Wykład 2 43
Zasady powstałe na bazie zasad klasycznych Rozbudowana ochrona (Stosowanie wielu warstw zabezpieczeń) Psychologiczna akceptacja (Zabezpieczenia nie spowodują obaw, nieufności i niepokoju użytkowników) Zasada najmniejszych przywilejów Wdrażanie zasad zabezpieczeń (Formalny dokument wyrażający wolę organizacji i niezależny od technologii wdrażania) Podział obowiązków (Istotne operacje nie mogą być wykonane przez jedną osobę) Całkowita mediacja (Zastosowanie całkowicie sprawdzonego rozwiązania) 44
Zasady powstałe na bazie zasad klasycznych c.d. Aktualizowanie na bieżąco Używanie otwartych rozwiązań (dobrze udokumentowanych) Zmniejszenie pola ataku Domyślne zabezpieczenia awaryjne Jednoczesne ufanie i kontrolowanie Szkolenie i uświadamianie Ekonomia i różnorodność mechanizmów 45
Prawo polskie a bezpieczeństwo 46
Aspekt prawny - Art. 267. KK [Nielegalne uzyskanie informacji] 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego. 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem. 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w 1-3 ujawnia innej osobie. 5. Ściganie przestępstwa określonego w 1-4 następuje na wniosek pokrzywdzonego. 47 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 268 KK [Niszczenie informacji] 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2. Jeżeli czyn określony w 1 dotyczy zapisu na informatycznym nośniku danych, sprawca podlega karze pozbawienia wolności do lat 3. 3. Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 4. Ściganie przestępstwa określonego w 1-3 następuje na wniosek pokrzywdzonego. 48 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 268a. KK [Szkoda w bazach danych] 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności do lat 3. 2. Kto, dopuszczając się czynu określonego w 1, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 3. Ściganie przestępstwa określonego w 1 lub 2 następuje na wniosek pokrzywdzonego. 49 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 269. [Sabotaż komputerowy] 1. Kto niszczy, uszkadza, usuwa lub zmienia dane informatyczne o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organ państwowego lub instytucji państwowej albo samorządu terytorialnego albo zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych, podlega karze pozbawienia wolności od 6 miesięcy do lat 8. 2. Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając informatyczny nośnik danych lub niszcząc albo uszkadzając urządzenie służące do automatycznego przetwarzania, gromadzenia lub przekazywania danych informatycznych. 50 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 269a. [Zakłócanie pracy w sieci] Kto, nie będąc do tego uprawnionym, przez transmisję, zniszczenie, usunięcie, uszkodzenie, utrudnienie dostępu lub zmianę danych informatycznych, w istotnym stopniu zakłóca pracę systemu komputerowego lub sieci teleinformatycznej, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 51 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 269b. [Bezprawne wykorzystanie programów i danych] 1. Kto wytwarza, pozyskuje, zbywa lub udostępnia innym osobom urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. 165 1 pkt 4, art. 267 3, art. 268a 1 albo 2 w związku z 1, art. 269 2 albo art. 269a, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej, podlega karze pozbawienia wolności do lat 3. 2. W razie skazania za przestępstwo określone w 1, sąd orzeka przepadek określonych w nim przedmiotów, a może orzec ich przepadek, jeżeli nie stanowiły własności sprawcy. 52 Przestępstwa przeciwko ochronie informacji R33
Aspekt prawny - Art. 287 KK [Oszustwo komputerowe] 1. Kto, w celu osiągnięcia korzyści majątkowej lub wyrządzenia innej osobie szkody, bez upoważnienia, wpływa na automatyczne przetwarzanie, gromadzenie lub przekazywanie danych informatycznych lub zmienia, usuwa albo wprowadza nowy zapis danych informatycznych, podlega karze pozbawienia wolności od 3 miesięcy do lat 5. 2. W wypadku mniejszej wagi, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 3. Jeżeli oszustwo popełniono na szkodę osoby najbliższej, ściganie następuje na wniosek pokrzywdzonego. 53 Przestępstwa przeciwko mieniu R35
Normy i zalecenia 54
Normy i zalecenia ISO/IEC 13335 (odpowiednik w Polsce PN-I-13335) Wytyczne do zarządzania bezpieczeństwem systemów informatycznych Technika informatyczna Planowanie i zarządzanie bezpieczeństwem systemów informatycznych Techniki zarządzania bezpieczeństwem systemów informatycznych Wybór zabezpieczeń Zabezpieczenie dla połączeń z sieciami zewnętrznymi ISO/IEC 27001 (odpowiednik w Polsce PN-I-07799-2:2005) standaryzuje systemy zarządzania bezpieczeństwem informacji 55
Cykl Deminga Plan Do Check/Study Act Zaplanuj (ang. Plan) Wykonaj (ang. Do) Sprawdź (ang. Check) Zastosuj (ang. Act) 56 Filozofia Kaizen -> polecam http://pl.wikipedia.org/wiki/kaizen
Cykl Deminga Zaplanuj (ang. Plan) - Zaplanuj lepszy sposób działania, lepszą metodę. Wykonaj (ang. Do) - Zrealizuj plan na próbę. Sprawdź (ang. Check) - Zbadaj, czy rzeczywiście nowy sposób działania przynosi lepsze rezultaty. Zastosuj (ang. Act) - Jeśli nowy sposób działania przynosi lepsze rezultaty, uznaj go za normę (obowiązującą procedurę), zestandaryzuj i monitoruj jego stosowanie. 57
Ochrona danych osobowych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1997r. Nr 133 poz. 883) Rozporządzenie MSWiA z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 58
Szczególne Wymagania Bezpieczeństwa Ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) Rozporządzenia Prezesa Rady Ministrów z 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych (Dz. U. Nr 18, poz. 162) Instrukcja dotyczycąca ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne. 59
PROBLEMY BEZPIECZEŃSTWA SIECI PODSŁUCH 60
Podsłuch sieciowy (ang. sniffing) Komputer 1 Komputer 2 przechwytywanie infromacji atakujący 61 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Podsłuch w sieciach opartych na koncentratorach Do podsłuchiwania wystarczy przestawić kartę w tryb zwany promiscuous (po angielsku to słowo oznacza zarówno ogólny, jak i rozwiązły ). Działanie klasycznego sniffera w takiej sieci jest działaniem pasywnym, to znaczy atakujący nie umieszcza żadnych dodatkowych informacji w sieci ani w podsłuchiwanym komputerze 62 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Podsłuch w sieciach opartych na przełącznikach Do podsłuchu w sieciach przełączanych należało posłużyć się znacznie bardziej skomplikowanymi metodami takimi jak ARP-spoofing czy MAC-flooding, które są atakami aktywnymi, a co za tym idzie, znacznie łatwiejszymi do wykrycia. 63 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
ARP-Spoofing Komputer 1 NADAWCA Komputer 2 ATAKUJĄCY Komputer 3 ODBIORCA Wysłanie zapytania ARP o adres IP 192.168.1.4 Wpis w dynamicznej tablicy ARP Adres IP 192.168.1.4 to adres MAC: 00:C1:DA:01:AE:23 Odpowiedź To mój adres 00:C1:DA:01:AE:23 Komunikacja pomiędzy Komputerami 1 i 2 Wysłanie zapytania ARP o adres IP 192.168.1.4 Wpis w dynamicznej tablicy ARP Adres IP 192.168.1.4 to adres MAC: 00:C1:A4:01:2E:13 Odpowiedź To mój adres 00:C1:A4:01:2E:13 Polega na wysyłaniu sfałszowanego pakietu ARP Reply, na podstawie którego komputery w sieci są informowane o odwzorowaniach adresów logicznych (IP) na adresy fizyczne (MAC). Komputer 2 przesyła informacje od nadawcy (Komputer 1) do rzeczywistego odbiorcy (Komputer 3) 64 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
MAC-Flooding ARP Request ARP Request ze zmienionym ARP ze zmienionym ARP Request Request MAC ze źródłowym zmienionym ARP Request MAC ze źródłowym zmienionym ARP Request MAC ze MAC źródłowym zmienionym ze źródłowym zmienionym MAC źródłowym MAC źródłowym ATAKUJĄCY OFIARA ATAKUJĄCY OFIARA Polega na zalewaniu przełącznika pakietami ARP zawierającymi sfałszowane adresy fizyczne (MAC). Przełącznik, który nie umie prawidłowo nauczyć się nowych adresów lub ma zbyt małą pamięć na tablicę adresów fizycznych zaczyna zachowywać się jak koncentrator. 65
MAC-Clonning ARP Request z adresem MAC ofiary jako adresem źródłowym ATAKUJĄCY ATAKUJĄCY OFIARA OFIARA Polega na zmianie adresu fizycznego (MAC) karty sieciowej atakującego na adres fizyczny ofiary. 66
Wykrywanie podsłuchu Sprawdzenie trybu pracy karty sieciowej (ethtool) Test ARP Test ARP Cache Test ICMP Test DNS Pomiar czasu opóźnień Metody reflektometryczne Oprogramowanie dedykowane (np. prodetect, Antisniff) 67
Test ARP Wysłanie ramki ze sfałszowanym adresem MAC docelowym. Komputer, którego karta sieciowa pracuje w trybie promiscous przekaże tę ramkę do warstwy sieciowej. Jeżeli docelowy adres IP w ramce jest zgodny z adresem IP maszyny, zostanie wygenerowana odpowiedź, która zdemaskuje działanie sniffera. 68
Test ARP (przykład) Powiedzmy niech host A o adresie IP 1.1.1.1 i MAC-u 01:23:45:67:89:AB ma sieciówke w trybie promiscuous. Wysyłamy w siec zapytanie ARP "who has 1.1.1.1?", z tym, ze skierowane nie na broadcast (FF:FF:FF:FF:FF:FF), a do wymyślonego MAC (np. 00:11:22:33:44:55). arp -s 1.1.1.1 00:11:22:33:44:55 ping 1.1.1.1 Nie powinniśmy dostać odpowiedzi. Jeśli dostaniemy, to znaczy, ze karta sieciowa hosta A nie odfiltrowała tego pakietu, zatem musi być w trybie promiscuous (Windows/Linux) 69
Test ARP-Cache Wysłanie pakietu ARP Reply ze sfałszowanym adresem MAC docelowym ale prawidłowym odwzorowaniem adresu IP na adres MAC komputera z którego wykrywany jest sniffer. Komputer, którego karta sieciowa pracuje w trybie promiscous zaakceptuje pakiet ARP Reply i doda wpis do pamięci podręcznej ARP. Wysłanie pakietu ICMP Echo Request do badanej maszyny. Jeżeli odpowie bez wysyłania pakietu ARP Request to oznacza, że zaakceptował wcześniejszy pakiet ARP Reply. 70
Test ICMP Wysłanie pakietu ICMP Echo Request ze sfałszowanym adresem MAC docelowym. Komputer, którego karta sieciowa pracuje w trybie promiscous odpowie pakietem ICMP Echo Reply. 71
Test DNS Wysłanie dowolnego pakietu ze sfałszowanym adresem IP. Sprawdzenie czy w sieci nie pojawi się pakiet UDP do serwera DNS z zapytaniem o nazwę dla sfałszowanego nr IP. 72
Pomiar czasów opóźnień Wysłanie pakietu ICMP Echo Request do komputera, który podejrzewamy o sniffing i zmierzenie czasu odesłania pakietu ICMP Echo Reply. Wysłanie dużej ilości dowolnych pakietów ze sfałszowanym adresem MAC docelowym. Równocześnie wysłanie pakietu ICMP Echo Request do komputera, który podejrzewamy o sniffing i zmierzenie czasu odesłania pakietu ICMP Echo Reply. 73
Metody reflektometryczne Umożliwiają wykrycie fizycznego podłączenia się do sieci. Wykorzystuje się reflektometry, które wysyłają do przewodu impulsy. Analiza kształtu odbicia impulsu pozwala na ocenę naruszenia integralności struktury fizycznej sieci. 74
Metody zabezpieczeń przed podsłuchem Monitoring zmian przypisania adresów MAC do adresów IP. Monitoring pakietów ARP-Reply. Stosowanie statycznej tablicy ARP. Wykorzystanie inteligentnych przełączników warstwy 3. Wykorzystanie technologii VLAN. Szyfrowanie danych. Wykorzystanie wirtualnych sieci prywatnych. 75
Podsłuch w sieciach bezprzewodowych Komputer 1 Komputer 2 Punkt dostępu (Access Point) Komputer 3 Komputer 4 WAR-DRIVING (ang. WAR - Wireless Access Revolution, rewolucja bezprzewodowego dostępu, driving - jazda samochodem). Analogicznie jak przy sieciach przewodowych, w celu podsłuchu transmitowanych danych karta sieciowa bezprzewodowa musi pracować w trybie ogólnym, określanym jako tryb monitorujący (ang. Monitor Mode). 76 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Podsłuch w sieciach bezprzewodowych Komputer 1 Komputer 2 Punkt dostępu (Access Point) Komputer 3 Komputer 4 Sam wardriving nie jest jeszcze atakiem, problem zaczyna się, gdy ktoś korzystając ze słabości jakiejś sieci, zaczyna za jej pomocą coś wysyłać albo podsłuchiwać transmisję. 77 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Szyfrowanie w sieciach bezprzewodowych 802.11 802.11i WEP WPA WPA2 WEP (ang. Wired Equivalent Privacy) zapewnia kodowanie kluczami o długościach 64 i 128 bitów, jednak są one łatwe do złamania. WPA (ang. WiFi Protected Access) generuje dla każdego klienta niepowtarzalne klucze szyfrowania w określonych odstępach czasu. Są to tzw. dynamiczne klucze. Dla WPA stosowane są dwa rozwiązania: Enterprise Mode dla sieci z dużą liczbą klientów, korzysta z serwera uwierzytelniania RADIUS (802.1X), który dla każdego użytkownika przydziela inny klucz. Personal dla małej sieci, w której każdy klient korzysta ze wspólnego dzielonego klucza (PSK ang. Pre-Shared Key). 78 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Szyfrowanie w sieciach bezprzewodowych 802.11 802.11i WEP WPA WPA2 WPA2 wykorzystuje128-bitowej długości klucze (dynamiczne) oraz standard szyfrowania AES (ang. Advanced Encryption Standard). Dodatkowo ma zabezpieczone wszystkie wykryte błędy, które pojawiały się w szyfrowaniu WEP. 79 M. Szmit, M. Tomaszewski, D. Lisiak, I. Politowska - 13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwanie skutków i zapobieganie, rozdział 2 i 3, Wydawnictwo Helion SA 2008
Zabezpieczenie przed podsłuchem w sieciach bezprzewodowych Jak najwyższy poziom szyfrowania. Stosowanie uwierzytelniania w trybie Enterprise Filtrowania adresów MAC. Brak rozgłaszania SSID (?) Kwarantanna. 80
Koniec Wykładu 2 81