Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc
Adatbiztonság, Adatvédelem Dr. Leitold, Ferenc Publication date 2013 Szerzői jog 2013 Dr. Leitold Ferenc Szerzői jog 2013 Dunaújvárosi Főiskola Kivonat Ez egy moodle kurzus amely az adatbiztonság, adatvédelem videóvezérelt tananyagot tartalmazza. Minden jog fenntartva.
Tartalom 1. Bevezetés... 1 2. 2. Kriptográfiai algoritmusok... 2 1. 2. Kriptográfiai algoritmusok... 2 2. 2.1 Egyszerű algoritmusok (1)... 2 3. 2.1 Egyszerű algoritmusok (2)... 2 4. 2.1 Egyszerű algoritmusok (3)... 2 5. 2.2 Redundancia és frissesség... 3 6. 2.3 Szimmetrikus algoritmusok (1)... 3 7. 2.3 Szimmetrikus algoritmusok (2)... 3 8. 2.3 Szimmetrikus algoritmusok (3)... 3 9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1)... 3 10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2)... 4 11. 2.5 Hash algoritmsok... 4 12. 2.6 Digitális aláírás... 4 13. 2.7 PGP... 4 14. 2.8 Elektronikus aláírás törvény Magyarországon... 4 15. 2.9 A digitális aláírás használatának biztonsági problémái (1)... 5 16. 2.9 A digitális aláírás használatának biztonsági problémái (2)... 5 17. 2.9 A digitális aláírás használatának biztonsági problémái (3)... 5 3. 3. Operációs rendszerek biztonsága... 6 1. 3.1 Hitelesítés... 6 2. 3.2 Hozzáférés-védelem... 6 3. 3.3 Windows alapú operációs rendszerek biztonsága... 6 4. 3.4 UNIX alapú operációs rendszerek biztonsága... 6 5. 3.5 Biztonságot fokozó technikák... 7 4. 4. Alkalmazások biztonsága... 8 1. Alkalmazások biztonsága... 8 2. 4.1 Puffertúlcsordulás... 8 3. 4.2 SQL injekció... 8 4. 4.3 Mellékcsatorna támadások (1)... 9 5. 4.3 Mellékcsatorna támadások (2)... 9 6. 4.3 Mellékcsatorna támadások (3)... 9 7. 4.3 Mellékcsatorna támadások (4)... 9 5. 5. Hálózatok biztonsága... 10 1. Hálózatok biztonsága... 10 2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása... 10 3. 5.2 Kommunikációs protokollok támadása... 10 4. 5.3 Védekezési lehetőségek... 11 6. 6. Kártevők... 12 1. 6.1 Kártevők története, fejlődése (1)... 12 2. 6.1 Kártevők története, fejlődése (2)... 12 3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1)... 12 4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2)... 12 5. 6.3 Boot, file, makró vírusok(1)... 13 6. 6.3 Boot, file, makró vírusok(2)... 13 7. 6.3 Boot, file, makró vírusok(3)... 13 8. 6.4 Vírusok tulajdonságai... 13 9. 6.4 Vírusok tulajdonságai(2)... 13 10. 6.5 Interneten terjedő kártevők... 14 11. Interneten terjedő kártevők (2)... 14 12. Interneten terjedő kártevők (3)... 14 13. 6.6 Védekezési lehetőségek... 14 7. 7. Informatikai biztonság kialakítása... 15 1. 7.1 Informatikai biztonság tervezése, tesztelése... 15 2. 7.2 Technikai kialakítás... 15 3. 7.3 Az emberi tényező kezelése... 15 iii
Adatbiztonság, Adatvédelem 8. Összefoglalás... 16 Tárgymutató... 17 iv
1. fejezet - Bevezetés Az informatikai eszközök használata mára teljesen hétköznapivá vált. Ahhoz, hogy ezen eszközök használatában megbízhassunk az informatikai biztonság kérdéseire is oda kell figyelnünk, legyünk akár a területen jártas szakértők, vagy akár laikus felhasználók. Az informatikai eszközök és az általuk kezelt adatok vonatkozásában az informatikai biztonság szempontjából a bizalmasság, a sértetlenség és a rendelkezésre állás merül fel: - Bizalmasság (Confidentiality): Az informatikai eszközön kezelt adat szempontjából lényeges, arra vonatkozik, hogy az adatot csak és kizárólag az arra jogosultak és csakis a jogosultságuknak megfelelő mértékben ismerhetik meg, illetve rendelkezhetnek a felhasználásáról. - Sértetlenség (Integrity): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az adat tartalma és a hozzá tartozó tulajdonságok az elvárttal megegyeznek, beleértve, hogy az adat az elvárt forrásból származik (hitelesség) és igazolható az adat eredete (letagadhatatlanság). Informatikai eszköz esetén a sértetlenség arra vonatkozik, hogy az eszköz az elvártnak megfelelően működik. - Rendelkezésre állás (Availability): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az informatikai eszköz és a rajta tárolt adat a megfelelő jogosultsággal rendelkezőknek, az elvártnak megfelelő időben és időtartamra használható. A bizalmasság, a sértetlenség és a rendelkezésre állás hármast az angol kezdőbetűk nyomán CIA-elvnek nevezik. Manapság az informatikai rendszerekkel szembeni fenyegetések többsége az internetről érkezik. Ebben a dokumentumban a teljesség igénye nélkül a legáltalánosabb fenyegetési formákat tekintjük át és a lehetséges védekezési módokat összegezzük. A kommunikáció többszörösen jelenik meg az informatikai biztonság esetén. Egyrészt manapság a védendő adat általában része valamilyen kommunikációnak, a fenyegetések többsége is kommunikáción alapul, és a hatékony védekezési megoldások jelentős része is a kommunikációt használja. Minőségi koncepciók, alapfogalmak. Minőségi koncepciók, alapfogalmak 1
2. fejezet - 2. Kriptográfiai algoritmusok 1. 2. Kriptográfiai algoritmusok Kriptográfiai algoritmusok Kriptográfiai algoritmusok 2. 2.1 Egyszerű algoritmusok (1) Egyszerű algoritmusok (1) Egyszerű algoritmusok (1) 3. 2.1 Egyszerű algoritmusok (2) Egyszerű algoritmusok (2) Egyszerű algoritmusok (2) 4. 2.1 Egyszerű algoritmusok (3) Egyszerű algoritmusok (3) Egyszerű algoritmusok (2) 2
2. Kriptográfiai algoritmusok 5. 2.2 Redundancia és frissesség 6. 2.3 Szimmetrikus algoritmusok (1) Szimmetrikus algoritmusok (1) Szimmetrikus algoritmusok (1) 7. 2.3 Szimmetrikus algoritmusok (2) Szimmetrikus algoritmusok (2) Szimmetrikus algoritmusok (2) 8. 2.3 Szimmetrikus algoritmusok (3) Szimmetrikus algoritmusok (3) Szimmetrikus algoritmusok (3) 9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) 3
2. Kriptográfiai algoritmusok 10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) 11. 2.5 Hash algoritmsok 12. 2.6 Digitális aláírás Digitális aláírás Digitális aláírás 13. 2.7 PGP PGP PGP 14. 2.8 Elektronikus aláírás törvény Magyarországon Elektronikus aláírás törvény Magyarországon Elektronikus aláírás törvény Magyarországon 4
2. Kriptográfiai algoritmusok 15. 2.9 A digitális aláírás használatának biztonsági problémái (1) A digitális aláírás használatának biztonsági problémái (1) A digitális aláírás használatának biztonsági problémái (1) 16. 2.9 A digitális aláírás használatának biztonsági problémái (2) A digitális aláírás használatának biztonsági problémái (2) A digitális aláírás használatának biztonsági problémái (2) 17. 2.9 A digitális aláírás használatának biztonsági problémái (3) A digitális aláírás használatának biztonsági problémái (3) A digitális aláírás használatának biztonsági problémái (3) 5
3. fejezet - 3. Operációs rendszerek biztonsága Az operációs rendszer alapvető feladata, hogy képes legyen adatokat tárolni valamilyen fájlrendszerben, illetve az operációs rendszer felel a felhasználóval történő kapcsolattartásért is. Az operációs rendszer biztonsági feladatai közé is elsősorban ezen területek biztonsági feladatai tartoznak: egyrészt a számítógéphez kapcsolódni szándékozó felhasználót azonosítani, hitelesíteni kell, másrészt a tárolt adatokat is célszerű titkosítani. 1. 3.1 Hitelesítés Hitelesítés Hitelesítés 2. 3.2 Hozzáférés-védelem 3. 3.3 Windows alapú operációs rendszerek biztonsága Windows alapú operációs rendszerek biztonsága Windows alapú operációs rendszerek biztonsága 4. 3.4 UNIX alapú operációs rendszerek biztonsága UNIX alapú operációs rendszerek biztonsága UNIX alapú operációs rendszerek biztonsága 6
3. Operációs rendszerek biztonsága 5. 3.5 Biztonságot fokozó technikák Biztonságot fokozó technikák Biztonságot fokozó technikák 7
4. fejezet - 4. Alkalmazások biztonsága Az operációs rendszereknek többek között az egyik legfontosabb feladata, hogy a felhasználói igényeknek megfelelően különböző programokat, alkalmazásokat futtasson. A számítógépek operációs rendszerei által kezelt alkalmazások azonban egy távoli, külső felhasználó (támadó) számára olyan lehetőségeket kínálhatnak, melyek segítségével sikeres támadást hajthatnak végre a számítógépünk ellen. Ezek a módszerek általában a programok, alkalmazások alábbi két fő problémáján alapulnak: A programok, alkalmazások programozási hibája révén a támadó a saját programkódját futtathatja (például puffertúlcsordulás, SQL-injekció). A programok, alkalmazások működésük során olyan információt szolgáltatnak, melyek segítségével következtethetünk azok belső működésére (például mellékcsatorna side channel támadások). Az alkalmazások biztonsága érdekében a megfelelő védelmi intézkedéseket az alkalmazások készítőinek kell megtenni. Az ő felelősségük, hogy programozási hibák révén ne legyen lehetőség ezek kihasználásával támadást végrehajtani. Ez ugyanis nemcsak az adott alkalmazáson belüli probléma, hanem a teljes számítógép biztonságát érinti. 1. Alkalmazások biztonsága Alkalmazások biztonsága Alkalmazások biztonsága 2. 4.1 Puffertúlcsordulás Puffertúlcsordulás Puffertúlcsordulás 3. 4.2 SQL injekció SQL injekció SQL injekció 8
4. Alkalmazások biztonsága 4. 4.3 Mellékcsatorna támadások (1) Mellékcsatorna támadások (1) Mellékcsatorna támadások (1) 5. 4.3 Mellékcsatorna támadások (2) Mellékcsatorna támadások (2) Mellékcsatorna támadások (2) 6. 4.3 Mellékcsatorna támadások (3) Mellékcsatorna támadások (3) Mellékcsatorna támadások (3) 7. 4.3 Mellékcsatorna támadások (4) Mellékcsatorna támadások (4) Mellékcsatorna támadások (4) 9
5. fejezet - 5. Hálózatok biztonsága Az internet elterjedésével az informatikai rendszerek biztonságának egy sarkalatos kérdésévé vált azok biztonsága az internetről érkező támadásokkal szemben. A hálózatbiztonság témakörébe tartozik minden olyan biztonsági kérdés, amin nem javíthatunk csupán titkosítással. Az internetről érkező veszélyeket alapvetően két csoportba sorolhatjuk. Egyrészt az interneten elérhető és onnan érkező kártevők köre (ezzel foglalkozik a 6. fejezet), illetve a célzott támadásokkal kapcsolatos biztonsági kérdések. A célzott támadások esetén a támadó kifejezetten a megtámadott informatikai infrastruktúrába szeretne behatolni, hogy ott a felhasználók tudta nélkül tevékenykedjen. A CERT (Computer Emergency Readiness Team) szerint az incidens az a cselekedet, amelynek során megsértenek egy explicit vagy implicit biztonsági házirendet, például: Sikeres vagy sikertelen kísérlet arra, hogy jogosulatlanul hozzáférést szerezzenek egy rendszerhez vagy annak adataihoz. Egy szolgáltatás nem kívánt megszakítása vagy megtagadása. Egy rendszer jogosulatlan használata adatok kezelése vagy tárolása céljából. A rendszer hardverének, firmware-ének vagy szoftverjellemzőinek a megváltoztatása a tulajdonos tudomása, utasítása vagy jóváhagyása nélkül. 1. Hálózatok biztonsága Hálózatok biztonsága Hálózatok biztonsága 2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása Operációs rendszer megismerése, biztonsági rések kihasználása Operációs rendszer megismerése, biztonsági rések kihasználása 3. 5.2 Kommunikációs protokollok támadása Kommunikációs protokollok támadása Kommunikációs protokollok támadása 10
5. Hálózatok biztonsága 4. 5.3 Védekezési lehetőségek Védekezési lehetőségek Védekezési lehetőségek 11
