Ochrona danych w systemach

informatycznych
Zarzdzanie bezpieczestwem informatycznym

dr hab. in. Bartosz Sawicki

mgr in. Bartosz Chaber

Zakad Elektrotechniki Teoretycznej i Informatyki Stosowanej, Wydzia

Elektryczny, Politechnika Warszawska
 Nie rb HTTPS i tak nikt nie
bdzie prbowa nas zaatakowa
Bezpieczestwo jest wanym
procesem,
Straty zwizane z brakiem
odpowiedniego poziomu
bezpieczestwa s
bardzo wymierne,
Ryzyko zawsze istnieje, trzeba
umie je kontrolowa.
 Normy dot. zarzdzania
bezpieczestwem
informatycznym
Pomagaj tworzy polityki bezpieczestwa,
Umoliwiaj certyfikacj, uatwiaj
przeprowadzanie audytw bezpieczestwa,
Najwaniejsze normy:
Seria ISO/IEC 27000,
PN-ISO/IEC 17799
 PN-ISO/IEC 17799 (kwiecie
2003)
Zawiera zalecenia dot. zarzdzania
bezpieczestwem informacji,
Definiuje filary bezpieczestwa:
- poufno (Confidentiality)
- integralno (Integrity)
- dostpno (Availability)
Okrela obowizki pracownikw, zaleca
audyty, szkolenia, fizyczn ochron sprztu,
kopie bezpieczestwa.
 Seria ISO/IEC 27000 (2005 ...)
Rozszerza ISO/IEC 17799 ,
System Zarzdzania Bezpieczestwem
Informacji,
Definiuje model PDCA.
 Model PDCA
1. Planuj (Plan),
2. Wykonuj (Do),
3. Sprawdzaj (Check),
4. Dziaaj (Act)
 Polityka bezpieczestwa
Tak jak system informatyczny potrzebuje
dokumentacji programistycznej, tak system
bezpieczestwa potrzebuje polityki,
Okrela procesy, praktyki majce na celu
utrzymanie okrelonego poziomu
bezpieczestwa.
 Audyty bezpieczestwa
Rodzaje audytw:
teleinformatyczny,
testy penetracyjne,
oprogramowania,
polityki bezpieczestwa,
analiza powamaniowa.
 Audyty bezpieczestwa
Rodzaje audytw: Klasyfikacja:
teleinformatyczny, audyt zewntrzny,
testy penetracyjne, audyt wewntrzny.
oprogramowania,
polityki
bezpieczestwa,
analiza
powamaniowa.
Verizon Data Breach
Report 2013
Kady moe by celem,
Autentykacja jest bardzo wraliwym
elementem,
Trzeba uwaa na phishing,
Organizacje maj problem z detekcj
wama,
Nie mona zapomnie o zagroeniu z
wewntrz,
 Kopie bezpieczestwa
Ciekawa lektura: http://www.taobackup.com
Ludzie dziel si na tych, ktrzy robi kopie
bezpieczestwa i na tych, ktrzy bd je
robi,
Strata danych jest bardzo kosztowna
(-100pkt do reputacji...). Tak wygldam, gdy
zorientuj si,
e usunem baz
danych na systemie
produkcyjnym
 Honeypots
Uatwia wczesne wykrycie wamania,
Polega np. na zastawieniu kont-puapek,
...albo na utworzeniu faszywych hase,
Przykad dziaania proaktywnego.

Illustrations by JVL for the fable of 'The Flies and the Honey Jar',
Aesop's Fables, Jonathan Cape 1989.
 Last.fm
Poinformowanie uytkownikw o ataku (7
czerwca 2012), sam atak nastpi
prawdopodobnie w lutym lub marcu 2012...
Hasa byy zahashowane MD5 bez soli...
Nauczka: zawsze trzyma haso z sol
 Debian
(2008)
W celu usunicia bdu jednego z pakietw
programici z Debian zakomentowali:
MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */

Skutkowao to znaczco obnion

skutecznoci generatora losowego
(obnienie entropii)
Nauczka:
- warto mie swj system aktualny i
ledzi bdy w oprogramowaniu
 Evernote
(Marzec 2013)
Zostay wykradzione hasa i niektre dane
uytkownikw,
Natychmiastowe powiadomienie
uytkownikw o koniecznoci zmiany hasa
(ktre byo zahashowane MD5 z sol).
 Tesco
Wg autorw to bezpieczny serwis
internetowy:
Dane s szyfrowane

Poczenie jest bezpieczne

Tryb Developerski serwera aplikacji :)
 Dostpne informacje o Serwerze

Cz treci bez HTTPS

Promowanie zych hase

Kiedy odkryj, e haso
przechowywane jest jako
czysty tekst...
 Co po ataku?
Stara si ograniczy straty (np. odci
maszyn),
Dokadnie zrozumie jak przebiega atak
(np. analiza logw),
Naprawi niedoskonaoci systemu,
Przyzna si uytkownikom, aby uratowa
resztki reputacji.
 Podsumowanie
Zasady Kerckhoffs'a s cigle aktualne,
Trzeba dziaa proaktywnie,
Istniej narzdzia pomagajce w zarzdzaniu
bezpieczestwem,
Naley uczy si na bdach (najlepiej
cudzych).