Informatikai biztonságtudatosság Göcs László PAE GAMF Műszaki és Informatikai Kar Informatika Tanszék
[email protected]
www.gocslaszlo.hu
MINMAFI 2016 konferencia Pallasz Athéné Egyetem - GAMF Műszaki és Informatikai Kar - Informatika Tanszék 2016. Augusztus 24.
TOP 10 (Balabit felmérés) • • • • • • • • • •
Social engineering (például adathalászat) Kompromittált hozzáférések (gyenge jelszó) Web alapú támadások (SQL/command injection) Kliens oldali támadások (például dokumentum olvasó, web böngésző) Szerverfrissítésekre írt expoit-ok (például OpenSSL, Heartbleed) Nem menedzselt privát eszközök (például rossz BYOD szabályzat) Fizikai behatolás Árnyék informatika Külső szolgáltatók igénybevétele (kiszervezett infrastruktúra) Felhő infrastruktúrába kihelyezett adatok megszerzése (például IAAS, PAAS)
Forrás: http://hvg.hu/tudomany/20160218_balabit_hackerek_nepszeru_betoresi_modok
http://map.norsecorp.com/#/
Legbiztosabb módszer a védekezésre?
Kihasználható emberi tulajdonság • Segítőkészség Az emberek legtöbbje szívesen segít az arra rászorulón, különösen ha az egy munkatársnak tűnik.
• Hiszékenység, naivság A munkatársak segítenek egy támadónak, mert naivan elhiszik, hogy tényleg bajban van, de nyugodt szívvel rendelkezésre bocsátanak bizalmas információkat olyan illetéktelen személyeknek, akik valódi munkatársnak tűnnek, holott lehet, csak ismerik az adott területen használt szakzsargont.
Kihasználható emberi tulajdonság • Befolyásolhatóság Meggyőzés, megvesztegetés, vagy akár megfélemlítés is. A munkatársak befolyásolhatóságának sikerességéhez több tényező is hozzájárulhat, ezért mindig célszerű figyelmet fordítani a kiszemelt alkalmazott munkahelyi körülményeire, életszínvonalára.
• Bosszúállás A támadók legtöbbje belülről, a cég munkatársai közül, vagy legalábbis a segítségükkel kerül ki. Ha az alkalmazott már különösen negatív érzéseket táplál munkahelye iránt, vagy esetleg éppen önként távozik vagy elbocsátják, akkor a befolyásolhatóságon túl felmerülhet a bosszúállás lehetősége is.
Web böngészés
• Megtévesztő felület (Design másolása) • Adathalászat • Belépési adatok lopása
1. figyelem felkeltés, megtévesztés
2. Az adatlopás felülete
3. A tényleges felület
BIZTONSÁG • HTTPS:// böngészés
Kétfaktoros autentikáció 1. Azonosító + Jelszó
2. SMS
Elektronikus levelezés veszélyei
• Kéretlen levelek, reklámok • Megtévesztő információk • Adatkérés -> adatlopás • Veszélyes mellékletek (vírus, kémprogram)
Kéretlen levél /spam/ - Kéretlen levél minden olyan elektronikus levél, amelyet a címzett nem kért. Leggyakoribb előfordulási formája a kéretlen reklám. Az ilyen küldemény gyakran még kéretlen betolakodót (vírust) is hordoz. A levél feladója, tárgya és szövege olyan gyakran változik, hogy ezen levelek szűrése, egyszerű minta alapján nem lehetséges. Beugrató levél /hoax/ - Hamis levélriasztás, mely az emberek jóhiszeműségére építve, hatalmas levélforgalmat generál, ezzel a levelező rendszereket lassíthat, vagy béníthat meg. Kártékony programot nem tartalmaz, ha tartalmaz, akkor már vírusnak /malware/ hívják.
Támadás jelei, formái • A feladó neve, és maga az email cím valódisága •
Komoly megrendelés -> telefon
• Hivatalos levél nem jön @gmail.com, @freemail.hu stb címről • Mellékletek
Megtévesztő feladó, veszélyes melléklet
Adathalászat
Magyar változatban (Telekom logo)
Veszélyes melléklet • Keylogger • • •
Minden billentyűzet leütést rögzít, továbbit emailre Kategóriákba szedi (böngésző, gépelés, programok indítása…)
Már nem csak exe fájtként hanem jpg fájlban is terjed
Fájlok ellen irányuló támadás • Helyi számítógépen: Vírus által törlődnek vagy kódolva lesznek • Felhő alapú tárolásnál: adathalászat következtében -> hozzáférés
• Elhagyott adathordozó
CryptoLocker támadás
https://www.youtube.com/watch?v=Gz2kmmsMpMI
ADATMENTÉS KÜLSŐ TÁROLÓRA! • Fontos
adatainkat, munkáinkat időközönként mentsük külső adathordozóra, amit csakis az adatmentéskor csatlakoztassunk a gépünkhöz.
TITKOSÍTÁS • Az adathordozót, partíciót, teljes merevlemezt tikosítani.
JELSZAVAK
• Használata egyszerű • Olcsó • Észrevétlenül másolható és tulajdonítható el (nincs visszajelzés ha más birtokába került)
• Erős védelem megjegyezhetősége nehéz
A jelszó minőségek meghatározói Hosszúság minden egyes hozzáadott karakter növeli a jelszó értékét; 8 vagy annál több karakter minimum szükséges egy erős jelszóhoz, de 14 vagy annál több lenne az ideális.
Komplexitás minél többféle karaktert alkalmazunk, annál nehezebb kitalálni a jelszót, használjuk a teljes billentyűzetet. Jelszó bonyolultsági feltétel: • • • •
Angol nagybetűs karakterek (A-tól Z-ig) Angol kisbetűs karakterek (a-tól z-ig) Az alapvető 10 számjegy (0-tól 9-ig) Nem betű jellegű karakterek (például !, $, #, %)
Könnyű észben tartani, nehéz kitalálni ezt a legnehezebb betartani a felhasználóknak.
Hogyan védjük a jelszavakat?
• Ne mond el és ne add oda másnak! • Vigyázz a leírt vagy mentett jelszavakra! • Sose írd meg a jelszavadat e-mailben, és ne válaszolj a jelszavadat elkérő levelekre!
• Ne írd be a jelszavadat olyan számítógépen, amelyet nem ismersz! • Használj több mint egy jelszót!
Clean Desk Policy (CDP) - Tiszta Asztal Politika •
Belépési azonosító és jelszó
• •
•
Papíralapon (Post-It, regisztrációs lap kinyomtatva) Hardverre írva (monitor, billentyűzet)
Személyes információk
•
Amiből a jelszavak megfejthetőek, kitalálhatóak
•
Otthoni/Céges dokumentumok, leírások
•
Mobiltelefon
Erős jelszó példa • Találj ki egy mondatot, amit könnyen észben tudsz tartani! Például: A kisfiam Péter ma pontosan két éves.
• Alakítsd a mondatot jelszóvá! Használd minden szó első betűjét, hogy egy betűsorozatot gyárts: akpmpke
• Bonyolítsd a szöveget egy kis fantáziával! Vegyítsd a kis- és nagybetűket, használj számokat a betűk helyett. Például: AkPmp2e
• Vonj be speciális karaktereket! Használj olyan szimbólumokat, amelyek hasonlítanak bizonyos betűkhöz: Ak#P?mp%2e!
Jelszavaink a weben Web áruház regisztráció Elfelejtett jelszó Új jelszó kérése emailben Reménykedjünk hogy nem az 1 évvel ezelőtti begépelt jelszót küldi vissza a rendszer!
Adatbázis rosszul tárolja
Internetes vásárlás
• Bankkártya regisztrálás – ELEKTRONIKUS SZÁMLA
• Különítsük el a fő bankszámlánktól • Csak az aktuális összeget utaljuk rá
• Ingyenes programok
Szoftver letöltés
• Driverek
http://download.drp.su/online/DriverPack-Online_232641818.1472022580.exe
•
Csakis a gyártó oldaláról
•
Megéri a 10-20 $ ár egy megbízható forrásból származó szoftverért
Köszönöm a figyelmet!
…
