Wybrane aspekty techniczne selektywnej analizy ruchu w sieciach operatorskich

Transkrypt

1 Wybrane aspekty techniczne selektywnej analizy ruchu w sieciach operatorskich CERT POLSKA Andrzej.Chrzaszcz@cert.pl

2 Agenda Wstęp Internet w komunikacji - przestępstwa sieciowe Potrzeba dostępu do danych Przyczyny, cele, rodzaj i umiejscowienie danych podstawy prawne - konsekwencje techniczne Rodzaje zbieranej informacji Model USA i model polski Aspekty techniczne Struktura i technologia sieci operatorskich Problemy techniczne Podsumowanie

3 Internet - sieć sieci Wzrost znaczenia Internetu, coraz więcej funkcji pełnionych przez tradycyjne systemy komunikacyjne może być- i jest, realizowane przez Internet. Przykładem są techniki czy technologie takie jak: sieci korporacyjne komunikacja multimedialna systemy zarządzania firmą handel elektroniczny Czy tylko największe dobrodziejstwo...czy także istotne zagrożenie?

4 Internet w komunikacji Najsprawniejsze, największe, najłatwiej dostępne medium wymiany informacji... także niezgodnej z prawem. Główne cechy: Zasięg, powszechność, niski koszt przy dużej efektywności, transgraniczność...ale: nie ma centralnej kontroli nie ma centralnego autorytetu brak standardowej, zaakceptowanej przez wszystkich polityki (np. bezpieczeństwa) brak międzynarodowego prawodawstwa w dziedzinie przestępstw

5 Internet i przestępstwa W konsekwencji: Gwałtowny wzrost liczby przestępstw pośrednio lub bezpośrednio związanych z sieciami komputerowymi - najczęściej Internetem a więc: Konieczność zapewnienia skutecznych metod przeciwdziałania, wykrywania oraz prowadzenia spraw dotyczących tego typu przestępstw Dostosowane prawodawstwo Metodologia ścigania przestępstw sieciowych Środki techniczne Wyszkolona kadra

6 Z kim mamy do czynienia -przestępcy sieciowi Najczęściej młody wiek sprawców Często brak świadomości że działanie jest niezgodne z prawem Silna świadomość anonimowości Przekonanie o bezkarności (bo nie ma na to paragrafu, bo jak oni mnie znajdą? ) Arogancja i pewność siebie Przeświadczenie o własnych - wysokich umiejętnościach technicznych (wysoka samoocena)

7 Najczęstsze pobudki działania Chęć zysku Sława (wzorców nie brakuje - Kevin Mytnic, Hacker - pociągający, tajemniczy, gloryfikowany przez media obraz geniusza) Zabicie czasu - rodzaj rozrywki czy gry intelektualnej Frustracja (problemy osobiste) Poglądy (polityczne czy religijne np. e-dżihad)

8 Rodzaje przestępstw Najczęściej spotykane (określenia potoczne) Hacking (w różnych odmianach) Kradzież pieniędzy (także carding) Kradzież danych Szpiegostwo (także przemysłowe) Terroryzm (wszelkiego typu) Pornografia dziecięca Rozprzestrzenianie wirusów Blokowanie serwisów...wszystkie inne działania niezgodne z prawem (danego kraju)

9 Kiedy potrzebujemy danych? Podejrzenie naruszenia prawa - jako sytuacja mogąca wymagać dostępu do danych sieciowych Czy wszyscy są podejrzani?

10 Jakie dane mogą być istotne? Wszelkie dane mogące stanowić potwierdzenie naruszenia prawa. Dane elektroniczne Zapisy pracy sieci (logi) dostarczające informacji o działaniach podejrzanego w sieci, w szczególności dotyczące pracy urządzeń sieciowych telekomunikacyjnych i/lub dostępowych - identyfikujące osobę (np. nazwa użytkownika, numer telefonu, czas połączenia, przyznany adres IP...) listy poczty elektronicznej (send, receive) odwiedzane witryny sieciowe (cookies) odwiedzane serwisy usługowe (np. sklepy internetowe,irc, Chat...)... dane nieelektroniczne np. wydruki, notatki, itp. a także przedmioty (sprzęt)

11 Gdzie i od kogo takie dane uzyskać? Dane statyczne dostępne na nośnikach konto lub/i skrzynka (dostarczyciel usługi) zapisy pracy serwisów usługowych (od ich dostarczycieli) zapisy pracy urządzeń sieciowych lub/i dostępowych (operator, ISP) ślady pozostawiane w atakowanych systemach (od zaatakowach) komputer domowy podejrzanego (sprawca jest już znany) Dane aktywne pozwalające na śledzenie bieżących ruchów podejrzanego dostępne w wyniku celowych - zaplanowanych działań network monitoring/sniffing (u operatora, u ISP) network monitoring/sniffing (w odwiedzanych serwisach, lub używanych - przejętych systemach)

12 Uzyskane dane - kompletność informacji Dane statyczne - puzzle zawierają informację fragmentaryczną konieczność znalezienia korelacji z innymi danymi Dane dynamiczne - fotograficzna dokładność pełny, chronologiczny zapis działań (sesji) możliwość odtworzenia dokładnego przebiegu zdarzeń

13 Projekt rozporządzenia MSWiA w sprawie szczegółowych wymagań i sposobu wykonywania przez operatorów zadań na rzecz obronności, bezpieczeństwa państwa oraz bezpieczeństwa i porządku publicznego Interpretacja i skutki techniczne 2 zapewnia techniczne i organizacyjne warunki dla realizacji zadań... we wszystkich fazach PLANOWANIA Powstaje więc pytanie jak ZAPLANOWAĆ, gdyż niektóre używane technologie (np.: SDH, DWDM) nie pozwalają na jednoznaczną odpowiedź

14 Projekt rozporządzenia MSWiA 3 operator realizuje zadania... w zakresie udostępniania: Danych identyfikujących abonenta sieci, w tym jego danych osobowych Te dane częstokroć nie są operatorowi znane, na styku z klientem ruch może opierać się o jeden adres IP, np.: obsługując w ten sposób znaczną liczbę użytkowników (np.: technologia NAT Network Address Translation)

15 Projekt rozporządzenia MSWiA 3 operator realizuje zadania... w zakresie udostępniania: Treści telekomunikacyjnej przekazywanej w sieci operatora Powszechnie używane urządzenia infrastruktury telekomunikacyjnej (np.: CISCO) nie pozwalają w bezpośredni sposób na pozyskiwanie tej treści. Być może konieczne byłoby budowanie oddzielnej infrastruktury realizującej ten wymóg

16 Projekt rozporządzenia MSWiA 4 Zadania, o których mowa w 3 wykonywane są za pośrednictwem technicznego systemu dostępu do treści przesyłanej w sieci telekomunikacyjnej operatora oraz technicznego systemu dostępu do danych (?) 5 Systemy te powinny zapewniać możliwość przechwytywania, przesłania, odbioru, odczytu, rejestracji i archiwizacji treści oraz danych Czy operator sam ma skonstruować takie systemy? Znaczne koszty przedsięwzięcia Kto zapewni bezpieczeństwo działania tych systemów z punktu widzenia realizowania usługi telekomunikacyjnej? Unifikacja tych systemów oraz formatów danych jako warunek możliwości korzystania z tych systemów przez upoważnione organy Nie określone są żadne wymogi co do czasu archiwizacji, a wiąże się to z budową ogromnej infrastruktury archiwizacyjnej

17 Projekt rozporządzenia MSWiA 8 Systemy, o których mowa w 4 powinny umożliwiać realizację następujących funkcji: Dedykacji w sieci telekomunikacyjnej operatora, polegającej na odrębnym i niezależnym wprowadzeniu przez uprawnione organy danych lub wykonaniu innych czynności niezbędnych do uzyskania dostępu do treści i danych O ile można tego wymagać od człowieka to nie można (bez sprecyzowania) od urządzenia. Kto zagwarantuje jakość usługi dla nie podejrzanych w momencie wprowadzania przez uprawnione organy danych do sieci telekomunikacyjnej

18 Porównanie wymogów ze standardem amerykańskim Kiedy zbieramy dane? USA POLSKA W oparciu o nakaz sądowy, w ściśle określonym zakresie (np.: z dokładnością do pola nagłówka poczty elektronicznej) Po miesiącu wymagana zgoda sądu na przedłużenie Non-stop 7 x24x365

19 Porównanie wymogów ze standardem amerykańskim Co zbieramy? USA POLSKA Precyzyjnie ustalony zakres danych, w oparciu o decyzję sądu Dane identyfikujące abonenta Dane dotyczące adresów IP Treść telekomunikacyjna przesyłana w sieci operatora

20 Porównanie wymogów ze standardem amerykańskim Rozwiązanie techniczne USA POLSKA Znane zbadane przez niezależnych specjalistów poddane dyskusji Nieznane, niesprecyzowane założenia techniczne i funkcjonalne

21 Porównanie wymogów ze standardem amerykańskim Jak chronimy zbierane dane? USA POLSKA Konkretne zabezpieczenia techniczne przed dostępem z zewnątrz Brak informacji o wymaganiach dotyczących zabezpieczeniach technicznych Organizacyjne dopuszczenie do tego samego źródła danych różnych organów: Prokuratura Sądy Jednostki MON Jednostki MSWiA Jednostki Ministerstwa Finansów UOP

22 Porównanie wymogów ze standardem amerykańskim Kontrola techniczna sieci operatora USA POLSKA Instalacja i użytkowanie tylko w obecności przedstawiciela operatora. Przedstawiciele operatora nie są w ogóle dopuszczeni do obsługi urządzeń, lub dopuszczeni w sposób maksymalnie ograniczony

23 Uproszczony model sieci rozległej

24 Technologie i przepływności sieci operatorskich - obecnie TDM (Time Division Multiplexing) Przepływności uzyskiwane (użytkowo) w jednym włóknie światłowodowym ,5 Gb/s 10 Gb/s 40 Gb/s SDH (Synchronous Digital Hierarchy) Zastosowano włókna wielemodowe, działające w tzw. drugim oknie 1310 nm STM Mb/s STM Mb/s STM-16 2,5 GB/s STM Gb/s

25 Technologie i przepływności sieci operatorskich- obecnie DWDM (Dense Wavelength Division Multiplexing) Możliwość przesłania w jednym włóknie światłowodowym n strumieni (STM-1 do STM-256) n x (155 Mb/s 40Gb/s) n 16, 40, 60, 120 czyli 4,8 Tb/s

26 Technologie i przepływności sieci operatorskich- przyszłe Nowy rekord szybkości DWDM Firma NEC poinformowała na początku października (2000) o ustanowieniu nowego rekordu szybkości transmisji w sieciach szkieletowych DWDM, uzyskując wynik 6,4 Tb/s. Rekord został ustanowiony na odcinku o długości 186 km. Uzyskana szybkość transmisji odpowiada przesłaniu miliona filmów jednocześnie przez jedno tylko włókno światłowodowe. Jest to znaczące poprawienie poprzedniego rekordowego wyniku (5,12 Tb/s) uzyskanego dwa tygodnie wcześniej przez firmę Alcatel. źródło: tygodnik NETWORLD

27 Interpretacja pojęć projektu rozporządzenia MSWiA - a technologia sieci operatorskich Operator? - brak definicji w rozporządzeniu Dostawca usługi Dostawca Usług -osoba prawna lub fizyczna zapewniająca użytkownikowi publiczne usługi telekomunikacyjne, składające się w części lub całości na transmisji i kierowaniu sygnałów w sieci telekomunikacyjnej; dostawca usług nie musi koniecznie wykorzystywać własnej sieci; Dostawca dostępu Dostawca Dostępu -zapewnia użytkownikowi sieci telekomunikacyjnej dostęp do sieci z terminala użytkownika;

28 Przykładowa sieć WAN

29 Problemy techniczne - podsumowanie Zaawansowane technologie i olbrzymie przepustowości Urządzenia sieciowe nie są przygotowane technicznie wydajnościowo funkcjonalnie Datagramowy/bezpołączeniowy sposób przesyłania danych Techniki ukrywania rzeczywistego adresu IP odbiorcy/nadawcy(nat) Kryptografia w sieciach szyfrowanie (w różnych warstwach) Sieci prywatne (VPN) Brak możliwości sprecyzowania spójnych wymagań dla systemu przechwytującego - różne technologie to odmienna specyfika

30 Najbardziej trafna wydaje się opinia z artykułu Doroty Gajos pt. Zakusy na wolność który ukazał się 18 stycznia br. w Rzeczpospolitej: Projekt jest tak kuriozalny, że trudno oprzeć się wrażeniu, iż MSWiA i resort łączności z góry zakładały jego fiasko. Na jednej z list dyskusyjnych w Internecie pojawiła się nawet opinia, że to tylko próbnik wypuszczony dla przetestowania świadomości społecznej środowisk internetowych. Być może prawdziwą bombę urzędnicy dopiero szykują.

31 Koniec dziękuje za uwagę. Computer Emergency Response Team POLSKA CERT POLSKA ul. Bartycka Warszawa tel.: +48 (22) fax: +48 (22) WWW: