Programy destrukcyjne
Transkrypt
Programy destrukcyjne
Bezpieczeństwo w Systemach Komputerowych Haking 1. Haking Bezpieczeństwo wprowadzenie XI 2010 1.1 Haking 1.2 Hakerzy 1.3 Haking dziś 1. Haking 2. Programy destrukcyjne 3. Bezpieczeństwo – definicja, normy prawne 4. Zagrożenia , Podatności, Ataki 5. Inicjatywy na rzecz bezpieczeństw a 2010-12-02 1 2010-12-02 Haking Narodziny hak ingu 2 Haking Na początk u by ł phreak ing ... Phreaking (phone + freak) – włamania do sieci telefonicznej Pod koniec lat 50-tych klub modelarza kolejowego przy MIT otrzymał stare oprzyrządow ani e telefoniczne Gwizdek dodawa ny do płatków śniadaniowyc h Cap’n Crunch generował dźwięk 2600Hz, sterujący elektromechanicz ną centralą telefoniczną Stworzyli system, który pozwalał operatorom na zdalne sterowanie różnymi elementami przez „wdzwania nie się” Nowe centrale elektroniczne – również były podatne na „ataki” Narodziny hakingu – pomysłowowego sposóbu wykorzystania sprzętu do nowych zastosowań Sterowanie obu typami central - kolorowe pudełka (emitują Cel hakera: zaspokojeni e nieustannego głodu wiedzy [Hacking sztuka penetracji] 2010-12-02 3 specjalne tony lub wprowadzają fizyczne zmiany w obwodac h telefonicznych) 2010-12-02 Haking Phreak ing - k olorowe pudełk a Haking Hak ing 1983: FBI aresztuje grupę nastolatków, 414, oskarżonych o red box – wybieracz tonowy cyfrowo generując y dźwięki – po przebudowie można było symulować dźwięk ćwierćdolarów ek wrzucanych do automatu włamanie do około 60 komputerów 1984: Powstaje kwartalnik 2600: The Haker Quarterly blue box – pozwalało na prowadzeni e rozmów międzymiastowych (ton 2600Hz) 1985: Powstaje czasopismo Phrack 1989: Pierwszy wyrok prawomoc ny dla hakera (Kevin Mitnick) dayglo box – pozwalało na korzystanie z linii telefonicznej sąsiada 1990: Legion of Doom zaatakował połączenia z numerem 911 aqua box – uniemożliwiał o ustalenie przez FBI trasy połączenia telefonicznego 1992: Kevin Poulsen oskarżony o kradzież tajemnic państwowych 1995: Wladimir Lewin kradnie 4mln dolarów z Citibanku mauve box – pozwalało na podsłuchi wa nie linii telefonicznej 2000: Atak na: Yahoo, Amazon, Buy, CNN chrome box – kontrolował o sygnały w linii telefonicznej 2010-12-02 4 2010: WikiLeaks: wyciek poufnej korespondencji dyplomatycznej 5 2010-12-02 6 1 Haking Podział hak erów Haking Kev in Mitnick (Condor) 1963 W zależ ności od stwarz anego niebez piecz eństwa hak er ów (crac ker ów , intr uzów, wł amy waczy , napastni ków, w andali, prz estępców) moż na podzielić na następując e kategorie: eksperci do spraw bezpieczeństwa przypadkowi włamywacze osoby poszukujące wrażeń (np. studenci) hobbyści włamywacze-kryminaliści najbardziej znany haker świata Condor – „Trzy dni Condora” aresztowa ny przez FBI 15 lutego 1995r i oskarż ony o wła ma nia do system ów komputerowych uw ol niony 21 stycz nia 2000 r ok u z zakaz em używ a nia I nter netu aż do 21.01.2003 Obec ni e prac owni k firmy Def ensiv e Thinking [en.wikipedia .or g] szpiedzy przemysłowi niezadowoleni pracownicy (tzw. wróg wewnętrzny) 2010-12-02 7 2010-12-02 8 Haking Kev in Mitnick (Condor) Haking Kev in Mitnick (Condor) Jako dziecko włamywał się do szkolnego systemu komputerowe go. W 1981, m ając 17 l at, wraz z k olegami w łam ał si ę do k om puter ów firmy Pacific Bell. Skazany na 3 miesiące w zakładzie poprawczym. 