Embed Size (px)
DESCRIPTION
VARNOST PODATKOV. Gimna z ija Vi č, Ljubljana 2007/08 Andreja Likar Cerc. Ima moj računalnik virus?. Okužen program lahko dobimo z interneta, od prijatelja, po elektronski pošti… Ko postane rač. počasen, ko se OS zelo dolgo nalaga, ko nenehno nekaj bere z diska ali nanj zapisuje… - PowerPoint PPT Presentation
Citation preview
VARNOST VARNOST PODATKOV PODATKOV
GimnaGimnazzija Viija Vič, Ljubljana č, Ljubljana 2007/082007/08
Andreja Likar CercAndreja Likar Cerc
Ima moj računalnik Ima moj računalnik virus?virus?
• Okužen program lahko dobimo z Okužen program lahko dobimo z interneta, od prijatelja, po elektronski interneta, od prijatelja, po elektronski pošti…pošti…
• Ko postane rač. počasen, ko se OS zelo Ko postane rač. počasen, ko se OS zelo dolgo nalaga, ko nenehno nekaj bere z dolgo nalaga, ko nenehno nekaj bere z diska ali nanj zapisuje…diska ali nanj zapisuje…
• Obiščemo protivirusna spletišča, na Obiščemo protivirusna spletišča, na katerem pregledamo računalnik z katerem pregledamo računalnik z najsodobnejšimi programi in najsodobnejšimi programi in ugotovimo, ali je računalnik res okuženugotovimo, ali je računalnik res okužen
Programski vsiljivciProgramski vsiljivci
• Del programske opreme, s katerimi Del programske opreme, s katerimi okužimo računalnikokužimo računalnik
• Trojanski konjTrojanski konj• BombaBomba• ZajčekZajček• ČrvČrv• VirusVirus• Boti (ali robotki)Boti (ali robotki)• DoSDoS
Trojanski konjTrojanski konj
• Stari Grki v bitki pred TrojoStari Grki v bitki pred Trojo• ProgramProgram• Medtem, ko izvršuje neko nalogo, na Medtem, ko izvršuje neko nalogo, na
skrivaj izvede drugo opravilo, npr. skrivaj izvede drugo opravilo, npr. zbriše podatke z diskazbriše podatke z diska
Bomba, zajček, črv, virusBomba, zajček, črv, virus
• BombaBomba je program, ki čaka v računalniku, je program, ki čaka v računalniku, dokler se ne izpolnijo določeni pogojidokler se ne izpolnijo določeni pogoji
• ZajčekZajček se na računalnik naseli brez vednosti se na računalnik naseli brez vednosti uporabnika in se začne množiti. Kmalu je uporabnika in se začne množiti. Kmalu je računalnik prezaposlen in onemogočenračunalnik prezaposlen in onemogočen
• ČrvČrv je podoben zajčku, le da se širi v rač. je podoben zajčku, le da se širi v rač. Omrežju (Code Red, Sircam, Sober…)Omrežju (Code Red, Sircam, Sober…)
• VirusVirus najprej okuži program. Ko se ta zažene, najprej okuži program. Ko se ta zažene, se najprej izvede virus, ki poišče drug, še se najprej izvede virus, ki poišče drug, še neokužen program in šele nato se zažene neokužen program in šele nato se zažene pravi program. pravi program.
BotBot
• Avtomatiziran trojanec ali črv računalnik Avtomatiziran trojanec ali črv računalnik spremeni v zombijaspremeni v zombija
• Nameščenih veliko neznanih primerkov, Nameščenih veliko neznanih primerkov, za katere ne vedo niti lastniki za katere ne vedo niti lastniki računalnikov niti podjetja, ki se ukvarjajo računalnikov niti podjetja, ki se ukvarjajo z varnostjo.z varnostjo.
