W W W . I T - S E C U R I T Y. H U
IT-SECURIT Y SPECIAL
I I . É V F O LYA M 7 . S Z Á M 2 0 0 5 . S Z E P T E M B E R 2 0 .
A Z I T- B U S I N E S S M E L L É K L E T E
AZ INFORMATIK AI BIZTONSÁG NAPJA
12. OLDAL
A világhálón nincsenek határok Mindenre felhasználják
28. OLDAL
Céges csevegés Vállalati gyorsüzenők
41. OLDAL
Bonyolultat, egyszerűen Mindennapi kriptográfia
Fehérgallérosok nyomában
Kiberbûnözés, számítógépes bûnözés, hi-tech bûnözés – nyomozás, felderítés, bizonyíték
14. oldal
IT-SECURITY
VEZÉRCIKK
2005. SZEPTEMBER 20.
A SORREND: VETÉS, ARATÁS Legtöbben csak akkor szereltetik fel a lakásriasztót, amikor már betörtek hozzájuk. Az ember csak akkor döbben rá, hogy milyen törékeny dolog a biztonság, amikor elönti a spamáradat, vagy éppen megcsapolják a bankkártyáját. Egy-egy szerverfeltörés vagy kártyacsalás hírét jól felkapja a média, de legalább ilyenkor foglalkozik a biztonság kérdéseivel. Nos, szeptember utolsó hetében nem kell semmi botrányos dolognak történnie ahhoz, hogy az információbiztonság garantáltan a középpontba kerüljön. Merthogy az a hét lesz az informatikai biztonság nagyhete, lokális és nemzetközi szinten egyaránt. Az Informatikai Biztonság Napja címû konferencia más okból is kivételes rendezvénynek számít. Mert az összefogás a lényege. Illetve majdnem. Vannak ugyanis néhányan a biztonság felkent szállítói közül, akik rájöttek: ezen a területen is hirdetni kell az igét – és növelni a piaci tortát. Vagyis a nagy összeborulás hátterében nem az önzetlenség áll, hanem a jól felfogott üzleti érdek: csak egy nagyobb tortából tudnak egyre nagyobb szeleteket kihasítani maguknak. Bevallom, épp ezért nem értem, hogy miért nem sorakozik fel valamennyi meghatározó IT-biztonsági szállító a kezdeményezés mögé. Hisz máskor, más témákban oly gyakran hangoztatják az összefogás szükségességét. Aki nem emeli jelenlétével az esemény rangját, óhatatlanul lemarad valamirõl. Leginkább azokról az ügyfelekrõl, akik az õ potenciális ügyfelei is lehetnének. A felhasználók is veszítenek: nem találkozhatnak a távol maradók megoldásaival. Az IT-SECURITY mindenesetre ott lesz a kiadvánnyal a konferencián. Mind a hazain, mind a nemzetközin.
Sziebig Andrea
fôszerkesztõ
3
IT-SECURITY
TARTALOM
2005. SZEPTEMBER 20.
TERMÉKHÍREK
6 Ellen-elixír 7 Incidenstõl szabályzatig 8 Hibajelentés: sajnálatos bõség 10 Kémprogramok mindenhol 10 Egy csomagban 10 Lyukak a tûzfalon 11 Terjednek a webkártyák 11 Ellopott személyiségek 11 Rekordméretû növekedés 11 Kreatív féreg MEGKÉRDEZTÜK
12 A világhálón nincsenek határok Garamvölgyi László rendõrezredes, rendõrségi fõtanácsos, szóvivõ
CÍMLAPON
ESZKÖZTÁR
KOMMUNIKÁCIÓ
20 Egy projekt tanulságai
26 Támadások aktív eszközökkel
Nemcsak az atomhulladék-probléma
22 Fizetni a neten Látatlanban üzletet kötni nem könnyû
Fehérgallérosok nyomában A számítógépes bûnözés akkor is létezõ valóság, ha gyakran az elkövetõ kiléte is titokban marad, sõt néha még maguk az áldozatok sem sejtik, hogy célpontokká váltak. A méretek és az okozott károk tekintetében csak becslésekre szorítkozhatunk. Az elkövetõk nincsenek lépéselõnyben, mert a bûnüldözõ szerveknek is vannak képzett szakembereik és más okos eszközeik.
14. oldal
24 Ellentmondásosak a követelmények Szigorúbb szabályok kellenének
A WEP-használók gondjai
28 Céges csevegés Vállalati üzenõrendszerek kockázatai
30 Fejet a homokba? Hurrikán előtt és után
MENEDZSMENT
25 Ki és hogyan lehet igazságügyi szakértő? Hosszú egyeztetés után elkészült a törvény
ESEMÉNYNAPTÁR
39 Szeptemberi rendezvények 40 Oktatás, tanfolyamok Budapesten 40 Minõsítések: CBCP Egy négyszintû rendszer fõ tanúsítványa
IT-SECURITY SPECIAL AZ INFORMATIKAI BIZTONSÁG NAPJA
32 Erõsíteni a tudatosságot! 35 Mi kell a biztonsághoz? 36 A nyugodtabb jövõért
41 Bonyolultat, egyszerûen Mindennapi kriptográfia
42 Mit olvas a szakértõ? Nyomtatott információk
5
TERMÉKHÍREK
2005. SZEPTEMBER 20.
Ellen-elixír Júniusi és augusztusi spamstatisztikák.
K
ét év leforgása alatt alaposan átalakult a világhálón keringő kéretlen levelek összetétele. Miközben lényegesen csökkent a pornográf tartalmú spamek aránya, az egészségügyi és pénzügyi leveleké megkétszereződött, és dömpingszerűen jelentek meg, majd tűntek el felkapott „spamtémák”. Nem véletlen a pornográf spamek számának csökkenése, hiszen már a legalapvetőbb spamszűrők is képesek kiszűrni a szexuális témájú képeket, a hiteles levél-
nek álcázott egészségügyi levélszemetet viszont nehezebb észlelni. Jellemző a kéretlen levelek forgalmára, hogy bizonyos témák egy-két hónapig jelen vannak, aztán szinte nyomtalanul eltűnnek. Májusban a kutyatartással kapcsolatos spamek jelentek meg tömegesen, júniusban pedig a szivart és egyiptomi lepedőt kínáló levélszemét szaporodott, de előkelő helyet szereztek a Clearswift-féle Spam Indexen a másolt ékszereket, órákat és ruhákat ajánló spamek is.
IT-SECURITY
SPAMTARTALMAK Augusztusban – a Magyarországon is bemutatott Batman: Kezdődik! és A fantasztikus négyes című filmek hatására – világszerte elárasztotta az elektronikus postafiókokat az emberek titkos vágyainak beteljesítését ígérő levélszemét. A spamküldők hosszabb életet, tökéletes testet, emberfeletti képességeket ígérve ajánlgattak varázsérméket. Ha varázselixírekhez nem is, rosszindulatú kódokhoz, kémprogramokhoz könnyen hozzájuthatnak a kéretlen levelek hiszékeny olvasói – mutatott rá Fórján Tamás, a 2F 2000 Kft. műszaki igazgatója. Ismét volt új slágertéma: augusztusban a szerencsejátékokat ajánló reklámlevelek száma nőtt ugrásszerűen. Ez az iparág igencsak jövedelmezőnek számít: az online já-
2005 augusztus (százalék) Szerencsejáték (0,2) Pornográfia (4,8) Egyéb (5,49)
Csalás (1,9) Spamhez kapcsolódó (0,3)
Közvetlen termékajánlat (13,99) Pénzügy (31,17)
Egészségügy, gyógyszeripar (41,36) (Forrás: Clearswift)
tékokat kínáló PartyGaming cég és a hozzá hasonló vállalkozások – saját állításuk szerint – naponta 1,4 millió dollárt keresnek szolgáltatásaikkal. Ám az ártatlanabbnak tűnő levelekkel szemben sem árt az óvatosság: a vírusok és kémprogramok gyakran használnak spamet a terjedéshez.
Kelenhegyi Péter
IT-SECURITY
TERMÉKHÍREK
2005. SZEPTEMBER 20.
Incidenstől szabályzatig Megbízható informatikai rendszerek üzemeltetőinek sem árt felkészülniük a rendszer működési biztonságát megingatni képes incidensekre.
N
agyobb szervezeteknél naponta néhány száztól néhány ezerig terjedhet az incidensek – például vírustámadások, belső adatlopási kísérletek – száma. Mégis alig akad olyan szervezet, ahol az eseményeket központilag, szigorú eljárásrend szerint kezelnék. Jobbára csak egy-egy
A cég vizsgálatai kimutatták, hogy a biztonsági rendszert üzemeltetők gyakran komoly behatolási kísérletekre sem reagálnak. Ezen a gyakorlaton segít változtatni a Kürt Security Awareness Test (SAT) szolgáltatása, amellyel feltérképezhető a biztonsági rendszerek ingerküszöbe,
Gyakran teljes jogosultságot kell adni a felhasználóknak részrendszer jelzéseit kísérik figyelemmel, és a jelzések feldolgozása, a szükséges reakció is esetleges, így könnyen előfordulhat, hogy a kivédettnek hitt kockázatok egy része továbbra is fennáll – számolt be tapasztalatairól a Kürt Rt.
IRATMENEDZSER A működési, üzemeltetési szabályzatok zökkenőmentes bevezetése, működtetése érdekében dolgozta ki a Kürt a DocMan dokumentum-kezelő szoftvert. Ennek menedzsmentfunkciói révén tetszőlegesen alakítható a dokumentumok életciklusa és különböző feladatok, felelősségek és határidők rendelhetők a munkafolyamatokhoz, így minimálisra csökkenti az emberi tényező hibalehetőségét.
vagyis az, hogy milyen támadási szint vagy incidens vált ki intézkedést a kezelőkből.
Készenléti vizsgálat Első lépésként a cég szakemberei egy adott forgatókönyv szerint próbára teszik a védelmi vonalakat; a forgatókönyvet egy lezárt borítékban átadják a megrendelőnek, hogy később össze lehessen vetni a tesztpróbálkozásokat a biztonsági rendszer naplóállományaival. A szakemberek az eredmények alapján tesznek javaslatot a további teendőkre. Tapasztalataik szerint a módosítások után célszerű megismételt vizsgálattal ellenőrizni a változtatásokat, ugyanis a megelőző és összeg-
ző vizsgálatok eredményeinek összehasonlításával egyértelműen mérhető a biztonsági szint emelkedése.
Elektronikus páncélszekrény Biztonsági statisztikák szerint az adatlopási kísérletek, támadások zöme belülről indul; eszközeik a hajlékonylemez-, cd-, dvd-meghajtók, az usb, infravörös, bluetooth vagy hálózati csatlakozók. Ezekkel egy-egy őrizetlenül hagyott számítógépről pillanatok alatt hatalmas adatmennyiséget másolhatnak le a sértődött vagy haszonleső alkalmazottak. Esélyeiket növeli, hogy a felhasználóknak gyakran teljes hozzáférési jogosultságot kell adni a vállalati információk egy meghatározott körére, ha ez a munkájuk elvégzéséhez szükséges, az operációs rendszerek jogosultságkezelése pedig az arra nem jogosultak számára is lehetővé teszi az információmásolást. A Kürt-féle elektronikus páncélszekrény, a DataDefender használatával azonban bármely felhasználói munkaállomáson megakadályozható az illetéktelen adathozzáférés. A kliens–szerver felépítésű, központilag adminisztrálható és menedzselhető DataDefender mindenféle adatmozgást felügyel a munkaállomás kimeneti csatlakozóin. Az adminisztrátor központi kezelőfelületen állíthatja be, mely felhasználóknak vagy csoportoknak milyen jogosultságot engedélyez. Kelenhegyi Péter
TERMÉKHÍREK
2005. SZEPTEMBER 20.
Hibajelentés: sajnálatos bõség A bõség zavarával küszködünk, és elsõsorban nem amiatt, hogy ezúttal csaknem háromhavi hibajelentéssel jelentkezünk.
K
ellemetlen érdekesség, hogy belefutottunk az elsõ olyan hibába, amely a Secunia skáláján a legveszélyesebb szoftverhibáknak jár. Az ilyen lyukakból eredõ károk bekövetkezéséhez a felhasználó részérõl semmiféle interakcióra sincs szükség, mindössze annyit kell tennie, hogy látogatja a „megfelelõ” honlapot. Az Internet Explorer szó-
ban forgó hibájánál probléma volt még, hogy az ismertetése után egy ideig nem lehetett hozzájutni a konkrét hibát javító explicit javításhoz.
Csökkentett funkcionalitással Egy csaknem kéthetes intervallumban csak olyan „workaround” létezett, amelynek révén csökkent a Windows rendszerek funkcionalitása.
A Microsoftnál maradva fontos megjegyeznünk, hogy a WindowsUpdate és a Microsoft Update rendszerés biztonsági frissítéseit július végétõl már csak az egyébként gyorsan és zökkenõmentesen lezajló eredetiségvizsgálat kedvezõ eredménye után tölthetjük le. Ez már igaz az augusztus közepén menetrendszerûen megjelent javításokra is, amelyek közül a biztonsági vonatkozásúakat a táblázatunkban is felsoroljuk. A lista összeállításánál továbbra is a Secunia.com figyelõszolgálatának a jelentéseire támaszkodunk. A Mozilla-fejlesztõbrigád termékeinek esetében egy helyütt kénytelenek vagyunk eltérni ettõl a sémától. E sorok írásakor ugyanis valamilyen okból az egyébként igen alapos Secunia oldalain még nincs utalás a már csaknem két hónapja létezõ új
IT-SECURITY
(Firefox és Thunderbird 1.06, illetve Mozilla Suite 1.7.11) kiadásokra. A felsorolt termékekre mostanában egyébként is rájár a rúd – lásd a legújabban felfedezett ékezetes doménnév-kezelési hibát.
Barátságosabban Érdekesség, hogy amennyiben a „Windows Genuine Advantage” programjának keretei között letölthetõ programokat – például a Microsoft AntiSpyware-t – szeretnénk a Microsoftról letölteni, akkor már nemcsak ActiveX-vezérlõs ellenõrzésre van lehetõség az eredetiségvizsgálathoz, így az Internet Explorertõl eltérõ böngészõt is lehet használni. A Microsoft weboldalai az utóbbi idõben egyébként „barátságosabban” viselkednek más böngészõkkel. Kelemen László
FELFEDEZETT HIBÁK ÉS JAVÍTÁSAIK Szoftver
Secuniaazonosító
Osztályzat Leírás (1–5)*
Javítás módja és elérhetősége
Böngészők
8
Internet Explorer 5.01, 5.5 és 6.x
16480
4
A Microsoft Visual Studio 2002, Microsoft Access 2002, Microsoft Office XP szoftverekkel települő „msdds.dll” COM-objektumnak a felsorolt böngészőkből történő hívásakor jelentkező hiba veszélyezteti a rendszert.
Internet Explorer 5.01, 5.5 és 6.x
16373
4
Az Internet Explorer három problémája CSS-támadásokat tesz le- A javítások letöltése a Microsoft webhelyeiről, illetve a http://secunia.com/advisories/16373/ címen szereplő listából. hetővé, illetve veszélybe sodorhatja a rendszert.
Internet Explorer 5.01, 5.5 és 6.x
15891
5 (!!!)
A Microsoft Java Virtuális gép javaprxy.dll COM objektumának hiA javítások letöltése a Microsoft webhelyeiről, illetve a http://secubáját kihasználva egy rosszindulatú behatoló felhasználói beavatnia.com/advisories/15891/ címen szereplő listából. kozás nélkül is tetszés szerinti kódot futtathat a számítógépen.
Internet Explorer 6.x és 5.x for Mac, Opera 7.x, 8.x, Safari 1.x, 2.x, iCab 2.x, Camino 0.x, Mozilla Suite 1.7.x és Firefox 0.x, 1.x
15491, 15492, 15488, 15474, 15477, 15489
2
A böngészőkben a JavaScript párbeszédablakok akkor is megA javítások megjelenéséig ne látogassunk megbízhatatlan webbízható eredetűnek tűnhetnek, ha valójában nem azok, mivel nem oldalakat! látszik a kiindulási helyük.
Mozilla Suite 1.7.x, Firefox 1.x, Netscape 7.x és 8.x
16764, 16766, 16767
4
Az ékezetes doménnevek kezelési hibája puffertúlcsordulási hiba Az „about:config” URL megadásával vagy a „prefs.js” konfiguráokozása révén veszélyeztetheti a rendszert, és rosszindulatú kód ciós állomány közvetlen szerkesztésével FALSE-ra kell állítani a futtatását teheti lehetővé. „network.enableIDN” paraméter értékét.
Az ActiveX-vezérlők használatát a megbízható webhelyekre kell korlátozni. További megoldási lehetőségek találhatók a http://www. microsoft.com/technet/security/advisory/906267.mspx, illetve a http://support.microsoft.com/kb/906267 oldalakon.
IT-SECURITY
TERMÉKHÍREK
2005. SZEPTEMBER 20.
FELFEDEZETT HIBÁK ÉS JAVÍTÁSAIK (FOLYTATÁS) Szoftver
Secunia- Osztályzat Leírás azonosító (1–5)*
Javítás módja és elérhetősége
Böngészők (folytatás)
Mozilla Suite 1.7.x, Firefox 1.x, Thunderbird 1.x, Netscape 8.x
x
4
A felsorolt termékek stabilitási és biztonsági problémái miatt javasolt áttérni minden operációs rendszer alatt A legújabb változatok letöltése a http://www.mozilla.org a Mozilla Suite 1.7.11, a Firefox 1.06 és a Thunder- címről elérhető letöltő oldalakról és a http://www.netscape. bird 1.06 verziószámú változatokra, illetve a 8.03.3- com-ról. as Netscape-re.
16372
3
Az operációs rendszerek plug and play szolgáltatásá- A javítások letöltése a Microsoft webhelyeiről, illetve nak hibája puffertúlcsorduláshoz és jogosulatlan privi- a http://secunia.com/advisories/16372/ címen szereplő listából. légiumok megszerzéséhez vezethet.
Windows Microsoft Windows 2000, 2003 és XP
Microsoft Windows 98, Millennium, 2000, 2003 és XP
16354
3
A TAPI (telefonos alkalmazások programozói felülete) A javítások letöltése a Microsoft webhelyeiről, illetve szolgáltatás hibája jogosulatlan privilégiumok mega http://secunia.com/advisories/16354/ címen szereplő szerzéséhez és a rendszer veszélyeztetéséhez velistából. zethet.
Microsoft Windows 2000, 2003 és XP
16071
3
A javítások letöltése a Microsoft webhelyeiről, illetve A „Távoli Asztal Elérés” szolgáltatás hibája DoS-támaa http://secunia.com/advisories/16071/ címen szereplő dásokhoz, illetve rendszerösszeomláshoz vezethet. listából.
Microsoft Windows 2000, 2003 és XP
16368
2
A Kerberos-mag két hibája miatt DoS-támadásokat leA javítások letöltése a Microsoft webhelyeiről, illetve het előidézni, szenzitív információkhoz lehet hozzájutni, a http://secunia.com/advisories/16368/ címen szereplő távolról le lehet állítani egy domain controllert, illetve el listából. lehet maszkolni a rosszindulatú támadó azonosságát.
Microsoft Windows 2003 és XP+SP2
16356
3
A javítások letöltése a Microsoft webhelyeiről, illetve A nyomtatásokat sorbaállító rendszer pufferkezelési hia http://secunia.com/advisories/16356/ címen szereplő bája DoS-támadásokhoz vezethet. listából.
Mac OS X
16449
4
Az operációs rendszer többszörös biztonsági hibája.
16466, 15827
3
A szoftverek (Mac OS X is!) különféle változatainak Javítások letöltése a http://www.adobe.com/support/ problémái többszörös biztonsági kockázatot jelendownloads/ címről. tenek.
15934
4
UnixAppOpenFilePerform puffertúlcsordulási hiba: Linux, Unix és Solaris alatt speciálisan „kezelt” pdf-doLinux, Solaris – frissítés Adober Reader 7-re; IBM-AIX és kumentummal előidézhető a puffer túlcsordulása, majd HP-UX – frissítés Adobe Acrobat Reader 5.0.1-re. a rosszindulatú behatoló tetszés szerinti kódot futtathat a számítógépen.
Debian amd64
16413
4
Többszörös (biztonsági) javítás.
Linux Kernel 2.6.x
16406
3
Az XDR-tömbök kezelési hibája DoS-támadásokhoz Frissíteni kell a kernel 2.6.13-rc1-es változatára a http:// vezethet. kernel.org/ címről.
4
Többszörös biztonsági javítás a SuSE Linux-mag egyes változataihoz – a hibákat több Secunia-cikkely A javítások letöltése YaST Online Update-ről vagy a Susorolja fel, összefoglalásukat az http://secunia.com/ SE ftp-helyről. advisories/16535/ oldal tartalmazza.
Az operációs rendszer megfelelő változatához kiadott legújabb (2005-007) javítás letöltése.
Adobe Adobe Acrobat 5.x, 6.x, 7.x és Adobe Reader 5.x, 6.x, 7.x
Adobe Acrobat Reader 5.0 – Linux/Unix
Linux
SuSE Linux-disztribúciók
16535
A javítások letöltése a http://secunia.com/advisories/ 16413/ címen szereplő listából.
* 5 = nagyon fontos
9
TERMÉKHÍREK
2005. SZEPTEMBER 20.
IT-SECURITY
Kémprogramok mindenhol Tíz vállalati PC-bõl nyolc spyware-rel fertõzött.
B
ár a vállalatoknál kezdik megérteni, hogy a kémprogramok milyen komoly veszélyt jelentenek az üzleti folyamatokra, egyelõre vajmi keveset tesznek az ellenük való védekezés érdekében. A Webroot adatai szerint a kémprogramokat terjesztõ webhelyek száma meghaladja a 300 ezret. Tevékenységük eredményeképpen a vállalati PC-k merevlemezén átlagosan nem kevesebb, mint 27 programkártevõ található, és a számítógépek 80 százaléka legalább egy rosszindulatú programmal – kémprogrammal, adware-rel vagy trójai fa-
lóval – fertõzött. Ráadásul a beszedett digitális kórokozók egyre veszélyesebbek. Nem csupán olyan ártalmatlannak tûnõ tevékenységeket végeznek, mint a hirdetések terjesztése, de kiveszik a részüket például a komoly bûncselekménynek tekinthetõ személyiséglopásból is – méghozzá sok esetben a vállalaton belülrõl.
Kifinomultabb eszközök A Webroot felmérésébõl kiderül az is, hogy a különösen rosszindulatú spyware-ek száma a második negyedévben a
Egy csomagban Napjaink összetett fenyegetései ellen már nem lehet csupán egyetlen programmal védekezni.
A
felhasználók többnyire különféle gyártók biztonsági termékeit használják, s ezek együttmûködése nem a leghatékonyabb, ráadásul külön-külön kell telepíteni õket. Az F-Secure az Anti-Virus Client Security 6.0val egyetlen csomagban kínálja a kis- és közepes méretû vállalatok asztali PC-inek és noteszgépeinek biztonságos üzemeltetéséhez szükséges valamennyi alkalmazást: vírus- és kémprogram-ellenes szoftvert, aktív tûzfalat, behatolásfigyelõt és alkalmazás-
10
kezelõt. A valós idejû vírusõr nem csupán a merevlemez és a memória tartalmát figyeli, hanem kiszûri a levélben érkezõ kártevõket is. A digitális aláírással hitelesített vírusadatbázist a programcsomag naponta frissíti. Különlegesség a tûzfalas vé-
www.f-secure.hu
delmet kiegészítõ behatolásfigyelés, ami korábban a nagyvállalatoknál alkalmazott biztonsági megoldásokra volt jellemzõ.
