Ростовский Ю.М., Гречков В.Ю. Внешнеэкономическая деятельность. Учебник" (3е издание, переработанное и дополненное) (Ростовский Ю. М., Гречков В. Ю.) ("
 Скачать 2.26 Mb.
|
|
сертификационных, или удостоверяющих, центров. Такой сертификационный центр может быть государственным или коммерческим и хранит открытые ключи вместе с доказательствами личности их владельцев. В зависимости от класса сертификата от владельца открытого ключа могут потребоваться различные доказательства <1>: - сертификат класса 1 требует лишь назвать имя и адрес электронной почты владельца; - сертификат класса 2 требует проверки удостоверения личности, номера карточки социального страхования и даты рождения владельца; - сертификат класса 3 предполагает помимо всех проверок, необходимых для получения класса 2, еще и проверку кредитоспособности владельца; - сертификат класса 4 в дополнение к упомянутым проверкам включает информацию о положении владельца в организации. -------------------------------- <1> См.: Козье Д. Указ. соч. С. 74. Для подтверждения личности владельца открытого ключа сертификационные центры выдают цифровые сертификаты, которые, как правило, содержат: имя владельца ключа, название сертификационного центра, открытый ключ, срок действия сертификата, его класс и идентификационный номер. Цифровые сертификаты служат электронными удостоверениями личности и позволяют удостовериться в том, что владелец открытого ключа является тем самым лицом, за которого он себя выдает в Сети. Большинство цифровых сертификатов отвечает международным требованиям - стандарту Международного союза по телекоммуникациям (ITU) X.509 и является универсальным средством идентификации во всем мире. Международный стандарт определяет перечень полей и формат данных цифровых сертификатов, обеспечивая их совместимость. Для того чтобы получить цифровой сертификат у коммерческого или правительственного сертификационного центра, владелец открытого ключа должен внести определенную плату, размер которой зависит от класса сертификата. Сертификационные (удостоверяющие) центры также ведут специальные списки недействительных сертификатов (CRL - Certificate Revocation List), в которые заносят утерянные или похищенные сертификаты. В России в настоящее время проводится работа по созданию системы удостоверяющих центров и лицензированию их деятельности. Основной задачей создания такой системы является построение юридически значимого пространства информационного обмена в существующей системе межсубъектных отношений. Такими субъектами являются: государство (в том числе органы муниципальной власти), юридические и физические лица, взаимодействующие между собой различным образом. Федеральное агентство по информационным технологиям в 2006 г. уже выдало лицензии более чем сотне удостоверяющих центров. В конце 2007 г., по данным Федерального агентства по информационным технологиям, имелось около 1 млн цифровых подписей, среди которых примерно 200 тыс. зарегистрировано в удостоверяющих центрах; удостоверяющих центров в России насчитывается более 300 (большинство из них - коммерческие), в Федеральном агентстве по информационным технологиям зарегистрированы 117 центров. Аналогом даты на бумажном документе для электронного документа является штамп времени. Он представляет собой свидетельство третьей доверенной стороны - организационной единицы, носящей название службы штампов времени. Из системы электронного документооборота в эту службу передается дайджест послания (сообщение, обработанное с помощью хэш-функции). На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хэш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно. При таком решении имеется возможность проверять ЭЦП на послании с учетом того, действовал ли выданный сертификат в момент создания этой ЭЦП, а не в момент проверки. Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей, называется инфраструктурой открытых ключей. Таким образом, ЭЦП обеспечивает электронному документу следующие важнейшие характеристики: - подлинность - подтверждение авторства документа; - целостность - документ не может быть изменен после подписания; - неотрицание авторства (неотрекаемость) - автор впоследствии не сможет отказаться от своей подписи. Важно понимать, что ЭЦП не обеспечивает конфиденциальности электронного документа. Эту задачу решает шифрование, которое, в свою очередь, не имеет никакого отношения к обеспечению юридической значимости документа. Итак, асимметричные криптосистемы имеют определенные преимущества, обеспечивающие им успех в системах электронной коммерции. Но их основным недостатком является медленная работа. Поэтому использование асимметричных систем не всегда оправданно. На практике руководствуются следующим правилом: необходимо выбирать такой алгоритм шифрования и длину ключа, чтобы на их взлом потребовался больший отрезок времени, чем тот, в течение которого информация должна оставаться секретной. Кроме того, современное аппаратное и программное обеспечение позволяет использовать сразу несколько алгоритмов шифрования. Постоянное увеличение вычислительной мощности компьютеров приводит к тому, что взлом криптографических систем становится проще и дешевле, даже в случае использования простого перебора всех возможных ключей. Поэтому длина ключей постоянно увеличивается. В настоящее время наиболее популярным алгоритмом с открытым ключом является RSA, названный в честь его разработчиков (Rivest, Shamir, Adelman), в котором поддерживается переменная длина ключа (обычно она составляет 512 бит), этот же алгоритм может быть использован для формирования электронной цифровой подписи. Другими известными алгоритмами цифровой подписи являются алгоритм Эль Гамаля (EGSA - El Gamal Signature Algoritm) и DSA (Digital Signature Algoritm); российским стандартом цифровой подписи является ГОСТ Р 34.10-2001. Защита информации в сети Интернет Алгоритмы защиты Существует достаточно большое количество алгоритмов шифрования для защиты информации, в том числе и в Интернете. Для защиты данных и коммуникационных каналов используются протоколы SSL (Secure Sockets Layer), S-HTTP (Secure HTTP) и SKIP (Simple Key Management for Internet Protocol), которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между web-сервером и браузером. Наиболее известным является протокол SSL, который использует криптосистему с открытым ключом и является универсальным средством, позволяющим обеспечить защищенное соединение при использовании любых прикладных протоколов (FTP, Telnet, SMTP и др.). Для защиты электронной почты наиболее широко используются протоколы S/MIME (Secure Multipurpose Internet Mail Extensions) и PGP (Pretty Good Privacy), использующие различные стандарты шифрования. S/MIME использует цифровые сертификаты, т.е. при обеспечении аутентификации должен быть использован сертификационный центр; PGP строится на принципе "паутины доверия" (web of trust), что позволяет пользователям распространять свои ключи без посредничества сертификационных центров. Для защиты ресурсов корпоративной сети, подключаемой к глобальной сети Интернет, используется комплекс специальных программных средств, так называемых межсетевых экранов (часто также используются термины "брандмауэр", или Firewall). Межсетевые экраны призваны обеспечить безопасный доступ к внешней сети и оградить от несанкционированного доступа внешних пользователей во внутренние сети. Они осуществляют контроль доступа на основе содержимого пакетов данных, передаваемых между двумя сторонами или устройствами, и позволяют обеспечить безопасность (защиту) отдельных протоколов и приложений. Для осуществления этих функций для брандмауэра определяется набор правил, в соответствии с которым для каждого проходящего пакета принимается решение - пропускать пакет или отбросить. Одним из преимуществ брандмауэра является то, что он позволяет обеспечить единую точку контроля за безопасностью в Сети. При этом он не решает полностью всех проблем безопасности и, в частности, не обеспечивает защиту от вирусов. Не обеспечивается также защита от внутренних атак, совершаемых нелояльными сотрудниками организации, - эти атаки просто остаются незамеченными, хотя в настоящее время доля таких атак в общем количестве нападений на информационные сети превышает 70% <1>. Поэтому в системе безопасности фирмы используются также персональные сетевые экраны, которые устанавливаются непосредственно на рабочую станцию и превращают ее в защищенный объект. С помощью такого экрана можно не только оградить конкретный компьютер от постороннего доступа, но и задать политику работы каждого пользователя с внешними ресурсами (например, с ресурсами Интернета). -------------------------------- <1> Забелин Е. Безопасность бизнеса в Интернете // PC Week/RE. 2001. N 8. С. 22. Корпоративные сети часто связывают различные удаленные подразделения, разбросанные по городу, региону, стране или даже по всему миру. Для обеспечения безопасного обмена сообщениями между подобными подразделениями с использованием Интернета применяются специальные виртуальные частные сети (Virtual Private Network - VPN). Эти сети обеспечивают полностью закрытый от постороннего доступа информационный обмен через открытую сеть Интернет с помощью технологии инкапсуляции (туннелирования) IP-пакетов внутри других пакетов, которые затем направляются по маршрутам Интернета. Информация в таких системах закрывается, как правило, путем шифрования, осуществляемого при помощи специальных программных ключей. Благодаря своей более низкой цене и большей гибкости VPN чрезвычайно привлекательны для компаний любых размеров и могут вытеснить большинство систем на базе выделенных линий связи. Спам Вопросы защиты от нежелательных сообщений электронной почты (спама) также стали в настоящее время особенно актуальными именно с точки зрения сохранности информации и предотвращения ущерба. За последние годы рост объема незапрашиваемых массовых рассылок происходит лавинообразно. По данным различных исследовательских компаний, подобные сообщения составляют от 70 до 80% всего почтового трафика в Интернете, ежедневно спамеры отправляют около 30 млрд сообщений, а ущерб от спама для мировой экономики превысил 50 млрд долл. В настоящий момент эта проблема представляет собой крупномасштабную угрозу нормальному функционированию электронной почты и безопасности множества компьютеров по всему миру. Технологии массовой рассылки используют, например, создатели вирусов для распространения сотен тысяч копий своих творений; новым способом использования спама является массированная рассылка для поднятия цен на определенные акции на рынке ценных бумаг, существенно тормозится работа почтовых серверов, мощности которых не хватает для обработки огромных объемов поступающей информации. И несмотря на то что 99,9% получателей сразу же удаляют "мусорные" сообщения, всегда остается 0,1% людей, которые прочитают такое сообщение, - этот процент окупает все расходы, потраченные на рассылку, и число подобных рассылок постоянно увеличивается. Европа становится "Новым королем спама" (вместо США). По данным компаний Symantec и Web Security, в начале 2008 г. количество нежелательных сообщений в виртуальных ящиках выросло до 80%. Более 44% электронного мусора, распространяемого по свету, сейчас принадлежит Европе (почти каждое второе ненужное электронное письмо отправлено из Европы, каждое третье такое послание, как правило, - из Америки). Поэтому борьба со спамом ведется уже на государственном уровне. В США с декабря 2003 г. действует Can Spam Act, в котором прописаны стандарты и ограничения на рассылку коммерческих сообщений. Именно этот документ и является в настоящее время базой, с помощью которой с отправителями массовых рассылок сражаются власти Америки. В 2007 г. в США к девяти годам заключения был приговорен распространитель спама, причем подобный приговор был вынес Верховным судом штата Вирджиния впервые в стране. Обвиняемый Джереми Джейнс, житель г. Райли, числился в десятке самых опасных спамеров мира - каждый день Джейнс отправлял до 10 млн нежелательных рекламных посланий и получал за это около 750 тыс. долл. в месяц. Верховный суд штата Вирджинии отклонил апелляцию Джейнса, который утверждал, что нарушается первая поправка к американской Конституции, гарантирующая свободу слова. В Германии рассылка спама также является незаконной с июля 2004 г. В Нидерландах действующий правовой режим позволил существенно сократить объемы спама - там даже создано специальное государственное ведомство OPTA, которому удалось на 85% сократить поток "мусорных" писем с расположенных в стране серверов. В 2005 г. 13 европейских государств договорились о совместных мерах по выявлению и пресечению на территории этих стран деятельности спамеров, рассылающих электронный мусор пользователям других стран (договор подписали представители Австрии, Бельгии, Кипра, Мальты, Чехии, Франции, Дании, Греции, Ирландии, Италии, Литвы, Голландии и Испании). Совместные действия в борьбе со спамом должны облегчить идентификацию и привлечение к ответственности спамеров в этих странах и закрыть используемые ими лазейки. В России в середине 2006 г. вступили в силу поправки в Закон "О рекламе". В нем теперь закреплен принцип opt-in, т.