Firewall - Technologie Informacyjne

Luty 2011
Walka o fizyczne i
informacyjne bezpieczeństwo
będzie główną częścią ceny
jaką zapłaci nasza
„usieciowiona‖ cywilizacja
(the concept of physical and information security will become a basic price of civilization as we
become more closely wired together)
Silver Bullet-ism: Technology Runs to the Rescue, The NYT on The Web, December 9, 2001
Cyberprzestępcy w USA
zarabiają więcej niż handlarze
narkotyków
Codziennie do Sieci trafia
55 000 nowych malware
Pcworld XII.09; Chip II/2010
Chip 2/10
7 głównych ataków
• Brute force - zgadywanie hasła użytkownika. Atak bardzo łatwy
do wykrycia i zablokowania przez bank, czasochłonny, praktycznie
niestosowany.
• Podsłuchanie hasła - przed podsłuchem zabezpieczają hasła jednorazowe i (w krótkim okresie) maskowane.
Phfshing - przekierowanie użytkownika na fałszywą stronę
i wyłudzenie jego listy haseł. Chronią przed tym wszystkie metody
wyświetlające szczegóły, transakcji, której dotyczy kod.
Man-in-the-middle - podsłuchanie lub sfałszowanie transmisji
danych miedzy klientem a bankiem.
Man-in-the-browser- szkodliwe oprogramowanie modyfikuje
przeglądarkę. Zabezpieczają antywirusy i analiza po stronie banku.
Socjotechnika - przekonanie użytkownika lub pracownika banku,
żeby sam wyjawił hasło lub wykonał niebezpieczną operację. Chroni przed tym jedynie świadomość zagrożeń u klienta i pracowników banku.
• Ataki zewnętrzne - przechwycenie kart z hasłami, podsłuchanie
sieci GSM, wyłudzenie duplikatu karty SIM. Najlepiej zabezpieczają
przed nimi tokeny sprzętowe.
PCWorld, 7/2010
Finlandia
• Pierwszy kraj na świecie, który uznał dostęp
do szerokopasmowego Internetu za
powszechne prawo, przysługujące każdemu
obywatelowi
• Minimum, od 2010, 1 Mb/s
Pierwsza wojna
w cyberprzestrzeni
• Paraliż krajowej cyfrowej infrastruktury Estonii
–
–
–
–
–
–
Prezydent,
Premier,
Parlament,
Agencje rządowe,
Największe banki,
Gazety.
• Głównie dzięki „bot’om” – anektującym komputery,
czyniąc je narzędziami ataku - niewolnikami “zombies,”
• Główna metoda ataków na Estonię - digital denial of
service
May 29, 2007. War Fears Turn to Cyberspace in Estonia . By MARK LANDLER and JOHN MARKOFF. June 24, 2007. BIT WARS When Computers Attack
By JOHN SCHWARTZ
Cyfrowe wojny
• CIA (18 lat temu) podczas operacji
wywiadowczej umieszczono bombę
logiczną w oprogramowaniu na które
polował rosyjski wywiad.
• Zmieniła się w jeden z największych
fajerwerków w dziejach świata,
gdy sterowany wadliwym
oprogramowaniem system rurociągów
eksplodował z mocą trzech kiloton trotylu.
PcWorld II/2010
Hactywizm
• Rozprzestrzenianie wirusów w sieci - forma demonstracji
politycznej, zwana hacktywizmem.
• Australijscy w 1989 roku zainfekowali komputery NASA
robakiem WANK, aby uniemożliwić start promu kosmicznego Atlantis,
który miał wynieść sondę kosmiczną Galileo. Misja wywoływała protesty grup
radykalnych ekologów, ponieważ sonda miała być zasilana paliwem
atomowym. Startu nie udało się powstrzymać, ale usuwanie wirusa z sieci
NASA trwało wiele tygodni.
• W 2007 roku rosyjscy hacktywiści zablokowali atakami
DDoS estońskie witryny rządowe. Rok później powtórzyli
to podczas konfliktu z Gruzją.
• Podobny atak na rządowe witryny Iranu spontanicznie
przeprowadzili internauci z całego świata podczas zeszłorocznych zamieszek w tym
kraju, a przeciwnicy organizacji zwalczających piractwo medialne wciąż atakują ich
witryny
PcWorld II/2010
Cyberszpiedzy - Stuxnet
• W przeciwieństwie do zwykłych wirusów, Stuxnet
nie wykrada prywatnych danych internautów.
Zamiast tego atakuje wyspecjalizowane systemy
przemysłowe, zmieniając tryb pracy komputerów
sterujących.
• Wykryty w 2009 roku GhostNet składał się z
blisko 1,3 tys. komputerów z ponad 100 krajów,
zawierających dane o dużym znaczeniu
politycznym, militarnym i handlowym. Niemal
30% tych maszyn znajdowało się w placówkach
dyplomatycznych.
PcWorld II/2010
Cybersabotaż i terroryzm
• Stuxnet - to najbardziej zaawansowany
szkodnik w historii złośliwego
oprogramowania.
• Ocenia się, że jego stworzenie zajęło kilka
lat i prawdopodobnie pochłonęło
kilkanaście milionów dolarów, a taki budżet jest poza zasięgiem hacktywistów
i amatorów.
Iran
• Stuxnet ingerował w procesy przemysłowe
sterowane komputerowo.
• wirus nie mieszał we wszystkich
zainfekowanych systemach. Jego kod
dowodził, że celem były bardzo konkretnie
maszyny, produkowane przez firmę
Siemens i jej irańskiego konkurenta. Aktywował
się przy specyficznych parametrach pracy, charakterystycznych tylko
dla wirówek wzbogacających uran. Powodując stosunkowo drobne
zmiany prędkości ich pracy, dramatycznie zmniejszał jakość
ostatecznego produktu, uniemożliwiając wykorzystanie go do
produkcji broni atomowej.
PcWorld II/2010
Przykłady strat
związanych z IT
LUKRATYWNY HAKINC
• Najbardziej intratnego cyberprzestepstwa w
dziejach dokonano w kwietniu 2009 roku.
Hakerzy ukradli kilka terabajtów
danych o amerykańskim myśliwcu F-35
Lightning II. zarobili: 300 mln. USD
Chip V, 2010
Google grudzień 2009
opublikowane - kwiecień 2010
• Ukradziono system haseł – Gaja – który
zarządza dostępem do milionów
użytkowników na świecie + firmowe
serwisy Webowe + mailowe aplikacje
biznesowe April 19, 2010
April 19, 2010
Cyberattack on
Google Said to Hit
Password System
By JOHN
MARKOFF
Dochodzenie antytrustowe
Bruksela - Google
• Dominacja na rynku szperaczy w Europie –
80%, USA tylko 66%
• Blokowanie w SERP konkurencji, np.
porównywarek cen
• Oczekiwana kara – 10% wpływów z 23 mld
USD
November 30, 2010, NYT, Europe Opens Antitrust Inquiry Into
Google, By JAMES KANTER and ERIC PFANNER
Największe katastrofy
oprogramowania
• 1962 – zniszczenie Mariner 1 (brak znaku „-”)
• 1996 – Ariane 5
• 1979 – wykryty przez system obronny NORAD
„atak” na USA 2020 rakiet z ZSRR
• 1983 „atak” na ZSRR
• Pomyłka okablowania Airbus’a A380 (rózne
wersje CAD CADIA) – straty 5 mld euro.
• Wstrzymany rozwój niemieckiego programu
A2LL dla bezrobotnych
Chip VIII 09
Brak zabezpieczeń
• Nastolatek przejął kontrolę nad częścią
systemu kierowania ruchem tramwajowym
w Łodzi.
• w jednym ze spowodowanych przez niego
wypadków zranionych zostało 12 osób.
• 14- latek zmodyfikował pilota TV, na
podstawie dostępnej dokumentacji firmy
tramwajowej.
Zagrożenia dzieci
• Po 4 minutach rozpoczyna się w
niemoderowanych chatroomach nękanie o
charakterze seksualnym
• 40% ma kontakt z treściami erotycznymi online
• 45% (12-17 lat) udostępnia swój telefon
• 58% (5-9 lat zaczyna korzystać z Sieci, 16%
wcześniej)
• 64% zawiera znajomości przez Sieć.
Chip, 05.V.2008.
Potencjał Web 2.0 dla dochodzeń
kryminalnych
•
•
•
•
•
•
Dowody komunikowania się z osobami
Wskazanie motywów i personalnych relacji
Informacje o lokalizacji
Dowody na alibi lub brak alibi
Wskazanie na okoliczności przestępstwa
Narzędzia przestępstw i wskazanie korzyści z
przestępstw.
http://www.criminallawlibraryblog.com/U.S._
DOJ__crim_socialnetworking.pdf
Rzeczywiste zagrożenia
przeciętny komputer zawiera 28
monitorujących, nieznanych użytkownikowi,
programów
W 2,36 mln przebadanych komputerach 81%
było zainfekowane programami szpiegującymi,
średnio 25 spyware na jeden komputer
•www.esecurityplanet.com/trends/article.php/3341831
PCs Monitored, E-mail Bugged
By Robyn Greenspan April 20, 2004
•Chip VI,2006, s. 34
Oszustwo komputerowe
- manipulacja danymi (np.: straty banków
USA, tradycyjny napad - 8 000 USD,
komputerowe oszustwo - 0,5 mln USD)
- manipulacja programem („na salami‖ grosze na własne konto)
Wystąpienia poważnych zdarzeń
wg Branż na 10 000 zdarzeń
9
7,8
Poważne zdarzenia
6,2
6,1
6
5,4
5,1
3,0
3
2,7
2,5
2,4
1,9
0
Financial
Services
Business
Services
Healthcare
Power &
Energy
Media/Ent.
Nonprofit
ECommerce
Mfg
High Tech
Teleco
Branże
Za: Jarosław Samonek, Symantec Poland Sp. z o.o.[2004]
Straty wpływów z płatności online
W wyniku przestępstw [mld. USD]
Procent strat wpływów z płatności online
wyniku przestępstw [mld. USD]
Online Fraud Mounts, JANUARY 25, 2007, eMarketer, Merchant beware: E-thieves are out there http://www.emarketer.com:80/Article.aspx?1004504&src=article2_newsltr.
Przyczyny przestępstw IT
FIRMA – pięć grzechów
bezpieczeństwa teleinformatycznego
1.
2.
3.
4.
5.
Fachowcy – powierzenie bezpieczeństwa IT wyłącznie
informatykom
Internet – beztroska w udostępnianiu Internetu
pracownikom i brak monitorowania aktywności
internetowej pracowników.
Regulacje – brak wewnętrznych reguł (polityka
bezpieczeństwa IT) wymuszających stosowanie
odpowiednich środków i zasad postępowania.
Maksymalizacja wiedzy – nagminny brak wiedzy wśród
pracowników w zakresie bezpieczeństwa IT (proporcja
szkoleń BHP i bezp. IT?),
Audyt – zbyt mała wiedza o kosztach ryzyka – szacunku
wartości możliwych strat i kosztów ich ograniczenia,
Zmiana typów
zagrożeń w Sieci
Spyware
Antyspyware
Robaki
Filtr treści
Antyspam
Zakazana
Treść
Spam
Antywirus
Związane
z treścią
Trojany
Wirusy
IDS
VPN
Firewall
Związane
z łączeniem
Klucz
Fizyczne
Włamania
Kradzież sprzętu
Chip 6/05
Jarosław Samonek
Symantec Poland Sp. z o.o.
Nimda (zagrożenie hybrydowe) rozprzestrzenianie
Web
Server
Internet
Stacja
robocze
Router
Hub
Stacja
robocza
Web
Server
Laptop
 Zainfekowany załącznik
 Atak na „dziurawy” serwer WWW
 Wcześniej zakażony serwer WWW
 Ataki przez przeglądarkę
Jarosław Samonek
 Współdzielone zasoby
Country Manager
Symantec Poland Sp. z o.o.
Źródła niebezpieczeństw
• ryzyko związane z atakami na środowiska
internetowe,
• technologie bezprzewodowe i
szerokopasmowe dostępu do Sieci
• Komputery i inne cyfrowe urządzenia
mobilne.
Podstawowe zagrożenia
badania III 2009 – VIII 2009
• Aplikacje Webowe i phishing
• Adobe's PDF Reader i Flash, Apple
QuickTime i Microsoft Office - "the
primary initial infection vector used to
compromise computers that have Internet
access"
http://news.zdnet.co.uk/security/0,1000000189,
39751845,00.htm
Obrazy
• Władze Płd. Korei zaleciły montowanie do
komórek sygnalizatorów dźwiękowych
robienia zdjęcia.
• ParentWatch.com, KinderCam.com –
kamery w miejscach pobytu dzieci –
przedszkola, szkoły.
WebCam
• Wirusy WebCam są to robaki Rbot, które
mają zdolność kontrolowania internetowej
kamery ofiary stanowiąc zagrożenie
wzrokowej inwigilacji określonych miejsc np.
w domach i biurach.
• Tysiące kamer podłączonych do prywatnych
systemów zabezpieczeń przez
niefrasobliwość ich administratorów jest
dostępna publicznie, stwarzając nowy typ
zagrożeń chronionych obiektów[1].
[1] Podgląd obrazów z tego typu kamer wskazują wyniki wyszukiwania google, na pytanie:
inurl:"MultiCameraFrame?Mode=". Thousands of security webcams wide open, All you need is the right
Google string, Robert Jaques, vnunet.com, 05 Jan 2005; http://www.vnunet.com/news/1160289
Kamery w mieście
• CCTV – Closed-Circut Television –
telewizja w obwodzie zamkniętym
• 400 000 w Londynie. Przeciętny
londyńczyk fotografowany 250 razy
dziennie
• Warszawa – 300 kamer
• Czas przechowywania nagrań – 30 dni
Chip IX.2007
Chip 10/2010
10 podstawowych zagrożeń utraty bezpieczeństwa
1/10 wrażliwe sieciowe aplikacje
1. Atak na aplikacje sieciowe przez „otwarte
drzwi”.
http://www.zdnet.co.uk/news/security-threats/2010/05/07/know-the-enemy-todays-top10-security-threats-40088650/
10 podstawowych zagrożeń utraty
bezpieczeństwa
2/10. Wyrafinowany phishing i pharming
2. Kradzież danych identyfikujących.
Antywirusy i spyware nie dają gwarancji
bezpieczeństwa – podstawa: edukacja
użytkowników.
10 podstawowych zagrożeń utraty
bezpieczeństwa
3/10. Spam
• 90% poczty to spam lub phishing.
10 podstawowych zagrożeń
utraty bezpieczeństwa
4/10 Social media attacks
• Łamanie słabych haseł i ufanie bezpłatnym
programom.
10 podstawowych zagrożeń utraty
bezpieczeństwa
5/10. Proste korzystanie z danych
identyfikujących (identity theft)
• Kradzież pieniędzy lub uzyskiwanie innych
bezpośrednich korzyści.
10 podstawowych zagrożeń utraty
bezpieczeństwa
6/10. Theft of credit-card details
• Tylko 5% komercyjnych stron jest
bezpieczna.
• Wzrost kradzieży numerów kart płatniczych
10 podstawowych zagrożeń utraty
bezpieczeństwa
7/10. Exploiting the latest technology
• Rola nowych technologii VoIP,
wirtualizacja, smartfony itp.
10 podstawowych zagrożeń
utraty bezpieczeństwa
8/10. Increased outsourcing
• Powierzanie dużych ilości danych firmom
zewnętrznym.
10 podstawowych zagrożeń utraty
bezpieczeństwa
9/10. Rise in super-portable data
• Kradzież danych przez nośniki – laptopy,
urządzenia USB.
10 podstawowych zagrożeń
utraty bezpieczeństwa
10/10. Samozadowolenie
• Dysponowanie nowoczesnymi
technologiami bezpieczeństwa ale brak
edukacji pracowników.
Techniki i metody
przestępstw IT
Typowy atak
•
•
•
•
•
•
zdobycie hasła
wykorzystanie dziur
nieuprawnione działania
instalacja „konia trojańskiego‖
podsłuchiwanie - packet sniffers
przez „tylne drzwi‖ i przez e-mail
Rozłączenie
Modyfikacja
podsłuch
fałszowanie
Ograniczone sieciowe
zagrożenia
•
•
•
•
•
•
•
•
•
•
Bombardowanie pocztą
Dziurawa aplikacja
Dziurawy system operacyjny
Odmowa wykonania usługi
Zmiana makta aplikacji
Przechwycenie sesji SMTP
Rutowanie przez źródło
Spam
Wirusy
Zdalne logowanie
HACKING
Hacker - osoba, która włamując się do sieci
komputerowej, pokonuje zabezpieczenia
w postaci kodów i haseł broniących dostępu
do zgromadzonej i przetwarzanej informacji
Dep. Obrony USA przyznaje, że
penetrowano 88% komputerów w
96% bezkarnie 70% penetracji
przez pracowników firmy
Logo hakerów*
Slang hakerów
• Freak (phr34) – maniak,
• Dude <|OO<|3 – doświadczony haker,
profesjonalista
• |oo53r – looser, frajer, amator
• Warez (//4r3z) – pirackie oprogramowanie
• Więcej:
www.catb.org/jargon/html/index.html
*Szybowiec, figura z matematycznej gry Game of Life
Defcon – spotkania
superhakerów
• Wielu pracuje na stanowiskach doradców
służb bezpieczeństwa
• Blokada światowej infrastruktury IT, bilety
samolotowe, włamania do elektrowni
atomowych, wybory
Chip II/09
Metody wykorzystywane przez
włamywaczy
• Denial of Service (DoS) - odmowa wykonania
usługi, atakowany serwer zagubiony dużą
liczbą żądań
• port scan - uruchamianie usług na wielu
portach i wykorzystanie luk (związanych z
usługą) w bezpieczeństwie,
• sniffing - podsłuchiwanie
• spoofing - podszywanie się pod kogoś,
• dictionary attack - atak słownikowy
Malware
• Wirusy, Konie Trojańskie itp.
• Phishing, mishing (mobilne) vishing
(phishing telefonicznie)
Programy – największe zagrożenia w
2009 roku/ Chip 2/10
•
•
•
•
•
•
•
•
Java 25%
Flash 20%
Shockwave 14%
QuickTime 12%
MediaPlayer 11%
Adobe PDF 10%
Dodatki do IE 5
Dodatki do Firefoxa 3
• Także:
• Rzeczywiste dane do
przeglądarki
• Automatyczne
wizytówki do maili
Szpiegowskie, także użyteczne, pliki do
monitorowania Twoich wędrówek - broń:
- funkcje przeglądarek,
- Cookie Pal
- Anonymous Cookie
- AtGuard, PC Secure Personal Firewall
Zasoby w komputerach
• 93% firmowych dokumentów w postaci
elektronicznej
• 70% dokumentów nigdy nie jest drukowane
• 53% nie testuje planów zabezpieczeń częściej niż
raz na dwa lata
• 63% firm nie uświadamia pracowników o tych
planach
• 75% nie obejmuje sytuacji: a jeśli backup nie
działa?
Magazyn CSO 3/07, s. 41.
Czy podajemy nieprawdziwe
dane sami o sobie?
zbyt lekkomyślnie ujawniamy wiele
danych osobowych, stając się
łatwym celem dla rosnącej liczby
przestępców wykradających
tożsamości w Internecie.
Autorzy zwracają uwagę, iż może to doprowadzić do
masowego odwracania się klientów od firm
internetowych.
Ujawnianie danych
• 79% ankietowanych jest skłonnych
podać
przypadkowej
osobie
dane
osobowe wystarczające do kradzieży
tożsamości.
• 33% ankietowanych przynajmniej raz
złamała
podstawowe
zasady
bezpieczeństwa
w
Internecie,
np.
współdzieląc czy zapisując hasła. Wielu
ankietowanych przyznało, że informacje
o hasłach do kont internetowych
przechowuje w portfelu.
Pracownicy
• 70% nieautoryzowanego dostępu do
informacji dokonują pracownicy,
• 95% ataków z poważnymi konsekwencjami
było inicjowane przez pracowników,
DLP (Data Leak Protection)
wypływ informacji
• Wiedza pracowników (78% incydentów)
• Technologiczne podejścia:
–
–
–
–
Klasyfikacja i ochrona danych
Szyfrowanie
Wykrywanie szkodliwych działań (logi)
Zarządzanie urządzeniami (mobiloność!)
Computerworld, raport spec. X.09
USB - zagrożenia
• Zalepianie USB
• Programowe blokady, np. dzięki Service Pack’owi
2 można ustawić wszystkie wymienne pamięci
tylko do czytania
• Sanctuary Device Control umożliwia pełną
kontrolę nad portami sieciowych komputerów, np.
o 16.10 w piątek dostęp do zapisu przez 7 minut.
• USB Lock Standard – ochrona transferu: USB,
IrDa, Bluetooth, CD/DVD/Blueray.
• Wymuszanie obligatoryjnego szyfrowania
zapisywanych danych.
Oferty zabezpieczeń USB
• Port Blocker, oferta Ardence Inc.'s dla pecetów i
serwerów.
• RedCannon Security's KeyPoint Crypto Mobile
Storage. Umożliwia monitorowanie, audytowanie
i rejestrowanie wszystkich dokumentów
przesyłanych za pośrednictwem USB.
• Ważne jest opracowanie polityki, edukacja,
kontrola
• Blokady można ominąć instalując z CD Linux’a –
uzyskuje się dostęp do wszystkich zasobów.
Don't Let Data Walk Out the Door
By Steve UlfelderJuly 7, 2005
itmanagement.earthweb.com/er
p/article.php/3518461
Back to Article
Pomyłki
• 39% otrzymało przez pomyłkę poufne
informacje, Pracownicy IT - 45%; HR 23%
• Liczba pomyłkowo wysłanych poufnych
informacji wzrosła z 3 (2002) do 15%
(2004).
• Powód – błędy ludzkie i zła polityka
bezpieczeństwa.
Formerly CyberAtlas
Trends & Statistics: The Web's Richest Source, Spam:
Problems Coming and Going
By Robyn Greenspan, 22.06.2004
Techniki przestępstw informatycznych
Podsłuch (eavesdropping) – dane przesyłane są bez zakłóceń, ale naruszana jest ich
poufność.
Phishing – scamming, zdobywanie przez użytkowników sieci danych innych
internautów, pozwalających np. na oczyszczanie ich kont z pieniędzy.
Spoofing – osoba może podszywać się pod inną tożsamość.
Penetracja (tampering) – dane są przechwytywane, modyfikowane i przesyłane do
adresata.
Denial of Service (DoS) - odmowa wykonania usługi, atakowany serwer zagubiony
dużą ilością żądań.
Port Scan - uruchamianie usług na wielu portach i wykorzystanie luk (związanych z
usługą) w bezpieczeństwie;
Naśladowanie (impersonation) – dane docierają do osoby podszywającej się pod
adresata. Może to przyjmować dwie formy:
Misrepresentation – osoba lub organizacja może podawać fałszywą informację o
prowadzonej
działalności
czy
swojej
ofercie.
[
Podsłuch elektromagnetyczny
• Emisja ujawniająca, ulot magnetyczny – zjawisko
występujące w każdym obwodzie, w którym płynie prąd.
• TEMPEST – Transient ElectroMagnetic Pulse Emanation
Standard – trzy poziomy.
• Techniki inwazyjne: wprowadzenie programu do PC
ofiary, który wykorzystuje układy jako nadajnik (np.
Tempest for Eliza – „nadaje muzykę przez kartę graficzną)
• Techniki nieinwazyjne – wykorzystywanie nieinwazyjnych
metod: bezprzewodowość, kable łączące urządzenia,
zasilanie. Najsilniej generują” CRT i LCD
Hakin9, 3/08, s. 23-25
Inwigilacja?
• Pentium III „seryjny numer
identyfikacyjny‖
• GUID - Global Unique Identifier –
(Intel -85% światowego rynku procesorów)
tajny mechanizm programowy (Office 97 i 2000),
• Bug Report (XP) - programu
raportującego błędy programów
• Echelon (National Security Agency, USA),
kontrola informacji cyfrowych (90%) w skali
całego globu (Internet, faks, mail, telefon) –
PCFormat 5/2008 s. 116.
ID gadżetów
• Unikalne ID gadżetów, np. Kindle
Amazona, Sirius XM Radio, iPhony,
• Brak polityki korzystania z tych informacji
– tylko policja, jeśli tak to czy warto szukać
sprzętu za 300 USD?
• Jak obsługiwać sprzedane lub skradzione
urządzenia?
September 7, 2009
Gadget Makers Can Find Thief, but Don’t Ask
By DAVID SEGAL
Oznaczenia kolorowych wydruków
Tracking Dots
• Kropki (8x15< 1/1000
strony) z danymi o:
– Data zakodowania, godzina,
minuta
– Identyfikator drukarki
– www.eff.org/privacy/printers
/list.php
Keylogery i phishing
• liczba keylogerów – szkodliwych programów
zapisujących wpisywane na klawiaturze hasła i
inne prywatne informacje – pomiędzy styczniem
2004 r. a majem 2006 r. wzrosła o blisko 250%.
• W tym samym czasie liczba alarmów
sygnalizujących możliwość ataku phishingowego
wzrosła aż stukrotnie.
• Sophos wykrył 5400 podmienionych witryn
(2007)
• http://www.mcafee.com/us/threat_center/white_paper.html.
WARSZAWA – 22 stycznia 2007: Firma McAfee (NYSE:MFE) opublikowała raport McAfee® Avert® Labs. Chip II.2008
Szpiegowanie/podsłuchiwanie
• Desktop Surveillance 5.0 – obserwacja
poczynań innych użytkowników komputera
• Mini Monitoring 1.5.0 pl jw.
• Magic Guardian Home – nadzoruje kilka
komputerów
• Family Keylogger 2.71
PcWorld XII.2008
Szantaż przez Internet ransomware
• Ransomware/wirusy GPcode – odszyfrowanie za
okup
• Zagrożenie zrujnowaniem Sieci firmowej o ile nie
zapłaci szantażystom
• W UK straty z powodu dziennego przestoju
jednej z firm wynoszą jeden milion funtów
• „Zapłać – zostawimy ciebie w spokoju”
• Część procedur deszyfrujących oferuje Kaspersky
• Np. trojan Kenzero wyłudza dane – okup (50 zł)
za wstrzymanie ich publikowania
Kontrola komputerów
osobistych
• Projekt ustawy UE na swobodny dostęp do
komputerów mieszkańców zjednoczonej
Europy.
Inne zagrożenia
•
•
•
•
•
•
Web 2.0
IM
Wi-Fi
FotoKomórki
Pamięci Flash’owe
Szpiegowanie i terroryzm
Wi-Fi Zabezpieczenia
standardy:
• szyfrowanie WEP (Wired Equivalent
Privacy), bardzo łatwe do złamania.
• Lepsze: WPA i WPA2
– Łatwe do złamania podczas wymiany kluczy
(firma Elomosoft)
– Np. kartą graficzną Nivida GeForce GTX 295 –
250 mln haseł na sekundę
– Hasła >= 20 znaków nadal bezpieczne
Web 2.0
• Podszywanie się pod znajomych w celu
wyłudzenia pieniędzy – np. ukradziono mi
portfel podczas podróży (Facebook).
• Instalowanie szpiegujących programów
oferowanych przez znajomych
• Korzystanie z hybrydy: Sieć - telefon
http://www.csoonline.com/article/print/460135, Social Engineering: Eight
Common Tactics. Joan Goodchild, Senior Editor, CSO,
November 06, 2008
This story appeared on Network World at
http://www.networkworld.com/news/2009/021609-9-dirty-tricks-socialengineers.html
9 Dirty Tricks: Social Engineers' Favorite Pick-Up Lines
By Joan Goodchild , CSO , 02/16/2009
Anonimowość
• „Nasz profil” w niepowołanych rękach:
przedmiot manipulacji, spam, szantaż
• Lub, anonimowość sprzyja przestępcom,
hakerom, spamerom, pedofilom, piratom
• Zapobieganie: anonimowe maile, grupy
dyskusyjne, bez śladów po wizytach na
Stronie (IP), anonimowe programy P2P
c.d. anonimowości
• Kaskada serwerów pośredniczących usługa:
JAP/JonDo lub przeglądarka Torpark
(modyfikacja Firefoksa)
• Wpisy o aktywności internautów:
www.webferret.com
• Dane o 50 mln osób z UE w shober.pl
• Rozmowy Skype szyfrowane pomiędzy
klientami Skype!
Ch, lip. 08
Anonimowość c.d.
