Adat és Információvédelmi Mesteriskola 30 MB. Dr. Gyányi Sándor FELHASZNÁLÓI ESZKÖZÖK ÉS ALKALMAZÁSOK BIZTONSÁGA I

Átírás

1 Adat és Információvédelmi Mesteriskola 30 MB Dr. Gyányi Sándor FELHASZNÁLÓI ESZKÖZÖK ÉS ALKALMAZÁSOK BIZTONSÁGA I Adat és Információvédelmi Mesteriskola

2 Tartalom Eszközöket veszélyeztető tényezők, biztonsági események: - Informatikai eszközhöz jogosulatlan hozzáférés szerzése; - Megszemélyesítés, eltérítés; - Malware(trójai falovak, vírusok, botnet kliensek, stb ); - A felhőben tárolt adatok bizalmasságának sérülése; - Lehallgatás; - Web alkalmazások támadása; - Alkalmazások sérülékenységei. Mobil eszközök biztonsági kérdései. 2

3 Informatikai eszközök hozzáférés kezelése alapok 1. Többfelhasználósrendszerek A többfelhasználósoperációs rendszerekben a felhasználókat az általuk elindított folyamatok (processes) képviselik. A felhasználó által elindított folyamatok, létrehozott erőforrások öröklik a felhasználó jogköreit. A folyamatok azonosítóit kell a felhasználók azonosítóihoz rendelni: bejelentkezési folyamat. 3

4 Informatikai eszközök hozzáférés kezelése alapok 2. Fiókok azonosítása, használata Több felhasználó esetén a rendszer fiókokat (account) rendel hozzájuk. A fiókokat általában felhasználói névvel (username) jelölik. Amikor a felhasználó bejelentkezik a rendszerbe (megadja fióknevét), az a fiók adatai alapján fogja a felhasználó tevékenységét szabályozni. A fiókokhoz jogosultságuk tartoznak. 4

5 Hitelesítés kezelése 1. verzió Az informatikai rendszer bekéri a hitelesítési adatokat Felhasználónév Jelszó Ellenőrzés: a felhasználó a megfelelő adatokat adta meg? Nem, hozzáférés megtagadva Igen, hozzáférés engedélyezve Kérés kiszolgálása 5

6 Hitelesítés kezelése 1. verzió problémák Kényelmetlen, a felhasználónak minden alkalommal meg kell adnia, a jelszót. A kliens alkalmazás tárolhatja ezt, így kényelmesebbé tehető. A minden hozzáférés-kérés alatti hitelesítési adat küldés növeli a bizalmasság sérülésének esélyét. Ha a kliens tárolja ezeket, akkor annak védelméről is kell gondoskodni. 6

7 Hitelesítés kezelése 2. verzió Az informatikai rendszer bekéri a hitelesítési adatokat Felhasználónév Jelszó Ellenőrzés: a felhasználó a megfelelő adatokat adta meg? Nem, hozzáférés megtagadva Igen, hozzáférés engedélyezve, munkamenet azonosító generálása Kérés kiszolgálása, munkamenet azonosító küldése 7

8 Hitelesítés kezelése 2. verzió Előnyök A felhasználó hitelesítése csak egyszer kell, hogy megtörténjen. A munkamenet azonosító csak a munkamenetre érvényes, ennek kikerülése kisebb problémát okoz. Kockázatok A munkamenet azonosító megszerzése esetén a támadó hozzáférhet a rendszerhez, bizalmas adatokhoz. Biztonsági megoldások Munkamenet azonosító időtartamhoz, eszközazonosítóhoz kötése. 8

9 Jogosulatlan hozzáférés elleni védelem Az informatikai eszközök hitelesítéssel igyekeznek meggátolni az illetéktelen használatot. Hitelesítési módok Jogosulatlan hozzáférés elleni védelem 1. Tudás-alapú (knowledge-basedvagy KBA). Olyan információval történik a hitelesítés, amit csak a jogosult felhasználó ismer. Birtoklás-alapú (ownership-based). A hitelesítés olyan eszközzel történik, amelyet csak a jogosult felhasználó birtokol. Tulajdonság-alapú (inherence-based). A hitelesítés a felhasználóhoz kötődő tulajdonság alapján (biometria, viselkedés) történik. 9

