220 likes | 415 Views
VARNOST PODATKOV. Gimna z ija Vi č, Ljubljana 2007/08 Andreja Likar Cerc. Ima moj računalnik virus?. Okužen program lahko dobimo z interneta, od prijatelja, po elektronski pošti… Ko postane rač. počasen, ko se OS zelo dolgo nalaga, ko nenehno nekaj bere z diska ali nanj zapisuje…
E N D
VARNOST PODATKOV Gimnazija Vič, Ljubljana 2007/08 Andreja Likar Cerc
Ima moj računalnik virus? • Okužen program lahko dobimo z interneta, od prijatelja, po elektronski pošti… • Ko postane rač. počasen, ko se OS zelo dolgo nalaga, ko nenehno nekaj bere z diska ali nanj zapisuje… • Obiščemo protivirusna spletišča, na katerem pregledamo računalnik z najsodobnejšimi programi in ugotovimo, ali je računalnik res okužen
Programski vsiljivci • Del programske opreme, s katerimi okužimo računalnik • Trojanski konj • Bomba • Zajček • Črv • Virus • Boti (ali robotki) • DoS
Trojanski konj • Stari Grki v bitki pred Trojo • Program • Medtem, ko izvršuje neko nalogo, na skrivaj izvede drugo opravilo, npr. zbriše podatke z diska
Bomba, zajček, črv, virus • Bomba je program, ki čaka v računalniku, dokler se ne izpolnijo določeni pogoji • Zajček se na računalnik naseli brez vednosti uporabnika in se začne množiti. Kmalu je računalnik prezaposlen in onemogočen • Črv je podoben zajčku, le da se širi v rač. Omrežju (Code Red, Sircam, Sober…) • Virus najprej okuži program. Ko se ta zažene, se najprej izvede virus, ki poišče drug, še neokužen program in šele nato se zažene pravi program.
Bot • Avtomatiziran trojanec ali črv računalnik spremeni v zombija • Nameščenih veliko neznanih primerkov, za katere ne vedo niti lastniki računalnikov niti podjetja, ki se ukvarjajo z varnostjo. • Ustvarjanje mreže računalnikov (ang. Botnet), ki so okuženi z določenim botom z namenom kraje podatkov oz. upravljanjem nad računalnikom na daljavo.
DoS (ang. Denial of Service) napadi • Namen: prekinitev povezave z omrežjem • Napad na ranljive točke OS • Pošiljanje preveč podatkov proti žrtvi • Pošiljanje lažnih konfiguracijskih paketov (“routing paketov”)
Najpogostejši načini DoS napadov • “Nuke”, “WinNuke”, “DDoS” v IRC vojnah • “DDoS” napad se vrši iz več povezanih računalnikov • “Fork bomb”: zagon toliko procesov, da se procesna tabela zapolni • “Ping flood”: poplavi tarčo z veliko količino navadnih ping paketov
Ping • Orodje se uporablja za ugotavljanje dosegljivosti določenega računalnika v omrežju • Oddaljenemu računalniku pošlje ICMP (ang. Internet Control Message Protocol) “echo request” paket, ta mu odgovori z “echo response” paketom. Tako dobimo podatek, koliko časa potrebuje paket za pot do oddaljenega računalnika in nazaj in koliko paketov se je izgubilo.
“SYN flood” • SYN paket je del TCP/IP, ki se uporablja za vzpostavitev nove povezave med računalnikoma. Prvi pošlje drugemu SYN paket, ta mu odgovori s paketom SYN-ACK in pričakuje od prvega paket ACK. Ko ga dobi, je povezava vzpostavljena. • Napadalec pošlje ogromno SYN paketov s ponarejenimi izvornimi naslovi. Napadeni mu odgovori s paketom SYN-ACK, napadalec pa ne reagira. Med omejenim številom povezav ostane veliko pol-odprtih povezav, ki lahko zapolnijo celotno kapaciteto.
“Smurf” • Napad temelji na ping paketih s ponarejenim izvornim naslovom, ki je v bistvu naslov napadenega računalnika. Pakete pošlje na ogromno število različnih IP naslovov. • Večina računalnikov na teh IP naslovih odgovori na ping paket, s čimer zasuje napadeni računalnik.
Preventiva • Protivirusna programska oprema • Odkrije okuženo datoteko in jo razkuži ali zbriše • Uporabljajmo najnovejšo različico, ki ima v bazi podatkov vse znane viruse • Popolne zaščite ni! • Norton, F-Secure, Panda, McAffe, NOD32, Norman
Varovanje podatkov v omrežjih • Preverjanje pristnosti • Požarni zid • Avtorizirana prijava • Digitalni podpis • Šifriranje zapisa • Kriptologija
Dejavniki in tehnike • Nekaj, kar veste: kombinacija up. imena in gesla (dodeljevanje!, neprimerno geslo) • Nekaj, kar imate: kraja kartice, PIN, žetoni, pri oddaljenem dostopu poleg žetona še eno geslo za dostop do omrežja • Nekaj, kar ste: biometrično preverjanje pristnosti: prstni odtisi, geometrija dlani, skeniranje očesne mrežnice in/ali šarenice • Vaša lokacija: GPS + dovoljenje, da je uporabnik na tej lokaciji + ena izmed gornjih tehnik
Protokoli preverjanja pristnosti • Kerberos: preveri identiteto ob prijavi (Novell NetWare, MS Windows) • RADIUS (Remote Authentication Dial-In User Service): metoda vprašanje-odgovor • 802.1x: varnostni protokol inštituta IEEE za brezžična omrežja; pri pošiljanju sporočil stražnikom kot sta gornja, se zanaša na protokol razširjenega preverjanja pristnosti EAP (Extensible Authentication Protocol)
Požarni zid • Preprečuje neavtorizirane vdore v lokalna omrežja in posamezne računalnike • Če podatki ne ustrezajo določenim pogojem, jih program ne spusti naprej • Ko je nameščen, postane del operacijskega sistema
Avtorizirana prijava • vsak uporabnik omrežja ima uporabniško ime in geslo za delo v omrežju • Administrator mu dodeli pravice za delo v omrežju
Digitalni podpis • Pri navadni listini zagotovimo verodostojnost z lastnoročnim podpisom • Verodostojnost: podpisa ni mogoče ponarediti in podpisanega dokumenta se ne da spremeniti • Zagotavlja verodostojnost elektronskih sporočil • Sporočilo šifrira avtor z zasebnim ključem, prejemnik ga lahko dešifrira le z avtorjevim javnim ključem
Šifriranje zapisa • V brezžičnem in prostranem omrežju so podatki zelo izpostavljeni, lahko jih je prestreči in pogledati vanje. • S šifriranim zapisom omogočimo, da sporočilo prebere samo tisti, ki mu je namenjeno. • Za šifriranje potrebujemo ključ, danes se uporablja 128 bitni.
Kriptologija • Gr. Kruptos + logos = študij skrivanja • Šifriranje slike na KTV, denarne transakcije v elektronskem bančništvu • Oddajnik: Šifrirana operacija je transformacija T, ki pretvori čisti tekst M v šifrirani tekst C na osnovi ključa K: C = TK(M) • Sprejemnik: dešifriranje s procesiranjem teksta C in uporabo inverzne transformacije T-1 in ključa K: M=T-1(C) • Točkovno (po elementih) in bločno (po blokih) šifriranje
Primer bločnega šifriranja s transpozicijo • K: (3 2 5 1 4) • Tekst: the invasion will begin • Delitev v bloke: thein vasio nwill begin • Šifrirani tekst: ehnti saovi iwlnl genbi
Primer bločnega šifriranja s substitucijo • Cezarjeva substitucija ima za abecedo B zamaknjeno abecedo A • Pri zamiku 3 dobimo: • Abecedo A: a b c d e f • Abecedo B: d e f g h i • Tekst: the invasion will begin • Šifrirani tekst: wkh lqydvlrq zloo ehjlq • (uporabljena angleška abeceda s 26 znaki) • Vigenerjev sistem uporablja več Cezarjevih substitucij