SLOVENSK PONOHOSPODRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Bezpečnosť operačných systémov Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 1

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Dnešné témy q Operačný systém q Charakteristiky OS q Funkcie OS q Členenie OS q Bezpečnosť OS q Oblasti riešenia IB q Riadenie prístupu q Na základe overenia používateľa q Prihláseného používateľa k systemovým zdrojom, prostriedkom q Bezpečnostné mechanizmy v OS q MS Windows q Linux/Unix Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 2

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačný systém § systémový softvér - funguje ako rozhranie medzi koncovým používateľom a počítačovým hardvérom Funkcie: § riadi a kontroluje činnosť hardvéru, § zabezpečujú komunikáciu medzi používanými technickými a softvérovými prostriedkami, § realizujú jednotlivé činnosti na základe požiadaviek používateľa. Je prostredím pre vykonávanie používateľských programov Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 3

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačný systém - služby § Správa procesov a procesora § Proces – bežiaci program s pridelenou operačnou pamäťou § Správa pamäte § Fyzická a virtuálna pamäť + Stránkovanie § Správa vstupno/výstupných zariadení § Komunikácia s V/V zariadeniami + Ovládače I/O zariadenia § Detekcia chýb a reakcia § Reakcia – odstránenie chyby s minimálnym dopadom na beh OS/aplikácií § Zaznamenávanie udalostí § Logovanie udalostí ( Windows – Event Viewer, Unix – syslog) § Separácia procesov - obmedzenie vzájomných interakcií aplikácii § Riadenie prístupu používateľov do systému § Riadenie prístupu používateľov k súborom, zariadeniam, údajom Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 4

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačný systém – komunikácia s koncovým používateľom Užívateľské rozhranie (user interface) Formy: § grafické užívateľské rozhranie (GUI, graphic user interface) § Užívateľsky prívetivé prostredie § Vizuálne oznamovanie realizovaných akcií, činnosti § Možnosť behu viacerých programov súčasne - multitasking § príkazový riadok (CLI, command line interface) § Manuálne zadávanie príkazov na príkazový riadok § Nutnosť ovládať príkazy OS § Príklad príkazový riadok v OS MS Windows C: WindowsSystem 32cmd. exe Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 5

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačný systém – charakteristické vlastnosti § Permanentný vývoj § Modularita § hierarchická štruktúra vrstiev § postupnosť zdola nahor Funkcia vrstvy § poskytovanie služieb vyšším vrstvám § každá vrstva interaguje s vrstvou nad a pod ňou. Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 6

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačné systémy - modulárna architektúra § MS Windows § Linux/Unix § OS Android § OS i. OS Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 7

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Operačné systémy - členenie Podľa typu zdrojového kódu: § OS s uzavretým kódom (komerčný, licencovaný, bez možnosti úprav) § OS s otvoreným kódom (voľne distribuovaný, s možnosťou úprav) Podľa typu zariadenia používaného koncovým používateľom § OS pre osobné počítače, notebooky § OS pre mobilné zariadenia § OS pre wearable počítač (smart watch) § OS pre zariadenia Io. T § OS serverov – prístup prostredníctvom terminálovej aplikácie Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 8

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Bezpečnostná politika používania OS v organizácii Opatrenia pre bezpečné používanie/prevádzkovanie OS § definovať politiku riadenia prístupov k zdrojom, súborom, údajom, § definovať postupy prihlásenia používateľov, § definovať mechanizmy identifikácie a autentizácie používateľov, § používať systémy správy hesiel, § zabezpečiť časové obmedzenie relácie (ukončenie neaktívných), § zabezpečiť časové obmedzenie spojenia (pripojenia k službám). Kľúčový problém Zabrániť/detegovať pokusy používateľa alebo malvéru získať neautorizované oprávnenia a prístup s právami používateľa administrator/root. Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 9

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu q Podstata - bezpečné prideľovanie a spravovanie oprávnení pre prácu s počítačovými zdrojmi (informáciami, súbormi, aplikáciami) q Princíp „need to know“ - prístup autorizovanej osoby len k aktívam potrebným na výkon svojej práce a s pridelením najmenších možných privilégií. q Prístup na úrovni: q Fyzickej - možnosti vstupu/výstupu osôb do priestorov s prostriedkami IKT (ID karty, kľúče, biometrické systémy). q Logickej - prideľovanie a kontrolovanie prístupu k logickým zdrojom (dáta, aplikácie, informačné systémy, služby internetu, atď. ) Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 10

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Digitálna identita q Použitie v IKT - riadenia prístupu q Ekvivalent skutočnej totožnosti používateľa q Prvky: q prihlasovacie meno a heslo, q dátum narodenia, q rodné číslo, q fotografie a príspevky na sociálnych sieťach, q biometrické údaje, q geolokácia, . . . Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 11

