Sieci > Bezpieczeństwo > Problematyka bezpieczeństwa w Internecie
Włamania Blokada usług Kradzież informacji
Podłączenie sieci wewnętrznej do Internetu przynosi mnóstwo korzyści, ale należy również pamiętać o związanych z tym zagrożeniach. Chronić należy swoje dane, zasoby i reputację. Komputery często przechowują poufne, bardzo ważne informacje. Dostęp do nich powinny mieć tylko uprawnione osoby. Dbać należy więc o tajność danych i ich integralność. Zasoby komputera to kolejna rzecz, która jest narażona na niebezpieczeństwo. Może to być na przykład czas procesora lub przestrzeń dyskowa. W Internecie zagrożona jest również nasza reputacja. Przykładem mogą być szeroko nagłaśniane ataki zamieniające zawartość witryn WWW. Potencjalny napastnik może wykorzystać również naszą tożsamość do wysłania listu elektronicznego lub też do zrobienia zakupów w sklepie elektronicznym. Zwykle wydaje się, że zagrożenie stanowią tylko ataki z zewnątrz. Nie należy jednak zapominać o atakach przeprowadzanych z wewnętrznej sieci, na przykład przez niezadowolonych z wynagrodzenia pracowników. Trzeba też brać pod uwagę wypadki i pomyłki. Niektóre źródła podają, że 55% wszystkich przypadków naruszenia bezpieczeństwa spowodowane jest naiwnością lub niedouczeniem użytkowników [9].
Napastnicy przeprowadzają różnego rodzaju ataki. Zwykle opierają się one na wykorzystywaniu wad protokołów lub błędów w oprogramowaniu. Wykorzystywane są również błędy administratorów i użytkowników. Wielu z nich nie jest świadomych zagrożeń. Tylko niecałe 50% instytucji przeprowadza szkolenia dotyczące bezpieczeństwa informatycznego [3]. Te same ataki mogą być wykorzystywane w różnych celach. Przykładem jest przepełnienie bufora, które może być wykorzystywane do zdobycia uprawnień administratora lub też do zablokowania usług. Zwykle napastnicy łączą wiele różnych ataków w celu osiągnięcia zamierzonego celu. Przykładowo pierwszym etapem ataku może być „skanowanie” komputera. Pozwala to zdobyć informacje o wersji oprogramowania udostępnionych usług oraz o samym systemie operacyjnym. Równie istotne są informacje o strukturze sieci wewnętrznej. Metody napastników zmieniają się wraz z rozwojem Internetu i dlatego podrozdział ten przedstawia jedynie najbardziej popularne typy ataków.
Celem ataku może być chęć zniszczenia danych lub jedynie zdobycie dostępu do zasobów komputera. W drugim przypadku napastnicy zwykle nie zakłócają pracy innym użytkownikom i ataki tego typu mogą pozostać nie zauważone. Warto zauważyć, że tylko 40% instytucji jest przekonanych, że wykryłoby atak na systemy komputerowe [3]. Często zdobyty komputer jest później wykorzystywany do kolejnych ataków. Sposobów na zdobycie nieuprawnionego dostępu jest wiele. Można wykradać hasła lub łamać je metodą siłową (ang. brute force). Można również próbować przepełnić bufor w celu uzyskania uprawnień administratora.
Hasła są najczęściej stosowanym zabezpieczeniem dostępu do komputera. Bardzo niebezpiecznie jest przesyłać je przez sieć jawnym tekstem. Ważne jest też to, aby były to hasła odpowiednio trudne do odgadnięcia. Nie mogą to być słowa znajdujące się
w jakimkolwiek słowniku. Dobrą metodą jest tworzenie haseł z pierwszych liter słów łatwej do zapamiętania sentencji. Przykładem może być hasło SzNsndJsAsz, które powstało z fragmentu fraszki Jana Kochanowskiego pod tytułem „Na zdrowie”:
Przepełnienie bufora (ang. buffer overflow) pozwala wykorzystać uprawnienia atakowanego programu. Celem ataku są funkcje nie sprawdzające długości wprowadzanych danych. Przepełnienie bufora polega na dostarczeniu dłuższego łańcucha znaków, niż jest oczekiwany. Można tak zmodyfikować bufor, że adres powrotny funkcji wskaże procedurę, która na przykład uruchomi powłokę z uprawnieniami administratora.
Najczęściej nie da się uniknąć ataków blokady usług (ang. Denial of Service - DoS). Powodują one częściowe lub całkowite zablokowanie dostępu do świadczonych usług. Ataki tego typu mogą być realizowane w przeróżny sposób. Najczęściej polega to na zalewaniu sytemu lub sieci komunikatami, procesami lub żądaniami. Warto zauważyć, że ataki nie są jedynym powodem niedostępności systemów przedsiębiorstw. Badani dyrektorzy informatyczni i kierownicy działów IT zwrócili również uwagę na inne przyczyny [3]:
- błąd sprzętowy lub programowy – 56%,
- błąd telekomunikacyjny – 49%,
- błąd osób trzecich (np. usługodawcy informatycznego) – 26%,
- wydajność systemu – 26%,
- błędy operacyjne (np. instalacja niewłaściwego oprogramowania) – 25%,
- wrogie działanie techniczne z zewnątrz (np. hakerzy, wirusy, robaki) – 24%,
- brak takich przypadków; nie wiem – 25%,
- inne – 35%.
Ten typ ataków najczęściej kojarzy się z wykradaniem nazw użytkowników i ich haseł. Należy jednak pamiętać, że potencjalnym celem ataków są wszystkie wartościowe informacje. Wraz z rozwojem Internetu wzrasta też ilość poufnych danych, które mogą stać się celem kradzieży. Wykradzione informacje mogą zostać wykorzystane do różnego rodzaju nadużyć. Internet pozwala bowiem na fałszowanie informacji w zupełnie nowy sposób. Przykładem może być atak polegający na przechwyceniu sesji w protokole TCP (ang. hijacking). W tym celu wykorzystywane jest podsłuchiwanie i modyfikowanie informacji (ang. spoofing). Napastnik przerywa połączenie pomiędzy klientem i serwerem, a następnie podszywa się pod klienta.
Inżynieria społeczna (ang. social engineering) jest jednym z najskuteczniejszych sposobów zdobywania poufnych informacji. Wykorzystywany jest fakt, że najsłabszym ogniwem zabezpieczeń często jest człowiek [6]. Beztroski użytkownik lub administrator może wyjawić hasło lub inne poufne informacje odbierając specjalnie przygotowany list elektroniczny lub telefon. Przykładem mogą być sytuacje, w których:
- przychodzi list elektroniczny, w którym pod pretekstem pojawienia się błędu systemowego występują prośby o podanie identyfikatora wraz z hasłem lub informacji o karcie kredytowej,
- osoba przedstawiająca się jako dyrektor dzwoni do nowego administratora i pewnym, stanowczym głosem domaga się natychmiastowego dostępu do swojego konta,
- zakłopotana i przygnębiona osoba dzwoni i prosi o zmianę swojego hasła.
Podsłuchiwanie (ang. sniffing) pakietów przepływających w sieci pozwala na zdobywanie informacji w sposób pasywny. Wykorzystywany jest fakt, że karta sieciowa może pracować w trybie rozwiązłym (ang. promiscuous mode), co pozwala na odbieranie wszystkich pakietów przesyłanych w danej podsieci. Istotne jest miejsce założenia podsłuchu. Przykładowo najbardziej niebezpieczne będzie podsłuchiwanie informacji na komputerze pełniącym rolę rutera pomiędzy siecią lokalną a Internetem.