Захист інформації в Інтернеті
Проведення фінансових операцій з використанням Інтернету, замовлення товарів і послуг, використання кредитних карток, доступ до закритих інформаційних ресурсів, передача телефонних розмов вимагають забезпечення відповідного рівня безпеки.
Конфіденційна інформація, яка передається через мережу Інтернет, проходить через певну кількість маршрутизаторів і серверів, перш ніж досягне пункту призначення. Зазвичай маршрутизатори не відслідковують проходять крізь них потоки інформації, але можливість того, що інформація може бути перехоплена, існує. Більш того, інформація може бути змінена і передана адресату в зміненому вигляді. На жаль, сама архітектура мережі Інтернет завжди залишає можливість для несумлінного користувача здійснити подібні дії.
Завжди існує проблема вибору між необхідним рівнем захисту і ефективністю роботи в мережі. У деяких випадках користувачами або споживачами заходи щодо забезпечення безпеки можуть бути розцінені як заходи з обмеження доступу та ефективності. Однак такі засоби, як, наприклад, криптографія, дозволяють значно посилити ступінь захисту, не обмежуючи доступ користувачів до даних.
Принципи захисту інформації
Проблеми, що виникають з безпекою передачі інформації при роботі в комп'ютерних мережах, можна розділити на чотири основні типи:
- перехоплення інформації - цілісність інформації зберігається, але її конфіденційність порушена;
- модифікація інформації - вихідне повідомлення змінюється або повністю підміняється іншим і відсилається адресату;
- підміна авторства інформації;
- перехоплення повідомлення з його вилученням.
Дана проблема може мати серйозні наслідки.
Наприклад, хтось може надіслати листа від вашого імені (цей вид обману прийнято називати Спуфінга) або Web-сервер може прикидатися електронним магазином, приймати замовлення, номери кредитних карт, але не висилати ніяких товарів.
У відповідності з перерахованими проблемами при обговоренні питань безпеки під самим терміном "безпека" мається на увазі сукупність трьох різних характеристик забезпечує безпеку системи:
1. Аутентифікація - це процес розпізнавання користувача системи і надання йому певних прав і повноважень. Кожен раз, коли заходить мова про ступінь або як аутентифікації, під цим слід розуміти ступінь захищеності системи від зазіхань сторонніх осіб на ці повноваження.
2. Цілісність - стан даних, при якому вони зберігають свій інформаційний зміст і однозначність інтерпретації в умовах різних впливів. Зокрема, в разі передачі даних під цілісністю розуміється ідентичність відправленого і прийнятого.
3. Секретність - запобігання несанкціонованого доступу до інформації. У разі передачі даних під цим терміном звичайно розуміють запобігання перехоплення інформації.
криптографія
Для забезпечення секретності застосовується шифрування, або криптографія, що дозволяє трансформувати дані в зашифровану форму, з якої витягти вихідну інформацію можна тільки при наявності ключа.
В основі шифрування лежать два основних поняття: алгоритм і ключ. Алгоритм - це спосіб закодувати вихідний текст, в результаті чого виходить зашифроване послання. Зашифроване послання може бути інтерпретовано тільки за допомогою ключа.
Очевидно, щоб зашифрувати послання, досить алгоритму. Однак використання ключа для шифрування надає два істотних переваги. По-перше, можна використовувати один алгоритм з різними ключами для відправки послань різним адресатам. По-друге, якщо секретність ключа буде порушена, його можна легко замінити, не змінюючи при цьому алгоритм шифрування. Таким чином, безпеку систем шифрування залежить від таємності використовуваного ключа, а не від секретності алгоритму шифрування. Багато алгоритми шифрування є загальнодоступними.
Кількість можливих ключів для даного алгоритму залежить від числа біт в ключі. наприклад,
8-бітний ключ допускає 256 (28) комбінацій ключів. Чим більше можливих комбінацій ключів, тим важче підібрати ключ, тим надійніше зашифровано послання. Так, наприклад, якщо використовувати 128-бітний ключ, то необхідно буде перебрати 2128 ~ = 1040 ключів, що в даний час не під силу навіть самим потужним комп'ютерам. Важливо відзначити, що зростаюча продуктивність техніки призводить до зменшення часу, потрібного для розтину ключів, і системам забезпечення безпеки доводиться використовувати всі довші ключі, що, в свою чергу, веде до збільшення витрат на шифрування.
Оскільки таке важливе місце в системах шифрування приділяється секретності ключа, то основною проблемою подібних систем є генерація і передача ключа. Існують дві основні схеми шифрування: симетричне шифрування (його також іноді називають традиційним або шифруванням з секретним ключем) і шифрування з відкритим ключем (іноді цей тип шифрування називають асиметричним).
При симетричному шифруванні відправник і одержувач володіють одним і тим же ключем (секретним), за допомогою якого вони можуть зашифровувати і розшифровувати дані. При симетричному шифруванні використовуються ключі невеликої довжини, тому можна швидко шифрувати великі обсяги даних. Симетричне шифрування використовується, наприклад, деякими банками в мережах банкоматів. Однак симетричне шифрування володіє декількома недоліками. По-перше, дуже складно знайти безпечний механізм, за допомогою якого відправник і одержувач зможуть таємно від інших вибрати ключ. Виникає проблема безпечного поширення секретних ключів. По-друге, для кожного адресата необхідно зберігати окремий секретний ключ. По-третє, в схемі симетричного шифрування неможливо гарантувати особу відправника, оскільки два користувача володіють одним ключем.
У схемі шифрування з відкритим ключем для шифрування послання використовуються два різних ключа. За допомогою одного з них послання зашифрована, а за допомогою другого - розшифровується. Таким чином, необхідної безпеки можна домогтися, зробивши перший ключ загальнодоступним (відкритим), а другий ключ зберігати тільки в одержувача (закритий, особистий ключ). У такому випадку будь-який користувач може зашифрувати послання за допомогою відкритого ключа, але розшифрувати послання здатний тільки володар особистого ключа. При цьому немає необхідності піклуватися про безпеку передачі відкритого ключа, а для того щоб користувачі могли обмінюватися секретними повідомленнями, досить наявності у них відкритих ключів один одного.
Недоліком асиметричного шифрування є необхідність використання більш довгих, ніж при симетричному шифруванні, ключів для забезпечення еквівалентного рівня безпеки, що позначається на обчислювальних ресурсах, необхідних для організації процесу шифрування.
Електронний цифровий підпис
Навіть якщо послання, безпеку якого ми хочемо забезпечити, належним чином зашифровано, все одно залишається можливість модифікації вихідного повідомлення або підміни цього повідомлення іншим. Одним із шляхів вирішення цієї проблеми є передача користувачем одержувачу короткого представлення переданого повідомлення. Подібне короткий уявлення називають контрольною сумою, або дайджестом повідомлення.
Контрольні суми використовуються при створенні резюме фіксованої довжини для подання довгих повідомлень. Алгоритми розрахунку контрольних сум розроблені так, щоб вони були по можливості унікальні для кожного повідомлення. Таким чином, усувається можливість підміни одного повідомлення іншим зі збереженням того ж самого значення контрольної суми.
Однак при використанні контрольних сум виникає проблема передачі їх одержувачу. Одним з можливих шляхів її вирішення є включення контрольної суми в так звану електронний підпис.
За допомогою електронного підпису одержувач може переконатися в тому, що отримане їм повідомлення надіслано НЕ сторонньою особою, а має певні права відправником. Електронні цифрові підписи створюються шифруванням контрольної суми і додаткової інформації за допомогою особистого ключа відправника. Таким чином, будь-хто може розшифрувати підпис, використовуючи відкритий ключ, але коректно створити підпис може тільки власник особистого ключа. Для захисту від перехоплення і повторного використання підпис включає в себе унікальне число - порядковий номер. олее детально про електронний цифровий підпис (ЕЦП) читайте в розділі курсу ОСВМ аутентифікація інформації
З 2012 року в Казахстані функціонує свій Національний засвідчує центр , В якому громадяни та організації Казахстану можуть отримати свої закриті ключі і програмні пакети для формування своєї цифрового підпису для ведення електронних юридичних операцій з її використанням. Необхідно, однак, зауважити, що дана система ще дуже сира і дозволяє зловмисникам легко скористатися чужою електронним підписом для здійснення підроблених угод. Це відбувається з наступних причин: видача файлів електронних підписів відбувається "вручну", тобто оператор, який видає підпис завжди може мати її копію на своєму USB-носії, пароль видається на всіх один (!!!) - 123456. При спробі зміни пароля файл електронного підпису записаний на стирається носії, фатально пошкоджується, і, якщо власник підпису не зробив попередньо копію, то він позбавляється можливості підписувати документи до отримання нового підпису з ННЦ, ЦОН або у програмістів районного податкового комітету.
На сьогодні вже відомо безліч фіктивних угод з нерухомістю та іншим майном, а також незаконним отриманням документів за допомогою чужої електронного підпису. Тому, єдино розумним дією, що оберігає людину від позбавлення його власності, є безумовна відмова від отримання ЕЦП, а якщо така вже отримана, то подача заяви про її втрату (відмову від неї).
аутентифікація
Аутентифікація є одним з найважливіших компонентів організації захисту інформації в мережі. Перш ніж користувачеві буде надано право отримати той чи інший ресурс, необхідно переконатися, що він дійсно той, за кого себе видає.
При отриманні запиту на використання ресурсу від імені будь-якого користувача сервер, що надає даний ресурс, передає управління сервера аутентифікації. Після отримання позитивної відповіді сервера аутентифікації користувачеві надається запитуваний ресурс.
