11. Előadás
Tartalma Informatikai Biztonság Adatbiztonság Információbiztonság Internet-biztonság Adatvédelem és megoldások Titkosítás, hitelesítés Azonosítás Autorizáció
Veszélyek - kihívások vírusok és típusai adathalászat 2014.12.03.
2
IT elemei és környezete - veszélyforrások
Személyzet, felhasználók Épület, szerverszoba Klimatechnika Villámvédelem
Energia ellátás
Tűz- és vagyonvédelem
Hardver + hálózat
Dokumentációk
Rendszerszoftver
Adathordozók
Felhasználói szoftver ADATOK
Adatvesztések okai 0%
5%
10%
15%
20%
Tűzvész vagy robbanás Hardver vagy szoftverhiba Árvíz vagy víz okozta károsodás Földrengés Hálózat kiesése Emberi tényező Hűtőtechnika kiesése Egyéb
30%
35%
40%
45%
50%
45,3%
Áramkiesés vagy feszültségtüskék Vihar okozta károsodás
25%
9,4% 8,2% 8,2% 6,7% 5,5% 4,5% 3,2% 2,3% 6,7%
Forrás: Contingency Planning Research
Környezeti veszélyek Fizikai behatolás
Villámcsapás
Katasztrófa
Tűz
Üzemzavar
Lopás
Túlmelegedés
Személyzet, felhasználók Épület, szerverszoba
Klimatechnika
Villámvédelem
Energia ellátás
Tűz- és vagyonvédelem
Hardver + hálózat
Dokumentációk
Rendszerszoftver
Adathordozók
Felhasználói szoftver ADATOK
Informatikai biztonság Az informatikai biztonság az
informatikai rendszer olyan állapota, amelyben annak védelme az informatikai rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. 6
Fenyegetettségek: A védendő rendszerek különböző
szintjeit különböztetik meg, más és más védelmi intézkedéseket, megvalósításokat igényelnek. a támadások során sérülhet az adatok bizalmassága, sértetlensége, illetve rendelkezésre állása. 2014.12.03.
7
Adat elleni fenyegetettség: A rendszer legbelső része. Az adatok elleni támadás egyik fajtája a
vírustámadás, vagy az illetéktelen szoftvertelepítés,
ilyenkor az adatok törlődhetnek, bizalmasságuk elveszhet, illetve a rendelkezésre állóság hiányt szenved.
Adattárolók elleni támadás, pl. az illetéktelen hozzáférés, másolás. 2014.12.03.
8
Védendő rendszerek szintjei 1. szint: Alkalmazói szoftver Fenyegetettség: a szoftver szakszerűtlen tervezése, 2. a szakszerűtlen üzemeltetés és karbantartás, f 3. ontos a szoftvert tartalmazó adattárolók védelme, 4. fennállhat az illetéktelen hozzáférés, másolás veszélye, 5. a szoftver dokumentációját is védeni kell 1.
2. szint: Rendszerszoftver Fenyegetettség: 1. 2. 3.
szakszerűtlen üzemeltetés vagy karbantartás, állandó beszerzési politika hiánya, a hordozó adattározó, illetve dokumentáció 9
Védendő rendszerek szintjei 3. szint: Hardver és hálózat Fenyegetettség: 1. 2.
illetéktelen rácsatlakozás, a szakszerűtlen üzemeltetés vagy használat
4. szint: maga az épület (szerverszoba, stb.) Fenyegetettség: 1. 2.
3. 4. 5. 6.
fizikai behatolás, természeti- vagy ipari katasztrófa, villámcsapás, a légkondicionálást főleg a túlmelegedés veszélyezteti, a tűz- és vagyonvédelmet a tűz, illetéktelen személyek behatolása, áramellátás fő fenyegetettsége az üzemzavar 10
Védendő rendszerek szintjei 5. szint: kívül elhelyezkedő szint az emberek szintje, ide értendő minden, a rendszerben dolgozó (belső), nem a rendszerben dolgozó (külső) személy
fenyegetettség: 1. a szakképzetlenség, 2. a megvesztegetés , 3. a bosszúállás, 4. a szabályozás hiánya, stb
2014.12.03.
11
Adatbiztonság Az adatok jogosulatlan megszerzése, módosítása és
tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Fizikai védelem természeti csapások Tűz, víz, elemi kár
következmények Számítógépek, adatbázisok tönkremennek
védelem szabályok betartása, szabályzat körültekintő munkarend
Adatbiztonság Elektromos feszültség kimaradás, ingadozás elektromos hálózati problémák nem tervezett feszültség kimaradás
következmény hardver hibák adatismétlés futási idő meghosszabbodása
védelem szünetmentes áramforrás használata
Hardver és hálózati veszélyek
Szakszerűtlen üzemeltetés
Karbantartás elmaradása
Illetéktelen rácsatlakozás
Személyzet, felhasználók Épület, szerverszoba
Klimatechnika
Villámvédelem
Energia ellátás
Tűz- és vagyonvédelem
Hardver + hálózat
Dokumentációk
Rendszerszoftver
Adathordozók
Felhasználói szoftver ADATOK
Adatbiztonság Hardver bizonytalanság alkatrészek meghibásodása sztochasztikus hibák szélsőséges körülmények
következmények pontatlan számítás, befejezetlen műveletek
védelem tesztelés rendszeres karbantartás szükséges adatmentések
Rendelkezésre állás Rendelkezésre állás szintje 90 % 99 % 99,9 % 99,99 % 99,999 % 99,9999 % 99,99999 %
Kiesett idő
876 óra (36,5 nap) 87,6 óra (3,65 nap) 8,76 óra 53 perc 5 perc 30 másodperc 3 másodperc
Magas elérhetőség
Folyamatos elérhetőség határa
Szoftver veszélyek Szakszerűtlen tervezés
Illetéktelen hozzáférés Beszerzési politika hiánya
Jogosulatlan használat
Vírus
Szerzői jog
Személyzet, felhasználók Épület, szerverszoba
Klimatechnika
Villámvédelem
Energia ellátás
Tűz- és vagyonvédelem
Hardver + hálózat
Dokumentációk
Rendszerszoftver
Adathordozók
Felhasználói szoftver ADATOK
Adatbiztonság Szoftver bizonytalanság programok meghibásodása
nem tökéletes felhasználói program nem pontos mentések visszatöltése vírusok terjedése, víruskár
következmények pontatlan számítás, befejezetlen műveletek
védelem program másolatok adatmentések vírusvédelem
Hogyan biztosítsuk a Hálózatot? – Informatikai Biztonság Biztonságos hálózat: Korlátozott hozzáférés Szigorúan biztonságos Csak feljogosított személyek férhetnek hozzá
Módszerek:
Tűzfal menedzsment 2. Felhasználói autentikáció 3. Titkosítás 4. Digitális aláírás 5. Virtuális Magánhálózat (VPN): Internet Tunneling technológiával – Tunnel (Csatorna): kódolási éa 2014.12.03. autorizációs algoritmusokat használ 1.
19
Egy lehetséges megoldás: VPN - Virtual Private Network Tulajdonságai: 1. Biztonság 2. Megbízhatóság
3. Skálázhatóság 4. Hálózati menedzsment 5. Eljárás menedzsment 2014.12.03.
20
Biztonsági igény 3 helyen: 1.Otthoni iroda – távoli felhasználó internet 2.Telephelyek és a távoli irodák között intranet 3.Irodák és üzleti partnerek között extranet 2014.12.03.
21
Mitől jó egy VPN? Milyen hasznot hoz egy vállalkozásnak? 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Földrajzi kapcsolat kiterjesztése Biztonság növelése Csökkentett működtetési költségek Átviteli és tranzit költségek csökkentése Termelékenység javulása Hálózati topológia egyszerűsödése Globális hálózati lehetőségek biztosítása Telekommunikációs támogatás biztosítása Szélessávú hálózati kompatibilitás biztosítása Gyorsabb ROI (return on investment) mint a hagyományos WAN
2014.12.03.
22
VPN típusok: 1. Távoli elérésű VPN - virtual private dial-up
network (VPDN), felhasználó-LAN kapcsolat, mely esetben az alkalmazott más távoli helyről csatlakozik a privát hálózathoz. Nagy távoli elérésű háló esetén enterprise service provider (ESP) alkalmazása. A szolgáltató egy hálózat elérési szervert (NAS) állít fel és a távoli felhasználónak kliens szoftvert ad.
2. Hely-hely VPN egy vállalat irodáinak, telephelyeinek összekapcsolása a publikus hálón keresztül. 1.
2.
2014.12.03.
Intranet-alapú - LAN to LAN. , Extranet-alapú - LAN to LAN, ahol különböző válllalatok osztott környezetben dolgoznak. 23
Informatikai biztonság: Megoldások: IPSec AAA szerver RSA szerver:
Kliens oldali biztonsági őr, azonosítja a felhasználót
2014.12.03.
24
IPSec Internet Protocol Security Protocol (IPSec)
jobb titkosítási algoritmust és átfogóbb autentikációt kínál. Kiterjesztett biztonság: Titkosítási algoritmusok:
Tunnel (csatorna): a csomagok címkéit és magát a csomagot is titkosítja . Szállítás: csak a csomagot titkosítja, a címkéket nem Átfogó hitelesítés (autentikáció) Az IPSec két szinten is végez hitelesítést : biztosítja, hogy a résztvevő felek közvetlenül azzal veszik fel a kapcsolatot, akivel szeretnék ellenőrzi, hogy a kommunikációba ne avatkozhasson bele nemkívánatos résztvevő 2014.12.03.
25
IPsec Szabványosított: csak IpSec kompatibilis rendszerek használhatják minden eszköznek közös kulcs kell, a tűzfalaknak nagyon hasonló biztonsági
beállításainak kell lenni. Létező IP hálózatokon nyíltan használható Az IPSec adatokat titkosít a következők között: 1. 2. 3. 4. 12/3/2014
Router to router Firewall to router PC to router PC to server 26
AAA szerverek Autentikáció (hitelesítés), Autorizáció (jogosultság)
and Accounting (könyvelés) szerverek AAA Server: Egy általános AAA-szerver jogosultság hiányában megtagadja a teljes kérést. Az ún. „okos” AAA szerver elemzi a beérkező kérést: csak azt a részét engedélyezi, amihez az adott kliensnek jogosultsága van - függetlenül attól, hogy a teljes kérés érvényes vagy sem. AAA a következőket ellenőrzi: Ki vagy? (authentication) Mit tehetsz? (authorization) Mit teszel ténylegesen? (accounting) 2014.12.03.
27
AAA – Single Sing On (SSO) Autentikáció felhasználói adatokon alapul Domén név, login név, jelszó Active Könyvtárba Az Autorizáció adja meg, hogy mihez van a felhasználónak
hozzáférése – tipikusan csoport/csapat munkában
SSO Egyszeri bejelentkezés, és ezzel mindenhez hozzáférés további
bejelentkezések nélkül Csökkenti az emberi hibát Előnyei: A létező fiókok integrálása A single sign-on alkalmazásának lehetősége már rendzserek részére Megerősíti a jelszómenedzsmentet Egyszeri bejelentkezés a fiók, naptár, címjegyzék eléréséhez 2014.12.03.
28
SSO – Single Sign-On
2014.12.03.
29
Internet biztonság Hálózati Biztonsági Protokoll SSL (Secure Sockets Layer):
titkosítási protokoll + digitális tanúsítvány Kínál: Alkalmazási protokollok (FTP, HTTP, vagy Telnet) és a
TCP/IP protokoll közötti biztonsági szintet. 128-bites vagy 256-bites adattitkosítást Szerverek és kliensek közötti autentikációt (a tranzakció egyik vagy mindkét végén)
2 kulcsra van szükség https:// (port 443) 2014.12.03.
30
WiFi Hálózatok helyzete? WEP – Wired Equivalent Privacy Vezetékessel egyenértékű titkosság, Kezdeti WiFi szabványok biztonsági technolőgiája Ált. szimmetrikus 64 és 128 bites RSA korszerűtlen WPA – WiFi Protected Access A 802.11i szabvány része AES kulcs Védett hozzáférés Beállított idő vagy forgalmazott adatmennyiség után űj kulcsot generál WPA2 Az összes új vezeték nélküli adapter támogatja, de nem működik néhány régebbi hálózati kártyával 2014.12.03.
31
Adatbiztonság EDI – Elektronikus AdatCsere Adatcsere strukturált
formája elektronikus úton, ember közbeavatkozás nélkül. Szabványosított forma Elektronikus dokumentumok és üzleti adatok szgép közötti cseréjére, EDIFACT – EDI for Administration, Commerce and Transport 2014.12.03.
32
A biztonság célkitűzései: Kritérium
Amit biztosít:
Rendelkezésre állás
Minden felhasználónak hozzáférésre van szüksége a feladatok elvégzéséhez
Hitelesség
Csak hitelesített felhasználók használhatnak egy hálózatot, egy szolgáltatást, egy rendszert
Sérthetetlenség
Az üzenet nem módosult az átvitel alatt.
Bizalmasság Titkosság Letagadhatatlanság Helyreállítás
Az üzenet tartalmát csak a küldő és a kapó ismeri. Csak az olvassa, akinek szánták.
Vizsgálhatóság
A biztonsági folyamatok auditálhatók.
2014.12.03.
A küldő nem tagadhatja le, hogy Ő küldte az üzenetet. A folyamatok lehetővé teszik, hogy rendszerhiba után a rendszer gyorsan helyreálljon.
33
Adat feldolgozás biztonsága Célok:
Hamis és ál személyazonosság elleni védelem Biztonságos üzenetküldés Üzenetintegritás Információ csere hatékonyságának fenntartása Mobil és nem mobil felhasználók ugyanolyan szintű védelme
2014.12.03.
Biztonsági intézkedések/lehetőségek
Felhasználók azonosítása és autentikációja – digitális ID Adat/Üzenet autentikáció biztosítása Titkosítás Digitális aláírás – e-aláírás e-Időpecsét Elektronikus Közjegyző
34
Titkosítás A titkosítás vagy rejtjelezés a kriptográfiának az az eljárása, amellyel az információt (nyílt szöveg) egy algoritmus (titkosító eljárás) segítségével olyan szöveggé alakítjuk, ami olvashatatlan olyan ember számára, aki nem rendelkezik az olvasáshoz szükséges speciális tudással, a mit általában kulcsnak nevezünk. Titkos kódok írásának ,tudománya Nem megbízható médiumon keresztüli kommunikáció
esetén szükséges – bmely hálózat, internet Nem csak az adatlopás és adatmódosítás ellen véd, hanem felhasználó autentikációra is alkalmas. 2014.12.03.
35
Fogalmak: 1. Bemeneti nem titkos adatok = nyílt szöveg. 2. Titkosított verzió = titkosított szöveg
3. Kulcs 4. Titkosítási algoritmus
2014.12.03.
36
Titkosítási Algoritmusok 1. Titkos kulcsú (privát, szimmetrikus) titkosítás (SKC): egy kulcs a kódoláshoz és a dekódoláshoz 2. Nyilvános-titkos kulcsú (aszimmetrikus) titkosítás (PKC): egy kulcs a kódoláshoz, egy pedig a dekódoláshoz
3. Hash függvények: matematikai eljárással visszafordíthatalan kódolás 4. PGP (Pretty Good Privacy): hibrid megoldás 2014.12.03.
37
1. Szimmetrikus Titkosítás Egy kulcs megosztása
a kommunikáció előtt Ugyanaz a kulcs kódolásra és dekódolásra 2 típus: Stream kódoló Blokk kódoló Megfelel a Titkosságnak és Bizalmasságnak http://www.stepwise.hk/npwiki/Lecture/Cryptography
2014.12.03.
38
Algoritmusok: 1. DES a) Triple-DES b) DESX 2. Rivest Ciphers: RC4, 3. 4. 5. 6. 7.
RC5, RC6 BlowFish Twofish Camellia SAFER KASUMI
8. 9. 10. 11. 12.
SEED ARIA Skipjack IDEA AES
http://www.garykessler.net/library/crypto.html#intro
2014.12.03.
39
DES: Data Encryption Standard manapság a leginkább használt adattitkosítási szabvány,
az IBM 1970-es évektől alkalmazta, kereskedelmi és
kormányzati célokra Block kódoló, 56 bites kulccsal, ami 64 bites blokkokat kódol
River Chiphers: (Ron Rivest) SKC algoritmusok sorozata RC4: stream kódoló, különböző nagyágú kulcsokat használ,
kereskedelemben elterjedt, azonban 40 bit vagy annál rövidebb kulcsokat ajánlatos használni RC5: blokk kódoló, változó hosszúságú blokkokra és kulcsokkal RC6: Az RC5 és RC6 továbbfejlesztése, WES Round 2 algoritmusokat használ. 40
AES: Advanced Encryption Standard 1997-ben került bevezetésre Az NIST (National Institute of Standards and
Technology) kezdenényezte Főleg amerikai kormányzati használatra A DES hivatalos utódja lett 2001 decemberében. SKC sémát használ (Rijndael) Blokk kódoló Joan Daemen és Vincent Rijmen fejlesztette. Kulcshossz lehet: 128, 192, vagy 256 bit Blokk hossza lehet: 128, 192, vagy 256 bit.
2014.12.03.
41
Problémák: ? A kulcsmenedzsment kérdése: N*(N-1)/2 kulcs szükséges N személy esetén Lehetetlen megosztani és tárolni minden potenciális partner esetén a kulcsot 50 000 partner esetén 1 249 975 000 kulcs
? A titkos csatorna kérdése – 22-es csapdája – Hogyan kommunikálunk titkosan, ha a kulcsban még nem egyeztünk meg? Hogyan adom át a kulcsot? Kódolva? Nem kódolva?
? A brutal-force kérdése 2014.12.03.
42
2. Aszimmetrikus Titkosítás Mindenkinek 2 kulcsa
van: Egy nyilvános kulcs
(bárki ismerheti) Egy titkos kulcs
(csak a tulaj ismeri) Más kulcs a kódolásra és
más a dekódolásra Ideális: Formái: 1. Nyilvános kulcsú titkosítás 2. Digitális aláírás 3. Kulcs egyezmények 2014.12.03.
Letagadhatatlanság Bizalmasság és Felhasználó
autentikáció 43
Algoritmusok 1. RSA
2. D-H 3. DSA
4. PKCS 5. Cramer-Shoup 6. KEA 7. LUC
2014.12.03.
44
RSA: Ronald Rivest, Adi Shamir, and Leonard
Adleman
Az első és legelterjedtebb PKC RSA alkalmas kulcscserére, elektronikus aláírásra, kisebb
blokkok kódolására – az elektronikus kereskedelemben Különböző hosszúságú blokkokat és kulcsokat használ A kulcspárt egy nagyon nagy számból generáljál (n), amely 2 prímszám szorzat Nehéz visszafejteni Nehéz megtalálni a két prímtényezőt 2005-ben egy 200 jegyű szám prímtényezőre bontása 1.,5 évbe telt A kulcs mérete könnyen növelhető- mindig a szgépek számítási teljesítményét meg tudja haladni.
DSA: Digital Signature Algorithm Az NIST Digitális Aláírás Szabványában (Digital Signature
Standard (DSS)), megadott algoritmus az üzenetek hitelesítésére
2014.12.03.
45
Nyilvános vagy Privát Kulcs? Nyilvános kulcs előnyei: Könnyebb kulcsmegosztás, nincs kulcsmenedzsment Jobb skálázhatóság Digitális aláírás lehetősége Kulcsmegosztás a kommunikáció előtt
Kevesebb kulcs szükséges (n titkos kulcs) Hosszabb kulcsok:
Egy kulcs évekig használható, a brutal-force lehetetlen
Nyilvános kulcs hátrányai: Számításigényesebb, info mérete nő
1000-szer lassabb Megbízható Harmadik fél (Trusted Third Party) szükséges 2014.12.03.
46
Feltörési idő Kulcshosszúság(bit) Szükséges idő a kulcs feltöréséhez (Deep Crack)
40
10 mp
56
7 nap
72
1 381 év
88
90 544 142 év
104
5 933 900 946 398 év
128
99 554 337 900 332 014 087 év
2014.12.03.
47
Hash függvény „message digests és egyirányú titkosítás” – nem
használ kulcsot, DE … Matematikai átalakítást használ, így visszafordíthatatlan titkos információt hoz létre Fix hosszúságú hash érték amely lehetetlenné teszi akár a tartalom akár a nyílt szöveg hosszának visszaállítását. Felhasználás: A fájl tartalom digitális ujjlenyomata Biztosítja, hogy a fájlt nem törtek fel, és ne
változtattak meg (pl. vírus) - adat sérthetetlenség Jelszavak titkosítására 2014.12.03.
48
Algoritmusok: 1. MDs: a) MD2
b) MD3 c) MD4 d) MD5
2. SHA 3. RIPEMD
4. HAVAL 5. Whirlpool 6. Tiger 2014.12.03.
49
MD: Message Digest Bájt alapú algoritmus 128 bites hash értéket hoz létre bármilyen hosszúságú
üzenetből
2014.12.03.
MD2 (RFC 1319): Korlátozott memóriával rendelkező rendszerek részére pl. smart kártyák MD4 (RFC 1320): Rivest fejlesztette ki, hasonló az MD2-höz Gyors feldolgozás támogatására MD5 (RFC 1321): Rivest fejlesztette ki, Lassabb mint azMD4 , mert az eredeti szövegen több változtatást eszközöl Hans Dobbertin is ezt mutatta be 1996-ban. 50
Digitális (Elektronikus) Aláírás
Lépések: 1. létrehozás
2. Küldés 3. Igazolás
2014.12.03.
51
Digitális aláírás segítségével a címzett meggyőződhet a neki küldött üzenet
hitelességéről, a levél feladója tényleg az, akinek mondja magát, és a levél tartalma továbbítás közben nem változott meg, Eljárás: 1. 2.
3.
4.
5.
hash függvényt alkalmazása, az üzenetből egy kis méretű ellenőrző összeget készít (lenyomat). Ha valaki akár egy karakternyit változtat az üzenetben, a hash függvény más ellenőrző összeget fog létrehozni a feladó, illetve a címzett oldalán. Két különböző dokumentumnak nem lehet azonos a lenyomata. Mivel az ellenőrző összeg az üzenet részeként jut el a címzetthez, az ellenőrzés során azonnal kiszűrhető az esetleges módosítás. Aszimmetrikus kulccsal titkosítja a lenyomatot. 52
Mit kell tudnia egy elektronikus aláírásnak? hiteles legyen biztosítania kell a dokumentum sérthetetlenségét letagadhatatlannak kell lennie
Egy kézjegy függ a dokumentum tartalmától, mindig más, nem helyezhető át egyik dokumentumból a másikba, szoros egységet alkot az adott elektronikus irattal egy elektronikus aláírás ellenőrzése a dokumentum tartalmának bármilyen kismértékű megváltoztatást jelzi 53
Elektronikus aláírás sajátosságai Az elektronikus aláírás hamisíthatatlan – feltéve,
hogy titkos kulcsunkat nem szerzik meg Letagadhatatlan - feltéve, hogy titkos kulcsunkat nem szerzik meg az elektronikus aláírással jegyzett dokumentum minden másolata hiteles, hiszen az iratok szerkezete ugyanaz, minden bitjük azonos
54
Digitális Tanúsítvány A kibocsátó hatóság
által digitálisan aláírt elektronikus dokumentum, mely megbonthatatlanul tartalmazza a tanúsítvány tulajdonosának azonosítására szolgáló adatokat (pl. neve) és a tulajdonos nyilvános kódkulcsát. mint egy digitális útlevél
http://blogs.sun.com/jeffcai/entry/x_509
2014.12.03.
55
Digitális Tanúsítvány Használják: az elektronikus formában működő hatóságok, az elektronikus kereskedelemben és bizonyos üzenetküldő alkalmazásokban is. Célja : a hitelesítés és az adathalászat elkerülése. Funkciói: Identitás létrehozása: Nyilvános kulcs hozzárendelése egy természetes személyhez, intézményhely, szervezethez, társasághoz stb. Felhatalmazás biztosítása: Megadja, hogy mit tehet és mit nem tehet a tulajdonos. Bizalmas információk biztosítása (pl. a szekció szimmetrikus kulcsának titkosítása) 56
PKI infrastruktúra
nyilvános kulcsú infrastruktúra feladata a digitális aláíráshoz szükséges nyilvános kulcsok létrehozása, kibocsátása, publikálása, menedzselése és visszavonása. biztosítja a rendszerben a következő tulajdonságok meglétét: hozzáférés, hitelesítés, letagadhatatlanság, integritás és bizalmasság. matematikai és logikai technológiára épül, mely biztosítja azt, hogy
egy nyílt hálózatban egyértelműen azonosítani lehessen bárkit. Elmondható, hogy a fenti öt fogalom egységesen garantálható bármilyen nyílt hálózatban, ha feltétel nélkül garantálható bármely fél "személyazonossága". 2014.12.03. 57
PKI infrastruktúra részei: digitális tanúsítvány (i.e. X.509), hitelesítő szolgáltatók, kulcsok, felhasználók, törvényi háttér titkosítási technológiák
elemei
célja digitális tanúsítványok:
2014.12.03.
hardver, szoftver, emberek, stratégiák, és eljárások
létrehozása, kibocsátása, kezelése, szétosztása, használata, visszavonása, hitelesítése, tárolása letiltása. 58
PKI Hozzáférés garantált Hitelesítés garantált
Letagadhatatlanság részben garantált Integritás nem garantált Bizalmasság nem garantált
59
PKI Szabványok: Az X.509 v3 digitális tanúsítvány szerkezete: Verziószám: Sorszám: Algoritmus ID : Kibocsátó
V3 11 2b MD5 CN=TrustCA, OU=BNE, O=QLD, C=AU
Érvényesség
Tól: Kedd 2010 . július 15. 11.20:56 Ig: Péntek 2011. július 16. 8:34:46 Tulajdonos CN=Vicky Liu, OU=BNE, O=QLD, C=AU Tulajdonos Nyilvános Kulcs info Nyilvános kulcs algoritmus RSA Tulajdonos Nyilvános Kulcsa Kibocsátó Azonosító (választható) Tulajdonos Azonosító (választható) Kitételek (választható) ... Tanúsítvány Aláírási Algoritmus MD5 + RSA
2014.12.03.
60
Hitelesítés Szolgáltató Kulcsok (privát vagy nyílt) megalkotásáért,
kibocsátásáért és/vagy hitelesítéséért felelős:
Magának (gyökér) Alárendeltnek Ügynöknek pl. adminisztrátor Végfelhasználónak
Nem kell online lennie Biztosítja, hogy a felhasználó kulcsa megfelelő, Lejárt tanúsítványok esetén új kulcstanúsítványokat bocsát ki A visszavonandó, „kompromittált” /veszélyeztetett kulcsok listájának kibocsátása Megbízható harmadik fél (trusted third party (CA))
jogai: Érvényesítési jog Visszavonási jog 2014.12.03.
61
Hitelesítés Szolgáltatók hierarchiája Két típus: 1. Fa hierarchia A tagok gyökér vagy altagok Offline CA lehetséges (biztonságosabb) 2. Kereszt-referencia hierarchia: Egy CA lehet gyökér és altag Nem lehet offline CA
2014.12.03.
62
Hitelesítés Szolgáltatók (CA) fa hierarchiája Gyökér CA –
egyedül áll, offline Közbenső CA-k
Kibocsátó CA-k
2014.12.03.
63
Tanúsítványok hitelesítése Issuer: CorpCA – Root Subject: CorpCA – Root Public Key:
Issuer: CorpCA – Root Subject: EastCA Public Key: <EastCa>
Issuer: EastCA Subject: User1 Public Key: <User1> 2014.12.03.
Megbízható Harmadik Fél a saját
nyilvános kulcsával
East CA hitelesítése a Fő CA nyilvános kulcsának segítségével
A Felhasználó 1 hitelesítése East CA nyilvános kulcsának segítségével 64
Tanúsítvány Visszavonási Lista (CRL) Tanúsítvány visszavonás:
I. 1.
A tanúsítványoknak korlátozott élettartamuk van
2.
Lejárat előtti érvénytelenítés – visszavonás
3.
Meghatározott érvényességi időtartam A tanúsítvány tulajdonos nem áll többé alkalmazásban A tanúsítványhoz tatozó privát kulcs illetéktelen kezekbe került
A Hitelesítés Szolgáltató aláírása érvényes marad a tanúsítványon
II. CRL – Hitelesítés Szolgáltató adja ki, tartalmazza: 1. Időpecsétet, minden visszavont, le-nem-járt de érvénytelen tanúsítványt 2. A visszavont tanúsítványok sorozatszámát 3. A visszavonás okát 4. Rendszeresen közzétett 5. skálázható 2014.12.03.
65
Időbélyeg • Egy elektronikus dokumentumhoz hozzárendelt vagy
azzal logikailag összekapcsolt adat, amely segítségével igazolható, hogy a dokumentum változatlan az időbélyeg elhelyezésének időpontjában létező állapothoz képest. • Tartalmazza: • az időbélyegzett dokumentum lenyomatát, és • az időbélyegzés időpontját, és • az időbélyeget egy időbélyegzés szolgáltató állítja ki és
hitelesíti saját aláírásával. • Szoftver készíti pl. e-Signo
• igazolja, hogy egy adott dokumentum egy adott
időpillanatban már létezett. 66
Időpecsét
2014.12.03.
67
Időbélyeg+elektronikus aláírás Ha mindkettő szerepel egy dokumentumon, akkor
bizonyítható, hogy az a személy írta alá, akinek a tanúsítványa az aláírásban szerepel, és 2. az időbélyegben szereplő időpont előtt írta alá, és azóta nem változtatta meg. 1.
az elektronikus aláírás csak akkor "letagadhatatlan",
ha igazolható, hogy az aláírás mikor (vagy mely időpont előtt) jött létre; ez legegyszerűbben időbélyeggel biztosítható. az elektronikus aláírások érvényességét időbélyegekkel szokták biztosítani. 2014.12.03.
68
PKI Alkalmazási Lehetőségei 1. Okoskártyák 2. Titkosított Fájl Rendszer (EFS) 3. Biztonságos email 4. SSL
5. Authenticode 6. RAS/VPN, IPSec
2014.12.03.
69
Okoskártyák Elég lassú 8-bites/16-bites adatelérés Half-duplex interfész Korlátozott adattárhely Tanúsítványok, kulcsok stb. Nincs szabványos adattárolás Előnyei: Nincs hozzáférés a privát kulcshoz – a kártyán jön létre és ott is marad Minden titkosítási feladat a kártyán fut és soros porton érhető el Hordozható „tanúsítvány” 2014.12.03.
70
Okoskártya a gyakorlatban Csak felhasználói csoportok funkcionálhatnak egyetlen
kártyával Mi történik, ha a kártyaművelet megszakításra kerül? Semmi Lefagy a képernyő Kilép
Vállalati stratégia szabályozza PIN kód menedzsment: PIN ≠ jelszó A kártyához és nem a hálózathoz tartozik A PIN nem megy át a rendszeren Nem feltétlen hosszú Hozzáférés megtagadva, ha a PIN többször rosszul van megadva. 2014.12.03.
71
Titkosított File Rendszer (EFS) Lehetővé teszi bizalmas adatok észrevétlen titkosítását
és fizikai védelmét Gyors szimmetrikus titkosítás GUI vagy taskbar eléréssel Vagy egy fájl vagy egész mappa, könyvtár számára –
rekurzív
Vállalati szolgáltatások: Helyreállítás – alkalmazott kilépése miatt Fájl szervereken és terminálokon, notebook-on is titkosítás Automatikus kulcskezelés 2014.12.03.
72
EFS működése: Dokumentum titkosítás
http://www.scritube.com/stiinta/tutorials/windows-en/EFS-ARCHITECTURE124156154.php
2014.12.03.
73
Dokumentum Dekódolás
2014.12.03.
74
Dokumentum Helyreállítás
2014.12.03.
75
Notebook kérdése Minden személyes adat rajta van Védelem: Titkosítás Adathalászat ellen
MENTÉS, ARCHIVÁLÁS KÉRDÉSE Meghatározott ütembe Csúsztatott inkremens (változást menti) http://www.thaisomdej.com/images/_CustomClearance/PaperlessEpayment/Slide1.jpg
2014.12.03.
76
Támadások típusai és előfordulási százalékuk 0
V í ru s
H á lü z a t i h o z z á f é r é s
M o b il e s z k ö z e lt u la jd o n í t á s a
S z o lg á lt a t á s m e g t a g a d á s a
R e n d s z e rb e t ö ré s
H o z z á f é r é s b e lü lr ő l
I n f o r m á c ió e lt u la jd o n í t á s a
S z a botá z s
P é n z ü g y i c s a lá s
T e le k o m m u n ik á c ió s c s a lá s
T e le k o m m u n ik á c ió s h a llg a t ó z á s
H a llg a t ó z á s a h á ló z a t o n
10
20
30
40
50
60
70
80
90
Veszélyek: Adathalászat angolul fishing, a halászat szóra utal Formái: 1. egy internetes csaló oldal egy jól ismert cég hivatalos
oldalának láttatja magát és megpróbál bizonyos személyes adatokat, pl. azonosítót, jelszót, bankkártyaszámot stb. illetéktelenül megszerezni a támadó úgy jut az adatokhoz, hogy azt a felhasználó
maga adja meg a támadások fő célpontjai:
népszerű közösségi oldalak, online aukciós portálok, ekereskedelemre szakosodott cégek, bankok, internetes tartalomszolgáltatók, e-mail szolgáltatók
számtalan magyar oldal is az adathalászok támadási
felületét képezi 78
Adathalászat 2. a csaló általában e-mailt vagy azonnali üzenetet küld a
címzettnek, amiben ráveszi az üzenetben szereplő hivatkozás követésére egy átalakított weblapra, ami külsőleg szinte teljesen megegyezik az eredetivel
a feladó e-mail címe az esetek többségében hitelesnek tűnik egy laikus felhasználó számára a hamisított üzenet kézhezvételekor a címzett könnyen azt hiheti, hogy a levél olyasvalakitől érkezett, akivel ő valóban kapcsolatban áll
2008-ban un. fishing-kit-ek jelentek meg az interneten,
melyek segítségével bárki saját csaló támadást indíthat automatikus módszerekkel, akár komolyabb szakértelem nélkül 79
Adathalászat 3.
levélben technikai problémákra hivatkozva kérik adataink megismétlését, vagy arra szólítják fel a kiszemelt felhasználót, hogy az küldje el jelszavát abból a célból, hogy azt leellenőrizhessék 3.
4.
5. 6.
miután a naiv felhasználó elküldte jelszavát, azzal tetszőleges visszaélést követhet el a támadó, a legveszélyesebb: a személyes adatok védelme, anyagi hátrányt okozó csalások
mobiltelefonokon keresztüli, általában SMS-ben próbálkozó adathalász technika, a smishing; a vishing módszerével internetes telefonálásra, beszélgetésre alkalmas szoftveren keresztül szereznek információkat a felhasználóról tömegeket megcélzó adathalászati támadás a spear fising, egyszerre több e-mail címre küldenek csaló levelet whaling támadás esetén a mennyiség helyett a minőség a cél: kisebb számban küldi el a csaló az e-maileket, de pontosan megválogatott célpontokra, akiktől sok pénz tűnik kicsalhatónak 80
Adathalászat Védekezés: tudni kell – a bankok e-mailben, SMS-ben,
telefonon, weboldalon sosem kérik a PIN kódot!! Ne lépjünk be olyan banki weboldalra, melynek címét (linket) e-mailben kaptunk! Nemzetközi Adathalászat elleni Munkacsoport létrejött
81
Támadások:
Biztonsági feltérképezés Sebezhetőségi átvilágítás (portok szkennelése) Csomag/hálózat lopás Jelszófeltörés Hamis személyazonosság (jogosulatlan belépés) Adat módosítás Rootkit Social engineering Trójai faló – Virus - Féreg Key logger TCP/IP eltérítés – Szolgáltatás megtagadása 2014.12.03.
82
Vírusok rosszindulatú programok, programozott fenyegetések Képes önmaga sokszorosítására Saját állományukat más állományokba másolják
Mutálódhatnak terjedésűkhöz szükség van emberi beavatkozásra aktiválásuk eseménytől, időtől függ - „lappangási idő”
után vagy bizonyos időpontban aktivizálódnak különböző kárt okoznak futási idő növelése Tárkapacitás, erőforrások lefoglalása adattörlés programmódosítás 83
Fertőződés történhet Adathordozón: Floppy-ról merevlemezről CD-ről,
Adatátvitel során Internetről Másik hálózatról
Fertőződhet PC Mobiltelefon PDA Laptop Vállalati hálózat …
84
Vírusfajták Rosszindulatú programkódok Vírus Programfertőző
Rendszertöltő programkódot fertőző Makróban rejtőzködő Társult
Férgek
Trójai Általános Másolásvédelmi Használatkorlátozó Fertőző Hálózati kém Elnézett Kombinált
Rosszindulatú adatállományok
(spam) 85
Rosszindulatú adatállományok Nem változtat sem a számítógép hardverén, sem a
szoftverén, de tartalmával, vagy szélsőségesen nagy mennyiségével, gyakoriságával a normális üzemmenetet fékezi, esetleg ellehetetleníti. Leggyakoribb formája az automatákkal küldött elektronikus levél.
86
Rosszindulatú programkódok A számítógép tulajdonosának tudta és akarata ellenére a
számítógépre kerülő programok, programrészletek, vagy azok indítására hatással lévő állományok, állományrészletek, melyek a károkozás széles spektrumát ölelik át az egyszerű helyfoglalástól a működésükkel elért szoftver és hardver károsításig. A gépeken passzív, vagy aktív módon terjedve hatásuk számítógépek tömegét érinti. Vírus Féreg
Trójai Kombinált 87
1. Vírus Önmagában futásképtelen rosszindulatú programkód,
mely programhoz, vagy futtatandó részt tartalmazó dokumentumhoz kapcsolódva, beágyazódva önmaga aktív terjesztésére képes. BAT, BIN, COM, EXE, LIB, PIF, … Programfertőző Rendszertöltő programkódot fertőző Makróban rejtőző
Társult
88
Vírusfajták 1 Programfertőző: önmagában vagy más programok részeként végrehajtódó gépi kódú programkódhoz kapcsolódó vírus. Terjed adathordozóval és hálózaton küldve is. Jellegzetes hordozó program- vagy programrészlet állományok: BIN, COM, EXE, SYS, … Rendszertöltő programkódot fertőző: az operációs rendszer betöltését megelőzően az aktív partíció meghatározását végző Master Boot Rekordbeli (MBR) programhoz, vagy a partícióban található Boot rekordbeli betöltő programhoz kapcsolódó vírus. Elsősorban floppyval terjed. A Boot rekord a partíciók és a rendszerfloppyk elején van. 89
Vírusfajták 2 Makróban rejtőző: operációs rendszer által, vagy egyes felhasználói
programok által értelmezhető és végrehajtható, nem gépi kódú utasítássorozatba rejtőző vírus. Terjed adathordozóval és hálózaton küldve. Platform független, többféle operációs rendszer környezetben működik. Társult: futtatható hibátlan programhoz társulva, annak nevét használva rejtőzködő vírus. 90
Rosszindulatú programfájlok 2. Féreg: a hálózati operációs rendszer hibáit kihasználó, önálló futásra képes rosszindulatú programkód, önmaga másolására, terjesztésére képes a hálózaton. Elsősorban a hálózati operációs rendszereket fertőzi, nem a fájlokat. 3. Trójai: önállóan nem szaporodó, nem önreprodukáló, normális programba beágyazott rosszindulatú programkód. A program felhasználója telepíti a gépre. 4. Kombinált: 2. az előzőekben leírt rosszindulatú programkódok működésének kombinációja 91
3. Trójai programok Általános: rosszindulatú programkód futtatására
szolgáló trójai program, funkciója programba rejtve Másolásvédelmi: illegálisan másolt program futtathatóságának megakadályozására szolgál Használatkorlátozó: adott idő vagy futtatási szám után a hordozó program futtatását megakadályozza Fertőző: egy másik vírus szabadon engedélyezésével fertőz Hálózati kém: hálózatba kötött gépet kiszolgáltatja a vírus írójának Elnézett: a letöltővel elfogadtatja a nem rejtett funkciót is 92
Vírusok károkozásai A számítógép lelassul, a merevlemez szabad kapacitása
csökken, újraindul a gép, … Fájlok tartalma megváltozik, törlődik Merevlemez formázása Jogosultságok megváltoztatása, védelmi rendszerek kiiktatása Hardvereszköz tönkretétele Programok leállítása (vírusirtó, tűzfal) BIOS tönkretétele Hálózati kapcsolat sérülése Adatok küldése a hálózaton 93
Vírusok csoportosítása 1. Károkozás mértéke, típusa szerint Reprezentatív vírus: a program jelzi jelenlétét, de egyéb kárt nem okoz Szoftvert károsító vírus: állományokat károsítják, adatbázisokban, operációs rendszerekben is kárt okozhatnak
94
2. Támadás célpontja szerinti csoportosítás Fájl vírusok: végrehajtható állományokat támadják, használják „szaporodásra” (exe, com) BOOT vírusok: a mágneslemez BOOT-szektorát támadják, induláskor beíródik a memóriába, merevlemez teljes tartalma elveszhet Makrovírusok: makrót tartalmazó adatfájlhoz kapcsolódnak, (word, excel) Levél- és programférgek: kihasználják a levelező és alkalmazói programok hibáit, internet terjedésével gyakoriságuk nő Mobiltelefon-vírusok: mobiltelefonokat, kézi szgépeket fertőzhetnek, vezeték nélküli adatátvitellel fertőznek bluetooth-on, infra porton keresztül 95
3. Speciális vírusok Kémprogramok (spyware): tudtuk nélkül adatokat továbbítanak egy másik gépre, a felhasználó szokásait figyelik vagy adatfájlokat böngészik, pl: billentyűzet figyelése: weboldalakon használt felhasználói nevekhez, jelszavakhoz is hozzáférhetnek Reklámterjesztő programok (adware): kéretlen reklámokat jelenítenek meg a képernyőn, adatokat gyűjtenek a felhasználó szokásairól Trójai programok: a felhasználók telepítik a szgépre, megnyitják a szgép valamelyik kapuját (portját), így kívülről elérhető a szgép, idegenek szándékosan kárt okozhatnak 96
Vírusfelismerés Indokolatlanul megváltozik egy fájl mérete Fájlok eltűnnek vagy megjelennek
Nem indulnak el programok A háttértárak szabad kapacitása hirtelen csökken Megváltozik a program felülete
Különös, szokatlan viselkedés
97
Védekezés a vírusok ellen Ismeretlen eredetű, gyanús állományt ne nyissunk meg, ne
indítsunk el Gyanús levelek csatolt állományait ne nyissuk meg Kettős kiterjesztéssel rendelkező csatolt fájlokat ne nyissunk meg Rendszeresen futtassunk vírus ellenőrző programot Internetes támadások ellen használjunk tűzfalat Böngészőhöz töltsük le a biztonsági csomagokat, a biztonsági réseket kihasználhatják a vírusok Biztonsági mentéseket készítsünk a fontos állományokról 98
Vírus fertőzés esetén Függesszünk fel minden tevékenységet, csak a
vírusmentesítésre figyeljünk Rendszergazdát értesítsük Vírusirtó programot alkalmazzunk Gyanús állományokat töröljük Lemez formázása (drasztikus módszer)
99
Antivírusok és antikém rendszerek Felderítők Védők (pajzsok) vírusírtók AVG F-Prot Kaspersky McAfee NOD32 Norton
Panda
2014.12.03.
100
Víruskezelő programok Általános víruskezelő programok: Megfertőzött állományok javítása, karanténba helyezése, törlése A rendszer folyamatos figyelése E-mail szűrés, csatolt állományok ellenőrzése (Norton Antivírus, VírusBuster) Speciális célokra használható programok:
memória rezidens programok, folyamatosan figyelik a rendszert pl: trójai programkeresők, bizonyos vírusok irtására szakosodott programok (TrojanHunter) 101
Hekkelés SEBEZHETŐSÉG Fehérkalapos –
etikus hekkelés Feketekalapos KIHÍVÁSOK Logikai bomba Időbomba Nyúl Hátsó ajtó 2014.12.03.
102
2014.12.03.
103