Як охороняються наші гроші в Інтернеті?
З найдавніших часів люди всіляко намагалися захистити інформацію, якою володіли і яку необхідно було зберегти в секреті. Але якщо тоді основні методи захисту були пов'язані безпосередньо з небезпекою фізичного перехоплення секретних даних і полягали в їх фізичної охорони, то зараз, в умовах, коли терабайти інформації щохвилини передаються по Глобальній мережі між людьми, часом знаходяться на різних континентах, проблема захисту даних встає по -новому.
Як спіймати шпигуна, якщо ви його не бачите і не знаєте де він? Мало того, ви, швидше за все, навіть не дізнаєтеся, що ваша інформація була вкрадена, і цілком можливо, що ви самі, особисто передасте її зловмисникові, нічого про це не підозрюючи.
Вдумайтеся, адже коли у вікні браузера на сайті Webmoney ви натискаєте кнопочку «Увійти в особистий кабінет», ваші логін і пароль проходять безліч комп'ютерів, передаються від одного до іншого до тих пір, поки не досягнуть пункту призначення. Для досягнення хоста в межах однієї країни дані зазвичай повинні пройти через добрий десяток різних комп'ютерів. Для передачі даних на хости, що знаходяться в інших країнах, може знадобитися більше 20 проміжних комп'ютерів. А це означає, що будь-який з них може переглянути дані в той час, коли вони через нього проходять. А якщо хтось дізнається логін і пароль від вашого гаманця, нерозумно сподіватися, що цей хтось їм не скористається.
Не поспішайте зневірятися і знімати свої гроші з рахунків в Інтернеті, щоб сховати їх у шкарпетках. Повірте, там їм загрожує набагато більша небезпека. Мета статті - не налякати, а навпаки, заспокоїти читача, пояснивши йому, як охороняються наші дані в Глобальній мережі. Крім того, методи, які тут будуть описані, ніяк не залежать особисто від вас і дотримуються незалежно від вас, так що можете розслабитися і не переживати про те, що після прочитання цієї статті Вам доведеться бігти і терміново все міняти і налаштовувати.
Отже, почнемо.
Не звертали ви увагу, якої структури посилання в Інтернеті? Як правило, це - http: // www. «І потрібний нам адресу». http: // - це протокол для передачі гіпертексту. Але важливо не це, а інше. Чи не помічали ви, як спритно перетворюється наш http: // в httpS: //, коли ми працює з сайтами, яким повідомляємо секретну інформацію, наприклад, ті ж логін і пароль? Складно повірити, але за цією маленькою приставкою S ховається цілий комплекс робіт із захисту каналу переданих нами даних. Коли ви бачите в адресі посилання https: // - знайте, що ваші дані передаються з використанням безпечного протоколу SSL, а це означає, що:
1. Всі передані дані шифруються, і навіть у разі їх перехоплення зломщик не зможе їх прочитати.
2. Ви можете бути впевнені в тому, що передаєте інформацію саме тому, кому і мали намір її передати.
3. Сьогодні вночі ви можете спати спокійно.
Відразу варто сказати, що з точки зору навчальної дисципліни «Інформаційна безпека», даний опис протоколу захищених сокетів (SSL), як мінімум, неповно і неоднозначно. Однак пересічному користувачеві Мережі, якому не потрібно розбиратися у всіх тонкощах аутентифікації по «Моделі рукостискання» і знати принцип атаки типу «Людина посередині», дане пояснення донесе головну думку (див. Пункт 3). Єдине, про що ще варто згадати - це про спосіб, що дозволяє клієнту однозначно визначати сервер, якому він передає дані. Цим теж займається протокол SSL, і ось як це відбувається.
Перед початком передачі даних сервер, якому ви збираєтеся ці дані передати, повинен спочатку вам довести, що він насправді той, за кого себе видає. Для цього він передає вам свій цифровий сертифікат, який містить відкритий ключ шифрування, іншу інформацію про себе, а також інформацію про центр, який видав даний цифровий сертифікат. Даний опис, знову ж таки, досить умовно, але важливо зараз не це. Той факт, що отриманий сертифікат містить відкритий ключ шифрування, дозволяє вам на його основі створити шифр, розшифрувати який можна тільки за допомогою закритого ключа шифрування, який нікуди й ніколи не передається і зберігається тільки на сервері. А це означає, що тільки сам сервер, який відправив вам цифровий сертифікат, може розшифрувати те, що зашифрували ви. І якщо він зробить це вірно (а результат дешифрування він вам також відправляє), то цим він однозначно себе аутентифікує.
Таким чином, відпадає можливість проведення атаки «Людина посередині», коли зловмисник представляється сервера клієнтом, а клієнтові - сервером, і всі дані проходять спочатку через нього. Однак цифровий сертифікат зловмисник може створити сам собі і сам собі його завірити, тому гарантом безпеки тут виступає спеціальне третя особа - центр сертифікації, якому спочатку довіряють обидві сторони обміну і який, власне, і видає цифровий сертифікат.
Не варто думати, що чарівний протокол SSL і посилання типу https: // разом вирішать всі ваші проблеми, адже вони відповідають тільки за одну з безлічі областей, схильних атакам. Так, наприклад, протокол SSL не врятує ваш логін і пароль, якщо вони записані в блокноті, який ви забули в трамваї.
Довіряйте один одному, але не забувайте про захист інформації!