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Digitálna identita – prístup k IKT prostriedkom a zdrojom q Identifikácia používateľa v OS q Autentifikácia používateľa q Autorizácia používateľa pre prístup q Accouting - zaznamenávanie aktivít používateľa Úvod do informačnej bezpečnosti l. I. 12

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Identifikácia a autentifikácia § Identifikácia - overenie existencie registrácie používateľa v OS (prihlasovacie meno, účet) § Autentifikácia - overenie „pravosti“ identity (prihlasovacie heslo) § Predpoklad - existencia „databázy“ registrovaných používateľov OS (systémový nástroj pre správu používateľských účtov) Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 13

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Autentifikácie používateľa - mechanizmy § Používateľ niečo vie - heslo, PIN kód, odpovede na skupinu otázok § Používateľ niečo má - čipovú kartu, token, certifikát, smartfón § Používateľ niečo je - odtlačok prsta, sietnice (statický biometrický prvok) § Používateľ niečo robí - hlas, podpis rukou (dynamický biometrický prvok) Používané spôsoby autentifikácie § Jednofaktorová - jedna forma overenia, tj. princíp niečo vie (heslo) § Dvojfaktorová - dve formy overenia, tj. princíp niečo vie a má (PIN a čipová karta, prihlasovacie heslo a SMS zaslanú na mobil) § Trojfaktorová - tri formy overenia, tj. princíp niečo vie, má a je (PIN a čipová karta, odtlačok prsta) Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 14

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Autentifikácie - používateľ niečo vie § Heslo - špecifický reťazec údajov Good practices pre heslá Forma: - dlhé heslá a náhodné heslá (tažko zapamätateľné) Tvorba hesla: - ľahko zapamätateľné slová, prístupové frázy: šifrované vety Inf 0 r#(na@3 ezp 3(nst -> Informačná bezpečnosť - používanie generátora hesiel Strong Password Generator Secure Password Generator - s návodom na zapamätanie hesla Uchovávanie: - nezaznamenávať klasicky na papier, - používať softvér typu password manager pre uloženie a synchronizáciu - periodicita v zmene hesla (napríklad každé 3 mesiaca) Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 15

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Správa identít v organizáciach § Princíp „signle sign on“ § jednorázové overenie identity používateľa pre získanie prístupu ku všetkým opráveným zdrojom § Adresárové služby § Active Directory pre OS MS Windows § LDAP pre OS Unix/Linux § Identity Management System (Id. M) § zjednotenie prihlasovacích údajov § do všetkých informačných systémov a aplikácii § používateľ má iba jeden login a jedno heslo na prístup Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 16

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Hrozby – útoky na heslá § Hádanie hesla § Keyloggery § § § Sociálne inžinierstvo Odčítanie hesiel Slovníkový útok Útok hrubou silou Spoofing § Phishing účelom - známe charakteristiky, štandardné heslá výrobcov. - záznam stlačených kláves v PC a odoslanie na iný PC v sieti - poskytnutie hesla iným používateľom - pri zadávaní hesla z klávesnice, kamery - slabé heslo, napr. známe slová - kombinácie hesiel abecedy - poskytovanie podvodnej e-mail adresy/IP adresy príjemcovi - poskytovanie nepravej identity organizácie za získania citlivých údajov Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 17

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Autentifikácie - používateľ niečo má § Token § Pamäťový token - informácie o používateľovi § § § platobná karta s magnetickým pásikom + PIN kód chip pre fyzický prístup do budov použitie v určenom čase len na jednom mieste. nutnosť špeciálneho zariadenia – čítačky. útoky: replikácia tokenu, odchytenie PINu, strata § Smart token - inteligentný čip § platobné karty s čipom, mobil so špeciálnou aplikáciou. § môže sám vykonať určité operácie s uloženými údajmi § pamäť na čipe tokenu nie je čitateľná, pokiaľ nie je zadaný PIN § SMS token - náhodný kód § internetbanking pri autorizácii platby, finančné operácie § Mail: heslo + kód z SMS - prihlásenie do účtu. Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 18

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Autentifikácie - používateľ niečo je/niečo robí – biometria §Biometrický údaj je osobný údaj fyzickej osoby označujúci jej biologickú alebo Referenčný profil fyziologickú vlastnosť alebo charakteristiku, na základe ktorej je jednoznačne a § porovnanie nasnímaného vzoru nezameniteľne určitelná. s profilom Zákon č. 122/2013 Z. z. o ochrane osobných údajov § technicky zložitá a nákladná § implementácie v praxi - používané Problém - GDPR v kombinácii s inými metódami § Čl. 4 ods. 14 - biometrické údaje sú osobné údaje, ktoré sú výsledkom osobitného overovania technického spracúvania, ktoré sa týka fyzických, fyziologických alebo behaviorálnych §charakteristických znakov fyzickej osoby a ktoré umožňujú alebo potvrdzujú jedinečnú v prostrediach vyžadujúcich vysokú bezpečnosť identifikáciu tejto fyzickej osoby, ako napríklad vyobrazenia tváre alebo daktyloskopické §údaje; akceptácia využívania používateľmi môže byť problematická § Čl. 9 ods. 1 - Zakazuje sa spracúvanie osobných údajov, ktoré odhaľujú rasový alebo etnický pôvod, . . . a spracúvanie genetických údajov, biometrických údajov na individuálnu identifikáciu fyzickej osoby, . . . § Výnimky: na základe súhlasu osoby, ochrany zdravia, trestnnopráavne konanie, … Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 19

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu prihláseného používateľa § Norma ISO/IEC 27002 Hlavným cieľom riadenia prístupu je riadiť prístup k informáciám. Prístup k informáciám a prostriedkom na spracúvanie informácií a podnikateľským procesom by mal byť riadený na základe pracovných a bezpečnostných požiadaviek. Pravidlá riadenia prístupu by sa mali brať do úvahy politiky šírenia informácií a autorizácie. § Podstata riadenia prístupu § prideľovanie oprávnení používateľom na základe určitých pravidiel, § kontrola prístupu používateľa k zdrojom, prostriedkom, informáciám § definovanie zoznamov povolených oprávnení (ACL, Access Control List) pre jednotlivé zdroje. Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 20

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu - schéma riadenia prístupu v IT prostredí § Subjekt (Subject) - inciuje žiadosť o prístup § Objekt (object) - zdroj ku ktorému požaduje prístup § Referenčný monitor - mechanizmus kontroly žiadostí od používateľov podľa prijatej politiky (Allow/Deny) § Práva (rights) - povolené typy prístupu (read, write, execute, delete, . . . ) Poznámka Subjekty: používatelia, skupina, procesy, aplikácia Objekty: súbory, zariadenia, rozhrania Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 21

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu - režimy Voliteľné riadenie prístupu (DAC, discretionary access control) Povinné riadenie prístupu (MAC, mandatory access control) Riadenie prístupu na základe rolí (RBAC, role based access control) Riadenie prístupu na základe pravidiel (RBAC, rule based access control) Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 22

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Voliteľné riadenie prístupu (DAC) § Decentralizované riadenie Zdroj: https: //www. slideshare. net/akbarazwir/abacand-the-evolution-of-access-control § Kontrolu prístupu vykonáva vlastník/používateľ § Má plnú kontrolu súborov a programov, ktoré vlastní a vykonáva § Môže povoliť/zakázať prístup (prístupové práva) inému používateľovi/skupine. § Implementácia pomocou tzv. zoznamu povolených prístupov (ACL). § ACL - zoznam používateľov a skupín a úroveň prístupu každého používateľa alebo skupinu § Predvolený mechanizmus riadenia prístupu pre väčšinu stolových operačných systémov. Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 23

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Povinné riadenie prístupu (MAC) § Centralizované riadenie prístupu na základe politiky celého systému § Politiku používania a prístupu - správca, používatelia ju nemôžu meniť. § Prístupy sú založené na privilégiách/oprávneniach používateľa a citlivosti súboru. § prístup k objektu má iba objekt s rovnakou alebo vyššou úrovňou klasifikácie objektov § Definovanie bezpečnostných štítkov (labels) pre všetky objekty. § Štítok obsahuje klasifikáciu (prísne tajné, dôverné atď. ) a kategóriu (označenie úrovne riadenia) objektu § Najprísnejší režim kontroly § Použitie - systémy s dôrazom na zachovanie dôvernosť Zdroj: https: //www. slideshare. net/akbarazwir/abac-and-the-evolution-of-accesscontrol Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 24

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu na základe rolí (RBAC) § Centralizované/decentralizované riadenie Zdroj: https: //www. slideshare. net/akbarazwir/abac-and-te-evolution-of-access-control § Prideľovanie práv používateľom na základe rolí § Rola má definovaný rozsah oprávnení (ACL) a je prideľovaná skupine používateľov § Používateľ môže mať viac rolí § IS podniku - umožňuje pracovníkom prístup iba k informáciám podľa ich pracovného zaradenia Zdroj: https: //www. slideshare. net/akbarazwir/abac-and-te-evolution-of-access-control Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 25

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Riadenie prístupu na základe pravidiel § Centralizované riadenie § Prístup na základe pravidiel (povolenie/zákaz) § Splnenie pravidla - povolenie/zamietnustie prístupu. § Pravidlá definuje výhradne správca systému. § Definované pravidlá sú uložené v zoznamoch riadenia prístupu. § Použitie: Prístup do siete – firewall § § § Windows Firewall Sieťové služby – WWW, FB, You. Tube, . . . Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 26

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 27

SLOVENSKÁ POĽNOHOSPODÁRSKA UNIVERZITA V NITRE FAKULTA EKONOMIKY A MANAŽMENTU Otázky? Šk. rok 2019/2020, ZS Úvod do informačnej bezpečnosti l. I. 28