Od lat komputery zadomawiały się w środowisku uczelni coraz bardziej. Znalazły zastosowanie jako pomoc w badaniach naukowych, w procesie edukacji a także w administracji, przy organizacji pracy wydziałów czy instytutów.

Ze względu na to, że niejednokrotnie przechowywane są w nich wyniki długoletnich badań, archiwa poufnych dokumentów czy też dane osobowe pracowników i studentów, trzeba zwrócić szczególną uwagę na poziom ich zabezpieczeń.

Problem bezpieczeństwa danych w systemach informatycznych jest zagadnieniem warunkującym prawidłowe funkcjonowanie całej instytucji i ma ogromny wpływ na poczucie bezpieczeństwa użytkowników i ich poziom zaufania do nowoczesnych rozwiązań informatycznych. Politechnika, jako uczelnia techniczna powinna takie zaufanie w społeczeństwie budować.

Serwery uczelniane i laboratoria komputerowe są zabezpieczane na wiele sposobów, istnieje jednak sporo stacji roboczych, użytkowanych przez pracowników uczelni, których poziom zabezpieczeń jest znikomy. Dopóki stacja nie jest wpięta do sieci, zagraża jej tylko fizyczne uszkodzenie lub wirus przeniesiony na nośniku danych (np. dyskietka), użytkownik ma więc nad tym pewną kontrolę. Niewiele jednak takich stacji jeszcze istnieje.

Systemy informatyczne stają się coraz bardziej otwarte, co sprawia, że wzrasta poziom ich zagrożenia.

W momencie podłączenia stacji do sieci staje się ona jednym z elementów otwartego systemu jakim, w pewnym sensie, jest sieć Internet i zostaje wystawiona na ataki ze strony hakerów i krążących w niej programów. Programy te to m.in. wirusy, robaki, konie trojańskie i ostatnio coraz bardziej uciążliwe spyware/adware.

Wraz z rozwojem systemów informatycznych i Internetu obserwowany jest stały wzrost zagrożeń bezpieczeństwa danych. Rośnie liczba wirusów, coraz trudniej jest je wykryć i usunąć, zwiększa się ich zasięg działania i prędkość rozprzestrzeniania.

Wyróżnia się trzy rodzaje słabości, które mogą zostać wykorzystane przez atakującego: luka w projekcie, luka w implementacji oraz luka w konfiguracji systemu / oprogramowania. Najpoważniejsze są błędy poczynione na etapie projektu, ponieważ propagują się one przez wszystkie następne etapy powstawania systemu. Jednak duży procent to także błędna implementacja, pozostawienie działających niepotrzebnych usług, czy nie dogranie podczas instalacji istniejących już łat systemowych. Problemy wynikłe z nieodpowiedniej konfiguracji związane są zazwyczaj ze złym zarządzaniem istniejącym systemem, np. nie instalowaniem nowych łat systemowych lub wprowadzaniem "tymczasowych" zmian, które mają doraźnie rozwiązać problem a potem pozostają w systemie na stałe.

Niedbałość w zarządzaniu systemem jest najczęściej wykorzystywaną słabością umożliwiającą włamanie. W roku 2002 do tej kategorii włamań zakwalifikowano 67.7% przypadków zidentyfikowanych przez CERT Polska (ang. Computer Emergency Response Team) [2].

Warto zastanowić się z czego wynikają takie statystyki. W pewnym stopniu wpływa na to niska świadomość użytkowników co do możliwych zagrożeń. Dopóki system działa i użytkownik nie widzi negatywnych skutków włamania, pozostaje tego faktu nieświadomy. Problem w tym, że coraz mniej ataków nastawionych jest na zniszczenie czy modyfikację danych i systemu pojedyńczego komputera. O skutkach włamania użytkownik może dowiedzieć się wiele miesięcy później, kiedy okaże się, że ktoś wykorzystał jego hasła, dane lub popełnił przestępstwo używając zasobów jego komputera.

