Інтернет-безпека

Інтернет-безпека — це галузь комп'ютерної безпеки, яка стосується не тільки Інтернету, часто відносять безпеку браузера та Всесвітньої павутини,  але також безпека мережі, оскільки вони пов'язані з іншими програмами або операційними системами в цілому. Його мета — встановити правила та заходи для боротьби з атаками через Інтернет.^[1] Інтернет є небезпечним каналом для обміну інформацією, що призводить до високого ризику вторгнення або шахрайства, таких як фішинг,^[2] віруси в мережі, троянські програми, хробаки тощо.

Інтернет-безпека

Інтернет-безпека у Вікісховищі

Для захисту передачі даних використовується багато методів, включаючи шифрування та інженерну розробку. Нині основна увага приділяється як профілактиці, так і захисту в реальному часі як відомих та і нових загроз.^[3]

Загрози

Шкідливе програмне забезпечення

Користувача Інтернету можна ввести в оману або змусити завантажити програмне забезпечення, яке має зловмисні наміри, на комп'ютер. Таке програмне забезпечення буває різних форм, таких як віруси, троянські та шпигунські програми, хробаки.

• Шкідливе програмне забезпечення, скорочене від зловмисного програмного забезпечення, — це будь-яке програмне забезпечення, яке використовується для порушення роботи комп'ютера, збору конфіденційної інформації або отримання доступу до приватних комп'ютерних систем. Шкідливе програмне забезпечення визначається своїм зловмисним наміром, діючи проти вимог користувача комп'ютера, і не включає програмне забезпечення, яке завдає ненавмисної шкоди через певний недолік. Термін шкідливе програмне забезпечення іноді використовується і застосовується як до справжнього шкідливого програмного забезпечення, так і до ненавмисно шкідливого програмного забезпечення.
• Ботнет — це мережа комп'ютерів-зомбі, яких взяв на себе робот або бот, що виконує масштабні шкідливі дії для творця ботнету.
• Комп'ютерні віруси — це програми, які можуть копіювати свої структури або ефекти, заражаючи інші файли або структури на комп'ютері. Загальноприйнятим використанням вірусу є проникнення в комп'ютер для викрадення даних.
• Комп'ютерні хробаки — це програми, які можуть розмножуватися по всій комп'ютерній мережі, виконуючи там шкідливі завдання.
• Вимірювальне програмне забезпечення — це тип шкідливого програмного забезпечення, який обмежує доступ до зараженої комп'ютерної системи та вимагає викупу, сплаченого творцю (ям) цього програмного забезпечення, щоб обмеження було знято.
• Залякування — це шахрайське програмне забезпечення, яке, як правило, обмежене або не має жодної вигоди, що містить шкідливі корисні навантаження, яке продається споживачам за допомогою певної неетичної практики маркетингу. Підхід продажу використовує соціальну інженерію, щоб викликати шок, тривогу або сприйняття загрози, як правило, спрямованої на неуважного користувача.
• Шпигунське програмне забезпечення належить до програм, які таємно відстежують діяльність у комп'ютерній системі та повідомляють цю інформацію іншим людям без згоди користувача.
• Одним із видів шпигунського програмного забезпечення є зловмисне програмне забезпечення реєстрації клавіш. Реєстрація натискання клавіш, яку часто називають реєстрацією клавіш або захопленням клавіатури, це дія запису (реєстрації) клавіш, натиснених на клавіатурі .
• Троянський кінь, загальновідомий як троян, — загальний термін для зловмисного програмного забезпечення, яке видає себе нешкідливим, так що користувач буде переконаний завантажити його на комп'ютер.

Атаки відмови в обслуговуванні

Атака відмови в обслуговуванні (DoS-атака) або розподілена атака відмови в обслуговуванні (DDoS-атака) — це спроба зробити комп'ютерний ресурс недоступним для передбачуваних користувачів. Інший спосіб зрозуміти DDoS — розглядати його як атаки в середовищі хмарних обчислень, які зростають завдяки основним характеристикам хмарних обчислень.^[4] Хоча способи здійснення, мотиви та цілі нападу DoS можуть відрізнятися, він, як правило, складається з узгоджених зусиль, спрямованих на те, щоб не дати вебсайту чи вебслужбі ефективно працювати чи взагалі, тимчасово чи невизначено. За даними підприємств, які брали участь у міжнародному опитуванні безпеки бізнесу, 25 % респондентів зазнали нападу DoS у 2007 році та 16,8 % — у 2010 році.^[5] DoS-атаки часто використовують ботів (або бот-мережу) для здійснення атаки.

