X. el˝oad´as: A web ´es az adatbiztons´ag k´esz¨ult Buday Gergely di´ainak felhaszn´al´as´aval
2012. november 11.
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Mir˝ol lesz sz´o?
A fenyeget´esek t´ıpusai Malware B¨ong´esz˝okh¨ oz kapcsol´ od´ o k´ od alap´ u t´amad´asok Megt´eveszt´eses t´amad´asok Kiberb˝ un¨oz´es Privacy-vel (szem´elyes inform´aci´ ok v´edelme) kapcsolatos k´erd´esek
Hogyan v´edekezz¨unk?
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Alapszab´alyok - r¨ovid ism´etl´es
Legy¨unk ´eberek, ´es ne feledkezz¨unk meg a j´ozan ´eszr˝ol! Ha a g´ep¨unk vagy a b¨ong´esz˝onk (vagy egy´eb alkalmaz´asunk) furcs´an viselkedik, akkor n´ezz¨unk ut´ana, hogy mi okozhatja ezt! Ne telep´ıts¨unk mindenf´el´et! Ne kattintsunk mindenf´el´ere! Haszn´aljunk malware v´edelmet (v´ırusirt´ot)! Telep´ıts¨uk a biztons´agi friss´ıt´eseket!
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Malware
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Kihaszn´alhat´o hib´ak
Hiba, ha a program csak arra van felk´esz´ıtve, hogy helyes bemeneti adatokra m˝uk¨odj¨on j´ol Ilyen esetben, ha nincs felk´esz´ıtve a hib´as bemeneti adatok kezel´es´ere a program, elk´epzelhet˝o, hogy a t´amad´o egy j´ol (rosszul) form´alt u¨zenettel egy ´artalmas utas´ıt´ast hajtson v´egre M´eg nem ismert sebezhet˝os´egek adott programban: nulladik napi t´amad´as
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Nulladik napi t´amad´as
Nulladik napi t´amad´as (zero-day vagy zero-hour t´amad´as) Sz´am´ıt´og´epes programok m´eg nem ismert sebezhet˝os´eg´et kihaszn´al´o t´amad´as A nev´et onnan kapta, hogy a t´amad´as ´altal´aban a nulladik napon (vagy m´eg ann´al is kor´abban) l´ep m˝uk¨od´esbe, ahol a nulladik nap a program fejleszt˝oj´enek a hib´ar´ol val´o ´ertes¨ul´es´et jel¨oli A fejleszt˝o akkor ´all neki a hiba foltoz´as´anak, amikor m´ar annak kiakn´az´asa folyamatban van
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Malware
malware: malicious software (rosszindulat´u szoftver) sz´am´ıt´og´epes v´ırus sz´am´ıt´og´epes f´ereg (worm) tr´ojai program k´emprogram (spyware) rootkit (gy¨ok´ercsomag) o˝szint´etlen vagy aggressz´ıv rekl´amprogram (adware) egy´eb rosszindulat´u ´es/vagy nem k´ıv´anatos programok
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Malware t´ıpusainak megoszl´asa
k´ ep forr´ asa: https://secure.wikimedia.org/wikipedia/en/wiki/Malware k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Mi a c´elja a malware-nek? Szem´elyes adatok megszerz´ese P´eld´aul: billenty˝ uzet-le¨ ut´esek figyel´ese vagy HTTP-s¨ utik ellop´asa
H´ats´o kapu (Backdoor) telep´ıt´ese - ´ıgy lesz a g´ep¨unkb˝ol zombig´ep egy botnetben (l´asd k´es˝obb) Adatforgalom megfigyel´ese Tov´abbi t´amad´asok el˝ok´esz´ıt´ese Semmi c´elja nincs a fert˝oz´esen t´ul, de ennek ellen´ere vesz´elyes ´es k´art´ekony lehet (l´asd f´ergek) Egy´eb c´elok
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
V´ırusok Biol´ogiai v´ırus: nem o¨n´all´o ´el˝ol´eny, csak egy gazdatestben ´eletk´epes Sz´am´ıt´og´epes v´ırus: hasonl´o ehhez, nem ¨on´all´o program, hanem r´atelepszik egy hasznos programra ´es terjed, r´egen floppy lemezeken, manaps´ag az interneten ´es ahogy v´egrehajtjuk a hasznos programot, lem´asol´odik ´es k´art tesz a f´ajlrendszerben lelass´ıthatja a g´epet a haszn´alhatatlans´agig megb´en´ıthatja a rendszert R´egebben a futtathat´o f´ajlok jelentett´ek a legnagyobb vesz´elyt, ma m´ar vannak p´eld´aul makr´ov´ırusok is, amik Word ´es Excel ´allom´anyokkal terjednek k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
V´ırusok igyekeznek elrejt˝ozni R´ egebbi v´ırusok, p´ eld´ aul MS-DOS alatt, u ¨gyeltek arra, hogy ne v´ altozzon az ”utolj´ ara m´ odos´ıtva” id˝ ob´ elyeg a megfert˝ oz¨ ott ´ allom´ anyon a fert˝ oz´ est megel˝ oz˝ o´ allapothoz k´ epest Egyes v´ırusok az ´ allom´ anyok m´ eret´ enek n¨ ovel´ ese vagy azok k´ aros´ıt´ asa n´ elk¨ ul k´ epesek fert˝ ozni az´ altal, hogy az ´ allom´ anyon bel¨ ul tal´ alhat´ o haszn´ alaton k´ıv¨ ul l´ ev˝ o ter¨ uletekre ´ırj´ ak be magukat A v´ırusok egy r´ esze a v´ıruskeres˝ o programok feladatainak a le´ all´ıt´ as´ aval v´ edekeznek az ellen, hogy megtal´ alj´ ak o ˝ket Sz´ amos v´ıruskeres˝ ou ´gy van be´ all´ıtva, hogy automatikusan ellen˝ orzi a saj´ at s´ ertetlens´ eg´ et, ez´ ert t¨ obb olyan v´ırus van, ami az ilyen ´ allom´ anyokat tudatosan elker¨ uli, hogy cs¨ okkentse a felfedez´ es vesz´ ely´ et Az okosabb v´ırusok m´ ar a csalif´ ajlokra is figyelnek, amelyeket az´ ert hoztak l´ etre, hogy azokat megfert˝ ozz´ ek ´ es ´ıgy seg´ıts´ ek a v´ırusok beazonos´ıt´ as´ at, az ilyen v´ırusok elker¨ ulik a gyan´ us f´ ajlokat A v´ırus u ´gy is rejt˝ ozk¨ odhet, hogy meg´ all´ıtja az antiv´ırus szoftver k´ er´ es´ et, hogy a megfert˝ oz¨ ott ´ allom´ anyt olvassa, ´ es az oper´ aci´ os rendszer helyett maga v´ alaszol az ´ allom´ any fert˝ ozetlen p´ eld´ any´ anak felmutat´ as´ aval
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
”Mut´al´od´o” v´ırusok A modern v´ırus´ırt´o programok gyakran jellegzetes v´ırusmint´akat keresnek az ´allom´anyokban. Annak ´erdek´eben, hogy megnehez´ıts´ek a megtal´al´asukat az u´jabb v´ırusok: minden fert˝oz´es alkalm´aval megv´ altoztatj´ ak a k´ odjukat, ´ıgy nehez´ıtve meg a beazonos´ıt´asukat titkos´ıtva t´ arolj´ ak magukat a gazda´allom´anyban (ilyenkor egy a titkos´ıt´ast kibont´ o modult is tartalmaz a v´ırus) a polimorf v´ırusok kombin´alj´ak ezt a k´et lehet˝os´eget ´es a titkos´ıt´ast felold´o moduljukat m´ odos´ıtj´ak a fert˝oz´es alkalm´aval a metamorf´ ozisra k´ epes v´ırusok teljesen u ´jra´ırj´ak magukat a fert˝oz´eskor (ehhez azonban egy nagy ´es bonyolult metamorf´ozis modullal is rendelkeznie kell a v´ırusnak)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
F´ereg (Worm) A legfontosabb k¨ul¨onbs´eg a v´ırusokhoz k´epest, hogy on´ ¨ all´ oan terjed (f˝oleg az interneten), ´es nincs sz¨ uks´ ege gazdaprogramra Az els˝o internetes f´ereg: Morris worm, 1988 Becsl´esek szerint az akkori 60000 internetre k¨ot¨ott g´ep egytized´et megfert˝ ozte Robert Morris-t el´ıt´elt´ek 3 ´ev pr´ obaid˝ ore felf¨ uggesztve, 400 ´ora k¨ozmunk´ara, valamint 10000 doll´arra b¨ untetve
Az ¨onsokszoros´ıt´ason t´ul a f´ergek gyakran sz´all´ıtanak valamilyen k´art´ekony k´odot. A k´art´ekony k´oddal nem rendelkez˝o f´ergek (ilyen volt a Morris is) is komoly fennakad´asokat tudnak okozni a s´avsz´eless´eg foglal´as´aval, tov´abb´a m´as k´art´ekony programoknak megk¨onny´ıthetik a terjed´es´et k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
A rosszindulat´u f´ergek hat´asmechanizmusa
Megfert˝oz¨ott g´ep: zombi Fert˝oz¨ott g´epek h´al´ozata: botnet (l´asd k´es˝obb) Distributed Denial of Service t´amad´as: elosztott szolg´altat´asakad´alyoztat´as K´eretlen rekl´amlevelek (spam) k¨uld´ese Jelszavak gy˝ujt´ese
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Tr´ojai programok
¨ ent let¨olt¨unk egy hasznosnak t˝un˝o programot Onk´ De valami m´as is van benne Figyelheti az adatforgalmunkat, stb. A tr´ojai program nem felt´etlen¨ul tartalmaz rosszindulat´u k´odot, de gyakran lehet˝ov´e tesz valamilyen fajta h´ats´o kaput a rendszer¨unkh¨oz A v´ırusokkal szemben k¨ul¨onbs´eg, hogy a tr´ojai programok ´altal´aban nem terjesztik magukat
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
K´emprogramok (spyware) A k´emprogramok c´elja adatok gy˝ujt´ese a felhaszn´al´or´ol (vesz´elyesebb v´altozatokn´al bele´ertve a felhaszn´al´oneveket, jelszavakat, banksz´amlasz´amokat, stb.) A kev´esb´e vesz´elyes k´emprogramok csak b¨ong´esz´esi szok´asainkat r¨ogz´ıtik, hogy azt´an c´elzott rekl´amaj´anlatokkal tudjanak majd megkeresni minket (l´asd spam) Vannak olyan k´emprogramok, amelyek tr´ojai programokk´ent telep¨ulnek a felhaszn´al´ok g´ep´ere a felhaszn´al´ok akt´ıv k¨ozrem˝uk¨od´es´evel
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Rootkit (gy¨ok´ercsomag)
