Cyberbezpieczeństwo
Zrozumienie istoty cyberterroryzmu wymaga poznania oraz
analizy pojęć oraz rzeczy, które są z nim związane. W pierwszej kolejności
należy się skupić na informacji. Informacja jest to wiedza dotycząca obiektów,
takich jak fakty, zdarzenia, przedmioty, procesy lub idee, zawierające
koncepcje, mające w ustalonym kontekście określone znaczenie. Dane to
reprezentacja informacji posiadająca interpretacje oraz możliwość przetwarzania.
Przetwarzanie danych to wykonywanie na nich operacji, natomiast przetwarzanie
informacji to wykonywanie operacji na informacji, w tym przetwarzanie danych [1].
Z pojęciem informacji wiąże się również wiedza, jak zostało to już wspomniane.
Wiedza może istnieć w dwóch formach: fizycznej – dokumenty, opracowania,
elektroniczne bazy danych; oraz w formie niematerialnej – wiedza poszczególnych
osób. Wszelka dostępna wiedza oraz informacje dotyczące państwa lub organizacji
powinny być zabezpieczone. Bezpieczeństwo to stan lub ochrona przed niekontrolowanymi
stratami oraz skutkami takich strat. Są to również usługi i działania, które
zapewniają integralność, poufność oraz dostępność. Należy zatem chronić dane
przed przypadkowym lub umyślnym ich niszczeniem, poddawaniem modyfikacjom, ujawnianiem
oraz nieuprawnionym dostępem. Cyberprzestrzeń jest ważnym elementem dzisiejszego
świata. Obecnie większość informacji oraz danych przechowywana jest w cyberprzestrzeni,
czyli w miejscu, gdzie możliwe jest gromadzenie, wymiana oraz przetwarzanie
informacji poprzez systemy teleinformatyczne oraz użytkowników, którzy obsługują
te systemy. Zwykli ludzie prowadzą swoje profile w serwisach społecznościowych,
firmy prezentują swoje rozwiązania zachęcając to ich kupienia, prowadzone są
różne zbiórki oraz inne przedsięwzięcia celem pomocy innym ludziom.
Cyberprzestrzeń to także miejsce, w którym działają
pospolici przestępcy oraz terroryści. Każde nielegalne działanie wykonane w
sieci teleinformatycznej, atak wymierzony w zasoby materialne oraz osobowe lub
pośrednio z nimi związane to tak zwany cyberatak. Cyberatak może się przejawiać
w niszczeniu zasobów sieciowych, naruszaniu integralności danych, ich
modyfikacji oraz w narażaniu ludzkiego życia na niebezpieczeństwo. Należy się
zastanowić, co sprzyja przeprowadzaniu cyberataków oraz działalności
przestępczej w cyberprzestrzeni. Obserwacja oraz analiza środowiska teleinformatycznego
ukazują kilka przyczyn, które umożliwiają taką działalność. Pierwsza przyczyna
to fakt, że atak może zostać może zostać przeprowadzony na wielką skalę z uwagi
na powszechność dostępu do sieci oraz jej zasięgu. Kolejny powód to koszt
takiego ataku – łatwy i często bezpłatny dostęp do różnych programów oraz
narzędzi umożliwiających przeprowadzenie działania. Atakujący może zamaskować
swoje położenie oraz zacierać ślady swojej działalności, znacząco utrudniając
jego namierzenie oraz zidentyfikowanie. Cyberatak ma taką przewagę nad
tradycyjną formą ataku, że jest względnie bezpieczny dla atakującego, natomiast
jego skutki mogą być porównywalne a nawet większe. Atak w cyberprzestrzeni może
być przeprowadzony nawet przez jedną odpowiednio przygotowaną osobę, a więc nie
wymaga zaangażowania do tego celu wielkich sił i środków. Cyberatak ma również
ważną cechę – może dotyczyć zarówno państw, organizacji, firm jak i zwykłych
ludzi. Świadomość takiego zagrożenia może mieć trudne do przewidzenia
konsekwencje, np. wywołanie powszechnej paniki oraz strachu w społeczeństwie
[2].
