• Системы
  
• Системы и безопасность
  
• Ландшафт
  
• Опасности цифрового мира
  
• Неизменная природа атаки
  
• Изменяющаяся природа атаки
  
• Действие на расстоянии
  
• Распространение технических приемов
  
• Упреждающие меры вместо ответных
  
• Атаки
  
• Аферы
  
• Кража интеллектуальной собственности
  
• Присвоение личности
  
• Кража фирменной марки
  
• Судебное преследование
  
• Вмешательство в частные дела
  
• Наблюдение
  
• Базы данных
  
• Анализ трафика
  
• Атаки ради рекламы
  
• Атаки, приводящие к отказам в обслужмвании
  
• «Законные» атаки
  
• Широкомасштабное электронное наблюдение
  
• Противники
  
• Хакеры
  
• Преступники – одиночки
  
• Злонамеренные посвященные лица
  
• Промышленный шпионаж
  
• Пресса
  
• Организованная преступность
  
• Полиция
  
• Террористы
  
• Национальные разведывательные организации
  
• Информационные войны
  
• Секретность
  
• Многоуровневая секретность
  
• Анонимность
  
• Коммерческая анонимность
  
• Медицинская анонимность
  
• Секретность и правительство
  
• Аутентификация
  
• Целостность
  
• Аудит
  
• Электронные деньги
  
• Упреждающие меры
  
• Технологии
  
• Криптография
  
• Симметричное шифрование
  
• Симметричное шифрование продолжение
  
• Типы криптографических атак
  
• Распознавание открытого текста
  
• Коды аутентификации сообщений
  
• Односторонние хэш функции
  
• Шифрование открытым ключом
  
• Схемы цифровой подписи
  
• Генераторы случайных чисел
  
• Длина ключей
  
• Криптография в контексте
  
• Длина ключа и безопасность
  
• Длина ключа и безопасность в сети
  
• Одноразовое кодирование
  
• Протоколы
  
• Еще про протоколы
  
• Криптографические протоколы Интернета
  
• Типы атак, направленных на прото
  
• Выбор алгоритма или протокола
  
• Право собственности
  
• Компьютерная безопасность
  
• Определения
  
• Контроль доступа
  
• Модели безопасности
  
• Ядра безопасности и надежная вычислительная база
  
• Тайные каналы
  
• Критерии оценки
  
• Будущее безопасных компьютеров
  
• Идентификация и аутентификация
  
• Пароли
  
• Выбор пароля
  
• Биометрические данные
  
• Опознавательные знаки доступа
  
• Протоколы аутентификации
  
• Однократная регистрация
  
• Безопасность компьютеров в сети
  
• Компьютерные вирусы
  
• Черви
  
• Троянские кони
  
• Современные разрушительные программы
  
• Модульная программа
  
• Переносимый код
  
• JavaScript, Java и ActiveX
  
• Безопасность Веб
  
• Взлом URL
  
• Cookies
  
• Веб – сценарии
  
• Веб – конфиденциальность
  
• Сетевая безопасность
  
• Как работает сеть
  
• Безопасность IP
  
• Безопасность DNS
  
• Нападения типа «отказ в обслуживании"
  
• Распределенные нападения типа «отказ в обслуживании"
  
