реклама
ЭКСПЕРТИЗА САЙТОВ НА СЛИВ ИНФОРМАЦИИ

ВОССТАНОВЛЕНИЕ ИНФОРМАЦИИ С РАЗЛИЧНЫХ НАКОПИТЕЛЕЙ В КИЕВЕ
уход за растениями - озеленение - фитодизайн
реклама

proxy  статьи  библиотека  softice  free_юр.консультация  hard  iptv
рекламодателям  фирмы/add  расшифровка штрих-кодов  links/add

http://kiev-security.org.ua

Содержание

Організаційно-правовові питання конфеденційності електронної пошти

Термін "електронна пошта", в широкому розумінні, відноситься до будь-якого виду зв`язку, що використовує комп`ютери та модеми. Листуючись будь з ким з допомогою електронної дошки об`яв (BBS), комерційної інтерактивної (on-line) служби, корпоративної мережі Relcom чи Internet, ви надсилаєте електронну пошту.
При користуванні BBS ваше повідомлення може бути загальнодоступним або зберігатись як приватне повідомлення. Деякі BBS можуть входити до неофіційних мереж, подібних FidoNet. Ці мережі передають відправлені на BBS повідомлення наступним чином: комп`ютер А викликає комп`ютер Б та передає йому нові повідомлення. Комп`ютер Б, в свою чергу, буде викликаній комп`ютером В або Г і так далі. Отже, люди, що мають доступ до різних BBS, можуть листуватись навіть в тому випадку, коли не існує прямого зв`язку між ними.
Незалежно від того, знаходитесь ви в локальній обчислювальній мережі чи в глобальній мережі Internet - будь-яка людина з правами супервізора має доступ абсолютно до всієї інформації, або до трафіка, що проходить через його систему.
Навіть надсилаючи поштою звичайний лист, ви дещо ризикуєте, бо в поштовому відділенні ваш лист обробляється численною кількістю людей, перевозиться різними транспортними засобами, що підвищує ризик випадкової втрати листа.
Чи безпечніша електронна пошта за звичайну? Мабуть, ні. Бо, хоч є маса варіантів , що дозволяють прочитати звичайний лист, переважна кількість листів доходить без жодних інцидентів мільйони разів на день. Те ж саме справедливе і для Internet: мільйони повідомлень кожен день надходять своїм адресатам непошкодженими та непрочитаними. Реальний обсяг повідомлень настільки великий, що всі їх перехопити просто неможливо. Хоча деякі все-таки перехоплюються. І от чому. Електронна пошта радикально відрізняється від звичайного листа водночас в декількох моментах. Хоча деякі поштові програми типу cc: mail та Microsoft Mail дозволяють шифрувати повідомлення, більшість повідомлень електронної пошти пересилається в вигляді звичайного тексту. Організації, що пропонують послуги Internet (так звані провайдери - providers), для пересилки пошти використовують протоколи POP (Post Office Protocol) або SMTP (Simply Mail Transfer Protocol). В стандартній конфігурації обидва протоколи використовують звичайний текст. Електронну пошту скоріше можна уподібнити пересилці листівки. Адже більшість листів надійно захищена конвертом. Розкритий конверт завжди вказує на стороннє втручання, в той час як повідомлення електронної пошті може бути скопійовано безкарно. Так само, як можна зробити ксерокопію документа або скопіювати файл без зміни оригіналу, повідомлення електронної пошти може бути скопійовано до, під час або після пересилки, а сторона, що повинна отримати його, ніколи про це не дізнається.
Однак, існує істотна відмінність електронної пошти від звичайної. Одне із завдань сумлінного оператора полягає в періодичній архівації усієї електронної пошти, що проходить через його систему. Це робиться для того, щоб забезпечити поновлення функціонування системи після аварії - тобто щоб клієнти не втратили важливе повідомлення просто через перепади напруги в електромережі. Але це дає можливість операторові читати ще не доставлені повідомлення, які не мають захисту, подібного конверту звичайного листа.
На жаль, незважаючи на поступову інтеграцію України в світову інформаційну мережу та зростаючу роль використання результатів НТП в цій галузі для розвитку як держави в цілому, так і окремих галузей суспільного життя, в України і досі немає навіть скільки-небудь прийнятного проекту законодавства, яке б регулювало суспільні відносини в сфері комп'ютерної техніки та інформаційних технологій. Тому розглядаючи наступний та всі інші приклади будемо спиратись на законодавство Сполучених Штатів Америки, як таке, що, завдяки своєму динамічному розвитку найбільш повно відповідає реаліям цієї галузі суспільного життя.
У відповідних випадках всі федеральні агентства уряду США повинні дотримуватись Федерального закону про записи (Federal Records Act). Досить наочно суть цього закону розкриває його використання у справі "Армстронг проти адміністрації президента". Відповідна його частина проголошує : "Всі…матеріали, що зчитуються машиною, та інші документальні матеріали, незалежно від фізичної форми та характеристик, розроблені чи отримані агентством Сполучених Штатів Америки відповідно до Федерального закону у зв`язку з комерційними операціями та збережені чи пристосовані для збереження цим агентством, як докази організації, функцій, політики, рішень, операцій, процедур а так само інших дій уряду або у зв'язку з інформаційним значенням даних, що в них знаходяться…повинні бути збережені".
У випадку з Армстронгом суд вимагав, щоб фактичні комп'ютерні записи були заархівовані, а не зберігались у вигляди паперового роздруку, тому що паперові записи втрачали інформацію про відправника, тимчасову помітку, адресу призначення та ін.
Отже, кому цікаво читати вашу електронну пошту? Відразу згадуються дві основні категорії: хакери та ті, хто просто цікавляться сторонніми листами. Відповідно до Random House Unabriged Dictionary, термін "хакер" має два визначення :
  1. "Людина, досвідчена в питаннях використання комп'ютера або програмуванні".
  2. "Людина, що протизаконно отримує доступ або проникає до сторонньої комп'ютерної мережі, щоб отримати таємну інформацію або викрасти гроші".
Два найбільш незахищених місця електронної пошти - ваша вихідна пошта (outgoing mail) та поштова скринька (mail box). Деякі програмні пакети (наприклад, Netscape Mailreader) мають опцію, що дозволяє надсилати копію кожного вашого повідомлення на будь-яку адресу за вашим бажанням. Ця опція дозволяє використовувати ще один обліковий запис Internet для вашої вихідної кореспонденції. Небезпека полягає в тім, що повідомлення електронної пошти, які чекають на відправку на сервері, є легкою здобиччю для тих, хто може нею цікавитися.
Аналогічно менше всього захищені повідомлення електронної пошти, що чекають вивантаження на кінцевий (тобто ваш) комп'ютер. У випадках з деякими серверами, як виявилось на практиці, зовсім не важко отримати доступ до цих повідомлень.
Справа ще й у тому, що повідомлення, які лишаються на сервері тривалий час без руху, є легкою мішенню для хакера через проблеми, пов'язані з дорожнечею установки Сніффера (sniffer). Сніффер традиційно є інструментом системного адміністратора. Цей засіб дає можливість контролювати трафік та перевіряти сотові з'єднання. Сніффер можна використати для перехоплення всього трафіку та генерації звітів при появі поштових повідомлень, що відповідають певним критеріям, як то специфічні слова чи фрази, а також необхідної адресації. Установка сніффера вимагає певного рівня майстерності та легко розпізнається, бо цей пристрій повинен бути підключений до загальної мережі. Якщо хтось йде на це, то, напевно, має певний умисел або шукає якусь специфічну інформацію, наприклад, незашифровані номери кредитних карток.
З іншого боку, для досвідченого хакера регістрація в декількох системах та отримання привілеїв супервізора - ласий шматочок, особливо в системах, що управляються адміністраторами, які не дуже піклуються про захист. Якщо хакер отримує в системі статус супервізора, то він має можливість переглядати в ній будь-що, включаючи електронну пошту, її резервну копію чи таку, що чекає на відправку.
Якщо ви не викликаєте інтересу для промислового шпигунства, то найбільша небезпека для вас - постраждати через чиюсь цікавість. Вона приймає будь-які форми, відтінки та різновиди. Кожен може мати свої причини для читання чужої пошти. Це може бути як безпринципний системний адміністратор, так і підлітки, що випадково зіштовхнулись з вашою електронною поштою.
Інша слабка ланка в захисті електронної пошти пов'язана з тим, що на шляху до адресата ваше повідомлення може проходити через безліч комп'ютерів. Нагадаю, що структура Internet та більшості інших сучасних глобальних мереж дозволяє повідомленням знаходити маршрути самостійно, обминаючи вузькі місця та неробочі вузли без помилок. Тому ви можете надіслати п'ять копій звіту на адресу, і навіть два з них не пройдуть однаковим шляхом маршрутизації.
Українське законодавство в сфері захисту інформації., на жаль, ще не відповідає тим вимогам, які ставлять перед ним реалії сьогодення. Саме тому досвід США та Росії має дуже важливе значення для реформування чинного законодавства України з цих питань.
На наш погляд, дуже наглядно Рішення Верховного Суду по справі "Рой проти Вейда" (Roy versus Weid). В цьому рішенні зазначалось, що інші права, перелічені в "Білі про права" (1789 рік), створили певну атмосферу чи фон, який захищає право на конфеденційність. В справі Роя суд розглядав конкретне питання свободи в сфері народження дітей, але в результаті цього рішення було підтверджено широко визнане право на конфіденційність. Однак, доки не був прийнятий Акт про конфеденційність електронних комунікацій 1986 року, в деяких видах зв'язку не використовувались ті ж міри захисту, що в телефонному. Рядом рішень Верховний Суд постановив, що комп'ютерний зв'язок можна перехоплювати без отримання ордера, бо він не є речовим зв'язком, як це було визначено в існуючому законі про прослухування.
Акт про конфеденційність електронних комунікацій 1986 року кодифікував питання безпеки зв'язку взагалі та забезпечив рівний захист комп'ютерного зв'язку зокрема. Закон проголошує, що будь-хто, якщо він "умисно перехоплює, намагається перехопити чи сприяє будь-якій людині в перехопленні речового, електричного чи електронного зв'язку, є винним, вчинює кримінальний злочин та буде переслідуватись за законом".
Акт також передбачає кримінальне переслідування за "навмисне розкриття або використання змісту речового, електричного або електронного зв'язку , про яку відомо, що вона перехоплена, або маються достатні причини передбачати, що вона перехоплена".
Окремий розділ Акту про конфеденційність електронних комунікацій 1986 року присвячений провайдерам Internet. Там говориться, що "відповідно до цього розділу для оператора, чиновника, службовця, агента постачальника сервісних послуг в електронному або проводному зв'язку, не є злочинним переривання, розкриття та використання комунікацій при виконанні своїх звичайних обов'язків, якщо це необхідно для подолання якихось перешкод нормальній роботі мережі або для захисту прав та власності постачальника цих послуг. Однак, провайдер не повинен використовувати нагляд під час сервісних робіт або частковий контроль інакше, ніж для перевірки обладнання або якості обслуги."
Іншими словами, постачальники послуг мають при необхідності перевіряти зв'язок, щоб впевнитись, що комунікації працюють вірно. Однак, закон не дозволяє системному оператору просто з власної зацікавленості втручатися в роботу системи або читати повідомлення, яки надійшли клієнтам.
Розділ 2518 Акту проголошує, що для перехоплення електронного зв'язку уповноважені законом силові агентства повинні отримати ордер на обшук, хоча й не забороняє пристрої, що записують (фіксують) потік повідомлень.
Таким чином, Акт прирівнює електронну пошту до звичайного телефонного зв'язку, а отже, дозволяє офіційним особам для контролю телефонних ліній використовувати самописці - пристрої, що записують телефонні номери, з яких або на які надходять телефонні дзвінки; точно так вони можуть без дозволу суду використовувати різноманітні пастки та пристрої для стеження, перевіряючи, хто надсилає вам пошту та ваших адресатів.
Нова Конституція України [1] сприйняла положення статті 12 Загальної декларації прав людини, яка проголосила, що ніхто не може зазнавати безпідставного посягання на таємницю його кореспонденції. Тому, відповідно до ст. 31 Конституції України від 28.06.96р., "кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції". Тобто, гарантуючи невід'ємне право на таємницю "іншої кореспонденції", український законодавець начебто одночасно захищає право на конфеденційність електронної пошти.
Проводячи паралелі із законодавством США, необхідно зазначити, що 12 ст. Конституції також гарантує "право на секретність". У повсякденному житті люди використовують це право запечатуючи конверти та чекаючи, що їх ніхто не розпечатає. Всі, хто користується електронною поштою, без сумніву хотіли б, щоб право на секретність розповсюджувалось ще й на комп'ютерні комунікації. Але чи може воно бути реалізовано повністю?
Щоб переглядати будь-яку кореспонденцію, розміщену на папері, поліція повинна отримати судовий ордер, що санкціонуватиме ці дії, для чого повинні бути наведені достатньо серйозні підстави. До речі, подібна норма розміщена в ст. 31 Основного закону України, яка встановлює правила обмеження цього права. Але, як і в США, такі винятки можуть бути встановлені "лише судом" і тільки "у випадках, передбачених законом". Відповідно встановлюються необхідні ознаки цього у вигляді обов'язкової мети - щоб "запобігти злочинові чи з'ясувати істину під час кримінальної справи". Винятковість цього метода підкреслюється обмеженням його застосування - необхідною умовою є неможливість одержання інформації іншим способом. На сьогодні вказана гарантія передбачена чин-ним законодавством. Зокрема, частина друга ст. 14 Кримінально-процесуального кодексу вказує, що особисте життя громадян, таємниця листування, те-лефонних розмов і телеграфних повідомлень охоро-няються законом. У ч.3 цієї статті конкретизується, що обшук, виїмка, огляд приміщення у громадян, накладення арешту на кореспонденцію і виїмка її в поштово-телеграфних установах може проводитись тільки на підставі і в порядку, встановлених цим кодексом. А відповідно до ст. 187 КПК України накладення арешту на кореспонденцію і виїмка її в поштово-телеграфних установах може проводитися тільки з санкції прокурора або його за-ступника чи за постановою суду.
Але, на жаль, в українському законодавстві ще не існує будь-якої норми, яка б забезпечувала реалізацію продекларованого права (за порушення встановленої Конституцією га-рантії винна особа може бути притягнута до кри-мінальної відповідальності за ст. 131 Кримінального кодексу України. Але диспозицією цієї статті ("Порушення таємниці листування, телефонних розмов і телеграфних повідомлень громадян") не охоплюється електронна пошта, навіть немає туманної відсилки "та інша кореспонденція"). Адже дії особи, яка без вашого дозволу переглядає повідомлення, що надійшли до електронної пошти, не підпадають під дії, означені в єдиній статті кримінального кодексу України, що встановлює відповідальність за злочини, пов'язані з використанням комп'ютерів -ст.1981 "Навмисне втручання в роботу автоматизованих систем, що призвело до перекручення чи знищення інформації або носіїв інформації, чи розповсюдження програмних та технічних засобів, призначених для незаконного проникнення в автоматизовані системи і здатних спричинити перекручення або знищення інформації чи то носіїв інформації".
Значно краще регламентуються відносини, пов'язані з протиправним використанням електронної пошти чи порушень правил її користування Кримінальним кодексом Канади, в статті 342.1.1.а якого безпосередньо зазначено, що є винним та повинен бути підданий кримінальній відповідальності кожен, хто "обманним шляхом та протиправна отримав, прямо або побічно, будь-яке комп'ютерне повідомлення" (формулювання "протиправна та обманним шляхом", напевно, покликане звільнити від відповідальності системних операторів транзитних станцій, які іноді мають перевіряти роботоздатність електронної пошти та абонентів, які випадково отримали чужу кореспонденцію).
Головною рисою, яка розрізнює дві наведені статті є необхідність настання суспільно небезпечних наслідків, що були викликані втручанням в автоматизовану систему, для настання відповідальності за ст.1981 КК України [2], та достатність самого факту протиправного отримання інформації для засудження за ст.342.2.1.1.а КК Канади. До того ж, враховуючи виключну складність наведення доказів протиправного втручання на сучасному рівні обладнання вітчизняних підприємств комп'ютерною технікою, саме фіксування такого втручання стає певною проблемою.
На жаль, залишається відкритим питання про те, чому в статті 1981 не перелічені незаконне отримання інформації та незаконне втручання без наведених ознак, адже не існує будь-якого нормативно-правового акту, що додатково регламентує подібні ситуації.
За деякими винятками, правові звичаї та традиції США перейняті з англійського загального (common) права, відповідно до якого право власності домінує над іншими. Таким чином, не існує жодного закону, який би забороняв роботодавцеві наглядати за робочими місцями. Дозволено знімати касирів прихованими камерами, телефонні дзвінки можуть контролюватись тощо, бо відповідно до численних рішень Верховного Суду, право на конфеденційність є вторинним по відношенню до права власності володаря підприємства (див. наприклад рішення по справі Smith v. Davidson 1964 року). Зрозуміло, що існують певні обмеження, але єдине місце, де роботодавець не може вас контролювати, - помічене WC. Отже, виникає питання: кому належить електронна пошта - вам чи компанії, де ви працюєте. Відповідь лежить на поверхні. Якщо ваш роботодавець забезпечує вам засоби електронних комунікацій, то ваші поштові повідомлення можуть в будь-який момент контролюватися (так, опитання журналу "Macworld" в 1997р. свідчить, що приблизно 25 відсотків підприємців контролюють файли на комп'ютері службовців, електронну пошту та усні повідомлення.). Законодавство, спрямоване послабити контроль за службовцями та вимагаюче повідомляти службовців про проведення контролю за ними, так і не було прийняте Конгресом.
З іншого боку, неможна не зазначити, що деякі компанії певною мірою надають своїм службовцям право на деяку конфеденційність, встановлюючи жорстку регламентацію процедур контролю. Порушення представником компанії таких процедур дає повід для судового розгляду в цивільних судах.
Безпека у комп'ютерній мережі, як вже було доведено вище, - це абсурд. Але, якщо ви не VIP (Very Important Person - дуже важлива персона) і вашою поштою не займаються хакери-професіонали, то можна використати декілька існуючих на сучасний момент загальнодоступних технологій, що дають можливість більшості абонентів електронної пошти певною мірою забезпечити конфеденційність.
Перший прийом полягає в надісланні фальшивої пошти (fake mail) та анонімної пошти (anonymous mail). В обох випадках робиться спроба виключити виявлення відправника. А різниця от в чому: в fake mail ви намагаєтесь повністю скрити вашу адресу, а використовуючи anonymous mail ви скриваєте його для всіх, окрім адресата (тaoiieia?? anonymous mail caaacia?o?ou aiii?ii? ?aiaeea?e - iiooia? na?aa?e, ?ic?iaeai? aey i?eeiyooy aaoiai iia?aiieaiiy, aeeo?aiiy an??? ?ioi?iao??, ui ii?a aiiiiiaoe aan ?aaioeo?eoaaoe oa cai?ie ?? ia aiii?iio).
Другий прийом зводиться до шифровки ваших повідомлень. Звичайно, рядовим абонентам e-mail недоступні, маючи стратегічну важливість, чіпи типу Clipper чи технологія PGP (Pretty Good Privacy), що були спеціально розроблені для шифрування. Але існують досить нескладні методи квазішифрування, зокрема, використання утиліти Unscramble ROT-13, яку, звичайно, неможна прирівнювати до серйозних методів захисту (адже це не шифр, а зсування знаків кодової таблиці на 13 позицій алфавіту, тобто А стає К і так далі. Для його "розшифрування" необхідно просто ще раз використати ROT-13, відновлюючи первинний зміст), але яка збереже ваше повідомлення від простих службовців чи підлітків, що просто цікавляться .
Отже, підсумовуючи все зазначене вище, можна зробити такі висновки:
  • ваше повідомлення надсилається у вигляді відкритого тексту, що, проходячи через цілу низку серверів, лишається незахищеним;
  • системні адміністратори мають можливість читати транзитну пошту і навіть інколи повинні це робити, щоб впевнитись у працездатності системи;
  • ваша пошта може бути перехоплена сторонніми особами та прочитана ними, якщо вона не зашифрована;
  • існують декілька рівнів захисту вашої електронної пошти - від простих до серйозних та дорогих;
  • навіть у більш розвиненому в цій галузі законодавстві США ваша електронна пошта прирівнюється до звичайного телефонного дзвінка, а отже, може бути перехоплена без вашого дозволу та навіть повідомлення вам про це;
  • в Україні електронні повідомлення взагалі не захищаються, що повинно стимулювати законодавця, а також правові дослідження в цій галузі.

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
  1. Конституція Україні від 28.06.96р.
  2. Кримінальний кодекс України: Офіційний текст із змінами і доповненнями за станом на 1 лютого 1996 року. - Київ:Видання українського державного центру правової інформації Міністерства юстиції України, 1996. - 224с.
  3. Закон України "Про захист інформації в автоматизованих системах".\\ВВР №3 1994. -286с.
  4. Правовые основы деятельности по защите информации от несанкционированного доступа. Доклад конференции Internet-Intranet/Россия 97, Правовые основы деятельности по защите информации от несанкционированного доступа,В.Бутенко,В.Громов. httm://www.citforum.ru/win/internet/iinet97/10.shtml
  5. Computer' crimes, security. httm:// [email protected]
  6. Personal Computer Security by Ed Tiley. - IDG books Worldwide, 1996. P.510
  7. The Criminal Code of Canada. httm://criminal.codes.edu

1998

Содержание

HOME


Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:

<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a>

Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2022,