GlobalRus.ru
Раздел: Суждения
Имя документа: Дом поросенка должен быть крепостью
Автор: Евгений Авек
Дата: 14.01.2003
Адрес страницы: http://www.globalrus.ru/opinions/131660/
Дом поросенка должен быть крепостью

Три мифа компьютерной безопасности

СМИ с готовностью расписывают каждый случай взлома компьютерных сетей крупных компаний или госструктур, а молва передает интригующие байки о том, сколько интересной информации можно найти в чужом компьютере, если знать где и как искать. В результате, включая компьютер, многие люди чувствуют себя поросенком среди волков, единственная защита от которых – прочный каменный дом. Однако так ли прочен этот «дом» на самом деле? Можно ли положиться на «молчаливость» своего собственного компьютера? Ответ не так уж однозначен.

Охотники за чужими секретами бывают разными – ревнивая жена, любопытная секретарша, перекупленный конкурентами сотрудник, «маски-шоу» из налоговой… Соответственно разнятся как мотивация, так и возможности по овладению интересующей информацией. Если от жены или детей бывает достаточно самой примитивной защиты, то полностью пресечь интерес представителей силовых ведомств иногда вообще не представляется возможным. Однако, можно максимально усложнить им ее добывание, сделав трудозатраты несопоставимо большими по сравнению с ценностью информации.

 

Миф первый: о нас уже позаботились

Самое распространенное и опасное заблуждение заключается в том, что разработчики программного обеспечения предусмотрели возможность взлома встроенной системы защиты и приняли соответствующие меры. Увы, это далеко не всегда так. Некоторые разработчики такие меры приняли, но их оказалось недостаточно. Другие сделали, что надо, но при этом допустили ошибки в реализации системы защиты, которые свели все усилия на нет. Третьи вообще не предусмотрели защиту.

Следствия такой беспечности различны. Например, пароль к файлу текстового редактора Word или архиватора Zip вскрывается за ничтожно малое время. Некоторые версии специальной программы для шифрования информации - BestCrypt - могли хранить пароль доступа в открытом виде. Протокол передачи информации TCP/IP, по которому передается большая часть информации в Интернет, вообще не предусматривает специальных мер по защите передаваемой информации.

 

Миф второй: у меня на компьютере пароль

Если для начала работы с компьютером требуется ввести пароль, то это совсем не значит, что компьютер и содержащаяся в нем информация защищены от несанкционированного доступа. Зачастую, указывая пароль, пользователь не знает, для чего пароль существует: для ограничения доступа к самому компьютеру, к отдельным программам, к конкретным файлам, к доступу в локальную сеть организации или еще для чего-то. Пароль просто указывают, обманываясь мнимой защищенностью.

Существует четыре типа паролей:

  • ограничивающие доступ к аппаратному обеспечению (как правило, самому компьютеру);

  • ограничивающие доступ к разным функциям компьютера и программного обеспечения на уровне операционной системы;

  • ограничивающие доступ на уровне приложений или сервисов;

  • ограничивающие доступ на уровне файлов.

Пароль, ограничивающий доступ к аппаратному обеспечению, если он установлен, запрашивается сразу после включения компьютера, до загрузки операционной системы – на мониторе появляется окошечко с надписью Password: и полем, где следует указать пароль. Способов обхода этой защиты существует множество, и она не представляет серьезного препятствия для злоумышленников. Максимум от кого она может спасти – это от любопытных детей и ревнивых жен.

Ограничение доступа на уровне операционной системы семейства Windows возможно только в операционных системах, построенных на ядре NT (Windows NT, Windows 2000 и Windows XP). Более распространенные операционные системы, построенные на ядре 9x (Windows 95, Windows 98 и Windows Millenium), имеют, скорее, имитацию ограничения доступа – назвать по-другому их «систему безопасности» язык не поворачивается.

При этом даже операционные системы, построенные на ядре NT, ненастроенные должным образом специалистом, не гарантируют 100% защиты информации. Защита на уровне операционной системы является достаточно надежной лишь в том случае, если это правильно выбранная операционная система, с установленными исправлениями к ней и соответствующим образом настроенная специалистом.

