ПРАВОВІ ТА ЕТИЧНІ ПИТАННЯ ВИКОРИСТАННЯ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ ТА ЗБЕРЕЖУВАНОЇ ІНФОРМАЦІЇ НА НОСІЯХ.

Сучасна інформаційна технологія, заснована на використанні комп'ютерної і телекомунікаційної техніки, перетворює не тільки комунікаційну сис­тему суспільства, але і його структури, зумовлює виникнення питань, що спонукають до перегляду власних переконань на суспільні відносини і час­то змінювати основи цих переконань. Зокрема ці питання торкаються як правової сфери так і етич­ної, і часто вимагають врегулювання з боку зако­нодавчої влади. Використовуючи обчислювальну техніку, програмне забезпечення ми в тій чи іншій мірі вирішуємо певні правові, соціальні та етичні питання,

Необхідність формування певних етичних та правових норм поведінки використання інфор­мації, засобів комп'ютерних технологій зумовлю­ють проведення занять з відповідної тематики. Пропонується провести з учнями обговорення проблеми вирішення етично‒моральних питань, що досить часто виникають при використанні обчис­лювальної техніки:

1. Припустимо, Ви використовуєте багатокористувацьку ОС, що дозволяє переглядати назви та вміст файлів, що належать іншим користува­чам. Чи буде перегляд даної інформації вигляда­ти так, ніби Ви ходите, без дозволу, у чужому незакритому будинку, чи це більше подібно на читання журналів, які пропонуються відвідувачам при очікуванні прийому у лікаря, адвоката, юри­ста тощо.

2. Коли файл знищується з диску вміст його, як правило, не вилучається, а просто відмічається як вилучений у таблиці розміщення файлів. Інфор­мація, що міститься у файлі, може зберігатися на диску протягом деякого часу, поки ця частина диску не буде повторно використана для розмі­щення нових даних. Чи етично відновлювати фай­ли, які використовувалися іншими людьми?

3. Ознайомитися з ліцензіями на використан­ня кількох провідних фірм виробників програм­ного забезпечення Microsoft, Borland, та ліцензією на вільнопоширюване програмне забезпечення GNU — GPL. Обговорити переваги та недоліки ліцензування програмного забезпечення розгляну­тих ліцензій.

Новітні засоби захисту інформації

Аутентифікація

Аутентифікація — це фактично процес перевірки індивідуальності суб'єкта, яким, у принципі, може бути не тільки людина, але і програмний процес. Узагальнюю­чи, можна сказати, що аутентифікація індивідів можлива за допомогою інформації, що збері­гається в різній формі.

Наприклад, це може бути:

• пароль, особистий номер, криптографічний ключ, мережева адреса комп'ютера в мережі;

• смарт‒карта, електронний ключ;

• зовнішність, голос, малюнок райдужної обо­лонки ока, відбитки пальців і інші біометричні характеристики користувача.

Аутентифікація дозволяє обґрунтовано і вірогідно розмежувати права доступу до інформації, яка зна­ходиться в загальному користуванні. Однак виникає проблема забезпечення цілісності і вірогідності інформатизації. Користувач має бути впевненим, що одержує доступ до інформації з джерела, що заслуговує довіри, і що дана інформація не моди­фікувалася без відповідних санкцій.

Пошук відповідності методом «один до од­ного» (за одним атрибутом) називається верифі­кацією. Такий метод відрізняється високою швидкістю і висуває мінімальні вимоги до об­числювальної потужності комп'ютера.

Пошук методом «один до багатьох» нази­вається ідентифікацією. Реалізувати подібний ал­горитм зазвичай не тільки складно, але й доро­го. Наприклад, в операційних системах Windows для аутентифікапії вимагаються два об'єкти — ім'я користувача і пароль. При аутентифікації за тех­нологією ідентифікації відбитків пальців ім'я вводиться для реєстрації, а відбиток пальця за­міняє пароль. У цьому випадку ім'я користува­ча є покажчиком для одержання його обліко­вого запису і перевірки відповідності «один до одного» між шаблоном зчитаного під час реє­страції відбитка і раніше збереженим шаблоном для даного імені користувача. За іншого способу введений під час реєстрації шаблон відбитка пальця необхідно зіставити з усім на­бором збережених шаблонів.

