IA : Oznacza information assurance, metodologia zapewnienia bezpieczeństwa systemów informatycznych
IASE : Oznacza Information Assurance Support Enviroment , publiczne archiwum Departamentu Obrony USA dla zapewnienia bezpieczeństwa informacji
IATF : Oznacza Information Assurance Technical Framework, środowisko dla zapewnienia bezpieczeństwa systemów informatycznych
ICMP atak : Atak, który wykorzystuje charakterystykę Internet Control Message Protocol (ICMP). ICMP jest częścią protokołu TCP/IP odpowiedzialny za wysyłanie komunikatów błędów i dostarczanie metod dla testowania sieci IP. Niestety ICMP jest wykorzystywany przez niektórych do wykorzystywania różnych ataków przeciwko sieci. Niektóre z popularnych ataków ICMP to:
&bull ICMP figerprinting : Ta technika używa ICMP do określania systemu operacyjnego uruchomionego na danym komputerze
• ICMP flood : Nazywany również atakiem Smurf, jest popularnym atakiem typu denial of service (DoS)
&bull ICMP sweep : Zwany również ping sweep, technika dla określania jakie hosty są aktywne w sieci
Inne podejścia to:
• Wysyłanie ponadgabarytowych wiadomości ICMP powodując awarię na hoście docelowym
• Użycie przekierowanie wiadomości ICMP dla wykonania exploitu man-in-the-middle
• Użycie komunikatu wykrywania routera ICMP dla sfałszowania routera i przechwycenia ruchu
• Użycie tunelowania ICMP dla założenia ukrytego kanału dla wyciekania informacji z systemu
ICMP enumeracja : Użycie komunikatów ICMP do enumeracji hostów w sieci. Enumeracja jest zbieraniem informacji o systemach docelowych lub sieci, takich jak to które hosty są aktywne w sieci. Firewalle są często konfigurowane do blokowania komunikatów echa ICMP (ping i traceroute) ale nie takich jak komunikat znacznika czasoweg czy żądania informacji. Przez wysłanie takich komunikatów ICMP do wszystkich możliwych adresów Internet Protocol (IP) w zdalnej sieci, atakujący może określi , które hosty są aktywne (odpowiadają) w sieci
ICMP fingerprinting Użycie komunikatu ICMP dla wybadania hosta. Fingerprinting jest procesem określania tożsamości zdalnego systemu przez analizę pakietów przez niego generowanych. Jednym ze sposobów fingerprintingu hostów Internet Prorocol (IP) jest wysłanie echo request ICMP di hosta i przeanalizowanie pakietów ,które są zwracane. Różne systemy operacyjne czasami implementują ICMP różnie w swoich stosach TCP/IP, co skutkuje nieco innymi wzorcami bitowymi zwracanymi w odpowiedzi na ICMP echo request. Poprzez porównanie zawracanej odpowiedzi ze znaną bazą danych sygnatur ICMP echo request, atakujący może określić jaki system operacyjny jest uruchomiony na zdalnym hoście i użyć tej informacji aby lepiej wykorzystać docelowy host. Inną techniką używaną w ICMP fingerprintingu jest stworzenie specjalnie spreparowane pakiety ICMP echo request które mają niestandardowe znaczniki czasowe lub inne modyfikacje. Różne systemy operacyjne często odpowiadają na takie niestandardowe pakiety w unikalny sposób.
ICMP flood : Zwany również atakiem Smurf , atak denial of service , który używa ICMP echo request
ICMP sweep : Zwany również ping sweep , metoda footprintingu sieci używając ICMP echo request
ICMP Traceback (itrace) : Zaproponowana modyfikacja Internet Control Mesage Protocol (ICMP) umożliwiająca ruchowi Internet Protocol (IP) dla śledzenie do źródła. ICMP Traceback (znany również jako itrace) to nowy komunikat ICMP, zaprojektowany aby pomóc wyśledzić źródło z którego wyszedł atak denial of service. Aby dotrzeć do hosta przeznaczenia w Internecie, pakiet IP zazwyczaj przemierza wiele routerów i hopów. Z włączonym ICMP Traceback , router losowo emitują jedną wiadomość traceback co 20 000 wysłanych pakietów. Ten komunikat może być wysłany albo do hosta źródłowego z którego pakiety wychodził, albo hosta przeznaczenia dla którego przeznaczony jest pakiet. Analizując te komunikaty, administrator może określić adresy IP hostów ,z których wyszedł atak DoS, i może potem użyć tych informacji dla skontaktowania się z właścicielem sieci z której został wykonany atak. ICMP Traceback jest projektem standardu internetowego. Jedynym ograniczeniem jest to ,że aby ICMP Traceback pracował, musi być szeroko implementowany w internecie, szczególnie w routerach szkieletowych i brzegowych dostawców usług internetowych (ISP) i sieci korporacyjnych. Ponieważ komunikaty traceback stanowią 1 na 20 000 pakietów przekazywanych, będą miały one niewielki wpływ na ruch w Internecie.
ICMP tunneling : Metoda używając Internet Control Message Protocol (ICMP) dla ustanowienia ukrytego kanału . Ukryte kanały są kanałami komunikacyjnymi, które ukrywają tajne informacje przepływające wewnątrz normalnego strumienia komunikacyjnego. Jedną z metod ustanawiania ukrytego kanału w sieci IP jest ukrywanie danych w pakietach, które zwykle nie przenoszą użytecznego ładunku. Przykładem jest tunelowanie ICMP, które ukrywa dane w pakietach ICMP request/reply, rodzaj pakietów generowanych przez Ping. Jeśli firewalle są skonfigurowane do przekazywania takiego ruchu (i często są ponieważ Ping jest przede wszystkim narzędziem do rozwiązywania problemów), wtedy informacja może wyciekać z systemu bez wykrywania przez firewall lub system wykrywania włamań (IDS). Powszechnym użyciem ukrytego kanału jest komunikacja z backdoorami. Kiedy atakujący złamał system i zainstalował backdoor, używa ukrytego kanału dla kontrolowania systemu lub wycieku informacji z niego używając niewinnie wyglądającego ICMP echo packets. Jednym z narzędzi jakiego może udać atakujący jest Loki, program po raz pierwszy opublikowany w magazynie phrack. Najlepszym sposobem ochrony przed tunelowaniem ICMP jest zablokowanie całego ruchu ICMP na firewallu.
IDEA : Oznacza International Data Encrytpion Algorithm , algorytm szyfrowania szyfrem blokowy, stworzony przez Xuejia Lai i Jamesa Masseya.
identity theft [kradzież tożsamości] : Podszywanie się pod czyjąś tożsamość przez kradzież informacji osobistych. Podczas gdy kradzież tożsamości nie jest w istocie cyberprzestępstwem, rozwój e-handlu zaostrzył problem. Kradzież tożsamości występuje wtedy kiedy przestępca kradnie dane osobowe kogoś a potem używa tych informacji dla uzyskania prawa jazdy, stosuje przy kartach kredytowych, dostępie do kont bankowych i wykonywania innych działań, które mogą zaszkodzić bezpieczeństwu finansowemu ofiary. Wraz ze wzrostem liczby stron internetowych zbierających dane osobowe w bazach danych dostępnych z Internetu , kradzież tożsamości staje się poważnym problemem dla organów ścigania i kosztuje miliardy rocznie. Aby uchronić się przed tradycyjnymi metodami kradzieży tożsamości możesz wykonać co następuje
• Podarcie starych sprawozdań finansowych i dokumentów osobistych
• Unikanie podawania numeru ubezpieczenia
• Używaj blokowania skrzynki pocztowej
• Sprawdzaj wyciągi z kart kredytowych
• Przeglądaj regularnie informacje o kartach kredytowych
Dla osób które korzystają w sieci z e-handlu, powinny wykonać dodatkowe kroki :
• Upewnij się , że strony internetowe ,na których można dokonywać zakupów lub dokonywać transakcji finansowych używają bezpiecznych serwerów (oznaczone symbolem kłódki na dole okna przeglądarki)
• Używaj różnych adresów e-mail dla korespondencji prywatnej i biznesowej
• Unikaj podawania informacji osobistych takich jak data urodzenia czy nazwiska panieńskiego matki
idle host scan [skanowanie jałowe hosta] : Niewidoczna metoda skanowania hosta w sieci. Skanowanie portów jest często wykorzystywane przez atakujących jako metoda footprintingu systemów docelowych lub sieci. Skanowanie określa jaka usługa nasłuchuje na danej maszynie docelowej, a to może dostarczyć atakującemu wielu użytecznych informacji dla prób wykorzystania exploitów dla znanych słabości. System wykrywania włamań (IDS) może wykryć kiedy host jest skanowany, jednak, porty mogą być zamknięte aby zabezpieczyć się przed skutecznym skanowaniem. Jałowe skanowanie hosta jest sposobem skanowania portów na hoście docelowym bez wykrywania przez IDS nietypowej aktywności. Jałowe skanowanie portów działa przez odzwierciedlenie ruchu trzeciego hosta i użycie luk w sekwencji liczb w TCP ,aby określić jakie usługi są uruchomione na hoście docelowym. Atakujący rozpoczyna wysyłając stały strumień pakietów TCP Reset (RST) do niczego nie oczekującego trzeciego hosta w sieci. Ten host powinien być stosunkowo nieaktywny (host jałowy), tak ,że może generować ciągłą sekwencję pakietów RST w odpowiedzi na te odbierane. Atakujący fałszuje pakiet synchronizacyjny (SYN) tak ,że jego adres źródłowy jest adresem hosta jałowego i jego adres przeznaczenia , którym jest host docelowy. Sfałszowany pakiet jest stworzony dla otwarcia sesji używają określonego portu TCP lub UDP aby przetestować czy ten port jest otwarty na hoście docelowym. Gdy host docelowy odbiera pakiet, sygnał potwierdzenia (ACK) jest wysyłany do hosta jałowego, powodując przerwanie sekwencji liczb TCP pakietu RST wysyłanych do atakującego. Innymi słowy , jeśli cel nasłuchuje na określonym porcie , "luka" jest postrzegana w sekwencji liczb TCP odzwierciedlając strumień pakietów powracających do atakującego z hosta jałowego, a istnienie tej luki wskazuje na obecność otwartego portu w systemie docelowym . Aby jałowe skanowanie działało, stos TCP/IP na hoście jałowym musi generować sekwencję liczb TCP zgodnie z przewidywanym schematem, który atakujący może rozszyfrować ,i niestety jest to przypadek z wieloma implementacjami stosu TCP/IP
IDS : Oznacza system wykrywania włamań, aplikację lub urządzenie , które identyfikuje podejrzaną aktywność sieciową
IIS Lockdown Tool : Dostępne do pobrania narzędzie , które pomaga administratorom na bezpieczeństwo Internet Information Services (IIS) . IIS Lockdown Tool ułatwia zabezpieczenie IIS4 i 5 przez wyłączenie zbędnych funkcji, w celu ograniczenia ataków na serwery WWW. To oparte na kreatorze narzędzie wspiera co następuje
• Szablony dl konfiguracji IIS w różnych scenariuszach
• Integracja URLscan dla projekcji przychodzących zapytań http
• Selektywne wyłączanie usług http< File Transfer Protocol (FTP)< Simple Mail Transfer Protocol (SMTP) lub Network News Transfer Protocol (NNTP)
IKE : Oznacza Internet Key Exchange, protokół zarządzania kluczem używany przez Internet Protocol Security (IPSec)
ILOVEYOU : Inna nazwa robaka LoveLetter , złośliwego programu VBScript , który rozprzestrzeniał się za pomocą książki adresowej Microsoft Outlook
impersonation [personifikacja] : Zdolność procesu do uruchamiania używając innego kontekstu bezpieczeństwa niż ten, który jest właścicielem procesu. Personifikacja jest cechą systemów operacyjnych i aplikacji, która pozwala im odpowiadać na zapytania klienta. Zazwyczaj serwer personifikuje klienta aby zezwolić klientowi na dostęp do zasobów na serwerze. Token personifikacji jest tokenem dostępu , który łączy informacje bezpieczeństwa procesu klienta i pozwala serwerowi na podszycie się pod klienta dla dostępu do zasobów.
