БЕЗОПАСНОСТЬ
...И в суму его пустую
Суют грамоту другую...
А. С. Пушкин
Проблемы безопасности электронной переписки волнуют как крупные корпорации, так и рядовых пользователей, и не безосновательно.
Немного об основах
Базовыми почтовыми протоколами Интернета являются SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) и IMAP (Internet Mail Access Protocol).
Протокол пересылки электронной почты SMTP - это протокол клиент/сервер, основанный на TCP (Transmission Control Protocol), который используется для обмена электронной почтой между клиентом и сервером в IP-сетях. SMTP-сервер помещает входящие сообщения в почтовые ящики, а клиенты извлекают их, используя либо РОР, либо протокол интерактивного доступа к почте IMAP. Сообщениям предшествует заголовок (конверт сообщения) с перечнем локальных получателей и адресом источника.
UNIX-хосты сделали SMTP популярным. Широко используются SMTP-серверы Sendmail, Smail, MMDF и PP. Самый распространенный SMTP-сервер в Unix - Sendmail, написанный Брайаном Эллманом. Обычно он конфигурируется так, что должен работать как привилегированный процесс. Это означает, что если его защиту обойти, атакующий сможет нанести вред, далеко превышающий удаление электронных писем.
POP - это популярный протокол приема электронной почты. POP-сервер позволяет POP-клиенту загрузить письма, полученные от другого почтового сервера. Клиенты могут загрузить все сообщения или только те, которые они еще не читали. Он не поддерживает удаление писем перед загрузкой на основе атрибутов сообщения (адреса отправителя или получателя). POPv2 поддерживает аутентификацию пользователя с помощью пароля, но пароль передается серверу в открытом (незашифрованном) виде. POPv3 (POP3) предоставляет дополнительный метод аутентификации, называемый APOP, который скрывает пароль.
IMAP - новый протокол и поэтому менее популярный. Он позволяет создавать, удалять, переименовывать почтовые ящики; проверять новые поступления; оперативно удалять письма; устанавливать и сбрасывать флаги операций; искать нужные письма и выборочно их читать.
IMAP особенно удобен в путешествии, так как сообщения могут быть оставлены на сервере, что избавляет от необходимости синхронизировать списки прочитанных писем на локальном хосте и на сервере.
Отправляя письмо, почтовый клиент устанавливает соединение с почтовым сервером по протоколу SMTP, по нему и передается сообщение. При этом чаще всего никакого кодирования информации не осуществляется: передача выполняется простым текстом. Далее почтовый сервер анализирует адрес электронной почты (точнее, его часть, следующую за символом @). На основе анализа определяется IP-адрес почтового сервера, обслуживающего получателя сообщения. Затем устанавливается соединение с помощью почтового клиента с этим сервером по протоколам РОР или IMAP и происходит передача письма.
Где может подстерегать опасность
Не нужно быть профессионалом в области программирования и знать все тонкости удаленного доступа, чтобы вторгнуться в переписку. Это можно сделать, например, с помощью VBA (Visual Basic для приложений) или VBS (язык VBScript). В качестве иллюстрации можно назвать макровирус ShareFun. Он рассылает документы со своей копией трем случайным адресатам из адресной книги и выглядит как вложение. В самом письме - рекомендация его прочесть. Поскольку Microsoft придала VB функции макроязыка ОС, то перспективы развития макро- и скрипт-вирусов вполне “радужные”. Оформив скрипт или макрос должным образом, можно передавать Windows практически любые команды.
Никто не забывает и о “троянских конях”. Обычно “троян” - это вложенный в письмо ехе-файл. Содержанием письма злоумышленник, как правило, старается заинтересовать адресата. Выглядеть это может как письмо от Интернет-провайдера, призывающее обновить ваш антивирус. Запустив такую программу, пользователь совершает непоправимое: вирус незаметно внедряется в систему.
