Научная статья на тему 'Информационная безопасность использования электронных почтовых ящиков'

Информационная безопасность использования электронных почтовых ящиков Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
1612
170
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЭЛЕКТРОННАЯ ПОЧТА / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ / НОМЕНКЛАТУРА УГРОЗ / ЭЛЕКТРОННЫЕ АДРЕСА / ПОЧТОВЫЕ ЯЩИКИ / ПЕРСОНАЛЬНЫЕ ДАННЫЕ / E-MAIL / INFORMATION SECURITY / SECURITY MANAGEMENT / NOMENCLATURE THREATS / ELECTRONIC ADDRESSES / E-MAIL BOXES / PERSONAL DATA

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Брумштейн Юрий Моисеевич, Балбаев Жан Талгатович, Пригаро Станислав Валентинович

Исследованы риски, связанные с регистрацией и использованием адресов электронной почты (АЭП), эксплуатацией электронных почтовых ящиков (ЭПЯ), применением их в качестве удалённых хранилищ информации. Проанализированы возможные каналы «утечки информации» об АЭП и их владельцах, паролях к АЭП.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

INFORMATIONAL SECURITY OF E-MAIL BOXES USAGE

The risks, connected with registration and usage of e-mail addresses (EMA), exploitation of e-mail boxes and their application as remote information storehouses are investigated in the article. Possible channels of «information leakage» about EMA and their owners, passwords to EMA are analyzed.

Текст научной работы на тему «Информационная безопасность использования электронных почтовых ящиков»

УДК 004.5+004.77

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННЫХ ПОЧТОВЫХ ЯЩИКОВ

© Брумштейн Юрий Моисеевич

кандидат технических наук, доцент кафедры Управления качеством, Астраханский государственный университет.

И brum2003@mail.ru

© Балбаев Жан Талгатович

ведущий специалист Центра обработки данных и оперативного управления университетом и технопарком управления телекоммуникаций и вычислительной техники, Астраханский государственный университет.

’ zhan.balbaev@aspu.ru

© Пригаро Станислав Валентинович

студент, Астраханский государственный университет.

И SPrigaro@inbox.ru

Исследованы риски, связанные с регистрацией и использованием адресов электронной почты (АЭП), эксплуатацией электронных почтовых ящиков (ЭПЯ), применением их в качестве удалённых хранилищ информации. Проанализированы возможные каналы «утечки информации» об АЭП и их владельцах, паролях к АЭП.

Ключевые слова/ электронная почта, информационная безопасность, управление безопасностью, номенклатура угроз, электронные адреса, почтовые ящики, персональные данные.

Использование электронной почты (ЭП) играет важную роль в информационном обмене физических и юридических лиц, обеспечении продуктивности их деятельности, поддержании личных информационных контактов, использовании информации в электронных почтовых ящиках (ЭПЯ) и пр. В условиях «виртуализации социальных отношений» [3, с. 20] средства связи, в том числе и ЭП, не только заменяют непосредственное общение, но и значительно расширяют потенциальные возможности информационных контактов физических и юридических лиц. При этом обеспечение информационной безопасности (ИБ) является необходимым условием эксплуатации компьютерных систем [2, с. 5], эффективности использования интеллектуальных

ресурсов (ИР) физических лиц и организаций. Полноценное информационное взаимодействие ИР может обеспечивать и синергетические эффекты, в том числе на уровне регионов и страны в целом. Они усиливают отдачу от имеющихся ИР, обеспечивают их успешное наращивание. На региональном уровне вопросы ИБ, связанные с эксплуатацией ЭП, важны в отношении оперативного управления социально-экономическими процессами, поддержки информационных взаимосвязей органов государственного и муниципального управления с гражданами, предоставления им государственных услуг в электронной форме. Специально отметим, что в масштабах страны и отдельных регионов использование ЭП может быть важным средством преодоления «информационной закрытости

ІЗ

правоохранительных структур» [6, с. 71], развития их контактов с гражданами. Поэтому рассмотрение вопросов ИБ, связанных с регистрацией и эксплуатацией адресов электронной почты (АЭП), использованием информации в ЭПЯ, весьма актуальны. В настоящей статье акцент сделан на практически значимой, но малоисследованной тематике.

