 |
||||||||||||||||||
|
|
|
|
 
1.Современные угрозы для E-commerce.
Всемирная сеть Интернет охватила все отрасли деятельности человека. Огромными темпами развивается сектор бизнес-услуг, предоставляемых посредством Интернета. Среди развивающихся направлений важную роль играют системы Интернет-торговли Business to Consumer. Этот сектор бизнеса связан с предоставлением услуг или продукции конечному потребителю. Основной тип данных систем – электронный магазин – автоматизированная система электронной торговли в сети Интернет. Система электронной торговли представляет собой характерный пример распределенной вычислительной системы. В ней несколько клиентов работают с одним сервером, реже с несколькими серверами. Таким образом, электронному магазину угрожают все внутренние и удаленные атаки, присущие любой распределенной компьютерной системе, взаимодействующей посредством передачи данных по открытым сетям. Мы видим, что оба участника этого бизнес-процесса оказываются уязвимыми перед ними и незащищенными в плане отражения атак и их отслеживания. Кроме информационных атак и угроз, в электронной коммерции существуют еще много уязвимостей другого аспекта, больше связанных с организационными, правовыми и финансовыми проблемами в экономической деятельности фирмы в целом. Поэтому, нужно отметить, что только технических средств для решения задачи построения комплексной системы защиты недостаточно. Необходим целый комплекс организационных, законодательных, физических и технических мер. Что касается законодательства, остановимся на одном выступлении. Н.Н. Соловьев, зам. Председателя Правления АКБ РОСБАНК (г. Москва), в своем выступлении на IV Научно-практической конференции «Право и Интернет: теория и практика» на тему: «О рисках электронной коммерции. Законодательное регулирование» отмечает, что регулирование отрасли электронного информационного обмена, защиты информации в электронных системах ее обработки осуществляется незначительным числом законов. К их числу можно отнести Гражданский кодекс, неоднозначно трактуемый пресловутый Указ президента РФ №334 от 03 апреля 1995 г., Закон №24-ФЗ от 20 февраля 1995 г. "Об информации, информатизации и защите информации", зарегистрированный Минюстом приказ ФАПСИ № 152 от 13 июня 2001 г. Следует отметить также последнюю редакцию Закона №128-ФЗ от 8 августа 2001 г. "О лицензировании отдельных видов деятельности" с внесенными в него дополнениями в соответствии с Законом №28-ФЗ от 13 марта 2002 года и Закон №1-ФЗ от 10 января 2002 г. "Об электронной цифровой подписи". Ответственность за неисполнение отдельных положений законодательства определена во вступившем в силу с 1 июля этого года "Кодексе Российской федерации об административных правонарушениях" №195-ФЗ, принятом 30 декабря 2001 г. Так в чем же причина торможения роста электронной коммерции? На наш взгляд, она кроется в недостатках законодательного регулирования и, как следствие, в рисках, обусловленных проблемами обеспечения необходимого уровня безопасности. Впрочем, существуют и иные - это, может быть, и необходимость лицензионного оформления деятельности для конечных потребителей технологий, а также необходимость приобретения сертифицированных средств защиты информации и ряд других. С другой стороны нужно обратить внимание, что компьютерные технологии очень молоды, но при этом развиваются стремительными темпами. И очень сложно успеть продумать все тонкости защиты и реализовать их должным образом. Всем специалистам, постоянно работающим в сфере электронной торговли хорошо известно понятие ЭЦП. Аутентификация электронного документа осуществляется посредством проверки электронно-цифровой подписи (ЭЦП). При проверке ЭЦП файла проверяется, применялся ли при выработке данной цифровой подписи конкретный ключ, принадлежащий отправителю документа, и не претерпел ли файл изменений в процессе пересылки адресату. Если программа проверки подписи формирует запись “ЭЦП верна”, то файл “аутентифицирован”. При аутентификации файла не имеет значения, какую полезную информацию он содержит и содержит