Cyberterroryzm
Terroryzm to działania, które mają na celu wywołanie strachu
i paniki w celu osiągnięcia określonych zamierzeń. Cyberterroryzm to
cyberprzestępstwo o charakterze terrorystycznym. W szerszym ujęciu można
powiedzieć, iż cyberterroryzm to terroryzm prowadzony w cyberprzestrzeni, przez
osoby lub organizacje terrorystyczne, przeciwko zasobom teleinformatycznym, w
celu osiągnięcia określonego celu, często politycznego lub ideologicznego.
Cyberterroryzm jest bardzo szkodliwym oraz niebezpiecznym zagrożeniem we
współczesnym świecie. Może być wymierzony w konkretne osoby, organizacje,
państwa czy całe rejony. Analiza częstości występowania ataków w
cyberprzestrzeni pozwala stwierdzić, iż pomimo stosowania różnych zabezpieczeń
oraz metod przeciwdziałania atakom, ich liczba będzie stale wzrastać. Wynika to
z faktu, iż cyberprzestępcy oraz cyberterroryści moją coraz większą wiedzę, którą
mogą się dzielić między sobą. Rozwój nauki i technologii spowodował, że dzisiaj
każdy człowiek ma kilka urządzeń ze stałym dostępem do sieci. Każdy może stać
się obiektem ataku lub być jego częścią. Cyberterroryści poprzez
przeprowadzanie ataków próbują zniszczyć psychicznie i fizycznie swoich wrogów,
podważyć ich tożsamość oraz dorobek. Dążą również do tego, aby narzucić swój
styl życia, religię oraz ideologię.
Cyberterroryzm jest praktykowany przez różne organizacje
terrorystyczne oraz państwa, które próbują zdobyć przewagę w prowadzonej przez
siebie wojnie. Cyberterroryzmowi sprzyja brak spójnych regulacji prawnych w
skali globalnej, zasięg sieci oraz mnogość urządzeń, możliwość zacierania
śladów oraz łatwy dostęp do narzędzi. Jak zostało to już wspomniane,
cyberterroryści dążą do osiągnięcia pewnych celów, dlatego bardzo starannie wybierają
cele ataków. Ważne węzły teleinformatyczne, telekomunikacyjne – ich zniszczenie
lub uszkodzenie może spowodować poważne problemy lub nawet uniemożliwić
komunikacje. Szczególnie istotna jest infrastruktura krytyczna, czyli ogół systemów
oraz powiązanych z nimi obiektów, w tym także budynków, urządzeń, instalacji, które
są kluczowe dla zabezpieczenia szeroko pojętego bezpieczeństwa państwa.
Infrastruktura krytyczna to w szczególności systemy
zaopatrujące państwo w energię i paliwa, czyli elektrownie oraz rafinerie,
systemy łączności oraz sieci teleinformatyczne, systemy bankowe i finansowe,
wodociągi i kanalizacja, ochrona zdrowia, transport i komunikacja, ratownictwo,
systemy administracji publicznej, systemy przechowywania i składowania
substancji niebezpiecznych. Z wymienionych największe znaczenie dla państwa
mają systemy zaopatrujące je w energię i paliwa oraz sieci teleinformatyczne i telekomunikacyjne
świadczące usługi na rzecz tych systemów, również w zakresie sterowania oraz
zarządzania zasobami. Ataki wymierzone w systemy sterowania produkcją i
przesyłem w elektrowniach, ciepłowniach czy rafineriach mogą doprowadzić do
paraliżu wielu miast, a w szczególnych przypadkach całego państwa. Zniszczenie
sieci teleinformatycznej elektrowni może skutkować zaprzestaniem produkcji
energii elektrycznej oraz wysyłania jej do odbiorców. Bez energii elektrycznej
nie działa nic co tej energii potrzebuje, również sygnalizacja drogowa oraz
oświetlenie, może to spowodować nagły wzrost liczby wypadków, służba zdrowia
oraz służby porządkowe mogą mieć znacznie utrudnione funkcjonowanie, istnieje
także ryzyko wybuchu zbiorowej paniki.
