Как охраняются наши деньги в Интернете?
С древнейших времен люди всячески старались защитить информацию, которой обладали и которую необходимо было сохранить в секрете. Но если тогда основные методы защиты были связаны непосредственно с опасностью физического перехвата секретных данных и заключались в их физической охране, то сейчас, в условиях, когда терабайты информации ежеминутно передаются по Глобальной сети между людьми, подчас находящимися на разных континентах, проблема защиты данных встает по-новому.
Как поймать шпиона, если вы его не видите и не знаете где он? Мало того, вы, скорее всего, даже не узнаете, что ваша информация была украдена, и вполне возможно, что вы сами, лично передадите ее злоумышленнику, ничего об этом не подозревая.
Вдумайтесь, ведь когда в окне браузера на сайте Webmoney вы нажимаете кнопочку «Войти в личный кабинет», ваши логин и пароль проходят множество компьютеров, передаются от одного к другому до тех пор, пока не достигнут пункта назначения. Для достижения хоста в пределах одной страны данные обычно должны пройти через добрый десяток разных компьютеров. Для передачи данных на хосты, находящиеся в других странах, может потребоваться более 20 промежуточных компьютеров. А это значит, что любой из них может просмотреть данные в то время, когда они через него проходят. А если кто-то узнает логин и пароль от вашего кошелька, глупо надеяться, что этот кто-то им не воспользуется.
Не спешите отчаиваться и снимать свои деньги со счетов в Интернете, чтобы спрятать их в носках. Поверьте, там им грозит гораздо большая опасность. Цель статьи — не напугать, а наоборот, успокоить читателя, объяснив ему, как охраняются наши данные в Глобальной сети. Кроме того, методы, которые здесь будут описаны, никак не зависят лично от вас и соблюдаются независимо от вас, так что можете расслабиться и не переживать о том, что после прочтения данной статьи Вам придется бежать и срочно все менять и настраивать.
Итак, начнем.
Не обращали ли вы внимания, какой структуры ссылки в Интернете? Как правило, это — www. «и нужный нам адрес». http:// - это протокол для передачи гипертекста. Но важно не это, а другое. Не замечали ли вы, как ловко превращается наш http:// в httpS://, когда мы работает с сайтами, которым сообщаем секретную информацию, например, те же логин и пароль? Сложно поверить, но за этой маленькой приставкой S скрывается целый комплекс работ по защите канала передаваемых нами данных. Когда вы видите в адресе ссылки https:// - знайте, что ваши данные передаются с использованием безопасного протокола SSL, а это значит, что:
1. Все передаваемые данные шифруются, и даже в случае их перехвата взломщик не сможет их прочитать.
2. Вы можете быть уверены в том, что передаете информацию именно тому, кому и намеревались ее передать.
3. Сегодня ночью вы можете спать спокойно.
Сразу стоит сказать, что с точки зрения учебной дисциплины «Информационная безопасность», данное описание протокола защищенных сокетов (SSL), как минимум, неполно и неоднозначно. Однако рядовому пользователю Сети, которому не нужно разбираться во всех тонкостях аутентификации по «Модели рукопожатия» и знать принцип атаки типа «Человек посередине», данное объяснение донесет главную мысль (см. пункт 3). Единственное, о чем еще стоит упомянуть — это о способе, позволяющем клиенту однозначно определять сервер, которому он передает данные. Этим тоже занимается протокол SSL, и вот как это происходит.
Перед началом передачи данных сервер, которому вы собираетесь эти данные передать, должен сначала вам доказать, что он на самом деле тот, за кого себя выдает. Для этого он передает вам свой цифровой сертификат, который содержит открытый ключ шифрования, другую информацию о себе, а также информацию о центре, выдавшем данный цифровой сертификат. Данное описание, опять же, довольно условно, но важно сейчас не это. Тот факт, что полученный сертификат содержит открытый ключ шифрования, позволяет вам на его основе создать шифр, расшифровать который можно только с помощью закрытого ключа шифрования, который никуда и никогда не передается и хранится только на сервере. А это значит, что только сам сервер, который отправил вам цифровой сертификат, может расшифровать то, что зашифровали вы. И если он сделает это верно (а результат дешифровки он вам также отправляет), то этим он однозначно себя аутентифицирует.
Таким образом, отпадает возможность проведения атаки «Человек посередине», когда злоумышленник представляется серверу клиентом, а клиенту — сервером, и все данные проходят сначала через него. Однако цифровой сертификат злоумышленник может создать сам себе и сам себе его заверить, поэтому гарантом безопасности здесь выступает специальное третье лицо — центр сертификации, которому изначально доверяют обе стороны обмена и который, собственно, и выдает цифровой сертификат.
Не стоит думать, что волшебный протокол SSL и ссылка типа https:// разом решат все ваши проблемы, ведь они отвечают только за одну из множества областей, подверженных атакам. Так, к примеру, протокол SSL не спасет ваш логин и пароль, если они записаны в блокноте, который вы забыли в трамвае.
Доверяйте друг другу, но не забывайте о защите информации!