Фішинг

Фішинг — це атака, спрямована на користувачів Інтернету для вилучення їхньої конфіденційної інформації, такої як ім'я користувача, пароль та дані кредитної картки.^[6] Фішинг виникає, коли зловмисник видає себе надійною особою або електронною поштою, або вебсторінкою. Жертви спрямовуються на фальшиві вебсторінки, які виглядають законно, через підроблені електронні листи, месенджери/соціальні медіа чи інші шляхи. Часто такі тактики, як підробка електронної пошти, використовуються для того, щоб зробити повідомлення електронної пошти від законних відправників, або довгі складні піддомени приховують реального хоста вебсайту.^[7][8] Страхова група RSA заявила, що у 2016 році фішинг спричинив світові збитки в розмірі 10,8 мільярда доларів.^[9]

Вразливості додатків

Додатки, що використовуються для доступу до Інтернет-ресурсів, можуть містити вразливі місця безпеки, такі як помилки безпеки пам'яті або помилкові перевірки автентичності. Найважчі з цих помилок можуть дати зловмисникам мережі повний контроль над комп'ютером. Більшість програм безпеки та набори безпеки не здатні забезпечити адекватний захист від подібних атак.^[10][11]

Дуже широко розповсюдженою вразливістю додатків веббраузера є так звана вразливість CORS (Cross-Origin Resource Sharing) [Архівовано 29 січня 2020 у Wayback Machine.] — для забезпечення максимальної безпеки та конфіденційності переконайтеся, що вживаєте відповідних заходів протидії (наприклад, приклади виправлень, наданих для веббраузерів на основі WebKit).

Контрзаходи

Безпека мережевого рівня

Протоколи TCP/IP можуть бути захищені криптографічними методами та протоколами безпеки. Ці протоколи включають рівень захищених сокетів (SSL), наступний за захистом транспортного рівня (TLS) для вебтрафіку, досить гарна конфіденційність (PGP) для електронної пошти та IPsec для захисту мережевого рівня.^[12]

Захист протоколу Інтернету (IPsec)

IPsec призначений для захисту зв'язку TCP/IP безпечним способом. Це набір розширень безпеки, розроблених Інтернет-робочою групою (IETF). Він забезпечує безпеку та автентифікацію на рівні IP шляхом перетворення даних за допомогою шифрування. Два основних типи перетворень, які складають основу IPsec: Заголовок автентифікації (AH) та ESP. Ці два протоколи забезпечують цілісність даних, автентифікацію джерела даних та послугу захисту від відтворення. Ці протоколи можна використовувати окремо або в поєднанні для забезпечення бажаного набору служб безпеки для рівня Інтернет-протоколу (IP).

Основні компоненти архітектури безпеки IPsec описані з точки зору таких функціональних можливостей:

• Протоколи безпеки для AH та ESP
• Асоціація безпеки для управління політикою та обробки трафіку
• Ручне та автоматичне управління ключами для обміну ключами в Інтернеті (IKE)
• Алгоритми автентифікації та шифрування

Набір служб безпеки, що надаються на рівні IP, включає контроль доступу, цілісність джерела даних, захист від повторних повторів та конфіденційність. Алгоритм дозволяє цим наборам працювати самостійно, не впливаючи на інші частини реалізації. Реалізація IPsec працює в середовищі хоста або шлюзу безпеки, що забезпечує захист трафіку IP.

Багатофакторна автентифікація

Багатофакторна автентифікація (MFA) — це метод управління доступом до комп'ютера, при якому користувачеві надається доступ лише після успішного подання кількох окремих доказів механізму автентифікації — як правило, принаймні двох із наступних категорій: знання (те, що вони знають), володіння (те, що вони мають), і невід'ємність (те, що вони є).^[13][14] Інтернет-ресурси, такі як вебсайти та електронна пошта, можуть бути захищені за допомогою багатофакторної автентифікації.

