Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях



Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях
Система и способ защиты от утечки конфиденциальных данных в беспроводных сетях

 


Владельцы патента RU 2602956:

Закрытое акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к защите данных. Технический результат заключается в предотвращении утечки конфиденциальной информации при передаче через беспроводную сеть. Предлагается способ безопасной передачи исходящего трафика, содержащего конфиденциальную информацию, через беспроводную сеть, имеющую беспроводную точку доступа, через которую передается исходящий и входящий трафики, в котором производят контроль входящего трафика, во время которого определяют тип протокола передачи трафика; при определении типа протокола как небезопасный производят анализ структуры получаемых данных во входящем трафике для определения полей, которые свидетельствует о наличии возможности ввода конфиденциальной информации, с последующим формированием образцов определенных полей; определяют в исходящем трафике попытку передачи через небезопасную сеть конфиденциальной информации, при этом определяется только присутствие изменения в поле, для которого сформирован образец; определяют тип сетевого ресурса с помощью информации о совпавшем образце; производят выбор способа безопасного соединения на основании типа сетевого ресурса, на который производится передача конфиденциальной информации, с помощью правил выбора, которые сформированы согласно особенностям типов сетевых ресурсов. 2 н. и 19 з.п. ф-лы, 4 ил.

 

Область техники

Настоящее изобретение относится к системам и способам защиты от утечки конфиденциальных данных пользователя при передаче данных через публичную беспроводную сеть на удаленный сервер.

Уровень техники

Беспроводные сети стали пользоваться высокой популярностью в качестве инструмента, с помощью которого люди получают доступ в Интернет. Кроме того, интерес к данному способу доступа постоянно растет из-за широкого распространения модулей подключения к беспроводной сети в современных устройствах. Такими устройствами являются мобильные телефоны, смартфоны, КПК, ноутбуки, планшетные компьютеры, цифровые музыкальные проигрыватели и т.д. В зависимости от модуля подключения производится подключение к различным типам беспроводных сетей и дальнейшая работа в Интернете.

Беспроводными типами сетей являются как сети, соответствующие стандартам GSM, GPRS, EDGE, SDMA (известные как 3G), WiMax и LTE (известные как 4G), так и сети, соответствующие стандартам IEEE 802.11 (известные как Wi-Fi сети). Особенностью первого типа сетей является развертывание сети на большой географической области. Но при этом сеть характеризуется относительно низкой скоростью передачи данных. Кроме того, доступ к таким сетям является, как правило, платным. Второй же тип сетей предназначен для развертывания на небольшой географической области, при этом данный тип сетей имеет относительно высокую скорость передачи данных.

В результате второй тип сетей нашел большую популярность среди компаний, которые для привлечения клиентов или повышения уровня конкурентоспособности создают беспроводные локальные сети (WLAN) на основании Wi-Fi сети и предоставляют бесплатный доступ к ним своим клиентам, например, для подключения к сети Интернет. Примерами таких компаний служат гостиницы, места общего питания, такие как Макдональдс, торговые центры, аэропорты и метро.

Каждая беспроводная сеть имеет точку доступа, через которую и производится подключение различных клиентских устройств к данной сети. Под беспроводной точкой доступа понимается беспроводной комплекс приемопередающей аппаратуры, предназначенный для обеспечения беспроводного доступа к уже существующей сети (беспроводной или проводной) или создания новой. Беспроводная точка доступа позволяет не только организовать беспроводную сеть и обеспечить беспроводное подключение различных устройств клиентов, но также за счет различных режимов работы может расширять существующую беспроводную сеть, работать в режиме подключения к провайдеру по беспроводной сети, работать в качестве беспроводного моста для соединения двух изолированных друг от друга проводных сетей и т.п.

В свою очередь пользователи клиентских устройств, использующие точки доступа Wi-Fi сетей, охотно к ним подключаются, используя предоставленную возможность для выхода в сеть Интернет с целью общения в социальных сетях, чтения новостей, просмотра почты, совершения банковских операций и т.д.

Следует понимать, что пользователь, подключаясь к подобным беспроводным сетям, рискует быть обманутым, и его деятельность в сети может быть доступна третьим лицам. Поэтому возникла потребность предупреждать пользователя о возможных последствиях использования подобных сетей и информировать пользователя о доверенности (или безопасности) выбранной точки доступа.

В области техники существует ряд подходов, предназначенных для решения указанного недостатка. Так, в патентной заявке US 20130097710 A1 описан подход для оценки риска соединения с беспроводной точкой доступа. Подход основан на том, чтобы с помощью стороннего сервера, так называемого репутационного центра, оценить риск подключения к беспроводной точке доступа. Для этого устройство отправляет данные, идентифицирующие беспроводную точку доступа, на сторонний сервер. А сторонний сервер находит сохраненную информацию об оценки риска соответствующей точки доступа. Далее сервер посылает ответ с информацией об оценке риска (доверия) указанной беспроводной точки доступа.

Еще одна проблема связана с тем, что, как правило, информация, в том числе и конфиденциальная, часто передается в открытом виде при взаимодействии с интернет-сайтами. Следовательно, передаваемая через беспроводные сети информация может быть перехвачена злоумышленниками и впоследствии использована в корыстных целях. Поэтому возникла потребность в выявлении непреднамеренной передачи конфиденциальных данных через сеть.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий для решения указанной проблемы. Таким образом, требуется создать решение, которое позволит в реальном времени выполнять автоматическое определение безопасности беспроводной сети, эвристически выявлять передачу конфиденциальных данных и создавать защищенные каналы передачи конфиденциальных данных в зависимости от требуемой защиты. Описываемое далее изобретение позволяет решить поставленные задачи.

Раскрытие изобретения

Настоящее изобретение предназначено для защиты от утечки конфиденциальных данных пользователя при передаче указанных данных через беспроводную сеть на удаленный сервер.

Технический результат настоящего изобретения заключается в предотвращении утечки конфиденциальной информации пользователя во время передачи указанной конфиденциальной информации через беспроводную сеть. Технический результат настоящего изобретения достигается за счет выбора соответствующего варианта защиты конфиденциальной информации согласно определенному уровню безопасности беспроводной сети и последующей передачи конфиденциальной информации в соответствии с выбранным вариантом защиты.

В качестве одного из вариантов исполнения предлагается способ передачи исходящего трафика, содержащего конфиденциальную информацию, через беспроводную сеть, содержащий этапы, на которых: определяют подключение к сетевому ресурсу через беспроводную сеть и уровень безопасности упомянутой беспроводной сети, по крайней мере, на основании анализа доступных данных об упомянутой беспроводной сети; в соответствии с определенным уровнем безопасности определяют тип используемого протокола для передачи трафика через упомянутую беспроводную сеть, где тип протокола определяется как безопасный или небезопасный; определяют в исходящем трафике попытку передачи конфиденциальной информации, по крайней мере, с помощью протокола, тип которого определен как небезопасный; производят выбор способа безопасного соединения при передаче конфиденциальной информации на основании типа сетевого ресурса, на который производится передача конфиденциальной информации; используют выбранный способ безопасного соединения для дальнейшей передачи исходящего трафика, содержащего конфиденциальную информацию; передают исходящий трафик, содержащий конфиденциальную информацию, по безопасному соединению.

