• Системы
  
• Системы и безопасность
  
• Ландшафт
  
• Опасности цифрового мира
  
• Неизменная природа атаки
  
• Изменяющаяся природа атаки
  
• Действие на расстоянии
  
• Распространение технических приемов
  
• Упреждающие меры вместо ответных
  
• Атаки
  
• Аферы
  
• Кража интеллектуальной собственности
  
• Присвоение личности
  
• Кража фирменной марки
  
• Судебное преследование
  
• Вмешательство в частные дела
  
• Наблюдение
  
• Базы данных
  
• Анализ трафика
  
• Атаки ради рекламы
  
• Атаки, приводящие к отказам в обслужмвании
  
• «Законные» атаки
  
• Широкомасштабное электронное наблюдение
  
• Противники
  
• Хакеры
  
• Преступники – одиночки
  
• Злонамеренные посвященные лица
  
• Промышленный шпионаж
  
• Пресса
  
• Организованная преступность
  
• Полиция
  
• Террористы
  
• Национальные разведывательные организации
  
• Информационные войны
  
• Секретность
  
• Многоуровневая секретность
  
• Анонимность
  
• Коммерческая анонимность
  
• Медицинская анонимность
  
• Секретность и правительство
  
• Аутентификация
  
• Целостность
  
• Аудит
  
• Электронные деньги
  
• Упреждающие меры
  
• Технологии
  
• Криптография
  
• Симметричное шифрование
  
• Симметричное шифрование продолжение
  
• Типы криптографических атак
  
• Распознавание открытого текста
  
• Коды аутентификации сообщений
  
• Односторонние хэш функции
  
• Шифрование открытым ключом
  
• Схемы цифровой подписи
  
• Генераторы случайных чисел
  
• Длина ключей
  
• Криптография в контексте
  
• Длина ключа и безопасность
  
• Длина ключа и безопасность в сети
  
• Одноразовое кодирование
  
• Протоколы
  
• Еще про протоколы
  
• Криптографические протоколы Интернета
  
• Типы атак, направленных на прото
  
• Выбор алгоритма или протокола
  
• Право собственности
  
• Компьютерная безопасность
  
• Определения
  
• Контроль доступа
  
• Модели безопасности
  
• Ядра безопасности и надежная вычислительная база
  
• Тайные каналы
  
• Критерии оценки
  
• Будущее безопасных компьютеров
  
• Идентификация и аутентификация
  
• Пароли
  
• Выбор пароля
  
• Биометрические данные
  
• Опознавательные знаки доступа
  
• Протоколы аутентификации
  
• Однократная регистрация
  
• Безопасность компьютеров в сети
  
• Компьютерные вирусы
  
• Черви
  
• Троянские кони
  
• Современные разрушительные программы
  
• Модульная программа
  
• Переносимый код
  
• JavaScript, Java и ActiveX
  
• Безопасность Веб
  
• Взлом URL
  
• Cookies
  
• Веб – сценарии
  
• Веб – конфиденциальность
  
• Сетевая безопасность
  
• Как работает сеть
  
• Безопасность IP
  
• Безопасность DNS
  
• Нападения типа «отказ в обслуживании"
  
• Распределенные нападения типа «отказ в обслуживании"
  
