website templates free download


Аннотация. В данной статье проанализировано возможное неправомерное воздействие на персональные данные, в частности, на биометрические данные, пользователя оставленные на портале Gosuslugi.ru, а также критерии их защиты.

Ключевые слова: информационная безопасность, векторы хакерских атак, информационные технологии, персональные данные, Gosuslugi.ru, биометрия.

В современном информационной безопасности существует большое количество способов как сокрытия, так и получения заведомо защищенных данных. Как показывает практика, интерес у хакеров могут вызывать не только корпоративные, но и персональные данные. Агрегатором потенциально уязвимых данных безусловно может считаться правительственный портал Gosuslugi.ru. Сайт был создан как инфраструктура электронного правительства и обеспечивает доступ к государственным услугам в электронном виде. Проще говоря, это такой портал, где любой пользователь интернета может найти практически любую важную юридическую информацию. Также представляется возможность подавать заявки на услуги в разных категориях. Категории, представленные на сайте Gosuslugi.ru: 1. Семья и дети 2. Паспорта, регистрации, визы 3. Транспорт и вождение 4. Образование 5. Налоги и финансы 6. Здоровье 7. Пенсия, пособия и льготы 8. Лицензии, справки, аккредитации 9. Квартира, строительство и земля 10. Безопасность и правопорядок 11. Работа и занятость 12. Культура, досуг, спорт 13. Бизнес, предпринимательство, НКО 14. Производство и торговля 15. Информация, связь и реклама 16. Природопользование и экология Для того чтобы получить все предоставляемые услуги на сайте можно указать свои паспортные данные, СНИЛС, ИНН, загранпаспорт, полис ОМС, водительское удостоверение. В соответствии с нужными услугами список документов может расшириться. Таким образом в базе данных портала пользователь оставляет достаточно информации, которая может быть использована злоумышленником.

Образование и цифровой мир

Переходя к видам атак, применяемых самим хакером для добычи нужных данных, стоит упомянуть, что всегда существует уязвимость со стороны самого персонала, работающего над безопасностью сайта и серверов с данными. Phishing – вид атаки, который подразумевает в себе подмену существующего веб ресурса, а конкретнее формы авторизации для пользователя или проверки подлинности аккаунта, и использование ссылки на клонированную версию для отправки жертве по почте или прямой ссылкой. Жертва, в свою очередь, перейдя по ссылке и введя данные для авторизации, самолично отдает свои данные хакеру. Социальная инженерия – достаточно разрушительный вид атаки, так как использует не технические уязвимости, а человеческий фактор. Путем обычного звонка сотруднику атакуемого объекта и запроса на предоставления некоторой информации, представившись нужным специалистом. Существуют разные схемы использования такой атаки, всё зависит от цели её проведения. SQL Injection – старый вид осуществления атаки, но заслуживающий внимания. Суть метода опирается на структуру баз данных и запросы посылаемые при помощи SQL кода с целью манипуляции с ней. Злоумышленник может используя незащищенность БД и, используя неформализованные запросы, просматривать, удалять или искажать информацию.

Для защиты от таких атак можно использовать подготовленные запросы или, достаточно, разграничивать права для доступа к БД[3]. XSS(CSS) – (Cross-Site Scripting) – данный вид атаки концентрируется на пользователе, а не на самой базе данных. Такой метод можно внедрить и инициировать с помощью JavaScript и iFrame. Целью атаки является cookie файлы пользователя. Завладев этими файлами можно получить полную информацию о пароле и логине пользователя. Защититься от такой атаки можно введя фильтрацию для запросов пользователя, так как атаку XSS можно произвести даже из формы комментариев на сайте. CSRF– (Cross-Site Request Forgery) – сетевая атака, которая внедрена на сайт и запускается от любого нажатия в любом месте на странице. Сам пользователь по неосторожности может её запустить. Деструктивная деятельность может быть любая, какую захочет сам хакер. MITM – (Man-In-The-Middle) – атака человека посередине самый распространённый вид атаки. Целью хакера выступает пакеты, которые передаются по сети от пользователя к веб-ресурсу или наоборот. Подменив содержимое пакетов, можно внедрить любую нужную хакеру нагрузку в пакет данных. Защитой от этого послужит SSL или TLS сертификация и использование надежных протоколов защиты. Brute Force – грубый, как понятно из перевода, перебор паролей и логинов. Сейчас практически каждый сайт защищен от такой атаки с помощью captcha или лимитом неправильного подбора пароля и логина. Также в интернете можно найти слитые базы паролей и логинов, что упрощает поиск нужной комбинации[2].

Также стоит упомянуть DDOS-атаки, как самый распространенный вид атаки на сетевой ресурс. Создание прецедента на отказ в доступе не направлен на данные пользователя или саму базу данных, он направлен на выведение из строя сегментов сети при помощи большого количества вызовов с целью борьбы с конкурентом, вымогательства или развлечения. Для защиты нужно настраивать фаерволл или отменять, часто повторяющиеся за малый промежуток времени, запросы и соответственная их фильтрация. Все перечисленные методы могут использоваться в комбинации друг с другом. Всё зависит от защищенности атакуемой системы и знаниях хакера. Таким образом сайт Gosuslugi.ru может быть подвержен любому из представленных векторов атак, если он не имеет комплексную защиту от них. Также с недавнего времени на сайте имеется возможность использовать вид аутентификации при помощи технологий биометрии. Внедрение биометрии должно преследовать следующие правовые цели: во-первых, дать физическим лицам возможность лучше контролировать собственные данные; во-вторых, государство должно более эффективно управлять системами обработки таких данных; в-третьих, следует обязать ответственных лиц, осуществляющих обработку такой информации, вводить новые меры эффективной защиты электронных документов.

Анализируя современную правовую доктрину и зарубежное законодательство о биометрических данных позволяет сформулировать один из важных постулатов о том, что этот вид социальной информации должен быть предметом особого внимания со стороны государств. Биометрия часто представляется как эффективная альтернатива использованию множества паролей, которые сложны для запоминания. Биометрические данные позволяют в любой момент идентифицировать заинтересованное лицо по присущим только ему биологическим особенностям (отпечатки пальцев, сетчатка глаза, рисунок вен рук). Поэтому их обработка создает значительные риски для защиты прав и свобод граждан. Очевидно, что в отличие от пароля, невозможно просто избавиться от биометрических индивидуальных характеристик или их легко изменить. Утечка биометрических данных (например, путем воспроизведения отпечатка пальца и повторного его использования без ведома соответствующего лица) может иметь ощутимые последствия для заинтересованного лица: он больше не сможет использовать скомпрометированные биометрические данные, а также впоследствии надежно себя идентифицировать [1]. На основании всего этого можно выделить следующие критерии использования биометрических данных: 1. Пользователь должен самостоятельно решать использовать биометрическую аутентификацию или нет.

2. Биометрические данные должны храниться в устройстве в изолированной среде и недоступны для передачи вне системы: за исключением биометрической обработки на устройствах, отправляющих сведения в удаленную базу данных, а также любой возможности внешнего вмешательства в систему по биометрическим данным 3. Биометрические данные должны хранится в зашифрованном виде с использованием криптографического алгоритма, защищенного ключами.

Библиографический список 1. Рассолов И.М., Чубукова С.Г., Микурова И.В. Биометрия в контексте персональных данных и генетической информации: правовые проблемы // Lex Russica. 2019. №1 (146). URL: https://cyberleninka.ru/article/n/biometriya-vkontekste-personalnyh-dannyh-i-geneticheskoy-informatsii-pravovye-problemy (дата обращения: 10.11.2019). 2. Разработка веб-приложений: Теория и практика разработки современных клиентских веб-приложений. // «Национальный Открытый Университет «ИНТУИТ» URL: https://www.intuit.ru/studies/professional_retraining/942/courses/462 (дата обращения: 1.11.2019). 3. Как взломать сайт. Виды взлома и защита от них // Make Info URL: https://www.make-info.com/how-to-hack-and-defence-website/ (дата обращения: 25.10.2019). 4. Политика конфиденциальности // Госуслуги. Доступ к сервисам электронного правительства URL: https://esia.gosuslugi.ru/registration/policiesPrivacy.xhtml (дата обращения: 27.10.2019).

Амосов Н.М., Тихонова Ю.А.


Метки: ,


Мы очень признательны Вам за комментарии. Спасибо!

Комментарии для сайта Cackle

ПОДПИСАТЬСЯ

Ежемесячные обновления и бесплатные ресурсы.