Realizacja usług
internetowych
Bezpieczeństwo systemu
komputerowego
Realizacja usług
internetowych
Bezpieczeństwo systemu
komputerowego
AGENDA
Polityka Bezpieczeństwa Informacji PBI
Bezpieczeństwo Systemu Komputerowego -
podział zagrożeń
Zalecenia Ochrony Systemu Komputerowego
Sprzymierzeńcy Ochrony Systemu
Komputerowego
Czy istnieje bezpieczny
system komputerowy ?
NIE !
Zagrożenia systemu
komputerowego
Podział ze względu na obszar z jakiego
nadchodzą
•Zagrożenia zewnętrzne
–
spoza domeny firmy
•Zagrożenia wewnętrzne
– z sieci wewnętrznej firmy
Podział ze względu na charakter
•Zagrożenia fizyczne
•Czynnik ludzki
Przyczyny utraty danych
czynnik ludzki
79%
awaria sprzętu
2%
inne
9%
błędy
oprogramowania
6%
awaria zasilania
4%
• Największe zagrożenie dla firm stanowią ich pracownicy !
Zagrożenia fizyczne
• awarie (zasilania, klimatyzacji, sprzętu)
• włamania (kradzież lub uszkodzenie
sprzętu)
• katastrofy (budowlane, zalania, pożary)
• wandalizm (uszkodzenia kabli
sieciowych)
• utrata pracownika
Zagrożenia fizyczne - zalecenia
ochrony
• opracować dokładny plan działań
na wypadek
zaistnienia wymienionych zdarzeń (element Polityki
Bezpieczeństwa Informacji PBI)
• stosować systemy zasilania awaryjnego
(UPS,
generator)
• duplikować kluczowe elementy systemu
(zapasowe serwery, urządzenia sieciowe)
• wyznaczać lokale zastępcze
• duplikować łącza do sieci
(zapasowe łącza)
• archiwizować dane
i przekazywać do magazynu danych
zlokalizowanego w możliwie odległym miejscu
Zagrożenia - czynnik ludzki
• działania nieświadome
(przypadkowe)
• działania świadome
(zaniedbania,
złe intencje)
Zagrożenia - czynnik ludzki
Działania nieświadome:
• brak polityki ochrony systemu
komputerowego w firmie
• błędy decyzyjne
• błędy wykonawcze
• błędy oprogramowania
• niski poziom wyszkolenia pracowników
Zagrożenia - czynnik ludzki
Działania świadome:
• ataki na system komputerowy
• złośliwe działania pracowników
• odejście pracownika wraz z dokumentacją do
konkurencji
• rozsyłanie niechcianej poczty
• naruszanie prywatności
Zagrożenia – czynnik ludzki – działania
nieświadome
• brak spójnej polityki ochrony systemu
komputerowego w firmie
– brak dokumentów określających zasady ochrony i zakres
odpowiedzialności poszczególnych jednostek czy osób);
przykład struktury dokumentu na stronie:
http://secinf.net/info/policy/policy.htm
co implikuje:
– brak wyznaczonych osób odpowiedzialnych za wybrane elementy
systemu komputerowego firmy,
– niewystarczająca opieka nad sprzętem komputerowym w
poszczególnych działach firmy,
– niekompletna dokumentacja infrastruktury sieciowej (słaby
nadzór nad wykonawcą),
– niedbałość użytkowników o infrastrukturę (np. zamalowywanie
gniazd sieciowych podczas remontów - słaby nadzór nad
wykonawcą),
Zagrożenia – czynnik ludzki – działania
nieświadome
• błędy decyzyjne – błędy wyboru
– sprzętu,
– systemu operacyjnego (MS Windows, Unix,
Linux, Novel NetWare),
– oprogramowania użytkowego
(klienta/serwera WWW, poczty, ftp,
aplikacji dedykowanej),
Zagrożenia – czynnik ludzki – działania
nieświadome
• błędy wykonawcze
– pomyłki i błędy w konfiguracji oprogramowania, np.:
• złe skonfigurowanie serwera WWW (prawa
wykonania skryptów .cgi, prawa dostępu do
plików konfiguracyjnych),
• złe skonfigurowanie serwera ssh (zezwolenie na
puste hasła, logowanie root-a, nadmiar informacji
o systemie),
• nadmiarowe prawa dostępu do katalogów/plików
systemowych,
• zła konfiguracja serwera poczty np. zezwolenie na
rozsyłanie obcych listów (relaying),
– błędy przy wdrażaniu systemów informatycznych,
Zagrożenia – czynnik ludzki – działania
nieświadome
• błędy oprogramowania systemowego i
użytkowego
-
przykład 10 najbardziej znanych dziur w
oprogramowaniu (pełną wersję raportu można znaleźć na
stronie: http://www.sans.org/topten.htm):
– BIND (Berkeley Internet Domain) (> BIND 8.2.2 patch level 5)
– CGI (Common Gateway Interface - język do obsługi formularzy
w WWW) - przykłady dostarczane wraz z serwerem zawierają
wady (usunąć niebezpieczne skrypty z serwera WWW,
– RPC (Remote Procedure Call) - zdalne wywoływanie procedur
- łamane techniką przepełnienia bufora, typowe do wstawiania
„backdoor” - zamknąć usługę, łatać,
– IIS (Microsoft Information Server) - komponent RDS (Remote
Date Services) - łamane techniką przepełnienia bufora
Zagrożenia – czynnik ludzki – działania
nieświadome
• błędy oprogramowania - przykład 10 dziur cd.
