2015-10-22
544
Предположим, что вы собираетесь сообщить номер своей кредитной карты, покупая что-либо в Интернете. Откуда вы знаете, что этот сайт занимается именно тем, чем, как вы думаете, он занимается? Предположим, что брокерская фирма получает через свой веб-сайт требование клиента продать все его акции. Откуда фирма знает, что требование исходит от клиента, а не от мошенника? Система протоколов SSL (Secure Sockets Layer — протокол защищенных сокетов) использует технику шифрования с открытым ключом для разрешения таких вопросов, Она позволяет зашифровать сообщения, передаваемые между клиентом и сервером. Для того чтобы установить обмен информацией с помощью протокола SSL, и клиент, и сервер должны предварительно зарегистрироваться на третьем сайте, который называется центром сертификации открытых ключей. Затем клиент связывается с сервером, используя протокол SSL, после чего клиент и сервер связываются с центром сертификации для подтверждения подлинности друг друга. Во время процесса идентификации они получают ключи, необходимые для расшифровки сообщений.
Большинство веб-браузеров поддерживают протокол SSL, поэтому его использование даже незаметно для пользователя. Как только пользователь зарегистрировался в центре сертификации, протокол SSL можно активизировать, связавшись с сервером с помощью URL, который начинается с https, а не http, как обычно.
Существует много спорных правовых вопросов, касающихся несанкционированного доступа к информации, некоторые из которых затрагивают разделение сторон, обладающих и не обладающих полномочиями. Например, имеет ли право работодатель контролировать обмен информацией между сотрудниками? В какой степени поставщик услуг Интернета должен иметь доступ к информации, которой обмениваются его клиенты? Несет ли поставщик услуг Интернета ответственность за содержание сообщений клиентов? Перед такими вопросами стоит современное правовое общество.
В Соединенных Штатах большинство этих вопросов регулируются законом ЕСРА 1986 года (Electronic Communication Privacy Act — закон о защите электронных систем связи), который первоначально разрабатывался для контроля прослушивания телефонных переговоров. Хотя этот закон достаточно длинный, его суть можно выразить в нескольких коротких цитатах. А именно он утверждает, что:
«За исключением случаев, специально оговоренных в этой главе, любое лицо, намеренно перехватывающее, пытающееся перехватить или побуждающее к перехвату или попытке перехватить речевое или электронной сообщение... подлежит наказанию согласно разделу 4 или преследованию по суду согласно разделу 5».
и
«...любому лицу или организации, поставляющей услуги электронной связи, запрещается разглашать содержание информации, передаваемой по каналам связи, какому-либо лицу или организации, кроме адресата или предполагаемого получателя этой информации или представителя адресата или предполагаемого получателя».
Закон ЕСРА утверждает право человека на конфиденциальность информации. Перехватывать чьи-либо сообщения, не обладая соответствующими полномочиями, незаконно. Также противозаконно, чтобы поставщик услуг Интернета разглашал информацию о сообщениях своих клиентов. Однако закон также утверждает следующее:
«Не является противозаконным... когда должностное лицо, работодатель или представитель Федеральной комиссии связи перехватывает электронные сообщения или речевые сообщения, передаваемые по радио, разглашает или использует информацию, добытую таким образом, при исполнении служебных обязанностей и при осуществлении Комиссией контроля, который ведется согласно главе 5 раздела 47 кодекса Соединенных Штатов».
Следовательно, закон ЕСРА дает Федеральной комиссии связи право контролировать информацию, передаваемую с помощью электронных систем связи с некоторыми ограничениями. Это приводит к возникновению достаточно сложных вопросов. Во-первых, для того чтобы Комиссия могла осуществлять свои права, предусмотренные законом, системы связи должны быть построены и запрограммированы таким образом, чтобы информацию, передаваемую по ним, можно было контролировать. Осуществление этого являлось целью закона CALEA (Communications Assistance for Law Enforcement Act — закон о содействии правоохранительным органам в области коммуникации). Этот закон требует, чтобы предприятия связи модифицировали свое оборудование для содействия прослушиванию. Однако приведение в действие этого закона оказалось сложной и дорогостоящей задачей, поэтому сроки приведения его в действие были продлены.
Более спорный вопрос — это конфликт между правом Комиссии контролировать информацию и правом пользователей использовать шифрование. Кроме того, если сообщения, которые подлежат контролю, хорошо зашифрованы, то их перехват становится просто бесполезным. Правительства Соединенных Штатов,
Канады и Европы рассматривают вопрос о создании систем, которые бы требовали регистрации ключей шифрования. Но мы живем в мире, где шпионаж в бизнесе стал так же распространен, как военный шпионаж. Следовательно, очевидно, что введение регистрации ключей шифрования причинит неудобства многим законопослушным организациям и гражданам. Насколько безопасной может быть система регистрации?
В качестве примера вандализма можно привести такие явления, как компьютерные вирусы и черви. Вирус (virus) — это сегмент программы, который подключает себя к другим программам вычислительной системы. Например, вирус может поместить себя в начало программы, находящейся в системе, чтобы каждый раз во время выполнения программы первым выполнялся вирус. Вирус может выполнять разрушительные действия, которые заметны сразу, или же искать другие программы, к которым он может подключиться. Если инфицированную программу перенести на другую машину с помощью сети или гибкого диска, то вирус начнет заражать программы этой машины, как только будет выполнена инфицированная программа. Так вирус перемещается от машины к машине. Иногда вирусы создаются так, что они распространяются до выполнения некоторого заранее заданного условия, такого как наступление определенной даты. Когда это условие выполняется, вирус производит разрушительный действия. Это повышает вероятность того, что вирус инфицирует большее количество машин, прежде чем его обнаружат.
Термин «червь» (worm) применяется по отношению к самостоятельным программам, которые пересылают себя по сети, размещаются в машинах и передают себя по сети дальше. Так же как и вирусы, эти программы могут просто воспроизводить себя или причинять какой-либо вред.