Причинить вред можно не только методами воздействия на вашу систему, но и на информацию, передаваемую электронным путем. Сохранение конфиденциальности всегда заботило пользователей. Хотя электронная почта почти не используется для передачи коммерческих секретов, все же несанкционированное чтение корпоративной переписки вряд ли оставит спокойным администратора по безопасности.
Не менее важно сохранить целостность информации, ведь злоумышленник, перехватив данные, может внести в них изменения.
Распространенный метод атаки по э-почте - так называемая “почтовая бомба”. Смысл этого вида электронного терроризма в следующем. Злоумышленник, раздобыв электронный адрес пользователя, посылает ему письма большого объема или огромное количество маленьких сообщений и таким образом исчерпывает лимит дискового пространства, отведенного под почтовый ящик на сервере. Для действительно важных сообщений остается два пути. Первый - это успеть записаться до того, как диск переполнится, и второй - ждать, когда пользователь скачает из своего почтового ящика весь хлам, очистив место для важных писем. Как будет выглядеть эта атака в реальности, зависит от типа почтового сервера и его конфигурации.
Занятно выглядит гибрид незатейливой выдумки злоумышленника и безответственности пользователя. Сценарий может быть таким. Вам приходит письмо, с виду похожее на сообщение от Интернет-провайдера, с нижеследующим текстом:
Уважаемый пользователь Интернет-услуг!
Спешим Вас уведомить, что наша система проверки паролей стала еще надежней, чтобы ею воспользоваться, необходимо поменять старый пароль на новый, с количеством символов от 11 до 15.
Анкета:
Логин ____________________
Старый пароль ____________
Новый пароль _____________
Данную анкету следует отослать на support@имя_провайдера.ru
Вы спешите заполнить анкету и высылаете ее... злоумышленнику, который получает доступ в Интернет за ваш счет.
Механизм данной аферы возможно представить следующим образом. Допустим, что одноименный сервер Интернет-провайдера Unknown поддерживает протокол SMTP. Злоумышленник входит с помощью протокола telnet на сервер Unknown (это можно сделать по команде telnet в меню “пуск-выполнить”), вводит в строку mail from: любой e-mail, зарегистрированный в Unknown, и набирает в строке mail to: e-mail пользователя, в тело письма включается вышеуказанная анкета.
Неискушенному человеку при получении письма такого рода сложно сориентироваться в подобной ситуации.
Как с этим бороться
Метод борьбы с этими неприятностями нужно выбирать в зависимости от рода их происхождения. К примеру, действия макро- и скрипт-вирусов можно опередить, отключив соответствующие опции в MS Office и запретив действие Java-машины. Тогда при открытии зараженных документов вирусы не смогут активизироваться и навредить пользователю.
С “троянскими конями” борются исключительно на расстоянии, держа этот вирус в бездействии. К письмам с вложением, расширение которого .ехе, следует относиться крайне осторожно, не доверять адресу отправителя и уж тем более не торопиться запускать этот файл. Передают такие вложения, как правило, по предварительной договоренности. Ну а если это письмо выглядит как сообщение от службы технической поддержки, то все-таки стоит по телефону выяснить у поставщика услуг, в чем же дело. Быть может, он и не подозревает ни о каком обновлении.
Снизить риск атаки с помощью “почтовых бомб”, а также уменьшить потери средств и времени на скачивание электронного мусора поможет второй адрес э-почты. Нужно как можно меньше афишировать свой е-mail в Интернете, а уж если есть в этом необходимость, следует указывать резервный. Многие информационные порталы предлагают бесплатные почтовые ящики. К тому же приходящие сообщения можно просматривать через Web-интерфейс и удалять письма, не скачивая их, а руководствуясь, к примеру, записями в строке Subject. Это очень удобно, так как свой основной адрес вы используете исключительно в деловых целях или для личной переписки, а дополнительный - для развлечений или для переписки с незнакомыми людьми.
Поговорим о защите от неявных форм кибертерроризма.
