Realizacja usług

internetowych

Bezpieczeństwo systemu

komputerowego

AGENDA

Polityka Bezpieczeństwa Informacji PBI
Bezpieczeństwo Systemu Komputerowego -

podział zagrożeń

Zalecenia Ochrony Systemu Komputerowego
Sprzymierzeńcy Ochrony Systemu

Komputerowego

Czy istnieje bezpieczny

system komputerowy ?

NIE !

Zagrożenia systemu

komputerowego

Podział ze względu na obszar z jakiego

nadchodzą

•Zagrożenia zewnętrzne

–

spoza domeny firmy

•Zagrożenia wewnętrzne

– z sieci wewnętrznej firmy

Podział ze względu na charakter

•Zagrożenia fizyczne

•Czynnik ludzki

Przyczyny utraty danych

czynnik ludzki

79%

awaria sprzętu

2%

inne

9%

błędy

oprogramowania

6%

awaria zasilania
4%

• Największe zagrożenie dla firm stanowią ich pracownicy !

Zagrożenia fizyczne

• awarie (zasilania, klimatyzacji, sprzętu)
• włamania (kradzież lub uszkodzenie

sprzętu)

• katastrofy (budowlane, zalania, pożary)
• wandalizm (uszkodzenia kabli

sieciowych)

• utrata pracownika

Zagrożenia fizyczne - zalecenia

ochrony

• opracować dokładny plan działań

na wypadek

zaistnienia wymienionych zdarzeń (element Polityki
Bezpieczeństwa Informacji PBI)

• stosować systemy zasilania awaryjnego

(UPS,

generator)

• duplikować kluczowe elementy systemu

(zapasowe serwery, urządzenia sieciowe)

• wyznaczać lokale zastępcze
• duplikować łącza do sieci

(zapasowe łącza)

• archiwizować dane

i przekazywać do magazynu danych

zlokalizowanego w możliwie odległym miejscu

Zagrożenia - czynnik ludzki

• działania nieświadome

(przypadkowe)

• działania świadome

(zaniedbania,

złe intencje)

Zagrożenia - czynnik ludzki

Działania nieświadome:

• brak polityki ochrony systemu

komputerowego w firmie

• błędy decyzyjne
• błędy wykonawcze
• błędy oprogramowania
• niski poziom wyszkolenia pracowników

Zagrożenia - czynnik ludzki

Działania świadome:

• ataki na system komputerowy
• złośliwe działania pracowników
• odejście pracownika wraz z dokumentacją do

konkurencji

• rozsyłanie niechcianej poczty
• naruszanie prywatności

Zagrożenia – czynnik ludzki – działania

nieświadome

• brak spójnej polityki ochrony systemu

komputerowego w firmie

– brak dokumentów określających zasady ochrony i zakres

odpowiedzialności poszczególnych jednostek czy osób);

przykład struktury dokumentu na stronie:

http://secinf.net/info/policy/policy.htm

co implikuje:

– brak wyznaczonych osób odpowiedzialnych za wybrane elementy

systemu komputerowego firmy,

– niewystarczająca opieka nad sprzętem komputerowym w

poszczególnych działach firmy,

– niekompletna dokumentacja infrastruktury sieciowej (słaby

nadzór nad wykonawcą),

– niedbałość użytkowników o infrastrukturę (np. zamalowywanie

gniazd sieciowych podczas remontów - słaby nadzór nad

wykonawcą),

Zagrożenia – czynnik ludzki – działania

nieświadome

• błędy decyzyjne – błędy wyboru

– sprzętu,
– systemu operacyjnego (MS Windows, Unix,

Linux, Novel NetWare),

– oprogramowania użytkowego

(klienta/serwera WWW, poczty, ftp,
aplikacji dedykowanej),

Zagrożenia – czynnik ludzki – działania

nieświadome

• błędy wykonawcze

– pomyłki i błędy w konfiguracji oprogramowania, np.:

• złe skonfigurowanie serwera WWW (prawa

wykonania skryptów .cgi, prawa dostępu do

plików konfiguracyjnych),

• złe skonfigurowanie serwera ssh (zezwolenie na

puste hasła, logowanie root-a, nadmiar informacji

o systemie),

• nadmiarowe prawa dostępu do katalogów/plików

systemowych,

• zła konfiguracja serwera poczty np. zezwolenie na

rozsyłanie obcych listów (relaying),

– błędy przy wdrażaniu systemów informatycznych,

Zagrożenia – czynnik ludzki – działania

nieświadome

• błędy oprogramowania systemowego i

użytkowego

-

przykład 10 najbardziej znanych dziur w

oprogramowaniu (pełną wersję raportu można znaleźć na
stronie: http://www.sans.org/topten.htm):

– BIND (Berkeley Internet Domain) (> BIND 8.2.2 patch level 5)
– CGI (Common Gateway Interface - język do obsługi formularzy

w WWW) - przykłady dostarczane wraz z serwerem zawierają
wady (usunąć niebezpieczne skrypty z serwera WWW,

– RPC (Remote Procedure Call) - zdalne wywoływanie procedur

- łamane techniką przepełnienia bufora, typowe do wstawiania
„backdoor” - zamknąć usługę, łatać,

– IIS (Microsoft Information Server) - komponent RDS (Remote

Date Services) - łamane techniką przepełnienia bufora

Zagrożenia – czynnik ludzki – działania

nieświadome

• błędy oprogramowania - przykład 10 dziur cd.

