Bezpieczeństwo systemów informatycznych

P o l s k i e T o w a r z y s t w o I n f o r m a t y c z n e

Bezpieczeństwo systemów informatycznych

Redakcja naukowa:

Andrzej Niemiec

Jerzy S. Nowak

Janusz K. Grabara

Bezpieczeństwo

systemów

informatycznych

!*ASÍ'%%■ $*■■ -î "'-À; AÍ ■‘;'^- f-iÄÄ.>-;i : i:u V i f , V / f J ? î* | | |C- a î*

■ » J " .... í ¡ w . ’ , ^ Î 'v.'-

Bezpieczeństwo systemów informatycznych

Redakcja naukowa:

Andrzej Niemiec Jerzy S. Nowak Janusz K. Grabara

Polskie Towarzystwo Informatyczne-Oddział Górnośląski Katowice 2006

Recenzenci:

Prof. dr hab. Aleksander Katkow Prof. P.Cz. dr hab. Henryk Piech Prof. PW, dr hab. Kazimierz Waćkowski

Wydanie publikacji dofinansowane przez

Polską Wytwórnię Papierów Wartościowych SA - Warszawa Copyright ©2006 Polskie Towarzystwo Informatyczne

Oddział Górnośląski

ISBN 10: 83-60810-04-4 ISBN 13: 978-83-60810-04-0

Redakcja techniczna mgr inż. Tomasz Lis, mgr inż. Renata Nowak Projekt okładki Marek J. Piwko

Utwór w całości ani we fragmentach nie może być powielany ani rozpowszechniany za pomocą urządzeń elektronicznych, mechanicznych, kopiujących, nagrywających i innych, w tym również nie może być umieszczany ani rozpowszechniany w postaci

cyfrowej zarówno w Internecie, jak i w sieciach lokalnych bez pisemnej zgody posiadacza praw autorskich.

Polskie Towarzystwo Informatyczne Oddział Górnośląski

40-074 Katowice, ul. Raciborska 3

tel. (0 32 251 9811 ), e-mail: Katowice@pti.org.pl www.katowice.pti.org.pl

Fotokopie, dm k i oprawę

Wykonano w Zakładzie Graficznym Politechniki Śląskiej w Gliwicach zam.402/06

POLSKA WYTWÓRNIA PAPIERÓW

WARTOŚCIOWYCH SA.

PWPW S.A.

W y d a w c y składają podziękowanie

Polskiej W y tw ó rn i P ap ieró w W arto ścio w ych S A za pomoc w w ydan iu niniejszej p u b lik acji

SPIS TREŚCI

C Z Ę Ś Ć 1 - B E Z P IE C Z E Ń S T W O

I Złożoność i kompleksowość narzędzi ochrony systemów komputerowych

Zygmunt Mazur, Teresa Mendyk-Krajewska

II Wprowadzenie do problematyki ochrony krytycznej infrastruktury informacyjnej - projekt europejski C I2RCO

Andrzej Białas

III Ostatnie 10 lat polskiej kryptografii - czas przełomu?

Janusz Cendrowski

IV Jakość i bezpieczeństwo - wymagania i kryteria oceny Leszek Grocholski, Andrzej Niemiec

V Bezpieczne aplikacje .N ET w technologii Web serwisów Jacek Gruber, Jacek Wasylów

V I Bezpieczeństwo systemów sieciowych, praktyczny i edukacyjny punkt widzenia

Maciej Szmit

V II Autoryzacja kart płatniczych w transakcjach internetowych Roman Wantoch-Rekowski

C Z Ę Ś Ć 2 - N O R M Y I JA K O Ś Ć

V III Jakość jako podstawa efektywnego wdrożenia systemu informatycznego

Anna Kaczorowska, Anna Pamuła

IX Informatyczne wsparcie systemów zarządzania jakością w świetle audytów jakości w latach 2002-2005

Krzysztof Jasiorowski, Jerzy S. Nowak, Remigiusz Jasiorowski

X System zarządzania jakością zgodny z ISO 9001 - odniesienie do producentów oprogramowania

Tomasz Greber

177 X I

X II X III

X IV X V

Model cyklu życia oprogramowania przedstawiony w normie ISO /IEC 12207. Ocena jego przydatności dla projektowania dokumentowania i utrzymania systemów zarządzania jakością

w organizacji wytwarzającej oprogramowanie 183 Karol Chrabański

Zarządzanie ryzykiem systemów informacyjnych 193 Franciszek Wołowski

MH^opMarauecKne TexHOJionin KaK HHCTpyMeHT noBbimeHHH

KanecTBa ynpaBJieHuecKoro TpaHC(j)opMaunoHHoro pemeHHa 213 Jlapuca ropduenKO, Bnadimiip )Kyi<apee

Zarządzanie ryzykiem w banku a technologie informatyczne 223 Teresa Kmieć

Czynnik IT w usługach sieci komórkowych 235

Janusz Grabara

CZĘŚĆ 1

BEZPIECZEŃSTWO

R O Z D Z I A Ł I

Z Ł O Ż O N O Ś Ć I K O M P L E K S O W O Ś Ć N A R Z Ę D Z I O C H R O N Y S Y S T E M Ó W K O M P U T E R O W Y C H

Zygmunt M A Z U R , .Teresa M E N D Y K - K R A JE W S K A

Wstęp

Obserwowane w ostatnich latach (wraz z rozwojem sieci globalnej i wzrostem oferty realizowanych w sieciach usług) gwałtowne narastanie liczby i skali zagrożeń, pociąga za sobą konieczność zapewnienia systemom informatycznym maksymalnego bezpieczeństwa na wszelkich możliwych płaszczyznach. Wymaga to instalacji odpowiednich mechanizmów zabezpieczeń (samo oprogramowanie antywirusowe od dawna przestało wystarczać) oraz systematycznego podejmowania szeregu czynności, co stanowi niełatwe zadanie nawet dla zaawansowanych użytkowników. Stosowane środki i metody ochrony zależą od specyfiki sieci, przeznaczenia systemu oraz warunków jego eksploatacji.

Narzędzia ochrony nie powinny zawierać błędów, muszą być odporne na ataki, szybko i niezawodnie reagować na zagrożenia oraz minimalizować udział użytkownika (administratora) w nadzorowaniu bezpieczeństwa systemu.

Zapewnienie wysokiego poziomu ochrony jest zajęciem żmudnym i złożonym.

Bezpieczeństwo systemu komputerowego w dużej mierze zależy od samego użytkownika, jego wiedzy i wymagań w tym zakresie oraz środków, jakie może przeznaczyć na ochronę systemu.

Do niedawna można było mówić jedynie o niezależnych zabezpieczeniach, zaś współpraca dostępnych narzędzi (przy ich jednoczesnym pracochłonnym wdrażaniu i konfiguracji) była niewystarczająca. Obecnie firmy produkujące oprogramowanie ochronne zaczęły ze sobą ostro konkurować w oferowaniu nowych, kompleksowych rozwiązań, obniżając równocześnie ich koszty.

W oparciu o nowe technologie opracowywane są coraz skuteczniejsze narzędzia stwarzające możliwość spójnego zarządzania bezpieczeństwem systemów i sieci komputerowych.

1 Problem bezpieczeństwa systemów operacyjnych

Dla uzyskania wysokiego poziomu ochrony systemu informatycznego bezpieczeństwo systemu operacyjnego i jego komponentów ma bardzo istotne znaczenie. Każdy system operacyjny jest wielozadaniowy, wielowątkowy i wielodostępny, co stwarza dodatkowy problem z zapewnieniem niezawodności jego pracy. Jądro systemu musi być zabezpieczone przed ingerencją programów użytkowych, konieczne jest również izolowanie zadań wykonywanych przez system oraz przez programy użytkowe. Działanie jednych programów, zarówno

11

poprawne jak i niepoprawne, nie może mieć wpływu na wykonywanie innych programów, ani tym bardziej na działanie systemu operacyjnego.

Najpopularniejszymi od wielu lat systemami operacyjnymi komputerów osobistych są Windows i Linux klasy Unix. Systemy te nieustannie są porównywane pod kątem bezpieczeństwa, a zdania na temat ich oceny w tym zakresie są podzielone. Jak wynika z raportu Cyber Security Bulletin 2005 opublikowanego przez C ER T (Computer Emergency Response Team), w 2005 roku wykryto w systemach operacyjnych aż 5198 luk. Zdecydowanie więcej luk wykryto w systemie Linux (2328) niż w systemie Windows (812). Przyczynę tego należy jednak upatrywać w otwartości kodu źródłowego systemu Linux - trudniej jest bowiem odnaleźć lukę w zabezpieczeniach systemu, którego kod źródłowy nie jest opublikowany i dowolnie dostępny (jak to ma miejsce w przypadku systemów Windows). Niestety, znalezione luki nie są usuwane w odpowiednio krótkim czasie. Szybkość reakcji na wykryte wady, funkcjonalność i prostota aktualizacji zabezpieczeń przemawiają na korzyść systemów Windows, jednak przewagą Linuksa jest możliwość rekonfiguracji systemu bez konieczności jego restartu.

Zagadnienie bezpieczeństwa systemu operacyjnego może być rozpatrywane w czterech kategoriach: poufności danych, spójności danych, kontroli dostępu do systemu oraz dostępności danych i usług. Systemy operacyjne mają wbudowane mechanizmy umożliwiające szyfrowanie plików (np. E F S - Encrypting File System w Windows 2003 lub C FS - Cryptographic File System w Linuksie) oraz systemy pozwalające na bezpieczne uwierzytelniania (np.

Kerberos dla Windows), a także na tworzenie bezpiecznych połączeń (obsługujące odpowiednie protokoły, np. IPSec). Ważnym elementem systemu zabezpieczeń w systemach operacyjnych jest mechanizm użytkowników i grup użytkowników stanowiący podstawę stosowania różnych metod kontroli dostępu i uwierzytelniania. Z kolei dzięki monitorowaniu pracy systemu oraz rejestracji zdarzeń (np. w systemie Windows w Dziennikach aplikacji, zabezpieczeń 1 systemu), możliwe jest dokonanie oceny stopnia zagrożenia danego systemu komputerowego.

Do niedawna firma Microsoft, główny producent oprogramowania dla komputerów PC, nie kładła dużego nacisku na bezpieczeństwo systemu operacyjnego i jego komponentów, jednak intensywny wzrost zagrożeń sieciowych obserwowany w ostatnich latach wymusił na firmie zmianę tego stanowiska.

Najnowsze oprogramowanie firmy Microsoft (systemy Windows X P i 2003) wykazują już znaczną poprawę w sferze bezpieczeństwa. Dodatki typu Service Pack dostarczane przez producentów systemu operacyjnego mają na celu przede wszystkim usunięcie wychwyconych błędów, ale mogą także wprowadzać szereg usprawnień i dostarczać dodatkowych narzędzi (tak jest w przypadku Service Pack 2 dla Windows X P ). Firma Microsoft postanowiła położyć większy nacisk na bezpieczeństwo systemu i wprowadziła wiele modernizacji (np. usługi Windows Update) i wiele nowych elementów, takich jak możliwość pobierania poprawek w tle wraz z ich automatyczną instalacją czy mechanizm Centrum zabezpieczeń systemu, który monitorując stan zabezpieczeń dostarcza użytkownikowi informacji na temat stosowanej ochrony (ułatwiając mu tym samym kontrolowanie poziomu

bezpieczeństwa). Wprowadzone rozwiązania nie są jednak wystarczające, bowiem na przykład zapora sieciowa dostarczana z systemem nie monitoruje ruchu wychodzącego, co nie zabezpiecza systemu przed aktywnością szkodliwego oprogramowania, które już zostało zainstalowane. Modyfikacje objęły także przeglądarkę Internet Explorer oraz oprogramowanie do obsługi poczty elektronicznej Outlook Express - których wady wymieniano wśród głównych przyczyn zagrożeń. Przeglądarce dodano możliwość blokowania okienek typu pop­

up1 i ograniczania aktywności kontrolek ActiveX2 oraz wprowadzono zabezpieczenia do mechanizmu pobierania plików (pozwalające zapobiegać ich zapisywaniu lub uruchamianiu; sprawdzana jest też zgodność typu pliku z rozszerzeniem). W programie Outlook Express wprowadzono możliwość blokowania pobieranych z zewnętrznych serwerów plików graficznych, jeśli list w formacie H T M L zawiera do nich odnośniki. Wzmożono też kontrolę dostarczanych z listami załączników.

Wszystkie firmy zajmujące się tworzeniem środowiska operacyjnego bezpieczeństwo systemu traktują priorytetowo. Za cel stawiają sobie bezpieczeństwo platformy już od chwili rozpoczęcia instalacji, optymalność domyślnie przyjętych parametrów zabezpieczeń oraz dostarczanie narzędzi umożliwiających utrzymanie wysokiego poziomu ochrony.

Niestety praktyka pokazuje, że wszystkie niezbędne, wbudowane w system mechanizmy ochrony są jednak niewystarczające i nie można na nich poprzestać.

Instalacja dodatku Service Pack 2 oraz instalacja lat dostarczanych przez producenta nie zwalnia użytkownika od obowiązku stosowania odpowiedniego oprogramowania antywirusowego i antyszpiegowskiego, a wykorzystanie dobrej personalnej zapory sieciowej innego producenta jest możliwe (system dopuszcza takie rozwiązanie) i jak najbardziej wskazane.

2 Systemy wykrywania włamań

Nad bezpieczeństwem w sieci czuwają systemy wykrywania włamań ID S {Intrusion Detection Systems) oraz systemy zapobiegania atakom IP S {Intrusion Prevention Systems). Systemy ID S to złożone układy współpracujących ze sobą mechanizmów, w których znaczącą rolę odgrywają czujniki (sensory, instalowane w różnych miejscach sieci) informujące serwer (administratora) o wykrytych nieprawidłowościach. Dane dostarczone przez czujniki umożliwiają podjęcie decyzji o reakcji na zdarzenie, np. o odłączeniu komputera bądź całej gałęzi sieci.

ID S mogą działać w oparciu o metodę polegającą na porównywaniu analizowanej zawartości pakietu strumienia danych z wzorcami sygnatur ataków zawartymi w bazie danych lub zgodnie z metodą analizy protokołów, w której dokonuje się pełnego dekodowania pakietów w celu wykrycia nieprawidłowości (wszak protokoły funkcjonują według określonych zasad). Istnieją rozwiązania stosujące 1 Okienka pop-up - funkcja stron W W W powodująca otwarcie w przeglądarce internetowej nowego okienka z informacją; technika wykorzystywana do wyświetlania reklamy.

~ ActiveX - technologia dla dodawania multimedialnej zawartości do stron WWW.

13

kilka metod analizy ruchu sieciowego, a sygnatury mogą być modyfikowane przez administratora - co gwarantuje dużą elastyczność narzędzia. Systemy ID S można klasyfikować na pracujące w czasie rzeczywistym i analizujące uprzednio sporządzone raporty systemowe. Mogą bezpośrednio chronić systemy operacyjne, serwery W W W czy bazy danych (model hostowy) lub monitorować cały ruch sieciowy pod kątem nietypowej aktywności (model sieciowy). Istnieją też rozwiązania, w których analizowane są jedynie pakiety adresowane do węzła, na którym urządzenia te pracują, dzięki czemu osiągają dużą szybkość i wydajność.

Trudny do rozwiązania problem stanowią połączenia szyfrowane, zwłaszcza na poziomie aplikacji. Jeśli systemy ID S obsługują strumień danych zaszyfrowanych, ich analiza (dla wykrycia próby włamania) wymaga realizacji w danym węźle procesu deszyfracji, co ma swoje wady. Systemy ID S podejmują złożoną analizę danych, dokonują oceny niebezpieczeństwa, raportują wyniki i umożliwiają reakcję na atak w czasie rzeczywistym. Podstawę do wnioskowania o zaistniałym ataku stanowią informacje o stanie systemu - konfiguracji systemu operacyjnego, stanie usług sieciowych, konfiguracji systemu plików, uprawnienia użytkowników.

Podlegający analizie zbiór zdarzeń może być zapisem działań wykonywanych w systemie, zapisem stanu systemu lub strumieniem pakietów sieciowych. Czujnik posiada też własną dynamiczną bazę zawierającą informację o wcześniejszych działaniach mogących stanowić część złożonego ataku.

Przykładem rozwiązania ID S jest eTrust Intrusion Detection firmy Computer Associates, które posiada zintegrowany moduł skanujący adresy U R L {Uniform Resource Locator), umożliwia przegląd zawartości pakietów TCP/IP w czasie rzeczywistym, a dodatkowo poszukuje wirusów i innych tego typu zagrożeń.

