Wykład 8: Bezpieczeństwo
danych i prawa autorski
Wykładowca:
Prof. Anatoly
Sachenko
Technologia Informacyjna
2
Przegląd wykładu
Bezpieczeństwo(Ochrona)
informacji
Polityka haseł
Wirusy komputerowe
Ochrona
Prawa autorskie
3
Ochorna informacji - Definicje
Ochrona informacji Połąga na chronieniu
danych przed nieautoryzowanym
dostępem, modyfikacją, kradzieżą,
zniszczenie
Rząd, wojsko, instytucje finansowe,
szpitale i prywatne firmy gromadzą
ogromne ilości poufnych danych
dotyczących klientów, pracowników
Jeżeli poufne informacji dotyczące
firm, klientów, finansów lub nowych
linii produktów trafią w ręce
konkurencji, to takie naruszenie
bezpieczeństwa może doprowadzić do
utraty biznesu, procesów sądowych, a
nawet bankructwa przedsiębiorstw
4
Ochrona informacji – Aktywna
polityka
Aktywna polityka ochrony danych
przewiduje problemy w celu uniknięcia ich
w przyszłości
W przeciwieństwie do wykrywania
problemu I próby radzenia sobie z nim „z
lotu”
W każdej organizacji powinny być jasno
wytyczone reguły dotyczące wykrywania
problemów związanych z bezpieczeństwem
Problemy bezpieczeństwa mogą dotyczyć
nie tylko napadów na sieci komputerowe ale
także mogą polegać na nieautoryzowanych
wejściach do biura.
W obu tych przypadkach należy wiedzieć
Z kim się skontaktować
Jak się skontaktować z odpowiednią osobą
w celu rozwiązania sprawy.
5
Ochorna informacji
(kontynuacja)
Jeśli zgłaszasz problem dotyczący
bezpieczeństwa, powinieneś zgłosić go bez
żadnej zwłoki, odpowiedniej osobie w
odpowiedniej organizacji.
Jeśli jesteś odpowiedzialny za rozpatrywanie
sprawozdań dotyczących bezpieczeństwa
Zawsze powinieneś podejmować akcję
natychmiastowo
Przestrzegać odpowiednich procedur w
celu wyjaśnienia problemów.
Jeżeli pracujesz dla dużej organizacji
posiadasz zarówno prawa jaki i obowiązku.
Na przykład, czy pracodawca ma prawo
filmowania Cie bez twojej zgody?
Czy pracodawca ma prawo przeglądać
wszystkie maile wysłane i odebrane przez
pracowników?
Czy pracodawca ma prawo do
monitorowania na jakie strony wchodzą
pracownicy?
6
Ryzyko – Istnienie
prawdopodobieństwa uszkodzenia
bądź utraty informacji
Podatność – Luka która mogłaby
zostać wykorzystana w celu
uszkodzenia informacji
Zagrożenie – Wszystko (stworzone
przez człowieka lub naturę) co
może zagrozić informacją
Identyfikacja - Stwierdzenie kto
lub co to jest
Uwierzytelnianie — Weryfikacja
tożsamości
Ochorna informacji (ciąg
dalszy)
7
Jeśli osoba, program lub komputer został
pomyślnie zidentyfikowany i uwierzytelniony
Należy określić do jakich informacji ma mieć
dostęp
I jakie akcje będzie mógł wykonywać
(uruchamianie, podgląd, tworzenie,
usuwanie lub modyfikacja)
To właśnie nazywamy
uwierzytelnianiem
Aby zabezpieczać informacje używamy
kryptografii służącą do
przekształcania użytecznych informacji
w formę, która czyni je bezużytecznymi
dla osób nieupoważnionych
Taki proces nazywamy szyfrowaniem
Ochrona informacji -
Uwierzytelnianie
8
Informacje które zostały zaszyfrowane
mogą zostać odszyfrowane (przywrócone do
formy użytecznej) tylko przez użytkownika
który posiada klucz kryptograficzny nadany
podczas procesu szyfrowania
Kryptografia jest używana aby chronić
informacje przed nieautoryzowanymi
użytkownikami
Podczas gdy informacje są przenoszone
(fizycznie lub elektronicznie)
Podczas ich przechowywania
Kryptografia zapewnie bezpieczeństwo
informacji wraz z:
Usprawnionym metodami
uwierzytelniania
Podpisem elektronicznym
Niezaprzeczalności szyfrowanej
komunikacji sieciowej
Ochrona informacji - Autoryzacja
9
Szyfrowanie kluczem publicznym. Bardzo
praktyczna metoda szyfrowania pozwalająca
na przykład wysłanie wiadomości do pewnej
listy odbiorców przy czym wiadomość ta
będzie możliwa do odczytania tylko przez
osoby na liście.
