Artykuły dotyczące tematu: biznes

dodany: 06.12.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe – część 3

9

Jak chronić aplikacje biznesowe?

Redukowanie ryzyka zagrożeń aplikacji biznesowych ma na celu zmniejszenie go do poziomu akceptowalnego. Zadaniem środków ochrony jest zapewnienie poufności, integralności i dostępności informacji przetwarzanych za pomocą aplikacji biznesowych.

Budując system ochrony informacji dla aplikacji biznesowej istotne znaczenie stanowią zabezpieczenia programowe, które powinny obejmować: odpowiednią ochronę dostępu na poziomie logicznym, odpowiedni poziom ochrony kryptograficznej oraz integralności informacji oraz podpis elektroniczny dla uwierzytelniania i niezaprzeczalności.

(więcej…)

dodany: 19.11.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe – część 2

0

Identyfikacja zagrożeń dla aplikacji biznesowych

Zagrożeniami dla aplikacji biznesowych są potencjalne działania człowieka (albo sił wyższych), dotyczące bezpośrednio zasobu aplikacji i mogące spowodować, w zależności od konkretnego atrybutu bezpieczeństwa, utratę: poufności, integralności lub dostępności.

Z biznesowego punktu widzenia zidentyfikowane zagrożenia należy podzielić na:

  • strategiczne (wpływające na cele organizacji)
  • operacyjne (wpływające na codzienne funkcjonowanie organizacji)
  • finansowe (związane z działaniami finansowymi i kapitałem organizacji)
  • informacyjne (wpływające na bezpieczeństwo danych)
  • zgodności (wpływające na utrzymywanie zgodności z obowiązującymi regulacjami prawnymi)

Do typowych zagrożeń dla aplikacji biznesowych należy zaliczyć:

1. Łamanie haseł.

  • atak słownikowy (dictionary attack) – zautomatyzowany atak skierowany przeciwko systemowi uwierzytelniania, który polega na sprawdzeniu kolejnych, gotowych haseł znajdujących się w bazie danych (tzw. słowniku)
  • atak siłowy (brute-force password attack) – polega na omijaniu zabezpieczeń systemu przez podejmowanie prób zalogowania się przy użyciu każdego dopuszczalnego hasła:
    • zwyczajne ataki siłowe (normal brute force attacks) – atakujący używa nazwy użytkownika i dopasowuje do niego hasła
    • odwrócone ataki siłowe (reverse brute force attacks) – atakujący używa jednego hasła i dopasowuje do nich nazwy użytkowników. W systemach z dużą ilością kont, prawdopodobieństwo posiadania tego samego hasła przez wielu użytkowników jest wysokie

Ataki tego typu są nieustannie rozwijane. Za pomocą ataku słownikowego można złamać większość haseł wykorzystywanych przez użytkowników indywidualnych. W Internecie publikowane są słowniki haseł najczęściej używanych. Nie brakuje też programów do łamania haseł. Przykładowym narzędziem do przeprowadzenia ataku łamania hasła metodą brute force jest THC-HYDRA (http://freeworld.thc.org/thc-hydra).

2. Zagrożeniem związanym z hasłami, jest możliwość ich podsłuchania (ang. sniffing) w momencie logowania się użytkownika do systemu.

 Sniffing umożliwia wychwycenie ważnych informacji, takich jak hasła, numery kart kredytowych czy dane osobowe, czyli pozwala osobom postronnym na uzyskanie danych przesyłanych przez sieć, ale nie wpływa na ich zawartość. Informacja niezmieniona i kompletna dociera do odbiorcy. Metoda ta ma charakter bierny, nie stanowi w sposób bezpośredni większego zagrożenia. Jest jednak narzędziem pozwalającym uzyskać niezbędne dane do realizacji innych przestępstw, bardziej niebezpiecznych i stanowiących bezpośrednie zagrożenie. Za pomocą tej metody możliwe jest przechwycenie wszystkich haseł i poufnych danych, które nie są przekazywane zakodowanym kanałem.

3. Próbkowanie – próba dostępu do obiektu poprzez zbadanie jego charakterystyki.

Działanie to jest o tyle niebezpieczne, iż jest praktycznie niezauważalne. Nie jest wychwytywane przez standardowe systemy zabezpieczeń, jak i przez administratora systemu. Dokonującemu przygotowania do ataku wystarczy częstokroć jednorazowe zbadanie systemu, by następnie przeprowadzić skuteczny atak na system.

4. Skanowanie – próba dostępu do wielu obiektów naraz poprzez ustalenie obiektu z oczekiwaną charakterystyką.

Przykładem zastosowania tej techniki jest masowe skanowanie klas adresowych danego dostawcy w poszukiwaniu celu ataku,
z nastawieniem z reguły na konkretny system operacyjny. Ostatnio popularne jest skanowanie z wykorzystaniem narzędzi umożliwiających jednoczesne dokonanie ataku.

