Содержание
I. Что нам угрожает
II. Как нам защититься
Введение
Internet и информационная безопасность несовместимы по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время объединяет и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования. Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность. Однако, несмотря ни на что, число пользователей Всемирной Паутины удваивается чуть ли не ежегодно, и такими же темпами идет всеобщее снижение информационной безопасности –как для рядовых пользователей, так и для администраторов сетей и т.п. Каждый божий день мы слышим о все новых и новых кознях хакеров, фиксируем появление новых вирусов. Так что о защите подумать не помешает. Но прежде все-таки надо узнать, от чего именно мы будем защищаться. Так что пересчитаем и поименуем имеющуюся «полосатую нечисть».
I. Что нам угрожает
Вирусы
Вот этот враг вполне реален и грозен, и именно вирусные козни становятся причиной доброй половины неприятностей у активных «сетевиков». Даром что способы их распространения и любимые пакости уже давно вызубрены наизусть — благодаря той же прессе. И все-таки то один, то другой пользователь клюет на заброшенную ими удочку, несмотря на нагло торчащий крючок.
Переносчиками вирусов часто являются сообщения электронной почты, содержащие вложенные файлы. Зараза может проникнуть в компьютер либо через программы (то есть исполняемые файлы с расширением *.ехе или *.соm), либо через документы MicrosoftOffice, которые могут содержать вредоносные участки кода. Со стороны картинок или звуковых файлов нам никакая неприятность грозить вроде бы не может. А потому мы часто, раскопав нежданно-негаданно в почтовом ящике письмо с прикрепленной к нему, (судя по имени файла и расширению) картинкой, тут же радостно ее запускаем… И обнаруживаем, под личиной картинки скрывался вредоносный вирусный «скрипт». Хорошо еще, если обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.
Хитрость создателей вируса проста — файл, который показался нам картинкой, имел двойное расширение! Например
AnnaCournikova.jpg.vbs
Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbsWindows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя
AnnaCournikova.jpg
Если вы работали с Проводником Windows, то должны помнить, что именно так система поступает со всеми зарегистрированными типами файлов: разрешение отбрасывается, а о типе файла должен свидетельствовать его значок. На который, увы, мы редко обращаем внимание.
Хороша ловушка?
Кстати, в качестве примера взят совершенно реальный вирус «Анна Курникова», атаковавший Россию в феврале 2001 года. А за год до этого точно так же «наколол» весь мир уже легендарный вирус ILoveYou, замаскированный под простой текстовый файл. Итог — от 30 до 80 (!) процентов (в зависимости от страны) пораженных и выведенных из строя ПК. Впрочем, совершенно необязательно, что вирусы сочтут нужным маскироваться. Иногда ехе-файлы «вложены» в письмо совершенно открыто. И, казалось бы, тут уже и дураку понятно, что речь идет о вирусной атаке (в особенности если письмо пришло от незнакомого вам человека). Однако и эти программы с охотой запускаются пользователями — одним из них коварные вирусописатели обещают продемонстрировать неизъяснимой красоты картинки (что, кстати, и делают), другим сулят программу для «взлома» Интернет, третьим представляются обновлением к популярной программе. Способов запудрить пользователю мозги немало. А ведь бывает и так, что зараженный файл со спокойной совестью посылает вам друг или знакомый… Наконец, вирусы вы можете заполучить вместе с самими программами — особенно в том случае, если вы скачиваете их с неизвестных вам серверов.
Последствия от работы вируса могут быть разными — от полного уничтожения содержимого винчестера до порчи определенных типов файлов. В любом случае, удовольствия от общения с ними вы не получите.
Способ же справиться с этой напастью только один, и он вам прекрасно известен: хорошая антивирусная программа. Со свежими, обновляемыми не реже раза в неделю, антивирусными базами. И даже в этом случае особо подозрительные письма стоит удалять, не пытаясь попробовать на вкус их таинственную «начинку».
«Троянские программы»
Вообще-то эти программы названы «троянцами» лишь по недоразумению — ведь в гомеровской «Одиссее» не они, а их враги данайцы сделали свое черное дело, проникнув в осажденный город в чреве деревянного коня. Но хитрые соплеменники Одиссея выкрутились и на этот раз, возложив сомнительные «лавры» на головы многострадальных обитателей Трои.
Вор-джентльмен типа Арсена Люпена с удовольствием признал бы авторов этих программ своими наследниками. Схожие с вирусами по принципу действия, «троянцы» работают куда более изящно и тонко. Они не станут вести себя подобно слону в посудной лавке, а тихо и незаметно умыкнут ваш логин и пароль для доступа в Интернет, а заодно и к электронной почте. Решайте сами, что страшнее.
Простые «троянцы» распространяются теми же способами, что и их коллеги-вирусы — в виде скрытых вложений в электронные письма. Но это, право, не высший пилотаж для жуликов такого высокого полета! Куда более изящно, подобно эдакому программному Хлестакову, втереться в почтенное общество под чужой личиной. Например, в виде услужливой и необычайно полезной программки, позволяющей ускорить передачу данных по вашему каналу в сотню-другую раз. Или в виде умелого оптимизатора всей системы. Наконец, в виде того же антивируса. Который, кстати, и в этом случае поможет вам обезвредить нахалов — если этот антивирус настоящий и достаточно свежий.
Помните только, что украсть пароль можно не только с вашего компьютера, но и с сервера вашего провайдера — и именно так в большинстве случаев и происходит. Поэтому имеет смысл регулярно (хотя бы раз в месяц) менять пароль, делая бесполезными усилия «троянцев» и их создателей.
Но существуют еще и «троянцы», которые проживают на нашем компьютере вполне легально. Их взяли в союзники производители программного обеспечения, «поселив» их в своих программах категории adware или freeware. Правда, этих «джентльменов удачи» обучили толике хороших манер — теперь они уже не воруют пароли, а работают «подсадными утками», исправно оповещая производителей программ о ваших действиях: куда вы ходите, что ищете, какие сайты предпочитаете. А те в ответ радуют вас хорошей порцией рекламы...
Для борьбы с троянцами прибегают к услугам программы Ad-Aware(http://www.lavasoft . d e), которая позволяет вычистить из компьютера всю рекламно-шпионскую нечисть, не нарушая при этом работоспособности программ-носителей. Бывают, конечно, и исключения — так, популярный менеджер докачки Go'.Zilla после удаления «троянской» начинки работать отказывается, а вот его коллеги GetRight и FlashGet более покладисты.
Помните только, что Ad-aware умеет бороться только с «легальными» «троянцами» — против обычных вирусов и парольных воров она беззащитна. А значит, запускать эту программу нужно не вместо, а вместе с обычным антивирусом.
«Скрипты-убийцы»
До сих пор мы говорили о программах, которые пакостят изнутри, свивая себе гнездо в уютном и просторном брюхе нашего ПК. Однако при работе в Интернет вам могут встретиться и враги пострашнее, которые будут проламывать оборону компьютера извне.
Нет, речь идет не о хакерах, а пока что только о созданных ими микропрограммах, которые запускаются вместе с открываемыми нами Web-страницами. Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и так далее) не является криминалом — большинство из них вполне мирно трудится, делая страничку более привлекательной для глаза или более удобной. Чат, гостевая книга, система голосования, счетчик — всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обосновано — они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором вашей мышки.
Удобство удобствами, но не стоит забывать, все эти апплеты и скрипты — самые настоящие, полноценные программы. Причем многие из них запускаются и работают не где-то там, в «прекрасном далеко», на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вредоносную начинку, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны — от простой кражи пароля до форматирования жесткого диска.
Еще одна разновидность вредоносных скриптов — многочисленные рекламные окна, которые заполоняют экран вашего монитора после открытия одной-единственной странички. Таким образом, создатель сайта зарабатывает себе на хлеб с толстым слоем икорочки — за счет вашего времени и нервов. Справиться с ливнем окон сложно — на месте одного закрытого тут же выскакивают два новых — и пользователю приходится попотеть, чтобы остановить, наконец, это рекламное безобразие. Относительно безобидно, но до ужаса неприятно… Функция блокирования всплывающих окон появилась у InternetExplorer с выходом пакета обновления ServicePack 2 для WindowsXP.
Разумеется, со «скриптами-убийцами» вам придется сталкиваться во стократ реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.
Взглянем на настройки InternetExplorer — а именно в меню «Сервис/Свойства обозревателя/Безопасность». Здесь нам предлагается несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет) мы можем усилить (зона Ограничить) или ослабить свою бдительность (зона Надежные узлы). Нажав же кнопку «Другой» мы можем вручную отрегулировать защиту браузера, разрешив или запретив работу различных «активных элементов» страничек.
Хотя в системе безопасности того же InternetExplorer полно «дырок», которыми и могут воспользоваться злоумышленники, при грамотном использовании вы застрахуете себя от большинства неприятных неожиданностей. Скажем, входя на сомнительный «хакерский» сайт, защиту можно и усилить.
Атаки через порты
В этом случае нашими противниками станут уже не только тупые программы, но и их человеческие придатки в виде тех самых хакеров. И атаковать нас будут уже не через посредство браузера, а напрямую, через специальные каналы доступа — порты… Одни из них открыты только на «вход», другие — на «выход» информации, а третьи допускают и двустороннюю передачу данных. Ведь мы же не только скачиваем информацию из сети — порой нам приходится и отправлять туда информацию в виде команд или данных.
А значит, через один из портов любой желающий теоретически может проникнуть в самое сердце компьютера и получить над ним полный контроль. Конечно, просто так, наобум, ломиться в.любой попавшийся логический порт бесполезно — атаки на большинство их них успешно отражается самой операционной системой. Однако портов слишком много — десятки тысяч! И уж в одном из них обязательно отыщется желаемая «дырочка»...
Кандидат на «взлом» может быть выбран как случайно, так и намеренно — достаточно лишь отследить момент, когда нужный вам пользователь войдет в сеть. Именно поэтому в качестве дополнительного «орудия производства» многие хакеры используют популярные программы мгновенного обмена сообщениями — например, описанную выше ICQ. Ведь она не только может проинформировать злоумышленника о присутствии его «клиента» в Сети, но и поможет узнать его текущий IP-адрес. А заодно, за счет своей слабой защищенности, и предоставит канал для «взлома». «Сев на хвост» нужному компьютеру, хакер начинает незаметно для вас сканировать порты с помощью специальной программы. И, найдя открытые для доступа, начинает разбойничать в стиле уже знакомых нам вируса или «троянца». Разновидностью этих атак является хорошо знакомое пользователям IRC «нюканье» (nuke), в процессе которого хитроумный пользователь может легко «подвесить» компьютер излишне нахального или просто неприятного собеседника, послав на него особый пакет данных. Это, конечно, не форматирование диска… Но и перезагрузка компьютера в разгар работы — не самое приятное в жизни событие...
Защититься от подобных атак традиционными способами уже не получится. Антивирус бессилен — не по его это специальности, да и встроенная защита Windows пасует. Значит, нам не обойтись без специальной программы, которая возьмет за себя контроль за всеми портами и сможет оперативно оповестить вас об атаке. А то и просто отразить ее. Проще всего защититься от «нюканья» — для этого создано множество программ типа NukeNabber или AntiNuke, которые можно найти на любом сервере с бесплатным программным обеспечением. В качестве же стража портов придется подобрать программу посолиднее, относящуюся к классу фейрволлов (firewall) или брандмауэров. О них, впрочем, речь впереди.
II. Как нам защититься
Программы для обеспечения безопасности в Интернет
Итак, фейрволлы. В переводе на русский это значит — «огненная стена». Смысл названия двоякий — во-первых, преодолеть сплошную стену огня невозможно, если только ты не пожарник-профессионал. А с другой стороны, название это напоминает о хорошо известном способе тушения лесных и степных пожаров — навстречу надвигающейся огненной лавине пожарники пускали вторую, специально поджигая лес. Две огненные стены встречались — и в мгновение ока уничтожали друг друга.
Точно так же работают и компьютерные фейрволлы, защищая наш компьютер от проникновения заразы извне. Непреодолимой стеной встают они на пути разрушающих программ и скриптов, а атаке через порты противостоят, пользуясь оружием самих нападающих — сканируя порты доступа.
Обнаружив попытку несанкционированного проникновения в ваш компьютер, программа может просто подать сигнал тревоги, а может сразу заблокировать доступ подкапывающемуся под вас «кроту». Это — основная функция всех программ данного класса, к которой, в зависимости от сложности продукта, добавлено еще множество других, более или менее нужных.
Знакомство с фейрволлами стоит начать, без сомнения, с самой простой программы — ZoneAlarm (rfttp :// www . zonelabs . com ). Простота, простота и еще раз простота — вот девиз создателей этого продукта.
При работе с базовой, бесплатной версией программы от вас требуется всего лишь отрегулировать требуемый уровень безопасности — «слабый», «обычный» или «высший». После этой безумно сложной процедуры программа мирно свернется в значок в правом нижнем углу экрана, давая о себе знать лишь в тот момент, когда какая-то программа затребует разрешить ей доступ в сеть. Если это будет, к примеру, браузер или клиент электронной почты — все в порядке: смело давайте ZoneAlarm команду на разрешение доступа, и в дальнейшем она уже не будет вас беспокоить по столь пустяковому поводу. Но если вы видите, что в сеть рвется совершенно посторонняя программа… что ж, возможно, имеет смысл воздвигнуть на ее пути заслон. Кстати, при помощи ZoneAlarm можно не просто «окоротить» отдельную программу, но и мгновенно «заморозить» весь поток данных, льющийся от вашего компьютера в сеть и обратно. Для тех программ, которым по своей природе можно и даже нужно регулярно лазить в сеть, ZoneAlarm использует уникальный, присущий только ему механизм шифрованной подписи, что позволяет выявить маскирующихся под полезные программы «троянцев». Этим во многом и объясняется высокая эффективность программы при борьбе с этим классом заразы. Заодно ZoneAlarm надежно защитит вас от попыток «нюкнуть» ваш компьютер или просканировать порты.
Но простота и бесплатность, простите за каламбур, не дается даром: ZoneAlarm вряд дли справится с вирусной атакой или «скриптами-убийцами», не спасет он и от рекламных окон. Поэтому, познакомившись на его примере с алгоритмом работы фейрволлов, стоит поискать продукт классом повыше. Часть этих функций (например, антивирусная защита, а также механизм защиты и шифрования системных паролей) реализована в профессиональной, платной версии программы — ZoneAlarmPro, за пользование которой придется выложить около 40 долл.
