DAC : Oznacza swobodną kontrolę dostępu, mechanizm dla kontroli dostępu użytkownika do zasobów obliczeniowych
DACL : Oznacza listę swobodnej kontroli dostępu, najczęstszy typ listy kontroli dostępu (ACL) używaną do kontroli dostępu do komputera I zasobów sieciwoych
Data Encryption Algorithm (DEA) : Nazwa używana przez American National Standards Institute (ANSI) dla Data Encrytption Standard. Data Encryption Standard (DES) był używany od 1977 roku przez agencje federalne dla ochrony poufności i integralności informacji poufnych zarówno podczas transmisji jaki i podczas przechowywania. DES jest algorytmem szyfrowania kluczem tajnym zdefiniowanym prze Federal Information Processing Standard, FIPS 46-9. Silniejsza wersja DES , zwana 3DES lub TDES (Triplew DES) jest również używana przez agencje rządowe, ale wymaga dodatkowej mocy obliczeniowej ze względu na dodatkowe obliczenia. DES został jednak złamany w 1997 roku, rozpoczynając poszukiwania bardziej bezpiecznego zamiennią, który byłby szybszy niż 3DES. Wynikiem tego był Advanced Encryption Standard (AES), stopniowo wprowadzany w agencjach rządowych. DES używa 64 bitowego klucza, z których tylko 56 bitów jest używanych do szyfrowania, pozostałe 8 służy do korekcji błędów. Algorytm przetwarza 64 bitowy tekst jawny do bloku tekstu zaszyfrowanego o tym samym rozmiarze. Ponieważ DES jest algorytmem klucza symetrycznego, zarówno nadawca jak i odbiorca wymagają tego samego klucza dla bezpieczeństwa komunikacji.Sesja klucza DES między dwoma częściami, algorytmem klucza asymetrycznego takiego jak Diffie-Hellman lub RSA może być wykorzystana. DES może pracować w kilku różnych trybach, w tym jako Cipher Block Chaining (CBC) i Electronic Codebook (ECB). ECB używa DES bezpośrednio do szyfrowania i deszyfrowania informacji, podczas gdy CBC łączy bloki teklstu zaszyfrowanego razem
danych integralność : Poprawność danych ,które są transmitowane lub przechowywane. Zarządzanie integralnością danych jest zasadnicza dla prywatności, bezpieczeństwa i niezawodności krytycznych danych biznesowych .Istnieje wiele sposobów w jakich ta integralność może być zagrożona:
• Uszkodzenie danych wynikająca z błędu oprogramowania lub działania złośliwych użytkowników
• Infekcja wirusami systemów komputerowych i trojany podszywające się pod prawdziwe aplikacje
• Awarie sprzętu ze względu na wiek, wypadek lub naturalne uszkodzenia
• Błąd ludzki przy wprowadzaniu, przechowywaniu lub przesyłaniu danych przez sieć
Aby zminimalizować te zagrożenia integralności danych, powinieneś zaimplementować następujące procedury
• Regularnie wykonywać kopię zapasową ważnych danych i przechowywać ją w bezpiecznym miejscu
• Używać listy kontroli dostępu dla kontrolowania kto ma dostęp do danych
• Utrzymywać sprzęt i wymieniać w miarę starzenia
• Dołączać kod do aplikacji dla walidacji wprowadzanych danych
• Używać podpisów cyfrowych w celu zapewnienia ,że dane nie były naruszane podczas przechowywani lub transmisji
Data Protection API (DPAPI) : Interfejs programowania aplikacji , który jest częścią Microsoft CryptoAPI (CAPI) na platformie Microsoft Windows. DPAPI implementuje Microsoft Windows Data Protection w systemach Windows 2000, Windows XP i Windows Server 2003. DPAPI jest usługą systemu operacyjnego ochrony danych za pomocą hasła, której aplikacja może użyć do szyfrowania i deszyfrowania informacji. DPAPI używa z algorytmu szyfrowania 3DES i silnych kluczy generowanych z hasła użytkownika, zazwyczaj hasła aktualnie zalogowanego użytkownika. Ponieważ wiele aplikacji uruchomionych na tym samie koncie może używać tego samego hasła i ma dostęp do takich szyfrowych danych, DPAPI również umożliwia zastosowanie dodatkowego "sekretu" , zwanym wtórną entropią, aby zapewnić tylko ,że aplikacja może deszyfrować informację wcześniej zaszyfrowaną. Proces w którym DPAPI generuje klucz kryptograficzny z hasła jest nazywany Passwoerd-Based Key Derivation i jest zdefiniowany w standardzie Publick Key Cryptography Standards (PKCS)#5
DCS-1000 : Dawniej znana jako Carnivore, technologia inwigilacji używana przez FBI dla monitorowania e-maili.
DDoS : Oznacza distributed ednial of service, typ ataku denial of service (DoS), który wykorzystuje moc wielu hostów pośredniczących
DEA : Oznacza Data Encryption Algorithm, nazwę używaną przez American National Standards Institure (ANSI) dla Data Encryption Standard
deszyfrowanie : Proces konwersji tekstu zaszyfrowanego na tekst jawny. Szyfrowanie i deszyfrowanie są komplementarnymi aspektami kryptografii. Pierwszy obejmuje transformację tekstu jawnego (cyfrowa informacja zawierając zawartość czytelną dla człowieka) na tekst zaszyfrowany (informacja , której nie może odczytać człowiek). Deszyfrowanie jest procesem odwrotnym, który odkrywa znaczenie zaszyfrowanej wiadomości przez przekształcenie jej z powrotem na tekst jawny. Podejście używane do deszyfrowania wiadomości zależy od metod używanych od jej zaszyfrowania.