Общая характеристика использования электронной почты физическими и юридическими лицами в России

Ранее основным каналом оперативного информационного обмена граждан и организаций были проводные телефоны (ПТ), впоследствии дополненные проводными факс-аппаратами. Сейчас ПТ постепенно вытесняются устройствами сотовой связи (сотовыми телефонами, коммуникаторами, планшетными компьютерами и пр.), имеющими значительно большие функциональные возможности. Отметим процесс конвергенции мобильных ПЭВМ и устройств связи, в том числе в отношении доступа к сети Интернет, пересылки SMS/MMS сообщений и т. д. Поэтому ниже мы не конкретизируем вид устройств, обеспечивающих доступ к Сети.

Количество лиц в России, систематически использующих Интернет для личных целей, можно оценить величиной порядка нескольких десятков миллионов. Большинство квалифицированных пользователей имеют ЭПЯ. Однако дети, а это категория весьма активных пользователей Интернета, предпочитают общение в чатах и социальных сетях, а не переписку с использованием ЭПЯ. Например, судя по результатам анкетировании родителей в отношении использования Интернет их детьми школьного (в том числе и младшего школьного) возраста [8, с. 46], лишь 18% из них пользуются ЭП, а следовательно, и ЭПЯ.

Если учесть ещё ЭПЯ организаций и их подразделений, а также служебные ЭПЯ сотрудников (это также десятки миллионов ящиков), то оценка суммарного количества ЭПЯ, систематически используемых для личных и служебных целей в России, составляет порядка 100-200 млн единиц. При этом факторами риска в отношении ИБ для ЭПЯ являются: значительное количество новых пользователей с низким уровнем культуры кибербезопасности; увеличение количества и расширение номенклатуры угроз ИБ; повышение профессионализма киберпреступников [1, с. 93].

Обязательное наличие ЭПЯ, а также ограничения на их количество пока законодательно не предусмотрены ни для физических лиц, ни для организаций (за некоторыми исключениями). Однако есть много категорий граждан,

у которых ЭПЯ являются фактически обязательными.

Важно, что ЭПЯ используются не только как средство обмена информацией, но и как удалённые хранилища данных (УХД). Для пользователей информационно значимы как собственно тексты отправленных и полученных писем, так и прикреплённые к ним файлы. При целенаправленной эксплуатации систем электронной почты (СЭП) в качестве УХД пользователи могут отправлять письма на свои же адреса, прикрепляя к ним необходимые файлы. Общий размер таких файлов для одной отправки в большинстве СЭП достаточно велик. Суммарные объёмы ЭПЯ в СЭП почти не ограничивают возможности пользователей.

Недостатком большинства СЭП является отсутствие для пользователей возможностей настройки автоматической сортировки писем, поступающих по ЭП - например, с разделением их соответственно заданным спискам АЭП. Отметим, что в mail.ru входящие письма автоматически разделяются по их вероятной принадлежности к спаму на «обычные» и «сомнительные». Аналогичные решения используются сейчас и в других СЭП. Функциональность СЭП как УХД снижается возможностью распределения писем лишь с одно- или двухуровневой рубрикацией информации, при ограниченном количестве групп. Кроме того, в ряде СЭП пользовательские соглашения об использовании ЭПЯ не обеспечивают достаточных юридических гарантий сохранности информации. В некоторых таких соглашениях хранимая информация даже трактуется как собственность СЭП.

Населением для личных целей в основном используются ЭПЯ на общедоступных сайтах СЭП, причём бесплатно. Это СЭП на mail.ru, yandex.ru, rambler.ru, google.com, yahoo. com, hotmail.com и др. Достоинства таких СЭП: удобный сервис; применение профессиональных средств защиты от вирусов и спама; большие объёмы ЭПЯ; постоянная доступность; надёжность хранения информации, в том числе и в отношении ИБ.

В крупных коммерческих фирмах, академических организациях, вузах часто эксплуатируются корпоративные СЭП на базе собственных серверов с использованием АЭП, соответствующих доменным адресам 2-го уровня сайтов организаций. Если информационный обмен предполагается в основном внутри учреждения или группы организаций (например, внутри системы академических исследовательских институтов), то входной трафик в СЭП нередко фильтруется для повышения уровня ИБ. В таком случае в «чёрные списки» для входящих сообщений нередко включаются и сайты с обще-

доступными СЭП. На практике это приводит к тому, что письма по ЭП, отправленные извне описываемых СЭП, не доходят до адресатов. При этом отправители даже не уведомляются об отказе в доставке.

