dr in.

Konrad Sobolewski, Politechnika Warszawska Bezpieczestwo systemw komputerowych Wprowadzenie Technologie informacyjne

Co to jest bezpieczestwo? .System komputerowy jest bezpieczny , je li jego uytkownik moe na nim polega, a zainstalowane oprogramowanie dziaa zgodnie ze swoj specyfikacj . .W my l tej definicji, moemy system uzna za bezpieczny, je li np . mona od niego oczekiwa, e wprowadzone na stae dane nie zostan utracone, nie ulegn znieksztaceniu i nie zostan pozyskane przez nikogo nieuprawnionego -

ufamy, e system bdzie przechowywa i chroni dane .

Co to jest bezpieczestwo? .Bezpieczestwo jest elementem szerszego kontekstu, nazywanego wiarygodno ci systemu komputeroweg o . .W kontek cie tym wyrnia si w sumie cztery atrybuty wiarygodno ci : .dyspozycyjny (available) = dostpny na bieco .niezawodny (reliable) = odporny na awarie .bezpieczny (secure) = zapewniajcy ochron danych .bezpieczny (safe) = bezpieczny dla otoczenia, przyjazny dla rodowiska

Czynniki decydujce o znaczeniu bezpieczestwa .O donioso ci problematyki bezpieczestwa dla wspczesnej cywilizacji decyduje przede wszystkim wszechobecno technik komputerowych . W szczeglno ci rozway naley nastpujce zagadnienia : .rola systemw informatycznych (szczeglnie sieci) dla funkcjonowania wspczesnej cywilizacji .trudno ci zwizane ze skonstruowaniem i eksploatacj systemu speniajcego wysokie wymagania w zakresie bezpieczestwa .elementarny konflikt interesw wystpujcy pomidzy uyteczno ci systemu a ryzykiem zwizanym z jego wykorzystaniem

Zagroenia bezpieczestwa .Zagroenia bezpieczestwa maj rn natur . .Mog by najzupeniej przypadkowe lub powsta w efekcie celowego dziaania . .Mog wynika z nie wiadomo ci lub naiwno ci uytkownika, bd te mog by motywowane chci zysku, poklasku lub odwetu . .Mog pochodzi z zewntrz systemu lub od jego rodka .

Zagroenia bezpieczestwa .Wikszo dziaa skierowanych przeciwko bezpieczestwu komputerowemu jest w wietle aktualnego prawa traktowana jako przestpstwa . Moemy tu wyrni w szczeglno ci : .wamanie do systemu komputerowego .nieuprawnione pozyskanie informacji .destrukcja danych i programw .sabota (sparaliowanie pracy) systemu .piractwo komputerowe, kradzie oprogramowania .oszustwo komputerowe i faszerstwo komputerowe .szpiegostwo komputerowe

Zagroenia bezpieczestwa .Istotne jest, i w przypadku jurysdykcji wikszo ci krajw europejskich, praktycznie wszystkie przypadki naruszajce bezpieczestwo wyczerpuj znamiona przestpstw okre lonych w obowizujcym prawie . .W Polsce w szczeglno ci maj tu zastosowanie : .artykuy 267 269 Kodeksu Karnego .artyku 287 Kodeksu Karnego .Zazwyczaj przestpstwa te nie s cigane z oskarenia publicznego, lecz na wniosek pokrzywdzonego .

Zagroenia bezpieczestwa .W kontek cie bezpieczestwa komputerowego powszechnie spotyka uycie popularnego terminu hacker na okre lenie osoby podejmujcej atak . .Termin ten oryginalnie nie posiada wyd wiku pejoratywnego . Wg The Hacker's Dictionnary" (Guy L . Steele et al . ) hacker jest to ( 1 ) osoba, ktrej sprawia przyjemno poznawanie szczegowej wiedzy na temat systemw komputerowych i rozszerzanie tej umiejtno ci, w

przeciwiestwie do wikszo ci uytkownikw, ktrzy wol uczy si niezbdnego minimum ; ( 2 ) osoba, ktra entuzjastycznie zajmuje si programowaniem i nie lubi teorii dotyczcej tej dziedziny .

Zagroenia bezpieczestwa .Przykady atakw na systemy informatyczne znale mona w wielu dziedzinach ycia osobistego, gospodarki, przemysu czy funkcjonowania organw pastwowych . .Przykadowo w 1997 r . CIWARS (Centre for Infrastructural Warfare Studies) odnotowa 2 incydenty (w Brazylii i w Australii) zaciekej konkurencji gospodarczej, w ktrych zaatakoway si wzajemnie (omawianymi p niej atakami SYN flood) konkurujce ze sob firmy ISP (operatorzy dostpu

do Internetu) .