System wykrywania intruzów. Służy do
skanowania sieci pod kątem obecnych tam
niepożądanych użytkowników w celu
sprawdzenia czy robią rzeczy który robić nie
mogą,
na przykład: wielokrotnie wpisują hasła w
celu uzyskania dostępu do sieci.
Ochrona informacji
10
Zapora ogniowa (Firewall)
System który pomaga chronić komputer a
także sieć przed atakami i intruzami poprzez
regulowanie ruchu sieciowego za pomocą
zdefiniowanych przez administratora zasad.
Uwierzytelnianie użytkowników.
Służy do regulowania dostępu użytkowników
bądź grup użytkowników do danego
komputera poprzez użycie systemu
uwierzytelniania.
Systemy te mogą chronić zarówno cały
komputer na przykład poprzez stosowanie
interaktywnego ekranu logowania, jack i
wskazaną usługę taką jak serwer FTP.
Jest wiele metod identyfikacji i
uwierzytelniania użytkowników takie jak
hasła, karty ID a także poprzez systemy
biometryczne (odciska palca).
Ochrona informacji
(kontynuacja)
11
Inżynieria społeczna to zbiór technik
stosowanych do manipulowania ludźmi w
celu wykonania przez nich pewnych działań
bądź wyłudzenia poufnych informacji.
Świadomość inżynierii społecznej –
Konieczne jest aby utrzymywać świadomość
o zagrożeniach które wynikają z inżynierii
środowiskowej wśród pracowników I/lub
zastosować pewne reguły mające na celu
uniknięcie problemów takich ja włamania do
sieci bądź na serwery spowodowane właśnie
tym zjawiskiem.
Ochrona informacji
(kontynuacja)
12
Ochrona informacji – ID
użytkownika, hasło, prawa
dostępu
ID użytkownika służy logowaniu się do
komputera bądź sieci.
ID pozwala na identyfikację użytkownika w
sieci.
Dodatkowo używa się hasła które znane
jest tylko użytkownikowi
Teoretycznie hasło gwarantuje brak
nieautoryzowanego dostępu do sieci bąd
podszywania się pod innych użytkowników.
Po zalogowaniu się do sieci komputerowej
Zostają nadane prawa dostępu do sieci
Prawa dostępu do sieci są definiowane
przez administratora sieci
Główna ideą praw dostępu jest to aby dany
użytkownik łączył się z tymi zasobami do
których ma prawo i udostępniał tylko te
zasoby to których ma prawa.
13
Ochrona informacji – ID
użytkownika, hasło, prawa
dostępu
Innymi słowy administrator sieci ma dostęp
do wszystkich zasobów sieci, takich jak
drukarki, komputery etc.
Użytkownik znowu może na przykład mieć
dostęp tylko do jednej drukarki I jednego
komputera.
Może mieć dostęp tylko do niektórych
danych dostępnych w sieci.
Hasło to forma uwierzytelniania służąca do
kontroli dostępu do danego zasobu.
Hasła są chronione przed użytkownikami
którzy niepowinni mieć dostępu do danego
zasobu/komputer.
Użytkownicy chcący dostać się do danego
zasobu są od razu testowani (znajomość
hasła)
Zostają dopuszczeni do zasobu bądź nie.
14
Polityka haseł to zbiór zasad zaprojektowanych
w celu usprawnienia ochrony komputera
poprzez stosowanie przez użytkowników
odpowiednio silnych haseł I używaniem ich w
opdowiedni sposób.
Polityka haseł może być także częścią regulacji
danej organizacji bądź może być obiektem
szkolenia dotyczącego świadomości
bezpieczeńśtwa.
Struktura hasła.
Niektóre reguły sugerują bądź wymuszają na
użytkownikach to, jakiego hasła powinni użyć:
Zastosowanie zarówno małych jak i dużych
liter
Użycie jednej lub kilku cyfr (kontynuacja na
następnym slajdzie)
Polityka haseł
15
Użycie znaków specjalnych (@,!,?)
Zakaz używania słów które można
znaleźć w słowniku
Zakaz używania haseł które są:
Ważnymi datami
Numerami tablic rejestracyjnych
Okres ważności hasła – Niektre reguły
wymuszają na użytkownikach zmiane
hasła co pewien okres czasu np.
Co 90 dni.
Idealne hasło powinno składać się z
conajmniej 8 znaków I powinno
zawierać liczby, litery I znaki
specjalne.
Zaleca się także regularne zmiany
hasła.
Polityka haseł
16
Poprawne używanie haseł. Zasady dotyczące
haseł często zawierają porady co do
poprawnego zarządzania hasłem jak na
przykład:
Nigdy nie dziel konta z innym
użytkownikiem
Używaj tego samego hasła tylko dla
jednego konta
Nigdy nie podawaj swojego hasła nawet
osobom twierdzącym, że są pracownikami
ochrony.
Nigdy nie zapisuj haseł na papierze.
Nigdy nie podawaj hasła przez telefon,
maila itd.
Wylogowuj się po zakończeniu pracy
Zmień hasło jeśli tylko wystąpi podejrzenie
o jego wycieku.
Polityka haseł
17
Karty procesorowe (smart card), Karty
chipowe (chip card), lub ICC (integrated
circuit card), Są to z definicji wszystkie
karty posiadające układ scalony zdolny do
przenoszenia informacji
Karta jest zrobiona z plastiku
Karta może zawierać hologram w celu
uniknięcia fałszerstw
Biometryczne metody autoryzacji bazują na
niezmiennych cechach osobistych, niestety
posiadają pewien margines błędu I
wymagają dodatkych urządzeń do
skanowania np. Odcisków palców bądź
tęczkówki oka.
Ochrona informacji
(kontynuacja)
18
Ochrona informacji – Kopia
zapasowa
Najważniejszą rzeczą
Którą przechowujesz na komputerze
Jest informacja.
Często zawartość dysku reprezentuje
lata pracy
Jeśli pewnego dnia dysk przestanie
pracować
Możesz stracić wszystko co
tworzyłeś przez lata.
Dlatego też
Bardzo ważne jest regularne
tworzenie kopii zapasowej (Backup)
Która przechowywana jest na
twoim komputerze
19
Kopia zapasowa to sposób zabezbiecznia
informacji (danych)
Druga kopia wszystkich ważnych
danych powinna zostać zapisana na
innym nośniku
Nośnikiem dla kopii zapasowej może
być np. CD-ROM, DVD-ROM etc.
Zalecane lokacje dla kopii
zapasowych:
ognioodporne, wodoodporne, bądź
W lokacji innej niż ta gdzie
przechowywany jest oryginał.
Niektóre firmy przechowywują kopie
zapasowe w skrzynkach depozytowych
bądź w skarbcach bankowych.
Ochrona informacji
– Kopia
zapasowa
20
Ochrona informacji
(kontynuacja)
Co jeśli skradziono twojego laptopa
Jeżeli nie był on zapezpieczony hasłem
to wszyskie dane są zagrożone
To samo tyczy się ważnych/delikatnych
dokumentów, jeżeli nie były
odpowiednio zabezpieczone hasłem.
Jeżeli pracujesz w dużej firmie, taki
incydent należy natychmiastowo
zgłosić do działu technicznego.
Co jeśli skradziono twoją komórkę?
Zadzwoń do działu technicznego jeżeli
pracujesz dla dużej organizacji.
