Опубликован: 03.08.2011 | Доступ: свободный | Студентов: 0 / 0 | Оценка: 4.29 / 3.90 | Длительность: 09:54:00
Лекция 1:

Общие понятия безопасности персональных данных

Лекция 1: 12 || Лекция 2 >
Аннотация: В лекции приведены общие понятия, связанные с безопасностью персональных данных, отражены обобщенные методики незаконного получения персональных данных, а также понятия, вносимые со стороны закона о защите персональных данных.

Цель лекции: Предоставить фундаментальные знания о понятиях безопасности персональных данных пользователям для последующего более глубокого изучения.

В современном мире информационных технологий возникла острая необходимость охранять данные от нежелательного доступа к ним. Современные методы похищения данных очень изощренны, и вполне возможно, что на вашем компьютере уже находится специальная зловредная программа, которая передает ваши данные другим людям.

Что мы будем подразумевать под персональными данными в рамках этого курса?

Персональные данные (данные) – информация, несущая определенно личный характер к своему владельцу. Главное отличие персональных данных от корпоративных данных – это то, что при похищении персональных данных ущерб будет нанесен конкретному лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а при похищении корпоративных данных урон будет нанесен в первую очередь компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте, файлы пользователя (например, файл диплома или созданный пользователем рисунок), логины и пароли к различным онлайн-сервисам (или веб-сайтам), данные кредитной карточки пользователя, фотографии пользователя (его собственные), его паспортные данные (которые могут храниться у пользователя на компьютере). Персональные данные могут представлять в ряде случаев определенный интерес у злоумышленника. Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь платного онлайн-сервиса (например, сервиса Интернет-телефонии). Зная ваш логин и пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего имени, не заплатив при этом ни копейки. Суть похищения вашей персональной информации может быть не только в виде денежной прибыли, но также заключаться в личном интересе, например, злоумышленника может интересовать ваша личная жизнь, и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный и локальный. При направленном характере действий злоумышленник будет намеренно охотиться именно за вашей личной информацией (например, для компромата на вас по заказу от ваших недоброжелателей). При локальном же характере действий у злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться похитить личную информацию у большого круга лиц, причем информация эта может быть также направленного характера (например, похитить информацию кредитных карт у любой сотни пользователей), либо локального (похитить любую информацию личного характера у сотни пользователей).

А каким образом он может это сделать? Что при этом будет использовать злоумышленник? Прежде всего, существует такое общее понятие как malware (малварь, вредоносная программа, зловредная программа) - любое программное обеспечение, предназначенное для обеспечения получения несанкционированного доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба) владельцу информации и/или владельцу компьютерного устройства.

Средства и методы осуществления кражи информации

Компьютерный вирус - зловредная компьютерная программа, основная цель которой зачастую - уничтожение данных пользователей. Также вирус может быть использован в качестве посредника для других компьютерных программ.

Компьютерный червь - вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые "дыры" (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер.

Уязвимости - это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. (http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81)

Руткит - программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе. Термин руткит исторически пришел из мира UNIX, и под этим термином понимается набор утилит или специальный модуль ядра, которые взломщик устанавливает на взломанной им компьютерной системе сразу после получения прав суперпользователя.(http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82)

Троянский конь – одно из основных оружий злоумышленника. Является особым видом вируса, который занимается тем, что похищает личные данные пользователя.

Социальная инженерия – психологический навык злоумышленника заставлять пользователя делать те действия, которые хочет злоумышленник. С помощью социальной инженерии можно заставить пользователя быть марионеткой в руках злоумышленника. При этом пользователь ничего не заподозрит.

Все эти средства используются на практике злоумышленником для обеспечения доступа к вашей информации. Также могут использоваться комбинированные методы доступа к вашей информации (например, с помощью социальной инженерии злоумышленник спровоцирует вас загрузить троянского коня из Интернета).

Но вышеописанные методы применимы в основном для кражи личных данных в условиях, когда данные находятся в статическом состоянии на компьютере, либо переносном носителе (то есть данные не передаются). Для случая, когда данные находятся в динамическом состоянии (то есть находятся в процессе передачи), существуют другие способы их кражи, построенные на едином принципе кражи динамических данных.