incydent : Niekorzystne zjawiska wpływające na system informacyjny. Generalnie, incydentem jest każde zdarzenie, które zagraża bezpieczeństwu systemu, sieci lub danych. Incydent nie musi być rzeczywisty - nawet groźba takiego zdarzenia jest rozpatrywana jako incydent w większości przypadków. Przykłady mogą obejmować złośliwe działania takie jak :
• Kradzież sprzętu i oprogramowania
• Korzystanie z konta lub uprzywilejowania bez autoryzacji,
• Manipulowanie przechowywanymi danymi,
• Uruchamianie złośliwego kodu, który niszczy systemy lub dane
• Zakłócanie usługi legalnych użytkowników,
• Nadużywanie informacji dla osobistych korzyści lub szpiegostwa przemysłowego
Incydenty mogą mieć również przypadkowe lub naturalne pochodzenie w tym:
• Przerwy w dostawie elektryczności
• Awarie sprzętu z powodu słabej wentylacji
• Błąd ludzki we wprowadzaniu danych lub konfigurowaniu systemów
incydent repsonse [odpowiedź na incydent] : Działanie podjęte w odpowiedzi na incydent wpływający na bezpieczeństwo informacji. Odpowiedź na incydent jest zaplanowanym działaniem w odpowiedzi na niepożądane zdarzenia mające wpływ na systemy, sieci i dane. Odpowiedź na incydent może wahać się od nagrywania incydentu do ostrzegania zespołu reagowania na incydenty w celu zainicjowania działań prawnych przeciwko złośliwym osobom. Najlepszym sposobem radzenia sobie z incydentami związanymi z bezpieczeństwem jest przestrzeganie planowanego podejścia określonego w starannie opracowanej polityce bezpieczeństwa. Taka polityka powinna nakreślić jaka odpowiedź jest odpowiednia dla każdego typu incydentu, osobę odpowiedzialną za obsługę takiej sytuacji i odpowiednią procedurą eskalacji do naśladowania jeśli to konieczne. Odpowiedź na incydent jest systematycznym działaniem mającym na celu zminimalizowanie skutków utraty lub kradzieży informacji, pomoc w odzyskiwaniu danych , tak szybko jak to możliwe, i pomoc w ustanowieniu odpowiednich procedur aby zapobiec powtórzeniu się takich incydentów w przyszłości.
incydent response team [zespół reakcji na incydent] : Zespół odpowiedzialny za obsługę incydentów bezpieczeństwa informacji w momencie ich wystąpienia. Zespół taki może być utworzony wewnętrznie w firmie, lub zespołem zewnętrznym. Zespoły takie są przygotowane do reagowania na incydenty komputerowe w staranny, metodyczny sposób , co pomaga szybko odzyskać dane firmowe dotknięte incydentem i wznowić normalną działalność tak szybko jak to możliwe. Zespoły reagowania na incydenty mogą również dotyczyć zagadnień prawnych dotyczących kradzieży informacji i porad prawnych. CERT Coordination Center (CERT/CC) , centrum obsługiwane prze Carnegie Mellon University, prowadzi szkolenia i porady na temat jak stworzyć zespoły reagowania na incydenty
infekcja : Działanie wirusa lub robaka ustanawiającego się w systemie komputerowym. Infekcja jest procesem przez który wirusy i robaki powodują uszkodzenia aplikacji i danych przechowywanych na komputerach. Infekcja może wydarzyć się na wiele sposobów :
• Przez użycie zainfekowanych dyskietek pożyczonych od przyjaciela , szkoły lub pracy
• Przez pobranie zainfekowanych programów z Internetu szczególnie typu shareware niezaufanych stron
• Przez użycie pirackiego oprogramowania , które poprzednio zostało zainfekowane
• Przez otwarcie zainfekowanego załącznika w wiadomości e-mail
Kiedy robak staje się aktywny na komputerze, może zainfekować program lub plik z danymi przez skopiowanie lub dołączenie się do plików
information assurance (IA) [ochrona informacji] : Metodologie zapewniające bezpieczeństwo systemom informatycznym. Ochrona informacji to proces ochrony i obrony systemów informatycznych i infrastruktury przed atakiem. Ochrona oznacza pewność ,że funkcje bezpieczeństwa produktu lub systemu w pełni spełnia założone cele, a ochrona informacji zapewnia zasady i procedury dla projektowania, testowania i implementacji informacji o produktach w bezpieczny sposób. Ochrona informacji skupia się na pięciu elementach bezpieczeństwa informacji
• Uwierzytelnienie
• Dostępność
• Poufność
• Integralność
• Niezaprzeczalność
Z tych pięciu elementów, trzy z nich (poufność, integralność i dostępność) są często postrzegane jako podstawowe elementy bezpieczeństwa informacji (infosec) i są często określane jako "triada CIA" [od nazw angielskich]. Coraz większą popularność do zapewnienia ochrony informacji uzyskuje Common Criteria and Methodology for Information Technology Security Evaluation (zwykle nazywane Common Criteria), międzynarodowy wysiłek dla ustandaryzowania kryteriów oceny bezpieczeństwa systemów informatycznych określony w normie ISO 15408
Information Assurance Support Enviroment (IASE) : Dział Departamentu Obrony dla ochrony informacji . IASE zapewnia szkolenia, usługi i doradztwo w pozyskiwaniu i implementacji bezpiecznych systemów informatycznych. Większość usług IASE , w tym Information Desk i Global Directory, są ograniczone do użytkowników w domenach .gov i .mil i wymagają cyfrowego certyfikatu dla dostępu do nich. Publicznie dostępne informacje IASE zawierają listę linków powiązanych z IA i listę bezpłatnych produktów szkoleniowych. IASE jest sponsorowane przez Defense Information Systems Agency (DISA)
Information Assurance Technical Framework (IATF) : Środowisko dla zapewnienia bezpieczeństwa systemom informatycznym. IATF został stworzony przez Information Assurance Technical Framework Forum (IATFF), działalność społeczna amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA), jako przewodnik dla opracowania i wdrażania bezpiecznych systemów informatycznych oraz ochrony infrastruktury informacyjnej. Środowisko wykorzystuje pogłębione podejście obrony warstwowej z czterema obszarami na których się skupia:
• Obrona sieci i infrastruktury
• Obrona granicy enklawy
• Zdefiniowanie środowiska komputerowego
• Wsparcie infrastruktury
IATF została szeroko przyjęta w ramach amerykańskiego rządu i przemysłu obronnego , a jego celem jest zapewnienie środowiska dla rozwiązania ochrony informacji IA w administracji, przemyśle i biznesie.
informacji wyciek : Uzyskanie przydatnych informacji za pośrednictwem luk w zabezpieczeniach sprzętu lub oprogramowania. Źle zaprojektowany sprzęt i oprogramowanie może powodować "wyciek" informacji w nieoczekiwany sposób , a napastnicy często wykorzystują takie luki w celu uzyskania informacji przydatnych dla wsparcia swoich czynów. Niektóre z wielu sposobów w jaki może wystąpić przeciek informacji to:
• Promieniowanie elektromagnetyczne z nieekranowanych kabli może zostać przechwycone za pomocą urządzeń radiowych i analizowane w celu określenia danych.
