В статье «Безопасная почтовая связь» мы говорили о том, каким угрозам может подвергаться электронная почта пользователя и целой компании, а также о защите от этих угроз. Но большинство средств защиты почты настолько сложны, что ими реально могут воспользоваться только компьютерные специалисты. А что же делать пользователю, если он, например, решил поработать над документами дома (ну не успел все сделать, с кем не бывает), а файлы пересылает на домашний компьютер по электронной почте? Где может быть угроза безопасности для почты с рабочими документами компании? Как от нее защититься? Сегодня мы ответим на эти вопросы.
Рассмотрим реальную ситуацию, с которой, наверное, сталкивался каждый, — не успел завершить дела в офисе, взял работу домой. Брать работу на дом, как правило, означает работать над электронными документами на домашнем компьютере. Способов доставки информации на этот компьютер достаточно много. Можно, например, скинуть файлы на дискету или zip-носитель. Однако большинство пользователей уже «переросло» этот метод доставки и чаще использует электронную почту. Об удобстве электронной почты говорить не приходится — был бы телефон, да компьютер работал…
Однако, поработав достаточное количество времени в Сети, пользователь приходит к выводу, что надо как-то защищать свою информацию — от вирусов, хакеров и тому подобных субъектов… Да и политика информационной безопасности во многих компаниях сейчас налажена хорошо и не дает дремать. Возникает вопрос: где угроза конфиденциальности информации и как с нею бороться?
Угроза безопасности информации возникает при ее пересылке и хранении. На коммуникационных узлах во время пересылки почта может копироваться или попросту перехватываться злоумышленниками — хакерами. К тому же почтовые ящики, которые заводят себе частные пользователи в бесплатных почтовых сервисах, обычно не защищены.
Кроме хакеров, которые традиционно считаются субъектами угроз, о простом пользователе «заботятся» и спецслужбы — существует «Система оперативно-розыскных мероприятий» (сокращенно СОРМ): согласно директиве «компетентные органы» могут устанавливать аппаратуру, копирующую всю переписку у провайдеров интернет-услуг.
С высокой степенью вероятности это могут сделать по заказу конкурентов и недобросовестные сотрудники вашего провайдера, и сторонние хакеры. При помощи, например, сниффера пакетов можно добраться до самого почтового ящика, взломав сервер. Методы перехвата почты на самом деле не так уж сложны, как это может показаться…
Простой пользователь едва ли сможет обнаружить, что его почту перехватили. Такая статистика не ведется даже в деловой среде. Если факт обнаруживается (а это происходит, как правило, несколько позже, например, по поведению конкурентов на рынке или появлению «жареных» фактов в прессе), пострадавшие компании стараются сие умолчать. Однако это не позволит избежать внутрикорпоративных «разборок»: всегда можно выяснить, кто работал над разглашенными документами, куда их пересылал и т. д. Так что если не хотите попасть под «железную руку» службы безопасности фирмы, в которой работаете, необходимо все продумать заранее.
Кто предупрежден, тот вооружен
Итак, светлые умы нашего времени придумали множество способов сохранения конфиденциальности информации — например, можно прятать секретный текст в графическом файле. Разумеется, обнаруживается он только при применении специальных средств. Не будем углубляться в этот достаточно фантастичный метод, тем более что большой массив информации, например, 20-страничный аналитический отчет, в него не вставишь (это бесполезно, так как, оценив мегабайтный «вес» файла графического формата, злоумышленник сразу поймет, что внутри есть что-то интересненькое…). Да и совершать подобные упражнения едва ли кому захочется — время дорого, а навыков никаких.
Наиболее эффективный способ защиты электронной почты — шифрование. Для защиты почты при пересылке (конечно, не только для этой цели) используется протокол SSL (Secure Socket Layer). Сегодня данную услугу по защите почты в Рунете предлагают очень немногие провайдеры и сервисы электронной почты. Наиболее известные из бесплатных сервисов электронной почты — это Hotbox (www.hotbox.ru), Zmail (www.z-mail.ru) и S-Mail.com (www.s-mail.com), хотя последний по уровню защищенности нельзя приравнивать к остальным — он гораздо выше по защите (то есть предлагается не только SSL).
В Hotbox и Zmail защита почты включается по желанию пользователя (соответствующей ссылкой), в S-Mail.com она осуществляется автоматически. Что же касается защиты писем в почтовых ящиках, то здесь проблема сложнее.
Тип защиты, включающий пересылку и хранение (полный «end-to-end»), очень труден в реализации. У нас он не получил пока такого широкого распространения, как на Западе (в Рунете его реализует только сервис защищенной почты S-Mail.com.). Защита основана на применении сильных криптоалгоритмов и осуществляется таким образом, что если два абонента пользуются сервисом, никто не может прочитать их переписку: в защищенном виде она представляет собой хаотичный набор символов, так же и хранится в почтовом ящике. При этом защищаются и прикрепленные файлы. Таким образом, если завести себе ящик на S-Mail.com, можно смело посылать секретные письма самому себе, а так как сервис имеет web-интерфейс, то доступ к нему несложный.
Если же домашний почтовый ящик уже есть, а заводить еще один — не рационально, то следует вспомнить, что «спасение утопающих…» и все сделать самому. А делать придется следующее: поставить криптографический модуль в используемой почтовой программе или поставить на свой компьютер программу, шифрующую файлы. Отмечу, что программа (модуль) должна стоять на обоих компьютерах — на рабочем и домашнем. Рассмотрим наиболее распространенный и удобный способ — применение защиты на основе (де-факто) стандартa шифрования PGP — Pretty Good Privacy в наиболее распространенных почтовых клиентах, а также самую популярную защитную программу.
«Крипто» на страже переписки
Работа криптографических модулей в почтовых клиентах состоит в том, что они шифруют саму переписку и удостоверяют личность отправителя письма во избежание подделок. Управлять их работой не так сложно, как кажется на первый взгляд.
Рассмотрим работу модуля OpenPGP в наиболее популярном на российских виртуальных просторах почтовом клиенте The Bat! (www.ritlabs.com). Модуль шифрует корреспонденцию на основе двух ключей: публичного и секретного. Сначала модуль надо создать: это несложный, интуитивно понятный процесс, доступ к которому осуществляется через «Управление ключами OpenPGP» в меню «Инструменты».
В процессе генерации ключей вам будет предложено выбрать величину ключа в битах (чем больше ключ, тем сложнее его раскрыть).
В большинстве случаев рекомендуемой по умолчанию длины в 2048 бит более чем достаточно для любых применений. После генерации вы должны переслать публичный ключ самому себе на другой адрес электронной почты или же, например, перенести его на дискете. Ту же процедуру необходимо проделать на другом компьютере, то есть с другой стороны будущего защищенного канала. Обменявшись публичными ключами и импортировав их в модули почтовых клиентов, можете считать, что к защите переписки вы готовы. Главная особенность такого метода защиты выражается в том, что, зашифровав с помощью публичного ключа письмо, уже невозможно расшифровать его без секретного ключа, который хранится у вас на другом компьютере и защищен паролем.
Поместив в тело письма необходимую информацию, вы шифруете им почту через меню «PGP» -> «Зашифровать перед отправкой». Расшифровка пришедшего письма осуществляется также через меню «Инструменты» -> «OpenPGP» -> «Расшифровать…». Кроме обыкновенного The Bat! существует еще и The Bat! Pro, которая позволяет серьезно расширить средства зашиты переписки. Однако функциональность программы настолько богата, что ее рассмотрение потребует отдельной статьи.
Подобные процедуры при защите переписки нужно производить и в Outlook, и Outlook Express. Однако встроенных модулей PGP в этих почтовых клиентах не существует. Для этого необходимо установить программу PGP Desktop Security — одну самых популярных программ по защите информации от несанкционированного доступа. При ее инсталляции в Outlook и Outlook Express устанавливаются соответствующие модули. Рассмотрим PGP Desktor Security версии 7.0.3.
Работа этой программы основана на асимметричной криптографии, то есть шифрование производится на основе публичного и секретного ключа. В состав программы входят модуль PGPnet (персональный Firewall, система обнаружения атак и средство организации виртуальных частных сетей — VPN), система управления ключами PGPkeys, средство создания защищенного пространства PGPdisk, а также модули (plug in) для почтовых программ Outlook, Outlook Express и Eudora. В процессе установки вам предложат выбрать комплектность пакета, который устанавливается на вашем компьютере.
Евгений Суржиков