11.2. Угрозы безопасности информации и их классификация
Угроза безопасности информации компьютерной системой (КС) — возможность воздействия на информацию, обрабатываемую КС, с целью ее искажения, уничтожения, копирования или блокирования, а также возможность воздействия на компоненты КС, приводящие к сбою их функционирования.
Угрозы безопасности информации бывают следующие:
Угроза удаленного администрирования. Под удаленным администрированием понимается несанкционированное управление удаленным компьютером. Удаленное администрирование позволяет брать чужой компьютер под свое управление. Это позволит копировать и модифицировать имеющиеся на нем данные, устанавливать на нем произвольные программы, в том числе и вредоносные, использовать чужой компьютер для совершения преступных действий в сети «от его имени».
Защита от удаленного администрирования.
Для эффективной защиты от удаленного администрирования необходимо представлять себе методы, которыми оно достигается. Таких методов два. Первый метод — установить па компьютере «жертвы» программу (аналог сервера), с которой злоумышленник может создать удаленное соединение в то время, когда «жертва» находится в сети. Программы, используемые для этого, называются троянскими. По своим признакам они в значительной степени напоминают компьютерные вирусы.
Второй метод удаленного администрирования основан на использовании уязвимостей (ошибок), имеющихся в программном обеспечении компьютерной системы партнера по связи. Цель этого метода — выйти за рамки общения с клиентской (серверной) программой и напрямую воздействовать на операционную систему, чтобы через нее получить доступ к другим программам и данным. Программы, используемые для эксплуатации уязвимостей компьютерных систем, называются эксплоитами.
Угроза активного содержимого. Активное содержимое – это активные объекты, встроенные в Web – страницы. В отличие от пассивного содержимого (текстов, рисунков, аудиоклипов и т.п.) активные объекта включают в себе не только данные, но и программный ход. Агрессивный программный ход, напавший на компьютер «жертвы», способен вести себя, как компьютерный вирус или как агентская программа. Так, например, он может производить разрушение данных, но может взаимодействовать с удаленными программами и, тем самым, работать как средство удаленного администрирования или готовить почву для ее установки.
Защита от активного содержимого.
Защищающаяся сторона должна оценить угрозу своему компьютеру и, соответственно, настроить браузер так, чтобы опасность была минимальна. Если никакие ценные данные или конфиденциальные сведения на компьютере не хранятся, защиту можно отключить и просматривать Web-страницы в том виде, как предполагал их разработчик. Если угроза нежелательна, прием Java-апплетов, элементов ActiveX и активных сценариев можно отключить. Компромиссный вариант — в каждом конкретном случае запрашивать разрешение на прием того или иного активного объекта. В зависимости от того, с каким узлом установлено соединение (можно ему доверять или нет), этот вопрос каждый раз решается по-разному.
Угроза перехвата или подмены данных на путях транспортировки. С проникновением Интернета в экономику очень остро встает угроза перехвата или подмены данных на путях транспортировки. Так, например, расчет электронными платежными средствами (картами платежных систем) предполагает отправку покупателем конфиденциальных данных о своей карте продавцу. Если эти данные будут перехвачены на одном из промежуточных серверов, нет гарантии, что ими не воспользуется злоумышленник. Кроме того, через Интернет передаются файлы программ. Подмена этих файлов на путях транспортировки может привести к тому, что вместо ожидаемой программы, клиент получит ее аналог с «расширенными» свойствами.
Средства защиты данных на путях транспортировки.
С проникновением коммерции в Интернет все чаще возникает потребность проведения дистанционных деловых переговоров, приобретения в сети программного обеспечения, денежных расчетов за поставленные товары и услуги. В этих случаях возникает потребность в защите данных на путях транспортировки. Одновременно с потребностью в защите данных возникает потребность в удостоверении (идентификации) партнеров по связи и подтверждении (аутентификации) целостности данных.
Вот несколько примеров того, во что может вылиться отсутствие защиты и удостоверения целостности данных и лиц.
1. Два предпринимателя, находящиеся далеко друг от друга и никогда не встречавшиеся лично, заключают договор о совместной деятельности. Если не принять специальных мер, то по прошествии некоторого времени любая из сторон может заявить, что никакого договора между ними не было, eй об этом ничего не известно и с кем вел переговоры другой партнер, она не знает.
2. Приобретение товаров и услуг через Интернет обычно оплачивается с помощью платежных карт. Покупатель сообщает продавцу конфиденциальные данные о своей кредитном карте, и тот может списать со счета покупателя оговоренную сумму. В случае, если данные будут перехвачены на одном из промежуточных серверов, неизвестные лица могут воспользоваться чужой платежной картой, оплатив ею в сети заказ товаров или услуг.
3. Получив с удаленного сервера полезную программу и установив ее на свой компьютер, мы можем с удивлением обнаружить, что в ней содержится троянский код, позволяющий дистанционно хозяйничать на нашем компьютере. Обратившись с претензией к автору программы, поставившему ее, мы можем услышать в ответ, что ничего подобного он не распространял, а если где-то па путях транспортировки кто-то внес в программу несанкционированные изменения, то он за это отвечать не может.