Маркер безпеки

Деякі вебсайти пропонують клієнтам можливість використовувати шестизначний код, який випадково змінюється кожні 30–60 секунд на маркері безпеки . Клавіші на маркері безпеки мають вбудовані математичні обчислення та маніпулюють числами на основі поточного часу, вбудованого в пристрій. Це означає, що кожні тридцять секунд можливий лише певний масив цифр, який був би правильним для перевірки доступу до онлайн-рахунку. Вебсайт, на який користувач входить, буде поінформований про серійний номер цього пристрою, а також знатиме обчислення та правильний час, вбудований у пристрій, щоб переконатися, що вказане число справді є одним із декількох шестизначних номерів. Через 30–60 секунд пристрій подасть нове випадкове шестизначне число, яке зможе увійти на вебсайт.^[15]

Захист електронної пошти

Передумови

Повідомлення електронної пошти складаються, доставляються та зберігаються у багатоступеневому процесі, який починається зі складу повідомлення. Коли користувач закінчує складати повідомлення та відправляє його, воно трансформується у стандартний формат: повідомлення у форматі RFC 2822 . Потім повідомлення може бути передане. За допомогою мережевого підключення поштовий клієнт, який називається агентом поштового користувача (MUA), підключається до агента поштової передачі (MTA), що працює на поштовому сервері. Потім поштовий клієнт надає серверу ідентифікатор відправника. Далі, використовуючи команди поштового сервера, клієнт надсилає список одержувачів на поштовий сервер. Потім клієнт надає повідомлення. Після того, як поштовий сервер отримує та обробляє повідомлення, відбувається кілька подій: ідентифікація сервера одержувача, встановлення з'єднання та передача повідомлення. Використовуючи служби системи доменних імен (DNS), поштовий сервер відправника визначає поштовий сервер (и) для одержувача (ів). Потім сервер відкриває зв'язок (-и) з поштовим (-ими) сервером (-ами) і надсилає повідомлення, використовуючи процес, подібний до того, що використовується клієнтом-джерелом, доставляючи повідомлення одержувачу (-ам).

Досить хороша конфіденційність (PGP)

Досить хороша конфіденційність забезпечує конфіденційність, шифруючи повідомлення, що передаються, або файли даних, що зберігаються, використовуючи алгоритм шифрування, такий як Triple DES або CAST-128 . Повідомлення електронної пошти можна захистити, використовуючи криптографію різними способами, наприклад, такими:

• Підписання повідомлення електронної пошти для забезпечення його цілісності та підтвердження особи відправника.
• Шифрування основного повідомлення електронної пошти для забезпечення його конфіденційності.
• Шифрування зв'язку між поштовими серверами для захисту конфіденційності як тіла повідомлення, так і заголовка повідомлення.

Перші два методи, підписання повідомлень та шифрування основного повідомлення, часто використовуються разом; однак шифрування передач між поштовими серверами зазвичай використовується лише тоді, коли дві організації хочуть захистити електронні листи, які регулярно надсилаються між собою. Наприклад, організації можуть створити віртуальну приватну мережу (VPN) для шифрування зв'язку між своїми поштовими серверами через Інтернет.^[16] На відміну від методів, які можуть шифрувати лише тіло повідомлення, VPN може шифрувати цілі повідомлення, включаючи інформацію заголовка електронної пошти, таку як відправники, одержувачі та теми. У деяких випадках організаціям може знадобитися захистити інформацію заголовка. Однак одне рішення VPN не може забезпечити механізм підписання повідомлень, а також не може забезпечити захист електронних повідомлень на всьому шляху від відправника до одержувача.

Багатоцільові розширення пошти в Інтернеті (MIME)

MIME перетворює дані, що не належать до ASCII, на сайті відправника, до даних ASCII мережевого віртуального терміналу (NVT) та доставляє їх до клієнтського простого протоколу передачі пошти (SMTP), який надсилається через Інтернет.^[17] Сервер SMTP на стороні одержувача отримує дані NVT ASCII і доставляє їх у MIME для перетворення назад у вихідні дані, що не належать до ASCII.