ли вообще. Для последующей идентификации файла – документа требуется механизм перевода бинарной информации, составляющей файл, в читаемую человеком форму и определенным образом трактующего содержимое данной формы. Очевидно, что только при наличии подобного механизма может быть обеспечена доказательная сила электронного документа. Закон "Об электронной цифровой подписи" является основанием доказательной силы цифровой подписи. Доказательная же сила электронных документов зиждется на фиксации языка их прочтения или, иными словами, механизма идентификации цифр - нулей и единиц, образующих документ. Зачастую язык идентификации электронных документов в договорных отношениях не регламентирован. Поэтому, при отсутствии каких-либо правил, норм и требований, ситуация необременительного хаоса в этом вопросе порождает дополнительные риски, являющиеся принципиальным тормозом развития технологий электронной коммерции. Непрерывное развитие сетевых технологий при отсутствии постоянного анализа безопасности приводит к тому, что с течением времени защищенность сети падает. Появляются новые неучтенные угрозы и уязвимости системы. Есть понятие - адаптивная безопасность сети. Она позволяет обеспечивать защиту в реальном режиме времени, адаптируясь к постоянным изменениям в информационной инфраструктуре. Состоит из трех основных элементов - технологии анализа защищенности, технологии обнаружения атак, технологии управления рисками. Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности. Системы анализа защищенности проводят поиск уязвимостей, но наращивая число проверок и исследуя все ее уровни. Обнаружение атак - оценка подозрительных действий, которые происходят в корпоративной сети. Любому программному обеспечению присущи определенные уязвимости, которые приводят к реализации атак. И уязвимости проектирования системы e-Commerce (например, отсутствие средств защиты), и уязвимости реализации и конфигурации. Последние два типа уязвимостей самые распространенные и встречаются в любой организации. Все это может привести к реализации различного рода атак, направленных на нарушение конфиденциальности и целостности обрабатываемых данных. Рассмотрим, какие угрозы подстерегают фирму на разных этапах осуществления покупки через Интернет (см. табл. 1). Таблица №1 Угрозы на различных этапах совершения покупки через Интернет
___________________________________________ * в большинстве случаев существует единая база данных для заказов и проверки наличия товаров. На всех этапах работы системы электронной торговли возможно проникновение во внутреннюю сеть компании и компрометация компонентов электронного магазина. По статистике больше половины всех компьютерных инцидентов связано с собственными сотрудниками, ведь они, как никто иной, знают всю работу «изнутри». Каковы же последствия в случае осуществления этих угроз? В результате всех этих угроз компания теряет: a) доверие клиентов; б) деньги от несовершенных сделок. В некоторых случаях этой компании можно предъявить иск за раскрытие номеров кредитных карт. В случае реализации атак типа "отказ в обслуживании" на восстановление работоспособности тратятся временные и материальные ресурсы на замену оборудования. Перехват данных не зависит от используемого программного и аппаратного обеспечения. Это связано с незащищенностью версии протокола IP (v4). Решение проблемы - использование криптографических средств или переход на шестую версию протокола IP (v6). Помимо всего сказанного, может произойти: 1) нарушение доступности узлов электронной коммерции; 2) неправильная настройка программного и аппаратного обеспечения электронного магазина. 2. Арсенал средств защиты в E-commerce. Все перечисленные ранее угрозы не страшны, если против них существуют действенные средства защиты. Какой же арсенал средств сегодня существует и почему все же и его не всегда достаточно? Для ответа на этот вопрос нужно рассмотреть все четыре уровня, имеющиеся у любой информационной системы. 1 и 2-й уровни (нижние) – уровень операционной системы и уровень сети. Уровень операционной системы (ОС), отвечающий за обслуживание СУБД и прикладного программного обеспечения. Примеры - ОС M S Windows NT, Sun Solaris, Novell Netware. Уровень сети, отвечающий за взаимодействие узлов информационной системы. Примеры - протоколы TCP/IP, IPS/SPX и SMB/NetBIOS. Эти уровни важны особенно. Представим, что злоумышленник получил идентификатор и пароль пользователя базы данных магазина или перехватил их в процессе передачи по сети, или подобрал при помощи специальных программ. Это очень опасно, нужны такие средства и механизмы защиты, которые быстро и точно обнаруживают и блокируют сетевые атаки типа "отказ в обслуживании", а также атаки на операционную систему. В настоящее время на уровне сети применяются маршрутизаторы и межсетевые экраны, на уровне же ОС - встроенные средства разграничения доступа. Одним из примеров средств обнаружения атак является система RealSecure, разработанная компанией Internet Security Systems, Inc. Следующий уровень – третий уровень прикладного программного обеспечения (ПО), отвечающий за взаимодействие с пользователем. Примером элементов этого уровня - текстовый редактор WinWord, редактор электронных таблиц Excel, почтовая программа Outlook, броузер Internet Explorer. Четвертый уровень системы управления базами данных (СУБД) отвечает за хранение и обработку данных информационной системы. Примером элементов этого уровня - СУБД Oracle, MS SQL Server, Sybase и MS Access. Система защиты должна эффективно работать на всех уровнях. Иначе злоумышленник сможет найти уязвимости системы и реализовать атаку на ресурсы электронного магазина. Здесь помогут средства анализа защищенности и сканеры безопасности. Эти средства могут обнаружить и устранить много уязвимостей на сотнях узлов, в т.ч. и удаленных на значительные расстояния. В этой области также лидирует компания Internet Security Systems со своим семейством SAFEsuite. Система включает функции поиска уязвимостей, работающих на всех четырех уровнях - Internet Scanner, System Scanner и Database Scanner. Совместное применение разных средств защиты на всех уровнях позволит построить надежную систему обеспечения информационной безопасности eCommerce. Такая система полезна и пользователям, и сотрудникам компании-провайдера услуг. Она позволит снизить возможный ущерб от атак на компоненты и ресурсы электронного магазина. Из истории создания SAFEsuite… Разработанный одним из экспертов по компьютерным системам защиты Кристофером Клаусом, этот пакет должен выявлять "дыры" в системах безопасности Web-серверов, брандмауэров, серверов и рабочих станций на базе ОС Unix, Windows 95 и NT и сообщать о них пользователю. Эти "дыры" SAFEsuite обнаруживает путем имитации всех известных способов, используемых "взломщиками" для проникновения в сеть. Отличительной особенностью пакета SAFEsuite, состоящего из программ Intranet Scanner, Firewall Scanner, Web Security Scanner и System Security Scanner, является его ориентация исключительно на оценку состояния компьютерных систем защиты. В отличие от известных программ, например SATAN, которая тестирует сеть только "снаружи", или COBS, проверяющей сеть только "внутри", пакет SAFEsuite призван объединить все функции этих программ в единое целое. Из коммерческих российских средств, реализующих большое число защитных функций можно назвать системы семейства SecretNet, разработанные предприятием "Информзащита". Нельзя забывать также и о шифровании и ЭЦП (электронной цифровой подписи). Степень защищенности напрямую зависит от алгоритма шифрования и от длины ключа, измеряемой в битах. Чем длиннее ключ, тем лучше защита, но тем больше вычислений надо провести для шифрования и дешифрования данных. Основные виды алгоритмов шифрования – симметричные и асимметричные. Симметричные методы шифрования удобны тем, что для обеспечения высокого уровня безопасности передачи данных не требуется создания ключей большой длины. Это позволяет быстро шифровать и дешифровать большие объемы информации. Вместе с тем, и отправитель, и получатель информации владеют одним и тем же ключом, что делает невозможным аутентификацию отправителя. Кроме того, для начала работы с применением симметричного алгоритма сторонам необходимо безопасно обменяться секретным ключом, что легко сделать при личной встрече, но весьма затруднительно при необходимости передать ключ через какие-либо средства связи. Приведу обзор некоторых алгоритмов симметричного шифрования. 