Internet początkowo miał służyć przede wszystkim środowisku akademickiemu i służbom wojskowym. Jednak w ostatnich latach nastąpił jego dynamiczny rozwój i szybko został rozpowszechniony na cały świat. Wraz z rozwojem i rozprzestrzenianiem się Internetu rozwinęła się także tzw. „internetowa przestępczość”.
Każdy z nas, kto ma w domu komputer podłączony do sieci, ale nie odpowiednio zabezpieczony prędzej czy później, w mniejszym lub większym stopniu stanie się jej ofiarą.
Najprostszą formą ataku z Internetu są tzw. „robaki”. Robaki szukają innych komputerów z dziurami, żeby się rozmnażać i rozprzestrzeniać – głównie za pośrednictwem poczty elektronicznej. Nie są one zbyt niebezpieczne, ponieważ nic nie niszczą - ich głównym celem istnienia jest zaśmiecanie sieci. Niektóre z nich, co jakiś wyświetlą nam na ekranie jakiś głupi komunikat, inne zablokują np. program do komunikacji w sieci…
Kolejną formą ataku są konie trojańskie. Rozmnażają się tak samo jak robaki, tyle, że ich możliwości są dużo bardziej rozwinięte. Dzięki koniom trojańskim, niepowołane osoby mogą odczytywać dane z naszego dysku, np. numery i hasła do kont bankowych, monitorować, na jakie strony wchodzimy, zapisywać to, co wstukujemy na klawiaturze. Do tego mogą przejąć kontrole nad naszym komputerem, przeprowadzać ataki DDoS, wysyłać SPAM – wtedy nasz komputer staje się tzw. „zombie”.
Istnieje wiele sposobów, jakimi niepożądane oprogramowanie może się dostać do naszego komputera, opierają się one przede wszystkim na wykorzystaniu:
- wad protokołu TCP/IP i protokołów pokrewnych (DNS, SMTP);
- błędów w oprogramowaniu systemowym.
- błędów administratora lub użytkownika systemu.
Protokół TCP/IP nie zawiera wbudowanych mechanizmów szyfrowania przesyłanych danych. Umożliwia to przechwytywanie danych przez osoby trzecie, zwłaszcza w przypadku mediów transmisyjnych takich jak Ethernet, funkcjonujących na zasadzie magistrali. Czynione są obecnie próby włączenia szyfrowania (enkrypcji) danych jako opcji w nowej wersji protokołu IP (IPv6); tymczasowym rozwiązaniem jest stosowanie szyfrowania nie w warstwie transmisyjnej (TCP/IP), lecz na poziomie aplikacji.
Innym najczęstszym sposobem naruszenia bezpieczeństwa w sieci jest pozyskanie dostępu do cudzego konta na komputerze pracującym w systemie wielodostępnym (np. Unix) przyłączonym do sieci Internet. Cel ten można osiagnąć między innymi wykorzystując błędy w oprogramowaniu systemowym. Typowym przykładem jest błąd odkryty m.in. w systemie AIX (wersja Unixa firmy IBM), umożliwiający dowolnemu użytkownikowi na dowolnym komputerze w sieci Internet dostęp do konta "root" (tzn. administratora systemu) każdego komputera w sieci Internet pracującego pod systemem AIX. Tego typu naruszenie bezpieczeństwa tradycyjnie określa się "włamaniem" do komputera. Włamanie na konto administratora jest szczególnie niebezpiecznym przypadkiem, umożliwia bowiem włamywaczowi dostęp do danych wszystkich użytkowników danego komputera, a także ułatwia zatarcie w systemie śladów włamania.
Producenci poszczególnych systemów operacyjnych starają się tworzyć szczelne systemy, jednak zawsze znajdzie się jakaś „dziurka” i wtedy producenci na ogół udostępniają (najczęściej za pośrednictwem Internetu) poprawki do swoich produktów, usuwające poszczególne błędy. Nawet jednak po instalacji wszelkich poprawek nie ma całkowitej gwarancji "szczelności" systemu.
Oprócz nieszczelnych systemów, innym powodem włamań jest najprościej mówiąc ludzka głupota. Większość komputerów wielodostępowych, dostęp do konta użytkownika ma chroniony hasłem. Hasło to nie powinno być zbyt proste do odgadnięcia, np. gdy użytkownik nazywa się Kazimierz Nowak, nie powinien za hasło podawać np. „kaziu”. Hasło powinno składać się przynajmniej z sześciu znaków i z czego przynajmniej dwie powinny być liczbami. Taka łatwomyślność jest przyczyna większości włamań.
Przykłady, przyczyny i rodzaje innych zagrożeń związanych z funkcjonowaniem sieci i podłączeniem do Internetu:
• Sniffing (podsłuch transmisji danych) - używając programów typu analizator pakietów można "podsłuchać" transmisję TCP, taką jak np. sesje TELNET czy FTP, gdzie wszystkie wymieniane dane to "gołe" pakiety i dzięki temu przechwycić hasło wymagane przy logowaniu się, po przechwyceniu hasła można wejść na konto użytkownika i spróbować wykorzystać np. exploita dzięki któremu spodziewamy się dostać prawa administratora. Warto zauważyć, że programy tego typu korzystają z "promiscous mode", a więc aby uruchomić taki program należy już mieć gdzieś prawa administratora systemu (najlepiej w domenie gdzie znajduje się obiekt naszego ataku).
• Spoofing (podszywanie się pod legalną "zarejestrowaną" maszynę) - podszywanie ma na celu ominięcie zabezpieczeń związanych z dostępem do usług tylko dla wybranych adresów, np. tylko lokalni użytkownicy mogą korzystać z usługi, która może okazać się niebezpieczną po udostępnieniu jej światu zewnętrznemu.
• Cracking (łamanie haseł z passwd metodą słownikową, lub też próbkowanie programu autoryzującego słowami z odpowiednio przygotowanych słowników) - są jeszcze systemy, gdzie "czyste" passwd można sobie skopiować przez TFTP, lub też po "zorganizowaniu" sobie konta zwykłego użytkownika skopiować passwd, i programem Crack z odpowiednią ilością słowników próbkować po kolei wszystkie konta. Można też próbkować w ten sposób sam program autoryzujący (np. w POP3), lecz jest to łatwe do wykrycia, ze względu na ruch generowany w sieci i obciążenie maszyny autoryzującej.
• Hijacking (przechwytywanie zdalnej sesji legalnego użytkownika systemu) - metoda przejęcia sesji użytkownika oparta o mechanizm połączeniowy protokołu TCP (3-way handshaking), na czym opiera się TELNET, oraz wygenerowanie odpowiedniego numeru sekwencyjnego. Forma ataku, którą trudno jest wykryć, a użytkownik, którego sesja jest przechwytywana, może zorientować się, że cos jest nie tak, po nagłym 'resecie' sesji, lub później przeglądając to co robił, programem 'history'. Administrator może rozpoznać tę formę ataku po wykryciu stanu DESYNCH połączenia, oraz lekko zwiększonej ilości pakietów TCP ACK w segmencie, zwiększa się także współczynnik utraty pakietów. Aby uchronić się przed tym rodzajem ataku, należy zrezygnować z TELNET'a na rzecz np. SSH, lub też zaimplementować KERBEROSA.
• Denial of Service (blokada usług świadczonych przez system) - przez wysyłanie niewłaściwie sformowanych pakietów, lub flood'owanie danego portu systemu, można spowodować jej zawieszenie, lub też zawieszenie całego systemu, wykorzystują błędy w implementacji obsługi gniazd (np. zbyt długie pakiety ICMP ) itp. Ratunkiem przed tego typu atakami są jedynie łatki na oprogramowanie, oraz zaopatrzenie się w odpowiednie narzędzia logujące zdarzenia.
Istnieje bardzo wiele rozwiązań zabezpieczenia się w sieci, oto niektóre z nich, moim zdaniem najistotniejsze:
1. Zainstalowany program antywirusowy z regularnie uaktualnianą bazą wirusów.
2. Zainstalowany firewall i instalowanie wszystkich łatek i uaktualnień do niego.
3. W programach pocztowych należy wyłączyć okienko podglądu wiadomości.
4. Nie wierz w oferty szybkiego i łatwego wzbogacenia się – najczęściej kryje się tam ukryty wirus lub koń trojański.
5. Zainstalowany program anty-spyware’owy.
6. Nie instalowanie programów nieznanego pochodzenia.
7. Czytanie komunikatów przeglądarki, a nie akceptowanie wszystkiego w ciemno.
8. Najszczelniejszym systemem operacyjnym jest obecnie Linux – warto go mieć w celu większego bezpieczeństwa.
9. Poprzez wszelkiego rodzaju komunikatory internetowe także możemy „złapać” jakąś infekcje.
10. Router z wbudowanym firewall’em – filtruje niebezpieczne pakiety.
Antywirusy i firewall’e obciążają w prawdzie nasz system, ale gwarantują prawie stuprocentową pewność, że nic nie „wejdzie” do naszego komputera, a jeżeli już wejdzie to na pewno nie wyjdzie – chroniąc przez to także innych użytkowników. Stosując powyższe zasady stajemy się odporni na ataki płynące z sieci – wirusy, trojany, robaki, itd. Jednak najsłabszym ogniwem w starciu z rozwijającą się techniką jest człowiek i nie pomogą żadne zabezpieczenia, jeżeli zapiszemy sobie hasło na karteczce i przykleimy do monitora…
