Ugrás a tartalomhoz Lépj a menübe

1.3. Információtechnológiai biztonság alapjai

A számítógépek és a tárolt adatok biztonsági fenyegetései (fizikai, adat).

 

Léteznek olyan biztonsági rések, amik programok telepítését teszik lehetővé a felhasználó tudta nélkül, esetleg megpróbálhatja valahogy rávenni a felhasználót a telepítésére. De kiragadott példaként speciálisan megírt weboldalakkal az otthoni routerek beállításai módosíthatók, ha az alapértelmezett jelszót nem változtatták meg. Egy időben a WMF fájlokat lehetett úgy megírni, hogy az abba ágyazott kód azonnal lefut. Megoldás: tűzfalak, vírusirtók, anti-kémprogramok telepítése, biztonságos böngészők és levelezőprogramok használata, lehetőleg minél kevesebb ismeretlen, idegen program telepítése a gépre, biztonságos oldalak látogatása az Interneten. Speciális támadási forma a social engineering, amikor az emberi hiszékenységet és jóhiszeműséget használják ki (pl. valaki rendszergazdának adja ki magát és karbantartásra hivatkozva elkéri a felhasználónevet és jelszót). Ide tartozik még a pishing, avagy adathalászat fogalma: megtévesztik az embereket, hogy azok megadják pl. a banki adataikat. Megoldás: semmi naivitás és a hiteles források ellenőrzése.

Hardverhibából adódó veszélyek:

  • adatvesztés
  • szellemi kár (pl. családi fotók)
  • pénzügyi kár (pl. cég titkos egy példányban tárolt legújabb robotjának pontos tervrajza)

 

A rosszindulatú szoftverek és azok csoportosítása. A vírus, trójai, féreg, az adware, a spyware és a spam fogalma, jellemzői.

 

