ZŁOŚLIWE OPROGRAMOWANIE

Złośliwe oprogramowanie (ang. malicious software) to programy, które muszą zostać wprowadzone do komputera użytkownika. Mogą one uszkodzić system, zniszczyć dane, a także uniemożliwić dostęp do sieci, systemów lub usług. Mogą one też wykraść dane lub informacje osobiste ze stacji użytkownika i przesłać je samoczynnie do przestępców. W większości przypadków mogą same się replikować i rozprzestrzeniać na inne hosty dołączone do sieci. Czasem techniki te są używane w połączeniu z socjotechniką, aby oszukać nieostrożnego użytkownika, by ten nieświadomie uruchomił taki atak. Przykładami złośliwego oprogramowania są wirusy, robaki oraz konie trojańskie.

Wirus jest programem, który działa i rozprzestrzenia się przez modyfikowanie innych programów lub plików. Wirus nie może uruchomić się sam, musi zostać uaktywniony. Po uaktywnieniu, wirus może nie robić nic poza replikacją i rozprzestrzenianiem się. Nawet prosty typ wirusa jest niebezpieczny, gdyż może szybko zużyć całą dostępną pamięć komputera i doprowadzić system do zatrzymania. Groźniejszy wirus, przed rozprzestrzenieniem się, może usunąć lub uszkodzić pliki. Wirusy mogą być przenoszone przez załączniki poczty elektronicznej, pobierane pliki, komunikatory, a także dyskietki, płyty CD/DVD lub urządzenia USB.

Rodzaje wirusów komputerowych: 1. Pasożytnicze - wykorzystują swoje ofiary do transportu; 2. Polimorficzne - mogą zmieniać swój kod; 3. Wirusy plików wsadowych - wykorzystują do transportu pliki z rozszerzeniem .bat.

Najbardziej znane wirusy to: Chernobyl, CIH, Christmas Tree.

Bomba logiczna (ang. logical bomb), w odróżnieniu od konia trojańskiego, nie uruchamia ukrytego złośliwego oprogramowania od razu tylko w odpowiednim czasie (np. po zajściu określonego zdarzenia lub po kilkukrotnym uruchomieniu wybranej aplikacji).

Exploit jest programem wykorzystującym błędy programistyczne i przejmującym kontrolę nad działaniem procesu.

Keylogger jest oprogramowaniem, mającym na celu wykradanie haseł poprzez przejęcie kontroli nad obsługą klawiatury.

Ransomware (ang. ransom - okup) jest aplikacją wnikającą do atakowanego komputera a następnie szyfrującą dane jego właściciela. Perfidia tego złośliwego oprogramowania polega na zostawieniu odpowiedniej notatki z instrukcją, co musi zrobić właściciel zainfekowanego komputera, aby odzyskać dane.

Rootkit jest programem ułatwiającym włamanie do systemu komputerowego poprzez ukrycie niebezpiecznych plików i procesów mających kontrolę nad systemem. Wykrycie takiego programu w zainfekowanym komputerze jest bardzo trudne, gdyż jest on w stanie kontrolować pracę specjalistycznych narzędzi do jego wykrywania.

Najbardziej znane to: Hacker Defender, CD Sony Rootkit.

Spyware jest złośliwym oprogramowaniem mającym na celu szpiegowanie działań użytkownika komputera. Zadaniem spyware jest gromadzenie informacji o użytkowniku (adresy stron internetowych odwiedzanych przez użytkownika, dane osobowe, numery kart kredytowych i płatniczych, hasła, adresy e-mail).

Najbardziej znane spyware to: Gator, Cydoor, Save Now.

Stealware jest oprogramowaniem mającym na celu okradanie nieświadomego użytkownika poprzez śledzenie jego działań. Instalacja takiego programu odbywa się bez wiedzy i zgody użytkownika za pomocą odpowiednio spreparowanych wirusów komputerowych, robaków lub stron WWW wykorzystujących błędy i luki w przeglądarkach internetowych. Stealware w przypadku stwierdzenia próby płatności przez Internet podmienia numer konta, na które zostaną wpłacone pieniądze.

RODZAJE PROGRAMÓW ANTYWIRUSOWYCH

Poniżej przedstawiamy wybrane rodzaje programów antywirusowych.

