Professional Documents
Culture Documents
CYKL SZKOLEŃ
Z OBSZARU
ZARZĄDZANIA
BEZPIECZEŃSTWEM IT
�
����� ��� ������� ������� ������� ��������� ��������������� ����������� ��� ������� ���� ������������� ������
������������� �������� ������������ �� ������������ �������� �� �������� ������������ ���������������� ����
������� ��� �� ������� ������� ������������ ���������� ���� �� ���������� ������ ����� ����������� ������������
����������������������������������������������������������������������������������������������������������
����������������������������������������������������������������������������������
�������������������������������������������������������������������������������������������������������������
�������������������
� ����� �������������� � ����� ������������� � ����������
������������������� ������ �� � ��������������
���������� ���������� ���������� � �� ����� ������
� � ������ ������
� ����� ������������
� ������������� �������� �������������� � ����� ����� ������
� � ������ ������
� ��������� �������������� �� ��������
� ��� � ����������� ���������� ��������� �����
�� � �� ������ ������ � ����� ����� ������
OBRONA
kolejny numer naszego magazynu. Mamy nadzie-
ję, że każdy z Was znajdzie w nim coś dla siebie.
W tym wydaniu przygotowaliśmy między innymi ar-
tykuły o minifiltrach systemu Windows czy pierwszą 10 Nadzorowanie dostępu do zawartości
woluminów w systemie Windows za pomocą
część artykułu pod tajemniczym tytułem – Oszu-
minifiltrów
kać napastnika. Strzeżcie się zatem potencjalni in- Piotr Gawron
truzi! Ponadto mamy dla Was teksty o bazach da- Czytelnicy zainteresowani modyfikowaniem swojego
nych – ich bezpieczeństwie oraz o zasadach korzy- Windowsa na pewno znają wiele sposobów na osiąga-
stania z nich w świetle przepisów prawnych. Na de- nie „odmiennego” zachowania systemu. W tym artyku-
ser w naszym mroźnym numerze polecamy wziąć le chciałbym zająć się zmodyfikowaniem odczytu za-
udział w gorącym konkursie, w którym do wygrania wartości nośników danych. Zapewne zdarzają się sytu-
acje, kiedy nie chcemy, aby możliwy był dostęp do pew-
jest pięć egzemplarzy oprogramowania antywiruso-
nych informacji na nim zawartych. Atrybut read i prawa
wego Kaspersky Internet Security 2011. dostępu? Może czasami ta kombinacja wystarczy, ale
dlaczego do realizacji tego zadania nie zaprząc tech-
Zachęcamy zatem do lektury i życzymy szczęścia nologii używanej między innymi przez... programy an-
w konkursie! tywirusowe?
Redakcja
16 Oszukać napastnika – cz. 1.
Poznaj podstawowe metody ukrywania
informacji o swoim systemie
Sebastian Fyda
Każdy dostępny publicznie serwer świadczy zwykle jed-
ną lub więcej usług. Każda z tych usług to pewien frag-
ment oprogramowania, które jak każde oprogramowa-
nie ma swoje błędy. Każda z usług ma też swoją cha-
rakterystyczną sygnaturę, która pozwala na określenie,
jaki software i w jakiej wersji realizuje usługę. Dzięki
publicznemu udostępnieniu tych informacji zwiększa-
my ryzyko skutecznego ataku na nasz serwer. Czasa-
mi samo ukrycie informacji wystarczy do zniechęcenia
Miesięcznik hakin9 (12 numerów w roku) Wyróżnieni betatesterzy: Łukasz Przyjemski odpowiedzialności za efekty wykorzystania ich; nie
jest wydawany przez Software Press Sp. z o.o. SK gwarantuje także poprawnego działania programów
Adres korespondencyjny: shareware, freeware i public domain.
Prezes wydawnictwa: Paweł Marciniak Software Press Sp. z o.o. SK, ul. Bokserska 1,
02-682 Warszawa, Polska tel. +48 22 427 32 85, Wszystkie znaki firmowe zawarte w piśmie są
Dyrektor wydawniczy: Ewa Łozowicka +48 22 427 36 46, fax +48 22 224 24 59 własności odpowiednich firm.
www.hakin9.org/pl Zostały użyte wyłącznie w celach informacyjnych.
Redaktor prowadzący:
Adrian Gajewski adrian.gajewski@software.com.pl Dział reklamy: adv@software.com.pl
Skład i łamanie: Osoby zainteresowane współpracą
Tomasz Kostro www.studiopoligraficzne.com Redakcja dokłada wszelkich starań, by publikowane w prosimy o kontakt z Redakcją.
Kierownik produkcji: piśmie i na towarzyszących mu nośnikach informacje
Andrzej Kuca andrzej.kuca@software.com.pl i programy były poprawne, jednakże nie bierze
4 2/2011
HAKIN9 2/2011
SPIS TREŚCI
BEZPIECZNA FIRMA
tzw. Script-kiddies, którzy z reguły poszukują serwe-
rów z konkretną wersją oprogramowania i niezdradza-
jących jakichkolwiek działań w kierunku hardeningu, ja-
ko celi swoich ataków. 37 Narzędzia do automatycznego audytu
bezpieczeństwa
20 Bezpieczeństwo baz danych Maciej Karmoliński
Michał Sajdak Wprowadzanie systemu automatycznego wykrywania
Bazy danych często stanowią jeden z głównych ele- i zarządzania podatnościami w złożonych sieciach, jest
mentów systemów IT: przechowują oraz udostępniają nowo przyjętym podejściem dużych i średnich przed-
informacje. Sama definicja bazy nie narzuca określone- siębiorstw na rynku europejskim. Ocena stosowanych
go sposobu organizacji danych, jednak obecnie najbar- zabezpieczeń uległa znacznej poprawie dzięki kwar-
dziej rozpoznawana na rynku jest baza relacyjna oraz talnym, miesięcznym a nawet codziennym audytom,
związany z nią język SQL. Implementacji „SQL-owych dzięki którym mamy możliwość szybszego reagowa-
baz danych” są zapewne setki, choć zaledwie kilka nia na powstałe luki systemu, bądź zmianę istnieją-
z nich cieszy się dużą popularnością. Takimi systema- cego zagrożenia. Narzędzia służące automatyczne-
mi są: Oracle Database, SQL Server, DB2, MySQL czy mu wykrywaniu podatności, pozwalają na łatwą i pre-
Postgresql. Przy okazji, warto wspomnieć, że istnieją cyzyjną kontrolę bezpieczeństwa informacji poufnych,
również inne rozwiązania – oferujące alternatywne do która może być prowadzona przez jedną osobę dla ca-
wspomnianych powyżej sposoby organizacji informacji, łej firmy.
jak choćby obiektowa baza danych (np. ZODB) czy ba-
KLUB TECHNICZNY
za danych XML (np. eXist).
FELIETON
powinien zwrócić uwagę właściciel sklepu, żeby nie tyl-
ko działać w zgodzie z ustawą o ochronie danych oso-
bowych, ale również budować zaufanie swoich klien-
tów. Czym są dane osobowe, jak je zabezpieczyć, na 45 Odzyskiwanie danych po polsku, czyli jak
co zwrócić uwagę? nie stracić danych odzyskując je
Artur Skrouba
32 Bazy danych i zasady korzystania z nich
w świetle przepisów prawa polskiego
Dariusz Łydziński
Bazy danych i korzystanie z nich stanowią przedmiot
działalności wielu podmiotów gromadzących i prze-
twarzających dane, dlatego też często są poddawane
zagrożeniom ze strony przestępców działających we-
wnątrz firmy oraz napastników zewnętrznych, którzy
nie szukają już hakerskiej sławy, lecz są głównie zain-
teresowani korzyściami finansowymi. W każdej organi-
zacji dane są drugim najcenniejszym zasobem, zaraz
po pracownikach. Firmy są zobowiązane do ochrony
własnego personelu i klientów poprzez dołożenie na-
leżytej staranności i zapewnienie maksymalnych możli-
wych zabezpieczeń.
www.hakin9.org 5
AKTUALNOŚCI
6 2/2011
Aktualności
www.hakin9.org 7
AKTUALNOŚCI
8 2/2011
KONKURS
KONKURS
Hakin9 i Kaspersky
Do wygrania Kaspersky Internet Security 2011
Powodzenia!
www.hakin9.org 9
OBRONA
Nadzorowanie dostępu do
zawartości woluminów w systemie
Windows za pomocą minifiltrów
Piotr Gawron
D
ane przedstawiane na ekranie komputera są możliwości lub umiejętności modyfikacji sprzętu, który
wynikiem przetwarzania wykonywanego przez w przypadku produktów masowych nie jest projektowa-
komputer na podstawie załadowanych do nie- ny z myślą o bezpieczeństwie (wyjątkiem niech będzie
go programów. Ikona pliku z jego nazwą w oknie eks- tutaj sprzętowy moduł TPM, Trusted Platform Module).
ploratora Windows świadczy o tym, że całe oprogra- Dla programisty, jedną z pierwszych warstw, na któ-
mowanie realizujące jej wyświetlenie na ekranie zo- rej można implementować zabezpieczenia, są sterow-
stało zrealizowane w sposób dający właśnie taki wy- niki urządzeń trybu jądra systemu. O ile zagadnienie
nik. Proces generacji wyniku graficznego zaczyna się nie jest banalne, to na szczęście firma Microsoft uła-
każdorazowo na poziomie sprzętu i przechodzi przez twiła nieco zadanie i w zakresie instalowalnych ste-
wszystkie warstwy oprogramowania zwanego syste- rowników systemu plików (Installable File System Dri-
mem operacyjnym, swoją drogę kończąc gdzieś w kar- vers, IFSD) udostępniła architekturę minifiltrów. Minifil-
cie graficznej i potem na ekranie monitora. Co można trom właśnie poświęcony jest ten tekst.
w takim razie osiągnąć, jeśli istnieje możliwość zmo- Podniesiony w artykule temat dość mocno wiąże się
dyfikowania nieco tego procesu gdzieś na początko- z zagadnieniami zapewniania bezpieczeństwa infor-
wym jego etapie? macji przechowywanych na stacjach klienckich w śro-
dowisku nadzorowanym. Początkowo był jedynie czę-
Sterowniki a bezpieczeństwo ścią opracowywanej architektury monitora bezpie-
Powszechnie znanym faktem dotyczącym zabezpie- czeństwa dla stacji klienckiej (komputera), jednak sam
czania urządzeń elektronicznych przed niepożądanymi okazał się na tyle ciekawy i daje na tyle dużo możliwo-
zdarzeniami i zachowaniami użytkowników jest to, że ści, że doczekał się osobnej publikacji.
w im niższej warstwie architektury ochrona ta jest za-
implementowana, tym prawie zawsze jest skuteczniej- Sterowniki systemu plików
sza. W przypadku komputerów nie mamy zazwyczaj Ilustrując kolejne warstwy jądra Windows jako struk-
10 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów
www.hakin9.org 11
OBRONA
w żądaniach. Otwiera to całkiem spore możliwości miniFilter\, gdzie [root] to ścieżka instalacji WDK. Dla
implementacyjne. celów edukacyjnych warto zapoznać się z przykładem
Narzędzie fltmc służy do zarządzania systemem mi- minispy. Opisane dalej oprogramowanie bazuje wła-
ni-filtrów. Za jego pomocą podejrzeć można aktualnie śnie na tym kodzie. Minispy monitoruje i raportuje do
zainstalowane w systemie mini-filtry. Rysunek 2 poka- programu poziomu użytkownika wszystkie operacje
zuje mini-filtry zainstalowane na maszynie testowej. dyskowe, czyli jest elementem pasywnym. Modyfika-
Są to między innymi: minispy (opisany dalej) i dwa mi- cja będzie polegała na wprowadzeniu do przykładu ko-
ni-filtry programu antywirusowego AVG Anti-Virus Free du zmieniającego analizowane dane.
Edition 2011 (AVGIDSFilter i Avgmfx86). Liczba wystą- Kod minispy należy zaimportować jako projekt do
pień oznacza ilość woluminów, które dany minifiltr śle- dowolnego IDE (najlepiej obsługującego podpowia-
dzi, natomiast Ramka oznacza instancję Menedżera danie składni). IDE służyć ma jedynie do pisania ko-
filtrów, do którego minifiltr jest dołączony. Fltmc wyma- du, ze względu na import zmiennych środowiskowych
ga podniesionych uprawnień. kompilacji najłatwiej dokonuje się w dostarczonej
z WDK konsoli: należy przejść bezpośrednio do kata-
Przygotowanie środowiska logu z projektem i tam uruchamiać makro BCZ. Jako
Pracę z minifiltrami rozpocząć należy od pobrania i in- IDE wykorzystano program Eclipse Helios Service Re-
stalacji pakietu Windows Driver Kit (WDK). Aby spraw- lease 1 z wtyczką CDT instalującą w Eclipse perspek-
dzić, czy wszystko działa poprawnie, należy urucho- tywę C/C++.
mić odpowiednią wersję dostarczonej w pakiecie kon- Pierwszy krok to utworzenie w Eclipse pustego pro-
soli (niech będzie to x86 Checked Build Environment jektu C++. Następnie należy podlinkować (nie impor-
dla systemu Windows 7), wpisać BCZ i wcisnąć [En- tować) źródła minispy do projektu. W tym celu klika-
ter]. Jeśli uruchomiona kompilacja zakończy się powo- my opcję Import... z menu kontekstowego utworzone-
dzeniem, komputer jest gotowy do pracy. W tym mo- go projektu. W otwartym oknie dialogowym wybieramy
mencie otrzymujemy pełny zestaw narzędzi potrzeb- importowanie plików (File System), a dalej wskazuje-
nych do napisania, skompilowania i uruchomienia wła- my ścieżkę do katalogu, w którym znajduje się minispy
snego minifiltra. ([root]\7600.16385.1\src\filesys\miniFilter\minispy).
WDK dostarcza obfity zestaw przykładowych sterow- W zaawansowanych opcjach wybieramy utworze-
ników wraz z kodem źródłowym. W tym artykule zaj- nie linków zamiast skopiowania źródeł do przestrze-
miemy się katalogiem [root]\7600.16385.1\src\filesys\ ni pracy (workspace). Dzięki temu modyfikacje zapi-
sywane będą w oryginalnym katalogu, co ułatwi kom-
pilację. Aby IDE potrafiło podpowiadać składnię, nale-
����������� ���������������� ży jeszcze importować do projektu pliki nagłówkowe
����������
WDK. W tym celu otwieramy właściwości utworzonego
projektu, rozwijamy węzeł C/C++ General, wybieramy
������������ Paths and Symbols, a na końcu wybieramy zakładkę
��������������������� ����������� Includes. Do opcji Assembly dodajemy ścieżkę [root]\
����������������������� �������������
��������������� 7600.16385.1\inc\, natomiast do GNU C i C++ dodaje-
my \api, \crt i \ddk poprzedzone [root]\7600.16385.1\
inc\. W tym momencie można już dość komfortowo
���������������� ����������� pracować z kodem. Przed wprowadzeniem jakichkol-
����������������������� ���������
������������������������������ ���������������
wiek zmian zaleca się skopiowanie całego folderu mi-
����������������������������� nispy do innej lokalizacji, aby można było bez proble-
mu wrócić do oryginalnej wersji.
�����������
�����������������
���������������
Plik .inf
Plik instalacyjny .inf (minispy.inf) jest tekstowym pli-
kiem wiążącym instalowany w systemie plik sterow-
������������������������
������������������������ nika (minispy.sys) i plik programu użytkownika (mini-
������������������������ spy.exe) z tym systemem.
���������������������������
�����������������������
������� Jedną z ważniejszych sekcji pliku instalatora jest ta
określająca tryb uruchamiania minifiltra (StartType).
Dla celów testowych należy stosować tryb SERVI-
������ CE_DEMAND_START, wymuszenie dołączania wraz
ze startem systemu może w razie błędów całkowicie
Rysunek 1. Uproszczony stos IFSD unieruchomić system.
12 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów
www.hakin9.org 13
OBRONA
14 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów
W Sieci
• IFSD http://msdn.microsoft.com/en-us/library/ff551834(VS.85).aspx
• WDK http://www.microsoft.com/whdc/Devtools/wdk/default.mspx
• Eclipse http://www.eclipse.org/downloads/packages/eclipse-ide-cc-developers/heliossr1
• DebugView http://technet.microsoft.com/en-us/sysinternals/bb896647
www.hakin9.org 15
OBRONA
W
iększość demonów usług dostarczanych Server: Apache/2.2.16 (Debian) PHP/5.3.3-7 with Su-
wraz z Debianem, w domyślnej konfiguracji hosin-Patch mod_ssl/2.2.16 OpenSSL/0.9.8o
dość ochoczo dzieli się informacjami z poten- Vary: Accept-Encoding
cjalnym napastnikiem. Warto nieco poprawić dostarczo-
ne z dystrybucją pliki konfiguracyjne, tak aby udostęp- Łatwo zauważyć, że serwer podzielił się nie tylko
niały one możliwie małą ilość informacji. swoją nazwą i wersją, ale również wersją interpre-
tera PHP zainstalowanego w systemie (o ile w kon-
Serwer WWW – Apache2 figuracji PHP nie została ustawiona wartość expo-
Najpopularniejszą obecnie usługą jest serwer http, a do- se_php = Off) oraz wersją biblioteki OpenSSL. Po-
minującą pozycję ma tutaj software Fundacji Apache. tencjalny napastnik wie teraz, że może szukać po-
Rzućmy okiem, co zwraca serwer w domyślnej konfigu- datności dotyczących powyższego oprogramowania.
racji, jeśli wywołamy nieistniejący url (Rysunek 1). Ukrycie tych informacji jest sprawą dość trywialną.
Dodatkowo, jeśli zajrzymy w na-
główki odpowiedzi, znajdziemy do-
datkowe informacje:
Connection: Keep-Alive
Content-Encoding: gzip
Content-Length: 180
Content-Type: text/html; charset=i-
so-8859-1
Date: Mon, 24 Jan 2011 15:23:44
GMT
Keep-Alive: timeout=15, max=100 Rysunek 1. Apache2 z włączonym Server Signature
16 2/2011
Oszukać napastnika – cz. 1. Podstawowe metody ukrywania informacji o systemie
Zajrzyjmy do fragmentu pliku /etc/apache2/conf.d/ zostanie zwrócony kod HTTP/1.1 304: Not modified,
security (Listing 1). zamiast normalnego kodu HTTP/1.1 200 OK. i treści
Jeżeli jednak zmienimy Server Tokens na Prod oraz pliku w ciele odpowiedzi. Domyślnie w Apache ETag
ServerSignature na Off, to w oknie przeglądarki zoba- przyjmuje następującą postać np. ETag: "10c24bc-4ab-
czymy (Rysunek 2). A w nagłówkach: 457e1c1f" a kolejne bloki odpowiadają wartościom ino-
Connection: Keep-Alive de-size-timestamp. Informacja o numerze I-nodu nie
Content-Encoding: gzip pomoże w ataku na serwer Apache, ale może pomóc
Content-Length: 180 w ataku na inne usługi sieciowe – np. usługa NFS (ang.
Content-Type: text/html; charset=iso-8859-1 Network File System) używa numerów I-node do gene-
Date: Mon, 24 Jan 2011 16:15:44 GMT rowania uchwytów do plików.
Keep-Alive: timeout=15, max=98 Istnieją dwa rozwiązania problemu:
Server: Apache
Vary: Accept-Encoding • Całkowita eliminacja ETag i zastąpienie go nagłów-
kami Expires lub Cache-Control
Łatwo zauważyć, że ilość ujawnionych informacji zosta- • Konfiguracja ETag eliminująca numery węzłów I-node
ła znacznie ograniczona. Dodatkowo, skoro już edytu-
jemy plik /etc/apache2/conf.d/security warto dokonać Pierwsza opcja wymaga użycia modułu mod_headers,
jeszcze jednej zmiany. Odnajdujemy blok (Listing 2). który jest standardowo dołączany z serwerem Apache.
I zmieniamy TraceEnabled na Off. Nie jest to de fac- Wówczas na końcu pliku /etc/apache2/conf.d/security
to zdradzanie informacji, ale jest to w 99% przypadków możemy dodać następujące linie:
funkcjonalność zbędna, a wręcz może być wykorzy-
stana do ataków cross-site (polecam dokument: http: Header unset Etag
//www.cgisecurity.com/whitehat-mirror/WH-WhitePa- FileETag none
per_XST_ebook.pdf).
Kolejnym elementem w Apache, który możemy do- W przypadku opcji drugiej, w tym samym pliku usta-
datkowo zabezpieczyć, to nagłówki ETag. Służą one wiamy po prostu:
do jednoznacznej identyfikacji zasobu będącego pli-
kiem. Dzięki temu, jeśli przeglądarka zechce sprawdzić FileETag MTime Size
czy plik nie został zmieniony, prześle w nagłówku jego
ETag. Jeśli plik na serwerze posiada ten sam ETag, to Na koniec restartujemy serwer Apache.
Listing 1.
# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of: Full | OS | Minimal | Minor | Major | Prod
# where Full conveys the most information, and Prod the least.
#ServerTokens Minimal
#ServerTokens OS
ServerTokens Full
# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
#ServerSignature Off
ServerSignature On
www.hakin9.org 17
OBRONA
Listing 2.
18 2/2011
Oszukać napastnika – cz. 1. Podstawowe metody ukrywania informacji o systemie
Listing 3.
Listing 4.
Reklama
19
OBRONA
Bezpieczeństwo
baz danych
Michał Sajdak
Bazy danych często stanowią jeden z głównych elementów systemów IT:
przechowują oraz udostępniają informacje. Sama definicja bazy nie narzuca
określonego sposobu organizacji danych, jednak obecnie najbardziej
rozpoznawana na rynku jest baza relacyjna oraz związany z nią język SQL.
Implementacji „SQL-owych baz danych” są zapewne setki, choć zaledwie kilka
z nich cieszy się dużą popularnością. Takimi systemami są: Oracle Database, SQL
Server, DB2, MySQL czy Postgresql. Przy okazji, warto wspomnieć, że istnieją
również inne rozwiązania – oferujące alternatywne do wspomnianych powyżej
sposoby organizacji informacji, jak choćby obiektowa baza danych (np. ZODB)
czy baza danych XML (np. eXist).
W
poniższym tekście zajmiemy się tematyką Dlaczego chronimy bazę danych?
ochrony baz danych – głównie w kontekście Odpowiedź na to pytanie może wydać się prosta: aby
baz relacyjnych. Poruszymy takie zagadnie- realizować odpowiednie cele biznesowe, tj. aby sys-
nia, jak: tem, który wykorzystuje bazę danych, generował od-
powiednie zyski dla organizacji. Zilustrujmy to na na-
• ekspozycja bazy na poziomie sieci, stępującym przykładzie:
• poprawki bezpieczeństwa, Prywatna placówka medyczna posiada system
• użytkownicy, z których wykorzystaniem działa baza umożliwiający rejestrację pacjentów on-line. W bazie
danych, danych przechowywane są również informacje o pa-
• uprawnienia do plików bazodanowych – na pozio- cjencie oraz historia jego chorób.
mie systemu plików, Zyskiem z posiadania takiej bazy może być: wygoda
• ograniczenie funkcjonalności oferowanych przez pacjenta, ograniczenie dokumentacji papierowej oraz
bazę danych, szybsze dodarcie do określonych informacji (oszczęd-
• logowanie (księgowanie) dostępu do bazy danych, ność czasu pracowników kliniki). Ten cel biznesowy
• ochrona kryptograficzna (szyfrowanie), może być zagrożony np. przez:
• bezpieczeństwo po stronie aplikacji korzystających
z bazy danych, • czasowy brak dostępności bazy (pacjenci nie mo-
• miejsce składowania danych w systemie plików, gą się rejestrować, lekarze nie mają wglądu w hi-
• kopie zapasowe. storię choroby),
• utratę poufności bazy (dane dostają się w niepo-
Zanim przejdziemy do szczegółów zastanowimy się wołane ręce; istnieje ryzyko np. złamania zapisów
wcześniej nad poniższym pytaniem. Ustawy o Ochronie Danych Osobowych),
20 2/2011
Bezpieczeństwo baz danych
• nieuprawnioną zmianę informacji w bazie (może to wartości przechowywanych przez nas danych. Co to
spowodować chaos w działaniu placówki medycz- dokładnie oznacza, Czytelnik powinien sam, we wła-
nej, czy wręcz zagrozić bezpieczeństwu pacjentów). snym zakresie i analizując swój kontekst, ocenić. Za-
interesowanych takimi szacowaniami odsyłamy do za-
W omówionym powyżej przykładzie odpowiednie za- gadnień związanych z analizą ryzyka, a tu przechodzi-
bezpieczenie bazy danych tego typu może zminima- my już do konkretnych działań, które można wykonać
lizować wymienione zagrożenia, a tym samym pozy- przy weryfikacji bezpieczeństwa bazy danych.
tywnie wpłynąć na zysk kliniki. Jako rodzaj informa-
cji wymagającej ochrony wskazaliśmy dane osobo- Weryfikacja bezpieczeństwa bazy danych
we / dane medyczne. Jakie jeszcze inne dane mogą Bezpieczeństwo bazy danych może być zagrożone
być traktowane jako wrażliwe i wymagające ochrony? w różny sposób. Poniżej omówimy kilka kategorii za-
Odpowiedź na to pytanie pozostawiamy Czytelnikowi, grożeń, na które – naszym zdaniem – warto zwrócić
jednocześnie wskazując kilka możliwości: uwagę. Pamiętajmy, że kompromitacja zabezpieczeń
należących do jednej grupy jest w stanie poważnie za-
• Dane o charakterze finansowym (np. salda kont grozić bezpieczeństwu całej bazy danych – zatem we-
bankowych, informacje płacowe, numery kart kre- ryfikacja bezpieczeństwa takiego systemu powinna
dytowych). być wykonywana całościowo.
• Hasła dostępowe do systemów (często użytkowni- Każda z poniższych kategorii zawiera wypunktowa-
cy posiadają takie same hasła dostępowe do wielu ne w formie pytań zalecenia, umożliwiające zaplano-
systemów – zatem uzyskanie informacji o hasłach wanie we własnym zakresie audytu bezpieczeństwa
z jednej bazy danych może prowadzić do uzyska- czy testów penetracyjnych bazy danych.
nia dostępu do wielu innych systemów).
• Informacje stanowiące o przewadze konkurencyj- Ekspozycja na poziomie sieci
nej firmy (np. dane klientów czy dostawców). Baza danych często udostępniana jest w sieci (czy to
• Jakiekolwiek inne dane firmowe o charakterze po- lokalnej, czy np. Internecie) – na bezpieczeństwo ba-
ufnym. zy danych można więc spojrzeć tak jak na bezpieczeń-
stwo każdej innej usługi sieciowej (np. serwer webowy,
Niejako podsumowując dotychczas opisane kwestie, serwer poczty, serwer DNS, itd.).
spójrzmy ramowo na następujące zagadnienie doty-
czące planowania prac, dotyczących bezpieczeństwa Zalecenia
baz danych. Sugerujemy zweryfikowanie takich elementów:
Planowanie prac związanych z bezpieczeństwem
bazy danych • Na jakich interfejsach sieciowych / portach nasłu-
Planowanie to może wyglądać następująco: chują usługi bazodanowe? – Niekiedy nie jest ko-
nieczne nasłuchiwanie bazy danych na wszystkich
• Inwentaryzacja baz danych oraz przechowywa- interfejsach sieciowych albo na interfejsie dostęp-
nych w nich informacji (np. opisana w powyższym nym do Internetu.
przykładzie baza przechowująca dane medyczne). • Czy istnieje możliwość ataku na usługę z pozio-
• Określenie wartości skatalogowanych baz danych mu sieci? – Mamy tu na głównie myśli podatno-
(istotne dane będziemy chcieli objąć szczególną ści w obsłudze protokołu komunikacyjnego: w lo-
ochroną). kalizacji tego typu podatności przydatny może być
• Określenie czynników mogących zagrozić popraw- tzw. skaner podatności; skuteczne ataki w tym
nemu funkcjonowaniu bazy (np. zewnętrzny atak miejscu często są związane z brakiem aktualiza-
z poziomu Internetu, awaria sprzętowa serwera, cji bezpieczeństwa bazy danych, o czym piszemy
atak z sieci LAN, itd.) wraz z prawdopodobień- w dalszej części tekstu.
stwem wystąpienia (tzw. ryzykiem). • Czy w wykorzystywanej przez nas bazie znane są
• Określenie odporności naszej bazy na wszelakie inne specyficzne elementy charakterystyczne dla
zagrożenia określone powyżej (tym zagadnieniem komponentu nasłuchującego? – Np. ochrona za
w głównej mierze zajmiemy się w naszym artykule). pomocą hasła komponentu nasłuchującego.
• Rekonfiguracja bazy danych, jeśli jej odporność na
wskazane wcześniej zagrożenia jest niska. Przykładowe dalsze informacje
Czytelnikowi może nasunąć się pytanie, ile czasu war- • Bezpieczeństwo komponentu Listener w Orac-
to poświęcić na realizację całego opisanego powy- le (do wersji 9 Oracle, domyślnie komponent ten
żej procesu? Możemy odpowiedzieć – adekwatnie do posiada puste hasło dostępowe umożliwiające
www.hakin9.org 21
OBRONA
przejęcie kontroli nad listenerem): http://www.net- • Czy weryfikowana jest integralność aktualizacji?
security.org/dl/articles/Integrigy _OracleDB_Liste- – Czy wiemy skąd pochodzą aktualizacje? Jeśli
ner_Security.pdf udałoby się dostarczyć nam wrogą aktualizację
• Weryfikację nasłuchiwania na określonych in- – istnieje możliwość zdalnego przejęcia kontroli
terfejsach sieciowych można wykonać np. li- nad bazą.
nuksowym poleceniem: # netstat-tulpn. W tym • Czy aktualizacje wykonywane są ręcznie czy au-
przypadku poniżej, usługa mysqld nasłuchu- tomatycznie? – Niekiedy same aktualizacje mo-
je jedynie na interface loopback (127.0.0.1): gą spowodować niepoprawne działanie całej bazy
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 28852/ danych: manualne aktualizacje pozostawiają admi-
mysqld . nistratorowi możliwość szybkiej reakcji na ewentu-
• Informacje o robaku Slammer (atakującego SQL alne problemy.
Server): http://en.wikipedia.org/wiki/SQL_Slammer • Czy aktualizacje sprawdzane są wcześniej na ser-
• Przykład alertu zgłaszanego przez oprogramowa- werach testowych?
nie klasy IDS (intrusion detection system) – snort:
[**] [1:2003:8] MS-SQL Worm propagation attempt [**] Przykładowe dalsze informacje
[Classification: Misc Attack] [Priority: 2]
04/19-23:16:14.032636 202.x.x.x:3352 -> x.x.x.x:1434 • Informacje o wprowadzeniu poprawek do bazy da-
UDP TTL:116 TOS:0x0 ID:55339 IpLen:20 DgmLen:404 nych Oracle, w tym łatających luki umożliwiają-
Len: 376 ce pełen, nieuwierzytelniony dostęp z poziomu
[Xref => http://vil.nai.com/vil/content/ sieci: http://www.oracle.com/technology/deploy/
v_99992.htm][Xref => http: security/pdf/2004alert68.pdf.
//cgi.nessus.org/plugins/
dump.php3?id=11214][Xref => Użytkownicy z wykorzystaniem, których działa baza
http://cve.mitre.org/cgi-bin/ danych
cvename.cgi?name=2002-0649][Xref Aby ograniczyć wpływ negatywnych skutków naru-
=> http://www.securityfocus.com/ szenia bezpieczeństwa na cały system, warto rozwa-
bid/5311][Xref => http:// żyć uprawnienia użytkownika systemu operacyjnego,
www.securityfocus.com/bid/5310]. z którego wykorzystaniem uruchamiana jest baza.
22 2/2011
Bezpieczeństwo baz danych
nia bazy danych? – Np. uprawniania od odczytu / • Oprogramowanie cain & abel umożliwiające m.in.
zapisu plików, które nie są używane przez system łamanie hashów haseł dla wybranych baz SQL:
bazodanowy. http://www.oxid.it/cain.html
• Czy istnieje możliwość interaktywnego zalogowa-
nia się na użytkownika bazodanowego, np. z wyko- Ograniczenie funkcjonalności oferowanych przez
rzystaniem SSH? – Nie powinniśmy stwarzać takiej bazę danych
możliwości. Zgodnie z wspomnianą wcześniej zasadą least pri-
vileges zaleca się minimalizację instalowanych oraz
Przykładowe dalsze informacje uruchamianych usług i funkcjonalności bazodano-
wych. W wielu przypadkach takie domyślne funkcjo-
• Unikanie uruchamiania usług SQL Server nalności nie są wymagane do prawidłowego działa-
z uprawnieniami kont administracyjnych: http:// nia bazy.
www.sqlservercentral.com /blogs /brian_kelley/
archive/2008/06/12/avoid-domain-admin-level-ac- Zalecenia
counts-for-sql-server.aspx Zalecenia zależą od konkretnej implementacji bazy
• Konfiguracja środowiska chroot w celu ogra- danych. Dodatkowymi funkcjonalnościami mogą być
niczania ekspozycji systemu operacyjnego po przykładowo:
ewentualnym ataku na usługę sieciową: http://
www.securitum.pl/baza-wiedzy/publikacje/chroot- • Całe usługi: np. serwer http apache, w przypadku
w-praktyce Oracle.
• Konkretne procedury czy grupy procedur i funkcji
Użytkownicy bazodanowi bazodanowych, np. procedura xp_cmdshell w sys-
Kolejnym istotnym elementem przy weryfikacji bezpie- temie SQL Server umożliwiająca wykonanie pole-
czeństwa bazy danych jest określenie uprawnień użyt- cenia systemu operacyjnego, użytkownikowi bazo-
kowników definiowanych na poziomie bazy danych. danowemu.
Dobrą praktyką jest stosowanie tutaj zasady least pri- • Domyślnie instalowane bazy o charakterze „de-
vileges, to znaczy uprawnienia użytkowników bazoda- mo”.
nowych powinny być najmniejszymi, które są wymaga-
ne do prawidłowego działania całości systemu. Przykładowe dalsze informacje
www.hakin9.org 23
OBRONA
• Czy logowanie następuje do bazy danych czy na Dla porządku, warto również w tym momencie wspo-
poziomie systemu operacyjnego? mnieć o innych, często spotykanych problemach, mo-
• Czy księgowanie wykonywane jest jedynie lokalnie gących prowadzić do naruszenia bezpieczeństwa ba-
czy również na zdalny system? zy danych:
24 2/2011
Bezpieczeństwo baz danych
przez RDBMS mogą spróbować uzyskać do nich do- ścią jest wykonywanie okresowych kopii bezpieczeń-
stęp bezpośredni, omijając tym samym mechanizmy stwa bazy. Przy wykonywaniu backupów warto rozwa-
uwierzytelnienia i autoryzacji oferowane przez bazę. żyć kwestie łączące się z realizacją kopii zapasowych
Kolejną kwestią związaną z umiejscowieniem pli- w ogóle, a także elementy specyficzne dla samej ba-
ków bazodanowych jest nieprzerwany dostęp do całej zy danych.
bazy. Jeśli dostęp do danych w systemie plików (np.
z powodu awarii dysku twardego) zostanie utracony, Zalecenia
tracony jest również dostęp do konkretnych przetwa-
rzanych w bazie danych. Warto zatem rozważyć wdro- • Czy wykonywane są kopie zapasowe wszystkich
żenie odpowiednich mechanizmów zapewniających instancji baz danych?
nieprzerwane działanie bazy w przypadku tego typu • Czy wykonywana jest kopia zapasowa bazy syste-
awarii. mowej? – Często brak takiej kopii może oznaczać
Na koniec poruszymy jeszcze jedną kwestię zwią- problemy przy próbie przywrócenia danych z bac-
zaną z dostępnością całego systemu. Otóż niekiedy kupu.
przetwarzane w bazie informacje składowane są na • Czy wykonywane są testy poprawności wykony-
tej samej partycji, co pliki wchodzące w skład syste- wania kopii zapasowych? – Próba pełnego odtwo-
mu operacyjnego, na którym uruchomiona jest baza rzenia bazy z wykonanej wcześniej wykonanej ko-
danych. W przypadku zapełnienia takiej partycji czę- pii.
sto przestaje działać poprawnie cały system operacyj- • Na jakie nośniki wykonywane są kopie zapasowe?
ny. Warto może zatem wydzielić osobną partycję prze- • Czy dane na zużytych nośnikach usuwa się w spo-
chowującą pliki bazodanowe – niezależną od partycji sób trwały?
systemowej. • W jaki sposób chroni się nośniki zawierające bac-
Zaznaczmy jeszcze, że tematyka wysokiej dostęp- kupy przed dostępem osób nieuprawionych?
ności bazy jest bardzo szeroka – w niniejszym tekście
jedynie ją wskazujemy w kontekście plików bazodano- Podsumowanie
wych. W artykule przedstawiliśmy, naszym zdaniem, najistot-
niejsze elementy dotyczące bezpieczeństwa bazy da-
Zalecenia nych. Pewne aspekty – np. bezpieczeństwo fizyczne,
dostępność bazy, bezpieczeństwo sieci czy systemu
• Czy pliki bazodanowe znajdują się na odpowied- operacyjnego, na którym przetwarzane są informacje
nim typie systemu plików? – Umożliwiającym – zostały wskazane jedynie hasłowo. Jednakże wska-
nadanie odpowiednich uprawnień? np. NTFS, zując zalecania, staraliśmy się formułować je w na tyle
a nie FAT? ogólnej formie, aby każdy z czytelników mógł dostoso-
• Czy pliki bazodanowe na poziomie systemu plików wać i rozszerzyć je pod własne, specyficzne potrzeby
są dostępne (odczyt/zapis) tylko dla użytkownika – każda bowiem baza danych wymaga dedykowane-
z wykorzystaniem którego działa baza danych? go spojrzenia na bezpieczeństwo przechowywanych
• Czy awaria miejsca przeznaczonego na składowa- w niej informacji.
nie danych bazy powoduje niedostępność do ba-
zy danych? – Czy mamy wdrożone mechanizm ty-
pu RAID? Czy wykorzystujemy redundantnie pod-
łączoną macierz zewnętrzną?
• Czy dane składujemy na partycji oddzielnej od
systemowej? MICHAŁ SAJDAK
Prowadzi testy penetracyjne oraz szkolenia z zakresu bezpie-
Kopie zapasowe czeństwa. Posiadacz certy�katu CISSP.
Z uwagi na najczęściej dość wysoką wartość infor- Obecnie pracuje w �rmie Securitum.
macji przetwarzanych w bazach danych konieczno- Kontakt: michal.sajdak@securitum.pl
Polecana Literatura
• Implementing Database Security and Auditing: Includes Examples for Oracle, SQL Server, DB2 UDB, Sybase - Digital Press (May 2, 2005)
• The Database Hacker's Handbook: Defending Database Servers - Wiley (July 14, 2005)
• Dokumentacje hardeningnowe The Center for Internet Security - http://cisecurity.org/
www.hakin9.org 25
OBRONA
Zarządzanie bezpieczeństwem
danych osobowych.
Kwestie prawne e-commerce
Marcin Engelmann
C
zy właściciele sklepów internetowych są świa- sto traktowana przez właścicieli sklepów z dużą pobłaż-
domi przepisów prawnych, które regulują kwe- liwością. Wniosek taki można wyciągnąć między inny-
stię ochrony danych osobowych ich klientów? mi na podstawie badania przeprowadzonego przez ser-
Przedsiębiorcy prowadzący sklepy internetowe są, wis Sklepy24.pl w ramach raportu „e-Handel Polska
a przynajmniej powinni być, świadomi regulacji praw- 2009”. Ankiety zebrane z ponad 600 sklepów interne-
nych, którym podlegają prowadząc taką działalność. towych pokazują, że tylko co dziesiąty sklep zarejestro-
Jest to oczywiście kodeks cywilny oraz między innymi wał zbiór danych osobowych u Generalnego Inspekto-
ustawa z 2 marca 2000 r. o ochronie niektórych praw ra Danych Osobowych, a jedynie połowa właścicieli ma
konsumentów oraz odpowiedzialności za szkodę wy- pewność, że centrum przetwarzania danych, w którym
rządzoną przez produkt niebezpieczny, czy też usta- znajdują się serwery obsługujące sklep jest dobrze za-
wa z dnia 27 lipca 2002 r. o szczególnych warunkach bezpieczona przed włamaniami, pożarem czy proble-
sprzedaży konsumenckiej. Dotyczy ich również w pew- mami z zasilaniem.
nym stopniu ustawa z dnia 18 lipca 2002 r. o świadcze- Co ciekawe, badanie Eurobarometru z 2008 r. wska-
niu usług drogą elektroniczną. zuje, że właścicielowi sklepu internetowego powinno
Istotną różnicą między prowadzeniem sprzedaży de- szczególnie zależeć na wzbudzeniu zaufania i zapew-
talicznej w normalnym sklepie a sprzedażą przez Inter- nieniu rzeczywistego bezpieczeństwa danych osobo-
net jest utrata przez klienta anonimowości. W pierw- wych swoich klientów. Polacy są na pierwszym miejscu
szym przypadku sprzedawca zwykle nie pozyskuje da- w Unii Europejskiej jako deklarujący najwyższą świado-
nych osobowych kupującego, jedynym dowodem za- mość praw związanych z danymi osobowymi (43% ba-
kupu jest paragon „na okaziciela”. Przy sprzedaży na danych). Ponad połowa ankietowanych (55%) deklaro-
odległość niezbędne jest uzyskanie przynajmniej da- wała troskę o dane osobowe ujawniane w Internecie.
nych adresowych potrzebnych do dostarczenia towaru, W dalszej części artykułu omówię najważniejsze,
a często gromadzone są również dane pomocnicze ta- z punktu widzenia przedsiębiorcy prowadzącego sklep
kie jak adres e-mail, numer telefonu czy różnego rodza- internetowy, zagadnienia związane z ochroną danych
ju informacje o preferencjach zakupowych klienta. osobowych klientów. Skupimy się przede wszystkim na
Z pewnym niepokojem można zauważyć, że kwestia zagadnieniach praktycznych, z naciskiem na kwestie
ochrony danych osobowych klientów jest bardzo czę- techniczne (sklep internetowy to w znakomitej większo-
26 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce
ści przypadków system informatyczny z niewielką ilo- noznacznie pozwala określić tożsamość jego po-
ścią dokumentów papierowych). Przyjąłem również za- siadacza,
łożenie, że właściciel sklepu internetowego jest równo- • informacje na temat stanu zdrowia czy nałogach.
cześnie administratorem danych osobowych klientów,
choć w szczególnych przypadkach należałoby również Danymi osobowymi nie są informacje ogólne – na
rozpatrywać ten aspekt. przykład samodzielnej informacji „Jan, Wrocław” nie
można uznać za daną osobową, ponieważ zidentyfiko-
Jakie przepisy prawne wpływają wanie osoby wymagałoby poniesienia istotnych kosz-
na przetwarzanie danych w sklepie tów lub podjęcia nadmiernych działań.
internetowym? Co ciekawe, pewne dane, które same w sobie nie są
Najistotniejsze przepisy prawne regulujące kwestię danymi osobowymi, w powiązaniu z typowymi danymi
przetwarzania danych osobowych to ustawa oraz roz- osobowymi stają się ich częścią. Klasyczny przypadek to
porządzenie poświęcone wymaganiom stawianym sys- lista zamówionych przez klienta towarów. Przykładowo:
temom informatycznym:
• informacja o tytule książki, liczbie sztuk i cenie nie
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie da- jest daną osobową,
nych osobowych, • informacja o tytule książki, liczbie sztuk i cenie po-
• Rozporządzenie Ministra Spraw Wewnętrznych wiązana z imieniem i nazwiskiem klienta wraz z ad-
i Administracji z dnia 29 kwietnia 2004 r. w sprawie resem dostawy staje się daną osobową.
dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, ja- Reasumując, może się okazać, że duża część ba-
kim powinny odpowiadać urządzenia i systemy in- zy danych sklepu internetowego stanowi zbiór danych
formatyczne służące do przetwarzania danych oso- osobowych w rozumieniu UODO. Zwłaszcza jeśli mię-
bowych. dzy poszczególnymi tabelami występują powiązania
typowe dla relacyjnej bazy danych SQL.
W marcu 2011 r. wchodzi w życie nowelizacja usta-
wy o ochronie danych osobowych, nie ulegają jednak Zbiór danych osobowych kojarzy się
zmianie interesujące nas zagadnienia. z koniecznością jego rejestracji w GIODO, czy
W dalszej części artykułu zarówno ustawa jak i zwią- dotyczy to każdego zbioru?
zane z nią rozporządzenia wykonawcze nazywane są Zbiór danych osobowych to zestaw danych dostępnych
wspólnie UODO. według określonych kryteriów, niezależnie od tego czy
zestaw ten jest rozproszony lub podzielony funkcjonal-
Czy dane osobowe to tylko imię i nazwisko nie. Typowym zbiorem danych osobowych będzie baza
oraz adres dostawy? klientów, która jest wykorzystywana w celach marketin-
Definicja danych osobowych zawarta w ustawie gowych. Jeden zbiór danych może tworzyć nawet kilka
o ochronie danych osobowych mówi, że dane osobo- baz danych.
we to wszelkie informacje dotyczące zidentyfikowa- Z założenia każdy zbiór danych osobowych podle-
nej lub możliwej do zidentyfikowania osoby fizycznej, ga obowiązkowi rejestracji w rejestrze prowadzonym
a więc takiej osoby, której tożsamość można określić przez Generalnego Inspektora Danych Osobowych
bezpośrednio lub pośrednio, w szczególności przez po- (GIODO). Od tego obowiązku jest 14 wyjątków określo-
wołanie się na numer identyfikacyjny albo jeden lub kil- nych w ustawie.
ka specyficznych czynników określających jej cechy fi- W przypadku sklepu internetowego jedyny wyjątek,
zyczne, fizjologiczne, umysłowe, ekonomiczne, kulturo- który można byłoby rozważać to zwolnienie z obowiąz-
we lub społeczne. Istotne jest dodatkowe założenie, że ku rejestracji danych administratorów danych osobo-
informacji nie uważa się za umożliwiającą określenia wych przetwarzanych wyłącznie w celu wystawienia
tożsamości osoby, jeżeli wymagałoby to nadmiernych faktury, rachunku lub prowadzenia sprawozdawczości
kosztów lub działań. finansowej. Ten przypadek może być jednak trudny do
W efekcie bezspornie typowymi danymi osobowymi, zastosowania, jeśli dane są wykorzystywane na przy-
które mogą pojawić się w sklepie internetowym będą kład w celach marketingowych (wysyłka newslettera)
na przykład: czy w celu obsługi reklamacji. Wystarczy jednak, że da-
ne o historii zakupów są wykorzystywane do przedsta-
• imię i nazwisko, wienia spersonalizowanej oferty i nie ma już możliwości
• adres zamieszkania, skorzystania ze zwolnienia z obowiązku rejestracji.
• przypisany numer (na przykład PESEL lub NIP), Rejestracja zbioru danych w GIODO jest stosunkowo
• adres e-mail, który zawiera imię i nazwisko lub jed- prosta, należy jednak pamiętać, że niepoprawne wy-
www.hakin9.org 27
OBRONA
pełnienie formularza rejestracji może nie tylko dopro- • system musi umożliwiać wyświetlenie na ekranie
wadzić do odmowy zarejestrowania zbioru, ale może oraz wydrukowanie raportu zawierającego w po-
wzbudzić zainteresowanie inspektorów GIODO i spro- wszechnie zrozumiałej formie (czyli np. bez specy-
wokować kontrolę firmie przedsiębiorcy prowadzące- ficznych dla tego programu skrótów i kodów) dane
go sklep. osobowe oraz informację o dacie ich wprowadzenia
Należy pamiętać, że zwolnienie z obowiązku rejestra- do systemu informatycznego, osobie, która je wpro-
cji zbioru danych w GIODO nie zwalnia przedsiębiorcy wadziła, źródle danych, informacji o udostępnieniu
z obowiązku przestrzegania innych przepisów UODO. danych oraz o tym czy osoba wyraziła sprzeciw
wobec przetwarzania jej danych.
Jakie wymagania musi spełniać
oprogramowanie sklepu internetowego? Przynajmniej część z powyższych zaleceń warto wpro-
Oprogramowanie sklepu internetowego, wraz z serwe- wadzić w życie dla każdego serwisu internetowego (w
rem na którym działa, to – zgodnie z definicją z ustawy szczególności sklepu internetowego), ponieważ popra-
– system informatyczny. Wymagania stawiane syste- wią jego ogólną niezawodność i bezpieczeństwo.
mowi informatycznemu nie zależą od rodzaju oprogra-
mowania i dotyczą: Czy cała komunikacja między klientem
a sklepem internetowym powinna być
• oprogramowania komercyjnego i darmowego (np. szyfrowana?
Open Source), Ustawa o ochronie danych osobowych nie nakłada tak
• gotowych pakietów i programów stworzonych na szerokiego obowiązku zapewnienia bezpiecznego, szy-
lub dostosowanych do indywidualnych potrzeb skle- frowanego połączenia HTTPS i certyfikatów SSL. Nie
pu, ma też praktycznego uzasadnienia, żeby w przypadku
• platform hostujących sklepy internetowe. każdego sklepu wymagać szyfrowania całej komunika-
cji między komputerem klienta a serwerem.
Zgodnie z wymaganiami UODO, każdy system infor- UODO mówi jednak, że należy bezwzględnie sto-
matyczny, który służy do przetwarzania danych oso- sować bezpieczne połączenia HTTPS wobec danych
bowych, musi spełniać następujące wymagania: wykorzystywanych do uwierzytelnienia, które są prze-
syłane przez Internet (będzie to na przykład operacja
• zapewniać kontrolę dostępu do danych osobowych logowania się klienta do własnego konta lub obsługi
(na przykład wymagać podania identyfikatora użyt- sklepu do panelu administracyjnego). Dodatkowo wła-
kownika i hasła oraz wprowadzać poziomy upraw- ściciel sklepu ma obowiązek dochowania szczególnej
nień, jeśli można je wyodrębnić), staranności w zabezpieczeniu wszelkich danych oso-
• każdy użytkownik musi posiadać odrębny identy- bowych.
fikator (nie może mieć miejsca sytuacja, w której Warto więc zastosować szyfrowane połączenie
użytkownicy korzystają ze wspólnego loginu), HTTPS i certyfikat SSL przynajmniej w obrębie:
• system musi być zabezpieczony przed działaniem
oprogramowania, którego celem jest uzyskanie nie- • logowania się klienta do konta w sklepie interneto-
uprawnionego dostępu, wym (informacja o identyfikatorze użytkownika i ha-
• zmiana hasła następuje przynajmniej raz na 30 dni, śle),
• hasło składa się z co najmniej 8 znaków, zawiera • obsługi koszyka i składania zamówienia (informacje
małe i wielkie litery oraz cyfry lub znaki specjalne, o zamówionych produktach, cena),
• dostęp do systemu powinien być zabezpieczony • obsługi historii zamówień oraz informacji osobi-
przed zagrożeniami pochodzącymi z Internetu po- stych (zamówione produkty, adres dostawy),
przez wdrożenie fizycznych lub logicznych zabez- • całego panelu administracyjnego, który służy do
pieczeń chroniących przed nieuprawnionym dostę- zarządzania sklepem i jest wykorzystywany przez
pem (na przykład zapora ogniowa firewall) i zapew- jego obsługę.
niają kontrolę przepływu informacji pomiędzy sys-
temem informatycznym a Internetem oraz kontrolę Wykorzystanie certyfikatu SSL na serwerze pozwala
działań inicjowanych z Internetu i systemu informa- na spełnienie tych wymagań. Dane przesyłane przez
tycznego, Internet nie tylko nie będą mogły zostać podsłuchane,
• system musi automatycznie odnotowywać datę ale połączenie HTTPS zapewni również, że nie zosta-
wprowadzenia danych osobowych, osobę, która je ną one zmodyfikowane. Orientacyjny koszt certyfika-
wprowadziła, źródło danych, informację o udostęp- tu SSL to 120zł rocznie, a więc jest niski w porówna-
nieniu danych oraz informację czy osoba wyraziła niu do kosztów jednego skutecznego wyłudzenia na-
sprzeciw wobec przetwarzania jej danych, wet w małych sklepach.
28 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce
www.hakin9.org 29
OBRONA
dostęp oraz informacji na temat sposobów w jaki dane systemu informatycznego. Czyli nie powinna mieć miej-
są zabezpieczone. Lista upoważnień powinna zostać sca sytuacja, w której serwery znajdują się w centrum
zapisana w Ewidencji osób upoważnionych do prze- przetwarzania danych spełniającego wymagania UODO,
twarzania danych, również prowadzonej przez właści- natomiast płyty DVD z kopiami zapasowymi przechowy-
ciela sklepu. wane są w niezabezpieczonej szafie w biurze.
W przypadku, kiedy dostęp do danych osobowych Należy również pamiętać, że UODO wymaga, aby ko-
uzyskuje inna firma (na przykład firma hostingowa, pie zapasowe zostały usunięte niezwłocznie po ustaniu
agencja interaktywna, programista prowadzący własną ich użyteczności. Ma to na celu zapewnienie, że dane
działalność gospodarczą, firma udostępniająca aplika- osobowe, które nie są już do niczego potrzebne, nie bę-
cję internetową do wysyłania mailingów), to koniecznie dą przechowywane nadmiernie długo.
należy podpisać umowę powierzenia przetwarzania da-
nych osobowych. Co należy zrobić z nośnikami danych, na
Ustawa o ochronie danych osobowych stawia dwa których znajduje się baza SQL sklepu, a które
wymagania umowie powierzenia przetwarzania danych nie są już potrzebne?
osobowych. Umowa taka musi koniecznie: W trakcie działania serwisu internetowego normalne
jest, że pojawiają się nośniki danych, które zawierają
• zostać zawarta w formie pisemnej, dane (niekoniecznie osobowe), które nie są już do ni-
• określać cel i zakres przetwarzania danych. czego potrzebne. Mogą to być stare kopie zapasowe al-
bo stary serwer, który nie jest już wykorzystywany.
W praktyce podpisanie umowy powierzenia przetwarza- Przepisy UODO w jasny sposób mówią co należy zro-
nia danych osobowych zabezpiecza interesy właściciela bić z nośnikami danych przeznaczonych do: likwidacji,
sklepu. Taka umowa nakłada bowiem na współpracują- przekazania podmiotowi nieuprawnionemu do przetwa-
cą firmę obowiązek zabezpieczenia zbioru danych oso- rzania danych (np. przekazanie komputera innej osobie
bowych (oczywiście w zależności do tego jakie opera- czy firmie) lub naprawy. Należy pozbawić nośnik wcze-
cje na nim wykonuje) i odpowiada za poprawną realiza- śniej zapisu danych osobowych, a w przypadku gdy nie
cję tych działań tak samo jak właściciel sklepu. jest to możliwe, należy nośnik uszkodzić w sposób unie-
Brak podpisanej umowy powierzenia przetwarzania możliwiający jego odczytanie. W przypadku oddania do
danych osobowych mógłby sprowadzić na właścicie- naprawy oczywiście nie należy uszkadzać nośnika, za-
la sklepu zarzut udostępnienia danych osobowych in- miast tego naprawa powinna odbywać się pod nadzorem
nemu podmiotowi bez posiadania jakiejkolwiek podsta- osoby upoważnionej przez administratora danych.
wy prawnej. W przypadku usuwania informacji z dysków twardych
należy skorzystać ze specjalnego programu, który wie-
Jakie są wymagania UODO dla kopii lokrotnie zapisze obszary dysku, na których znajdowały
zapasowych? się pliki, co uniemożliwi (lub znacząco utrudni) ich odzy-
Przepisy UODO wymagają wykonywania kopii zapaso- skanie nawet w profesjonalnej firmie zajmującej się od-
wych przetwarzanych danych osobowych oraz progra- zyskiwaniem danych. Płyty CD lub DVD najłatwiej jest
mów i narzędzi programowych służących do ich prze- połamać lub skorzystać z biurowej niszczarki potrafią-
twarzania. Nie precyzują jednak częstotliwości czy spo- cej niszczyć również płyty.
sobu ich wykonywania – decyzje w tej sprawie pozosta- Warto zauważyć, że wymagania UODO warto sto-
wione są w gestii administratora danych. Warto pamię- sować nie tylko do danych osobowych, ale do wszel-
tać, że macierz RAID nie zastępuje kopii bezpieczeń- kich dysków czy płyt DVD na których znajdują się dane
stwa. Zestaw płyt DVD lub kaset do streamera wypeł- związane z działaniem przedsiębiorstwa.
nionych ważnymi danymi nie stanowi jeszcze kopii bez-
pieczeństwa. Niezbędne jest opracowanie procedu- Czy z punktu widzenia ochrony danych
ry pozwalającej na odzyskanie danych, przeszkolenie osobowych istotne jest państwo, w którym
pracowników i wyznaczenie osób odpowiedzialnych za znajdują się serwery obsługujące sklep
cały proces. Należy również zadbać, aby dostęp do no- internetowy?
śników z danymi był możliwy w określonym, maksymal- Ustawa o ochronie danych osobowych rozróżnia przy-
nym czasie. padek przekazania danych osobowych do państwa
Kopie zapasowe muszą być przechowywane w miej- trzeciego. „Państwo trzecie” to państwo nienależące
scach zabezpieczających je przed nieuprawnionym do Europejskiego Obszaru Gospodarczego (kraje Unii
przejęciem, modyfikacją, uszkodzeniem lub zniszcze- Europejskiej oraz Norwegia i Islandia). Przekazanie da-
niem. Bezwzględnie należy zapewnić przynajmniej tak nych osobowych do państwa trzeciego może nastąpić
samo dobre zabezpieczenia dla nośników danych, na jeżeli państwo docelowe daje gwarancję ochrony da-
których znajdują się kopie zapasowe jak dla działającego nych osobowych na swoim terytorium przynajmniej ta-
30 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce
kiej, jaka obowiązuje w Polsce oraz w kilku innych przy- Czy połączenie e-sklepu z innymi portalami
padkach szczegółowo określonych w ustawie. zagraża bezpieczeństwu danych osobowych
Przekazanie danych należy traktować dość szero- użytkowników?
ko i obejmuje ono również przekazywanie danych na Przede wszystkim należy ustalić czy w trakcie połącze-
serwery właściciela sklepu zlokalizowane w państwie nia sklepu internetowego z innymi serwisami dojdzie do
trzecim. transferu danych osobowych klientów tego sklepu.
Bez żadnych problemów można przetwarzać da- Jeśli na stronie internetowej sklepu osadzany jest je-
ne osobowe klientów sklepu na serwerach zlokalizo- dynie „widget” (na przykład serwisu Facebook) z inne-
wanych w dowolnym z państw Unii Europejskiej. Ze go serwisu internetowego, raczej nie spowoduje to za-
względów praktycznych wygodnie jest, jeśli nie ma grożenia dla bezpieczeństwa danych osobowych klien-
bariery językowej między właścicielem sklepu a firmą tów sklepu.
świadczącą usługę hostingu, dzierżawy czy kolokacji W przypadku, kiedy następuje przekazanie danych
serwera i nie ma problemu z różnicami w przepisach osobowych klienta do innego serwisu internetowego,
między różnymi państwami. dochodzi do udostępnienia danych w rozumieniu prze-
pisów UODO i konieczne jest zastosowanie się do spe-
Jakie mogą być konsekwencje dla cyficznych wymagań. W szczególności oznacza to, że
przedsiębiorcy, który przetwarza dane użytkownik przede wszystkim powinien zgodzić się
osobowe niezgodnie z UODO? na udostępnienie swoich danych. Oprócz tego powi-
Jednym z zadań Generalnego Inspektora Ochrony Da- nien zostać poinformowany o fakcie udostępnienia, ce-
nych Osobowych jest kontrola zgodności przetwarza- lu i zakresie przekazanych danych oraz o firmie, której
nia danych z przepisani o ochronie danych osobowych. dane zostały udostępnione.
Realizując to zadanie inspektorzy GIODO mają prawo W szczególnych przypadkach, jeśli integrowany ser-
do przeprowadzania kontroli podmiotów, które przetwa- wis ma specyficzne błędy, możliwe może być wykona-
rzają dane osobowe. nie skutecznego ataku na klienta sklepu internetowego
Warto wiedzieć, że inspektorzy GIODO pracują w ze- nawet przez „widget”. Może to doprowadzić do wycieku
społach, w skład których wchodzą zarówno prawni- danych osobowych konkretnej osoby, która jednocze-
cy jak i informatycy. Oznacza to, że kontrolujący ma- śnie korzysta z tego serwisu i sklepu internetowego.
ją kompetencje i uprawnienia pozwalające na zbadanie
systemów informatycznych i poprawności zabezpiecze- Podsumowanie
nia serwerów. Zapewnienie bezpieczeństwa przetwarzania danych
Właściciel sklepu internetowego, który nie wypełnia osobowych klientów sklepu internetowego z pewnością
obowiązków nałożonych na niego przez UODO, mię- wymaga wiedzy i poświęcenia pewnej ilości czasu, że-
dzy innymi w zakresie rejestracji zbioru danych osobo- by poprawnie zorganizować cały proces. Nakłady te po-
wych, legalności przetwarzania informacji oraz zabez- winny jednak zwrócić się nie tylko w postaci spełnienia
pieczeń technicznych i organizacyjnych, może zostać wymagań ustawy o ochronie danych osobowych, ale ja-
pociągnięty do odpowiedzialności: ko konkretna korzyść biznesowa - w postaci zdobycia
większego zaufania klientów oraz poprawienia stabilno-
• karnej - grzywna, ograniczenie lub pozbawienie ści i bezpieczeństwa całej platformy do e-handlu, z któ-
wolności do lat 3, rej korzysta przedsiębiorca. Oznacza to wymierne zyski
• administracyjnej - wymóg poprawienia błędów, dzięki mniejszej liczbie awarii i przerw w działaniu skle-
a nawet usunięcia zgromadzonych danych, pu czy uniknięcie zagrożeń i szkód związanych z wła-
• dyscyplinarnej - dotyczy pracowników i może do- maniami.
prowadzić do zwolnienia dyscyplinarnego,
• odszkodowawczej - odszkodowanie w przypad-
ku naruszenia praw osoby lub wyrządzenia szkody MARCIN ENGELMANN
majątkowej lub krzywdy. Od 10 lat zajmuje się bezpieczeństwem informacji i systemów
informatycznych oraz ochroną danych osobowych. Posiada
Z punktu widzenia biznesu najbardziej dotkliwe dla doświadczenie w przeprowadzaniu audytów IT oraz wdraża-
sklepu internetowego może być nakazanie usunięcia niu polityk bezpieczeństwa (ISO 27001), jest również Certy�-
danych osobowych, które zostały zgromadzone nie- kowanym Audytorem Systemów Informatycznych (CISA) mię-
zgodnie z wymaganiami UODO. Paraliżująco na dzia- dzynarodowej organizacji ISACA. Jest właścicielem i wiodą-
łanie sklepu może również wpłynąć nakazanie przez cym audytorem �rmy IMAGIN IT zajmującej się doradztwem
GIODO usunięcia uchybień lub też uzupełnienia, uak- w zakresie bezpieczeństwa informacji i systemów komputero-
tualnienia danych lub zastosowania dodatkowych środ- wych oraz projektowaniem infrastruktury dla systemów wy-
ków zabezpieczających zgromadzone dane osobowe. sokiej wydajności i niezawodności.
www.hakin9.org 31
OBRONA
O
chrona baz danych w świetle przepisów prawa Bazy danych osobowych są podstawą działania dzia-
polskiego opiera się na przepisach prawa autor- łów marketingu i reklamy. Są one wykorzystywane do
skiego (ustawa z 4 lutego 1994 r. o prawie autor- prowadzenia reklamy personalnej, badań zachowań
skim) oraz regulacjach ustawy o ochronie baz danych. klientów, wysyłania personalizowanych materiałów re-
Ustawa o prawie autorskim znajduje zastosowanie do klamowych i innych działań z zakresu Public Relation.
baz, których dobór, układ i zestawienie ma charakter Dlatego celem artykułu jest przedstawienie elemen-
twórczy. Pozbawia to możliwości objęcia ochroną zbio- tów ochrony baz danych osobowych oraz zasad korzy-
rów, w których elementy zostały ułożone alfabetycznie stania z nich.
czy też chronologicznie. Z uwagi na to ograniczenie,
uzupełnienie ochrony baz danych stanowią przepisy WYMAGANIA DOTYCZĄCE OCHRONY
Ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. BAZ DANYCH OSOBOWYCH W AKTACH
Umożliwiają one ochronę baz danych, które nie speł- PRAWNYCH
niają przesłanek umożliwiających uznanie ich za przed-
miot prawa autorskiego. Ustawa z dnia 27 lipca 2001 r.
Rodzaj podjętych przedsięwzięć oraz zakres stoso- o ochronie baz danych.
wanych środków ochrony jest bardzo szeroki, dlate- Podstawowe zasady ochrony baz danych w prawie pol-
go też treści zawarte w artykule nie stanowią całościo- skim zawarto w ustawie z dnia 27 lipca 2001 r. o ochro-
wej problematyki wchodzącej w jej zakres. Są jedynie nie baz danych. Przedmiotem ochrony jest baza da-
zwróceniem szczególnej uwagi na jeden z elementów nych niespełniająca cech utworów. Ustawa dotyczy baz
ochrony baz, którym są bazy danych osobowych. danych przechowywanych w dowolny sposób.
32 2/2011
Bazy danych i zasady korzystania z nich w świetle przepisów prawa polskiego.
Należy zwrócić uwagę, na fakt, iż baza danych to Ustawa z dnia 29 sierpnia 1997 r.
„zbiór danych lub innych elementów zgromadzonych o ochronie danych osobowych.
wedle określonej systematyki lub metody indywidual- Zasady przetwarzania danych osobowych w zbiorach
nie dostępnych w jakikolwiek sposób”. Jest to ważne, danych a za takie możemy uznać bazy danych oso-
gdyż nie ma znaczenia sposób jej sporządzenia i utrwa- bowych, określa ustawa z dnia 29 sierpnia 1997 r.
lenia. Ochronie podlegają nie tylko elektroniczne bazy o ochronie danych osobowych oraz wydane na jej pod-
danych, ale również fizyczne. stawie akty wykonawcze – rozporządzenia Ministra
Ustawa chroni interesy producenta bazy, którym mo- Spraw Wewnętrznych i Administracji.
że być osoba fizyczna, osoba prawna lub jednostka or- Ustawa określa zasady postępowania przy przetwa-
ganizacyjna nie posiadająca osobowości prawnej, któ- rzaniu danych osobowych oraz prawa osób, których da-
ra ponosi nakłady inwestycyjne przy tworzeniu bazy. ne są przetwarzane, niezależnie od sposobu przetwa-
Producentem bazy powstałej w wyniku stosunku pracy rzania danych.
jest pracodawca, producentem bazy powstałej o umo- Ustawa narzuca na administratorów danych konkret-
wę o dzieło lub zlecenie jest zleceniodawca. Ochrona ne wymagania organizacyjne i techniczne, w tym dla
przysługuje bazom danych, których producent: baz danych osobowych. W zakresie zabezpieczeń baz
danych i przechowywanych w nich informacji Ustawa
• Jest obywatelem RP albo ma na jej terytorium swo- definiuje następujące kwestie:
ją siedzibę lub
• Jest obywatelem państwa członkowskiego Unii Eu- • Określenie pojęcia danych osobowych (art. 6).
ropejskiej albo ma miejsce stałego pobytu na tery- • Określenie organów ochrony danych osobowych,
torium Wspólnoty Europejskiej lub w tym wyszczególnienie praw i obowiązków General-
• Jest osobą prawną założoną zgodnie z prawem nego Inspektora Ochrony Danych Osobowych (GIO-
państwa członkowskiego Unii europejskiej, posia- DO) i obowiązków podmiotów względem GIODO.
dającą siedzibę i zakład główny wykonywania dzia- • Określenie zasad przetwarzania danych osobo-
łalności na terytorium Wspólnoty Europejskiej. wych (rozdział 3).
• Wskazanie praw osoby, której dane są przetwarza-
Ustawa określa także czas obowiązywania ochro- ne (rozdział 4).
ny bazy danych na 15 lat od momentu jej utworze- • Aspekty zabezpieczania danych osobowych (roz-
nia lub od momentu jej udostępnienia publicznie, dział 5).
o ile udostępnienie to nastąpiło w ciągu 15 lat od jej • Obowiązek rejestrowania zbiorów danych osobo-
utworzenia. wych (rozdział 6).
Ustawa pozwala na korzystanie z baz danych na za- • Zasady przekazywania danych osobowych do pań-
sadzie tzw. dozwolonego użytku. Zgodnie z art. 8 Usta- stwa trzecich (rozdział 7).
wy możliwe jest korzystanie z istotnej, co do jakości lub
ilości, części rozpowszechnionej bazy danych: Zasady zabezpieczenia baz danych osobowych za-
równo w sposób techniczny, jak i organizacyjny zawie-
• Do własnego użytku osobistego, ale tylko z zawar- ra rozdział 5.
tości nieelektronicznej bazy danych, Najogólniej wymagania dotyczące zabezpieczeń da-
• W charakterze ilustracji, w celach dydaktycznych nych osobowych określa Art. 36 ust. 1 Ustawy, który
lub badawczych, ze wskazaniem źródła, jeżeli takie mówi, że „Administrator danych jest obowiązany zasto-
korzystanie jest uzasadnione niekomercyjnym ce- sować środki techniczne i organizacyjne zapewniające
lem, dla którego wykorzystano bazę, ochronę przetwarzanych danych osobowych odpowied-
• Do celów bezpieczeństwa wewnętrznego, postępo- nią do zagrożeń oraz kategorii danych objętych ochro-
wania sądowego lub administracyjnego. ną, a szczególności powinien zabezpieczyć dane przed
ich udostępnieniem osobom nieupoważnionym, za-
Ustawodawca docenił rolę tych, którzy zbierają infor- braniem przez osobę nieuprawnioną, przetwarzaniem
macje, gromadzą i przetwarzają lub udostępniają prze- z naruszeniem ustawy oraz zmianą, utratą, uszkodze-
twarzanie dla określonych osób i celów. niem lub zniszczeniem”.
W przypadku bezprawnego korzystania z chronio- Najważniejsze wymagania dotyczące ochrony baz
nej bazy danych zgodnie z art. 11 Ustawy producent danych osobowych, wynikające z ustawy to:
ma prawo wezwać do zaprzestania z korzystania z ba-
zy, zwrotu uzyskanych korzyści finansowych, lub żądać • Określenie aspektów identyfikacji czy w administro-
naprawienia wyrządzonej szkody na prawach ogólnych. wanej bazie danych znajdują się dane osobowe.
Osoba korzystająca z bazy danych chronionej podlega • Określenie zakresu przetwarzania administrowa-
karze grzywny. nych danych, identyfikacji czy jest wymagana i do-
www.hakin9.org 33
OBRONA
stępna zgoda osób, których dane dotyczą, weryfi- temu informatycznego, służącego do przetwarza-
kacji kompletności danych i poprawności ich prze- nia danych osobowych, połączone jest z siecią
twarzania ze zgłoszonym celem i zakresem. publiczną.
• Określenie mechanizmów udostępniania danych
i weryfikacji rejestracji udostępniania danych. Ba- Do najważniejszych wymagań sprecyzowanych w Roz-
za danych osobowych powinna umożliwiać wy- porządzeniu możemy zaliczyć:
świetlenie, wydrukowanie dla danej osoby raportu,
w którym będą uwzględnione dane takie, jak: da- • Konieczność stosowania mechanizmów kontroli do-
ne tej osoby, źródło pochodzenia danych, kto dopi- stępu, przy czym jeśli do systemu ma dostęp wielu
sał dane do bazy, data i czas utworzenia, informa- użytkowników, to muszą mieć oni odrębne identyfi-
cje o modyfikacjach, informacje komu i kiedy i w ja- katory.
kim zakresie dane były udostępniane. • Zabezpieczenie przed „działaniem oprogramowa-
• Określenie formatu przekazywania danych, zakre- nia, którego celem jest uzyskanie nieuprawnionego
su i rejestrowania przekazywania danych. dostępu do systemu informatycznego” oraz „utratą
• Określenie poziomu bezpieczeństwa dla każdego danych spowodowaną awarią zasilania lub zakłóce-
ze zbiorów, nadawanie i zarządzanie upoważnie- niami w sieci zasilającej”.
niami do przetwarzania danych osobowych oraz • Identyfikator użytkownika, który utracił uprawnienia
stosowania mechanizmów rozliczalności. do przetwarzania danych, nie może być przydzielo-
• Sporządzenie dokumentacji dotyczącej sposobu ny innej osobie.
przetwarzania i zabezpieczania danych osobo- • Wymagania dotyczące haseł:
wych. • powinny być zmieniane nie rzadziej niż 30 dni,
• Określenie zasad kontroli i dostępu do obszarów • hasło powinno składać się co najmniej na po-
przetwarzania danych osobowych. ziomie podstawowym z 6 znaków, na poziomie
• Określenie fizycznych zabezpieczeń instalacji infor- podwyższonym i wysokim z 8 znaków i zawie-
matycznych, baz danych i nośników zawierających rać małe i duże litery oraz cyfry lub znaki spe-
dane osobowe. cjalne,
• Wyznaczenie osób, które będą odpowiedzialne za • Konieczność sporządzania kopii zapasowych da-
fizyczne bezpieczeństwo instalacji informatycz- nych i programów je przetwarzających. Ponadto ko-
nych, baz danych i nośników zawierających dane pie zapasowe należy przechowywać w miejscach
osobowe. zabezpieczających je przed nieuprawnionym prze-
• Określenie sposobu weryfikowania nadanych jęciem, modyfikacją, uszkodzeniem lub zniszcze-
uprawnień dostępu do systemów. niem oraz usuwać niezwłocznie po ustaniu ich uży-
teczności.
Art. 39a Ustawy określa, że podstawowe warunki orga- • Jeżeli dane są przetwarzane na komputerze prze-
nizacyjne jak i techniczne, jakie muszą spełniać urzą- nośnym to nakazane jest szyfrowanie danych.
dzenia i systemy informatyczne służące do przetwa- • Urządzenia, dyski lub inne nośniki elektroniczne za-
rzania danych osobowych są wskazane w Rozporzą- wierające dane osobowe przeznaczone do likwida-
dzeniu MSWiA „w sprawie dokumentacji przetwarza- cji, naprawy lub przekazania podmiotowi nieupraw-
nia danych osobowych, oraz warunków technicznych nionemu do przetwarzania danych osobowych po-
i organizacyjnych, jakim powinny odpowiadać urządze- zbawia się wcześniej zapisu w sposób uniemożli-
nia i systemy informatyczne służące do przetwarza- wiający ich odzyskanie.
nia danych osobowych”, które jest podstawowym do- • Na poziomie wysokim należy stosować zabezpie-
kumentem określającym wymagania techniczne do- czenia logiczne, które obejmują kontrolę przepływu
tyczące systemów informatycznych [2]. W załączniku informacji pomiędzy systemem informatycznym ad-
do tego rozporządzenia, są wymienione środki bezpie- ministratora danych a siecią publiczną oraz kontro-
czeństwa, jakie powinny być stosowane w systemie in- lę działań z sieci publicznej i systemu informatycz-
formatycznym przetwarzającym dane osobowe. Środ- nego administratora danych.
ki bezpieczeństwa zostały przypisane do trzech pozio- • Na poziomie wysokim należy zapewnić również
mów zabezpieczeń: ochronę kryptograficzną wobec danych wykorzy-
stywanych do uwierzytelniania, które są przesyłane
• Podstawowy dla wszystkich systemów, w sieci publicznej,
• Podwyższony – dla systemów przetwarzających
dane o szczególnej wartości wymienione w art. 27 Dużą rolę, w ramach bezpieczeństwa i zasad korzy-
Ustawy (dane wrażliwe), stania z baz danych osobowych odgrywa, oprócz
• Wysoki – gdy przynajmniej jedno urządzenie sys- wskazanych powyżej aspektów element rozliczal-
34 2/2011
Bazy danych i zasady korzystania z nich w świetle przepisów prawa polskiego.
ności. Podkreślając globalny charakter przepisów wości istnienia anonimowych działań użytkowników.
o ochronie danych osobowych należy wspomnieć Świadoma odpowiedzialność użytkowników, jak rów-
o § 7 Rozporządzenia Ministra Spraw Wewnętrz- nież i ich wiedza o takiej funkcjonalności systemu,
nych i Administracji z dnia 29 kwietnia 2004 r. w spra- powoduje zmniejszenie zjawiska udostępniania haseł
wie dokumentacji przetwarzania danych osobowych i identyfikatorów, co ma dobry wpływ na bezpieczeń-
oraz warunków technicznych i organizacyjnych, ja- stwo przetwarzanych danych w bazach danych oso-
kim powinny odpowiadać urządzenia i systemy infor- bowych.
matyczne służące do przetwarzania danych osobo- Natomiast punkty 3, 4 i 5 ustępu pierwszego w tym
wych, w którym zostały ujęte główne wytyczne w tym paragrafie poprawiają komfort osobom, których da-
zakresie: ne osobowe są przetwarzane. Przejrzystość w zakre-
sie pochodzenia danych w bazie danych osobowych,
I. Dla każdej osoby, której dane osobowe są przetwa- a także informacji komu, kiedy i w jakim zakresie dane
rzane w systemie informatycznym – z wyjątkiem zostały udostępnione oraz możliwość zgłoszenia i od-
systemów służących do przetwarzania danych oso- notowania sprzeciwu dotyczącego przetwarzania da-
bowych ograniczonych wyłącznie do edycji tekstu nych osobowych stanowią o tym, że osoba której da-
w celu udostępnienia go na piśmie – system ten za- ne są przetwarzane czuje się bezpieczna i wzrasta jej
pewnia odnotowanie: poziom zaufania. Osoba, której dane osobowe są prze-
1) Daty pierwszego wprowadzenia danych do sys- twarzane w takim systemie, mając wiedzę dotyczącą
temu, tych aspektów, będzie mogła kontrolować sposób i ja-
2) Identyfikatora użytkownika wprowadzającego kość ich przetwarzania.
dane osobowe do systemu, chyba że dostęp
do systemu informatycznego i przetwarzanych ZASADY KORZYSTANIA Z BAZ DANYCH
danych w nim danych posiada wyłącznie jedna OSOBOWYCH
osoba, Zbiory zgromadzonych danych osobowych stanowią
3) Źródła danych, w przypadku zbierania danych, odrębną bazę danych w każdej organizacji zabezpie-
nie od osoby, której one dotyczą, czonych przed dostępem osób nieuprawnionych, a tak-
4) Informacji o odbiorcach, w rozumieniu art. 7 pkt że osób trzecich. Przekazywanie danych osobowych in-
6 Ustawy, którym dane osobowe zostały udo- nym osobom oraz instytucjom, jest dozwolone za zgo-
stępnione, dacie i zakresie tego udostępnienia, dą osoby, której dane dotyczą oraz gdy wymagają tego
chyba że system informatyczny używany jest obowiązujące przepisy prawa.
do przetwarzania danych zawartych w zbiorach Korzystanie z baz danych osobowych związane jest
jawnych, z procesami udostępniania danych oraz powierzania
5) Sprzeciwu, o którym mowa w art. 32 ust. 1 pkt baz danych do przetwarzania.
8 ustawy.
II. . Odnotowanie informacji, o których mowa w ust. Udostępnianie danych.
1 pkt 1 i 2, następuje automatycznie po zatwierdze- Udostępnianie danych osobowych nastąpi zawsze wte-
niu przez użytkownika operacji wprowadzania da- dy, gdy administrator danych osobowych w sposób fak-
nych. tyczny przekaże bądź inaczej umożliwi zapoznanie się
III. Dla każdej osoby, której dane osobowe są przetwa- z danymi osobowymi innej osobie lub podmiotowi, któ-
rzane w systemie informatycznym, system zapew- ry to podmiot pełnić będzie w stosunku do tych danych
nia sporządzenie i wydrukowanie raportu zawiera- osobowych rolę administratora danych.
jącego w powszechnie zrozumiałej formie informa- Procesy związane z udostępnianiem danych z baz
cje, o których mowa w ust. 1. danych osobowych dzielą się na udostępnianie da-
nych wewnątrz organizacji oraz udostępnianie na ze-
Biorąc pod uwagę punkty 1 i 2 ustępu pierwszego wnątrz. Przy udostępnianiu danych wewnątrz organi-
w powyższym paragrafie, od razu widać, że w syste- zacji należy zwrócić uwagę, że dane można udostęp-
mie informatycznym konieczne jest istnienie indywi- nić jedynie osobom posiadającym upoważnienie do
dualnego autoryzowanego dostępu dla każdego użyt- przetwarzania danych osobowych, którym dane te są
kownika oraz rejestracja czasu zdarzeń wygenerowa- potrzebne do wykonywania ich obowiązków służbo-
nych przez niego samego. Powiązanie tych dwóch wych. Udostępniając dane na zewnątrz należy zwró-
faktów wraz z wymogiem odnotowywania identy- cić uwagę, czy istnieje podstawa prawna udostępnie-
fikatora użytkownika wprowadzającego dane i da- nia danych osobowych. Dane powinno się udostęp-
ty pierwszego wprowadzenia danych oraz automa- niać innym podmiotom na ich pisemny wniosek, z po-
tyzacji tych procesów zgodnie z ustępem drugim te- wołaniem się na przepis, zezwalający na otrzymywa-
go paragrafu, daje nam w konsekwencji brak możli- nie takich danych.
www.hakin9.org 35
OBRONA
DARIUSZ ŁYDZIŃSKI
Dariusz Łydziński - studia podyplomowe w Wyższej Szkole Menedżerskiej w Warszawie - ochrona informacji niejawnych i ad-
ministrowanie bezpieczeństwem informacji, oraz w Akademii Obrony Narodowej w Warszawie – bezpieczeństwo informacyj-
ne. Pełnomocnik ds. Bezpieczeństwa i Jakości, Szef Działu Bezpieczeństwa, Ochrony Informacji i Audytu Unizeto Technologies
SA. Zajmował i zajmuje stanowiska związane z bezpieczeństwem i ochroną danych. Ma doświadczenie w identy�kowaniu ryzy-
ka i zagrożeń występujących w związku z wykorzystywaniem systemów teleinformatycznych. Doświadczenie zawodowe w za-
kresie zapewnienia bezpieczeństwa/ochrony wielooddziałowego przedsiębiorstwa, doświadczenie w opracowywaniu polityk
i strategii zarządzania bezpieczeństwem.
Kontakt: dlydzinski@unizeto.pl
Unizeto Technologies SA - projektowanie i integracja systemów, tworzenie rozwiązań zapewniających bezpieczeństwo syste-
mów i komunikacji elektronicznej oraz zaawansowane technologicznie usługi IT, usługi certy�kacyjne związane z podpisem
elektronicznym.
36 2/2011
Narzędzia do automatycznego audytu bezpieczeństwa
Narzędzia do
automatycznego audytu
bezpieczeństwa
Maciej Karmoliński
Wprowadzanie systemu automatycznego wykrywania i zarządzania
podatnościami w złożonych sieciach, jest nowo przyjętym podejściem
dużych i średnich przedsiębiorstw na rynku europejskim. Ocena
stosowanych zabezpieczeń uległa znacznej poprawie dzięki kwartalnym,
miesięcznym a nawet codziennym audytom, dzięki którym mamy możliwość
szybkiego reagowania na powstałe luki systemu, bądź zmianę istniejącego
zagrożenia.
Dzisiejsza infrastruktura sieci zmienia się bardzo jęcie decyzji o zautomatyzowaniu funkcji biznesowych
szybko. Na bieżąco dodawane są nowe serwery, usłu- w pierwszej kolejności opiera się na bardziej efektyw-
gi, połączenia i porty, a także laptopy, nośniki pamięci nym, skutecznym, a przede wszystkim tańszym spo-
i urządzenia bezprzewodowe, które prowadzą do cią- sobie utrzymania bezpieczeństwa. Wybierając skano-
głego i intensywnego rozwoju infrastruktury IT. Wraz wanie podatności systemu, jako usługę automatyczną,
z rosnącą liczbą nowych urządzeń, wzrasta ilość po- musimy wziąć pod uwagę trzy, bardzo ważne, czynniki:
datności. Nie zapominajmy również, że każdego dnia
przybywa wiele nowych potencjalnych zagrożeń, dla- 1. Zdolność przedstawiania rozwiązań, na podstawie
tego baza wskazująca rodzaj podatności i sposoby dokładnej i pełnej oceny podatności.
ich naprawy, musi być bieżąco aktualizowana. Wiele 2. Analizę danych, oraz ocenę istotnych informacji.
przedsiębiorstw korzystających z tego typu urządzeń 3. Śledzenie i raportowanie skuteczności działań łago-
ma zapewnione wsparcie grupy specjalistów, którzy dzących.Poniżej, przedstawię Państwu w jaki spo-
odpowiadają na każde pytanie 24/7. sób te czynniki odnoszą się do obecnie wykonywa-
W dzisiejszych czasach stosowanie powszechnych nych testów bezpieczeństwa, a następnie omówię
środków ochrony, takich jak: firewall, programy anty- zmieniające się role podatności w procesie tworze-
wirusowe i IPS/IDS, jest niewystarczająco skuteczne. nia automatycznego wykrywania podatności.
Każdy potencjalny intruz próbujący dostać się do infor-
macji danej firmy, zna podatności i z łatwością potrafi Wyzwania narzędzi służących ocenie
je obejść, a to dlatego, że w każdej kolejnej „nowszej bezpieczeństwa sieci
wersji”, są tak naprawdę niewielkie zmiany. Ocena podatności sieci (ręczna lub automatyczna) jest
Biorąc pod uwagę ww. spostrzeżenia, proces auto- powszechnie uznawana za klucz uzyskania pełni bez-
matyzacji ma na celu minimalizację nakładu pracy dla pieczeństwa sieci. Oszacowanie podatności na zagro-
każdego testu oraz zwiększenie częstotliwości badań, żenia jest wykonywane w celu określenia rzeczywistego
na tyle aby ponoszone koszta stały się opłacalne. Pod- stanu bezpieczeństwa w środowisku sieciowym a także
www.hakin9.org 37
BEZPIECZNA FIRMA
zbadania, czy intruz, który omija lub pokonuje pierście- tą i szczegółową wiedzę techniczną z zakresu mnó-
nie zabezpieczeń (antywirus, firewall i IPS / IDS), wyko- stwa nowoczesnych technologii. Przeprowadzenie te-
rzystuje do tego element mieszczący się w danej sieci, stów podatności wymaga specjalistycznej wiedzy i na-
oraz czy mógłby wykorzystać ten element do wpływania rzędzi, pamiętając, że są one kosztowne i długotrwałe.
na poufność, dostępność i integralność informacji. Nie ma również zbyt wielu zespołów na świecie posia-
Prawie wszystkie zdarzenia utraty ważnych danych dających Certtified Information Systems Security Pro-
wynikających z zewnętrznych lub wewnętrznych ata- fessionals (CISSPs), a nie wszystkie z nich mają kwa-
ków, zostały dokonane dzięki wykorzystaniu znanej, ale lifikacje do wykonywania audytu bezpieczeństwa sieci
niezaktualizowanej na czas luki. Przez „znane „ mam na i oceny zagrożeń.
myśli, że została udokumentowana w literaturze bezpie- Coraz większa liczba narzędzi audytowych stoso-
czeństwa i jej rozwiązania są dostępne. W 2009 roku wanych przez informatyków nie posiadających od-
każde z 70 największych naruszeń bezpieczeństwa (w powiedniej wiedzy i przygotowania audytowego mo-
wyniku całkowitej straty 275 milionów rekordów) zosta- że doprowadzać do sporządzania niepełnych wnio-
ły zrealizowane poprzez manipulowanie rozpowszech- sków poaudytowych. Zwykle raporty te obejmują, aż
nionymi podatnościami, pomimo zastosowania podsta- do 20% wyników nieprawdziwych (fałszywych) i wie-
wowych narzędzi ochronnych i nadzoru wieloosobowe- lu innych „luk”, które są mało znaczące dla określonej
go personelu. infrastruktury, wymagają tylko dodatkowej pracy i pie-
To jest bardzo duże wyzwanie. A aktualnie najlepsze niędzy aby potwierdzić ich stan rzeczywisty. To do-
wyniki w praktyce wskazują, że najlepszym sposobem świadczenie i ocena zgodności w środowisku siecio-
odpowiedzi jest wykonywanie regularnej oceny podatno- wym są konieczne. Ograniczona ilość pracowników
ści poprzez identyfikację znanych luk i błędów w syste- jest potęgowana przez fakt, że bezpieczeństwo nale-
mach i zabezpieczeniach sieciowych, aby zlokalizować ży do niepokojąco dynamicznie rozwijających się dzie-
je przed potencjalnym intruzem. dzin z branży IT. Wiedza i programy, które były ostat-
nio stosowane z powodzeniem podczas testowania
Ochrona aktywów przedsiębiorstwa sieci, mogą być teraz niewystarczające ze względu na
Obecnie działy IT znajdują się w pozycji nie do pozaz- nowo wykrywane podatności.
droszczenie, jeżeli chodzi o zarządzanie coraz bar-
dziej złożonymi środowiskami sieciowymi. Infrastruk-
tury nowoczesnych przedsiębiorstw składają się z wie-
lu typów urządzeń, systemów operacyjnych i aplikacji,
które mają zróżnicowane wymagania bezpieczeństwa
i dostępu. Dlatego musiały polegać we wszystkim na
rozdrobnionych rozwiązaniach wielu producentów,
od zapobiegania włamaniom, kontroli dostępu do za-
rządzania łatkami. Taka strategia wymaga wdrażania
i obsługi macierzy niezależnych produktów oraz usług
zabezpieczających.
Nieuchronnie prowadzi to do wielowarstwowej kom-
plikacji oceny podatności firmy, co jest zarówno czaso- Rysunek 1.
chłonne, jak i kosztowne, oraz stanowi poważne obcią-
żenie działu IT, szczególnie biorąc pod uwagę dzisiej-
sze środowisko, w którym zagrożenia ze strony złośli-
wych kodów rozwija się szybciej niż kiedykolwiek wcze-
śniej. Rozwiązania VA / VM często wymagają zdolności
sprawdzania, czy dane skany są kompletne, a następ-
nie do sortowania „fałszywych trafień”. Przy tak znacz-
nych inwestycjach, wymaganych do spełnienia przez or-
ganizację do każdorazowej oceny stanu sieci, zniechę-
ca i wręcz uniemożliwia to prowadzenie częstych audy-
tów, które są podstawą wykrywania nowopowstałych luk
w zabezpieczeniach..
38 2/2011
Narzędzia do automatycznego audytu bezpieczeństwa
www.hakin9.org 39
BEZPIECZNA FIRMA
• W teoretycznie maksymalnej wydajności, skanowa- ganie tajnych informacji, oraz w stanie wysokiego
nie całej sieci zajmuje mniej niż 30 minut ryzyka
• Kontrola obciążenia sieciowego umożliwia skanowa- • Dokładne dane dotyczące oceny podatności zwięk-
nie bez zakłóceń użytkowników sza zaufanie i reputację firmy
• Analizy i badania zagrożenia sieci, zapewniają
4. Wiele posiada Interface Zarządzania i opcji konfi- możliwość skupienia się na tych najbardziej kry-
guracyjnych, które pozwalają na: tycznych, zapobiegając atakom
• Znaczące wyniki, w tym działania naprawcze
• Całkowite zarządzanie urządzeniem skanowania, umożliwiają bardziej skuteczne rozwiązywania
prosty w użyciu interfejs www problemów
• Zarządzanie wieloma serwerami skanowania z jed- • Termin realizacji prowadzone przez konsultanta na-
nej lokalizacji rażają przedsiębiorstwo w czasie między skanowa-
• Kontrola każdego skanowania konfiguracji serwera niami
w rozproszonym systemie zarządzania • Bieżące koszty niezbędne do utrzymania takiego
• Możliwość tworzenia wielu użytkowników i przypisy- samego poziomu bezpieczeństwa sieci są niższe ze
wania im kompetencji względu na sposób zautomatyzowany i terminowy,
• Skanowanie określonych adresów IP, przeglądanie w którym można przeprowadzić oceny i działania
raportów skanów, planowanie nowych itp.
• Podsumowanie stwierdzonych luk według numerów Podsumowując, przeprowadzanie automatycznej
IP urządzeń sieciowych (Rys. 1) oceny zagrożenia w sposób bardziej systematyczny
• Podsumowanie stwierdzonych luk według usług sie- zmniejsza szansę wykorzystania niewykrytych podat-
ciowych (Rys. 2) ności. Ręczne testy bezpieczeństwa są z natury prze-
• Generowanie raportów porównawczych (nowy z po- starzałe, a w momencie dostarczania raportu, raport
przednim), co pozwala śledzić zmiany w stanie za- ten już jest nieaktualny. Automatyczny proces ciągłego
bezpieczeń sieci audytowania, pojawiających się alertów i jakości wy-
ników raportu wzmacnia poziom bezpieczeństwa in-
5. Każdy raport zawiera wykresy opisujące ryzyko formacji. Zwrot z inwestycji następuje bardzo szybko
i rekomendacje działań naprawczych, przykładowe ze względu na ciągłe aktualizacje oraz nowe techniki
fragmenty (Rys. 3, Rys. 4). oceny zagrożeń. Zapewnia to szybsze i skuteczne re-
agowania na incydent.
Zabezpieczanie sieci jest inwestycją
zwrotnych korzyści
Korzyści wynikające z zastosowania automatycznego
audytora podatności są przedstawione poniżej:
MACIEJ KARMOLIŃSKI
• Bieżąca informacja na temat zagrożeń w sieci, po- WICEPREZES ZARZĄDU PROCERTIV SP. Z O.O.
kazująca obszary najbardziej podatne na wycią- Kontakt do autora: m.karmolinski@procertiv.pl
40 2/2011
Systemy wspomagające zarządzanie polityką bezpieczeństwa
Systemy wspomagające
zarządzanie polityką
bezpieczeństwa
„Gartner szacuje, że 70% przypadków naruszania polityki bezpieczeństwa
prowadzących do powstawania strat w przedsiębiorstwie jest wynikiem
działań własnych pracowników.... Bez wątpienia, przedsiębiorstwa
muszą odnaleźć równowagę pomiędzy otwartym dostępem do danych,
a przerośniętym systemem bezpieczeństwa mogącym szkodzić ich interesom.”
John Pescatore, Gartner Inc.
TriGeo SIM bezpieczeństwo nie znosi przestojów) i w zasadzie nie-
realne. Z pomocą przychodzą rozwiązania typu SIEM.
Przecież w dzisiejszych czasach analiza zagrożeń i ak-
tywne reagowanie na te zagrożenia w czasie rzeczywi-
stym to nie luksus - to konieczność.
www.hakin9.org 41
KLUB TECHNICZNY
42 2/2011
Systemy wspomagające zarządzanie polityką bezpieczeństwa
ne w bazie danych serwera TriGeo. Zebrane i gromadzo- lezności od poziomu zagrożenia i wartości danych. Sys-
ne dane podlegają anlizie na podstawie predefiniowa- tem TriGeo to jednak przede wszystkich rozwiązanie,
nych lub konfigurowanych na bieżąco reguł. System Tri- które ma wspierać działania administratorów korpora-
Geo jest dostarczany z ponad 200 predefiniowanymi re- cyjnych sieci, a co za tym idzie zastosowano w nim sze-
gułami. Reguły podstawowe poszukują wystąpień okre- reg narzędzi interakcji oraz usprawniających i ułatwiją-
ślonych zdarzeń. Część z nich domyślnie jest włączona cych pracę, głównie poprzez zestaw ponad 200 predefi-
dzięki czemu TriGeo od razu po uruchomieniu może być niowanych reguł korelacji oraz system automatycznego
gotowe do użytku. Ciekawym rozwiązaniem jest tutaj ze- alarmowania odpowiednich osób o zaistniałych zagro-
staw reguł określanych jako NATO5. Są to rozbudowane żeniach przy pomocy różnych kanałów komunikacyj-
reguły stworzone na podstawie doświadczeń klientów, nych: email, telefon komórkowy, pager lub PDA.
którzy chcieli podzielić się nimi z TriGeo i przez to zostały
umieszczone w kolejnych unowocześnieniach systemu.
Nazwa pochodzi od piątego artykułu NATO mówiącego
że „napaść na jednego z członków NATO jest uznawa-
na za napaść na wszystkich członków sojuszu”. Regu-
ły NATO5 poza wyszukiwaniem wystąpień określonych
zdarzeń, mają najczęściej skonfigurowane akcje pozwa- Uznany produkt
lające na podejmowanie przez system TriGeo automa- TriGeo jest cenionym rozwiązaniem na rynku. Ugrun-
tycznej reakcji na wykryte zdarzenia. Może to oznaczać towało swoją pozycję jako Lider 2007 Gartner Magic
powiadomienie wybranych administratorów, ostrzeżenie Quadrant dla SIEM, i corocznie zdobywa najcenniej-
użytkownika, wylogowanie, blokowanie adresu IP, odci- sze nagrody, między innymi 2010 SC Magazine Reader
nanie od sieci, zatrzymanie lub uruchamianie procesów Trust Award, 2007 Gartner Best Execution of a Midmar-
czy odcinanie portów. Każdą z reguł można po prostu ket IT Solution oraz SC Magazine Best Buy of 2010,
włączyć, dowolnie modyfikować i kopiować wykorzystu- 2009, 2008, 2007, 2006 i 2005 for Event Management.
jąc jako szablony dla nowych reguł. Administrator TriGeo Rozwiązanie ma wielu klientów na kluczowych ryn-
ma również możliwość tworzenia zupełnie nowych reguł, kach takich jak, usługi finansowe, służba zdrowia, in-
spełniających jego wymagania. stytucje rządowe i media, ponieważ pozwala wypełnić
firmom narzucone z góry regulacje prawne dotyczące
standardów bezpieczeństwa. Każda firma, która prze-
chowuje rozbudowane bazy danych o klientach podle-
ga wielu regulacjom: PCI, GLBA , NCUA, FDIC, HIPAA,
SOX... TriGeo jest systemem, który w sposób rzeczywi-
sty, a nie tylko na papierze, rozwiązuje problem wywią-
zywania się z obowiązków prawnych jakie niosą ze so-
bą wymienione regulacje.
Kluczowe cechy
TriGeo posiada bardzo rozbudowany i zaawansowany Co tak na prawdę wyróżnia TriGeo?
zestaw funkcjonalności. Mówimy tu przede wszystkim Raport Gartner Magic Quadrant 2010 określa system Tri-
o analizie i korelacji logów, która jest typowym atrybu- Geo jako łatwy we wdrożeniu i zapewniający bogaty za-
tem systemów SIEM. W tym jednak przypadku system sób już zintegrowanych funkcji SIEM, predefiniowanych
pozwala na tworzenie nieliniowych, wielowątkowych reguł korelacji i raportów w pełni zaspokajających po-
korelacji zdarzeń w czasie rzeczywistym na podsta- trzeby klientów. Raport Gartnera za zdecydowaną zaletę
wie monitoringu wszystkich znanych protokołów trans- systemu uznaje agenta TriGeo dla Windows, który mo-
misji danych. Dodatkowo dostarczono administratorom że być skonfigurowany pod kątem aktywnego powiada-
systemów mechanizmy aktywnego reagowania. Dzię- miania. Rozwiazanie umożliwiające kontrolę portów USB
ki temu obsługa zdarzeń przy pomocy funkcji automa- oraz monitoring offline jest również chwalone – znacznie
tycznej notyfikacji może być wykorzystywana w zależ- poszerza zakres ochrony i monitoringu. Poza elementa-
ności od definicji reguł. Autetem systemu jest dostęp mi opisanymi przez raport GMQ na szczególną uwagę
do kilkudziesięciu predefiniowanych wzorców aktywne- zasługuje bardzo szeroka i rozbudowana lista kompa-
go reagowania. Bardzo istotną zaletą systemu TriGeo tybilnych urządzeń sieciowych, czyli tych elementów in-
jest również możliwość definiowania i generowania wy- frastruktury, na które nie można nanieść sieci agentów.
specjalizowanych raportów na pdstawie klasyfikacji in- Okazuje się, że obszar współpracujących z TriGeo urzą-
cydentów, przeznaczonych dla osób z różnego szcze- dzeń jest znacznie większy niż jednorodne rozwiązania
bla w organizacji. Same incydenty, informacje i zdarze- jednego producenta, co sprawia, że rozwiązanie świetnie
nia mogą zostać okreslone przez wagi i priorytety w za- sprawdza się w środowiskach heterogenicznych. Zdecy-
www.hakin9.org 43
KLUB TECHNICZNY
dowanie wyróżniającą cechą TriGeo jest funkcjonalność biorca nie ma absolutnie żadnej udokumentowanej in-
Drag&Drop, która bardzo usprawnia pracę i ułatwia za- formacji na temat tego co było robione, gdzie, przez
rządzanie intuicyjnym systemem. Jednak największą za- kogo, kiedy i co najważniejsze jak. Dzięki systemowi
letą systemu, świadczącą o jego sile jest realizacja ana- ATOS znamy odpowiedzi na te pytania. Rozwiązanie
lizy w oparciu o przetwarzanie zdarzeń już na poziomie działa jak brama rejestrująca wszelkie działania mające
pamięć RAM, a nie w bazie danych, co sprawia że sys- miejsce w wewnętrznej infrastrukturze IT zabezpiecza-
tem potrafi dokonywać korelacji w czasie rzeczywistym. jąc zdalne sesje dostępu, monitorując pracę i zapisując
Więcej informacji o produkcie na www.trigeo.pl jej przebieg. Na szczególną uwagę zasługują zaawan-
sowane funkcje maskowania haseł, zapisywania filmów
ATOS z sesji i możliwość skryptowania zadań.
W rezultacie otrzymujemy zaawansowany system kon-
troli outsourcingu IT. Wiemy kiedy został dokonany ser-
wis, jak długo trwał, co zostało zrobione i na jakich ma-
szynach. System ATOS to przede wszystkim gwarancja
bezpieczeństwa. Możemy określić gdzie outsourcer mo-
że się dostać, mamy pełną kontrolę nad chwilowym do-
stępem i ukrywamy hasła systemowe udostępniając je-
dynie maski. System ATOS zezwala na wielodostęp,
dzięki czemu wielu specjalistów może pracować nad
Bezpieczeństwo i rewizja działań IT z szyfrowaniem jednym problemem co sprzyja zadaniowemu łączeniu
i rejestrowaniem sesji zdalnego dostępu
System ATOS, stworzony przez firmę Xnet
Communications, to odpowiedź na coraz
większe zapotrzebowanie korporacji w ob-
szarze outsourcingu IT. Jest to doskonałe
uzupełnienie systemu TriGeo w obszarze za-
rządzania polityką bezpieczeństwa IT. Pod-
czas gdy TriGeo jest swego rodzaju strażni-
kiem sieci, obserwuje środowisko, poszuku-
je anomalii, ATOS stanowi grupę reagowania
– ochrania zasoby korporacyjne, uszczelnia
bezpieczeństwo, maskuje hasła systemowe,
dostarcza narzędzia do rozwiązania proble-
mu, dokumentuje wykonane działania w po-
staci filmu i pozwala udowodnić, że reakcja
była zgodna z polityką bezpieczeństwa.
44 2/2011
Odzyskiwanie danych po polsku, czyli jak nie stracić danych odzyskując je
Odzyskiwanie danych po
polsku, czyli jak nie stracić
danych odzyskując je
Artur Skrouba
K
to to jest: specjalista od odzyskiwania danych? scalony – teoretyczny koszt odzyskania danych to 200
Jaką szkołę trzeba skończyć bądź na jakim wy- euro. Teoretyczny bo danych odzyskać się już nie da.
dziale studiować, aby posiąść taką wiedzę? Mojżesz a potem Henio „złota rączka” zniszczyli plate-
Otóż nie ma takiej szkoły (przynajmniej w Polsce) ani ry i nadpisali głupotami obszar serwisowy dysku. Ko-
takiego kierunku. Więc kto może zostać takim specja- niec. Tym razem definitywny.
listą? I tu dotykamy sedna sprawy. Inny przykład.
Po utracie cennych danych bardzo często ulega- Kolejny przypadek. Utraciliśmy dane w wypadku (no-
my panice. W konsekwencji każdy kto stwierdzi, że men omen) upadku twardego dysku. Zgłaszamy się do
może nam pomóc jawi się nam jako biblijny Mojżesz, profesjonalnej firmy. Przynajmniej tak wygląda. Piękne
który może nas przeprowadzić przez wzburzone mo- i okazałe laboratorium. Podpisujemy dokumenty i spo-
rze targających nami wątpliwościami: odzyskamy da- kojnie wracamy do codziennych zajęć. Po kilku dniach
ne czy nie ? I niestety – w znakomitej większości przy- cisza. W końcu dostajemy telefon. Dostajemy informa-
padków tenże zbawca wylewa na nas nie kubeł zim- cje, że jest to wyjątkowo ciężki przypadek. Koszt od-
nej wody, ale faktycznie całe Morze Czerwone. Dia- zyskania danych to prawie kwota pięciocyfrowa. Bar-
gnoza jest bezlitosna – danych odzyskać się nie da. dzo drogo. Chyba za drogo. Spróbujemy w innej fir-
Tak po prostu. mie. Chcemy odebrać dysk. Okazuje się, że musimy
Czy aby na pewno? Może ktoś inny da radę? Ale kto? zapłacić za wykonaną analizę i rezygnację. Są także
Kolejny znajomy? A może ktoś, kto już odzyskał kiedyś koszty za zużyte części. Razem prawie tysiąc złotych.
dane. Ktoś polecony. Ok, zgadzamy się na wszystko Trudno – płacimy. Chcemy odzyskać dysk. Idziemy do
– tym razem musimy już zapłacić. Rozmawiamy tele- innej firmy – tam specjaliści rozkładają bezradnie rę-
fonicznie – Pan Henio (imię umowne) rzuca bardzo fa- ce. Dysk jest tak zniszczony, że danych nie można od-
chowymi terminami, których nie rozumiemy ni w ząb. zyskać. Idziemy do innej firmy. I do kolejnej. Wszędzie
Ale co tam, wiadomo fachowiec chyba zna się na rze- to samo – dane są nie do odzyskania. Niektóre firmy,
czy. Po oddaniu dysku spokojnie czekamy na telefon słysząc w jakiej firmie byliśmy na początku nawet nie
z dobrymi wiadomościami. Zaczynamy się niepokoić. chcą przyjmować dysku do analizy. Z góry wiedzą, że
W końcu wyrok – dane są nie do odzyskania . danych się już nie odzyska. Załamani wracamy do fir-
Odbieramy dysk – elektronika polutowana, plom- my, w której byliśmy na początku. Musimy odzyskać te
by zdjęte, dysk otwarty. Bez cienia większych na- dane. Zgadzamy się na kwotę, która z początku wyda-
dziei zwracamy się do profesjonalnej firmy zagranicz- wała nam się za wysoka. Niestety – słyszymy, że dysk
nej (np. Seagate w Berlinie). Po kilku dniach dosta- uległ znacznemu pogorszeniu w wyniku pracy innych
jemy wyniki analizy – są porażające. Dobra informa- osób i koszt odzyskania danych wzrasta do kilkunastu
cja to taka, że w dysku uszkodzeniu uległ jeden układ tysięcy złotych.
www.hakin9.org 45
FELIETON
46 2/2011
Zakończenie
Słowo
kończące
Drodzy Czytelnicy,
Jeśli macie sugestie odnośnie tematów, które chcielibyście, żeby ukazały się w kolejnych
numerach, to prosimy o kontakt z Redakcją.
www.hakin9.org 47