Мало приятного в том, что однажды ваша переписка может быть опубликована в Интернете. Или, например, вместо ожидаемого письма со сметой бюджета компании вы получите сообщение, в котором в довольно грубой форме говорится, что вы уволены. Первый пример описывает частный случай нарушения конфиденциальности, второй - целостности информации.
Итак, нарушение конфиденциальности - это доступ к сведениям, их просмотр несанкционированным пользователем. Распространенный метод обеспечения конфиденциальности - шифрование информации, когда открытое сообщение преобразуется в непонятную последовательность знаков. Для шифровки, как и для обратной операции - дешифровки, применяют ключ, который представляет собой длинную последовательность символов.
Алгоритм симметричного шифрования подразумевает наличие у всех участников переписки копии вашего секретного ключа, так как для прямого и обратного преобразования он один и тот же. В качестве примера симметричной криптосистемы служит стандарт шифрования данных DES (Data Encryption Standart), который применяет правительство США. Он использует 56-битный ключ.
Симметричные криптосистемы можно разделить на два типа: потоковые и блочные. Первые шифруют исходный текст побитно. Вторые работают с фрагментом текста - блоком. Большинство современных криптосистем, включая DES, кодируют за единицу времени 64-битные блоки.
Серьезный недостаток алгоритмов симметричного шифрования обусловлен неудобством передачи ключей: надо либо иметь высокозащищенный канал для пересылки секретного ключа, либо передавать его из рук в руки. Понятно, что если ключ попал в руки злоумышленника, то толку от шифрования - ноль. Если переписываются несколько пользователей, то возможность утери секретного ключа ставит под угрозу всю переписку. Для снижения риска применяют наборы ключей. Каждый набор принадлежит одному из пользователей и содержит несколько ключей для связи с любым из остальных участников переписки. Чтобы злоумышленник прочитал все сообщения, придется “подарить” ему весь набор ключей.
Недостаток симметричного алгоритма шифрования компенсируется алгоритмом с открытым ключом, или алгоритмом асимметричного шифрования.
Алгоритм с открытым ключом отличается от рассмотренного выше тем, что для шифрования и дешифрования используются разные ключи: секретный и открытый.
Пользователи перед обменом корреспонденцией генерируют ключи. Секретный ключ должен быть абсолютно случайным, а открытый вычисляется из него таким образом, что обратная операция невозможна. Секретный ключ остается у владельца, а открытый высылается пользователям, с которыми будет идти переписка. Отправитель, посылая вам сообщение, зашифровывает его открытым ключом, предварительно полученным от вас. Никто не сможет расшифровать письмо, так как вы - единственный обладатель секретного ключа.
Но наряду с преимуществами данный вид шифрования имеет и ряд недостатков. Так, он непригоден для шифрования длинных сообщений - требуется много времени. Некоторые алгоритмы формируют кодовую последовательность, значительно превышающую исходный текст.
Защита ключей при использовании ПО, основанного на этом алгоритме, также актуальна. Например, вы создали пару ключей и высылаете открытый своему собеседнику. При движении этого ключа по электронным каналам к адресату он может быть перехвачен злоумышленником, который генерирует свою пару ключей и высылает открытый в назначенный вами пункт. Ваш собеседник, получив ключ, ничего не подозревает, шифрует сообщение и отправляет. Разумеется, вам это письмо не прочитать, а вот злоумышленник сделает это легко.
Чтобы избавиться от недостатков рассмотренных алгоритмов шифрования, криптографы создали комбинированный метод.
Комбинированный метод. В этом случае оба участника переписки создают пару асимметричных ключей и обмениваются ими. Каждый имеет свой секретный ключ и открытый ключ собеседника. Далее генерируется ключ симметричного шифрования, которым кодируется сообщение. А для того чтобы адресат смог прочитать письмо, симметричный секретный ключ зашифровывается имеющимся у вас открытым ключом вашего собеседника и прикрепляется к сообщению. Собеседник получает письмо, расшифровывает своим асимметричным ключом созданный вами симметричный секретный ключ, а потом симметричным ключом расшифровывает письмо.
