CC BY
59
прослушивания телефонных бесед используется устройство IMSI Catcher, которое создает поддельную базовую станцию, где регистрируются мобильные устройства, и потом передает сигналы на реальную базовую станцию, то есть работает в качестве ретранслятора. Данная уязвимость не считается «багом» (ошибкой в программе), это специальная закладка при разработке стандарта связи по требованию спецслужб, чтобы они могли прослушивать разговоры при проведении оперативно-разыскных действий. Помимо устройства эмулирующего базовую станцию, злоумышленник может украсть секретные ключи и на любом телефоне с SIM-картой, использующей один из украденных ключей шифрования отслеживать обмен информацией (в том числе и телефоны разговоры) [1].
Однако переживать сильно не стоит, купить устройство IMSI Catcher может не каждый, а кража секретных ключей доступна не каждому хакеру, но забывать о безопасности и мерах предосторожности тоже не желательно. Сейчас большинство сервисов в интернете в качестве методов защиты используют двухфакторную аутентификацию, суть которой состоит в запросе аутентификационных данных двух разных видов, что гарантирует двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного входа. Обычно на первом этапе вводится логин и пароль, на втором - специальный код, приходящий по SMS. Логин и пароль можно подобрать, а вот код приходящий в SMS сообщении не всегда, так как он имеет срок действия в несколько минут и количество попыток его ввода ограничено. Поэтому главная рекомендация для держателей SIM-карт - не давать их посторонним людям.
Литература
1. Ilja Shatilin. Как устроены SIM-карты. Часть первая: история вопроса [Электронный ресурс]: Официальный русский блог Лаборатории Касперского. URL: https://blog.kaspersky.ru/sim-card-history/10189/ (дата обращения: 19.01.2016).
2. История возникновения, типы и возможности SIM-карт, надежность SIM-карт, перспективы развития SIM-карт, взлом SIM-карт [Электронный ресурс]: Amobile. URL: http://test.amobile.ru/info/simcard.htm (дата обращения: 16.01.2016).
К вопросу о безопасности парольной защиты Сухова А. Р.1, Гатиятуллин Т. Р.2
1Сухова Алина Рашитовна / Sukhova Alina Rashitovna - студент 4 курса; 2Гатиятуллин Тимур Радикович / Gatijatullin Timur Radikovich - студент 4 курса, Институт управления и безопасности предпринимательства, Башкирский государственный университет, г. Уфа
Аннотация: в статье анализируются проблемы парольной защиты и предлагаются рекомендации по улучшению безопасности.
Ключевые слова: пароль, защита, безопасность, взлом, аутентификация.
Аутентификация пользователей - подтверждение их подлинности -обеспечивается, в первую очередь, путем использования парольной защиты. Пароль -это сочетание цифр, символов алфавита и специальных знаков, имеющее ограничение по длине. Уже в древности пароли были необходимы для осуществления безопасности. С их помощью римские военные командиры могли контролировать, кто входит в расположение подразделения: враг не мог проникнуть, так как для входа устанавливался ежедневно изменяющийся пароль, который нужно было назвать часовым [1].
В современности функция паролей - охрана от несанкционированного доступа -все так же актуальна. Пароли являются незаменимыми составляющими безопасности использования электронной почты, интернет-банка, смартфонов и других гаджетов, которые хранят персональные данные своих пользователей. Но не все осознают важность использования надежной комбинации для защиты банковского аккаунта или страницы в социальной сети. Поэтому взлом пользовательских паролей — одно из самых распространённых преступлений в Сети, оставляющее далеко позади DoS-атаки и создание бот-сетей [3].
3 года назад американским интернет-изданием «Ars Technica» было проведено исследование, в ходе которого редактор журнала Н. Андерсон, используя бесплатную программу и базу хэшей паролей сайта RockYou, найденные в интернете, взломал часть загруженного на специализированном форуме списка с 16449 МЭ5-хэшей и получил около 8000 паролей простых пользователей в форме текста [3]. Данный эксперимент показал, насколько в действительности уязвима парольная защита. Стоит отметить, что Андерсон потратил на это пару часов и ранее никогда в жизни не занимался ничем подобным. Этот факт приводит к мысли, что если обычному пользователю на кражу паролей потребовалось несколько часов, то профессиональному хакеру на это потребуется еще меньше времени.
Для того чтобы защитить свои учетные записи от взлома, целесообразно предпринять следующие меры безопасности в отношении парольной защиты.