– sendmail - popularny serwer poczty (> sendmail v.8.10),
– sadmind - Sun Solaris (jak RPC), mountd - podatne na ataki

przepełnienia bufora

– global file sharing - usługi w rodzaju Network Neighborhood

(Windows), ApplesShare (Macintosh) lub NFS (Unix) -
wykorzystuje się błędy w konfiguracji,

– konta użytkownika bez hasła, albo z domyślnym hasłem,
– IMAP, POP - protokoły klientów poczty -łatać, uruchamiać

tylko na serwerach poczty,

– SNMP (Simple Network Managment Protocol) - domyślne

hasło=„private” - mocne hasła, baza MIB tylko do odczytu.

Zagrożenia – czynnik ludzki – działania

nieświadome

• błędy oprogramowania możemy także

znaleźć w:

- w oprogramowaniu klientów jak przeglądarki

WWW, czytniki poczty elektronicznej,

- w oprogramowaniu serwerów usług

internetowych jak: WWW, poczty, plików (ftp),
wydruków,

- w oprogramowaniu jądra systemów

operacyjnych jak Microsoft Windows czy Unix,

- w oprogramowaniu gier sieciowych.

Zagrożenia – czynnik ludzki – działania

nieświadome

•

niski poziom wyszkolenia pracowników korzystających z
systemu informatycznego - implikuje:

• pomyłki i błędy osób obsługujących oprogramowanie systemowe i

użytkowe - np. błędne funkcji systemu, przypadkowe usunięcie danych,

• błędy i pomyłki przy wprowadzaniu danych do systemu i aplikacji

użytkowych,

• zagrożenia wynikające z nieuwagi, naiwności czy zaniedbań,
• niska świadomość zagrożeń związanych z dostępem do sieci (np.

zarażanie komputerów wirusami otrzymanymi pocztą elektroniczną,
instalowanie programów nieznanego pochodzenia, niedbałość i
posiadanie licencji na użytkowane oprogramowanie),

• umożliwianie dostępu do serwerów firmowych nieuprawnionym

pracownikom (np. konta zabezpieczone hasłami, których nie zmieniano
od dawna),

• ograniczanie przepustowości sieci poprzez pobieranie plików video,

słuchanie programów radiowych,

Zagrożenia – czynnik ludzki – działania

świadome

• ataki - czego najczęściej chce napastnik ?

– Przeszukać komputer w poszukiwaniu poufnych

danych i przesłaniu ich do innego komputera,

– Zniszczyć wybrane lub wszystkie informacje na

zaatakowanym komputerze,

– Zmodyfikować system operacyjny komputera,

zostawiając w nim pułapki i tworząc nowe luki
w systemie bezpieczeństwa, lub zawiesić jego
działanie,

– Wykorzystać zainstalowane na komputerze

aplikacje finansowe typu home-banking w celu
defraudacji pieniędzy z konta,

Zagrożenia – czynnik ludzki – działania

świadome

• ataki na system komputerowy w celach

przestępczych:

– sabotaż komputerowy (np. przeciążanie

systemu w celu jego unieruchomienia DoS (ang.
Denial of Service, Distributed DoS),

• np.Ping Of Death - wysłany do komputera pakiet o złej

długości może obciążyć lub nawet zawiesić cały komputer
(najbardziej podatne na taki atak są komputery pracujące
pod kontrolą systemu Windows) - można to łatwo sprawdzić
wykonując polecenie ...albo nie!,

– wykorzystanie systemu do ataku na inny cel w

sieci,

– zniszczenie lub uszkodzenie danych,

Czynnik ludzki - działania świadome - ataki w

celach przestępczych cd.

– fałszowanie danych wprowadzanych do

systemu,

– kradzież czasu maszynowego,
– piractwo komputerowe,
– szpiegostwo komputerowe,
– rozpowszechnianie treści szkodliwych,
– oszustwa i fałszerstwa komputerowe,

Zagrożenia – czynnik ludzki – działania

świadome

• ataki na system komputerowy w celach

różnych

(głupota, trening, zabawa, zniszczenie systemu, ?):

– rozpowszechnianie oprogramowania (również

komercyjnego) zawierającego wrogi kod wprowadzony
przez programistę w celu nieuprawnionego dostępu do
zasobów klienta (ukryte funkcje) np.:

• oprogramowanie marketingowe zbierające dane o

upodobaniach klienta,

• oprogramowanie szpiegowskie FBI (Magiczna Latarnia - ang.

Magic Latern) - pomysł na połączenie wirusa komputerowego z
koniem trojańskim w celu śledzenia wybranych „ofiar” (m.in.
przechwytywanie danych z klawiatury ofiary) , albo koń
trojański umożliwiający pozyskiwanie kluczy do kodowania
wiadomości. Pomysł realizowany w porozumieniu w
producentami pakietów antywirusowych i zapór ogniowych.