Celem ataków mogą być także systemy łączności, w których
znajduje się radiofonia, telewizja, łączność satelitarna czy dostęp do sieci
Internet. Dezinformacja oraz sianie paniki to ważne działania dla
cyberterrorystów. Atak na sektor bankowy może być niszczycielski w swoich
skutkach. Uszkodzenie lub zniszczenie systemu banku, kradzież danych klientów
oraz środków finansowych, również należących do państwa, manipulacja notowaniami
na giełdzie, zablokowanie dostępu do kont, modyfikacja danych, takich jak zadłużenie
czy stan konta. Bardzo niebezpieczne mogą być ataki na systemy produkcji, przechowywania
i składowania substancji niebezpiecznych, w szczególności systemy podmiotów
przemysłu chemicznego – petrochemia, produkcja kwasów i zasad oraz nawozów
sztucznych. Systemy przemysłu farmaceutycznego, kosmetycznego, gumowego oraz
lakierniczego również narażone są na ataki.
Darknet
W dzisiejszym świecie sieć Internet jest jednym z
najważniejszych obszarów życia. Życie bez dostępu do sieci, a w szczególności
prowadzenie firmy jest praktycznie niemożliwe. Sprawdzanie poczty, nawiązywanie
nowych znajomości, zarówno prywatnych jak i służbowych, czytanie o najnowszych
trentach w technologii i rozrywce czy sprawdzanie informacji z kraju i świata.
Jednak do czego wykorzystać Darknet i jak on wygląda? Ażeby to lepiej zrozumieć
należy powiedzieć parę słów na temat Internetu. Słowo Internet to skrót od
internetwork i oznacz system zbudowany poprzez połączenie wielu sieci
komputerowych. Komunikacja pomiędzy poszczególnymi urządzeniami możliwa jest
dzięki wykorzystaniu różnych procedur oraz protokołów, jak chociażby TCP/IP.
Warto wspomnieć, że sieć nie jest synonimem Internetu. Internet to medium,
które pozwala na dostęp do pewnych zasobów, których nie ma wiele. Eksperci szacują,
że to strony internetowe, które odwiedzane są każdego dnia przez miliony użytkowników
to zaledwie około 4% wszystkich treści. Według danych firmy NetCraft na styczeń
2018 roku, liczba stron internetowych wynosiła ponad 1.8 miliarda, natomiast w styczniu
2019 liczba ta wynosi prawie 2 miliardy stron internetowych. Pod powierzchnią (surface
web) znajduje się około 96% wszystkich zasobów.
Deep Web skrywa przed popularnymi wyszukiwarkami oraz
użytkownikami treści, które nie powinny być publicznie dostępne. Bazy danych w
Deep Webie posiadają własne funkcje wyszukiwania, które umożliwiają
autoryzowanym użytkownikom dostęp do danych. Jako przekład takiej bazy danych
można podać zasoby rządowe, dokumentacje medyczną pacjentów czy systemy
administracji publicznej.
Jeszcze dalej za Deep Webem znajduje się Darknet. Jest to
celowo ukryta i niedostępna bez odpowiednich narzędzi sieć. Celem jego
projektowania było zachowanie przez użytkowników anonimowości oraz
bezpieczeństwa. Żadna z popularnych wyszukiwarek nie jest w stanie odnaleźć
strony w Darknecie, gdyż są one ukryte.
Sposoby dostępu do sieci
Dostęp do sieci Darknet możliwy jest tylko poprzez
wykorzystanie specjalnych przeglądarek. Najpopularniejszą z nich jest Tor.
PirateBrowser to przeglądarka opublikowana w 2013 roku, która pierwotnie
służyła do omijania cenzury. Spersonalizowany pakiet, zawiera klienta Tor oraz przenośną
wersję Firefoxa oraz dodatkowe zabezpieczenia, których zadaniem jest zagwarantowanie
prywatności i bezpieczeństwa. Wczesne wersje programu działały niestabilnie
powodując odrzucenie połączenia z Darknetem lub eksponując adres IP użytkownika.
Obecnie PirateBrowser oferuje bezpieczny dostęp do sieci, pracując szybciej niż
Tor w przypadku przeglądania stron w Internecie oraz porównywalne osiągi w przypadku
przeglądania Darknetu. Subgraph OS to przeglądarka stworzona na bazie Tora, która
zapewnia bezpieczny i prywatny dostęp do sieci. Przeglądarka posiada możliwość odizolowania
złośliwego oprogramowania od reszty połączenia. Jest to przydatne rozwiązanie w
przypadku odbierania wiadomości czy plików, korzystania z poczty elektronicznej.
