30 MB LOGIKAI VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK. Adat és Információvédelmi Mesteriskola. Dr. Beinschróth József

Átírás

1 30 MB Dr. Beinschróth József LOGIKAI VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK

2 Tartalom Jogosulatlan hozzáférések Kiesések Malware-ek hatása Szigetszerű működés Hacker tevékenyég Hálózati problémák Hibás dokumentáció

3 A jelszavak és a kriptográfiai kulcsok támadási pontot jelenthetnek Jogosulatlan hozzáférések A belépés ellenőrzés nem megfelelően kontrollált Gyenge jelszó használati szabályrendszer: nincs kisbetű/nagybetű, szám, speciális karakter, soha nincs megváltoztatva, az előző jelszónak shifteltje, rotáltja Nem megfelelő a jelszavakat kezelő technológia. A felhasználók hozzáférési jogosultságai nem megfelelően szabályozottak. Nem megfelelő naplózás. Az adatok tárolása és továbbítása titkosítás nélkül történik. Régi, titkosítást nem tartalmazó alkalmazások. A titkosítás kikapcsolhatósága. Nem elegendő hosszúságú kriptográfiai kulcsok. Gyenge, feltörhető algoritmusok és kulcsok. Elterjedt, ismert, letölthető feltörő programok. 3 veszélyforrások

4 Példa: Előfordulnak a bankkártya adatokkal történő visszaélések (1) Jogosulatlan hozzáférések PIN kód megszerzése Fóliázott billentyűzet Kamera a billentyűzetre Kamulálás A kártyát kibocsátó bank nevében felhívják az ügyfeleket és kártyaadataikat (kártyaszám, esetleg PIN kód), vagy internetbank hozzáférésüknek adatait kérik el. Az ATM billentyűzetére fóliát ragasztanak mellyel a PIN kódot kinyerik. PIN kódot kifejezetten a billentyűzetre mutató kis kamerával szerzik meg. Nem létező, de hihető kártyának az adatait hozzák létre. (A kártyaszám felépítése teljesen publikus. ) Tipikusan az interneten kis összegű fizetésekhez használják. (Az azonnali ellenőrzés általában csak arra terjed ki, hogy nincs- e letiltva a kártya.) 4 veszélyforrások

5 Példa: Előfordulnak a bankkártya adatokkal történő visszaélések (2) Jogosulatlan hozzáférések Kártyaszám adatbázis lopás Előfordul, hogy cégek (hibásan) adatbázisokban tárolják az ügyfelek kártyaszámát. Ennek rosszhiszemű felhasználása képezi a visszaélés alapját. Klónozás Az egyszer létező kártyát valamiféleképpen megtöbbszörözik. Duplázás: kétszer húzzák le a kártyát. Felírás: rögzítik a mágneskártya adatait. Ikresítés: Az ikresített kártya pontosan azonos az eredetivel. Stemplizés:A kártya dombornyomású részét másolják. 5 veszélyforrások

6 Példa: Előfordulnak a bankkártya adatokkal történő visszaélések (3) Jogosulatlan hozzáférések Leragasztásos csalás Az ATM pénzkiadó nyílását leragasztják, így a kártyabirtokos nem kapja meg a pénzét és azt a gép a ragasztási felületre ragadt pénz miatt visszahúzni sem tudja. Liftes csalás A csaló az internetes áruház és a megrendelő közé ékelődik, sajátjaként hirdeti az áruház termékeit. A vevő fizet, a csaló a vevő adataival megrendeli az árut és a vevőnek leszállítja. De a csaló az áruház felé lopott vagy hamis kártyát használ. A károsult az internetes áruház. Mágnescsík leolvasás az ATM kártyanyílásánál Egy apró, észrevehetetlen szerkezettel a kártya behúzása és kiadása során, az áthaladáskor leolvassák a kártya mágnescsíkját. 6 veszélyforrások

7 Előfordulnak a bankkártya adatokkal történő visszaélések (4) Jogosulatlan hozzáférések Nem banki ATM Egy látszólag működő ATM-et állítanak fel, melynél bekérik a PIN kódot, majd benyeletik a kártyát. PIN kód kérése a banki bejárati ajtót nyitó kártyaolvasón A bankfiók ajtaját nyitó kártyaolvasó elkéri a PIN kódot. Postaládából kilopott, vagy megsérült kártyák A bankkártya postai úton történő kézbesítése során elkövetett visszaélés. 7 veszélyforrások

8 A jelszófeltörő programok egyszerűen elérhetők és használhatók Jogosulatlan hozzáférések Tipikus jelszó feltörési módszer: szótár alapú támadás Lehetséges jelszavakat tartalmazó szótár szavaival történik próbálkozás Szótár Értelmes szavak Értelmes szavak + kisbetű és nagybetű Értelmes szavak + spec. karakterek (@_&) és számok A neten kész szótárak találhatók Hatékony, automatizálható támadási forma 8 veszélyforrások