• Будущее сетевой безопасности
  
• Сетевые защиты
  
• Брандмауэры
  
• Демилитаризованные зоны
  
• Частные виртуальные сети
  
• Системы обнаружения вторжений
  
• Приманки и сигнализации
  
• Сканеры уязвимостей
  
• Безопасность электронной почты
  
• Шифрование и сетевая защита
  
• Надежность программного обеспечения
  
• Дефектный код
  
• Нападения на дефектный код
  
• Переполнения буфера
  
• Вездесущность ошибочного кода
  
• Аппаратные средства безопасности
  
• Сопротивление вторжению
  
• Сопротивление вторжению извне
  
• Нападения
  
• Нападения через побочные каналы
  
• Атаки против смарт – карт
  
• Сертификаты и удостоверения
  
• Доверенные третьи лица
  
• Удостоверения
  
• Сертификаты
  
• Проблемы с традиционными PKI
  
• PKI в Интернете
  
• Уловки безопасности
  
• Правительственный доступ к ключам
  
• Безопасность баз данных
  
• Стеганография
  
• Скрытые каналы
  
• Цифровые водяные знаки
  
• Защита от копирования
  
• Уничтожение информации
  
• Человеческий фактор
  
• Риск
  
• Действия в чрезвычайных ситуация
  
• Взаимодействие человека с компьютером
  
• Автоматизм действий пользователя
  
• Внутренние враги
  
• Манипулирование людьми
  
• Стратегии
  
• Уязвимости и их ландшафт
  
• Методология атаки
  
• Меры противодействия
  
• Ландшафт уязвимых точек
  
• Физическая безопасность
  
• Виртуальная безопасность
  
• Доверенности
  
• Жизненный цикл системы
  
• Разумное применение мер противодействия
  
• Моделирование угроз и оценки риска
  
• Честные выборы
  
• Еще про выборы
  
• Защита телефонов
  
• Безопасность электронной почты
  
• Смарт – карты «электронный бумажник
  
• Способы мошенничества
  
• Оценка рисков
  
• Сущность моделирования угроз
  
• Ошибки в определении угроз
  
• Политика безопасности и меры противожействия
  
• Политика безопасности
  
• Доверяемое клиенту программное обеспечения
  
• Банковские автоматы
  
• Компьютеризированные лотерейные терминалы
  
• Смарт – карты против магнитных карт
  
• Рациональные контрмеры
  
• Схемы нападений
  
• Основные деревья атак
  
• Основные деревья атак продолжение
  
• Деревья атак PGP
  
• Дерево атак для чтения сообщения электронной почты
  
• Создание и использование деревьев атак
  
• Испытание и верификация программ
  
• Неудачи испытаний
  
• Выявление недостатков защиты продуктов при использовании
  
• выявление недостатков защиты продуктов при использовании_1
  
• Открытые стандарты и открытые решен ия
  
• Перепроектирование и закон
  
• Состязания по взломам и хакерству
  
• Оценка и выбор продуктов безопасти
  
• Будущее программных продуктов
  
• Сложность программного обеспечения
  
• Тенденция к сложности исходного кода
  
• Тенденция к сложности в операционных системах
  
• Новые технологии
  
• Научимся ли мы когда – нибудь ?
  
• Процессы безопасности
  
• Разделяйте
  
• Укрепите самое слабое звено
  
• Используйте пропускные пункты
  
• Обеспечьте глубинную защиту
  
• Подстрахуйтесь на случай отказа
  
• Используйте непредсказуемость
  
• Стремитесь к простоте
  
• Заручитесь поддержкой пользователей
  
• Обнаруживайте нападения
  
• Анализируйте нападения
  
• Ответьте на нападение
  
• Будьте бдительны
  
• Контролируйте контролеров
  
• Устраните последствия нападения
  
• Контратака
  
• Управляйте риском
  
• Аутсорсинг процессов безопасности
  

Уязвимости и их ландшафт

В первой части мы теоретически рассматривали атаки: какие существуют виды нападений и нападающих. Но, как я каждый раз не устаю повторять, теория отличается от практики. Каждый, кто читает детективные романы или криминальную хронику в газетах, знает, что для осуществления нападения необходимо намного больше, чем просто найти уязвимое место. Можно считать, что нападающий с успехом использовал слабую точку, если ему удалось определить цель, спланировать атаку, сделать свое дело и скрыться. Недостатки в замке сейфа, находящегося в безопасном месте, менее существенны, чем аналогичные недостатки в банковском уличном ящике для депозитов.

То же самое и в цифровом мире. Потенциальному преступнику недостаточно найти изъян в алгоритме шифрования, использующемся в системе кредитных карт. Он должен получить доступ к соединению, он должен обладать достаточными знаниями о протоколах, чтобы создать поддельное сообщение, которое позволит ему на самом деле украсть деньги, и в конце концов он должен успеть убраться вовремя. Обнаружение изъяна в шифровании в отрыве от всех остальных шагов представляет только теоретическую ценность.

Подобно этому, существует великое множество мер противодействия, которые могут помочь «заткнуть дыру». В сейфе можно повесить более надежный замок или установить сигнализацию на окнах и дверях помещения, в котором сейф находится, и поставить у дверей охрану. Недостатки в шифровании могут быть исправлены, если использовать лучший алгоритм шифрования. Они не будут представлять опасности, если держать протоколы в секрете, использовать частную сеть для сообщений или просто менять ключи каждые пять минут.