Симонович С.В. (ред.) Информатика для юристов и экономистов

Подождите немного. Документ загружается.

распространяемое в виде сборников на компакт-дисках.

Защита от эксплуатации ошибок в программном обеспечении

Этот вид угрозы редко опасен для клиентской стороны. Атакам

программ-эксплоитов в основном подвергаются серверы. Стратегия

злоумышленников обычно реализуется в три этапа. На первом этапе они

выясняют состав программ и оборудования в локальной сети «жертвы». На

втором этапе они разыскивают информацию об известных ошибках в данных

программах (об уязвимостях). На третьем этапе они готовят программы-

эксплоиты (или используют ранее подготовленные кем-то программы) для

эксплуатации обнаруженных уязвимостей. Борьба со злоумышленниками

может происходить на всех трех этапах.

Прежде всего, администрация серверов контролирует внешние

обращения, цель которых состоит в выяснении программно-аппаратной

конфигурации сервера. Это позволяет взять нарушителя на учет задолго до

того, как он произведет реальную атаку.

В наиболее ответственных случаях используют специально выделенные

компьютеры или программы, выполняющие функцию межсетевых экранов

(щитов). Такие средства также называют брандмауэрами (firewall). Брандмауэр

занимает положение между защищаемыми компьютерами и внешним миром.

Он не позволяет просматривать извне состав программного обеспечения на

сервере и не пропускает несанкционированные данные и команды.

Кроме того, администрация сервера должна внимательно следить за

публикацией в Сети сообщений об уязвимостях, обнаруженных в

используемых ею программах. Уязвимости должны устраняться немедленно

после опубликования сведений о них. Период времени между обнаружением

уязвимости и ее устранением наиболее опасен. В этот момент

злоумышленники, оповещенные о существовании уязвимости, занимаются

целенаправленным поиском серверов, на которых она еще не устранена.

Угроза активного содержимого

Понятие активного содержимого. Как мы уже говорили, в состав Web-

документов могут входить встроенные объекты. Такие объекты, как рисунки,

видеоклипы и звукозаписи, являются пассивным содержимым. Это данные. Их

можно просматривать, копировать, воспроизводить, сохранять, редактировать

— в общем, делать с ними все, что можно делать с любыми данными на

собственном компьютере. Однако для расширения возможностей броузера и

сервера многие создатели Web-страниц встраивают в них активные объекты и

активные сценарии. И в том и в другом случае речь идет о получении клиентом

программного кода в составе загружаемой Web-страницы.

Активные объекты отличаются от пассивных тем, что кроме данных

содержат в себе еще и программный код, который работает на компьютере

клиента. В самом общем случае сервер может поставлять активные объекты

вообще любой природы — для этого ему надо лишь «уговорить» потребителя,

чтобы тот принял некий программный код, «расширяющий» возможности его

251

броузера. Мы будем предполагать, что потребитель ни на какие заманчивые

предложения не соглашается, и тогда опасными активными объектами и

сценариями для него остаются только апплеты Java, элементы ActiveX,

сценарии JavaScript и VBScript. На работу с ними броузер уже настроен.

О том, какую угрозу несут активные объекты и сценарии, и о том, как

реализуется модель безопасности при их использовании, подробно рассказано в

главе «Информационные технологии электронной коммерции».

Защита от активного содержимого

Защищающаяся сторона должна оценить угрозу своему компьютеру и,

соответственно, настроить броузер так, чтобы опасность была минимальна.

Если никакие ценные данные или конфиденциальные сведения на компьютере

не хранятся, защиту можно отключить и просматривать Web-страницы в том

виде, как предполагал их разработчик. Если угроза нежелательна, прием Java-

апплетов, элементов ActiveX и активных сценариев можно отключить.

Компромиссный вариант — в каждом конкретном случае запрашивать

разрешение на прием того или иного активного объекта. В зависимости от того,

с каким узлом установлено соединение (можно ему доверять или нет), этот

вопрос каждый раз решается по-разному.

В программе Internet Explorer 5.0 средства настройки защиты от

активного содержимого содержатся в диалоговом окне Правила безопасности

(Сервис > Свойства обозревателя > Безопасность > Другой). Порядок их

настройки рассмотрен в упражнении 7.3.

Средства защиты данных на путях транспортировки

С проникновением коммерции в Интернет все чаще возникает

потребность проведения дистанционных деловых переговоров, приобретения в

Сети программного обеспечения, денежных расчетов за поставленные товары и

услуги. В этих случаях возникает потребность в защите данных на путях

транспортировки. Одновременно с потребностью в защите данных возникает

потребность в удостоверении (идентификации) партнеров по связи и

подтверждении (аутентификации) целостности данных.

Вот несколько примеров того, во что может вылиться отсутствие защиты

и удостоверения целостности данных и лиц.

1. Два предпринимателя, находящиеся далеко друг от друга и никогда не

встречавшиеся лично, заключают договор о совместной деятельности. Если не

применять специальных мер, то по прошествии некоторого времени любая из

сторон может заявить, что никакого договора между ними не было, ей об этом

ничего не известно и, с кем вел переговоры другой партнер, она не знает.

2.Приобретение товаров и услуг через Интернет обычно оплачивается с

помощью платежных карт. Покупатель сообщает продавцу конфиденциальные

данные о своей кредитной карте, и тот может списать со счета покупателя

оговоренную сумму. В случае, если данные будут перехвачены на одном из

промежуточных серверов, неизвестные лица могут воспользоваться чужой

платежной картой, оплатив ею в Сети заказ товаров или услуг.

252

3.Получив с удаленного сервера полезную программу и установив ее на

свой компьютер, мы можем с удивлением обнаружить, что в ней содержится

троянский код, позволяющий дистанционно хозяйничать на нашем

компьютере. Обратившись с претензией к автору программы, поставившему ее,

мы можем услышать в ответ, что ничего подобного он не распространял, а если

где-то на путях транспортировки кто-то внес в программу

несанкционированные изменения, то он за это отвечать не может.

Это лишь три примера. На самом деле, с зарождением электронной

коммерции в бизнесе и экономике ежедневно возникает огромное количество

проблем. С каждым днем их количество будет прогрессивно возрастать.

Сегодня в электронной коммерции защищают и аутентифицируют данные, а

также идентифицируют удаленных партнеров с помощью криптографических

методов. Более подробно о том, как это осуществляется, вы узнаете в главах

«Техническое и юридическое обеспечение режима электронной подписи», а

также «Информационные технологии электронной коммерции».

Защита от вмешательства в личную жизнь

Сбор сведений об участниках работы в Интернете. Кроме средств

активного воздействия на удаленный компьютер существуют и средства

пассивного наблюдения за деятельностью участников Сети. Они используются

рекламно-маркетинго-выми службами. Как обычно, приведем пример.

При посещении почти любых Web-страниц нам на глаза попадаются

рекламные объявления (их называют баннерами). При их приеме наш броузер

устанавливает связь с их владельцем (с рекламной системой) и незаметно для

нас регистрируется в этой системе. Мы можем не обращать внимания на эту

рекламу и никогда ею не пользоваться, но, переходя от одной Web-страницы к

другой, мы создаем свой психологический портрет (он называется профилем).

По характеру посещаемых Web-узлов и Web-страниц удаленная служба

способна определить пол, возраст, уровень образования, род занятий, круг

интересов, уровень благосостояния и даже характер заболеваний лица, которое

никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться

где-то под своим именем и фамилией, и ранее собранные абстрактные сведения

приобретают вполне конкретный характер — так образуются негласные

персональные базы данных на участников работы в Сети.