9 A kriptográfiai kulcsok támadási pontot jelenthetnek Jogosulatlan hozzáférések Kriptográfiai támadások Az elterjedt algoritmusok garantálják a visszafejthetetlenséget Gyenge pont: a kulcs (rövid, redundanciát tartalmaz stb.) Feltörési módszerek Brute force támadások Szótár alapú támadások Támadások: Passzív: lehallgatás Aktív: lehallgatás + megváltoztatva továbbítás 9 veszélyforrások

10 Jogosulatlan hozzáférések A logikai hozzáférés védelem fontos összetevője az authentikáció Authentikáció Authentikáció= azonosítás (hitelesítés) A belépni szándékozónak meg kell győznie a rendszert, hogy ő azonos azzal, akinek mondja magát. Azonosítás: név+jelszó alapján. Jelszó változatok: többször használatos jelszó mit tudsz? egyszer használatos jelszó mi van a birtokodban? biometriai jelszó ki vagy? Többszintű hozzáférés védelem: pl. az alkalmazás eléréséhez újabb azonosítás szükséges. Probléma: egy felhasználónak túl sok jelszót kell ismernie, ezért rögzíti őket. Jelszó és felhasználói azonosító együtt soha nem kerülhet postai küldeménybe, még elektronikus levélbe, sms-be sem. Logikai veszélyforrások elleni

11 Jogosulatlan hozzáférések A logikai hozzáférés védelem fontos összetevője az authorizáció Authentikáció Authorizáció= felhatalmazás (access control) A szubjektumok és az objektumok között relációk = hozzáférési jogosultságok ill. jogok léteznek. Jogosultság (permission) pl.: olvasás, írás, végrehajtás, törlés stb. Jog (right) pl.: a rendszer leállítása, a rendszeróra beállítása stb. Nemcsak a rosszhiszemű felhasználástól véd: kárt nemcsak szándékosan lehet okozni. Praktikus elv: szükséges és elégséges hozzáférés elve. Logikai veszélyforrások elleni

12 Jogosulatlan hozzáférések Milyen a jó jelszó? Írott szabályok (Technológiával kikényszeríthető) Hosszú (8+ karakter) Tartalmaz kis- és nagybetűket, számokat, speciális karaktereket Nincs benne értelmes szó, bármilyen szabályosság, ismétlődés, redundancia Időnként meg kell változtatni Nem lehet egyező korábbi jelszavakkal Nem lehet az előző jelszavak shifteltje, rotáltja Íratlan szabályok (Belátáson alapuló) Könnyen megjegyezhető Nehezen jegyezhető meg Illetéktelenek számára nem kitalálható Nem szabad leírni, kimondani, illetéktelenek tudomására hozni 12 Logikai veszélyforrások elleni

13 A logikai hozzáférés védelem komplex megközelítése: IDM rendszerek Jogosulatlan hozzáférések Identity Management Az IDM az informatikai erőforrások használatának lehetőségét szabályozó rendszerek és folyamatok összessége. Utóbbiak központilag és automatizálva biztosítják a következőket: felhasználói accountok kezelése, felhasználók hozzáférési jogokkal való ellátása, felhasználói hozzáférések ellenőrzése. Logikai veszélyforrások elleni

14 IDM rendszerek: a felhasználó menedzsment új megközelítése Jogosulatlan hozzáférések Tradicion ális felhasználó és jogosultság kezelés IDM megköze lítés (Miért szükséges az IDM?) Papír alapú jogosultság kezelés Manuális, rendszerenként elvégzendő feladatok A felhasználók rendszerenként külön accounttal rendelkeznek Az egyes rendszerekben különböző security policy-k léteznek A felhasználók számára alkalmazásonként létre kell hozni az accountokat Hosszú átfutási idejű módosítások A szerepkörök ad-hoc módon alakulnak ki A felhasználó szervezetbeli életútja nem reprodukálható Nagyszámú felhasználó, illetve alkalmazás kezelését kell megoldani Megnőtt a fluktuáció és a vállalaton belüli mozgás gyakori lett (pozíció változások) A felhasználók számára szükséges jogosultság rendszer időben változik A szervezeti felépítés és az alkalmazások sokat változnak Az informatikai infrastruktúrához külsőknek (üzleti partnerek) is hozzá kell férniük Az informatikai környezet heterogén és gyorsan változik Több szervezet hozzáfér egymás informatikai infrastruktúrájához Az üzenetek titkosítása szükséges A hozzáférések auditálhatósága szükséges A hozzáférésekre vonatkozó törvényi előírások léteznek Logikai veszélyforrások elleni Tradicionális problémák Napjaink problémái

15 Jogosulatlan hozzáférések Az IDM integrálja a különböző rendszereket Az IDM rendszerek főbb jellemzői Nemcsak a felhasználókat, hanem az eszközöket is azonosítja Biztosítja a kilépő felhasználók hozzáféréseinek visszavonását A hozzáférések módosítására vonatkozó igényeket valós időben kezeli Lehetővé teszi a hozzáférések 24/7/365 alapon történő menedzselhetőségét Lehetővé teszi a hozzáférések auditálását A szerep alapú jogosultság-szemléletre épül Lehetővé teszi hogy a végfelhasználók saját profiljukat módosítsák Megakadályozza a segregation of duties ellentmondások kialakulását Jogosultságmenedzselési folyamatokra épül Jóváhagyási procedúrákon alapul workflow Lerövidíti az új alkalmazások bevezetési idejét A törvényeknek való magasabb megfelelést biztosít privacy Használatával a kieső munkaidő csökken realtime management, be/kijelentkezések (SSO) Használatával javul a felhasználói elégedettség kevesebb jelszó Használatával költségcsökkenés érhető el - Service Desk Logikai veszélyforrások elleni