1) DES (Data Encryption Standard). Разработан фирмой IBM и широко используется с 1977 года. В настоящее время несколько устарел, поскольку применяемая в нем длина ключа недостаточна для обеспечения устойчивости к вскрытию методом полного перебора всех возможных значений ключа. 2) Triple DES. Это усовершенствованный вариант DES, применяющий для шифрования алгоритм DES три раза с разными ключами. Он значительно устойчивее к взлому, чем DES. Rijndael. Алгоритм разработан в Бельгии. Работает с ключами длиной 128, 192 и 256 бит. На данный момент к нему нет претензий у специалистов по криптографии. Skipjack. Алгоритм создан и используется Агентством национальной безопасности США. Длина ключа 80 бит. Шифрование и дешифрование информации производится циклически (32 цикла). IDEA. Алгоритм запатентован в США и ряде европейских стран. Держатель патента компания Ascom-Tech. Алгоритм использует циклическую обработку информации (8 циклов) путем применения к ней ряда математических операций. RC4. Алгоритм специально разработан для быстрого шифрования больших объемов информации. Он использует ключ переменной длины (в зависимости от необходимой степени защиты информации) и работает значительно быстрее других алгоритмов. RC4 относится к так называемым потоковым шифрам. Электронная цифровая подпись (ЭЦП) является электронным эквивалентом собственноручной подписи. ЭЦП служит не только для аутентификации отправителя сообщения, но и для проверки его целостности. При использовании ЭЦП для аутентификации отправителя сообщения применяются открытый и закрытый ключи. Процедура похожа на осуществляемую в асимметричном шифровании, но в данном случае закрытый ключ служит для шифрования, а открытый — для дешифрования. Алгоритм применения ЭЦП состоит из ряда операций: 1) Генерируется пара ключей - открытый и закрытый. 2) Открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи). 3) Отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи. 4) Получатель дешифрует сообщение открытым ключом отправителя. 3. Современные подходы применения мер информационной безопасности в сфере электронной коммерции. Принципиально новый подход к осуществлению электронных платежей сегодня заключается в немедленной авторизации и шифровании финансовой информации в сети Интернет с использованием протоколов SSL (Seсure Sockets Layer) и SET (Secure Electronic Transaction). Протокол SSL предполагает шифрование информации на канальном уровне, а протокол SET, разработанный компаниями VISA, MasterCard и др., - шифрование исключительно финансовой информации. Поскольку сеть Интернет рассчитана на одновременную работу миллионов пользователей, то в коммерческих приложениях "в чистом виде" невозможно использовать ни традиционные системы, основанные исключительно на "закрытых ключах" (DES, ГОСТ 28147-89 и др.), ни методы шифрования только на "открытых ключах", в том числе и российский стандарт электронной подписи. Применение одних закрытых ключей невозможно в связи с тем, что раскрытие (перехват) даже одного ключа сразу же приведет к "взлому" всей системы защиты. Поэтому при реализации электронной коммерции в Интернет вместе с системами шифрования с помощью закрытых ключей используются системы шифрования с помощью открытых ключей. Это связано с тем, что шифрование только открытыми ключами требует больших затрат вычислительных ресурсов. Поэтому лучше всего шифровать информацию, передаваемую по сетям, с помощью закрытого ключа, который генерируется динамически и передается другому пользователю зашифрованным с помощью открытого ключа. Такая система шифрования будет работать и быстрее, и надежнее. В приложениях, основанных на использовании алгоритма SET, покупатель, не расшифровывая