Ezeknek a programoknak az a c´elja, hogy min´el m´elyebben be´agyazz´ak magukat az oper´aci´os rendszerbe, ´es a legmagasabb felhaszn´al´oi jogosults´agokat (UNIX-szer˝u rendszerekben ez a ’root’ felhaszn´al´o) biztos´ıts´ak - gyakran egy h´ats´o kapu fenntart´asa mellett a rootkit gazd´aj´anak Ma m´ar Windows-ra is k´esz¨ulnek rootkit programok A rootkitek teljes elt´avol´ıt´asa gyakran csak a merevlemez form´az´asa ´es a teljes rendszer u´jratelep´ıt´ese ´altal lehets´eges
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Amikor a felhaszn´al´o mag´anak telep´ıt rootkit-szer˝u programokat A Prey program (http://preyproject.com/), egy olyan ingyenes ´es ny´ılt forr´ask´od´u program, amely lehet˝ov´e teszi, hogy a laptopunkat, amennyiben azt ellopt´ak, t´avolr´ol ´es az u´j gazd´aja tudta n´elk¨ul utas´ıtsuk p´eld´aul a t´arolt jelszavak t¨ orl´es´ere a sz´am´ıt´og´ep teljes lez´ar´as´ara a wifi kapcsol´ od´asi pont seg´ıts´eg´evel helymeghat´aroz´asra a webkamera seg´ıts´eg´evel k´epek k´esz´ıt´es´ere k´eperny˝ok´epek k´esz´ıt´es´ere
A Prey ebb˝ol a szempontb´ol egy rootkit-szer˝u program, amely rejtve marad, am´ıg nem aktiv´aljuk, ´es amellyel t´avolr´ol lehet utas´ıt´asokat k¨uldeni a g´epnek (iPhone-ra l´etezik a hasonl´o Find My iPhone alkalmaz´as) k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
˝ Oszint´ etlen vagy aggressz´ıv rekl´amprogram (Adware) ”Rekl´amprogramokat nagyon sok programmal egy¨utt telep´ıthet¨unk: vagy az´ert, mert a licencszerz˝od´es ezt el˝o´ırja (p´eld´aul emiatt lehet egy programot ingyenesen haszn´alni), vagy az´ert, mert nem figyel¨unk a be´all´ıt´asokn´al (alapb´ol be van ´all´ıtva a telep´ıt´ese, ´es nem pip´aljuk ki, hogy nem k´erj¨uk), vagy tudtunk ´es beleegyez´es¨unk n´elk¨ul telepedik a g´ep¨unkre. A megszerzett inform´aci´okat u¨zleti c´elokra (pl. c´elzott rekl´amok l´etrehoz´asa, felhaszn´al´oi statisztik´ak, profilok k´esz´ıt´ese stb.), vagy ak´ar nem t¨orv´enyes (k´eretlen rekl´amlevelek, l´asd spam) m´odon haszn´alj´ak fel.” (https://hu.wikipedia.org/wiki/Rekl´amprogram) k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
B¨ ong´ esz˝ okh¨ oz kapcsol´ od´ o k´ od alap´ u t´ amad´ asok
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Lehets´eges t´amad´asi form´ak Csak n´eh´any a b¨ong´esz˝okkel kapcsolatos legfontosabb t´amad´asi form´ak k¨oz¨ul Cross-site scripting (XSS) (oldalakon ´atny´ul´o programk´od) Clickjacking (klikkel´es-elt´er´ıt´es) Cross-site request forgery (oldalakon ´atny´ul´o k´er´eshamis´ıt´as) Session hijacking (munkamenet elt´er´ıt´es) DNS cache poisoning (DNS gyors´ıt´ot´ar´anak a megm´ergez´ese) k¨oz´epre´all´asos t´amad´as SQL injection (SQL injekci´oz´as) k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Cross-site scripting (XSS) Olyan oldalakon fordul el˝ o, ahol lehet˝ os´eg van kliens-oldali k´od elhelyez´es´ere (p´eld´aul f´ orumokon, ahol lehet html k´odot elhelyezni a bejegyz´esbe) Az XSS t´amad´as ez´ert a k´ od injekci´ oz´as egy speci´alis esete Az XSS t´amad´as lehet˝ ov´e teheti, hogy a t´amad´o megker¨ ulj¨on olyan v´edelmi be´all´ıt´asokat, mint az azonos eredet szab´aly Az XSS t´amad´asok adj´ak a weboldalakhoz k¨ ot˝od˝o fenyeget´esek jelent˝ os h´anyad´at Mivel a munkamenet fenntart´asa gyakran HTTP-s¨ utik seg´ıts´eg´evel t¨ort´en˝ o azonos´ıt´assal val´ osul meg, ´es a HTTP-s¨ utik gyakran hozz´af´erhet˝ oek a kliens-oldali programok sz´am´ara, az XSS t´amad´asok lehet˝ ov´e tehetik az ezekhez a s¨ utikhez val´o hozz´af´er´est XSS f´ergek is l´eteznek m´ar k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Clickjacking (klikkel´es-elt´er´ıt´es)
A klikkel´es-elt´er´ıt´es gyakran u´gy t¨ort´enik, hogy a t´amad´ok egy val´odi oldal f¨ol´e t¨oltenek be egy l´athatatlan oldalt, ´es mik¨ozben a felhaszn´al´o azt hiszi, hogy valamit a val´odi oldalon csin´al, ak¨ozben val´oj´aban a t´amad´ok ´altal m˝uk¨odtetett oldalon adja meg a jelszav´at, stb.
