Zaufanie w systemach informatycznych

Zaufanie
w systemach
informatycznych

Pawe Krawczyk

Kontakt z autorem:

pawel.krawczyk@hush.comTel. +48-602-776959

Prezentacja udostpniona na licencji Creative Commons BY-NC-SA(uznanie autorstwa, uycie niekomercyjne, na tych samych warunkach)

http://creativecommons.org/licenses/by-nc-sa/3.0/pl/

Literatura:

http://ipsec.pl/http://securitystandard.pl/

Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego"

Konspekt

Kryteria zaufania

Analiza ryzyka

Funkcje bezpieczestwa

Zaufanie oparte o reputacj

Etyka bezpieczestwa

Zaufanie do systemu informatycznego

Zaufanie, wiarygodno systemu informatycznegoPrzekonanie, e dany system spenia swoje zadanie zgodnie z okrelonymi kryteriami np. polityk bezpieczestwa (PN-I-02000:2002 pkt 3.2.017)

Warunek konieczny: kryteria

Jak opisa kryteria?

Polityki (policies)

Procedury (procedures)

Standardy (standards)

Minimalne wymagania (baselines)

Wytyczne (guidelines)

Polityki bezpieczestwa

Polityki bezpieczestwa

Wysokopoziomowe

Strategiczne

Wytyczaj kierunek

Stabilne

Zawieraj wynik decyzji politycznychNp. "Priorytetem organizacji jest..."albo "...maksymalizacja zysku za cen ryzyka"

albo "...bezpieczestwo i stabilno"

Implementacja polityk

Minimalne wymaganiaOkrelaj ilociowo wymagany poziom siy mechanizmw bezpieczestwa (dugo hasa, dugo kluczy szyfrujcych, czsto zmiany hase)

WytyczneMog mie charakter niewicy, zawieraj zalecenia (recommendations) i najlepsze praktyki postpowania (best practices)

Implementacja polityk

StandardyOpisuj obecno konkretnych mechanizmw bezpieczestwa (hasa, szyfrowanie danych, zapory sieciowe)

ProceduryKrok po kroku opisuj sposb wykonywania okrelonych zada w sposb bezpieczny (np. postpowanie z dokumentami wraliwymi)

Czste bdy w tworzeniu polityk

Sprzeczne cele (oksymorony)"maksymalizacja zysku za cen ryzyka, bezpieczestwo oraz stabilno"

Przemieszanie polityk z procedurami i standardamiTrudno zmian lub zbyt czste zmiany

Zbyt obszerne, nieczytelne i nieprzyswajalne

Tworzenie polityk "na zapas" i mylenie yczenioweZbyt duo priorytetw = brak priorytetw

Nierealne cele polityk

Patologia pierwszaPodniesienie poziomu bezpieczestwa tak wysoko, e zanika zysk krtko- i dugoterminowy

Przykad: e-faktury, podpis kwalifikowany

Patologia drugaUstalenie celw bezpieczestwa tak wysoko, e maj one charakter "mylenia yczeniowego"

Z patologi pierwsz mona si zetkn w przypadku mechanizmw, ktre miay oryginalnie suy optymalizacji pewnych procesw, uatwieniu dostpu do usug lub obnieniu kosztw. Podniesienie wymaga bezpieczestwa na poziom nieuzasadniony analiz ryzyka powoduje, e ich stosowanie staje si nieracjonalne i w konsekwencji nie s one stosowane. Z tak sytuacj mamy do czynienia w przypadku podpisu kwalifikowanego w wikszoci Pastw Czonkowskich UE oraz z fakturami elektronicznymi w Polsce.Patologi drug mona spotka w organizacjach, ktre z rnych powodw wdraaj polityki bezpieczestwa ale robi to w sposb mechaniczny, np. przez skopiowanie polityk modelowych. W rezultacie otrzymuj polityki niedostosowane do swojego profilu ryzyka. Jeli nakadane przez nie wymagania s zbyt wysokie i kolidowayby z dziaalnoci tych organizacji to po prostu s powszechnie ignorowane i stan taki jest tolerowany. Taka fikcja zachca jednak do selektywnego traktowania wszystkich regu postpowania w danej organizacji i prowadzi do specyficznego "dwjmylenia".

Czy wicej bezpieczestwa to lepiej?

Bezpieczestwo suy maksymalizacji zyskuPowicamy krtkoterminowy zysk lub wydajno w celu uniknicia dugoterminowych strat

Dbamy o zysk dugoterminowy

Warto graniczna bezpieczestwa100% bezpieczestwa = 0% dziaania

Racjonalna polityka bezpieczestwaJest dostosowana do profilu ryzyka tej konkretnej organizacji

Przyczynia si do realizacji jej celw

Teoria bezpieczestwa informacji wywodzi si ze rodowisk wojskowych, ktre maj szczeglny profil ryzyka (risk aversive). W rodowiskach tych priorytetem jest unikanie ryzyka lub ograniczanie go niemal do zera. Jest to jednak bardzo kosztowne.Stosowanie tej samej miary do wikszoci wspczesnych zastosowa komercyjnych prowadzioby do paraliowania gospodarki elektronicznej, zamiast jest stymulowania.Std dziaalno komercyjna w znacznie wikszym stopniu skupia si na "yciu z ryzykiem" przez jego ograniczanie tylko w takim stopniu, w jakim jest to uzasadnione wzgldami biznesowymi.Racjonalna analiza ryzyka pozwala na wyznaczenie optymalnego czyli wystarczajcego, ale ani zbyt maego ani nadmiernego poziomu kontroli ryzyka.

Metody racjonalizacji polityk

Rozbudowa na podstawiePotrzeb wewntrznych

Wymaga zewntrznychPrawo, standardy branowe, wymagania klientw, przewaga konkurencyjna

Uporzdkowanie przy pomocy analizy ryzykaJakociowa, ilociowa

Racjonalizacja zabezpieczeAnaliza kosztw i zyskw (cost-benefit)

ROI = Return on Investment

ROSI = Return on Security Investment

Analiza ryzyka

Analiza ryzyka

Racjonalny i obiektywny opis ryzyk organizacjiUmoliwia ich racjonalne kontrolowanie

Analiza jakociowa (qualitative)Wysokie/rednie/niskie

Analiza ilociowa (quantitative)Kade ryzyko ma warto finansow

Rekomendacje i standardy:NIST SP 800-30 "Risk Management Guide forInformation Technology Systems"ISO 27005

Terminologia

Zasoby chronione, aktywa (assets)

Zagroenie (threat)

Czynnik zagroenia (threat agent)

Podatno (vulnerability)

Naraenie na ryzyko (exposure to risk)

Ryzyko (risk)

rodki bezpieczestwa, zabezpieczenia (countermeasures)

Szkoda (impact)

Wyjanienia terminologii

ZagroeniaNiezalene od nas, nie mamy na nie wpywu

Nie musz nas dotyczy, jeli nie istnieje czynnik (agent)

PodatnoIstnieje jeli odpowiada czynnikowi zagroenia i nie istnieje odpowiednie zabezpieczenia

Na podatno mamy wpyw

RyzykoIstnieje, jeli istnieje podatno

Integralno(integrity)

Modyfikacja(alternation)

Zniszczenie(destruction)

Dostpno(availability)

Ujawnienie(disclosure)

Poufno(confidentiality)

Trjkt C.I.A.

Poufno dostp do informacji maj wycznie osoby uprawnione, a osoby nieuprawnione nie maj do niej dostpu.Integralno informacja nie moe by zmodyfikowana, dodana lub usunita bez moliwoci wykrycia ingerencji.Dostpno upowanione osoby mog uzyska dostp do informacji w wymaganym miejscu, czasie i zakresie.

ASSETIMPACTTHREAT

VULNERABILITY

Ryzyko = iloczyn prawdopodobiestwa wystpienia zagroenia i stopnia szkodliwoci jej skutkw (IEC 61508)

Ryzyko = prawdopodobiestwo, e okrelone zagroenie wykorzysta okrelon podatno systemu (PN-I-02000:2002)

rdo: Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and general model, July 2009

Wycena ryzyka w praktyce #1

Okrelenie SLE (Single Loss Expectancy)SLE = AV x EFAV (Asset Value) [$]

EF (Exposure Factor) [%]

PrzykadZysk z jednego dnia emisji reklam rednio 1000 zAV = 1000z

Cigo pracy systemu 98%To nie jest EF!

System przestaje dziaa reklamy si nie wywietlaj EF=100%

Wycena ryzyka w praktyce #2

Agregacja w skali rocznejAVroczny = AV x 365 dni = 365'000 z

ARO (Annual Rate of Occurence)ARO = 2% (100%-98%) = 7,3 dnia w roku

ALE (Annual Loss Expectancy)ALE = SLE x ARO = 7300 z

Obiektywna miara ryzyka w skali rokuZagroenie 2% przerwa w pracy systemu

Wycena ryzyka w praktyce #3

ALE jest wskazwk do dalszych decyzji

Jak postpi z danym ryzykiem?Jeli ogranicza, to ile wyda na zabezpieczenie?Warto zabezpieczenia: ALE ALEzabezp KOSZTzabezp

`Dodatkowe narzdzia ROI i ROSI

ROIG = Gain from investmentC = Cost of investment

ROSIE = Risk exposure before safeguardSm = Risk mitigated by solution (90% = 10% residual)Sc = Total solution cost

Postpowanie z ryzykiem

Ograniczenie (reduction)Zabezpieczenia (safeguards, controls)

Akceptacja (acceptance)wiadoma i racjonalna, oparta na przesankach

Przeniesienie (transfer)Ubezpieczenie, outsourcing

Unikanie (avoidance)Zaprzestanie ryzykownego dziaania

Ignorowanie (ignorance)Patologiczna forma akceptacji

Jak weryfikowa zaufanie?

Zaufanie... co do czego?

Czy dana osoba jest t, za ktr si podaje?

Czy dany obiekt jest tym, jako ktry go opisano?

Czy dana osoba ma prawo czyta dany plik?

Poufno

Formalne modele poufnoci

rodki prawnePenalizacja ujawnienia informacji niejawnej

rodki organizacyjneZasada wiedzy koniecznej (need to know)

rodki techniczneSzyfrowanie danych

Formalne modele dostpu do danych

Wywodz si z polityk wojskowych

Realizuj funkcjePoufnoci kto moe czyta/kopiowa dane

Integralnoci kto moe zapisywa/zmienia dane

Wymagaj klasyfikacji informacjiNp. "tajne", "jawne"

Opisuj relacje midzy klasami

Literatura:

Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego", 2003

Model Bell-LaPadula

Model poufnoci (kontroli dostpu)

Poziomy klasyfikacji poufnoci"Niszy", "Taki sam jak mj", "Wyszy"

"Read down write up"Mog czyta dane tylko z "nisze" lub "takie same""simple security property"

Mog zapisywa dane tylko "wysze" lub "takie same""star security property" (*-property)

Model BLP (Bell-LaPadula) jest modelem teoretycznym, opisujcym wyacznie problem kontroli dostpu do danych.Osoba posiadajca powiadczenie na poziom "2" moe czyta dokumenty z poziomu "1" lub "2", ale aden dokument, ktry stworzy nie moe by sklasyfikowany jako "1". Poniewa posiada ona wiedz z poziomu "2", blokada tworzenia dokumentw na niszym poziomie uniemoliwia wyciek informacji.Rwnoczenie synteza dwch dokumentw klasy "2" lub "1" moe prowadzi do wnioskw, ktre musz by sklasyfikowane wyej ("3") std dopuszczalno "write up".

Integralno

Dane s zmieniane tylko przez uprawnione osobyTylko uprawniona osoba ma prawo zmianKontrola dostpu do danychNie ma praw zapisu, nie mona zmieni

Nieuprawnione zmiany s wykrywalneKontrola integralnoci za pomoc funkcji skrtu

Ochrona integralnoci moe by realizowana dwiema drogami po pierwsze, uniemoliwiajc modyfikacj danych osobom nieuprawnionym za pomoc kontroli dostpu. Opisujemy to dalej na przykadzie modelu Biba.Po drugie, dugoterminow ochron integralnoci zapewniamy przez wykrywanie nieuprawnionych zmian za kryptograficznych kodw kontrolnych, podpisu elektronicznego itd.Przykadem bardzo rozbudowanej i dugoterminowej ochrony integralnoci i autentycznoci dokumentw s usugi notariatu elektronicznego LTANS (Long-Term Archiving and Notary Services).

Model Biba

Model integralnoci ("czystoci" danych)

Poziomy klasyfikacji integralnoci j.w.

"Read up write down"Mog czyta tylko dane "czystsze" lub "takie same"

Mog zapisywa tylko dane "brudniejsze" lub "takie same"

Integralno danychNp. precyzja pomiarw, zaokrgle, skala map

Poczenie Biba z BLP skutkuje now istotn restrykcj tzw. "strong star property"- jeli mam prawo i zapisu i odczytu, to mog pisa i czyta tylko na swoim poziomie.Wynika to z poczenia restrykcji obu modeli w celu ochrony zarwno poufnoci jak i integralnoci.

Funkcje bezpieczestwa

Poufno (Confidentiality)

Integralno (Integrity)

Dostpno (Availability)

Autentyczno (Authenticity)

Niezaprzeczalno (Non-repudiation)

Rozliczalno (Accountability)

Anonimowo (Anonymity)

Autentyczno pewno, e dany podmiot jest tym, za ktry si podaje a obiekt tym, jako ktry zosta opisany.Niezaprzeczalno moliwo wykazania z duym prawdopodobiestwem, e dany podmiot wykona dan czynno w sytuacji, gdy si tego wypiera.Rozliczalno moliwo jednoznacznego przypisania danego dziaania okrelonemu podmiotowi.Anonimowo niemono przypisania danego obiektu lub dziaania do okrelonego podmiotu.

Model kratowy

Krata (security lattice) opis uprawnieObiekty sklasyfikowane jako {kategoria, poziom}{Osobowe, subowy}

{Osobowe, wraliwe}

{Projekty, subowy}

{Projekty, zastrzeone}

Podmiot ma przypisany zakres dostpuPracownik HR {Osobowe, *}

Pracownik finansw {Osobowe, subowy}

Inynier {Projekty, subowy}

Meneder {Projekty, *}

Modele macierzowe

Zbiory wejcioweS (subjects) podmioty (np. uytkownicy)

O (objects) obiekty (np. Pliki)

UprawnieniaOdczyt, Zapis, Dopisanie, Wykonanie...

Reprezentacja polityki bezpieczestwaA (access) macierz dostpuS1 O O1

S2 O,Z O2

Zastosowanie modeli
kontroli dostpu

Poczenie elementw wszystkich w/w modeli w systemach operacyjnychPrawa dostpu do plikw

Discretionary vs Mandatory Access ControlDAC waciciel decyduje o uprawnieniach

MAC administrator decyduje o uprawnieniach

W praktyceSecurity Enhanced Linux, AppArmor

Windows Vista Mandatory Integrity ControlInternet Explorer Protected Mode

Autentyczno

Podstawa kontroli dostpuAutentyczno podmiotw i obiektw

PrzykadyWiadomoci (message)

Kanau cznoci (peer entity)

Pochodzenia danych (data origin)

Tosamoci osoby (identity)

Uwierzytelnianie

IdentyfikacjaTosamo deklarowana

UwierzytelnianieWeryfikacja i potwierdzenie tosamoci

Wiele metod weryfikacjiRne poziomy pewnoci = rny koszt

Wynik potwierdzenie tosamoci

Wybr poziomu wystarczajcego na podstawie analizy ryzyka

NIST SP 800-63 Electronic Authentication Guideline

Klasyfikacja metod uwierzytelniania

Co, co wiesz (something you know)Haso, kod PIN

Co, co masz (something you have)Token, identyfikator RFID, karta kryptograficzna

Co, czym jeste (something you are)Techniki biometryczne

Techniki kombinowaneUwierzytelnienie dwuskadnikowe (two-factor authentication)

"Co co wiesz" maj charakter niematerialny, s informacjami. Zalet jest wysoka dostpno, wad atwo kradziezy przez skopiowanie bez wiadomoci osoby uprawnionej."Co co masz" s spersonalizowanymi przedmiotami. Zalet jest trudno kradziey bez wiadomoci posiadacza, wad brak dostpnoci w razie awarii lub zgubienia. St konieczno zapewnienia kanaw awaryjnych!"Co czym jeste" unikalne cechy danej osoby (cechy biometryczne). Trudne do skopiowania, pomiar moe by uciliwy oraz obarczony bdem (False Acceptance/Rejection Ration). Zdeterminowany atakujcy moe zniszczy orygina w celu uzyskania kopii.

Strona techniczna

Hasa (password, pass-phrase)

Hasa jednorazowePregenerowane - TAN (Transaction Authentication Numbers), "zdrapki", OTP (One-time password)

Generowane RSA SecurID, SafeWord, YubiKey, CERB, sToken, SMS...

Identyfikatory zblieniowe (RFID)Samo posiadanie identyfikatora, ewentualnie z PIN

Hasa nadal s najbardziej rozpowszechnion technik uwierzytelnienia. Wymagaj najprostszego z moliwych interefejsu czyli klawiatury i ekranu.Problem atwej kradziey hase rozwizuj hasa jednorazowe. Hasa pregenerowane rwnie mog by wyudzane lub kradzione. Sprztowe generatory mog zosta zgubione lub skradzione. Dodatkowe haso (PIN) do tokenu rozwizuje problem kradziey, ale nie rozwizuje problemu dostpnoci w razie zgubienia.

Kryptografia asymetryczna

Dowd posiadania klucza prywatnegoSSL/TLS, ISAKMP/IKE (IPSec), SSH uwierzytelnienie kanau cznoci

Podpis elektroniczny - PGP, S/MIME uwierzytelnienie pochodzenia wiadomoci

Lokalizacja klucza prywatnegoProgram, system operacyjny

Karta kryptograficzna

W obu przypadkach dodatkowe haso (PIN)

Klucz prywatny reprezentacja "wycznej kontroli posiadacza" (pojcie "sole control of owner" z Dyrektywy 1999/93 EC), zgodnie z logik kryptografii z kluczem publicznym.Poziom pewnoci, e kontrola jest "wyczna" moe by sterowany dodatkowymi rodkami takimi jak kod PIN oraz karta kryptograficzna.Odbiorca wiadomoci lub strona komunikacji weryfikuje posiadanie klucza prywatnego przy pomocy klucza publicznego nadawcy. Musi go oczywicie uprzednio posiada i mie pewno, co do jego autentycznoci.

Strona organizacyjna

Identyfikator, haso, klucz, token, karta...Komu wyda?

Jak przywiza je do tosamoci?

Na jakiej podstawie?

rodowisko instytucjonalne i korporacyjneWydzielony dzia z odpowiednimi uprawnieniami

rodowiska heterogeniczneB2B, B2C, G2C

Znacznie bardziej zoony problem

Zaufana trzecia strona

Architektury zaufania"Kady ufa kademu" (mesh, web of trust)Kady weryfikuje tosamo i swoje zaufanie do kadego

Problematyczna skalowalno

Wszyscy ufamy jednemu podmiotowiZaufana trzecia strona (TTP) powiadcza tosamo wszystkich uczestnikw

Usugom TTP towarzysz zobowizania formalne (umowy cywilno-prawne) dotyczce zakresu gwarancji

Model mesh jest pierwszym i naturalnym modelem w kontaktach spoecznych i biznesowych. Kademu uczestnikowi zapewnia pen kontrol nad procesem weryfikacji tosamoci oraz kryteriami zaufania.Rwnoczenie jednak oczekiwania wikszoci podmiotw odpowiadaj moliwym do ustandardyzowania zbiorom kryteriw, ze wzgldu na wykadniczy wzrost iloci relacji w modelu mesh jego skalowalno nastrcza problemy.W zwizku z tym rynek wyksztaci rwnie usugi weryfikacji i powiadczania tosamoci. Robi to niezalene podmioty, ktre wszyscy uczestnicy procesu traktuj jako zaufan trzeci stron TTP (Trusted Third Party).

CentrumCertyfikacji(CA)

Uytkownik

BankInternetowy

CentrumCertyfikacji(CA)BankInternetowy

Uytkownik

LoginHaso

Weryfikacja firmy przyWydaniu certyfikatuCertyfikat X.509 (SSL)

Certyfikat nadrzdny(root CA)

Prosz zwrci uwag na asymetri uwierzytelnienia banku wobec klienta (certyfikat X.509) oraz klienta wobec banku (login+haso).Bank uwierzytelnia si klientowi by ten mia pewno, komu podaje swj login i haso.Login i haso zapewniaj wystarczajc si uwierzytelnienia klienta. Intuicyjnie najbardziej oczywista technika certyfikat X.509 klienta bardzo ograniczaaby interoperacyjno, std bankowo unika ich stosowania. Podnoszenie poziomu pewnoci osiga si technikami takimi jak hasa jednorazowe czy kody SMS.CA uwierzytelnia si wobec klienta za pomoc preinstalowania swojego certyfikatu (root certificate) w przegldarce lub systemie operacyjnym klienta (WebTrust).Bank uwierzytelnia si wobec CA przedstawiajc odpowiednie dokumenty.

Niezaprzeczalno

Ochrona przed wyparciem si danej operacjiPodpisanie umowy, dokonanie zakupu, zoenie zlecenia przelewu, zrzeczenie si praw, zgoda na...

Wyprze si mona zawsze...Przesanki, e wyparcie jest nieuzasadnione

Mog by one gromadzone rodkami prawnymi lub technicznymi

Niektre sposoby gromadzenia materiau dowodowego na potrzeby niezaprzeczalnoci opisuje norma PN ISO/IEC 13881-3.Niezaprzeczalno pochodzenia NRO (non-repudiaton of origin)Podmiot utworzy wiadomo i j nadaWiadomo odnosi si do podpisu, a nie samej wiadomociOsoba lub podmiot nadajcy nie musi zna lub zgadza si z treci wiadomociPrzykad: dokument opublikowany na BIP z podpisem pracownika technicznegoNiezaprzeczalno znajomoci (wiedzy) NRK (non-repudiation of knowledge)Podmiot jest wiadomy treci podpisywanej wiadomociPrzykady: wymg przewinicia umowy licencyjnej do koca lub zaznaczenia kratki

Niezaprzeczalno #1

Uzalenienie usugi od powiadczenia deklaracji"Tak, wyraam zgod na otrzymywanie reklam..."

"Tak, przeczytaem i akceptuj regulamin..."

W razie wyparciaKlient zaznaczy kratk "Tak..."

Bez tego realizacja usugi nie bya moliwa

Musia by wic wiadomy treci deklaracji

Niezaprzeczalno dostarczenia NRD (non-repudiation of delivery)odbiorca odebra wiadomo i zapozna si z jej treci.Niezaprzeczalno przedoenia NRS (non-repudiation of submission)przeznaczone dla nadawcy wiadomoci powiadczenie, e zostaa ona przyjta do przesania przez organ poredniczcy w jej dostarczeniu (np. poczta, kurier, elektroniczna skrzynka podawcza)Niezaprzeczalno nadania NRST (non-repudiation of sending)podmiot nada wiadomo.Niezaprzeczalno przesania NRT (non-repudiation of transmission)przeznaczone dla nadawcy wiadomoci powiadczenie faktu jej dostarczenia adresatowi przez organ poredniczcy w dostarczeniu.Niezaprzeczalno utworzenia NRC (non-repudiation of creation)podmiot utworzy wiadomo.Niezaprzeczalno odbioru NRR (non-repudiation of receipt)podmiot odebra wiadomoale niekoniecznie si z ni zapozna (np. Return-Receipt - RFC 3798)

Niezaprzeczalno #2

Podpis elektroniczny skadany kluczem prywatnymZakaz tworzenia kopii klucza prywatnego (prawny)

Niemono skopiowania klucza prywanego (techniczny)

Dostp do klucza po podaniu PIN (techniczny)

Zakaz udostpniania PIN innym osobom (prawny)

WnioskiTylko waciciel moe zoy podpisLub zama prawo, lub zosta do tego zmuszonym...

Zapotrzebowanie na tego typu funkcje pojawia si np. w elektronicznych serwisach maklerskich lub inwestycyjnych. Ze wzgldu na znaczne ryzyko operacji finansowych wyparcie si zlecenia danej operacji moe by sposobem na uniknicie strat lub odpowiedzialnoci za bdne decyzje.Std serwisy tego typu s jednymi z nielicznych na rynku komercyjnym, gdzie rzeczywicie istnieje silna potrzeba biznesowa zapewnienia niezaprzeczalnoci.

Dostpno

Kontrola dostpuNieautoryzowane osoby nie mog zmieni lub usun danych

rodki techniczneReplikacja, kopie zapasowe, kolokacja

rodki organizacyjnePlany awaryjne, delegacja odpowiedzialnoci, testowanie rodkw technicznych

Rozliczalno

Mozliwo przypisania dziaa podmiotomFunkcja audytu (audit)

Zaley od skutecznego potwierdzenia tosamoci

rodki techniczno-organizacyjneObligatoryjne dziennikiSystemowe (logi), wejcia-wyjcia (pomieszczenia)

Ochrona integralnoci dziennikw

Anonimowo

Dostp do obiektu bez ujawniania tosamoci podmiotuOchrona prywatnoci

Pozorna sprzeczno z rozliczalnoci i kontrol dostpuW praktyce poufno informacji o tosamoci

Anonimowa kontrola dostpu

Model tradycyjnyIdentyfikacja Uwierzytelnienie Uprawnienia

Ograniczone udostpnianie informacji (limited disclosure)"Uprawnienia na okaziciela" (Microsoft U-Prove)

Dowd wiedzy zerowej (zero knowledge proof)

Anonymizacja danych (anonymisation)Tokenizacja (tokenisation),

Gradacja siy
mechanizmw bezpieczestwa

Koszt uycia jest funkcj siy zabezpieczeniaNajmniejsza, wystarczajca sia mechanizmw

Racjonalizacja kosztw i optymalizacja procesu

Puapka unifikacji ("one size fits all")Konieczno dostosowania do procesu o najwyszych wymaganiach

Parali procesw o niszych wymaganiach

Gradacja siy mechanizmw bezpieczestwa jest konieczna ze wzgldu na ich rny koszt co do zasady wyszy poziom bezpieczestwa wie si z wyszymi kosztami wdroenia i stosowania.danie zbyt wysokiego poziomu bezpieczestwa przy dostpie do informacji moe utrudni dostp osobom uprawnionym jest wic przeciwiestwem funkcji dostpnoci (availability). Obie funkcje naley wic rozwane balansowa pomaga w tym analiza ryzyka oraz analiza kosztw i zyskw.

Przykady

Bankowo elektroniczna

IDA (Interchange of Data between Administrations) Authentication Policy

Hasa lub kody PIN

Hasa jednorazowe

Klucze kryptograficzne przechowywane programowo

Klucze kryptograficzne przechowywane sprztowo

FIPS 200 (NIST)

Praktycznym przykadem skutecznej gradacji poziomw bezpieczestwa jest autoryzacja transakcji w bankowych serwisach transakcyjnych w Polsce stosowanych jest prawie 15 rnych technik pokrywajcych szeroki przedzia siy uwierzytelnienia, od hase jednorazowych po "sprztowy" podpis elektroniczny.Warto zwrci uwag na poziom minimalny to hasa jednorazowe, a do autoryzacji transakcji od dawna nie s stosowane hasa statyczne. Rwnoczenie najsilniejsze mechanizmy s stosowane prawie wycznie tam, gdzie ma to uzasadnienie biznesowe (patrz "Niezaprzeczalno").Patrz: "Najbezpieczniejsze banki internetowe w Polsce", raport Bankier.pl, 2009

Zaufanie oparte o reputacj

Zaufanie oparte o reputacj

W odniesieniu do osbSystemy aukcyjne, mikropoyczkowe...

Systemy oceny sklepw, prawnikw, lekarzy...

Systemy historii kredytowej, bazy dunikw...

W odniesieniu do sieciCzarne listy adresw IPDNSBL (DNS Blocklist)

Klasyfikacja treciWCF (Web Content Filtering)

Reputacja a funkcje bezpieczestwa

Reputacja moe by przywizana do mniej lub bardziej anonimowego identyfikatora"marysia123" w serwisach aukcyjnych

10.2.3.4 w czarnych listach adresw IP

http://www.casino124.net/ - w systemach klasyfikacji stron

Potwierdzenie tosamoci stron nie jest kluczowe"Czy chc z nim rozmawia" zamiast "kim on jest?"

Reputacja osb

Odpowied na anonimowo drobnego handlu elektronicznego"Czy chc kupi/sprzeda co tej osobie na odlego?"

"Jaki jest poziom ryzyka tej transakcji?"

Uatwia podjcie decyzji

Poprawia konkurencj

Ogranicza naduycia

Nie jest doskonaa

Reputacja osb

Przykadowe kryteriaDziaajcy adres email email z kodem

Dziaajcy adres pocztowy list z kodem

Telefon komrkowy SMS

Konto bankowe przelew na 0,01 z

Historia w KRD, BIK, InfoMonitor, ERIF

Jest zatrudniony kontakt z pracodawc

Co o nim myl inni uytkownicy komentarze

KRD Krajowy Rejestr Dugw, BIK Biuro Informacji Kredytowej, Biuro Informacji Gospodarczej InfoMonitor (windykacja), ERIF Europejski Rejestr Informacji Finansowej

Przykady:Kokos.pl (mikropoyczki) wszystkie z w/wAllegro.pl (aukcje) przelew 1,01 z na konto Allegro lub wpisanie kodu wysanego poczt tradycyjnSwistak.pl (aukcje) przelew bankowy

Wszystkie serwisy buduj reputacj na komentarzach innych osb handlujcych z ocenianymi osobami liczone s komentarze pozytywne, negatywne i neutralne.

Serwisy aukcyjne stosuj rwnie kategorie uytkownikw - zarwno pozytywne "Zaufany Sprzedawca" w Swistak.pl, "SuperSprzedawca" w Allegro, jak i negatywne np. "uytkownik niezweryfikowany"

Reputacja domen i adresw IP

Odpowied na patologie takie jak spam, wamania do serwerw i phishingSerwer: "Czy chc przyj poczenie z tego IP?"

Klient: "Czy chc wej na t stron?"

Czsto oparte o DNS (DNSBL)Szybka, rozproszona, replikowalna baza danych

Czarne listy IP

Spammerzy"Z tych IP otrzymalimy spam"

Open proxy/open relay"Te serwery s niedostatecznie zabezpieczone"

Podsieci konsumenckie"Te adresy s przydzielane konsumentom i nie powinny na nich dziaa serwery"

Prognozujce (predictive)"Te adresy nale do firm spammerskich"

Na wiecie dziaa kilkadziesit duych baz typu DNSBL, zarwno darmowych jak i komercyjnych. Czsto jeden podmiot udostpnia kilka baz, z ktrych kada zawiera adresy z jednej z w/w kategorii. Historycznie najbardziej znane byy bazy MAPS i ORBS.Wikszo z nich zawiera adresy IP wysyajce spam w poczcie elektronicznej (SMTP). Baza http:BL zawiera kilka kategorii adresw IP, z ktrych wychodz rnego rodzaju ataki HTTP.Do baz prognozujcych mona zaliczy systemy SPEWS oraz Dshield HPB (Highly Predictive Blacklist).Bazy te mog by aktualizowane rcznie (na podstawie zgosze) lub automatycznie na podstawie informacji z systemw IDS lub puapek (honeypot, spam bait).

Klasyfikacja stron WWW

Reputacja strony WWWPrzynaleno do okrelonej kategoriiSystemy WCF- kilkadziesit kategorii i kilkaset podkategorii

"Czarne listy" (OpenDNS, Google Safe Browsing, Microsoft Smart Screen)

Wg adresu URL

Polityka bezpieczestwa okrela dopuszczalny dostp

Wspczesne produkty WCF (Web Content Filtering) klasy korporacyjnej (enterprise) korzystaj z czsto aktualizowanych baz zawierajcych klasyfikacj milionw stron. Kada strona ma przypisan jedn lub wicej kategorii i w odrnieniu od prostych produktw "rodzinnych" (family filter) mog to by kategorie tak ronorodne jak "Travel", "Job search", "Hacking", "News", "Social networking" itd.Klasyfikacja stron jest prowadzona zarwno rcznie (ocena przez czowieka) jak i w sposb automatyczny (sowa kluczowe).Istotne parametry filtrw treci to wielko bazy, sposb klasyfikacji, ilo kategorii, czstotliwo aktualizacji, moliwo dodawania wyjtkw oraz moliwo reklamowania stron bdnie sklasyfikowanych.

Zaufanie w brany bezpieczestwa

Zaufanie do brany

Szczeglne oczekiwania wobec brany bezpieczestwaPor. tajemnica lekarska, adwokacka, maklerska, spowiedzi...

Bezpieczestwo nie tylko dochowanie tajemnicy

Jak buduje si zaufanie do brany i ekspertwCertyfikacje zawodowe

Kodeksy etyki zawodowej

Kompetencje zawodowe

Systemy certyfikacji zawodowejCertyfikaty oglne CISSP, CISA, CISM

Wymg rozwoju zawodowegoCPE publikacje, konferencje, wykady...

Udokumentowane dowiadczenie

Kodeks etyczny

Certyfikaty produktoweMicrosoft, Cisco...

Etyka w bezpieczestwie

Zaufanie do ekspertw i brany

Dylematy moralne i prawneProwizje od producentw

Korupcja

Branowe kodeksy etyczne(ISC)2 Code of Ethics

ISACA Code of Professional Ethics

RFC 1087 "Ethics and the Internet"

Przykad - (ISC)2

Kanon kodeksu (ISC)2Protect society, the commonwealth, and the infrastructure.

Act honorably, honestly, justly, responsibly, and legally.

Provide diligent and competent service to principals.

Advance and protect the profession.

Kolejno istotna!

Kontakt z autorem:

pawel.krawczyk@hush.comTel. +48-602-776959

Prezentacja udostpniona na licencji Creative Commons BY-NC-SA(uznanie autorstwa, uycie niekomercyjne, na tych samych warunkach)

http://creativecommons.org/licenses/by-nc-sa/3.0/pl/

Literatura:

http://ipsec.pl/http://securitystandard.pl/

Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego"