56

Marian KOPCZEWSKI1), Ewa CZAPIK-KOWALEWSKA2) 1) Wyższa Szkoła Bezpieczeństwa, Poznań

2) Instytut Polityki Społecznej i Stosunków Międzynarodowych, Politechnika Koszalińska

E-mail: marian.kopczewski@tu.koszalin.pl

Zagrożenia sieciowe a bezpieczeństwo informacyjne

Streszczenie: W artykule poruszono zagadnienia związane z bezpieczeń-stwem informacji w sieci Internet. Omówiono różne klasy zagrożeń począwszy od wirusów, robaków, trojanów itp., poprzez ataki hakerów i ataki na serwery, na socjotechnicznych metodach wyłudzania poufnych informacji.

1. Wprowadzenie do zagadnienia bezpieczeństwa w sieci Zgodnie z określoną sytuacją i wymaganiami bezpieczeństwo informacji rozumiane jest w różny sposób. Niezależnie jednak od tego, kto bierze w nim udział i w jakim stopniu jest zaangażowany, wszyscy uczestnicy wymiany informacji dążą do tego aby mieć pewność, że pewne szczególne założenia dotyczące jej bezpieczeństwa zostały spełnio-ne. Wśród licznych założeń są: prywatność lub poufność, integralność danych, uwierzy-telnianie lub identyfikacja, uwierzytelnianie wiadomości, podpis, autoryzacja, atestacja, kontrola dostępu, certyfikacja, oznaczanie czasu, świadectwo, pokwitowanie, zatwier-dzenie, własność, anonimowość, niezaprzeczalność czy unieważnienie. Metoda prze-chowywania informacji nie uległa znacznym modyfikacjom na przestrzeni wieków. Wcześniej informacje gromadzono i przekazywano w formie papierowej, obecnie zaś, znaczna jej część jest zapisywana na różnego rodzaju nośnikach cyfrowych, oraz prze-syłana za pośrednictwem systemów telekomunikacyjnych. Istotnej zmianie uległa na-tomiast zdolność do kopiowania i modyfikowania informacji.

W zależności od systemu informacyjnego mamy do czynienia z różnymi wymogami bezpieczeństwa, jednak zawsze związane są nieodłącznie z trzema podstawowymi za-gadnieniami którymi są: poufność, integralność i dostępność.

Poufność informacji polega na jej zabezpieczeniu przed dostępem osób niepowołanych, a więc takiej sytuacji gdy jest ona dostępna tylko dla tego, dla kogo jest przeznaczona. Integralność (jednolitość) informacji realizuje trzy funkcje: zapobiega modyfikacji informacji przez nieupoważnione osoby, zapobiega nieautoryzowanym lub przypadko-wym modyfikacjom informacji przez osoby upoważnione oraz zapewnia spójność we-wnętrzną i zewnętrzną.

57

Informacja, na podstawie której podejmowane są decyzje, powinna być adekwatna i dokładna, chroniona przed zniszczeniem i nieautoryzowaną modyfikacją. Dostępność informacji oraz odpowiednich narzędzi do jej przetwarzania zapewnia autoryzowanym użytkownikom bieżący i nieprzerwany dostęp do danych w systemie i sieci. Bezpie-czeństwo komputerów da się opisać tymi samymi pojęciami, co bezpieczeństwo fizycz-ne: zaufanie, znajomość sekretu pozwalającego dowieść swojej tożsamości, posiadanie klucza do otwierania zamków, odpowiedzialność przed prawem.

2. Rodzaje zagrożeń Zagrożenia sieciowe można podzielić na kilka podstawowych kategorii. Są nimi: wiru-sy, robaki i konie trojańskie, inne szkodliwe kody oraz ataki na zasoby sieciowe.

Wirusy Wirus komputerowy to program napisany w jednym z języków programowania; przyłącza się do normalnych programów i dokumentów bez zgody lub wiedzy użytkownika. Od zwykłych aplikacji różni się zdolnością do tworzenia własnych kopii (autoreplikacji).

Robak Program komputerowy, który rozprzestrzenia się samodzielnie, niezależnie od działania człowieka; nie infekuje jednak innych plików. Głównym jego celem jest powielanie się w Internecie i spowolnienie łączy. Robaki wykorzystują wszelkie dostępne sposoby rozprzestrzeniania (sieci lokalne LAN, Internet, pocztę elektroniczną, sieci wymiany plików, telefony komórkowe i inne kanały transportowe). Oprócz przeciążenia kanałów internetowych i awarii systemów, wspomagają przeprowadzanie ataków sieciowych, przenoszą konie trojańskie, spam.

Koń trojański (trojan) Może on przybrać formę innego nieszkodliwego i powszechnie używanego programu. Aplikacja ta uszkadza system lub przeprowadza inne destrukcyjne czynności. W prze-ciwieństwie do wirusów i robaków, konie trojańskie nie rozprzestrzeniają się samo-dzielnie. Trojany można podzielić na programy kradnące hasła, otwierające komputer na zdalny atak, instalujące inne szkodliwe oprogramowanie na zainfekowanym kompu-terze, pobierające z Internetu szkodliwy kod. Przykładem konia trojańskiego jest pro-gram, który zachowuje się jak moduł logowania do systemu, w wyniku czego prze-chwytuje informacje o nazwach użytkowników i hasłach.

Pozostałe kody

Adware Programy, które wyświetlają materiały reklamowe niezależnie od czynności wykonywa-nych przez użytkownika. Ten rodzaj oprogramowania często instalowany jest na kompute-rach bez wiedzy i zgody użytkownika podczas przeglądania stron internetowych; również wiele darmowych programów zawiera aplikacje adware. Działają one nawet po zamknię-ciu lub usunięciu programu, za pośrednictwem którego dostały się do systemu.

58

Binder Program łączący szkodliwe pliki z rozszerzeniem .jpg z plikiem .exe. W ten sposób dołączane są do zdjęć konie trojańskie.

Bomba logiczna Program niszczący dane, uruchamiający się w odpowiednim czasie lub okresowo w systemie komputerowym, określający warunki, w jakich podejmowane mają być niedozwolone działania. Skutkiem działania bomby logicznej może być nieupoważnio-ne wprowadzenie do systemu operacyjnego komputera instrukcji (konia trojańskiego), które będą realizowane w późniejszym terminie jako tzw. bomby czasowe. Może to być np. kod formatujący dysk twardy albo wstawiający przypadkowe ciągi bitów z danymi.

Dialer Program, który bez wiedzy użytkownika przekierowuje zwykłe połączenie na numer o podwyższonej płatności (0-700 lub numer międzynarodowy). Dialery przenikają do systemu operacyjnego zazwyczaj bezpośrednio ze stron www, np. gdy użytkownik kliknie podejrzane okienko pop-up lub baner.

Fałszywki Fałszywe alarmy przesyłane e-mailem o nowym bardzo groźnym wirusie, zawierające "instrukcję", jak się go pozbyć. Najczęściej są to instrukcje usunięcia ważnych plików systemowych, bez których system operacyjny nie może działać poprawnie.

Spam Niechciana, niezamówiona reklama, spływająca głównie poprzez pocztę elektroniczną, generująca niepotrzebny ruch w sieci.

3. Ataki na zasoby sieciowe Ze względu na miejsce lokalizacji źródła niebezpieczeństwa można dokonać ogólnego podziału zagrożeń na wewnętrzne (inicjowane wewnątrz danej organizacji) i zewnętrz-ne (inicjowane z zewnątrz). Inny podział, związany ze specyfiką określonego zagroże-nia, obejmuje: włamanie do systemu (przejęcie konta administratora lub użytkownika), utratę poufności informacji, określoną odpowiednią klauzulą tajności, utratę integralno-ści informacji (nielegalna modyfikacja danych), utratę autentyczności informacji, utratę dostępności usług systemu i informacji, podszywanie się pod innego użytkownika.

Hakerstwo Jest próbą uzyskania dostępu do systemu komputerowego z pominięciem uwierzytel-niania. Ataki przeprowadzane są poprzez niechronione, otwarte porty, czyli kanały ko-munikacji komputera z Internetem.

Spyware, crimeware Programy szpiegowskie, które bez wyraźnej zgody właściciela zbierają i wysyłają infor-macje o jego komputerze (informacje o posiadanym sprzęcie, konfiguracji systemu, od-wiedzonych stronach www, wysłanych e-mailach, wpisywanych tekstach, poufnych da-

59

nych, hasłach). Są to wszelkiego rodzaju konie trojańskie, czy też aplikacje rejestrujące znaki wpisywane z klawiatury, tzw. keyloggery, które następnie są wysyłane do agresora.

Eksploit Rodzaj ataku, program lub część kodu, wykorzystujące błąd lub lukę w aplikacji bądź systemie operacyjnym. Ich rola polega przede wszystkim na przepełnianiu buforów i umieszczaniu podprogramów w losowych miejscach w pamięci normalnie zabronio-nych przez użytkownika. W rezultacie przeprowadzenia takiego ataku agresor może zdobyć pełne uprawnienia do atakowanego komputera.

Atak słownikowy i Back door Atak polegający na próbie zalogowania się do systemu z wykorzystaniem dużej listy słów znajdujących się w określonym pliku jako kolejno próbowanych haseł. Back door czy inaczej "tylne drzwi", to programy bazujące na zainstalowaniu odpowied-niego oprogramowania, pozwalającego na dostanie się do systemu w inny sposób niż poprzez logowanie.

Skanowanie portów Wysyłanie do atakowanego systemu żądania udostępnienia usług na wielu portach w celu znalezienia uruchomionych usług oraz aktywnych portów (za pomocą polecenia ping).

Phishing Bardzo groźna odmiana spamu, która polega na tworzeniu fałszywych wiadomości e-mail i stron www, głównie finansowych, wyglądających identycznie jak serwisy in-ternetowe firm o znanej marce lub banków. Te atrapy mają za zadanie nakłonić klientów do podania numeru karty kredytowej, hasła logowania, informacji o koncie bankowym.

Pharming Wykorzystywanie oprogramowania wymuszającego na przeglądarce internetowej prze-kierowanie wysyłanych danych do serwera atakującego, zamiast do serwera banku.

Sniffing Podsłuchiwanie przesyłanych przez sieć pakietów. Za pomocą tzw. sniffera można prze-chwycić dane przesyłane niekodowanym kanałem.

Spoofing Podszywanie się pod inny komputer w sieci. Następuje to przez przechwytywanie prze-syłanych pakietów w celu ich modyfikacji i odesłania sfałszowanych do komputera docelowego. W efekcie "legalny" użytkownik zostaje rozłączony, a włamywacz konty-nuuje połączenie z pełnymi prawami dostępu np. do jego konta w banku.

Denial of Service (DoS) Odmowa wykonania usługi. Atak ten bazuje na takim wykorzystaniu zasobów kompute-ra, że nie jest on w stanie zagwarantować poprawniej realizacji usług, jakie oferuje, Jednym ze sposobów na zastosowanie ataku typu DoS jest tzw. flooding, polegający na wysyłaniu do atakowanego komputera takiej liczby zapytań, by odwołania rzeczywi-stych użytkowników do serwera nie mogły zostać obsłużone.

60

Rootkit Sposoby i metody, jakie stosują programy typu spyware, wirusy lub trojany do chowa-nia się przed wszelkimi skanerami. Rootkitami mogą być także różne zestawy narzędzi lub programów, których zadaniem jest zamaskowanie jakiejkolwiek próby włamania i uzyskania uprawnień administratora. Intruz może wtedy zainstalować rootkit wyko-rzystując dziurę w systemie. Rootkity działają na zasadzie spyware, czyli zbierają in-formacje o użytkownikach, przesyłają je do bazy atakującego i dają mu pełen dostęp do systemu. Rootkit może składać się z prostych narzędzi do monitorowania ruchu w sieci i do przesyłania haseł.

Socjotechnika Metoda uzyskiwania informacji na temat systemu od jego legalnych użytkowników. Napastnik stosuje odpowiednie połączenie informacji o systemie i technik manipula-cyjnych (np. mimikry), aby wzbudzić zaufanie ofiary. W efekcie ofiara jest skłonna ujawnić więcej dodatkowych informacji, które zostaną wykorzystane przez napastni-ka do kontynuacji ataku. Celem ataków socjotechnicznych jest uzyskanie dostępu fizycznego, uzyskanie danych uwierzytelniających do dostępu zdalnego, zdobycie informacji lub naruszenie innych mechanizmów kontroli bezpieczeństwa. Atak aktyw-ny polega na sondowaniu obiektów ataku i oczekiwaniu się od nich reakcji. Musi dojść do interakcji z personelem w celu zdobycia ważnych z punktu widzenia bezpieczeństwa informacji, uzyskania uprawnień dostępu lub nakłonienia kogoś do naruszenia zasad bezpieczeństwa albo do pośredniczenia w ataku. Napastnicy przeprowadzający atak aktywny wywołują pożądaną reakcję wykorzystując ludzkie emocje. Niektóre z metod ataków socjotechnicznych to: zastraszanie, podszywanie się, szantażowanie, użycie podstępu, schlebianie, okazywanie życzliwości, wykorzystanie władzy, wywieranie presji, wykorzystanie próżności, współczucie. Ataki pasywne polegają na gromadze-niu informacji, pozostając w ukryciu. Wykorzystuje się w nich podsłuchiwanie, ob-serwowanie i prowadzenie analiz. Ataki pasywne często są używane do zdobycia informacji wyjściowych, które można następnie wykorzystać w atakach aktywnych lub w fizycznych atakach sieciowych. Ataki socjotechniczne można przeprowadzić za pomocą różnych mediów komunikacyjnych: telefonu, poczty tradycyjnej i elektro-nicznej, stron www, komunikatorów, IRC, list wysyłkowych, forów dyskusyjnych, portali społecznościowych. Przykładami ataków dokonywanych przez media mogą być: spotkanie, zwiedzanie firmy, przeprowadzenie rozmowy telefonicznej w charak-terze pracownika lub sprzedawcy, ankieta na stronie www, do której można dołączyć kilka pytań o stosowanych zabezpieczeniach, fałszywa strona www gromadząca in-formacje logowania, ankieta listowna. Jednak bez wątpienia najgroźniejszym typem ataków są ataki łączone. Wśród nich na czelnym typem ataku jest budowanie alterna-tywnych tożsamości, charakteryzujących się dużą skutecznością oraz elastycznością dostępu do danych. Należy przy tym zauważyć, że nie wszystkich rodzaje ataków można użyć do osiągnięcia każdego celu.

61

4. Polityka bezpieczeństwa W celu zabezpieczenia systemów komputerowych przed nieautoryzowanym dostępem stosuje się procedury ochronne. Istnieje wiele metod zabezpieczania przed uzyskaniem nieuprawnionego dostępu. Dużo poważniejszym problemem pozostaje wykrywanie użytkowników, którzy podejmują szkodliwe dla systemu działania posiadając prawo dostępu. Demaskowanie fałszowania wartości przez osobę uprawnioną do aktualizowa-nia danych wymaga znacznie bardziej zaawansowanych metod. W praktyce więc efek-tywne zabezpieczanie systemów informacyjnych obejmuje zarówno rozwiązania techno-logiczne, jak i procedury zarządzania pracą. W celu ochrony przed wirusami i robakami należy ostrożnie wybierać aplikacje instalowane z Internetu, nigdy nie otwierać nie za-mawianych załączników pocztowych, skonfigurować programy pocztowe, aby poddawa-ły kwarantannie wykonywalne załączniki, wyłączyć wykonywanie makr w aplikacjach Office, chyba że są one koniecznością, zablokować w BIOS-ie sektor startowy, chyba że konieczna jest reinstalacja systemu operacyjnego. Do ochrony zasobów cyfrowych stosuje się wysoko wyspecjalizowane programy – pakiety antywirusowe łączące za-zwyczaj wiele funkcji takich jak program antywirusowy, technologię TruPrevent (do-datkowe zabezpieczenie przed nieznanymi wirusami i intruzami), zapory ogniowe (firewall), ochronę przed programami szpiegowskimi (antispyware), zabezpieczenia przed oszustwami internetowymi (antiphishing), blokowanie niechcianych wiadomości e-mail (antispam), zabezpieczenie haseł i danych osobistych, zabezpieczenie połączenia bezprzewodowego, filtrowanie zawartości stron internetowych (ograniczenie dostępu do niepożądanych treści).

Zabezpieczenie przed utratą danych dotyczy prowadzenia działań profilaktycznych umożliwiających odzyskanie danych w przypadku ich fizycznej utraty. Przyczynami utraty danych najczęściej są błędy użytkowników. Wśród nich można wyróżnić częste awarie sprzętowe, oprogramowania, zasilania czy łączy. Inną przyczyną utraty danych może być fakt przestępstwa: hakerstwo, atak wirusów lub robaków, kradzież, sabotaż, terroryzm. Osobną kategorią, z którą mamy do czynienia są zdarzenia losowe: pożary, podtopienia, powodzie, wyładowania atmosferyczne, wichury i huragany. Aby zapobiec nieodwracalnym szkodom związanym z utratą danych zaleca się stosowanie zabezpie-czeń takich jak kopie zapasowe, zasilacze awaryjne, dodatkowe dyski, uprawnienia do usuwania danych, zapory, audyt, składowanie danych poza siedzibą firmy, archiwizacja, kopiowanie plików, testowanie systemów przed wdrożeniem, zabezpieczenia fizyczne (zamki, monitoring, strażnicy).

5. Monitoring stanu zagrożeń dla bezpieczeństwa teleinformatycznego Polski

Na terytorium Rzeczypospolitej Polskiej, zadania monitorowania zagrożeń na szczeblu państwowym, wykonuje Agencja Bezpieczeństwa Wewnętrznego. Do prowadzenia szczegółowych zadań operacyjnych powołano w jej strukturze Departament Bezpie-czeństwa Teleinformatycznego.

62

Departament Bezpieczeństwa Teleinformatycznego czerpie informacje o zagrożeniach ze źródeł własnych, a także ze źródeł międzynarodowych takich jak: grupy robocze UE dotyczące ochrony krytycznej infrastruktury teleinformatycznej, system informowania NATO – NATO Computer Incident Response Capability, zespół reagowania na incyden-ty CERT POLSKA, zagraniczne zespoły CERT, zagraniczne służby specjalne, krajowe służby i instytucje.

Na szczególne podkreślenie zasługuje tutaj rola systemu ARAKIS-GOV. Jest to system wczesnego ostrzegania o zagrożeniach w sieci Internet. System ten jest efektem współ-pracy Departamentu Bezpieczeństwa Teleinformatycznego ABW oraz działającego w ramach NASK zespołu CERT Polska. ARAKIS-GOV powstał na potrzeby wsparcia ochrony zasobów teleinformatycznych administracji państwowej w wyniku rozszerze-nie stworzonego przez CERT Polska systemu ARAKIS o dodatkową funkcjonalność.

ARAKIS-GOV nie jest typowym systemem zabezpieczającym i w żadnym wypadku nie zastępuje funkcjonalności standardowych systemów ochrony sieci takich jak firewall, antywirus czy IDS/IPS. Ze względu jednak na swoją specyfikę może być z powodze-niem stosowany jako uzupełnienie w/w systemów, dostarczające informacji na temat nowych zagrożeń (globalnych) pojawiających się w sieci Internet, m.in.: nowo-wykrytych samo-propagujących się zagrożeń typu worm; nowych typów ataków, obserwowanych z poziomu dużej liczby lokalizacji; trendów aktywności ruchu siecio-wego na poszczególnych portach czy trendów aktywności wirusów rozsyłanych pocztą elektroniczną. ARAKIS-GOV dostarcza także wiedzy na temat zagrożeń lokalnych związanych z konkretną, chronioną lokalizacją: braku aktualnych szczepionek antywi-rusowych; zainfekowanych hostów w sieci wewnętrznej; nieszczelnej konfiguracji brzegowych systemów zaporowych; prób skanowania publicznej przestrzeni adresowej zarówno z Internetu jak i z sieci wewnętrznej.

Ponadto zaimplementowane w systemie narzędzia umożliwiają między innymi porówna-nie statystyk ruchu sieciowego, widzianego z poziomu chronionej lokalizacji, z globalnym obrazem pochodzącym z wszystkich zainstalowanych sensorów, oraz zobrazowanie geo-graficznej lokalizacji podejrzanego ruchu. Unikalną cechą systemu ARAKIS-GOV jest przy tym fakt, że nie monitoruje on w żaden sposób treści informacji wymienianych przez chronioną instytucję z siecią Internet. Sondy systemu instalowane są bowiem poza chro-nioną siecią wewnętrzną instytucji, po stronie sieci Internet.

W chwili obecnej sensory systemu zainstalowane są w ponad 60 urzędach szczebla centralnego i jednostkach samorządu terytorialnego.

Podsumowując, logika działań związanych z ochroną i zapewnieniem bezpieczeństwa w sieci oraz bezpieczeństwa informacyjnego, opiera się w dużej mierze na krytycznych ocenach prowadzonych analiz. W zależności od wielkości sieci, oraz wagi chronionych informacji, w proces ten powinny być zaangażowane wszelkie możliwe piony, począw-szy od kierownictwa organizacji, poprzez pion ochrony, średni personel kierowniczy, personel techniczny IT, aż po bezpośrednich użytkowników. W innej skali rzecz doty-czy użytkowników prywatnych, ale i wówczas nie można bagatelizować zagrożeń, które uwidaczniają się już na wstępnym etapie analizy tego problemu.

63

Literatura 1. Anderson R., Inżynieria zabezpieczeń, Wydawnictwa Naukowo - Techniczne, War-

szawa 2005.

2. Cole E., Krutz R. L., Conley J., Bezpieczeństwo sieci - Biblia, Wydawnictwo HELION, Gliwice 2005.

3. Freedman A., Encyklopedia komputerów, Wydawnictwo HELION, Gliwice 2004.

4. Ogiela M. R., Bezpieczeństwo systemów komputerowych, Uczelniane Wydawnictwo Naukowo - Dydaktyczne AGH, Kraków 2002.

5. Sokół M., Sokół R., Internet Jak surfować bezpiecznie, Wydawnictwo HELION, Gliwice 2005.

6. Strebe M., Bezpieczeństwo sieci - podstawy, Wydawnictwo MIKOM, Warszawa 2005.