Бизнес в интернет
Изтегляне 1.78 Mb.
|
| Заплахи при Интернет
Повечето заплахи при Интернет могат да се класифицират в една от следните четири категории:
Много хора се опитват да намерят слаби места в софтуера или конфигурацията, за да могат да влезнат в системата. Често онлайн банките са целта на хакерите, тъй като идеята за трансфер на пари е значителна мотивация за много хора. В някои случаи хакерите не искат да получат достъп до системата, а просто да предизвикат така наречения „отказ за изпълнение на услуга" („Denial of Service - DoS"). Целта на DoS е да се откаже достъпа на оторизирани потребители до системата. Това може да стане посредством атакуване на мрежови компоненти, като маршрутизатори или компютърни системи, чрез атакуване на определени приложения или операционната система. Това води до прекъсване работата на системата, което може да доведе до финансови загуби на потърпевшата компания. Съвременните технологии за обезпечаване на сигурността затрудняват действията на хакерите, но всеки ден се публикуват нови уязвими места в приложния софтуер и операционните системи, с което се предлагат нови възможности за хакерите. За да може една система да има гарантирана сигурност е необходимо операционната система и приложния софтуер да се обновяват регулярно. Има много начини, по които може да се атакува една система. Един от тези начини е например, да се наблюдава комуникацията между двама партньори. По подразбиране, комуникацията през Интернет е абсолютно незащитена и информацията се предава като прозрачен текст. Чрез наблюдение на комуникацията може да се извлече конфиденциална информация и пароли. Ако например, осъществите достъп до вашия mail сървър, името на потребителя и паролата се изпращат до сървъра и всеки в Интернет може да ги прихване. Ако даден хакер успее да прихване това, той може да промени информацията преди тя да е стигнала до предназначеното местоположение. В случай, че получателя няма специален софтуер, той няма да забележи промените направени от трето лице. Една друга възможност за неприятности е софтуера или хардуера да бъдат откраднати. Софтуер, като например бази данни може да съдържа конфиденциални данни и пароли, а хардуера може да даде възможност на хакера да разбере как е изградена вътрешната мрежа. Освен това, при достъп на хакери до хардуера те могат да разберат фабрично кодираната в отделните хардуерни модули информация, като например код на смарт карта, посредством който може да се разбере по какъв начин се използва тази карта. Освен прихващане на мрежови комуникации, могат да се прихващат и електромагнитни изходни сигнали от устройства, като например монитори. Съществуват устройства, които могат да копират съдържание, показано на екрана на един монитор върху друг монитор, който се намира на разстояние стотици метри. Реализирането на „отказ за изпълнение на услуга" може да стане чрез атакуване на уязвими места в операционната система или приложен софтуер, или когато дадена услуга просто се претовари с прекалено много заявки. В последния случай, системата е заета с обслужване на тези заявки и отказва изпълнението на легитимните заявки. "Троянските коне" са друг метод за нелегитимно проникване в дадена система. Обикновено „троянският кон" е скрит в безобидно изглеждащ софтуер, който го активира при стартирането си. „Троянският кон" работи на заден план и събира информация за системата и нейните потребители. След това, тази информация се изпраща на хакера, който може да влезе в системата и да я контролира отдалечено. Друг известен тип атака е „маскирането" (известно още като „лъжливо представяне" ). Представяйки се за друг потребител, хакерът може да влезе в системата. Повечето атаки се изпълняват с лъжлив IP адрес. Много системи позволяват достъп до ресурсите само на ограничен набор IP адреси. Хакерът показва IP адрес точно от този набор, при което получава автоматичен достъп до определени ресурси. Много системи игнорират заявките от системи с неоторизирани IP адреси. С помощта на лъжлив IP адрес, дадена система може да се покаже като оторизирана за осъществяване на достъпа. Въпреки че при представянето на лъжлив IP адрес няма да се дадат автоматично права за достъп, хакера има възможност да види необходимата му информация. При представянето на лъжлив IP адрес, системата до която се изисква достъп ще започне да отговаря на заявките на хакера и по този начин ще му даде възможност да атакува повече неща. Друг начин за получаване на информация от дадена система е да се погледне в кофите за боклук, които се намират пред сградата на офиса на дадена компания. Често служители изхвърлят дискети, които могат да съдържат информация, която да помогне на хакерите при влизането в системата. При атаки осъществени по този начин е по-лесно да се открият хакерите, тъй като се предполага, че те се намират близко до офиса на компанията. Друг начин за получаване на достъп до паролите и вътрешната архитектура на