Mục lục:
- Bảo mật e-mail
- Xóa:
- SSL sử dụng hệ thống khoá RSA không đối xứng; IDEA, DES, và các hệ thống khoá đối xứng 3DES; và chức năng băm MD5. Phiên bản hiện tại là SSL 3. 0. SSL 3. 0 được chuẩn hóa như TLS 1. 0 và được phát hành vào năm 1999.
Video: How to spot a liar | Pamela Meyer 2025
Đối với kỳ thi Security +, bạn cần phải biết các tiêu chuẩn và ứng dụng khác nhau có sẵn cho việc sử dụng an toàn e-mail và Internet. Bạn cũng cần phải nhận thức được một số lỗ hổng và phiền toái, kể cả hoaxes virus và spam, để làm tốt trong kỳ thi Security +.
Bảo mật e-mail
Một số ứng dụng sử dụng các kỹ thuật mật mã đã được phát triển để liên lạc qua e-mail để cung cấp
Mở rộng thư điện tử đa năng an toàn > (S / MIME) cung cấp một phương pháp an toàn để gửi e-mail và được kết hợp vào một số trình duyệt phổ biến và ứng dụng e-mail. S / MIME cung cấp tính bảo mật và xác thực bằng cách sử dụng hệ thống khoá bất đối xứng RSA, chữ ký số và chứng chỉ số X. 509. S / MIME phù hợp với định dạng chuẩn mã hóa khóa công cộng (PKCS) # 7 và đã được đề xuất làm tiêu chuẩn cho IETF (Internet Engineering Task Force).
(MOSS) cung cấp tính bảo mật, tính toàn vẹn, xác định và xác thực, và không phản đối bằng cách sử dụng MD2 hoặc MD5, RSA không đối xứng phím, và DES. MOSS đã không được triển khai rộng rãi trên Internet.
Thư nâng cao tính riêng tư (PEM)
Thư cá nhân nâng cao (PEM) đã được IETF đề xuất như tiêu chuẩn PKCS nhưng chưa được triển khai rộng rãi trên Internet. Nó cung cấp bảo mật và xác thực bằng cách sử dụng 3DES để mã hóa, MD2 hoặc MD5 thông báo tiêu hóa, X. 509 giấy chứng nhận số, và RSA không đối xứng hệ thống cho chữ ký số và phân phối chìa khóa an toàn.
Spam Spam làm lãng phí tài nguyên máy tính và băng thông có giá trị và giới hạn. Chi phí cho các công ty và cá nhân hàng triệu đô la hàng năm về năng suất bị mất. Các sản phẩm chống thư rác hiện có chỉ có hiệu quả hạn chế.
Các lựa chọn chống thư rác của bạn có giới hạn, nhưng bao gồm những điều sau:Xóa:
Nếu bạn nhận được một khối lượng spam thư rác tương đối ít hàng ngày, có lẽ điều dễ dàng nhất là xóa nó. Thực hiện việc này không thực sự là một giải pháp và có lẽ không phải là điều người dùng của bạn muốn nghe, nhưng đây là phương pháp phổ biến nhất để đối phó với spam.
Bộ lọc:
Hầu hết các ứng dụng e-mail và dịch vụ e-mail Internet cung cấp một số khả năng lọc. Một số sản phẩm thương mại của bên thứ ba cung cấp khả năng lọc tốt hơn. Chỉ cần chắc chắn rằng bạn đã cấu hình cẩn thận các lựa chọn lọc để tránh lọc e-mail hợp pháp!
Giáo dục:
- Hướng dẫn người dùng của bạn về spam. Người dùng nên biết đến không bao giờ
- trả lời hoặc hủy đăng ký một e-mail bị spam. Điều này xác minh địa chỉ e-mail và làm cho vấn đề tồi tệ hơn. Không tiếp sức!
- Có lẽ điều quan trọng nhất cho một công ty phải làm là đảm bảo rằng nó không phải là (hay không trở thành) một phần của vấn đề. Các máy chủ thư được thiết lập như một mail relay relay (nhiều mặc định) có thể được sử dụng để gửi thư rác cho bất cứ ai trên Internet. Một mail relay mở không cố gắng để xác minh người khởi tạo của một e-mail và chuyển tiếp bất cứ điều gì nó nhận được. Sự hoán đổi
- Sự hoán đổi email thường diễn ra dưới hình thức các chữ cái dây xích. Một loại e-mail giả mạo cụ thể là hoax virus. Một virus là một thông báo e-mail mô tả một loại virus giả sử dụng ngôn ngữ giả mạo. Mối đe dọa được mô tả có vẻ khá chính đáng và có thể được gửi từ người bạn biết. (Các hoaxes thường hướng dẫn bạn chuyển nó cho tất cả mọi người trong sổ địa chỉ của bạn) Nhiều hoaxes hướng dẫn unsuspecting người dùng để xóa các tập tin hệ thống quan trọng. Việc phòng chống lừa đảo của bạn nên bao gồm những điều sau: Giáo dục:
Hướng dẫn người dùng của bạn về hoaxes e-mail (đặc biệt là hoaxes virus). Hướng dẫn họ không bao giờ để chuyển tiếp một trò lừa bịp, ngay cả khi nó được nhận từ một người mà họ biết. Đảm bảo rằng họ báo cáo hoaxes cho một hệ thống hoặc quản trị viên bảo mật.
Xác minh: Nếu bạn quan tâm đến tính hợp pháp của trò lừa bịp, hãy xác minh sự tồn tại của nó (hoặc không tồn tại) tại Symantec hoặc McAfee. Mặc dù những người khổng lồ phần mềm chống virus này không nhất thiết phải sửa chữa ngay lập tức một loại virut mới, họ cung cấp cho bạn những thông tin đáng tin cậy về bất kỳ mối đe dọa mới nào (thật hay gian lận). Bảo mật Internet
Cũng giống như các ứng dụng e-mail, một số giao thức và tiêu chuẩn đã được phát triển để cung cấp bảo mật cho giao tiếp và giao dịch trên Internet. Chúng bao gồm SSL / TLS và S-HTTP, được thảo luận trong bài báo này. Bạn cũng khám phá các lỗ hổng liên quan đến hai ứng dụng Internet: trình duyệt và nhắn tin nhanh.
- Giao thức SSL Secure Sockets Layer
- (SSL) cung cấp mã hoá dựa trên phiên và xác thực cho giao tiếp an toàn giữa các máy khách và máy chủ trên Internet. SSL vận hành ở Lớp Vận tải, độc lập với giao thức ứng dụng và cung cấp xác thực máy chủ với xác thực khách hàng tùy chọn.
SSL sử dụng hệ thống khoá RSA không đối xứng; IDEA, DES, và các hệ thống khoá đối xứng 3DES; và chức năng băm MD5. Phiên bản hiện tại là SSL 3. 0. SSL 3. 0 được chuẩn hóa như TLS 1. 0 và được phát hành vào năm 1999.
Giao thức truyền tải an toàn HyperText Transfer Protocol (S-HTTP)
Giao thức truyền dữ liệu HyperText an toàn
(S- HTTP) là một giao thức Internet cung cấp phương pháp truyền thông an toàn với một máy chủ Web.S-HTTP là một giao thức định hướng không kết nối đóng gói dữ liệu sau khi các thuộc tính bảo mật cho phiên làm việc đã được thương lượng thành công. Sự mã hoá đối xứng Message digests (cho toàn vẹn)
Mã hóa khóa công khai (cho client-server authentication và nonrepudiation)
Instant messaging
Các chương trình nhắn tin tức thời đã trở nên phổ biến trên Internet vì tính dễ sử dụng và khả năng liên lạc tức thời. Ví dụ bao gồm AIM, MSN Messenger và Yahoo! Messenger.
Nhiều lỗ hổng và các nguy cơ bảo mật, chẳng hạn như sau, liên quan đến các chương trình nhắn tin tức thì: Virus và Trojan:
Các chương trình nhắn tin nhanh chóng trở thành phương tiện ưa thích để truyền mã độc.
- Kỹ thuật xã hội:
- Nhiều người dùng không ý thức về bản chất mở của IM và rất tình cờ trao đổi thông tin cá nhân, cá nhân hoặc nhạy cảm cho các bên không biết.
- Các tệp tin được chia sẻ:
Nhiều chương trình IM (và các chương trình liên quan) cho phép người dùng chia sẻ ổ đĩa cứng hoặc chuyển tệp.
Xử lý gói tin:
Giống như hầu hết lưu lượng TCP / IP, phiên IM có thể dễ dàng thu hút thông tin và mật khẩu có giá trị.
- Trình duyệt Internet Các trình duyệt Internet, chẳng hạn như Internet Explorer của Microsoft và Netscape Navigator, là các công cụ lướt web cơ bản. Để tăng cường trải nghiệm lướt web của bạn, nhiều công cụ tuyệt vời đã được thiết kế để cung cấp nội dung động và tương tác vượt ra ngoài HTML cơ bản. Tất nhiên, các tính năng này thường đi kèm với giá cả - thêm rủi ro bảo mật.
- Những công cụ và rủi ro này bao gồm JavaScript:
- JavaScript là một ngôn ngữ kịch bản đã được Netscape phát triển để cung cấp nội dung động cho các trang Web HTML. JavaScript có nhiều lỗ hổng được biết đến có thể, ví dụ, tiết lộ thông tin cá nhân về người dùng hoặc cho phép ai đó đọc các tệp trên máy địa phương của bạn. ActiveX và Java applets:
- ActiveX và Java có thể làm cho các trình duyệt Web làm một số việc khá gọn gàng - và một số điều khá khó chịu. Mô hình bảo mật cho ActiveX dựa trên các mối quan hệ tin cậy. (Bạn chấp nhận một chứng chỉ kỹ thuật số và applet sẽ được tải xuống.) Bảo mật Java dựa trên khái niệm về một sandbox,
hạn chế một applet chỉ liên lạc với host gốc và ngăn không cho applet trực tiếp truy cập vào một Ổ cứng của máy tính cá nhân hoặc các tài nguyên khác - về mặt lý thuyết.
Tràn bộ đệm:
Các tràn bộ đệm có lẽ là các cuộc tấn công từ chối dịch vụ phổ biến nhất và dễ gây tổn hại nhất hiện nay. Các lỗ hổng trong các trình duyệt Web (đặc biệt là Internet Explorer) có thể bị khai thác, làm cho hệ thống sụp đổ hoặc tệ hơn là cung cấp cho kẻ tấn công truy cập trái phép vào hệ thống hoặc thư mục.