Defcon : Popularna konwencja hackerska odbywająca się w Las Vegas
defense in depth [głęboka obrona] : Warstwowe podejście do wdrażania bezpieczeństwa sieci. Celem głębokiej obrony jest zapewnienie wielu barier dla atakujących próbujących złamać zabezpieczenia twojej sieci. Warstwy te dostarczają dodatkowych przeszkód dla atakującego zatem spowalniają atak i dają więcej czasu na jego wykrycie, zidentyfikowanie i przeciwdziałanie . Na przykład, pierwszą warstwą obrony przeciwko atakom pasywnym, takim jak posłuch, może być implementacja szyfrowania warstwy łącza lub sieci, a następnie włączenie bezpieczeństwa aplikacji jako obrony zapasowej. Obrona przeciwko atakom z wykorzystaniem informacji poufnych może składać się z warstw takich jak bezpieczeństwo fizyczne, uwierzytelnionej kontroli dostępu i regularnej analizy dzienników kontrolnych. Z bardziej ogólnej perspektywy, pierwsza linia obrony dla sieci występuje na obwodzie, gdzie firewall blokuje niechciany ruch a system wykrywania włamań (IDS) monitoruje ruch przekazywany przez zaporę.
demilitarized zone [strefa zdemilitaryzowana] : Wyizolowany segment sieci, miejsce gdzie sieć firmowa styka się z Internetem. Strefa zdemilitaryzowana (DMZ) jest kluczowym elementem zabezpieczenia sieci przed atakiem. Termin pochodzi z czasów wojny koreańskiej i odnosi się do obszaru który obie strony uznały za strefę buforową. W scenariuszu sieciowym, DMZ jest używana dla oddzielenia prywatnych i publicznych od siebie, jednocześnie umożliwiając podstawowe usługi sieciowe takie jak strony WWW, wiadomości elektroniczne i i rozpoznawanie nazw dla właściwego funkcjonowania. Aby to osiągnąć, DMZ jest zazwyczaj miejscem gdzie utwardzone hosty takie jak WWW, mail i serwery DNS są umieszczone aby mogły obsłużyć ruch zarówno z wewnętrznych i zewnętrznych sieci. Redukuje to możliwość zaatakowania obu tych hostów w szczególności, i w sieci generalnie, bo jeśli te hosty zostały umieszczone poza DMZ, złamanie takiego hosta prowadzi do spenetrowania całej sieci. Istnieją różne sposoby implementacji DMZ, a dwa najbardziej popularne to
• DMZ z podwójnym firewallem : tu zarówno prywatne jaki publiczne sieci kończą się firewallami a DMZ jest segmentem sieci łączącym razem dwa firewalle. To podejście jest prawdopodobnie najpopularniejszą implementacją DMZ
• DMZ z pojedynczym firewallem : było to najwcześniejszej podejście do realizacji DMZ i składało się z jednej zapory i trzech interfejsów, po jednym dla sieci prywatnej, publicznego Internetu i segmentu sieci DMZ
denial of service [DoS] : Typ ataku , który próbuje odciąć użytkowników od dostępu do sieci. W ataku DoS, atakujący próbuje odciąć dostęp do systemu lub sieci na kilka możliwych sposobów w tym:
• Floodowanie sieci tak dużym ruchem ,że ruch poprawnych klientów jest przytłoczony
• Floodowanie sieci tak wieloma zapytaniami dla usług sieciowych, że host świadczący taką usługę nie może odebrać podobnych zapytań od poprawnych klientów
• Zakłócenie komunikacji między hostami a poprawnymi klientami za pomocą różnych środków, w tym zmiana konfiguracji systemu lub nawet fizycznego zniszczenia serwerów i komponentów sieciowych
Najwcześniejsze formy ataku DoS to SYN flood, który po raz pierwszy pojawił się w 1996 roku i wykorzystywał słabość w Transmission Control Protocol (TCP). Inne ataki wykorzystywały słabości w systemach operacyjnych i aplikacjach w celu obniżenia działania usług lub spowodowania awarii serwerów. Opracowano liczne narzędzia i darmowo rozprowadzane w Internecie, tym Bonk, LAND, Smurfm Snrok, WinNuke i Teardrop. Ataki TCP są również popularną formą ataku DoS. To dlatego, że inne rodzaje ataku, takie jak konsumpcja całej powierzchni dysku w systemie, blokowanie kont w katalogu lub modyfikowanie tablic routingu w routerze generalnie wymaga sieci dla penetracji, co może być trudnym zadaniem, gdy systemy są właściwie utwardzone. Obrona przeciw atakom DoS obejmuje:
• Wyłączenie niepotrzebnych usług sieciowych w celu ograniczenia możliwości ataku w sieci
• Włączenie przydziałów dysku dla wszystkich kont, w tym używanych przez usługi sieciowe
• Implementowanie filtrowania na routerach i łatanie systemów operacyjnych w celu zmniejszenia floodowania SYN
• Wykorzystanie normalnego poziomu bazowego sieci, pomocnego w identyfikacji takich ataków aby szybko je pokonać
• Regularne wykonywanie kopii zapasowych informacji o konfiguracji systemu i zapewnieniu silnych haseł
Departament of Defense Information Technology Security Certification and Accreditation Process (DITSCAP) : Ustandaryzowane podejście dla certyfikacji bezpieczeństwa systemów IT. DITSCAP został stworzony dla pomocy agencjom Departamentu Obrony USA. DITSCAP jest czteroetapowym procesem obejmującym
• Definiowanie i dokumentowanie misji, funkcji, wymagań i możliwości
• Rekomendowanie zmian i ich podsumowanie jako system security authorization agreement (SSAA), która podsumowuje specyfikację dla projektowanych systemów
• Walidacja SSAA za pomocą luk i testów penetracyjnych, w wyniku pełnej, okresowej lub ukrytej akredytacji.
