Сообщений 5    Оценка 136        Оценить  
Система Orphus

Секреты и ложь. Безопасность данных в цифровом мире.

Автор: Брюс Шнайер
Издательство: Питер, 2003
368 страниц
ISBN: 5-318-00193-9
ISBN: 0-471-25311-1

Материал предоставили: Андрей Русяев
Сергей Холодилов
Найти в магазинах
Купить в Озоне (245 руб.)

Аннотация

Содержание
Предисловие
Комментарии

Аннотация

В этой книге Брюс Шнайер - автор нескольких бестселлеров и признанный специалист в области безопасности и защиты информации, - опираясь на собственный опыт, разрушает заблуждения многих, уверенных в конфиденциальности и неприкосновенности информации. Он разъясняет читателям, почему так сложно предотвратить доступ третьих лиц к личной цифровой информации, что нужно знать, чтобы обеспечить ее защиту, сколько средств следует выделять на обеспечение корпоративной безопасности и многое, многое другое.

Содержание

Предисловие

Глава 1. Введение
Системы
Системы и безопасность

Часть I. Ландшафт
Глава 2. Опасности цифрового мира
Неизменная природа атаки
Изменяющаяся природа атаки
Автоматизация
Действие на расстоянии
Распространение технических приемов
Упреждающие меры вместо ответных
Глава 3. Атаки
Преступные атаки
Мошенничество
Аферы
Разрушительные атаки
Кража интеллектуальной собственности
Присвоение личности
Кража фирменной марки
Судебное преследование
Вмешательство в частные дела
Наблюдение
Базы данных
Анализ трафика
Широкомасштабное электронное наблюдение
Атаки ради рекламы
Атаки, приводящие к отказам в обслуживании
''Законные'' атаки
Глава 4. Противники
Хакеры
Преступники-одиночки
Злонамеренные посвященные лица
Промышленный шпионаж
Пресса
Организованная преступность
Полиция
Террористы
Национальные разведывательные организации
Информационные воины
Глава 5. Потребность в секретности
Секретность
Многоуровневая секретность
Анонимность
Коммерческая анонимность
Медицинская анонимность
Секретность и правительство
Аутентификация
Целостность
Аудит
Электронные деньги
Упреждающие меры

Часть II. Технологии
Глава 6. Криптография
Симметричное шифрование
Типы криптографических атак
Распознавание открытого текста
Коды аутентификации сообщений
Односторонние хэш-функции
Шифрование открытым ключом
Схемы цифровой подписи
Генераторы случайных чисел
Длина ключей
Глава 7. Криптография в контексте
Длина ключа и безопасность
Одноразовое кодирование
Протоколы
Криптографические протоколы Интернетa
Типы атак, направленных на протоколы
Выбор алгоритма или протокола
Глава 8. Компьютерная безопасность
Определения
Контроль доступа
Модели безопасности
Ядра безопасности и надежная вычислительная база
Тайные каналы
Критерии оценки
Будущее безопасных компьютеров
Глава 9. Идентификация и аутентификация
Пароли
Биометрические данные
Опознавательные знаки доступа
Протоколы аутентификации
Однократная регистрация
Глава 10. Безопасность компьютеров в сети
Разрушительные программы
Компьютерные вирусы
Черви
Троянские кони
Современные разрушительные программы
Модульная программа
Переносимый код
JavaScript, Java и ActiveX
Безопасность Веб
Взлом URL
Cookies
Веб-сценарии
Веб-конфиденциальность
Глава 11. Сетевая безопасность
Как работает сеть
Безопасность IP
Безопасность DNS
Нападения типа ''отказ в обслуживании''
Распределенные нападения типа ''отказ в обслуживании''
Будущее сетевой безопасности
Глава 12. Сетевые защиты
Брандмауэры
Демилитаризованные зоны
Частные виртуальные сети
Системы обнаружения вторжений
Приманки и сигнализации
Сканеры уязвимостей
Безопасность электронной почты
Шифрование и сетевая защита
Глава 13. Надежность программного обеспечения
Дефектный код
Нападения на дефектный код
Переполнения буфера
Вездесущность ошибочного кода
Глава 14. Аппаратные средства безопасности
Сопротивление вторжению
Нападения через побочные каналы
Атаки против смарт-карт
Глава 15. Сертификаты иудостоверения
Доверенные третьи лица
Удостоверения
Сертификаты
Проблемы с традиционными PKI
PKI в Интернете
Глава 16. Уловки безопасности
Правительственный доступ к ключам
Безопасность баз данных
Стеганография
Скрытые каналы
Цифровые водяные знаки
Защита от копирования
Уничтожение информации
Глава 17. Человеческий фактор
Риск
Действия в чрезвычайных ситуациях
Взаимодействие человека с компьютером
Автоматизм действий пользователя
Внутренние враги
Манипулирование людьми

Часть III. Стратегии
Глава 18. Уязвимости и их ландшафт
Методология атаки
Меры противодействия
Ландшафт уязвимых точек
Физическая безопасность
Виртуальная безопасность
Доверенности
Жизненный цикл системы
Разумное применение мерпротиводействия
Глава 19. Моделирование угроз и оценки риска
Честные выборы
Защита телефонов
Безопасность электронной почты
Смарт-карты ''электронный бумажник''
Оценка рисков
Сущность моделирования угроз
Ошибки в определении угроз
Глава 20. Политика безопасности и меры противодействия
Политика безопасности
Доверяемое клиенту программное обеспечение
Банковские автоматы
Компьютеризированные лотерейные терминалы
Смарт-карты против магнитных карт
Рациональные контрмеры
Глава 21. Схемы нападений
Основные деревья атак
Деревья атак PGP
Дерево атак PGP
Дерево атак для чтения сообщения электронной почты
Создание и использование деревьев атак
Глава 22. Испытание и верификация программных продуктов
Неудачи испытаний
Выявление недостатков защиты продуктов при использовании
Открытые стандарты и открытые решения
Перепроектирование и закон
Состязания по взломам и хакерству
Оценка и выбор продуктов безопасности
Глава 23. Будущее программных продуктов
Сложность программного обеспечения и безопасность
Новые технологии
Научимся ли мы когда-нибудь?
Глава 24. Процессы безопасности
Принципы
Разделяйте
Укрепите самое слабое звено
Используйте пропускные пункты
Обеспечьте глубинную защиту
Подстрахуйтесь на случай отказа
Используйте непредсказуемость
Стремитесь к простоте
Заручитесь поддержкой пользователей
Обеспечьте гарантию
Сомневайтесь
Обнаружение и реагирование
Обнаруживайте нападения
Анализируйте нападения
Ответьте на нападение
Будьте бдительны
Контролируйте контролеров
Устраните последствия нападения
Контратака
Управляйте риском
Аутсорсинг процессов безопасности

Глава 25. Заключение

Послесловие

Источники

Алфавитный указатель

Предисловие

Брюс Шнайер

Я написал эту книгу во многом для того, чтобы исправить собственную ошибку.

Семь лет назад мною была написана книга "Прикладная криптография" ("Applied Cryptography"). В ней я создал математическую утопию - алгоритмы, тысячелетиями хранящие ваши глубочайшие секреты, протоколы передачи данных, обеспечивающие воистину фантастические возможности: неконтролируемые извне финансовые операции, необнаружимую аутентификацию, анонимную оплату. И все это - незаметно и надежно. В моем видении криптография была великим технологическим уравнителем: с ее помощью каждому дешевому (и дешевеющему с каждым годом) компьютеру могла быть обеспечена такая же безопасность, как и компьютерам всемогущего правительства. Во втором издании той книги я зашел так далеко, что написал: "Недостаточно защищать себя с помощью закона; мы нуждаемся и в том, чтобы защитить себя с помощью математики".

Все это - неправда. Криптография не может ничего подобного. И не потому, что она стала хуже с 1994 года или написанное мною тогда перестало быть правдой сегодня, но оттого, что криптография существует не в вакууме.

Криптография - это раздел математики и, как и прочие ее разделы, связана с числами, уравнениями и логикой. Безопасность - реальная, ощутимая безопасность, столь необходимая нам с вами, - связана с людьми: с уровнем их знаний, их взаимоотношениями и с тем, как они управляются с машинами. Информационная безопасность связана с компьютерами - сложными, нестабильными, несовершенными компьютерами.

Математика абсолютна; окружающий мир субъективен. Математика совершенна; компьютеры могут ошибаться. Математика логична; люди, как и компьютеры, ошибаются, они своевольны и едва ли предсказуемы.

Ошибка "Прикладной криптографии" была в том, что я рассуждал обо всем независимо от контекста. Я говорил о криптографии так, как будто она и есть <Ответ ТМ>. Я был потрясающе наивен.

Результат же был вовсе плох. Читатели поверили, что криптография - род некоей магической пыли, которая покроет их программное обеспечение и сделает его неуязвимым. И они произносили магические заклинания вроде "128-битовый ключ" или "инфраструктура открытого ключа". Как-то однажды коллеги поведали мне, что мир наполнился плохими системами безопасности, сконструированными людьми, прочитавшими "Прикладную криптографию".

С момента написания той книги я занимался тем, что давал консультации по криптографии: по всем вопросам, связанным с разработкой и анализом систем безопасности. К своему несказанному удивлению, я обнаружил, что слабые места в системах безопасности отнюдь не определяются недостатками математических моделей. Они были связаны с аппаратурой, программами, сетями и людьми. Прекрасные математические ходы становились никчемными из-за небрежного программирования, гнусной операционной системы или просто выбора кем-то плохого пароля.

В поисках слабины я научился смотреть шире, рассматривая криптографию как часть системы. Я начал повторять пару сентенций, которые красной нитью проходят через всю эту книгу: "Безопасность - это цепь: где тонко, там и рвется" и "Безопасность - это процесс, а не продукт".

Любая реальная система - запутанная серия взаимодействий. Защита должна распространяться на все компоненты и соединения этой системы. И в этой книге я старался показать, что в современных системах настолько много компонентов и связей - некоторые из них неизвестны даже создателям, а тем более пользователям, - что угроза для безопасности всегда остается. Ни одна система не совершенна; ни одна технология не есть <Ответ ТМ>.

Сказанное очевидно каждому, кто знаком с проблемами безопасности на практике. В реальном мире за словом "безопасность" скрывается ряд процессов. Это не только упреждающие мероприятия, но и обнаружение вторжения, его пресечение и целая судебная система, позволяющая выследить виновного и преследовать его по суду. Безопасность - не продукт, она сама является процессом. И если мы должны обеспечить безопасность нашей вычислительной системы, нам необходимо начать разработку этого процесса.

Несколько лет назад я слышал цитату, которую слегка изменил: "Если вы думаете, что технология может решить проблемы безопасности, то вы не понимаете ни проблем безопасности, ни технологии".

Эта книга о проблемах безопасности, о технологических ограничениях и о поиске решения.

Комментарии

Андрей Русяев

Брюс Шнайер широко известен настольной книгой всех кто занимается криптографией, криптоанализом и смежными с ними областями - "Прикладная криптография". Однако эта книга совсем не о криптографии, она охватывает более широкую тему - безопасность цифровых данных. Книга в первую очередь будет интересна всем кто пытается получить всеобъемлющие знания об угрозах и рисках в сетевой безопасности, о принципах построения надёжного программного обеспечения, о существующих технологиях и стратегиях защиты данных от злоумышленников.

Основная мысль, заложенная в книгу и ненавязчиво прививаемая читателю, что невозможно обеспечить абсолютную безопасность данных каким-либо способом, но можно приблизиться к этому идеалу, если подходить к решению комплексно, со всех сторон, всегда держа в уме, что безопасность всей системы определяется самым слабым звеном в цепи, и не забывая, что кроме мер предотвращения опасности всегда должны приниматься меры по обнаружению и реагированию на происходящие нарушения.

Самое странное для меня в этой книге было, наравне просто с замечательными примечаниями редакции (человек явно хорошо разбирается в предмете) обнаружить множество просто нелепо переведённых фраз, и местами даже явно неправильно (особенно это часто связано с терминами криптографии). Что, к сожалению, плохо сказывается на качестве самой книги. Но в целом книга на удивление просто читается и довольно насыщена информацией и примерами, она не является чисто теоретической или чисто практической, она скорее обобщение опыта накопленного автором за время его научной и практической деятельности и наверное поэтому очень увлекательна. Более полной книги по данной теме на русском языке я не встречал.

Лично по моей оценке - эта книга заслуживает второго и третьего прочтения с карандашом в руках, и может использоваться в качестве направляющей для всех кто интересуется компьютерной безопасностью.

Сергей Холодилов

Хорошая книжка, её стоит прочитать. И, в целом, я соглашусь со всем, что написал Андрей. Но есть и хм.. особенности (по принципу: "это не баг, это фича", то есть, видимо автор так и задумывал):

Не могу не отметить и неожиданные плюсы:

    Сообщений 5    Оценка 136        Оценить