Antispyware-program nélkül nem lehetünk biztonságban kétszeresére nõtt. A kémprogramok fejlesztõi egyre kifinomultabb módszereket használnak a kártevõk elrejtésére és hatékonyságának nö-
www.webroot.com
velésére. A kódot az operációs rendszer mûködéséhez szükséges dll állományokba ágyazzák, vagy saját eljárással titkosítják. Egyes kémprogramok megváltoztatják a Windows exe állományaihoz tartozó rendszerleíróadatbázis-bejegyzése-
A szolgáltatás folyamatosan vizsgálja a bejövõ internetes forgalmat, és megakadályozza a kártékony kódot tartalmazó adatcsomagok bejutását a hálózatba. A programcsomaghoz tartozó F-Secure Policy Manager kezelõmodul segítségével a rendszergazda egyetlen géprõl telepítheti és felügyelheti a szoftvert. Lehetõség van a programfelület rögzítésére is, hogy a munkavállalók ne tudják kikapcsolni a biztonsági funkciókat. Tovább növeli a védekezés hatékonyságát a hálózati karanténmodul; ennek révén az olyan számítógépekrõl, amelyeken nincs frissítve az adatbázis, vagy nincs tûzfal, kizárólag a frissítéshez szükséges webhelyek látogathatók meg.
ket, becsapva az operációs rendszert, amely így azt hiszi, hogy mûködéséhez szükséges a spyware futtatása. Ez a technika egyúttal a kártevõ eltávolítását is megnehezíti.
Többet kevéssel A rosszindulatú kódok terjesztõi arra is rájöttek, jobban járnak, ha több gépet fertõznek meg kevés kártevõvel, mint kevés gépet sok kémprogrammal. Az utóbbi esetben ugyanis a számítógép különösen kezd viselkedni, számottevõen lelassul, vagy gyakran lefagy, ami cselekvésre – antispyware-program telepítésére – ösztönzi a felhasználókat, ez pedig nem érdekük a bûnözõknek. Mészáros Csaba
LYUKAK A TÛZFALON Fontosnak minõsített javítás tölthetõ le a Microsoft webhelyérõl a Windows XP beépített tûzfalához. A most felfedezett hiányosság következtében úgy maradhatnak nyitva egyes portok, hogy errõl a felhasználó mit sem sejt. A hiba lehetõvé teszi olyan bejegyzések elhelyezését a Windows rendszerleíró adatbázisában, amelyek révén a rosszindulatú támadók használhatják a sebezhetõ rendszer erõforrásait.
www.microsoft.hu
IT-SECURITY
TERMÉKHÍREK
2005. SZEPTEMBER 20.
Terjednek a webkártyák
A kártyacsalástól félõ netes vásárlók megbízható megoldásokat igényelnek.
K
omolyan akadályozhatja a webes kereskedelem további növekedését az a sajnálatos tény, hogy egyre riasztóbb méretû – több mil-
liónyi bankkártyát érintõ – csalásokról jelennek meg hírek a sajtóban. A megszeppent vevõk egy része elpártol a webáruházaktól, pedig léte-
zik már egy minden tekintetben megbízható megoldás, a kizárólag internetes vásárlásokra használható, úgynevezett webkártya. Ezen mindig csupán akkora pénzösszeget helyez el tulajdonosa közvetlenül a vásárlás elõtt, amenynyit éppen el akar költeni. A T-Mobile, a Gazdasági Kutató Rt. és a Sun Microsystems a nyár folyamán végzett közös felmérése szerint hazánkban 2005. március végén hozzávetõlegesen 53 ezer webkártya volt használatban.
www.tmobile.hu
Megállapítható ugyanakkor, hogy a webkártyák száma még mindig elenyészõ a lakosság számához, illetve a használatban lévõ bankkártyák menynyiségéhez képest.
REKORDMÉRETÛ NÖVEKEDÉS A legutóbbi pénzügyi negyedévre vonatkozó jelentés szerint a Symantec 700 millió dolláros bevételt ért el, ami 26 százalékkal haladja meg az elõzõ év azonos negyedévének 557 millió dolláros bevételét. A külföldrõl származóak az összes bevétel 51 százalékát tették ki, és a múlt év azonos negyedévéhez képest 27 százalékkal növekedtek. Az amerikai kontinensen (azaz az Egyesült Államokban, Latin-Amerikában és Kanadában) 25 százalékos volt a növekedés; az összes bevétel 55 százaléka innen származott. Az európai, a közel-keleti és az afrikai területrõl származott az összes bevétel 31 százaléka, itt 28 százalékos volt a növekedés. A Csendesóceán ázsiai területe és Japán 22 százalékos növekedéssel az összes bevétel 14 százalékát adta.
www.symantec.hu
Mészáros Csaba
Kreatív féreg Webkártyával biztonságosan vásárolhatunk az interneten
Ellopott személyiségek Terjed a mások adataival való visszaélés.
H
ackerek hatoltak be két amerikai egyetem számítógépes hálózatába. Az egyik áldozatnál, a kaliforniai Sonoma Állami Egyetemen 61 709 jelenlegi és már végzett hallgató nevéhez és társadalombiztosítási számához jutottak a behatolók. Nagyobb sikerrel jártak a dallasi székhelyû Észak Texasi Egyetemen, ahol kevesebb – közel 39 ezer – személy ada-
taihoz fértek hozzá, azonban az ellopott információk közé címek, telefonszámok és több mint 500 hitelkártya adatai is bekerültek. Az adatlopásokról pontos nyilvántartást vezetõ Privacy Rights Clearinghouse által közzétett információk szerint az utóbbi fél évben több mint ötvenmillió (!) amerikai állampolgár adatai kerültek il letéktelen kezekbe.
Onnan jönnek, ahonnan a legkevésbé számítunk rájuk.
V
ajon ki gondolná, hogy az újonnan vásárolt mp3-lejátszó számítógépünkre csatlakoztatása komoly biztonsági kockázatokkal jár? Márpedig a Creative cég Zen Neeon névre hallgató hordozható zenedobozánál pontosan ez történt.
www.creative.com
A gyártó most ismerte el, hogy a nyár folyamán egy 4000 darabos japán szállítmány olyan szolgáltatást tartalmazott, amelyre egyetlen vásárló sem vágyott. A meglepetés a jó öreg Wullik.b nevû féreg volt, amely 2003-ban jelent meg elõször
Még egy mp3-lejátszó esetében sem árt az óvatosság az e-mailekben. Szerencsére a Neeon állományrendszerébe beépült féreg csak akkor fertõzte meg a lejátszóhoz csatlakoztatott PC-t, ha a felhasználó átböngészte az állománylistát, és a fertõzött állományra kattintott. Az 5 gigabájtos merevlemezzel ellátott Zen Neeonok szállítását mindaddig felfüggesztette a Creative, amíg le nem zárult az a vizsgálat, amely azt igyekszik feltárni, hogy miként történhetett meg a fertõzés. 11
MEGKÉRDEZTÜK
2005. SZEPTEMBER 20.
IT-SECURITY
Garamvölgyi László rendőrezredes, rendőrségi főtanácsos, szóvivő
– Mióta és mekkora erőkkel dolgozik a magyar internetrendőrség? – Fontos hangsúlyozni, hogy valójában nem valamiféle „rendőrségről” van szó a rendőrségen belül, hanem egy internetfigyelő csoportról. Hatósági jogosítványokat nemrégen – idén július 1-jével – kapott ez az egység; csak azóta folytathatnak önállóan nyomozást. Korábban csak megfigyelést végeztek, s átadták az észlelt ügyeket az illetékes nyomozó szervnek. Tudni kell, hogy az államigazgatási szervek közül elsőként, még 1999-ben a rendőrségnek lett honlapja. Az új interaktív csatorna megnyílásával elkezdtek befolyni a jelzések tartalomszolgáltatóktól, polgároktól és intézményektől egyaránt. Így 2000 januárjában önszorgalomból négy kolléga – akkor még a kommunikációs igazgatóságon belül – elkezdte figyelni a bejelentett tartalmakat. Ha bűncselekmény-gyanús elemeket találtunk, továbbküldtük a címet a területileg illetékes rendőrkapitányságnak, hogy ők vizsgálják ki az ügyet. Ez volt a mai internetfigyelő csoport őse. Most a Nemzeti Nyomozó Iroda keretében működik ez az egység, amelynek apparátusát hivatalosan 2002 elejével hívták életre. Egytől egyig számítástech-
Most már kintről is jönnek hozzánk tanulni
12
Amit bűnös tevékenységre fel lehet használni, azt fel is használják – vallja a rendőrség szóvivője. Nincs ez másként az internettel sem. Persze a pandúrok az új technológiai frontokon is felveszik a küzdelmet a rablókkal.
nikában jártas, jogot végzett fiatal szakemberek dolgoznak itt. – Egy régebbi közlemény szerint az internetfigyelő csoport munkájának kiemelt témái a gyermekpornográfia, a szélsőséges politikai nézetek terjesztése, a szellemi alkotások védelme elleni tevékenység, a tiltott termékek, anyagok – kábítószer, robbanóanyagok, hamis okmányok – kereskedelme és a hálózat biztonságát sértő tartalmak. Változott-e a helyzet azóta? – Ma is ugyanezek a súlyponti témák. Ezek mellett persze mindig jelen vannak a napi, aktuális ügyek. A csernobili katasztrófa évfordulójának táján például a szlovákiai atomerőmű hibájával, atomkatasztrófával fenyegető köre-mail indult útnak. Sikerült is elfogni a tettest. – Milyen eszközökkel és technikával dolgoznak? – Ennek egyetlen részlete sem publikus. Ez egyébként a világon mindenhol így van. Az esetekről is csak akkor számolunk be nyilvánosan, ha olyan természetűek – nem akarunk ötleteket adni, folyó ügyekről pedig már
csak a nyomozás érdekében sem beszélhetünk. Annyit azonban elmondhatok: a kilencvenes évek elején mi jártunk külföldre tanulni – most már kintről is jönnek hozzánk. Magyarországon minden technológiai haladás s ezzel együtt a velük kapcsolatos bűnözés is kicsit később következik be, mint a fejlett világban. Ennek megvan az az előnye, hogy időben megismerhetjük a külföldi tapasztalatokat, és már felkészültebben fogadhatjuk az új jelenségeket. Vonatkozik ez nemcsak a rendőrségre, hanem a szolgáltatókra, a pénzintézetekre is, amelyek szintén eleve a legkorszerűbb eszközöket szerelhetik fel, hogy védekezzenek a potenciális támadások ellen. Igaz – bankkártyacsalásban –, nekünk „sikerült” exportálnunk valamilyen módszert. – Nemzetközi összehasonlításban hogy áll a magyar csapat? – Hollandiában, Németországban, Nagy-Britanniában már 2000 előtt is figyelte a rendőrség az internetet. A külföldi hasonló testületek jóval nagyobb létszámmal dolgoznak – nemcsak abszolút értelemben, hanem az ország méretéhez képest is. Hollandiában például húsz főt alkalmaznak erre a felFOTÓ: IT-SECURITY
FOTÓ: IT-SECURITY
A világhálón nincsenek határok
IT-SECURITY
MEGKÉRDEZTÜK
2005. SZEPTEMBER 20.
adatra. Ugyanakkor úgy gondolom, időben reagálunk az új kihívásokra, legfeljebb máshol nagyobb erőket tudnak erre biztosítani.
– Kábítószer, uszítás… Úgy tűnik, hogy – szemben a hackerbravúrkodással – az internetes bűncselekmények valamilyen tartalomhoz kötődnek, legyen az kábítószert, tiltott politikai mondanivalót vagy gyermekpornográfiát ajánló weblap, üzenet vagy e-mail. – Igen, csakhogy ezek már elég cizellált formában jelennek meg. Valóban külön kell választanunk a számítógépes csalás fogalmát az interneten megvalósított bűncselekményétől. Persze a törvény az előbbit – a klasszikus hackertámadást – is szigorúan bünteti. Ennek lényege: valaki belép egy adatbázisba, és azon változtatásokat hajt végre. Emlékezzünk csak a pár évvel ezelőtti Elender-ügyre! Ennél az interneten megvalósított bűncselekmények köre jóval tágabb. Amilyen bűncselekményfajta egyáltalán létezik, az éppúgy elkövethető az interneten, ahogy a valós életben. Az egyetlen kivétel talán a súlyos testi sértés. Fogtunk el például olyan személyt, aki nyíltan hirdette magáról a neten, hogy 80 ezer forintért egyetemi diplomát árul. Tipikus helyzet a világhálóhoz kötődő jogsértések esetében: az internet eszköze a cselekménynek, de a történet a valós világban végződik, hiszen az árus-
FOTÓ: IT-SECURITY
– És az eredmények tekintetében? – Kiválóan dolgozik a hazai csapat, csupán a létszám a szűk keresztmetszet. Ráadásul a nagyobb külföldi testületek eredményei nem egyszer csalókák. Hollandiában látszólag jobb a felderítés, csakhogy ők összesen három-négy cselekménykategóriára összpontosítanak – így természetes, hogy könnyebb szép eredményeket felmutatni. Általános igazság: minden országban más a jogrend, eltérőek a súlypontok, ezért nehéz az összehasonlítás. Csak két példát említenék. Az ezredforduló idején Hollandiában a könnyű kábítószerekkel nem nagyon foglalkoztak (azóta más a helyzet). Németországban – a történelmi előzmények után érthetően – különösen nagy figyelmet szentelnek a közösség elleni cselekményeknek, a neonáci jelenségeknek.
ráf sorozatot jelentetett meg egy hétéves kislányról. Az olasz rendőrség ezt észlelte, de azt is, hogy 13 másik országban is letöltötték a képeket, ezért értesítették az Europolt, s azon keresztül bennünket. A magyar Btk. szerint ez a „tiltott pornográf termékkel való visszaélés” bűncselekményét meríti ki – aki ilyet a gépén tart, azt szabadságvesztéssel sújtja a törvény. Tizenhárom ország rendőrségének egy időben kellett akciót indítania, nehogy értesíthessék egymást az elkövetők. Magyarországon is találtunk az ügyben négy gyanúsítottat.
nak át kell adnia az okiratot a vevőnek. Megjegyzem, az adott eset valamennyi szereplőjét bünteti a törvény: nemcsak azt, aki az interneten hirdetett, hanem azt is, aki megvette és felhasználja, illetve azt is, aki előállította a hamis okiratot. – Végül is a fizikai világ Btk.-ja érvényes a virtuális világra is. – Pontosan. Legyen szó pedofil képek terjesztéséről, illegális szoftver letöltéséről vagy okirat-hamisításról, ezekben az ügyekben azért lehet eljárást indítani, mert a cselekmények szerepelnek a Btk.-ban – ebből a szempontból teljesen közömbös, hogy az interneten követték el őket. Harminc esztendeje van internet az Egyesült Államokban, s szinte évente terjesztenek elő a világháló szabályozására irányuló törvényjavaslatokat. Ezeket azonban mindig lesöprik az asztalról. Nem véletlenül: az internetet nem lehet és nem is szükséges külön törvénnyel szabályozni. Magyarországon nincs is ilyen törekvés: a meglévő jogszabályokat kell alkalmazni.
– Alig pár éve élünk együtt a világhálóval, máris valóságos iparággá vált rajta a bűnözés. Ez még csak a kezdet? – Az internet-használók többsége becsületes. De a világhálón is vannak és lesznek rossz szándékú emberek. Ma egyszerűen nem látjuk azokat a távlatokat, amelyeket kriminalisztikai szempontból az internet megnyitott. Nem tudjuk, milyen elkövetési magatartások fordulhatnak elő a jövőben. Egy mobiltelefonnal és egy műholdas összeköttetéssel már ma bárkit bárhol el lehet érni. A vezetéknélküli hálózati technológia kifutása szinte beláthatatlan. Magyarországon már évek óta 400-450 ezer bűncselekmény válik ismertté. Ez viszont csak a jéghegy csúcsa. Vannak kriminológusok, akik az ismertté vált esetek háromszorosára, vannak, akik a tizenkétszeresére teszik a bűncselekmények tényleges számát. Az internetnél azonban még ilyen bizonytalan becslési kísérletek sincsenek. Sok esetet be sem jelentenek. A bankok gyakran inkább csöndben kártalanítják online bűncselekmény áldozatává lett ügyfeleiket, nehogy a biztonságukról alkotott kép csorbát szenvedjen. Abból tehát, hogy hány internetes bűneset jut a hatóság tudomására, egyáltalán nem lehet következtetni a teljes cselekményszámra. Nem valószínű, hogy bármilyen szorzó akár csak közelítené a valóságot. Ezért mondom azt: a virtuális bűnözés – nemcsak a magyar rendőrség, hanem a világ minden bűnüldöző szerve számára – a harmadik évezred legnagyobb kihívása.
Az internet az eszköz, de a történet a valós világban végződik
– Uniós tagságunkkal leomlóban vannak a hagyományos országhatárok, de gondolom, ezzel együtt az is vonzza a világhálóra a bűnözőket, hogy könnyű rajta átlépni egyik országból a másikba. – Természetesen. Egy eset a közelmúltból: Olaszországban valaki pornog-
Mikolás Zoltán 13
CÍMLAPON
2005. SZEPTEMBER 20.
Fehérgallérosok nyomában A régi vágású rabló pisztollyal jár rabolni, a modern banditának laptopja van, és még csak be sem teszi a lábát a bankba. Noha van némi túlzás ebben az állításban, a számítógépes bûnözés ma már létezõ valóság. A méretek és az okozott károk tekintetében csak becslésekre szorítkozhatunk, viszont jó hír, hogy a bûnüldözõ szerveknek is vannak számítógépeik, további okos eszközeik – és képzett szakembereik.
A
törvénykezési és információtechnikai szakértõk között teljes az összhang abban a tekintetben, hogy a számítástechnikai eszközöket érintõ kriminológiai esetek száma meredeken emelkedik. Abban is egyetértenek, hogy az elkövetõk egyre kifinomultabb eszközöket használnak áldozataik ellen. Egy tavalyi felmérésben megkérdezett 422 vállalat közül 384, azaz 91 százalékuk ellen követtek el valamilyen támadást IT-eszközökkel, és ebbõl a kérdezett cégeknek 377 millió dollárnyi káruk származott. A szakértõk szerint világméretben a károk összértéke valószínûleg a milliárdos nagyságrendben lehet, persze dollárban. Globális becslések alapján az összes esetnek csak mintegy 12 százaléka kerül nyilvánosságra vagy nyomozati szakaszba. A bankoknak például nem érdekük, hogy mindenki tudomást szerezzen, mondjuk, egy „meghackelt” fizetõrendszerrõl, mert másnap az összes ügyfél megszüntetné a számláját. 14
Azok az – általában enyhébb – esetek, amelyeket nem követ feljelentés vagy tényleges rendõrségi nyomozás, megmaradnak a számítógépes incidensek szintjén. A mindennapi munka során a rendszeradminisztrátorok gyakran találkoznak ilyen incidensekkel.
Többféle csoportosítás A számítógépes nyomozati kérdések értékelése elõtt célszerû röviden kategorizálni a kriminológiai eseteket. A kiberbûnözés tárgykörében eredetileg három nagy csoportot különböztettek meg; ez a felosztás még ma is jól használható a gyakorlatban. Az IT-eszköz a bûnelkövetés eszköze; ez a számítógéppel segített bûnözés – Computer Assisted Crime (CAC) –, ide tartozik az ipari kémkedés, a gyermekpornográfia terjesztése, a bankkártyacsalás, a szoftverkalózkodás és a személyiségi jog ellen irányuló cselekmények. A cselekmények célpontjai a számító-
IT-SECURITY
gépek – számítógépeket érintõ bûnözés, Computer Related Crime (CRC) –, itt sorolják fel a jelszólopást és a levélbombákat; Az elõzõ kettõ közötti szükségszerû átfedések: betörés zárt számítógépes hálózatokba, számítógépes csalás, DoStámadások, PBS- (telefon-) hálózatok elleni cselekmények. Az Európai Unió a kiberbûnözéssel kapcsolatos dokumentumaiban más kiindulási alapról négy „tiszta” számítógépes típust különböztet meg – aszerint, hogy azok milyen mértékben és jelleggel érintik számítógépes adatok vagy rendszerek megbízhatóságát, integritását, illetve elérhetõségét: illegális hozzáférés – „számítógépes rendszer részének vagy egészének jogtalan elérése”; illegális eltérítés – „technikai értelemben a számítógépes rendszerek között zajló adatforgalom szándékos eltérítése és saját célokra történõ felhasználása”; adatok manipulálása – „digitális adatok megfigyelése, rongálása, törlése, jogosulatlanokhoz történõ eljuttatása, megváltoztatása vagy a normális adatáramlás akadályozása/késleltetése”; beavatkozás rendszerekbe – „beavatkozás számítógépes rendszer mûködésébe megfigyeléssel, hamis beviteli vagy átviteli adatokkal, rongálással, törléssel, illetve a mûködés megváltoztatása vagy megakadályozása/lassítása”. Az EU-s klasszifikáció szerint vannak még más nem digitális, „hagyományos” bûncselekmények, úgymint: olyanok, amelyeknél a bûncselekmény elkövetéséhez a számítógép megléte közvetlenül fontos (elektronikus lopás, csalás, adathamisítás stb.) és olyanok, amelyeknél a számítógép vagy -rendszer az intellektuális tartalommal kapcsolatos bûnelkövetés eszközeként – esetenként közvetetten – szerepel (gyermekpornográfia terjesztése, vallási gyûlöletkeltés stb.) Modus operandi szerint nem létezik hivatalos felosztás, mindazonáltal három csoport körvonalazható: olyan közvetlen eléréssel megvalósított bûncselekmények, ahol az elkövetõ magához a célszámítógéphez vagy célrendszerhez fér hozzá jogosultan vagy jogosulatlanul; az elkövetõ közvetetten/távolról éri el
IT-SECURITY
CÍMLAPON
2005. SZEPTEMBER 20.
nie kell a helyi és nemritkán a nemzetközi joghoz is. A számítógépes nyomozati munka során a leggyakrabban adathordozókat – legyenek azok helyiek vagy hálózatos tárolóeszközök – vizsgálnak át meglévõ vagy már törölt adatok kinyerésének céljából (elektronikus felderítés). Ezek az adatok lehetnek például szövegszerkesztõ-állományokban, e-mailekben, adatbázisokban, digitális képekben vagy bemutatókban. Noha a számítógépes nyomozati munka meglehetõsen érdekes és nagyon megbecsült tevékenység IT-biztonsági és rendõrségi/törvénykezési körökben, tudnunk kell, hogy mindig jóval több az információ, mint amennyinek az elemzésére idõ lenne. A tényleges képzettség mellett ezért annak megítéléséhez is sok tapasztalat – és „érzék” vagy ösztön – kell, hogy mit érdemes megvizsgálni, és mikor kell abbahagyni a kutakodást. Emellett szükség van jókora adag türelemre is. A munka során a hangsúly a számítógépes adatokon, az adatok megszerzésén és bizonyítékként történõ felhasználásán van. Ehhez viszont azonosítani kell a bizonyítékként felhasználható információt; el kell dönteni, hogy hogyan lehet bizonyítékként felhasználni; az adatokat ténylegesen ki kell nyerni és elemezni kell õket; nem utolsósorban gondoskodni kell arról, hogy a bizonyíték jogi eljárásban felhasználható legyen.
Légy résen!
Kihúzzam vagy kikapcsoljam?
az információs rendszereket számítógépes vagy távközlési hálózat segítségével; az elõzõ két módszer ötvözése – például amikor az elkövetõ a célrendszer közvetlen manipulálásával teszi lehetõvé a távoli elérést.