При аутентифікації використовується, як правило, принцип, який отримав назву "що він знає", - користувач знає деяке секретне слово, яке він посилає серверу аутентифікації у відповідь на його запит. Однією зі схем аутентифікації є використання стандартних паролів. Ця схема є найбільш вразливою з точки зору безпеки - пароль може бути перехоплений і використаний іншою особою. Найчастіше використовуються схеми з застосуванням одноразових паролів. Навіть будучи перехоплених, цей пароль буде марний при наступній реєстрації, а отримати наступний пароль з попереднього є вкрай важким завданням. Для генерації одноразових паролів використовуються як програмні, так і апаратні генератори, що представляють собою пристрої, що вставляються в слот комп'ютера. Знання секретного слова необхідно користувачу для приведення цього пристрою в дію. Однією з найбільш простих систем, які не потребують додаткових витрат на обладнання, але в той же час забезпечують хороший рівень захисту, є S / Key, на прикладі якої можна продемонструвати порядок подання одноразових паролів.
У процесі аутентифікації з використанням S / Key беруть участь дві сторони - клієнт і сервер. При реєстрації в системі, що використовує схему аутентифікації S / Key, сервер надсилає на клієнтську машину запрошення, що містить зерно, передане по мережі у відкритому вигляді, поточне значення лічильника ітерацій і запит на введення одноразового пароля, який повинен відповідати цьому значенню лічильника ітерації. Отримавши відповідь, сервер перевіряє його і передає управління сервера необхідного користувачем сервісу. Детальніше про технології аутентифікації
захист мереж
Останнім часом корпоративні мережі все частіше включаються в Інтернет або навіть використовують його в якості своєї основи. З огляду на те, якої шкоди може принести незаконне вторгнення в корпоративну мережу, необхідно виробити методи захисту. Для захисту корпоративних інформаційних мереж використовуються брандмауери. Брандмауер - це система або комбінація систем, що дозволяють розділити мережу на дві або більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, ця межа проводиться між локальною мережею підприємства і Інтернетом, хоча її можна провести і всередині. Однак захищати окремі комп'ютери невигідно, тому зазвичай захищають всю мережу.
Брандмауер пропускає через себе весь трафік і для кожного пакету, що приймає рішення - пропускати його або відкинути. Для того щоб брандмауер міг приймати ці рішення, для нього визначається набір правил.
Брандмауер може бути реалізований як апаратними засобами (тобто як окрема фізична пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.
Як правило, в операційну систему, під керуванням якої працює брандмауер, вносяться зміни, мета яких - підвищення захисту самого брандмауера. Ці зміни зачіпають як ядро ОС, так і відповідні файли конфігурації. На самому брандмауері не дозволено мати розділів користувачів, а отже, і потенційних дірок - тільки розділ адміністратора. Деякі брандмауери працюють тільки в режимі одного, а багато хто має систему перевірки цілісності програмних кодів.
Брандмауер зазвичай складається з декількох різних компонентів, включаючи фільтри або екрани, які блокують передачу частини трафіку. Всі брандмауери можна розділити на два типи:
пакетні фільтри, які здійснюють фільтрацію IP-пакетів засобами фільтруючих маршрутизаторів;
сервери прикладного рівня, які блокують доступ до певних сервісів в мережі. Таким чином, брандмауер можна визначити як набір компонентів або систему, яка розташовується між двома мережами і має такі властивості:
- весь трафік з внутрішньої мережі в зовнішню і з зовнішньої мережі у внутрішню повинен пройти через цю систему;
- тільки трафік, певний локальної стратегією захисту, може пройти через цю систему;
У такому випадку система надійно захищена від проникнення.
Кардинальним вирішенням захисту локальної мережі є її повна (фізична) ізоляція від інших мереж.
Чи знаєте Ви,
як дозволяється парадокс Ольберса?
(Фотометричний парадокс, парадокс Ольберса - це один з парадоксів космології, що полягає в тому, що у Всесвіті, рівномірно заповненою зірками, яскравість неба (в тому числі нічного) повинна бути приблизно дорівнює яскравості сонячного диска. Це повинно мати місце тому, що з будь-якого напрямку неба промінь зору рано чи пізно упреться в поверхню зірки.
Іншими словами парадос Ольберса полягає в тому, що якщо Всесвіт нескінченний, то чорного неба ми не побачимо, тому що випромінювання далеких зірок буде підсумовуватися з випромінюванням ближніх, і небо повинно мати середню температуру фотосфери зірок. При поглинанні світла міжзоряним речовиною, воно буде розігріватися до температури зіркових фотосфери і випромінювати також яскраво, як зірки. Однак в справу вступає явище "втоми світла", відкрите Едвіном Хабблом, який показав, що чим далі від нас розташована галактика, тим більше стає червоним світло її випромінювання, тобто фотони як би "втомлюються", віддають свою енергію міжзоряному середовищі. На дуже великих відстанях галактики видно тільки в радіодіапазоні, так як їх світло зовсім втратив енергію йдучи через безкраї простори Всесвіту. Детальніше читайте в FAQ по ефірної фізиці . 
