Лекція №8 "Інформаційна безпека"

Вступ

Комп'ютерна безпека та безпека мережі допомагає забезпечити доступ тільки авторизованого персоналу.

Загрози безпеці можуть бути внутрішніми або зовнішніми, їх джерела можуть знаходитися як в організації, так і за її межами, а рівень потенційної шкоди може значно відрізнятися:
- внутрішні загрози - користувачі та співробітники, які мають доступ до даних, обладнання та мережі;
- зовнішні загрози - користувачі за межами організації, які не мають авторизованого доступу до мережі або ресурсів.

Крадіжки, втрати, вторгнення в мережу і фізичні ушкодження – це деякі із способів заподіяти шкоду мережі або комп'ютеру. Пошкодження або втрата обладнання може призвести до зниження продуктивності. Ремонт або заміна обладнання можуть коштувати компанії часу та грошей. Несанкціоноване використання мережі може призвести до розкриття конфіденційної інформації, порушення цілісності даних і зменшення потужності мережних ресурсів.

Атака, спрямована на зниження продуктивності комп'ютера або мережі, також може привести до зниження продуктивності роботи в організації. Сумний досвід, пов'язаний з недостатнім впровадженням заходів безпеки на пристроях бездротової мережі, показав, що для несанкціонованого доступу зловмисників фізичне підключення не є обов'язковим.

Забезпечення безпеки даних та мережі входить до основних обов'язків інженера. Замовники або організації можуть залежати від вас у питаннях безпеки даних та комп'ютерного обладнання. Ви можете виконувати завдання, які є більш важливими, ніж завдання звичайних співробітників. Ви повинні бути в змозі відремонтувати, настроїти та установити обладнання. Ви повинні знати, як налаштовувати параметри для організації безпеки мережі, при цьому забезпечуючи доступ до неї тим, кому він потрібен. Ви маєте бути впевненими, що оновлення та виправлення програмного забезпечення використовуються, встановлене антивірусне ПЗ і використовується антишпигунське програмне забезпечення. Крім того, вам може бути доручено провести інструктаж користувачів щодо використання кращих практик безпеки при роботі з комп'ютерним обладнанням.

Рекламне, шпигунське ПЗ, фішинг

Шкідливе ПЗ − це програмне забезпечення, створене для виконання шкідливих дій. До шкідливого ПЗ належать: рекламне ПЗ, шпигунське ПЗ, небажане ПЗ, віруси, черв’яки, троянські програми та руткіти. Зазвичай, шкідливе ПЗ установлюється на комп'ютер без відома користувача. Ці програми відкривають додаткові вікна на комп'ютері або змінюють його налаштування. Шкідливе ПЗ здатне змінювати веб-браузери, щоб відкривати певні веб-сторінки, які не потрібні користувачеві. Це називається перенаправленням браузера. Шкідливе ПЗ може також без згоди користувача збирати інформацію, яка зберігається на комп'ютері.

Рекламне ПЗ

Рекламне ПЗ − це програма, що демонструє рекламу на комп'ютері. Зазвичай, рекламне ПЗ розповсюджується разом із завантаженим програмним забезпеченням. Найчастіше рекламне ПЗ відображається у спливаючому вікні. Часто спливаючі вікна рекламного ПЗ важко контролювати, і нові вікна відкриваються швидше, ніж користувач може їх закрити.

Шпигунське ПЗ

Шпигунське ПЗ схоже на рекламне ПЗ. Воно поширюється без участі або без відома користувача. Шпигунське ПЗ після встановлення та запуску відстежує дії, що виконуються на комп'ютері. Потім шпигунське ПЗ відправляє цю інформацію певним особам або організаціям, які його запустили.

Небажане ПЗ

Небажане ПЗ схоже на рекламне ПЗ. Небажане ПЗ може бути шкідливим й іноді встановлюється за згодою користувача. Наприклад, безкоштовні програми можуть вимагати встановлення панелі інструментів, що демонструє рекламу або відслідковує історію відвідування користувачем веб-сайтів.

Фішинг

Фішинг означає, що зловмисник маскується під легітимну зовнішню організацію, наприклад банк. З потенційною жертвою зв'язуються через електронну пошту, телефон або через текстові повідомлення. Зловмисник може звернутися з проханням підтвердити певні реквізити, наприклад паролі або імена користувачів, щоб уникнути вкрай небажаних наслідків.