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Cross-site request forgery (CSRF) A CSRF az XSS ford´ıtott p´ arja, am´ıg az XSS t´ amad´ as eset´ en a t´ amad´ oa kliens-oldalon hajt v´ egre k´ art´ ekony k´ odot, mert a felhaszn´ al´ o megb´ızik az adott oldalban, addig a CSRF t´ amad´ as eset´ en a t´ amad´ o azt haszn´ alja ki, hogy a kiszolg´ al´ o megb´ızik a m´ ar hiteles´ıtett felhaszn´ al´ oban, ´ es az ˝ o nev´ eben k¨ uld a szerver-oldalnak k´ art´ ekony k´ odot a t´ amad´ o Azok az oldalak vannak vesz´ elyben, ahol nem sz¨ uks´ eges az egyszeri azonos´ıt´ ason t´ ul tov´ abbi felhatalmaz´ asokat v´ egeznie a felhaszn´ al´ onak az utas´ıt´ asok v´ egrehajt´ as´ ahoz P´ eld´ aul egy k´ ep beilleszt´ ese helyett ez a k´ od megpr´ ob´ alja a p´ eld´ aban szerepl˝ o Bob bankj´ at arra utas´ıtani, hogy banksz´ aml´ aj´ ar´ ol utaljon ´ at Fred sz´ aml´ aj´ ara sok p´ enzt (p´ eldak´ od forr´ asa: https://secure.wikimedia.org/wikipedia/en/wiki/CSRF)
A kil´ ep´ es a m´ ar nem haszn´ alt oldalakr´ ol, ´ es az eml´ ekezzen r´ am ezen az oldalon funkci´ ok ker¨ ul´ ese seg´ıt n¨ ovelni az ilyen t´ amad´ asokkal szembeni v´ edelmet
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Session hijacking (munkamenet elt´er´ıt´es) A munakmenet elt´er´ıt´es szint´en arra ´ep¨ul, hogy a munkamenet fenntart´asa gyakran HTTP-s¨utik seg´ıts´eg´evel t¨ort´enik Az aktu´alis HTTP-s¨utik megszerz´es´evel (ak´ar azok ellop´as´aval, ak´ar azok lehallgat´as´aval, stb.) a munkamenetet elt´er´ıt˝o t´amad´o mag´at a megt´amadott felhaszn´al´ok´ent t¨untetheti fel a kiszolg´al´o g´ep fel´e, ´es ´ıgy az aktu´alis jogosults´agaival beleny´ulhat a munkamenetbe (ak´ar ki is t´urva az eredeti felhaszn´al´ot a jelsz´o megv´altoztat´as´aval) P´elda: A Firesheep k´epes egy titkos´ıtatlan (vagy WEP titkos´ıt´ast haszn´al´o) wifi kapcsolaton kereszt¨ul bel´epni az ugyanazon wifi-n kereszt¨ul csatlakoz´o felhaszn´al´ok Facebook vagy Twitter munkamenet´ebe k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Tov´abbi t´amad´asi form´ak ”A DNS cache poisoning vagy DNS cache pollution (DNS gyors´ıt´ ot´ ar´ anak a megm´ ergez´ ese) egy domainneveket IP-c´ımekre ford´ıt´ o szerver elleni t´ amad´ as, amelynek sor´ an hamis adatokat juttatnak a szerver gyors´ıt´ ot´ ar´ aba, ´ıgy az adott webc´ımre kapcsol´ odni pr´ ob´ al´ o klienseket nem a hozz´ atartoz´ o sz´ am´ıt´ og´ ephez, hanem egy a t´ amad´ o´ altal meghat´ arozott m´ asik g´ ephez ir´ any´ıtja.” (https://hu.wikipedia.org/wiki/DNS-gyors´ır´ ot´ ar-m´ ergez´ es) ”A k¨ oz´ epre´ all´ asos t´ amad´ as (angolban: man-in-the-middle attack) t´ amad´ as sor´ an a k´ et f´ el k¨ oz¨ otti kommunik´ aci´ ot kompromitt´ alja egy t´ amad´ ou ´gy, hogy a kommunik´ aci´ os csatorn´ at (tipikusan valamilyen sz´ am´ıt´ og´ epes h´ al´ ozatot) elt´ er´ıtve mindk´ et f´ el sz´ am´ ara a m´ asik f´ elnek adja ki mag´ at. ´Igy a k´ et f´ el azt hiszi, hogy egym´ assal besz´ elget, mik¨ ozben val´ oj´ aban mindketten a t´ amad´ oval vannak csak kapcsolatban” (https://hu.wikipedia.org/wiki/K¨ oz´ epre´ all´ asos t´ amad´ as) SQL injekci´ oz´ as: SQL k´ od megad´ asa k¨ ul¨ onb¨ oz˝ o inputmez˝ okben, abban az esetben, ha az oldal nincs kell˝ oen j´ ol meg´ırva, az ilyen k´ odok kisz˝ ur´ es´ ere, a k´ od v´ egrehajt´ asra ker¨ ulhet, ´ es a t´ amad´ o k´ art tehet a weboldal adatb´ azis´ aban, vagy ak´ ar ki is list´ aztathatja azt