• Monitorowanie postakredytacji i zarządzania w celu zapewnianie ciągłości bezpieczeństwa
Celem DITSCAP jest wprowadzenie zintegrowanego bezpieczeństwa z cyklem życia systemów IT dla zminimalizowanie ryzyka współużywania infrastruktury. DITSCAP został stworzony jako wspólny wysiłek DoD, Defense Information Systems Agency (DISA) i National Security Agency (NSA). Powiązany standard nazwany NAtional Information Assurance Certification and Accreditation Process (NIACAP) stworzono dla podobnych celów .
DES : Oznacza Data Encryption Standard, standard szyfrowania używany przez wiele lat przez rząd amerykański.
DESX : Rozszerzona wersja Data Encryption Standard. DESX oznacza "DES XORed", jest wariantem DES zaprojektowany, przez Rona Rivesta w latach 80-tych XX wieku. DESX działał podobnie do DES, ale miał większą odporność na ataki wyszukiwanie wyczerpującym kluczem. Uzyskano to przez XORowanie wejściowego pliku tekstu jawnego z 64 bitowym dodatkowym kluczem przed zaszyfrowaniem tekstu używając DES, proces czasami nazywany wybielaniem. Kiedy DES zastosowano do wybielonego tekstu wynik jest ponownie XORowany tą samą ilością dodatkowego klucza
DH : Oznacza Diffie-Hellman , algorytm używany w schematach kryptografii kluczem publicznym
dictionary attack [atak słownikowy] : Technika dla łamania haseł. Najprostszą ale wydajną metodą dla łamania haseł jest atak brute-force, która próbuje systematycznie wszystkich możliwych wartości dla odgadnienia hasła. Atak słownikowy jest lepszy; używamy słownika (bazy danych) powszechnych haseł wywodzących się od wspólnych doświadczeń crackerów. Ataki słownikowe mogą być wykonywane online lub offline ,a w Internecie można znaleźć narzędzia dla automatyzacji tych działań. Połączenie ataku słownikowego i ataku brute-force jest nazywane atakiem hybrydowym. Oprócz łamania haseł, ataki słownikowe mogą być używan w innych scenariuszach takich jak odgadywanie nazw grup w sieci, które używają Simple Network Management Protocol (SNMP). Kiedy te nazwy zostały odgadnięte, atakujący może użyć SNMP do usługi profilu w sieci docelowej.
Diffie-Hellman (DH) : Algorytm używany w schematach kryptografii klucza publicznego. DH był pierwszym algorytmem stworzonym dla kryptografii klucza publicznego. Jest używany dla wymiany klucza przez różne protokoły bezpieczeństwa, w tym Internet Protocol Security (IPSec), Secure Sockets Layer (SSL) i Secure Shell (SSH), jak również wiele popularnych systemów infrastruktury klucza publicznego (PKI). DH stworzyli Whitfield Diffie i Martin Hellman w 1976 roku i był pierwszym protokołem stworzonym dla umożliwienia użytkownikom wymiany tajemnic przez niezabezpieczone medium bez istnienia współdzielonej tajemnicy między nimi. DH nie jest algorytmem szyfrowania ale protokołem wymiany tajnych kluczy używanych dla wysyłania szyfrowanych transmisji między użytkownikami Data Encryption Standard (DES), Blowfish lub pewne inne schematy szyfrowania symetrycznego.
