Вы находитесь на странице: 1из 47

���������������

CYKL SZKOLEŃ
Z OBSZARU
ZARZĄDZANIA
BEZPIECZEŃSTWEM IT


����� ��� ������� ������� ������� ��������� ��������������� ����������� ��� ������� ���� ������������� ������
������������� �������� ������������ �� ������������ �������� �� �������� ������������ ���������������� ����
������� ��� �� ������� ������� ������������ ���������� ���� �� ���������� ������ ����� ����������� ������������
����������������������������������������������������������������������������������������������������������
����������������������������������������������������������������������������������
�������������������������������������������������������������������������������������������������������������
�������������������
� ����� �������������� � ����� ������������� � ����������
������������������� ������ �� � ��������������
���������� ���������� ���������� � �� ����� ������
� � ������ ������
� ����� ������������
� ������������� �������� �������������� � ����� ����� ������
� � ������ ������
� ��������� �������������� �� ��������
� ��� � ����������� ���������� ��������� �����
�� � �� ������ ������ � ����� ����� ������

� �������������� ��������� ������������� � ������� ������������� ������


� �� ������ ����� � ����� ����� ������

� ����������� �������� � �����������


� ��� ����� ������
������� � ��������
���������
�������������������� ��������� ���������
�����������
��������������������������������������������
��������������
��������������������������� �������
2/2011 (69)

DRODZY CZYTELNICY SPIS TREŚCI


6 Aktualności
Idzie luty szykuj... minifiltry. Pokonując nie tak du-
że w tym roku zaspy śnieżne oraz nie zwalniając 9 Konkurs Hakin9 i Kaspersky
na oblodzonych zakrętach oddajemy w Wasze ręce

OBRONA
kolejny numer naszego magazynu. Mamy nadzie-
ję, że każdy z Was znajdzie w nim coś dla siebie.
W tym wydaniu przygotowaliśmy między innymi ar-
tykuły o minifiltrach systemu Windows czy pierwszą 10 Nadzorowanie dostępu do zawartości
woluminów w systemie Windows za pomocą
część artykułu pod tajemniczym tytułem – Oszu-
minifiltrów
kać napastnika. Strzeżcie się zatem potencjalni in- Piotr Gawron
truzi! Ponadto mamy dla Was teksty o bazach da- Czytelnicy zainteresowani modyfikowaniem swojego
nych – ich bezpieczeństwie oraz o zasadach korzy- Windowsa na pewno znają wiele sposobów na osiąga-
stania z nich w świetle przepisów prawnych. Na de- nie „odmiennego” zachowania systemu. W tym artyku-
ser w naszym mroźnym numerze polecamy wziąć le chciałbym zająć się zmodyfikowaniem odczytu za-
udział w gorącym konkursie, w którym do wygrania wartości nośników danych. Zapewne zdarzają się sytu-
acje, kiedy nie chcemy, aby możliwy był dostęp do pew-
jest pięć egzemplarzy oprogramowania antywiruso-
nych informacji na nim zawartych. Atrybut read i prawa
wego Kaspersky Internet Security 2011. dostępu? Może czasami ta kombinacja wystarczy, ale
dlaczego do realizacji tego zadania nie zaprząc tech-
Zachęcamy zatem do lektury i życzymy szczęścia nologii używanej między innymi przez... programy an-
w konkursie! tywirusowe?
Redakcja
16 Oszukać napastnika – cz. 1.
Poznaj podstawowe metody ukrywania
informacji o swoim systemie
Sebastian Fyda
Każdy dostępny publicznie serwer świadczy zwykle jed-
ną lub więcej usług. Każda z tych usług to pewien frag-
ment oprogramowania, które jak każde oprogramowa-
nie ma swoje błędy. Każda z usług ma też swoją cha-
rakterystyczną sygnaturę, która pozwala na określenie,
jaki software i w jakiej wersji realizuje usługę. Dzięki
publicznemu udostępnieniu tych informacji zwiększa-
my ryzyko skutecznego ataku na nasz serwer. Czasa-
mi samo ukrycie informacji wystarczy do zniechęcenia

Miesięcznik hakin9 (12 numerów w roku) Wyróżnieni betatesterzy: Łukasz Przyjemski odpowiedzialności za efekty wykorzystania ich; nie
jest wydawany przez Software Press Sp. z o.o. SK gwarantuje także poprawnego działania programów
Adres korespondencyjny: shareware, freeware i public domain.
Prezes wydawnictwa: Paweł Marciniak Software Press Sp. z o.o. SK, ul. Bokserska 1,
02-682 Warszawa, Polska tel. +48 22 427 32 85, Wszystkie znaki firmowe zawarte w piśmie są
Dyrektor wydawniczy: Ewa Łozowicka +48 22 427 36 46, fax +48 22 224 24 59 własności odpowiednich firm.
www.hakin9.org/pl Zostały użyte wyłącznie w celach informacyjnych.
Redaktor prowadzący:
Adrian Gajewski adrian.gajewski@software.com.pl Dział reklamy: adv@software.com.pl
Skład i łamanie: Osoby zainteresowane współpracą
Tomasz Kostro www.studiopoligraficzne.com Redakcja dokłada wszelkich starań, by publikowane w prosimy o kontakt z Redakcją.
Kierownik produkcji: piśmie i na towarzyszących mu nośnikach informacje
Andrzej Kuca andrzej.kuca@software.com.pl i programy były poprawne, jednakże nie bierze

4 2/2011
HAKIN9 2/2011

SPIS TREŚCI

BEZPIECZNA FIRMA
tzw. Script-kiddies, którzy z reguły poszukują serwe-
rów z konkretną wersją oprogramowania i niezdradza-
jących jakichkolwiek działań w kierunku hardeningu, ja-
ko celi swoich ataków. 37 Narzędzia do automatycznego audytu
bezpieczeństwa
20 Bezpieczeństwo baz danych Maciej Karmoliński
Michał Sajdak Wprowadzanie systemu automatycznego wykrywania
Bazy danych często stanowią jeden z głównych ele- i zarządzania podatnościami w złożonych sieciach, jest
mentów systemów IT: przechowują oraz udostępniają nowo przyjętym podejściem dużych i średnich przed-
informacje. Sama definicja bazy nie narzuca określone- siębiorstw na rynku europejskim. Ocena stosowanych
go sposobu organizacji danych, jednak obecnie najbar- zabezpieczeń uległa znacznej poprawie dzięki kwar-
dziej rozpoznawana na rynku jest baza relacyjna oraz talnym, miesięcznym a nawet codziennym audytom,
związany z nią język SQL. Implementacji „SQL-owych dzięki którym mamy możliwość szybszego reagowa-
baz danych” są zapewne setki, choć zaledwie kilka nia na powstałe luki systemu, bądź zmianę istnieją-
z nich cieszy się dużą popularnością. Takimi systema- cego zagrożenia. Narzędzia służące automatyczne-
mi są: Oracle Database, SQL Server, DB2, MySQL czy mu wykrywaniu podatności, pozwalają na łatwą i pre-
Postgresql. Przy okazji, warto wspomnieć, że istnieją cyzyjną kontrolę bezpieczeństwa informacji poufnych,
również inne rozwiązania – oferujące alternatywne do która może być prowadzona przez jedną osobę dla ca-
wspomnianych powyżej sposoby organizacji informacji, łej firmy.
jak choćby obiektowa baza danych (np. ZODB) czy ba-

KLUB TECHNICZNY
za danych XML (np. eXist).

26 Zarządzanie bezpieczeństwem danych


osobowych. Kwestie prawne e-commerce 41 Klub Techniczny
Marcin Engelmann TriGeo SIM oraz ATOS
Dane osobowe klientów sklepu internetowego – na co

FELIETON
powinien zwrócić uwagę właściciel sklepu, żeby nie tyl-
ko działać w zgodzie z ustawą o ochronie danych oso-
bowych, ale również budować zaufanie swoich klien-
tów. Czym są dane osobowe, jak je zabezpieczyć, na 45 Odzyskiwanie danych po polsku, czyli jak
co zwrócić uwagę? nie stracić danych odzyskując je
Artur Skrouba
32 Bazy danych i zasady korzystania z nich
w świetle przepisów prawa polskiego
Dariusz Łydziński
Bazy danych i korzystanie z nich stanowią przedmiot
działalności wielu podmiotów gromadzących i prze-
twarzających dane, dlatego też często są poddawane
zagrożeniom ze strony przestępców działających we-
wnątrz firmy oraz napastników zewnętrznych, którzy
nie szukają już hakerskiej sławy, lecz są głównie zain-
teresowani korzyściami finansowymi. W każdej organi-
zacji dane są drugim najcenniejszym zasobem, zaraz
po pracownikach. Firmy są zobowiązane do ochrony
własnego personelu i klientów poprzez dołożenie na-
leżytej staranności i zapewnienie maksymalnych możli-
wych zabezpieczeń.

www.hakin9.org 5
AKTUALNOŚCI

Zatruwanie P2P Polacy ostrzegali IBM-a


Firmy zajmujące się walką z pirac- Przeznaczony dla deweloperów serwis korporacji IBM padła ofiarą cyber-
twem (takie jak chociażby Media- przestępców, którzy podmienili zawartość niektórych stron - poinformował
Defender) od lat zalewają sieci
peer-to-peer fałszywymi danymi. amerykański koncern.
Mimo że techniki tego typu różnią IBM nazwał włamanie aktem wandalizmu. Korporacja odzyskała zawar-
się od siebie, cel jest ten sam - znie- tość oryginalnych stron w ciągu kilku godzin, mimo tego kopia pracy cyber-
chęcić ściągających pliki tak skutecz- przestępców została przekopiowana w inne miejsce.
nie, aby ci poszukali sobie legalnej Nie utracono żadnych danych, nie doszło także do przejęcia danych oso-
alternatywy. bowych oraz haseł - uspokaja IBM.
Działania te rozpoczęły cichą wojnę
Jak się okazuje, o słabych zabezpieczeniach serwisu korporację IBM in-
pomiędzy “wymieniaczami plików”,
a grupami antypirackimi. formowała już siedem miesięcy temu firma Ariko Security z Oświęcimia.
Ci pierwsi rozpoczęli blokować
znane adresy IP, które serwują fałszy- Tymczasowe obejście na lukę w CSS
we pliki. Serwisy, takie jak The Pirate Microsoft opublikował przejściową łatę krytycznej luki w zabezpieczeniach
Bay, filtrowały zawartość, blokując Internet Explorera, która wystawiała komputery na ryzyko ataku poprzez
konta użytkowników wrzucających
zdalne wykonanie kodu.
niewłaściwe treści.
Pomimo takich działań, sieci P2P Gigant oprogramowania otrzymał do tej pory niewielką liczbę zgłoszeń
w dalszym ciągu zalane są fałszy- dotyczących ataków z wykorzystaniem tej luki.
wymi plikami. Z najnowszych analiz “Błąd związany jest z niewłaściwym zwalnianiem pamięci podczas pra-
wynika, że prawie jedna trzecia treści cy funkcji CSS w Internet Explorerze” - poinformował Microsoft. “Specjalnie
dostępnych w sieci BitTorrent jest spreparowana strona internetowa może przejąć część pamięci aby wstrzyk-
fałszywa. Najwyższe statystyki (30
nąć tam zdalny kod” - informuje dalej.
procent fałszywych plików) notują
tak popularne portale, jak The Pirate Nowa poprawka zabezpiecza przed rekurswnym ładowaniem styli CSS
Bay i Mininova - podają prowadzący w Internet Explorerze. Firma z Redmond sugeruje, aby administratorzy IT,
badania naukowcy z Uniwersytetu którzy podejrzewają atak, powinni się zastosować do zaleceń. Jest to na ra-
Carlosa III z Madrytu. zie jedyny sposób ominięcia zagrożenia.
Amazon pomaga łamać
hasła WPA
SMS-y nie są już bezpieczne
Webhostingowa oferta Amazo- RSA przewiduje w tym roku wzrost intensywności ataków na telefony ko-
na może pomóc cyberprzestępcom mórkowe - celem cyberprzestępców ma być przechwytywanie SMS-ów au-
w łamaniu haseł sieci bezprzewodo- toryzujących operacje bankowe.
wych - uważa niemiecki ekspert ds. Tokeny tego typu maja uzupełniać autoryzację użytkownika, który oprócz
bezpieczeństwa. podania loginu i hasła musi wprowadzić kod otrzymany od banku SMS-em.
Thomas Roth twierdzi, że chmura
Często w ten sposób autoryzowane są operacje bankowe.
serwerów EC2 Amazona znacznie
ułatwia pracę narzędziom do łama- Tego typu autoryzacja staje się coraz popularniejsza - Commonwealth
nia haseł sieci bezprzewodowych. Bank of Australia ujawnia, że z takiego mechanizmu korzysta 80 procent
Stworzone przez Rotha oprogramo- klientów tego banku (bank nie namawia zbytnio na takie rozwiązanie).
wanie zainstalowane w chmurze “Przestępca może przeprowadzić telefoniczny atak typu ‘denial-of-servi-
komputerów Amazona jest w stanie ce’, który unieruchomi komórkę ofiary” - tłumaczy RSA. “Wysyłany przez
przetestować w ciągu sekundy 400 bank SMS może być przechwycony i przekazany bezpośrednio to telefo-
tysięcy haseł.
Ekspert pragnie ujawnić wyniki
nu cyberprzestępcy”. Raport RSA wyjaśnia, że póki co nie ma efektywnego
swojej pracy nad łamanie standardu sposobu ochrony przed tzw. “smishingiem”.
WPA-PSK podczas konferencji Black
Hat, która odbędzie się w tym mie- Facebook wstrzymuje nową funkcjonalność
siącu. Facebook “tymczasowo zawiesił” wprowadzenie kontrowersyjnej funkcjonal-
“Ludzie mówią mi, że nie da się złamać ności swojego portalu, która miała udostępniać deweloperom aplikacji dane
WPA, a jeśli jest to możliwe, koszto-
osobowe użytkowników korzystających z niewielkich dodatków do FB.
wać to może sporo czasu i pieniędzy”
- twierdzi Roth. “Z taką mocą oblicze- Serwis społecznościowy wstrzymał wprowadzenie funkcjonalności trzy
niową jest to łatwe, nawet korzystając dni po oficjalnym anonsie. Decyzja spowodowana została gwałtownym pro-
z metody brute force” - dodaje. testem użytkowników oraz krytyką firm zajmujących się bezpieczeństwem.
Złamanie jednego hasła WPA-PSK za Aby uzyskać dostęp do aplikacji użytkownik musi udzielić na to zgodę.
pomocą chmury Amazona trwa śred- Jednakże spora grupa internautów bardzo często klika w różnego rodzaju
nio około sześć minut.
przyciski, nie zwracając uwagi na znajdujący się obok opis. To właśnie dla-
tego nowa funkcjonalność zwraca uwagę takich firm, jak chociażby Sophos,
który sądzi, że teraz łatwiej szerzyć się będą złośliwe aplikacje.

6 2/2011
Aktualności

Stuxnet mógłby być bardziej efektywny Bomba od The Pirate Bay?


Robak Stuxnet, który zaatakował kluczowe systemy związane z irańskim Zespół portalu The Pirate Bay przy-
programem nuklearnym, niszcząc sprzęt oraz opóźniając prace, jest “pełen gotowuje nową usługę wymiany
plików muzycznych.
błędów” - uważa jeden z ekspertów ds. bezpieczeństwa. TPB zarejestrował kilka lat temu
Konsultant Tom Parker zasugerował podczas swego wystąpienia na kon- domenę themusicbay.org, która do
ferencji Black Hat DC, że kod robaka nie został raczej stworzony przez je- tej pory nie była wykorzystywana.
den elitarny zespół, jak wcześniej sądzono, lecz dwie niezależne grupy. Obecnie przekierowuje ona ruch na
Parker wykorzystał do analizy kodu robaka odpowiednie narzędzie, które stronę The Pirate Bay.
wykazało znaczące różnice w jakości kodu. Zastanawia natomiast pojawienie
się nowego adresu - fear.themusica-
Stuxnet ukrył się w systemie nuklearnym w bardzo sprytny sposób, zapi-
bay.org - pusta witryna zawiera w na-
sując wcześniej telemetrię normalnych operacji, a następnie odtwarzał ją głównku tag title o treści “Coming
zespołowi monitorującemu podczas swej właściwej pracy. soon”.
Takie działania nie przekonują eksperta Neila Lawsona, który uważa, że “Przemysł muzyczny nie ma pojęcia
zastosowane metody maskowania są amatorskie. “Mam nadzieję, że robak co przygotowujemy i zaprezentuje-
nie został stworzony w USA, bo oznaczałoby to, że nasze elitarne cyber- my w ciągu najbliższych miesięcy. Od
lat zawzięcie tłumaczą nam o pirac-
służby reprezentują poziom bułgarskich nastolatków z lat 90-tych”.
twie, ale jeśli kiedykolwiek mieliby się
czegoś wystraszyć, ten czas nadcho-
Przestępcy dbają o prawa autorskie dzi” - ujawnił rzecznik The Pirate Bay.
Autorzy złośliwego oprogramowania stosują w swoich najpopularniejszych “To będzie niespodzianka na 78 uro-
produktach zabezpieczenia antypirackie chroniące ich własną pracę - in- dziny IFPI [International Federation of
formuje Symantec. Zabezpieczenia takie posiadają bardziej skomplikowa- the Phonographic Industry]” - dodaje.
ne zestawy narzędziowe. “Używają tej samej technologii DRM (Digital Ri- Botnet dla smartfonów
ghts Management), co legalne, poważne produkty” - tłumaczy Craig Scrog- Georgia Weidman to sprytna dziew-
gie, dyrektor zarządzający Symantec Pacific. “Tworzą swoje systemy DRM, czyna - dzięki jej pracy mamy do czy-
kradną te już dostępne, albo łączą oba rozwiązania” - dodaje. nienia z erą nowego typu malware
Większość klientów kupujących hakerskie zestawy narzędziowe nie po- dla komórek.
siada wystarczająco dużo wiedzy, aby poradzić sobie z zabezpieczeniami Weidman planuje prezentację swojej
pracy podczas najbliższej imprezy
DRM. A cena za tego typu produkty wzrosła dramatycznie - z 11 w 2006 ro- Schmoocon w Waszyngtonie - pod-
ku do 5800 euro obecnie. “Wysoka cena uzależniona jest od skuteczności czas wystąpienia wykorzysta ona
malware” - wyjaśnia Scroggie. trzy telefony z systemem Android.
Cóż takiego stworzyła Weidman?
Złamano zabezpieczenia aplikacji Metodę stworzenia ze smartfonów
na Windows Phone 7 węzłów botnetu.
Do zainfekowania telefonu służy
FreeMarketplace to koncept aplikacji pozwalający na darmowe pobranie i za-
stworzony przez Weidman rootkit,
instalowanie dowolnej aplikacji systemu operacyjnego Windows Phone 7. który po zainstalowaniu odpowiada
Chociaż aplikacje Marketplace są chronione przez DRM, FreeMarketpla- za wysyłanie spamu lub przeprowa-
ce usuwa te blokady, pozwalając na korzystanie z programów bez potrze- dzanie ataku DoS bez wiedzy właści-
by dokonywania opłat. ciela telefonu.
Już wkrótce po pojawieniu się platformy na rynku okazało się, że moż- “Gdy zainfekowałam telefon w swoim
laboratorium, smartfon był w stanie
na łatwo pobrać pakiety instalacyjne - pliki XAP. Klient Zune pobiera pliki
odbierać sms-y z instrukcjami, które
XML zawierające wszystkie lokalizacje pakietów, zaś zarówno pliki XML, jak po odebraniu ulegały skasowaniu.
i XAP są oferowane bez restrykcji. Dzięki temu użytkownik nie ma świa-
Niedawno na forum deweloperów XDA pojawił się post informujący w ja- domości, że jego telefon jest częścią
ki sposób można pobrać i przerobić plik XAP, aby udało się go zainstalo- botnetu” - wyjaśnia.
wać. Pomimo skasowania przez admininistrację forum posta, okazał się
on inspiracją dla pewnego dewelo-
pera, który stworzył aplikację mo-
dyfikującą pliki XAP. Autor kodu
nie dystrybuuje aplikacji, nie opi-
suje też w szczegółach jej działa-
nia. Jego intencją jest zademon-
strowanie problemu, a nie promo-
cja piractwa.
Microsoft został poinformowany
o pojawieniu się aplikacji.

www.hakin9.org 7
AKTUALNOŚCI

Użytkownicy Twittera w niebez- Estonia chce mieć cyberoddział


pieczeństwie Estonia chce rekrutować specjalistów do swojej tworzonej cyberarmii.
Wykryto szkodnika rozprzestrzenia- Niewielkie nadbałtyckie państwo tworzy kadrę komputerowych specjalli-
jącego się na Twitterze. Robak wyko- stów - ochotników, którzy mają bronić komputerowej infrastruktury kraju.
rzystuje usługę Google pozwalają-
Znany pod nazwą Cyber Defense League oddział ma składać sie ze spe-
cą na skracanie odsyłaczy (goo.gl)
i nakłania niczego niepodejrzewa- cjalistów IT oraz inżynierów, którzy w czasie wojny będą dowodzeni przez
jących użytkowników do instalowa- przedstawicieli armii.
nia fałszywych programów antywi- Estonia ma dobry powód, by stworzyć tego typu oddział - jako pierwszy
rusowych na swoich komputerach. kraj w historii padła ofiarą zmasowanego cyberataku. Sprawcami ataku by-
Robak przekierowuje użytkowników li Rosjanie, którzy wyrazili swój sprzeciw w kwestii przenoszenia pomników
Twittera na stronę WWW oferującą
pamięci żołnierzy poległych w czasie II Wojny Światowej.
fałszywe rozwiązanie antywiruso-
we o nazwie „Security Shield”. Cyber-
przestępcy użyli specjalnych tech- Nadchodzą czasy cyberwojen
nik, aby ukryć prawdziwy kod strony Głównodowodzący brytyjskich sił zbrojnych, generał Sir David Richards,
przed bardziej wnikliwymi osobami. pragnie stworzyć specjalną jednostkę, która ma chronić Zjednoczone Kró-
„Szkodliwe odsyłacze w wiadomo- lestwo przed cyberatakami.
ściach na Twitterze przekierowu- Richards przewiduje swego rodzaju kulturową zmianę w działaniach wo-
ją użytkowników na różne domeny,
w obrębie których znajduje się strona jennych - Internet ma odgrywać równie istotne znaczenie na polu walki, co
o nazwie ‘m28sx.html’” - mówi Nico- wojska konwencjonalne. “Musimy nauczyć się bronić, przeszkadzać, atako-
las Brulez, ekspert z Kaspersky Lab. wać i manewrować w cyberprzestrzeni, tak jak robimy to na lądzie, morzu,
„Ta strona z kolei przerzuca użytkow- czy w powietrzu” - tłumaczy Sir Richards.
ników jeszcze dalej, pod adres w do- “Wojny przyszłości zawsze będą dotyczyć cyberprzestrzeni, aby stać się
menie zlokalizowanej na Ukrainie”. potem dominującym polem walki” - dodaje.
Jakby tego było mało, domena ta
przekierowuje na inny adres IP, który
był już wcześniej wykorzystywa- Sony odpowiada na złamanie PS3
ny przez cyberprzestępców do ofe- Minął już ponad miesiąc od pojawienia się informacji o złamaniu przez gru-
rowania użytkownikom fałszywych pę Fail0verflow klucza prywatnego dla konsoli PS3.
programów antywirusowych. „Ten Odkrycie to pozwala domowym deweloperom podpisywać swoje aplika-
adres wykonuje ostatnie przekierowa- cje i uruchamiać je na PlayStation 3. Przedstawiciele Sony przez tydzień
nie, które prowadzi wprost do strony
nie komentowali odkrycia - możliwe, że nie zwrócili uwagi na raport, albo
zawierającej szkodliwy kod”, tłuma-
czy Nicolas Brulez. też uważali, że jest to luka, którą w łatwy sposób można wkrótce załatać.
W efekcie atakowany użytkownik Japoński producetnt wysłał do magazynu Edge swoje oficjalne stanowi-
widzi sfałszowaną informację o tym, sko: “Zostaliśmy poinformowani o fakcie złamania klucza i przyglądamy
że na komputerze działają podejrza- się tej kwestii. Dokonamy naprawy oprogramowania poprzez odpowied-
ne aplikacje i otrzymuje propozy- nie aktualizacje sieciowe, jednakże ze względu na to, że mamy do czynie-
cję uruchomienia skanowania anty-
nia z kwestiami bezpieczeństwa, nie możemy podać dalszych szczegółów”
wirusowego. Jak zwykle w takich
przypadkach, po uruchomieniu „ska- - wyjaśnia przedstawiciel Sony.
nowania” komputer jest infekowa- Jednakże grupa Fail0verflow twierdzi, że tym razem prosta aktualizacja
ny prawdziwymi szkodliwymi pro- oprogramowania nie będzie w stanie załatać dziury, podobnie jak miało to
gramami, a użytkownik otrzymu- miejsce w przypadku kluczy USB typu PS Jailbreak.
je ofertę zakupu programu antywi- “Cała konsola została skom-
rusowego w atrakcyjnej cenie. Pro- promitowana - nie ma już spo-
gram ten oczywiście jest fałszywy,
a jego instalacja prowadzi wyłącznie
sobu na naprawę. To bardzo
do dalszych infekcji. poważna kwestia i ktoś w So-
ny będzie miał kłopoty” - tłuma-
czą przedstawiciele grupy. We-
Więcej newsów znajduje się dług nich jedyna rada to wymia-
na stronie serwisu na sprzętu.
Jeśli informacje podane przez
informacyjnego Hacking.pl
Fail0verflow okażą się prawdzi-
http://hacking.pl.
we, po wydaniu przez Sony no-
wej wersji PS3 cena “starej”
konsoli może wzrosnąć na róż-
nego rodzaju aukcjach.

