Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Adatbiztonság. Adatvédelem-adatbiztonság Adatvédelmen: azon fizikai, ügyviteli és algoritmikus eszközök együttes felhasználását értjük, amelyek segítségével.

Hasonló előadás


Az előadások a következő témára: "Adatbiztonság. Adatvédelem-adatbiztonság Adatvédelmen: azon fizikai, ügyviteli és algoritmikus eszközök együttes felhasználását értjük, amelyek segítségével."— Előadás másolata:

1 Adatbiztonság

2 Adatvédelem-adatbiztonság Adatvédelmen: azon fizikai, ügyviteli és algoritmikus eszközök együttes felhasználását értjük, amelyek segítségével a véletlen adatvesztések és szándékos adatrongálódások és információ kiszivárogtatások megelőzhetők, vagy jelentős mértékben megnehezíthetők Fajtái: –1.Fizika, –2. Ügyviteli, –3.Algoritmikus Területei: Tárolás, Forgalmazás, Feldolgozó eszközök, Feldolgozó személyek, Feldolgozó eljárások Az adatbiztonság: egy képzetes vagy valós mutató, amely az adatvédelmi intézkedések hatékonyságát hivatott reprezentálni.

3 Az adatvédelem főbb vizsgálati szempontjai: 1. Hardverkomponensek vizsgálata –műszaki állapot, üzembiztonság és kiválthatóság –vagyonvédelem és katasztrófavédelem –kezelői felkészültség –jelszint bizonytalanság és „zaj"

4 2. Szoftverkomponensek vizsgálata –Hozzáférési jogok –Vírusvédelmi programok aktualitása –Tűzfal-programok aktualitása –Adatkezelő szoftverek aktualitása –Hardver,- Szoftver kompatibilitás –Adattárolás, adatmentés rendszere

5 3. Adatforgalom vizsgálata –A beavatkozásra jogosultak körének vizsgálata –Adatkezelés célhoz kötöttségének vizsgálata –Be- és kimenő adatok minőségének vizsgálata –Adattovábbítás módja és dokumentáltsága –Adatfogadás módja és dokumentáltsága –Adathordozókhoz való hozzáférés rendszere

6 4. Belső adatkezelés vizsgálata –Adatátadás ás átvétel rendszere –Adathordozók és adatok tárolási biztonsága –Adathordozók, adatok és munkahulladékok megsemmisítésének rendszere

7 Az adatvédelem néhány főbb területe 1. A fizikai adatvédelem feladata: az adatok megóvása a külső behatásoktól valamint az eszközök közelébe jutás megnehezítése. Pl.: –Villamos hálózat helyes kialakítása –Szünetmentes tápegységek használata, –Megfelelő szerverkörnyezet kialakítása (klimatizálás, füstérzékelés, árnyékolás stb.) –Megfelelő adattároló típusok kiválasztása –Betörésvédelem

8 2. Az ügyviteli adatvédelem feladata az adatokkal való kapcsolatba kerülés megnehezítése adminisztratív eszközökkel. Pl.: –Feladat- és jogkörök szétválasztása –Hozzáférések és tevékenységek regisztrálása –Személyazonosítás –Hatáskörök és felelősségek szétválasztása vagy átlapolása

9 3. Az algoritmikus adatvédelem feladata olyan programok és eljárások alkalmazása, amelyek segítik az előző két terület feladatait és létrehozzák azokat a számítógépes védelmi funkciókat, amik ezen a területen meggátolják az adatokhoz való illetéktelen hozzáférést és módosítást. Pl.: –Hálózati azonosítás –Titkosítás –Behatolásvédelem –Automatikus adatmentés –Többforrásos adattárolás

10 Titkosítási eljárások RSA algoritmus - nyilvános kulcsú titkosítás, ahol a primfaktorizációs algoritmus lassú voltát kihasználva titkosítják az információt Jel-jel konverziós algoritmusok - ahol egy-egy jelet, jelcsoportot egy másik jellé, jelsorozattá konvertálnak.(Az algoritmus működhet statisztikai alapon, véletlen kiválasztással vagy egyszerű megfeleltetéssel.) Fizikai tulajdonságokon alapuló eljárások - ahol a kódolandó jelsorozat frekvenciáját, amlitudóját vagy vivőhullámhosszát módosítják. A módszerek és a torzítás mértéke adás közben is váltogatható

11 Az adatvesztés okai, megelőzése Áramszünet (vagy áramingadozás) miatti véletlen adatvesztés –Ellene szünetmentes tápegység, UPS (vagy feszültség-kiegyenlítő) alkalmazható. Az adattárolók élettartama –Ha egy adathordozó közeledik a várható élettartama végéhez, az adatokat más adathordozóra kell átmentenünk. Az adattárolók fizikai meghibásodása –Be kell tartanunk az adathordozók tárolására, kezelésére vonatkozó utasításokat. Sérülés esetén fordulhatunk adatmentésre szakosodott cégekhez