• Будущее сетевой безопасности
  
• Сетевые защиты
  
• Брандмауэры
  
• Демилитаризованные зоны
  
• Частные виртуальные сети
  
• Системы обнаружения вторжений
  
• Приманки и сигнализации
  
• Сканеры уязвимостей
  
• Безопасность электронной почты
  
• Шифрование и сетевая защита
  
• Надежность программного обеспечения
  
• Дефектный код
  
• Нападения на дефектный код
  
• Переполнения буфера
  
• Вездесущность ошибочного кода
  
• Аппаратные средства безопасности
  
• Сопротивление вторжению
  
• Сопротивление вторжению извне
  
• Нападения
  
• Нападения через побочные каналы
  
• Атаки против смарт – карт
  
• Сертификаты и удостоверения
  
• Доверенные третьи лица
  
• Удостоверения
  
• Сертификаты
  
• Проблемы с традиционными PKI
  
• PKI в Интернете
  
• Уловки безопасности
  
• Правительственный доступ к ключам
  
• Безопасность баз данных
  
• Стеганография
  
• Скрытые каналы
  
• Цифровые водяные знаки
  
• Защита от копирования
  
• Уничтожение информации
  
• Человеческий фактор
  
• Риск
  
• Действия в чрезвычайных ситуация
  
• Взаимодействие человека с компьютером
  
• Автоматизм действий пользователя
  
• Внутренние враги
  
• Манипулирование людьми
  
• Стратегии
  
• Уязвимости и их ландшафт
  
• Методология атаки
  
• Меры противодействия
  
• Ландшафт уязвимых точек
  
• Физическая безопасность
  
• Виртуальная безопасность
  
• Доверенности
  
• Жизненный цикл системы
  
• Разумное применение мер противодействия
  
• Моделирование угроз и оценки риска
  
• Честные выборы
  
• Еще про выборы
  
• Защита телефонов
  
• Безопасность электронной почты
  
• Смарт – карты «электронный бумажник
  
• Способы мошенничества
  
• Оценка рисков
  
• Сущность моделирования угроз
  
• Ошибки в определении угроз
  
• Политика безопасности и меры противожействия
  
• Политика безопасности
  
• Доверяемое клиенту программное обеспечения
  
• Банковские автоматы
  
• Компьютеризированные лотерейные терминалы
  
• Смарт – карты против магнитных карт
  
• Рациональные контрмеры
  
• Схемы нападений
  
• Основные деревья атак
  
• Основные деревья атак продолжение
  
• Деревья атак PGP
  
• Дерево атак для чтения сообщения электронной почты
  
• Создание и использование деревьев атак
  
• Испытание и верификация программ
  
• Неудачи испытаний
  
• Выявление недостатков защиты продуктов при использовании
  
• выявление недостатков защиты продуктов при использовании_1
  
• Открытые стандарты и открытые решен ия
  
• Перепроектирование и закон
  
• Состязания по взломам и хакерству
  
• Оценка и выбор продуктов безопасти
  
• Будущее программных продуктов
  
• Сложность программного обеспечения
  
• Тенденция к сложности исходного кода
  
• Тенденция к сложности в операционных системах
  
• Новые технологии
  
• Научимся ли мы когда – нибудь ?
  
• Процессы безопасности
  
• Разделяйте
  
• Укрепите самое слабое звено
  
• Используйте пропускные пункты
  
• Обеспечьте глубинную защиту
  
• Подстрахуйтесь на случай отказа
  
• Используйте непредсказуемость
  
• Стремитесь к простоте
  
• Заручитесь поддержкой пользователей
  
• Обнаруживайте нападения
  
• Анализируйте нападения
  
• Ответьте на нападение
  
• Будьте бдительны
  
• Контролируйте контролеров
  
• Устраните последствия нападения
  
• Контратака
  
• Управляйте риском
  
• Аутсорсинг процессов безопасности
  

Смарт – карты «электронный бумажник»

Следующий, более сложный пример: электронная система платежей, основанная на использовании смарт-карты, на которой ведется баланс средств. (Их часто называют «электронным бумажником» – stored-value cards.) Некоторые такие карты уже опробованы на практике: система Mondex (а также MasterCard), VisaCash (испытана во время летних Олимпийских игр 1996 года в Атланте), Banksys's Proton. Мы рассмотрим некую абстрактную карту, не вникая в детали этих систем. Назовем нашу гипотетическую систему Plasticash.

