Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Przykładowe straty
Bezpieczeństwo informacji
wg. Computer Security Institute (CSI)
 zagrożenia
w publikacji "2000 Computer Crime and Security Survey"
90% respondentów (głównie wielkie korporacje i agencje rządowe) w ostatnich 12 miesiącach
wykryły włamania komputerowe.
70% odnotowało różne poważne przełamania zabezpieczeń inne niż te powszechnie znane jak
wirusy, kradzież laptopów czy niewłaściwe używanie sieci przez pracowników.
Są to kradzieże ważnych informacji, oszustwa finansowe, penetracja systemów
dr inż. Bolesław Szomański z zewnątrz, ataki powodujące utratę możliwości pracy (denial of service) i sabotaż skierowany na dane
lub sieci.
Zakład Systemów Zapewniania Jakości
71% przyznało się do strat finansowych spowodowanych włamaniami komputerowymi.
Instytut Organizacji Systemów Produkcyjnych
41% zgodziło się i/lub byli w stanie ocenić swoje straty finansowe.
Wydział Inżynierii Produkcji
Straty całkowite tych 273 respondentów wyniosły $265,589,940 (średnia całkowita strata
Politechnika Warszawska
roczna w ciągu ostatnich trzech lat wynosiła $120,240,180).
b.szomanski@wip.pw.edu.pl
Rodzaje zagrożeń ze względu na
Przykłady Zagrożeń
skutki
Utrata informacji
Przypadkowe skasowanie
Ludzkie Środowiskowe
Wywołana awarią sprzętu lub błędem oprogramowania
Celowa (skasowanie, kradzież sprzętu)
Rozmyślne Przypadkowe
Kradzież informacji
Podsłuch Pomyłki i pominięcia Trzęsienie ziemi
Modyfikacja informacji
Błąd ludzki lub usterka oprogramowania (rzadko sprzętu)
Modyfikacja informacji Skasowanie pliku Piorun
Zamierzona (zwykle w celu ukrycia nadużyć)
Włamania do systemu Nieprawidłowe skierowanie Powódz

Zniszczenie zasobów i informacji
Klęska żywiołowa
Złośliwy kod Wypadki fizyczne Pożar
Sabotaż lub terroryzm
Kradzież
2007-03-28 (c)B.Sz Strona 1 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
y
ródłazagrożeń
Zagrożenia wg sposobu wystąpienia
o brak mechanizmów lub nieskuteczne mechanizmy kontroli dostępu
do sprzętu oprogramowania i danych (nieuprawniony dostęp do
Zagrożenia związane z nieuprawnionym dostępem do systemu
zasobów systemu),
Przypadkowe wejście
o niewłaściwa administracja systemem informatycznym,
Umyślny atak
o zaniedbania i błędy użytkowników,
Nieuprawniony dostęp od wewnątrz
o niezadowolenie pracowników (mających dostęp do istotnych
Złośliwy kod
informacji) z warunków pracy,
Zagrożenia związane z przenikaniem elekromagnetycznym
o programy wirusowe, bomby logiczne, konie trojańskie, robaki
Zagrożenia związane z jakością sprzętu komputerowego
komputerowe
Zagrożenia zawiązane z awarią oprogramowania
o ingerencja intruzów specjalizujących się w przełamywaniu
Zagrożenia związane z atakiem fizycznym
zabezpieczeń (tzw hakerów),
o możliwość podsłuchu aktywnego i pasywnego,
o retransmisja informacji
...szantaż: haker zażądał od jednego z banków niemieckich
(Verbraucherbank) miliona marek za nie ujawnianie danych o
Rodzaje zagrożeń
kontach klientów..
...wysuwane są również żądania okupu za nie ujawnianie
nieuprawniona modyfikacja informacji
ukrytych programów, mogących siać spustoszenie w systemach
kradzież istotnych informacji: cenne i poufne informacje trafiają w należących do ofiary.
niepowołane ręce
...sabotaż przemysłowy ...ataki mające na celu obniżenie
zniszczenie fizyczne: np. kopii bezpieczeństwa czy sprzętu
sprawności funkcjonowania infrastruktury informatycznej
powielenie komunikatu: np. przelewu
konkurenta lub spadek zaufania do firmy, nie mogącej zapewnić
podszycie się pod inną osobę
bezpieczeństwa danych klientów
zaprzeczenie wykonania operacji
Najgroz
niejsi okazują się pracownicy firmy (np. chowający urazę
sabotaż zasobów: kradzież sprzętu , obciążenie sieci w celu
za złe traktowanie): programista jednej z amerykańskich firm
uniemożliwienia przesyłania danych
odchodząc od swego dotychczasowego pracodawcy pozostawił
program (bombę cyfrową), regularnie niszczący nowe projekty.