Угрозы ИБ, связанные с регистрацией АЭП

Практически в любой СЭП для получения постоянно используемого ЭПЯ необходима предварительная регистрация пользователя, который может самостоятельно выбрать ещё не занятый АЭП и пароль. В процессе регистрации обычно необходимо ввести ряд персональных данных (ПД). Их конфиденциальность владельцы СЭП гарантируют в рамках соглашения с пользователем об использовании ЭПЯ, которые мало кто читает при регистрации. В соответствии с Федеральным законом «О персональных данных» [9] владельцы СЭП должны рассматриваться как операторы ПД. Закреплённая в Законе формулировка для ПД «любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных») позволяет считать АЭП частью ПД. Введение в действие с 01.01.2011 г. положений этого Закона объективно усиливает «контроль рисков и угроз личной информации путём укрепления информационной безопасности» за счёт мер «государственного регулирования» [5, с. 27]. Однако нормативная регламентация в рамках российского законодательства фактически не распространяется на СЭП, используемые российскими гражданами и организациями, но физически расположенные вне России. В связи с этим отметим, что, по сообщениям СМИ [7, с. 1], пользовательские соглашения зарубежных СЭП уже вступают в противоречие с российским законодательством. В частности, в них предусматривается возможность для СЭП автоматического сбора информации о действиях пользователя в Интернет, номенклатуре программного и аппаратного обеспечения его ПЭВМ и пр.

Практически во всех СЭП общего доступа от пользователей не требуется представлять информацию, подтверждающую правильность введённых ПД или корректировать их при изменении каких-то сведений. Поэтому пользователь при регистрации может ввести неточные или вымышленные ПД, данные другого физического лица или организации, причём без их ведома. Существование ЭПЯ с такими регистрационными данными становится фактором потенциальной угрозы ИБ. Отметим ещё, что пользователь может создать для себя в рамках даже одной СЭП несколько ЭПЯ с разными АЭП.

Достаточно часто пользователь, создающий ЭПЯ в разных СЭП, вводит одинаковые

комбинации символов в АЭП до значка «@» и/или одинаковые пароли - так ему удобнее работать с ЭП. Однако объективно это снижает его уровень ИБ.

Киберсквоттинг обычно трактуется как регистрация (захват) имён сайтов для последующей перепродажи организациям или, значительно реже, физическим лицам. Для АЭП описаний такого рода действий пользователей, а также судебных процессов в отношении оспаривания прав на пользование АЭП, нам в СМИ и специальной литературе пока не встретилось. Однако в будущем они кажутся вполне вероятными. Сообщений о том, что в СЭП применяются специальные «стоп-листы» для свободных АЭП, не подлежащих использованию, также не появлялось, хотя это не исключено.

Рассмотрим возможности несанкционированного определения АЭП уже зарегистрированных в СЭП пользователей.

Как уже указывалось выше, при создании нового ЭПЯ может быть выбран только АЭП, который ещё не применялся в данной СЭП. При этом одинаковый пароль может соответствовать разным АЭП, это удобно, если это адреса одного и того же пользователя. Для большинства СЭП в процессе регистрации осуществляется автоматическая генерация некоторого списка предлагаемых (ещё не занятых) АЭП, в том числе на основе ПД пользователя и/или их англоязычных транслитераций. Если варьировать фамилии и инициалы пользователя, то можно получать разные списки ещё не занятых АЭП. Такой подход вполне продуктивен для уменьшения количества «ручных проверок» возможных АЭП на их занятость в СЭП.

При «ручнъх проверках» АЭП вводится вариант АЭП, и если он уже занят, то пользователь получает соответствующее сообщение, причём обычно сразу после заполнения этого поля, а не после завершения работы с регистрационной формой в целом. Количество попыток ввода АЭП в СЭП, как правило, не ограничивается.

Следовательно, могут быть созданы программы (например, на JavaScript), которые бы в автоматическом режиме выявляли свободные АЭП по спискам, выводимым СЭП для исключения их проверок на занятость; генерировали бы АЭП, которые потенциально могут быть уже зарезервированными; затем проверяли бы их на фактическую занятость. Таким способом выявляются некоторые занятые АЭП, но без их персонализации.

