Information Technology | IT security » Tóth Balázs - Információbiztonság

Információbiztonság Tóth Balázs, CISSP Információbiztonsági tanácsadó Mirıl lesz szó

Az információbiztonság alapjai Biztonságtudatosság Az információbiztonság alapjai Az információbiztonság alapjai

A hiánya tőnik fel elsısorban Példaként az Index ma délutáni címlapja: Mit védünk?

Az alapvetı kérdés az, hogy mit kell védenünk:
A hálózatot?
A számítógépet?
Az embereket?
Az adatokat? A védelem tárgya mindig az INFORMÁCIÓ! Az információ biztonsági tulajdonságai



Az információnak alapvetıen három biztonsági attribútumával foglalkozunk Ezek együttesen alkotják az információ védelmi állapotát A három tulajdonság a következı:
Bizalmasság – Confidentiality
Sértetlenség – Integrity
Rendelkezésre állás – Availability Ezt szoktuk CIA követelménynek nevezni Bizalmasság



Bizalmasság: az adott információt csak az ismerheti meg, akinek

erre felhatalmazása van Legkézenfekvıbb megvalósítása a titkosítás Példa: matekdolgozat; rossz jegy Példák a bizalmasság sérülésére:
1989: az érettségi tételek kiszivárogtak (oka: helytelen adatkezelés) Bizalmasság
Példák a bizalmasság sérülésére:
2010 március 25: az iWiW-en más felhasználók üzeneteit is el lehetett olvasni (oka: programhiba) Bizalmasság
Példák a bizalmasság sérülésére:
2007 június 5: bizalmas képek kikerülése (ok: felelıtlen adatkezelés) Bizalmasság
Példák a bizalmasság sérülésére:
2009 február 8: az ügyfélkapun keresztül mások adatait is lehetett látni (ok: hibás verzióváltás) Sértetlenség


Az információ úgy értékes, ha az eredeti formájában adódik át Példa: szódolgozat; banki egyenleg Tipikus alkalmazása pl. a CRC kódolás vagy a lenyomatképzés, illetve archiválás és mentés Sértetlenség
Példák a sértetlenség sérülésre:
2010

március 18: egy kereskedelmi cég honlapjára kártékony kód került (ok: illetéktelen behatolás FTP-n keresztül) Sértetlenség
Példák a sértetlenség sérülésre:
2010 február 5: az érettségi nyilvántartó rendszerbıl eltőntek adatok (programhiba) Rendelkezésre állás


Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni Példa: érettségi feladatsor; banki adatok Tipikus alkalmazása pl. a szünetmentes tápok vagy a RAID használat Rendelkezésre állás
Példák a rendelkezésre állás sérülésre:
Folyamatosan: túlterheléses (DDoS) támadások cégek ellen, hivatalok ellen, országok ellen (!) Rendelkezésre állás
Példák a rendelkezésre állás sérülésre:
2008 február 25: leáll a banki elszámoló rendszer (ok: kábellopás) Rendelkezésre állás
Példák a rendelkezésre állás sérülésre:
2010 április 9: az Internet 10 %-a rövid idıre leáll (ok: emberi

hiba) Mi az információbiztonság?

Az információbiztonság az a folyamat, melynek során az információkat megvédjük a nem engedélyezett hozzáféréstıl, használattól, kiszivárgástól, megsemmisítéstıl, módosítástól és megzavarástól. Nem szabad összekeverni az informatikai biztonsággal, az adatbiztonsággal, a biztonságtechnikával. Ezek mind részhalmazai az információbiztonságnak. Az információbiztonság fı területei








Kockázatmenedzsment Hozzáférés-ellenırzés Alkalmazásfejlesztés biztonsága Üzemeltetés biztonsága Kriptográfia Fizikai biztonság Hálózatbiztonság Üzletmenet-folytonosság Törvényességi és etikai kérdések Kockázatmenedzsment


Fontos dolgokat jobban kell védeni, mint a kevésbé fontosakat Ágyúval nem lövünk verébre: a védekezésre nem költünk többet, mint amekkora kár keletkezne A folyamat: 1. Információvagyon felmérése, értékelése 2. Fenyegetések számba

vétele, kockázatok meghatározása 3. Kockázatok kezelése 4. Védelmi intézkedések nyomon követése 5. Ugrás 1-re Hozzáférés-ellenırzés


A felhasználók mit tehetnek a rendszerben:
milyen erıforrásokhoz férhetnek hozzá
milyen mőveleteket hajthatnak végre Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó
milyen felhatalmazással férhet a rendszerhez
milyen alkalmazásokat futtathat
mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból Részei: azonosítás, hitelesítés, felhatalmazás, elszámoltathatóság Alkalmazásfejlesztés biztonsága


Cél: a kész alkalmazás biztonságos legyen Fıbb fenyegetések:
Buffer overflow
SQL injection
Cross Site Scripting Fıbb védekezések
Fejlesztési módszertanok használata
Adott programnyelv lehetıségeinek kihasználása
Input validálás Üzemeltetés biztonsága

A biztonságot fenn kell tartani

Témakörök
Hardver és szoftver hardening
Üzemeltetési eljárások
Logkezelés
Adathordozók kezelése
Biztonsági mentések
Biztonságos megsemmisítés
Személyzet és falhasználók – az ember a leggyengébb láncszem
Konfigurációkezelés Kriptográfia

Matematikai algoritmusok elsısorban a bizalmasság és a sértetlenség megırzésére Története
Már az ókori rómaiak is (Caesar-titkosítás)
Második világháború: jelentıs szerep (pl. Enigma)
Szimmetrikus: DES, AES
Kulcscsere problémája
Aszimmetrikus: RSA
Gyakorlatban: kulcscsere nyílt kulcsú eljárással, további kommunikáció szimmetrikus módszerrel (pl. SSL) Kriptográfia



Kriptoanalízis: hogyan tudjuk a kriptográfiát a kulcs ismerete nélkül megfejteni Az algoritmus lehet nyilvános, csak a kulcs nem Módszerek:
Minden lehetséges eset kipróbálása (brute force)
Statisztikai alapon (betőcserés algoritmusnál)
Man-in-the-middle támadás


Szótár alapú jelszófeltörés, szivárványtáblák
Social Engineering (megtévesztés, befolyásolás) A kulcskezelés kritikus – emberi tényezı szerepe Fizikai biztonság
Ami a hatókörömön belül van (látom, megközelítem, elérem)
meg tudom változtatni:


el tudom tulajdonítani:




hamisítani - hitelesség elpusztítani – rendelkezésre állás lemásolni – bizalmasság A biztonsági incidensek nagyobb része még mindig birtokon belülrıl indul! Terület védelme (különösen: kiemelt biztonságú területek) Környezet biztosítása (áram, hımérséklet, szellızés, tőzvédelem) A hordozható eszközök komoly fenyegetést jelentenek Hálózatbiztonság






Védeni kell a hálózati eszközöket és az átmenı információt A protokollok régiek, nem a biztonságra fókuszálnak Nagyon sok támadás használja ki a hálózati sérülékenységeket (hamisítások, túlterhelések stb.) A hálózatot meg kell

tervezni, zónákra osztani Tőzfalak, szabályok karbantartása Távoli hozzáférés, VPN WiFi – általában a gyári beállítás nem biztonságos Üzletmenet-folytonosság




Elsısorban a rendelkezésre állás biztosítása a célja „Houston, baj van” -> Katasztrófahelyzet A kritikus helyzetre elıre kell készülni, amikor még van idı és erıforrás A felelısségeket és a feladatokat meg kell határozni A terveket tesztelni és frissíteni kell Biztonságtudatosság Biztonságtudatosság


