Vitajte na stránke informatikaa.wbl.sk v sekcii Počítačová bezpečnosť
Úpravu tohto bloku zahájite dvojklikom...
Bezpečnosť počítačových dát
¨Pred čím chrániť počítačové dáta
– pred stratou,
– pred poškodením a zničením,
– pred prístupom nepovolaných osôb k nim,
– pred ich úmyselnou zmenou
¨Možné rizika
– Neúmyselné zmazanie dát
– Počítačové vírusy
– Fyzické zničenie médií
Prečo strácame svoje dáta
¨ Ku strate dát môže dôjsť hocikedy, i pri malom technickom probléme
¨ Spôsob ako prísť o dáta sa dá rozdeliť na 3 hlavné kategórie
– technický faktor (7% podiel),
– prírodný faktor – (8% podiel),
– ľudský faktor – (85% podiel).
¨ Pokiaľ sa to stane, nie je dobré problém riešiť bez odbornej pomoci
¨ Možnosť obnovy dát aj v zdanlivo beznádejnej situácií je niekedy až až 90%
¨ Tieto služby vykonávajú špecializované firmy, ktoré majú skúsenosti takéto situácie riešiť
¨ Ich služby nebývajú lacné, ale v určitých situáciách sú na nezaplatenie
Ľudský faktor - 85%
¨ Útoky vírusov – v súčasnej dobe jedna z najväčších hrozieb. Počítačové vírusy môžu často zapríčiniť zničenie či znehodnotenie veľkej časti dát.
¨ Nedbalosť či chybný postup – neznalý alebo zmätený používateľ môže často spôsobiť väčšie škody než útok
vírusov.
¨ Cielený útok, sabotáž – táto kategória patrí medzi najzákernejšie. Pokiaľ je útok dobre zamaskovaný, môže sa na stratu dát prísť až vo chvíli, keď sú potrebné, čo niekedy môžu byť týždne, mesiace či dokonca roky.
¨ Krádež – pri krádeži samozrejme okrem totálnej strate dát hrozí tiež ich zneužitie.
Prírodný faktor – 8%
¨ Blesk počas búrky a následné predpätie v elektrických rozvodoch, povodeň, alebo požiar urobia svoje
¨ Väčšinou nejde o pravidelne sa opakujúce úkazy, napriek zlej ovplyvniteľnosti sa tomuto prírodnému faktoru brániť
napríklad pomocou UPS s bleskopoistkami a odvádzačom predpätia či pomocou pravidelného zálohovania s umiestnením záloh mimo daný objekt (napr. v inej pobočke firmy).
Technický faktor – 7%
¨ Medzi chyby technického faktoru patria: chyby aplikácií, výpadok napájania, únava materiálu hardwaru, chyba pevného disku alebo preťaženie systému.
¨ Chybám technického faktoru sa dá vo veľkej miere predchádzať
– inštaláciou zdrojov záložného napájania (tzv. UPS),
– pravidelným zálohovaním dát na odlišné typy dátových médií (napr. pravidelným napaľovaním na DVD)
– používaním diskového poľa RAID, kde sa dáta môžu zrkadliť na viac jednotlivých diskov.
Najčastejšie dôvody straty dát
¨ Spoločnosť Kroll Ontrack, zaoberajúca sa problematikou záchrany dát publikovala štatistiku 9 najčastejších dôvodov
straty dát
– Zmazanie súboru alebo e-mailu omylom alebo činnosťou počítačového víru
– Strata všetkých dát na jednom počítači v dôsledku útoku víru
– Fyzické poškodenie počítača – pád z výšky, voda pri polievaní kvetov či teplotné extrémy apod.
– Zlyhanie pevného disku
– Spálená elektronika hardwarových komponentov alebo pevného disku
– Poškodení čítacích hláv pevného disku alebo iné fyzické poškodení pevného disku
– Externí poškodenie pevného disku – ako bod 3, ale vrátane mechanického poškodenia pevného disku
– Zlyhanie diskového poľa RAID
– Zničenie dát a hardwaru vinou prírodnej katastrofy
Záloha dát – „backup“
¨Slúži na rýchle obnovenie stratených dát
– Nutnosť mať zálohu na nezávislom médiu mimo pc, najlepšie na niekoľkých, podľa dôležitosti
¨Archívacia dát – podobné ako záloha sa dáta prenesú na nezávislé médium, rozdiel je, že sa tak odkladajú už nepotrebné dáta uzavretých prípadov s možnosťou vyhľadania tej onej informácie - archív
Čo potrebujeme na zálohu dát?