16 Jogosulatlan hozzáférések A logikai hozzáférés védelem fontos összetevője a kriptográfia Kriptográfia= titkosítás Az adatokat titkosítva tároljuk vagy továbbítjuk. Primitív titkosítás: egyszerű karakterhelyettesítés vagy keverés. One time pad: a kulcs azonos hosszúságú véletlen sorozat nem megfejthető, de használhatatlan. Kategóriái szimmetrikus rejtjelezés - a kulcsgondozás problematikus aszimmetrikus rejtjelezés. A bizalmasságon túlmenően igényként jelentkezik a letagadhatatlanság Aláírás/elektronikus aláírás Digitális aláírás /üzenet pecsét Logikai veszélyforrások elleni

17 Jogosulatlan hozzáférések Logikai hozzáférés védelem fontos összetevője a határfelületi védelem (határvédelem) Határfelületi védelem: a vállalati hálózat határárán kontrolláljuk a forgalmat Gépek és szoftverek együtt. A hálózat kapcsolódik más, olyan hálózatokhoz, amelyekre nem érvényesíthető a biztonságpolitka. A csatlakozási pontokon ellenőrizzük, naplózzuk a forgalmat: tűzfal (firewall). Packet Filter: csomagokat továbbít vagy eldob (Vizsgálat csomagonként: feladó ill. címzett címe, be/ki stb.) Alkalmazás szintű tűzfal (alkalmazási réteg) Proxy szerver: minden engedélyezett protokollhoz tartozik egy proxy Nem szűr, hanem közvetít, kívülről nem látható a hálózat DMZ (Demilitarized Zone).VPN (Virtual Private Network). Hordozható gépek problémája: Az irodán kívüli használat: adatok leolvashatók, vírus jöhetbe. Megtévesztés: Hasonló felépítésű, de kizárólag megtévesztési céllal üzemeltetett hálózatba történő átirányítás. (pl. hátsó ajtón vagy könnyen feltörhető védelmi jelszavas rendszeren keresztül. ) Lekötjük a támadó erőforrásait, megfigyeljük módszereit, meghatározhatjuk kilétét. Ezeket felhasználva fejleszthetjük védelmünket. Logikai veszélyforrások elleni

18 Kiesések Logikai hibák miatt a folyamatos működés megszakadhat Tipikus logikai hibák Hibák a szoftverekben Alternatív helyszínek hiánya A mentések hiánya, hibás, hiányzó ill. nem megfelelő mentési eljárások Az erőforrások kisajátíthatók, használatuk nincs korlátozva Informatikai eszközök, hálózatok túlterhelése 18 veszélyforrások

19 Kiesések A logikai rendelkezésre állás biztosítása érdekében mentésekre van szükség 19 Jól definiált mentési eljárásokra van szükség Szempontok a mentési eljárások kidolgozásához: Mit? Milyen gyakran? Inkrementális/teljes mentés? Mikor? Mire? Hány példányban? Mennyi ideig? Törvényi előírás lehet, pl. adó, TB, elektronikus aláírás (10 év) Ellenőrzési/ tesztelési tevékenység tényleg működik-e a visszaállítás A média jelölése kritikus lehet Logikai veszélyforrások elleni módszerek

20 Kiesések Hibatűrő rendszerekkel, redundanciákkal a rendelkezésre állás növelhető (1) Megnövelt rendelkezésre állás Hibatűrő rendszer Redundancia Teljes redundancia N+1 redundancia Mindenből komponensből legalább kettő van + egy hibadetektáló algoritmus (vagy ember), aki szükség esetén átkapcsol. Ha EGY komponens meghibásodik, az egész rendszer még működőképes marad. 20 Logikai veszélyforrások elleni

21 Kiesések Hátterek: alternatív helyszíneken kialakított infrastruktúrák Az alternatív helyszínek a hibatűrést növelik Csoportosítás Hideg tartalék (üres helyiség + infrastruktúra) Meleg tartalék (nem minden rendszer) Forró tartalék(minden rendszer) Katasztrófa tűrő helyszín (minden rendszer (sebezhetőségi ablak=0)) Más csoportosítás Lokális (ugyanazon épület, környezet, 500m is lokális) Távoli (több km) (Az alternatív helyszínek a bizalmasság és sértetlenség fenyegetettségét fokozhatják!) 21 Logikai veszélyforrások elleni

