официальную линию Microsoft,
чтобы помочь вам изучить
этот важный вопрос.
Web:
http://microsoft.com/security/tech/misf8.htm
http://www.halcyon.com/mclain/ActiveX/
http://www.microsoft.com/security/seccon.htm
http://www.windowatch.com/security.html
Безопасность
Java
Java — язык
программирования,
используемый для
написания программ,
которые хранятся на Web-сервере,
перекачиваются по Сети и
выполняются на удаленном
компьютере. Каждый раз,
когда вы используете Web
для вызова программы,
написанной на Java, она
автоматически
пересылается и
запускается на вашем
компьютере. Как нетрудно
догадаться, эксперты,
работающие с Java, озабочены
потенциальными
проблемами, связанными с
безопасностью. В конце
концов, люди во всем мире
пользуются броузерами,
которые автоматически
скачивают и запускают
программы на Java.
Теоретически Java открывает
перед пользователями
большие перспективы,
однако на практике все это
хорошо работает лишь при
отсутствии внешних угроз
безопасности. Представьте
себе такую ситуацию: вы
увидели на Web-странице
красивую надпись «Щелкните
здесь, и увидите...» После
щелчка мышью ваш броузер
скачивает и запускает (на
вашем компьютере)
программу, стирающую все
файлы с жесткого диска.
Каково? Ниже приведен
перечень сайтов,
содержащих важную
информацию о безопасности
при работе с Java. Кроме того,
можно вступить в
обсуждение текущих
вопросов безопасности Java
в телеконференции Usenet.
Web:
http://java.sun.com/java.sun.com/sfaq/
http://pantheon.yale.edu/~dff/java.html
http://www.cs.princeton.edu/sip/java-faq.html
Usenet:
comp.lang.java
Безопасность
в среде Unix
На данной Web-странице
приводятся программы,
которые можно
использовать для
повышения безопасности
работы в среде Unix.
Некоторые из них могут
работать и в других
операционных системах. В
перечень включены COPS, Crack,
Npasswd, Passwd+, PGP, Socks, Tripwire и
другие программы.
Web:
http://www.alw.nih.gov/Security/security.html
Безопасность
информации: обсуждение
общих вопросов
Если в ваши обязанности
входит обеспечение
безопасности информации,
присоединяйтесь к
обсуждению проблем в
телеконференции Usenet.
Оставайтесь в курсе
последних событий и
тенденций, а также читайте
актуальные вопросы с
ответами на них.
Usenet:
comp.os.ms-windows.nt.admin.security
comp.os.netware.security
comp.security.announce
comp.security.misc
Безопасность
на Web-сервере
Обзаводясь собственным Web-сервером,
вы тем самым открываете
свой компьютер для
внешнего мира. Разумеется,
программа-сервер должна
ограничить области
доступа внешних
пользователей и защитить
вас от излишне любопытных.
Тем не менее для этого
нужно, во-первых,
правильно осуществить
конфигурацию сервера, а во-вторых
— ликвидировать все
слабые места в системе
безопасности. Данный
список ЧаВО (часто
задаваемых вопросов)
посвящается именно
вопросам безопасности Web-серверов.
Я бы порекомендовал по
меньшей мере просмотреть
его и поискать, нет ли в
нем чего-нибудь важного,
относящегося к вашему
случаю.
Web:
http://www.genome.wi.mit.edu/WWW/faqs/
www-security-faq.html
Безопасность
при анонимном FTP
Работа Интернета основана
на принципе анонимного FTP:
это означает, что любой
пользователь Сети может
подсоединиться к другому
компьютеру и скачать
файлы, хранящиеся в
общедоступном каталоге.
При этом пользователь
регистрируется с именем «anonymous»,
а при пересылке файлов
используется протокол FTP
(file transfer protocol, протокол
пересылки файлов), отсюда
и название — анонимный FTP.
При пересылке файлов,
сохраняемых на вашем
диске (например, бесплатно
распространяемых
программ), через Web также
используется анонимный FTP,
а все действия по
подключению
автоматически
выполняются вашим
броузером. Однако при
работе системы,
предоставляющей услуги
анонимного FTP, возникает
целый ряд проблем,
связанных с безопасностью
— такая система
оказывается уязвимой для
хакеров. Чтобы получить
информацию об этих
проблемах и о том, как их
избежать, обратитесь к
этим ресурсам Сети.
Web:
http://www.deter.com/unix/papers/cert_anon_ftp.txt
http://www.iss.net/vd/anonftp.html
Брандмауэры
Что такое «брандмауэр» и
зачем он нужен? Эти Web-сайты,
в том числе список ЧаВО,
помогут ответить на
подобные вопросы. Узнайте,
от чего может защитить
брандмауэр, а от чего —
нет, о типах брандмауэров,
о коммерческих версиях
этих продуктов, об
основных принципах их
построения и о многом
другом. Для вопросов,
ответов и ведения
дискуссии можно
воспользоваться
телеконференцией Usenet.
Web:
http://www.v-one.com/html/faq.htm
http://www.zeuros.co.uk/firewall
Usenet:
comp.security.firewalls
Группы
быстрого реагирования
Если обнаружена угроза
безопасности, нужно
следовать инструкциям,
изложенным в руководстве.
У вас нет руководства?
Главное — не паникуйте! На
этом сайте вам
предлагаются названия и
телефоны различных групп
быстрого реагирования. Им
можно доверять, это
славные ребята.
Web:
http://underground.org/teams
Инструменты
для наблюдения за Unix-системами
Значительная часть Сети
работает на компьютерах с
системой Unix, так что
проблемы безопасности в
Unix оказываются наиболее
существенными. Вашему
вниманию предлагается
подборка программ для Unix,
которые можно скачать к
себе на компьютер для
наблюдения за
безопасностью в вашей
системе. Считаете, что вы
защищены от вторжения? Для
полной уверенности
желательно в этом
убедиться.
Web:
http://ciac.llnl.gov/ciac/ToolsUnixSysMon.html
Информационные
ресурсы по безопасности
Эти сайты охватывают
большое количество тем,
связанных с компьютерной
безопасностью, например:
консультации, проблемы и
их решение, списки ЧаВО,
программное обеспечение,
образование и многое
другое. Если вы отвечаете
за безопасность на своем
сайте, для вас эти ресурсы
могут быть очень полезны.
Web:
http://www-cse.ucsd.edu/users/bsy/sec.html
http://www.alw.nih.gov/Security/security.html
http://www.cs.purdue.edu/homes/spaf/hotlists/csec.html
Компьютерные
вирусы
Компьютерный вирус — это
небольшая программа,
которая может
самокопироваться на диск.
Первый вирус был написан в
1986 году и мог работать на
дискете 360 Кб. С тех пор
были написаны тысячи
вирусов и сопутствующих
им программ, а также
широкий спектр
антивирусного
программного обеспечения.
Действительно ли так
страшны компьютерные
вирусы? Это зависит от
того, заражена ваша
система или нет. В Сети вас
ожидает изрядное
количество информации и
соответствующих программ.
Web:
http://pages.prodigy.com/virushelp/
http://www.cadvision.com/reinwarw/eaglevir.htm
http://www.kumite.com/myths/
http://www.webworlds.co.uk/dharley
Usenet:
alt.comp.virus
alt.comp.virus.source.code
comp.virus
Listproc Mailing List:
List Name: virus-l
mailto:listproc@lehigh.edu
Компьютерные
группы быстрого
реагирования
На ваш сверхсекретный
компьютер, без которого
свободный мир никак не
сможет существовать,
залезает нахальный хакер
и не желает убираться.
Куда обращаться за
помощью? В компьютерную
группу быстрого
реагирования (CERT — Computer
Emergency Response Team). Нередко CERT
оказывается единственной
группой, ограждающей нас
от сетевой анархии. Хотите
познакомиться с
публикациями CERT? Лучше
сделать это сейчас, пока
не поздно, потому что в
наши дни Сеть — это
действительно свободный
мир.
Web:
http://www.cert.org/
Национальная
ассоциация компьютерной
безопасности
Если вы интересуетесь
проблемами безопасности в
Интернете, посетите сайт
Национальной ассоциации
компьютерной
безопасности (NCSA — National
Computer Security Association). Здесь
приведена информация о
деятельности NCSA,
включающей проведение
конференций, обучение
персонала, сертификацию
продуктов и сообщения о
нарушениях. Кроме того,
приводится подборка
ссылок на разнообразные
сайты, посвященные
вопросам безопасности в
Интернете.
Web:
http://www.ncsa.com/
Обнаружение
нарушителей
Если вас интересует
методика обнаружения и
предотвращения
компьютерных «взломов»,
стоит познакомиться с
системами обнаружения
нарушений (intrusion detection systems,
IDS). Подобные системы
поддерживают контрольный
след действий
пользователей и
анализируют их, чтобы
обнаружить конкретные
комбинации,
предполагающие
внутреннюю или внешнюю
угрозу. Например,
специальная программа для
нейронной сети может
проанализировать
контрольный след
конкретного компьютера,
входящего в сеть, и прийти
к выводу о злонамеренных
действиях его
пользователя. Более
подробная информация
содержится в списке
рассылки ids.