Szakma, tudomány, mûvészet A digitális korszakkal nemcsak az újfajta bûnözés köszöntött be, hanem egy
sor új szakma is keletkezett, amelyek közül kétségtelenül a számítógépes nyomozóé az egyik legérdekesebb – már csak azért is, mert a szakma szó egy kicsit banálisnak hangzik, hiszen néha mûvészetnek, máskor vegytiszta magastudománynak tartják. A számítógépes nyomozónak a tradicionális kriminológiai tudás mellett kiterjedt szoftveres és hardveres ismeretekkel kell rendelkeznie, emellett érte-
A kiscserkész jelszó fokozottan érvényes a számítógépes nyomozásban. Az alapos munkához igen körültekintõen kell eljárni. Ismerni kell a vizsgált hálózatot, tisztában kell lenni a hardveres elemekkel és az operációs rendszerrel. El kell igazodni a szoftveres környezetben és az állományok rendszerében, miközben szem elõtt kell tartani azokat a jogi korlátokat, amelyek mentén tevékenykedni lehet. Az érdemi munka megkezdése elõtt a felsoroltakkal kapcsolatban minden lehetséges körülményt figyelembe kell venni, és részletes vizsgálati tervet kell lefektetni. Egy rendszer vizsgálatakor arra is figyelni kell, hogy az tartalmazhat oda nem való szoftveres vagy hardveres elemeket. Észre kell venni az adatforgalom eltérítésére és megfigyelésére – kémkedésre – szolgáló (hálózati és kommunikációs) eszközöket; 15
CÍMLAPON
a bebillentyûzött adatok és fõként a segítik a technikailag kevésbé járatosak számára a megértést. jelszavak ellopására alkalmas key-loggereket és key-catchereket (összefoglalAz elektronikus bizonyítékok esetében va billentyûnaplózókat); kiemelten fontos azok kezelése, ugyanis az adatok jogosulatlan másolására alfennáll a lehetõsége annak, hogy minkalmas eszközöket (optikai és mágneden egyes elérésnél vagy lekérdezésnél ses háttértárakat, USB-eszközöket és változás áll be az állagukban vagy a tartalmukban. Védekezni kell a fizikai hatámás portokra – FireWire, infraport – sokra – statikus kisülés, direkt fizikai hacsatlakoztatható berendezéseket). tás, áramellátási probléma – bekövetkeA különbözõ operációs rendszerek ismerete elsõsorban az állományrendszer zõ károsodások ellen. Ki kell védeni a és az adattárolás módja – és így az orienfelülírás lehetõségét, gondoskodni kell tációs lehetõségek ismerete – miatt fontos. Ugyanakkor ismerni kell azokat a lehetõséNÉHÁNY FOGALOM geket, amelyeket az operációs Kiberbûnözés, számítógépes bûnözés, hi-tech bûnözés. Olyan bûnrendszerek alapkiépítésben is tény, amelyben eszközként vagy célként valamilyen IT-eszköz vagy ITtartalmaznak (például rendrendszer (is) érintett. A „kiber-” elõtagot sokan hangsúlyosan az inszernaplók), és a nyomozati ternet segítségével („a kibertérben”) megvalósított bûncselekmények munkát segíthetik. jelölésére használják. Nem minden szerzõnél jelentkezik élesen ez a Mindent bizonyítani kell distinkció, érvelésük szerint egyrészt a „kibertér” eredetileg nem az internet jelölésére szolgált, másrészt a kibernetika sem kizárólag az inA számítógépes bizonyítékok ternet tudománya – például az EU-s dokumentumok sem ezt a termikeresése során két dologra kenológiát alkalmazzák. resünk igazolást: az adott gép egy bizonyos bûncselekmény Számítástechnikai nyomozás. A nyomozati munka kiterjesztése száeszköze volt, vagy egy bûncsemítástechnikai rendszerekre; számítógépek és számítástechnikai eszlekmény egy adott számítógép közök kriminológiai vizsgálata és elemzése. Magában foglalja a megellen irányult. felelõ adatok azonosítását, rögzítését, kinyerését, dokumentációját és Négy alapvetõ bizonyítékféértelmezését abból a célból, hogy azok kriminológiai és törvényszéki leség van. bizonyítékként használhatók legyenek. A valós (tárgyi) bizonyíték Elektronikus felderítés. Az a folyamat, amelyben elektronikus eszkökézzelfogható, megérinthetõ, zöket és dokumentumokat keresnek, gyûjtenek be, néznek át és készíközvetlenül vizsgálható, bírótenek elõ törvénykezési vagy kormányzati eljárásokhoz. ság elõtt bemutatható objektum. A megcáfolhatatlan bizoSzámítógépes bizonyíték. Olyan hardver, szoftver vagy adat, amely nyíték perdöntõ jelleggel igaigazolásul szolgál a következõ kérdések valamelyikére: ki, mikor, hol, zol valamilyen gyanút. A valós miért és hogyan követett el bûncselekményt, vagy okozott biztonsábizonyíték(ok) megléte az esegi incidenst. tek döntõ részében elengedhetetlen valaminek az igazolásáaz adatok integritásának ellenõrizhetõséhoz. Néhány példa: kézírásos feljegyzések, adattároló eszközök és média, komgérõl, és olyan eszközöket kell használni munikációs eszközök. a kezelés során, amelyek igazoltan csak A dokumentum jellegû bizonyítékokolvasási elérésre alkalmasak. nál – elektronikus napló-, szöveges, kép-, A kezelés másik sarkalatos pontja a dokumentáció. Ennek legfõbb eszközei a viadatbázis- stb. állományok – elsõsorban deokamera vagy fényképezõgép, illetve azok forrását, hitelességét és begyûjtésük helyes módját kell igazolni. Ha lea papír és toll. A következõket pontosan het, mindig az eredeti dokumentum kell, rögzíteni kell: A vizsgálat helye és ideje. nem a másolat – ez a „legjobb bizonyí A tevékenység jellege (kezdeti bizonyítékszabály”. A tanúvallomásnak a számítógépes bitékgyûjtés, bizonyíték helyének megzonyításban alárendelt szerepe van. változtatása, bizonyíték eltávolítása valamilyen más eszközbõl vagy számítóA demonstratív bizonyítékoknak ebben a tárgykörben ugyancsak kevés a jegépbõl, illetve esetleges visszahelyezése). lentõségük, de más bizonyítékféleségek A tevékenységet végzõ személyek. illusztrálása és megmagyarázása révén
16
2005. SZEPTEMBER 20.
IT-SECURITY
A számítógéppel kapcsolatos legfontosabb adatok (típus, sorozatszám, hely, meghajtók BIOS-beállításai stb.). Tárolóeszköz részletes paraméterei és beállításai. Részletezni kell az eljárás menetét. A késõbbi törvényi eljáráshoz igazolni kell még, hogy a bizonyíték beszerzése törvényes úton történt, valamint azt, hogy az állagában és tartalmában nem következett be változás. Az utóbbi persze nem minden esetben teljesíthetõ maradéktalanul, ezért a „ne hagyj nyomot!” ökölszabály úgy módosul, hogy „a lehetõ legkevesebb nyomot hagyd!”. Ennek lehetséges eszközei: a vizsgált bizonyítékot lehetõleg csak olvasásra nyissuk meg, és ha lehet, ekkor is inkább csak azért, hogy másolatot készítsünk róla a további elemzéshez. Lehetõség van még szoftveres vagy még inkább hardveres írásblokkolók használatára (például PDBlock, ACARD Write Block Kit, DriveLock, FastBloc, NoWrite, UltraKit, UltraBlock).
Mindent be kell gyûjteni A bizonyíték az igazság kiderítésének eszköze. Enélkül csupán véleményünk lehet, de ez elég messze állhat az igazságtól. Alapesetben mindent be kellene gyûjteni, de a valóságban csak az adott esethez kapcsolódó anyag megszerzésére van lehetõség. Körültekintõ kezdeti vizsgálódás után azonosítani kell azokat a bizonyítékokat, amelyekre ténylegesen szükség van. Minden vizsgálat kiindulási pontja valamilyen hardver, ezen belül is elsõsorban a tároló- és a kommunikációs eszközök és az adathordozók. Utóbbiakon szándékosan archivált és átmeneti állományok is találhatók, illetve olyan speciális eszközökkel megtekinthetõ törölt anyagok, amelyeknek a jelentõségét nem szabad lebecsülni. Hasonlóan fontosak lehetnek a különféle írásos dokumentumok. Persze a fecnikre feljegyzett azonosítók, jelszavak, URL-ek, IP- és e-mail-címek, telefonszámok, kontaktok, állomány- és könyvtárnevek eredetét és hitelességét minden esetben igazolni kell. A bizonyítékokat az azonosítás után elõ kell készíteni a további vizsgálatra. A számítógépes nyomozás egyik klasszikus kérdése, hogy „kihúzzam vagy kikapcsoljam?” – szélsõséges esetben: „cseréljek-e
IT-SECURITY
benne elemet?” (hiszen ezzel megváltozik a bizonyíték eredeti állapota). A tápellátás hirtelen drasztikus megszüntetése minden írási folyamatot azonnal leállít, de ezzel adatállományok – sõt adott esetben az operációs rendszer – is károsodhatnak. Ha a normál rendszerleállást választjuk, akkor a kikapcsolás elõtti folyamat megváltoztathatja a naplóállományokat és adatállományokat, így adott esetben magukat a bizonyítékokat is. A harmadik lehetõség, hogy hagyjuk futni a rendszert. Számos olyan vizsgálóeszköz létezik, amellyel relatíve kis beavatkozás árán élõben lehet vizsgálni egy mûködõ számítógépet. Ehhez persze az is kell, hogy megfelelõ jogosultságaink legyenek a vizsgálóeszköz telepítéséhez. Ha nincs is megfelelõ adminisztrátori hozzáférésünk, akkor is vihetünk magunkkal – például USB-memórián – olyan nyomrögzítõ szoftvert, amelynek a futtatásához nem feltétlenül kell rendszergazdai jogosultság. A nyomrögzítõ szoftverrel kapcsolatban természetesen igazolni kell, hogy biztonságos, és nem veszélyeztette a vizsgálat során a bizonyíték épségét. Az integritás igazolására különféle ellenõrzõ paramétereket (például az SFVverifier nevû szoftverrel SFV-t, MD5SUM nevûvel MD5-öt stb.) lehet és kell képezni. Összefoglalva a következõ lépéseket javasolják: A gyanús adathordozót csak olvasásra nyissuk meg (ha lehet, használjunk valamilyen írásblokkoló eljárást).
CÍMLAPON
2005. SZEPTEMBER 20.
http://www.certified-computer-examiner.com – Certified Computer Examiner (CCE) http://www.htcn.org/changes.htm – Certified Computer Crime Investigator (CCCI) http://www.iacis.com/html/training.htm – Computer Forensic Computer Examiner (CFCE) http://www.iisfa.org/certification/certification.asp – Certified Information Forensics Investigator (CIFI) http://www.asisonline.org/certification/pci/pciabout.xml – Professional Certified Investigator (PCI) http://www.forensix.org/links – Computer Forensics, Cybercrime and Steganography Resources http://www.dcfl.gov/ – Department of Defense Cyber Crime Center http://www.cybercrime.gov/fedcode.htm – Department of Justice Computer Crime and Intellectual Property Section http://www.ectaskforce.org/ – Electronic Crimes Task Force http://www.emergency.com/fbi-nccs.htm – FBI National Computer Crime Squad http://www.ojp.usdoj.gov/nij/sciencetech/welcome.html – National Institute of Justice http://www.nw3c.org/ – National White Collar Crime Center http://www.cftt.nist.gov/ – NIST Computer Forensics Tool Testing Program
Azonosítani kell a bizonyítékként felhasználható információt
Készítsünk ellenõrzõ paramétert. Bitrõl bitre másoljuk át az adatokat. Zárjuk el biztonságos helyre az adathordozót.
Hiteles másolat A kezelés fontos mozzanata az adatok, pontosabban lehetõleg a teljes adatterületek tartalmának kinyerése, kimásolása – röviden tükrözése. Egy számítógép esetében a következõ sorrendet célszerû követni – már ha ez lehetséges: regiszterek és cache; routing-tábla, ARP-cache, processztáblázat, rendszermag-statisztikák; memória; ideiglenes állományok; lemezek; azok a távoli napló- és monitorozó adatok, amelyek az adott esetben relvánsak lehetnek; fizikai konfiguráció és hálózati topológia; archivált adatok külsõ médián. Noha érzésre ezekhez használhatnánk az operációs rendszer eszközeit is, mégis szerencsésebb speciális programokkal dolgozni, mert például a DOS xcopy parancsa is gyönyörûen felülírhat adatokat. Kezdjük azzal a – bonyolultabb – esettel, amikor egy mûködõ, nem újra-
indítható géprõl kell adatokat nyerni. Természetesen ehhez léteznek – általában USB-portról vagy hálózatról futtatható – készletek, ilyenek például a Netcat vagy speciális változata, a Cryptcat. Ezek gyakorlatilag nullára csökkentik az adatok megváltozásának veszélyét. Mûködõ rendszereknél fontos lehet a hálózati információk megszerzése. A Windows esetében az ARP-cache-t igen gyorsan kell vizsgálni, mert tízpercenként frissül/törlõdik. A „traceroute” vagy Windowsnál a „tracert” paranccsal megtekinthetjük a hálózatos adatforgalom legfontosabb jellemzõit. Persze vigyázni kell, mert a parancs sajnos aktív (pingel), és a megpingelt számítógép is tudomást szerez a kutakodásról. A Netstat parancs az adatfrissülés miatt csak korlátozott ideig használható, viszont pingelés nélkül tájékoztat az aktív kapcsolatokról. A kikapcsolt rendszer adattartalmának tükrözésére alkalmas saját másolóeszközök elõkészítésénél a legfontosabb talán az IT-értelemben vett sterilitás. A szanitizációnak nevezett eljárás során mindent – aktív és rejtett fájlokat, törölt állományokat, FAT-táblákat, szektorazonosítókat stb. – el kell távolítani teljes felülírással a tükrözendõ adatokat tároló médiáról. A helyes törlés menetét kü17
CÍMLAPON
lönféle ipari/biztonsági szabványok írják le. A szoftveres lehetõségek – Maresware Declassify, OnTrack DataEraser, XWays WinHex) mellett ehhez különféle célhardverek – például Image MASSter Wipe MASSter-can – is léteznek. Ezután következik a teljes adatfelület szoftveres, de inkább hardveres tükrözése. Ha minden kötél szakad, használható valamilyen egyszerûbb Ghost program is, de csak nagy körültekintéssel. Mindenképpen fontos tudnunk, hogy a kriminológiai tükrözés nem azonos a biztonságimásolat-készítéssel! A törvényszéki értelemben korrektnek tekinthetõ lemezmásoláshoz speciális célhardvert (például Forensic SF-5000) vagy célszoftvert (WinHex) kell használni. Megengedett az adatok garantáltan
TÖRTÉNELEM: A SÖTÉT OLDAL A huszadik század hetvenes éveiben és a nyolcvanas évek elején történtek elõször olyan incidensek, amelyek alapján amerikai szakértõk figyelmeztettek rá, hogy számolni kell majd a számítógépes bûnelkövetéssel. 1972. Az Egyesült Államok Nemzetbiztonsági Hivatalából Dan Edwards megalkotta a „trójai program” kifejezést. A veszély még nem valós, de kísérleti jelleggel sikerült meghackelni a haditengerészet Univac 1108as monstrumát, majd nem sokkal késõbb a légierõ addig biztonságosnak hitt Multics operációs rendszert futtató gépeit. 1982. A Xeroxnál elkezdtek kísérletezni az elsõ féregmechanizmussal mûködõ elektronikus kártevõkkel. 1983. Fred Cohen, a Dél-Kaliforniai Egyetem hallgatója elkészíti az elsõ kísérleti vírust. Ugyanebben az évben fülelte le az FBI a „414-ek” nevû bitbetyár bandát; amelynek tagjai egy Apple II+ számítógéppel és egy modemmel sorra látogatták a kormányzati hivatalok titkos adatbázisait. 1986. Lecsap az elsõ valós vírus, a pakisztáni Brain. 1988. Robert Tappan Morris útjára indítja az elsõ olyan kártevõt, amely miatt nyomozást rendeltek el a hatóságok, mert 6000 számítógép megfertõzésével százmillió dolláros nagyságrendû kár keletkezett. Ezután már teljesen mindennaposakká váltak a kellemetlen események. visszaállítható tömörítése, de ezekhez a már említett ellenõrzõ paramétereket is el kell készíteni. Figyelni kell arra, hogy a technikailag jártasabb bûnelkövetõk a háttértá18
2005. SZEPTEMBER 20.
rak hardveresen védett területein (HPA) is helyezhetnek el adatokat a BIOS és az operációs rendszer kikerülésével. Speciális esetet jelentenek a kéziszámítógépek, de még ezeknek a memóriája is bitazonosan kimásolható például a SaveFS programmal.
Türelemjáték
IT-SECURITY
merik a tárolóeszközön levõ adott jellegû fájlokat, de ezen túlmenõen annak eldöntésére is képesek, hogy az állományok kiterjesztése megfelel-e a fejlécükben tárolt tulajdonság-paramétereknek. A törölt állományokat visszaállítók (unerase tools) sajnos nem mindig mindenhatóak, de a régi operációs rendszerek esetében és frissen kiürített Windows-lomtár állományainál jó a hatásfokuk.
A számítógépes nyomozati munka legtöbb idõt felemésztõ lépése a bizonyítékok vizsgálata és elemzése. Mindenekelõtt azt kell tudni, hogy hol kell keresni az információt. Azon túlmenõen, hogy bizonyos álSZÁMÍTÓGÉPES NYOMOZÓESZKÖZÖK lományok kézenfekvõ helyeLemeztükrözés és hitelesítés: ByteBack, dd, DriveSpy, EnCase, ken lehetnek, másokat peForensic Replicator, FTK Imager, Norton Ghost, ProDiscover, SafeBack, dig az elkövetõk szándékosan SMART, WinHex. megpróbálnak elrejteni, mindenképpen orientációs alapot Nyomozó és felderítõcsomagok: EnCase, Forensic Toolkit (FTK), jelent a vizsgált eset jellege. Maresware, Paraben Forensic Tools, The Coroner’s Toolkit (TCT), Kalóz-CD-k sokszorosítása eseThe Sleuth Kit (TSK), Autopsy Forensic Browser, ProDiscover, Vpgpn tén például hangállományoForensic Software, X-Ways Forensics. kat keresünk, e-mailes csalás „Vegyes” tudású eszközök: DiskJockey File Viewer, DriveSpy, gyanújánál az elektronikus ledtSearch, Quick View Plus File Viewer, Text Search Plus, ThumbsPlus velezésre koncentrálunk, bankFile Viewer. kártyacsalásnál viszont táblázatokra és adatfájlokra figyelünk Hardveres eszközök: Forensic Recovery of Evidence Device, Vogon intenzívebben. Forensic Hardware. Mindenképpen fontos anTeljes tudású nyomozókészletek: Ultimate Toolkit (UTK), Maresware, nak ismerete, hogy egy adott X-Ways Forensics, Forensicware Solution. rendszerkörnyezetben bizo-
nyos fajta állományoknak vanJelszótörõk: Jack the Ripper, Crack, LASEC, L0phtcrack (LC4). nak jellegzetes, alapkiépítésTitkosítást visszafejtõk: PKZip Cracker, Zip Crack, UNArj, UNRar, ben beállított tárolási helyeik. UNAce, Word Unprotect, WP Crack. Amennyiben a vizsgálódás során észrevesszük, hogy ezek a paraméterek megváltoztak, A keresõeszközök változatos szemponcélszerû a rejtett, a nem standard helyeken levõ és a törölt adatokat is átvizsgáltok szerint képesek keresni adott álni, de elõször általában a könnyen elérlományok között vagy állományoktól függetlenül a teljes lemezen. hetõ fájlokkal kell kezdeni. A felsoroltak használata esetén is azzal A vizsgálathoz eszközök kellenek. A a ténnyel szembesülünk, hogy iszonyajó nyomozóprogramok lehetõvé teszik tos mennyiségû találati eredményt és például a rejtett adatok és adatterületek átnézendõ adatot kapunk, akárhogyan vizsgálatát csakúgy, mint a böngészés során tárolt ideiglenes fájlokét (cookie-k és is próbáljuk leszûkíteni a feltételrendszert. Ebben az esetben segíthetnek a böngészõ gyorsítótára) vagy éppen az az operációs rendszer és a programok elektronikus levelezését. A nézegetõprogramokkal (viewers) naplóállományai, illetve az azok értelmezését segítõ naplóelemzõk. adott szempont szerint vizuálisan lehet Ha az összes adat bizonyítékként haszviszonylag gyorsan átböngészni egy állománykészletet vagy könyvtárat fõnálható, akkor akként is kell kezelni õket, leg képek, de az esetek egy részében de a bemutatáshoz célszerû reprezentatív mintákat választani közülük. a szöveges és az adatállományok esetében is. Az esetek egy részében az is probléma A kiterjesztésvizsgálók (az extension lehet, hogy a sok-sok találat között sincs checkers) gyorsan és hatékonyan felismeg a keresett információ; ilyenkor ne-
IT-SECURITY
CÍMLAPON
2005. SZEPTEMBER 20.
A jelszavak visszafejtése türelemjáték künk magunknak kell fizikailag átnéznünk az adathordozót – persze erre az esetre is léteznek programok.
Jelszavak és titkos adatok Az elkövetõk az esetek többségében megpróbálják lehetetlenné tenni, hogy mások is betekintést nyerjenek a tevékenységükbe. A két fõ lehetõség a hozzáférés korlátozása és az adatok titkosítása. A hozzáférés-korlátozás általában azonosítók és jelszavak segítségével történik. A jelszavak tekintetében három lehetõségünk van: ki- vagy meg lehet õket találni; ki lehet õket következtetni, végül a jelszavakat ki lehet kerülni vagy fel lehet törni. A legegyszerûbb esetben valamilyen trükkel magától az elkövetõtõl is meg lehet tudni a jelszót. Az incidens helyének átvizsgálása során meg lehet találni azokat a feljegyzéseket, amelyekre esetleg felírták a nehezebben megjegyezhetõ azonosítókat. A második lehetõségnél: a technikai értelemben nem „jó” jelszavakat az elkövetõnek vagy családtagjainak a személyes adataiból ki lehet következtetni. Támpontként fontos még tudnunk, hogy az emberek általában hajlamosak rá, hogy többféle azonosításhoz is ugyanazt a jelszót használják, így egynek az
ismeretében szerencsésen próbálkozhatunk az illetõ több jelszóval védett hozzáférésénél is. Az eddigiek kimenetele meglehetõsen kétséges, ezért gyakran a „legtechnikaibb” eljárás egyben a leginkább célravezetõ is. A jelszavak feltörése leggyakrabban próbálgatásos alapon, karaktersorozatok generálásával zajlik. Mivel az operációs rendszerek ismert helyeken tárolják a titkosított jelszavakat, ezért nem magán a hozzáférésen kell próbálkozni, hanem a tárolt jelszavak állományában kell a hasonlításokat elvégezni, így a folyamat jelentõsen felgyorsul. A jelszótörõ programok dolgozhatnak „nyers erõvel” – ekkor véletlenszerû karaktersorozatokat generálnak –; a leggyakoribb jelszavakat tartalmazó szótárból; a kettõ kombinációjával. A titkosítás speciális esete a szteganográfia, amikor az eredeti dokumentumot egy nagyobb dokumentumba vagy állományba – például egy képfájlba mondjuk a SecurEngine program segítségével – ágyazzák. A mindennapi gyakorlatban leggyakrabban az ismert tömörítõ- és dokumentumkezelõ programok jelszóval történõ használatával találkozunk. Ezek visszafejtéséhez viszonylag könnyen elérhetõ eszközök állnak a rendelkezésünkre, amelyek nagyjából a jelszótörõ programoknál leírt módon mûködnek. Természetesen ehhez újabb türelemjáték szükséges: azonosítani kell a titkosított adatokat, és ehhez nem mindig nyújt támpontot az állományok elnevezése.
azoknak az alkalmazottaknak az adatait, akik adminisztrátorként felelõsek az adott számítógépért. Minden esetben indoklással és idõpontokkal együtt rögzíteni kell a leírtakkal kapcsolatos tevékenységeket. Az összegyûjtött, megfelelõen kezelt, átvizsgált és dokumentált bizonyítékokat olyan formában kell bemutatni, hogy azok a hallgatóságot is meggyõzzék. A prezentáció tartalma meglehetõsen egyszerû négy szabályra épül: 1. Mondd el, mit csináltál! 2. Mondd el, hogy miért csináltad! 3. Mondd el, hogyan csináltad! 4. Mondd el, mit találtál! A logikai vázlatot a következõ sarkalatos pontok köré célszerû csoportosítani: a vizsgálati hely; a bizonyítékgyûjtés menete;
TÖRTÉNELEM: A JÓ OLDAL 1984. Az FBI-nál útjára indítják a Magnetic Media Programot – a projekt nevét késõbb „Computer Analysis and Response Team”-re (CART) módosítják. 1993. Megtartják az elsõ számítógépes bizonyítékokkal foglalkozó nemzetközi konferenciát. 1995. Megalakul az IOCE, azaz a Számítógépes Bizonyítékok Nemzetközi Szervezete. 1997. Decemberben a G8-ak kommünikét bocsátanak ki, melynek jelmondata: „olyan jogi és számítógépes képzettséggel bíró szakembergárdát kell kiképezni, akiknek elsõdleges feladata a hi-tech bûnözés visszaszorítása”. 1998. Márciusban a G8-ak felkérik az IOCE-t, hogy fektesse le a digitális bizonyítékok kezelésének és értékelésének nemzetközi alapelveit. Ugyanebben az évben az Interpol megrendezi az elsõ számítógépes bizonyítékokkal foglalkozó szimpóziumot.
Fontos a csomagolás Még a nyomozati szakba nem kerülõ incidenseknél is fontos a leletek dokumentálása. Egy jó beszámolónak a következõket kell tartalmaznia: a vizsgált számítógép(ek) részletes leírását; az operációs rendszer és a telepített szoftverek listáját; a vizsgált állományokat és könyvtárakat; a vizsgálathoz használt eszközöket; a vizsgált gép használatával kapcsolatos házirendet; a vizsgált elektronikus leveleket és csatolmányaikat; a vizsgált elektronikus dokumentumokat; a vizsgált rendszerállományokat és egyéb (például törölt) adatokat;
1999. Az FBI CART-programjának esetszáma eléri a kétezret, a megvizsgált adatok mennyisége meghaladja a 17 terabájtot. 2000. Létrehozzák az FBI elsõ regionális számítógépes bizonyítékokkal foglalkozó laboratóriumát. 2003. A CART esetszáma eléri a 6500-at, az adatmenynyiség meghaladja a 782 terabájtot.
a bizonyítékok kezelése és tárolása; az adatok elemzése; a külsõ körülmények elemzése; leletek.
Kelemen László 19
ESZKÖZTÁR
2005. SZEPTEMBER 20.
Egy projekt tanulságai Pakson az elektronikus (levél) hulladékkal is meg kell birkózni.
A
Paksi Atomerőmű levelezőrendszere mintegy kétezer vállalati elektronikus postafiók külső és belső elektronikuslevél-forgalmát bonyolítja egy központi szerver segítségével. A dolgozók egy része kizárólag belső levelezésre használja a rendszert, mások így leveleznek a külvilággal is. A szervert és magát az e-mail-rendszert már kezdetektől védték különféle programokkal, illetve bizonyos korlátozásokat is életbe léptettek a biztonság növelése érdekében, például már az indulás után fokozottan ellenőrizték azokat a csatolmányokat, amelyek futtatható állományokat tartalmaztak – és ez a védelem elég hatékony volt a levelekben terjedő rosszindulatú állományok ellen; sikerült is elejét venni az ilyen típusú fertőzéseknek.
Az atomerőműben természetesen már a kezdetektől nagy súlyt fektettek a felvilágosításra. Rendszeresen felhívták a dolgozók figyelmét a helyes levelezés mikéntjére, a listás és lánclevelezésből fakadó bonyodalmakra, illetve a vállalati e-mail-címek megadásának és a különféle weboldalakon történő regisztrációnak a biztonsági kockázataira. A kéretlen levelek számának eleinte még lassú, de egyenletes és egyre gyorsuló növekedése miatt viszonylag hamar kénytelenek voltak egy spamszűrőt illeszteni a rendszerhez. A nagyjából négy-öt éve munkába állított program egy tartalom, pontosabban szó alapú szűrő volt. Eleinte minden simán ment; a programhoz járt egy gyárilag feltöltött, a levélszemétben tipikusan előforduló szavakat tartalmazó adatbázis, amelyet a helyi rendszergazdák szabadon bővíthetEleinte minden simán ment tek. A szavak mellé megfelelő szabályokMint azt a Szentgyörgyi Zsolttal, az inforkal súlypontozást lehetett rendelni, és matikai főosztály vezetőjével és Bogáncs így meg lehetett határozni, hogy az azoTamás számítástechnikai osztályvezetővel kat tartalmazó kifejezéseket és szófordulatokat a nyelvi vagy tartalmi környezet folytatott beszélgetésből megtudtuk, a függvényében miként kell értékelni. hálózat túlterhelésének elkerülése érdekében már régebben is érvényben volt és A szűrőrendszer emellett ellenőrizte a most is alkalmazzák a levélméret-korlábeérkező levelek forrását is, és bizonyos feladóktól származó küldeményeket egy ugyancsak szerA FIZIKAI BIZTONSÁG NEM VOLT VESZÉLYBEN keszthető és bővíthető adatbázis – a „feketelista” – segítségéFontos leszögezni, hogy az atomerőmű levelezőrendszerének a cikkvel eleve képes volt kéretlen leben leírt problémája egy pillanatra sem okozott fizikai fenyegetettséget, vélként felismerni. a nukleáris működéstől pedig olyan mértékben független a levelezőrendszer, hogy ilyen veszélyeztetettség szóba sem jöhetett. Az erőmű működése egyébként is jóval az internet magyarországi elterjedése előtt kezdődött. Az e-mail a korábbiakhoz képest egy olyan – a munka hatékonyságát növelő – lehetőséget jelentett, amelyben a gondok „csak” az információáramlásban, a produktivitásban és a munkavégzés kényelmének zavaraiban mutatkoztak meg. tozást; a küldemények maximális mérete négy megabájt lehet. Ezzel az internetes forgalom sávszélességét is megfelelő szinten lehetett tartani, és az elektronikus küldemények is időben el tudták érni a célállomást. 20
Az első szigorítások
A fentiekben vázolt védelem körülbelül két-három évig elég hatékonyan működött és képes volt megakadályozni a komolyabb spamáradatot. Nagyjából másfél-egy esztendeje azonban kérlelhetetlenül elkezdett növekedni a levélszemét mennyisége. Megjelentek a jól ismert, immár klasszikusnak nevezhető, kéretlen gyógyszer-, szexuális segédeszköz- és egyéb reklámok. Egy idő után már a dolgozók is elkezdtek miat-
IT-SECURITY
tuk elégedetlenkedni, hiszen a beérkező haszontalan e-mailek aránya a védelmi rendszerek ellenére is elérte a nyolcvan százalékot. Ez azt eredményezte, hogy a postafiókban komoly odafigyeléssel kellett bogarászni a napi normális tevékenységhez kapcsolódó levelek után. A spamek kézi keresgélése, kijelölgetése és eltávolítása érezhetően kezdett a produktivitás rovására menni. Következett a meglévő szűrőrendszer paramétereinek állítgatása, az egyre szigorúbb szabályok életbe léptetése. A rendszergazdák folyamatosan és egyre intenzívebben bővítették a feketelistákat. A hatékonyabb védelem érdekében létrehoztak egy központi levélgyűjtőt, és megkérték a felhasználókat, hogy a szigorúbb ellenőrzés mellett is becsúszó kéretlen leveleket oda továbbítsák. A rendszergazdák állandóan ellenőrizték ezt a
PROAKTÍVAN A Minor Rendszerház Rt. mint a Symantec Enterprise Solution partnere proaktívan vesz részt a hazai piac építésében és a Symantec termékek népszerűsítésében. A Minor a központosított vírusvédelem szállítását követően tett javaslatot a Paksi Atomerőműnek a kéretlen és vírusos levelek hatékonyabb szűrésére. A tesztet követően a megvalósításhoz a paksi szakemberek a Symantec és Minor segítségével kezdtek neki. levélhalmazt, és a tartalom alapján egyre újabb és újabb törvényszerűségeket kerestek, hogy hatékonyabb szűrőszabályokat tudjanak beállítani.
Újabb nehézségek A szigorításokkal és a szabályok számának gyarapodásával törvényszerűen jelentkezett az újabb probléma: a hamis találatok számának növekedése. A fals pozitivitás miatt a munka szempontjából értékes tartalmakat hordozó e-mailek is fennakadtak az ellenőrző rendszeren. Olyan is előfordult, hogy a fontos levelekről a dolgozók csak hetek múlva szereztek tudomást a küldő partnertől. A helyzet javításának érdekében a szűrőrendszer minősítési eredményeit és kritériumait, illetve a különféle szempontok miatt kézbesíthetetlen kifelé és befelé irányuló leveleket megfelelő csoportosítással és megtekintési jogosultságokkal közzétették a vállalat intranet-
IT-SECURITY
ESZKÖZTÁR
2005. SZEPTEMBER 20.
jén. A felhasználók itt pontosan követhették, hogy a tőlük származó vagy nekik szánt levelek milyen szempontok –
Bizalmas jelleg és garanciák méret, rosszindulatúnak ítélt melléklet, spamminősítés – miatt akadtak fenn az ellenőrzésen. Itt szerezhettek tudomást a hamisan pozitívnak ítélt küldeményekről, majd tájékoztatták a rendszergazdákat, akik a kért leveleket továbbengedték a megfelelő fiók felé. Az újabb nehézséget az jelentette, hogy az ezeket az e-maileket tároló köztes puffer tárolókapacitása véges volt, ezért csak néhány napig lehetett tárolni a valamiért problémásnak jelölt küldeményeket. Az átlagosan háromnapos megtarthatóság miatt négy vagy öt nap, illetve egy hosszabb szabadság után az alkalmazottak már nem juthattak hozzá a feltartóztatott, majd időközben törölt elektronikus levelekhez, és újra le kellett kérniük azokat a feladótól.
Tarthatatlan helyzet Még ez a nehézkes módszer is előrelépést jelentett a hamisan pozitívnak minősített e-mailek kezelésében, de a szolgáltatás kényelmetlensége miatt ismét elkezdett növekedni a felhasználói észrevételek száma. A régi rendszer fejleszthetősége ugyanakkor elérte azt a szintet, amelyet már csak irracionális mértékű munka- és energiaráfordítással lehetett volna tovább javítani. Ebben az időben
a megfelelő infrastruktúra kialakítása a statisztikák alapján a levélszemét a teljes forgalom 70–80 százalékát tette ki: a után elindult a Brightmail próbája, majd több hónap után az éles üzem. külvilágból is leveleket fogadó felhasználók esetében napi 10–20 leA próba során a Symantec biztosított véltől akár 100-ig vagy 200-ig az atomerőmű részére egy olyan interterjedt. netes elérhetőséget, amelyen keresztül a A leírtak mellett kellemetvállalati levelezőrendszer a Brightmailen lenségek adódtak abból is, mint internetes szolgáltatáson megszűrt hogy a levélkontroll miatt jeés megfelelően megjelölt elektronikus lentősen – órákban mérhetően küldeményeket kapott. Természetesen – lelassult a levelek kézbesíehhez lefektették a megfelelő jogi kereteket, amelyek figyelembe vették a szolgáltése. Természetesen ott volt tatás bizalmas jellegét, és tartalmazták az még – noha ez a tényező viezzel kapcsolatos garanciákat. szonylag elhanyagolható volt – A Symantec szolgáltatása minden a spamek mérete miatti forgalomtöbblet és járulékos tárteegyes levelet továbbít, azonban azokat rület-igény. előbb a saját ellenőrzési szempontjai alapAz IT-vezetőség tavaly ezen ján ellátja a megfelelő jelölésekkel. Az ily a ponton elégelte meg a dolmódon kéretlennek minősített küldemégot, és döntött úgy, hogy le nyeket a vállalati levelezőrendszer egy kell cserélni a meglévő rendkülön karanténban tárolja. szert. Olyan védelmi lehetőNemcsak a spam mennyisége csökkent ség kellett, amely képes a teljes drasztikusan, hanem a Brightmail oldalán gyakorlatilag megszűnt a fals pozitivivállalat szintjén tízezres nagyságrendet kitevő levélforgalom tás, miközben a vállalati rendszer ebben hatékony ellenőrzésére, köza vonatkozásban továbbra is a változatpontilag menedzselhető, a lehető legkelan (kellemetlen) hatásfokkal dolgozott a vesebb operátori beavatkozást igényli, és párhuzamos tesztben. megfelelő határok között tudja tartani a hamis pozitivitási muA SYMANTEC BRIGHTMAIL ANTISPAM JELLEMZŐI tatókat is.
Nem csak a spam mennyisége csökkent
Valós idejű spamszűrés. Többrétegű védelem 20 különböző mechanizmussal, amelyek között megtalálható a szignatúra alapú, illetve a heurisztikus szűrés és a nyelv automatikus felismerése is. Egyéni felhasználókra és felhasználói csoportokra alkalmazható szabályok. Intuitív, központi adminisztráció webes felülettel. Áttekinthető naplózás és statisztikák. A széles körben alkalmazható, gyorsan életbe léptethető tartalomvagy feladófüggő szabályok létrehozásának lehetősége. Támogatja egyéb (például víruskereső-) kiterjesztések alkalmazását. A vállalat kliensgépein többféle levelezőprogramhoz illeszthető változó nyelvi környezetben. Költségcsökkentés más, integrált e-mailes biztonsági megoldások révén.
A Symantec nem volt már ismeretlen a paksi informatikusok számára, hiszen ez a cég szállította az atomerőmű központosított vírusvédelmi rendszerét, beleértve a szerveroldali védelmet és a munkaállomásokra telepített kliensprogramokat. Mivel a megoldás mind a hatékonyság, mind a menedzselhetőség szempontjából mindeddig megfelelően működött, ezért magától értetődött, hogy a levelezőrendszer gondjait is szóba hozták nekik. A Symantecnél nem sokkal ezelőtt került fel a termékpalettára a Brightmail AntiSpam nevű levélszűrő rendszer, és a probléma úgyszólván kapóra jött arra, hogy kipróbálják a képességeit, amelyek között például a hamis pozitivitással kapcsolatban a döbbenetesen jó „millióból egyes” statisztikai adat szerepel. A részletek pontosítása és
A kéretlen levelek tekintetében a hatékonyság javulása kimutathatóan háromötszörösére növekedett. Az eredmények tükrében a spamprobléma olyan mértékben vált kezelhetővé, hogy végül elkészült a fejlesztési terv, majd megtörtént a végső beüzemelés és elkezdte a működését a Brightmailen alapuló végleges helyi levélellenőrző rendszer. Kelemen László 21
ESZKÖZTÁR
2005. SZEPTEMBER 20.
Fizetni a neten
Látatlanban üzletet kötni nem könnyű – márpedig az interneten pontosan erre van szükség. Hogyan fizethetünk a weben és milyen kockázatokkal?
mányok által is használt online piacterek közül soknak az adatforgalma, átutalásokra alapozott fizetési rendszere túlélte az elmúlt évek megpróbáltatásait. Itt már olyan nagyok a tételek, hogy konfliktus esetén még a nemzetközi pereskedés költségei sem számítanak.
Névvel…
A
mikor vásárolunk, nem utolsósorban a kiválasztott dolog vagy szolgáltatás értékétől is függ, hogyan fizetünk. Ingatlanért aligha adunk készpénzt, sőt, hitelkártyáért sem nyúlunk a zsebünkbe. Vállalati, közintézményi beszerzéseknél a banki átutalás a szokásos fizetési mód. Ha háztartási készüléket
módon – például bankkártyával – előre kifizetünk egy kicsiny, ám tranzakció-feldolgozás szempontjából már ésszerű öszszeget, s azt utóbb tetszés szerinti ütemben, akár egész apró tételenként használhatjuk el. Jól bevált, ám igen szűk területre korlátozott alkalmazása ennek az elvnek a SkypeOut – a Skype internetes telefontársaságnak az AKADÁLYOZÓ TÉNYEZÕK a szolgáltatása, amellyel vezetékes vagy mobilszámo„Melyik tényezõ mennyire akadályozza az elektronikus fizetési megoldás fejlõdését?” – tették fel a kérdést 75 európai e-payment-szolgáltatónak. A válaszadók 0 és 4 közötti skálán kat hívhatunk. Egy 10 euosztályozhatták az egyes faktorokat; nagyobb szám erõteljesebb hatást jelöl. rós egységet megvásárolva Csekély kereskedõi érdeklõdés nagyjából 10 órán át telefonálhatunk – percenkénA szabványosítás hiánya ti számlázással – a társaságCsekély fogyasztói érdeklõdés nak a világ jó részét lefedő A különbözõ rendszerek nem mûködnek együtt „globális tarifájával”. Kialakulatlan jogi/szabályozói háttér A fogyasztók biztonsági aggályai Túl merev jogi/szabályozói háttér
…közepes, nagy
Következik egy olyan értéksáv, amelyben már ma is nagyon jól működik az A technológia fejletlensége e-kereskedelem. Olyan, vi0,0 0,5 1,0 1,5 2,0 2,5 szonylag nem drága dol(Forrás: ECB) gokról van szó, amelyeket kényelmi okokból eleve szívesen vennénk meg online, s ha a néztünk ki, vagy a közértben toljuk a teli bevásárlókocsit, célszerű választás lehet próbálkozás balul üt ki, legfeljebb múló a bankkártya. bosszúságként könyveljük el. Tipikusan Egy doboz gyufáért vagy egy kiló cseilyen cikk a könyv vagy a cd. Nem véletresznyéért azonban csak készpénzzel szolen, hogy a legsikeresebb webáruházak kás fizetni – ha netán el is fogadnának a világon mindenhol könyvvel kezdték, ilyesmiért kártyát, a tranzakció feldolgovagy ma is csak ezzel foglalkoznak. zásának költsége nagyobb lenne, mint az Ezután hatalmas lyuk tátong az értékskálán: motorkerékpárt még csak időnáru értéke. ként adnak-vesznek a megbízhatósági (reputációs) adatbázist vezető, jól ismert Kicsi… online aukciós site-okon – mondjuk az A fenti megfontolások a világhálón is éreBayen –, de már ez az érték is ritkaságvényesek. A nagyon kis értékű dolgokszámba megy. Hogy ez így van, annak jókal az említett okok miatt nem könnyű részt az e-fizetési rendszerek elégtelensége az oka. kereskedni az interneten. Az ilyenek eladására kísérleteznek – több-kevesebb siLegközelebb az igazán nagy volumekerrel – a mikrofizetési (micropayment) nű tranzakciókra van olajozott világhálós megoldás – az óriáscégek vagy korrendszerekkel, amelyekben valamilyen A kereskedõk biztonsági aggályai
22
IT-SECURITY
Ugyanúgy, ahogy a valós életben, az interneten is alapvetően kétféle fizetőeszközt különböztethetünk meg: az azonosításhoz kötött és a névtelenséget megengedő (anonim) rendszereket. Az előbbire a banki átutalás, a bankkártya, az utóbbira a készpénz a klasszikus példa. Messze a legsikeresebb, legszélesebb körben alkalmazott online fizetőeszköz a bankkártya. Igaz ez mind a tranzakciók számát, mind volumenét, illetve az elfogadóhelyek (elfogadó site-ok) számát tekintve. Jóllehet a plasztiklap egyik előnyeként bevezetése idején épp a – többek között az azonosíthatóságból is adódó – biztonságát emlegették, mára ekörül erősen szaporodnak a kérdőjelek. Jött a telefonos, majd az online vásárlás, s így mind gyakrabban fordul elő, hogy a kártya fizikailag nincs jelen az eladónál. Ez korábban nem létező kockázatot hozott. Rohamosan terjed a phishing, mind több gépbe települnek be a csak kártyaadatokra leső rosszindulatú
ALÁÍRÁS-KORLÁTOZÁS Nyilván annál szívesebben vesznek az emberek e-utalványokat, minél több helyen válthatják be őket. Éppen ezért az ePointnál egy egyszerűen kezelhető cégközi elszámolási rendszerrel támogatják a kis vállalatokat abban, hogy kibocsáthassanak ilyen fizetőeszközt, s hogy könnyen alakíthassanak fizetési szövetségeket. Felkészültek az elektronikus aláírással való esetleges visszaélésekre is, ezért csak bizonyos konkrét viszonyokra alkalmazható aláírást engedélyeznek – univerzálisat nem. programok, s az utóbbi időben több, hatalmas tömeget érintő adatvesztésről érkezett hír. Lehet persze javítani a kártya biztonságát. Például az sms-sel autentikált bankkártyás tranzakciók vagy a webkártyák bevezetése – amelyre az egy adott online
IT-SECURITY
ESZKÖZTÁR
2005. SZEPTEMBER 20.
vásárlásra elkölteni kívánt összeget különíthetjük el – nagy előrelépés ezen a területen. A nagy kártyatársaságok csalásgyanú esetén riasztó monitoring-rendszereket állítottak be. Ezzel együtt a szervezett nemzetközi bűnözés egész új ága szakosodott már az online kártyahasználatra, s próbálkozik a legkorszerűbb technológiákkal.
…és név nélkül Ugyanakkor anonim elektronikus fizetésre egyelőre csak viszonylag szűk körben, elszigetelt területeken van lehető-
EGY A JELSZÓ Olyan gyenge lábakon áll ma még az online adásvétel, hogy a különböző e-fizetési rendszerek igazából nem annyira versenytársai, mintsem inkább segítői egymásnak. Az igazán nagy gát annak eldöntésénél van, hogy valaki egyáltalán hajlandó legyen a neten fizetni. Ha valamelyik megoldás becsábít egy ügyfelet, attól fogva az már bent van a táborban, és sokkal könnyebben megteszi azt a lépést, amely egyik fizetési rendszertől a másikig vezet. ség. A kis számú létező rendszert kevesen ismerik, s még kevesebben használják. Óriási lendületet adhatna pedig az online tranzakcióknak, ha egy ilyen fizetési mód szélesebb körben terjedne. A vevőnek kényelmes és egyszerű a készpénzszerűség, az elfogadó számára pedig azt a nagy előnyt nyújtja, hogy az egyszer így befolyt összeget nem követelhetik vissza; az anonim tranzakció – szemben a bankkártyással – nem forgatható vissza. Biztonsági szempontból vizsgálva, a készpénz jellegű fizetőeszközök gyakorlatilag nyom nélkül eltulajdoníthatók ugyan, használatuk szinte követhetetlen, ugyanakkor a készpénzt csak egyszer lehet elhasználni – ugyanazzal a készpénzzel többször visszaélni nem tudnak. Tény, hogy a vásárlási utalvány számát valaki lemásolhatja, s azzal online vásárolhat, ám ezt csak az utalvány limitjéig követheti el – pont ugyanúgy, ahogy a zsebből elemelt készpénzből is csak annak összértékéig költhet a tolvaj. Ez az összeg általában jóval kisebb, mint egy bankkártya korlátja. Az eddig megvalósított anonim fizetési megoldások lényegében vásárlási utalvá-
nyok, amelyeket bárki személyazonosítás nélkül megvehet a kibocsátótól. Az utalványokat azután akár ő maga, akár más addig használhatja, míg csak azok névértéke le nem merül.
Csak nagyoknak Egyes nagy áruházláncok valódi vásárlási utalványokat is kibocsátanak, s ezek között olyan is akad, amely webes és valódi boltban egyaránt felhasználható. Egy ilyen fizetőeszköz fizikailag megint csak lehet plasztiklap, amelyen az online vásárláshoz szám, a hagyományoshoz pedig mágnescsík tartozik. Akármilyen alakot is ölt fizikailag egy ilyen utalvány, hátránya, hogy csak komoly méretű, ismert cég bocsáthatja ki. Egy kis könyvesbolt vagy egy apró bútorüzlet aligha vezethetne be széles körben ilyen fizetőeszközt – egyrészt, mert nincs fedezetként kellő mennyiségű áruja, másrészt (és az előzővel összefüggésben), mert az emberek nem bíznak meg egy számukra ismeretlen cégben. Külföldön már alakultak ilyen célból cégszövetségek: tagjai együttesen már elérik az utalványkibocsátáshoz szükséges kritikus tömeget. Az előny nemcsak a forgalom növekedéséből származik: mi-
piacon –, de akkor is „utalvány” maradt: csak a kibocsátónál használható fel. Igaz ugyan, hogy elvileg szabadon átruházható, az emberek azonban nem fizetnek egymásnak könyv- vagy telefonperc-egyenértékben. Nem teszik ezt már csak azért sem, mert két ismeretlen között semmi biztosíték nincs arra, hogy az adós fél a „fizetés” után nem fogja tovább használni maga is az utalványt.
ePont, azaz ePoint
Többek között épp ezen a problémán szeretett volna segíteni Nagy Dániel, a fejlesztés utolsó stádiumában lévő ePoint fizetési rendszer egyik ötletgazdája. „A hitelkártyának megvan a maga helye, de egyszerűen alkalmatlan arra, hogy az internet általánosan elfogadott fizetőeszköze legyen. Ebből a szempontból olyan elvi lyukak vannak a rendszerben, amelyeket lehetetlen befoltozni. Ugyanakkor manapság már abban sem lehetünk biztosak, hogy a PC-nk a mi utasításainkat hajtja végre” – vélekedik a Kanadában dolgozó alkalmazott matematikus és informatikai biztonsági szakember. Az ePoint System – a projekt mögött álló nonprofit szervezet – célja, hogy az előbb említett elektronikus utalványokhoz hasonló elvű, de kis vállalkozások számára is hozVÁLASZTÁSI SZEMPONTOK záférhető, kriptográfiával kiegészített, valódi peer„Milyen alapon választ online fizetési módot?” A több mint 10 ezer válaszadó három szempontot jelölhetett meg (százalék) to-peer rendszert hozzanak létre. „Nincs jobb gaFelhasználóbarát rancia a biztonságra, mint Széles körben elterjedt ha bárki szabadon belenézhet a rendszer működéséEgyszerû ügyintézés be. Ezért (is) döntöttünk Kis költség a nyílt forráskódú szoftver Nincs választásom (csak egyetlen mellett” – mondja Nagy rendszer áll rendelkezésemre) Dániel. A hagyományos üzletekben bevált Ezzel – állítja a fejleszAz árut még fizetés elõtt kiszállítják tő – az ePoint mikrokifizeKönnyen lemondható tések teljesítésére már alkalmas. Ahhoz azonban, Sokan nagyon bíznak benne hogy az értékskála köze0 20 40 60 80 pén ma tátongó hatalmas (Forrás: Institute for Economic Policy Research) „lefedetlen” szakaszon is szívesen fizessenek az emberek ilyen módon, meg kell még oldaután az utalványokért előre kell fizetni, ni a rendszerben a reputációkövetést és s nemegyszer csak hónapokkal később a bíróságon kívüli konfliktusrendezést is. váltják be őket, kamatmentes hitelforrásként is szolgálnak a kibocsátó számára. Egy bicikli áráért senki nem fog nemzetNéhány utalvány jellegű rendszer siközi perre menni… Mikolás Zoltán keresnek bizonyult – különösen a könyv23
ESZKÖZTÁR
2005. SZEPTEMBER 20.
Ellentmondásosak a követelmények
Külsõ elõírások hiányában a biztonsági kockázatokat saját szabályzatokkal (is) igyekszik csökkenteni a cég. Így például az internetet és az elektronikus levelezést nem lehet magáncélra használni. Ezt írásban is lefektették, minden dolgozónak a tudomására hozták, és betartását nem informatikai eszközökre, hanem a munkatársak józan belátására bízzák. A bizalom természetesen nem korlátlan, hanem rendszeres ellenõrzéssel párosul. „Korábban én is sokkal jobban hittem az emberekben, az információvédelmi szakmában eltöltött évek azonban sokkal óvatosabbá tettek” – vall magáról is Fenyõ József.
Szívesen venné a jelenleginél is szigorúbb informatikai biztonsági elõírásokat a BÉT biztonsági vezetõje.
H
ivatalból vagyok paranoiás – mondja Fenyõ József, a Budapest Értéktõzsde (BÉT) informatikai biztonsági felelõse. Szó, ami szó, munkahelye kemény követelményeket támaszt az informatikai rendszerekkel szemben. A tõzsdével kapcsolatban elvárt egyik fõ követelmény, hogy nyitott legyen: a kereskedésnek teljesen átláthatónak kell lennie. Másrészt viszont bizonyos – elsõsorban személyes, illetve az adatkezelési törvény hatálya alá esõ – adatoknak soha vagy legalábbis egy adott idõpillanat elõtt nem szabad nyilvánosságra kerülniük. Ezért különösen kell arra figyelni, hogy az adatkezelésre vonatkozó általános és speciális szabályokat mindig maradéktalanul betartsa a BÉT.
SPECIALISTÁK ÉS INTEGRÁLÓK Mennyire érthet egy vállalat az informatikai biztonság minden területéhez? Fenyõ József szerint nem feltétlenül a specialistáké a nagy elõny. „A nagyobb cég a márkanevének védelmében minden bizonnyal úgy integrál portfóliójába újabb termékeket, hogy azzal ne rontsa a reputációját, vagyis nem végez félmunkát” – véli a BÉT biztonsági vezetõje. A specialista cégekben felhalmozott tudás máshol, mástól is megszerezhetõ; ha nem is lehet a piacvezetõt vagy annak az embereit „megvásárolni”, de hasonló képességûek mindenképpen találhatók máshol is. Hasonlóképpen ellentmondásos követelményeket támaszt a kereskedési rendszer – folytatja a nehézségek felsorolását Fenyõ József. Az értéktõzsdén ma már gyakorlatilag teljesen elektronikus a kereskedelem. Ebbõl értelemszerûen következik, hogy a kereskedési rendszerhez való távoli hozzáférést mindenáron biztosítani kell – viszont csakis az arra felhatalmazottak számára és az adott korlátok között. „Ehhez a távoli eléréshez termé24
IT-SECURITY
FOTÓ: IT-BUSINESS
Integráltan?
Fenyõ József, BÉT A bizalom ellenőrzéssel párosul szetesen igen erõs azonosítást és hitelesítést használunk; ennek részleteirõl azonban – azt hiszem, érthetõ okokból – nem akarok beszélni” – tart meg néhány titkot a BÉT biztonsági vezetõje.
Szigorúbb szabályokat A megfelelés igénye a különféle követelményeknek érdekes módon nem párosul szigorú szabályozással – legalábbis Fenyõ József számára nem elég szigorúak a BÉT-re vonatkozó elõírások. Az Értéktõzsde ugyanis törvényi szempontból nem tekinthetõ pénzintézetnek – pedig ma Magyarországon a szabályozás ezek esetében a legszigorúbb és legszélesebb körû. „Sokszor az az érzésem, hogy törõdnünk kellene ezzel is, azzal is, miközben a jogszabályok a mi esetünkben nem foglalkoznak az adott kérdéssel” – fogalmazza meg elégedetlenségének okát Fenyõ József.
Szabályzatokkal, elõírásokkal azonban nem lehet elhárítani minden veszélyt. A BÉT esetében a következõ nagy információvédelmi feladat a rosszindulatú kódok (malware, spyware, trójaiak) elleni védekezés lesz. Egy másik új terület, amelyre megoldást keresnek, a tartalomszûrés, mind a webböngészés, mind az elektronikus levelezés esetében. Az elõkészítés szakaszában lévõ biztonsági továbbfejlesztés egyik kulcskérdése, hogy az említett funkciókat integráltan kínáló megoldást válasszanak, vagy minden területre külön rendszert alkalmazzanak. Fenyõ József nem osztja azt a vélekedést, miszerint a nagy, összetett rendszerek nem lehetnek olyan kifinomultak, mindenre kiterjedõen részletesek, mint a specializált termékek. Szerinte az integrált megoldások két szempontból is elõnyösebbek. Az egyik az egyszerûbb kezelhetõség, felügyelhetõség. Ez a BÉT esetében azért is különösen fontos, mert viszonylag kis létszámmal dolgozik az informatikai szervezet, és nem tehetik meg, hogy minden rendszert külön munkatárs felügyeljen. A másik elõny az a tapasztalat, amely a nagyobb rendszerek gyártóiban felhalmozódott: ez komoly biztonságot kínál a felhasználónak a késõbbi együttmûködésben. „Jelentkezhet ez a tapasztalat támogatásban, rendelkezésre állásban, illetve abban, hogy segítenek megértetni a munkatársainkkal: az intézkedések nem ellenük vannak, hanem mindannyiunk érdekeit szolgálják” – fogalmazza meg szempontjait Fenyõ József. Schopp Attila
IT-SECURITY
ESZKÖZTÁR
2005. SZEPTEMBER 20.
Ki és hogyan lehet igazságügyi szakértõ? akkor a szó valódi értelmében vett hivatás, és jó, ha szakmai oldalról közelít ehhez a területhez a leendõ kolléga.
rán kialakult kapcsolatok és sok-sok referenciamunkával a hátuk mögött cégek mûködnek eseti szakértõként úgy, hogy nagyságrendekkel több megbízásuk van, mint a regisztrált szakértõknek. Az új regisztrált szakértõk több lehetõséget akarnak, míg a régi tapasztalt eseti szakértõk sem akarnak elesni a munkától. A kamara lehetõségeihez mérten azon dolgozik, hogy a regisztrált szakértõk érdekeit képviselje. Amennyiben egy peres eljárásban a felkért szakértõk véleményét nem fogadják el az ellenfelek (a két vélemény nem szolgálja érdekeiket), akkor a bíróság hivatalból is kirendelhet szakértõt, majd a vélemények alapján mérlegel. A döntés a bíróságé, és nem a szakértõé!
Mit kell tudni?
Gyanús lehet az ártatlan is
Hosszú egyeztetés, szakmai konzultáció, érdekképviselet és jogászi munka után elkészült a 2005. évi XLVII. törvény az igazságügyi szakértõi tevékenységrõl.
A
z elkészült törvény 2006. január 1jén lép életbe, és a hozzá kapcsolódó szabályozásoknak, az érintettek felkészülésének és az érdeklõdõk tájékoztatásának is bele kell férnie ebbe a szûkös határidõbe.
Mennyi idõ kell hozzá? Nem mondhatni, hogy túlzottan rövid idõ alatt igazságügyi szakértõvé válhatna valaki. Az Igazságügyi Minisztérium honlapjáról letölthetõ ûrlap kitöltésével és a kért dokumentumok csatolásával indul el az eljárás, és az IM-ben történõ eskütétellel, illetve az igazolvány átvételével ér véget, de a kettõ között még sok szakmai és adminisztrációs, valamint anyagiakat érintõ lépés is van.
Mennyibe kerül? Az eskütételen az vehet részt, aki a szakmai megfelelõségen túl befizette a területi Igazságügyi Kamara egyszeri regisztrációs, majd éves tagsági díját. Az igazolvány kézhezvételekor végzett számvetés szerint a jelentkezõ még nem költött 100 000 forintot, de közelít ehhez. Ha erõs felelõsségbiztosítást köt, például esetleges tévedéseinek fedezetére (a szakértõ is tévedhet, a szakértõt is támadhatják), akkor éppen túl is lépheti ezt az öszszeget, de lehetséges, hogy az elsõ ügyének szakértõi díja már pozitívba fordítja át a számvetést. Igazságügyi szakértõnek lenni ugyan-
http://im.netforum.hu/isznyr/internet/menu.html – ûrlap és szakértõi adatbázis elérése http://www.miszk.hu/ – Magyar Igazságügyi Szakértõi Kamara http://www.cert.hu – a Hun-CERT lapja
A bejegyzést adott területre lehet megAz új törvény megadja a lehetõséget arkapni. Az „informatika” túl tág fogalom ra, hogy a szakértõi tudás egységes felkéahhoz, hogy erre bejegyzést kapjon valaszülés és vizsgáztatás alapján alakuljon, ki, de az „információs rendszer ellenõrhiszen érdekünk, hogy a megfelelõ szakzés, auditálás” (4557-es kódszám) terüértõi vélemények alapján tudjanak mérletére már lehet bejegyzést kérni (az IM legelni a bíróságok is. Ez kiemelten fonhonlapján lehet névre, szövegre és kódszámra is keresni az adatbázisban), ha a benyújtott anyagok (végzettséget és szakmai tapasztalatot igazoló iratok), majd a személyes meghallgatás alapján a kamara is javasolja az illetõ bejegyzését. A XLVII. törvény szerint szakmai képzésen kell részt vennie a jelentkezõnek, és vizsgáznia is kell, amit az adott területen szerzett tudományos fokozattal kiválthat. A szükséges jogi ismeretekbõl minVélemények alapján mérlegelni denkinek vizsgáznia kell – a törvényhez közel kéttucatnyi tos az informatikai biztonság területén, iránymutatás, kormányrendelet és törahol manapság már a támadó tevékenyvény kapcsolódik. Az informatika területét jellemzõ technológiai fejlõdést nézve ségét elfedõ rootkitek és a támadókat pedig elengedhetetlen, hogy a szakértõk becsalogató honeynetek állnak szemben a megfelelõ képzettségre tegyenek szert, egymással, és a bûnös is el tud rejtõzni, és tudásukról számot is adjanak. míg az ártatlan is gyanúba keveredhet – így szakértõ legyen a talpán, aki egy elõre megtervezett profi csapattal elköveEseti szakértõk tett bûnügyet ki tud bogozni a nyomok Amennyiben egy adott esethez nem áll alapján. Mindezek alapján a sokesetes tarendelkezésre igazságügyi szakértõ, esepasztalatnak is meglesz a maga szerepe ti szakértõ kirendelésére kerül sor. Reaz igazságügyi szakértõi tevékenységben. Kincses Zoltán mélhetõleg a jövõben ez is szabályozottabban folyik majd, hiszen az évek soigazságügyi szakértõ 25
KOMMUNIKÁCIÓ
2005. SZEPTEMBER 20.
IT-SECURITY
Támadások aktív eszközökkel A korszerű támadóeszközök számára akár néhány másodperc is elegendő ahhoz, hogy feltörjék a vezetéknélküli hálózatok WEP-es titkosítását.
N
oha jócskán találkozhatunk a piacon WEP-es (Wired Equivalent Privacy) titkosítást alkalmazó WiFi szabványú vezetéknélküli eszközökkel – adatkártyákkal, VoIP-telefonokkal, hozzáférési pontokkal –, szakértők szerint használóik egyáltalán nem érezhetik magukat biztonságban. Azok a támadási módok, amelyeket néhány évvel ezelőtt még csak elméletben vázoltak fel, mára gyakorlattá váltak; napjainkban a hackerek számára elegendő néhány perc, sőt, esetenként csupán néhány másodperc, hogy bejussanak a vezetéknélküli hálózatba, és hozzáférjenek az adat- és hangforgalomhoz. Elsőként az úgynevezett passzív, alapvetően statisztikai analízist alkalmazó megoldások terjedtek el; ezek lényege, hogy az összegyűjtött WEP-forgalmat alapos vizsgálatnak vetik alá, majd a kapott eredmények alapján megfejtik a titkosítási kulcsot. Más elvre épülnek az aktív támadóeszközök. Ezek alapvetően a 802.11 szabvá-
HITELESÍTÉSI MÓDOK A 802.11 jelzésû szabvány kétféle típusú hitelesítést határoz meg:
nyílt rendszerű hitelesítés (ez gyakorlatilag azt jelenti, hogy nincs hitelesítés); osztott kulcsú hitelesítés.
Az osztott kulcsú hitelesítésnél a hozzáférési pont 128 bitnyi egyszerű szöveget továbbít. Ezt követően titkosít, majd az így létrejött titkosított szöveget továbbítja. E műveletek során a hozzáférési pont ugyanazt a kulcsot és titkosítást alkalmazza, mint amit a WEP használ a hálózati forgalom titkosításához. A Wepwedgie az osztott kulcsú hitelesítés gyengeségeire építve hatol be a vezetéknélküli hálózatokba. nyú kommunikációt alkalmazzák a WEPhálózatok megtámadására. Ha behatolnak egy WLAN-ba, megszakadhat a hálózat, valamint további nem várt esemé26
nyek történhetnek. Előfordul, hogy egyegy aktív támadás után a hálózatot újra kell indítani. A következőkben néhány olyan ismert aktív támadási módról adunk rövid összefoglalót, amelyre minden WLANhasználónak érdemes felkészülnie. Az aktív támadási technikák közös jellemzője, hogy önkényesen juttatnak be adatcsomagokat a vezetéknélküli hálózatba. Jóllehet különféle módszerek ismertek, mindegyik Linux operációs rendszerre épül. A módszerek további közös jellemzője, hogy olyan „hackelt” meghajtókat használnak, amelyeknek támogatási és rendelkezésre állási problémái vannak.
kénti átkódolás sem jelent megoldást. A WEP tehát a gyors forgalomgenerálás típusú támadásokkal szemben nem nyújt kellő védelmet.
Titkosított csomagok bejuttatása a hálózatba Kétségtelen, hogy manapság a legtöbb támadóeszköz a WEP-kulcsok feltörésével próbálkozik, ugyanakkor vannak
Csomagvisszajátszás Szakértők számára nyilvánvaló, hogy a vezetéknélküli hálózatokban a források és a célállomások MAC-címei (Media Access Control) minden egyes csomagnál láthatók, függetlenül attól, hogy a csomagok tartalmát WEP-kulccsal titkosították-e vagy sem. Ennek révén a WLAN-on lévő gazdaszámítógépek egyértelműen azonosíthatók. Mi következik ebből? Nem kevesebb, mint hogy a WEP alapú vezetéknélküli hálózatok nem nyújtanak védelmet az úgynevezett visszajátszásos támadások ellen. Megfelelő eszközökkel minden elfogott csomag megkaparintható, majd visszajuttatható a hálózatba. Ugyanazt a csomagot másodpercenként százszor vagy akár ezerszer is vissza lehet játszani; a támadás a gazdaszámítógépet arra kényszeríti, hogy óriási válaszáradatot bocsásson ki magából, egyenként titkosítva és egyedi IV-kel (inicializációs vektor) ellátva a csomagokat. Fentiek alapján megállapítható, hogy vannak olyan aktív támadóeszközök – például az aireplay –, amelyek néhány perc alatt több százezer csomagot képesek összegyűjteni, majd azok alapján feltörik a WEP-kulcsokat. Mindez olyan gyorsan történik, hogy az 5–10 percen-
Használója nincs biztonságban olyan eszközök is, amelyek a WEP egyéb gyengeségeit próbálják meg kiaknázni. Ilyen például a Wepwedgie. A 2003 óta ismert eljárással a támadó tetszőleges, sima szövegcsomagot hoz létre, majd azt a WEP-kulcs ismerete nélkül juttatja be a vezetéknélküli hálózatba. A Wepwedgie helyreállítja azt a kulcsfolyamot, amelyet egy meghatározott egyszerű szöveg titkosításához használ-
IT-SECURITY
tak. Hogyan teszi mindezt? Ismerve némi egyszerű szöveget és az abból létrehozott titkosított szöveget, egy egyszerű XOR (eXclusive OR, kizáró VAGY) mű-
KOMMUNIKÁCIÓ
2005. SZEPTEMBER 20.
www.webopedia.com/TERM/W/WEP.html – What is WEP? http://en.wikipedia.org/wiki/WEP – Wikipedia, the free encyclopedia http://www.wi-fiplanet.com/tutorials/article.php/1368661 – 802.11 WEP: Concepts and Vulnerability http://wepcrack.sourceforge.net/ – WEPCrack - An 802.11 key breaker
veletet végez, és máris megvan az a kulcsfolyam, amely egy bizonyos (egyéni) IV-ből ered. A Wepwedgie tehát hozzájut ahhoz a kulcsfolyamhoz, amelynek segítségével elvégezheti a titkosítást. Ily módon bármilyen csomagot bejuttathat a hálózatba – az egyetlen korlát, hogy a csomagok hossza egyezzen meg az ismert kulcsfolyam hosszával. A csomagbejuttatás módjai különbözőek lehetnek; az egyik egyszerű eset, amikor a Wepwedgie egy pinget küld a kiválasztott célállomásra.
Ezzel a módszerrel a chopchop néhány másodperc alatt feltöri a teljes csomag titkosítását, függetlenül attól, hogy a hálózatban milyen titkosítási kulcsot használtak. Nem jelent védelmet, ha minden egyes felhasználónál különálló titkosítási kulcsot alkalmaztak, mint ahogy az sem véd meg a támadástól, ha a titkosítási kulcsot minden órában vagy akár percben megváltoztatják. A chopchop rendkívül veszélyes eszköz, gyakorlatilag bármely csomag titkosságát képes kijátszani.
Jövőbeli veszélyek Ezek tehát azok az aktív támadóeszközök, amelyek ma a WEP-kulccsal titkosított WLAN-okat leginkább fenyegetik. De ne gondolja senki sem, hogy a hacke-
Csomagfeltörés a WEP-kulcs ismerete nélkül Nemrégiben olyan eszköz látott napvilágot, amellyel a támadó a WEP-kulcs ismerete nélküli is feltörheti az egyes csomagok titkosítását. A chopchop névre hallgató veszélyes eszköz egyetlen titkosított csomagot játszik vissza, miközben alkalmanként egy-egy bájtját megváltoztatja. Időközben folyamatosan monitorozza, hogy a hozzáférési pont vajon elfogadja-e a módosított csomagot. Ha igen, meghatározza az illető bájt egyszerűszöveg-értékét, majd továbblép a következő bájtra.
Egyetlen védelme a WEP-kulcs rek mindezekkel elégedettek, és békésen ülnek babérjaikon. Mi sem természetesebb számukra, mint továbbfejleszteni a támadóeszközöket. Hírek szerint már dolgoznak például a Wepwedgie új vál-
tozatán, amely magában foglalja a chopchopot, továbbá újabb meghajtókkal is együttműködik. Az aireplay következő változata ugyanezt a technikát alkalmazza, és ezáltal lehetővé teszi bármely ARP-kérés (Address Resolution Protocol) hamisítását. Többen dolgoznak azon is, hogy javítsák a vezetéknélküli meghajtókat, beleértve azt is, hogy a csomagbejuttatást szélesebb hardverkörnyezetben lehessen megvalósítani.
Fő az óvatosság! A cikkben bemutatott néhány aktív támadóeszköz is azt bizonyítja, hogy a kizárólag WEP-kulccsal védett vezetéknélküli hálózatok komoly veszélyben vannak. Mindezek dacára az a szomorú helyzet, hogy még mindig meglehetősen sok az olyan vezetéknélküli eszköz a piacon – WLAN-kártya, WiFi-telefon, hozzáférési pont –, amely a WEP-kulcson kívül nem rendelkezik másfajta védelemmel. Az első számú javaslat ezeknek az eszközöknek a cseréje más, hathatósabb védelmet – például WPA-t (WiFi Protected Access) – alkalmazó eszközökkel, megfelelő konfigurálás mellett. A cseréig pedig feltétlenül érdemes elvégezni a WEP-re leselkedő támadások szimulációját. E tesztek egyrészt rámutatnak a hálózat gyengeségeire, másrészt hozzásegítik a felhasználókat, hogy minél hamarabb megváljanak WEP-kulcsú eszközeiktől. Mallász Judit
27
KOMMUNIKÁCIÓ
2005. SZEPTEMBER 20.
Céges csevegés Az egyre jobban terjedõ vállalati üzenetküldõ rendszerek sajátos biztonsági kockázatokat rejtenek.
S
ok-sok millióan használják az internetes azonnali üzenetküldõ programokat (az AOL-féle AIM-et, az MSN Messengert, az ICQ-t stb.), amelyek segítségével valós idõben kommunikálhatunk az azonos programot használó más internetezõkkel a világ bármely részén. Amikor az internetre csatlakozunk, az üzenetküldõ kliens megvizsgálja, hogy a címlistákon szereplõ személyek éppen elérhetõk-e, így azonnal az általunk kialakított online közösség részévé válunk. A csevegõszobában még akkor is gyorsan cserélhetünk szöveges üzeneteket, ha az interneten csúcsforgalom van. Hangos üzeneteket, webcímeket, valamint képeket és más számítógépes állományokat szintén küldhetünk a szolgáltatással.
Része a vállalati kommunikációnak Az azonnali üzenetküldõk kezdetben a fiatalabb korosztály körében voltak igen népszerûek, mára azonban a vállalati kommunikációnak is nélkülözhetetlen részévé váltak. Ehhez viszont némi át-
SZABÁLYOZOTT HASZNÁLAT A vállalati biztonsági politika részeként célszerû meghatározni a betartandó üzenetküldési szabályokat. Meg kell értetni az alkalmazottakkal, hogy a vállalati üzenetküldõ alkalmazást kizárólag üzleti információk cseréjére használják. Csupán azok számára érdemes hozzáférhetõvé tenni a rendszert, akiknek a munkájához erre feltétlenül szükség van. Ugyanez érvényes a kiegészítõ lehetõségek, például az állományátvitel használatára is. Fel kell hívni a munkatársak figyelmét a nyilvános üzenetküldõ programok tiltott használatának veszélyeire és következményeire is. alakuláson kellett keresztülmenniük, a hackerek állandó célpontjául szolgáló ingyenes üzenetküldõ programok biztonsági szolgáltatásai ugyanis nem felel28
nek meg a vállalati követelményeknek. Szinte naponta érkeznek rémisztõ hírek az üzenetküldõ rendszerek ellen intézett támadásokról. Hol a Yahoo üzenetküldõjében veri át egy féreg a felhasználókat, és szerzi meg tõlük azonosítójukat és jelszavukat, hol az AIM-et megfertõzõ féreg próbál meg rosszindulatú kódot letölteni a felhasználók számítógépére, hol pedig az MSN Messenger rendszert kell átmenetileg bezárni a nagyfokú sebezhetõség miatt. Nem csoda, hogy ezek hallatán a vállalatok informatikai menedzserei komolyabb vizsgálódásnak vetik alá a vállatatok számára kifejlesztett azonnali üzenetküldõ (angol nevükön az Enterprise Instant Messaging, EIM) rendszereket. További rémálmokkal járnak számukra az alkalmazottak által engedély nélkül telepített ingyenes üzenetküldõ programok, amelyek egyrészt elvonják a munkavállalók figyelmét a munkától, másrészt használatuk nagy biztonsági kockázatokkal jár együtt.
IT-SECURITY
üzenetek a képeslapokhoz hasonlíthatók, amelyeket továbbítás közben bárki elolvashat, így ostobaság lenne ilyenekben küldözgetni fontos üzleti információkat. Mi több, az üzeneteket kezelõ és továbbító kiszolgálók nem tartoznak a vállalat ellenõrzése alá, így bármilyen rosszindulatú támadásra felhasználhatók. További problémák forrása lehet, hogy az alkalmazottak mindenféle személyes ügyük intézésére használják a nyilvános üzenetküldõket, és akkor is rajta lógnak, amikor sokkal fontosabb dolguk akadna. Az üzenetküldõ ügyfelek blokkolása nem egyszerû, a programok ugyanis a blokkolt portokról átkapcsolnak a nyitottakra, például a mindig megnyitott 80-as portot használják. A legdurvább megoldás az, hogy a hálózati munkaállomások lezárásával akadályozzák meg az üzenetküldõ kliens engedély nélküli telepítését. Ilyenkor csak a rendszergazda telepíthet bármilyen szoftvert a munkaállomások-
Kapuzárás A vállalaton belüli biztonságos üzenetküldés egyik feltéteHasználjunk védett adatátviteli csatornát le, hogy kerülni kell az ingyenes üzenetküldõ alkalmazások ra. Blokkolni kell továbbá a hozzáférést használatát, mert ezek olyan támadási a web alapú kliensekhez, ilyen például a felületet kínálnak a hackerek számára, Yahoo.com vagy az Aol.com webhely. amelyet egyetlen komoly cég sem engedhet meg magának. Mivel ezek a prograAz alkalmazottak mohó üzengetési vámok nyilvánosak, a forgalmuk hálózatgyának ellenõrzésére felhasználható az szkennelõ eszközökkel viszonylag együzembe állított vállalati azonnali üzeszerûen nyomon követhetõ. Az üzenetek netküldõ rendszer is. A Microsoft-féle titkosítás nélkül haladnak át az interneLive Communications Server 2005 SP1 ten, ráadásul a legtöbben kikapcsolt bizpéldául úgy oldja meg a biztonságos tonsági funkciókkal használják az üzekommunikációt a nyilvános programonetküldõ klienseket, így bárki láthatja, kat használó alkalmazottakkal, hogy számukra csupán az engedélyezettek listáhogy az internetre kapcsolódnak, és üzenetet küldhet nekik. ján szereplõ feladókkal való üzenetváltást Az ingyenes programokkal elküldött engedélyezi. Egy másik funkciója blok-
IT-SECURITY
KOMMUNIKÁCIÓ
2005. SZEPTEMBER 20.
kolja azokat az üzeneteket, amelyek webcímeket tartalmaznak, vagy állományátvitelt próbálnak kezdeményezni.
Kiszolgálás házon belül A lehetõ legbiztonságosabb megoldás, ha az üzenetküldõ rendszert a vállalati intraneten, egy tûzfallal védett belsõ kiszolgálón üzemeltetjük, és kizárólag belsõ üzeneteket forgalmazunk rajta. Ekkor lehetõségünk van az üzenetküldõ rendszer teljes felügyeletére, az üzenetek naplózására és ellenõrzésére. Ha mindenképpen szükség van üzenetek küldésére az intraneten kívülre, ehhez használjunk védett adatátviteli csatornát vagy más biztonságos megoldást. Például a Novell-féle Groupwise 6.5 lehetõvé teszi, hogy a tûzfalon kívülre irányuló kommunikációt SSL-titkosítással végezzük. A tûzfalon kívülre üzengetés azonban még ekkor is nagyobb biztonsági kockázatokkal jár, mint ha kizárólag belsõ üzeneteket forgalmazunk.
Az azonnali üzenetküldők a mindennapi kommunikáció eszközei Ha valamilyen oknál fogva nem jöhet szóba belsõ üzenetkezelõ kiszolgáló üzembe állítása, csak megbízható külsõ szolgáltatót vegyünk igénybe. Vizsgáljuk meg, hogy a lehetséges partnerek milyen védelmet nyújtanak, és milyen titkosítást használnak. A leg-
magasabb szintû titkosítás jelenleg az AES256 nevû eljárás. A biztonsági szint megõrzése érdekében rendszeresen telepítsük az üzenetküldõ rendszerhez megjelenõ javításokat, frissítéseket. Mészáros Csaba
29
KOMMUNIKÁCIÓ
2005. SZEPTEMBER 20.
IT-SECURITY
Fejet a homokba? Röviddel azután, hogy a Katrina hurrikán elárasztott romhalmazzá változtatta New Orleanst, megdöbbentõ felmérés látott napvilágot arról, mennyire felkészületlenek az amerikai vállalatok bármiféle katasztrófára.
S
zomorú aktualitású címmel (Katasztrófa-felkészülés a magánszektorban – az amerikai cégek üzletfolytonosság-tervezési gyakorlata) jelent meg az AT&T és a Vészhelyet-menedzserek nemzetközi szövetségének tanulmánya; készítõi az Egyesült Államok különbözõ vidékein összesen 1200 társaságot kerestek meg a témában.
Nem igazán fontos... Tíz cégbõl négynél úgy nyilatkoztak: nem tartják különösebben fontosnak, hogy üzletmenet-folytonossági tervet készítsenek. Márpedig ennek pont az lenne a célja, hogy akkor gondolják át, mi a teendõ vészhelyzet – például természeti csapás – esetén, amikor még minden a hétköznapi mederben folyik. Nem állnak azonban túl jól azok sem, akik egyszer vették maguknak a fáradságot a terv kidolgozására. Az ilyen cégek 25 százaléka vallotta be: legalább egy éve nem frissítette a dokumentumot, 40 százalékuk pedig nem tartott próbariadót az elmúlt 12 hónapban – vagy éppenséggel soha. Miben bíznak azok, akik homokba dugják a fejüket, mikor áradás, tûz, vagy merénylet kerül szóba? Mindössze az illetékes menedzserek 34 százaléka vélte úgy: cégénél mindig is lényegesnek tekintették az üzletmenetfolytonosság megtervezését. Ezek közül a cégek közül egyébként sokan kihelyezik ezt a munkát – a vállalatok 30 százalékánál bíztak meg külsõ szolgáltatót a védelmi és felkészülési feladatokkal.
Elemi intézkedések hiányoznak Valamivel több, mint a cégvezetõk negyede arról számolt be, hogy ez a feladat az utóbbi években került csak elõtérbe. Fontosnak, de nem életbevágónak 35 százalék mondta az ügyet, a megkérde-
zettek 4 százaléka pedig egyáltalán nem tulajdonított jelentõséget neki. Nemcsak a papírmunkát nem végezték el sokan – hiányoznak az elemi biztonsági eszközök és intézkedések is. Ha egyáltalán archiválják az elektronikus dokumentumokat, az archívumot a cégek több mint 40 százaléka saját telephelyén, azaz nem földrajzilag távolabb tartotta. Csaknem harmaduknál nem volt tûzfal, behatolás-ellenõrzés vagy jelszavas védelem. Annál meglepõbb ez az érdektelenség, mert a veszély egyáltalán nem légbõl kapott. Azoknak a cégeknek a két-
HÁZI FELADAT Amikor a természeti vagy ember által elõidézett katasztrófákra készülve üzletmenet-folytonossági tervet készítünk, az AT&T szerint a következõket kell elvégeznünk. Katasztrófaterv kidolgozása: alternatív helyszínek, folyamatok megtervezése. Kockázatkezelés: a különbözõ támadások valószínûségének és lehetséges következményeinek elemzése. Adat-visszaállítási felkészülés: archiválás biztonságos helyen, a hozzáférés biztosítása a kritikus alkalmazásokhoz. Kommunikációs felkészülés: a munkatársak közötti kapcsolattartás megtervezése vészhelyzet esetére. Végezetül az AT&T jótanácsa: a kidolgozott tervet oszszuk szét az alkalmazottak között, legyen a szükséges emberek számára mindig hozzáférhetõ.
harmada, amelyek megtapasztaltak már valamilyen vészhelyzetet, üzleti veszteséget is elszenvedett ennek következtében. Hogy mekkorát? Nos, 16 százalékuk napi 100–500 ezer dollár kiesésrõl számolt be. Ezeknél a jókora számoknál is rosszabbul hangzik annak a 26 százaléknak a válasza, akik beismerték: fel sem tudták becsülni veszteségüket. Mikolás Zoltán
Erõsíteni a tudatosságot! Mi jellemzi a magyar vállalatok informatikai biztonsági beruházásait? Vannak tipikus hibák, amelyeket elkövetnek? – többek között ezekre a kérdésekre válaszolnak a szakértõk 32. OLDAL
Mi kell a biztonsághoz? Az információs társadalom rövid idõn belül a bizalom és biztonság párviadalára redukálódik. Bizalom nélkül nincs hatékonyság, de biztonság nélkül sincs bizalom 35. OLDAL
A nyugodtabb jövõért A programot úgy igyekeztek összeállítani, hogy minél színesebb és érdekesebb legyen. Az egyes részterületeket a szakma szereplõi mellett a különbözõ kormányzati szervek képviselõi is értékelik elõadásaikban 36. OLDAL
Megoldásokban gondolkodva
AZ INFORMATIKAI BIZTONSÁG NAPJA
Erõsíteni a tudatosságot! Sokat lehet beszélni az informatikai biztonságról, de eleget nem. Még a sokszor elmondott tételeket sem árt elismételni, mert mindig vannak „újszülöttek”, akiknek minden „vicc” új. A hatékony IT-biztonságnak pedig alfája és ómegája a tudatosság erõsítése – derült ki az IT-SECURITY által rendezett kerekasztal-beszélgetésbõl, amelyen a téma elismert szakemberei vettek részt.
32
tekintetében. Ma még a legtöbb helyen szigetrendszerek mûködnek, és az ezekbõl származó információk összevetése komoly erõfeszítéseket igényel. Barna Tamás kelet-európai mûszaki vezetõ, McAfee: Ezért is kellene elmozdulni a szigetrendszerek felõl a közpon-
IT-SECURITY SPECIAL
volt akkora hatása, mint pár évvel ezelõtt a Slammernek vagy a MyDoomnak. Az jó kérdés, hogy miért nem? Vajon már anynyira jól be vannak állítva a rendszerek, hogy nem tudnak fertõzni a vírusok? Gombás László, a Symantec rendszermérnöke: Valóban nem okozott komoly károkat a Zotob, Magyarországon meg szinte semmi gondot nem jelentett. Azt hiszem, ez annak köszönhetõ, hogy legalább a nagyvállalati felhasználók tanultak a korábbi hibákból, odafigyeltek a Microsoft és a biztonsági szakértõk figyelmeztetéseire. Ha telepítették a korábban közzétett hibajavító kódot, semmilyen veszély nem fenyegette õket. Az viszont tisztán látszik, hogy az egyéni, otthoni felhasználók még korántsem jutottak el erre a szintre. Papp István, a Microsoft szervertermékmenedzsere: Azt hiszem, nagyon érdekes volt ez az eset. Sokkal nagyobbnak bizonyult a füstje, mint a lángja, mert éppen azokat érintette elsõsorban, akik képesek a füst generálására: a hírportálokat, a nagy tévécsatornákat. Azoknál a cégeknél egy darabig világvége-hangulat uralkodott, de a végén aztán kiderült, hogy a fertõzés az internetnek csak kis részét érintette, és ott is csak a rosszul menedzselt hálózatokat, valamint a nem kellõképpen frissített számítógépeket, és abból is csak a Windows 2000-et futtatókat. FOTÓ: IT-BUSINESS
– Augusztus közepén a CNN rendszereit is megbénító Zotob vírus ismét az informatikai biztonságra irányította a nagyközönség figyelmét. Újra bebizonyosodott, hogy egyetlen vállalat sem érezheti tökéletesen biztonságban magát. De mi jelenti manapság a legfõbb veszélyforrást? Györkõ Zoltán, a Balabit üzletfejlesztési igazgatója: Azt hiszem, mindannyiunk nevében is beszélhetek, amikor azt mondom, hogy az informatikai rendszerekre a legnagyobb veszélyt a felhasználók tudatlansága és nemtörõdömsége jelenti. Sajnos ezen a téren a legnehezebb komoly elõrelépéseket elérni. Keleti Arthur, az Icon IT-biztonsági üzletágának igazgatója: Sokféle veszélyforma létezik. Ezek között van, amit én prompt veszélynek hívnék: ilyenek a spamek, a vírusok, amelyeknél egyértelmû a veszélyforrás és a védekezés módja is. Aztán vannak azok a veszélyek, amelyek inkább a nehezebben felmérhetõ kockázat kategóriájába tartoznak, ezért sokkal nehezebb megfogni õket. Naplóállományokat elemezni vagy jogosultságokat kezelni szükséges, de ezt már sokan nem ismerik fel, szükségtelen veszélyeknek téve ki a rendszereiket. Nagy Tibor, a HP IT-biztonsági tanácsadója: Ugyanakkor a Keleti Arthur által említett dolgokra manapság nagyobb szükség lenne, mint ezelõtt bármikor. Az informatikai rendszerek egyre összetettebbek, és ennek megfelelõen egyre bonyolultabb biztonsági megoldásokat kell hozzájuk alkalmazni. A biztonsági eszközök együttes mûködtetése, a belõlük származó információk értelmezése és egymással való korrelációja, az incidenskezelés már érzékelhetõ problémát okoz a nagyvállalatoknál. Erre pedig nem nagyon vannak felkészülve sem szakemberek, sem informatikai eszközök
2005. SZEPTEMBER 20.
Keleti Arthur, Papp István tosított, egységesített megoldások felé. A támadások ma már rendszerint összetettek, ezekkel hatékonyan csak a központi, egységesített, de több komponensbõl álló védelmi rendszerek tudják felvenni a harcot. És mivel a támadások egyre gyorsabbak – a Zotob esetében alig három nap telt el a sérülékenység megjelenése és az azt kihasználó rosszindulatú kód elterjedése között –, a védelmi rendszernek proaktívnak kell lennie, hogy már az elsõ pillanattól kezdve védelmet nyújtson az új fenyegetettségek ellen.
Füst és láng – Milyen tanulságokkal szolgált az augusztusi Zotob-fertõzés? Nagy Tibor: Ennek már korántsem
– A páncél és az ágyú állandó vetélkedése régi keletû dolog. Mit tehetnek és mit tesznek a biztonsági termékek gyártói, hogy mindig a páncél, azaz a védelem legyen az erõsebb? Márton János, a Computerlinks ügyvezetõ igazgatója: Az összetett támadások összetett védekezést igényelnek, így ma már a gyártókat sem lehet a korábbi kategóriák szerint besorolni. Manapság már nincsenek tisztán vírusirtó- vagy tûzfalgyártók, hanem minden cég – akár akvizíciókkal, akár belsõ fejlesztésekkel – újabb és újabb területeken jelenik meg, új funkciókat integrál a termékeibe, vagy
AZ INFORMATIKAI BIZTONSÁG NAPJA
2005. SZEPTEMBER 20.
legalábbis integrálhatóvá tesz külsõ termékeket. Az is egyre általánosabb, hogy a különféle gyártók termékei közös felügyelet alá helyezhetõk. Papp István: A Microsoft korábban nem a biztonsági termékeirõl volt híres, inkább arról, hogy munkát adott az ilyen szoftverek gyártóinak. A viccet félretéve: három évvel ezelõtt viszont kimondtuk, hogy a felhasználó jogos igénye a biztonságos termék, és ennek megfelelõen is cselekedtünk. Egyrészt nagyon komoly revíziónak vetettük alá termékeink kódjait, hogy lehetõleg az összes kiskaput bezárjuk. Ennek a folyamatnak a része volt az a paradigmaváltás is, amikor a Windows XP Service Pack 2-ben a biztonsági funkciók alaphelyzetben nem kikapcsolva vannak, hanem éppen ellenkezõleg, bekapcsolva. Csak az a hálózati szolgáltatás, illetve funkció lép mûködésbe, amelyet a rendszergazda kimondottan telepít, illetve bekapcsol. Nekünk is szembesülnünk kellett azzal, amit Györkõ Zoltán mondott, hogy tudniillik a felhasználó – és ide érthetõ a rendszergazda is – a leggyengébb láncszem. Mi azt feltételeztük, hogy aki a termékeinket telepíti, az ért is hozzá, tudja, mit hogyan állítson be. Ez nem feltétlenül van így, és most már másképp csináljuk. Mert hiszen minek egy ajtóra nyolc zár, ha nem zárjuk be õket? Emellett nagyon komoly külsõ kampányba is kezdtünk, pontosan a súlyunknál fogva egyfajta iparági együttmûködés, összefogás megteremtését kezdeményeztük. Minden lehetséges fórumon hangoztattuk, hogy az otthoni és a vállalati felhasználóknak is meg kell tenniük három alapvetõ védekezési intézkedést: telepítsék a hibajavításokat; használjanak naprakész vírusirtót; és csak tûzfal mögül internetezzenek. Manapság elértünk odáig, hogy a három közül két feltétel az esetek többségében már teljesül. Harmadik fontos lépésként ahogyan a biztonsági eszközök gyártói, mi is nyitottunk új területek felé. Ennek köszönhetõen bizonyos védelmi funkciók megjelentek a Microsoft operációs rendszereiben és szervertermékeiben. Barna Tamás: Ez egyébként nemcsak a Microsoftra jellemzõ. A hálózati eszközöket gyártó cégek is nyitottak a biztonság felé: a Cisco és a 3Com például olyan behatolásmegelõzési rendszerekkel bõvíti eszközeit, amelyek így jól kiegé-
szíthetik a biztonsági gyártók termékeit, hiszen azok így a fejlettebb funkciókra összpontosíthatnak.
Egyedi és dobozos – A nagyvállalati felhasználók többsége nem csupán készen vásárolható szoftvereket használ, hanem nagyon sok alkalmazást kimondottan a saját maga számára fejlesztet ki. Ezek biztonsági szempontból jobbak, mint a dobozos termékek, vagy éppen ellenkezõleg? Keleti Arthur: Én pontosan azt tartom az informatikai biztonság egyik legnagyobb gondjának, hogy – kicsit sarkosan fogalmazva – a fejlesztõk semmilyen formában nem törõdnek a biztonsággal. Az õ munkájuk alapvetõen arra irányul, hogy a termék funkcionálisan megfelelõ legyen, és közben a lehetõ legteljesebb mértékben elhanyagolják a biztonságot. Azzal csak a gond van, hátráltatja a fejlesztést, megnehezíti az alkalmazás késõbbi használatát. Viszont egy kész alkalmazásba utólag beépíteni a biztonsági funkciókat iszonyúan drága, és a legtöbbször közel lehetetlen is. Ennek következményekép-
ják, mi fán terem a biztonság, de sokszor a megrendelõ miatt kerülnek olyan helyzetbe, hogy nem tudnak azzal törõdni. Az ügyfél olyan lehetetlen határidõket szab a teljesítésre, hogy abba egyszerûen nem fér bele a fejlesztésnek ez a része. Györkõ Zoltán: Ezzel kapcsolatban viszont van egy másik gond is. Az egyedi vagy annak számító, legfeljebb néhány tucat helyre eladott fejlesztések között nagyon sok az olyan, amelyik nincs rendesen dokumentálva. Innen kezdve azonban a szoftver biztonsági szempontú ellenõrzése, auditálása is gyakorlatilag lehetetlen. Ez pedig egyértelmûen a megrendelõ hibája, hiszen nem követeli meg a biztonsági rendszertervet, nem nézi meg, hogyan kezeli a jogosultságokat a szoftver, és így tovább. És különösen elszomorító, hogy ilyen alkalmazásokat például bankok is használnak, nemegyszer üzletileg kritikus környezetben.
Divatáramlatok – Mi jellemzi a magyar vállalatokat, amikor informatikai biztonsági rendszerek kiépítésébe fognak? Vannak tipikus hibák, amelyeket elkövetnek?
FOTÓ: IT-BUSINESS
IT-SECURITY SPECIAL
Gombás László, Györkő Zoltán, Gyurik Csaba pen ma a magyar nagyvállalatoknál igen sok olyan szoftver mûködik – beleértve a neves, nagy fejlesztõk által készítetteket is –, amelyekben gyakorlatilag egyáltalán nem törõdtek a biztonsággal, a jogosultság-, az adat- vagy a jelszókezeléssel. Gyurik Csaba, a VirusBuster szolgáltatási osztályvezetõje: Azt azért az igazság kedvéért hozzá kell tenni, hogy nem minden esetben a fejlesztõ a hibás. Vannak köztük, akik tényleg nem tud-
Gombás László: Nagyon sokszor megfigyelhetõ, hogy a felhasználók divatot követnek. Amikor éppen a vírusirtók vagy a tûzfalak a divatosak, akkor azokat telepítik. Aztán meg hirtelen mindenki nekiáll behatolásdetektáló rendszert (IDS-t) alkalmazni. Nem is az a baj, hogy ezek az eszközök feleslegesek lennének, hiszen létezõ veszélyek ellen kínálnak védelmet, hanem az, hogy hiányzik a megfontoltság. Ha a vállalat csak az aktuá33
AZ INFORMATIKAI BIZTONSÁG NAPJA
az egyéb szoftverek is számtalan olyan lehetõséget kínálnak, amelyekkel a meglévõ szabályozásokat a papírról át lehet ültetni a gyakorlatba.
Arányos védelem – A vállalati felhasználók esetében az informatikai biztonsági tudatosság és felkészültség mennyire áll összhangban a tényleges fenyegetettséggel? Gyurik Csaba: Én úgy látom, hogy még a nagyvállalatok sem igen tudják, mit veszíthetnek egy erõteljes támadás miatt. Papp István: Véleményem szerint még az sem feltétlenül tudatosult, hogy mit is kellene védeniük, sok esetben fel sem mérték a vállalati adatvagyont. Újabban
FOTÓ: IT-BUSINESS
lis divatot követi, és nem méri fel a saját igényeit, soha nem fog integrált, komplex, a megfelelõ elemekbõl álló rendszert kiépíteni. Papp István: Én is komoly kockázatnak látom a stratégiai tervezés, elõrelátás hiányát, különösen a kisebb cégek esetében. A fejlesztések nem egy elõre lefektetett terv szerint, hanem ad hoc módon történnek, pedig ha egy vállalat nem tud pár évre elõre gondolkodni, akkor késõbb nagyon súlyos következményekkel kell szembenéznie. Minden cégnek – kicsinek, nagynak egyaránt – meg kellene állnia egy pillanatra. Fel kellene mérnie az aktuális biztonsági állapotot (lehetõleg valamilyen nemzetközi módszertan alapján), majd meghatároznia, hogy hova akar eljutni.
2005. SZEPTEMBER 20.
Márton János, Nagy Tibor, Barna Tamás Ezután a kockázatelemzés megmondja, hogy a kívánt állapot eléréséhez milyen és mennyi beruházásra van szükség. Márton János: Én azt is tipikus hibának tartom, különösen a kisebb vállalkozások esetében, hogy az IT-biztonsági döntések nem jutnak el a megfelelõen magas szintre. Az igazgató, a menedzser eltolja magától ezeket a döntéseket, és mindent rábíz a rendszergazdára, aki viszont nemegyszer csak megbízással dolgozik ott. Meggyõzõdésem, hogy a vezetõk jó része nem tudja, mekkora veszélyeknek teszi ki informatikai rendszerét, és mekkora kár érheti a céget egy támadás vagy a fontos információk kikerülése miatt. Gyurik Csaba: A cégek sokszor azért nem kezdenek bele az átfogó biztonsági rendszer átalakításába, mert nagy munkának tartják, pedig lehetne kis lépésekkel is haladni. Az operációs rendszerek és 34
a törvényi szabályozás már arra ösztönzi a cégeket, hogy értékes és ezért fokozottan védendõ vagyonként kezeljék a náluk felgyûlt adatokat, de ez a gondolkodásmód még gyerekcipõben jár. Már az is nagy elõrelépés lenne, ha a vállalat bevételtermelõ képességének szempontjából létfontosságú adatokat és rendszereket megfelelõ védelemmel látnák el. Keleti Arthur: A jogszabályokban sokszor megjelenik a „kockázatokkal arányos védelem” fogalma. Ez nagyon kellemetlenül hangzik azoknak, akik nem mérték fel a kockázataikat, másrészt nem ismerik azokat az üzleti folyamatokat, amelyekkel párhuzamosan a kockázatok jelentkezhetnek. Márpedig még a nagyvállalatok között is van, amelyik nem mérte fel kellõen kockázatait, hogy azután azokkal arányos védelmet valósítson meg. Vagy ha meg is történt a kocká-
IT-SECURITY SPECIAL
zatfelmérés, akkor sem volt teljes körû, és gyakran csak az eszközökre terjedt ki. Így aztán azt tudja a cég, hogy egy szerver kiesése informatikai szempontból milyen kockázatot jelent, de hogy ez az üzleti oldalon miben nyilvánul meg, az már többnyire hiányzik. Nagy Tibor: Én nem általánosítanék. Szerintem vannak nagyon jól felkészült vállalatok, és vannak kevésbé jól felkészültek. A szállítói oldal felelõssége, hogy felhívja a felhasználók figyelmét a veszélyekre. Márton János: Az mindenképpen pozitívum, hogy az informatikai biztonság kérdése bekerült a köztudatba. Azt már sok minden befolyásolja, hogy a cégek milyen irányba indulnak el, mit valósítanak meg. Ezért is fontos a biztonsági kérdéseket például konferenciákon is tudatosítani. Én bízom abban, hogy az idõ múlásával a tudatosság is javul, és egyre többen alkalmazzák megfelelõ módon a megfelelõ technológiákat. Barna Tamás: Azért a tudatosságban még mindenképpen vannak hiányosságok, hiszen ha nem lennének, akkor a biztonsági veszélyek is sokkal kisebbek lennének, és a különféle vírusok sem terjednének úgy a világhálón. De az is fontos, hogy a felvilágosító munkát soha ne hagyjuk abba, mert mindig lesznek olyan új veszélyforrások, amelyek ellen a korábbi védekezés nem feltétlenül lesz hatékony. Györkõ Zoltán: Nem egyszer csak a józan paraszti ész hiányzik a felhasználókból, azt pedig sajnos nagyon nehéz tanítani. Ha valaki egy kicsit is gondolkodik, vagy egy kicsit is gyanakvó, nem fog ismeretlen feladótól érkezõ, szokatlan tartalmú levelet megnyitni és az abban lévõ linkre kattintani, vagy egy akármilyen weboldalon megadni az elektronikus banki mûveletekhez használt jelszavát. Gombás László: Én az otthoni és a kisvállalati felhasználók hozzáállását látom problémásnak. Sokan nem is értik, hogy miért kellene nekik vírusirtót használniuk, mondván, nincsenek olyan értékes adataik, amelyeket sajnálnának. Velük meg kell értetni, hogy a gépüket kihasználhatják a hackerek, például szolgáltatásmegtagadási támadásra, és ezzel már másoknak okoznak gondot. Az is hozzátartozik a tudatossághoz, hogy mindenkinek meg kell értenie: nem csak önma ga miatt kell védenie a gépét.
IT-SECURITY SPECIAL
2005. SZEPTEMBER 20.
AZ INFORMATIKAI BIZTONSÁG NAPJA
Mi kell a biztonsághoz? A károk túlnyomórészt belsõ okokra vezethetõk vissza – vallják egyöntetûen a hazai IT-biztonsági szakértõk. Arról azonban már megoszlanak a vélemények, mit tekinthetünk a legnagyobb biztonsági problémának Magyarországon.
E
lensége annál gyakrabban – mondja Sali Róbert, az Atigris Informatika Rt. vezérigazgató-helyettese. Ám nem csupán az informatikai biztonsági kultúra hiánya vezethet problémákhoz: nagyobb szervezeteknél rendszerint hiányzik a munkaállomásokat és felhasználókat érintõ biztonsági szabályozás és a szabályok betartásának ellenõrzése is. Súlyos következményekkel jár továbbá, ha az informatikai biztonság alapelvei ütköznek az intézmény egyes dolgozóinak „fontosságtudatával”. Ilyen esetekben szinte mindig az informatika húz-
Adott jogokkal visszaélve A bizalommal és a kapott jogosultságokkal történõ visszaélések számos megnyilvánulási formája ismeretes, kezdve a gondatlan adatkezelésbõl származó károktól a haszonszerzés céljából elkövetett szándékos adatmanipulációs vagy adatszivárogtatási tevékenységeken keresztül a politikai, vallási és egyéb világnézeti motiváltságú terrorista cselekményekig – világít rá a bajok zömét okozó belsõ fenyegetettség okaira Kajati László, a Megatrend biztonsági üzletágának igazgatója. Tény, hogy a mai védelmi mechanizmusok túl sokat tekintenek kívülre, és figyelmen kívül hagyják a leggyengébb láncszemet, a humán faktort. Ráadásul a „bizalmi holdudvar” egyre szélesebb és komplexebb: nemcsak a dolgozókat, hanem a vállalat ügyfeleit, beszállítóit, outsourcing-partnereit is magában foglalhatja. Az információs társadalom rövid idõn belül a bizalom és biztonság párviadalára redukálódik. Bizalom nélkül nincs hatékonyság, de biztonság nélkül sincs bizalom. A túlzott biztonsági megoldások viszont sértik a személyi jogokat, emiatt csökkentik a bizalmat – rajzolja fel az ördögi kört Kajati László. A legfontosabb feladat, hogy végre pironkodás nélkül legyünk képesek szembenézni a belsõ fenyegetettséggel. A szervezeti kultúra persze meglehetősen kemény dió. Még kellõ intenzitású tudatosságformálás mellett is csak hosszú évek alatt érhetjük el célunkat. FOTÓ: IT-BUSINESS
lsõsorban a gazdasági, de olykor az informatikai vezetõk is gyakran hiszik úgy, hogy a biztonság megvásárolható egy-két tetszetõs eszköz beszerzésével. Nem helyeznek súlyt a megfelelõ eljárások, szabályzatok meglétére és az azoknak megfelelõ mûködés betartására – sommázza az IT-biztonsággal kapcsolatos hazai tapasztalatokat Keresztesi János, a Freesoft vezérigazgatója. Suba Ferenc, az IHM miniszteri különmegbízottja szerint Magyarországon – a biztató jelek ellenére – még meglehetõsen alacsony az IT-biztonsági tanúsít-
azt törvény elõírja, a company policy elõírja, megtörtént biztonsági esemény volt, meg egy kicsit divatos is. Gondoljunk csak bele – mondja –, ki szereti használni a biztonsági övet, ki örül a fémdetektornak a repülõtereken, ki megy ujjongva a kötelezõ tüdõszûrésre? Megfordítva a kérdést: ki venne olyan autót, amiben nincs biztonsági öv, és ki ülne fel olyan repülõre, ahol nincs biztonsági ellenõrzés? Pontosan így kell hozzáállni a cég vagy intézmény információbiztonságához is.
Edelényi András, Kajati László, Keresztesi János, Papp Péter, Sali Róbert, Suba Ferenc vánnyal rendelkezõ termékek és intézmények száma. Akut problémának tekinthetõ a hálózatbiztonság; több, a támadások elhárítását koordináló központra, egységesebb fellépésre volna szükség. Az állami és a gazdasági oldal összefogásával (például a notórius spammerek letiltásával) lehetne megfékezni a kéretlen levelek áradatát, így biztosítva nagyobb hatékonyságot a jogszabályoknak – vázolja a harmadik problémakör megoldását Suba Ferenc.
Kompromisszumok árán Informatikusok hibája (lustasága stb.) ritkán okoz biztonsági eseményt; a hozzá nem értõ (de öntudatos, autodidakta) felhasználók tudatlansága és felelõt-
za a rövidebbet. Ugyanakkor gyakori tapasztalat, hogy a jelszavak, hozzáférések kezeléséért felelõs informatikai részleg értesül utolsónak arról, ha a cég megvált valamelyik dolgozójától – hoz példákat Sali Róbert. Edelényi András, a HIS Software Magyarország technikai igazgatója a cégek, vezetõk elkötelezettségét hiányolja. Noha sok szó esik az IT-biztonságról, az – mint prioritás, mint szükséges tényezõ – gyakran az utolsó helyen áll a cégek üzletpolitikájában – vallja. A legnagyobb biztonsági probléma az érdektelenség, a nemtörõdömség – ért egyet Papp Péter, a Kancellár.hu ügyvezetõ igazgatója. Szerinte a cégek, intézmények csak azért foglalkoznak az információbiztonsággal, mert:
35
AZ INFORMATIKAI BIZTONSÁG NAPJA
2005. SZEPTEMBER 20.
IT-SECURITY SPECIAL
A nyugodtabb jövõért Idén szeptemberben elõször rendezik meg – hagyományteremtõ szándékkal – az Informatikai Biztonság Napját. Az esemény kezdeményezõje és szervezõje a KFKI-csoporthoz tartozó Icon Számítástechnikai Rt., fõvédnöke az IHM.
A
hazai informatikai piac résztvevõiben már régóta érlelõdött egy olyan rendezvény gondolata, amelynek a keretei között érzékeltetni lehetne a nagyközönséggel, hogy mi is az informatikai biztonság lényege. A konkrét ötlet a 2004-es év végén született; az Icon Számítástechnikai Rt. és a Microsoft Magyarország ekkor határozták el, hogy az idei év során megrendezik az elsõ ilyen jellegû összejövetelt. A kezdeményezéshez az IHM védnöksége alatt a fõbb hazai információtechnológiai cégek mellett társszervezõként a Puskás Tivadar Közalapítvány is csatlakozott.
Nem népszerû téma A rendezvény egyik fõ ösztönzõ tényezõje a mindennapi informatikai biztonsági kockázatok – vírusok, kéretlen levelek, és még lehetne sorolni – mellett a napjainkban kézzelfogható fenyegetettséget je-
lentõ terrorveszély, illetve a terrorizmus és a bûnözés internetes és egyéb informatikai vonatkozásai. Ugyanakkor a vállatoknál komoly problémát jelentenek az olyan fenyegetettségek, mint a kémkedés, az adatlopás, az adathamisítás. Az IT-biztonság hálátlan terület. Abban a pillanatban, amikor foglalkozni kell ve-
http://www.itbn.hu – Az Informatikai Biztonság Napjának honlapja, regisztrációs lehetõséggel
Az IT-biztonság hálátlan terület például a közlekedésben a biztonsági öv kötelezõ használatával, majd késõbb hogyan javultak a balesetek halálozási statisztikái, akkor belátható, hogy az IT-biztonság is megérdemli a figyelmet.
Széles támogatottság
le, minden nehezebbé válik és lelassul – például a vírusvédõ, a kémprogramfigyelõ vagy a személyi tûzfal miatt. A egykapus fizikai beléptetõk mellett a számítógépes azonosítórendszerek is a mindennapok kényszerû velejárói lettek. Az újonnan jelentkezõ bosszúságok miatt senki sem örül annak a kényszerû és kötelezõ biztonságnak, amelynek a kívánalmai ráadásul pénzbe is kerülnek. Ha azonban arra gondolunk, menynyire hasonló volt a helyzet annak idején
Természetesen eddig is rendeztek már hazai összejöveteleket a tárgykörben, de mivel ezek gyakran egy gyártó vagy gyártói csoportosulás konkrét termékei köré csoportosultak, egyrészt az üzleti vonatkozások domináltak, másrészt a figyelem a problémának csak valamilyen speciális területére irányult. Természetesen az ilyen típusú rendezvények léte továbbra is indokolt, de az IT-biztonság témájának bonyolultsága miatt feltétlenül szükség van arra, hogy a szakma résztvevõi
írásbeliség – naplózás és visszakövethetõség – mellett azt is, hogy a naplóállományokkal komolyan foglalkozzanak. Az Icon Professional Services nevû tanácsadói üzletágban koncentráltan ötvözik az informatikai üzemeltetéssel, karbantartással és biztonsággal kapcsolatos szakértõi szolgáltatásokat, hiszen a különbözõ tematikákban látszólag különállóan tárgyalt területek között valójában nincsenek éles határok. Nagyon is szoros az összefüggés, sõt, egy újabb témakör, a tárolás például ismét újabb kölcsönhatásokat hoz az elõtérbe. Ebben a témakörben a biztonságnövelõ lépések célja – amellyel a cégen belül már a tárolásra és mentésre szakosodott csapat foglalkozik – a helyi hálózatokon már bevált biztonsági megoldások kiterjesztése a SAN (Storage Area Network) alapú hálózatokra is (adatok titkosított tárolása, illetve továbbítása például az éles gépterem és a tartalék terem között). Tevékenységi területeik között egyre nagyobb szerepet
kap a mûködési folyamatok és dokumentációs rendszerek felmérése és elemzése, illetve a dokumentumok és szabályzatok karbantartása. Egy tipikus katasztrófa-elhárítási tervben például pontos elõírások vonatkoznak különféle eszközökre, személyekre és felelõsségekre, de sok esetben problémás a gyakori változások átvezetése. Az Icon ezen a területen nemcsak konzultációs, hanem konkrét megvalósítási lehetõségeket is kínál. Más területek mellett az Icon a PKI-s projektekben is otthonosan mozog – õk készítették például az elsõ államigazgatásban alkalmazott és jelenleg is üzemelõ PKI-támogatással mûködõ rendszert, a magyarigazolványt. Az elektronikus azonosítás egyébként ma már nem is annyira a technikai vonatkozásai miatt érdekes, hanem azért, mert egyre többen ismerik fel a szükségességét.
BESZÉDES ESZKÖZÖK Az Icon tizennyolc éve van jelen a hazai IT-piacon. Szakemberei több mint tíz éve, 1994-ben telepítették az elsõ tûzfalat, majd 1999-ben létrejött az IT-biztonsági üzletág. A cég felismerte a növekvõ kockázati tényezõk miatt folyamatosan változó biztonsági és azokkal összefüggõ piaci igényeket. Rendszerintegrátorként komoly tapasztalattal rendelkeznek a különbözõ gyártóktól származó termékek összehangolt mûködésének a biztosításában. Napjainkban ez számukra különösen két területen fontos, az egyik a jogosultságok valós körülmények között is hatékony kezelése, a másik a naplóelemzés. A különbözõ fejlesztõktõl származó IT-biztonsági eszközök nagyon „beszédesek”. A mûködésük során generált feljegyzéseket nemcsak rendszeresen elemezni kell, de meg kell keresni az eltérõ megoldások naplói közötti összefüggéseket is. Emberi erõforrásból ez egyrészt ma már gyakorlatilag megvalósíthatatlan, ugyanakkor a belsõ és külsõ (például kormányzati) auditorok megkövetelik az
36
http://www.icon.hu
IT-SECURITY SPECIAL
AZ INFORMATIKAI BIZTONSÁG NAPJA
2005. SZEPTEMBER 20.
A KORMÁNYOK, A FEJLESZTŐK ÉS A KÖZSZFÉRA KÖZÖS FELELŐSSÉGE A Microsoft biztonsági törekvései nemcsak termékeiben (csak néhány példa: az operációs rendszerek biztonsági támogatása, ISA-szerver, AntiSpyware) mutatkoznak meg. A vállalat csak 2004-ben több mint hatszázezer fõt – közülük száznyolcvanezret a mi térségünkben – részesített információbiztonsági képzésben. A több egyetem nappali tagozatán is támogatott „Secure Computing” kurzusok mellett a Microsoft szorosan együttmûködik a számítástechnikai biztonság és személyiségi jog területén a különbözõ országok kormányaival és az EU-s hatóságokkal. A kéretlen levelek és az adathalászat tárgykörében a technológiai védekezési módszerek fejlesztése mellett a cég szorgalmazza a törvénykezés és a végrehajtó szervek, illetve a piaci szereplõk erõinek egyesítését, valamint a felhasználók és üzleti partnerek hatékonyabb felvilágosítását és képzését.
A mintegy három éve elindított és a Microsoft-termékekben is megvalósított „Thrustworthy Computing” (TWC) iniciatíva nemcsak a biztonságra koncentrál, hanem a személyiségi jogokra, a megbízhatóságra és ezeknek az üzleti életben betöltött szerepére is. A kezdeményezésnek köszönhetõen drasztikusan csökkent a cég termékeiben a biztonsági hibák (és a miattuk szükséges frissítések) száma, a javítócsomagokban jelentõs biztonsági újítások léptek életbe, és olyan megoldások kerültek ki a fejlesztõk kezei alól, mint például a Microsoft AntiSpyware vagy a kéretlen levelek ellen kifejlesztett SmartScreen technológia. Az online szolgáltatások biztonsági és személyiségi jogi vonatkozásaiban tett elõrelépést jól szemlélteti a 2004 novemberében közzétett, WP 100 jelû dokumentum. Az ajánlás a „többrétegû információközlésrõl” szól, lényege, hogy az IT-szolgáltatások felhasználói pontosan a szük-
séges mértékben tudakozódhassanak a szolgáltatások releváns vonatkozásairól – például az EU-s elõírásokkal is összhangban. Az online kockázati tényezõk (spyware-ek, férgek, vírusok), illetve a cyberterrorizmus és a számítógépes bûnözés fenyegetései miatt a hálózati biztonság önmagában kevés. A vállalat az elsõk között ismerte fel, hogy a hatékony védekezés a kormányok, a fejlesztõk és a közszféra közös felelõssége. Az elsõ, a cég által is támogatott Nemzeti Informatikai Biztonsági Napot 2004-ben Finnországban tartották az ottani kormány, internetszolgáltatók és szoftverfejlesztõk támogatásával. A rendezvényt azóta számos országban megrendezték.
egymással és a nagyközönséggel is szélesebb körben beszélgessenek el arról, hogy ki és milyen megoldásokat kínál a szférában. Az Icon Rt. ilyen megfontolásokból kiindulva kérte fel az IHM-et az Informatikai Biztonság Napja védnöki feladatkörének a betöltésére. Amikor a hazai vállatok közül elsõként a Microsoft hazai képviseletét felkeresték, kiderült, hogy nyitott kapukat döngetnek, mert a Microsoft Magyarország is már készül egy hasonló fórum rendezésére. Természetesen az ötletet más cégek is felkarolták; ezt ékesen bizonyítja a kezdeményezéshez csatlakozott illusztris támogatók – többek között az Atigris, a Balabit, a His, a HP, a McAfee, a Megatrend, a Symantec, a Trend Micro, a Virusbuster – listája. Nyilván belátható, hogy az esemény nem lehet teljesen független a piactól, éppen ezért fontos, hogy résztvevõi között minél több olyan szereplõ legyen, amely érdekelt az IT-biztonsági üzletben. Ennek apropóján jegyezzük meg, hogy a rendezõk még e sorok megjelenése után, egészen a rendezvényig, örömmel veszik további vállalatok csatlakozását.
sok. Az egyes részterületeket lehetõség szerint több elõadó több szempontból is górcsõ alá veszi majd; a szakma szereplõi mellett a különbözõ kormányzati szervek – PSZÁF, IHM, ORFK/internetrendõrség – képviselõi is szót kapnak az elõadásokon. Emeli a rendezvény színvonalát, hogy a hazai elõadók mellett neves külföldi szakértõk beszélnek majd a biztonsági stratégiákról, trendekrõl, a piaci viszo-
A szakmai vonatkozások mellett az adásban könnyedebb hangvételû programok – például vetélkedõk – is lesznek. A biztonság tudatosságának növelése miatt a jövõben valószínûleg még az ideinél is szélesebb hallgatóság igényeihez igazítják majd a mûsorokat. A rendezõk egyébként is érdekeltek a tudatosság fokozásában, és ezt tükrözi a tematika is. A plenáris ülés utáni délelõtti program elsõsorban a felhasználókra – megvédésükre, jogosultságaikra és felügyeletükre – koncentrál, míg a délutáni a vállalatokra és a vállalati vagyonra.
Senki sem sajátítja ki A szervezõk hangsúlyozzák, hogy senki sem akarja a saját szócsövének tekinteni a konferenciát. A programot is úgy igyekeztek összeállítani, hogy minél színesebbek és érdekesebbek legyenek az elõadá-
http://www.microsoft.hu
Nagylelkû gesztus
Hagyományteremtő szándék nyokról és konkrét problémákról. Mivel a várható érdeklõdés miatt valószínûleg szûk lesz a hely, és sokan egyéb okokból nem tudnak majd eljutni a konferenciára, ezért élõ rádiómûsor is kapcsolódik az eseményhez.
A rendezõk eredetileg regisztrációs díjat akartak kérni az érdeklõdõktõl, hiszen az elõadások – a garantált színvonaluk mellett – profitábilis tudásanyagot hordoznak, ezért értéket képviselnek. Emellett minden résztvevõ kap majd egy ajándékcsomagot, amelyrõl annyit már most el lehet árulni, hogy nemcsak újszerû és érdekes lesz, hanem nagyon értékes is. A támogatók más szempontokat is figyelembe véve végül úgy döntöttek, hogy mivel ez lesz az elsõ ilyen jellegû rendezvény, ezért ingyenessé teszik a belépést, de a részvételt természetesen to vábbra is regisztrációhoz kötik. 37
2005. szeptember 26. Palace MOM Park Mozi Plenáris - nyitóelõadások Megnyitó: Keleti Arthur • ICON Rt. • üzletág igazgató, IT biztonsági üzletág Köszöntõ: Kovács Kálmán, informatikai és hírközlési miniszter Újszerû fenyegetettségek, újszerû megoldások: Sasa Radosevic • Microsoft • EMEA Security Technical Architect Trendek az IT biztonság és a kockázatok kezelésének területén: Wolf-Dieter Jahn • McAfee • vezetõ rendszermérnök, McAfee GmbH, Közép-Európa, A hiányzó láncszem - a felhasználók biztonság-tudatossága: Konkoly-Thege Szabolcs • Symantec • területi igazgató Biztonságban a felhasználók Szekció II.
Szekció I. Digitális páncélszekrény: Calum M. MacLeod • Cyber-Ark • Senior IT Consultant New Virus Threats Require New Anti-Virus Strategies: Anton Porok • Trendmicro Területi Account Manager - Közép-Európa Ember, elektronikus folyamat és biztonság: Molnár Norbert • Freesoft informatikai vezetõ, online üzletág
Az öreg (adat)halász és a tenger, avagy hogy mûködik a phising: Papp Péter • Kancellár.hu ügyvezetõ igazgató A korlátlan lehetõségek biztonsági csapdái: Sali Róbert • Atigris • vezérigazgatóhelyettes Az informatikai biztonság a rendõrség szemszögébõl: Peszleg Tibor • Nemzeti Nyomzó Iroda r.õrnagy
A HP jogosultság-kezelés alapjai: Jan De Clercq • Hewlett-Packard HP Security Office - mûszaki fõosztályvezetõ
CITRIX Secure by Design - Technikai megoldások és a legkiválóbb gyakorlati módszerek a biztonsági koncepciók megvalósításához a Citrix Access Suite segítségével : Márton János • Computerlinks • ügyvezetõ igazgató Biztonságban a vállalat Szekció II.
Szekció I.
A láthatatlan láthatóvá tétele - titkosított csatornák ellenõrzése: Höltzl Péter • Balabit • IT biztonságtechnikai tanácsadó
Fõbb felügyeleti IT vizsgálati tapasztalatok és elvárások a pénzügyi szervezeteknél: Kirner Attila PSZÁF fõosztályvezetõ - Informatika Felügyeleti Fõosztály
Perimeter Network Security: Harmath Zoltán • Microsoft • vezetõ konzulens
Tanúsított biztonság: Valádi Zoltán • Giro Bankkártya Rt. IT Biztonsági és Minõségirányítási vezetõ
Zero Hour Virus Outbreak Protection - védelem a károkozók ellen a támadás elsõ perceiben: Gyurik Csaba • Virusbuster • szolgáltatási osztályvezetõ
IT biztonsági folyamatok automatizálása: Thomas Hemmerle • Opalis Minden, amit tudni szerettél volna a belsõ fenyegetettségrõl: Kajati László Megatrend • biztonsági üzletág igazgató
Mi van a pajzs alatt? - Elõadás a naplóelemzésrõl, a távfelügyeletrõl és a hálózat szegmentációjáról: Keleti Arthur • ICON • IT biztonság - üzletág igazgató A korszerû információ-kezelés biztonsági megoldásai: Kovács László • EMC2 kereskedelmi vezetõ
Délutáni program eseményei (nyeremények, díjkiosztó) A konferencia részvételi díját az elsõ ITBN alkalmából a rendezvény támogatói finanszírozzák! Részvételi szándékát, kérjük, jelezze minél elõbb weboldalunkon, ahol bõvebb összefoglalót is talál a konferenciáról és az elõadásokról! A résztvevõket gyártói kiállítások és különleges meglepetést tartalmazó ajándékcsomag is várja. A Microsoft és a HVG felajánlásából minden résztvevõ ajándékként megkapja az Internet sötét oldala címû nagysikerû újdonságkönyvet! Webcím: www.itbn.hu Várjuk érdeklõdését az
[email protected] e-mail címen, valamint a /30/ 474-8975 info-vonalon
Fõvédnök: Informatikai és Hírközlési Minisztérium Az esemény kiemelt támogatói:
Puskás Tivadar Közalapítvány
További támogatók:
Médiatámogatók:
IT-SECURITY
MENEDZSMENT
2005. SZEPTEMBER 20.
ESEMÉNYNAPTÁR
Idõpont
Megnevezés
Helyszín
Web
Részvételi díj
Leírás
Szeptember MMM-ACNS 24–28.
Szentpétervár
http://space.iias.spb.su/ mmm-acns05/news.jsp
14 500 rubel
Az orosz tudományos akadémia és a New York-i Binghamton egyetem éves workshopja.
Szeptember ISSE 2005 27–29.
BME
www.eema.org/isse/
Tagoknak 600, nem tagoknak 800 euró
A rendezvény középpontjában az üzleti folyamatok és az elektronikus tranzakciók biztonsága áll.
Szeptember IT Security World 2005 28–30.
San Francisco
www.misti.com/virtprogITS05/ program.asp
1495 dollár
A konferencia és kiállítás az e-biztonság és a hálózati követelmények területének újdonságait tekinti át.
Október 6.
Integrált információbiztonság, az információvédelem jövõje
Thermál Hotel Margitsziget
www.kurt.hu/konferencia2005
25 000 forint + áfa
A szakmai napon szó lesz a hazai IT-biztonsági piac trendjeirõl, az új megoldásokról.
Október 26–29.
Security & Safety 2005
SYMA Rendezvénycsarnok
www.securityinfo.hu/
Ingyenes
A 16. nemzetközi biztonságtechnikai, vagyonvédelmi, bank- és adatbiztonsági szakkiállítás és vásár.
Szerkesztõségi ajánlat: A Mathematical Methods, Models and Architectures for Computer Networks Security (MMC-ACNS) workshopja a hálózatok biztonságának matematikai módszereivel, a biztonsági modellekkel és architektúrákkal foglalkozik.
39
MENEDZSMENT
2005. SZEPTEMBER 20.
IT-SECURITY
OKTATÁS, TANFOLYAMOK (BUDAPESTEN) A tanfolyam címe
Leírás
Időpont
Implementing Microsoft Internet Security and Acceleration (ISA) Server 2004
A tanfolyamon a hallgatók megismerik a termék telepítését, működését, a gyorsítótár- és tűzfalfunkciók beállításait, a munkaállomások és a kiszolgáló kapcsolatát, a klienskompoSzeptemnenseket és azok telepítését, a speciális testreszabási lehetőségeket, a biztonságos internetber 28. hozzáférés megvalósítását, az alkalmazásszintű biztonsági megoldásokat, a hálózati kiszolgálók biztonságos közzétételét, az események kezelését, a riasztások beállítását.
3 nap
Microsoft Windows Server 2003 összevont hálózati ismeretek tanfolyam
A tanfolyam célja, hogy bemutassa a Windows Server 2003 hálózati szolgáltatásait és ezek konfigurálását olyan rendszergazdáknak, akik nem rendelkeznek mélyreható Windows Október 3. NT/2000-es rendszergazdai ismeretekkel.
Bevezetés a McAfee vírusvédelmi rendszerek hatékony üzemeltetésébe
A tanfolyamon ismertetik napjaink (és a közeljövő) vírusait, a VirusScan Enterprise 8.0i jellemzőit (On-Access Scan, On-Demand Scan, Email Scan, Buffer Overflow protection, AcOktóber 5. cess protection, Unwanted Programs), majd végigveszik, hogyan kezeljünk egy vállalati védelmi rendszert központilag – a gyakorlatban bemutatják a McAfee ePolicy Orchestratort.
„Ez a tanfolyam az RSA-algoritmustól indít, mert mindaddig örök kavarodásban vagyunk a Designing kulcsok szerepének, sőt a kulcsok keletkezésének körülményeit illetően, amíg mindenki saand Managing ját maga, »puszta kézzel« nem generál RSA-kulcsot. S ha mi magunk, papír és ceruza sea Windows Public Key gítségével képesek vagyunk erre, nyilvánvaló, hogy a vékonyka smartcardok is képesek: a Infrastructure kulcsok az esetek 99 százalékában a kártyán születnek – kivéve akkor, amikor nem.”
Október 17.
Minõsítések: CBCP
A CBCP (Certified Business Continuity Professional) olyan nemzetközi tanúsítvány, amelyhez nem elég csak a megfelelõ vizsgaszintet teljesíteni, hanem komoly szakmai tapasztalatot is bizonyítani kell az üzletmenet-folytonosság területén.
A
CBCP a Disaster Recovery Institute International (DRII) által kibocsátott minõsítés; valójában egy négyszintû minõsítési rendszer fõ tanúsítványa. Megszerzése igen komoly szakmai kihívás, hiszen egyrészt alapfeltétel az üzletmenet-folytonosság teljes tervezési és mûködtetési életciklusát lefedõ, 10 szakmai területet átfogó angol nyelvû írásbeli vizsgán elért legalább 80 százalékos eredmény, másrészt legalább 5 területen kell hivatalos referenciákkal 2 éves – projektekbõl vagy folyamatos, az üzletmenet-folytonosság területén betöltött szakmai szerepkörökbõl adódó – tapasztalatot bizonyítani.
40
A szakmai minõsítést tovább nehezíti, értékét viszont növeli, hogy a DRII – a brit BCI (Business Continuity Institute) szervezettel közös módszertanában – az üzletmenet-folytonosságot teljeskörûen értelmezi, azaz nem korlátozza az informatikára. Ugyanakkor, szintén fontos szakmai szempont, hogy a módszertan a katasztrófaesemények kezelésére összpontosít, így a normál üzemi körülmények között értelmezhetõ, a megfelelõ rendelkezésre állást biztosító megoldásokat kapcsolódó területként, a vizsgált kockázatokat csökkentõ tényezõkként kezeli. A négyszintû minõsítési rendszer be-
Időtartam Részvételi díj
Webcím
Helyszín
140 000 forint
www.wsh.hu
Budapest, Teve utca 1.
5 nap
195 000 forint
www.iqjb.hu
Budapest, Csata u. 8.
1 nap
21 000 forint + áfa
www.piksys.hu
Budapest, Boráros tér 7/II/7.
1 nap
195 000 forint
www.netacademia. Budapest, net/training/course. Andrássy út 62. aspx?id=2821
lépõ szintjét jelenti az ABCP (Associate Business Continuity Professional), amelyhez a megfelelõ vizsgaszintet kell teljesíteni, a tapasztalatokra vonatkozó követelményeket nem. Azok, akik a megfelelõ tapasztalatokkal rendelkeznek, de csak egy-két részterületre specializálódtak, a CFCP (Certified Functional Continuity Professional) tanúsítványt szerezhetik meg, míg az MBCP (Master Business Continuity Professional) már kivételes eredmények bizonyítását igényli egyrészt a kétfordulós szakmai vizsgán, másrészt a szakmai területek nagy részén legalább 5 éves tapasztalat igazolásával. Ahogy a különbözõ nemzetközi informatikai biztonsági és irányítási szabványok, módszertanok, valamint az üzleti és iparági szabályozási és ellenõrzési követelmények (BS 7799/ISO 17799/27001, CobiT, Sarbanes-Oxley, Bázel II, stb.) egyre inkább elõtérbe helyezik az üzletmenet-folytonosságot, úgy értékelõdnek fel a területen szerzett specifikus szakmai minõsítések is világszerte. Hidvégi Zoltán CISA, CISSP, CISM, ABCP
IT-SECURITY
MENEDZSMENT
2005. SZEPTEMBER 20.
Bonyolultat, egyszerûen Egy rendszer legfontosabb erénye az egyszerûség, a biztonságra leselkedõ legnagyobb veszély pedig a kivétel.
A
kriptográfia a legbonyolultabb maigényre ad tehát választ a szerzõpáros – tematikai tudományágak egyike. A Bruce Schneier és Niels Ferguson – könyve, a Practical Cryptography, amely véma használt algoritmusokat alig néhány száz ember fogja fel ésszel a Földön, gigvezeti az olvasót a kriptográfia elméleti alapjain és a gyakorlatban felmerülõ és alig tucatnyian vannak közöttük, akik problémák megoldásain. esélyesek arra, hogy valami újat hozzanak erre a területre. Rendkívül bonyolult Azoknak a szakembereknek, akik már dologról van tehát szó. Döbbenetes mórégóta foglalkoznak biztonságtechnikádon a világ mégis arra kényszerít minval, talán furcsán hat olyan alapvetõ foket, hogy ezt a tudományt lyamatok leírását olvasni olyan természetességgel Schneier tollából, mint KÖNYV-JELZÕ használjuk a mindennapi például az e-mailek titkosítása; ám õk sem tagadéletben, mint például az Szerzõ: Niels Ferguson, hatják a Practical Cryptoelektromosságot. Bruce Schneier graphy aktualitását. Vagy mindez nem is Cím: Practical Cryptography Napjainkban ugyanis a olyan megdöbbentõ? VéÁra: 50 dollár biztonság – azon belül is gül is hány ember érti igazán, mi folyik egy atomaz adatbiztonság – a legerõmûben, ahonnan az elektromos áram gyakrabban tárgyalt probléma az üzleti érkezik? Akadályoz minket a szabályoéletben. Egy nemzetközi kapcsolatokzott maghasadás problémájának mérete kal rendelkezõ vállalat biztonságtechnikai kompetenciák nélkül nem mûködhet a tévénézésben? Többnyire nem. Csupán gazdaságosan, nem élheti túl a versenyt. idõ kérdése, hogy megbarátkozzunk ezzel a soron következõ technikai eszközEbbõl kifolyólag egyre több ember munzel, ami megkönnyíti az életünket. kájához szükséges titkosítási eszközök felhasználói szintû ismerete. Éppen ezért alig hihetõ, hogy ez az elsõ és talán máig Lépésrõl lépésre egyetlen szakkönyv, ami azzal foglalkoAmikor valaki elõször találkozik szemézik, hogyan alkalmazzunk kriptográfiai lyi számítógéppel, vagy elõször használ algoritmusokat élõ üzleti környezetben. egy szoftvert, gyakran nyúl olyan kéziSchneier – tõle szokatlan módon – Ferkönyvért, amelyik lépésrõl lépésre avatja guson segítségével olyan mélységekig be az eszköz használatába. Természetes hatol a gyakorlati tanácsokba, mint
egyes konfigurációs paraméterek konkrét számértékének megválasztása vagy a változóátadás problémájának kezelése. Az az író, akit eddig fõleg tudományos munkáinak köszönhetõen becsültünk, bebizonyítja, hogy gyakorlati szakemberként is megállja a helyét, és tapasztalatait most olvasóival is megosztja.
Tervezéshez is A Practical Cryptography nem lenne teljes mû, ha nem adna segítséget a rendszertervezéshez is. Szerencsére a szerzõpáros nem követte el ezt a mulasztást, így a kötet számtalan tanáccsal és példával siet a szakember segítségére. Aki Schneiertõl tanul rendszert tervezni, az egy dolgot biztosan nagyon meg fog tanulni: egy rendszer legfontosabb erénye az egyszerûség, a biztonságra leselkedõ legnagyobb veszély pedig a kivétel. Sós Éva
41
MENEDZSMENT
2005. SZEPTEMBER 20.
Mit olvas a szakértő? Nyomtatott információk alapján is tájékozódni.
B
FOTÓ: IT-SECURITY
ár közmondásos, akkor sem illendõ, hogy a szabónak lyukas legyen a nadrágja, a cipésznek a cipõje – vagy az egyik legnagyobb IT-biztonsági világcég hazai vezetõjének hiányosak legyenek a biztonsági Tóth Árpád ismeretei. Az „önismeret a minden további ismeret megszerzésének alapja” elv jegyében Tóth Árpád, a McAfee Magyarországért és a Balkánért felelõs igazgatója minden munkanapon az anyacég honlapján kezdi a tájékozódást. A Security Headquarteren a hírek mellett automata víruselemzõk és ingyenes vírusirtó esz-
TechWeb biztonsági szekcióját, ahol mind a trendekrõl, mind a mûszaki megoldásokról lehet olvasni. Kihagyhatatlannak tartja a Microsoft tematikus oldalait is: amióta a Microsoft meghirdette a biztonságos számítógépezés stratégiáját, azóta ez a szekció is kiemelt figyelmet kap az eszköztárban, így érdemes itt is nyomon követni az információkat. A szigorúan vett hírforrások között a kedvence a Security News, itt a legfrissebb nemzetközi hírek és riasztások találhatók meg, több témában is (phishing, spam, hackertámadások, vírusok). És bár az internetes hírek gyorsaságával semmi nem vetekedhet, nyomtatott könyvekbõl is tájékozódik Tóth Árpád. A Foundstone (a McAfee sérülékenységmenedzsmenttel foglalkozó divíziója) kiadó
Jellemzõ
Security Headquarter
www.mcafeesecurity.com/uk/security/home.asp
Sérülékenységek, eszközök, elemzõk
VirusInfo
us.mcafee.com/virusinfo
Régiókra lebontott információk
www.techweb.com/tech/security/
Trendek, mûszaki megoldások
Microsoft Security
www.microsoft.com/security/default.mspx
Microsoft-specifikus információk
Biztonságportál
www.biztonsagportal.hu
Magyar vonatkozású hírek
www.securitynewsportal.com/index.shtml
Riasztások több témában
Hacking Exposed
Trükkök, titkok részletesen
Saját honlapok
Általános biztonsági oldalak
Egyéb hírforrások Security News Könyvek Foundstone
közök is elérhetõk – csupa olyasmi, amire egy biztonsági szakembernek szüksége van. Az általános biztonsági oldalak között Tóth Árpád kedveli az amúgy az informatika minden részletével foglalkozó
„Hacking Exposed: Network Security Secrets & Solutions” sorozata a témák széles választékát felöleli, mind a platformokat, mind a fenyegetettségeket tekintve. Schopp Attila
42
Felelős szerkesztõ Kelemen László –
[email protected] Vezető szerkesztõ Varga János –
[email protected] Szerkesztőbizottság Bártfai Attila –
[email protected] Konkoly Thege Szabolcs –
[email protected] Papp István –
[email protected] Papp Péter –
[email protected] Munkatársak Kelenhegyi Péter –
[email protected] Mallász Judit –
[email protected] Mészáros Csaba –
[email protected] Mikolás Zoltán –
[email protected] Schopp Attila –
[email protected] Sós Éva –
[email protected] Tervezõszerkesztõk Bujdosó Anikó –
[email protected], Papp Gyula –
[email protected] Korrektor Viosz Károly –
[email protected] Fotó Jekler Gábor –
[email protected] Lapterv Kocsis Gábor –
[email protected] Grafika Szántói Krisztián –
[email protected] Szerkesztõség és kiadó címe: Vogel Burda Communications Kft. 1088 Budapest, Rákóczi út 1–3. Tel.: 888-3400, fax: 888-3499 KIADÓ Kiadja a Vogel Burda Communications Kft.
Az IT-SECURITY-ben közölt cikkek fordítása, utánnyomása, sokszorosítása és adatrendszerekben való tárolása kizárólag a kiadó engedélyével történhet. A megjelent cikkeket szabadalmi vagy más védettségre való tekintet nélkül használjuk fel. HIRDETÉSFELVÉTEL Harsányi Erika –
[email protected], tel.: 888-3452 Németh Krisztina –
[email protected], tel.: 888-3468 Rátóti Sarolta –
[email protected], tel.: 888-3453 Fax: 888-3459 Hirdetési koordinátor: Szőke Erika
[email protected] Tel.: 888-3411, fax: 888-3459 Nemzetközi hirdetésfelvétel: Eric N. Wicha –
[email protected] Vogel Burda Holding Poccistrasse 11, D–80336 München Tel.: +49 89 74642-326, fax: +49 89 74642-325 A hirdetések körültekintõ gondozását kötelességünknek érezzük, de tartalmukért felelõsséget nem vállalunk. TERJESZTÉS Terjesztett példányszám: 8000–10 000 Terjesztési osztály: 1426 Budapest, Pf. 300/39 Erdei Szilvia Tel.: 888-3424, fax: 888-3499, e-mail:
[email protected]; www.it-business.hu Ügyfélszolgálat és bolt: Budapest VI., Teréz körút 47. (Nyugati pu.-nál) Hétfõ–péntek: 9–20 óráig, szombat-vasárnap: 9–15 óráig Nyomdai elõkészítés: Profil Kft. Nyomda: Origo Print Kft. 2040 Budaörs, Gyár u. 2. Felelős vezető: Bánáti László ügyvezető igazgató
HIRDETÕINK 41 Balabit 43 CHIP
Fõszerkesztõ Sziebig Andrea –
[email protected]
Lapigazgató: Walitschek Csilla
[email protected] Tel.: 888-3450
URL
TechWeb
SZERKESZTÕSÉG
A kiadásért felel Carsten Gerlach ügyvezetõ igazgató
[email protected] Tel.: 888-3470, fax: 888-3499
A LEGJOBB FORRÁSOK Hírforrás
AZ INFORMATIKAI BIZTONSÁG LAPJA
44 GTS Datanet 38 ICON
39 ISSE 2, 4, 27 IT-BUSINESS
7 Kancellár 30 Microsoft
29 Symantec 6 Szinva Net