Эти алгоритмы могут быть достаточно эффективны, если искомые АЭП приблизительно известны. В связи с этим многие пользователи предпочитают АЭП на основе своих инициалов и фамилии (типа aivanov@mail.ru). Это облегчает

процесс выявления АЭП, фактически приводит к их персонализации и снижает личную ИБ.

Персональную принадлежность АЭП можно пытаться определить путём направления писем по ЭП, предполагающих (провоцирующих) некоторые ответы на них, содержащие фамилию отправителя. В ответном сообщении в «подвале письма» часто автоматически указывается не только фамилия и инициалы отправителя, но и его место работы, телефоны. Таким образом, АЭП оказываются персонализированными и могут в дальнейшем целенаправленно использоваться для рассылок.

Отметим, что попытка прямого поиска заданных адресов АЭП через распространённые поисковые системы обычно бывает нерезультативной.

В прошлые годы в некоторых СЭП, при попытке ввода пользователем в процессе регистрации уже занятого АЭП, выводился целый список используемых адресов, в некотором смысле близких к введённому. Это исключало бесплодные попытки пользователя, но приводило к «групповому» несанкционированному раскрытию АЭП, хотя и без их персонализации.

Для ряда служебных АЭП их окончания (символы после @) соответствуют имени сайта организации. Например, если имя сайта www. rrr.ru, то вероятны служебные адреса типа *@ rrr.ru. При этом «*» может представлять собой англоязычную транслитерацию фамилии конкретного сотрудника или подразделения. Кроме того, для «*» почти всегда будет встречаться значение «admin» и достаточно часто «support».

Выявленные АЭП могут в дальнейшем использоваться для различных целей, включая рассылку спама на эти адреса; отсылку требований к владельцам АЭП об отправке ими SMS на какой-то номер для прекращения получения нежелательных писем; систематическую пересылку писем с просьбами об оказании материальной помощи на лечение, участии в работе политических партий; создание АЭП-двойников на других СЭП и пр.

По умолчанию представленный выше материал относится к индивидуальным АЭП. Однако в ряде случаев использование ЭПЯ может носить групповой характер, причём сочетание «АЭП-пароль» известно всем членам группы. В качестве примера приведём использование общего ЭПЯ учебной группой в вузе.

Существуют возможности использования «АЭП групп», аналогичных применяемому в СЭП google. Сообщение на АЭП группы получают все пользователи, оформившие соответствующую «подписку». При этом отправитель может и не знать состава подписчиков

и/или их количество в перечне рассылки для группы.

При вводе паролей в процессе регистрации в большинстве СЭП контролируется их сложность. Слишком простые пароли обычно блокируются программным путём, а в случае средней сложности выдаётся предупреждающее сообщение.

Для напоминания забытых паролей от пользователей при регистрации может запрашиваться такая информация: ответ на некоторый специальный вопрос (или секретное слово); другой АЭП, на который будет направлен забытый пароль; номер сотового телефона, на который пароль может быть прислан как SMS. Если номенклатура ответов на специальные вопросы ограниченна, то уровень ИБ снижается, так как правильный ответ может быть найден перебором вариантов.

С целью защиты от автоматической регистрации АЭП «роботами» во многих СЭП при регистрации требуется ввод пользователем с клавиатуры случайной строки символов (состоящих из букв, цифр, спецсимволов), которая отображается на мониторе в искажённом виде. Считается, что программа-робот эту строку адекватно распознать не в состоянии, а пользователь может.

В сети Интернет встречаются и сайты, на которых получают АЭП для кратковременного использования, например www.iominutemail. com. При этом регистрация и ввод каких-то ПД от пользователей не требуются. Однако сообщения со сгенерированных таким образом АЭП могут «отсекаться» на входе в СЭП, так как они часто рассматриваются их системами защиты как спам.

Угрозы информационной безопасности в период эксплуатации ЭПЯ

Номенклатура рассматриваемых видов угроз достаточно обширна. Их можно классифицировать так: угрозы, связанные с действиями или бездействием пользователей, например несвоевременное обновление баз данных антивирусных программ; нарушения работы ПЭВМ и локальной сети по техническим причинам; нарушение каналов связи с провайдером услуг доступа к сети Интернет; сбои в работе СЭП и др. Ниже мы рассматриваем лишь некоторые виды угроз, имеющие различную степень важности для пользователей.