Jeżeli pracujesz samemu to należy
zgłosić sprawę do operatora sieci
komórkowej.
21
Wirusy komputerowe
Wirus komputerowy to program zdolny do
samoreplikacji bez konieczności zgody I
świadomości użytkownika.
Oryginalny wirus może modyfikować kopie
lub
Lub kopie mogą modyfikować się same,
jak w przypadku wirusa metamorficznego
Wirus może zostać przeniesiony z jednego
komputera na drugi tylko jeśli host dostanie
się do niezainfekowanego komputera.
Np. Poprzez użytkownika wysyłającego go
przy użyciu sieci.
Przeniesienie go na medium takim jak
CD-ROM I innych nośnikach.
22
Dodatkowo wirusy mogą przenosić się na inne
komputery zarażając
Pliki sieciowe
Pliki systemowe do których dostęp ma inny
komputer
Niektóre wirusy są zaprogramowane tak aby
uszkodzić komputer poprzez
Uszkadzanie programów
Usuwanie plików
Formatowanie dysku twardego
A inne służa tylko do samoreplikacji
Lub ujawniają się w postaci informacji
tekstowych/dzwiękowych.
Dzisiejsze wirusy mogą także wykorzystywać
usługi siecowe takie jak:
WWW, e-mail I system udostępniania plików
w celu rozprzestrzeniania się tym samym
zacierając granicę pomiędzy wirusami a
robakami (worms).
Wirusy komputerowe
(kontynuacja)
23
Robak komputerowy to program zdolny
do samoreplikacji
Wykorzystuje sieć do rozsyłania
własnych kopii do innych komputerów
bądź sieci.
Może to robić bez jakiejkolwiek
interwencji użytkownika
W porównaniu do wirusa, robak nie
potrzebuje programu pod który może
się podpiąć.
Robak prawie zawsze uszkadza sieć,
chociażby poprzez obniżenie transferu.
Podczas gdy wirusy prawie zawsze
modyfikują lub uszkadzają pliki na
komputerze docelowym.
Wirusy komputerowe - Robak
24
Koń trojański albo po prostu trojan jest
rodzajem oprogramowania, które wydaje się
wykonywać jedną akcję a w rzeczywistości
wykonuje coś całkiem innego.
Wbrew powszechnemu przekonaniu
działania zaszyte (zakodowane) w ukrytym
ładunku nie muszą być bardzo szkodliwe
(ale mogą).
Trojany są używane notorycznie w celu
zainstalowania progrmów typu backdoor
Backdoor w systemie pozwala na obejście
normalnego procesu autoryzacji użytkownika
Umożliwia zdalny dostęp do komputera
Uzyskuje dostęp do plaintext
Próbuje pozostać niewykryty
Backdoor może mieć postać zwykłego
urządzenia, programu lub jego modyfikacji.
Wirusy komputerowe – Koń
trojański
25
W przeciwieństwie do wirusów trojany
nie rozprzestrzeniają się poprzez
samoreplikacja a poprzez eksploatacje
użytkownika końcowego (Inżynieria
społeczna)
W dziedzinie architektury komputera koń
trojański może także odnosić się do luki
w systemie zabezpieczeń przez którą
można dostać się do kodu źródłowego.
Prostym przykładem konia trojańskiego
jest "waterfall.scr" który z pozoru jest
wygaszaczem ekranu przedstawiającym
wodospad, a w rzeczywistości otwiera on
wszystki porty komputera otwierając
hakerą drzwi do komputera.
Wirusy komputerowe – Koń
trojański
26
Usuwanie bądź nadpisywanie plików na
komputerze.
Udostępnianie bądź ściąganie plików
Rozsiewanie innego oprogramowania (wirusów).
Ten typ trojana nazywamy 'dropperem' albo
'vectorem'
Ustawianie sieci 'komputerów zombie' w celu
uruchomienia ataku DdoS lub rozsyłania
spamu.
Szpiegowanie użytkowników danego komputera
i potajemne raportowanie danych takich jak
odwiedzane strony.
Zapamiętywanie użytych klawiszy w celu
wykradnięcia haseł bądź informacji takich jak
numery kart kredytowych.
Stworzenie backdoor
Dezaktywacja programu antywirusowego,
zapory ogniowej.
Koń trojański – przykłady
szkód
27
Często komputery zostają zainfekowane
trojanami ze względu na to, że użytkownik
został oszukany I uruchomił zainfekowany
program.
Dlatego też nie powinno się otwierać
załączonych plików w niezweryfikowanych
mailach.
Programy te to często urocze animacje
bądź zdjęcia.
A tak naprawdę zarażają twój komputer
wirusem lub koniem trojańskim.
Zainfekowany plik wcale nie musi trafić do
Ciebie prze maila.
Może zostać wysłany jako wiadomośc
błyskawiczna lub zostać ściągnięty z
internetu, serwera FTP.
Lub zostać dostarczony na dyskietce
czy też płycie
Może też zostać wgrany manualnie przez
kogoś innego
Kto korzysta z tego samego komputera.
Wirusy komputerowe
(kontynuacja)
28
Wirusy komputerowe -
backdoor
Backdoor w systemie komputerowym
kryptosystemie
algorytmie
Jest metodą obejścia normalnego
uwierzytelniania przez co może mieć
zdalny dostęp do komputera.
Uzyskuje dostęp do plaintext
Próbuje zostać ukryty.
Backdoor może przyjąć formę
Zainstalowanego programu, bądź
Być modyfikacją istniejącego już
programu
Urządzenia
29
Wirusy komputerowe
(kontynuacja)
30
Wirusy komputerowe - ochrona
Najbezpieczniejszą metodą użytkowania
komputera jest nie podpinanie go do lokalnej
sieci bądź Internetu.
Taki komputer nazywamy samodzielnym
(stand-alone)
Pod warunkiem, że nie używasz nośników
które zostały użyte na innych komputerach.
Taki komputer jest wirtualnie na wszelkie
formy złośliwego oprogramowania.
Niestety to właśnie możliwość podłączenia się do
siecie I innych komputerów
Sprawia, że nowoczesne komputery są tak
wszechstronne I użyteczne.
Zawsze upewnij się, że wszystkie komputery
wymagają ID użytkownika oraz hasła aby
uzyskać do nich dostęp.
Upewnij się, że wszytki łatki dotyczące
bezpieczeństwa wydane przez Microsoft
zostały zainstalowane.
31
Wirusy komputerowe: ochrona
Jeśli znajdziesz wirusa na swoim komputerze nie
panikuj.
Jeśli twój virus checker alarmuje Cię o istnieniu
wirusa.
To istnieje szansa, że złapał go na tyle wcześnie, że
nie zdąrzył jeszcze zainfekować komputera ani
uszkodzić wyrządzić szkód.
Na przykład, wsadzasz dyskietkę do stacji I w tym
samym momencie program powinien zacząć
skanować jej zawartość.
Jeżeli dyskietka zawiera wirusa, zostaniesz o tym
poinformowany przez program który w następnym
kroku automatycznie go usunie.
Inną często spotykaną drogą infekcji są wiadomości
email.
Jeśli pracujesz w dużej firmie
Powienieneś mieć dział IT który pozbędzię się
wirusa.should have a company IT support group
which will come and rid your computer of viruses
Upewnij się, że zapoznałeś się z polityką firmy
dotyczącą wirusów.
32
Wirusy komputerowe - ochrona
Oprogramowanie anty-wirusowe pozwala
na wykrycie tylko tych wirusów które zna
(posiada w bazie)
Dlatego też bardzo istotne jest aby
Aby aktualizować swoje oprogramowanie
antywirusowe
By mogło wykrywać nowe wirusy.
Uruchomienie skanera na zainfekowanym
komputerze jest znane jako
dezynfekowanie, gdyż program wykrywa
wirusy a następnie je usuwa.
Upewnij się, że skaner jest skonfigurowany
tak aby skanował komputer zara po
uruchomieniu komputera.
Będzie on aktywnie pracować w tle stale
poszukują jakichkolwiek znaków
wskazujących na atak wirusa.