Zagrożenia – czynnik ludzki – działania świadome -

ataki

– włamania w celu instalacji oprogramowania obcego

wykorzystywanego przez innych użytkowników sieci

(atakujących) w celach niezgodnych z prawem:

• podsłuchiwanie - sniffing,
• podszywanie się - spoofing,
• przechwytywanie - hijacking

– rozpowszechnianie wirusów - oprogramowania

zawierającego wrogi kod wprowadzony przez
programistę w celu wywołania określonych szkód w
systemie komputerowym ofiary:

• wirusy,
• konie trojańskie,
• robaki internetowe,

Zagrożenia – czynnik ludzki – działania świadome -

ataki

Podział wirusów

Według typu:

• wirusy - dyskowe, plikowe, mieszane (dyskowo-plikowe), makra

aplikacji pakietu MS Office (Word, Excel,Access, PowerPoint),
MS Outlook, VBS, inne

• konie trojańskie,
• robaki internetowe,

Według działania:

• niszczące dyski,
• niszczące pliki,
• pokazujące efekty video,
• wydające dźwięki,
• rozsyłające pocztę,
• inne.

Zagrożenia – czynnik ludzki – działania

świadome - ataki

Wirus

Złośliwy program komputerowy, który potrafi

tworzyć swoje kopie i dołączać je do innych
programów, odmiany - wirusy polimorficzne
(wielopostaciowe).

Zagrożenia – czynnik ludzki – działania świadome -

ataki

Koń trojański

Program, który pozornie wykonują jakąś

użyteczną operację, jednak de facto jego
zadaniem jest zaszkodzenie użytkownikowi. Na
przykład koniem trojańskim będzie program,
który przedstawia się jako elektroniczna
książka adresowa, zaś po uruchomieniu może
usunąć część zapisu z dysku twardego.

Zagrożenia – czynnik ludzki – działania świadome -

ataki

Robak internetowy

Robak (ang. warm) to program, który tworzy kopie samego siebie,

np. kopiując się z jednego dysku na inny, z jednego komputera na

inny, przenosi się za pomocą poczty elektronicznej, protokołów i

usług sieciowych, czy innego mechanizmu transportowego. Taki

program może być równocześnie wirusem dopisującym się do

innych plików, albo koniem trojańskim, wykradającym cenne dane

z komputera ofiary. Może on przybierać formy dowcipu, ale może

też powodować uszkodzenia lub zniszczenia sporej ilości danych.

Klasyczny robak nie potrzebuje do rozmnażania żadnego pliku

nosiciela. Przeciętny robak zawiera:

• procedurę instalacji w systemie (np. podmiana plików systemowych;

kod robaka zapisywany pod nazwą często używanego programu

Explorer, czy Notepad, a oryginalny pod nazwa zmienioną;

umieszczenie kodu w katalogu Autostart np.. jako rodzaj HTML-a z

rozszerzeniem .hta),

• mechanizm dystrybucji (np.poprzez e-mail, przez IRC, poprzez WWW,
• funkcje ujawniające jego istnienie.

Zagrożenia – czynnik ludzki – działania świadome - ataki

Robak internetowy - wykorzystuje technologie:
–

kopiowanie kodu maszynowego - komponenty ActiveX
(instalują się automatyczne) i moduły rozszerzające (plug-ins
- instalowane ręcznie),

–

CHM - skompilowane pliki HTML (Compiled HTML)

–

HTA – plik aplikacji HTML (HTML Application file),

–

Windows Script Host – usługa pozwalająca na uruchomienie
skryptów VBScript (pliki VBS, VBE) i Jscript (pliki JS i JSE)
bezpośrednio w środowisku systemowym, bez pośrednictwa
przeglądarki WWW),

–

ZIP – format archiwum plików (uruchamiany przez WinZip),

–

COM – Command (zapomniane rozszerzenie pliku
wykonywalnego) np. podszywanie się pod adres WWW
(www.back2afrika.com),

Literatura: Software nr 9 (81) IX 2001

Przeboje roku 2001

Listę 10 najgroźniejszych wirusów 2001 roku opublikowało

wydawnictwo Computer Associates. Lista dostępna jest pod

adresem:

http://www3.ca.com/Press/PressRelease.asp?id=1856
Lista oparta została na danych ośrodka badań nad wirusami - eTrust.

Ponad 90 procent z listy czołowych wirusów rozpowszechnia się

pocztą elektroniczną.

1.Win32.Badtrans.B,

6.Win32.Hybris.B,

2.Win32.Sircam.137216, 7.Win95.MTX,
3.Win32.Magistr, 8.Win32.Nimda.A,
4.Win32.Badtrans.13312, 9.VBS.VBSWG.Generic,
5. Win32.Magistr.B,

10.Win32.Goner.A

Najświeższe alerty styczeń 2002:

18.01.02 Klez.E (rozsyła kopie pocztą)

15.01.02 Badcon (zawiesza

Windows)

17.01.02 TempX (hiszpańsko języczny)

14.01.02 Lastscene (robak i trojan)

16.01.02 Fałszywy alarm - Leukemia

11.01.02 Gigger (formatuje dysk)

Zagrożenia – czynnik ludzki – działania

świadome

• złośliwe działania pracowników
• odejście pracownika wraz z

dokumentacją do firmy konkurencyjnej

Zagrożenia – czynnik ludzki – działania

świadome

• rozsyłanie niechcianej poczty

– spam (zwany UCE - Unsolicited Commercial e-mail) - to

próba dostarczenia listu e-mail bez zgody adresata
(przeważnie ogłoszenia reklamowe). Adresy pocztowe
uzyskuje się poprzez skanowanie listów wysyłanych do
grup dyskusyjnych, kradzież adresów z list dyskusyjnych
lub przeszukiwanie stron WWW.

