Обстоятельства реальной жизни
Обстоятельства реальной жизни
Обстоятельства реальной жизни можно рассматривать как самое главное условие функционирования сервисов PKI. И главные, и дополнительные сервисы PKI становятся субъектом непредсказуемого поведения, некорректной работы или ненадежных результатов, если инфраструктура неправильно реализована или если пользователи и администраторы не обладают минимальным уровнем подготовки в сфере безопасности. Например, если субъекты PKI не соблюдают осторожность при хранении секретных ключей, то могут быть полностью скомпрометированы главные сервисы PKI и сервис неотказуемости. Если плохо реализован базовый протокол S/MIME или IKE, то не может надежно поддерживаться защищенная связь.
В реальной жизни людям свойственно ошибаться. Ошибки в реализации и использовании PKI делают инфраструктуру уязвимой. Решению проблем, которые возникают на практике, способствуют выбор надежных поставщиков программного и аппаратного обеспечения, тщательное тестирование, непрерывный мониторинг функционирования PKI и обучение пользователей.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКЧитайте также
Примеры из реальной жизни
Примеры из реальной жизни Ниже приведены некоторые примеры переполнения буфера, взятые из базы данных типичных уязвимостей и брешей (CVE) на сайте http://cve.mitre.org. Интересно, что когда мы работали над этой книгой, в базе CVE по запросу «buffer overrim» находилось 1734 записи. Поиск по
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org). Это лишь небольшая выборка из 188 сообщений об ошибках при работе с форматной строкой.CVE–2000–0573Цитата из бюллетеня CVE: «Функция lreply в FTP–сервере wu–ftpd версии 2.6.0 и более ранних плохо
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры внедрения SQL–команд взяты из базы данных CVE (http://cve.mitre.org).CAN–2004–0348Цитата из бюллетеня CVE: «Уязвимость, связанная с внедрением SQL в сценарии viewCart.asp из программного обеспечения корзины для покупок компании SpiderSales, позволяет
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры внедрения команд взяты из базы данных CVE (cve.mitre.org).CAN–2001–1187Написанный на Perl CGI–сценарий CSVForm добавляет записи в файл в формате CSV (поля, разделенные запятыми). Этот сценарий под названием statsconfig.pl поставляется в составе
Примеры из реальной жизни
Примеры из реальной жизни Следующий пример взят из базы данных CVE (http://cve.mitre.org).CAN–2004–0077 do_mremap в ядре LinuxЭто, наверное, самая известная в недавней истории ошибка из разряда «забыл проверить возвращенное значение». Из–за нее были скомпрометированы многие Linux–машины,
Примеры из реальной жизни
Примеры из реальной жизни Изначально Интернет задумывался как научно–исследовательский проект. Среди ученых царило доверие, поэтому безопасности не уделялось много внимания. Конечно, учетные записи были защищены паролями, но этим все и ограничивалось. В результате
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org).CAN–2000–1001Web–страница add_2_basket.asp в программе Element InstantShop позволяет противнику модифицировать информацию о цене, которая находится в скрытом поле «price».Исходный текст формы выглядит следующим
Примеры из реальной жизни
Примеры из реальной жизни Любопытно, что, несмотря на чрезвычайно широкое распространение этого греха (в тот или иной момент от этой проблемы страдали по меньшей мере 90% приложений, в которых использовался SSL, но не HTTPS), во время работы над книгой в базе данных CVE
Примеры из реальной жизни
Примеры из реальной жизни Есть множество примеров парольных систем, в которых обнаружены серьезные дефекты. Проблемы встречаются настолько часто, что мы уже к ним привыкли и часто склонны не обращать внимания на опасность. Поэтому многие приложения, которые, строго
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org).CVE–2000–0100Цитата из бюллетеня CVE: «Программа SMS Remote Control устанавливается с небезопасными правами, позволяющими локальному пользователю расширить свои привилегии путем модификации или замены
Примеры из реальной жизни
Примеры из реальной жизни Начнем с примеров атак с хронометражем, а затем перейдем к более традиционным способам утечки информации, о которых есть сообщения в базе данных CVE (http://cve.mitre.org).Атака с хронометражем Дэна Бернстайна на шифр АЕSДэн Бернстайн сумел провести
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org).CAN–2005–0004Сценарий mysqlaccess, входящий во многие версии MySQL, позволяет локальному пользователю затереть произвольный файл или прочитать содержимое временных файлов путем атаки с организацией
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org).CVE–2002–0676Цитата из бюллетеня CVE:Подсистема SoftwareUpdate для MacOS 10.1.x не проводит аутентификацию при загрузке обновлений программ. Это открывает удаленному противнику возможность выполнить
Примеры из реальной жизни
Примеры из реальной жизни Следующие примеры взяты из базы данных CVE (http://cve.mitre.org).CVE–2001–1349Цитата из бюллетеня CVE:В программе sendmail до версии 8.11.4, а также версии 8.12.0 до 8.12.0.BetalO имеется гонка в обработчике сигнала, которая позволяет локальному пользователю провести DoS–атаку,
Примеры из реальной жизни
Примеры из реальной жизни Атаки с «человеком посередине» хорошо известны. Мы неоднократно сталкивались с этой проблемой в «реальных» системах, когда за основу бралось какое–то решение, описанное в литературе, а затем над ним пытались надстроить криптосистему. Отметим
Примеры из реальной жизни
Примеры из реальной жизни К сожалению, в сообщениях, касающихся безопасности, нечасто встретишь примеры, которые относились бы к проблемам практичности. Главным образом это связано с тем, что такие проблемы разработчики склонны перекладывать на пользователей. Проще во