Принцип кражи динамических данных - это принцип, согласно которому существуют отправитель данных (пользователь, который отправляет свои данные), получатель (ли) данных (пользователь (ли), который (е), получает (ют) данные), канал передачи данных (канал, по которому передаются данные). Злоумышленник при этом пытается украсть данные в момент, когда данные находятся в процессе течения по каналу передачи данных. Схематически это выглядит следующим образом:


Рис. 1.1.

Как видно из рисунка, злоумышленник взаимодействует напрямую только с каналом передачи данных, с отправителем или получателем данных злоумышленник не взаимодействует. Взаимодействовать с каналом передачи данных он может разными способами - как с помощью различного программного обеспечения, так и с помощью физических устройств. Одним из примеров такого взаимодействия с каналом передачи данных может быть использование скиммера.

Скиммер - устройство для снятия информации с магнитной ленты пластиковой карты (банковские карты, кредитные карты). Злоумышленник устанавливает скиммер в место картоприемника банкомата. При этом сам скиммер является малозаметным для обывателя. Подробнее об использовании скиммера, методах его обнаружения и защиты от него будет рассказано в отдельной лекции про пластиковые карты.

Во многих случаях современные мошенники рассчитывают на невнимательность жертвы, на ее незнание технических основ, деталей технических устройств или основ работы программного обеспечения. Техническая безграмотность современных людей зачастую играет на руку мошенникам. Одним из видов современного мошенничества в области кражи персональных данных является использование различных муляжей.

Муляж (в отношении к краже информации) - это устройство, либо программа, которые вводят в заблуждение пользователя с целью кражи персональных данных. Например, муляжом может являться антивирус, который вы скачали с ненадежного источника. В этом случае такой лжеантивирус может запросить у вас пароль к вашей учетной записи на компьютере, мотивируя это тем, что ему необходимо проверить надежность данного пароля. При вводе пароля в такой антивирус будьте уверены - ваша информация попадет в руки к злоумышленнику. Как видно из этого примера, злоумышленник воспользуется вашей компьютерной безграмотностью с помощью подобного муляжа, ведь технически подкованные люди знают, что антивирус не запросит вашей личной информации.

Примечательны также "классические" случаи мошенничества, основанные на предоставлении "бесплатного сыра" пользователям. В таких случаях злоумышленник может предложить вам через сеть Интернет вложить какие-либо деньги под проценты в выгодный проект. При этом он будет уверять вас, что вы получите несоизмеримую прибыль при ваших минимальных вложениях. Вложения, действительно, будут минимальные в этом случае, но ваши личные данные, которые запросит злоумышленник, могут использоваться в корыстных целях (например, злоумышленник попросит вас прислать копию вашего паспорта с вашей подписью, а потом на эту копию он вполне может оформить кредит на ваше имя). Другим примером в этой области может являться пример с использованием подставной конторы, которая предложит вам выгодное оформление заграничной визы, либо другие услуги, которые требуют от вас предоставления документов.

Интересная сторона мошенничества заключается в том, что мошенник должен привлечь внимание своей жертвы. Для этого могут использоваться как психологические уловки, так и различные трюки, которые обязательно привлекут жертву. Так как большинство злоумышленников в этой области работают через сеть Интернет, то одними из таких трюков для привлечения внимания являются трюки с поисковой оптимизацией (Поисковая оптимизация - различные методы и средства продвижения вашего сайта с информацией на вершину поисковой выдачи (так называемый "серп" выдачи)). В общем случае поисковая оптимизация обозначается аббревиатурой SEO(search engine optimization).Существуют различные методы SEO. Одним из методов SEO является использование дорвеев.

