Inżynieria zabezpieczeń Tom II

Ross Anderson

Uzyskaj dostęp

Zakup książkę

ISBN/ISSN:

978-83-01-23313-6

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2024

Liczba stron:

687

XML:ISBN/ISSN:

ONIX MARC21

Bibliografia:

Anderson, Ross. Inżynieria zabezpieczeń Tom II. Red. . Warszawa: Wydawnictwo Naukowe PWN, 2024, 687 s. ISBN 978-83-01-23313-6

Bibliografia refWorks:

RT Book, Whole

SR Electronic(1)

A1 Anderson, R.

T1 Inżynieria zabezpieczeń Tom II

PB Wydawnictwo Naukowe PWN

PP Warszawa

YR 2024

SN 978-83-01-23313-6

Bibliografia BibTex:

@Book{ 306024, author = "Anderson, Ross", editor = "", title = "Inżynieria zabezpieczeń Tom II", publisher = "Wydawnictwo Naukowe PWN", year = "2024", address = "Warszawa", isbn = "978-83-01-23313-6" }

Bibliografia endNote:

TY - BOOK

AU - Anderson, Ross

ED -

TI - Inżynieria zabezpieczeń Tom II

PB - Wydawnictwo Naukowe PWN

CY - Warszawa

PY - 2024

SN - 978-83-01-23313-6

ER -

Netografia (standard APA):

Anderson, Ross. Inżynieria zabezpieczeń Tom II [baza danych online] Warszawa: Wydawnictwo Naukowe PWN, 2024 [dostęp: 22 07 2024]. Dostęp w Ibuk Libra: https://libra.ibuk.pl/reader/inzynieria-zabezpieczen-tom-ii-ross-anderson-306024.

systemy informatyczne, cyberprzestępczość, kryptografia, exploity oprogramowania

Światowy bestseller, który uczy, jak tworzyć bezpieczne systemy informatyczne. Podręcznik obejmuje nie tylko podstawy techniczne, takie jak kryptografia, kontrola dostępu i odporność na manipulacje, ale także sposób ich wykorzystania w prawdziwym ...

Więcej

ISBN/ISSN:

978-83-01-23313-6

DOI:

Wydawnictwo:

Wydawnictwo Naukowe PWN

Rok wydania:

2024

Liczba stron:

687

XML:ISBN/ISSN:

ONIX MARC21

15.1. Wprowadzenie18
Rozdział 15. Nadzór nad bronią jądrową18
15.2. Ewolucja dowodzenia i nadzoru21
15.2.1. Memorandum Kennedy’ego22
15.2.2. Autoryzacja, otoczenie, zamiar23
15.3. Bezwarunkowo bezpieczne uwierzytelnianie24
15.4. Schematy współdzielonego nadzoru26
15.5. Odporność na manipulacje i zabezpieczenia PAL28
15.6. Weryfikacja zachowania traktatów30
15.7. Co idzie nie tak31
15.7.1. Zdarzenia jądrowe31
15.7.2. Związek z cyberwojną32
15.7.3. Porażki techniczne34
15.8. Tajność czy jawność?35
15.9. Podsumowanie36
Materiały uzupełniające37
Problemy badawcze37
16.1. Wprowadzenie40
Rozdział 16. Zabezpieczenia drukarskie, plomby i pieczęcie40
16.2. Historia41
16.3. Zabezpieczenia drukarskie42
16.3.1. Model zagrożeń43
16.3.2. Techniki zabezpieczeń drukarskich44
16.4. Opakowania i plomby49
16.4.1. Właściwości podłoża50
16.4.2. Problemy z klejem51
16.4.3. Przesyłki z PIN-em52
16.5. Systemowe luki w zabezpieczeniach53
16.5.1. Specyfika modelu zagrożeń54
16.5.2. Środki przeciwko nieuczciwości55
16.5.3. Skutki przypadkowych uszkodzeń56
16.5.4. Nadzór nad materiałami57
16.5.5. Brak ochrony właściwych rzeczy58
16.5.6. Koszt i charakter kontroli59
16.6. Metodyka oceny60
16.7. Podsumowanie62
Problemy badawcze62
Materiały uzupełniające63
17.1. Wprowadzenie66
Rozdział 17. Biometria66
17.2. Podpisy odręczne67
17.3. Rozpoznawanie twarzy70
17.4. Odciski palców76
17.4.1. Pozytywna i negatywna weryfikacja tożsamości77
17.4.2. Techniki śledcze na miejscu przestępstwa81
17.5. Kod tęczówki85
17.6. Rozpoznawanie i przekształcanie głosu88
17.7. Inne systemy89
17.8. Co idzie nie tak91
17.9. Podsumowanie95
Materiały uzupełniające96
Problemy badawcze96
18.1. Wprowadzenie98
Rozdział 18. Odporność na fizyczną penetrację sprzętu98
18.2. Historia100
18.3. Sprzętowe moduły zabezpieczeń101
18.4. Ocena107
18.5. Karty inteligentne i inne chipy zabezpieczające109
18.5.1. Historia109
18.5.2. Architektura110
18.5.3. Ewolucja zabezpieczeń111
18.5.4. Generatory liczb losowych i funkcje fizycznie nieklonowalne123
18.5.5. Większe chipy126
18.5.6. Aktualny stan wiedzy131
18.6. Ryzyko rezydualne133
18.6.1. Problem z zaufanym interfejsem133
18.6.2. Konflikty135
18.6.3. Rynek bubli, dumping ryzyka i gry w ocenianie135
18.6.4. Zabezpieczanie przez zaciemnianie136
18.6.5. Zmieniające się środowiska137
18.7. Co zatem należy chronić?138
18.8. Podsumowanie140
Materiały uzupełniające140
Problemy badawcze140
19.1. Wprowadzenie142
Rozdział 19. Ataki przez boczny kanał142
19.2. Zabezpieczanie emisji143
19.2.1. Historia144
19.2.2. Techniczna inwigilacja i środki zaradcze145
19.3. Ataki pasywne148
19.3.1. Wycieki przez przewody zasilające i sygnałowe149
19.3.2. Wycieki przez sygnały częstotliwości radiowych149
19.3.3. Co idzie nie tak154
19.4. Ataki między komputerami i wewnątrz nich155
19.4.1. Analiza czasowa156
19.4.2. Analiza mocy156
19.4.3. Zakłócanie i różnicowa analiza błędów160
19.4.4. Rowhammer, CLKscrew i Plundervolt161
19.4.5. Meltdown, Spectre i inne ataki przez boczny kanał na enklawy163
19.5. Środowiskowe wycieki przez boczny kanał165
19.5.1. Akustyczne wycieki przez boczny kanał165
19.5.2. Optyczne wycieki przez boczny kanał167
19.5.3. Inne wycieki przez boczny kanał168
19.6. Społecznościowe wycieki przez boczny kanał169
19.7. Podsumowanie170
Problemy badawcze170
Materiały uzupełniające171
20.1. Wprowadzenie174
Rozdział 20. Zaawansowana inżynieria kryptograficzna174
20.2. Szyfrowanie całego dysku176
20.3. Signal178
20.4. Tor182
20.5. HSM-y185
20.5.1. Atak XOR-em prowadzący do klucza z samych zer186
20.5.2. Ataki wykorzystujące kompatybilność wsteczną i analizę czasowo-pamięciową187
20.5.3. Różnicowa analiza protokołów188
20.5.4. Atak na EMV190
20.5.5. Hakowanie modułów HSM w urzędach certyfikacji i w chmurze190
20.5.6. Zarządzanie ryzykiem HSM191
20.6. Enklawy191
20.7. Łańcuchy bloków195
20.7.1. Portfele kryptowalutowe198
20.7.2. Górnicy199
20.7.3. Smart kontrakty200
20.7.4. Mechanizmy płatności poza głównym łańcuchem201
20.7.5. Giełdy, kryptoprzestępczość i regulacje202
20.7.6. Współdzielone bazy danych o strukturach łańcuchów bloków206
20.8. Kryptomarzenia, które upadły207
20.9. Podsumowanie207
Problemy badawcze209
Materiały uzupełniające210
21.1. Wprowadzenie212
Rozdział 21. Ataki i obrona w sieci212
21.2. Protokoły sieciowe i odmowa usług214
21.2.1. Zabezpieczenia BGP215
21.2.2. Zabezpieczenia DNS217
21.2.3. UDP, TCP, SYN flood i SYN reflection218
21.2.4. Inne ataki z powielaniem pakietów219
21.2.5. Inne rodzaje ataków polegających na odmowie usługi220
21.2.6. E-mail – od szpiegów do spamerów221
21.3. Menażeria złośliwego oprogramowania – trojany, robaki i RAT223
21.3.1. Wczesna historia złośliwego oprogramowania224
21.3.2. Robak internetowy225
21.3.3. Dalsza ewolucja złośliwego oprogramowania226
21.3.4. Jak działa złośliwe oprogramowanie228
21.3.5. Środki zapobiegawcze229
21.4. Obrona przed atakami sieciowymi231
21.4.1 Filtrowanie: zapory sieciowe, kontrolowanie treści i podsłuchy233
21.4.1.1. Filtrowanie pakietów233
21.4.1.2. Bramy transmisyjne234
21.4.1.3. Pośrednicy aplikacji234
21.4.1.4. Filtrowanie ruchu przychodzącego i wychodzącego235
21.4.1.5. Architektura235
21.4.2. Wykrywanie włamań238
21.4.2.1. Rodzaje metod wykrywania włamań239
21.4.2.2. Ogólne ograniczenia związane z wykrywaniem włamań240
21.4.2.3. Specyficzne problemy związane z wykrywaniem ataków sieciowych240
21.5. Kryptografia: poszarpana granica242
21.5.1. SSH242
21.5.2. Sieci bezprzewodowe na krańcach243
21.5.2.1. Wi-fi244
21.5.2.2. Bluetooth245
21.5.2.3. HomePlug245
21.5.2.4. Sieci VPN246
21.6. Urzędy certyfikacji i PKI246
21.7. Topologia250
21.8. Podsumowanie251
Materiały uzupełniające252
Problemy badawcze252
22.1. Wprowadzenie254
Rozdział 22. Telefony254
22.2. Ataki na sieci telefoniczne255
22.2.1. Ataki na systemy poboru opłat za połączenia256
22.2.2. Ataki na przesyłanie sygnałów sterujących259
22.2.3. Ataki na łącznice i konfiguracje260
22.2.4. Niezabezpieczone systemy końcowe262
22.2.5. Interakcja funkcji265
22.2.6. VOIP266
22.2.7. Oszustwa firm telekomunikacyjnych267
22.2.8. Ekonomia zabezpieczeń w telekomunikacji268
22.3. Idąc w mobilność269
22.3.1. GSM270
22.3.2. 3G275
22.3.3. 4G277
22.3.4. 5G i dalej278
22.3.5. Główne problemy operatorów sieci komórkowych280
22.4. Zabezpieczenia platformy282
22.4.1. Ekosystem aplikacji na Androida284
22.4.1.1. Rynki aplikacji i programiści285
22.4.1.2. Kiepskie implementacje Androida286
22.4.1.3. Uprawnienia287
22.4.1.4. Androidowe złośliwe oprogramowanie289
22.4.1.5. Reklamy i usługi stron trzecich291
22.4.1.6. Preinstalowane aplikacje292
22.4.2. Ekosystem aplikacji Apple’a293
22.4.3. Problemy przekrojowe297
22.5. Podsumowanie298
Problemy badawcze299
Materiały uzupełniające300
23.1. Wprowadzenie302
Rozdział 23. Wojny elektroniczne i informacyjne302
23.2. Podstawy303
23.3. Systemy komunikacyjne304
23.3.1. Techniki rozpoznania elektromagnetycznego306
23.3.2. Ataki na łączność309