– sendmail - popularny serwer poczty (> sendmail v.8.10),
– sadmind - Sun Solaris (jak RPC), mountd - podatne na ataki
przepełnienia bufora
– global file sharing - usługi w rodzaju Network Neighborhood
(Windows), ApplesShare (Macintosh) lub NFS (Unix) -
wykorzystuje się błędy w konfiguracji,
– konta użytkownika bez hasła, albo z domyślnym hasłem,
– IMAP, POP - protokoły klientów poczty -łatać, uruchamiać
tylko na serwerach poczty,
– SNMP (Simple Network Managment Protocol) - domyślne
hasło=„private” - mocne hasła, baza MIB tylko do odczytu.
Zagrożenia – czynnik ludzki – działania
nieświadome
• błędy oprogramowania możemy także
znaleźć w:
- w oprogramowaniu klientów jak przeglądarki
WWW, czytniki poczty elektronicznej,
- w oprogramowaniu serwerów usług
internetowych jak: WWW, poczty, plików (ftp),
wydruków,
- w oprogramowaniu jądra systemów
operacyjnych jak Microsoft Windows czy Unix,
- w oprogramowaniu gier sieciowych.
Zagrożenia – czynnik ludzki – działania
nieświadome
•
niski poziom wyszkolenia pracowników korzystających z
systemu informatycznego - implikuje:
• pomyłki i błędy osób obsługujących oprogramowanie systemowe i
użytkowe - np. błędne funkcji systemu, przypadkowe usunięcie danych,
• błędy i pomyłki przy wprowadzaniu danych do systemu i aplikacji
użytkowych,
• zagrożenia wynikające z nieuwagi, naiwności czy zaniedbań,
• niska świadomość zagrożeń związanych z dostępem do sieci (np.
zarażanie komputerów wirusami otrzymanymi pocztą elektroniczną,
instalowanie programów nieznanego pochodzenia, niedbałość i
posiadanie licencji na użytkowane oprogramowanie),
• umożliwianie dostępu do serwerów firmowych nieuprawnionym
pracownikom (np. konta zabezpieczone hasłami, których nie zmieniano
od dawna),
• ograniczanie przepustowości sieci poprzez pobieranie plików video,
słuchanie programów radiowych,
Zagrożenia – czynnik ludzki – działania
świadome
• ataki - czego najczęściej chce napastnik ?
– Przeszukać komputer w poszukiwaniu poufnych
danych i przesłaniu ich do innego komputera,
– Zniszczyć wybrane lub wszystkie informacje na
zaatakowanym komputerze,
– Zmodyfikować system operacyjny komputera,
zostawiając w nim pułapki i tworząc nowe luki
w systemie bezpieczeństwa, lub zawiesić jego
działanie,
– Wykorzystać zainstalowane na komputerze
aplikacje finansowe typu home-banking w celu
defraudacji pieniędzy z konta,
Zagrożenia – czynnik ludzki – działania
świadome
• ataki na system komputerowy w celach
przestępczych:
– sabotaż komputerowy (np. przeciążanie
systemu w celu jego unieruchomienia DoS (ang.
Denial of Service, Distributed DoS),
• np.Ping Of Death - wysłany do komputera pakiet o złej
długości może obciążyć lub nawet zawiesić cały komputer
(najbardziej podatne na taki atak są komputery pracujące
pod kontrolą systemu Windows) - można to łatwo sprawdzić
wykonując polecenie ...albo nie!,
– wykorzystanie systemu do ataku na inny cel w
sieci,
– zniszczenie lub uszkodzenie danych,
Czynnik ludzki - działania świadome - ataki w
celach przestępczych cd.
– fałszowanie danych wprowadzanych do
systemu,
– kradzież czasu maszynowego,
– piractwo komputerowe,
– szpiegostwo komputerowe,
– rozpowszechnianie treści szkodliwych,
– oszustwa i fałszerstwa komputerowe,
Zagrożenia – czynnik ludzki – działania
świadome
• ataki na system komputerowy w celach
różnych
(głupota, trening, zabawa, zniszczenie systemu, ?):
– rozpowszechnianie oprogramowania (również
komercyjnego) zawierającego wrogi kod wprowadzony
przez programistę w celu nieuprawnionego dostępu do
zasobów klienta (ukryte funkcje) np.:
• oprogramowanie marketingowe zbierające dane o
upodobaniach klienta,
• oprogramowanie szpiegowskie FBI (Magiczna Latarnia - ang.
