ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Хто захистить користувача Інтернету ?
         

     

    Інформатика, програмування

    Хто захистить користувача Інтернету?

    Олексій ЛЕОНОВ, незалежний експерт

    Логічно припустити, що кожен читач цієї статті користується Інтернетом. Кто-то для розваги або листування з колегами і друзями, а хтось для ведення бізнесу. Одні виходять в Мережу з дому, інші з роботи, а деякі з інтернет-кафе, яких розвелося безліч. Кто-то підключається за допомогою «стародавнього» модемного з'єднання, а є й «смакують красу» ADSL або Metro Ethernet. Але всіх інтернетчиків об'єднує одне - ніхто не хоче стати мішенню для хакерів. Користувачеві, за великим рахунком, неважливо, яку атаку зробить хакер: заразить комп'ютер хробаком або вірусом, позаливає мережа марним трафіком (так звана DoS-атака), вкраде або видалить фото - результат однаково неприємний. І бажання бути захищеним від атак витівок закономірно. Хто може допомогти нам у цьому? Звичайно ж, провайдер, який забезпечує нас послугами Мережі. Але чи горить він таким бажанням?

    Договірні необязательства

    Кількість провайдерів в нашій країні ростуть як гриби після дощу, і це зрозуміло - бізнес не лише з незначними, але й прибутковий. І сила-силенна підприємців, що мають комерційну жилку, але навіть поверхнево незнайомих з питаннями безпеки, кинулася в телекомунікаційний бізнес.

    До жаль, велика частина їх клієнтів також незнайома з основами захисту інформації. Але вони і не повинні їх знати, справедливо вважаючи, що захищати їх від хакерів - святий обов'язок провайдера. І, на мій погляд, вони мають рацію. Адже кожен з нас цілком обгрунтовано вважає, що боротьба з терористами (а в деяких країнах хакери прирівняні до терористів) - справа ФСБ та інших правоохоронних органів, які навчені робити цю роботу і мають необхідні для цього кошти. А значить, і з хакерами повинні боротися фахівці. Більшість же інтернет-провайдерів покладають це завдання на користувача.

    Ось тільки один приватний приклад. В одного з операторів зв'язку, що надає доступ в Мережу, у договорі записано: «Клієнт зобов'язується своєчасно інформувати Оператора зв'язку про наявність випадків несанкціонованого доступу до Послуг ». Але для цього треба як мінімум мати системи виявлення вторгнень, які відстежують такі дії. Клієнт у кращому випадку «помічає» атаку тільки тоді, коли йому доводиться оплачувати непомірно збільшені рахунки за Інтернет.

    Цікаво і продовження даного пункту. Провайдер зобов'язується «припинити доступ Клієнта до Послуги у протягом однієї години (в робочі дні та робочий час) з моменту виявлення Клієнтом несанкціонованого доступу до Послуги та отримання від Клієнта письмового повідомлення про це »(виділено мною. - АЛ.). Парадокс у тому, що провайдер зобов'язаний цілодобово забезпечувати вам доступ в Інтернет, а не тільки в робочий час. А вже бюрократичне вимога письмової заяви про атаку в епоху Інтернету виглядає просто абсурдно. Хоча з точки зору зняття з себе відповідальності все гранично логічно - поставити якомога більше перепон «Зламаною» клієнту.

    І таких договорів (як і провайдерів) греблю гати. Але цікавий не тільки факт вимоги від клієнта «виявлення та сповіщення». Як ви думаєте, хто заплатить за збиток, що виник унаслідок злому білінгової системи провайдера? Ні, не вгадали - не провайдер, а саме ви. Принаймні, так записано в договорі одного з відомих операторів зв'язку, що діє на ринку Москви: «Все переговори, які здійснюються з використанням наданих Клієнту індивідуальних кодів і паролів доступу, вважаються переговорами, здійсненими Клієнтом, і їх вартість оплачується Клієнтом у встановленому цим Договором порядку ».

    Зате оператори забороняють користувачеві безліч дій, які можуть бути класифіковані як атаки. Причому ні на рівні держави, ні на рівні галузі немає визначень атаки, несанкціонованих дій, злому і сканування. Однак оператори спокійнісінько вставляють в договір ці терміни або дають посилання на так звані «Норми користування мережею Інтернет», прийняті низкою російських операторів зв'язку (http://www.ofisp.org). Ніякого юридичного статусу ці «Норми ...» не мають, а отже, примусово змушувати користувачів дотримуватися їх оператор не може.