8 2/2011
KONKURS

KONKURS
Hakin9 i Kaspersky
Do wygrania Kaspersky Internet Security 2011

W najbliższym newsletterze Hakin9


zamieścimy pytanie odnoszące się do
jednego z tekstów z tego numeru. Wśród
prawidłowych odpowiedzi rozlosujemy
pięć programów antywirusowych
Kaspersky Internet Security 2011.

Na odpowiedzi nadesłane na adres


konkurs@software.com.pl czekamy do
8 lutego. Zwycięzców poinformujemy
drogą mailową.

Powodzenia!

www.hakin9.org 9
OBRONA

Nadzorowanie dostępu do
zawartości woluminów w systemie
Windows za pomocą minifiltrów
Piotr Gawron

Czytelnicy zainteresowani modyfikowaniem swojego Windowsa


na pewno znają wiele sposobów na osiąganie „odmiennego”
zachowania systemu. W tym artykule chciałbym zająć się
zmodyfikowaniem odczytu zawartości nośników danych. Zapewne
zdarzają się sytuacje, kiedy nie chcemy, aby możliwy był dostęp
do pewnych informacji na nich zawartych. Atrybut read i prawa
dostępu? Może czasami ta kombinacja wystarczy, ale dlaczego do
realizacji tego zadania nie zaprząc technologii używanej między
innymi przez... programy antywirusowe?

Dowiesz się: Powinieneś wiedzieć:


• jak działają sterowniki urządzeń trybu jądra • podstawy wewnętrznej architektury systemu operacyjnego
• co to są filtry systemu plików Windows • różnice pomiędzy trybami jądra i użytkownika
• jak modyfikować w locie zawartość woluminu • podstawy programowania w C/C++

D
ane przedstawiane na ekranie komputera są możliwości lub umiejętności modyfikacji sprzętu, który
wynikiem przetwarzania wykonywanego przez w przypadku produktów masowych nie jest projektowa-
komputer na podstawie załadowanych do nie- ny z myślą o bezpieczeństwie (wyjątkiem niech będzie
go programów. Ikona pliku z jego nazwą w oknie eks- tutaj sprzętowy moduł TPM, Trusted Platform Module).
ploratora Windows świadczy o tym, że całe oprogra- Dla programisty, jedną z pierwszych warstw, na któ-
mowanie realizujące jej wyświetlenie na ekranie zo- rej można implementować zabezpieczenia, są sterow-
stało zrealizowane w sposób dający właśnie taki wy- niki urządzeń trybu jądra systemu. O ile zagadnienie
nik. Proces generacji wyniku graficznego zaczyna się nie jest banalne, to na szczęście firma Microsoft uła-
każdorazowo na poziomie sprzętu i przechodzi przez twiła nieco zadanie i w zakresie instalowalnych ste-
wszystkie warstwy oprogramowania zwanego syste- rowników systemu plików (Installable File System Dri-
mem operacyjnym, swoją drogę kończąc gdzieś w kar- vers, IFSD) udostępniła architekturę minifiltrów. Minifil-
cie graficznej i potem na ekranie monitora. Co można trom właśnie poświęcony jest ten tekst.
w takim razie osiągnąć, jeśli istnieje możliwość zmo- Podniesiony w artykule temat dość mocno wiąże się
dyfikowania nieco tego procesu gdzieś na początko- z zagadnieniami zapewniania bezpieczeństwa infor-
wym jego etapie? macji przechowywanych na stacjach klienckich w śro-
dowisku nadzorowanym. Początkowo był jedynie czę-
Sterowniki a bezpieczeństwo ścią opracowywanej architektury monitora bezpie-
Powszechnie znanym faktem dotyczącym zabezpie- czeństwa dla stacji klienckiej (komputera), jednak sam
czania urządzeń elektronicznych przed niepożądanymi okazał się na tyle ciekawy i daje na tyle dużo możliwo-
zdarzeniami i zachowaniami użytkowników jest to, że ści, że doczekał się osobnej publikacji.
w im niższej warstwie architektury ochrona ta jest za-
implementowana, tym prawie zawsze jest skuteczniej- Sterowniki systemu plików
sza. W przypadku komputerów nie mamy zazwyczaj Ilustrując kolejne warstwy jądra Windows jako struk-

10 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów

turę pionową (gdzie dół to sprzęt, a góra - interfejs


Listing 2. Skrypt run.cmd, start usługi, start klienta, usunięcie
użytkownika), sterowniki trybu jądra (kernel mode) od
usługi
spodu „rozmawiają” z warstwą abstrakcji sprzętu (Har-
dware Abstraction Layer, HAL), skąd już tylko jeden Rem Uruchamiam zainstalowaną usługę
krok w dół do elektroniki na płytkach drukowanych. sc start minispy
Oznacza to, że w przeciwieństwie do „zwykłych” apli- Rem Uruchamiam aplikację kliencką i czekam na jej
kacji działających w trybie użytkownika (user mode), zakończenie
oprogramowanie to ma bezpośredni i nieograniczony minispy.exe
dostęp do zasobów systemowych. Wprowadzenie błę- pause
du do sterowników kończy się najczęściej nie informa- Rem Zatrzymuję i usuwam usługę minispy
cją o niespodziewanym zakończeniu programu, lecz sc stop minispy
natychmiastowym restartem komputera. sc delete minispy
Istnieją cztery kategorie instalowalnych sterowników
systemu plików Windows:
wanie swoistego proxy, oszczędza żmudnej imple-
1. Sterowniki systemu plików (File System Drivers) mentacji kompletnego sterownika, pozwalając jed-
– kompletny sterownik, obsługujący wszystkie nocześnie skupić się na implementacji konkretnej
operacje umożliwiające interakcję systemu z za- funkcjonalności.
wartością dysku,
2. Sterowniki sieciowego przekierowania (Network Na rysunku 1 widać uproszczoną strukturę stosu
Redirector Drivers) – sterownik ukrywa brak bez- systemu plików z załączonymi trzema minifiltrami.
pośredniego połączenia z zasobami (dysk, dru- Atrybut wysokości definiuje wzajemne zależności
karka, skaner), oferując użytkownikowi funkcjo- pomiędzy kolejnymi minifiltrami. Jego wartość dekla-
nalność nierozróżnialną względem tej oferowanej ruje się w pliku *.inf służącym do instalacji sterow-
przez odpowiadające zasoby lokalne, nika w systemie. Zdefiniowano ponad dwadzieścia
3. Filtry systemu plików (File System Filter Drivers) przedziałów adresowych wysokości dla różnego ro-
– opcjonalna nakładka na zainstalowany sterow- dzaju oprogramowania (antywirusowego, szyfrujące-
nik systemu plików. W zależności od implementa- go dane na dysku, przezroczystego kopiowania da-
cji, filtr może logować, obserwować, modyfikować nych i inne).
lub zabraniać wybranych operacji dyskowych. Po- Należy pamiętać, że (mini-)filtry nie są stricte ste-
nieważ filtry wpinane są bezpośrednio do stosu I/ rownikami urządzeń. Mają one za zadanie jedynie mo-
O bez uczestnictwa elementu pośredniczącego, nitorować dyskowe operacje wejścia/wyjścia. Opera-
ich implementacja wymaga przygotowania kom- cje te to w szczególności:
pletnego rozwiązania współpracującego z każdym
typem żądań systemowych występującym w sto- • Tworzenie, otwieranie, zamykanie, wyliczanie pli-
sie sterowników systemu plików, ków i folderów,
4. Minifiltry systemu plików (File System Minifilter Dri- • Pobieranie i ustawianie właściwości plików, folde-
vers) – upraszcza osiągnięcie funkcjonalności fil- rów i woluminów,
trów poprzez wprowadzenie do stosu I/O operacji • Czytanie i pisanie danych z i do pliku.
dyskowych generycznego Menedżera filtrów (Filter
Manager) i umożliwienie ładowania do niego rów- Oprócz monitorowania, minifiltry mają bezpośredni
nież generycznych minifiltrów. Poprzez zastoso- dostęp do danych (zawartości plików) przesyłanych

Listing 1. Skrypt postbuild.cmd, należy uruchomić po każdorazowej kompilacji

Rem Usuwam stare binaria


if exist del %PROJECT_ROOT%\filesys\miniFilter\minispy\bin\minispy.exe
if exist del %PROJECT_ROOT%\filesys\miniFilter\minispy\bin\minispy.sys
Rem Kopiuje nowe binaria do katalogu bin
copy %PROJECT_ROOT%\filesys\miniFilter\minispy\filter\objchk_win7_x86\i386\minispy.sys %PROJECT_ROOT%\filesys\
miniFilter\minispy\bin\minispy.sys
copy %PROJECT_ROOT%\filesys\miniFilter\minispy\user\objchk_win7_x86\i386\minispy.exe %PROJECT_ROOT%\filesys\
miniFilter\minispy\bin\minispy.exe

www.hakin9.org 11
OBRONA

w żądaniach. Otwiera to całkiem spore możliwości miniFilter\, gdzie [root] to ścieżka instalacji WDK. Dla
implementacyjne. celów edukacyjnych warto zapoznać się z przykładem
Narzędzie fltmc służy do zarządzania systemem mi- minispy. Opisane dalej oprogramowanie bazuje wła-
ni-filtrów. Za jego pomocą podejrzeć można aktualnie śnie na tym kodzie. Minispy monitoruje i raportuje do
zainstalowane w systemie mini-filtry. Rysunek 2 poka- programu poziomu użytkownika wszystkie operacje
zuje mini-filtry zainstalowane na maszynie testowej. dyskowe, czyli jest elementem pasywnym. Modyfika-
Są to między innymi: minispy (opisany dalej) i dwa mi- cja będzie polegała na wprowadzeniu do przykładu ko-
ni-filtry programu antywirusowego AVG Anti-Virus Free du zmieniającego analizowane dane.
Edition 2011 (AVGIDSFilter i Avgmfx86). Liczba wystą- Kod minispy należy zaimportować jako projekt do
pień oznacza ilość woluminów, które dany minifiltr śle- dowolnego IDE (najlepiej obsługującego podpowia-
dzi, natomiast Ramka oznacza instancję Menedżera danie składni). IDE służyć ma jedynie do pisania ko-
filtrów, do którego minifiltr jest dołączony. Fltmc wyma- du, ze względu na import zmiennych środowiskowych
ga podniesionych uprawnień. kompilacji najłatwiej dokonuje się w dostarczonej
z WDK konsoli: należy przejść bezpośrednio do kata-
Przygotowanie środowiska logu z projektem i tam uruchamiać makro BCZ. Jako
Pracę z minifiltrami rozpocząć należy od pobrania i in- IDE wykorzystano program Eclipse Helios Service Re-
stalacji pakietu Windows Driver Kit (WDK). Aby spraw- lease 1 z wtyczką CDT instalującą w Eclipse perspek-
dzić, czy wszystko działa poprawnie, należy urucho- tywę C/C++.
mić odpowiednią wersję dostarczonej w pakiecie kon- Pierwszy krok to utworzenie w Eclipse pustego pro-
soli (niech będzie to x86 Checked Build Environment jektu C++. Następnie należy podlinkować (nie impor-
dla systemu Windows 7), wpisać BCZ i wcisnąć [En- tować) źródła minispy do projektu. W tym celu klika-
ter]. Jeśli uruchomiona kompilacja zakończy się powo- my opcję Import... z menu kontekstowego utworzone-
dzeniem, komputer jest gotowy do pracy. W tym mo- go projektu. W otwartym oknie dialogowym wybieramy
mencie otrzymujemy pełny zestaw narzędzi potrzeb- importowanie plików (File System), a dalej wskazuje-
nych do napisania, skompilowania i uruchomienia wła- my ścieżkę do katalogu, w którym znajduje się minispy
snego minifiltra. ([root]\7600.16385.1\src\filesys\miniFilter\minispy).
WDK dostarcza obfity zestaw przykładowych sterow- W zaawansowanych opcjach wybieramy utworze-
ników wraz z kodem źródłowym. W tym artykule zaj- nie linków zamiast skopiowania źródeł do przestrze-
miemy się katalogiem [root]\7600.16385.1\src\filesys\ ni pracy (workspace). Dzięki temu modyfikacje zapi-
sywane będą w oryginalnym katalogu, co ułatwi kom-
pilację. Aby IDE potrafiło podpowiadać składnię, nale-
����������� ���������������� ży jeszcze importować do projektu pliki nagłówkowe
����������
WDK. W tym celu otwieramy właściwości utworzonego
projektu, rozwijamy węzeł C/C++ General, wybieramy
������������ Paths and Symbols, a na końcu wybieramy zakładkę
��������������������� ����������� Includes. Do opcji Assembly dodajemy ścieżkę [root]\
����������������������� �������������
��������������� 7600.16385.1\inc\, natomiast do GNU C i C++ dodaje-
my \api, \crt i \ddk poprzedzone [root]\7600.16385.1\
inc\. W tym momencie można już dość komfortowo
���������������� ����������� pracować z kodem. Przed wprowadzeniem jakichkol-
����������������������� ���������
������������������������������ ���������������
wiek zmian zaleca się skopiowanie całego folderu mi-
����������������������������� nispy do innej lokalizacji, aby można było bez proble-
mu wrócić do oryginalnej wersji.
�����������
�����������������
���������������
Plik .inf
Plik instalacyjny .inf (minispy.inf) jest tekstowym pli-
kiem wiążącym instalowany w systemie plik sterow-
������������������������
������������������������ nika (minispy.sys) i plik programu użytkownika (mini-
������������������������ spy.exe) z tym systemem.
���������������������������
�����������������������
������� Jedną z ważniejszych sekcji pliku instalatora jest ta
określająca tryb uruchamiania minifiltra (StartType).
Dla celów testowych należy stosować tryb SERVI-
������ CE_DEMAND_START, wymuszenie dołączania wraz
ze startem systemu może w razie błędów całkowicie
Rysunek 1. Uproszczony stos IFSD unieruchomić system.

12 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów

Pozostałe sekcje są dość zrozumiałe, podczas mo-


Listing 3. Tablica rozszerzeń blokowanych plików
dyfikacji pliku instalacyjnego należy sprawdzać do-
stępną na stronie MSDN dokumentację. const UNICODE_STRING ExtensionsToScan[] = {
RTL_CONSTANT_STRING(L"blocked"), { 0, 0, NULL}};
Uruchamianie minispy
W celu instalacji i uruchomienia minispy po kom-
Listing 4. Funkcja sprawdzająca rozszerzenia
pilacji należy utworzyć katalog (np. bin/), w którym
znajdą się następujące pliki: minispy.inf (dostarczo- BOOLEAN CheckExtension(__in PUNICODE_STRING
ny ze źródłami), minispy.sys (sterownik, w katalogu Extension) {
[root]\7600.16385.1\src\filesys\miniFilter\minispy\filter\ const UNICODE_STRING *ext;
objchk_win7_x86\i386) i minispy.exe (program użyt-
kownika, [...]\user\objchk_win7_x86\i386). Aby ułatwić if (Extension->Length == 0)
sobie odświeżanie plików po każdorazowej kompilacji, return FALSE;
można użyć prostego skryptu jak na listingu 1. // Sprawdzanie listy rozszerzeń
Po przejściu do utworzonego katalogu bin wybiera- ext = ExtensionsToScan;
my opcję Zainstaluj z menu kontekstowego pliku mini-
spy.inf. Uruchomienie można zautomatyzować skryp- while (ext->Buffer != NULL) {
tem jak na listingu 2 (utworzonym w katalogu bin/). Po if (RtlCompareUnicodeString(Extension, ext,
każdorazowym usunięciu usługi należy ją ponownie TRUE) == 0) {
zainstalować. Konsola, w której wykonujemy opisane // Plik posiada "nasze" rozszerzenie
operacje, powinna być uruchomiona z podniesionymi return TRUE;
uprawnieniami. }
Uwaga: w fazie rozwojowej nie zaleca się dołącza- ext++;
nia minifiltra do partycji systemowej. W razie błędów }
może to powodować duże problemy z systemem. return FALSE;
Po uruchomieniu klienta (minispy.exe) i wejściu do }
interaktywnego menu możemy na przykład zamonto-
wać minispy do dowolnej partycji (polecenie /a d: za-
Listing 5. Uniemożliwianie czytania pliku
łącza minispy do woluminu d:, zakładam jego istnie-
nie, można użyć dowolnego innego). Wyjście minifiltra FltCancelFileOpen(FltObjects->Instance, FltObjects-
można przekierować do pliku (/f output.log). Otwórzmy >FileObject);
teraz w eksploratorze partycję d, następnie kilka pli- Data->IoStatus.Information = 0;
ków i folderów. Na koniec zaleca się odłączenie mini- Data->IoStatus.Status = STATUS_ACCESS_DENIED;
filtra (/d d:). Otwieramy utworzony plik output.log. Każ-
da zarejestrowana operacja na partycji d została tam
zaraportowana jako osobny wiersz. Należy zwrócić
uwagę na kolumnę Major Operation. Występują tam bu użytkownika, natomiast inc zawiera współdzieloną
wartości typu: IRP_MJ_CREATE, IRP_MJ_CLEANUP, bibliotekę. Przyjęta architektura jest tylko przykładem,
IRP_MJ_CLOSE, IRP_MJ_DIRECTORY_CONTROL minifiltr nie musi komunikować się z żadnym elemen-
i wiele innych. Od tych informacji zaczniemy modyfi- tem użytkownika. Zapoznanie się z kodem jest dosko-
kację naszego minifiltra. nałym sposobem na wdrożenie do tej technologii, bo-
wiem użyty przykład zawiera implementację komplet-
Modyfikowanie minispy nego szkieletu architektury minifiltrów.
Wróćmy do projektu w Eclipse. Jak widać, projekt po- Inicjalizacja minifiltra dokonuje się w procedurze Dri-
dzielony jest na trzy główne sekcje: filter, inc i user. verEntry (minispy.c). Wywołana tam funkcja FltRegi-
Filter to oczywiście kod minifiltra, user to program try- sterFilter rejestruje minifiltr do nasłuchiwania na listę
wybranych rodzajów operacji dys-
kowych (podane wcześniej wartości
Major Operation). Lista rejestracyj-
na dla minispy znajduje się w tabli-
cy CONST FLT_OPERATION_REGI-
STRATION Callbacks[] (Registration-
Data.c). Pierwszą modyfikacją bę-
dzie pozostawienie na tej liście jedy-
Rysunek 2. Obecne w systemie mini�ltry nie pozycji IRP_MJ_CREATE (resztę

www.hakin9.org 13
OBRONA

należy wykomentować). Po kompila- Listing 6. Zmody�kowana funkcja SpyPreOperationCallback


cji i uruchomieniu minispy okaże się,
że logujemy już tylko zdarzenia typu FLT_PREOP_CALLBACK_STATUS SpyPreOperationCallback(
IRP_MJ_CREATE. __inout PFLT_CALLBACK_DATA Data, __in PCFLT_RELATED_OBJECTS FltObjects,
Jak widać w liście Callbacks[], pra- __deref_out_opt PVOID *CompletionContext) {

wie każdy typ operacji dyskowej po-


PRECORD_LIST recordList;
siada procedurę wstępną (SpyPre-
PFLT_FILE_NAME_INFORMATION nameInfo = NULL;
OperationCallback) i kończącą (Spy-
PUNICODE_STRING nameToUse;
PostOperationCallback). Pierwsza
NTSTATUS status;
wykonywana jest przy wykonywaniu
zapytania do woluminu, druga przy // Pobierz listę logów
zwracaniu wyników ale tylko jeśli recordList = SpyNewRecord();
operacja wstępna zwróciła wartość
FLT_PREOP_SUCCESS_WITH_ // Nie udało się
CALLBACK. if (recordList == NULL)
Dla celów demonstracyjnych za- return FLT_PREOP_SUCCESS_NO_CALLBACK;
kłada się, że modyfikowanym kodem
blokujemy dostęp tylko do plików // Brak referencji do pliku
z rozszerzeniem .blocked. W tym ce- if (FltObjects->FileObject == NULL)

lu deklarujemy tablicę jak na listin- return FLT_PREOP_SUCCESS_NO_CALLBACK;

gu 3 (możemy podać więcej rozsze-


// Pobierz informacje o nazwie pliku
rzeń).
status = FltGetFileNameInformation(Data, FLT_FILE_NAME_NORMALIZED
Dodatkowo, potrzebujemy funkcji,
| MiniSpyData.NameQueryMethod, &nameInfo);
która będzie sprawdzać, czy odczy-
tywany plik posiada blokowane roz-
// Sprawdź nameInfo
szerzenie (listing 4). Należy pamię- if (nameInfo == NULL)
tać o wcześniejszej deklaracji funk- return FLT_PREOP_SUCCESS_NO_CALLBACK;
cji tak, aby była ona widoczna w pli-
ku minispy.c. // Nie udało się pobrać nazwy
Poprzez odpowiednie dodanie if (NT_SUCCESS( status ))
w funkcji wstępnej filtrowania rozsze- nameToUse = &nameInfo->Name;
rzeń zmodyfikowany minifiltr będzie else
raportował już tylko funkcję IRP_ return FLT_PREOP_SUCCESS_NO_CALLBACK;
MJ_CREATE na plikach posiadają-
cych jedno z zadeklarowanych w ta- // Przygotuj nazwę do formy z której łatwo pobrać rozszerzenie
blicy ExtensionsToScan rozszerzeń. FltParseFileNameInformation(nameInfo);
Jest to równoznaczne z tym, że tylko
// Sprawdź rozszerzenie
w takich przypadkach wywoływana
if (CheckExtension(&nameInfo->Extension) == FALSE) {
jest funkcja kończąca (SpyPostOpe-
FltReleaseFileNameInformation(nameInfo);
rationCallback). Wykorzystajmy ten
return FLT_PREOP_SUCCESS_NO_CALLBACK;
fakt do naszych celów.
}
Dodatkowe trzy linie zaraz przed
ostatnim return funkcji kończącej po- // Obsługiwany typ pliku, zapisz w logu
zwalają osiągnąć nam całkowitą blo- SpySetRecordName(&(recordList->LogRecord), nameToUse);
kadę czytania pliku (listing 5). Anali-
zę kodu pozostawiam dociekliwemu // Zwolnij strukturę z nazwą pliku
Czytelnikowi. FltReleaseFileNameInformation(nameInfo);
Listing 6 prezentuje ciało zmody-
fikowanej funkcji SpyPreOperation- // Ustaw wpis w logach
Callback. SpyLogPreOperationData(Data, FltObjects, recordList);
Rysunek 3 pokazuje wynik próby
otwarcia dokumentu w eksplorato- *CompletionContext = recordList;
return FLT_PREOP_SUCCESS_WITH_CALLBACK;
rze Windows. Taki sam wynik otrzy-
}
mujemy w Total Commanderze (ry-
sunek 4). Zaprezentowany mecha-

