|
Dydis: 8250
Komentaras: Deivydo Šabaro EPKf-09
|
Dydis: 5503
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 2: | Eilutė 2: |
| HTTPS Protocol | Hacker |
| Eilutė 5: | Eilutė 5: |
| == HTTPS Protokolas == | == Programišius == |
| Eilutė 7: | Eilutė 7: |
| ---- | |
| Eilutė 10: | Eilutė 10: |
| '''Įvadas ''' | |
| Eilutė 11: | Eilutė 12: |
| == ĮVADAS == | . '''Programišiai''' – kompiuterinių tecnhologijų ekspertai, programų, telefono stočių, internetinių puslapių, duomenų bazių įsilaužėliai, kenkiantys, vagiantys informaciją ar tiesiog tai darantys iš smalsumo. |
| Eilutė 13: | Eilutė 15: |
| Šiuo metu Web paslaugos netelpa tik į HTTP protokolo rėmus, todėl sukurta daug patobulintų protokolų, skirtų įvairioms kliento reikmėms tenkinti. Vienas iš populiariausių papildomų servisų yra HTTPS (Secure HTTP) – saugus HTTP protokolas, kurį UNIX sistemoje valdo SSL (Secure SocketLayer).[1] SSL (Secure Socket Layer) - tai rinkos standartu tapusi technologija, kuri garantuoja saugų duomenų perdavimą internetu. Tai kriptografinis protokolas skirtas informacijos, sklindančios Internete apsaugojimui šifruojant. HTTPS technologijos šiuo metu, yra labai plačiai naudojamos elektroninėje komercijoje ir bankinėse sistemose. |
Nuo pat atsiradimo duomenų perdavimo, saugojimo, naudojimo įrangos, atsirado ir asmenų, kurie ieškodavo spragų, kurių dėka buvo galima prieiti prie siunčiamų ar saugojamų duomenų ir prie jų prieiti ir panaudoti juos savo tikslais. |
| Eilutė 17: | Eilutė 17: |
| Aptarsime pagrindinius programišių tipus. Jų pagrindines veikas. | |
| Eilutė 18: | Eilutė 19: |
| == BENDRA INFORMACIJA APIE HTTPS == | '''Bendros žinios''' |
| Eilutė 20: | Eilutė 21: |
| HTTPS – HTTP protokolo praplėtimas, palaikantis šifravimą. Duomenys perduodami HTTP protokolui „įpakuojami“ į SSL arba TLS protokolą, tuo pačiu užtikrinamas duomenų saugumas. Skirtingai nuo HTTP, HTTPS naudoją 433 TCP kanalą. [2] HTTPS arba S-HTTP - tai Saugus HTTP protokolas (Secure Hypertext Transfer Protocol). Jis orientuotas siųsti saugioms žinutėms ir naudoti kartu su HTTP protokolu. Jis yra sukurtas egsituoti kartu su HTTP žinučių modeliu ir būti lengvai integruojamu HTTP programose. S-HTTP siūlo galybę saugumo mechanizmų HTTP klientams ir serveriams. S-HTTP siūlo vienodas galimybes ir serveriams ir klientams išsaugant transakcijų modelį ir įgyvendinant HTTP charakteristikas. Keletas kriptografinių žinučių formatų gali būti integruota į S-HTTP klientus ir serverius. HTTPS (S-HTTP) palaiko veikimą tarp daugybes įgyvendinimų ir yra suderinamas su HTTP. S-HTTP suprantantys klientai gali bendrauti su S-HTTP nesuprantančiais serveriais ir atvirkščiai, tačiau transakcijos jau nebenaudos S-HTTP saugumo savybių. S-HTTP nereikalauja kliento dalies viešo rakto sertifikatų (ar viešojo rakto), nes jis palaiko simetrinį tik-rakto veikiantį režimą. Tai yra labai svarbu, nes tai reiškia jog gali įvykti spontaniškos privačios transakcijos nereikalaujančios individualiam vartotojui turėti viešą