    До речі, близько року тому в мережі ФІДО йшло активне обговорення цього питання. Один з користувачів Інтернету був відключений своїм оператором за нібито проведене сканування. Його спроба довести свою невинність не увінчалася успіхом, і він, намагаючись з'ясувати законність відключення, був змушений звернутися до фахівцям з інформаційної безпеки і юристам. Відповідь була отримана, але великої користі йому не приніс: відключення було незаконним, але боротися з оператором марно-його ресурси багато разів перевищують можливості окремих абонентів.

    Віртуальний хостинг

    Мати свій сайт сьогодні престижно. Але ж саме провайдер відкрив вам двері в світ Інтернет, електронної комерції і надзвичайних баришів. І хтось вже бачить себе другий Джефф Безос (засновник Amazon), однак ... в один зовсім не прекрасний момент раптом виявляється, що «рідний» сервер недоступний не тільки вам, але й вашим клієнтам. А ще через пару годин з'ясовується, що хакер подолав всі перепони, виставлені на його шляху провайдером, і знищив все ресурси. Чиї ресурси? І ваші в тому числі. Ще через день ви з жахом дізнаєтеся, що все «нажите непосильною працею» безповоротно втрачено, тому що провайдер не вважав за потрібне зробити резервні копії.

    Як завжди, в такій ситуації виникає сакраментальне запитання: хто винен? Провайдер впевнений: винуватець усіх бід - орендар місця на його сервері, тобто ви. У вас же інша точка зору (і я, до речі, на вашому боці).

    Навіщо користувачеві замислюватися про безпеку свого сайту? Про це має думати особа, що надає ресурси. Адже провайдера платять не тільки за гігабайти, але і за послуги хостингу, а захист ресурсу - невід'ємна частина такого сервісу.

    Але, на жаль, так вважаєте тільки ви і я, хоча ім'я нам, користувачам, легіон. Я сам є власником декількох невеликих сайтів-проектів, які «хостів» у різних відомих московських провайдерів, і не з чуток знаю про ситуацію, що практиці. Ні один з операторів ніколи не давав мені ніяких рекомендацій з захисту свого сайту (крім набила оскому - «не давайте свій адміністративний пароль нікому »). Жоден з них не включив у договір пункт про своєї відповідальності за збереження і безпеку довірених йому ресурсів. Навпаки. Один з ув'язнених мною договорів свідчить: «Провайдер не несе відповідальності перед Абонентом за затримки і перебої в роботі, що відбуваються прямо або побічно з причини, яка знаходиться поза сферою розумного контролю з боку Провайдера. Провайдер не несе відповідальності за будь-які випадкові або спеціальні пошкодження, включаючи будь-які втрати доходу або втрати заощаджень, заподіяні діями Абонента третім особам. Мережа Інтернет є добровільним об'єднанням різних мереж, Провайдер не несе відповідальності за ненормальне функціонування і доступність окремих сегментів мережі Інтернет ». Очевидно, що і захист ресурсів знаходиться «поза сферою розумного контролю з боку провайдера ».

    Проблема в тому, що такої позиції дотримуються практично всі оператори зв'язку, а тому у нас з вами просто нема вибору і доводиться підписувати подібні договори, сподіваючись тільки на себе (або на авось).

    Гра в картки

    Карти експрес-оплати - дуже зручний спосіб підключення до Інтернету. Досить купити таку картку в будь-якому кіоску «Союздруку», і доступ до безмежних можливостям Всесвітньої павутини забезпечений. Але, купуючи картку, ви можете не знати, що обіцяє вам провайдер з точки зору інформаційної безпеки. Реєструючись і отримуючи доступ, ви «не дивлячись» погоджуєтеся з його так званим договором-офертою, в якому немає жодного слова про вашу захист.

    Наприклад, в договорі з 8 пунктів однієї відомої компанії розділ 7 «Відповідальність оператора »починається зі слів:« Оператор не несе відповідальність за ...», а останній, восьмий, звучить і того краще: «Оператор не несе відповідальність за забезпечення безпеки обладнання і програмного забезпечення Абонента, використовується для отримання Послуг ». Коментарі, як кажуть, зайві.

    «Карткові» користувачі - найбеззахисніші з точки зору безпеки, так як за рахунок масовості такої послуги і з-за низької прибутковості окремо взятого абонента оператору невигідно займатися ще і безпекою цього індивідуума. «Зламали? Ну й добре. Не буду ж я з-за 10-доларової картки напружуватися », приблизно так міркує оператор. На жаль, доводиться визнати, що подібна тактика себе виправдовує: картки купують, кількість клієнтів у оператора зростає.

    А все тому, що користувачеві просто нікуди подітися-підхід «байдикування» пропагують та втілюють в життя всі провайдери послуг Інтернету.