С паролями, ограничивающими доступ на уровне приложений или сервисов, сталкивались почти все – это пароль, необходимый для входа в локальную сеть компании, для подключения к Интернет, для доступа к своей папке с электронной почтой, для работы с правовой базой данных или бухгалтерской программой. Степень надежности таких систем защиты существенно различается от программы к программе и от сервиса к сервису и во многом зависит от существующей системы защиты на уровне операционной системы, поэтому однозначно оценивать степень ее надежности не представляется возможным.

Степень защиты данных на уровне отдельных файлов, таких как, например, документы Microsoft Word, также разнится в зависимости от программы. Приложения, входящие в комплект Microsoft Office – Word, Excel, PowerPoint, Access, Outlook и др., имеют встроенный механизм шифрования. При попытке открытия зашифрованного файла будет запрошен пароль. В случае указания неверного пароля документ открыт не будет. Это правда – не зная пароля, документ открыть невозможно, вот только выяснение его с помощью специальной программы на мощном компьютере займет не так уж много времени.

Другие распространенные программы, например WinZip, Acrobat Reader, eBook Reader, Internet Explorer, ICQ, имеющие встроенный модуль ограничения доступа к файлам или к самой программе, также используют достаточно слабые алгоритмы шифрования, некоторые из которых взламываются за секунды, другие - за часы и дни, но в любом случае они, как правило, не обеспечивают должного уровня защиты конфиденциальной информации.

 

Миф третий: в Интернете все кошки серы

Люди любят знакомиться в Интернете, где они, не видя собеседника и не показывая ему себя, могут быть сами собой. Однако может случиться, что виртуальный собеседник узнает о вас больше, чем при личном знакомстве. При определенных обстоятельствах он может узнать ваше место работы, какие сайты в Интернете вы успели посетить на этой неделе, с кем вы переписываетесь, а на закуску отформатировать ваш жесткий диск, уничтожив таким образом всю информацию на нем.

Степень информированности вашего собеседника зависит от двух факторов – его умения (при наличии желания) и возможностях, которые вы ему предоставляете, не обновляя свою операционную систему и программы, с помощью которых вы выходите в Интернет, не устанавливая у себя антивирусную программу, открывая файлы, присланные не известно кем и т.д. и т.п.

Как это ни парадоксально звучит, но через Интернет или просто через локальную сеть организации доступ к информации на вашем компьютере получить куда проще, чем непосредственно сидя за ним, потому как незаметнее – вы даже и не догадаетесь, что в то же время, что вы работаете со своим компьютером, кто-то еще просматривает ваши файлы и копирует их себе.

На закуску упомяну о такой «замечательной» особенности пакета программ Microsoft Office 97, как уникальный идентификатор. Благодаря ему любой документ, созданный при помощи этого пакета, например файл Microsoft Word, содержит уникальный номер, по которому можно с точностью установить, на каком именно компьютере он был создан. Увы, даже в эпоху повальной компьютеризации писать анонимки приходится по-старинке - левой рукой.

Впрочем, варианты утечки конфиденциальной информации можно называть бесконечно, поговорим лучше о мерах по их предотвращению.

Во-первых, средства, затрачиваемые на защиту информации, должны быть адекватны ее стоимости и стоимости альтернативных способов ее получения. Не имеет смысла тратить 10.000 долларов на ограничение доступа жены к вашей переписке с любовницей, когда за несколько сотен она сможет нанять частного детектива и выследить вас. Также не стоит забывать о том, что применение «неформальных» методов воздействия на носителей секретных сведений помогает заинтересованным лицам получить доступ к интересующей их информации значительно быстрее, чем с помощью технических ухищрений.

Во-вторых, перед установкой технических средств необходимо подумать об «идеологической» стороне вопроса. Нет смысла устанавливать дорогую систему защиты конфиденциальной информации, если сотрудники не умеют или не хотят ею пользоваться в полной мере, а ответственность за халатность не предусмотрена. Защита информации – это всегда комплекс мер, в котором технические средства стоят лишь на втором месте.

В-третьих, не старайтесь сэкономить на защите информации. Если вы не уверены, что владеете предметом,  наймите хорошего специалиста, репутация которого не вызывает сомнений. И тогда вам, возможно, удастся сэкономить на адвокате.

Ежедневный аналитический журнал GlobalRus.ru ©2019.
При перепечатке и цитировании ссылка обязательна.