платежных реквизитов продавца, расшифровывает все данные заказа, а банк, не имея данных о структуре заказа, имеет доступ к платежным реквизитам и продавца и покупателя. Это достигается благодаря использованию двойной (слепой) электронной подписи, и в данной ситуации банку посылается одна часть сообщения, а покупателю - другая. Кроме того, протокол SET описывает стандартные виды финансовых транзакций между банками, центрами авторизации и торговыми точками. При шифровании с использованием закрытых ключей предполагается, что и продавец и покупатель обладают общим ключом, который они используют для шифрования/дешифрования информации. В шифровании же с использованием открытых ключей предусмотрено, что и продавец и покупатель имеют по два ключа: один - "открытый", который может быть известен любой третьей стороне, а другой - "частный", всегда известный только одной стороне - его владельцу. При этом по одному ключу невозможно восстановить другой. Каков вывод на сегодня? Как защитить сделку от несанкционированного доступа? Для защиты сделок в Интернет в настоящее время организованы специальные центры сертификации. Они следят за тем, чтобы каждый участник электронной коммерции получал уникальный электронный "сертификат", в котором с помощью ключа центра сертификации подписан открытый ключ данного участника коммерческих сделок. Сертификат генерируется на определенное время. Чтобы его получить, в центр сертификации необходимо предоставить документ, удостоверяющий личность участников сделки (для юридических лиц таким документом является свидетельство о регистрации). Каждый участник, имея "на руках" открытый ключ центра сертификации, может с помощью сертификатов проверить подлинность открытых ключей других участников и совершать сделки. С самого начала внедрения электронной коммерции было очевидно, что методы идентификации владельца карты, применяемых в обычных транзакциях, являются неудовлетворительными для транзакций электронной коммерции. Действительно, при совершении операции покупки в физическом магазине продавец имеет право рассмотреть предъявляемую для расчета пластиковую карту на предмет ее соответствия требованиям платежным системам (в частности проверить наличие голограммы, специальных секретных символов, сверить подписи на панели и торговом чеке и т. п.). Кроме того, продавец может потребовать от покупателя документ, удостоверяющий его личность. Все это делает мошенничество по поддельной карте достаточно дорогим предприятием. В случае транзакции в электронной коммерции все, что требуется от мошенника - знание реквизитов карты. Затраты, связанные с изготовлением поддельной физической карты, в этом случае не требуется. В мире пластиковых карт с магнитной полосой самым надежным способом защиты транзакции от мошенничества является использование PIN-кода для идентификации владельца карты его банком-эмитентом. Секретной информацией, которой обладает владелец карты, является PIN-код. Он представляет собой последовательность, состоящую из 4-12 цифр, известную только владельцу карты и его банку-эмитенту. PIN-код применяется всегда при проведении транзакции повышенного риска, например при выдаче владельцу карты наличных в банкоматах. Выдача наличных в банкоматах происходит без присутствия представителя обслуживающего банка (ситуация похожа на транзакцию электронной коммерции). Поэтому обычных реквизитов карты для защиты операции "снятия наличных в банкомате" недостаточно и используется секретная дополнительная информация - PIN-код. Владельцы карт, эмитенты которых держат свою базу данных карточек на хосте STB CARD, могут получить дополнительный PIN-код, называемый PIN2. Этот код представляет собой последовательность из 16 шестнадцатеричных цифр, которая распечатывается в PIN-конверте, передаваемом владельцу карты, и вычисляется эмитентом с помощью симметричного алгоритма шифрования, примененного к номеру карты и использующего секретный ключ, известный только эмитенту карты. Возвращаясь к схеме STB CARD, отметим, что, конечно же, в заполненной клиентом форме PIN2 не содержится, а