Információbiztonság. Tóth Balázs, CISSP Információbiztonsági tanácsadó

Információbiztonság Tóth Balázs, CISSP Információbiztonsági tanácsadó

Mirıl lesz szó Az információbiztonság alapjai Biztonságtudatosság

Az információbiztonság alapjai

A hiánya tőnik fel elsısorban Az információbiztonság alapjai Példaként az Index ma délutáni címlapja:

Mit védünk? Az alapvetı kérdés az, hogy mit kell védenünk: A hálózatot? A számítógépet? Az embereket? Az adatokat? A védelem tárgya mindig az INFORMÁCIÓ!

Az információ biztonsági tulajdonságai Az információnak alapvetıen három biztonsági attribútumával foglalkozunk Ezek együttesen alkotják az információ védelmi állapotát A három tulajdonság a következı: Bizalmasság Confidentiality Sértetlenség Integrity Rendelkezésre állás Availability Ezt szoktuk CIA követelménynek nevezni

Bizalmasság Bizalmasság: az adott információt csak az ismerheti meg, akinek erre felhatalmazása van Legkézenfekvıbb megvalósítása a titkosítás Példa: matekdolgozat; rossz jegy Példák a bizalmasság sérülésére: 1989: az érettségi tételek kiszivárogtak (oka: helytelen adatkezelés)

Bizalmasság Példák a bizalmasság sérülésére: 2010 március 25: az iwiw-en más felhasználók üzeneteit is el lehetett olvasni (oka: programhiba)

Bizalmasság Példák a bizalmasság sérülésére: 2007 június 5: bizalmas képek kikerülése (ok: felelıtlen adatkezelés)

Bizalmasság Példák a bizalmasság sérülésére: 2009 február 8: az ügyfélkapun keresztül mások adatait is lehetett látni (ok: hibás verzióváltás)

Sértetlenség Az információ úgy értékes, ha az eredeti formájában adódik át Példa: szódolgozat; banki egyenleg Tipikus alkalmazása pl. a CRC kódolás vagy a lenyomatképzés, illetve archiválás és mentés

Sértetlenség Példák a sértetlenség sérülésre: 2010 március 18: egy kereskedelmi cég honlapjára kártékony kód került (ok: illetéktelen behatolás FTP-n keresztül)

Sértetlenség Példák a sértetlenség sérülésre: 2010 február 5: az érettségi nyilvántartó rendszerbıl eltőntek adatok (programhiba)

Rendelkezésre állás Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni Példa: érettségi feladatsor; banki adatok Tipikus alkalmazása pl. a szünetmentes tápok vagy a RAID használat

Rendelkezésre állás Példák a rendelkezésre állás sérülésre: Folyamatosan: túlterheléses (DDoS) támadások cégek ellen, hivatalok ellen, országok ellen (!)

Példák a rendelkezésre állás sérülésre: Rendelkezésre állás 2008 február 25: leáll a banki elszámoló rendszer (ok: kábellopás)

Rendelkezésre állás Példák a rendelkezésre állás sérülésre: 2010 április 9: az Internet 10 %-a rövid idıre leáll (ok: emberi hiba)

Mi az információbiztonság? Az információbiztonság az a folyamat, melynek során az információkat megvédjük a nem engedélyezett hozzáféréstıl, használattól, kiszivárgástól, megsemmisítéstıl, módosítástól és megzavarástól. Nem szabad összekeverni az informatikai biztonsággal, az adatbiztonsággal, a biztonságtechnikával. Ezek mind részhalmazai az információbiztonságnak.

