Wykład 8: Bezpieczeństwo

danych i prawa autorski

Wykładowca:

Prof. Anatoly
Sachenko

Technologia Informacyjna

2

Przegląd wykładu



Bezpieczeństwo(Ochrona)

informacji



Polityka haseł



Wirusy komputerowe



Ochrona



Prawa autorskie

3

Ochorna informacji - Definicje

Ochrona informacji Połąga na chronieniu

danych przed nieautoryzowanym

dostępem, modyfikacją, kradzieżą,

zniszczenie

Rząd, wojsko, instytucje finansowe,

szpitale i prywatne firmy gromadzą

ogromne ilości poufnych danych

dotyczących klientów, pracowników

Jeżeli poufne informacji dotyczące

firm, klientów, finansów lub nowych

linii produktów trafią w ręce

konkurencji, to takie naruszenie

bezpieczeństwa może doprowadzić do

utraty biznesu, procesów sądowych, a

nawet bankructwa przedsiębiorstw

4

Ochrona informacji – Aktywna

polityka



Aktywna polityka ochrony danych

przewiduje problemy w celu uniknięcia ich

w przyszłości



W przeciwieństwie do wykrywania

problemu I próby radzenia sobie z nim „z

lotu”



W każdej organizacji powinny być jasno

wytyczone reguły dotyczące wykrywania

problemów związanych z bezpieczeństwem



Problemy bezpieczeństwa mogą dotyczyć

nie tylko napadów na sieci komputerowe ale

także mogą polegać na nieautoryzowanych

wejściach do biura.



W obu tych przypadkach należy wiedzieć



Z kim się skontaktować



Jak się skontaktować z odpowiednią osobą

w celu rozwiązania sprawy.

5

Ochorna informacji

(kontynuacja)



Jeśli zgłaszasz problem dotyczący

bezpieczeństwa, powinieneś zgłosić go bez

żadnej zwłoki, odpowiedniej osobie w

odpowiedniej organizacji.



Jeśli jesteś odpowiedzialny za rozpatrywanie

sprawozdań dotyczących bezpieczeństwa



Zawsze powinieneś podejmować akcję

natychmiastowo



Przestrzegać odpowiednich procedur w

celu wyjaśnienia problemów.



Jeżeli pracujesz dla dużej organizacji

posiadasz zarówno prawa jaki i obowiązku.



Na przykład, czy pracodawca ma prawo

filmowania Cie bez twojej zgody?



Czy pracodawca ma prawo przeglądać

wszystkie maile wysłane i odebrane przez

pracowników?



Czy pracodawca ma prawo do

monitorowania na jakie strony wchodzą

pracownicy?

6



Ryzyko – Istnienie

prawdopodobieństwa uszkodzenia

bądź utraty informacji



Podatność – Luka która mogłaby

zostać wykorzystana w celu

uszkodzenia informacji



Zagrożenie – Wszystko (stworzone

przez człowieka lub naturę) co

może zagrozić informacją



Identyfikacja - Stwierdzenie kto

lub co to jest



Uwierzytelnianie — Weryfikacja

tożsamości

Ochorna informacji (ciąg

dalszy)

7



Jeśli osoba, program lub komputer został
pomyślnie zidentyfikowany i uwierzytelniony



Należy określić do jakich informacji ma mieć
dostęp



I jakie akcje będzie mógł wykonywać
(uruchamianie, podgląd, tworzenie,
usuwanie lub modyfikacja)



To właśnie nazywamy
uwierzytelnianiem



Aby zabezpieczać informacje używamy
kryptografii służącą do
przekształcania użytecznych informacji
w formę, która czyni je bezużytecznymi
dla osób nieupoważnionych



Taki proces nazywamy szyfrowaniem

Ochrona informacji -

Uwierzytelnianie

8



Informacje które zostały zaszyfrowane

mogą zostać odszyfrowane (przywrócone do

formy użytecznej) tylko przez użytkownika

który posiada klucz kryptograficzny nadany

podczas procesu szyfrowania



Kryptografia jest używana aby chronić

informacje przed nieautoryzowanymi

użytkownikami



Podczas gdy informacje są przenoszone

(fizycznie lub elektronicznie)



Podczas ich przechowywania



Kryptografia zapewnie bezpieczeństwo

informacji wraz z:



Usprawnionym metodami

uwierzytelniania



Podpisem elektronicznym



Niezaprzeczalności szyfrowanej

komunikacji sieciowej

Ochrona informacji - Autoryzacja

9



Szyfrowanie kluczem publicznym. Bardzo
praktyczna metoda szyfrowania pozwalająca
na przykład wysłanie wiadomości do pewnej
listy odbiorców przy czym wiadomość ta
będzie możliwa do odczytania tylko przez
osoby na liście.



System wykrywania intruzów. Służy do
skanowania sieci pod kątem obecnych tam
niepożądanych użytkowników w celu
sprawdzenia czy robią rzeczy który robić nie
mogą,



na przykład: wielokrotnie wpisują hasła w
celu uzyskania dostępu do sieci.

Ochrona informacji

10



Zapora ogniowa (Firewall)



System który pomaga chronić komputer a

także sieć przed atakami i intruzami poprzez

regulowanie ruchu sieciowego za pomocą

zdefiniowanych przez administratora zasad.



Uwierzytelnianie użytkowników.



Służy do regulowania dostępu użytkowników

bądź grup użytkowników do danego

komputera poprzez użycie systemu

uwierzytelniania.



Systemy te mogą chronić zarówno cały

komputer na przykład poprzez stosowanie

interaktywnego ekranu logowania, jack i

wskazaną usługę taką jak serwer FTP.



Jest wiele metod identyfikacji i

uwierzytelniania użytkowników takie jak

hasła, karty ID a także poprzez systemy

biometryczne (odciska palca).

Ochrona informacji

(kontynuacja)

11

Inżynieria społeczna to zbiór technik

stosowanych do manipulowania ludźmi w
celu wykonania przez nich pewnych działań
bądź wyłudzenia poufnych informacji.



Świadomość inżynierii społecznej –
Konieczne jest aby utrzymywać świadomość
o zagrożeniach które wynikają z inżynierii
środowiskowej wśród pracowników I/lub
zastosować pewne reguły mające na celu
uniknięcie problemów takich ja włamania do
sieci bądź na serwery spowodowane właśnie
tym zjawiskiem.

Ochrona informacji

(kontynuacja)

12

Ochrona informacji – ID

użytkownika, hasło, prawa

dostępu



ID użytkownika służy logowaniu się do

komputera bądź sieci.



ID pozwala na identyfikację użytkownika w

sieci.



Dodatkowo używa się hasła które znane

jest tylko użytkownikowi



Teoretycznie hasło gwarantuje brak

nieautoryzowanego dostępu do sieci bąd

podszywania się pod innych użytkowników.



Po zalogowaniu się do sieci komputerowej



Zostają nadane prawa dostępu do sieci



Prawa dostępu do sieci są definiowane

przez administratora sieci



Główna ideą praw dostępu jest to aby dany

użytkownik łączył się z tymi zasobami do

których ma prawo i udostępniał tylko te

zasoby to których ma prawa.

13

Ochrona informacji – ID

użytkownika, hasło, prawa

dostępu



Innymi słowy administrator sieci ma dostęp

do wszystkich zasobów sieci, takich jak

drukarki, komputery etc.



Użytkownik znowu może na przykład mieć

dostęp tylko do jednej drukarki I jednego

komputera.



Może mieć dostęp tylko do niektórych

danych dostępnych w sieci.



Hasło to forma uwierzytelniania służąca do

kontroli dostępu do danego zasobu.



Hasła są chronione przed użytkownikami

którzy niepowinni mieć dostępu do danego

zasobu/komputer.



Użytkownicy chcący dostać się do danego

zasobu są od razu testowani (znajomość

hasła)



Zostają dopuszczeni do zasobu bądź nie.

14



Polityka haseł to zbiór zasad zaprojektowanych

w celu usprawnienia ochrony komputera

poprzez stosowanie przez użytkowników

odpowiednio silnych haseł I używaniem ich w

opdowiedni sposób.



Polityka haseł może być także częścią regulacji

danej organizacji bądź może być obiektem

szkolenia dotyczącego świadomości

bezpieczeńśtwa.



Struktura hasła.



Niektóre reguły sugerują bądź wymuszają na

użytkownikach to, jakiego hasła powinni użyć:



Zastosowanie zarówno małych jak i dużych

liter



Użycie jednej lub kilku cyfr (kontynuacja na

następnym slajdzie)

Polityka haseł

15



Użycie znaków specjalnych (@,!,?)



Zakaz używania słów które można

znaleźć w słowniku



Zakaz używania haseł które są:



Ważnymi datami



Numerami tablic rejestracyjnych



Okres ważności hasła – Niektre reguły

wymuszają na użytkownikach zmiane

hasła co pewien okres czasu np.



Co 90 dni.



Idealne hasło powinno składać się z

conajmniej 8 znaków I powinno

zawierać liczby, litery I znaki

specjalne.



Zaleca się także regularne zmiany

hasła.

Polityka haseł

16



Poprawne używanie haseł. Zasady dotyczące

haseł często zawierają porady co do

poprawnego zarządzania hasłem jak na

przykład:



Nigdy nie dziel konta z innym

użytkownikiem



Używaj tego samego hasła tylko dla

jednego konta



Nigdy nie podawaj swojego hasła nawet

osobom twierdzącym, że są pracownikami

ochrony.



Nigdy nie zapisuj haseł na papierze.



Nigdy nie podawaj hasła przez telefon,

maila itd.



Wylogowuj się po zakończeniu pracy



Zmień hasło jeśli tylko wystąpi podejrzenie

o jego wycieku.

Polityka haseł

17

Karty procesorowe (smart card), Karty

chipowe (chip card), lub ICC (integrated

circuit card), Są to z definicji wszystkie

karty posiadające układ scalony zdolny do

przenoszenia informacji



Karta jest zrobiona z plastiku



Karta może zawierać hologram w celu

uniknięcia fałszerstw



Biometryczne metody autoryzacji bazują na

niezmiennych cechach osobistych, niestety

posiadają pewien margines błędu I

wymagają dodatkych urządzeń do

skanowania np. Odcisków palców bądź

tęczkówki oka.

Ochrona informacji

(kontynuacja)

18

Ochrona informacji – Kopia

zapasowa



Najważniejszą rzeczą



Którą przechowujesz na komputerze



Jest informacja.



Często zawartość dysku reprezentuje

lata pracy



Jeśli pewnego dnia dysk przestanie

pracować



Możesz stracić wszystko co

tworzyłeś przez lata.



Dlatego też



Bardzo ważne jest regularne

tworzenie kopii zapasowej (Backup)



Która przechowywana jest na

twoim komputerze

19



Kopia zapasowa to sposób zabezbiecznia

informacji (danych)



Druga kopia wszystkich ważnych

danych powinna zostać zapisana na

innym nośniku



Nośnikiem dla kopii zapasowej może

być np. CD-ROM, DVD-ROM etc.



Zalecane lokacje dla kopii

zapasowych:



ognioodporne, wodoodporne, bądź



W lokacji innej niż ta gdzie

przechowywany jest oryginał.



Niektóre firmy przechowywują kopie

zapasowe w skrzynkach depozytowych

bądź w skarbcach bankowych.

Ochrona informacji

– Kopia

zapasowa

20

Ochrona informacji

(kontynuacja)



Co jeśli skradziono twojego laptopa



Jeżeli nie był on zapezpieczony hasłem

to wszyskie dane są zagrożone



To samo tyczy się ważnych/delikatnych

dokumentów, jeżeli nie były

odpowiednio zabezpieczone hasłem.



Jeżeli pracujesz w dużej firmie, taki

incydent należy natychmiastowo

zgłosić do działu technicznego.



Co jeśli skradziono twoją komórkę?



Zadzwoń do działu technicznego jeżeli

pracujesz dla dużej organizacji.



Jeżeli pracujesz samemu to należy

zgłosić sprawę do operatora sieci

komórkowej.

21

Wirusy komputerowe



Wirus komputerowy to program zdolny do

samoreplikacji bez konieczności zgody I

świadomości użytkownika.



Oryginalny wirus może modyfikować kopie

lub



Lub kopie mogą modyfikować się same,

jak w przypadku wirusa metamorficznego



Wirus może zostać przeniesiony z jednego

komputera na drugi tylko jeśli host dostanie

się do niezainfekowanego komputera.



Np. Poprzez użytkownika wysyłającego go

przy użyciu sieci.



Przeniesienie go na medium takim jak

CD-ROM I innych nośnikach.

22



Dodatkowo wirusy mogą przenosić się na inne

komputery zarażając



Pliki sieciowe



Pliki systemowe do których dostęp ma inny

komputer



Niektóre wirusy są zaprogramowane tak aby

uszkodzić komputer poprzez



Uszkadzanie programów



Usuwanie plików



Formatowanie dysku twardego



A inne służa tylko do samoreplikacji



Lub ujawniają się w postaci informacji

tekstowych/dzwiękowych.



Dzisiejsze wirusy mogą także wykorzystywać

usługi siecowe takie jak:



WWW, e-mail I system udostępniania plików

w celu rozprzestrzeniania się tym samym

zacierając granicę pomiędzy wirusami a

robakami (worms).

Wirusy komputerowe

(kontynuacja)

23



Robak komputerowy to program zdolny

do samoreplikacji



Wykorzystuje sieć do rozsyłania

własnych kopii do innych komputerów

bądź sieci.



Może to robić bez jakiejkolwiek

interwencji użytkownika



W porównaniu do wirusa, robak nie

potrzebuje programu pod który może

się podpiąć.



Robak prawie zawsze uszkadza sieć,

chociażby poprzez obniżenie transferu.



Podczas gdy wirusy prawie zawsze

modyfikują lub uszkadzają pliki na

komputerze docelowym.

Wirusy komputerowe - Robak

24



Koń trojański albo po prostu trojan jest

rodzajem oprogramowania, które wydaje się

wykonywać jedną akcję a w rzeczywistości

wykonuje coś całkiem innego.



Wbrew powszechnemu przekonaniu

działania zaszyte (zakodowane) w ukrytym

ładunku nie muszą być bardzo szkodliwe

(ale mogą).



Trojany są używane notorycznie w celu

zainstalowania progrmów typu backdoor



Backdoor w systemie pozwala na obejście

normalnego procesu autoryzacji użytkownika



Umożliwia zdalny dostęp do komputera



Uzyskuje dostęp do plaintext



Próbuje pozostać niewykryty



Backdoor może mieć postać zwykłego

urządzenia, programu lub jego modyfikacji.

Wirusy komputerowe – Koń

trojański

25



W przeciwieństwie do wirusów trojany

nie rozprzestrzeniają się poprzez

samoreplikacja a poprzez eksploatacje

użytkownika końcowego (Inżynieria

społeczna)



W dziedzinie architektury komputera koń

trojański może także odnosić się do luki

w systemie zabezpieczeń przez którą

można dostać się do kodu źródłowego.



Prostym przykładem konia trojańskiego

jest "waterfall.scr" który z pozoru jest

wygaszaczem ekranu przedstawiającym

wodospad, a w rzeczywistości otwiera on

wszystki porty komputera otwierając

hakerą drzwi do komputera.

Wirusy komputerowe – Koń

trojański

26



Usuwanie bądź nadpisywanie plików na

komputerze.



Udostępnianie bądź ściąganie plików



Rozsiewanie innego oprogramowania (wirusów).



Ten typ trojana nazywamy 'dropperem' albo

'vectorem'



Ustawianie sieci 'komputerów zombie' w celu

uruchomienia ataku DdoS lub rozsyłania

spamu.



Szpiegowanie użytkowników danego komputera

i potajemne raportowanie danych takich jak

odwiedzane strony.



