10.1. Обеспечение безопасности и защита информации в Интернете
Важнейшей задачей для систем электронной коммерции является защита информации, которая включает в себя защиту данных, коммуникаций и транзакций. Вопросы защиты информации являются актуальными для всех аспектов электронной коммерции, но особенно важны они для финансовых систем, связанных с осуществлением платежей.
При работе в сети Интернет необходимо помнить о существовании нескольких типов угроз (табл. 10.1).
Таблица 10.1. Угрозы безопасности и методы их устранения
Угроза | Решение | Действие | Технология |
Данные преднамеренно перехватываются, читаются или изменяются | Шифрование | Кодирование данных, препятствующее их прочтению или искажению | Симметричное или асимметричное шифрование |
Пользователи идентифицируют себя неправильно (с мошенническими целями) | Аутентификация | Проверка подлинности отправителя и получателя | Цифровые подписи |
Пользователь получает несанкционированный доступ из одной сети в другую | Брандмауэр | Фильтрация трафика, поступающего в сеть или на сервер | Брандмауэры, виртуальные частные сети |
Источник: Козье Д. Электронная коммерция. М., 1999. С. 63.
Для того чтобы понимать и использовать эти решения по защите информации, необходимо иметь представление об основах криптографии и об основных требованиях к проведению коммерческих операций в сети: конфиденциальности, целостности, аутентификации, авторизации, гарантии сохранения тайны.
Использование современных криптографических алгоритмов
Современные криптографические алгоритмы обеспечивают четыре основных типа услуг для электронной коммерции:
аутентификацию;
идентификацию;
невозможность отказа от совершенного действия;
сохранение тайны.
Идентификация позволяет определить, является ли отправитель послания или лицо, совершающее какое-либо действие, тем, за кого себя выдает. Аутентификация позволяет проверить не только личность, но также и отсутствие изменений в послании. Невозможность отказа не позволяет кому-либо отрицать, что он отправил или получил определенные данные или совершил действия. Сохранение тайны — это защита посланий или иных транзакций от несанкционированного просмотра.
Для реализации перечисленных услуг прежде всего используется шифрование, или кодирование, информации. В основе процесса шифрования лежат два понятия: набор правил, в соответствии с которыми исходный текст преобразуется в закодированный, и которые называются алгоритмом шифрования, и ключ шифрования. И соответствии с алгоритмом и с помощью ключа исходный текст преобразуется таким образом, чтобы его невозможно было понять человеку, не владеющему ключом. Такая технология имеет определенные преимущества, поскольку можно использовать один и тот же алгоритм с несколькими ключами (например, при обмене сообщениями с различными партнерами), а в том случае, если злоумышленник подберет ключ, тот легко можно будет поменять, не изменяя самого алгоритма.
Степень надежности алгоритма шифрования зависит от длины ключа, т.е. от числа битв нем; например, 8-битный ключ допускает лишь 28, т.е. 256 возможных числовых комбинаций, которые легко можно последовательно перебрать и расшифровать послание. При увеличении длины ключа увеличивается также и время, необходимое для его подбора и расшифровки послания — для потенциального нарушителя послание, расшифрованное не вовремя, может потерять актуальность.
Симметричная и асимметричная системы криптографии
Наиболее известными и активно используемыми в практической деятельности являются в настоящее время две системы криптографии:
симметричная система, или криптография с секретным ключом;
асимметричная система, или криптография с открытым ключом.
Шифрование по симметричной схеме предполагает, что отправитель и получатель сообщения владеют одним и тем же ключом, с помощью которого как тот, так и другой могут зашифровывать и расшифровывать информацию. Эта система шифрования известна достаточно давно, специалисты указывают, что подобную систему применял еще Юлий Цезарь. Но в настоящее время, при использовании криптографических систем в системах электронной коммерции, проявляется ряд недостатков симметричной схемы, основными из которых являются следующие:
обе стороны должны предварительно договориться о ключе для шифрования и хранить его в полном секрете;
при наличии нескольких корреспондентов (например, поставщиков или дистрибъюторов) в компании необходимо иметь несколько секретных ключей, свой для каждого;
симметричная схема не позволяет решить проблему аутентификации, поскольку ее применение не позволяет определить личность отправителя или получателя. Каждый владеет секретным ключом, и каждый может сформировать послание, полученное якобы от партнера, или отказаться от собственного послания (несоблюдение принципа «невозможности отказа»).
Ряд подобных проблем помогает решить более современная система криптографии с открытым ключом. Эта система основана на предположении о наличии у каждого из партнеров двух взаимосвязанных ключей или гак называемой ключевой пары. Каждый ключ в этой паре позволяет зашифровать информацию таким образом, что расшифрована она может быть только при использовании второго ключа. Один ключ называется закрытым и известен только владельцу ключевой пары (private key), второй называется открытым и распространяется совершенно свободно среди всех возможных партнеров (public key).
Такая схема позволяет обеспечить как конфиденциальность послания, так и аутентификацию его автора. Для обеспечения конфиденциальности отправитель шифрует сообщение открытым ключом получателя. Расшифровать такое сообщение можно только с помощью парного закрытого ключа, которым владеет только получатель. Для того же, чтобы получатель сообщения мог быть уверен в личности конкретного отправителя (т.е. для обеспечения аутентификации), отправитель может зашифровать часть сообщения своим закрытым ключом, которым владеет только он, а получатель расшифрует его с помощью свободно распространяемого открытого ключа отправителя (рис. 10.1).
Рис. 10.1. Обеспечение конфиденциальности сообщения с помощью открытого ключа
Именно на использовании возможностей асимметричной криптографической схемы с открытым ключом основа на технологии электронной цифровой подписи. Действительно, шифрование электронного документа с помощью закрытого ключа, который принадлежит исключительно отправителю, схоже с подписью на бумажном документе, поскольку выполняет те же функции:
удостоверяет, что подписанный текст исходит именно от лица, поставившего подпись;
не дает возможности подписавшему лицу отказаться от обязательств, связанных с подписанным текстом;
гарантирует целостность подписанного текста.
Недостатком асимметричных криптографических схем является медленная работа соответствующих вычислительных алгоритмов — при шифровании всего сообщения с помощью закрытого ключа будет потрачено много времени на его расшифровку только для того, чтобы убедиться в подлинности отправителя, т.е. для аутентификации.
Поэтому на практике шифруется не все сообщение, а некоторый небольшой набор символов, называемый дайджестом послания. Дайджест является не кратким изложением содержания послания, а случайным набором символов, который может быть сформирован с помощью специальных криптографических алгоритмов — однонаправленных хэш-функций. Однонаправленная (или односторонняя) хэш-функция представляет собой обычную математическую формулу для преобразования послания любого размера в одну строку символов определенной длины, которая и будет являться дайджестом этого послания. Каждое послание образует свой оригинальный дайджест, который может быть зашифрован закрытым ключом и превратиться, таким образом, в электронную цифровую подпись (ЭЦП).
Наиболее известным алгоритмом для вычисления хэш-функции является разработанный в США алгоритм безопасного хэширования SHA (Secure Hash Algoritm); в России алгоритм и процедуру вычисления хэш-функции определяет стандарт ГОСТ Р 34.11—94. В стандарте устанавливаются процедуры выработки и проверки электронной цифровой подписи (ЭЦП) сообщений (документов), передаваемых по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения, на базе асимметричного криптографического алгоритма с применением функции хэширования.
Действующий Гражданский кодекс допускает заключение сделки путем обмена документами посредством электронной связи, но при условии, что можно с достоверностью установить, что документ исходит от стороны по договору (п. 2 ст. 434 ГК РФ). Гражданским кодексом допускается использование электронной цифровой подписи, но в случаях и порядке, предусмотренных законом, иными правовыми актами и соглашением сторон (п. 2 ст. 160 ГК РФ). Закон же определяет, что документ, заверенный электронной цифровой подписью, имеет юридическую силу при наличии в сетях передачи данных «программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» призван обеспечить правовое регулирование использования цифровой подписи в электронных документах. В законе введены понятия «электронной цифровой подписи», «сертификата средств электронной цифровой подписи» и прочие, связанные с реализацией технологии ЭЦП, определены условия и особенности использования электронной подписи.
Итак, отправитель сообщения формирует текст послания и шифрует его с помощью открытого ключа получателя. Расшифровать этот текст теперь сможет только владелец закрытого ключа, парного использованному открытому, т.е. сам получатель сообщения. Для того чтобы получатель был уверен в авторстве послания, отправитель с помощью хэш-функции создает и отправляет вместе с самим посланием его дайджест, шифруя его с помощью своего закрытого ключа. Получатель такого послания может расшифровать подпись, используя открытый ключ отправителя, и убедиться таким образом в его авторстве. Используя ту же самую хэш-функцию (о ее использовании отправитель с получателем должны предварительно договориться), получатель может подсчитать собственный дайджест для текста послания и, сравнив полученную строку с присланной, он может быть полностью уверен не только в авторстве послания, но и в том, что послание не было изменено.
