Отправляет email-рассылки с помощью сервиса Sendsay

Личная безопасность

  Все выпуски  

Личная безопасность 07.05.02


Информационный Канал Subscribe.Ru


ЛИЧНАЯ БЕЗОПАСНОСТЬ

Анонс:

Обзор рынка:

Мучительный выбор мобилы

Автор: Глеб Сергеев

Какой телефон выбрать? Вопрос банальный, но отнюдь не праздный: окинув взглядом прилавки салонов сотовой связи, ощущаешь натуральную рябь в глазах. Конечно, в первую очередь решение зависит от суммы, которую вы собираетесь потратить…

Но согласитесь, телефон необходимо оценивать не только по количеству зелененьких, которые за него просят, но и по физическим параметрам, удобству в использовании, внешнему виду, функциональности, звуку, качеству связи. Кроме того, телефон создается с прицелом на ту или иную целевую группу…

Итак, какой же выбрать?

- до 100 $
- до 180 $
- до 300 $
- свыше 300 $

{ Подробнее
http://www.alliance.com.ua/review/choice2002/main.htm
}

 

Тест мобильных телефонов и смартфонов:

Nokia 6310

Компания Nokia представила долгожданное продолжение весьма популярной модели 6210 – новый аппарат 6310. Мобильные телефоны этого класса наиболее распространены среди менеджеров среднего звена – среди тех, кто требует от трубки наибольшей функциональности. В этом плане Nokia 6310 – один из самых продвинутых телефонов своего класса.

То, что 6310 является логическим продолжением 6210, видно с первого взгляда. Внешне аппарат практически не отличается от предшественника, но дизайнерский полет фантазии добавил новинке шарма. Дисплей обрамляет панелька золотистого цвета, что хорошо сочетается с матово-черной с вкраплениями серебристого цвета поверхностью корпуса. Небольшие позитивные изменения в плане дизайна коснулись и управляющих кнопок и клавиатуры – причем аппарат стал лучше не только с эстетической, но и с функциональной точек зрения: теперь работать с ним гораздо удобнее. Кнопки для перемещения по меню находятся в небольшом углублении, вокруг которого расположены остальные управляющие клавиши – что с легкостью позволяет осуществлять управление аппаратом большим пальцем руки.

P.s

Тестируем Bluetooth

Как мы писали выше, Nokia 6310 может обеспечивать локальную связь с различными периферийными устройствами двумя способами – либо при помощи ИК-порта, либо при помощи Bluetooth-порта. Оба устройства служат заменой кабельному соединению, но по сравнению с инфракрасной связью возможности Bluetooth гораздо шире (и дальность больше раз в 10, и ограничения на прямую видимость отсутствуют, да и много чего еще). О том, как работает Bluetooth в Nokia 6310 совместно с Bluetooth-адаптером на базе PC-карт (Bluetooth Connectivity Card), и пойдет речь ниже.

{ Подробнее
http://www.alliance.com.ua/test/nokia/6310/main.htm

 

Новые мелодии в кнопочной версии для телефонов:

Alcatel, Audiovox, Nokia, Ericsson, Siemens, Motorola,
Panasonic, Sony, Samsung, Philips, NEC, Sendo, Sanyo

  • Пресняков Владимир - Стюардесса по имени Жанна
  • Орбакайте Кристина - Мой мир
  • Beatles - All you need is love
  • Garbage - The World Is Not Enough
  • Counter Strike - Time Bomb

{ Подробнее
http://www.alliance.com.ua/melodie/main.htm
}

 

Новая статья:

ЗАЩИЩЕНА ЛИ MICROSOFT .NET?