1983 – 6 miesięcy za włamanie do ARPAnetu 1987 – 36 miesięcy (w zawieszeniu) za włamanie do SCO 1988 wł ama ni e do la bor at orium Pa lo Alto – pr óba zdobycia k odu źródłowego systemu VMS. 12 miesięcy. Od 1989 uciekał prz ed FBI ( ba ł się ni espr awi edli wego w yrok u). Aresztow a ny w 1995, skaz a ny w 1999, zwol ni ony w styczni u 2000 rok u, do stycz nia 2003 r ok u zak az używ a nia sprz ętu komputerowego i urządzeń elektronicznyc h 2010-12-02 9 2010-12-02 10 Haking Kev in Mitnick (Condor) Haking Robert Tappan Morris 1965 Filmy bazujące na biografii Mitnicka: twórca pierwszego robaka (1988) Gry Wojenne (Wargames) (1983) – opowieść o nastolatku, który włamuje się do systemu komputerowego armii amerykańskiej i Ph.D. na Harvardzie (1999) profesor MIT (od 1999) zaczyna grać z komputerem [en.wikipedia .or g] Operation Takedown (2000) – film fabularny oparty o biografię Kevina Freedom Downtime (2001) – film dokumental ny, stworzony przez sympatyków Kevina - protest wobec fałszywego obrazu przedstawionego w „Takedown” oraz wobec traktowania hackerów (trzymani przez kilka lat w więzieniach bez wyroków sądowych) 2010-12-02 11 2010-12-02 12 2 Haking Robert Morris Haking Kev in Poulsen (Dark Dante) 1965 Spra wca pierwszej i przez dł ugie l ata r ek or dowej af ery , kt óra kosztowała 100 mln USD. Będąc dokt ora nt em na Uniw ersyt ecie C ornell , w listopa dzie 1988 stworzył program, który zablokował ponad 6000 komputerów . Pr ogr am ten nazwa no “w orm”. Wyk orzysty wa ł on luk ę w mec ha nizmie przes ył ani a poczty mi ędzy k om put era mi podł ączonymi do i nt ernet u. Pr ogram wyszukiw ał okolicz ne komput ery i przesy łał tam swoją kopię. Mor ris popeł nił błą d – pr ogram ur uchami ał się wiel ok rot nie na każdym z komputerów . Skutkował o to zablokowa niem systemów. Aresztow a ny z dużym opóź ni eni em zost ał sk aza ny na 3 lata obserwacji, 400 godzin prac społecznych i 10 tys. USD. zna ny 2010-12-02 2010-12-02 13 z przejęcia li nii telefonicz nyc h stacji r adi ow ej – w celu wygrania Porsche 944 otrzym ał najwyższy w yrok sądowy w historii hackingu obec nie „edit orial dir ector ” SecurityFocus [en.wikipedia .or g] Haking Kev in Poulsen (Dark Dante) 14 Haking Jon Lech Johansen (DVD Jon) 1983 Pierwszy haker oskarżony o szpiegostwo (listopad 1989). Hakin9 10/2007 Ex pert od za bez pi eczeń, noc ą wł amy wał się do system ów rządowych – zdobył m.in. dokumenty taktyczne US Air Force. Norweski programista (matka Polka) Przez 17 miesi ęcy uni ka ł areszt ow ani a. W tym czasie szlifował umiejętności zdobywani a nagród w konkursach radiowych. W 1990 r ok u przejął wszystkie lini e t elefonicz ne stacji K II S-F M w Los Angel es. St o dr uga os oba dzw oniąc a po za gra ni u odpowi edni ej sekwencji utworów miała otrzymać samochód Porsche. Był 102-gi. 11 k wiet nia 1991 rok u zost ał ujęt y na noc nych za kupach w supermarkecie. Został rozpoznany przez sprzedawcę. Stworzył program deszyfrujący zakodowane