22 Kiesések RAID (Redundant Array of Inexpensive Disks) hibatűrő diszk alrendszer (1) (RAID 0) Disk striping Nincs redundancia Nem a megbízhatóság növelése a cél, hanem a diszk kapacitás növelése (diszk terület, párhuzamos írás, sebesség növelés) RAID 1 RAID 2 Mirroring, duplexing - tükrözés Mindent két diszkre írunk párhozamosan Ha az egyik elromlik, az adatok a másikon megmaradnak Magas rendelkezésre állás A szükséges diszk terület megduplázódik Hibajavító kód Több diszk, egyeseken olyan hibajavító kódot tárolnak, amely alapján a diszk hibák detektálhatók és javíthatók (ECC- Error Code Correction) Túlhaladott megoldás: a modern diszkek önmagukban tartalmaznak hibajavító kódokat 22 Logikai veszélyforrások elleni

23 Kiesések RAID (Redundant Array of Inexpensive Disks) hibatűrő diszk alrendszer (2) RAID 3 Paritásdiszk (N+1 diszk) +1 diszk: paritás (XOR) Kis sávok: egy diszk kiesése esetén az adatok visszaállíthatók, de jelentős lassulás következik be Tipikus: 2+1, 5+1; 8+1, 14+1 Nagy fájlok esetén lehet előnyös RAID 4 Hasonlít a RAID 3-hoz, de itt nagy méretőek a sávok A gyakorlatban nem terjedt el RAID 5 Elosztott paritás Hasonlít a RAID 3-hoz, de itt a paritás el van osztva egyenletesen a diszkek között, kiküszöböli a paritás diszk okozta szűk keresztmetszetet A sávok mérete változtatható 23 Logikai veszélyforrások elleni

24 Kiesések RAID (Redundant Array of Inexpensive Disks) hibatűrő diszk alrendszer (3) RAID 6 Kettős paritás Hasonlít a RAID 5-höz, de itt sor és oszlop paritás is van A paritás a diszkeken egyenletesen elosztva Kettős hiba ellen is véd RAID X RAID 7: A sebesség növelése érdekében cache és külön op. rendszer támogatja az array-t RAID 10: Mirroring + Striping (RAID 1+0; RAID 0+1) RAID 53: RAID 3 with striping 24 Logikai veszélyforrások elleni

25 25 Az informatikai biztonság összetevői Általános iskola Webáruház Nagyvárosi önkormányzat Országos hálózattal rendelkező bank Nagyvárosi közlekedési hálózat Gyermekfalu Kórház Ingatlanközvetítő Autókereskedés Bizalmasság Sértetlenség Rendelkezésre állás

26 Malware-ek hatása Malware = rosszindulatú szoftver (1) Vírus Más programokhoz hozzáépül, önmagát reprodukálja Baktériumok, nyulak Pogramférgek Trójai faló - trójai program Keyloggerek, képlopók Önmagukról készítenek másolatot, erőforrások lekötése Önálló, önmagukban is futásképes program, túlterhelést okoz, lebénítja a gépet ill. a hálózatot, tipikusan levélmellékletként terjed Ismert programnak álcázott (rosszindulatú) szoftver, önmagát nem reprodukálja Illegális rögzítés és továbbítás 26 veszélyforrások

27 Malware-ek hatása Malware = rosszindulatú szoftver (2) Logikai bomba Hátsó ajtó csapóajtó kiskapu csapda Adathalászat, phising, whaling Bizonyos feltételek bekövetkezésekor elinduló program, többnyire a szoftverfejlesztők terjesztik Szoftverfejlesztéskor segédeszköz gyorsabb belépés, nyomkövetés Megtévesztésen alapuló jelszó megszerzés SPAM Kéretlen reklám Spoofing hamisítás, címhamisítás Valaki vagy valami másnak adja ki magát Pl. spoofing: Levél hamisított feladóval; IP spoofig: IP címek hamisítása az IP csomagokban 27 veszélyforrások

28 Malware-ek hatása Vírusfertőzésre többféle jel utalhat Vírus van a gépen?! A processzor terhelés indokolatlanul 100% körüli. Az asztalon, a gyorsindítóban vagy a startmenüben ismeretlen új ikon jelenik meg. Egy vagy több alkalmazás elindítás után rögtön leáll, vagy el sem indul. Ha aktív internetes kapcsolatunk van és nem kezdeményezünk semmiféle műveletet (pl.: letöltés, levélküldés) az internet felé, de mégis hosszan tartó aktív forgalmunk van, akkor ez jelezhet egy folyamatba lévő sikeres vírustámadást. Hosszantartó, indokolatlan winchester-aktivitást, elérhetetlenség ( kerreg a merevlemez, villog a LED) akkor, amikor éppen nem dolgozunk a gépen. bejelentkezik a vírus (pl.: egy üzenetet ír ki a képernyőre) Ha a gép gyakran lefagy vagy váratlanul újraindul. Szokatlan hibaüzenetek, jelenségek, képek a képernyőn. A futtatható fájlok mérete növekszik (fájlvírus épült hozzájuk). Fájlok tűnnek el vagy ismeretlen fájlok jelennek meg (pl. szokatlan kiterjesztések). A tárak szabad kapacitása drámaian lecsökken (memória, diszk). A gép lelassul, használata nehézkessé válik, stb. Dátumváltozások. Indokolatlan billentyűleütési zaj. 28 veszélyforrások

