1

BEZPIECZEŃSTWO I OCHRONA

BEZPIECZEŃSTWO I OCHRONA

DANYCH W INTERNECIE

DANYCH W INTERNECIE

Wojciech Zalewski

Wojciech Zalewski

Internet w biznesie

BEZPIECZEŃSTWO I OCHRONA DANYCH

BEZPIECZEŃSTWO I OCHRONA DANYCH

Wielostopniowa ochrona jest równie oczywista
jak zakładanie większej ilości odzieży w zimie.
Oczywiste jest również, że lepiej założyć dwa
cieńsze swetry niż jeden dwa razy grubszy.
Analogia ta odnosi się również do systemów
ochrony.

2

BEZPIECZEŃSTWO I OCHRONA DANYCH

BEZPIECZEŃSTWO I OCHRONA DANYCH

!

zagrożenia systemu komputerowego

!

metody ataku

!

słabe punkty – prawa dostępu (hasła)

!

charakterystyka włamywaczy

!

motywacje włamywaczy

!

definicja włamania

BEZPIECZEŃSTWO I OCHRONA DANYCH

BEZPIECZEŃSTWO I OCHRONA DANYCH

!

wirusy komputerowe

!

strategia bezpieczeństwa sieciowego w firmie

!

metody ochrony danych

!

klucze szyfrujące

!

system PGP – Pretty Good Privacy

!

protokoły bezpiecznej transmisji danych

!

bezpieczna poczta elektroniczna

3

BEZPIECZEŃSTWO I OCHRONA DANYCH

• kradzież komputera wraz z danymi
• kradzież kopii zapasowych
• zaniedbania w usuwaniu materiałów zużytych

i uszkodzonych

• zaniedbania w przekazywaniu haseł
• podpatrzenie haseł
• brak lub proste do odgadnięcia hasło dostępu

!

!

zagrożenia systemu komputerowego

zagrożenia systemu komputerowego

BEZPIECZEŃSTWO I OCHRONA DANYCH

• podmiana sprzętu
• nasłuch elektroniczny
• analiza ruchu w sieci
• spoofing
• monitorowanie sesji dostępu z innej sieci
• włamania przez łącze modemowe
• błędy implementacyjne

!

!

zagrożenia systemu komputerowego

zagrożenia systemu komputerowego

4

BEZPIECZEŃSTWO I OCHRONA DANYCH

• wejście od frontu
• wejście „tylnymi drzwiami”
• przez luki w systemach zabezpieczeń
• włamanie nieznanym wejściem
• cykliczne ataki powodujące przeciążenie

!

!

metody ataku

metody ataku

BEZPIECZEŃSTWO I OCHRONA DANYCH

Firmy stosują zabezpieczenia

nieautoryzowane, które są mało skuteczne:

• zabezpieczenie komputera hasłem wejściowym

(setup)

• zabezpieczenia kartą identyfikacyjną
• szyfrowanie w popularnych edytorach lub

arkuszach kalkulacyjnych

!

!

nieskuteczne metody ochrony

nieskuteczne metody ochrony

5

BEZPIECZEŃSTWO I OCHRONA DANYCH

• łatwe do odgadnięcia hasło dostępu
• zapisanie hasła w ogólnie dostępnym miejscu
• pomyłkowe wprowadzanie
• niewłaściwe ustawienie praw dostępu do

katalogów i plików użytkownika

• przestarzały system haseł
• zaniedbania administratora

!

!

słabe punkty

słabe punkty

–

–

prawa dostępu (hasła)

prawa dostępu (hasła)

BEZPIECZEŃSTWO I OCHRONA DANYCH

• przypadkowy włamywacz
• pojedynczy kraker –

niewielki budżet,

nieograniczony czas

• grupa krakerów –

związki nieformalne

• wyspecjalizowani krakerzy lub organizacje –

wysoki budżet, duża wiedza

• duże organizacje przestępcze lub rządowe –

nieograniczone zasoby finansowe i sprzętowe

!

!

charakterystyka włamywaczy

charakterystyka włamywaczy

6

BEZPIECZEŃSTWO I OCHRONA DANYCH

• udowodnienie swych możliwości
• zaimponowanie innym
• odegranie się na firmie
• uzyskanie tajnych danych

!

!

motywacje włamywaczy

motywacje włamywaczy

BEZPIECZEŃSTWO I OCHRONA DANYCH

• wirusy infekujące pliki
• wirusy w boot sektorach
• wirusy typu Stealth
• wirusy polimorficzne
• makro wirusy

!

!

wirusy komputerowe

wirusy komputerowe

-

-

rodzaje

rodzaje

7

BEZPIECZEŃSTWO I OCHRONA DANYCH

• dyskietki – najbardziej typowa metoda
• dyski twarde – preinstalowane systemy

operacyjne

• kopie zapasowe
• sieci lokalne
• Internet – załączniki poczty, pliki

współużytkowane, oprogramowanie

!

!

wirusy komputerowe

wirusy komputerowe

–

–

drogi infekcji

drogi infekcji

BEZPIECZEŃSTWO I OCHRONA DANYCH

• tylko niezbędne prawa dostępu dla użytkowników
• ograniczenie współużytkowania plików na serwerze
• nie logowanie się do sieci z zainfekowanego PC
• kopiowanie plików z pewnego źródła
• sprawdzanie plików programem antywirusowym
• stosowanie bezpiecznych protokołów transmisji

!