niedbalstwo użytkowników
Firma poniosła straty w wysokości 10 mln $
"Wirtualne przestępstwa, realne straty" PC Kurier nr16.1999r
2007-03-28 (c)B.Sz Strona 2 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Kod złośliwy
Spam
Bomba logiczna
Niechciana i nie zamawiana poczta e-mail
Backdoor
Skutecznie blokuje łącza i skrzynki pocztowe
Wirus
Około 65% przysyłanych wiadomości stanowi spam (cyberatlas.com)
Robak internetowy
Spam powoduje globalne koszty w wysokości około 20,5 miliarda $
(MessageLabs)
Koń trojański
Coraz częściej istnieją porozumieniach między twórcami wirusów a spamerami...
........
Nowe technologie: robak rozsyłający spam na telefony komórkowe
Penetracje
Programy antyspamowe
systemów
Coraz częściej poczta nie dociera bo jest traktowana jako spam
Bywają kłopoty z połączeniem
http://arakis.cert.pl/
Ważne wiadomości nie docierają lub są oznaczane jako spam
W ramach walki ze spamem czytane są listy
i kasowane zaszyfrowane pliki lub załączniki
Exploity wykorzystujące znane podatności
np.
Coraz krótszy czas na przygotowanie  łatki
Z konferencji BiN wrzesień 2004
80% spamu nasz program likwiduje
Automatyzacja ataków (komputery  zombie )
Zaszyfrowane załączniki i maile kasujemy
Nowe rodzaje ataków (Wi-Fi, Bluetooth)
Resztę korespondencji czytamy żeby wiedzieć czy to nie spam
2007-03-28 (c)B.Sz Strona 3 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Inżynieria społeczna Oszustwa
 Insiders  szpiedzy podstępnie wprowadzani do firm
Podszywanie się pod inne osoby (praktykant, nowy administrator, laik
komputerowy& )
Biały Wywiad, Dump Diving
Kradzieże tożsamości
Fałszywe e-maile z prośbą o podanie haseł, kodów PIN
Poszukiwanie informacji poprzez czaty, listy dyskusyjne, strony
prywatne
83% brytyjskich użytkowników
Oszustwa na aukcjach internetowych
komputerów zgodziło by się podać
swoje hasło w zamian za Snickersa
Liczba oszustw systematycznie rośnie
(RSA Security)
Obraz
liwa i nielegalna treść Największe włamania...
są oraz pozostaną tajemnicą, lecz wiadomo że:
Pornografia & pedofilia
Wiele banków znajduje w swoich systemach konie trojańskie
Promowanie brutalności, terroryzmu, rasizmu a nawet
e-przedsiębiorstwa niespodziewanie tracą informacje o swoich
anoreksji
klientach (np. numery kart kredytowych) czy też całe kontrakty
Codziennie wiele witryn zostaje zaatakowanych
Edukacja anarchistyczna (jak zaatakować strony,
Wiele komputerów jest wykorzystywanych bez wiedzy
zbudować bombę itp.)
właścicieli (komputery zombie)
Nielegalne transakcje (pasterstwo, broń, narkotyki, ale
Ostatnio wykryto próbę włamania na 700mln funtów
też handel ludz
mi czy organami...)
Wykradziono bazę danych Rosyjskiego banku centralnego
(50GB)
2007-03-28 (c)B.Sz Strona 4 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Kto dokonuje nadużyć ?
Przyczyny
Luki w wiedzy nt. bezpieczeństwa informacji większości
Zewnętrzny uprawniony 15%
użytkowników
Zewnętrzny nieuprawniony 10%
Brak środków na zabezpieczenia
Wewnętrzny nieuprawniony 17%
Setki nowych podatności
każdego roku
Wewnętrzny uprawniony 58%
Exploit  dnia zerowego
Nowe technologie
Niska jakość oprogramowania
Brak odpowiedzialności za produkty
Walka konkurencyjna
Ataki zewnętrzne dokonywane są
Zagrożenia przykłady
z wielu stron
Trzęsienie ziemi N
Obce
Różni
Dostawcy Rządy Zalanie U, P, N
7%
9% 7%
Huragan N
Uderzenie pioruna N
Działanie / wypadek przemysłowy U, P
Publiczne Grupy
Konkurencja
Atak bombowy U, P
Interesu
39%
Użycie broni U, P
19%
Użytkownicy
Pożar U, P
19%
Umyślna szkoda U
Awaria zasilania P
2007-03-28 (c)B.Sz Strona 5 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Zagrożenia [2] Zagrożenia [3]
Nieuprawnione użycie nośników U
Awaria wodociągów P
Zużycie nośników N
Awaria klimatyzacji U, P
Błąd personelu obsługującego U, P
Awarie sprzętu P
Błąd konserwacji U, P
Wahania prądu P, N
Awaria oprogramowania U, P
Ekstremalna temperatura i wilgotność U, P, N
Użycie oprogramowania przez nieuprawnionych użytkowników
Kurz N
U, P
Promieniowanie elektromagnetyczne U, P, N
Użycie oprogramowania w nieuprawniony sposób U, P
A
adunki elektrostatyczne N
Maskarada tożsamości użytkownika U
Kradzież U Nielegalne użycie oprogramowania U, P
Złośliwe oprogramowanie U, P
Zagrożenia [4] Zagrożenia [5]
Nielegalny import / eksport oprogramowania U
Analiza ruchu U
Błąd personelu obsługującego U, P
Niewłaściwe trasowanie wiadomości P
Błąd konserwacji U, P
Przekierowanie wiadomości U
Dostęp do sieci nieuprawnionych użytkowników U
Zaprzeczenie U
Użycie instalacji sieciowych w nieuprawniony sposób U
Awaria usług łączności (na przykład usług sieciowych) U, P
Awaria techniczna składników sieci P
Niedobór personelu P
Błędy transmisji P
Błędy użytkowników U, P
Uszkodzenie linii U, P
Niewłaściwe wykorzystanie zasobów U, P
Przeciążenie ruchem U, P
Podsłuch U
Infiltracja łączności U
2007-03-28 (c)B.Sz Strona 6 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Nieautoryzowane użycie systemów
Typowe straty
informacyjnych
Liczba incydentów Straty od wewnętrznych zagrożeń
2007-03-28 (c)B.Sz Strona 7 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Typy ataków Wielkość strat
Podejmowane akcje po ataku Wycieki informacji 2006
1. Gratis Internet Company zgromadziła poprzez internet dane
osobowe 7 milionów Amerykanów, a następnie odsprzedała je
osobom trzecim.
2. Wyciek danych osobowych weteranów i żołnierzy
amerykańskiej armii. maj
3. Jeden z podwykonawców Texas Guaranteed zgubił laptop
z danymi osobowymi klientów firmy. maj
4. Skradziono laptop pracownika Nationwide Building Society
zawierający dane osobowe 11 milionów członków
stowarzyszenia. sierpień
5. Z biura Affiliated Computer Services (ACS) skradziono
przenośny komputer zawierający dane osobowe pracowników
firmy. paz
dziernik.
2007-03-28 (c)B.Sz Strona 8 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Najbardziej krytyczne sprawy Najbardziej krytyczne sprawy[2]
Ochrona danych (klasyfikacja, identyfikacja i 73
Nauczanie, szkolenie i uświadamianie użytkowników 43
szyfrowanie) i zarządzanie podatnościami
oprogramowania
Bezpieczeństwo sieci bezprzewodowych 41
Zgodność z politykami i przepisami prawa 63
Kradzieże tożsamości i wyciek prywatnych informacji 58
Wewnętrzne bezpieczeństwo sieciowe 38
Wirusy i robaki 52
Oprogramowanie szpiegowskie (spyware) 34
Udział kierownictwa, zarządzanie ryzykiem, lub 47
Inżynieria społeczna 33
wspomagające zasoby (ludzkie i finansowe)
Kontrola dostępu 43
Najbardziej krytyczne sprawy [3] Najbardziej krytyczne sprawy [4]
Przenośne urządzenia (palmtopy) 27 Komunikatory 15
Oszustwa i oszukańczy kod 20 Ataki pocztowe (e-mail)  spam 15
Uaktualnienia 16 Nadużycia pracowników 12
Atak dnia zerowego 16 Bezpieczeństwo fizyczne 10
IDS (systemy wykrywania intruzów) 15 Ataki sieciowe 9
2007-03-28 (c)B.Sz Strona 9 z 10
Bezpieczenstwo teleinformatyczne Zagrozenia WAT
Najbardziej krytyczne sprawy [5] Najbardziej krytyczne sprawy [6]
Autentyfikacja dwu składnikowa 9 Zarządzanie usługami bezpieczeństwa (cybersecurity 5
provider)
Bots i botnets 7 Wdrażanie PKI 4
Rootkits 3
Odzyskiwanie po katastrofie (disaster recovery) 7
Sniffing 3
Ataki DoS 7
Zarządzanie konfiguracją i standaryzacja 3
Bezpieczeństwo końcowego użytkownika 6
2007-03-28 (c)B.Sz Strona 10 z 10