в действительности все выглядит следующим образом: торговая точка (точнее, сервер Assist), определив, что имеет дело с картой банка STB CARD, передает владельцу карты форму, содержащую подписанный javа-апплет, реализующий некоторый симметричный алгоритм шифрования. При этом PIN2 играет роль секретного ключа этого алгоритма шифрования, а шифруемые данные получаются в результате применения хэш-функции к номеру карты, сумме и дате транзакции, а также случайному числу Nn генерируемому торговой точкой. Таким образом, в заполненной владельцем карты форме присутствует только результат шифрования перечисленных выше данных о транзакции на ключе PIN2. Таким образом, технология проверки PIN-кода, принятая в системе STB CARD, в действительности обеспечивает не только динамическую аутентификацию клиента, но еще и гарантирует "сквозную" целостность некоторых данных о транзакции (сумма транзакции, номер карты). Под "сквозной" целостностью здесь понимается защита от модификации данных на всем протяжении от их передачи от клиента до банка-эмитента. А как же другие карты? В других системах нет пока такой высокой степени защиты. Придется держателям других карт держать в строжайшей тайне свой PIN-код и стараться не терять карту. До тех пор, пока их система не будет должным способом защищена от мошенничества. Из всего вышесказанного видно, что работа по проведению защитных мероприятий ведется, но сложности еще остаются. Эта деятельность предполагает создание большого числа все более сложных алгоритмов шифрования, специальных программ для перехвата и нейтрализации атак. Специалисты в этой области, как в нашей стране, так и за рубежом много полезного уже осуществили в сфере разработок новых программных средств для «отслеживания» и «улавливания» атак, чего нельзя не заметить. Однако у систем электронной коммерции всё еще остаются много неустраненных уязвимостей. Поэтому их необходимо тщательно изучать и стараться быстрее устранять. От этого зависит как-никак объем продаж, а значит, и доходность данного сектора коммерции. Литература: 1. Д.В. Кривопалов. Безопасность электронной коммерции. http://www.klerk.ru/soft/all/?6795 2. Соловьев Н.Н. О рисках электронной коммерции. Законодательное регулирование. Доклад на IV Научно-практической конференции «Право и Интернет: теория и практика», 2004 г. 3. Х. М. Дейтел, П. Дж. Дейтел, Т. Р. Нието "Как программировать для Internet и WWW" 4. А.А. Теренин .ИНФОРМАЦИОННЫЕ УЯЗВИМОСТИ ИНТЕРНЕТ-ПРОЕКТОВ ЭЛЕКТРОННОЙ ТОРГОВЛИ. http://www.juragent.ru/publ/zi/uyaz_e_com.htm 5. Кадощук И. Защищенная открытость. Сетевой журнал №9.2000. 6. В. Горшков, А. Соловьев Электронная коммерция и национальная безопасность.Защита информации. Конфидент № 6, 2003 7. Б.И. Скородумов. Стандарты для безопасности электронной коммерции в сети Интернет.http://www.bre.ru/security/21627.html 8. А. Баутов. Эффективность защиты информации. http://www.bre.ru/security/19165.html 9. Березин А.С. Информационная безопасность и интересы бизнеса. http://www.bre.ru/security/19565.html 10. Столяров Н. В.Организация системы защиты информации в западной Европе. http://www.security.meganet.md 11. Деднев М. А., Дыльнов Д. В., Иванов М. А.Защита информации в банковском деле и электронном бизнесе.Серия: СКБ - Специалисту по компьютерной безопасности. 2004 г. 12. С.Потапкин. Безопасность электронных платежей. http://www.ifin.ru 13. А.Друк. Электронные деньги и безопасность http://www.emoney.ru 14. Дмитрий Тимофеев. SAFEsuite оценивает защищенность сети. http://www.osp.ru/nets/1997/02/142218/ 15. Е.Н. Тищенко, О.А. Строкачева. Проблематика оценки защищенности информационных ресурсов на примере систем электронной коммерции. 2007 г. 16. Д. Никсов, П.Рудель. Cравнение сетевых сканеров безопасности. http://av5.com/journals-magazines-online/1/25/166 17. И. Р. Конеев, А. В. Беляев. Защита данных. Криптография. http://www.winix.ru/informatsionnaya-bezopasnost/kri... 18. Пит Лошин. Обнаружение атак. http://www.osp.ru/cw/2001/17/40355/ ______________________________ © Нельзина Ольга Геннадьевна |
       
|
