Bezpieczeństwo w sieci. Hacking

Prezentacja na temat: "Bezpieczeństwo w sieci. Hacking"— Zapis prezentacji:

1 Bezpieczeństwo w sieci. Hacking
Dr Przemysław Polański Wykład 12 ECLET

2 „Bezbronna bankowość w Polsce”
Według opublikowanego właśnie raportu firmy AVET INS, dotyczącego bezpieczeństwa w bankowości elektronicznej, wszystkie zbadane serwery były podatne na atak włamywaczy skierowany przeciw oprogramowaniu szyfrującemu dane. To oznacza, że najbardziej poufne informacje o klientach mogą zostać - przynajmniej teoretycznie - ujawnione. Badanie AVET INS - przeprowadzono dwukrotnie: w marcu i maju tego roku - obejmowało komponenty SSL (do szyfrowania danych) oraz PHP (do tworzenia dynamicznych stron WWW). Wyniki okazały się szokujące proc. serwerów jest niezabezpieczonych przed atakami skierowanymi na oprogramowanie szyfrujące, natomiast 50 proc. miało lukę w elementach oprogramowania PHP, która umożliwiała włamanie. Dr Przemysław Polański ECLET 2006

3 Bezbronna bankowość w Polsce
Podobne wyniki, świadczące o nieprzygotowaniu systemów informatycznych w polskich przedsiębiorstwach, firma AVET INS uzyskała po sprawdzeniu serwerów internetowych Apache. Stanowią one większość na rynku światowym (ok. 56 proc.), natomiast w Polsce obsługują ok. 70 proc. przedsiębiorstw. Niewiele ponad 5 proc. serwerów Apache w Polsce było odpornych na potencjalny atak - twierdzą autorzy raportu AVET INS. Nie wiadomo, ile włamań Dane te nie informują jednak, ile ataków rzeczywiście miało miejsce. Większość prowadzonych na świecie badań bezpieczeństwa systemów informatycznych w przedsiębiorstwach opiera się na zgłoszeniach użytkowników i właścicieli. Przedsiębiorstwa decydują się na nieujawnianie takich informacji w obawie, że zachwieje to ich pozycją. Dr Przemysław Polański ECLET 2006

4 Bezbronna polska bankowość
Nie wszystkie ataki włamywaczy są od razu widoczne - np. w postaci zmienionej strony WWW. Sprytniejsi przestępcy potrafią przez długi czas ukrywać fakt uzyskania dostępu do systemu IT przedsiębiorstwa, zbierając informację o firmie i jej klientach - w tym również dane mogące bezpośrednio prowadzić do strat finansowych. Amerykańska FBI oraz SANS Institute opublikowały liczącą 20 pozycji "czarną listę" luk w systemach informatycznych przedsiębiorstw. Jak twierdzi Debbie Weierman z FBI, te same "dziury" wykorzystają zarówno hakerzy, jak i autorzy wirusów. Co zaskakujące, większość błędów jest doskonale znana i administratorzy wiedzą o ich istnieniu. Dr Przemysław Polański ECLET 2006

5 Bezbronna polska bankowość
Najczęstszą przyczyną pozostawiania ich w systemie jest jednak niewłaściwa konfiguracja oprogramowania oraz nieinstalowanie odpowiednich "łatek", oferowanych przez producentów oprogramowania. - Większość najsłynniejszych udanych ataków opiera się na wykorzystywaniu zaledwie kilku, dobrze znanych, luk w zabezpieczeniach - uważa Weierman. - W ciągu roku odnotowujemy statystycznie ok. 6 poważnych problemów - dziur w systemach, które mogą prowadzić do włamań - powiedział "Rz" Aleksander Czarnowski z AVET INS. - Do chwili obecnej zidentyfikowaliśmy dopiero 3. Należy się jednak spodziewać, że z każdym rokiem liczba luk będzie rosnąć. Na całym świecie rocznie identyfikowanych jest ok. 2 tys. dziur w systemach informatycznych.” Piotr Kościelniak, , Rzeczpospolita Nr 149 Dr Przemysław Polański ECLET 2006

6 Część I. Bezpieczeństwo w Internecie. Hacking

7 Rola zabezpieczeń w sieci
Poczucie braku bezpieczeństwa w sieci jest jednym z najpoważniejszych powodów spowalniających rozwój Internetu i idei e-governmentu Szczególne zabezpieczenia potrzebne są przy: Transferze danych osobowych Transferze pieniędzy Dr Przemysław Polański ECLET 2006

