A digitális világ biztonságos használata (internet és informatikai biztonság)

Átírás

1 A digitális világ biztonságos használata (internet és informatikai biztonság) Göcs László főiskolai tanársegéd, PhD hallgató NJE GAMF MIK informatikai igazságügyi szakértő

2 Az informatikai biztonság fogalma A központban áll egy érték, az adatok által hordozott információ, amelyet az egyik oldalról támadnak, a másik oldalon az információk tulajdonosa pedig védi azt. Mindkét fél egymástól független, egymás számára ismeretlen stratégiával igyekszik megvalósítani támadási, illetve védelmi szándékait. A védő mindig többet veszít, mint amit a támadó nyer.

3 Az adatot, mint a támadások alapvető célját a következő rendszerelemek veszik körül: az informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek, adathordozók, dokumentumok és dokumentáció, személyi környezet (külső és belső). MINDEGYIKRE KÜLÖNBÖZŐ FENYEGETETTSÉGEK HATNAK!

4

5 Az informatikai biztonságot úgy határozhatjuk meg, hogy az az állapot amikor az informatikai rendszer védelme - a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából - zárt, teljes körű, folyamatos és a kockázatokkal arányos.

6 Minőségbiztosítás Információvédelem Védelemtudomány Hagyományos biztonság Informatika Informatikai biztonság Megbízható működés Jogtudomány

7 A BIZTONSÁGI STRATÉGIA MEGHATÁROZÁSA Milyen úton érjük el a célt? Honnan indulunk? Hova akarunk eljutni?

8 A kár jellege: Dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), a dologi károk bekövetkezése utáni helyreállítás költségei;

9 A kár jellege: Károk a politika és a társadalom területén állam- vagy szolgálati titok megsértése, személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének károsodása, bizalmas adatok nyilvánosságra hozatala, hamis adatok nyilvánosságra hozatala, közérdekű adatok titokban tartása, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben;

10 A kár jellege: Gazdasági károk pénzügyi károk, lopás károk, az intézmény vagy cég arculatának (image) romlása, rossz üzleti döntések hiányos vagy hamis információk alapján; Károk a tudomány területén kutatások elhalasztódása, eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése, tudományos eredmények meghamisítása.

11 Védendő adatoknak alapvetően négy csoportját különíthetjük el: nyílt, szabályozók által nem védett adat, érzékeny (védendő), de nem minősített adat, szolgálati titok, államtitok.

12 Érzékeny, de nem minősített adatok A jogszabályok által védendő adatok: személyes, illetve különleges adatok, az üzleti titkot, a banktitkot képező adatok, az orvosi, az ügyvédi és egyéb szakmai titkok, a posta és a távközlési törvény által védett adatok stb., és az egyes szervezetek, intézmények illetékesei által, belső szabályozás alapján védendő adatok.

13 INTERNET HASZNÁLAT

14 Internet Az internet olyan globális számítógépes hálózat, amelyen a számítógépek az internetprotokoll (IP) segítségével kommunikálnak. Felhasználók milliárdjait kapcsolja össze és lehetővé teszi olyan elosztott rendszerek működtetését, mint például a WWW (World Wide Web).

15 Statisztika Április :04 20 perc alatt Április : Forrás:

16 KSH Statisztika Rendszeres internethasználók aránya ( ) A éves személyek százalékában Magyarországon. (Rendszeres használat: a felmérést megelőző három hónapban átlagosan hetente legalább egyszer) Év % Forrás:

17 Mire használjuk az Internetet? Információ szerzés Kapcsolattartás Tanulás Munka Játék Zene hallgatás Filmnézés Letöltés

18 TOP 10 (Balabit felmérés) Social engineering (például adathalászat) Kompromittált hozzáférések (gyenge jelszó) Web alapú támadások (SQL/command injection) Kliens oldali támadások (például dokumentum olvasó, web böngésző) Szerverfrissítésekre írt expoit-ok (például OpenSSL, Heartbleed) Nem menedzselt privát eszközök (például rossz BYOD szabályzat) Fizikai behatolás Árnyék informatika Külső szolgáltatók igénybevétele (kiszervezett infrastruktúra) Felhő infrastruktúrába kihelyezett adatok megszerzése (például IAAS, PAAS) Forrás:

19 TÁMADÁSOK

20 Legbiztosabb módszer a védekezésre?

21 JELSZAVAK

22 JELSZAVAK Használata egyszerű Legolcsóbb védelem Észrevétlenül másolható és tulajdonítható el (nincs visszajelzés ha más birtokába került) Erős védelem megjegyezhetősége nehéz

23 A jelszó minőségek meghatározói Hosszúság minden egyes hozzáadott karakter növeli a jelszó értékét; 8 vagy annál több karakter minimum szükséges egy erős jelszóhoz, de 14 vagy annál több lenne az ideális. Komplexitás minél többféle karaktert alkalmazunk, annál nehezebb kitalálni a jelszót, használjuk a teljes billentyűzetet. Jelszó bonyolultsági feltétel: Angol nagybetűs karakterek (A-tól Z-ig) Angol kisbetűs karakterek (a-tól z-ig) Az alapvető 10 számjegy (0-tól 9-ig) Nem betű jellegű karakterek (például!, $, #, %) Lejárati idő Időközönként változtassuk meg (ha kompromittálódott segít a védekezésben)

24 Hogyan védjük a jelszavakat? Ne mondjuk el és ne adjuk oda másnak! Vigyázzunk a leírt vagy mentett jelszavakra! Soha ne írjuk meg a jelszavadat ben, és ne válaszoljunk a jelszót elkérő levelekre! Ne írjuk be a jelszavunkat olyan számítógépen, amelyet nem ismerünk! Használjunk több mint egy jelszót!

25 Erős jelszó példa Találjunk ki egy mondatot, amit könnyen észben tudunk tartani! Például: A kisfiam Lacika egy éves. Alakítsuk a mondatot jelszóvá! Használjuk minden szó első betűjét, hogy egy betűsorozatot kapjunk: aklee Bonyolítsuk a szöveget egy kis fantáziával! Vegyítsd a kis- és nagybetűket, használjunk számokat a betűk helyett. Például: AkLeE -> A2LeE Vonjunk be speciális karaktereket! Használjunk olyan szimbólumokat, amelyek hasonlítanak bizonyos betűkhöz: A!2?L#e%E A!2?L#e%E

26 Mobil telefonok PIN kód Egy négy számjegyből álló kód 10 ezer lehetőséget rejt, azonban a felhasználók 15%-a ebből csupán 10-et használ (1234, 2222, 0000, 1991 ). Android belépési minta 9 pont elhelyezve egy négyzetesen, egy megadott útvonalat kell bejárni az újjunkkal. Hátrány: Az újaink nyomot hagyhatnak és könnyen megfejthető a kód

27 Operációs rendszer belépési jelszava

28 Wifi Jelszó Ne a gyári beállításokat használjuk Automatikus csatlakozás Kapcsolódó eszközök regisztrálása

29 Jelszótörő módszerek Brute Force (nyers erő) Módszeresen az összes lehetséges jelkombinációt kipróbálja. Csak akkor, ha minden más eljárás eredménytelen Nagy teljesítményű gépet igényel A jelszó hosszától, illetve a használt jelektől függően nagyon sok időre van szükség A végeredmény sem biztos Szótár alapú A legtöbb felhasználó a hétköznapi nyelvezetből, magánéletéből használja a szavakat, vagy szótöredékeket. Lényegesen kevesebb időt igényel Nem vezet mindig eredményre

30 Adathalászat Figyelem felkeltés Megtévesztés

31 Álhírek Látogatottsági számok növelése Reklámok Profil váltás

32 Ál weboldal - az adatlopás felülete

33 Biztonságos böngészés böngészés

34 Felhívások

35 Többlépcsős hitelesítés 1. Azonosító + Jelszó 2. SMS 1. cím (azonosító) 2. Jelszó 3. Azonosító kód (telefonra)

36 Elektronikus levelezés ( ek)

37 Kéretlen levél /spam/ - Kéretlen levél minden olyan elektronikus levél, amelyet a címzett nem kért. Leggyakoribb előfordulási formája a kéretlen reklám. Az ilyen küldemény gyakran még kéretlen betolakodót (vírust) is hordoz. A levél feladója, tárgya és szövege olyan gyakran változik, hogy ezen levelek szűrése, egyszerű minta alapján nem lehetséges. Beugrató levél /hoax/ - Hamis levélriasztás, mely az emberek jóhiszeműségére építve, hatalmas levélforgalmat generál, ezzel a levelező rendszereket lassíthat, vagy béníthat meg. Kártékony programot nem tartalmaz, ha tartalmaz, akkor már vírusnak /malware/ hívják.

38 Elektronikus levelezés veszélyei Kéretlen levelek, reklámok Megtévesztő információk Adatkérés -> adatlopás Veszélyes mellékletek (vírus, kémprogram)

39 Támadás jelei, formái A feladó neve, és maga az cím valódisága Komoly téma -> telefon Hivatalos levél nem feltétlen stb címről Mellékletek

40

41 A valódi felület hivatkozása:

42 Megtévesztő feladó, veszélyes melléklet Titkosító vírus vagy Keylogger!!!

43 Veszélyes melléklet Keylogger Minden billentyűzet leütést rögzít, továbbit re Kategóriákba szedi (böngésző, gépelés, programok indítása ) Már nem csak exe fájtként hanem jpg fájlban is terjed

44 Közösségi oldalak

45 Közösségi oldalak Csak valódi ismerősöket jelöljünk meg. Lehetőleg ne jelöljünk meg olyanokat, akiket csak látásból ismerünk!

46 Adatvédelmi beállítások

47 Adatvédelmi beállítások

48 Közösségi oldalak Az elérhetőségeknél a lehető legkevesebb személyes információt adjunk meg! Ne tegyünk fel magunkról figyelemfelhívó, kihívó képet! A fotók sok mindent elárulhatnak, háttér információkat adnak mások számára!

49 FÁJL VÉDELEM

50 Fájlok ellen irányuló támadás Helyi számítógépen: Vírus által törlődnek vagy kódolva lesznek Felhő alapú tárolásnál: adathalászat következtében -> hozzáférés Elhagyott adathordozó (Road Apple)

51 CryptoLocker támadás

52 ADATMENTÉS KÜLSŐ TÁROLÓRA! Fontos adatainkat, munkáinkat időközönként mentsük külső adathordozóra, amit csakis az adatmentéskor csatlakoztassunk a gépünkhöz (Internet kapcsolat nélkül).

53 ADATMENTÉS FELHŐBE! Fontos adatainkat, munkáinkat időközönként mentsük felhő alapú tárhelyre.

54 TITKOSÍTÁS Hordozható eszközök elvesztése eltulajdonítása esetén. A kár jellege csak anyagi (az eszköz értéke) de erkölcsi, üzleti, személyes kár nem keletkezik.