Majordomo Mailing List:
List Name: ids
mailto:majordomo@uow.edu.au
Перехват
В большинстве сетей некий
объем информации,
пересылаемый с одного
компьютера на другой,
делится на
последовательность
мелких фрагментов,
которые называются
пакетами. Каждый пакет
снабжается адресом
компьютера-получателя,
после чего отправляется
по сети. Пакеты по
отдельности доставляются
получателю, где по ним
восстанавливается
исходная информация. Все
это происходит настолько
быстро, что у пользователя
возникает впечатление,
будто информация
пересылается
непосредственно с одного
компьютера на другой. В
некоторых локальных сетях
(например, Ethernet) каждый
компьютер «видит» все
пакеты, пересылаемые по
сети. Конфигурация такого
компьютера позволяет ему
работать лишь с теми
пакетами, которые
адресованы ему. Тем не
менее, можно настроить
компьютеры таким образом,
что они будут
просматривать все пакеты,
проходящие по сети. На
таком компьютере можно
запустить специальную
программу-«перехватчик»
для отслеживания и
анализа всего потока
данных в сети.
Перехватчики применяются
опытными сетевыми
администраторами для
решения определенных
проблем, связанных с
передачей данных. Тем не
менее они могут также
использоваться и хакерами
для несанкционированного
слежения за передаваемыми
данными (например, вашего
имени и пароля при
регистрации на удаленной
системе). Список ЧаВО
рассказывает о том, как
работает перехватчик, и
как избежать перехвата
при работе в сети.
Web:
http://www.iss.net/vd/sniff.html
Программные
исправления
Исправлением (patch)
называется изменение
программы, обычно
направленное на
ликвидацию ошибки. Во всех
популярных операционных
системах существует
множество проблем,
связанных с безопасностью,
однако для большинства из
них имеются исправления,
которые можно скачать и
установить на свой
компьютер. Если вы
отвечаете за безопасность
информации в
многопользовательской
системе, потратьте
несколько минут на
знакомство с этим удобным
списком исправлений и
посмотрите, не подходят ли
какие-либо из них для
вашего случая.
Web:
http://www.iss.net/vd/patch.html
Слабые места
в безопасности Unix
Список рассылки bugtraq
предназначен для
обсуждения слабых мест в
защите систем семейства
Unix. Особое внимание
уделено распознаванию и
выявлению таких проблем, а
также предотвращению их
возникновения. Если вы
являетесь
администратором Unix-системы,
то список поможет
уследить за всем, что
происходит в «небезопасной»
части этого мира. На Web-сайтах
содержатся архивы
информации по
безопасности Unix.
Web:
http://www.geek-girl.com/bugtraq/
http://www.iss.net/vd/unixappa.html
Listserv Mailing List:
List Name: bugtraq
mailto:listserv@netspace.org
Списки ЧаВО
по компьютерной
безопасности
Поддержка эффективной
системы компьютерной
безопасности требует
знаний и навыков сразу в
нескольких областях.
Данная подборка списков
ЧаВО (часто задаваемых
вопросов) посвящена
важным аспектам
безопасности информации
на компьютере. Я бы
рекомендовал обратить на
нее внимание и
ознакомиться со всеми
списками, непосредственно
относящимися к вашей
работе.
Web:
http://www.iss.net/vd/faq.html
Терминология
С компьютерной
безопасностью связано
огромное количество
технических терминов.
Некоторые из них звучат
довольно неясно, а нередко
попадаются и вовсе
непонятные. Если у вас
возникнут проблемы,
поищите их решение в
большом онлайновом
словаре терминов
компьютерной
безопасности. Не
исключено, что вы найдете
нужное определение раньше,
чем сможете произнести
вслух «временно-зависимый
пароль».
Web:
http://www.isse.gmu.edu/~csis/glossary/merged_glossary.html
Хакерские
сайты в Сети
Хотите исследовать все
темные углы и закоулки, в
которых обитают хакеры?
Вам предлагаются
некоторые из сайтов, на
которых часто
засиживаются хакеры.
Однако следует соблюдать
осторожность — это те
самые ребята, водиться с
которыми мама не
разрешает.
Web:
http://arirang.miso.co.kr/~xter/hack/hack-basics/
http://www.underground.org/web/hackers.html
IRC:
#hack
Центр
компьютерной
безопасности
Центр компьютерной
безопасности относится к
текущим проектам
Национального института
стандартов и технологии
(NIST — National Institute of Standards and
Technology). Его цель —
создание
централизованного сайта,
на котором можно, во-первых,
получить оперативную
помощь в критической
ситуации, а во-вторых,
воспользоваться
подборкой ссылок на
сетевые ресурсы,
посвященные проблемам
компьютерной
безопасности. Данный сайт
финансируется
правительством, и при
возникновении неясностей
на нем всегда можно узнать
официальную позицию по
тому или иному вопросу.
Web:
http://csrc.ncsl.nist.gov/
|
.gif){kind=small}