Copyright by K. Trybicka-Francik 1

Podobne dokumenty
Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia. Język Java. Bezpieczeństwo języka Java

Instrukcja wczytywania i przekazywania sprawozdań resortowych w Centralnej Aplikacji Statystycznej (CAS) przez użytkowników podobszaru PS

Java jako język programowania

Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej (CAS) przez użytkowników podobszaru PS

Dariusz Brzeziński. Politechnika Poznańska, Instytut Informatyki

Projektowanie bezpieczeństwa sieci i serwerów

Instalacja Czytnika Kart w systemie Windows 7

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Instalacja Czytnika Kart w systemie Windows 7, Windows XP, Windows Vista, Windows 2000.

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Sposoby tworzenia projektu zawierającego aplet w środowisku NetBeans. Metody zabezpieczenia komputera użytkownika przed działaniem apletu.

SERWER AKTUALIZACJI UpServ

Programowanie Strukturalne i Obiektowe Słownik podstawowych pojęć 1 z 5 Opracował Jan T. Biernat

Programowanie Multimediów. Programowanie Multimediów JAVA. wprowadzenie do programowania (3/3) [1]

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

Instalacja Czytnika Kart w systemie Windows 7 64 bitowy (tylko przeglądarki 64 bitowe )

Typy przetwarzania. Przetwarzanie zcentralizowane. Przetwarzanie rozproszone

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Instalacja Czytnika Kart w systemie Windows 7, Windows XP, Windows Vista, Windows 2000.

SERWER AKTUALIZACJI UpServ

Mirror Tool.

ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1

Aktualizacja oprogramowania sprzętowego przekaźnika bezprzewodowego WT 7

Programowanie obiektowe zastosowanie języka Java SE

Instrukcja instalacji programu w sieci. Informacja o folderach

Regulamin usług świadczonych drogą elektroniczną dla strony

Instalacja Czytnika Kart w systemie Windows 7

Java i JavaScript. Krishna Tateneni Polskie tłumaczenie: Suse Polska Aktualny opiekun tłumaczenia: Marcin Kocur

PLAN WYNIKOWY PROGRAMOWANIE APLIKACJI INTERNETOWYCH. KL IV TI 6 godziny tygodniowo (6x15 tygodni =90 godzin ),

Instrukcja instalacji oprogramowania do składania podpisu elektronicznego, pod umową o zarządzanie PPK, przy uz yciu certyfikatu kwalifikowanego

WPROWADZENIE DO JĘZYKA JAVA

INSTRUKCJA INSTALACJI SYSTEMU

Czym jest Java? Rozumiana jako środowisko do uruchamiania programów Platforma software owa

sprawdzonych porad z bezpieczeństwa

SERWER AKTUALIZACJI UpServ

Czym jest technologia Bluetooth?

INSTRUKCJA STANOWISKOWA

Generated by Foxit PDF Creator Foxit Software For evaluation only. System Szablonów

edziennik Ustaw Opis architektury

Osadzenie pliku dźwiękowego na stronie www

Instalacja Wirtualnego Serwera Egzaminacyjnego

PROGRAMY NARZĘDZIOWE 1

Programowanie obiektowe. Literatura: Autor: dr inŝ. Zofia Kruczkiewicz

Pierwsze kroki. Algorytmy, niektóre zasady programowania, kompilacja, pierwszy program i jego struktura

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE

PekaoBIZNES 24 Instrukcja obsługi dla Klienta

Programowanie w języku C++ Grażyna Koba

IBM SPSS Statistics dla systemu Windows Instrukcje instalacji (licencja sieciowa)

IBM SPSS Statistics dla systemu Windows Instrukcje dotyczące instalacji (jeden użytkownik)

POLITYKA DOTYCZĄCA PLIKÓW COOKIE

Opis komponentów NetWare 4.2

Aktualizacja oprogramowania sprzętowego przekaźnika bezprzewodowego WT 7

Kancelaria Prawna.WEB - POMOC

1. Rodzaj przetwarzanych danych / linki do witryn zewnętrznych

Instalacja Czytnika Kart 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 64 bit i 32 bit. Dokumentacja Użytkownika

Przygotowanie środowiska Java do prawidłowej obsługi podpisu elektronicznego w epuap

Data wykonania Część praktyczna

Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej przez użytkowników podobszaru SR

INSTALACJA STEROWNIKÓW CZYTNIKA W SYSTEMIE MS WINDOWS

Instrukcja instalacji programu STATISTICA

Statistics dla systemu Mac OS. Instrukcje dotyczące instalacji (licencja sieciowa)

Instrukcja Wirtualny Dysk:

