Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo w sieci. Hacking Dr Przemysław Polański Wykład 12 ECLET.

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo w sieci. Hacking Dr Przemysław Polański Wykład 12 ECLET."— Zapis prezentacji:

1 Bezpieczeństwo w sieci. Hacking Dr Przemysław Polański Wykład 12 ECLET

2 ECLET Dr Przemysław Polański Bezbronna bankowość w Polsce Według opublikowanego właśnie raportu firmy AVET INS, dotyczącego bezpieczeństwa w bankowości elektronicznej, wszystkie zbadane serwery były podatne na atak włamywaczy skierowany przeciw oprogramowaniu szyfrującemu dane. To oznacza, że najbardziej poufne informacje o klientach mogą zostać - przynajmniej teoretycznie - ujawnione. Badanie AVET INS - przeprowadzono dwukrotnie: w marcu i maju tego roku - obejmowało komponenty SSL (do szyfrowania danych) oraz PHP (do tworzenia dynamicznych stron WWW). Wyniki okazały się szokujące proc. serwerów jest niezabezpieczonych przed atakami skierowanymi na oprogramowanie szyfrujące, natomiast 50 proc. miało lukę w elementach oprogramowania PHP, która umożliwiała włamanie.

3 ECLET Dr Przemysław Polański Bezbronna bankowość w Polsce Podobne wyniki, świadczące o nieprzygotowaniu systemów informatycznych w polskich przedsiębiorstwach, firma AVET INS uzyskała po sprawdzeniu serwerów internetowych Apache. Stanowią one większość na rynku światowym (ok. 56 proc.), natomiast w Polsce obsługują ok. 70 proc. przedsiębiorstw. Niewiele ponad 5 proc. serwerów Apache w Polsce było odpornych na potencjalny atak - twierdzą autorzy raportu AVET INS. Nie wiadomo, ile włamań Dane te nie informują jednak, ile ataków rzeczywiście miało miejsce. Większość prowadzonych na świecie badań bezpieczeństwa systemów informatycznych w przedsiębiorstwach opiera się na zgłoszeniach użytkowników i właścicieli. Przedsiębiorstwa decydują się na nieujawnianie takich informacji w obawie, że zachwieje to ich pozycją.

4 ECLET Dr Przemysław Polański Bezbronna polska bankowość Nie wszystkie ataki włamywaczy są od razu widoczne - np. w postaci zmienionej strony WWW. Sprytniejsi przestępcy potrafią przez długi czas ukrywać fakt uzyskania dostępu do systemu IT przedsiębiorstwa, zbierając informację o firmie i jej klientach - w tym również dane mogące bezpośrednio prowadzić do strat finansowych. Amerykańska FBI oraz SANS Institute opublikowały liczącą 20 pozycji "czarną listę" luk w systemach informatycznych przedsiębiorstw. Jak twierdzi Debbie Weierman z FBI, te same "dziury" wykorzystają zarówno hakerzy, jak i autorzy wirusów. Co zaskakujące, większość błędów jest doskonale znana i administratorzy wiedzą o ich istnieniu.

5 ECLET Dr Przemysław Polański Bezbronna polska bankowość Najczęstszą przyczyną pozostawiania ich w systemie jest jednak niewłaściwa konfiguracja oprogramowania oraz nieinstalowanie odpowiednich "łatek", oferowanych przez producentów oprogramowania. - Większość najsłynniejszych udanych ataków opiera się na wykorzystywaniu zaledwie kilku, dobrze znanych, luk w zabezpieczeniach - uważa Weierman. - W ciągu roku odnotowujemy statystycznie ok. 6 poważnych problemów - dziur w systemach, które mogą prowadzić do włamań - powiedział "Rz" Aleksander Czarnowski z AVET INS. - Do chwili obecnej zidentyfikowaliśmy dopiero 3. Należy się jednak spodziewać, że z każdym rokiem liczba luk będzie rosnąć. Na całym świecie rocznie identyfikowanych jest ok. 2 tys. dziur w systemach informatycznych. Piotr Kościelniak, , Rzeczpospolita Nr 149

6 Część I. Bezpieczeństwo w Internecie. Hacking

7 ECLET Dr Przemysław Polański Rola zabezpieczeń w sieci Poczucie braku bezpieczeństwa w sieci jest jednym z najpoważniejszych powodów spowalniających rozwój Internetu i idei e-governmentu Szczególne zabezpieczenia potrzebne są przy: Transferze danych osobowych Transferze pieniędzy

8 ECLET Dr Przemysław Polański Bezpieczeństwo w sieci Internet nie jest uważany za bezpieczny ponieważ został zbudowany przez badaczy aby udostępniać informacje – a nie by sekretnie wymieniać się informacjami.

