Podstawowe zagrożenia i metody ochrony systemów komputerowych

2011-01-29

Techniczny Uniwersytet Otwarty

Szymon SokółUczelniane Centrum Informatyki AGHszymon@agh.edu.pl

Podstawowe zagrożenia i metody ochrony systemów komputerowych

2

Rodzaje zagrożeń

Utrata funkcjonalności (Denial of Service)

Utrata kontroli nad systemem

Utrata (zniszczenie) danych

Modyfikacja danych

Wyciek danych

3

Źródła zagrożeń

Klęski żywiołowe, kradzież, sabotaż

Awarie sprzętu

Błędy oprogramowania

Błędy personelu

Infekcje wirusami itd.

Włamywacze komputerowi

Inne - niesklasyfikowane

4

Koszty ochrony danych

Analiza ryzyka/kosztów

Koszt ochrony nie może przekraczać wartości danych

Koszty jednorazowe vs. koszty stałe

Zmniejszenie produktywności jest ukrytym kosztem

5

Polityka bezpieczeństwa

6

Kompleksowość

Nie ma zabezpieczeń skutecznych w 100%

Asymetria:atakującemu wystarczy jedna podatnośćzabezpieczający musi usunąć wszystkie

Zasada spójności pionowej i poziomej

Komplementarność zabezpieczeń:Redundancja chroni przed utratą, ale nie przed wyciekiem danychSzyfrowanie chroni przed wyciekiem, ale nie przed utratą danych

7

Redundancja

Redundancja na poziomie danychReplikacja baz danychSystemy kontroli wersjiKopie zapasowe

Redundancja na poziomie infrastrukturyUrządzenia zapasowe (standby)Fault-Tolerant Systems

Macierze RAIDUrządzenia z redundantnymi komponentamiKlastry HA (High Availability)

Redundancja na poziomie organizacyjnym„Nie ma ludzi niezastąpionych”Kompletna dokumentacja

8

Kopie zapasowe (backup)

„Ludzie dzielą się na tych, którzy robią backupy i tych, którzy będą robić backupy”

2/3 użytkowników Internetu utraciło kiedyś istotne dane

Co kopiujemy?nośniki instalacyjneobrazy dyskówdane (pliki) systemowedane (pliki) użytkownikabazy danychinne

9

Kopie zapasowe (backup)

Jak kopiujemy?kopie pełne (full backup)kopie różnicowe (differential)kopie przyrostowe (incremental)

wielopoziomowe (multilevel incremental)obrazy systemu plików (snapshot)

Kiedy i jak często?virgin imagekopie dzienne / tygodniowe / itd.backup window

Jak ograniczamy rozmiar?deduplikacjakompresja

10

Kopie zapasowe (backup)

Na jaki nośnik?taśmy magnetycznedyski magnetycznenośniki optyczneinnenośniki pośrednie (staging)

Czas dostępu vs. pojemność

Automatyzacja procesu

Wiarygodność kopiiodtwarzalnośćkompletnośćautentyczność

11

Gęstość informacji

Nośnik Pojemność (GB)

Rozmiary (mm)

Objętość (mm³)

Gęstość (MB/mm³)

CD 0,7 120 x 1,2 13571,7 0,05

DVD SL 4,7 120 x 1,2 13571,7 0,35

DVD DL 8,54 120 x 1,2 13571,7 0,63

LTO Ultrium

800 102 x 105,4 x 21,5 231142,2 3,46

3,5" HD 2000 101,6 x 146 x 25,4 376773,44 5,31

SDHC 68,7 32 x 24 x 2,1 1612,8 42,60

microSDHC 34,35 15 x 11 x 1 165 208,18

Rozmiary i pojemność popularnych nośników

12

Kopie zapasowe (backup)

Jak chronimy?redundancja kopiioff-site backup

sposób transferuszyfrowanie

Jak długo przechowujemy?częstotliwość vs. czas przechowywaniarotacja nośnikówtrwałość nośnikówkopia awaryjna vs. kopia archiwalna

13

RAID

Redundant Array of Inexpensive/Independent Disks

RAID nie zastępuje backupu!

Typowe warianty RAID:RAID-0RAID-1RAID-1+0 (RAID-10)RAID-5RAID-6

14

RAID

RAID-0 (striping – nie zapewnia redundancji!)

całkowita pojemność Xwydajność wyższa niż pojedynczego dysku

RAID-1 (n-way mirroring)odporny na awarię n-1 dysków (zwykle n=2)całkowita pojemność X/n

15

RAID

Implementacje:software'owe

Linux MD (metadevice): 0, 1, 10, 5, 6MacOS: 0, 1, 10MS Windows Server, XP Pro: 0, 1, 5

hardware'owekontroler w serwerzekontroler w macierzy

firmware'owe (FakeRAID)

16

Szyfrowanie danych przechowywanych

Programy archiwizujące (pakujące) z szyfrowaniem:PKZIP (DES, 3DES)WinZip (AES-128, AES-256)WinRAR (AES-128)

Dedykowane programy do szyfrowania plików:bcrypt (Blowfish), ccrypt (Rijndael)mcrypt (AES, Blowfish, Twofish, 3DES i in.)OpenSSL enc (Blowfish, 3DES, IDEA i in.)PalCrypt (AES, Blowfish, IDEA)PGP / GPG

17

Szyfrowanie danych przechowywanych

Szyfrowane filesystemy na dysku/partycji lub napędzie wirtualnym (w pliku):

TrueCrypt (AES, Twofish, Serpent i ich kombinacje) – freeware, Windows, Linux, MacOSBestCrypt (AES, Blowfish, Twofish, CAST) – komercyjny, Windowsdm-crypt (AES, Blowfish, Twofish, Serpent, 3DES) – freeware, LinuxFileVault (AES-128) – wbudowany, MacOS

Sprzętowe szyfratory (AES-256) wbudowane w:kontrolery: Addonics CipherChaindyski twarde: Seagate, Samsung, Toshibadyski flash USB (pendrive): Kingston DataTraveller, SanDisk Cruzer Professional/Enterprise, Ironkey i in.

18

Szyfrowanie danych przesyłanych

Na poziomie sprzętowym (łącza)

Na poziomie protokołu sieciowego

Na poziomie protokołu aplikacyjnegoW W W (HTTPS)Komunikatora (Skype itd.)Poczty elektronicznejInne

19

Szyfrowanie danych przesyłanych

Szyfrowanie w sieciach WiFiWEP (Wired Equivalent Privacy) ~1997 (RC4)WPA (Wi-Fi Protected Access) ~2002WPA2 (standard 802.11i) 2004 (AES-128), od 2006 obligatoryjny dla nowych urządzeń WiFi

Wirtualne sieci prywatne (Virtual Private Networks, VPN)

SSL (Secure Socket Layer) – Netscape ~1995SSL v3 - 1996TLS (Transport Layer Security) – 1999 (RFC 2246)TLS v. 1.2 – 2008 (RFC 5246), dodano m.in. AESSłuży m.in. do szyfrowania HTTPS

20

Poczta elektroniczna

S/MIME (Secure Multipurpose Internet Mail Extensions, RFC 3851) – standard przesyłania zaszyfrowanych e-maili

Bazuje na mechanizmie Certificate Authority – certyfikaty użytkowników są wystawiane przez publiczne lub prywatne (np. wewnątrzfirmowe) CAWbudowany w wiele programów pocztowych (Outlook, Outlook Express, Thunderbird)

Pretty Good Privacy – 1991, Philip Zimmermann Wykorzystuje „web of trust” (sieć zaufania)Standard OpenPGP – 1998-2007 (RFC 4880)Implementacje:

PGP Desktop 10.x – PGP CorporationGNU Privacy Guard (GnuPG, GPG) 2.0.15 – 1999-2010, Free Software Foundation

21

Cyberprzestępczość i cyberterroryzm

Ataki typu DoS (Denial of Service)

Malware (złośliwe oprogramowanie)

Włamania do systemów

Social engineering

22

Ataki DoS (Denial of Service)

Polegają na zablokowaniu zasobów ofiary – mocy procesora, pamięci, przepustowości łącza

ping of death – błąd w obsłudze dużych (64kB) pakietów ICMP (m.in. w Windows)LAND (Local Area Network Denial) – odpowiadanie na pakiety z fałszywym adresem nadawcy równym adresowi odbiorcy/ofiary (stare Unixy, Windows XP, 2003)

23

Ataki DDoS (Distributed DoS)

smurf – obsługa broadcast ICMP

Z użyciem botnetu (komputerów-zombie zarażonych trojanem, np. Stacheldraht, Trinoo, TFN2K, Conficker)

sterowane zdalnie, np. przez IRCnajwiększe botnety po >1 mln zombie (głównie Windows, ale też MacOS, Linux, Symbian)

DDoS przypadkowy (Slashdot effect)

24

Ataki na usługi sieciowe

Błędy oprogramowania serwerówZbyt szerokie uprawnieniaPrzepełnienie bufora (buffer overflow)

Odgadywanie haseł do usług (SSH, FTP, POP3 itd.)atak słownikowy

Podsłuch transmisji (sniffing)W sieciach bezprzewodowych

25

Malware (malicious software)

Wirus („self-replicating program”, Fred Cohen 1983)„dokleja” się do programów i jest przenoszony z systemu do systemu przez użytkowników

Robak (worm, John Brunner 1975) samodzielnie propaguje się przez sieć (przypadek graniczny: robak rozsyłający się e-mailem)

Trojan (koń trojański, Trojan horse) nie replikuje się samodzielnie, jest instalowany przez użytkownika

w 2009 stanowiły >80% malware

Backdoor (Ken Thompson „Reflections on Trusting Trust”, 1984)

Back Orifice, Netbus, SubSevenRootkit

Sony „Extended Copy Protection” – na audio CD (2005)

26

Malware (malicious software)

Spyware – malware, którego celem jest gromadzenie i przesyłanie informacji o użytkowniku (haseł etc.); często zawiera keylogger

Adware – oprogramowanie wyświetlające reklamy, często zawiera elementy spyware (reklama kontekstowa)

Exploit – program, którego jedyną funkcją jest wykorzystanie luki lub przełamanie zabezpieczenia systemu (lokalnego lub zdalnego)

27

Malware (malicious software)

Przełomowe wirusy Creeper (1981, PDP-10)Brain/Lahore (1986, MS-DOS)nVir (1987, MacOS)Michelangelo (1992) – spowodował histerię mediówConcept (1995, makrowirus infekujący .doc)Staog (1996, Linux)Commwarrior-A (2005, Symbian) – rozsyła się w MMS

Najbardziej znane robaki„The Internet Worm” Roberta T. Morrisa, 2.11.1988Code Red (2001), Nimda (2001), Klez (2001), Blaster (2003), SQL Slammer (2003), Sobig (2003), Sasser (2004), Conficker (2008)

28

Zwalczanie malware

Popularne programy antywirusoweKaspersky Anti-virusESET NOD32BitDefender AntivirusAVGMcAfee VirusScanLinux: McAfee LinuxShield, ClamAV

Popularne wykrywacze spywareSpybot – Search & DestroySuperantispywareLavasoft Ad-AwareMicrosoft Windows DefenderTrend Micro HijackThisSunbelt Counterspy

29

Zwalczanie malware

Popularne firewalle programowe (często zintegrowane z programem antywirusowym)

Zone Alarm Internet Security SuiteKaspersky Internet SecurityComodo Internet SecurityOutpost Firewall ProNorman Personal FirewallNorton Internet SecurityLinux: Netfilter/iptables, Shorewall

Rankingi antywirusów i firewalli:http://anti-virus-software-review.toptenreviews.com/http://personal-firewall-software-review.toptenreviews.com/

30

Social engineering

Social engineering – ogół metod polegających na wykorzystaniu naiwności użytkownika (np. wyłudzeniu hasła, skłonieniu do instalacji malware itd.); Kevin Mitnick „The Art of Deception”

Phishing – wykorzystanie e-maila lub strony WWW do podszycia się pod zaufaną instytucję w celu wyłudzenia danych

Wyłudzanie haseł, numerów kart kredytowych itd.Przekręt nigeryjski (nigerian scam)

31

Reagowanie na incydenty

CERT (Computer Emergency Response Team) – instytucje zajmujące się koordynacją zapobiegania i zwalczania naruszeń bezpieczeństwa komputerowego

Pierwszy CERT – Carnegie Mellon University, 1988 (po sparaliżowaniu Internetu przez Morrisa)United States Computer Emergency Readiness Team (US-CERT) w ramach Dept. of Homeland SecurityCERT NASK (1996) → CERT PL <http://www.cert.pl>TF-CSIRT (Task Force – Collaboration Security Incident Response Teams) – organizacja utrzymująca FIRST (Forum of Incident Response and Security Teams) zrzeszające ponad 100 CERT-ów w EuropieENISA (European Network and Information Security Agency) – agencja UE

32

Literatura

Janusz Stokłosa, Tomasz Bliski, Tadeusz Pankowski „Bezpieczeństwo danych w systemach informatycznych” (PWN 2001)

Matthew Strebe „Bezpieczeństwo sieci” (MIKOM 2005)

Simon Garfinkel, Gene Spafford „Bezpieczeństwo w Unixie i Internecie” (RM 1997)

Daniel J. Barrett, Richard E. Silverman, Robert G. Byrnes „Linux. Bezpieczeństwo. Receptury” (Helion 2003)

Cyrus Peikari, Anton Chuvakin „Strażnik bezpieczeństwa danych” (Helion 2004)

Marcin Karbowski „Podstawy kryptografii” (Helion 2005)

Clifford Stoll „Kukułcze jajo” (Rebis 1998)

Michal Zalewski „Cisza w sieci” (Helion 2005)

http://www.cert.pl/