第 31 集:計算機安全
01:00 Secrecy, Integrity, Availability 保密性, 完整性, 可用性
01:49 Threat Model 威脅模型
03:14 身份驗證 (Authentication) 的三種方式:
What you know, 你知道什麼
What you have, 你有什麼
What you are, 你是什麼
07:34 訪問控制 Access Control
08:48 Bell LaPadula model 不能向上讀取,不能向下寫入
11:00 隔離 Isolation, 沙盒 Sandbox
計算機安全:可看成是保護系統和數據的:保密性,完整性,可用性
保密性:如黑客泄漏別人的信用卡信息
完整性:是隻有有權限的人才能使用和修改系統和數據,如黑客知道你的密碼,假冒你發郵件
可用性:是有權限的人應該隨時可以訪問系統和數據。如黑客發送大量的假請求讓服務器很慢或者掛掉,也叫拒絕服務攻擊(DDOS)
威脅模型分析:根據三個特性,從抽象層面的想象對敵人進行分析。一般會以能力水平區分
常見安全問題歸納:
1.你是誰?
2.你能訪問什麼?
三種身份認證:
1.你知道什麼?如用戶名、密碼、安全提示問題。
2.你有什麼?
3.你是什麼?
Bell—LaPadula模型:不能向上讀,不能向下寫
隔離:“沙箱”程序
第 32 集:黑客與攻擊
01:28 社會工程學 Social Engineering
01:38 釣魚 Phishing
02:06 假託 Pretexting
02:50 木馬 Trojan Horses
03:32 NAND鏡像 NAND Mirroring
04:12 漏洞利用 Exploit
04:16 緩衝區溢出 Buffer Overflow
05:45 邊界檢查 Bounds Checking
06:16 代碼注入 Code Injection
09:32 零日漏洞 Zero Day Vulnerability
09:53 計算機蠕蟲 Worms
09:58 殭屍網絡 Botnet
10:11 拒絕服務攻擊 DDoS
黑客入侵最常見的方式是“欺騙”,欺騙別人讓人泄漏信息。如網絡釣魚
還有其他比如 暴力破解,物理重寫內存再繼續暴力破解等方式
遠程攻擊:一般是利用系統漏洞來獲得某些能力或者權限,也叫“漏洞利用”。
一種常見的漏洞利用叫做“緩衝區溢出”,就是字符很長的那種,一般用“邊界檢查”限制字數就行
代碼注入:如SQL語句注入
第 33 集:加密
00:16 多層防禦 Defence in depth
01:00 加密 - Encryption,解密 - Decryption
01:11 凱撒加密 Caesar cipher
01:27 替換加密 Substitution cipher
01:59 移位加密 Permutation cipher
02:03 列移位加密 Columnar transposition cipher
02:37 德國 Enigma 加密機
04:54 1977年"數據加密標準" - Data Encryption Standard (DES)
05:24 2001年"高級加密標準" - Advanced Encryption Standard (AES)
07:06 密鑰交換 - Key exchange
07:33 用顏色來舉例"單向函數"和"密鑰加密"的原理
08:24 迪菲-赫爾曼密鑰交換 - Diffie-Hellman Key Exchange
10:18 非對稱加密 - Asymmetric encryption
11:22 非對稱加密算法 RSA
加密是計算機安全中最常見的防禦形式
硬件加密:二戰的英格瑪,艾倫圖靈
軟件加密:AES等
對稱加密:如單向函數加密:發送方、接收方、公共密鑰
非對稱加密:公鑰加密,私鑰解密 。公鑰就像是鎖,私鑰就像對應的鑰匙。一旦上鎖,只有私鑰鑰匙能打開。目前主流技術是RSA
反過來也可以:私鑰加密,公鑰解密。這種做法常用於簽名:服務器用私鑰加密,任何人都可以用服務器的公鑰解密。因爲只有私鑰的持有人才能加密,所以能證明數據來自正確的服務器或個人。