Programowe rozwiązania systemów ID S to złożone oprogramowanie instalowane na kilku hostach sieci. Rozwiązanie może polegać na działaniu wielu

„agentów” monitorujących działania komputerów i przekazujących zebrane dane jednemu „zarządcy” (przekaźnikowi), który kontroluje ich pracę oraz uprawniony jest do włączania, rekonfiguracji i wyłączania pracujących dla niego agentów.

Systemy IP S blokują pakiety, w których zostało wykryte szkodliwe oprogramowanie, nie dopuszczając by dotarły do chronionych zasobów systemu informatycznego.

Systemy wykrywania włamań również kontrolują sieci bezprzewodowe.

Czujniki zarządzane centralnie, umieszczone np. w pobliżu punktów dostępowych, analizują na bieżąco ruch w sieci czuwając nad jej prawidłową pracą. Przykładem systemu IP S dla sieci bezprzewodowych jest system ochrony BlueSecure R F przeznaczony do nadzorowania zarówno małych jak i bardzo rozbudowanych, wykorzystujących setki punktów dostępowych, sieci.

3 Złożoność zadania ochrony komputerów w sieci

Bezpieczeństwo systemów informatycznych wymaga ochrony na wielu płaszczyznach. Wynika to między innymi z różnorodności możliwych ataków, skutkiem których może nastąpić zwykłe zawirusowanie komputera (przy czym

różne wirusy powodują różne szkody), zainstalowanie oprogramowania szpiegującego wszelkie działania podejmowane na komputerze, zablokowanie dostępności usług, czy przejęcie nad komputerem kontroli. Wymagany poziom ochrony systemu zależy od wartości zasobów komputera i roli, jaką odgrywa w sieci, a tym samym stopnia jego zagrożenia, oraz rodzaju realizowanych przez niego usług.

Skutecznie przeprowadzony atak składa się z kilku etapów. Po dokonaniu rozpoznania dla określenia słabych punktów systemu, intruz podejmuje kroki w celu uzyskania dostępu do jego zasobów, po czym stara się on, lub zdalnie zainstalowane oprogramowanie, przejąć nad systemem całkowitą kontrolę, by dokonać różnego typu destrukcyjnych działań (często maskując swą obecność).

Dbałość o bezpieczeństwo systemu należy do głównych zadań administratora;

wymaga odpowiedniej wiedzy i sporego doświadczenia. Zapewnienie wysokiego poziomu bezpieczeństwa systemu informatycznego jest skomplikowanym zadaniem, a wynika to między innymi:

- ze złożoności oprogramowania systemowego i zainstalowanych aplikacji, czego efektem są wykrywane, niestety zwykle zbyt późno, ich wady,

- z problemów związanych z optymalną konfiguracją narzędzi ochrony,

- z potrzeby nieustannej aktualizacji oprogramowania ochronnego (zarówno bazy wzorców jak i silnika),

- z konieczności systematycznego podejmowania działań na rzecz ochrony systemu,

- z czasochłonności wykonywanych operacji.

Same narzędzia przeznaczone do ochrony systemu mogą także zawierać wady i też są narażone na atak. Każdy zainstalowany program może mieć luki, zatem im więcej jest użytkowanych aplikacji i realizowanych usług sieciowych, tym bardziej system jest podatny na zagrożenia. Problem stanowi też niedostateczna świadomość potrzeby ochrony zasobów i niewystarczające przygotowanie użytkowników do administrowania tak złożonym systemem (odnosi się to przede wszystkim do zwykłych użytkowników). Poziom bezpieczeństwa systemu zależy bowiem w dużym stopniu od wiedzy i doświadczenia administratora. Najczęściej popełniane przez użytkowników błędy to: stosowanie nieaktualnych wersji oprogramowania systemowego, jego komponentów i oprogramowania ochronnego oraz pozostawianie otwartych domyślnie portów mimo niewykorzystywania takich usług jak Telnet (Telecommunication N etw orkf czy FT P {File Transfer P rotokolf. Administrator powinien znać stosowane najczęściej sposoby włamywania się do systemu oraz metody, które mogą im zapobiec, a także umieć szybko rozpoznać atak i odpowiednio zareagować, a w razie konieczności potrafić przywrócić stan pierwotny systemu.

Dla skutecznej walki z zagrożeniami sieciowymi istnieje potrzeba stosowania wielopłaszczyznowej ochrony systemu polegającej na jednoczesnym

J Umożliwia zdalne logowanie się na odległym komputerze (zastąpiony mechanizmem SSH {Secure Shell) stosującym szyfrowanie danych kluczem publicznym).

4 Protokół transferu plików z jednego komputera na drugi.

15

wykorzystywaniu wielu mechanizmów przeznaczonych do realizacji różnych zadań. W celu ułatwienia użytkownikom sprostania żądaniom stawianym w zakresie bezpieczeństwa systemów, dąży się do optymalizacji narzędzi ochrony systemów informatycznych poprzez łączenie funkcji realizowanych do tej pory za pomocą odrębnych środków oraz upraszczanie ich użytkowania. Tendencja do łączenia funkcjonalności specjalizowanych narzędzi znajduje uzasadnienie również z powodu powielania wielu działań w poszczególnych rozwiązaniach.

Problem optymalizacji narządzi ochrony systemów informatycznych jest niezwykle ważny, bowiem według analityków z Europejskiego Instytutu Zarządzania liczba ataków za pomocą spamu, oprogramowania szpiegującego oraz koni trojańskich w ciągu najbliższych dwóch lat znacząco wzrośnie (szacuje się, że nawet o 300%).

4 Bezpieczeństwo sieci bezprzewodowych

Coraz bardziej powszechna transmisja bezprzewodowa (zarówno lokalne sieci bezprzewodowe W LA N ( Wireless Local Area Network) jak i dostępność Internetu z aparatów telefonii komórkowej) stawia mechanizmom ochrony nowe wyzwania wobec skali zagrożeń bezpieczeństwa sieciowego.

Sieci bezprzewodowe wykorzystują do transmisji danych fale elektromagnetyczne (radiowe) przesyłane w otwartej przestrzeni, co naraża je na wiele niebezpieczeństw nie spotykanych w sieciach konwencjonalnych. Medium radiowe jest bowiem bardziej podatne na zakłócenia, zatem sieci W LA N wymagają czujnej administracji i szczególnej kontroli. Głównym powodem ataków jest chęć zdobycia poufnych danych lub nieupoważnionego dostępu do Internetu.

Poważny problem stanowi tu tzw. war driving czyli poszukiwanie niezabezpieczonych sieci bezprzewodowych z dostępem do Internetu. W różnych rejonach miasta sprawdzane są pasma częstotliwości za pomocą notebooka lub palmtopa (komputera naręcznego) i w przypadku wykrycia „otwartej” sieci jest to w umowny sposób zaznaczane (nawet np. kredą na murze budynku). Sam proceder wyszukiwania sieci niezabezpieczonych nie jest zabroniony, jednak włamywanie się do nich jest już działaniem nielegalnym. W Internecie dostępne są narzędzia umożliwiające przeprowadzenie ataku na sieci W LA N , co w świetle prawa jest dozwolone, gdyż narzędzia te wykorzystywane są do testowania sieci przez administratorów.

Sieci bezprzewodowe wykazują wyjątkową podatność na ataki, a jednocześnie stanowią nowe źródło zagrożeń dla sieci kablowych, wymagają zatem szczególnie mocnych zabezpieczeń. Podstawowe sposoby ochrony sieci bezprzewodowych stosowane dla osiągnięcia akceptowalnego poziomu bezpieczeństwa to:

- szyfrowanie metodą W E P (Wired Equivalent Privacy) wykorzystującą algorytm szyfrujący RC45,

3 RC4 - szyfr strumieniowy ze zmienną długością klucza.

- szyfrowanie metodą W P A (Wi-Fi Protected Access; standard szyfrowania wykorzystujący między innymi protokoły T K IP (Temporal Key Integrity Protocol) i 802. lx 6; następca W E P ),

- szyfrowanie metodą W PA2 (wykorzystuje 128-bitowe klucze; wprowadza wiele dodatkowych zabezpieczeń),

- kontrola dostępu za pomocą standardów 802. lx i 802.11 i7,

- wyłączanie rozgłaszania identyfikatora sieci SSID {Service Set Identifier)8, - zmiana nazwy sieci nadanej przez producenta,

- uwierzytelnianie adresów M A C {Media Access Control)9.