Сопоставляя данные по разным людям или по одним и тем же людям, но

полученные в разное время, следящие системы получают профили не только на

отдельных лиц, но и на коллективы: семьи, рабочие группы, предприятия.

Полученные данные могут использоваться как легально, так и нелегально.

Например, идентифицировав некое лицо как любителя горных лыж, рекламная

система при последующих его выходах в Сеть чаще предъявляет ему

объявления, относящиеся к этому виду спорта, чем другие. Это пример

легального использования сведений. Но есть примеры и нелегального

использования. Классифицированные базы данных являются товаром: они

покупаются и продаются, переходят из рук в руки и становятся основой для

деятельности многих организаций самого разного профиля.

253

Источники персональной информации. Наиболее простым и

очевидным источником для сбора сведений об активности клиентов Интернета

являются маркеры cookie, принцип действия которых мы здесь рассмотрим.

Согласно протоколу HTTP броузер может отправить серверу запрос на

поставку одного Web-ресурса (документа HTML) и никак при этом серверу не

представляется. То есть, в своей основе служба World Wide Web является

анонимной (по крайней мере, должна такой быть). Тем не менее, иногда все-

таки имеется целесообразность в том, чтобы броузер серверу представлялся.

Это, например, полезно для Интернет-магазинов. Если в книжном электронном

магазине мы отобрали в покупательскую «корзину» несколько книг,

посвященных экономике, а потом перешли на другую Web-страницу,

посвященную книгам по юриспруденции, то было бы нежелательно, чтобы при

этом наша «корзина» полностью пропала. То есть, при входе на новую

страницу нам желательно, чтобы сервер нас идентифицировал и продолжил

ранее начатую работу.

Целесообразность в представлении броузера серверу возникает всякий

раз, когда клиент пользуется Web-услугами, персонально настроенными

именно на него. Предвидя эту целесообразность, разработчики протокола HTTP

почти десять лет назад предусмотрели несложный и, как им казалось тогда,

вполне безобидный механизм представления броузера серверу с помощью так

называемых маркеров cookie.

Согласно протоколу HTTP сервер может передать броузеру небольшой

пакет данных, в которых закодирована информация, нужная серверу для

идентификации броузера и настройки на работу с ним. Этот пакет временно

запоминается в оперативной памяти компьютера и выполняет роль маркера

(метки). Если в ходе работы в WWWброузер вновь обратится к тому же Web-

узлу, то при обращении к нему он предъявляет ранее принятый маркер, и

сервер сразу же понимает, с каким клиентом он имеет дело.

Маркеры могут быть временными и постоянными. Временный маркер

хранится в оперативной памяти до тех пор, пока броузер работает. По

окончании его работы все временные маркеры, полученные от серверов,

уничтожаются. В принципе, в большинстве случаев, таких, как посещение

Интернет-магазинов, можно было бы ограничиться временными маркерами,

чтобы магазин «не забывал» своего клиента, когда тот переходит из одного

отдела в другой. Однако серверы по непонятным причинам предпочитают

отправлять броузеру не временные, а постоянные маркеры.

254

Рис. 7.5. Просмотр маркеров cookie, собранных в ходе навигации в WWW

(они хранятся в папке C:\Windows\Cookies). На снимке выделены маркеры

Web-узлов, которые вообще не посещались. Эти Web-узлы используют

маркеры cookie для негласного наблюдения за клиентами WWW

Постоянные маркеры обрабатываются иначе. Когда броузер завершает

работу, все постоянные маркеры, накопившиеся в оперативной памяти,

переносятся на жесткий диск в виде файлов cookie. Так происходит маркировка

жесткого диска, а можно сказать, что не только его, а вообще компьютера

клиента. При последующих выходах в Интернет в момент запуска броузера

происходит считывание накопившихся маркеров cookie в оперативную память,

откуда броузер предъявляет их серверам, которые их поставили.

