Книжная полка Сохранить
Размер шрифта:
А
А
А
|  Шрифт:
Arial
Times
|  Интервал:
Стандартный
Средний
Большой
|  Цвет сайта:
Ц
Ц
Ц
Ц
Ц

Основы информационной безопасности при работе на компьютере

Покупка
Артикул: 832575.01.99
Доступ онлайн
1 000 ₽
В корзину
Курс является первой ступенькой в обучении правильного обеспечения безопасности персональных данных. Благодаря курсу читатель узнает общие понятия в области защиты персональных данных, а также познакомится с самими методами защиты. После прохождения курса читатель сможет защитить свои персональные данные от злоумышленников. Курс состоит из нескольких частей - Вводная часть (общие понятия в области защиты персональных данных, а также как защищает закон персональные данные пользователей), основная часть (методы выявления кражи персональных данных, а также использование различных методов защиты своих персональных данных), а также познавательная часть (в этой части читатель ознакомится не только с техническими методами защиты персональных данных, но также будут рассмотрены психологические методы защиты, а также будут представлены общие знания в области защиты персональных данных). Пройдя курс, читатель сможет противостоять злоумышленникам, которые попытаются осуществить кражу персональных данных.
Фаронов, А. Е. Основы информационной безопасности при работе на компьютере : краткий курс / А. Е. Фаронов. - Москва : ИНТУИТ, 2016. - 107 с. - Текст : электронный. - URL: https://znanium.ru/catalog/product/2150328 (дата обращения: 28.11.2024). – Режим доступа: по подписке.
Фрагмент текстового слоя документа размещен для индексирующих роботов

                                    
Основы информационной безопасности при работе
на компьютере

2-е издание, исправленное

Фаронов А.Е.

Национальный Открытый Университет “ИНТУИТ”
2016

2

Основы информационной безопасности при работе на компьютере/ А.Е. Фаронов - М.: Национальный
Открытый Университет “ИНТУИТ”, 2016

Курс является первой ступенькой в обучении правильного обеспечения безопасности персональных
данных. Благодаря курсу читатель узнает общие понятия в области защиты персональных данных, а
также познакомится с самими методами защиты. После прохождения курса читатель сможет
защитить свои персональные данные от злоумышленников.
Курс состоит из нескольких частей – Вводная часть (общие понятия в области защиты персональных
данных, а также как защищает закон персональные данные пользователей), основная часть (методы
выявления кражи персональных данных, а также использование различных методов защиты своих
персональных данных), а также познавательная часть (в этой части читатель ознакомится не только с
техническими методами защиты персональных данных, но также будут рассмотрены
психологические методы защиты, а также будут представлены общие знания в области защиты
персональных данных). Пройдя курс, читатель сможет противостоять злоумышленникам, которые
попытаются осуществить кражу персональных данных.

(c) ООО “ИНТУИТ.РУ”, 2011-2016
(c) Фаронов А.Е., 2011-2016

3

Общие понятия безопасности персональных данных

В лекции приведены общие понятия, связанные с безопасностью персональных
данных, отражены обобщенные методики незаконного получения персональных
данных, а также понятия, вносимые со стороны закона о защите персональных данных.

Цель лекции: Предоставить фундаментальные знания о понятиях безопасности
персональных данных пользователям для последующего более глубокого изучения.

В современном мире информационных технологий возникла острая необходимость
охранять данные от нежелательного доступа к ним. Современные методы похищения
данных очень изощренны, и вполне возможно, что на вашем компьютере уже
находится специальная зловредная программа, которая передает ваши данные другим
людям.

Что мы будем подразумевать под персональными данными в рамках этого курса?

Персональные данные (данные) – информация, несущая определенно личный характер
к своему владельцу. Главное отличие персональных данных от корпоративных данных
– это то, что при похищении персональных данных ущерб будет нанесен конкретному
лицу в первую очередь (а потом возможно по цепочке украсть и данные друзей лица), а
при похищении корпоративных данных урон будет нанесен в первую очередь
компании, то есть группе лиц (а уже потом конкретно каждому лицу).

