1
BEZPIECZEŃSTWO I OCHRONA
BEZPIECZEŃSTWO I OCHRONA
DANYCH W INTERNECIE
DANYCH W INTERNECIE
Wojciech Zalewski
Wojciech Zalewski
Internet w biznesie
BEZPIECZEŃSTWO I OCHRONA DANYCH
BEZPIECZEŃSTWO I OCHRONA DANYCH
Wielostopniowa ochrona jest równie oczywista
jak zakładanie większej ilości odzieży w zimie.
Oczywiste jest również, że lepiej założyć dwa
cieńsze swetry niż jeden dwa razy grubszy.
Analogia ta odnosi się również do systemów
ochrony.
2
BEZPIECZEŃSTWO I OCHRONA DANYCH
BEZPIECZEŃSTWO I OCHRONA DANYCH
!
zagrożenia systemu komputerowego
!
metody ataku
!
słabe punkty – prawa dostępu (hasła)
!
charakterystyka włamywaczy
!
motywacje włamywaczy
!
definicja włamania
BEZPIECZEŃSTWO I OCHRONA DANYCH
BEZPIECZEŃSTWO I OCHRONA DANYCH
!
wirusy komputerowe
!
strategia bezpieczeństwa sieciowego w firmie
!
metody ochrony danych
!
klucze szyfrujące
!
system PGP – Pretty Good Privacy
!
protokoły bezpiecznej transmisji danych
!
bezpieczna poczta elektroniczna
3
BEZPIECZEŃSTWO I OCHRONA DANYCH
• kradzież komputera wraz z danymi
• kradzież kopii zapasowych
• zaniedbania w usuwaniu materiałów zużytych
i uszkodzonych
• zaniedbania w przekazywaniu haseł
• podpatrzenie haseł
• brak lub proste do odgadnięcia hasło dostępu
!
!
zagrożenia systemu komputerowego
zagrożenia systemu komputerowego
BEZPIECZEŃSTWO I OCHRONA DANYCH
• podmiana sprzętu
• nasłuch elektroniczny
• analiza ruchu w sieci
• spoofing
• monitorowanie sesji dostępu z innej sieci
• włamania przez łącze modemowe
• błędy implementacyjne
!
!
zagrożenia systemu komputerowego
zagrożenia systemu komputerowego
4
BEZPIECZEŃSTWO I OCHRONA DANYCH
• wejście od frontu
• wejście „tylnymi drzwiami”
• przez luki w systemach zabezpieczeń
• włamanie nieznanym wejściem
• cykliczne ataki powodujące przeciążenie
!
!
metody ataku
metody ataku
BEZPIECZEŃSTWO I OCHRONA DANYCH
Firmy stosują zabezpieczenia
nieautoryzowane, które są mało skuteczne:
• zabezpieczenie komputera hasłem wejściowym
(setup)
• zabezpieczenia kartą identyfikacyjną
• szyfrowanie w popularnych edytorach lub
arkuszach kalkulacyjnych
!
!
nieskuteczne metody ochrony
nieskuteczne metody ochrony
5
BEZPIECZEŃSTWO I OCHRONA DANYCH
• łatwe do odgadnięcia hasło dostępu
• zapisanie hasła w ogólnie dostępnym miejscu
• pomyłkowe wprowadzanie
• niewłaściwe ustawienie praw dostępu do
katalogów i plików użytkownika
• przestarzały system haseł
• zaniedbania administratora
!
!
słabe punkty
słabe punkty
–
–
prawa dostępu (hasła)
prawa dostępu (hasła)
BEZPIECZEŃSTWO I OCHRONA DANYCH
• przypadkowy włamywacz
• pojedynczy kraker –
niewielki budżet,
nieograniczony czas
• grupa krakerów –
związki nieformalne
• wyspecjalizowani krakerzy lub organizacje –
wysoki budżet, duża wiedza
• duże organizacje przestępcze lub rządowe –
nieograniczone zasoby finansowe i sprzętowe
!
!
charakterystyka włamywaczy
charakterystyka włamywaczy
6
BEZPIECZEŃSTWO I OCHRONA DANYCH
• udowodnienie swych możliwości
• zaimponowanie innym
• odegranie się na firmie
• uzyskanie tajnych danych
!
!
motywacje włamywaczy
motywacje włamywaczy
BEZPIECZEŃSTWO I OCHRONA DANYCH
• wirusy infekujące pliki
• wirusy w boot sektorach
• wirusy typu Stealth
• wirusy polimorficzne
• makro wirusy
!
!
wirusy komputerowe
wirusy komputerowe
-
-
rodzaje
rodzaje
7
BEZPIECZEŃSTWO I OCHRONA DANYCH
• dyskietki – najbardziej typowa metoda
• dyski twarde – preinstalowane systemy
operacyjne
• kopie zapasowe
• sieci lokalne
• Internet – załączniki poczty, pliki
współużytkowane, oprogramowanie
!
!
wirusy komputerowe
wirusy komputerowe
–
–
drogi infekcji
drogi infekcji
BEZPIECZEŃSTWO I OCHRONA DANYCH
• tylko niezbędne prawa dostępu dla użytkowników
• ograniczenie współużytkowania plików na serwerze
• nie logowanie się do sieci z zainfekowanego PC
• kopiowanie plików z pewnego źródła
• sprawdzanie plików programem antywirusowym
• stosowanie bezpiecznych protokołów transmisji
!