Kolejną alternatywą dla Tora jest Invisible Internet Project. I2P umożliwia dostęp
do sieci za pośrednictwem warstwowego strumienia danych. Połączenie jest w
pełni zaszyfrowane za pomocą kluczy publicznych oraz prywatnych. Tails to
kolejna przeglądarka bazująca na Torze. Po uruchomieniu przeglądarki, która
właściwie jest systemem operacyjnym, praca systemu działającego na urządzeniu
zostaje tymczasowo wstrzymana, celem zapewnienia bezpieczeństwa. Tails nie
wymaga miejsca na dysku twardym, a jedyne zasoby jakie wykorzystuje to pamięć
RAM. Połączenie nawiązywane jest z wykorzystaniem sieci Tor, każda próba
wyjścia poza sieć powoduje przerwanie połączenia. Whonix to jeszcze jedna przeglądarka
zbudowana na bazie Tora. Jest nie tylko przeglądarką, ale także systemem, na
którym można skonfigurować oraz zarządzać własnym serwerem, na którym wstępnie
zainstalowanych jest wiele aplikacji.
Klasyczny adres strony internetowej składa się z protokołu,
hosta oraz ścieżki dostępu do zasobu. Często nazwa podmiotu, do który jest
właścicielem strony internetowej zawarta jest w adresie strony. Jako przykład
można podać Google, którego jeden z adresów strony internetowej to google.pl,
gdzie .pl to krajowa domena najwyższego poziomu. Domeny najwyższego poziomu
używane w protokole DNS odpowiadają za zamianę nazwy komputera na jego adres.
Sytuacja wygląda inaczej w przypadku stron internetowych w Darknecie. Adres
strony może wydawać się przypadkowym ciągiem liter i cyfr, zakończonym .onion,
który jest pseudodomeną najwyższego poziomu.
Nazwa .onion nie funkcjonuje w spisie domen najwyższego
poziomu, dlatego też nie przystosowane do tego celu przeglądarki nie są w
stanie odnaleźć takich stron. Jako przykład wyglądu adresu strony w Darkniecie
można podać jeden z serwisów oferujących wymianę kryptowaluty Bitcoin -
http://jzn5w5pac26sqef4.onion/. Zauważyć można wspomnianą już pseudodomenę
.onion oraz protokół http, z którego korzysta strona.
W związku z tym jak wyglądają adresy stron internetowych,
poruszanie się po Darknecie może być w znacznym stopniu utrudnione. Roboty
internetowe (web crawlers) przeszukują strony internetowe oraz indeksują ich
zawartość. Zindeksowane treści można łatwo znaleźć za pomocą wyszukiwarek
internetowych. W Darknecie występują podobne mechanizmy. Hidden Wiki (Ukryta
Wikipedia) jest punktem wyjścia dla nowych użytkowników. Zawiera bezpośrednie
linki do wielu stron o różnych tematykach, od wymiany kryptowaluty po handel
narkotykami. Część z linków może być w danym momencie nieaktywna, jednak po
pewnym czasie strony powracają, często z tym samym adresem. Domyślną
wyszukiwarką w Torze jest DuckDuckGo, która działa podobnie jak wyszukiwarka
Google. Warto również sięgnąć po inne wyszukiwarki takie jak notEvil, Ahmia,
TORCH czy Grams.
Sieć Tor
Tor (skrót od The Onion Routing) jest darmowym
oprogramowaniem (przeglądarka internetowa) o otwartym kodzie źródłowym do
implementacji drugiej generacji routingu cebulowego. Tor jest systemem serwera
proxy, który pozwala ustanowić chronione przed podsłuchiwaniem, anonimowe
połączenie sieciowe. Program został napisany głównie w języku C, liczy około
146 tysięcy linijek kodu, a wszystkie pliki źródłowe dostępne są na serwisie
GitHub. Dzięki Torowi użytkownicy mogą zachować anonimowość odwiedzając strony
internetowe, wysyłając wiadomości błyskawiczne oraz e-mail, a także korzystać z
aplikacji wykorzystujących protokół TCP/IP. Ruch w sieci odbywa się poprzez wykorzystanie
rozproszonej sieci serwerów - węzłów. Tor zapewnia także ochronę przed analizą
ruchu sieciowego, które stanowią zagrożenie dla prywatności oraz poufności wymienianych
danych.
Początki Tora sięgają lat 1995, kiedy to pracownicy
Laboratorium Badawczego Marynarki Wojennej USA: Paul Syverson, Michael G. Reed
oraz David Goldschlag (United States Naval Research Laboratory) próbowali
opracować system ochrony danych wywiadowczych online. Routing cebulowy został
opracowany w 1997 roku przez DARPA. Wersja alfa opracowana została przez Paula
Syversona, Rogera Dingledine'a oraz Nicka Mathewsona i uruchomiona 20 września
2002 roku jako projekt The Onion Routing, natomiast rok później miało miejsce
pierwsze publiczne wydanie programu. W 2004 roku Laboratorium Badawcze Marynarki
Wojennej USA wydało kod Tora na podstawie bezpłatnej licencji, a Dingledine
oraz Mathewson otrzymali dofinansowanie od Electronic Frontier Foundation
(EFF), w celu kontynuowania prac nad rozwojem projektu. W grudniu 2006 roku w
Massachusetts została założona organizacja The Tor Project, która miała czuwać
nad rozwojem oprogramowania. Tor został przez The Economist nazwany “ciemnym
zakątkiem sieci”, w związku ze sprawą Silk Road. Była to internetowa platforma
aukcyjna działająca w sieci Tor, która umożliwiała handel narkotykami, natomiast
płatności odbywały się za pomocą kryptowaluty Bitcoin. Silk Road został zamknięty,
a jego twórca aresztowany i skazany na dożywotnie więzienie. Nie oznacza to jednak,
że Tor nie jest bezpiecznym miejscem. FBI zidentyfikowało poszukiwanego twórcę
portalu dzięki jego aktywności oraz zadawanym pytaniom w serwisie StackOverflow.
Tor umożliwia prowadzenie nielegalnej działalności jak wspomniany handel
narkotykami, udostępnianie numerów kradzionych kart kredytowych, nielegalnej pornografii,
sprzedaż broni, amunicji, materiałów wybuchowych oraz wynajęcie płatnego zabójcy
na zlecenie. To jest ta ciemna strona sieci, jednak Tor posiada również jasną
stronę. Tor jest używany przez osoby, które chcą zachować prywatność w sieci,
pozbyć się uciążliwych reklam czy uniknąć cenzury. Tor jest oknem na świat dla
ludzi, którzy nie mogą w normalny sposób przeglądać sieci z uwagi na
zarządzenia władz państwowych, które tego kategorycznie zakazują. Jest on
również używany w połączeniu z SecureDrop przez dziennikarzy dużych korporacji
między innymi The Guardian do ochrony swoich informatorów oraz zdobytych
informacji.
Wykrywanie ataków
Do wykrywania ataków
w systemie IT wykorzystuje się systemy
IDS, IPS (ang. Intrusion
Detection System, Intrusion Prevention System). Są to systemy wykrywania i
zapobiegania włamaniom, czyli urządzenia sieciowe zwiększające bezpieczeństwo
sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków
(IPS) w czasie rzeczywistym. Celem tego typu testów jest empiryczne określenie
odporności systemu na ataki. Testy penetracyjne mogą być prowadzone z wnętrza
badanej sieci oraz z zewnątrz. Testy zewnętrzne są zwykle realizowane przez
ludzi, którzy nie znają penetrowanego systemu. Nie znają szczegółów jego
topologii konfiguracji i zabezpieczeń. W przypadku realizacji testów należy
liczyć się z możliwością załamania systemu. Nie może to być jednak czynnik
ograniczający zakres badań i powodujący realizację zbyt ostrożnych testów.
Przez takimi badaniami należy przede wszystkim utworzyć nowe, pełne kopie
zapasowe.
Test penetracyjny rozpoczyna się zwykle od zebrania
informacji o systemie poza nim samym. Może obejmować analizowanie pakietów
rozgłoszeniowych, badanie DNS, uzyskiwanie danych u dostawcy usług
internetowych przeszukiwanie publicznych zbiorów informacji jak WWW czy LDAP.
Pułapki Internetowe
Internetowa pułapka jest zbiorem elementów funkcjonalnych,
które posługują się oszustwem w celu odwrócenia uwagi potencjalnego intruza od
rzeczywistych, wartościowych zasobów poprzez użycie zasobów fikcyjnych i
skierowanie intruza do systemu gromadzenia informacji wiążących się z
włamaniami.
*
Powtarzanie się podejrzanego działania
*
Omyłkowe polecenia lub odpowiedzi pojawiające
się podczas wykonywania sekwencji automatycznych
*
Wykorzystanie znanych słabych punktów
*
Niespójności kierunkowe w pakietach
przychodzących lub wychodzących
*
Niespodziewane atrybuty pewnego żądania usługi
lub pakietu
*
Niewyjaśnione problemy z pewnym żądaniem usługi,
z systemem lub środowiskiem
*
Zewnętrzna wiedza o włamaniu
*
Pojawianie się podejrzanych objawów w ruchu
pakietów w sieci
IDS
Systemy wykrywania intruzów zajmują się wykrywaniem prób
uzyskania dostępu do systemu. Ich zadaniem jest wykrycie takiego zdarzenia i
poinformowanie o tym odpowiednich osób. Działanie takich systemów jest podobne
do alarmu chroniącego dom przed włamywaczami.
Elementy systemu IDS/IPS
*
sonda(sensor) – element analizujący ruch
sieciowy i wykrywający ataki
*
baza danych – zbierająca informacje o atakach z
grupy sensorów
*
analizator logów – umożliwiający wizualizację i
analizę logów z grupy sensorów
Zadania IDS
*
Monitorowanie systemu
*
Detekcja ataków
*
Podejmowanie odpowiednich działań w zależności
od zagrożenia (np. wylogowanie użytkowników, zablokowanie kont, wykonanie
odpowiednich skryptów)
System IDS wykorzystywany jest do uzupełnienia całości
dobrze zorganizowanego systemu bezpieczeństwa, w którego skład oprócz IDS
powinny wchodzić:
*
polityka bezpieczeństwa
*
szyfrowanie danych
*
weryfikacja użytkowników
*
kontrola dostępu
*
zapory sieciowe
Host-Based IDS
System wykrywania ograniczony do jednego hosta w sieci, np.
serwera aplikacji czy serwera bazodanowego. Główną zaletą jest dużą zdolność do
wykrywania prób ataków pochodzących z tej samej sieci, w której są one
zlokalizowane. Taki system jednak może być niepraktyczny. Przy dużych sieciach
zbieranie informacji od każdej maszyny jest posunięciem nieefektywnym oraz
niewygodnym w obsłudze.
Rodzaje systemów HIDS:
*
tradycyjne – na każdej z chronionych
maszyn zainstalowany jest tzw. agent, czyli program bezpośrednio odpowiedzialny
za monitorowanie aktywności na danym hoście (analiza logów systemowych, dostępu
do plików itp.).
*
badające integralność systemu – np. przez
sprawdzanie sum kontrolnych ważnych plików systemowych czy też rejestru
systemowego. To pozwala wykrywać np. rootkity bądź inne szkodliwe
oprogramowanie (trojany).
*
badające tzw. anomalie w działaniu systemu
– przykładową anomalią może być próba logowania w nocy do hosta, na którym
normalnie logowanie możliwe jest jedynie w dzień, np. w godzinach otwarcia
biura.
*
działające w oparciu o tzw. wykrywanie
sygnatur – przechowujące pewne wzorce zachowań, których wystąpienie może
świadczyć o potencjalnej próbie ataku (np. trzykrotnej nieudanej próbie
logowania bądź otwarcie połączenia na porcie usługi uznanej za potencjalnie
niebezpieczną, jak telnet czy ftp).
*
kompletne systemy IPS – w połączeniu z
systemowymi rozwiązaniami, np. wbudowanym firewallem, poza detekcją
nieprawidłowości są w stanie także aktywnie ją zablokować (systemy te często
działają w sposób umożliwiający im wykonywanie funkcji systemowych w celu
uniemożliwienia wykonania złośliwego kodu – czasem rodzi to problemy w
“standardowym” użytkowaniu systemu-gospodarza).
Network-Based IDS
Rozbudowany system wykrywania będący w stanie analizować
ruch w całej sieci, często składający się z wielu rozproszonych agentów. Jego
zaletą jest zdolność do analizy ruchu pochodzącego z spoza sieci oraz możliwość
wykrywania prób ataków DoS/DDoS. Jest to najczęściej spotykane rozwiązanie IDS.
Do wad systemów NIDS trzeba zaliczyć niekompatybilność z sieciami, w których
przesyłane są szyfrowane dane, bądź ruch jest bardzo szybki by nie stać się
wąskim gardłem systemu i jednocześnie nadążać za ruchem pakietów, analiza ich
treści może stać się zbyt powierzchowna.
Podział systemów NIDS:
Wyróżnia się dwie kategorie metod wykrywania:
*
Metody bazujące na sygnaturach (Signature-based
detection)
*
Metody bazujące na anomaliach (Anomally
detection)
Signature-based detection:
*
analiza pakietów w oparciu o zdefiniowane
reguły – najprostsza metoda, a jej działanie polega na porównaniu
komunikacji sieciowej do zdefiniowanych wcześniej list kontroli dostępu.
Pakiety nie spełniające reguł są zgłaszane jako potencjalne zagrożenie.
*
śledzenie pakietów w dłuższym okresie –
analiza kontekstowa. Służy do wykrywania rozłożonych w czasie, wielofazowych
ataków, poprzedzanych np. szczegółowym rozpoznaniem. W tej metodzie czasem
stosuje się pewien trik polegający na wysyłaniu do intruza specjalnie
spreparowanych odpowiedzi, wyglądających na poprawne. Ma to utwierdzić go w
przekonaniu, że nie został wykryty.
*
dekodowanie protokołów warstw wyższych
(np. HTTP czy FTP) – pozwala na wstępną detekcję ataków pochodzących z tych
warstw.
Anomally detection:
*
analiza heurystyczna – wykorzystująca
algorytmy definiujące pewne zachowania jako anomalie (np. algorytm definiujący,
kiedy ruch sieciowy wskazuje np. na skanowanie portów)
*
analiza anomalii – metoda polegająca na
wykrywaniu ruchu sieciowego odbiegającego od normy
Network Node IDS
Systemy hybrydowe, łączące cechy HIDS oraz NIDS. NNIDS
działając bezpośrednio na hoście, jest w stanie przeanalizować pakiety
pochodzące z ruchu szyfrowanego zanim dotrą do docelowej aplikacji, ale już po
rozszyfrowaniu ich przez system operacyjny. Pozwala to na wykrywanie ataków np.
na aplikacje WWW, które korzystają z szyfrowanego połączenia SSL, czy analizy
pakietów z protokołu IPsec.
IPS (Intrusion
Prevention Systems) to sprzętowe lub programowe rozwiązania, których zadaniem
jest wykrywanie ataków na system komputerowy z wewnątrz jak i od zewnątrz
systemu oraz uniemożliwianie przeprowadzenia takich ataków. Od strony
technicznej systemy IPS w dużym uproszczeniu to połączenie Firewall i systemu
IDS.
W zakresie topologii, systemy IPS dzielą się na rozwiązania
sieciowe, a w tym bazujące na sondzie pasywnej podłączonej do portu
monitorującego przełącznika analizującej wszystkie pakiety w danym segmencie
sieci oraz online – z sondą umieszczoną pomiędzy dwoma segmentami sieci,
pozbawioną adresów IP i działającą w trybie przezroczystego mostu
przekazującego wszystkie pakiety w sieci. Sensory IPS porównują ruch sieciowy z
sygnaturami. Sygnatury mają trzy charakterystyczne cechy: typ sygnatury,
triger, podejmowana akcja.
Network-Based IPS
W przypadku technologii NIPS sensory są podłączone do
segmentów sieci, przy czym pojedynczy sensor może monitorować kilka komputerów.
Rozbudowa sieci nie wpływa na skuteczność ochrony dodanych urządzeń, które
wprowadzono bez dodatkowych sensorów. Sensory te są urządzeniami sieciowymi
dostosowanymi do zapobiegania włamaniom określonego typu.
Cechy:
·
efektywne kosztowo (pojedynczy sensor może
chronić dużą sieć)
·
zapewniają analizę ruchu podczas ataków w
niższych warstwach modelu ISO/OSI
·
są niezależnym systemem operacyjnym
·
mają wiele możliwości wykrywania
·
są niewidoczne w sieci (brak przypisanego IP)
Ograniczenia:
·
mogą być przeciążone ruchem sieciowym
·
mogą wystąpić różnice między ruchem sieciowym
postrzeganym przez IPS oraz odbieranym przez cel
·
nie działają w sieci szyfrowanej
Host-Based IDS
HIPS jest programowym agentem instalowanym na systemie
operacyjnym podlegającym ochronie. Zapewnia on wykrycie i ochronę przed
atakami. Nie wymaga dedykowanego sprzętu.
Cechy:
·
dedykowany systemowi, na którym jest
zainstalowany
·
rejestruje informacje o przeprowadzonych przez
intruza atakach
·
szyfrowanie transmisji danych nie ogranicza działania
systemu
Ograniczenia:
·
brak możliwości korelowania zdarzeń w przypadku
obserwacji odosobnionych agentów
·
każdy agent wymaga licencji,
·
brak oprogramowania (agent) dla niektórych
platform programowych wprowadzonego przez dostawcę systemu
Typy sygnatur:
·
Sygnatury typu Atomic mają proste formy.
Zawierają opis pojedynczego pakietu, aktywności oraz zdarzenia. Nie wymagają
przechowywania informacji o stanie („horyzont zdarzeń”) w systemie IPS.
Sygnatury te są łatwe do zidentyfikowania.
·
Sygnatury typu Composite często nazywane
są sygnaturami stanowymi. Określają sekwencję działań na wielu hostach.
Sygnatura tego typu musi zawierać informację o jej stanie.
Sposoby reakcji systemów IDS
·
wysłanie powiadomienia o zaistniałym
incydencie
·
zebranie dodatkowych informacji – po
wykryciu próby ataku system IDS stara się zebrać jak najwięcej dodatkowych
informacji.
·
zmiana zachowania środowiska sieciowego –
np. przez zmianę konfiguracji zapór ogniowych czy routerów system IDS stara się
“wyłączyć” aktywność zarejestrowaną jako szkodliwą. Działanie takie ma
zniechęcić agresora do dalszych prób ataku. W praktyce może się to odbywać
przez zrywanie połączenia z adresem IP agresora, ignorowaniem ruchu na
określonych portach czy całkowitym wyłączeniu niektórych interfejsów sieciowych
·
podjęcie akcji przeciwko intruzowi – nie
polecana metoda akcji “odwetowej”, która może w niektórych sytuacjach
doprowadzić do nieprzewidzianego ataku na całkowicie niewinne systemy (np. gdy
napastnik do ataku używa przejętych wcześniej hostów bądź gdy fałszuje źródłowy
adres IP)
Podstawowe błędy popełniane przy używaniu systemów IDS IPS
·
Nieświadomość celów systemów (do czego mają
konkretnie służyć)
·
Nieznajomość ilości potrzebnych sensorów i ich
możliwości
·
Nie reagowanie na zmiany w sieci (należy aktualizować
reguły, sygnatury)
Źródła:
1.
PN-ISO/IEC
2382-1:1996 Technika informatyczna – Terminologia – Terminy podstawowe.
2.
Kowalewski
J., Kowalewski M.: Zagrożenia informacji w cyberprzestrzeni, cyberterroryzm,
Oficyna Wydawnicza Politechniki Warszawskiej, Warszawa 2017.
3.
Rządowy
program ochrony cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011 – 2016
4.
Ustawa
z dnia 26 kwietnia 2007 roku o zarządzaniu kryzysowym (Dz.U. z 2007r. nr 89,
poz. 590 ze zm.)
5.
https://www.darkowl.com/what-is-the-darknet/
6.
https://thehackernews.com/2016/02/deep-web-search-engine.html
7.
https://www.makeuseof.com/tag/find-active-onion-sites/
8.
http://www.fpiec.pl/moto/dark-web-10-krokow-czyli-jak
9.
https://www.torproject.org/about/overview.html.en
10.
https://en.wikipedia.org/wiki/Tor_(anonymity_network)
https://niebezpiecznik.pl/post/silk-road-najwiekszy-sklep-z-narkotykami-winternecie-zamkniety-fbi-namierzylo-i-aresztowalo-jego-tworce/
