WSTĘP

WSTĘP

Zapewnienie właściwego poziomu bezpieczeństwa systemów komputerowych jest zadaniem trudnym, a jednocześnie jest to znaczący problem. Konsekwencje ignorowania problemu mogą być przykre i kosztowne. Przy analizie zagrożeń nie należy koncentrować się jedynie na zagrożeniach płynących z sieci zewnętrznej. Problemem mogą być również zachowanie pracowników organizacji. Dlatego oprócz monitorowania połączeń z siecią zewnętrzną należy jasno sprecyzować zasady korzystania z sieci i prowadzić szkolenia z zakresu kultury ochrony informacji.

ASPEKTY ZABEZPIECZANIA INFORMACJI

Poufność
Oznacza udostępnienie informacji tylko autoryzowanym użytkownikom.

Integralność
Oznacza kompleksowość i dokładność danych.

Dostępność
Możliwość korzystania z danych w chwili, gdy są one niezbędne.

TYPY ZAGROŻEŃ

Przerwanie
Zasoby systemu (zarówno hardware jak i software) zostają zniszczone lub nie nadają się do dalszego wykorzystania. Niedostępność zasobu może wynikać np. z destrukcji hardware'u lub przerwania komunikacji.

Przechwycenie

Zagrożenie objawia się faktem, że nieautoryzowana strona otrzymuje dostęp do zasobu. Prowadzi to do ujawnienia danych, kopiowania plików lub programów.

Modyfikacja

Oznacza nie tylko dostęp do zasobu, ale również jego modyfikację. Jest to atak na spójność danych np. zmiana danych w systemie, zmiana programu tak, aby działał inaczej niż założono.

Tworzenie
Nieuprawniona strona wstawia obiekty do systemu. Jest to atak na autentyczność np. dodawanie danych do pliku.

KLASYFIKACJA SOFTWARE'U UŻYWANEGO DO WŁAMAŃ

Tylne wejście - umożliwia zdobycie prawa dostępu do systemu, często pozostawiane przez agresora w celu umożliwienia sobie powrotu do systemu. Czasami używane przez programistów do debugowania i testowania programów w celu m.in. unikania niepotrzebnej identyfikacji lub jako metoda aktywowania programów w przypadku wystąpienia problemów z autentyfikacją.

Bomby logiczne - włączone do programów i ustawiane tak, aby aktywowały się "wybuchały" w następujących warunkach np. określony dzień, użycie jakiejś aplikacji.

Konie trojańskie - programy zawierające ukryty kod z mogącymi powodować uszkodzenia funkcjami. Koń trojański nie powiela i nie rozprzestrzenia się samodzielnie. Komputer - ofiara infekowana jest tylko poprzez umyślne zainstalowanie przez użytkownika programu-nosiciela. Podczas instalacji, koń trojański który wkomponowany jest w kod programu, instaluje się w tle a wiec nie jest widoczny dla użytkownika. Bardzo często wirusy te rozsyłane są za pomocą poczty elektronicznej w formie zainfekowanych animacji lub zdjęć, choć najbardziej chyba przewrotnym typem koni trojańskich są programy podające się za narzędzia antywirusowe. Mogą być wykorzystywane do wprowadzania zmian, modyfikacji praw dostępu, do których niezautentyfikowany użytkownik nie ma uprawnień np. zmiana prawa dostępu do pliku.

Robaki
Robaki używają połączeń sieciowych w celu rozprzestrzenienia między systemami z użyciem maila, zdalnie uruchamianie kopii w innym systemie, logowanie do systemu z użyciem loginu użytkownika, a następnie przekopiowanie robaka.

Zombie
Programy, które sekretnie przenoszą się między komputerami podłączonymi do Internetu. Używają zainfekowanego komputera w celu inicjowania dalszych ataków jednocześnie dążąc do uniemożliwienia identyfikacji twórcy.

Wirusy
Programy mogące infekować inne programy poprzez ich modyfikację. Początkowo nieaktywne, następnie tworzą soją kopię w systemie, aktywują się i wykonują. Typy wirusów:
Paraliżujące - wirus dołącza się do plików wykonywalnych i replikuje się. Gdy zainfekowany program jest wykonywany, próbuje zainfekować kolejne pliki wykonywalne.
Rezydujący - wirus lokuje się w pamięci głównej jako część rezydentnego programu. Przebywając w pamięci może infekować każdy wykonywany program.
Infekujące boot sector - rozprzestrzeniające się, gdy system jest inicjowany z systemu zawierającego wirus.
Ukryte - zaprojektowane do ukrycia się przed anywirusowymi programami. Mogą używać kompresji.
Polimorficzne - mutują się przy każdej infekcji, używają losowo kodowanych kluczy do zakodowania pozostałości wirusa.
Przykładem wirusa mogą być te rozsyłane pocztą elektroniczną. Mogą się uaktywniać np. przy otwieraniu załącznika lub otwieraniu maila.
Wirusy powinny być wykrywane, identyfikowane i usuwane.

