1960-as évek Fizikai károkozások 1970-es évek Illegális computer használat Adatok manipulálása Tradicionális computer bűnözés megjelenése 1980-as

Átírás

1 Szeile Aliz

2 1960-as évek Fizikai károkozások 1970-es évek Illegális computer használat Adatok manipulálása Tradicionális computer bűnözés megjelenése 1980-as évek (személyi számítógépek elterjedése) Szerzői jogok sérelmére elkövetett bűncselekmények Távolról elkövetett bűncselekmények 1990-es évek Új támadási módszerek: jelszótörők 21. század Vezeték nélküli technológiák elleni támadások

3 Citibank eset 1994 A Citibank Financial Institutions Citibank Cash Manager rendszerét támadták meg. Később elfogták és bíróság elé állították New Yorkban. Mintegy 10,4m USD-t tulajdonított el a peranyag szerint. A pénzt az alábbi országokban lévő számlákra utalta: Finnország, USA, Izrael, Hollandia.

4 Transz-szibériai gázvezeték robbanás ben végrehajtott szabotázs akció eredménye az egyik legnagyobb ember által okozott nem nukleáris robbanás. Egy KGB ügynök (kódneve Farewall) 1981-ben közel 4000 titkos dokumentumot adott át a francia titkosszolgálatnak. Köztük mintegy 250 Line X ügynök nevét akik beépültek külügyi képviseletekbe. A Szovjetek egy kanadai cégtől vásárolták meg a gázvezeték üzemeltetését végző SCADA programot. A CIA közbenjárására a programban volt egy részlet ami előidézte az 1982-es robbanást, ami mintegy 300 kiló-tonna TNT erejének felelt meg.

5 Stuxnet vírus 2010 SCADA rendszer elleni támadás egy igen szofisztikált formája. A fertőzött gépek 58%-a Iránban volt található. Érdekessége, hogy négy 0-day sebezhetőséget is képes volt kihasználni. Kernel módban futó rootkit-et tartalmazott, mely digitálisan aláírt eszközmeghajtókra épült. Ezeket a JMicron és a Realtek tanúsítványával írták alá. Stuxnet változatja a rendszer frekvenciáját 1410 Hz, 2 Hz és 1064 Hz értékekre.

6 Általános problémák: Kiadások csökkentése, kutatási előrehaladás, stb. ellentétes érdekekben áll a védendő egyénekkel Példa: orvosi feljegyzések eladása, online banki ügyintézés Fontos a hírnév megőrzése, ezért nem adják ki az összesített adatokat a támadásokról Hiteles információ hiánya miatt nehezebb a tájékozódás A vevők nem mernek befektetni fizetni a jó minőségű termékre -> a rossz biztonságú termékek kiszorítják a jókat a piacon

7 Támadás és védekezés modellezése Személyes adatok megsértése Malware és botnetek Fizetési rendszerek biztonsága

8 Az információbiztonsági rendszerek tervezésénél figyelembe vették a támadók lehetséges képességeit is Az Internet elterjedésével már nem csak a képességeket, hanem a motivációkat is figyelni kell.

9 4 résztvevő: Kártyabirtokos Kártyabirtokos bankja (kibocsátó) Kereskedő Kereskedő bankja (felvásárló) Hamis tranzakció esetén a felelősség a körülményektől függ.

10 Misaligned incentives Az egyik megfigyelés, ami felkeltette az érdeklődést az information secutity economics felé a bankoktól jött. Példa: USA-ban ha az ügyfél vitatja a tranzakciót, a bank köteles vagy bebizonyítani, hogy az ügyfél csalt, vagy visszafizetni a pénzt. Az UK-ban a bankok ilyenkor azzal érvelnek, hogy a rendszerük biztonságos és az ügyfél téved. Hidden-action problémák Ha két fél szeretne üzletelni, de az egyik nem megfigyelhető tevékenységeket végez, akkor ezek hatással lehetnek az eredményre.