В другом варианте исполнения способа анализ доступных данных об упомянутой сети производится с помощью эвристических записей, которые содержат комбинацию критериев, характеризующую беспроводную сеть, и вердикт о безопасности соответствующей беспроводной сети.

В еще одном варианте исполнения способа производят контроль входящего трафика, во время которого выполняют, по крайней мере, следующие действия: определяют структуру передаваемых данных; производят поиск полей, которые могут свидетельствовать о наличии возможности ввода конфиденциальной информации; формируют образцы в соответствии с найденными полями.

В другом варианте исполнения способа в качестве структуры передаваемых данных во входящем трафике определяется, по крайней мере, HTML-файл.

В еще одном варианте исполнения способа определение в исходящем трафике попытки передачи конфиденциальной информации основано, по крайней мере, на анализе данных в исходящем трафике путем их сравнения с образцами, созданными во время контроля входящего трафика.

В другом варианте исполнения способа образец состоит, по крайней мере, из двух частей, где первая часть содержит информацию об обратном адресе доставки, а вторая часть содержит поле, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике.

В еще одном варианте исполнения способа в качестве информации содержащийся в первой части образца понимается гиперссылка.

В другом варианте исполнения способа уровень безопасности беспроводной сети определяется как небезопасный.

В еще одном варианте исполнения способа данными о беспроводной сети является информация, использованная или полученная при настройке беспроводной сети.

В другом варианте исполнения способа уровень безопасности беспроводной сети определяется с помощью информации, содержащейся в удаленной базе данных, содержащий информацию о наиболее популярных беспроводных сетях.

В еще одном варианте исполнения способа под конфиденциальной информацией, по крайней мере, понимаются как персональные данные пользователя, так и данные, установленные пользователем, как требующие защиты.

В другом варианте исполнения способа данными, установленными пользователем, как требующие защиты, являются, по крайней мере, пароль и логин к почтовому ящику пользователя, фамилия, имя, отчество, логин для входа в социальную сеть, номер социальной карты, ИНН (индивидуальный номер налогоплательщика), финансовая информация, такая как счет в банке и номер кредитной карты.

В еще одном варианте исполнения способа способом безопасного соединения для передачи конфиденциальной информации является, по крайней мере, один из следующих подходов:

- подход с использованием SSL-протокола;

- подход с созданием постоянного VPN-соединения;

- подход с созданием временного VPN-соединения.

В качестве другого варианта исполнения предлагается система передачи исходящего трафика, содержащего конфиденциальную информацию, через беспроводную сеть, которая включает в себя: средство перехвата сетевого трафика, связанное со средством анализа беспроводных сетей и средством контроля трафика, при этом средство перехвата сетевого трафика предназначено для определения подключения к сетевому ресурсу через беспроводную сеть и передачи исходящего трафика, содержащего в том числе и конфиденциальную информацию, по созданному безопасному соединению; упомянутое средство анализа беспроводных сетей, связанное со средством хранения базы беспроводных сетей и средством контроля трафика, при этом средство анализа беспроводных сетей предназначено для определения уровня безопасности упомянутой беспроводной сети, по крайней мере, на основании анализа доступных данных об упомянутой беспроводной сети; упомянутое средство хранения базы беспроводных сетей, предназначенное для хранения информации о проанализированных беспроводных сетях; упомянутое средство контроля трафика, связанное со средством защиты, при этом средство контроля трафика предназначено для определения типа используемого протокола при передаче трафика через упомянутую беспроводную сеть, где тип протокола определяется как безопасный или небезопасный, и определения в исходящем трафике попытки передачи конфиденциальной информации, по крайней мере, с помощью протокола, тип которого определен как небезопасный; упомянутое средство защиты, предназначенное для: выбора способа безопасного соединения для передачи конфиденциальной информации, где выбор производится на основании типа сетевого ресурса, на который производится передача конфиденциальной информации; создания выбранного способа безопасного соединения для дальнейшей передачи исходящего трафика, содержащего конфиденциальную информацию.

В другом варианте исполнения системы средство анализа беспроводных сетей производит анализ доступных данных об упомянутой беспроводной сети с помощью эвристических записей, которые содержат комбинацию критериев, характеризующую беспроводную сеть, и вердикт о безопасности соответствующей беспроводной сети и хранятся на средстве хранения базы беспроводных сетей.

В еще одном варианте исполнения системы средство хранения базы беспроводных сетей периодически пополняется новой информаций о новых беспроводных сетях из внешних источников.

В другом варианте исполнения системы средство контроля трафика, связанное со средством хранения базы образцов, предназначенным для хранения информации о созданных образцах, которые свидетельствуют о наличии конфиденциальной информации, при этом средство контроля трафика предназначено для контроля входящего трафика, во время которого выполняет, по крайней мере, следующие действия: определяет структуру передаваемых данных; производит поиск полей, которые могут свидетельствовать о наличии возможности ввода конфиденциальной информации; формирует образцы в соответствии с найденными полями.

В еще одном варианте исполнения системы в качестве структуры передаваемых данных во входящем трафике определяется, по крайней мере, HTML-файл.

В другом варианте исполнения системы средство контроля трафика при определении в исходящем трафике попытки передачи конфиденциальной информации производит анализ передаваемых данных, содержащихся в исходящем трафике, путем их сравнения с образцами, созданными во время контроля входящего трафика.

В еще одном варианте исполнения системы образец состоит, по крайней мере, из двух частей, где первая часть содержит информацию об обратном адресе доставки, а вторая часть содержит поле, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике.

В другом варианте исполнения системы в качестве информации, содержащейся в первой части образца, понимается гиперссылка.

В еще одном варианте исполнения системы данными о беспроводной сети является информация, использованная или полученная при настройке беспроводной сети.

В другом варианте исполнения системы уровень безопасности беспроводной сети определяется с помощью информации, содержащейся в удаленной базе данных, содержащей информацию о наиболее популярных беспроводных сетях.

В еще одном варианте исполнения системы под конфиденциальной информацией, по крайней мере, понимаются как персональные данные пользователя, так и данные, установленные пользователем, как требующие защиты.

В другом варианте исполнения системы под данными, установленными пользователем, как требующие защиты, являются, по крайней мере, пароль и логин к почтовому ящику пользователя, фамилия, имя, отчество, логин для входа в социальную сеть, номер социальной карты, индивидуальный номер налогоплательщика, финансовая информация, такая как счет в банке и номер кредитной карты.