• Ustvarjanje mreže računalnikov (ang. Ustvarjanje mreže računalnikov (ang. Botnet), ki so okuženi z določenim botom Botnet), ki so okuženi z določenim botom z namenom kraje podatkov oz. z namenom kraje podatkov oz. upravljanjem nad računalnikom na upravljanjem nad računalnikom na daljavo.daljavo.
DoS (ang. Denial of Service) DoS (ang. Denial of Service) napadinapadi
• Namen: prekinitev povezave z Namen: prekinitev povezave z omrežjemomrežjem– Napad na ranljive točke OSNapad na ranljive točke OS– Pošiljanje preveč podatkov proti žrtviPošiljanje preveč podatkov proti žrtvi– Pošiljanje lažnih konfiguracijskih Pošiljanje lažnih konfiguracijskih
paketov (“routing paketov”)paketov (“routing paketov”)
Najpogostejši načini DoS Najpogostejši načini DoS napadovnapadov
• ““Nuke”, “WinNuke”, “DDoS” v IRC Nuke”, “WinNuke”, “DDoS” v IRC vojnahvojnah
• ““DDoS” napad se vrši iz več DDoS” napad se vrši iz več povezanih računalnikovpovezanih računalnikov
• ““Fork bomb”: zagon toliko procesov, Fork bomb”: zagon toliko procesov, da se procesna tabela zapolnida se procesna tabela zapolni
• ““Ping flood”: poplavi tarčo z veliko Ping flood”: poplavi tarčo z veliko količino navadnih ping paketovkoličino navadnih ping paketov
PingPing
• Orodje se uporablja za ugotavljanje Orodje se uporablja za ugotavljanje dosegljivosti določenega računalnika v dosegljivosti določenega računalnika v omrežjuomrežju
• Oddaljenemu računalniku pošlje ICMP Oddaljenemu računalniku pošlje ICMP (ang. Internet Control Message (ang. Internet Control Message Protocol) “echo request” paket, ta mu Protocol) “echo request” paket, ta mu odgovori z “echo response” paketom. odgovori z “echo response” paketom. Tako dobimo podatek, koliko časa Tako dobimo podatek, koliko časa potrebuje paket za pot do oddaljenega potrebuje paket za pot do oddaljenega računalnika in nazaj in koliko paketov se računalnika in nazaj in koliko paketov se je izgubilo.je izgubilo.
““SYN flood”SYN flood”
• SYN paket je del TCP/IP, ki se uporablja za SYN paket je del TCP/IP, ki se uporablja za vzpostavitev nove povezave med računalnikoma. vzpostavitev nove povezave med računalnikoma. Prvi pošlje drugemu SYN paket, ta mu odgovori Prvi pošlje drugemu SYN paket, ta mu odgovori s paketom SYN-ACK in pričakuje od prvega s paketom SYN-ACK in pričakuje od prvega paket ACK. Ko ga dobi, je povezava paket ACK. Ko ga dobi, je povezava vzpostavljena.vzpostavljena.
• Napadalec pošlje ogromno SYN paketov s Napadalec pošlje ogromno SYN paketov s ponarejenimi izvornimi naslovi. Napadeni mu ponarejenimi izvornimi naslovi. Napadeni mu odgovori s paketom SYN-ACK, napadalec pa ne odgovori s paketom SYN-ACK, napadalec pa ne reagira. Med omejenim številom povezav ostane reagira. Med omejenim številom povezav ostane veliko pol-odprtih povezav, ki lahko zapolnijo veliko pol-odprtih povezav, ki lahko zapolnijo celotno kapaciteto.celotno kapaciteto.
““Smurf”Smurf”
• Napad temelji na ping paketih s Napad temelji na ping paketih s ponarejenim izvornim naslovom, ki ponarejenim izvornim naslovom, ki je v bistvu naslov napadenega je v bistvu naslov napadenega računalnika. Pakete pošlje na računalnika. Pakete pošlje na ogromno število različnih IP ogromno število različnih IP naslovov.naslovov.
• Večina računalnikov na teh IP Večina računalnikov na teh IP naslovih odgovori na ping paket, s naslovih odgovori na ping paket, s čimer zasuje napadeni računalnik.čimer zasuje napadeni računalnik.
PreventivaPreventiva
• Protivirusna programska opremaProtivirusna programska oprema• Odkrije okuženo datoteko in jo Odkrije okuženo datoteko in jo
razkuži ali zbriše razkuži ali zbriše • Uporabljajmo najnovejšo različico, ki Uporabljajmo najnovejšo različico, ki
ima v bazi podatkov vse znane viruseima v bazi podatkov vse znane viruse• Popolne zaščite ni!Popolne zaščite ni!• Norton, F-Secure, Panda, McAffe, Norton, F-Secure, Panda, McAffe,
NOD32, NormanNOD32, Norman
Varovanje podatkov v Varovanje podatkov v omrežjihomrežjih
• Preverjanje pristnostiPreverjanje pristnosti• Požarni zid Požarni zid • Avtorizirana prijavaAvtorizirana prijava• Digitalni podpis Digitalni podpis • Šifriranje zapisaŠifriranje zapisa• KriptologijaKriptologija
Dejavniki in tehnikeDejavniki in tehnike
• Nekaj, kar vesteNekaj, kar veste: kombinacija up. imena in : kombinacija up. imena in gesla (dodeljevanje!, neprimerno geslo)gesla (dodeljevanje!, neprimerno geslo)
• Nekaj, kar imateNekaj, kar imate: kraja kartice, PIN, : kraja kartice, PIN, žetoni, pri oddaljenem dostopu poleg žetoni, pri oddaljenem dostopu poleg žetona še eno geslo za dostop do omrežjažetona še eno geslo za dostop do omrežja
• Nekaj, kar steNekaj, kar ste: biometrično preverjanje : biometrično preverjanje pristnosti: prstni odtisi, geometrija dlani, pristnosti: prstni odtisi, geometrija dlani, skeniranje očesne mrežnice in/ali šareniceskeniranje očesne mrežnice in/ali šarenice
• Vaša lokacijaVaša lokacija: GPS + dovoljenje, da je : GPS + dovoljenje, da je uporabnik na tej lokaciji + ena izmed uporabnik na tej lokaciji + ena izmed gornjih tehnikgornjih tehnik
Protokoli preverjanja Protokoli preverjanja pristnostipristnosti
• KerberosKerberos: preveri identiteto ob prijavi : preveri identiteto ob prijavi (Novell NetWare, MS Windows)(Novell NetWare, MS Windows)
• RADIUSRADIUS ( (RRemote emote AAuthentication uthentication DDial-ial-IIn n UUser ser SService): metoda vprašanje-ervice): metoda vprašanje-odgovorodgovor
• 802.1x802.1x: varnostni protokol inštituta IEEE : varnostni protokol inštituta IEEE za brezžična omrežja; pri pošiljanju za brezžična omrežja; pri pošiljanju sporočil stražnikom kot sta gornja, se sporočil stražnikom kot sta gornja, se zanaša na protokol razširjenega zanaša na protokol razširjenega preverjanja pristnosti EAP (Extensible preverjanja pristnosti EAP (Extensible Authentication Protocol)Authentication Protocol)
Požarni zidPožarni zid
• Preprečuje neavtorizirane vdore v Preprečuje neavtorizirane vdore v lokalna omrežja in posamezne lokalna omrežja in posamezne računalnikeračunalnike
• Če podatki ne ustrezajo določenim Če podatki ne ustrezajo določenim pogojem, jih pogojem, jih program program ne spusti ne spusti naprejnaprej
• Ko je nameščen, postane del Ko je nameščen, postane del operacijskega sistemaoperacijskega sistema
Avtorizirana prijavaAvtorizirana prijava
• vsak uporabnik omrežja ima vsak uporabnik omrežja ima uporabniško ime in geslo za delo v uporabniško ime in geslo za delo v omrežjuomrežju
• Administrator mu dodeli pravice za Administrator mu dodeli pravice za delo v omrežjudelo v omrežju
Digitalni podpisDigitalni podpis
• Pri navadni listini zagotovimo Pri navadni listini zagotovimo verodostojnost z lastnoročnim podpisomverodostojnost z lastnoročnim podpisom
• Verodostojnost: podpisa ni mogoče Verodostojnost: podpisa ni mogoče ponarediti in podpisanega dokumenta se ponarediti in podpisanega dokumenta se ne da spremenitine da spremeniti
• Zagotavlja verodostojnost elektronskih Zagotavlja verodostojnost elektronskih sporočilsporočil
• Sporočilo šifrira avtor z zasebnim Sporočilo šifrira avtor z zasebnim ključem, prejemnik ga lahko dešifrira le z ključem, prejemnik ga lahko dešifrira le z avtorjevim javnim ključemavtorjevim javnim ključem
Šifriranje zapisaŠifriranje zapisa
• V brezžičnem in prostranem omrežju V brezžičnem in prostranem omrežju so podatki zelo izpostavljeni, lahko so podatki zelo izpostavljeni, lahko jih je prestreči in pogledati vanje. jih je prestreči in pogledati vanje.
• S šifriranim zapisom omogočimo, da S šifriranim zapisom omogočimo, da sporočilo prebere samo tisti, ki mu je sporočilo prebere samo tisti, ki mu je namenjeno. namenjeno.
• Za šifriranje potrebujemo ključ, Za šifriranje potrebujemo ključ, danes se uporablja 128 bitni.danes se uporablja 128 bitni.
KriptologijaKriptologija
• Gr. Kruptos + logos = študij skrivanjaGr. Kruptos + logos = študij skrivanja• Šifriranje slike na KTV, denarne Šifriranje slike na KTV, denarne
transakcije v elektronskem bančništvutransakcije v elektronskem bančništvu• Oddajnik: Šifrirana operacija je Oddajnik: Šifrirana operacija je
transformacija T, ki pretvori čisti tekst M transformacija T, ki pretvori čisti tekst M v šifrirani tekst C na osnovi ključa K: v šifrirani tekst C na osnovi ključa K: C = TC = TKK(M)(M)
• Sprejemnik: dešifriranje s procesiranjem Sprejemnik: dešifriranje s procesiranjem teksta C in uporabo inverzne teksta C in uporabo inverzne transformacije Ttransformacije T-1-1 in ključa K: in ključa K: M=TM=T-1-1(C)(C)
• Točkovno (po elementih) in bločno (po Točkovno (po elementih) in bločno (po blokih) šifriranjeblokih) šifriranje
Primer bločnega šifriranja s Primer bločnega šifriranja s transpozicijotranspozicijo
• K: (3 2 5 1 4)K: (3 2 5 1 4)• Tekst: the invasion will beginTekst: the invasion will begin• Delitev v bloke: thein vasio nwill Delitev v bloke: thein vasio nwill
beginbegin• Šifrirani tekst: ehnti saovi iwlnl Šifrirani tekst: ehnti saovi iwlnl
genbigenbi
Primer bločnega šifriranja s Primer bločnega šifriranja s substitucijosubstitucijo
• Cezarjeva substitucija ima za abecedo B Cezarjeva substitucija ima za abecedo B zamaknjeno abecedo Azamaknjeno abecedo A
• Pri zamiku 3 dobimo: Pri zamiku 3 dobimo: – Abecedo A: a b c d e fAbecedo A: a b c d e f– Abecedo B: d e f g h iAbecedo B: d e f g h i
• Tekst: the invasion will beginTekst: the invasion will begin• Šifrirani tekst: wkh lqydvlrq zloo ehjlqŠifrirani tekst: wkh lqydvlrq zloo ehjlq
– (uporabljena angleška abeceda s 26 znaki)(uporabljena angleška abeceda s 26 znaki)
• Vigenerjev sistem uporablja več Cezarjevih Vigenerjev sistem uporablja več Cezarjevih substitucijsubstitucij