Одним из событий последних лет, безусловно, стал выход целого семейства программ корпорации Symantec, относящихся к категории «персональных фейрволлов». Аименно — Norton Personal Firewall, Norton Internet Security Personal Edition и Norton Internet Security Family Edition.
Но идеальной для большинства пользователей большинство специалистов считает фейрволл Outpost, созданный российской компанией Agnitum(http :// outpost . agnitum . com ).
Установочный комплект Outpost занимает всего полтора мегабайта — в 25 раз меньше, чем NIS! При этом по своим умениям отечественная программа не только не уступает, но и превосходит своего именитого коллегу:
• Блокировка активных элементов в e-mail.
• Блокировка атак и сканирования.
• Поддержка невидимого режима.
• Уменьшение времени соединения с удаленным узлом за счет кэширования DNS.
Это лишь несколько функций, отсутствующих в громоздком NIS, но имеющихся в арсенале скромного и юркого Outpost. В остальном же способности этих программ практически идентичны, если не считать отсутствия в Outpost встроенного антивируса, который с успехом может заменить отечественный Kaspersky. А вот русскоязычный интерфейс при обилии настроек придется как нельзя кстати — без него новичкам было бы трудновато разобраться с программой.
Дабы не повторяться, приведем лишь краткий список возможностей Outpost в том виде, в котором его представили сами разработчики:
• Выбор нескольких вариантов политики работы, в том числе «блокировать все» и «самообучающий режим».
• Поддержка нескольких конфигураций / пользователей.
• Защита настроек паролями.
• Возможность скрытой работы без загрузки интерфейса.
• Поддержка локальной сети и доверенных узлов.
• Предустановленные настройки для большинства программ и системной сетевой активности.
• Утилита онлайн-обновления.
• Блокировка рекламы.
• Уменьшение времени соединения с удаленным узлом.
• Блокировка активных элементов Web-страниц.
• Контроль содержимого Web-страниц.
• Контроль за приходящими по почте или через Web файлами.
• Определение сканирования и удаленных атак.
• 100 % невидимый режим (не отвечает на пинги и не выдает portunreachable).
Как и в случае с другими фейрволлами, оптимальным режимом работы Outpost является «обучающий» — программа будет регулярно спрашивать вас, разрешить или нет доступ к Сети тому или иному приложению. При однозначном ответе «Да» в дальнейшем Outpost не будет мучить вас вопросами, однако можно разрешить лишь однократный допуск приложения к заветному каналу, оставив окончательное решение ее судьбы на потом. Помимо обучающего режима, существует еще два — «Разрешать все» (соединяться с Интернет разрешено будет любым программам, за исключением специально внесенных в «черный список») и «Запрещать все» (блокируется доступ к Сети любых программ, за исключением внесенных в «белый список»). Выбирайте и пользуйтесь!
Столь смело рекомендовать Outpost в качестве идеального домашнего фейрволла автору позволяет еще и то, что программа это абсолютно бесплатна! И это при том, что по своим способностям этот продукт оставляет далеко позади как бесплатный ZonaAlarm, так и большинство своих дорогостоящих конкурентов.
Встроенный фейрволл (брендмауэр) появился в ОС WindowsXP с выходом пакета обновления ServicePack 2.
Безопасность финансовых операций в Интернет
Не подвергая никакому сомнению удобство покупок в Интернет-магазинах, я настоятельно предупреждаю: будьте бдительны! Ибо в том случае, когда вы вбиваете в форму на страничке свои конфиденциальные данные (самое главное — номер кредитной карточки), вы ставите под удар уже не компьютер, а содержимое своего кошелька...
Выкрасть номер у многих нерадивых продавцов проще простого, а благодаря ему злоумышленники смогут легко опустошить до дна ваш банковский счет. Только не надо думать, что подобная судьба может ожидать лишь ротозеев — в начале 2001 года стало известно, что и сам Билл Гейтс ухитрился где-то «засветить» драгоценный номер, выдавленный на принадлежащем ему изящном кусочке пластика...
Предупредить это прискорбное событие можно только строго соблюдая три простых правила:
Не доверяйте номер вашей кредитки незнакомым и сомнительным сайтам! Пользуйтесь только проверенными магазинами с хорошей репутацией. Не поддавайтесь на провокации сомнительных сайтов, которые просят номер вашей кредитки в качестве пароля для входа на них — мол, таким образом проверяется, достигли вы совершеннолетия или нет. Не пересылайте номер кредитки по электронной почте без использования специальных алгоритмов шифрования!
Даже пользуясь проверенными сайтами, заполняйте все формы и бланки только в режиме защищенного соединения — на этот счет на сайте должны быть опубликованы соответствующие инструкции.
Не держите все яйца в одной корзине! Выделите для операций в Сети отдельную пластиковую карту и счет, на котором будет лишь небольшая сумма (30—50 долл.). В конце концов, пополнить счет для крупной покупки никогда не поздно, а в случае «провала» ваш ущерб будет не слишком велик.
Конфиденциальность и безопасность при Web -серфинге
Атаки, мелкие и крупные пакости в ваш адрес — все это раздражает и портит настроение. Но порой куда чаще выводит из себя… обычное наблюдение за твоими действиями. Неустанное и неусыпное. Не прерывающееся ни на секунду...
Ученые говорят, что отсутствие хоть толики уединения, приватности способно свести человека с ума в самые короткие сроки. Вспомним страдания героя Джима Керри в фильме «Шоу Трумена» — а ведь с парнем-то и не делали ничего страшного, не пытали и «Маски-шоу» на дому не устраивали. Просто — наблюдали...
Не будем сгущать краски. С ума никто из нас, конечно, сводить не собирается… Но время от времени возникает в сознании навязчивый вопрос: «А не контролируют ли мои путешествия по Сети?» Неважно кто — начальство, коллеги по работе или любимые всеми фибрами тела домашние. Неважно, по какой причине — начальству или службе безопасности на работе это по должности положено, и в большинстве западных компаний такая слежка в порядке вещей. Неважно и то, что ничего противозаконного вы можете и не делать — по неприличным сайтам не шатаетесь, наркотиками в Сети не торгуете...
Словом, несмотря ни на что, любой человек хочет обеспечить себе «зону интимности» — и это его законное право. Тем более, что сделать это не так уж и трудно.
Известно, что ваши путешествия по Веб-страничкам могут фиксироваться как самим браузером, так и внешними программами — например, «гейтом» или «фейрволлом», через который подключена к Интернет локальная сеть вашего дома или фирмы. В первом случае ваш «маршрут» фиксируется:
•В «Журнале». Эта папка InternetExplorer не раз выручала нас в те моменты, когда мы не могли вспомнить адрес случайно найденной накануне Web-странички, услужливо предлагая нам списоксайтов, посещенных аж в течение месяца. Но подобная услужливость может стать и помехой — если свой маршрут можете отследить вы, так же легко это смогут сделать и ваши близкие. И просто любопытствующие.
•В «кэше» браузера на жестком диске, где остаются лежать открытыевами странички. Правда, содержимое кэша активно меняется —при превышении заранее заданного размера сохраненные странички удаляются, освобождая место для следующей порции «отвалов».Однако нередко из кэша можно извлечь информацию о сайте, который вы посещали месяца полтора назад.
•Впапке Cookies (C:\Windows\Cookies). Файлы cookies («пирожки») сохраняют на вашем диске многие Интернет-страницы. Сохраняют, в общем-то, с благими целями: благодаря «пирожкам» страничка может «узнать» вас при следующем визите и будет каждый раз вежливо приветствовать вас, называя по имени, а заодно и предлагая вам именно те услуги, которые вы затребовали в прошлый раз. «Пирожками» активно пользуются Интернет-магазины, сайты новостей, сайт вашего провайдера. Они сохраняются на диске в тот момент, когда вы заполняете какую-либо форму или бланк. Словом, сложнее было бы перечислить тех, кто ни разу не прибегал бы к их помощи.
•В папке «Избранное». Здесь мы сами оставляем «заметки на память», фиксируя самые интересные для нас адреса страничек.
Получается, что для обеспечения полной приватности вам необходимо периодически очищать все эти четыре папки! Что некоторые параноики и делают едва ли не после каждого сеанса работы. Хотя, конечно, папку «Избранное» можно и не трогать — проще не заносить туда ничего лишнего. С остальными же уликами можно справиться с помощью меню InternetExplorer «Сервис/Свойства обозревателя/Обшие». Здесь вы можете очистить содержимое кэша (Сохраненные файлы) и журнала, а заодно — и ограничить их память. Так, журнал можно настроить на хранение ссылок только в течение дня-двух — по истечении этого периода они будут удалены автоматически. Точно также, ограничив объем кэша до 5—7 Мбайт, вы добьетесь быстрого исчезновения компрометирующих «следов» (хотя полной приватности в этом случае все же достичь не удастся.
С «cookies» история будет несколько сложнее. Полностью запретить браузеру сохранять их, конечно, можно, через пункт «Файлы Cookie» меню «Сервис/Свойства обозревателя/Безопасность/Другой», но в результате этого многие страницы Сети не будут корректно отображаться на вашем компьютере, а некоторые сайты отсутствие «пирожков» будет в буквальном смысле слова сводить с ума. Поэтому специалисты по безопасности рекомендуют «отсекать» нежелательные «пирожки», если уж возникла такая необходимость, при помощи дополнительных утилит типа AnonymousCookie (http:// www . luckman . com ) или другой программы этого типа.
Выселить уже угнездившиеся на вашем компьютере Cookies можно, очистив содержимое папки C:\Windows\Cookies с помощью любого файлового менеджера. Впрочем, это грубо и не слишком изящно. Куда удобнее прибегнуть к помощи уже хорошо знакомых нам утилит очистки системы — от NortonCleanSweep до SystemMechanic — любая из которых сможет вычистить не только «пирожки», но и содержимое кэша и журнала.
У проблемы конфиденциальности во Всемирной Паутине существует и еще одна сторона. Допустим, вам совершенно безразлично, следят или нет за вашими перемещениями домашние, но в то же время вам страшно не хочется, чтобы вас «посчитал» какой-либо из посещенных вами серверов. Мало ли что… Известно ведь, что любой зашедший на страничку пользователь неизбежно оставляет «следы»: IP-адрес его компьютера фиксируется в журнале-«логе» сервера.
И дело не только в этом. Честному пользователю бояться этого нет резона — фиксируйте на здоровье! Однако существуют сайты, маскировочным способностям которых позавидуют и хамелеоны: каждому своему гостю они представляют совершенно различную информацию, в зависимости от того, из каких краев тот пожаловал. Частенько этот сервис удобен, но иногда серьезно раздражает. Другие сайты и вовсе не настроены раскрывать свою душу перед посторонними — американцев, к примеру, ждут с распростертыми объятиями, а перед жителями других стран опускают виртуальный шлагбаум. В лучшем случае — интеллигентно выталкивают в шею на свое региональное отделение.
Для преодоления этой напасти можно прибегнуть к услугам Web-«Maскировщиков» (anonymizer) или столь же анонимных прокси-серверов.
Прокси-сервер — это компьютер, через который и происходит наше с вами общение с Сетью — именно через него отправляются все наши запросы на получение информации со страничек или файлов.
Кроме того, стоит выяснить, какие именно протоколы может обслуживать ваш прокси — одни специализируются только на WWW-запросах, другие поддерживают еще и FTP.
Все реквизиты прокси-сервера вводятся, как мы помним, в меню «Сервис/Свойства обозревателя/Подключение/Настройка» InternetExplorer.
Как правило, адрес прокси-сервера из собственных запасов предоставляет вам провайдер. Однако в некоторых случаях бывает полезно заменить ваш стандартный прекси-сервер на другой — анонимный. И главное — общедоступный.
Для поиска таких серверов разумно воспользоваться обычной поисковой службой — например, отправив на Google (http :// www . google . com ) запрос типа:
Freeproxyserver
Или же, с использованием русских служб поиска (например, Yandex):
Анонимный proxy
Второй вид «обезличивающих» пользователя служб — Web-«маскировщики», доступ к которым вы можете получить через обычную WWW-страницу. Среди бесплатных служб этого типа можно выделить SafeWeb(http :// www . safeweb . com '). Rewebber(http : // www . rewebber . com ). ProxyWeb(http :// www . proxvweb . com ) и целый ряд других. Маскировщики работают по тому же принципу, что и прокси-серверы, однако они могут не только обеспечить вам анонимность во время странствий по Сети, но и отчасти защитят вас от вредоносной «начинки» некоторых страниц (всплывающих рекламных окон, «скриптов-убийц» и т. д.).
Для анонимного доступа к любой страничке нужно лишь загрузить «маскировщик» и набрать нужный URL в его адресной строке.
При необходимости страничку «маскировщика» можно сделать «домашней» для вашего браузера, нажав кнопку «С текущей» в меню «Сервис/Свойства обозревателя/Общие» InternetExplorer.
Теперь вместе с вашим браузером будет загружаться и страничка службы анонимного доступа — а значит, пользуясь ее адресной строкой, вы будете защищены от «слежки» во время всего сеанса работы в Сети.
Для пущей же надежности можно объединить способности «маскировщика» и анонимного прокси-сервера — это даст наилучший результат. Конечно, с точки зрения наших спецслужб столь рьяно ратовать за полную анонимность могут лишь параноики да люди с нечистой совестью… Представьте себе человека, к примеру, человека, который проходит ежедневный маршрут от дома до метро, нацепив темные очки и петляя по переулкам, дабы сбить с толку мнимых преследователей!
Но есть и другая точка зрения, основанная на гарантируемом Конституцией праве любого человека на неприкосновенность своей частной жизни. К которой, как ни крути, относится и Интернет-серфинг.
Конфиденциальность и безопасность при переписке
В случае с электронной почтой, напротив, желание сохранить тайну переписки выглядит вполне логичным и обоснованным. В самом деле, нам ведь не приходит в голову отправлять письма в открытых конвертах
Переписка — дело частное, интимное. И сведения, которые вы хотите скрыть от посторонних глаз, совершенно не обязательно должны быть криминального характера (напротив, автор всячески убеждает своих читателей не заниматься в Сети, да и в реальном мире, ничем противозаконным).
А если учесть, что, помимо личных тайн, существуют еще и коммерческие, необходимость использования определенных средств защиты корреспонденции становится очевидной. Особенно — в условиях сегодняшней России, где практически весь поток сообщений проходит через компьютеры спецслужб… Как вы помните, еще 4 года назад большинство провайдеров фактически обязали подключить свои каналы к компьютерам системы оперативно-розыскных мероприятий (СОРМ), позволяющей, по мере надобности, перехватить и прочесть любое электронное сообщение.
Нет, мы ни в коей мере не оспариваем права доблестных чекистов охранять (пусть даже таким, противоречащим Конституции способом) интересы страны. Но существует все же некая вероятность, что схожим образом к вашему электронному ящику сможет получить доступ кто-то другой. Не обладающий столь чистыми руками и холодной головой. От простых хакеров до криминальных структур или конкурентов. И вот именно от них мы с вами и будем защищаться в случае необходимости.
Анонимность. Самый простой способ защиты — использование бесплатных анонимных почтовых ящиков, территориально расположенных за пределами России. Благодаря этому вы сможете «обезличить» свои письма (что не помешает делать, например, в тех случаях, если вы не хотите до поры до времени сообщать вашему адресату ничего лишнего о собственной персоне). Кроме того, выделение специального ящика, например, для отправки писем в группе новостей, позволит вам уберечь свой основной ящик от потока рекламы, а возможно — и вирусов, которые обязательно последуют после того, как ваш e-mail впервые будет опубликован на страничке Интернет или на сервере новостей.
Кроме того, публикуя свой адрес в электронном письме в группу новостей, вы можете дополнительно застраховаться от покушений «спам-роботов», сканирующих группы новостей в поисках электронных адресов. Делается это просто — в адрес вставляется дополнительная комбинация букв, которую необходимо убрать при составлении ответа. Так, адрес lasarus @ iname . com можно опубликовать в группе новостей в таком виде:
(Please remove «nospam» from address!)
Человек, конечно, быстро сообразит что к чему, а вот обмануть тупую программу-робота будет нетрудно.
Для большей конфиденциальности можно пропускать свое письмо через сложную систему переадресовки: например, письмо, отправленное на lasarus @ iname . com автоматически пересылается сервером на lasarus @ chat . ru. а уже оттуда его можно извлечь в режиме WWW-доступа, прямо с Web-страницы.
Шифрование писем. В том случае, если потребности замаскировать свою личность у вас нет, но есть необходимость обеспечить сохранность тайны вашей переписки, можно воспользоваться средствами шифрования особо важных электронных писем.
Систем шифрования существует много, и одна из них как нельзя кстати оказалась встроенной в OutlookExpress. Как и многие другие системы, она основана на трех важных элементах:
Индивидуальная электронная подпись или цифровой сертификат
Эти сертификаты, выдаваемые рядом независимых центров, свидетельствуют, что данное письмо было отправлено именно вами и никем иным. Используя сертификаты, вы даете вашему партнеру стопроцентную гарантию от «писем-подделок», отправленных злоумышленниками от вашего имени — а в деловой переписка это особенно важно. Вполне вероятно, что уже в ближайшем будущем «цифровая подпись» будет уравнена в правах с подписью обычной. А значит, и электронные послания, снабженные таким сертификатом, будут обладать той же юридической силой, что и бумажные документы. Сама по себе электронная подпись не является элементом системы шифрования, поскольку решает она задачи, прямо скажем, противоположного характера. Однако именно на основе вашего электронного сертификата будут сгенерированы два «ключа», с помощью которых вы сможете шифровать свои сообщения.
Открытый ключ уже включен, вместе с электронной подписью, в ваш цифровой сертификат. Его не нужно прятать — наоборот, именно этот ключ и стоит рассылать всем своим партнерам по переписке. Что вы, собственно, и делаете, включая в сообщения электронной почты цифровой сертификат. Получив вместе с письмом (пока еще — не зашифрованным) ваш открытый ключ, ваш знакомый или деловой партнер сможет в дальнейшем отправлять вам зашифрованные сообщения, созданные на его основе. Причем прочесть эти сообщения не сможет уже никто, кроме вас, в том числе и их отправитель! Вы же, в свою очередь, получаете вместе с ответом открытый ключ вашего визави, который автоматически будет добавлен в вашу адресную книгу.
Таким образом, для ведения защищенной переписки необходимо, чтобы в адресной книге вашей почтовой программы хранились открытые ключи всех ваших адресатов. При этом создать зашифрованное сообщение каждому из них вы сможете только используя его собственный открытый ключ.
Закрытый ключ. Им ваша почтовая программа будет пользоваться при расшифровке приходящих сообщений. Без наличия закрытого ключа, встроенного в вашу программу, расшифровка сообщения становится невозможной — даже если ваше письмо и будет перехвачено по дороге, расшифровать его злоумышленник не сможет.
Все эти три элемента системы безопасной переписки будут вам предоставлены при получении цифрового удостоверения. Для этого запустите OutlookExpress и зайдите в меню «Сервис/Параметры/Безопасность», где находится «центр управления» настройками вашей системы безопасности.
Нажав кнопку «Получить удостоверение», вы отправитесь на специальную страничку сервера Microsoft. Нет-нет, там вам вожделенный сертификат не дадут — на страничке находятся лишь ссылки на крупнейшие центры сертификации. Получить цифровое удостоверение, в принципе, можно на любом из них, вот только услуги большинства учреждений подобного рода — платные. И стоимость «электронного сертификата» может составить несколько десятков долларов в год. Понятно, что деловые люди с удовольствием выложат эту смешную сумму, однако простому пользователю лучше пробежаться по ссылкам и найти службу, которая выдаст вам сертификат бесплатно. Естественно, такие сертификаты не будут полноценными «электронными документами», но для переписки по e-mail их будет вполне достаточно.
Выбрав нужный центр, запустите процедуру регистрации. «Электронные бюрократы» не сильно отличаются от обычных: для получения сертификата вам придется заполнить кучу бланков и анкет, принять несколько тестовых сообщений электронной почты… Однако через 10— 15 минут ваши мучения кончатся, и после нажатия бесчисленного количества кнопок Next электронное удостоверение будет автоматически установлено на ваш компьютер вместе с парой ключей.
Кстати, сертификат может быть и не один — OutlookExpress предусматривает использование сразу нескольких сертификатов, каждый из которых привязан к конкретному электронному адресу. Поменялся адрес — придется получить новый сертификат.
Получив цифровое удостоверение, вы можете вставлять «электрон--ную подпись» и открытый ключ в каждое почтовое сообщение. Для этого вам необходимо вернуться в меню «Сервис/Параметры/Безопасность» и пометить галочкой пункт «Включать цифровую подпись во все отправляемые сообщения».
Тут же находится и пункт «Шифровать содержимое и вложение всех отправляемых сообщений», назначение которого, думается мне, объяснять не надо. Впрочем, активировать это меню нет необходимости, ведь отправить зашифрованное письмо вы все равно сможете лишь адресату, заблаговременно снабдившему вас открытым ключом.
Зашифровать сообщение можно непосредственно перед его отправкой. Для этого, находясь в режиме создания сообщения, зайдите в меню Сервис и пометьте галочками пункты «Зашифровать» и «Цифровая подпись». В итоге ваш адресат получит письмо, украшенное сразу двумя значками — «ярлыком» (электронная подпись) и «замком» (шифрованное сообщение). Система шифрования OutlookExpress дает пользователю приемлемый уровень защиты от «взлома» писем третьими лицами. Однако безупречным и стопроцентно надежным этот алгоритм зашиты назвать все-таки нельзя: как и в большинстве «официальных» алгоритмов шифрования в нем предусмотрены «обходные пути», позволяющие при необходимости спокойно вскрыть ваш «электронный конверт». Естественно, недоросль-хакер в домашних условиях ваш шифр не раскусит, а вот «уполномоченные структуры» с ним справятся без труда. Ибо на каждую систему шифрования, по российскому законодательству, ее создатель и распространитель обязан получать специальный сертификат ФАПСИ, которое, вне всякого сомнения, сумеет позаботиться о собственных интересах. И не надо думать, что варварская Россия является исключением — точно так же обстоят дела с сертификацией систем шифрования во многих развитых странах. Например, в США — стране, ставшей в начале 90-х эпицентром скандала, связанного с созданным Филиппом Циммерманом алгоритмом шифрования PrettyGoodPrivacy (PGP).
Ужас стражей государственной безопасности был неописуем: скромная программа, бесплатно распространяемая Циммерманом, позволяла создавать сообщения, на расшифровку которых даже самым мощным компьютерам Пентагона пришлось бы затратить несколько столетий! В последующие годы Циммерману пришлось отбить — одну за другой — несколько мощных атак, спасая свое детище от запрета. В итоге алгоритму все-таки дали путевку в жизнь, запретив, однако, экспортировать его за пределы Штатов. Стратегические технологии! К счастью, запрет удалось обойти: энтузиасты распечатали исходный код PGP на бумаге, и вот этот-то толстенный том, объемом более 6000 страниц, удалось вывезти в Европу...
Сегодня многие ограничения на распространение алгоритма уже сняты, хотя до сих пор существуют два его варианта — для США и остальных 9/10 человечества. Любой пользователь может получить бесплатную версию программы для работы с PGP на одном из следующих сайтов:
• http :// www . pgpi . com
• http :// www . p gp.net
• http :// www . pgpi . org
Что ж, PGPостается самым надежным и совершенным алгоритмам шифрования, а созданные на его основе программы используются всеми пользователями, которые всерьез желают обезопасить свою почту от любопытных глаз и рук «третьих лиц». В частности, механизмом шифрования писем по алгоритму PGPоснащена сверхпопулярная в нашей стране почтовая система TheBat! — главный конкурент OutlookExpress.
К сожалению, по причине «несговорчивости» PGP использующие этот алгоритм программы вряд ли будут официально сертифицированы, а значит, и разрешены к распространению и использованию в России — по крайней мере, в ближайшее время. То есть российские пользователи, скачавшие последнюю версию PGP-программы и использующие ее для шифрования собственной почты, а также авторы сайтов с коллекцией PGP-программ, могут быть обвинены в нарушении законов Российской Федерации, а именно Указа Президента РФ от 3 апреля 1995 года (№334).
Что ж, законы надо соблюдать, хотя хочется надеяться на то, что «придут другие времена».
В любом случае, знакомство с алгоритмом PGP законом не возбраняется — а значит, мы можем продолжать нашу экскурсию.
Принцип работы PGP-программ схож с уже описанным выше алгоритмом шифрования, встроенным в OutlookExpress: PGP также использует сочетание «открытого» и «закрытого» ключа. Однако есть и отличия: каждый ключ в PGP на деле представляет собой комбинацию двух ключей. Таким образом, всего ключей становится четыре:
• Для шифровки сообщения
• Для расшифровки сообщения
• Для вставки ключа в письмо
• Для чтения ключа из письма
Впрочем, для пользователя режим работы остается прежним.
«Открытый» ключ посылается в письме или публикуется на Web-страничке в виде текстовой сигнатуры – например, такой:
EGINPGPPUBLICKEYBLOCK-------Version: 5.0.1i
d2Vid29ya3MuY29tPokAIQMFmQCNAzF1lgwAAAEEANOvroJEWEq6npGLZTqssDSf
iDjUz6U7aQrWk45dlxg0797PFNvPcMRzQZ/6ZF9wcx64jyLh50tE2DOG9FDfwfrf
yUDFpgRmoL3pbxXZx9IO0uuzlkAz+xU6OwGx/EBKYOKPTTtDzSL0AQxLTIklJLJ9
tCICb2lgU3dhbnNvbiA8cmpzd2FuQHNIYXR0bGUtd2Vid29ya3MuY29tPokSDFdd
EDF2lpl4h53aEsqJyQEB6JcD/RPxg6g7tfHFi0Qiaf5yaH0YGEVoxcdFySDDrrea
rgztNXRUi0qU2MDEmh3RoEcDslfGVZHSRpkCg8iS+35sAz9c2S+q5vQxOsZJzdfD
LZUFJ72fbC3fZZD9X9IMsJH+xxX9CDx92xm1lglMT25S0X2o/uBAd33dERDFadsr
-------END PGP PUBLIC KEY BLOCK-------
Ваши знакомые могут шифровать письма, используя этот ключ, вам же для того, чтобы расшифровать его, понадобится второй, закрытый, ключ, также генерируемый PGP-программой.
И напоследок еще один, очень старый и проверенный веками, способ сохранить неприкосновенность важной для вас информации при передаче ее адресату, тайну переписки или конфиденциальность личных данных — стеганография. Традиционно этому способу уделяется незаслуженно мало внимания, хотя по сути своей он уникален. Заключается он в незаметном «вшивании» кодируемой информации в тело другого носителя, что и позволяет скрыть сам факт ее передачи. Иными словами, используя стеганографию, вы можете отправить шифрованное сообщение так, что никто и не догадается, что это сообщение вообще существует — тот, кто, предположим, с явно недобрыми намерениями просматривает вашу корреспонденцию, его просто не увидит.
Стеганография, или тайнопись, известна еще с пятого века до нашей эры. Один из случаев ее применения упоминается Геродотом. Тиран Гистий, находясь под надзором царя Персии Дария, решил послать сообщение своему родственнику в Милет. Для этого он обрил наголо одного из своих рабов и вытатуировал сообщение на его голове. Когда волосы раба отросли, ему было поручено доставить сообщение, что он благополучно и сделал. Однако своего расцвета стеганография достигла именно сейчас, в компьютерную эру, с распространением различных компьютерных сетей и Интернета, что имеет логическое обоснование — чем больше появляется информации, тем больше вероятность, что она попадет в чужие руки, и тем нужнее механизмы ее сокрытия. Разумеется, за несколько десятков лет было придумано немало более или менее надежных алгоритмов кодирования и шифрования информации, но стеганографию они вытеснить так и не смогли. Почему? Да потому что степень защиты, предоставляемая любым алгоритмом шифрования, может лишь стремиться к ста процентам, поскольку вскрыть его — лишь вопрос времени и технических средств. Стеганография же в состоянии создать стопроцентную защиту, скрыв сам факт передачи информации, но только в одном случае: если вы уверены, что там, где оные данные спрятаны, искать их никто не будет. А это уже философия.
Тем не менее, применительно к компьютерам стеганография в чистом виде практически не используется, разве что в демо-версиях некоторых коммерческих программ. Обычно она комбинируется с защитой — паролем и шифрованием одним из распространенных сегодня алгоритмов (PGP, Blowfish, RC4, SapphireII, GOST и т. п.), давая тем самым три степени защиты информации (рис. 1).
Первая степень — собственно стеганография, или введение кода одного файла в другой. Разумеется, тот файл, который вы хотите сделать недоступным для посторонних, должен быть пропорционально меньше файла-носителя2. С этой точки зрения наилучшими хранителями секретных данных являются файлы BMP, WAV и подобные им форматы с большой глубиной цвета или звука, а значит — и большими исходными размерами файлов. Первую степень защиты может преодолеть тот, кто использует ту же программу для стенографирования, что и вы (естественно, если он знает, что в файле что-то содержится).
Вторая степень — защита паролем: вы назначаете пароль доступа к встраиваемым данным, и вскрыть его злоумышленник сможет лишь перебором при помощи специализированного софта, что в зависимости от длины пароля занимает довольно много времени.
И, наконец, третья степень — шифрование. Для того чтобы максимально обезопасить передаваемую информацию, во многих стеганографических программах прибегают еще и к шифрованию исходных данных, а закодированное тем же PGP сообщение прочесть не так уж просто.
Практическое знакомство с стеганографией можно было бы начать с несложных программ вроде Stegosaurus или InvisibleSecrets, легко обнаруживаемых в Интернете и не нуждающихся в особых комментариях, но мы поступим иначе — рассказ пойдет лишь об одной программе, но какой! Помимо того, что в нее включены лучшие из стеганографических инструментов, она обладает практически полным джентльменским набором всех остальных необходимых для защиты информации функций.
Называется программа SteganosSecuritySuite. Состоит она из нескольких утилит, лишь одна из них предназначается собственно для стенографирования – SteganosFileManager. Программа позволяет как читать, так и создавать носители скрытой информации. Выбирать можно из следующих вариантов: просто зашифровать файл, зашифровать файл и создать «саморасшифровывающийся» архив либо спрятать один файл в другом, что и называется стеганографией. Кстати, работать можно не только с отдельными файлами, но и с целыми папками и каталогами. Единственное условие — все файлы в них должны быть одного типа. В SteganosFileManager присутствуют три степени защиты. Рассмотрим подробнее процедуру стеганографирования. Программа поддерживает три типа файлов, которые могут стать носителями информации: *.bmp, *.wav и *.dib, но в этом есть своя логика: прятать информацию в сжатые файлы гораздо небезопаснее, поскольку ее наличие легко определить по разросшемуся размеру файла. Вы можете либо выбрать уже существующий носитель, либо с помощью интерфейса SteganosFileManager отсканировать или снять на цифровую камеру изображение либо записать звуковой файл, затем же остается лишь завершить шифрование и отправить файл адресату или выложить его в Сеть.
Литература
1) Леонтьев В.П. «Новейшая энциклопедия персонального компьютера» М., Олма-пресс, 2004.
2) Ляхов Д. «В гостях у стеганозавра» // Домашний компьютер.- 2002.-№11.-с.66-69
www.ronl.ru
Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования
Финансовый университет при правительстве Российской Федерации
Кафедра «Информатики и программирования»
РЕФЕРАТ
на тему: «Проблемы обеспечения безопасности информации в сети интернет»
Выполнила:
студентка группы ФК 1-2
Балова Марьяна
Научный руководитель:
Голубева Н.Н.
МОСКВА
2010 г.
ОГЛАВЛЕНИЕ
1. Интернет сегодня. Его значение и роль… 3
2. Способы защиты информации… 4
3. Недостатки способов защиты информации… 6
Заключение… 8
Список использованной литературы… 9
1. ИНТЕРНЕТ СЕГОДНЯ. ЕГО ЗНАЧЕНИЕ И РОЛЬ
Интернет. Сегодня он стал неотъемлемой частью жизни каждого из нас. Вряд ли найдется человек, не знающий про его существование. Трудно представить себе нашу современность без глобальной сети, которая затронула практически все сферы жизни современного человека.
Что же такое интернет? Какова его роль в современном обществе?
С одной стороны, интернет может быть очень полезен. Он может стать источником полезной информации, которая необходима при обучении. Он помогает общаться на больших расстояниях, что я считаю так же немаловажным. Но с другой стороны, всемирная паутина может быть не только помощником, но и порой может приносить огромный вред. Сегодня практически все в той или иной степени зависимы от него. Интернет может быть источником не только нудной, но и вредной информации. Всё зависит от того с какими целями и как его использовать.
Интернет—это компьютерная сеть, где вся информация хранится в виде файлов. Сами файлы расположены на серверах[1], постоянно подключенных к линиям связи, через которые происходит доступ к ним. Все файлы в совокупности – это ресурсы Интернета.
Ресурсы могут быть нескольких типов:
1. Текстовые;
2. Гипертекстовые;
3. Электронные письма;
4. Звуковые;
5. Другие.
2. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ
Как известно, работая в интернете, постоянно сталкиваешься с вирусами и спамами. Вирусы могут привести к сбою всей системы компьютера, уничтожить информацию, хранящуюся в нем. Постоянно существует огромная вероятность «подхватить» тот или иной вирус.
По опросу, проведенному в 1997 году, большая угроза для информации могла прийти из интернета. То есть большее число опрошенных видело угрозу для хранения информации в компьютерах. По мере улучшения и развития техники и способов безопасности, этот процент уменьшался.
Диаграмма 1
Иными словами, работа во Всемирной паутине не всегда может быть безопасной. Для защиты компьютера и различных файлов, хранящихся в нем, нужно использовать некоторую профилактику. Она может снизить вероятность проникновения вируса в компьютер.
Начнем с окна настройки параметров браузера, точнее, к вкладке Безопасность Internet Explorer (в Netscape Navigator – окно Preferences, категория Advanced). В разделе Активное содержание нужно снять все флажки (Загрузка активного содержимого, Элементы ActiveX и модули plug-ins, Сценарии ActiveX, Программы Java). Далее, щелкнув на кнопке Уровень безопасности, установить уровень безопасности в положение Высокая. Средний уровень безопасности, наиболее подходящий для просмотра мультимедийных Web-страниц можно устанавливать только для просмотра сайтов, которым можно доверять!
Другим, довольно действенным способом защиты от нежеланных гостей является так называемый прокси-сервер (proxy server). Этот термин можно встретить в договоре с провайдером и в меню настроек браузера.
Главной функцией прокси-сервера является защита внутренних компьютеров локальной сети от чужого вторжения, в том числе и защита от вирусов. Например, в любой локальной сети выход в Интернет проходит через прокси-сервер, контролирующий все потоки информации между соединенными сетями, запрещая опасные или сомнительные процедуры.
Когда компьютер не подключен к локальной сети, пользователь может установить в настройках браузера адрес прокси-сервера провайдера. В этом случае прокси-сервер будет выполнять функцию кэша1, расположен ного на сервере провайдера. Это позволит ускорить получение файлов из Интернета.
Помимо перечисленных мер безопасности, которые являются пассивными, при работе в Интернете требуется использование активных методов борьбы с различными компьютерными вирусами. Существует огромное количество антивирусных программ[2]. Они сразу сообщают «заражение» компьютера тем или иным вирусом. Антивирусы принимают специальные меры для «излечения» «зараженных файлов». В противном случае они эти файлы удаляют.
Ошибочно считать, что компьютер можно «заразить» только через электронную почту или браузеры. IRC-каналы часто служат каналами для отправки тайных программ (вирусов) от недоброжелателей. Очень часто в тех или иных чатах собеседник может отправить пользователю такую программу. Следует помнить, что нельзя сразу открывать полученный файл!!! Лучше всего проверять полученные файлы доступными методами, не надеясь на антивирусные программы. Как минимум посмотреть хотя бы разрешение файла.
Очень часто файлы в WWW с расширением .doc и .xls содержат макровирусы. Их следует всегда предварительно проверять. Считается небезопасным открывать их в программах Word или Exel без проверки. Лучше это делать при помощи специальных программ, которые можно найти на сайте: www/microsoft.com/msoffice/.
3. НЕДОСТАТКИ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ
Как было сказано выше, существует много способов для защиты компьютера. Но, к сожалению, ни один из них нельзя назвать идеальным. Каждый имеет свои изъяны, которые хотелось бы рассмотреть более подробно.
Браузеры: В четвертых и более поздних версиях необходимо устанавливать для зоны Интернет высокий уровень безопасности (по умолчанию стоит Средний), который не дает загружать активные компоненты (ActiveX, Java и т.д.). Такой вариант наиболее безопасен для начинающего пользователя, но может не подойти для просмотра некоторых страниц и интерактивной работы с ними. Оптимальным для просмотра мультимедийных Web-страниц средний уровень безопасности можно устанавливать только для просмотра сайтов, которым можно доверять!
Прокси-сервер: это довольно действенное от вирусов средство имеет свой минус. С помощью прокси-сервера не очень надежного провайдера можно получить «зараженный» или искаженный хакерами файл. Значит надо пользоваться услугами провайдера, который вас защищает, или не пользоваться услугами прокси-сервера. В браузерах прокси-сервер по умолчанию отключен, так что выбор способа работы остается за пользователем.
Антивирусные программы: они установлены практически на всех компьютерах мира. Но нужно отметить, что постоянно появляются новые виды вирусов. Они изменчивы, и временами антивирус не в состоянии и обнаружить. Такие вирусы достаточно быстро распространяются по всей сети, фактически за несколько дней, и то и часы. Наиболее популярным примером этого является «червь Морриса». Иногда антивирусы не в состоянии сразу распознать вирус. Например, антивирусные программы научились определять вирус Trojan.PSW.Stealth (по классификации Касперского) только через 2 месяца после появления в Интернете. Поэтому «прошлогодние» антивирусные программы абсолютно неэффективны. Следовательно, нужно как можно чаще обновлять антивирусные программы.
ЗАКЛЮЧЕНИЕ
Итак, мы можем привести некоторый итог. Существует несколько средств защиты информации. Каждый из них имеет свои плюсы и минусы.
Таблица 1
Сегодня в эпоху развития всего человечества, во время усиленного технического прогресса проблемы информационной безопасности становятся всё более актуальными. Каждый деловой человек без своего ПК, словно без рук. Там вся нужная информация, которая порой очень важна.
В эру, когда интернет занимает все большее место в нашем мире необходимо улучшать способы безопасности. Это требуется не только программисту, но и обычным людям, что и делает эту тему популярной.
Существует много способов защитить свой ПК. Каждый пользователь имеет право выбора, который из них применять. Так или иначе, любой из видов защиты нужен и необходим особенно сейчас.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Соломенчук А.В., «Интернет». ПИТЕР, 2000г.
2. Берлинер Э.М., Глазырин Б.Э., Глазырина И.Б. «Офис от Microsoft», Москва, ABF, 1997г.
3. Журин А.А. «Интернет», Москва, 1999г.
4. Полярков Н.И. «Компьютерные технологии», Ростов-на-Дону, «Феникс», 2002г.
[1] СЕРВЕР – удаленный компьютер, на котором работает серверная программа, выполняющая обработку запросов пользователей: идентификацию пользователей, проверку их полномочий, прием данных от пользователей и передачу им данных. Также можно говорить и обо всем компьютере в целом: сервер, файл-сервер, почтовый сервер и т. д.
1 КЭШ – это специальная область на винчестере или в оперативной памяти, которая служит для хранения файлов, полученных из Интернета (временные файлы).
[2] Фирма «Лаборатория Касперского» разработала и поддерживает антивирусный пакет AntiViral Toolkit Pro (AVP). Один из адресов фирмы в Интернете – www.avp.ru.
www.ronl.ru
Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования
Финансовый университет при правительстве Российской Федерации
Кафедра «Информатики и программирования»
РЕФЕРАТ
на тему: «Проблемы обеспечения безопасности информации в сети интернет»
Выполнила:
студентка группы ФК 1-2
Балова Марьяна
Научный руководитель:
Голубева Н.Н.
МОСКВА
2010 г.
ОГЛАВЛЕНИЕ
1. Интернет сегодня. Его значение и роль… 3
2. Способы защиты информации… 4
3. Недостатки способов защиты информации… 6
Заключение… 8
Список использованной литературы… 9
1. ИНТЕРНЕТ СЕГОДНЯ. ЕГО ЗНАЧЕНИЕ И РОЛЬ
Интернет. Сегодня он стал неотъемлемой частью жизни каждого из нас. Вряд ли найдется человек, не знающий про его существование. Трудно представить себе нашу современность без глобальной сети, которая затронула практически все сферы жизни современного человека.
Что же такое интернет? Какова его роль в современном обществе?
С одной стороны, интернет может быть очень полезен. Он может стать источником полезной информации, которая необходима при обучении. Он помогает общаться на больших расстояниях, что я считаю так же немаловажным. Но с другой стороны, всемирная паутина может быть не только помощником, но и порой может приносить огромный вред. Сегодня практически все в той или иной степени зависимы от него. Интернет может быть источником не только нудной, но и вредной информации. Всё зависит от того с какими целями и как его использовать.
Интернет—это компьютерная сеть, где вся информация хранится в виде файлов. Сами файлы расположены на серверах[1], постоянно подключенных к линиям связи, через которые происходит доступ к ним. Все файлы в совокупности – это ресурсы Интернета.
Ресурсы могут быть нескольких типов:
1. Текстовые;
2. Гипертекстовые;
3. Электронные письма;
4. Звуковые;
5. Другие.
2. СПОСОБЫ ЗАЩИТЫ ИНФОРМАЦИИ
Как известно, работая в интернете, постоянно сталкиваешься с вирусами и спамами. Вирусы могут привести к сбою всей системы компьютера, уничтожить информацию, хранящуюся в нем. Постоянно существует огромная вероятность «подхватить» тот или иной вирус.
По опросу, проведенному в 1997 году, большая угроза для информации могла прийти из интернета. То есть большее число опрошенных видело угрозу для хранения информации в компьютерах. По мере улучшения и развития техники и способов безопасности, этот процент уменьшался.
Диаграмма 1
Иными словами, работа во Всемирной паутине не всегда может быть безопасной. Для защиты компьютера и различных файлов, хранящихся в нем, нужно использовать некоторую профилактику. Она может снизить вероятность проникновения вируса в компьютер.
Начнем с окна настройки параметров браузера, точнее, к вкладке Безопасность Internet Explorer (в Netscape Navigator – окно Preferences, категория Advanced). В разделе Активное содержание нужно снять все флажки (Загрузка активного содержимого, Элементы ActiveX и модули plug-ins, Сценарии ActiveX, Программы Java). Далее, щелкнув на кнопке Уровень безопасности, установить уровень безопасности в положение Высокая. Средний уровень безопасности, наиболее подходящий для просмотра мультимедийных Web-страниц можно устанавливать только для просмотра сайтов, которым можно доверять!
Другим, довольно действенным способом защиты от нежеланных гостей является так называемый прокси-сервер (proxy server). Этот термин можно встретить в договоре с провайдером и в меню настроек браузера.
Главной функцией прокси-сервера является защита внутренних компьютеров локальной сети от чужого вторжения, в том числе и защита от вирусов. Например, в любой локальной сети выход в Интернет проходит через прокси-сервер, контролирующий все потоки информации между соединенными сетями, запрещая опасные или сомнительные процедуры.
Когда компьютер не подключен к локальной сети, пользователь может установить в настройках браузера адрес прокси-сервера провайдера. В этом случае прокси-сервер будет выполнять функцию кэша1, расположен ного на сервере провайдера. Это позволит ускорить получение файлов из Интернета.
Помимо перечисленных мер безопасности, которые являются пассивными, при работе в Интернете требуется использование активных методов борьбы с различными компьютерными вирусами. Существует огромное количество антивирусных программ[2]. Они сразу сообщают «заражение» компьютера тем или иным вирусом. Антивирусы принимают специальные меры для «излечения» «зараженных файлов». В противном случае они эти файлы удаляют.
Ошибочно считать, что компьютер можно «заразить» только через электронную почту или браузеры. IRC-каналы часто служат каналами для отправки тайных программ (вирусов) от недоброжелателей. Очень часто в тех или иных чатах собеседник может отправить пользователю такую программу. Следует помнить, что нельзя сразу открывать полученный файл!!! Лучше всего проверять полученные файлы доступными методами, не надеясь на антивирусные программы. Как минимум посмотреть хотя бы разрешение файла.
Очень часто файлы в WWW с расширением .doc и .xls содержат макровирусы. Их следует всегда предварительно проверять. Считается небезопасным открывать их в программах Word или Exel без проверки. Лучше это делать при помощи специальных программ, которые можно найти на сайте: www/microsoft.com/msoffice/.
3. НЕДОСТАТКИ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ
Как было сказано выше, существует много способов для защиты компьютера. Но, к сожалению, ни один из них нельзя назвать идеальным. Каждый имеет свои изъяны, которые хотелось бы рассмотреть более подробно.
Браузеры: В четвертых и более поздних версиях необходимо устанавливать для зоны Интернет высокий уровень безопасности (по умолчанию стоит Средний), который не дает загружать активные компоненты (ActiveX, Java и т.д.). Такой вариант наиболее безопасен для начинающего пользователя, но может не подойти для просмотра некоторых страниц и интерактивной работы с ними. Оптимальным для просмотра мультимедийных Web-страниц средний уровень безопасности можно устанавливать только для просмотра сайтов, которым можно доверять!
Прокси-сервер: это довольно действенное от вирусов средство имеет свой минус. С помощью прокси-сервера не очень надежного провайдера можно получить «зараженный» или искаженный хакерами файл. Значит надо пользоваться услугами провайдера, который вас защищает, или не пользоваться услугами прокси-сервера. В браузерах прокси-сервер по умолчанию отключен, так что выбор способа работы остается за пользователем.
Антивирусные программы: они установлены практически на всех компьютерах мира. Но нужно отметить, что постоянно появляются новые виды вирусов. Они изменчивы, и временами антивирус не в состоянии и обнаружить. Такие вирусы достаточно быстро распространяются по всей сети, фактически за несколько дней, и то и часы. Наиболее популярным примером этого является «червь Морриса». Иногда антивирусы не в состоянии сразу распознать вирус. Например, антивирусные программы научились определять вирус Trojan.PSW.Stealth (по классификации Касперского) только через 2 месяца после появления в Интернете. Поэтому «прошлогодние» антивирусные программы абсолютно неэффективны. Следовательно, нужно как можно чаще обновлять антивирусные программы.
ЗАКЛЮЧЕНИЕ
Итак, мы можем привести некоторый итог. Существует несколько средств защиты информации. Каждый из них имеет свои плюсы и минусы.
Таблица 1
Сегодня в эпоху развития всего человечества, во время усиленного технического прогресса проблемы информационной безопасности становятся всё более актуальными. Каждый деловой человек без своего ПК, словно без рук. Там вся нужная информация, которая порой очень важна.
В эру, когда интернет занимает все большее место в нашем мире необходимо улучшать способы безопасности. Это требуется не только программисту, но и обычным людям, что и делает эту тему популярной.
Существует много способов защитить свой ПК. Каждый пользователь имеет право выбора, который из них применять. Так или иначе, любой из видов защиты нужен и необходим особенно сейчас.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. Соломенчук А.В., «Интернет». ПИТЕР, 2000г.
2. Берлинер Э.М., Глазырин Б.Э., Глазырина И.Б. «Офис от Microsoft», Москва, ABF, 1997г.
3. Журин А.А. «Интернет», Москва, 1999г.
4. Полярков Н.И. «Компьютерные технологии», Ростов-на-Дону, «Феникс», 2002г.
[1] СЕРВЕР – удаленный компьютер, на котором работает серверная программа, выполняющая обработку запросов пользователей: идентификацию пользователей, проверку их полномочий, прием данных от пользователей и передачу им данных. Также можно говорить и обо всем компьютере в целом: сервер, файл-сервер, почтовый сервер и т. д.
1 КЭШ – это специальная область на винчестере или в оперативной памяти, которая служит для хранения файлов, полученных из Интернета (временные файлы).
[2] Фирма «Лаборатория Касперского» разработала и поддерживает антивирусный пакет AntiViral Toolkit Pro (AVP). Один из адресов фирмы в Интернете – www.avp.ru.
www.ronl.ru
Защита информации в Internet.
Содержание.
1. Введение.
2. Проблемы защиты информации.
3. Защита Web-серверов:
3.1 Ограничение доступа в WWW-серверах.
3.2 WWW-сервер и проблемы безопасности.
3.3 Java, Javascript и проблемы безопасности.
4. Заключение.
5. Специальные термины.
6. Список литературы.
1.Введение
Internet — глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.
Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.
Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальной сетям.
Фактически Internet состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.п.
При низкой стоимости услуг (часто это только фиксированная ежемесячная плата за используемые линии или телефон) пользователи могут получить доступ к коммерческим и некоммерческим информационным службам США, Канады, Австралии и многих европейских стран. В архивах свободного доступа сети Internet можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий до прогноза погоды на завтра.
Кроме того Internet предоставляет уникальные возможности дешевой, надежной и конфиденциальной глобальной связи по всему миру. Это оказывается очень удобным для фирм имеющих свои филиалы по всему миру, транснациональных корпораций и структур управления. Обычно, использование инфраструктуры Internet для международной связи обходится значительно дешевле прямой компьютерной связи через спутниковый канал или через телефон.
Электронная почта — самая распространенная услуга сети Internet. В настоящее время свой адрес по электронной почте имеют приблизительно 20 миллионов человек. Посылка письма по электронной почте обходится значительно дешевле посылки обычного письма. Кроме того сообщение, посланное по электронной почте дойдет до адресата за несколько часов, в то время как обычное письмо может добираться до адресата несколько дней, а то и недель.
В настоящее время Internet испытывает период подъема, во многом благодаря активной поддержке со стороны правительств европейских стран и США. Ежегодно в США выделяется около 1-2 миллионов долларов на создание новой сетевой инфраструктуры. Исследования в области сетевых коммуникаций финансируются также правительствами Великобритании, Швеции, Финляндии, Германии.
Однако, государственное финансирование — лишь небольшая часть поступающих средств, т.к. все более заметной становится «коммерциализация» сети (80-90% средств поступает из частного сектора).
2. Проблемы защиты информации
Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т.д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet — хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы — файлы и программы, не говоря уже о возможности их порчи и корректировки.
Бурный рост Internet вместе с существенным набором новых возможностей и услуг приносит и ряд новых проблем, наиболее неприятной из которых, безусловно является проблема безопасности. Даже беглый анализ компьютерной прессы показывает, что проблема безопасности и сохранности информации, помещаемой в Internet или во внутренние корпоративные Intranet-системы, стоит достаточно остро. Поэтому неудивительно, что все компании-производители ПО для Internet вводят в свои продукты все более совершенные средства защиты информации.
Что же определяет бурный рост Internet, характеризующийся ежегодным удвоением числа пользователей? Ответ прост — “халява”, то есть дешевизна программного обеспечения (TCP/IP), которое в настоящее время включено в Windows 95, легкость и дешевизна доступа в Internet (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам.
Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP.
Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения.
Безопасность данных является одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Internet в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора.
Что же может произойти с вашей информацией, если не заботиться о ее безопасности ?
Во-первых, это утрата конфиденциальности.
Ваша личная информация может остаться в целостности, но конфиденциальна больше не будет, например кто-нибудь в Интернете получит номер вашей кредитной карточки.
Во-вторых, это Модификация.
Ваша информация будет модифицирована, например ваш заказ в on-line магазине или ваше резюме.
В-третьих, подмена информации, которая может быть 2 типов.
1)WWW сервер может выдавать себя за другой, каковым он не является.
2)WWW сервер может действительно существовать под этим именем и заявлять, например, что это online магазин, но в действительности никогда не посылать никаких товаров, а только собирать номера кредитных карточек.
Атака на информацию может быть совершена несколькими путями.
Во-первых, это атака на систему клиента со стороны сервера.
Хакер, у которого есть свой WWW сервер, может постараться при помощи Java некорректных апплетов и JavaScript приложений, встроенных в HTML документ, вывести из строя пользовательскую систему, или получить информацию о ней, которая позволит ему взломать машину пользователя.
Во-вторых, атака на сервер со стороны клиента.
Хакер может через www клиента может попытаться вывести пользовательскую систему или www сервер из строя, или получить доступ к информации, доступа к которой у него нет. Для этого он может использовать дырки в безопасности в CGI приложениях, плохую настройку сервера, попытаться подменить CGI приложение.
И наконец, информация может быть украдена третьей стороной при ее передаче.
Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные—после первого крупного “прокола”. Так или иначе, встает вопрос о том, что, как и от кого защищать.
Обычно первая реакция на угрозу—стремление спрятать ценности в недоступное место и приставить к ним охрану. Это относительно несложно, если речь идет о таких ценностях, которые вам долго не понадобятся: убрали и забыли. Куда сложнее, если вам необходимо постоянно работать с ними. Каждое обращение в хранилище за вашими ценностями потребует выполнения особой процедуры, отнимет время и создаст дополнительные неудобства. Такова дилемма безопасности: приходится делать выбор между защищенностью вашего имущества и его доступностью для вас, а значит, и возможностью полезного использования.
Все это справедливо и в отношении информации. Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Иными словами, ваша информация либо недоступна для всех, включая и вас, либо не защищена на сто процентов.
Может показаться, что из этой ситуации нет выхода, но информационная безопасность сродни безопасности мореплавания: и то, и другое возможно лишь с учетом некоторой допустимой степени риска.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
3.ЗАЩИТА WEB-СЕРВЕРОВ
Сервер Web организации обеспечивает ее присутствие в Internet. Однако распространяемые этим сервером данные могут содержать сведения частного характера, не предназначенные для чужих глаз. К сожалению, серверы Web представляют собой лакомую приманку для злоумышленников. Широкую огласку получили случаи «нападения» на серверы Министерства юстиции и даже ЦРУ: злоумышленники подменяли домашние страницы этих организаций на непристойные карикатуры. Поборники прав животных проникли на сервер Kriegsman Furs и заменили домашнюю страницу ссылкой на узлы, посвященные защите братьев наших меньших. Схожая судьба постигла серверы Министерства юстиции США, ЦРУ, Yahoo! и Fox. Дэн Фармер, один из создателей программы SATAN, для поиска брешей в защите сетей использовал еще не завершенную официально версию своего сканера для зондирования Web-серверов Internet и установил, что почти две трети из них имеют серьезные изъяны в защите.
Очевидно, что серверы Web защищены далеко не так надежно, как хотелось бы. В некоторых простых случаях все дело в незаметных, но небезопасных огрехах в сценариях CGI. В других ситуациях угрозу представляет недостаточная защита операционной системы хоста.
Простейший способ укрепить защиту сервера Web состоит в размещении его за брандмауэром. Однако, действуя таким образом, пользователь как бы переносит проблемы защиты во внутрикорпоративную сеть, а это не самый удачный выход. Пока сервер Web располагается «по другую сторону» брандмауэра, внутренняя сеть защищена, а сервер — нет. Побочным эффектом от такого шага является усложнение администрирования сервера Web.
Лучшим выходом было бы компромиссное решение: размещение сервера Web в его собственной сети, запрет внешних соединений или ограничение доступа к внутренним серверам.
Наряду с обеспечением безопасности программной среды, важнейшим будет вопрос о разграничении доступа к объектам Web-сервиса. Для решения этого вопроса необходимо уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом — принудительная или произвольная — применяется.
В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL — Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности — HTML-файлы, CGI-процедуры и т.п.
Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.
В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.
Для раннего выявления попыток нелегального проникновения в Web-сервер важен регулярный анализ регистрационной информации.
Разумеется, защита системы, на которой функционирует Web-сервер, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение. Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии — упорядочены в соответствии со служебными обязанностями.
Еще один общий принцип состоит в том, чтобы минимизировать объем информации о сервере, которую могут получить пользователи. Многие серверы в случае обращения по имени каталога и отсутствия файла index.HTML в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода “дополнительные возможности” целесообразно отключать, поскольку лишнее знание (злоумышленника) умножает печали (владельца сервера).
3.1. Ограничения доступа в WWW серверах
Рассмотрим два из них:
• Ограничить доступ по IP адресам клиентских машин;
• ввести идентификатор получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации на получение которой существует договор.
Ограничения по IP адресам
Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
Ограничения по идентификатору получателя
Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.
Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.
Рисунок 2.2.7
Рисунок 2.2.7 Пример списка вестников издательства.
Выберем Вестник предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение:
Рисунок 2.2.8
Рисунок 2.2.8 Окно ввода пароля.
Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае — получает сообщение:
Рисунок 2.2.9
Рисунок 2.2.9 Окно неправильного ввода пароля.
3.2 World wide web серверы и проблема безопасности информации.
Среди WWW серверов отличаются отсутствием известных проблем с безопаcностью Netscape серверы, WN и apache.
WN сервер.
Это свободно распространяемый сервер, доступный для множества UNIX платформ. Основными целями при его создании были безопасность и гибкость. WN сервер содержит в каждой директории маленькую базу данных (список) документов содержащихся в ней. Если документ не перечислен в базе данных, клиент получить его не может. Базы данных либо генерируется специальной программой автоматически для всех файлов в дереве директорий, либо другой программой создаются из текстовых описаний, которые создаются вручную. В эти файлы, кроме перечисления документов можно вставлять HTML текст, т.к это аналог index.html в этом сервере.
Администратору web узла разбираться в сгенерированных файлах особой необходимости нет, но в принципе они аналогичны .cache файлам gopher. Сам сервер имеет разновидность для одновременной обработки gopher и http запросов к одним и тем же документам.
Безопасность выполнения CGI приложений обеспечивается выставлением uid/gid для нужного файла этой базы данных. Безо всякого программирования и особой настройки WN сервер обеспечивает 8 возможностей поиска внутри документов, имеет интерфейс к WAIS серверу. Вы можете включать одни документы внутрь других на серверной стороне (например стандартные сообщения вначале и в конце документа ) Можете применять фильтры к любому документу, для получения необходимого документа на выходе ( например подстановка слов ). Для обращения к документу можно использовать URL типа <host/dir/foo;lines=20-30, чтобы получить строки с 20 по 30. Документация к серверу очень хорошая, устанавливается он быстро, обнаруженные ошибки исправляются в течении нескольких дней.
Apache сервер — это свободно распространяемый WWW сервер для различных UNIX платформ и Windows NT, один из самых популярных в мире. Сейчас apache работает на 36 процентах от общего количества всех HTTP серверов в мире. Это быстрый и стабильный сервер. В сервер можно встроить SSL протокол, рассмотренный ниже на примере Netscape сервера.
Netscape Enterprise сервер.
Netscape Enterprise Server — это высокопроизводительный, защишенный World Wide Web сервер для создания, распространения, публикации информации в Интернете и выполнения сетевых интернетовских приложений, используя средства, базирующиеся на языках Java и JavaScript.
Netscape FastTrack сервер.
Netscape FastTrack сервер — это решение для тех, кого не устраивает цена и сложность Netscape Enterprise сервера. Он прост в использовании, разработанного чтобы позволить новичкам создавать и администрировать WWW сервер.
Серверы Netscape имеют встроенные средства безопасности коммерческой информации и коммуникаций. Гибкая авторизация пользователя контролирует доступ к отдельным файлам и директориям, используя имя пользователя и пароль, имя домена, имя машины, IP адрес, клиентские сертификаты (client-side certificates ), именованные группы. Дополнительные черты безопасности обеспечиваются протоколом Secure Socket Layer 3.0 (SSL 3.0) и механизмом открытых ключей.
SSL 3.0 — это последняя версия широко распространенного в Интернете стандарта, разработанного Netscape Communications corporation.
SSL протокол обеспечивает конфиденциальность, целостность и аутентичность информации.
Конфиденциальность и целостность информации обеспечивается посредством шифрования с открытым ключом. Аутентификация обеспечивается посредством цифровых сертификатов, которые почти невозможно подделать. Сертификат необходимо получать от третьей стороны, которой обе стороны доверяют.
SSL протокол — это схема шифрования низкого уровня, используемая для шифрования транзакций в протоколах высокого уровня, таких как HTTP, NNTP и FTP. SSL протокол содержит методы для идентификации сервера для клиента, шифрование данных при передаче и дополнительно, верификации клиента для сервера. Из коммерческих систем SSL протокол сейчас реализован в Netscape навигаторах и Netscape серверах. ( Реализованы шифрование данных и авторизация сервера, авторизация клиента нет).
Существует также свободно распространяемая версия SSL, называемая SSLeay. Она содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP. Поддерживаются также свободно распространяемые Unix Web серверы Apache и NCSA httpd и несколько Web клиентов, включая Mosaic. Этот пакет может быть использован бесплатно для коммерческих и некоммерческих приложений.
Механизм открытых ключей обеспечивает шифрование данных при помощи открытого ключа(public key). В традиционных системах шифрования один и тот же ключ использовался для шифрования и дешифрования. В новом открытом или асимметричных системах шифрования ключи идут парами: один ключ используется для кодирования, другой для декодирования. Один из этих ключей, называемый открытым ключом, свободно распространяемый и используется для кодирования сообщений. Другой ключ, называемый личным ключом (private key) засекречен и используется для декодирования поступающего сообщения. В этой системе пользователь, посылающий сообщение второму пользователю может зашифровать сообщение открытым ключом второго пользователя.
Сообщение может дешифровано владельцем секретного личного ключа второго пользователя. Эта система может быть использована для создания неподделываемых цифровых подписей. В Netscape Enterprise Server администраторы могут динамически изменять ключи для сервера, что позволяет оперативно изменять политику авторизации.
Netscape серверы и навигаторы осуществляют шифрование используя или 40-битный ключ или 128-битный ключ. В принципе можно взломать 40-битный ключ, перебирая каждую возможную комбинацию ( всего 2^40 ) пока Вы не обнаружите, что сообщение расшифровано. Взломать 128 битный ключ практически нереально.
3.3.Java, JavaScript и проблема безопасности.
Java и JavaScript — это тот раздел безопасности Web, который касается не администраторов и создателей Web серверов, а пользователей и администраторов пользовательских сетей.
Несмотря на сходство в именах Java и JavaScript это две различных продукта. Java — это язык программирования разработанный SunSoft. Java программы прекомпилируются в компактную форму и хранятся на сервере. HTML документы могут ссылаться на миниприложения, называемые Java аплетами. WWW клиенты, которые поддерживают Java апплеты, загружают откомпилированные Java приложения и выполняют их на машине клиента. JavaScript это набор расширений к HTML, интерпретируемых WWW клиентом. В принципе, несмотря на то что JavaScript имеет более длинную историю проблем, связанных с безопасностью, хакерская программа на Java может активно и успешно вывести пользовательскую систему из строя, про JavaScript до сих пор известны только случаи передачи конфиденциальной информации клиента на Web сервер. Java апплеты выполняются на клиентской стороне, а не на серверной, и поэтому увеличивают риск атаки со стороны сервера. Нужно ли беспокоится об этом ?
В Java встроены средства для ограничения доступа к клиентской машине. Апплетам не разрешается выполнять системные команды, загружать системные библиотеки, или открывать системные устройства, такие как диски. Апплетам, в зависимости от WWW клиента или запрещены все дисковые операции ( Netscape ), или почти все ( HotJava ).Апплетам разрешается устанавливать соединение по сети только к серверу, откуда аплет был загружен. Но Drew Dean ( [email protected] ) обнаружил, что можно написать апплет, который будет устанавливать соединение к любому компьютеру в интернете, то есть аплет из Интернета, загруженный на вашу локальную машину WWW клиентом может подсоединиться по TCP/IP к любой машине на вашей локальной сети, даже если она защищена через firewall. Эта проблема связана с тем, что Java выполняет верификацию для соединения через Domain.
Name System (DNS). Взломщик используя свой собственный DNS сервер может создать некорректную ссылку в DNS, чтобы заставить Java систему считать, что апплету разрешено соединение с компьютером к которому у него нет права подсоединяться. Ошибка была исправлена в Netscape навигаторе 2.01 и JDK 1.0.1.
David Hopwood обнаружил, что загружая апплеты с 2 разных WWW серверов хэкер может нарушить пространство имен Java Virtual Machine. Это позволяет преобразовывать типы переменных друг в друга, преобразовывать целые в ссылки и т.д. В результате апплет может читать и писать локальные файлы, выполнять машинный код. Безо всяких проблем в UNIX может быть создан файл .rhosts. Эта ошибка проявляется, как минимум на HotJava, код может быть написан целиком на Java и быть платформонезависимым.
В настоящих версиях Java возможны трюки с вызовом конструктора суперкласса, в результате чего этот вызов может быть пропущен. Это связано с алгоритмом, который сейчас использует интерпретатор Java. Возможные пути для этого:
-super внутри try.
-super внутри if.
-cathcer/thrower.
JavaScript — это встроен в Netscape навигатор. Периодически в Netscape навигаторе обнаруживались проблемы с безопасностью в связи с JavaScript, которые Netscape периодически устраняет в новых версиях навигатора. Andy Augustine в своем JavaScript FAQ описывает следующие проблемы: 1)Чтение пользовательской истории URL — исправлено в Netscape 2.0.
2)Чтение пользовательского кэша URL — исправлено в Netscape 2.0.
3)Чтение пользовательского e-mail адреса и передача его по Интернету исправлено в Netscape 2.01.
4)Получение рекурсивного оглавления файловой системы — исправлено в Netscape 2.01.
5)Открытие окна размером 1 пиксел, получение URL открытых документов и передача их удаленному серверу. Эта общая проблема сетевых графических систем, имеющая длинную историю. Пользователи x-windows, которые запускают команду `xhost +` без аргументов могут столкнуться с чужим невидимым окошком, которое передает ввод пользователя по Интернету хакеру.
Для того чтобы работать с Java и JavaScript приложениями без проблем с безопасностью рекомендуется:
-Не пользоваться старыми версиями WWW клиентов, которые поддерживают Java и JavaScript. Производители web клиентов исправляют свои программы, если обнаруживается новая ошибка в безопасности.
-Следить за текущим состоянием дел с безопасностью Java и Javascript. Javasoft имеет страницу, посвященную Java и безопасности. У netscape есть аналогичная страница про JavaScript. Каждый производитель web клиента имеет на своем сервере страницу посвященную безопасности.
В заключение несколько общих правил, которые помогут Вам избежать многих проблем.
1.При создании web сервера используйте надежный продукт.Используйте web сервер, который подходит под ваши нужды, не обязательно самый всеобъемлющий и модный.
2.Читайте документацию сервера. Недостатки в настройке чаще создают проблемы с безопасностью нежели ошибки в самом сервере.
3.Не забывайте про SSL протокол, если речь идет о коммерческой информации.
4.Заботьтесь о безопасности CGI приложений, так как это части самого сервера. Не забывайте проверять и чужие CGI приложения, если у Вас многопользовательский сервер.
5.Не пользуйтесь старыми версиями Web клиентов с поддержкой Java и JavaScript. Следите за обновлениями.
4.Заключение.
В данной работе мною были рассмотрены проблемы защиты информации в глобальной сети Internet. Проблема эта была и остается актуальной по сей день, так как никто еще не может гарантировать на сто процентов того, что ваша информация будет защищена или в ваш компьютер не попадет вирус. Актуальность этой проблемы подтверждает еще и то, что ей посвещено огромное количество страниц в Internet. Однако большая часть информации идет на английском языке, что затрудняет работу с ней. Разумеется в данной работе рассмотрена лишь часть проблемы (не рассмотрена, например, защита информации при помощи брандмауэров(сетевых экранов)). Проведенные исследования показывают, что разработано множество способов защиты информации: разграничение доступа, защита при помощи паролей, шифрование данных и.т.п. Однако, несмотря на все это, до сих пор мы то и дело слышим о взломах хакерами различных серверов и компьютерных систем. Это говорит о том, что проблема защиты информации еще не решена и на ее решение будет потрачено множество сил и времени.
5. Список специальных терминов
ARP (Address Resolution Protocol) — протокол определения адреса, преобразует адрес компьютера в сети Internet в его физический адрес.
ARPA (Advanced Research Projects Agency) — бюро проектов передовых исследований министерства обороны США.
Ethernet — тип локальной сети. Хороша разнообразием типов проводов для соединений, обеспечивающих пропускные способности от 2 до 10 миллионов bps(2-10 Mbps). Довольно часто компьютеры, использующие протоколы TCP/IP, через Ethernet подсоединяются к Internet.
FTP (File Transfer Protocol) — протокол передачи файлов, протокол, определяющий правила пересылки файлов с одного компьютера на другой.
FAQ (Frequently Asked Qustions) — часто задаваемые вопросы. Раздел публичных архивов сети Internet в котором хранится информация для «начинающих» пользователей сетевой инфраструктуры.
Gopher — интерактивная оболочка для поиска, присоединения и использования ресурсов и возможностей Internet. Интерфейс с пользователем осуществлен через систему меню.
HTML (Hypertext Markup Language)- язык для написания гипертекстовых документов. Основная особенность — наличие гипертекстовых связей между документами находящимися в различных архивах сети; благодаря этим связям можно непосредственно во время просмотра одного документа переходить к другим документам.
Internet — глобальная компьютерная сеть.
IP (Internet Protocol) — протокол межсетевого взаимодействия, самый важный из протоколов сети Internet, обеспечивает маршрутизацию пакетов в сети.
IР-адрес — уникальный 32-битный адрес каждого компьютера в сети Internet.
Telnet — удаленный доступ. Дает возможность абоненту работать на любой ЭВМ сети Internet как на своей собственной.
TCP\IP — под TCP\IP обычно понимается все множество протоколов поддерживаемых в сети Internet.
TCP (Transmission Control Protocol) — протокол котроля передачи информации в сети. TCP — протокол транспортного уровня, один из основных протоколов сети Internet. Отвечает за установление и поддержание виртуального канала (т.е. логического соединения), а также за безошибочную передачу информации по каналу.
UDP (User Datagram Protocol) — протокол транспортного уровня, в отличие от протокола TCP не обеспечивает безошибочной передачи пакета.
Unix — многозадачная операционная система, основная операционная среда в сети Internet. Имеет различные реализации: Unix-BSD, Unix-Ware, Unix-Interactive.
UUCP — протокол копирования информации с одного Unix-хоста на другой. UUCP — не входит в состав протоколов TCP/IP, но тем не менее все-еще широко используется в сети Internet. На основе протокола UUCP — построены многие системы обмена почтой, до сих пор используемые в сети.
WWW (World Wide Web) — всемирная паутина. Система распределенных баз данных, обладающих гипертекстовыми связями между документами.
6.Список литературы.
1.Http://www.lanmag.ru/
2. Игер Б. Работа в Internet / Под ред. А. Тихонова; Пер. c англ. — М.: БИНОМ, 1998. — 313 c.
3.LAN/NetworkSolutionMagazine #7-8 1998.
4. Левин В.К. Защита информации в информационно-вычислительных cистемах и сетях // Программирование. — 1994. — N5. — C. 5-16.
www.ronl.ru
Содержание.
1. Введение.
2. Проблемы защиты информации.
3. Защита Web-серверов:
3.1 Ограничение доступа в WWW-серверах.
3.2 WWW-сервер и проблемы безопасности.
3.3 Java, Javascript и проблемы безопасности.
4. Заключение.
5.Специальные термины.
6. Список литературы. 1.Введение Internet — глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.
Если ранее сеть использовалась исключительно в качестве среды передачи файлов и сообщений электронной почты, то сегодня решаются более сложные задачи распределенного доступа к ресурсам. Около двух лет назад были созданы оболочки, поддерживающие функции сетевого поиска и доступа к распределенным информационным ресурсам, электронным архивам.
Internet, служившая когда-то исключительно исследовательским и учебным группам, чьи интересы простирались вплоть до доступа к суперкомпьютерам, становится все более популярной в деловом мире.
Компании соблазняют быстрота, дешевая глобальная связь, удобство для проведения совместных работ, доступные программы, уникальная база данных сети Internet. Они рассматривают глобальную сеть как дополнение к своим собственным локальной сетям.
Фактически Internet состоит из множества локальных и глобальных сетей, принадлежащих различным компаниям и предприятиям, связанных между собой различными линиями связи. Internet можно представить себе в виде мозаики сложенной из небольших сетей разной величины, которые активно взаимодействуют одна с другой, пересылая файлы, сообщения и т.п.
При низкой стоимости услуг (часто это только фиксированная ежемесячная плата за используемые линии или телефон) пользователи могут получить доступ к коммерческим и некоммерческим информационным службам США, Канады, Австралии и многих европейских стран. В архивах свободного доступа сети Internet можно найти информацию практически по всем сферам человеческой деятельности, начиная с новых научных открытий до прогноза погоды на завтра.
Кроме того Internet предоставляет уникальные возможности дешевой, надежной и конфиденциальной глобальной связи по всему миру. Это оказывается очень удобным для фирм имеющих свои филиалы по всему миру, транснациональных корпораций и структур управления. Обычно, использование инфраструктуры Internet для международной связи обходится значительно дешевле прямой компьютерной связи через спутниковый канал или через телефон.
Электронная почта — самая распространенная услуга сети Internet. В настоящее время свой адрес по электронной почте имеют приблизительно 20 миллионов человек. Посылка письма по электронной почте обходится значительно дешевле посылки обычного письма. Кроме того сообщение, посланное по электронной почте дойдет до адресата за несколько часов, в то время как обычное письмо может добираться до адресата несколько дней, а то и недель.
В настоящее время Internet испытывает период подъема, во многом благодаря активной поддержке со стороны правительств европейских стран и США. Ежегодно в США выделяется около 1-2 миллионов долларов на создание новой сетевой инфраструктуры. Исследования в области сетевых коммуникаций финансируются также правительствами Великобритании, Швеции, Финляндии, Германии.
Однако, государственное финансирование — лишь небольшая часть поступающих средств, т.к. все более заметной становится «коммерциализация» сети (80-90% средств поступает из частного сектора). 2. Проблемы защиты информации
Internet и информационная безопасность несовместны по самой природе Internet. Она родилась как чисто корпоративная сеть, однако, в настоящее время с помощью единого стека протоколов TCP/IP и единого адресного пространства объединяет не только корпоративные и ведомственные сети (образовательные, государственные, коммерческие, военные и т.д.), являющиеся, по определению, сетями с ограниченным доступом, но и рядовых пользователей, которые имеют возможность получить прямой доступ в Internet со своих домашних компьютеров с помощью модемов и телефонной сети общего пользования.
Как известно, чем проще доступ в Сеть, тем хуже ее информационная безопасность, поэтому с полным основанием можно сказать, что изначальная простота доступа в Internet — хуже воровства, так как пользователь может даже и не узнать, что у него были скопированы — файлы и программы, не говоря уже о возможности их порчи и корректировки.
Бурный рост Internet вместе с существенным набором новых возможностей и услуг приносит и ряд новых проблем, наиболее неприятной из которых, безусловно является проблема безопасности. Даже беглый анализ компьютерной прессы показывает, что проблема безопасности и сохранности информации, помещаемой в Internet или во внутренние корпоративные Intranet-системы, стоит достаточно остро. Поэтому неудивительно, что все компании-производители ПО для Internet вводят в свои продукты все более совершенные средства защиты информации.
Что же определяет бурный рост Internet, характеризующийся ежегодным удвоением числа пользователей? Ответ прост — “халява”, то есть дешевизна программного обеспечения (TCP/IP), которое в настоящее время включено в Windows 95, легкость и дешевизна доступа в Internet (либо с помощью IP-адреса, либо с помощью провайдера) и ко всем мировым информационным ресурсам.
Платой за пользование Internet является всеобщее снижение информационной безопасности, поэтому для предотвращения несанкционированного доступа к своим компьютерам все корпоративные и ведомственные сети, а также предприятия, использующие технологию intranet, ставят фильтры (fire-wall) между внутренней сетью и Internet, что фактически означает выход из единого адресного пространства. Еще большую безопасность даст отход от протокола TCP/IP.
Этот переход можно осуществлять одновременно с процессом построения всемирной информационной сети общего пользования, на базе использования сетевых компьютеров, которые с помощью сетевой карты 10Base-T и кабельного модема обеспечивают высокоскоростной доступ (10 Мбит/с) к локальному Web-серверу через сеть кабельного телевидения.
Безопасность данных является одной из главных проблем в Internet. Появляются все новые и новые страшные истории о том, как компьютерные взломщики, использующие все более изощренные приемы, проникают в чужие базы данных. Разумеется, все это не способствует популярности Internet в деловых кругах. Одна только мысль о том, что какие-нибудь хулиганы или, что еще хуже, конкуренты, смогут получить доступ к архивам коммерческих данных, заставляет руководство корпораций отказываться от использования открытых информационных систем. Специалисты утверждают, что подобные опасения безосновательны, так как у компаний, имеющих доступ и к открытым, и частным сетям, практически равные шансы стать жертвами компьютерного террора.
Что же может произойти с вашей информацией, если не заботиться о ее безопасности ?
Во-первых, это утрата конфиденциальности.
Ваша личная информация может остаться в целостности, но конфиденциальна больше не будет, например кто-нибудь в Интернете получит номер вашей кредитной карточки.
Во-вторых, это Модификация.
Ваша информация будет модифицирована, например ваш заказ в on-line магазине или ваше резюме.
В-третьих, подмена информации, которая может быть 2 типов.
1)WWW сервер может выдавать себя за другой, каковым он не является.
2)WWW сервер может действительно существовать под этим именем и заявлять, например, что это online магазин, но в действительности никогда не посылать никаких товаров, а только собирать номера кредитных карточек.
Атака на информацию может быть совершена несколькими путями.
Во-первых, это атака на систему клиента со стороны сервера.
Хакер, у которого есть свой WWW сервер, может постараться при помощи Java некорректных апплетов и JavaScript приложений, встроенных в HTML документ, вывести из строя пользовательскую систему, или получить информацию о ней, которая позволит ему взломать машину пользователя.
Во-вторых, атака на сервер со стороны клиента.
Хакер может через www клиента может попытаться вывести пользовательскую систему или www сервер из строя, или получить доступ к информации, доступа к которой у него нет. Для этого он может использовать дырки в безопасности в CGI приложениях, плохую настройку сервера, попытаться подменить CGI приложение.
И наконец, информация может быть украдена третьей стороной при ее передаче.
Каждая организация, имеющая дело с какими бы то ни было ценностями, рано или поздно сталкивается с посягательством на них. Предусмотрительные начинают планировать защиту заранее, непредусмотрительные—после первого крупного “прокола”. Так или иначе, встает вопрос о том, что, как и от кого защищать.
Обычно первая реакция на угрозу—стремление спрятать ценности в недоступное место и приставить к ним охрану. Это относительно несложно, если речь идет о таких ценностях, которые вам долго не понадобятся: убрали и забыли. Куда сложнее, если вам необходимо постоянно работать с ними. Каждое обращение в хранилище за вашими ценностями потребует выполнения особой процедуры, отнимет время и создаст дополнительные неудобства. Такова дилемма безопасности: приходится делать выбор между защищенностью вашего имущества и его доступностью для вас, а значит, и возможностью полезного использования.
Все это справедливо и в отношении информации. Например, база данных, содержащая конфиденциальные сведения, лишь тогда полностью защищена от посягательств, когда она находится на дисках, снятых с компьютера и убранных в охраняемое место. Как только вы установили эти диски в компьютер и начали использовать, появляется сразу несколько каналов, по которым злоумышленник, в принципе, имеет возможность получить к вашим тайнам доступ без вашего ведома. Иными словами, ваша информация либо недоступна для всех, включая и вас, либо не защищена на сто процентов.
Может показаться, что из этой ситуации нет выхода, но информационная безопасность сродни безопасности мореплавания: и то, и другое возможно лишь с учетом некоторой допустимой степени риска.
В области информации дилемма безопасности формулируется следующим образом: следует выбирать между защищенностью системы и ее открытостью. Правильнее, впрочем, говорить не о выборе, а о балансе, так как система, не обладающая свойством открытости, не может быть использована.
3.ЗАЩИТА WEB-СЕРВЕРОВ
Сервер Web организации обеспечивает ее присутствие в Internet. Однако распространяемые этим сервером данные могут содержать сведения частного характера, не предназначенные для чужих глаз. К сожалению, серверы Web представляют собой лакомую приманку для злоумышленников. Широкую огласку получили случаи «нападения» на серверы Министерства юстиции и даже ЦРУ: злоумышленники подменяли домашние страницы этих организаций на непристойные карикатуры. Поборники прав животных проникли на сервер Kriegsman Furs и заменили домашнюю страницу ссылкой на узлы, посвященные защите братьев наших меньших. Схожая судьба постигла серверы Министерства юстиции США, ЦРУ, Yahoo! и Fox. Дэн Фармер, один из создателей программы SATAN, для поиска брешей в защите сетей использовал еще не завершенную официально версию своего сканера для зондирования Web-серверов Internet и установил, что почти две трети из них имеют серьезные изъяны в защите.
Очевидно, что серверы Web защищены далеко не так надежно, как хотелось бы. В некоторых простых случаях все дело в незаметных, но небезопасных огрехах в сценариях CGI. В других ситуациях угрозу представляет недостаточная защита операционной системы хоста.
Простейший способ укрепить защиту сервера Web состоит в размещении его за брандмауэром. Однако, действуя таким образом, пользователь как бы переносит проблемы защиты во внутрикорпоративную сеть, а это не самый удачный выход. Пока сервер Web располагается «по другую сторону» брандмауэра, внутренняя сеть защищена, а сервер — нет. Побочным эффектом от такого шага является усложнение администрирования сервера Web.
Лучшим выходом было бы компромиссное решение: размещение сервера Web в его собственной сети, запрет внешних соединений или ограничение доступа к внутренним серверам.
Наряду с обеспечением безопасности программной среды, важнейшим будет вопрос о разграничении доступа к объектам Web-сервиса. Для решения этого вопроса необходимо уяснить, что является объектом, как идентифицируются субъекты и какая модель управления доступом — принудительная или произвольная — применяется.
В Web-серверах объектами доступа выступают универсальные локаторы ресурсов (URL — Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности — HTML-файлы, CGI-процедуры и т.п.
Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.
В большинстве Web-серверов права разграничиваются с точностью до каталогов (директорий) с применением произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.
Для раннего выявления попыток нелегального проникновения в Web-сервер важен регулярный анализ регистрационной информации.
Разумеется, защита системы, на которой функционирует Web-сервер, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение. Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии — упорядочены в соответствии со служебными обязанностями.
Еще один общий принцип состоит в том, чтобы минимизировать объем информации о сервере, которую могут получить пользователи. Многие серверы в случае обращения по имени каталога и отсутствия файла index.HTML в нем, выдают HTML-вариант оглавления каталога. В этом оглавлении могут встретиться имена файлов с исходными текстами CGI-процедур или с иной конфиденциальной информацией. Такого рода “дополнительные возможности” целесообразно отключать, поскольку лишнее знание (злоумышленника) умножает печали (владельца сервера).3.1.Ограничения доступа в WWW серверах Рассмотрим два из них:
• Ограничить доступ по IP адресам клиентских машин;
• ввести идентификатор получателя с паролем для данного вида документов.
Такого рода ввод ограничений стал использоваться достаточно часто, т.к. многие стремятся в Internet, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению прав доступа удобно производить саморассылку информации на получение которой существует договор.
Ограничения по IP адресам
Доступ к приватным документам можно разрешить, либо наоборот запретить используя IP адреса конкретных машин или сеток, например:
123.456.78.9
123.456.79.
В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетки 123.456.79.
Ограничения по идентификатору получателя
Доступ к приватным документам можно разрешить, либо наоборот запретить используя присвоенное имя и пароль конкретному пользователю, причем пароль в явном виде нигде не хранится.
Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW Сервер находится в сети Internet и общедоступен.
Рисунок 2.2.7
/> Рисунок 2.2.7 Пример списка вестников издательства. Выберем Вестник предоставляемый конкретному подписчику. На клиентском месте подписчик получает сообщение:
Рисунок 2.2.8
/> Рисунок 2.2.8 Окно ввода пароля. Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае — получает сообщение:
Рисунок 2.2.9
/> Рисунок 2.2.9 Окно неправильного ввода пароля. --PAGE_BREAK--3.2 World wide web серверы и проблема безопасности информации.
Среди WWW серверов отличаются отсутствием известных проблем с безопаcностью Netscape серверы, WN и apache.
WN сервер.
Это свободно распространяемый сервер, доступный для множества UNIX платформ. Основными целями при его создании были безопасность и гибкость. WN сервер содержит в каждой директории маленькую базу данных (список) документов содержащихся в ней. Если документ не перечислен в базе данных, клиент получить его не может. Базы данных либо генерируется специальной программой автоматически для всех файлов в дереве директорий, либо другой программой создаются из текстовых описаний, которые создаются вручную. В эти файлы, кроме перечисления документов можно вставлять HTML текст, т.к это аналог index.html в этом сервере.
Администратору web узла разбираться в сгенерированных файлах особой необходимости нет, но в принципе они аналогичны .cache файлам gopher. Сам сервер имеет разновидность для одновременной обработки gopher и http запросов к одним и тем же документам.
Безопасность выполнения CGI приложений обеспечивается выставлением uid/gid для нужного файла этой базы данных. Безо всякого программирования и особой настройки WN сервер обеспечивает 8 возможностей поиска внутри документов, имеет интерфейс к WAIS серверу. Вы можете включать одни документы внутрь других на серверной стороне (например стандартные сообщения вначале и в конце документа ) Можете применять фильтры к любому документу, для получения необходимого документа на выходе ( например подстановка слов ). Для обращения к документу можно использовать URL типа <host/dir/foo;lines=20-30, чтобы получить строки с 20 по 30. Документация к серверу очень хорошая, устанавливается он быстро, обнаруженные ошибки исправляются в течении нескольких дней.
Apache сервер — это свободно распространяемый WWW сервер для различных UNIX платформ и Windows NT, один из самых популярных в мире. Сейчас apache работает на 36 процентах от общего количества всех HTTP серверов в мире. Это быстрый и стабильный сервер. В сервер можно встроить SSL протокол, рассмотренный ниже на примере Netscape сервера.
Netscape Enterprise сервер.
Netscape Enterprise Server — это высокопроизводительный, защишенный World Wide Web сервер для создания, распространения, публикации информации в Интернете и выполнения сетевых интернетовских приложений, используя средства, базирующиеся на языках Java и JavaScript.
Netscape FastTrack сервер.
Netscape FastTrack сервер — это решение для тех, кого не устраивает цена и сложность Netscape Enterprise сервера. Он прост в использовании, разработанного чтобы позволить новичкам создавать и администрировать WWW сервер.
Серверы Netscape имеют встроенные средства безопасности коммерческой информации и коммуникаций. Гибкая авторизация пользователя контролирует доступ к отдельным файлам и директориям, используя имя пользователя и пароль, имя домена, имя машины, IP адрес, клиентские сертификаты (client-side certificates ), именованные группы. Дополнительные черты безопасности обеспечиваются протоколом Secure Socket Layer 3.0 (SSL 3.0) и механизмом открытых ключей.
SSL 3.0 — это последняя версия широко распространенного в Интернете стандарта, разработанного Netscape Communications corporation.
SSL протокол обеспечивает конфиденциальность, целостность и аутентичность информации.
Конфиденциальность и целостность информации обеспечивается посредством шифрования с открытым ключом. Аутентификация обеспечивается посредством цифровых сертификатов, которые почти невозможно подделать. Сертификат необходимо получать от третьей стороны, которой обе стороны доверяют.
SSL протокол — это схема шифрования низкого уровня, используемая для шифрования транзакций в протоколах высокого уровня, таких как HTTP, NNTP и FTP. SSL протокол содержит методы для идентификации сервера для клиента, шифрование данных при передаче и дополнительно, верификации клиента для сервера. Из коммерческих систем SSL протокол сейчас реализован в Netscape навигаторах и Netscape серверах. ( Реализованы шифрование данных и авторизация сервера, авторизация клиента нет).
Существует также свободно распространяемая версия SSL, называемая SSLeay. Она содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP. Поддерживаются также свободно распространяемые Unix Web серверы Apache и NCSA httpd и несколько Web клиентов, включая Mosaic. Этот пакет может быть использован бесплатно для коммерческих и некоммерческих приложений.
Механизм открытых ключей обеспечивает шифрование данных при помощи открытого ключа(public key). В традиционных системах шифрования один и тот же ключ использовался для шифрования и дешифрования. В новом открытом или асимметричных системах шифрования ключи идут парами: один ключ используется для кодирования, другой для декодирования. Один из этих ключей, называемый открытым ключом, свободно распространяемый и используется для кодирования сообщений. Другой ключ, называемый личным ключом (private key) засекречен и используется для декодирования поступающего сообщения. В этой системе пользователь, посылающий сообщение второму пользователю может зашифровать сообщение открытым ключом второго пользователя.
Сообщение может дешифровано владельцем секретного личного ключа второго пользователя. Эта система может быть использована для создания неподделываемых цифровых подписей. В Netscape Enterprise Server администраторы могут динамически изменять ключи для сервера, что позволяет оперативно изменять политику авторизации.
Netscape серверы и навигаторы осуществляют шифрование используя или 40-битный ключ или 128-битный ключ. В принципе можно взломать 40-битный ключ, перебирая каждую возможную комбинацию ( всего 2^40 ) пока Вы не обнаружите, что сообщение расшифровано. Взломать 128 битный ключ практически нереально.
3.3.Java, JavaScript и проблема безопасности.
Java и JavaScript — это тот раздел безопасности Web, который касается не администраторов и создателей Web серверов, а пользователей и администраторов пользовательских сетей.
Несмотря на сходство в именах Java и JavaScript это две различных продукта. Java — это язык программирования разработанный SunSoft. Java программы прекомпилируются в компактную форму и хранятся на сервере. HTML документы могут ссылаться на миниприложения, называемые Java аплетами. WWW клиенты, которые поддерживают Java апплеты, загружают откомпилированные Java приложения и выполняют их на машине клиента. JavaScript это набор расширений к HTML, интерпретируемых WWW клиентом. В принципе, несмотря на то что JavaScript имеет более длинную историю проблем, связанных с безопасностью, хакерская программа на Java может активно и успешно вывести пользовательскую систему из строя, про JavaScript до сих пор известны только случаи передачи конфиденциальной информации клиента на Web сервер. Java апплеты выполняются на клиентской стороне, а не на серверной, и поэтому увеличивают риск атаки со стороны сервера. Нужно ли беспокоится об этом ?
В Java встроены средства для ограничения доступа к клиентской машине. Апплетам не разрешается выполнять системные команды, загружать системные библиотеки, или открывать системные устройства, такие как диски. Апплетам, в зависимости от WWW клиента или запрещены все дисковые операции ( Netscape ), или почти все ( HotJava ).Апплетам разрешается устанавливать соединение по сети только к серверу, откуда аплет был загружен. Но Drew Dean ( [email protected] ) обнаружил, что можно написать апплет, который будет устанавливать соединение к любому компьютеру в интернете, то есть аплет из Интернета, загруженный на вашу локальную машину WWW клиентом может подсоединиться по TCP/IP к любой машине на вашей локальной сети, даже если она защищена через firewall. Эта проблема связана с тем, что Java выполняет верификацию для соединения через Domain.
Name System (DNS). Взломщик используя свой собственный DNS сервер может создать некорректную ссылку в DNS, чтобы заставить Java систему считать, что апплету разрешено соединение с компьютером к которому у него нет права подсоединяться. Ошибка была исправлена в Netscape навигаторе 2.01 и JDK 1.0.1.
David Hopwood обнаружил, что загружая апплеты с 2 разных WWW серверов хэкер может нарушить пространство имен Java Virtual Machine. Это позволяет преобразовывать типы переменных друг в друга, преобразовывать целые в ссылки и т.д. В результате апплет может читать и писать локальные файлы, выполнять машинный код. Безо всяких проблем в UNIX может быть создан файл .rhosts. Эта ошибка проявляется, как минимум на HotJava, код может быть написан целиком на Java и быть платформонезависимым.
В настоящих версиях Java возможны трюки с вызовом конструктора суперкласса, в результате чего этот вызов может быть пропущен. Это связано с алгоритмом, который сейчас использует интерпретатор Java. Возможные пути для этого:
-super внутри try.
-super внутри if.
-cathcer/thrower.
JavaScript — это встроен в Netscape навигатор. Периодически в Netscape навигаторе обнаруживались проблемы с безопасностью в связи с JavaScript, которые Netscape периодически устраняет в новых версиях навигатора. Andy Augustine в своем JavaScript FAQ описывает следующие проблемы: 1)Чтение пользовательской истории URL — исправлено в Netscape 2.0.
2)Чтение пользовательского кэша URL — исправлено в Netscape 2.0.
3)Чтение пользовательского e-mail адреса и передача его по Интернету исправлено в Netscape 2.01.
4)Получение рекурсивного оглавления файловой системы — исправлено в Netscape 2.01.
5)Открытие окна размером 1 пиксел, получение URL открытых документов и передача их удаленному серверу. Эта общая проблема сетевых графических систем, имеющая длинную историю. Пользователи x-windows, которые запускают команду `xhost +` без аргументов могут столкнуться с чужим невидимым окошком, которое передает ввод пользователя по Интернету хакеру.
Для того чтобы работать с Java и JavaScript приложениями без проблем с безопасностью рекомендуется:
-Не пользоваться старыми версиями WWW клиентов, которые поддерживают Java и JavaScript. Производители web клиентов исправляют свои программы, если обнаруживается новая ошибка в безопасности.
-Следить за текущим состоянием дел с безопасностью Java и Javascript. Javasoft имеет страницу, посвященную Java и безопасности. У netscape есть аналогичная страница про JavaScript. Каждый производитель web клиента имеет на своем сервере страницу посвященную безопасности.
В заключение несколько общих правил, которые помогут Вам избежать многих проблем.
1.При создании web сервера используйте надежный продукт. Используйте web сервер, который подходит под ваши нужды, не обязательно самый всеобъемлющий и модный.
2.Читайте документацию сервера. Недостатки в настройке чаще создают проблемы с безопасностью нежели ошибки в самом сервере.
3.Не забывайте про SSL протокол, если речь идет о коммерческой информации.
4.Заботьтесь о безопасности CGI приложений, так как это части самого сервера. Не забывайте проверять и чужие CGI приложения, если у Вас многопользовательский сервер.
5.Не пользуйтесь старыми версиями Web клиентов с поддержкой Java и JavaScript. Следите за обновлениями.4.Заключение. В данной работе мною были рассмотрены проблемы защиты информации в глобальной сети Internet. Проблема эта была и остается актуальной по сей день, так как никто еще не может гарантировать на сто процентов того, что ваша информация будет защищена или в ваш компьютер не попадет вирус. Актуальность этой проблемы подтверждает еще и то, что ей посвещено огромное количество страниц в Internet. Однако большая часть информации идет на английском языке, что затрудняет работу с ней. Разумеется в данной работе рассмотрена лишь часть проблемы (не рассмотрена, например, защита информации при помощи брандмауэров(сетевых экранов)). Проведенные исследования показывают, что разработано множество способов защиты информации: разграничение доступа, защита при помощи паролей, шифрование данных и.т.п. Однако, несмотря на все это, до сих пор мы то и дело слышим о взломах хакерами различных серверов и компьютерных систем. Это говорит о том, что проблема защиты информации еще не решена и на ее решение будет потрачено множество сил и времени. 5. Список специальных терминов
ARP (Address Resolution Protocol) — протокол определения адреса, преобразует адрес компьютера в сети Internet в его физический адрес.
ARPA (Advanced Research Projects Agency) — бюро проектов передовых исследований министерства обороны США.
Ethernet — тип локальной сети. Хороша разнообразием типов проводов для соединений, обеспечивающих пропускные способности от 2 до 10 миллионов bps(2-10 Mbps). Довольно часто компьютеры, использующие протоколы TCP/IP, через Ethernet подсоединяются к Internet.
FTP (File Transfer Protocol) — протокол передачи файлов, протокол, определяющий правила пересылки файлов с одного компьютера на другой.
FAQ (Frequently Asked Qustions) — часто задаваемые вопросы. Раздел публичных архивов сети Internet в котором хранится информация для «начинающих» пользователей сетевой инфраструктуры.
Gopher — интерактивная оболочка для поиска, присоединения и использования ресурсов и возможностей Internet. Интерфейс с пользователем осуществлен через систему меню.
HTML (Hypertext Markup Language)- язык для написания гипертекстовых документов. Основная особенность — наличие гипертекстовых связей между документами находящимися в различных архивах сети; благодаря этим связям можно непосредственно во время просмотра одного документа переходить к другим документам.
Internet — глобальная компьютерная сеть.
IP (Internet Protocol) — протокол межсетевого взаимодействия, самый важный из протоколов сети Internet, обеспечивает маршрутизацию пакетов в сети.
IР-адрес — уникальный 32-битный адрес каждого компьютера в сети Internet.
Telnet — удаленный доступ. Дает возможность абоненту работать на любой ЭВМ сети Internet как на своей собственной.
TCP\IP — под TCP\IP обычно понимается все множество протоколов поддерживаемых в сети Internet.
TCP (Transmission Control Protocol) — протокол котроля передачи информации в сети. TCP — протокол транспортного уровня, один из основных протоколов сети Internet. Отвечает за установление и поддержание виртуального канала (т.е. логического соединения), а также за безошибочную передачу информации по каналу.
UDP (User Datagram Protocol) — протокол транспортного уровня, в отличие от протокола TCP не обеспечивает безошибочной передачи пакета.
Unix — многозадачная операционная система, основная операционная среда в сети Internet. Имеет различные реализации: Unix-BSD, Unix-Ware, Unix-Interactive.
UUCP — протокол копирования информации с одного Unix-хоста на другой. UUCP — не входит в состав протоколов TCP/IP, но тем не менее все-еще широко используется в сети Internet. На основе протокола UUCP — построены многие системы обмена почтой, до сих пор используемые в сети.
WWW (World Wide Web) — всемирная паутина. Система распределенных баз данных, обладающих гипертекстовыми связями между документами.6.Список литературы. 1.Http://www.lanmag.ru/
2. Игер Б. Работа в Internet / Под ред. А. Тихонова; Пер. c англ. — М.: БИНОМ, 1998. — 313 c.
3.LAN/NetworkSolutionMagazine #7-8 1998.
4. Левин В.К. Защита информации в информационно-вычислительных cистемах и сетях // Программирование. — 1994. — N5. — C. 5-16.
www.ronl.ru