В еще одном варианте исполнения системы способами безопасного соединения для передачи конфиденциальной информации являются, по крайней мере, следующие подходы:

- подход с использованием SSL-протокола;

- подход с созданием постоянного VPN-соединения;

- подход с созданием временного VPN-соединения.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 показывает пример публичной беспроводной сети с доступом в сеть Интернет.

Фиг. 2 иллюстрирует структурную схему системы безопасной передачи конфиденциальной информации через беспроводную сеть.

Фиг. 3 показывает схему алгоритма работы системы безопасной передачи конфиденциальной информации через беспроводную сеть.

Фиг. 4 показывает пример компьютерной системы общего назначения, на которой может быть реализовано данное изобретение.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено в приложенной формуле.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

На Фиг. 1 представлен частный случай реализации беспроводной сети 105 с доступом в сеть Интернет. Доступ в Интернет осуществляется с помощью беспроводной точки доступа 110 со стандартом подключения IEEE 802.11 (известный как Wi-Fi). Технология Wi-Fi позволяет устройствам 120 пользователей получить доступ к различным сетевым ресурсам 140 посредством, например, сети Интернет, как если бы данные устройства 120 были подключены с помощью стандартного (кабельного) соединения, например, Ethernet. Кроме того, в общем случае при организации беспроводной сети 105 точка доступа 110 подключается к провайдеру 130, используя один из стандартных способов: технологию ADSL, 3G или локальную сеть Ethernet.

Для подключения к беспроводной точке доступа 110 развернутой Wi-Fi 105 каждое устройство 120 должно иметь беспроводной адаптер стандарта Wi-Fi. В качестве устройств 120 могут являться все современные компьютерные устройства, например персональные компьютеры, ноутбуки, планшетные компьютеры, смартфоны и мобильные телефоны. Подключение будет производиться на территории действия беспроводной точки доступа 110 соответствующей Wi-Fi сети 105. Радиус действия беспроводной точки доступа 110 может быть ограничен только возможностями аппаратного или программного оснащения беспроводной точки доступа 110. Территорией беспроводной сети могут служить как публичные зоны (например, аэропорты, кафе, офисы), так и частные зоны (например, гостиницы, частные дома и квартиры пользователей). Как правило, отличие между публичными и частными беспроводными сетями заключается в наличии защищенного пароля доступа к частным сетям и возможности подключения к такой сети только для ограниченного круга доверенных лиц. Например, для подключения к беспроводной сети «гостиница» требуется пароль доступа и, как правило, данный пароль знают все постояльцы гостиницы, которым нет доверия. Следовательно, хотя сеть и имеет пароль доступа, она не будет являться частной. Также возможны отличия, связанные с особенностями передачи данных. Например, в публичных беспроводных сетях обычно передача данных производится в открытом виде, а в частных беспроводных сетях в зашифрованном виде.

Стоит отметить, что в зависимости от варианта реализации сетевыми ресурсами 140 может являться либо устройство, либо часть информации, хранящаяся на какой-либо сторонней компьютерной системе, к которой может быть осуществлен удаленный доступ с другого компьютера, например, посредством Интернета. Под информацией может пониматься, например, веб-страница, размещенная на каком-либо интернет-сервере. Доступ к сетевым ресурсам 140 может быть как свободный, так и ограниченный, и осуществляется посредством обращения по сетевому адресу или доменному имени сетевого ресурса, где сетевой адрес является уникальным идентификатором ресурса. Примером адреса может быть IP (англ. Internet Protocol Address) - уникальный сетевой адрес узла в компьютерной сети, построенной по протоколу IP, например 208.73.211.176, или URL (англ. Uniform Resource Locator) - универсальный указатель сетевого ресурса, который является стандартизированным способом записи адреса ресурса в сети Интернет, например «http://www.kaspersky.com».

Итак, при взаимодействии устройства 120 и сетевых ресурсов 140, используя беспроводную сеть 105, весь сетевой трафик между устройством 120 и сетевыми ресурсами 140 будет передаваться через точку доступа 110. При этом сетевой трафик может содержать как общую информацию, так и конфиденциальную информацию. В то же время, если точка доступа 110 беспроводной сети 105 недостаточно защищена или скомпрометирована злоумышленником 150 (злоумышленник может иметь привилегированный доступ), или специально создана им, злоумышленник 150 получит доступ к сетевому трафику, проходящему через точку доступа 110, и впоследствии к конфиденциальной информации пользователя. Под конфиденциальной информацией в рамках заявленного изобретения понимается любая информация, которая является предметом собственности и подлежит защите в соответствии с требованиями, устанавливаемыми собственником информации. Примерами такой информации являются персональные данные, в частности пароль от почтового ящика, ФИО (Фамилия Имя Отчество), логин для входа в социальную сеть, номер социальной карты, ИНН (индивидуальный номер налогоплательщика), финансовая информация, такая как счет в банке и номер кредитной карты.

Примером недостаточной защищенности беспроводной сети является ситуация, когда на территории гостиницы создана беспроводная сеть, которая содержит пароль доступа. Поэтому при подключении клиента (пользователя) гостиницы к данной беспроводной сети, как правило, у него сложится мнение, что такая сеть защищена, так как ему был предоставлен приватный ключ (пароль) для подключения к ней, но в большинстве случаев данное мнение ложно. Предоставленный пароль к беспроводной сети может быть известен не только данному клиенту, но и другому клиенту гостиницы или даже третьим лицам. Это связано с тем, что при создании таких сетей беспокоятся не о защищенности сети, а об удобстве предоставления услуги «выход в Интернет» для клиентов и последующем использовании беспроводной сети. Поэтому, как правило, пароль от таких сетей либо очень простой, либо его можно легко получить, т.к. он может быть размещен, например, на доске объявлений или информационных листах клиентов, или произвести подбор пароля с помощью атаки методом подбора ключа (англ. brute force).

Примером скомпрометированной беспроводной сети может являться любая публичная сеть, так как к такой сети может получить доступ любой злоумышленник 150, а после различными способами может получить и привилегированный статус (например, административные права доступа) в соответствующей беспроводной сети, например, с помощью использования какой-либо уязвимости в программном оснащении точки доступа. Кроме того, как правило, передача данных в публичной беспроводной сети производится в открытом виде, что является еще более легкой «добычей» злоумышленника. Это связано с тем, что создание защищенного (например, зашифрованного), канала передачи данных является наиболее ресурсоемким, чем передача в открытом виде. Поэтому при передаче конфиденциальной информации необходимо минимизировать риск, что данная информация будет перехвачена со стороны третьих лиц (например, злоумышленника 150).

Следовательно, необходимо производить передачу конфиденциальных данных во время использования беспроводной сети с использованием наиболее подходящего варианта защиты конфиденциальной информации. Данную задачу успешно решает представленное изобретение.

На Фиг. 2 представлена структурная схема устройства 120, содержащего систему защиты от утечки конфиденциальной информации в беспроводной сети 200. Система 200 позволяет защитить конфиденциальную информацию от кражи или перехвата третьими лицами во время передачи указанной информации через беспроводную сеть.

