ГлавнаяНовостиСтатьиКаталогВендорыСтандартыОбучениеКонтакты  +7 (495) 231-4831    © 


[ Список статей ] ...


WatchGuard Technoligies. Новые возможности сервисов Network Discovery и Mobile Security позволили WatchGuard значительно увеличить "Прозрачность" cети

С-Терра СиЭсПи. Защита удаленного доступа. Доверенный сеанс связи

CNews. Fortinet включает защиту уровней доступа в систему обеспечения ИБ

CNews. ИТ-подразделениям всё труднее контролировать корпоративные данные в «облаке»

Jammer.ru. Apple следит за своими поль-зователями через Yosemite

Lenta.ru. Разоблачение «Корпорации добра»

Securelist. Доставка от спамеров: опасность гарантирована

Lenta.ru. Интернет-Мерфи

3DNews. Сноуден как повод

Компьютерра. Plug&Pray: скрытая атака через USB

SecurityLab. Как я взломал роутер

Securelist. Дыры в защите корпоративной сети: облачные сервисы

Андрей Козенко, Султан Сулейманов. «Не понимают, как работает интернет»

Евгений Царев. Впечатление от PHDays 2013 или кто заказчик кибербезопасности в России?

Олег Парамонов. Десять страхов: крах интернета, Big Data, утрата знаний и другие вещи, которые пугают учёных и футурологов

Brian Donohue. Альтернативные браузеры с улучшенной защитой

Бёрд Киви. Специалисты предупреждают...

Андрей Шуклин. Big Data: новый рынок, новые перспективы

Luis Corrons. Twitter, Facebook, Apple, Microsoft… кто следующий?

Антон Носик. Лохотрон в зоне .рф

Cio.com (перевод — Елена Фирсова). Самые опасные работы в области технологий

 tsec.ru 

  

SSL-защита ваших данных


  Одним из способов организации защищенных сетевых соединений является применение криптографического протокола SSL, обеспечивающего безопасную передачу данных по сети общего пользования. Для обеспечения взаимодействия систем по данному протоколу на отдельных этапах используется несимметричное шифрование, базирующееся на технологии открытых ключей – PKI, правила применения которой определены рекомендациями X.509 Международного союза электросвязи.

  Для работы по протоколу SSL требуется наличие сертификата – электронного документа, подтверждающего соответствие между открытым ключом и информацией, идентифицирующей владельца ключа. Сертификат также может содержать дополнительную информацию о владельце ключа, сведения об открытом ключе, его назначении и области применения, название центра сертификации и т.д. (далее – сертификаты SSL).

  Сертификаты SSL используются для связывания адреса и программного обеспечения определенного Web-сервера. Сертификаты не только обеспечивают SSL-туннель к обращающемуся с запросом браузеру клиента, но и позволяют определять, принадлежит ли данный унифицированный указатель ресурсов (URL) той организации, которая предъявляет этот URL хосту (клиенту). Сертификаты для SSL изготавливаются в соответствии с международными стандартами и рекомендациями центрами сертификации (Сertification Аuthority – CA). Доверие к таким центрам подтверждается рядом систем сертификации, например WebTrust, и только сертификаты CA включены по умолчанию в хранилища операционных систем и приложений, поддерживающих эти системы сертификации.

  В настоящее время обмен данными с Web-серверами по протоколу SSL (в строке URL вместо http://… наблюдаем https://… и отображаемый на Web-сайте символ закрытого замка) в развитых странах становится стандартом де-факто.

  В каком случае целесообразно применять соединения с сервером по SSL-протоколу? Перечислим некоторые из них:

  • Существует несколько территориально распределенных подразделений с обменом информацией по общедоступным сетям. Необходимо быть уверенным, что никто посторонний не получит доступ к этой информации и не сможет изменить ее.
  • Интернет-магазин принимает оплату в электронном виде. Продавец должен быть уверен, что отгружаемый товар действительно оплачен, а покупатель должен иметь гарантии, что получит оплаченный товар и что номер его кредитной карточки останется в тайне от чужих глаз.
  • Вы имеете свой сайт в Интернет и хотите, чтобы посетители видели то, что вы им показываете, а не ту информацию, которая не имеет никакого отношения ни к вам, ни к вашему сайту.