Magic Latern) - pomysł na połączenie wirusa komputerowego z
koniem trojańskim w celu śledzenia wybranych „ofiar” (m.in.
przechwytywanie danych z klawiatury ofiary) , albo koń
trojański umożliwiający pozyskiwanie kluczy do kodowania
wiadomości. Pomysł realizowany w porozumieniu w
producentami pakietów antywirusowych i zapór ogniowych.
Zagrożenia – czynnik ludzki – działania świadome -
ataki
– włamania w celu instalacji oprogramowania obcego
wykorzystywanego przez innych użytkowników sieci
(atakujących) w celach niezgodnych z prawem:
• podsłuchiwanie - sniffing,
• podszywanie się - spoofing,
• przechwytywanie - hijacking
– rozpowszechnianie wirusów - oprogramowania
zawierającego wrogi kod wprowadzony przez
programistę w celu wywołania określonych szkód w
systemie komputerowym ofiary:
• wirusy,
• konie trojańskie,
• robaki internetowe,
Zagrożenia – czynnik ludzki – działania świadome -
ataki
Podział wirusów
Według typu:
• wirusy - dyskowe, plikowe, mieszane (dyskowo-plikowe), makra
aplikacji pakietu MS Office (Word, Excel,Access, PowerPoint),
MS Outlook, VBS, inne
• konie trojańskie,
• robaki internetowe,
Według działania:
• niszczące dyski,
• niszczące pliki,
• pokazujące efekty video,
• wydające dźwięki,
• rozsyłające pocztę,
• inne.
Zagrożenia – czynnik ludzki – działania
świadome - ataki
Wirus
Złośliwy program komputerowy, który potrafi
tworzyć swoje kopie i dołączać je do innych
programów, odmiany - wirusy polimorficzne
(wielopostaciowe).
Zagrożenia – czynnik ludzki – działania świadome -
ataki
Koń trojański
Program, który pozornie wykonują jakąś
użyteczną operację, jednak de facto jego
zadaniem jest zaszkodzenie użytkownikowi. Na
przykład koniem trojańskim będzie program,
który przedstawia się jako elektroniczna
książka adresowa, zaś po uruchomieniu może
usunąć część zapisu z dysku twardego.
Zagrożenia – czynnik ludzki – działania świadome -
ataki
Robak internetowy
Robak (ang. warm) to program, który tworzy kopie samego siebie,
np. kopiując się z jednego dysku na inny, z jednego komputera na
inny, przenosi się za pomocą poczty elektronicznej, protokołów i
usług sieciowych, czy innego mechanizmu transportowego. Taki
program może być równocześnie wirusem dopisującym się do
innych plików, albo koniem trojańskim, wykradającym cenne dane
z komputera ofiary. Może on przybierać formy dowcipu, ale może
też powodować uszkodzenia lub zniszczenia sporej ilości danych.
Klasyczny robak nie potrzebuje do rozmnażania żadnego pliku
nosiciela. Przeciętny robak zawiera:
• procedurę instalacji w systemie (np. podmiana plików systemowych;
kod robaka zapisywany pod nazwą często używanego programu
Explorer, czy Notepad, a oryginalny pod nazwa zmienioną;
umieszczenie kodu w katalogu Autostart np.. jako rodzaj HTML-a z
rozszerzeniem .hta),
• mechanizm dystrybucji (np.poprzez e-mail, przez IRC, poprzez WWW,
• funkcje ujawniające jego istnienie.
Zagrożenia – czynnik ludzki – działania świadome - ataki
Robak internetowy - wykorzystuje technologie:
–
kopiowanie kodu maszynowego - komponenty ActiveX
(instalują się automatyczne) i moduły rozszerzające (plug-ins
- instalowane ręcznie),
–
CHM - skompilowane pliki HTML (Compiled HTML)
–
HTA – plik aplikacji HTML (HTML Application file),
–
Windows Script Host – usługa pozwalająca na uruchomienie
skryptów VBScript (pliki VBS, VBE) i Jscript (pliki JS i JSE)
bezpośrednio w środowisku systemowym, bez pośrednictwa
przeglądarki WWW),
–
ZIP – format archiwum plików (uruchamiany przez WinZip),
–
COM – Command (zapomniane rozszerzenie pliku
wykonywalnego) np. podszywanie się pod adres WWW
(www.back2afrika.com),
Literatura: Software nr 9 (81) IX 2001
Przeboje roku 2001
Listę 10 najgroźniejszych wirusów 2001 roku opublikowało
wydawnictwo Computer Associates. Lista dostępna jest pod
adresem:
http://www3.ca.com/Press/PressRelease.asp?id=1856
Lista oparta została na danych ośrodka badań nad wirusami - eTrust.
Ponad 90 procent z listy czołowych wirusów rozpowszechnia się
pocztą elektroniczną.