Komponenty systemu informatycznego w kontek cie bezpieczestwa .Elementarne skadniki systemu informatycznego jakie naley wyrni przy omawianiu problematyki bezpieczestwa to : .stanowisko komputerowe i infrastruktura sieciowa .system operacyjny i usugi narzdziowe .aplikacje uytkowe

Oglne problemy konstrukcji zabezpiecze .Problematyka bezpieczestwa, jak kada dziedzina, podlega pewnym oglnym prawom, niektrym sformalizowanym, innym nieformalnym . .Mona wyrni pewne truizmy obowizujce podczas projektowania i realizowania zabezpiecze . Niektre z nich to : .Nie istnieje absolutne bezpieczestwo .Napastnik na og nie pokonuje zabezpiecze, tylko je obchodzi .Nie naley pokada zaufania w jednej linii obrony .Zoono jest najgorszym wrogiem

bezpieczestwa .System dopty nie jest bezpieczny, dopki nie ma pewno ci e jest

Wzrost poziomu bezpieczestwa odbywa si kosztem wygody. Uytkownicy systemu pragn przede wszystkim efektywno ci i wygody swojej pracy.

Strategia bezpieczestwa .Opracowanie skutecznych zabezpiecze jest problemem bardzo zoonym . Niewtpliwie decydujce znaczenia ma etap projektowy, na ktrym popenione bdy mog by nienaprawialne w kolejnych etapach . Etap projektowy powinien rozpocz si od wypracowania strategii firmy dotyczcej bezpieczestwa (i to nie wycznie systemu informatycznego) . Polega to w oglnym schemacie na odpowiedzi na nastpujce pytania : .Co chroni? (okre lenie zasobw)

.Przed czym chroni? (identyfikacja zagroe) .Ile czasu, wysiku i pienidzy mona po wici na nalen ochron (oszacowanie ryzyka, analiza kosztw i zysku)

Okre lenie zasobw = .sprzt komputerowy .infrastruktura sieciowa .wydruki .strategiczne dane .kopie zapasowe .wersje instalacyjne oprogramowania

Co chroni?

.dane osobowe .dane audytu .zdrowie pracownikw .prywatno pracownikw .zdolno ci produkcyjne .wizerunek publiczny i reputacja

.Zasoby jakie mog podlega ochronie obejmuj m . in . (w zaleno ci od typu instytucji, dziedziny dziaalno ci itp . ) :

Identyfikacja zagroe = .Zagroenia jakie naley rozway stanowi m . in .: .wamywacze komputerowi .infekcje wirusami .destruktywno pracownikw / personelu zewntrznego .bdy w programach .kradzie dyskw / laptopw (rwnie w podry subowej) .utrata moliwo ci korzystania z czy telekomunikacyjnych .bankructwo firmy serwisowej / producenta sprztu .choroba administratora / kierownika (jednoczesna choroba wielu osb) .powd

Przed czym chroni?

Polityka bezpieczestwa .Polityka bezpieczestwa stanowi element polityki biznesowej firmy . Jest to formalny dokument opisujcy strategi bezpieczestwa . Jej realizacja podlega oczywistym etapom : .zaprojektowanie .zaimplementowanie .zarzdzanie (w tym monitorowanie i okresowe audyty bezpieczestwa) .Szczeglnie godnym podkre lenia jest etap 3 . odzwierciedlajcy cig ewolucj jak przechodz dziaalno firmy, rodowisko rynkowe jej funkcjonowania, zagroenia i technologie obrony . Wymaga

to cigego trzymania rki na pulsie .

Zakres .Zakres tematyczny jaki powinna obejmowa polityka bezpieczestwa to : .definicja celu i misji polityki bezpieczestwa .standardy i wytyczne ktrych przestrzegania wymagamy .kluczowe zadania do wykonania .zakresy odpowiedzialno ci

Specyfikacja rodkw .Polityka bezpieczestwa winna definiowa rodki jej realizacji obejmujce takie elementy jak : .ochrona fizyczna .polityka proceduralno kadrowa (odpowiedzialno personalna) .mechanizmy techniczne

dr in. Konrad Sobolewski, Politechnika Warszawska Bezpieczestwo systemw komputerowych Definicje i problemy Technologie informacyjne

Klasy atakw .Pod wzgldem interakcji atakujcego z atakowanym systemem wyrniamy ataki : .pasywne atakujcy ma dostp do danych (komunikacji) w systemie, mogc je odczyta, lecz ich nie modyfikuje przykad : podsuch komunikacji pomidzy legalnymi uytkownikami systemu . .aktywne atakujcy po redniczy w przetwarzaniu danych (komunikacji) w systemie, mogc je nie tylko odczyta, lecz rwnie sfaszowa czy

spreparowa z premedytacj, tak by uzyska zamierzony cel ataku taki atak nazywa si popularnie czowiek w rodku" (ang . man in the middle") .

Atak pasywny

Atak aktywny

Klasy atakw .Pod wzgldem rda rozpoczcia ataku wyrniamy ataki : .lokalny atakujcy ju ma dostp do systemu (konto) i prbuje zwikszy swe uprawnienia .zdalny atakujcy nie posiada jeszcze adnych uprawnie w systemie atakowanym

Oglne formy ataku elektronicznego .Najcz ciej spotykanymi formami ataku s : .podszywanie (ang . masquerading) atakujcy (osoba, program) udaje inny podmiot, w domy le zaufany systemowi atakowanemu, np . faszywy serwer www podszywa si pod znan witryn internetow .podsuch (ang . eavesdropping) pozyskanie danych skadowanych, przetwarzanych lub transmitowanych w systemie typowy przykad : przechwycenie niezabezpieczonego hasa klienta przesyanego do

serwera .odtwarzanie (ang . replaying) uycie ponowne przechwyconych wcze niej danych, np . hasa

Oglne formy ataku elektronicznego .manipulacja (ang . tampering) modyfikacja danych w celu zrekonfigurowania systemu lub wprowadzenia go do stanu, z ktrego atakujcy moe osign bezpo rednio lub po rednio korzy (np . zastosowa skuteczny atak gotowym narzdziem) .wykorzystanie luk w systemie (ang . exploiting) posuenie si wiedz o znanej luce, bdzie w systemie lub gotowym narzdziem do wyeksploatowania takiej luki bardzo

czste w przypadku atakw zdalnych

Oglne formy ataku elektronicznego

Podstawowe fazy ataku .W czasie przeprowadzania ataku pojawiaj si zwykle mniej lub bardziej jawnie nastpujce oglne fazy : .skanowanie (wyszukanie sabo ci, np . sondowanie usug) .wyznaczenie celu (np . niezabezpieczona usuga, znany exploit) .atak na system .modyfikacje systemu umoliwiajce p niejszy powrt .usuwanie ladw .propagacja ataku

Podstawowe rodki ostrono ci .W celu zminimalizowania podatno ci na typowe ataki naley stosowa elementarne zasady higieny osobistej" . Dotycz one wszystkich komponentw systemu informatycznego : .stanowisk komputerowych, .infrastruktury sieciowej, .usug aplikacyjnych .

Elementarna ochrona stacji roboczej .Do podstawowych rodkw ochrony stanowisk komputerowych mona zaliczy przykadowo : .uniemoliwienie startowania systemu z no nikw wymiennych .ograniczenie wykorzystania przestrzeni lokalnych dyskw twardych .ograniczenie stosowania no nikw wymiennych (stacji dyskietek, nagrywarek) .rejestracja prb dostpu do systemu i ich limitowanie (kontrola, kto i kiedy korzysta z systemu) .bezpieczne kasowanie poufnych danych .uniemoliwienie usunicia / wyczenia zabezpiecze, np . antywirusowych .konsekwentna polityka

hase uytkownikw

Elementarna ochrona sieci lokalnej .Do podstawowych rodkw ochrony infrastruktury sieciowej mona zaliczy przykadowo : .dobr medium i topologii gwiazdy (okablowanie strukturalne) .fizyczna ochrona pomieszcze z wzami sieci i serwerami .zdefiniowanie listy stanowisk, z ktrych dany uytkownik moe uzyska dostp do systemu (adresy MAC lub IP) .usuwanie nieuywanych kont uytkownikw

Elementarna ochrona usug sieciowych .Procedura ochrony dostpu do usug sieciowych polega w oglno ci na skrupulatnym przeprowadzeniu nastpujcej sekwencji operacji : .usunicie z systemu wszystkich usug zbdnych, najlepiej poprzez cakowite odinstalowanie, a co najmniej dezaktywacj .zastpienie usug niezbdnych odpowiednikami o podwyszonym bezpieczestwie (je li to moliwe i takie odpowiedniki s dostpne) .kontrola dostpu do pozostaych usug (np . poprzez zapory sieciowe firewall)

Zoono problemu stosowania zabezpiecze .Z realizacj zabezpiecze zwizany jest szereg problemw, stawiajcych bronicych od razu na pozycji gorszej ni atakujcego . .Asymetria : aby skutecznie zabezpieczy system naley usun wszystkie sabo ci, aby skutecznie zaatakowa wystarczy znale jedn . .Kontekst otoczenia systemu : bezpieczestwo powinno by rozwaane w kontek cie nie pojedynczego systemu informatycznego, ale caego otoczenia, w ktrym on si znajduje .

.Zarzdzanie i pielgnacja : zabezpieczenie systemu nie jest pojedyncz operacj, ale cigym procesem .

Stosowanie mechanizmw bezpieczestwa .W zwizku z w/w trudno ciami realizacji zabezpiecze istotne jest stosowanie kilku podstawowych regu, w szczeglno ci s to : .zasada naturalnego styku z uytkownikiem .zasada spjno ci poziomej i pionowej .zasada minimalnego przywileju .zasada domy lnej odmowy dostpu

Zasada naturalnego styku z uytkownikiem .Zabezpieczenie nie mone by postrzegane przez uytkownikw jako nienaturalny element systemu, stanowicy utrudnienie w ich pracy . .Je li wprowadzony zostanie nawet najbardziej wyrafinowany mechanizm bezpieczestwa, ktrego jednak stosowanie bdzie wymagao od uytkownikw dodatkowo zbyt obciajcych ich (czasochonnych) operacji, to wkrtce wypracuj oni sposb jego permanentnego obej cia i w efekcie stanie si w mechanizm bezuyteczny .

Zasada spjno ci poziomej i pionowej .Stosowanie zabezpiecze w systemie musi zapewnia podstawowy warunek kompletno ci : spjno poziom i pionow . .S one odpowiednikiem reguy trwao ci acucha", ktra mwi, i cay acuch jest tak trway, jak jego najsabsze ogniwo . .Spjno pozioma wymaga aby wszystkie, spo rd potencjalnie wielu komponentw w danej warstwie systemu (jako dobry przykad modelu warstwowego mona tu obra model OSI obowizujcy

w sieciach komputerowych), zostay zabezpieczone na jednakowym poziomie .

Zasada spjno ci poziomej i pionowej .Spjno pionowa mwi o konieczno ci zastosowania kompletnych zabezpiecze w pionie" jak kraty w oknach na pierwszym pitrze, to i na parterze czy innej dostpnej" z zewntrz kondygnacji, analogicznie jak jedna warstwa przez ktr istnieje dostp do systemu, to kada inna, w ktrej niezalenie taki dostp te jest moliwy .

Zasada minimalnego przywileju .Uytkownikom naley udziela uprawnie w sposb zgodny z polityk bezpieczestwa tylko i wycznie takich, ktre s niezbdne do zrealizowania ich pracy . .Zmianie zakresu obowizkw uytkownika powinna towarzyszy zmiana zakresu uprawnie .

Zasada domy lnej odmowy dostpu .Je li na podstawie zdefiniowanych regu postpowania mechanizmy obrony nie potrafi jawnie rozstrzygn, jak decyzj podj wobec analizowanych operacji (np . nadchodzcego pakietu protokou komunikacyjnego), to decyzj ostateczn powinna by odmowa dostpu (odrzucenie pakietu) . .Wiele urzdze i protokow jest jednak domy lnie konfigurowanych inaczej, czy to w celu wygody uytkownika, czy z zaoenia wynikajcego z ich funkcji (por .

routing) .

Elementarne pojcia .W celu przedstawienia problematyki ataku i obrony naley wprowadzi definicje niezbdnych poj . Dotyczy one bd w szczeglno ci uytkownikw, ale take i innych komponentw systemu . .Identyfikacja (ang . identification) .moliwo rozrnienia uytkownikw, np . uytkownicy s identyfikowani w systemie operacyjnym za pomoc UID (user identifier)

Elementarne pojcia .Uwierzytelnianie (ang . authentication) .proces weryfikacji tosamo ci uytkownika ; najcz ciej opiera si na tym : .co uytkownik wie (proof by knowledge), np . zna haso .co uytkownik ma (proof by possession), np . elektroniczn kart identyfikacyjn

.Autoryzacja (ang . authorization) .proces przydzielania praw (dostpu do zasobw) uytkownikowi

Elementarne pojcia .Kontrola dostpu (ang . access control) .procedura nadzorowania przestrzegania praw (dostpu do zasobw) .Poufno (ang . confidentiality) .ochrona informacji przed nieautoryzowanym jej ujawnieniem .Nienaruszalno (integralno ; ang . data integrity) .ochrona informacji przed nieautoryzowanym jej zmodyfikowaniem (ew . detekcja takiej modyfikacji)

Elementarne pojcia .Autentyczno (ang . authenticity) .pewno co do pochodzenia (autorstwa i tre ci) danych .Niezaprzeczalno (ang . nonrepudiation) .ochrona przed faszywym zaprzeczeniem : .przez nadawc faktu wysania danych .przez odbiorc faktu otrzymania danych

Autoryzacja .Zasb (obiekt) .jest jednostk, do ktrej dostp podlega kontroli .przykady : programy, pliki, relacje bazy danych, czy cae bazy danych .obiekty o wysokiej granulacji : poszczeglne krotki bazy danych

.Podmiot .ma dostp do zasobu .przykady : uytkownik, grupa uytkownikw, terminal, komputer, aplikacja, proces

.Prawa dostpu .okre laj dopuszczalne sposoby wykorzystania zasobu

przez podmiot

Filozofie przydziau uprawnie .W dowolnym modelu autoryzacji mona stosowa jedn z poniszych czterech moliwych filozofii : .Wszystko jest dozwolone . .Wszystko, co nie jest (jawnie) zabronione, jest dozwolone . .Wszystko, co nie jest (jawnie) dozwolone, jest zabronione . .Wszystko jest zabronione . .Z praktycznego punktu widzenia w gr wchodzi mog rodkowe dwie . Jak mona zaobserwowa, tylko trzecia jest

zgodna z zasad minimalnego przywileju i domy lnej odmowy dostpu .

Kontrola dostpu do danych .Wyrnia si dwie oglne metody kontroli dostpu do danych : .uznaniow (DAC) . cis (MAC) .Istniej te ich rne warianty jak np . kontrola oparta o role (RBAC) powszechnie spotykana np . systemach baz danych .

Uznaniowa kontrola dostpu (Discretionary Access Control) .Podstawowe wasno ci tego podej cia s nastpujce : .wa ciciel zasobu moe decydowa o jego atrybutach i uprawnieniach innych uytkownikw systemu wzgldem tego zasobu .DAC oferuje uytkownikom du elastyczno i swobod wspdzielenia zasobw .powszechnym zagroeniem jest niefrasobliwo przydziau uprawnie (np . wynikajca z nie wiadomo ci lub zaniedba) i niewystarczajca ochrona zasobw .najcz ciej uprawnienia obejmuj operacje odczytu i zapisu danych oraz

uruchomienia programu

cisa kontrola dostpu (Mandatory Access Control) .Podstawowe wasno ci tego podej cia s nastpujce : .precyzyjne reguy dostpu automatycznie wymuszaj uprawnienia .nawet wa ciciel zasobu nie moe dysponowa prawami dostpu .MAC pozwala atwiej zrealizowa (narzuci) siln polityk bezpieczestwa i konsekwentnie stosowa j do cao ci zasobw . cisa kontrola dostpu operuje na tzw . poziomach zaufania wprowadzajc etykiety poziomu zaufania (sensitivity labels) przydzielane w zaleno ci np

. od stopnia poufno ci .

Klasy bezpieczestwa systemw komputerowych .Standardy certyfikacji : .Trusted Computer System Evaluation Criteria (TCSEC "Orange Book") USA .http : //www . radium . ncsc . mil/tpep/library/rainbow/ 5200 . 28 STD . html ; jest to standard opracowany w USA, ale sta si pierwszym powszechnym takim standardem w skali wiatowej . Obowizujcy w latach 1983 2000 sta si podstaw opracowywania podobnych

norm w Europie i na wiecie . Bardzo czsto nawet wspcze nie znajduje si odwoania do certyfikatw tego standardu .

Klasy bezpieczestwa systemw komputerowych .Information Technology Security Evaluation Criteria (ITSEC) EU .http : //www . cesg . gov . uk ; obowizywa w 1991 1997 . Powsta gwnie z angielskiego CESG 2 /DTIEC, francuskiego SCSSI i niemieckiego ZSIEC . .Common Criteria Assurance Levels (EAL) aktualnie obowizujcy standard bdcy w istocie zczeniem ITSEC, TCSEC oraz CTCPEC (Kanada) .

Od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (CC ; http : //www . commoncriteria . org) . Od 1999 roku zaakceptowany jako midzynarodowa norma ISO 15408 ( EAL v . 2 ) .

Systemy operacyjne a klasy bezpieczestwa