Marian KOPCZEWSKI, Ewa CZAPIK-KOWALEWSKA

Marian KOPCZEWSKI1), Ewa CZAPIK-KOWALEWSKA2)
1)
2)
Wyższa Szkoła Bezpieczeństwa, Poznań
Instytut Polityki Społecznej i Stosunków Międzynarodowych,
Politechnika Koszalińska
E-mail: [email protected]
Zagrożenia sieciowe
a bezpieczeństwo informacyjne
Streszczenie: W artykule poruszono zagadnienia związane z bezpieczeństwem informacji w sieci Internet. Omówiono różne klasy zagrożeń
począwszy od wirusów, robaków, trojanów itp., poprzez ataki hakerów
i ataki na serwery, na socjotechnicznych metodach wyłudzania poufnych
informacji.
1. Wprowadzenie do zagadnienia bezpieczeństwa w sieci
Zgodnie z określoną sytuacją i wymaganiami bezpieczeństwo informacji rozumiane jest
w różny sposób. Niezależnie jednak od tego, kto bierze w nim udział i w jakim stopniu
jest zaangażowany, wszyscy uczestnicy wymiany informacji dążą do tego aby mieć
pewność, że pewne szczególne założenia dotyczące jej bezpieczeństwa zostały spełnione. Wśród licznych założeń są: prywatność lub poufność, integralność danych, uwierzytelnianie lub identyfikacja, uwierzytelnianie wiadomości, podpis, autoryzacja, atestacja,
kontrola dostępu, certyfikacja, oznaczanie czasu, świadectwo, pokwitowanie, zatwierdzenie, własność, anonimowość, niezaprzeczalność czy unieważnienie. Metoda przechowywania informacji nie uległa znacznym modyfikacjom na przestrzeni wieków.
Wcześniej informacje gromadzono i przekazywano w formie papierowej, obecnie zaś,
znaczna jej część jest zapisywana na różnego rodzaju nośnikach cyfrowych, oraz przesyłana za pośrednictwem systemów telekomunikacyjnych. Istotnej zmianie uległa natomiast zdolność do kopiowania i modyfikowania informacji.
W zależności od systemu informacyjnego mamy do czynienia z różnymi wymogami
bezpieczeństwa, jednak zawsze związane są nieodłącznie z trzema podstawowymi zagadnieniami którymi są: poufność, integralność i dostępność.
Poufność informacji polega na jej zabezpieczeniu przed dostępem osób niepowołanych,
a więc takiej sytuacji gdy jest ona dostępna tylko dla tego, dla kogo jest przeznaczona.
Integralność (jednolitość) informacji realizuje trzy funkcje: zapobiega modyfikacji
informacji przez nieupoważnione osoby, zapobiega nieautoryzowanym lub przypadkowym modyfikacjom informacji przez osoby upoważnione oraz zapewnia spójność wewnętrzną i zewnętrzną.
56
Informacja, na podstawie której podejmowane są decyzje, powinna być adekwatna
i dokładna, chroniona przed zniszczeniem i nieautoryzowaną modyfikacją. Dostępność
informacji oraz odpowiednich narzędzi do jej przetwarzania zapewnia autoryzowanym
użytkownikom bieżący i nieprzerwany dostęp do danych w systemie i sieci. Bezpieczeństwo komputerów da się opisać tymi samymi pojęciami, co bezpieczeństwo fizyczne: zaufanie, znajomość sekretu pozwalającego dowieść swojej tożsamości, posiadanie
klucza do otwierania zamków, odpowiedzialność przed prawem.
2. Rodzaje zagrożeń
Zagrożenia sieciowe można podzielić na kilka podstawowych kategorii. Są nimi: wirusy, robaki i konie trojańskie, inne szkodliwe kody oraz ataki na zasoby sieciowe.
Wirusy
Wirus komputerowy to program napisany w jednym z języków programowania; przyłącza
się do normalnych programów i dokumentów bez zgody lub wiedzy użytkownika. Od
zwykłych aplikacji różni się zdolnością do tworzenia własnych kopii (autoreplikacji).
Robak
Program komputerowy, który rozprzestrzenia się samodzielnie, niezależnie od działania
człowieka; nie infekuje jednak innych plików. Głównym jego celem jest powielanie się
w Internecie i spowolnienie łączy. Robaki wykorzystują wszelkie dostępne sposoby
rozprzestrzeniania (sieci lokalne LAN, Internet, pocztę elektroniczną, sieci wymiany
plików, telefony komórkowe i inne kanały transportowe). Oprócz przeciążenia kanałów
internetowych i awarii systemów, wspomagają przeprowadzanie ataków sieciowych,
przenoszą konie trojańskie, spam.