Trudności natury administracyjnej z utrzymaniem odpowiedniego poziomu bezpieczeństwa systemu związane są także ze zwiększającą się komplikacją tego zagadnienia, praktycznie na każdym polu. Wspomniany wcześniej wzrost liczby wirusów jest jednym z czynników, ale nie jedynym. Duże znaczenie ma także wielkość i komplikacja samych systemów i oprogramowania, którym wraz z funkcjonalnościami i złożonością przybywa także luk. Producenci systemów dostarczają nawet kilka łat dziennie. Łaty te trzeba nałożyć jak najszybciej, gdyż w znacznej większości określane są jako krytyczne z punktu widzenia bezpieczeństwa. Operacja taka zajmuje administratorom pewien czas.

Do niedawna czas reakcji hakerów od momentu wykrycia luki w systemie do wykonania ataku był na tyle długi, że administratorzy mieli możliwość zdążyć z zabezpieczeniem systemów. Doświadczenia ostatnich miesięcy wskazują, że czas reakcji znacznie się skrócił, podczas gdy prace administratora mające na celu zabezpieczenie lub identyfikację i uleczenie zainfekowanego systemu - wydłużyły się. Ataki przeprowadzane są z coraz większą precyzją i tak, aby użytkownik komputera jak najdłużej pozostał tego nieświadomy.

W 2001 roku pojawił się nowy trend w sposobie konstrukcji narzędzi używanych do ataku, który utrzymał się aż do dzisiaj. Najczęściej stosowane są narzędzia określane jako "samodzielny agent" pozwalające na automatyczne rozprzestrzenianie się wirusa i działanie na dużą skalę (m.in. robaki). W roku 2002 narzędzia tego typu stanowiły 65,6% przypadków zidentyfikowanych przez CERT Polska [2].

W tym roku nie powstały wprawdzie rewolucyjnie nowe kategorie wirusów, niemniej jednak można mówić o zupełnie nowej jakości jeżeli chodzi o ataki typu DoS (ang. Denial of Service). W celu zwiększenia intensywności tego typu ataków zaczęto wykorzystywać równocześnie wiele rozproszonych geograficznie komputerów połączonych siecią Internet, przez co obecnie mówi się już o atakach DDoS (ang. Distributed Denial of Service). Najgroźniejsze robaki ostatnich miesięcy W32.Blaster, W32.Welchia i Sobig.F paraliżowały sieci komputerowe na całym świecie, w tym także we Wrocławiu. Skala zjawiska, krótki czas reakcji i trudności w identyfikacji źródła ataku sprawiają, że w wielu przypadkach początkowa niedbałość w zarządzaniu jest przyczyną poważnych strat (finansowych, politycznych, prestiżu).

Jakie mogą być konsekwencje włamania:

1. Zniszczenie systemu lub danych

   Wyniki badań, materiały przygotowywane do publikacji czy nawet poczta elektroniczna są bardzo cenne dla pracowników PWr. Ich utrata rzadko jest wynikiem zaplanowanej działalności intruza, jednak nawet jeśli jest to uboczny efekt jego działań, skutki są równie poważne. Najlepszą ochroną przed utratą danych jest regularna archiwizacja.

2. Przejęcie kontroli nad komputerem

   Przejęty komputer może zostać użyty np. do rozsyłania niechcianej poczty, w tym także o charakterze przestępczym (pornografia, nielegalne kopie dokumentów).

   Przejęty komputer może także zostać wykorzystany do przeprowadzania ataków typu DDoS. Przejęcie umożliwia intruzowi dostęp przez sieć do takiego komputera na czas trwania ataku. Może też spowodować znaczące utrudnienia w dostępie do sieci okolicznych komputerów. Użytkownik przejętego komputera zazwyczaj odczuwa to jedynie jako spowolnienie pracy. Pojedyńcza stacja nie jest już obecnie uważana za poważne zagrożenie, ale w sposób wymierny wpływa na intensywność ataku. Czasami (szczególnie jeśli atak trwa długo) administratorzy sieci atakowanych i pośrednich mogą zablokować taki komputer, przez co utraci on dostęp do części zasobów sieci Internet. Odblokowanie komputera może być o tyle kłopotliwe, że trzeba dotrzeć do osoby, która wprowadziła taką blokadę, co może zająć dłuższy czas.

