Podstawowe zagrożenia i metody ochrony systemów komputerowych
description
Transcript of Podstawowe zagrożenia i metody ochrony systemów komputerowych
2011-01-29
Techniczny Uniwersytet Otwarty
Szymon SokółUczelniane Centrum Informatyki [email protected]
Podstawowe zagrożenia i metody ochrony systemów komputerowych
2
Rodzaje zagrożeń
Utrata funkcjonalności (Denial of Service)
Utrata kontroli nad systemem
Utrata (zniszczenie) danych
Modyfikacja danych
Wyciek danych
3
Źródła zagrożeń
Klęski żywiołowe, kradzież, sabotaż
Awarie sprzętu
Błędy oprogramowania
Błędy personelu
Infekcje wirusami itd.
Włamywacze komputerowi
Inne - niesklasyfikowane
4
Koszty ochrony danych
Analiza ryzyka/kosztów
Koszt ochrony nie może przekraczać wartości danych
Koszty jednorazowe vs. koszty stałe
Zmniejszenie produktywności jest ukrytym kosztem
5
Polityka bezpieczeństwa
6
Kompleksowość
Nie ma zabezpieczeń skutecznych w 100%
Asymetria:atakującemu wystarczy jedna podatnośćzabezpieczający musi usunąć wszystkie
Zasada spójności pionowej i poziomej
Komplementarność zabezpieczeń:Redundancja chroni przed utratą, ale nie przed wyciekiem danychSzyfrowanie chroni przed wyciekiem, ale nie przed utratą danych
7
Redundancja
Redundancja na poziomie danychReplikacja baz danychSystemy kontroli wersjiKopie zapasowe
Redundancja na poziomie infrastrukturyUrządzenia zapasowe (standby)Fault-Tolerant Systems
Macierze RAIDUrządzenia z redundantnymi komponentamiKlastry HA (High Availability)
Redundancja na poziomie organizacyjnym„Nie ma ludzi niezastąpionych”Kompletna dokumentacja
8
Kopie zapasowe (backup)
„Ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą robić backupy”
2/3 użytkowników Internetu utraciło kiedyś istotne dane
Co kopiujemy?nośniki instalacyjneobrazy dyskówdane (pliki) systemowedane (pliki) użytkownikabazy danychinne
9
Kopie zapasowe (backup)
Jak kopiujemy?kopie pełne (full backup)kopie różnicowe (differential)kopie przyrostowe (incremental)
wielopoziomowe (multilevel incremental)obrazy systemu plików (snapshot)
Kiedy i jak często?virgin imagekopie dzienne / tygodniowe / itd.backup window
Jak ograniczamy rozmiar?deduplikacjakompresja
10
Kopie zapasowe (backup)
Na jaki nośnik?taśmy magnetycznedyski magnetycznenośniki optyczneinnenośniki pośrednie (staging)
Czas dostępu vs. pojemność
Automatyzacja procesu
Wiarygodność kopiiodtwarzalnośćkompletnośćautentyczność
11
Gęstość informacji
Nośnik Pojemność (GB)
Rozmiary (mm)
Objętość (mm³)
Gęstość (MB/mm³)
CD 0,7 120 x 1,2 13571,7 0,05
DVD SL 4,7 120 x 1,2 13571,7 0,35
DVD DL 8,54 120 x 1,2 13571,7 0,63
LTO Ultrium
800 102 x 105,4 x 21,5 231142,2 3,46
3,5" HD 2000 101,6 x 146 x 25,4 376773,44 5,31
SDHC 68,7 32 x 24 x 2,1 1612,8 42,60
microSDHC 34,35 15 x 11 x 1 165 208,18
Rozmiary i pojemność popularnych nośników
12
Kopie zapasowe (backup)
Jak chronimy?redundancja kopiioff-site backup
sposób transferuszyfrowanie
Jak długo przechowujemy?częstotliwość vs. czas przechowywaniarotacja nośnikówtrwałość nośnikówkopia awaryjna vs. kopia archiwalna
13
RAID
Redundant Array of Inexpensive/Independent Disks
RAID nie zastępuje backupu!
Typowe warianty RAID:RAID-0RAID-1RAID-1+0 (RAID-10)RAID-5RAID-6
14
RAID
RAID-0 (striping – nie zapewnia redundancji!)
całkowita pojemność Xwydajność wyższa niż pojedynczego dysku
RAID-1 (n-way mirroring)odporny na awarię n-1 dysków (zwykle n=2)całkowita pojemność X/n
15
RAID
Implementacje:software'owe
Linux MD (metadevice): 0, 1, 10, 5, 6MacOS: 0, 1, 10MS Windows Server, XP Pro: 0, 1, 5
hardware'owekontroler w serwerzekontroler w macierzy
firmware'owe (FakeRAID)
16
Szyfrowanie danych przechowywanych
Programy archiwizujące (pakujące) z szyfrowaniem:PKZIP (DES, 3DES)WinZip (AES-128, AES-256)WinRAR (AES-128)
Dedykowane programy do szyfrowania plików:bcrypt (Blowfish), ccrypt (Rijndael)mcrypt (AES, Blowfish, Twofish, 3DES i in.)OpenSSL enc (Blowfish, 3DES, IDEA i in.)PalCrypt (AES, Blowfish, IDEA)PGP / GPG
17
Szyfrowanie danych przechowywanych
Szyfrowane filesystemy na dysku/partycji lub napędzie wirtualnym (w pliku):
TrueCrypt (AES, Twofish, Serpent i ich kombinacje) – freeware, Windows, Linux, MacOSBestCrypt (AES, Blowfish, Twofish, CAST) – komercyjny, Windowsdm-crypt (AES, Blowfish, Twofish, Serpent, 3DES) – freeware, LinuxFileVault (AES-128) – wbudowany, MacOS
Sprzętowe szyfratory (AES-256) wbudowane w:kontrolery: Addonics CipherChaindyski twarde: Seagate, Samsung, Toshibadyski flash USB (pendrive): Kingston DataTraveller, SanDisk Cruzer Professional/Enterprise, Ironkey i in.
18
Szyfrowanie danych przesyłanych
Na poziomie sprzętowym (łącza)
Na poziomie protokołu sieciowego
Na poziomie protokołu aplikacyjnegoW W W (HTTPS)Komunikatora (Skype itd.)Poczty elektronicznejInne
19
Szyfrowanie danych przesyłanych
Szyfrowanie w sieciach WiFiWEP (Wired Equivalent Privacy) ~1997 (RC4)WPA (Wi-Fi Protected Access) ~2002WPA2 (standard 802.11i) 2004 (AES-128), od 2006 obligatoryjny dla nowych urządzeń WiFi
Wirtualne sieci prywatne (Virtual Private Networks, VPN)
SSL (Secure Socket Layer) – Netscape ~1995SSL v3 - 1996TLS (Transport Layer Security) – 1999 (RFC 2246)TLS v. 1.2 – 2008 (RFC 5246), dodano m.in. AESSłuży m.in. do szyfrowania HTTPS
20
Poczta elektroniczna
S/MIME (Secure Multipurpose Internet Mail Extensions, RFC 3851) – standard przesyłania zaszyfrowanych e-maili
Bazuje na mechanizmie Certificate Authority – certyfikaty użytkowników są wystawiane przez publiczne lub prywatne (np. wewnątrzfirmowe) CAWbudowany w wiele programów pocztowych (Outlook, Outlook Express, Thunderbird)
Pretty Good Privacy – 1991, Philip Zimmermann Wykorzystuje „web of trust” (sieć zaufania)Standard OpenPGP – 1998-2007 (RFC 4880)Implementacje:
PGP Desktop 10.x – PGP CorporationGNU Privacy Guard (GnuPG, GPG) 2.0.15 – 1999-2010, Free Software Foundation
21
Cyberprzestępczość i cyberterroryzm
Ataki typu DoS (Denial of Service)
Malware (złośliwe oprogramowanie)
Włamania do systemów
Social engineering
22
Ataki DoS (Denial of Service)
Polegają na zablokowaniu zasobów ofiary – mocy procesora, pamięci, przepustowości łącza
ping of death – błąd w obsłudze dużych (64kB) pakietów ICMP (m.in. w Windows)LAND (Local Area Network Denial) – odpowiadanie na pakiety z fałszywym adresem nadawcy równym adresowi odbiorcy/ofiary (stare Unixy, Windows XP, 2003)
23
Ataki DDoS (Distributed DoS)
smurf – obsługa broadcast ICMP
Z użyciem botnetu (komputerów-zombie zarażonych trojanem, np. Stacheldraht, Trinoo, TFN2K, Conficker)
sterowane zdalnie, np. przez IRCnajwiększe botnety po >1 mln zombie (głównie Windows, ale też MacOS, Linux, Symbian)
DDoS przypadkowy (Slashdot effect)
24
Ataki na usługi sieciowe
Błędy oprogramowania serwerówZbyt szerokie uprawnieniaPrzepełnienie bufora (buffer overflow)
Odgadywanie haseł do usług (SSH, FTP, POP3 itd.)atak słownikowy
Podsłuch transmisji (sniffing)W sieciach bezprzewodowych
25
Malware (malicious software)
Wirus („self-replicating program”, Fred Cohen 1983)„dokleja” się do programów i jest przenoszony z systemu do systemu przez użytkowników
Robak (worm, John Brunner 1975) samodzielnie propaguje się przez sieć (przypadek graniczny: robak rozsyłający się e-mailem)
Trojan (koń trojański, Trojan horse) nie replikuje się samodzielnie, jest instalowany przez użytkownika
w 2009 stanowiły >80% malware
Backdoor (Ken Thompson „Reflections on Trusting Trust”, 1984)
Back Orifice, Netbus, SubSevenRootkit
Sony „Extended Copy Protection” – na audio CD (2005)
26
Malware (malicious software)
Spyware – malware, którego celem jest gromadzenie i przesyłanie informacji o użytkowniku (haseł etc.); często zawiera keylogger
Adware – oprogramowanie wyświetlające reklamy, często zawiera elementy spyware (reklama kontekstowa)
Exploit – program, którego jedyną funkcją jest wykorzystanie luki lub przełamanie zabezpieczenia systemu (lokalnego lub zdalnego)
27
Malware (malicious software)
Przełomowe wirusy Creeper (1981, PDP-10)Brain/Lahore (1986, MS-DOS)nVir (1987, MacOS)Michelangelo (1992) – spowodował histerię mediówConcept (1995, makrowirus infekujący .doc)Staog (1996, Linux)Commwarrior-A (2005, Symbian) – rozsyła się w MMS
Najbardziej znane robaki„The Internet Worm” Roberta T. Morrisa, 2.11.1988Code Red (2001), Nimda (2001), Klez (2001), Blaster (2003), SQL Slammer (2003), Sobig (2003), Sasser (2004), Conficker (2008)
28
Zwalczanie malware
Popularne programy antywirusoweKaspersky Anti-virusESET NOD32BitDefender AntivirusAVGMcAfee VirusScanLinux: McAfee LinuxShield, ClamAV
Popularne wykrywacze spywareSpybot – Search & DestroySuperantispywareLavasoft Ad-AwareMicrosoft Windows DefenderTrend Micro HijackThisSunbelt Counterspy
29
Zwalczanie malware
Popularne firewalle programowe (często zintegrowane z programem antywirusowym)
Zone Alarm Internet Security SuiteKaspersky Internet SecurityComodo Internet SecurityOutpost Firewall ProNorman Personal FirewallNorton Internet SecurityLinux: Netfilter/iptables, Shorewall
Rankingi antywirusów i firewalli:http://anti-virus-software-review.toptenreviews.com/http://personal-firewall-software-review.toptenreviews.com/
30
Social engineering
Social engineering – ogół metod polegających na wykorzystaniu naiwności użytkownika (np. wyłudzeniu hasła, skłonieniu do instalacji malware itd.); Kevin Mitnick „The Art of Deception”
Phishing – wykorzystanie e-maila lub strony WWW do podszycia się pod zaufaną instytucję w celu wyłudzenia danych
Wyłudzanie haseł, numerów kart kredytowych itd.Przekręt nigeryjski (nigerian scam)
31
Reagowanie na incydenty
CERT (Computer Emergency Response Team) – instytucje zajmujące się koordynacją zapobiegania i zwalczania naruszeń bezpieczeństwa komputerowego
Pierwszy CERT – Carnegie Mellon University, 1988 (po sparaliżowaniu Internetu przez Morrisa)United States Computer Emergency Readiness Team (US-CERT) w ramach Dept. of Homeland SecurityCERT NASK (1996) → CERT PL <http://www.cert.pl>TF-CSIRT (Task Force – Collaboration Security Incident Response Teams) – organizacja utrzymująca FIRST (Forum of Incident Response and Security Teams) zrzeszające ponad 100 CERT-ów w EuropieENISA (European Network and Information Security Agency) – agencja UE
32
Literatura
Janusz Stokłosa, Tomasz Bliski, Tadeusz Pankowski „Bezpieczeństwo danych w systemach informatycznych” (PWN 2001)
Matthew Strebe „Bezpieczeństwo sieci” (MIKOM 2005)
Simon Garfinkel, Gene Spafford „Bezpieczeństwo w Unixie i Internecie” (RM 1997)
Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes „Linux. Bezpieczeństwo. Receptury” (Helion 2003)
Cyrus Peikari, Anton Chuvakin „Strażnik bezpieczeństwa danych” (Helion 2004)
Marcin Karbowski „Podstawy kryptografii” (Helion 2005)
Clifford Stoll „Kukułcze jajo” (Rebis 1998)
Michal Zalewski „Cisza w sieci” (Helion 2005)
http://www.cert.pl/