• Jedną z najbardziej popularnych usług
tego typu jest bezpłatny Mailinator (www.
mailinatoKcom). Pozwala jedynie na odbieranie
wiadomości, bez możliwości ich
wysyłania, a wszystkie są usuwane co kilka minut
• Alternatywny sposób polega na używaniu połączenia tunelowego. Korzystając z sieci
VPN, łączysz się z serwerem
usługodawcy i za jego pośrednictwem
przeglądasz zasoby Internetu – ukrywasz IP,
szyfrujesz transmisję
PCWorld, 7/2010
Zagrożenia z Web.2.0
• Najgroźniejsze poza phishingiem i spamem
– infekcje przenoszone przez pliki
multimedialne z Web 2.0
• Np. koń trojański za pośrednictwem
utworu muzycznego z MySpace, za
pośrednictwem QuickTime
Komórki zagrożenia
• Łatwe do zgubienia i kradzieży, zazwyczaj nie
mają zabezpieczeń informacji
• Podatne na malware
• Otrzymują spam
• Zdalne włączanie mikrofonu, kamery
(szpiegowanie)
• Lokalizowanie
• Poczta trzymana na serwerach (dostęp przez
komórki) narażona na podgląd
Bezpieczeństwo rozmów przez
komórki
•
•
•
•
Oferta polskiej firmy TechLab 2000
Szyfrujący telefon Xaos Gamma
Całkowite bezpieczeństwo
Po małych przeróbkach komórki Sagem
100x – urządzenie do podsłuchu rozmów
telefonicznych w otoczeniu
Cloud computing - zagrożenia
• Bezpieczeństwo transmisji
• Bezpieczeństwo magazynowania
• Gwarancja prywatności (inna w róznych
krajach) zgodna z polityką użytkownika
• Dostępność danych i ich odtwarzanie
(recovery)
http://features.techworld.com/security/3219109
/the-seven-deadly-sins-of-cloud-security/
Siedem grzechów bezpieczeństwa
cloud computingu 1-4/7
• Strata/wypływ danych
• Prosty błąd konfiguracyjny systemu w
chmurze, może być powielane wielokrotnie
• Kłopoty wewnętrzne – nieuczciwi
pracownicy chmury
• Koncentracja dużych ilości danych –
konieczny mocny monitoring, podwójna
autentyfikacja
Siedem grzechów bezpieczeństwa
cloud computingu 5-7/7
• Niebezpieczne interfejsy
programistycznych aplikacji. Ważna
autentyfikacja, kontrola dostępu i
kryptografia
• Zagrożenia przestępstw hakerskich
• Nieznany profil ryzyka – IT poza firmą
Pięć scenariuszy IT apokalipsy
• Scentralizowana sieć energetyczna ulega awarii
(2003, błąd operatora w USA, 55 milionów ludzi
bez prądu)
• Impuls elektromagnetyczny wysokiej
częstotliwości
• Awaria Google – brak dostępu do zasobów (Docs,
poczta i inne).
• Awaria DNSów – brak internetu
• Rozbłysk słoneczny – wszystkie zasoby cyfrowe
zostają zniszczone. Luka historyczna ostatnich 20
lat.
http://features.techworld.com/networking/3217591/five-doomsday-scenarios-for-it-apocalypse/?getDynamicPage&print
Zapobieganie obrona
Pamiętaj!
- wszystko jest złe, do czasu udowodnienia, że jest
dobre
- zlikwidować cały ruch i dostęp bez
odpowiednich uprawnień
- nie chowaj głowy w piasek przed problemami
bezpieczeństwa
- pamiętaj, że zawsze są nieznane (zwykle duże)
liczby nieznanych problemów bezpieczeństwa
Złoczyńca
Zabezpieczenia
Zabezpieczane wartości
Cena bezpieczeństwa
• Nie powinna być większa od wartości
oszacowanego ryzyka
• Wartość ryzyka = wartość straty
x prawdopodobieństwo straty
Podstawowa ochrona pecetów
nie ma perfekcyjnego zabezpieczenia
•
•
•
•
•
Antywirus
Antyspam
Firewall
Antyphishing
Backup
• Norton 360
• OneCare
• TotalCare
Bezpieczeństwo Sieci
Cebula informacyjna
Każdy
Zarząd
Podstawowi
klienci
Finanse
Dyrektorzy
Szczególne
komórki
Dystrybutorzy,
pośrednicy
Pracownicy firmy
Podwykonawcy
Granice zatarły się
Brak granicy sieci
ONI
MY
Sieć częściowo
bezpieczna
Sieci nie zapewniające
bezpieczeństwa
Jarosław Samonek
Symantec Poland Sp. z o.o.
Problemy przedsiębiorstwa
a problemy techniczne
Konsekwencje
Skutki
• narażenie
poufnych
danych
• przerwanie
transakcji
• utrata lub
nadużycie
danych
Miejsce ataku
Jarosław Samonek
Symantec Poland Sp. z o.o.
Firmy
Trzecie
jące
Aplikacje
Zarządzanie
ZabezpieczaBezpieczeństwem
Zarządzanie Bezpieczeństwem Wymagania
Gateway
Serwer
Klient
Ochrona Bramy
Ochrona Serwera
Ochrona Klienta
•
•
•
•
•
•
•
•
•
•
•
•
Ochrona przed wirusami
Filtrowanie treści
Firewall
Wykrywanie włamań
Ochrona przed wirusami
Filtrowanie treści
Zarządzanie Zagrożeniami
Wykrywanie włamań
Ochrona przed wirusami
Filtrowanie treści
Firewall
Wykrywanie włamań
Zarządzanie Incydentami
Zarządzanie Konfiguracją
Zarządzanie Zdarzeniami
Zbieranie
Przekazywanie
Firmy Trzecie
Jarosław Samonek, Symantec Poland Sp. z o.o.
1/5 podstawy korzystania
z Internetu w firmie
1. Pracownik jest odpowiedzialny gdy
korzysta z Sieci podczas pracy z
niedopuszczalnych zasobów.
"Edukacja w zakresie malware via
Internet”.
2. Programy filtrujące umożliwiają
kontrolę wirtualnych wędrówek
pracowników (pornografia, zakupy).
3. Konieczna odpowiednia
parametryzacja filtrów – kontrolowane
otwieranie przejść.
2/5 Centralnie zarządzane
oprogramowanie antywirusowe
1. Gwarantuje, że każdy PC w firmie
jest automatycznie skanowany
aktualnymi definicjami.
2. Zdalne usługi antywirusowe dla
firm nie dających sobie z tym
problemem rady, np. ISP.
3/5 Firewall z
wykrywaniem intruzów
1. Sieciowe worm’y np. Sasser i
Code Red nie różnią się od
legitymizowanego ruchu i
przechodzą przez firewall.
2. Intrusion detection umożliwia
wyłapanie worm’ów (otwierają
dostęp do LANu).
4/5 Instaluj Intrusion
Detection
1. Firewall broni przed zewnętrzem intrusion detection na
indywidualnych PC chroni przed
próbami ataku od wewnątrz. Np.
Trend Micro, Symantec.
5/5 Szyfrowanie i Cyfrowy
podpis, certyfikaty
1. Podpis - Gwarancja poufności,
integralności i autentyczności
korespondencji
2. Certyfikat - Gwarancja wiarygodności
instalowanego oprogramowania.
3. Zawsze korzystać z kontroli ważności
certyfikatu
Antywirusy i inne do obrony,
darmowe i inne
•
•
•
•
AntiVir Personal
Windows Defender
Malicious Software Removal Tool
Online: www.mks.com.pl/skaner;
infectedornot.com (tylko w IE)
Ewolucja systemów
bezpieczeństwa
• I generacja: jasne zagrożenia i oczywiste
środki zaradcze (szyfrowanie, firewall),
• II generacja: własny haker i systemy
ochrony aktywnej,
• III generacja: wzorowanie się na modelu
bezpieczeństwa i zarządzaniu ryzykiem
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Pierwsza generacja systemów
bezpieczeństwa
• Prosty schemat działania: eliminujemy
zagrożenia poprzez zastosowanie
odpowiedniego produktu,
• Zagrożenia są oceniane z własnej
perspektywy,
• Duża liczba zagrożeń = bardzo duży
problem,
• Trudno ocenić opłacalność przeciwdziałania
zagrożeniom
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
II generacja
• Własny haker i monitorowanie aktywności
użytkowników,
• Zagrożenia są oceniane z perspektywy
włamywacza komputerowego (zew. i wew.)
• Duża liczba zagrożeń = mały problem,
• Nadal trudno ocenić opłacalność
przeciwdziałania zagrożeniom
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
III generacja
• Stosujemy techniki I i II generacji plus:
• Wzorujemy się na obiektywnym modelu
(standardzie) systemu bezpieczeństwa
• Bezpieczeństwo i ryzyko traktujemy jako
wielkości mierzalne,
• Zarządzamy ryzykiem zgodnie z
rachunkiem ekonomicznym
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Standaryzacja zarządzania zagrożeniami
UTM - Unified Threat Management
• Zapora ogniowa
• IPS – Intrusion
Prevention System
• Moduł wirtualnych sieci
prywatnych (IPSec,
VPN, SSL VPN, PPTP)
• Moduł autoryzacji
użytkowników
•
•
•
•
•
•
Ochrona antywirusowa
Ochrona przed spamem
Filtr URL
Zarządzanie logami
Kalendarze reguł
Zarządzanie łączami
zapasowymi
• Kształtowanie pasma
• I inne
DRM
• DRM firmy Apple – FaiPlay, mnimum
skuteczności (zhakowany w 2003 roku).
• Przewidywania – 2008, DRM pozostanie
wspomnieniem
• Programy do omijania zabezpieczeń:
– DVD Shrink
– AnyDVD HD
– Deamon Tools, Yasoo – uruchamianie programu bez
oryginalnego krążka Chip 11/2007, s. 108
Zabezpieczania DRMu
• technologia DRM (Digital Rights Management) – system do
zabezpieczania komputerowych dokumentów, w tym muzyki,
przesyłanych w Internecie.
• Umożliwia on przekazywanie osobom trzecim publikacji z
ograniczonymi prawami (np. bez możliwości wydruku, edycji czy
zrobienia kopii).
• DRM nie tylko zabezpiecza dane podczas transmisji kanałami
publicznymi, lecz także kontroluje późniejsze ich wykorzystanie przez
odbiorców (potwierdzając przez Internet ważność praw autorskich).
• DRM zabezpiecza prawa autorskie właścicieli dokumentów poprzez
ich szyfrowanie i oznaczanie „cyfrowym znakiem wodnym” (wzór
bitów wkomponowanych w oznaczany znakiem plik). Odczytanie
takiego pliku wymaga posiadania odpowiedniego oprogramowania.
Trzy wersje DRM
1.
Wersja pierwsza, pozwala na określenie:
a)
b)
c)
d)
czy plik można odtwarzać
czy plik można przegrać na urządzenia przenośne oraz CD
po jakim czasie ma się skończyć możliwość odtwarzania pliku
działa także na MAC OS-ie.
2. Wersja dziewiąta pozwala na określenie możliwości:
a)
b)
c)
d)
e)
3.
liczby odtworzeń
liczby nagrań na urządzenia przenośne
liczby nagrań na CD-Audio
ustawienia wielu opcji czasowych ważności licencji (od kiedy i do
kiedy, jak długo po pierwszym odtworzeniu itp.)
usunięcia licencji na plik, gdy zostanie przestawiony zegar w
komputerze.
