Počítačová bezpečnost 3. Bezpečnostní rizika © Milan Keršlágerhttp://www.pslib.cz/ke/slajdy Obsah: ●

Slides:



Advertisements
Podobné prezentace
Bezpečný digitální podpis v praxi
Advertisements

© 2000 VEMA počítače a projektování spol. s r. o..
Monitorovací systém Asistent
Počítačové viry.
SOFTWARE operační systémy
Přednáška č. 5 Proces návrhu databáze
Metody zabezpečení IS „Úplná struktura informační koncepce (IK) “ § 5a novely zákona č. 365/2000 Sb., o informačních systémech veřejné správy (ISVS), provedené.
Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.
ZMVŠ. Bezpečnost Windows 8 Dynamic Access Control (DAC) Volně – Dynamický kontrolní přístup) rozšíření NTFS access control listů (ACL) o složitá pravidla.
Small Business PC: Windows Vista Business and Microsoft Office Professional 2007 Jméno prezentátora Datum.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Daniel Kardoš Ing. Daniel Kardoš
Pravidelné zálohování dat
Počítačová bezpečnost
Návrh počítačové sítě malé firmy
Bezpečnostní pravidla při používání počítače a internetu
Ochrana aktiv v malé firmě Bakalářská práce Pavel Šnajdr – Aplikovaná informatika.
Elektronický podpis a jeho dlouhodobé slabiny Jiří Nápravník
Název a adresa školy Střední škola zemědělská a přírodovědná Rožnov pod Radhoštěm nábřeží Dukelských Hrdinů Rožnov pod Radhoštěm Název operačního.
Zavádění a údržba informačních systémů
Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě.
ISMS VE STÁTNÍ SPRÁVĚ A SAMOSPRÁVĚ
INFORMATIKA 4_5 5. TÝDEN HODINA.
JAK UČIT OCHRANU POČÍTAČE Vypracoval: Martin Rais P03466 Předmět:KVD/DIDI2 Studijní program: MT - VT - ZŠ Akademický rok: 2006/2007 Datum:
Zranitelnost informačního systému
Název: Zabezpečení PC a ochrana před škodlivými kódy
Lokální počítačové sítě Novell Netware Ing. Zdeněk Votruba Technická fakulta ČZU Laboratoř výpočetních aplikací.
Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou I NFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jan Roubíček.
Petr Krčmář Vzdálený přístup k firemní síti (bezpečně)
Bezpečnostní pravidla při používání internetu
IBM Global Services Ing. Stanislav Bíža, Senior IT Architect, CISA © 2005 IBM Corporation Rizika napadení webových aplikací Konference ISSS 2005 Title.
Copyright (C) 1999 VEMA počítače a projektování, spol. s r.o.
OCHRANA DAT – JEDNODUŠE A ZCELA BEZPEČNĚ! T-Soft s.r.o. Mgr.Pavel Hejl, CSc.,
ICT – Informační a komunikační technologie Ing. Libor Měsíček, Ph.D. CN460
Ochrana síťového prostoru malé firmy Plošné útoky, rizika & řešení Jaroslav Šeps, ŠETRnet s.r.o.
počítačová BEZPEČNOST
Studentská PARDUBICE Implementace MIIS na Univerzitě Pardubice Petr Švec, Univerzita Pardubice.
BEZPEČNOSTNÍ PRAVIDLA PŘI POUŽÍVÁNÍ PC A INTERNETU
Blíží se datové schránky,. aneb „Nepropadejte panice!“
Bezpečnostní politika
1. 2 Zabezpečená mobilní komunikace 3 Private Circle chrání Vaši komunikaci před odposlechem či narušením. Jedná se o komplexní řešení pro zabezpečení.
Počítačové viry Michael Čambor 7.A říjen 2010.
MALWARE Malware je počítačový program určený k poškození nebo vniknutí do počítačového systému. Výraz malware vznikl složením anglických slov „malicious“
Internet. je celosvětový systém navzájem propojených počítačových sítí („síť sítí“), ve kterých mezi sebou počítače komunikují pomocí rodiny protokolů.
1 MOBILNÍ ZAŘÍZENÍ V PODNIKOVÝCH SÍTÍCH Petr Janda, ICZ a. s
Číslo projektuCZ.1.07/1.5.00/ Název školyGymnázium, Soběslav, Dr. Edvarda Beneše 449/II Kód materiáluVY_62_INOVACE_21_14 Název materiáluPřímé bankovnictví.
28. května DISKUTOVANÉ TECHNOLOGIE Řízení přístupu do sítí Nástroje pro zvýšení bezpečnosti a zjednodušení správy 4. června.
Zálohování dat. Zálohování dat (podle CHIP) důvody zálohování – problémy HW, SFTW, viry, chyby uživatele, viry, hackeři, přírodní katastrofy, krádeže.
Název školy Střední škola, Základní škola a Mateřská škola, Karviná, p. o. Autor Mgr. Lubomír Stepek Anotace Prezence slouží k seznámení se zásadami bezpečné.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Počítačová bezpečnost 3. Bezpečnostní rizika © Milan Keršláger
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Počítačová bezpečnostPočítačová bezpečnost -je obor informatiky, který se zabývá zabezpečením informací v počítačích (odhalení a zmenšení rizik spojených.
Číslo projektuCZ.1.07/ / Název školySOU a ZŠ Planá, Kostelní 129, Planá Vzdělávací oblastVzdělávání v informačních a komunikačních technologiích.
Bezpečnostní technologie I
Inf Bezpečný počítač.
Počítačové systémy 8. Počítačová bezpečnost
9. Bezpečnostní pravidla při používání počítače a internetu
Bezpečnost dat.
Financováno z ESF a státního rozpočtu ČR.
VY_32_INOVACE_1/20A-ICT/PE/ON
BEZPEČNOSTNÍ RIZIKA INTERNETU
Vlastnosti souborů Jaroslava Černá.
BEZPEČNOST NA KONTAKTNÍCH MÍSTECH Czech POINT
Identity management v UIS
Číslo projektu školy CZ.1.07/1.5.00/
Bezpečnost práce s dokumenty
Web Application Scanning
Elektronický (digitální) podpis
Bezpečnostní souvislosti v NIX-ZD
Transkript prezentace:

