Техника - молодёжи 1997-04, страница 40ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ у шш НЕ было КОМПЬЮТЕРА.. Работа с компьютером — это всегда обработка информации. А ей угрожают самые разные напасти. Наиболее серьезны (с точки зрения наносимого ущерба) не стихийные бедствия, не действия злоумышленников, а непреднамеренные ошибки пользователей: операторов, системных администраторов и других лиц, обслуживающих компьютеры. Пожары и наводнения — сущие пустяки по сравнению с безграмотностью и расхлябанностью исполнителей. На втором месте по размерам ущерба стоят кражи и подлоги. Причем в большинстве расследованных случаев их виновниками также оказывались штатные сотрудники организации отлично знакомые с режимом работы и защитными мерами. Весьма опасны так называемые оби женные сотрудники — нынешние и бывшие. Как правило, их действиями руководит желание нанести вред организации-обидчику, например: повредить оборудование, встроить так называемую логическую бомбу, которая со временем разрушит программы и/или данные, ввести неверную информацию, удалить или изменить ее и т.д. Много говорят и пишут о хакерах, но исходящая от них угроза зачастую преувеличивается. Верно, что почти каждый сервер Internet по нескольку раз в день подвергается попыткам проникновения; верно, что иногда они оказываются удачными; верно, что изредка подобные действия связаны со шпионажем. Однако в целом ущерб от деятельности хакеров (в сравнении с другими угрозами) представляется не столь уж значительным. Вероятно, больше всего пугает непредсказуемость действий людей такого сорта. Что же касается компьютерных вирусов, то, как показало исследование, несмотря на экспоненциальный рост их числа, аналогичный рост количества инцидентов, вызванных ими, не зарегистрирован. Рассмотрение проблем защиты информации не является чем-то новым для «ТМ». Ее программные способы обсуждались еще в № 12 за 1992 г., в статье Сергея Расторгуева «О программах отмычках, взломанных файлах и несанкционированном копировании». Некоторые из изложенных в ней методов потеряли свою актуальность, на смену другим пришли более эффективные. Например, явно прослеживается прогресс в деле шифрования. Если мы хотим передать кому-либо конфиденциальные сведения по открытым каналам связи, то необходимо их зашифровать, то есть закодировать достаточно сложным образом, что обеспечит (в идеале) невозможность их прочтения кем-либо, кроме адресата. Это можно сделать, располагая особым ключом для шифровки и дешифровки сообщения. Стандартные криптографические системы имеют только один ключ, и требуется сначала передать его по секретным каналам, чтобы обе стороны могли иметь его до того, как шифрованные сообщения будут посылаться по обычным каналам. Это далеко не все гда удобно. Один из современных методов защиты от несанкционированного просмотра — кодирование информации с помощью программы Pretty Good Privacy (PGP), выпущенной фирмой Phil's Pretty Good Software. Это криптографическая система с высокой степенью секретности для операционных систем MS-DOS, Unix, VAX/VMS и ряда других. PGP использует метод шифрования с так назь ваемым «открытым ключом» и разработана в первую очередь для использования в системах электронной почты, позволяя пользователям обмениваться файлами или сообщениями с использованием функций секретности и установлением подлинности. Секретность означает, что прочесть сообщение сможет только тот, кому оно адресовано. Установление подлинности позволяет удостовериться, что сообщение, полученное от отправителя, действительно посла но им, то есть программа реализует функцию электронной подписи. В криптографической системе с открытым ключом каждая сторона имеет два взаимно связанных ключа: открытый и секретный. Каждый из них дешифрует код, сделанный с помощью другого. Знание открытого ключа не позволяет вычислить соответствующий ему секретный. Открытый ключ может публиковаться и широко распространяться через коммуникационные сети. Такой протокол обеспечивает секретность без необходимости использовать специальные каналы связи, требуемые для стандартных криптографических систем. Кто угодно может применить открытый ключ получателя, чтобы зашифровать направляемое тому сообщение, получатель же использует собственный соответствующий секретный ключ для расшифровки. Никто, кроме получателя письма, не расшифрует его, потому что никто больше не имеет доступа к секретному ключу. Даже тот, кто шифровал сообщение, не способен расшифровать его. Аналогично обеспечивается и установление подлинности сообщения. Собственный секретный ключ отправителя может быть использован для шифровки сообщения, как бы «подписывая» его. Так создается электронная подпись, которую получатель может проверить, используя открытый ключ отправителя. Электронная подпись позволяет удостоверить, что отправителем был действительно автор сообщения и само письмо впоследствии не изменялось кем-либо. Подделка подписанного сообщения невозможна, и даже отправитель не может впоследствии изменить свою подпись. Эти два процесса могут быть объединены для обеспечения секретности и установления подлинности: сначала сообщение подписывается секретным ключом отправителя, затем подписанное сообщение