• Sterowniki Ethernet często odpowiadają na echo request ICMP przez dopełnienie wiadomości echo request ICMP z jądrem pamięci, które może zawierać bity z ruchu w innych segmentach sieci.
• Migający wskaźnik diody LED , emitujący światło na sprzęcie komputerowym może czasem być skorelowane z aktywnością wykonywaną przez urządzenie, pozwalając napastnikowi na fizyczny dostęp do urządzenia, aby uzyskać przydatne informacje.
• Komunikaty powitalne generowane przez narzędzia komunikacji sieciowej mogą dostarczyć atakującym na temat tego jakie metody uwierzytelniania lub algorytmy mieszające będą używane.
Information Systems Audit and Control Association (ISACA) : Globalna organizacja zainteresowana ochroną informacji (IA) i kontrolą. ISACA jest uznanym , światowym liderem w dziedzinie audytu na polu IA . Od 1969 roku ISACA dostarczyła społeczności IT konferencji szkoleniowych i zarządzał dla swoich członków globalne repozytorium informacji nazwane K-NET. ISACA również administruje uznanym standardem w informatycznych systemach audytu certyfikacji, Cerified Information System Auditor (CISA).
Information Systems Security Association (ISSA) : Niezależna organizacja specjalistów ds. bezpieczeństwa. ISSA jest organizacją nonprofit , która zapewnia możliwość kształcenia, nawiązywania kontaktów specjalistom ds. bezpieczeństwa z całego świata. ISSA również sponsoruje regionalne wydarzenia i coroczną konferencję i jest członkiem założycielem International Information Systems Security Certfication Consortium (ISC)
Information Technology Security Evaluation Criteria (ITSEC) : Zbiór kryteriów dla bezpieczeństwa informacji. Information Technology Security Evaluation Criteria (ITSEC) jest zbiorem kryteriów stworzonych przez kraje europejskie dla certyfikowania poziomu bezpieczeństwa produktów lub systemów informatycznych. Ocena ITSEC polega na wykazaniu zgodność testowanego produktu z Security Target, zbiorem wymogów bezpieczeństwa opracowanych przez CLEF (commercial licensed evaluation facility). Produkt lub system testowany w tym procesie jest nazywany target of evaluation (TOE), Certyfikat ITSEC jest ważny dla producentów zarówno z perspektywy marketingowej jak i zamówień. Przez wprowadzanie produktów z certyfikatem ITSEC, producenci mogą pokazać potencjalnym klientom swoje zaangażowanie w bezpieczeństwo informacji. Z punktu widzenia zamówień, wiele europejskich agencji rządowych wymaga certyfikacji ITSEC i zamyka swój rynek dla producentów bez certyfikatów. Produkty i systemy mogą być certyfikowane na różnych poziomach, począwszy od E1 (najniższy) do E6 (najwyższy).
infosec : Skrót od bezpieczeństwo informacji (information security) . Termin infosec jest powszechnie używany w kilku środowiskach :
• Wśród profesjonalnych , certyfikowanych praktyków informacji bezpieczeństwa
• W europejskim kontekście bezpieczeństwa informacji
• W wojsku
Termin ten jest często zmieniany na INFOSEC , szczególnie w kontekście wojskowym Pojęcia pokrewne to COMSEC, który oznacza bezpieczeństwo komunikacji i RADSEC, który oznacza bezpieczeństwa promieniowania (elektromagnetycznego)
InfraGrad : Wspólny wysiłek dla ochrony infrastruktury krytycznego bezpieczeństwa informacji (INFOSEC) w Stanach Zjednoczonych. InfraGrad jest inicjatywą opartą o współpracę między następującymi jednostkami :
• FBI
• National Infrastructure Protection Center (NIPC)
• Lokalne organy ścigania
• Biznes i przemysł
• Akademia
Celem InfraGrad jest ułatwienie terminowej wymiany i analizy informacji o włamaniach, exploitach, lukach i zagrożeniach dla infrastruktury publicznych i prywatnych systemów informatycznych. Funkcje InfraGrad wykorzystują lokalne oddziały w całym kraju i ma na celu pomóc firmom w zakresie infrastruktury i agencjom chroniąc przez następującymi zagrożeniami:
• Nieustrukturyzowane zagrożenia przez wewnętrznych włamywaczy i rekreacyjnych hackerów
• Ustrukturyzowane zagrożenia terrorystyczne, szpiegów przemysłowych i organizacji przestępczych (zarówno fizycznych jaki i cyberprzestrzennych)
• Zagrożenie bezpieczeństwa narodowego
ingress filtering [filtrowanie ruchu przychodzącego] : Blokowanie ruchu przychodzącego , którego adres źródłowy znajduje się w sieci wewnętrznej. Filtrowanie ruchu przychodzącego jest techniką , która może być używana w firewallach i routerach filtrujących pakiety aby ochronić sieć przeciwko atakom denial of service (DoS), które wykorzystują fałszowanie adresów IP. Filtrowanie ruchu przychodzącego blokuje pakiety przychodzące, które atakujący fałszuje aby wyglądały jakby pochodziły z hostów rezydujących w sieci wewnętrznej. Filtrowanie ruchu przychodzącego jest zalecaną praktyką dla dostawców usług internetowych (ISP) aby pomóc chronić swoje sieci klienckie przed rosnącą liczba ataków DoS występujących w Internecie.
inicjalizacyjny wektor : Metoda zapewniająca , że bloki początkowe tekstu zaszyfrowanego są zawsze unikalne. Szyfry blokowe konwertują tekst jawny na tekst zaszyfrowany używając algorytmów matematycznych. Kiedy dwa fragmenty tekstu jawnego, takie jak wiadomość e-mail, zaczynają się identyczną informacją, taką jak nagłówki wiadomości, ważne jest aby się upewnić ,że początkowe części tekstu zaszyfrowanego wynikające z zastosowania szyfru blokowego są inne. Aby to osiągnąć, dołączana jest losowa seria bitów nazywana wektorem inicjalizacji na początek tekstu jawnego przed zastosowaniem szyfru blokowego. Powoduje to ,że początkowa część stworzonego tekstu zaszyfrowanego jest zawsze unikalny
input validation attack [atak sprawdzania poprawności danych wejściowych] : Każdy atak ,który wykorzystuje słabe kodowanie algorytmów używanych do sprawdzania danych , wprowadzanych przez program lub użytkownika. Sprawdzanie poprawności danych wejściowych jest istotną częścią dobrej praktyki kodowania i polega na sprawdzeniu informacji wejściowej dla filtrowania niepożądanych danych wejściowych aby upewnić się ,że program lub dane nie mogą być naruszone. Jednak dobre sprawdzanie poprawności danych wejściowych jest skomplikowane i trudne do wdrożenia, a pomysłowi programiści czasami wymyślają sposoby na obejście procedur walidacji danych wejściowych. Istnieje kilka typów ataków sprawdzania danych wejściowych:
• Obejmujący znaki specjalne takie jak (*), (< script >), (…/) lub znaki ucieczki, powodując ,że program wykonuje czynności, takie jak uruchomienie pliku wykonywalnego lub skryptu dla podniesienia uprawnień atakującego
• Wysyłanie danych wejściowych, które są celowo stworzone dla generowania błędów a potem ,za pomocą tych błędów profilowanie systemu
• Wysyłanie danych wejściowych , które są celowo zaprojektowane dla przepełnienia bufora, który powoduje crash programu, odmawiając usług poprawnym użytkownikom sieci
insider attack [atak z wewnątrz] : Łamanie systemów sieciowych przez pracowników firmy. Zgodnie z raportem Intergov i innych organizacji, większość incydentów związanych z bezpieczeństwem informacji jest dokonywana przez osoby wewnątrz .Ataki wewnętrzne są bardziej kosztowne i bardziej szkodliwe niż te popełniane przez osoby z zewnątrz. Są także trudniejsze do wykrycia, gdyż zazwyczaj omijają firewalle i sieciowe systemy wykrywania włamań (NIDS) , które często nie są skonfigurowane dla wyszukiwania takich ataków. Jednym ze sposobów wykrywania ataków wewnętrznych jest utworzenie wabika. Na przykład wabik "serwer płac" może być ustawiony i monitorowany aby złapać pracownika na próbie dostępu lub manipulacji płacami w sposób nieautoryzowany. Chociaż może się wydawać ,że ataki wewnętrzne są problemem który można rozwiązać w sposób techniczny, może on być wynikiem złych praktyk zarządzania , takich jak faworyzowanie w promocjach, opóźnienie w płatnościach wynagrodzeń, brak reakcji na sugestie poprawy pracy itd. Jednakże , w rzeczywistości takie ataki są zawsze działaniem przestępczym i sprawcy mogą być ścigani.
integralność Dokładność i kompletność odebranej wiadomości lub pobranego pliku. Integralność jest istotnym aspektem bezpieczeństwa informacji (infosec) i razem z poufnością i dostępnością formułuje "triadę CIA". System informatyczny , który chroni integralność danych zapewnia ,że nie zostały zmodyfikowane w transporcie (dla komunikatów) lub podczas przechowywania (dla plików). Jest istotne ,że atakujący nie może przechwycić i zastąpić poprawnych danych sfałszowanymi. Integralność danych może być również naruszona przypadkowo przez wyładowania elektryczne lub klęski żywiołowe .Fizyczne zabezpieczenie systemów pamięci masowej oraz zapewnienie redundacji może chronić integralności przechowywanych danych . Ochrona integralności przesyłanych informacji wymaga ochrony fizycznej mediów transmisyjnych, szyfrowania informacji, więc nie można ich odczytać lub zmodyfikować , a użycie sum kontrolnych wykrywa kiedy dane zostały zmodyfikowane.
International Data Encryption Algorithm (IDEA) : Algorytm szyfrowania szyfru blokowego stworzony przez Xuejia Lai i James Masseya. IDEA jest obliczeniowo szybkim szyfrem blokowym , który szyfruje 64 bitowe bloki tekstu jawnego na bloki zaszyfrowane tej samej wielkości. IDEA wykorzystuje 128 bitowy klucz i wykonuje szyfrowanie w ośmiu rundach używając 16 bitowego podklucza. IDEA został stworzona w 1991 roku i została opatentowana przez Ascom, szwajcarską firmę ,która jest szczodra w udzielaniu zgody dla darmowego , niekomercyjnego użycia.
International Information Systems Security Certification Consortium (ISC)2 : Konsorcjum nonprofit szkolące i certyfikujące profesjonalistów ds. bezpieczeństwa informacji (infosec). Od 1989 roku (ISC)2 jest wiodącą organizacją certyfikowania specjalistów ds. bezpieczeństwa informacji (ISC)2 administruje respektowaniem standardów Certified Information Systems Security Professional (CISSP) i System Security Cerified Practitioner (SSCP) , certyfikaty które wymagają lat doświadczeń i przejścia rygorystycznych egzaminów. (ISC)2 jest również partnerem innych instytucji, w tym Information System Security association (ISSA) i różnych akademickich i narodowych organizacji zajmujących się bezpieczeństwem informacji.
Internet Key Exchange (IKE) : Protokół zarządzania kluczem używanym prze Internet Protocol Security (IPSec). IKE określa metody punktów końcowych sesji IPSec dla wzajemnego uwierzytelniania/ IKE jest złożoną specyfikacją , która obejmuje kilka elementów:
• Domena Interpretacji (DOI), zdefiniowana w RFC 2407
• Internet Security Association and Key Management Protocol (ISAKMP), zdefiniowany w RFC 2408
• samo IKE, zdefiniowane w RFC 2409
• OAKLEY, zdefiniowane w RFC 2412
Wszystkie te standardy są ze sobą powiązane, w wyniku czego IKE jest czasami znane jak ISAKMP/IKE lub ISAKMP/Oakley
IKE działa w dwóch fazach
• Faza 1 : Wzajemne uwierzytelnianie dwóch punktów końcowych jest wykonywane przy użyciu klucza wstępnego, i dwa unikalne klucze sesyjne są generowane : klucz szyfrowania i klucz integralności. Klucz wstępny może być współdzielonym kluczem tajnym, publicznym kluczem szyfrującym lub publicznym kluczem tylko do podpisu. Proces wymiany klucza może być wykonany na dwa sposoby : w trybie agresywnym lub trybie głównym
• Faza 2 : Ustanowione jest skojarzenie zabezpieczeń (SA) między punktami końcowymi używając procesu wymiany klucza o nazwie szybki tryb, który negocjuje metodę używaną do szyfrowania informacji dla bezpiecznej komunikacji między punktami końcowymi.
IKE ma kilka niedociągnięć , które prześladowały go od początku. Są to:
• wysoki stopień złożoności , a nawet niejasność części standardu IETF definiujący IKE powodując problemy interoperacyjności z implementacjami różnych producentów
• gadatliwa natura metod negocjacji używanych przez IKE tworzy sesję IPSEc podatną na ataki denial of service (DoS)
W Wyniku tych braków, IETF rozważała różne zamienniki dla IKE, w tym :
• Internet Key Exchange version 2 (IKEv2)
• Just Fast Keying (JFK)
• Sigma
TE zamienniki upraszczają IKE Przez zredukowanie liczby funkcji i ograniczenia różnych opcji, w wyniku metod wymiany klucza, które są bardzie restrykcyjne ale prostsze dla implementacji. Na przykład, zamienniki eliminują obsługę kluczy wstępnych i będą wspierały tylko podpisy cyfrowe dla uwierzytelniania (IKE pozwala na klucze wstępne i wspierają inne metody uwierzytelniania , takie jak protokół Remote Authentication Dial-In User Serivce lub RADIUS, i elektroniczne tokeny)
Internet Key Exchange version 2(IKEv2) : Proponowane zastępstwo dla Internet Key Exchange. IKEv2 jest jednym z kilku zamienników dla IKE, protokołu zarządzania kluczem używanym przez Internet Protocol Security (IPSec). IKEv2 posiada większość kluczowych funkcji IKE ale jest łatwiejszy w implementacji i mniej podatny na ataki denial of service (DoS). IKE wspiera osiem różnych początkowych metod negocjacji, IKEv2 wspiera tylko pojedynczą metodę negocjacji. Ta zmniejszona elastyczność ułatwia implementację IKEv2; dlatego też, jest mniej prawdopodobne ,że wystąpią problemy interoperacyjności sprzedawców, które występowały od początku IKE
Internet Protocol Security (IPSEc) : Rozszerzenie bezpieczeństwa dla Internet Protocol (IP). IPSEc jest zbiorem protokołów warstwy sieciowej, który rozszerza IP przez dostarczenie mechanizmów dla uwierzytelniania, poufności i integralności w komunikacji IP. Z użyciem IPSEc, sesja komunikacyjna między dwoma hostami może być szyfrowana w sposób który jest transparentny dla aplikacji uruchomionych na hostach. IPSEc jest szeroko używany dla implementacji wirtualnych sieci prywatnych (VPN) oraz w miejscach gdzie bezpieczeństwo informacji jest priorytetem. IPSec ma dwa protokoły bezpieczeństwa , które mogą być implementowane oddzielnie lub razem
• Authetication Header (AH) : wykonujący uwierzytelniania tylko nadawcy. Może być to wykonane przez użycie message Digest 5 (MD5), kodu hash-based message authentication (HMAC) lub Secure Hash Algorithm-1 (SHA-1)
• Encapsulating Security Protocol (ESP) : wykonujący zarówno uwierzytelnianie nadawcy jak i szyfrowanie danych. Uwierzytelnianie może być wykonane przy użyciu algorytmów opisanych poprzednio, podczas gdy szyfrowanie może być wykonane przy użyciu Digital Encryption Standard (DES), Triple DES (3DES)., Blowfish, International Data Encryption Algorith (IDEA), CAST, RC5 i innych algorytmów.
Szyfrowanie IPSec może być implementowane przy użyciu dwóch trybów:
• Tryb transportu : tylko ładunek (porcja danych) pakietu jest szyfrowana, podczas gdy nagłówek pozostaje niezaszyfrowany,
• Tryb tunelowania ; zarówno nagłówek pakietu jak i ładunek są szyfrowane
Dla ustanowienie stowarzyszenia zabezpieczenia (SA) IPSEx między dwoma hostami, hosty muszą mieć wcześniej wspólny klucz (tajny lub publiczny) lub certyfikat cyfrowy. Zarządzanie kluczem w ipsec jest wykonywane przy użyciu protokołu Intenet Key Exchange (IKE)
Internet Security and Acceleration (ISA) Server : firewall i brama zabezpieczeń aplikacji Microsoft . Internet Security and Acceleration (ISA) Server jest certyfikowanym przez ICSA firewallem Microsoft przeznaczonym do ochrony sieci korporacyjnych przed atakami hakerów, robaków i innych zagrożeń. ISA Server dostarcza kilku warstw ochrony, w tym filtrowanie pakietów, filtrowanie na poziomie aplikacji, i zaawansowaną architekturę proxy. ISA Server zwiększa również wydajność poprzez buforowanie sieci dla ograniczenia ruchu w sieci i zmniejszenia kosztów pasma. ISA Server może ograniczyć dostęp użytkowników lub grup, typów aplikacji, typu zawartości, pory dnia i docelowych zbiorów. Zawiera również zintegrowane logowanie, monitoring, ostrzeganie i funkcje raportowania, aby pomóc administratorowo blokować zagrożenia które zostały wykryte.
intrusion [włamanie] : Próba dostania się do systemu lub sieci. Włamania są wykorzystywane przez złośliwych osobników do odkrywania i wykorzystywania słabości , które mogą być użyte do złamania zabezpieczeń sieci. Wszelki podejrzany ruch w sieci, który wykracza poza zwykłe lub poprawne wzorce ruchu może być zakwalifikowany jako włamanie. Wynik włamania może przybierać różne formy
• Niszczenie lub kradzież danych,
• Odmowa usług porwanym użytkownikom
• Przechwytywanie systemów i sesji komunikacyjnych
Dla określenia czy włamanie miało miejsce można używać systemów wykrywania włamań
intrusion detection system (IDS) [system wykrywania włamań] : Aplikacja lub urządzenie , które identyfikuje podejrzaną aktywność sieciową. System wykrywania włamań (IDS) kontroluje ruch przychodzący i wychodzący na hoście lub w sieci, analizując go i szukając dowodów na próby włamań. IDS'y dzielą się na dwa podstawowe typy
• Sieciowe IDS (NIDS): cały ruch płynący w sieci jest analizowany pod kątem wykrycia próby włamania. NIDS zwykle znajduje się w punkcie dławienia obwodu sieci lub krytycznych odcinków sieci, w których przebywają serwery. Ograniczeniem NIDS jest takie ,że trudno jest je implementować w sieciach Ethernet.