Устройство 120 содержит ряд различных приложений, которым необходим доступ к сетевым ресурсам, или которые предоставлены для работы пользователю. Указанные приложения производят периодическое соединение с сетевыми ресурсами, например, для обновления версий приложений. Кроме того, пользователь, воспользовавшись одним из приложений (например, представленное на Фиг. 2 приложение 1, которое в свою очередь является браузером, например, «Google Chrome»), производит подключение к удаленному сетевому ресурсу, например, вебсайту. Подключение к вебсайту осуществляется, например, с помощью нажатия на гиперссылку, отсылающую на соответствующий сетевой адрес, или введения сетевого адреса в адресную строку браузера. В этот момент система 200 начинает выполнять свое предназначение.

В одном из вариантов реализации система 200 состоит из средства перехвата сетевого трафика 210, средства анализа беспроводных сетей 220, средства хранения базы беспроводных сетей 230, средства контроля трафика 240, средства хранения базы образцов 250 и средства защиты 260.

Средство перехвата сетевого трафика 210 выявляет подключение к сетевым ресурсам и в том случае, если дальнейшее взаимодействие будет происходить по беспроводной сети с использованием стандарта Wi-Fi, производит перехват всей передаваемой и получаемой информации (сетевого трафика). В одном из вариантов реализации средство 210 может являться частью устройства 120, которое производит соединение с точкой доступа 110, например, сетевой интерфейс 51 (представленный при описании Фиг. 4).

Информация о подключенной беспроводной сети и сетевой трафик, перехваченный средством перехвата 210, будут предоставляться средству анализа беспроводной сети 220 и средству контроля трафика 240. В свою очередь средство анализа беспроводных сетей 220 с помощью полученной информации от средства 210 производит определение уровня доверенности (безопасности) подключенной беспроводной сети. Уровень безопасности определяется на основании анализа доступных на устройстве 120 данных о подключенной беспроводной сети и информации, полученной от средства перехвата 210 о подключенной точке доступа 110. Примерами предоставленной информации от средства перехвата 210 могут являться сведения характеризующие точку доступа, такие как:

- сетевой адрес беспроводной точки доступа;

- наличие технологий защиты сети (WPA, WPA2) и схема управления ключами шифрования;

- физическое местоположение устройства (улица, сооружение, библиотека, метро и т.д.), например, за счет дополнительного использования GPS;

- идентификатор SSID и BSID;

- пропускная способность канала;

- различные статистические данные, например, время работы и частота смены параметров настойки.

В качестве доступных данных о подключенной беспроводной сети на устройстве 120 могут являться сведения, введенные как самим пользователем при настройке беспроводной сети, так и установленные в случае автоматической авторизации с точкой доступа беспроводной сети, например:

- имя беспроводной сети;

- статус публичности сети (например, публичная, частная или личная);

- наличие и тип шифрования при передаче данных;

- наличие и стойкость пароля подключения;

- сведения о наборе полномочий, которыми обладает пользователь, после успешной авторизации;

- популярность беспроводной сети (например, количество уникальных популярных устройств, которые подключались к сети в течение месяца);

- уровень доверенности беспроводной сети (например, выбранный пользователем в процессе настройки сети).

В общем случае средство 220 производит анализ доступной информации с помощью эвристических записей, хранящихся в средстве хранения базы беспроводных сетей 230. Каждая эвристическая запись содержит комбинацию критериев, характеризующую соответствующую беспроводную сеть, и вердикт о ее безопасности. Одними из таких комбинаций могут являться следующие сочетания:

- «Публичная/без авторизации/незашифрованная», т.е. беспроводная сеть была определена пользователем или автоматически как сеть общего доступа, например, сеть в метро. Кроме того, отсутствует необходимость ввода пароля при подключении к сети, или авторизация формальная, а передача данных производится без какого-либо шифрования.

- «Публичная/авторизация/простой пароль/шифрованная/низкий тип шифрования», т.е. сеть определена как публичная, которая требует авторизацию, содержит распространенный пароль (например, попадает в список 100 наиболее популярных паролей) и имеет недостаточный уровень шифрования (например, WEP).

- «Частная/авторизация/пароль/шифрованная/низкий тип шифрования», т.е. сеть определена как частная, которая требует авторизацию, содержит пароль хорошего уровня (например, не попадает в список 100 наиболее популярных паролей и имеет больше 6 символов) и содержит недостаточный уровень шифрования (например, WPA).

- «Личная/авторизация/пароль/шифрования/высокий тип», т.е. сеть определена как личная беспроводная сеть пользователя устройства, которая требует авторизацию, содержит пароль хорошего уровня и высокий тип шифрования (например, WPA2 AES).

- и т.д.

Стоит отметить, что эвристические записи могут формироваться как с помощью пользователя или удаленного сервера (не изображен на Фиг. 2) компании, предоставляющую данную технологию, так и с помощью применения методов самообучения. Например, будет формироваться профиль беспроводной сети, содержащий характерную информацию, такую как статистические данные о работе беспроводной сети, и производится анализ собранных статистических данных.

В зависимости от сработавшей эвристической записи выносится вердикт об уровне безопасности беспроводной сети. Необходимо отметить, что в зависимости от реализации уровень безопасности может определяться как однозначно (например, безопасная или небезопасная), так и неоднозначно (например, в виде процентного отношения от идеальной безопасности или в виде бальной шкалы). Далее информация об уровне доверенности беспроводной сети будет передана средству контроля трафика 240.

В частом случае если информации для анализа и вынесения вердикта об уровне доверенности беспроводной сети не будет достаточно, то средство 220 может передать запрос удаленному серверу (не изображен на Фиг. 2) компании, предоставляющей соответствующие услуги. В предпочтительном варианте ответ на запрос будет содержать вердикт об уровне доверенности, который подписан электронной цифровой подписью с целью защиты от искажения ответа третьими лицами в случае непредвиденного перехвата.

В еще одном варианте реализации средство 220 также будет предоставлять на хранение средству 230 информацию о вынесенных вердиктах по подключенным беспроводным сетям. Впоследствии средство 220 перед очередным анализом беспроводной сети может произвести предварительный анализ по ранее сохраненной информации о вынесенных вердиктах. Кроме того, средство 230 может пополняться информацией об уровне безопасности беспроводных сетей и из внешних источников.

Средство контроля трафика 240, входящее в состав системы 200, позволяет, используя средство хранения базы образцов 250, выявлять передачу конфиденциальной информации через беспроводную сеть. После получения от средства 220 информации об уровне доверенности беспроводной сети средство 240 начинает контролировать входящий и исходящий потоки данных (трафик). Во время контроля входящего трафика средство 240 производит анализ всего входящего потока данных, поступающего на устройство 120 через беспроводную сеть. Стоит отметить, что анализ состоит из двух частей, т.е. происходит первичный и вторичный анализ. При первичном анализе входящего трафика средство 220 выявляет тип (безопасный или небезопасный) используемого протокола при передаче данных, например, с помощью анализа заголовка протокола. Другим примером определения типа протокола является анализ портов, через которые поступает трафик. В том случае, если определен безопасный тип протокола, вторичный анализ не производится. В противном случае, если тип протокола определен как небезопасный, проводится вторичный анализ. Примером безопасного протокола является HTTPS-протокол, а небезопасного - HTTP-протокол.