12 Az adattárolók fájl- illetve könyvtárszerkezetének logikai meghibásodása –Lehetséges, hogy helytelen leállás, áramszünet, programhiba, vírus vagy egyéb ok miatt a különben fizikailag meglévő adatok kiolvashatatlanokká váltak, „nem elérhetőek”. A javításhoz vannak megfelelő segédprogramok. Gondatlan kezelés –A biztonságért felelős személyek (a felhasználó, a rendszergazda, a biztonsági rendszert megszervező és üzemeltető személyek) hibájából következik be. Ezért ellenőrizni kell, hogy eléggé ügyelnek-e az adatbiztonságra. Szándékos rongálás –Felhasználók ált. okozott –Ide tartoznak a számítógépes vírusok által keletkezett károk is!

13 Vírusfajták és vírusvédelem Jellemző vírustípusok hatásuk szerint: –RAM-tartalom rombolók, –FAT-tábla rombolók, –adatrombolók, –monitorkép rombolók, –hardverfunkció gátlók, –hardverrombolók

14 Vírusfajták irthatóságuk szerint: –memóriarezidensek, –rejtőzködők, –alakváltók, –eltemetettek

15 Tulajdonságaik szerint : 1.Lopakodó (stealth): memóriában láthatatlanok maradnak. 2.Alakváltoztató (polimorf): kódjaikat, méretüket változtatják, azonosításuk nehéz.

16 Hatásukat tekintve: 1.Szinte ártalmatlanok: csökkentik a szabad kapacitást. 2.Veszélytelenek: grafika, hanghatás segítségével tudatják jelenlétüket. 3.Veszélyes: komolyan akadályozzák a számítógépet feladatai végrehajtásában. 4.Fokozottan veszélyes: adatvesztést, sérülést, törlést, hardverelemek mozgó alkatrészeinek meghibásodását idézik elő

17 Vírusok fertőzés módja szerint 1.Bootvírusok (partíció): a lemezek partíciós tábláját, BOOT szektorát fertőzik. 2.Fájlvírusok: a gépen található fájl kódjába épülnek be; főként a program fájlokat fertőzik. 3.Makrovírusok: általában Microsoft termékek (Word, Excel) makróin keresztül fertőznek. 4.Hardvervírusok: hardverelemekbe beépített, „beégetett” programokból származó fertőzés (flash BIOS, firmware programok). 5.Hálózati vírusok: terjedésükhöz a hálózati protokollokat használják fel.  Internetférgek: elektronikus levelek csatolt állományának futtatásakor fertőznek (Melissa, I love you).

18 Fájlvírusok A vírusok klasszikusnak mondható fajtáját fájlvírusoknak nevezik. Ezek jellemzője, hogy a futtatható programhoz oly módon fűzik hozzá magukat, hogy a módosított program a vírus terjesztéséről (is) gondoskodjék

19 Boot vírusok 1996 végéig gyakorlatilag ezek a vírusok jelentették a vírusproblémát, hiszen az összes fertőzés több mint 90%-a tőlük származott. Legelőször is nézzük részletesen, mi is játszódik le egy PC belsejében a rendszerindítás közben. A felhasználó bekapcsolja a gépet, megnyomja a Reset gombot vagy a CTRL+ALT+DEL billentyűkombinációt. –A processzor az FFFF:0000 memóriacímen elkezdi az ott található program végrehajtását. Ezen a helyen a BIOS indítórutinja található. –A BIOS-ban levő kód leteszteli a különböző hardverelemeket (RAM, lemezegységek,...). –Még mindig a BIOS-ban levő kód kiolvassa a CMOS-ból a rendszerindítási sorrendet (merevlemezről vagy a floppiról kezdje-e tölteni a rendszert.).

20 Ha merevlemezről indítunk, akkor is a 0. fej 0. cilinderének 1. szektorát olvassa be a BIOS program, de ez ebben az esetben nem a boot-szektor lesz, hanem a partíciós rekord, amely ugyancsak két részből áll, –egy rövid programból illetve a –merevlemez felosztottságát könyvelő partíciós táblából. Ez a lépés azért kerül be, mert egy merevlemez több operációs rendszert és azokhoz tartozó partíciókat is tartalmazhat. A BIOS program ugyanúgy megnézi az utolsó két bájtot, aminek itt is 55AAh-nak kell lennie. Ha nem az, a rendszerindítás hibaüzenettel megszakad, illetve a régebbi, eredeti IBM PC-ken a gépek a BIOS-ában tartalmazott BASIC-interpretert hívja meg a BIOS

21 Ha floppiról indít, akkor beolvassa onnan a legelső szektort, vagyis a 0. fej 0. cilinderének 1. szektorát. A szektor tartalma két fő részből áll: –az operációs rendszert indító kis kódrészletből –a lemez fizikai paramétereit (szektorméret, oldalak száma, gyökérkönyvtár mérete stb.) tartalmazó adatmezőből. Erről a szektorról a BIOS ellenőrzi, hogy az valóban boot- szektorszerű-e. (Ezt onnan dönti el, hogy az utolsó két bájtnak 55AAh-nak kell lenni.) Ha nem ez áll fenn, a rendszerindítás hibaüzenettel megszakad. Ha sikeres volt azonosítás, a BIOS átadja a vezérlést a beolvasott boot-szektorban levő kódnak és rendszerindítás folytatódik.