Jest to szczególnie ważne podczas łączenia
się z internetem.
33
Wirusy komputerowe –
ochrona
Należy być bardzo ostrożnym podczas
otwierania podejżanych maili, szczególnie jeśli
zawierają załączniki.
Dobry program anty-wirusowy powinien wykryć
większość zagrożeń jeśli chodzi o zainfekowane
emaile.
Teorytycznie każdy program który ściąsz z
internetu może zawierać wirusa.
Należy szczególnie uważać podczas ściągania
programów (pliki z rozszerzeniem .COM I .EXE)
Pliki Excel mogą zawierać wirusy zwane
makrami.
Zasadniczo nie ufaj nikomu jeśli chodzi o
ściąganie plików.
Nie łącz się z internetem dopóki na twoim
komputerze nie znajdzie się odpowiednie
oprogramowanie anty-wirusowe.
34
Prawa autorskie – licencja
oprogramowania
Licencja oprogramowania obejmuje
Uprawnienia, prawa i ograniczenia
nałożone na oprogramowanie.
Danego
składnika
lub
całego
programu
Korzystanie z oprogramowania bez
licencji
może
stanowić
naruszenie
wyłącznych praw autorskich.
A sporadycznie prawa patentowego
pozwalając właścicielowi na oskarżenie
użytkownika.
Umowa licencyjna jest memorandum
umowy
między
producentem
i
użytkownikiem
oprogramowania
komputerowego,
który
daje
użytkownikowi
licencje
na
oprogramowanie
35
Prawa autorskie
– Umowa
licencyjna
Umowa licencyjna oprogramowania
wskazuje
Na warunki użytkowania danego
oprogramowania przez użytkownika
W takim przypadku umowa
nazywana jest end-user license
agreement lub EULA
Licencja oprogramowania gwarantuje
Prawo do modyfikacji
Redystrybucji
licencjonowanego
oprogramowania
Obu które normalnie byłyby
zabronione przez prawa autorskie
36
Prawa autorskie – Umowa
licencyjna
Oprogramowanie
shareware
jest
oprogramowaniem
które
ściągnąć
z
Internetu lub otrzymać jako dodatek do
magazynu (PC-word etc.) za darmo w celu
przetestowania programu przed kupnem
pełnej wersji.
Jeśli program (próbka) jest pełną wersją
programu to jest dostępna tylko na
krótki okres czasu bądź nie posiada
wszystkich opcji które zostaną dodane
dopiero po zakupie.
Shareware znane jest także jako spróbuj
nim kupisz (“try before you buy”)
Do
programów
typu
shareware
dołączony jest wniosek o płatności a
licencja
na
dystrybucje
takiego
oprogramowania często takiej płatności
wymaga.
37
Przepisy dotyczące ochrony
danych
Najważniejszym aktem prawnym na tym obszarze
jest Europejska Ustawa o Ochronie Danych
Osobowych 1995.
Która
została
wdrożona
w
całej
Unie
Europejskiej. Wszystkie państwa członkowskie
muszą
spełniać
jej
wymogi
aby
nie
wykorzystywać danych osobowych.
Ustawa ta dotyczy ochrony osób fizycznych w
zakresie przetwarzania danych osobowych i
swobodnego przepływu tych danych
Cele ustawy:
Systemy
przetwarzania
danych
zostały
zaprojektowany by służyć ludzią.
Muszą one niezależnie od obywatelstwa czy też
miejsca zamieszkania
Szanować ich podstawowe prawa I wolność
Zwłaszcza prawo do prywatności
Przyczyniając się do postępu gospodarczego i
społecznego, rozwoju handlu oraz dobrobytu
jednostek
38
References
European Computer Driven
Licence, Syllabus version 4.0,
2006.
http://dydaktyka.polsl.pl/roz6/asa
J. Glenn Brookshear. Computer
science an overview, Sixth edition,
Addison Wesley, 2001, 688 p.
Brookshear J.G.: Informatyka w
ogólnym zarysie, Wydawnictwo
WNT, Warszawa 2003.