Bezpieczeństwo systemów komputerowych

Podobne dokumenty
Podstawy bezpieczeństwa

BEZPIECZEŃSTWO W SIECIACH

PROGRAMY NARZĘDZIOWE 1

Robaki sieciowe. + systemy IDS/IPS

Bezpieczeństwo w sieci Internet Rodzaje złośliwego oprogramowania

KUS - KONFIGURACJA URZĄDZEŃ SIECIOWYCH - E.13 STOSOWANIE METOD ZABEZPIECZANIA SPRZĘTU KOMPUTEROWEGO PRACUJĄCEGO W SIECI.

9. System wykrywania i blokowania włamań ASQ (IPS)

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Działanie komputera i sieci komputerowej.

Stan faktyczny bezpieczeństwa w polskich przedsiębiorstwach- 1/3

ASQ: ZALETY SYSTEMU IPS W NETASQ

Bezpieczeństwo systemów komputerowych

Plan na dziś. Co to jest wirus komputerowy? Podział wirusów komputerowych Jak działają wirus komputerowe? Jak zabezpieczyć się przed wirusami?

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Zadanie 1 Treść zadania:

Metody ataków sieciowych

OCHRONA SYMANTEC ENTERPRISE SECURITY. Kompleksowe rozwiązania ochrony przed włamaniami opracowane przez firmę Symantec

Produkty. MKS Produkty

Windows Defender Centrum akcji

Budowa systemów komputerowych

- zawierających ogólnie dostępne informacje, takie jak: imię, nazwisko, numer rejestracyjny samochodu, numer telefonu, imiona dzieci itp.

INFRA. System Connector. Opis systemu

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Praca w sieci równorzędnej

Projektowanie bezpieczeństwa sieci i serwerów

Pojęcie wirusa komputerowego

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

Technologia Automatyczne zapobieganie exploitom

ZADANIE nr 4 Sprawdzian z informatyki

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

CENTRALA ŚWIATOWA Stevens Creek Blvd. Cupertino, CA USA

Charakterystyka sieci klient-serwer i sieci równorzędnej

Sieci komputerowe : zbuduj swoją własną sieć - to naprawdę proste! / Witold Wrotek. wyd. 2. Gliwice, cop Spis treści

Produkty. ESET Produkty

Bezpieczeństwo systemów komputerowych. Java i JavaScript. Java i JavaScript. Java - historia

F-Secure Anti-Virus for Mac 2015

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

n6: otwarta wymiana danych

Budowa i działanie programów antywirusowych

Zintegrowane Systemy Zarządzania Biblioteką SOWA1 i SOWA2 ZAMAWIANIE I REZERWOWANIE

Internet Explorer. Okres

Tworzenie i obsługa wirtualnego laboratorium komputerowego

Metody włamań do systemów komputerowych p. 1/15

Kaspersky Security Network

Bezpieczeństwo systemów komputerowych

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Agenda. Rys historyczny Mobilne systemy operacyjne

Ochrona zasobów. Obejmuje ochronę: Systemów komputerowych, Ludzi, Oprogramowania, Informacji. Zagrożenia: Przypadkowe, Celowe.

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

7. zainstalowane oprogramowanie zarządzane stacje robocze

Struktury systemów operacyjnych Usługi, funkcje, programy. mgr inż. Krzysztof Szałajko

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie

Norton 360 Najczęściej zadawane pytania

Znak sprawy: KZp

uplook z modułem statlook program do audytu oprogramowania i kontroli czasu pracy

Dziś i jutro systemów IDS

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

Wyższy poziom bezpieczeństwa

Kaspersky Security Network

- w firmie AGD, w komputerze używanym przez sekretarkę oraz trzech akwizytorów stwierdzono usterkę systemu komputerowego,

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Pluskwy, robale i inne paskudztwo

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

U M L. System operacyjny Linux zagnieżdżony w zewnętrznym systemie operacyjnym (Linux)

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Systemy operacyjne i sieci komputerowe Szymon Wilk System operacyjny 1

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Certyfikat. 1 Jak zbieramy dane?

