ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń. Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl Podziękowania:Gerard Frankowski, Jarosław Sajko, BłaŜej Miga 1
Partnerzy: Centrum Innowacji Microsoft Corporation Microsoft Pierwsze w Polsce MIC Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Centrum bezpieczeństwa i usług outsourcingowych Otwarcie: 1.06.2006r. 2
Cele i zadania MIC Wybrane cele MIC: Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wlkp. Łatwy i bezpieczny dostęp do e-usług w urzędach Główne zadania MIC w roku 2007: Zdalne udostępnianie aplikacji Microsoft w polskim środowisku edukacyjnym Audyty bezpieczeństwa usług i aplikacji Szkolenia z zakresu bezpieczeństwa komputerowego Badania technologii multimedialnych Bezpieczne telekonsultacje medyczne wraz ze wspomaganiem decyzji 3
Program szkoleń dot. bezpieczeństwa w MIC Pozostałe szkolenia bezpieczeństwa w roku 2007: Wrzesień / październik 2007: Migracja z serwera WWW Apache httpd do Microsoft IIS Grudzień 2007: Tworzenie bezpiecznego oprogramowania w systemach Microsoft Windows Patrz równieŝ: http://mic.psnc.pl/tasks/lect.html http://szkolenia.man.poznan.pl/kdm 4
Zespół Bezpieczeństwa PCSS praca nad zapewnieniem bezpieczeństwa audyty bezpieczeństwa teleinformatycznego udział w projektach badania i rozwój 5
Agenda Bezpieczeństwo teleinformatyczne w organizacji ZagroŜenia dla bezpieczeństwa związane z sieciami Zabezpieczenia przed zagroŝeniami 6
Bezpieczeństwo organizacji Za brak jakości się płaci, za brak bezpieczeństwa się siedzi 7
Bezpieczeństwo Organizacji Wymogi formalne Ustawa z dnia 22 stycznia 1999 o Ochronie Informacji Niejawnych (Dz.U.1999.11.95) Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych (Dz.U.1997.133.883) Tajemnica Zawodowa 8
Bezpieczeństwo Organizacji Prawdy o bezpieczeństwie Nie naleŝy oszczędzać na bezpieczeństwie Nie ma bezpieczeństwa absolutnego Ryzyko zawsze istnieje. Trzeba potrafić nim zarządzać. 9
Bezpieczeństwo Organizacji Polityka bezpieczeństwa 10
Bezpieczeństwo Organizacji Bezpieczeństwo Poufność Integralność Dostępność 11
Bezpieczeństwo Organizacji Poufność informacji 12
Bezpieczeństwo Organizacji Integralność informacji 13
Bezpieczeństwo Organizacji Dostępność informacji 14
Bezpieczeństwo Organizacji Audyt Audyt to weryfikacja zgodności stanu istniejącego ze stanem poŝądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania zmierzające do wspomagania firmy, a nie spowodowania strat 15
Bezpieczeństwo Organizacji Pomoc Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP) 16
ZagroŜenia w sieciach System komputerowy System komputerowy to pojedynczy komputer lub ich grupa połączona siecią komputerową. 17
ZagroŜenia w sieciach Internet jest siecią globalną 18
ZagroŜenia w sieciach Typowy napastnik? wirus, robak,inne złośliwe oprogramowanie (statystycznie) groźny dla korporacji nastolatek (mit) zorganizowane grupy przestępcze zagroŝenie od pracowników (z wnętrza sieci lokalnej) 19
ZagroŜenia w sieciach Kilka przykładowych typów ataków KradzieŜ danych KradzieŜ toŝsamości KradzieŜ zasobów Phishing, pharming Kompromitacja wizerunku DoS, DDoS Niechciana poczta 20
ZagroŜenia w sieciach KradzieŜ danych 21
ZagroŜenia w sieciach KradzieŜ toŝsamości Ukraść toŝsamość w świecie wirtualnym moŝna przy znacznie mniejszych kosztach niŝ w świecie rzeczywistym. 22
ZagroŜenia w sieciach KradzieŜ zasobów JeŜeli celem napastnika nie są nasze dane to moŝe to być moc obliczeniowa komputera. Niewielka moc z jednego komputera pomnoŝona przez tysiące komputerów daje moc duŝą. 23
ZagroŜenia w sieciach Phishing, pharming Metoda na rybkę czyli phishing polega na zastawieniu pułapki np. fałszywej strony www - i umiejętnym dostarczeniu przynęty. Pharming to taki phishing tylko, Ŝe siecią rybacką. 24
ZagroŜenia w sieciach Ataki Man-In-The- Middle Atak typuman-in-themiddle (MITM) jest sytuacją, w której pomiędzy dwie strony połączenia ingeruje strona trzecia atakujący 25
ZagroŜenia w sieciach Kompromitacja wizerunku Korzystając ze słabości w zabezpieczeniach (braku zabezpieczeń) napastnik podmienia lub modyfikuje treść witryny internetowej kompromitując wizerunek firmy/organizacji. 26
ZagroŜenia w sieciach Atak DoS/DDoS Jest to sytuacja, w której system z powodu niewystarczających zasobów nie jest w stanie obsługiwać legitymizowanych Ŝądań obsługi. Niekoniecznie na skutek ataku. 27
ZagroŜenia w sieciach Niechciana poczta - SPAM Szacuje się, Ŝe koszty jakie ponosi biznes na całym świecie związane ze SPAMem to dziesiątki miliardów dolarów rocznie. 28
29
ZagroŜenia w sieciach InŜynierowie społeczni... Politycy, aktorzy, handlowcy, prawnicy, szpiedzy, hakerzy, itd... 30
ZagroŜenia w sieciach InŜynieria Społeczna...inŜynier społeczny jest w stanie uzyskać od człowieka informacje z uŝyciem lub bez uŝycia technologii... Kevin Mitnick 31
ZagroŜenia w sieciach Złośliwe oprogramowanie Spyware, adware, trojany, wirusy, robaki, adware, malware, keyloggery, exploity, etc... 32
ZagroŜenia w sieciach Złośliwe oprogramowanie Złośliwe oprogramowanie to przede wszystkim oprogramowanie. Na pierwszy rzut oka moŝe wyglądać niegroźnie. 33
ZagroŜenia w sieciach Dostęp bezprzewodowy Sieci bezprzewodowe 802.11 Urządzenia Bluetooth 34
ZagroŜenia w sieciach ZagroŜenia w sieciach bezprzewodowych Poufność danych Ingerencja w dane Identyfikacja węzłów sieci Podatność na zakłócenia 35
ZagroŜenia w sieciach Komunikacja w sieci Tekstowe komunikatory internetowe Poczta elektroniczna 36
ZagroŜenia w sieciach ZagroŜenia dla komunikacji w sieci Podsłuch danych Ingerencja w dane Problem z identyfikacją drugiej strony 37
ZagroŜenia w sieciach Bezpieczeństwo fizyczne 38
39
Zabezpieczenia 40
Zabezpieczenia Po pierwsze, aktualizacje http://www.windowsupdate.com (tylko MSIE) 41
Zabezpieczenia NaleŜyta konfiguracja 42
Zabezpieczenia Bezpieczne hasła Jakie hasła są złe? Hasło: najpopularniejszy sposób ochrony Puste / krótkie Takie, jak nazwa konta test, haslo, qwerty,... Imię psa, data urodzenia,... Istniejące słowo Jedno hasło do wielu kont Jakie hasła są dobre? Takie, które uŝytkownik będzie w stanie stosować Przykład: Bss 3_Atnmi. 43
Zabezpieczenia Chronimy nazwę konta Naczelna zasada: nie ujawniać zbędnych danych Start / Ustawienia / Panel sterowania / Konta uŝytkowników 44
Zabezpieczenia Specjalistyczne aplikacje Programy antywirusowe Ściany ogniowe (firewalle) Oprogramowanie antyspyware Programy porządkujące system Systemy IDS/IPS Antyspam, Anty-phishing, Anty-rootkit... 45
Zabezpieczenia Kryptografia Ochrona transmisji Ochrona danych składowanych Nie wolno wymyślać własnych szyfrów, protokołów połączeń,... 46
Zabezpieczenia Kopie zapasowe Dlaczego potrzebna jest kopia zapasowa? Przechowywać w odrębnej lokalizacji Kopie naleŝy testować!!! Kopie naleŝy porządkować!!! 47
Zabezpieczenia Usuwamy dane To nie wystarczy To teŝ nie Całkowita pewność 48
Pytania...? 49
Podsumowanie Bezpieczeństwo informacji w organizacji ZagroŜenia dla bezpieczeństwa związane z sieciami Zabezpieczenia przed zagroŝeniami 50
Dziękuję za uwagę Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl PSNC Security Team http://security.psnc.pl security@man.poznan.pl 51