Для практического применения асимметричной криптографической системы требуется, во-первых, сформировать пару ключей, которая обычно генерируется с помощью специальных программ, и, во-вторых, распространить открытый ключ среди всех корреспондентов. Поскольку в процессе коммерческой деятельности корреспонденты могут меняться (появляются новые или наоборот), наиболее удобным для компании способом распространения открытого ключа является использование услуг специальных сертификационных или удостоверяющих центров.
Такой сертификационный центр может быть государственным или коммерческим и хранит открытые ключи вместе с доказательствами личности их владельцев. В зависимости от класса сертификата, от владельца открытого ключа могут потребоваться различные доказательства18:
сертификат класса 1 требует лишь назвать имя и адрес электронной почты владельца;
сертификат класса 2 требует проверки удостоверения личности, номера карточки социального страхования и даты рождения владельца;
сертификат класса 3 предполагает помимо всех проверок, необходимых для получения класса 2, еще и проверку кредитоспособности владельца;
сертификат класса 4 в дополнение к упомянутым проверкам включает информацию о положении владельца в организации.
Для подтверждения личности владельца открытого ключа сертификационные центры выдают цифровые сертификаты, которые, как правило, содержат: имя владельца ключа, название сертификационного центра, открытый ключ, срок действия сертификата, его класс и идентификационный номер.
Цифровые сертификаты служат электронными удостоверениями личности и позволяют удостовериться в том, что владелец открытого ключа является тем самым лицом, за которого он себя выдает в сети. Большинство цифровых сертификатов отвечает международным требованиям — стандарту Международного союза по телекоммуникациям (ITU) Х.509 и являются универсальным средством идентификации во всем мире. Международный стандарт определяет перечень полей и формат данных цифровых сертификатов, обеспечивая их совместимость.
Для того чтобы получить цифровой сертификат у коммерческого или правительственного сертификационного центра, владелец открытого ключа должен внести определенную плату, размер которой зависит от класса сертификата. Сертификационные (удостоверяющие) центры также ведут специальные списки недействительных сертификатов (CRL — Certificate Revocation List), в которые заносят утерянные или похищенные сертификаты.
В России в настоящее время проводится работа по созданию системы удостоверяющих центров и лицензированию их деятельности. Основной задачей создания такой системы является построение юридически значимого пространства информационного обмена в существующей системе межсубъектных отношений. Такими субъектами являются: государство (в том числе органы муниципальной власти), юридические и физические лица, взаимодействующие между собой различным образом. Федеральное агентство по информационным технологиям в 2006 г. уже выдало лицензии более чем сотне удостоверяющих центров. В конце 2007 г., по данным Федерального агентства по информационным технологиям России, имелось около 1 млн цифровых подписей, среди которых примерно 200 тыс. зарегистрировано в удостоверяющих центрах; удостоверяющих центров в России насчитывается более 300 (большинство из них — коммерческие), в Федеральном агентстве по информационным технологиям зарегистрировано 117 центров.
Аналогом даты на бумажном документе для электронного документа является штамп времени. Он представляет собой свидетельство третьей доверенной стороны — организационной единицы, носящей название службы штампов времени. Из системы электронного документооборота в эту службу передается дайджест послания (сообщение, обработанное с помощью хэш-функции). На это сообщение служба ставит штамп (средствами своего программно-ап-па ратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хэш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно. При гаком решении имеется возможность проверять ЭЦП на послании с учетом того, действовал ли выданный сертификат в момент создания этой ЭЦП, а не в момент проверки. Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей, называется инфраструктурой открытых ключей.
Таким образом, ЭЦП обеспечивает электронному документу следующие важнейшие характеристики:
подлинность — подтверждение авторства документа;
целостность — документ не может быть изменен после подписания;
неотрицание авторства (неотрекаемость) — автор впоследствии не сможет отказаться от своей подписи.
Важно понимать, что ЭЦП не обеспечивает конфиденциальности электронного документа. Эту задачу решает шифрование, которое, в свою очередь, не имеет никакого отношения к обеспечению юридической значимости документа.
Итак, асимметричные криптосистемы имеют определенные преимущества, обеспечивающие им успех в системах электронной коммерции. Но их основным недостатком является медленная работа. Поэтому использование асимметричных систем не всегда оправданно. На практике руководствуются следующим правилом: необходимо выбирать такой алгоритм шифрования и длину ключа, чтобы на их «взлом» потребовался больший отрезок времени, чем тог, в течение которого информация должна оставаться секретной. Кроме того, современное аппаратное и программное обеспечение позволяет использовать сразу несколько алгоритмов шифрования.
Постоянное увеличение вычислительной мощности компьютеров приводит к тому, что «взлом» криптографических систем становится проще и дешевле, даже в случае использования простого перебора всех возможных ключей. Поэтому длина ключей постоянно увеличивается.