raktą. Nors HTTPS gali pasinaudoti visur išdėstyta sertifikatų infrastruktūra, tačiau jo išsidėstymas nereikalauja to. S-HTTP palaiko nuo pradžios iki galo saugias transakcijas. Klientai gali būti iš anksto informuojami pradėti apsaugotą transakciją (dažniausiai naudojantis informacija pateikta antraščių eilutėse). Tai gali būti naudojama palaikyti pavyzdžiui užpildomoms formoms. Naudojant S-HTTP galima nesiųsti jokios svarbios informacijos neapsaugotu pavidalu. S-HTTP suteikia pilną lankstumą naudojant kriptografinius algoritmus, režimus ir parametrus. Pasirinkimo nebuvimas naudojamas leisti klientams ir serveriams sutikti dėl transakcijų režimo kriptografinių algoritmų ir sertifikatų parinkimo. Taip pat populiarus būdas saugiai perduoti duomenis tinkle yra naudoti HTTP protokolą kitame transporto lygyje, kaip kad TLS arba SSL. S-HTTP užklausos – atsakymai S-HTTP užklausos žinutės sintaksiškai tokios pačios kaip ir HTTP, tačiau skiriasi antraščių kiekis bei žinutės turinys yra užkoduotas. Kad skirtųsi nuo HTTP ir būtų specialiai perduodamos žinutės, užklausos eilutėje turėtų būti nurodytas specialus metodas ”Secure“, užklausos kelias turi būti ”*“ o naudojamo protokolo versija ”Secure-HTTP/1.4“. S-HTTP atsakymo eilutės taip pat turi turėti naudojamo protokolo versiją ”Secure-HTTP/1.4“ bei visada pateikti būvio kodą 200 ir jo argumentą OK, kas nurodytų jog visos transakcijos praėjo sėkmingai. Vartotojas apie transakcijos sėkmę spręstų pagal gautus duomenis. Tai neleidžia analizuoti užklausų sėkmingumo. [5] == SSL IR TLS == |
'''Hacker'''. Iki atsirandant kompiuteriams, pirminė šio žodžio reikšmė anglų k. žodyne visą laiką buvo nurodoma kaip “kažkas, iš medžio galintis gaminti baldus kirviu”. Vėliau šis žodis buvo naudojamas kalbant žargonu, o šiandien retas kuris supranta šio žodžio reikšmę kitaip nei “kompiuterių nusikaltėlis”. Iš esmės visi kiti terminai atsirado vėliau, o pats terminas “hacker” šiandien turi labai plačią reikšmę. Iš esmės hakeriu būtų galima apibūdinti asmenį, kuris daugiau nei įprasti vartotojai nagrinėja įvairias IT sistemas, siekdamas surasti ir išnaudoti jų pradiniame funkcionalume nenumatytas galimybes. Tai nebūtinai reiškia, kad tų “galimybių” ieškoma tik blogiems tikslams. Kartais hakeris visa tai daro iš idėjos tiesiog siekdamas tobulumo, o kartais priešingai. |
| Eilutė 35: | Eilutė 23: |
| SSL (angl Secure Socket Layer – apsaugotų sluoksnių protokolas) – kriptografinis protokolas, užtikrinantis saugų domenų perdavimo Interneto tinklais. Šio protokolo naudojimo metu sudaromas saugus sujungimas tarp kliento ir tarnybinės stoties. Skirtumas tarp TLS ir SSL yra nežymus, todėl toliau plačiau kalbėsiu apie tik apie SSL. Klientas inicijuoja SSL web jungtį nurodant URL HTTPS: vietoj HTTP:. Naudojamas sesijos raktas, simetrinis slaptas raktas, skirtas tik vienai tranzakcijai įvykdyti. SSL vykdo šias funkcijas: • Autentifikuoja serverį klientui; • Sukuria užkoduotą ryšį tarp abiejų pusių; SSL yra tarp TCP/IP protokolo ir