Код автентифікації повідомлення

Код автентифікації повідомлення (MAC) — це метод криптографії, який використовує секретний ключ для цифрового підпису повідомлення. Цей метод виводить значення MAC, яке може розшифрувати одержувач, використовуючи той самий секретний ключ, який використовував відправник. Код автентифікації повідомлення захищає як цілісність даних повідомлення, так і його автентичність .^[18]

Брандмауери

Комп'ютерний брандмауер контролює доступ між мережами. Як правило, він складається із шлюзів та фільтрів, які варіюються від одного брандмауера до іншого. Брандмауери також екранують мережевий трафік і можуть блокувати небезпечний трафік. Брандмауери діють як проміжний сервер між з'єднаннями SMTP та протоколом передачі гіпертексту (HTTP).

Роль брандмауерів у веббезпеці

Брандмауери накладають обмеження на вхідні та вихідні мережеві пакети до та з приватних мереж. Вхідний або вихідний трафік повинен проходити через брандмауер; через нього дозволяється проходити лише в дозволеному напрямку. Брандмауери створюють контрольно-пропускні пункти між внутрішньою приватною мережею та загальнодоступним Інтернетом, також відомі як дросельні точки (запозичені з ідентичного військового терміну бойової обмежувальної географічної ознаки). Брандмауери можуть створювати дросельні точки на основі джерела IP та номера порту TCP. Вони також можуть служити платформою для IPsec. Використовуючи можливості тунельного режиму, брандмауер можна використовувати для реалізації VPN. Брандмауери також можуть обмежити вплив мережі, приховуючи внутрішню мережеву систему та інформацію від загальнодоступного Інтернету.

Типи брандмауера

Пакетний фільтр

Пакетний фільтр — це брандмауер першого покоління, який обробляє мережевий трафік на основі пакетів. Його основна робота полягає у фільтрації трафіку з віддаленого IP-хосту, тому для підключення внутрішньої мережі до Інтернету потрібен маршрутизатор. Маршрутизатор відомий як скринінговий маршрутизатор, який екранує пакети, що виходять і надходять у мережу.

Державна перевірка пакетів

У брандмауері, що працює, мережевий шлюз — це проксі-сервер, який працює на мережевому рівні моделі взаємозв'язку відкритих систем (OSI) і статично визначає, який трафік буде дозволений. Схемні проксі-сервери будуть пересилати мережеві пакети (відформатована одиниця даних), що містять заданий номер порту, якщо порт дозволений алгоритмом . Головною перевагою проксі-сервера є його здатність забезпечувати трансляцію мережевих адрес (NAT), яка може приховувати IP-адресу користувача від Інтернету, ефективно захищаючи всю внутрішню інформацію.

Шлюз на рівні програми

Брандмауер на рівні програми — це брандмауер третього покоління, де проксі-сервер працює на самій вершині моделі OSI, на рівні програми IP Suite . Мережевий пакет переадресовується, лише якщо з'єднання встановлено за допомогою відомого протоколу. Шлюзи на рівні програми відрізняються аналізом цілих повідомлень, а не окремих пакетів даних, коли дані надсилаються або отримуються.

Вибір браузера

Статистика веббраузера, як правило, впливає на популярність веббраузера, який використовується. Наприклад, Internet Explorer 6, який раніше володів більшістю частки ринку веббраузерів,^[19] вважається надзвичайно небезпечним^[20] оскільки зазнав вразливості завдяки його колишній популярності.

Продукти Інтернет-безпеки

Антивірус

Антивірусне програмне забезпечення та програми безпеки в Інтернеті можуть захистити програмований пристрій від атак шляхом виявлення та усунення шкідливих програм; антивірусне програмне забезпечення в основному було умовно-безкоштовним у перші роки Інтернету, але є і зараз  кілька безкоштовних програм безпеки в Інтернеті на вибір для кожної платформи.^[21]

Менеджери паролів

Менеджер паролів — це програма, яка допомагає користувачеві зберігати та систематизувати паролі. Менеджери паролів зазвичай зберігають зашифровані паролі, що вимагає від користувача створення головного пароля; єдиний, в ідеалі дуже надійний пароль, який надає користувачеві доступ до всієї своєї бази даних паролів.^[22]