  Как видно из приведенных немногочисленных примеров, проблемы безопасности в Интернет затрагивают интересы владельцев информационных ресурсов, с одной стороны, и интересы клиентов (пользователей услуг) – с другой.

Что имеем в доменной зоне “.ru”?

  В доменной зоне “.ru” зарегистрировано чуть больше двух миллионов доменных имен и 1 569 693 имеют реальные IP-адреса. Из указанного количества 29% размещены на серверах, имеющих SSL-сертификаты. Приведенные цифры говорят о том, что многие владельцы сайтов (или системные администраторы) понимают необходимость защиты данных в Интернет. Казалось бы, что такое количество защищенных серверов должно внушать оптимизм. Но детальный анализ показывает, что только 3,3% сертификатов выданы доверенными удостоверяющими центрами (рис. 1).

  26% сертификатов являются самоподписанными, а это значит, что сертификат – “электронное удостоверение личности сервера” – изготовлен не в “паспортном столе” (удостоверяющем центре), а умельцем – администратором сервера. Самоподписанный сертификат может изготовить кто угодно, правда, при этом пользователь при попытке посетить Web-сайт получит предупреждающее сообщение: “Ошибка безопасности этого Web-узла” или аналогичное, в зависимости от Web-браузера.

  На рис. 2 представлена десятка лидеров по количеству изданных сертификатов доменной зоны “.ru”.

  Безусловный лидер – “издатель” под названием “ХХ”, а от него недалеко отстали “none” и “SomeOrganization”. Кто они, можно ли им доверять? Сертификаты такого “рода” размещены на 48% серверов, имеющих SSL-сертификаты. В Интернет и других источниках информации можно найти множество руководств по самостоятельному изданию сертификатов. В руководствах приведены шаблоны скриптов с пометкой “XX” полей, предназначенных для заполнения. Большинство “издателей” не утруждают себя лишней работой и заменяют иксы только там, где без этого не обойтись, например, указывают в соответствующем поле имя домена.

  Чем же все-таки плох самоподписанный (самоизданный) сертификат для обеспечения работы по SSL-протоколу? Ведь данные при передаче будут зашифрованы! Да, будут зашифрованы. На вопрос: “Значит, конфиденциальность и целостность данных будет обеспечена?” -я отвечу: “Нет”. И вот почему. Поскольку “самиздатовский” сертификат не обеспечивает неотказуемости (подтверждение авторства), то мы не можем знать, с кем установили соединение для обмена данными. А дальше – да, шифруются данные и в целости достигают адресата. Но кто адресат, кто общается с вами, кто подсовывает вам шифрованные данные? В случае самоподписанного сертификата вашим “собеседником” в сети может быть кто угодно.

О хостинге

  Чуть меньше половины (рис. 3) от всего количества самоизданных сертификатов принадлежит Web-серверам компаний, предоставляющих услуги хостинга.

  К таким сертификатам относится все уже сказанное о доверии к “самиздату”. Но в случае хостинга ситуация еще хуже. Поскольку на одном Web-сервере размещается несколько сайтов различных компаний, а сертификат для сервера во многих случаях издается только на одно доменное имя4, то вы никогда не узнаете, с каким же сайтом на самом деле общаетесь. Можете только предположить имя хостера. Почему предположить, а не знать точно? Потому, что в случае “самиздата” его сертификата нет в списке доверенных. На рис. 4 и 5 приведены примеры – один “электронный паспорт” на двоих.

  Следует обратить внимание на сходство значений хэш-отпечатков сертификатов, что подтверждает их идентичность. Но сайты ведь разные! Хочется надеяться, что владельцы таких сайтов понимают, с чем имеют дело, и информация, представленная на них, не имеет никакой ценности, а ее подмена никак не скажется на репутации владельца.

Выводы

  Если спросить у владельца сайта, во сколько он оценивает стоимость информации, данных, размещенных в сети, стоимость своей репутации, зависящей от содержания сайта, то можно получить ответ от “очень дорого” до “информация (репутация) – бесценна!”.

Источник: itsec.ru  




Рейтинг @Mail.ru

Rambler's Top100
Rambler's Top100