Dla bezpieczeństwa sieci bezprzewodowych wprowadzono mechanizm firmware, czyli oprogramowanie wbudowane w urządzenie w celu zapewnienia jego prawidłowej obsługi. Urządzenia nowszej generacji mają możliwość aktualizacji tego oprogramowania, dzięki zapisaniu go np. w pamięciach typu EPR O M {Erasable Programmable Read-Only Memory), przechowującej zawartość nawet po odłączeniu zasilania.

Podstawowe zagrożenia sieci bezprzewodowych to:

- skanowanie i mapowanie sieci,

- nielegalne wykorzystywanie dostępu do Internetu, - podsłuchiwanie;

- podszywanie się pod uprawnionego użytkownika (np. poprzez przejęcie adresu M A C ),

- ataki “ człowiek w środku” („man-in-the-middle” ), polegające na zainstalowaniu „pośrednika” między punktem dostępowym a właściwym klientem sieci,

- instalowanie punktu dostępowego bez zezwolenia {Rouge Access Point), bezprawne odszyfrowywanie danych szyfrowanych metodami W EP , W P A lub W PA2.

Z badań firmy netSecurity przeprowadzonych na zlecenie R S A Security, opublikowanych w 2005 roku wynika, że ponad jedna trzecia firmowych sieci bezprzewodowych była podatna na ataki z zewnątrz. Prowadzący badania, wykorzystując laptop i bezpłatne oprogramowanie dostępne w Internecie, przechwytywali informacje z korporacyjnych sieci bezprzewodowych jeżdżąc samochodem ulicami wybranych miast (Nowego Jorku, San Francisco, Londynu i Frankfurtu). Badania trwały wiele miesięcy i z upływem czasu nie odnotowano w tej kwestii żadnej poprawy [7].

Dodatkowe punkty dostępowe (instalowane np. przez nielojalnego pracownika firmy) mogą być wykorzystywane do przechwytywania informacji

6 Standard zaimplementowany w punktach dostępowych z uwagi na słabości protokołu W EP; umożliwia dobór mechanizmów uwierzytelniania i szyfrowania; uwierzytelniać można w jednym kierunku (sprawdzanie klienta) lub w obu (klienta i serwera).

7 Standard wprowadza algorytm AES i mechanizmy M IC {Message Integrity Code) i TKIP.

8 32-znakowy unikatowy identyfikator traktowany jako nazwa sieci; może być wykorzystywany w charakterze hasła dostępu do AP {Access Point).

48-bitowy unikalny sprzętowy adres karty sieciowej nadany przez producenta.

17

i nielegalnego jej udostępniania. W przypadku biernego rozsyłania identyfikatora sieci SSID , takie punkty dostępowe są bardzo trudne do wykrycia. W Internecie są dostępne darmowe programy do przechwytywania numerów SSID (np. netstumbler dla Windows lub Kismet dla Linuksa).

Standardy szyfrowania dla sieci bezprzewodowych, zarówno W E P jak i W P A nie dają gwarancji bezpieczeństwa, ponieważ w Internecie można znaleźć programy umożliwiające łamanie zabezpieczeń za pomocą automatycznie przeprowadzonego ataku słownikowego. Dla stosowanych metod szyfrowania zaleca się używanie możliwie jak najdłuższych kluczy. Na przykład w przypadku 128-bitowego klucza W E P teoretycznie złamanie szyfru metodą brutalną (poprzez sprawdzenie wszystkich możliwych do użycia kluczy) z prędkością 3,5 tys. kluczy na sekundę trwałoby ponad 18 tys. lat [8]. W rzeczywistości, z powodu stosowania przez użytkowników krótkich i łatwych kluczy, przy wykorzystaniu dostępnych (nawet w Internecie) narzędzi, istnieje możliwość złamania szyfru W E P nawet w ciągu kilkunastu minut. Dla zwiększenia bezpieczeństwa przesyłu danych można wykorzystywać metodę T K IP, w pełni kompatybilną z W E P i polegającą na wymianie oprogramowania firmware. Nadal wykorzystywany jest w niej algorytm RC4, jednak wymusza się zmianę klucza (po 10 tysiącach pakietów) i lepiej rozwiązano problem operowania wektorem inicjującym. Natomiast do ochrony szczególnie ważnych danych zaleca się stosowanie protokołu IPSec, który zawiera:

- protokół A H (Authentication Header) umożliwiający tylko ochronę integralności danych, ale już nie poufność (dane nie są szyfrowane),

- protokół E S P (Encapsulating Security Payload) zapewniający zarówno integralność jak i poufność danych,

- zaawansowany protokół IK E (Internet Key Exchange).

Aby zwiększyć poziom bezpieczeństwa lokalnych sieci bezprzewodowych można również kontrolować dostęp za pomocą adresów M A C, wskazując adresy do komunikowania się z daną siecią. Każde urządzenie, takie jak np. karta sieciowa, karta radiowa czy punkt dostępowy, ma unikatowy w skali światowej numer seryjny umożliwiający jego identyfikację. Bazę danych autoryzowanych adresów M A C umieszcza się w ruterach i w punktach dostępowych (większość z nich ma taką możliwość). Uwierzytelnianie adresów M A C obsługują rutery Wireless M A X g Router (model 5461 oraz 805461), Wireless M A X g Access Point (model 5451 oraz 805451) firmy U.S. Robotics. Oczywiście baza autoryzowanych adresów M A C powinna być szczególnie chroniona. W ady tej metody to pracochłonność i konieczność systematyczności w podejmowaniu działań.

W przypadku każdej wymiany urządzenia należy zaktualizować dane we wszystkich bazach identyfikatorów M AC. Niestety i ta metoda nie daje całkowitej ochrony przed nieuprawnionym dostępem, gdyż za pomocą oprogramowania do kart PC W LA N fabryczny numer seryjny urządzenia może zostać zmieniony.

Kolejną metodą umożliwiającą weryfikację uprawnień jest uwierzytelnianie z wykorzystaniem standardu 802. lx. Dla każdego urządzenia, które chce się zalogować do sieci, jest uruchamiany protokół E A P (Extensible Autentication Protocol). Użytkownik musi wysłać swoje dane identyfikacyjne, które podlegają weryfikacji na serwerze uwierzytelniania, i jeśli są akceptowane,

zostaje mu udzielony dostęp do sieci.

Dla bezpieczeństwa sieci W L A N konieczne jest również odpowiednie ograniczenie zasięgu sieci, poprzez ustawienie mocy nadajnika, kąta promieniowania czy wielkości, o jaką ma być stłumiony sygnał. W wielu przypadkach maksymalny zasięg jest ustawiony na kilka kilometrów, gdy tymczasem wystarczyłby kilkudziesięciometrowy.

Wraz z rozwojem sieci bezprzewodowych coraz więcej miast udostępnia tzw. hotspoty (H S). Są to ogólnie dostępne punkty dostępowe instalowane w ruchliwych częściach miasta, na uczelniach, lotniskach, w hotelach i tym podobnych miejscach, zapewniające bezprzewodowy (najczęściej płatny) dostęp do sieci globalnej. Pełna lista polskich hotspotów jest dostępna w Internecie [6].

Korzystanie z wszelkich zabezpieczeń, które wymagają właściwej konfiguracji, jest na tyle skomplikowane, że wielu użytkowników po prostu z nich rezygnuje. Natomiast szyfrowanie i deszyfrowanie przesyłanych danych powoduje obniżenie wydajności sieci i z tego powodu rzadko wykorzystywane są złożone algorytmy. Najczęściej dane szyfruje się za pomocą standardu W E P lub w ogóle się ich nie zabezpiecza. Dlatego w praktyce przeważająca większość lokalnych sieci bezprzewodowych jest podatna na najprostsze nawet ataki. Oczywiście na urządzeniach bezprzewodowych również należy stosować oprogramowanie ochronne, takie jak programy antywirusowe, osobiste zapory sieciowe itp. Także punkt dostępowy wymaga instalacji firew alfa i zabezpieczenia hasłem w celu uniemożliwienia na przykład nieuprawnionej zmiany jego konfiguracji.

5 Funkcjonalność narzędzi ochrony systemów informatycznych

Dla bezpieczeństwa systemu komputerowego należy zapewnić mu ochronę przed wirusami, przed włamaniami oraz przed działaniem programów szpiegujących aktywność jego użytkowników. Celem stosowania wybranych mechanizmów ochrony jest przede wszystkim gwarancja stabilności pracy systemu, ochrona danych, efektywne wykorzystywanie pamięci, zapewnienie realizacji dostępnych usług oraz prawidłowe zarządzanie i obsługa urządzeń zewnętrznych.

Potrzeba skutecznej ochrony spowodowała pojawienie się wielu różnych narzędzi dających ochronę na różnych płaszczyznach, implementowanych sprzętowo lub programowo (niekiedy łączy się rozwiązania sprzętowe z programowymi, jak w przypadku realizacji niektórych zapór sieciowych czy systemów wykrywania włamań). Dla pełnego bezpieczeństwa systemu informatycznego należy zatem zapewnić współdziałanie przede wszystkim takich mechanizmów ochrony jak:

- oprogramowanie antywirusowe, - oprogramowanie antyspamowe, - oprogramowanie antyszpiegowskie,

- personalne ściany ogniowe {personal firewalls),

- zapory sieciowe (firewalls) na serwerach czy ruterach brzegowych oraz

19

chroniące wydzielone obszary w ramach złożonej sieci lokalnej.

Do ochrony systemów informatycznych należy również stosować mniej popularne oprogramowanie umożliwiające analizę i kontrolę aktywności plików.

Systemy monitorowania zmian na dyskach komputera (np. dla środowiska Windows: G F I LANguard System Integrity Monitor lub File Monitor firmy Sysinternals) stanowią uzupełnienie mechanizmów ochrony umożliwiając kontrolę operacji wykonywanych w systemie plików. Służą do monitorowania zawartości wybranych folderów pod kątem modyfikowania, tworzenia i usuwania zawartych w nich plików, lub do monitorowania określonych przez producenta plików systemowych czy innych wskazanych przez użytkownika. Stanowią niezbędne narzędzie do kontroli złożonej struktury plików, często jednak generują ogromną liczbę danych, które wymagają przeprowadzenia szczegółowej analizy przy pomocy dodatkowego oprogramowania.

Do szyfrowania danych w celu zachowania poufności i integralności oraz bezpiecznego uwierzytelniania można wykorzystywać systemy kryptograficzne udostępniane wraz z systemem operacyjnym.

Skuteczność każdego narzędzia ochrony osiągana jest drogą realizacji wielu funkcji składowych, a rozwiązania oferowane przez licznych producentów różnią się między sobą łatwością konfiguracji i obsługi oraz funkcjonalnością.

5.1 Oprogramowanie antywirusowe

Zarówno liczba rejestrowanych wirusów jak i straty nimi powodowane są ogromne. Eksperci ostrzegają, że obserwowana tendencja wzrostowa nadal będzie się utrzymywać. Wirusy rozprzestrzeniają się bardzo szybko, wykazują duże zróżnicowanie, nieustannie pojawiają się ich nowe rodzaje, dlatego walka z nimi jest niezwykle trudna.

Większa powszechność wykorzystywania systemu Windows sprawia, że ataki najczęściej są przeprowadzane właśnie na ten system [5]. Linux natomiast, jako mniej popularny system operacyjny, był znacznie rzadziej atakowany przez wirusy i stąd może wynika postrzeganie go jako bardziej odpornego na zagrożenia.

Ostatnio jednak docierają informacje o pojawieniu się prototypowych wirusów, które są w stanie zarażać zarówno systemy Windows jak i Linux (przykładem kod Lnx.Bi.A/W 32.Bi.A). Pojawianie się tego rodzaju wirusów może oznaczać, że ich twórcy pracują nad kodem międzyplatformowym i, że w przyszłości pojawi się więcej tego typu zagrożeń. Z drugiej strony, według analityków firmy Gartner, coraz popularniejsze stają się systemy mieszane, tzn. wykorzystujące oprogramowanie open source działające pod kontrolą systemu operacyjnego Windows lub programy o zamkniętym kodzie działające pod kontrolą Linuksa.

W związku z tym konieczne jest opracowanie narzędzi ochronnych, które będą mogły współpracować z różnymi systemami operacyjnymi.

Podstawowym zadaniem oprogramowania antywirusowego (przeznaczonego zarówno dla stacji roboczych jak i dla serwerów) jest zwalczanie wirusów przenoszonych za pomocą zewnętrznych nośników danych oraz przez Internet, w tym załączniki poczty elektronicznej. Oprogramowanie antywirusowe zawiera

już nie tylko opcję skanowania systemu na żądanie użytkownika, lecz również monitorowanie na bieżąco. Skaner sprawdza obecność wirusów na dyskach (może być uruchamiany w zadanych odstępach czasu lub aktywowany przez użytkownika), zaś monitor kontroluje, pod kątem tego zagrożenia, pliki uruchamiane i pobierane z Internetu. Obecnie oprogramowanie antywirusowe dostarcza użytkownikowi wiele dodatkowych funkcji, między innymi:

- możliwość podwójnego, a nawet potrójnego skanowania systemu w oparciu o różne silniki oprogramowania,

- możliwość wyboru sposobu postępowania z zainfekowanym plikiem,

- możliwość planowania zadań związanych z ochroną systemu na określony dzień i godzinę,

- automatyczną aktualizację oprogramowania oraz pobieranie najnowszych sygnatur wirusów z sieci Internet,

- zaawansowane mechanizmy wykrywania nieznanych wirusów, - ochronę skompresowanych plików,

- usuwanie spamu.

Programy te udostępniają dodatkowo (poprzez Internet lub drogą telefoniczną) całodobową pomoc w rozwiązywaniu bieżących problemów. Dobre rozwiązanie stanowi na przykład program antywirusowy eTrust Antivirus 7.1 firmy Computer Associates, przeznaczony do zastosowań biznesowych dla wielu środowisk, np. M S Windows, Novell Netware, Macintosh, Linux, Sun Solaris czy Palm OS. Jego podstawowe funkcje to podwójne skanowanie antywirusowe, zautomatyzowane uaktualnianie bazy sygnatur oraz wymuszanie na użytkowniku przestrzegania podstawowych reguł bezpieczeństwa. Do zalet tego programu należy zaliczyć umożliwienie ochrony nie tylko stacji roboczych, ale także palmtopów, serwerów brzegowych (bram), plików i pracy grupowej (Microsoft Exchange i Lotus Notes/Domino) oraz łatwość administrowania.

Wśród programów antywirusowych wyróżnia się też AntiVirenK.it 2006 charakteryzujący się wysoką dokładnością skanowania. Dzięki nowej funkcji Outbreak Shield (obrona przed epidemią nowych wirusów) program stwarza ochronę przed różnymi typami zagrożeń. Zapewnianie bezpieczeństwa w przypadku nieznanych zagrożeń nabiera dużego znaczenia z powodu błyskawicznego rozprzestrzeniania się wirusów w sieci globalnej. W tak krótkim czasie (rzędu kilku minut) żaden producent oprogramowania antywirusowego nie zdążyłby odpowiednio zareagować, zatem program antywirusowy musi zapobiegać wszelkim problemom bez jakiegokolwiek wsparcia z zewnątrz. Outbreak Shield, działając niezależnie od tradycyjnej metody opartej na wykorzystywaniu i aktualizowaniu bazy wirusów, ma zapewniać właśnie taką ochronę sprawdzając wiadomości poczty elektronicznej pod kątem nowych zagrożeń. Jeśli standardowe skanowanie wiadomości za pomocą dwóch silników antywirusowych nie wykryje zagrożenia, list poczty elektronicznej sprawdzany jest pod kątem pewnych cech, ustalanych po połączeniu z serwerem CommTouch Detection Center [9]. Wadą tego programu jest stosunkowo mała szybkość skanowania (średnio 46,4 MB/min) oraz obciążanie systemu sprawdzaniem otwieranych i zapisywanych plików.

Obecnie większość programów antywirusowych korzysta z metod

2 1

pozwalających na wykrywanie nowych zagrożeń. Mechanizmy te, oparte na algorytmach heurystycznych, działają na podstawie analizy zachowania danego kodu w systemie operacyjnym. Jednym z najważniejszych kryteriów oceny danego oprogramowania antywirusowego powinien być właśnie czas jego reakcji na nowe zagrożenie.