Это лишь три примера. На самом деле, с зарождением электронной коммерции в бизнесе и экономике ежедневно возникает огромное количество проблем. С каждым днем их количество будет прогрессивно возрастать. Сегодня в электронной коммерции защищают и аутентифицируют данные, а также идентифицируют удаленных партнеров с помощью криптографических методов.
Угроза вмешательства в личную жизнь. В основе этой угрозы лежат коммерческие интересы рекламных организаций. В настоящее время годовой рекламный бюджет Интернета составляет несколько десятков миллиардов долларов США. В желании увеличить свои доходы от рекламы множество компаний организует Web – узлы не только для того, чтобы предоставлять клиентам сетевые услуги, сколько собрать о них персональные сведения. Эти сведения обобщаются, классифицируются и поставляются рекламным и маркетинговым службам. Процесс сбора персональной информации автоматизирован, не требует практически никаких затрат и позволяет без ведома клиентов исследовать их предпочтения, вкусы, привязанности.
Защита от вмешательства в личную жизнь.
Сбор сведений об участниках работы в Интернете. Кроме средств активного воздействия па удаленный компьютер существуют и средства пассивного наблюдения за деятельностью участников Сети. Они используются рекламно-маркетинговыми службами. Как обычно, приведем пример.
При посещении почти любых Web-страниц нам на глаза попадаются рекламные объявления (их называют баннерами). При их приеме наш браузер устанавливает связь с их владельцем (с рекламной системой) и незаметно для нас регистрируется в этой системе. Мы можем не обращать внимания на эту рекламу и никогда ею не пользоваться, но, переходя от одной Web-страницы к другой, мы создаем свой психологический портрет (он называется профилем). По характеру посещаемых Web-узлов и Web-страниц удаленная служба способна определить пол, возраст, уровень образования, род занятий, круг интересов, уровень благосостояния и даже характер заболеваний лица, которое никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться где-то под своим именем и фамилией, и ранее собранные абстрактные сведения приобретают вполне конкретный характер — так образуются негласные персональные базы данных на участников работы в сети.
Сопоставляя данные по разным людям или по одним и тем же людям, по полученные в разное время, следящие системы получают профили не только па отдельных лиц, но и на коллективы: семьи, рабочие группы, предприятия. Полученные данные могут использоваться как легально, так н нелегально. Например, идентифицировав некое лицо как любителя горных лыж, рекламная система при последующих его выходах в сеть чаще предъявляет ему объявления, относящиеся к этому виду спорта, чем другие. Это пример легального использования сведений. Но есть примеры и нелегального использования. Классифицированные базы данных являются товаром: они покупаются и продаются, переходят из рук в руки и становятся основой для деятельности многих организаций самого разного профиля.
Угроза поставки неприемлемого содержимого. Не вся информация, публикуемая в Интернете, может считаться полезной. Существует масса причин морально-этического, религиозного, культурного и политического характера, когда людям может неприятна поставляемая информация, и они хотят от нее защититься.
В большинстве стран мира Интернет пока не считается средством массовой информации (СМИ). Это связано с тем, что поставщик информации не занимается ее копированием, тиражированием и распространением, то есть он не выполняет функции СМИ. Все это делает сам клиент в момент использования гиперссылки. Поэтому обычные законы о средствах массовой информации, регламентирующие, что можно распространять, а что нет, в Интернете пока не работают. По видимому, правовой вакуум, имеющийся в этом вопросе, со временем будет ликвидирован, но многим людям и сегодня нужны средства защиты от поставки документов неприемлемого содержания. Обычно функции фильтрации поступающего содержания возлагают на браузер или на специально установленную для этой цели программу.
Системы защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:
1. Средства собственный защиты – элементы защиты, присущие самому программному обеспечению или сопровождающие его продажу и препятствующие незаконным действиям.
2. Средства защиты с запросом информации – требуют для своей работы ввода дополнительной информации с целью идентификации полномочий пользователей.
3. Средства пассивной защиты – направлены на предостережение, контроль, поиск улик и доказательств с целью создания обстановки неотвратимого раскрытия преступления.
4. Средства защиты в составе вычислительной системы – средства защиты аппаратуры, дисков и штатных устройств. При использовании таких средств операционная среда в отличие от штатного режима постоянно изменяется, поскольку выполнение программ зависит от определенных действий, специальных мер предосторожности и условий, гарантирующих защиту.
5. Средства активной защиты – инициируются при возникновении особых обстоятельств:
- вводе неправильного пароля;
- указания неправильной даты и времени при запуске программ;
- попытках доступа к информации без разрешения.
- угрозы, обусловленные действиями субъекта (антропогенные);
- угрозы, обусловленные техническими средствами (техногенные);:
- угрозы, обусловленные стихийными источниками.
- кража (копирование) программного обеспечения;
- подмена (несанкционированный ввод) информации;
- уничтожение (разрушение) данных на носителях информации;
- нарушение нормальной работы (прерывание) в результате вирусных атак;
- модификация (изменение) данных на носителях информации;
- перехват (несанкционированный съем) информации;
- кража (несанкционированное копирование) ресурсов;
- нарушение нормальной работы (перегрузка) каналов связи;
- непредсказуемые потери.