призначення ПЗ або програмної бібліотеки та приклади споживачів, які можуть бути зацікавлені у їх використанні;
Програмне забезпечення Cisco забезпечує побудову, управління та захист мереж, а також комунікаційні та аналітичні рішення для різних галузей. Банки та фінансові установи використовують Cisco для створення безпечних VPN, налаштування міжмережевих екранів та захисту транзакцій. Університети та школи застосовують Webex для онлайн-занять і відеоконференцій, а також IP-телефонію для зв'язку між підрозділами. Медичні заклади забезпечують захищений доступ до пацієнтських даних і підключення IoT-пристроїв, таких як медичні монітори. Логістичні компанії інтегрують IoT-системи для моніторингу транспорту і вантажів у реальному часі. ІТ-компанії та стартапи активно використовують хмарні рішення Cisco Meraki для управління інфраструктурою без великих капіталовкладень. Ритейл-мережі будують єдині мережі магазинів, використовуючи автоматизацію налаштувань через Cisco DNA Center. Нарешті, контакт-центри оптимізують зв'язок за допомогою IP-телефонії та рішень для співпраці.
Запитання №1.2
Опишіть знайдену вразливість , переклавшу на українську мову розділ Description.
Уразливість в обробнику TLS програмного забезпечення Cisco Firepower Threat Defense (FTD) може дозволити неавторизованому віддаленому зловмиснику отримати доступ до конфіденційної інформації. Ця уразливість виникає через неправильну реалізацію контрзаходів проти атаки Блейхенбахера на пристрої, що використовує політики дешифрування SSL. Зловмисник може використати цю вразливість, надсилаючи підроблені TLS-повідомлення на уражений пристрій, який буде діяти як оракул і дозволить зловмиснику здійснити атаку з використанням обраного шифрованого тексту. Успішний експлойт може дозволити зловмиснику виконати криптоаналітичні операції, які можуть дозволити розшифрувати раніше перехоплені сеанси TLS на ураженому пристрої.
Запитання №1.3
Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ References to Advisories, Solutions, and Tools.
Уразливий код:
Криптографічний алгоритм, враховуючи номер мого варіанту - aria-256-ecb.
Розшифруйте абревіатурну назву криптографічного алгоритму та режиму шифрування, а також вкажіть роки їх створення.
ARIA – Симетричний блоковий шифр, розроблений у Південній Кореї (аналог AES). Використовується для шифрування даних з високим рівнем безпеки.
256 – Розмір ключа у біт. У даному випадку використовується ключ довжиною 256 біт, що забезпечує високий рівень криптостійкості.
ECB (Electronic Codebook) – Режим шифрування, де кожен блок даних шифрується незалежно від інших.
Запитання №2.2
Опишіть переваги та недоліки криптографічного алгоритму та режиму шифрування.
ARIA-256 забезпечує високий рівень криптостійкості завдяки використанню довгого ключа (256 біт) та сучасних криптографічних принципів. Алгоритм ефективний у виконанні, має гнучкість у підтримці різних довжин ключів і пройшов ретельний аналіз на стійкість до відомих атак. Він добре підходить для захисту конфіденційної інформації в урядових і комерційних системах, забезпечуючи швидкість і надійність шифрування. Простота реалізації режиму ECB дозволяє легко застосовувати його в задачах, що не потребують складного управління станом.
Однак, ARIA менш популярний у світі порівняно з AES, що може ускладнювати інтеграцію у деякі системи. Використання ключа 256 біт підвищує вимоги до обчислювальних ресурсів, що важливо для обмежених пристроїв. Режим ECB має серйозні недоліки, оскільки однакові блоки відкритого тексту завжди шифруються однаково, що розкриває структуру даних і робить його вразливим до атак на шаблони. Він не забезпечує аутентифікації чи захисту цілісності, що робить його непридатним для більшості сучасних криптографічних задач.
oleksandrblazhko
commented
1 week ago
Завдання №1
Запитання №1.1
Опишіть ПЗ або програму бібліотеку, в яких знайдено вразливість:
Cisco: посилання на сайт
Програмне забезпечення Cisco забезпечує побудову, управління та захист мереж, а також комунікаційні та аналітичні рішення для різних галузей. Банки та фінансові установи використовують Cisco для створення безпечних VPN, налаштування міжмережевих екранів та захисту транзакцій. Університети та школи застосовують Webex для онлайн-занять і відеоконференцій, а також IP-телефонію для зв'язку між підрозділами. Медичні заклади забезпечують захищений доступ до пацієнтських даних і підключення IoT-пристроїв, таких як медичні монітори. Логістичні компанії інтегрують IoT-системи для моніторингу транспорту і вантажів у реальному часі. ІТ-компанії та стартапи активно використовують хмарні рішення Cisco Meraki для управління інфраструктурою без великих капіталовкладень. Ритейл-мережі будують єдині мережі магазинів, використовуючи автоматизацію налаштувань через Cisco DNA Center. Нарешті, контакт-центри оптимізують зв'язок за допомогою IP-телефонії та рішень для співпраці.
Запитання №1.2
Опишіть знайдену вразливість , переклавшу на українську мову розділ Description.
Уразливість в обробнику TLS програмного забезпечення Cisco Firepower Threat Defense (FTD) може дозволити неавторизованому віддаленому зловмиснику отримати доступ до конфіденційної інформації. Ця уразливість виникає через неправильну реалізацію контрзаходів проти атаки Блейхенбахера на пристрої, що використовує політики дешифрування SSL. Зловмисник може використати цю вразливість, надсилаючи підроблені TLS-повідомлення на уражений пристрій, який буде діяти як оракул і дозволить зловмиснику здійснити атаку з використанням обраного шифрованого тексту. Успішний експлойт може дозволити зловмиснику виконати криптоаналітичні операції, які можуть дозволити розшифрувати раніше перехоплені сеанси TLS на ураженому пристрої.
Запитання №1.3
Наведіть фрагменти прикладів уразливого програмного коду, розглянувши розділ References to Advisories, Solutions, and Tools. Уразливий код:
Можливе виправлення:
Завдання №2
Запитання №2.1
Криптографічний алгоритм, враховуючи номер мого варіанту - aria-256-ecb. Розшифруйте абревіатурну назву криптографічного алгоритму та режиму шифрування, а також вкажіть роки їх створення.
Запитання №2.2
Опишіть переваги та недоліки криптографічного алгоритму та режиму шифрування.
ARIA-256 забезпечує високий рівень криптостійкості завдяки використанню довгого ключа (256 біт) та сучасних криптографічних принципів. Алгоритм ефективний у виконанні, має гнучкість у підтримці різних довжин ключів і пройшов ретельний аналіз на стійкість до відомих атак. Він добре підходить для захисту конфіденційної інформації в урядових і комерційних системах, забезпечуючи швидкість і надійність шифрування. Простота реалізації режиму ECB дозволяє легко застосовувати його в задачах, що не потребують складного управління станом.
Однак, ARIA менш популярний у світі порівняно з AES, що може ускладнювати інтеграцію у деякі системи. Використання ключа 256 біт підвищує вимоги до обчислювальних ресурсів, що важливо для обмежених пристроїв. Режим ECB має серйозні недоліки, оскільки однакові блоки відкритого тексту завжди шифруються однаково, що розкриває структуру даних і робить його вразливим до атак на шаблони. Він не забезпечує аутентифікації чи захисту цілісності, що робить його непридатним для більшості сучасних криптографічних задач.