Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe

Bezpieczeństwo danych i usług w Internecie na przykładzie technologii e-sklepówe Gerard Frankowski Zespół Bezpieczeństwa PCSS Wielkopolska Konferencja Bezpieczny Internet Poznań, 29.10..10.2008

Agenda Usługi internetowe w szkole Przykłady, twórcy, zastosowania Korzyści i zagrożenia Bezpieczeństwo e-usługe Sklepy internetowe badania Zespołu Bezpieczeństwa PCSS Czy zagrożenia e-usług e dla szkół są inne? Podstawy niektórych typów ataków na e-usługie Pierwsza pomoc w zabezpieczeniu e-usługe Świadomość użytkownika i profesjonalisty Podsumowanie, pytania, dyskusja 2

Usługi internetowe w szkole 3

Cel prezentacji Pomoc w promocji informatyzacji szkół Czy usługi elektroniczne w szkołach mają sens? Jakie mogą być problemy z ich bezpieczeństwem? Opinia specjalistów: czy i jak uczyć o bezpieczeństwie IT? Dla kogo jest ta prezentacja? Dyrektor placówki oświatowej Nauczyciel informatyki / twórca programu nauczania 4

Przypadek uŝycia (1) Szkoła Podstawowa nr 7 w Skierniewicach Cytaty i zdjęcie za: http://sp7.skierniewice skierniewice.pl/infor.htm W 1994 roku otrzymaliśmy starego peceta 486, który zaczął pełnić funkcję maszyny do pisania Zakupiono nowy komputer do gabinetu, utworzono między nimi sieć. Pierwszym zakupionym programem był SEKRETARIAT 2000. Pojawiły się więc kolejno: PLAN LEKCJI 2000, OCENY OKRESOWE, STATYSTYKA SEMESTRALNA, a następnie PLAN DYŻURÓW I KSIĘGA ZASTĘPSTW. Wzajemna kompatybilność w/w programów ułatwiła i zmodernizowała pracę dyrektora, sekretariatu i nauczycieli. 5

Przypadek uŝycia (2) Zakupiliśmy następne programy: PŁACE 2000, KADRY. (...) Dalszy ciąg informatyzacji naszej placówki to: założenie sieci łączącej gabinet dyrektora szkoły, sekretariat, pokój nauczycielski i bibliotekę Jest rok 2007. Mamy pełną sieć informatyczną w całej szkole. Komputery nie tylko w gabinecie i sekretariacie, ale w każdej klasie. Pracujemy w oparciu o wszystkie potrzebne programy w szkole. Przykładem niech będzie chociażby Dziennik lekcyjny [NAZWA], który oprócz zupełnie nowej jakości dokumentowania przebiegu nauczania umożliwia rodzicom wgląd w proces nauczania i wychowania własnych dzieci korzystając z Internetu! 6

Przykłady e-usług dla szkół Elektroniczny dziennik klasowy Zarządzanie planem zajęć Serwis informacyjny szkoły i przyległych organizacji (np. stowarzyszenie wychowanków) Informator dla szkół oferta edukacyjna (kina, muzea, wycieczki) Zakup podręczników i pomocy naukowych przez Internet Zdalna nauka dla osób chorych lub niepełnosprawnych Nabór 7

Kto tworzy usługi? Dostawca zewnętrzny To jego rolą jest tworzenie usług Minusem może być koszt zakupu oprogramowania Jak stwierdzić, czy usługa jest bezpieczna? Szkoła Najprostsze usługi, wykonywane rękoma nauczycieli/rodziców wolontariuszy Strona WWW szkoły, kółka zainteresowań Takie usługi także mogą rodzić niebezpieczeństwo! 8

Specyfika usług internetowych Użytkownicy usługi Nie tylko osoby z wiedzą techniczną Nacisk na użyteczność usługi, prosty interfejs itd. Charakter przetwarzanych danych Dane uwierzytelniające, osobowe (np. adres) Usługi komercyjne: historia działań (np. zakupów), numery kart kredytowych Usługi dla szkoły: np. informacje o ocenach ucznia, frekwencji, uwagach... 9

Korzyści z nowoczesnych usług WWW Podążanie za postępem technologicznym Problem: pokonanie oporu przed zmianami Ułatwienie dostępu do informacji różnym grupom użytkowników Szybszy dostęp do danych Generowanie raportów, statystyk Optymalizacja pracy Problem: kwestia przepisów prawnych (korzystanie z usługi powinno być przyspieszeniem pracy, a nie jej dodatkowym elementem) 10

Ogólne zagroŝenia usług WWW Ataki na komercyjne serwery sieciowe Szpiegostwo przemysłowe Szkodzenie konkurencji Ataki na serwery i komputery użytkowniku ytkowników Przejmowanie maszyn Kradzież mocy obliczeniowej Kradzież danych osobowych i tożsamo samości Rozsyłanie spamu Szantaż Organizowanie botnetów ataki DDoS itd. 11

Jak sytuacja wygląda w praktyce? Badania podatności stron WWW na ataki Grafika: http://webappsec.org 12

Niektóre problemy związane z bezpieczeństwem usług Inwestycja w bezpieczeństwo nie przynosi natychmiastowych, namacalnych korzyści Za to istnieją koszty (często spore) Skąd nabywca usługi może wiedzieć, czy jest ona bezpieczna? Specyfika szkół Kwestie budżetowe Rodzaj przetwarzanych danych 13

Czym róŝni się e-dziennik od e- sklepu? 14

Bezpieczeństwo e-sklepów Raport Zespołu Bezpieczeństwa PCSS Bezpieczeństwo sklepów internetowych styczeń 2008 Badanie obsługi sesji internetowych w e-sklepache Metodyka 50 losowo wybranych sklepów w internetowych 7 testów w przeprowadzanych dla każdego sklepu Wybór r niezależny ny od: Platformy serwerowej Serwera internetowego Wielkości i asortymentu sklepu 15

Sesja internetowa Protokół HTTP jest bezstanowy Rozróżnianie tożsamości użytkowników jest kluczowe dla korzystania z e-usługe Sesja internetowa Wyróżniany przez session ID zbiór r informacji o połą łączeniu Po stronie serwera plik sesji lub baza danych Po stronie klienta ciasteczka (cookies( cookies) 16

Przeprowadzone testy Test 1 niedozwolone znaki w nazwie ciasteczka Test 2 próba wymuszenia błędu zapisu pliku sesji Test 3 odpowiedni czas życia ciasteczka Test 4 odpowiedni czas życia sesji Test 5 możliwość wymuszenia identyfikatora sesji Test 6 powiązanie identyfikatora sesji z adresem IP Test 7 stosowanie atrybutu httponly 17

Rezultaty Test 1 Test 2 Test 3 Test 4 Test 5 Test 6 Test 7 Kolor czerwony i pochodne niebezpiecznie Kolor zielony bezpiecznie 18

Omówienie wyników Ataki na sesje nie są spektakularne, ale pozwalają na wyrządzenie wielu szkód Poprawa większości wyników wymagałaby niewielkiego nakładu pracy podczas implementacji usługi Niektóre rezultaty można znacznie polepszyć, minimalnie zmieniając konfigurację serwera WWW, na którym uruchomiono usługę Usługi związane z przepływem danych osobowych oraz informacji o zainteresowaniach, statusie majątkowym itd. powinny być lepiej zabezpieczone 19

Co wspólnego ma e-dziennik z e- sklepem? Dziennik elektroniczny także musi rozróżniać użytkowników! Różne grupy użytkowników z odmiennymi uprawnieniami: Administrator Dyrektor Nauczyciel Rodzic Uczeń Bardzo dobra ilustracja tzw. zasady minimalnych przywilejów Każdy ma dostęp jedynie do tego, czego bezwzględnie potrzebuje 20

Przykład ataku na e-dziennik (1) E-dziennik dopuszcza identyfikatory sesji wskazane przez użytkownika Napastnik przesyła do nauczycieli fałszywe e-mailee maile: Wystąpił błąd w naszym wirtualnym dzienniku. Proszę Zaloguj się i sprawdź, czy nie straciłeś tabel z ocenami. Dzięki! Pod linkiem kryje się adres podobny do poniższego: http://szkola szkola.pl/edziennik/login/< /<script>document.cookiecookie = sessionid=abcd ;</ ;</script> Kliknięcie linku przez nauczyciela spowoduje, że nawiąże on sesję o identyfikatorze abcd 21

Przykład ataku na e-dziennik (2) Napastnik po wysłaniu maili regularnie próbuje połączyć się z usługą, legitymując się identyfikatorem sesji abcd Jeżeli napastnik trafi na taką sesję, serwer nie odróżni jego działań od aktywności zalogowanego nauczyciela Napastnik może przejąć tożsamość nauczyciela i np. przejrzeć lub zmienić oceny jego uczniów 22

Ataki na sesje - obrona Odpowiedzialny: administrator Odpowiednia konfiguracja serwera WWW /.NET Unikanie wyświetlania wietlania informacji o błęb łędach użytkownikowi Odpowiedzialny: projektant/programista Bezpieczna konfiguracja sesji Czas życia ciasteczka oraz sesji Atrybuty secure, httponly Wymuszanie wartości session ID po stronie serwera 23

Czy istnieją nastoletni hakerzy? Garść cytatów... 17-letni mieszkaniec podlubelskiej miejscowości włamał się wczoraj wieczorem na serwer KWP w Lublinie. (www.mlublin.pl( www.mlublin.pl) Śląscy policjanci zatrzymali dwóch 16-latków latków,, którzy za pomocą stworzonego przez siebie programu komputerowego reklamowali na Naszej Klasie płatny portal do pobierania plików. (www.newsy.bober.duu.pl) Osiemnastoletni Nowozelandczyk podejrzewany jest o przewodzenie międzynarodowej grupie przestępczej utrzymującej ogromną sieć komputerów zombie. (di.com.pl( di.com.pl) Policja zatrzymała 15-letniego hakera z Tomaszowa Mazowieckiego (Łódzkie), który włamał się do portalu internetowego przedsiębiorcy rcy z Pomorza. (www.hacking.pl( www.hacking.pl) 14-latek, który przy pomocy urządzenia własnej konstrukcji wykolejał w Łodzi tramwaje, trafi na trzy miesiące do schroniska dla nieletnich. (www.radio.koszalin.pl) 24

Inne wybrane zagroŝenia 25

Szkolny serwer WWW Serwer WWW w szkole? Hosting strony WWW szkoły Udostępnianie innych usług WWW Aplikacje intranetowe Należy pamiętać o atakach z wewnątrz sieci Narzędzia testujące Dinis Cruz, OWASP ANSA Asp.Net Security Analyser ANBS Asp.Net Baseline Security v. 0.55 Każdy administrator może sam przetestować swój serwer Istnieją także narzędzia dla darmowych serwerów WWW 26

27

Ataki Information Disclosure Narażone sąs źle skonfigurowane serwery Usługi ujawniają szczegółowe informacje o błęb łędach, wersje stosowanego oprogramowania, ścieżki do plików, fragmenty kodu źródłowego strony Informacje te mogą być przydatne w planowaniu dalszych ataków Zagrożona bezpośrednio usługa i serwer, ale w dalszej kolejności inni użytkownicy Zabezpieczenie ze strony administratora Wyłą łączenie raportowania błęb łędów w na stronach WWW Zapis informacji o błęb łędach do pliku logu 28

Ataki Remote Code Execution Atak polega na możliwości wykonania przez użytkownika kodu strony WWW, który wykonuje polecenia systemu operacyjnego Zabezpieczenie ze strony twórcy usługi Unikanie funkcji, które umożliwiają wykonanie poleceń systemowych (np. exec() w PHP) Zabezpieczenie ze strony administratora Jeżeli użytkownik może wysłać plik na serwer WWW (np. w założeniu ze swoim zdjęciem czy życiorysem), należy: Jak najstaranniej sprawdzić rozszerzenie i zawartość pliku Uniemożliwić bezpośrednie odwołanie się do pliku przez adres URL 29

Ochrona serwera WWW Odpowiednia konfiguracja systemu operacyjnego Obniżone uprawnienia dla serwera WWW Restrykcje dostępu do usług ug WMI oraz WSH Logowanie zdarzeń Bezpieczna konfiguracja serwera WWW Ochrona przed atakami Information Disclosure Pliki konfiguracyjne ASP.NET Web.config config, Machine.config config Ograniczenie uprawnień aplikacji webowych (do poziomu medium) Podobne zasady dla darmowych serwerów WWW Różnią się tylko środki realizacji 30

Serwer baz danych Dlaczego serwer baz danych? Wsparcie dla serwera WWW lub innych aplikacji Narzędzia, materiały Narzędzia konfiguracyjne SQL Server 2005 SQL Server Best Practices Analyser http://www www.microsoft.com/poland/technet/ /technet/article/art0056_01.mspx http://blogs blogs.msdn.com/sqlrem Skrypty Gustavo o Duarte http://duartes duartes.org/gustavo/articles/lock-down-sql-server Server-2005. 2005.aspx Dla darmowych systemów baz danych również istnieją poradniki i narzędzia testujące SQL Server 2005 31

Ochrona serwera baz danych Ochrona na wyższych poziomach Sieć, firewall,, IDS/IPS,... System operacyjny Unikanie Mixed Mode Authentication Ochrona na poziomie bazy danych Restrykcje dostępowe do wbudowanych baz master imsdb Minimalizacja dostępu do procedur składowanych Logowanie zdarzeń Osobna grupa użytkowniku ytkowników-administratorów w SQL Wykorzystanie schematów w i rólr Zastrzeżenie enie dostępu do metadanych 32

Co wszyscy powinni wiedzieć o e- usługach? 33

Informatyka w szkole a bezpieczeństwo IT Korzystanie z nowoczesnych usług staje się wszechobecne Czy każdy musi być specjalistą od zabezpieczeń? Czy każdy kierowca wie, jak działa silnik? Czy każdy kierowca musi mieć prawo jazdy? Grupa podstawowa i zaawansowana Bezpieczne korzystanie z e-usługe Uczeń powinien umieć korzystać z elektronicznego dziennika, aby sprawdzić swoje oceny Podstawy bezpiecznego tworzenia e-usług e (dla chętnych) Profesjonalista musi (kiedyś) wiedzieć, że dziennik elektroniczny ma mieć możliwość gradacji uprawnień 34

Nauka bezpieczeństwa IT dla uŝytkownika Ogólne zasady zabezpieczeń Jak rozpoznać usługę, która oferuje szyfrowanie dostępnych danych? Aktualny system i oprogramowanie Która przeglądarka jest bezpieczniejsza? Tajemnicze linki od nieznajomych... Co to jest silne hasło i jak je zapamiętać? Czy naprawdę muszę kliknąć Wyloguj?... 35

Nauka bezpieczeństwa IT dla przyszłego profesjonalisty Fundamentalne zasady bezpieczeństwa IT Zasada dogłębnej ochrony (security( in-depth depth) Zasada minimalnych przywilejów (minimum( privileges principle) Przyszły programista Dlaczego dane wejściowe są niezaufane? Jak można je filtrować (zasady)? Przyszły administrator Rola bezpiecznej konfiguracji sieci i systemów Źródła wiedzy i drogi dalszego postępowania 36

Podsumowanie 37

Co warto zapamiętać? Usługi internetowe ułatwiają życie, ale niosą ze sobą określone zagrożenia Szczególnie zagrożone one sąs usługi ugi związane zane z przepływem m.in. danych osobowych (jak e-dziennik) e Zagrożenia usług wykorzystywanych przez szkołę są takie same, jak dla e-sklepów e czy bankowości internetowej Zabezpieczenie usług zależy od wielu czynników Producent / dostawca usługi musi wytworzyć bezpieczny produkt Administrator systemu musi odpowiednio skonfigurować usługę (podobnie, jak serwer i sieć) Użytkownik musi wiedzieć, jak korzystać z usługi 38

Więcej informacji (przykłady) Raport Zespołu u Bezpieczeństwa PCSS nt. bezpieczeń eństwa e-sklepe sklepów http://security security.psnc.pl/reports/sklepy_internetowe_cookies.pdf Interklasa Polski Portal Edukacyjny http://www.interklasa.pl Nabór systemowa obsługa rekrutacji do placówek oświatowych http://nabor.poznan.pcss.pl Wybrane polskie i zagraniczne portale poświęcone bezpieczeństwu IT http://ipsec.pl http://hacking.pl http://securityfocus.com http://secunia.com (wykryte błędy w oprogramowaniu) The Open Web Application Security Project http://www www.owasp.orgorg 39

Informacje kontaktowe Autor prezentacji gerard.frankowski frankowski@man.poznan.plpl Centrum Innowacji Microsoft http://mic mic.psnc.plpl mic@man man.poznan.plpl PCSS http://www www.pcss.plpl Zespół Bezpieczeństwa PCSS http://security security.psnc.plpl security@man man.poznan.plpl 40

Pytania i dyskusja Dziękuj kuję za uwagę! 41