1 / 77

Hogyan váljunk áldozattá az interneten? Viktimológiai útmutató felhasználóknak

Hogyan váljunk áldozattá az interneten? Viktimológiai útmutató felhasználóknak. Krasznay Csaba. Közhelyek. Szemelvények a hacker Bibliából: Minden rendszer annyira gyenge, amennyire a leggyengébb láncszeme.

gabrielle
Download Presentation

Hogyan váljunk áldozattá az interneten? Viktimológiai útmutató felhasználóknak

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Hogyan váljunk áldozattá az interneten?Viktimológiai útmutató felhasználóknak Krasznay Csaba

  2. Közhelyek • Szemelvények a hacker Bibliából: • Minden rendszer annyira gyenge, amennyire a leggyengébb láncszeme. • A leggyengébb láncszem mindig az ember (az informatikai fenyegetések túlnyomó többsége a szék és a billentyűzet között helyezkedik el). • Nincs feltörhetetlen rendszer, csak idő és akarat kell hozzá. • Konklúzió: találd meg a támadható embert, akinek a gyenge rendszerén keresztül egyszerűen és hamar az egész vállalati rendszert a hatalmadba kerítheted!

  3. A támadható ember • Az információs társadalom kialakulásának egyik eredménye, hogy kis túlzással bárkiről bármi kideríthető. • Ennek árnyoldala az, hogy nagyon hamar meg lehet találni a támadható embert. • Tipikus kiindulópontok: • Blogok • Közösségi oldalak • Keresőoldalak

  4. Felhívások a veszélyre • Könnyen az igen népszerű katonai blogok végét jelentheti, ha a külföldön szolgáló amerikai katonák internetezési szokásait megszigorítják. Bár a magyar honvédelmi tárca tagadja, hogy korlátoznák a magyar katonák szólásszabadságát, az Afganisztánban szolgáló honfitársaink ki vannak tiltva a netes chatszobákból, és e-mailjeiket is ellenőrzik. (FN.hu) • Egy, a Nemzetbiztonsági Hivatalból származó levél arra hívja fel az állami vezetők figyelmét, hogy az iWiW kapcsolati hálón tárolt adataik kockázatot jelentenek az országra nézve. (FN.hu) • Kiszivárgott a Fibernettől a cég budafoki internet-előfizetőinek részleges listája. A neveket, címeket és az esetleges tartozások tényét tartalmazó fájl március óta érhető el az interneten egy egyszerű Google-kereséssel. (index.hu)

  5. A támadható ember – a blogok

  6. A támadható ember – az iWiw

  7. A támadható ember – az iWiw

  8. A támadható ember – az iWiw

  9. A támadható ember – az iWiw

  10. Milyen adatokat tudtunk meg? • Egy néhány órás keresés eredménye, hogy tudjuk több munkatárs: • E-mail címét, • Telefonszámát, • Otthoni címét, • Ismerőseit, • Iskolai kapcsolatait, • Hobbiját, • MSN azonosítóját, • Skype azonosítóját.

  11. Célzott támadások • Trendek „régen”: • Céltalan, dicsőségre vágyó támadók nem túl kifinomult tudással. • Tömeges vírusfertőzések e-mailen keresztül. • A megfertőzött gépek saját magukat küldték tovább. • Cél elsősorban a pusztítás. • Trendek 2007-ben: • Profitorientált támadók nagyon magas szintű tudással. • Trójai programok, hátsókapuk telepítése weboldalakról, IM alkalmazásokból, stb. • A megfertőzött gépek vagy hálózatot alkotnak (botnetek), vagy célzott támadást jelentenek egy felhasználói csoport ellen. • Cél a haszonszerzés, akár közvetlenül, akár közvetve.