Автор: Алексей Викторович Лукацкий
Мир связи. Connect! № 3, 2002


Введение

О новой архитектуре Miscrosoft .NET говорят сейчас все и превозносят ее как нечто уникальное и революционное. Не ставя под сомнение эти утверждения, хотел бы рассказать о том, насколько защищена эта архитектура и не принесет ли она специалистам новых сюрпризов. Если проследить статистику появления "дыр" в операционных системах Microsoft, то она такова:

  • В 1999 году первые 15 мест по числу обнаруженных уязвимостей занимали решения компании Microsoft (исключая "счастливое" 13-е место, которое принадлежало Sun Solaris 7).
  • В 2000 году в "горячей десятке" Microsoft занимала только 1-ую, 5-ую и 8-ую позиции, предоставив остальные места RedHat Linux.
  • В 2001 году Microsoft переместилась с первого на седьмое место, уступив пальму первенства Linux Mandrake (другие места занимают RedHat Linux, Debian Linux, Sun Solaris и SCO OpenServer).

Тенденция очевидна - с каждым годом Microsoft начинает "сдавать" свои позиции, как самой уязвимой операционной системы, что не может не радовать. Проводя параллель, можно сделать вывод, что в этом году, число уязвимостей будет еще меньше. Тем более что в платформе .NET механизмы защиты реализованы на более качественном уровне. Рассмотрим их более пристально. А для начала уточним некоторые задачи, для решения которых создавалась данная концепция:

  • Создание новые операционных систем, ориентированных на различные устройства (не только компьютеры) и позволяющие пользователям работать с распределенными данными независимо от их расположения.
  • Создание надежных серверов, ориентированных на поддержку функционирования критичных для компании приложений, в первую очередь ориентированных на работу в Internet.

 

Основные понятия .NET Framework

Можно выделить несколько основных компонентов Framework .NET, которые участвуют во всех механизмах обеспечения безопасности новой серверной платформы, призванной составить конкуренцию инициативе Java 2 Platform компании Sun. Common Language Runtime (CLR) - инструмент, позволяющий выполнять исполняемые модули не на "родном" языке (для данной архитектуры компьютера), а на промежуточном байт-коде, т.н. Microsoft Intermediate Language (MSIL). Знатоки Java узнают в таком подходе аналогию с байт-кодом Java, который должен выполняться на любом Java-совместимом компьютере. Т.е. программы, написанные на любом языке высокого уровня, например, C, Pascal и т.д., транслируются в MSIL, который и выполняется в среде CLR. В свою очередь механизм Common Language Runtime компилирует MSIL в машинный код либо на лету (Just-In-Time) либо с помощью CLR Native Image Generator. Но при этом осуществляется не обычная компиляция в машинный код, а с учетом некоторых внешних условий - в т.ч. и условий безопасности. Например, один из MSIL-модулей может ограничить разрешенные действия в вызываемом им подчиненном MSIL-модуле. Например, .NET-программа может разрешить только чтение локальных файлов внешним приложениям, в то время как для локальных приложений предоставить полный доступ. Можно видеть, что данная схема очень похоже на броузеры, являющиеся промежуточным звеном, выполняющим апплеты и иной мобильный код (ActiveX и т.д.) с учетом определенных прав доступа. Такой контроль всех действий MSIL-модулей даже получил свое название "управляемого кода" (managed code). Тем самым Microsoft обещает как можно быстрее избавиться от неуправляемого кода (в обход CLR), по вине которого и наносится основной ущерб информационным ресурсам (троянцы, вирусы, черви и т.д.). С точки зрения безопасности, CLR напоминает "песочницу" (sandbox) Java, которая призвана контролировать исполнение кода и не дать ему выполнить неожиданные или враждебные действия.

Второй основной компонент - библиотеки классов, которые могут многократно использоваться разработчиками в своих программах, не изобретая велосипед. С помощью таких классов реализованы различные защитные функции, включая разграничение полномочий, аутентификация, криптографическая защиты и т.д.

Безопасность .NET

Система безопасности .NET состоит из ряда элементов, часть из которых я и рассмотрю далее:

  • Безопасность на уровне показаний (evidence-based security)
  • Безопасность на уровне кода (access code security)
  • Процесс верификации (verification process)
  • Безопасность на уровне ролей (role-based security)
  • Криптография
  • Безопасность на уровне приложений (applications domain).