Wersja dziesiąta. Pliki zabezpieczone tą wersją odtwarza tylko
Windows Media Player 10, działający wyłącznie pod Windows XP.
Źródło: Krzysztof Piekarczyk, Nie za darmo, „Chip” 2005, nr 8.
Protected
Media Path (PMP)
uniemożliwia nielegalne kopiowanie filmów i
muzyki - (Protected Video Path) i audio (Protected User Media Path).
Rezolucja Parlamentu Europejskiego
- Raport Gallo
• Dotyczy ochrony praw własności intelektualnej.
Przyjęty tekst zrównuje ściąganie plików z
internetu z innymi naruszeniami własności
intelektualnej.
• Permanentna, totalna inwigilacja Internetu,
na podobieństwo tej, której już teraz doświadczają
Francuzi. Wybrana przez władze firma bez
przerwy monitoruje wszelkie źródła
udostępniające nielegalne filmy.
Anti-Coun-terfeitingTrade
Agreement (ACTA)
• Nowe przepisy przeciwko piractwu wykorzystujące
internetowe filtry, blokady stron WWW i mechanizmy
odcinające piratom dostęp do Sieci.
• każdy ma być osobiście odpowiedzialny za
wykorzystywano przez siebie elementy Internetu.
• Providerzy mieliby tez wprowadzić zasadę trzech kroków
(ostrzeżenie, przypomnienie, odłączenie) i w razie
potrzeby blokować dostęp do Sieci użytkownikom
pobierającym nielegalne pliki.
• Rządy poszczególnych krajów UE będą zobligowane do
wprowadzenia zgodnych z nią przepisów.
Chip XII, 2010
HD+
wyklucza
modyfikację,
filtrowanie
treści
Chip 12/09
Ograniczanie zagrożeń funkcji
niepewnych/nowych aplikacji
• środowiska dla innych aplikacji:
• Piaskownice (w literaturze zwane też
często sandboksami)
• oprogramowanie do wirtualizacji
naturalnego środowiska
Piaskownice - sandboxy
•
tworzą wydzielony fragment systemu
operacyjnego, który znajdującą się
we wnętrzu aplikację uważa za cały
system. Przykładem tego typu działa jest
mechanizm jail
• Piaskownice nadają się praktycznie
do wszystkiego: pozwalają na uruchomienie
przeglądarki internetowej w izolowanym
środowisku, ale też na sprawdzenie, jakie szkody
poczyniłby wirus, gdyby został uruchomiony bez
zabezpieczenia.
PCWorld 10/2009
Piaskownice - Sandboxie 3.38
• jedna z najłatwiejszych
i najprzyjemniejszych w obsłudze
piaskownic.
• Instaluje się bez większych
problemów i integruje z Eksploratorem
Windows.
• Inne piaskownice: GeSWall 2.9 Free/Pro,
DefenseWall HIPS 2.56
PCWorld 10/2009; Chip II/2010
Wybór i poprawna
konfiguracja przeglądarek
• Testy bezpieczeństwa (luk)
• Instalacja wtyczki do podglądu adresów
URL (dla stron o skróconych nazwach –
aliasach)
Wtyczki do podglądu adresów URL
• ExpandMyURL (expandmyurl.com)
i LongURLPlease (www.longurlplease).
com) zapewniają aplety lub wtyczki do
przeglądarki internetowej, które sprawdzają,
czy z adresem docelowym skrótu
wiąże się jakieś ryzyko.
• Goo.gl, usługa skracania udostępniana przez Google'a,
automatycznie skanuje adresy docelowe, aby wykrywać
złośliwe witryny i ostrzegać internautów przed ryzykiem.
Goo.gl jest ograniczony do serwisów i usług Google'a.
Pcworld V 2010
Wirtualizacja
• Wirtualizacja udaje nie system operacyjny a cały
komputer
• Aby skorzystać z aplikacji do wirtualizacji,
konieczne jest posiadanie oddzielnej kopii
Windowsa czy Linuxa
PCWorld 10/2009
Oprogramowanie do wirtualizacji
• udaje osobny komputer i wymaga posiadania
dodatkowej licencji na system operacyjny. Jedynym
wyjątkiem są tutaj Windows 7 Business, Ultimate i Enterprise, których właściciele w zestawie
otrzymują program VirtualPC wraz z kopią systemu Windows XP.
• Aplikacje do wirtualizacji są odpowiedzią na dwie
najważniejsze potrzeby deweloperów i
administratorów:
– uruchamiania wielu środowisk bez przerywania cyklu
pracy komputerów
– obniżenia kosztów infrastruktury
przy jej lepszym wykorzystaniu (zamiast nowego
serwera kupuje się pa mięć RAM i kolejny procesor).
VirtualPC 2007
• wymaga do pracy komputera z systemem
Windows XP, Vista lub Windows 7.
Aplikacja udaje przed oprogramowaniem
zwykłą maszynę, ale pozwala też na
bezpośrednie korzystanie z niektórych
urządzeń - o ile sprzęt ma wystarczająco
nowoczesne CPU i aktualny BIOS na płycie
głównej.
VMware Workstation
• ok. 850 zl. Podobnie jak virtualPC,
umożliwia tworzenie wirtualnych maszyn z
systemami operacyjnymi. VMware jest
najstarszym na rynku i dlatego najbardziej
dopracowanym produktem.
Główne obszary związane z
bezpieczeństwem IT wg British Standard 7799
•
•
•
•
•
•
•
•
•
•
Polityka bezpieczeństwa
Formalna organizacja bezpieczeństwa
Klasyfikacja zasobów i danych
Bezpieczeństwo związane z personelem
Bezpieczeństwo fizyczne i anomalie przyrodnicze
Procesy operacyjne i zarządzanie infrastrukturą IT
Kontrola dostępu do systemów
Rozwój i serwisowanie aplikacji
Planowanie na wypadek zdarzeń losowych
Zgodność z wymogami prawa
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Punkt startowy dla Systemu
Bezpieczeństwa
• Polityka bezpieczeństwa informacji w formie
dokumentu (w PL wzrost z 47 do 67%, EU –
75%), za, RZP, 17.XI, 2007
• Przydzielenie właściciela do wszystkich zasobów
informacyjnych
• Formalny proces edukacji i uświadamiania
• Formalny proces zgłaszania zdarzeń
naruszających bezpieczeństwo informacji
• Planowanie ciągłości działań IT na wypadek
zdarzeń losowych
Robert Kępczyński, IBM Polska, Bezpieczny i przyjazny bank, CPI, 16-17.09.2001
Bezpieczeństwo teleinformatyczne
zapewnia się przez:
•
•
•
•
•
ochronę fizyczną
ochronę elektromagnetyczną
ochronę kryptograficzną
ochronę transmisji
ochronę dostępu do urządzeń lub sieci
teleinformatycznych
Rozporządzenie Prezesa Rady Ministrów z 11.03.1999 r.
(Nie)bezpieczeństwo Sieci
Sieć nie:
• ma właściciela
• posiada centralnej kontroli,
• ma standardów polityki funkcjonowania
brak standardów międzynarodowego
prawodawstwa
Biznes musi być
pewny przez:
- Integralności danych: musisz być
pewny, że Twoje dane nie zostaną
zmienione,
- Poufności danych: musisz mieć możliwość
zachowania poufności wyróżnionych
informacji,
- Autentyczności: musisz być pewny, że
informacje, które otrzymujesz z Sieci są od
osób, które się za nie podają (np. gdy dostajesz
polecenie)
A także:
• Dostępność - informacja musi być dostępna dla
uprawnionych użytkowników zawsze, kiedy
mają taką potrzebę,
• Rozliczalność - dostęp do informacji może być
przypisany w sposób jednoznaczny tylko temu
użytkownikowi,
• Niezawodność - zachowanie i skutki działania
(np. aplikacji, urządzeń) są takie jak
zamierzone
Prywatność,
cenzura,
cyberbullying
Biały wywiad wyszukiwarek i
sieci społecznościowych
Biały wywiad - Google
• Google przyznał się do zebrania 600
gigabajtów ze stron, niezabezpieczonych
wi-fi (maile).
• Oficjalne procedury uruchomione przez
Hiszpanię, Czechy, Francję i Niemcy.
May 20, 2010, In Europe, Google Faces New Inquiries on Privacy, By KEVIN J. O'BRIEN
Największe straty prywatności
w cyfrowej erze
• 2007 - Zagubiono dysk z danymi o 25
milionach Brytyjczyków – dane o 40%
populacji UK.
• 2006 – zgubiono dane o 26,5 mln
weteranów USA
• 2003 – Z AOLu skradziono dane o 92
milionach osób
• Największe katastrofy oprogramowania
November 22, 2007, NYT
Data Leak in Britain Affects 25 Million
By ERIC PFANNER
Kradzieże danych
• Ukradziony laptop pracownika Boeing’a
zawierał nazwiska i nr. ubezp. 382 000
byłych i obecnych pracowników – w sumie
100 152 801 rekordów.
• Dane z Public Policy Institute for AARP
wskazują na ujawnienie 90 milionów
rekordów pomiędzy 1 stycznia 2005 a 26
maja 2006, w tym 43% z edukacyjnych
instytucji.
December 18, 2006. LINK BY LINK. An Ominous Milestone: 100 Million Data Leaks. By TOM ZELLER Jr.
Niebezpieczeństwo szperaczy
• AOL stracił kontrolę nad 19 milionami
zapytań skierowanych do AOLu przez
ponad 600 000 Internautów.
• Dane tego typu mogą być wykorzystane
przez złodziei, nieuczciwych pracowników,
a nawet przez administrację państwową
August 12, 2006
Your Life as an Open Book
By TOM ZELLER Jr. NYT
Kradzież osobowości
Identity theft
• Po raz pierwszy zdefiniowana w dokumencie: the
Identity Theft and Assumption Deterrence Act of 1998
(ID Theft Act),
• Dokument ten zidentyfikował tę kradzież jako
oddzielną kategorię przestępstwa.
• ― …świadome przekazanie lub użycie, bez
prawnej zgody, opisu lub identyfikacji innej
osoby z zamiarem popełnienia lub pomocy lub
nakłaniania, każdej bezprawnej aktywności,
która jest określona jako przestępstwo w federalnym prawie albo
uznawane jest jako przestępstwo przez inne regulacje stanowe lub
lokalnego prawa‖.
http://www.mcafee.com/us/threat_center/white_paper.html
Prywatność – społeczne media
• Administracja wykorzystuje dane ze stron
społecznościowych
• Dochodzenia podatkowe
• Motywy i wzajemne relacje osób
• Lokalizacja
Zgoda na ograniczenia swobody
informacyjnej usług w sieci
• Niemcy:
– Facebook zgodził się na ograniczenie
udostępniania adresów w wyszukiwarce
adresów przyjaciół
– 2010 – Google skasował miliony zdjęć domów
i mieszkań
Facebook Makes Deal With German Privacy Group
By KEVIN J. O'BRIEN
Published: January 24, 2011
Kadry
• 43 proc. europejskich firm sprawdza
reputację potencjalnych pracowników w
Sieci przed wysianiem im zaproszenia na
rozmowę wstępną,
• 23 proc. osób z działów kadr odrzuciło
kandydaturę danej osoby ze względu na
negatywne komentarze pod jej zdjęciami
oraz wypowiedzi w serwisach
społecznościowych i blogach.
Chip XII.2010
Filtry
Oprogramowanie monitorujące
zachowania firmowych Internautów,
także w domach dla dzieci
IM – filtry dla dzieci
• Oferta AOLu i MSN.
• Subskrybenci AOL mogą stworzyć konta z ograniczeniami
przeglądania Sieci, maili, czatów i IM (Parental Controls)
• Domyślna kategoria „Tylko dzieci” (do 12 lat) – całkowita
blokada IM, „Młodzi nastolatkowie” (13 to 15) – blokada
wymiany obrazów, zbiorów, głosu i video, „starsi
nastolatkowie” – pewne ograniczenia w chatach i
surfowaniu
• Można określić ile i jak długo może dziecko korzystać z
AOLu
• Kontrola pełna przez programy:
http://www.cyberpatrol.com, $40),
http://www.cybersitter.com/, $40 spectorsoft.com; $100)
Prywatność w pracy
• Np. Boss Everyware – szpiegowanie
pracowników. Rejestracja klawiatury, zrzuty
ekranu, lista uruchamianych programów itp.
• Monitorowanie telefonów, np. FlexiSpy,
rejestruje na serwerze aktywność i treści (smsy,
adresy itp.).
Chip 11/2008, s. 40.
Cenzura
• Włochy i UK (Internet Watch Foundation)
stosują mechanizmy blokujące i filtrujące.
Treści związane z dziećmi.
• Włochy – blokada zakładów
bukmacherskich.
• BKA – niemiecki odpowiednik CBŚ
zamierza blokować wskazane witryny
• Listę blokowanych witryn prowajderom
dostarcza BKA
Chip XI/09; Computerworld IX/09
Cenzura - Europa
• Od marca 2009 roku CERT Polska w projekcie
FISHA (A Framework for Information Sharing
and Alerting).
• Głównym celem projektu jest opracowanie
prototypu systemu EISAS (European Information
Sharing and Alerting System), czyli
ogólnoeuropejskiego systemu wymiany i dostępu
do informacji dotyczących bezpieczeństwa
komputerowego oraz ostrzegania przed
zagrożeniami w sieci Internet.
Zagrożenia – gry, projekt ustawy USA
• 1.000 dolarów grzywny na sklepach, które
sprzedają brutalne gry wideo dla osób
poniżej 18 lat.
• Brutalna gra: opcje dostępne dla gracza obejmujące
zabijanie, okaleczanie, obnażanie lub napaść seksualną;
obraz człowieka, który jest ewidentnie obraźliwy,
odwołania do dewiacyjnych lub chorobliwych zachowań z
nieletnimi oraz brak poważnej literackiej, artystycznej,
politycznej lub naukowej wartości.
November 2, 2010, Justices Debate Video Game Ban,By ADAM LIPTAK
Kontrola treści Sieci, cenzura
• 5o pracowników Telecommunication On
Demand sprawdza ok. 20 milionów
obrazów każdego tygodnia
• Outsourcingowa firma - Caleris – 4,5 mln.
Obrazów codziennie
• YouTube kontroluje materiały wskazane
przez internautów.
• Facebook – kontrola w Palo Alto i w
Dublinie.
NYT, Policing theWeb’s Lurid Precincts, July 18,2010.
Cenzura w Googleach
PCWorld XII.2010
Granice obiektywizmu
• Na stronie Wikileaks opublikowano poufne,
ukradzione dane o kontach klientów banku
szwedzkiego.
• Strona ta głosi, iż umożliwia ludziom publikować
dokumenty anonimowo, z każdego państwa, które
piętnują nieetyczne zachowania władz i korporacji
NYT, March 5, 2008, 7:14 pm
Bank Moves to Withdraw Its Suit Against Wikileaks Site
By JONATHAN D.
Cyberbullying – sieciowa nagonka
• Poszywanie się po kogoś w celu
skompromitowania
• Tworzenie opinii w publicznych miejscach
wymiany informacji online
• Tworzenie i rozsyłanie tendencyjnych maili
• Kojarzenie w szperaczach niepochlebnych
słów z nazwiskiem ofiary
Wzmacniająca funkcja IT: „rewers‖:
Cyberbullying – negatywna siła
wirtualnego tłumu
Cyberbullying obejmuje użycie informacji i
technologii informacyjnych takich jak
mail, komórki, IM, strony w celu
wspomagania dyskusji, powtarzania,
inicjowania, nieprzyjaznych zachowań
osób lub grup z zamiarem uczynienia
komuś krzywdy
Stalker, cyberstalking
• Złośliwe i powtarzające się nagabywanie,
naprzykrzanie się, które może wywołać u
ofiary poczucie zagrożenia. Obejmuje ono
zachowania polegające na obsesyjnym
śledzeniu, obserwowaniu albo
kontaktowaniu się z inną osobą wbrew jej
woli.
• Do 3 lat więzienia za uporczywe nękanie
ofiary, m.in. Telefonem, Internet i inne
pogróżki. Art.190a §1, 2, 3 i 4
• Po pierwsze ... złe wieści:
• Jedno z praw Murphy’ego każdy program ma
• WIRUSA lub
• ROBAKA
Nie ma znaczenia czy Twoje
oprogramowanie ma wirusy ...
dopóki nie działają
Rozwinięcie prawa Murph’ego
• Liczba WIRUSÓW jest wykładniczo
proporcjonalna do wielkości programu
• Jeśli program spełnia funkcje bezpieczeństwa,
to w owych funkcjach są wirusy
• nawet najbardziej niewinne programy mają
nieszczelności
• Prędzej czy później twoja konkurencja
znajdzie i wykorzysta te nieszczelności
Zabezpieczenia
Zasady bezpieczeństwa
Korzystaj z najmniejszej możliwej liczby
programów
Korzystaj z małych, dobrze znanych programów
Skorzystaj z firewall’i
Firewall - dedykowana maszyna, której nie
można wykorzystywać do innych celów
Firewall - siedzi pomiędzy Twoimi komputerami i
całym światem
•
•
•
•
Kryptografia
Zabezpieczenie antywirusowe
Osobista identyfikacja
Firewall’e
Podstawowe funkcje ochrony
• antywirus,
• zapora sieciowa,
• ochrona przed
phishingiem,
• spamem i kradzieżą
tożsamości.
Firewall
Użytkowe
programy
Firewall
Zasoby
informacyjne
Firewall – początek 1985
• Technologia filtrowania pakietów
• Firewall zabezpiecza sieci przed innymi
sieciami, którym nie ufamy. Filtrując:
pochodzenie, adresata, typ aplikacji
protect networks from other untrusted
(FTP/telnet) i typ pakietu (TCP/UDP).
• Niektóre zawierają technologie serwera
proxy
Firewall dzisiaj
• Zastąpiono intrusion detection systems IDSa —
intrusion prevention systemem (IPSes)
• Główną funkcją IDSu było wywoływanie alarmu w
chwili wykrycia intruza „alarm przeciwpożarowy
bez straży pożarnej‖
• anti-spam, anti-virus i anti-worm
inspekcja/kontrola
Podstawowe zadania Firewall’a
- Cały ruch, w obu kierunkach musi
przechodzić przez Firewall
- Tylko autoryzowany ruch może przejść
- Integralność maszyny Firewall’a musi być
100%
Projektowanie Firewall’a
- musisz mieć swoją politykę
- na co można pozwolić w dostępie do informacji?
- musisz spełnić oczekiwania biznesowe
- co będzie zabronione?
- kontrola nie autoryzowanej pracy
- kto będzie autoryzował?
- jaka będzie procedura autoryzacji?
- kto będzie nadzorował przestrzeganie
procedur?
Firewall
• Filtr portów i funkcje do ograniczania
przepływu danych (uniemożliwienie działania
trojanów)
• Ochrona przed DoS’em (Denial of Service) –
nieautoryzowany dostęp do LANu
• Mechanizm translacji adresów (NAT- Network
Adress Translation)
• Logi, monitorowanie korzystania z Internetu
(filtry)
• Szyfrowanie dla potrzeb LAN, VPN
Honeypots – szpiegowanie wroga
• Wabienie atakujących. Administrator może
sprawdzić używane narzędzia i jakich
informacji szuka i co z nimi robi dalej.
Kamuflaż może zmylić hakera (myśli, że
sukces)
• Honeynets, sieci honypotów stworzone z
realnego sprzętu i oprogramowania, np. Linux
boxes, Cisco switches, Windows NT and
Solaris.
Honeypots Let You Spy on Your Enemy
By Sharon Gaudin
June 16, 2004
www.esecurityplanet.com/trends/article.php/3369421
Pakiety bezpieczeństwa
malware, phishing, spam
•
•
•
•
•
•
•
Kaspersky Internet Security 7.0
Norton Internet Security 2008
G Data Internet-Security 2008
F Secure Internet Security 2008
BitDefender 2008
Panda 2008
Avira Premium
Chip II.2008
NetScreen - Zarządzanie
ruchem/pasmem
• Klasyfikacja ruchu:
–
–
–
–
–
–
–
Adres IP (źródła lub przeznaczenia)
Protokół
Użytkownik
Port (źródła lub przeznaczenia)
Usługi
Pora dnia
Dzień tygodnia
Ascomp IT Systems
Zarządzanie ruchem/pasmem
• Parametry ruchu:
–
–
–
–
Gwarantowane pasmo
Maksymalne pasmo
Priorytet (od 0 do 7)
Zgodne ze standardem DiffServ
• Optymalizacja
– Monitorowanie ruchu w czasie rzeczywistym
– Pomiar ruchu dla każdej klasy
Ascomp IT Systems
Inne środki obrony
• IDS – system wykrywania intruzów
• Honeypot – przynęta, symulowane zasoby,
usługi. Przyspieszenie wykrycia ataku przez
jego ułatwienie
• Skaner otwartych portów:
www.auditmypc.com/port-scanner.asp
Miniserwer Yoggie Pico
• Jak pamięć flash – pracuje pod Linux’em
• 12 aplikacji odpowiadających za
wszechstronne zabezpieczenie komputera
(w tym firewall i antywirus)
www.yoggle.com
Identyfikacja
• Hasła,
• Identyfikatory (karty: z paskiem
magnetycznym, procesorowe,
zbliżeniowe),
• biometryka (linie papilarne, ręce,
twarz, głos, tęczówka)
Identyfikacja – IAM
(Identity and access management)
• Pierwszy poziom: lepsza organizacja
autentykacji – kto ma dostęp do ważnych
informacji lub krytycznych elementów IT.
Uszczelnienie – podnosi bezpieczeństwo
• Drugi poziom: mocne narzędzia autentykacji:
tokeny, karty czipowe, biometryka
• Trzeci poziom: powiązać autentykację z
rejestrem aktywności – budować mocny audyt
W Internecie nikt nie wie, że jesteś psem
Metody uwierzytelniania
• coś co masz (klucz do drzwi, karta
magnetyczna)
• coś co wiesz (hasła)
• coś, czym się charakteryzujesz (odciski
linii papilarnych).
Z hasłami jak z bielizną…
Zmieniaj jak najczęściej
Nie dziel się nią z przyjaciółmi
Są poufne, intymne
Czym dłuższe (zimą) tym lepsze
Nie należy ich zostawiać gdziekolwiek
Słabość haseł
• Imperva found that
nearly 1 percent of the 32
million people it studied
had used “123456” as a
password. The secondmost-popular password
was “12345.” Others in
the top 20 included
“qwerty,” “abc123” and
“princess.”
January 21, 2010
If Your
Password Is
123456, Just
Make It
HackMe
By ASHLEE
VANCE
Hasła – słabe ogniwo systemu
• 49% użytkowników IT zapisuje swoje
hasła obok komputera lub na dysku
maszyny,
• 84% przy wyborze hasła kieruje się
łatwością jego zapamiętania,
• 64% nigdy nie zmienia haseł,
• 22% nigdy nie zmienia haseł z własnej
inicjatywy
Internet Standard, z: Chip,03/2003
Lekceważenie haseł
• Połowa UK uzywa tego samego hasła w
bankowości i serwisach społecznościowych
• 40% udostępniła hasła innej (bliskiej) osobie
• 10% było narażone w 57% przynajmniej na jedno
przestępstwo w 2008, z tego: 18% zakupy na
konto, 12% kradzież pieniędzy, 5% kradzież
osobowości
• 1/10 - hasło = imię dziecka
• 9% - imię matki
http://www.networkworld.com/news/2009/090
309-half-of-brits-use-same.html
Hasła
• Programy łamiące hasła korzystają ze słowników:
imiona, nazwiska, sport, liczby, znaki
interpunkcyjne, słowa obce, nazwiska fantazy/SF,
• Przy próbie łamania haseł – milion/sekundę,
skuteczność w firmie 10 tys. osób wynosi 20 –
50% w pierwszych 20 minutach, 90% w czasie
doby
• Brute Force Calculator – program do oceny siły
hasła (www.hackosis.com) (Chip, maj 2009)
And the Password Is .... Waterloo, The NYT on The Web, 27.12.2001
Słabości haseł
• Mniej niż 10% osób stosuje losowe znaki w
budowie haseł
• Stosując symbole, częściej wybierane są np..
$ lub @
• Najczęstsze hasła: Bóg, sex, pieniądze,
tajemnica, hasło wśród kobiet: miłość
• 50% haseł ma związek z rodziną,
nazwiskami, „nikami‖, datami urodzin
partnerów, dzieci lub zwierząt domowych
• Hasła o wymuszanej zmianie – najczęściej
(80%) są pochodną daty zmiany
Silne hasło powinno mieć
następujące właściwości
• zawierać małe i duże znaki, np.:
ajskADVl
• zawierać cyfry i/lub znaki specjalne:
ksgJ@#k*
• mieć długość przynajmniej 8 znaków
Hasła – podstawowe zasady
• Po trzech próbach, blokada
wymagająca pomocy administratora
lub np. na 0,5 godz.
• Wymuszana zmiana hasła,
przynajmniej raz na miesiąc,
• Zrywanie połączenia np. po 10
minutach, braku aktywności
użytkownika
Ochrona haseł przed keyloggerami
• Darmowy Mouse Only Keyboard =
klawiatura na ekranie
• Wpisywanie hasła myszką i dalej do
schowka
• Potem wklejenie – zero korzystania z
klawiatury
• Narzędzie może działać z pedrive’a – zatem
do wykorzystania na każdym komputerze
Menedżery haseł - Suma haseł
• Korzystając z wielu haseł – zapamiętanie
wszystkich na USB, np.: Pass2Go
• Zagrożenie ujawnienia, głównie przez
trojany.
Internetowe menedżery haseł
• LastPass dostępny jest w wariancie
bezpłatnym i w płatnym abonamencie -1
dolar na miesiąc
• Opcja bezpłatna zawiera dostęp do
kompletu funkcji i wtyczki Internet
Explorera, Firefoksa oraz Chrome'a.
• Dopłata głównie za możliwość używania
aplikacji w telefonie komórkowym.
PcWorld II/2010
Inne menedżery
• Mitto jest bezpłatny i nie wymaga instalacji
żadnego oprogramowania.
• Passpack - opcja bezpłatna, ograniczona do 100
haseł i pozwalająca na wygenerowanie nie więcej
niż 3 haseł jednorazowych. Oferuje do pobrania
wtyczki do przeglądarek Internet Explorer,
Firefox, Chrome, a także Opery i Safari.
• Clipperz - Bezpłatny menedżer haseł wyróżnia się
opensource'owym rodowodem.
PcWorld II/2010
Przykłady menedżerów haseł
• AI RoboForm – zapamiętuje i wpisuje
automatycznie
• KeePas
• Password Safe
• Hasła
• Mateyko
• Norton Password Manager (ma miernik
jakości haseł)
Narzędzia do odzyskiwania haseł,
monitorowania sieci 1/2
• SpyNet – podsłuchiwanie osób w LAN na
podstawie IP
• Sieci bezprzewodowe – sniffery: Wireshark
• Odzyskanie hasła Wi-F0: Aircrack-ng
• Zwiększenie mocy kartą graficzną do łamania
haseł: Distributed Password Recovery
• Hasło GG: Pass-Tool Password Recovery
• Inne IM (też Skype): Advanced IM Password
Recovery (39 Euro)
PCWorld XI/09
Narzędzia do odzyskiwania
haseł, monitorowania sieci 2/2
• BIOS: CmosPwd
• Windows:Advanced Windows Password
Recovery
• Advanced Office Password Recovery
• Advanced RAR Password Recovery
• Advanced PDF Password Recovery Pro
• Accent Office Password Recovery
PCWorld XI/09
Regulacje prawne
• § Za nieuprawnione uzyskanie informacji,
hacking grozi kara pozbawienia
wolności do 2 lat (art. 267 § 1 kk).
§ Za podsłuch komputerowy, sniffing
grozi kara pozbawienia wolności do 2 lat
(art. 267 § 2 kk).
• § Za tak zwane narzędzia hackerskie
grozi kara pozbawienia wolności do 3 lat
(art. 269b kk).
PCWorld XI/09
Monitorowanie pracowników
• Sprawdzanie operacji wykonywanych na
komputerze
• Monitorowanie Czasu Pracy, zapis obrazu
pulpitu użytkowniak, ewidencja
instalowanych programów
• Jeżeli pracownik wie o możliwości kontroli,
nie jest ona niedozwolona.
PCWorld XI/09
Najczęściej stosowane zabezpieczenia
transakcji w bankach Internetowych
• Tradycyjne zabezpieczenia (hasła, PINy)
• Zapewniane przez przeglądarki (SSL),
• Podpis jednorazowy (hasła jednorazowe - TAN,
token),
• Ograniczenie liczby, predefiniowanie
adresatów przelewów,
• Jednorazowe/na ograniczoną kwotę numery
kont.
Rady Kasperskiego
• Antywirus + firewall, aktualizacja, rezydentny,
skanowanie co 7 dni
• Skanować nośniki, nie otwierać załączników
maili, ostrożnie odwiedzać Strony
• Śledzić wiadomości o wirusach
• Aktualizować Windowsy
• Minimalizować liczbę użytkowników
• Regularnie robić kopie zapasowe
• Wirus! Nie wpadać w panikę. Szybko skopiować
co ważne
Kopie bezpieczeństwa online
• Cena, pojemność, SO, dostęp przeglądarką,
przywracanie usuniętych, synchronizacja z
wieloma komputerami
• Dropbox, humyo, Idrive, Live Mesh,
Memopal, Mrozy
Hasła jednorazowe
Token DigiPass 300 stosowany przez klientów banku Pekao S.A
Tokeny sprzętowe
Silver 2000
Tryb event-synchronous
– Generują hasła jednorazowe na żądanie
– Automatyczna resynchronizacja
– Niskie koszty helpdesku
Gold 3000
• Rodzaje tokenów
– Silver 2000: łatwy w obsłudze (jeden
przycisk, który generuje hasło); PIN
software’owy
– Gold 3000: jedyny token w kształcie
breloka z PINem sprzętowym
– Platinum: token umozliwia wymianę
baterii
Platinum
• Tokeny sprzetowe nie mają daty
wyłączenia
Za: ASCOMP IT Systems
Tokeny software’owe
SofToken II
• Dostepny dla wszystkich
systemów Windows dla PC
• Administratorzy mogą
automatycznie instalować
token wykorzystując
PremierAccess User
Enrollment
SofToken II dla PC
Za: ASCOMP IT Systems
Generator kodów na bazie
danych o transakcjach
• Generator w komórce.