taikomųjų. programų protokolo. SSL duomenų šifravimui naudoja tiek simetrinę, tiek ir asimetrinę kriptografiją. Kadangi simetrinė kriptografija yra žymiai greitesnė už asimetrinę, tai ji naudojama persiunčiant visus duomenis, taip taupant persiuntimo laiką. Tačiau iškyla viena problema: kaip apsaugoti šifro raktą, kuris abiejose susijungimo pusėse bus tas pats? T.y. kaip serveriui ir klientui nustatyti šifro raktą, kad tarpininkas (kuris peržiūri visą tinklo srautą) negalėtų gauti šifro rakto ir tuo pačiu mūsų persiunčiamų duomenų. Taigi simetrinis šifro raktas persiunčiamas pasinaudojus asimetrine kriptografija. Serveris atsiunčia jums savo viešajį raktą, kuriuo jūs užšifruojate sugeneruotą simetrinį šifro raktą, taip jį apsaugodami nuo tarpininko. Kadangi asimetrinės kriptografijos raktai kuriami taip, kad žinant viešąjį raktą būtų neįmanoma sužinoti privataus rakto, su kuriuo informacija dešifruojama, jūsų simetrinis šifro raktas persiunčiamas saugiu kanalu ir galima pradėti sąlyginai saugiai siųsti realius duomenis. SSL protokolo veikimą supaprastintai galima pavaizduoti taip:[6] 1. Vartotojas ateina į apsaugotą svetainę. 2. Serveris patvirtina svetainės tapatybę pasirašydamas sertifikatą ir nusiųsdamas jį klientui. Naršyklė panaudoja sertifikato viešąjį raktą (viešasis raktas gaunamas kartu su sertifikatu) serverio sertifikato savininko tapatybei patikrinti. 3. Naršyklė patikrina, ar sertifikatas buvo išduotas žinomo sertifikavimo paslaugų teikėjo. Jeigu sertifikatas yra išduotas nežinomo paslaugų teikėjo, naršyklė apie tai informuoja vartotoją. 4. Vartotojas pats gali patikrinti ar sertifikavimo paslaugų teikėjas išdavė sertifikatą tikrai tai svetainei, į kurią atėjo vartotojas. 5. Serveris reikalauja vartotojo skaitmeninio sertifikato, kad patikrinti jo tapatybę. 6. Vartotojas pasirenka, kurį iš jo turimų sertifikatų (žinoma, jeigu jis turi daugiau nei vieną sertifikatą) parodys serveriui. 7. Serveris sukuria ir užkoduoja seanso raktą bei saugiai nusiunčia jį internetu, ir tokiu būdu sukuriamas saugus virtualus kanalas tarp vartotojo naršyklės ir Web serverio. SSL seanso metu galima būtu išskirti 3 pagrindines fazes:[3] • Dialogas tarp kliento ir tarnybinės stoties kurio metu pasirenkamas šifravimo algoritmas • Raktų pasikeitimas pagrystąs atvirojo rakto kriptografija ir identifikavimas pagrįstas sertifikatu. • Simetriniais šifravimo algoritmais užšifruotu duomenų perdavimas. Taigi primoje fazėje klientas ir tarnybinė stotis aparia kriptografinio algoritmo pasirinkimą tolesniam seansui. SSL 3.0 protokolo versijoje galimi šie algoritmai: • Asimetriniam šifravimui: RSA, Diffie-Hellman, DSA arba Fortezza; • Simetriniam duomenų šifravimui: RC2, RC4, IDEA, DES, Triple DES arba AES; • „Sausainiukų“ funkcijom: MD5 arba SHA. |