 

Политика безопасности

К основным элементам данного механизма можно отнести: политику безопасности (policy), полномочия (permissions) и показания (evidence). Политика безопасности уже давно известна всем пользователям не только ОС семейства Windows. В ней определяются, какие субъекты (пользователи, программы и т.д.) могут получить доступ к защищаемым ресурсам, исключая попытки нарушения их целостности, доступности или конфиденциальности. Политика безопасности, описываемая на XML, применяется не только к каждому пользователю, но и к каждому компьютеру корпоративной сети.

Полномочия описывают защищаемые ресурсы и связанные с ними права доступа. .NET Framework определяет большое число защищаемых ресурсов, включая системный реестр, файлы, журналы регистрации, DNS, Web-ресурсы, принтер и т.д. Показания в свою очередь определяют, откуда получен тот или иной код и сопутствующие параметры, например:

  • автор кода (технология Authenticode),
  • источник кода (конкретный адрес URL, зона безопасности /Internet, локальная сеть/ и т.д.).

В целом, такой подход повышает защищенность системы, т.к. помимо настроек, создаваемых администратором, в системе уже по умолчанию реализованы некоторые механизмы, которые не позволяют реализовать те или иные несанкционированные действия. .NET становится еще ближе к рядовому пользователю, не имеющему глубоких познаний в области обеспечения информационной безопасности.

Безопасность кода

Разработчик сам определяет все привилегии, которые нужны исполняемому коду для своей нормальной работы. Одной программе нужен только доступ на чтение, второй - доступ на модификацию, третей - полный доступ и т.д. Такие полномочия задаются в самом коде и всегда "следуют" за ним, что позволяет делать действительно мобильные и переносимые приложения. В процессе своего выполнения код не только может "запросить" права на доступ к какому-либо объекту (например, файлу), но и потребовать от вызывающей стороны (например, пользователя или другой программы) соответствующих полномочий на обращение к себе. Такой механизм позволяет создавать программы, которые могут выполняться только администратором безопасности и никем иным. Этот подход также позволяет создавать код, который, например, не сможет получить доступ к локальным файлам, даже если администратор разрешил такое действие ("разработчик превыше всего"). Проверив код с разных сторон, система безопасности .NET создает для него набор привилегий, с которыми код и выполняется в системе.

Процесс верификации

Технология CLR позволяет существенно ограничить возможности несанкционированных действий со стороны враждебного кода. В т.ч. CLR не разрешает создавать указатели на произвольный адрес в памяти, тем самым, защищая приложения от распространенных атак типа "переполнение буфера". Такая защита реализуется в процессе исполнения MSIL-модулей с помощью процесса верификации. Однако надо помнить, что существует потенциальная возможность обхода названного защитного механизма, используя неуправляемый код, напрямую обращающийся к ресурсам компьютера в обход CLR.

Ролевая безопасность и криптография

Данные механизмы известны уже давно и я не буду их подробно описывать. Отмечу только, что в .NET предусмотрены т.н. провайдеры аутентификации, которые удостоверяют, что субъект, пытающийся получить доступ к защищаемому ресурсы, именно тот, за кого он себя выдает. В настоящий момент .NET Framework поддерживает аутентификацию с помощью cookies, Passport (собственная технология Microsoft), Kerberos, сертификаты X.509, NTLM, криптографическая аутентификация и т.д.

Библиотеки классов .NET Framework реализует большое число криптографических примитивов, которые используется как встроенными приложениями, так и приложениями, разработанными внешними разработчиками. Эти примитивы используют давно известные алгоритмы:

  • RSA, DSA - шифрование и ЭЦП с открытыми ключами;
  • DES, TripleDES, RC2 - симметричное шифрование;
  • MD5 и SHA1 - функция хеширования.

С помощью спецификации CryptoAPI могут быть подключены и другие алгоритмы, в т.ч. и российские ГОСТ 28147-89, ГОСТ Р 34.10-01, ГОСТ Р 34.11-94.

Защита приложений

Последний из рассматриваемых механизмов - защиты приложений. Обычно, каждому приложению выделяется своя изолированная от других приложений область (отдельный процесс), в рамках которой и выполняется приложение. Таким образом предотвращается непосредственное вмешательство одного приложения в работу другого. Однако на сильно загруженных серверах, такой подход является неоправданным и зачастую нереализуемым. Возможность контроля управляемого кода в рамках CLR и процесс верификации позволяют реализовать в рамках одного процесса несколько изолированных друг от друга приложений, каждый из которых обладает своими собственными полномочиями.