    Персона без охорони

    Здавалося б, ситуація з виділеними мережами (і ADSL-доступом як таким собі проміжним ланкою між «виділенку» і dial-up-доступом) повинна виглядати не так, - адже прибутковість від одного користувача в цьому випадку вища, ніж у «картковому» Інтернеті. Але, як і у випадку з віртуальним хостингом, оператор не має наміру займатися вашим захистом. Більше того, він перекладає всі обов'язки по захисті на самого користувача.

    В Зокрема, в одному з договорів на надання послуг говориться: «Абонент зобов'язаний вжити належних заходів з такого налаштування своїх ресурсів, яка перешкоджала б недобросовісному використанню цих ресурсів третіми особами, а також оперативно реагувати при виявленні випадків такого використання ».

    «Спасіння потопаючих ...»

    На жаль, але відоме ім'я і досвід на ринку телекомунікацій ще не гарантія поінформованості в питаннях безпеки. Історія знає безліч випадків взломів чи інших інцидентів порушення захисту на серверах найбільших провайдерів. Із західних імен можна назвати America Online, Akamai, Cable & Wireless, WorldCom, Swissonline, Earthlink, Qualcomm і т.д. З «наших» - ValueHost, «Укртелеком», «МТУ-Інтел», «Армінко», «Демос-Інтернет» та ін

    З найбільш гучних прикладів варто згадати web-сервер американського інтернет-провайдера Web Communications, що був виведений з ладу 7 і 14 Грудень 1996 на 9 і 40 годин відповідно. Ця атака, що отримала назву SYN Flood, порушила діяльність понад 2200 корпоративних клієнтів компанії. Проте заява президента Web Communications К. Шефлера не прозвучало для клієнтів «майбутніми гарантіями»: «Ми, ймовірно, недооцінили серйозність питань захисту. Не слід думати, що таке з нами ніколи не трапиться ». Очевидно, він, як і його колеги, вважає, що «порятунок потопаючих - справа рук самих потопаючих ».

    Для забезпечення власної безпеки треба використовувати різні системи захисту - Персональні (Agnitum Outpost Firewall, Cisco Security Agent, Kerio Personal Firewall і т.п.) і мережні (Cisco Pix, захисні маршрутизатори Cisco 800, механізми, вбудовані в мережеве обладнання тощо). Але це додаткові кошти, і в першу чергу - фінансові.

    Що ж очікує нас у найближчому майбутньому? Я особисто сподіваюся на Концепцію інформаційної безпеки, яку Мінінформзв'язку планує взяти в самий найближчий час. У концепції (http://www.rans.ru) визначені обов'язки оператора зв'язку, серед яких - забезпечення базового рівня захищеності своєї мережі і, як наслідок, своїх клієнтів.

    Що Щодо юридичного вирішення питань порушення захисту клієнта, то, на жаль, російські реалії відмінні від закордонного досвіду, де оператори (нехай навіть мимоволі) замислюються про безпеку своїх користувачів. У «них» клієнт завжди може подати позов проти провайдера, з рук геть погано виконує свої обов'язки й не дорожчають своїм головним надбанням - клієнтською базою.

    Приклади таких позовів відомі. Наприклад, у серпні 2001 р. після епідемії Code Red американському провайдеру Qwest DSL довелося викласти кругленьку суму, коли в внаслідок виходу з ладу обладнання Qwest DSL його клієнти позбулися нормального доступу в Інтернет. Але позовами справа не обмежується. Оператори можуть розділити долю англійської інтернет-компанії CloudNine, яка в 2002 р. була змушена оголосити про своє банкрутство в результаті DoS-атаки на її ресурси. Цій компанії з шестирічним стажем роботи на ринку довелося закрити бізнес і продати базу даних своїх клієнтів конкурентові - компанії Zetnet. Один із засновників CloudNine, Е. Мізті, вважає, що атака проти них була грамотно спланованою акцією, яка тривала не один місяць. Протягом тривалого часу зловмисники збирали інформацію про ключові серверах і їх пропускної здатності. У вирішальний момент було завдано удару, від наслідків якого CloudNine так і не змогла оговтатися. «Ми не знаємо, чому наша компанія стала предметом інтересу хакерів і хто за всім цим стоїть. Невідомо, хто буде наступним, однак це атака не тільки проти нас, але і проти наших клієнтів », - сказав Е. Мізті.

    Всі ці приклади, безумовною, повчальні, але для нас, російських клієнтів, ситуація залишається колишньою: коли сервери операторів піддаються атаці, потерпають користувачі, а провайдери не несуть ніякої відповідальності за завдану збиток.

    Список літератури

    Журнал «ІнформКУРЬЕРСвязь» № 8, 2005 рік.

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status