!
wirusy komputerowe
wirusy komputerowe
–
–
ochrona
ochrona
8
BEZPIECZEŃSTWO I OCHRONA DANYCH
Należy rozważyć następujące kryteria:
• procent wykrytych testowych wirusów
• zdolność wykrywania wirusów polimorficznych
• możliwości regularnego uaktualnienia programu
• zdolność wykrywania wirusów „lokalnych”
• wykrywanie wirusów w plikach spakowanych
!
!
wirusy komputerowe
wirusy komputerowe
–
–
wybór pakietu
wybór pakietu
antywirusowego
antywirusowego
BEZPIECZEŃSTWO I OCHRONA DANYCH
• charakterystyka danych –
jawne, poufne, tajne, supertajne
• struktura sieci i pomieszczeń biurowych
• sprzęt, serwis, źródła zasilania (UPS)
• oprogramowanie –
systemy operacyjne, aplikacje
• polityka personalna i prawa dostępu
• dokumentacja dotycząca bezpieczeństwa
• postępowanie na wypadek awarii
• szkolenia pracowników –
wybór i zmiana haseł, ochrona
przed wirusami, obsługa sprzętu i oprogramowania
!
!
strategia bezpieczeństwa sieciowego w firmie
strategia bezpieczeństwa sieciowego w firmie
9
BEZPIECZEŃSTWO I OCHRONA DANYCH
• tekst jawny (plain text) –
oryginalna, jawna wiadomość
• szyfrowanie (encryption) –
proces maskowania wiadomości
• szyfrogram (cipertext) –
wiadomość zaszyfrowana
• deszyfrowanie (decryption) –
proces odtworzenia treści
• szyfr (cipher) –
algorytm kryptograficzny, funkcja
matematyczna użyta do szyfrowania
!
!
metody ochrony danych
metody ochrony danych
-
-
szyfrowanie
szyfrowanie
BEZPIECZEŃSTWO I OCHRONA DANYCH
Algorytm wykorzystuje tą samą funkcję do kodowania
i odkodowania wiadomości. Algorytm jest szybki
i efektywny.
•DES (Digital Encryption Standard) –
lata 50. w IBM.
System 56-bitowy.
•IDEA (International Data Encryption Algorithm) –
koniec
lat 80. w Zurichu. System 128-bitowy.
•RC2, RC4 (Ron’s Code 2,4) –
rok 1991 w RSA. System o
zmiennej długości klucza.
!
!
klucze szyfrujące
klucze szyfrujące
–
–
klucz tajny (symetryczny)
klucz tajny (symetryczny)
10
BEZPIECZEŃSTWO I OCHRONA DANYCH
Algorytm wykorzystuje dwa klucze: prywatny
(private)
i publiczny (public).Tylko jeden z nich musi
pozostać tajny. Drugi może być udostępniony lub
przesłany publicznie.
•Diffie-Hellman – 1976 r.
•RSA (Rivest, Shamir, Adleman) – 1977 r.
!
!
klucze szyfrujące
klucze szyfrujące
–
–
klucz publiczny
klucz publiczny
BEZPIECZEŃSTWO I OCHRONA DANYCH
• osoba A generuje dwa klucze
• jeden z nich zachowuje jako klucz prywatny
• drugi – publiczny klucz przekazuje osobie B
• osoba B szyfruje wiadomość przy pomocy klucza
publicznego osoby A
• osoba B wysyła zaszyfrowaną wiadomość do
osoby A
• osoba A odszyfrowuje wiadomość korzystając
z klucza prywatnego
!
!
klucze szyfrujące
klucze szyfrujące
–
–
klucz publiczny
klucz publiczny
-
-
zasada
zasada
11
BEZPIECZEŃSTWO I OCHRONA DANYCH
• generacja tajnego klucza sesji do zakodowania wiadomości
• kodowanie wiadomości algorytmem IDEA
• kodowanie tajnego klucza sesji przy pomocy publicznego
klucza odbiorcy
• kodowanie cyfrowego podpisu kluczem prywatnym
nadawcy
• wysłanie pakietu przesyłki
• adresat odkodowuje tajny klucz sesji swoim kluczem
prywatnym, a podpis cyfrowy – kluczem publicznym
nadawcy
• odszyfrowanie wiadomości tajnym kluczem algorytmu
IDEA
!
!
system PGP
system PGP
–
–
Pretty Good Privacy
Pretty Good Privacy
BEZPIECZEŃSTWO I OCHRONA DANYCH
Protokół TCP/IP – podstawa usług internetowych –
nie zapewnia żadnych metod ochrony danych
w komunikacji klient-serwer.
• SSL – Secure Socket Layer – firma Netscape
Communications
• S-HTTP – Secure HTTP – firma Enterprise
Integration Technologies
• PCT – Private Communication Technology – firmy
Microsoft i VISA
!
!
protokoły bezpiecznej transmisji danych
protokoły bezpiecznej transmisji danych
12
BEZPIECZEŃSTWO I OCHRONA DANYCH
• S/MIME – standard poczty wzbogacony o obsługę
cyfrowych podpisów i szyfrowanie
• PGP – brak obsługi danych multimedialnych
• PEM – standard dostępny tylko w USA i Kanadzie
• MOSS – rozszerzenie standardu MIME
!
!
bezpieczna poczta elektroniczna
bezpieczna poczta elektroniczna