Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák Milyen veszélyeket hzhatnak az elektrnikus csatrnákn flyó kmmunikációra a SOA alapú fejlesztések? sőt: SOA veszélyek - elhárítási feladatk az intézményben Dr. Szenes Katalin CISA, CISM, CGEIT szenes.katalin@nik.bmf.hu Budapesti Műszaki Főiskla Neumann Jáns Infrmatikai Kar Alkalmaztt Infrmatikai Intézet SOA - alk.fejlesztés veszély elhárítás elektrnikus csatrna I. fejlesztő : akinek az Infrmatikai részéről feladata van az alkalmazásk fejlesztésében a szereplők és a préda ötletadók: szakmai szervezetek védelmi megldásk' 2006 "infrmatikusi" feladatk alkalmazáskat fenyegető veszélyek elhárításában, DE.. az intézményi infkmmunikációs rendszer integrált védelme - az infrmatikai biztnság 3 pillére mit várunk a szervezeti pillértől? és a szabályzástól? És a technikától?. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 2 SOA - alk.fejlesztés veszély elhárítás elektrnikus csatrna II. És mit várunk a technikától? az elektrnikus csatrnás alkalmazásk kmmunikációs útja mi köze a SOA architektúrának az elektrnikus csatrnákhz? alkalmazásfejlesztési zavark a kmmunikáció rétegei infrastruktúrális elemenként szereplők: emberek- mi, belsők, és ők, az ügyfelek fizikai szint - itt szereplők a "fejlesztői" körből? adatk, adatbázisk szereplők itt: elsősrban a prgramtervezők, prgramzók a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes a kmmunikáció - infrmáció - útja a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes bölcs tanácsk magyarázatk Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 3 1
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák A szereplők támadók alkalmaztt haszn partner tudatlanság szerződő fél: vevő, szállító rsszindulat versenytárs hacker, cracker, diák, szórakzás bűnöző, kém, ügynök, terrrista mi a srrend? védők munkaköri kötelességből szakmai szervezetek, közösségek tagjai és: a legjbb szakmai gyakrlat egyéb követői ötletadó szintén: a szakmai szervezetek, internet, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 4 és a préda mit lehet szerezni? adatkat személyaznsságt titkkat előnyöket - másknak hátránykat, pl. pénzt versenytársat tönkretenni célpnt: magánemberek cégek állam Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 5 ötletadók: a szakmai szervezetek ISACA - Infrmatin Systems Audit and Cntrl Assciatin - CISA, CISM Manual ITGI - IT Gvernance Institute - ISACA - COBIT ISO - Internatinal Standards Organizatin 27000-es család, stb. nem szakmai, de haszns: USA állami, egyéb frrásk "internetesek" W3C - Wrld Wide Web Cnsrtium és (majdnem) SOA specifikusak OASIS - Organizatin fr the Advancement f Structured Infrmatin Standards - www.asis-pen.rg -e-business szabványk, nn-prfit OWASP - Open Web Applicatin Security Prject www.wasp.rg - megbízható alkalmazásk fejlesztése Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 6 2
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák Védelmi megldásk' 2006 (majdnem) rendezett és ellenőrzött fejlesztési munka sérülékenység befltzása kívülről technikai eszközökkel csalásfelderítő alkalmazásk futtatása - infrastruktúrális elem - szintenként az elkészült mű próbája: tesztelés környezeti / támadás szimuláció szkennelés Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 7 Milyen legyen a védelem? - 2006-ban milyen? mit? hl? praktív mindig figyelő adatk intézményi módszeres hálózatban összes kmm. rétegre szlgáltatásk szlg. teljes életciklusára céghatárn túl is Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 8 "infrmatikusi" feladatk alkalmazáskat fenyegető veszélyek elhárításában, DE... az intézményben mindenkinek van feladata "infrmatikus": rendszerszervező felmérés egyeztetés rendszerterv prgramzó a prgram készítésekr: ellenőrzési célk az adtt eszközhöz a specifikumk kihasználása, pl. sztály - típuskezelés hibakezelés - fátum: pl. kifgytt a papír kivétel kezelés - mi hibánk: pl. felületes típusellenőrzési gyakrlat tesztelő üzemeltető +! incidensek kezelése de: az egész intézménynek vannak feladatai: a(z elkötelezett!) vezetőségnek üzletnek támgatóknak Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 9 3
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák az intézményi infkmmunikációs rendszer integrált védelme - az infrmatikai biztnság 3 pillére szervezet szabályzás technika struktúra - SZMSZ IBSZ az IT infrastr. elemek: jgk / felelősségek - feladatk - tplógiája, elrendezése elszámltathatóság munkakörök - jgsultságk - implem., knfigurálás kötelességelhatárlás - naplózás - karbantartás, felügyelet tev. felügyelet internetezés ktatással a levelezés védelmi rendszerek: -tudatsság fejlesztése adatvédelem tűzfal, ID(P)S,... törvényekhez, rendszerfejlesztési flyamat -iparághz cmpliance szabályzása (SDLC - ISO/IEC 12207 Infrmatika. Szftveréletciklus-flyamatk) Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 10 mit várunk a szervezeti pillértől? - és kinek kell megcsinálnia? követelmények szervezeti egységek rendelkezésre állás integritás bizalmasság hzzáférésvédelem jgi, hatósági megfelelés funkcinalitás legjbb szakmai gyakrlat legfelső vezetés infrmatika fizikai, lgikai IT biztnság (független kell legyen!) belső ellenőrzés jgi részleg külső audit segítség: IT irányító bizttság kckázatkezelési segédszervezet Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 11 mit a szabályzástól? - és ki írja ezeket a szabályzatkat? Szabályzás, flyamatk: rend, kötelességelhatárlás, jgsultságk: hzzáférés munkáhz szükséges ki / hl / mit / milyen jgsultsággal / mikr / hgyan / miért kell történeti jgsultságkezelés (Active Dir. inf kevés) ktatás: kapcslatfelvétel csak óvatsan idegeneknek meggndlt felvilágsítás rend a számítástechnikai alkalmazásk fejlesztésében váltzáskezelés, dkumentáció, üzletmenet flytnsság Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 12 4
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a 3. pillér és mit várunk a technikától? veszély: a kmmunikáció útja szerint infrastruktúrális elemek szerint a kmmunikáció eszközkészlete szerint intézmény - ügyfél között elemenként pl. http(s), xml pén előre - védelem: megakadályzó / vizsgálati / kárenyhítő ("ellenőrzési") intézkedések rendezett - tervezett fejlesztés jgsultságkezelés, váltzáskezelés, DOKUMENTÁCIÓ Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 13 az elektrnikus csatrnás alkalmazásk kmmunikációs útja intézmény és külső partner között: intézményi hálózat - intézményi infrmatika felelőssége külvilág - mindenki felelőssége, de elsősrban az alkalmazás felhasználójáé, az ügyfélé részletek: legbelső, legfntsabb rendszerek bizalmas, fnts kihasználható ügyfél-, partner-, dlgzói, stb. adatk középső perimeter a legbelső perimetertől és a legkülsőtől is! elválasztandó elektrnikus csatrna és egyéb! feldlgzásk, távli bejelentkezés fgadása, stb. esetleges tvábbi perimeterek a külvilágtól, "azaz az internettől" elválasztó perimeter elektrnikus csatrnás alkalmazásnál itt fnts védendő elem: a webszerver(ek) - a mögöttes adatbázisk beljebb lehetnek Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 14 mi köze a SOA architektúrának az elektrnikus csatrnákhz? frnt-end: üzleti alkalmazásk belépési pntja a "SOA" az alkalmaztt "belépési pntja" lesz üzleti szakterületi alkalmazttak jgsultságát itt lehet kezelni csatrna kmmunikáció: a legbelső rendszertől az intézményi hálózatn kívüli ügyfélig része a SOA-n belüli kmmunikáció is a csatrnára vnatkzó követelményeknek érvényesülnie kell(ene) mi lehet prbléma?. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 15 5
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák mi köze a SOA architektúrának az elektrnikus csatrnákhz? baj visznt, ha: ellenőrizetlenül - ismeretlenül hívnak az üzleti rendszerek szlgáltatáskat a frnt-end-ből ellenőrizetlenül (azaz nem üzleti igény) nyílt, nem titksíttt a kmmunikáció rendezetlen az alkalmazásfejlesztés, és így a csatrnás alkalmazásé is ez mint alkalmazásfejlesztési prbléma Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 16 alkalmazásfejlesztési zavark a számítástechnikai alkalmazásk fejlesztése életciklus, majd a fázisk nem tudni: kinek, mikr, mi,... teendőinek meghatárzása a feladata mi van kész, és mi nincs, egyáltalán, hány %-ra kész? tesztelés felelőseinek, funkcinalitás sérülése +! módjainak meghatárzása sérülékeny termék új módszerekről álmdunk, de - " - nem vagyunk még felkészülve SOA, kapkdva - " - SOA - web-szlgáltatásk sérülékenységei + hagymánys alkalmazási sérülékenységek: Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 17 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek 1. réteg: az emberek - a szereplőink dlgzók + ügyfelek ill. belülről + kívülről veszély: intézményben: scial engineering egyedi felhasználóknak való kiszlgáltatttság és a szervezeti prblémák ügyfélnél: saját stbaság phishing történetek adatkérő e-mail egy szlgáltató nevében "ingyenes filmek, képek, prnó, játék, stb. web ldal hamisítás, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 18 6
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek védelem: az intézményi ldaln: szervezeti pillér tevékenységek pnts definíciója & felügyelete, kötelességelhatárlás, többi szervezeti pilléri elvárás szabályzási pillér: teendők pnts és világs leírása! ide tartzik a rendszerfejlesztési flyamat felhasználói leírás - üzleti szakterület üzemeltetési utasítás - infrmatikai szakterület többi szabályzási elvárás ügyfél ldal:. /. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 19 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek az ügyfél ldalán - is van feladata az intézményi Infrmatikának: PIN kód, tken, SMS, stb ügyfél ktatása: patch vírusvédelem, stb.. ne bízzunk a tőlünk már letöltött kliensben szerver ldali ellenőrzések miről van szó? kliens: az a prgram, amit az ügyfél használ, a PC-jén tthn internet kávézóban, stb. szerver: az, ami a klienssel tartja a kapcslatt egy középső perimeterben (ld. kmm. útja) kell elhelyezni, és ellenőrzéseket kell definiálni - milyeneket, pl.? Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 20 a kmmunikáció rétegei - infrastruktúrális elemenként - szereplők: emberek mi, belsők, és ők, az ügyfelek szerver ldali ellenőrzések pl. elég gyakri a Java prgram de más eset is hasnló megtervezett típuskezelés megtervezett kivételkezelés adatbeviteli ellenőrzések (Dashöfer - Infrmatikai biztnsági kézikönyv / COBIT) haszns alkalmazási ellenőrzési célk: 1. A frrásadatk előkészítése és hitelesítése 2. A frrásadatk összegyűjtése és bevitele 3. Pntssági, teljességi és hitelességi ellenőrzések 4. A feldlgzás sértetlensége és helyessége 5. Az utput felülvizsgálata és a legjbb szakmai gyakrlat szerint való kezelése, az adatk egyeztetése. Hibakezelés 6. A tranzakciók sértetlensége és hitelessége saját: 7. A közlekedő adatk bizalmassága ezekhez kellenek ellenőrzési intézkedések Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 21 7
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció rétegei - infrastruktúrális elemenként - fizikai szint - itt szereplők a "fejlesztői" körből? 2. réteg: a fizikai erre szabályzatt a rendszerszervezők írnak - jó esetben az egész épület a gépterem dkumentumk, bármilyen közegen, főleg: a nymtatványk a prfi is kukázik fizikai biztnsági védelem: ajtók zárva tartása kártya / kulcs őrzése piggy backing megakadályzása ajtónyitó kód bizalmas kezelése idegenek kikérdezése adattárlók ügye az adat különféle állaptaiban! laptp, mzgatható periféria, pl. USB-t, stb. ki/be vinni/hzni Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 22 a kmmunikáció rétegei - infrastruktúrális elemenként - adatk, adatbázisk szereplők itt: már előtérben a prgramtervezők, prgramzók 3. réteg: az adatk - adatbázisk - mi érheti az adatt? máslás, lpás törlés, egyéb rngálás módsítás és miért, mi vlt a baj? néhány példa: /1 SQL injectin - ka: ellenőrizetlen adatk inputja, pl. web ldaln a szövegdbzba ügyfél PC-n futó Java klienstől az intézményi Java szerverhez eredménye: értékes inf-k lekérdezése, felülírása új felhasználók felvétele jelszavak kiküldése mail-ben a támadónak, stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 23 a kmmunikáció rétegei - infrastruktúrális elemenként - adatk, adatbázisk szereplők itt: elsősrban a prgramtervezők, prgramzók /2. crss-site scripting - ka: belvasunk ellenőrizetlen adatt, ami rsszindulatú Java script, ezt a támadó web ldaln kiíratja, végfelhasználó belvassa, gépe végrehajtja /3. HTML paraméterek rsszindulatú módsítása - ka: ellenőrizetlen paraméterek belvasása HTML frmkból és ezek kerülnek be HTTP request-be /4. URL módsítás - ka: a támadó módsítja az URL string-et, és így juttatja be saját adatát a védendő adatbázisba stb. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 24 8
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes 4. réteg: az infrastruktúrális elemek karbantartása - ezt az üzemeltetéstől várjuk persze mi a sérülékeny: perációs rendszerek kliensfarm szerverfarm hálózati eszköz - switch, ruter védelmi eszköz tűzfal IDS / IPS web szerver célgép ATM srszámsztó, stb, adatbázisk Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 25 a kmmunikáció infrastruktúrális elemeinek implementációja és karbantartása itt az üzemeltetés az illetékes az infrastruktúrális elemek tipikus hiánysságai, amelyek sérülékenységet kznak: perációs rendszer: felesleges szlgáltatásk - hardening kell elavult verziók rssz knfiguráció jgsultsági prblémák: gyári jelszavak váltzatlanul hagyása, és / ill. közös jelszavak stb. adatbázisk: hiányzó patch rssz knfiguráció jgsultságk - ahgy perációs rendszernél és mindehhez skszr krrektív ellenőrzési intézkedés sincs Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 26 a kmmunikáció - infrmáció - útja 5. réteg: az infrmáció útja fizikai / elektrnikus frmában inf intézmény => felhasználó fizikai <= publikus } frma { elektrnikus magán pl.: legbelső rendszer - középső perimeter - web szerver belső hálózat közbülső lgika első kapcslati pnt ellenőrizetlen szervezetlen illetéktelenek hzzáférése ellen nincs biztsíték Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 27 9
Dr. Szenes Katalin - SOA - fejlesztés - elektrnikus csatrnák bölcs tanácsk, és nemcsak SOA kmpnenseket fenyegető veszélyek ellen az infrmatikai flyamatkhz ellenőrzési célk hzzárendelése az ellenőrzési célk elérése alkalmas ellenőrzési intézkedések / eljárásk meghatárzása megakadályzó vizsgálati kárenyhítő intézkedések: rendezettség, fegyelem, karbantartás, a rendszerfejlesztés egész életciklusa alatt legjbb szakmai gyakrlat követése (rendszerszervezési, prgramzási, tesztelői, kulcsfelhasználói feladatk) tesztelés, szkennelés, naplózás, csalásfelderítés,megelőző vizsgálatk, titksítás, digitális aláírás - PKI Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 28 Magyarázatk hacker - Wikipédia nymán - guru, varázsló prgramzó, aki prgram kód, vagy erőfrrásk módsításával próbál valami sérülékenységet kihasználni lehet lyan infrmatikai biztnsági szakértő, aki jól ismeri a számítógép, a számítógéphálózatk biztnsági lehetőségeit, és felhívja a figyelmet gyengeségeikre, vagy megpróbálja ezeket kihasználni cracker: a "feketekalaps", a rsszindulatú hacker - néha frdítva van a cracker a jó, hacker a rssz Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 29 Magyarázatk infrastruktúrális elem - amit sérülékenység szempntjából érdemes megkülönböztetni: - Az infrmatikai infrastruktúra kmpnensei. Maga a számítógép is infrastruktúrális elem, a rajta futó szftverrel, az adatbázis kezelő rendszerrel, a számítógépes kmmunikációt biztsító hálózati elemekkel, az infrmatikai szlgáltatás megfelelő minőségét, sértetlenségét és bizalmasságát biztsító védelmi elemekkel (azk részeivel - infrastruktűrális elemeivel) és persze az ezek segítségével működő, az üzleti flyamatkat szlgáló alkalmazói prgramrendszerekkel együtt. Dr. Szenes SOA - fejlesztés - elektrnikus csatrnák 30 10