Э. Таненбаум - Компьютерные сети. (4-е издание) (DJVU) (1130092), страница 248
Текст из файла (страница 248)
8.47. Передача данных при использовании 881. С 361 связана еше одна проблема: у принципалов может не быть сертификатов, а даже если они есть, далеко не всегда производится проверка соответствия ключей и сертификатов. В 1996 году корпорация 1чегзсаре Сопппигйсайопз направила 331. на стандартизацию в 1ЕТЕ. Результатом стал стандарт Т1.$ (Тгапзрогт 1луег Зеспнту — зашита транспортного уровня).
Он описан в КГС 2246. В БЯЕ при создании стандарта Т1.3 было внесено не так у>к много изменений, однако их оказалось достаточно для того, чтобы 551. версии 3 и Т13 стали несовместимыми. Например, в целях усиления ключа был изменен способ вычисления ключа сеанса по подготовительному ключу и нонсам. Т1.3 также известен как 331.
версии 3.1. Первая реализация появилась в 1999 году, однако до сих пор не очень понятно, заменит ли ТЕВ 531., даже учитывая то, что Т13 несколько надежнее. Проблема с ключами КС4, между прочим, никуда не >исчезла, Защита переносимых программ Именование ресурсов и соединения — это две области, которые, несомненно, тесно связаны с защитой информации во Всемирной паутине. Однако существуют и другие, не менее важные вопросы, связанные с той же темой. Поначалу веб-страницы представляли собой полностью статические НТМ1.-файльг и не содержали исполняемый код.
Теперь же на веб-страницах очень часто встречаются небольшие программы: )ага-апплеты, управляющие элементы Ас11чеХ, скрипты ) ачаБспрк Загрузка и выполнение таких переносимых программ, очевидно, связаны Защита информации во Всемирной паутине 921 с большим риском возникновения массовых атак. Были разработаны различные методы, направленные на минимизацию этого риска. Далее мы обозначим некоторые вопросы, связанные с проблемами защиты переносимых программ, Защита зама-апплетов )ача-апплеты — это небольшие программы на языке )ача, откомпилированные в машинный язык со стековой организацией под названием 1ч'М ()ача Ъ'1гчпа1 МасЫпе — виртуальная машина )ача). Такие программы могут размещаться на веб-странице и загружаться вместе с ней. После загрузки страницы апплеты обрабатываются интерпретатором Гч'М в браузере, как показано на рис.
8А8. Виртуальное адресное пространство ОхРРПРЕ Ненадежный впплет Песочница Интерпретатор Надежный апплет Рис. 8.46. Апплеты могут интерпретироватьсп веб-браузером Преимущество интерпретируемого кода перед компилируемым состоит в том, что перед исполнением изучается каждая инструкция. Это дает интерпретатору возможность проверить состоятельность адреса инструкции, Кроме того, системные вызовы также перехватываются и интерпретируются. Как именно они обрабатываются, зависит от политики зашиты информации. Например, если апплет надежный (например, он был создан на локальном диске), его системные вызовы могут обрабатываться без дополнительных проверок. Если же апплет не может считаться надежным (например, он был загружен из Интернета), его можно поместить в так называемую песочницу, регулирующую его поведение и пресекаюшую его попытки использовать системные ресурсы, Если апплет пытается захватить системный ресурс, вызов передается монитору безопасности, который может разрешить или запретить данное действие.
Монитор исследует вызов с точки зрения локальной политики защиты информации и затем принимает нужное решение. Таким образом, можно предоставить апплетам доступ к некоторым (но не ко всем) ресурсам. К сожалению, в реальной жизни такая модель работает плохо, в ней постоянно возникают ошибки. АстЬеХ Управляющие элементы Асс!чеХ вЂ” это двоичные программы, рассчитанные на процессор Репе(пш, которые можно внедрять в веб-страницы. Когда на странице 922 Глава 8.
Безопасность в сетях встречается такая программа, производится проверка необходимости ее выполнения, и в случае положительного ответа она запускается. Эти программы не интерпретируются и не помещаются в песочницы, поэтому они обладают такими же возможностями, как обычные пользовательские программы, и, в принципе, могут нанести большой вред.
