В Internet обнаружено еще одно слабое звено.
Полемика вокруг безопасности Internet вспыхнула с новой силой, когда принципиальные недочеты, позволяющие хакерам нарушать неприкосновенность электронной коммерции, обнаружились в основных протоколах Internet. Та же группа студентов и преподавателей Калифорнийского университета в Беркли, которая сообщила недавно о пробелах в защите популярного броузера Navigator компании Netscape Communications, распространила еще одно предупреждение. Оно вновь наводит администраторов сетей на мысль о том, как опасно применять Internet в качестве платформы для размещения ответственной информации. Погрешности защиты дают хакерам возможность не только выуживать из сети зашифрованные номера кредитных карточек, но и наносить прямой ущерб тем организациям, которые используют технологию шифрования для недорогих и, как они надеются, надежных виртуальных частных сетей на базе Internet. По словам Дэвида Вагнера (David Wagner), одного из подписавших сообщение студентов, новая опасность для информации в Internet была выявлена в базовой структуре протоколов TCP/IP, в частности в стандартном для Internet протоколе Network File Systems. Злоумышленник, применяющий программное обеспечение, размещенное в сегменте Ethernet между клиентом и сервером Internet, способен вмешаться в сеанс связи между двумя серверами и сфабриковать подложный ответ клиенту. Если клиент получает фальшивый ответ раньше подлинного, мошеннику становится доступна сеть и он может беспрепятственно делать с информацией все, что ему заблагорассудится. До сих пор усилия по повышению степени защищенности Internet сводились в основном к защите с применением методов шифрования файлов, находящихся на маршруте следования к пункту своего назначения. Но эти методы не предотвращают описанного выше случая вмешательства. Поставщики средств защиты поспешили заявить, что подобные предупреждения, безусловно, полезны и ни в коей мере не ведут к снижению уровня коммерции в Internet.
Между тем главной заботой производителей, и без того занятых технологией цифровых идентификаторов и подписей, как раз и становится необходимость аутентификации субъекта в коммерческих операциях и подтверждение достоверности того, что файл не был изменен в пути. "То, что нам продемонстрировали, доказывает, что простого перемешивания битов недостаточно, - говорит Страттон Склавос (Stratton Sclavos), президент корпорации VeriSign (Редвуд-Сити, шт. Калифорния). - Необходим следующий шаг - аутентификация". VeriSign - дочерняя компания корпорации RSA Data Security, разработчика технологии, которая лежит в основе большинства решений по шифрованию данных, намерена выступить в качестве доверенного независимого поручителя за подлинность покупателей и продавцов и гаранта целостности данных. Поэтому VeriSign начала производство цифровых сертификатов для администраторов серверов Netscape и Open Market. Затем последует выпуск сертификатов для пользователей, запланированный на начало будущего года. Однако Вагнер из Беркли утверждает, что подобные меры цифровой аутентификации все же не помешают хакеру внедриться в броузер Netscape и отменить защиту, оставшись незамеченным. Склавос из VeriSign возражает на это, что цифровые подписи его компании могут применяться к двоичным файлам и гарантировать неизменность данных; при этом, правда, повышается необходимая полоса пропускания и соответственно стоимость операций.
Шифрование в Internet Хотя современная реклама и сулит Internet возможности, порой весьма и весьма далекие от реальности, в области электронной коммерции World Wide Web действительно становится основной платформой. Однако предстоит преодолеть множество технических и психологических преград, прежде чем Web обретет стабильность и сможет поддерживать многомиллиардные долларовые транзакции. В 1995 г. объем транзакций электронной коммерции оценивался в 150-500 млн. долл. По прогнозам исследовательской корпорации Mentis, к 2000 г. объем розничных продаж достигнет 6 млрд. дол., но для того чтобы эти оценки воплотились в жизнь, придется немало потрудиться. Хотя использование Internet в таких сферах, как продажа авиационных билетов или цветов, и привлекает внимание средств массовой информации, все же, скорее, это исключение, а не правило. В общем же объем розничных продаж по Internet остается чрезвычайно низким. Пока что современная электронная комерция действует только между предприятиями. Для того чтобы Web стала "пуленепробиваемой" средой, способной поддерживать коммерческие транзакции на миллиарды долларов, необходимо широкое распространение ряда технологий. Со многими из них можно было ознакомиться на выставке Internet Commerce Exposition. Самым необходимым элементом сетевой инфраструктуры применительно к электронной коммерции является технология сертификации Х.509, известная также как метод цифровых сертификатов. С его помощью аутентифицируется идентичность пользователей, получающих доступ к данным по различным сетям. В приложениях электронной коммерции пользователи регистрируют свои цифровые сертификаты в том банке, где им выдавались кредитные карточки. Когда пользователь хочет совершить транзакцию, браузер, совместимый с протоколом Secure Electronic Transaction (SET), посылает копию сертификата продавцу для подтверждения достоверности его карточки. SET - это технологическая и процедурная спецификация; она была разработана компаниями Visa и MasterCard. Этот протокол внедряется также такими компаниями, как Verisign, CyberCash и First Virtual, которые организуют доверительные службы, позволяющие торговцам и банкам аутентифицировать пользователей. Однако это лишь часть проблемы электронной коммерции. "Протокол SET незаменим при работе с банковскими кредитными карточками в сети Web, но это всего лишь спецификация, а не продукт, реально обеспечивающий защиту", - считает Майкл Гулд, старший консультант компании Patricia Seybold Group. Еще один животрепещущий вопрос - это технология шифрования, которая в настоящее время не устраивает многих пользователей из-за непомерных требований по обработке, предъявляемых ею к транзакциям в Web. Шифрование основано на самоидентификации данных личными или открытыми ключами. Когда необходимо послать сообщение конкретному пользователю, отправитель находит личный ключ пользователя и присоединяет его к сообщению. Пользователь-получатель применяет свой личный ключ, чтобы декодировать сообщение. Существуют также методы, основанные на использовании двух личных ключей; они применяются для более быстрого обмена сообщениями между пользователями, однако посылать личный ключ вместе с сообщением не всегда безопасно. Чтобы снизить издержки обработки, компания Cisco Systems начала включать поддержку шифрования в свои маршрутизаторы, а корпорация Intel пытается создать стандарт шифрования для своих процессоров. В будущем алгоритмы шифрования войдут в интеллектуальные карты - кредитные карточки с процессором, осуществляющим шифрование или генерацию случайного кодового числа, что дает пользователям возможность осуществить удаленный доступ к сети. Интеллектуальные карты могут быть созданы персонально для каждого пользователя, однако в случае потери или кражи их замена может обойтись слишком дорого. Больше всего пользователей не устраивает уровень взаимодействия и стоимость таких систем. "У нас во всех университетах страны насчитывается более 3 тыс. пользователей, так что большой проблемой оборачивается рассылка, - заявил администратор правительственного узла. - Я не смогу посылать им карточки всякий раз, когда требуется новая". Необходимо также доработать и серверное обеспечение. Надежное промежуточное ПО, способное отслеживать транзакции в базах данных на Web-серверах и на серверах приложений, сейчас только начинает появляться. Хотя администраторы информационных систем (ИС) готовы поклясться в абсолютной необходимости таких технологий для электронной коммерции, некоторые наблюдатели склонны считать это преувеличением. "Люди зачастую ищут проблему там, где ее вовсе нет, - утверждает Питер Типпетт, президент ассоциации National Computer Security Association (NCSA). - Сейчас самая большая беда - это возможность кражи номеров кредитных карточек во время электронных транзакций, однако вероятность того, что ваш номер будет изъят из линии данных, гораздо меньше, чем его похищение работником ресторана или бензоколонки". Тем не менее недостаточность средств защиты в Web беспокоит многих потенциальных потребителей. "Используя Internet, я расширил свой зарубежный консалтинговый бизнес, однако мои европейские потребители по-прежнему посылают мне номера своих кредитных карточек по факсу, а не по сети, - объясняет Вилл Страус, президент компании Forward Concepts. - Я почувствую себя намного спокойнее, когда появятся разумные протоколы шифрования". Конечно, телефон никак нельзя считать полностью защищенной коммуникационной технологией, поскольку подключиться к чьему-либо телефонному разговору совсем не сложно. Но пока и Web не дает никакой гарантии защиты. "В традиционных средах сетевых коммуникаций безопасность фактически нулевая, - отмечает Дин Маккэррон, глава компании Mercury Research. - Любой желающий может прочитать незашифрованные данные, поэтому многие пользователи остерегаются работать с удаленным доступом". По вопросам защиты пользователи могут обращаться в NCSA - независимую тестирующую организацию, разработавшую список критериев, которым должен соответствовать разработчик Web-узла, чтобы получить от NCSA печать "одобрено". Эта группа также консультирует пользователей-клиентов по вопросам улучшения защиты их узлов. NCSA пытается по возможности решить все проблемы пользователей, чтобы они не испытывали разочарования в предпринятых мерах безопасности. "Общество быстро приближается к использованию Internet в качестве основного средства телефонной и информационной бизнес-связи в любой области, начиная от поддержки и управления процессом продаж и кончая отслеживанием продуктов и анализом производительности", - к подобному заключению пришел Типпетт. Хотя хакеру почти невозможно подключиться к сети для определения номера чьей-либо кредитной карточки, Типпетт уверяет, что не следует ограничиваться одними только разговорами о проблемах защиты. "Единственное решение, которое работает, - это комплект продуктов и приложений, - рассказал Типпетт. - Ни один поставщик средств защиты не может одновременно справиться больше, чем с одной или двумя проблемами". Самый опасный враг для компаний типа Open Horizon, специализирующихся на средствах защиты для Internet, это невежество пользователей. "Наша компания часто выступает как скорая помощь для организаций, которым требуется неотложное решение их проблем, - огорчается Чип Оверстрит, вице-президент Open Horizon. - Больше всего нас возмущают те, кто ничего не предпринимает для своей защиты. Первой линией обороны всегда является брандмауэр. Как только злоумышленник преодолел его и попал на Web-сервер, считайте, что он проник на предприятие, однако после этого ему еще предстоит нелегкая задача овладения внутренними базами данных и бизнес-стратегией компании". Но, по мнению администраторов ИС, они не внедряют ПО для защиты вовсе не потому, что игнорируют эту проблему. "У нас нет брандмауэра или ПО для защиты из-за того, что где-то на линии какая-то важная "шишка" сказала "нет", - признается один администратор из Калифорнии. Поскольку большинство проблем безопасности зарождается внутри компании, такое решение может дорого обойтись. По оценкам Типпетта, до 80% брешей в защите организации обусловлено действиями ее собственных сотрудников. "Нам известны случаи, когда обиженные сотрудники оставляют "троянских коней" после своего увольнения, - продолжает Типпетт. - Обычно это делается так: работник ИС оставляет команду "убить" определенные приложения в течение двух недель, после того как его кодовый номер исчезнет из платежной ведомости. От подобных действий брандмауэры не спасут; компаниям необходимо вводить политику ограничения доступа". По мере развития становится ясно, что администраторам ИС придется разобраться с тем "лоскутным одеялом", каким представляется весь комплекс проблем защиты. Даже если компании Cisco и Intel включат функции защиты в свои маршрутизаторы или другую аппаратуру ПК, пользователи, скорее всего, будут требовать всесторонней и долгосрочной системы защиты. "Безопасность любой транзакции складывается из различных компонентов, - предостерегает Гулд из Seybold Group. - Если в вашу аппаратуру включены средства защиты, это не означает, что вы защищены полностью". В какой-то мере электронная коммерция по Internet является воплощением великой мечты о взаимообмене электронными данными (Electronic Data Interchange - EDI). Однако широкого внедрения EDI не произошло из-за высокой стоимости собственных используемых сетей и ПО, неразберихи со стандартами и необходимости приобретать одну и ту же технологию всеми заинтересованными сторонами. Web может решить сетевую часть проблемы EDI, обеспечив каждому доступ за небольшую плату. Однако в настоящее время Web не может создать безопасную инфраструктуру личной EDI-сети. Возможно, когда-нибудь наступит время, и пользователи будут спокойно посылать все важные деловые и личные сообщения по сети Web. Но, пока этого нет, аналитики рекомендуют пользователям быть осторожными. "Для среднего пользователя уровень сквозной безопасности определяется тем, как он расценивает степень конфиденциальности своих сообщений, - сказал МакКэррон из Mercury Research. - В настоящее время посылка информации по Internet подобна отправке конфиденциальной почты на открытках". В области технологии, где борьба между различными протоколами и кросс-платформенными продуктами будет идти до победного конца, роль Internet-полицейского, идущего по следу мошенника, лучше всех пока удается ассоциации National Computer Security Association (NCSA). Эта организация предоставляет пользователям информацию по вопросам безопасности, позволяющую им защитить свои сети от внутренних и внешних вторжений. Она также публикует список критериев безопасности сети и Web-узла. За плату NCSA пришлет одного из своих консультантов для посещения узла. Президент Питер Типпетт считает, что основу деятельности NCSA по безопасности составляет стремление дать пользователям дешевое базовое образование, которое поможет им пересмотреть свои взгляды в отношении защиты. "Наша конечная цель - обеспечить каждому возможность бесплатно обезопасить свои узлы, - поясняет Типпетт. - Проблема в том, что, как показывает опыт, многие пользователи готовы запустить сомнительное приложение или средство коммуникации, даже если не знают, кто их прислал, или не доверяют ему". С группой NCSA сотрудничает ряд бывших сотрудников правоохранительных органов, которые пытаются проникнуть в хакерские сети и ликвидировать опасность в зародыше. "Мы отслеживаем хакеров, "подкапываясь" под их узлы и притворяясь их друзьями, - говорит Типпетт. - По существу, их притязания на 98% пустое бахвальство, однако иногда встречаются и настоящие самородки". Типпетт рассказал, что недавно они поймали хакера, который подключился к локальной сети американского сенатора и доказал это, продемонстрировав код личного ключа сенатора и подлинные расписания его встреч. Хотя при ловле хакеров они ощущают себя "рыцарями плаща и кинжала", Типпетт все же уверен, что большая часть проблем безопасности компании имеет внутреннее происхождение. "Наши инженеры запросто могут показать вам дыры в вашей Windows 95 или в ваших маршрутизаторах, однако эта проблема решается легко, - заверяет Типпетт. - Конечно, кто-то может взломать окно в вашем доме и проникнуть внутрь, но гораздо страшнее, если вы оставите входную дверь незапертой". Он считает, что на данный момент главное для пользователей - видеть реальную перспективу и поддерживать безопасность на таком уровне, чтобы чувствовать себя спокойно. "Если можете, вводите дешевые, простые и эффективные усовершенствования так, чтобы они как можно меньше влияли на ваших служащих и в то же время повышали уровень защищенности вашего узла", - советует Типпетт.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|