Przestępstwa komputerowe - podstawowe informacje
Przestępstwa komputerowe postrzegane są przede wszystkim jako działania mające na celu jedynie bezsensowne niszczenie cudzych danych komputerowych jak i samych komputerów. Nie jest to jednak twierdzenie do końca prawdziwe, aby to udowodnić posłużę się fragmentem książki Kevina Mitnicka pt. ?Sztuka podstępu?:
?Są na świecie hackerzy, którzy niszczą cudze pliki lub całe dyski twarde? nazywa się ich crackerami lub po prostu wandalami. (?) Istnieją też takie osoby, których w ogóle nie obchodzi technologia, a komputera używają jako narzędzia pomagającego im kraść, towary i korzystać za darmo z usług.?
To właśnie te osoby, które kradną za pomocą technologii są prawdziwymi przestępcami komputerowymi. Nie znaczy to jednak, że osoby włamujące się do czyichś komputerów z czystej ciekawości są bez winy, ponieważ naruszają cudzą własność. Jednak znacznie częściej słyszy się właśnie o takich ciekawskich niż o złodziejach i wandalach, dzieje się tak przede wszystkim dlatego, że kradzieże informacji są bardzo rzadko wykrywane a jeżeli już uda się złapać takiego złodzieja to nie jest to ogłaszane ponieważ dla okradzionej firmy oznaczałoby to ogromne starty finansowe związane z utrą zaufania kontrahentów do takiego przedsiębiorstwa.
Typowe rodzaje ataków
Bez odpowiednich zabezpieczeń i kontroli dane mogą być narażone na ataki. Niektóre ataki są pasywne, co oznacza, że informacje są tylko monitorowane, podczas gdy inne ataki są aktywne - informacje są zmieniane z intencją uszkodzenia lub zniszczenia danych albo samej sieci. W braku odpowiedniego planu zabezpieczeń sieci i dane są narażone na ataki następujących rodzajów.
Atak socjotechniczny
Celem ataków socjotechnicznych jest pozyskanie zaufania pracowników firmy, z której następnie zostaną skradzione ważne informacje. Socjotechnik? bo tak nazywamy osobę manipulującą ludźmi dla własnych korzyści, pozyskuje hasła, kody dostępu i inne informacje dotyczące zabezpieczeń, od nieświadomych niebezpieczeństwa ludzi zatrudnionych w korporacji, które wykorzystuje następnie do przeprowadzenia właściwego ataku.
Podsłuchiwanie
Zazwyczaj większość danych w komunikacji sieciowej ma format zwykłego tekstu (niezaszyfrowany), więc intruz, który uzyska dostęp do ścieżek danych w sieci, może monitorować i przechwytywać (odczytywać) ruch w sieci. Takie podsłuchiwanie komunikacji przez osoby nieupoważnione nazywa się również penetrowaniem lub podglądaniem. Możliwość monitorowania sieci przez osobę podsłuchującą jest zazwyczaj największym problemem, przed jakim stają administratorzy w firmach i instytucjach. Bez usług mocnego szyfrowania, które są oparte na kryptografii, dane przesyłane przez sieć mogą być odczytywane przez osoby nieupoważnione.
Modyfikowanie danych
Gdy osoba nieupoważniona może odczytywać dane, nietrudno jest już podjąć próbę ich modyfikowania. Intruz może modyfikować dane w pakiecie bez wiedzy nadawcy i adresata. Nawet jeśli poufność całej komunikacji nie jest absolutnie konieczna, nikt nie chciałby dopuścić do przekłamań wysyłanych wiadomości w trakcie transmisji. Na przykład przy wymianie zamówień zakupów podstawowe znaczenie ma pewność, że informacje o towarach, cenach i płatnościach nie zostaną zmienione.
Podmiana tożsamości (podmiana adresu IP)
Większość sieci i systemów operacyjnych używa do identyfikowania komputera w sieci jego adresu IP. W niektórych wypadkach możliwe jest fałszywe użycie adresu IP. Wybieg ten nazywa się podmianą tożsamości. Osoba nieupoważniona może używać specjalnych programów do konstruowania pakietów IP, które rzekomo pochodzą z prawidłowych adresów w intranecie organizacji.
Po uzyskaniu dostępu do sieci przy użyciu prawidłowego adresu IP intruz może modyfikować, przekierowywać i usuwać dane. Może również próbować innych rodzajów ataków, które opisano w następnych sekcjach.
Ataki oparte na hasłach
W planach zabezpieczeń systemów operacyjnych i sieci kontrola dostępu najczęściej oparta jest na hasłach. Prawo dostępu do zasobów komputera i sieci określa nazwa użytkownika i hasło.
Starsze wersje składników systemu operacyjnego nie zawsze zapewniały ochronę informacji dotyczących tożsamości w trakcie ich przesyłania przez sieć do weryfikacji. Pozwalało to osobie podsłuchującej określić prawidłową nazwę użytkownika i hasło, a następnie użyć ich, aby uzyskać dostęp do sieci, podszywając się za upoważnionego użytkownika.
Gdy osoba nieupoważniona znajdzie prawidłowe konto użytkownika i uzyska do niego dostęp, ma takie same prawa, jak rzeczywisty użytkownik. Jeśli na przykład użytkownik ma prawa administracyjne, intruz może utworzyć dodatkowe konta, dzięki którym będzie mógł uzyskiwać dostęp w przyszłości.
Po uzyskaniu dostępu do sieci przy użyciu prawidłowego konta intruz może:
? Uzyskać listę prawidłowych nazw użytkowników i komputerów oraz informacje o sieci.
? Modyfikować konfiguracje serwera i sieci, w tym ustawienia kontroli dostępu i tabele routingu.
? Modyfikować, przekierowywać i usuwać dane.
Atak typu ?odmowa usługi"
W odróżnieniu od ataku opartego na hasłach, atak typu ?odmowa usługi" uniemożliwia prawidłowym użytkownikom normalne korzystanie z komputera lub sieci.
Po uzyskaniu dostępu do sieci intruz może:
? Zmylić personel obsługi systemów informacyjnych, tak że nie od razu wykryją atak. Daje to intruzowi możliwość przeprowadzenia następnych ataków.
? Wysłać nieprawidłowe dane do aplikacji lub usług sieciowych, powodując ich zamknięcie lub nieprawidłowe działanie.
? Wysyłać duże ilości danych, powodując przeciążenie i zamknięcie komputera lub całej sieci.
? Blokować ruch, co powoduje, że upoważnieni użytkownicy tracą dostęp do zasobów sieciowych.
Atak typu ?pośrednik"
Jak wskazuje nazwa, atak typu ?pośrednik" ma miejsce, gdy między dwoma komunikującymi się użytkownikami inna osoba aktywnie monitoruje, przechwytuje i kontroluje komunikację bez wiedzy tych użytkowników. Intruz może na przykład wynegocjować klucze szyfrowania z oboma użytkownikami. Następnie każdy użytkownik wysyła zaszyfrowane dane do intruza, który może je odszyfrować. Gdy komputery komunikują się na niskich poziomach warstwy sieciowej, mogą nie mieć możliwości stwierdzenia, z którymi komputerami wymieniają dane.
Atak przy użyciu złamanego klucza
Klucz to tajny kod lub numer wymagany do szyfrowania, odszyfrowywania lub sprawdzania poprawności zabezpieczonych informacji. Chociaż określenie klucza przez osobę nieupoważnioną jest trudne i wymaga zaangażowania dużych zasobów, jest możliwe. Gdy taka osoba określi klucz, klucz jest ?złamany".
Intruz używa złamanego klucza, aby uzyskać dostęp do komunikacji zabezpieczonej bez wiedzy nadawcy i adresata. Przy użyciu złamanego klucza intruz może odszyfrować lub zmodyfikować dane. Może również próbować użyć złamanego klucza do określenia dodatkowych kluczy, co może umożliwić mu dostęp do innej komunikacji zabezpieczonej.
Atak penetratora
Penetrator to aplikacja lub urządzenie, które może odczytywać, monitorować i przechwytywać pakiety danych sieciowych. Jeśli pakiety nie są zaszyfrowane, penetrator ma pełny wgląd w dane wewnątrz pakietu. Nawet pakiety zhermetyzowane (tunelowane) mogą zostać otwarte i odczytane, jeśli nie są zaszyfrowane.
Przy użyciu penetratora intruz może:
? Analizować informacje o sieci i dostępie do niej, a wykorzystując te informacje może sprawić, że sieć przestanie odpowiadać lub może ją uszkodzić.
? Odczytywać komunikację prywatną.
Atak w warstwie aplikacji
Celem ataków w warstwie aplikacji są serwery aplikacji. Ataki te wprowadzają błędy w systemie operacyjnym lub aplikacjach serwera, co daje intruzowi możliwość obejścia normalnej kontroli dostępu. Intruz wykorzystuje tę sytuację, uzyskując kontrolę nad aplikacją, systemem lub siecią, i może:
? Odczytywać, dodawać, usuwać i modyfikować dane i system operacyjny.
? Wprowadzić wirusa, który używa komputerów i aplikacji programowych do skopiowania wirusów w całej sieci.
? Wprowadzić program penetratora umożliwiający analizowanie sieci i uzyskanie informacji, których wykorzystanie może doprowadzić do tego, że sieć przestanie odpowiadać lub że zostanie uszkodzona.
? W sposób nieprawidłowy zamknąć aplikacje danych lub systemy operacyjne.
? Wyłączyć inne zabezpieczenia, aby umożliwić sobie przyszłe ataki.
Ochrona przed atakami
Istnieje tylko jeden skuteczny sposób ochrony przed atakami komputerowymi można odłączyć komputer od sieci i zamknąć go w niedostępnym dla nikogo pomieszczeniu, jest to jednak rozwiązanie tylko i wyłącznie na krótką metę ponieważ w końcu trzeba kiedyś uaktualniać system i dane znajdujące się na dysku. A tak na poważnie, nie istnieje żaden skuteczny sposób ochrony przed atakami komputerowymi, można je jednak bardzo skutecznie utrudniać. W tym celu należy: dokładnie przeszkolić osoby mające dostęp do poufnych informacji oraz pracujące ze sprzętem komputerowym oraz zainstalować oprogramowanie. Najważniejsze oprogramowanie:
? Programy antywirusowe w wersjach serwerowej i klienckiej- takie oprogramowanie z centralnym sterowanie pozwoli na równoczesne monitorowanie wszystkich komputerów podłączonych do sieci jak i jego łatwą aktualizację. Ma ono na celu przede wszystkim uchronić komputer przed wirusami i końmi trojańskimi.
? Programy typu anty spy- programy takie wyszukują i usuwają szpiegów przesyłających informacje o naszym systemie i wykonywanych na nim czynnościach do osoby szpiegującej.
? Oprogramowanie typu firewall- oprogramowanie monitoruje połączenia sieciowe, pełniąc równocześnie rolę klucznika otwierającego wejście pakietom ?upoważnionym? a zamykającym ?nieupoważnionym? do wejścia.
? Monitory sieci- pozwalają one na dokładne badanie ruchu w sieci komputerowej, badanie poprawności pakietów przesyłanych przez poszczególne warstwy sieci. Aplikacje takie pozwalają na uniknięcie ataku typu podmiana tożsamości ponieważ pozwalają na sprawdzenie adresu fizycznego (MAC) komputera z którego nadchodzą pakiety a nie tylko tak jak w przypadku firewall?i tylko adresu IP.
Podstawowe instrukcje dla pracowników:
? Nigdy nikomu nie podawaj swojego loginu i hasła do komputera, sieci dial-up, poczty.
? Nie wykonuj żadnych poleceń i próśb od nieznajomych osób, a każde takie zajście zgłaszaj natychmiast administratorowi sieci.
? Nie wolno bez zgody przełożonego przesyłać jakichkolwiek informacji na temat firmy faksem.
? Nie wolno używać oprogramowania ściągniętego z Internetu, przyniesionego z domu czy to na dyskietkach jak i płytach CD, jeżeli jednak jest to przymusowe należy takie oprogramowanie, dyskietki i płyty przekazać administratorowi w celu sprawdzenia ich programem antywirusowym.
Podstawowe pojęcia związane z przestępczością komputerową:
? Hacker- osoba o ogromnej wiedzy na temat technologii komputerowych, którą wykorzystuje do poznawania wszystkiego co ją interesuje. Osoba taka działa z czystej ciekawości i pragnienia poznawania nowych rzeczy. Nie wykorzystuje swoich zdolności do szkodzenia innym.
? Cracker- w przeciwieństwie do hackera głównym celem takiej osoby jest celowe niszczenie danych komputerowych i łamanie zabezpieczeń w celach zarobkowych.
? Script kiddies- niedoświadczony hacker nieznający technologii, posługujący się znalezionymi w sieci narzędziami w celu włamywania się do systemów komputerowych. Działa z takich samych pobudek co hacker.
? Power User- zaawansowany użytkownik systemów komputerowych, posiada w nich uprawnienia niemal identyczne z uprawnieniami administratora.
? Administrator- osoba dbająca o prawidłowe działanie i bezpieczeństwo systemów informatycznych.
? Koń trojański, szpieg- programy monitorujące nasze działania w systemie i umożliwiające przejęcie nad nim kontroli.
? Wirus- analogicznie do wirusa biologicznego, samo powielający się i przenoszący się z nosiciela na nosiciela program komputerowy którego zadaniem jest uszkodzenie jak największej ilości systemów komputerowych i danych.
Podczas tworzenia tego tekstu wykorzystano informacje z: ?Sztuka podstępu? Kevin Mitnick & William Simon oraz ?Centrum pomocy i obsługi technicznej? systemu Microsoft? Windows? Serwer 2003, Enterprise Edition.