Таким образом удается убить сразу двух зайцев. Во-первых, сокращается время асимметричного шифрования, так как шифруется только короткий симметричный ключ, а во-вторых, сохраняется удобство обмена асимметричными ключами. На практике чаще всего используют комбинированный метод криптографирования.
Есть множество программ шифрования исходящей информации, интегрируемых в оболочку почтового клиента. Все действия пользователя сводятся только к отсылке сообщений - программа сама зашифровывает исходящие и расшифровывает входящие сообщения. Многие выбрали программный пакет PGP с открытым исходным текстом. Работа этого ПО основывается на алгоритме шифрования с открытым ключом. Бесплатная, но полноценная версия этого продукта находится по адресу: www.pgpi.com. При желании можно приобрести и коммерческую (от 200 до 650 долл. в зависимости от типа лицензии).
Цифровая подпись
Гарантию подлинности отправителя и проверку целостности данных обеспечивает цифровая подпись, получаемая в результате сложения контрольной суммы сообщения и закрытого ключа пользователя. Подписывается обычно не полное сообщение, а его сжатая версия, формируемая с помощью хеш-функций.
Хеш-функция представляет собой алгоритм, оперирующий с входными строками произвольной длины. На выходе алгоритма получается строка фиксированной длины - значение хеш-функции или сжатое сообщение.
Сжатое сообщение уникально, так как в ходе преобразования двух разных сообщений с помощью одной хеш-функции результат получается разный. Любое изменение исходного текста письма вызовет модификацию сжатого сообщения в процессе обработки той же хеш-функцией.
Механизм действия электронной подписи таков. С помощью хеш-функции формируется сжатое сообщение, которое преобразуется в цифровую подпись с использованием секретного ключа отправителя. Затем цифровую подпись соединяют с отправляемым письмом. Адресат для установления подлинности э-подписи с помощью хеш-функции, использованной источником, генерирует сжатое сообщение. Программа на основе этого сообщения и открытого ключа отправителя проверяет, была ли цифровая подпись создана с применением соответствующего закрытого ключа.
Далее сравниваются два сжатых сообщения: принятое и созданное получателем письма. Если оба сообщения совпадают, то цифровая подпись достоверна и сообщение при транспортировке не модифицировалось.
Таким образом, в теле письма передается некоторая буквенно-числовая последовательность, одновременно подтверждающая личность отправителя и позволяющая определить подлинность (или, точнее, неизменность) отправления.
Некоторые алгоритмы формирования цифровой подписи позволяют не только гарантировать неизменность отправления, но и при определенных условиях восстановить исходный текст письма. Тем не менее большинство способны только предупреждать о наличии различий между текстом отправленным и полученным, что подразумевает повторную отправку письма с использованием альтернативного или более защищенного канала. Важно также отметить, что электронная подпись не защищает сообщение от перехвата, а только гарантирует подлинность отправителя.
Во многие почтовые клиенты включена функция э-подписи, что позволяет снизить время на ее формирование и обеспечить удобство пользователю.
Вместо заключения
Защищать информацию от потенциальной опасности необходимо всегда. Нарушение конфиденциальности и целостности данных, как уже было сказано, может привести к необратимым результатам для всех участников переписки. Важность данных определяет уровень мер предосторожности. И только пользователю решать, сразу ли открыть вложенный файл или, применив все меры по выявлению непричастности ваших знакомых к отсылке этого документа, немедленно удалить его, исключая потенциальную возможность исчезновения адресной книги и переформатирования винчестера. Да и знакомые ничего доброго не скажут в ваш адрес, узнав, что им с вашей машины был послан вирус (даже если вы об этом не догадываетесь).
Но сколько бы неприятностей ни причинила нам электронная почта, отказаться от ее услуг нельзя - слишком она удобна. Да и в самом деле, не возвращаться же нам в XXI веке к нарочным и посыльным.