Problem ochrony antywirusowej prawdopodobnie zostanie spotęgowany wraz ze zwiększeniem się liczby użytkowników palmofonów - miniaturowych komputerów działających w telefonach komórkowych pod kontrolą systemu operacyjnego. Przewiduje się gwałtowny wzrost wirusów urządzeń mobilnych, co spowoduje większe zapotrzebowanie na narzędzia ochrony tych urządzeń. Obecna oferta - jedynie kilka rozwiązań antywirusowych - na pewno nie jest wystarczająca.

5.2 Oprogramowanie antyspamowe

Spam to niechciane i nie zamawiane przesyłki otrzymywane pocztą elektroniczną, zazwyczaj rozsyłane do dużej liczby adresatów. Skala zjawiska jest ogromna: szacuje się, że ponad połowa wiadomości krążących w sieci to właśnie spam. Do jego nadawania wykorzystywane są na ogół niezabezpieczone lub słabo zabezpieczone serwery pocztowe (open relay) automatycznie wyszukiwane w sieci przez spamerów. Ostatnio pojawił się też spam mobilny (m-spam), rozsyłany w telefonii komórkowej za pomocą SM S.

Wyróżnia się spam reklamowy czyli komercyjny U C E ( Unsolicited Commercial Email), prawnie zakazany w Unii Europejskiej oraz nie zakazany prawnie, niekomercyjny U B E (Unsolicited Bulk Email) zawierający np. informację o nowym wirusie albo apel z prośbą o wsparcie określonej organizacji charytatywnej czy partii politycznej. Straty spowodowane spamem w przedsiębiorstwach na całym świecie sięgają ogromnych sum.

Otrzymywanie spamu to nie tylko zwykła uciążliwość, bowiem wraz z nim można przesłać i zainstalować oprogramowanie szpiegujące. Zatem skuteczna walka ze spamem jest koniecznością, a jej podjęcie wymaga instalowania specjalistycznego oprogramowania oraz odpowiedniej konfiguracji serwerów pocztowych, by przeprowadzały autoryzację. Dostępne programy antyspamowe różnią się funkcjonalnością i stopniem skomplikowania. Niektóre umożliwiają tylko usuwanie niechcianej korespondencji, inne oferują zaawansowane opcje uczenia się oraz generują raporty, które można przesłać do organizacji zajmujących się tą problematyką lub do dostawcy usług internetowych.

Pożądane cechy oprogramowania antyspamowego to:

- możliwość przeglądania odrzuconych przesyłek,

- wprowadzanie korekty w przyjętych regułach filtrowania, - ustawianie różnych poziomów czułości pracy,

- zabezpieczenie przed nieuprawnioną konfiguracją.

Wśród oprogramowania antyspamowego wyróżnia się monitory skrzynki pocztowej, które służą do podglądania przesyłanej zawartości, filtrowania niechcianej poczty, zgodnie z ustalonymi zasadami, budowania reguł i tym

podobnych działań. Powinno się więc najpierw sprawdzać monitorem otrzymane na serwerze przesyłki, usunąć niechcianą pocztę, a następnie włączyć program pocztowy i pobrać dostarczoną pocztę na swój komputer. Monitor skrzynki i program pocztowy obsługują osobno to samo konto pocztowe. Natomiast inne rozwiązanie, jakim są lokalne serwery poczty (tzw. proxy antyspamowe), to oprogramowanie działające łącznie z programem pocztowym. Zasada ich działania jest następująca: po pobraniu poczty z serwera przez komputer użytkownika filtrują ją, a następnie udostępniają programowi pocztowemu, który łączy się z lokalnym serwerem (działającym na danym komputerze) i pobiera z niego już pozbawioną spamu pocztę. Problem pojawia się wówczas, gdy właściwy list zostanie zakwalifikowany przez zbyt szczelny filtr jako spam. W przypadku drugiego z opisanych rozwiązań, istnieje możliwość pobrania takiego listu z lokalnego serwera pocztowego, gdyż posiada on swój „kosz” , natomiast monitor antyspamowy takiego sposobu wycofania błędnej decyzji nie oferuje.

Oprogramowanie antyspamowe może działać na różnych zasadach, kierując się przy kwalifikacji przesyłki na przykład:

- czarną listą adresów spamerów,

- listą akceptowalnych adresów nadawców, - zawartością listu (jeśli jest niąnp. sama grafika), - językiem, w jakim została napisana wiadomość,

- krajem pochodzenia przesyłki (można np. odrzucać listy z egzotycznych krajów).

Filtry mogą być zakładane na poszczególne elementy listu, takie jak temat, treść (np. częstość wystąpień określonych słów kluczowych), domena czy załączniki. Przykładem może być filtr na słowa niedozwolone w temacie listu.

Takie filtry można jednak łatwo obejść, wprowadzając do treści tekstu niewielkie zmiany na przykład w postaci spacji: jeśli na czarnej liście jest słowo porno, to list ze słowem „p_o_r_n_o” w temacie nie zostanie odrzucony.

Działanie filtrów wykorzystuje często technologię Bayesa opartą na rachunku prawdopodobieństwa i statystyce. Na podstawie kwalifikowania listów do spamu lub nie, filtr uczy się, jak traktować ich zawartość. Oczywiście im więcej listów przechodzi przez filtr, tym zostanie on lepiej wytrenowany i będzie skuteczniejszy w działaniu. Interesujące dla zastosowań programy antyspamowe to te, które mogą współpracować z dowolnym klientem pocztowym oraz stwarzają możliwość rozbudowywania programu o niezależne filtry.

Dobry program antyspamowy zawiera również mechanizmy zapewniające ochronę przed wybranymi rodzajami oszustw dokonywanych przy wykorzystaniu Internetu. Może to być na przykład rozpoznawanie fałszywych serwisów lub wykrywanie podszywania się pod legalnego nadawcę.

Większość popularnych programów poczty elektronicznej (np. Outlook, Outlook Express) zawiera proste filtry antyspamowe i umożliwia segregowanie otrzymywanych listów na przykład w zależności od ich pochodzenia, rozmiaru czy zawartych słów kluczowych. Bardziej specjalistyczne oprogramowanie to np.

Spam Net, Norton Anti Spam, SpamPal, SpamEater Pro, SpamCatcher Desktop, Spam Protection, iHateSpam, Spam Deputy, SpamKiller. Obecnie testowane jest

23

oprogramowanie antyspamowe nowej generacji Kaspersky Anti-Spam 3.0, wykorzystujące technologię Spamtest, charakteryzujące się zwiększoną wydajnością i stabilnością oraz zmniejszonym zapotrzebowaniem na pamięć RA M . Technologia ta wykorzystuje zmodyfikowane algorytmy do przetwarzania obiektów H T M L zawartych w wiadomościach e-mail oraz mechanizmy odpowiedzialne za analizę plików graficznych dostarczanych w załącznikach.

5.3 Oprogramowanie antyszpiegowskie

Według raportu firmy Webroot z 2005 roku wynika, że Polska jest drugim na świecie krajem (po U SA , a przed Holandią), z którego pochodzi najwięcej programów typu spyware10. Liczba stron internetowych zawierających oprogramowanie szpiegowskie wzrosła od początku 2005 roku do chwili opublikowania wyników badań czterokrotnie, zaś liczba unikatowych sygnatur w bazie Webroota w tym samym czasie podwoiła się przekraczając wartość 100 tysięcy.

Programy szpiegowskie mogą być instalowane z głównym programem określonej aplikacji i pozostają aktywne na komputerze nawet po jej odinstalowaniu. Istnieją też programy, które zawierając wbudowane moduły szpiegujące, po ich zidentyfikowaniu i usunięciu, po prostu przestają działać.

W takim przypadku informacje o pozyskiwaniu różnego rodzaju danych o użytkowniku przez instalowaną aplikację mogą znajdować się w zwykle dość obszernym opisie warunków licencji, które najczęściej nie są dokładnie czytane.

Każde oprogramowanie ochronne (antywirusowe, antyspamowe czy personalny firewall) zmniejsza ryzyko szpiegowania, jednak dla skutecznej ochrony najlepiej korzystać ze specjalistycznych narzędzi, gdyż walka z tego rodzaju zagrożeniem jest bardzo trudna. Programów antyszpiegowskich jest wiele;

wśród nich nie sposób nie wymienić tak popularnych narzędzi dla systemu operacyjnego Windows jak Ad-Aware S E Personal firmy Lavasoft (przykładowe efekty jego działania obrazuje Rys. 1), Spybot-Search & Destroy, M S Windows Antispyware, SpywareBlaster czy Spy Sweeper firmy Webroot.

Paradoksem jest, że program przeznaczony do wykrywania niepożądanego oprogramowania też może zawierać program szpiegowski. W Internecie znajduje się lista programów antyszpiegowskich, do których można mieć takie zastrzeżenia [11]. Nieuczciwe mogą też okazać się witryny oferujące programy rzekomo naprawiające usterki w systemie. Dla pewności skuteczności działania warto korzystać z kilku programów antyszpiegowskich różnych firm, wychodząc z założenia, że choć jedno narzędzie nie popełni pomyłki, nawet jeśli pozostałe zawiodą. Jest to ważne tym bardziej, że nie każdy antyspyware radzi sobie z programami instalującymi się ponownie przy restarcie systemu operacyjnego oraz jest odporny na programy monitorujące system (typu Spy Agent), które potrafią go po prostu wyłączyć jeszcze przed rozpoczęciem skanowania.

10 Oprogramowanie śledzące użytkownika komputera i zbierające o nim różne informacje.

^Ad-Aware SE Personal

m i m ¡H ?

Q Status. Scanning Results

f 3 Scan now Y ! ą j s c a n Summary \ f ¿fÿNeÿgïbieObjects \ ljj> S c o n L o g \

... . Target families detected on this system Summ ary Of This Scan Total scarring time: 00.10.06 Objects scarmed:168299 Objects identified: 0 Objects ignored 0 Hew critical objects:!) Average TAC: ¿,001) Negligible objects: 2 tfegligible references: 9 ig j Atl-f-isch j

' S * « « ! 1

____

tt*) Help J j

1

e 0 U )M R U List (2 Objects Total) t- ► These Greets do not pose a threat.

Right-cEck an Sem for more options.

L0/2 Objects ■Q Quarantine j (¿f Show Logftfe j . Next J Ad-Aware SE Personal. Build 1.06r1

Rys. 1. Przykładowe wyniki skanowania systemu za pomocą Ad-Aware SE Personal Oprogramowanie antyszpiegowskie, oprócz mechanizmów skanowania twardego dysku i unieszkodliwiania we wskazany przez użytkownika sposób zidentyfikowanych zagrożeń (może to być tylko kwarantanna), często zawiera wiele dodatkowych funkcji takich jak:

- skanowanie pamięci komputera w celu wykrywania zagrożeń i wszczęcia alarmu na bieżąco,

- monitorowanie aktywnych procesów w celu ostrzegania o próbach zmiany zapisu w rejestrze Windows,

- sporządzanie przejrzystego raportu z wyników monitorowania systemu (z podaniem nazwy, typu, lokalizacji, potencjalnego ryzyka i sugerowanej akcji),

- wyświetlanie na żądanie szczegółowych informacji o identyfikowanych obiektach,

- blokowanie witryn internetowych oraz kontrolek A ctiveX (program zawiera wówczas predefiniowane listy takich zagrożeń),

- wyłączanie okienek pop-up,

- ochrona przed przejęciem kontroli nad komputerem,

- przywracanie modułu szpiegowskiego w przypadku, gdy powiązana z nim ważna dla użytkownika aplikacja bez niego nie działa,

- aktualizacja definicji programów szpiegowskich,

- ukrywanie swej działalności w systemie (poprzez uprzednie wyłączenie aktywnych procesów),

- ochrona podczas połączenia z Internetem (sygnalizowanie np. zmiany strony początkowej w przeglądarce lub zapisu przez stronę W W W niebezpiecznego piku cookie).

25

Dobrym przykładem wszechstronnie działającego oprogramowania antyszpiegowskiego może być SpywareBlaster, który automatycznie blokuje nie tylko rozpoznane na podstawie sygnatur programy szpiegowskie, ale również konie trojańskie, dialery, groźne pliki cookie i tym podobne zagrożenia. Umożliwia też blokadę wszelkiego rodzaju oprogramowania pochodzącego z hostów, których adresy uznano za niebezpieczne. Narzędzie pozwala też dodawać własne sygnatury, konfigurować wybrane funkcje przeglądarek i archiwizować klucze rejestru.

5.4 Zapory sieciowe

Działanie zapory sieciowej to filtrowanie pakietów (w celu selektywnego odrzucania niepożądanego ruchu), usługi proxy (wśród nich zatrzymywanie ataków na bramie sieci, sprawdzanie poprawności formatu danych), maskowanie wewnętrznych adresów sieciowych, szyfrowane uwierzytelnianie pozwalające na bezpieczną autoryzację oraz tworzenie szyfrowanych połączeń (tunelowanie) dające możliwość adresowania zdalnych wewnętrznych hostów bezpośrednio za pomocą adresów IP.

Wśród licznych funkcji zapór ogniowych należy wymienić:

- ochronę przed różnymi typami ataków z Internetu i z sieci lokalnej,

- sprawdzanie sygnatur MD5 (Message-Digest algorithm 5)“ przy pierwszym uruchomieniu danej aplikacji,

- blokowanie zewnętrznego ruchu pakietów protokołu IP, - automatyczne ukrywanie adresu komputera wewnętrznego, - blokowanie okienek pop-up, reklam, skryptów i plików cookie, - wyświetlanie informacji o stanie programów aktywnych, - śledzenie historii ataków i możliwość lokalizacji atakującego,

- graficzne prezentowanie obciążenia (ruchu wchodzącego i wychodzącego), - przełączanie poziomów bezpieczeństwa,

- blokowanie parametrów działania za pomocą hasła,

- tworzenie kanałów V PN (Virtual Private Network - Wirtualna Sieć Prywatna).

Personalne zapory sieciowe (Kerio, Outpost, Sygate, Zone Alarm i inne) stanowią pierwszą linię obrony komputera kontrolując wszelkie połączenia internetowe. Ich konfiguracja nie jest łatwym zadaniem, wymaga fachowej wiedzy i doświadczenia. Ustalanie reguł dostępu do komputera (np. zasad ruchu sieciowego, zaufanych adresów IP ) to ważne decyzje, dlatego też niedoświadczeni użytkownicy mogą poprzestać na domyślnie przyjętych ustawieniach, natomiast bardziej zaawansowanym stwarza się nawet możliwość samodzielnego rozszerzania funkcjonalności narzędzia. Przykładowe okno, w którym dokonywane są ustawienia parametrów pracy zapory Kerio przedstawiono na Rys. 2.

11 MD5 - jednokierunkowa funkcja skrótu wytwarzająca 128-bitowy skrót wiadomości;

algorytm uznany za kryptograficznie słaby.

3 : Kcrio Personal Firewall

KERIO

& W łącz ochronę sieci

Opis •j . ' Zaufane _ J ___ Internet

: ! Przychodzącej Wychodżęcc Przychodzące1 Wychodzące i 1 1 ISA She! (Export Version) 7 pytaj V dopufć :< pyai V pylai

ß j Aplikacja logowania systemu... 7 P*aj s / dopufć i PV<ai ' i pylai 1 1 ApSkacja Userirat Logon 7 pytai \S dopufć ? Pylai 'i pylai 1 1 Generic Hosł Process for Win... ? pytaj dopufć X btokii \J dopufć

r l AVGE-Mai Scann« 7 pytaj dopufć ? pytai dopufć

AVG Update downloader 7 pytaj V dopufć ? py*«i v* dopufć

^ Microsoft FH« and Printer Shar... 7 pytaj dopufć X bbkii X blokuj

@ Fkefox 7 pytaj s / dopufć ? pylai dopufć

Internet Explorer ? pytaj V* dopuść V P U ł V dopufć Microsoft Word for Windows 7 pytaj 7 pytaj ? Płłai X blokuj Q Window Media Flayer 7 pytaj 7 pytaj V pyiai X blokuj

□ avgnt 7 pytaj V* dopufć Ÿ py*ai 7 pytaj

□ inetupd ? pytaj V PS<a¡ ? pytai •s/ dopufć

££? AdAware SE Core application 7 pytaj ‘'i PS*« '1 pylai s / dopufć j§3 Microsoft Outlook 7 pytaj V* dopufć ? pyai -> pylai

[ j Eksplorator Wndows 7 pytaj V 1 dopufć ? Pylą >/ dopufć i 1 Appication Layer Gateway S... 7 pytaj 7 pytaj ? py*aj dopufć

|lf; Dowotoa ap&kaqa 7 pytaj V pytaj Ï py«a( ‘1 pylai

Zapiiuik>

Zapisuj togi Ostrzegaj

Ü

Edytuj I Usuń

Pomoc tm or.

Rys. 2. Okno konfigurowania pracy zapory sieciowej Kerio

Monitorowaniu podlegają między innymi potencjalnie niebezpieczne elementy stron W W W , takie jak aplety Ja vy12 czy kontrolki A ctiveX (patrz Rys. 3).

Zapory sieciowe zawierają też rozbudowane mechanizmy raportujące ich działania (patrz. Rys. 4) oraz bieżąco alarmujące o zagrożeniach. Analiza dużej ilości gromadzonych informacji jest zajęciem czasochłonnym. Użytkownik najczęściej nie potrafi właściwie wykorzystać udostępniane dane o zagrożeniach systemu. Pożądaną reakcją jest uszczelnienie systemu, natomiast w praktyce często podejmuje się działanie ostateczne, jakim jest ponowna instalacja systemu.

12 Programy w języku Java, które mogą być uruchamiane przez przeglądarkę internetową lub przeglądarkę apletów firmy Sun.

27

¿y Korio Personal Firewall

❖ KERIO

■ a

zü

Wychodzące: 0 00 KB/s Przychodząca: OHO KB/s

^ E H E Z S B Ä '

P WT^faiowarrösbonV/V/W

r Reklamy

! P Blokuj reklamy

r Oknapop-up

P Blokuj okna pop up i okna pop-under r Tym c2ajow e zezwolenie poprzez klawisz [

;Zawartość stron W W Wr y ■;•;—— P B lokuj skrypty J avaS eript

j P Blokifl skrypty VBS ap t P Blokuj obiekty ActiveX

• 'I :

j j klucz

Rys. 3. Jedno z okien konfiguracyjnych personalnej zapory sieciowej Kerio

& K erio P e rs o n a l f i r e w a ll

^ KERIO

ÿ jy Logi i Qtözeienia

Odłącz « c ć

Linia Ibść : Data 0p»s Kiennek _ JiE .it» 1“ .- .. P|ioi>*et

151 1 31/Dec/2005 2251:04 PortS can ♦* n ’ 212180.i3Q.206~ nełwork-sean port sc an detected 152 1 04/Jan/2006 18:4230 PortScan « " n 213180130.206 network-scan portscen detected 153 1 14/Jan/2006 20:4009 PortScan «n n 212180.130.206 network-scan porttcan detected 154 1 16/JW2006 16:49:07 PortScan « " in 213.180130206 network-scan portscan detected

155 1 11/Mar/2006130335 PortScan «•• b 62111.193196 network-scan portscen detected

156 3 11/Mar/2006125513 DOS MSDTC attempt +■ b 64 232182103 Zrvagg wecei attempted-dos medum deny 158 1 11/M«/20061255:22 DOS MSDTC att<mpt ♦i in 64 233.183.103 Znadivêccei attempted doi modum deny 159 1 łl/Mar/2006 13:55:34 DOS MSDTC attempt ♦i b 64 232183.103 Zoseiźjsssa «ttempted-dos meAm deny IGO 1 11 At ar/2006135558 DOS MSDTC attempt ♦ ' in 81.2192253 Zas&itśssń attempt ed-dos medun deny 161 1 ll/Mar/20061356:45 00S MSDTC attempt ♦ ' in 81.2122253 Znarif reecei attempt ed-doj medum deny 162 1 ll/Mar/20061358:22 DOS MSDTC attempt in 81.2122253 Znakłź vêecti attempted-dot medium deny

163 1 l5A4at/20061321:13 PortScan «ri n 212180130206 network'scen portscan detected

164 1 IS/Mer/2006190927 PortScan «u in 212180130206 network-scan portscan detected

165 1 01 /Apr/200612.2341 PortScan in 212180130206 network-seen portscan detected

166 1 29/Apr/200617.4237 PortScan «u h 213.180130206 network-seen portscan detected

167 1 04/May/2006GäQ413 PortScan «u b 212180130206 networktean portscan detected

168 1 07/May/2QQ6 21.40:42 PortScan «u in 213180130206 nełwcrk-scen portscan detected 169 1 08/W ay/2ClC6 21.30.44 PortScan ♦i in 21218O13Q206 network-seen portscan detected 170 1 22A4ay/2006 17:0532 PortScan «•i b 213.180130.206 net werk-sc an portscan detected

171 1 29/May/20061017:07 PortScan * i h 212180130206 network-seen portscan detected

172 1 23/May/20D621:1348 PortScan ii 213180130206 network-ican portscan detected _

’'W - 1

JL

Rys. 4. Raport firewalPa Kerio o zarejestrowanych atakach

Pomimo spełniania wielu ważnych funkcji, zapory sieciowe nie gwarantują pełnego bezpieczeństwa komputera, a tym samym sieci. Możliwe jest bowiem przeprowadzenie takich ataków jak: przepełnienie bufora (buffer overflow),

przepełnienie stosu (heap overflow), czy zainstalowanie oprogramowania typu koń trojański, umożliwiającego inicjowanie niebezpiecznych połączeń przez zainfekowany już komputer.

6 Kompleksowość narzędzi ochrony

Wielofunkcyjność narzędzi ochrony wynika z konieczności wykonywania dużej liczby różnych zadań, zaś mnogość realizowanych funkcji związanych z ochroną systemów informatycznych wymusiła pojawienie się narzędzi działających kompleksowo. Łączą one między innymi funkcje oprogramowania antywirusowego, antyszpiegowskiego i antyspamowego z funkcjami zapory sieciowej, pozwalając jednocześnie ograniczać dostęp do Internetu i chronić prywatność użytkownika. Oferta producentów w tym zakresie jest szeroka; na rynku ostro konkurują ze sobą takie firmy jak: McAfee, Symantec, Check Point Software Technologies Ltd., Panda, Kaspersky Lab., F-Secure i wiele innych.

W 2005 r. firma Check Point zaoferowała zintegrowany, wielofunkcyjny pakiet zabezpieczeń dla firm średniej wielkości o nazwie Check Point Express Content Inspection, do którego włączyła opracowany przez Computer Associates program eTrust Antivirus. Zintegrowany pakiet, łatwy do wdrożenia i zarządzania, łączy funkcje ochrony antywirusowej, zapory sieciowej, wirtualnej sieci prywatnej i zapobiegania włamaniom. Dzięki oprogramowaniu eTrust Antivirus zwiększono pewność, że wiadomości poczty elektronicznej nie zawierają destrukcyjnego kodu.

Zabezpieczenia obejmują skanowanie w czasie rzeczywistym poczty elektronicznej oraz ruchu internetowego w poszukiwaniu ukrytych zagrożeń.

Bardzo popularnym programem antywirusowym realizującym szereg dodatkowych funkcji jest na przykład McAfee Internet Security 2006. Składa się on z kilku części, między innymi umożliwiając zarówno ochronę antywirusową stacji roboczych jak i zabezpieczenie przed włamaniami i atakami hakerskimi oraz wykrywanie i usuwanie niepożądanej poczty elektronicznej. Ponadto program zapewnia ochronę danych osobistych udostępnianych w Internecie oraz kontrolę dostępu do stron W W W (co jest ważne w przypadku użytkowników nieletnich).

Innym przykładem kompleksowego zabezpieczania jest pakiet Norton Internet Security™ 2006 firmy Symantec zawierający dwa programy: Norton Antivirus i Norton Personal Firewall, a także pomocnicze narzędzia Norton AntiSpam, Norton Privacy Control oraz Norton Parental Control. Norton Personal Firewall oferuje możliwość maskowania obecności komputera w sieci Internet.

W programie zastosowano inteligentną technologię zapobiegającą włamaniom poprzez blokowanie podejrzanego ruchu internetowego oraz funkcję kontroli prywatności zapobiegającą przesyłaniu informacji osobistych bez wiedzy użytkownika. Najnowsza wersja pakietu została wzbogacona m.in. o możliwość personalizacji ustawień bezpieczeństwa, automatyczną analizę niebezpiecznych

29