8 Bezpieczeństwo w sieci
Internet nie jest uważany za bezpieczny ponieważ został zbudowany przez badaczy aby udostępniać informacje – a nie by sekretnie wymieniać się informacjami. Dr Przemysław Polański ECLET 2006

9 Problemy Ludzka ignorancja
Niemożliwość kontrolowania wszystkich komputerów podłączonych do Netu Błędy w oprogramowaniu Załączniki owe Instant messaging Packet sniffing Dr Przemysław Polański ECLET 2006

10 Terminologia (głównie angielska)
White hat hackers Black hat hackers Script kiddies Samurai Insider Cracker Wirusy Trojany Worms Phreaker Wardriving Phishing Dr Przemysław Polański ECLET 2006

11 Hakerzy W latach 70-tych komplement dla super programistów, którzy potrafili szybko stworzyć eleganckie rozwiązanie trudnego problemu Dziś termin ten jest używany dla określenia osób, które włamują się do komputerów użytkowników z różnych powodów Dla pieniędzy, radości, sławy albo aby oczernić firmę czy osobę lub opublikować informacje o wadach systemu. Dr Przemysław Polański ECLET 2006

12 Techniki hackerskie Kradzież hasła Zgadywanie
Pozostawione informacje na biurku, notatki Śmietnik Podpatrzenie Packet sniffer Rola inżynierii społecznej Ataki typu DDoS Przepełnienie pamięci Dr Przemysław Polański ECLET 2006

13 Dwa rodzaje hackerów Prawdziwi hackerzy dzielą się na:
White-hat hackers (Białe kapelusze) Black-hat hackers (Czarne kapelusze) Obie grupy nie znoszą tzw. script kiddies – amatorów wykorzystujących powszechnie dostępne w sieci oprogramowanie do włamywania się do cudzych komputerów Dr Przemysław Polański ECLET 2006

14 Białe kapelusze Mają kodeks etyczny: Brak szkodliwości
Nie można czerpać zysków z hackingu Programy i informacje powinny być udostępnione publicznie bo stanowią dobra intelektualne, które powinny być powszechnie dostępne Dr Przemysław Polański ECLET 2006

15 Czarne kapelusze Włamują się do komputerów aby dokonać zniszczeń lub kradzieży Kim z reguły są? Szpiedzy pracujący dla rządów lub dużych firm Lubiący tworzyć problemy Cyberterroryści „Samuraje” Są niebezpieczni ze względu na bardzo wysoki poziom umiejętności Dr Przemysław Polański ECLET 2006

16 Ostatnie kazusy Ostatnio, Brian Salcedo został skazany w USA na 9 lat za próbę hackingu aby skraść dane dotyczące kart kredytowych od Lowe's Home Improvement Najwyższy wyrok w historii USA za przestępstwo komputerowe Kevin Mittnick – tylko 5.5 roku Dr Przemysław Polański ECLET 2006

17 Wardriving Hacking do sieci bezprzewodowych Bardzo modne ostatnio
W USA zaczęto już ścigać… Dr Przemysław Polański ECLET 2006

18 Phishing Phishing = kradzież osobowości (oszustwo)
Z reguły oparty o a, które podszywają się za znaną firmę aby zdobyć cenne informacje W USA w 2004 ponad 1.8 miliona ludzi padło ofiarami phishingu. US Federal Trade Commission. W grudniu otwarto PhishNet aby zapobiegać phishingowi Dr Przemysław Polański ECLET 2006

19 Pracownicy Najgroźniejsi Mają dostęp do ważnych informacji
Dużo trudniejsi do złapania niż hackerzy bo tamci muszą się najpierw włamać In July 1996 Omega Engineering Corporation fired a chief programmer Tim Lloyd The weeks later a software bom detonated erasing the mission-critical software that guided robots which cost Omega $12 millions dollars and 80 employees Lloyd was convicted of computer fraud for 3 years imprisonmnent and $2 million in restitution Dr Przemysław Polański ECLET 2006

20 Wirusy Wszyscy wiedzą chyba o co chodzi…
Pierwszy wirus został napisany 2 listopada 1988 roku przez 23 letniego Roberta Morrisa w USA Miał powoli wykorzystać znane wady w systemie UNIX, ale poprzez wadę w programie zaczął się bardzo szybko rozprzestrzeniać Uniemożliwił pracę 1/10 Internetowi w tym czasie Dr Przemysław Polański ECLET 2006

21 Struktura wirusa Dr Przemysław Polański ECLET 2006

22 Rola oprogramowania antywirusowego
Dziś to obowiązek aby wszystkie komputery – i rządowe i zwykłych ludzi posiadały oprogramowanie antywirusowe! Dr Przemysław Polański ECLET 2006

23 Ataki unieruchamiające serwis internetowy
DOS Distributed Denial of Service (DDOS) Technika hackerska Sposoby walki Dr Przemysław Polański ECLET 2006

24 Część 2. Szyfrowanie i inne techniki bezpieczeństwa

25 Kilka sposobów Właściwe oprogramowanie Antywirus Brama ogniowa
Luki w oprogramowaniu Antyszpiegowskie programy Rozwaga przy podawaniu informacji Utrzymywanie haseł Stosowanie szyfrowania Podpis elektroniczny Dr Przemysław Polański ECLET 2006

26 Szyfrowanie Symetryczne i asymetryczne
Symetryczne używa tego samego klucza do szyfrowania i deszyfrowania. Jest bardzo szybkie Asymetryczne używa różnych kluczy do szyfrowania i odszyfrowywania. Jest dużo wolniejsze od symetrycznego Dr Przemysław Polański ECLET 2006

27 Asymetryczne szyfrowanie
Asymetryczne algorytmy szyfrujące są bardziej skomplikowane Najbardziej popularny wymyślony w 1976 przez Rivesta Shamira i Adelmana (RSA) Wykorzystuje dłuższe klucze z reguły 1024 bitowe Wielkim plusem jest uniknięcie przekazywania klucza Minusem fakt, że jest 1000 razy wolniejsze od symetrycznego Dr Przemysław Polański ECLET 2006

28 Asymetryczne szyfrowanie
Klucze dystrybuowane są parami Aby zaszyfrować informację: wysyłający szyfruje wiadomość używając publicznego klucza odbiorcy korespondencji Odbierający odszyfrowuje ja używając swojego prywatnego klucza Dr Przemysław Polański ECLET 2006

29 Długości klucza Im dłuższy klucz tym trudniej go złamac
Długość klucza wyznacza ilość jego kombinacji Klucze muszą być odpowiednio przechowywane Długość klucza Ilość kombinacji Czas potrzebny do odszyfr. 32 bits 10 9 Minutes 56 bits 10 16 10 3 years 128 bits 10 38 10 24 years 168 bits 10 50 10 36 years Dr Przemysław Polański ECLET 2006

30 Cyfrowa koperta A gdyby tak zaszyfrować informację najpierw używając symetrycznego klucza a potem Przekazać tylko sam klucz używając infrastruktury klucza publicznego? Rezultatem jest dużo większa wydajność systemu Wykorzystywane w SSL Dr Przemysław Polański ECLET 2006

31 SSL (Secure Sockets layer)
Najważniejszy protokół wykorzystywany w Internecie do zabezpieczania transakcji. Zapewnia 128-bitowe, 56-bitowe lub 40-bitowe szyfrowanie Patrz na kłódkę i napis https w okienku adresowym SSL wymaga certyfikatów cyfrowych tylko po stronie serwera Dr Przemysław Polański ECLET 2006

32 SSL (cont.) SSL bazuje na koncepcji cyfrowych kopert:
Klucz symetryczny (z reguły 128-bitowy lub krótszy) używany jest do szyfrowania wiadomości Klucz publiczny (z reguły 1024-bity lub mniej) używany jest do zaszyfrowania tylko tego klucza symetrycznego. Klucz symetryczny generowany jest tylko dla potrzeb danej sesji internetowej SSL jest bardzo bezpieczny ale nie gwarantuje autentykacji klienta Dr Przemysław Polański ECLET 2006

33 Steganografia Celem jest ukrycie wiadomości w innej wiadomości
Techniki: 24-bitowe (3 bytes) zdjęcia, muzyka itd. Zawierają informacje które chcemy ukryć w tzw. najmniej istotnych bitach – nie wpływają na jakość W efekcie są niezauważalne Używane dla zgodnych i niezgodnych z prawem celów Wirusy, Digital rights systems – watermarking Kryptografia jest sztuką ukrywania zawartości wiadomości, podczas gdy steganografia jest sztuką ukrywania istnienia wiadomości. Steganography Dr Przemysław Polański ECLET 2006