Прежде всего, не стоит использовать слабые, простые пароли. На их взлом уходит меньше всего времени. Число вариантов при взломе методом подбора увеличится, если удлинить пароль всего на пару символов, следовательно, полный перебор всех комбинаций будет занимать уже несколько дней, а не часов. Как правило, в хороших паролях не меньше 10-12 символов, включающих в себя буквы в разных регистрах, цифры и иные символы.
Во-вторых, следует регулярно менять пароли - это основное правило «личной кибергигиены» [2]. Замену необходимо проводить хотя бы раз в полгода, неразумно ждать взлома учетной записи.
Ни в коем случае не стоит использовать один и тот же пароль к различным аккаунтам [1]. Стоит преступнику найти ключ к одной учетной записи — и он очень быстро получит доступ ко всем остальным. В виду этого в надежной защите нуждается основная электронная почта, так как, используя ее, можно восстановить доступ ко всем аккаунтам.
Последняя рекомендация касается беспечности пользователей в отношении хранения паролей. Не стоит хранить пароли на бумаге, в файлах на жестком диске или на другом устройстве [1]. Это крайне небезопасно.
В целом, в случае с парольной защитой нельзя надеяться на 100%-ный гарантированный результат. Однако на данный момент еще нет общедоступного аналога аутентификации: символьный пароль является самым распространенным способом и будет долго им оставаться. Следовательно, чтобы не стать жертвой взлома, стоит не пренебрегать правилами кибер-гигиены и воспользоваться вышеизложенными рекомендациями.
Литература
1. Кочеткова К. Как не надо пользоваться паролями [Электронный ресурс]. URL: https://blog.kaspersky.ru/wrong-password-behaviour/10003/ (дата обращения: 21.01.2016).
2. Кочеткова К. Лайфхак: Обращайтесь с паролями так же деликатно, как со своим нижним бельем [Электронный ресурс]. URL: https://blog.kaspersky.ru/passwords-are-like-underwear/9902/ (дата обращения: 25.01.2016).
3. Нечай О. Почему хакеры так легко и просто взламывают наши пароли? [Электронный ресурс]. URL: http://www.computerra.ru/73480/pochemu-hakeryi-tak-legko-i-prosto-vzlamyivayut-nashi-paroli/ (дата обращения: 20.01.2016).
Алгоритм выбора технических средств защиты информации
Сухова А. Р.
Сухова Алина Рашитовна / Sukhova Alina Rashitovna - студент 4 курса, Институт управления и безопасности предпринимательства, Башкирский государственный университет, г. Уфа
Аннотация: в статье анализируется алгоритм выбора технических средств защиты информации, приводятся общие рекомендации по их выбору. Ключевые слова: защита информации, технические средства защиты, несанкционированный доступ, уровень защищенности, угрозы безопасности.
Самое главное требование к любой информационной системе - обеспечить безопасность обрабатываемой информации: документов, персональных данных, конфиденциальной информации. Защита информации от угроз несанкционированного доступа сегодня касается не только государственных структур и частных коммерческих предприятий, но и обычных пользователей. Достижение этих целей невозможно представить без использования технических средств защиты информации (ТСЗИ). Это напрямую связано с возросшими техническими возможностями по копированию и распространению информации [3].
Прежде всего, при выборе средств защиты информации необходимо исходить из потребностей той системы, в которой их планируется применять, а не только исходя из перечня их свойств и абстрактных преимуществ одного перед другим [1]. Потребности системы формулируются в процессе установления характеристик защищаемого объекта, уровня защищенности и наличия актуальных угроз безопасности информации. То есть необходимо определить объекты защиты, и в каких условиях будет происходить эта защита.
Затем проводится анализ угроз защищаемой информации, итогом которого становится технико-экономическое обоснование. В нем дается оценка защищаемой информации, рассчитывается ущерб в случае ее разглашения, также затраты на приобретение технических средств защиты и меры по обеспечению безопасности и, таким образом, выводится целесообразность принимаемых мер в отношении информации.
В соответствии с законодательством Российской Федерации, в информационных системах ряда организаций использование сертифицированных средств защиты является обязательным. К таким организациям относятся [2]:
• государственные организации;
• негосударственные организации, работающие со служебной информацией государственных органов;
• организации, работающие с персональными данными.
Это означает, что все средства технической защиты информации должны иметь сертификаты соответствия ФСТЭК и ФСБ РФ.
В целом, рекомендации по выбору технических средств защиты информации сводятся к следующему.
В первую очередь, должно быть аргументированное технико-экономическое обоснование по поводу приобретения средств защиты.