Počítačová bezpečnost 3. Bezpečnostní rizika © Milan Keršlágerhttp:// Obsah: ● závady v software a jejich klasifikace ● exploit, útok ● bezpečnostní riziko, zabezpečení systému ● security through obscurity ● sociální inženýrství, hesla, zálohování

Identifikace hrozeb ● podle původu: ● přírodního původu, technické selhání ● lidská chyba, hacking, sabotáž ● podle cíle: ● software → způsobené chybami v software ● lidské zdroje → sociální inženýrství ● technické prostředky → fyzické narušení systému – nebudeme řešit, protože se nakonec skončí u software

Vznik závady v software 1) při návrhu ● chybně navržený nebo vybraný program či OS 2) při implementaci ● programátorská chyba způsobí zranitelnost ● program využívající zranitelnost je exploit 3) při provozu ● špatná implementace či nastavení ● typicky chyba obsluhy počítačového systému

Programátorská chyba ● opomenutí kontroly, logická chyba, překlep, … ● nebezpečné u nedůvěryhodných vstupů – např. data přicházející z počítačové sítě, Internetu – webový prohlížeč, ový klient, … ● často u složitých implementací – RPC → sdílení souborů v síti – SMB (!), NFS – síťové servery (Apache + PHP), ostatní (Skype, Flash...) ● použití nebezpečných funkcí ● například strcpy() & spol. v jazyce C – jde o systematickou chybu (chybný přístup k řešení) – existují „příručky bezpečného programování“

Zranitelnost ● způsobeno programátorskou chybou ● děláme audity → ověřování bezpečnosti ● audit použitých zdrojových kódů – dělá se těžko u uzavřeného kódu (typicky komerčního) – certifikace systému podle nějaké specifikace ● většinou čistě formální záležitost (nižší úrovně) ● význam má u specializovaných systémů (OpenVMS) ● penetrační testy se typicky nedělají ● audit funkce a nastavení systému – přidělená oprávnění musí být vždy minimální nutná ● zaznamenáváme a analyzujeme činnost systému – standardní logy, audit log, forenzní analýza

Klasifikace zranitelností ● není celosvětově jednotné ● každý softwarový dům podle svého – Red Hat a Microsoft mají stejné názvy ☺ ● obecně tři úrovně: 1) ohrožení na úrovni uživatele – chyba v programu (krádež, poškození dat,...) 2) zvýšení oprávnění lokálního uživatele – uživatel (proces) se stane správcem 3) vzdálený přístup do systému – přístup neautorizovaného uživatele (přes síť)

Red Hat Linux & MS Windows 1) low ● zneužití je obtížné nebo je dopad minimální 2) moderate ● zneužití je zmírněno implicitním nastavením, obtížností, auditováním (záznamem operací) 3) important ● ohrožení uživatelských dat nebo syst. prostředků 4) critical ● ohrožení síťovým červem bez účasti uživatele

Databáze zranitelností ● CVE (Common Vulnerabilities and Exposures) ● MITRE Corporation, finance od organizací USA ● každý případ má svůj identifikátor ● NVD NIST – vláda USA ● CERT (Computer emergency response team) ● Carnegie Mellon University, USA ● bezpečnostní problémy Internetu ● národní organizace (Evropa, Brazílie, Indie, …)

Exploit ● konkrétní využití zranitelnosti ● typicky specializovaná aplikace – snadno dostupné pro starší zranitelnosti (Internet) – problém toho, že exploit má náskok před aktualizací ● black hat (to jsou ti zlí), white hat (to jsou ti hodní) ● často ve formě skriptu pro masivní útok – necílený útok, hledáme zranitelný počítač, službu – následuje snaha o elevaci (zvýšení) oprávnění ● nejdřív se dostane do počítače, pak se stane správcem systému ● forma exploitu ● remote explotit → ze sítě – nejnebezpečnější ● local exploit → ze stejného počítače – obtížnější

Útok ● jde o využití zranitelnosti ● výsledkem škoda na aktivech (tj. „majetku“) ● útok může být úmyslný i neúmyslný ● další rozdělení útoků: ● pasivní – odposlech komunikace ● aktivní – přerušení → DoS, porucha, vymazání,... – změna → programu, dat, komunikace – přidání do toku dat

Alice a Bob ● fiktivní jména ● používáno při vysvětlování (protokolů kryptografie) ● jména jako první písmena ● označuje strany A, B ● Mallory (malicious) – Man in the middle ● Eve (Eva) – odposlouchávající (eavesdropper) ● Trent – důvěryhodný (trusted)

Hacker a cracker ● hacker ● tzv. „white hat“ (tedy ten hodný) ● hluboké znalosti o IT ● opravy software, psaní systémových funkcí apod. ● původně člověk vyrábějící nábytek sekerou ● cracker (to crack – zlomit) ● tzv. „black hat“ (tedy ten zlý) ● zneužívá znalosti v IT ke svému prospěchu ● útočník → vlamování do systémů

Riziko (míra hrozby) ● závisí na mnoha faktorech: – četnost výskytu → dle statistiky incidentů – příležitost → umožněn přístup k nechráněným datům – motiv → při tlaku na zaměstnance (propouštění apod.) – schopnosti → potřeba speciálních znalostí k útoku – peníze → ziskovost útoku – vybavení → dostupnost a cena nutných prostředků – čas → nutná doba trvání útoku – atraktivitu aktiva → využití pro „reklamu“ – počet osob → počet lidí s přístupem k aktivům – stáří aktiva → zde např. zběhlost posuzované osoby

Využití míry rizika ● odstranění slabých míst ● soustředění se na podstatné problémy ● cracker půjde cestou nejmenšího odporu – proto nemá smysl posilovat silná místa ● problém necíleného útoku ● automatizované scanování na známé problémy – zero-day nebo naopak „staré“ či „typické“ zranitelnosti ● útočník získá více cílů, vybere si nejzajímavější – cíl je napaden, i když zdánlivě „není zajímavý“

Bezpečnostní mechanismy ● preventivní ● aktualizace, nastavení oprávnění, personální politika, školení, … ● detekční ● analýzy toku dat, scanování systému, heristické metody sledování činnosti, statistické metody, … ● opravné ● odstranění bezpečnostního problému ● analýza, forenzní analýza

Oblasti zabezpečení 1) fyzické zabezpečení ● zámky, mříže, hlídač, alarm, … ● použití vhodné technologie (bezdrát vs. optický kabel) 2) softwarové zabezpečení ● problém programátorských chyb (audity, aktualizace) ● výběr vhodného software (operační systém, ale i aplikace) ● správné nastavení software (oprávnění, šifrování, hesla, …) 3) personální opatření ● zaměstnanci – školení, zodpovědnost, hmotná odpovědnost... ● klienti – kompromis mezi omezením a volným přístupem

Aktualizace ● vydávání oprav → aktualizace ● řešíme pozdě, ale alespoň něco – tzv. zero-day zranitelnosti ● typicky není možné reagovat tak rychle, jak by bylo potřeba ● denní cyklus aktualizace je dnes již moc dlouhý ● je nezbytně nutné aktualizace aplikovat – zajistit restart služby nebo celého počítače – Linux aktualizace prostřednictvím distribuce ● na rozdíl od Windows aktualizace pro celý systém ● antivirus zde nepomůže – chyba v programu → antivirus je obejit

Closed source software ● software s uzavřeným kódem ● klasický vývoj software v komerčních firmách ● zákazník se ke zdrojovým kódům nedostane – nelze ověřit implementaci, musíme důvěřovat firmě – zákazník je pro firmu zdrojem zisku – firma proto neprozradí nedostatky svého software ● přesto může zdrojový kód uniknout – dobrovolné předání vládní bezpečnostní agentuře – krádež kódu → prodej → cracker → botnet → zisk ● profesionální programátor není automaticky lepší – neexistuje zpětná vazba → kód je horší (Gartner)

Open source software ● software s otevřeným kódem ● fenomén poslední doby – obdoba stavby „obecního fotbalového hřiště“ – vložím malé úsilí, vrátí se mnohonásobné úsilí ostatních – pro studenty „snadný úlovek do životopisu“ ● zdrojový kód je volně dostupný – lze ověřit implementaci (celosvětově je odborníků dost) – snadněji se hledají chyby → tzv. „snadnější zneužití“ – security through obscurity však NEfunguje – kvalitní je však zejména/jen ten kód, který je zajímavý

Security through obscurity ● označení s negativním podtónem ● zvýšení bezpečnosti utajením – zdrojového kódu, zvolené implementace, protokolu, … ● kód má či může mít chyby – tvůrce věří, že utajením se na ně těžko přijde – obdoba vojenské taktiky „zavřených úst“, resp. utajení – problém je, že existují lidé, kteří kód nepotřebují ● tzv. reverzní inženýrství (GSM, Cisco, MSIE, Windows, SMB…) ● exploity kolují v uzavřené komunitě crackerů → vysoké riziko ● opačný přístup je bezpečnost vycházející z návrhu – bezpečnost lze doložit, pak i získat vysokou certifikaci

Sociální inženýrství ● vlastně jde o podvodné jednání ● manipulace s lidmi, cílem získání informace ● ochranou je pouze vzdělávání uživatelů ● klasické uplatnění ● získání utajovaných informací – podvodné y (phishing) ● přístupová hesla, čísla kreditních karet,... – podstrčení flash disku nebo CD s virem atd. ● Kevin Mitnick – využíval soc. inž. spíše, než znalosti v IT

Autentizace a autorizace ● ověření identity ● též autentifikace (FR), autentikace (EN) ● proběhne-li, dojde k autorizaci – uživatel-program, programy, autenticita zprávy ● metody: – jméno + heslo, PIN, jednorázové heslo,... – biometrie (otisk prstu, duhovka, hlas,...) – technický prostředek (USB klíč, privátní klíč,...) – kontrolní otázky

Bezpečné heslo ● analogie hesla u vojáků na patrole ● důležitá je kvalita hesla – ne: personální údaje, slova, co je vidět, nepsat ho... – počet znaků je základ mocniny, délka je exponent (lepší) ● jak vytvořit heslo – používání mnemotechnické pomůcky – písmena, čísla, speciální znaky, velká/malá ● útoky na heslo – odposlechnutí (stačí i přibližně – rytmus, délka) – slovníková metoda (zkoušíme) – hrubá síla na zašifrovaný tvar (jednocestná funkce)

Zálohování ● též bezpečnostní opatření ● vyměnitelná média → umístění dále od počítače – využívání zálohovacího software – využívání snímků souborového systému – též souborový systém s historií ● typy záloh – úplná – přírůstková (změny od poslední zálohy) – rozdílová (od poslední úplné zálohy) ● cyklus pro zálohovací média, šifrování, do trezoru