Bezpieczeństwo danych i systemów informatycznych. Wykład 3

Podobne dokumenty
Ochrona danych i bezpieczeństwo informacji

Bezpieczeństwo systemów komputerowych

WorkshopIT Komputer narzędziem w rękach prawnika

Modele uwierzytelniania, autoryzacji i kontroli dostępu do systemów komputerowych.

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Bezpieczeństwo informacji w zarządzaniu Pomocnicze materiały szkoleniowe. Podstawy uwierzytelnienia. dr Tomasz Barbaszewski Kraków, 2012

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Bezpieczeństwo usług oraz informacje o certyfikatach

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Co to jest bezpieczeństwo?

PRACA INŻYNIERSKA IMPLEMENTACJA MOBILNEGO KLIENTA BANKU ZABEZPIECZONEGO TOKENEM

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 ZABEZPIECZANIE DOSTĘPU DO SYSTEMÓW OPERACYJNYCH KOMPUTERÓW PRACUJĄCYCH W SIECI.

KEVIN SAM W BANKU SGB ZAGROŻENIA ZWIĄZANE Z BANKOWOŚCIĄ INTERNETOWĄ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Technologia informacyjna

Sieciowe Systemy Operacyjne

2 Kryptografia: algorytmy symetryczne

Program szkolenia: Bezpieczny kod - podstawy

Zarządzanie dokumentacją techniczną. Wykł. 11 Zarządzania przepływem informacji w przedsiębiorstwie. Zabezpieczenia dokumentacji technicznej.

Przewodnik technologii ActivCard

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Protokół Kerberos BSK_2003. Copyright by K. Trybicka-Francik 1. Bezpieczeństwo systemów komputerowych. Złożone systemy kryptograficzne

1. Witamy w pomocy do programu I-Bank!

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Tokeny software owe. Przegląd rozwiązań

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

Zdalne logowanie do serwerów

Wykład 1. komputerowych Identyfikacja główne slajdy. 12 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Rejestracja tokenu programowego: SafeNet MobilePASS+ do ios firmy Apple

E-administracja. Korzystanie z Elektronicznej Platformy Usług Administracji Publicznej

Regulamin Serwisu Informacyjnego dla Profesjonalnych Użytkowników prowadzonego przez Centralne Laboratorium Analityczne w Gliwicach

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

Instrukcja Obsługi Tokena VASCO DP 280

Protokoły zdalnego logowania Telnet i SSH

MidpSSH - analiza bezpieczeństwa

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Dostosowanie środków dostępu użytkowanych w bankowości internetowej. do wymogów silnego uwierzytelniania (SCA)

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP) 2. Rejestracja użytkownika przy użyciu hasła maskowalnego dla klientów

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Informacja o zasadach świadczenia usług zaufania w systemie DOCert Wersja 1.0

WSIZ Copernicus we Wrocławiu

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Bezpieczeństwo poczty elektronicznej

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

Polityka prywatności

Agenda. Rys historyczny Mobilne systemy operacyjne

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Certyfikat. 1 Jak zbieramy dane?

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Przewodnik technologii ActivCard

Authenticated Encryption

Projekt wymagań bezpieczeństwa wobec statycznych bezpośrednich 1-fazowych i 3- fazowych liczników energii elektrycznej:

POLITYKA E-BEZPIECZEŃSTWA

Bezpieczeństwo systemów komputerowych.

SSL (Secure Socket Layer)

Bezpieczeństwo systemu ebanknet w Banku Spółdzielczym w Brańsku

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

3. Kolejne uruchomienie tokena W celu uruchomienia tokena VASCO DP280 należy przytrzymać przycisk Poweron/Power-off.

Bezpieczeństwo informacji w systemach komputerowych

Polityka Bezpieczeństwa ochrony danych osobowych

INSTRUKCJA OBSŁUGI TOKENA WIELOFUNKCYJNEGO

INTERNET - Wrocław Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

Metody uwierzytelniania klientów WLAN

Agenda CERB. Silne bezpieczeństwo w zasięgu telefonu. Paweł Jakub Dawidek

Deutsche Bank db Makler. Bezpieczne korzystanie z platformy db Makler

Instrukcja Obsługi Tokena VASCO DP 280

Bezpieczeństwo systemów komputerowych

POLITYKA CERTYFIKACJI KIR dla ZAUFANYCH CERTYFIKATÓW NIEKWALIFIKOWANYCH

Instrukcja założenia konta na epuap oraz złożenie wniosku o profil zaufany

Informacja o zmianach w Regulaminie kart kredytowych

PROVEN BY TIME.

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Przewodnik użytkownika dla usługi CUI Klient indywidualny (CBP)

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Już we wrześniu inaczej zalogujesz się na swoje konto w Internecie

REJESTRACJA, LOGOWANIE I USTAWIENIA PROFILU

URZĄD MARSZAŁKOWSKI WOJEWÓDZTWA LUBELSKIEGO W LUBLINIE. Zakładanie konta w systemie epuap. Profil Zaufany.

Regulamin. 1 Postanowienia ogólne. 2 Definicje

DESlock+ szybki start

Rozwój portalu PUE integracja z Systemami Obiegu Dokumentów (SOD) JST

Odczyty 2.0 Spis treści

E-DOWÓD FUNKCJE I KONSTRUKCJA. Maciej Marciniak

2. Podstawowe definicje i problemy

WSTĘP. Szanowni Państwo, Witamy bardzo serdecznie w gronie internautów, użytkowników systemów informatycznych przez Internet.

Bringing privacy back

Praca w programie dodawanie pisma.

KONFIGURACJA TERMINALA GPON ONT HG8245

Instrukcja logowania do systemu Rejestru Unii dla nowych użytkowników

Bezpieczna bankowość efirma24

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Przewodnik po systemie Antyplagiat dla Użytkownika Indywidualnego

REGULAMIN KORZYSTANIA Z SYSTEMU POCZTY ELEKTRONICZNEJ PAŃSTWOWEJ WYŻSZEJSZKOŁY INFORMATYKI I PRZEDSIĘBIORCZOŚCI W ŁOMŻY

POLITYKA PRYWATNOŚCI

Jak bezpiecznie korzystać z usług świadczonych przez Uczelnię. Jak się zabezpieczać oraz na co zwracać szczególną uwagę.

Transkrypt:

Bezpieczeństwo danych i systemów informatycznych Wykład 3

Klasy bezpieczeństwa systemów komputerowych Trusted Computer System Evaluation Criteria (TCSEC "Orange Book") USA standard opracowany w USA, ale stał się pierwszym powszechnym takim standardem w skali światowej. Obowiązujący w latach 1983-2000 stał się podstawą opracowywania podobnych norm w Europie i na świecie. Bardzo często nawet współcześnie znajduje się odwołania do certyfikatów tego standardu. Information Technology Security Evaluation Criteria (ITSEC) EU obowiązywał w 1991-1997. Powstał głównie z angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC. Common Criteria Assurance Levels (EAL) aktualnie obowiązujący standard połączenie ITSEC, TCSEC oraz CTCPEC (Kanada). Od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (CC; http://www.commoncriteria.org). Od 1999 roku zaakceptowany jako międzynarodowa norma ISO15408 ( EAL v.2). 2

TCSEC: CC/EAL: D - minimalna ochrona (a właściwie jej brak) C1 - identyfikacja i uwierzytelnianie użytkowników, - hasła chronione - luźna kontrola dostępu na poziomie właściciela / grupy / pozostałych użytkowników - ochrona obszarów systemowych pamięci C2 - kontrola dostępu na poziomie poszczególnych użytkowników - automatyczne czyszczenie przydzielanych obszarów pamięci - wymagana możliwość rejestracji dostępu do zasobów B1 - etykietowane poziomy ochrony danych B2 - ochrona strukturalna - jądro ochrony - weryfikacja autentyczności danych i procesów - informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu bezpieczeństwa - wykrywanie zamaskowanych kanałów komunikacyjnych - ścisła rejestracja operacji B3 - domeny ochronne - aktywna kontrola pracy systemu (security triggers) - bezpieczne przeładowanie systemu A1 - formalne procedury analizy i weryfikacji projektu i implementacji systemu 3

Przybliżona klasyfikacja systemów operacyjnych 4

PODSTAWOWE WŁASNOŚCI BEZPIECZEŃSTWA INFORMACJI 5

3 podstawowe własności bezpieczeństwa informacji 6

1. POUFNOŚĆ 7

Poufność - ochrona przed nieautoryzowanym ujawnieniem (odczytem) informacji, narażona jest na ataki poprzez: nieuprawniony dostęp do danych w miejscu składowania w systemie, np. w bazie danych nieuprawniony dostęp do danych w miejscu przetwarzania, np. w aplikacji końcowej użytkownika podsłuchanie danych przesyłanych w sieci 8

Obrona poufności Mechanizmy obrony stosowane do zapewnienia poufności: uwierzytelnianie autoryzację i kontrolę dostępu do zasobów utrudnianie podsłuchu 9

UWIERZYTELNIANIE PRZEBIEG OGÓLNY 10

Uwierzytelnianie jednokierunkowe polega na uwierzytelnieniu jednego podmiotu (uwierzytelnianego), np. klienta aplikacji, wobec drugiego (uwierzytelniającego) serwera. Jest to prosta weryfikacja przekazanych danych uwierzytelniających np. hasło. 11

Uwierzytelnianie dwukierunkowe polega na kolejnym lub jednoczesnym uwierzytelnieniu obu podmiotów (sekwencyjne lub jednoczesne) 12

Uwierzytelnianie z udziałem zaufanej trzeciej strony włącza w proces uwierzytelniania trzecią zaufaną stronę, która bierze na siebie ciężar weryfikacji danych uwierzytelniających podmiotu uwierzytelnianego. Po pomyślnej weryfikacji podmiot uwierzytelniany otrzymuje poświadczenie, które następnie przedstawia zarządcy zasobu, do którego żąda dostępu. 13

MECHANIZMY UWIERZYTELNIANIA UŻYTKOWNIKÓW 14

Klasyczne uwierzytelnianie użytkownika - hasła Proces uwierzytelniania rozpoczyna klient żądając zarejestrowania w systemie (login). Serwer pyta o identyfikator (nazwę) użytkownika, a następnie o hasło i decyduje o dopuszczeniu do sieci. Jeżeli nazwa użytkownika i hasło są przesyłane tekstem jawnym (bez szyfrowania czy kodowania funkcją jednokierunkową ), to mogą być podsłuchane i użyte do podszywania się. 15

Wady haseł hasło można odgadnąć, np. metodą przeszukiwania wyczerpującego (brute-force attack) lub słownikową (dictionary attack) podsłuchać w trakcie niezabezpieczonej transmisji wykraść z systemowej bazy haseł użytkowników - zwykle hasła nie są przechowywane w systemie w postaci jawnej, często są zakodowane funkcją jednokierunkową lub zaszyfrowane, jednak niekiedy można stosunkowo łatwo jest pobrać i następnie starać się odzyskać ich oryginalną postać pozyskać inną metodą (np. kupić, wymusić szantażem, itp.) hasła się starzeją - czas przez który możemy z dużą pewnością polegać na tajności naszego hasła skraca się nieustannie, przez co hasła wymagają systematycznych zmian na nowe w niektórych środowiskach aplikacyjnych stosuje się predefiniowane konta użytkowników (również o charakterze administracyjnym) i przypisuje się im dość powszechnie znane hasła domyślne - usuwanie lub dezaktywowanie takich kont czy zmiany haseł wymagają dużej staranności, np. w routerach bezprzewodowych popularne są konta admin/admin 16

Słownikowy atak Słownikowy atak (dictionary attack) - polega na podejmowaniu kolejnych prób weryfikacji czy hasło ze zbioru popularnie stosowanych haseł (tzw. słownika) odpowiada hasłu dla konta będącego celem ataku. Wariantem tego ataku jest wykradnięcie zakodowanych danych uwierzytelniających z systemu, aby weryfikować czy kolejne hasła ze słownika dają po (znanym) zakodowaniu zakodowaną formę hasła przechowywaną w systemie. Przykładem analizy podatności haseł na atak słownikowy jest kilkukrotnie wykonane badanie, znane powszechnie jako raport Kleina. 17

Przeszukiwanie wyczerpujące Przeszukiwanie wyczerpujące ( atak brutalny brute force attack) polega na weryfikowaniu całej przestrzeni haseł, czyli wybieraniu wszystkich możliwych permutacji znaków z alfabetu wykorzystywanego przy ustawianiu hasła użytkownika. Taki atak jest oczywiście kosztowny czasowo - wymaga prób dopasowania każdej permutacji do odgadywanego hasła, co zależy od wielkości alfabetu i długości hasła (rozmiaru przestrzeni haseł). 18

Reguły higieny haseł: Nie wolno: wybierać hasła o długości krótszej niż 6 znaków; wybierać jako hasło znanego słowa, imienia, nazwiska, daty urodzenia, numeru telefonu, numeru rejestracyjnego, itp. danych osobistych; zmieniać hasła tak, by nowe było zależne od starego (np. z 012345 na 123456); zapisywać hasła w widocznych lub łatwo dostępnych miejscach (jak np. kartka pod klawiaturą, wnętrze szuflady czy na wierzchu płyty z danymi); informować nikogo o swoim haśle. 19

Reguły higieny haseł (c.d.): Powinno się: wybierać długie i mało znane słowo lub frazę (kombinacja różnych znaków); wybrać hasło w sposób na tyle losowy na ile tylko możliwe; zmieniać hasło możliwie często, w nieprzewidywalny sposób zmienić hasło natychmiast, jak tylko rodzi się podejrzenie, że ktoś mógł je poznać; opracować własny algorytm generowania haseł - wybór pierwszych liter słów ulubionej fraszki, ostatnich znaków z wersów wiersza lub wybranej strony książki, ewentualnie bezsensowne słowo i losowa liczba; zlecić specjalistycznemu programowi wygenerowanie trudnego hasła. 20

Uwierzytelnianie jednokrotne Uwierzytelnianie jednokrotne (SSO single sign-on) - jeśli jeden z komponentów systemu (np. system operacyjny) dokonał pomyślnie uwierzytelniania użytkownika, pozostałe komponenty (np. inne systemy lub zarządcy zasobów) ufać będą tej operacji i nie będą samodzielnie wymagać podawania ponownie danych uwierzytelniających. Inny przykład to komputery w sieci: 21

Hasła jednorazowe Hasła jednorazowe (OTP one-time passwords) idea opiera się na użyciu danej postaci hasła tylko raz, co czyni je bezwartościowymi nawet po udanym przechwyceniu. Implementacje haseł jednorazowych: 1. Listy haseł 2. Synchronizacja czasu 3. Zawołanie/odzew 22

1. Listy haseł Użytkownik otrzymuje listę zawierająca ponumerowane hasła. W trakcie logowania użytkownik podaje swój identyfikator, a system prosi o podanie hasła z odpowiednim numerem. Klient za każdym razem posługuje się kolejnym niewykorzystanym hasłem z listy. Stosowane np. w banku PKO. 23

2. Synchronizacja czasu Klient generuje unikalny kod w funkcji pewnego parametru X użytkownika (identyfikatora, kodu pin, hasła, numeru seryjnego karty identyfikacyjnej) oraz bieżącego czasu. Serwer następnie weryfikuje otrzymany od klienta kod korzystając z identycznej funkcji (z odpowiednią tolerancją czasu). Wymaga to dość skomplikowanych obliczeń, więc stosowane jest w oprogramowaniu (a nie ręcznie ). 24

3. Zawołanie-odzew Serwer pyta o nazwę użytkownika, a następnie przesyła unikalny ciąg ( zawołanie"). Klient koduje otrzymany ciąg (np. swoim hasłem lub innym tajnym parametrem pełniącym rolę klucza) i odsyła jako odzew". Serwer posługując się identycznym kluczem weryfikuje poprawność odzewu. Wymaga dość skomplikowanych obliczeń. 25

Wsparcie sprzętu i oprogramowania Tokeny programowe to specjalne programy generujące hasła. W zależności od implementacji program na podstawie kwantu czasu lub zawołania serwera generuje hasło jednorazowe, które weryfikuje serwer. Token sprzętowy jest małym przenośnym urządzeniem spełniającym wszystkie funkcje tokenu programowego. Wykorzystanie telefonu komórkowego w uwierzytelnianiu przez hasła jednorazowe: hasła jednorazowego przesyłane są z serwera na telefon użytkownika w postaci wiadomości SMS. Stosowane powszechnie w bankowości internetowej. 26

Uwierzytelnianie przez posiadanie (Proof by possession) Do uwierzytelniania użytkowników można wykorzystać również przedmioty, których posiadaniem musi się wykazać uwierzytelniany. Przykłady: klasyczne identyfikatory ze zdjęciem (np. dowód osobisty, paszport, prawo jazdy, plakietka ochroniarza); identyfikatory elektroniczne (np. do przeciągania po czytniku przy drzwiach w bankach, karty bankomatowe po części); tokeny generujące i przesyłające bezprzewodowo hasła jednorazowe (np. niektóre kluczyki samochodów, karty PayPass) 27

Uwierzytelnianie biometryczne Opiera się na odmienności i unikalności parametrów niektórych naturalnych składników organizmu (lub zachowania), takich jak m.in.: klucz DNA odcisk palca małżowina uszna geometria twarzy termogram twarzy termogram dłoni obraz żył krwionośnych na zaciśniętej pięści odcisk palca (dermatoglify) geometria dłoni tęczówka oka odcisk dłoni obraz siatkówki głos (po części zachowanie) podpis odręczny (zachowanie) chód (zachowanie) sposób pisania na klawiaturze (zachowanie) 28

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres