Реестр в ос windows и его роль в реализации политики безопасности

Это конфигурация компьютера. Компоненты использующие реестр: установщики, распознаватель, ядро, диспетчер PnP, драйверы, пользовательский профили, администрирование. Реестр состоит из ключей (каталоги) и параметров (файлы), ключи могут иметь вложенные ключи. В верху иерархии 5 ключей. Ветка HKLM\SAM\SAM хранит БД SAM.

 

Протокол SSL

SSL (Secure Sockets Layer) – криптографический протокол, обеспечивающий безопасность связи. Асимметричная криптография для аутентификации, симметричная – для конфиденциальности. Разработан компанией Netscape. Реализуется поверх любого транспортного протокола (TCP) и инкапсулирует протоколы приложений (HTTP, NNTP, FTP). Два уровня: 1-й – протокол записи (упаковывает и распаковывает данные, которые нужно передать или принять, осуществляет фрагментацию, сжатие, добавление кода аутентичности, шифрование, добавление заголовка); 2-й – протоколы квитирования (взаимная аутентификация сторон, договор о параметрах), изменения параметров шифрования (генерирует однобайтовое сообщение о том, что в следующих сообщениях будут использоваться новые оговоренные параметры шифра), извещения (передача сообщений тревоги).

 

Особенности защиты прав интеллектуальной собственности на ПО

Угрозы: модификация исполняемого кода (преднамеренное внесение изменений с целью отключения защиты для нелегального распространения, доступа к финансовой информации, добавления вредоносного кода); анализ реализованного алгоритма (анализ исходных кодов либо дизассемблирование); копирование фрагментов кода.

Методы защиты: шифрование ПС, привязка к носителю, обфускация, водяные знаки, отпечатки пальцев.

 

Методы защиты прав интеллектуальной собственности на ПО. Шифрование ПС и привязка ПС к носителю информации

Шифрование: программа либо фрагменты хранятся зашифрованными, при запуске осуществляется дешифрование на лету (например XOR кода с ключом). Эффективно если дешифрование аппаратное, иначе возможен доступ к кодам или ключу в оперативной памяти.

Привязка: программа частично либо целиком располагается на внешнем носителе; верификация программой своего носителя (лицензионный ключ, StarForce – анализирует кол-во секторов на определённом кольце спирали диска).

 

Методы обфускации в защите ПО

Обфускация – приведение кода программы к виду, сохраняющему её функциональность, но затрудняющему анализ. Методы: лексическая (удаление комментариев, переименования переменных, функций, классов), обфускация потока выполнения (преобразование графа передачи управления программы; запутывание условий циклов и переходов), непрозрачные предикаты (введение выражений, результат которых известен только обфускатору; добавление ложного перехода, разбиение блока на два функционально идентичных, но обфусцируемых по-разному), смена кодировки (представление JavaScript кода в виде набора скобок, текстовых смайлов).

 

Методы защиты прав интеллектуальной собственности на ПО. Водяные знаки

Цифровой водяной знак – копирайт-строка, внедряемая автором в объект интеллектуальной собственности. ВЗ должен не влиять на размер и время выполнения программы, быть скрытым, сложным для удаления, подтверждать авторство. ВЗ бывает видимым, если функция распознавания общедоступна, или невидимым. ВЗ бывает динамический, если для извлечения требует выполнения программы, и статический, если извлечение требует только анализ кода. Простейший водяной знак – строка кода с копирайтом в данных не используемых программой.

 

Методы защиты прав интеллектуальной собственности на ПО. Отпечатки пальцев

Цифровой ОП – объект позволяющий различать копии ПО. Например, внедрение в исходный код программы ключа идентифицирующее покупателя, продавца и копию. Требования: вероятность прочтения, удаления и модификации злоумышленником даже обладающего несколькими копиями – минимальна; вероятность возникновения коллизий – минимальна.

 

Деструктивные ПС. Общая классификация и характеристики

a) вирусы; саморазмножающиеся, путём дописывания к исполняемым файлам, программы;

b) макровирусы – написаны на макроязыках, заражают файлы Word, Excel;

c) черви – саморазмножаются по сети, съедают ресурсы, нагоняют трафик;

d) кейлоггеры – регистрируют действия пользователя (нажатие клавиш, запущенные программы), сохраняют в файл, который затем пересылается злоумышленнику;

e) трояны – собирают конфиденциальную информацию (пароли, БД) и высылают злоумышленнику;

f) боты – использует компьютер на котором установлен для атак;

g) снифферы – анализаторы сетевого трафика;

h) руткиты – скрывают работы других вирусов;

i) звонилка – изменяет настройки удалённого доступа, создаёт новые подключения;

j) экспоиты – используют уязвимости в ПО;

k) AdWare – показывает рекламу, SpyWare – собирает данные для маркетинговых исследований.

 

Меры борьбы с вредоносным ПО

Регулярное обновление ОС, использование безопасного браузера и почтового клиента, использование проверенных сайтов, установка файервола, антивируса, частое обновление антивирусных баз, отключение неиспользуемых служб, ручная диагностика (просмотр процессов, автозагрузки)

 

Компьютерные вирусы. Классификация и характеристики

Вирус – разновидность компьютерной программы, способная к саморепликации и выполняющая произвольные действия. Поколения вирусов: простые, самоузнаваемые, скрывающиеся, вооружённые, мутирующие. Атаки вирусов: на доступ (удаление, изменение файлов), на интегральность (повреждение файловой системы, системных и исполнительных файлов), на конфиденциальность (перехват паролей и секретных данных). Вирусы можно классифицировать по отношению к аппаратной платформе (не зависящие, зависящие), отношению к ОС, способу распространения (непосредственное, опосредованное).

 

Основные функциональные блоки компьютерного вируса

Механизмы: распространения, инфекции, репликации, деструкции, дополнительный. Вирусы могут внедрятся в исполнительные файлы в конец, в начало, внутрь файла.

 

Методы обнаружения и нейтрализации компьютерных вирусов

Нет 100% алгоритмов. Три фундаментальных способа обнаружения: сканирование, мониторинг, контроль интегральности. Сканер – поиск характерных шестнадцатеричных строк данных (сигнатур), состоит из машины поиска и базы известных сигнатур; хорошая сигнатура – отличается от остальных сигнатур и от последовательностей в неинфицированных файлах. Монитор – анализирует выполнение ОС заданных функций, модификацию PE (Portable Executable – формат исполнительных файлов в семействе Windows), размещение программ в ОП, перехват прерываний, обращения к диску. Контроль интегральности основан на подсчёте и анализе контрольных сумм исполнительных файлов; контрольные суммы хранятся в зашифрованном виде.

 

Деструктивные ПС. Троянские кони

Троян – вредоносная программа, распространяемая людьми в отличие от вирусов (через файлообменники, электронную почту, дыры в безопасности). Цели: закачивание и скачивание файлов, создание помех в работе, похищение конфиденциальных данных, распространение вирусов, уничтожение данных, дезактивация антивирусных программ. Трояны маскируются под известные пользователю программы, даже могут имитировать их работу. Для обнаружения используются эвристические методы поиска. Пример: Pinch, Trojan.Winlock.

 

Деструктивные ПС. Снифферы

Сниффер – сетевой анализатор трафика предназначенного для других узлов. Сниффер может анализировать только то, что проходит через его сетевую карту. Внутри одного сегмента сети Ethernet все пакеты рассылаются всем машинам. Перехват осуществляется: прослушиванием сетевого интерфейса, подключением сниффера в разрыв канала, ответвлением трафика, через анализ побочных электромагнитных излучений, перенаправлением трафика жертвы. Снизить угрозу перехвата можно используя аутентификацию, шифрование, антиснифферы. Пример: Wireshark, Fiddler.