Перечислите атаки воздействия на информацию, специфические для баз данных. Какие методы подбора паролей вы знаете, охарактеризуйте их.
>>>
Атаки воздействия на информацию:
- сканирование файловой системы;
- подбор пароля;
- кража ключевой информациии;
- сбор мусора;
- превышение полномочий;
- программные закладки;
- "жадный" програмист.
>>>
Методы подбора паролей:
- тотальный перебор;
- подюор пароля, с использованием знаний о пользователе (имя, ФИО, дата рождения...);
- попатка применить пароли стандартных учетных записей, которые устанавливаются по умолчанию;
- обход ограничительного доступа с помощью троянских коней;
- перехват сообщейний, которыми обмениваются удаленные пользователи и удаленная система;
- дешифровка паролей;
- атака по словарю (При атаке по словарю в утилитах используется внешний словарь и для каждого из слов словаря последовательно вычисляются хэши, которые затем сравниваются с хэшем пароля. Преимуществом данного метода является его высокая скорость, а недостатком — большая вероятность отсутствия пароля в словаре);
- атака методом последовательного перебора (При атаке методом последовательного перебора сгенерированные пробные пароли представляют собой случайные комбинации символов. При данном типе атаки можно задать набор символов, из которых будут составляться пробные пароли, а также задать минимальную и максимальную длину пароля. Методом последовательного перебора подобрать пароль можно всегда — это лишь вопрос времени, которое может исчисляться годами и даже столетиями. Поэтому эффективность такого метода весьма и весьма низкая.);
- атака по маске (представляет собой модифицированную атаку методом последовательного перебора и используется в том случае, если о пароле имеется определенная предварительная информация. Например, если известны некоторые символы пароля, то можно дополнительно указывать, какие символы должны присутствовать в пароле (и их местоположение), то есть настраивать маску пароля).
8. Перечислите принципы построения защищенных систем баз данных, поясните принцип «минимально возможных привилегий для пользователей и администраторов».
>>>
Принципы:
- экономическая оправданность механизмов защиты (использование простейшего из всех возможных вариантов защиты БД);
- открытое проектирование (технология защиты не должна базироваться на "секретных" алгоритмах);
- распределение полномочий между различными субъектами в соответсвии с правилами организации (для критически важных приложений целесообразно использовать многокомпонентные системы доступа к данным - аутенификация, например);
- минимально возможные привелегии для пользователей и администраторов (направлен на то, чтобы каждый пользователь оперировал с данными используя наименьший из возможных наборов привелегий, необходимых для выполнения конкретной операции. Нацелен на минимизацию ущербы, который может быть нанесен в случае сбоя, ошибки ПО или компрометации элементов системы защиты БД);
- упраляемость системы при возникновении отказов и сбое (проектировано ИС должно осуществляться в предположении, что ошибки ОС и СУБД, а также сбои аппаратуры неизбежны);
- психологическая приемлимость работы средст защиты БД (взаимодействие пользователя и машины не должно быть сложным).
>>>
Принцип «минимально возможных привилегий для пользователей и администраторов» (разрешено все, что явно не запрещено) направлен на то, чтобы каждый пользователь оперировал с данными используя наименьший из возможных наборов привелегий, необходимых для выполнения конкретной операции. Нацелен на минимизацию ущербы, который может быть нанесен в случае сбоя, ошибки ПО или компрометации элементов системы защиты БД.