• IDS oparty o Hosty (HIDS) : aktywność sieciowa pojedynczego hosta jest monitorowana dla wykrycia próby włamania, HIDS'y są zazwyczaj umieszczone na krytycznych serwerach takich jak firewalle, serwery pocztowe i serwery WWW narażone w Internecie .
Większość produktów IDS jest systemami pasywnymi których zadaniem jest wykrywanie dowodów włamania i ostrzegać administratorów o możliwych atakach w swojej sieci. Ostatnio, sprzedawcy zaczęli rozwijać reaktywne produkty IDS, które mogą wykonywać działania w celu ochrony przed atakami kiedy zostają wykryte. Takie działania mogą obejmować zamykanie pewnych portów lub blokowanie pewnych adresów IP . Reaktywne IDS'y są czasami nazywane systemami zapobiegania włamaniom (IPS). Niektóre IDS łączą w sobie oba typy. Istnieją różne podejścia do tego jak działają IDS'y. Najpopularniejsza metoda to wykrywanie sygnatur , która obejmuje dopasowanie ruchu sieciowego do bazy danych tysięcy znanych sygnatur włamań. Ważne dla implementacji takich systemów jest regularna aktualizacja bazy sygnatur. Innym podejście jest wykrywanie anomalii. Obejmuje to wyszukiwanie nietypowych wzorców ruchu, które mogą wskazywać na atak w toku i jest generalnie osiągany przy użyciu technik statystycznych dla porównania bieżącego ruchu z bazowym ruchem normalnym ustanowionym poprzednio. Wykrywanie anomalii ma przewagę nad wykrywaniem sygnatur, tak ,że można wykryć nowe i nieudokumentowane formy ataku . Minusem jest to ,że jeśli próg detekcji jest ustawiony zbyt wysoko, generowana jest zbyt duża liczba fałszywych alarmów. Zadaniem administratora jest zatem odróżnianie rzeczywistych i fałszywych takich wydarzeń. Inną techniką używaną w wykrywaniu zdarzeń jest monitorowanie systemu plików, aby patrzeć na próby zastępowania lub modyfikowania systemu klucza lub dziennika plików.
intrusion prevention system (IPS) [system zapobiegania włamaniom] : System wykrywania włamań (IDS) , który może także reagować na włamania przez ich blokowanie. Tradycyjne systemy IDS są pasywne, które wykrywają włamania ale nie robią nic aby je zablokować. Zamiast tego, administratorzy przeglądają dzienniki IDS i odpowiadają na alarmy, zamykają porty na firewallach i podejmowaniem innych czynności aby uniemożliwić nadejście intruzów. Najnowsze trendy w produkcji firewalli to dołączanie reaktywnych technologii wykrywania włamań ,które mogą automatycznie rekonfigurować firewall kiedy wykryte zostanie włamanie. Takie produkty są czasami nazywane systemami zapobiegania włamaniom (IPS) i wskazują na zacieranie się linii między firewallami a platformami IDS.
IP address-based authentication [uwierzytelnianie w oparciu o IP] : Uwierzytelnianie hostów w oparciu o ich adresy Internet Protocol (IP). Uwierzytelnianie w oparciu o adres IP jest metodą uwierzytelniania , która używa adresu IP zdalnego hosta dla określenia czy host powinien móc mieć dostęp do usług sieciowych lub innych zasobów. Takie uwierzytelnianie jest szeroko używane na platformach UNIX gdzie aplikacje takie jak Rsh i Rlogin uwierzytelniały zdalne hosty w oparciu o informację przechowywaną w .rhost i innych plikach konfiguracyjnych. Uwierzytelnianie w oparciu o adres IP jest rozpatrywane jako słaba metoda uwierzytelniania ponieważ atakujący może obejść takie ograniczenia przez sfałszowanie adresu źródłowego pakietu IP
IP address restriction [ograniczenia adresu IP] Kontrolowanie dostępu przez adresy IP. Ograniczenie adresu IP jest metodą kontrolowania dostępu do zasobów w oparciu o adres IP hosta próbującego ustanowić dostęp. Na przykład, IIS, który może ograniczyć dostęp do zasobów sieci dla pojedynczych adresów lub blokować adresy zdefiniowane przez ID sieci i maski podsieci, używając ograniczenia adresu IP. Dostęp może być następnie albo dozwolony albo zabroniony dla każdego adresu lub bloku adresów. Innym przykładem jest serwer Apache, gdzie dostęp do zawartości sieci może być kontrolowany przy użyciu adresów IP przez skonfigurowanie pliku .htaccess na platformie UNIX . Ograniczenie adresu IP jest uznawane za słabą formę kontroli dostępu, ponieważ atakujący może być w stanie obejść te ograniczenia przez sfałszowanie adresów źródłowych pakietów IP.