В настоящее время наиболее популярным алгоритмом с открытым ключом является RSA, названный в честь его разработчиков (Rivest, Shamir, Adelman), в котором поддерживается переменная длина ключа (обычно она составляет 512 бит), этот же алгоритм может быть использован для формирования электронной цифровой подписи.
Другими известными алгоритмами цифровой подписи являются алгоритм Эль Гамаля (EGSA — El Gamal Signature Algoritm) и DSA (Digital Signature Algoritm); российским стандартом цифровой подписи является ГОСТ Р 34.10—2001.
Защита информации в сети Интернет Алгоритмы защиты
Существует достаточно большое количество алгоритмов шифрования для защиты информации, в том числе и в Интернете. Для защиты данных и коммуникационных каналов используются протоколы SSL (Secure Sockets Layer), S-HTTP (Secure HTTP) и SKIP (Simple Key Management for Internet Protocol), которые обеспечивают аутентификацию для серверов и браузеров, а также конфиденциальность и целостность данных для соединений между web-сервером и браузером. Наиболее известным является протокол SSL, который использует криптосистему с открытым ключом и является универсальным средством, позволяющим обеспечить защищенное соединение при использовании любых прикладных протоколов (FTP, Telnet, SMTP и др.). Для защиты электронной почты наиболее широко используются протоколы S/MIME (Secure Multipurpose Internet Mail Extensions) и PGP (Pretty Good Privacy), использующие различные стандарты шифрования. S/MIME использует цифровые сертификаты, I .с. 1 фи обеспечении аутентификации должен быть использован сертификационный центр; PGP строится на принципе «паутины доверия» (web of trust), что позволяет пользователям распространять свои ключи без посредничества сертификационных центров.
Для защиты ресурсов корпоративной сети, подключаемой к глобальной сети Интернет, используется комплекс специальных программных средств, так называемых межсетевых экранов (часто также используются термины «брандмауэр», или Firewall). Межсетевые экраны призваны обеспечить безопасный доступ к внешней сети и оградить от несанкционированного доступа внешних пользователей во внутренние сети. Они осуществляют контроль доступа на основе содержимого пакетов данных, передаваемых между двумя сторонами или устройствами, и позволяют обеспечить безопасность (защиту) отдельных протоколов и приложений. Для осуществления этих функций для брандмауэра определяется набор правил, в соответствии с которым для каждого проходящего пакета принимается решение — пропускать пакет или отбросить.
Одним из преимуществ брандмауэра является то, что он позволяет обеспечить единую точку контроля за безопасностью в сети. При этом он не решает полностью всех проблем безопасности и, в частности, не обеспечивает защиту от вирусов. Не обеспечивается также защита от внутренних атак, совершаемых нелояльными сотрудниками организации — эти атаки просто остаются незамеченными, хотя в настоящее время доля таких атак в общем количестве нападений на информационные сети превышает 70%19. Поэтому в системе безопасности фирмы используются также персональные сетевые экраны, которые устанавливаются непосредственно на рабочую станцию и превращают ее в защищенный объект. С помощью такого экрана можно не только оградить конкретный компьютер от постороннего доступа, но и задать политику работы каждого пользователя с внешними ресурсами (например, с ресурсами Интернета).
Корпоративные сети часто связывают различные удаленные подразделения, разбросанные по городу, региону, стране или даже по всему миру. Для обеспечения безопасного обмена сообщениями между подобными подразделениями с использованием Интернета применяются специальные виртуальные частные сети (Virtual Private Network — VPN). Эти сети обеспечивают полностью закрытый от постороннего доступа информационный обмен через открытую сеть Интернет с помощью технологии инкапсуляции (туннелирования) IP-пакетов внутри других пакетов, которые затем направляются по маршрутам Интернета. Информация в таких системах закрывается, как правило, путем шифрования, осуществляемого при помощи специальных программных ключей. Благодаря своей более низкой цене и большей гибкости VPN чрезвычайно привлекательны для компаний любых размеров и могут вытеснить большинство систем на базе выделенных линий связи.
Спам
Вопросы защиты от нежелательных сообщений электронной почты (спама) также стали в настоящее время особенно актуальными именно с точки зрения сохранности информации и предотвращения ущерба. За последние годы рост объема незапрашиваемых массовых рассылок происходит лавинообразно. Поданным различных исследовательских компаний, подобные сообщения составляют от 70 до 80% всего почтового трафика в Интернете, ежедневно спамеры отправляют около 30 млрд сообщений, а ущерб от спама для мировой экономики превысил 50 млрд долл. В настоящий момент эта проблема представляет собой крупномасштабную угрозу нормальному функционированию электронной почты и безопасности множества компьютеров по всему миру.