¨zálohovacie zariadenie,
¨zálohovacie médium,
¨zálohovací softvér,
¨zálohovacie návyky.
Zálohovacie zariadenie
¨ považujeme každé periférne zariadenie vonkajšej pamäte počítača, ktoré je schopné uložiť veľké
množstvo (pre domáce účely rádovo stovky MB, pre firemné účely rádovo desiatky GB) dát.
– mechaniky CD-RW (napaľovačky, CD-RW drives),
– DVD ReWritery (DVD napaľovačky)
– mechaniky ZIP (ZIP drives)
– veľkokapacitné zálohovanie (zálohovanie desiatok gigabajtov naraz) sú to páskové mechaniky
Zálohovacie médiá
¨ líšia nielen svojou kapacitou, ale aj trvanlivosťou, odolnosťou či cenou za zálohovaný megabajt dát
¨ najdrahšie zálohovanie - disky ZIP – použitie – iba prenos dát medzi počítačmi
¨ veľmi lacným, trvanlivým a odolným uchovávateľom dát - CD médiá (ale nízka kapacita)
¨ drahšie, ale takmer desaťkrát kapacitnejšie ako ich CD predchodcovia - DVD médiá
¨ Na pásky sa v súčasnosti dá zálohovať naraz až 200 GB dát, sú však odolnejšie voči tepelným a elektromagnetickým vplyvom ako CD a DVD médiá.
¨ Aby boli zálohované dáta v bezpečí, treba ich okrem prístupu nežiadúcich osôb chrániť aj pred ohňom, mrazom,
horúčavami a vplyvom elektromagnetických polí rôznych zariadení.
Zálohovací softvér
¨ je program, ktorý by okrem kopírovania dát z počítača na zálohovacie médium mal vedieť
napríklad aj:
– šifrovať a dešifrovať dáta (data encryption), aby sa vyhlo zneužitiu údajov v prípade, ak sa zálohovacie médium dostane
k nepovolaným osobám;
– kontrolovať správnosť uložených dát, aby sa predišlo takému uloženiu dát, pri ktorom by boli dáta neskôr pri obnove
nepoužiteľné;
– kontrolovať správnosť prenosu dát na zálohovacie médium, aby sa nestal prípad, že sa dáta uložia zle alebo sa nebudú vedieť spätne prečítať;
– podporovať rôzne typy vysokokapacitných databáz;
– zálohovať dáta aj počas plnej prevádzky počítačov, na ktorých sa dáta nachádzajú;
– vysporiadať sa s prípadnými poruchami a haváriami na počítačoch, na ktorých sa používa;
Zálohovacie návyky
¨ rozumieme to, ako často, na aké média, akým softvérom a pri akej zodpovednosti si firmy či domácnosti zálohujú svoje dáta.
¨ Automatické „backupy“ – v noci
Predchádzanie straty dát - Technológia RAID
¨ RAID (Redundant Array of Independent Disks – redundantné pole nezávislých diskov), ktorá pracuje na základe zoskupenia minimálne dvoch (3,4...) pevných diskov do menšieho počtu (1, 2...) logických
diskov, navonok vystupujúcich ako fyzických pevných diskov.
¨ Existuje viacero úrovní technológií RAID (RAID 0, RAID 1, RAID 5, RAID 1-0 a iné), ktoré sa navzájom líšia napríklad aj tým, či sú dáta chránené proti výpadku jedného z diskov alebo nie.
¨ RAID 0 = 1 logický pevný disk z viacerých diskov, dáta na ňom však nechráni voči poruche hociktorého z nich.
¨ RAID 1 = zrkadlenie
¨ RAID 5 = min. 3-ma pevnými diskmi, pričom z každého disku je 1/3 použitá na duplicitné uloženie dát z iného fyzického disku, čím sa logický celok stáva odolným voči výpadku hociktorého z fyzických pevných diskov, prípadne môžeme hociktorý fyzický pevný disk vybrať z počítača počas jeho plnej prevádzky bez toho, aby sa
obmedzila plná dostupnosť všetkých dát.
¨ Technológia RAID sa používa najmä pri počítačových servroch, má však budúcnosť aj pri osobných počítačoch.
Bezpečnosť prístupu k dátam
¨ Možnosti napadnutia
– priamo v počítači príslušnej povolanej osoby,
– cez firemnú sieť,
– cez pripojenie pomocou Internetu
¨ Ochrana
– prístupové bezpečnostné prvky (hesla), OS
– firewall, šifrovaný prenos údajov
– bezpečnostná politika
– fyzické zabezpečenie
– dodržiavanie bezpečnostných princípov – sociálne inžinierstvo
Napadnutie PC
¨ počítačové infiltrácie – napadnutie počítača z „vonku“
– Malware
• počítačové vírusy
• trójske kone
• spyware
• adware
• dialer
– Priame vniknutie – hacking
– Kombinácie
Malware - malicious software
¨ Spyware - program, ktorý využíva Internet k posielaniu dát z počítače bez vedomia používateľa
¨ Kradnuté sú iba „štatistická“ dáta, napr. prehľad navštívených stránok či nainštalovaných programov
¨ Tato činnosť býva zdôvodňovaná snahou zistiť potreby, záujmy používateľa a tak informácie použiť pre cielenú reklamu
¨ Nikto však nedokáže zaručiť, že informácie alebo táto technológia nemôže byť zneužitá.
¨ Dôležitým poznatkom je, že spyware sa šíri spoločne s množstvom sharewarových programov a vedomím autorov
Dialer – mení dial up pripojenie
¨ bežné telefónne číslo pre internetové pripojenie presmeruje na číslo, kde je vysoká minútová tarifikácia
¨ V niektorých prípadoch sa tak stane úplné nenápadne alebo automaticky, najmä ak obeť používa zle nastavený alebo
výrobcom zle zabezpečený internetový prehliadač.
¨ Dialer sa môže na počítač dostať návštevou určitých stránok (často pornografických) napríklad pomocou
technológie ActiveX, takže problémy majú najmä požívatelia Internet Exploreru.
¨ V inom prípade môže ísť o nenápadný spustiteľný súbor (.EXE), ktorý je nič netušiacemu používateľovi vnútení ku
stiahnutiu klasickým dialogem.
Dialer II
¨ Druhú hlavnú čásť dialera tvorí psychologické prevedenie, tj. spôsob, akým bude informácie o skvelých možnostiach
služby podaná používateľovi.
¨ Či bude vôbec spomenutá cena takejto služby, prípadne, v akej forme (dobre viditeľné, alebo napr. mimo viditeľnú
časť stránky malým písmom).
¨ Dialer môže existovať v niekoľkých formách: od legálnych až po ilegálne (bez dohody, tichá inštalácia bez zobrazenia
akejkoľvek informácie).
¨ Aj legálna forma dialeru môže nakoniec spôsobiť používateľovi problémy v tom, že zverejnené informácie
boli napríklad v nejakom exotickom jazyku.
Adware
¨ produkt, ktorý znepríjemňuje prácu s počítačovou reklamou.
¨ typickým príznakom sú vyskakujúce (pop-up) reklamné okna počas surfovania, spolu s vnucovaním stránok (napr. štart stránka Internet Exploreru)
¨ Časť Adware je sprevádzaná tzv. EULA (End User License Agreement) – licenčnou zmluvou. Používateľ
tak v množstve prípadov musi súhlasiť s inštaláciou.
¨ Adware môže byť súčasťou niektorých produktov (napr. KaZaa, μtorrent).
¨ Pokiaľ nás reklama sprevádza behom celej činnosti s daným programom, odmenou je väčšie množstvo
funkcií, ktoré nie sú v bezplatnej verzií (bez reklamy) dostupné.
Počítačové vírusy I.
¨ Vírus je úmyselne umelo vytvorený, potenciálne
vykonateľný počítačový kód, ktorý je nasilu
vložený do pôvodne bezpečného počítačového
súboru (parazituje na inom počítačovom kóde),
po samotnom vykonaní (spustení infikovaného
programu) sa množí do kódov iných programov
a za určitých podmienok môže vykonať rôzne
neželané, jednorázové či opakované operácie.
¨ Cieľom vírusu môže byť napr. vyrušovanie
užívateľa počítača pri činnosti, častejšie však
poškodenie či zničenie dát uložených na počítači.
Počítačové vírusy II.
¨ Poškodenie počítačového hardvéru vírusom je
prakticky nemožné.
¨ Motívom pri tvorení vírusu môže byť zábava,
dokazovanie si programátorských kvalít, pomsta,
vyrovnávanie sa s pocitom menejcennosti či inými
negatívnymi emóciami.
¨ Vírusy môžeme členiť podľa
– spôsob, akým sa vírus dostal do počítača,
– čo (ktoré počítačové programy a dáta) vírus napáda
a poškodzuje.
Počítačové vírusy III.
¨Cesta ako sa dostane vírus do PC
– Všetky vonkajšie pamäťové média
– Sieť – obsah www, email a prílohy emailu
¨Kam sa vírus ukladá
– Vonkajšej pamäte počítača – vykonávajú
neželanú činnosť – odstránenie – zmazanie
kódu (napadnutého súboru)
– vnútornej pamäte počítača - rezidentné vírusy –
zavádzajú sa po spustení
Boot vírusy
¨ boot sektor – obsahuje každé vonkajšie pamäťové
médium (ak počítač hľadá na disku operačný
systém, tak práve a iba v tomto sektore)
– partície (partition) – pri pevnom disku - informácie
o tom, ako je plocha pevného disku logicky
porozdeľovaná (napr. aj informáciu o tom kde je
uložený boot sektor).
¨ Boot virus (bootovací vírus) ukladá sa do týchto
oblastí ľubovoľného média a ak po spustení bude
počítač hľadať operačný systém na danom médiu,
nájde vírus, ktorý sa spustí a nakazí boot sektor
hard disku počítača.
¨ Ochrana – vhodné nastavenie BIOSU
Exe, bat vírusy – trojské kone
¨ Patria k najčastejším – napadajú spustiteľné
súbory (súbory s príponami com, exe a bat) a im
podobné súbory (napr. ovládače rôznych zariadení
– súbory s príponou sys)
¨ Tieto vírusy sa po spustení infikovaného súboru
a uložení v operačnej pamäti (nakazení počítača
rezidentným vírom) ukladali do tela všetkých
zdravých spustených súborov s príslušnou
koncovkou.
¨ Pomerne ľahké odhalenie a odstránenie, nutné
však infikovaný program preinštalovať
Stealth, adresárové a polymorfné
vírusy
¨ Stealth vírusy
– odolné voči antivírovým programom, sledujúcim
zmenu veľkosti súborov
– prekopírujú pôvodný nenapadnutý súbor na iné miesto
na hard disku a programy sledujúce veľkosť
napadnutého súboru odkážu na adresu pôvodnej kópie
¨ Adresárové vírusy
– napádajú logické rozčlenenie diskov
¨ Polymorfné vírusy
– Odolné proti antivírovým programom hľadajúcim kódy
známych vírusov
– priebežne menia svoj kód, ktorý potom v rôznych
napadnutých súboroch nie je identický.
Makro vírusy
¨Môžu napadať vďaka Internetu i súbory,
ktoré boli predtým bezpečné z hľadiska
napadnutia
¨Ukladajú sa do makra (program jazyka
VBA – word, excel, ...)
¨Spôsobujú škody na súboroch daných typov
¨Ochrana – zabezpečenie spúšťania
neznámych makier – podpísané makra
Zásady ochrany pred vírusom
¨ Použitie antivírového programu – pravidelne
aktualizovaného a rezidentné spusteného
¨ Zásada neotvárať maily od neznámeho zasielateľa,
¨ Zásada sťahovať („downloadovať“) súbory iba
z oficiálnych stránok, napríklad sťahovať si
ovládače hardvéru či voľne šírený softvér iba
zo stránok jeho výrobcu,
¨ Zásada neotvárať a nespúšťať prílohy e-mailov
bez predošlého scannovania,
¨ Zásada neskúšať spúšťať rôzne programy
nachádzajúce sa na médiách vonkajšej pamäti či
na Internete
Bezpečnosť IS – súčasný trend
¨ na báze technológie Intranetu v heterogénnom
prostredí zahrňujúcom Internet
¨ ich prepojenie s finančnými inštitúciami formou
E-bankovníctva, E-obchodu
¨ otvorenosť (informácie dostupné všade a pre
všetkých, ktorí ich potrebujú) ako základný
víťazný princíp Internetu, prináša na druhej strane
sústavné nebezpečenstvo prieniku do systému,
jeho aplikácií a databáz
¨ Problematika bezpečnosti komunikácií v sieťach,
lokálnych, WAN i Internete sa dostáva do centra
pozornosti odborníkov.
Dôvody zabezpečenia IS
¨ ľudský faktor - človek so svojimi chybami, zábudlivosťou,
nepozornosťou, nedokonalosťou... , tvorcovia vírov,
zlodeji, hackeri a pod.
¨ únik alebo strata informácií –stratu strategického náskoku
a nesmierne hospodárske škody
¨ poškodenie, úmyselná alebo náhodná zmena údajov –
zmena údajov, (a to aj neúmyselná) môže spôsobiť
nepredstaviteľné následky. Systém, ktorý pracuje na
základe neúplných alebo nepresných informácií stráca
svoju funkčnosť a efektivitu
¨ riziko zneužitia dát odchytených v procese komunikácie –
k poškodeniu a krádeži dát dochádza najmä počas ich
prenosu.
Základné prostriedky zabezpečenia IS
privátnosť informácií
autentizácia, overovaním totožnosti (elektronické
podpisy, heslá)
neporušenosť prenášaných údajov (integrita)
definovať prístupové práva podľa kategórií
používateľov (autorizácia)
šifrovať údaje počas prenosu (algoritmy ako DES,
RSA)
zálohovať a archivovať dáta
vypracovať systémových opatrení – modelu
bezpečnosti
Hlavné dôvody pre vypracovanie bezpečnostného
modelu informačného systému sú:
¨ legislatíva – existujú rôzne zákony a zákonné normy, upravujúce
oblasť bezpečnosti, ochrany údajov a utajovaných skutočností
(napríklad zákon č. 100 o štátnom tajomstve), akýkoľvek audit
informačného systému vychádza zo štandardov a noriem. Táto oblasť
sa považuje v rámci informačných technológií za veľmi dôležitú,
dostatočne však nerozpracovanú. Preto sa jej venuje v poslednom
období zvýšená pozornosť;
¨ nehoda – keď nastane akákoľvek živelná nehoda alebo bezpečnostný
incident (prienik do systému, zničenie dát, krádež techniky,
dokumentácie, súborov) je zväčša už neskoro plakať nad rozliatym
mliekom. Často však až takéto udalosti privedú manažment k ochote
venovať potrebné prostriedky aj na bezpečnosť systému;
¨ uvedomenie si skutočného významu informačnej bezpečnosti.
Praktické riešenie - Firewall
Ochranná stena predstavuje súbor opatrení určených na
ochranu lokálnej siete.
Zvyčajne sa jedná o počítač, zapojený medzi vonkajšiu
sieť (Internet) a sieť, ktorú chceme chrániť (Intranet).
Ten chráni náš systém nielen pred nepovolanými a
nekorektnými zásahmi zvonku, ale taktiež chráni dáta a
aplikácie vo svojom systéme aj pred škodlivým
softvérom v našom počítači.
V prípade, že nejaký škodlivý softvér nie je odhalený
antivírusom, ani iným programom pre kontrolu
nebezpečného softvéru, stáva sa firewall poslednou
inštanciou.
Firewall - funkcie
je nakonfigurovaný tak, ako má vykonávať kontrolu
komunikácie medzi vnútornou sieťou a vonkajším svetom,
teda má na starosti:
1) filtrovanie údajov,
2) autentifikáciu (overovanie identity) používateľov,
3) autorizáciu (proces overovania oprávnenia) "na niečo",
napr. na prístup do vnútornej siete,
4) zakázanie používania niektorých nebezpečných
programov, kde by sa dalo odchytiť prihlasovacie heslo
používateľa,
5) zakázanie určitých spojení zvonku do vnútornej siete.
Firewall – nastavenie pravidiel
¨ Väčšina firewallu poskytuje dva druhy pravidiel: všeobecné a
špecifické.
¨ Všeobecné pravidla platia pre všetky prichádzajúce alebo
odchádzajúce prenosy
¨ Špecifické pravidla určujú chovanie každej aplikácii zvlášť.
¨ Firewall najprv otestuje paket na dané všeobecné pravidlá a iba pokiaľ
je v nich povolený daný port, overujú sa špecifické pravidla konkrétnej
aplikácie.
¨ U každého pravidla sa dá navyše nastaviť akú akciu má firewall
vykonať.
¨ Nastavuje sa zvlášť pravidlo pre odchádzajúci a zvlášť pre
prechádzajúci paket.
¨ Špecifické pravidla sú veľmi dôležité, pretože inak by sa nedalo
docieliť, aby internetový prehliadač mal povolený prístup k viac
portom ako napríklad jednoduchý aktualizační nástroj nejakej
aplikácie.
Autentifikácia
¨ Najčastejšie – overenie niečoho čo poznáme, patria tu všetky hesla,
piny, prístupové kódy apod.
¨ Heslo by malo byť volené tak, aby ho nepovolaná osoba ľahko
neuhádla, ale zároveň sa dalo bezpečne zapamätať.
¨ Problémom je pohodlnosť ľudí a navyše ľahko zabúdajú. Loginy a
hesla sú príliš krátke alebo inak slabé.
¨ Ak sa zvolí krátke heslo (menej ako 6 až 8 znakov), útočník môže
uspieť takzvaným útokom hrubou silou – vyskúšať všetky možné
kombinácie znakov.
¨ Heslo by tiež nemalo byť zostavené z jedného bežného, zmysluplného
slova. Napríklad hesla telegraf, automobil, počítač a podobná
nahrávajú útočníkovi na smeč takzvaným slovníkovým útokom, keď
systematicky skúša slova niektorého jazyka. Ak sa zvolí heslo dlhé a
krkolomné, určite sa po určitej dobe zabudne
¨ Odborníci preto doporučujú hesla tvorená z fráz, básničiek,
rýmovačiek alebo inak ľahko pamätajúcich sa textov.
¨ Príklad: začiatok pesničky „Deset malejch černoušků mělo rádo med,
jeden z nich se ulízal – zbylo jich devět.“ Ľahko sa pamätá a poskytuje
základ pre bezpečné heslo: 10mcmrm1znsu-zj9.
Biometrika – niečo čo máme
¨ Ďalšími príkladmi autentizačných technológií sú
biometrické systémy
¨ Biometrické systémy overujú totožnosť na základe
niečoho, čo ste.
¨ Patrí sem dobre známe snímanie oka (sietnice, dúhovka),
ruky (otlačok dlane, geometrie ruky), overovanie hlasu
alebo i otlačky prstov.
¨ Skúmať sa dajú nie len fyziologické, ale i vlastnosti
behaviorálne – založené na našom chovaní.
¨ Do tejto kategórie spadá napríklad dynamika podpisu či
dynamika písania na klávesnici.
¨ V súčasnej dobe sú však skúmané ďalšie veľmi zaujímavé
„ľudské otlačky“ – geometrie ucha, DNA alebo tvar ústnej
dutiny. Na ich praktické použití si však budeme musieť
ešte nejaký čas počkať.
Tokeny – pomocné zariadenia
¨ Posledná metóda autentizáce je
založená na tzv. tokenoch
¨ Umožňujú overiť identitu na
základe niečoho, čo máme.
¨ Token - z anglického
„známka“, „znak pravosti“.
¨ Do kategórie tokenov spadajú
napríklad pamäťové alebo
čipové karty, ktorými sa
zamestnanci preukazujú pri
vstupe na pracovisko alebo
pomocou nich je možné vybrať
peniaze z bankomatu.
Autentifikačný údaj
¨ údaj pre vstup, či overenie totožnosti používateľa
IS
¨ 4 typy:
– 1. na základe znalostí používateľa – SH (Statické
heslo) a OTP (One Time Password – Dynamicky meniace
sa heslo)
– 2. na základe charakteristiky overovanej osoby
(biometrika) – otlačok prsta, sietnica, dúhovka, tvar tváre,
hlas, dynamika písania
– 3. na základe vlastníctva rôznych identifikačných
prvkov – čípové karty, magbetické karty, TAN kalkulátory
– 4. digitálny podpis - RSA – metóda súkromného a
verejného kľúča – digitálny a elektronický podpis