(Nie)bezpieczeństwo w sieci - www.gimnazjalisty.info(rmator) - Portal Gimnazjalistów

WyszukiwanieSzukaj
Szukane wyrażenie:

Przeszukaj:

 
AnkietyAnkiety
Sugestie dotyczące strony:

Sugestie dotyczące informatorów:

Jak oceniasz naszą stronę:
Jest Super!!
Całkiem całkiem :)
Może być
Wymaga dopracowania
Nie podoba mi się :(
Zdejmijcie ją!!

Ankiety są anonimowe

 
LicznikLicznik

Odwiedzin łącznie: 2854503
W tym dzisiaj: 1516

Unikalnych odwiedzin: 396295
W tym dzisiaj: 147

W naszej bazie znajduje się:
507 uczelni wyższych
656 wydziałów

 

gimnazjalisty.info » (Nie)bezpieczeństwo w sieci

 

(Nie)bezpieczeństwo w sieci

(Nie)bezpieczeństwo w sieci

Bezpieczeństwo to wyzwanie przed którym wciąż stoi współczesna komunikacja. Czyż to nie dziwne, że przez ostatnie dziesięciolecia nie udało się sprostać temu, wydawać by się mogło prostemu zadaniu? Przecież „uzbrojeni” w skomplikowane szyfry, precyzyjne techniki dostępu czy supernowoczesne urządzenia mamy prawo czuć się bezpieczni. A jednak! W mediach wciąż głośno o nowych wirusach infekujących tysiące komputerów, destrukcyjnych atakach na komercyjne serwery i internetowych oszustwach na wielomilionowe kwoty. Gorzka prawda jest taka, że ewolucja technik ochrony danych pociąga za sobą rozwój metod łamania zabezpieczeń. Czyż nie inaczej jest w przemyśle zbrojeniowym, gdzie produkcja nowoczesnych pancerzy stymuluje rozwój pocisków, które będą w stanie je przebić? Prawdopodobnie ta ciągła rywalizacja nie ma końca i nigdy nie stworzymy systemu absolutnie bezpiecznego. Niemniej jednak siedząc przed ekranem monitora, warto poznać „pancerz” jakim dysponujemy w starciu z „cyber-pociskami” kierowanymi w naszą stronę.


Zacznijmy chronologicznie. Często jako pierwszą metodę ochrony wymienia się uwierzytelnianie, czyli poświadczenie swojej tożsamości. Faktycznie, jeśli chcemy przeczytać nowe maile na swojej skrzynce pocztowej, najpierw musimy udowodnić że jesteśmy tym za kogo się podajemy. W przypadku serwisów internetowych, najpopularniejszą metodą uwierzytelniania jest hasło dostępu: w odpowiednie pola użytkownik wpisuje nazwę (login) oraz hasło. Bezpieczeństwo tego rozwiązania opiera się na prostej zasadzie: hasło zna TYLKO właściciel. Zgodnie z tym, bezpieczne hasło musi być ciągiem znaków trudnych do odgadnięcia. Nie może być wyrazem słownikowym oraz nie może być zbyt krótkie. Drogi czytelniku, odpowiedz szczerze: czy Twoje hasła są bezpieczne? Jeśli nie, zmień je jak najszybciej! W przeciwnym wypadku, będziesz łatwym celem dla intruzów posługujących się aplikacjami przeznaczonymi do łamania słabych haseł, np. John the Ripper (http://openwall.com/john).

Pamiętajmy jednak że hasło nie jest jedynym sposobem uwierzytelniania. Często, nie tylko w filmach sensacyjnych ale i w praktyce, używane są przenośne karty inteligentne. Wprawdzie ich „inteligencja” sprowadza się do wysłania odpowiednio obliczonej odpowiedzi do czytnika, jednak zapewnia dość wysoki stopień ochrony, a nas zwalnia z konieczności zapamiętywania skomplikowanych haseł. Z podobnego sposobu uwierzytelniania korzysta wiele współczesnych urządzeń. Przykładem mogą być telefony komórkowe komunikujące się przy pomocy protokołu Bluetooth. Gdy jeden z nich zażąda od drugiego potwierdzenia tożsamości, ten odpowiada na żądanie przesyłając ciąg bitów zależny od adresu i poufnego klucza. Na koniec warto wspomnieć o uwierzytelnianiu przez analizę cech biologicznych. W prawdzie jest to technika dość kosztowna i weryfikująca jedynie tożsamość człowieka, jednak charakteryzuje się bardzo wysokim stopniem bezpieczeństwa. Sztandarowe przykłady użycia to weryfikacja linii papilarnych oraz analiza struktury tęczówki ludzkiego oka.

Załóżmy że proces uwierzytelniania przebiegł poprawnie. Co dalej? System powinien wiedzieć do czego mamy prawo, a na co w żadnym wypadku nie powinien nam pozwolić. Taki sposób kontroli nazywany jest autoryzacją lub inaczej kontrolą dostępu. Przykładem może być znów poczta elektroniczna. Po poprawnym uwierzytelnieniu otrzymujemy dostęp do otrzymanych wiadomości i przechowywanych załączników, jednak nie mamy dostępu do wiadomości innych użytkowników poczty (mimo że są zgromadzone na tym samym serwerze). Nieprawidłowa autoryzacja może mieć bardzo poważne konsekwencje. Znane są ataki mające na celu taką zmianę praw dostępu, aby atakujący uzyskał uprawnienia administratora. W takim przypadku, intruz jest w stanie odczytać, zmodyfikować lub zniszczyć wszystkie dane przechowywane w zainfekowanym systemie.

A propos, w jaki sposób sprawdzić czy nasze dane nie zostały bezprawnie zmodyfikowane? Wyobraźmy sobie wielostronicowy raport. Czy bylibyśmy w stanie jednoznacznie stwierdzić, że żaden z wyrazów nie został zmieniony lub skasowany? A co jeśli takich raportów mamy kilkadziesiąt? Sprawa zaczyna się komplikować, lecz jeśli nawet taki problem wydaje się trudny, z pomocą przychodzi nam kolejna metoda ochrony danych – kontrola integralności. Bezprawna modyfikacja może być łatwo odkryta dzięki tzw. funkcjom skrótu (funkcjom hashującym). Są to funkcje, które dowolnie długi ciąg danych (np. dokument tekstowy, plik multimedialny) przekształcają na krótki ciąg bitów.

Funkcja skrótu uzależnia każdy pojedynczy bit wiadomości od wyjściowego skrótu. Innymi słowy, jeśli obliczymy skrót oryginalnego dokumentu oraz skrót dokumentu w którym zmieniona została choćby pojedyncza litera tekstu, stwierdzimy że oba skróty różnią się od siebie. Jak widać, wynik funkcji skrótu jest jak gdyby „odciskiem palca” oryginalnego dokumentu. Taką własność wykorzystuje się podczas wykonywania podpisów elektronicznych lub w procesie weryfikacji certyfikatów cyfrowych. Przy okazji warto również wspomnieć o innych własnościach bezpiecznych funkcji skrótu: jednokierunkowości (sprawia że łatwo obliczyć wartość funkcji lecz trudno obliczyć argument funkcji skrótu znając jedynie jej wartość) i odporności na kolizje (trudno znaleźć inny argument dla którego skrót ma taką samą wartość). Jakiś przykład kontroli integralności? Proszę bardzo: przed wyjazdem na wakacje obliczamy skrót z danych przechowywanych w komputerze i wynik zapisujemy (np. na dysku przenośnym). Po powrocie z wakacji ponownie obliczamy skrót z tych samych danych. Jeśli oba skróty są identyczne, mamy pewność, że podczas naszej nieobecności pliki nie zostały w żaden sposób zmodyfikowane.

Co jednak zrobić gdy chcemy ukryć poufne dane? Możemy je ukryć przed intruzami lub tak zmodyfikować, aby stały się nieczytelne dla osób postronnych. Pierwszym sposobem zapewniania poufności zajmuje się steganografia, drugim kryptografia. Trudno jednoznacznie stwierdzić, które rozwiązanie jest bardziej skuteczne. Jednak we współczesnej teleinformatyce zdecydowanie częściej używa się algorytmów szyfrujących, czyli technik kryptograficznych.

Techniki steganograficzne polegają na ukrywaniu przesyłanych informacji tak, aby osoby postronne nie były świadome ich istnienia. Przykładem może być tekst napisany atramentem sympatycznym, który nie zostawia widocznego śladu na papierze. Widoczny tekst pojawia się jedynie w szczególnych warunkach (np. po podgrzaniu papieru, na którym wcześniej pisano sokiem z cytryny). Do bardziej wyszukanych technik należą tzw. mikrokropki, które mogą być zwykłymi fotografiami pomniejszonymi do wielkości kropki kończącej to zdanie. Technika ta była szeroko stosowana podczas II wojny światowej w celu przesyłania tajnych wiadomości (zdjęć terenów umocnionych, map z ruchami wojsk itp.). Współcześnie stosuje się algorytmy, które niezauważalnie modyfikują cyfrową postać danych lub sposób komunikacji pomiędzy użytkownikami. Najlepiej znanym sposobem jest modyfikacja najmniej znaczących bitów każdego piksela w obrazie. Taka modyfikacja jest niezauważalna dla ludzkiego oka, a dzięki niej jesteśmy w stanie przechować tajną informację.

Zupełnie inne podejście prezentują techniki kryptograficzne. Poufne dane są tak przekształcane, że stają się nieczytelne dla osób postronnych – niedysponujących odpowiednim kluczem. Jedynie przy pomocy klucza uprawniony odbiorca jest w stanie odczytać tajną wiadomość. Przekształcenie o którym mowa nazywane jest szyfrowaniem (gdy nadawca przed wysłaniem przekształca poufną wiadomość na postać nieczytelną) lub odszyfrowywaniem (gdy odbiorca odczytuje tajną wiadomość). Sama idea kryptografii nie jest nowa – już Juliusz Cezar szyfrował swoje listy zamieniając jedne litery w inne. Innym historycznym przykładem jest maszyna szyfrująca Enigma, której bezpieczeństwo zostało złamane przez polskich matematyków jeszcze przed wybuchem II wojny światowej.

A jakie techniki kryptograficzne stosowane są obecnie? Ponieważ informacja przesyłana w sieciach teleinformatycznych ma postać cyfrową (binarną), współczesne szyfry modyfikują bitową postać wiadomości. W dużym uproszczeniu, najpopularniejsze algorytmy kryptograficzne polegają na odpowiednim mieszaniu i podstawianiu jednych bitów za inne oraz dodaniu klucza kryptograficznego, który również jest ciągiem bitów. Odszyfrowywanie takich wiadomości polega na przeprowadzeniu tych samych operacji, ale w odwrotnej kolejności. Jest także inna grupa, nazwana szyframi asymetrycznymi, których wspólną cechą jest używanie dwóch różnych kluczy – jednego do szyfrowania wiadomości, a drugiego do ich odszyfrowywania. Każda z grup ma swoje wady i zalety, jednak obie świetnie się uzupełniają i często stosowane są w praktyce. Jeśli podczas korzystania z poczty elektronicznej, bezpośrednio przed adresem strony internetowej znajduje się przedrostek „https” i pojawia się charakterystyczna ikonka z zamkniętą kłódką, możecie być pewni, że używacie algorytmów szyfrujących. Dzięki nim Wasza komunikacja może być bezpiecznie zaszyfrowana.

Pozostaje jednak istotny problem: jeśli do zaszyfrowania wiadomości użyjemy tajnego klucza, w jaki sposób bezpiecznie dostarczyć go do odbiorcy? Jeśli intruz w jakiś sposób pozna klucz, uda mu się odszyfrować i podsłuchać całą wiadomość. Pomimo trudności z bezpiecznym zarządzaniem kluczami, obecnie znamy algorytmy, które pozwalają na przesłanie lub wspólnie ustalenie tajnego klucza, w taki sposób aby osoby postronne nie mogą go podsłuchać. Niemniej jednak nie chronią one przed innymi próbami ataków, np. podszywaniem się pod uprawnionego odbiorcę. Obecnie za najbezpieczniejsza metodę uważa się kryptografię kwantową, a właściwie kwantową dystrybucję kluczy kryptograficznych. Technika ta polega na kodowaniu bitów za pomocą stanów kwantowych pojedynczych fotonów. Korzystając z zasady fizyki kwantowej, która mówi że nawet pasywny podsłuch zmienia stan kwantowy cząstek, jesteśmy w stanie wykryć próby podsłuchiwania transmisji. Brzmi to jak science fiction, ale urządzenia do kryptografii kwantowej są już produkowane przez firmy komercyjne i każdy kto dysponuje odpowiednim budżetem może je kupić i używać do ochrony swoich danych.

Uwierzytelnianie, autoryzacja, kontrola integralności czy zapewnianie poufności za pomocą metod steganograficznych i kryptograficznych to jedynie część „arsenału” jakim dysponujemy w walce o bezpieczeństwo naszych danych. Niemniej jednak musimy pamiętać, że wszystkie one zawiodą gdy użytkownikom sieci zabraknie … zdrowego rozsądku. Bo jak można mówić o bezpieczeństwie, gdy ktoś zapisuje swoje hasło na karteczce przylepionej do monitora?

Dr inż. Marcin Niemiec pracuje w Katedrze Telekomunikacji AGH w Krakowie. Prowadzi zajęcia z bezpieczeństwa i ochrony danych na kierunku teleinformatyka oraz elektronika i telekomunikacja.

 

 

 

Artykuł został dodany przez: Akademia Górniczo-Hutnicza » Wydział Informatyki, Elektroniki i Telekomunikacji » Katedra Telekomunikacji

08/11/2012 13:29:25
 
Komentarze

Brak komentarzy

Aby dodać komentarz musisz się najpierw zalogować!