В наше время практически невозможно найти человека, данные о котором не хранятся на каком-нибудь электронном носителе. Путешествуя по всемирной паутине, мы ежедневно оставляем множество информационных следов, записываем на неведомые сервера свои письма, историю поисковых запросов, данные наших документов, адреса – вся эта информация превращается в поток нулей и единиц, бегущих по сети в неведомом нам направлении.
Вы когда-нибудь задумывались о том, как обеспечивается безопасность ваших данных в сети? Извечное противостояние добра и зла, щита и меча, добросовестного IT специалиста и киберпреступника буйствует вокруг наших данных постоянно. Этому противостоянию и посвящена наша статья – вторая часть цикла про кибербезопасность.
Как наши данные могут быть использованы против нас?
Испокон веков важная информация могла стать могущественным инструментом, если ей умело распорядиться. С появлением интернета и его наполнением чувствительными данными, информация стала ещё более желанной добычей для злоумышленников.
Получив ваши персональные данные или данные ваших родственников, преступники могут использовать эту информацию в различных мошеннических схемах. Перехватив ваши учетные данные с паролями, злоумышленники могут без проблем получить доступ к вашим перепискам, используя найденную информацию для шантажа или, с тем же успехом они смогут выдавать себя за вас в социальных сетях. Ещё более серьезную угрозу представляет перспектива получения злоумышленниками ваших паролей и логинов при условии, что вы используете одни и те же пароли во множестве систем. Представьте, что злоумышленники, перехватив ваш пароль всего один раз, могут разом получить доступ к вашим социальным сетям, облачным хранилищам, игровым аккаунтам, рабочей почте – последствия такого взлома могут нанести существенный вред вам, вашим близким и даже коллегам на работе. Преступники даже могут получить доступ к вашей системе умного дома, датчикам и камерам, если таковые имеются, со всеми вытекающими последствиями.
Ужасающий сценарий, не правда ли? Помимо соблюдения элементарной цифровой гигиены, предотвратить его помогают бесчисленное множество разработчиков и специалистов по безопасности, работу которых вы не видите, но именно эта работа является барьером между вашими данными и злоумышленниками.
Как злоумышленники могут заполучить наши данные?
Для начала давайте разберёмся, каким образом злоумышленники могут получить нужную им информацию. Вообще, основных способов два:
Первый способ подразумевает перехват ваших данных с момента их ввода и до попадания их на целевой сервер, где они должны храниться (например, сервер мессенджера или банка). Есть множество способов осуществить это: от внедрения шпионских программ на ваши устройства до физического подключения к каналам связи между вами и целевым сервером с целью их дальнейшего прослушивания. Защитить ваши данные в таких обстоятельствах помогают множество механизмов защиты на всём пути их следования до сервера. От шпионских программ вас защищают антивирусы на ваших устройствах, а от перехвата данных спасают защищенные каналы связи, данные по которым передаются в зашифрованном виде с использованием механизмов защиты целостности, чтобы злоумышленник не смог прочитать и подменить данные на пути между вами и сервером.
Второй способ предполагает получение преступниками данных непосредственно с целевого сервера. И здесь мы ступаем на огромное поле боля между преступниками и добросовестными IT специалистами. Чтобы не допустить взлома, разработчики создают сложную, глубоко эшелонированную систему защиты, о которой мы и погорим подробно.
Строя крепость
Давайте представим, что мы проектируем наш сервер. В центре нашего сервера находятся заветные данные – сокровище, которое мы должны всеми силами защитить, например свитки с могущественным заклинанием. Для наглядности будем каждый этап иллюстрировать рисунком, где злоумышленник представлен как охотник за сокровищами, а ценные данные – как свитки.
Как нам защитить заклинание? Первым делом давайте построим лабиринт, чтобы преступник не знал, где именно находится заклинание, и долго его искал. Для этих целей разработчики используют прокси-сервер – сервер-посредник, который находится на входе в локальную сеть и фильтрует трафик между локальной сетью и интернетом, при этом скрывая внутреннее устройство внутренней сети от внешнего наблюдателя.
Хорошо, теперь преступнику потребуется больше времени, чтобы добраться до сокровища. Однако рано или поздно ему это удастся, и, в таком случае, вы потеряете всё. Известная поговорка гласит: “Не клади все яйца в одну корзину”, давайте и мы воспользуемся этим советом и разделим наше заклинание на части, которые спрячем в разных местах лабиринта. Разработчики при построении серверной архитектуры руководствуются тем же принципом – разделяют данные и создают их бэкапы (резервные копии).
Отлично, теперь мы повысили шансы спасти хотя бы часть данных от похищения или повреждения. Как мы ещё можем усложнить жизнь преступнику? Давайте расставим в нашем лабиринте запертые двери. Для этих целей разработчики настраивают жесткие права доступа в разные части системы и тщательно фильтруют трафик, проходящей между этими частями.
Не будем останавливаться на достигнутом и добавим в наш лабиринт стражников, которые будут сообщать о подозрительных личностях и выгонять их из лабиринта. Также было бы неплохо, если бы стражники ещё и следили за тем, сколько времени посетители находятся в лабиринте, чтобы у преступника было меньше времени на разведку. Разработчики для этих целей используют различные инструменты для мониторинга трафика и ограничивают время существования пользовательских сессий.
Напоследок, давайте зашифруем наше заклинание, чтобы, даже получив свитки, преступник не смог его прочитать (или потратил бы много времени на расшифровку).
В современных и безопасных системах важные данные хранятся не в своём оригинальном виде, а в виде хэша – строки фиксированной длины, представляющей собой уникальный отпечаток оригинальных данных. При этом получить из хэша оригинальный текст невозможно, так как хэширование – односторонний процесс.
Таким образом, преступник, даже получив из нашей базы данных, например, пользовательские пароли в виде хэша, не сможет напрямую восстановить сами оригинальные пароли.
Однако чистые хэши не являются абсолютно безопасными. Преступник может путём перебора разных вариантов паролей и разных способов хэширования в конце концов получить совпадающий с украденным хэш, и, таким образом, он вычислит ваш пароль. Чтобы устранить такую угрозу хэши принято “солить”. “Соль” – это случайная строка, которая добавляется к оригинальному паролю. Посоленный пароль уже хэшируется и на выходе мы получаем хэш, который вышеописанным перебором не получится эффективно “взломать”. Даже подобрав к хэшу оригинальный текст, злоумышленник получит солёную версию пароля, которая без знания, непосредственно, “соли” не может быть им использована в преступных целях – ваш пароль останется ему неизвестным.
Думаем, выглядит наша оборона вполне надежно. Конечно, это очень поверхностный пример, однако схема, которую мы с вами обрисовали, приоткрывает завесу тайны над обеспечением безопасности пользовательских данных. Надеемся, теперь вы смогли лучше разобраться в том, как информационные системы, которыми вы пользуетесь ежедневно, работают "под капотом”. На этом всё, следите за цифровой гигиеной и будьте счастливы. Увидимся в следующих статьях!
🔥Подписывайтесь на нас в Telegram и ВКонтакте