23.3.3. Techniki ochrony311
23.3.3.1. Skokowe zmiany częstotliwości312
23.3.3.2. DSSS313
23.3.3.3. Transmisja paczkowa315
23.3.3.4. Łączenie skrytości i odporności na zakłócanie315
23.3.4. Interakcja między zastosowaniami cywilnymi i wojskowymi317
23.4. Inwigilacja i namierzanie celu318
23.4.1. Rodzaje radarów319
23.4.2. Techniki zakłócania320
23.4.3. Zaawansowane radary i przeciwdziałania323
23.4.4. Kwestie związane z innymi czujnikami i multiczujnikami324
23.5. Systemy identyfikacji swój-obcy326
23.6. Improwizowane urządzenia wybuchowe329
23.7. Broń o ukierunkowanej energii331
23.8. Wojna informacyjna333
23.8.1. Ataki na systemy sterowania335
23.8.2. Ataki na inną infrastrukturę338
23.8.3. Ataki na wybory i stabilność polityczną339
23.8.4. Doktryna341
23.9. Podsumowanie342
Materiały uzupełniające343
Problemy badawcze343
24.1. Wprowadzenie346
Rozdział 24. Prawa autorskie i zarządzanie prawami cyfrowymi346
24.2. Prawa autorskie348
24.2.1. Oprogramowanie349
24.2.2. Wolne oprogramowanie, wolna kultura?355
24.2.3. Książki i muzyka360
24.2.4. Wideo i płatna telewizja361
24.2.4.1. Architektura typowego systemu362
24.2.4.2. Techniki szyfrowania sygnału wizyjnego363
24.2.4.3. Ataki na hybrydowe systemy szyfrujące365
24.2.4.4. DVB369
24.2.5. DVD370
24.3. DRM na komputerach ogólnego przeznaczenia372
24.3.1. Zarządzanie prawami do multimediów w systemie Windows372
24.3.2. FairPlay, HTML5 i inne systemy DRM374
24.3.3. Zaciemnianie oprogramowania375
24.3.4. Gry, oszustwa i DRM377
24.3.5. Systemy peer-to-peer379
24.3.6. Zarządzanie prawami do projektów sprzętu381
24.4. Ukrywanie informacji382
24.4.1. Zarządzanie znakami wodnymi i kopiowaniem384
24.4.2. Główne techniki ukrywania informacji384
24.4.3. Ataki na schematy znakowania prawami autorskimi387
24.5. Polityka390
24.5.1. Lobby związane z własnością intelektualną393
24.5.2. Kto na tym korzysta?396
24.6. Kontrola akcesoriów397
24.7. Podsumowanie399
Problemy badawcze399
Materiały uzupełniające400
25.1. Wprowadzenie402
Rozdział 25. Nowe kierunki?402
25.2. Autonomiczne i zdalnie sterowane pojazdy403
25.2.1. Drony404
25.2.2. Pojazdy autonomiczne405
25.2.3. Poziomy automatyzacji i jej granice407
25.2.4. Jak zhakować autonomiczny samochód410
25.3. Sztuczna inteligencja/uczenie się maszyn413
25.3.1. Uczenie się maszyn a bezpieczeństwo414
25.3.2. Ataki na systemy z uczeniem się maszyn415
25.3.3. Uczenie się maszyn i społeczeństwo418
25.4. Technologie wspierające prywatność oraz bezpieczeństwo operacyjne422
25.4.1. Urządzenia umożliwiające anonimową komunikację425
25.4.2. Wsparcie społeczne428
25.4.3. Żyjąc z zasobów naturalnych431
25.4.4. Łącząc wszystko w całość433
25.4.5. Nazywa się Bond. James Bond435
25.5. Wybory436
25.5.1. Historia maszyn do głosowania438
25.5.2. Wiszące skrawki papieru438
25.5.3. Skanowanie optyczne440
25.5.4. Niezależność od oprogramowania442
25.5.5. Dlaczego wybory elektroniczne są trudne443
25.6. Podsumowanie447
Problemy badawcze448
Materiały uzupełniające449
Część III450
26.1. Wprowadzenie452
Rozdział 26. Inwigilacja czy prywatność452
26.2. Inwigilacja455
26.2.1. Historia źródeł rządowych456
26.2.2. Zapisy szczegółów połączeń (CDR-y)460
26.2.3. Warunki wyszukiwania i dane o lokalizacji464
26.2.4. Przetwarzanie algorytmiczne465
26.2.5. Dostawcy usług internetowych i dostawcy usług telekomunikacyjnych466
26.2.6. System systemów Sojuszu Pięciorga Oczu467
26.2.7. Wojny kryptograficzne470
26.2.7.1. Tło polityki dotyczącej kryptografii471
