Programy destrukcyjne

Transkrypt

Bezpieczeństwo
w Systemach Komputerowych
Haking
1. Haking
Bezpieczeństwo wprowadzenie
XI 2010
1.1 Haking
1.2 Hakerzy
1.3 Haking dziś
1. Haking
2. Programy destrukcyjne
3. Bezpieczeństwo – definicja, normy prawne
4. Zagrożenia , Podatności, Ataki
5. Inicjatywy na rzecz bezpieczeństw a
2010-12-02
1
2010-12-02
Haking
Narodziny hak ingu
2
Haking
Na początk u by ł phreak ing ...
Phreaking (phone + freak) – włamania do sieci telefonicznej
Pod koniec lat 50-tych klub modelarza kolejowego przy MIT
otrzymał stare oprzyrządow ani e telefoniczne
Gwizdek dodawa ny do płatków śniadaniowyc h Cap’n Crunch
generował dźwięk 2600Hz, sterujący elektromechanicz ną centralą
telefoniczną
Stworzyli system, który pozwalał operatorom na zdalne sterowanie
różnymi elementami przez „wdzwania nie się”
Nowe centrale elektroniczne – również były podatne na „ataki”
Narodziny hakingu – pomysłowowego sposóbu wykorzystania
sprzętu do nowych zastosowań
Sterowanie obu typami central - kolorowe pudełka (emitują
Cel hakera: zaspokojeni e nieustannego głodu wiedzy
[Hacking sztuka penetracji]
2010-12-02
3
specjalne tony lub wprowadzają fizyczne zmiany w obwodac h
telefonicznych)
2010-12-02
Haking
Phreak ing - k olorowe pudełk a
Haking
Hak ing
1983: FBI aresztuje grupę nastolatków, 414, oskarżonych o
red box – wybieracz tonowy cyfrowo generując y dźwięki – po
przebudowie można było symulować dźwięk ćwierćdolarów ek
wrzucanych do automatu
włamanie do około 60 komputerów
1984: Powstaje kwartalnik 2600: The Haker Quarterly
blue box – pozwalało na prowadzeni e rozmów międzymiastowych
(ton 2600Hz)
1985: Powstaje czasopismo Phrack
1989: Pierwszy wyrok prawomoc ny dla hakera (Kevin Mitnick)
dayglo box – pozwalało na korzystanie z linii telefonicznej sąsiada
1990: Legion of Doom zaatakował połączenia z numerem 911
aqua box – uniemożliwiał o ustalenie przez FBI trasy połączenia
telefonicznego
1992: Kevin Poulsen oskarżony o kradzież tajemnic państwowych
1995: Wladimir Lewin kradnie 4mln dolarów z Citibanku
mauve box – pozwalało na podsłuchi wa nie linii telefonicznej
2000: Atak na: Yahoo, Amazon, Buy, CNN
chrome box – kontrolował o sygnały w linii telefonicznej
2010-12-02
4
2010: WikiLeaks: wyciek poufnej korespondencji dyplomatycznej
5
2010-12-02
6
1
Haking
Podział hak erów
Haking
Kev in Mitnick (Condor) 1963
W zależ ności od stwarz anego niebez piecz eństwa hak er ów (crac ker ów ,
intr uzów, wł amy waczy , napastni ków, w andali, prz estępców) moż na
podzielić na następując e kategorie:
eksperci do spraw bezpieczeństwa
przypadkowi włamywacze
osoby poszukujące wrażeń (np. studenci)
hobbyści
włamywacze-kryminaliści
najbardziej znany haker świata
Condor – „Trzy dni Condora”
aresztowa ny przez FBI 15 lutego 1995r i
oskarż ony o wła ma nia do system ów
komputerowych
uw ol niony 21 stycz nia 2000 r ok u z
zakaz em używ a nia I nter netu aż do
21.01.2003
Obec ni e
prac owni k
firmy
Def ensiv e
Thinking
[en.wikipedia .or g]
szpiedzy przemysłowi
niezadowoleni pracownicy (tzw. wróg wewnętrzny)
2010-12-02
7
2010-12-02
8
Haking
Kev in Mitnick (Condor)
Haking
Jako dziecko włamywał się do szkolnego systemu komputerowe go.