Таким образом, вся защита информации в данном случае сводится к вопросу о том, стоит ли запускать управляющий элемент. Для принятия таких решений корпорацией М)сгозой был выбран метод, базирующийся на подписях кода. Суть в том, что каждый элемент АсйчеХ снабжается цифровой подписью, а именно хашем кода, подписанным его создателем с использованием открытого ключа Когда браузер встречает управляющий элемент, он вначале проверяет правильность подписи, убеждаясь в том, что код не был заменен по дороге.
Если подпись корректна, браузер проверяет по своим внутренним таблицам, можно ли доверять создателю программы. Возможно, про самого создателя ничего не известно, но сушествует цепочка заверений, ведущая к какому-либо известному своей надежностью разработчику. Если создатель надежный, программа выполняется, в противном случае ипюрируется. Система, созданная М!сгозой для проверки управляющих элементов АсйчеХ, называется Аийепг)сог)е.
Полезно противопоставлять друг другу подходы )ага и АсйчеХ. В первом случае не производятся никакие попытки установить авторство апплета. Вместо этого используется интерпретатор, который запрещает апплету совершать определенные нежелательные действия. Что касается метода подписания кода, то в этом случае, напротив, поведение программы во время ее выполнения никак не отслеживается. Если она была получена из проверенного источника и по дороге не была изменена, она просто запускается.
Проверка самого кода не осуществляется. Если программист намеренно написал код, форматируюший жесткий диск и стирающий флэш-память компьютера, и при этом он считается проверенным и надежным программистом, то код выполнится и выведет из строя компьютер (если только в браузере не отключены управляющие элементы АстгхеХ), Многие считают, что доверять неизвестным производителям программного обеспечения несколько легкомысленно. Чтобы доказать это, один программист из Сиэтла основал свою компанию и добился получения сертификата надежности, что не так уж сложно.
После этого он написал управляющий элемент АсйчеХ, который всего-навсего выключал компьютер. Он распространил свою прогРамму весьма широко, и она выключила не одну тысячу компьютеров. Впрочем, машины после этого можно было запросто включить заново, поэтому никакого Ушерба такой управляющий элемент нанести не мог, Цель проекта состояла в том, чтобы указать миру на наличие проблемы. Официальная реакция выразилась в отзыве сертификата для данного конкретного управляющего элемента, и на этом инцидент был исчерпан. Но проблема-то решена не была, и нечистые иа Руку программисты могли продолжать использовать эту дыру в защите (Сагг1п)ге! и ВраХЕогб, 2002).
Поскольку нет никакой возможности проследить за деятельностью всех компаний, пишущих переносимые программы, вскоре метод подписания кода может представлять собой довольно серьезную угрозу. Социальный аспект 929 4ама8сг1р1 В )ачаЯсг!рс вообще отсутствует какая-либо официальная модель системы защиты информации, зато существует длинная история неудачных попыток ее внедрения. Каждый производитель пытается пртщумать что-нибудь свое. Например, в Хесзсаре Ыач1яасог версии 2 было реализовано нечто подобное )ача-модели, а уже в четвертой версии прослеживаются черты модели подписей кода.
Суть проблемы в том, что чужеродной программе разрешается выполнять какие-то действия. Это может привести к непредсказуемым последствиям. С точки зрения безопасности это то же самое, что позвать в гости вора и пытаться внимательно следить за тем, чтобы он не проник из кухни в гостиную. Если произойдет что-нибудь неожиданное, а вы в этот момент отвлечетесь, может случиться что угодно.
Аргументом в защиту переносимых программ служит то, что с их помощью легко реализуются флэш-графика и быстрое взаимодействие с пользователем. Создатели веб-сайтов обычно считают, что это гораздо важнее, чем защита информации, особенно когда дело касается какого-нибудь чужого компьютера. Вирусы Вирусы — это своеобразная форма переносимого кода. Только в отличие от приведенных выше примеров, запускать такие программы никто не хочет.
Основное отличие вирусов от обычных переносимых программ заключается в том, что они воспроизводят сами себя. Когда в систему проникает вирус (с, веб-страницы, во вложении электронного письма или как-то еще), для начала он заражает исполняемые программы, хранящиеся на диске. При запуске какой-либо из этих программ управление передается вирусу, а тот обычно пытается распространить свое действие еще и на другие машины, например, рассылая самого себя по электронной почте всем адресатам из адресной книги жертвы. Некоторые вирусы заражают загрузочный сектор жесткого диска, поэтому вирус активируется при загрузке машин. Вирусы в какой-то момент стали представлять собой крупномасштабную проблему для Интернета и принесли многомиллиардные убытки.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
