Informatikai biztonságtudatosság

Átírás

1 Informatikai biztonságtudatosság Göcs László PAE GAMF Műszaki és Informatikai Kar Informatika Tanszék MINMAFI 2016 konferencia Pallasz Athéné Egyetem - GAMF Műszaki és Informatikai Kar - Informatika Tanszék Augusztus 24.

2

3 TOP 10 (Balabit felmérés) Social engineering (például adathalászat) Kompromittált hozzáférések (gyenge jelszó) Web alapú támadások (SQL/command injection) Kliens oldali támadások (például dokumentum olvasó, web böngésző) Szerverfrissítésekre írt expoit-ok (például OpenSSL, Heartbleed) Nem menedzselt privát eszközök (például rossz BYOD szabályzat) Fizikai behatolás Árnyék informatika Külső szolgáltatók igénybevétele (kiszervezett infrastruktúra) Felhő infrastruktúrába kihelyezett adatok megszerzése (például IAAS, PAAS) Forrás:

4

5 Legbiztosabb módszer a védekezésre?

6 Segítőkészség Kihasználható emberi tulajdonság Az emberek legtöbbje szívesen segít az arra rászorulón, különösen ha az egy munkatársnak tűnik. Hiszékenység, naivság A munkatársak segítenek egy támadónak, mert naivan elhiszik, hogy tényleg bajban van, de nyugodt szívvel rendelkezésre bocsátanak bizalmas információkat olyan illetéktelen személyeknek, akik valódi munkatársnak tűnnek, holott lehet, csak ismerik az adott területen használt szakzsargont.

7 Kihasználható emberi tulajdonság Befolyásolhatóság Meggyőzés, megvesztegetés, vagy akár megfélemlítés is. A munkatársak befolyásolhatóságának sikerességéhez több tényező is hozzájárulhat, ezért mindig célszerű figyelmet fordítani a kiszemelt alkalmazott munkahelyi körülményeire, életszínvonalára. Bosszúállás A támadók legtöbbje belülről, a cég munkatársai közül, vagy legalábbis a segítségükkel kerül ki. Ha az alkalmazott már különösen negatív érzéseket táplál munkahelye iránt, vagy esetleg éppen önként távozik vagy elbocsátják, akkor a befolyásolhatóságon túl felmerülhet a bosszúállás lehetősége is.

8 Web böngészés Megtévesztő felület (Design másolása) Adathalászat Belépési adatok lopása

9 1. figyelem felkeltés, megtévesztés

10 2. Az adatlopás felülete

11 3. A tényleges felület

12 BIZTONSÁG böngészés

13 Kétfaktoros autentikáció 1. Azonosító + Jelszó 2. SMS

14 Elektronikus levelezés veszélyei Kéretlen levelek, reklámok Megtévesztő információk Adatkérés -> adatlopás Veszélyes mellékletek (vírus, kémprogram)

15 Kéretlen levél /spam/ - Kéretlen levél minden olyan elektronikus levél, amelyet a címzett nem kért. Leggyakoribb előfordulási formája a kéretlen reklám. Az ilyen küldemény gyakran még kéretlen betolakodót (vírust) is hordoz. A levél feladója, tárgya és szövege olyan gyakran változik, hogy ezen levelek szűrése, egyszerű minta alapján nem lehetséges. Beugrató levél /hoax/ - Hamis levélriasztás, mely az emberek jóhiszeműségére építve, hatalmas levélforgalmat generál, ezzel a levelező rendszereket lassíthat, vagy béníthat meg. Kártékony programot nem tartalmaz, ha tartalmaz, akkor már vírusnak /malware/ hívják.

16 Támadás jelei, formái A feladó neve, és maga az cím valódisága Komoly megrendelés -> telefon Hivatalos levél stb címről Mellékletek

17 Megtévesztő feladó, veszélyes melléklet

18 Adathalászat Magyar változatban (Telekom logo)

19

20 Veszélyes melléklet Keylogger Minden billentyűzet leütést rögzít, továbbit re Kategóriákba szedi (böngésző, gépelés, programok indítása ) Már nem csak exe fájtként hanem jpg fájlban is terjed

21 Fájlok ellen irányuló támadás Helyi számítógépen: Vírus által törlődnek vagy kódolva lesznek Felhő alapú tárolásnál: adathalászat következtében -> hozzáférés Elhagyott adathordozó

22 CryptoLocker támadás

23 ADATMENTÉS KÜLSŐ TÁROLÓRA! Fontos adatainkat, munkáinkat időközönként mentsük külső adathordozóra, amit csakis az adatmentéskor csatlakoztassunk a gépünkhöz.

24 TITKOSÍTÁS Az adathordozót, partíciót, teljes merevlemezt tikosítani.

25 JELSZAVAK Használata egyszerű Olcsó Észrevétlenül másolható és tulajdonítható el (nincs visszajelzés ha más birtokába került) Erős védelem megjegyezhetősége nehéz

26 A jelszó minőségek meghatározói Hosszúság minden egyes hozzáadott karakter növeli a jelszó értékét; 8 vagy annál több karakter minimum szükséges egy erős jelszóhoz, de 14 vagy annál több lenne az ideális. Komplexitás minél többféle karaktert alkalmazunk, annál nehezebb kitalálni a jelszót, használjuk a teljes billentyűzetet. Jelszó bonyolultsági feltétel: Angol nagybetűs karakterek (A-tól Z-ig) Angol kisbetűs karakterek (a-tól z-ig) Az alapvető 10 számjegy (0-tól 9-ig) Nem betű jellegű karakterek (például!, $, #, %) Könnyű észben tartani, nehéz kitalálni ezt a legnehezebb betartani a felhasználóknak.

27 Hogyan védjük a jelszavakat? Ne mond el és ne add oda másnak! Vigyázz a leírt vagy mentett jelszavakra! Sose írd meg a jelszavadat ben, és ne válaszolj a jelszavadat elkérő levelekre! Ne írd be a jelszavadat olyan számítógépen, amelyet nem ismersz! Használj több mint egy jelszót!

28 Clean Desk Policy (CDP) - Tiszta Asztal Politika Belépési azonosító és jelszó Papíralapon (Post-It, regisztrációs lap kinyomtatva) Hardverre írva (monitor, billentyűzet) Személyes információk Amiből a jelszavak megfejthetőek, kitalálhatóak Otthoni/Céges dokumentumok, leírások Mobiltelefon

29 Erős jelszó példa Találj ki egy mondatot, amit könnyen észben tudsz tartani! Például: A kisfiam Péter ma pontosan két éves. Alakítsd a mondatot jelszóvá! Használd minden szó első betűjét, hogy egy betűsorozatot gyárts: akpmpke Bonyolítsd a szöveget egy kis fantáziával! Vegyítsd a kis- és nagybetűket, használj számokat a betűk helyett. Például: AkPmp2e Vonj be speciális karaktereket! Használj olyan szimbólumokat, amelyek hasonlítanak bizonyos betűkhöz: Ak#P?mp%2e!

30 Jelszavaink a weben Web áruház regisztráció Elfelejtett jelszó Új jelszó kérése ben Reménykedjünk hogy nem az 1 évvel ezelőtti begépelt jelszót küldi vissza a rendszer! Adatbázis rosszul tárolja

31 Internetes vásárlás Bankkártya regisztrálás ELEKTRONIKUS SZÁMLA Különítsük el a fő bankszámlánktól Csak az aktuális összeget utaljuk rá

32 Ingyenes programok Szoftver letöltés Driverek Csakis a gyártó oldaláról Megéri a $ ár egy megbízható forrásból származó szoftverért

33 Köszönöm a figyelmet!