Физической угрозы маркеры cookie компьютеру не представляют — это

файлы данных, которые не являются программным кодом и потому безвредны

в смысле несанкционированных действий. Но они представляют угрозу в

смысле вмешательства в личную жизнь.

Правовой режим маркеров cookie. Существует как минимум два

механизма использования маркеров cookie для несанкционированного сбора

сведений о клиенте. Наиболее очевиден нелегальный механизм, связанный с

255

тем, что сервер может прочитать не только те маркеры, которые поставил он

сам, но и те, которые поставили другие серверз. Этот механизм должен

блокироваться броузером, но история знает не один случай, когда из-за ошибок

программистов сервер имел-таки средства для получения этих данных. Не

исключено, что такие уязвимости есть в броузерах, находящихся в текущей

эксплуатации, или в самой операционной системе. Этот механизм мы назвали

нелегальным, потому что эксплуатация ошибок и уязвимо-стей компьютерных

систем — это правонарушение.

Второй механизм сбора сведений о клиентах на основе маркеров cookie

совершенно легален и в последнее время вошел в широкую практику. Он

основан на том, что некая служба (например рекламная) широко

распространяет на огромном количестве Web-узлов разной тематической

направленности свои графические объекты (например рекламные баннеры).

Посетители этих Web-узлов получают вместе с рекламными баннерами

связанные с ними маркеры cookie. В итоге получается, что служба, к которой

клиенты никогда не обращались, постоянно маркирует их компьютеры своими

маркерами и впоследствии по ним может точно восстановить картину

движения клиентов по Web-узлам Интернета. Этим занимаются не только

рекламные компании, но и компании, предоставляющие иные услуги, например

размещающие счетчики посетителей на Web-страницах своих заказчиков.

Практика использования маркеров cookie для сбора сведений о

пользователях Интернета в настоящее время находится под пристальным

вниманием специалистов-правоведов. В ней настораживает факт негласности

сбора сведений. Основным возражением на это является возможность со

стороны пользователя отключить функции броузера, связанные с постановкой

маркеров cookie. Однако и здесь имеется юридическая неувязка. Дело в том,

что Интернетом пользуются и несовершеннолетние лица. Правовой режим

сведений, полученных от несовершеннолетнего лица, сомнителен. В настоящее

время в ряде стран разрабатываются ограничения на использование маркеров

cookie, связанные с тем, что сервер должен иметь объективные средства

идентификации правового статуса клиента, прежде чем размещать на его

компьютере маркеры. Предполагается, что он должен выдавать необходимое

предупреждение и в случае, если его услугами пользуются

несовершеннолетние лица, воздерживаться как от простановки, так и от чтения

ранее поставленных маркеров. Такой подход безусловно содействовал бы

прекращению негласного сбора информации о клиентах.

Порядок настройки броузера Microsoft Internet Explorer для отключения

приема маркеров cookie рассмотрен в упражнении 7.3. Другие броузеры имеют

аналогичные средства настройки.

Другие источники персональной информации. Кроме маркеров cookie

источником для сбора сведений о клиентах Сети является информация,

легально поставляемая броузером. Во время связи по протоколу HTTP броузер

сообщает свое название, номер версии, тип операционной системы компьютера

клиента и URL-адрес Web-страницы, которую клиент посещал в последний раз.

Кроме этого, у серверов есть приемы, позволяющие в некоторых случаях

256

получить адрес электронной почты клиента, хотя эти приемы используют

только негласно и потому правовой режим их сомнителен.

Еще одним источником персональной информации являются так

называемые активные сценарии JavaScript (Java-скрипты). Уязвимости системы

защиты, связанные с ними, рассмотрены нами в главе «Информационные

технологии электронной коммерции».

7.4. ПОИСК ИНФОРМАЦИИ В WORLD WIDE WEB

Интернет имеет три функции: коммуникационную, информационную и

управленческую. Разные службы могут обеспечивать разные функции. Хотя в

рамках службы World Wide Web есть сервисы, исполняющие

коммуникационные и управленческие функции, основное назначение этой

службы — информационное. Когда нам нужно разыскать какие-то сведения,

мы обращаемся за данными в первую очередь в информационное пространство

Web.