'''Cracker'''. Šis žodis daugiau reiškia neigiamą hakerį, kurio tikslas yra įveikti sistemų apsaugą siekiant tam tikros naudos. Taip dažnai apibūdinami žmonės, kuriantys programinės įrangos apsaugos pašalinimo mechanizmus. Žinoma, jie tai daro pažeisdami autorines teises ir nusižengia įstatymui, tačiau yra vertinami tokios įrangos naudotojų. Patys cracker’iai neplatina nulaužtos programinės įrangos (tuo užsiima piratai), bet tik jos nulaužimo mechanizmus (cracks, keygens, patches etc.), todėl dažnai juos nubausti yra sunku. |
| Eilutė 61: | Eilutė 25: |
| == IŠVADOS == | '''Phreaker'''. Dar viena specifinė hakerių rūšis, kuri specializuojasi telefonų sistemose. Phreak yra sudarytas iš žodžių Phone Freak. Jie susiję su kompiuterinėmis sistemomis besidominčiais hakeriais tuo, kad telefonų stotelės jau kokių 30 metų kartu yra ir kompiuteriai. Seniau telefono linijos ir modemai buvo pagrindinės priemonės duomenų mainams, todėl jie ir sulaukė tokio dėmesio. Žinoma, tas dėmesys dažnai būdavo nukreiptas į tai, kaip už tą duomenų perdavimą ar pokalbius telefonu nieko nemokėti. Stipriai pasikeitus technologijoms, šiandien ši hakerių rūšis yra beveik išnykusi. |
| Eilutė 63: | Eilutė 27: |
| HTTPS protokolas paremta SSL technologija puiki priemonė saugiai keistis duomenimis Internete. Simetrinis šifro raktas persiunčiamas pasinaudojus asimetrine kriptografija. Asimetrinės kriptografijos raktai kuriami taip, kad žinant viešąjį raktą būtų neįmanoma sužinoti privataus rakto. HTTPS protokolas tinka naudoti: • E-versle; • Elektroninėje bankininkystei; • Visur kur reikalingas saugus duomenų perdavimas. |
'''Black Hat/White Hat'''. Terminas Black Hat atsirado praėjusio amžiaus paskutiniame dešimtmetyje ir išpopuliarėjo su “Black Hat” konferencija (http://www.blackhat.com/). Tai Jeff Moss (aka Dark Tangent) organizuojama konferencija, stipriai orientuota į techninius dalykus ir skirta saugumo profesionalams. Black Hat lietuviškai reiškia “juoda skrybėlė” ir jau intuityviai nurodo į “blogiukus”, t.y. blogus hakerius, darančius nusikaltimus. Atitinkamai terminas White Hat reiškia “balta skrybėlė” ir apibūdina gerus hakerius, kurie ieško spragų sukurtose programose ar tinklapiuose, ar bet kokios sukurtos informacinės sistemos. |
| Eilutė 70: | Eilutė 29: |
| == LITERATŪRA == | '''Grey Hat'''. “Pilkos skrybėlės”. Tai nei tokie, nei tokie. Priklausomai nuo požiūrio vienu atveju gali būti laikomi White Hat’ais, kitu atveju Black Hat’ais. Pvz. hakeriai nemėgstantys kokio nors gamintojo (dažniausiai Microsoft), apie pažeidžiamumą praneša viešai prieš tai neįspėję gamintojo. Gamintojas dėl to patiria didesnių nuostolių nei tokiu atveju, jei būtų informuotas apie tai iš anksto. Vieni laiko, kad taip daryti negalima ir gamintoją reikia įspėti prieš paskelbiant viešai apie pažeidžiamumą. Kiti tai laiko normaliu procesu, nes anot jų, taip gamintojai verčiami kurti kokybiškesnius produktus. Ir kurių požiūris dabar yra teisingas? Kadangi tavo nuomonė turbūt irgi skirsis nuo kieno nors kito nuomonės ir vieniems toks hakeris gaunasi White Hat’as, o kitiems toje pačioje situacijoje jau Black Hat’as, tai tokiu atveju hakeris ir apibūdinamas kaip Grey Hat’as. |
| Eilutė 72: | Eilutė 31: |