Примерами персональных данных могут служить переписка по электронной почте,
файлы пользователя (например, файл диплома или созданный пользователем рисунок),
логины и пароли к различным онлайн-сервисам (или веб-сайтам), данные кредитной
карточки пользователя, фотографии пользователя (его собственные), его паспортные
данные (которые могут храниться у пользователя на компьютере). Персональные
данные могут представлять в ряде случаев определенный интерес у злоумышленника.
Например, зная ваш номер кредитной карты и ее пин-код, злоумышленник может
сделать любые покупки и переводы в сети Интернет от вашего лица, а вы только
будете удивляться тому, куда уходят ваши деньги. Другой пример: вы пользователь
платного онлайн-сервиса (например, сервиса Интернет-телефонии). Зная ваш логин и
пароль к сервису, злоумышленник может пользоваться этим сервисом от вашего
имени, не заплатив при этом ни копейки. Суть похищения вашей персональной
информации может быть не только в виде денежной прибыли, но также заключаться в
личном интересе, например, злоумышленника может интересовать ваша личная жизнь,
и он захочет просмотреть все ваши фотографии.

При этом действия злоумышленника могут носить различный характер: направленный
и локальный. При направленном характере действий злоумышленник будет намеренно
охотиться именно за вашей личной информацией (например, для компромата на вас по
заказу от ваших недоброжелателей). При локальном же характере действий у
злоумышленника нет четкой ориентировки по поводу жертвы, он будет пытаться
похитить личную информацию у большого круга лиц, причем информация эта может
быть также направленного характера (например, похитить информацию кредитных
карт у любой сотни пользователей), либо локального (похитить любую информацию

4

личного характера у сотни пользователей).

А каким образом он может это сделать? Что при этом будет использовать
злоумышленник? Прежде всего, существует такое общее понятие как malware
(малварь, вредоносная программа, зловредная программа) - любое программное
обеспечение, предназначенное для обеспечения получения несанкционированного
доступа к информации, хранимой на компьютере, с целью причинения вреда (ущерба)
владельцу информации и/или владельцу компьютерного устройства.

Средства и методы осуществления кражи информации

Компьютерный вирус - зловредная компьютерная программа, основная цель которой
зачастую - уничтожение данных пользователей. Также вирус может быть использован
в качестве посредника для других компьютерных программ.

Компьютерный червь - вид вирусов, которые проникают на компьютер-жертву без
участия пользователя. Черви используют так называемые “дыры” (уязвимости) в
программном обеспечении операционных систем, чтобы проникнуть на компьютер.

Уязвимости - это ошибки и недоработки в программном обеспечении, которые
позволяют удаленно загрузить и выполнить машинный код, в результате чего вирусчервь попадает в операционную систему и, как правило, начинает действия по
заражению других компьютеров через локальную сеть или Интернет. (ссылка:
http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%
http://ru.wikipedia.org/wiki/%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%

Руткит - программа или набор программ для скрытия следов присутствия
злоумышленника или вредоносной программы в системе. Термин руткит исторически
пришел из мира UNIX, и под этим термином понимается набор утилит или
специальный модуль ядра, которые взломщик устанавливает на взломанной им
компьютерной системе сразу после получения прав суперпользователя.(ссылка:
http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82 http://ru.wikipedia.org/wiki/%D0%A0%D1%83%D1%82%D0%BA%D0%B8%D1%82)

Троянский конь – одно из основных оружий злоумышленника. Является особым видом
вируса, который занимается тем, что похищает личные данные пользователя.

Социальная инженерия – психологический навык злоумышленника заставлять
пользователя делать те действия, которые хочет злоумышленник. С помощью
социальной инженерии можно заставить пользователя быть марионеткой в руках
злоумышленника. При этом пользователь ничего не заподозрит.

Все эти средства используются на практике злоумышленником для обеспечения
доступа к вашей информации. Также могут использоваться комбинированные методы
доступа к вашей информации (например, с помощью социальной инженерии
злоумышленник спровоцирует вас загрузить троянского коня из Интернета).

5

Но вышеописанные методы применимы в основном для кражи личных данных в
условиях, когда данные находятся в статическом состоянии на компьютере, либо
переносном носителе (то есть данные не передаются). Для случая, когда данные
находятся в динамическом состоянии (то есть находятся в процессе передачи),
существуют другие способы их кражи, построенные на едином принципе кражи
динамических данных.

Принцип кражи динамических данных - это принцип, согласно которому существуют
отправитель данных (пользователь, который отправляет свои данные), получатель (ли)
данных (пользователь (ли), который (е), получает (ют) данные), канал передачи данных
(канал, по которому передаются данные). Злоумышленник при этом пытается украсть
данные в момент, когда данные находятся в процессе течения по каналу передачи
данных. Схематически это выглядит следующим образом:

Рис. 1.1. 

Как видно из рисунка, злоумышленник взаимодействует напрямую только с каналом
передачи данных, с отправителем или получателем данных злоумышленник не
взаимодействует. Взаимодействовать с каналом передачи данных он может разными
способами - как с помощью различного программного обеспечения, так и с помощью
физических устройств. Одним из примеров такого взаимодействия с каналом передачи
данных может быть использование скиммера.

Скиммер - устройство для снятия информации с магнитной ленты пластиковой карты
(банковские карты, кредитные карты). Злоумышленник устанавливает скиммер в место
картоприемника банкомата. При этом сам скиммер является малозаметным для
обывателя. Подробнее об использовании скиммера, методах его обнаружения и защиты
от него будет рассказано в отдельной лекции про пластиковые карты.

Во многих случаях современные мошенники рассчитывают на невнимательность
жертвы, на ее незнание технических основ, деталей технических устройств или основ
работы программного обеспечения. Техническая безграмотность современных людей
зачастую играет на руку мошенникам. Одним из видов современного мошенничества в
области кражи персональных данных является использование различных муляжей.

Муляж (в отношении к краже информации) - это устройство, либо программа, которые

6

вводят в заблуждение пользователя с целью кражи персональных данных. Например,
муляжом может являться антивирус, который вы скачали с ненадежного источника. В
этом случае такой лжеантивирус может запросить у вас пароль к вашей учетной записи
на компьютере, мотивируя это тем, что ему необходимо проверить надежность данного
пароля. При вводе пароля в такой антивирус будьте уверены - ваша информация
попадет в руки к злоумышленнику. Как видно из этого примера, злоумышленник
воспользуется вашей компьютерной безграмотностью с помощью подобного муляжа,
ведь технически подкованные люди знают, что антивирус не запросит вашей личной
информации.

Примечательны также “классические” случаи мошенничества, основанные на
предоставлении “бесплатного сыра” пользователям. В таких случаях злоумышленник
может предложить вам через сеть Интернет вложить какие-либо деньги под проценты в
выгодный проект. При этом он будет уверять вас, что вы получите несоизмеримую
прибыль при ваших минимальных вложениях. Вложения, действительно, будут
минимальные в этом случае, но ваши личные данные, которые запросит
злоумышленник, могут использоваться в корыстных целях (например, злоумышленник
попросит вас прислать копию вашего паспорта с вашей подписью, а потом на эту
копию он вполне может оформить кредит на ваше имя). Другим примером в этой
области может являться пример с использованием подставной конторы, которая
предложит вам выгодное оформление заграничной визы, либо другие услуги, которые
требуют от вас предоставления документов.

Интересная сторона мошенничества заключается в том, что мошенник должен
привлечь внимание своей жертвы. Для этого могут использоваться как
психологические уловки, так и различные трюки, которые обязательно привлекут
жертву. Так как большинство злоумышленников в этой области работают через сеть
Интернет, то одними из таких трюков для привлечения внимания являются трюки с
поисковой оптимизацией (Поисковая оптимизация - различные методы и средства
продвижения вашего сайта с информацией на вершину поисковой выдачи (так
называемый “серп” выдачи)). В общем случае поисковая оптимизация обозначается
аббревиатурой SEO(search engine optimization).Существуют различные методы SEO.
Одним из методов SEO является использование дорвеев.

