[Информационная безопасность, Криптография] Криптоанализ резиновым шлангом и методы его предотвращения
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Если необходимость — мать изобретения, то неблагоприятная обстановка и драматические события — это, пожалуй, мать криптоанализа.Автор "Книги шифров" - Сингх Саймон.
Какие способы взлома эффективнее? Поиск уязвимостей в программах? Полный перебор? Разгадывание хэша? А вот и не угадали. Именно атаки на уровне пользователя эффективнее всего справляются со своей задачей.Одна из основных проблем криптографии как раз и состоит в том, что человек является слабым звеном в криптосистеме. Spoiler The Mandalorian
Криптографические системы часто полагаются на секретность криптографических ключей, предоставляемых пользователям. Однако многие схемы не могут противостоять атакам с принуждением, когда злоумышленник принудительно просит пользователя раскрыть ключ. Эти атаки, известные как криптоанализ с использованием резинового шланга (или бандитский криптоанализ), часто являются наименее затратными по времени и усилиям методами, которые используются для взлома криптографии.
Шантаж, угрозы и пытки - это одни из способов манипулирования людьми, т.е. способы применения социальной инженерии. Социальная инженерия — это метод манипулирования мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления.Основные типы социальной инженерии.
- Троянский конь - атака, при которой пользователь получает письмо, которое вызывает заинтересованность в посещении какого-либо сайта. Это могут быть выгодные акции, выигрыш в лотерее и т.д.
- Фишинг - атака, при которой пользователь также получает якобы официальное письмо с ссылкой на сайт, где есть форма для авторизации.
- Дорожное яблоко - атака, чем-то очень похожая на троянского коня, но её суть заключается в реальном физическом объекте (каком-либо съёмном носителе), который по какой-либо причине может вызвать интерес у нашедшего его человека.
- Кви про кво - иначе "услуга за услугу". Чаще всего проявляется в виде необходимости предоставления пользователю технической помощи, в ходе которой жертва собственноручно устанавливает вредоносное ПО на свой компьютер.
- Обратная социальная инженерия - атака, в ходе которой "бандит" создаёт такие условия, чтобы пользователь самостоятельно передал необходимые данные, например, для ускорения процесса.
- Плечевой сёрфинг - наблюдение за действиями жертвы при введении личных данных.
- Претекстинг - атака, подразумевающая преднамеренное владение какими-либо данными о пользователе, которые используются для получения необходимых данных путём вхождения в круг доверия.
Теперь перечислим некоторые способы защиты от таких методов:
- Сокрытие своих данных и паролей.
- Повышение знаний в сфере информационной безопасности.
- Наличие антивирусного ПО.
- Наличие представления о возможных действиях социальных инженеров.
- Использование лицензионного ПО.
- Внимательное отношение к вещам, хранящим ваши данные.
- Использование различных надёжных паролей для сайтов.
- Неспешность в действиях и проверка полученной информации.
Это не исчерпывающий список, но то, чему стоит уделить внимание. Вернёмся к тому, что в России шуточно называют терморектальным криптоанализом.
Один из способов предотвращения такого вида атак основан на использовании зашифрованного текста в качестве словаря для сокрытия истинно-секретного сообщения. Если человек будет вынужден отдать ключ, то злоумышленник получит только обманное сообщение, которое служит отвлечением. Истинно-секретное сообщение может быть получено с использованием набора чисел, которые представляют местоположения кода ASCII, включенного в зашифрованный текст сообщения сообщения-обманки. Изменение этого набора чисел приведет к созданию нового истинно-секретного сообщения. Шифрованный текст сообщения-обманки может использоваться для сокрытия нескольких секретных сообщений и может быть отправлен только один раз. Но при этом сообщение-обманка должно быть основано на реальных событиях, чтобы убедить нападавшего с резиновым шлангом, что он или она получили правильное сообщение. Другим же, интересным, но не до конца изученным способом является применение неявного обучения. Что же это такое? Неявное обучение - это случайное заучивание сложной информации без осознания того, что было изучено (очень знакомо студентам). Основным свойством такого знания является то, что оно может быть передано только через обучение, а получено через личный опыт. Самым простым примером такого обучения является езда на велосипеде. Когда человек учится этому навыку, он наблюдает, а затем пытается повторить. Только лишь чётко сформулированные теоретические знания не помогут этому научиться.Американскими исследователями был поставлен эксперимент (№1), направленный на изучение неявного обучения и анализ применимости такого метода для идентификации пользователя. Испытуемым было дано 2 задания:
- Первое задание: задача участника перехватить шар, когда он пролетает над чёрным целевым кругом. Ответы оценивались как правильные, если соответствующая клавиша была нажата, когда шар перекрывал целевой круг в пределах одного диаметра этого шара (половина диаметра шара по обе стороны от оптимального целевого ответа). Неправильный ответ клавиши, неправильное время ответа и несколько нажатий клавиш в одном окне ответа считались неправильными ответами. Начальная скорость шаров в процессе была адаптирована в зависимости от производительности.
- Второе задание: участникам задаётся вопрос, видили ли они данную последовательность в предыдущем задании или нет. Требуется выразить уверенность по шкале от 1 до 9.