При обращении к СЭП иногда случаются отказы, причинами которых являются технические работы на серверах СЭП, перегрузка СЭП из-за большого количества одновременно работающих пользователей и пр. Отметим также отказы доступа к сети Интернет пользователей в организациях, в том числе из-за выхода из

строя прокси-серверов; исчерпания выделенного пользователям персонального объёма трафика на определённый период времени. При домашнем использовании ПЭВМ или ноутбуков доступ к сети Интернет может утрачиваться из-за несвоевременной оплаты услуг провайдеров; неисправностей ЭВМ; попадания на ЭВМ различных вирусов, исключающих вход в сеть Интернет или сильно затрудняющих его и пр.

Для доступа к ЭП пользователь должен ввести АЭП и пароль. При этом АЭП в большинстве СЭП отображается «как есть», а пароль - звёздочками. Следовательно, ввод АЭП не сложно наблюдать посторонним лицам. Количество звездочек является важной информацией для расшифровки пароля, особенно, если удаётся частично подсмотреть процесс ввода его символов с клавиатуры. Системы авторизации пользователей с помощью электронных ключей пока применяются только для работы с банковскими счетами, хотя в перспективе возможно их использование и для работы с СЭП.

Для повышения уровня ИБ в большинстве СЭП для пользователей предусмотрена возможность инициативной смены паролей, причём частота такой смены и их количество обычно не ограничиваются.

Если пользователь долгое время не использует ЭПЯ, то в ряде СЭП предусмотрено автоматическое удаление ящика, даже без предварительного уведомления. Чтобы избежать этого, можно оформить подписку на автоматическую рассылку информации с каких-то сайтов.

В отношении ЭПЯ с известными АЭП присутствует угроза атак из сети Интернет с использованием двух тактик: большое количество отправок, в том числе с различных АЭП, (это сильно затруднит получателю выбор полезных сообщений из общего потока); дополнительное прикрепление к письмам файлов большого объёма. Второй вариант может рассматриваться как разновидность атак типа DDOS, поскольку большой трафик может привести к переполнению ЭПЯ. В большинстве СЭП при этом поступление новых сообщений невозможно до тех пор, пока пользователь либо не очистит свой ЭПЯ, либо не выполнит увеличение его объёма «вручную».

В случаях попадания на ПЭВМ вредоносных программ, а также открытия пользователями прикреплённых к сообщениям файлов с вредоносным кодом, потенциально возможны следующие варианты: несанкционированная пересылка АЭП и пароля по ЭП [4]; отправка их на сотовый телефон в виде SMS через портал оператора сотовой связи; автоматическое изменение пароля вредоносной программой [4] и др. По ЭП могут поступать и письма с прикреплённой программой, которую пользователю

предлагается установить на свою ПЭВМ, якобы для повышения ИБ взаимодействия с СЭП (формулировки, конечно, бывают и другие).

Последствия для пользователей достаточно тяжёлые. Если даже злоумышленники не изменили пароль, то они получают несанкционированный доступ к ЭПЯ, в том числе к информации, носящей личный конфиденциальный или коммерчески значимый характер. При этом потенциально отслеживание злоумышленниками общения пользователя по ЭП («подслушивание») может осуществляться длительное время [4], о чём он даже не будет подозревать. В связи с этим отметим, что общедоступные СЭП обычно не включают средств автоматического предоставления пользователям протоколов их работы с ЭП. Однако есть вероятность получения этих данных через администраторов СЭП.

Информация из ЭПЯ злоумышленниками может быть также скопирована для последующего использования/распространения и/или сразу уничтожена. В последнем случае есть риск безвозвратной потери АЭП партнёров по переписке, если пользователь их не помнит или они не были где-то зафиксированы.

Также злоумышленники способны «вручную» изменить пароль в общедоступной СЭП. При этом пользователь теряет доступ к ЭПЯ, хотя входящие письма будут продолжать поступать. Обращение к администратору СЭП не всегда даёт быстрые результаты, даже если представлены подтверждения прав на АЭП/ЭПЯ. Для корпоративных СЭП такая ситуация может быть достаточно оперативно устранена с участием системного администратора, отвечающего за ЭП, но не в выходные или праздничные дни.