Вторичный анализ заключается в анализе структуры передаваемых данных (например, HTML-файла) в рамках определенного протокола и поиске полей в структуре передаваемых данных, которые могут свидетельствовать о наличии возможности ввода конфиденциальной информации с целью создания образцов с такими полями. Например, в HTML-файле выявляются поля, в которые пользователь может вводить текст, именуемый конфиденциальной информацией, например, пароль, логин или номер кредитной карты. После выявления таких полей средство 240 формирует на их основании образцы, которые отправляет на хранение средству хранения базы образцов 250. Образцы будут состоять, по меньшей мере, из двух частей, где первая часть содержит обратный адрес доставки (например, URL), а вторая часть содержит выявленный участок, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике. Стоит отметить, что при анализе структуры передаваемых данных может быть выявлено, что передача ответа, содержащего поля, куда потенциально должна быть внесена конфиденциальная информация, будет проведена с использованием безопасного типа протокола передачи данных. Следовательно, в частном случае реализации образцы, у которых в первой части содержится обратный адрес доставки согласно безопасному типу протокола, будут в дальнейшем пропускаться при анализе исходящего трафика.

Далее во время контроля исходящего трафика средство 240 выявляет попытку передачи конфиденциальной информации по небезопасному соединению в небезопасной сети с помощью эвристических методов. Одним из эвристических методов является метод сравнения данных, содержащихся в исходящем трафике, со сформированными образцами (ниже приведен пример формирования образцов). Можно отметить, что сравнение происходит в два этапа, сначала выявляется совпадение с первой частью образца, а после и со второй частью. При сравнении второй части образца с передаваемыми данными определяется только присутствие любого изменения по отношению к образцу. Если изменение присутствует, то средство 240 приостанавливает передачу конфиденциальной информации и делает запрос к средству защиты 260. Запрос содержит информацию о сработавшем образце. Стоит отметить, что в частном случае реализации во время сравнения первых частей образцов и определения обратного адреса доставки согласно безопасному типу протокола не производится анализ второй части.

Другим эвристическим методом является метод выявления в POST-запросах наличия конфиденциальной информации, такой как номер кредитной карты. Стоит отметить, что в данном случае анализ POST-запросов будет проводиться при условии определения передачи по небезопасному соединению, которое было выявлено при анализе входящего трафика.

Рассмотрим примеры описанного выше анализа входящего трафика с последующим формированием образцов и исходящего трафика.

Пример 1.

Во входящем трафике был выявлен HTML-файл, полученный от сетевого ресурса, к которому устройство 120 произвело подключение. Далее средство 240 анализирует внедренный код в HTML-файл. Во время анализа производится поиск полей, внутри которых содержатся строки, отвечающие за ввод конфиденциальной информации. В случае выявления подходящего поля средство 240 формирует образец, содержащий, как упоминалось выше, сетевой адрес (гиперссылку) и внедренный код, содержащий строку ввода конфиденциальной информации. После в исходящем трафике средство 240 будет выявлять все POST-запросы и сравнивать с первыми частями созданных образцов. В случае совпадения первой части средство 240 определяет наличие изменения в соответствии со второй частью совпавшего образца. Если изменение выявлено, т.е. передаваемая форма отличается от формы во второй части образца, то и передача конфиденциальной информации выявлена.

Пример разбора внедренного кода в HTML-файле и формирования образца рассмотрим при взаимодействии с вебсайтом «http://rbc.ru/»:

Из примера видно, что при формировании образца, первая часть будет содержать гиперссылку, а именно, «"http://mail.qip.ru/auth/logon/"», а вторая часть тег-форму, отвечающую за ввод имени и пароля: «input name="pass" … "type="password"».

Также рассмотрим пример разбора внедренного кода HTML-файле в случае, когда обратный сетевой адрес имеет безопасный протокол передачи данных, например, при взаимодействии с вебсайтом «http://mail.ru»:

Из примера видно, что при формировании образца первая часть будет содержать гиперссылку, которая имеет безопасный протокол передачи данных, а именно «"https://auth.mail.ru/cgi-bin/auth?from=splash"».

Пример 2.

Во входящем трафике было выявлено взаимодействие мобильного приложения с удаленным сервером, которое позволяет произвести оплату приобретаемого товара с помощью кредитной карты. В этом случае в исходящем трафике при выявлении POST запросов помимо определения присутствия изменения будет производиться определение наличия номера карты с помощью эвристических методов на основании знаний о кредитных картах (например, http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=39698). В одном из вариантов реализации будет производиться проверка места получения конфиденциальной информации (например, является ли ссылка официальной ссылкой банк).

В одном из частных случаев реализации изобретения, если полученная информация об уровне доверенности беспроводной сети от средства 220 говорит о том, что беспроводная сеть полностью безопасна, то средство 240 не будет производить контроль трафика. В свою очередь средство 220 будет отслеживать изменения в параметрах беспроводной сети и в случае появления изменений производить переоценку уровня доверенности беспроводной сети.

Средство защиты 260, используя информацию, полученную от средства 240, а именно информацию о совпавшем образце, позволяет выбрать, а затем и сформировать необходимый способ безопасного соединения для передачи конфиденциальной информации. Для этого средство защиты 260 с помощью информации о совпавшем образце определяет тип сетевого ресурса, на который должна производиться передача конфиденциальной информации. В рамках заявленного изобретения сетевые ресурсы классифицированы по типам согласно их назначению, и типы могут иметь следующий вид:

- сервисы для осуществления финансовых операций;

- сервисы, требующие авторизации;

- корпоративные сервисы;

- файловые и видео хостинга;

- другие ресурсы.

Далее средство 260 производит выбор необходимого способа безопасного соединения на основании определенного типа сетевого ресурса в соответствии с правилами выбора, которые заранее сформированы согласно особенностям каждого типа сетевых ресурсов. Стоит отметить, что отнесение сетевого ресурса к какому-либо типу сетевых ресурсов основывается на известных методах, например, сравнение с базой данных сетевых ресурсов, анализ согласно правилам определения типа сетевого ресурса и т.д. Примерами особенностей могут являться следующие предположения:

- при передаче номера кредитной карты и/или контрольного числа карты на соответствующий сетевой ресурс необходимо будет защитить (обезопасить) и все последующие данные;

- при передаче пароля или логина на почтовый сайт, также необходимо защитить (обезопасить) впоследствии и почту;

- при передаче пароля или логина на тематический сайт, например, форум про автомобили, возможно, достаточно защитить лишь передачу самой конфиденциальной информации;

- при взаимодействии с корпоративными сервисами, на которые производится передача служебной информации, требуется обезопасить не только передачу конфиденциальной информации, но и всех передаваемых данных во время сессии;

- при взаимодействии с файловыми хостингами, возможно, не требуется защиты при передаче информации.