шифруется открытым ключом получателя. Сам получатель поступает наоборот: расшифровывает сообщение, применяя собственный секретный ключ, а затем проверяет подпись, используя открытый ключ автора письма. Эти шаги могут выполняются автоматически с помощью программного обеспечения PGP. На одной из выставок вниманию посетителей предлагались среди прочего и изделия «Криптон» для шифрования данных, файлов и проверки подлинности электронной подписи. Особенностью их является то, что при работе расшифрованная информация содержится только в ОЗУ и не копируется во временные файлы, чт о позволяет сохранить конфиденциальность при сбоях. Зашифрованные файлы монтируются в виде дополнительных сетевых дисков, и доступ к ним осуществляется прозрачно для пользователя. Наряду с шифрованием данных часто возникает потребность защитить программы, пользующиеся этими или другими данными. Защита программ предполагает два направления. Одно из них — предотвращение доступа к программе посторонних лиц, другое — защита самой программы от несанкционированного копирования. На практике эти два направления постоянно пересекаются. Многие производители программного обеспечения (ПО) считают незаконное копирование их продукции сущим бедствием. Вот мнение одного из них: «Разработка сложного программного обеспечения требует значительных затрат денег и времени. Многие пользователи не считают программное пиратство «настоящим» преступлением, но даже очень оптимистическое предположение о том, что на одну легальную копию приходится одна нелегальная, приносит разработ чикам программного обеспечения огромные убытки. На некоторых рынках это отношение составляет один к десяти. Другими словами, производитель программных продуктов может те рять до 90% потенциальной прибыли. Надеждам на качестве ное сопровождение и хорошую поддержку не суждено было сбыться — тиражные продукты живут своей жизнью! Расползшиеся незащищенные копии работают и успешно конкурируют с новыми версиями продукта и сильно снижают объемы продаж. Настоящей бедой для многих обернулось победное шествие эпохи multimedia и CD-ROM: массовый выпуск и запись «на заказ» всего за $6—15 всевозможных пиратских сборников на CD-ROM типа «Все для офиса» или «50 лучших бухгал ерских программ». При налаживании продаж незащищенного продукта посредством дилерской сети у многих фирм наблюдается всплеск активности дилеров и быстрое угасание интереса. При этом называют ти-пичнои экую ситуацию, когда дилер привозит в свой город новую программу и успевает продать только 2-3 экземпляра. Буквально через неделю все рабо оспособное население города уже имее ее на своих компьютерах и с нетерпением ожидает «нового привоза >. А у дилера на руках остается нераспроданная партия продукта Программисты, занимающиеся проблемами защиты информации, постоянно совершенствуют свои методы. Никого уже не остановишь дискетой, на которой «перемешаны» секторы или сделана царапина, — хакеры легко воспроизведут такую же. Ключевая дискета легко копируется, или обращение к ней просто «выкусывается» из кода. Провалились попытки привязывать программу к конкретному компьютеру, определяя его уникальные характеристики, — защита по добноготипа крайне неустойчива. Вообще, в последнее время намети ась тенденция защищать программы и данные не чисто программными способами, а комбинацией про раммных и аппаратных средств. В простейшем случае — это особый ключ, вставляемый в паралле] ьный порт (при этом сам порт остае ся прозрачным и может использоваться для подключения принтера либо другого периферийного устройства), или плата, ус анавливаемая в свободный слот расширения. Чем хороши электронные ключи? Они идеально совместимы с любым компьютером, так как используют только стандартное оборудование порта. Защита же, построенная с применением таких ключей, на порядок более надежна, нежели привязка программ к каким-либо характеристикам самого компьютера или ключевой дискеты. Дело в том, что в нашем случае привязка осуществляется к ус роиству, от которого в любой момент можно полу ить прогнозируемый ответ. Пользователи могут сделать любое количество резервных копий программы и запускать их с дискеты, винчестера или лазерного диска. Перенеся ключ с одного компьютера на другой, можно, например, продолжить дома работу, начатую в офисе. Многие типы ключей даже позволяют организовать защиту нескольких программ на одной «заглушке». Из относи гельно простых и недорогих ключей назову изделия компании EliaShim microcomputers. Электронные ключи семейства MemoPlug, произведенные этой фирмой построены на базе чипа EEPROM-памяти и содержат несколько полей данных, таких как код пользователя, серийный номер ключа, номер версии, счетчик и еще 120 байт ользовательской информации. Код пользователя закладывается при изготовлении ключа и является уникальным. Эти ключи позволяют работать каскадно (числом не более трех) и имеют «прозрачность» только для принтеров, работающих по стандартному 1ротоколу. Семейство ключей HardLock компании FAST Software Security AG позволяет с помощью специального оборудования изменя ь уникальный код пользователя и производить шифрование данных. На отечественном же рынке компанией ТЕХНИКА-МОЛОДЕЖИ 4 ' 9 7 38 |