10 Tudás alapú hitelesítés Tudás alapú hitelesítés A legegyszerűbben kivitelezhető és emiatt a leggyakoribb hitelesítési forma. A hitelesítésre szolgáló információ általában jelszó vagy PIN kód. A támadók számára általában a legegyszerűbben kivitelezhető támadási mód a jogosult felhasználó jelszavának megszerzése. 10

11 Birtoklás alapú hitelesítés Birtoklás alapú hitelesítés A felhasználó birtokában van egy hitelesítő eszköz. Smart card, USB hitelesítő token, proximity kártya, stb Az eszköznek kellően biztonságosnak kell lennie, a felhasználónak elvárható gondossággal kell tárolnia. 11

12 Jogosulatlan hozzáférési jog szerzése Fizikai hozzáférés A rendszerhez fizikai hozzáférést szerezve. Hitelesítő adatok vagy eszközök segítségével Munkamenet átvétel A felhasználói hitelesítésre szolgáló elemeinek (jelszó, hitelesítő eszköz) megszerzésével. A bejelentkezett felhasználó munkamenet azonosítójának megszerzésével. 12

13 Fizikai hozzáférés Ha a támadó az informatikai eszközhöz fizikai hozzáférést szerez, lehetőségei megnőnek Háttértár kiemelése, lemásolása. Eszköz külső adathordozóról indítása, alacsony szintű hozzáférés használata. Védelem Fizikai biztonság (zárt helyiség, beléptető rendszer, stb ) Kriptográfia. 13

14 Jelszavak megszerzése Kémkedés A támadó offline vagy online úton megszerzi a felhasználó jelszavát. Nyers erő vagy szótár alapú támadás Alapértelmezett jelszavak A támadó a jelszavak próbálgatásával szerzi meg a jelszót. A hanyag felhasználó nem módosítja egy eszköz alapértelmezett beállításait (admin/admin, scott/tiger). 14

15 Jelszavak megszerzése kémkedéssel 1. Sokan nem tudják megjegyezni jelszavaikat Irodában a számítógép mellett nagy eséllyel találunk papírra felírt jelszavakat. A felhasználó jellemének, környezetének ismeretében kitalálható a jelszó (születési idő, házastárs neve, háziállat neve, stb ) Sokféle rendszerhez sokféle jelszó tartozik, sokan ugyanazt a jelszót használják több helyen is Egy helyről megszerzett jelszóval meg lehet próbálkozni egy másik helyen is. 15

16 Esettanulmány A felhasználó kap egy ilyen zsaroló levelet. A levélben küldött jelszó tényleg létezik! Hogyan szerezte meg a zsaroló, van-e tényleges esély a fenyegetés beváltására? Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

17 Esettanulmány 2012-ben a LinkedIn.com164 millió felhasználójának adatait lopták el Ezeket később piacra dobták, így létező cím/jelszó párosok kerültek illetéktelenek kezébe. Itt ellenőrizhető az érintettség: 17

18 Jelszavak megszerzése brute force vagy dictionary módszerrel Kellő idő alatt az összes lehetséges jelszó kipróbálható A bruteforceeljárásban a jelszó összes változatát kipróbálja a támadó. Online módszerrel nehezen kivitelezhető, mivel a helyesen beállított rendszerek néhány próbálkozás után letiltanak. A próbálkozások száma rövidíthető, ha a támadó figyelembe veszi a lehetséges jelszavak népszerűségét, a népszerűbbekkel kezdve nagyobb eséllyel kerül sor már az elején a tényleges jelszó kitalálására. Offline módon (a jelszó hashállományt megszerezve) több idő áll a jelszótörésre (pl. John the ripper). 18

