770 likes | 786 Views
Hogyan váljunk áldozattá az interneten? Viktimológiai útmutató felhasználóknak. Krasznay Csaba. Közhelyek. Szemelvények a hacker Bibliából: Minden rendszer annyira gyenge, amennyire a leggyengébb láncszeme.
E N D
Hogyan váljunk áldozattá az interneten?Viktimológiai útmutató felhasználóknak Krasznay Csaba
Közhelyek • Szemelvények a hacker Bibliából: • Minden rendszer annyira gyenge, amennyire a leggyengébb láncszeme. • A leggyengébb láncszem mindig az ember (az informatikai fenyegetések túlnyomó többsége a szék és a billentyűzet között helyezkedik el). • Nincs feltörhetetlen rendszer, csak idő és akarat kell hozzá. • Konklúzió: találd meg a támadható embert, akinek a gyenge rendszerén keresztül egyszerűen és hamar az egész vállalati rendszert a hatalmadba kerítheted!
A támadható ember • Az információs társadalom kialakulásának egyik eredménye, hogy kis túlzással bárkiről bármi kideríthető. • Ennek árnyoldala az, hogy nagyon hamar meg lehet találni a támadható embert. • Tipikus kiindulópontok: • Blogok • Közösségi oldalak • Keresőoldalak
Felhívások a veszélyre • Könnyen az igen népszerű katonai blogok végét jelentheti, ha a külföldön szolgáló amerikai katonák internetezési szokásait megszigorítják. Bár a magyar honvédelmi tárca tagadja, hogy korlátoznák a magyar katonák szólásszabadságát, az Afganisztánban szolgáló honfitársaink ki vannak tiltva a netes chatszobákból, és e-mailjeiket is ellenőrzik. (FN.hu) • Egy, a Nemzetbiztonsági Hivatalból származó levél arra hívja fel az állami vezetők figyelmét, hogy az iWiW kapcsolati hálón tárolt adataik kockázatot jelentenek az országra nézve. (FN.hu) • Kiszivárgott a Fibernettől a cég budafoki internet-előfizetőinek részleges listája. A neveket, címeket és az esetleges tartozások tényét tartalmazó fájl március óta érhető el az interneten egy egyszerű Google-kereséssel. (index.hu)
Milyen adatokat tudtunk meg? • Egy néhány órás keresés eredménye, hogy tudjuk több munkatárs: • E-mail címét, • Telefonszámát, • Otthoni címét, • Ismerőseit, • Iskolai kapcsolatait, • Hobbiját, • MSN azonosítóját, • Skype azonosítóját.
Célzott támadások • Trendek „régen”: • Céltalan, dicsőségre vágyó támadók nem túl kifinomult tudással. • Tömeges vírusfertőzések e-mailen keresztül. • A megfertőzött gépek saját magukat küldték tovább. • Cél elsősorban a pusztítás. • Trendek 2007-ben: • Profitorientált támadók nagyon magas szintű tudással. • Trójai programok, hátsókapuk telepítése weboldalakról, IM alkalmazásokból, stb. • A megfertőzött gépek vagy hálózatot alkotnak (botnetek), vagy célzott támadást jelentenek egy felhasználói csoport ellen. • Cél a haszonszerzés, akár közvetlenül, akár közvetve.