Дорвей - вид поисковой оптимизации, представляющий собой веб-страницу, которая
напичкана однородным типом слов, с целью выдвижения этой страницы в “серп”
выдачи по этим словам. Примером такой страницы может являться страница со
следующим текстом: “Просто это не то арбалет ак-47б купить собрать на ужин
окружил!!! Мы сами выбираем общество, в котором хотим быть сами уважаю мнения
людей. Тебе было бы действительно неприятно и поймешь, что я образно говорю о
чьей-то там умереть, то можно вообще купить ак-47. Ты хочешь мне сказать, что
Никакие подарки не заменят ак-47”. Как можно увидеть, в данном тексте логически нет
никакого смысла, он построен таким образом только для того, чтобы при вводе в
поисковую машину словосочетания “купить ак-47” страница с этим текстом была на
одной из первых позиций. На таких страницах может быть и информация о том, что
вышла новая антивирусная программа, и вы должны ей воспользоваться для
эффективной защиты вашего компьютера. Естественно, этот антивирус будет
муляжом.

7

Другим способом привлечения жертвы к злоумышленнику может быть использование
различного вида Интернет-рекламы. Например, могут использоваться красочные
баннеры (баннер - графическое изображение рекламного характера) или всплывающие
окна, говорящие о том, что компьютер пользователя якобы заражен вирусом, и
необходимо скачать определенный антивирус. Как ни странно, но пользователи с
низкой компьютерной грамотностью поверят такой рекламе.

Часто перед злоумышленником встает задача раскрытия определенного пароля
пользователя. В этом случае он может воспользоваться различными методами подбора
пароля, но самым безотказным (хотя и долгим) остается метод брутфорса (полного
перебора паролей) - технический метод подбора паролей с использованием
программно-аппаратных средств. В этом случае есть некоторое вычислительное
устройство (либо часть этого устройства, например, процессор компьютера), которые
выполняет действия по перебору паролей, и программное средство, которое
координирует действия вычислительного устройства. Метод брутфорса является одним
из самых долгих методов перебора паролей, но с развитием вычислительных
устройств, этот метод начинает становиться быстрее и эффективнее. Так, например,
мощность современных графических процессоров позволяет подобрать сложные
пароли (около 10 символов) за 40 дней, хотя раньше на это требовалось гораздо
большее количество времени. Учитывая тот факт, что скорость вычислительной
техники растет достаточно быстро, можно сказать, что вскоре методом полного
перебора станет возможно подбирать пароли самой большой сложности за сжатые
сроки. Следует заметить новое определение, такое как устойчивость пароля
пользователя. Устойчивость пароля – это свойство пароля, благодаря которому можно
определить скорость его взлома. Слабоустойчивый пароль в этом случае будет
подобран за короткий промежуток времени, сильноустойчивый пароль будет подобран
злоумышленником за продолжительный промежуток времени.

Как можно увидеть, арсенал злоумышленника достаточно богат и разнообразен по
методам и способам кражи персональных данных. Для неподготовленного
пользователя все эти “приемы” могут показаться достаточно совершенными и
недоступными к противодействию. Но это не так, многие приемы по защите
персональных данных может сделать и достаточно продвинутый пользователь
компьютера или владелец банковской карты. Основным моментом здесь является
стрессоустойчивость пользователя, его навык правильно среагировать в какой-либо
неожиданной ситуации, а также его возможность предвидеть действия
злоумышленника. Злоумышленник пользуется во многом компьютерной
необразованностью пользователя, его незнанием современных технологий, а также
основных механизмов их работы. Именно поэтому “продвинутых компьютерщиков”
нельзя провести на обычные трюки злоумышленников.

Со стороны пользователя его помощниками в борьбе с злоумышленниками являются
различные защитные комплексы персональных данных. Одним из таких комплексов
является антивирусная защита - совокупность различных программ, основная цель
которых - противодействие вредоносным программам (malware) (данное определение
антивирусной защиты как комплекса программ распространяется на весь курс данных
лекций). Из данного комплекса отдельно можно выделить антивирусную программу –
специальное программное обеспечение, целенаправленно борющееся с вредоносной

8

программой. Также из антивирусной защиты можно выделить такое средство как
файерволл (межсетевой экран) - специальная программа (комплекс программ), которая
осуществляет контроль и фильтрацию проходящих через него сетевых пакетов в
соответствии с заданными правилами.

Федеральные законы № 152-ФЗ,№149-ФЗ

А что же говорит закон об осуществлении безопасности персональных данных?
Обратимся к Федеральному закону № 152-ФЗ. В соответствии с 152-ФЗ, каждое
предприятие должно обеспечить защиту персональных данных своих сотрудников,
клиентов и партнеров и принять все необходимые меры во избежание следующих
правонарушений:

1. кража персональных данных;
2. изменение;
3. блокирование;
4. копирование;
5. разглашение информации и другие незаконные действия, указанные в 152-ФЗ.

Поскольку под понятие “Персональные данные” попадают такие данные о человеке,
как фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное и
имущественное положение, образование, профессия, информация о доходах и многое
другое, то система защиты персональных данных нужна фактически любой
организации. В случае нарушения положений закона № 152-ФЗ о защите персональных
данных компания может быть привлечена к судебному разбирательству (вплоть до
приостановления действий, аннулирования соответствующих лицензий), а виновные
лица – к гражданской, уголовной, административной, дисциплинарной
ответственности. Согласно закону “О персональных данных“, каждое предприятие
должно осуществлять защиту персональных данных своих пользователей с помощью
следующих средств:

1. Средства контроля за доступом к сети
2. Средства контроля утечек персональных данных
3. Сертифицированные межсетевые экраны
4. Сертифицированные средства антивирусной защиты.

Защита персональных данных на финальном этапе создания системы представляет
собой аттестацию информационной системы по требованиям защиты информации
Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Само же понятие персональных данных определено следующим выражением:
персональные данные - любая информация, относящаяся к определенному или
определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и
место рождения, адрес, семейное, социальное, имущественное положение,
образование, профессия, доходы, другая информация. Интересен тот факт, что закон не
рассматривает конкретно и в явном виде то, что персональной информацией могут

9

быть и фотографии пользователя, его пароли и логины к различным веб-ресурсам, а
также данные подобного типа (на этот тип персональных данных не указывает явно
определение персональных данных, хотя, возможно, имеются в виду и подобные типы
данных). Эти данные также можно отнести к персональным данным, и, по сути, они
являются таковыми. Также закон вводит такое понятие как актуальность данных (то
есть, например, фамилия может поменяться со временем у определенного лица).
Статья восьмая рассказывает о весьма интересном положении по отношению к
открытым местам хранения персональных данных:

1. В целях информационного обеспечения могут создаваться общедоступные

источники персональных данных (в том числе справочники, адресные книги). В
общедоступные источники персональных данных с письменного согласия субъекта
персональных данных могут включаться его фамилия, имя, отчество, год и место
рождения, адрес, абонентский номер, сведения о профессии и иные персональные
данные, предоставленные субъектом персональных данных.

2. Сведения о субъекте персональных данных могут быть в любое время исключены

из общедоступных источников персональных данных по требованию субъекта
персональных данных либо по решению суда или иных уполномоченных
государственных органов.

То есть, различные телефонные справочники, распространенные в сети Интернет,
являются незаконными, т.к они хоть и являются общедоступным источником, но вряд
ли у субъектов спрашивали их письменные согласия на распространение своих
персональных данных в общедоступном виде. Также интересна статья 10 о
специальных категориях персональных данных:

1. Обработка специальных категорий персональных данных, касающихся расовой,

национальной принадлежности, политических взглядов, религиозных или
философских убеждений, состояния здоровья, интимной жизни, не допускается, за
исключением случаев, предусмотренных частью 2 настоящей статьи.

2. Обработка указанных в части 1 настоящей статьи специальных категорий

персональных данных допускается в случаях, если:

1. субъект персональных данных дал согласие в письменной форме на обработку

своих персональных данных;

2. персональные данные являются общедоступными;
3. персональные данные относятся к состоянию здоровья субъекта персональных

данных и их обработка необходима для защиты его жизни, здоровья или иных
жизненно важных интересов, либо жизни, здоровья или иных жизненно
важных интересов других лиц, и получение согласия субъекта персональных
данных невозможно;

4. обработка персональных данных осуществляется в медико-профилактических

целях, в целях установления медицинского диагноза, оказания медицинских и
медико-социальных услуг при условии, что обработка персональных данных
осуществляется лицом, профессионально занимающимся медицинской
деятельностью и обязанным в соответствии с законодательством Российской
Федерации сохранять врачебную тайну;

5. обработка персональных данных членов (участников) общественного

10

Доступ онлайн
1 000 ₽
В корзину