Az információbiztonság fı területei Kockázatmenedzsment Hozzáférés-ellenırzés Alkalmazásfejlesztés biztonsága Üzemeltetés biztonsága Kriptográfia Fizikai biztonság Hálózatbiztonság Üzletmenet-folytonosság Törvényességi és etikai kérdések

Kockázatmenedzsment Fontos dolgokat jobban kell védeni, mint a kevésbé fontosakat Ágyúval nem lövünk verébre: a védekezésre nem költünk többet, mint amekkora kár keletkezne A folyamat: 1. Információvagyon felmérése, értékelése 2. Fenyegetések számba vétele, kockázatok meghatározása 3. Kockázatok kezelése 4. Védelmi intézkedések nyomon követése 5. Ugrás 1-re

Hozzáférés-ellenırzés A felhasználók mit tehetnek a rendszerben: milyen erıforrásokhoz férhetnek hozzá milyen mőveleteket hajthatnak végre Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó milyen felhatalmazással férhet a rendszerhez milyen alkalmazásokat futtathat mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból Részei: azonosítás, hitelesítés, felhatalmazás, elszámoltathatóság

Alkalmazásfejlesztés biztonsága Cél: a kész alkalmazás biztonságos legyen Fıbb fenyegetések: Buffer overflow SQL injection Cross Site Scripting Fıbb védekezések Fejlesztési módszertanok használata Adott programnyelv lehetıségeinek kihasználása Input validálás

A biztonságot fenn kell tartani Témakörök Hardver és szoftver hardening Üzemeltetési eljárások Logkezelés Adathordozók kezelése Biztonsági mentések Biztonságos megsemmisítés Üzemeltetés biztonsága Személyzet és falhasználók az ember a leggyengébb láncszem Konfigurációkezelés

Kriptográfia Matematikai algoritmusok elsısorban a bizalmasság és a sértetlenség megırzésére Története Már az ókori rómaiak is (Caesar-titkosítás) Második világháború: jelentıs szerep (pl. Enigma) Szimmetrikus: DES, AES Kulcscsere problémája Aszimmetrikus: RSA Gyakorlatban: kulcscsere nyílt kulcsú eljárással, további kommunikáció szimmetrikus módszerrel (pl. SSL)

Kriptográfia Kriptoanalízis: hogyan tudjuk a kriptográfiát a kulcs ismerete nélkül megfejteni Az algoritmus lehet nyilvános, csak a kulcs nem Módszerek: Minden lehetséges eset kipróbálása (brute force) Statisztikai alapon (betőcserés algoritmusnál) Man-in-the-middle támadás Szótár alapú jelszófeltörés, szivárványtáblák Social Engineering (megtévesztés, befolyásolás) A kulcskezelés kritikus emberi tényezı szerepe

Fizikai biztonság Ami a hatókörömön belül van (látom, megközelítem, elérem) meg tudom változtatni: hamisítani - hitelesség elpusztítani rendelkezésre állás el tudom tulajdonítani: lemásolni bizalmasság A biztonsági incidensek nagyobb része még mindig birtokon belülrıl indul! Terület védelme (különösen: kiemelt biztonságú területek) Környezet biztosítása (áram, hımérséklet, szellızés, tőzvédelem) A hordozható eszközök komoly fenyegetést jelentenek

Hálózatbiztonság Védeni kell a hálózati eszközöket és az átmenı információt A protokollok régiek, nem a biztonságra fókuszálnak Nagyon sok támadás használja ki a hálózati sérülékenységeket (hamisítások, túlterhelések stb.) A hálózatot meg kell tervezni, zónákra osztani Tőzfalak, szabályok karbantartása Távoli hozzáférés, VPN WiFi általában a gyári beállítás nem biztonságos

Üzletmenet-folytonosság Elsısorban a rendelkezésre állás biztosítása a célja Houston, baj van -> Katasztrófahelyzet A kritikus helyzetre elıre kell készülni, amikor még van idı és erıforrás A felelısségeket és a feladatokat meg kell határozni A terveket tesztelni és frissíteni kell

Biztonságtudatosság

Biztonságtudatosság Átlagos felhasználót érı fıbb fenyegetések Azonosságlopás (banki azonosító, iwiw, online játékkarakter stb.) Levélszemét Vírusok és férgek Kémprogramok, reklámprogramok, trójaiak Elektronikus zaklatás Miért éppen én? Gépünk erıforrás lehet (pl. botnetek) Csalás, átverés célpontjai lehetünk Magyar statisztikák: A legtöbb vírust saját magunk telepítjük Szeretjük az ingyenes tartalmakat bármit letöltünk, ha ingyen van A legsikeresebben az ingyenesen letölthetı mp3 fájlokat ígérı kártékony programok terjednek Nem szeretünk olvasni (angolul különösen nem) elıszeretettel telepítünk olyan reklámprogramokat, amik késıbb lelassítják a számítógép mőködését

Módszerek Social engineering (lásd pl.: Kevin Mitnick) Hamis weboldalak (spoofing) Azonosságlopás Adathalászat (banki oldalak, World of Warcraft, Dark Orbit) Billentyőnaplózók (key logger) Postai levelek ellopása Kukabúvárkodás Megakadályozása Józan ész használata: gyanakodjunk, ha az e-mail idegen nyelvő, adatok megadására kér a weboldal titkosítatlanra vált, URL nem a megszokott, fölösleges mezık vannak rajta Digitális tanúsítványok használata (pl. ssl, https) Biztonsági tokenek Böngészıtámogatás (pl. lista a gyanús oldalakról)

Jelszavak ezeket felejtsük el: (Emlékeztetıül a fı törések: brute force, szótár, SE) Alapértelmezett jelszavak Jelszó = felhasználónév Egyszerő jelszavak: Csak betőkbıl vagy számokból álló Egymást követı karakterek 8 karakternél rövidebb Személyes információ (születési dátum, név, háziállat, kedvenc márka, stb.) Felírt jelszavak Többszörös jelszóhasználat Elmentett jelszavak

Vírusok, férgek, kém-, reklám- és trójai programok Hogyan tehetünk szert rájuk: Kártékony programok Letöltjük (ingyenes, kétes eredető, illegális oldalak) akár észrevétlenül is települhetnek böngészın keresztül (ActiveX, sebezhetıség) Megkapjuk (e-mail melléklet, chaten linkként stb.) Megtaláljuk ( elveszett adathordozón) Védekezés: Használjunk vírusirtó programot Használjunk tőzfalat Ne nyissunk meg idegen e-mailt Ne kattintsunk hivatkozásokra vagy programokra levelekben Tartsuk a programjainkat naprakészen (sebezhetıségek befoltozása) Ingyenes programokkal szemben legyünk gyanakvóak Olvassuk el a végfelhasználói szerzıdést ( )

Címek a netrıl: Megölte magát a neten heccelt 13 éves lány Elektronikus zaklatás Minden harmadik kiskorú brit volt már kiberzaklatás áldozata Ezrével dobták ki a zaklatókat a Facebookról Ez nem azt jelenti, hogy nem lehet közösségi oldalakon megjelenni, de: Gondoljuk meg, milyen adatainkat tesszük fel Gondoljuk meg, kik láthatják azokat Ne legyünk provokatívak Ne jelöljünk be/vissza idegeneket

Záró tanácsok Használjuk a józan eszünket (és legyünk kicsit paranoiások) Frissítsük rendszeresen az oprendszert és a böngészıt Használjunk megfelelı vírusirtót és tőzfalat, ezeket frissítsük Használjunk spamszőrıt Ne használjunk alapértelmezett vagy egyszerő jelszavakat Ne dıljünk be az ismeretlen címrıl érkezı e-mail-eknek Csak biztonságos forrásból származó programokat telepítsünk Csak azt végezzük adminisztrátori jogosultsággal a gépen, amit feltétlenül szükséges Készítsünk rendszeresen biztonsági másolatot Gondoljuk meg, milyen adatainkat adjuk meg a közösségi oldalakon Ne intézzünk bizalmas ügyeket netkávézóban, Wi-Fi-n

Kérdések

Köszönöm a figyelmet! Tóth Balázs, CISSP Információbiztonsági tanácsadó