3. Utrata prywatności na skutek szpiegowania

   Ponieważ przy użyciu komputera wykonujemy coraz więcej czynności związanych z naszym życiem prywatnym, pracą, finansami i nauką staje się on pokaźnym źródłem informacji o nas samych i naszym otoczeniu. Informacje te gromadzone przez programy spyware/adware mogą być wykorzystane na przeróżne sposoby - począwszy od profilowania zawartości serwisów internetowych a skończywszy na użyciu numerów kart kredytowych, podszywaniu się pod użytkownika, czy planowaniu włamania (szpieg może wiedzieć, kiedy i gdzie jedziemy na urlop).

Najlepszym sposobem zabezpieczenia komputera i sieci są działania prewencyjne, mające na celu niedopuszczenie do zainfekowania środowiska.

Podstawowe warunki przeciwdziałania włamaniom:

1. Regularne nakładanie łat systemowych

   Dla stacji pracujących pod systemem MS Windows zaleca się przeprowadzanie aktualizacji systemu przy pomocy usługi Windows Update (http://windowsupdate.microsoft.com). Istnieje możliwość automatycznego instalowania poprawek przez systemy Windows 2000/XP. Dotyczy to bieżących łat na system (nie ma możliwości instalowania w ten sposób dużych łat typu Service Pack). W systemie Windows XP włącza się tę opcję w menu właściwości "mój komputer", z poziomu zakładki "aktualizacje automatyczne". W Windows 2000 w Panelu Sterowania należy wybrać "Aktualizacje Automatyczne". Możliwe są trzy tryby pracy:

   • komputer powiadamia użytkownika przed rozpoczęciem ściągania aktualizacji i przed rozpoczęciem instalacji poprawki
   • komputer sam ściąga poprawkę i powiadamia tylko przed rozpoczęciem jej instalacji (zalecane ustawienie)
   • zarówno ściągnięcie poprawki jak i jej instalacja jest dokonywana automatycznie (ten tryb można ustawić dla początkujących użytkowników)

   Automatyczne poprawki nie są zalecane dla komputerów, na których pracuje ważne oprogramowanie bardzo sciśle integrujące się z systemem operacyjnym a zostało napisane przez firmy inne niż Microsoft (na przykład serwery baz danych inne niż MSSQL). Może się zdarzyć, że instalacja poprawki na system operacyjny spowoduje kłopoty z działaniem takiego oprogramowania. Dlatego, jeżeli administrator przewiduje tego typu problemy, należy zrobić backup systemu przed zainstalowaniem poprawki i następnie zainstalować ją ręcznie.

2. Regularne nakładanie łat programowych

   Dla stacji z zainstalowanym oprogramowaniem MS Office zaleca się przeprowadzanie aktualizacji pakietu przy użyciu usługi Office Update. Większość producentów oprogramowania informuje na swojej stronie WWW o poprawkach do swoich produktów, lub umożliwia klientowi podanie adresu e-mail, na który będą wysyłane informacje o znalezionych błędach i poprawkach do oprogramowania.

3. Stosowanie programu antywirusowego i regularna aktualizacja wzorców wirusów

   Należy zwrócić się do lokalnego administratora z prośbą o instalację zakupionego oprogramowania antywirusowego. Stosując jeden z darmowych programów, trzeba być świadomym, że nieodpłatne wersje są mniej skuteczne i nie rozpoznają zazwyczaj najnowszych wzorców wirusów. Należy pamiętać o częstym (najrzadziej codziennym) uaktualnianiu bazy informacji o wirusach. Większość programów potrafi dokonywać tej czynności automatycznie.

4. Stosowanie zapory firewall

   Systemy MS Windows XP i Windows 2000 wyposażone są we wbudowany firewall, w przypadku braku innego oprogramowania zaleca się uruchomienie przynajmniej tej zapory (opis jak to zrobić można znaleźć na stronach internetowych firmy Microsoft).

   Najlepszym wyjściem jest zabezpieczenie przez administratora zaporą firewall danej podsieci jako całości. Jeżeli jest to niemożliwe można użyć programu firewall przeznaczonego do instalacji na komputerze docelowym. Rozwiązanie to ma jednak klika wad w stosunku do osobnego firewalla chroniącego sieć. Jeśli ktoś włamie się już na komputer (na przykład poprzez wysłanie załącznika do listu e-mail zawierającego program, który dokona przejęcia systemu) to może on taki firewall wyłączyć. Kolejną wadą są komunikaty generowane przez taki program: dla użytkownika nieobeznanego z sieciami komputerowymi są one często niejasne i wprowadzają go w błąd, co do prób ataków na jego komputer i stopnia ich szkodliwości.

   Należy zadbać o staranną konfigurację systemów typu firewall (czy to na komputerze osobistym czy do dedykowanych rozwiązań). Często spotykaną praktyką jest blokowanie ruchu kontrolnego (protokołu ICMP). Jest to działanie niewłaściwe, gdyż bardzo utrudnia diagnozowanie uszkodzeń w sieci.

5. Stosowanie programów anty-podsłuchowych

   Programy typu AdAware pozwalają usunąć z komputera oprogramowanie zbierające informacje o użytkowniku i udostępniające je na zewnątrz [4][5]. Trzeba jednak być świadomym, że istnieje wąska granica między programami podsłuchującymi a anty-podsłuchowymi. Wybierając jeden z dostępnych programów należy kierować się nie tylko funkcjonalnością produktu ale także opinią, jaką cieszą się jego twórcy. Zdarza się bowiem, że programy sprzedawane jako np. narzędzia monitorujące aktywność dzieci, czy wręcz anty-podsłuchowe, są w rzeczywistości wtyczkami, które użytkownik dobrowolnie instaluje na swoim komputerze.

6. Archiwizacja danych

   Archiwizacja pozwala na odzyskanie danych, które można utracić w wyniku włamania. Jeżeli oprócz danych użytkownika archiwizowany jest system operacyjny, to można po włamaniu przeprowadzić formatowanie dysku, odzyskać dane z kopii zapasowej i zainstalować niezbędne poprawki (cała operacja trwa krórcej niż instalowanie systemu od początku w całości, razem z potrzebnym oprogramowaniem). W systemach Windows do archiwizacji można wykorzystać albo dedykowane oprogramowanie np. Norton Ghost, albo oprogramowanie wbudowane w system, oferujące kilka rodzajów archiwizacji.

7. Rozsądna eksploatacja

   Do każdego komputera powinna być przypisana osoba za niego odpowiedzialna. Tylko ona powinna być upoważniona do instalowania oprogramowania i dokonywania istotnych zmian w konfiguracji systemu (szczególnie zabezpieczeń). Należy także zwracać baczną uwagę na pobierane z sieci pliki i odwiedzane strony internetowe.

Aby zapewnić odpowiedni poziom bezpieczeństwa danych w naszych komputerach wymagane jest przeprowadzanie coraz większej ilości działań. Warto pamiętać o wykonywaniu przynajmniej tych podstawowych, czyli nakładaniu poprawek na system, używaniu programu antywirusowego, zapory firewall oraz okresowym archiwizowaniu danych. Jest to ważne nie tylko dla właściciela komputera, ale także dla innych użytkowników sieci.

Poczta pracowników PWr znajdująca się na serwerze sun1000 (@pwr.wroc.pl) jest sprawdzana antywirusowo.

[1] "Bezpieczeństwo danych w systemach informatycznych" J. Stokłosa, T. Bilski, T. Pankowski, Wydawnictwo Naukowe PWN, Warszawa 2001

[2] "Raport 2002: Przypadki naruszające bezpieczeństwo informatyczne" CERT Polska, [ pdf ]

[3] "How to Detect Spies", [ html ]

[4] Spyware Nuker, darmowy program wykrywający naruszanie prywatności typu spyware/adware

[5] Spy Detector