Скачиваний:
49
Добавлен:
16.04.2013
Размер:
44.54 Кб
Скачать

6. Простейшие практические меры защиты информации

6.1. Как работать с паролями

Как было уже сказано, слабейшим звеном всякой системы защиты является человек. Даже в самой надёжной криптосистеме можно подобрать пароль, если пользователь выбрал его неаккуратно. Ниже приведены правила выбора паролей и обращения с ними. Несоблюдение их может свести на нет всю сложную систему защиты.

1.

Пароль не должен быть значимым словом или сочетанием слов какого-либо языка. Словари всех языков давно составлены вместе со всеми возможными формами слов. Распространённые системы подбора паролей начинают перебор, используя словарь, в котором слова расставлены по частоте их употребления. Например, у вас длина пароля до 12 символов. Противник начинает взламывать вашу защиту, перебирая пароль со скоростью 10 000 вариантов в секунду (средний компьютер). Если в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то возможных вариантов примерно 1262, и перебор вариантов займёт

Возраст вселенной существенно меньше этого срока. Но если вы для более лёгкого запоминания поставили в качестве пароля осмысленное слово, то количество вариантов резко сокращается. В языке примерно 100 000 слов, вместе два языка дадут 200 000, с учётом всех возможных форм и кодировок пусть 106. Такое число будет перебрано за

Несколько выше ваши шансы, если использовалась пара слов. Сочетаний из двух слов – 1012. Перебор займёт 108 с – около 3 лет. Однако стоит противнику применить компьютер помощнее, как время полного перебора вновь упадёт до нескольких минут. Если же ваше сочетание слов сколь-нибудь осмысленно, то задачка упрощается на несколько порядков.

2.

Не записывайте свой пароль в файле или на бумажке. Это приведёт к тому, что пароль не только станет известен тому, кто захочет его узнать, но и вы не будете подозревать, что пароль скомпрометирован. Когда вы не рискуете положиться на свою память, пароль записывается в специальный журнал паролей, который опечатывается и хранится в сейфе или в другом месте, исключающем доступ посторонних.

3.

Не используйте один пароль для нескольких целей. Предположим, что вы придумали и ухитрились запомнить хороший пароль. И вы ставите его на свой аккаунт в локальной сети, на свой почтовый ящик, аккаунт в системе баннерного обмена, электронный кошелёк, шифруете им свои архивы и т.д. У всех этих систем разная степень стойкости. Грамотному хакеру не составит большого труда перехватить ваш пароль на почтовый ящик. После этого, если не полный лентяй, он попробует его ко всем вашим аккаунтам и, конечно, будет прав. Чтобы избежать такой "цепной реакции", придётся вам напрячь память и запомнить несколько паролей. Надо заметить, что не везде нужны пароли длинные и стойкие. Где-то возможно применение и простых, если информация не представляет особой ценности.

4.

При наборе пароля, хотя он, как правило, на экране не отображается, следует всё же избегать чужих глаз. Будет очень полезно, если вы заведёте в коллективе такой порядок, что когда кто-то набирает свой пароль, остальные, как истинные джентльмены, отворачиваются, независимо от того, видно им или нет.

6.2. Шифрованные архивы

Программы-архиваторы, как правило, имеют опцию шифровки. Ею можно пользоваться для не слишком важной информации. Во-первых, используемые там методы шифровки не слишком надёжны (подчиняются официальным экспортным ограничениям), во-вторых, детально не описаны. Всё это не позволяет всерьёз рассчитывать на такую защиту. Архивы с паролем можно использовать только "для чайников".

На некоторых сайтах в Интернете вы можете найти "ломалки" для зашифрованных архивов. Например, архив ZIP взламывается на хорошем компьютере за несколько минут, при этом от пользователя не требуется никакой особой квалификации.

Дополнительная информация

Ultra Zip Password Cracker 1.00 [32 кб] - Быстродействующая программа для подбора паролей к зашифрованным архивам. Русский/английский интерфейс. Win'95/98/NT. (Разработчик – "m53group")

Advanced ZIP Password Recovery 2.2[606 кб] - Мощная программа для подбора паролей к ZIP-архивам. Высокая скорость работы, графический интерфейс, дополнительные функции. ОС: Windows 95/98/NT. "Elcom Ltd.", shareware.

6.3. Шифровка в Word и Excel

Фирма Майкрософт включила в свои продукты некоторое подобие криптозащиты. Но это весьма законопослушная фирма, которая чётко соблюдает все экспортные ограничения США, да ещё и перестраховывается. Это не позволяет надеяться на стойкость такой защиты. К тому же, алгоритм шифровки не описан, что, как было показано выше, является показателем ненадёжности.

Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах <чёрный ход>. Если вам очень нужно расшифровать файл, пароль к которому утрачен (или враг не хочет говорить), можно обратиться в фирму. По официальному запросу, при достаточных основаниях они проводят расшифровку файлов Word и Excel. Так, кстати, поступают и некоторые другие производители ПО.

6.4. Шифрованные диски (каталоги)

Шифровка – достаточно надёжный метод защиты информации на вашем жёстком диске. Однако если количество закрываемой информации не исчерпывается двумя-тремя файлами, то вам будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования – зашифровывать обратно. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.

Поэтому удобно использовать специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи её на диск и чтении с диска.

6.5. Меры организационного характера

Обязательные

  • Познакомить всех сотрудников с принципами ЗИ и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.

  • Чётко классифицировать всю информацию по степени её закрытости и ввести правила обращения с документами ограниченного распространения.

  • Обязать сотрудников исполнять требования по ЗИ, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

  • Заставить всех сотрудников изучить современные средства ЗИ и сдать по ним зачёт.

  • Иметь в штате специалиста, профессионально разбирающегося в проблемах ЗИ.

  • Не использовать в работе ПО, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интеренету сведений изготовителю ПО. Особенно подобным поведением "грешат" программные продукты фирмы "Майкрософт".

  • Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.

  • Приобрести сертифицированные средства ЗИ.

  • Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое ПО. При получении любых исполняемых файлов по электроной почте стирать их, не разбираясь.

Дополнительные

  • Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.

  • Провести "испытание" имеющихся у вас средств ЗИ, поручив стороннему специалисту испробовать на прочность вашу защиту.

6.6. Дополнительная информация

Donald Dick [client/server spy] – образец троянской программы. Donald Dick – система удаленного управления компьютерами с Windows-95, -98 или NT 4.0. Будучи установлен на компьютер, позволяет без согласия и ведома пользователя дистанционно управлять практически всеми его ресурсами. 

Соседние файлы в папке Литература