výtah z přednášek

STJ

Výtah z přednášek

• prednes5io - UPS• prednes11site - firewally• prednes6sw - antiviry• prednes15bezp_na_Int - viry• prednes13bez - šifrování

a ostatní způsoby ochrany

STJ

Sítě - ochrana dat

• Ochrana dat v síti• 1. proti výpadku proudu - UPS Uninterruptible

Power Source– záložní bateriové zdroje

technologie:– off-line, proud prochází skrze UPS do poč., k přepnutí

na baterii dochází v době výpadku, = kritický moment

• nedokáže komunikovat s poč.

STJ

Hardware - ostatní I/O zař.

– line-interactive, dražší, ovládání na připojeném poč., možnost monitoringu

– on-line technologie , nejdražší

• dodává energii všem připojeným zařízením přímo z baterií, které jsou průběžně dobíjeny

• náročnost na kvalitu baterií

• cena desítky tisíc

• důležitý údaj - doba, po kterou je schopen zásobovat zařízení energií (= 5 - 8 minut chodu na baterie)

STJ


• 2. jméno, heslo, práva uživatelů nastavená správcem sítě

• 3. zálohování disků– zrcadlení (mirroring, pole disků RAID 1), stejný řadič

pro oba disky

– zdvojení disků (duplexing), každý má svůj řadič

– server duplexing, spojeny spec. kabelem

STJ


– obrazy disků (drive image)kopie disku, uloží se do 1 souboru, přenese se na jiný disk (klonování disku)s použitím image uloženého na síť. disku lze náš disk obnovitimage se dá vytvořit nebo obnovit za běhu

STJ


• 4. Firewally

širší smysl: souhrn technických opatření k řízení komunikace mezi chráněnou sítí a vnějším světem

užší smysl: sw balík instalovaný na předsunutém počítači

W XP - automaticky je fw aktivní u každého vytáčeného spojení

STJ


Funkce firewallu– řízení komunikace (selektivní povolení nebo zákaz)– záznam událostí (monitorování provozu v síti)záznam úspěšných i neúsp. pokusů o přístup, + relevantní

detaily (i heslo)– překlad adres (NAT - Network Address Translation) -

mapování množiny vnitřních adres na 1 adresu nebo množinu vnějších adres, vnitřní adresy skryty za jednou adresou

STJ


další fce firewallu:– vytváření dočasných bezpečných (šifrovaných)

komunikačních kanálů = VPN, virtuální spojení, tunelové spojení

(Virtual Private Network)– regulace přístupu interních uživatelů do

Internetu

– vzdálený přístup oprávněných uživatelů

STJ


– autentizace - ověřování totožnosti partnerů

– obsluha síťových služeb - zároveň může fungovat jako nameserver, poštovní server, vyrovnávací server (cache), viruswall

Implementace FW různými způsoby– někdy výkonné unixové servery

– někdy se nazývají proxy servery, proxy brány

– jsou i osobní firewally (Kerio Personal Fw)

STJ

Bezpečnost - viry, antiviry

• viry, největší nebezpečí - změnily svůj charakter– dříve mazaly soubory, šířily se hlavně na disketách– dnes se snaží co nejvíce rozšířit, využívají poštu a bezpečnostní

chyby v softwaru(např. vir Sobig.F, není destruktivní, nemění data, ale může zahltit servery svými kopiemi, velká rychlost šíření)

• 1983 - Fred. Cohen na Pensylvánské univ. použil kód, který se dokázal sám zničit - označil jej termínem virus

STJ


Dělení virů:– podle umístění v paměti (rezidentní - je obtížnější je vytvořit;

nerezidentní - hist. nejstarší)

– podle cíle napadení (bootovací - napadají zaváděcí sektor; souborové - spustitelné programy .COM, .EXE, .BAT, .OVL, .SYS, .BIN; multipartitní = kombinace obou - první byl Tequila, který byl navíc ještě polymorfní a stealth)

– podle způsobu chování (stealth - odviruje pgm „v letu“, tj. při kontrole antivirem se nákaza programu neprojeví - Frodo; polymorfní - vytváří nové kopie, které se neshodují, retroviry -

deaktivují antiviry)

STJ


další škodlivé kódy:– červi (worms)- nevkládají se do jiných programů, nepotřebují

hostitele ke své replikaci, ale jsou ve formě samostatných souborů, které se spustí hned při startu poč., pro šíření využívají služeb sítě, používají pakety

– bomby - (logické, časované, SMS bombery)

– dialer - přesměruje připojení uživatele na jiné číslo s vysokým tarifem

– backdoors -(zadní vrátka) umožňují vzdálenou správu počítače bez vědomí majitele = trojský kůň

STJ


– hoax - není virus, ale e-mailová poplašná zpráva, varuje před virem a vyzývá k šíření, řetězový e-mail

– makroviry - rozšířily se spolu s kancelářskými balíky, napadají datové soubory, dokumenty (Wordu, Excelu, PowerP….) - Conceptjsou nezávislé na platformě a op. systému

– trojské koně - program, který vykonává obvykle očekávanou činnost, ale navíc činnost, o které uživ. nemá ponětí (např. odesílá soubory, zašifruje data a za vydání dešifrovacího klíče vyžaduje výpalné, PWS - Password stealing trojan)

STJ


– viry využívají bezpečnostní díry v programech, např. chyba v kontrole hesla při přístupu ke sdíleným prostředkům v síti (využívá červ I-Worm/Opas)

– tyto díry se vyskytují v každém softwaru

– je třeba instalovat tzv. záplaty

antiviry - pomoc až po nákazefirewally - je-li správně nastaven, může zabránit infekci

předem, odhalí pokusy o průnik– jednodušší FW bývá i součástí antivirového programu– různé programy této kategorie se těžko snášejí

STJ


– firewall obsažený v operač. systému (W XP) je softwarový, chrání pouze poč. na kterém je spuštěn

• nejvíce virů pro W– kdyby byl na 90 % poč. Linux, žádného hackera by

nenapadlo psát viry pro Windows

– problémy se týkají výrazně větší komunity

STJ

Software - Antiviry

• 5. TAPV- AntiviryFunkce:

– jedna část je rezidentní skener, pracuje na pozadí, hlídá práci se soubory

– (skenování = odvozeno od programu Scan)– druhá nerezidentní, spustitelná kdykoliv– prohledávání pevných disků (nyní všechny soubory)– měl by prohledávat i komprimované s.– zabránění otevření infikovaného souboru– desinfekce souborů, případný přesun do karantény

STJ

Software - Antiviry

– odeslání varování správci– kontrola přístupových cest (pošta, Internet)– skenování i odesílané pošty - zabraňuje aut. odesílání

tzv. červů všem, které máme v adresáři– heuristická analýza pro hledání nových virů

hledá v programech techniky používané viryčasto hlásí plané poplachyale dokáže odhalit i viry skenováním nedetekovatelné

STJ

Software - Antiviry

– nutná aktualizace antivirového prog.– dobrý antivir aktualizuje sám sebe, update databáze

virů z Internetu automaticky– problém je šifrovaná komunikace (heslo a klíč)– detekce nových typů průniků - programy, které

monitorují a odesílají stisky kláves, instalovaný spyware (odesílá různé informace o uživateli, ne vždy marketingového charakteru)

STJ

Software - Antiviry

Antiviry– AVG (firma Grisoft Sw, Brno)

– AVAST 32 (Alwil Software)

– VirusScan (McAfee Associates) - omezená podpora komprim. souborů, neskenuje otevřené web. stránky

– Norton Antivirus (Symantec)firma ho prodává i jako součást balíků - firewallový Internet Security

– PC - cillin ( Trend Micro)

STJ

Software - Antiviry

– Kaspersky Antivirus 5.0 PersonalEugen Kaspersky - ruský antivirový odborník

antivir ochrání před běžnými souborovými viry, internet. červy

prohledává 700 typů komprimovaných souborů, ale vyléčí jenom 4 nejznámější typy archivů

má funkci, která pošle podezřelý soubor do laboratoře výrobce antiviru na analýzu

makroviry v MS Office vyhledá pouze dražší rozšířená verze produktu

STJ

Software - Antiviry

– NOD 32 2.0 slovenský antivir (fa Eset)• (Nemocnica na okraji disku)

schopnost detekovat pomocí heuristiky moderní HLL viry (High Level Languages, viry napsané v moderních vývojových prostředích - Delphi, Visual Basic, C++)konkurence zatím nemá tuto detekcinezpomaluje tak počítač

Antiviry používají buď desktopové řešení nebo řešení pro rozsáhlé sítě se stanicemi rozmístěnými po celém světě (F-Secure AntiVirus, nástupce F-Prot)

• aktualizace z Internetu a správa jednotlivých modulů pak probíhá šifrovaně a s el. podpisem

STJ

Bezpečnost na Internetu

Bezpečné chování na Internetu– antivirové programy nezbytností, 1x týdně

aktualizace virové databáze

– uživatel by neměl spouštět neznámé soubory .COM, EXE, BAT, SCR, JS, VBS, PIFani posílat tyto soubory partnerům

– neotvírat soubory v příloze se dvěma příponami - např. NAME.BMP.EXE nebo NAME.TXT.VBS

– instalace nových programů - měly by pocházet od důvěryhodného zdroje, příp. od autora

STJ

Bezpečnost na Internetu

– červi v příloze pošty často používají názvy se sex. podtextem např. PAMELA_NUDE.VBS - neotevírat

– červ jako spustitelný soubor může být maskován jinou ikonou, např. jako obrázek, text

– nepřijímat přílohy od cizích v online chat systémech jako: ICQ, IRC, AOL Instant Messenger

– hesla - používat různá (např. pro přístup k poč., k mailové schránce) a měnit tak 1x za měsíc

STJ

Bezpečnost na Internetu - hesla

Heslo - nejdůlež. prvek ověřovacího mechanismu– autentizační údaje uživatele (jméno a heslo)

– dříve se heslo přenášelo jako otevřený text, nebo jednoduše kódované

– dnes se používají metody jednosměrného kódování v souborech, kde jsou uložena hesla, těžko lze zpětně získat heslo

– je třeba speciální nástroj (jako John the Ripper, nejlepší na luštění Unix. hesel, používá hrubou sílu i slovníkový útok)

STJ


– programy, které dokáží heslo u souboru zjistit: StarSlayer, Password Recovery Suite, ARJ Password Solver, fast Zip Cracker problém nejsou ani PDF soubory

– svými programy pro luštění hesel je známá ruská firma Elcomsoft

– luštění hesel hrubou silouza 1 hodinu lze louskačem vyzkoušet min. 20000 variant, je těžší, když neznáme délku heslapočet možných kombinací závisí na délce heslamělo by mít více než 8 znaků a používat i číslice a speciální znaky (% , #)

STJ


– slovníkově orientované útokyprogram zkouší všechna slova ve slovníku (tak 250000 slov), zkouší i různé velikosti písmenčíslice a speciální znaky v heslech neodhalitelnéna Internetu je asi 120 slovníků

– Unix - síťové systémy, na nichž běží spousta služeb (hesla ke službám, delší čas na prolomení, čeká se na odpovědi)

– systémový soubor s hesly všech uživatelů je častým cílem útoků

– dříve bylo vše v souboru etc/passwd, nyní se používá mechanismus stínových hesel

STJ


– v souboru passwd jsou informace o uživatelích,hesla jsou v souboru /etc/shadow/ten je přístupný pouze správci

• Windows

– soubor .pwl s hesly uživatelů u starších verzík získání hesel lze použít nástroj Cainzdarma, umí zobrazit heslo pod ****zobrazí uložená hesla, atd.

– u nových verzí W (2000, XP) je to bezpečnějšíhesla v souboru sami zde existuje program na luštění

STJ

Bezpečnost na Internetu - spam

• Spam - nevyžádaná komerční nabídka– tvoří třetinu z asi 30 miliard ročně rozesílaných zpráv

N na rozesílání jsou minimální

– problém zejména kapacitní, zatěžuje přenosové a úschovné kapacity

– obtížný boj - technologie těžko rozeznává spam od regulérního mailu

– filtry = blokování nevyžádaného, černá listina (80% účinnost)

– opak je bílá listina, propuštění předem domluveného, do seznamu se dají ti, jejichž mail systém propustí

STJ

Bezpečnost dat

• Možnosti ochrany - realizována na několika úrovních

1. ochrana přístupu k počítači

2. ochrana přístupu k datům

3. ochrana počítačové sítě

4. ochrana pravosti a celistvosti dat (tzv. autenticity a integrity)

STJ

Bezpečnost dat - hw ochrana

• 1. Ochrana přístupu k počítači– hardwarová ochrana - bývá dražší, ale bezpečnější

většinou přídavné bezpečnostní karty, mají vlastní modul BIOS a mohou provádět opatření ještě před startem op. systémumohou modifikovat data na disku tak, že po vyjmutí karty z počítače jsou nepřístupná

– další možnost = diskové šifrování za pomoci procesoru nebo dokonce kryptoprocesoru (příp. kryptoakcelerátoru)

STJ

Bezpečnost dat - pojmy

• Ochrana přístupu k počítači– čistě softwarová řešení - někdy též ještě před startem

op. systému nebo při přihlašování do systému

• Pojmy:– kryptografie tvorba šifer– kryptoanalýza jejich luštění bez znalosti klíče– kryptologie obě vědy současně– šifrovací algoritmus - mat. funkce, která provádí šifrování a

dešifrování dat– šifrování - proces znečitelnění dat

STJ

Bezpečnost dat

• 2. Ochrana přístupu k datům– kryptografická ochrana souborů (adresářů)

nebo disků= šifrování, neustálé prodlužování šifrovacího klíče (např. 2048 bitů)

data budou nečitelná i v případě krádeže diskusilnější než nastavení přístupových práv

– šifruje se též:• elektronická pošta

• komunikace - tvorba virtuální privátní sítě (VPN)

• komunikace webový server - uživatel pro zabezpečení např.

elektronického obchodování.

STJ

Bezpečnost dat

• 3. Ochrana počítačové sítě– nastavena přístupová práva k serverům, adresářům, souborům,

službám– patří sem i firewally– základem je dokument o bezpečnostní politice

napřed se dělá: analýza aktiv - vymezuje, co chránit (data, přenosové kapacity, čas procesoru, diskový prostor)analýza hrozeb - tj. proti čemu chránitanalýza rizik - ohodnocení aktiv a rizik, tj. nalezení zranitelných míst, výpočet očekávaných ztrát, přehled použitelných opatření a jejich cen

STJ

Bezpečnost dat - metody šifrování

• 4. Ochrana pravosti a celistvosti dat– metody digitálního podpisu založené na

asymetrickém šifrování

digitální podpis viz dále

Metody šifrování používané v současné době:asymetrické šifrování= technika šifrování, která pracuje se dvěma nestejnými

klíči - jeden je privátní (utajený), druhý je tzv. „veřejný“ (dostupný každému)každý uživatel vlastní dvojici klíčů, oba jsou na sobě matematicky závislé

= kryptografie veřejnými klíči

STJ


jedna možnost použití:– privátní klíč se použije k zašifrování a veřejný k

odšifrovánínikdo jiný než autor nemůže data zašifrovat

(autentizace)

druhý způsob použití asymetrického šifrování :– naopak veřejný klíč příjemce se použíje k zašifrování

a jeho privátní k odšifrování (určeno pro jednoho příjemce)

Např.:

systém RSA pracuje s asym. klíči (Rivest, Shamir, Adleman)

STJ


nebo řada schémat digit. podpisu

symetrické šifrování

– pracuje se dvěma identickými klíčikaždý lze použít jak pro zašifrování tak i pro odšifrováníobě strany klíč sdílejí předem

– klíč se nesmí dostat do nepovolaných rukoujen odesilatel a příjemce

– použitelné v malé skupině uživatelů

– Příklad systému: DES (Data Encryption Standard)

STJ


• kombinace sym. a asym. šifrování– asym. kryptografie se použije k výměně a distribuci

symetrického klíče, který může být při každé relaci generován nový

STJ

Bezpečnost dat - obecné požadavky

• Obecné požadavky, které by měly být splněny– identifikace a autentizace (často zaměňováno)

je třeba vždy spolehlivě zjistit kdo je kdo - např. odesilatel zprávy (zjistí se z hlaviček přijaté zprávy), autor WWW stránky, žadatel o přístup k nějakému zdroji, atd. …..někdy ještě navíc autentizace = ověření, že údaje zjištěné při identifikaci jsou správné (neboť se dají zfalšovat), ověření identity:

heslempředmětem (dotykové paměti, bezpeč. karty)

STJ

Bezpečnost dat - obecné požadavky

na bázi kontroly fyziologie osoby (otisk prstu, analýza hlasu, charakteristiky sítnice, duhovky) = biometrické systémy ochrany

(např. notebook IBM ThinkPad T42 má integrovanou čtečku otisku prstu)