• Kod jednorazowy w tym przypadku nie jest
przesyłany przez sieć.
• Do telefonu wędrują tylko dane o transakcji.
Użytkownik musi się z nimi zapoznać
i je zatwierdzić, jeśli to nastąpi, algorytm
w telefonie wygeneruje unikalny kod,
wykorzystując dane o transakcji. To rozwiązanie
eliminuje możliwość przechwycenia kodu z banku
za pomocą fałszywej karty SIM.
Captchas
Identyfikacyjne karty
Smartcard
Zakłócacz keylogerów
• Keystroke Interference 21 zaburza
działanie keyloggerów, czyli złośliwych
programów monitorujących naciskane
klawisze. Jego działanie opiera się na
zakłócaniu strumienia wpisywanych
znaków przypadkowo wygenerowanymi
symbolami. Każde przyciśnięcie
klawisza powoduje deszcz liter i cyfr.
Wirtualna klawiatura
CERB
• Podczas logowania użytkownik jest
identyfikowany hasłem i otrzymanym via
komórka hasłem jednorazowym
Biometryka
Nie można zgubić
Nie można zapomnieć
Nie można „podsłuchać”
Biometryka - charakterystyczne
cechy ludzkiego ciała
•
•
•
•
•
•
•
•
Wzór linii papilarnych,
geometria twarzy, dłoni itp.,
wzór tęczówki oka,
charakterystyka głosu,
obraz termiczny niektórych części ciała,
cechy ręcznego podpisu,
szybkość pisania na klawiaturze,
zapach, DNA i inne cechy człowieka.
Biometryka - dłonie
• Nowa metoda Fujitsu's PalmSecure.
• Badanie przepływu krwi w dłoniach, a nie
kształtów i wzorów łatwych do podrobienia.
• Proces spowalnia niska temperatura.
• Wykorzystanie światła podczerwieni.
• Dokładność > 99%, - fałszywe pozytywne
0.00007%, negatywne 0.00004%.
T E C H T R A C K E R Flesh-and-Blood Biometrics PalmSecure Foretells Biometric Future
http://www.networkcomputing.com/article/printFullArticle.jhtml;jsessionid=WPJTEMLPNP1KOQSNDLPCKHSCJUNN2JVN?articleID=193500195
Biometryka
Nie można zgubić
Nie można zapomnieć
Nie można „podsłuchać”
Biometryka
Komfort
Dokładność
Coverage
Koszt
Linie pap.
ooooooo
ooooooo
oooo
ooo
Podpis
ooo
oooo
oooo
oooo
Twarz
oooooooo
oooo
ooooooo
ooooo
Tęczówka
oooooooo
oooooooo
ooooooo
oooooooo
Siatkówka
oooooo
oooooooo
ooooo
ooooooo
Ręka
oooooo
ooooo
ooooo
ooooo
Głos
oooo
oo
ooo
oo
DNA
o
ooooooo
ooooooooo
ooooooooo
Source: Dr. Bromba,
[email protected]
Linie papilarne przez USB
• Produkt Sony
Electronics - FIU-810
"Puppy" Fingerprint
Identity Token
• Linie papilarne - dostęp
do zbiorów
• Uzupełnienie: Flash
Communicator
wszystkie dane lokalnie,
łącznie z logami
konwersacji. Efekt –
dostęp do IM firmy z
każdego komputera,
który ma USB.
Validian, Sony Team on Fingerprint-Secured IM, Internet.com February 24, 2004
Opis linii papilarnych – cechy
charakterystyczne
http://www.east-shore.com/tech.html
Zarządzanie tożsamością
• Zbiór procesów w firmie do zarządzania
cyklem życia tożsamości oraz jej relacji z
aplikacjami biznesowymi i usługami
• Ogół danych identyfikujących użytkownika
systemów informacyjnych, określających
jego uprawnienia w tych systemach oraz
informacje dodatkowe, np. preferencje
użytkownika w aplikacjach
Przetwarzanie IT oparte na tożsamości
Podstawa bezpieczeństwa i zgodności z regulacjami
© 9 Novell, Inc.
Wybrane regulacje
© 4 Novell, Inc.
Outsourcing bezpieczeństwa IT
• Zmniejszenie kosztów,
koncentracja na
statutowej działalności
• Najczęściej:
– Administratorzy
– zarządzanie
serwerami,
– monitoring
bezpieczeństwa
hosting
aplikacji; 3
hosting
infrastrukt
ury; 11
wsparcie/h
elpdesk; 39
zarządzanie
aplikacjam
i; 13
systemy IT;
34
Rzp. 17.XI.2007.
Ludzkie implanty – ID dla opieki zdrowotnej
July 17, 2005
A Pass on Privacy?
By CHRISTOPHER CALDWELL
The NYT
Identity Badge Worn Under Skin Approved for Use in Health
Care
By BARNABY J. FEDER ; nd TOM ZELLER Jr.;
Published: October 14, 2004
Reuters, FDA: Chip Implant Can Be Used to Get Health
Records; Wed Oct 13, 2004 04:40 PM ET
September 9, 2006
Remote Control for Health Care
By BARNABY J. FEDER
• The many companies betting on
remote-monitoring medical technology
include makers of implantable devices
like Medtronic, instrument companies
like Honeywell and Philips, and
countless hardware and software
companies ranging from start-ups to
giants like Intel.
Kasowanie skasowanych
dyski niekasowane
15%
dyski skasowane, z
których można było
odzyskać dane
67%
dyski prawidłowo
zamazane
10%
dyski uszkodzone
fizycznie
8%
Ch1/05s112
Kasowanie skasowanych
•
•
•
•
•
Media-Eraser
Acronis Drive Cleanser,
R-Wipe and Clean,
BCWipe,
Eraser
Chip VII 2006
Kasowanie treści na dysku
FAT
- usunięte
- nienaruszone
Niszczarki danych/plików - standardy
•
•
•
•
•
DOD 5220.22-M (trzy przebiegi)
NATO – 7 przebiegów
VSITR – 7 przebiegów
Algorytm Bruce Schneiera – 7 przebiegów
Gutman Secure Deletion – do 35
przebiegów
• Wartości losowe, zera i FF.
Chip VII 09
Niszczarki danych/plików (ok. 30 euro)
•
•
•
•
SystemUp Eraser 2009
Abylon Shredder
Heidi Eraser (freeware)
0&0 SafeErase
Niszczarki dokumentów papierowych
• Najwyższy poziom bezpieczeństwa
zapewniają niszczarki typu pierce and tear,
tnące i szarpiące papier nożami
obrotowymi.
PCWorld 10/IX
Bezpieczeństwo bezprzewodowo
• WEP (Wired Equivalent Privacy) –
prywatność jak w przewodach. Słaba siła
• WPA – zmienne klucze, lepsze algorytmy.
Słaba wersja 64 bitowa, lepsza – 128
bitowa
Zaufanie 1/2
• Ochrona danych osobowych
•
przetwarzane jedynie przez firmę
•
wykorzystywane wyłącznie w celu realizacji umowy
•
nie są udostępniane innym podmiotom
• Prawa dostępu do danych:
•
dostęp do swoich danych oraz możliwość ich poprawiania
•
dane osobowe są przechowywane i zabezpieczone zgodnie z zasadami
określonymi w obowiązujących przepisach prawa
Zaufanie 2/2- Netcraft Toolbar, Trust
• Netcraft:
– Ochrona przed phishingiem
– Kontrola lokalizacji hosta i wielkości ryzyka Risk Rating
każdej oglądanej strony
– Pomoc przed „naciagaczami‖ - fraudsters.
Sejfy
• Ogień, woda, upadek.
• Np. HDD – punkt krytyczny 55 stopni C
• Sejfy z komunikacją: USB 2, kable do
laptopa.
PC World, VI.09
Najgorsze błędy użytkowników peceta. Jak
zdemolować komputer
• Stosowanie dwóch antywirusów
jednocześnie
• Utrata dostępu do zaszyfrowanych zasobów
• Wyłączanie automatycznej aktualizacji Windows
• Pozbywanie się aplikacji przez usuwanie folderów
• Bezmyślne testowanie oprogramowania
• RAM z różnych źródeł
• Przepełnienie HD
• Eksperymenty w BIOSie
• Przetaktowywanie
PCWorld, maj 2010
• Brak kontroli temperatury
The Business Software Alliance is the foremost
organization dedicated to promoting a safe and legal
digital world. BSA is the voice of the world's commercial
software industry before governments and in the
international marketplace. Its members represent the
fastest growing industry in the world. BSA educates
consumers on software management and copyright
protection, cyber security, trade, e-commerce and other
Internet-related issues. BSA members include Adobe,
Apple, Autodesk, Avid, Bentley Systems, Borland, CNC
Software/Mastercam, Internet Security Systems,
Macromedia, Microsoft, Network Associates and
1. Korzystaj z Sieci ostrożnie „milczenie jest złotem‖
2. Uważaj na cookies
3. Jeśli nie wiesz po co Stronie dane nie podawaj ich
4. Jeśli koniecznie chcą danych - spytaj webmastera po
co?
5. Każda Strona gromadząca osobiste dane powinna
mieć jawną „politykę prywatności‖
6. Używaj programowych zabezpieczeń swoich zasobów
Technologia rozwiąże 60%
problemów, edukacja 20 –
pozostałym może zaradzić tylko
dobre prawo
Krzywe zwierciadło
Internet, dzięki względnej anonimowości,
jest jak krzywe zwierciadło – odbija
naszą rzeczywistość ukazując, ukryte na
co dzień, wypaczenia, kompleksy i
paskudztwa codziennego życia