Злоумышленник, получивший чужие АЭП и пароль, может ознакомиться с ПД пользователя, включая номер его сотового телефона и пр. Затем на этот номер прислается требование об отправке SMS на какой-то номер с обещанием в ответ сразу выслать новый пароль. Если пользователь заинтересован в быстрейшем восстановлении доступа к ЭПЯ, то он на такой вариант может и пойти. Аналогичные схемы получения денег сейчас массово применяются для компьютерных вирусов типа WinLocker. Судя по некоторым сообщениям СМИ, количество пользователей, отправивших запрошенные SMS, составляет порядка 5% от общего числа лиц, столкнувшихся с таким типом вирусов.

Известны попытки «скомпрометировать» АЭП путём направления писем в СЭП с просьбой заблокировать использование соответствующего ЭПЯ. Соответственно приводятся различные аргументы, например о том, что посторонние лица изменили пароль (см. выше).

Осуществляются также рассылки писем типа «фишинговых», например, якобы от имени СЭП с требованием срочно прислать АЭП и пароль для сверки пользователей СЭП после хакерской атаки на сервер ЭП. В целях «усиления» воздействия даётся предупреждение о том, что невыполнение этого требования повлечёт отключение от СЭП или временную блокировку ЭПЯ.

При отказе пользователя от ЭПЯ, его АЭП должен получать статус «свободного». Если система управления СЭП не очищает ЭПЯ пользователя или не удаляет его, то потенциально возможна ситуация, когда освободившийся АЭП займёт новый владелец, который получит доступ к содержимому ЭПЯ предыдущего пользователя.

Для АЭП организаций часто применяются транслитерации их русских названий на английский язык или транслитерации сокращённых наименований. Если такие АЭП используются лицами, не имеющими к организациям никакого отношения, то это может быть не только средством конкурентной борьбы и дезинформации, но также и способом дискредитации организаций. Например, с ЭПЯ с такими адресами может рассылаться неверная или искажённая информация. При этом исходящий АЭП будет восприниматься получателями как указание на организацию-отправителя, даже если в качестве подписи в сообщении указана фамилия физического лица, иногда и вымышленного.

Использование аналогичных рассылок эффективно в рамках «грязных избирательных технологий», особенно в последние дни перед выборами. При этом АЭП, с которого осуществляется отправка писем по ЭП, может представлять транслитерацию на английский язык фамилии и инициалов (в различных сочетаниях) того кандидата, которого хотят дискредитировать. Если таких отправок мало и они осуществляются по ограниченному количеству адресов за один раз, то эти сообщения не будут диагностированы средствами защиты СЭП в качестве спама.

Ряд организаций, имеющих собственные сайты, предусматривает на них функции получения сообщений от пользователей за счёт заполнения специальных форм на соответствующих страничках. При этом одна часть вводимой пользователем информации является формализованной, а другая - допускает свободный ввод. Преимуществом такого подхода является прямое получение организацией информации, минуя антиспамовые и антивирусные фильтры внешних СЭП. От пользователей при заполнении форм требуется указание некоторых ПД или данных их организаций, во избежание анонимных отправок (однако вводимые данные

могут быть искажёнными или вымышленными). Следует иметь в виду, что АЭП обращающегося лица нужно вводить всегда как канал обратной связи с ним. При этом нельзя использовать «кратковременные» АЭП, так как их срок действия ниже, чем время получения ответов.

Анализ возможных каналов утечки информации об АЭП

Помимо приведённых выше вариантов утечки информации об АЭП, мы рассмотрим и некоторые другие, важные с практической точки зрения.

Сейчас АЭП принято указывать на визитных карточках, причём не только служебные АЭП, но и личные. В дальнейшем они нередко становятся доступными посторонним лицам.

Для ряда категорий граждан (например, преподаватели вузов) АЭП становятся известными широкому кругу лиц - в силу специфики работы. Поэтому ими для личных целей, как правило, используются отдельные АЭП.

Редакции многих научных журналов и сборников при отправке работ на публикацию просят указывать АЭП всех авторов. Эти адреса часто печатаются после фамилий авторов и названий организаций, которые они представляют. Так облегчается установление информационных контактов авторов, однако АЭП в этом случае становятся известными неопределённому кругу лиц.