OCHRONA

Bardzo ważnym elementem w zarządzaniu i projektowaniu sieci teleinformatycznych jest stworzenie zespołu reguł, które regulowałyby obieg informacji w przedsiębiorstwie. Dokument regulujący tego rodzaju aspekty nazywany jest polityką bezpieczeństwa. Przy tworzeniu polityki bezpieczeństwa powinniśmy zachować odpowiednią kolejność postępowania. Należy zaplanować kroki, jakie będą niezbędne w celu usprawnienia i uwiarygodnienia podjętych działań.

Pierwszym etapem jest dokładna analiza procesów zachodzących w przedsiębiorstwie pod kątem indywidualnych potrzeb i rodzaju działalności oraz przetestowanie słabych stron istniejącego systemu.

Powszechnie stosowaną metodą jest sprawdzenie istniejącej infrastruktury przedsiębiorstwa w celu ustalenia tego, co w chwili obecnej sprawia największe zagrożenie i co należy poprawić w pierwszej kolejności. Test ten dzieli się na kilka etapów m.in. polegający na próbie włamania do sieci wewnętrznej z zewnątrz organizacji.

Po zapoznaniu się ze specyfiką działania przedsiębiorstwa i analizie procesów dobierane są optymalne rodzaje zabezpieczeń, posiadających certyfikaty bezpieczeństwa uznanych firm certyfikujących. Przy ich wyborze uwzględniany jest oczekiwany poziom bezpieczeństwa, a także zgodność z wymogami standardów europejskich.

Zgodnie z opinią wyrażoną przez amerykański Narodowy Instytut Standardów i Technologii (NIST) poprawnie skonstruowana polityka bezpieczeństwa powinna uwzględniać następujące obszary związane z bezpieczeństwem systemów teleinformatycznych:

Identyfikacja i uwierzytelnianie określają mechanizmy autoryzacji użytkowników w systemie. Mechanizmy te zaimplementowane są we wszystkich współczesnych sieciowych systemach operacyjnych, a ich działanie uwidacznia się żądaniem podania nazwy i hasła użytkownika.

Kontrola dostępu sprowadza się do określenia praw poszczególnych osób do korzystania z zasobów systemu. Prawa te mogą zabraniać dostępu do określonych zasobów (plików, programów, urządzeń itp.) bądź ograniczać go tylko do podzbioru dozwolonych operacji, jakie użytkownik może na tych zasobach wykonać.

Śledzenie odpowiedzialności polega na możliwości odtworzenia historii operacji wykonanych w systemie w powiązaniu z jednoznaczną identyfikacją użytkowników, którzy zainicjowali ich wykonanie oraz czasem wykonania.

Badanie stanu bezpieczeństwa systemu jest ważnym zadaniem, które winno być realizowane periodycznie w celu utrzymywania zabezpieczeń systemu w stanie wysokiej gotowości. Popularność systemów wykrywania włamań i testowania zabezpieczeń rośnie.

Ochrona współdzielonych zasobów stanowi rozwinięcie zagadnienia kontroli dostępu. Dotyczy zaś tej grupy zasobów, która z racji ich współdzielenia przez wielu użytkowników jest szczególnie wrażliwa na zachowania naruszające zasady dobrej współpracy i działania w dobrej wierze.

PRAWA DOSTĘPU

Dyskretne
Dostęp do obiektu (plik, folder) są oparte na identyfikacji użytkownika. Każdy obiekt ma swego właściciela, który może określić kto i jakie ma prawo dostępu do danego obiektu. Używane np. Unix, NT, Novell.
Przykłady:
Macierz praw dostępu - Podmiot - kto ma prawo dostępu, Obiekt - wszystko to, do czego dostęp jest kontrolowany, Prawo dostępu - sposób w jaki można korzystać z obiektu.

Podobne działanie ma lista praw dostępu utworzona dla każdego obiektu.

Obowiązkowe
dostęp do obiektu jest kontrolowany w taki sposób, by przeciwdziałać przepływowi informacji, które mogą naruszyć politykę bezpieczeństwa. Wykorzystywane są m.in. w wersjach oprogramowania używanych w jednostkach militarnych. Przykłady użycia: odseparowanie sieci wewnętrznej od Internetu, zablokowanie komunikacji lub umożliwienie komunikacji jednostronnej (z części o niższej poufności informacji do strefy o wyższej poufności).

ZABEZPIECZENIA SIECI KOMPUTEROWYCH

Bezpieczeństwo systemu można chronić na kilka sposobów, związanych zarówno z wykorzystaniem narzędzi technicznych, jak i zwiększonego nacisku na personel sterujący:

Firewall
Firewall to zapora pomiędzy siecią wewnętrzną organizacji a dowolną siecią zewnętrzną albo pomiędzy działami firmy sieci lokalnej. Zadaniem ściany ogniowej jest chronić sieć wewnętrzną przed dostępem osób niepowołanych z sieci zewnętrznej. Firewall filtruje przychodzące i wychodzące dane, zapewnia dostęp do określonych usług internetowych i odrzuca usługi nie dopuszczone przez administratora. Zapisuje także zdarzenia związane z ruchem w sieci i alarmuje podczas prób włamania do systemu.

Kontrola dostępu

Weryfikuje tożsamość i autoryzację użytkowników systemów poprzez identyfikację użytkowników, czy określenie praw dostępu do poszczególnych zasobów.

szyfrowanie
Systemy szyfrujące służą do bezpiecznego przesyłania informacji po sieci komputerowej.

monitorowanie
Do monitorowania służą specjalne programy, które czuwają nad bezpieczeństwem sieci. Sprawdzają one, czy w sieci nie istnieją luki i błędy. Na bieżąco naprawiają wszelkie przekłamania, a ich monitoring pozwala na sporządzanie szczegółowych raportów na temat bezpieczeństwa sieciowego.

PRZYKŁADOWE ZAGROŻENIA

Ataki można podzielić na następujące grupy:

Ataki na serwery

Celem ataków jest częściowe lub całkowite zablokowanie dostępu użytkowników do serwera internetowego. Hakerzy stosują różnorodne techniki, jednak najczęściej przyjmują formę ataku na usługi lub ataku na zasoby. Atak na usługę oznacza skuteczne przyblokowanie portów komunikacyjnych serwera i jego odcięcie od sieci. Z kolei atak na zasoby prowadzi do nagłego zmniejszenia wolnych zasobów, a w konsekwencji może powodować zablokowanie lub zawieszenie serwera z powodu braku mocy obliczeniowej.

Ataki blokujące serwer nie są jednak uznawane za najgroźniejsze, ponieważ mimo udanego ataku haker nie przejmuje całkowitej kontroli nad systemem. Zablokowanie np. dostępu do sklepu internetowego może przynieść wprawdzie jego właścicielowi znaczne straty finansowe, jednak szkody związane z włamaniem do wnętrza systemu i zdobycie poufnych danych klientów takiego sklepu (hasła dostępu czy numery kont bankowych) byłyby dużo bardziej znaczące. Przykładowe metody wykorzystywane przy atakach na serwery:

DoS (Denial of service - unieruchomienie systemu)
Atak typu DoS jest przykładem metody prowadzącej do unieruchomienia serwera sieciowego. Głównym celem takiego ataku jest częściowe zablokowanie dostępu do wybranych usług np. www czy e-mail lub całkowite unieruchomienie serwera. W skrajnych przypadkach dochodzi nawet do zupełnego zawieszenia pracy systemu - co wymaga podniesienia takiego systemu poprzez fizyczną interwencję administratora czyli RESET.
Atak polega na wysyłaniu w krótkim czasie bardzo dużej ilości zapytań do serwera sieciowego. Serwer na każde zapytanie stara się odpowiedzieć, haker natomiast nie czekając na odpowiedz ze strony serwera ciągle wysyła kolejne zapytania. Prowadza to do sytuacji, w której serwer nie nadąża z odpowiedziami. Wzrasta obciążenie systemu i w kiedy ilość zapytań przekroczy możliwości obliczeniowe serwera, następuje jego blokada.

DDoS (Distributed Denial of service - rozproszone unieruchomienie systemu)
Jest to modyfikacja ataku typu DoS. Zmiana dotyczy miejsca, z którego dochodzi do ataku. Przy tradycyjnym DoS atak następował z komputera agresora, w tej metodzie przeprowadzany jest w sposób rozproszony tzn. z wielu komputerów jednocześnie. Komputery te znajdują się w różnych lokalizacjach, a ich użytkownicy nie są świadomi tego, iż właśnie biorą udział w ataku na serwer internetowy. Aby komputer taki mógł wziąć udział w ataku musi być wcześniej zarażony wirusem. Przeważnie są to wirusy typu koń trojański lub bomba logiczna, które dopiero na wyraźny sygnał od agresora uaktywniają się i rozpoczynają proces destrukcji. Wykrycie takiego wirusa jest stosunkowo trudne ze względu na to, iż aktywuje się on tylko i wyłącznie w momencie ataku, po czym znów przechodzi w stan uśpienia.
Metoda zwiększa bezpieczeństwo intruza.

Mail bombing - zasypywanie mailami
Mailbomber to określenie programów przeznaczonych do automatycznego wysyłania ogromnej liczby wiadomości e-mail na określony adres pocztowy. Liczba wysyłanych e-maili może sięgać nawet kilku setek na minutę.

Włamania do systemów

Ataki tego typu należą do najgroźniejszych ingerencji, jakim może ulec serwer. Głównym celem włamywacza jest wdarcie się do systemu komputerowego i zdobycie uprawnień administratora. Atak taki odbywa się w 3 etapach. Pierwszym etapem jest wtargnięcie do systemu i uzyskanie prostego konta na serwerze ofiary. Następnym krokiem jest stopniowe rozszerzanie uprawnień aż do uzyskania pełnych praw administratora. Ostatnim etapem jest zacieranie śladów włamania tak aby "prawdziwy" administrator nie zdołał się zorientować, iż padł ofiarą włamania.

że padł ofiarą włamania. Przykłady:

Podsłuchiwanie
Technika ta została stworzona na potrzeby administratorów i polega ona na "podsłuchiwaniu" wszystkich pakietów krążących po sieci komputerowej. Analiza takich pakietów pozwalała na łatwe wychwycenie jakichkolwiek nieprawidłowości w funkcjonowaniu sieci. Dzięki monitorowaniu pracy sieci administrator widzi jej słabe i mocne punkty np. źle skonfigurowany przełącznik czy miejsca szczególnie obciążone. Możliwość przechwycenia wszystkich informacji wymienianych poprzez sieć stało się atrakcyjne dla agresorów. Do analizy "śledzonych" pakietów stworzyli oni własne oprogramowanie, które umożliwia wychwycenie ważnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe.

Atak słownikowy

Atak polega na próbie nieautoryzowanego zalogowania się do systemu komputerowego bez znajomości hasła dostępu . W miejsce hasła podstawiane są kolejne słowa znajdujące się w pliku - słowniku. Plik - słownik może zawierać nawet do kilku tysięcy słów. Im jest większy tym większe prawdopodobieństwo trafienia poprawnego hasła.

Techniki destabilizacji systemów

Metody destabilizacji systemu są najmniej szkodliwymi i groźnymi sposobami ataków. Najczęściej wykonywane są przez zwykłych wandali komputerowych. Ich celem są najczęściej przeciętni użytkownicy komputera PC w biurze czy w domu, ponieważ większe serwery są na nie raczej odporne. Przykłady:

Robaki

Bomby logiczne

SYTUACJA W POLSCE

Computer Emergency Response Team (CERT) Polska od 1996 roku przyjmuje zgłoszenia dotyczące naruszeń bezpieczeństwa w Sieci i na ich podstawie sporządza coroczne statystyki. Oczywiście przedstawiają one zaledwie niewielki wycinek tego, co naprawdę dzieje się w polskim Internecie - niektórzy twierdzą, że rejestrowanych jest zaledwie około 2 proc. rzeczywistych incydentów. Na taki stan rzeczy wpływ ma wiele czynników:

niechęć do zgłaszania przypadków naruszenia bezpieczeństwa

zakazy wewnętrzne i zewnętrzne

brak wiedzy o możliwości zgłoszenia

nieświadomość, że włamanie nastąpiło.

Niemniej jednak statystyki te pokazują rosnącą liczbę incydentów. Coraz częściej wśród zgłaszanych przypadków znajdują się włamania do ważnych instytucji. Powodują one bardzo duże straty, ponieważ wyciekają na zewnątrz dane dużej wagi, jak informacje finansowe czy bazy z danymi osobowymi.

W Polsce w 2000r. Polski oddział Computer Emergency Response Team odnotował 192 przypadki naruszenia bezpieczeństwa teleinformatycznego. Największy odsetek stanowiły próby włamania do systemów:

Próba włamania do systemu - 19% (24)

Włamanie do systemu - 15% (19)

Skanowanie hosta - 15% (19)

Skanowanie sieci - 13% (17)

Ataki DoS (ang. Denial of Service) - 13% (16)

Ataki na WWW serwer (podmiana strony) - 6% (8)

Mail bombing - 5% (6)

Skanowanie firewall - 3% (4)

Inne (nielegalne oprogramowanie, social engineering) - 10% (13).

Głównym źródłem odnotowanych ataków były sieci nadzorowane przez ośrodki edukacyjne, takie jak wyższe uczelnie, szkoły (głównie szkoły średnie) oraz instytuty naukowe. Łącznie wszystkie te ośrodki stanowiły 42% (53) odnotowanych źródeł.