Безпека.
Підключення
комп'ютера до Internet саме по собі не створює проблем забезпечення
безпеки, відмінних від тих, яка існує при роботі двох комп'ютерів через
модем. Проблема одна й та сама, міняється тільки ступінь її важливості. Якщо
у Вас модем підключений на прийом до коммутируемой лінії передачі, то
будь-хто може набрати номер і спробувати вломитися до Вас в комп'ютер. Є
три обмежують таку можливість чинники: по-перше, номер телефону
комп'ютера, мабуть, відомий небагатьом, по-друге, якщо зломщик
знаходиться за межами Вашої місцевого телефонного зони, йому доведеться
платити за експеримент, по-третє, є тільки один інтерфейс, який можна атакувати.
Якщо працювати в Internet, цих факторів просто немає. Загальний
адресу Вашої мережі можна знайти дуже легко, а для визначення адреси
чинного комп'ютера потрібно спробувати лише кілька номерів. В принципі це все рано не гірше, ніж у випадку комп'ютерних служб, доступних по телефонній мережі за кодом 800. Однак
ці служби мають спеціальний відділ забезпечення безпеки, і існує тільки
одна точка можливого прориву: порт ASCII - термінала. В
Internet ж зловмисник може спробувати прорватися через порт
інтерактивного терміналу, порт пересилки файлів, порт електронної пошти і
т.д. Можна,
звичайно, не думати про безпеку взагалі: просто витягти комп'ютер з
коробки, поставити його на стіл, підключитися до Internet і працювати. Але працювати Ви будете до тих пір, поки хто-небудь не вломитися в комп'ютер і не зробить якусь капость. В кінцевому рахунку набагато вигідніше потурбуватися про безпеку заздалегідь, ніж потім, коли неприємність вже відбудеться.
Безпека в Internet підтримується спільними зусиллями. Один
з методів, який зломщики-любителі взяли на озброєння, полягає у прориві
в ланцюжок комп'ютерів (наприклад, вломитися в A, звідти - в B, потім з
допомогою B прорватися в C і т.д.). Це дозволяє їм замітати сліди з більшою ретельністю. Якщо
Ви думаєте, що Ваш маленький старенький комп'ютер не може стати
об'єктом насильства, бо він ну дуже маленький, то глибоко помиляєтеся. Навіть
якщо на ньому немає нічого путнього, його цілком можна використовувати
для злому інший, більш важливою системи Є такі мисливці, які роблять
зарубки на клавіатурі, підраховуючи, скільки комп'ютерів вони зламали. Розміри при цьому значення не мають.
Для
вирішення завдання усунення можливих проблем, пошукам рішення і
інформування уряд фінансує організацію під назвою CERT (Computer
Emergence Response Team, «Аварійна бригада з комп'ютерів»). СERT
виконує цілий ряд функцій: займається вивченням проблем, пов'язаних з
безпекою, працює з фірмами-виробниками над їх усуненням і поширює
відповідну інформацію. Крім того, ця організація виробляє засоби, які дозволяють користувачам оцінювати ступінь захищеності своїх комп'ютерів. Співробітники
CERT воліють контактувати з тими, хто відповідає за безпеку, але в
аварійних ситуаціях відповідають на питання будь-яких користувачів. Якщо Вам необхідно обговорити з ким-небудь проблеми безпеки, можете зв'язатися з CERT по електронній пошті:
cert@cert.sei.cmu.edu
Існують чотири джерела виникнення загрози для мережевих комп'ютерів. Перерахуємо їх у порядку убування ймовірності:
Вибір законним користувачем невдалого пароля.
Привнось (імпорт) руйнівної програмного забезпечення.
Проникнення в системи незаконних користувачів, що відбувається внаслідок помилок в конфігурації програмних засобів.
Проникнення
в системи незаконних користувачів, що відбувається внаслідок недоліків у
засобах забезпечення безпеки операційних систем.
Вивчивши цей список, можна зробити один дуже важливий висновок. Захистити свою систему Вам цілком по силам. Тепер розглянемо, як це можна зробити.
4.1 Паролі.
Більшість користувачів вибирають паролі, зручні для себе. На жаль, те, що зручно для Вас зручно і для зломщика. CERT вважає, що 80% зломів комп'ютерів зумовлено невдалим вибором паролів. Пам'ятайте, що коли справа доходить до паролів, то в ролі зломщиків виступають вже не люди, а комп'ютери. Програма цілий день перебирає різні варіанти паролів і не кидає це нудне заняття, якщо перші три не підходять. Ви можете, однак, придумати такий пароль, який дуже важко буде вгадати. Більшість зловмисників використовують не перші-ліпші літери, а вибирають цілі слова зі словника або прості імена. Тому потрібно вибирати пароль, який:
складається мінімум з шести символів;
включає як рядкові, так і великі літери та цифри;
не є словом;
не є набором сусідніх клавіш (наприклад, QWERTY).
Багатьом
важко підібрати собі пароль, який задовольняв би всім цим критеріям,
але в той же час був би легким для запам'ятовування. Можна,
наприклад, взяти перші літери улюбленою фрази, скажімо FmdIdgad
(Franky, my dear, I don't give a damn, тобто «Френкі, мій дорогий, мені
наплювати»).
Коли
Ви встановлюєте робочу станцію, не забудьте привласнити паролі іменам
root, system, maint та іншим іменам користувачів з особливими
повноваженнями. Регулярно змінюйте ці паролі. Деякі комп'ютери поставляються зі стандартними паролями. Якщо їх не замінити, то Ваші паролі будуть відомі всім, хто купив станцію цього ж типу.
Нарешті, будьте обережні з методами обходу парольного захисту. Є два загальноприйнятих методу: утиліта rhosts ОС UNIX і анонімний FTP. rhosts дозволяє Вам оголошувати «еквівалентні» імена користувачів на кількох комп'ютерах. Ви перераховуєте явні імена комп'ютерів і імена користувачів у файлі. Rhosts. Наприклад, рядок:
uxh.cso.uiuc.edu andrey
дає
вказівку комп'ютера, на якому знаходиться цей файл, знімати вимоги по
парольного захисту, якщо хтось намагається зареєструватися під ім'ям
користувача andrey на комп'ютері uxh.cso.uiuc.edu. Якщо комп'ютер отримує ім'я користувача в поєднанні із зазначеним ім'ям комп'ютера, ім'я користувача буде вважатися вірним. Звідси
випливає, що кожен, хто зуміє скористатися правами користувача andrey
на комп'ютері uxh.cso.uiuc.edu, може прорватися і в даний комп'ютер.