!

wirusy komputerowe

wirusy komputerowe

–

–

ochrona

ochrona

8

BEZPIECZEŃSTWO I OCHRONA DANYCH

Należy rozważyć następujące kryteria:

• procent wykrytych testowych wirusów
• zdolność wykrywania wirusów polimorficznych
• możliwości regularnego uaktualnienia programu
• zdolność wykrywania wirusów „lokalnych”
• wykrywanie wirusów w plikach spakowanych

!

!

wirusy komputerowe

wirusy komputerowe

–

–

wybór pakietu

wybór pakietu

antywirusowego

antywirusowego

BEZPIECZEŃSTWO I OCHRONA DANYCH

• charakterystyka danych –

jawne, poufne, tajne, supertajne

• struktura sieci i pomieszczeń biurowych
• sprzęt, serwis, źródła zasilania (UPS)
• oprogramowanie –

systemy operacyjne, aplikacje

• polityka personalna i prawa dostępu
• dokumentacja dotycząca bezpieczeństwa
• postępowanie na wypadek awarii
• szkolenia pracowników –

wybór i zmiana haseł, ochrona

przed wirusami, obsługa sprzętu i oprogramowania

!

!

strategia bezpieczeństwa sieciowego w firmie

strategia bezpieczeństwa sieciowego w firmie

9

BEZPIECZEŃSTWO I OCHRONA DANYCH

• tekst jawny (plain text) –

oryginalna, jawna wiadomość

• szyfrowanie (encryption) –

proces maskowania wiadomości

• szyfrogram (cipertext) –

wiadomość zaszyfrowana

• deszyfrowanie (decryption) –

proces odtworzenia treści

• szyfr (cipher) –

algorytm kryptograficzny, funkcja

matematyczna użyta do szyfrowania

!

!

metody ochrony danych

metody ochrony danych

-

-

szyfrowanie

szyfrowanie

BEZPIECZEŃSTWO I OCHRONA DANYCH

Algorytm wykorzystuje tą samą funkcję do kodowania
i odkodowania wiadomości. Algorytm jest szybki
i efektywny.
•DES (Digital Encryption Standard) –

lata 50. w IBM.

System 56-bitowy.

•IDEA (International Data Encryption Algorithm) –

koniec

lat 80. w Zurichu. System 128-bitowy.

•RC2, RC4 (Ron’s Code 2,4) –

rok 1991 w RSA. System o

zmiennej długości klucza.

!

!

klucze szyfrujące

klucze szyfrujące

–

–

klucz tajny (symetryczny)

klucz tajny (symetryczny)

10

BEZPIECZEŃSTWO I OCHRONA DANYCH

Algorytm wykorzystuje dwa klucze: prywatny
(private)

i publiczny (public).Tylko jeden z nich musi

pozostać tajny. Drugi może być udostępniony lub
przesłany publicznie.

•Diffie-Hellman – 1976 r.
•RSA (Rivest, Shamir, Adleman) – 1977 r.

!

!

klucze szyfrujące

klucze szyfrujące

–

–

klucz publiczny

klucz publiczny

BEZPIECZEŃSTWO I OCHRONA DANYCH

• osoba A generuje dwa klucze
• jeden z nich zachowuje jako klucz prywatny
• drugi – publiczny klucz przekazuje osobie B
• osoba B szyfruje wiadomość przy pomocy klucza

publicznego osoby A

• osoba B wysyła zaszyfrowaną wiadomość do

osoby A

• osoba A odszyfrowuje wiadomość korzystając

z klucza prywatnego

!

!

klucze szyfrujące

klucze szyfrujące

–

–

klucz publiczny

klucz publiczny

-

-

zasada

zasada

11

BEZPIECZEŃSTWO I OCHRONA DANYCH

• generacja tajnego klucza sesji do zakodowania wiadomości
• kodowanie wiadomości algorytmem IDEA
• kodowanie tajnego klucza sesji przy pomocy publicznego

klucza odbiorcy

• kodowanie cyfrowego podpisu kluczem prywatnym

nadawcy

• wysłanie pakietu przesyłki
• adresat odkodowuje tajny klucz sesji swoim kluczem

prywatnym, a podpis cyfrowy – kluczem publicznym

nadawcy

• odszyfrowanie wiadomości tajnym kluczem algorytmu

IDEA

!

!

system PGP

system PGP

–

–

Pretty Good Privacy

Pretty Good Privacy

BEZPIECZEŃSTWO I OCHRONA DANYCH

Protokół TCP/IP – podstawa usług internetowych –

nie zapewnia żadnych metod ochrony danych
w komunikacji klient-serwer.

• SSL – Secure Socket Layer – firma Netscape

Communications

• S-HTTP – Secure HTTP – firma Enterprise

Integration Technologies

• PCT – Private Communication Technology – firmy

Microsoft i VISA

!

!

protokoły bezpiecznej transmisji danych

protokoły bezpiecznej transmisji danych

12

BEZPIECZEŃSTWO I OCHRONA DANYCH

• S/MIME – standard poczty wzbogacony o obsługę

cyfrowych podpisów i szyfrowanie

• PGP – brak obsługi danych multimedialnych
• PEM – standard dostępny tylko w USA i Kanadzie
• MOSS – rozszerzenie standardu MIME

!

!

bezpieczna poczta elektroniczna

bezpieczna poczta elektroniczna