Koń trojański (trojan)
Może on przybrać formę innego nieszkodliwego i powszechnie używanego programu.
Aplikacja ta uszkadza system lub przeprowadza inne destrukcyjne czynności. W przeciwieństwie do wirusów i robaków, konie trojańskie nie rozprzestrzeniają się samodzielnie. Trojany można podzielić na programy kradnące hasła, otwierające komputer
na zdalny atak, instalujące inne szkodliwe oprogramowanie na zainfekowanym komputerze, pobierające z Internetu szkodliwy kod. Przykładem konia trojańskiego jest program, który zachowuje się jak moduł logowania do systemu, w wyniku czego przechwytuje informacje o nazwach użytkowników i hasłach.
Pozostałe kody
Adware
Programy, które wyświetlają materiały reklamowe niezależnie od czynności wykonywanych przez użytkownika. Ten rodzaj oprogramowania często instalowany jest na komputerach bez wiedzy i zgody użytkownika podczas przeglądania stron internetowych; również
wiele darmowych programów zawiera aplikacje adware. Działają one nawet po zamknięciu lub usunięciu programu, za pośrednictwem którego dostały się do systemu.
57
Binder
Program łączący szkodliwe pliki z rozszerzeniem .jpg z plikiem .exe. W ten sposób
dołączane są do zdjęć konie trojańskie.
Bomba logiczna
Program niszczący dane, uruchamiający się w odpowiednim czasie lub okresowo
w systemie komputerowym, określający warunki, w jakich podejmowane mają być
niedozwolone działania. Skutkiem działania bomby logicznej może być nieupoważnione wprowadzenie do systemu operacyjnego komputera instrukcji (konia trojańskiego),
które będą realizowane w późniejszym terminie jako tzw. bomby czasowe. Może to być
np. kod formatujący dysk twardy albo wstawiający przypadkowe ciągi bitów z danymi.
Dialer
Program, który bez wiedzy użytkownika przekierowuje zwykłe połączenie na numer
o podwyższonej płatności (0-700 lub numer międzynarodowy). Dialery przenikają do
systemu operacyjnego zazwyczaj bezpośrednio ze stron www, np. gdy użytkownik
kliknie podejrzane okienko pop-up lub baner.
Fałszywki
Fałszywe alarmy przesyłane e-mailem o nowym bardzo groźnym wirusie, zawierające
"instrukcję", jak się go pozbyć. Najczęściej są to instrukcje usunięcia ważnych plików
systemowych, bez których system operacyjny nie może działać poprawnie.
Spam
Niechciana, niezamówiona reklama, spływająca głównie poprzez pocztę elektroniczną,
generująca niepotrzebny ruch w sieci.
3. Ataki na zasoby sieciowe
Ze względu na miejsce lokalizacji źródła niebezpieczeństwa można dokonać ogólnego
podziału zagrożeń na wewnętrzne (inicjowane wewnątrz danej organizacji) i zewnętrzne (inicjowane z zewnątrz). Inny podział, związany ze specyfiką określonego zagrożenia, obejmuje: włamanie do systemu (przejęcie konta administratora lub użytkownika),
utratę poufności informacji, określoną odpowiednią klauzulą tajności, utratę integralności informacji (nielegalna modyfikacja danych), utratę autentyczności informacji, utratę
dostępności usług systemu i informacji, podszywanie się pod innego użytkownika.
Hakerstwo
Jest próbą uzyskania dostępu do systemu komputerowego z pominięciem uwierzytelniania. Ataki przeprowadzane są poprzez niechronione, otwarte porty, czyli kanały komunikacji komputera z Internetem.
Spyware, crimeware
Programy szpiegowskie, które bez wyraźnej zgody właściciela zbierają i wysyłają informacje o jego komputerze (informacje o posiadanym sprzęcie, konfiguracji systemu, odwiedzonych stronach www, wysłanych e-mailach, wpisywanych tekstach, poufnych da58
nych, hasłach). Są to wszelkiego rodzaju konie trojańskie, czy też aplikacje rejestrujące
znaki wpisywane z klawiatury, tzw. keyloggery, które następnie są wysyłane do agresora.
Eksploit
Rodzaj ataku, program lub część kodu, wykorzystujące błąd lub lukę w aplikacji bądź
systemie operacyjnym. Ich rola polega przede wszystkim na przepełnianiu buforów
i umieszczaniu podprogramów w losowych miejscach w pamięci normalnie zabronionych przez użytkownika. W rezultacie przeprowadzenia takiego ataku agresor może
zdobyć pełne uprawnienia do atakowanego komputera.