Instalacja Czytnika Kart 2.4 dla przeglądarek 64 bitowych dla systemów Windows XP/Vista/2000/7/8 64 bit

IBM SPSS Statistics Wersja 24. Windows Instrukcja instalacji (licencja wielokrotna) IBM

IBM SPSS Statistics - Essentials for R: Instrukcje instalacji dla System Mac OS

1. INSTALACJA I URUCHOMIENIE KOMUNIKATORA

Instrukcja wczytywania i przekazywania zbiorów centralnych w Centralnej Aplikacji Statystycznej przez użytkowników podobszaru FA

Te warunki użytkowania dotyczą modułu e-submission w ramach Portalu dla dostawców, nie całego Portalu dla dostawców.

Instrukcja dotycząca generowania klucza dostępowego do Sidoma v8

Obiektowy model dokumentu. Katedra Mikroelektroniki i Technik Informatycznych

Biuletyn techniczny. CDN OPT!MA 12.0 Drukarki fiskalne w usługach terminalowych. Copyright 2007 COMARCH SA

VCC-HD2x00P VDC-HD3x00P VCC-HD4600P VCC-HD5400P VCC-HD5600P

Wprowadzenie. Organizacja pracy i środowisko programistyczne. Mirosław Ochodek

IBM SPSS Statistics Version 22. Windows - Instrukcja instalacji (licencja wielokrotna)

IBM SPSS Statistics dla systemu Windows Instrukcje dotyczące instalacji (licencja sieciowa)

5-6. Struktura dokumentu html. 2 Określenie charakteru i tematyki strony. Rodzaje witryn. Projekt graficzny witryny. Opracowanie skryptów

Instalacja Czytnika Kart GemPc Twin 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 32 bity i 64 bity Wersja 1.

Oprogramowanie komputerowych systemów sterowania

Instrukcja obsługi Podręcznik aktualizacji oprogramowania sprzętowego

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Odpowiedzialność karna za przestępstwa komputerowe

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

Content Manager 2.0 podręcznik użytkownika

Instrukcja instalacji oprogramowania Systemu e-kt

Instalacja Czytnika Kart 1.4 dla przeglądarek 32 bitowych dla systemów Windows XP/Vista/2000/7/8 64 bit i 32 bit

Instrukcja instalacji czytnika kart mikroprocesorowych i konfiguracji przeglądarki internetowej do współpracy z systemem bankowości elektronicznej CIB

Aktualizacja oprogramowania sprzętowego lampy błyskowej

Archiwizowanie nagrań i naprawa bazy danych

System komputerowy. Sprzęt. System komputerowy. Oprogramowanie

Java Podstawy. Michał Bereta

OWASP OWASP. The OWASP Foundation Cross-Site Scripting. Ryzyko do zaakceptowania? Warszawa, 27 stycznia 2011 Michał Kurek

Content Manager 2 podręcznik użytkownika

Instrukcja pierwszego logowania do Serwisu BRe Brokers!

Tutaj znajdziesz Odpowiedź na: Najczęściej Spotykane Problemy Najczęściej zadawane Pytania

Nasze cyfrowe bezpieczeństwo K O N R A D P O S T A W A

Wykład V. Rzut okiem na języki programowania. Studia Podyplomowe INFORMATYKA Podstawy Informatyki

Piraci XXI wieku, czyli legalne i nielegalne programy Informatyka szkoła podstawowa Scholaris - DC Edukacja

1. Od czego zacząć? - Instalacja środowiska pracy

METODY REPREZENTACJI INFORMACJI

Transkrypt:

Bezpieczeństwo systemów komputerowych Kopiowanie kodu maszynowego komponenty ActiveX i moduły rozszerzające mgr Katarzyna Trybicka-Francik kasiat@zeus.polsl.gliwice.pl pok. 503 W tym wykładzie: Kiedy dobre przeglądarki schodzą na złą drogę Moduły rozszerzające dla przeglądarek Netscape Zagrożenia wiążące się z kopiowaniem kodu Czy Authenticode jest dobrym rozwiązaniem? Zwiększanie bezpieczeństwa kopiowanego kodu Kiedy dobre przeglądarki schodzą na złą drogę Cel włamywaczy Celem włamywaczy komputerowych jest zazwyczaj uzyskanie możliwości uruchomienia dowolnego programu na komputerze użytkownika, bez wiedzy i aprobaty tego ostatniego. Sposób Nakłonić użytkownika do załadowania na swój komputer i wykonanie określonego programu Środki zaradcze? Badanie wszystkich kopiowanych programów i upewnienie się, czy nie zawierają one złośliwego kodu 1

