Információbiztonság. Tóth Balázs, CISSP Információbiztonsági tanácsadó

Információbiztonság Tóth Balázs, CISSP Információbiztonsági tanácsadó

Mirıl lesz szó





Az információbiztonság alapjai Biztonságtudatosság

Az információbiztonság alapjai

Az információbiztonság alapjai



A hiánya tőnik fel elsısorban Példaként az Index ma délutáni címlapja:

Mit védünk?





Az alapvetı kérdés az, hogy mit kell védenünk:
A hálózatot?
A számítógépet?
Az embereket?
Az adatokat? A védelem tárgya mindig az INFORMÁCIÓ!

Az információ biztonsági tulajdonságai











Az információnak alapvetıen három biztonsági attribútumával foglalkozunk Ezek együttesen alkotják az információ védelmi állapotát A három tulajdonság a következı:
Bizalmasság – Confidentiality
Sértetlenség – Integrity
Rendelkezésre állás – Availability Ezt szoktuk CIA követelménynek nevezni

Bizalmasság







Bizalmasság: az adott információt csak az ismerheti meg, akinek erre felhatalmazása van Legkézenfekvıbb megvalósítása a titkosítás Példa: matekdolgozat; rossz jegy Példák a bizalmasság sérülésére:
1989: az érettségi tételek kiszivárogtak (oka: helytelen adatkezelés)

Bizalmasság


Példák a bizalmasság sérülésére:
2010 március 25: az iWiW-en más felhasználók üzeneteit is el lehetett olvasni (oka: programhiba)

Bizalmasság


Példák a bizalmasság sérülésére:
2007 június 5: bizalmas képek kikerülése (ok: felelıtlen adatkezelés)

Bizalmasság


Példák a bizalmasság sérülésére:
2009 február 8: az ügyfélkapun keresztül mások adatait is lehetett látni (ok: hibás verzióváltás)

Sértetlenség






Az információ úgy értékes, ha az eredeti formájában adódik át Példa: szódolgozat; banki egyenleg Tipikus alkalmazása pl. a CRC kódolás vagy a lenyomatképzés, illetve archiválás és mentés

Sértetlenség


Példák a sértetlenség sérülésre:
2010 március 18: egy kereskedelmi cég honlapjára kártékony kód került (ok: illetéktelen behatolás FTP-n keresztül)

Sértetlenség


Példák a sértetlenség sérülésre:
2010 február 5: az érettségi nyilvántartó rendszerbıl eltőntek adatok (programhiba)

Rendelkezésre állás






Az információ úgy ér valamit, ha bizonyos peremfeltételek mellett igénybe lehet venni Példa: érettségi feladatsor; banki adatok Tipikus alkalmazása pl. a szünetmentes tápok vagy a RAID használat

Rendelkezésre állás


Példák a rendelkezésre állás sérülésre:
Folyamatosan: túlterheléses (DDoS) támadások cégek ellen, hivatalok ellen, országok ellen (!)

Rendelkezésre állás


Példák a rendelkezésre állás sérülésre:
2008 február 25: leáll a banki elszámoló rendszer (ok: kábellopás)

Rendelkezésre állás


Példák a rendelkezésre állás sérülésre:
2010 április 9: az Internet 10 %-a rövid idıre leáll (ok: emberi hiba)

Mi az információbiztonság?





Az információbiztonság az a folyamat, melynek során az információkat megvédjük a nem engedélyezett hozzáféréstıl, használattól, kiszivárgástól, megsemmisítéstıl, módosítástól és megzavarástól. Nem szabad összekeverni az informatikai biztonsággal, az adatbiztonsággal, a biztonságtechnikával. Ezek mind részhalmazai az információbiztonságnak.

Az információbiztonság fı területei










Kockázatmenedzsment Hozzáférés-ellenırzés Alkalmazásfejlesztés biztonsága Üzemeltetés biztonsága Kriptográfia Fizikai biztonság Hálózatbiztonság Üzletmenet-folytonosság Törvényességi és etikai kérdések

Kockázatmenedzsment




Fontos dolgokat jobban kell védeni, mint a kevésbé fontosakat Ágyúval nem lövünk verébre: a védekezésre nem költünk többet, mint amekkora kár keletkezne A folyamat: 1. Információvagyon felmérése, értékelése 2. Fenyegetések számba vétele, kockázatok meghatározása 3. Kockázatok kezelése 4. Védelmi intézkedések nyomon követése 5. Ugrás 1-re

Hozzáférés-ellenırzés








A felhasználók mit tehetnek a rendszerben:
milyen erıforrásokhoz férhetnek hozzá
milyen mőveleteket hajthatnak végre Azok a védelmi intézkedések tartoznak ide, melyek szabályozzák, hogy egy felhasználó
milyen felhatalmazással férhet a rendszerhez
milyen alkalmazásokat futtathat
mit olvashat, hozhat létre, adhat hozzá és törölhet egy információból Részei: azonosítás, hitelesítés, felhatalmazás, elszámoltathatóság

Alkalmazásfejlesztés biztonsága






Cél: a kész alkalmazás biztonságos legyen Fıbb fenyegetések:
Buffer overflow
SQL injection
Cross Site Scripting Fıbb védekezések
Fejlesztési módszertanok használata
Adott programnyelv lehetıségeinek kihasználása
Input validálás

Üzemeltetés biztonsága



A biztonságot fenn kell tartani Témakörök
Hardver és szoftver hardening
Üzemeltetési eljárások
Logkezelés
Adathordozók kezelése
Biztonsági mentések
Biztonságos megsemmisítés
Személyzet és falhasználók – az ember a leggyengébb láncszem
Konfigurációkezelés

Kriptográfia



Matematikai algoritmusok elsısorban a bizalmasság és a sértetlenség megırzésére Története
Már az ókori rómaiak is… (Caesar-titkosítás)
Második világháború: jelentıs szerep (pl. Enigma)
Szimmetrikus: DES, AES
Kulcscsere problémája
Aszimmetrikus: RSA
Gyakorlatban: kulcscsere nyílt kulcsú eljárással, további kommunikáció szimmetrikus módszerrel (pl. SSL)

Kriptográfia







Kriptoanalízis: hogyan tudjuk a kriptográfiát a kulcs ismerete nélkül megfejteni Az algoritmus lehet nyilvános, csak a kulcs nem Módszerek:
Minden lehetséges eset kipróbálása (brute force)
Statisztikai alapon (betőcserés algoritmusnál)
Man-in-the-middle támadás
Szótár alapú jelszófeltörés, szivárványtáblák
Social Engineering (megtévesztés, befolyásolás) A kulcskezelés kritikus – emberi tényezı szerepe

Fizikai biztonság


Ami a hatókörömön belül van (látom, megközelítem, elérem)
meg tudom változtatni:








el tudom tulajdonítani:












hamisítani - hitelesség elpusztítani – rendelkezésre állás lemásolni – bizalmasság

A biztonsági incidensek nagyobb része még mindig birtokon belülrıl indul! Terület védelme (különösen: kiemelt biztonságú területek) Környezet biztosítása (áram, hımérséklet, szellızés, tőzvédelem) A hordozható eszközök komoly fenyegetést jelentenek

Hálózatbiztonság












Védeni kell a hálózati eszközöket és az átmenı információt A protokollok régiek, nem a biztonságra fókuszálnak Nagyon sok támadás használja ki a hálózati sérülékenységeket (hamisítások, túlterhelések stb.) A hálózatot meg kell tervezni, zónákra osztani Tőzfalak, szabályok karbantartása Távoli hozzáférés, VPN WiFi – általában a gyári beállítás nem biztonságos

Üzletmenet-folytonosság






Elsısorban a rendelkezésre állás biztosítása a célja „Houston, baj van” -> Katasztrófahelyzet A kritikus helyzetre elıre kell készülni, amikor még van idı és erıforrás A felelısségeket és a feladatokat meg kell határozni A terveket tesztelni és frissíteni kell

Biztonságtudatosság

Biztonságtudatosság








Átlagos felhasználót érı fıbb fenyegetések
Azonosságlopás (banki azonosító, iWiW, online játékkarakter stb.)
Levélszemét
Vírusok és férgek
Kémprogramok, reklámprogramok, trójaiak
Elektronikus zaklatás Miért éppen én?
Gépünk erıforrás lehet (pl. botnetek)
Csalás, átverés célpontjai lehetünk Magyar statisztikák:
A legtöbb vírust saját magunk telepítjük
Szeretjük az ingyenes tartalmakat – bármit letöltünk, ha ingyen van
A legsikeresebben az ingyenesen letölthetı mp3 fájlokat ígérı kártékony programok terjednek
Nem szeretünk olvasni (angolul különösen nem) – elıszeretettel telepítünk olyan reklámprogramokat, amik késıbb lelassítják a számítógép mőködését

Azonosságlopás





Módszerek
Social engineering (lásd pl.: Kevin Mitnick)
Hamis weboldalak (spoofing)
Adathalászat (banki oldalak, World of Warcraft, Dark Orbit)
Billentyőnaplózók (key logger)
Postai levelek ellopása
Kukabúvárkodás Megakadályozása
Józan ész használata: gyanakodjunk, ha










az e-mail idegen nyelvő, adatok megadására kér a weboldal titkosítatlanra vált, URL nem a megszokott, fölösleges mezık vannak rajta

Digitális tanúsítványok használata (pl. ssl, https) Biztonsági tokenek Böngészıtámogatás (pl. lista a gyanús oldalakról)

Jelszavak – ezeket felejtsük el:










(Emlékeztetıül a fı törések: brute force, szótár, SE) Alapértelmezett jelszavak Jelszó = felhasználónév Egyszerő jelszavak:
Csak betőkbıl vagy számokból álló
Egymást követı karakterek
8 karakternél rövidebb
Személyes információ (születési dátum, név, háziállat, kedvenc márka, stb.) Felírt jelszavak Többszörös jelszóhasználat Elmentett jelszavak

Kártékony programok






Vírusok, férgek, kém-, reklám- és trójai programok Hogyan tehetünk szert rájuk:
Letöltjük (ingyenes, kétes eredető, illegális oldalak) – akár észrevétlenül is települhetnek böngészın keresztül (ActiveX, sebezhetıség)
Megkapjuk (e-mail melléklet, chaten linkként stb.)
Megtaláljuk („elveszett” adathordozón) Védekezés:
Használjunk vírusirtó programot
Használjunk tőzfalat
Ne nyissunk meg idegen e-mailt
Ne kattintsunk hivatkozásokra vagy programokra levelekben
Tartsuk a programjainkat naprakészen (sebezhetıségek befoltozása)
Ingyenes programokkal szemben legyünk gyanakvóak
Olvassuk el a végfelhasználói szerzıdést (☺)

Elektronikus zaklatás





Címek a netrıl:
„Megölte magát a neten heccelt 13 éves lány”
„Minden harmadik kiskorú brit volt már kiberzaklatás áldozata”
„Ezrével dobták ki a zaklatókat a Facebookról” Ez nem azt jelenti, hogy nem lehet közösségi oldalakon megjelenni, de:
Gondoljuk meg, milyen adatainkat tesszük fel
Gondoljuk meg, kik láthatják azokat
Ne legyünk provokatívak
Ne jelöljünk be/vissza idegeneket

Záró tanácsok












Használjuk a józan eszünket (és legyünk kicsit paranoiások) Frissítsük rendszeresen az oprendszert és a böngészıt Használjunk megfelelı vírusirtót és tőzfalat, ezeket frissítsük Használjunk spamszőrıt Ne használjunk alapértelmezett vagy egyszerő jelszavakat Ne dıljünk be az ismeretlen címrıl érkezı e-mail-eknek Csak biztonságos forrásból származó programokat telepítsünk Csak azt végezzük adminisztrátori jogosultsággal a gépen, amit feltétlenül szükséges Készítsünk rendszeresen biztonsági másolatot Gondoljuk meg, milyen adatainkat adjuk meg a közösségi oldalakon Ne intézzünk bizalmas ügyeket netkávézóban, Wi-Fi-n

Kérdések

Köszönöm a figyelmet! Tóth Balázs, CISSP Információbiztonsági tanácsadó