– relaying

-

wykorzystywanie

cudzych

serwerów

pocztowych o szybkim łączu internetowym w celu
rozesłania

własnego

spamu

(często

z

powodu

dysponowania zbyt wolnym łączem własnym),

Zagrożenia – czynnik ludzki – działania

świadome

• naruszanie prywatności

– pobieranie informacji o nas z plików

konfiguracyjnych komputera za pośrednictwem
plików cookie przysyłanych nam wraz ze
stronami WWW,

– j.w. ale zamiast cookie wykorzystuje się zapis

numeru identyfikacyjnego systemu zapisany w
rejestrze komputerów pracujących pod
Windows,

Jak walczyć z niechcianą pocztą ?

• zmiana konfiguracji serwerów pocztowych:

– blokowanie poczty przychodzącej od niechcianych nadawców,
– blokowanie przyjmowania poczty do wysłania od niechcianych

nadawców,

• blokowanie adresów IP (filtrowanie poczty),
• informowanie serwisów zajmujących się ściganiem

nadużyć w sieci (Nask, TPSA i inne) - przykładowe
adresy internetowe:

– filtrowanie poczty e-mail przez użytkowników końcowych

http://spam.abuse.net/spam/tools/mail-block.html#filters

– blokowanie spamu przychodzącego z określonego serwera:

http://spam.abuse.net/spam/tools/mail-block.html

– blokowanie adresów IP:

http://spam.abuse.net/spam/tools/ipblock.html

A gdzie najczęściej są wirusy, robaki, konie

trojańskie ?

• załączniki poczty e-mail:

– pole FROM: podmienione w celu uśpienia czujności,

np. wrogi program rozsyła pocztę z zarażonego
komputera, jako samodzielny serwer pocztowy
podszywając się pod właściciela zaatakowanego
komputera. W szczególności ostrożnie należy
traktować załączniki zawierające rozszerzenia
wykonywalne (.exe, .hta, .vbs, .js, .scr, .pif, .shs, .bat,
.sh, .pl),

– dokumenty programów MS Word i MS Excel (pliki

.doc, .dot, .xls, xlm) generalnie są bezpieczne.
Jednakże czasem nasz komputer nie pokazuje
poprawnie nazw załączników.
Przykład:

A gdzie najczęściej są wirusy ?

- załączniki -

przykłady

załącznik o nazwie "resume.doc.exe" może być

wyświetlony jako "resume.doc", co wygląda na mało
ryzykowny dokument programu MS Word, a w
rzeczywistości jest wysoce ryzykownym plikiem
wykonywalnym zdolnym do przejęcia całkowitej
kontroli nad naszym komputerem. Możemy się
ochronić

przed

takimi

podstępami

całkowicie

wyłączając otwieranie załączników poprzez podwójne
klikanie na nich. Zamiast tego należy zapisać załącznik
na dysku, i otworzyć tylko aplikacją odpowiednią do
jego rozszerzenia za pomocą polecenia menu Plik >
Otwórz. Jeśli będzie poprawny to będziemy mogli go
obejrzeć.

A gdzie najczęściej są wirusy ?

- załączniki -

przykłady

załącznik postaci "resume.doc" (prawy przycisk myszy -

zapisać do pliku) i otworzyć programem MS Word.
Załącznik "budget.xls" po zapisaniu, otwieramy
poleceniem Plik > Otwórz programu MS Excel, zaś
"myVacation.jpg" po zapisaniu otwieramy programem
Netscape lub IE.
Można zmienić domyślne ustawienia w Windows, tak
aby rozszerzenia były wyświetlane poprawnie.
Mianowicie w programie Eksplorator Windows w opcji
Widok > Opcje Folderów > zakładka Widok odznaczamy
opcje "Ukrywaj rozszerzenia plików znanych typów".
Bardziej zaawansowanym użytkownikom można polecić
usunięcie z rejestru zapisu "NeverShowExt", ale ma to
swoje dodatkowe konsekwencje,

A gdzie najczęściej są wirusy, robaki, konie

trojańskie ? cd.

• w darmowym oprogramowaniu (ang.

freeware) albo bardzo tanie (ang. shareware)
dostępne w sieci albo rozprowadzone z
czasopismami na krążkach CD, na stronach
WWW o specyficznych zainteresowaniach
(kasyna, domy publiczne),

A gdzie najczęściej są wirusy, robaki, konie

trojańskie ? cd.

• pliki udostępniane poprzez Instant Messenger,

ICQ, IRC, itp.,

• pliki udostępniane poprzez usługę Microsoft

Windows "Udostępnianie plików i drukarek"
(Microsoft File Sharing), odpowiednio
Appleshare i Unix NFS (Network File System),

• grupy dyskusyjne,
• makropolecenia w dokumentach,

A gdzie najczęściej są wirusy, robaki, konie

trojańskie ? cd.

• strony WWW lub wiadomości e-mail w

formacie HTML zawierające lub
uruchamiające elementy sterujące ActiveX.
ActiveX jest zbiorem technologii, protokołów
oraz interfejsów programowych stworzonych
przez firmę Microsoft i przeznaczonych do
tworzenia kodu kopiowanego przez Internet.
Kod umieszczany jest w specjalnym pliku,
nazywanym elementem sterującym ActiveX
(albo formant ActiveX) i noszącym
rozszerzenie OCX.

Przykłady postaci wrogiego kodu, który może

przejąć sterowanie naszego komputera:

• pliki programów jak windows.exe,
• pliki skryptów takich jak .vbs (Visual Basic Script), .js Java Script),

.bat (plik wsadowy), makropolecenia, skryptu powłok systemu unix,
skrypty w języku perl. Mogą one być samodzielne albo dołączone do
listów przesyłanych w formacie HTML, jako załączniki do listów, lub
jako części dokumentów innych aplikacji jak arkusze kalkulacyjne,
procesory tekstu (edytory), pliki prezentacji, i bazy danych,

• elementy sterujące ActiveX (które mogą być plikami .exe lub .dll

(dynamic library link), ale których rozszerzeń możemy nie widzieć
jeśli są ładowane (uruchamiane) przez przeglądarki lub inne
aplikacje,

• w ograniczonym zakresie skrypty VBScript i JavaScript osadzone w

stronach WWW lub listach (e-mail) i które wywołują sterowniki
ActiveX,

• specyficzne dla danej platformy programowej jak Windows HTML

Aplications (.hta),

• aplety języka Java, które mają wady w implementacji.

Zalecenia dla każdego użytkownika systemu

komputerowego

Zalecenia dla administratora systemu

komputerowego (ale nie tylko):

• Zainstalować możliwie pełny zestaw oprogramowania

ochronnego włączając oprogramowanie antywirusowe i
ściany ogniowe (na PC osobiste), szyfrowanie, certyfikaty,

• Regularnie aktualizować oprogramowanie antywirusowe,
• Śledzić informacje o najnowszych zagrożeniach

i fałszywych alarmach (np. na stronie,
http://www.mks.com.pl/,

• wpisz się odpowiednią na listę adresową biuletynów alarmowych,

• Korzystaj z narzędzi hakerów do weryfikacji jakości

własnych zabezpieczeń,

Zalecenia dla każdego użytkownika systemu

komputerowego

• Nie udostępniać serwera przed zaimplementowaniem

najnowszych łat i skonfigurowaniem wszystkich aplikacji,

• Regularnie implementować łaty - dostępne na stronach

producenta albo poprzez specjalne usługi (np. Windows
UpDate Microsoftu) wpisz się odpowiednią na listę
adresową biuletynów alarmowych - np. Microsoft
Security Bulletin Mailing List, Sun Security (patrz
załącznik z adresami)

• Regularnie aktualizować posiadane oprogramowanie

systemowe i użytkowe - śledząc informację o zmianach
i ewentualnych błędach na stronach producentów,

• Nadawaj rozsądne (najlepiej minimalne) prawa do

zasobów systemowych (Unix, Windows),

Zalecenia dla każdego użytkownika systemu

komputerowego

Zalecenia dla użytkownika systemu

komputerowego

(ale nie tylko):

• Ostrożnie obsługiwać pocztę elektroniczną – niespodziewane

wiadomości wraz z załącznikami usuwać, pamiętając aby opróżnić
kosz,

- nie otwieraj żadnych plików, które przychodzą do Ciebie

pocztą elektroniczną, jeśli ich nie oczekiwałeś (zwłaszcza
jeśli wysłał je ktoś znajomy albo szukający pomocy),

- nie akceptuj odbioru plików, które ktoś do Ciebie wysyła za

pomocą systemu wymiany komunikatów (ICQ, Netscape
Messenger, Microsoft Messenger) lub IRC, jeśli nie jest to
plik, którego się spodziewasz,

- blokuj widok okna z treścią listu i możliwość

automatycznego odczytu (otwierania) załączników w
Outlook'u,

Zalecenia dla każdego użytkownika systemu

komputerowego

• Kieruj się zdrowym rozsądkiem korzystając z

serwisów WWW, kopiując programy poprzez
Internet,

• Weryfikuj tożsamość serwerów (certyfikaty),
• Weryfikuj autentyczność i integralność pobieranych

pakietów oprogramowania (sprawdzaj podpisy
cyfrowe, sumy kontrolne),

• Korzystaj z szyfrowania połączeń internetowych

(ssh, ssl),

• Podpisuj ważną korespondencję swoim kluczem,

korzystaj z przesyłek szyfrowanych (PGP),

• Nie udostępniaj własnych zasobów poprzez sieć,

Zalecenia dla każdego użytkownika systemu

komputerowego

• Zwracaj szczególną uwagę na wszelkie

ostrzeżenia programowe (np. o
makropoleceniach w plikach MS Office, z
przeglądarki o przesyłanych nam plikach
sterujących (np. ActiveX, cookie),

• Zachowaj czujność przy przeglądaniu stron,

które otwierają dodatkowe okna z propozycją
instalacji dodatkowych komponentów
oprogramowania (przykład: patrz strona
McAfee),

• Nie uruchamiaj nieznanego programu !!