DVD – DeCSS 2001 - Stworzył zestaw sterowników do odtwarzacza MP3 JazPiper 2003 Stworzy ł pr ogr am QTFai rUs e do odczyty wa nia zakodowanyc h strumieni AAC 2004 – Opr acowa ł wtyczkę do odtw arza nia m edi ów zabezpieczonych systemem FairPlay Sk aza ny na 51 miesi ęcy poz ba wieni a w olności i 56.000 USD na rzecz oszukanych stacji radiowych 2007 - Złam ał część za bezpi eczeń nowego i Phone’a – pok azał możliw ość akty wac ji telefonu bez wiąz ani a się um ow ą z autoryzowanym operatorem AT&T 2010-12-02 2010-12-02 15 Haking Julian Paul A ssange 1971 16 Haking Hak erzy w Polsce Zaangażowa ny w WikiLeaks 30.11.2010 gończy I nter pol w ystawi ł list „Gorion” paweł jabłoński WikiL ea ks to 11 wrześ nia świ atowej dyplomacji (wg. Pentagonu) 2010-12-02 17 2010-12-02 18 3 Haking Dzień dzisiejszy Programy destrukcyjne (1) Hakerów zatrudniają: wywiad, banki, sklepy internetowe Programy destrukcyjne (2) Haking (cyberprzestępstw o) to biznes: ִKilkaset euro – wykonanie ataku na sieć w konkretnej firmie ִKilkaset euro – rozesłanie 20 milionów e-maili (spamu) ִKilkaset euro – zakup bazy 5 milionów adresów ִKilkaset euro – informacje o lukach w zabezpieczeniu sieci X 2010 Komputer Świat 23/2007 2010-12-02 19 2010-12-02 Programy destrukcyjne Wprowadzenie 20 Programy destrukcyjne Wirusy Programy destrukcyjne nazywane są też złośliwym kodem Koncepcja samopowielając ych się programów – John von Neuman, Teoria i organizacja skomplikowanyc h automatów, 1949 rok (ang.malware, malicious software) Cel programów: ִnękanie użytkowników i/lub W połowie lat 70. tych w systemie operacyjnym Tenex stworzony został program The Creeper, który sam się rozprzestrzeniał w sieci. Do zwalczania go administratorzy napisali program The Reeper, uważany za pierwszy w historii program antywiruso wy ִniszczenie danych Podział: ִWirusy ִRobaki Jednakż e niem al do 1983 r ok u wir usy by ły spr aw ą czysto teor etycz ną i poza środowisk ami aka demickimi fascy nowa ły jedy nie niektórych autorów powieści science fiction. ִKonie trojańskie 2010-12-02 21 2010-12-02 Programy destrukcyjne Wirusy Programy destrukcyjne Wirusy W 1983 roku Fred Cohen rozpoczął na Uniwersytecie w Cincinati Pierwsze prawdziwe wirusy – 1986: praktyczne eksperymenty z napisanymi przez siebie wirusami. Jako pierwszy użył terminu „wirus komputerowy ” W maju 1984 rok u Pr of K.A .Dewdney opis ał w “Scientific Am erica n” skodyfikowane reguły gry zwanej wojnami rdzeniowym i W kwiet ni u 1985 rok u w “Scientific America n” w rubryce poś więc onej w ojnom rdz eniowym , opublik owa ny zosta ł list wł oskich pr ogr amist ów R obert o C erutti i Ma rco Moroc utti. Opis ali oni jak pod wpływem gry doszli do koncepcji prawdziwe go wirusa 2010-12-02 22 23 VIR DE M (R alf Bur ger) – powst ał w c elac h dem onstrac yjnyc h, pokazy wa ł mec ha nizm y replikac yjne i sy gnaliz owa ł potenc jal ne zagr ożeni a. Pomim o jaw nego demonstr ow ani a obec ności zdoła ł się rozpowszechnić Brain – w Pa kista nie powstał jeden z najsł ynni ejszyc h wir usów. Jego a utorz y odkr yli, że sektorz e rozr uc howy m dys kietki m ogą się znal eźć instrukcje inne niż te, któr e służ ą do ła dowa ni a systemu operacyjnego – pierwszy atak 19.01.1986 roku 2010-12-02 24 4 Programy destrukcyjne Wirusy – obrona Programy destrukcyjne Wirusy – definicja W 1989 r. Powstaje program antywirusowy firmy IBM Program lub fragmentem kodu, który reproduk uje się na różne sposoby i czasem wykonuje pewne działania. W 1991 Symantec prezentuje własny program antywirusowy W 1996 r. Powstaje MKS sp. z o.o. Nie może działać niezależnie – wymaga działania programu gospodarza Marek Sell zajmował się walką z wirusami komputerow ymi Wirus nie może spontaniczn ie pojawić się na dysku twardym – musi zostać przekopio wany i uruchomiony przez człowieka. Jeżeli wirus nie jest w stanie zainfekować pliku, dokumentu ani dyskietki, to nie może się rozprzes trze nia ć od 1988 r. zmarł 13 czerwca 2004r. 2010-12-02 25 2010-12-02 Programy destrukcyjne Wirusy – podział 26 Programy destrukcyjne Wirusy – przy k łady bootsektorowe (atakujące sektory startowe) wirus czernobyls ki (CIH) (1999) drążące (dopisujące się do innych programów bez zwiększenia ich długości) Za ata kowa ł 26 kwi etni a 1999 rok u (dzi eń prz ed rozpoczęci em się polimorficzne (potrafią zmieniać swoją formę) konferencji InfoSecurity’99) makrowirusy rezydentne (pozostające w pamięci operacyjnej komputera) Działał tylko w systemach Windows 95 i 98 oraz Me fałszywe alarmy (hoax) (w postaci wiadomości e-mail) Zamazywał dysk losowymi danymi lub uszkadzał Flash Bios 2010-12-02 27 2010-12-02 Programy destrukcyjne Wirusy – przy k łady 28 Programy destrukcyjne Robak i – definicja Melissa (1999) Robak (ang. worm) jest bardzo podobny do wirusa. Różnica: może rozpowszechn ia ć się samodzielnie Makrowirus Zarażenie – zawirusowany dokument Worda Otwarci e dok um ent u - ur uchomi enie wi rus a, któr y pobier ał z książki adr esowej Micr osoft Outl ook lub Outlook Ex press 50 początk ow ych Ponadto jego celem jest przenoszenie się z komputera na komputer, nie zaś z pliku na plik adresów i wysyłał przez Internet swoją kopię Wir us pona dto i nfekowa ł plik Norm al.dot - wszystkie dok umenty utworzone po zarażeniu wirusem były również zakażone Większość obecnych wirusów należy do klasy robaków Włamują się one do systemów wykorzystując słabe punkty w oprogramowa ni u 2010-12-02 29 2010-12-02 30 5 Programy destrukcyjne Robak i – definicja Programy destrukcyjne Robak i – przy k łady The term "worm" actually comes from a science fiction story called The Shockwave Rider written by John Brunner in 1975. In short, the story is about a totalitarian government that controls its citizens through a powerful computer network. A freedom fighter infests this network with a program called a "tapeworm" forcing the government to shut down the network, thereby destroy its base of power. (Listopad 1988) około 6000 komputerów zostało zainfekowanyc h programem napisanym przez R. Morrisa. (2000) Love Bug (Love Letter, I Love You) – w załączniku był skrypt VisualBasic – pobranie adresów i rozesłanie się (2001) Code Red (Chińczycy) miał przeprowadzić zmasowany atak typu DDOS na oficjalną stronę prezydenta USA (błędy IIS) (2001) Blue Code (USA) usuwał chiński produkt z zainfekowanyc