  12. Célzott támadások • Ha a támadó rendelkezik a korábban említett adatokkal, akkor számtalan módszere van a támadásra. • Első lépésben valahogy kapcsolatba kell lépni az áldozattal, és rávenni, hogy együttműködjön. • Az emberi ráhatással történő támadások módszerei: • Zsarolás (pl. családdal -> iWiw ismerősök) • Megvesztegetés (pl. találjuk meg a keveset kereső alkalmazottat -> iWiw) • Ellenszenv kihasználása (blogok) • Rászedés (pl. a hobbik segítségével -> iWiw, Google)

  13. Célzott támadások • Néhány lehetőség az áldozat „becserkészésére”: • Tisztelt XY! Megtaláltam az egyetemi előadásait a neten. Kérem, olvassa el a mellékelt szakdolgozatomat… • Szia XY! Küldöm a szokásos viccadagot! Különösen a videót érdemes megnézni!:) • Kedves XY! Láttam a hirdetését, hogy el kívánja adni a kocsiját. Olyan autót kíván eladni, mint amilyen a csatolt képen van? • WZ szeretné felvenni Önt az MSN/Skype kapcsolatai közé! • Apa! Itt találtam ezt a pendrive-ot a kapuban. Dugd már be a gépedbe, mi van rajta? • Halló! WZ vagyok az informatikáról! Kérem, telepítse a frissítést a gépére, amit e-mailben küldtem! És menjen el a www.cegnev.hu/passwordchange oldalra, ahol újra be kell írnia a jelszavát, mert egy rendszerhiba miatt minden elszállt. • …

  14. Célzott támadások • De mégis, hogyan tudnak így megtámadni? (Megtörtént esetek) • Az érdeklődő diák kártevőt tartalmazó Word dokumentumot küld. • A vicces kedvű kolléga egy olyan videó hivatkozását adja meg, amivel kártevő töltődik le az Internetről. • A kutyás ismeretlen olyan képet küld, amivel a képmegjelenítő programon keresztül lehet kaput nyitni a gépre. • A Skype/MSN „ismerős” valamelyik IM programhibát fogja kihasználni. • A gyerek által talált, „véletlenül” a kapu előtt hagyott pendrive a gépbe történő bedugás után kártevőt telepít. • A „céges informatikus” kellően lusta, így az áldozattal telepítteti fel a károkozót, aki mellesleg önként kiadja a cégnél használt jelszavát is.

  15. Az e-mail cím veszélyei • Ezekből a példákból látszott, hogy az e-mail cím kiszivárgása jelenti a legkomolyabb veszélyforrást. • A céges e-mail címet egyébként nagyon könnyű kitalálni, de azért ne segítsük a támadókat azzal, hogy: • Fórumokban céges e-mail címmel regisztrálunk, • Apróhirdetésekben a céges e-mail címet adjuk meg, • Hírlevelekre a céges e-mail címünkkel regisztrálunk. • Leszámítva azt az „apróságot”, hogy a @mehib.hu végű címek vállalati erőforrások, így lehet igazán célponttá, gyenge láncszemmé válni az interneten. • Megoldás: magánszemélyként magán e-mail cím használata. Ezzel magunkat és a céget is megvédhetjük.

  16. Egy megoldás: az elektronikus aláírás • Egy lehetséges megoldás arra, hogy tudjuk, ki próbál kapcsolatba lépni velünk, az elektronikus aláírás. • Amennyiben a magyar törvényeknek megfelelő módon aláírt üzenetet kapunk, biztosan tudhatjuk, hogy ki volt a küldő. • A fő gond az, hogy az elektronikus aláírás olyan, mint az UFO: mindenki hallott róla, de még senki sem látta. • Ismerjük meg tehát az e-szignó fogalmát!

  17. Mi is az elektronikus aláírás? • Az elektronikus aláírás a gyakorlatban egy olyan digitális adat, mely: • az aláírt dokumentum lenyomatát felhasználva, • az aláíró titkos kulcsával kódolva jön létre, • mely egy aláírás-létrehozó eszközön található, • felhasználva az aláíró tanúsítványát, • amiben a dekódoló nyilvános kulcs is megtalálható, • melynek érvényessége a visszavonási listán található, • valamint tartalmazhat egy időbélyegzőt, • melyek a hitelesítés-szolgáltatótól szerezhetők be.