9 ECLET Dr Przemysław Polański Problemy Ludzka ignorancja Niemożliwość kontrolowania wszystkich komputerów podłączonych do Netu Błędy w oprogramowaniu Załączniki owe Instant messaging Packet sniffing

10 ECLET Dr Przemysław Polański Terminologia (głównie angielska) White hat hackers Black hat hackers Script kiddies Samurai Insider Cracker Wirusy Trojany Worms Phreaker Wardriving Phishing

11 ECLET Dr Przemysław Polański Hakerzy W latach 70-tych komplement dla super programistów, którzy potrafili szybko stworzyć eleganckie rozwiązanie trudnego problemu Dziś termin ten jest używany dla określenia osób, które włamują się do komputerów użytkowników z różnych powodów Dla pieniędzy, radości, sławy albo aby oczernić firmę czy osobę lub opublikować informacje o wadach systemu.

12 ECLET Dr Przemysław Polański Techniki hackerskie Kradzież hasła Zgadywanie Pozostawione informacje na biurku, notatki Śmietnik Podpatrzenie Packet sniffer Rola inżynierii społecznej Ataki typu DDoS Przepełnienie pamięci

13 ECLET Dr Przemysław Polański Dwa rodzaje hackerów Prawdziwi hackerzy dzielą się na: White-hat hackers (Białe kapelusze) Black-hat hackers (Czarne kapelusze) Obie grupy nie znoszą tzw. script kiddies – amatorów wykorzystujących powszechnie dostępne w sieci oprogramowanie do włamywania się do cudzych komputerów

14 ECLET Dr Przemysław Polański Białe kapelusze Mają kodeks etyczny: Brak szkodliwości Nie można czerpać zysków z hackingu Programy i informacje powinny być udostępnione publicznie bo stanowią dobra intelektualne, które powinny być powszechnie dostępne

15 ECLET Dr Przemysław Polański Czarne kapelusze Włamują się do komputerów aby dokonać zniszczeń lub kradzieży Kim z reguły są? Szpiedzy pracujący dla rządów lub dużych firm Lubiący tworzyć problemy Cyberterroryści Samuraje Są niebezpieczni ze względu na bardzo wysoki poziom umiejętności

16 ECLET Dr Przemysław Polański Ostatnie kazusy Ostatnio, Brian Salcedo został skazany w USA na 9 lat za próbę hackingu aby skraść dane dotyczące kart kredytowych od Lowe's Home Improvement Najwyższy wyrok w historii USA za przestępstwo komputerowe Kevin Mittnick – tylko 5.5 roku

17 ECLET Dr Przemysław Polański Wardriving Hacking do sieci bezprzewodowych Bardzo modne ostatnio W USA zaczęto już ścigać…

18 ECLET Dr Przemysław Polański Phishing Phishing = kradzież osobowości (oszustwo) Z reguły oparty o a, które podszywają się za znaną firmę aby zdobyć cenne informacje W USA w 2004 ponad 1.8 miliona ludzi padło ofiarami phishingu. US Federal Trade Commission. W grudniu otwarto PhishNet aby zapobiegać phishingowi

19 ECLET Dr Przemysław Polański Pracownicy Najgroźniejsi Mają dostęp do ważnych informacji Dużo trudniejsi do złapania niż hackerzy bo tamci muszą się najpierw włamać

20 ECLET Dr Przemysław Polański Wirusy Wszyscy wiedzą chyba o co chodzi… Pierwszy wirus został napisany 2 listopada 1988 roku przez 23 letniego Roberta Morrisa w USA Miał powoli wykorzystać znane wady w systemie UNIX, ale poprzez wadę w programie zaczął się bardzo szybko rozprzestrzeniać Uniemożliwił pracę 1/10 Internetowi w tym czasie

21 ECLET Dr Przemysław Polański Struktura wirusa Logika reprodukcyjna Logika ukrywania się Kod właściwy

22 ECLET Dr Przemysław Polański Rola oprogramowania antywirusowego Dziś to obowiązek aby wszystkie komputery – i rządowe i zwykłych ludzi posiadały oprogramowanie antywirusowe!

23 ECLET Dr Przemysław Polański Ataki unieruchamiające serwis internetowy DOS Distributed Denial of Service (DDOS) Technika hackerska Sposoby walki

24 Część 2. Szyfrowanie i inne techniki bezpieczeństwa

25 ECLET Dr Przemysław Polański Kilka sposobów Właściwe oprogramowanie Antywirus Brama ogniowa Luki w oprogramowaniu Antyszpiegowskie programy Rozwaga przy podawaniu informacji Utrzymywanie haseł Stosowanie szyfrowania Podpis elektroniczny

26 ECLET Dr Przemysław Polański Szyfrowanie Symetryczne i asymetryczne Symetryczne używa tego samego klucza do szyfrowania i deszyfrowania. Jest bardzo szybkie Asymetryczne używa różnych kluczy do szyfrowania i odszyfrowywania. Jest dużo wolniejsze od symetrycznego

27 ECLET Dr Przemysław Polański Asymetryczne szyfrowanie Asymetryczne algorytmy szyfrujące są bardziej skomplikowane Najbardziej popularny wymyślony w 1976 przez Rivesta Shamira i Adelmana (RSA) Wykorzystuje dłuższe klucze z reguły 1024 bitowe Wielkim plusem jest uniknięcie przekazywania klucza Minusem fakt, że jest 1000 razy wolniejsze od symetrycznego

28 ECLET Dr Przemysław Polański Asymetryczne szyfrowanie Klucze dystrybuowane są parami Aby zaszyfrować informację: wysyłający szyfruje wiadomość używając publicznego klucza odbiorcy korespondencji Odbierający odszyfrowuje ja używając swojego prywatnego klucza

29 ECLET Dr Przemysław Polański Długości klucza Im dłuższy klucz tym trudniej go złamac Długość klucza wyznacza ilość jego kombinacji Klucze muszą być odpowiednio przechowywane Długość klucza Ilość kombinacji Czas potrzebny do odszyfr. 32 bits10 9 Minutes 56 bits years 128 bits years 168 bits years

30 ECLET Dr Przemysław Polański Cyfrowa koperta A gdyby tak zaszyfrować informację najpierw używając symetrycznego klucza a potem Przekazać tylko sam klucz używając infrastruktury klucza publicznego? Rezultatem jest dużo większa wydajność systemu Wykorzystywane w SSL

31 ECLET Dr Przemysław Polański SSL (Secure Sockets layer) Najważniejszy protokół wykorzystywany w Internecie do zabezpieczania transakcji. Zapewnia 128-bitowe, 56-bitowe lub 40-bitowe szyfrowanie Patrz na kłódkę i napis https w okienku adresowym SSL wymaga certyfikatów cyfrowych tylko po stronie serwera

32 ECLET Dr Przemysław Polański SSL (cont.) SSL bazuje na koncepcji cyfrowych kopert: Klucz symetryczny (z reguły 128-bitowy lub krótszy) używany jest do szyfrowania wiadomości Klucz publiczny (z reguły 1024-bity lub mniej) używany jest do zaszyfrowania tylko tego klucza symetrycznego. Klucz symetryczny generowany jest tylko dla potrzeb danej sesji internetowej SSL jest bardzo bezpieczny ale nie gwarantuje autentykacji klienta

33 ECLET Dr Przemysław Polański Steganografia Celem jest ukrycie wiadomości w innej wiadomości Techniki: 24-bitowe (3 bytes) zdjęcia, muzyka itd. Zawierają informacje które chcemy ukryć w tzw. najmniej istotnych bitach – nie wpływają na jakość W efekcie są niezauważalne Używane dla zgodnych i niezgodnych z prawem celów Wirusy, Digital rights systems – watermarking Kryptografia jest sztuką ukrywania zawartości wiadomości, podczas gdy steganografia jest sztuką ukrywania istnienia wiadomości.


Pobierz ppt "Bezpieczeństwo w sieci. Hacking Dr Przemysław Polański Wykład 12 ECLET."

Podobne prezentacje


Reklamy Google