Célzott támadások • Ha a támadó rendelkezik a korábban említett adatokkal, akkor számtalan módszere van a támadásra. • Első lépésben valahogy kapcsolatba kell lépni az áldozattal, és rávenni, hogy együttműködjön. • Az emberi ráhatással történő támadások módszerei: • Zsarolás (pl. családdal -> iWiw ismerősök) • Megvesztegetés (pl. találjuk meg a keveset kereső alkalmazottat -> iWiw) • Ellenszenv kihasználása (blogok) • Rászedés (pl. a hobbik segítségével -> iWiw, Google)
Célzott támadások • Néhány lehetőség az áldozat „becserkészésére”: • Tisztelt XY! Megtaláltam az egyetemi előadásait a neten. Kérem, olvassa el a mellékelt szakdolgozatomat… • Szia XY! Küldöm a szokásos viccadagot! Különösen a videót érdemes megnézni!:) • Kedves XY! Láttam a hirdetését, hogy el kívánja adni a kocsiját. Olyan autót kíván eladni, mint amilyen a csatolt képen van? • WZ szeretné felvenni Önt az MSN/Skype kapcsolatai közé! • Apa! Itt találtam ezt a pendrive-ot a kapuban. Dugd már be a gépedbe, mi van rajta? • Halló! WZ vagyok az informatikáról! Kérem, telepítse a frissítést a gépére, amit e-mailben küldtem! És menjen el a www.cegnev.hu/passwordchange oldalra, ahol újra be kell írnia a jelszavát, mert egy rendszerhiba miatt minden elszállt. • …
Célzott támadások • De mégis, hogyan tudnak így megtámadni? (Megtörtént esetek) • Az érdeklődő diák kártevőt tartalmazó Word dokumentumot küld. • A vicces kedvű kolléga egy olyan videó hivatkozását adja meg, amivel kártevő töltődik le az Internetről. • A kutyás ismeretlen olyan képet küld, amivel a képmegjelenítő programon keresztül lehet kaput nyitni a gépre. • A Skype/MSN „ismerős” valamelyik IM programhibát fogja kihasználni. • A gyerek által talált, „véletlenül” a kapu előtt hagyott pendrive a gépbe történő bedugás után kártevőt telepít. • A „céges informatikus” kellően lusta, így az áldozattal telepítteti fel a károkozót, aki mellesleg önként kiadja a cégnél használt jelszavát is.
Az e-mail cím veszélyei • Ezekből a példákból látszott, hogy az e-mail cím kiszivárgása jelenti a legkomolyabb veszélyforrást. • A céges e-mail címet egyébként nagyon könnyű kitalálni, de azért ne segítsük a támadókat azzal, hogy: • Fórumokban céges e-mail címmel regisztrálunk, • Apróhirdetésekben a céges e-mail címet adjuk meg, • Hírlevelekre a céges e-mail címünkkel regisztrálunk. • Leszámítva azt az „apróságot”, hogy a @mehib.hu végű címek vállalati erőforrások, így lehet igazán célponttá, gyenge láncszemmé válni az interneten. • Megoldás: magánszemélyként magán e-mail cím használata. Ezzel magunkat és a céget is megvédhetjük.
Egy megoldás: az elektronikus aláírás • Egy lehetséges megoldás arra, hogy tudjuk, ki próbál kapcsolatba lépni velünk, az elektronikus aláírás. • Amennyiben a magyar törvényeknek megfelelő módon aláírt üzenetet kapunk, biztosan tudhatjuk, hogy ki volt a küldő. • A fő gond az, hogy az elektronikus aláírás olyan, mint az UFO: mindenki hallott róla, de még senki sem látta. • Ismerjük meg tehát az e-szignó fogalmát!
Mi is az elektronikus aláírás? • Az elektronikus aláírás a gyakorlatban egy olyan digitális adat, mely: • az aláírt dokumentum lenyomatát felhasználva, • az aláíró titkos kulcsával kódolva jön létre, • mely egy aláírás-létrehozó eszközön található, • felhasználva az aláíró tanúsítványát, • amiben a dekódoló nyilvános kulcs is megtalálható, • melynek érvényessége a visszavonási listán található, • valamint tartalmazhat egy időbélyegzőt, • melyek a hitelesítés-szolgáltatótól szerezhetők be.
Mi a lenyomat? • Lenyomat: olyan meghatározott hosszúságú, az elektronikus dokumentumhoz rendelt bitsorozat, amelynek képzése során a használt eljárás (lenyomatképző eljárás) a képzés időpontjában teljesíti a következő feltételeket: • a képzett lenyomat egyértelműen származtatható az adott elektronikus dokumentumból; • a képzett lenyomatból az elvárható biztonsági szinten belül nem lehetséges az elektronikus dokumentum tartalmának meghatározása vagy a tartalomra történő következtetés; • a képzett lenyomat alapján az elvárható biztonsági szinten belül nem lehetséges olyan elektronikus dokumentum utólagos létrehozatala, amelyre alkalmazva a lenyomatképző eljárás eredményeképp az adott lenyomat keletkezik.
Mi a titkos kulcs? • Olyan egyedi adat (jellemzően kriptográfiai magánkulcs), melyet az aláíró az elektronikus aláírás létrehozásához használ. • Ezt az egyedi adatot csak és kizárólag az aláíró ismeri. • Valamilyen bonyolult matematikai eljárás segítségével végrehajtott kódoláshoz szükséges paraméter, szám.
0011010100100011101000111110 1101101111000011010111011101
Mi az aláírás-létrehozó eszköz? • Olyan hardver, illetve szoftver eszköz, melynek segítségével az aláíró az aláírás-létrehozó adatok felhasználásával az elektronikus aláírást létrehozza. • Tipikusan egy intelligens kártya, vagy egy számítógépen tárolt fájl.
0011010100100011101000111110 1101101111000011010111011101
Mi a tanúsítvány? • A hitelesítés-szolgáltató által kibocsátott igazolás, amely az aláírás-ellenőrző adatot egy meghatározott személyhez kapcsolja, és igazolja e személy személyazonosságát vagy valamely más tény fennállását, ideértve a hatósági (hivatali) jelleget. • Gyakorlatilag az aláíró elektronikus személyi igazolványa, melyben megtalálható a nyilvános kulcsa is.
0011010100100011101000111110 1101101111000011010111011101
Mi az időbélyegző? • Elektronikus dokumentumhoz végérvényesen hozzárendelt vagy azzal logikailag összekapcsolt olyan adat, amely igazolja, hogy az elektronikus dokumentum az időbélyegző elhelyezésének időpontjában változatlan formában létezett. • Az aláírás után egy megbízható szolgáltatótól kért pontos idő, ami mindenki számára bizonyítja az aláírás pontos dátumát és időpontját.
0011010100100011101000111110 1101101111000011010111011101
Mi a nyilvános kulcs? • Olyan egyedi adat (jellemzően kriptográfiai nyilvános kulcs), melyet az elektronikusan aláírt elektronikus dokumentumot megismerő személy az elektronikus aláírás ellenőrzésére használ. • Mindenki által megismerhető paraméter, tipikusan egy szám. • Segítségével a titkos kulccsal kódolt digitális adat dekódolható.
0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101
Mi a visszavonási lista? • Olyan gép által értelmezhető lista, melyet a hitelesítés-szolgáltató tesz közzé. • Tartalmazza azokat a tanúsítványokat, melyek idő előtt érvénytelenné váltak. • Azokat az elektronikus aláírásokat, melyek az aláírás időpontja előtt visszavont tanúsítványok felhasználásával készültek, nem fogadhatók el.
0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101
Ki az a hitelesítés-szolgáltató? • Elektronikus aláírással kapcsolatos szolgáltatást nyújtó természetes személy, jogi személy vagy jogi személyiség nélküli szervezet. • Olyan harmadik fél, akiben törvény adta kötelezettségei miatt mindenki megbízhat.
0011010100100011101000111110 1101101111000011010111011101 0011010100100011101000111110 0011010100100011101000111110 1101101111000011010111011101
Törvényi háttér • 2001. évi XXXV. Törvény az elektronikus aláírásról és 2004. évi LV. törvény az elektronikus aláírásról szóló 2001. évi XXXV. törvény módosításáról • 3. § (1) Elektronikus aláírás, illetve elektronikus dokumentum elfogadását - beleértve a bizonyítási eszközként történő alkalmazást - megtagadni, jognyilatkozat tételére, illetve joghatás kiváltására való alkalmasságát kétségbe vonni - a (2) bekezdés szerinti korlátozással - nem lehet kizárólag amiatt, hogy az aláírás, illetve az irat vagy dokumentum elektronikus formában létezik. • (8) Minősített tanúsítványt bármely - a (3)-(4) bekezdés szerinti - bírósági vagy államigazgatási eljárásban el kell fogadni.