При передаче АЭП с помощью SMS сообщений, эти адреса можно прочесть при попадании сотового телефона в чужие руки, не говоря уже о варианте его кражи. В СМИ приводятся единичные случаи из российской практики, когда базы SMS сообщений, в том числе отправленных через сайты операторов сотовой связи, выкладывались в Интернет для открытого доступа.

В литературе описаны также риски получения АЭП и пароля пользователя с помощью кражи так называемых cookies на ПЭВМ, при «нештатном» выходе пользователей из СЭП. Однако эта угроза существенна главным образом при работе на ПЭВМ общего доступа.

Сейчас достаточно распространена массовая рассылка сообщений по ЭП группам пользователей, включённых в некоторые заранее сформированные или скомпонованные при отправке списки. Последние могут насчитывать от нескольких единиц до нескольких десятков единиц АЭП («адресные строки» для сообщений в большинстве СЭП позволяют включить в них много адресов). Например, такие списки используются в рамках информирования физических лиц о конференциях, конкурсах, возможностях получения грантов, мероприятиях с обязательным участием и пр. Массовые рассылки одина-

ковых сообщений осуществляются также при поздравлениях по ЭП с праздниками, особенно, если к текстовым сообщениям добавляются файлы со статической или анимированной графикой. Эти файлы имеют большой объём и могут достаточно долго «прикрепляться» к письмам. Отметим, что в описываемых рассылках часто указывается ФИО отправителя внутри символов < >. Поэтому АЭП в списках фактически оказываются персонализированными, а не обезличенными.

Некоторые СЭП, в том числе и корпоративного характера, предусматривают «скрытие» информации обо всех или части адресатов отправленных сообщений. Но даже если эти возможности есть, они чаще всего отправителями игнорируются. Применение специальных программ, которые на основе списка адресатов будут направлять им индивидуальные сообщения с ПЭВМ пользователя в автоматическом режиме, может значительно увеличить трафик и общую продолжительность отправки.

Функционирование нескольких ЭПЯ на разных СЭП предполагает использование программных средств «сбора» писем с совокупности ЭПЯ. Такие сервисы есть, в частности, на Яндекс онлайн, Google online. Это удобно, но снижает ИБ пользователей, так как злоумышленник потенциально может проникнуть сразу во все их ЭПЯ.

Для получения полного доступа к некоторым сайтам необходима регистрация на них пользователей с вводом данных. При этом ввод АЭП как канала обратной связи обычно обязателен. В ряде случаев дополнительно требуется «активация аккаунта» по ссылке, отправляемой на АЭП. Так же как и для СЭП, если при вводе нужны ПД, то представление подтверждающих их документов не нужно. Персональная информация, включая АЭП, требуется также при регистрации для участия в интернет-олимпиадах, различных конкурсах, при подаче заявок на гранты, для доступа к некоторым электронным библиотекам и пр. Часто на таких сайтах приводятся декларации об ограничениях на использование ПД.

Каналом утечек информации об АЭП может быть и «адресная книга» (АК). В WindowsXP АК относится к группе «стандартных» программ и обычно бывает пустой. Информация в неё может быть занесена не только вручную, но также импортирована из внешних источников.

На СЭП для каждого пользователя есть АК, причём отображение её в явном виде обычно не предусматривается. Эти АК предназначены для контекстной помощи пользователям при вводе адресов получателей писем, при поиске

адресов ЭП по части адреса или имени владельца. Вредоносная программа способна получить доступ к таким АК для достижения определённых целей. Например, в своё время широкое распространение вируса «I love you» и его клонов показало эффективность использования АК для рассылки писем с вредоносными программами. Доверие получателей к таким письмам обеспечивалось именно тем, что они поступали с известных им АЭП.

Выводы

1. АЭП играют важную роль в обеспечении информационного взаимодействия как отдельных граждан, так и организаций. В случае использования АЭП для личных целей они могут рассматриваться как конфиденциальная информация.

2. Правила и особенности получения АЭП, максимальное количество ЭПЯ, задействованных пользователями, регулируются не законодательством, а нормами, устанавливаемыми владельцами СЭП, в том числе и зарубежных.

3. В массовом сознании угрозы ИБ, связанные с регистрацией АЭП и использованием ЭПЯ, следует считать недооценёнными, особенно в долговременном плане. В частности, это касается ввода ложной информации при регистрации ЭПЯ, АЭП, являющихся транслитерациями наименований организаций и чужих фамилий.