W 1981, m ając 17 l at, wraz z k olegami w łam ał si ę do k om puter ów
firmy Pacific Bell. Skazany na 3 miesiące w zakładzie poprawczym.
1983 – 6 miesięcy za włamanie do ARPAnetu
1987 – 36 miesięcy (w zawieszeniu) za włamanie do SCO
1988 wł ama ni e do la bor at orium Pa lo Alto – pr óba zdobycia k odu
źródłowego systemu VMS. 12 miesięcy.
Od 1989 uciekał prz ed FBI ( ba ł się ni espr awi edli wego w yrok u).
Aresztow a ny w 1995, skaz a ny w 1999, zwol ni ony w styczni u 2000
rok u,
do stycz nia 2003 r ok u zak az
używ a nia sprz ętu
komputerowego i urządzeń elektronicznyc h
2010-12-02
9
2010-12-02
10
Haking
Haking
Robert Tappan Morris 1965
Filmy bazujące na biografii Mitnicka:
twórca pierwszego robaka (1988)
Gry Wojenne (Wargames) (1983) – opowieść o nastolatku, który
włamuje się do systemu komputerowego armii amerykańskiej i
Ph.D. na Harvardzie (1999)
profesor MIT (od 1999)
zaczyna grać z komputerem
Operation Takedown (2000) – film fabularny oparty o biografię
Kevina
Freedom Downtime (2001) – film dokumental ny, stworzony przez
sympatyków Kevina - protest wobec fałszywego obrazu
przedstawionego w „Takedown” oraz wobec traktowania hackerów
(trzymani przez kilka lat w więzieniach bez wyroków sądowych)
2010-12-02
11
2010-12-02
12
2
Haking
Robert Morris
Haking
Kev in Poulsen (Dark Dante) 1965
Spra wca pierwszej i przez dł ugie l ata r ek or dowej af ery , kt óra
kosztowała 100 mln USD.
Będąc dokt ora nt em na Uniw ersyt ecie C ornell , w listopa dzie 1988
stworzył program, który zablokował ponad 6000 komputerów .
Pr ogr am ten nazwa no “w orm”. Wyk orzysty wa ł on luk ę w
mec ha nizmie przes ył ani a poczty mi ędzy k om put era mi podł ączonymi
do i nt ernet u. Pr ogram wyszukiw ał okolicz ne komput ery i przesy łał
tam swoją kopię.
Mor ris popeł nił błą d – pr ogram ur uchami ał się wiel ok rot nie na
każdym z komputerów . Skutkował o to zablokowa niem systemów.
Aresztow a ny z dużym opóź ni eni em zost ał sk aza ny na 3 lata
obserwacji, 400 godzin prac społecznych i 10 tys. USD.
zna ny
2010-12-02
2010-12-02
13
z
przejęcia
li nii
telefonicz nyc h stacji r adi ow ej –
w celu wygrania Porsche 944
otrzym ał
najwyższy
w yrok
sądowy w historii hackingu
obec nie
„edit orial
dir ector ”
SecurityFocus
Haking
Kev in Poulsen (Dark Dante)
14
Haking
Jon Lech Johansen (DVD Jon) 1983
Pierwszy haker oskarżony o szpiegostwo (listopad 1989).
Hakin9 10/2007
Ex pert od za bez pi eczeń, noc ą wł amy wał się do system ów
rządowych – zdobył m.in. dokumenty taktyczne US Air Force.
Norweski programista (matka Polka)
Przez 17 miesi ęcy uni ka ł areszt ow ani a. W tym czasie szlifował
umiejętności zdobywani a nagród w konkursach radiowych.
W 1990 r ok u przejął wszystkie lini e t elefonicz ne stacji K II S-F M w
Los Angel es. St o dr uga os oba dzw oniąc a po za gra ni u odpowi edni ej
sekwencji utworów miała otrzymać samochód Porsche. Był 102-gi.