Пакети безпеки

Так звані пакети безпеки вперше були запропоновані до продажу в 2003 році (McAfee) і містять набір брандмауерів, антивірусів, антишпигунських програм тощо.^[23] Вони також пропонують захист від крадіжок, перевірку безпеки портативних пристроїв зберігання даних, приватний перегляд Інтернету, хмарний анти-спам, подрібнювач файлів або приймають рішення, пов'язані з безпекою (відповідь на спливаючого вікна), а деякі з них були безкоштовними.^[24]

Історія

У 1972 р. Єгипетський інженер Мохамед М. Аталла подав U.S. Patent 3 938 091 на систему віддаленої перевірки PIN-коду, яка використовувала методи шифрування для забезпечення безпеки телефонного зв'язку при введенні інформації про особисті дані особи, які передавалась би як зашифровані дані через телекомунікаційні мережі у віддалене місце для перевірки. Це було попередником безпеки в Інтернеті та електронної комерції .^[25]

На конференції Національної асоціації взаємних ощадних банків (NAMSB) у січні 1976 року корпорація Atalla (заснована Мохамедом Аталлою) та корпорація Bunker Ramo (заснована Джорджем Бункером та Саймоном Рамо) представили найдавніші продукти, призначені для боротьби з безпекою в Інтернеті. Atalla оголосила про оновлення свого апаратного модуля захисту Identikey (ідентифікаційного ключа), який називається Interchange Identikey (обмін ідентифікатором). Це додало можливості обробки онлайн-транзакцій та роботи з мережевою безпекою. Система Identikey, розроблена з метою фокусування на банківських операціях в Інтернеті, була розширена до операцій із спільним використанням. Вона була послідовною і сумісною з різними комутаційними мережами і могла перезавантажити себе в електронному режимі до будь-якого з 64000 незворотних нелінійних алгоритмів відповідно до даних карт . Пристрій Interchange Identikey було випущено в березні 1976 року.^[26] У 1979 році Atalla представила перший процесор мережевої безпеки (NSP).^[27]