Следовательно, правила выбора защиты соединения для соответствующих типов сетевых ресурсов могут иметь вид, представленный ниже, при этом важно отметить, что при применении правил выбора средство 260 руководствуется тем, что выполнение последующего правила производится только в случае отсутствия возможности выполнить предыдущее правило:

- для типа сетевого соединения «сервисы для осуществления финансовых операций»:

1) в первую очередь создать соединение по SSL-протоколу;

2) оповестить пользователя о передачи конфиденциальной информации по небезопасной беспроводной сети;

3) заблокировать передачу конфиденциальной информации;

4) прервать соединение с удаленным сервером;

- для типа сетевого соединения «сервисы, требующие авторизации»:

1) создать соединение по SSL-протоколу;

2) создать временное VPN-соединение;

3) оповестить пользователя о передачи конфиденциальной информации по небезопасной беспроводной сети;

4) произвести запрос к пользователю о продолжении передачи по небезопасной беспроводной сети;

5) прервать соединение с удаленным сервером;

- для типа сетевого «соединения корпоративные сервисы»:

1) создать постоянное VPN-соединение;

2) создать временное VPN-соединение и оповести пользователя;

3) оповестить пользователя о передачи конфиденциальной информации по небезопасной беспроводной сети;

4) прервать соединение с удаленным сервером;

- для типа сетевого соединения «файловые и видео хостинга»:

1) создать соединение по SSL-протоколу;

2) создать временное VPN-соединение для передачи только конфиденциальной информации;

3) оповестить пользователя о передачи конфиденциальной информации по небезопасной беспроводной сети;

4) продолжить передачу по небезопасной беспроводной сети.

Кроме того, специалисту в данной области техники должно быть понятно, что возможно применение и других способов формирования правил выбора. Могут быть заданы общие правила для всех типов, например, если сетевой ресурс поддерживает SSL-протокол, то в первую очередь использовать данный способ передачи.

Далее средство 260 производит соединение с сетевым ресурсом согласно выбранному (определенному) способу безопасного соединения для передачи конфиденциальной информации. После чего средство 240 позволяет произвести передачу исходящего трафика, в частности передачу конфиденциальной информации, по созданному безопасному соединению.

На Фиг. 3 показана схема алгоритма работы системы. На этапе 310 средство перехвата сетевого трафика 210 выявляет подключение к беспроводной сети с использованием стандарта Wi-Fi. На этапе 320 средство анализа беспроводной сети 220 определяет уровень доверенности (безопасности) подключенной беспроводной сети. Уровень доверенности определяется на основании анализа доступных на устройстве 120 данных о подключенной беспроводной сети и информации, полученной от средства связи 210, о подключенной точке доступа соответствующей беспроводной сети. Примеры анализируемой информации приведены при описании Фиг. 2. Стоит отметить, что в одном из вариантов реализации анализ информации будет проводиться с помощью эвристических записей, которые храниться в средстве хранения базы беспроводных сетей 230. Каждая эвристическая запись содержит комбинацию критериев, характеризующую соответствующую беспроводную сеть, и вердикт о ее безопасности. На этапе 330 средство 220 в зависимости от сработавшей эвристической записи выносит вердикт об уровне безопасности беспроводной сети. В том случае если уровень безопасности достаточен для обеспечения сохранности конфиденциальной информации при передаче в беспроводной сети, средство 220 не производит запрос к средству 240 и переходит к этапу 340, на котором отслеживает состояние беспроводной сети с целью выявления каких-либо изменений. Если изменения будут выявлены, то средство 220 пересмотрит уровень безопасности сети.

В случае если уровень безопасности не достаточен для обеспечения сохранности конфиденциальной информации при передаче в беспроводной сети, то средство 220 производит запрос к средству 240 с целью контроля проходящего трафика. Запрос содержит информацию об уровне безопасности сети. Далее средство 240 после выявления передачи трафика на этапе 345 определяет тип используемого протокола, который будет определен как безопасный или небезопасный. Одним из способов определения типа протокола является анализ заголовков протокола. В том случае если будет определен протокол как безопасный, дальнейший анализ соответствующего трафика не производится, о чем оповещается средство 220 и средство 260. В противном случае, если протокол определен как небезопасный, на этапе 350 средство 240 производит контроль соответствующего входящего трафика через беспроводную сеть. Во время контроля средство 240 определяет структуру передаваемых данных (например, HTML-файл) в рамках определенного протокола и производит поиск полей в структуре передаваемых данных, которые могут свидетельствовать о наличии возможности ввода конфиденциальной информации с целью создания образцов с такими полями. Образцы будут состоять, по меньшей мере, из двух частей, где первая часть содержит обратный адрес доставки (например, URL), а вторая часть содержит выявленный участок, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике. Например, во входящем трафике были перехвачены данные, которые являются HTML-файлом. Далее производится поиск полей, внутри которых содержатся строки, отвечающие за ввод конфиденциальной информации. При выявлении таких полей средство 240 формирует соответствующий образец. Далее на этапе 360 средство 240 производит анализ исходящего трафика с устройства 120. В рамках заявленного изобретения под анализом может пониматься как выявление попытки передачи конфиденциальной информации с помощью небезопасного протокола (по незащищенному каналу) путем сравнения данных, содержащихся в исходящем трафике, со сформированными образцами, так и выявление путем определения наличия конфиденциальной информации согласно известным алгоритмам определения, например, алгоритмы определения номера кредитной карты или контрольной суммы карты. Можно отметить, что в частном случае сравнение с образцом происходит в два этапа, сначала выявляется совпадение с первой частью образца, а после и со второй частью. При сравнении второй части образца с передаваемыми данными определяется только присутствие любого изменения по отношению к образцу. Примером анализа исходящего трафика служит приведенный ранее пример с HTML-файлом. В этом случае в исходящем трафике будут выявляться все POST-запросы и сравниваться с первой частью образцов, а затем и со второй.

На этапе 365 средство 240 выявляет присутствие в исходящем трафике конфиденциальной информации. В том случае если конфиденциальная информация не выявлена, средство 240 пропускает исходящий трафик. В противном случае, если конфиденциальная информация выявлена, то средство 240 производит запрос к средству защиты 260 для создания способа защиты. В одном из вариантов реализации запрос будет содержать информацию о сработавшем образце.

На этапе 370 средство защиты 260 определяет необходимый способ безопасного соединения для передачи конфиденциальной информации. Для этого средство 260 определяет тип сетевого ресурса, на который производится передача конфиденциальной информации в соответствии с заданной классификацией. В одном из вариантов реализации тип сетевого ресурса определяется путем анализа сетевого адреса (гиперссылки) или анализа информации о совпавшем образце, если она была передана средством 240. После чего производится выбор необходимого способа безопасного соединения на основании определенного типа сетевого ресурса и в соответствии с заданными правилами выбора. Правила выбора сформированы согласно особенностям каждого типа сетевых ресурсов. Примеры особенностей типов и самих правил выбора приведены при описании Фиг. 2.

На этапе 380 средство 260 создает выбранный способ безопасного соединения для дальнейшей передачи конфиденциальной информации или всего исходящего трафика (в зависимости от сработавшего правила выбора). После чего производится передача исходящего трафика, содержащего конфиденциальную информацию, по созданному безопасному соединению.

На Фиг. 4 показана компьютерная система, на которой может быть использовано описанное изобретение.

Фиг. 4 представляет пример компьютерной системы общего назначения (может быть как персональным компьютер, так и сервером) 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флэш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

1. Способ безопасной передачи исходящего трафика, содержащего конфиденциальную информацию, от компьютерного устройства к удаленному сетевому ресурсу через беспроводную сеть, имеющую беспроводную точку доступа, через которую передается исходящий и входящий трафики, при этом упомянутый способ содержит этапы, на которых:
а) определяют подключение к сетевому ресурсу через беспроводную сеть, имеющую беспроводную точку доступа;
б) определяют уровень безопасности упомянутой беспроводной сети на основании анализа доступных на компьютерном устройстве данных об упомянутой беспроводной сети и информации о подключенной беспроводной точке доступа;
в) в соответствии с определенным уровнем безопасности производят контроль входящего трафика, во время которого определяют тип используемого протокола для передачи трафика через упомянутую беспроводную сеть, где тип протокола определяется как безопасный или небезопасный;
г) при определении типа протокола как небезопасный производят анализ структуры получаемых данных во входящем трафике для определения полей в структуре, которые свидетельствуют о наличии возможности ввода конфиденциальной информации, с последующим формированием образцов определенных полей;
д) определяют в исходящем трафике попытку передачи через небезопасную сеть конфиденциальной информации, по крайней мере, для протокола, тип которого определен как небезопасный, при этом определяется только присутствие, по крайней мере, одного изменения в поле, для которого сформирован образец;
е) определяют тип сетевого ресурса с помощью информации о совпавшем образце;
ж) производят выбор способа безопасного соединения при передаче конфиденциальной информации на основании определенного типа сетевого ресурса, на который производится передача конфиденциальной информации, с помощью правил выбора, которые сформированы согласно особенностям типов сетевых ресурсов;
з) используют выбранный способ безопасного соединения для дальнейшей передачи исходящего трафика, содержащего конфиденциальную информацию;
и) передают исходящий трафик, содержащий конфиденциальную информацию, по безопасному соединению.

2. Способ по п. 1, в котором анализ доступных данных об упомянутой сети производится с помощью эвристических записей, которые содержат комбинацию критериев, характеризующую беспроводную сеть, и вердикт о безопасности соответствующей беспроводной сети.

3. Способ по п. 1, в котором в качестве структуры передаваемых данных во входящем трафике определяется, по крайней мере, HTML-файл.

4. Способ по п. 1, в котором образец состоит, по крайней мере, из двух частей, где первая часть содержит информацию об обратном адресе доставки, а вторая часть содержит поле, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике.

5. Способ по п. 4, в котором в качестве информации содержащийся в первой части образца понимается гиперссылка.

6. Способ по п. 1, в котором данными о беспроводной сети является информация, использованная или полученная при настройке беспроводной сети.

7. Способ по п. 1, в котором уровень безопасности беспроводной сети определяется с помощью информации, содержащейся в удаленной базе данных, содержащий информацию о наиболее популярных беспроводных сетях.

8. Способ по п. 1, в котором под конфиденциальной информацией, по крайней мере, понимаются как персональные данные пользователя, так и данные, установленные пользователем, как требующие защиты.

9. Способ по п. 8, в котором данными, установленными пользователем как требующие защиты, являются, по крайней мере, пароль и логин к почтовому ящику пользователя, фамилия, имя, отчество, логин для входа в социальную сеть, номер социальной карты, ИНН (индивидуальный номер налогоплательщика), финансовая информация, такая как счет в банке и номер кредитной карты.

10. Способ по п. 1, в котором способом безопасного соединения для передачи конфиденциальной информации является, по крайней мере, один из следующих подходов:
- подход с использованием SSL-протокола;
- подход с созданием постоянного VPN-соединения;
- подход с созданием временного VPN-соединения.

11. Система безопасной передачи исходящего трафика, содержащего конфиденциальную информацию, через беспроводную сеть, имеющую беспроводную точку доступа, через которую передается исходящий и входящий трафики, при этом упомянутая система включает в себя:
а) средство перехвата сетевого трафика, связанное со средством анализа беспроводных сетей и средством контроля трафика, при этом средство перехвата сетевого трафика предназначено для определения подключения к сетевому ресурсу через беспроводную сеть, имеющую беспроводную точку доступа, и передачи исходящего трафика, содержащего в том числе и конфиденциальную информацию, по созданному безопасному соединению;
б) упомянутое средство анализа беспроводных сетей, связанное со средством хранения базы беспроводных сетей и средством контроля трафика, при этом средство анализа беспроводных сетей предназначено для определения уровня безопасности упомянутой беспроводной сети на основании анализа доступных на компьютерном устройстве данных об упомянутой беспроводной сети и информации о подключенной беспроводной точке доступа;
в) упомянутое средство хранения базы беспроводных сетей, предназначенное для хранения информации о проанализированных беспроводных сетях;
г) упомянутое средство контроля трафика, связанное со средством защиты, при этом средство контроля трафика предназначено для контроля входящего трафика, во время которого:
- определяет тип используемого протокола при передаче трафика через упомянутую беспроводную сеть, где тип протокола определяется как безопасный или небезопасный,
- для типа протокола, который определен как небезопасный, производит анализ структуры получаемых данных во входящем трафике для определения полей в структуре, которые свидетельствуют о наличии возможности ввода конфиденциальной информации, с последующим формированием образцов определенных полей;
- и определения в исходящем трафике попытки передачи через небезопасную сеть конфиденциальной информации, по крайней мере, для протокола, тип которого определен как небезопасный, при этом определяется только присутствие, по крайней мере, одного изменения в поле, для которого сформирован образец;
д) упомянутое средство защиты, предназначенное для:
- определения типа сетевого ресурса с помощью информации о совпавшем образце;
- выбора способа безопасного соединения для передачи конфиденциальной информации, где выбор производится на основании определенного типа сетевого ресурса, на который производится передача конфиденциальной информации, с помощью правил выбора, которые сформированы согласно особенностям типов сетевых ресурсов;
- создания выбранного способа безопасного соединения для дальнейшей передачи исходящего трафика, содержащего конфиденциальную информацию.

12. Система по п. 11, в которой средство анализа беспроводных сетей производит анализ доступных данных об упомянутой беспроводной сети с помощью эвристических записей, которые содержат комбинацию критериев, характеризующую беспроводную сеть, и вердикт о безопасности соответствующей беспроводной сети и хранятся на средстве хранения базы беспроводных сетей.

13. Система по п. 11, в которой средство хранения базы беспроводных сетей периодически пополняется новой информацией о новых беспроводных сетях из внешних источников.

14. Система по п. 11, в которой в качестве структуры передаваемых данных во входящем трафике определяется, по крайней мере, HTML-файл.

15. Система по п. 11, в которой образец состоит, по крайней мере, из двух частей, где первая часть содержит информацию об обратном адресе доставки, а вторая часть содержит поле, куда потенциально должна быть внесена конфиденциальная информация при передаче данных в исходящем трафике.

16. Система по п. 15, в которой в качестве информации, содержащейся в первой части образца, понимается гиперссылка.

17. Система по п. 11, в которой данными о беспроводной сети является информация, использованная или полученная при настройке беспроводной сети.

18. Система по п. 11, в которой уровень безопасности беспроводной сети определяется с помощью информации, содержащейся в удаленной базе данных, содержащей информацию о наиболее популярных беспроводных сетях.

19. Система по п. 11, в которой под конфиденциальной информацией, по крайней мере, понимаются как персональные данные пользователя, так и данные, установленные пользователем как требующие защиты.

20. Система по п. 19, в которой под данными, установленными пользователем как требующие защиты, являются, по крайней мере, пароль и логин к почтовому ящику пользователя, фамилия, имя, отчество, логин для входа в социальную сеть, номер социальной карты, индивидуальный номер налогоплательщика, финансовая информация, такая как счет в банке и номер кредитной карты.

21. Система по п. 11, в которой способами безопасного соединения для передачи конфиденциальной информации являются, по крайней мере, следующие подходы:
- подход с использованием SSL-протокола;
- подход с созданием постоянного VPN-соединения;
- подход с созданием временного VPN-соединения.



 

Похожие патенты:

Изобретение относится к системе беспроводной связи, осуществляющей конфигурирование и обнаружение усовершенствованного нисходящего канала управления, и позволяет ePDCCH иметь большую стабильность и гибкость конфигурирования.

Изобретение относится к мобильной связи. Технический результат заключается в обеспечении оптимальной конфигурации списков соседних сот в сети беспроводной связи.

Изобретение относится к беспроводной связи. Техническим результатом является одновременное конфигурирование нескольких ULABS-шаблонов или шаблонов низкой активности по передаче по указанным частотно-временным ресурсам на одной и той же несущей частоте, в дополнение к обычным субкадрам, при этом шаблон может быть ассоциирован с уровнем мощности и/или одним или группой типов каналов/сигналов.

Изобретение относится к области связи. Техническим результатом является обеспечение решения для сценария, в котором множество наборов ресурсов канала управления сконфигурировано на стороне сети для UE.

Изобретение относится к области безопасности информационных технологий (ITS). Технический результат заключается в обеспечении сосуществования разделов элемента безопасности, выделенных для каждого эмитента карты, в устройстве с поддержкой NFC.

Изобретение относится к вычислительной, информационно-измерительной технике, используемой, в частности, в автоматизированных системах управления технологическими процессами нефтяной промышленности.

Изобретение относится к мобильной связи. Технический результат - использование менее сложных устройств, чтобы осуществлять связь в сетях с использованием технологии LTE.

Изобретение относится к системе сетевого обслуживания. Технический результат изобретения заключается в сокращении времени сетевого соединения, что влечет за собой увеличение времени работы батареи мобильного устройства.

Изобретение относится к способу и устройству для обновления компонентной несущей в сети связи с агрегацией несущих. Технический результат заключается в обеспечении возможности обновления компонентной несущей.

Изобретение относится к устройству связи и способу управления устройством связи. Технический результат заключается в обеспечении возможности управления соединением тракта связи.

Изобретение относится к вычислительной технике. Технический результат заключается в оптимизации модификации разрешений на доступ к защищенному анклаву памяти.

Изобретение относится к защите данных. Технический результат - обеспечение безопасного доступа к записи данных.

Изобретение относится к управлению и контролю различных данных личной идентификации. Технический результат - создание производной идентификации на базе родительской идентификации, при этом между этими двумя идентификациями невозможно отследить на практике.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в повышении безопасности вычислительного устройства.

Изобретение относится к области компьютерной безопасности. Технический результат заключается в минимизации количества ложных срабатываний при обнаружении вредоносного программного обеспечения (ПО).

Изобретение относится к области обработки информации. Техническим результатом является повышение надежности приложения, обрабатываемого вместе с содержанием широковещательной передачи.

Изобретение относится к вычислительной технике. Технический результат заключается в подавлении атак на линии связи между защищенными средами выполнения.

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в выявлении аномалий при подключении устройств к компьютерной системе.

Изобретение относится к средствам обеспечения компьютерной безопасности. Технический результат заключается в повышении безопасности компьютерных систем.

Изобретение относится к электронной промышленности, а именно к безбумажным технологиям ведения документооборота. Технический результат - безопасный ввод электронного документа с любого ЭВМ в устройство для подписи.

Изобретение относится к области доступа к данным в Интернет. Технический результат - обеспечение авторизованного доступа к данным хранилища данных изолированным приложением. Способ для опосредованного доступа к элементам данных для изолированных приложений, содержит этапы, на которых: предоставляют, в модуле-посреднике вычислительного устройства, интерфейсы прикладного программирования (API) изолированному приложению вычислительного устройства; принимают, в модуле-посреднике через один из упомянутых API, запрос от изолированного приложения в вычислительном устройстве на доступ к одному или более элементам данных источника элементов данных; проверяют, в вычислительном устройстве, к какому из этих одного или более элементов данных изолированное приложение авторизовано осуществлять доступ; и если изолированное приложение не авторизовано осуществлять доступ ни к одному из упомянутых одного или более элементов данных, тогда отклоняют запрос, иначе: формируют один или более объектов элементов хранилища данных, которые представляют те из упомянутых одного или более элементов данных, к которым изолированное приложение авторизовано осуществлять доступ; фильтруют сформированные один или более объектов элементов хранилища данных, которые представляют те из упомянутых одного или более элементов данных, к которым изолированное приложение авторизовано осуществлять доступ, причем данная фильтрация содержит удаление одного или более объектов элементов хранилища данных, которые соответствуют конкретному типу файлов, с тем, чтобы один или более отфильтрованных объектов элементов хранилища данных не включали в себя объекты элементов хранилища данных, которые соответствуют этому конкретному типу файлов; и возвращают эти один или более отфильтрованных объектов элементов хранилища данных изолированному приложению. 3 н. и 17 з.п. ф-лы, 5 ил., 11 табл.
Наверх