11 k wiet nia 1991 rok u zost ał ujęt y na noc nych za kupach w
supermarkecie. Został rozpoznany przez sprzedawcę.
Stworzył program deszyfrujący zakodowane DVD – DeCSS
2001 - Stworzył zestaw sterowników do odtwarzacza MP3 JazPiper
2003
Stworzy ł
pr ogr am
QTFai rUs e
do
odczyty wa nia
zakodowanyc h strumieni AAC
2004
–
Opr acowa ł
wtyczkę
do
odtw arza nia
m edi ów
zabezpieczonych systemem FairPlay
Sk aza ny na 51 miesi ęcy poz ba wieni a w olności i 56.000 USD na
rzecz oszukanych stacji radiowych
2007 - Złam ał część za bezpi eczeń nowego i Phone’a – pok azał
możliw ość akty wac ji telefonu bez wiąz ani a się um ow ą z
autoryzowanym operatorem AT&T
2010-12-02
2010-12-02
15
Haking
Julian Paul A ssange 1971
16
Haking
Hak erzy w Polsce
Zaangażowa ny w WikiLeaks
30.11.2010
gończy
I nter pol
w ystawi ł
list
„Gorion”
paweł jabłoński
WikiL ea ks to 11 wrześ nia świ atowej
dyplomacji (wg. Pentagonu)
2010-12-02
17
2010-12-02
18
3
Haking
Dzień dzisiejszy
(1) Hakerów zatrudniają: wywiad, banki, sklepy internetowe
Programy
destrukcyjne
(2) Haking (cyberprzestępstw o) to biznes:
ִKilkaset euro – wykonanie ataku na sieć w konkretnej firmie
ִKilkaset euro – rozesłanie 20 milionów e-maili (spamu)
ִKilkaset euro – zakup bazy 5 milionów adresów
ִKilkaset euro – informacje o lukach w zabezpieczeniu sieci
X 2010
Komputer Świat 23/2007
2010-12-02
19
2010-12-02
Wprowadzenie
20
Wirusy
Programy destrukcyjne nazywane są też złośliwym kodem
Koncepcja samopowielając ych się programów – John von Neuman,
Teoria i organizacja skomplikowanyc h automatów, 1949 rok
(ang.malware, malicious software)
Cel programów:
ִnękanie użytkowników i/lub
W połowie lat 70. tych w systemie operacyjnym Tenex stworzony
został program The Creeper, który sam się rozprzestrzeniał w
sieci. Do zwalczania go administratorzy napisali program The
Reeper, uważany za pierwszy w historii program antywiruso wy
ִniszczenie danych
Podział:
ִWirusy
ִRobaki
Jednakż e niem al do 1983 r ok u wir usy by ły spr aw ą czysto
teor etycz ną i poza środowisk ami aka demickimi fascy nowa ły jedy nie
niektórych autorów powieści science fiction.
ִKonie trojańskie
2010-12-02
21
2010-12-02
Wirusy
Wirusy
W 1983 roku Fred Cohen rozpoczął na Uniwersytecie w Cincinati
Pierwsze prawdziwe wirusy – 1986:
praktyczne eksperymenty z napisanymi przez siebie wirusami. Jako
pierwszy użył terminu „wirus komputerowy ”
W maju 1984 rok u Pr of K.A .Dewdney opis ał w “Scientific Am erica n”
skodyfikowane reguły gry zwanej wojnami rdzeniowym i
W kwiet ni u 1985 rok u w “Scientific America n” w rubryce
poś więc onej w ojnom rdz eniowym , opublik owa ny zosta ł list wł oskich
pr ogr amist ów R obert o C erutti i Ma rco Moroc utti. Opis ali oni jak pod
wpływem gry doszli do koncepcji prawdziwe go wirusa
2010-12-02
22
23
VIR DE M (R alf Bur ger) – powst ał w c elac h dem onstrac yjnyc h,
pokazy wa ł mec ha nizm y replikac yjne i sy gnaliz owa ł potenc jal ne
zagr ożeni a. Pomim o jaw nego demonstr ow ani a obec ności zdoła ł się
rozpowszechnić
Brain – w Pa kista nie powstał jeden z najsł ynni ejszyc h wir usów.