Diagnostyka komputera

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Wprowadzenie. Dariusz Wawrzyniak. Miejsce, rola i zadania systemu operacyjnego w oprogramowaniu komputera

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Rozdział 1: Rozpoczynanie pracy...3

Wprowadzenie. Dariusz Wawrzyniak. Miejsce, rola i zadania systemu operacyjnego w oprogramowaniu komputera

Otwock dn r. Do wszystkich Wykonawców

Instrukcja szybkiego uruchomienia

SYSTEMY OPERACYJNE: STRUKTURY I FUNKCJE (opracowano na podstawie skryptu PP: Królikowski Z., Sajkowski M. 1992: Użytkowanie systemu operacyjnego UNIX)

Spis treści. O autorze 9. O recenzentach 10. Przedmowa 13. Rozdział 1. Oto Linux Mint 17_

Systemy operacyjne. Wprowadzenie. Wykład prowadzą: Jerzy Brzeziński Dariusz Wawrzyniak

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

PRACA KONTROLNA. z praktyki zawodowej. Temat pracy: Poprawa bezpieczeństwa systemu komputerowego. Zespół Szkół Rolniczych w Woli Osowińskiej

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Wprowadzenie do zagadnień związanych z firewallingiem

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Regulamin serwisu internetowego Ladyspace (dalej: Regulamin ) 1 Postanowienia ogólne

INSTRUKCJA PROGRAMU DO REJESTRATORÓW SERII RTS-05 ORAZ RTC-06. wyposażonych w komunikację. Bluetooth lub USB PRZEDSIĘBIORSTWO PRODUKCYJNO HANDLOWE

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

BIOS, tryb awaryjny, uśpienie, hibernacja

Ochrona Informacji i innych aktywów Zamawiającego

Transkrypt:

Bezpieczeństwo systemów komputerowych Intruzi i intruzy Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 5 stycznia 2016

Intruzi złośliwi użytkownicy Przebieraniec użytkownik nie posiadający pozwolenia na posługiwanie się danym komputerem, pokonujący środki kontroli dostępu do systemu, aby wykorzystać legalne konto innego użytkownika. Nadużywający legalny użytkownik naduużywający przywilejów, uzyskujący dostęp do zasobów, do których dostępu nie powinien mieć. Tajny użytkownik użytkownik uzyskujący kontrolę nad systemem w celu ominięcia monitorowania i kontroli dostępu.

IDS Intrusion Detection System system wykrywania intruzów Wykrywanie opiera się na założeniu, że zachowanie intruza różni się od zachowania legalnego użytkownika. Technikami automatycznymi można próbować odróżnić przebierańca od legalnego użytkownika. Wykrywanie metodami automatycznymi osób naduużywających jest trudniejsze. Wykrywanie tajnych użytkowników jest uznawane za znajdujące się poza zasięgiem technik czysto automatycznych.

Wykrywanie włamań Jeśli włamanie zostanie wykryte dostatecznie szybko, intruz może zostać usunięty, zanim wyrządzi jakąkolwiek szkodę. Już samo zainstalowanie systemu wykrywania włamań może działać odstraszająco. Wykrywanie włamań umożliwia zbieranie informacji o technikach włamywania się i wykorzystanie ich do udoskonalania systemów zabezpieczeń.

Zapisy działań użytkowników zapisy kontrolne Podmiot przeważnie użytkownik, czasem proces działający w imieniu użytkownika Czynność operacja wykonywana przez podmiot na przedmiocie lub przy użyciu przedmiotu, np. rozpoczęcie pracy, odczyt, operacja wejścia-wyjścia, wykonanie programu Przedmiot odbiorca czynności, np. plik, program, komunikat, rekord bazy danych, terminal, drukarka Wyjątek ewentualny zgłoszony wyjątek, np. odmowa dostępu Zużycie zasobów zużyty czas procesora, liczba odczytanych lub zapisanych rekordów, liczba wydrukowanych stron itp. Datownik data i czas wykonania czynności

Analiza zapisów kontrolnych Statystyczna zbieranie danych związanych z zachowaniem legalnych użytkowników w pewnym okresie czasu, zastosowanie testów statystycznych, wykrywanie anomalii statystycznych progowe zastosowanie progów niezależnych od użytkownika profile użytkowników indywidualny profil dla każdego użytkownika, testowanie odchyleń od profilu Oparta na regułach zestaw reguł odróżniających zachowania legalnych użytkowników i intruzów wykrywanie anomalii wykrywanie penetracji

Progowe wykrywanie anomalii Obliczanie liczby wystąpień danego typu zdarzeń w pewnym okresie czasu Alarm zgłaszany po przekroczeniu pewnej wartości progowej Problem ustalenia progu fałszywe alarmy niewykrycia

Profile użytkowników Estymowanie wartości oczekiwanej ˆX = 1 n n X i, i=1 wariancji 1 n 1 n (X i ˆX ) 2, i=1 częstości rozpoczynania pracy z systemem w zależności od dnia i czasu, częstości rozpoczynania pracy z systemem z różnych miejsc, czasu trwania sesji, ilości przesyłanych danych, wykorzystania zasobów w trakcie sesji, częstości wykonywania poleceń, częstości operacji plikowych,...

Profile użytkowników, cd. Metoda wielowymiarowa estymowanie korelacji wielu parametrów Metoda procesów Markowa określanie prawdopododobieństwa przejść między różnymi stanami wykrywanie występowanie sekwencji zdarzeń Metoda ciągów czasowych wyszukiwanie ciągów zdarzeń zachodzących zbyt szybko lub zbyt wolno Metoda operacyjna określanie zdarzeń uznawanych za nienormalne, np. za pomocą mierzenia czasu od poprzedniego rozpoczęcia pracy z systemem, nieudanych prób uwierzytelnienia, nieudanych próby uwierzytelnienia pochodzących z konkretnych maszych, odmów wykonania, nieudanych prób dostępu do plików.

Wykrywanie anomalii na podstawie reguł Reguły określające zachowania użytkowników i programów Analiza zapisów kontrolnych w celu automatycznego wygenerowania zbioru reguł Śledzenie zachowań i porównywanie ze zbiorem reguł Zachowanie nie pasujące do reguł jest podstawą wszczęcia alarmu Niepotrzebna wiedza o architekturze i słabych punktach ochranianego systemu Potrzebna duża baza reguł, rzędu 10 4 do 10 6

Wykrywanie penetracji na podstawie reguł Wykorzystanie systemu ekspertowego do wykrywania podejrzanych zachowań Reguły korzystające z wiedzy o słabych punktach systemu Reguły określające znane techniki penetracji Reguły specyficzne dla konkretnej architektury i systemu operacyjnego Reguły generowane przez ekspertów np. na podstawie wywiadów z administratorami lub wiedzy uzyskanej od (nawróconych) hakerów

Terminologia true positive alarm spowodowany rzeczywistym atakiem false positive fałszywy alarm false negative niewykrycie ataku true negative brak ataku i alarmu

Fałszywe alarmy Zbyt czuły system powoduje zgłaszanie wielu fałszywych alarmów. Zbyt duży poziom fałszywych alrmów zmniejsza czujność obsługi. Serwery balansujące obciążenie testują dystans do klienta i mogą być przyczyną fałszywych alarmów. Dynamiczne przydzielanie adresów IP powoduje, że możemy otrzymać adres użytkownika, który źle się zachowywał w sieci. Wyzwaniem jest utrzymanie niskiego poziomu fałszywych alarmów (ang. false positive rate).

Systemy wykrywania intruzów Sieciowe, NIDS (ang. network-based intrusion-detection system) czujniki umieszczane w istotnych węzłach sieci, często w strefie zdemilitaryzowanej (ang. DMZ) lub na granicy administrowanej sieci; monitorują sieć w poszukiwaniu złośliwego ruchu; platforma sprzętowa niezależna od reszty infrastruktury sieciowej. Lokalne HIDS (ang. host-based intrusion detection system) programowe agenty (ang. software agent) instalowane na monitorowanych maszynach; monitorują i zapisują zdarzenia systemowe (wywołania funkcji systemu operacyjnego, modyfikacje plików systemowych).

Systemy wykrywania intruzów, cd. Pasywne (ang. passive) wykrywają potencjalne naruszenia bezpieczeństwa; protokołują zebrane informacje; zgłaszają alarmy użytkownikom i obsłudze. Reaktywne (ang. reactive) nazywane są również systemami ochrony przed intruzami, IPS (ang. intrusion prevention system); reagują na podejrzaną aktywność przez zrywanie połączeń, zmianę reguł scian ogniowych, aby zablokować ruch z podejrzanego złośliwego źródła; mogą podejmować działania automatycznie lub na polecenie operatora.

Systemy wykrywania intruzów a ściany ogniowe Ściana ogniowa obserwuje ruch, aby zapobiec ingerencji pochodzącej z zewnątrz. Ściana ogniowa ogranicza ruch między sieciami i nie sygnalizuje ataków mających miejsce wewnątrz sieci. System wykrywania intruzów nie zapobiega atakom, a tylko sygnalizuje fakt ich wystąpienia. System wykrywania intruzów obserwuje również ataki mające miejsce wewnątrz sieci. Reaktywny system wykrywania intruzów, nazywany systemem ochrony przed intruzami (ang. IPS), jest inną formą aplikacyjnej ściany ogniowej. Systemy hybrydowe (ang. IPDS) łączą funkcjonalność wykrywania i zapobiegania.

Przynęty Garnek miodu (ang. honeypot) Monitorowana pułapka w sieci, symulująca usługi sieciowe. Odwraca uwagę atakującego od bardziej dla nas wartościowych maszyn w sieci. Umożliwia wczesne ostrzeganie o rozpoczynającym się ataku. Umożliwia szczegółową analizę ataku.

Przynęty, cd. Smolista dziura (ang. tar pit) Szczególnie lepka pułapka Wpuszcza agresora i przetrzymuje go. Spowalnia działanie agresora i daje czas na reakcję.

Intruzy złośliwe oprogramowanie Wymagające programu gospodarza i nierozmnażające się boczne wejście tajne, nie opisane w dokumentacji wejście do programu, pozwalające na uzyskanie dostępu z pominięciem normalnych procedur uwierzytelniania bomba logiczna fragment programu uaktywniający złośliwe działania po spełnieniu określonych warunków koń trojański tajna, nie opisana w dokumentacji procedura zawarta w użytecznym programie Wymagające programu gospodarza i rozmnażające się wirus kod powodujący wstawienie samego siebie do innego programu, często przenoszący też złośliwy kod zawierający np. bombę logiczną lub konia trojańskiego Niezależne i rozmnażające się bakteria samopowielający się program, zużywający zasoby systemu robak (ang. worm) program powielający się i wysyłający swoje kopie za pośrednictwem połączeń sieciowych, najczęściej przenoszący też złośliwy kod zawierający np. bombę logiczną lub konia trojańskiego

Boczne wejście Pozwala uzyskać dostęp z pominięciem zwykłych procedur kontroli dostępu. Często tworzone przez programistów w celu ułatwienia testowania i usuwania błędów. Tworzone, aby istniała metoda uruchomienia programu, gdy zawiedzie procedura uwierzytelniająca.

Bomba logiczna Kod zawarty w legalnym programie, który może eksplodować w określonych warunkach. Bomba logiczna może np. wybuchnąć, gdy nazwisko programisty nie pojawi się na dwóch kolejnych listach płac.

Koń trojański Koń trojański może mieć postać użytecznego lub pozornie użytecznego programu, lub polecenia, zawierającego ukryty kod, który wykonuje niepożądaną lub złośliwą czynność. Służy do pośredniego wykonania funkcji, która nie może zostać wykonana bezpośrednio przez niepowołanego użytkownika. Trudnym do wykrycia miejscem ukrycia konia trojańskiego może być kompilator lub interpretator poleceń.

Wirus Pasożytniczy dołączający się do plików wykonywalnych, powielający się podczas wykonywania zainfekowanego programu Rezydentny umieszcza się w pamięci operacyjnej jako część jakiegoś programu systemowego Sektora ładowania zaraża program ładujący system operacyjny Tajny potrafiący ukrywać swoją obecność, np. przejmując procedurę obsługi dysku, dostarcza oryginalny niezarażony kod programu Polimorficzny mutujący, utrudniający wykrycie za pomocą sygnatury

Bakteria Jej głównym celem jest powielanie się. W zasadzie nie niszczy plików. Powielając się wykładniczo, szybko zajmuje całe zasoby systemu.

Robak Przegląda pliki systemowe i użytkownika w celu odszukania innych komputerów pracujących w sieci. Próbuje połączyć się z innymi komputerami jako legalny użytkownik. Próbuje ataku słownikowego, aby odkryć hasło. Uzyskawszy dostęp do innego komputera, uruchamia na nim swoją kopię. Wykorzystuje luki w usłudze dostarczania poczty, aby przenieść się na inny komputer.

Metody walki Proste skanery do rozpoznania wirusa (bakterii, robaka,... ) potrzebują jego sygnatury; mogą wykrywać tylko znane wirusy; niektóre sprawdzają, czy długości plików nie uległy zmianie. Skanery heurystyczne szukają fragmentów kodu, które często wchodzą w skład wirusów (pętla deszyfrująca wirusa, kod samomodyfikujący się); sprawdzają za pomocą funkcji haszującej, czy programy nie zostały zarażone. Wychwytywanie aktywności programy rezydentne, rozpoznające wirusy na podstawie ich działalności; wychwytują i blokują aktywności związane z próbami zarażenia. Pełna ochrona pakiety integrujące wiele technik antywirusowych.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres