Библибоба

Читаем Защита от хакеров корпоративных сетей полностью

Защита от хакеров корпоративных сетей

Коллектив Авторов

Примечание

RProcess завершил реинжиниринг Traffic Analysis Capabilities правительственных организаций. Результаты реинжиниринга расположены по адресуБыло выяснено, что Traffic Analysis Capabilities основан на предположении, что чем сложнее для организаций было взломать сервис, тем менее вероятно, что они разрешат ему остаться. Этот результат следует воспринять с некоторой долей скепсиса, но, как и большинство других материалов Cryptome, с ним стоит ознакомиться.

Приманка и переключатель: фальсификация использования SSL

Если читателю интересно, то пусть он попытается выяснить, на чем основана уверенность пользователя в том, что он подключился к Web-сайту при помощи протокола SSL? Это не праздный вопрос. Большинство передаваемых по протоколу HTTP данных в любом случае передаются в открытом виде. По каким признакам пользователь сможет определить, поддерживает или не поддерживает шифрование и удостоверение данных при помощи протокола SSL один Web-сайт из сотни других?

Обычно браузер сообщает пользователю об использовании протокола SSL при помощи нескольких драгоценных пикселов на экране монитора:

• значка «блокировки» в строке состояний;

• адресной строки, в которой содержится ссылка на запрашиваемый сайт и буква s после названия протокола http;

• иногда всплывающего диалогового окна, информирующего пользователя о входе в безопасную зону или выходе из нее.

Проблема заключается в том, что делается попытка установить подлинность массива пикселов по совпадению с тем, что описано в протоколе HTML, формате JPEG и других протоколах уровня представления, использующих протокол SSL. Но в действительности пользователь не знает, что было послано по сети. Вместо этого он доверяет браузеру оповестить его об использовании криптографии. Но как браузер сможет это сделать? При помощи массива пикселей.

Подтверждение подлинности одного набора образов с другим происходит в предположении, что один из них никогда не содержится в другом. Это неверно, и об этом свидетельствует рис. 12.2, расположенный по адресу www.doxpara.com/popup_ie.html.

Рис. 12.2. Заверена ли подлинность всплывающего объявления по протоколу SSL?

X10, позорно известный спаммер псевдопорнографических окон, на самом деле не имеет никакого отношения к этому окну, не говоря уже об использовании протокола SSL для подтверждения его подлинности. Но насколько известно, эта экранная форма не только прибыла с X10.com, но и была еще заверена как страница, прибывшая оттуда. Как была создана эта страница? Давайте начнем с рассмотрения ее описания на языке разметки HTML:

[root@fire doxpara]# cat popup_ie.html



Please Hold: Spoofing SSL Takes A Moment.

Activating Spam Subversion System...

Перейти на страницу:

Похожие книги

1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих
1С: Управление небольшой фирмой 8.2 с нуля. 100 уроков для начинающих

Книга предоставляет полное описание приемов и методов работы с программой "1С:Управление небольшой фирмой 8.2". Показано, как автоматизировать управленческий учет всех основных операций, а также автоматизировать процессы организационного характера (маркетинг, построение кадровой политики и др.). Описано, как вводить исходные данные, заполнять справочники и каталоги, работать с первичными документами, формировать разнообразные отчеты, выводить данные на печать. Материал подан в виде тематических уроков, в которых рассмотрены все основные аспекты деятельности современного предприятия. Каждый урок содержит подробное описание рассматриваемой темы с детальным разбором и иллюстрированием всех этапов. Все приведенные в книге примеры и рекомендации основаны на реальных фактах и имеют практическое подтверждение.

Алексей Анатольевич Гладкий

Экономика / Программное обеспечение / Прочая компьютерная литература / Прочая справочная литература / Книги по IT / Словари и Энциклопедии
Читать бесплатно
Основы объектно-ориентированного программирования
Основы объектно-ориентированного программирования

Фундаментальный учебник по основам объектно-ориентированного программирования и инженерии программ. Р' книге РїРѕРґСЂРѕР±но излагаются основные понятия объектной технологии – классы, объекты, управление памятью, типизация, наследование, универсализация. Большое внимание уделяется проектированию по контракту и обработке исключений, как механизмам, обеспечивающим корректность и устойчивость программных систем.Р' книге Бертрана Мейера рассматриваются РѕСЃРЅРѕРІС‹ объектно-ориентированного программирования. Р

Бертран Мейер

Зарубежная компьютерная, околокомпьютерная литература / Прочая компьютерная литература / Книги по IT
Без регистрации
Искусство программирования для Unix
Искусство программирования для Unix

Эрик Стивен Реймонд

Программирование, программы, базы данных / ОС и Сети / Программирование / Прочая компьютерная литература / Книги по IT
Полная версия
Анимация персонажей в 3D Studio MAX
Анимация персонажей в 3D Studio MAX

В книге описываются основы интереснейшей области применения пакета 3D Studio MAX - анимации персонажей, населяющих трехмерный компьютерный мир. Раскрыты сведения об анатомии человека и животных, обеспечивает естественность форм и движений не только реальных существ, но и мифических персонажей. Предложено множество секретов, позволяющих создавать на экране компьютера действительно живое изображение средствам 3D Studio MAX.  

Стефани Рис

Прочая компьютерная литература / Книги по IT
Читать Онлайн
Избранное