26.2.7.2. DES i badania kryptograficzne472
26.2.7.3. Pierwsza wojna kryptograficzna – układ Clipper473
26.2.7.4. Druga wojna kryptograficzna – niespójność477
26.2.8. Kontrola eksportu480
26.3. Terroryzm482
26.3.1. Przyczyny przemocy politycznej483
26.3.2. Psychologia przemocy politycznej483
26.3.3. Rola instytucji485
26.3.4. Demokratyczna reakcja487
26.4. Cenzura488
26.4.1. Cenzura w reżimach autorytarnych489
26.4.2. Filtrowanie, mowa nienawiści i radykalizacja491
26.5. Kryminalistyka i prawa dotyczące dowodów495
26.5.1. Kryminalistyka495
26.5.2. Dopuszczalność dowodów497
26.5.3. Co idzie nie tak499
26.6. Prywatność i ochrona danych501
26.6.1. Europejska ochrona danych502
26.6.2. Przepisy dotyczące prywatności w Stanach Zjednoczonych505
26.6.3. Fragmentacja?507
26.7. Wolność dostępu do informacji509
26.8. Podsumowanie510
Materiały uzupełniające512
Problemy badawcze512
27.1. Wprowadzenie514
Rozdział 27. Rozwój bezpiecznych systemów514
27.2. Zarządzanie ryzykiem516
27.3. Nauka z systemów krytycznych dla bezpieczeństwa519
27.3.1. Metodologie inżynierii bezpieczeństwa519
27.3.2. Analiza zagrożeń520
27.3.3. Drzewa błędów i drzewa zagrożeń521
27.3.4. Analiza trybów awaryjnych i analiza skutków522
27.3.5. Modelowanie zagrożeń523
27.3.6. Ilościowa ocena ryzyka525
27.4. Określanie priorytetów celów zabezpieczeń528
27.5. Metodologia530
27.5.1. Projektowanie z góry na dół532
27.5.2. Podejście iteracyjne: od spirali do zwinności534
27.5.3. Bezpieczny cykl życia rozwoju produktu536
27.5.4. Projektowanie z bramkami538
27.5.5. Oprogramowanie jako usługa540
27.5.6. Od DevOps do DevSecOps543
27.5.6.1. Ekosystem Azure543
27.5.6.2. Ekosystem Google’a544
27.5.6.3. Tworzenie systemu uczącego się546
27.5.7. Cykl życia podatności na zagrożenia547
27.5.7.1. System CVE549
27.5.7.2. Skoordynowane ujawnianie550
27.5.7.3. Zarządzanie incydentami i zdarzeniami z zakresu zabezpieczeń551
27.5.8. Złe zarządzanie ryzykiem w organizacji553
27.6. Zarządzanie zespołem557
27.6.1. Elita inżynierów557
27.6.2. Różnorodność559
27.6.3. Pielęgnowanie umiejętności i postaw560
27.6.4. Wyłaniające się cechy561
27.6.5. Ewolucja naszego przepływu pracy562
27.6.6. I wreszcie…563
27.7. Podsumowanie564
Problemy badawcze564
Materiały uzupełniające565
28.1. Wprowadzenie568
Rozdział 28. Zapewnienie bezpieczeństwa i odporność568
28.2. Ocena571
28.2.1. Alarmy i zamki572
28.2.2. Reżimy oceny bezpieczeństwa573
28.2.3. Bezpieczeństwo urządzeń medycznych574
28.2.4. Bezpieczeństwo w lotnictwie577
28.2.5. Pomarańczowa księga579
28.2.6. FIPS 140 i HSM-y580
28.2.7. Common Criteria581
28.2.7.1. Drastyczne szczegóły582
28.2.7.2. Co jest nie tak z Common Criteria584
28.2.7.3. Wspólne profile ochrony586
28.2.8. „Zasada maksymalnego samozadowolenia”586
28.2.9. Kolejne kroki589
28.3. Miary niezawodności i jej dynamika591
28.3.1. Modele wzrostu niezawodności592
28.3.2. Wroga ocena594
28.3.3. Oprogramowanie bezpłatne i open-source596
28.3.4. Zapewnienie bezpieczeństwa procesu598
28.4. Splątanie bezpieczeństwa i zabezpieczeń600
28.4.1. Elektroniczne bezpieczeństwo i zabezpieczenie samochodów602
28.4.2. Modernizowanie przepisów dotyczących bezpieczeństwa i zabezpieczeń606
28.4.3. Ustawa o cyberbezpieczeństwie z 2019 roku607
28.5. Odporność608
28.5.1. Dyrektywa o sprzedaży towarów609
28.5.2. Nowe kierunki badań610
28.6. Podsumowanie613
Problemy badawcze614
Materiały uzupełniające615
Rozdział 29. Poza obszarem, gdzie „komputer mówi nie”616
Bibliografia B-1620