– autorizace - ověřuje se oprávnění k přístupu ke zdroji nebo k provedení určité aktivity (spuštění programu)

nebo ověření platnosti předkládaného certifikátu autentizovaného subjektu

STJ

Bezpečnost - obecné požadavky

• Obecné požadavky, které by měly být splněny– integrita dat = pravost a celistvost - obsah původních

dat by neměl být pozměněn (může dojít i k chybám při přenosu)

– důvěrnost dat - data přístupná jenom úzkému okruhu subjektů, nebo jenom 1 příjemci (dosaženo symetrickým šifrováním)

– neodmítnutelnost - aby autor nemohl příslušný úkon později popřít (např. zaslání objednávky)

STJ

Bezpečnost - zajištění požadavků

• Jak různé mechanismy zajišťují ( nebo nezajišťují) tyto požadavky?– symetrické šifrování -

důvěrnost, ident., autentizace, neodmítnut., integrita + + + + +

– asym. šifrování - a) je-li použit veřejný klíč k odšifrování, pak se k datům může dostat kdokoliv - požadavek na důvěrnost není takto naplněn

důvěrnost, ident., autentizace, neodmítnut., integrita - + + + +

STJ


– zašifrováno je to privátním klíčem odesilatele, ostatní požadavky splněny

STJ


b) je-li použit veřejný klíč příjemce k zašifrování - může to provést kdokoliv, není zajištěna např. integrita

určeno jen určitému příjemci

důvěrnost, ident., autentizace, neodmítnut., integrita + + - - -

STJ


– jednorázová hesla - (autentizace, autorizace)oprávněný uživatel by měl obdržet generátor těchto heselnapř. styk klienta s bankou první použila Expandia banka jako tzv. elektronické klíče

– předává-li klient bance příkaz, klíč mu vygeneruje číslo

– nyní nemají klienti el. klíč ve fyzické podoběbanka generuje jednorázové heslo sama, pošle ho klientovi jinou cestou (na mobil)

STJ


– jednorázová hesla - pokračováníklient údaj (tzv. certifikační údaj) použije v požadavku na transakciúdaj nelze znovu použít

– kreditní karty na jedno použití - obdoba - jednorázový údaj v roli čísla kreditní kartyautorizovat se bude pouze první požadavek na platbu z této karty

– od banky dostane majitel generátor jednorázových údajů (program)

STJ

Bezpečnost - elektronický podpis

• Co umožňuje:

• - identifikaci partnera

• ….zda je náš partner ten za koho se vydává

• - ochranu obsahu zprávy

• ….el.podpis chrání obsah zprávy díky šifrovacím postupům

• - nepopíratelnost zprávy

• ….el.podpis prokazuje, kdy a kým byla zásilka podepsána a odeslána

STJ


• Na straně podepisující se osoby se z napsané zprávy pomocí vzorkovací (hash) funkce vytvoří otisk zprávy

• ten se šifruje pomocí zvoleného asymetrického algoritmu soukromým klíčem odesílatele

• na straně příjemce zprávy se k otevřenému textu vypočte hash

• pokud jsou hodnoty hash shodné, máme jistotu, že zpráva nebyla cestou změněna a že ji podepsala osoba, které přísluší data pro vytváření el. podpisu

STJ


• Digitální podpis - určení zdroje zprávy

• - privátní klíč šifruje pouze tzv. otisk dat (hash)

• reprezentativní vzorek, který má určitou pevnou velikost např. 128 bitů

• - přiloží se k původní zprávě v roli el. Podpisu (signatura) navíc se přiloží i veřejný klíč autora

• klíče vydává certifikační autorita

• samotný el.podpis nezaručuje důvěrnost zprávy (pokud není její obsah zašifrován veřejným klíčem příjemce, kterému je určena, ten jí odšifruje pomocí svého privátního klíče) - nejsou to primárně systémy pro utajení obsahu

STJ


• Certifikát - kombinace kombinace jména a veřejného klíče podepsaná další důvěryhodnou stranou, zahrnuje i datum vypršení klíče, jméno CA, která certifikát vydala

• zaručený certifikát (pro komunikaci se státní správou): 1.CA. Pošta, eIdentity

• seznam neplatných certifikátů• “nezaručený” certifikát - celá řada firem

výtah z přednášek

Documents