Atak słownikowy i Back door
Atak polegający na próbie zalogowania się do systemu z wykorzystaniem dużej listy
słów znajdujących się w określonym pliku jako kolejno próbowanych haseł. Back
door czy inaczej "tylne drzwi", to programy bazujące na zainstalowaniu odpowiedniego oprogramowania, pozwalającego na dostanie się do systemu w inny sposób niż
poprzez logowanie.
Skanowanie portów
Wysyłanie do atakowanego systemu żądania udostępnienia usług na wielu portach w celu
znalezienia uruchomionych usług oraz aktywnych portów (za pomocą polecenia ping).
Phishing
Bardzo groźna odmiana spamu, która polega na tworzeniu fałszywych wiadomości
e-mail i stron www, głównie finansowych, wyglądających identycznie jak serwisy internetowe firm o znanej marce lub banków. Te atrapy mają za zadanie nakłonić klientów
do podania numeru karty kredytowej, hasła logowania, informacji o koncie bankowym.
Pharming
Wykorzystywanie oprogramowania wymuszającego na przeglądarce internetowej przekierowanie wysyłanych danych do serwera atakującego, zamiast do serwera banku.
Sniffing
Podsłuchiwanie przesyłanych przez sieć pakietów. Za pomocą tzw. sniffera można przechwycić dane przesyłane niekodowanym kanałem.
Spoofing
Podszywanie się pod inny komputer w sieci. Następuje to przez przechwytywanie przesyłanych pakietów w celu ich modyfikacji i odesłania sfałszowanych do komputera
docelowego. W efekcie "legalny" użytkownik zostaje rozłączony, a włamywacz kontynuuje połączenie z pełnymi prawami dostępu np. do jego konta w banku.
Denial of Service (DoS)
Odmowa wykonania usługi. Atak ten bazuje na takim wykorzystaniu zasobów komputera, że nie jest on w stanie zagwarantować poprawniej realizacji usług, jakie oferuje,
Jednym ze sposobów na zastosowanie ataku typu DoS jest tzw. flooding, polegający na
wysyłaniu do atakowanego komputera takiej liczby zapytań, by odwołania rzeczywistych użytkowników do serwera nie mogły zostać obsłużone.
59
Rootkit
Sposoby i metody, jakie stosują programy typu spyware, wirusy lub trojany do chowania się przed wszelkimi skanerami. Rootkitami mogą być także różne zestawy narzędzi
lub programów, których zadaniem jest zamaskowanie jakiejkolwiek próby włamania
i uzyskania uprawnień administratora. Intruz może wtedy zainstalować rootkit wykorzystując dziurę w systemie. Rootkity działają na zasadzie spyware, czyli zbierają informacje o użytkownikach, przesyłają je do bazy atakującego i dają mu pełen dostęp do
systemu. Rootkit może składać się z prostych narzędzi do monitorowania ruchu w sieci
i do przesyłania haseł.
Socjotechnika
Metoda uzyskiwania informacji na temat systemu od jego legalnych użytkowników.
Napastnik stosuje odpowiednie połączenie informacji o systemie i technik manipulacyjnych (np. mimikry), aby wzbudzić zaufanie ofiary. W efekcie ofiara jest skłonna
ujawnić więcej dodatkowych informacji, które zostaną wykorzystane przez napastnika do kontynuacji ataku. Celem ataków socjotechnicznych jest uzyskanie dostępu
fizycznego, uzyskanie danych uwierzytelniających do dostępu zdalnego, zdobycie
informacji lub naruszenie innych mechanizmów kontroli bezpieczeństwa. Atak aktywny polega na sondowaniu obiektów ataku i oczekiwaniu się od nich reakcji. Musi dojść
do interakcji z personelem w celu zdobycia ważnych z punktu widzenia bezpieczeństwa
informacji, uzyskania uprawnień dostępu lub nakłonienia kogoś do naruszenia zasad
bezpieczeństwa albo do pośredniczenia w ataku. Napastnicy przeprowadzający atak
aktywny wywołują pożądaną reakcję wykorzystując ludzkie emocje. Niektóre z metod
ataków socjotechnicznych to: zastraszanie, podszywanie się, szantażowanie, użycie
podstępu, schlebianie, okazywanie życzliwości, wykorzystanie władzy, wywieranie
presji, wykorzystanie próżności, współczucie. Ataki pasywne polegają na gromadzeniu informacji, pozostając w ukryciu. Wykorzystuje się w nich podsłuchiwanie, obserwowanie i prowadzenie analiz. Ataki pasywne często są używane do zdobycia
informacji wyjściowych, które można następnie wykorzystać w atakach aktywnych
lub w fizycznych atakach sieciowych. Ataki socjotechniczne można przeprowadzić za
pomocą różnych mediów komunikacyjnych: telefonu, poczty tradycyjnej i elektronicznej, stron www, komunikatorów, IRC, list wysyłkowych, forów dyskusyjnych,
portali społecznościowych. Przykładami ataków dokonywanych przez media mogą
być: spotkanie, zwiedzanie firmy, przeprowadzenie rozmowy telefonicznej w charakterze pracownika lub sprzedawcy, ankieta na stronie www, do której można dołączyć
kilka pytań o stosowanych zabezpieczeniach, fałszywa strona www gromadząca informacje logowania, ankieta listowna. Jednak bez wątpienia najgroźniejszym typem
ataków są ataki łączone. Wśród nich na czelnym typem ataku jest budowanie alternatywnych tożsamości, charakteryzujących się dużą skutecznością oraz elastycznością
dostępu do danych. Należy przy tym zauważyć, że nie wszystkich rodzaje ataków
można użyć do osiągnięcia każdego celu.
60
4. Polityka bezpieczeństwa
W celu zabezpieczenia systemów komputerowych przed nieautoryzowanym dostępem
stosuje się procedury ochronne. Istnieje wiele metod zabezpieczania przed uzyskaniem
nieuprawnionego dostępu. Dużo poważniejszym problemem pozostaje wykrywanie
użytkowników, którzy podejmują szkodliwe dla systemu działania posiadając prawo
dostępu. Demaskowanie fałszowania wartości przez osobę uprawnioną do aktualizowania danych wymaga znacznie bardziej zaawansowanych metod. W praktyce więc efektywne zabezpieczanie systemów informacyjnych obejmuje zarówno rozwiązania technologiczne, jak i procedury zarządzania pracą. W celu ochrony przed wirusami i robakami
należy ostrożnie wybierać aplikacje instalowane z Internetu, nigdy nie otwierać nie zamawianych załączników pocztowych, skonfigurować programy pocztowe, aby poddawały kwarantannie wykonywalne załączniki, wyłączyć wykonywanie makr w aplikacjach
Office, chyba że są one koniecznością, zablokować w BIOS-ie sektor startowy, chyba że
konieczna jest reinstalacja systemu operacyjnego. Do ochrony zasobów cyfrowych
stosuje się wysoko wyspecjalizowane programy – pakiety antywirusowe łączące zazwyczaj wiele funkcji takich jak program antywirusowy, technologię TruPrevent (dodatkowe zabezpieczenie przed nieznanymi wirusami i intruzami), zapory ogniowe
(firewall), ochronę przed programami szpiegowskimi (antispyware), zabezpieczenia
przed oszustwami internetowymi (antiphishing), blokowanie niechcianych wiadomości
e-mail (antispam), zabezpieczenie haseł i danych osobistych, zabezpieczenie połączenia
bezprzewodowego, filtrowanie zawartości stron internetowych (ograniczenie dostępu do
niepożądanych treści).
Zabezpieczenie przed utratą danych dotyczy prowadzenia działań profilaktycznych
umożliwiających odzyskanie danych w przypadku ich fizycznej utraty. Przyczynami
utraty danych najczęściej są błędy użytkowników. Wśród nich można wyróżnić częste
awarie sprzętowe, oprogramowania, zasilania czy łączy. Inną przyczyną utraty danych
może być fakt przestępstwa: hakerstwo, atak wirusów lub robaków, kradzież, sabotaż,
terroryzm. Osobną kategorią, z którą mamy do czynienia są zdarzenia losowe: pożary,
podtopienia, powodzie, wyładowania atmosferyczne, wichury i huragany. Aby zapobiec
nieodwracalnym szkodom związanym z utratą danych zaleca się stosowanie zabezpieczeń takich jak kopie zapasowe, zasilacze awaryjne, dodatkowe dyski, uprawnienia do
usuwania danych, zapory, audyt, składowanie danych poza siedzibą firmy, archiwizacja,
kopiowanie plików, testowanie systemów przed wdrożeniem, zabezpieczenia fizyczne
(zamki, monitoring, strażnicy).
5. Monitoring stanu zagrożeń dla bezpieczeństwa
teleinformatycznego Polski
Na terytorium Rzeczypospolitej Polskiej, zadania monitorowania zagrożeń na szczeblu
państwowym, wykonuje Agencja Bezpieczeństwa Wewnętrznego. Do prowadzenia
szczegółowych zadań operacyjnych powołano w jej strukturze Departament Bezpieczeństwa Teleinformatycznego.
61
Departament Bezpieczeństwa Teleinformatycznego czerpie informacje o zagrożeniach
ze źródeł własnych, a także ze źródeł międzynarodowych takich jak: grupy robocze UE
dotyczące ochrony krytycznej infrastruktury teleinformatycznej, system informowania
NATO – NATO Computer Incident Response Capability, zespół reagowania na incydenty CERT POLSKA, zagraniczne zespoły CERT, zagraniczne służby specjalne, krajowe
służby i instytucje.
Na szczególne podkreślenie zasługuje tutaj rola systemu ARAKIS-GOV. Jest to system
wczesnego ostrzegania o zagrożeniach w sieci Internet. System ten jest efektem współpracy Departamentu Bezpieczeństwa Teleinformatycznego ABW oraz działającego
w ramach NASK zespołu CERT Polska. ARAKIS-GOV powstał na potrzeby wsparcia
ochrony zasobów teleinformatycznych administracji państwowej w wyniku rozszerzenie stworzonego przez CERT Polska systemu ARAKIS o dodatkową funkcjonalność.
ARAKIS-GOV nie jest typowym systemem zabezpieczającym i w żadnym wypadku nie
zastępuje funkcjonalności standardowych systemów ochrony sieci takich jak firewall,
antywirus czy IDS/IPS. Ze względu jednak na swoją specyfikę może być z powodzeniem stosowany jako uzupełnienie w/w systemów, dostarczające informacji na temat
nowych zagrożeń (globalnych) pojawiających się w sieci Internet, m.in.: nowowykrytych samo-propagujących się zagrożeń typu worm; nowych typów ataków,
obserwowanych z poziomu dużej liczby lokalizacji; trendów aktywności ruchu sieciowego na poszczególnych portach czy trendów aktywności wirusów rozsyłanych pocztą
elektroniczną. ARAKIS-GOV dostarcza także wiedzy na temat zagrożeń lokalnych
związanych z konkretną, chronioną lokalizacją: braku aktualnych szczepionek antywirusowych; zainfekowanych hostów w sieci wewnętrznej; nieszczelnej konfiguracji
brzegowych systemów zaporowych; prób skanowania publicznej przestrzeni adresowej
zarówno z Internetu jak i z sieci wewnętrznej.
Ponadto zaimplementowane w systemie narzędzia umożliwiają między innymi porównanie statystyk ruchu sieciowego, widzianego z poziomu chronionej lokalizacji, z globalnym
obrazem pochodzącym z wszystkich zainstalowanych sensorów, oraz zobrazowanie geograficznej lokalizacji podejrzanego ruchu. Unikalną cechą systemu ARAKIS-GOV jest
przy tym fakt, że nie monitoruje on w żaden sposób treści informacji wymienianych przez
chronioną instytucję z siecią Internet. Sondy systemu instalowane są bowiem poza chronioną siecią wewnętrzną instytucji, po stronie sieci Internet.
W chwili obecnej sensory systemu zainstalowane są w ponad 60 urzędach szczebla
centralnego i jednostkach samorządu terytorialnego.
Podsumowując, logika działań związanych z ochroną i zapewnieniem bezpieczeństwa
w sieci oraz bezpieczeństwa informacyjnego, opiera się w dużej mierze na krytycznych
ocenach prowadzonych analiz. W zależności od wielkości sieci, oraz wagi chronionych
informacji, w proces ten powinny być zaangażowane wszelkie możliwe piony, począwszy od kierownictwa organizacji, poprzez pion ochrony, średni personel kierowniczy,
personel techniczny IT, aż po bezpośrednich użytkowników. W innej skali rzecz dotyczy użytkowników prywatnych, ale i wówczas nie można bagatelizować zagrożeń, które
uwidaczniają się już na wstępnym etapie analizy tego problemu.
62
Literatura
1.
Anderson R., Inżynieria zabezpieczeń, Wydawnictwa Naukowo - Techniczne, Warszawa 2005.
2.
Cole E., Krutz R. L., Conley J., Bezpieczeństwo sieci - Biblia, Wydawnictwo
HELION, Gliwice 2005.
3.
Freedman A., Encyklopedia komputerów, Wydawnictwo HELION, Gliwice 2004.
4.
Ogiela M. R., Bezpieczeństwo systemów komputerowych, Uczelniane Wydawnictwo
Naukowo - Dydaktyczne AGH, Kraków 2002.
5.
Sokół M., Sokół R., Internet Jak surfować bezpiecznie, Wydawnictwo HELION,
Gliwice 2005.
6.
Strebe M., Bezpieczeństwo sieci - podstawy, Wydawnictwo MIKOM, Warszawa
2005.
63