системата, обезпечаваща сигурността на информацията е като се подкупи някой служител. Често когато на някои служители им се предложат пари, те са готови да дадат информация за начина на достъп до системата и до конфиденциална информация. Въпреки че не е възможно да контролирате всеки един от своите служители, системата за сигурност никога не трябва да зависи от един единствен служител. Много е важно повече хора да са запознати с нея, за да може да се реагира в случаите когато даден служител е болен или пък напусне компанията. Физическият достъп е по-традиционен начин за получаване на информация или нарушаване работата на дадена услуга. В този случай, атакуващият влиза в сградата, преминава безпрепятствено през системата за контрол на достъпа и просто си взима необходимата информация. Това изисква атакуващия да бъде физически близко до мястото от където ще взема информацията. Това често помага да се разкрие хакера и понастоящем този тип атаки са почти невероятни. Във връзка с лъжливите IP адреси много хакери не само че дават лъжлива информация, но и събират информация, като например пароли. Представете си, че любимия ви онлайн магазин за книги в Интернет получи лъжлив IP адрес. Когато влезете в URL на този магазин, името на домейна се свърза с неверния IP адрес и ви показва неправилна home page. Повечето професионални хакери копират съдържанието на web страницата на ново място и препращайки потребителите към новия сайт събират информация за тях. Когато даден потребител си избере определени книги, които ще закупи, посредством неговите име и парола може да се осъществи достъп до съществуващите му банкови сметки. В случай, че тази информация попадне в ръцете на хакер може да си представите какво той може да направи, докато потърпевшия разбере и предприеме мерки. Друг начин, по който хакерите могат да се допуснат до системата е като им се предостави информация за вътрешната мрежа. Много компании използват имена на домейни от типа „system01.domain.org", „ "system02.domain.org ", „ system03.domain.org " и т.н. Това може да помага на персонала да брои наличните системи, но улеснява хакерите, които разбират кои компютри са включени и какви са техните имена. Повечето компании използват като домейн за външен web сървър име от типа www.domain.org, но www често е псевдоним за име на реална система. Срещал съм системи, които се наричат „xxx07domain.org" и в същото време са външен web сървър. Написвайки „telnet xxx01.domain.org" лесно може да се разбере дали други системи са директно свързани към Интернет и с каква операционна система работят. Друга слабост на някои компании е, че дават възможност на външния свят да вижда вътрешната им DNS структура. В случай, че никой не може да вижда вътрешната мрежа, тогава никой няма да знае за какво се използва всяка една от системите в тази структура. Социално инженерство Повечето сложни и успешни атаки не са свързани с техническо проникване в дадена система, а имат социален характер. Вместо да се използва технология за влизане в дадена система, социалното инженерство опитва да намери хора, които да изпълнят заявките на атакуващите. Това не означава, че вие можете отдалечено да контролирате техните мисли и намерения. Социалното инженерство използва навиците на хората по такъв начин, че те да не разберат, че някой е получил от тях някаква информация. Повечето атаки се осъществяват, като хакера се представя за някой друг. Това разбира се включва повече от просто обаждане до IT отдела на дадена компания и поискване на паролите за компютрите, на които се намират защитния софтуер. Въпреки че може да не повярвате на това, всичко може да завърши само с един телефонен разговор, ако е подготвено добре. Социалното инженерство акцентува върху най-слабата връзка при Интернет сигурността - човека. За да бъде защитена една система, тя не трябва да бъде свързана към Интернет. Но дори и това не може да гарантира, че системата наистина ще бъде сигурна. През април 1999 г. хакери успяха да откраднат информация от институт за ядрени изследвания в САЩ, като използваха вътрешен човек, който изкопира необходимата им информация върху дискета. Много бизнес компании разчитат на Интернет, а в бъдеще почти всички компании ще искат да участват в Интернет бизнеса. От тук се вижда, че всяка една от тези компании може да се окаже цел за хакерите. Социалното нахлуване улеснява хакерите, тъй като то не зависи от платформата, от операционната система или от приложния софтуер на системата на хакера. Социалното хакерство работи по индиректен начин. Всеки, който има връзка с хора, познаващи системата за защита на информацията на дадена компания, може да се разглежда като потенциален риск за сигурността. С едно обаждане на секретар могат да се разберат имената на хората, работещи в дадена организация, от които може да се получи допълнителна информация. След няколко телефонни разговора, които не могат да се проследят, така както могат да се проследят електронни пощи, хакера получава достатъчно информация за компанията и нейните процедури на работа, така че просто може да се обади на някой от отдела по сигурност и да се представи за даден служител от компанията. Събраната информация е като малки части от пъзел, които изглеждат съвсем незначителни за този, който предоставя информацията. Само че събрана като цяло, тази информация може да се използва за атаки срещу компанията. За да получи необходимата информация, необходимо е този, който я събира да се адаптира към вътрешните за компанията процеси. Схемите показващи структурата на компанията и телефонните указатели може да се окажат нещо доста полезно. Вътрешните документи, които се изхвърлят, винаги трябва да се късат, за да не може случаен минувач просто да си извади от кофата за боклук. Понастоящем използването на дискети трябва да се елиминира изцяло. Информацията от форматирана дискета може да се възстанови лесно. Твърдите дискове и дискетите, които вече не се използват в дадена компания трябва да се унищожават изцяло. Социалното инженерство не изисква задълбочени компютърни познания и дава възможност на всеки да се превърне в хакер. Друг метод за получаване на информация е просто тя да се поиска директно. Просто можете да се обадите на администраторите и да поискате паролите за системата, обезпечаваща защитата на информацията. За да имате успех трябва да имате поглед върху структурата на компанията. Хакерът, например може да разбере, че някой мениджър на компанията, която смята да атакува е просто в друга държава, която е в часова зона различаваща се с осем часа от тази на държавата, в която е неговата компания. Да предположим, че този мениджър ще изнася реч в тази държава. Тогава хакерът може да се обади в офиса половин час преди речта на мениджъра и да попита за паролата, защото преносимия компютър, на който е презентацията не работи. Поради разликата в часовата зона, най-вероятно в държавата където е офиса на компанията да е нощ и само дежурните служители да бъдат на работа. Хакерът може да се представи за мениджъра и да поиска информацията да му бъде предоставена веднага, за да не закъснее със своята реч. За да убеди служителите, че той е този, за който се представя той може да поиска да говори с ръководителя на IT отдела. Представете си този случай. Ако вие сте на мястото на този, от който се изисква да даде паролата ще го направите ли? През работно време може би ще направите някои проверки, но през нощта, когато сте сънен най-вероятно ще дадете исканата от вас информация без да се замислите. Социалното инженерство събира информация и оказва социален натиск. Една от често използваните стратегии е да се получи информация от служител, който очаква да бъде уволнен. Хакерите използват силни аргументи когато правят последната стъпка от своята атака, тъй като слабите аргументи могат да породят съмнения. Когато се представят силни аргументи повечето хора се подчиняват. Този вариант ще има добър успех, особено ако човека, който се атакува е по-малко компетентен от хакера. Както виждате, когато в администрирането на една система участва фактора човек, дори и тази система да има най-добрата защита, тя може да бъде атакувана индиректно. За да намалите верността вашата система да бъде атакувана посредством социално инженерство, трябва да обучите всички служители във вашата компания. Всеки един служител трябва да разбира важността на сигурността и да знае какви са методите използвани от хакерите. В много случаи е по-лесно да се получи информация от тези, които работят с компютрите, отколкото от самите компютри. В същото време е истина, че е по-лесно да се принудят служителите да не дават информация, отколкото да защитите даден компютър. Изводът от това е, че е необходимо непрекъснато обучение на служителите. Защита разчитаща на неизвестност Много компании ограничават разпространяването на информация, свързана със системите за сигурността. Избягвайки темите на разговор, свързвани със сигурността, голяма част от компаниите вярват, че нищо не може да им се случи. Други компании се опитват да скриват информация на своя web сървър, който може да се посещава от определена група потребители. Някои пък държат отворени за всеки, своите екстранет мрежи като разчитат на това, че ако дадат своя URL на определени потребители, никой освен тях няма да може да намери необходимата му информация. Други компании мислят, че тяхната технология обезпечаваща сигурността е толкова сложна, че никой няма да може да я разбере и да злоупотреби с нея. Практиката доказа, че тези принципи са грешни и много експерти по сигурността смятат, че трябва да се провеждат отворени дискусии и обучение относно концепциите и технологиите за сигурност-Откритата дискусия за стандартите за сигурност е ключа към успешните технологии, така както отворените дискусии за Интернет технологията доведоха до успеха на Интернет. Обезпечаване на сигурност посредством неяснота все още е доста прилагана стратегия при много компании, които се опитват да избегнат пропуските при обезпечаване на защитата. Разпространителите на софтуер се надяват, че като избягват въпросите за сигурността никой няма да документира пропуските и уязвимите места от гледна точка на сигурността в даден софтуер. Най-добрите продукти осигуряващи защита/сигурност се дискутират свободно и открито, и дори изходния код на продуктите може да се види от всеки Първоначално това може да ви се види странно, защото хакерите могат също да видят как работят алгоритмите. Само че по този начин и трети страни могат да видят кода и дори да го подобрят. Това изисква разпространителят на софтуера за защита да разработи алгоритми, които осигуряват силно криптиране без да може да се инвертира действието на алгоритъма. Един много добър пример е Pretty Good Privacy (PGP) където процесите и алгоритмите са документирани, без това да намалява степента на защита. Решаване на въпросите със сигурността Първият тип атака е отказ за изпълнение на услуга. Повечето от този тип атаки се правят като се атакува индиректно услугата - обект на атаката. В много случаи се атакува друга услуга, която е стартирана на същата система и за която се знае, че има слаби места. Например, един web сървър трябва да блокира всичкия трафик, който не е HTTP. Игнорирайки трафика на всички останали портове, освен порт 80 за НТТР, сървъра е по-малко уязвим към този тип атаки и не губи процесорна мощност за обработва на нелегитимни заявки за услуги от web клиенти. За голяма част от цифровия бизнес друга също често срещана заплаха е „маскирането". Представяйки се за легитимен потребител, нахлуващия може да получи достъп до конфиденциална информация и изпълними команди, които не са достъпни за общата публика. В повечето случаи проблема тук е в това, че идентифицирането е базирано на един фактор, като парола или пин код. Последните две могат лесно да се изкопират. За да се направи идентифицирането сигурно то трябва да бъде двуфакторно. Това означава, че е включен не само фактора „нещо, което потребителя знае", но и фактора „нещо, което потребителя има". С използването на смарт карта с пин код, атакуващите трудно могат да се представят за някой друг, защото трябва да се преминат две независими бариери, преди да бъдат допуснати до системата. Въпреки, че двуфакторното идентифициране е доста по-сигурно, все още има възможности за неоторизирано влизане в системата, физическият токен, като например смарт карта съдържа „тайна", която се използва за допускане на потребителя до системата. Тази „тайна" се отключва с помощта на пин кода. За да получат достъп до системата, атакуващите трябва да знаят „тайната" или да притежават тази смарт карта и пин кода. За да не позволите на хакери да разберат „тайната" трябва да направите така, че физическия токен да не може да се фалшифицира. За да избегнете улавянето на пакета, „тайната" никога не трябва да напуска токена и не трябва да е възможно нейното прочитане. За да направите един физически токен уникален, е необходимо да се направи връзката между приносителя на токена и неговия притежател. За да се избегне прихващането на пин кода, неговата валидност трябва да се отбележи върху самата карта. Това изисква клавиатурата от която се въвежда пин кода да е директно свързана с токена, за да се гарантира конфиденциалността на информацията. Една регулярна проверка на log файловете на защитната мрежа, на web сървърите и на сървърите за приложения помага да се избегне фалшивото идентифициране. Един log файл трябва да записва всички неуспешни опити за влизане в системата и в случай, че броя на тези опити е голям, трябва да се стартира процес за контрол на идентифицирането. Друг тип атака е прихващането на DNS, което позволява на хакерите да пренасочат клиентите към друг сървър и да получат важна информация за тях. За да се гарантира, че сървъра, с който се свързва даден клиент е правилния, трябва да се добави идентифициране на сървъра. Това се постига като на сървъра се постави цифров сертификат, който е уникален за всяка комбинация от име на домейн и IP адрес. За да се избегне промяната на информацията по време на предаването и, трябва да се активира проверка за цялост на съобщението. Това се постига като към електронната поща се добави hash код (случаен/разбъркан код). Кодирането на съобщението помага за избягване на подслушването и за запазване на конфиденциалността му. Един от големите проблеми в Интернет е отхвърлянето на съобщения, като в същото време се появява съобщение, че пощата е изпратена или приета. Това се прави често при бизнес транзакциите, като например онлайн поръчки и плащания. Хората често купуват стоки и след това отказват да платят. За да се гарантира отсъствието на отказ за плащане, трябва да е сигурно, че се приемат само поръчки, които ще се платят. Това се постига с използването на цифрови сертификати, които идентифицират клиента по сигурен начин. Оторизиране За да се прехвърли даден бизнес от частна мрежа към Интернет, трябва да се решат няколко въпроса, свързани със сигурността. Първо трябва да се определи кой и до какви бизнес приложения трябва да има достъп. Освен това е необходимо да се реши кой ще има достъп до конфиденциалната за дадена компания информация. При много видове бизнес няма ясна политика относно достъпа. Резултатът от това е, че е трудно да се определи от къде и кой е разпространил дадена информация. Списъкът с оторизираните потребители трябва да включва информация за това какви права има всеки потребител и да се определят точно приложенията, до които има достъп. За да може този списък да се приведе в действие, компанията трябва да разработи и изпълни набор от политики за всички потребители на дадена система (т.е. служители, клиенти и партньори) и нейните приложения. Трябва да се изпълни общ процес на идентифициране. По принцип, оторизирането се осъществява от система, която предпазва услугите и данните от неоторизиран достъп чрез строго наложени правила за това какво се позволява на даден потребител и какво не. Първата стъпка трябва да е преминаване от разпределено администриране на оторизирането към централизирано администриране. Повечето приложения имат свои собствени методи за прилагане на оторизирането. Поради факта, че все повече и повече приложения започват да се предлагат в Интернет, този разпределен модел е все по-неприложим за обезпечаване на сигурността, тъй като всяко приложение може да има различни бъгове, които да позволят достъп до него. Цените за разработка на нов софтуер са много високи, защото трябва да се включат нови модули за оторизиране. Централизираното администриране намалява разходите за реализация и поддръжка. Това позволява на администраторите да имат по-регулярен поглед върху политиките на сигурност. Трябва да се поддържа списък на всеки ресурс (като например принтер, файл, база данни или приложение), както и на потребителите/групите, които имат достъп до него. С новата идея за използване на централизирана директория за администриране, всеки потребител или профил има списък от обекти, за които има права за достъп. Базите данни съдържат информация за потребителите и съответните приложения до които имат достъп, както и правилата за това какво могат да правят потребителите с даденото приложение. Криптографски средства Дефиниране на понятието криптография Представката "крипто" ("crypto") идва от гръцката дума "krypto", която означава "скрит". Думата „криптология" („cryptology") идва от "кгуро" и "logos" и следователно означава "скрит свят". Тя се използва за описание на изследователските области в криптографията и криптоанализите. Древните гърци са използвали тази дисциплина за скриване на информация. Криптографията е изкуство дадена информация да се запази конфиденциална, в такава форма, в която не може да се прочете от човек, който не притежава необходимия ключ. Криптоанализите са изкуството да се използват алгоритмите разработени в криптографията. Криптирането може да се използва за нещо повече от конфиденциална комуникация. Посредством криптиране могат да се трансформират данни във форма, от която те не могат да се четат без четящия ги да има подходящо „познание" за схемата на криптиране. Това „познание" се нарича ключ. Ключът се използва за разрешаване на контролиран достъп до информацията на определени хора. При това положение информацията може да се изпрати до всеки, но само тези, които имат правилния ключ могат да я видят. Често се приема, че криптирането е компонент на сигурността, но в действителност то е механизъм за постигане на сигурност. Основни понятия при криптографията Ключ - променлива стойност, която се прилага в алгоритмите за получаването на кодиран текст от некодиран или от блокове от некодиран. От дължината на ключа зависи доколко трудно ще бъде разкодирането на текста в кодираното съобщение. Частен ключ - частен ключ или секретен ключ е кодиращ/декодиращ ключ, известен само на едната страна от тези, които разменят кодирани съобщения. Традиционно в криптографията трябва да има ключ, който да е достъпен и за двете страни така, че всеки да може да кодира и декодира съобщения. Рискът при такава система е, че ако ключът бъде разбит или откраднат, системата спира да бъде защитена (на практика тя е разбита). В такива ситуации частния ключ се използва заедно с публичен ключ. Каталог: 2011 2011 -> Щрихи към психодинамичната картина на тренинг групата 2011 -> Роля и значение на бизнес комуникациите 2011 -> The great controversy 2011 -> Тест по Математика – събиране и изваждане на естествените числа 2011 -> Програма април 2011 Габрово 1, петък 17. 30 ч., Дом на хумора и сатирата, Залата на жирафите 2011 -> Евгений Гиндев световната конспирация 2011 -> Доклад за дейността на омбудсмана на 2011 -> Мотиви: по нох дело / 2011 година по описа на Е. районен съд Изтегляне 1.78 Mb. Сподели с приятели:
|