A digitális világ biztonságos használata (internet és informatikai biztonság) Göcs László főiskolai tanársegéd, PhD hallgató NJE GAMF MIK informatikai igazságügyi szakértő
Az informatikai biztonság fogalma A központban áll egy érték, az adatok által hordozott információ, amelyet az egyik oldalról támadnak, a másik oldalon az információk tulajdonosa pedig védi azt. Mindkét fél egymástól független, egymás számára ismeretlen stratégiával igyekszik megvalósítani támadási, illetve védelmi szándékait. A védő mindig többet veszít, mint amit a támadó nyer.
Az adatot, mint a támadások alapvető célját a következő rendszerelemek veszik körül: az informatikai rendszer fizikai környezete és infrastruktúrája, hardver rendszer, szoftver rendszer, kommunikációs, hálózati rendszerek, adathordozók, dokumentumok és dokumentáció, személyi környezet (külső és belső). MINDEGYIKRE KÜLÖNBÖZŐ FENYEGETETTSÉGEK HATNAK!
Az informatikai biztonságot úgy határozhatjuk meg, hogy az az állapot amikor az informatikai rendszer védelme - a rendszer által kezelt adatok bizalmassága, hitelessége, sértetlensége és rendelkezésre állása, illetve a rendszerelemek rendelkezésre állása és funkcionalitása szempontjából - zárt, teljes körű, folyamatos és a kockázatokkal arányos.
Minőségbiztosítás Információvédelem Védelemtudomány Hagyományos biztonság Informatika Informatikai biztonság Megbízható működés Jogtudomány
A BIZTONSÁGI STRATÉGIA MEGHATÁROZÁSA Milyen úton érjük el a célt? Honnan indulunk? Hova akarunk eljutni?
A kár jellege: Dologi károk, amelyeknek közvetlen vagy közvetett költségvonzatuk van károsodás az infrastruktúrában (épület, vízellátás, áramellátás, klímaberendezés stb.), károsodás az informatikai rendszerben (hardver, hálózat sérülése stb.), a dologi károk bekövetkezése utáni helyreállítás költségei;
A kár jellege: Károk a politika és a társadalom területén állam- vagy szolgálati titok megsértése, személyiséghez fűződő jogok megsértése, személyek vagy csoportok jó hírének károsodása, bizalmas adatok nyilvánosságra hozatala, hamis adatok nyilvánosságra hozatala, közérdekű adatok titokban tartása, bizalomvesztés hatóságokkal, felügyeleti szervekkel szemben;
A kár jellege: Gazdasági károk pénzügyi károk, lopás károk, az intézmény vagy cég arculatának (image) romlása, rossz üzleti döntések hiányos vagy hamis információk alapján; Károk a tudomány területén kutatások elhalasztódása, eredmények idő előtti, illetve hamis név alatti nyilvánosságra kerülése, tudományos eredmények meghamisítása.
Védendő adatoknak alapvetően négy csoportját különíthetjük el: nyílt, szabályozók által nem védett adat, érzékeny (védendő), de nem minősített adat, szolgálati titok, államtitok.
Érzékeny, de nem minősített adatok A jogszabályok által védendő adatok: személyes, illetve különleges adatok, az üzleti titkot, a banktitkot képező adatok, az orvosi, az ügyvédi és egyéb szakmai titkok, a posta és a távközlési törvény által védett adatok stb., és az egyes szervezetek, intézmények illetékesei által, belső szabályozás alapján védendő adatok.
INTERNET HASZNÁLAT
Internet Az internet olyan globális számítógépes hálózat, amelyen a számítógépek az internetprotokoll (IP) segítségével kommunikálnak. Felhasználók milliárdjait kapcsolja össze és lehetővé teszi olyan elosztott rendszerek működtetését, mint például a WWW (World Wide Web).
Statisztika 2018. Április 10. 16:04 20 perc alatt 2018. Április 10. 16:24 74.814 10.143 72.160.425 Forrás: http://www.worldometers.info/hu/
KSH Statisztika Rendszeres internethasználók aránya (2006 2017) A 16 74 éves személyek százalékában Magyarországon. (Rendszeres használat: a felmérést megelőző három hónapban átlagosan hetente legalább egyszer) Év 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 % 41 48 55 57 60 66 69 71 74 72 78 76 Forrás: https://www.ksh.hu/docs/hun/eurostat_tablak/tabl/tin00091.html
Mire használjuk az Internetet? Információ szerzés Kapcsolattartás Tanulás Munka Játék Zene hallgatás Filmnézés Letöltés
TOP 10 (Balabit felmérés) Social engineering (például adathalászat) Kompromittált hozzáférések (gyenge jelszó) Web alapú támadások (SQL/command injection) Kliens oldali támadások (például dokumentum olvasó, web böngésző) Szerverfrissítésekre írt expoit-ok (például OpenSSL, Heartbleed) Nem menedzselt privát eszközök (például rossz BYOD szabályzat) Fizikai behatolás Árnyék informatika Külső szolgáltatók igénybevétele (kiszervezett infrastruktúra) Felhő infrastruktúrába kihelyezett adatok megszerzése (például IAAS, PAAS) Forrás: http://hvg.hu/tudomany/20160218_balabit_hackerek_nepszeru_betoresi_modok
TÁMADÁSOK https://cybermap.kaspersky.com/ http://map.norsecorp.com/
Legbiztosabb módszer a védekezésre?
JELSZAVAK
JELSZAVAK Használata egyszerű Legolcsóbb védelem Észrevétlenül másolható és tulajdonítható el (nincs visszajelzés ha más birtokába került) Erős védelem megjegyezhetősége nehéz
A jelszó minőségek meghatározói Hosszúság minden egyes hozzáadott karakter növeli a jelszó értékét; 8 vagy annál több karakter minimum szükséges egy erős jelszóhoz, de 14 vagy annál több lenne az ideális. Komplexitás minél többféle karaktert alkalmazunk, annál nehezebb kitalálni a jelszót, használjuk a teljes billentyűzetet. Jelszó bonyolultsági feltétel: Angol nagybetűs karakterek (A-tól Z-ig) Angol kisbetűs karakterek (a-tól z-ig) Az alapvető 10 számjegy (0-tól 9-ig) Nem betű jellegű karakterek (például!, $, #, %) Lejárati idő Időközönként változtassuk meg (ha kompromittálódott segít a védekezésben)
Hogyan védjük a jelszavakat? Ne mondjuk el és ne adjuk oda másnak! Vigyázzunk a leírt vagy mentett jelszavakra! Soha ne írjuk meg a jelszavadat e-mailben, és ne válaszoljunk a jelszót elkérő levelekre! Ne írjuk be a jelszavunkat olyan számítógépen, amelyet nem ismerünk! Használjunk több mint egy jelszót!
Erős jelszó példa Találjunk ki egy mondatot, amit könnyen észben tudunk tartani! Például: A kisfiam Lacika egy éves. Alakítsuk a mondatot jelszóvá! Használjuk minden szó első betűjét, hogy egy betűsorozatot kapjunk: aklee Bonyolítsuk a szöveget egy kis fantáziával! Vegyítsd a kis- és nagybetűket, használjunk számokat a betűk helyett. Például: AkLeE -> A2LeE Vonjunk be speciális karaktereket! Használjunk olyan szimbólumokat, amelyek hasonlítanak bizonyos betűkhöz: A!2?L#e%E A!2?L#e%E
Mobil telefonok PIN kód Egy négy számjegyből álló kód 10 ezer lehetőséget rejt, azonban a felhasználók 15%-a ebből csupán 10-et használ (1234, 2222, 0000, 1991 ). Android belépési minta 9 pont elhelyezve egy négyzetesen, egy megadott útvonalat kell bejárni az újjunkkal. Hátrány: Az újaink nyomot hagyhatnak és könnyen megfejthető a kód
Operációs rendszer belépési jelszava
Wifi Jelszó Ne a gyári beállításokat használjuk Automatikus csatlakozás Kapcsolódó eszközök regisztrálása
Jelszótörő módszerek Brute Force (nyers erő) Módszeresen az összes lehetséges jelkombinációt kipróbálja. Csak akkor, ha minden más eljárás eredménytelen Nagy teljesítményű gépet igényel A jelszó hosszától, illetve a használt jelektől függően nagyon sok időre van szükség A végeredmény sem biztos Szótár alapú A legtöbb felhasználó a hétköznapi nyelvezetből, magánéletéből használja a szavakat, vagy szótöredékeket. Lényegesen kevesebb időt igényel Nem vezet mindig eredményre
Adathalászat Figyelem felkeltés Megtévesztés
Álhírek Látogatottsági számok növelése Reklámok Profil váltás
Ál weboldal - az adatlopás felülete
Biztonságos böngészés HTTPS:// böngészés
Felhívások
Többlépcsős hitelesítés 1. Azonosító + Jelszó 2. SMS 1. Email cím (azonosító) 2. Jelszó 3. Azonosító kód (telefonra)
Elektronikus levelezés (E-mailek)
Kéretlen levél /spam/ - Kéretlen levél minden olyan elektronikus levél, amelyet a címzett nem kért. Leggyakoribb előfordulási formája a kéretlen reklám. Az ilyen küldemény gyakran még kéretlen betolakodót (vírust) is hordoz. A levél feladója, tárgya és szövege olyan gyakran változik, hogy ezen levelek szűrése, egyszerű minta alapján nem lehetséges. Beugrató levél /hoax/ - Hamis levélriasztás, mely az emberek jóhiszeműségére építve, hatalmas levélforgalmat generál, ezzel a levelező rendszereket lassíthat, vagy béníthat meg. Kártékony programot nem tartalmaz, ha tartalmaz, akkor már vírusnak /malware/ hívják.
Elektronikus levelezés veszélyei Kéretlen levelek, reklámok Megtévesztő információk Adatkérés -> adatlopás Veszélyes mellékletek (vírus, kémprogram)
Támadás jelei, formái A feladó neve, és maga az email cím valódisága Komoly téma -> telefon Hivatalos levél nem feltétlen jön már @citromail.com, @freemail.hu stb címről Mellékletek
no-reply@supp-paypolid-appids.net no-reply@app-paypolid-appids.net no-reply@paypolid-sup-appids.net
A valódi felület hivatkozása:
Megtévesztő feladó, veszélyes melléklet Titkosító vírus vagy Keylogger!!!
Veszélyes melléklet Keylogger Minden billentyűzet leütést rögzít, továbbit emailre Kategóriákba szedi (böngésző, gépelés, programok indítása ) Már nem csak exe fájtként hanem jpg fájlban is terjed
Közösségi oldalak
Közösségi oldalak Csak valódi ismerősöket jelöljünk meg. Lehetőleg ne jelöljünk meg olyanokat, akiket csak látásból ismerünk!
Adatvédelmi beállítások
Adatvédelmi beállítások
Közösségi oldalak Az elérhetőségeknél a lehető legkevesebb személyes információt adjunk meg! Ne tegyünk fel magunkról figyelemfelhívó, kihívó képet! A fotók sok mindent elárulhatnak, háttér információkat adnak mások számára!
FÁJL VÉDELEM
Fájlok ellen irányuló támadás Helyi számítógépen: Vírus által törlődnek vagy kódolva lesznek Felhő alapú tárolásnál: adathalászat következtében -> hozzáférés Elhagyott adathordozó (Road Apple)
https://www.youtube.com/watch?v=gz2kmmsmpmi CryptoLocker támadás
ADATMENTÉS KÜLSŐ TÁROLÓRA! Fontos adatainkat, munkáinkat időközönként mentsük külső adathordozóra, amit csakis az adatmentéskor csatlakoztassunk a gépünkhöz (Internet kapcsolat nélkül).
ADATMENTÉS FELHŐBE! Fontos adatainkat, munkáinkat időközönként mentsük felhő alapú tárhelyre.
TITKOSÍTÁS Hordozható eszközök elvesztése eltulajdonítása esetén. A kár jellege csak anyagi (az eszköz értéke) de erkölcsi, üzleti, személyes kár nem keletkezik.
TITKOSÍTÁS Az adathordozó titkosítása. 16GB Pendrive 6GB titkos 10GB szabad
TITKOSÍTÁS Partíció ( D:/ ), teljes merevlemez tikosítás. Régen TrueCrypt néven futott.
TITKOSÍTÁS Külső meghajtó, partíció, teljes merevlemez tikosítás A Windows operációs rendszerekbe beépített.
Internetes vásárlás Bankkártya regisztrálás KÜLÖN ELEKTRONIKUS SZÁMLA Különítsük el a fő bankszámlánktól Csak az aktuális összeget utaljuk rá
Szoftver letöltés Ingyenes programok veszélye!!! Driverek http://download.drp.su/online/driverpack-online_232641818.1472022580.exe Csakis a gyártó oldaláról Megéri a 10-20 $ ár egy megbízható forrásból származó szoftverért
Köszönöm a figyelmet!