Włamanie - co robić

?

• Lepiej: CZEGO NIE ROBIĆ:

– Zaprzeczać, że nastąpił atak,
– Panikować,
– Usuwać ewidencję dotyczącą ataku,
– Cokolwiek by się robiło - nie powiadamiać

organów ścigania,

– Ignorować pogłoski.

Kto nam pomoże ? – alerty antywirusowe

Adresy producentów oprogramowania

antywirusowego:

1. http://www.mks.com.pl – Mks Vir
2. http://www.symantec.com/

http://www.norton.com/ - Symantec
Corporation (Norton

AntyViren Kit)

3. http://www.mcafee.com/ - Mc Afee
4. http://www.sophos.com/ - Sophos Anty-Virus,

Kto nam pomoże ? – alerty o wykrytych

słabościach

Adresy internetowe instytucji wspierających prace

nad bezpieczeństwem systemów
komputerowych:

•

– www.sans.org

•

– www.cert.org - CERT - Computer Emergency Response Team

•

– www.cert.pl - Polski oddział CERT

•

– www.nask.pl - NASK

•

– www.ensi.net - European Network Security Institute

•

– www.nipc.gov - FBI National Infrastructure Protection Center

•

– www.securityfocus.com - SecurityFocus

•

– www.rootshell.com

•

– www.gocsi.com/ Computer Security Institute

•

– www.bsa.com - Business Software Alliance

•

– cve.mitre.org - Comprehensive Vulnerabilities and Exposure

•

– www.hert.org - Hacker Emergency Response Team

Kto nam pomoże ? – alerty o wykrytych

słabościach

Zajrzyj także tutaj:

– security.vt.edu;

–

www.cornell.edu/CPL

–

www.w3.org - World Wide Web

–

www.cs.purdue.edu/cost/

–

www.geocities.com/SiliconValley/Byte/9853/index.html

–

ciac.llnl.gov

–

www.securitysearch.net

Support producentów:
•

Microsoft

–

www.microsoft.com/technet/default.asp

–

support.microsoft.com - w języku polskim

•

Sun Security Coordination Team (wydawca Sun Security

Bulletin)

–

http://www.sun.com/

Kto nam pomoże ? – alerty o wykrytych

słabościach

Adresy e-mail na które można wysyłać alerty:

bugtraq

@securityfocus.com

vuln-dev

@securityfocus

.com

SuSE Security Announcement

draht@suse.de

NetBSD Security Advisory security-officer

@netbsd.org

Debian

Security

Announcements

debian-security-announce

@lists.debian.org

SGI Security Coordinator agent99

@sgi.com

Mandrake Linux Security Team security

@linux-mandrake.com

Red Hat Security Advisory linux-security

@redhat

.com,

redhat

-watch-list@redhat.com

vulnwatch

@vulnwatch.org

Norton Internet Security

Kto nam pomoże ? – narzędzia programowe

LogCheck/LogSentry –

psionic.com

, LanWatch,

Projekt Abacus –

psionic.com/

abacus - szereg narzędzi IDS - do

detekcji włamań,

Tripwire –

www.tripwire.

org - program służy do sprawdzania

integralności plików (na zasadzie porównań z zapisem w
specjalnej bazie),

SATAN - Security Administration Tool for Analyzing Networks -

program do analizy systemu z zewnątrz, czyli jako napastnik,

IIS - Internet Security Scaner - www.iis.net,

tcpwraper - program do monitorowania i filtrowania zgłoszeń

przesyłanych do serwerów usług internetowych,

SSH - kryptograficznie zabezpieczony program terminala (zastępuje

telnet), umożliwiającym bezpieczne prowadzenie interaktywnych
sesji,

Kto nam pomoże ? – narzędzia

programowe

AIDE – http://www.cs.tut.fi/~rammer/aide.html

Integrit – http://integrit.sourceforge.net/

Prelude – http://prelude.sourceforge.net/

ImSafe – http://imsafe.sourceforge.net/

Systemy do detekcji intruzów:

SNORT –

http://www.snort.org/

LIDS –

http://www.lids.org

/ (Linux IDS)

Patrz: Linux+ Bezpieczeństwo Nr 1/2002 (57)

Techniki hakerskie

Uzupełnienie:

Skanowanie sieci komputerowych (pakiet dsniff )

Przepełnianie buforów i dziwne łańcuchy formatujące (atak poprzez dane),

Łatanie „żywego” jądra – modyfikacje w pamięci jądra

Wirusy - skryptowe robaki internetowe

Infekcja plików ELF (Executable and Linking Format) – czyli wirusowe

infekcje plików wykonywalnych w Linuksie

Ataki bazujące na efekcie psychologicznym (np. podszywanie przy użyciu

JavaScriptu (inicjowanie okien dialogowych nazwy i hasła
użytkownika ,

Ataki typu blokada usługi (ataki na procesor i stos, niemożność przerwania

działania skryptu, ataki na plik wymiany, ataki na system okien),

Fałszowanie informacji o stanie przeglądarki za pomocą JavaScriptu,

Tworzenie lustrzanych kopii określonych witryn (ang. mirror wolrd web

site),

Kto nam pomoże ? – listy adresowe

producentów

Listy adresowe i strony WWW wybranych producentów:
Apple

http://lists.apple.com/mailman/listinfo

/security-announce mailing list

http://www.apple.com/support/security/security_updates.html

web site

Caldera/OpenLinux

http://www.calderasystems

.com/support/forums/announce.html mailing

list

http://www.calderasystems

.com/support/security/ web site 

Cisco

http://www.cisco

.com/warp/public/707/advisory.html web site

Compaq

http://www.support.compaq.com/patches/mailing-list.

shtml mailing list

 Debian Linux

http://www.debian.org/MailingLists

/subscribe mailing list

http://www.debian.org/security

/ web site

Kto nam pomoże ? – listy adresowe

producentów

Listy adresowe i strony WWW wybranych producentów:
 FreeBSD

http://www.freebsd.org/handbook/eresources

.html#ERESOURCES-MAIL

mailing list

 Hewlett Packard

http://itrc

.hp.com mailing list

http://itrc

.hp.com web site

 IBM AIX

http://www.austin.ibm.com/support/sp/resctr/aixservlist

.html mailing list

 Mandrake Linux

http://www.linux-mandrake.com/en/flists

.php3 mailing list

http://www.linux-mandrake.com/en/security

/ web site

 Microsoft products

https://www.microsoft.com/technet

/security/notify.asp mailing list

http://www.microsoft.com/technet

/security/current.asp web site

Kto nam pomoże ? – listy adresowe

producentów

Listy adresowe i strony WWW wybranych producentów:
 NetBSD

http://www.netbsd.org/

MailingLists/ mailing list

 Netscape

http://www.netscape

.com/security/notes/index.html web site

 Novell Unknown
 OpenBSD

http://www.openbsd

.org/mail.html mailing list

http://www.openbsd

.org/security.html web site

 Oracle

http://otn.oracle.com/deploy/security/index2.htm?Info&alerts.

htm web site (needs scripts enabled and support contract),

ftp://oracle-ftp.oracle.com/server/

patchsets/ web site (anonymous

ftp)

Kto nam pomoże ? – listy adresowe

producentów

Listy adresowe i strony WWW wybranych producentów:
RedHat Linux

https://www.redhat

.com/mailing-lists/ mailing list

https://www.redhat

.com/support/errata/ web site

 SCO/UnixWare

http://www.caldera.com/support/

ftplists/ web site

 SGI

http://www.sgi

.com/support/security/wiretap.html mailing list

http://www.sgi

.com/support/security/advisories.html web site

 Slackware Linux

http://www.slackware

.com/lists/ mailing list

 Sun products

http://sunsolve.sun.com/pub-cgi

/show.pl?target=security/sec mailing list

http://sunsolve.sun.com/pub-cgi/secBulletin

.pl web site

 

Kto nam pomoże ? – listy adresowe

producentów

Listy adresowe i strony WWW wybranych producentów:
 SuSE Linux

http://www.suse.com/en/support/mailinglists

/index.html mailing list

http://www.suse

.com/us/support/security/ web site

Trustix
http://www.trustix.net/support/ mailing list
 WFTPD, WFTPD Pro
http://www.wftpd.com/bugpage.htm web site

Słownik

Authenticode - opracowana przez Microsoft technologia, pozwalająca

użytkownikom na określenie autora danego fragmentu kodu i
stwierdzenie, czy program był modyfikowany od czasu jego
pierwszego opublikowania. Technologia bazuje na podpisach
cyfrowych i kluczach publicznych. Kod podpisany nie musi być
bezpieczny!

Certyfikaty - urzędów certyfikacji, serwerów, osobiste, producentów

oprogramowania,

Urzędy certyfikacji - (ang. Certification Authority, CA) są organizacjami

wydającymi certyfikaty kluczy publicznych. Wydane certyfikaty
potwierdzaj a, że dany klucz publiczny należy do określonej osoby
lub firmy. Wewnętrzne urzędy certyfikacji - w ramach firmy.
Zewnętrzne urzędy certyfikacji potwierdzające tożsamość
pracowników lub klientów. Np. American Express CA, VeriSign,
Microsoft Authenticode Root, W Polsce np. dowód osobisty,
polcard, Signet (www.signet.pl)

Słownik

Certyfikaty serwerów - każdy serwer wykorzystujący protokół SSL

musi posiadać certyfikat. Kiedy przeglądarka łączy się z serwerem
za pomocą protokołu SSL, serwer przesyła jej swój klucz publiczny
w certyfikacie X.509 v3. Certyfikat używany jest do potwierdzenia
tożsamości serwera i dystrybucji jego klucza publicznego, który
używany jest do szyfrowania informacji przesyłanych z
przeglądarki do serwera w pierwszym etapie wymiany informacji.
Format certyfikatów stosowanych w protokole SSL jest dostępny
na

stronie:

http://home.netscape.com/products/security/ssl/certformat.html,

Certyfikat cyfrowy użytkownika - również wydawane przez urzędy

certyfikacji. Zawierają klucz publiczny użytkownika (można nim
szyfrować

np.

pocztę

elektroniczną).

Patrz

strona:

http://digitalid.verisigncom/,

Certyfikaty kodu programowego - technologia Microsoft Authenticode.

Więcej

na

stronach:

http://www.w3.org/pub/WWW/Security/Dsig/Overview.html,

Słownik

Cookies - firmy Netscape - blok zapisanego w ASCII tekstu, który

serwer może przesłać do przeglądarki użytkownika
(przechowywane w pamięci przeglądarki, a może być
zapisane na dysku. Np. sklep internetowy może zapisywać w
cookie identyfikator klinta, co umożliwia rejestracje i
śledzenie zawartości jego wirtualnego koszyka z zakupami.

Strefy internetowe Outlook’a - poziomy bezpieczeństwa

Klasy bezpieczeństwa oprogramowania

Kryptografia

Kryptografia jest zbiorem metod zabezpieczania informacji.
Procesy:
• szyfrowanie - zamiana wiadomości tekstowej (jawnej) na

wiadomość zaszyfrowaną (niejawną). Realizowane funkcją
złożoną (algorytmem szyfrowania) z użyciem klucza
szyfrującego,

• deszyfrowanie - proces odwrotny do szyfrowania, realizowany

inną funkcją złożoną z użyciem klucza deszyfrującego. Klucze
szyfrujący i deszyfrujący mogą być identyczne albo różne.

Algorytmy kryptograficzne:
• algorytm z kluczem symetrycznym (prywatnym, tajnym)
• algorytm z kluczem publicznym (szyfrowanie - z kluczem

publicznym, deszyfrowanie z kluczem prywatnym ;stąd: klucz
asymetryczny),

• systemy hybrydowe - z kluczem publicznym i prywatnym.

Kryptografia

Algorytmy z kluczem symetrycznym

-

stosowane do szyfrowania dużych bloków lub ciągłych
strumieni (o różnej mocy kryptograficznej):

• DES (Data Encryption Standard)
• DESX
• Triple-DES
• Blowfish
• IDEA (International Data Encryption Algorithm)
• RC2
• RC4
• RC5
• Skipjack

Kryptografia

Algorytmy z kluczem publicznym

- (o różnej

mocy kryptograficznej):

• Wymiana kluczy Diffiego-Hellmana
• RSA
• ElGamal
• DSS (Digital Signature Standard)

Kryptografia

Skróty wiadomości - generatory skrótów

wiadomości

Generator skrótów wiadomości (ang. message digest function) -

przetwarza informacje umieszczone w pliku (niezależnie od
jego wielkości) na pojedynczą, dużą liczbę (128-256 bitów).

Generatory nie są wykorzystywane do szyfrowania lub deszyfracji.
Generatory skrótów wiadomości wykorzystuje się przy tworzeniu

podpisów cyfrowych, kodów uwierzytelniających wiadomości
(ang. Message Authentication Code, MAC) oraz generacji
kluczy szyfrujących na podstawie haseł.

Generatory skrótów wiadomości zwane są także

jednokierunkowymi funkcjami mieszającymi (ang. one-way
hash function).

Kryptografia

Przykłady generatorów skrótów wiadomości:

• HMAC (Hashed Message Authentication Code)
• MD2 (Message Digest #2)
• MD4 (Message Digest #4)
• MD5 (Message Digest #5)
• SHA (Secure Hash Algorithm)
• SHA-1
Generatory skrótów wiadomości są doskonałą metodą

wykrywania bardzo niewielkich zmian w bardzo dużych
plikach! Dwa różne pliki mogą mieć taką samą wartość
skrótu (zjawisko kolizji). Bezpieczny generator to taki, który
gwarantuje, że obliczeniowe ustalenie kolizji będzie
nieopłacalne.

Kryptografia

Współczesne systemy kryptograficzne:

• programy i protokoły wykorzystywane do szyfrowania wiadomości

poczty elektronicznej (mogą także służyć do szyfrowania plików)

– PGP (Pretty Good Privacy - całkiem niezła prywatność),
– S/MIME (Secure/MIME - Multipurpose Internet Mail Extensions -

wielozadaniowe rozszerzenia poczty internatowej),

• protokoły sieciowe dostarczające narzędzi służących do

zagwarantowania poufności, uwierzytelnień, integralności i
niezaprzeczalności. Wymagane jest, aby komunikacja pomiędzy
klientem i serwerem odbywała się w czasie rzeczywistym (bez
opóźnień)

– SSL,

-- SET oraz CyberCash -- Kerberos

– PCT,

-- DNSSEC

-- SSH

– S-HTTP -- Ipsec oraz IPv6

Kryptografia

• SSH Secure Shell oferuje następujące typy

autentykacji użytkownika:

– Unix, Windows: Passwd,
– Public Key,
– Certificates (PKI),
– Smart Cards,
– Hostbased – for unix only,
– Kerberos5,
– PAM,
– SecureID,