diffing [różnicowanie] : Technika używana przez hackerów , która porównuje różne wersje plików dla wyszukania różnic. Słowo diffing pochodzi od narzędzia diff z systemu Unix, które wykonuje porównanie bitowe między dwoma plikami. Istnieją różne narzędzia różnicowania , które działają na pliku, bazie danych i poziomie dysku. Narzędzia te są czasami używane przez hackerów dla porównywania nowej wersji pliku z wcześniejszą wersją różnych powodów, w tym :
• Odkrywanie gdzie aplikacja przechowuje dane hasło , wprowadzając hasło, biorąc obraz bitoyw migawki aplikacji, zmieniając hasło, biorąc kolejną migawkę i różnicując te dwa obrazy plików. Operacja ta może pokazać dokładnie gdzie wewnątrz skompilowanego kodu jest przechowywane hasło, a to może być użyte w crackowaniu innych haseł użytkownika
• Określenie, jakie skutki łatki wystąpią po zastosowaniu do aplikacji. Kiedy sprzedawcy tworzą łatki, mogą nie tylko w pełni ujawnić luki poprawione, a przez zastosowanie diffingu przed i po łatce, i badając wynik, hacker może dowiedzieć się więcej o oryginalnych lukach. Dzięki tej informacji hacker może następnie przystąpić do ataku na niezalatane wersje aplikacji na innych systemach
Digest authentication [uwierzytelnianie szyfrowane] : Schemat uwierzytelniania Hypertext Transmission Protocol (http) w oparciu o uwierzytelnianie wyzwanie-odpowiedź. Uwierzytelnianie szyfrowane jest metodą używaną przez serwery sieciowe dla uwierzytelniania użytkowników próbujących dostępu do stron. Uwierzytelnianie szyfrowane zaproponowano w RFC 2617 jak bardziej bezpieczna metoda niż uwierzytelnianie Basic, który przekazywała dane użytkownika przez połączenie tekstem jawnym. Zamiast tego, uwierzytelnianie szyfrowane szyfruje dane użytkownika jako skrót MD5 dla zabezpieczenia danych przed kradzieżą przez złośliwych użytkowników podsłuchujących w sieci. Uwierzytelnianie szyfrowane jest wspierane przez Internet Information Services (IIS) na serwerach Microsoft Windows, serwerach Apache, serwerach Jigsaw , stworzonych przez konsorcjum World Wide Web Consortium (W3C), i wiele innych platform. Uwierzytelnianie szyfrowane może również być dołączone bezpośrednio do Microsoft .NET, pomijając wersję dołączona w IIS na platformach Windows. Kiedy przeglądarka klienta próbuje dostępu do strony sieciowej ze skonfigurowanym na niej uwierzytelnianiem szyfrowanym, klient zacznie od nieautoryzowanych żądań http do serwera. Serwer odpowie statusem kodu http 401 Unauthorized, wysyłając token wywołany raz do klienta i mówiący klientowi w nagłówku odpowiedzi http , że musi użyć uwierzytelniania szyfrowanego dla dostępu do sieci. Następnie klient otwiera okno dialogowe dla uzyskania nazwy użytkownika i hasła, hashując hasło razem z jednorazowym, i wysyłając nazwę użytkownika i hash do serwera wymagającym uwierzytelniania. Potem serwer generuje ten sam hash używając kopii hasła użytkownika przechowywanego w jego bazie danych i porównuje ten skrót z tym otrzymanych od klienta. Jeśli dwa hashe pasują, klient może pobrać żądany zasób z serwera. Uwierzytelnianie szyfrowane jest podatne na ataki odtworzeniowe, ale można to zminimalizować przez ograniczenie czasowe wartości jednorazowej lub używając różnych wartości dla każdego połączenia. Uwierzytelnianie szyfrowane jest bardziej bezpieczne niż uwierzytelnianie podstawowe, nie jest tak bezpieczny jak uwierzytelnianie Kerberos lub uwierzytelniane oparte o certyfikaty klienta.
digital certificate [certyfikat cyfrowy] : Zaszyfrowane informacje , które gwarantowały ,że klucz szyfrowania należy do użytkownika. Czasami nazywane po prostu certyfikatami, certyfikaty cyfrowe są szczególnie sformatowaną informację cyfrową , która jest używana w systemie bezpiecznego komunikowania, wykorzystując kryptografię klucza publicznego. Certyfikaty są używane do weryfikacji tożsamości wiadomości wysyłanych do odbiorcy przez generowanie podpisów cyfrowych, które mogą być używane do podpisywania wiadomości. Są również używane dla dostarczenia odbiorcy wiadomości szyfrowanej z kopią klucza publicznego nadawcy. Certyfikaty cyfrowe są wydawane przez jednostki certyfikujące (CA), które są zaufane zarówno nadawcy jaki i odbiorcy. Najpopularniejszym formatem używanym dla certyfikacji jest standard X.509 , który zawiera nazwę użytkownika i klucz publiczny, numer seryjny, datę wygaśnięcia, nazwę i podpis cyfrowy CA, która wydaje certyfikaty i inne informacje. Kiedy odbiorca odbiera zaszyfrowaną wiadomość z dołączonym certyfikatem, odbiorca używa klucza publicznego CA dla deszyfrowania certyfikatu i zweryfikowania tożsamości nadawcy.
digital fingerprinting [cyfrowy odcisk palca] : Inna nazwa dla cyfrowego znaku wodnego, Digital Rights Management (DRM) , technologii antypirackiej i ochrony praw.
digital forensics [informatyka śledcza] : Nauka stosowania technologii cyfrowych do kwestii prawnych wynikających z dochodzeń kryminalnych. Tradycyjne metody śledcze używane w kryminalistyce to m.in. szukanie śladów, szukanie odcisków palców, włosów, włókien i innych fizycznych dowodów obecności intruza. W przestępczości komputerowej, dowody pozostawione mają naturę cyfrową i mogą obejmować dane na dyskach twardych, logi odwiedzin serwera WWW lub aktywności routera itd. Informatyka śledcza jest nauką przekopywania sprzętu i oprogramowania dla znajdowania dowodów , które mogą być użyte w sądzie dla zidentyfikowania i ścigania cyberprzestępców. Wiele firm wdrożyło system wykrywania włamań (IDS) w swoich sieciach dla monitorowania i wykrywania ewentualnych przypadków naruszenia bezpieczeństwa sieci. Kiedy doszło do naruszenia, przedsiębiorstwa te nie miały niezbędnej wiedzy dla określenia zakresu naruszenia lub jak wykonano exploit. W poważnych przypadkach, w których wystąpiła znacząca starta, firma musi ustanowić szlak dowodów dla identyfikacji i ścigania osób odpowiedzialnych. W takich przypadkach, firmy mogą skorzystać z usług ekspertów informatyki śledczej którzy mogą wysyłać zespół dla zbadania incydentu i zebrania dowodów, wykonać "postmortem" przez zbieranie razem dowodów, pomocy przy odzyskiwaniu usuniętych plików i innych zagubionych danych i wykonać "ocenę zdrowia" aby pomóc przywrócić złamany system tak szybko jak to możliwe.
Digital Rights Management (DRM) : Technologia używana do ochrony interesów posiadaczy praw autorskich komercyjnych produktów cyfrowych i usług. Microsoft i inni producenci opracowali różne technologie Digital Rights Mangement (DRM) w celu ochrony komercyjnych produktów i usług cyfrowych. Technologie te mogą kontrolować dostęp do takich produktów i usług przez zapobieganiu dzieleniu lub kopiowaniu zwartości cyfrowej, ograniczając ilość razy jaką zawartość może być przeglądana lub używana, i wiążąc użycie lub przeglądanie z określoną osobą, systemami operacyjnymi lub sprzętem. Są dwie ogólne metody implementacji DRM
• Szyfrowanie informacji takie ,że tylko autoryzowani użytkownicy lub urządzenia mogą z niej korzystać. Przykładem jest Microsoft Windows Media DRM, końcowy system DRM , który zapewnia dostawcom treści i detalistom narzędzia do szyfrowania plików Microsoft Windows Media dla transmisji lub dystrybucji
• Dołączanie "cyfrowego znaku wodnego" dla potajemnej identyfikacji produktu lub usługi jako chronionych prawem autorskim i sygnałem dla sprzętu wyświetlając zwartość, że wyświetlany materiał jest chroniony prawem
Różne grupy przemysłowe pracowały nad standardami DRM, w tym Internet Engineering Task Force (IETF), MPEG Group, OPenEBook Forum i kilku innych.
digital signature [podpis cyfrowy] : Informacja cyfrowa używana do celów identyfikacji wiadomości elektronicznych lub dokumentów. Podpisy cyfrowe są sposobem uwierzytelniania tożsamości twórców lub producentów informacji cyfrowej. Podpis cyfrowy jest jak podpis ręczny i może mieć taką samą wartość prawną w pewnych sytuacjach, takich jak kupno/sprzedaż online, lub podpisywanie kontraktów. Podpisy cyfrowe mogą również być użyte aby zapewnić ,że podpisana informacja nie został podmieniona podczas transmisji. Podpisy cyfrowe są zależne od algorytmów kryptografii klucza publicznego w swoich działaniach. Istnieją trzy algorytmy klucza publicznego , które są zatwierdzone przez Federal Information Processing Standards (FIPS) dla celów generowania i walidacji podpisów cyfrowych :
• Digital Signature Algorithm (DSA)
• Elliptic Curve DSA (ECDSA)
• Algorytm RSA
Aby stworzyć podpis cyfrowy , dokument lub wiadomość przekazana jest najpierw matematycznie hashowana tworząc skrót wiadomości. Hash jest potem szyfrowany przy użyciu prywatnego klucza nadawcy dla sformowania podpisu cyfrowego, który jest dołączany do lub osadzony wewnątrz wiadomości/ Kiedy zaszyfrowana wiadomości jest odbierana, jest odszyfrowywana przy użyciu klucza publicznego nadawcy. Adresat może następnie hashować odebraną wiadomość i porównać z hashem dołączonym w podpisie dla zweryfikowania tożsamości nadawcy. Gwarantowana jest niezaprzeczalność przez fakt ,że klucz publiczny nadawcy sam ma podpis cyfrowy wydany przez jednostkę uwierzytelniającą. Podpis cyfrowy nie jest tym samym co certyfikat cyfrowy. Certyfikat cyfrowy są jak prawo jazdy, którego możesz użyć do identyfikacji, że został wydany przez zaufaną stronę trzecią, w przypadku certyfikatu cyfrowego, nazywaną jednostka certyfikująca. Dołączane w certyfikatach cyfrowych są klucze prywatne i publiczne , które mogą być używane do wysyłania zaszyfrowanych wiadomości i umożliwić odbiorcom ich odszyfrowanie. Klucz prywatny jest potem używany do tworzenia podpisu cyfrowego, więc certyfikat cyfrowy jest warunkiem podpisywania dokumentów podpisem cyfrowym.
Digital Signature Algorithm (DSA) : Algorytm kryptografii klucza publicznego używanego do generowania podpisów cyfrowych. Digital Signature Algorithm (DSA) jest algorytmem klucza publicznego używanym do tworzenia podpisów cyfrowych w celu zweryfikowania tożsamości osoby w transakcjach elektronicznych. Podpisy utworzone za pomocą DSA mogą być używane w miejscu podpisów odręcznych w sytuacjach takich jak kontrakty, przelewy, dystrybucja oprogramowania . Mimo ,że DSA jest algorytmem klucza publicznego, jest używany głównie do cyfrowego podpisywania dokumentów, a nie do ich szyfrowania. DSA jest opatetowany prze National Institure of Standards and Technology (NIST) i stanowi podstawę Digital Signature Standard (DSS)
Digital Signature Standard (DSS) : Standard rządu amerykańskiego , definiujący jak generować podpisy cyfrowe. Digital Signature Standard (DSS) jest Federal Information Processing Standard (FIPS) 186-2 , wydanym w 1994 roku. Celem tego standardu jest promocja handlu elektronicznego przez dostarczenie sposobu dla podpisu elektronicznego dokumentów i wiadomości . DSS wykorzystuje dwa algorytmy kryptograficzne do tego celu :
• DSA : Algorytm klucza publicznego opatentowany przez National Institute of Standard and Technology (NIST)
• SHA-1 : Ustandaryzowany algorytm hashowania przez NIST jako FIPS 180.
digital watermarking : Antypiracka i ochrony praw technologia Digital Rights Management (DRM). Cyfrowy znak wodny pozwala producentom cyfrowej zawartości na wstawienie ukrytych informacji w cyfrowych produktach i strumienia danych dla zabezpieczenia ich przez nielegalnym użyciem lub kopiowaniem. Takie znaki wodne mogą być osadzane w każdej postaci komercyjnej treści cyfrowej, w tym płyt CD, filmów DVD , oprogramowanie na płytach, strumieniowanie audio i video, telewizji cyfrowej itd. Znaki wodne mogą zawierać informacje dla ochrony praw autorskich i informacji uwierzytelniających dla kontrolowania kto może używać zawartości i jaka zawartość może być użyta. Są dwa podstawowe typy cyfrowych znaków wodnych : widzialne i niewidzialne. Widoczne znaki wodne przypominają te dawniej używane do identyfikacji dostawców wysokiej jakości papieru do obligacji i są powszechnie używane w celu uniemożliwienia kopiowania treści cyfrowych. Widoczne znaki cyfrowe nie zapobiegaj przed kopiowaniem, ale może zniechęcać do takiego kopiowania. Niewidoczne znaki wodne, z drugiej strony, mogą być użyte zarówno do prawnego dowodu i implementowania niewidocznego systemu ochrony przed kopiowaniem. Większość technik znaków wodnych obejmuje manipulowanie cyfrową zawartością w dziedzinie przestrzenie lub częstotliwości z zastosowaniem procedur matematycznych zwanych szybką transformatą Fouriera (FFT). Obraz tekstu może być również znakiem wodnym przez subtelnie zmieniającą się linię i odstęp znaków według ustalonych zasad
disaster recovery plan [plan odtwarzania awaryjnego] : Plan , który pomaga firmie dane i przywrócić usług po awarii. Informacja cyfrowa jest podstawą dzisiejszych firm ,a utrata danych oznacza utratę usług biznesowych i utraty dochodów. Katastrofy , które mogą zniszczyć dane, mogą przybierać następujące formy
• Katastrofa naturalna , taka jak powódź czy trzęsienie ziemi
• Katastrofa producentów ,taka jak atak terrorystyczny czy przestępcze włamanie sieciowe
• Katastrofa spowodowana przez awarię sprzętu lub bugi oprogramowania
• Postępowanie w przypadku katastrofy wynikłej z błędu ludzkiego
Ochrona przed takimi katastrofami jest ważna, ale jest rozsądne by spodziewać się najgorszego. Zasadnicze znaczenie dla sukcesu działalności IT każdej firmy jest plan odzyskiwania awaryjnego (DRP) aby umożliwić odzyskanie danych po katastrofie i przywracanie usług dla klientów. To zależy od prostego programu do tworzenia kopii zapasowej serwera co noc w małej firmie, ,rodzaju technologicznych redukcji i procedur, które pozwoliły Wall Street odzyskać dane po 11 września, już po tygodniu. Oczywiście, DRP nie jest bandażem, który stosujemy jeśli coś pójdzie nie tak, ale podstawową praktyką biznesową firmy, jaką powinna ona rozważać od początku implementacji systemów IT. Tworząc dobry DRP zaczynamy od oceny ryzyka i planowania. Ocena ryzyka określa prawdopodobieństwo i skalę potencjalnych katastrof, która pomaga w planowaniu jakie technologie zaimplementować. Planowanie polega na określeniu jakie systemy i dane muszą być kopiowane, jak często powinny być robione kopie zapasowe, i gdzie te kopie powinny być bezpiecznie przechowywane. Wybór odpowiedniej technologii tworzenia kopii zapasowej i opracowanie odpowiedniego planu tworzenia kopii zapasowej za pomocą takich technologii jest ważne aby uniknąć nadmiernych kosztów i zapewnić niezawodne odzyskiwanie po katastrofie. Technologie systemów tworzenia kopii zapasowych mogą obejmować system taśm, płyt CD/DVD, tworzenie kopii zapasowej SAN czy też backup sieci dostawcy usług. Outsourcing tworzenia kopii zapasowej jest inną opcją jaką można rozważyć jeśli dział IT jest mały. Dodanie systemów gorącej rezerwy może znaczącą uprościć proces odzyskiwania, jeśli jest to finansowo wykonalne. Jeśli firma korzysta z usług IT od dostawcy usług, istotne jest , aby mieć umowy w których zawarta byłaby gwarancja ciągłości działania po katastrofie. Ustanowienie odpowiednich polityk i procedur bezpieczeństwa jest również niezbędne dla podjęcia pracy DRP. Kiedy DRP jest uruchomiony i działa, musi być regularnie testowany i monitorowany aby upewnić się że to działa. Weryfikacja kopii zapasowej zapewnia prawdziwość informacji kopiowanej i okresowo przywracanej na maszynach testowych aby upewnić się że DRP będzie działało. Jeśli takie monitorowanie i testowanie znajdzie słabe strony lub problemy w twoim planie, musisz zmodyfikować plan. . Posiadanie zewnętrznego audytu swojego DRP przez doświadczoną firmę, również może być cenne. ISO 17799 jest uznanym standardem w najlepszych rozwiązaniach bezpieczeństwa IT ,a audytowanie na tej podstawie może być korzystne w oparciu o odpowiedzialność prawną, jeśli twoja firma świadczy usługi informacyjne dla innych. Istotnym elementem DRP jest business resumption plan (BRP), czasami nazywany planowaniem ciągłości działania (BCP). Jest to szczegółowy plan krok-po-kroku, w jaki sposób szybko powrócić do normalnej działalności po wystąpieniu awarii. Zasadniczo jednak, DRP nigdy nie będzie w pełni przetestowany aż do wystąpienia znaczącej katastrofy.
discretionary access control [swobodna kontrola dostępu] : Mechanizm kontroli dostępu użytkowników do zasobów obliczeniowych. Swobodna kontrola dostępu (DAC) jest jednym z dwóch podejść implementacji kontroli dostępu w systemach komputerowych, drugim jest obowiązkowa kontrola dostępu (MAC). DAC określa kto ma dostęp do zasobu i jaki poziom dostępu każdy użytkownik lub grupa użytkowników ma do zasobów .DAC jest zazwyczaj implementowany dzięki zastosowaniu listy kontroli dostępu (ACL). Każda ACL zawiera tożsamość użytkownika lub grupy i listę operacji jakie może wykonać użytkownik lub grupa na zasobach będących zabezpieczonymi. Większość platform komputerowych w tym Windows, Linux i Unix, implementują pewne mechanizmy DAC dla kontroli dostępu do systemu plików i innego typu zasobów.
discretionary access control list (DACL) [ poufna list kontroli dostępu] : Najczęstszy typ listy kontroli dostępu (ACL) używany do kontroli dostępu do zasobów komputerowych i sieciowych. DACL są jedną z dwóch form ACL, drugą jest systemowa lista kontroli dostępu (SACL). DACL są najbardziej ogólne z tych dwóch rodzajów i są przypisane do systemu plików i innych zasobów komputerowych dla określenia kto ma dostęp do nich i jaki poziom dostępu ma użytkownik lub grupa . Faktycznie, kiedy odnosimy się do ACL, zwykle można zakładać ,że odnosimy się do DACL, chyba ,że włączone jest audytowanie systemu. Używając DACL, system może implementować DAC dla zapewnienia jacy użytkownicy mogą lub nie wykorzystać zasoby systemowe.
distributed denial of service (DDoS) : Typ ataku denial of service (DoS) który wykorzystuje moc wielu hostów pośredniczących. Klasyczne ataki DoS to jeden-na-jednego , w którym bardziej wydajne hosty generują ruch, który zalewa połączenia sieciowe hosta docelowego, nie zezwalając poprawnym klientom uzyskać dostęp do usług sieciowych na hoście docelowym. Atak distributed denial of service (DDoS) idzie o krok dalej przez wzmocnienie ataku wielokrotnie, co powoduje ,że farmy serwerów lub całych segmentów sieci mogą być bezużyteczne dla klientów. Ataki DDoS po raz pierwszy pojawiły się w 1999 roku, zaledwie trzy lata po atakach DOS z użyciem SYN flood. W lutym 2000 roku główny atak miał miejsce na witryny internetowe takie jak Amazon, CNN, eBAy czy Yahoo! Trwający kilka godzin. Teoria i praktyka wykonywania ataków DDoS jest prosta
1.Uruchamiamy automatyczne narzędzie dla znajdowania słabości hostów w sieciach podłączonych do Internetu. Kiedy taka słabość została znaleziona, takie narzędzie może zagrozić hostowi i zainstalować trojana DDoS, zmieniając hosta w zombie, który może być zdalnie kontrolowany przez stację główną, której atakujący używa dla uruchomienia ataku.
2.Kiedy wystarczająca ilość hostów została złamana, atakujący używa stacji głównej dla sygnalizacji zombie aby rozpocząć taka na docelowy host lub sieć. Ten atak to jakaś forma SYN flood lub atak DoS, ale fakt ,że setki albo tysiące zombie jest używane w tym ataku tworzy ogromną ilość ruchu sieciowego, który może szybki zużyć wszystkie zasoby TCP na hoście docelowym i może nawet zabagnić połączenia sieciowe w Internecie. Prawie wszystkie platformy komputerowe są podatne na przechwycone jako zombie dla wykonania takiego ataku. Najlepszym sposobem obrony przeciwko takim atakom jest zmodyfikowanie konfiguracji routera dostawcy usług internetowych (ISP), szczególnie:
• Filtrowanie wszystkich prywatnych adresów IP RFC 1918 używając listy kontroli dostępu routera
• Zastosowanie RFC 2267 dla filtrowania ruchu wychodzącego i przychodzącego na wszystkich routerach brzegowych, dzięki czemu po stronie klienta połączenie odrzuca pakiety przychodzące, które mają adresy pochodzące z obrębu własnej sieci, natomiast po stronie ISP akceptuje tylko pakiety, które mają adresy pochodzące z sieci klienta
• Ograniczenie szybkości wszystkich pakietów ICMP i SYN na wszystkich interfejsach routera
DNS cache poisoning : Inna nazwa DNS spoofingu, metody używanej dla ataku serwerów DNS
DNS spoofing : Metoda używana dla atakowania serwerów DNS. DNS spoofing dostarcza serwerom DNS fałszywej informacji dla podszycia się pod serwery DNS. DNS spoofing może umożliwić złośliwym atakującym odmowę dostępu do uwierzytelnionych serwerów DNS, przekierowania użytkowników do innych stron internetowych, lub zbieranie u czytanie e-maili adresowanych do lub wysłanych z danej domeny. Są dwa podstawowe podejścia do spoofingu DNS
• Przez zmodyfikowanie serwera nazw dla dostarczenia fałszywych zapisów uwierzytelniających w odpowiedzi na rekursywne zapytania, złośliwy użytkownik może przekierować wszystkie żądania do pewnej domeny nielegalnego serwera DNS. Powoduje to ,że użytkownik próbujący uzyskać dostęp do popularnego serwisu, może być kierowany do innej strony, która wygląda podobnie, ale została stworzona w celu przechwycenia informacji osobistych użytkownika.
