Kompiuterinis saugumas

Dvi kompanijos – “Phoenix Technologies” ir “Softex” sukūrė “TheftGuard” – sprendimą, skirtą kovai su kompiuterių vagimis. Šis sprendimas susideda iš dviejų dalių – programinės įrangos, įdiegtos kompiuterio BIOS (bazinėje įvedimo/išvedimo sistemoje) ir dirbančios nepriklausomai nuo kompiuterio operacinės sistemos bei specialaus “TheftGuard” tinklalapio. Kai kompiuteris prisijungia prie interneto, jis bando susisiekti su minėtu tinklalapiu ir “sužinoti”, ar kompiuteris nepavogtas. Dingus kompiuteriui, vagystės auka užregistruoja savo kompiuterį “TheftGuard” tinklalapyje ir kai tik pavogtas kompiuteris prisijungia prie interneto, galima sužinoti jo IP adresą, interneto paslaugų teikėją ir perduoti informaciją policijai. Taip pat galima imtis ir kitų apsaugos priemonių – sutrikdyti kompiuterio darbą, ištrinti duomenis ir panašiai. Kitos kompanijos taip pat yra sukūrusios panašias interneto ryšiu pagrįstas apsaugos technologijas, tačiau “TheftGuard” sprendimas pranašesnis ir veikia netgi pakeitus kompiuterio kietąjį diską. Žinoma, galima pakeisti kompiuterio BIOS, tačiau tai yra per sudėtinga vidutinės kvalifikacijos vagišiui.

Gegužės pabaigoje kompanija Sharman Networks failų keitimosi tinklo Kazaa tinklapyje išplatino pareiškimą, kuriame nurodė, jos šio tinklo kliente nebebus šnipinėjimo modulių, rinkusių duomenis apie vartotojo veiklą. Tokie kaltinimai Kazaa pusėn buvo mesti ne kartą. Dėl to buvo laikinai sustabdytas klientinės programos platinimas svetainėje Cnet Download. Kaip teigia Sharman Networks, Kazaa Media Desktop yra nemokama programa, kurios aptarnavimo išlaidos atsiperka legaliais būdais. Tai yra legalios medžiagos platinimas atsižvelgiant į autorines teises ir reklamos talpinimas.

Čia apibrėšiu terminus kurios vartosiu kadangi lietuvių kalboje jie nėra visiškai nusistovėję, tai kituose šaltiniuose gali būti vartojami ir kiti terminai: Aktyvus laužimas: tinku keliaujančiu duomenų pakeitimas. Gauti priėjimą prie sistemos, kai siunčiami pakeisti duomenys paketai kurie keliavo tinklu. “Siunčiamų duomenų klausymas įsiterpus tarp siuntėjo ir gavėjo” Asimetrinė kriptografija: kodavimo sistema kuri naudoja skirtingus raktus užkuodavimui ir atkuodavimui. Abu raktai turi matematinį ryšį. Tai dar vadinama viešojo rakto kriptografija. Autentifikacija: patvirtinimas informacijos šaltinio tapatybės (ar informacija vartotojui pateikta tikra ir neiškraipyta) Autorizacija: priėjimo teisių suteikimas remiantis autentifikacija.

Trys pagrindinės sąvokos svarbios informacijos saugumui kompiuteriniuose tinkluose yra konfidencialumas, vientisumas ir pasiekiamumas. Sąvokos susijusios su žmonėmis, kurie naudoja tą informaciją yra tapatybės patikrinimas, įgaliojimu patikrinimas ir atsakomybės pripažinimas. Kai informacija yra nuskaitoma arba kopijuojama asmens, neturinčio tam įgaliojimų, rezultatas yra vadinamas konfidencialumo praradimu. Kai kurioms informacijos rūšims konfidencialumas yra labai svarbi sąvybė. Tai, pavyzdžiui, finansinė informacija, pacientų medicininiai įrašai, naujų produktu planai, įmonių veiklos strategijos ir t.t.

Yra daug skirtingų metodų kaip autentifikuoti vartotoją jo tinklo resursams. Yra metodai kurie gali sulaužyti autentifikaciją: kai įsilaužėlis skanduodamas (klausydamasis) tinklo gauna vaitotojų ID ir slaptažodžius, kurios panaudoja atkartojimo atakoje (replay atack), taip pat yra galimybė juos atspėti pasinaudojant žodyno ataka. Daugelis sistemų autentifikavomo duomenis siunčia, kaip tekstą (tokios sistemos gali būti telnet, IMAP, POP ir etc.), tokios sistemos neapsaugo vartotojų nuo (replay atack). Kad išvengti tokios problemos naudojami tokie protokolai (tarp kliento ir serverio), kaip SSL, Kerberos ir daugelis kitų. Yra didelis trūkumas autentifikuoti vartotojus naudojant tik jam suteiktu ID ir slaptažodžiu. Tokiu atveju, bet kas turintis fizinį priėjimą prie tinklo, gali “perimti” bet kokio kito vartotojo rolę iš vidinės tinklo dalies.

Skaitmeninis parašas yra duomenų seka, sudaryta naudojant privatųjį raktą. Viešasis raktas naudojamas įsitikinant, kad parašas yra sugeneruotas šifruojant atitinkamu privačiu raktu. Skaitmeninis parašas yra taip generuojamas, kad būtų neįmanoma sudaryti teisingą skaitmeninį parašą nežinant privataus rakto. Duomenys yra autentiški, kai bet kuris asmuo gali įsitikinti tų duomenų siuntėjo tapatybe. Skaitmeninio parašo duomenų sekoje taip pat gali būti vardai ar pavadinimai, naudojami siuntėjui identifikuoti. Papildomai dar gali būti laiko žyma, nurodanti kokiu laiku buvo pasirašytas pranešimas ar dokumentas.

Įsigijus sertifikatą galima naudotis skaitmeninio parašo sistemos privalumais: užtikrinti siunčiamų elektroniniu paštu duomenų vientisumą, nurodyti gavėjui savo autorystę, saugiai gauti elektroniniu paštu užšifruotus duomenis, kuriuos užšifruoti galės bet kuris asmuo, pasiėmęs viešai paskelbtą kito asmens sertifikatą, o atšifruoti galės tik antrasis, nes privačiu šifravimo raktu disponuoja tik jis vienas, naudotis saugiu SSL (Secure Socket Layer) ryšiu, leidžiančiu turėti šifruojamą Interneto naršyklės seansą su identifikuota Web sritimi.