Значительная часть ресурсов Сети не требует идентификации пользователя и допускает анонимное использование. Однако в ряде случаев от пользователя требуется предоставить информацию, идентифицирующую его и используемые им средства доступа к Сети. При этом пользователю запрещается:
Ø Использование идентификационных данных (имен, адресов, телефонов и т.п.) третьих лиц, кроме случаев, когда эти лица уполномочили пользователя на такое использование. В то же время пользователь должен принять меры по предотвращению использования ресурсов Сети третьими лицами от его имени (обеспечить сохранность паролей и прочих кодов авторизованного доступа).
Ø Фальсификация своего адреса при передаче данных в Сеть. Использование несуществующих обратных адресов при отправке электронных писем.
Настройка собственных ресурсов
При работе в сети Internet пользователь становится ее полноправным участником, что создает потенциальную возможность для несанкционированного использования третьими лицами сетевых ресурсов, принадлежащих пользователю. В связи с этим пользователь должен принять надлежащие меры по такой настройке своих ресурсов, которая препятствовала бы недобросовестному использованию этих ресурсов третьими лицами, а также оперативно реагировать при обнаружении случаев такого использования.
Безопасность работы в Internet
Любой пользователь Internet рано или поздно сталкивается с проблемами безопасности. Ниже перечислены проблемы, возникающие у пользователей Internet наиболее часто, и методы борьбы с ними. Кроме того, рассмотрены некоторые меры безопасности, предотвращающие появление этих проблем. Важно знать, что серия элементарных мер безопасности защищает от 90% атак.
Воровство конфиденциальной информации
8.1.1. Что такое персональные данные и важно ли соблюдать их в секрете?
Персональные данные однозначно определяют личность пользователя при доступе в Internet. Доказательством права пользоваться теми или иными сервисами является проверка логина и пароля пользователя. Логин - имя или идентификатор; пароль - набор символов, который должен знать только владелец данного логина. Именно эта пара данных в общем случае и составляет персональные данные.
С точки зрения отношений клиента и провайдера услуг Internet, сохранность персональных данных обеспечивает корректный расход личного счета пользователя. При несоблюдении требований секретности по отношению к паролю, под логином определенного пользователя может работать некто, завладевший его персональными данными, и фактически крадущий денежный вклад со счета этого клиента.
Электронная корреспонденция также является персональной информацией, доступной только ее владельцу. Но при условии, что пароль для логина владельца никто кроме него не знает. Если это условие не соблюдается, конфиденциальность информации не обеспечивается. Любое обращение к сервисам Internet под именем и паролем определенного пользователя система считает обращением именно этого пользователя, кто бы на самом деле его ни осуществлял. Каким образом подобная информация может стать доступной?
Провокации по e-mail, world wide web и традиционным средствам связи
Провокация по e-mail
Стандартным сценарием такого вида атак является отсылка письма на e-mail пользователя. В письме имитируется обращение службы поддержки провайдера (расчетной части, абонентского отдела и т.п.) с просьбой указать ваш пароль якобы для устранения технических неполадок (профилактика или перенос сервера, обновление базы пользователей, и т.п.).
Адрес отправителя может быть подделан, и выглядеть верно, но надо иметь в виду, что в служебной информации электронного письма всегда можно задать отдельный адрес, по которому будет оправлен ответ.
По электронной почте могут прислать самого разного рода "предложения" и даже требования, исходящие якобы от Администрации провайдера (с подделанным обратным адресом), например, сменить свой пароль на указанный в письме.
Чтобы избежать срабатывания подобного рода провокаций, следует знать регламент общения работников провайдера с пользователями: все письма, исходящие от лица фирмы, отсылаются с определенного электронного адреса, который можно узнать в службе поддержки. Обычно эти письма даже не требуют ответа, а тем более сообщения вашего логина и пароля.
Провокация страницей web
Сценарий может частично совпадать с провокацией по e-mail. Пользователю приходит письмо с предложением посетить определенную страницу для проверки работы нового абонентского сервиса (или при временном переносе определенных сервисных страниц, профилактике и т.п.). На указанной странице (которая может повторять фирменный стиль официального веб-сайта) предлагается авторизация и строки для ввода логина и пароля.
Адрес официального сайта провайдера можно узнать в службе поддержки. О смене этого адреса провайдер всегда уведомляет своих клиентов.