S zi g or ú an v é d et t we bs it e
SaveAs
E s e t ta n u l m á n y a Cyber-Crime egyezmény weboldaláról
Készült: 2001. november 30. A dokumentum a fedőlappal együtt 18 számozott oldalt tartalmaz.
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
1.
TARTALOMJEGYZÉK
ESETTANULMÁNY
1
1.
TARTALOMJEGYZÉK
2
2.
FELADAT
4
2.1.
A konferenciáról
4
2.2. A megoldásszállítókról 2.2.1. Kirowski 2.2.2. Sun Microsystems 2.2.3. Euroweb 2.2.4. SaveAs
5 5 5 5 6
3.
7
3.1.
4.
A VÉDENDŐ OBJEKTUMOK A biztonsági szintekről
A MEGOLDÁS
8
9
4.1.
Kritikus szolgáltatások
9
4.2.
Biztonsági megfeleltetés
9
4.3.
Alkalmazott módszerek
10
5.
KOCKÁZATOK
11
5.1.
Lehetséges támadási típusok
11
5.2.
Védettséget biztosító eljárások
11
6.
KRITIKUS ESEMÉNYEK
13
6.1.
Alacsony szintű riasztások
13
6.2.
Közepes szintű riasztások
13
6.3.
Magas szintű riasztások
14
6.4.
Próbálkozások
14
7.
VÉGKÖVETKEZTETÉS
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
16
2. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
7.1.
Gyakoribb támadási módok
16
7.2.
Helytállás
17
8.
EGYÉB
18
8.1. Jelen dokumentum közlése 8.1.1. Az információk minőségéről
18 18
8.2. CopyRight 8.2.1. Kizárólagos jogok Hasznosítás és többszörözés Nyilvánossághoz való közvetítés és idézés Oktatás Minden más esetben
18 18 18 18 18 18
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
3. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
2.
FELADAT A SaveAs Kft. egy olyan nagy megbízhatóságú, nagy rendelkezésre-állású rendszer kiépítésének és üzemeltetésének feladatát kapta, amelynek kockázati mutatói különösen magasak voltak. Egy olyan konferencia webes megjelenítését kellett biztosítani, amely a számítógépes bűnözés visszaszorítását, törvényi szabályozását tűzte ki célul maga elé. Így – mint potenciális támadott rendszer – hatalmas felelősséggel járt a rendszer tervezése és üzemeltetése. A feladat megoldása során tehát olyan megoldást kellett javasolni, amelynek ellenállónak kellett lenni az ismert összes támadási technikával szemben. A megbízás a kivitelezésre, valamint a website üzemelésének legkritikusabb egy hetére szólt. Utóbbi alatt a SaveAs 1 órás reakcióidőt vállalt.
2.1.
A konferenciáról
A Cyber-Crime konferencia egy olyan – Magyarországon megrendezett – esemény volt, mely novemberben a legnagyobb diplomáciai eseménynek számított. Ennek során 43 ország képviselője írt alá egy olyan nemzetközi szerződést, melyben kötelezettséget vállalnak a szerződésben megfogalmazott célok saját országaikban történő jogharmonizációjára. A nemzetközi kötelezettségvállalás tartalma joggal vetette fel az információbiztonságra vonatkozó igényeket, hiszen a konferencia központi témája a számítógépes bűnözés visszaszorítása és az e célból létrehozott törvényi szabályozás volt. Ennek megfelelően különösen nagy kárt okozott volna egy esetleges betörés.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
4. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
2.2.
A megoldásszállítókról
2.2.1. Kirowski A kirowski - a magyar piacon egyedülálló módon - valóban teljes körű szolgáltatást kínál ügyfeleinek az interaktív és webintegrációs területeken. Cégünk fejlesztése során arra törekedtünk, hogy egyrészt képesek legyünk a legmagasabb színvonalú munkával kiszolgálni partnereinket, másrészt olyan szakembergárdával és tudással rendelkezzünk, amely lehetővé teszi, hogy az általunk kínált interaktív megoldások szervesen integrálódhassanak megbízónk vállalati folyamatainak, üzleti és marketing céljainak egészébe.