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Megt´ eveszt´ eses t´ amad´ asok
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Rogue security software (rogueware) - Hamis biztons´agi programok Olyan malware, ami u´gy veszi r´a a felhaszn´al´ot a telep´ıt´esre, hogy valamilyen vesz´elyre figyelmezteti, majd felaj´anlja annak a vesz´elynek az elt´avol´ıt´as´at A kev´esb´e k´art´ekony hamis biztons´agi programok, csak p´enzt csalnak ki a felhaszn´al´okb´ol a nem l´etez˝o fenyeget´esek kezel´es´e´ert A vesz´elyesebb v´altozatok, a telep´ıt´es¨uket k¨ovet˝oen val´oban k´art´ekony programokat (p´eld´aul k´emprogramokat) is elhelyeznek a felhaszn´al´o g´ep´en ´ Ujabban a keres´esi eredm´enyek m´odos´ıt´as´aval (l´asd k´es˝obb a botnetekn´el) a k´art´ekony programot k´ın´al´o URL-eket feltorn´azz´ak a rangsor elej´ere az aktu´alis fenyeget´esekkel kapcsolatos h´ırekre t¨ort´en˝o keres´esn´el megjelen˝o tal´alatok k¨oz¨ott k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Adathal´aszat (Phishing) Egy internetes csal´ o oldal egy j´ ol ismert c´eg hivatalos oldal´anak l´attatja mag´at ´es megpr´ ob´al bizonyos szem´elyes adatokat, p´eld´aul azonos´ıt´ ot, jelsz´ ot, bankk´artyasz´amot stb. illet´ektelen¨ ul megszerezni. Kapunk egy levelet egy bankt´ ol De nem a bankt´ ol kaptuk, hanem valaki m´ast´ ol, aki adatokat akar t˝ ol¨ unk kicsalni A bankok sosem k´ernek t˝ ol¨ unk e-mail-ben jelsz´ ot! Figyelj¨ uk a levelez˝ oben, hogy a linkek hova mutatnak (copy link location) Alkalmazzunk phishing sz˝ ur˝ ot! Ezt el˝ oseg´ıti a megb´ızhat´ o oldalak feh´er list´aja ´es az ismert phishing oldalak fekete list´aja, amely list´ak automatikusan friss¨ ulnek a sz´am´ıt´ og´epen. A Firefox ezen a ter¨ uleten egy¨ uttm˝ uk¨ odik a Google-lal, a k´erd´eses URL-t a keres˝ og´ep szervere ellen˝ orzi. k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Nigerian scam scam: csal´as Nig´eri´ab´ol terjedt el ”419” Kapunk egy e-mail-t egy afrikai hercegt˝ol, hogy megosztja vel¨unk mes´es vagyon´at, ha seg´ıt¨unk neki A seg´ıts´eg els˝o l´ep´ese term´eszetesen az, hogy utaljunk ´at neki n´eh´any ezer doll´art. Ne d˝olj¨unk be! Rossz megold´as: egy cseh nyugd´ıjas 2003-ban lel˝otte a nig´eriai konzult Pr´ag´aban. Ne felejts¨uk el az angol mond´ast: TINSTAAFL
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Hoax
hoax - beugrat´as Gyakran l´anclev´elben terjed A c´el lehet val´os email-c´ımek gy˝ujt´ese, amik a tov´abb´ıt´asok sor´an gy˝ulnek a fejl´ecben
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Kiberb˝ un¨ oz´ es
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
A Botnet u¨zlet
Botnet: saj´at ”vez´erl˝o” szoftverrel ell´atott, megt´amadott g´epek h´al´ozata bot: a vez´erl˝o program el kell rejteni o˝ket, hogy a v´ıruskeres˝ok ne tal´alj´ak meg a bot terjeszt´ese: spam k¨uld´es´evel, f´orumra k¨uld´essel, facebookon, valamint worm-szer˝u ¨on-terjeszt´essel f´orumon: itt egy ´erdekes vide´o, csak egy speci´alis kodek kell hozz´a, t¨oltsd le
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Hogyan keresnek p´enzt botnettel?
DDoS t´amad´assal Bizalmas adatok megszerz´es´evel Spam k¨uld´es´evel Adathal´aszattal Tr´ojai programok terjeszt´es´evel
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
DDoS t´amad´asok
2009 janu´ar: t´amad´as a GoDaddy.com webszolg´altat´o ellen Majdnem 24 o´r´aig el´erhetetlen volt a szolg´altat´o ´altal t´arolt sok ezer honlap 2007 febru´ar: t´amad´as az internet root n´evszerverei ellen ´ Ara: 50$-t´ol t¨obb ezer doll´arig (24 o´r´as t´amad´as) a shadowserver.org szerint 2008-ban 190.000 DDos t´amad´ast hajtottak v´egre, 20 milli´o doll´art bev´etelezve (nincs benne a zsarol´as, amit nem tudunk becs¨ulni)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Bizalmas inform´aci´o lop´asa
Amit az ember a saj´at g´ep´en t´arol: bankk´artya-sz´am, u¨zleti inform´aci´o, jelszavak banksz´amlasz´am: 1-t˝ol 1500 doll´arig ”carder” - bankk´artya-hamis´ıt´ok Brazil b˝un¨oz˝ok 4.74 milli´o doll´art h´ıvtak le pc-kr˝ol szerzett inform´aci´okkal E-mail c´ımek gy˝ujt´ese 1 milli´o e-mail c´ım 20 doll´art´ol 100-ig terjed Ugyanennyi c´ımre e-mail k¨uld´es 150 doll´art´ol 200-ig terjed
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Adathal´aszat
A szervereket nagy¨uzemben gy´artj´ak, de v´edeni kell o˝ket a bez´ar´as ellen Botnetekkel n´eh´any percenk´ent lehet IP-c´ımet v´altani egy domain n´evhez ”fast flux” szolg´altat´as Havi d´ıj: 1000-2000 doll´ar
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Spam
A Kaspersky Lab szerint a spam 80%-´at botnetek k¨uldik Viagra, m´asolt ´or´ak, online kaszin´ok 2008-ban 780 milli´o doll´ar bev´etelt ´ertek el a spammel˝ok
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Search Engine Optimisation (SEO) Spam
Page ranking Botnetekkel feljebb lehet torn´azni a honlapunkat a keres´esi list´an Egyik szempont: h´any link mutat a honlapunkra
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Adware, malware
´ egy aut´os magazint olvasunk, amikor hirtelen felj¨on Epp egy ablak, ami aut´oalkatr´eszeket k´ın´al Nem install´altunk semmit. De nem is kell: a botnet u¨zemeltet˝oi gondoskodtak err˝ol. J K Shiefer 2007-ben havi 14000 doll´art keresett: egy 250000 g´epet tartalmaz´o botnettel 10000 g´epre install´alt szoftvereket.
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Klikkel´eses csal´as A hirdet˝o c´egek klikkel´es alapj´an fizetnek Botnettel egyszer˝u csalni Google AdSense: a vev˝ok a Google-nek fizetnek a klikkel´es´ert A Google m´as websz´ajtokon is hirdeti ezt a c´eget, fizetve minden klikkel´es´ert. Neh´ez b´ır´os´ag el´e cit´alni ez´ert valakit A Click Forensics szerint a klikkel´esek 16-17%-a hamis, ´es ezek harmada botnetek ´altal gener´alt. Ez kb. 33 milli´o doll´art jelentett 2008-ban.
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
T´ul a kiberb˝un¨oz´esen. . .
Cyber crime: u¨zleti ´erdek Cyber terrorism: valamilyen politikai/vall´asi/mor´alis/stb. u¨gy ´erdek´eben Cyber war: orsz´agok k¨oz¨ott zajlik
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Privacy (szem´ elyes inform´ aci´ ok v´ edelme)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Privacy-vel (szem´elyes inform´aci´ok v´edelme) kapcsolatos probl´em´ak http://www.weknowwhatyouredoing.com/ Fot´ok megoszt´asa ´es arcfelismer˝o szoftverben rejl˝o vesz´elyek St´atusz friss´ıt´esek ´es inform´aci´o arr´ol, hogy hol vagyunk, mennyi id˝ore hagytuk u¨resen a lak´asunkat, stb. Helyek beazonos´ıt´asa fot´ok alapj´an (p´eld´aul lakc´ım megtal´al´asa megosztott fot´ok alapj´an) Mobiltelefonok GPS adatokat ´agyazhatnak a fot´oinkba, ha nem kapcsoljuk ki ezt a funkci´ot Online keres˝ok ´altal t´arolt inform´aci´o
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Privacy ´es kapcsolath´al´o oldalak Felt¨olt¨ott tartalmak feletti rendelkez´esi ´es tulajdonjog (pl. Facebookra felt¨olt¨ott k´epek a Facebook tulajdon´at k´epezik) Kapcsolath´al´o oldalakon megosztott inform´aci´ok potenci´alis vesz´elyforr´ast jelenthetnek ´ ıtsuk be a privacy be´all´ıt´asokat! All´ Gondoljuk meg, hogy mit t¨ olt¨ unk f¨ ol! Figyelem, HR-szakemberek is haszn´alj´ak a kapcsolath´al´o oldalakat!
A bar´ataink list´aja alapj´an nagyon sok inform´aci´ot meg lehet r´olunk tudni (pl. hogyan tudom kital´alni, hogy egy felhaszn´al´o milyen egyetemre j´ar vagy j´art?) Lehets´eges megold´as a decentraliz´alt kapcsolath´al´o oldalak (pl. DIASPORA*) k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Hogyan v´ edekezz¨ unk?