| 1. http://ru.wikipedia.org/wiki/HTTPS 2. http://ru.wikipedia.org/wiki/TLS 3. http://ru.wikipedia.org/wiki/SSL 4. http://miraged.ten.lt 5. http://www.webopedia.com/TERM/C/cryptography.html |
'''Script Kiddie/Skiddy'''. Tai daugiau pašiepiantis terminas, kuris apibūdina mažai išmanančius asmenis, naudojančius hacker’ių ir cracker’ių sukurtas programas ir skriptus. Jeigu hakeris turi tam tikrų žinių, įgūdžių ir vadovaujasi savo etika, tai Script Kiddies dažnai ne tik mažai išmano, bet ir iš vis nesupranta, kodėl ir kaip veikia koks nors skriptas ar programa, neturi jokių įgūdžių ir nesivadovauja jokia etika. Jie tiesiog spaudžia ir žiūri kas bus. Jei nesuveikia, tai iš karto meta tą programą šalin ir bando sekančią. Ir taip kol pavyksta (arba ne). Taip pat jie būna didžiausi warez’o (nelegalios programinės įrangos ar turinio) platintojai ir labai gerai žino kaip jo gauti iš kitų. Kaip jau supratot, Script Kiddie nors kiek ir pašiepiantis terminas, reiškia, kad asmuo turi daugiau žinių nei vidutinis kompiuterių vartotojas. Script Kiddie yra visiškai priklausomas nuo hacker’ių ir cracker’ių, todėl jų kartais būna pavadinamas lamer’iu (nemokša). |
Žodis angliškai
Hacker
Programišius
Įvadas
Programišiai – kompiuterinių tecnhologijų ekspertai, programų, telefono stočių, internetinių puslapių, duomenų bazių įsilaužėliai, kenkiantys, vagiantys informaciją ar tiesiog tai darantys iš smalsumo.
Nuo pat atsiradimo duomenų perdavimo, saugojimo, naudojimo įrangos, atsirado ir asmenų, kurie ieškodavo spragų, kurių dėka buvo galima prieiti prie siunčiamų ar saugojamų duomenų ir prie jų prieiti ir panaudoti juos savo tikslais.
Aptarsime pagrindinius programišių tipus. Jų pagrindines veikas.
Bendros žinios
Hacker. Iki atsirandant kompiuteriams, pirminė šio žodžio reikšmė anglų k. žodyne visą laiką buvo nurodoma kaip “kažkas, iš medžio galintis gaminti baldus kirviu”. Vėliau šis žodis buvo naudojamas kalbant žargonu, o šiandien retas kuris supranta šio žodžio reikšmę kitaip nei “kompiuterių nusikaltėlis”. Iš esmės visi kiti terminai atsirado vėliau, o pats terminas “hacker” šiandien turi labai plačią reikšmę. Iš esmės hakeriu būtų galima apibūdinti asmenį, kuris daugiau nei įprasti vartotojai nagrinėja įvairias IT sistemas, siekdamas surasti ir išnaudoti jų pradiniame funkcionalume nenumatytas galimybes. Tai nebūtinai reiškia, kad tų “galimybių” ieškoma tik blogiems tikslams. Kartais hakeris visa tai daro iš idėjos tiesiog siekdamas tobulumo, o kartais priešingai.
Cracker. Šis žodis daugiau reiškia neigiamą hakerį, kurio tikslas yra įveikti sistemų apsaugą siekiant tam tikros naudos. Taip dažnai apibūdinami žmonės, kuriantys programinės įrangos apsaugos pašalinimo mechanizmus. Žinoma, jie tai daro pažeisdami autorines teises ir nusižengia įstatymui, tačiau yra vertinami tokios įrangos naudotojų. Patys cracker’iai neplatina nulaužtos programinės įrangos (tuo užsiima piratai), bet tik jos nulaužimo mechanizmus (cracks, keygens, patches etc.), todėl dažnai juos nubausti yra sunku.