11 Externáliák Az externália egy gazdasági szereplő tevékenysége következtében felmerülő káros vagy előnyös, nem szántszándékkal okozott hatás, amely piaci ellentételezés nélkül befolyásolja egy másik gazdasági szereplő helyzetét. Az információs iparágaknak több externáliája is van. Ezek 3 fő okból befolyásolják az iparágak működését.

12 1. Hálózati externáliák A hálózat növekedésének az értéke lineárisan több, mint a felhasználók száma. 2. Technical lock-in együttműködés A piacok kétoldalúak lehetnek Pl. szoftver cégek fejlesztenek a Windowsnak a több vásárló érdekében, a felhasználók több Windows terméket vásárolnak, hogy hozzáférésük legyen a szoftverekhez. 3. Magas fix és az alacsony mellékes költségek kombinálása Egy szoftver első példánya több milliós költségű is lehet, míg egy következő példánya akár már közel ingyenes is.

13 A program helyessége függ a minimális erőfeszítéstől, amit a programozók beletesznek, míg a szoftver sérülékenység vizsgálat függhet az összes erőfeszítéstől mindenki részéről. A minimális erőfeszítésnél a legkisebb haszonköltség arány dominál. Ahogy egyre több szereplőt adunk bele, a rendszerek egyre megbízhatóbbak a total-effort esetében, de kevésbé megbízhatóak a leggyengébb láncszem esetében. Mit lehet tenni?

14 A szoftver cégeknek több szoftver tesztelőt kell felvenni és kevesebb, de kompetensebb programozót.

15 Anderson 2002-ben megmutatta, hogy a nyílt rendszerek és a szabadalmazott rendszerek ugyanolyan biztonságosak. A rendszerek nyitottsága egyaránt segíti a támadókat és a védettséget is.

16 A sebezhetőség nyilvánosságra hozatala hosszú távon javíthatja a rendszer biztonságát. Segít a gyártók motiválásában a javításra. Ezzel egyidejűleg alapot ad a támadásokra. Vizsgálatok azt mutatták, hogy kezdetben több a támadás, de később rohamosan csökken a sérülékenység.

17 Sebezhetőség piaca Segíti a vevők és az eladók közötti tényleges költséget megállapítani. Különböző szabványoknak más a minimális költsége a különböző technikai megvalósítások miatt. Bug fejpénz: Jutalmak az embereknek, akik hibákat találnak a szoftverekben. Pl. a Mozilla 500 $-t kínál egy kritikus biztonsági rés megtalálásáért.

18 Egy másik megközelítés lenne a biztosítás. Egy szakértő felülvizsgálja a cég informatikai infrastruktúráját és a menedzsmentjét, ezzel biztosítva az adatokat. A cyber-biztosítási piac azonban napjainkban elmaradott és kihasználatlan.

19 Az Internet sokoldalú felhasználása, a robbanó kereskedelem és az online vásárlások szükségessé teszik a személyes adatok fokozott védelmét.

20 Algoritmikus mechanizmus-tervezés A kutatók igyekeznek a hálózati protokollokat úgy tervezni, hogy a csaláson ne legyen senkinek se nyeresége. Az egyik legfontosabb kihívás az, hogyan lehet tisztességesen megosztani a digitális erőforrásokat.

21 Hálózati topológia és információ biztonság Nemrég volt egy együttműködés a fizikusok és a szociológusok között a komplex hálózatok elemzésére és a társadalmi interakciókra való hatásaira. Gyakran előfordul, hogy a támadó megpróbálja kihúzni a hálózatot a csomópontok vagy élek kitörlésével. Különböző hálózatok különböző robosztus tulajdonságokkal rendelkeznek. Albert, Jeong és Barab'asi megmutatták, hogy bizonyos valós skálafüggetlen eloszlású hálózatok sokkal inkább ellenállnak véletlen támadásoknak, mint a célzott támadások.

22 Nagyméretű projektmenedzsment Jobb technikai eszközök segítségével a nagyobb rendszerek ugyanolyan arányban lehetnek rosszabbak. Ez arra utal, hogy egy projekt kudarca nem csak a technikai okokból valósulhat meg, hanem társadalmigazdasági tényezők is közrejátszhatnak benne. A nagy szoftver-projekt hibák elsősorban túlzottan ambiciózus vezetés, homályos módosítási előírások, rossz kommunikáció miatt lehetnek. Fontos időben felismerni a jeleket, hogy módosítást kell végrehajtani. A CIO of the UK s Department of Work and Pensions a közelmúltban elismerte, hogy csak 30 %- a sikeres a kormányzati informatikai projekteknek.

23 Pszichológia és biztonság Szociálpszichológusok kimutatták, hogy az embereket könnyű rábeszélni arra egy csoport nyomása alatt, hogy biztonsági szempontból ne viselkedjenek megfelelően.

24 Az információbiztonság alapproblémájának megfogalmazását legszemléletesebben a játékelmélet segítségével adhatjuk meg. A központban egy érték, az információ áll, amelyet egyik oldalról a támadnak, a másik oldalon pedig a tulajdonos megpróbálja védeni. Mindkét fél egymástól független, egymás számára ismeretlen stratégiával igyekszik megvalósítani a szándékait. A játékelmélet nyelvén ez a szituáció a két személyes, nullától különböző összegű játékkal modellezhető. A játék kimenetele abban az értelemben nullától különböző, hogy a védő mindig többet veszít, mint amit a támadó nyer.

25 A játékosok racionálisak, azaz megpróbálják maximalizálni a hasznukat Játék formális megfogalmazása: G= (P,S,U) P: játékosok S: stratégia U: végeredmény (haszon)

26 A játékosok egymástól függetlenül a játék elején meghozzák az összes döntésüket. Mivel a játékosok többlépcsős döntéseket, azaz stratégiákat is mérlegelnek, ezért sokkal gazdagabb a statikus játékok világa, mint első látásra gondolnánk.

27 2 gyanúsított (együtt követtek el egy bűnt) Elkülönítés után vallatás Ha mindkettő tagad -> szabadláb Ha mindkettő vall -> börtön Ha egyik vall, másik tagad -> a valló enyhébb büntetést kap Mi lesz a játék egyensúlya? Ki mikor kerül ki jobban a helyzetből?

28 Van olyan lehetőség, hogy a játékosok egyszerre lépnek. Fel kell tűntetni a lépések sorrendjét. Véges irányított fa Gyökér: ahol a játék kezdődik Minden pontjához a gyökérből pontosan egy úton lehet eljutni. A gráf minden pontján meg van határozva, hogy melyik játékos lép és milyen lépéseket tehet. A fa minden végpontján egy n-elemű vektor megszabja, hogy az egyes játékosok mennyit nyertek.

29 A sakkban két játékos (a világos és a sötét) játszik egymás ellen. Meghatározott szabályok szerint léphetnek felváltva. Győzelem: matt Döntetlen: az egyik fél nem tud lépni, pedig a királya nincs sakkban; egy helyzet háromszor megismétlődik. Tökéletes információjú véges játékról van szó, de olyan bonyolultról, hogy eddig még senki sem tudta meghatározni a győztes stratégiát.

30 Ross Anderson: The Economics of Information Security, Science 314 (2006) Ross Anderson: Wy Information Security is Hard, University of Cambridge Computer Laboratory, JJ Thomson Avenue, Cambridge CB3 0FD, UK Tyler Moore and Ross Anderson: Economics and Internet Security: a Survey of Recent Analytical, Empirical and Behavioral Research, Computer Science Group, Harvard University, Cambridge, Massachusetts Félegyházi Márk Economics of Security and Privacy című tárgyának anyagai Antal Lajos: Partner Security and Privacy Services, Deloitte 2010 Andrew Odlyzko: Economics, Psychology, and Sociology of Security, Digital Technology Center, University of Minnesota, 499 Walter Library, 117 Pleasant St. SE, Minneapolis, MN 55455, USA Simonovics András: Bevezetés a játékelméletbe: vázlat, MTE Közgazdaságtudományi Kutatóközpont, 2007

31