  18. Mi a lenyomat? • Lenyomat: olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás (lenyomatképző eljárás) a képzés időpontjában teljesíti a következő feltételeket: • a képzett lenyomat egyértelműen származtatható az adott elektronikus dokumentumból; • a képzett lenyomatból az elvárható biztonsági szinten belül nem lehetséges az elektronikus dokumentum tartalmának meghatározása vagy a tartalomra történő következtetés; • a képzett lenyomat alapján az elvárható biztonsági szinten belül nem lehetséges olyan elektronikus dokumentum utólagos létrehozatala, amelyre alkalmazva a lenyomatképző eljárás eredményeképp az adott lenyomat keletkezik.

  19. 0011010100100011101000111110

  20. Mi a titkos kulcs? • Olyan egyedi adat (jellemzően kriptográfiai magánkulcs), melyet az aláíró az elektronikus aláírás létrehozásához használ. • Ezt az egyedi adatot csak és kizárólag az aláíró ismeri. • Valamilyen bonyolult matematikai eljárás segítségével végrehajtott kódoláshoz szükséges paraméter, szám.

  21. 0011010100100011101000111110 1101101111000011010111011101

  22. Mi az aláírás-létrehozó eszköz? • Olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza. • Tipikusan egy intelligens kártya, vagy egy számítógépen tárolt fájl.

  23. 0011010100100011101000111110 1101101111000011010111011101

  24. Mi a tanúsítvány? • A hitelesítés-szolgáltató által kibocsátott igazolás, amely az aláírás-ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát vagy valamely más tény fennállását, ideértve a hatósági (hivatali) jelleget. • Gyakorlatilag az aláíró elektronikus személyi igazolványa, melyben megtalálható a nyilvános kulcsa is.

  25. 0011010100100011101000111110 1101101111000011010111011101

  26. Mi az időbélyegző? • Elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett. • Az aláírás után egy megbízható szolgáltatótól kért pontos idő, ami mindenki számára bizonyítja az aláírás pontos dátumát és időpontját.

  27. 0011010100100011101000111110 1101101111000011010111011101

  28. Mi a nyilvános kulcs? • Olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), melyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ. • Mindenki által megismerhető paraméter, tipikusan egy szám. • Segítségével a titkos kulccsal kódolt digitális adat dekódolható.

  29. 0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101

  30. Mi a visszavonási lista? • Olyan gép által értelmezhető lista, melyet a hitelesítés-szolgáltató tesz közzé. • Tartalmazza azokat a tanúsítványokat, melyek idő előtt érvénytelenné váltak. • Azokat az elektronikus aláírásokat, melyek az aláírás időpontja előtt visszavont tanúsítványok felhasználásával készültek, nem fogadhatók el.

  31. 0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101

  32. Ki az a hitelesítés-szolgáltató? • Elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. • Olyan harmadik fél, akiben törvény adta kötelezettségei miatt mindenki megbízhat.

  33. 0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101

  34. Törvényi háttér • 2001. évi XXXV. Törvény az elektronikus aláírásról és 2004. évi LV. törvény az elektronikus aláírásról szóló 2001. évi XXXV. törvény módosításáról • 3. § (1) Elektronikus aláírás, illetve elektronikus dokumentum elfogadását - beleértve a bizonyítási eszközként történő alkalmazást - megtagadni, jognyilatkozat tételére, illetve joghatás kiváltására való alkalmasságát kétségbe vonni - a (2) bekezdés szerinti korlátozással - nem lehet kizárólag amiatt, hogy az aláírás, illetve az irat vagy dokumentum elektronikus formában létezik. • (8) Minősített tanúsítványt bármely - a (3)-(4) bekezdés szerinti - bírósági vagy államigazgatási eljárásban el kell fogadni.