Átlagos felhasználót érı fıbb fenyegetések
Azonosságlopás (banki azonosító, iWiW, online játékkarakter stb.)
Levélszemét
Vírusok és férgek
Kémprogramok, reklámprogramok, trójaiak
Elektronikus zaklatás Miért éppen én?
Gépünk erıforrás lehet (pl. botnetek)
Csalás, átverés célpontjai lehetünk Magyar statisztikák:
A legtöbb vírust saját magunk telepítjük
Szeretjük az ingyenes tartalmakat –

bármit letöltünk, ha ingyen van
A legsikeresebben az ingyenesen letölthetı mp3 fájlokat ígérı kártékony programok terjednek
Nem szeretünk olvasni (angolul különösen nem) – elıszeretettel telepítünk olyan reklámprogramokat, amik késıbb lelassítják a számítógép mőködését Azonosságlopás

Módszerek
Social engineering (lásd pl.: Kevin Mitnick)
Hamis weboldalak (spoofing)
Adathalászat (banki oldalak, World of Warcraft, Dark Orbit)
Billentyőnaplózók (key logger)
Postai levelek ellopása
Kukabúvárkodás Megakadályozása
Józan ész használata: gyanakodjunk, ha




az e-mail idegen nyelvő, adatok megadására kér a weboldal titkosítatlanra vált, URL nem a megszokott, fölösleges mezık vannak rajta Digitális tanúsítványok használata (pl. ssl, https) Biztonsági tokenek Böngészıtámogatás (pl. lista a gyanús oldalakról) Jelszavak – ezeket felejtsük el:






(Emlékeztetıül a fı

törések: brute force, szótár, SE) Alapértelmezett jelszavak Jelszó = felhasználónév Egyszerő jelszavak:
Csak betőkbıl vagy számokból álló
Egymást követı karakterek
8 karakternél rövidebb
Személyes információ (születési dátum, név, háziállat, kedvenc márka, stb.) Felírt jelszavak Többszörös jelszóhasználat Elmentett jelszavak Kártékony programok


Vírusok, férgek, kém-, reklám- és trójai programok Hogyan tehetünk szert rájuk:
Letöltjük (ingyenes, kétes eredető, illegális oldalak) – akár észrevétlenül is települhetnek böngészın keresztül (ActiveX, sebezhetıség)
Megkapjuk (e-mail melléklet, chaten linkként stb.)
Megtaláljuk („elveszett” adathordozón) Védekezés:
Használjunk vírusirtó programot
Használjunk tőzfalat
Ne nyissunk meg idegen e-mailt
Ne kattintsunk hivatkozásokra vagy programokra levelekben
Tartsuk a programjainkat naprakészen (sebezhetıségek befoltozása)


Ingyenes programokkal szemben legyünk gyanakvóak
Olvassuk el a végfelhasználói szerzıdést (☺) Elektronikus zaklatás

Címek a netrıl:
„Megölte magát a neten heccelt 13 éves lány”
„Minden harmadik kiskorú brit volt már kiberzaklatás áldozata”
„Ezrével dobták ki a zaklatókat a Facebookról” Ez nem azt jelenti, hogy nem lehet közösségi oldalakon megjelenni, de:
Gondoljuk meg, milyen adatainkat tesszük fel
Gondoljuk meg, kik láthatják azokat
Ne legyünk provokatívak
Ne jelöljünk be/vissza idegeneket Záró tanácsok










Használjuk a józan eszünket (és legyünk kicsit paranoiások) Frissítsük rendszeresen az oprendszert és a böngészıt Használjunk megfelelı vírusirtót és tőzfalat, ezeket frissítsük Használjunk spamszőrıt Ne használjunk alapértelmezett vagy egyszerő jelszavakat Ne dıljünk be az ismeretlen címrıl érkezı e-mail-eknek Csak biztonságos forrásból származó

programokat telepítsünk Csak azt végezzük adminisztrátori jogosultsággal a gépen, amit feltétlenül szükséges Készítsünk rendszeresen biztonsági másolatot Gondoljuk meg, milyen adatainkat adjuk meg a közösségi oldalakon Ne intézzünk bizalmas ügyeket netkávézóban, Wi-Fi-n Kérdések Köszönöm a figyelmet! Tóth Balázs, CISSP Információbiztonsági tanácsadó