Чимало атак шкідливого ПЗ є фішинговими атаками, під час яких намагаються переконати користувача надати зловмисникам доступ до особистої інформації. Після заповнення інтерактивної форми дані надсилаються зловмисникові. Шкідливе ПЗ може бути видалено за допомогою інструментів видалення вірусів, шпигунського та рекламного ПЗ.

Віруси, черв’яки, троянські програми і руткіти

Віруси

Вірус − це програма, яка написана зі злочинним наміром і відправлена зловмисниками. Вірус передається на інші комп'ютери через електронну пошту, через обмін файлами та миттєвими повідомленнями. Вірус ховається шляхом прикріплення себе до комп'ютерного коду, програмного забезпечення або документів на комп'ютері. Під час доступу до файлу вірус виконується і заражає комп'ютер. Вірус може пошкодити або навіть видалити файли на комп'ютері, використовувати електронну пошту для поширення на інші комп'ютери, перешкоджати завантаженню комп'ютера та програм або порушувати їхню роботу і навіть видаляти вміст всього жорсткого диска. За поширення вірусу на інші комп'ютери, вони в свою чергу, можуть продовжити його поширення.

Окремі віруси можуть бути дуже небезпечні. Один з найбільш шкідливих типів вірусів використовується для запису послідовності натиснутих клавіш. Зловмисники можуть використовувати такі віруси для збору конфіденційної інформації, такої як паролі і номери кредитних карт. Вірус відправляє зібрані дані зловмисникові. Віруси також можуть змінювати або знищувати інформацію на комп'ютері. Віруси-невидимки (stealth virus) можуть заражати комп'ютер і залишатися невидимими до активізації зловмисником.

 Черв’яки

Черв’як – це програма, яка тиражує себе, і є небезпечною для мереж. Він використовує мережу для дублювання свого коду на вузлах у мережі часто без участі користувача. Черв’як відрізняється від вірусу, оскільки для зараження вузла не потрібно прикріплення до програми. Зазвичай, черв'яки поширюються автоматично, використовуючи відомі вразливості в легальному програмному забезпеченні.

Троянські програми

Троянська програма − це шкідливе ПЗ, що маскується під легальну програму. Троянські програми − це програмне забезпечення, яке має виконувати одні дії, але насправді приховано виконує інші. Троянська програма може відтворюватися як вірус і поширюватися на інші комп'ютери. Пошкодження комп'ютерних даних, розкриття даних, що використовуються для входу в систему і зниження продуктивності можуть спричинити серйозні наслідки. Можливо інженеру доведеться виконати відновлення, а співробітники можуть втратити дані або будуть змушені їх замінити. Заражений комп'ютер може відправляти найважливіші дані конкурентам, одночасно заражаючи інші комп'ютери в мережі.

 Антивірусне ПЗ

Антивірусне ПЗ призначене для виявлення, деактивації та видалення вірусів, черв’яків і троянських програм до того, як вони інфікують комп'ютер. Однак антивірусне ПЗ швидко стає застарілим, і тому інженер відповідає за встановлення останніх оновлень, виправлень (patch) і визначень вірусів під час регулярного обслуговування. У багатьох організаціях використовується письмово зафіксована політика безпеки, яка забороняє співробітникам установлювати програмне забезпечення, яке не було надане компанією. Організації також попереджають співробітників про небезпеку відкриття поштових вкладень, які можуть містити віруси або черв’яки.

 Руткіти (пакети для отримання повноважень адміністратора)

Руткіт − це шкідлива програма, яка отримує повний доступ до комп'ютерної системи. Часто застосовуються прямі атаки на систему, які використовують відомі вразливості або паролі для отримання доступу рівня облікового запису адміністратора. Оскільки руткіт має привілейований доступ, він може приховати файли, записи реєстру і папки, які використовує. Це перешкоджає його виявленню антивірусними програмами та програмами захисту від шпигунського ПЗ. Руткіт дуже важко виявити, оскільки він має права на контроль та зміну програм підтримки безпеки, які в іншому випадку можуть виявити встановлене шкідливе ПЗ. Окремі руткіти вдається видалити за допомогою спеціального ПЗ для їх видалення, але іноді для повного видалення потрібно наново встановити операційну систему.

Спам

Спам, також відомий як небажана пошта, − це несанкціоновані повідомлення електронної пошти.

У більшості випадків спам використовується як реклама. Однак спам може використовуватися також для відправки шкідливих посилань і програм або оманливого вмісту задля отримання конфіденційної інформації, такої як номер соціального страхування або інформація про банківський рахунок.

Спам може використовуватися для здійснення атаки, в цьому випадку спам може містити посилання на заражені веб-сайти або вкладення, які можуть заражати комп'ютер. Ці посилання або вкладення можуть викликати відкриття безлічі спливаючих вікон, що відволікають увагу користувача та направляють на рекламні сайти. Надмірне число спливаючих вікон може швидко заповнити весь екран користувача, як наслідок зайняти ресурси і сповільнити роботу комп'ютера. У найнесприятливіших випадках спливаючі вікна можуть викликати блокування комп'ютера або фатальну помилку з появою «синього екрана смерті» (BSOD).

Багато антивірусних та поштових програм автоматично виявляють і видаляють спам з папки «Вхідні» електронної пошти. Часто постачальники послуг доступу до Інтернету (ISP) фільтрують спам до того, як він потрапить в папку «Вхідні» скриньки користувача. Однак фільтри можуть пропускати певну кількість спаму. Нижче наведені найбільш поширені ознаки спаму:

- у повідомленні електронної пошти відсутній рядок теми;
- повідомлення електронної пошти запитує оновлення облікового запису;
- у тексті повідомлення електронної пошти містяться неправильно написані слова або дивна пунктуація;
- посилання в повідомленні електронної пошти занадто довгі і/або незрозумілі;
- повідомлення електронної пошти замасковано під кореспонденцію від легітимної організації;
- повідомлення електронної пошти запрошує відкрити вкладення.

Більшість спаму надсилається багатьма комп'ютерами, зараженими вірусом або черв’яком, у мережах. Ці заражені комп'ютери відправляють якомога більше листів електронною поштою.

Цікава інформація: Спаму стало більше

Атаки TCP/IP

TCP/IP − це стек протоколів, що контролює зв'язок в Інтернеті. На жаль, деякими функціями TCP/IP можна маніпулювати, що призводить до появи вразливостей в мережі.

Відмова в обслуговуванні

Відмова в обслуговуванні (DoS) − це вид атаки, що перешкоджає доступу користувачів до звичайних сервісів, таких як електронна пошта або веб-сервер, через те, що система зайнята відповідями на аномально велику кількість запитів. DoS здійснюється шляхом відправки такої безлічі запитів на системний ресурс, що запитувана служба перевантажується і припиняє роботу, як показано на рисунку 1.

Розподілена DoS-атака

У запуску розподіленої DoS-атаки (DDoS) беруть участь багато заражених комп'ютерів, які називаються «зомбі» або ботнети. Метою є перешкоджання або припинення доступу до цільового сервера, як показано на рисунку 2. Комп'ютери-«зомбі», які розташовані в різних географічних місцях, ускладнюють відстеження походження атаки.

Лавина SYN запитів (SYN Flood)

SYN запит − це початкове повідомлення, яке відправляється для встановлення TCP з’єднання. Лавинна атака SYN запитів відкриває випадкові TCP порти у джерела атаки та блокує мережне обладнання або комп'ютер великою кількістю хибних запитів SYN. Це спричиняє відмову у відкритті сеансів іншим користувачам, як показано на рисунку 3. Лавинна атака SYN запитів − це різновид DoS-атаки.

Підміна (спуфінг)

У спуфінг-атаці комп'ютер маскується під довірений комп'ютер, щоб отримати доступ до ресурсів. Комп'ютер використовує підроблену IP або MAC-адресу з метою видати себе за довірений у мережі комп'ютер.

Людина посередині (Man-in-the-Middle)

Зловмисник здійснює атаку «людина посередині», шляхом перехоплення повідомлень між комп'ютерами, з метою викрасти інформацію, що передається мережею. Атака «людина посередині» також може використовуватися для маніпулювання повідомленнями і передачі підробленої інформації між вузлами, як показано на рисунку 4, оскільки вузлам невідомо про модифікацію повідомлень.

Атака повторення (Replay)

Для виконання атаки повторенням, передача даних перехоплюється і записується зловмисником. Потім записані передачі даних надсилаються (replay) на комп'ютер призначення. Комп'ютер призначення опрацьовує ці дані наче вони справжні та відправлені першоджерелом. Так зловмисник отримує несанкціонований доступ до системи або мережі.

Атака отруєння DNS (DNS Poisoning)

Записи DNS в системі змінюються задля вказування на підробні сервери (imposter server). Користувач намагається відкрити легітимний сайт, але трафік переадресовується на підроблений сайт. Підроблений сайт використовується для збереження конфіденційної інформації, такої як імена користувачів і паролі. Потім зловмисник може отримати дані з цього розташування.