Törvényi háttér • 4. § (1) Ha jogszabály a 3. § (2)-(4) bekezdésében foglaltakon kívüli jogviszonyban írásba foglalást ír elő, e követelménynek eleget tesz az elektronikus dokumentumba foglalás is, ha az elektronikus dokumentumot fokozott biztonságú elektronikus aláírással írják alá. • (2) Ha az elektronikus dokumentumon kívüli elektronikus dokumentumon minősített elektronikus aláírás szerepel és az aláírás ellenőrzésének eredményéből más nem következik, vélelmezni kell, hogy a dokumentum tartalma az aláírás óta nem változott.
Hogy is kell ezt érteni? • Az elektronikus aláírásnak két olyan típusa van, mely az előadást tekintve érdekes: • fokozott biztonságú elektronikus aláírás, • minősített elektronikus aláírás. • A fokozott biztonságú aláírás teljes egészében kiválthatja papíralapú ügymenetet az üzleti életben. • A minősített elektronikus aláírás az állammal való kapcsolattartást is át tudja helyezni digitális alapokra – amennyiben ezt a terültre vonatkozó jogszabály megengedi.
Mindenhol jelenlevő alkalmazások • Törvény szerint elvileg lehetséges hiteles levél írása a partnernek gyakorlatilag bármelyik levelezőkliensből • Fokozott biztonságú aláírással • Pl. Microsoft Outlook 2003
Mindenhol jelenlevő alkalmazások • Hiteles dokumentumok létrehozása • Pl. jelentés készítése fokozott biztonságú elektronikus aláírás segítségével • Pl.: Microsoft Word 2003
Hogyan jutnak be a védett gépekre? • Az Önök vállalati számítógépe valószínűleg rendelkezik víruskeresővel és tűzfallal. • Ez általában elég védelem, de vannak olyan speciális esetek, amikor ezek a megoldások sem védenek meg. • Nincs olyan alkalmazás, amit ne lehetne feltörni – csak még nem találták ki, hogyan lehet feltörni. • Nincs olyan szoftvert futtató eszköz, amit ne lehetne feltörni – csak még nem találták ki, hogyan lehet feltörni.
Hogyan jutnak be a védett gépekre? • De lehet, hogy már kitalálták, hogyan lehet feltörni a szoftvert, csak nem szóltak senkinek… • A korábbi példákból (MSN, Skype, képmegjelenítő, Word, stb.) látszódott bármelyik program hibáját kihasználva be lehet jutni az áldozat számítógépére. • Ezért van a céges hálózatban szűrés bizonyos tartalmakra, ezért nem (sem) lehet videókat, képeket, futtatható fájlokat és tömörített állományokat küldeni/fogadni. • Megoldás: az alkalmazások rendszeres biztonsági frissítése.
Biztonsági frissítések • Ez a vállalati rendszergazda feladata, aki a lehető leghamarabb telepíti a frissítést. • De mit jelent a lehető leghamarabb? • A sérülékenységek életciklusa a következő: • Valaki talál egy kihasználható hibát egy alkalmazásban. • Jó esetben azonnal jelenti a hibát, rossz esetben akár hónapokig csak a támadó tud erről a hibáról. • A fejlesztő értesül a hibáról, és néhány hét alatt elkészíti a frissítést. • A rendszergazda eközben a vállalati tűzfalon keresztül védi a rendszert, de az otthon használt vállalati gépek továbbra is védtelenek. • A rendszergazda néhány napon belül telepíti a frissítést. • A számítógép tehát hónapokig sérülékeny volt úgy, hogy erről senki nem tudott, vagy nem volt ellene védekezés.
Biztonsági frissítések • A tények: • A nem publikált törések feketepiaci ára több 10.000 dollár. • Ha egy hiba nyilvánosságra kerül, órákon belül elkészül hozzá a törés, pl. egy vírus formájában. • Ha egy támadó célzott támadást akar indítani, akkor tud olyan törést írni, amit egyetlen víruskereső vagy tűzfal sem fog elkapni. • A kockázatot a folyamatos frissítésekkel és a kellően paranoid számítógéphasználattal lehet csökkenteni. • A vállalati gépeknél ez a rendszergazda feladata, de az otthoni géphasználatnál ezeket a tényeket mindenképp vegyük figyelembe!
Kéretlen levelek • A kéretlen levelek számos aspektusával foglalkozhatnánk: • Jogi kérdések • Védelmi megoldások • Címgyűjtési technikák • A szűrési megoldásokkal kapcsolatos tapasztalatok • Azonban nagyon ritkán beszélünk arról, hogy a spamek kitől származnak, és hogyan jutnak el hozzánk.
Mennyire rossz a helyzet? • Iparági statisztikák szerint az összes elküldött e-mail kb. 40%-a minősül kéretlennek. • Ez naponta 10 milliárd kéretlen levelet jelent. • Ami felhasználónként átlagosan 2200 spam. • Hála a spamvédelmi technikáknak, ezen levelek nagy részével nem találkozunk. • Vajon ez az internet teljes sávszélességének hány százalékát jelentheti? • Gondoljunk csak bele, hogy a saját hálózaton belül vajon mekkora lehet a hasznos (azaz munkához kapcsolódó) és a haszontalan (azaz minden más) aránya?
A spamek aránya az e-mail forgalomban Forrás: Symantec, The State of Spam – August 2007
A kéretlen levelek típusai • Termékekkel kapcsolatos levelek: általános termékeket és szolgáltatásokat kínáló üzenetek. Például órák, ékszerek, befektetési szolgáltatások. • Felnőtteknek szóló levelek: olyan termékek vagy szolgáltatások, melyek felnőtt személyeknek szólnak, pornográf jellegük miatt különösen zavaróak. Például pornográf oldalak hirdetései, személyes hirdetések, társkereső szolgáltatások hirdetései. • Üzleti levelek: olyan kéretlen levelek, melyek pénzzel, tipikusan tőzsdei, vagy más üzleti befektetéssel kapcsolatosak. Például tőzsdei levelek, kölcsönök, jelzálogok hirdetései.
A kéretlen levelek típusai • Csalások: olyan levelek, melyek valamilyen széleskörű csalásba próbálják bevonni az áldozatot. Például ilyenek a nigériai levelek, a piramisjátékok hirdetései, a lánclevelek. • Egészséggel kapcsolatos levelek: gyógyászati termékek és szolgáltatások hirdetései. Például ide sorolhatjuk az impotencia elleni szerek, nyugtatók, gyógynövények reklámozását. • Megtévesztő levelek: a levél látszólag egy jól ismert vállalattól érkezik. Ismert még phishing, azaz adathalász támadásként is, melynek során az áldozat e-mail címét, felhasználónevét, és mindenekelőtt a jelszavát próbálják megtudni. Például online banki és árverési oldalak figyelmeztetései.
A kéretlen levelek típusai • Szabadidővel kapcsolatos levelek: díjakkal, nyereményekkel, nyerési lehetőségekkel csábító üzenetek. Például online kaszinók hirdetései, nyaralási ajánlatok. • Internettel kapcsolatos levelek: internetes vagy más számítógéppel kapcsolatos termékek és szolgáltatások hirdetései. Például webhostolás, web design, szoftverek. • Politikai levelek: ilyenek egy jelölt vagy párt hirdetése kampányidőszakban. Például szavazatszerző, anyagi támogatást kérő levelek. • Spirituális levelek: egyházi, spirituális közösségek kéretlen hirdetései. Például tagtoborzás, asztrológiai hirdetések.