= Безопасность =
В ЭТОМ МИРЕ СЛУЧАЙНОСТЕЙ НЕТ
Константин Николаенко aka Steel Human lightnet@obninsk.ru
Любой интернет-серфер когда-нибудь задается вопросом о собственной безопасности при путешествиях в Сети. Причин тому может быть несколько: новость о появившемся злобном вирусе и проделках хитрых хакеров, или проснувшееся ощущение (усыпленное до этого "красивой оберткой" WWW) собственной незащищенности перед безграничными просторами Интернета, или просто банальное случайное, нежеланное и, не дай бог, губительное вторжение в горячо любимый компьютер. Но так уж ли все "случайно" в нашем компьютерном мире, где царят алгоритмы и логика на ЦПУ?
Собственно говоря, для простых серферов основных потенциально опасных источников "вторжения" всего два: электронная почта, являющаяся рассадником вирусов, и WWW-служба. Последним источником мы и займемся, а первый оставим на совести разработчиков антивирусного программного обеспечения (ПО), разработчиков почтовых программ и осторожности пользователя. А пока... а пока немного теории.
WWW
World Wide Web (с англ. "Всемирная паутина") - это одна из служб Интернета. Данная технология призвана предоставлять универсальный доступ к неким форматированным документам (HTML-документы или гипертекстовые документы). Для работы с WWW существуют специально предназначенное для этого ПО, называемое браузерами (от англ. "browser" - просмотрщик, обозреватель, навигатор и т. п.). Об этом софте пойдет речь далее: будет осуществлен обзор наиболее популярных на данный момент браузеров в свете безопасной работы в Сети. Причем, будут рассмотрены только те из них, что предназначены для ОС Windows, ибо по заверению системы глобальной статистики HotLOG.ru (на сентябрь 2002 года) на долю ОС Windows приходится более 95% (!) рунетчиков (Рис.1).
SSL и сертификаты
Secure Sockets Layer (с англ. "Безопасный уровень соединителей") - протокол, предназначенный для защищенной передачи данных. Вспомните, что вы набираете в адресной строке вашего браузера? Наверняка в 99% случаев это будет "http", означающее, что, работая с WWW, вы пользуетесь протоколом HTTP (Hypertext Transfer Protocol - протокол пересылки гипертекста). Как это ни печально, но обычный протокол HTTP не гарантирует должный уровень конфиденциальности, так как вся информация передается в незашифрованном виде по открытым каналам при недостаточном уровне аутентификации. При аутентификации (авторизованный вход в какую-либо систему) пользователь вводит логин и пароль, который затем передается web-серверу в незашифрованном (!) виде. Это во-первых, а во-вторых, протокол HTTP не позволяет идентифицировать объекты, участвующие в обмене информацией. Говоря простым языком, мы не можем быть уверены в том, что объекты выдают себя за тех, кто они есть на самом деле, и что информация не будет по пути перехвачена злоумышленниками. Неважно, будь то PIN-код кредитки или тот же самый пароль к почтовому ящику. Протокол HTTPS, аналогичный HTTP, но использующий технологию SSL, позволяет решить данные проблемы.
Основой HTTPS являются сертификаты (своеобразный "паспорт") и криптозащита (шифрование). При инициализации обмена информацией, браузер и сервер обмениваются сертификатами, тем самым однозначно (!) идентифицируя себя. Дальнейшее взаимодействие осуществляется по зашифрованному "каналу". В итоге, SSL теоретически может обеспечить полную защиту любого соединения в Интернете. Но только теоретически: на практике же все зависит от безошибочной реализации этой технологии в конкретном браузере. Обнаруженные уязвимости разработчики стараются устранить очередной заплаткой или сервис-паком. Выход сервис-паков для ПО, использующего SSL, сейчас вещь нередкая, что говорит о недостаточной степени совершенства реализации SSL-протокола во многих популярных ныне программах.
------------------------------------------------
9 сентября 2002 года корпорация Microsoft официально выпустила для Internet Explorer 6 набор исправлений Service Pack 1 (Q326489), который находился на бета-тестировании с начала июля. Среди прочих были исправлены ошибка загрузки файлов по SSL-соединению при некэшированном соединении (Q323308) и ошибка NTLM аутентификации через SSL (Q325662).
------------------------------------------------
На данный момент существуют следующие реализации SSL:
- SSL версии 2: позволяет работать с более старыми web-серверами
- SSL версии 3: позволяет работать с более новыми web-серверами
- TLS (Transport Level Security): это что-то вроде новой версии SSL 3.1. Если не удается установить соединение по протоколу TLS, то используется SSL 3.0
Стоит отметить, что любой сертификат имеет срок действия, по истечении которого сертификат становится недействительным. За этим необходимо следить и вовремя аннулировать подобные сертификаты, хранящиеся в базе вашего браузера.
Теперь о главном: о реализации систем защиты в различных браузерах. Выбор браузеров, как и ОС, был также обусловлен данными статистики от HotLOG.ru (Рис.1). Как видите, самым популярным в течении продолжительного времени вполне заслуженно оставался и остается продукт от Microsoft - Internet Explorer (более 90%). Но обо всем по порядку. Начнем "снизу-вверх"...
Mozilla 1.0
Разработчик: Mozilla.org
web-сайт: http://mozilla.org/
Размер дистрибутива: 12Мбайт
До настроек безопасности можно добраться так: "Edit"->"Preferences..."->"Privacy & Security" (Рис. 2)
Нас интересуют такие пункты:
- "Passwords" - менеджер паролей автоматически запоминает и при необходимости сам вводит имена и пароли к указанным в списке сайтам
- "Master Passwords" - защищает личную информацию (пароли, доступ к сертификатам, работа со smart-картами и др.). Если посторонний человек пользуется вашим браузером, то, не зная мастер-пароля, он не сможет воспользоваться вашими сертификатами и сохраненными паролями. То есть, злоумышленник, работая с финансовыми или корпоративными web-сайтами, не сможет выдать себя за вас и осуществлять какие-либо операции от вашего имени. При вводе мастер-пароля можно проверить его качество: сложность к угадыванию.
- "SSL" - настройка работы по протоколу SSL (выбор версий, методов шифрования)
- "Certificates" - управление сертификатами и устройствами защиты (например, smart-карты). Можно добавлять/удалять свои собственные сертификаты, сертификаты веб-сайтов, а также уже имеющиеся в базе браузера сертификаты известных компаний и корпораций и просматривать информацию о них (например, срок действия). Здесь все достаточно просто и понятно на интуитивном уровне. Данный раздел, как и многие другие, присутствует во всех рассматриваемых браузерах.
- "Validation" - проверка действительности сертификатов и управление аннулированными (отозванными) сертификатами. Есть возможность автоматизации этого процесса: опция "Online Certificate Status Protocol" (OCSP). Очень удобно.
Netscape Communicator 4.75
Разработчик: Netscape Communications Corporation
web-сайт: http://home.netscape.com/
Размер дистрибутива: 19Мбайт
Открываем настройки безопасности: "Communicator"->"Tools"->"Security Info"
- "Security Info" - выдает сведения о состоянии текущего уровня безопасности при работе с браузером (например, осуществляется ли шифрование трафика или нет).
- "Passwords" - назначение опции аналогично "Master Passwords" в Mozilla (Рис.2 и Рис.3)
- "Navigator" - настройка параметров работы по протоколу SSL. Тоже ничего особенного.
- "Messenger" - к браузеру отношения не имеет - это настройки безопасности для интернет-пейджера Instant Messenger
- "Java/Java Scripts" - управление сертификатами и активизацией ява-апплетов и скриптов
- "Certificates" - практически полностью аналогично разделу "Manage Certificates" в одноименной опции "Certificates" в Mozilla
- "Cryptographic Modules" - управление криптографическими модулями, используемыми браузером (smart-карты и другие)
Как видите, настройки Mozilla почти полностью аналогичны Netscape.
Opera 6.04
Разработчик: Opera Software
web-сайт: http://www.opera.com/
Размер дистрибутива: 11 Мбайт
Все опции безопасности ("File"-> "Preferences"-> "Security") здесь сведены к необходимому минимуму, уместившись в одном окошке (Рис.4), и мало отличаются от предыдущих собратьев. Так, раздел "Password" является аналогом мастер-пароля у Mozilla (Рис.2). Ну и так далее... Поэтому, не будем уделять Opera много времени и повторять ранее сказанное и сразу перейдем к лидеру представленной четверки - Internet Explorer.
Internet Explorer 6.0
Разработчик: Microsoft
web-сайт: http://www.microsoft.com/
Размер дистрибутива: 17 Мбайт
Тут с настройками безопасности ("Tools"->"Internet Options...">"Security") поинтереснее: Microsoft в отличии от других ввела понятия "Security Level" ("Уровень безопасности") и разбила все на "Security Zones" - "Зоны безопасности" (Рис.5). Таким образом, для каждой зоны можно установить свой, персональный уровень безопасности. Всего имеется четыре зоны:
- "Internet", куда входят все web-сайты, не указанные в остальных зонах. В отличие от других зон, добавлять выборочно отдельно взятые сайты сюда нельзя.