Примітки

1. Gralla, Preston (2007). How the Internet Works. Indianapolis: Que Pub. ISBN 978-0-7897-2132-7.
2. Rhee, M. Y. (2003). Internet Security: Cryptographic Principles, Algorithms and Protocols. Chichester: Wiley. ISBN 0-470-85285-2.
3. 101 Data Protection Tips: How to Keep Your Passwords, Financial & Personal Information Safe in 2020. Digital Guardian. 16 грудня 2019. Архів оригіналу за 13 червня 2018. Процитовано 23 жовтня 2020.
4. Yan, Q.; Yu, F. R.; Gong, Q.; Li, J. (2016). Software-Defined Networking (SDN) and Distributed Denial of Service (DDoS) Attacks in Cloud Computing Environments: A Survey, Some Research Issues, and Challenges. IEEE Communications Surveys and Tutorials. 18 (1): 602—622. doi:10.1109/COMST.2015.2487361.
5. Information Sy-infographic. University of Alabama at Birmingham Business Program. {{cite web}}: Пропущений або порожній |url= (довідка)
6. Izak, Belarua. Welke virusscanners zijn het beste voor macOS High Sierra. Virusscanner MAC (nl-NL) . Архів оригіналу за 5 січня 2018. Процитовано 4 січня 2018.
7. Stamp, Mark, ред. (2010). Phishing attacks and countermeasures. Handbook of Information and Communication Security. Springer. ISBN 9783642041174.
8. van der Merwe, Alta; Loock, Marianne; Dabrowski, Marek (2005). Characteristics and Responsibilities Involved in a Phishing Attack. Proceedings of the 4th International Symposium on Information and Communication Technologies. Trinity College Dublin: 249—254. Архів оригіналу за 23 березня 2019. Процитовано 4 січня 2018.
9. Long, Mathew (22 лютого 2017). Fraud Insights Through Integration. RSA. Архів оригіналу за 20 жовтня 2018. Процитовано 20 жовтня 2018.
10. Improving Web Application Security: Threats and Countermeasures. msdn.microsoft.com. Архів оригіналу за 17 квітня 2016. Процитовано 5 квітня 2016.
11. Justice Department charges Russian spies and criminal hackers in Yahoo intrusion. Washington Post. Архів оригіналу за 26 червня 2018. Процитовано 15 березня 2017.
12. Архівована копія. Архів оригіналу за 5 травня 2015. Процитовано 11 січня 2021.
13. Two-factor authentication: What you need to know (FAQ) – CNET. CNET. Архів оригіналу за 12 лютого 2020. Процитовано 31 жовтня 2015.
14. How to extract data from an iCloud account with two-factor authentication activated. iphonebackupextractor.com. Архів оригіналу за 15 січня 2018. Процитовано 8 червня 2016.
15. Margaret Rouse (September 2005). What is a security token?. SearchSecurity.com. Архів оригіналу за 21 лютого 2014. Процитовано 14 лютого 2014.
16. Virtual Private Network. NASA. Архів оригіналу за 3 червня 2013. Процитовано 14 лютого 2014.
17. Asgaut Eng (10 квітня 1996). Network Virtual Terminal. The Norwegian Institute of Technology ppv.org. Архів оригіналу за 30 січня 1997. Процитовано 14 лютого 2014.
18. What Is a Message Authentication Code?. Wisegeek.com. Архів оригіналу за 6 травня 2013. Процитовано 20 квітня 2013.
19. Browser Statistics. W3Schools.com. Архів оригіналу за 6 травня 2021. Процитовано 10 серпня 2011.
20. Bradly, Tony. It's Time to Finally Drop Internet Explorer 6. PCWorld.com. Архів оригіналу за 15 жовтня 2012. Процитовано 9 листопада 2010.
21. Larkin, Eric (26 серпня 2008). Build Your Own Free Security Suite. Архів оригіналу за 6 листопада 2010. Процитовано 9 листопада 2010.
22. USE A FREE PASSWORD MANAGER (PDF). scsccbkk.org. Архів оригіналу (PDF) за 25 січня 2016. Процитовано 17 червня 2016.
23. Rebbapragada, Narasu. All-in-one Security. PC World.com. Архів оригіналу за 27 жовтня 2010. Процитовано 9 листопада 2010.
24. Free products for PC security. 8 жовтня 2015. Архів оригіналу за 8 квітня 2020. Процитовано 11 січня 2021.
25. The Economic Impacts of NIST's Data Encryption Standard (DES) Program (PDF). National Institute of Standards and Technology. United States Department of Commerce. October 2001. Архів оригіналу (PDF) за 30 серпня 2017. Процитовано 21 серпня 2019.
26. Four Products for On-Line Transactions Unveiled. Computerworld. IDG Enterprise. 10 (4): 3. 26 січня 1976. Архів оригіналу за 23 грудня 2019. Процитовано 11 січня 2021.
27. Burkey, Darren (May 2018). Data Security Overview (PDF). Micro Focus. Архів оригіналу (PDF) за 21 серпня 2019. Процитовано 21 серпня 2019.

Посилання

• Національний інститут стандартів і технологій (NIST.gov) [Архівовано 27 серпня 2016 у Wayback Machine.] — портал інформаційних технологій із посиланнями на комп'ютерну та кібербезпеку
• Національний інститут стандартів і технологій (NIST.gov) [Архівовано 13 січня 2021 у Wayback Machine.] — Ресурсний центр комп'ютерної безпеки — Керівництво з безпеки електронної пошти, версія 2
• PwdHash Stanford University [Архівовано 13 січня 2021 у Wayback Machine.] — розширення браузера Firefox та IE, які прозоро перетворюють пароль користувача у пароль домену.
• Cybertelecom.org Security [Архівовано 10 квітня 2021 у Wayback Machine.] — опитування федеральної роботи з безпеки в Інтернеті
• DSL Reports.com [Архівовано 12 січня 2021 у Wayback Machine.] — широкосмугові звіти, поширені запитання та форуми з питань безпеки в Інтернеті, приблизно 1999 рік
• Тіньові профайли на Facebook / Темний бік соцмереж [Архівовано 6 червня 2021 у Wayback Machine.] — відео Tokar.ua