Основная идея Plasticash состоит в том, чтобы использовать ее в денежных расчетах. Специальные терминалы станут неотъемлемой частью деловой жизни: они появятся в банках, в магазинах, будут присоединены к компьютерам, подключенным к Интернету. Когда покупатель захочет купить что-либо (или, в более общем смысле, просто перевести деньги кому-нибудь), они с продавцом вставят свои карты Plasticash в устройство чтения и записи и переведут деньги. (У продавцов, возможно, будут специальные карты, постоянно находящиеся в считывающем устройстве.) В банке или с помощью банкоматов можно будет как пополнить средства, находящиеся на карте, так и перевести их с карты на банковский счет. Обратите внимание: двум картам не обязательно находиться рядом друг с другом, достаточно соединить их по телефону или с помощью модема.

Такие карты обладают тем преимуществом, что они не обязательно должны работать в режиме онлайн, то есть находиться на связи с каким-либо центральным сервером где бы то ни было. (При использовании обычных платежных карточек торговый автомат обязан связаться с банковским компьютером в режиме реального времени.) Их недостаток состоит в том, что утрата или повреждение карты означают потерю денег.

Plasticash, как и всякая другая система электронных платежей, должна будет иметь полный набор средств защиты и использовать криптографию, меры компьютерной безопасности, средства защиты от подделки, возможности контроля и что угодно еще. Она будет обеспечивать необходимый уровень целостности данных, конфиденциальности, анонимности и т. д. Мы не будем вдаваться в подробности. Давайте рассмотрим варианты нападений на подобную систему в принципе.

В функционировании системы Plasticash участвуют три стороны: клиент, продавец и банк. Поэтому существуют три схемы взаимодействия между участниками расчетов:

• Банк – клиент. Клиент снимает деньги на свою карту.

• Клиент – продавец. Клиент переводит деньги со своей карты на карту продавца.

• Банк – продавец. Продавец вносит полученные деньги на свой банковский счет.

В первой части этой книги рассказывается о преступлениях, которые, возможно, будут совершаться и в сфере Plasticash: это кража денег, ложное обвинение, нарушение тайны частной жизни, вандализм и террор, а также разглашение сведений. Система Plasticash должна предусматривать меры противодействия использованию ее для подготовки других преступлений, таких как отмывание денег. Приготовления к преступлению трудно определить точно, представления об этом могут меняться при каждом пересечении границы государства и даже после каждых новых выборов. Также неясно, насколько законы и обычаи различных стран способны противоречить друг другу. Например, на международной арене принятые в США требования к финансовой отчетности могут восприниматься как нарушение швейцарских законов, охраняющих тайну банковской деятельности.

Когда мы говорим о мошенничестве со стороны банков, мы не обязательно имеем в виду, что речь идет о банковской «империи зла». Такие преступления могут совершаться отдельными мошенниками, работающими в заслуживающем уважения банке. Вообще, мы чаще имеем дело с мошенничеством клиентов и продавцов (отдельных мошенников, принятых на эту работу), поскольку теоретически банки в силах позволить себе лучшие механизмы и меры безопасности, а возможные потери в связи с ущербом репутации от нападений на банковские системы очень велики.

Итак, первый вид преступлений – это кража. Существует несколько способов похитить деньги с Plasticash. Ими могут воспользоваться как клиенты, так и продавцы:

• Взломать карту, чтобы прибавить себе денег. Это также можно осуществить несколькими способами, наиболее очевидный путь – добраться до устройства, регистрирующего находящуюся на карте сумму.

• Можно таким же образом увеличить или уменьшить размер платы за покупку.

• Можно научиться создавать или имитировать новые карты и изготовить фальшивые Plasticash, которые будут функционировать, как настоящие. Фальшивая карта не обязательно даже должна быть похожа на оригинальную: мошенник может пользоваться ею только при покупках в Интернете или переводить деньги с фальшивой карты на настоящую, с которой и будет производить платежи.

• Можно научиться клонировать карты. Мошеннику понадобится завладеть на время настоящей картой, чтобы сделать клон, после чего ее можно будет вернуть владельцу. (Успешные преступления такого рода уже совершались с канадскими банковскими карточками, и в 1999 году некоторые из мошенников были арестованы. Жулик-продавец ухитрялся в считанные секунды клонировать карту, использовавшуюся покупателем для расчетов.)