Phreaker. Dar viena specifinė hakerių rūšis, kuri specializuojasi telefonų sistemose. Phreak yra sudarytas iš žodžių Phone Freak. Jie susiję su kompiuterinėmis sistemomis besidominčiais hakeriais tuo, kad telefonų stotelės jau kokių 30 metų kartu yra ir kompiuteriai. Seniau telefono linijos ir modemai buvo pagrindinės priemonės duomenų mainams, todėl jie ir sulaukė tokio dėmesio. Žinoma, tas dėmesys dažnai būdavo nukreiptas į tai, kaip už tą duomenų perdavimą ar pokalbius telefonu nieko nemokėti. Stipriai pasikeitus technologijoms, šiandien ši hakerių rūšis yra beveik išnykusi.
Black Hat/White Hat. Terminas Black Hat atsirado praėjusio amžiaus paskutiniame dešimtmetyje ir išpopuliarėjo su “Black Hat” konferencija (http://www.blackhat.com/). Tai Jeff Moss (aka Dark Tangent) organizuojama konferencija, stipriai orientuota į techninius dalykus ir skirta saugumo profesionalams. Black Hat lietuviškai reiškia “juoda skrybėlė” ir jau intuityviai nurodo į “blogiukus”, t.y. blogus hakerius, darančius nusikaltimus. Atitinkamai terminas White Hat reiškia “balta skrybėlė” ir apibūdina gerus hakerius, kurie ieško spragų sukurtose programose ar tinklapiuose, ar bet kokios sukurtos informacinės sistemos.
Grey Hat. “Pilkos skrybėlės”. Tai nei tokie, nei tokie. Priklausomai nuo požiūrio vienu atveju gali būti laikomi White Hat’ais, kitu atveju Black Hat’ais. Pvz. hakeriai nemėgstantys kokio nors gamintojo (dažniausiai Microsoft), apie pažeidžiamumą praneša viešai prieš tai neįspėję gamintojo. Gamintojas dėl to patiria didesnių nuostolių nei tokiu atveju, jei būtų informuotas apie tai iš anksto. Vieni laiko, kad taip daryti negalima ir gamintoją reikia įspėti prieš paskelbiant viešai apie pažeidžiamumą. Kiti tai laiko normaliu procesu, nes anot jų, taip gamintojai verčiami kurti kokybiškesnius produktus. Ir kurių požiūris dabar yra teisingas? Kadangi tavo nuomonė turbūt irgi skirsis nuo kieno nors kito nuomonės ir vieniems toks hakeris gaunasi White Hat’as, o kitiems toje pačioje situacijoje jau Black Hat’as, tai tokiu atveju hakeris ir apibūdinamas kaip Grey Hat’as.
Script Kiddie/Skiddy. Tai daugiau pašiepiantis terminas, kuris apibūdina mažai išmanančius asmenis, naudojančius hacker’ių ir cracker’ių sukurtas programas ir skriptus. Jeigu hakeris turi tam tikrų žinių, įgūdžių ir vadovaujasi savo etika, tai Script Kiddies dažnai ne tik mažai išmano, bet ir iš vis nesupranta, kodėl ir kaip veikia koks nors skriptas ar programa, neturi jokių įgūdžių ir nesivadovauja jokia etika. Jie tiesiog spaudžia ir žiūri kas bus. Jei nesuveikia, tai iš karto meta tą programą šalin ir bando sekančią. Ir taip kol pavyksta (arba ne). Taip pat jie būna didžiausi warez’o (nelegalios programinės įrangos ar turinio) platintojai ir labai gerai žino kaip jo gauti iš kitų. Kaip jau supratot, Script Kiddie nors kiek ir pašiepiantis terminas, reiškia, kad asmuo turi daugiau žinių nei vidutinis kompiuterių vartotojas. Script Kiddie yra visiškai priklausomas nuo hacker’ių ir cracker’ių, todėl jų kartais būna pavadinamas lamer’iu (nemokša).