Это пространство отличается гигантскими размерами. На момент

написания данной книги в нем представлено более двух миллиардов Web-

документов. Найти среди них именно то, что нужно, — это особая, отнюдь не

простая задача. Разумеется, можно пользоваться рекомендациями знакомых,

коллег по работе, адресами URL, опубликованными в средствах массовой

информации, но службе WWW совершенно необходимы свои поисковые

сервисы, и они существуют. Эти сервисы работают бесплатно. Экономическую

основу их деятельности обеспечивает высочайший (по сравнению с другими

сервисами) коэффициент возврата клиентов, о решающей роли которого для

электронной коммерции рассказано в главе «Информационные технологии

электронной коммерции».

Поисковая система представляет собой специализированный Web-узел.

Пользователь сообщает поисковой системе данные о содержании искомой Web-

страницы, а система выдает ему список гиперссылок на страницы,

соответствующие запросу. Существует несколько моделей, на которых

основана работа поисковых систем, но исторически две модели приобрели

наибольшую популярность — это поисковые каталоги и поисковые указатели.

Поисковые каталоги

Поисковые каталоги устроены по тому же принципу, что и тематические

каталоги крупных библиотек. Обратившись к поисковому каталогу, мы

находим на его основной странице сокращенный список крупных тематических

категорий, например таких, как Экономика и предпринимательство (Business &

Economy), как показано на примере поискового каталога Yahoo! (рис. 7.6).

Каждая запись в списке категорий — это гиперссылка. Щелчок на ней

открывает следующую страницу поискового каталога, на котором данная тема

представлена подробнее, например по предметам: Предпринимательское право,

Защита прав потребителей, Экономические показатели и индикаторы рынка,

257

Реклама и маркетинг, Электронная коммерция и мн. др. Щелчок на названии

темы (например Электронная коммерция) открывает страницу со списком

разделов (Электронные платежные системы, Интернет-магазины,

Налогообложение предприятий электронной коммерции, Программное

обеспечение и т. д.). Продолжая погружение в тему, можно дойти до списка

конкретных Web-страниц и выбрать себе тот ресурс, который лучше подходит

для решения задачи.

Рис. 7.6. Основная страница поискового каталога Yahoo!

Работа с поисковыми каталогами интуитивно проста. В них поиск

информации практически всегда завершается более или менее плодотворно.

Однако за этой простотой скрывается высочайшая сложность создания и

ведения каталога. Поисковые каталоги создаются вручную.

Высококвалифицированные редакторы лично просматривают информационное

пространство WWW, отбирают то, что по их мнению представляет

общественный интерес, и заносят адреса в каталог. Крупнейшим поисковым

каталогом мира является каталог Yahoo! (www.yahoo.com). Его обслуживают

порядка 150 редакторов, но и при этом общий объем каталогизированных Web-

ресурсов составляет чуть более миллиона Web-страниц, то есть менее десятой

доли процента от всех ресурсов WWW.

Несмотря на столь низкий коэффициент охвата, поисковые каталоги

пользуются огромной популярностью. Их принято использовать для

258

первичного, реферативного поиска информации по заданной теме. Если для

пользователя тема является совершенно новой и неисследованной, то он вряд

ли нуждается в расширенных результатах поиска. Прежде всего ему нужны

указатели на классические, наиболее содержательные ресурсы, а именно это и

обеспечивают поисковые каталоги. Человеческий фактор, связанный с тем, что

над составлением каталога работают люди, а не программы, обеспечивает

качественный отбор наиболее важных ресурсов по каждой из тем.

Количество поисковых каталогов в мире сравнительно невелико. Это

связано с высокой трудоемкостью их содержания и обслуживания, а также с

недостатком квалифицированных кадров редакторов. Крупнейший поисковый

каталог мира мы уже назвали, а крупнейший поисковый каталог России —

«Атрус» (atrus.aport.ru)

Поисковые указатели

Основной проблемой поисковых каталогов является чрезвычайно низкий

коэффициент Охвата ресурсов WWW. И хотя для реферативного поиска это не

выглядит критичным, все-таки существуют потребности в поиске актуальной,

уникальной, специальной информации, которая не охвачена и не может быть

охвачена поисковыми каталогами.

Чтобы многократно увеличить коэффициент охвата ресурсов Web, из

процесса наполнения базы данных поисковой системы необходимо исключить

человеческий фактор — работа должна быть автоматизирована. Разумеется,

при этом значительно падает качество ссылок, предоставляемых системой по

результатам поиска, но одновременно увеличивается их количество.

Автоматическую каталогизацию Web-ресурсов и удовлетворение запросов

клиентов выполняют так называемые - поисковые указатели.

Основной принцип работы поискового указателя заключается в поиске

Web-ресурсов по ключевым словам. Пользователь описывает искомый ресурс с

помощью ключевых слов, после чего дает задание на поиск. Поисковая система

анализирует данные, хранящиеся в своей базе, и выдает список Web-страниц,

соответствующих запросу. Вместе с гиперссылками выдаются краткие сведения

о найденных ресурсах, на основании которых пользователь может выбрать

нужные ему ресурсы (рис. 7.7).

Сегодня в мире существует около 10 тысяч поисковых указателей.

Вершину списка занимают около двух десятков зарубежных систем: AltaVista

(www.atavista.com), Excite (www.excite.com), Fast Search (www.alltheweb.com),

Go/Infoseek (www.go.com), GoTo (www.goto.com), Google (www.google.com),

HotBot (hotbot.lycos.com), Inktomi (www.inktomi.com), Lycos (www.lycos.com),

Netscape Search (search.netscape.com), Northern Light (www.northernlight.com),

WebCrawler (www.webcrawler.com) и другие. В России также имеется

несколько поисковых указателей, из которых наиболее крупными и

популярными являются следующие: «Апорт 2000» (www.aport.ru), «Yandex»

(www.yandex.ru) и «Рэмблер» (www.rambler.ru).

Разные поисковые указатели могут использовать разные

информационные технологии для обработки запросов пользователей. Чтобы

259

эффективно выполнять поиск . информации в WWW, надо представлять

достоинства и недостатки каждой из систем и хотя бы в общих чертах понимать

принципы их работы.

Рис. 7.7. За сотую долю секунды поисковый указатель Fast Search

отобрал более миллиона Web-страниц, посвященных

электронной коммерции

Три этапа работы поискового указателя. Работу поискового указателя

можно условно разделить на три этапа. Из них два этапа являются

подготовительными — они незаметны для клиента, и лишь на третьем этапе

происходит взаимодействие с пользователем, но от каждого из этапов зависят

функциональные свойства поисковой системы и эффективность работы с ней.

Сбор первичной базы данных. На первом этапе поисковая система

занимается сканированием информационного пространства World Wide Web.

Для этого используют специальные агентские программы — черви. Не следует

путать агентов поисковых систем с разновидностью сетевых компьютерных

вирусов, тоже именуемых червями. Черви поисковых систем совершенно

безобидны для серверов и клиентов WWW. По своей сути это очень

эффективные малоразмерные броузеры. Им не надо выполнять функции

просмотра и воспроизведения содержимого — их задача состоит только в том,

чтобы автоматически разыскивать в Сети Web-ресурсы, следуя по

гиперссылкам, и, убедившись, что этот ресурс системе еще не известен,

копировать его в свою базу данных. Так же происходит и обновление ранее

принятых документов, но измененных за время после предыдущего

копирования.

От эффективности работы поискового червя во многом зависит

260