- "Local intranet", где устанавливаются настройки безопасности для ресурсов локальной сети. Нажав кнопку "Sites...", можно выбрать, какие именно ресурсы включать в эту зону (Рис.6):
а) Include all local (intranet) sites not listed in other zones - все локальные сайты, не указанные в других зонах. Это те сайты, в имена которых не входят точки (например, http://vasya, но не http://www.vasya.ru);
б) Include all sites that bypass the proxy server - все сайты, подключенные напрямую к прокси-серверу.
в) Include all network paths (UNCs) - все сетевые имена такие, как \\vasya\public\music и прочее...
Также, нажав на "Advanced...", вам дается возможность добавить в эту зону необходимые локальные web-ресурсы самостоятельно (Рис.7). Чтобы добавить только ресурсы, поддерживающие HTTPS, активизируйте галочку "Require server verification (https:) for all sites in this zone"
- "Trusted sites" - надежные web-ресурсы, которым можно доверять. Все операции по добавлению сайтов аналогичны добавлению в зоне "Local intranet". Microsoft настоятельно рекомендует добавлять сюда только сайты с поддержкой HTTPS.
- "Restricted sites" - ненадежные web-ресурсы. Сюда заносятся сайты, содержимое которых может быть опасным для вашего компьютера.
Уровней безопасности тоже четыре, но, нажав "Custom level...", можно изменить настройки по своему вкусу (Рис.8).
- "High" - наивысший. Обеспечивает самый безопасный серфинг. Однако некоторые страницы могут отображаться некорректно: отключены ActiveX, Java и другие небезопасные фичи. Данный уровень как раз предназначен для работы с "Restricted sites"
- "Medium" - средний. Обычный уровень безопасности и подходит для большинства web-сайтов, поэтому он рекомендуется для зоны "Internet"
- "Medium-low" - пониженный. То же самое, что и средний, но отключены запросы на загрузку многих компонент. Рекомендуется для зоны "Local intranet"
- "Low" - низкий. По причине крайне низкой защищенности рекомендуется применять только для "Trusted sites"
И это еще не все. На вкладке "Advanced" почти в самом конце списка настроек (раздел "Security") находится управление SSL-протоколом, где все осталось почти как и в других браузерах: проверка аннулированных сертификатов, выбор используемых версий SSL и т. д. (Рис.9). А на вкладке "Content" (Рис.10) осуществляется управление сертификатами ("Certificates"), автоматическим вводом паролей ("Personal information"->"AutoComplete...") и персональными данными ("Personal information"->"My Profile"). Вот теперь все.
Возможно, какие-либо настройки в IE покажутся вам излишними. Но если разобраться и уделить время, то удобная и безопасная работа в WWW вам обеспечена. По крайней мере, так нас заверяет Microsoft...
Рассказывать более подробно о всех возможностях безопасной работы с web-контентом при помощи браузеров не имеет смысла - всегда можно нажать F1 и воспользоваться встроенной справкой. Однако, при всей схожести настроек безопасности в браузерах, в каждом из них могут быть допущены существенные ошибки в реализации тех или иных методов защиты (например, SSL или ActiveX). С каким браузером работать - дело вкуса, но в вопросах безопасности "вкусу" доверять не приходится. Поэтому, отдавайте предпочтение тому браузеру, в коде которого было замечено не так много багов и сервис-паки которых выходят "редко, но метко". От себя скажу, что предпочитаю пользоваться Internet Explorer за его "адекватное" понимание HTML-кода и Mozilla за то, что похоже безопасности они уделяют больше внимания, чем остальные (http://bugzilla.mozilla.org/). В общем-то, этих двух ребят для работы с WWW мне вполне хватает.
Может быть, с высоты сегодняшнего полета и беспредела аббревиатуру WWW стоило бы перевести как World Wild Web ("Дикая паутина"), но не все так плохо... Обновляйте базы, латайте почаще "дыры" и опасайтесь неразборчивых и случайных связей (connections).
Рис.1. Глобальная статистика HotLOG.ru на сентябрь 2002 года
Рис.2. Настройки безопасности в Mozilla 1.0 ("Master passwords")
Рис.3. Настройки безопасности в Netscape 4.75 ("Passwords")
Рис.4. Настройки безопасности в Opera 6.04
Рис.5. Настройки безопасности в Internet Explorer 6.0
Рис.6. Конфигурирование зоны "Local intranet" в IE 6.0
Рис.7. Добавление Web-сайтов зоны "Local intranet" в IE 6.0
Рис. 8. Управление параметрами уровней безопасности в IE 6.0 ("Custom level")
Рис.9. Расширенные опции безопасности в IE 6.0 (SSL)
Рис.10. Управление сертификатами и персональной информацией, хранящимися в IE 6.0
|