  35. Törvényi háttér • 4. § (1) Ha jogszabály a 3. § (2)-(4) bekezdésében foglaltakon kívüli jogviszonyban írásba foglalást ír elő, e követelménynek eleget tesz az elektronikus dokumentumba foglalás is, ha az elektronikus dokumentumot fokozott biztonságú elektronikus aláírással írják alá. • (2) Ha az elektronikus dokumentumon kívüli elektronikus dokumentumon minősített elektronikus aláírás szerepel és az aláírás ellenőrzésének eredményéből más nem következik, vélelmezni kell, hogy a dokumentum tartalma az aláírás óta nem változott.

  36. Hogy is kell ezt érteni? • Az elektronikus aláírásnak két olyan típusa van, mely az előadást tekintve érdekes: • fokozott biztonságú elektronikus aláírás, • minősített elektronikus aláírás. • A fokozott biztonságú aláírás teljes egészében kiválthatja papíralapú ügymenetet az üzleti életben. • A minősített elektronikus aláírás az állammal való kapcsolattartást is át tudja helyezni digitális alapokra – amennyiben ezt a terültre vonatkozó jogszabály megengedi.

  37. Mindenhol jelenlevő alkalmazások • Törvény szerint elvileg lehetséges hiteles levél írása a partnernek gyakorlatilag bármelyik levelezőkliensből • Fokozott biztonságú aláírással • Pl. Microsoft Outlook 2003

  38. Mindenhol jelenlevő alkalmazások

  39. Mindenhol jelenlevő alkalmazások • Hiteles dokumentumok létrehozása • Pl. jelentés készítése fokozott biztonságú elektronikus aláírás segítségével • Pl.: Microsoft Word 2003

  40. Mindenhol jelenlevő alkalmazások

  41. Hogyan jutnak be a védett gépekre? • Az Önök vállalati számítógépe valószínűleg rendelkezik víruskeresővel és tűzfallal. • Ez általában elég védelem, de vannak olyan speciális esetek, amikor ezek a megoldások sem védenek meg. • Nincs olyan alkalmazás, amit ne lehetne feltörni – csak még nem találták ki, hogyan lehet feltörni. • Nincs olyan szoftvert futtató eszköz, amit ne lehetne feltörni – csak még nem találták ki, hogyan lehet feltörni.

  42. Hogyan jutnak be a védett gépekre? • De lehet, hogy már kitalálták, hogyan lehet feltörni a szoftvert, csak nem szóltak senkinek… • A korábbi példákból (MSN, Skype, képmegjelenítő, Word, stb.) látszódott bármelyik program hibáját kihasználva be lehet jutni az áldozat számítógépére. • Ezért van a céges hálózatban szűrés bizonyos tartalmakra, ezért nem (sem) lehet videókat, képeket, futtatható fájlokat és tömörített állományokat küldeni/fogadni. • Megoldás: az alkalmazások rendszeres biztonsági frissítése.

  43. Biztonsági frissítések • Ez a vállalati rendszergazda feladata, aki a lehető leghamarabb telepíti a frissítést. • De mit jelent a lehető leghamarabb? • A sérülékenységek életciklusa a következő: • Valaki talál egy kihasználható hibát egy alkalmazásban. • Jó esetben azonnal jelenti a hibát, rossz esetben akár hónapokig csak a támadó tud erről a hibáról. • A fejlesztő értesül a hibáról, és néhány hét alatt elkészíti a frissítést. • A rendszergazda eközben a vállalati tűzfalon keresztül védi a rendszert, de az otthon használt vállalati gépek továbbra is védtelenek. • A rendszergazda néhány napon belül telepíti a frissítést. • A számítógép tehát hónapokig sérülékeny volt úgy, hogy erről senki nem tudott, vagy nem volt ellene védekezés.