14 2/2011
Nadzorowanie dostępu do zawartości woluminów w systemie Windows za pomocą minifiltrów

nizm jest usytuowany na tyle nisko


w systemie, że działa niezależnie od
zastosowanego sposobu dostępu.
Oczywiście próba dostępu do pliku
jako Administrator również nie przy-
nosi skutku.
Rysunek 3. "Nowy" minispy w eksploratorze
Debugowanie
Ze względu na niskopoziomowy cha-
rakter prezentowanego oprogramo-
wania również kwestia debugowania
wygląda trochę inaczej niż zazwy-
czaj. WDK zapewnia zestaw debug-
gerów (katalog [root]\7600.16385.1\
Debuggers). Cytując dokument de- Rysunek 4. "Nowy" minispy w Total Commander
bugger.chm z podanego katalogu:
„Kernel-mode debugging requires
a target computer and a host com-
puter. The target computer is used to
run the kernel-mode application. The
host computer is used to run the de-
bugger [...]”. Dużo prostszą (ale i bar-
dziej ograniczoną) techniką jest uży-
wanie w kodzie makr raportujących
wiadomości do jądra i przechwyty-
Rysunek 5. Wiadomości z mini�ltra w DebugView
wanie ich na przykład programem
DebugView (jako Administrator). Li-
sting 7 przedstawia kod umożliwiają- Listing 7. Wiadomości debugujące
cy to zadanie. Funkcja DbgPrint po-
siada taką samą składnię, jak popu- DbgPrint("Moja wiadomosc"); //Logowanie zwyklego ciagu znakow
larny printf. UINT wartosc = 4;
Na rysunku 5 widać wiadomości DbgPrint("wartosc = %u", wartosc); //Logowanie wartosci zmiennej
z minifiltra przechwycone przez pro-
gram DebugView.
Co dalej?
Problemy Mam nadzieję, że w tym miejscu Czytelnik ma już
Stworzenie w pełni przewidywalnego minifiltra modyfi- świadomość, że przedstawiona technologia umożliwia
kującego operacje na plikach jest dużo bardziej złożo- osiągnięcie dużo ciekawszych efektów, niż ukrywanie
ne niż wstęp zaprezentowany w artykule. Przykłado- przed systemem zawartości wybranych plików. A co by
wym problemem z przygotowaną implementacją jest było, gdyby tak w pierwszej kolejności te pliki po pro-
to, że nie da się usunąć folderu, w którym znajduje się stu... nie były widoczne?
blokowany plik. Z jednej strony może być to pożąda-
ne zachowanie. Jeśli jednak tak nie jest, należy po- PIOTR GAWRON
chylić się nad dokumentacją do minifiltrów i zaimple- Kończy studia magisterskie na Wydziale Elektroniki i Technik
mentować odpowiednią modyfikację do każdego moż- Informacyjnych Politechniki Warszawskiej. Specjalizuje się
liwego scenariusza operacji dyskowych w ramach tych w bezpieczeństwie systemów komputerowych.
nas interesujących. Kontakt: polishcode@gmail.com.

W Sieci
• IFSD http://msdn.microsoft.com/en-us/library/ff551834(VS.85).aspx
• WDK http://www.microsoft.com/whdc/Devtools/wdk/default.mspx
• Eclipse http://www.eclipse.org/downloads/packages/eclipse-ide-cc-developers/heliossr1
• DebugView http://technet.microsoft.com/en-us/sysinternals/bb896647

www.hakin9.org 15
OBRONA

Oszukać napastnika – cz. 1.


Podstawowe metody ukrywania
informacji o systemie
Sebastian Fyda
Każdy dostępny publicznie serwer świadczy zwykle jedną lub więcej
usług. Każda z tych usług to pewien fragment oprogramowania, które
jak każde oprogramowanie ma swoje błędy. Każda z usług ma też swoją
charakterystyczną sygnaturę, która pozwala na określenie, jaki software
i w jakiej wersji realizuje usługę. Dzięki publicznemu udostępnieniu tych
informacji zwiększamy ryzyko skutecznego ataku na nasz serwer. Czasami
samo ukrycie informacji wystarczy do zniechęcenia tzw. Script-kiddies,
którzy z reguły poszukują serwerów z konkretną wersją oprogramowania
i niezdradzających jakichkolwiek działań w kierunku hardeningu, jako celi
swoich ataków.

Dowiesz się: Powinieneś wiedzieć:


• jak ukryć informacje o wersjach i parametrach usług działają- • podstawowa znajomość usług w systemach Linux
cych na Twoim serwerze

W
iększość demonów usług dostarczanych Server: Apache/2.2.16 (Debian) PHP/5.3.3-7 with Su-
wraz z Debianem, w domyślnej konfiguracji hosin-Patch mod_ssl/2.2.16 OpenSSL/0.9.8o
dość ochoczo dzieli się informacjami z poten- Vary: Accept-Encoding
cjalnym napastnikiem. Warto nieco poprawić dostarczo-
ne z dystrybucją pliki konfiguracyjne, tak aby udostęp- Łatwo zauważyć, że serwer podzielił się nie tylko
niały one możliwie małą ilość informacji. swoją nazwą i wersją, ale również wersją interpre-
tera PHP zainstalowanego w systemie (o ile w kon-
Serwer WWW – Apache2 figuracji PHP nie została ustawiona wartość expo-
Najpopularniejszą obecnie usługą jest serwer http, a do- se_php = Off) oraz wersją biblioteki OpenSSL. Po-
minującą pozycję ma tutaj software Fundacji Apache. tencjalny napastnik wie teraz, że może szukać po-
Rzućmy okiem, co zwraca serwer w domyślnej konfigu- datności dotyczących powyższego oprogramowania.
racji, jeśli wywołamy nieistniejący url (Rysunek 1). Ukrycie tych informacji jest sprawą dość trywialną.
Dodatkowo, jeśli zajrzymy w na-
główki odpowiedzi, znajdziemy do-
datkowe informacje:
Connection: Keep-Alive
Content-Encoding: gzip
Content-Length: 180
Content-Type: text/html; charset=i-
so-8859-1
Date: Mon, 24 Jan 2011 15:23:44
GMT
Keep-Alive: timeout=15, max=100 Rysunek 1. Apache2 z włączonym Server Signature

16 2/2011
Oszukać napastnika – cz. 1. Podstawowe metody ukrywania informacji o systemie

Zajrzyjmy do fragmentu pliku /etc/apache2/conf.d/ zostanie zwrócony kod HTTP/1.1 304: Not modified,
security (Listing 1). zamiast normalnego kodu HTTP/1.1 200 OK. i treści
Jeżeli jednak zmienimy Server Tokens na Prod oraz pliku w ciele odpowiedzi. Domyślnie w Apache ETag
ServerSignature na Off, to w oknie przeglądarki zoba- przyjmuje następującą postać np. ETag: "10c24bc-4ab-
czymy (Rysunek 2). A w nagłówkach: 457e1c1f" a kolejne bloki odpowiadają wartościom ino-
Connection: Keep-Alive de-size-timestamp. Informacja o numerze I-nodu nie
Content-Encoding: gzip pomoże w ataku na serwer Apache, ale może pomóc
Content-Length: 180 w ataku na inne usługi sieciowe – np. usługa NFS (ang.
Content-Type: text/html; charset=iso-8859-1 Network File System) używa numerów I-node do gene-
Date: Mon, 24 Jan 2011 16:15:44 GMT rowania uchwytów do plików.
Keep-Alive: timeout=15, max=98 Istnieją dwa rozwiązania problemu:
Server: Apache
Vary: Accept-Encoding • Całkowita eliminacja ETag i zastąpienie go nagłów-
kami Expires lub Cache-Control
Łatwo zauważyć, że ilość ujawnionych informacji zosta- • Konfiguracja ETag eliminująca numery węzłów I-node
ła znacznie ograniczona. Dodatkowo, skoro już edytu-
jemy plik /etc/apache2/conf.d/security warto dokonać Pierwsza opcja wymaga użycia modułu mod_headers,
jeszcze jednej zmiany. Odnajdujemy blok (Listing 2). który jest standardowo dołączany z serwerem Apache.
I zmieniamy TraceEnabled na Off. Nie jest to de fac- Wówczas na końcu pliku /etc/apache2/conf.d/security
to zdradzanie informacji, ale jest to w 99% przypadków możemy dodać następujące linie:
funkcjonalność zbędna, a wręcz może być wykorzy-
stana do ataków cross-site (polecam dokument: http: Header unset Etag
//www.cgisecurity.com/whitehat-mirror/WH-WhitePa- FileETag none
per_XST_ebook.pdf).
Kolejnym elementem w Apache, który możemy do- W przypadku opcji drugiej, w tym samym pliku usta-
datkowo zabezpieczyć, to nagłówki ETag. Służą one wiamy po prostu:
do jednoznacznej identyfikacji zasobu będącego pli-
kiem. Dzięki temu, jeśli przeglądarka zechce sprawdzić FileETag MTime Size
czy plik nie został zmieniony, prześle w nagłówku jego
ETag. Jeśli plik na serwerze posiada ten sam ETag, to Na koniec restartujemy serwer Apache.

Listing 1.

# ServerTokens
# This directive configures what you return as the Server HTTP response
# Header. The default is 'Full' which sends information about the OS-Type
# and compiled in modules.
# Set to one of: Full | OS | Minimal | Minor | Major | Prod
# where Full conveys the most information, and Prod the least.

#ServerTokens Minimal
#ServerTokens OS
ServerTokens Full

# Optionally add a line containing the server version and virtual host
# name to server-generated pages (internal error documents, FTP directory
# listings, mod_status and mod_info output etc., but not CGI generated
# documents or custom error documents).
# Set to "EMail" to also include a mailto: link to the ServerAdmin.
# Set to one of: On | Off | EMail
#
#ServerSignature Off
ServerSignature On

www.hakin9.org 17
OBRONA

Serwer DNS – Bind9


Bind jest z reguły pierwszym ser-
werem DNS, z jakim początkujący
administrator ma do czynienia. Do-
myślnie skonfigurowany, może nie
zwraca, aż tylu przydatnych informa-
cji co Apache, ale nawet numer (Li-
sting 3).
Informacja, która jest nam zwra-
cana, to wersja serwera Bind. Infor-
mację tę możemy łatwo ukryć edytu-
jąc plik /etc/bind/named.conf.options
i dodając w sekcji options następują-
cą linijkę:
Rysunek 2. Apache2 po wyłączeniu Server Signature

version "Windows 3.11 DNS Service"; Escape character is '^]'.


220 ProFTPD 1.3.0 Server (Debian) [127.0.0.1]
W cudzysłowie możemy podać dowolny ciąg znaków
zgodny z ISO-8859-1. Po takiej operacji i zrestartowa- Drobna zmiana w /etc/proftpd/proftpd.conf. Zmieniamy
niu Binda, wykonując ponownie zapytanie dig, otrzy- linie, lub dodajemy, jeśli nie istnieją, aby uzyskać na-
mamy następujący wynik (Listing 4). stępującą postać:
Jak widać, ukrycie wersji powiodło się. Dobrym pomy-
słem jest podanie jakiegoś dosyć starego numeru wer- ServerName "SomeFunnyFTPServer"
sji, gdyż dla początkujących napastników, może podzia- ServerIdent on "FTPD most bugged version ever"
łać to jak lep na muchy, powodując tym samym, że będą
oni wypróbowywali stare, dawno zabezpieczone explo- Teraz, jeśli ponownie odpytamy serwer FTP, przedsta-
ity, nie wysilając się specjalnie szukaniem nowych. wi się on nam zupełnie inaczej.

Serwer FTP – ProFTPd user@localhost:~$ telnet localhost 21


Usługa FTP trzyma się nad wyraz dobrze, jak na ele- Trying 127.0.0.1...
ment systemu niegwarantujący żadnego bezpieczeń- Connected to localhost.localdomain.
stwa transmisji. Warto zastanowić się nad użyciem pro- Escape character is '^]'.
tokołu sftp zamiast ftp, co jak najbardziej serwer Pro-
FTPd z pomocą modułu mod_sftp potrafi obsłużyć. Jak 220 FTPD most bugged version ever
każda opisana tutaj usługa, domyślnie skonfigurowany
sewer ProFTPd informuje o swojej wersji i rodzaju dys- To tyle na początek.
trybucji systemu, na której został zainstalowany:
Część druga
user@localhost:~$ telnet localhost 21
Trying 127.0.0.1... 1. NMap i NStat – dwa przydatne narzędzia
Connected to localhost. 2. Honeypots - wprowadzenie

Listing 2.

# Allow TRACE method


#
# Set to "extended" to also reflect the request body (only for testing and
# diagnostic purposes).
#
# Set to one of: On | Off | extended SEBASTIAN FYDA
# Autor jest Starszym Administratorem
#TraceEnable Off Systemów w �rmie Janmedia Interactive
TraceEnable On z Wrocławia.
Kontakt z autorem:
sfyda@janmedia.com

18 2/2011
Oszukać napastnika – cz. 1. Podstawowe metody ukrywania informacji o systemie

Listing 3.

user@localhost:~$ dig @localhost version.bind txt chaos


; <<>> DiG 9.7.2-P3 <<>> @localhost version.bind txt chaos
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63560
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION: ;version.bind. CH TXT


;; ANSWER SECTION: version.bind. 0 CH TXT "9.6-ESV-R1"
;; AUTHORITY SECTION: version.bind 0 CH NS version.bind.

;; Query time: 0 msec


;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jan 24 18:39:13 2011
;; MSG SIZE rcvd: 67

Listing 4.

user@localhost:~$ dig @localhost version.bind txt chaos


; <<>> DiG 9.7.2-P3 <<>> @localhost version.bind txt chaos
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63560
;; flags: qr aa rd; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; WARNING: recursion requested but not available

;; QUESTION SECTION: ;version.bind. CH TXT


;; ANSWER SECTION: version.bind. 0 CH TXT "Windows 3.11 DNS Service"
;; AUTHORITY SECTION: version.bind 0 CH NS version.bind.

;; Query time: 0 msec


;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Mon Jan 24 18:39:13 2011
;; MSG SIZE rcvd: 67

Reklama

19
OBRONA

Bezpieczeństwo
baz danych
Michał Sajdak
Bazy danych często stanowią jeden z głównych elementów systemów IT:
przechowują oraz udostępniają informacje. Sama definicja bazy nie narzuca
określonego sposobu organizacji danych, jednak obecnie najbardziej
rozpoznawana na rynku jest baza relacyjna oraz związany z nią język SQL.
Implementacji „SQL-owych baz danych” są zapewne setki, choć zaledwie kilka
z nich cieszy się dużą popularnością. Takimi systemami są: Oracle Database, SQL
Server, DB2, MySQL czy Postgresql. Przy okazji, warto wspomnieć, że istnieją
również inne rozwiązania – oferujące alternatywne do wspomnianych powyżej
sposoby organizacji informacji, jak choćby obiektowa baza danych (np. ZODB)
czy baza danych XML (np. eXist).

Dowiesz się: Powinieneś wiedzieć:


• o przykładowych celach w jakich zabezpieczane są bazy da- • ogólna wiedza z dziedziny baz danych
nych
• o podstawowych zasadach zabezpieczania baz danych
• poznasz zewnętrzne źródła informacji, umożliwiające posze-
rzenie wiedzy z zakresu bezpieczeństwa baz danych

W
poniższym tekście zajmiemy się tematyką Dlaczego chronimy bazę danych?
ochrony baz danych – głównie w kontekście Odpowiedź na to pytanie może wydać się prosta: aby
baz relacyjnych. Poruszymy takie zagadnie- realizować odpowiednie cele biznesowe, tj. aby sys-
nia, jak: tem, który wykorzystuje bazę danych, generował od-
powiednie zyski dla organizacji. Zilustrujmy to na na-
• ekspozycja bazy na poziomie sieci, stępującym przykładzie:
• poprawki bezpieczeństwa, Prywatna placówka medyczna posiada system
• użytkownicy, z których wykorzystaniem działa baza umożliwiający rejestrację pacjentów on-line. W bazie
danych, danych przechowywane są również informacje o pa-
• uprawnienia do plików bazodanowych – na pozio- cjencie oraz historia jego chorób.
mie systemu plików, Zyskiem z posiadania takiej bazy może być: wygoda
• ograniczenie funkcjonalności oferowanych przez pacjenta, ograniczenie dokumentacji papierowej oraz
bazę danych, szybsze dodarcie do określonych informacji (oszczęd-
• logowanie (księgowanie) dostępu do bazy danych, ność czasu pracowników kliniki). Ten cel biznesowy
• ochrona kryptograficzna (szyfrowanie), może być zagrożony np. przez:
• bezpieczeństwo po stronie aplikacji korzystających
z bazy danych, • czasowy brak dostępności bazy (pacjenci nie mo-
• miejsce składowania danych w systemie plików, gą się rejestrować, lekarze nie mają wglądu w hi-
• kopie zapasowe. storię choroby),
• utratę poufności bazy (dane dostają się w niepo-
Zanim przejdziemy do szczegółów zastanowimy się wołane ręce; istnieje ryzyko np. złamania zapisów
wcześniej nad poniższym pytaniem. Ustawy o Ochronie Danych Osobowych),

20 2/2011
Bezpieczeństwo baz danych

• nieuprawnioną zmianę informacji w bazie (może to wartości przechowywanych przez nas danych. Co to
spowodować chaos w działaniu placówki medycz- dokładnie oznacza, Czytelnik powinien sam, we wła-
nej, czy wręcz zagrozić bezpieczeństwu pacjentów). snym zakresie i analizując swój kontekst, ocenić. Za-
interesowanych takimi szacowaniami odsyłamy do za-
W omówionym powyżej przykładzie odpowiednie za- gadnień związanych z analizą ryzyka, a tu przechodzi-
bezpieczenie bazy danych tego typu może zminima- my już do konkretnych działań, które można wykonać
lizować wymienione zagrożenia, a tym samym pozy- przy weryfikacji bezpieczeństwa bazy danych.
tywnie wpłynąć na zysk kliniki. Jako rodzaj informa-
cji wymagającej ochrony wskazaliśmy dane osobo- Weryfikacja bezpieczeństwa bazy danych
we / dane medyczne. Jakie jeszcze inne dane mogą Bezpieczeństwo bazy danych może być zagrożone
być traktowane jako wrażliwe i wymagające ochrony? w różny sposób. Poniżej omówimy kilka kategorii za-
Odpowiedź na to pytanie pozostawiamy Czytelnikowi, grożeń, na które – naszym zdaniem – warto zwrócić
jednocześnie wskazując kilka możliwości: uwagę. Pamiętajmy, że kompromitacja zabezpieczeń
należących do jednej grupy jest w stanie poważnie za-
• Dane o charakterze finansowym (np. salda kont grozić bezpieczeństwu całej bazy danych – zatem we-
bankowych, informacje płacowe, numery kart kre- ryfikacja bezpieczeństwa takiego systemu powinna
dytowych). być wykonywana całościowo.
• Hasła dostępowe do systemów (często użytkowni- Każda z poniższych kategorii zawiera wypunktowa-
cy posiadają takie same hasła dostępowe do wielu ne w formie pytań zalecenia, umożliwiające zaplano-
systemów – zatem uzyskanie informacji o hasłach wanie we własnym zakresie audytu bezpieczeństwa
z jednej bazy danych może prowadzić do uzyska- czy testów penetracyjnych bazy danych.
nia dostępu do wielu innych systemów).
• Informacje stanowiące o przewadze konkurencyj- Ekspozycja na poziomie sieci
nej firmy (np. dane klientów czy dostawców). Baza danych często udostępniana jest w sieci (czy to
• Jakiekolwiek inne dane firmowe o charakterze po- lokalnej, czy np. Internecie) – na bezpieczeństwo ba-
ufnym. zy danych można więc spojrzeć tak jak na bezpieczeń-
stwo każdej innej usługi sieciowej (np. serwer webowy,
Niejako podsumowując dotychczas opisane kwestie, serwer poczty, serwer DNS, itd.).
spójrzmy ramowo na następujące zagadnienie doty-
czące planowania prac, dotyczących bezpieczeństwa Zalecenia
baz danych. Sugerujemy zweryfikowanie takich elementów:
Planowanie prac związanych z bezpieczeństwem
bazy danych • Na jakich interfejsach sieciowych / portach nasłu-
Planowanie to może wyglądać następująco: chują usługi bazodanowe? – Niekiedy nie jest ko-
nieczne nasłuchiwanie bazy danych na wszystkich
• Inwentaryzacja baz danych oraz przechowywa- interfejsach sieciowych albo na interfejsie dostęp-
nych w nich informacji (np. opisana w powyższym nym do Internetu.
przykładzie baza przechowująca dane medyczne). • Czy istnieje możliwość ataku na usługę z pozio-
• Określenie wartości skatalogowanych baz danych mu sieci? – Mamy tu na głównie myśli podatno-
(istotne dane będziemy chcieli objąć szczególną ści w obsłudze protokołu komunikacyjnego: w lo-
ochroną). kalizacji tego typu podatności przydatny może być
• Określenie czynników mogących zagrozić popraw- tzw. skaner podatności; skuteczne ataki w tym
nemu funkcjonowaniu bazy (np. zewnętrzny atak miejscu często są związane z brakiem aktualiza-
z poziomu Internetu, awaria sprzętowa serwera, cji bezpieczeństwa bazy danych, o czym piszemy
atak z sieci LAN, itd.) wraz z prawdopodobień- w dalszej części tekstu.
stwem wystąpienia (tzw. ryzykiem). • Czy w wykorzystywanej przez nas bazie znane są
• Określenie odporności naszej bazy na wszelakie inne specyficzne elementy charakterystyczne dla
zagrożenia określone powyżej (tym zagadnieniem komponentu nasłuchującego? – Np. ochrona za
w głównej mierze zajmiemy się w naszym artykule). pomocą hasła komponentu nasłuchującego.
• Rekonfiguracja bazy danych, jeśli jej odporność na
wskazane wcześniej zagrożenia jest niska. Przykładowe dalsze informacje

Czytelnikowi może nasunąć się pytanie, ile czasu war- • Bezpieczeństwo komponentu Listener w Orac-
to poświęcić na realizację całego opisanego powy- le (do wersji 9 Oracle, domyślnie komponent ten
żej procesu? Możemy odpowiedzieć – adekwatnie do posiada puste hasło dostępowe umożliwiające

www.hakin9.org 21
OBRONA

przejęcie kontroli nad listenerem): http://www.net- • Czy weryfikowana jest integralność aktualizacji?
security.org/dl/articles/Integrigy _OracleDB_Liste- – Czy wiemy skąd pochodzą aktualizacje? Jeśli
ner_Security.pdf udałoby się dostarczyć nam wrogą aktualizację
• Weryfikację nasłuchiwania na określonych in- – istnieje możliwość zdalnego przejęcia kontroli
terfejsach sieciowych można wykonać np. li- nad bazą.
nuksowym poleceniem: # netstat-tulpn. W tym • Czy aktualizacje wykonywane są ręcznie czy au-
przypadku poniżej, usługa mysqld nasłuchu- tomatycznie? – Niekiedy same aktualizacje mo-
je jedynie na interface loopback (127.0.0.1): gą spowodować niepoprawne działanie całej bazy
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 28852/ danych: manualne aktualizacje pozostawiają admi-
mysqld . nistratorowi możliwość szybkiej reakcji na ewentu-
• Informacje o robaku Slammer (atakującego SQL alne problemy.
Server): http://en.wikipedia.org/wiki/SQL_Slammer • Czy aktualizacje sprawdzane są wcześniej na ser-
• Przykład alertu zgłaszanego przez oprogramowa- werach testowych?
nie klasy IDS (intrusion detection system) – snort:
[**] [1:2003:8] MS-SQL Worm propagation attempt [**] Przykładowe dalsze informacje
[Classification: Misc Attack] [Priority: 2]
04/19-23:16:14.032636 202.x.x.x:3352 -> x.x.x.x:1434 • Informacje o wprowadzeniu poprawek do bazy da-
UDP TTL:116 TOS:0x0 ID:55339 IpLen:20 DgmLen:404 nych Oracle, w tym łatających luki umożliwiają-
Len: 376 ce pełen, nieuwierzytelniony dostęp z poziomu
[Xref => http://vil.nai.com/vil/content/ sieci: http://www.oracle.com/technology/deploy/
v_99992.htm][Xref => http: security/pdf/2004alert68.pdf.
//cgi.nessus.org/plugins/
dump.php3?id=11214][Xref => Użytkownicy z wykorzystaniem, których działa baza
http://cve.mitre.org/cgi-bin/ danych
cvename.cgi?name=2002-0649][Xref Aby ograniczyć wpływ negatywnych skutków naru-
=> http://www.securityfocus.com/ szenia bezpieczeństwa na cały system, warto rozwa-
bid/5311][Xref => http:// żyć uprawnienia użytkownika systemu operacyjnego,
www.securityfocus.com/bid/5310]. z którego wykorzystaniem uruchamiana jest baza.

Poprawki bezpieczeństwa Przykład:


Jak wspomnieliśmy wyżej, często udane ataki na bazę W Internecie dostępna jest aplikacja umożliwiają-
danych związane są z brakiem jej aktualizacji. W tym ca dostęp do poczty elektronicznej w firmie. System
przypadku idea ataku może być następująca: działa w oparciu o bazę danych MySQL. Baza działa
z uprawnieniami użytkownika systemu operacyjnego
• W oprogramowaniu bazy danych znajdowana jest root (administrator), a aplikacja wykorzystuje użytkow-
krytyczne luka, umożliwiająca z poziomu sieci nika bazodanowego posiadającego uprawnienia admi-
uzyskanie pełnej kontroli nad bazą danych. nistracyjne w bazie danych. Skuteczny atak z poziomu
• W Internecie udostępniony jest exploit. Internetu na aplikację prowadzi do:
• Producent bazy danych udostępnia aktualiza-
cję. Po jej wgraniu, ewentualne uruchomienie ww. • możliwości odczytu e-maili dowolnego użytkow-
exploitu nie zakończy się sukcesem, jednak gdy nika,
aktualizacja nie zostanie wykonana, wrogi kod • możliwości odczytu innych danych znajdujących
może umożliwić przejęcie kontroli nad bazą. się w bazie danych na tym serwerze,
• możliwości pełnego dostępu do systemu operacyj-
Zalecenia nego (uprawnienia administracyjne) oraz atakowa-
Rozważając kwestię aktualizacji bazy danych warto nie dalszych systemów.
zadać sobie pytania:
Zalecenia
• Czy posiadamy wykupiony pakiet umożliwiający
instalowanie tego typu poprawek? – W przypadku • Czy użytkownik systemu operacyjnego, z które-
niektórych baz danych – np. Oracle – stanowić to go wykorzystaniem uruchamiana jest usługa ba-
może spory koszt). zodanowa, posiada uprawniania administracyjne?
• Czy aktualizacje bazy danych są wykonywane? – Należy unikać takiej sytuacji.
• Czy baza instalowana jest jako pakiet systemu • Czy powyższy użytkownik posiada dodatkowe
operacyjnego czy niezależnie? uprawnienia niekoniecznie wymagane do działa-

22 2/2011
Bezpieczeństwo baz danych

nia bazy danych? – Np. uprawniania od odczytu / • Oprogramowanie cain & abel umożliwiające m.in.
zapisu plików, które nie są używane przez system łamanie hashów haseł dla wybranych baz SQL:
bazodanowy. http://www.oxid.it/cain.html
• Czy istnieje możliwość interaktywnego zalogowa-
nia się na użytkownika bazodanowego, np. z wyko- Ograniczenie funkcjonalności oferowanych przez
rzystaniem SSH? – Nie powinniśmy stwarzać takiej bazę danych
możliwości. Zgodnie z wspomnianą wcześniej zasadą least pri-
vileges zaleca się minimalizację instalowanych oraz
Przykładowe dalsze informacje uruchamianych usług i funkcjonalności bazodano-
wych. W wielu przypadkach takie domyślne funkcjo-
• Unikanie uruchamiania usług SQL Server nalności nie są wymagane do prawidłowego działa-
z uprawnieniami kont administracyjnych: http:// nia bazy.
www.sqlservercentral.com /blogs /brian_kelley/
archive/2008/06/12/avoid-domain-admin-level-ac- Zalecenia
counts-for-sql-server.aspx Zalecenia zależą od konkretnej implementacji bazy
• Konfiguracja środowiska chroot w celu ogra- danych. Dodatkowymi funkcjonalnościami mogą być
niczania ekspozycji systemu operacyjnego po przykładowo:
ewentualnym ataku na usługę sieciową: http://
www.securitum.pl/baza-wiedzy/publikacje/chroot- • Całe usługi: np. serwer http apache, w przypadku
w-praktyce Oracle.
• Konkretne procedury czy grupy procedur i funkcji
Użytkownicy bazodanowi bazodanowych, np. procedura xp_cmdshell w sys-
Kolejnym istotnym elementem przy weryfikacji bezpie- temie SQL Server umożliwiająca wykonanie pole-
czeństwa bazy danych jest określenie uprawnień użyt- cenia systemu operacyjnego, użytkownikowi bazo-
kowników definiowanych na poziomie bazy danych. danowemu.
Dobrą praktyką jest stosowanie tutaj zasady least pri- • Domyślnie instalowane bazy o charakterze „de-
vileges, to znaczy uprawnienia użytkowników bazoda- mo”.
nowych powinny być najmniejszymi, które są wymaga-
ne do prawidłowego działania całości systemu. Przykładowe dalsze informacje

Zalecenia • Dokumentacja hardeningowa dla SQL Se-


rver 2005 (rozdział SQL Server Settings): https:
• Czy wybrani użytkownicy bazodanowi nie posia- / / w w w.c is ec ur i t y.or g / to o ls2 / s qls er ver / C IS _
dają nadmiernych uprawnień? – Np. uprawnienia SQL2005_Benchmark_v1.2.0.pdf
administracyjne na bazie dla użytkownika bazoda-
nowego skonfigurowanego w aplikacji webowej. Logowanie (księgowanie) dostępu do bazy danych
• Czy w systemie wykonane jest mapowanie użytkow- Aby zapewnić systemowi właściwość zwaną rozliczal-
ników bazodanowych na użytkowników systemu ope- nością, należy w odpowiedni sposób logować (księgo-
racyjnego (popularne szczególnie w systemach Win- wać) operacje wykonywane na bazie danych. Tego ty-
dows). Jeśli tak, to czy mapowanie jest poprawne? pu logi mogą okazać się przydatne, gdy będziemy po-
• Jakie konta bazodanowe mają uprawnienia admi- trzebowali prześledzić ewentualną historię zdarzeń
nistracyjne? przy naruszeniu bezpieczeństwa bazy danych. W ta-
• Którzy użytkownicy posiadają dostęp anonimowy kim przypadku będziemy wiedzieć jaka operacja, kie-
do bazy danych? – użytkownicy demo / guest / itp. dy oraz przez kogo została wykonana na bazie.
• Czy możliwy jest dostęp do bazy za pomocą użyt-
kowników / haseł domyślnych? – Np. kombinacja Zalecenia
DBSNMP/DBSNMP w bazie Oracle.
• Czy użytkownicy bazodanowi posiadają wystar- • Czy próby uwierzytelnienia (udane, nieudane) są
czająco złożone hasła dostępowe? logowane?
• Czy logowane są operacje (zapytania SQL) na ba-
Przykładowe dalsze informacje zie danych?
• W jakim miejscu składowane są logi zawierające
• Zbiór informacji dotyczący tematyki haseł – ba- ww. informacje? Kto ma do nich dostęp? Jak za-
za Oracle http://www.red-database-security.com/ pewniona jest ich integralność? Czy są wykony-
whitepaper/oracle_passwords.html wane kopie zapasowe logów?

www.hakin9.org 23
OBRONA

• Czy logowanie następuje do bazy danych czy na Dla porządku, warto również w tym momencie wspo-
poziomie systemu operacyjnego? mnieć o innych, często spotykanych problemach, mo-
• Czy księgowanie wykonywane jest jedynie lokalnie gących prowadzić do naruszenia bezpieczeństwa ba-
czy również na zdalny system? zy danych:

Szyfrowanie • Przechowywanie po stronie klienckiej informacji


Jako „szyfrowanie” rozumiemy w tym przypadku me- dostępowych do serwera bazodanowego. Problem
chanizmy zapewniające poufność, integralność (trans- występuje często w aplikacjach desktopowych ko-
misji oraz samych przechowywanych danych) a także rzystających z bazy danych– na lokalnych sta-
bezpieczne uwierzytelnienie użytkowników łączących cjach użytkowników (np. w rejestrze systemu Win-
się z bazą. Zastosowane mechanizmy kryptograficzne dows) przechowywane są login/hasło użytkownika
zależą od typu danych, które chronimy, a także spe- mającego pełen dostęp do bazy danych.
cyfiki systemu IT, w którym dane te są przetwarzane. • Brak odpowiednich mechanizmów kryptograficz-
Mechanizmy te możemy rozważać co najmniej w kilku nych służących do zabezpieczenia połączenia po-
perspektywach. między klientem a serwerem (więcej informacji
w punkcie: „szyfrowanie” w niniejszym artykule).
Zalecenia
Zalecenia
• Czy proces uwierzytelnienia do bazy jest odpo-
wiednio zabezpieczony? – Czy dane uwierzytel- • Czy w aplikacji następuje odpowiednia walidacja
niające – np. hasło przesyłane są w sieci w bez- danych otrzymywanych od użytkowników?
pieczny sposób? • Czy aplikacja korzysta z jednego użytkownika
• Czy wszystkie dane przesyłane pomiędzy klien- bazodanowego w celu łączenia się do bazy da-
tem bazodanowym a serwerem są zaszyfrowane? nych? – W przypadku wystąpienia SQL injection
– Zapewnienie poufności i integralności transmisji. taka konfiguracja umożliwia atakującemu dostęp
• Czy szyfrowany dostęp do bazy jest wymuszany do całej bazy – jest to szczególnie groźne, gdy ta-
na klientach bazodanowych? ki użytkownik ma uprawnienia administracyjne na
• Czy dane znajdujące się w bazie danych przecho- bazie.
wywane są w formie zaszyfrowanej? – Zapewnie- • Czy aplikacja korzysta z tzw. zapytań parametry-
nie poufności i integralności danych. zowanych w celu dostępu do danych? – Mecha-
nizm ten odpowiednio wykorzystany potrafi niemal
Przykładowe dalsze informacje w 100% ochronić przed SQL injection.
• Czy po stronie klienckiej przechowywane są dane
• Wymuszanie szyfrowania (komunikacji klient-ser- dostępowe do serwera bazodanowego?
wer) na bazie SQL Server:
h t t p : / / m s d n . m i c r o s o f t . c o m / e n - u s / l i b r a r y/ Przykładowe dalsze informacje
ms189067.aspx,
h t t p : / / m s d n . m i c r o s o f t . c o m / e n - u s / l i b r a r y/ • SQL injection wg OWASP: http://www.owasp.org/
ms191192.aspx. index.php/SQL_Injection
• Przykład bardziej zaawansowanych rozważań
Bezpieczeństwo w warstwie aplikacji korzystających o SQL injection: http://www.securitum.pl/baza-
z bazy danych wiedzy/publikacje/sql-injection-nietypowy-wariant-
Tematyka związana z zagadnieniem bezpieczeństwa ataku
aplikacji jest bardzo szeroka. W tekście jedynie za-
znaczamy jej pewne powiązanie z bezpieczeństwem Miejsce składowania danych w systemie plików
baz danych. Ostatecznie baza danych przechowuje informacje na
Jednym z częstych błędów bezpieczeństwa w apli- systemie plików (choć w określonych przypadkach
kacjach wpływających na bezpieczeństwo bazy da- dane te mogą być przechowywane np. jedynie w pa-
nych jest podatność SQL injection. Istota problemu mięci).
polega na możliwości nieautoryzowanej zmiany za- Dostęp do tych plików uzyskujemy zazwyczaj nie
pytania SQL generowanego po stronie aplikacji. Takie bezpośrednio (dostęp do pliku) tylko przy pomocy za-
działanie umożliwia często atakującemu na pełen do- pytania SQL (łącząc się z tzw. RDBMS, który między
stęp do bazy danych – zarówno w trybie odczytu jak innymi dba o uwierzytelnienie/autoryzację użytkow-
i zapisu. Niekiedy również ta droga prowadzi do otrzy- ników łączących się z bazą). Użytkownicy (zazwy-
mania dostępu na poziomie systemu operacyjnego. czaj lokalni) mający dostęp do plików przetwarzanych

24 2/2011
Bezpieczeństwo baz danych

przez RDBMS mogą spróbować uzyskać do nich do- ścią jest wykonywanie okresowych kopii bezpieczeń-
stęp bezpośredni, omijając tym samym mechanizmy stwa bazy. Przy wykonywaniu backupów warto rozwa-
uwierzytelnienia i autoryzacji oferowane przez bazę. żyć kwestie łączące się z realizacją kopii zapasowych
Kolejną kwestią związaną z umiejscowieniem pli- w ogóle, a także elementy specyficzne dla samej ba-
ków bazodanowych jest nieprzerwany dostęp do całej zy danych.
bazy. Jeśli dostęp do danych w systemie plików (np.
z powodu awarii dysku twardego) zostanie utracony, Zalecenia
tracony jest również dostęp do konkretnych przetwa-
rzanych w bazie danych. Warto zatem rozważyć wdro- • Czy wykonywane są kopie zapasowe wszystkich
żenie odpowiednich mechanizmów zapewniających instancji baz danych?
nieprzerwane działanie bazy w przypadku tego typu • Czy wykonywana jest kopia zapasowa bazy syste-
awarii. mowej? – Często brak takiej kopii może oznaczać
Na koniec poruszymy jeszcze jedną kwestię zwią- problemy przy próbie przywrócenia danych z bac-
zaną z dostępnością całego systemu. Otóż niekiedy kupu.
przetwarzane w bazie informacje składowane są na • Czy wykonywane są testy poprawności wykony-
tej samej partycji, co pliki wchodzące w skład syste- wania kopii zapasowych? – Próba pełnego odtwo-
mu operacyjnego, na którym uruchomiona jest baza rzenia bazy z wykonanej wcześniej wykonanej ko-
danych. W przypadku zapełnienia takiej partycji czę- pii.
sto przestaje działać poprawnie cały system operacyj- • Na jakie nośniki wykonywane są kopie zapasowe?
ny. Warto może zatem wydzielić osobną partycję prze- • Czy dane na zużytych nośnikach usuwa się w spo-
chowującą pliki bazodanowe – niezależną od partycji sób trwały?
systemowej. • W jaki sposób chroni się nośniki zawierające bac-
Zaznaczmy jeszcze, że tematyka wysokiej dostęp- kupy przed dostępem osób nieuprawionych?
ności bazy jest bardzo szeroka – w niniejszym tekście
jedynie ją wskazujemy w kontekście plików bazodano- Podsumowanie
wych. W artykule przedstawiliśmy, naszym zdaniem, najistot-
niejsze elementy dotyczące bezpieczeństwa bazy da-
Zalecenia nych. Pewne aspekty – np. bezpieczeństwo fizyczne,
dostępność bazy, bezpieczeństwo sieci czy systemu
• Czy pliki bazodanowe znajdują się na odpowied- operacyjnego, na którym przetwarzane są informacje
nim typie systemu plików? – Umożliwiającym – zostały wskazane jedynie hasłowo. Jednakże wska-
nadanie odpowiednich uprawnień? np. NTFS, zując zalecania, staraliśmy się formułować je w na tyle
a nie FAT? ogólnej formie, aby każdy z czytelników mógł dostoso-
• Czy pliki bazodanowe na poziomie systemu plików wać i rozszerzyć je pod własne, specyficzne potrzeby
są dostępne (odczyt/zapis) tylko dla użytkownika – każda bowiem baza danych wymaga dedykowane-
z wykorzystaniem którego działa baza danych? go spojrzenia na bezpieczeństwo przechowywanych
• Czy awaria miejsca przeznaczonego na składowa- w niej informacji.
nie danych bazy powoduje niedostępność do ba-
zy danych? – Czy mamy wdrożone mechanizm ty-
pu RAID? Czy wykorzystujemy redundantnie pod-
łączoną macierz zewnętrzną?
• Czy dane składujemy na partycji oddzielnej od
systemowej? MICHAŁ SAJDAK
Prowadzi testy penetracyjne oraz szkolenia z zakresu bezpie-
Kopie zapasowe czeństwa. Posiadacz certy�katu CISSP.
Z uwagi na najczęściej dość wysoką wartość infor- Obecnie pracuje w �rmie Securitum.
macji przetwarzanych w bazach danych konieczno- Kontakt: michal.sajdak@securitum.pl

Polecana Literatura
• Implementing Database Security and Auditing: Includes Examples for Oracle, SQL Server, DB2 UDB, Sybase - Digital Press (May 2, 2005)
• The Database Hacker's Handbook: Defending Database Servers - Wiley (July 14, 2005)
• Dokumentacje hardeningnowe The Center for Internet Security - http://cisecurity.org/

www.hakin9.org 25
OBRONA

Zarządzanie bezpieczeństwem
danych osobowych.
Kwestie prawne e-commerce
Marcin Engelmann

Dane osobowe klientów sklepu internetowego – na co


powinien zwrócić uwagę właściciel sklepu, żeby nie tylko
działać w zgodzie z ustawą o ochronie danych osobowych,
ale również budować zaufanie swoich klientów. Czym są
dane osobowe, jak je zabezpieczyć, na co zwrócić uwagę?
Dowiesz się: Powinieneś wiedzieć:
• jakie przepisy prawne wpływają na przetwarzanie danych w sklepie internetowym? • podstawowa wiedza o prowadzeniu
• jakie wymagania musi spełniać oprogramowanie sklepu internetowego sklepu internetowego
• w jaki sposób zabezpieczyć sklep internetowy przed atakami z zewnątrz
• co należy zrobić z nośnikami danych, na których znajduje się baza SQL sklepu,
a które nie są już potrzebne

C
zy właściciele sklepów internetowych są świa- sto traktowana przez właścicieli sklepów z dużą pobłaż-
domi przepisów prawnych, które regulują kwe- liwością. Wniosek taki można wyciągnąć między inny-
stię ochrony danych osobowych ich klientów? mi na podstawie badania przeprowadzonego przez ser-
Przedsiębiorcy prowadzący sklepy internetowe są, wis Sklepy24.pl w ramach raportu „e-Handel Polska
a przynajmniej powinni być, świadomi regulacji praw- 2009”. Ankiety zebrane z ponad 600 sklepów interne-
nych, którym podlegają prowadząc taką działalność. towych pokazują, że tylko co dziesiąty sklep zarejestro-
Jest to oczywiście kodeks cywilny oraz między innymi wał zbiór danych osobowych u Generalnego Inspekto-
ustawa z 2 marca 2000 r. o ochronie niektórych praw ra Danych Osobowych, a jedynie połowa właścicieli ma
konsumentów oraz odpowiedzialności za szkodę wy- pewność, że centrum przetwarzania danych, w którym
rządzoną przez produkt niebezpieczny, czy też usta- znajdują się serwery obsługujące sklep jest dobrze za-
wa z dnia 27 lipca 2002 r. o szczególnych warunkach bezpieczona przed włamaniami, pożarem czy proble-
sprzedaży konsumenckiej. Dotyczy ich również w pew- mami z zasilaniem.
nym stopniu ustawa z dnia 18 lipca 2002 r. o świadcze- Co ciekawe, badanie Eurobarometru z 2008 r. wska-
niu usług drogą elektroniczną. zuje, że właścicielowi sklepu internetowego powinno
Istotną różnicą między prowadzeniem sprzedaży de- szczególnie zależeć na wzbudzeniu zaufania i zapew-
talicznej w normalnym sklepie a sprzedażą przez Inter- nieniu rzeczywistego bezpieczeństwa danych osobo-
net jest utrata przez klienta anonimowości. W pierw- wych swoich klientów. Polacy są na pierwszym miejscu
szym przypadku sprzedawca zwykle nie pozyskuje da- w Unii Europejskiej jako deklarujący najwyższą świado-
nych osobowych kupującego, jedynym dowodem za- mość praw związanych z danymi osobowymi (43% ba-
kupu jest paragon „na okaziciela”. Przy sprzedaży na danych). Ponad połowa ankietowanych (55%) deklaro-
odległość niezbędne jest uzyskanie przynajmniej da- wała troskę o dane osobowe ujawniane w Internecie.
nych adresowych potrzebnych do dostarczenia towaru, W dalszej części artykułu omówię najważniejsze,
a często gromadzone są również dane pomocnicze ta- z punktu widzenia przedsiębiorcy prowadzącego sklep
kie jak adres e-mail, numer telefonu czy różnego rodza- internetowy, zagadnienia związane z ochroną danych
ju informacje o preferencjach zakupowych klienta. osobowych klientów. Skupimy się przede wszystkim na
Z pewnym niepokojem można zauważyć, że kwestia zagadnieniach praktycznych, z naciskiem na kwestie
ochrony danych osobowych klientów jest bardzo czę- techniczne (sklep internetowy to w znakomitej większo-

26 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce

ści przypadków system informatyczny z niewielką ilo- noznacznie pozwala określić tożsamość jego po-
ścią dokumentów papierowych). Przyjąłem również za- siadacza,
łożenie, że właściciel sklepu internetowego jest równo- • informacje na temat stanu zdrowia czy nałogach.
cześnie administratorem danych osobowych klientów,
choć w szczególnych przypadkach należałoby również Danymi osobowymi nie są informacje ogólne – na
rozpatrywać ten aspekt. przykład samodzielnej informacji „Jan, Wrocław” nie
można uznać za daną osobową, ponieważ zidentyfiko-
Jakie przepisy prawne wpływają wanie osoby wymagałoby poniesienia istotnych kosz-
na przetwarzanie danych w sklepie tów lub podjęcia nadmiernych działań.
internetowym? Co ciekawe, pewne dane, które same w sobie nie są
Najistotniejsze przepisy prawne regulujące kwestię danymi osobowymi, w powiązaniu z typowymi danymi
przetwarzania danych osobowych to ustawa oraz roz- osobowymi stają się ich częścią. Klasyczny przypadek to
porządzenie poświęcone wymaganiom stawianym sys- lista zamówionych przez klienta towarów. Przykładowo:
temom informatycznym:
• informacja o tytule książki, liczbie sztuk i cenie nie
• Ustawa z dnia 29 sierpnia 1997 r. o ochronie da- jest daną osobową,
nych osobowych, • informacja o tytule książki, liczbie sztuk i cenie po-
• Rozporządzenie Ministra Spraw Wewnętrznych wiązana z imieniem i nazwiskiem klienta wraz z ad-
i Administracji z dnia 29 kwietnia 2004 r. w sprawie resem dostawy staje się daną osobową.
dokumentacji przetwarzania danych osobowych
oraz warunków technicznych i organizacyjnych, ja- Reasumując, może się okazać, że duża część ba-
kim powinny odpowiadać urządzenia i systemy in- zy danych sklepu internetowego stanowi zbiór danych
formatyczne służące do przetwarzania danych oso- osobowych w rozumieniu UODO. Zwłaszcza jeśli mię-
bowych. dzy poszczególnymi tabelami występują powiązania
typowe dla relacyjnej bazy danych SQL.
W marcu 2011 r. wchodzi w życie nowelizacja usta-
wy o ochronie danych osobowych, nie ulegają jednak Zbiór danych osobowych kojarzy się
zmianie interesujące nas zagadnienia. z koniecznością jego rejestracji w GIODO, czy
W dalszej części artykułu zarówno ustawa jak i zwią- dotyczy to każdego zbioru?
zane z nią rozporządzenia wykonawcze nazywane są Zbiór danych osobowych to zestaw danych dostępnych
wspólnie UODO. według określonych kryteriów, niezależnie od tego czy
zestaw ten jest rozproszony lub podzielony funkcjonal-
Czy dane osobowe to tylko imię i nazwisko nie. Typowym zbiorem danych osobowych będzie baza
oraz adres dostawy? klientów, która jest wykorzystywana w celach marketin-
Definicja danych osobowych zawarta w ustawie gowych. Jeden zbiór danych może tworzyć nawet kilka
o ochronie danych osobowych mówi, że dane osobo- baz danych.
we to wszelkie informacje dotyczące zidentyfikowa- Z założenia każdy zbiór danych osobowych podle-
nej lub możliwej do zidentyfikowania osoby fizycznej, ga obowiązkowi rejestracji w rejestrze prowadzonym
a więc takiej osoby, której tożsamość można określić przez Generalnego Inspektora Danych Osobowych
bezpośrednio lub pośrednio, w szczególności przez po- (GIODO). Od tego obowiązku jest 14 wyjątków określo-
wołanie się na numer identyfikacyjny albo jeden lub kil- nych w ustawie.
ka specyficznych czynników określających jej cechy fi- W przypadku sklepu internetowego jedyny wyjątek,
zyczne, fizjologiczne, umysłowe, ekonomiczne, kulturo- który można byłoby rozważać to zwolnienie z obowiąz-
we lub społeczne. Istotne jest dodatkowe założenie, że ku rejestracji danych administratorów danych osobo-
informacji nie uważa się za umożliwiającą określenia wych przetwarzanych wyłącznie w celu wystawienia
tożsamości osoby, jeżeli wymagałoby to nadmiernych faktury, rachunku lub prowadzenia sprawozdawczości
kosztów lub działań. finansowej. Ten przypadek może być jednak trudny do
W efekcie bezspornie typowymi danymi osobowymi, zastosowania, jeśli dane są wykorzystywane na przy-
które mogą pojawić się w sklepie internetowym będą kład w celach marketingowych (wysyłka newslettera)
na przykład: czy w celu obsługi reklamacji. Wystarczy jednak, że da-
ne o historii zakupów są wykorzystywane do przedsta-
• imię i nazwisko, wienia spersonalizowanej oferty i nie ma już możliwości
• adres zamieszkania, skorzystania ze zwolnienia z obowiązku rejestracji.
• przypisany numer (na przykład PESEL lub NIP), Rejestracja zbioru danych w GIODO jest stosunkowo
• adres e-mail, który zawiera imię i nazwisko lub jed- prosta, należy jednak pamiętać, że niepoprawne wy-

www.hakin9.org 27
OBRONA

pełnienie formularza rejestracji może nie tylko dopro- • system musi umożliwiać wyświetlenie na ekranie
wadzić do odmowy zarejestrowania zbioru, ale może oraz wydrukowanie raportu zawierającego w po-
wzbudzić zainteresowanie inspektorów GIODO i spro- wszechnie zrozumiałej formie (czyli np. bez specy-
wokować kontrolę firmie przedsiębiorcy prowadzące- ficznych dla tego programu skrótów i kodów) dane
go sklep. osobowe oraz informację o dacie ich wprowadzenia
Należy pamiętać, że zwolnienie z obowiązku rejestra- do systemu informatycznego, osobie, która je wpro-
cji zbioru danych w GIODO nie zwalnia przedsiębiorcy wadziła, źródle danych, informacji o udostępnieniu
z obowiązku przestrzegania innych przepisów UODO. danych oraz o tym czy osoba wyraziła sprzeciw
wobec przetwarzania jej danych.
Jakie wymagania musi spełniać
oprogramowanie sklepu internetowego? Przynajmniej część z powyższych zaleceń warto wpro-
Oprogramowanie sklepu internetowego, wraz z serwe- wadzić w życie dla każdego serwisu internetowego (w
rem na którym działa, to – zgodnie z definicją z ustawy szczególności sklepu internetowego), ponieważ popra-
– system informatyczny. Wymagania stawiane syste- wią jego ogólną niezawodność i bezpieczeństwo.
mowi informatycznemu nie zależą od rodzaju oprogra-
mowania i dotyczą: Czy cała komunikacja między klientem
a sklepem internetowym powinna być
• oprogramowania komercyjnego i darmowego (np. szyfrowana?
Open Source), Ustawa o ochronie danych osobowych nie nakłada tak
• gotowych pakietów i programów stworzonych na szerokiego obowiązku zapewnienia bezpiecznego, szy-
lub dostosowanych do indywidualnych potrzeb skle- frowanego połączenia HTTPS i certyfikatów SSL. Nie
pu, ma też praktycznego uzasadnienia, żeby w przypadku
• platform hostujących sklepy internetowe. każdego sklepu wymagać szyfrowania całej komunika-
cji między komputerem klienta a serwerem.
Zgodnie z wymaganiami UODO, każdy system infor- UODO mówi jednak, że należy bezwzględnie sto-
matyczny, który służy do przetwarzania danych oso- sować bezpieczne połączenia HTTPS wobec danych
bowych, musi spełniać następujące wymagania: wykorzystywanych do uwierzytelnienia, które są prze-
syłane przez Internet (będzie to na przykład operacja
• zapewniać kontrolę dostępu do danych osobowych logowania się klienta do własnego konta lub obsługi
(na przykład wymagać podania identyfikatora użyt- sklepu do panelu administracyjnego). Dodatkowo wła-
kownika i hasła oraz wprowadzać poziomy upraw- ściciel sklepu ma obowiązek dochowania szczególnej
nień, jeśli można je wyodrębnić), staranności w zabezpieczeniu wszelkich danych oso-
• każdy użytkownik musi posiadać odrębny identy- bowych.
fikator (nie może mieć miejsca sytuacja, w której Warto więc zastosować szyfrowane połączenie
użytkownicy korzystają ze wspólnego loginu), HTTPS i certyfikat SSL przynajmniej w obrębie:
• system musi być zabezpieczony przed działaniem
oprogramowania, którego celem jest uzyskanie nie- • logowania się klienta do konta w sklepie interneto-
uprawnionego dostępu, wym (informacja o identyfikatorze użytkownika i ha-
• zmiana hasła następuje przynajmniej raz na 30 dni, śle),
• hasło składa się z co najmniej 8 znaków, zawiera • obsługi koszyka i składania zamówienia (informacje
małe i wielkie litery oraz cyfry lub znaki specjalne, o zamówionych produktach, cena),
• dostęp do systemu powinien być zabezpieczony • obsługi historii zamówień oraz informacji osobi-
przed zagrożeniami pochodzącymi z Internetu po- stych (zamówione produkty, adres dostawy),
przez wdrożenie fizycznych lub logicznych zabez- • całego panelu administracyjnego, który służy do
pieczeń chroniących przed nieuprawnionym dostę- zarządzania sklepem i jest wykorzystywany przez
pem (na przykład zapora ogniowa firewall) i zapew- jego obsługę.
niają kontrolę przepływu informacji pomiędzy sys-
temem informatycznym a Internetem oraz kontrolę Wykorzystanie certyfikatu SSL na serwerze pozwala
działań inicjowanych z Internetu i systemu informa- na spełnienie tych wymagań. Dane przesyłane przez
tycznego, Internet nie tylko nie będą mogły zostać podsłuchane,
• system musi automatycznie odnotowywać datę ale połączenie HTTPS zapewni również, że nie zosta-
wprowadzenia danych osobowych, osobę, która je ną one zmodyfikowane. Orientacyjny koszt certyfika-
wprowadziła, źródło danych, informację o udostęp- tu SSL to 120zł rocznie, a więc jest niski w porówna-
nieniu danych oraz informację czy osoba wyraziła niu do kosztów jednego skutecznego wyłudzenia na-
sprzeciw wobec przetwarzania jej danych, wet w małych sklepach.

28 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce

Jakie wymagania powinna spełniać firma W jaki sposób zabezpieczyć sklep


hostingowa lub centrum przetwarzania internetowy przed atakami z zewnątrz?
danych, w którym znajdują się serwery Ustawa o ochronie danych osobowych nakłada na ad-
obsługujące sklep internetowy? ministratora danych osobowych obowiązek zabezpie-
Wymagania dotyczące hostingu sklepu internetowego czenia systemu informatycznego, między innymi przed
to ciekawe zagadnienie. Oprócz wspomnianych wcze- zagrożeniami pochodzącymi z Internetu.
śniej wymagań stawianych przede wszystkim oprogra- W celu zabezpieczenia sklepu internetowego przed
mowaniu, administrator danych osobowych ma obowią- atakami z zewnątrz warto między innymi:
zek zapewnienia bezpieczeństwa fizycznego i środowi-
skowego przetwarzanym danym osobowym. Sklepy in- • korzystać z oprogramowania, które jest ciągle roz-
ternetowe są najczęściej utrzymywane na: wijane i jego autorzy lub producent reaguje na po-
wstawanie nowych ataków i odkrywanie błędów,
• typowym współdzielonym hostingu (zwykle sklepy • zadbać o aktualność oprogramowania, które jest
małe lub z krótkim stażem), zainstalowane zarówno na serwerach (system ope-
• wirtualnych serwerach prywatnych VPS (sklepy racyjny, oprogramowanie systemowe, aplikacja
średnie), sklep) obsługujących sklep, jak i na komputerach
• dedykowanych serwerach fizycznych (sklepy więk- „biurowych” (chociażby przeglądarka internetowa),
sze, z dłuższym stażem), • stosować firewalle, które pozwolą na zablokowanie
• platformie oferującej sklepy internetowe w modelu dostępu do serwera komputerom, które służą do
Software as a Service (SaaS). przeprowadzania ataków,
• wykorzystać „firewalle aplikacyjne” (ang. Web Ap-
W większości przypadków firma obsługująca sklep in- plication Firewall), które stanowią dodatkową war-
ternetowy nie posiada własnego centrum przetwarza- stwę ochrony,
nia danych (potocznie nazywanego serwerownią), • zainstalować oprogramowanie antywirusowe na
w którym znajdują się serwery obsługujące sklep inter- komputerach osób obsługujących sklep interneto-
netowy i obsługa sprzętowa jest powierzana firmie ho- wy.
stingowej.
Centrum przetwarzania danych, w których znajdują Oczywiście właściciel typowego sklepu nie będzie
się serwery powinno co najmniej zapewniać: w stanie zabezpieczyć go przed każdym rodzajem ata-
ku. W celu zapewnienia kompleksowej ochrony mu-
• zabezpieczenie przed dostępem osób nieupoważ- si współdziałać lub wręcz w całości polegać na firmie
nionych (fizyczne zabezpieczenia takie jak odpo- dostarczającej platformę hostingową, serwer lub łącze
wiednie drzwi, zamki, kontrola dostępu, system do serwera. Wiele sieciowych, siłowych ataków wyma-
alarmowy, całodobowy monitoring, agencja ochro- ga zastosowania zabezpieczeń na najniższych pozio-
ny), mach sieci (na przykład odcięcie ataku DDoS, ochro-
• zabezpieczenie przed pożarem, zalaniem i innymi na przed atakami polegającymi na „zatruciu” DNSów).
zagrożeniami środowiskowymi (odpowiednie czuj- Warto również wykorzystać bezpieczne, szyfrowane
niki, system gaszenia bezpieczny dla ludzi i sprzętu połączenie HTTPS i certyfikaty SSL w celu uniemożli-
elektronicznego), wienia podsłuchania lub modyfikacji komunikacji mię-
• zabezpieczenie serwerów przed utratą danych dzy sklepem internetowym a klientem lub obsługą skle-
spowodowaną awarią zasilania lub zakłóceniami pu. Zabezpiecza to przed poznaniem poufnych informa-
w sieci zasilającej (czyli powinno być wyposażone cji przez osoby nieupoważnione lub ich zmianę.
w zasilacze awaryjne UPS oraz opcjonalnie gene-
ratory prądu). Na co zwrócić uwagę, jeśli do bazy
klientów ma dostęp administrator serwera,
Jeśli sklep internetowy nie jest utrzymywany na ser- zewnętrzna agencja interaktywna i osoba
werach dedykowanych, ale korzysta ze zwykłego kon- współpracująca z właścicielem sklepu na
ta hostingowego lub platformy udostępniającej sklepy podstawie umowy o dzieło?
w modelu SaaS, warto jednoznacznie określić za jakie Przede wszystkim każda osoba, niezależnie od rodza-
elementy zabezpieczenia odpowiada firma świadcząca ju umowy, na podstawie której współpracuje z właści-
usługę, a za które właściciel sklepu. Typowym przykła- cielem sklepu internetowego, nawet jeśli jest pracow-
dem jest na przykład kwestia wykonywania kopii zapa- nikiem innej firmy, powinna posiadać pisemne upoważ-
sowych – częstotliwość lub sposób dostępu oferowany nienie do przetwarzania danych osobowych klientów
przez firmę hostingową może nie być wystarczający sklepu. Osoba taka powinna zobowiązać się do zacho-
dla zapewnienia bezpieczeństwa danych osobowych. wania w tajemnicy danych osobowych, do których ma

www.hakin9.org 29
OBRONA

dostęp oraz informacji na temat sposobów w jaki dane systemu informatycznego. Czyli nie powinna mieć miej-
są zabezpieczone. Lista upoważnień powinna zostać sca sytuacja, w której serwery znajdują się w centrum
zapisana w Ewidencji osób upoważnionych do prze- przetwarzania danych spełniającego wymagania UODO,
twarzania danych, również prowadzonej przez właści- natomiast płyty DVD z kopiami zapasowymi przechowy-
ciela sklepu. wane są w niezabezpieczonej szafie w biurze.
W przypadku, kiedy dostęp do danych osobowych Należy również pamiętać, że UODO wymaga, aby ko-
uzyskuje inna firma (na przykład firma hostingowa, pie zapasowe zostały usunięte niezwłocznie po ustaniu
agencja interaktywna, programista prowadzący własną ich użyteczności. Ma to na celu zapewnienie, że dane
działalność gospodarczą, firma udostępniająca aplika- osobowe, które nie są już do niczego potrzebne, nie bę-
cję internetową do wysyłania mailingów), to koniecznie dą przechowywane nadmiernie długo.
należy podpisać umowę powierzenia przetwarzania da-
nych osobowych. Co należy zrobić z nośnikami danych, na
Ustawa o ochronie danych osobowych stawia dwa których znajduje się baza SQL sklepu, a które
wymagania umowie powierzenia przetwarzania danych nie są już potrzebne?
osobowych. Umowa taka musi koniecznie: W trakcie działania serwisu internetowego normalne
jest, że pojawiają się nośniki danych, które zawierają
• zostać zawarta w formie pisemnej, dane (niekoniecznie osobowe), które nie są już do ni-
• określać cel i zakres przetwarzania danych. czego potrzebne. Mogą to być stare kopie zapasowe al-
bo stary serwer, który nie jest już wykorzystywany.
W praktyce podpisanie umowy powierzenia przetwarza- Przepisy UODO w jasny sposób mówią co należy zro-
nia danych osobowych zabezpiecza interesy właściciela bić z nośnikami danych przeznaczonych do: likwidacji,
sklepu. Taka umowa nakłada bowiem na współpracują- przekazania podmiotowi nieuprawnionemu do przetwa-
cą firmę obowiązek zabezpieczenia zbioru danych oso- rzania danych (np. przekazanie komputera innej osobie
bowych (oczywiście w zależności do tego jakie opera- czy firmie) lub naprawy. Należy pozbawić nośnik wcze-
cje na nim wykonuje) i odpowiada za poprawną realiza- śniej zapisu danych osobowych, a w przypadku gdy nie
cję tych działań tak samo jak właściciel sklepu. jest to możliwe, należy nośnik uszkodzić w sposób unie-
Brak podpisanej umowy powierzenia przetwarzania możliwiający jego odczytanie. W przypadku oddania do
danych osobowych mógłby sprowadzić na właścicie- naprawy oczywiście nie należy uszkadzać nośnika, za-
la sklepu zarzut udostępnienia danych osobowych in- miast tego naprawa powinna odbywać się pod nadzorem
nemu podmiotowi bez posiadania jakiejkolwiek podsta- osoby upoważnionej przez administratora danych.
wy prawnej. W przypadku usuwania informacji z dysków twardych
należy skorzystać ze specjalnego programu, który wie-
Jakie są wymagania UODO dla kopii lokrotnie zapisze obszary dysku, na których znajdowały
zapasowych? się pliki, co uniemożliwi (lub znacząco utrudni) ich odzy-
Przepisy UODO wymagają wykonywania kopii zapaso- skanie nawet w profesjonalnej firmie zajmującej się od-
wych przetwarzanych danych osobowych oraz progra- zyskiwaniem danych. Płyty CD lub DVD najłatwiej jest
mów i narzędzi programowych służących do ich prze- połamać lub skorzystać z biurowej niszczarki potrafią-
twarzania. Nie precyzują jednak częstotliwości czy spo- cej niszczyć również płyty.
sobu ich wykonywania – decyzje w tej sprawie pozosta- Warto zauważyć, że wymagania UODO warto sto-
wione są w gestii administratora danych. Warto pamię- sować nie tylko do danych osobowych, ale do wszel-
tać, że macierz RAID nie zastępuje kopii bezpieczeń- kich dysków czy płyt DVD na których znajdują się dane
stwa. Zestaw płyt DVD lub kaset do streamera wypeł- związane z działaniem przedsiębiorstwa.
nionych ważnymi danymi nie stanowi jeszcze kopii bez-
pieczeństwa. Niezbędne jest opracowanie procedu- Czy z punktu widzenia ochrony danych
ry pozwalającej na odzyskanie danych, przeszkolenie osobowych istotne jest państwo, w którym
pracowników i wyznaczenie osób odpowiedzialnych za znajdują się serwery obsługujące sklep
cały proces. Należy również zadbać, aby dostęp do no- internetowy?
śników z danymi był możliwy w określonym, maksymal- Ustawa o ochronie danych osobowych rozróżnia przy-
nym czasie. padek przekazania danych osobowych do państwa
Kopie zapasowe muszą być przechowywane w miej- trzeciego. „Państwo trzecie” to państwo nienależące
scach zabezpieczających je przed nieuprawnionym do Europejskiego Obszaru Gospodarczego (kraje Unii
przejęciem, modyfikacją, uszkodzeniem lub zniszcze- Europejskiej oraz Norwegia i Islandia). Przekazanie da-
niem. Bezwzględnie należy zapewnić przynajmniej tak nych osobowych do państwa trzeciego może nastąpić
samo dobre zabezpieczenia dla nośników danych, na jeżeli państwo docelowe daje gwarancję ochrony da-
których znajdują się kopie zapasowe jak dla działającego nych osobowych na swoim terytorium przynajmniej ta-