6. fejezet - 6. Kártevők Manapság az informatikai rendszereket veszélyeztető egyik legnagyobb veszélyforrás a programozott kártevők köre, melyek legnagyobb csoportját az olyan kártékony programok alkotják, melyek képesek önmaguktól terjedni, támadást végrehajtani, számítógépekhez távoli hozzáférést biztosítani vagy akár az áldozat számítógépen tárolt dokumentumait eltulajdonítani. 1. 6.1 Kártevők története, fejlődése (1) Kártevők története, fejlődése(1) Kártevők története, fejlődése(1) 2. 6.1 Kártevők története, fejlődése (2) Kártevők története, fejlődése (2) Kártevők története, fejlődése (2) 3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1) Önreprodukáló kártevők (vírusok, férgek)(1) Önreprodukáló kártevők (vírusok, férgek)(1) 4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2) Önreprodukáló kártevők (vírusok, férgek)(2) Önreprodukáló kártevők (vírusok, férgek)(2) 12
6. Kártevők 5. 6.3 Boot, file, makró vírusok(1) Boot, file, makró vírusok(1) Boot, file, makró vírusok(1) 6. 6.3 Boot, file, makró vírusok(2) Boot, file, makró vírusok(2) Boot, file, makró vírusok(2) 7. 6.3 Boot, file, makró vírusok(3) Boot, file, makró vírusok(3) Boot, file, makró vírusok(3) 8. 6.4 Vírusok tulajdonságai Vírusok tulajdonságai Vírusok tulajdonságai 9. 6.4 Vírusok tulajdonságai(2) Vírusok tulajdonságai(2) 13
6. Kártevők Vírusok tulajdonságai(2) 10. 6.5 Interneten terjedő kártevők Interneten terjedő kártevők Interneten terjedő kártevők 11. Interneten terjedő kártevők (2) Interneten terjedő kártevők(2) Interneten terjedő kártevők(2) 12. Interneten terjedő kártevők (3) Interneten terjedő kártevők(3) Interneten terjedő kártevők(3) 13. 6.6 Védekezési lehetőségek Védekezési lehetőségek Védekezési lehetőségek 14
7. fejezet - 7. Informatikai biztonság kialakítása Egy informatikai infrastruktúrát rengeteg veszélyforrás fenyegeti. A veszélyforrásokhoz léteznek jól működő védelmi megoldások, azonban ezek hatékonysága attól függ, hogy a gyakorlatban mennyit tudunk belőlük hasznosítani. Nagyon sok múlik tehát az informatikai biztonság megtervezésén, kialakításán, a védelmi eszközök megfelelő használatán. És nem feledkezhetünk meg a minden biztonsági veszélyforrás esetén jelenlevő kockázatról, az emberi tényezőről sem. A felhasználók biztonságtudatosságát pedig a célzott, informatikai biztonságra vonatkozó oktatással, továbbképzéssel fokozhatjuk. 1. 7.1 Informatikai biztonság tervezése, tesztelése Informatikai biztonság tervezése, tesztelése Informatikai biztonság tervezése, tesztelése 2. 7.2 Technikai kialakítás 3. 7.3 Az emberi tényező kezelése Az emberi tényező kezelése Az emberi tényező kezelése 15
8. fejezet - Összefoglalás A történelem során az információ, az adat megszerzése mindig is nagyon fontos volt. Manapság a modern eszközök birtokában, amikor az informatikai eszközökön tárolt adatok mennyisége folyamatosan nő, kiemelten fontos az informatikai biztonság megfelelő kezelése. Az adatokat legtöbbször valamilyen kommunikációs csatornán továbbítjuk. Az adatok védelméről egyrészt a kommunikációs csatornában kell gondoskodnunk, erre szolgálnak a kriptográfia eszközei. Ugyanakkor nem szabad elfeledkeznünk a végpontok védelméről sem, hiszen ha egy támadó valamely végpontot az ellenőrzése alá tud vonni, akkor az adatainkat, illetve az informatikai eszközeinket is veszélyezteti. Az informatikai eszközök támadására egy támadónak rengeteg módszere kínálkozik, ugyanakkor 100%- os védelmet nem lehet biztosítani. Elérhető azonban az informatikai rendszernek egy olyan, biztonságosnak nevezett állapota, amelyben zárt, teljes körű, folytonos és a potenciális fenyegetések kockázatával arányos védelem valósítható meg. Ez nyilván az érintett felhasználó(k) számára is kielégítő lehet. Zártnak nevezzük a védelmet, ha az összes potenciális fenyegetést figyelembe veszi, teljes körű, ha a rendszer minden részére kiterjedő, folytonos, ha időben megszakítás nélkül működik és a kockázattal arányos, ha a védelem költségei elfogadható arányban állnak a potenciális fenyegetések esetleges kárértékével. Összefoglalás Összefoglalás 16
Tárgymutató 17