Security

Полтавський університет споживчої кооперації України

Кафедра інформаційно-обчислювальних систем

к.т.н., доцент Юдін О.М.

Економічна інформатика

2

Безпека інформаційних Безпека інформаційних системсистем

Лекція 5

Навчальні питанняНавчальні питання

1. Загрози комп'ютерної безпеки.

2. Захист інформаційних систем.

3. Можливі види атак на інформаційні системи.

ВизначенняВизначення

Інформаційна безпека — стан захищеності інформаційного простору, який забезпечує формування та розвиток цього простору в інтересах особистості, суспільства та держави.

http://www.domarev.kiev.ua/obuch/lek_11_n2.htm

Домарев В.В. "Безопасность информационных технологий"

Інформаційний простір — середовище, де здійснюється формування, збір, зберігання та розповсюдження інформації.

ВизначенняВизначення

Захист інформації — сукупність засобів, методів, організаційних заходів щодо попередження можливих випадкових або навмисних впливів природного чи штучного характеру, наслідком яких може бути нанесення збитків чи шкоди власникам інформації або її користувачам, інформаційному простору.

ВизначенняВизначення

ЗАКОН УКРАЇНИ"Про захист інформації в автоматизованих системах"

7

Основні поняття безпекиОсновні поняття безпеки

КонфіденційністьЦілісність Доступність

Засоби, яки дозволяють приховувати інформацію. Звичайно це

досягається за допомогою

шифрування.

Захист інформації від випадкового або

навмисного пошкодження (видалення).

Ресурс системи, який запрошує легальний користувач повинен бути наданим йому у

використання.

Суттю захисту інформації є її доступність при збереженні цілісності інформації та гарантованій конфіденційності.

8

ВступВступ• Проблема захисту інформації в

системах електронної обробки даних виникла практично одночасно з їх створенням

• Вже в 1974-1975 рр. в урядових

органах США було розкрито близько 70 випадків несанкціонованого проникнення в комп'ютерні системи з нанесенням збитку у розмірі 32 млн. доларів.

ВступВступДіяльність сучасних кіберзлочинців

є дуже серйозним бізнесом: вони залучають аутсорсерів, створюють

продукти і пропонують платні послуги, отримують прибутки і

скорочують затрати.

За матеріалом лабораторії Є. Касперського «Киберпреступность: гонка вооружений», 2008

Найбільш вразливими для атак зараз є наступні області:- Інтернет-гроші, Інтетнет-банкинг;- віддалені сховища даних і додатків;- онлайн ігри;- онлайн біржові агентства;- Web 2.0, соціальні мережі.

http://www.viruslist.com/ru/analysis?pubid=204007625

10

ВступВступ

Кількість інцидентів з безпекою інформаційних систем постійно зростає

За даними CERT/CC – Computer Emergency Response Team (www.cert.org).

11

Причини загрозПричини загроз • дані через Internet передаються незашифрованими;

• при проектуванні протоколів TCP/IP не розглядалися питання безпеки;

• складність в адмініструванні сучасних гетерогенних (неоднорідних) мереж;

• низька кваліфікація і помилки персоналу;

• наявність уразливостей у програмному і апаратному забезпеченні комп'ютерних мереж.

12

УразливістьУразливість

Уразливість - будь-яка характеристика або властивість інформаційної системи, використання якої порушником може привести до реалізації загрози.

Приклади уразливостейПриклади уразливостей:

– помилки в програмах; – помилки адміністрування; – дозволений сервіс, якої не

використовується;– помилки в проектуванні програмних або

апаратних засобів мережі.

14

ВступВступ

• В перші десятиліття комп'ютерної епохи основну небезпеку представляли хакери, зараз безпека інформації прогресує через комп'ютерні віруси (черві), що розповсюджуються за допомогою глобальної мережі Internet

15

ВступВступ

• Першим відомим "черв'яком" прийнято вважати програму Роберта Морріса (Robert Morris), студента Корнелського університету.

• За 90 хвилин, використовуючи помилку переповнювання буфера, Morris Worm заразив 6000 комп'ютерів Глобальної Мережі.

Robert Morris

16

ВступВступ

• Зараз “черв'як" Уорхола може повністю підпорядкувати собі Internet (або декілька сотень тисяч вузлів) всього за 15 хвилин (за 15 хвилин він здатний дістати доступ до 300000 вузлів).

За годину число заражених

машин може перевищити декілька мільйонів.

17

ВступВступ

Розглянемо, завдяки чому так може статися.

18

1. Загрози комп'ютерної безпеки.

19

ФакториФакториНа безпеку комп'ютерних мереж оказують вплив різні фактори

Людський фактор

Технічний фактор

Природні катаклізми

Людський факторЛюдський фактор

21

Людський факторЛюдський фактор

• Таким чином, однією із основних потенційних загроз для інформаційних систем є так званий людський фактор – цілеспрямовані або випадкові деструктивні дії персоналу, оскільки вони складають до 75% усіх випадків.

Головні причини втрати Головні причини втрати інформаціїінформації на сучасному на сучасному

етапіетапі

(За даними дослідження CISCO у 2008 році)

http://www.cisco.com/go/dlp.

Особливості сучасного етапуОсобливості сучасного етапу

• централізована модель управління в корпораціях поступається місцем ініціативам з боку локальних офісів і віддалених працівників, стирається грань між роботою і особистим життям

• співробітники компанії все більше користуються новими пристроями і додатками для взаємодії, такими як ноутбуки, мобільні телефони, програмні застосування Web 2.0 і соціальні мережі

• бізнес вимагає від співробітників більшої мобільності і співпраці, а це неможливо без сучасних засобів захисту, політик безпеки і правильного навчання

• все це вимагає нових підходів до інформаційної безпеки. Захист інформації стає справою не тільки співробітників ІТ-відділу, а також всіх співробітників офісу

1 причина1 причина

Один з п'яти службовців признався, що знаходив спосіб обійти обмеження на доступ до якого-небудь веб-сайту.

Особливо поширена така практика в країнах з економікою, що розвивається, таких як Індія і Китай, де 52% опитаних сказали, що просто хотіли подивитися потрібний їм сайт, а третина взагалі заявила, що це їх особиста справа.

Зміна настройок безпеки на своєму комп'ютері

2 причина2 причина

7 з 10 фахівців відзначили, що половина втрат інформації в їх компанії відбувалася у працівників, які використовували заборонені програмні застосування.

Більшою мірою це торкнулося США (74%) і Індії (79%).

Використання недозволених додатків.

Time Boss - это программа, которая дает возможность ограничивать время

использования компьютера, время, проведенное в интернете, а также составить

список запрещенных программ и папок.

3 причина3 причина

Минулого року дві п'ятих ІТ-фахівців мали справу із службовцями, які намагалися або діставали доступ до не дозволених частин мережі.

У Китаї цей показник ще більше – дві третіх.

Не авторизований доступ до мережі.Не авторизований доступ до мережі.

4 причина4 причина

24% співробітників призналися, що можуть говорити про секретну інформацію свого працедавця в розмовах з друзями і сім'єю

Відкриття доступу до корпоративної інформаціїВідкриття доступу до корпоративної інформації

5 причина5 причина

У тому, що до їх корпоративних обчислювальних пристроїв мають доступ ті, хто не повинен його мати, призналися 44% опитаних.

Сумісне використання робочих пристроїв.

6 причина6 причина

Дві треті працівників використовують свій корпоративний комп'ютер для особистих потреб, наприклад, для викачування музики, покупок в Інтернеті, чатів, блогів і іншого.

Половина опитаних застосують особисту пошту для спілкування з партнерами і клієнтами, але тільки в 40% випадків це схвалено ІТ-відділом.

Розмивання меж між робочими і особистими комунікаційними пристроями.

7 причина7 причина

Мінімум один з трьох службовців залишає свій комп'ютер не відключивши від системи і не заблокувавши його, коли покидає своє робоче місце.

Незахищені пристрої.

8 причина8 причина

20% людей запам'ятовують в системі свої облікові дані або записують їх поруч зі своїм ПК.

Запам'ятовування логінів і паролів.Запам'ятовування логінів і паролів.

9 причина9 причина

22% опитаних носять з собою на мобільних пристосуваннях, наприклад, флеш-картах, важливу робочу інформацію поза офісом.

Особливо це поширено в Китаї (41%).

Втрата портативних пристроїв.

10 причина10 причина

22% німецьких робітників дозволяють особам, що ні є співробітниками організації бути присутнім в офісі, не маючи дозволу керівництва.

Середній показник по дослідженню – 13%.

Допуск на своє робоче місце сторонньої особи без нагляду.

34

ВизначенняВизначення• Під фактором або загрозою

розуміється будь-яка подія, що потенційно може завдати шкоди організації шляхом розкриття (порушення конфіденційності), модифікації або руйнування інформації (порушення цілісності), або відмови в обслуговуванні критичними сервісами (порушення доступу).

35

ЗагрозиЗагрози

Джерела розповсюдження загроз

• Інтернет• Інтранет• Електронна пошта• знімні носії інформації

Види загрозВиди загроз

черв'яки віруси трояни

Програми-реклами (Adware)

Програми-шпигуни (Spyware)

потенційно небезпечні програми

Програми-жарти

руткіти

атаки хакерів

фішинг

спам

Першій вірусПершій вірусВірус BrainBrain , що став причиною першій епідемії у світі був створений 1986 р. в

Пакистані.

Вірус BrainBrain записував себе в завантажувальний сектор і

розповсюджувався через дискети.

Шкідлива програма була створена двома братами-бізнесменами як захист від

несанкціонованого копіювання.

Вірус повинен був вражати тільки піратські дискети, на яких була відсутня

ліцензійна копія їх програми. Перед зараженням вірус шукав спеціальну мітку ліцензійного ПО і заражав дискету тільки

у разі її відсутності.

Вірус не мав ніяких деструктивних властивостей.

Вірус проявляв себе тим, що перейменовував мітку диска в (c) Brain. Крім того, він видавав текстове повідомлення з контактними даними авторів, їх адресою і телефонами.

10 самих відомих вірусів10 самих відомих вірусів

ВірусиВіруси

Кількість вірусів, що були виявлені з 2003 року спеціалістами лабораторії Касперського

Згідно звіту, зростання числа нових шкідливих програм в порівнянні з 2005 р. склало 41%.

При цьому стрімко збільшується кількість «троянських» програм-шпигунів, орієнтованих на крадіжку даних користувачів онлайн-ігор, і спостерігається подальший розвиток «троянцев»-шифровальщиків.

Також наголошується підвищена увага тих, хто пишуть віруси до Microsoft Office, в якому було знайдено багато нових уразливостей.

Virus.Win32.Gpcode.acVirus.Win32.Gpcode.acШкідлива програма, що шифрує файли користувача на зараженому комп'ютері.Для шифрування частково використовується алгоритм RSA з різною довжиною ключа (від 56 біт).

Зашифровані файли користувача неможливо використовувати надалі, що дає можливість зловмисникам вимагати у постраждалих кошти.

У папках із зашифрованими файлами з'являються файли

readme.txt приблизно наступного змісту:

RootKitRootKitПрограма або набір програм для приховування слідів присутності зловмисника або шкідливої програми в системі.

Rootkit - набір утиліт або спеціальний модуль ядра, які зломщик встановлює на зламаній їм комп'ютерній системі відразу після отримання прав адміністратора.

Цей набір, як правило, включає різноманітні утиліти для «замітання слідів» вторгнення в систему, сніфери, сканери, кейлоггери, троянські програми, що заміщають основні утиліти.

Rootkit дозволяє зломщику закріпитися в зламаній системі і приховати сліди своєї діяльності шляхом заховання файлів, процесів а також самої присутності руткита в системі.

ФішингФішинг• Це вид інтернет-шахрайства, сутністю

якого є розсилка електронних повідомлень з метою крадіжки конфідіційної інформації як правило фінансового характеру.

• Фішингові повідомлення складаються максимально подібними до справжніх інформаційних повідомлень банків або інших установ і мають посилання на спеціально підготовлену точну копію сайту установи від якою надійшов лист.

• На даному сайті користувачу пропонується ввести, наприклад, номер кредитної карти або іншу конфідіційну інформацію.

За даними Symantec 22% операцій на серверах хакерів

пов'язані з продажею зламаних банківських

рахунків.

RSA conference 2008

КО №16 22 квітня 2008 року

СпамСпамСпам - анонімна масова розсилка не бажаних поштових повідомлень.

За минулий 2007 рік об'єм спаму збільшився у 2 рази і зараз складає 92% всіх листів, що пересилаються.

Теоретично один комп'ютер зі складу спеціальної мережі спамерів, може за годину передати 25 тис. листів, вся мережа – 7.3 млрд. повідомлень, а за добу – 63 млрд. повідомлень

2. Захист інформаційних 2. Захист інформаційних системсистем

Операційна системаОпераційна система • ОС комп'ютеру є дуже

складною, тому теоретично вона має уразливості

• Для запобігання проблем з безпекою необхідно використовувати останні версії ОС, відповідні оновлення та “заплатки”

• Наприклад, для ОС Windows ХР – Service Park 3, Windows Vista – Service Park 1

• Оновлення та “заплатки” необхідно встановити також для всіх програм, що є на ПК і які мають уразливості.

NTFSNTFSДля надійного збереження інформації на комп'ютерах, що працюють під управлінням ОС Windows рекомендують використовувати файлову систему NTFS.

NTFS має вбудований засіб, за допомогою якого здійснюється контроль за доступом до об'єктів файлової системи – Access Control Access Control ListList (ACL), списки контролю доступу.

Пароль адміністратораПароль адміністратораНеобхідно пам'ятати, особливо при роботі у мережі, що кореневі розділи всіх дисків (фізичних і логічних) для полегшення віддаленого адміністрування за замовчуванням віддані у спільний доступ.

Для віддаленого підключення необхідно тільки підібрати пароль, тому пароль адміністратора або членів групи адміністраторів повинний бути складним і довгим. Приклад паролю: A#u_6&5d4Z

Мережний екранМережний екран

• Брандмауер, мережний екран або Firewall - це програмний, або апаратний пристрій, який захищає окремий комп'ютер або кордон мережі

• Він дозволяє або ні вхід до всієї мережі або окремого комп'ютеру, а також передачу пакетів із середини мережі (з комп'ютеру) в зовнішні мережі.

Атака з ІнтернетуАтака з Інтернету

Атака з ІнтернетуАтака з Інтернету

Мережний екранМережний екранБрандмауер також блокує доступ до спеціального засобу протоколу ТСР, що має назву “портів” або “сокетів” (sockets).

Сокети забезпечують роботу у мережі декілька програмних застосувань одночасно.

Порти з номерами від 1 до 1024 застосовуються операційною системою, дуже небезпечним є доступ до 135, 136, 137, 445 портів ОС Windows, тому брандмауер блокує до них доступ.

АнтивірусАнтивірус

Наступний обов'язковий засіб захисту сучасного

ПК - антивірус

АнтивірусАнтивірус

Антивірус+мережний екранАнтивірус+мережний екранКращий

програмний засіб захисту ПК: антивірус +

мережний екран.

Системи виявлення атакСистеми виявлення атак

Intrusion Detection SystemIntrusion Detection System – – IDSIDS

Виявлення атак – це процес ідентифікації і реагування на підозрілу діяльність, яка направлена на вивід з

ладу роботи комп'ютерної мережі

Для локального комп'ютеру засоби виявлення підозрілої діяльності маються у антивірусі – еврістичний аналізатор, проактивний захист.

Сканери безпекиСканери безпеки

• Головна задача: дослідження комп'ютерів мережі з метою виявлення уразливостей

NESSUS NetRecon

E-mail

SQL

WEB, FTP

File

СерверСАЗ

Firewall

Firewall

АРМадминістратора

безпеки

Система виявлення атак

Консоль

Менеджер

Сканер

Консоль

Агент

Агент

Агент

АгентАгент

Агент

Агент

Агент

Агент

Шифрований трафік

АРМи посадових осіб

Агент

Сервер автентифікації

АгентМартшрутизатор з шифруванням

потоків

Шифрований трафік

Обманна система

Система захисту комп'ютерної мережі

58

3. Можливі атаки на комп'ютерні мережі

59

Атака

• Атака – це будь-яка дія або зв'язана послідовність дій порушника, яки приводять к реалізації загрози шляхом використання уразливостей інформаційної системи (комп'ютерної мережі).

60

Етапи реалізації атакиЕтапи реалізації атаки

Можна виділити наступні етапи реалізації атаки:

1. Попередні дії перед атакою або "збір інформації" (information gathering);

2. “Реалізація атаки" (exploitation);

3. Завершення атаки.

61

Етапи реалізації атакиЕтапи реалізації атаки

62

Етапи реалізації атакиЕтапи реалізації атаки

• Основний етап — це збір інформації. Саме ефективність роботи зловмисника на даному етапі є заставою успішної атаки.

Сканування портів за допомогою сканеру безпеки

63

Компоненти атакиКомпоненти атаки

64

Модель атакиМодель атаки

Той, хто атакує

Ціль атаки

65

Модель атакиМодель атаки

66

Модель атакиМодель атаки

67

Модель атакиМодель атаки

Той, хто атакує

Ціль атаки

Проміжний вузол 1

Проміжний вузол 1

68

Класифікація атакКласифікація атак

69

Класифікація атакКласифікація атакКласифікація атак

Пасивні

По характерувпливу

Активні

По цілівпливу

Порушенняконфідіційності

Порушенняконфідіційності

Порушенняпрацездатності

По умовампочатку атаки

Атакапо запиту

Атакапо події

Безумовнаатака

По наявностізворотнього

зв’язку

Є зворотнийзв’язок

Немаєзворотнього

зв’язка

Порозміщенню

суб’єкту атаки

В серединімережі

Зовнімережі

70

Класифікація атакКласифікація атак

71

DoS/DDoSDoS/DDoS• Найбільшу небезпеку

для інформаційних систем в цілому складають атаки типу «відмова в обслуговуванні» (Denial of service – DOS).

• На даний час відсутні засоби 100% захисту комп’ютерних мереж від атак даного типу.

72

DoSDoS//DDoSDDoS• Головна мета атак типу DoS/DDoS – полягає

в виведенні об’єкта з робочого стану, що в свою чергу може привести до значних фінансових втрат власника сайту.

• Найбільш відомими атаками даного типу були

атаки на кореневі DNS-сервера мережі Інтернет, що були зроблені у листопаді 2002 року.

• Тоді атака була направлена на всі 13

серверів, 7 з них вийшли з ладу.

73

ВисновкиВисновки• З початком широкого використання

міжнародних мереж передачі даних загального користування темпи росту мережної злочинності зростають в геометричної прогресії.

• За оцінками експертів Міжнародного центру безпеки Інтернет (CERT) кількість інцидентів пов’язаних з порушенням мережної безпеки зросла в порівнянні з 2000 роком майже у 10 разів.

74

• Атаки на інформаційні ресурси держави за допомогою мереж передачі даних несуть в собі загрозу національної безпеки.

• Ця загроза є дуже серйозною, тому відповідними мерами з боку, наприклад, уряду Росії є обмеження або повна заборона підключення державних установ до всесвітньої комп’ютерної мережі.

ВисновкиВисновки

75

• Основними причинами, що провокують ріст мережної злочинності є недосконалі методи і засоби мережного захисту, а також різні уразливості у програмному забезпеченню елементів, що складають мережну інфраструктуру.

ВисновкиВисновки

76

• За даними того ж самого центру CERT кількість знайдених вразливостей в порівнянні з 2000 роком також зросла у 3 рази, тобто мається стійка тенденція їх росту.

ВисновкиВисновки

77

Згідно даним спеціалізованого сайту з безпеки Zone-H

• 31.4% атак на інформаційні системи реалізовані завдяки відомим але незакритим уразливостям,

• 24.2% - завдяки помилкам у настройках, • 21.1% – за рахунок використання раніше невідомих

уразливостей, • 16.3% атак здійснюються за допомогою «грубої сили», • 4.7% - це інші атаки.

Тобто 52.5% злочинів реалізуються в результаті помилок у програмному забезпеченні, 24.4% - в наслідок помилок

адміністрування.

ВисновкиВисновки

78

Література