Zapamiętywanie użytych klawiszy w celu

wykradnięcia haseł bądź informacji takich jak

numery kart kredytowych.



Stworzenie backdoor



Dezaktywacja programu antywirusowego,

zapory ogniowej.

Koń trojański – przykłady

szkód

27



Często komputery zostają zainfekowane

trojanami ze względu na to, że użytkownik

został oszukany I uruchomił zainfekowany

program.



Dlatego też nie powinno się otwierać

załączonych plików w niezweryfikowanych

mailach.



Programy te to często urocze animacje

bądź zdjęcia.



A tak naprawdę zarażają twój komputer

wirusem lub koniem trojańskim.

Zainfekowany plik wcale nie musi trafić do

Ciebie prze maila.



Może zostać wysłany jako wiadomośc

błyskawiczna lub zostać ściągnięty z

internetu, serwera FTP.



Lub zostać dostarczony na dyskietce

czy też płycie



Może też zostać wgrany manualnie przez

kogoś innego



Kto korzysta z tego samego komputera.

Wirusy komputerowe

(kontynuacja)

28

Wirusy komputerowe -

backdoor



Backdoor w systemie komputerowym



kryptosystemie



algorytmie



Jest metodą obejścia normalnego

uwierzytelniania przez co może mieć

zdalny dostęp do komputera.



Uzyskuje dostęp do plaintext



Próbuje zostać ukryty.



Backdoor może przyjąć formę



Zainstalowanego programu, bądź



Być modyfikacją istniejącego już

programu



Urządzenia

29

Wirusy komputerowe

(kontynuacja)

30

Wirusy komputerowe - ochrona



Najbezpieczniejszą metodą użytkowania

komputera jest nie podpinanie go do lokalnej

sieci bądź Internetu.



Taki komputer nazywamy samodzielnym

(stand-alone)



Pod warunkiem, że nie używasz nośników

które zostały użyte na innych komputerach.



Taki komputer jest wirtualnie na wszelkie

formy złośliwego oprogramowania.



Niestety to właśnie możliwość podłączenia się do

siecie I innych komputerów



Sprawia, że nowoczesne komputery są tak

wszechstronne I użyteczne.



Zawsze upewnij się, że wszystkie komputery

wymagają ID użytkownika oraz hasła aby

uzyskać do nich dostęp.



Upewnij się, że wszytki łatki dotyczące

bezpieczeństwa wydane przez Microsoft

zostały zainstalowane.

31

Wirusy komputerowe: ochrona



Jeśli znajdziesz wirusa na swoim komputerze nie

panikuj.



Jeśli twój virus checker alarmuje Cię o istnieniu

wirusa.



To istnieje szansa, że złapał go na tyle wcześnie, że

nie zdąrzył jeszcze zainfekować komputera ani

uszkodzić wyrządzić szkód.



Na przykład, wsadzasz dyskietkę do stacji I w tym

samym momencie program powinien zacząć

skanować jej zawartość.



Jeżeli dyskietka zawiera wirusa, zostaniesz o tym

poinformowany przez program który w następnym

kroku automatycznie go usunie.



Inną często spotykaną drogą infekcji są wiadomości

email.



Jeśli pracujesz w dużej firmie



Powienieneś mieć dział IT który pozbędzię się

wirusa.should have a company IT support group

which will come and rid your computer of viruses

Upewnij się, że zapoznałeś się z polityką firmy

dotyczącą wirusów.

32

Wirusy komputerowe - ochrona



Oprogramowanie anty-wirusowe pozwala

na wykrycie tylko tych wirusów które zna

(posiada w bazie)



Dlatego też bardzo istotne jest aby



Aby aktualizować swoje oprogramowanie

antywirusowe



By mogło wykrywać nowe wirusy.



Uruchomienie skanera na zainfekowanym

komputerze jest znane jako

dezynfekowanie, gdyż program wykrywa

wirusy a następnie je usuwa.



Upewnij się, że skaner jest skonfigurowany

tak aby skanował komputer zara po

uruchomieniu komputera.



Będzie on aktywnie pracować w tle stale

poszukują jakichkolwiek znaków

wskazujących na atak wirusa.



Jest to szczególnie ważne podczas łączenia

się z internetem.

33

Wirusy komputerowe –

ochrona



Należy być bardzo ostrożnym podczas

otwierania podejżanych maili, szczególnie jeśli

zawierają załączniki.



Dobry program anty-wirusowy powinien wykryć

większość zagrożeń jeśli chodzi o zainfekowane

emaile.



Teorytycznie każdy program który ściąsz z

internetu może zawierać wirusa.



Należy szczególnie uważać podczas ściągania

programów (pliki z rozszerzeniem .COM I .EXE)



Pliki Excel mogą zawierać wirusy zwane

makrami.



Zasadniczo nie ufaj nikomu jeśli chodzi o

ściąganie plików.



Nie łącz się z internetem dopóki na twoim

komputerze nie znajdzie się odpowiednie

oprogramowanie anty-wirusowe.

34

Prawa autorskie – licencja

oprogramowania



Licencja oprogramowania obejmuje



Uprawnienia, prawa i ograniczenia

nałożone na oprogramowanie.



Danego

składnika

lub

całego

programu



Korzystanie z oprogramowania bez

licencji

może

stanowić

naruszenie

wyłącznych praw autorskich.



A sporadycznie prawa patentowego

pozwalając właścicielowi na oskarżenie

użytkownika.



Umowa licencyjna jest memorandum

umowy

między

producentem

i

użytkownikiem

oprogramowania

komputerowego,

który

daje

użytkownikowi

licencje

na

oprogramowanie

35

Prawa autorskie

– Umowa

licencyjna



Umowa licencyjna oprogramowania

wskazuje



Na warunki użytkowania danego

oprogramowania przez użytkownika



W takim przypadku umowa

nazywana jest end-user license

agreement lub EULA



Licencja oprogramowania gwarantuje



Prawo do modyfikacji



Redystrybucji

licencjonowanego

oprogramowania



Obu które normalnie byłyby

zabronione przez prawa autorskie

36

Prawa autorskie – Umowa

licencyjna



Oprogramowanie

shareware

jest

oprogramowaniem

które

ściągnąć

z

Internetu lub otrzymać jako dodatek do

magazynu (PC-word etc.) za darmo w celu

przetestowania programu przed kupnem

pełnej wersji.



Jeśli program (próbka) jest pełną wersją

programu to jest dostępna tylko na

krótki okres czasu bądź nie posiada

wszystkich opcji które zostaną dodane

dopiero po zakupie.



Shareware znane jest także jako spróbuj

nim kupisz (“try before you buy”)



Do

programów

typu

shareware

dołączony jest wniosek o płatności a

licencja

na

dystrybucje

takiego

oprogramowania często takiej płatności

wymaga.

37

Przepisy dotyczące ochrony

danych



Najważniejszym aktem prawnym na tym obszarze

jest Europejska Ustawa o Ochronie Danych

Osobowych 1995.



Która

została

wdrożona

w

całej

Unie

Europejskiej. Wszystkie państwa członkowskie

muszą

spełniać

jej

wymogi

aby

nie

wykorzystywać danych osobowych.



Ustawa ta dotyczy ochrony osób fizycznych w

zakresie przetwarzania danych osobowych i

swobodnego przepływu tych danych



Cele ustawy:



Systemy

przetwarzania

danych

zostały

zaprojektowany by służyć ludzią.



Muszą one niezależnie od obywatelstwa czy też

miejsca zamieszkania



Szanować ich podstawowe prawa I wolność



Zwłaszcza prawo do prywatności



Przyczyniając się do postępu gospodarczego i

społecznego, rozwoju handlu oraz dobrobytu

jednostek

38

References



European Computer Driven

Licence, Syllabus version 4.0,

2006.



http://dydaktyka.polsl.pl/roz6/asa

chenko

/



J. Glenn Brookshear. Computer

science an overview, Sixth edition,

Addison Wesley, 2001, 688 p.



Brookshear J.G.: Informatyka w

ogólnym zarysie, Wydawnictwo

WNT, Warszawa 2003.