Інформація та "особова безпека

Новосибірський державний технічний университет.

Кафедра обчислювальної техники.

Реферат по теме:

«Інформація та «особиста безопасность».

Выполнил:

Студент АВТ гр. АБ-220.

Волошин М. А.

Новосибірськ 2002.

На жаль, як із часів перших персональних комп’ютерів багато користувачі не опікувалися своєї ж безпеки, не піклуються по цей день. Зазвичай, людина думає, що його дані уявити не можуть якийабо цінності й на цілеспрямовану атаку ніхто витрачати часу не буде. Міркування, у принципі, правильне, але зовсім. По-перше, постраждати за результаті дій масового характеру. Таких, як розсилання вірусів за списком адрес електронної пошти, сканування мережі на наявність уразливих комп’ютерів, web-сторінки, похищающие файли з жорсткого диска, і інші «приємні «дрібниці. По-друге, метою атаки може бути облікова запис для виходу до Інтернету через модем, жаданий адресу електронної пошти чи номер ICQ. І тут у зловмисника є прямі мотиви затратити певна кількість часу й зусиль, аби домогтися бажаного. Попри таку багато джерел небезпеки, переважна більшість рядових користувачів починає намагатися робити якісь захисту, тільки тоді як постраждає (і може, і не раз) от несанкціонованого доступу до свого особовому компьютеру.

ТАКТИКА НАПАДЕНИЯ Стоит чи користувачеві безпорадно чекати дій поки що невидимого противника, якщо перешкодити вторгнення? Попередити таке вторгнення досить нескладно, а початку непогано знати, яким взагалі чином, цілеспрямовано чи ні, можна нашкодити персонального комп’ютера та її користувачеві. Верблюд і соломинка Любимое розвага, доступне кожному охочому, — атака й на відмова. Атакованого комп’ютера посилаються пакети особливого виду. Результатом такого «закидання «може бути як повільна роботу і зависання, і зупинка чи перезавантаження комп’ютера. Ніяких спеціальних знань для здійснення такого атаки непотрібен, досить скачати жодну з великого безлічі спеціальних програм. Такі атакам надто були піддаються Windows 95 і 98. Латаються ці діри спеціальними патчами.

За доброту можна поплатитися. Ще одна щодо легкого проникнення на комп’ютер під управлінням Windows 9х — ресурси загального доступу. Підключення до них можливо з локальної мережі, а й через Інтернет, тоді як властивості модемного підключення активований пункт «Входити до мережі «. До речі, по вмовчанням вона саме активований. Для перебування відкритих ресурсів у Мережі і добору паролів до них теж є повний набір програм, які працюють із цілими мережами чи діапазоном адрес. Як захисту можна порадити вибирати складні паролі, без потреби ні ресурси загального доступу і вводити комп’ютер до мережі провайдера. Не будьте наївними Найлегше способом, які потребують ніякого спеціального програмного забезпечення, і з сьогодні залишається використання людського. Недосвідченість користувача можна легко використовувати, щоб нашкодити йому його власноруч. До цього часу перебувають люди, що вірять, наприклад, письмам-предупреждениям то страшних віруси. У цих листах описується який-небудь звичайний факт чи властивість функціонування ОС чи прикладної програми розвитку й видається за діяльність вірусу. А далі як засіб лікування пропонується виконати якесь дію, наприклад видалення системних файлів (зрозуміло, користувач не здогадується у тому, що цим самим виводить з експлуатації свою систему). Також можливі хибні листа з служб підтримки, у яких пропонується вислати свій пароль щодо його наступного зміни. Або листи з жаданням допомоги, котрі з насправді змушують висилати свої файли з паролями чи іншу закриту інформацію. Загроза естетів І звісно, платформою для поширення мережевих вірусів служить любов користувачів до гарним листівок і всяким маленьким программкам, які незрозуміло від кого або від друзів, комп’ютери яких встигли заразитися вірусом. Перший порив побачивши приєднаного виконуваного файла — запустити його — схоже, не винищить ні час, ні попередження фахівців і антивірусних лабораторій, ні кількість епідемій в масштабах всього Інтернету. Отже можуть як звичайні віруси, дії яких носять деструктивний характер (знищення даних чи ОС), і вирусы-трояны. Троян — програма, непомітно діюча на зараженому комп’ютері і що дає зловмиснику різні можливості: отримання файлів з паролями поштою, віддаленого управління, висновок повідомлень та інші дії. Інколи непрохані гості Звісно, вірус може поширюватися і явного згоди користувача. У будь-якій версії Microsoft Internet Explorer, Microsoft Outlook Express і Outlook з комплекту Microsoft Office є де розгорнутися потенційному зловмиснику. Це то, можливо можливість завантажити чи переглянути довільний файл з комп’ютера, у якому проглядається лист чи web-сторінка. Або виконати довільний код з привілеями як користувача, який перебуває до системи в момент, а й адміністратора (це особливо важливо у Windows NT, 2000 і ХР, де вважається, що користувач з обмеженими правами неспроможна зашкодити систему). Чи навіть завантажити файл на комп’ютер в будь-яке місце на диску, наприклад, виконуваний файл в папку автозагрузки. ЧОМУ ВСЕ ТАК ПОХМУРО? Несанкціоновані дії за комп’ютером користувача стають можливими через наявність дір у найрізноманітніших компонентах програмного забезпечення. Стежте за буфером Досить часто трапляється вразливістю є переповнювання буфера. При відсутності перевірки вмотивованості чи довжини будь-яких параметрів занадто велике значення параметра оперативному пам’яті виходить поза межі буфера, відведеного йому, і записується поверх исполняющегося коду. Навіть у час звичайного користувача всередині ОС працюють процеси з вищими привілеями. Тому виконання несанкціонованого коду залежить від цього, на будь-якому рівні виконується вразливий процес. Також виконання довільного коду і завантаження файлів на атакований комп’ютер може статися шляхом використання компонентів ActiveX, впроваджених в HTML-код об'єктів, компонентів, використовують зовнішні програми (наприклад, Media Player). У загальному, у кожному версії програмних продуктів Microsoft навіть із усіма встановленими сервис-паками і патчами існують добре відомі уразливості. Отож не можна сподіватися, що розробники предусмотрят безпечне взаємодія усього розмаїття програмних продуктів, технологій і модулів ОС. Мовчання — знак згоди Досить багато кількість уязвимостей, хоч як дивно, виникає через специфічних настройок за умовчанням. Тобто усунення таких уязвимостей варто лише змінити конфігурацію програмного забезпечення, виникнувши внаслідок установки цього програмного забезпечення. Передусім слід чи взагалі відключити виконання різних скриптов, сценаріїв і додатків Java, виконання і завантаження елементів ActiveX, використання cookie, чи навіть налаштувати свої докладання те щоб всіх цих дій виконувалися тільки після явного дозволу користувача. ЗАХИЩАЄМО СЕБЕ… Головним інструментом захисту від вторгнення з Мережі бачиться firewall — программа, позволяющая відстежувати та обмежувати все вхідні і виходять сполуки. Вогненні стіни Використання firewall актуально як і глобальних, і у локальних мережах. Нині є досить багато таких програм, зокрема і безплатних — розрахованих на домашнього користувача, тож є із чого вибрати. Firewall може допомогти у пошуку та запобігання атак відмовитися і спроб несанкціонованого доступу до комп’ютера, виявленні діяльності троянов (правда, далеко не всіх). Також деякі firewall обладнані функціями контролю над активним вмістом web-страниц: елементами ActiveX, скриптами (JavaScript, Visual Basic), Java-апплетами.

А у тому, щоб почуватися безпеки, стоїть скористатися firewall.

Лекарство — річ потрібна Другим обов’язковим інструментом є антивірусне програмне забезпечення. Про його необхідності пишеться вже дуже довго. Але досі перебувають користувачі, які представляють, що таке віруси, і тому щонайменше туманно уявляють, як із нею боротися. Є вже прикладів глобальних епідемій мережевих вірусів, поширених електронною поштою (Nimda, Sircam). А з безперервним процесом об'єднання обчислювальної техніки у єдиний інформаційне простір ростуть швидкість і цьогорічні масштаби поширення потенційних епідемій. Тому антивірус необхідно встановити обов’язково. Дуже бажано, що він перевіряв файли у часі, тобто файли, яких звертається операційна система, і мережеві додатки відразу перевіряються на наявність. Нові віруси з’являються щодня велику кількість, тому антивірусні бази повинні оновлюватися регулярно. Зараз переважна більшість антивірусних програм уміє робити це автоматично. Обновляйтеся, це допомагає І звісно, годі все-таки забувати про самостійні відновлення програм. Користувачем операційними системами Microsoft дуже рекомендується частіше (можна навіть щотижня) відвідувати сторінку оновлень (internet Виправлення помилок, знайдених операційній системи та її складових (Internet Explorer, COM+), накопичуються, і роблять приблизно на рік виходить «Пакет оновлень «(Service Pack), що включає у собі виправлення всіх таких помилок. Між пакетами оновлень можуть виходити RollUp Package, які включають у собі виправлення, знайдені із моменту появи останнього Service Pack і по певного моменту часу. До того ж, кожної дірки, про якої стає відомо, оперативно з’являється окрема латочка, яку теж можна скачати сторінка обновлений.

Не забувайте фахівцях Решту програмного забезпечення теж потребує оновленнях, хоча, може бути, і такому частому. Чим більший поширена програма чи операційна система, є тим інтенсивнішим відбувається процес виявлення дірок безпечно, і тих частіше у потенційного зловмисника з’являється можливість їх використати. Тому слід не лінуватися хоч іноді зазирати шпальти підтримки та інших виробників програмного забезпечення, що використовується за комп’ютером. Або, якщо така можливість, передплатити розсилку новин про оновленнях електронній пошті. До речі, в числі цих інших програм, у першу чергу слід звернути увагу до firewall і антивірус, що використовуються за комп’ютером. Також інформацію про свежеобнаруженных уязвимостях можна знайти інших різних сайтах. Це може бути спеціалізовані ресурси, присвячені безпеки: Russian Security News-line (internet SECURITY. NNOV (internet CERT Coordination Center (internet.

Сайт internet — найбільша база уязвимостей БУДЬТЕ ПИЛЬНІ! Щодня нові користувачі підключаються до світової мережі. Дедалі більше з них використовують не модемное з'єднання, а вихід через локальну мережу. Це відкриває потенційним зловмисникам ширші можливості, так як з'єднання атакуемого комп’ютера із зовнішнього мережею і більше швидке, і постійніше. Також при підключенні до локальної мережі з’являються нові небезпеки, адже комп’ютер стає видно всім членам цієї мережі. І мало хто які експерименти захоче провести над чужим комп’ютером. Дедалі більше ускладнюються технології, пов’язані з передачею даних, як між комп’ютерами, і між додатками, які працюють однією комп’ютері. Усі ці фактори збільшують шанси зловмисників знайти дірку у програмному забезпеченні раніше розробників. Тому настав час, коли користувач має зайнятися своєї безпекою і уважно треба стежити за подіями, що відбуваються у цій области.

СЕКРЕТ НА ВИДНОМУ МІСЦІ Про безпеку програмних продуктів виробництва Microsoft написано чимало знущальних статей, гнівних відгуків, лайливих висловлювань та маревних історій. Усе-таки є у світі якесь особливе ставлення до цієї самої корпорації. І, певне, щоб спробувати якось виправити таке становище, Microsoft на початку квітня випустила свій власний аналізатор безпеки — Microsoft Baseline Security Analyzer. Цей програмний продукт може перевірити систему на наявність вже уязвимостей, відсутність випущених оновлень і зазначити на дрібні огріхи, часто скоєних через недосвідченість, — облікові запису із простими й порожніми паролями, виключена захист від макровирусов й інші ляпи. Після перевірки можна прочитати коментарі і виправлення існуючих помилок у позиційному захисті. Попри те що, що MBSA виявляє лише вже відомі проломи безпечно, річ однаково корисна. Та й уникнути казусів. Два тижні, після виходу MBSA 1.0 працівники Finjan Malicious Code Research Center виявили, що сканер безпеки зберігає результати перевірки у файлі формату XML в передбаченому місці на диску. За ідеєю, доступом до цьому файлу може мати простий лише користувач, який запускала перевірку, чи адміністратор. Але ми вже знаємо, що у насправді деяких випадках є можливість дістати погляд недоступні файли, наприклад, через використання активного вмісту HTML-страниц. Отже, краще ці звіти не зберігати чи робити додаткові заходи для їх защите.

ЩО НАС ЧЕКАЄ? Інтеграція світового інтернет-співтовариства триває навальними темпами. Дедалі більше людей набувають шанс отримати заражене вірусом лист, і дедалі більший число поштових клієнтів, готових поширити цей вірус. Кожні півроку, а то й частіше, з’являється вірус, який побило всі попередні рекорди чи з швидкості, чи з масштабам поширення. І звісно, хороший вірус породжує безліч модифікацій, часто більш небезпечних, ніж вихідний варіант. Слід зазначити у вірусотворців деяку тенденцію до комплексним рішенням. Комплексний підхід застосовується як для розповсюдження, і при шкідливих діях. Проникнення здійснюється не просто через поштовий клієнт чи браузер, а й через IRC (так діє I-Worm.LoveLetter, відомий як і ILOVEYOU), чи навіть за дірявий сервер від Microsoft — Internet Information Server, і з нього вже в комп’ютери відвідувачів зараженого сайту (так діє, наприклад, Nimda). І деструктивні прояви вірусу полягає не у простій дії знищенні даних у заповненні вільного місця на диску (всілякі веселі, але безневинні графічні чи звукові ефекти я не розглядаю як деструктивні). Вірус-хробак BadtransII як викрадає паролі на віддалені і мережні підключення, а й стежить за натисканнями клавіатури і відсилає LOG-файл на певний адресу електронної пошти. Гучний интернет-червь Nimda крім заповнення сміттям мережевих дисків що й відкриває на загальний огляд вміст дисків зараженого комп’ютера та дає користувачеві «Гість «привілеї адміністратора. Тож у недалекому майбутньому стоїть готуватися до появі вірусів, атакуючих систему різнобічно і використовують відразу кілька різних помилок в програмне забезпечення, таких собі багатофункціональних інтелектуальних шкідливих програм. І оскільки звертатися до свідомості вірусотворців абсолютно марно, варто просто дотримуватися елементарні заходи безпеки, насамперед щодо файлів, потрапляють після того через Всесвітню павутиння. З погляду звичайного користувача, WWW — це велика бібліотека текстових і графічних документів, розподілених на багато серверів і пов’язаних друг з одним перехресними посиланнями. Здається, перегляд текстів і зображень — свого роду книжки з картинками — неспроможна представляти ніякої небезпеки як користувальницького комп’ютера, і для серверу. Проте геть несподівано персонажі із цієї книжки можуть оживати, блукати квартирі, псувати інші тогочасні книги й намагатися підпалити будинок. Програми в засідці Приблизно так, як із використанні електронної пошти користувальницький агент може запустити виконання програмний код, який міститься у додатку до листа, www-браузер може запустити програмний код, завантажений з серверу. Перший варіант запуску шкідливого коду у тому, що користувач знаходить на якомусь сайті посилання виконується програму і завантажує її. Завантаження відомої програми з відомого сайту це не дає повної гарантії безпеки (див. нижче про фальсифікацію www-сервера). Марно забувати, що програмами, власне, не є лише EXE-файлы, а й документи MS Office і файли багатьох інших форматів. Самостійні програми Другий варіант — автоматична завантаження коду браузером без відома користувача під час перегляду останнім певної web-сторінки. Таким кодом може бути вбудовані в HTML-текст програми Javascript, апплеты, написані мові Java, та управляючі елементи ActiveX (для користувачів MS Windows). Розробники браузерів роблять зусилля задля здобуття права убезпечити комп’ютер користувача і під час таких програм. Зокрема, Javaапплеты запускаються у спеціальній оточенні (sandbox), перешкоджаючому прямому доступу апплета до файлової системи та виконання інших потенційно небезпечних дій. У Javascript немає методів для безпосереднього доступу до файлової системі комп’ютера та відкриття мережевих сполук, а код Javascript може засвідчуватись цифровий підписом. Як «підвісити «браузер Попри всі докладені заходи, для зловмисника однаково залишається певне полі діяльності. Ключовими напрямами розробки тут є помилки у програмне забезпечення браузерів, відмову у обслуговуванні і обман користувача. Відмова у обслуговуванні ілюструє наступна web-сторінка з кодом Javascript. Її завантаження призведе до блокування браузери, й у продовження роботи знадобиться його перезагрузка:

Example of DoS.

while (1) {.

alert («It is time to restart your browser.»);

}.

Обман користувача Ще одна вид атак — обман користувача шляхом виведення екран вікон, виставлених себе за повідомлення з інших програм. Ці повідомлення можуть закликати користувача виконати будь-які дії, пов’язані з розкриттям секретної інформації (пароля). Браузер позначає такі вікна спеціальним чином, але хто пользователи-неспециалисты не звертають уваги такі тонкощі. Інший вид обману залежить від фальсифікації URL, показуваного в статусною рядку браузери, коли користувач наводить покажчик миші на якусь заслання. Це реалізується так:

Click here to enter your credit number.

Пользователь, навівши покажчик на заслання, побачить у статусною рядку браузери, що посилання свідчить про internet і, активізувавши заслання, потрапить на internet Подальше залежить від фантазії власника сайту internet Шляхи поширення Javascript має можливість відправляти сполучення електронної пошти. Відправлення даних то, можливо ініційована будь-яким дією користувача — наприклад, натисканням будь-якої кнопки чи наведенням покажчика миші на заслання. Отже, вивідавши у користувача секретні дані з допомогою сфальшованого вікна введення пароля, Javascript може відправити ці дані про пошті. На щастя, сучасні браузери попереджають користувача про спробу програми відправити повідомлення. Очевидне рішення для зловмисника, що окупував будь-якої WWWсервер, полягає у безпосередньому приміщенні коду Javascript в HTMLдокументи серверу. Інший спосіб називається cross-site scripting і полягає тому, що зловмисник використовує сервер з динамічної генерацією вмісту у ролі посередника. Наприклад, WWW-сервер має дошку оголошень, куди будь-хто може помістити текст. Цей текст згодом видається як змісту клієнтам, котрі проглядають оголошення. Якщо програма, генеруюча контент, не перевіряє текст оголошень на наявність тэгов та інших спеціальних слів і символів, то зловмисник може помістити програмний код до тексту оголошення, і це код буде доставлений користувачеві. Різновидом cross-site scripting є відправка користувачем потенційно шкідливого коду себе. Це відбувається, коли користувач слід за засланні вида:

Click here У цьому код відсилається як частину тексту оголошення на WWW-сервер example.com, який відразу повертає цей текст користувачеві для перегляду, доставляючи в такий спосіб шкідливий код браузеру. Cross-site scripting і SSL Цікавим ефектом cross-site scripting є можливість доставки зловмисником коду через сполуки, захищені з допомогою SSL. Це можливо, якщо WWW-сервер, з одного боку, дозволяє зловмиснику помістити непроверяемый текст через незахищене з'єднання, з другого боку, демонструє поміщений текст користувачеві через захищене з'єднання. Для захисту від cross-site scripting розробники програм динамічної генерації змісту повинні перевіряти висновок програми на наявність спеціальних тэгов і символів. Цифрова підпис Декілька слів про цифрового електронного підпису. Її наявність говорить про тому, що програма (управляючий елемент ActiveX, апплет Java чи код Javascript) написана певним автором не була змінена. Підпис не гарантує те, що після запуску програма не почне прати файли з жорсткого диска. Звісно, програма, підписана широковідомою компанією, навряд чи містить зумисне запроваджений шкідливий код, а може утримувати помилки, які потім можна використовувати зловмисником. Також відзначимо, що якщо браузер довіряє однієї підписаній програмі, він автоматично довіряє всіх програмах, підписаним тим самим автором. Настройки сучасних браузерів дозволяють відключати виконання додатків Java, ActiveX і скриптов Javascript, чи вимагати обов’язкової на те підписи на цих програмах. ШПИГУН НА ДРОТІ Якщо зробити спеціальних заходів, то ми все дані між браузером і HTTPсервером передаються у вигляді. Отже, можна припустити, що прослуховування WWW-трафика не вимагає значних зусиль. Застосування Digest-аутентификации (з деякими обмовками) знімає цієї проблеми перехоплення пароля і за повної реалізації навіть захищає від несанкціонованої модифікації переданих даних будь-яким проміжним вузлом. Проте самі дані у своїй залишаються беззахисними. З іншого боку, вам слід знати, що це запити вашого браузери реєструються www-сервером, який записує у спеціальний файл час запиту, IP-адрес клієнта, URL запитаного документа, ім'я користувача (якщо застосовувалася аутентификация), тип браузери і URL документа, який користувач переглядав доти. Якщо користувач працює через проксисервер, така інформація зберігається нею ж і можна використовувати адміністрацією контролю і врахування використання WWW своїми співробітниками. Понад те, якщо браузер передає дані заповненою форми методом GET, то вони зберігаються в LOG-файлах, оскільки є частиною URL-адресов. Метод POST вільний цієї вади, оскільки передає дані в зашифрованому вигляді. Також браузер веде кэширование недавно запитаних документів на локальному диску і запис всіх сайтів, які відвідував користувач (ця запис називається журналом, в оригіналі - history). Настройки браузери дозволяють очистити журнал і кеш (чи взагалі відключити кэширование). Багато інтерактивні www-серверы (наприклад, інтернет-магазини) використовують механізм cookies задля збереження інформації про сеансі роботи користувача (наприклад, у тому, який товар користувач відібрав на купівлю). Цю інформацію сервер передає зберегти браузеру користувача, який записує в локальний диск (куди саме — залежить від використовуваного браузери, треба знайти файл чи каталог під назвою cookies). Перегляд файла з cookies може виявити досить цікаві деталі про активності користувача в WWW. Користувач може заборонити браузеру приймати cookies, але нинішнього випадку він зможе користуватися деякими сайтами. МОЖЛИВЕ РІШЕННЯ — SSL Проблема підробки і перехоплення даних зловмисником, прослушивающим мережу чи які окупували прокси-сервер, вирішується питання з допомогою протоколу SSL (нове назва — TLS). Протокол SSL в стеці TCP/IP розташований між транспортним (TCP) і прикладним рівнями. SSL забезпечує шифрування (і, дешифрацию) всіх даних прикладного рівня. У HTTP це, що дані, і навіть заголовки HTTP-запросов і відповідей передаються через мережу зашифрованому вигляді. Щоб скористатися SSL, HTTP-сервер може бути сконфигурирован відповідним чином, а браузер повинен підтримувати протокол SSL (все поширені браузери його підтримують). URL ресурсів, захищених з допомогою SSL, розпочинаються з «internet Перед власне обміном HTTPзапитами і відповідями клієнт (браузер) і сервер встановлюють SSLз'єднання. У цьому сервер пред’являє клієнту сертифікат, підтверджує «особистість «серверу. Отже, зловмисник неспроможна видати себе за шуканий сервер. Справжність сертифіката автоматично перевіряється браузером в загальновідомою базі даних сертифікатів, наприклад базі компанії VeriSign. Якщо ж сертифікат не знайдено в жодній загальновідомою реєстратурі, то користувачеві доведеться самому вирішити, довірятися цьому сертифікатові чи ні. У кожному разі треба розуміти, що таємність під час передачі даних, і наявність сертифіката не гарантують захисту цих даних при зберіганні на сервері (слабко захищена система серверу, несумлінний адміністратор і т. п.). SSL і прокси-серверы Зазначимо особливість роботи SSL через прокси-серверы. Оскільки весь трафік між браузером і HTTP-сервером зашифрований, його інтерпретація і кэширование немає сенсу. Тому функції проксі-сервера зводяться до простий ретрансляції октетів між браузером і HTTP-сервером. Для перекладу проксисервера у такому режим браузер посилає запит методом CONNECT з зазначенням адреси й номери порту HTTP-сервера. Оскільки метод CONNECT фактично створює тунель крізь прокси-сервер, він можна використовувати для обходу правил фільтрації TCP-соединений на брандмауэре, позаяк у загальному разі тунель може бути встановлений із кожним портом зовнішнього серверу. Так користувач може мати простий доступом до недозволеним сервісів, тому адміністратор проксі-сервера повинен старанно сконфигурировать врегулювання використання методу CONNECT, в частковості, дозволити сполуки тільки з портом 443, що використовується до роботи HTTP через SSL. Прокси-сервер — контролер і захисника Можливість використання прокси-серверов як посередників між клієнтом і HTTP-сервером є є дуже корисною лише з погляду зменшення трафіку шляхом кэширования, але й метою забезпечення безпеки. Розумна політика у тому, що це хосты внутрішньої мережі повинні користуватися WWW через прокси-сервер підприємства. Правила фільтрації брандмауэра будуються в такий спосіб, що дозволено лише HTTP-трафик, наступний до прокси-серверу чи то з нього. Особливість HTTP-трафика полягає у тому, що він зовсім який завжди прив’язаний на порт 80, у загальному разі для проксі-сервера повинні бути відкритими все порти чи навіть найбільш популярні їх (80−86, 8000−8006, 8080−8086, 8888). Можуть Бути Вирішені задачи Следующие адміністративні завдання можна вирішити на прокси-сервере при обслуговуванні користувача (групи пользователей):

. дозвіл доступу до того що чи іншому сайту;

. дозвіл використовувати ті чи інші методи запиту (особливо CONNECT, що дозволяє туннелировать крізь прокси-сервер);

. якість обслуговування запиту: наприклад, виділення певної смуги пропускания;

. облік обсягу одержаному під певного періоду трафіку й відмова в обслуговуванні користувача при перевищенні певного лимита;

. напрям запиту через тієї чи іншої провайдера, якщо організація підключена до кількох провайдерам (наприклад, запити низкоприоритетных користувачів направляються по повільному, але дешевому каналу, а высокоприоритетные — по швидкісної, але дорогий линии);

. інспекція даних, що передаються у запиті чи відповіді, наприклад, задля унеможливлення несанкціонованої передачі секретних даних або заради автоматичного видалення рекламних баннерів (реально, якщо ці передаються у відкритому виде).

. HTTP прокси-серверы також можуть надавати прокси-сервис й у протоколу FTP, що підтримується усіма браузерами і більшістю спеціалізованих FTP-клиентов. Ідентифікація користувача Для диференційованого обслуговування користувачів прокси-сервером необхідний механізм ідентифікації користувача, що є автором даного запиту. Користувач ідентифікується прокси-сервером або за IPадресою, або з допомогою прокси-аутентификации. Прокси-аутентификация виконується аналогічно аутентифікації на кінцевому WWWсервері, але з допомогою заголовка Proxy-Authorization. Якщо потрібно проксиаутентификация, але необхідні дані клієнтом не надані, то повертається відгук з кодом 407 Proxy Authentication Required і заголовком Proxy-Authenticate, аналогічним за змістом заголовку WWW-Authenticate. При використанні схеми Digest застосовується також заголовок Proxy-AuthenticationInfo. Підкреслимо, що аутентификация на www-сервере і прокси-аутентификация HTTPзапиту — це дві які пов’язані між собою процедури, що їх різними серверами. Обидва заголовка (Authorization і Proxy-Authorization) можуть бути присутні щодо одного запиті, якщо це потрібно. Аутентификация є кращим способом ідентифікації користувача, особливо, якщо одне і хоча б комп’ютер може експлуатуватися різними людьми (персонального комп’ютера загального користування чи многопользовательская система). Проте очевидно, що аутентификация по схемою Basic у мережі Ethernet з поділюваними сегментами практично позбавлена сенсу через широкої доступності програм прослуховування, тож необхідно застосовувати схему Digest. Укладання Отже, хіба що не пішли, WWW надає зловмисникам широке полі для діяльності, і це факт слід зважати на для формування політики безпеки. Використання проксі-сервера й дотримання інших заходів обережності допоможуть вам звести ризик до минимуму.

ЭКСКУРС У ТЕХНОЛОГІЮ WWW є клиент-серверную технологію, засновану на прикладному протоколі HTTP. У HTTP є типу повідомлень: запити від клієнта (браузери) до сервера і серверу клієнту. Для передачі повідомлень використовується протокол TCP і стандартний порт HTTP-сервера — 80. Запит містить URL — ідентифікатор ресурсу (документа), який хотів би отримати клієнт, і кілька допоміжних заголовків. Передбачається, у відповідь на запит, проаналізувавши необхідний URL, сервер надасть клієнту потрібну інформацію. Цю інформацію називається контентом. У найпростішому разі це HTML-документ чи файл й інші форматі, проте контент може генеруватися сервером «на льоту », наприклад то, можливо викликана стороння програма та її висновок прийнятий у ролі контенту. Щоб браузер правильно визначив тип інформації, котра міститься в контенті, і, відповідно, застосував адекватний спосіб подачі цієї інформації користувачеві, контент супроводжується заголовком Content-Type, у якому вказується МIМЕ-тип даних. Взаємодія з клієнтом Динамічна генерація контенту дозволяє користувачеві інтерактивно взаємодіяти з www-сервером. Типовим прикладом цієї процесу є роботу з пошукових сервером: користувач вказує рядок пошуку, яка і є параметром запиту. Сервер виробляє пошук рядки у базі даних і формує HTML-страницу, що містить результати пошуку. Користувач задає параметри запиту шляхом заповнення та відправлення HTMLформ. Форми містять поля введення текстовій інформації, радиокнопки, які списки тощо. п. Викликає зацікавлення те, як саме браузер приєднує запроваджені дані до запиту. У тэге містяться два параметра: action і method. Перший вказує URL, до якого відправлений запит щодо заповнення форми, а другий — метод цього запиту. Існують два методу: GET і POST. При відправлення запиту методом GET дані, запроваджене форму, приєднуються до URL після знака запитання. У цьому вся разі URL може бути, наприклад, так: «/cgibin/dir/script.pl?name=John&age=25 &hobby=reading&hobby=football ». Неважко помітити, що ці складаються з пар «имя=значение », розділених амперсандами. При відправлення даних методом POST те ж саме рядок: «паme=John&age=25&hobby=reading&hob-by=football «поміщається після заголовку запиту, відділяючись від нього порожній рядком І тут до URL щось додається. Вочевидь, що жоден HTTP-сервер неспроможна передбачити усієї розмаїтості інтерактивних www-приложений. Натомість HTTP-сервер пропонує розробникові інтерфейс, використовуючи який, стороння програма може одержати окрайчик від HTTP-сервера всі необхідні в обробці запиту дані, а відповідь згенерувати контент, який повернутий сервером браузеру. Отже, завдання генерації контенту доручається докладання, розроблювані для потреб конкретного завдання. У комплексних інформаційних системах з урахуванням WWW кажуть, що HTTP-сервер — це front end www-сайта, а докладання, генеруючі контент, — back end. Часто докладання працюють у поєднанні з базою даних: в такий спосіб, має місце трирівнева схема: HTTPсервер — додаток — база даних. Інтерфейс CGI Найважливішою і поширеним інтерфейсом такого типу є CGI. У його використанні HTTP-сервер запікає додаток, які мають обробити запит, і передає йому на стандартний введення усе, що надійшов на запиті після заголовків. Також HTTP-сервер встановлює кілька змінних оточення, зокрема зміну QUERY_STRING, що містить частина URL, розташовану після знака запитання (але це, як знаємо, дані, передані методом GET). Отже, CGI-приложение отримує доступом до даним, запровадженим користувачем до форми. Зазначимо, які самі дані, їх наявність або відсутність, розміщення тілі запиту чи URL або відразу в обох місцях HTTP-сервером неможливо інтерпретуються і декодируются, а передаються додатку є. Усі завдання інтерпретації і перетворенню даних покладено на CGI-приложение. Обробивши запит, додаток передає сгенерированный контент на стандартний висновок, де він перехоплюється HTTP-сервером і пересилається клієнту. Єдиний заголовок, який зобов’язане виставити саме CGI-приложение, — Content-Type. Що Їх складові Інший спосіб динамічної генерації контенту — внесення програмного коду у текст HTML-файла. Код розміщається всередині спеціальних тэгов (наприклад,). Прийнявши запит такого файла, HTTP-сервер виробляє розбір його вмісту, виявляє програмний код і виконує його. У текст вихідного файла вставляється результат виконання коду і підсумковий контент вирушає клієнту. Популярними технологіями, використовуючи вмонтований код за серверу, є PHR ASP (Active Server Pages), JSP (Java Server Pages). На відміну від CGI, коли в серверу, у випадку, непотрібен ніяких знання тому, як працює запускаемая їм CGIпрограма, під час використання вмонтованого коду потрібна підтримка відповідної технології сервером, оскільки виконання коду виробляється всередині процесу серверу. Особливий випадок убудованого коду — мову Javascript. Код, написаний на Javascript, поміщається всередині пари тэгов і, передається набік імені клієнта й виконується браузером. З нашого боку клієнта виконуються також програми, написані мові Java. Зустрівши в HTML-документе тэг, браузер завантажує з серверу файл, у якому байт-код програми, і передає його за виконання Java-машине. Останню можна безплатно завантажити з Інтернету із сайту internet.

Кэширование даних Часто між браузером і HTTP-сервером розташовується проміжне ланка — HTTP-кэш, чи прокси-сервер. Не всякий контент буде поміщений у кеш. Адміністратор проксі-сервера формулює політику кэширования: наприклад, не кэшировать контенты більше певного розміру, контенты, в URL яких є каталог cgi чи cgi-bin, чи контенты, отримані з серверів локальної мережі. З іншого боку, використовуючи заголовок Cache-Control, сервер може явно заборонити кэширование що його видають їм контенту. Поміщений в кеш контент не зберігається там вічно: виходячи з значення заголовків LastModified і Expires прокси-сервер визначає її «термін придатності «. Вочевидь, що не інформаційні ресурси WWW можуть бути відкриті для загального перегляду. Щоб обмежити доступом до якомусь ресурсу, використовується аутентификация клієнта, як запит обслуговується HTTP-сервером. Аутентификация виконується з допомогою заголовків WWW-Authenticate і Authorization. Сьогодні визначено дві схеми аутентифікації: Basic і Digest, фундаментально відмінні друг від одного з погляду безпеки. Перша є звичайну процедуру пересилки імені Ілліча та пароля користувача у вигляді; друга використовує алгоритм MD5. Користувач знову під ударом Для користувача WWW таїть у собі самі загрози, як і електронна пошта, що її обговорювали у одному з попередніх номерів, саме: завантаження і виконання за комп’ютером користувача шкідливих програм, підробку документів (ресурсів) і прослуховування переданих даних, і паролей.

В ЛАБІРИНТІ ВІДОБРАЖЕНЬ Технологія, відома під назвою mirror world, у тому, що зловмисник створює на підконтрольному йому сервері копію сайту. Після цього він обманом змушує користувача звернутися до свого серверу. Це можна зробити, наприклад, з допомогою помилкового DNS-ответа, обманних посилань чи встановивши контроль над прокси-сервером. Через війну користувач, вважаючи, який працює з сайту, скажімо, банку, виводить на HTML-форму номер кредитної карти, який потрапляє до зловмиснику. Аутентификация у тому разі допоможе, оскільки він варта захисту ресурсів серверу, а чи не користувача. Понад те, використання аутентифікації для доступу на сфальсифікований сервер призведе капітулювати пароля злоумышленнику.

ГОЛОВНАЯ БІЛЬ АДМІНІСТРАТОРА Часом не тільки користувальні комп’ютери піддаються небезпеки при використанні WWW. Метою зловмисника може бути HTTP-сервер. Подібно тому, як у сервері електронної пошти прихід повідомлення викликає запуск програми агента доставки, запит клієнта до HTTP-серверу може викликати запуск CGI-программы чи іншого коду для генерації контенту (для стислості будь-який такий код називатимемо CGI-программой). На вхід програмних засобів подаються дані, надіслані клієнтом, тобто фактично будь-який користувач Інтернету може у певною мірою управляти роботою програми в операційній системі HTTP-сервера. Отже, CGI-программы може бути джерелом серйозні проблеми, що з безпекою. Адміністратору слід обережно підходитимемо можливості дозволу користувачам серверу створювати власні CGI-программы у каталогах.

Інформація віддавна стала товаром і власністю, і цілі забезпечення її безпеці також изменились.

Здебільшого, кожна людина у якого інформацією хоче або тримати її за собі не є допускаючи до неї нікого, або надати до неї доступ когось, за умови, що ніхто інший зможе отримати до неї доступ.

У кожному разі проблема залежить від допуск до інформації лише про тих осіб, які мають цього право, дане власником цієї информации.

Давайте розглянемо невеличкий пример.

Человек хоче передати деяку інформацію, що він знає, іншому людині. Спочатку нервові імпульси перетворюються на рух мови, губ і т.д., потім у звукові хвилі, та був прийняті вухом іншу людину — знову у нервові імпульси. Якщо простежити шлях інформації з голови одного людини у голову іншого, можна твердо сказати: інформація постійно змінює свій вигляд і загальнодосяжний спосіб уявлення про цьому шляху, і кожному виду її уявлення супроводжують певні канали витоку информации.

Виходячи з розуміння, що, нашого часу, більшість всієї необхідної інформації зберігається і обробляється з допомогою ЕОМ та його мереж, можна сказати, що за час існування може змінювати уявлення незліченну кількість раз. У цьому полягає основна складність проблеми забезпечення безпеки інформації - дуже велике кількість каналів витоку информации.

Тому проблему забезпечення інформаційну безпеку вимагає комплексного підходу. Системному інженеру необхідно оцінити реальний ризик несанкціонованого доступу до інформації, і прийняти зважене рішення які з каналів витоку треба заплющувати, і які закривати не рентабельно. І тому системний інженер повинен уявляти собі, які, власне, може бути канали просочування інформації. Після цього системний інженер повинен оцінити способи закриття кожного із загальнодержавних каналів витоку. Потім, необхідно оцінити спектр коштів на закриття кожного із каналів, економічні та тимчасові характеристики цих рішень, й імовірний шкоди при реалізації несанкціонованого доступу (НСД) через одне із каналов.

Припустимо, системним інженером було виявлено канал просочування інформації А, можливу шкоду від НСД до інформації через цей канал становить $ 1 тис., а реалізація заглушки цього каналу коштуватиме $ 20 тис. Вочевидь, що захист цього каналу не рентабельна. Якщо ж НСД станеться кілька разів? Те, коли захист каналу стане рентабельной?

Таким чином, вирішення проблеми захисту необхідний всебічний підхід. Також потрібна наявність досить великій бази знань каналами просочування інформації, способам і дезінфікуючих засобів їх блокування, і чітке знання ринку готових засобів, які гарантують результат.

Також з недостатнім розвитком законодавчої бази для, багато концепції захисту ухвалені законодавчому рівні, і рекомендовані чи обов’язкові для виконання. Тому слід також розумітися на роль держави в забезпеченні інформаційної безопасности.

Розглянемо деякі аспекти і кошти забезпечення безопасности.

А, що ЕОМ могла прийняти зважене рішення, давати доступом до інформації даному суб'єкту, суб'єкт може бути ідентифікований та її ідентифікатор має визначити права суб'єкта цю інформацію. Усім відома парольний метод аутентифікації користувача. Розглянемо ситуацію: якийсь зловмисник намагається здійснити фізичний доступом до ЕОМ (скажімо, у час обіднього перерыва).

У зловмисника цілком є час у тому, аби відшукати пароль записаний задній кришці монітора, чи підібрати найпростіші паролі наудачу. Уявімо ті ж самі ситуацію, з однією відзнакою: ідентифікація користувача відбувається непомітно йому самого, наприклад, считыватель відбитків пальців, вмонтований в мишку. Відбитки пальців зловмисника буде збережено у пам’яті комп’ютера та надані потім у відділ режиму організації, а зловмисник звідси може і здогадуватися. Адже такі мишки вже существуют.

Проблема фізичного несанкціонованого доступу до інформації залишається нині досить актуальною. Іноді дешевше найняти людини, який відбере портфель у кур'єра, ніж намагатися вкрасти інформацію технологічнішим і науковим шляхом. Проте яке буде й подив злодія, що він виявить у портфелі купку попелу чи свеже-отформатированный вінчестер, оскільки якийсь датчик виявив, що портфель пішов від кур'єра більш, ніж 2 метри. Слід зазначити, що біологічне винищення інформації є невід'ємною частиною проблеми безпеки інформації, бо знищена непотрібна інформація буде постійно накопичуватися, рівні і потребуватиме дедалі більших витрат для підтримки безопасности.

Також при внутрішньокорпоративної діяльності певний обсяг інформації доводиться зберігати на ЕОМ в доступному вигляді для постійної роботи з нею, що створює канал витоку при фізичному доступі до інформації. Проте методи простого шифрування даних не зручні, оскільки що працювати з туристичною інформацією її неминуче доведеться расшифровать.

Але є методи дозволяють робити це швидко та непомітно для користувача (прозоро), отже складається враження роботи зі звичайними даними. Також є методи «гарячої «захисту критичної інформації. Уявімо ситуацію: створилася загроза фізичного доступу до інформації (наприклад, спроба вкрасти ЕОМ). І тут службовець відділу режиму натискає на спеціальну кнопку, і зловмиснику потрапляє до рук ЕОМ на якої «немає «немає інформації. А після повернення ЕОМ до нормального роботі, спеціальним ключем як брелока чи пластикової картки, вся інформація відновлюється у колишньому виде.

Проте проблема фізичного доступу до інформації перестав бути сьогоднішній день головною. Нині, Інтернет завойовує лідируючі позиції щодо комунікацій, реклами й комерції. Тому багато компаній зіштовхнулися з необхідністю, а то й використання Інтернету, так хоча б розширення чи об'єднання своєї корпоративної мережі. Однак слід зазначити, що мережа Інтернет став і прекрасної середовищем для исследователей-самоучек (хакерів). Хоча з даним статистики 80 відсотків порушень безпеки відбувається зсередини компаній, чи це це дії затаившего злість на начальство службовця, перевищення чи зневага полномочиями.

В будь-якому цьому випадку постає необхідність захистити мережу або ділянка мережі від вторгнення ззовні зберігаючи можливість доступу зсередини назовні. Для таких цілей існує міжмережевий екран. Межсетевых екранів нині розроблено безліч, і не так важко придбати них. Уперших, кожен міжмережевий екран має чесноти та вади. Удругих, необхідно грамотно налаштувати мережевий екран і супроводжувати його роботу у подальшому. І, по-третє, у вашому корпоративної мережі можуть функціонувати специфічні завдання пов’язані з родом діяльності, для котрих необхідне налаштувати міжмережевий екран спеціальним чином, що де вони заважали одне одному і одночасно перешкоджали каналів витоку информации.

Можливо, майже всі компанії вже подолали той кордон, коли корпоративна мережу обмежувалася простором одного будинку. Філії чи клієнти можуть перебувати будь-якою видаленні друг від друга. І єдиним зручним, найдоступнішим і найдешевшим засобом комунікацій став Інтернет. Відразу ж виникають проблеми захисту під час її проходження через Інтернет. Задля реалізації захищеного каналу передачі з використанням відкритих (незахищених) мереж зв’язку розробили концепція віртуальних приватних мереж (VPN).

Ця концепція включає у собі методи ідентифікації і авторизації клієнтів, аутентифікації і функцію контролю цілісності (незмінності) переданих даних, захисту переданої інформації від НСД криптографічними методами. Що забезпечує рівень безпеки достатній належала для розширення корпоративних мереж з допомогою Інтернет, в такий спосіб, Ваша компанія нічого очікувати обмежена фізичними рамками не залишиться прив’язана до географічному місцеві розташування. З допомогою технології VPN будь-яка компанія зможе виходити ринок, раніше вважався не можливим для потужностей компанії, працюючи з клієнтами через Інтернет цілком безопасно.

Отже, проблему забезпечення інформаційну безпеку стає проблемою, яку важко заплющити очі, і який одразу ж не вирішується. Внутрішньокорпоративний інформаційному обміну про оттачивался роками праці та не то, можливо так просто обмежений якимись правилами. Тут потрібен комплексний і всебічний підхід, точний аналіз політики та велика дослідницька робота з проектування комплексу заходів захисту корпоративної информации.

Потрібен досвід роботи з проектами. Нині існують фірми надають такого виду послуги. Після часу й роботи така компанія надасть Вам техніко-економічне рішення, відповідальна вашим вимогам, і побажанням за безпеку орієнтоване виключно на вашу компанію. Отож, якщо компанія вважає, що її інформація цінна, то настав час обдумати її безопасности.

Чем далі, тим більше коштів розвиток інформаційних технологій робить вкрай актуальними питання безпеки у мережах Internet/Intranet. Не так давно теми хвилювали, по більшу частину, лише корпоративних користувачів, то останні роки у зв’язки й з масовим розвитком мереж вони починають цікавити і користувачів індивідуальних (по крайнього заходу, в той час, коли вони вирішують зробити оплату через Інтернет зі допомогою банківської картки). Коли раніше загрозою номер один вважалися комп’ютерні віруси, що саме їм було присвячено переважна більшість статей у засобах масової інформації, нині першому плані виходять безпечне зберігання даних, і їх передача Мережею, захищені фінансові транcакции і конфіденційність электронно-цифровой підписи (ЭЦП). З іншого боку, поруч із цією основний проблемою, зазвичай, постають і дві інші, принципово що впливають вибір тієї чи іншої рішення, — це співвідношення ціна/якість (що з відповідністю витрат за підтримку саме тієї рівня безпеки, необхідний компанії приватній особі) і мобільність, що дозволяє користувачеві чи корпорації легко захистити все комп’ютери (зокрема портативні), які у работе.

ПАРОЛЬ І ЛОГІН Найпростіші методи аутентифікації, засновані на запровадження облікової записи (логіна) і пароля, всім добре знають і потребують окремому поданні. Очевидні й їх недоліки: поза тим що користувач змушений запам’ятовувати безліч паролів для входу у різні програми чи системи, використання пароля які вже не вважається достатньої гарантією безпеки: пароль нескладно підглянути, підібрати чи розшифрувати, коли він кодується стандартними засобами ОС. ІНФРАСТРУКТУРА ВІДКРИТИХ КЛЮЧІВ Таким кроком у забезпеченні захисту стало використання різних засобів і способів шифрування. Поширена використання Інфраструктури Відкритих Ключів (Public Key Infrastructure — PKI). Системи, засновані на PKI, генерують дві окремі ключа шифрування, несхожих, але пов’язаних між собою: відкритий (який називається також публічним) ключ, наданий всім, від когось користувач збирається отримувати зашифровані дані, і закритий (особистий) ключ, що є тільки в його власника. З допомогою закритого ключа можна створити цифрову сигнатуру, що підтверджує особистість відправника і цілісність повідомлення, а будь-який у якого відкритим ключем здатний її перевірити. Та заодно якщо відкритий ключ стає відомий зловмисникам, вона виявляється непотрібний, оскільки з його за допомогою можна провести лише шифровку повідомлення, а дешифрування неможлива без особистого ключа Однако зберігання ключів шифрування на жорстких дисках комп’ютерів стає додатковим чинником ризику, оскільки піддає їх на небезпеку копіювання з наступними спробами добору парольної фрази й отримання несанкціонованого доступу до ключам. Отже, хоча PKI і забезпечує як аутентификацию, а й захист інформації, її використання самих лише на програмному рівні викликає чимало побоювань. БІОМЕТРІЯ Саме це змусило шукати вихід з кінця програмних і апаратних коштів. З цією організацій, яким годі завдання кодування інформації, ряд виробників пропонує звернутися до такого перевіреному часом способу виконання завдання, як біометрія, коли ідентифікатор користувача завжди знаходиться за нього і немає необхідності тримати у пам’яті логины і паролі. Варіанти використання биометрии дуже різні: аутентификация, залежно не від системи, проводиться у разі геометрії руками і особи, райдужною оболонці і сітківці очі, клавиатурному почерку і підпису. Активно ведуться розробки та у сфері голосової аутентифікації. Так, скажімо, VeriVoice Security Lock компанії VeriVoice дозволяє одного разу зареєструвавши протягом трьох хвилин певну серію фраз, виголошуваних користувачем, надалі протягом кількох секунд виробляти аутентификацию з допомогою приєднаного до персонального комп’ютера мікрофона чи через телефонну лінію. Коли раніше основний проблемою аналогічних систем була точність розпізнавання, то час головною перешкодою їхнього впровадження служать ситуації, коли голос користувача змінюється із незалежних від цього причин (наприклад, при застуду). Більше поширена контроль доступу до системи за відбитками пальців. Спеціальні миші і клавіатури зчитують відбитки пальців користувача і передають інформацію встановленому за комп’ютером програмному забезпеченню. Зовні рішення має досить красиво, проте містить у собі чимале кількість підводних каменів. Насамперед, користувач виявляється прив’язаний до мишкам і клавиатурам конкретних виробників, які зовсім який завжди влаштовують його за якості, дизайну і зручності у роботі. Крім того і не секрет, що ці устрою першими ламаються і потребують заміни набагато частіше, ніж компоненти всередині системного блоку чи інша комп’ютерна периферія. Саме це випадок компанії поставляють окремі сканери із залученням до USB, PS/2 і рівнобіжному порту, але на робочому столі з’являється додаткове пристрій, під що слід виділити місце. З іншого боку, даний метод аутентифікації викликає зрозумілу настороженість люди, хто хоче, щоб їх відбитки пальців зберігалися в компанії. До того ж, як свідчить практика, можливо використання хибних відбитків на негативів; екрани і поверхні таких пристроїв вимагають частої очищення й за інтенсивної експлуатації можуть породити чималі проблеми. І, нарешті, майже головний мінус биометрии — вона виконує лише завдання аутентифікації користувача, проте очевидно, що вона може звільнити від інших проблем — від конфіденційності ЭЦП до застосування різних методів шифрування у мережах. Отже, переходячи на биометрию, компанія вирішує лише один завдання (і, додамо, не найдешевшим способом) і нерідко виступає змушена встановлення додаткових системи безпеки. СМАРТКАРТЫ Більше універсальним ми вважаємо інший варіант — використання смарткарт (інтелектуальних карт). Їх основне зручність залежить від портативності і широкий спектр функцій, що дозволяє компанії, обравши цю технологію, поступово добудовувати необхідні компоненти захисту у залежність від поточних потреб. У цьому вийде відчувати тих складнощів, які, скажімо, виникають при простому використанні систем, заснованих на виключно PKI. Смарткарты забезпечують двухфакторную аутентификацию при доступі до захищеною ресурсів і виступають сховищ будь-який секретної інформації - від закритих ключів (наприклад, від використання в системах аутентифікації для LAN, WAN і VPN) до цифрових сертифікатів, — роблячи мобільної і не піддаючи загрозу копіювання, як може коїтися з даними, розташованими на жорсткому диску. Відповідно, їх можна використовуватиме шифрування даних, і листування, захисту програмного забезпечення (зокрема, від внесення програмних «закладок «і «логічних бомб »), ідентифікації що у мережу чи сайти Internet/Intranet запитів, доповнення поштового зв’язку чи трансакції цифровий підписом. Як приклад можна навести випущену компанією Orga лінійку смарткарт Micardo — Standard, Public і Dual — з пам’яттю EEPROM від 4 до 32 Кбайт, від 32 до 64 Кбайт ROM і криптоконтроллером (залежно від моделі). Orga також поставляє спеціальний MICARDO Software Development Kit, який би розробників інструментами для інтегрування технології у різний програмне забезпечення. Проте перехід на смарткарты неможливий без придбання спеціальних считывающих пристроїв й оснащення ними всіх комп’ютерів, у яких ведеться роботу з захищеними даними. Хоча вітчизняному ринку дешеві що зчитують устрою можна знайти за $ 40, можна буде заплатити більше, але придбати якісне пристрій відомого виробника, здатне працювати з різними типами смарткарт (з пам’яттю, захищеної пам’яттю, мікропроцесорних, криптографічних), з кількома картами одночасно, надає можливість дистанційного перепрограмування і завантаження нових версій микрокода з допомогою перезаписываемой EEPROM-памяти. Такий варіант обійдеться компанії дорожче $ 100, а клавіатури зі умонтованими сматркарт-ридерами зазвичай потрапляють у цінової діапазон понад $ 150. Проте низку західних компаній пропонує рішення з урахуванням смарткарт як стандартних, поставляючи що зчитують устрою з новими моделями комп’ютерів. Так, Smart Credit Card Internet Keyboard додається до настільним комп’ютерів марки Presario 5000 і позиціонується, під час першого чергу, як продукт задля забезпечення безпечних платежів з банківським картам у межах електронну комерцію (відзначимо, у Росії на цей час лише починають реалізовуватися проекти переходу на чіпові пластикові карти міжнародних платіжних систем). У той самий час технологія смарткарт також має, з погляду, двома головними вадами. По-перше, вона щодо шлях у використанні, що обертається чималі кошти при оснащенні считывающими пристроями всіх комп’ютерів корпорації. У ситуаціях, коли це неминуче (наприклад, при необхідності зчитувати дані з пластикових карток), ідея представляється виправданою, та якщо забезпечення безпеки корпоративних даних єдина завданням, можна буде звернутися до інших рішенням. По-друге, хоча рішення з урахуванням карт PCMCIA існують, де вони занадто звеселять користувачів мобільних комп’ютерів як за ціною, і за зручністю у роботі. eToken Нині існує гідна альтернатива смарткартам — більш зручна технологія електронних ключів, виконаних вигляді брелока і з розміру порівнянні з ключами від оселі. Конкретні параметри устрою залежить від моделі ключа; наприклад, eToken R2 компанії Aladdin має до 64 Кбайт енергонезалежної пам’яті і вбудований криптопроцессор, який реалізує алгоритм симетричного шифрування DES-X зі 120-битным ключем. У цьому у користувача чи корпорації є у розпорядженні неабиякий асортимент програмного забезпечення, і багато рішень, заснованих на виключно використанні паролів, цифрових сертифікатів, ЭЦП, шифруванні даних, успішно працюють із електронними ключами. Той-таки eToken підтримує роботу в архітектурі Microsoft CryptoKey з допомогою інтерфейсу MS Crypto АПІ через CSP (Crypto Service Provider) і X.509 до роботи з цифровими сертифікатами. Якщо інтернет-бізнесу компанії необхідно використання Digital Signature Trust (DST) та на цифрових сертифікатів TrustID, їх нескладно завантажити в eToken через Internet Explorer чи Netscape. Задля більшої безпеки електронної пошти з допомогою RSA-KEON, підтримує PKI, сертифікати ключі для шифрування і підпису повідомлень також зберігаються у eToken й закони використовують в Microsoft Outlook, Outlook Express і Netscape Messenger. Отже, електронні ключі підійдуть як тим, хто використовує спеціалізоване програмне забезпечення. Наприклад, в Windows 2000 і Windows XP їх підтримка вже її вмонтовано спочатку. Один із рішень Aladdin забезпечує захищений вхід до мережі з допомогою розширення PKINIT протоколу Kerberos версії 5. Воно дозволяє вживати сертифікат відкритого ключа замість пароля у процесі початковій аутентифікації. Бо за аутентифікації між центром сертифікації і eToken відбувається обмін даними, які є секретними і котрі представляють цінності для зловмисників, той процес абсолютно захищений. Електронні ключі видалися мало не більш зручні, що їх підключення не вимагають жодних додаткових спеціальних пристроїв: ключ безпосередньо вставляється до порту USB, яким оснащені майже все комп’ютери, випущені останніми роками. Підтримується і можливість «гарячого підключення «(hot plug), що дозволяє під'єднати і від'єднати ключ без вимикання системи. Проте чи існує універсальних рішень: якщо в вас старий комп’ютер без порту USB, ви все-таки зіштовхнетеся з проблемою під час використання пристроїв від Aladdin. Підбиваючи підсумки, слід зазначити, що у сьогодні основними конкуруючими рішеннями є розробки з урахуванням смарткарт і електронних ключів. Але до того часу, доки станеться істотне зниження вартості даних пристроїв і де вони перетворяться на так само стандартне пристрій для персональних комп’ютерів, як, скажімо, CD-приводы чи дисководи, труднощів нам неминуче. Як приклад можна розгледіти брелок російського виробника Aladdin. Принцип роботи устрою дуже проста: мікросхема пам’яті брелока є енергонезалежної, й у неї можна записати до 30 тис. байт абсолютно будь-який інформації, зокрема захищеної паролем. Саме пристрій поставляється з SDK, завдяки чому будь-який програміст може сам написати програму, яка шифровать/дешифровать з допомогою брелока і з пам’яттю устрою. Максимум пам’яті, що може бути «на борту «брелока, не перевищує лише 64 Кбайт, проте до зберігання паролів і шифрів цього вельми досить. Простіша версія брелока, eToken R2, має апаратно реалізований алгоритм шифрування DESX з ключем 120 біт. Друга версія, eToken PRO, додатково оснащена чіпом смарткарты, який апаратно реалізує алгоритми шифрування RSA/1024, 3DES (TripleDES), SHA-1, MD5 і генератор особистих (Private) ключів, будь-коли які покидають чіп. Внутрішня побудова Попри усі чесноти, найцікавішим моментом виявилася внутрішня файлова система брелока. Система Siemens CardOS/M4 дозволяє створювати структури будь-якого рівня вкладеності та практично не відрізняється від звичного FAT. Працювати із нею можна з допомогою спеціальної програми, яка мало чому відрізняється від провідника Windows. Захист Для захисту файлів і директорій можна використовувати паролі, які запам’ятовуються в брелке, причому над явному вигляді у будь-якої прихованої області пам’яті, а вигляді 16-байтного хэша, отриманого внаслідок DESXперетворення. З цією пов’язано ще одне, щоправда, мені особисто дуже спірне, гідність. Якщо користувач забув пароль, то брелок можна просто викинути — без пароля ніякої користь від нього немає, хіба що фахівцям-філологам тішить очей. eToken R2 не має механізмом блокування невдалих звернень, і, відповідно, будь-коли блокується, хоч би скільки знову вводився неправильний PIN-код. Але щоб життя медом не здавалася й утворився звичайний перебір модифікованим John the Ripper чи аналогічної програмою був неможливий, після кожного неправильного введення PIN-кода встановлено затримка один секунду.

СМЕРШ ДЛЯ КОМП’ЮТЕРА У Інтернеті занадто багато бажаючих ознайомитися з вмістом вашого комп’ютера. Шляхи і силові методи такого проникнення можуть бути різними, але мета одна — шпигунство. І тому існують різноманітні программы-шпионы, які ми часто отримуємо як доважка до корисним і поширеним утилітам. Наприклад, є низку дуже корисних утиліт, які широко застосовуються більшістю користувачів (як приватних, і корпоративних), які знають про подвійний життя їхнього улюбленого софту. Річ у тім, що це програми відрізняються нездоровим інтересом до комп’ютера, на якому встановлено. Цим грішать, наприклад, деякі версії таких популярних програм, як CuteFTP, GetRight, GolZilla, Net Sonic і з інші. Вони часто-густо містять шпигунські модулі (spyware). Найвідоміші такі spyware, як Aureate, Cydoor, DoubleQick, EverAd, OnFlow і WebSOOO. Найчастіше шпигунські модулі потрапляють на ваш комп’ютер через програми типу adware, тому їх ще називають spyware рекламного типа.

Конечно, рекламний тип шпигунських програм щодо безпечний, але з тих не менш неприємно, що це програми своєю практикою потихеньку збирають конфіденційну інформації і передають її або на сайт розробника, або ще кудись. Бажаючі можуть у цьому наочно переконатися, використовуючи спеціальні кошти защиты.

Однако є й інші види spyware. Найнебезпечнішим типом spyware є звані програми для тотального стеження за вашим комп’ютером (наприклад, Y3K, Spektor, AgentSpy тощо. п.). Вони пробираються на ваш комп’ютер найрізноманітнішими шляхами і дуже вміло маскуються, те щоб бути абсолютно непомітними для користувача. Діють вони, природно, теж афішуючи своєї присутності. Їх мета — запис абсолютно всього, що відбувається вашому комп’ютері: створення «миттєвих знімків «екрана, фіксування послідовності натискання клавіш на клавіатурі, перехоплювання паролів для доступу до Інтернету чи номерів кредитних карток тощо. буд. тощо. п. З іншого боку, деякі програми цього можуть записы-вать те що відбувається вашому комп’ютері на відео. Є різноманітні засоби захисту від шпигунського софту. Зрозуміло, що найпростіший спосіб — взагалі підключатися до Інтернету. Але це крайній захід. Можна ще встановити комп’ютері программу-firewall, і спати спокійно. Але такий підхід Демшевського не дозволяє детектувати існування самих шпигунських програм, у вашої системі. Проблематично також, що він захистить вас від шкідливої роботи вже проникли у ваше систему і добре замаскировавшихся шпигунських модулів. Саме з здобуття права знайти непрошених гостей вашому комп’ютері у ранній стадії розвитку та, природно, захистити себе від своїх роботи, призначені спеціальні антишпионские программы.

Кто любить знати про вас все? Я виніс це питання заголовок задля дотепу. Адже всі частіше з’ясовується, що інформацію про користувачів хочуть отримати не напівбожевільні хакеры-одиночки задоволення своїх амбіцій, а серйозні фірми і державні організації. Та й у насправді - велика чи вигода одинокому полуночнику від цього, що він дізнався, наскільки часто ви заходите на Napster і які музичні файли скачуєте? Тим більше що, Windows Media Player 8, намертво вплавленный у складі Windows XP, збирає інформацію про файлах, які програвалися у ньому. Понад те, при закачивании файлів, проигрываемых з її допомогою, програма передає на сайт (але це сайт, приналежний Microsoft) ідентифікаційний номер користувача. Погодьтеся, що така інформація може бути корисною багатьом компаніям, наприклад звукозаписувальним чи продюсерським. І все добре, лише чомусь Microsoft вирішила попереджати користувачів про такий своєрідному поведінці програми тільки тоді, як на адресу компанії направили запит від Associated Press. Подібним підвищеним інтересом до користувачам комп’ютерів відрізняються не лише окремі фірми, а й державних установ. Так, серед покупців програми Investigator значиться Федеральне Бюро Розслідувань. Кажуть, що ФБР використав цієї програму щоб упіймати російських хакерів в Сіетлі. А дозволяє Investigator не майже не відстежувати та записувати всі дії, скоєних користувачем, до передачі хазяїну програми всього, введеного з клавіатури. Останню версію програми дозволяє робити скріншоти користувальницького екрана, знімки webкамер, відстежувати спілкування в чатах. Взагалі, програма Investigator є класичний приклад того, як можна перекрутити спочатку хорошу думку. Спочатку програма замислювалась як інструмент на допомогу пошуку і виправлення помилок за іншими додатках. Але популярність вона викликала саме як программа-шпион. Саме у цьому напрямі він і став у подальшому її розвивати. Зараз написання статті число проданих копій перевищила 200 тисяч. Постає запитання у тому, хто ці копії використовує і яку інформацію про чужих комп’ютерах собирает?

А. Амеличев «СМЕРШ ДЛЯ КОМП’ЮТЕРА «Chip травень 2002.

С. Воронов «ВІРТУАЛЬНА БЕЗПЕКА «Chip, січень 2002.

«Информационная безпеку. Як багато у цьому звуке…"-ЗАО «НПП «БІТ «.

М. Мамаїв, З. Петренко «WORLD WILD WEB АБО ДИКА ПАВУТИННЯ» Chip, січень 2002.

Д. Солошенко «НІЖ ЗАГРОЖУЄ ЗОВНІШНІЙ ВОРОГ» Chip, липень 2002.

За матеріалами интернета:

Sec.RuІнформаційний сервер по безопасности Библиотека Інформаційній Безпекиinternet.