15030Bezwarunkowobezpieczneuwierzytelnianie

Autoryzacja:użyciedanejbronimusibyćzatwierdzoneprzezkrajowyorgan

dowodzenia(tj.prezydentalubjegoprawnychnastępców).

Otoczenie:brońmusiaławyczućodpowiedniaspektotoczenia.(Wprzypadkumin

jądrowychwymógtenzostałzastąpionyużyciemspecjalnegopojemnika).

Zamiar:oﬁcerdowodzącystatkiempowietrznym,okrętemlubinnąjednostką

musijednoznaczniewydaćpolecenieużyciabroni.

Wewczesnychsystemachnautoryzacja”oznaczaławprowadzeniedoładunku

czterocyfrowegokoduautoryzacyjnego.

Sposóbsygnalizowanianzamiaru”zależałodplatformy.Samolotyzwykleuży-

wająsześciocyfrowegokoduuzbrojenialubkodunkontrolimożliwościużycia”

Konsoledowodzeniadlamiędzykontynentalnychpociskówbalistycznychsąobsłu-

giwaneprzezdwóchoﬁcerów,zktórychkażdymusiwprowadzićiprzekręcićklucz,

abywystrzelićrakietę.Niezależnieodwdrożeniamusiistniećjednoznacznysygnał.

Uważasię,że22bitypochodzącezsześciocyfrowegokodustanowiądobrykom-

promismiędzywielomaczynnikami,odużytecznościpominimalizacjęryzyka

przypadkowegouzbrojenia[1351].

605

15030Bezwarunkowobezpieczneuwierzytelnianie

Dowodzeniezwiązanezużyciembronijądrowejinadzórnadniądoprowadziły

dorozwojuteoriijednorazowychkodówuwierzytelniających.Jakopisałemwroz-

dziale5,nKryptograﬁa”

,sąonepodobnewkoncepcjidokluczytestowychwynale-

zionychdoochronytelegraﬁcznychprzekazówpieniężnych,ponieważkomunikat

poddawanybyłprzekształceniomzapomocąkluczawceluuzyskaniakrótkiego

koduuwierzytelniającego,znanegorównieżjakopoświadczenielubznacznik.Po-

nieważkluczyużywasiętylkoraz,kodyuwierzytelniającemogąbyćbezwarunko-

wobezpieczne,ponieważzapewnianaprzeznieochronajestniezależnaodzaso-

bówobliczeniowychdostępnychdlaatakującego.Robiąwięcdlauwierzytelnienia

to,coszyfrzkluczemjednorazowymdlapoufności.

Przypomnijmy,żewciążmusimywybraćdługośćkodu,abyograniczyćpraw-

dopodobieństwopomyślnegoodgadnięcia.Możetowyglądaćinaczejwzależności

odtego,czyprzeciwnikpróbowałodgadnąćprawidłowykomunikatodpodstaw

(naśladownictwo),czyteżzmodyﬁkowałistniejącypoprawnykomunikat,abyuzy-

skaćinny(podstawienie).WtrybiedziałaniaGCM,omówionymwrozdziale5,

jestonustawionyna2128,aleniemusitakbyć.

Powinientowyjaśnićprzykład.Załóżmy,żedowódcauzgodniłzpodwład-

nymschematuwierzytelniania,zgodniezktórymrozkazbędziezakodowanyjako

trzycyfrowaliczbazzakresuod000do999.Poleceniemożemiećdwiewartości:

nAtakowaćRosję”inAtakowaćChiny”

.Jednoznichzostaniezakodowanejakolicz-

baparzysta,adrugiejakoliczbanieparzysta-będąoneczęściątajnegoklucza.

Brak wyników

Inżynieria zabezpieczeń Tom II

Treść książki

Znajdź bibliotekę blisko siebie, i uzyskaj dostęp do ebooka w systemie IBUK Libra