29 Malware-ek hatása A hülye is tud vírust írni A vírusírás feltételei A klasszikus vírusok létrehozása komoly szakértelmet, programozói tudást követelt A vírusok forráskódja hozzáférhető A forráskód minimális szakértelmet igénylő módosításával újabb vírus hozható létre Léteznek vírusfejlesztő környezetek (készletek, kitek, vírusgenerátorok), melyek használatához nem szükséges speciális programozói tudás 29 veszélyforrások

30 Malware-ek hatása Védekezés a rosszindulatú szoftverek ellen: antivírus szoftverek Az antivírus szoftverek jellemzői Szekvenciakereső rendszerek (adott vírusra jellemző szignatúrákat keresünk). Változásdetektorok (rendellenes változások keresése). Ellenőrző összegek számítása és követése. Heurisztikus rendszerek (vírusokra jellemző műveletek keresése és minősítése milyen sok van? ismeretlen vírust is detektál, de csak véges valószínűséggel). Memóriarezidens ellenőrző programok (illegális memóriakezelés, diszk művelet van-e). Viselkedésblokkolók (vírusra jellemző akciók blokkoltak pl. magának a levelező kliensnek attachementként történő elküldése vagy, hogy a levelező kliens igen sok példányban fut egy gépen). Immunizáló programok. Egyedi killerek. 30 Logikai veszélyforrások elleni

31 Malware-ek hatása A megfelelő működés kritikus feltétele a frissítés Adatbázis frissítés Naponta többször is A neten vagy szerveren keresztül Szoftver frissítés Szoftver: hibák, akár security hole-ok lehetnek benne Frissítése az adatbázisénál jóval ritkábban szükséges 31 Logikai veszélyforrások elleni

32 Malware-ek hatása A rosszindulatú szoftverek települését meg kell akadályozni A leghatékonyabb védekezés a prevenció 32 Beszerzés: eredeti, jogtiszta szoftver biztos forrásból. Szállítói nyilatkozatok, garanciák szükségesek. Hordozható eszközök használatának korlátozása (okostelefon, notebook, pen drive ). Ellenőrzés minden adathordozóról történő adatbevitel esetén. Azonnali ellenőrzés szokatlan működés esetén. A gépek rendszeres ellenőrzése. Naplózások, a napló kiértékelése, intézkedések. Tesztrendszer kialakítás. Ellenőrzés a határfelületeknél. Fertőzést megelőző szoftver alkalmazás. Biztonságos programozás. Folyamatosan aktualizált vírusirtó programok és folyamatosan frissített adatbázis. A védelem kiterjesztése az egész rendszerre. A biztonsági tudatosság fokozása spam, ismeretlen állományok. megnyitása, figyelmeztetések figyelmen kívül hagyása pl. makrókra történő figyelmeztetés. A bizonytalan eredetű, illegális szoftverek használatának tiltása. A számonkérhetőség biztosítása. Logikai veszélyforrások elleni

33 Malware-ek hatása Mit kell tennünk, ha bekövetkezett a fertőzés? A vírusfertőzés detektálása A vírusfertőzésre utaló jelek Feltárás, vírus eltávolítás Antivírus szoftver alkalmazása Elszigetelés A fertőzés kiterjedésének meghatározása A fertőzött állományok elkülönítése Visszaállítás (szükség esetén) Törlések, visszaállítás mentésből. 33 Logikai veszélyforrások elleni

34 Malware-ek hatása IDS: Intrusion Detection System Illetéktelen hálózati behatolást jelző rendszer Céljuk, hogy felismerjék a hálózatot érő támadásokat, visszaéléseket illetve értesítsék a megfelelő személyeket, esetleg válaszlépéseket tegyenek. A rajtuk áthaladó kommunikációs minták alapján képesek felismerni a behatolási próbálkozásokat. Azonosítják a hálózatban a gyanús vagy kártékony aktivitásokat, észreveszik azokat a tevékenységet amely eltérnek a rendszerek normális működésétől. Figyelik a számítógépek, illetve hálózatok folyamatait, forgalmait és a gyanúsnak vélt folyamatok esetén riasztanak, beavatkoznak. Saját szabályrendszerük alapján eldöntik,hogy egy adott tevékenység a védett rendszeren illegális tevékenységnek minősül-e. Lehetséges válaszlépések: riasztás, felhasználó kiléptetése, tűzfal átkonfigurálása, kapcsolat bontás, skriptek futtatása stb. 34 Logikai veszélyforrások elleni

35 Malware-ek hatása Többféle IDS változat létezik IDS változatok Hálózat-alapú IDS (NIDS): a hálózat forgalmát gyűjti, monitorozza, hálózaton folyó tevékenységeket ellenőrzi. Általában a hálózati aktív eszközöket figyeli, monitorozza. Általában nem foglalkozik azzal, hogy az egyes rendszereken, alkalmazásokon belül (Pl. file szerver, rendszer) mi történik. (Termékek: Shadow, Snort, Dragon, NFR, RealSecure, NetProwler, NetRanger.) Hoszt-alapú IDS (HIDS): munkaállomásokon fut és az operációs rendszer, illetve a futó alkalmazások viselkedését figyeli. Egy-egy önálló rendszer (pl , web) tevékenységének a figyelésére szolgál. Csak a saját hosztjávalfoglalkozik. (Termékek: Data Sentinel, Host IDS, Intruder Alert, Secuplat Host IDS.) 35 Logikai veszélyforrások elleni

36 Malware-ek hatása Az IDS általános felépítése Riasztások True Positive (TP) Van támadás, van riasztás. True Negative (TN) Nincs támadás, nincs riasztás. False Positive (FP) Nincs támadás, van riasztás. False Negative (FN) Van támadás, nincs riasztás. 36

37 Malware-ek hatása IPS: Intrusion Prevention System Illetéktelen hálózati behatolást megakadályozó, megelőző rendszer IDS + beavatkozás Annyival több, mint az IDS, hogy míg az IDS a támadást csak felismerni képes, addig az IPS blokkolni is képes. Az IPS nem várja meg, míg a támadás kialakul, vagy befejeződik, a támadás megelőzésea célja. A rendszer úgy működik, mint egy nagyon intelligens tűzfal. Változatok (mint az IDS esetén) Hálózat-alapú IPS (NIPS): a hálózat forgalmát gyűjti, monitorozza. Hoszt-alapú IPS (HIPS): munkaállomásokon fut és az operációs rendszer, illetve a futó alkalmazások viselkedését figyeli. 37 Logikai veszélyforrások elleni

38 Malware-ek hatása Az IPS az IDS rendszerek továbbfejlesztése Az IDS és IPS rendszerek jelenleg általában a tűzfalakba integrált funkcióként használhatók. 38 Logikai veszélyforrások elleni

39 Szigetszerű Malware-ek hatása működés Keyloggerek és képlopók Funkciók Eltárolja a begépelt szövegeket, lefényképezi a képernyőt. A rögzített tartalmakat akár egy előre beállított címre el is küldi ( , ftp). (Magyarországon minden ilyen és ehhez hasonló program árusítását, vásárlását és használatát törvény bünteti.) 39 veszélyforrások

40 Malware-ek hatása Phishing = adathalászat A felhasználó megtévesztése Személyes adatok ellopása elektronikus módon, törvénytelen cselekedet végrehajtása céljából. A leggyakrabban eltulajdonított adatok: jelszavak, bankkártya adatok. Gyakran használt módszer: A felhasználó olyan t kap, amely úgy néz ki, mintha egy legálisan működő intézménytől - leggyakrabban internetes áruháztól, banktól, aukciós oldaltól - érkezett volna. A felhasználót ezzel csalják az eredetihez hasonlító, de hamis internetes oldalra, ahol aztán valamilyen indokkal személyes adatai, például bankkártya száma, pin-kódja vagy jelszavai megadására kérik fel. Az adathalászat részben a social engineering témakörébe is tartozik. Az adathalászat módszerével megszerzett adatok segítségével támadók a megszemélyesítés módszerével realizálják a hasznot. Megszemélyesítés: A támadó beépül magába a kommunikációba, a kapott üzeneteket elnyeli, s nem juttatja el a megszemélyesítettnek, vagy ha igen, akkor hamis, vagy csonkolt információt juttat csak el. 40 veszélyforrások

41 Malware-ek hatása Whaling - speciális adathalász támadási forma Nagyobb halakra mennek A mennyiség helyett a minőségre mennek az adathalászok: cégvezetőket céloznak speciálisan rájuk szabott adathalász levelekkel. A klasszikus adathalászat (phishing) a spamre alapoz: az adathalász kéretlen levélben próbálja minél több felhasználóhoz eljuttatni a csalit, olyan ügyesen megfogalmazott levél képében, amire az áldozat önként ad meg személyes adatokat, jelszavakat, bankkártyaszámokat, abban a hitben, hogy csak biztonsági ellenőrzésen esik át. A whaling, ahogy a neve is mutatja, a nagy halakra megy rá. Ahelyett hogy sok áldozatot próbálna becserkészni valami általános szöveggel, az adathalász direkt cégvezetőket, középvezetőket vesz célba, és speciálisan rájuk szabott beetető szöveggel csalja ki a nem ritkán vagyont érő adatokat. Az adathalász levelet tipikusan egy leendő üzleti partner, egy állami hivatal, vagy egy fejvadászcég levelének álcázzák, ügyesen másolva az ott szokásos formát és nyelvezetet. A célzott adathalászat azért különösen veszélyes, mert a cégvezetők nyilvános -postafiókjait általában nem ők maguk olvassák, hanem a titkárság szűri meg az oda érkező leveleket. Ha pedig az egyszeri asszisztens lát egy levelet, ami számlákra hivatkozik, jó eséllyel továbbítja a pénzügyi osztályra, ott pedig - mivel látják, hogy a főnöktől érkezett a levél - már fel sem merül a gyanú, hogy egy adathalásznak adják meg éppen a cég fontos adatait. ( 41 veszélyforrások

42 Malware-ek hatása A rosszindulatú szoftver célba juttatásának ideális eszköze az Levélmelléklet A címzettnek futtatnia kell! (A nem megfelelő tudatosság kihasználása ill. megtévesztés) Script HTML formátumú levél esetén lehetséges. Már a levél megnyitása is a script lefutását eredményezi! 42 veszélyforrások

43 Malware-ek hatása SPAM: kéretlen levél, levélszemét (1) SPAM A SPAM-ek okozta károk Túlterhelés, erőforrások indokolatlan lekötése Munkaidő pazarlása Spam szűrés: nem spam jellegű anyagok is elveszhetnek! 43 veszélyforrások

44 Malware-ek hatása SPAM: kéretlen levél, levélszemét (2) Spamtörvény Természetes személynek, vagyis magánszemélynek bármilyen típusú reklámot közvetlen, személyes megkeresésük módszerével, azaz e- mailben vagy azzal egyenértékű más egyéb személyes kommunikációs eszköz útján, csak a címzett kifejezett és előzetes hozzájárulásával lehet küldeni. A büntetés akár szabadságveszés is lehet. 44 veszélyforrások

45 Malware-ek hatása spoofing: Levél hamisított feladóval (1) Fake mail spoofing Az spoofing olyan eljárás, amely segítségével az elektronikus levél feladója meghamisítható - TÖRVÉNYSÉRTÉS A hamisított üzenet (spoofed message) kézhezvételekor a címzett könnyen azt hiheti, hogy a levél olyasvalakitől érkezett, akivel ő valóban kapcsolatban áll, ez pedig megkönnyíti az adathalász (phising) támadások kivitelezését (például bank nevében küldött ek), férgek elterjesztését, de akár a spam hatékonyságát is növelheti (ha például ugyanarról a közösségi portálról gyűjtött címeket használják feladóként és címzettként). Az hamisított t legkönnyebben egy (általában régi verziójú) open-relay SMTP szerver segítségével lehet küldeni, de a célra alkalmasak lehetnek zombi számítógépek is. 45 veszélyforrások

46 A szervezet informatikai rendszerei gyakran szigetvilághoz hasonlítanak Szigetszerű működés Sziget Szigetszerű megoldások a különböző szervezeti folyamatok és feladatok egymástól független, elkülönült informatikai rendszerekkel támogatottak A legtöbb szervezeti egységnek saját, elkülönült informatikai rendszere van Nem biztosítható az egyenszilárdság elve A támadás sikeressége a védelem leggyengébb pontján a legvalószínűbb Optimális megoldás: a védelem minden ponton azonos szintű, azonos ellenálló képességű legyen Nincs egységes szakmai irányítás, az egyes szigetek más-más szervezetekhez tartoznak Ugyanazt több helyen tárolják, több helyen viszik be a rendszerbe (A szigetszerű megoldások fogalmat gyakran más értelemben is használják: ipari folyamatirányító rendszerek vezérlő rendszerei. Jó, ha ezek fizikailag is elkülönülnek az internettől. De a beszállítók a táv hibajavítás, frissítés érdekében arra törekszenek, hogy az illető hálózat integrálódjon a nettel.) Szigetszerű megoldások esetén van pozitívum is: ha egy rendszerbe betörnek, attól a többibe meg nem jutnak be automatikusan. 46 veszélyforrások

47 Hacker tevékenység A hackerek inkorrekt kódot juttatnak a kiszemelt gépre Netről letöltött, inkorrekt kódot tartalmazó program kihasználása Ingyenes programok (pl. képernyőkímélők) Hasznos kisalkalmazások Warez oldalakról letöltött programok ben kapott futtatható állományok HTML formátumú levél script futtatás (A cél nem egy meghatározott, hanem sok potenciális ismeretlen gép) Rosszhiszemű munkatárs tevékenysége a szervezeten belül Futtatható állomány egy vállalati share-ben Automatikusan elinduló állomány a munkatárs profile-jában Inkorrekt kódot tartalmazó driver telepítése Elveszített adtahordozó 47 veszélyforrások

48 Hacker tevékenység Milyen információkat/lehetőségeket keresnek a hackerek? Vállalati szféra Üzleti titoknak számító adatok megszerzése Rombolás (működésképtelenség elérése, web oldalak lecserélése politikai, vallási okból) Nem kívánt tranzakciók elindítása... Magánszféra Az adott rendszer felhasználása más rendszer elleni támadáshoz 48 Jelszavak, banki ügyféladatok: számlaszám, PIN kód Távmunka kihasználása Adóbevallások, szerződések, beszkennelt iratok Zsarolást lehetővé tevő adatok Azok a gépek is potenciális célpontok, amelyeken nincs értékes adat! A visszakövethetőség megakadályozása Erőforrásokhoz jutás DoS (Denial of Services), DDoS (Distribured DoS), támadások Zombi hálózatok kiépítése (más támadások, SPAM küldés ) veszélyforrások

49 Hacker tevékenység A hacker támadások ellen létezik védekezés Illegális kódok ne kerüljenek a gépekre! Kizárólag megbízható forrásból származó programok használata Fájlméretek ellenőrzése Digitálisan aláírt programok letöltése Rendszeres szoftverfrissítések Ismeretlen forrásból származó adathordozó használatának elkerülése Ismeretlen program futtatásnak elkerülése (Cégen belül is!) Paranoia!? 49 Logikai veszélyforrások elleni

50 A hálózati működéshez nagyon sok veszélyforrás kapcsolódik* Hálózati problémák Illetéktelen rácsatlakozás, hozzáférések, forgalmi analízis Jogosulatlan módosítások program, adat Hálózaton keresztüli elérés: rombolás törlés A működés megakadályozása, korlátozása - attack Okostelefonok kihasználása 50 Internet kapcsolat hálózati kapcsolat (A rendszer használója nem rendelkezik az egész hálózat felett!) *Átfedésben vannak a korábbiakkal, de nagy jelentőségük miatt külön, kiemelten tárgyaljuk veszélyforrások

51 A hálózatok logikai védelme technológia megközelítésen alapul Hálózati problémák Hálózatok logikai védelme Technológiai megoldások Triviális megoldás: izolált működtetés Kriptográfia IPSec, VPN Határfelületi védelem 51 Logikai veszélyforrások elleni

52 Hálózati problémák A példák hálózatok logikai védelmére vonatkozó feladatokra Alkalmazások, protokollok Nem titkosított jelszótovábbítást használó alkalmazások kizárása (telnet, ftp) megoldás: pl. ssh. Szükségtelen hálózati szolgáltatások inaktiválása Szükségtelen szállítási protokollok inaktiválása (pl. IPX/SPX) Illegális szoftvertelepítések megakadályozása Nem használt csatlakozók inaktiválása menedzselt hálózatok Ellenőrzések, frissítések Rendszeres ellenőrzések, diagnosztikai programok. Op. rendszer és alkalmazások security hole-jainak kezelése Levelezési szabályok (filtering rules), tartalomszűrés Penetration teszt Intrusion Detection System (IDS) Intrudsion Prevention System (IPS) Naplózások megfelelő konfigurálása és kiértékelése 52 Logikai veszélyforrások elleni

53 Hálózati problémák Az okostelefonok gyakorlatilag számítógépek, speciális védelmi megoldásokat igényelnek Az okostelefonokra vonatkozó legfontosabb szabályok A PIN kódon túlmenően jelszavas védelem Titkosított fájl tárolás Mentések Eladás előtti törlés, kölcsönadás csak felügyelettel Különös figyelem a vírusokra MDM (Mobile Device Management) alkalmazás 53 Logikai veszélyforrások elleni

54 Hálózati problémák Okostelefonok védelmének lehetséges módszere: MDM (Mobile Device Management) MDM: szervezeti szintű megoldás Jellemző MDM funkcionalitások Távoli lockolás, távoli törlés Jelszó kikényszerítés Naplózás DLP (Data Leakage Prevention), adatszivárgás elleni védelem Védelem rosszindulatú kód ellen Alkalmazások távoli letöltése Frissítések telepítése Szoftver hiba javítás Távoli adatmentések Távoli adatvisszatöltés Leltár készítés 54 Logikai veszélyforrások elleni

55 Hibás dokumentáció A hiányos, hibás, nem létező dokumentáció is veszélyforrást jelent A dokumentáció Nem létezik Nincs aktualizálva Nem értelmezhető Nincs jóváhagyva A dokumentáció Aktualizált Használható Jóváhagyott 55 veszélyforrások

56 1. A jelszavakra érvényesek a következők: a. A legalább 8 karakterből álló jelszavak gyakorlatilag feltörhetetlenek. b. A rendszerek a jelszavakat titkosítottan tárolják. c. Biometriai azonosítás esetén alkalmazásuk fölösleges. d. A jelszó-emlékeztető használatát kerülni kell. 2. Az adatvédelem a. Az adatok bizalmassági kérdéseivel foglalkozik. b. Az adatok rendelkezésre állási kérdéseivel foglakozik. c. A preventív intézkedések költségével foglakozik. d. A technológiai követelmények konkrét megvalósításával foglakozik. 3. A social engineering a következőt jelenti: a. Az adott társadalom informatikai biztonsági szintére vonatkozó mérési eljárások. b. Az emberi hiszékenység kihasználásán alapuló visszaélések. c. A nemzetközi katonai stratégiák közvetlen társadalmi hatásai. d. Az informatikai biztonság biztosítása szabályzatok alapján. 56

57 4. A biztonságra jellemzők a következők: a. Kedvező állapot, amelynek megváltozása nem kizárható, de kis valószínűségű. b. Ha nincs folyamatosan fejlesztve, önmagától leromlik. c. Többféle termék és szolgáltatás alkalmazásával, ill. igénybe vételével megteremthető. d. A munkatársak oktatásával és szabályzatokkal megteremthető. 5. Rendelkezésre állási probléma a következő: a. Az adatbázisból eltűntek azok a rekordok, amelyekben a születési idő mezőben szerepel. b. A felhasználók ismerik egymás jelszavát. c. Az adathordozók selejtezése során nem alkalmaznak fizikai megsemmisítést. d. A jelszavakat titkosítatlanul továbbítják a hálózaton. 6. Az informatikai rendszer elemei közé tartoznak a következők: a. A kábelezési nyomvonalakat tartalmazó rajzok. b. Az audit jelentések. c. Portaszolgálat. d. Klíma rendszer. 57

58 Köszönöm a figyelmet!