IP address spoofing [fałszowanie adresów IP] : Proces fałszowania adresu źródłowego IP pakietów IP. Fałszowanie adresu IP jest metodą używaną przez atakujących dla podszywania się pod zaufane systemy. Domyślnie, routery generalnie ignorują adresy źródłowe IP kiedy przesyłają pakiety, a używają tylko adresu przeznaczenia IP aby zapewnić ,że pakiety dotarły do miejsca przeznaczenia. Powoduje to ,że napastnik , który fałszuje pakiety IP zawierające adresy źródłowe zaufanych systemów może być w stanie obejść zabezpieczenia routera i zainicjować ataki denial of service (DoS), przekierować ruch lub przejąć sesję za pomocą ataku man-in-the-middle. Fałszowanie IP jest specjalnym przypadkiem na platformie UNIX, uruchamiając aplikacje takie jak Rsh czy Rlogin, który uwierzytelnia połączenia używając adresów źródłowych IP przechowywanych w plikach .rhost. Uwierzytelnianie adresem IP jest słabą formą uwierzytelniania obsługiwaną przez wiele aplikacji Unix i powinno być zastąpione przez uwierzytelnianie hasłem aby zapewnić bezpieczeństwo. Standardowym podejściem dla zapobiegania atakom fałszowania IP jest konfiguracja filtra ruchu przychodzącego na routerach lub firewallach aby zapobiec ruchowi przychodzącemu którego adres źródłowy pochodzi z zaufanego hosta w sieci wewnętrznej. Kiedy system wykrywania włamań (IDS) wykryje taki ruch , istnieje duże prawdopodobieństwo ,że atak fałszowania jest w toku . Szyfrowanie ruchu między routerami i zewnętrznym hostem jest innym efektywnym sposobem ochrony przeciwko takim atakom.
IP fragmentation attack [atak na fragmentację IP] : Atak , który wykorzystuje fragmentację pakietów IP. Standard IP obsługuje fragmentację pozwalającą pakietom IP przemierzać różnymi typami mediów transmisyjnych, na przykład, podróżować między dwoma sieciami LAN przez sieć WAN. Fragmentacja może być również wykorzystywana do atakowania hostów IP, jednak przez celowe umocnienie pofragmentowanych pakietów IP, może być możliwe ,że atakujący obejdą ochronę zapory ogniowej , ukrywając ruch z systemu wykrywania włamań (IDS) lub utworzą warunki dla denial of service (DoS) dla uniemożliwienia poprawnym użytkownikom dostępu do usług sieciowych . Wczesne formy ataków fragmentacji były w stanie obejść ograniczenia firewall ze względu na fakt, że firewalle nie stosowały swoich zasad dopóki pofragmentowane pakiety nie zostały ponownie złożone. W rezultacie , firewalle okazały się podatne na ataki DoS poprzez ciągłe wysyłanie do nich dużych ilości podrobionych początkowych fragmentów dopóki wewnętrzne zasoby firewalli nie zostały zużyte. Narzędzia używane do inicjowania takich ataków obejmuje Jolt2, Teardrop i Nmap .Narzędzi o nazwie Fragrouter może być użyte do testowania firewalla lub IDS aby zobaczyć czy jest luka w całym szeregu różnych typów ataków fragmentacji
Iplog : Narzędzie open source dla logowania ruchu Transmission Control Protocol/Internet Protocol (TCP/IP). Iplog może być użyty dla logowania różnych typów ruchu TCP/IP, w tym pakietów TCP, User Data gram Protocol (UDP), Internet Message Control Protocol (ICMP). Narzędzie jest przydatne dla wykrywanie różnego typu włamań i ataków, w tym skanowanie portów, puste skanowanie, ping flood i ataki fragmentacji. Możesz również skonfigurować Iplog dla uruchomienia w trybie odbierania tak ,że monitoruje cały ruch sieciowy w segmencie, a nie tylko ruch na hoście lokalnym. Iplog jest dostępny dla BSD, Linux i Solarisa i jest udostępniany na zasadach General Public License (GPL)
IPS : Oznacza system zapobiegania włamaniom, system wykrywania włamań (IDS) który może również reagować na włamanie przez ich blokowanie
IPSec : Oznacza Internet Protocol Securtiy , rozszerzenie bezpieczeństwa dla Internet Protocol (IP)
IPSec filtr : Zasada filtrowania ruchu Internet Protocol . Filtry IPSec są zasadami , które mogą być stworzone w zasadach IPSec dla filtrowania różnych typów ruchu IP . Zasady mogą albo zezwalać albo blokować ruch i mogą filtrować zgodnie z typem protokołu, adresu źródłowego i przeznaczenia, lub numerem portu. Zasady mają zastosowanie do ruchu przychodzącego , ruchu wychodzącego lub obu. Można tworzyć i zarządzać filtrami IPSec używając Zasad Grupy lub z wiersza poleceń używając narzędzia ipsecpol.exe
IPSec zasady : Zasady dla implementowania Internet Protocol Security (IPSec) .Zasady IPSec określają metody uwierzytelniania, schematy szyfrowania i filtry działające dla implementowania bezpiecznej komunikacji sieciowej używając IPSec. W Microsoft Windows Serwer 2003 i Windows 2000, zasady IPSec są częścią Zasad Grupy i są przechowywane w usłudze katalogowej Active Directory. Zasada IPSec może zawierać jeden lub więcej filtrów IPSec, dostarczając bardziej precyzyjnej kontroli ruchu IP niż filtrowanie TCP/IP w poprzednich wersjach Windows
IP spoofing : Skrót od Internet Protocol (IP) adress spoofing, procesu fałszowania adresy źródłowego IP pakietu IP.
Island-hopping : Użycie jednego przechwyconego systemu lub sieci do złamania innego. Jednym z celów atakującego który złamał system jest szukanie możliwości ,które można wykorzystać dla złamania innego celu. Ta praktyka jest nazwana island-hopping , po sposobie w jaki armia amerykańska przechwytywała jedną wyspę po drugiej na Pacyfiku podczas II wojny światowej.
ISO 17799 : Międzynarodowy standard określający najlepsze praktyki w dziedzinie bezpieczeństwa informacji. ISO 17799 podaje ogólne podejście do zapewnienia bezpieczeństwa informacji przez przedstawienie najlepszych praktyk dla różnych aspektów zarządzania informacją. 10 obszarów kontrolnych przedstawionych przez ten standard to:
• Klasyfikacja i kontrola zasobów
• Planowanie ciągłości biznesowej
• Zgodność
• Komputer i zarządzanie operacyjne
• Bezpieczeństwo personelu
• Bezpieczeństwo fizyczne i środowiskowe
• Organizacja bezpieczeństwa
• Polityka bezpieczeństwa
• Kontrola dostępu do systemu
• System rozwoju i zarządzania
Przestrzeganie tych praktyk jest pierwszym krokiem w realizacji certyfikatu ISO 17799,który szybko stał się uznanym międzynarodowym standardem bezpieczeństwa w przemyśle i handlu. Celem standardu jest ułatwienie elektronicznego biznesu poprzez tworzenie zaufanego środowiska między certyfikowanymi partnerami