19 Jogosultsági szint emelése Egy alacsony jogosultsági szinttel rendelkező felhasználó belépési adataival a támadó hozzáfér a cél rendszerhez A célpont operációs rendszerében hibákat felhasználva másik felhasználóra vált Horizontális: másik, hasonló jogkörrel rendelkező felhasználóra Vertikális: magasabb jogkörű (admin) felhasználóra 19

20 Egyéb hozzáférési módok Session hijacking Egy rendszerbe bejelentkezett felhasználó munkamenetét lehet átvenni. Tokenhijacking A kiszolgáló bizonyos funkciók elérésének engedélyezésére tokentoszt, ennek megszerzésével illetéktelen hozzáférés valósítható meg. (2018 Facebook token hack: 50 millió felhasználó érintett). 20

21 Session hijacking Webes alkalmazások a HTTP vagy a HTTPS protokollt használják. A HTTP minden kérést külön kezel, emiatt nem tudja megkülönböztetni az egyes felhasználók tevékenységét. A munkamenet azonosítására egyéb módot kellett választani (a kliens címe nem használható erre). A munkamenethez egy egyedi azonosítót rendelnek, amit a kliens minden kérésekor fel kell küldjön. Cookie koncepció A kliensprogram (böngésző) számára a szerver elküld egy névvel ellátott azonosítót, amit a kliens minden kéréshez automatikusan mellékel. A szerver a kapott információt felhasználhatja a felhasználó azonosítására. 21

22 Gyakorlati példa: PHP session A webes alkalmazás szerver oldali komponense végzi a munkamenet kezelését A PHP környezetben alapértelmezetten ezt egy phpsessid nevű cookie-bantárolt azonosítóval végzi a keretrendszer. A phpsessid alapján keresi meg a PHP a szerveren tárolt munkamenetet (context). A kliens ezt minden kéréshez felküldi. A támadó ezt a cookieértéket tudja a munkamenet átvételére használni. 22

23 PHP session hijacking A cookieinformáció a HTTP kérés fejlécében utazik, de az adott oldal Javascriptkódja is hozzáfér A hálózati forgalom monitorozásával a session azonosító elkapható. Programozási hiba kihasználásával rosszindulatú kód helyezhető el a weboldal kódjában, ami elküldi a sessionid-t a támadó számára. 23

24 PHP session hijacking XSS segítségével A támadó egy rövid kódot helyez el a kiszemelt weboldal kódjában Ha lehetséges saját üzenetek elhelyezése az oldalon (például egy fórumban) és a weboldal programozói nem voltak elég gondosak, akkor kiegészíthető a weboldal HTML tartalma: 24

25 PHP session hijackingxss segítségével: eredmény Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

26 Vírusok Rosszindulatú programok (malware: Malicious software) - vírusok A vírus egy olyan malware, amely valamilyen módon a céleszközön (számítógépen) elindul, majd gondoskodik saját maga permanenssé tételéről (indítóállományokba írja saját kódját) illetve továbbterjedéséről (más állományokba írja saját kódját). A fertőzéshez vagy a felhasználó aktivitása szükséges (a fertőző kód elindítása) vagy valamilyen biztonsági hibát használ ki (autorun.inf hordozható tárolókon automatikusan elindul). Régen hordozható adattároló eszközökön terjedt, manapság számítógépes hálózatokon ( , kétes programok letöltése, legitim weboldalakról böngészőhiba miatt). 26

27 Rosszindulatú programok - férgek Számítógépes féreg (worm) A vírus önmagában nem képes más számítógépeket megfertőzni, hordozóra van szüksége. Az önálló fertőzési képességekkel rendelkező kártevők neve: férgek. Rendelkeznek olyan komponenssel, amely más számítógépek után kutat a hálózaton, és általában hátsó kaput vagy biztonsági rést kihasználva önállóan képes a saját kódját áttölteni és elindítani. WannaCry: az SMBv1 protokoll hibáját kihasználva volt képes egész hálózatokat megfertőzni. 27

28 Rosszindulatú programok - Trójai falovak (trojans) A trójai a célpont számítógépre kerül, és elindul. Az alkalmazás rendelkezik egy nyílt, elterelő felülettel (játék program vagy egyéb, valódi alkalmazás) és egy rejtett komponenssel. A rejtett komponens a felhasználó tudta nélkül egy alkalmazást telepít a számítógépre. Kémprogram (spyware), rootkit, keylogger(billentyűzet leütéseket tárolja). 28

29 Trójai falovak terjesztési technikái Ingyenes programként letöltve (warez, freeware). Fizikai hozzáférést szerezve. csatolásban. Fertőzött weboldalon keresztül. 29

30 Trójai falovak terjesztési technikái csatolás Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

31 Trójai falovak terjesztési technikái fertızı weboldal Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

32 A trójaiak által használt távoli hozzáférés típusai TCP/UDP port használata (listening) A kártevő egy hálózati porton keresztül szólítható meg. Hálózati címfordítást igénybe vevő kliensekben közvetlenül nem működik. Külső végpontok irányába fenn kell tartania a címfordítási bejegyzést. Command& control server használata A trójai kliens egy külső hálózatban működő szervert (vagy P2P elven más klienseket) rendszeresen monitorozva kapja meg az instrukciókat. 32

33 Trójai falovak károkozási lehetıségei Távoli hozzáférés biztosítása (RAT, VNC, shell, Bitcoinbányászat). Dokumentumok titkosítása, fertőzése (ransomware, további áldozatok keresése). Botnet kliens (DDoStámadások, spam kampányok, elosztott jelszófeltörés). 33

34 Távoli hozzáférés A trójai által nyitott bejáratot használva a támadó távolról képes az áldozat számítógépét használni. Adatlopás. Ugródeszka. Erőforrások használata (a Bitcoinbányászat segítségével pénz kereshető). 34

35 Trójaiak felderítési módszerei Víruskeresők (kereskedelmi termékek) Kommunikációs csatorna (gyanús portok) Futó folyamatok, háttérfolyamatok Registry, konfigurációs állományok Gyanús állományok Gyanús hálózati forgalom 35

36 Port felderítés: fport (Windows), netstat (Linux) Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

37 Futó folyamatok vizsgálata Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola

38 Dokumentumok fertızése A kártevő a célponton keres dokumentumokat, és ezeket megfertőzi vagy titkosítja. Ransomware: titkosítással hozzáférhetetlenné teszi a dokumentumokat, és csak váltságdíj ellenében adja meg a visszaalakításhoz szükséges kulcsot. Hálózati meghajtók használata esetén ez az egész szervezetet érintő fenyegetés. A korszerű dokumentum szerkesztő programok tartalmaznak parancsértelmezőt, a dokumentumokba pedig feldolgozó programok (scriptek) tehetők. 38

39 Rosszindulatú programok hibrid megoldások Egy rosszindulatú program alapvetően két fő részből áll Fertőző kód; Payload(feladat végrehajtó modul). Ezek variálhatók Fertőző modul: vírusként és/vagy féregként terjed. Payload: trójai/botnet kliens/keylogger/bitcoin miner/ransomware. 39

40 Rosszindulatú programok - Botnet kliensek A fertőzött számítógépek központi irányítás alá kerülnek. Command& Controlszerverek: ezek adják az utasításokat a hozzájuk. Fertőzött számítógép elnevezése: zombiepc, vagy robot (innen a botnet elnevezés). Egyszerre nagyon sok számítógép képes ugyanazt a feladatot végrehajtani. Az irányító: herder. 40

41 Botnetek Nagy mennyiségű fertőzött számítógép rengeteg erőforrással rendelkezik. Hálózati adatátviteli kapacitás: Spam-küldés. DDoS támadások. Számítási kapacitás: Hash számítás, jelszótörés. Bitcoin bányászat. Click fraud. 41

42 Köszönöm a figyelmet! Adat és Információvédelmi Mesteriskola Adat és Információvédelmi Mesteriskola