2.2.2. Sun Microsystems 1982-es születése óta egyazon jövőkép – „A hálózat maga a számítógép™” hajtotta előre a Sun Microsystems-t (NASDAQ: SUNW) jelenlegi pozíciójáig, a nagyvállalati hardverek, szoftverek és azon szolgáltatások vezető szállítójává, amelyek révén működteti az Internetet, és világszerte lehetővé teszi a vállalatok számára, hogy üzleti tevékenységüket az „n-edik hatványra” emeljék. A Sun több mint 170 országban megtalálható.
2.2.3. Euroweb Az EuroWeb Internet-szolgáltató Rt. - a hazai piac egyik legjelentősebb Internetés webszolgáltatója - a kezdetektől fogva a versenytársaktól alapvetően eltérő stratégiát követ: az egyetlen magyar szolgáltató, amely a tömegszolgáltatás helyett, az igényes vállalati felhasználók minőségi kiszolgálását állítja előtérbe. Stratégiánkat igazolják az elért sikereink, szilárd pozíciónk a magyarországi vállalati bérelt vonalas szolgáltatások piacán.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
5. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
2.2.4. SaveAs A SaveAs a magyar IT piac információvédelmi vállalkozása. A SaveAs ügyfelei információinak védelmét négy kategóriába csoportosítható megoldásaival végzi: az emberi kockázatokat minimalizáló Knowledge Protection-nel, az informatikai rendszereket mindenfajta illetéktelen használattól védő Information Security-vel, a saját fejlesztésű védelmi szoftvereket nyújtó SaveAs Secure Network-kel és az IT-rendszereket üzleti, fejlesztési és biztonságtechnikai szempontból egyaránt auditáló Trusted Solutions-szel.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
6. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
3.
A VÉDENDŐ OBJEKTUMOK A konferencia ideje alatt állandó Web-kapcsolatot kellett biztosítani dinamikus tartalomfrissítési lehetőséggel, SQL adatbázissal, élő videó közvetítéssel. Így védendő objektumnak minősült a webkiszolgáló alkalmazás, az SQL adatbázis motor, a videó közvetítő rendszer, a kiszolgált alkalmazások forráskódja (scripting nyelvről lévén szó) és az operációs rendszer. Ugyanakkor védendő objektum volt maga a hardver is, hiszen az informatikai védettség semmit sem ér fizikai hozzáférés esetén.
Internet SaveAs Server (Log)
SaveAs log
BSD (Firewall, IDS) ASCII Printer
Switch
Firewall Trusted Solaris 8 (Web-, SQL server / IP filter)
Trusted Solaris 8 (Web-, SQL server / IP filter)
heartbeat
Sparc E250
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
Sparc E450
7. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
3.1.
A biztonsági szintekről
A védendő rendszer tervezése során felmerült az igény több lépcsős azonosításra és legalább kétszintű tűzfalas védelemre is. Így a hozzáféréseket több biztonsági szintbe kellett sorolni. Meghatároztuk azoknak a körét, akik a hardverekhez fizikailag hozzáférhetnek, valamint logikai hozzáférés esetén mátrixot képeztünk a futó szolgáltatások és a hozzá kapcsolódó felhasználók köréről, jogosultságéról, a hozzáférés módjáról, forrásáról. A leképezés alapján állítottuk fel a biztonsági szinteket figyelembe véve az esetleges anomáliákat is. Létrehoztunk több távoli hozzáférést biztosító profilt, amelyek segítségével a konferencia ideje alatt is lehetőség nyílt a rendszerek adminisztrálására, a dinamikus tartalom módosítására. A távoli hozzáféréseket lokális azonosítás követte. Ennél a pontnál nagyban segítette a munkánkat, hogy a kiválasztott rendszerek mindegyike támogatta a többszintű azonosítást. A kínált rendszer biztosította, hogy a helyi hozzáféréseket is olyan szinten finomítsuk, hogy a némely biztonsági szint megkerülése esetén sem képes a támadó számottevő kért okozni.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
8. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
4.
A MEGOLDÁS Figyelembe véve a különösen nagy biztonsági – üzemelési kockázatot valamint a várható terhelést, egy olyan megoldást kellett választani, amely a megfelelő biztosítékokat kínálja a folyamatos működésre. Minimális igényként lépett fel, hogy az alkalmazások futtató környezete rendelkezzen nemzetközi minősítéssel, valamint mindazon beállítási, finomhangolási lehetőséggel, hogy szakembereink egy esetleges független meghibásodás esetén is akár öt percen belül elháríthassák a hibát.
4.1.
Kritikus szolgáltatások
A konferencia ideje alatt egy olyan webkiszolgáló rendszert kellett üzemeltetni, ahol a megjelenő adatok dinamikusan változtathatóak, valamint adott esetben élő közvetítést kellett biztosítani az érdeklődőknek. Az adattárolásra SQL adatbázis-kezelőt kellett biztosítani. Így kritikus szolgáltatásnak minősült nem csak a kiszolgáló hardver és a rajta futó operációs rendszer, nem csak a tűzfalak, hálózati monitorok, hanem maga az alkalmazás, az alkalmazást futtató kiszolgáló rendszer is.
4.2.
Biztonsági megfeleltetés
A futtató környezet és a kiszolgáló alkalmazásoknak tehát olyannak kell lennie, amelyek nem csak, hogy bizonyítottak már éles környezetben, de szakembereinknek megvan a lehetősége is, hogy azok működését maximálisan nyomon tudják követni. A folyamatos auditálás és naplózás, a hálózati monitorozás, és a több lépcsős azonosítás olyan követelmények, amelyeknek csak kevés rendszer képes megfelelni. Ugyanakkor a megfeleltetés során figyelembe kellett venni azt is, hogy itt egy olyan rendszerről van szó, amely széles kör érdeklődésére tart számot. Nem mehetett tehát a biztonsági szintek agyonszabályozása a felhasználás rovására.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
9. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
4.3.
Alkalmazott módszerek
A kiválasztás során felmerülő követelményrendszer és megfeleltetés során a választás a Sun Microsystems által biztosított Sun középkategóriás szervereire esett, amelyek megfelelő rendelkezésre állást és hibatűrést biztosítanak. Operációs rendszernek – szintén – a Sun Microsystems által biztosított B1+ biztonsági minősítéssel rendelkező Trusted Solaris 8-at választottuk. Ez a két opció messzemenően kielégíti a futtató környezettel szemben támasztott követelményrendszert. Role alapú azonosítási rendszere lehetővé tette számunkra, hogy az operációs rendszer a lehető legjobb felületet biztosítsa számunkra a hozzáférések maximális finomhangolását kikerülve a bevett – de rosszul alkalmazott – standardokat, így opciót biztosítva több úgynevezett „honeypot” elhelyezésére. Webkiszolgálónak az Apache konzorcium által biztosított Apache webkiszolgálót használtuk kibővítve a PHP scripting nyelvmodullal, amely mögött a dinamikus tartalmat PostgreSQL adatbázisból biztosítottuk. A nagyobb rendelkezésre-állás biztosítása érdekében a kiszolgáló hardvert megdupláztuk, a két számítógép ugyanolyan konfigurációval fail-safe megoldással volt egymás mellé állítva. A két rendszer negyedóránként szinkronizálta egymásról a változásokat. Így egy rendszerleállás esetén a rendszerek akár percek alatt vehették át egymás szerepkörét biztosítva a folyamatos kiszolgálást. Kettős tűzfal megoldásként a második lépcsőt is a Trusted Solaris-ok jelentették. Az operációs rendszerbe implementált IPF packet filter eljárással szűrték a kapcsolatokat a kapcsolat kezdeményezés forrása és célja szerint vizsgálva a csomag felépítését is. A tűzfalak első lépcsőjét egy BSD típusú operációs rendszer jelentette. Ez a hálózati pont a forgalmat transzparensen továbbította a kiszolgálók felé elemezve a forgalom tartalmát, forrását és célját is. Ebben az esetben a láthatatlanság valósan láthatatlanságot jelentett, a tűzfalként funkcionáló rendszer valósan elrejtette magát a védendő objektumok elől, létezését csak sejtetni engedte, biztosan tudni nem. Ugyanakkor nem zártuk ki annak a lehetőségét sem, hogy ez a rendszer is kap támadásokat, tehát a védelemről itt is megfelelően kellett gondoskodni. Ez a rendszer is tartalmazott olyan csapdákat, amely a támadókat megfelelő ideig félrevezethette távol tartva őket a valós rendszertől. Figyelembe véve a legújabb biztonsági kutatásokat, a rendszereket úgy alakítottuk ki, hogy azok minél kevesebb valós, és minél több hibás információt adjanak magukról.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
10. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
5.
KOCKÁZATOK A rendszer különösen nagy kockázati pontokat is rejtett magában. Ilyen volt a rendszer távoli adminisztrálása, a dinamikus tartalomfrissítés, a folyamatos naplózás is.
5.1.
Lehetséges támadási típusok
Viszonylag magas kockázatot rejtett magában, hogy a rendszert folyamatos felügyelet alatt kellett tartani, tehát nyitva kellett tartani a távoli hozzáférés lehetőségét. Így egy nem megfelelően védett adminisztrációs alhálózat kiemelt kockázatot jelentett volna, hiszen egy úgynevezett „Man-in-the-Middle” típusú támadás esetén a támadó megszerezheti az adminisztrációhoz szükséges összes adatot, illetve magát az adminisztrátor szálat. Különösen nagy kockázatot jelentett a naplózás folyamata is. A rendszer esetleges sérülése esetén a naplófájlok adhatnak támpontot a sérülés okának, adott esetben a támadó kilétének megállapítására is. Ezért a naplózandó adatok rengeteg szenzitív információt tartalmazhatnak segítve ezzel a támadót a rendszer minél jobb megismerésében. Közepes biztonsági kockázatot jelentett, hogy a rendszerben megjelenő adatokat egy adminisztrációs felületről dinamikusan változtatni lehetett. A lehetőséget kihasználva – megkerülve az azonosítást – a rosszindulatú támadó meg tudta volna változtatni a weblap teljes tartalmát. Kiemelt kockázatot jelentett, hogy a rendszer fórumot üzemeltetett, amelyen keresztül egy rosszindulatú felhasználó jogosulatlan hozzáférést szerezhetett volna a rendszer egyéb komponenseihez.
5.2.
Védettséget biztosító eljárások
A rendszer védelme érdekében sok ponton kellett kényelmetlenségekbe ütköznie a karbantartó személyzetnek ahhoz, hogy a biztonságot szavatolni tudjuk. Ilyen megkötések voltak a folyamatos azonosítás kérések, az adminisztratív hálózati pontok szigorú meghatározása, az állandó auditálás, naplózás. A weben keresztüli adminisztrációs pontok különös ellenőrzési eljáráson estek át annak érdekében, hogy az onnét érkező kérések valóban autentikusnak minősülhessenek. Így ellenőriztük e hálózati pontok védettségét, szolgáltatásait is. A naplózás biztonságát szakembereink egy speciális, csak erre az alkalomra készült szoftverrel oldották meg. Azon felül, hogy a naplózott információk három szerveren kerültek rögzítésre, és az egyik ponton még nyomtatóra is kerültek az adatokat a már említett szoftver segítségével kódoltan küldtük tovább egyik pontról a másikra. Így egy esetleges lehallgatás során sem
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
11. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
juthatott ki szenzitív információ. A kódolásra az X. 509 nyilvános kulcsú titkosítást használtuk 1024 bites kulcsokkal. A hálózati forgalom lehallgathatatlansága érdekében a kiszolgáló álhálózatot szegmentáltuk. Elválasztott hálózaton foglalt helyet magának a két webkiszolgáló és az első lépcsős tűzfal is. Ezzel a módszerrel a két webkiszolgáló belső forgalmát teljesen sikerült eliminálni a külső hálózatoktól. Az adminisztratív hozzáférések is korlátozott, több lépcsős ellenőrzésen estek keresztül. A hozzáférő hálózati pontokat ebben az esetben is tüzetesen átvizsgáltuk esetleges támadási felületeket keresve. Az ilyen hozzáférések ugyanakkor semmiképpen sem minősültek autentikus hozzáférésnek. Az operációs rendszerek által nyújtott lehetőségeket maximálisan kihasználva minden feladat elvégzéséhez külön azonosítás tartozott, illetve meg volt határozva azoknak a köre, akik bizonyos tevékenységekhez szükséges jogköröket felvehetnek. A támadott rendszerek azonosítására szolgáló TCP fejlécben lévő adatokat is megváltoztattuk, így nehezebbé téve egyáltalán a beazonosítást. A kiszolgálás folyamatossága érdekében szakembereink átvizsgálták a futtatott alkalmazások – scriptek forráskódját is.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
12. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
6.
KRITIKUS ESEMÉNYEK A kiszolgáló rendszert ért támadások felderítésére, naplózására esetleges riasztásra szakembereink speciális szoftvert használtak, amely az átmenő forgalmaz a lehető legjobban, legmélyebben ellenőrizte. Az eseményeket értékelte, és a besorolás alapján intelligensen döntött a riasztás fokáról is. Az események kritikusságának függvényében azonban nem csak riasztási eseményeket produkált, hanem a veszélyesnek ítélt forgalmat kitiltotta – a tűzfal szerves részét képezte.
6.1.
Alacsony szintű riasztások
Alacsony szintű riasztásnak soroltuk be azokat az eseményeket, amelyek normál esetben nem fordulhatnának elő, ellenben a rendszer egészére vagy részeire nem jelentettek közvetlen veszélyt. Ilyen események voltak a különböző hálózati protokollokon történő letapogatások, amelyek a véletlenszerűen beállított válaszok miatt nem minősültek információszivárgásnak. Szintén alacsonyszintű riasztási eseménynek számított a futó szolgáltatások kvalitásának megállapítására tett kísérletek, illetve azok a próbálkozások, amelyek nem létező szolgáltatás hibáit akarták felderíteni. Ez a riasztási szint produkálta a legtöbb eseményt.
6.2.
Közepes szintű riasztások
Közepes szintű riasztásnak minősült a létező, és futtatott szolgáltatások elleni anomáliát tartalmazó minden forgalom. Így sajnos ebbe a kategóriába tartozott a különböző „nimda” mutánsok összes próbálkozása is, amelyek nagyon megterhelték a rendszer naplófájljait. Érdekes próbálkozásoknak minősültek az ebbe a kategóriába tartozó, de más típusú operációs rendszerek szolgáltatásai ellen irányuló támadások, melyek megléte bizonyítja, hogy az elhelyezett „honeypotok” mennyire félre tudták vezetni a támadókat. Szakembereink ezeket a riasztásokat különös figyelemmel kísérték. Ezekről a riasztásokról már elegendő információ került a naplókba ahhoz, hogy azokat kielemezve akár egy eddig ismeretlen technológiát is azonosíthassanak.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
13. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
6.3.
Magas szintű riasztások
A rendszer által képviselt magas kockázati tényező miatt ebbe a kategóriába tartozott minden olyan esemény, amely a hálózati forgalomban bármilyen anomáliát mutatott, és nem minősült az előző két kategóriába. Ide tartozott tehát az összes olyan forgalom, amelynek a címzettje az első lépcsős tűzfal volt, az összes olyan forgalom, amely olyan információt tartalmazott, ami nem volt alkalmazható egyetlen átengedett protokollra sem, illetve az összes olyan forgalom, amelynek tartalma nem felelt meg a vonatkozó szabályoknak. Az első lépcsős tűzfalat nem érte támadás, ugyanakkor számos olyan támadást kapott a rendszer, amelyek ebbe a kategóriába tartoztak. Sokan próbálkoztak bevett eljárásokkal, publikus archívumokban fellelhető eszközökkel.
6.4.
Próbálkozások Találatok Hétfő
Mennyiség
Kedd Szerda Csütörtök Péntek Szombat Vasárnap Napok
A rendszer az éles működés egy hete alatt egyszázötvenhat-ezer kérést szolgált ki, amelynek során a maximális terheltsége nem érte el a húsz százalékot. A fenti lekérésen túl negyvenezer hibás lekérést tagadott meg, amelynek több mint nyolcvan százaléka volt egyértelműen „nimda” vírusnak tulajdonítható.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
14. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
Lekérések szabályos / szabálytalan
Kiszolgált lekérések Nimda Egyéb
A fennmaradó – körülbelül hatezer lekérést a rendszer részét képező első lépcsős tűzfal fogta meg. Ezen illegális lekérések között szerepelt több különböző operációs rendszer több különböző webkiszolgálója ellen irányuló támadás. Hogy a legérdekesebbet említsük, volt olyan támadó, amely az IBM HTTP OS/400-on futó webkiszolgálójának legutolsó, a konferencia ideje alatt publikált hibáját próbálta meg kihasználni. Rendszeresen érkezett a gyakran használt tűzfalak hibáit kihasználó próbálkozás is, amelyek segítségével az alkalmazott szabályokat felül lehet bírálni. Az első lépcsős tűzfal mindvégig rejtve maradt, nem érkezett támadási kísérlet az irányába. Nem próbálkoztak a támadók terheléses támadással sem. A webes adminisztrációs felület szórványosan kapott ugyan próbálkozásokat, de azok a szigorú azonosítás miatt nem járhattak sikerrel.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
15. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
7.
VÉGKÖVETKEZTETÉS A kivitelezett rendszer minden tekintetben tökéletesen látta el a feladatát. Az üzemeltetés és a naplók - riasztások elemzése során megállapítható, hogy komoly támadás nem érte a rendszert, azok minősége nem, mennyisége viszont annál inkább veszélyt jelenthetett volna.
7.1.
Gyakoribb támadási módok Regisztrált támadások eloszlása Hétfő
Mennyiség
Kedd Szerda Csütörtök Péntek Szombat Vasárnap Napok
Az éles üzem egy hete alatt a rendszert rengeteg támadás érte. Az első és a harmadik napon a riasztások naplója elérte egyenként a 4 Gigabyte méretet, a többi napokon konszolidált 100-200 Megabyte mérettel zárt. Megfigyelhető volt, hogy a támadásokat nem előzték meg puhatolózások, nem vizsgálták a rendszer egészét, hanem mindig egy kiemelt ponton próbáltak rajta fogást találni. A legtöbbet támadott szolgáltatások a futó webkiszolgáló, és a nem futó SOCKS, SQUID, FTP, POP, IDENT, FINGER szerverek voltak. A támadások analizálása során megállapítottuk, hogy azoknak minden esetben publikált hibák jelentették az alapját, új módszert a monitor nem rögzített. Megállapítható volt, hogy a támadók rendre elfogadták a felkínált támadási felületeket, és megpróbáltak azokon keresztül bejutni és csak több próbálkozás után jöttek rá, hogy a megtalált pont csak egy csali (honeypot).
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
16. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
7.2.
Helytállás
A rendszer az egy hetes működéshez mérten jelentősen túl volt biztosítva a kapott támadások fényében. Ugyanakkor a tervezés során nem az ideális, hanem a legrosszabb esetre próbáltuk beállítani a védelmet. Nem kellett vizsgáznia sem a kialakított több lépcsős azonosításnak, sem a második szinten elhelyezkedő tűzfalnak, odáig támadás nem jutott el.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
17. oldal, összesen: 18
E s e t t a n u l m á n y – w w w . s t o p c y b e r c ri m e . n e t
8.
EGYÉB 8.1.
Jelen dokumentum közlése
8.1.1. Az információk minőségéről Jelen dokumentum a publicitása miatt nem tartalmaz mindenre kiterjedő részletes információkat. A megoldások egy része a SaveAs Kft. saját knowhowja, fejlesztése, stb., így ezen információkat a SaveAs Kft. bizalmasnak tekinti és ezek közlésére nem ad módot.
8.2.
CopyRight
8.2.1. Kizárólagos jogok Jelen dokumentáció a SaveAs Kft. szellemi terméke és kizárólagos tulajdona.
Hasznosítás és többszörözés Jelen dokumentációt az olvasó üzletszerzésre nem hasznosíthatja. A dokumentum nem módosítható, azonban változtatás nélkül szabadon terjeszthető.
Nyilvánossághoz való közvetítés és idézés Jelen dokumentáció egészének vagy részeinek médiában vagy bárhol máshol való felhasználása kizárólag a SaveAs Kft. nevének megemlítésével tehető az alábbi módokon: Televízió és rádió: a SaveAs Kft. nevének megemlítésével és/vagy – televízió esetén - kiírásával. Újság: a SaveAs Kft. nevének és weblapjának elérhetőségének kiírásával (http://www.saveas.hu). Digitális média: a SaveAs Kft. nevének és weblapjának elérhetőségének kiírásával (http://www.saveas.hu) és utóbbinak kattintható belinkelésével.
Oktatás Oktatási célra a dokumentáció szabadon felhasználható.
Minden más esetben a SaveAs Kft. írásbeli engedélye szükséges.
SaveAs Információvédelmi Tanácsadó és Szolgáltató Kft. H-1148 Budapest, Angol utca 38. Tel. / Fax: (1) 2221222
18. oldal, összesen: 18