Интернет-безопасность: сертификат никого не пугает?

Пользователи интернета временами сталкиваются с предупреждениями от браузера о том, что у того или иного сайта истек срок действия сертификата безопасности. Однако, как показали последние исследования, большинство пользователей игнорируют такие сообщения. О системе сертификации сайтов и ее проблемах "Правда.Ру" побеседовала с Григорием Васильевым - техническим директором российского представительства компании ESET.

Английские специалисты по компьютерной безопасности из Университета Карнеги-Мелон провели статистические исследования и обнаружили, что больше половины интернет-пользователей предпочитают игнорировать предупреждения и все равно подключаются к небезопасным сайтам. Процент "нарушителей" варьирует от 55 до 100 процентов в зависимости от используемого браузера.

Для проведения опытов было приглашено 400 участников, которые позволили ученым дистанционно наблюдать за их поведением за компьютером. Кроме того, еще 100 человек участвовали в эксперименте в стенах лаборатории.

Читайте также " Кто убережет Всемирную паутину от хаоса? "

Исследование установило, что причина столь халатного отношения к компьютерной безопасности кроется не только в самоуверенности пользователей, но и в самих программах-клиентах, которые используются для посещения интернета. Дело в том, что сообщение о проблемах часто формулируется в таких словах и выражениях, что человек просто не осознает кроящейся опасности.

Эта проблема была достаточно предсказуема для специалистов, но их поразило количество «нарушителей». Ученые отмечают, что большинство интернет-пользователей по-прежнему недооценивают ставшую поистине мировой проблему безопасности. Ведь использование сообщений об ошибках является одним из направлений развития киберпреступности.

Уже неоднократно отмечались случаи, когда под видом системных сообщений браузера пользователь получал предложение для перехода на другой сайт, который якобы является новой версией искомого портала. На самом деле человека ждет там сайт-"фальшивка", который злоумышленники могут использовать как для кражи персональных данных (например, номеров кредитных карт при оформлении покупки или платежа), так и для распространения вредоносного кода (предлагая загрузить какой-нибудь файл).

"Конечно, мы знали, что проблема с системой предупреждения существует, - говорит автор исследования студент Университета Карнеги-Мелон Джошуа Саншайн. – Однако только эксперимент показал, насколько она по настоящему велика!" Молодой ученый особенно отмечает, что во всех браузерах ответственность за поступки возложена исключительно на пользователя.

Такой подход имел бы основания, если бы безопасность компьютера была личным делом каждого. Однако сейчас, когда распространение вредоносного ПО и "зомбирование" компьютеров для рассылки спама стали бедствием планетарного масштаба, интернет-пользователи несут моральную ответственность за тот вред остальным, которые они могут непредумышленно нанести.

В качестве решения английские эксперты предлагают автоматизировать процесс обработки сертификатов безопасности, научив компьютер разбираться в полученных предупреждениях без участия человека. "Недостаточно просто сделать сообщения об опасности более агрессивными и навязчивыми, - говорит Саншайн. – Наилучший способ решения проблемы – позволить системе самостоятельно блокировать пользователя от опасного ресурса, если она почувствует угрозу атаки извне".

Смотрите фоторепортажи в разделе " Наука и история "

Вместе с тем ученые понимают, что подобные решения являются лишь временной мерой. Все чаще слышатся нарекания в адрес самой системы сертификатов безопасности, которая давно грешит как ложными срабатываниями, так и недостаточной прозрачностью и понятностью для конечных интернет-пользователей.

Какое будущее ждет глобальную компьютерную безопасность? – с таким вопросы “Правда.Ру» обратилась к техническому директору российского представительства компании ESET Григорую Васильеву :

"Система сертификации web-порталов представляет собой реализацию технологии "белого списка" (списка, действующего по принципу: все, что не разрешено, - запрещено). Буквально пару лет назад было много разговоров о том, что "белые списки" станут превалирующей технологией в системе информационной безопасности.

Интернет-безопасность: сертификат никого не пугает?
Интернет-безопасность: сертификат никого не пугает?

Однако со временем стало ясно – несмотря на то, что технология очень перспективна, онатребует значительной доработки. В частности, главная проблема системы сертификации заключается в очень неточной оценке безопасности того или иного портала. Многие пользователи уже привыкли, что в большинстве случаев браузер бьет ложную тревогу, и игнорируют просмотр сертификата.

Между тем подобная невнимательность может привести к попаданию пользователя на сайт с нежелательным или вредоносным контентом, способным нанести непоправимый вред компьютеру. Как правило, только получив подобный негативный опыт, пользователь начинает всерьез относиться к системе сертификации".

Читайте также на " Правде.Ру "

Автор Павел Урушев
Павел Урушев— редактор отдела науки интернет медиахолднга Правда.Ру
Обсудить