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
T˝uzfal Egyszer˝ u csomagsz˝ ur´ es: P´eld´aul felad´o IP c´ıme, c´ımzett IP c´ıme, portsz´am ´es alkalmazott protokoll szerint sz˝ urheti az adatcsomagokat
´ Allapot szerinti csomagsz˝ ur´ es: M´ar nem csak magukban viszg´alja az egyes adatcsomagokat, hanem azokat a fenn´all´ o kapcsolatok ´allapotaival is ¨osszeveti, ha egy adatcsomag egy enged´elyezett TCP k´er´es r´esze, akkor azt ´atengedi a t˝ uzfal, a nem m´ar fenn´all´ o kapcsolathoz tartoz´o (vagy a felhaszn´al´ o ´altal kezdem´enyezett u ´j kapcsolatot l´etrehoz´ o) adatcsomagok ki lesznek sz˝ urve
Alkalmaz´ as-szint˝ u sz˝ ur´ es: M´ar a k¨ ul¨onb¨oz˝o alkalmaz´as-szint˝ u protokollok (pl. DNS, FTP, HTTP) viselked´es´et is k´epes figyelni ´es ´ertelmezni, ´es arra reag´alva lez´arni az adatforgalom u ´tj´at, ha rosszindulat´ u viselked´es jeleit l´atja k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Otthoni router biztons´agi be´all´ıt´asok V´altoztassuk meg az alap´ertelmezett admin jelsz´ot ´es nevet Haszn´aljunk WPA2 titkos´ıt´ast a wifi jelsz´ohoz (ennek a jelsz´onak ne legyen semmi k¨oze se a h´al´ozat nev´ehez, se az admin n´evhez vagy jelsz´ohoz) V´altoztassuk meg az alap´ertelmezett h´al´ozatnevet (SSID: service set identifier) Kapcsoljuk ki a h´al´ozatn´ev (SSID) sug´arz´as´at ´ ıtsuk be a t˝uzfalat a router-en All´ Kapcsoljuk ki a routert, amikor hosszabb ideig nem haszn´aljuk ´ ıtsunk be MAC Address sz˝ur´est) (All´ k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
V´ırus´ırt´ok ´es egy´eb malware v´edelem
A v´ırusirt´oknak k´et f˝o m˝uk¨od´esi m´odjuk van: Reakt´ıv v´ edelem: v´ırusdefin´ıci´os adatb´azis alapj´an keresi a k´aros programokat (az adatb´azist rendszeresen friss´ıteni kell) Heurisztikus v´ edelem: a k´art´ekony programokat viselked´esi mint´ak, k´od¨osszet´etel ´es egy´eb jellemz˝ok ment´en igyekszik kisz˝urni a v´ırus´ırt´o Az egy´eb malware v´edelem hasonl´ok´eppen m˝uk¨odik Ma m´ar a v´ırus´ırt´ok is gyakran nem csak v´ırusokat keresnek
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
HTTPS Mint m´ar tudjuk, a HTTP a weboldalak c´elbajuttat´as´at szolg´al´o protokoll. A HTTP titkos´ıtatlanul tov´abb´ıtja az adatokat, lehallgathat´o, ez´ert nem biztons´agos p´eld´aul banki tranzakci´okn´al. A HTTPS (HTTP Secure) ”protokoll” az adattov´abb´ıt´ast titkos´ıtott csatorn´ara tereli. A HTTPS igazib´ol nem egy protokoll, hanem egy olyan utas´ıt´as, aminek ´ertelm´eben a HTTP protokollt a 443-as porton kell haszn´alni SSL vagy TLS titkos´ıt´as alkalmaz´asa mellett. A HTTPS nyilv´anos kulcs igazol´asok (public key certificate) alkalmaz´as´ara ´ep¨ul HTTPS kapcsolat k´enyszer´ıt´ese: pl. HTTPS Everywhere (https://www.eff.org/https-everywhere) illetve NoScript k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Ny´ılv´anos wifi haszn´alata
Ne haszn´aljunk ny´ılv´anos wifi-t, ha nem musz´aj (ha m´egis, akkor lehet˝oleg virtu´alis mag´anh´al´ozaton (VPN: virtual private network), stb.) Haszn´aljunk HTTPS k´enyszer´ıt´est Ha ny´ılv´anos wifi-t haszn´alunk, kapcsoljuk ki a mapp´ak ´es ´allom´anyok megoszt´as´at Ne enged´elyezz¨uk a ny´ılt wifi h´al´ozatokhoz val´o automatikus kapcsol´od´ast
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Automatikus futtat´as g´atl´asa
Windows Az automatikus futtat´as (AutoRun) letilt´asa a malware fenyeget´esek jelent˝ os h´anyad´at meg tudja ´all´ıtani (p´eld´aul Disable Autorun).
Script blocking b¨ong´esz˝okben A felhaszn´al´ o enged´elyez´ese n´elk¨ ul nem engedi a b¨ong´esz˝oben a kliens-oldalon fut´ o programok ind´ıt´as´at Az ¨osszes nagyobb b¨ ong´esz˝ oben el´erhet˝ o megold´as Az egyik leger˝ osebb b¨ ong´esz˝ ov´edelem: NoScript (Firefox kieg´esz´ıt˝o)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
NoScript Blokkolja a JavaScript, Java, Flash, Silverlight ´es egy´eb ”akt´ıv” tartalmak bet¨ olt´es´et Bizonyos m´ert´ek˝ u v´edelmet ny´ uj m´eg az XSS, CSRF, clickjacking (klikkel´es-elt´er´ıt´es), k¨ oz´epre´all´asos t´amad´asokkal szemben is Kisz˝ uri a m´asik weboldalba HTML vagy JavaScript k´odot injekci´ ozni pr´ ob´al´ o weboldalak ilyen ir´any´ u k´er´eseit Rendelkezik egy Application Boundaries Enforcer (ABE) (Alkalmaz´ashat´ar meger˝ os´ıt´es) modullal, aminek az a c´elja, hogy egy b¨ ong´esz˝ on bel¨ uli ”t˝ uzfalk´ent” v´edje az egyes ´erz´ekeny webalkalmaz´asokat megadott szab´alyok szerint (ezeket a felhaszn´al´ onak vagy a weboldal u ¨zemeltet˝ oj´enek vagy egy harmadik f´elnek kell szolg´altatnia) A ClearClick elem v´ed a klikkel´es-elt´er´ıt´esekkel szemben az´altal, hogy megakad´alyozza a rejtett elemekre val´ o klikkel´est Alkalmas a HTTPS kapcsolat kik´enyszer´ıt´es´ere is k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Nyomk¨ovet´es megakad´alyoz´asa AdBlock, BetterPrivacy, ClickClean, stb. Firefox-ban ´all´ıtsuk be a preferences-ben (be´all´ıt´asok), hogy ne k¨ovessenek minket a weboldalak. (Be´all´ıthatjuk azt is, hogy a b¨ong´esz˝o ne eml´ekezzen a b¨ong´esz´esi el˝ozm´enyeinkre.) AdBlock Plus ´es hasonl´o szolg´altat´asok nem csak megakad´alyozz´ak a zavar´o (´es s´avsz´eless´eget ´es adatforgalmat fogyaszt´o) rekl´amok let¨olt´es´et, de egyben megel˝ozik a rekl´amokban tal´alhat´o k¨ovet˝o elemek m˝uk¨od´es´et (pl. HTTP s¨utik) Ha a ClickClean kieg´esz´ıt˝o seg´ıts´eg´evel, vagy a b¨ong´esz˝o-be´all´ıt´asokkal folyamatosan u¨resen tartjuk a b¨ong´esz˝oben r´olunk t´arolt inform´aci´okat, akkor egy esetleges b¨ong´esz˝o elt´er´ıt´es eset´en nem fognak tudni t´ul sok haszn´alhat´o inform´aci´ot kinyerni bel˝ole r´olunk k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
K´etl´epcs˝os azonos´ıt´as
Bel´ep´eshez nem el´eg a jelsz´o, kell m´eg egy azonos´ıt´o kulcs (p´eld´aul a mobilunkra k¨uld¨ott SMS-ben tal´alhat´o k´od) Sz´amos szolg´altat´o k´ın´al m´ar ilyen lehet˝os´eget: Gmail, Facebook, LastPass, Dropbox, WordPress, stb. Sajnos nem minden szolg´altat´o k´etl´epcs˝os azonos´ıt´as szolg´altat´asa el´erhet˝o vagy megfelel˝oen m˝uk¨odik Magyarorsz´agr´ol
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Fi´okok rendben tart´asa ´es megsz¨untet´ese
Ha nem haszn´alunk m´ar egy szolg´altat´ast, akkor sz¨untess¨uk meg N´ezz¨uk ´at a fi´okjaink biztons´agi be´all´ıt´asait Facebook be´all´ıt´asokat n´ezz¨uk ´at! Amikor erre figyelmeztetnek, akkor n´ezz¨uk ´at u´jra, mert megv´altoztatj´ak azokat! (Facebook sz´am´ara fontosabb a felhaszn´al´oi b´azis n¨ovel´ese, mint a privacy v´edelme ´es az esetleges vissza´el´esek megakad´alyoz´asa (l´asd telefonsz´amok kinyerhet˝os´ege))
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
K´erdezz¨unk r´a, n´ezz¨unk ut´ana, ellen˝orizz¨uk le
Ha valami gyan´us, akkor keress¨unk r´a, esetleg k´erdezz¨unk r´a, hogy val´oban az a szem´ely k¨uldte, aki felad´ok´ent szerepel Digit´alis al´a´ır´asok alkalmaz´asa ´es ellen˝orz´ese http://safeweb.norton.com/ (nem minden kock´azati t´enyez˝ot tal´al meg, ´erdemes a felhaszn´al´oi ´eszrev´eteleket is megn´ezni, ´es persze azok se 100%-osan megb´ızhat´oak!)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Haszn´aljunk egy teljesen u´j rendszert
K´esz´ıts¨unk egy k¨uls˝o adathordoz´ot (CD, DVD, pendrive), amir˝ol egy ellen˝orz¨ott teljesen u´j rendszer ind´ıthat´o Haszn´aljunk egy ilyen garant´altan tiszta rendszert p´eld´aul online bankol´asn´al vagy v´as´arl´asn´al V´ırus´ırt´ashoz is aj´anlott egy ilyen tiszta rendszer (ebben az esetben h´ıvj´ak recovery disk-nek is)
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag
Lez´ar´as Az ezen az o´r´an ´attekintett fenyegetetts´egek ´es v´edekez´esi lehet˝os´egek/megfontol´asok nem alkotnak sem teljes sem v´egleges list´at, folyamatosan v´altoznak az online adatbiztons´aggal kapcsolatos kih´ıv´asok ´es lehets´eges v´alaszok Nincsen 100%-os biztons´ag vagy garancia a v´edetts´egre A biztons´agi tanus´ıtv´anyokat oszt´ o szolg´altat´okat ugyan´ ugy megt´amadhatj´ak mint a hardware el˝o´all´ıt´oj´at
Igyekezz¨unk a lehet˝os´egekhez m´erten cs¨okkenteni az ellen¨unk ir´anyul´o sikeres t´amad´asok kock´azat´at Ne feledkezz¨unk meg a j´ozan ´eszr˝ol ´es az ´ebers´egr˝ol
k´ esz¨ ult Buday Gergely di´ ainak felhaszn´ al´ as´ aval
X. el˝ oad´ as: A web ´ es az adatbiztons´ ag