Кто владеет информацией — тот владеет миром.

Ротшильд

Пока другие только пытаются понять законы рынка, используй их!

Терморектальный криптоанализTM

Лазейка

Лазейка — это механизм, посредством которого можно пробраться в систему. Источник такой возможности кроется в ошибках в организации системы безопасности. Однако, эта «дверь» может быть сознательно включена в текст программы самим программистом. Я, например, нахожу, что такие лазейки достаточно удобны, потому что они давали мне доступ в программное обеспечение, которое стало коммерческим продуктом, но все же в особых случаях требовало моего вмешательства. В определенных приложениях доступ к лазейкам может быть запрещен после того, как система становится коммерческим продуктом.

Для обеспечения большей безопасности хорошей практикой является удаление лазеек из программы, как только она отлажена и сдается заказчику. Если лазейки необходимо сохранить (что происходит нередко), то вход через них должен быть сильно затруднен. Один из методов состоит в том, что для преднамеренного или непреднамеренного доступа к лазейке требуется, чтобы вход производился через другую, более скрытую лазейку, требующую, например, знания пароля. Надо заметить, что обеспечить безопасность в случае лазеек очень непросто, так как исходный код может попасть в чужие руки со всеми вытекающими последствиями.

Салями

Еще один способ нарушения защиты заслуживает нашего внимания. Он называется салями; автор столкнулся с ним во время работы в качестве программиста в банковской сфере. Пакость эта заключается в небольшом изменении цифр в файле (это небольшое изменение, в конце концов, становится большим куском салями). Примером могут служить округление вверх или вниз десятичных дробей в банковском счете или небольшое увеличение числа в инвентаризационной системе для искажения количества товара на складе.

Повторение

Повторение (replay) — это активная атака на сетевой ресурс, она вызывает перехват данных, модифицирование их (не обязательно) и дальнейшую их пересылку. Пример повторения — это посылка изменений в базу данных более чем один раз, когда предполагается, что такое изменение должно иметь место только один раз. Такая транзакция в случае, к примеру, накопительного счета в банке может быть даже повторена без изменений, но конечный результат — это нарушение точности накопительного счета в пользу того, кто совершает атаку, и убыток держателю накопительного счета. Атака повторением может использоваться вместе с атакой салями.



Остапенко Денис aka Sharp, 2006

Соглашение о приватности информации

 

Hosted by uCoz