ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń. Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl Zespół Bezpieczeństwa PCSS http://security.psnc.pl Podziękowania:Gerard Frankowski, Jarosław Saiko, BłaŜej Miga 1
Partnerzy: Centrum Innowacji Microsoft Corporation Microsoft Pierwsze w Polsce MIC Poznańskie Centrum Superkomputerowo-Sieciowe Politechnika Poznańska Centrum bezpieczeństwa i usług outsourcingowych Otwarcie: 1.06.2006r. 2
Cele i zadania MIC Wybrane cele MIC: Edukacja poprzez zdalne udostępnianie aplikacji MS Szybszy rozwój lokalnych firm (MŚP) poprzez doradztwo w zakresie podnoszenia poziomu bezpieczeństwa teleinformatycznego, audyty oraz szkolenia Poprawa dostępu i jakości usług medycznych w Wlkp. Łatwy i bezpieczny dostęp do e-usług w urzędach Główne zadania MIC w roku 2007: Zdalne udostępnianie aplikacji Microsoft w polskim środowisku edukacyjnym Audyty bezpieczeństwa usług i aplikacji Szkolenia z zakresu bezpieczeństwa komputerowego Badania technologii multimedialnych Bezpieczne telekonsultacje medyczne wraz ze wspomaganiem decyzji 3
Program szkoleń dot. bezpieczeństwa w MIC Pozostałe szkolenia bezpieczeństwa w roku 2007: Wrzesień / październik 2007: Migracja z serwera WWW Apache httpd do Microsoft IIS Grudzień 2007: Tworzenie bezpiecznego oprogramowania w systemach Microsoft Windows Patrz równieŝ: http://mic.psnc.pl/tasks/lect.html http://szkolenia.man.poznan.pl/kdm 4
Zespół Bezpieczeństwa PCSS praca nad zapewnieniem bezpieczeństwa audyty bezpieczeństwa teleinformatycznego udział w projektach badania i rozwój 5
Agenda ZagroŜenia w sieciach Zabezpieczenia przed zagroŝeniami Bezpieczeństwo organizacji 6
ZagroŜenia w sieciach System komputerowy System komputerowy to pojedynczy komputer lub ich grupa połączona siecią komputerową. 7
ZagroŜenia w sieciach Internet jest siecią globalną 8
ZagroŜenia w sieciach Typowy napastnik? wirus, robak,inne złośliwe oprogramowanie (statystycznie) groźnego dla korporacji nastolatek (mit) zorganizowane grupy przestępcze zagroŝenie od pracowników (z wnętrza sieci lokalnej) 9
ZagroŜenia w sieciach Kilka przykładowych typów ataków KradzieŜ danych KradzieŜ toŝsamości KradzieŜ zasobów Phishing, pharming Kompromitacja wizerunku DoS, DDoS Niechciana poczta 10
ZagroŜenia w sieciach KradzieŜ danych 11
ZagroŜenia w sieciach KradzieŜ toŝsamości Ukraść toŝsamość w świecie wirtualnym moŝna przy znacznie mniejszych kosztach niŝ w świecie rzeczywistym. 12
ZagroŜenia w sieciach KradzieŜ zasobów JeŜeli celem napastnika nie są nasze dane to moŝe to być moc obliczeniowa komputera. Niewielka moc z jednego komputera pomnoŝona przez tysiące komputerów daje moc duŝą. 13
ZagroŜenia w sieciach Phishing, pharming Metoda na rybkę czyli phishing polega na zastawieniu pułapki np. fałszywej strony www - i umiejętnym dostarczeniu przynęty. Pharming to taki phishing tylko, Ŝe siecią rybacką. 14
ZagroŜenia w sieciach Ataki Man-In-The- Middle Atak typuman-in-themiddle (MITM) jest sytuacją, w której pomiędzy dwie strony połączenia ingeruje strona trzecia atakujący 15
ZagroŜenia w sieciach Kompromitacja wizerunku Korzystając ze słabości w zabezpieczeniach (braku zabezpieczeń) napastnik podmienia lub modyfikuje treść witryny internetowej kompromitując wizerunek firmy/organizacji. 16
ZagroŜenia w sieciach Atak DoS/DDoS Jest to sytuacja, w której system z powodu niewystarczających zasobów nie jest w stanie obsługiwać legitymizowanych Ŝądań obsługi. Niekoniecznie na skutek ataku. 17
ZagroŜenia w sieciach Niechciana poczta - SPAM Szacuje się, Ŝe koszty jakie ponosi biznes na całym świecie związane ze SPAMem to dziesiątki miliardów dolarów rocznie. 18
ZagroŜenia w sieciach InŜynieria Społeczna...inŜynier społeczny jest w stanie uzyskać od człowieka informacje z uŝyciem lub bez uŝycia technologii... Kevin Mitnick 19
ZagroŜenia w sieciach InŜynierowie społeczni... Politycy, aktorzy, handlowcy, prawnicy, szpiedzy, hakerzy, itd... 20
ZagroŜenia w sieciach Złośliwe oprogramowanie Spyware, adware, trojany, wirusy, robaki, adware, malware, keyloggery, exploity, etc... 21
ZagroŜenia w sieciach Złośliwe oprogramowanie Złośliwe oprogramowanie to przede wszystkim oprogramowanie. Na pierwszy rzut oka moŝe wyglądać niegroźnie. 22
ZagroŜenia w sieciach Dostęp bezprzewodowy Sieci bezprzewodowe 802.11 Urządzenia Bluetooth 23
ZagroŜenia w sieciach ZagroŜenia w sieciach bezprzewodowych Poufność danych Ingerencja w dane Identyfikacja węzłów sieci Podatność na zakłócenia 24
ZagroŜenia w sieciach Komunikacja w sieci Tekstowe komunikatory internetowe Poczta elektroniczna Usługi transmisji Audio i Video 25
ZagroŜenia w sieciach ZagroŜenia dla komunikacji w sieci Podsłuch danych Ingerencja w dane Problem z identyfikacją drugiej strony 26
ZagroŜenia w sieciach Bezpieczeństwo fizyczne 27
Zabezpieczenia 28
Zabezpieczenia Po pierwsze, aktualizacje http://www.windowsupdate.com (tylko MSIE) 29
Zabezpieczenia NaleŜyta konfiguracja 30
Zabezpieczenia Bezpieczne hasła Jakie hasła są złe? Hasło: najpopularniejszy sposób ochrony Puste / krótkie Takie, jak nazwa konta test, haslo, qwerty,... Imię psa, data urodzenia,... Istniejące słowo Jedno hasło do wielu kont Jakie hasła są dobre? Takie, które uŝytkownik będzie w stanie stosować Przykład: Bss 3_Atnmi. 31
Zabezpieczenia Chronimy nazwę konta Naczelna zasada: nie ujawniać zbędnych danych Start / Ustawienia / Panel sterowania / Konta uŝytkowników 32
Zabezpieczenia Specjalistyczne aplikacje Programy antywirusowe Ściany ogniowe (firewalle) Oprogramowanie antyspyware Programy porządkujące system Systemy IDS/IPS Antyspam, Anty-phishing, Anty-rootkit... 33
Zabezpieczenia Kryptografia Ochrona transmisji Ochrona danych składowanych Nie wolno wymyślać własnych szyfrów, protokołów połączeń,... 34
Zabezpieczenia Kopie zapasowe Dlaczego potrzebna jest kopia zapasowa? Kopie naleŝy testować!!! Przechowywać w odrębnej lokalizacji 35
Zabezpieczenia Usuwamy dane To nie wystarczy To teŝ nie Całkowita pewność 36
Bezpieczeństwo organizacji Za brak jakości się płaci, za brak bezpieczeństwa się siedzi 37
Bezpieczeństwo Organizacji Wymogi formalne Ustawa z dnia 22 stycznia 1999 o Ochronie Informacji Niejawnych (Dz.U.1999.11.95) Ustawa z dnia 29 sierpnia 1997 r. o Ochronie Danych Osobowych (Dz.U.1997.133.883) Tajemnica Zawodowa 38
Bezpieczeństwo Organizacji Prawdy o bezpieczeństwie Nie naleŝy oszczędzać na bezpieczeństwie Nie ma bezpieczeństwa absolutnego Ryzyko zawsze istnieje. Trzeba potrafić nim zarządzać. 39
Bezpieczeństwo Organizacji Polityka bezpieczeństwa 40
Bezpieczeństwo Organizacji Bezpieczeństwo Poufność Integralność Dostępność 41
Bezpieczeństwo Organizacji Poufność informacji 42
Bezpieczeństwo Organizacji Integralność informacji 43
Bezpieczeństwo Organizacji Dostępność informacji 44
Bezpieczeństwo Organizacji Audyt Audyt to weryfikacja zgodności stanu istniejącego ze stanem poŝądanym Audyt to nie kontrola, która ma znaleźć winnych Audyt to działania zmierzające do wspomagania firmy, a nie spowodowania strat 45
Bezpieczeństwo Organizacji Pomoc Normy (np. PN-ISO2700x) Metodologie (np. TISM) Projekty (np. OWASP) 46
Pytania...? 47
Dziękuję za uwagę Tomasz Nowocień nowocien@man.poznan.pl Centrum Innowacji Microsoft http://mic.psnc.pl PSNC Security Team http://security.psnc.pl security@man.poznan.pl 48