30 2/2011
Zarządzanie bezpieczeństwem danych osobowych. Kwestie prawne e-commerce

kiej, jaka obowiązuje w Polsce oraz w kilku innych przy- Czy połączenie e-sklepu z innymi portalami
padkach szczegółowo określonych w ustawie. zagraża bezpieczeństwu danych osobowych
Przekazanie danych należy traktować dość szero- użytkowników?
ko i obejmuje ono również przekazywanie danych na Przede wszystkim należy ustalić czy w trakcie połącze-
serwery właściciela sklepu zlokalizowane w państwie nia sklepu internetowego z innymi serwisami dojdzie do
trzecim. transferu danych osobowych klientów tego sklepu.
Bez żadnych problemów można przetwarzać da- Jeśli na stronie internetowej sklepu osadzany jest je-
ne osobowe klientów sklepu na serwerach zlokalizo- dynie „widget” (na przykład serwisu Facebook) z inne-
wanych w dowolnym z państw Unii Europejskiej. Ze go serwisu internetowego, raczej nie spowoduje to za-
względów praktycznych wygodnie jest, jeśli nie ma grożenia dla bezpieczeństwa danych osobowych klien-
bariery językowej między właścicielem sklepu a firmą tów sklepu.
świadczącą usługę hostingu, dzierżawy czy kolokacji W przypadku, kiedy następuje przekazanie danych
serwera i nie ma problemu z różnicami w przepisach osobowych klienta do innego serwisu internetowego,
między różnymi państwami. dochodzi do udostępnienia danych w rozumieniu prze-
pisów UODO i konieczne jest zastosowanie się do spe-
Jakie mogą być konsekwencje dla cyficznych wymagań. W szczególności oznacza to, że
przedsiębiorcy, który przetwarza dane użytkownik przede wszystkim powinien zgodzić się
osobowe niezgodnie z UODO? na udostępnienie swoich danych. Oprócz tego powi-
Jednym z zadań Generalnego Inspektora Ochrony Da- nien zostać poinformowany o fakcie udostępnienia, ce-
nych Osobowych jest kontrola zgodności przetwarza- lu i zakresie przekazanych danych oraz o firmie, której
nia danych z przepisani o ochronie danych osobowych. dane zostały udostępnione.
Realizując to zadanie inspektorzy GIODO mają prawo W szczególnych przypadkach, jeśli integrowany ser-
do przeprowadzania kontroli podmiotów, które przetwa- wis ma specyficzne błędy, możliwe może być wykona-
rzają dane osobowe. nie skutecznego ataku na klienta sklepu internetowego
Warto wiedzieć, że inspektorzy GIODO pracują w ze- nawet przez „widget”. Może to doprowadzić do wycieku
społach, w skład których wchodzą zarówno prawni- danych osobowych konkretnej osoby, która jednocze-
cy jak i informatycy. Oznacza to, że kontrolujący ma- śnie korzysta z tego serwisu i sklepu internetowego.
ją kompetencje i uprawnienia pozwalające na zbadanie
systemów informatycznych i poprawności zabezpiecze- Podsumowanie
nia serwerów. Zapewnienie bezpieczeństwa przetwarzania danych
Właściciel sklepu internetowego, który nie wypełnia osobowych klientów sklepu internetowego z pewnością
obowiązków nałożonych na niego przez UODO, mię- wymaga wiedzy i poświęcenia pewnej ilości czasu, że-
dzy innymi w zakresie rejestracji zbioru danych osobo- by poprawnie zorganizować cały proces. Nakłady te po-
wych, legalności przetwarzania informacji oraz zabez- winny jednak zwrócić się nie tylko w postaci spełnienia
pieczeń technicznych i organizacyjnych, może zostać wymagań ustawy o ochronie danych osobowych, ale ja-
pociągnięty do odpowiedzialności: ko konkretna korzyść biznesowa - w postaci zdobycia
większego zaufania klientów oraz poprawienia stabilno-
• karnej - grzywna, ograniczenie lub pozbawienie ści i bezpieczeństwa całej platformy do e-handlu, z któ-
wolności do lat 3, rej korzysta przedsiębiorca. Oznacza to wymierne zyski
• administracyjnej - wymóg poprawienia błędów, dzięki mniejszej liczbie awarii i przerw w działaniu skle-
a nawet usunięcia zgromadzonych danych, pu czy uniknięcie zagrożeń i szkód związanych z wła-
• dyscyplinarnej - dotyczy pracowników i może do- maniami.
prowadzić do zwolnienia dyscyplinarnego,
• odszkodowawczej - odszkodowanie w przypad-
ku naruszenia praw osoby lub wyrządzenia szkody MARCIN ENGELMANN
majątkowej lub krzywdy. Od 10 lat zajmuje się bezpieczeństwem informacji i systemów
informatycznych oraz ochroną danych osobowych. Posiada
Z punktu widzenia biznesu najbardziej dotkliwe dla doświadczenie w przeprowadzaniu audytów IT oraz wdraża-
sklepu internetowego może być nakazanie usunięcia niu polityk bezpieczeństwa (ISO 27001), jest również Certy�-
danych osobowych, które zostały zgromadzone nie- kowanym Audytorem Systemów Informatycznych (CISA) mię-
zgodnie z wymaganiami UODO. Paraliżująco na dzia- dzynarodowej organizacji ISACA. Jest właścicielem i wiodą-
łanie sklepu może również wpłynąć nakazanie przez cym audytorem �rmy IMAGIN IT zajmującej się doradztwem
GIODO usunięcia uchybień lub też uzupełnienia, uak- w zakresie bezpieczeństwa informacji i systemów komputero-
tualnienia danych lub zastosowania dodatkowych środ- wych oraz projektowaniem infrastruktury dla systemów wy-
ków zabezpieczających zgromadzone dane osobowe. sokiej wydajności i niezawodności.

www.hakin9.org 31
OBRONA

Bazy danych i zasady


korzystania z nich w świetle
przepisów prawa polskiego
Dariusz Łydziński
Bazy danych i korzystanie z nich stanowią przedmiot działalności
wielu podmiotów gromadzących i przetwarzających dane, dlatego też
często są poddawane zagrożeniom ze strony przestępców działających
wewnątrz firmy oraz napastników zewnętrznych, którzy nie szukają
już hakerskiej sławy, lecz są głównie zainteresowani korzyściami
finansowymi. W każdej organizacji dane są drugim najcenniejszym
zasobem, zaraz po pracownikach. Firmy są zobowiązane do
ochrony własnego personelu i klientów poprzez dołożenie należytej
staranności i zapewnienie maksymalnych możliwych zabezpieczeń.
Dowiesz się: Powinieneś wiedzieć:
• o wymaganiach dotyczących baz danych, wynikających z re- • znać podstawowe zasady ochrony danych osobowych, wyni-
gulacji prawnych kające z aktów prawnych
• o zakresie stosowanych zabezpieczeń baz danych osobowych
i przechowywanych w nich informacji
• o zasadach korzystania z baz danych osobowych

O
chrona baz danych w świetle przepisów prawa Bazy danych osobowych są podstawą działania dzia-
polskiego opiera się na przepisach prawa autor- łów marketingu i reklamy. Są one wykorzystywane do
skiego (ustawa z 4 lutego 1994 r. o prawie autor- prowadzenia reklamy personalnej, badań zachowań
skim) oraz regulacjach ustawy o ochronie baz danych. klientów, wysyłania personalizowanych materiałów re-
Ustawa o prawie autorskim znajduje zastosowanie do klamowych i innych działań z zakresu Public Relation.
baz, których dobór, układ i zestawienie ma charakter Dlatego celem artykułu jest przedstawienie elemen-
twórczy. Pozbawia to możliwości objęcia ochroną zbio- tów ochrony baz danych osobowych oraz zasad korzy-
rów, w których elementy zostały ułożone alfabetycznie stania z nich.
czy też chronologicznie. Z uwagi na to ograniczenie,
uzupełnienie ochrony baz danych stanowią przepisy WYMAGANIA DOTYCZĄCE OCHRONY
Ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. BAZ DANYCH OSOBOWYCH W AKTACH
Umożliwiają one ochronę baz danych, które nie speł- PRAWNYCH
niają przesłanek umożliwiających uznanie ich za przed-
miot prawa autorskiego. Ustawa z dnia 27 lipca 2001 r.
Rodzaj podjętych przedsięwzięć oraz zakres stoso- o ochronie baz danych.
wanych środków ochrony jest bardzo szeroki, dlate- Podstawowe zasady ochrony baz danych w prawie pol-
go też treści zawarte w artykule nie stanowią całościo- skim zawarto w ustawie z dnia 27 lipca 2001 r. o ochro-
wej problematyki wchodzącej w jej zakres. Są jedynie nie baz danych. Przedmiotem ochrony jest baza da-
zwróceniem szczególnej uwagi na jeden z elementów nych niespełniająca cech utworów. Ustawa dotyczy baz
ochrony baz, którym są bazy danych osobowych. danych przechowywanych w dowolny sposób.

32 2/2011
Bazy danych i zasady korzystania z nich w świetle przepisów prawa polskiego.

Należy zwrócić uwagę, na fakt, iż baza danych to Ustawa z dnia 29 sierpnia 1997 r.
„zbiór danych lub innych elementów zgromadzonych o ochronie danych osobowych.
wedle określonej systematyki lub metody indywidual- Zasady przetwarzania danych osobowych w zbiorach
nie dostępnych w jakikolwiek sposób”. Jest to ważne, danych a za takie możemy uznać bazy danych oso-
gdyż nie ma znaczenia sposób jej sporządzenia i utrwa- bowych, określa ustawa z dnia 29 sierpnia 1997 r.
lenia. Ochronie podlegają nie tylko elektroniczne bazy o ochronie danych osobowych oraz wydane na jej pod-
danych, ale również fizyczne. stawie akty wykonawcze – rozporządzenia Ministra
Ustawa chroni interesy producenta bazy, którym mo- Spraw Wewnętrznych i Administracji.
że być osoba fizyczna, osoba prawna lub jednostka or- Ustawa określa zasady postępowania przy przetwa-
ganizacyjna nie posiadająca osobowości prawnej, któ- rzaniu danych osobowych oraz prawa osób, których da-
ra ponosi nakłady inwestycyjne przy tworzeniu bazy. ne są przetwarzane, niezależnie od sposobu przetwa-
Producentem bazy powstałej w wyniku stosunku pracy rzania danych.
jest pracodawca, producentem bazy powstałej o umo- Ustawa narzuca na administratorów danych konkret-
wę o dzieło lub zlecenie jest zleceniodawca. Ochrona ne wymagania organizacyjne i techniczne, w tym dla
przysługuje bazom danych, których producent: baz danych osobowych. W zakresie zabezpieczeń baz
danych i przechowywanych w nich informacji Ustawa
• Jest obywatelem RP albo ma na jej terytorium swo- definiuje następujące kwestie:
ją siedzibę lub
• Jest obywatelem państwa członkowskiego Unii Eu- • Określenie pojęcia danych osobowych (art. 6).
ropejskiej albo ma miejsce stałego pobytu na tery- • Określenie organów ochrony danych osobowych,
torium Wspólnoty Europejskiej lub w tym wyszczególnienie praw i obowiązków General-
• Jest osobą prawną założoną zgodnie z prawem nego Inspektora Ochrony Danych Osobowych (GIO-
państwa członkowskiego Unii europejskiej, posia- DO) i obowiązków podmiotów względem GIODO.
dającą siedzibę i zakład główny wykonywania dzia- • Określenie zasad przetwarzania danych osobo-
łalności na terytorium Wspólnoty Europejskiej. wych (rozdział 3).
• Wskazanie praw osoby, której dane są przetwarza-
Ustawa określa także czas obowiązywania ochro- ne (rozdział 4).
ny bazy danych na 15 lat od momentu jej utworze- • Aspekty zabezpieczania danych osobowych (roz-
nia lub od momentu jej udostępnienia publicznie, dział 5).
o ile udostępnienie to nastąpiło w ciągu 15 lat od jej • Obowiązek rejestrowania zbiorów danych osobo-
utworzenia. wych (rozdział 6).
Ustawa pozwala na korzystanie z baz danych na za- • Zasady przekazywania danych osobowych do pań-
sadzie tzw. dozwolonego użytku. Zgodnie z art. 8 Usta- stwa trzecich (rozdział 7).
wy możliwe jest korzystanie z istotnej, co do jakości lub
ilości, części rozpowszechnionej bazy danych: Zasady zabezpieczenia baz danych osobowych za-
równo w sposób techniczny, jak i organizacyjny zawie-
• Do własnego użytku osobistego, ale tylko z zawar- ra rozdział 5.
tości nieelektronicznej bazy danych, Najogólniej wymagania dotyczące zabezpieczeń da-
• W charakterze ilustracji, w celach dydaktycznych nych osobowych określa Art. 36 ust. 1 Ustawy, który
lub badawczych, ze wskazaniem źródła, jeżeli takie mówi, że „Administrator danych jest obowiązany zasto-
korzystanie jest uzasadnione niekomercyjnym ce- sować środki techniczne i organizacyjne zapewniające
lem, dla którego wykorzystano bazę, ochronę przetwarzanych danych osobowych odpowied-
• Do celów bezpieczeństwa wewnętrznego, postępo- nią do zagrożeń oraz kategorii danych objętych ochro-
wania sądowego lub administracyjnego. ną, a szczególności powinien zabezpieczyć dane przed
ich udostępnieniem osobom nieupoważnionym, za-
Ustawodawca docenił rolę tych, którzy zbierają infor- braniem przez osobę nieuprawnioną, przetwarzaniem
macje, gromadzą i przetwarzają lub udostępniają prze- z naruszeniem ustawy oraz zmianą, utratą, uszkodze-
twarzanie dla określonych osób i celów. niem lub zniszczeniem”.
W przypadku bezprawnego korzystania z chronio- Najważniejsze wymagania dotyczące ochrony baz
nej bazy danych zgodnie z art. 11 Ustawy producent danych osobowych, wynikające z ustawy to:
ma prawo wezwać do zaprzestania z korzystania z ba-
zy, zwrotu uzyskanych korzyści finansowych, lub żądać • Określenie aspektów identyfikacji czy w administro-
naprawienia wyrządzonej szkody na prawach ogólnych. wanej bazie danych znajdują się dane osobowe.
Osoba korzystająca z bazy danych chronionej podlega • Określenie zakresu przetwarzania administrowa-
karze grzywny. nych danych, identyfikacji czy jest wymagana i do-

www.hakin9.org 33
OBRONA

stępna zgoda osób, których dane dotyczą, weryfi- temu informatycznego, służącego do przetwarza-
kacji kompletności danych i poprawności ich prze- nia danych osobowych, połączone jest z siecią
twarzania ze zgłoszonym celem i zakresem. publiczną.
• Określenie mechanizmów udostępniania danych
i weryfikacji rejestracji udostępniania danych. Ba- Do najważniejszych wymagań sprecyzowanych w Roz-
za danych osobowych powinna umożliwiać wy- porządzeniu możemy zaliczyć:
świetlenie, wydrukowanie dla danej osoby raportu,
w którym będą uwzględnione dane takie, jak: da- • Konieczność stosowania mechanizmów kontroli do-
ne tej osoby, źródło pochodzenia danych, kto dopi- stępu, przy czym jeśli do systemu ma dostęp wielu
sał dane do bazy, data i czas utworzenia, informa- użytkowników, to muszą mieć oni odrębne identyfi-
cje o modyfikacjach, informacje komu i kiedy i w ja- katory.
kim zakresie dane były udostępniane. • Zabezpieczenie przed „działaniem oprogramowa-
• Określenie formatu przekazywania danych, zakre- nia, którego celem jest uzyskanie nieuprawnionego
su i rejestrowania przekazywania danych. dostępu do systemu informatycznego” oraz „utratą
• Określenie poziomu bezpieczeństwa dla każdego danych spowodowaną awarią zasilania lub zakłóce-
ze zbiorów, nadawanie i zarządzanie upoważnie- niami w sieci zasilającej”.
niami do przetwarzania danych osobowych oraz • Identyfikator użytkownika, który utracił uprawnienia
stosowania mechanizmów rozliczalności. do przetwarzania danych, nie może być przydzielo-
• Sporządzenie dokumentacji dotyczącej sposobu ny innej osobie.
przetwarzania i zabezpieczania danych osobo- • Wymagania dotyczące haseł:
wych. • powinny być zmieniane nie rzadziej niż 30 dni,
• Określenie zasad kontroli i dostępu do obszarów • hasło powinno składać się co najmniej na po-
przetwarzania danych osobowych. ziomie podstawowym z 6 znaków, na poziomie
• Określenie fizycznych zabezpieczeń instalacji infor- podwyższonym i wysokim z 8 znaków i zawie-
matycznych, baz danych i nośników zawierających rać małe i duże litery oraz cyfry lub znaki spe-
dane osobowe. cjalne,
• Wyznaczenie osób, które będą odpowiedzialne za • Konieczność sporządzania kopii zapasowych da-
fizyczne bezpieczeństwo instalacji informatycz- nych i programów je przetwarzających. Ponadto ko-
nych, baz danych i nośników zawierających dane pie zapasowe należy przechowywać w miejscach
osobowe. zabezpieczających je przed nieuprawnionym prze-
• Określenie sposobu weryfikowania nadanych jęciem, modyfikacją, uszkodzeniem lub zniszcze-
uprawnień dostępu do systemów. niem oraz usuwać niezwłocznie po ustaniu ich uży-
teczności.
Art. 39a Ustawy określa, że podstawowe warunki orga- • Jeżeli dane są przetwarzane na komputerze prze-
nizacyjne jak i techniczne, jakie muszą spełniać urzą- nośnym to nakazane jest szyfrowanie danych.
dzenia i systemy informatyczne służące do przetwa- • Urządzenia, dyski lub inne nośniki elektroniczne za-
rzania danych osobowych są wskazane w Rozporzą- wierające dane osobowe przeznaczone do likwida-
dzeniu MSWiA „w sprawie dokumentacji przetwarza- cji, naprawy lub przekazania podmiotowi nieupraw-
nia danych osobowych, oraz warunków technicznych nionemu do przetwarzania danych osobowych po-
i organizacyjnych, jakim powinny odpowiadać urządze- zbawia się wcześniej zapisu w sposób uniemożli-
nia i systemy informatyczne służące do przetwarza- wiający ich odzyskanie.
nia danych osobowych”, które jest podstawowym do- • Na poziomie wysokim należy stosować zabezpie-
kumentem określającym wymagania techniczne do- czenia logiczne, które obejmują kontrolę przepływu
tyczące systemów informatycznych [2]. W załączniku informacji pomiędzy systemem informatycznym ad-
do tego rozporządzenia, są wymienione środki bezpie- ministratora danych a siecią publiczną oraz kontro-
czeństwa, jakie powinny być stosowane w systemie in- lę działań z sieci publicznej i systemu informatycz-
formatycznym przetwarzającym dane osobowe. Środ- nego administratora danych.
ki bezpieczeństwa zostały przypisane do trzech pozio- • Na poziomie wysokim należy zapewnić również
mów zabezpieczeń: ochronę kryptograficzną wobec danych wykorzy-
stywanych do uwierzytelniania, które są przesyłane
• Podstawowy dla wszystkich systemów, w sieci publicznej,
• Podwyższony – dla systemów przetwarzających
dane o szczególnej wartości wymienione w art. 27 Dużą rolę, w ramach bezpieczeństwa i zasad korzy-
Ustawy (dane wrażliwe), stania z baz danych osobowych odgrywa, oprócz
• Wysoki – gdy przynajmniej jedno urządzenie sys- wskazanych powyżej aspektów element rozliczal-

34 2/2011
Bazy danych i zasady korzystania z nich w świetle przepisów prawa polskiego.

ności. Podkreślając globalny charakter przepisów wości istnienia anonimowych działań użytkowników.
o ochronie danych osobowych należy wspomnieć Świadoma odpowiedzialność użytkowników, jak rów-
o § 7 Rozporządzenia Ministra Spraw Wewnętrz- nież i ich wiedza o takiej funkcjonalności systemu,
nych i Administracji z dnia 29 kwietnia 2004 r. w spra- powoduje zmniejszenie zjawiska udostępniania haseł
wie dokumentacji przetwarzania danych osobowych i identyfikatorów, co ma dobry wpływ na bezpieczeń-
oraz warunków technicznych i organizacyjnych, ja- stwo przetwarzanych danych w bazach danych oso-
kim powinny odpowiadać urządzenia i systemy infor- bowych.
matyczne służące do przetwarzania danych osobo- Natomiast punkty 3, 4 i 5 ustępu pierwszego w tym
wych, w którym zostały ujęte główne wytyczne w tym paragrafie poprawiają komfort osobom, których da-
zakresie: ne osobowe są przetwarzane. Przejrzystość w zakre-
sie pochodzenia danych w bazie danych osobowych,
I. Dla każdej osoby, której dane osobowe są przetwa- a także informacji komu, kiedy i w jakim zakresie dane
rzane w systemie informatycznym – z wyjątkiem zostały udostępnione oraz możliwość zgłoszenia i od-
systemów służących do przetwarzania danych oso- notowania sprzeciwu dotyczącego przetwarzania da-
bowych ograniczonych wyłącznie do edycji tekstu nych osobowych stanowią o tym, że osoba której da-
w celu udostępnienia go na piśmie – system ten za- ne są przetwarzane czuje się bezpieczna i wzrasta jej
pewnia odnotowanie: poziom zaufania. Osoba, której dane osobowe są prze-
1) Daty pierwszego wprowadzenia danych do sys- twarzane w takim systemie, mając wiedzę dotyczącą
temu, tych aspektów, będzie mogła kontrolować sposób i ja-
2) Identyfikatora użytkownika wprowadzającego kość ich przetwarzania.
dane osobowe do systemu, chyba że dostęp
do systemu informatycznego i przetwarzanych ZASADY KORZYSTANIA Z BAZ DANYCH
danych w nim danych posiada wyłącznie jedna OSOBOWYCH
osoba, Zbiory zgromadzonych danych osobowych stanowią
3) Źródła danych, w przypadku zbierania danych, odrębną bazę danych w każdej organizacji zabezpie-
nie od osoby, której one dotyczą, czonych przed dostępem osób nieuprawnionych, a tak-
4) Informacji o odbiorcach, w rozumieniu art. 7 pkt że osób trzecich. Przekazywanie danych osobowych in-
6 Ustawy, którym dane osobowe zostały udo- nym osobom oraz instytucjom, jest dozwolone za zgo-
stępnione, dacie i zakresie tego udostępnienia, dą osoby, której dane dotyczą oraz gdy wymagają tego
chyba że system informatyczny używany jest obowiązujące przepisy prawa.
do przetwarzania danych zawartych w zbiorach Korzystanie z baz danych osobowych związane jest
jawnych, z procesami udostępniania danych oraz powierzania
5) Sprzeciwu, o którym mowa w art. 32 ust. 1 pkt baz danych do przetwarzania.
8 ustawy.
II. . Odnotowanie informacji, o których mowa w ust. Udostępnianie danych.
1 pkt 1 i 2, następuje automatycznie po zatwierdze- Udostępnianie danych osobowych nastąpi zawsze wte-
niu przez użytkownika operacji wprowadzania da- dy, gdy administrator danych osobowych w sposób fak-
nych. tyczny przekaże bądź inaczej umożliwi zapoznanie się
III. Dla każdej osoby, której dane osobowe są przetwa- z danymi osobowymi innej osobie lub podmiotowi, któ-
rzane w systemie informatycznym, system zapew- ry to podmiot pełnić będzie w stosunku do tych danych
nia sporządzenie i wydrukowanie raportu zawiera- osobowych rolę administratora danych.
jącego w powszechnie zrozumiałej formie informa- Procesy związane z udostępnianiem danych z baz
cje, o których mowa w ust. 1. danych osobowych dzielą się na udostępnianie da-
nych wewnątrz organizacji oraz udostępnianie na ze-
Biorąc pod uwagę punkty 1 i 2 ustępu pierwszego wnątrz. Przy udostępnianiu danych wewnątrz organi-
w powyższym paragrafie, od razu widać, że w syste- zacji należy zwrócić uwagę, że dane można udostęp-
mie informatycznym konieczne jest istnienie indywi- nić jedynie osobom posiadającym upoważnienie do
dualnego autoryzowanego dostępu dla każdego użyt- przetwarzania danych osobowych, którym dane te są
kownika oraz rejestracja czasu zdarzeń wygenerowa- potrzebne do wykonywania ich obowiązków służbo-
nych przez niego samego. Powiązanie tych dwóch wych. Udostępniając dane na zewnątrz należy zwró-
faktów wraz z wymogiem odnotowywania identy- cić uwagę, czy istnieje podstawa prawna udostępnie-
fikatora użytkownika wprowadzającego dane i da- nia danych osobowych. Dane powinno się udostęp-
ty pierwszego wprowadzenia danych oraz automa- niać innym podmiotom na ich pisemny wniosek, z po-
tyzacji tych procesów zgodnie z ustępem drugim te- wołaniem się na przepis, zezwalający na otrzymywa-
go paragrafu, daje nam w konsekwencji brak możli- nie takich danych.

www.hakin9.org 35
OBRONA

Powierzanie danych do przetwarzania. gulującego kwestie zabezpieczenia danych i w tym


Powierzenie danych do przetwarzania wiąże się z pro- zakresie ponoszą pełną odpowiedzialność wynikają-
cesami zlecania czynności związanych z przetwarza- cą z przepisów ustawy zarówno administracyjną jak
niem danych osobowych innym podmiotom. Zlecenie i karną.
jakiekolwiek czynności przetwarzania danych w imieniu Bazy danych osobowych obejmują dane, które pod-
danej organizacji musi odbywać się w drodze pisemnej legają ochronie i stanowią wartość dla firm. Kwestia
umowy. Aby przekazanie danych było działaniem legal- dbałości o dobra firmy, w tym i o dane osobowe oraz
nym, konieczne jest, zatem, zawarcie stosowanej umo- skuteczne egzekwowanie ich ochrony, to w obecnych
wy powierzenia. czasach element decydujący o pozycji firmy na ryn-
Zasady zawierania umów powierzenia określa szcze- ku. Żadna z poważnych firm, mając na względzie da-
gółowo art. 31 Ustawy o ochronie danych osobowych. ne i preferencje klientów nie jest skora do współdzie-
Zgodnie z tym przepisem w treści umowy, administra- lenia takich informacji z konkurencją. Patrząc na ten
tor danych powinien określić środki i cele przetwarza- aspekt z drugiej strony należy pamiętać, że klient czu-
nia danych przez zleceniobiorcę, który z kolei może wy- jąc się „bezpiecznie”, łatwiej buduje zaufanie do fir-
korzystywać dane w sposób określony w zawartej umo- my przetwarzającej jego dane i chętniej korzysta z jej
wie powierzenia. Podmiot, który pozyskuje w taki spo- usług. Sytuacja klienta i jakość ochrony jego danych
sób dane nie uzyskuje, więc statusu administratora i nie w firmie, daje się zauważyć przede wszystkim we fluk-
może z nich dowolnie korzystać (zakaz wykorzystania tuacji jej klientów.
danych osobowych dla własnych celów). Przed admini- Ważnymi elementami, które wynikają z dobrych prak-
stratorem ponosi on odpowiedzialność za przestrzega- tyk, a na które nacisk kładą akty prawne związane
nie umowy powierzenia. z ochroną baz danych osobowych są:
Podmiot, któremu powierza się dane osobowe do
przetwarzania zobowiązuje się w umowie do przetwa- • Bezpieczeństwo fizyczne danych osobowych prze-
rzania danych jedynie w celu i zakresie, jak również do twarzanych elektronicznie i tradycyjnie,
zabezpieczenia danych zgodnie z art. 36 -39 Ustawy • Bezpieczeństwo systemów informatycznych, służą-
o ochronie danych osobowych. cych do przetwarzania danych osobowych,
Podmiot, któremu powierzono przetwarzanie danych • Bezpieczeństwo danych osobowych w oparciu
osobowych nie jest zobowiązany do realizacji obowiąz- o środki organizacyjne.
ków określonych w ustawie o ochronie danych osobo-
wych (m.in. nie musi zgłaszać do rejestracji zbioru da- Ustawa o ochronie danych osobowych stanowi w art.
nych osobowych), z wyjątkiem obowiązku zastosowa- 1, że każdy ma prawo do ochrony dotyczących go da-
nia środków zabezpieczających, o których mowa w art. nych osobowych a przetwarzanie danych osobowych
36-39 u.o.d.o. może mieć miejsce ze względu na:
Administrator danych zobowiązany jest do wykony-
wania wszystkich obowiązków określonych w przepi- • Dobro publiczne,
sach o ochronie danych osobowych, w tym m.in. musi • Dobro osoby, której dane dotyczą,
zgłosić zbiór danych osobowych do rejestracji General- • Dobro osób trzecich w zakresie i trybie określonym
nemu Inspektorowi Ochrony Danych Osobowych – po- ustawą.
nosi odpowiedzialność administracyjną za naruszenie
przepisów o ochronie danych osobowych. Oznacza to generalny zakaz przetwarzania danych
Obydwa podmioty są natomiast zobowiązane do osobowych bez uzasadnienia i wymóg ustawowe-
przestrzegania przepisów rozporządzenia wykonaw- go regulowania zakresu i trybu przetwarzania danych
czego do ustawy o ochronie danych osobowych re- osobowych ze względu na dobro osób trzecich.

DARIUSZ ŁYDZIŃSKI
Dariusz Łydziński - studia podyplomowe w Wyższej Szkole Menedżerskiej w Warszawie - ochrona informacji niejawnych i ad-
ministrowanie bezpieczeństwem informacji, oraz w Akademii Obrony Narodowej w Warszawie – bezpieczeństwo informacyj-
ne. Pełnomocnik ds. Bezpieczeństwa i Jakości, Szef Działu Bezpieczeństwa, Ochrony Informacji i Audytu Unizeto Technologies
SA. Zajmował i zajmuje stanowiska związane z bezpieczeństwem i ochroną danych. Ma doświadczenie w identy�kowaniu ryzy-
ka i zagrożeń występujących w związku z wykorzystywaniem systemów teleinformatycznych. Doświadczenie zawodowe w za-
kresie zapewnienia bezpieczeństwa/ochrony wielooddziałowego przedsiębiorstwa, doświadczenie w opracowywaniu polityk
i strategii zarządzania bezpieczeństwem.
Kontakt: dlydzinski@unizeto.pl
Unizeto Technologies SA - projektowanie i integracja systemów, tworzenie rozwiązań zapewniających bezpieczeństwo syste-
mów i komunikacji elektronicznej oraz zaawansowane technologicznie usługi IT, usługi certy�kacyjne związane z podpisem
elektronicznym.

36 2/2011
Narzędzia do automatycznego audytu bezpieczeństwa

Narzędzia do
automatycznego audytu
bezpieczeństwa
Maciej Karmoliński
Wprowadzanie systemu automatycznego wykrywania i zarządzania
podatnościami w złożonych sieciach, jest nowo przyjętym podejściem
dużych i średnich przedsiębiorstw na rynku europejskim. Ocena
stosowanych zabezpieczeń uległa znacznej poprawie dzięki kwartalnym,
miesięcznym a nawet codziennym audytom, dzięki którym mamy możliwość
szybkiego reagowania na powstałe luki systemu, bądź zmianę istniejącego
zagrożenia.

Dowiesz się: Powinieneś wiedzieć:


• czym są i do czego służą narzędzia do wykrywania podatności • posiadać podstawową wiedzę w zakresie sieci i bezpieczeń-
w sieci, jakie są korzyści z ich stosowania, oraz czym różnią się stwa sieciowego
od zabezpieczeń stosowanych dotychczas w firmach.

Dzisiejsza infrastruktura sieci zmienia się bardzo jęcie decyzji o zautomatyzowaniu funkcji biznesowych
szybko. Na bieżąco dodawane są nowe serwery, usłu- w pierwszej kolejności opiera się na bardziej efektyw-
gi, połączenia i porty, a także laptopy, nośniki pamięci nym, skutecznym, a przede wszystkim tańszym spo-
i urządzenia bezprzewodowe, które prowadzą do cią- sobie utrzymania bezpieczeństwa. Wybierając skano-
głego i intensywnego rozwoju infrastruktury IT. Wraz wanie podatności systemu, jako usługę automatyczną,
z rosnącą liczbą nowych urządzeń, wzrasta ilość po- musimy wziąć pod uwagę trzy, bardzo ważne, czynniki:
datności. Nie zapominajmy również, że każdego dnia
przybywa wiele nowych potencjalnych zagrożeń, dla- 1. Zdolność przedstawiania rozwiązań, na podstawie
tego baza wskazująca rodzaj podatności i sposoby dokładnej i pełnej oceny podatności.
ich naprawy, musi być bieżąco aktualizowana. Wiele 2. Analizę danych, oraz ocenę istotnych informacji.
przedsiębiorstw korzystających z tego typu urządzeń 3. Śledzenie i raportowanie skuteczności działań łago-
ma zapewnione wsparcie grupy specjalistów, którzy dzących.Poniżej, przedstawię Państwu w jaki spo-
odpowiadają na każde pytanie 24/7. sób te czynniki odnoszą się do obecnie wykonywa-
W dzisiejszych czasach stosowanie powszechnych nych testów bezpieczeństwa, a następnie omówię
środków ochrony, takich jak: firewall, programy anty- zmieniające się role podatności w procesie tworze-
wirusowe i IPS/IDS, jest niewystarczająco skuteczne. nia automatycznego wykrywania podatności.
Każdy potencjalny intruz próbujący dostać się do infor-
macji danej firmy, zna podatności i z łatwością potrafi Wyzwania narzędzi służących ocenie
je obejść, a to dlatego, że w każdej kolejnej „nowszej bezpieczeństwa sieci
wersji”, są tak naprawdę niewielkie zmiany. Ocena podatności sieci (ręczna lub automatyczna) jest
Biorąc pod uwagę ww. spostrzeżenia, proces auto- powszechnie uznawana za klucz uzyskania pełni bez-
matyzacji ma na celu minimalizację nakładu pracy dla pieczeństwa sieci. Oszacowanie podatności na zagro-
każdego testu oraz zwiększenie częstotliwości badań, żenia jest wykonywane w celu określenia rzeczywistego
na tyle aby ponoszone koszta stały się opłacalne. Pod- stanu bezpieczeństwa w środowisku sieciowym a także

www.hakin9.org 37
BEZPIECZNA FIRMA

zbadania, czy intruz, który omija lub pokonuje pierście- tą i szczegółową wiedzę techniczną z zakresu mnó-
nie zabezpieczeń (antywirus, firewall i IPS / IDS), wyko- stwa nowoczesnych technologii. Przeprowadzenie te-
rzystuje do tego element mieszczący się w danej sieci, stów podatności wymaga specjalistycznej wiedzy i na-
oraz czy mógłby wykorzystać ten element do wpływania rzędzi, pamiętając, że są one kosztowne i długotrwałe.
na poufność, dostępność i integralność informacji. Nie ma również zbyt wielu zespołów na świecie posia-
Prawie wszystkie zdarzenia utraty ważnych danych dających Certtified Information Systems Security Pro-
wynikających z zewnętrznych lub wewnętrznych ata- fessionals (CISSPs), a nie wszystkie z nich mają kwa-
ków, zostały dokonane dzięki wykorzystaniu znanej, ale lifikacje do wykonywania audytu bezpieczeństwa sieci
niezaktualizowanej na czas luki. Przez „znane „ mam na i oceny zagrożeń.
myśli, że została udokumentowana w literaturze bezpie- Coraz większa liczba narzędzi audytowych stoso-
czeństwa i jej rozwiązania są dostępne. W 2009 roku wanych przez informatyków nie posiadających od-
każde z 70 największych naruszeń bezpieczeństwa (w powiedniej wiedzy i przygotowania audytowego mo-
wyniku całkowitej straty 275 milionów rekordów) zosta- że doprowadzać do sporządzania niepełnych wnio-
ły zrealizowane poprzez manipulowanie rozpowszech- sków poaudytowych. Zwykle raporty te obejmują, aż
nionymi podatnościami, pomimo zastosowania podsta- do 20% wyników nieprawdziwych (fałszywych) i wie-
wowych narzędzi ochronnych i nadzoru wieloosobowe- lu innych „luk”, które są mało znaczące dla określonej
go personelu. infrastruktury, wymagają tylko dodatkowej pracy i pie-
To jest bardzo duże wyzwanie. A aktualnie najlepsze niędzy aby potwierdzić ich stan rzeczywisty. To do-
wyniki w praktyce wskazują, że najlepszym sposobem świadczenie i ocena zgodności w środowisku siecio-
odpowiedzi jest wykonywanie regularnej oceny podatno- wym są konieczne. Ograniczona ilość pracowników
ści poprzez identyfikację znanych luk i błędów w syste- jest potęgowana przez fakt, że bezpieczeństwo nale-
mach i zabezpieczeniach sieciowych, aby zlokalizować ży do niepokojąco dynamicznie rozwijających się dzie-
je przed potencjalnym intruzem. dzin z branży IT. Wiedza i programy, które były ostat-
nio stosowane z powodzeniem podczas testowania
Ochrona aktywów przedsiębiorstwa sieci, mogą być teraz niewystarczające ze względu na
Obecnie działy IT znajdują się w pozycji nie do pozaz- nowo wykrywane podatności.
droszczenie, jeżeli chodzi o zarządzanie coraz bar-
dziej złożonymi środowiskami sieciowymi. Infrastruk-
tury nowoczesnych przedsiębiorstw składają się z wie-
lu typów urządzeń, systemów operacyjnych i aplikacji,
które mają zróżnicowane wymagania bezpieczeństwa
i dostępu. Dlatego musiały polegać we wszystkim na
rozdrobnionych rozwiązaniach wielu producentów,
od zapobiegania włamaniom, kontroli dostępu do za-
rządzania łatkami. Taka strategia wymaga wdrażania
i obsługi macierzy niezależnych produktów oraz usług
zabezpieczających.
Nieuchronnie prowadzi to do wielowarstwowej kom-
plikacji oceny podatności firmy, co jest zarówno czaso- Rysunek 1.
chłonne, jak i kosztowne, oraz stanowi poważne obcią-
żenie działu IT, szczególnie biorąc pod uwagę dzisiej-
sze środowisko, w którym zagrożenia ze strony złośli-
wych kodów rozwija się szybciej niż kiedykolwiek wcze-
śniej. Rozwiązania VA / VM często wymagają zdolności
sprawdzania, czy dane skany są kompletne, a następ-
nie do sortowania „fałszywych trafień”. Przy tak znacz-
nych inwestycjach, wymaganych do spełnienia przez or-
ganizację do każdorazowej oceny stanu sieci, zniechę-
ca i wręcz uniemożliwia to prowadzenie częstych audy-
tów, które są podstawą wykrywania nowopowstałych luk
w zabezpieczeniach..

Zespoły ochrony przedsiębiorstwa


Ocena bezpieczeństwa w firmie wymaga odpowied-
niego zespołu, który posiada aktualną, szeroko poję- Rysunek 2.

38 2/2011
Narzędzia do automatycznego audytu bezpieczeństwa

Utrzymanie odpowiedniego poziomu kompetencji tech- Przyszłość narzędzi służących ocenie


nicznych w badaniu podatności przedsiębiorstwa wyma- bezpieczeństwa sieci
ga wielodyscyplinarnego zespołu, dobrze zorientowane- W związku z ciągłym pojawianiem się setek nowych
go w niezliczonych kombinacjach sprzętu i oprogramo- luk w zabezpieczeniach systemu operacyjnego i apli-
wania wykorzystywanego w sieci. Tylko nieliczne organi- kacji każdego miesiąca, testowanie podatności stało
zacje mogą sobie na to pozwolić, aby poświęcić zasoby się opcją niezbędną, wymagającą dużej powtarzalności.
niezbędne do skutecznego wykonywania tych działań. Dlatego najwłaściwszym rozwiązaniem jest zautomaty-
Dla wszystkich organizacji utrzymanie wykwalifikowane- zowane narzędzie do skanowania podatności sieci, da-
go zespół bezpieczeństwa jest trudne i przede wszyst- jące możliwość jego zarządzania przez osoby bez spe-
kim niezwykle drogie. To często wyjaśnia, dlaczego w tak cjalnych kwalifikacji. Dzisiejszym sieciom biznesowym
wielu firmach stosuje się konsultantów firm trzecich.. potrzeba dwóch rodzajów oceny usterki: analiza posta-
wy migawki bieżących sieci i ocena wszelkich
zmian w środowisku na żądanie. W niektó-
rych środowiskach może wymagać tygodnio-
wej (lub nawet codziennej) częstotliwości ba-
dań ze względu na wartość chronionych zaso-
bów i rosnącą złożoność sieci oraz prędkość,
z jaką nowe luki są wykorzystywane.
Weźmy pod uwagę, że złożoność sieci i po-
łączeń stale się zwiększa. Liczba luk odkrywa-
nych na dobę i szybkość, z jaką wykorzystują
możliwości uruchomienia szkodliwego kodu
wzrosła. Przeprowadzenie oceny wrażliwo-
ści i bezpieczeństwa sieci rocznie, co dwa la-
ta lub nawet co kwartał nie jest już wystarcza-
jącą strategią ograniczania ryzyka dla dzisiej-
szych dobrze chronionych sieci.
Podobnie, problem z utrzymaniem pozio-
mu zabezpieczeń do aktualnych luk jest obec-
nie wysoce specjalistycznym zadaniem, któ-
re może i powinno być przypisane do dedy-
kowanego rozwiązania posiadającego funkcję
Rysunek 3. aktualizacji automatycznej dla nowych zagro-
żeń i okresowego skanowania na podstawie
wstępnie opracowanego harmonogramu.

Kilka faktów na temat narzędzi


do automatycznego audytu
bezpieczeństwa

1. Urządzenie w pełni zautomatyzowane


2. Wiele z nich posiada własny, samo-
dzielny system instalacyjny
3. Przykładowe funkcje urządzeń rozmiesz-
czonych w sieci obejmują:

• Pokazują zarządzanie informacjami


• Przedstawiają skanowanie serwerów
• Skanują do sieci bezprzewodowych
(802.11a/b/g/n, GPRS, Bluetooth)
• Odkrywają, mapy i punkty dostępu bez-
przewodowego
• Nie wymagają specjalnych uprawnień lub
instalacji oprogramowania, co daje dokładny
Rysunek 4. obraz z sieci

www.hakin9.org 39
BEZPIECZNA FIRMA

Rysunek 5. Przykład wykrycia podatności o wysokim ryzyku

• W teoretycznie maksymalnej wydajności, skanowa- ganie tajnych informacji, oraz w stanie wysokiego
nie całej sieci zajmuje mniej niż 30 minut ryzyka
• Kontrola obciążenia sieciowego umożliwia skanowa- • Dokładne dane dotyczące oceny podatności zwięk-
nie bez zakłóceń użytkowników sza zaufanie i reputację firmy
• Analizy i badania zagrożenia sieci, zapewniają
4. Wiele posiada Interface Zarządzania i opcji konfi- możliwość skupienia się na tych najbardziej kry-
guracyjnych, które pozwalają na: tycznych, zapobiegając atakom
• Znaczące wyniki, w tym działania naprawcze
• Całkowite zarządzanie urządzeniem skanowania, umożliwiają bardziej skuteczne rozwiązywania
prosty w użyciu interfejs www problemów
• Zarządzanie wieloma serwerami skanowania z jed- • Termin realizacji prowadzone przez konsultanta na-
nej lokalizacji rażają przedsiębiorstwo w czasie między skanowa-
• Kontrola każdego skanowania konfiguracji serwera niami
w rozproszonym systemie zarządzania • Bieżące koszty niezbędne do utrzymania takiego
• Możliwość tworzenia wielu użytkowników i przypisy- samego poziomu bezpieczeństwa sieci są niższe ze
wania im kompetencji względu na sposób zautomatyzowany i terminowy,
• Skanowanie określonych adresów IP, przeglądanie w którym można przeprowadzić oceny i działania
raportów skanów, planowanie nowych itp.
• Podsumowanie stwierdzonych luk według numerów Podsumowując, przeprowadzanie automatycznej
IP urządzeń sieciowych (Rys. 1) oceny zagrożenia w sposób bardziej systematyczny
• Podsumowanie stwierdzonych luk według usług sie- zmniejsza szansę wykorzystania niewykrytych podat-
ciowych (Rys. 2) ności. Ręczne testy bezpieczeństwa są z natury prze-
• Generowanie raportów porównawczych (nowy z po- starzałe, a w momencie dostarczania raportu, raport
przednim), co pozwala śledzić zmiany w stanie za- ten już jest nieaktualny. Automatyczny proces ciągłego
bezpieczeń sieci audytowania, pojawiających się alertów i jakości wy-
ników raportu wzmacnia poziom bezpieczeństwa in-
5. Każdy raport zawiera wykresy opisujące ryzyko formacji. Zwrot z inwestycji następuje bardzo szybko
i rekomendacje działań naprawczych, przykładowe ze względu na ciągłe aktualizacje oraz nowe techniki
fragmenty (Rys. 3, Rys. 4). oceny zagrożeń. Zapewnia to szybsze i skuteczne re-
agowania na incydent.
Zabezpieczanie sieci jest inwestycją
zwrotnych korzyści
Korzyści wynikające z zastosowania automatycznego
audytora podatności są przedstawione poniżej:
MACIEJ KARMOLIŃSKI
• Bieżąca informacja na temat zagrożeń w sieci, po-  WICEPREZES ZARZĄDU PROCERTIV SP. Z O.O.
kazująca obszary najbardziej podatne na wycią- Kontakt do autora: m.karmolinski@procertiv.pl

40 2/2011
Systemy wspomagające zarządzanie polityką bezpieczeństwa

Systemy wspomagające
zarządzanie polityką
bezpieczeństwa
„Gartner szacuje, że 70% przypadków naruszania polityki bezpieczeństwa
prowadzących do powstawania strat w przedsiębiorstwie jest wynikiem
działań własnych pracowników.... Bez wątpienia, przedsiębiorstwa
muszą odnaleźć równowagę pomiędzy otwartym dostępem do danych,
a przerośniętym systemem bezpieczeństwa mogącym szkodzić ich interesom.”
John Pescatore, Gartner Inc.
TriGeo SIM bezpieczeństwo nie znosi przestojów) i w zasadzie nie-
realne. Z pomocą przychodzą rozwiązania typu SIEM.
Przecież w dzisiejszych czasach analiza zagrożeń i ak-
tywne reagowanie na te zagrożenia w czasie rzeczywi-
stym to nie luksus - to konieczność.

Polityka bezpieczeństwa IT w czasie rzeczywistym Co tak na prawdę oznacza SIEM?


System TriGeo, produkowany przez amerykańską fir-
Jak się ma Twoja sieć? mę o tej samej nazwie, której platynowym dystrybuto-
rem na Polskę jest Xnet Communications Polska Sp.
z o.o., jest właśnie rozwiązaniem z obszaru SIEM czy-
li Security Information and Event Management (zarzą-
dzanie zdzarzeniami i informacjami bezpieczeństwa).
Systemy typu SIEM charakteryzują się pewnym zakre-
sem funkcjonalności dostarczanym przez różnych pro-
ducentów w inny sposób. Podstawowym zagadnieniem
produktów SIEM jest realizacja analizy w czasie rzeczy-
wistym alertów bezpieczeństwa generowanych przez
infrastrukturę informatyczną rozumianą jako urządze-
nia sieciowe, w tym stacje robocze i serwery oraz apli-
kacje. Aby dokonywać wiarygodnej analizy pod kątem
bezpieczeństwa, która będzie przedstawiała rzeczywi-
stą wartość techniczną i biznesową, system musi posia-
Bezpieczeństwo sieci korporacyjnej to wiele systemów dać mechanizmy gromadzenia, składowania, przetwa-
i urządzeń (zapory, programy antywirusowe i antyspa- rzania, korelowania danych i wreszcie odpowiedniej ich
mowe, IDS, IPS, UTM). Każdy element infrastruktu- prezentacji. Nie można też zapominać o stałym monito-
ry prowadzi swój własny rejestr zdarzeń. Dziesiątki pli- ringu elementów infrastruktury i systemie alarmowania
ków, setki wpisów na godzinę. To tu tak naprawdę spo- i raportowania.
czywa wiedza o szczelności systemu. Tu jest zapisa-
ne bezpieczeństwo sieci korporacyjnej. Wystarczy tylko
czytać wszystkie pliki z rejestracją zdarzeń – stale i na
bieżąco – i umiejętnie powiązać wpisy z różnych zaso-
bów. Arcyciekawe zadanie dla administratorów siecio-
wych - żmudne, czasochłonne, na zaraz (bo przecież

www.hakin9.org 41
KLUB TECHNICZNY

Dlaczego TriGeo? operacyjnych Windows, Linux, MacOSX, Solaris. Inte-


TriGeo to odpowiedź na wewnętrzne zagrożenie, ob- gracja polega na instalacji serwisu agenta i konfiguracji
niżanie poziomu bezpieczeństwa przez pracowników, sensorów czytających dane z odpowiednich logów syste-
próby nieautoryzowanego logowania, wykorzystanie mu operacyjnego oraz zainstalowanych aplikacji. Druga
niebezpiecznych lub niedozwolonych aplikacji, a tak- struktura to system bezagentowy, przeznaczony przede
że kombinacji niebezpiecznych działań. System, dzię- wszystkim dla urządzeń sieciowych, na których nie ma
ki wbudowanym funkcjom analizującym i korelującym możliwości zainstalowania serwisu agenta czyli switche,
zdarzenia w czasie rzeczywistym, przekazuje informa- routery, firewalle sprzętowe. TriGeo jest w stanie osbłu-
cje o ewentualnych zagrożeniach na bieżąco, a nawet żyć infrastrukturę IT składającą się nawet z 5000 koń-
wyprzedza i blokuje niebezpieczne działania. Pozwa- cówek w ramach obu struktur. W architekturze agento-
la stworzyć ramy analizy behawioralnej na poszczegól- wej dane z logów są przechwytywane przez sensory Tri-
nych końcówkach infrastruktury sieciowej. Do admini- Geo jeszcze przed zapisaniem w pliku z logiem na dys-
stratora sieci trafia zagregowany i przeanalizowany ra- ku komputera, co zabezpiecza przed manipulacją i za-
port z logów z wszystkich urządzeń sieciowych, a nie ol- pewnia działanie w czasie rzeczywistym. Zdecydowaną
brzymia ilość nieinterpretowanych plików. Daje to moż- zaletą struktury agentowej jest komunikacja szyfrowana
liwość koncentracji na kluczowych elementach korpora- przez SSL, przyjazna dla przepustowości, niezawodna i
cyjnej polityki bezpieczeństwa sieci. gwarantująca kompletność danych. W przypadku archi-
tektury bezagentowej sensory TriGeo przechwytują lo-
Jak to działa? gi nadesłane przez urządzenia sieciowe do syslogu Tri-
System TriGeo analizuje działanie elementów sieci na Geo. Dane zebrane w ramach obu struktur, trafiające do
podstawie informacji z niej pozyskanych. Dzieje się to serwera TriGeo, są agregowane i korelowane w pamię-
w ramach dwóch struktur. Pierwsza struktura oparta jest ci RAM, co zapewnia realne działanie w czasie rzeczywi-
o architekturę agentową, przeznaczoną dla systemów stym, następnie dla celów archiwalnych zostają zapisa-

42 2/2011
Systemy wspomagające zarządzanie polityką bezpieczeństwa

ne w bazie danych serwera TriGeo. Zebrane i gromadzo- lezności od poziomu zagrożenia i wartości danych. Sys-
ne dane podlegają anlizie na podstawie predefiniowa- tem TriGeo to jednak przede wszystkich rozwiązanie,
nych lub konfigurowanych na bieżąco reguł. System Tri- które ma wspierać działania administratorów korpora-
Geo jest dostarczany z ponad 200 predefiniowanymi re- cyjnych sieci, a co za tym idzie zastosowano w nim sze-
gułami. Reguły podstawowe poszukują wystąpień okre- reg narzędzi interakcji oraz usprawniających i ułatwiją-
ślonych zdarzeń. Część z nich domyślnie jest włączona cych pracę, głównie poprzez zestaw ponad 200 predefi-
dzięki czemu TriGeo od razu po uruchomieniu może być niowanych reguł korelacji oraz system automatycznego
gotowe do użytku. Ciekawym rozwiązaniem jest tutaj ze- alarmowania odpowiednich osób o zaistniałych zagro-
staw reguł określanych jako NATO5. Są to rozbudowane żeniach przy pomocy różnych kanałów komunikacyj-
reguły stworzone na podstawie doświadczeń klientów, nych: email, telefon komórkowy, pager lub PDA.
którzy chcieli podzielić się nimi z TriGeo i przez to zostały
umieszczone w kolejnych unowocześnieniach systemu.
Nazwa pochodzi od piątego artykułu NATO mówiącego
że „napaść na jednego z członków NATO jest uznawa-
na za napaść na wszystkich członków sojuszu”. Regu-
ły NATO5 poza wyszukiwaniem wystąpień określonych
zdarzeń, mają najczęściej skonfigurowane akcje pozwa- Uznany produkt
lające na podejmowanie przez system TriGeo automa- TriGeo jest cenionym rozwiązaniem na rynku. Ugrun-
tycznej reakcji na wykryte zdarzenia. Może to oznaczać towało swoją pozycję jako Lider 2007 Gartner Magic
powiadomienie wybranych administratorów, ostrzeżenie Quadrant dla SIEM, i corocznie zdobywa najcenniej-
użytkownika, wylogowanie, blokowanie adresu IP, odci- sze nagrody, między innymi 2010 SC Magazine Reader
nanie od sieci, zatrzymanie lub uruchamianie procesów Trust Award, 2007 Gartner Best Execution of a Midmar-
czy odcinanie portów. Każdą z reguł można po prostu ket IT Solution oraz SC Magazine Best Buy of 2010,
włączyć, dowolnie modyfikować i kopiować wykorzystu- 2009, 2008, 2007, 2006 i 2005 for Event Management.
jąc jako szablony dla nowych reguł. Administrator TriGeo Rozwiązanie ma wielu klientów na kluczowych ryn-
ma również możliwość tworzenia zupełnie nowych reguł, kach takich jak, usługi finansowe, służba zdrowia, in-
spełniających jego wymagania. stytucje rządowe i media, ponieważ pozwala wypełnić
firmom narzucone z góry regulacje prawne dotyczące
standardów bezpieczeństwa. Każda firma, która prze-
chowuje rozbudowane bazy danych o klientach podle-
ga wielu regulacjom: PCI, GLBA , NCUA, FDIC, HIPAA,
SOX... TriGeo jest systemem, który w sposób rzeczywi-
sty, a nie tylko na papierze, rozwiązuje problem wywią-
zywania się z obowiązków prawnych jakie niosą ze so-
bą wymienione regulacje.
Kluczowe cechy
TriGeo posiada bardzo rozbudowany i zaawansowany Co tak na prawdę wyróżnia TriGeo?
zestaw funkcjonalności. Mówimy tu przede wszystkim Raport Gartner Magic Quadrant 2010 określa system Tri-
o analizie i korelacji logów, która jest typowym atrybu- Geo jako łatwy we wdrożeniu i zapewniający bogaty za-
tem systemów SIEM. W tym jednak przypadku system sób już zintegrowanych funkcji SIEM, predefiniowanych
pozwala na tworzenie nieliniowych, wielowątkowych reguł korelacji i raportów w pełni zaspokajających po-
korelacji zdarzeń w czasie rzeczywistym na podsta- trzeby klientów. Raport Gartnera za zdecydowaną zaletę
wie monitoringu wszystkich znanych protokołów trans- systemu uznaje agenta TriGeo dla Windows, który mo-
misji danych. Dodatkowo dostarczono administratorom że być skonfigurowany pod kątem aktywnego powiada-
systemów mechanizmy aktywnego reagowania. Dzię- miania. Rozwiazanie umożliwiające kontrolę portów USB
ki temu obsługa zdarzeń przy pomocy funkcji automa- oraz monitoring offline jest również chwalone – znacznie
tycznej notyfikacji może być wykorzystywana w zależ- poszerza zakres ochrony i monitoringu. Poza elementa-
ności od definicji reguł. Autetem systemu jest dostęp mi opisanymi przez raport GMQ na szczególną uwagę
do kilkudziesięciu predefiniowanych wzorców aktywne- zasługuje bardzo szeroka i rozbudowana lista kompa-
go reagowania. Bardzo istotną zaletą systemu TriGeo tybilnych urządzeń sieciowych, czyli tych elementów in-
jest również możliwość definiowania i generowania wy- frastruktury, na które nie można nanieść sieci agentów.
specjalizowanych raportów na pdstawie klasyfikacji in- Okazuje się, że obszar współpracujących z TriGeo urzą-
cydentów, przeznaczonych dla osób z różnego szcze- dzeń jest znacznie większy niż jednorodne rozwiązania
bla w organizacji. Same incydenty, informacje i zdarze- jednego producenta, co sprawia, że rozwiązanie świetnie
nia mogą zostać okreslone przez wagi i priorytety w za- sprawdza się w środowiskach heterogenicznych. Zdecy-

www.hakin9.org 43
KLUB TECHNICZNY

dowanie wyróżniającą cechą TriGeo jest funkcjonalność biorca nie ma absolutnie żadnej udokumentowanej in-
Drag&Drop, która bardzo usprawnia pracę i ułatwia za- formacji na temat tego co było robione, gdzie, przez
rządzanie intuicyjnym systemem. Jednak największą za- kogo, kiedy i co najważniejsze jak. Dzięki systemowi
letą systemu, świadczącą o jego sile jest realizacja ana- ATOS znamy odpowiedzi na te pytania. Rozwiązanie
lizy w oparciu o przetwarzanie zdarzeń już na poziomie działa jak brama rejestrująca wszelkie działania mające
pamięć RAM, a nie w bazie danych, co sprawia że sys- miejsce w wewnętrznej infrastrukturze IT zabezpiecza-
tem potrafi dokonywać korelacji w czasie rzeczywistym. jąc zdalne sesje dostępu, monitorując pracę i zapisując
Więcej informacji o produkcie na www.trigeo.pl jej przebieg. Na szczególną uwagę zasługują zaawan-
sowane funkcje maskowania haseł, zapisywania filmów
ATOS z sesji i możliwość skryptowania zadań.
W rezultacie otrzymujemy zaawansowany system kon-
troli outsourcingu IT. Wiemy kiedy został dokonany ser-
wis, jak długo trwał, co zostało zrobione i na jakich ma-
szynach. System ATOS to przede wszystkim gwarancja
bezpieczeństwa. Możemy określić gdzie outsourcer mo-
że się dostać, mamy pełną kontrolę nad chwilowym do-
stępem i ukrywamy hasła systemowe udostępniając je-
dynie maski. System ATOS zezwala na wielodostęp,
dzięki czemu wielu specjalistów może pracować nad
Bezpieczeństwo i rewizja działań IT z szyfrowaniem jednym problemem co sprzyja zadaniowemu łączeniu
i rejestrowaniem sesji zdalnego dostępu
System ATOS, stworzony przez firmę Xnet
Communications, to odpowiedź na coraz
większe zapotrzebowanie korporacji w ob-
szarze outsourcingu IT. Jest to doskonałe
uzupełnienie systemu TriGeo w obszarze za-
rządzania polityką bezpieczeństwa IT. Pod-
czas gdy TriGeo jest swego rodzaju strażni-
kiem sieci, obserwuje środowisko, poszuku-
je anomalii, ATOS stanowi grupę reagowania
– ochrania zasoby korporacyjne, uszczelnia
bezpieczeństwo, maskuje hasła systemowe,
dostarcza narzędzia do rozwiązania proble-
mu, dokumentuje wykonane działania w po-
staci filmu i pozwala udowodnić, że reakcja
była zgodna z polityką bezpieczeństwa.

sił. Jest to bardzo przydatna funkcjonalność szczególnie


w przypadku konieczności integracji systemów podczas
fuzji, przejęć czy reorganizacji zasobów.
Jakie uzyskujemy korzyści? Przede wszystkim doku-
mentację – pełen zapis interakcji człowieka z maszyną.
Dokumentacja pozwala tworzyć bibliotekę wiedzy – skła-
dować know-how, wyszukiwać i odtwarzać rozwiązania.
Kolejną zaletą systemu ATOS jest możliwość tworzenia
skryptów w języku LUA. Takie rozwiązanie pozwala na
automatyzację zadań powtarzalnych, tworzenie makr do
delegowania zadań oraz dystrybucję wiedzy w organiza-
cji. Bogaty zestaw statystyk umożliwia analizę zaangażo-
wania zasobów, występowania incydentów i ich charak-
Wyobraźmy sobie sytuację w której mamy dostawcę teru. Koniec końców, posiadamy system, który optyma-
usług IT i korporację, która takich usług poszukuje. Zo- lizuje koszty, daje argumenty do dyskusji o efektywności
staje podpisana umowa SLA czyli wydanie zgody do- SLA, skraca czas rozwiązywania problemów i dostarcza
stępu do wewnętrznej infrastruktury IT korporacji. Jed- dane do planowania inwestycji.
nak podczas świadczenia usług okazuje się, że ich od- Więcej informacji o produkcie na www.xdsnet.pl/atos/

44 2/2011
Odzyskiwanie danych po polsku, czyli jak nie stracić danych odzyskując je

Odzyskiwanie danych po
polsku, czyli jak nie stracić
danych odzyskując je
Artur Skrouba

Istnieją sytuacje, w których tracimy dane. Cenne dane.


Tracimy je na ogół z własnej głupoty, z braku wiedzy lub
z zaniedbania. Nasz twardy dysk przestał działać.
W takich momentach musimy zgłosić się do specjalisty od
odzyskiwania danych.

K
to to jest: specjalista od odzyskiwania danych? scalony – teoretyczny koszt odzyskania danych to 200
Jaką szkołę trzeba skończyć bądź na jakim wy- euro. Teoretyczny bo danych odzyskać się już nie da.
dziale studiować, aby posiąść taką wiedzę? Mojżesz a potem Henio „złota rączka” zniszczyli plate-
Otóż nie ma takiej szkoły (przynajmniej w Polsce) ani ry i nadpisali głupotami obszar serwisowy dysku. Ko-
takiego kierunku. Więc kto może zostać takim specja- niec. Tym razem definitywny.
listą? I tu dotykamy sedna sprawy. Inny przykład.
Po utracie cennych danych bardzo często ulega- Kolejny przypadek. Utraciliśmy dane w wypadku (no-
my panice. W konsekwencji każdy kto stwierdzi, że men omen) upadku twardego dysku. Zgłaszamy się do
może nam pomóc jawi się nam jako biblijny Mojżesz, profesjonalnej firmy. Przynajmniej tak wygląda. Piękne
który może nas przeprowadzić przez wzburzone mo- i okazałe laboratorium. Podpisujemy dokumenty i spo-
rze targających nami wątpliwościami: odzyskamy da- kojnie wracamy do codziennych zajęć. Po kilku dniach
ne czy nie ? I niestety – w znakomitej większości przy- cisza. W końcu dostajemy telefon. Dostajemy informa-
padków tenże zbawca wylewa na nas nie kubeł zim- cje, że jest to wyjątkowo ciężki przypadek. Koszt od-
nej wody, ale faktycznie całe Morze Czerwone. Dia- zyskania danych to prawie kwota pięciocyfrowa. Bar-
gnoza jest bezlitosna – danych odzyskać się nie da. dzo drogo. Chyba za drogo. Spróbujemy w innej fir-
Tak po prostu. mie. Chcemy odebrać dysk. Okazuje się, że musimy
Czy aby na pewno? Może ktoś inny da radę? Ale kto? zapłacić za wykonaną analizę i rezygnację. Są także
Kolejny znajomy? A może ktoś, kto już odzyskał kiedyś koszty za zużyte części. Razem prawie tysiąc złotych.
dane. Ktoś polecony. Ok, zgadzamy się na wszystko Trudno – płacimy. Chcemy odzyskać dysk. Idziemy do
– tym razem musimy już zapłacić. Rozmawiamy tele- innej firmy – tam specjaliści rozkładają bezradnie rę-
fonicznie – Pan Henio (imię umowne) rzuca bardzo fa- ce. Dysk jest tak zniszczony, że danych nie można od-
chowymi terminami, których nie rozumiemy ni w ząb. zyskać. Idziemy do innej firmy. I do kolejnej. Wszędzie
Ale co tam, wiadomo fachowiec chyba zna się na rze- to samo – dane są nie do odzyskania. Niektóre firmy,
czy. Po oddaniu dysku spokojnie czekamy na telefon słysząc w jakiej firmie byliśmy na początku nawet nie
z dobrymi wiadomościami. Zaczynamy się niepokoić. chcą przyjmować dysku do analizy. Z góry wiedzą, że
W końcu wyrok – dane są nie do odzyskania . danych się już nie odzyska. Załamani wracamy do fir-
Odbieramy dysk – elektronika polutowana, plom- my, w której byliśmy na początku. Musimy odzyskać te
by zdjęte, dysk otwarty. Bez cienia większych na- dane. Zgadzamy się na kwotę, która z początku wyda-
dziei zwracamy się do profesjonalnej firmy zagranicz- wała nam się za wysoka. Niestety – słyszymy, że dysk
nej (np. Seagate w Berlinie). Po kilku dniach dosta- uległ znacznemu pogorszeniu w wyniku pracy innych
jemy wyniki analizy – są porażające. Dobra informa- osób i koszt odzyskania danych wzrasta do kilkunastu
cja to taka, że w dysku uszkodzeniu uległ jeden układ tysięcy złotych.

www.hakin9.org 45
FELIETON

Dwa różne przypadki – pierwszy, opisujący bardzo


częsty przypadek podejmowania próby odzyskania
danych przez osoby nie mające jakiegokolwiek bądź
wystarczającego o tym pojęcia. Wśród większości
osób pokutują fałszywe legendy na temat zarobków
osób zajmujących się tym w sposób zawodowy. I chy-
ba, dlatego powstają, jak grzyby po deszczu firmy re-
klamujące się jako „profesjonalne” podmioty oferujące
usługi odzyskiwania danych i to w każdym zakresie.
A tak naprawdę nie mające pojęcia o większości stan-
dardowych terminów występujących w tej branży.
Drugi przypadek – to funkcjonowanie firmy, która de-
likatnie mówiąc jest nieuczciwa (mówiąc wprost – trą-
ci kryminałem). W praktyce taka firma wcześniej czy
później źle skończy – rynek szybko zweryfikuje ją ne- • wybierajmy firmy posiadające wyróżnienia w po-
gatywnie (o ile nie zrobią tego wcześniej organy ści- staci dyplomów, medali itp.,
gania). • unikajmy firm, które podają skuteczność swoich
Z drugiej strony na polskim rynku funkcjonuje kil- usług na poziomie zbliżonym do 100% (np. 95%)
ka firm z tradycjami, mającymi odpowiedni warsztat, - średni poziom światowych potentatów w tej bran-
know how oraz mogącymi się poszczycić wieloma ty- ży wynosi max. niecałe 80%,
siącami przypadków skutecznego odzyskania danych. • szukajmy firm, które wykonują wstępną analizę od
Są to na ogół firmy, mające udokumentowane osią- ręki i bez żadnych opłat – umożliwia to podjęcie
gnięcia w postaci medali, dyplomów czy innych wyróż- decyzji bez pozostawiania nośnika w nieznanym
nień. Metody ich działań są przejrzyste i sprowadza- miejscu.
ją się do prostej zasady: są dane – jest zapłata. Dzię- • w mniejszych miejscowościach nie szukajmy filii
ki swojej wiedzy mogą sobie na to pozwolić – mają dużych firm – jeżeli już, to kontaktujmy się bezpo-
umiarkowane ceny i dużą skuteczność. średnio z laboratoriami,
W naszym przypadku ważne jest to, aby nie wybrać • domagajmy się rozmowy ze specjalistą – wybie-
złej firmy jako podmiotu mogącego zniszczyć nasze rajmy firmy, których specjalista wykaże zaintere-
dane lub po prostu nas okraść. sowanie na temat tego co się stało, jakie były oko-
Poniżej przedstawiamy kilka podstawowych zasad, liczności awarii i jej objawy – po prostu chętnie
którymi powinniśmy się kierować przy wyborze firmy, będzie rozmawiał na ten temat i będzie w stanie
mającej odzyskać nasze cenne dane: przybliżyć możliwy powód awarii oraz określić ter-
min i koszt odzyskania danych,
• zawsze czytajmy regulaminy, zamówienia bądź • unikajmy firm, które są zbiurokratyzowane – te-
umowy przyjęcia zleceń – szczególnie pod kątem go typu firmy nastawione są z reguły na masową
ukrytych dodatkowych opłat, usługę (przez co nie zawsze dokładną),
• sprawdzajmy doświadczenie firmy poprzez wiek • unikajmy, jak ognia firm, które podają ten sam fi-
(data wpisu do KRS, wiek domeny), zyczny adres laboratorium – na ogół oznacza to
• próbujmy zasięgnąć opinii wśród znajomych, tzw. farmę firm, które ściśle kooperują ze sobą
szczególnie wśród osób, pracujących w działach w celu np. podbijania ceny.
IT innych firm (opinie z for internetowych traktujmy
z pewną ostrożnością ze względu na duży ruch Oczywiście przestrzeganie powyższych zaleceń nie
osób piszących pod zamówienie i robiących dobry w każdym przypadku nam zagwarantuje, że zawsze
bądź zły PR – szczególnie dla konkurencji), trafimy na kogoś rzetelnego i dysponującego stosow-
• sprawdzajmy cenniki – ceny w stylu „od 300 pln” ną wiedzą. Jednak te szanse zwiększą się do maksi-
bez podania cen maksymalnych są dyskwalifiku- mum możliwości.
jące,
• wybierajmy firmy, gdzie wstępna analiza jest bez-
warunkowo bezpłatna – w innym przypadku firma,
oferująca analizę bezpłatną warunkowo w prakty-
ce może nic nie robić, tylko przyjmować nośniki
i stosować zaporowe ceny za ich ewentualne od-
zyskanie – po czym żyć z samych opłat za rezy- ARTUR SKROUBA
gnację, Kontakt z autorem przez Redakcję

46 2/2011
Zakończenie

Słowo
kończące
Drodzy Czytelnicy,

Dziękujemy za lekturę naszego magazynu.

Jeśli macie sugestie odnośnie tematów, które chcielibyście, żeby ukazały się w kolejnych
numerach, to prosimy o kontakt z Redakcją.

Aktualne informacje o najbliższym numerze znajdziesz na naszej


stronie www.hakin9.org/pl.

Następny numer dostępny on-line


ostatniego dnia lutego 2011

www.hakin9.org 47