Технологии массовой рассылки используют, например, создатели вирусов для распространения сотен тысяч копий своих творений; новым способом использования спама является массированная рассылка для поднятия цен на определенные акции на рынке ценных бумаг, существенно тормозится работа почтовых серверов, мощности которых не хватает для обработки огромных объемов поступаю щей информации. И несмотря на то что 99,9% получателей сразу же удаляют «мусорные» сообщения, всегда остается 0,1% людей, которые прочитают такое сообщение — этот процент окупает все расходы, потраченные на рассылку, и число подобных рассылок постоянно увеличивается. Европа становится «Новым королем спама» (вместо США). По данным компаний Symantec и Web Security, в начале 2008 г. количество нежелательных сообщений в виртуальных ящиках выросло до 80%. Более 44% электронного мусора, распространяемого по свету, сейчас принадлежит Европе (почти каждое второе ненужное электронное письмо отправлено из Европы, каждое третье такое послание, как правило — из Америки).
Поэтому борьба со спамом ведется уже на государственном уровне. В США с декабря 2003 г. действует Can Spam Act, в котором Прописаны стандарты и ограничения на рассылку коммерческих сообщений. Именно этот документ и является в настоящее время базой, с помощью которой с отправителями массовых рассылок сражаются власти Америки.
В 2007 г. в США к девяти годам заключения был приговорен распространитель спама, причем подобный приговор был вынесен Верховным судом штата Вирджиния впервые в стране. Обвиняемый Джереми Джейис, житель города Райли, числился в десятке самых опасных спамеров мира — каждый день Джейнс отправлял до 10 млн нежелательных рекламных посланий и получал за это около 750 тыс. долл. в месяц. Верховный суд штата Вирджинии отклонил апелляцию Джейнса, который утверждал, что нарушается первая поправка к американской Конституции, гарантирующая свободу слова. В Германии рассылка спама также является незаконной с июля 2004 г. В Нидерландах действующий правовой режим позволил существенно сократить объемы спама — там даже создано специальное государственное ведомство ОРТА, которому удалось на 85% сократить поток «мусорных» писем с расположенных в стране серверов. В 2005 г. 13 европейских государств договорились о совместных мерах по выявлению и пресечению на территории этих стран деятельности спамеров, рассылающих электронный мусор пользователям других стран (договор подписали представители Австрии, Бельгии, Кипра, Мальты, Чехии, Франции, Дании, Греции, Ирландии, Италии, Литвы, Голландии и Испании). Совместные действия в борьбе со спамом должны облегчить идентификацию и привлечение к ответственности спамеров в их странах и закрыть используемые ими лазейки.
В России в середине 2006 г. вступили в силу поправки в Закон «О рекламе». В нем теперь закреплен принцип opt-in, т.е. предварительное согласие на получение рекламы. В статьях закона говорится о запрете компьютерных средств, работающих «без участия человека», так называемых автоматических роботов-рассылыциков. Однако применять закон на практике будет сложно, поскольку практически невозможно доказать, что все происходило исключительно автоматически, а не с использованием, например, «ручного» отбора целевой аудитории.
Помимо защиты информации от угрозы нарушения конфиденциальности, что может произойти вследствие ее несанкционированного копирования, хищения или перехвата, требуется также предотвращение угрозы нарушения целостности информации вследствие ее искажения и модификации, в том числе и под действием компьютерных вирусов, а также необходимо предотвращение многих других угроз безопасности. Для защиты от всевозможных рисков электронного бизнеса проводится большая работа, связанная с защитой всех уровней сети, которая базируется на ряде международных стандартов ISO.
Фишинг
Большую опасность в последние несколько лет стали представлять новые виды компьютерного мошенничества, связанные с использованием свойств человеческой психики. Социальные инженеры (или социоинженеры) получают несанкционированный доступ к конфиденциальной информации, играя на обещаниях (подарков, бонусов, скидок и т.п.), угрозах (аннулирования счета, прекращения доступа к какому-либо сервису), порядочности (обязательном соблюдении соглашений).
Одним из характерных примеров подобного компьютерного мошенничества является атака злоумышленников в 2006 г. на The Royal Bank of Scotland (RBS, Королевский банк Шотлании). Клиенты этого банка, использующие систему e-banking, подверглись нескольким последовательным атакам с применением социоинженерных технологий. Им были разосланы письма с обратным адресом, выглядевшим очень похоже на официальный контактный адрес RBS (одним из часто используемых способов является замена буквы «1» на цифру «1», например sa1e@bank.com вместо sale@bank.com). В тексте каждого письма сообщалось о том, что технический сервис и ПО банка были обновлены для достижения большей безопасности и защиты онлайновых транзакций. Клиенты банка должны были заново указать свои регистрационные данные, иначе доступ для них будет заблокирован. В письме была приведена ссылка, по которой клиенты попадали на сайт, внешне ничем не отличающийся от сайта банка RBS, вводили в соответствующие экранные формы свои конфиденциальные данные и затем полностью лишались денег на своих счетах.
Подобные интернет-преступления получили название «фишинг» (phishing). В английском слове, обозначающем этот вид ки-берпреступления, намеренно сделана ошибка, иллюстрирующая один из приемов злоумышленников, проводящих фишинг-атаки (ряд специалистов утверждают, что термин — сокращение от password fishing). Итак, фишинг — это комбинированный вид киберпреступления, сочетающий методы социального инжиниринга и интернет-технологий, которые применяются для незаконного получения и использования конфиденциальных данных. К подобным приемам можно отнести и разработку вредоносного ПО, и создание сетей фальшивых сайтов, и целенаправленное заражение официальных корпоративных сайтов, и «зомбирование» корпоративных сетей, и т.д. Фишинг можно отнести к так называемым преступлениям, связанным с «кражей идентичности» — с 1999 г. и в течение всех последующих лет по информации Федеральной торговой комиссии США подобные преступления держат первое место в составляемом этой комиссией ежегодном списке видов сетевых преступлений. Еще в 2003 г. ФБР США назвало фишинг наиболее опасным и быстро распространяющимся видом сетевого мошенничества.
К основным способам фишинга можно отнести:
технологии отслеживания клавиатурного ввода (key-logging). С помощью программы-шпиона (spyware) вводимая пользователем с клавиатуры информация может быть направлена создателю шпиона, позволяя ему отслеживать все посещения сайтов, вводимые пароли и PIN-коды, читать электронные письма, сообщения в чаты, реквизиты для доступа к сайтам финансовой направленности и т.п.;
технологии редиректа, предназначенные для переадресации сетевого трафика пользователя: информация перенаправляется на сайты компьютерных мошенников;
технологии, носящие название рharming, предназначенные для перехвата информации между взаимодействующими сторонами с целью перенаправления пользователей на фишинг-сайты;
подмена адресов и настроек используется программами-налетчиками (hijackers). Такие программы могут поражать браузер и подменять его стартовую страницу, «налеты» проводятся также па автозагрузку, кэш, рабочий стол, папку «Избранное»;
технология фиксации опечаток получила название typoattacks. Вредоносные программы фиксируют неправильный набор популярных адресов, далее регистрируется сайт с ошибочным доменным именем и на него попадает каждый пользователь, ошибающийся при наборе адреса;
заражение поисковых систем. При заражении вредоносным ПО изменяется стартовая страница и подменяется поисковая интернет-система, например Google. Когда владелец компьютера обращается к этой поисковой системе, его запрос перенаправляется на страницу, по виду точно такую же, как и Google, и выполняющую ту же функцию. Однако в качестве результатов поиска отражается именно то, что требуется злоумышленникам;
для получения контроля над целой сетью компьютеров используются так называемые крысы (Remote Access Trojan, RAT).
Для аккумулирования опыта борьбы с фишингом, углубленного изучения этого явления и активной борьбы с ним была создана международная ассоциация Anti-Phishing Working Group (APWG), включающая несколько тысяч членов по всему миру, свыше 1500 компаний и ряд разработчиков антивирусов. Организация World Wide Web Consortium (W3C), занимающаяся разработкой технологических стандартов для Всемирной паутины, создала рабочую группу для борьбы с фишерами.
В России первый случай фишинга был зафиксирован в 2004 г., жертвой атаки стал Ситибанк, ряду клиентов которого были высланы ложные письма с просьбой подтвердить работоспособность счетов на определенном сайге. Обязательными к заполнению полями на сайте-подделке были в том числе номер банковской карты и PIN-код.
Безопасность предприятий электронной коммерции
В связи с постоянным увеличением количества и появлением различных новых видов угроз для ведения электронного бизнеса, безопасность в настоящее время понимается в широком смысле: не только как защищенность сетевых соединений и отсутствие он-лайн-мошенничеств, но и как гарантия того, что покупателей интернет-магазинов не обманут и их деньги в любом случае не пропадут. Для подтверждения подобного рода безопасности существует практика сертификации предприятий электронной коммерции. Так, например, в Европе функционирует компания Trusted Shops GmbH20, основной целью которой является обеспечение высокого уровня надежности в сфере интернет-бизнеса и предоставление потребителям информации, в каких электронных магазинах безопасно совершать покупки. Сертификат Trusted Shops свидетельствует,что в данном магазине посетителя не обманут; деньги возвращаются покупателю товаров и услуг в случаях, если ему не доставят заказанный на условиях предоплаты товар, или не вернут деньги при возвращении товара в магазин, или в случае мошенничества с его кредитной картой. При этом гарантом возврата денег выступает компания Trusted Shops.
