Wyższa Szkoła Informatyki
Zarządzania i Administracji
z siedzibą w Warszawie
SPECJALNOŚĆ: INFORMATYKA W ZARZĄDZANIU
PAWEŁ WASILEWSKI
ZAGROŻENIA DANYCH W SIECIACH KOMPUTEROWYCH
PRACA DYPLOMOWA LICENCJACKA
Promotor:
Warszawa: 2003-06-12
WPROWADZENIE. 3
1 KLASYFIKACJA ZAGROŻEŃ 5
1.1 Awarie sprzętowe 5
1.2 Awaria oprogramowania 6
1.3 Czynnik ludzki 7
1.4 Wirusy komputerowe i wszelkie ich odmiany 8
2 WIRUSY KOMPUTEROWE I INNE PODOBNE ZAGROŻENIA. 10
2.1 Wirusy - realne zagrożenie. 12
2.2 Zagrożenia hybrydowe – tzw., „blended threats” 14
2.3 Typy wirusów. 15
2.3.1 Wirusy infekujące pliki. 16
2.3.2 Wirusy infekujące sektory startowe (boot sectors) dysków. 16
2.3.3 Wirusy infekujące główny rekord startowy (MBR - Master Boot Record). 16
2.3.4 Replikacja wirusów. 17
2.3.5 Wirusy typu mieszanego. 17
2.3.6 Wirusy typu stealth i wirusy polimorficzne. 17
2.3.7 Hoaxes. 18
2.3.8 Wirusy makrowe. 18
2.3.9 Konie trojańskie (Backdoory). 19
2.3.10 Bomba logiczna. 19
2.3.11 Robaki. 19
2.3.12 Jak rozprzestrzeniają się wirusy? 21
2.3.13 Aktualizacja wirusów przez Internet. 21
2.3.14 Wirusowa przyszłość. 22
Ochrona antywirusowa. 23
3 . ZAGROŻENIA ZE STRONY HAKERÓW 24
3.1 Najprostszy atak hakerski 25
3.2 Przechwycenie w protokole TCP 27
3.3 Węszenie (sniffing) 28
3.4 Aktywne rozsynchronizowanie 29
3.5 Przechwycenie po rozsynchronizowaniu 30
3.6 Nawałnica potwierdzeń TCP 33
3.7 Wczesne rozsynchronizowanie 35
3.8 Rozsynchronizowanie pustymi danymi 35
3.9 Atak na sesję telnetu 36
3.10 Podszywanie się (spoofing) 37
3.10.1 Podszywanie się w poczcie elektronicznej 38
3.10.2 Podszywanie się w poczcie elektronicznej z wnętrza programu pocztowego 39
3.10.3 Wykrywanie podszywania się 40
3.10.4 Używanie programów tcdump i netlog do obrony przed podszywaniem się 40
3.10.5 Zapobieganie podszywaniu się 41
3.11 Wszystko o ataku z przechwyceniem sesji 41
3.11.1 Wykrywanie przechwyconych sesji 42
3.11.2 Zapobieganie przechwytywaniu sesji 42
3.12 Podszywanie się pod hiperłącza –atak na weryfikację serwera SSL 42
3.12.1 Podłoże podszywania się pod hiperłącze 43
3.12.2 Przebieg ataku podszywania się pod hiperłącze 44
ZAKOŃCZENIE 46
BIBLIOGRAFIA. 47
Dwudziesty pierwszy wiek jest wiekiem szybkiego rozwoju technicznego i szybko postępującej komputeryzacji. Niemal każdy pracodawca, dla którego duże znaczenie ma wysoka wydajność pracowników inwestuje w sprzęt komputerowy i nowoczesne technologie. Coraz częściej nawet najmniejsze firmy sięgają do Internetu – wielką kopalnię informacji co znacznie ułatwia i przyśpiesza pracę. Współczesne środowisko globalnego biznesu nie może praktycznie obejść się bez technologii internetowych - technika ta staje się podstawową formą komunikacji z klientami i partnerami firmy. Jednak burzliwy rozwój Internetu to również coraz częstsze ataki hakerów, rozpowszechniające się wirusy, spamy poczty elektronicznej, oszustwa, ataki typu odmowy usług itp. Złośliwe oprogramowanie i w pełni zautomatyzowane ataki są coraz bardziej wyrafinowane. Coraz częściej zagrożenia przynoszą nieodwracalne skutki a użytkownicy wymagają coraz lepszego poziomu zabezpieczeń. Autorzy wirusów i hakerzy mają do dyspozycji narzędzia i generatory wirusów umożliwiające tworzenie złośliwych produktów.
Wszędzie tam, gdzie należy zautomatyzować obieg dużej ilości informacji, a zatem w różnego rodzaju instytucjach, firmach, biurach, przedsiębiorstwach produkcyjnych i handlowych, komputeryzacja coraz częściej jest realizowana za pomocą pewnego modelu przetwarzania. W miarę jak przetwarzanie na odległość jest coraz to powszechniejsze również coraz częstszym elementem praktycznie wszystkich środowisk obliczeniowych stają się sieci komputerowe. Sieć komputerowa jest mechanizmem umożliwiającym komunikowanie się komputerów znajdujących się w różnych miejscach. Integralnym elementem owej komunikacji jest udostępnianie zasobów. Sieci, o których tutaj mowa mają przekrój od lokalnych (LAN - Local Area Network), gdzie komputery znajdują się w bliskiej odległości, poprzez sieci obejmujące obszar całego miasta (MAN), aż do sieci rozległych (WAN - Wide Area Network), gdzie komputery nie są ograniczone odległością (w tym przypadku trzeba się liczyć ze znacznym obniżeniem prędkości transmisji danych pomiędzy nimi). W sieciach o większej ilości stacji roboczych, zwłaszcza takich, gdzie dużą rolę odgrywa bezpieczeństwo przechowywania danych i ich ochrona przed niepowołanym dostępem, stosuje się serwery. Mogą one spełniać najrozmaitszą rolę: serwery plikowe przechowujące i organizujące dostęp do danych zapisanych na ich dyskach, serwery baz danych zajmujące się organizowaniem bezpiecznego dostępu do dużej ilości danych, serwery drukowania sterujące współużytkowaniem drukarek i innych podobnych urządzeń peryferyjnych itp.
Sieć taka umożliwia współpracę i wymianę danych pomiędzy nieograniczoną ilością użytkowników pracujących w jednej firmie lub wielu firmach, przy jednym projekcie, albo użytkownikom, którzy, pomimo że przynależą do różnych działów, korzystają z tworzonych przez siebie nawzajem danych. Większość stworzonych, istotnych informacji jest przechowywana na serwerach, przekształcanych się w wielką przechowalnie danych. Taka przechowalnia danych musi być właściwie zabezpieczana przy użyciu najlepszych produktów, ponieważ w przypadku poważniejszej awarii danych można nie odzyskać. Forma zagrożeń i natura możliwych ataków ciągle się zmieniają, a systemy zabezpieczeń to jedna z najbardziej dynamicznie rozwijających się technologii informatycznych. Odpowiednie połączenie zdrowego rozsądku, dobrego programu antywirusowego i przemyślanej strategii zabezpieczania danych może sprawić, że praca w sieci i korzystanie z poczty elektronicznej nie będzie miała żadnych katastrofalnych następstw. Jeśli ponadto umiejętnie wykorzystamy dodatkowe narzędzia, możemy zaoszczędzić trochę pracy i jeszcze bardziej poprawić poziom bezpieczeństwa. Nie można zapomnieć jednak o tym, że bezpieczeństwo jest pojęciem względnym. Przy wprowadzaniu niezbędnych zabezpieczeń warto, więc zdecydować się na rozsądny kompromis, który nie będzie zbyt uciążliwy w codziennej pracy. Z tego też względu rozsądny system zabezpieczeń ma w praktyce znacznie większą wartość, niż niedostępna twierdza.