Я тоже попробовала выполнить эти задания. Если вы, как и я, хотите попробовать, то вот вам ссылка* (https://www.reberlab.org/file/show/SISL?group=667b435bdb923a53). Когда я играла, темп был довольно высоким и поэтому было невероятно сложно отслеживать последовательности. Сложилось ощущение, что большую часть времени мои пальцы двигались сами по себе. *К сожалению, никаких результатов выполнения вы не увидите. Механизм аутентификации полезен только в том случае, если аутентификация все еще может быть точно проведена через некоторое время после запоминания. Поэтому был организован эксперимент (№2), состоящий из таких же заданий и сравнения новых данных с результатами эксперимента (№1), в ходе которого было подтверждено, что полученные участниками знания о последовательности сохранялись в течение длительного периода времени.Как говорилось выше, этот метод требует ещё дальнейшего изучения. И пока не особо может быть применим в качестве защиты данных. С исследованиями по неявному обучению можно ознакомиться в статье:
Ego Depletion Impairs Implicit Learning (Kelsey R. Thompson, Daniel J. Sanchez, Abigail H. Wesley, Paul J. Reber.)Желаю никому никогда не встречаться с таким типом криптоанализаторов!
===========
Источник:
habr.com
===========
Похожие новости:
- [Информационная безопасность, Криптография, Алгоритмы] Обобщённый алгоритм визуальной криптографии (перевод)
- [Информационная безопасность, Совершенный код, Управление продуктом, Софт] Строим безопасную разработку в ритейлере. Итоги одного большого проекта
- [Информационная безопасность, Машинное обучение, Интернет вещей] Информационная безопасность устройств IoT c использованием аппаратной поддержки
- [Информационная безопасность, Программирование, Софт] Антирекорд 2020: в ПО выявили уязвимостей больше, чем в любой другой год
- [Информационная безопасность] Security Week 52: управление атакой SunBurst через DNS-запросы
- [Информационная безопасность, Интернет вещей] Уязвимости IoT-систем на примере LoRaWAN
- [Информационная безопасность, Разработка мобильных приложений, Разработка под Android, Аналитика мобильных приложений] Как правильно идентифицировать Android-устройства
- [Информационная безопасность, IT-инфраструктура, Исследования и прогнозы в IT, Сетевое оборудование] Китай vs США — особенности противостояния ИТ-гигантов
- [Информационная безопасность, Сетевые технологии] VPN: ещё раз просто о сложном
- [Информационная безопасность, Карьера в IT-индустрии] Сдать OSCE: вызов принят
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kriptografija (Криптография), #_sotsialnaja_inzhenerija (социальная инженерия), #_kriptoanaliz (криптоанализ), #_zaschita_dannyh (защита данных), #_zaschita_informatsii (защита информации), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_kriptografija (
Криптография
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 11:55
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Если необходимость — мать изобретения, то неблагоприятная обстановка и драматические события — это, пожалуй, мать криптоанализа.Автор "Книги шифров" - Сингх Саймон.
Криптографические системы часто полагаются на секретность криптографических ключей, предоставляемых пользователям. Однако многие схемы не могут противостоять атакам с принуждением, когда злоумышленник принудительно просит пользователя раскрыть ключ. Эти атаки, известные как криптоанализ с использованием резинового шланга (или бандитский криптоанализ), часто являются наименее затратными по времени и усилиям методами, которые используются для взлома криптографии. Шантаж, угрозы и пытки - это одни из способов манипулирования людьми, т.е. способы применения социальной инженерии. Социальная инженерия — это метод манипулирования мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления.Основные типы социальной инженерии.
Один из способов предотвращения такого вида атак основан на использовании зашифрованного текста в качестве словаря для сокрытия истинно-секретного сообщения. Если человек будет вынужден отдать ключ, то злоумышленник получит только обманное сообщение, которое служит отвлечением. Истинно-секретное сообщение может быть получено с использованием набора чисел, которые представляют местоположения кода ASCII, включенного в зашифрованный текст сообщения сообщения-обманки. Изменение этого набора чисел приведет к созданию нового истинно-секретного сообщения. Шифрованный текст сообщения-обманки может использоваться для сокрытия нескольких секретных сообщений и может быть отправлен только один раз. Но при этом сообщение-обманка должно быть основано на реальных событиях, чтобы убедить нападавшего с резиновым шлангом, что он или она получили правильное сообщение. Другим же, интересным, но не до конца изученным способом является применение неявного обучения. Что же это такое? Неявное обучение - это случайное заучивание сложной информации без осознания того, что было изучено (очень знакомо студентам). Основным свойством такого знания является то, что оно может быть передано только через обучение, а получено через личный опыт. Самым простым примером такого обучения является езда на велосипеде. Когда человек учится этому навыку, он наблюдает, а затем пытается повторить. Только лишь чётко сформулированные теоретические знания не помогут этому научиться.Американскими исследователями был поставлен эксперимент (№1), направленный на изучение неявного обучения и анализ применимости такого метода для идентификации пользователя. Испытуемым было дано 2 задания:
Ego Depletion Impairs Implicit Learning (Kelsey R. Thompson, Daniel J. Sanchez, Abigail H. Wesley, Paul J. Reber.)Желаю никому никогда не встречаться с таким типом криптоанализаторов! =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_kriptografija ( Криптография ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 25-Ноя 11:55
Часовой пояс: UTC + 5