Заключение

Идеи, заложенные в .NET Framework, достаточно очевидны и не являются уникальными - унификация набора базовых функций (библиотеки классов) и улучшение управляемости приложений, в т.ч. и с точки зрения безопасности (CLR). Можно сказать, что концепция .NET вобрала в себя все известные технологии, используемые и в предыдущих версиях решений Microsoft, и в программных продуктах других компаний. Однако как уже бывало не раз, заявив о прекрасной идее, Microsoft пошла своим путем. Как говорится, "хотелось, как лучше, а получилось, как всегда". Любая, даже самая замечательная идея может быть дискредитирована неправильной реализацией, а Microsoft славится этим. Большой скандал произошел в Сан-Франциско 13 февраля 2002 года. В этот злосчастный день, на конференции VSLive были представлены .NET Framework и Visual Studio.NET. Однако уже на следующий день компанией Cigital, которая занимается разработкой программных средств в области управления информационными рисками, был выпущен пресс-релиз (http://www.cigital.com/news/mscompiler.html), в котором говорится об уязвимости средств разработки Microsoft Visual C++.NET и Visual C++ версии 7. Данная уязвимость присуща одному из компонентов данных программных средств, ответственному за контроль переполнения буфера. Самое интересное, что обнаруженная уязвимость сама относилась к данному классу. Т.е. компонент Visual C++.NET оказался уязвим к проблеме, от которой он был призван защищать. Самое опасное, что данная уязвимость автоматически переносится во все приложения, написанные с помощью Visual C++.NET. Т.е. даже если программист и не сделает такую оплошность, это "исправит" Microsoft, внеся в созданную программу фрагмент, который может быть использован злоумышленниками. "Вместо того, чтобы защищать, он (уязвимый компонент - А.Л.) вообще ничего не делает", - говорится в пресс-релизе Cigital.

На этом можно было бы и ограничиться, если бы не сообщения о первом вирусе, который специально разработан для платформы .NET. В середине января этого года был обнаружен вирус W32/Donut, который, по мнению специалистов, был специально выпущен на волю с целью продемонстрировать уязвимость .NET.

В заключение хочу сказать, что "благими намерениями выстлана дорога в ад" и компания Microsoft, предложив действительно интересную и эффективную концепцию системы защиты своей новой архитектуры .NET, не смогла уделить достаточно внимания ее реализации, что в очередной раз поставило под сомнение желание компании Microsoft создавать действительно защищенные приложения. Однако упущение Microsoft дает шанс многим небольшим (по сравнению с Microsoft) компаниям, которые "живут за счет" того, что выпускают различные средства обеспечения информационной безопасности для операционных систем Microsoft. К таким компаниям можно отнести как западные, так и российские фирмы. Например, известная компания Internet Security Systems выпускает средства поиска уязвимостей в решениях Microsoft, включая операционную систему Windows XP и т.д. Система RealSecure Desktop Protector этой же компании предназначена для обнаружения атак на рабочие станции, функционирующие под управлением Windows XP. Говоря о компании Internet Security Systems, нельзя не сказать о том, что Microsoft приобрела лицензию на встраивание технологии обнаружения атак в свое решение MS ISA Server, которое является одним из основных компонентов линейки серверов .NET. Из российских компаний можно назвать НИП "Информзащита", которое славится тем, что выпускает сертифицированные в Гостехкомиссии России системы защиты для платформы Windows с 1992 года, пройдя путь от MS DOS до самых современных ОС компании Microsoft.

Источник: НИП "ИНФОРМЗАЩИТА"

Обновлен сервер "Проекта - Alliance.com.ua"

Последние новости каждый час на нашем сайте www.alliance.com.ua :)

Весь архив рассылки на CityCat

Ведущий рассылки - Андрей Барановский
www.inroad.kiev.ua  ,  www.alliance.com.ua
www.psiholog.kiev.ua


Another Banner Network

http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное