Dlaczego mówi się, że Internet jest niezaufaną siecią?

Z Wikipedii

W dziedzinie bezpieczeństwa komputerowego strefa DMZ (czasami nazywana siecią obwodową) to fizyczna lub logiczna podsieć, która zawiera i udostępnia usługi zewnętrzne organizacji większej, niezaufanej sieci, zwykle Internetowi.

Dlaczego mówi…

większa niezaufana sieć, zwykle Internet.

Często widzę, że Internet to sieć niezaufana. Czy są tego jakieś powody?

Lubię analogie. Ty też powinieneś.

Nie ufaj internetowi. To straszne.

Wyobraź sobie, że internet to ocean. Jest dość duży, imponujący i pełen dziwnych i cudownych stworzeń, które mogą chcieć zjeść cię żywcem. Na szczęście dla ciebie od najmłodszych lat uczysz się, że gdziekolwiek pójdziesz, będzie tam kilka stworzeń, które nie mogą się doczekać, by skubać twoje wnętrzności, ale że mają około 30 stóp długości i są tak rzadkie widząc, prawdopodobnie wygrasz na loterii 3 razy z rzędu, zanim się jeden po drugim, i nie powinieneś się o to zbytnio przejmować. Czego nie nauczyli cię w szkole, że te gryzaki są dosłownie wszędzie i są w różnych rozmiarach.

Wasze wnętrzności są bardzo ważne i nie chcecie, żeby coś się w nich gryzło. Będąc wytrwałym człowiekiem zdeterminowanym do pływania, starasz się znaleźć sposób na pływanie bez opieki na świecie, wiedząc, że nie możesz być tym, którego szczęście jest tak krótkie, aby skubnąć.

Na szczęście dla was twoi rodzice są weteranami Nibbler War of the 70's i częściowo rozwiązali problem, otaczając się klatkami Faradaya. Więc, wsadzili cię do klatki (pomimo twoich protestów) i zrzucili do oceanu z jakimś sprzętem do nurkowania. W swojej klatce jesteś bezpieczny od zjadających zwierzęta morskie i możesz pływać z radością w jej obrębie bez obawy o morskie stworzenia. Może klatka nie jest tak ciasna, jak uważali to twoi rodzice, i zdołasz wysunąć swoje wyrostki (na które zjadające ryby ryby wskoczą błyskawicznie, jeśli cię wyczują); ale to wina twoich rodziców, że nie włożyli wystarczającej liczby krat do klatki.

Ok, to dość okropna analogia, ale o to chodzi; duże firmy nie chcą, aby ich dane zostały narażone na szwank, więc umieszczają je w prywatnych sieciach, w których wiedzą, że hakerzy nie będą w stanie ich dotknąć bez wcześniejszego włożenia dużego wysiłku (lub niesamowitej inżynierii społecznej). Ale ponieważ nadal możesz uzyskać dostęp do Internetu, istnieje szansa, że ​​Twój komputer zostanie przejęty, co naraziłoby większą sieć.

Ponieważ firma kontroluje, przez jakie informacje może przechodzić, może zmniejszyć szkody witryn publicznych i być szczęśliwym, że żadne z ich wewnętrznych elementów sieci nie zostało ujawnione

Aby odpowiedzieć „dlaczego Internet jest niezabezpieczony?”, Musimy zrozumieć „Jak działa Internet?”. I idąc o krok dalej, zapytajmy: „Czym jest Internet?”.

Co to jest Internet?

W podręczniku dla młodzieży zdefiniowany zostanie Internet jako sieć sieci, co pozostaje wierne poziomowi CTO. W praktyce zacznij myśleć od tego, jak czytasz ten tekst. Czytasz to z komputera osobistego / laptopa lub biurka. Jeśli jest to komputer osobisty, łączysz się przez wybranie numeru z usługodawcą internetowym lub jeśli korzystasz z sieci LAN, ktoś inny zrobił to za Ciebie. Sama sieć LAN jest siecią, choć mniejszą. Sieć LAN będzie mieć komputery i routery (mogą to być serwery).

Gdy sieć LAN zostanie połączona z usługodawcą internetowym, do którego podłączonych jest więcej komputerów, serwerów, routerów i sieci LAN, staje się częścią większej sieci. Kiedy większa sieć zostanie połączona dalej, kończymy na ogromnej sieci, zwanej Internetem.

Jak działa Internet?

Ponownie wróćmy do podstaw. Jak mogą rozmawiać dwa komputery? Wysyłają sobie pakiety informacji, które są dostarczane w dobrze zdefiniowanym protokole, zrozumiałym dla obu systemów. Pomyśl o tym jak o jednej osobie wysyłającej list do drugiej, list jest pakietem, a protokół to kilka prostych zasad, które zapewnią prawidłowe przesyłanie informacji.

Na przykład piszę po angielsku i rozumiesz, co to znaczy. Teraz, jeśli druga osoba jest tak daleko, że nie można samemu dostarczyć listu, będzie musiał zaufać mediatorom. Możesz skorzystać z usługi pocztowej lub kurierskiej. Teraz, jeśli miejsce jest daleko, jeden urząd pocztowy wyśle ​​list na drugi, który przekaże go dalej, aż dotrze do miejsca docelowego.

Ta sama analogia działa dla Internetu. Gdy wysyłasz lub pobierasz informacje przez Internet, musi ono przechodzić przez wiele routerów i serwerów.

Dlaczego Internet jest niebezpieczny?

Czy informacje zawarte w liście są bezpieczne, gdy je publikujesz? Tak, ale tylko do momentu, gdy otworzy go pracownik poczty lub ktoś w drodze. To samo dotyczy Internetu.

Ponieważ informacje przepływają przez tak wiele routerów i serwerów, albo dane faktycznie znajdują się na niektórych serwerach, każdy, kto może uzyskać dostęp, może pobrać te informacje. Oczywiście istnieją środki bezpieczeństwa, powszechnie stosowane są protokoły (SSH / https) i szyfrowanie. Ale każdy algorytm, który może zabezpieczyć informacje, będzie miał również przeciw-algorytm, który umożliwi uzyskanie dostępu.

Mówiąc prosto, twoje dane są w stu procentach bezpieczne, dopóki nie znajdziesz się w izolowanym systemie, w momencie, gdy połączysz się z siecią, ktoś może uzyskać dostęp do danych (przesadzone? Tak). Sprowadzi się to do inteligencji osoby, która próbuje zapisać informacje, w porównaniu do osoby, która próbuje uzyskać dostęp do informacji

Informacje, które otrzymujesz z Internetu, pochodzą z konkretnego komputera, który ... no cóż ... jest gdzieś tam . Nie wiesz, kto jest właścicielem tego komputera lub obsługuje go. Nie wiesz też, kto umieścił na nim informacje.

Aby dostać się z tego komputera do twojego, informacje muszą przejść przez kilka routerów po drodze. Każdy router ma możliwość modyfikowania przesyłanych przez niego danych i nie wiesz, kto jest właścicielem lub obsługuje routery.

Oto dlaczego nie możesz ufać internetowi, przynajmniej nie w znaczeniu „zaufania” stosowanym w dyskusjach dotyczących bezpieczeństwa: możesz otrzymywać dane od złośliwego twórcy lub dane mogą być wysyłane przez złośliwy serwer, lub dane mogły zostać zmodyfikowane podczas przesyłania przez złośliwy router.

O ile nie podejmiesz pewnych działań w celu zweryfikowania zarówno tożsamości nadawcy (np. Gdy źródło dostarcza podpisany certyfikat cyfrowy), jak i integralności kanału komunikacji (np. Za pomocą szyfrowanego protokołu), tak naprawdę nie możesz zrobić dużo więcej niż trzymajcie kciuki i miejcie nadzieję, że otrzymacie to samo, co prosiliście.

Niezaufany oznacza, że ​​dane przechodzące przez jego warstwy nie są zabezpieczone. Nigdy nie wiesz, co dzieje się z twoimi danymi. Każdy może nim manipulować. Dane mogą zostać utracone lub uszkodzone podczas transmisji. Może utracić swoją integralność i poufność. Człowiek o wielu umiejętnościach może włamać się do twoich danych. Zwykle istnieje wiele technik, dzięki którym możesz się zabezpieczyć, ale wciąż jest podatny na ataki hakerów.

Internet jest również nazywany niezabezpieczonym, ponieważ wykorzystuje protokół IPv4, który jest zawodnym i bezpołączeniowym protokołem datagramowym. Nie zapewnia kontroli błędów i kontroli przepływu. W celu zapewnienia niezawodności zestawiono go z niezawodnym protokołem TCP do przesyłania danych w warstwie transportowej.

Ponieważ nie możesz ufać wszystkim

Internet to „każdy na świecie z połączeniem sieciowym”.

Czy ufasz wszystkim na świecie dzięki połączeniu sieciowemu? Czy chcesz, aby wszystkie mogły łączyć się z bazą danych płac Twojej firmy?

Jeśli nie, to dlatego Internet jest „niezaufany”.

Jeśli tak, daj nam znać adres IP, abyśmy mogli zacząć otrzymywać wypłaty. ;)

Wyobraź sobie siebie w domu, tam jest twoja mama, tata, twoja siostra. Jeśli któryś z nich poprosi cię o pożyczenie 100 $ od ciebie, co byś zrobił? Teraz wyobrażasz sobie, że jesteś na stadionie pełnym ludzi, których nie znasz, a ktoś poprosił cię o 100 $. Czy zareagowałbyś inaczej?

W Internecie są ludzie, którzy mają wiele do zyskania dzięki twojej tożsamości. Mogą przejąć kontrolę nad komputerem i wyczyścić konto bankowe. Mogą użyć twojego komputera do ataku na inne komputery. Są ludzie, którzy wykorzystują socjotechnikę, aby cię oszukać. Są ludzie, którzy wykorzystują trojany i wirusy w celu rozszerzenia swojego zasięgu.

Minuty, kiedy masz połączenie z Internetem, narażasz się na te osoby.

Domyślne zachowanie użytkowników korzystających z Internetu to nieufność do wszystkich i do wszystkiego. Dlatego jest uważany za niezaufaną sieć, ponieważ nigdy nie wiesz, kto jest na drugim końcu linii i czego od ciebie chce.

W skrócie „zaufanie” do bezpieczeństwa komputerowego nie jest tym samym, co „zaufanie” w zwykłym znaczeniu. Należy go rozszerzyć o koncepcję tożsamości.

Zacznijmy od zwykłej definicji tego słowa. OED definiuje „zaufanie” jako „Zaufanie do pewnej jakości lub atrybutu osoby lub rzeczy, lub prawdziwość stwierdzenia” lub poleganie na nim. W erze sprzed Internetu możesz wysłać poufną wiadomość do swojej przyjaciółki Sally. Możesz przekazać go osobie trzeciej, Bobowi, jeśli jesteś pewien, że dostarczy wiadomość Sally i nikomu innemu. W takim przypadku polegasz na szczególnej jakości Boba - jego zdolności do dyskretnego dostarczania wiadomości. Innymi słowy, ufasz Bobowi.

W Internecie można podrobić tożsamość. Dlatego „zaufanie” musi być rozszerzone poza poleganie na cechach strony trzeciej. Musi obejmować poleganie na tożsamości osoby trzeciej . Załóżmy, że zaufaną stroną trzecią jest tablica wiadomości pod adresem bob.com. W takim przypadku polegasz nie tylko na dyskrecji konkretnego systemu internetowego, ale również na założeniu, że adres bob.comfaktycznie wskazuje system, który według niego działa. Ale to ostatnie założenie jest złe - istnieje wiele sposobów na przejęcie nazwy domeny. Jeśli prywatność wiadomości do Sally jest naprawdę bardzo ważna, musisz bob.comudowodnić jej tożsamość. I to jest jedna z funkcji SSL.

Mówimy więc, że ogólnie Internet nie jest zaufany nie dlatego, że uważamy, że wszyscy chcą nas dopaść, ale dlatego, że „zaufanie” online oznacza udowodnienie, że istoty są tym, za kogo się podają. Mechanizmy zaufania nie są wbudowane w Internet z powodu jego początkowej formy jako nieformalnej opartej na badaniach sieci opartej na wzajemnym zaufaniu - w prostym angielskim tego słowa znaczeniu. Zaufanie - w sensie bezpieczeństwa komputerowego - musi się opierać.

Pamiętaj, że są trzy rzeczy, o które należy się martwić:

1. Czy można zaufać facetowi na drugim końcu
2. Czy możesz zaufać połączeniu między tobą a drugim końcem
3. Czy ktoś, o kim nawet nie wiesz, może połączyć się z systemem bez Twojej zgody

W sieci całkowicie zaufanej (np. Sieci składającej się wyłącznie z komputerów w twoim domu) nie masz żadnych z tych obaw. Ale wyjdź poza tak ograniczone środowisko i musisz się martwić.

Z nie zaporowym komputerem podłączonym do niezaufanej sieci, jesteś narażony na wszystkie trzy czynniki. Facet po drugiej stronie może wykorzystać dane, które mu wysyłasz niewłaściwie, lub może wysłać szkodliwe dane do twojego systemu. Nawet jeśli facet na drugim końcu jest godny zaufania, ktoś z dostępem do „potoku” może czytać / manipulować bitami i bajtami w celu wyodrębnienia twoich prywatnych danych lub wysłania złośliwej zawartości do ciebie lub drugiego końca. A jeśli ktoś może połączyć się z twoim komputerem bez twojej zgody i manipulować jego wnętrznościami, wszystko jest ujawnione.

Ufanie drugiemu celowi jest oczywiście kwestią osądu z twojej strony. (Miejmy nadzieję) zachowujesz ostrożność i nie przeprowadzasz transakcji na stronach, którym nie masz uzasadnionego zaufania (i nigdy nie używasz karty debetowej do robienia zakupów przez Internet). I używasz konfiguracji antywirusowej / zapory ogniowej, która zapobiegnie instalowaniu złośliwych (lub po prostu zhakowanych) witryn na twoim urządzeniu.

Zapewnienie dobrego, bezkompromisowego połączenia z drugim końcem jest głównie kwestią użycia szyfrowanego protokołu. W przypadku HTTP jest to zazwyczaj HTTPS - wersja protokołu HTTP, która dodaje warstwę szyfrowania SSL „Secure Socket Layer”. Wszystkie renomowane witryny zajmujące się sprawami prywatnymi / finansowymi powinny korzystać z protokołu HTTPS (co będzie wiadomo, ponieważ prefiks adresu URL to „https:” oraz ponieważ przeglądarka wyświetla ikonę „kłódki” lub sformułowanie podobne do „Verified by: VeriSign, Inc . ”, jeśli umieścisz kursor myszy nad ikoną przed adresem URL w wierszu adresu). Istnieją inne podejścia, takie jak korzystanie z VPN (Virtual Private Network), ale są one bardziej do celów biznesowych / komercyjnych.

Jeśli chodzi o powstrzymywanie złych facetów przed bezpośrednim połączeniem twojego urządzenia, sprowadza się to do posiadania dobrej zapory ogniowej. Może to być oprogramowanie zapory na komputerze (ogólnie jako część pakietu antywirusowego) lub oddzielne urządzenie. (Ta funkcja jest często dostępna na przykład w routerach bezprzewodowych).

Po co ufać dowolnej sieci, dużej lub małej? Zaufanie jest nieuchwytne i być może jest to najgorsze słowo w tym kontekście. Podczas przekraczania dowolnej granicy sieci należy wziąć pod uwagę ryzyko i wywołać niezbędne ograniczenie.

Niezaufana sieć to każda sieć, w której sieć nie jest zarządzana wyłącznie przez grupę lub dział zarządzający siecią prywatną.

Sieć publiczna to dowolna sieć zarządzana wyłącznie przez grupę lub dział, który zarządza siecią prywatną, ale może uzyskiwać dostęp do urządzeń w niezaufanej sieci.

Sieć prywatna to dowolna sieć zarządzana przez grupę lub dział, która ma dostęp tylko do sieci publicznej.