• Innym podejściem jest sniffowanie połączenia sieciowego przez który regularnie przepływa ruch DNS i spoof pakietów UDP w zapytaniach DNS. Atakujący przewiduje kolejny numer ID zapytania i wstawia to do sfałszowanego pakietu, zatem porywa zapytanie DNS i przekierowuje użytkownika do nielegalnego sobowtóra strony internetowej
Ogólne podejście do zapobiegania takim atakom obejmuje łatanie serwerów DNS najnowszymi poprawkami, ograniczenie strefy transferów i dynamicznych aktualizacji, i jeśli to konieczne, wyłączenie rekursji. Jednak prawdziwym rozwiązaniem problemu spoofingu DNS zakłada rozwinięcie kryptograficznego uwierzytelniania DNS i wdrożenie go przez Internet. Spoofing DNS może również być rozpatrywany jako forma ataku denial of service (DoS) ponieważ uniemożliwia użytkownikom dostęp do prawdziwych serwerów DNS.
DoS : Oznacza denial of service , typ ataku , który próbuje uniemożliwić poprawnym użytkownikom dostęp do usług sieciowych.
dot bug vulnerability [luka błędu kropki] : Rodzaj kodowania luk. Luka błędu kropki po raz pierwszy pojawiła się w 1997 roku kiedy ktoś odkrył ,że przez zastosowanie dwóch dodatkowych kropek na końcu zapytań Uniform Resource Locator (URL) z plikemi Active Server Page (ASP) z Microsoft Internet Information Server (IIS) 3, można podejrzeć kod ASP zamiast jego wykonanie. Inny podobny exploit dający podobny efekt, obejmuje dodanie 2%e w miejsce kropki w jakiejśstronie.asp i dołączenie ::$DATA na końcu URL'a. Podobna luka błędu kropki, która pozwala skrytptom rezydować w ciasteczkach na uruchomienie i odczyt informacji w innych plikach cookie, została odkryta w Microsoft Internet Explorer w lutym 2002 roku.
DPAPI : Oznacza Data Protection API, interfejs programowani aplikacji (API), która jest częścią CryptoAPI na platformach Windows.
DRM : Oznacza Digital Rights Management , technologia używana do ochrony interesów właścicieli komercyjnych informacji cyfrowych w produktach i usługach.
DRP : Oznacza plan odtwarzania awaryjnego, plan który pomaga firmie odzyskać dane i przywrócić usługi po awarii.
DSA : Oznacza Digital Signature Algorthm, algorytm kryptografii klucza publicznego używanego do wygenerowania podpisów cyfrowych.
Dsniff : Popularny zbiór narzędzi dla testowania sieciowego audytu i penetracji. Dsniff jest zbiorem narzędzi używanych na platformach UNIX/Linux stworzony przez Duga Songa z Centre for Information Technology Integration z Uniwersytetu Michigan. Narzędzi te są popularne wśród profesjonalistów zajmujących się bezpieczeństwem sieciowym i hackerów.
DSS : Oznacza Digital Signature Standard , standard rządu USA definiujący sposób generowania podpisów cyfrowych
dynamiczne filtrowanie pakietów : Zaawansowana technologia filtrowania pakietów używany przez firewalle i niektóre routery. Filtrowanie pakietów jest używane przez routery i firewalle dla filtorowania niepożądanych pakietów. Wczesne routery wykonywały statyczne filtrowanie pakietów, powszechnie nazywane filtrowaniem pakietów , co pozwalało ruterom na ręczną konfigurację aby umożliwić lub zablokować przychodzące lub wychodzące pakiety oparte o adresy IP i informacje o porcie znajdowane w nagłówkach pakietu. Dynamiczne filtrowanie pakietów idzie o krok dalej otwierając porty tylko kiedy jest to wymagane i zamykają kiedy nie są dłużej potrzebne. Dynamiczne filtrowanie pakietów zatem minimalizuje narażenie portów i dostarcza lepszego bezpieczeństwa niż filtrowanie statyczne. Dynamiczne filtrowanie pakietów jest zarządzane przez zasad , które mogą decydować jak długo i kiedy różne porty powinny być otwarte lub zamknięte. Wszystkie pakiety przechodzące przez router lub firewall są porównywane z tymi zasadami dla określenia czy przepuścić je czy odrzucić. Oprócz analizowania nagłówka pakietu, niektóre firewalle implementują dynamiczne filtrowanie pakietów , co pozwala badać głębsze warstwy protokołu TCP/IP wewnątrz każdego pakietu dla stworzenia stabilnej tabeli zawierającej informację o każdym ustanowionym połączeniu. Pozwala to na filtrowanie pakietów nie tylko przez zasady ale również przez ustanowienie informacji dotyczącej poprzednich pakietów dla tego połączenia. Proces ten jest często nazywane kontrolą stanową.
dynamiczne proxy : Inna nazwa dla adaptacyjnego proxy, wzmocniona forma bramy warstwy aplikacji