  44. Biztonsági frissítések • A tények: • A nem publikált törések feketepiaci ára több 10.000 dollár. • Ha egy hiba nyilvánosságra kerül, órákon belül elkészül hozzá a törés, pl. egy vírus formájában. • Ha egy támadó célzott támadást akar indítani, akkor tud olyan törést írni, amit egyetlen víruskereső vagy tűzfal sem fog elkapni. • A kockázatot a folyamatos frissítésekkel és a kellően paranoid számítógéphasználattal lehet csökkenteni. • A vállalati gépeknél ez a rendszergazda feladata, de az otthoni géphasználatnál ezeket a tényeket mindenképp vegyük figyelembe!

  45. Kéretlen levelek • A kéretlen levelek számos aspektusával foglalkozhatnánk: • Jogi kérdések • Védelmi megoldások • Címgyűjtési technikák • A szűrési megoldásokkal kapcsolatos tapasztalatok • Azonban nagyon ritkán beszélünk arról, hogy a spamek kitől származnak, és hogyan jutnak el hozzánk.

  46. Mennyire rossz a helyzet? • Iparági statisztikák szerint az összes elküldött e-mail kb. 40%-a minősül kéretlennek. • Ez naponta 10 milliárd kéretlen levelet jelent. • Ami felhasználónként átlagosan 2200 spam. • Hála a spamvédelmi technikáknak, ezen levelek nagy részével nem találkozunk. • Vajon ez az internet teljes sávszélességének hány százalékát jelentheti? • Gondoljunk csak bele, hogy a saját hálózaton belül vajon mekkora lehet a hasznos (azaz munkához kapcsolódó) és a haszontalan (azaz minden más) aránya?

  47. A spamek aránya az e-mail forgalomban Forrás: Symantec, The State of Spam – August 2007

  48. A kéretlen levelek típusai • Termékekkel kapcsolatos levelek: általános termékeket és szolgáltatásokat kínáló üzenetek. Például órák, ékszerek, befektetési szolgáltatások. • Felnőtteknek szóló levelek: olyan termékek vagy szolgáltatások, melyek felnőtt személyeknek szólnak, pornográf jellegük miatt különösen zavaróak. Például pornográf oldalak hirdetései, személyes hirdetések, társkereső szolgáltatások hirdetései. • Üzleti levelek: olyan kéretlen levelek, melyek pénzzel, tipikusan tőzsdei, vagy más üzleti befektetéssel kapcsolatosak. Például tőzsdei levelek, kölcsönök, jelzálogok hirdetései.

  49. A kéretlen levelek típusai • Csalások: olyan levelek, melyek valamilyen széleskörű csalásba próbálják bevonni az áldozatot. Például ilyenek a nigériai levelek, a piramisjátékok hirdetései, a lánclevelek. • Egészséggel kapcsolatos levelek: gyógyászati termékek és szolgáltatások hirdetései. Például ide sorolhatjuk az impotencia elleni szerek, nyugtatók, gyógynövények reklámozását. • Megtévesztő levelek: a levél látszólag egy jól ismert vállalattól érkezik. Ismert még phishing, azaz adathalász támadásként is, melynek során az áldozat e-mail címét, felhasználónevét, és mindenekelőtt a jelszavát próbálják megtudni. Például online banki és árverési oldalak figyelmeztetései.

  50. A kéretlen levelek típusai • Szabadidővel kapcsolatos levelek: díjakkal, nyereményekkel, nyerési lehetőségekkel csábító üzenetek. Például online kaszinók hirdetései, nyaralási ajánlatok. • Internettel kapcsolatos levelek: internetes vagy más számítógéppel kapcsolatos termékek és szolgáltatások hirdetései. Például webhostolás, web design, szoftverek. • Politikai levelek: ilyenek egy jelölt vagy párt hirdetése kampányidőszakban. Például szavazatszerző, anyagi támogatást kérő levelek. • Spirituális levelek: egyházi, spirituális közösségek kéretlen hirdetései. Például tagtoborzás, asztrológiai hirdetések.

More Related