Дорвей - вид поисковой оптимизации, представляющий собой веб-страницу, которая напичкана однородным типом слов, с целью выдвижения этой страницы в "серп" выдачи по этим словам. Примером такой страницы может являться страница со следующим текстом: "Просто это не то арбалет ак-47б купить собрать на ужин окружил!!! Мы сами выбираем общество, в котором хотим быть сами уважаю мнения людей. Тебе было бы действительно неприятно и поймешь, что я образно говорю о чьей-то там умереть, то можно вообще купить ак-47. Ты хочешь мне сказать, что Никакие подарки не заменят ак-47". Как можно увидеть, в данном тексте логически нет никакого смысла, он построен таким образом только для того, чтобы при вводе в поисковую машину словосочетания "купить ак-47" страница с этим текстом была на одной из первых позиций. На таких страницах может быть и информация о том, что вышла новая антивирусная программа, и вы должны ей воспользоваться для эффективной защиты вашего компьютера. Естественно, этот антивирус будет муляжом.

Другим способом привлечения жертвы к злоумышленнику может быть использование различного вида Интернет-рекламы. Например, могут использоваться красочные баннеры (баннер - графическое изображение рекламного характера) или всплывающие окна, говорящие о том, что компьютер пользователя якобы заражен вирусом, и необходимо скачать определенный антивирус. Как ни странно, но пользователи с низкой компьютерной грамотностью поверят такой рекламе.

Часто перед злоумышленником встает задача раскрытия определенного пароля пользователя. В этом случае он может воспользоваться различными методами подбора пароля, но самым безотказным (хотя и долгим) остается метод брутфорса (полного перебора паролей) - технический метод подбора паролей с использованием программно-аппаратных средств. В этом случае есть некоторое вычислительное устройство (либо часть этого устройства, например, процессор компьютера), которые выполняет действия по перебору паролей, и программное средство, которое координирует действия вычислительного устройства. Метод брутфорса является одним из самых долгих методов перебора паролей, но с развитием вычислительных устройств, этот метод начинает становиться быстрее и эффективнее. Так, например, мощность современных графических процессоров позволяет подобрать сложные пароли (около 10 символов) за 40 дней, хотя раньше на это требовалось гораздо большее количество времени. Учитывая тот факт, что скорость вычислительной техники растет достаточно быстро, можно сказать, что вскоре методом полного перебора станет возможно подбирать пароли самой большой сложности за сжатые сроки. Следует заметить новое определение, такое как устойчивость пароля пользователя. Устойчивость пароля – это свойство пароля, благодаря которому можно определить скорость его взлома. Слабоустойчивый пароль в этом случае будет подобран за короткий промежуток времени, сильноустойчивый пароль будет подобран злоумышленником за продолжительный промежуток времени.

Как можно увидеть, арсенал злоумышленника достаточно богат и разнообразен по методам и способам кражи персональных данных. Для неподготовленного пользователя все эти "приемы" могут показаться достаточно совершенными и недоступными к противодействию. Но это не так, многие приемы по защите персональных данных может сделать и достаточно продвинутый пользователь компьютера или владелец банковской карты. Основным моментом здесь является стрессоустойчивость пользователя, его навык правильно среагировать в какой-либо неожиданной ситуации, а также его возможность предвидеть действия злоумышленника. Злоумышленник пользуется во многом компьютерной необразованностью пользователя, его незнанием современных технологий, а также основных механизмов их работы. Именно поэтому "продвинутых компьютерщиков" нельзя провести на обычные трюки злоумышленников.

Со стороны пользователя его помощниками в борьбе с злоумышленниками являются различные защитные комплексы персональных данных. Одним из таких комплексов является антивирусная защита - совокупность различных программ, основная цель которых - противодействие вредоносным программам (malware) (данное определение антивирусной защиты как комплекса программ распространяется на весь курс данных лекций). Из данного комплекса отдельно можно выделить антивирусную программу – специальное программное обеспечение, целенаправленно борющееся с вредоносной программой. Также из антивирусной защиты можно выделить такое средство как файерволл (межсетевой экран) - специальная программа (комплекс программ), которая осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.

Лекция 1: 12 || Лекция 2 >
Екатерина Дюбко
Екатерина Дюбко

Как сделать так, чтобы данные о прохождении курса "Основы информационной безопасности при работе на компьютере" появлялись в зачетке. Нужен список полных оценок за каждый тест. 

Александр Мишин
Александр Мишин