5. Przepełnienie – próba dostępu poprzez nagle przepełnienie możliwości jego przetwarzania.

Ataki tego typu są dość popularne. Najbardziej znane dwie kategorie to tzw. ataki DoS (Denial of Service – odmowa usługi) i DDoS (Distributed Denial of Service – atak rozproszony odmowy usługi polegający na wykorzystaniu wielu skompromitowanych systemów do wykonania zapytania, uniemożliwiającego późniejsze poprawne funkcjonowanie systemu).

6. Ominięcie – ominięcie procesu zabezpieczającego poprzez zastosowanie alternatywnej drogi osiągnięcia.

Ta technika z reguły ogranicza się do zastosowania oprogramowania, którego celem jest wykorzystanie dziury w oprogramowaniu atakowanego systemu, co w efekcie prowadzi do uzyskania nieautoryzowanego dostępu. Tzw. „exploity” czyli programy wykorzystujące dziury w systemie są o tyle niebezpieczne, że są dość łatwo dostępne, proste w użyciu, nawet przez niedoświadczonych sprawców. Do tego są niezwykle niebezpieczne, gdyż w większości przypadków ich skuteczne użycie prowadzi do uzyskania nieautoryzowanego dostępu na poziomie administratora systemu.

7. Podszywanie – przedstawianie się lub modyfikowanie pakietów w trakcie połączenia w celu wykazania, że posiada się prawo dostępu do zasobów.

W skutek zastosowania zaawansowanych technik szyfrowania i przenoszenia części ruchu „wrażliwych” danych do VPN (szyfrowane wirtualne sieci prywatne) technika podszywania się ma ograniczone zastosowanie. Jednak cały czas może okazać się groźna i skuteczna w stosunku do niektórych systemów. Ponadto inna forma podszywania się stosowana w tzw. ataku lokalnym, w połączeniu z inżynierią społeczną jest niesłychanie groźna, zwłaszcza dla nieprzeszkolonych administratorów.

8. Czytanie – dostęp i zapoznanie się z informacją do której nie jest się uprawnionym.

Jest to o tyle ważny element ataku, iż w myśl polskiego prawa, zapoznanie się z informacją przez osobę nieuprawnioną jest karane. Ta czynność ma szczególne znaczenie przy udowadnianiu sprawcy popełnionego czynu.

9. Kopiowanie – możliwość kopiowania informacji przez osobę nieuprawnioną. Samo kopiowanie informacji nie podlega odpowiedzialności karnej.

Kopiowanie danych ma z punktu widzenia zagrożenia znaczenie o tyle, iż osoba kopiująca dane, może nimi potem swobodnie obracać. Samo jednak kopiowanie nie musi prowadzić do dalszych czynności.

10. Kradzież – przejecie zasobów przez osobę nieuprawnioną, bez pozostawienia kopii w uprawnionej lokalizacji.

Atak ten ma pokrewne znaczenie do kopiowania, tyle że rozszerza się o uniemożliwienie osobie uprawnionej dostępu do danych poprzez ich skasowanie lub trwałe przeniesienie do innej niedostępnej lokalizacji.

11. Modyfikacja – zmiana zawartości lub charakterystyki obiektu.

Atak ten może służyć wielorakim celom. Może np. wprowadzić w błąd osoby uprawnione do korzystania z informacji czy doprowadzić do kompromitacji zaatakowanego celu przed osobami z niego korzystającego. System, który uległ modyfikacji może posłużyć jako element kolejnego ataku. Sprawca może wykorzystać go jako narzędzie uzyskania kolejnych haseł dostępu lub narzędzie do przeprowadzenie rozproszonego ataku typu DoS. Może również zmodyfikować w taki sposób, by mógł niepostrzeżenie powrócić do skompromitowanego systemu bez wiedzy osób nim zarządzających.

12. Usunięcie – zniszczenie obiektu ataku.

Najbardziej przykra forma ataku, dokonywana z reguły przez niedoświadczonych lub działających w destrukcyjnych pobudkach sprawców.

Zrozumiałe jest, że wymienione formy i elementy ataku opisane są w sposób bardzo ogólny, ponieważ „modus operandi” sprawców jest bardzo zróżnicowane i ulega ciągłym modyfikacjom wraz z rozwojem technologicznym.

Symulacyjna koncepcja ataku z podziałem na fazy, na podstawie powyższej klasyfikacji:

Fazy ataku

Woźniak T., „Opracowanie dla Studenckiego Koła Prawa Komputerowego – Zagrożenia dla biznesu wynikające z rozwoju nowych technologii”

 Na co należy zwrócić, identyfikując zagrożenia?

Identyfikując zagrożenia należy przede wszystkim postawić sobie pytania:

  • Co się stanie z informacją przetwarzaną w aplikacji w przypadku wystąpienia zagrożenia?
  • Komu może zależeć na informacji przetwarzanej w aplikacji?
  • Jaka jest przyczyna zagrożeń?
  • Jakie informacje przetwarzane w aplikacji mogą być w zainteresowaniu stron trzecich?

W następnym artykule pt. Jak chronić aplikacje biznesowe? przedstawimy sposoby na redukcję ryzyka zagrożeń aplikacji biznesowych.

 

dodany: 14.11.2012 | tagi: , ,

Zabezpieczanie haseł w systemach online

14

Tematyka bezpieczeństwa danych użytkowników stron internetowych jest w ostatnim czasie dosyć często poruszana, a wszelkie potknięcia administratorów czy wycieki danych są szeroko upubliczniane. Właściciele serwisów starają się monitorować wszelkie przypadki naruszenia zasad, jednak zdarzają się usługi, w których celowo wyłączono lub pominięto zabezpieczenia czy funkcjonalności blokujące potencjalnych włamywaczy. Oba podejścia mają swoje zalety i wady i nie ma złotego środka.

(więcej…)

dodany: 23.10.2012 | tagi: , ,

(Nie)bezpieczne aplikacje biznesowe

0

W codziennej działalności biznesowej, aby móc efektywnie obsługiwać klientów organizacja uzależniona jest od posiadania wielu technologii informatycznych. Dzięki nim w znaczny sposób usprawnia swoją działalność oraz zwiększa produktywność. Żadna firma nie jest w stanie w pełni wykorzystać swoich możliwości bez odpowiednich aplikacji biznesowych, bez względu na profil prowadzonej działalności. Aby temu podołać, musi posiadać nowoczesny system informatyczny, który pozwala kontrolować procesy obsługi klienta, koordynować zbieranie informacji o rynku, a także umożliwiać przepływ informacji wewnątrz firmy.

Korzyści ze stosowania aplikacji biznesowych są ogromne

Korzystanie z aplikacji biznesowych oznacza nie tylko ogromne korzyści dla firmy, ale także zagrożenia dla systemu informatycznego przedsiębiorstwa. Dlaczego? Zauważalny jest trend tworzenia aplikacji biznesowych z myślą jedynie o jej funkcjonalności. Zadowolenie klienta stawiane jest na pierwszym miejscu, dlatego aplikacje mają być przyjazne i wygodne w użyciu. Niestety, bardzo często zdarza się, że jest to okupione obniżeniem poziomu bezpieczeństwa i bardzo istotne aspekty bezpieczeństwa traktowane są wybiórczo lub są całkowicie pomijane. W efekcie wdrażane w coraz szybszym tempie aplikacje posiadają szereg podatności rodzących ryzyko dla bezpieczeństwa procesów biznesowych.

Aplikacje mogą przysporzyć firmie problemów

Skutki stosowania mało bezpiecznych aplikacji mogą być katastrofalne. Liczba zagrożeń bezpieczeństwa oraz naruszeń rośnie lawinowo. Rośnie również stopień ich skomplikowania. Najpoważniejsze konsekwencje cyberataków w przypadku firm to zakłócenie ich działalności oraz utrata wrażliwych danych, które mogą wystawić je na niebezpieczeństwo strat i utratę reputacji.

Jak bezpieczna powinna być aplikacja?

Bezpieczna aplikacja powinna zapewniać bezpieczeństwo danym, które są w niej przetwarzane i przechowywane. Aby móc spełnić ten wymóg powinna być wyposażona w mechanizmy, które umożliwiają rozliczenie jej użytkownika, potwierdzania jego tożsamości i uwierzytelnienia. Musi być także być odporna na nieautoryzowaną manipulację oraz niezawodna w działaniu.

Identyfikacja wymagań bezpieczeństwa

Identyfikując wymagania bezpieczeństwa dla aplikacji biznesowych należy mieć na względzie oczekiwany poziom ochrony dla danych przetwarzanych i przechowywanych za pomocą tych aplikacji.

Typowymi przesłankami do określenia poziomu ochrony tych danych będą:

  • potencjalne skutki błędów w ochronie informacji i dostępności usługi
  • cele, które należy osiągnąć dzięki wdrożonym środkom ochronnym

Na etapie identyfikacji wymagań pożądane jest także ustalenie regulacji prawnych dotyczących rodzaju przetwarzanych danych, które definiują wymagania, które muszą zostać spełnione. I tak np. w przypadku przetwarzania danych osobowych istotne będą wymagania bezpieczeństwa określone w rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). W rozporządzeniu są wyspecyfikowane obligatoryjne środki ochronne, bez określenia sposobu ich implementacji. Wyróżnia się zróżnicowane poziomy ochrony przetwarzania danych w zależności od kategorii przetwarzanych danych oraz występujących zagrożeń. Na poziomie wysokim wymagane jest stosowanie środków ochrony kryptograficznej nie tylko danych osobowych przesyłanych w publicznej sieci telekomunikacyjnej, ale również danych wykorzystywanych do uwierzytelniania się w systemie.