1.Win32.Badtrans.B,
6.Win32.Hybris.B,
2.Win32.Sircam.137216, 7.Win95.MTX,
3.Win32.Magistr, 8.Win32.Nimda.A,
4.Win32.Badtrans.13312, 9.VBS.VBSWG.Generic,
5. Win32.Magistr.B,
10.Win32.Goner.A
Najświeższe alerty styczeń 2002:
18.01.02 Klez.E (rozsyła kopie pocztą)
15.01.02 Badcon (zawiesza
Windows)
17.01.02 TempX (hiszpańsko języczny)
14.01.02 Lastscene (robak i trojan)
16.01.02 Fałszywy alarm - Leukemia
11.01.02 Gigger (formatuje dysk)
Zagrożenia – czynnik ludzki – działania
świadome
• złośliwe działania pracowników
• odejście pracownika wraz z
dokumentacją do firmy konkurencyjnej
Zagrożenia – czynnik ludzki – działania
świadome
• rozsyłanie niechcianej poczty
– spam (zwany UCE - Unsolicited Commercial e-mail) - to
próba dostarczenia listu e-mail bez zgody adresata
(przeważnie ogłoszenia reklamowe). Adresy pocztowe
uzyskuje się poprzez skanowanie listów wysyłanych do
grup dyskusyjnych, kradzież adresów z list dyskusyjnych
lub przeszukiwanie stron WWW.
– relaying
-
wykorzystywanie
cudzych
serwerów
pocztowych o szybkim łączu internetowym w celu
rozesłania
własnego
spamu
(często
z
powodu
dysponowania zbyt wolnym łączem własnym),
Zagrożenia – czynnik ludzki – działania
świadome
• naruszanie prywatności
– pobieranie informacji o nas z plików
konfiguracyjnych komputera za pośrednictwem
plików cookie przysyłanych nam wraz ze
stronami WWW,
– j.w. ale zamiast cookie wykorzystuje się zapis
numeru identyfikacyjnego systemu zapisany w
rejestrze komputerów pracujących pod
Windows,
Jak walczyć z niechcianą pocztą ?
• zmiana konfiguracji serwerów pocztowych:
– blokowanie poczty przychodzącej od niechcianych nadawców,
– blokowanie przyjmowania poczty do wysłania od niechcianych
nadawców,
• blokowanie adresów IP (filtrowanie poczty),
• informowanie serwisów zajmujących się ściganiem
nadużyć w sieci (Nask, TPSA i inne) - przykładowe
adresy internetowe:
– filtrowanie poczty e-mail przez użytkowników końcowych
http://spam.abuse.net/spam/tools/mail-block.html#filters
– blokowanie spamu przychodzącego z określonego serwera:
http://spam.abuse.net/spam/tools/mail-block.html
– blokowanie adresów IP:
http://spam.abuse.net/spam/tools/ipblock.html
A gdzie najczęściej są wirusy, robaki, konie
trojańskie ?
• załączniki poczty e-mail:
– pole FROM: podmienione w celu uśpienia czujności,
np. wrogi program rozsyła pocztę z zarażonego
komputera, jako samodzielny serwer pocztowy
podszywając się pod właściciela zaatakowanego
komputera. W szczególności ostrożnie należy
traktować załączniki zawierające rozszerzenia
wykonywalne (.exe, .hta, .vbs, .js, .scr, .pif, .shs, .bat,
.sh, .pl),
– dokumenty programów MS Word i MS Excel (pliki
.doc, .dot, .xls, xlm) generalnie są bezpieczne.
Jednakże czasem nasz komputer nie pokazuje
poprawnie nazw załączników.
Przykład:
A gdzie najczęściej są wirusy ?
- załączniki -
przykłady
załącznik o nazwie "resume.doc.exe" może być
wyświetlony jako "resume.doc", co wygląda na mało
ryzykowny dokument programu MS Word, a w
rzeczywistości jest wysoce ryzykownym plikiem
wykonywalnym zdolnym do przejęcia całkowitej
kontroli nad naszym komputerem. Możemy się
ochronić
przed
takimi
podstępami
całkowicie
wyłączając otwieranie załączników poprzez podwójne
klikanie na nich. Zamiast tego należy zapisać załącznik
na dysku, i otworzyć tylko aplikacją odpowiednią do
jego rozszerzenia za pomocą polecenia menu Plik >
Otwórz. Jeśli będzie poprawny to będziemy mogli go
obejrzeć.
A gdzie najczęściej są wirusy ?
- załączniki -
przykłady
załącznik postaci "resume.doc" (prawy przycisk myszy -
zapisać do pliku) i otworzyć programem MS Word.
Załącznik "budget.xls" po zapisaniu, otwieramy
poleceniem Plik > Otwórz programu MS Excel, zaś
"myVacation.jpg" po zapisaniu otwieramy programem
Netscape lub IE.
Można zmienić domyślne ustawienia w Windows, tak
aby rozszerzenia były wyświetlane poprawnie.
Mianowicie w programie Eksplorator Windows w opcji
Widok > Opcje Folderów > zakładka Widok odznaczamy
opcje "Ukrywaj rozszerzenia plików znanych typów".
Bardziej zaawansowanym użytkownikom można polecić
usunięcie z rejestru zapisu "NeverShowExt", ale ma to
swoje dodatkowe konsekwencje,
A gdzie najczęściej są wirusy, robaki, konie
trojańskie ? cd.
• w darmowym oprogramowaniu (ang.
freeware) albo bardzo tanie (ang. shareware)
dostępne w sieci albo rozprowadzone z
czasopismami na krążkach CD, na stronach
WWW o specyficznych zainteresowaniach
(kasyna, domy publiczne),
A gdzie najczęściej są wirusy, robaki, konie
trojańskie ? cd.
• pliki udostępniane poprzez Instant Messenger,
ICQ, IRC, itp.,
• pliki udostępniane poprzez usługę Microsoft
Windows "Udostępnianie plików i drukarek"
(Microsoft File Sharing), odpowiednio
Appleshare i Unix NFS (Network File System),
• grupy dyskusyjne,
• makropolecenia w dokumentach,
A gdzie najczęściej są wirusy, robaki, konie
trojańskie ? cd.
• strony WWW lub wiadomości e-mail w
formacie HTML zawierające lub
uruchamiające elementy sterujące ActiveX.
ActiveX jest zbiorem technologii, protokołów
oraz interfejsów programowych stworzonych
przez firmę Microsoft i przeznaczonych do
tworzenia kodu kopiowanego przez Internet.
Kod umieszczany jest w specjalnym pliku,
nazywanym elementem sterującym ActiveX
(albo formant ActiveX) i noszącym
rozszerzenie OCX.
Przykłady postaci wrogiego kodu, który może
przejąć sterowanie naszego komputera:
• pliki programów jak windows.exe,
• pliki skryptów takich jak .vbs (Visual Basic Script), .js Java Script),
.bat (plik wsadowy), makropolecenia, skryptu powłok systemu unix,
skrypty w języku perl. Mogą one być samodzielne albo dołączone do
listów przesyłanych w formacie HTML, jako załączniki do listów, lub
jako części dokumentów innych aplikacji jak arkusze kalkulacyjne,
procesory tekstu (edytory), pliki prezentacji, i bazy danych,
• elementy sterujące ActiveX (które mogą być plikami .exe lub .dll
(dynamic library link), ale których rozszerzeń możemy nie widzieć
jeśli są ładowane (uruchamiane) przez przeglądarki lub inne
aplikacje,
• w ograniczonym zakresie skrypty VBScript i JavaScript osadzone w
stronach WWW lub listach (e-mail) i które wywołują sterowniki
ActiveX,
• specyficzne dla danej platformy programowej jak Windows HTML
Aplications (.hta),
• aplety języka Java, które mają wady w implementacji.
Zalecenia dla każdego użytkownika systemu
komputerowego
Zalecenia dla administratora systemu
komputerowego (ale nie tylko):
• Zainstalować możliwie pełny zestaw oprogramowania
ochronnego włączając oprogramowanie antywirusowe i
ściany ogniowe (na PC osobiste), szyfrowanie, certyfikaty,
• Regularnie aktualizować oprogramowanie antywirusowe,
• Śledzić informacje o najnowszych zagrożeniach
i fałszywych alarmach (np. na stronie,
http://www.mks.com.pl/,
• wpisz się odpowiednią na listę adresową biuletynów alarmowych,
• Korzystaj z narzędzi hakerów do weryfikacji jakości
własnych zabezpieczeń,
Zalecenia dla każdego użytkownika systemu
komputerowego
• Nie udostępniać serwera przed zaimplementowaniem
najnowszych łat i skonfigurowaniem wszystkich aplikacji,
• Regularnie implementować łaty - dostępne na stronach
producenta albo poprzez specjalne usługi (np. Windows
UpDate Microsoftu) wpisz się odpowiednią na listę
adresową biuletynów alarmowych - np. Microsoft
Security Bulletin Mailing List, Sun Security (patrz
załącznik z adresami)
• Regularnie aktualizować posiadane oprogramowanie
systemowe i użytkowe - śledząc informację o zmianach
i ewentualnych błędach na stronach producentów,
• Nadawaj rozsądne (najlepiej minimalne) prawa do
zasobów systemowych (Unix, Windows),
Zalecenia dla każdego użytkownika systemu
komputerowego
Zalecenia dla użytkownika systemu
komputerowego
(ale nie tylko):
• Ostrożnie obsługiwać pocztę elektroniczną – niespodziewane
wiadomości wraz z załącznikami usuwać, pamiętając aby opróżnić
kosz,
- nie otwieraj żadnych plików, które przychodzą do Ciebie
pocztą elektroniczną, jeśli ich nie oczekiwałeś (zwłaszcza
jeśli wysłał je ktoś znajomy albo szukający pomocy),
- nie akceptuj odbioru plików, które ktoś do Ciebie wysyła za
pomocą systemu wymiany komunikatów (ICQ, Netscape
Messenger, Microsoft Messenger) lub IRC, jeśli nie jest to
plik, którego się spodziewasz,
- blokuj widok okna z treścią listu i możliwość
automatycznego odczytu (otwierania) załączników w
Outlook'u,
Zalecenia dla każdego użytkownika systemu
komputerowego
• Kieruj się zdrowym rozsądkiem korzystając z
serwisów WWW, kopiując programy poprzez
Internet,
• Weryfikuj tożsamość serwerów (certyfikaty),
• Weryfikuj autentyczność i integralność pobieranych
pakietów oprogramowania (sprawdzaj podpisy
cyfrowe, sumy kontrolne),
• Korzystaj z szyfrowania połączeń internetowych
(ssh, ssl),
• Podpisuj ważną korespondencję swoim kluczem,
korzystaj z przesyłek szyfrowanych (PGP),
• Nie udostępniaj własnych zasobów poprzez sieć,
Zalecenia dla każdego użytkownika systemu
komputerowego
• Zwracaj szczególną uwagę na wszelkie
ostrzeżenia programowe (np. o
makropoleceniach w plikach MS Office, z
przeglądarki o przesyłanych nam plikach
sterujących (np. ActiveX, cookie),
• Zachowaj czujność przy przeglądaniu stron,
które otwierają dodatkowe okna z propozycją
instalacji dodatkowych komponentów
oprogramowania (przykład: patrz strona
McAfee),
• Nie uruchamiaj nieznanego programu !!
Włamanie - co robić
?
• Lepiej: CZEGO NIE ROBIĆ:
– Zaprzeczać, że nastąpił atak,
– Panikować,
– Usuwać ewidencję dotyczącą ataku,
– Cokolwiek by się robiło - nie powiadamiać
organów ścigania,
– Ignorować pogłoski.
Kto nam pomoże ? – alerty antywirusowe
Adresy producentów oprogramowania
antywirusowego:
1. http://www.mks.com.pl – Mks Vir
2. http://www.symantec.com/
http://www.norton.com/ - Symantec
Corporation (Norton
AntyViren Kit)
3. http://www.mcafee.com/ - Mc Afee
4. http://www.sophos.com/ - Sophos Anty-Virus,
Kto nam pomoże ? – alerty o wykrytych
słabościach
Adresy internetowe instytucji wspierających prace
nad bezpieczeństwem systemów
komputerowych:
•
– www.sans.org
•
– www.cert.org - CERT - Computer Emergency Response Team
•
– www.cert.pl - Polski oddział CERT
•
– www.nask.pl - NASK
•
– www.ensi.net - European Network Security Institute
•
– www.nipc.gov - FBI National Infrastructure Protection Center
•
– www.securityfocus.com - SecurityFocus
•
– www.rootshell.com
•
– www.gocsi.com/ Computer Security Institute
•
– www.bsa.com - Business Software Alliance
•
– cve.mitre.org - Comprehensive Vulnerabilities and Exposure
•
– www.hert.org - Hacker Emergency Response Team
Kto nam pomoże ? – alerty o wykrytych
słabościach
Zajrzyj także tutaj:
– security.vt.edu;
–
www.cornell.edu/CPL
–
www.w3.org - World Wide Web
–
www.cs.purdue.edu/cost/
–
www.geocities.com/SiliconValley/Byte/9853/index.html
–
ciac.llnl.gov
–
www.securitysearch.net
Support producentów:
•
Microsoft
–
www.microsoft.com/technet/default.asp
–
support.microsoft.com - w języku polskim
•
Sun Security Coordination Team (wydawca Sun Security
Bulletin)
–
http://www.sun.com/
Kto nam pomoże ? – alerty o wykrytych
słabościach
Adresy e-mail na które można wysyłać alerty:
bugtraq
vuln-dev
SuSE Security Announcement
NetBSD Security Advisory security-officer
Debian
Security
Announcements
debian-security-announce
SGI Security Coordinator agent99
Mandrake Linux Security Team security
Red Hat Security Advisory linux-security
vulnwatch
Kto nam pomoże ? – narzędzia programowe
, LanWatch,
Projekt Abacus –
abacus - szereg narzędzi IDS - do
detekcji włamań,
Tripwire –
org - program służy do sprawdzania
integralności plików (na zasadzie porównań z zapisem w
specjalnej bazie),
SATAN - Security Administration Tool for Analyzing Networks -
program do analizy systemu z zewnątrz, czyli jako napastnik,
IIS - Internet Security Scaner - www.iis.net,
tcpwraper - program do monitorowania i filtrowania zgłoszeń
przesyłanych do serwerów usług internetowych,
SSH - kryptograficznie zabezpieczony program terminala (zastępuje
telnet), umożliwiającym bezpieczne prowadzenie interaktywnych
sesji,
Kto nam pomoże ? – narzędzia
programowe
AIDE – http://www.cs.tut.fi/~rammer/aide.html
Integrit – http://integrit.sourceforge.net/
Prelude – http://prelude.sourceforge.net/
ImSafe – http://imsafe.sourceforge.net/
Systemy do detekcji intruzów:
SNORT –
/ (Linux IDS)
Patrz: Linux+ Bezpieczeństwo Nr 1/2002 (57)
Techniki hakerskie
Uzupełnienie:
Skanowanie sieci komputerowych (pakiet dsniff )
Przepełnianie buforów i dziwne łańcuchy formatujące (atak poprzez dane),
Łatanie „żywego” jądra – modyfikacje w pamięci jądra
Wirusy - skryptowe robaki internetowe
Infekcja plików ELF (Executable and Linking Format) – czyli wirusowe
infekcje plików wykonywalnych w Linuksie
Ataki bazujące na efekcie psychologicznym (np. podszywanie przy użyciu
JavaScriptu (inicjowanie okien dialogowych nazwy i hasła
użytkownika ,
Ataki typu blokada usługi (ataki na procesor i stos, niemożność przerwania
działania skryptu, ataki na plik wymiany, ataki na system okien),
Fałszowanie informacji o stanie przeglądarki za pomocą JavaScriptu,
Tworzenie lustrzanych kopii określonych witryn (ang. mirror wolrd web
site),
Kto nam pomoże ? – listy adresowe
producentów
Listy adresowe i strony WWW wybranych producentów:
Apple
http://lists.apple.com/mailman/listinfo
/security-announce mailing list
http://www.apple.com/support/security/security_updates.html
web site
Caldera/OpenLinux
.com/support/forums/announce.html mailing
list
.com/support/security/ web site
Cisco
.com/warp/public/707/advisory.html web site
Compaq
http://www.support.compaq.com/patches/mailing-list.
shtml mailing list
Debian Linux
http://www.debian.org/MailingLists
/subscribe mailing list
http://www.debian.org/security
/ web site
Kto nam pomoże ? – listy adresowe
producentów
Listy adresowe i strony WWW wybranych producentów:
FreeBSD
http://www.freebsd.org/handbook/eresources
mailing list
Hewlett Packard
IBM AIX
http://www.austin.ibm.com/support/sp/resctr/aixservlist
Mandrake Linux
http://www.linux-mandrake.com/en/flists
.php3 mailing list
http://www.linux-mandrake.com/en/security
/ web site
Microsoft products
https://www.microsoft.com/technet
/security/notify.asp mailing list
http://www.microsoft.com/technet
/security/current.asp web site
Kto nam pomoże ? – listy adresowe
producentów
Listy adresowe i strony WWW wybranych producentów:
NetBSD
MailingLists/ mailing list
Netscape
.com/security/notes/index.html web site
Novell Unknown
OpenBSD
.org/mail.html mailing list
.org/security.html web site
Oracle
http://otn.oracle.com/deploy/security/index2.htm?Info&alerts.
htm web site (needs scripts enabled and support contract),
ftp://oracle-ftp.oracle.com/server/
patchsets/ web site (anonymous
ftp)
Kto nam pomoże ? – listy adresowe
producentów
Listy adresowe i strony WWW wybranych producentów:
RedHat Linux
.com/mailing-lists/ mailing list
.com/support/errata/ web site
SCO/UnixWare
http://www.caldera.com/support/
ftplists/ web site
SGI
.com/support/security/wiretap.html mailing list
.com/support/security/advisories.html web site
Slackware Linux
.com/lists/ mailing list
Sun products
http://sunsolve.sun.com/pub-cgi
/show.pl?target=security/sec mailing list
http://sunsolve.sun.com/pub-cgi/secBulletin
.pl web site
Kto nam pomoże ? – listy adresowe
producentów
Listy adresowe i strony WWW wybranych producentów:
SuSE Linux
http://www.suse.com/en/support/mailinglists
/index.html mailing list
.com/us/support/security/ web site
Trustix
http://www.trustix.net/support/ mailing list
WFTPD, WFTPD Pro
http://www.wftpd.com/bugpage.htm web site
Słownik
Authenticode - opracowana przez Microsoft technologia, pozwalająca
użytkownikom na określenie autora danego fragmentu kodu i
stwierdzenie, czy program był modyfikowany od czasu jego
pierwszego opublikowania. Technologia bazuje na podpisach
cyfrowych i kluczach publicznych. Kod podpisany nie musi być
bezpieczny!
Certyfikaty - urzędów certyfikacji, serwerów, osobiste, producentów
oprogramowania,
Urzędy certyfikacji - (ang. Certification Authority, CA) są organizacjami
wydającymi certyfikaty kluczy publicznych. Wydane certyfikaty
potwierdzaj a, że dany klucz publiczny należy do określonej osoby
lub firmy. Wewnętrzne urzędy certyfikacji - w ramach firmy.
Zewnętrzne urzędy certyfikacji potwierdzające tożsamość
pracowników lub klientów. Np. American Express CA, VeriSign,
Microsoft Authenticode Root, W Polsce np. dowód osobisty,
polcard, Signet (www.signet.pl)
Słownik
Certyfikaty serwerów - każdy serwer wykorzystujący protokół SSL
musi posiadać certyfikat. Kiedy przeglądarka łączy się z serwerem
za pomocą protokołu SSL, serwer przesyła jej swój klucz publiczny
w certyfikacie X.509 v3. Certyfikat używany jest do potwierdzenia
tożsamości serwera i dystrybucji jego klucza publicznego, który
używany jest do szyfrowania informacji przesyłanych z
przeglądarki do serwera w pierwszym etapie wymiany informacji.
Format certyfikatów stosowanych w protokole SSL jest dostępny
na
stronie:
http://home.netscape.com/products/security/ssl/certformat.html,
Certyfikat cyfrowy użytkownika - również wydawane przez urzędy
certyfikacji. Zawierają klucz publiczny użytkownika (można nim
szyfrować
np.
pocztę
elektroniczną).
Patrz
strona:
http://digitalid.verisigncom/,
Certyfikaty kodu programowego - technologia Microsoft Authenticode.
Więcej
na
stronach:
http://www.w3.org/pub/WWW/Security/Dsig/Overview.html,
Słownik
Cookies - firmy Netscape - blok zapisanego w ASCII tekstu, który
serwer może przesłać do przeglądarki użytkownika
(przechowywane w pamięci przeglądarki, a może być
zapisane na dysku. Np. sklep internetowy może zapisywać w
cookie identyfikator klinta, co umożliwia rejestracje i
śledzenie zawartości jego wirtualnego koszyka z zakupami.
Strefy internetowe Outlook’a - poziomy bezpieczeństwa
Klasy bezpieczeństwa oprogramowania
Kryptografia
Kryptografia jest zbiorem metod zabezpieczania informacji.
Procesy:
• szyfrowanie - zamiana wiadomości tekstowej (jawnej) na
wiadomość zaszyfrowaną (niejawną). Realizowane funkcją
złożoną (algorytmem szyfrowania) z użyciem klucza
szyfrującego,
• deszyfrowanie - proces odwrotny do szyfrowania, realizowany
inną funkcją złożoną z użyciem klucza deszyfrującego. Klucze
szyfrujący i deszyfrujący mogą być identyczne albo różne.
Algorytmy kryptograficzne:
• algorytm z kluczem symetrycznym (prywatnym, tajnym)
• algorytm z kluczem publicznym (szyfrowanie - z kluczem
publicznym, deszyfrowanie z kluczem prywatnym ;stąd: klucz
asymetryczny),
• systemy hybrydowe - z kluczem publicznym i prywatnym.
Kryptografia
Algorytmy z kluczem symetrycznym
-
stosowane do szyfrowania dużych bloków lub ciągłych
strumieni (o różnej mocy kryptograficznej):
• DES (Data Encryption Standard)
• DESX
• Triple-DES
• Blowfish
• IDEA (International Data Encryption Algorithm)
• RC2
• RC4
• RC5
• Skipjack
Kryptografia
Algorytmy z kluczem publicznym
- (o różnej
mocy kryptograficznej):
• Wymiana kluczy Diffiego-Hellmana
• RSA
• ElGamal
• DSS (Digital Signature Standard)
Kryptografia
Skróty wiadomości - generatory skrótów
wiadomości
Generator skrótów wiadomości (ang. message digest function) -
przetwarza informacje umieszczone w pliku (niezależnie od
jego wielkości) na pojedynczą, dużą liczbę (128-256 bitów).
Generatory nie są wykorzystywane do szyfrowania lub deszyfracji.
Generatory skrótów wiadomości wykorzystuje się przy tworzeniu
podpisów cyfrowych, kodów uwierzytelniających wiadomości
(ang. Message Authentication Code, MAC) oraz generacji
kluczy szyfrujących na podstawie haseł.
Generatory skrótów wiadomości zwane są także
jednokierunkowymi funkcjami mieszającymi (ang. one-way
hash function).
Kryptografia
Przykłady generatorów skrótów wiadomości:
• HMAC (Hashed Message Authentication Code)
• MD2 (Message Digest #2)
• MD4 (Message Digest #4)
• MD5 (Message Digest #5)
• SHA (Secure Hash Algorithm)
• SHA-1
Generatory skrótów wiadomości są doskonałą metodą
wykrywania bardzo niewielkich zmian w bardzo dużych
plikach! Dwa różne pliki mogą mieć taką samą wartość
skrótu (zjawisko kolizji). Bezpieczny generator to taki, który
gwarantuje, że obliczeniowe ustalenie kolizji będzie
nieopłacalne.
Kryptografia
Współczesne systemy kryptograficzne:
• programy i protokoły wykorzystywane do szyfrowania wiadomości
poczty elektronicznej (mogą także służyć do szyfrowania plików)
– PGP (Pretty Good Privacy - całkiem niezła prywatność),
– S/MIME (Secure/MIME - Multipurpose Internet Mail Extensions -
wielozadaniowe rozszerzenia poczty internatowej),
• protokoły sieciowe dostarczające narzędzi służących do
zagwarantowania poufności, uwierzytelnień, integralności i
niezaprzeczalności. Wymagane jest, aby komunikacja pomiędzy
klientem i serwerem odbywała się w czasie rzeczywistym (bez
opóźnień)
– SSL,
-- SET oraz CyberCash -- Kerberos
– PCT,
-- DNSSEC
-- SSH
– S-HTTP -- Ipsec oraz IPv6
Kryptografia
• SSH Secure Shell oferuje następujące typy
autentykacji użytkownika:
– Unix, Windows: Passwd,
– Public Key,
– Certificates (PKI),
– Smart Cards,
– Hostbased – for unix only,
– Kerberos5,
– PAM,
– SecureID,