14. PODSTAWOWE POJĘCIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW

I SIECI KOMPUTEROWYCH

Pojęcia bezpieczeństwa danych, bezpieczeństwa systemów komputerowych i bezpieczeństwa sieci

komputerowych są ze sobą ściśle związane. Zasadniczym celem jest zapewnienie bezpieczeństwa

danych. Systemy komputerowe powinny być bezpieczne, gdyż zawierają w sobie zapisane dane

(służą do ich zapamiętywania, udostępniania i modyfikacji). Sieci komputerowe powinny być

bezpieczne, gdyż zawierają w sobie systemy komputerowe (umożliwiają zdalny dostęp do ich

zasobów).

Fizyczna struktura (sprzęt) systemów i sieci komputerowych również posiada pewną wartość

i oczywiście też powinna być chroniona, ale na ogół wartość ta jest niewspółmiernie niska

w stosunku do wartości przechowywanej informacji.

Według B. Chapman’a zagrożenia danych dzielimy na następujące kategorie:

zagrożenia poufności danych;

zagrożenia dostępności danych;

zagrożenia spójności (integralności) danych.

Przez zagrożenie poufności danych rozumiemy możliwość zapoznania się z danymi (zapisanymi

w pamięci operacyjnej lub pamięci zewnętrznej komputera) przez osoby, które nie zostały

uprawnione do tego (bezpośrednio lub pośrednio) przez właściciela danych.

Przez zagrożenie dostępności danych rozumiemy utrudnienie bądź uniemożliwienie dostępu do

danych (w sensie ich odczytu, modyfikacji lub usunięcia) właścicielowi danych oraz osobom

przez niego upoważnionym.

Przez zagrożenie spójności danych rozumiemy możliwość zmiany zapisanych danych

(w szczególności ich usunięcia) przez osoby, które nie zostały uprawnione do tego

(bezpośrednio lub pośrednio) przez właściciela danych.

Przez bezpieczeństwo danych rozumiemy brak występowania któregokolwiek z wyżej

wymienionych zagrożeń.

Przez bezpieczeństwo systemów (sieci) komputerowych rozumiemy brak zagrożeń prawidłowego

spełniania swoich funkcji przez te systemy (sieci), a tym samym brak zagrożeń przechowywanych

w nich danych.

Pod przedstawionymi wyżej, bardzo ogólnymi, formalno-prawnymi określeniami zagrożeń kryje się

w praktyce bardzo dużo różnorodnych możliwości – od przypadkowego spojrzenia na ekran, przez

świadomy podsłuch lub podgląd, usunięcie plików na dysku, nielegalne skopiowanie programu,

odczytywanie cudzej korespondencji elektronicznej, zmianę zawartości cudzej strony domowej,

aż do fałszerstwa danych finansowych (czyli kradzieży pieniędzy), zawładnięcia cudzym systemem

operacyjnym w celu przeprowadzenia przy jego użyciu ataku na inny system, czy programowego

uszkodzenia sprzętu komputerowego.

Według szacunkowych danych, w skali całego świata suma rocznych strat wskutek przestępczości

elektronicznej jest rzędu miliardów dolarów (i ma tendencję wzrostową).

Stopień zagrożenia systemu komputerowego jest ściśle związany z jego możliwościami

komunikowania się z otoczeniem.

1) Komputer indywidualny nie podłączony do sieci (obecnie to już jest bardzo rzadki przypadek)

na ogół jest używany przez jedną osobę, lub co najwyżej przez kilka osób, z których zwykle

jedna pełni rolę nadzorcy (administratora). Stopień zagrożenia jest bardzo mały, gdyż można

przyjąć, że użytkownicy znają się wzajemnie, i że możliwe są co najwyżej nieumyślne uszkodzenia.

2) Komputer podłączony do sieci lokalnej nie mającej połączenia z siecią zewnętrzną (to również jest

dość rzadki przypadek) zagrożony jest w niedużym stopniu, gdyż zbiór użytkowników sieci

lokalnej jest ograniczony i w całości znany administratorowi tej sieci (bo zakładał im wszystkim

konta). Zagrożenia związane są głównie z brakiem umiejętności i staranności użytkowników, a nie

z ich złą wolą (złośliwi użytkownicy na ogół są szybko wykrywani przez administratora sieci).

Sytuacja jest najtrudniejsza w przypadku: a) dużych i szybko wymieniających się grup

użytkowników (na przykład na uczelniach); b) udostępniania w ramach sieci lokalnej łączności

bezprzewodowej.

3) Komputer podłączony do sieci komunikującej się z siecią zewnętrzną (Internetem) jest narażony

przez cały czas na ataki o bardzo rozmaitym charakterze, co jest związane z bardzo dużą liczbą

i anonimowością użytkowników Internetu oraz brakiem scentralizowanego zarządzania jego

zasobami. Komputer może stać się celem ataku nie tylko z powodu czyjejś ukierunkowanej

wrogości, ale również w przypadku przeprowadzania przy jego użyciu ataku pośredniego na

inny komputer.