е. предварительное согласие на получение рекламы. В статьях Закона говорится о запрете компьютерных средств, работающих "без участия человека", так называемых автоматических роботов-рассыльщиков. Однако применять Закон на практике будет сложно, поскольку практически невозможно доказать, что все происходило исключительно автоматически, а не с использованием, например, "ручного" отбора целевой аудитории. Помимо защиты информации от угрозы нарушения конфиденциальности, что может произойти вследствие ее несанкционированного копирования, хищения или перехвата, требуется также предотвращение угрозы нарушения целостности информации вследствие ее искажения и модификации, в том числе и под действием компьютерных вирусов, а также необходимо предотвращение многих других угроз безопасности. Для защиты от всевозможных рисков электронного бизнеса проводится большая работа, связанная с защитой всех уровней Сети, которая базируется на ряде международных стандартов ISO. Фишинг Большую опасность в последние несколько лет стали представлять новые виды компьютерного мошенничества, связанные с использованием свойств человеческой психики. Социальные инженеры (или социоинженеры) получают несанкционированный доступ к конфиденциальной информации, играя на обещаниях (подарков, бонусов, скидок и т.п.), угрозах (аннулирования счета, прекращения доступа к какому-либо сервису), порядочности (обязательном соблюдении соглашений). Примечание. Одним из характерных примеров подобного компьютерного мошенничества является атака злоумышленников в 2006 г. на The Royal Bank of Scotland (RBS, Королевский банк Шотландии). Клиенты этого банка, использующие систему e-banking, подверглись нескольким последовательным атакам с применением социоинженерных технологий. Им были разосланы письма с обратным адресом, выглядевшим очень похоже на официальный контактный адрес RBS (одним из часто используемых способов является замена буквы "I" на цифру "1", например sa1e@bank.com вместо sale@bank.com). В тексте каждого письма сообщалось о том, что технический сервис и ПО банка были обновлены для достижения большей безопасности и защиты онлайновых транзакций. Клиенты банка должны были заново указать свои регистрационные данные, иначе доступ для них будет заблокирован. В письме была приведена ссылка, по которой клиенты попадали на сайт, внешне ничем не отличающийся от сайта банка RBS, вводили в соответствующие экранные формы свои конфиденциальные данные и затем полностью лишались денег на своих счетах. Подобные интернет-преступления получили название "фишинг" (phishing). В английском слове, обозначающем этот вид киберпреступления, намеренно сделана ошибка, иллюстрирующая один из приемов злоумышленников, проводящих фишинг-атаки (ряд специалистов утверждают, что термин - сокращение от password fishing). Итак, фишинг - это комбинированный вид киберпреступления, сочетающий методы социального инжиниринга и интернет-технологий, которые применяются для незаконного получения и использования конфиденциальных данных. К подобным приемам можно отнести и разработку вредоносного ПО, и создание сетей фальшивых сайтов, и целенаправленное заражение официальных корпоративных сайтов, и "зомбирование" корпоративных сетей, и т.д. Фишинг можно отнести к так называемым преступлениям, связанным с "кражей идентичности", - с 1999 г. и в течение всех последующих лет, по информации Федеральной торговой комиссии США, подобные преступления держат первое место в составляемом этой Комиссией ежегодном списке видов сетевых преступлений. Еще в 2003 г. ФБР США назвало фишинг наиболее опасным и быстро распространяющимся видом сетевого мошенничества. К основным |