1. Skaner (ang. scaner) należy do najstarszych i najprostszych sposobów ochrony przed wirusami komputerowymi. Zasada działania skanera polega na wyszukiwaniu pewnej sekwencji bajtów w zadanym ciągu danych. Skaner jest tym skuteczniejszy, im wirus zawiera w sobie bardziej charakterystyczny napis lub ciąg bajtów.
2. Monitor (ang. resident monitor) to oprogramowanie antywirusowe zainstalowane w systemie operacyjnym jako program rezydentny. Skuteczność monitora zależy od tego, czy przejął on kontrolę nad systemem przed działaniem wirusa, czy po jego działaniu oraz od tego, jak głęboko wnika on w system operacyjny.
3. Szczepionka (ang. disinfector) jest oprogramowaniem antywirusowym, działającym przeciwko konkretnym infekcjom. Po wykryciu wirusa i poddaniu odpowiedniej analizie jego kodu można zdefiniować pewne właściwości umożliwiające przygotowanie właściwej szczepionki.
4. Program zliczający sumy kontrolne (ang. integrity checker) przy pierwszym uruchomieniu dokonuje odpowiednich obliczeń dla plików zgromadzonych na dysku a następnie wykorzystuje te dane, aby porównać z bieżąco wyliczoną sumą kontrolną i na tej podstawie stwierdzić ewentualną obecność wirusa.

SPOSOBY ATAKOWANIA SIECI

Atak zewnętrzny - jest powodowany przez osoby, które nie pracują w danej organizacji. Atakujący z zewnątrz toruje sobie drogę do sieci głównie przez Internet, łącza bezprzewodowe lub usługi wdzwaniane

Atak wewnętrzny - może przeprowadzić ktoś, kto ma dostęp do sieci, czyli posiada konto lub ma dostęp fizyczny. Atakujący przeważnie zna ludzi oraz politykę wewnętrzną firmy. Nie wszystkie wewnętrzne ataki są celowe. W niektórych przypadkach zagrożenie wewnętrzne może powodować niefrasobliwy pracownik, który ściągnie i uruchomi wirusa, a następnie nieświadomie wprowadzi go do wnętrza sieci. Większość firm wydaje znaczące sumy na ochronę przed zewnętrznymi atakami, mimo iż większość zagrożeń pochodzi ze źródeł wewnętrznych. Jak podają statystyki, dostęp z wewnątrz i nadużycie systemów komputerowych stanowi ok. 70% zgłoszonych naruszeń bezpieczeństwa.

Atak tradycyjny - polega na atakowaniu z jednego komputera jednego lub wielu hostów sieciowych. Często zdarza się, że włamywacze nie atakują bezpośrednio, a korzystają z komputerów ofiar dla ukrycia prawdziwego źródła ataku oraz utrudnienia ich odnalezienia. Jak widać na rys. 7, intruz korzysta z kilku węzłów pośredniczących tak, aby atakowany obiekt zinterpretował je jako źródła ataków.

Atak rozproszony - polega na zainicjowaniu przez atakującego wielu jednoczesnych ataków na jeden lub wiele celów. Zwykle następuje on w dwóch fazach. Początkowo atakujący musi przygotować węzły, z których atak taki mógłby być przeprowadzony. Polega to na ich znalezieniu i zainstalowaniu oprogramowania, które będzie realizowało właściwą fazę ataku rozproszonego. Cechą charakterystyczną drugiej fazy jest wysyłanie pakietów przez atakującego z węzłów pośredniczących a nie z hosta atakującego. Ataki rozproszone przynoszą atakującemu korzyści w postaci utajenia źródła ataku, zmasowanej siły ataku, poszerzenia bazy wiedzy na temat atakowanego celu i wreszcie trudności w jego zatrzymaniu.

RODZAJE WŁAMAŃ SIECIOWYCH

Po uzyskaniu dostępu do sieci haker może powodować następujące zagrożenia:

1. Kradzież informacji - włamanie do komputera w celu uzyskania poufnych informacji. Skradzione informacje mogą zostać użyte do różnych celów lub sprzedane.
2. Kradzież tożsamości - forma kradzieży, w której przedmiotem kradzieży stają się informacje osobiste, mająca na celu przejęcie czyjeś tożsamości. Używając takich informacji, włamywacz może uzyskać dokumenty, wyłudzić kredyt lub dokonać zakupów w sieci. Jest to coraz powszechniejsza forma włamania sieciowego powodująca miliardowe straty.
3. Utrata i zmiana danych - włamanie do komputera w celu zniszczenia lub dokonania manipulacji danych. Przykłady utraty danych to: wysłanie wirusa formatującego dysk twardy ofiary lub dokonanie zmiany np. ceny danego towaru.
4. Blokada usług - uniemożliwienie świadczenia usług sieciowych.

RODZAJE ATAKÓW SIECIOWYCH

Spam
Niechciane masowe przesyłki e-mail to kolejny dokuczliwy produkt wykorzystujący naszą potrzebę elektronicznej komunikacji. Niektórzy handlowcy nie tracą czasu na ukierunkowanie reklamy. Chcą wysyłać reklamy do jak największej liczby użytkowników w nadziei, że ktoś będzie zainteresowany ich produktem lub usługą. Takie szeroko dystrybuowane podejście do marketingu w Internecie określane jest mianem spamu. Spam stanowi poważne zagrożenie, które może przeciążyć sieci dostawców usług sieciowych, serwery pocztowe oraz komputery użytkowników. Osoba lub organizacja odpowiedzialna za wysyłanie spamu jest nazywana spamerem. Spamerzy zwykle wykorzystują niezabezpieczone serwery pocztowe do rozsyłania poczty. Mogą też użyć technik hakerskich, takich jak: wirusy, robaki i konie trojańskie do przejęcia kontroli nad domowymi komputerami. Komputery te są wówczas używane do wysyłania spamu bez wiedzy właściciela. Spam może być rozsyłany przez pocztę elektroniczną lub, jak ostatnio, przez komunikatory sieciowe.

Atak DoS
Ataki DoS (ang. Denial of Service) są prowadzone na pojedyncze komputery lub grupy komputerów i mają na celu uniemożliwienie korzystania z usług. Celem ataku DoS mogą być systemy operacyjne, serwery, routery i łącza sieciowe. Główne cele ataków DoS to:

1. Zalanie systemu (lub sieci) ruchem, aby zablokować ruch pochodzący od użytkowników.
2. Uszkodzenie połączenia pomiędzy klientem i serwerem, aby uniemożliwić dostęp do usługi.

Istnieje kilka typów ataków DoS. Administratorzy odpowiedzialni za bezpieczeństwo muszą być świadomi ich istnienia i wiedzieć, jak się przed nimi uchronić. Dwa podstawowe przykłady ataków DoS to:

1. Zalewanie SYN (synchroniczne) - zalewanie serwera pakietami rozpoczynającymi nawiązanie połączenia.Pakiety te zawierają nieprawidłowy źródłowy adres IP. Serwer nie odpowiada na żądania użytkowników, ponieważ jest zajęty generowaniem odpowiedzi na fałszywe zapytania (rys. 10).
2. Ping śmierci (ang. Ping of death) - do urządzenia sieciowego wysyłany jest pakiet o rozmiarze większym niż maksymalny (65535 bajtów). Taki pakiet może spowodować awarię systemu.

Atak DDoS
Atak DDoS (ang. Distributed Denial od Service) jest odmianą ataku DoS ale o wiele bardziej wyrafinowaną i potencjalnie bardziej szkodliwą. Został stworzony, aby nasycić sieć bezużytecznymi danymi. DDoS działa na znacznie większą skalę niż ataki DoS. Zwykle atakuje setki lub tysiące miejsc jednocześnie. Tymi miejscami mogą być komputery zainfekowane wcześniej kodem DDoS. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego złośliwego oprogramowania. Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora, pasmo sieciowe), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu.

Phishing
Phishing jest techniką wyłudzania poufnych informacji poprzez podszywanie się pod osobę pracującą w atakowanej organizacji, np. w banku. Atakujący zwykle kontaktuje się za pomocą poczty elektronicznej. Może poprosić o weryfikację informacji (np. hasła, nazwy użytkownika), by rzekomo zabezpieczyć ofiarę przed groźnymi konsekwencjami.

WYBRANE METODY BEZPIECZEŃSTWA SIECIOWEGO

Przykłady narzędzi i aplikacji używanych do zabezpieczania sieci:

1. Zapora ogniowa (ang. firewall) - sprzętowe lub programowe narzędzie bezpieczeństwa, które kontroluje ruch do i z sieci.
2. Bloker spamu - oprogramowanie zainstalowane na serwerze lub komputerze użytkownika, identyfikujące i usuwające niechciane wiadomości.
3. Łatki i aktualizacje - oprogramowanie dodane do systemu lub aplikacji naprawiające luki w bezpieczeństwie lub dodające użyteczną funkcjonalność.
4. Ochrona przed spyware - oprogramowanie zainstalowane na stacji użytkownika do wykrywania i usuwania spyware i adware.
5. Blokery wyskakujących okienek - oprogramowanie zainstalowane na komputerze użytkownika do zabezpieczania przed wyskakiwaniem okienek z reklamami.
6. Ochrona przed wirusami - oprogramowanie zainstalowane na komputerze użytkownika lub serwerze, wykrywające i usuwające wirusy, robaki oraz konie trojańskie z plików i wiadomości e-mail.

SYSTEMY WYKRYWANIA INTRUZÓW (WŁAMAŃ) IDS

Zadaniem systemu wykrywania intruzów (IDS - ang. Intrusion Detection System) jest identyfikacja zagrożenia w sieci komputerowej. Podstawą wykrywania włamań jest monitorowanie ruchu w sieci. Systemy wykrywania włamań działają w oparciu o informacje odnoszące się do aktywności chronionego systemu - współczesne systemy IDS analizują w czasie rzeczywistym aktywność w sieci.
Włamanie do systemu najczęściej przebiega w dwóch etapach:
Etap pierwszy - próba penetracji systemu będącego celem ataku. Intruz usiłuje znaleźć lukę w systemie (na przykład próbuje skanować porty), umożliwiającą wtargnięcie do systemu poprzez ominięcie systemów zabezpieczających.
Etap drugi - wtargnięcie do systemu. Jednocześnie odbywa się próba zamaskowania obecności intruza poprzez odpowiednie zmiany w logach systemowych. Włamywacz podejmuje również próby modyfikacji narzędzi systemowych tak, by uniemożliwić swoje wykrycie.

Systemy IDS analizują procesy zachodzące w newralgicznych obszarach sieci objętej ochroną. Umożliwiają więc wykrycie niepożądanych zajść podczas próby włamania oraz po udanym włamaniu - jest to bardzo ważne ze względów bezpieczeństwa, ponieważ IDS działa dwufazowo - nawet jeżeli intruz zdoła włamać się do systemu, nadal może zostać wykryty i unieszkodliwiony, mimo usilnego zacierania śladów swojej działalności. Systemy IDS korzystają z czterech podstawowych metod, dzięki którym możliwe jest zidentyfikowanie intruza wewnątrz chronionej sieci:

1. Dopasowywanie wzorców - jest to najprostsza metoda detekcji intruza; pojedynczy pakiety porównywany jest z listą reguł. Jeśli któryś z warunków jest spełniony, to jest uruchamiany alarm.
2. Kontekstowe dopasowywanie wzorców - w kontekstowym dopasowywaniu pakietu, system bierze pod uwagę kontekst każdego pakietu. Śledzi połączenia, dokonuje łączenia fragmentowanych pakietów.
3. Analiza heurystyczna - wykorzystuje algorytmy do identyfikacji niepożądanego działania. Algorytmy te są zwykle statystyczną oceną normalnego ruchu sieciowego. Przykładowo, algorytm stwierdzający skanowanie portów wykazuje, że takie wydarzenie miało miejsce, jeżeli z jednego adresu w krótkim czasie nastąpi próba połączeń z wieloma portami.
4. Analiza anomalii - sygnatury anomalii starają się wykryć ruch sieciowy, który odbiega od normy. Największym problemem jest określenie stanu uważanego za normalny.

Mimo ciągłego rozwoju systemów IDS, napotykają one na liczne przeszkody, które zniekształcają prawidłowe działanie oprogramowania:

1. Mnogość aplikacji - w przypadku ataku na konkretną aplikację, polegającym na podawaniu jej nietypowych danych, system musi "rozumieć" protokół, którego dana aplikacja używa. Protokołów sieciowych jest bardzo wiele i system IDS na ogół nie zna ich wszystkich, a tylko pewien ich podzbiór. Jest to wykorzystywane przy próbach ataku na sieć chronioną przez IDS.
2. Defragmentacja pakietów - wykrycie ataku rozłożonego na kilka pakietów wymaga monitorowania przebiegu sesji. Takie działanie pochłania jednak część zasobów komputerowych: pamięć i czas.
3. Fałszywe alarmy.
4. Ograniczenia zasobów - zajęcie wszystkich zasobów sensora jest wykorzystywane do ataków na sieci chronione przez IDS.

1. Nieautoryzowany dostęp do zasobów - najbardziej liczna grupa ataków zawierająca w sobie między innymi łamanie haseł dostępowych, używanie koni trojańskich oraz podszywanie się.
2. Nieuprawniona modyfikacja zasobów - to nieuprawnione modyfikacje, kasowanie danych oraz generowanie nieuprawnionych transmisji danych.
3. Blokowanie usług - przede wszystkim ataki typu DoS/DDoS.
4. Ataki zorientowane na aplikacje - ataki wykorzystujące błędy oraz luki zawarte w aplikacjach.

Łamanie haseł

Brute Force (ang. "brutalna siła" tj. niewspomagana umysłem) - określenie algorytmu, który opiera się na sukcesywnym sprawdzeniu wszystkich możliwych kombinacji w poszukiwaniu rozwiązania problemu, zamiast skupiać się na jego szczegółowej analizie.
Metoda siłowa polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła.
W tej metodzie analizowany jest każdy możliwy przypadek - atak polega na sprawdzaniu po kolei każdego znaku i jego kombinacji, np. z literami, cyframi, znakami specjalnymi.
Metoda ta jest czasochłonna, ponieważ sprawdzenie wszystkich możliwych kombinacji znaków wymaga dużej mocy obliczeniowej. Przy stosowaniu tej metody trzeba dysponować wydajnym komputerem, a czas łamania hasła zależy od złożoności oraz długości hasła.
Mimo długiego czasu łamania hasła, ten rodzaj ataku ma przewagę nad metodą słownikową, ponieważ umożliwia łamanie haseł typu „#ds23c#$ %BFsat", z którymi metoda słownikowa raczej sobie nie poradzi.
Teoretycznie za pomocą metody siłowej można złamać każde hasło.

Metoda słownikowa - polega na sprawdzaniu kolejnych, gotowych haseł znajdujšcych się w bazie danych, w tzw. słowniku. Słownikiem takim jest zazwyczaj zwykły plik tekstowy. Atak może polegać np. na kolejnych próbach zalogowania się do systemu na czyjeœ konto, przy założeniu, że znana jest nazwa konta (login).

PODSTAWOWE FUNKCJE ZAPÓR OGNIOWYCH

Zapora ogniowa jest jednym z najefektywniejszych narzędzi, służących do zabezpieczania wewnętrznych użytkowników sieci przed zagrożeniami zewnętrznymi. Zapora ogniowa stoi na granicy dwóch lub więcej sieci i kontroluje ruch pomiędzy nimi oraz pomaga zapobiec nieupoważnionemu dostępowi. Zapory ogniowe używają różnych technik w celu określenia, jaki dostęp do sieci ma zostać przepuszczony, a jaki zablokowany.
Ochrona systemów informatycznych określona w polityce bezpieczeństwa zakłada wykorzystywanie zapór ogniowych jako blokady przesyłania nieautoryzowanych danych między sieciami wewnętrzną i zewnętrzną.
Podstawowe funkcje tych urządzeń to:

1. ochrona adresów IP i przesyłanie komunikacji - dzięki tej funkcji możliwe jest tworzenie dodatkowych podsieci; mając do dyspozycji pojedynczy adres IP można utworzyć sieć lokalną LAN a nawet rozległą WAN;
2. Oddzielenie sieci - zapora jest przede wszystkim narzędziem służącym do tworzenia granic między sieciami, nie musi ona jednak być umieszczona między siecią publiczną a prywatną; zapory ogniowe umieszcza się również wewnątrz sieci firmowych;
3. Ochrona przed atakami i skanowaniem - za pomocą zapór ogniowych można ograniczyć dowolny typ komunikacji sieciowej;
4. Filtrowanie adresów IP - funkcja ta umożliwia zarządzanie połączeniami w zależności od adresu IP oraz portu;
5. Filtrowanie zawartości - serwery pośredniczące proxy są jedynym typem zapór ogniowych, które są w stanie analizować komunikację badając adresy URL oraz zawartość stron WWW;
6. Przekierowywanie pakietów - funkcja ta polega na kierowaniu komunikacji na zupełnie inny port lub host niż ten, do którego został wysłany;
7. Uwierzytelnienie i szyfrowanie - zapora ogniowa umożliwia uwierzytelnienie użytkowników i szyfrowanie transmisji wykonywanych między nią a zaporą innej sieci;
8. Rejestrowanie komunikacji w dziennikach - zapora ogniowa umożliwia przegląd szczegółowych informacji na temat pakietów sieciowych przechodzących