Uwaga

Wbrew temu, co mogłyby sugerować punkty 2) i 3), statystyki podają, że ataki wewnętrzne (mające

źródło w atakowanej sieci lokalnej) stanowią większą część wszystkich ataków (ponad 60 %). Są one

(i ich sprawcy) zazwyczaj łatwiejsze do wykrycia, niż ataki zewnętrzne (spoza sieci lokalnej), ale

również są w stanie spowodować wiele szkód. Typowym przypadkiem jest przeprowadzanie ich przez

pracowników, którzy z jakiegoś powodu czują się niesprawiedliwie potraktowani (na przykład

zwalniani z pracy bez wyraźnego powodu) i którym przestało już zależeć na opinii

współpracowników.

W przypadku komputerów podłączonych do sieci zagrożenia można podzielić na dwa rodzaje

w zależności od miejsca ich występowania:

1) związane z przepływem informacji przez sieć od nadawcy do odbiorcy;

2) związane z uzyskaniem zdalnego dostępu do komputera przez osoby niepowołane.

Przykłady zagrożeń pierwszego rodzaju:

– możliwość podsłuchu informacji w celu późniejszego wykorzystania;

– możliwość wysyłania fałszywych informacji w cudzym imieniu;

– możliwość zajmowania przepustowości łącza (na różnych poziomach stosu protokołów

komunikacyjnych).

Skuteczną metodą zapobiegania podsłuchowi jest szyfrowanie przesyłanej informacji. Duże znaczenie

ma oczywiście jakość stosowanego szyfrowania – słabe szyfry mogą być złamane „metodami

siłowymi” przy użyciu sprzętu o dużej mocy obliczeniowej. Warto wspomnieć, że prawodawstwo

niektórych krajów zabrania stosowania zbyt mocnych szyfrów – powinny one być na tyle mocne, aby

uniemożliwić podsłuch przestępcom, ale nie na tyle mocne, żeby nie mogły być złamane (w razie

potrzeby) przez policję i służby specjalne.

Wysyłanie fałszywych informacji w cudzym imieniu jest istotnym problemem społeczno-prawnym

nie tylko w dziedzinie sieci komputerowych (można wysłać papierowy list podpisany cudzym

imieniem i nazwiskiem lub zamówić przez telefon dostawę towaru pod cudzy adres). Problem w dużej

mierze związany jest z łatwowiernością ludzką i brakiem przywiązywania należytej wagi do potrzeby

uwierzytelnienia. W dziedzinie sieci komputerowych nadużycia tego rodzaju mogą występować we

wszystkich warstwach stosu protokołów komunikacyjnych – od wysyłania ramek z cudzym adresem

fizycznym (MAC) do wysyłania poczty elektronicznej ze sfałszowanym adresem nadawcy.

Zajmowanie przepustowości kanału komunikacyjnego również należy do trudnych problemów.

Jeżeli udaje się znaleźć źródło niepożądanych jednostek informacji (ramek, pakietów, e-maili),

należy próbować interwencji u administratora sieci, z której pochodzą (może to być problemem,

jeśli jest ona umieszczona w jakimś egzotycznym kraju). W większości przypadków jednak

owe jednostki informacji mają sfałszowane adresy nadawców (atakującemu nie zależy na

otrzymaniu odpowiedzi na nie). Zdecydowanie najtrudniejsza jest obrona przed atakiem

rozproszonym (prowadzonym przy użyciu wielu opanowanych wcześniej przez przestępców

systemów komputerowych).

Jeżeli chodzi o punkt 2) (uzyskanie zdalnego dostępu do komputera), możliwość wyrządzenia

szkody związana jest z utworzeniem procesu (lub zmodyfikowaniem istniejącego procesu)

w atakowanym komputerze tak, aby wykonywał on program dostarczony przez atakującego (lub

odpowiednio uruchomiony istniejący w nim program, na przykład polecenie systemowe

z odpowiednimi argumentami). Najbardziej pożądane przez atakujących jest posiadanie procesu

wykonywanego jako uprzywilejowanego (z prawami administratora systemu).

Warto zauważyć, że dla atakującego nie posiadającego konta na danym komputerze zazwyczaj dużo

trudniej jest tam w ogóle dostać się (w charakterze dowolnego użytkownika), niż przejść później do

praw administratora (wynika to z tego, że systemy operacyjne na ogół są dużo gorzej chronione przed

swoimi zarejestrowanymi użytkownikami, niż przed atakami z zewnątrz).

Przykładowe sposoby dokonania włamania do systemu operacyjnego:

– podpatrzenie, podsłuchanie lub odgadnięcie hasła jednego z zarejestrowanych użytkowników;

– przysłanie „konia trojańskiego” w poczcie elektronicznej;

– wykorzystanie błędów w funkcjonującym oprogramowaniu komunikacyjnym (najczęściej

sprowadza się to do przepełnienia jakiegoś bufora w pamięci);

– wykorzystanie ukrytych „tylnych drzwi” umieszczonych w sprzedawanym lub udostępnianym za

darmo oprogramowaniu przez jego wytwórcę.

2. DOKUMENTY I AKTY PRAWNE DOTYCZĄCE BEZPIECZEŃSTWA SYSTEMÓW

I SIECI KOMPUTEROWYCH

W 1983 r. z inicjatywy Agencji Bezpieczeństwa Narodowego Departamentu Obrony USA oraz

Narodowego Biura Standaryzacji powstał dokument o nazwie Trusted Computer System Evaluation

Criteria (TCSEC), znany powszechnie jako Orange Book (Pomarańczowa Księga) od koloru jego

okładki. Był on pierwszym powszechnie znanym i uznawanym dokumentem określającym kryteria

oceny bezpieczeństwa systemów komputerowych. Wyróżniał następujące klasy bezpieczeństwa:

D - ochrona minimalna (Minimal Protection)

C1 - ochrona uznaniowa (Discretionary Protection)

C2 - ochrona z kontrolą dostępu (Controlled Access Protection)

B1 - ochrona z etykietowaniem (Labeled Security Protection)

B2 - ochrona strukturalna (Structured Protection)

B3 - ochrona przez podział (Security Domains)

A1 - konstrukcja zweryfikowana (Verified Design)

Po kilku latach Pomarańczowa Księga została zaktualizowana, a następnie zastąpiona przez dokument

o nazwie Common Criteria (Wspólne Kryteria), który został zaakceptowany jako standard

międzynarodowy (norma ISO/IEC o numerze 15408). Dokument ten określa procedury pozwalające

zdefiniować rodzaje zagrożeń dla danego systemu oraz sposoby zabezpieczeń przed nimi, jak również

tryb sprawdzenia faktycznego działania zabezpieczeń w danym systemie. Wynikiem przeprowadzenia

sprawdzenia zabezpieczeń przez akredytowaną firmę jest wydanie odpowiedniego certyfikatu –

w zależności od stopnia szczegółowości (Evaluation Assurance Level) wyróżnione są stopnie od

EAL1 do EAL7.

W Europie prace nad standaryzacją zabezpieczeń informacji były prowadzone przez British

Standardization Institute (BSI), który w 1995 r. wydał Brytyjską Normę nr 7799 („BS 7799,

Information technology – Code of practice for information security management”). W 2000 r.

ISO przy współudziale organizacji IEC (International Electrotechnical Commitee) wydała na

jej podstawie normę ISO/IEC 17799:2000, która w kolejnych latach była kilkukrotnie aktualizowana .

W Polsce normy ISO/IEC są adaptowane i wydawane w języku polskim (dostęp do nich jest płatny)

przez Polski Komitet Normalizacyjny. Mają one oznaczenia PN - ISO/IEC – numer : rok .

Bezpieczeństwa informacji w systemach komputerowych dotyczą również niektóre dokumenty RFC

wydawane przez organizację IETF (Internet Engineering Task Force), w szczególności RFC 2196

(B. Fraser, Site Security Handbook). Dokument ten przedstawia metodykę projektowania systemu

zabezpieczeń na podstawie analizy ryzyka (inwestycja w zabezpieczenia nie powinna przekraczać

średniej oczekiwanej straty w przypadku ich braku):

– identyfikacja zasobów informatycznych (i ich wartości) podlegających ochronie;

– ustalenie możliwych zagrożeń i oszacowanie ich prawdopodobieństwa;

– wdrożenie systemu zabezpieczeń w sposób efektywny kosztowo;

– monitorowanie działania i ewentualne korekty w sytuacji pojawienia się zagrożeń.

Zarówno zaprojektowanie, jak i okresowy audyt systemu zabezpieczeń firma może wykonywać sama,

lub zlecić wyspecjalizowanej (i zaufanej) firmie zewnętrznej.

Podstawowe akty prawne obowiązujące w Polsce i dotyczące informacji zapisanej w formie

elektronicznej to:

– Rozporządzenie MSWiA w sprawie określenia podstawowych warunków technicznych

i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do

przetwarzania danych osobowych, Dz. U. z dn. 3 czerwca 1998 r.

– Rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa

systemów i sieci teleinformatycznych, Dz. U. z dn. 5 marca 1999 r.

– Ustawa o ochronie danych osobowych, Dz. U. z dn. 29 sierpnia 1997 r.

– Ustawa o ochronie informacji niejawnych, Dz. U. z dn. 8 lutego 1999 r.

– Ustawa o świadczeniu usług drogą elektroniczną, Dz. U. z dn. 18 lipca 2002 r.

oraz Dyrektywy Parlamentu Europejskiego z lat od 1995 r. do chwili obecnej.

Naruszenie bezpieczeństwa danych jest przestępstwem. Odnoszą się do tego artykuły

rozdziału XXXIII Kodeksu Karnego (Przestępstwa przeciwko ochronie informacji), w szczególności

zaś artykuły 267, 268 i 269.

Ściganie sprawców następuje na wniosek pokrzywdzonego.

Przewidziane kary – do 8 lat pozbawienia wolności.