Библиографический список

1. Гришин С. Е. Прогноз развития информационных рисков и угроз [Текст] // Информационная безопасность регионов : научно-практический журнал. - 2011. - № 2(9). - ISSN 1995-5731.

2. Домарев В. В. Защита информации и безопасность компьютерных систем. - М. : ДиаСофт, 1999. - 480 с.

3. Колокольцева О. В. Проблема информационной безопасности в условиях глобализации и виртуализации социальных отношений [Текст] / / Информационная безопасность регионов : научно-практический журнал. - 2009.

- № 1(4). - ISSN 1995-5731.

4. Комлин А. В. Некоторые методы технического взлома почтового ящика с WWW-интерфейсом (на примере www.mail.ru) [Электронный ресурс].

- URL: http://bugtraq.ru/library/www/mailru.html (дата обращения: 04.02.2012).

5. Овчинников С. А. Угрозы личности, обществу и государству при внедрении информационных технологий [Текст] / С. А. Овчинников, С. Е. Гришин // Информационная безопасность регионов : научно-практический журнал. - 2011.

- № 2(9). - ISSN 1995-5731.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

6. Осипова Е. С. Проблемы коммуникативной деятельности органов внутренних дел [Текст] // Информационная безопасность регионов :

научно-практический журнал. - 2011. - № 1(8).

- ISSN 1995-5731.

7. Панов П. Google нарушает российский закон // Известия. - 2012. - № 17.

8. Харламова И. Ю. Аспект проблемы безопасности детей в сети Internet с точки зрения родителей [Текст] / И. Ю. Харламова, Е. Ю. Кузнецова //

Информационная безопасность регионов :

Материалы поступили в редакцию 06.02.2012 г.

научно-практический журнал. - 2011. - № 2(9). - ISSN 1995-5731.

9. Российская Федерация. Законы. О персональных данных [Электронный ресурс] : федер. закон : [принят 27.07.2006 : по состоянию на 25.07.2011 г.]. - АИПС КонсультантПлюс (дата обращения: 18.01.2012).

УДК 004

ЭВОЛЮЦИЯ ПРАКТИКИ ЭФФЕКТИВНОГО ИСПОЛЬЗОВАНИЯ ИТ-СИСТЕМ БЕЗОПАСНОСТИ

© Гришин Сергей Евгеньевич

кандидат философских наук, доцент кафедры ДДОУ, Саратовский государственный социально-экономический университет.

И с.е.гришин@письмо.рф

В статье рассматриваются актуальные проблемы информационной безопасности в свете происходящих изменений в области информационных технологий. Сделан вывод о том, что разработка программы корпоративной информационной безопасности должна состоять из технологий, процессов и учёта человеческих факторов, которые связаны с рисками для учреждения.

Ключевые слова: ИТ-программы безопасности, органы управления безопасностью, оценка риска, безопасная деловая среда.

Ключевая важность слов Б. Баруха отражается в происходящих изменениях в области ИТ-безопасности в течение последних 10-15 лет [1, р. 30-45]. В прошлом вопросам ИТ-безопасности не уделялось такого внимания, как сегодня. ИТ-администраторы защищали «критические» системы шифрованием или другими передовыми методами либо обеспечивали минимальную антивирусную защиту. Мероприятия реагирования в сфере безопасности были сосредоточены, главным образом, на борьбе с целенаправленными нападениями отдельных хакеров или распространением вирусов среди индивидуальных пользователей.

Вместе с тем массовое использование интернет-технологий и рост спроса на под-

Искусство жизни заключается не столько в устранении наших бед, сколько проблем, растущих вместе с ними.

Б. Барух

ключение к Сети постоянно росли. Госорганы, наряду с остальной частью общества, стали всё более взаимосвязаны через World Wide Web. С расширением связей пришли новые угрозы, распространявшиеся слабо защищёнными системами, подключёнными к открытой общественной сети. Хакеры с помощью большого количества приёмов традиционных целевых атак и посредством нового «транспортного средства» в виде вирусов-червей блокировали доступ к сети Интернет путём перегрузки или переправляли их к заражённой системе, которую хакеры могли использовать как часть зомби-сети для рассылки спама или проведения дополнительных атак.

Известно о нескольких случаях, когда автоматизированные атаки вызвали крупномасштаб-

i Надоели баннеры? Вы всегда можете отключить рекламу.