Transcript sieci14
14. PODSTAWOWE POJĘCIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI KOMPUTEROWYCH Pojęcia bezpieczeństwa danych, bezpieczeństwa systemów komputerowych i bezpieczeństwa sieci komputerowych są ze sobą ściśle związane. Zasadniczym celem jest zapewnienie bezpieczeństwa danych. Systemy komputerowe powinny być bezpieczne, gdyż zawierają w sobie zapisane dane (służą do ich zapamiętywania, udostępniania i modyfikacji). Sieci komputerowe powinny być bezpieczne, gdyż zawierają w sobie systemy komputerowe (umożliwiają zdalny dostęp do ich zasobów). Fizyczna struktura (sprzęt) systemów i sieci komputerowych również posiada pewną wartość i oczywiście też powinna być chroniona, ale na ogół wartość ta jest niewspółmiernie niska w stosunku do wartości przechowywanej informacji. Według B. Chapman’a zagrożenia danych dzielimy na następujące kategorie: zagrożenia poufności danych; zagrożenia dostępności danych; zagrożenia spójności (integralności) danych. Przez zagrożenie poufności danych rozumiemy możliwość zapoznania się z danymi (zapisanymi w pamięci operacyjnej lub pamięci zewnętrznej komputera) przez osoby, które nie zostały uprawnione do tego (bezpośrednio lub pośrednio) przez właściciela danych. Przez zagrożenie dostępności danych rozumiemy utrudnienie bądź uniemożliwienie dostępu do danych (w sensie ich odczytu, modyfikacji lub usunięcia) właścicielowi danych oraz osobom przez niego upoważnionym. Przez zagrożenie spójności danych rozumiemy możliwość zmiany zapisanych danych (w szczególności ich usunięcia) przez osoby, które nie zostały uprawnione do tego (bezpośrednio lub pośrednio) przez właściciela danych. Przez bezpieczeństwo danych rozumiemy brak występowania któregokolwiek z wyżej wymienionych zagrożeń. Przez bezpieczeństwo systemów (sieci) komputerowych rozumiemy brak zagrożeń prawidłowego spełniania swoich funkcji przez te systemy (sieci), a tym samym brak zagrożeń przechowywanych w nich danych. Pod przedstawionymi wyżej, bardzo ogólnymi, formalno-prawnymi określeniami zagrożeń kryje się w praktyce bardzo dużo różnorodnych możliwości – od przypadkowego spojrzenia na ekran, przez świadomy podsłuch lub podgląd, usunięcie plików na dysku, nielegalne skopiowanie programu, odczytywanie cudzej korespondencji elektronicznej, zmianę zawartości cudzej strony domowej, aż do fałszerstwa danych finansowych (czyli kradzieży pieniędzy), zawładnięcia cudzym systemem operacyjnym w celu przeprowadzenia przy jego użyciu ataku na inny system, czy programowego uszkodzenia sprzętu komputerowego. Według szacunkowych danych, w skali całego świata suma rocznych strat wskutek przestępczości elektronicznej jest rzędu miliardów dolarów (i ma tendencję wzrostową). Stopień zagrożenia systemu komputerowego jest ściśle związany z jego możliwościami komunikowania się z otoczeniem. 1) Komputer indywidualny nie podłączony do sieci (obecnie to już jest bardzo rzadki przypadek) na ogół jest używany przez jedną osobę, lub co najwyżej przez kilka osób, z których zwykle jedna pełni rolę nadzorcy (administratora). Stopień zagrożenia jest bardzo mały, gdyż można przyjąć, że użytkownicy znają się wzajemnie, i że możliwe są co najwyżej nieumyślne uszkodzenia. 2) Komputer podłączony do sieci lokalnej nie mającej połączenia z siecią zewnętrzną (to również jest dość rzadki przypadek) zagrożony jest w niedużym stopniu, gdyż zbiór użytkowników sieci lokalnej jest ograniczony i w całości znany administratorowi tej sieci (bo zakładał im wszystkim konta). Zagrożenia związane są głównie z brakiem umiejętności i staranności użytkowników, a nie z ich złą wolą (złośliwi użytkownicy na ogół są szybko wykrywani przez administratora sieci). Sytuacja jest najtrudniejsza w przypadku: a) dużych i szybko wymieniających się grup użytkowników (na przykład na uczelniach); b) udostępniania w ramach sieci lokalnej łączności bezprzewodowej. 3) Komputer podłączony do sieci komunikującej się z siecią zewnętrzną (Internetem) jest narażony przez cały czas na ataki o bardzo rozmaitym charakterze, co jest związane z bardzo dużą liczbą i anonimowością użytkowników Internetu oraz brakiem scentralizowanego zarządzania jego zasobami. Komputer może stać się celem ataku nie tylko z powodu czyjejś ukierunkowanej wrogości, ale również w przypadku przeprowadzania przy jego użyciu ataku pośredniego na inny komputer. Uwaga Wbrew temu, co mogłyby sugerować punkty 2) i 3), statystyki podają, że ataki wewnętrzne (mające źródło w atakowanej sieci lokalnej) stanowią większą część wszystkich ataków (ponad 60 %). Są one (i ich sprawcy) zazwyczaj łatwiejsze do wykrycia, niż ataki zewnętrzne (spoza sieci lokalnej), ale również są w stanie spowodować wiele szkód. Typowym przypadkiem jest przeprowadzanie ich przez pracowników, którzy z jakiegoś powodu czują się niesprawiedliwie potraktowani (na przykład zwalniani z pracy bez wyraźnego powodu) i którym przestało już zależeć na opinii współpracowników. W przypadku komputerów podłączonych do sieci zagrożenia można podzielić na dwa rodzaje w zależności od miejsca ich występowania: 1) związane z przepływem informacji przez sieć od nadawcy do odbiorcy; 2) związane z uzyskaniem zdalnego dostępu do komputera przez osoby niepowołane. Przykłady zagrożeń pierwszego rodzaju: – możliwość podsłuchu informacji w celu późniejszego wykorzystania; – możliwość wysyłania fałszywych informacji w cudzym imieniu; – możliwość zajmowania przepustowości łącza (na różnych poziomach stosu protokołów komunikacyjnych). Skuteczną metodą zapobiegania podsłuchowi jest szyfrowanie przesyłanej informacji. Duże znaczenie ma oczywiście jakość stosowanego szyfrowania – słabe szyfry mogą być złamane „metodami siłowymi” przy użyciu sprzętu o dużej mocy obliczeniowej. Warto wspomnieć, że prawodawstwo niektórych krajów zabrania stosowania zbyt mocnych szyfrów – powinny one być na tyle mocne, aby uniemożliwić podsłuch przestępcom, ale nie na tyle mocne, żeby nie mogły być złamane (w razie potrzeby) przez policję i służby specjalne. Wysyłanie fałszywych informacji w cudzym imieniu jest istotnym problemem społeczno-prawnym nie tylko w dziedzinie sieci komputerowych (można wysłać papierowy list podpisany cudzym imieniem i nazwiskiem lub zamówić przez telefon dostawę towaru pod cudzy adres). Problem w dużej mierze związany jest z łatwowiernością ludzką i brakiem przywiązywania należytej wagi do potrzeby uwierzytelnienia. W dziedzinie sieci komputerowych nadużycia tego rodzaju mogą występować we wszystkich warstwach stosu protokołów komunikacyjnych – od wysyłania ramek z cudzym adresem fizycznym (MAC) do wysyłania poczty elektronicznej ze sfałszowanym adresem nadawcy. Zajmowanie przepustowości kanału komunikacyjnego również należy do trudnych problemów. Jeżeli udaje się znaleźć źródło niepożądanych jednostek informacji (ramek, pakietów, e-maili), należy próbować interwencji u administratora sieci, z której pochodzą (może to być problemem, jeśli jest ona umieszczona w jakimś egzotycznym kraju). W większości przypadków jednak owe jednostki informacji mają sfałszowane adresy nadawców (atakującemu nie zależy na otrzymaniu odpowiedzi na nie). Zdecydowanie najtrudniejsza jest obrona przed atakiem rozproszonym (prowadzonym przy użyciu wielu opanowanych wcześniej przez przestępców systemów komputerowych). Jeżeli chodzi o punkt 2) (uzyskanie zdalnego dostępu do komputera), możliwość wyrządzenia szkody związana jest z utworzeniem procesu (lub zmodyfikowaniem istniejącego procesu) w atakowanym komputerze tak, aby wykonywał on program dostarczony przez atakującego (lub odpowiednio uruchomiony istniejący w nim program, na przykład polecenie systemowe z odpowiednimi argumentami). Najbardziej pożądane przez atakujących jest posiadanie procesu wykonywanego jako uprzywilejowanego (z prawami administratora systemu). Warto zauważyć, że dla atakującego nie posiadającego konta na danym komputerze zazwyczaj dużo trudniej jest tam w ogóle dostać się (w charakterze dowolnego użytkownika), niż przejść później do praw administratora (wynika to z tego, że systemy operacyjne na ogół są dużo gorzej chronione przed swoimi zarejestrowanymi użytkownikami, niż przed atakami z zewnątrz). Przykładowe sposoby dokonania włamania do systemu operacyjnego: – podpatrzenie, podsłuchanie lub odgadnięcie hasła jednego z zarejestrowanych użytkowników; – przysłanie „konia trojańskiego” w poczcie elektronicznej; – wykorzystanie błędów w funkcjonującym oprogramowaniu komunikacyjnym (najczęściej sprowadza się to do przepełnienia jakiegoś bufora w pamięci); – wykorzystanie ukrytych „tylnych drzwi” umieszczonych w sprzedawanym lub udostępnianym za darmo oprogramowaniu przez jego wytwórcę. 2. DOKUMENTY I AKTY PRAWNE DOTYCZĄCE BEZPIECZEŃSTWA SYSTEMÓW I SIECI KOMPUTEROWYCH W 1983 r. z inicjatywy Agencji Bezpieczeństwa Narodowego Departamentu Obrony USA oraz Narodowego Biura Standaryzacji powstał dokument o nazwie Trusted Computer System Evaluation Criteria (TCSEC), znany powszechnie jako Orange Book (Pomarańczowa Księga) od koloru jego okładki. Był on pierwszym powszechnie znanym i uznawanym dokumentem określającym kryteria oceny bezpieczeństwa systemów komputerowych. Wyróżniał następujące klasy bezpieczeństwa: D - ochrona minimalna (Minimal Protection) C1 - ochrona uznaniowa (Discretionary Protection) C2 - ochrona z kontrolą dostępu (Controlled Access Protection) B1 - ochrona z etykietowaniem (Labeled Security Protection) B2 - ochrona strukturalna (Structured Protection) B3 - ochrona przez podział (Security Domains) A1 - konstrukcja zweryfikowana (Verified Design) Po kilku latach Pomarańczowa Księga została zaktualizowana, a następnie zastąpiona przez dokument o nazwie Common Criteria (Wspólne Kryteria), który został zaakceptowany jako standard międzynarodowy (norma ISO/IEC o numerze 15408). Dokument ten określa procedury pozwalające zdefiniować rodzaje zagrożeń dla danego systemu oraz sposoby zabezpieczeń przed nimi, jak również tryb sprawdzenia faktycznego działania zabezpieczeń w danym systemie. Wynikiem przeprowadzenia sprawdzenia zabezpieczeń przez akredytowaną firmę jest wydanie odpowiedniego certyfikatu – w zależności od stopnia szczegółowości (Evaluation Assurance Level) wyróżnione są stopnie od EAL1 do EAL7. W Europie prace nad standaryzacją zabezpieczeń informacji były prowadzone przez British Standardization Institute (BSI), który w 1995 r. wydał Brytyjską Normę nr 7799 („BS 7799, Information technology – Code of practice for information security management”). W 2000 r. ISO przy współudziale organizacji IEC (International Electrotechnical Commitee) wydała na jej podstawie normę ISO/IEC 17799:2000, która w kolejnych latach była kilkukrotnie aktualizowana . W Polsce normy ISO/IEC są adaptowane i wydawane w języku polskim (dostęp do nich jest płatny) przez Polski Komitet Normalizacyjny. Mają one oznaczenia PN - ISO/IEC – numer : rok . Bezpieczeństwa informacji w systemach komputerowych dotyczą również niektóre dokumenty RFC wydawane przez organizację IETF (Internet Engineering Task Force), w szczególności RFC 2196 (B. Fraser, Site Security Handbook). Dokument ten przedstawia metodykę projektowania systemu zabezpieczeń na podstawie analizy ryzyka (inwestycja w zabezpieczenia nie powinna przekraczać średniej oczekiwanej straty w przypadku ich braku): – identyfikacja zasobów informatycznych (i ich wartości) podlegających ochronie; – ustalenie możliwych zagrożeń i oszacowanie ich prawdopodobieństwa; – wdrożenie systemu zabezpieczeń w sposób efektywny kosztowo; – monitorowanie działania i ewentualne korekty w sytuacji pojawienia się zagrożeń. Zarówno zaprojektowanie, jak i okresowy audyt systemu zabezpieczeń firma może wykonywać sama, lub zlecić wyspecjalizowanej (i zaufanej) firmie zewnętrznej. Podstawowe akty prawne obowiązujące w Polsce i dotyczące informacji zapisanej w formie elektronicznej to: – Rozporządzenie MSWiA w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, Dz. U. z dn. 3 czerwca 1998 r. – Rozporządzenie Prezesa Rady Ministrów w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych, Dz. U. z dn. 5 marca 1999 r. – Ustawa o ochronie danych osobowych, Dz. U. z dn. 29 sierpnia 1997 r. – Ustawa o ochronie informacji niejawnych, Dz. U. z dn. 8 lutego 1999 r. – Ustawa o świadczeniu usług drogą elektroniczną, Dz. U. z dn. 18 lipca 2002 r. oraz Dyrektywy Parlamentu Europejskiego z lat od 1995 r. do chwili obecnej. Naruszenie bezpieczeństwa danych jest przestępstwem. Odnoszą się do tego artykuły rozdziału XXXIII Kodeksu Karnego (Przestępstwa przeciwko ochronie informacji), w szczególności zaś artykuły 267, 268 i 269. Ściganie sprawców następuje na wniosek pokrzywdzonego. Przewidziane kary – do 8 lat pozbawienia wolności.