A vírusok fajtái, kifejtett hatásuk

  • Adware szoftverek: azok a freeware programok, amelyek futtatása közben megjelennek a szponzorok, támogatók reklámjai.
  • Fájl-vírus: Ez a legrégebbi vírusforma, mely futtatható (exe, com, dll) állományokhoz épül hozzá. A vírussal fertőzött program jelenléte a háttértáron önmagában még nem vezet károkozáshoz. A vírus kódja csak akkor tud lefutni (aktivizálódni), ha futtatjuk a vírus által fertőzött programot. Ekkor a gazdaprogrammal együtt a vírus is a memóriába töltődik, s ott is marad a számítógép kikapcsolásáig. Ez idő alatt a háttérben végzi nem éppen áldásos tevékenységét: hozzáépül az elindított programokhoz (fertőz), és eközben vagy egy bizonyos idő elteltével illetve dátum elérkezésekor végrehajtja a belékódolt destruktív feladatot.
  • BOOT-vírus: A mágneslemez BOOT szektorába írja be magát, így ahányszor a lemez használatban van, annyiszor fertőz. Különösen veszélyes típus az ún. MBR vírus, amely a rendszerlemez BOOT szektorát támadja meg, így induláskor beíródik a memóriába. Innentől kezdve egyetlen állomány sincs biztonságban, amely a memriába kerül. Hajlékonylemezek esetében a fizikai írásvédelem bekapcsolása megakadályozza a fertőzést.
  • Makróvírus: A makrók megjelenésével dokumentumaink is potenciális vírushordozóvá váltak. A makró irodai programokban a felhasználó által létrehozott „parancslista”, mely a dokumentumban gyakran elvégezendő gépies feladatok automatizálására használatos. A makróvírus e lehetőséggel él vissza: dokumentumainkhoz épülve, annak megnyitásakor fut le kártékony kódja. A vírusok ezen válfaja az internetes adatforgalom fellendülésével indult rohamos terjedésnek.
  • Trójai program: A mondabeli trójai falóhoz hasonlóan valójában mást kap a felhasználó, mint amit a program „ígér”. Ez a vírus a jól működő program álcája mögé bújik: hasznos programnak látszik, esetleg valamely ismert program preparált változata. Nem sokszorosítja magát, inkább időzített bombaként viselkedik: egy darabig jól ellát valamilyen feladatot, aztán egyszer csak nekilát, és végzetes károkat okoz. Némely trójai programok email-ek mellékleteként érkeznek: a levél szerint biztonsági frissítések, valójában viszont olyan vírusok, amelyek megpróbálják leállítani a víruskereső és tűzfalprogramokat.
  • Féreg: Általában a felhasználók közreműködése nélkül terjed, és teljes (lehetőleg módosított) másolatokat terjeszt magáról a hálózaton át. A férgek felemészthetik a memóriát és a sávszélességet, ami miatt a számí- tógép a továbbiakban nem tud válaszolni. A férgek legnagyobb veszélye az a képességük, hogy nagy számban képesek magukat sokszorozni: képesek például elküldeni magukat az e-mail címjegyzékben szereplő összes címre, és a címzettek számítógépein szintén megteszik ugyanezt, dominóhatást hozva így létre, ami megnöveli a hálózati forgalmat, és emiatt lelassítja az üzleti célú hálózatot és az internetet. Hírhedt példa az internet 1988-as féregfertőzése (az Internet Worm).
  • Kémprogramok (Spyware): Céljuk adatokat gyűjteni személyekről vagy szervezetekről azok tudta nélkül a szá- mítógép-hálózatokon. Az információszerzés célja lehet békésebb – például reklámanyagok eljuttatása a kikémlelt címekre – de ellophatják számlaszámainkat, jelszavainkat vagy más személyes adatainkat rosszindulatú akciók céljából is. A többi vírusfajtához hasonlóan más programokhoz kapcsolódva tehet rájuk szert a nem eléggé óvatos felhasználó.
  • Ezen kívül a vírusokat csoportosíthatjuk a károkozás jellege (csak ijesztget vagy ténylegesen töröl, ill. módosít) ill. az aktivizálódás időpontja szerint is (fertőzés esetén rögtön, adott idő elteltével vagy bizonyos dátum bekövetkezésekor).

 

A belső és külső hálózati fenyegetések és azok alapvető jellemzői. Néhány hálózati támadástípus és megtévesztési technika jellemzői (DoS, DDoS, Spoofing, Man-in-the-Middle, Social Engineering).

Szolgáltatás lebénítása (Denial of Service, DoS)

Szolgáltatás lebénítására irányuló támadási módszerek (Denial of Service, DoS) célja egy szolgáltatás lelassítása, megakasztása. DDoS (Distributed Denial of Service, Elosztott DoS támadás) esetén sok “ártatlan” számítógépre támadóprogramot telepítenek a tulajdonos engedélye (és akár tudta) nélkül, melyekről később egy időpontban indul “elosztott” támadás a célgép ellen. A támadott erőforrás alapján néhány példa DoS támadásokra:

  • A merevlemez kapacitás elleni támadás lehet olyan események előidézése egy adott hálózati kiszolgálón, melyek naplóbejegyzést okoznak. Rosszul tervezett kiszolgáló esetén a naplóbejegyzésekkel megtöltött merevlemez több szolgáltatás leállását is okozhatja (pl. levelezés, webszerver, stb.).
  • A számítási kapacitás elleni támadások a kiszolgálón nagymértékű processzorterhelést okoznak. A támadást általában olyan, nem várt eseményekkel váltják ki, melyekre a támadott program hibásan van felkészítve. Ilyen esemény lehet például egy nem specifikált értéket tartalmazó üzenet egy adott protokoll felett. Sikeres támadás esetén a támadott program végtelen ciklusba esve emészti fel a kiszolgáló számítási kapacitását.
  • A sávszélesség elleni támadásokat legtöbbször a már említett DDoS módszerrel valósítanak meg. Ilyenkor általában egy, az Interneten elérhető hálózati kiszolgáló hasznos forgalmát szeretnék kiszorítani nagymennyiségű haszontalan forgalom generálásával. A már több nagyvállalat Internetes portálja ellen bekövetkezett DDoS támadások tapasztalata, hogy ezen támadások kivédése általában nagyon sok pénzt és energiát emészt fel.
  • Egyéb hálózati erőforrás elleni támadások is elképzelhetőek. Ilyen lehet például akár egy DHCP kiszolgáló címterének szándékos kimerítése vagy egy hálózati switch MAC címtáblájának túltöltése is.

 

 

Hamisítás alapú támadások(spoofing)

  • Ezen támadások közös vonása, hogy az előállított protokoll üzeneteket valamilyen hamis információval töltik fel, így okozva nem várt működést a hálózatra kapcsolt eszközön.
  • IP cím hamisítás (IP address spoofing): az IP datagram alapú protokoll, melyben a kommunikáló felek építik fel a teljes IP fejlécet. Emiatt elképzelhető, hogy egy hálózati eszköz olyan üzenetet küldjön, melyben az IP datagram feladóját meghamisítja, abba nem a valós IP címét helyezi. Ugyan a feladó ekkor az IP útválasztása miatt nem kapja meg a válaszüzenetet, de látni fogjuk, hogy egyes támadások esetén erre nincs is szükség. Az esetek kis részében az IP hamisítás kiszűrheti például úgy, hogy bizonyos helyekről egyértelműen meghatározható címeket fogadunk csak el (pl. egy privát hálózatban gyanús lehet egy, a hálózati maszkhoz nem illő IP cím megjelenése), de általánosságban csak speciális protokollok segítségével bizonyosodhatunk meg az IP datagramokban levő IP címek valódiságáról (pl. IPSec).
  • Névszerver átejtés (DNS spoofing): a támadás lényege, hogy az áldozat egy névfeloldással hamis információt kapjon. Ez elérhető az áldozat DNS szerverének feltörésével, vagy hamis DNS válaszüzenet küldésével a DNS szerver nevében (a DNS lekérés UDP protokollon megy, egy megfelelő hálózati beékelődéssel pedig már nagyon könnyű meghamisítani a választ). A támadással elérhető, hogy az áldozat másik hálózati eszközzel lépjen kapcsolatba, mint amivel eredetileg szeretett volna. A DNS átejtéssel a támadó kikényszerítheti, hogy az áldozat kapcsolatot kezdeményezzen vele (pl. jelszóval elérhető szolgáltatás eltérítése esetén megszerezheti a jelszót, melyet a gyanútlan áldozat elküld neki).
  • TCP/UDP átejtés (TCP/UDP spoofing): Hibásan implementált protokollverem, vagy protokollhiányosságok miatt a már felépült, illetve kezdeményezett kapcsolatokat egy harmadik személy „elrabolhatja” vagy idegen csomagokat csempészhet bele.

Man-in-the-middle:

A közbeékelődéses támadás vagy középreállásos támadás (angolban: man-in-the-middle attack) során a két fél közötti kommunikációt kompromittálja egy támadó úgy, hogy a kommunikációs csatornát (jellemzően valamilyen számítógépes hálózatot) eltérítve mindkét fél számára a másik félnek adja ki magát. Így a két fél azt hiszi, hogy egymással beszélget, miközben valójában mindketten a támadóval vannak csak kapcsolatban, aki így kijátszhatja az ilyen támadásra fel nem készített kihívás/válasz protokollokat, egyszerűen továbbítva a kihívást a másik félnek, majd visszaküldve annak válaszát.

Social Engineering

A Social Engineering az emberek bizalomra való hajlamának kihasználása. A rossz szándékú támadók gyakran használják ezt a módszert a számítógépekhez való illetéktelen hozzáférésre és információk megszerzésére. A Social Engineering nem a hardver, a szoftver vagy a hálózat hibáit, hanem az emberi természet gyengeségeit használja ki a számítógépek feltörésére. Alkalmazásával bárki, aki csak minimális informatikai ismeretekkel rendelkezik, behatolhat egy biztonságosnak tartott rendszerbe, majd hozzáférhet, módosíthatja vagy akár törölheti az ott tárolt adatokat.

 

Védekezési lehetőségek. A szoftverek frissítéseinek jelentősége. A vírusvédelmi rendszerek és azok működési mechanizmusa.

 

Számítógép védelme a biztonsági fenyegetésektől:

  • tűzfal: A tűzfal segít megvédeni a számítógépet, megakadályozva, hogy támadók és kártékony szoftverek hozzáférhessenek ahhoz.
  • vírusvédelem: A vírusvédelmi szoftverek meg tudják védeni a számítógépet a vírusoktól, férgektől és más fenyegetésektől.
  • kémprogramok és egyéb kártevő programok elleni védelem: A kémprogram-elhárító szoftver segít megvédeni a számítógépet a kémprogramoktól és egyéb nemkívánatos szoftverektől.
  • rendszerfrissítések: Az OS-ek képesek rendszeresen frissítéseket keresni a számítógép számára, és automatikusan telepítheti is azokat (OTA, Over The Air).

Hálózat védelme:

  • vírusos levelezés, spamek szűrése
  • adatforgalom helyi vagy szolgáltató általi szabályozása

Információ, adat védelme:

  • megfelelő protokollok használata (https, SSH-TLS, FTPS)
  • adatok titkosítása
  • jelszóval védett tömörítés
  • Privát és publikus kulcs
  • háttértár titkosított tárolása

Vírusirtó Működési elvei

A vírusirtó szoftverek két alapelven működnek.

  • Az első az úgynevezett reaktív védelem, ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.
  • A második – és napjainkban egyre fontosabb – védelmi módszer az úgynevezett heurisztikus vírusvédelem. Ebben az esetben a vírusirtó a beépített analizáló algoritmusok (mesterséges intelligencia) segítségével azonosítja a vírusokat. A módszer azért nagyon fontos, mert sokszor több nap telik el egy új vírus megjelenésétől addig, amíg a vírusirtó program gyártója az ellenszert elkészíti és beépíti a vírusdefiníciós adatbázisba. A reaktív vírusirtó szoftvernek ilyenkor frissítenie kell magát az internetről, és csak ezután nyújt védelmet az új vírusok ellen.

A heurisztikus módszereket is alkalmazó modern vírusirtók viszont addig is védelmet nyújtanak a legtöbb kártevő ellen, amíg az ellenszer elkészül.

Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.

 

A számítógéphez, az operációs rendszerhez és a tárolt adatokhoz való hozzáférések és azok szabályozási lehetőségei (felhasználók, jelszavak). Az állományok és mappák fájlrendszer szintű védelme

 

A vírusok elleni védekezés módszerei

  • hitelesítés: Ma még leggyakrabban felhasználói azonosító és jelszó megadásával történik. · hozzáférés-ellenőrzés: Felhasználókhoz rendelt jogosultságok kezelése. Minden felhasználó esetén megadható az engedélyezett (vagy tiltott) műveletek halmaza.
  • adatsértetlenség: Rendszerfájlok módosításának tiltása.
  • letagadhatatlanság: Digitális aláírás használata elektronikus levelezésnél.
  • víruskereső: Rosszindulatú szoftverek keresése, észlelése, blokkolása. (ld. lent)
  • tűzfal: Számítógépünk kommunikációs portjainak ellenőrzése, kapcsolódási próbálkozások szűrése.
  • titkosítás: Fájlrendszerünket és kommunikációnkat is titkosíthatjuk (SSH, HTTPS).