У виборі способу аутентифікації має сенс врахо­вувати кілька основних факторів:

• цінність інформації;

• вартість програмно‒апаратного забезпечен­ня аутентифікації;

• продуктивність системи;

• відношення користувачів до застосовуваних методів аутентифікації;

• специфіку (призначення) інформаційного комплексу, що захищається.

Очевидно, що вартість, а отже, якість і надійність засобів аутентифікації мають бути пропорційними важливості інформації. Окрім того, підвищення про­дуктивності комплексу, як правило, супровод­жується його дорожчанням (хоча і не завжди).

Розглянемо деякі існуючі нині методи апарат­ної і біометричної аутентифікації.

У відповідь на зростаючі потреби в системах забезпечення комп'ютерної безпеки були розроб­лені різні методи аутентифікації особистості. Нині на ринок виходять біометричні пристрої для вери­фікації й ідентифікації користувачів комп'ютерів за такими індивідуальними характеристиками лю­дини, як відбитки пальців, риси обличчя, голос, рай­дужна оболонка ока, форма долоні і підпис. Окрім того, біометричні технології обіцяють бізнесу знач­но скоротити мільярдні щорічні збитки в бізнесі через шахрайство з кредитними картами і чеками. Можливо, що ще помітніше виявиться економія на витратах у зв'язку із забезпеченням захисту, ос­кільки всі частіше замкнені двері (і комп'ютери) будуть доступні тільки тим, хто має на це право.

Важливо відзначити, що всі біометричні засо­би аутентифікації в тій чи іншій формі викорис­товують статистичні властивості деяких характе­ристик індивіда. Це означає, що результати засто­сування таких засобів носять вірогідний характер і можуть змінюватися раз від разу. Крім того, ніякі подібні засоби не застраховані і від помилок аутен­тифікації. Існує два види помилок:

помилкове відмовлення (не визнали «свого»)

і помилковий допуск (пропустили «чужого»).

Треба сказати, що тема ця в теорії ймовірностей добре вивчена ще з часів розвитку радіолокації. Вплив помилок на процес аутентифікації оцінюється за допомогою порівняння середніх ймовірностей помилкового відмовлення і помилкового допуску. Як показує практика, ці дві ймовірності обернено про­порційні, тобто під час спроби посилити контроль підвищується імовірність не пустити в систему «свого», і навпаки. Таким чином, у кожному ви­падку необхідно шукати деякий компроміс. У се­редньому, значення цих ймовірностей не переви­щує 15 і 5% відповідно.

Проте необхідно відзначити, що навіть за са­мими песимістичними оцінками біометрія виграє в усіх порівняннях, оскільки вона значно надій­ніша, ніж інші існуючі методи аутентифікації.

Відбитки пальців

Урядові і цивільні організації усього світу вже давно використовують відбитки пальців як основ­ний метод встановлення особи. Крім того, відбит­ки є найбільш точною, «дружньою» до користува­ча й економічною біометричною характеристи­кою для застосування в комп'ютерній системі ідентифікації. Зокрема, даною технологією в США користаються відділи транспортних засобів адмі­ністрацій ряду штатів, ФБР, MasterCard, Секрет­на служба. Міністерство фінансів, Агентство на­ціональної безпеки. Міністерство оборони і т.д. Усуваючи потребу в паролях для кінцевих корис­тувачів, технологія розпізнавання відбитків пальців скорочує число звертань у службу підтримки і зни­жує витрати на мережеве адміністрування.

Системи для розпізнавання відбитків пальців розділяють на два типи: для ідентифікації AFIS (Automatic Fingerprint Identification Systems) і для ве­рифікації. У першому випадку використовуються відбитки всіх десяти пальців. Подібні системи зна­ходять широке застосування в судочинних орга­нах. Пристрої верифікації зазвичай оперують з інформацією про відбитки одного, рідше кількох пальців. Скануючі пристрої бувають, як правило, трьох типів:оптичні, ультразвукові і на основі мікрочіпа.

Одноразова реєстрація відбитка пальця люди­ни на оптичному сканері займає усього кілька хви­лин. Мініатюрна CCD‒камера, виконана у вигляді окремого пристрою або вбудована в клавіатуру, робить знімок відбитка пальця. Потім, за допо­могою спеціальних алгоритмів, отримане зобра­ження перетвориться в унікальний «шаблон» — карту мікроточок цього відбитка, що визначають­ся наявними в ньому розривами і перетинаннями ліній. Цей шаблон (а не сам відбиток) потім шиф­рується і записується в базу даних для аутентифікації мережевих користувачів. У одному шаблоні зберігається до 40—50 мікроточок. При цьому ко­ристувачі можуть не турбуватися про недотор­канність свого приватного життя, оскільки сам відбиток пальця не зберігається і не може бути відтворений по цих мікроточках.

Перевагою ультразвукового сканування є мож­ливість визначити необхідні характеристики на брудних пальцях і навіть через тонкі гумові рука­вички. Варто відзначити, що сучасні системи роз­пізнавання не можна обдурити, навіть підсунув­ши їм ампутовані пальці оскільки мікрочіп вимі­рює фізичні параметри шкіри.

Розробкою подібних систем займається багато фірм‒виробників. Щодо вартості устаткування, то для побудови комплексів для верифікації зазвичай потрібно від кількох сотень до кількох тисяч до­ларів. Значно дорожче коштують системи AFIS. Наприклад, програмно‒апаратний комплекс, ви­користовуваний правоохоронними органами, при­значений для збереження інформації про 5 млн. осіб, що виконує близько 5 тис. пошуків на день, обійдеться в кілька мільйонів доларів.

Ідентифікація людини по геометрії обличчя являє собою більш складну (з математичної точ­ки зору) задачу, ніж розпізнавання відбитків пальців, і, крім того, вимагає дорожчої апаратури (цифрової відео‒ або фотокамери, а також плати захоплення відеозображення). Зазвичай камера встановлюється на відстані в кілька десятків сан­тиметрів від об'єкта. Після одержання зображен­ня система аналізує різні параметри обличчя (на­приклад, відстань між очима і носом). Більшість алгоритмів дозволяє компенсувати наявність оку­лярів, капелюха і бороди в досліджуваного індив­іда. Було б наївно припускати, що за допомогою подібних систем можна одержати дуже точний результат. Незважаючи на це в деяких країнах вони досить успішно використовуються для верифікації касирів і користувачів депозитних сейфів.

Відзначимо, що поряд із системами для оцін­ки геометрії обличчя, існує устаткування для роз­пізнавання обрисів долонь рук. При цьому оці­нюється більш 90 різних характеристик, включа­ючи розміри самої долоні (в трьох вимірах), дов­жину й ширину пальців, обрис суглобів тощо. Вартість подібного устаткування не перевищує кількох тисяч доларів.

Багато фірм випускають програмне забезпечен­ня, здатне ідентифікувати людину по голосу. Тут оцінюються такі параметри, як висота тону, мо­дуляція, інтонація і т.п. На відміну від розпізна­вання зовнішності, даний метод не вимагає доро­гої апаратури — достатньо лише звукової плати і мікрофона, отже, вартість обладнання в сумі скла­дає не більше 100 дол. за 1 робоче місце.

Надійне розпізнавання забезпечують системи, що аналізують рисунок райдужної оболонки людського ока. Справа в тім, що ця характеристи­ка досить стабільна і не міняється практично про­тягом усього життя. Помітимо також, що райдужні оболонки правого і лівого ока мають різний ма­люнок.

Розрізняють активні і пасивні системи розпіз­навання. В системах першого типу користувач повинен сам налагодити камеру, пересуваючи її для більш точного наведення. Пасивні системи більш прості у використанні, оскільки настрою­вання камери в них здійснюється автоматично, і мають дуже високу надійність.

Одна з технологій аутентифікації заснована на унікальності біометричних характеристик руху людської руки під час письма. За допомогою стан­дартного дігітайзера і ручки користувач імітує, як він зазвичай ставить підпис, а система зчитує па­раметри руху і звіряє їх із тими, що були зазда­легідь уведені до бази даних. Якщо зразок підпису збігається з еталоном підпису, то система при­кріплює до документа, що підписується, інфор­мацію про ім'я користувача, адресу його елект­ронної пошти, посаду, про час і дату, параметри підпису, що включають більше 42 характеристик динаміки руху (напрямок, швидкість, прискорен­ня тощо). Ці дані шифруються, потім для них об­числюється контрольна сума, і все це шифруєть­ся ще раз, що дає змогу створити так звану "біо­метричну мітку". Для настроювання системи за­реєстрований користувач знову від п'яти до деся­ти разів виконує процедуру підписання докумен­та, що дає змогу одержати всереднені показники і довірчий інтервал. Вперше дану технологію вико­ристовувала компанія РеnОр.

Вартість обладнання в цьому випадку не пере­вищує 70—80 доларів, а витрати на програмне за­безпечення залежать від кількості користувачів.

Варто також зазначити, що на стадії тестуван­ня знаходяться системи, що дають змогу викону­вати аутентифікацію користувачів за тепловим полем обличчя, малюнком кровоносних судин руки і навіть за обрисом вух. Остання технологія відома ще з XIX століття, однак масового поши­рення так і не набула.

Одним із кардинальних способів вирішення проблеми безпеки є використання так званих смарт‒карт (smart cards). Незабаром ці пристрої утворять один із найзначніших сегментів ринку електронних продуктів для кінцевих користувачів.

Застосування смарт‒карт вимагає наявності на кожному робочому місці спеціального (терміналь­ного) пристрою зчитування, підключеного до ком­п'ютера, що не потребує залучення користувача до процесу взаємодії карти і сервера аутентифікації. Використання пристрою читання смарт‒карт (і кла­віатур із пристроями читання) допомагає захистити корпоративні дані, оскільки у таких комплексах для одержання доступу вже недостатньо тільки паролю, який легко вкрасти або розпізнати.

Отже, проблема безпеки особливо гостро стоїть у таких підрозділах, як кадрова служба, дослід­ницькі, юридичні та бухгалтерські відділи. Саме в цих підрозділах засоби захисту (зокрема й смарт‒карти) відіграють важливу роль у загальній сис­темі безпеки фірми.

Продукти для роботи зі смарт‒картами дають змогу застосовувати цифрові підписи для відправ­лення захищеної електронної пошти і здійснен­ня електронних транзакцій як у глобальних, так і в локальних мережах. Удосконалені пристрої зчи­тування смарт‒карт (і клавіатури з пристроями зчитування) додатково забезпечують:

• безпечне введення особистого ідентифікацій­ного номера і захист набору мікросхем обробки трансакцій, що дає змогу убезпечити права досту­пу користувачів;

• захищене завантаження та обробку конфі­денційної інформації за допомогою алгоритмів аутентифікації і шифрування;

• відображення інформації на TFT‒індикаторі для візуального контролю за здійсненням трансакцій.

На завершення хотілося б зазначити, що най­більшу ефективність захисту забезпечують систе­ми, у яких смарт‒карти сполучаються з іншими, наприклад з біометричними, засобами аутентифі­кації. Отже, комбінуючи різні способи біометрич­ної й апаратної аутентифікації, можна одержати дуже надійну систему захисту.

Контрольні запитання

1. Історія створення комп’ютерних вірусів.

2. Поясніть процес зараження комп’ютерними вірусами.

3. Перелічіть наслідки дії комп’ютерних вірусів.

4. Перелічіть основні типи комп’ютерних вірусів.

5. Сучасна класифікація комп’ютерних вірусів.

6. Перелічіть “найсвіжіші” комп’ютерні віруси.

7. Методи захисту від комп’ютерних вірусів.

8. Огляд антивірусних програм.

9. Перелічіть основні проблеми захисту інформації.

10. Як забезпечується фізична безпека комп’ютера.

11. Як забезпечити захист під час роботи в мереженому просторі.

12. Правові та етичні питання використання програмного забезпечення.

13. Новітні засоби захисту інформації.