Jego a utorz y odkr yli, że sektorz e rozr uc howy m dys kietki m ogą się
znal eźć instrukcje inne niż te, któr e służ ą do ła dowa ni a systemu
operacyjnego – pierwszy atak 19.01.1986 roku
2010-12-02
24
4
Wirusy – obrona
Wirusy – definicja
W 1989 r. Powstaje program antywirusowy firmy IBM
Program lub fragmentem kodu, który reproduk uje się na różne
sposoby i czasem wykonuje pewne działania.
W 1991 Symantec prezentuje własny program antywirusowy
W 1996 r. Powstaje MKS sp. z o.o.
Nie może działać niezależnie – wymaga działania programu
gospodarza
Marek Sell
zajmował się walką
z wirusami komputerow ymi
Wirus nie może spontaniczn ie pojawić się na dysku twardym –
musi zostać przekopio wany i uruchomiony przez człowieka.
Jeżeli wirus nie jest w stanie zainfekować pliku, dokumentu
ani dyskietki, to nie może się rozprzes trze nia ć
od 1988 r.
zmarł 13 czerwca 2004r.
2010-12-02
25
2010-12-02
Wirusy – podział
26
Wirusy – przy k łady
bootsektorowe (atakujące sektory startowe)
wirus czernobyls ki (CIH) (1999)
drążące (dopisujące się do innych programów bez zwiększenia ich
długości)
Za ata kowa ł 26 kwi etni a 1999 rok u (dzi eń prz ed rozpoczęci em się
polimorficzne (potrafią zmieniać swoją formę)
konferencji InfoSecurity’99)
makrowirusy
rezydentne (pozostające w pamięci operacyjnej komputera)
Działał tylko w systemach Windows 95 i 98 oraz Me
fałszywe alarmy (hoax) (w postaci wiadomości e-mail)
Zamazywał dysk losowymi danymi lub uszkadzał Flash Bios
2010-12-02
27
2010-12-02
Wirusy – przy k łady
28
Robak i – definicja
Melissa (1999)
Robak (ang. worm) jest bardzo podobny do wirusa. Różnica:
może rozpowszechn ia ć się samodzielnie
Makrowirus
Zarażenie – zawirusowany dokument Worda
Otwarci e dok um ent u - ur uchomi enie wi rus a, któr y pobier ał z książki
adr esowej Micr osoft Outl ook lub Outlook Ex press 50 początk ow ych
Ponadto jego celem jest przenoszenie się z komputera na
komputer, nie zaś z pliku na plik
adresów i wysyłał przez Internet swoją kopię
Wir us pona dto i nfekowa ł plik Norm al.dot - wszystkie dok umenty
utworzone po zarażeniu wirusem były również zakażone
Większość obecnych wirusów należy do klasy robaków
Włamują się one do systemów wykorzystując słabe punkty w
oprogramowa ni u
2010-12-02
29
2010-12-02
30
5
Robak i – definicja
Robak i – przy k łady
The term "worm" actually comes from a science fiction story called
The Shockwave Rider written by John Brunner in 1975.
In short, the story is about a totalitarian government that controls
its citizens through a powerful computer network. A freedom fighter
infests this network with a program called a "tapeworm" forcing
the government to shut down the network, thereby destroy its base
of power.
(Listopad 1988) około 6000 komputerów zostało zainfekowanyc h
programem napisanym przez R. Morrisa.
(2000) Love Bug (Love Letter, I Love You) – w załączniku był
skrypt VisualBasic – pobranie adresów i rozesłanie się
(2001) Code Red (Chińczycy) miał przeprowadzić zmasowany atak
typu DDOS na oficjalną stronę prezydenta USA (błędy IIS)
(2001) Blue Code (USA) usuwał chiński produkt z zainfekowanyc h
serwerów, sam się instalował i atakował stronę internetową jednej z
firm chińskich
(2001) Nimda - typowy robak rozsyłający się samoistnie pocztą
elektroniczną – wystarczy podgląd załącznika (błędy IE, IIS)
[http://www.snowpl ow.or g/t om/w orm /w orm .html]
(2002) KLEZ - wykorzystywał lukę zabezpieczeń IFRAME IE
2010-12-02
31
2010-12-02
32
(2002) BUGBEAR rozprzestrzeniał się przez NETBIOSa
Prędkość rozprzestrzeniania się robaków (pierwsze 24 godziny)
(2003) SQL SLAMMER, MS BLAST (atakuje 135/tcp)
(2004) MY DOOM, wykonywalny załącznik ze sfałszowanym
nagłówkiem FROM, sieć P2P KazaA
ִwersja A atakowała SCO (atak DOS)
ִwersja B 4.02.2004 miała zaatakować serwery internetowe Microsoftu,
ale Microsoft stosuje technologię firmy Akamai (rozproszenie serwerów)
ִwersja F atakowała witrynę RIAA
(2004) SASSER – podatność LSASS (atakuje 445/tcp)
(2005) UDF Worm (MySQL 3306/tcp) , SAMY (XSS)
(2006) Nyxem.E (Blackmal.E, Kama Sutra, MyWife.E)
2010-12-02
33
2010-12-02
Konie trojańsk ie
34
TESTY programów A V
Koń troja ńsk i ( trojan ) to: progr am, kt óry wy daje się r ealiz ować
poż ąda ne i pożyt eczne funkc je, lecz realizując y funkcje ni ez na ne
jego użytkownikowi .
Dzia łają bar dz o podstępnie i ba rdz o tr udno okr eślić dok onaną prz ez
nich skalę zniszczeń (penetracji systemu)
www.av-compar atives .or g
www.antivirus.a bout .c om
www.av-test.org
www.antywirus.net .pl
Celem jest ujaw ni enie istot nyc h i nform acji o systemie, na kt órym
został uruchomiony lub doprowadz enie do pokonani a zabezpieczeń
2010-12-02
35
2010-12-02
36
6
Bezpieczeństwo
Bezpieczeństwo
Wprowadzenie
Bezpieczeństwo
III 2008
Shimorski R., Shinder D., Shinder T., Wielka Księga Firewalli, Helion,
2004
Microsoft Official Course 2810A: Fundament als of Network Security
Mielnicki Tomasz, Audyt bezpieczeństwa informatycznego, praca
dyplomowa magisterska, Poznań 2005 (normy)
2010-12-02
37
2010-12-02
Bezpieczeństwo
Definicja
38
Bezpieczeństwo
Czy istnieje absolutne bezpieczeństwo?
Czym jest bezpieczeńs tw o?
Nie istnieje absolutne bezpieczeńs tw o:
Nie jesteśmy w stanie przewidzieć wszystkich zagrożeń
Poziom, do jakiego program lub urządzenie jest
Czas reakcji na zagrożenia nie jest zerowy
zabezpieczone przed nieautoryzo wa nym wykorzystan iem
(w danej chwili – ponieważ ciągle pojawiają się nowe zagrożenia)
Ludzka słabość, omylność projektantów
Niewłaściwe i niefrasobliwe wykorzystanie aplikacji
Poziom bezpieczeńs twa zależy od:
ִmożliwych do poniesienia wydatków
ִkompromisu pomiędzy bezpieczeństwem a użytecznością
Zatem co możemy zrobić? …
2010-12-02
39
2010-12-02
Bezpieczeństwo
Jak się chronić ?
40
Bezpieczeństwo
Obszary bezpieczeństwa informacji
Osiągać taki poziom bezpieczeństwa, by atakującemu
Podstawowe obszary bezpieczeńs twa informacji – CIA + AAN:
nie opłacało się nas zaatakować
Confidentiality (poufność): dostęp tylko dla stron upoważnionyc h
Integrity (integralność ): możliwość wykrycia modyfikacji
Utrudniając życie atakującemu należy pamiętać, że:
Availability (dostępność): zapewnienie niezakłóconego dostępu
Atakujący na ogół omija zabezpieczeni a, często atakując od środka
Obrona powinna składać się z kilku linii
Authentication (uwierzytelnia nie): weryfikacja tożsamości osoby
Authorization (autoryzacja ): kontrola dostępu do zasobów
Złożoność (skomplikowa ni e) jest wrogiem bezpieczeństwa
Nonrepudation (niezaprzeczal ność): możliwość udowodni enia
Brak zaobserwowa nia ataku nie oznacza że go nie było
inicjatorowi transakcji, że to faktycznie ona była inicjatorem
[Wielka Księga Firewalli]
2010-12-02
41
2010-12-02
42
7
Bezpieczeństwo
Bezpieczeństwo elementem wiary godności
Bezpieczeństwo
Polsk ie ak ty prawne
System wiarygodny:
U. z dnia 29 sierpnia 1997 r. o ochr. danych osobowych
U. z dnia 22 stycznia 1999 r. o ochr. informacji niejawnych
U. z dnia 27 lipca 2001 r. o ochr. baz danych
Dyspozycyjny (available) – dostępny na bieżąco
Niezawodny (reliable) – odporny na awarie
U. z dnia 18 września 2001 r. o podpisie elektronicznym
Bezpieczny (secure) – zapewniający ochronę danych
U. z dni a 5 li pca 2002 r . o oc hr. niektór yc h usł ug świ adcz onyc h dr ogą
elektroniczną
U. z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
Bezpieczny (safe) – bezpieczny dla otoczenia
U. z dnia 16 lipca 2004 r. Prawo telekomunikac yjne
Roz porz ądz enie Pr ezes a Ra dy Mi nistrów z dnia 25 sier pnia 2005 r.
definiujące podstawowe wymagania dot. bezp. teleinformatycznego
2010-12-02
43
2010-12-02
Bezpieczeństwo
Standardy UE
44
Bezpieczeństwo
Standard x7799
Rezolucja Rady UE z 28.01.2002r w sprawie bezpieczeństwa
informacji i sieci teleinformatycznyc h,
(UK)BS 7799 – brytyjska norma zarządzania bezpieczeństwem informacji
ִBS 7799-1: opis zalecanych zabezpieczeń (wytyczne)
ִBS 7799-2: podstawa nadawania certyfikatów „Systemom Zarządzania
Bezpieczeństwem Informacji” (wymagania)
Decyzje Komisji UE z 29.11.2001r w sprawie zasad i procedur
bezpieczeństwa w ochronie informacji i sieci teleinformatycznyc h,
(EU) ISO/IEC 17799:2000 (odpowiednik BS 7799-1)
Dyrektywy Parlamentu Europejskiego i Rady UE,
Ramowa Propozycja Decyzji Komisji UE z 19.04.2002r w
sprawie ataków na systemy informatyczne,
(PL) PN-I-13335-1: Technika informatyczna – Wytyczne do zarządzania
bezpieczeństwem systemów informatycznych, PKN, styczeń 1999
standard ISO-15408 określający wymogi bezpieczeństwa systemów
informatycznych,
standard ISO/IEC 17799
(PL ) PN-I SO/I EC 17799:2003 „T echni ka inf ormat yczna. Pr akt yczne
zasady zarządzania bezpieczeństwem informacji” (tłumaczenie ISO)
(PL) PN-I-07799:2005 „Systemy zarządzania bezpieczeństwem
informacji. Część 2: Specyfikacja i wytyczne do stosowania.” (wg. BS
7799-2)
2010-12-02
45
2010-12-02
Zagrożenia, Podatności, A taki
Źródła zagrożeń
Źródła zagrożeń (Network Security Threads):
Zagrożenia
Podatności
Ataki
błędy w sys tema ch, techn olog iach ( pr otokół TC P/I P, systemy
operacyjne, ochrona haseł, brak uwierzytelniani a)
zła kon figu ra cja ( ujaw ni ani e i nform acji o k ont ac h, pr oste hasł a,
niebezpieczne ustawienia domyślne)
nie dos ta teczne
p rzes zko len ie
u żytk ow nikó w,
b rak
odp ow ied nie j po lityk i bezpie czeń stwa ( bra k polityki , br ak l ub
III 2010
bł ędna kontr ola dostępu, nieprzestrz ega nie zas ad, brak pla nów na
wypadek katastrof)
Microsoft Official Course 2810A: Fundament als of Network Security
2010-12-02
46
47
2010-12-02
48
8
Rodzaje zagrożeń
Konsek wencje zagrożeń
przejęcie dokumentów i danych
wprowadzenie nieprawdziwy ch danych do systemu
niszczenie danych
ośmieszenie i utrata zaufania klientów i firm współpracującyc h
utrata lub zniszczenie istotnych dla firmy danych
kradzież poufnych dokument ów dotyczących działania firmy
uzyskanie nieautoryzowa ne go dostępu (ataki na hasła, social
engineering, wykorzystanie błędów protokołów systemów
konfiguracji)
podszywanie się pod użytkownikó w, przechwyce nie sesji
kradzież nowych technologii
przerwa w działaniu istotnych systemów informatycznych firmy
bankructwo firmy
zmiany konfigura cji serwerów i urządzeń sieciowych
blokowanie komputerów lub poszczególnych usług (DoS)
zainfekowanie systemu szkodliwymi programami
2010-12-02
49
2010-12-02
Podatności
50
Klasy i rodzaje atak ów
Klasy ataków:
Ataki pasywne/aktyw ne
Ataki lokalne/zdal ne
Podstawowe rodzaje ataków:
Ataki rozpoznawcze – zazwyczaj wstęp dla dwóch pozostałych
Ataki w celu uzyskania (nieautoryz ow anego) dostępu
Ataki w celu zablokowani a usługi (ataki DoS)
2010-12-02
51
2010-12-02
Formy atak ów
52
www.sy mantec.com
Formy ataków:
podszywanie się (masqueradi ng)
podsłuch (eavesdropping)
odtwarzanie (replaying)
manipulacja (tampering)
wykorzystywanie luk w systemie (exploiting)
2010-12-02
53
2010-12-02
54
9
Inicjatywy na rzecz bezpieczeństwa
2004
Jesień 2004
Inicjatywy na rzecz
bezpieczeństwa
Centrum bezpieczeństwa Microsoftu
ִInformowanie i edukacja
ִInfolinia 0 801 802 000
Projekt Bezpieczny Komputer
III 2010
ִMicrosoft, Intel, Symantec, G DATA RSA
ִCykl szkoleń
Akademia Bezpieczeństwa
ִCykl szkoleń
Strażnik systemu (1 edycja)
2010-12-02
55
2010-12-02
DBI: 2005 -2010
56
v te.cert.org
Dzień Bezpiecznego Internetu
Inicjatywa Komisji Europejskiej
Bezpieczny dostęp dzieci i młodzieży do Internetu
2010-12-02
57
2010-12-02
58
inne
Podsumowanie
www.saferinternet .pl
Prog ramy d es trukcyj ne są co ra z ba rd ziej wy raf ino wa ne,
łączą cechy wirusów, robaków i trojanów
www.dzienbez piecz negok om puter a.pl
Be zp ieczeń stwo
bezpiecznykom put er.pl
pozi om
za bez piecz eni a
prz ed
Eleme nty be zp ie cze ńs twa : (CIA) poufność, i ntegr alność,
dostępność (AAN) uwierzytelniani e, autoryzacja, niezaprzeczalność
niebezpiecznik .pl
scan.sygate.com
Standardy bezpieczeńs tw a bazują na BS 7799
www.symantec.c om/sec urityc heck
Źródła zagrożeń: błędy produktu, konfiguracji , brak szkoleń
browsercheck.qual ys.c om
Formy atak ów: podszyw ani e
manipulacja, wykorzystanie luk
www.startup-it.pl
2010-12-02
to
nieautoryzowa nym dostępem
www.centrumxp.pl
59
2010-12-02
się,
pods łuc h,
odt warz ani e,
60
10

Programy destrukcyjne

Transkrypt

Podobne dokumenty

sjcd.cc.tx.us