h serwerów, sam się instalował i atakował stronę internetową jednej z firm chińskich (2001) Nimda - typowy robak rozsyłający się samoistnie pocztą elektroniczną – wystarczy podgląd załącznika (błędy IE, IIS) [http://www.snowpl ow.or g/t om/w orm /w orm .html] (2002) KLEZ - wykorzystywał lukę zabezpieczeń IFRAME IE 2010-12-02 31 2010-12-02 Programy destrukcyjne Robak i – przy k łady 32 Programy destrukcyjne Robak i – przy k łady (2002) BUGBEAR rozprzestrzeniał się przez NETBIOSa Prędkość rozprzestrzeniania się robaków (pierwsze 24 godziny) (2003) SQL SLAMMER, MS BLAST (atakuje 135/tcp) (2004) MY DOOM, wykonywalny załącznik ze sfałszowanym nagłówkiem FROM, sieć P2P KazaA ִwersja A atakowała SCO (atak DOS) ִwersja B 4.02.2004 miała zaatakować serwery internetowe Microsoftu, ale Microsoft stosuje technologię firmy Akamai (rozproszenie serwerów) ִwersja F atakowała witrynę RIAA (2004) SASSER – podatność LSASS (atakuje 445/tcp) (2005) UDF Worm (MySQL 3306/tcp) , SAMY (XSS) (2006) Nyxem.E (Blackmal.E, Kama Sutra, MyWife.E) 2010-12-02 33 2010-12-02 Programy destrukcyjne Konie trojańsk ie 34 Programy destrukcyjne TESTY programów A V Koń troja ńsk i ( trojan ) to: progr am, kt óry wy daje się r ealiz ować poż ąda ne i pożyt eczne funkc je, lecz realizując y funkcje ni ez na ne jego użytkownikowi . Dzia łają bar dz o podstępnie i ba rdz o tr udno okr eślić dok onaną prz ez nich skalę zniszczeń (penetracji systemu) www.av-compar atives .or g www.antivirus.a bout .c om www.av-test.org www.antywirus.net .pl Celem jest ujaw ni enie istot nyc h i nform acji o systemie, na kt órym został uruchomiony lub doprowadz enie do pokonani a zabezpieczeń 2010-12-02 35 2010-12-02 36 6 Bezpieczeństwo Bezpieczeństwo Wprowadzenie Bezpieczeństwo III 2008 Shimorski R., Shinder D., Shinder T., Wielka Księga Firewalli, Helion, 2004 Microsoft Official Course 2810A: Fundament als of Network Security Mielnicki Tomasz, Audyt bezpieczeństwa informatycznego, praca dyplomowa magisterska, Poznań 2005 (normy) 2010-12-02 37 2010-12-02 Bezpieczeństwo Definicja 38 Bezpieczeństwo Czy istnieje absolutne bezpieczeństwo? Czym jest bezpieczeńs tw o? Nie istnieje absolutne bezpieczeńs tw o: Nie jesteśmy w stanie przewidzieć wszystkich zagrożeń Poziom, do jakiego program lub urządzenie jest Czas reakcji na zagrożenia nie jest zerowy zabezpieczone przed nieautoryzo wa nym wykorzystan iem (w danej chwili – ponieważ ciągle pojawiają się nowe zagrożenia) Ludzka słabość, omylność projektantów Niewłaściwe i niefrasobliwe wykorzystanie aplikacji Poziom bezpieczeńs twa zależy od: ִmożliwych do poniesienia wydatków ִkompromisu pomiędzy bezpieczeństwem a użytecznością Zatem co możemy zrobić? … 2010-12-02 39 2010-12-02 Bezpieczeństwo Jak się chronić ? 40 Bezpieczeństwo Obszary bezpieczeństwa informacji Osiągać taki poziom bezpieczeństwa, by atakującemu Podstawowe obszary bezpieczeńs twa informacji – CIA + AAN: nie opłacało się nas zaatakować Confidentiality (poufność): dostęp tylko dla stron upoważnionyc h Integrity (integralność ): możliwość wykrycia modyfikacji Utrudniając życie atakującemu należy pamiętać, że: Availability (dostępność): zapewnienie niezakłóconego dostępu Atakujący na ogół omija zabezpieczeni a, często atakując od środka Obrona powinna składać się z kilku linii Authentication (uwierzytelnia nie): weryfikacja tożsamości osoby Authorization (autoryzacja ): kontrola dostępu do zasobów Złożoność (skomplikowa ni e) jest wrogiem bezpieczeństwa Nonrepudation (niezaprzeczal ność): możliwość udowodni enia Brak zaobserwowa nia ataku nie oznacza że go nie było inicjatorowi transakcji, że to faktycznie ona była inicjatorem [Wielka Księga Firewalli] 2010-12-02 41 2010-12-02 42 7 Bezpieczeństwo Bezpieczeństwo elementem wiary godności Bezpieczeństwo Polsk ie ak ty prawne System wiarygodny: U. z dnia 29 sierpnia 1997 r. o ochr. danych osobowych U. z dnia 22 stycznia 1999 r. o ochr. informacji niejawnych U. z dnia 27 lipca 2001 r. o ochr. baz danych Dyspozycyjny (available) – dostępny na bieżąco Niezawodny (reliable) – odporny na awarie U. z dnia 18 września 2001 r. o podpisie elektronicznym Bezpieczny (secure) – zapewniający ochronę danych U. z dni a 5 li pca 2002 r . o oc hr. niektór yc h usł ug świ adcz onyc h dr ogą elektroniczną U. z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną Bezpieczny (safe) – bezpieczny dla otoczenia U. z dnia 16 lipca 2004 r. Prawo telekomunikac yjne Roz porz ądz enie Pr ezes a Ra dy Mi nistrów z dnia 25 sier pnia 2005 r. definiujące podstawowe wymagania dot. bezp. teleinformatycznego 2010-12-02 43 2010-12-02 Bezpieczeństwo Standardy UE 44 Bezpieczeństwo Standard x7799 Rezolucja Rady UE z 28.01.2002r w sprawie bezpieczeństwa informacji i sieci teleinformatycznyc h, (UK)BS 7799 – brytyjska norma zarządzania bezpieczeństwem informacji ִBS 7799-1: opis zalecanych zabezpieczeń (wytyczne) ִBS 7799-2: podstawa nadawania certyfikatów „Systemom Zarządzania Bezpieczeństwem Informacji” (wymagania) Decyzje Komisji UE z 29.11.2001r w sprawie zasad i procedur bezpieczeństwa w ochronie informacji i sieci teleinformatycznyc h, (EU) ISO/IEC 17799:2000 (odpowiednik BS 7799-1) Dyrektywy Parlamentu Europejskiego i Rady UE, Ramowa Propozycja Decyzji Komisji UE z 19.04.2002r w sprawie ataków na systemy informatyczne, (PL) PN-I-13335-1: Technika informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, styczeń 1999 standard ISO-15408 określający wymogi bezpieczeństwa systemów informatycznych, standard ISO/IEC 17799 (PL ) PN-I SO/I EC 17799:2003 „T echni ka inf ormat yczna. Pr akt yczne zasady zarządzania bezpieczeństwem informacji” (tłumaczenie ISO) (PL) PN-I-07799:2005 „Systemy zarządzania bezpieczeństwem informacji. Część 2: Specyfikacja i wytyczne do stosowania.” (wg. BS 7799-2) 2010-12-02 45 2010-12-02 Zagrożenia, Podatności, A taki Zagrożenia, Podatności, A taki Źródła zagrożeń Źródła zagrożeń (Network Security Threads): Zagrożenia Podatności Ataki błędy w sys tema ch, techn olog iach ( pr otokół TC P/I P, systemy operacyjne, ochrona haseł, brak uwierzytelniani a) zła kon figu ra cja ( ujaw ni ani e i nform acji o k ont ac h, pr oste hasł a, niebezpieczne ustawienia domyślne) nie dos ta teczne p rzes zko len ie u żytk ow nikó w, b rak odp ow ied nie j po lityk i bezpie czeń stwa ( bra k polityki , br ak l ub III 2010 bł ędna kontr ola dostępu, nieprzestrz ega nie zas ad, brak pla nów na wypadek katastrof) Microsoft Official Course 2810A: Fundament als of Network Security 2010-12-02 46 47 2010-12-02 48 8 Zagrożenia, Podatności, A taki Rodzaje zagrożeń Zagrożenia, Podatności, A taki Konsek wencje zagrożeń przejęcie dokumentów i danych wprowadzenie nieprawdziwy ch danych do systemu niszczenie danych ośmieszenie i utrata zaufania klientów i firm współpracującyc h utrata lub zniszczenie istotnych dla firmy danych kradzież poufnych dokument ów dotyczących działania firmy uzyskanie nieautoryzowa ne go dostępu (ataki na hasła, social engineering, wykorzystanie błędów protokołów systemów konfiguracji) podszywanie się pod użytkownikó w, przechwyce nie sesji kradzież nowych technologii przerwa w działaniu istotnych systemów informatycznych firmy bankructwo firmy zmiany konfigura cji serwerów i urządzeń sieciowych blokowanie komputerów lub poszczególnych usług (DoS) zainfekowanie systemu szkodliwymi programami 2010-12-02 49 2010-12-02 Zagrożenia, Podatności, A taki Podatności 50 Zagrożenia, Podatności, A taki Klasy i rodzaje atak ów Klasy ataków: Ataki pasywne/aktyw ne Ataki lokalne/zdal ne Podstawowe rodzaje ataków: Ataki rozpoznawcze – zazwyczaj wstęp dla dwóch pozostałych Ataki w celu uzyskania (nieautoryz ow anego) dostępu Ataki w celu zablokowani a usługi (ataki DoS) 2010-12-02 51 2010-12-02 Zagrożenia, Podatności, A taki Formy atak ów 52 Zagrożenia, Podatności, A taki www.sy mantec.com Formy ataków: podszywanie się (masqueradi ng) podsłuch (eavesdropping) odtwarzanie (replaying) manipulacja (tampering) wykorzystywanie luk w systemie (exploiting) 2010-12-02 53 2010-12-02 54 9 Inicjatywy na rzecz bezpieczeństwa Inicjatywy na rzecz bezpieczeństwa 2004 Jesień 2004 Inicjatywy na rzecz bezpieczeństwa Centrum bezpieczeństwa Microsoftu ִInformowanie i edukacja ִInfolinia 0 801 802 000 Projekt Bezpieczny Komputer III 2010 ִMicrosoft, Intel, Symantec, G DATA RSA ִCykl szkoleń Akademia Bezpieczeństwa ִCykl szkoleń Strażnik systemu (1 edycja) 2010-12-02 55 2010-12-02 Inicjatywy na rzecz bezpieczeństwa DBI: 2005 -2010 56 Inicjatywy na rzecz bezpieczeństwa v te.cert.org Dzień Bezpiecznego Internetu Inicjatywa Komisji Europejskiej Bezpieczny dostęp dzieci i młodzieży do Internetu 2010-12-02 57 2010-12-02 58 Inicjatywy na rzecz bezpieczeństwa inne Podsumowanie www.saferinternet .pl Prog ramy d es trukcyj ne są co ra z ba rd ziej wy raf ino wa ne, łączą cechy wirusów, robaków i trojanów www.dzienbez piecz negok om puter a.pl Be zp ieczeń stwo bezpiecznykom put er.pl pozi om za bez piecz eni a prz ed Eleme nty be zp ie cze ńs twa : (CIA) poufność, i ntegr alność, dostępność (AAN) uwierzytelniani e, autoryzacja, niezaprzeczalność niebezpiecznik .pl scan.sygate.com Standardy bezpieczeńs tw a bazują na BS 7799 www.symantec.c om/sec urityc heck Źródła zagrożeń: błędy produktu, konfiguracji , brak szkoleń browsercheck.qual ys.c om Formy atak ów: podszyw ani e manipulacja, wykorzystanie luk www.startup-it.pl 2010-12-02 to nieautoryzowa nym dostępem www.centrumxp.pl 59 2010-12-02 się, pods łuc h, odt warz ani e, 60 10