A tantá tantárgy cé célja:
Adatbiztonság, adatvédelem
ismertetni az adatvédelem alapelveit, az adatvédelemre vonatkozó nemzetközi ajánlásokat, hazai törvényeket, az adatbiztonság szabványait, követelményrendszerét, a fenyegetések tulajdonságait, a biztonság megteremtésének módszertanát.
1
2
Tárgyalandó rgyalandó témák: Kapcsoló Kapcsolódás má más tá tárgyakhoz
Az adatvédelem alapfogalmai
Jogi ismeretek Rendszerszervezés Programozás Közgazdaságtan Hálózati ismeretek Matematika Internet, stb.
Törvények, ajánlások Az adatbiztonság fogalmai, szabványok A biztonsági rendszer megtervezése Vírusok, kriptográfia, digitális aláírás, hálózati biztonsági rendszerek 3
Jelenlegi helyzetké helyzetkép informatikai robbanás Internet nagy adatbázisok e-bussines
4
Adat
hadviselési eszköz terrorizmus eszköze fehérgalléros nözés
5
A tények, az elképzelések nem értelmezett, de értelmezhet közlési formája.
6
Adatvédelem
Informá Információ ció Jelentéssel bíró szimbólumok összessége, amelyek jelentést hordozó adatokat tartalmaznak és olyan új ismereteket szolgáltatnak a megismer számára, hogy ezáltal annak valamilyen bizonytalanságát megszüntetik és célirányos cselekvését kiváltják.
Az adatvédelem adatok meghatározott csoportjára vonatkozó jogszabályi el írások érvényesítése az adatok kezelése során. Ki és mit? 7
8
Adatbiztonság
Adatvédelem
Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni
szaki és
szervezési intézkedések és eljárások együttes rendszere. Hogyan? 9
F ellentmondá ellentmondás Az információ szabad áramlása
10
Euró Európai ajá ajánlá nlások Európa Tanács 1973 Az egyének magánéletének védelmér l a magán, ill. az állami szektorban tárolt elektronikus adatbankokkal szemben Európa Tanács 1979 A kormányzati dokumentumok nyilvánosságáról és az információszabadságról
Személyes adatok védelme
11
12
Gazdasági Együttm ködés és Fejlesztési Szervezet (OECD) 1980 A magánélet védelmér l és a személyes adatok határt átlép áramlásáról
Általános Vám- és Kereskedelmi Egyezmény (GATT) 1993 Egyezmény a szellemi tulajdon kereskedelemmel összefügg kérdésekr l (TRIPS)
Európa Tanács 1981 Titokvédelmi egyezmény a személyes adatok automatikus kezelésével kapcsolatos védelmér l
Európai Unió és az Európa Parlament 1997 Irányelv az adatbázisok jogi védelmér l
13
14
Az ajá ajánlá nlások alapelvei NATO 1997 Az információ biztonságáról
A cél meghatározása és ismertetése.
Európai Unió és az Európa Parlament 1999 Akcióterv az Internet biztonságos használatának el készítésére
A gy jtés korlátozása, adatcsoportok engedélyezése. Ismertetni, ki férhet hozzá. Az adatközl hozzáférhet, kijavíthatja.
15
16
Hazai szabá szabályozá lyozások
Adatbiztonsági rendszer kiépítése, üzemeltetése, ellen rzése az adatkezel feladata.
Az Alkotmány XII. fejezete, 59. § A Magyar Köztársaságban mindenkit megillet a jóhírnévhez, a magánlakás sérthetetlenségéhez, valamint a magántitok és a szemé személyes adatok védelmé delméhez való való jog.
Nemzeti törvényhozás érvényesítse az ajánlásokat. Biztosítsa a szektorfüggetlenséget. A manuális állományokra is érvényes. 17
18
Az Alkotmá Alkotmánybí nybíróság hatá határozata
1992. évi LXIII. tö törvé rvény alapelvei
15/1991.(IV. 13.) AB határozata: “… a személyes adatok meghatározott cél nélküli, tetsz leges jöv beni felhasználásra való gy jtése és feldolgozása alkotmányellenes. …, a korlátozás nélkül használható, általános és egységes személyazonosító jel (személyi szám) alkotmányellenes. “
Az állampolgárnak döntési és cselekvési joga van a róla szóló információk felett, valamint joga van a közérdek információk megismeréséhez. Ezeket a jogokat csak törvény korlátozhatja.
19
1992. évi LXIII. tö törvé rvény f bb pontjai
20
Szemé Személyes adatok
A törvény célja Értelmez rendelkezések A személyes adatok védelme A közérdek adatok nyilvánossága Az adatvédelmi biztos és az adatvédelmi nyilvántartás Különleges és záró rendelkezések
Az érintett személlyel kapcsolatba hozható adat, melyb l következtetés vonható le az érintettr l. Pl: név, születési dátum, hely, anyja neve, végzettsége, foglakozása,
21
Különleges adatok A magánszféra leginkább védelemre szoruló adatai, amelyek a következ kre vonatkoznak:
23
22
1. faji, nemzeti, nemzetiségi és etnikai eredetre, 2. politikai véleményre, pártállásra, 3. vallási vagy más meggy désre, 4. egészségi állapotra, 5. káros szenvedélyre, 6. szexuális beállítottságra, 7. büntetett el életre,
24
adattová adattová bbí bbítá s: ha az adatot meghatározott harmadik személy számára hozzáférhet vé teszik;
Adatfeldolgozás
nyilvá nyilvánossá nosságra hozatal: hozatal: ha az adatot bárki számára hozzáférhet vé teszik,
Az adatok gy jtése, rendszerezése, törlése, archiválása.
adattö adattörlé rlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges;
25
26
Adatfeldolgozó Adatfeldolgozó
Adatkezel
Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkez szervezet, aki vagy amely az adatkezel megbízásából személyes adatok feldolgozását végzi.
Az a természetes vagy jogi személy (hatóság, intézmény vagy más szervezet), amelynek törvényes joga van meghatározni az adatkezelés célja szerint tárolandó személyes adatok fajtáit és végrehajtani velük a végzend veletet.
27
Adatkezelé Adatkezelés szabá szabályozá lyozása
28
Jogé Jogérvé rvényesí nyesítés
Szemé Személyes adat kezelhet , ha
betekintés, helyesbítés, tájékoztatás, elutasítás indoklása, bírósági jogérvényesítés, kártérítés.
•az érintett hozzá hozzáj árul, •a tö törvé rvény elrendeli. Különleges adat kezelhet , ha •az érintett írásban hozzá hozzájárul, •valamely kü külön trv. trv . elrendeli. 29
30
Közérdek adatok nyilvá nyilvánossá nossága
Közérdek adatok Az állami vagy helyi önkormányzati feladatot ellátó szerv kezelésében, a személyes adat fogalma alá nem es , és törvényben meghatározott kivételek körébe nem tartozó adat.
Közfeladatot ellátó szerv köteles tájékoztatást adni tevékenységér l. Bels használatra és döntés-el készítésre használt adat 30 évig nem nyilvános. Az adatszolgáltatás megtagadása esetén bírósághoz fordulhat.
31
32
Adatvé Adatvédelmi biztos
Kivé Kivételek 1. honvédelmi, 2. nemzetbiztonsági, 3. b nüldözési vagy b nmegel zési, 4. központi pénzügyi vagy devizapolitikai érdekb l, 5. külügyi kapcsolatokra, nemzetközi szervezetekkel való kapcsolatokra, 6. bírósági eljárásra vonatkozó adatok.
Az Országgy lés választja, ellen rzi e törvény és az adatkezelésre vonatkozó más jogszabály megtartását; kivizsgálja a hozzá érkezett bejelentéseket; gondoskodik az adatvédelmi nyilvántartás vezetésér l,
33
34
35
36
javaslatot tesz az adatvédelmi törvény módosítására, felszólít a jogellenes adatkezelés megszüntetésére, javaslatot tesz a titkos adatok min sítésének módosítására. http://www.obh.hu
Szemé Személyes adatok felhaszná felhasználása kutatá kutatási és üzletszerzé zletszerzési cé célokra
Adatvé Adatvédelmi nyilvá nyilvántartá ntartás a) az adatkezelés célját; b) az adatok fajtáját és kezelésük jogalapját; c) az érintettek körét; d) az adatok forrását; e) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját; f) az egyes adatfajták törlési határidejét; g) az adatkezel nevét és címét (székhelyét), valamint a tényleges adatkezelés helyét.
Opt – in : a felhasználó csak azt kérheti, hogy ne küldjenek neki Opt – out : a felhasználó külön kéri, hogy küldjenek neki
37
38
Opt – out
Opt - in
1995. évi CXIX trv. a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezelésér l Források: régi kapcsolat, telefonkönyv, szaknévsor, azonos tevékenységet végz szervt l, nagy rendszerekb l (6 hónapig használható)
2001. évi CVIII. törvény az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefügg szolgáltatások egyes kérdéseir l Spam Leiratkozási lehet ség Lista az igényl kr l. 39
Államllam- és szolgá szolgálati titok
40
Min sítés
1995. évi LXV. törvény Államtitok - id el tti nyilvánosságra kerülése sérti a MK érdekeit.
csak a törvény mellékletében szerepl témákban, az illetékes szerv vezet je jogosult, formai jelzések:
Szolgálati titok - illetéktelen kezekbe kerülve sérti a közfeladatot ellátó szerv érdekeit.
– „Titkos”, vagy „Szigorúan titkos” jelzés – a min sít neve, beosztása, – érvényességi id . 41
42
Banktitok
A banktitok nem vonatkozik
1996. évi CXII. tö törvé rvény Banktitok minden olyan, az egyes ügyfelekr l a pénzügyi intézmény rendelkezésére álló tény, információ, megoldás vagy adat, amely ügyfél személyére, adataira, vagyoni helyzetére, üzleti tevékenységére, gazdálkodására, tulajdonosi, üzleti kapcsolataira, valamint a pénzügyi intézmény által vezetett számlájának egyenlegére, forgalmára, továbbá a pénzügyi intézménnyel kötött szerz déseire vonatkozik.
a felügyeleti szervekre (MNB, KEI, OBA, Számvev szék) közjegyz , gyámhivatal, végrehajtó, nüldöz szervek, BM, PM köztartozások esetén APEH, OEP és VPOP
43
44
Nagy tö tömeg szemé személyes adatokat feldolgozó feldolgozó szervezetek
Üzleti titok
KÖNYVH APEH OEP NYUFIG VPOP KSH Önkormányzatok
Üzleti titok a gazdasági tevékenységhez kapcsolódó minden olyan tény, információ, megoldási mód vagy adat, amelynek titokban maradásához a jogosultnak méltányolható érdeke dik.
Nemzetbiztonsági szolgálatok Honvédség Rend rség Kamarák, egyesületek Munkahely Szolgáltatók
45
46
Alapkö Alapkövetelmé vetelmények
Adatbiztonság Az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni szaki és szervezési intézkedések és eljárások együttes rendszere.
47
Rendelkezésre állás a rendszer szolgáltatásai és adatai a megfelel id ben m köd képesek.
•Sértetlenség az adatokat és a programokat csak az arra jogosultak változtathatják meg, véletlenül sem módosulnak. 48
Hitelesség A partnerek kölcsönösen és kétségtelenül felismerhetik egymást, és ez az állapot a kapcsolat egész idejére változatlanul fennmarad.
Bizalmasság Az adatokhoz az arra jogosítottak csak az el írt módokon férhetnek hozzá.
köd képesség A rendszernek és elemeinek az elvárt és igényelt üzemelési állapotban való tartása. 49
50
Fenyeget tényez k
Alapfenyegetettsé Alapfenyegetettség
A fenyeget tényez k a biztonsági
Az alapfenyegetettség a fenyeget tényez k
alapkövetelmények teljesítését zavaró
olyan csoportosítása, amely a biztonsági
körülmények vagy események.
alapkövetelmények valamelyikének teljesíthetelenségét okozza.
51
Védelmi/biztonsá delmi/biztonsági mechanizmusok
52
Nemzetkö Nemzetközi ajá ajánlá nlások az érté rtékelé keléshez
Ezek olyan eljárási módszerek vagy megoldási elvek, amik azt a célt szolgálják, hogy egy vagy több biztonsági követelményt teljesítsenek.
53
TCSEC USA Védelmi Minisztériuma 1985. Biztonságos Számítógépes Rendszerek Értékelési Kritériumai Narancs Könyv
54
Tová További lé lépések
ITSEC
CTCPEC - A Biztonságos Számítástechnikai Termékek Értékelési Kritériumai Kanadában, Kanada 1993.
Európai Közösség 1991. Információtechnológiai Biztonsági Kritériumok Fehér Könyv
FC - Szövetségi Kritériumok, USA+Kanada 1993. CC - Közös Követelmények, EU+USA+Kanada, 1996. 55
56
Alapfunkció Alapfunkciók
ITSEC tartalma
azonosítás hitelesítés jogosultság kiosztás jogosultság ellen rzés bizonyíték biztosítás újraindítási képesség hibaáthidalás, átviteli biztonság
megbízható informatikai rendszerek alapfunkciói, biztonsági osztályok, védelmi mechanizmusok, min sítési kritériumok és min sítési fokozatok,
57
58
Biztonsá Biztonsági osztá osztályok kialakí kialakításának alapelvei
Biztonsá Biztonsági osztá osztályok alapesetei
A különböz alapfunkciókkal szembeni követelmények választéka. Figyelembe lehessen venni a rendszerek sajátosságait. Összehasonlítható legyen a TCSEC-el.
D - minimális C - tetsz leges B - kötelez A - verifikált (ellen rzött, bizonyított)
59
60
Biztonsá Biztonsági osztá osztályok az TCSECTCSEC-ben D - bárki mó módosí dosíthatja a rendszer er forrá forrásait (pl. DOS) C1 - azonosítás és hitelesítés, a jogkezelés és jogellen rzés (pl. UNIX) C2 - felhasználó azonosítás, fokozott ellen rzés, részletes rendszeradminisztráció (Windows , Novell NetWare, Linux)
B1 – címkézett biztonságú védelem B2 – strukturált védelem B3 – biztosított védelmi területek A1 – ellen rzött tervezés
61
62
Védelmi mechanizmusok Pótló tlólagos osztá osztályok F-IN F-AV F-DI F-DC F-DX
Felhasználó-azonosítási és hitelesítési eljárás Hozzáférés-jogosultság ellen rzési eljárás Felel sségre vonhatósági eljárás Könyvvizsgálati eljárás Eszköz-újrafelhasználási eljárás Pontossági eljárás A szolgáltatások megbízhatósága eljárás Adatok cseréje eljárás
adatbázis jelleg rendszerek gyártási folyamatok adatsértetlenség magas átviteli biztonság titkos adatok továbbítása nyílt hálózatokon
63
64
ISO OSI 7498-2 (X.800)
Min sítési fokozatok
Biztonsági szolgálatok hitelesítés hozzáférés ellen rzés adattitkosság adatsértetlenség letagadhatatlanság
Kevés védelmet nyújtanak a küls támadásokkal szemben, de a hibáktól védenek: Q0 , Q1, Q2 jótól a kiválóig nyújtanak védelmet a küls támadásokkal szemben: Q3, Q4, Q5 nem leküzdhet védelemmel rendelkez rendszerek: Q6, Q7 65
66
ITSEC azonosítás hitelesítés jogosultság kiosztás jogosultság ellen rzés bizonyíték biztosítás újraindítási képesség hibaáthidalás, átviteli biztonság
Biztonsá Biztonsági mechanizmusok
X 800
rejtjelezés digitális aláírás, id pecsét hozzáférés ellen rz mechanizmusok adatsértetlenség mechanizmusok hitelességcsere forgalom helykitöltés forgalomirányítás közjegyz i hitelesítés
hitelesítés hozzáférés ellen rzés adattitkosság adatsértetlenség letagadhatatlanság
67
ITSEC Felhasználó-azonosítás és hitelesítés Hozzáférés-jogosultság ellen rzés Felel sségre vonhatóság Könyvvizsgálat Eszköz-újrafelhasználás Pontossági eljárás A szolgáltatások megbízhatóság Adatok cseréje
X 800 Rejtjelezés Digitális aláírás, id pecsét Hozzáférés ellen rzés Adatsértetlenség mechanizmusok Hitelességcsere Forgalom helykitöltés Forgalomirányítás Közjegyz i hitelesítés
68
Miniszterelnöki Hivatal Informatikai Koordinációs Iroda Informatikai Tárcaközi Bizottság (ITB) ajánlásai: Informatikai biztonsági módszertani kézikönyv 8. sz. ajánlás
69
70
71
72
Az informatikai rendszerek biztonsági követelményei 12. számú Common Criteria (CC), az informatikai termékek és rendszerek biztonsági értékelésének módszertana 16. számú
Internet a kormányzatban – intranet 13. számú Elektronikus adatcsere
17. számú
ITB 12. sz. ajá ajánlá nlás
Védend adatok kategó kategóriá riái nyílt, szabályozók által nem védett adat, érzékeny, de nem min sített (személyes, különleges, üzleti, bank, orvosi, stb.) szolgálati titok, államtitok,
Besorolások információ védelem területén kárérték szerint megbízható m ködés szerint
73
Kárérté rték szerinti besorolá besorolások
74
Megbí Megbízható zható m ködés
anyagi, (közvetlen, közvetett) társadalmi, politikai, humán személyi sérülés, haláleset, visszaélés
Újraindítási képesség Hiba-áthidalási folyamat kialakítása Hatékony menedzselés
75
76
FOKOZOTT
ALAP BIZTONSÁGI OSZTÁLY Személyes adatok, üzleti titkok, pénzügyi adatok, a nyílt adatok feldolgozására, tárolására alkalmas rendszer
Szolgálati titkok, különleges személyes adatok, nagy tömeg személyes adatok, banktitkok, közepes érték üzleti titkok
közepes kárérték (1 mFt)
nagy kárérték (10 mFt)
nincs tartalék berendezés, hibajavítás
tartalék berendezések, hibajavítás
77
78
Biztonsá Biztonsági osztá osztályok
KIEMELT államtitok, katonai szolgálati titok, nagy tömeg különleges személyes adatok és nagy érték üzleti titkok katasztrofális kárérték (100 mFt felett) szorosan csatolt melegtartalék – egy adott kritikus funkciót megvalósító berendezés mellett párhuzamosan m ködtetnek egy másik, azonos, vagy azonos funkciót nyújtó berendezést.
TCSEC
ITSEC
12. ajánlás
C1
F-C1
C2
F-C2
B1
F-B1
FOKOZOTT
B2
F-B2
KIEMELT
B3
F-B3
ALAP
79
Az informatikai biztonsá biztonság megteremté megteremtésének szakaszai
80
Védelmi igé igények feltá feltárása
A védelmi igények feltárása
1. Alkalmazások és adatok feltérképezése Fenyegetettség elemzés
2. Értékelése Kockázatelemezés
Kockázat-menedzselés 81
82
Rendszerelemek:
Fenyegettsé Fenyegettség elemzé elemzés
1. Környezeti infrastruktúra 2. Hardver eszközök 3. Adathordozók 4. Dokumentumok 5. A szoftver 6. Az adatok 7. Kommunikáció 8. Az emberi tényez
3. A fenyegetett rendszerelemek feltérképezése 4. Az alapfenyegettség meghatározása 5. A fenyeget tényez k meghatározása
83
84
Környezeti infrastruktúra Környezeti infrastruktúra természeti katasztrófák, betörés, terrorcselekmények, gondatlanságból ered károk (t z, víz) védelmi berendezések hiánya, vagy könnyen kiismerhet védekezés közm ellátási zavarok (áramszünet, vízhiány) ellátó berendezések meghibásodása
terület, épület, helyiségek, átviteli vezetékek, áramellátás, vízellátás, világítás, telefon, belépés ellen rzés, t zvédelem, vízvédelem, betörés- és egyéb biztonságvédelmi berendezések összessége
85
86
Adathordozók
Hardver eszközök számítógépek és perifériák, hálózati csatolók, hálózati és táp-kábelek készülékek rongálása (pl. kóla, kávé), károsítása, ellopása, szabálytalan szerelések, elektromágneses sugárzás (mobil telefonok) szaki jelleg meghibásodások,
az adatmentések szabályozatlansága fizikai sérülések elégtelen azonosítás nem megfelel tárolás lopás
87
Dokumentumok
88
A szoftver
Kezelési kézikönyvek, szabályzatok, rendszerleírások, üzemeltetési naplók, dokumentáció hiánya, nem selejtezett elavult dokumentumok jogosulatlan változtatások bevezetése szabálytalan kölcsönzés, másolás,
ellen rizetlen szoftverbevitel jogosulatlan rendszerbejutás kezelési, karbantartási hiba a szoftver sérülése vírusveszély teszteletlen programok használata 89
90
Adatok
Kommunikáció
a bevitt adatok nem megfelel ellen rzése mentések elmulasztása hiányzó kezelési eljárások hibás szoftver által okozott adatvesztések megszakítások által okozott hibák eredményadatok ellen rizetlensége
átviteli vonalak károsodása a küld és fogadó azonosításának hibái jogosulatlan behatolások túlterheltség, forgalmazási csúcsok lehallgatás hibás berendezések és szoftverek 91
92
Az emberi tényez
A fenyegeté fenyegetés forrá forrása
munkából való kiesés hibás munkavégzés az el írások megsértése szándékos károkozás információk kiadása
fenyegetés forrása védelemigényes rendszerelem 93
Motivá Motiváció ciók haszonszerzés, bosszú, irigység, sértettség, felindultság, virtus,
94
A ká károkozó rokozók megoszlá megoszlása Egyéb 1%
tudatlanság, képzetlenség, alkalmatlanság, ellenséges magatartás, gondatlanság.
Küls 17%
Alkalmazottak 82%
95
96
Biztonsá Biztonsági inté intézkedé zkedések a szemé személyek vé védelmé delmében
Kocká Kockázatelemzé zatelemzés
Ergonómiailag korrekt munkahelyek kialakítás A motiváció fenntartása Stresszmentes környezet Pontos munkaköri leírások Megfelel kiképzés A szükséges munkaeszközök biztosítása
A fenyegetett rendszerelemek értékelése A károk gyakoriságának meghatározása A fennálló kockázat leírása, értékelése
97
Kocká Kockázat menedzselé menedzselés
98
Biztonsá Biztonsági inté intézkedé zkedések Az intézkedések kiválasztása a biztonsági osztályok igényei szerint történik Többlépcs s, többször megismételt folyamat
Az intézkedések kiválasztása Az intézkedések értékelése Költség-haszon arány elemzése Maradványkockázat elemzése 99
Programozott ká kártev k
100
Hátsó ajtók, kiskapuk és csapdák Lehet vé teszi, hogy jogosulatlan felhasználók elérjék a rendszert.
Hátsó ajtók, kiskapuk és csapdák Logikai bombák Vírusprogramok Programférgek Trójai programok Baktériumok vagy nyulak.
Alkalmazásfejleszt programozók írják, hogy kés bb hozzáférjenek a rendszerhez.
101
102
Logikai bombák
Vírusprogramok
Aktivizálódásuk bizonyos feltételekhez kötött, ami lehet egy adott dátum (pl. péntek 13) vagy egy bizonyos felhasználó belépése, stb.
Végrehajtható programokban helyezkednek el, a gazdaprogram futásakor a víruskódok is végrehajtásra kerülnek. Víruskritériumok: saját kód sokszorozásának képessége rejt zködés alkalmazása adott feltételek teljesülésére való figyelés mellékhatások megjelenése
Id nként felhasználják jogvédelmi célokra is.
103
Vírusok fajtá fajtái:
104
Programférgek önmagukban is futóképes, gépr l gépre vándoroló program, amelyek ugyan nem változtatnak meg más programokat, de szállíthatnak vírusokat.
Boot szektor vírusok Partíciós tábla vírusok Direct Action File Virus Indirect Action File Virus
105
Hogyan vé védekezzü dekezzünk a levé levélfé lférgek ellen? Ne nyissuk meg olyan levelek mellékleteit, amelynek ismeretlen a feladója. A legkisebb gyanú esetén inkább töröljük ki az e-mailt! Ha a gépünk fert zött lett, ne indítsuk újra és ne kapcsoljuk ki, hívjunk specialistát!
107
106
Ne vegyük komolyan a vírusra figyelmeztet leveleket és ne küldjük tovább. Különösen akkor, ha ismeretlent l jött. Ne hallgassunk az olyan levelekre, amelyek általában karitatív felhívás kapcsán - arra ösztönöznek, hogy minél több helyre küldjük ket tovább. Óvakodjunk az olyan levelekt l, amelyek nagy nyereményeket, könny pénzt ígérnek.
108
Trójai programok
Baktériumok vagy nyulak
Gyakran használt programokba (tömörít k, hasznos segédprogramok) építenek bele destruktív utasításokat tartalmazó programkódokat. Szaporító rész nincs bennük. Az elterjedését a felhasználók biztosítják azzal, hogy felmásolják saját számítógépükre a hasznosnak vélt segédprogramot, majd esetleg tovább is adhatják ismer seiknek. Ezzel tökéletesen meg is van oldva a terjedés mechanizmusa.
Nem kifejezetten célja más állományok rongálása, csupán önmagukat másolják, és így exponenciálisan szaporodva lefoglalják a processzort, a memóriát ás a lemezterületet.
109
Hol keletkeznek ?
110
Mib l tudjuk?
Kutatók Katonai laboratóriumok Terroristák Munkahelyi alkalmazottak, tanulók, hallgatók Szervízek
megváltoznak a paraméterek, lelassul vagy lefagy a rendszer, csökken a memória elt nek állományok, zenél, zakatol, potyog, maguktól elindulnak programok, pl. böngész k, stb. 111
Hogyan hatnak?
112
Mit tegyü tegyünk?
Kitörölnek bizonyos állományokat Megakadályoznak programfutásokat Állománycsonkításokat végeznek Hozzáf zik magukat bizonyos futtatható programokhoz
Telepítsünk a számítógépre víruskeres programot, és ha mód van rá, hetente frissítsük. Ez az els és a legjobb védvonal. Ismerjük meg a biztonsági szolgáltatások beállítását. Telepítsünk t zfalat, különösen akkor, ha gyors Internet-kapcsolattal rendelkezünk. 113
114
Kriptográfia Legyünk óvatosak, amikor ismeretlen vagy nem megbízható webhelyre látogatunk. A rossz hír webhelyek vírust juttathatnak közvetlenül a számítógépére. Növeli a biztonságot, ha csak a megszokott helyeken szörfözik az ember az Interneten.
115
116
A kriptográ kriptográfia alapvet feladata Biztosítsa azt, hogy bizonyos adatok, csak az azok felhasználására kijelölt körben legyenek elérhet k, ne juthassanak illetéktelenek birtokába.
117
118
Polibü Polibüosz táblá blája (i.e. 200 - i.e. 120) 1
2
3
4
5
1
A
B
C
D
E
2
F
G
H
I
K
3
L
M
N
O
P
4
Q
R
S
T
U
5
V
W
X
Y
Z
A 119
120
M 121
Kever rejtjelezé rejtjelezés K 0-1
R 4-2
E 1-4
J
R 6-7
5-5 V 2-9 E 3-F
E
E 7-C
J 8-0
E
L C-3 T 9-6
E J A-B
E B-E
K
E D-8
V
R
L
T
R
Z
J
E
E
Z E-A F-D 123
124
125
126
127
128
129
130
Vigenere rejtjelezés Kódolandó, nyílt szöveg (rejtjelezés) Kulcsszöveg (egy kulcs) Kódtábla Kódolt szöveg
131
132
N Y Í L T
B E T
K
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z A B C D E
a b c d e
K U L C S
F G H I J
B E T K
b c d e f
e f g h i f g h i j g h i j k h i j k l i j k l m
j k l m n
l m n o p
m n o p q
n o p q r
o p q p q r q r s r s t s t u
r s t u v
s t u v w
t u v w x
u v w x y
v w x y z
w x y z a
x y z a b
y z a b c
z a b c d
f g h i g h i j h i j k i j k l j k l m
j k l m n
k l m n o
o p q p q r q r s r s t s t u
r s t u v
s t u v w
t u v w x
u v w x y
v w x y z
w x y z a
x y z a b
y z a b c
z a b c d
a b c d e
b c d e f
c d e f g
d e f g h
e f g h i
K L M N O
k l m n o
n o p q r
o p q r s
p q r s q r s t r s t u s t u v t u v w
t u v w x
u v w x y
v w x y z
w x y z a
x y z a b
y z a b c
z a b c d
a b c d e
b c d e f
c d e f g
d e f g h
e f g h i f g h i j g h i j k h i j k l i j k l m
j k l m n
P Q R S T
p q r s q r s t r s t u s t u v t u v w
t u v w x
u v w x y
v w x y z
w x y z a
x y z a b
y z a b c
z a b c d
a b c d e
b c d e f
c d e f g
d e f g h i j k e f g h i j k l f g h i j k l m g h i j k l m n h i j k l m n o
l m n o p
m n o p q
n o p q r
o p q r s
U V W X Y Z
u v w x y z
y z a b c d
z a b c d e
a b c d e f
b c d e f g
c d e f g h
d e f g h e f g h i f g h i j g h i j k h i j k l i j k l m
i j k l m n
q r s t u v
r s t u v w
s t u v w x
t u v w x y
l m n o p
v w x y z a
c d e f g
m n o p q
w x y z a b
d e f g h
x y z a b c
l m n o p
m n o p q
n o p q r
k l m n o
j k l m n o
k l m n o p
l m n o p q
m n o p q r
n o p q r s
o p q r s t
p q r s t u
Nyílt üzenet:
r e
j
t
j
e
l e z e s
Kulcsszöveg:
e g y k u l c s e g y
Rejtett üzenet: V K H D D P N W D K Q
133
134
Nyílt információ
ENIGMA II. világháború kulcsszerepet játszó kódoló eszköze a németek fejlesztették ki, a lengyelek, majd az angolok fejtették meg
Az eredeti, kódolatlan, bárki által értelmezhet üzenetet.
135
136
Rejtjeles információ
A rejtjelez algoritmus
A rejtjelezés eredménye, a védett, olvashatatlanná tett információ.
Olyan matematikai apparátus, amely egy tetsz leges, nyílt információhalmazból úgy állít el egy kódoltat, hogy abból az eredeti nyílt adathalmaz visszanyerhet . 137
138
Rejtjelezés, kódolás (encryption)
Kulcs A rejtjelezési módszerek halmaza. A kulcs ezen módszerek címkéje, vagyis a kulcs által választódik ki az éppen alkalmazott rejtjelezési transzformáció.
Az a konverzió, amely során a nyílt információból rejtjeles lesz.
Nyí Nyílt informá információ ció
kódolá dolás
Rejtjeles informá információ ció
139
Megoldás, megfejtés, dekódolás (decryption)
140
Újabb kor kihí kihívásai
Az el bbi fordítottja, amikor is egy kódolt információhalmazból nyílt információt állítunk el .
Rejtjeles informá információ ció
dekó dekódolá dolás
Távíró Rádió hullámok Internet
Nyí Nyílt informá információ ció
141
Szimmetrikus/titkos kulcsú kulcsú módszerek
142
DES
Input Kezdeti permutáció L0
DES - Data Encryption Standard fejlesztése a 70-es években kezd dött az USA-ban 64 bites blokk-rejtjelez máig is elismerten er s algoritmus gyors eljárás
R0
Alkulcs Behelyettesítés Permutáció
L1 (=R0)
R1
L15 (=R14)
R15
Alkulcs Behelyettesítés Permutáció
L16 (=R15)
R16
Végs permutáció Output
143
144
A DES egy lépésének modellje
OOOOOOOOOOOOOOOO
OOOOOOOOOOOOOOOO
145
X
Kommuniká Kommunikáció ciós csatorna
Y
Nyí Nyílt szö szöveg Titkos kulcs
146
Abszolú Abszolút biztos csatorna
Titkos kulcs
kódolá dolás
kulcs
Kódolt szö szöveg
Kódolt szö szöveg
ADÓ
dekó dekódolá dolás nyí nyílt
VEV rejtjelezett
nyí nyílt
Nyí Nyílt szö szöveg 147
Aszimmetrikus kulcsok
Nyilvá Nyilvános kulcsú kulcsú algoritmusok
Nyilvános kulcsú rendszerek 76-ban Diffie és Hellmann
egyik nyit
148
RSA - Ronald Rivest, Adi Shamir, Len Aldemann RC-1, RC-2, RC-3, RC-4, RC-5 algoritmusok
Kétkulcsos rendszerek: másik zár
149
150
X
Nyilvá Nyilvános kulcsok
PGP Pretty Good Privacy Philip Zimmermann MSDOS, UNIX, VAX/VMS és sok más op. rendszer alatt fut els sorban magánlevelezések titkosítását szolgálja
Nyí Nyílt szö szöveg
Y Y titkos kulcsa
kódolá dolás Kódolt szö szöveg
Kódolt szö szöveg dekó dekódolá dolás Nyí Nyílt szö szöveg
151
152
Kulcsmenedzsment szimmetrikus kulcsú algoritmusoknál
Rendszertechnikai elemek Lecserélhet algoritmus Komplett kulcsmenedzsment Osztott védelmi rendszer Önálló központi kulcsellátó rendszer Naplózó és jelszórendszer Védett tárolás
A különböz típusú és funkciójú kulcsok id ben és fizikai helyszínben máshol keletkeznek és a teljes rendszer ködtetése vagy kihasználása csak azok együttes birtoklásával lehetséges. 153
154
155
156
Háromutas kulcsforgalom A
"A" kulccsal
B
rejtjelezett
A
"A+B" kulccsal rejtjelezett
"B" kulccsal
B
rejtjelezett
DIGITÁ DIGITÁLIS ALÁ ALÁIRÁ IRÁS KÉ KÉSZITÉ SZITÉS
Digitá Digitális aláí aláírrás
Hash f üggvé ggvény
Nyí Nyílt szö szöveg
hitelesít eszköz, csak az arra jogosult szolgáltató végezheti, technológia semleges, csak törvény zárhatja ki az elfogadása körét, alkalmazására nem lehet senkit kötelezni,
kivonatolá kivonatolás Kivonat
X titkos kulcsa
kódolá dolás
Nyí Nyílt szö szöveg
Kódolt kivonat
157
158
DIGITÁ DIGITÁLIS ALÁ ALÁIRÁ IRÁS ELLEN RZÉ RZÉSE
HashHash-függvé ggvény
Hash f üggvé ggvény
Nyí Nyílt szö szöveg kivonatolá kivonatolás X nyilvá nyilvános kulcsa
Kivonat 1. 1. dekó dekódolá dolás
Kódolt kivonat
Kivonat 2. 2.
egyez
n Nem hiteles
i A szö szöveg hiteles
Követelmények: egyirányú - praktikusan lehetetlen bel le el állítani az eredeti szöveget lavina hatás - 1 bit változtatás 50% változás ütközésmentes - két szöveg hash értéke mindig eltér
159
Az elektronikus aláí aláírrás fajtá fajtái:
160
Fokozott – A hitelesítést szolgáltató tanúsítja, de nem feltörhetetlen
„Egyszer ” – nem alkalmas a személy és a dokumentum változatlanságának bizonyítására – jogvita esetén a bíróság külön mérlegeli bizonyító erejét
Min sített – magas szint technológiai biztonság – csak az arra jogosult, a HiF által nyilvántartott szervezet adhatja ki.
161
162
Id bélyegz / id pecsé pecsét
T zfalak
elektronikus irathoz, illetve dokumentumhoz végérvényesen hozzárendelt vagy logikailag összekapcsolt igazolás, amely tartalmazza a bélyegzés id pontját, és amely a dokumentum tartalmához technikailag olyan módon kapcsolódik, hogy minden – az igazolás kiadását követ – módosítás érzékelhet .
A számítógépes hálózatokban a t zfal egy olyan kiszolgáló számítógép vagy program, amelyet a lokális és a küls hálózat közé, a csatlakozási pontra telepítenek, hogy az illetéktelen behatolásoknak ezzel elejét vegyék egyúttal lehet vé teszi a kifelé irányuló forgalom ellen rzését is.
163
164
A t zfalak alaptí alaptípusai
Jelszavak Szótártámadás
Csomagsz - minden bemen és kijöv csomagot ellen riz Proxy - közvetít , egyetlen IP címet látnak kív lr l
– egy megadott szótárfájl alapján történik a titkos azonosító visszafejtése
Nyers er támadás – a program nagy sebességgel próbálgatja a jelszavakat egymás után a megadott tematika szerint
Tokenek – fizikai kulcsok — gyakran kisméret , kulcstartón is hordható USB-eszközök formájában
Intelligens kártyák 165
166
A há hálózatok által felvetett biztonsá biztonsági kocká kockázatok
Elé Elérhet ség kontra biztonsá biztonság
A hálózatok célja a megosztás ezzel a rosszindulatú személyek számára is lehet ségeket teremt A hálózatok népszer vé válásával egyes operációs rendszerek és az alkalmazások a biztonság helyett a könny elérhet ségre összpontosítottak
A felhasználók minél könnyebben szeretnének a hálózati er forrásokhoz hozzáférni a rendszergazdák szeretnék biztonságban tartani a hálózatot Az üzleti hálózatok esetében a kulcs az egyensúly megteremtése
167
168
Bels biztonsá biztonsági veszé veszélyek
Jogosulatlan szoftvertelepí szoftvertelepítés
a szervezeten vagy a telephelyen belülr l érkeznek adatlopást, vírusok elterjesztését vagy hálózati támadásokat szándékosan megkísérl alkalmazottak az alkalmazottak a saját szoftvereiket, hardvereiket telepítik vagy használják a gépükön
Az internetr l letöltött, illetve hajlékonyvagy CD-lemezen terjesztett ingyenes és olcsó szoftverek vírusokat tartalmazhatnak ütközést okoznak a már telepített szoftverekkel kalózforrásból származhatnak (illegális másolással), ami a szoftverek ellen rzése esetén szankcióknak teheti ki a vállalatot. 169
Jogosulatlan hardvertelepí hardvertelepítés
170
Küls biztonsá biztonsági veszé veszélyek a helyi hálózaton kívülr l, általában az interneten keresztül (bizonyos esetekben pedig a helyi hálózat távelérési kiszolgálójára csatlakozó telefonos kapcsolatokon keresztül) érkeznek hackerek, crackerek vagy hálózati támadók kihasználhatják egyes operációs rendszerek és a szoftveralkalmazások gyenge pontjait és tulajdonságait
Engedély nélküli modemek Engedély nélküli vezeték nélküli hozzáférési pontok Engedély nélküli hordozható tárolóeszközök Engedély nélküli nyomtatók
171
172
Az operá operáció ciós rendszer és az alkalmazá alkalmazások kihaszná kihasználása
Küls támadó madók
Egyes operációs rendszerek gyakran számos programhibát tartalmaznak A támadók megfelel kód megírásával ki tudják használni az operációs rendszer és az alkalmazások hibáit is, hogy hozzáférést nyerjenek a rendszerhez A támadások alapja a rossz rendszerbeállítás is lehet
Belépnek a rendszerbe, és hozzáférnek az adatokhoz Leállítják a rendszert Vírusokat és férgeket telepítenek A rendszer használatával más rendszerek vagy hálózatok ellen indítanak támadást
– A Windows XP rendszer esetén beállítható például, hogy jelszó nélkül is be lehessen lépni 173
174
E-mailes tá támadá madások
E-mailes tá támadá madások
Vírust vagy egyéb veszélyes fájlt lehet az e-mail mellékleteként elküldeni A HTML formátumú e-mail üzenetek beágyazott parancsfájlokat és ActiveX-vezérl ket tartalmazhatnak URL-hivatkozások szerepelhetnek, melyek kattintás esetén veszélyes beágyazott programkódokat tartalmazó weblapokra kalauzolhatják az olvasót
Az automatikus válaszadási funkció kihasználható a levelezési kiszolgálókat túlterhel e-mail áradatot eredményez visszajelzési hurok kialakítására félrevezet e-mail üzenetekkel próbálják meg kicsalni a címzettek jelszavait, bankkártyaszámait és egyéb bizalmas adatait (adathalászat = phishing) nagy mennyiség , kéretlen kereskedelmi üzenetek (levélszemét)
175
176
Kárté rtékony webhelyek
Azonnali üzenetkü zenetküldé ldés
beágyazott parancsfájlokat és ActiveXvezérl ket tartalmazhatnak különösen a „warez” (kalózszoftverekkel foglalkozó) és a pornográf webhelyeken gyakoriak akár szoftvereket is telepíthetnek a számítógépre
kártékony webhelyekre mutató üzenetek küldése vírusokat vagy egyéb kártékony programokat tartalmazó fájlok küldése A titkosítás nélküli adatforgalom az ún. „közbeiktatott személy” típusú támadások révén lehallgatható, s ekkor a hackerek a beszélgetés egyik résztvev jének helyébe léphetnek 177
178
Fájlmegosztá jlmegosztás és letö letölté ltések
Költsé ltségek a vá vállalatok szá számára
A P2P (egyenrangú) fájlmegosztási programok újabb belépési pontot biztosítanak a vírusok, a férgek és a támadók számára a zenei vagy a filmfájlok csereberéje a szerz i jogok megsértését testesítheti meg, és a vállalatot jogi szankcióknak teheti ki
Az IT-személyzet számára a megsértett er források hibáinak meghatározásához, javításához és megfékezéséhez szükséges munkadíj és anyagköltség A rendszerek vagy a hálózat leállása okozta termeléskiesés A nélkülözhetetlen adatbázisok elérhetetlensége okozta üzleti veszteség 179
180
Költsé ltségek a vá vállalatok szá számára
Költsé ltségek a vá vállalatok szá számára
A média és a nyilvánosság kérdéseinek megválaszolásához szükséges PR-költségek A bizonyítékok gy jtésével és az illetéktelen behatoló feljelentésével járó jogi költségek A keresetek eredményeként felmerül jogi költségek, ha az ügyfelek bizalmas adataihoz mások hozzáfértek
A felmerül bírságok és büntetések, ha a behatolás során megsérülnek a szabályozási követelmények A biztosítási díjak emelése
181
Következmé vetkezmények a magá magánszemé nszemélyek szá számára
Megté Megtéveszté vesztés
fegyelmi eljárás alá vonhatják — akár el is bocsáthatják —, és akár polgári vagy büntet jogi eljárást is indíthatnak ellene megszerezhetik a társadalombiztosítási azonosítóját, banki adatait, bankkártyáinak számát vagy egyéb azonosító adatait elolvashatják személyes e-mail üzeneteit, és nyilvánosságra hozhatják a másokkal folytatott magánjelleg beszélgetéseit 183
Vége
182
185
az embereket olyan információ (fióknevek, jelszavak) felfedésére veszik rá, amellyel hozzáférhetnek egy rendszerhez vagy egy hálózathoz az emberi természetet használják ki
184
