Раннее утро, пока еще полупустой офис - самое лучшее время дня для плодотворной работы.
Компьютер загружен, открываю "OPER'y", чтобы начать обновлять сайт компании. Набираю заветные www… и далее, как бы мягче выразиться: "нас хакнули".
На экране вместо привычного изображения главной страницы ресурса было написано не самое лицеприятное, но как оказывается, самое распространенное в случае взлома сайта.
Придя в себя, позвонила администратору, он сразу приехал, все исправил, после подошел к моему столу, и, побледнев от увиденного на стикерах, с возмущением возопил: "Что это такое?".
Не понимая, что происходит, начала объяснять. Первый - рутовый пароль на сервер, эти -для администрирования сайта, еще на завершение текущего сеанса пользователя, рядом на почтовые ящики, icq и т.д.
Пока подробно рассказывала, что зачем и для чего, лицо админа вытягивалось, а под конец изменило цвет, став ярко-красным. Видимо сдерживая эмоции, буквально скрепя зубы и метая искры из глаз: "Так нельзя, пароли не должны находиться в доступных местах. Иначе, зачем их создавать?!". Далее в течение часа я слушала во всех подробностях, почему сайт взломали, кто виноват и что делать.
Оказывается, несмотря на большое количество паролей их нельзя хранить на виду и более того они не должны быть одинаковыми. И даже если один пароль является преобразованной версией другого, типа: "vasya" - "vasya1" - "vasya2" - это очень плохо. Особо продвинутый пользователь может создать пароль "абракадабра-почта", для почты, "абракадабра-icq" для ICQ, и так далее.
В таком случае следующим шагом может стать попытка выяснить принцип генерации паролей и без проблем подобрать нужную комбинацию для электронного кошелька, или узнать кодовое слово к выходу в Интернет.
Боясь, что вышесказанное не произведет на меня должного впечатления, находчивый админ предложил два способа для нахождения новых вариантов паролей.
Первый из них основан на народном фольклоре. Нужно выбрать какой-нибудь стишок или песенку, которая ассоциируется с запароленным ресурсом и в качестве кода указывать, например, каждую вторую букву в слове. Например: "…в лесу родилась елочка, в лесу она росла…" - пароль будет "еолено". К этому можно добавить, что набираете русские буквы, когда клавиатура находится в английской раскладке. В таком случае можно не сомневаться, ни в одном словаре такого слова нет, а значит, вероятность взлома методом подбора минимальна.
Второй способ - использование тактильных движений. Кладете руку на клавиатуру и рисуете нажатиями пальцев произвольную фигуру. Например, треугольник: "vgyjmnb". К этому можно добавить повторяющиеся нажатия (…vggyyjmnnnb …). Сложность метода только в том, что сам пользователь не сможет сказать - какой у него пароль, даже если его будут пытать.
Не ограничиваясь только тем, что утечка информации может произойти по причине "открытых" паролей, мастер-класс плавно изменил русло, начались наглядные занятия. На всех современных машинах есть USB, BlueTooth, WiFi с помощью которых можно списать все что угодно и главное быстро.
Противостоять этому опять-таки можно и даже нужно, усилив охрану и взяв себе за правило, уходя от компьютера всегда включать блокировку. Для этого достаточно нажать сочетание клавиш: [Win]+[L] или Ctrl+Alt+Delete, а потом Enter.
По возвращении нужно лишь повторно ввести ваш пароль. Или можно в BIOS'е своего компьютера отключить устройства USB, BlueTooth, WiFi. В таком случае вы не оставляете никакой возможности проникнуть в компьютер без наличия, как минимум, отвертки и получаса свободного времени. Проговаривая последнее, администратор уже вышел из BIOS'а и продолжил лекцию.
Следующим методом вторжения в компьютер может быть использование дыр или ошибок в установленном программном обеспечении. Это становится актуальным, если компьютер подключен к какой бы то ни было сети. Не важно какой: домашней, корпоративной, модемной или беспроводой. Если на другом конце может быть злоумышленник, это представляет для вас потенциальную угрозу. Вот почему компьютеры с секретной информацией, по нормам службы безопасности, должны быть изолированы от сети, а одним из методов защиты своего компьютера является своевременная установка патчей на используемое программное обеспечение.
Помимо защиты паролей, как от чужих, так и от себя, стоит подумать о вредоносных программах, которые выполняют скрытые действия, направленные на причинение прямого или косвенного ущерба.
Они могут: анализировать вводимые с клавиатуры символы и запоминать пароли доступа к различным ресурсам (KeyLogger); сидеть в компьютере тише воды, ниже травы, и предоставлять третьим лицам полное управление удаленному пользователю по его требованию (BackDoor); изменять поведение системы для постоянного скачивания определенной информации или рекламы (Adware); собирать информацию, и отправлять ее по указанному адресу ( Spyware) и т.д.
Поначалу кажется: "о нет, откуда такое в моей машине", - но здесь опять же играет большую роль как часто и как долго находясь в Интернете, пользователь "ходит" по сайтам с сомнительной информацией, или скачивает файлы, соглашаясь обновить тот или иной сервис. Но и это можно исправить и предохраняться классическим способом - при помощи антивирусных программ. Не стоит говорить о необходимости антивирусной защиты, поддержании баз в актуальном состоянии, периодической проверке всех файлов и принудительной проверке всех входящих файлов.
Большинство "рекламных" программ или программ предоставляющих удаленный доступ к вашему компьютеру, не являются вирусами и не определяются как вредоносные. Но опять же, желательно вовремя находить и избавляться от них.
Все вышеперечисленное кажется очень простым и элементарным, но это, можно сказать основа основ, хотя, конечно, есть и более сложные способы защиты информации. Например, криптография, которая уже давно везде и повсюду используется. Она занимается разработкой алгоритмов, обеспечивающих конфиденциальность, целостность данных и т.д. Обычно алгоритмы основаны на каком-либо секрете, часто называемом ключом, и/или особыми математическими функциями.
Если более простым языком, то можно сказать, что криптография помешает вашей сестре читать личные файлы.
Она работает по принципу математических формул, которые описывают процессы зашифрования и расшифрования. Чтобы зашифровать открытый текст, криптоалгоритм работает в сочетании с ключом - словом, числом или фразой. Одно и то же сообщение одним алгоритмом, но разными ключами будет преобразовываться в разный шифртекст. Защищенность шифртекста целиком зависит от двух вещей: стойкости криптоалгоритма и секретности ключа.
Сегодня методы криптографии используются не только для шифрования. Важной задачей также является установление подлинности - аутентификация (например, при подписании документов).
Поскольку все большее значение приобретают электронные документы, то возникает необходимость в электронных методах установления подлинности, которые предлагает криптография. Общая суть электронной цифровой подписи (ЭЦП) заключается в следующем. С помощью криптографической хэш-функции вычисляется относительно короткая строка символов фиксированной длины (хэш). Затем этот хэш шифруется закрытым ключом владельца - результатом является подпись документа.
Подпись прикладывается к документу, таким образом получается подписанный документ. Лицо, желающее установить подлинность документа, расшифровывает подпись открытым ключом владельца, а также вычисляет хэш документа. Документ считается подлинным, если вычисленный по документу хэш совпадает с расшифрованным из подписи, в противном случае документ является подделанным.
Использование ЭЦП позволяет значительно сократить время, затрачиваемое на оформление сделки и обмен документацией; усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов; гарантировать достоверность документации; минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена; построить корпоративную систему обмена документами.
Конечно, это далеко не все, что можно отнести к средствам информационной безопасности, но приходится прикасаться хотя бы к малой части айсберга, когда столкновения с ним не избежать.
Электронный адрес автора: v_nechukhrannyy@mail.ru