Bezpečnost: kontroly, bezpečnostní politika, standardy; Internet a vybraná bezpečnostní řešení PV080 Vašek Matyáš Zásadní kroky pro zajištění bezpečnosti 1. Analýza hrozeb 2. Specifikace bezpečnostní politiky a architektury 3. Popis bezpečnostních mechanismů Kontroly ˇ Co vlastně dělat? (Analýza rizik) ˇ Jak to budeme dělat? (Bezpečnostní politika) ˇ Jaký systém použít? (Kritéria hodnocení bezpečnosti) ˇ Děláme to dobře? (Interní audit) ˇ Dělají to špatně? (Externí, příp. i vynucený audit) Audit IT ˇ Naplánování auditu ˇ Dokumentace a posouzení kontrol ­ Důraz na dokumentaci, ne technologie! ˇ Výběr testů souladu a jejich provedení ­ Je dokumentace správná? ˇ Výběr a provedení speciálních testů ­ Skutečná kontrola funkčnosti ˇ Celkové posouzení systému ˇ Interní audit: Oddělení nezávislé na IT oddělení! Od zranitelnosti k riziku ˇ Zranitelnost ­ slabé místo v systému ˇ Hrozba ­ akce/událost, která může ohrozit bezpečnost ­ potenciální využití zranitelnosti ˇ Riziko ­ pravděpodobnost, že se hrozba uplatní (zranitelnost využije) ­ Dva aspekty ­ pravděpodobnost a výše škody ˇ Útok ­ akt využití zranitelnosti (realizace hrozby) Analýza rizik v IS obecně ˇ Často podle standardu (BS7799) ˇ Srovnání rizik a kontrol ­ Použití definované stupnice ­ Neoceňuje hodnoty ˇ Přístup odhadu podle informačních aktiv ­ Vhodnější pro společnosti kriticky závislé na IT a také společnosti se složitější kontrolou. Živnostníkovi stačí v méně formální postup srovnání rizik a kontrol. Analýza rizik ˇ Zvážit, co všechno by mělo být chráněno ˇ Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám. ­ Často nelze než vycházet z analýzy empirických poznatků o problémech v okolí, jiných útocích na podobné hodnoty atd. ˇ Chybně provedená analýza rizik má za důsledek téměř vždy chybně navržená bezpečnostní opatření. Hodnoty pak mohou být chráněny velmi nákladným, ale naprosto nesmyslným a neúčinným způsobem. Analýza rizik ˇ Častěji spíše proces odhadu rizik ­ méně formální a podrobný než skutečná analýza ˇ Kvantitativní vs. kvalitativní ˇ Kvantitativní ­ Výstup je velmi srozumitelný ­ Nejčastěji výstup v $$$ (vystavení rizikům) ˇ Kvalitativní ­ Diskrétní stupnice (ne $$$) ­ Jednodušší postup, automatizovatelný, ale výsledky nejsou lehce srozumitelné Analýza rizik ­ metoda ALE ˇ Annual Loss Expectancy ˇ ALE = SLE x ARO ˇ SLE ­ Single Loss Exposure ˇ ARO ­ Annualized Rate of Occurrence Analýza rizik ­ BPA ˇ Business Process Analysis ˇ Širší pojetí rizik, nejen IT ­ Některá IT rizika tak mohou zůstat neidentifikována (pokud neovlivňují obchodní proces) ˇ Výstupy ­ Mapa procesů a jejich popisy. ­ Tabulka rizik (kvalitativní) a kontrol ­ Doporučení CRAMM ˇ 1985 ­ Vláda UK ­ Risk Analysis and Management Method ˇ Strukturovaný přístup ve třech fázích: ­ Identifikace a ocenění hodnot. ­ Odhad hrozeb a zranitelností hodnot. ­ Výběr vhodných protiopatření. ˇ Analýza vcelku složitá, používá se zvláštní software a je zde velká časová náročnost, potřeba školených specialistů. Několik poznámek k analýze rizik ˇ Sběr informací ­ dotazníky, pohovory atd. ˇ Kontrola úplnosti ­ formální kontroly, ale hlavně zkušenost hodnotitelů!!! ˇ Zpracování vstupních dat ­ polo/automatizované ˇ Zpráva s návrhy pro snížení rizik Bezpečnostní politika ˇ Co a jak mají dosáhnout ochranná opatření. ˇ Cíl ­ minimalizace (kontrola) rizik. ˇ Strategie ­ jak dosáhnout cíle ­ použití bezpečnostních funkcí ­ Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami. ˇ Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu. Bezpečnostní politika ˇ Celková bezpečnostní politika ­ Určitá míra nezávislosti na použitých IT. ­ Citlivá data, zodpovědnosti, základ infrastruktury. ­ Horizont nad 5 let. ˇ Systémová bezpečnostní politika ­ Zohledňuje použité IT, konkretizace CBP. ­ Horizont obvykle cca 2-3 roky. ˇ Příp. další, specifické, politiky ­ provozní, personální, intranetová... Bezpečnostní (IT) standardy ˇ Motivace ­ Kompatibilita, cena implementace a změn ­ Minimalizace problémů ˇ Standardy oficiální (vyžadovány zákonnými normami) ­ ČSNI, ISO ˇ Standardy průmyslové ˇ Kritéria hodnocení bezpečnosti Kritéria hodnocení bezpečnosti ˇ USA ­ konec 60. let a 70. léta ­ potřeba minimalizovat výdaje na jednotlivá hodnocení kupovaných systémů ˇ Jednotné měřítko hodnocení bezpečnosti ˇ 1985 ­ Trusted Computer System Evaluation Criteria ­ "Oranžová kniha" ­ D ­ žádná bezpečnost (nevyhověl vyšší třídě) ­ A1 ­ nejvyšší úroveň (matematický formalismus) ˇ ITSEC (Evropa), CTCPEC (Kanada) ˇ Common Criteria (CC) Common Criteria ˇ Target of evaluation (TOE) ­ co se hodnotí ˇ Protection profile (čipové karty, firewally) ­ Katalogizován (aplikace kritérií v dané oblasti) ˇ Security target (ST) ­ teoretický cíl ˇ Hodnocení TOE ­ odpovídá realita teorii (ST)? ˇ Požadavky funkčnosti (co) a záruk (jak dobře koncepčně) Význam kritérií ˇ Zjednodušují použití bezpečných systémů ­ Jednodušší vzájemné srovnání ­ Jednodušší odhad, zda systém splňuje požadavky ˇ Zjednodušují specifikaci požadavků ˇ Zjednodušují návrh a vývoj bezpečných systémů BS7799 1. Code of Practice for Information Security Management ­ 1995 2. Specification for Information Security Management Systems ­ 1998 ˇ Oba doplněny v roce 1999 ˇ ISO/IEC standard 17799, i jako česká norma Úloha manažera bezpečnosti IT ˇ Zkušenost s bezpečností důležitá, ale... ˇ Umění přesvědčovat je zásadní! ˇ Zkušenost: 60 % manažer, 40 % expert ˇ Místo velmi náročné ­ Kritizován za bezpečnostní incidenty ­ Kritizován za obstrukce "normálnímu" chodu ­ Jak může být oceněn za "nic se neděje!"? Internet a bezpečnost ˇ Důvěrnost a integrita emailu ­ S/MIME (Netscape, Outlook) ­ stejný certifikát jako pro SSL ­ viz přednášku k podpisu ­ PGP (ale i další ­ disk, ICQ atd.) ˇ Důvěrnost a integrita WWW komunikace ˇ Anonymita ˇ Firewally ˇ Odmítnutí služby ˇ Eternity server Anonymní web browsing ˇ Spojení do skupiny ,,nerozlišitelných jedinců" ˇ Slabiny ­ Velikost skupiny ­ Správce skupiny ˇ www.anonymizer.com (připojení na proxy) ­ průkopník ve svém oboru, nyní ze situace komerčně těží ˇ Další projekty (např. Crowds) s vlastní uživ. proxy Anonymní email I. ˇ Broadcastové sítě ­ filozofie doručení zpráv všem, lze šifrovat pro vybrané(ho) ­ Anonymita příjemce ˇ (,,anonymní") remailery třídy 0 ­ V podstatě pseudonymita a nespojitelnost příjemce s odesilatelem, udržování tabulky pseudonymů ˇ (,,anonymní") remailery třídy 1 ­ řízení činnosti příkazy ˇ Více článek T. Beneše (DSM 2/2001) Anonymní email II. ˇ Remailery ­ neochrání před statistickým rozborem komunikace (délka zpráv, frekvence atd.) ˇ Mixy ­ cibulovité schéma (symetrická vs. asym. kryptografie) ­ Generování klamných zpráv. ­ Doplňování délky ­ Možnost míchání okruhů ­ Více příští přednáška... Pretty Good Privacy ˇ Umožňuje šifrování a digitální podpis (+ jiné) ˇ Kombinace sym. a asym. kryptografie ­ Šifrování ­ veřejným klíčem příjemce se šifruje vždy nově generovaný klíč pro sym. šifru ­ Podpis ­ soukromým klíčem se podpíše haš zprávy ˇ Autor Phil Zimmermann, už přes 15 let od v1! ˇ Integrace ­ elm, mutt, Eudora, Outlook... ˇ Nyní výraznější vývoj přes Gnu Privacy Guard (GPG / GnuPG) ˇ Více na www.gpg.cz (dříve www.pgp.cz) PGP klíč ˇ RSA (2.6.x) a Diffie-Hellman/DSS ˇ Délka klíče ˇ UserID ­ obvykle jméno a email ˇ Otisk (fingerprint) ˇ Úroveň důvěry ­ zachovávat opatrnost!!! ˇ A další: KeyID, datum vytvoření, platnost (novější verze PGP)... Klíče PGP ˇ Klíčenka (keyring) ˇ Revokování ­ problém ztráty hesla nebo narušení integrity ˇ Tranzitivita důvěry ˇ Servery klíčů ­ Také přes www.gpg.cz Podepisování klíče ˇ Podepsat vlastní klíč!!! ­ Integrita ˇ Cizí klíče jen při důvěryhodném předání!!! ­ Zaslání emailem nebo web link NEJSOU DŮVĚRYHODNÉ! ­ Osobní předání na disketě ­ Ověření otisku před podpisem (telefon, papír ap.) ­ Důvěryhodný zprostředkovatel (!) Další vylepšení PGP ˇ Šifrování disku ˇ Dokonalejší mazání dat (wipe) ˇ Práce s certifikáty X.509 a PKI vůbec ˇ Rozdělení klíče (prahová kryptografie) ˇ Problém s odvoláním klíče - designated revoker ˇ ICQ plugin ˇ Fotografie k UserID ...atd TLS (Transport Layer Security), dříve jako SSL (Secure Sockets Layer) ˇ Protokol pro ­ Autentizaci entit (klient, server) ­ Kontrolu integrity ­ Důvěrnost komunikace ˇ Vyvinut firmou Netscape, široce podporován ˇ Běží na protokolech jako TCP a je transparentní pro vyšší HTTP, FTP... ˇ Certifikáty X.509, WWW prohlížeče O TLS/SSL ˇ TLS/SSL Record Protocol ­ Základní vrstva ˇ TLS/SSL Handshake Protocol ­ Pro úvodní autentizaci a nastavení parametrů spojení ­ Autentizace serveru default (lze zrušit), klienta na vyžádání ­ Autentizace digitálními certifikáty (klíči) TLS/SSL Handshake Protocol Klient Client Hello Server Server Hello, ( , Client Cert Request,...) Server Cert Client CertClient Key Exchange, Cipher Spec, ( , ...) Application Data S E C U R E Protokoly, o kterých můžete slyšet ˇ IPSec ­ zajištění bezp. pro IPv4 ˇ IPv6 ­ Šifrování i ochrana integrity přímo v možnostech IP ˇ SET (Secure Electronic Transactions) ­ Dnes zajímavý příklad: bezpečnost vs. přidaná hodnosta ˇ Bezpečnost velmi vysoká ˇ Použitelnost z hlediska zákazníka a obchodníka komplikovaná ˇ Náročnost vedla k zániku (původní verze) Autentizace pro internetbanking ˇ Heslo ­ putuje nešifrovaný haš (slovníkový útok) ˇ TLS/SSL kanál ­ ochrana hesla ˇ Klientský certifikát (Trojský kůň!) ˇ Jednorázová hesla ­ Fyzický generátor (lze i závislost na čase ap.) ­ Předem vygenerovaná posloupnost na papíru ˇ Homebanking, speciální aplikace/plugin Firewally ˇ Název odpovídá koncepci ­ jedná se o umělou překážku mezi chráněnou zónou a potenciálně nebezpečným okolím ˇ Chrání proti útokům zvenčí (proti těm, které přes něj vedou! ) na data/služby uvnitř ˇ Možnosti řešení: 1. Povol 2. Zakaž 3. Přelož (Proxy) ˇ Citlivá otázka útoků odmítnutím služby Systémy detekce průniku (narušení) ˇ Intrusion Detection Systems ˇ Principy jako u antivirů ­ Detekce atypického chování ­ Detekce vzoru (průniku) ˇ Umístění (v systému) ­ Počítačové (host-based) ­ Síťové (network-based) ˇ Neochrání proti tzv. sociálnímu inženýrství Odmítnutí služby (Denial of service) ˇ Provozovatel serveru ­ Ochrana vlastního systému ­ Závislost na páteřních sítích, DNS, příp. službách CA ˇ Uživatel ­ primárně ochrana vlastního počítače, ale dále ­ Může k provozu potřebovat fungující lokální síť ­ Spoléhá na ISP ­ Spoléhá na provozovatele serveru ˇ Distribuovaná verze útoku, farmy připravených strojů aj. Zajímavost ­ Eternity server ˇ Ross Anderson '96 (Pragocrypt) ­ http://www.cl.cam.ac.uk/~rja14/#Peer-to-Peer ˇ ,,Věčné" uložení informací ˇ Lze jen uložit, nalézt a vyzvednout ­ lze dále kombinovat, např. se šifrováním ˇ Mazat nemůže ani původce (násilné donucení!) ˇ Velké množství spolupracujích serverů ˇ Různé geografické a právní umístění