Wielu korzystających z Internetu użytkowników bardzo często zastanawia się jak bardzo anonimowi są oni w tym czynią i jak duża istnieje możliwość zebrania na ich temat informacji w sposób legalny bądź też nielegalny. Tak samo jest w przypadku użytkowników korzystających z sieci lokalnej (firmowej) oraz Intranetu. Podstawowa strategia bezpieczeństwa polega na zapewnieniu bezpieczeństwa poprzez stosowanie wielowarstwowych mechanizmów ochrony. Uzupełnieniem takiej koncepcji wielowarstwowego mechanizmu ochrony może być zastosowanie zróżnicowanego typu zastosowanych metod. Przy stosowaniu w firmie zabezpieczeń tylko jednego rodzaju musimy pamiętać, że poznanie słabego punktu danego typu zabezpieczenia może doprowadzić do awarii całego systemu. Korzystanie z produktów zabezpieczających pochodzących od różnych dostawców oprogramowania znacznie zmniejsza prawdopodobieństwo pozbawienia bezpieczeństwa całego systemu. W sytuacji, gdy zawiedzie jego jeden element reszta będzie w pełni funkcjonować – jest to główna zaleta wielowarstwowego mechanizmu ochrony. Należy jednak pamiętać, że administrowanie tak złożonym systemem bezpieczeństwa jest znacznie bardziej czasochłonne niż administrowanie systemem jednolitym.
W rozdziale tym, postaram się przybliżyć najważniejsze i najczęściej występujące zagrożenia. Postaram się w sposób jak najbardziej przystępny podzielić je mając na uwadze sposób występowania i straty, jakie mogą czynić.
Awarie sprzętowe są zaburzeniami w działaniach sprzętu, na które najczęściej nie mamy wpływu. Każdy element serwera lub sieci komputerowej może w pewnym momencie zostać uszkodzony. O to najczęściej pojawiające się awarie sprzętu komputerowego:
· Awaria dyskowa - awaria techniczna dysku twardego (nośnika systemu operacyjnego) lub zapisu danych systemowych, co jest powodem straty danych użytkowych lub niemożliwości skorzystania z nich;
· Awaria elektroniki jednostki centralnej serwera – można tutaj zaliczyć np. awarię pamięci, awaria płyty głównej lub kontrolera RAID wymagająca ich wymiany lub innej naprawy;
· Awaria lokalnej sieci komputerowej (LAN) – długotrwała przerwa w funkcjonowaniu sieci spowodowana np. awaria jednego z urządzeń sieciowych, zerwaniem kabla transmisyjnego, awarią karty sieciowej w serwerze, błędem obsługi;
· Awaria środków teletransmisyjnych - każda przerwa w przesyłaniu danych drogą teletransmisji (tj. pomiędzy siedzibami), w tym również spowodowana awarią zewnętrzną lub błędem obsługi (np. w konfigurowaniu urządzeń);
· Awaria zasilania – przerwy w działaniu serwerów spowodowane brakiem dostarczania energii elektrycznej do jednostki centralnej lub urządzeń peryferyjnych, z wyjątkiem planowych wyłączeń. Może to być również awaria UPS-a;
· inne - np. awaria stacji dysku elastycznego, bibliotek do awaryjnego kopiowania danych.
Oczywiście w każdej korporacji występują działania mające na celu modernizację lub wymianę elementów infrastruktury informatycznej:
· Działania planowe - np. naprawa, rozbudowa lub rekonfiguracja sprzętu komputerowego, ewakuacja placówki, planowe wyłączenia sieci energetycznej;
Niezależnie od tego jak zaawansowanym oprogramowaniem dysponujemy musimy się liczyć, że w końcu nastąpi moment, w którym zawiedzie. Microsoft Exchange Serwer jest bardzo popularnym oprogramowaniem wymiany pocztowej aczkolwiek posiada bardzo dużo błędów. Z tego względu trzeba pamiętać o instalowaniu najnowszych uaktualnień oraz robieniu kopii zapasowych serwera. O to najczęściej występujące problemy w oprogramowaniu:
· „Dziury” w oprogramowaniu – wprawny użytkownik może takie dziury łatwo wykorzystać do zachwiania stabilności pracy serwera
· Zawieszenie się systemu z nieznanej przyczyny (tzw. „blue screen”) - chwilowy brak reakcji systemu, który ustąpił po ponownym jego uruchomieniu lub innej akcji naprawczej i się nie powtarzał;
· Pojedyncze przekłamanie lub inne pojedyncze, niewyjaśnione zdarzenie
· Niewydolność systemu - np. z powodu zbyt małych zasobów, takich jak przepełnienie dysku twardego, za mała pamięć operacyjna lub zainstalowania dodatkowego oprogramowania np. antywirusowego
sulerek