Компания Trusted Shops GmbH была основана в 2000 г. в тесном взаимодействии с агентствами по защите прав потребителей. При поддержке Европейского союза система Trusted Shops сейчас действует практически во всей Европе, особенно масштабно в Великобритании, Германии, Франции, Бельгии, Нидерландах и Скандинавии. В эту систему входят более 2000 интернет-магазинов.
Поскольку во многих странах Европы такая сертификация существует достаточно давно и информация всегда может быть предоставлена клиенту, собирающемуся совершить онлайн-покупку, владельцы интернет-магазинов сами заинтересованы в наличии сертификата, подтверждающего надежность его виртуальных точек продажи. Европейская программа сертификации включает три основные проверки:
юридическая (проверка правильности оформления учредительных документов);
техническая (проверка наличия защищенных соединений, обеспечивающих безопасность транзакций);
финансовая (проверка кредитоспособности самого электронного магазина).
Подобная проверка — не разовая акция, а регулярно проводимый процесс, и при выдаче (продлении) сертификата учитывается отсутствие обоснованных жалоб на магазин со стороны клиентов.
В России также начинается процесс добровольной сертификации интернет-магазинов. Национальная ассоциация участников электронной торговли НАУЭТ при поддержке Конфедерации обществ защиты прав потребителей и Департамента потребительского рынка и услуг Москвы представила программу Safeshopping, разработанную по мировым стандартам, но с учетом особенностей российского рынка электронной коммерции. При этом НАУЭТ договорилась с компанией Trusted Shops об официальной поддержке программы Safeshopping.ru. В течение ближайшего года будет создана уникальная программа добровольной сертификации российских интернет-магазинов, в которую войдут лучшие наработки российских специалистов и вызывающие доверие клиентов всего мира методы защиты репутации Trusted Shops.
Таким образом, комплексная работа по защите информации включает разработку полноценной системы защиты, включающей правовые, морально-этические, административные, физические и аппаратно-программные меры. При разработке такой системы важно понимать, что в настоящее время полностью изменился сам профиль злоумышленников: сегодня компьютерные сети и базы данных массово взламывают не подростки и не любители, а организованные профессионалы, преследующие коммерческие цели. Доход от киберпреступности сейчас уже превосходит доход от сбыта наркотиков и продолжает расти (по оценкам, например, Казначейства США).
- Министерство транспорта российской федерации
- Раздел I
- 1.1. Понятие внешнеэкономической и внешнеторговой деятельности
- 1.2. Виды и формы внешнеэкономической деятельности
- 1.3. Внешнеэкономический комплекс страны
- 1.4. Особенности коммерческой деятельности на внешнем рынке
- 1.5. Перспективы развития внешнеэкономической деятельности в связи с присоединением России к вто
- Контрольные вопросы
- Глава 2
- 2.1. Содержание внешнеторговых операций и сделок
- 2.2. Виды внешнеторговых сделок и соответствующих операций
- 2.3. Виды торгово-посреднических соглашений
- 2.4. Сделки, совершаемые на международных товарных биржах
- 2.5. Торговые операции на международных аукционах
- 2.6. Размещение заказов через международные торги
- Раздел II Осуществление внешнеторговых операций
- Глава 3
- 3.1. Некоторые общие вопросы
- 3.2. Нормативно-правовая база вэд
- Глава 9. Сделки (понятие, виды и форма сделок, их недействительность).
- 3.3. Выбор товара — объекта внешнеторговой сделки
- 3.4. Поиск и выбор иностранных контрагентов
- 3.5. Анализ, расчет и обоснование цены
- 3.6. Коммерческие переговоры с иностранными партнерами
- 3.7. Способы заключения сделок
- Глава 4
- 4.1. Общие рекомендации по содержанию и форме контракта
- 4.2. Определение предмета контракта и количества товара
- 4.3. Выбор базиса поставки
- 4.4. Характеристика качества товара Общие требования к качеству товара
- 4.5. Упаковка и маркировка
- 4.6. Гарантии качества товара
- 4.7. Установление цены и суммы контракта
- 4.8. Определение срока поставки Рекомендации по установлению сроков поставки в контрактах
- 4.9. Сдача-приемка товара по количеству и качеству
- 4.10. Условия платежа
- 4.11. Претензии и санкции
- 4.12. Форс-мажор и существенное изменение обстоятельств
- 4.13. Порядок разрешения споров, арбитраж. Прочие условия
- Глава 5
- 5.1. Работа по исполнению экспортных сделок
- 5.2. Особенности исполнения импортных сделок
- Раздел III Применение современных информационно-коммуникационных технологий во внешнеэкономической деятельности
- Глава 6
- 6.1. Электронный обмен данными. Концепция и основные элементы
- 6.2. Международное межбанковское взаимодействие. Система swift
- 6.3. Национальные системы эод в сша, Англии и Франции
- 6.4. Правовые вопросы регулирования электронных расчетов
- Глава 7
- 7.1. Международный стандарт эод эдифакт оон (un/edifact)
- Часть 1 справочника содержит общее введение, посвященное вопросам исторического развития стандарта и общим целям деятельности по внедрению эод и эдифакт.
- Часть 2 содержит:
- Часть 3справочника определяет используемую терминологию.
- 7.2. Практика использования стандартов эод
- 7.3. Стандарт eancom и системы штрихового кодирования
- Глава 8
- 8.1. Инструменты Интернета
- 8.2. Понятие электронной коммерции
- 8.3. Web-сайт как инструмент электронной коммерции
- 8.4. Организационно-технические проблемы создания web-сайта
- 8.5. Продвижение сайта
- Глава 9
- 9.1. Товарная политика
- 9.2. Сбытовая политика
- 9.3. Ценовая политика Схема в2с
- 9.4., Коммуникационная политика
- 9.5. Учет человеческого фактора
- Глава 10
- 10.1. Обеспечение безопасности и защита информации в Интернете
- 10.2. Формы расчетов и методы платежей в электронной коммерции
- 10.3. Перспективы интернет-технологий во внешнеэкономической деятельности
- Xml-технологии в развитии электронной коммерции
- Приложения Нормативные и руководящие документы по вопросам вэд
- Интернет-адреса некоторых крупнейших международных и национальных организаций
- Государственные и межгосударственные стандарты по штриховому кодированию
- Правила сетевого этикета (netiquette)
- Примерная программа дисциплины
- 1. Цель курса
- 2. Задачи курса
- 3. Место курса в системе экономического образования
- 4. Требования к уровню освоения содержания курса
- 1. Разделы курса
- 2. Темы, их краткое содержание
- Тема 1. Сущность и содержание внешнеэкономической деятельности
- Тема 2. Виды и формы внешнеэкономической деятельности
- Тема 3. Многоуровневый характер внешнеэкономической деятельности
- Тема 4. Внешнеэкономический комплекс страны, его особенности в современных условиях
- Тема 5. Общая характеристика внешнеторговых операций и сделок
- Тема 6. Внешнеторговые операции с участием посредников
- Тема 7. Операции на специальных рынках — международных биржах, аукционах и торгах
- Тема 8. Подготовка внешнеторговых сделок
- Тема 9. Способы заключения сделок. Проведение коммерческих переговоров с иностранными партнерами
- Тема 10. Общие рекомендации по содержанию и оформлению внешнеторговых контрактов
- Тема 11. Определение предмета контракта, количества товара и выбор базисных условий поставки
- Тема 12. Характеристика качества товара, его упаковка и маркировка, гарантии
- Тема 13. Определение срока поставки. Сдача-приемка товара по количеству и качеству
- Тема 14. Валютно-финансовые условия контракта: цена и общая сумма, условия платежа
- Тема 15. Претензии и санкции
- Тема 16. Форс-мажор, арбитраж, другие условия контрактов
- Тема 17. Исполнение экспортных сделок
- Тема 18. Особенности исполнения импортных сделок
- Тема 19. Электронный обмен данными (эод) в вэд
- Тема 20. Стандарты эод. Система межбанковских коммуникаций на основе стандарта swift
- Тема 21. Национальные системы эод. Роль международных организаций в развитии систем эод в вэд
- Тема 22. Деятельность еэк оон по стандартизации и унификации внешнеторговых документов. Международный стандарт эод — эдифактоон
- Тема 23. Использование возможностей сети Интернет в вэд
- Тема 24. Электронная коммерция. Интернет-маркетинг
- Тема 25. Обеспечение безопасности и защита коммерческой информации в Интернете
- Тема 26. Формы и методы осуществления электронных платежей
- Тема 27. Перспективы использования новейших интернет-технологий во внешнеэкономической деятельности
- Форма итогового контроля
- Методические рекомендации
- Примерный перечень вопросов к экзамену (зачету) по курсу
- Список рекомендуемой литературы