Kiedy dobre przeglądarki schodzą na złą drogę! Card Shark (1996)! Przeglądarka pornograficzna Sexy Girls (1997) Moduły rozszerzające dla przeglądarek! aplikacje pomocnicze (helper( application)! plug-in Moduły rozszerzające dla przeglądarek! Pobranie modułu rozszerzającego z sieci! Ocena bezpieczeństwa modułu rozszerzającego! Moduł może zostać stworzony w złych intencjach i zniszczyć dane przechowywane w komputerze, jeśli tylko użytkownik będzie na tyle nieostrożny, aby go skopiować i uruchomić! Moduł może zostać stworzony w dobrej wierze, a następnie zmodyfikowany w taki sposób, aby wykonywał niebezpieczne czynności! Kod modułu może nie zawierać choćby jednej celowo niebezpiecznej instrukcji, może jednak znaleźć się w nim błąd, który ktoś inny może wykorzystać na szkodę użytkownika! Moduł może implementować język programowania ogólnego zastosowania, który może zostać wykorzystany przez napastników 2

! ActiveX! zbiór technologii, protokołów oraz programów stworzonych przez firmę Microsoft! przeznaczony do tworzenia kodu kopiowanego przez Internet! Kod umieszczany jest w specjalnym pliku (element sterujący) o rozszerzeniu OCX! ActiveX a moduły rozszerzenia! Elementy ActiveX udostępniają zazwyczaj nowe możliwości funkcjonalne w określonych obszarach stron WWW, natomiast moduły rozszerzające zwykle umożliwiają przeglądarce przetwarzanie nowych typów danych! Elementy ActiveX są pobierane i instalowane w sposób automatyczny, natomiast moduły rozszerzenia muszą być instalowane ręcznie! Elementy ActiveX mogą być podpisane cyfrowo za pomocą technologii Authenticode.! ActiveX elementy sterujące! Elementy sterujące ActiveX zawierające rodzimy kod maszynowy komputera, na którym są wykonane. Elementy te pisane są w takich językach programowania jak C, C++ lub VisualBasic. Ich tekst źródłowy jest kompilowany do postaci kodu maszynowego i wykonywany w komputerze użytkownika! Elementy sterujące ActiveX zawierające kod pośredni Javy. Elementy takie sterujące tworzone są w języku Java lub w innym języku programowania, który może być skompilowany do postaci kodu pośredniego Javy. Elementy sterujące tego typu są kopiowane i wykonywane przez wirtualną maszynę Javy wewnątrz przeglądarki. 3

Serwer WWW znacznik <OBJECT> Załadowanie programu Przeglądark a sprawdzanie podpisu cyfrowego Wykonanie program ActiveX ActiveX Przestrzeń adresowa przeglądarki! Elementy ActiveX rozprowadzane jako kod maszynowy Technologia Authenticode może zostać użyta do zdecydowania, czy kopiować kod elementu sterującego z WWW czy też nie. Podpisy tego typu sprawdzane są tylko i wyłącznie w sytuacji, gdy element sterujący ma być skopiowany z Internetu. Jeśli zostanie on umieszczony na dysku twardym komputera użytkownika, przyjmuje się, że można go bezpiecznie uruchomić.! Elementy ActiveX rozprowadzane jako kod pośredni Javy Również tutaj technologia Authenticode może zostać wykorzystana do podjęcia decyzji, czy kopiować kod elementu sterującego z WWW czy też nie. Zagrożenia wiążące się z kopiowaniem kodu! Programy które potrafią wydać Twoje pieniądze! Opłaty za połączenia telefoniczne! Przelewy elektroniczne! Programy naruszające prywatność i wykradające poufne informacje! programy podsłuchujące pakiety! programy samoreplikujące się! programy mające dostęp do urządzeń audio lub wideo! szpiegostwo przemysłowe 4

Czy Authenticod jest dobrym rozwiązaniem?! Kod podpisywany nie musi być kodem bezpiecznym! Dzienniki kontroli narażone są na ataki! Zniszczenia spowodowane przez element sterujący ActiveX mogą być wykryte dopiero po pewnym czasie! Authenticode nie ochrania użytkownika przed wirusami i błędami w oprogramowaniu! Podpisane elementy sterujące mogą być niebezpieczne w przypadku niepoprawnego użycia! Samo oprogramowanie Authenticode może zostać zaatakowane! Podpisany kod może być przechwycony podczas przesyłania! Rekonstrukcja przeprowadzenia ataku! Odtwarzanie szkód powstałych podczas ataku Zwiększenie bezpieczeństwa kopiowanego kodu! Zaufani partnerzy! Izolacja wykonywanego programu Dziękuję 5

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres