2
1. Bezpieczeństwo danych i systemów
Bezpieczeństwo danych i systemów informatycznych jest pochodną przyjętej (w firmie, instytucji, organizacji) polityki bezpieczeństwa.
1.1. Aspekty bezpieczeństwa
1.1.1. Identyfikacja, uwierzytelnianie, autoryzacja
Polityka bezpieczeństwa jest to szeroko rozumiany plan lub sposób działania, przyjęty w celu osiągnięcia wysokiego poziomu bezpieczeństwa systemu informatycznego oraz ochrony danych, realizowany jako skutek podjętych decyzji administracyjnych. Określa ona zbiór reguł i warunków, w jaki zarządza się informacją, chroni ją i rozdziela. Możliwe są tu dwa podejścia projektowe:
• to, co nie jest zabronione, jest dozwolone,
• to, co nie jest dozwolone, jest zabronione.
Pod pojęciem podmiotu rozumie się użytkownika lub proces działający w jego imieniu. Jest to element czynny w systemie. Obiektem jest element bierny, który można wybrać i korzystać z niego lub manipulować nim. Obiektami są, przykładowo, plik, katalog, urządzenie wejścia/wyjścia, stacja.
Identyfikacja polega na stwierdzeniu tożsamości podmiotu lub obiektu. Identyfikator to niepowtarzalna nazwa lub numer przypisany podmiotowi lub obiektowi. Identyfikator podaje tylko niepotwierdzoną tożsamość. Identyfikatory są konieczne dla rozliczeń i autoryzacji, ale nie mogą być używane bez dodatkowego uwierzytelniania podmiotów, jeśli w systemach pożądany jest jakikolwiek stopień bezpieczeństwa. Uwierzytelnianie podmiotów ma bezpośredni wpływ na bezpieczeństwo systemów.
Uwierzytelnianie jednostki (podmiotu lub obiektu) służy sprawdzeniu, czy jednostka (podmiot lub obiekt) jest tym, za kogo się podaje, czy jest autentyczna. Gdy jednostka A zostanie uwierzytelniona wobec jednostki B, to mówimy także, że nastąpiła identyfikacja jednostki A przez jednostkę B.
Obok uwierzytelniania jednostek w systemach informatycznych mamy do czynienia z uwierzytelnianiem danych. Polega ono na potwierdzeniu autentyczności pochodzenia danych ze względu na określone źródło danych i ich integralności. Dane uwierzytelnia się za pomocą podpisu cyfrowego, funkcji skrótu z kluczem kryptograficznym lub znacznika danych, który jest szyfrowany razem z danymi.
Autoryzacja jest pozwoleniem wydanym przez instancję nadrzędną (autorytet). Polega na otrzymaniu dostępu do obiektów systemu informatycznego w oparciu o identyfikator. Autoryzacja jest czymś innym niż uwierzytelnianie. W procesie uwierzytelniania sprawdza się jedynie tożsamość jednostki, ale nie mówi się nic o jej uprawnieniach dostępu do obiektów. Jednostkę można identyfikować za pomocą protokołu uwierzytelniania, a w najprostszym przypadku poprzez sprawdzenie jej identyfikatora (z punktu widzenia bezpieczeństwa systemu jest to sytuacja najgorsza, polegająca na udzieleniu dostępu np. do systemu bez żadnej dodatkowej weryfikacji, bez sprawdzania choćby hasła użytkownika).
W odniesieniu do podmiotu:
• identyfikator jest niezbędny do rozliczeń i autoryzacji,
• w procesie uwierzytelniania sprawdza się tożsamość podmiotu,
• po uwierzytelnieniu podmiotu może on korzystać z podmiotów lub obiektów, do których uzyskał uprawnienia od podmiotu nadrzędnego (autorytetu).
Za nadzorowanie dostępu każdego podmiotu do dowolnego obiektu i sprawdzanie, czy dostęp uzyskują wyłącznie podmioty autoryzowane, odpowiedzialny jest pewien mechanizm kontroli zwany monitorem referencyjnym lub jądrem bezpieczeństwa. Ogólną koncepcję monitora referencyjnego przedstawiono na rys. 1. Taki mechanizm kontroli powinien charakteryzować się następującymi cechami:
• musi być odporny na manipulacje,
• musi być zawsze przywoływany,
• musi być wystarczająco mały, aby jego działanie można łatwo analizować i testować,
• musi być kompletny.
Wszystkie mechanizmy bezpieczeństwa odpowiedzialne za realizacje polityki bezpieczeństwa w systemie, w szczególności mechanizmy do prowadzenia mediacji, a także mechanizmy identyfikacji i uwierzytelniania, obejmuje się wspólną nazwą warstwy przetwarzania zaufanego (WPZ).
Rys. 1. Ogólna koncepcja monitora referencyjnego
1.1.2. Poufność, integralność, dostępność, spójność
Bezpieczeństwo danych polega na ich ochronie, czyli zabezpieczeniu przed nieuprawnionym lub nieprawidłowym, przypadkowym bądź umyślnym ujawnieniem, modyfikacją lub zniszczeniem. Wyróżniamy cztery podstawowe aspekty bezpieczeństwa danych:
• poufność,
• integralność,
• dostępność,
• spójność.
Poufność oznacza niedostępność treści zawartej w danych dla wszystkich podmiotów nie uprawnionych do jej odczytania. Bezpośrednim sposobem zapewnienia poufności jest szyfrowanie danych. System ochrony powinien nie tylko zapewniać poufność, lecz także gwarantować możliwość wykrycia prób i przypadków jej naruszenia.
Integralność danych oznacza, że dane nie zostaną w żaden nieuprawniony sposób zmienione, a tym samym ich stan pozostanie zgodny z wymaganym i oczekiwanym stanem właściwym. Integralność danych może być naruszona przez nieupoważnionego użytkownika, błędy i zaniedbania popełniane przez użytkownika upoważnionego, a także w wyniku awarii, zakłóceń w transmisji, błędów w oprogramowaniu, działania wirusów itp. Nieupoważniona modyfikacja nie musi wiązać się z naruszeniem poufności danych. Podobnie jak poufność, integralność musi być zapewniona podczas przetwarzania, przechowywania i przesyłania informacji. Integralność danych zapewnia się stosując funkcje skrótu, a w pewnym stopniu także kody wykrywające i korygujące błędy. Konieczne może być także zagwarantowanie możliwości wykrycia każdego przypadku lub próby naruszenia integralności danych.
Dostępność oznacza niczym nieograniczoną możliwość korzystania z danych przez uprawnionych do tego użytkowników. Wstrzymanie przez nieupoważnionego użytkownika dostępu do zasobów może stanowić wstęp do ataku na poufność i integralność danych. Pożądane może być więc zapewnienie możliwości wykrycia każdego przypadku nieuzasadnionej odmowy dostępu do dartych.
Dostępność zapewnia się przez stosowanie odpowiednio zabezpieczonych systemów operacyjnych, stały nadzór nad stopniem wykorzystania zasobów, stosowanie systemów sterowania ruchem sieciowym i obciążeniem serwerów, stosowanie metod zwiększających niezawodność sprzętu i tolerancję na błędy.
Spójność danych odnosi się przede wszystkim do baz danych i oznacza konieczność spełniania przez każdy stan bazy danych zbioru warunków sformułowanych w definicji bazy danych. Warunki, zwane warunkami spójności, dzielą się na warunki statyczne (określają zależności między danymi w każdym poszczególnym stanie bazy danych) i dynamiczne (definiują zależności między danymi z różnych stanów bazy danych, a więc tym samym określają reguły zmiany stanów). Jednym z celów systemu zarządzania bazą danych (SZBD) jest więc czuwanie nad spójnością bazy danych, a środkiem osiągnięcia tego celu jest właściwe zarządzanie transakcjami (w tym współbieżnymi) oraz odtwarzanie bazy danych w przypadku awarii.
1.2. Zagrożenia
1) zagrożenia wynikające z celowego działania nieuprawnionego użytkownika.
2) takie, które nie są skutkiem celowego działania.
Do tej drugiej grupy zaliczymy: awarie sprzętu, zaniki zasilania, błędy użytkowników, skutki działania czynników zewnętrznych, takich jak: ogień, woda, zewnętrzne pole elektromagnetyczne. Każde z zagrożeń może spowodować naruszenie jednego lub kilku aspektów bezpieczeństwa danych.
1.2.1. Użytkownicy
Największą grupę problemów związanych z bezpieczeństwem systemów stanowią problemy stwarzane przez ludzi. To ludzie włamują się do systemów, podsłuchują, niszczą dane, wprowadzają wirusy, zaniedbują swoje obowiązki lub w sposób nieświadomy przyczyniają się do obniżenia poziomu bezpieczeństwa. Przestępstwa popełniane są najczęściej przez osoby posiadające pewne uprawnienia w systemie komputerowym lub osoby, które posiadały takie uprawnienia w przeszłości.
Jest dwie kategorie zagrożeń osobowych: zewnętrzne i wewnętrzne. Do zewnętrznych zalicza się: agentów obcych wywiadów, terrorystów, kryminalistów, agentów wywiadu gospodarczego i hakerów. Kategoria zagrożeń wewnętrznych obejmuje: pracowników, dostawców, konsultantów, klientów, byłych pracowników, stażystów.
Wśród zagrożeń wewnętrznych wyróżnić możemy:
• akty wewnętrznego sabotażu,
• kradzież informacji,
• kradzież usług,
• błędy użytkowników,
• niedbalstwo,
• nieprawidłowe stosowanie mechanizmów bezpieczeństwa.
Pod pojęciem kradzieży usług rozumiemy wykorzystywanie systemu informatycznego firmy do celów prywatnych, do których nie został on stworzony. Przykładami takich działań są: odwiedzanie stron WWW nie mających związku z obowiązkami służbowymi, wykorzystywanie poczty elektronicznej do korespondencji prywatnej, korzystanie z gier komputerowych, instalowanie i wykorzystywanie innego oprogramowania do celów prywatnych. Tego typu niepożądane działania użytkowników obniżają wydajność systemu informatycznego i zmniejszają dostępność do jego zasobów.
Innym często występującym zagrożeniem są błędy popełniane przez użytkowników: błędy we wprowadzanych danych, błędy w użytkowaniu systemu, przypadkowe usunięcia plików.
Do przykładów niedbalstwa użytkowników i administratorów systemów zaliczyć można brak odpowiedniej ochrony antywirusowej i brak lub niepełność zapasowych kopii plików.
Najbardziej jaskrawym przykładem niewłaściwego stosowania mechanizmów bezpieczeństwa przez użytkowników są nieprawidłowości w korzystaniu z systemu haseł. Często zdarza się, że użytkownicy ujawniają swoje hasła innym osobom, stosują identyczne hasła do różnych systemów i aplikacji, posługują się hasłami krótkimi, łatwymi do odgadnięcia, zapisują hasła w miejscach ogólnie dostępnych.
1.2.2. Ataki na systemy informatyczne
Włamanie się do systemu przez użytkownika nieuprawnionego odbywa się najczęściej przez przechwycenie identyfikatora i hasła użytkownika uprawnionego. Stosowanych w tym celu jest wiele metod;
• zmiana oryginalnego programu, którym użytkownicy rejestrują się w systemie - podstawienie konia trojańskiego,
• wykorzystanie rezydentnych programów kontrolujących klawiaturę – zapisywanie sekwencji naciskanych klawiszy,
• podsłuch łącza, którym transmitowane są dane uwierzytelniające,
- rozgałęźnik na kablu klawiatury i urządzenie rejestrujące transmisję z klawiatury,
- podsłuch w lokalnej sieci komputerowej,
- podsłuch w sieci rozległej,
• atak słownikowy,
• przeszukiwanie wyczerpującą metodą prób i błędów - atak brutalny,
• metody fizyczne - patrzenie na ręce użytkownika rejestrującego się w systemie,
• metody inżynierii społecznej - nakłonienie użytkownika do udostępnienia lub zmiany hasła.
Atak słownikowy polega na podstawianiu w miejsce hasła ciągów znaków sekwencyjnie pobieranych z pewnego słownika. Obroną przed atakiem słownikowym jest stosowana często w systemach operacyjnych funkcja automatycznego blokowania konta po kilkukrotnym podaniu błędnego hasła. Jednak ta sama funkcja może być wykorzystana przez intruza w celu pozbawienia dostępu uprawnionego użytkownika. Jeżeli plik z hasłami zostanie przejęty przez potencjalnego włamywacza, to atak słownikowy może być przeprowadzony poza systemem, w którym dane hasła są stosowane.
Przeszukiwanie wyczerpujące jest zbliżone do ataku słownikowego. Jednak w tym przypadku w miejsce szukanego hasła podstawia się nie ciągi znaków z ograniczonego zbioru, lecz wszystkie możliwe ciągi. Ze względu na zwykle dużą liczbę kombinacji metoda ta wymaga zastosowania znacznych mocy obliczeniowych.
Ponadto włamania można dokonać wykorzystując:
• programy zmieniające hasła,
• wyłączenie kontroli haseł przy rejestrowaniu,
• chwilową nieobecność użytkownika,
• tzw. haki pielęgnacyjne, czyli niejawne instrukcje umożliwiające łatwą obsługę i rozwój oprogramowania,
• błędy w systemach operacyjnych i oprogramowaniu użytkowym.
Atak na system informatyczny poprzedzany jest zwykle etapem wstępnym - zbieraniem informacji o atakowanym systemie. Istnieje kilka sposobów zdobywania informacji ułatwiających wykonanie ataku:
• zbieranie dokumentów publicznie dostępnych (niekiedy publicznie udostępniane są informacje o używanych systemach operacyjnych i środkach ochrony, stosowanym sprzęcie komputerowym),
• podstęp - udawanie pracownika, dostawcy (osobiście, w rozmowie telefonicznej, w korespondencji) w celu uzyskania informacji, o które się zabiega,
• wymuszenia, szantaż,
• przeszukiwanie odpadków w siedzibie instytucji i poza nią (często wśród wyrzucanych odpadków i makulatury znaleźć można notatki, informacje o klientach, telefonach wewnętrznych, dokumentację techniczną, zapisane nośniki danych).
Ukryte kanały - to kanały komunikacyjne pozwalające przesiać informację pomiędzy użytkownikami z pominięciem kontroli dostępu i innych mechanizmów zabezpieczających. Ukryty kanał powstaje, jeżeli użytkownik uprawniony (nadawca) i użytkownik nieuprawniony (odbiorca) współdzielą pewne zasoby. Użytkownik uprawniony lub działający w jego imieniu program może manipulować zasobem, a odbiorca informacji może odczytywać stan zasobu, na przykład nazwy plików. Istnieją dwa typy ukrytych kanałów: pamięciowe i czasowe. Do kodowania przesyłanej informacji wykorzystuje się: wielkość obszaru wolnego na dysku, odstępy między wyrazami w drukowanym tekście, nazwy plików, stopień wykorzystania jednostki centralnej, dostępność zasobu w określonych przedziałach czasowych.
Podczas wnioskowania o danych poufnych można wykorzystać następujące techniki:
• pośredni dostęp do danych - formułowanie zapytań do udostępnionej części danych, ujawniających informacje o danych tajnych,
• analiza odpowiedzi systemu na próby wprowadzania nowych danych,
•...
pio1281trek