22 A BIOS-ban futó kód a partíciós táblából kiolvassa, hogy melyik az aktív partíció (ha nem talál ilyet, hibaüzenettel leáll) és hogy az a merevlemezen mettől meddig tart. –Ennek ismeretében be tudja olvasni az aktív partíció legelső logikai szektorát, ami a partíció boot szektora. –A BIOS átadja a vezérlést a boot szektorban levő kódnak. Egészen eddig a pontig a folyamat független volt attól, milyen operációs rendszer van a PC-n, mindent a BIOS-ba beégetett kód végzett.

23 Az MSDOS operációs rendszer felállása: A boot-szektor kódja ellenőrzi, hogy az adott floppilemez illetve partíció alkalmas-e rendszerindításra. Ezt úgy dönti el, hogy megnézi, hogy a gyökérkönyvtár első két bejegyzése az IO.SYS illetve az MSDOS.SYS állományokhoz tartozik-e (IBM DOS esetében a két fájl neve IBMIO.COM és IBMDOS.COM volt). Ha nem ezt a két állományt találja ott, akkor hibaüzenettel leáll a rendszerindítás. Ha igen, akkor beolvassa az IO.SYS első 3 szektorát, majd átadja annak a vezérlést. Az IO.SYS inicializálja az interrupt-táblát, megkeresi az esetleges ROM-bővítéseket és feldolgozza a CONFIG.SYS-t, betölti az abban levő meghajtókat. Ezután lefuttatja az MSDOS.SYS-t. Az MSDOS.SYS inicializálja a DOS-hoz tartozó interruptokat, betölti a COMMAND.COM-ot és feldolgozza az AUTOEXEC.BAT-ot.

24 A boot vírusok itt tolakszanak be két ponton : –vagy a boot szektort vagy –a partíciós rekordot helyettesítik saját kódjukkal (Ez a választás csak a merevlemezek esetében áll fenn, a floppikon nincs partíciós tábla, ezért ott mindig a boot szektort fertőzik.) A BIOS csak nagyon felületesen ellenőrzi e két létfontosságú szektor valódiságát, a vírusok dolga egyszerű: saját kódjukkal lecserélik azokat.

25 Módszer: –az ellenőrzésre használt utolsó két bájtot változatlanul hagyják. –a két szektorban tárolt adatokra is vigyáznak (ha a partíciós táblába is beleírna a vírus, akkor az adatoknak búcsút lehetne mondani.) A fontos részeket nem írják felül, vagy pedig úgy, hogy azokat egy másik szektorba elmentik, és szükség esetén onnan továbbítják. –Egy partíciós táblát fertőző vírus (a boot vírusok nagyobbik része ilyen, többek között a hazánkban is közismert Michelangelo) a BIOS a boot szektor indítókódja helyett az ugyanabba a szektorba került víruskódnak adja át a vezérlést. Majd megfertőzi a merevlemez partíciós rekordját, a víruskód vagy maga folytatja a végrehajtást, vagy pedig beolvassa a gondosan elmentett eredeti boot szektort és átadja annak a vezérlést és mint aki jól végezte a dolgát hátradől és megpihen. Ha ezután a már fertőzött merevlemezről indítjuk a rendszert, az eredeti partíciós rekordbeli kód helyett a vírus kerül végrehajtásra, amely aztán rezidenssé válik majd megkeresi az aktív partíciót, beolvassa annak boot szektorát és átadja annak a vezérlést. A vírus már rezidens a memóriában!

26 Makrovírusok A makrovírusok arra utasítják a futtató alkalmazást, hogy végezze el nekik a piszkos munkát. Működésük lehetne az, hogy már meglévő makrókat egészítenek ki, de a gyakorlatban az terjedt el, hogy új makrókat hoznak létre, így akár eredetileg makrómentes dokumentumokat is meg tudnak fertőzni. Microsoft Word esetén a makrók egy csoportja úgynevezett automakró, melyek automatikusan végrehajtódnak, ha a megfelelő aktiváló feltétel teljesül. Például az AutoOpen a dokumentum megnyitásakor, az AutoClose a dokumentum bezárásakor, az AutoExec pedig a Word indulásakor hajtódik végre. Letilthatjuk az automakrók használatát! Ha ezt megtettük, az még nem jelent biztonságot. Egyes makrók a nekik megfelelő menüfunkciók kiválasztásakor indulnak el, például a FileAs, FileSaveAs vagy a ToolsMacro. Az utóbbi menüpont eredeti formájában alkalmas a makrók kimutatására. Ha a vírus ezt lecseréli, akkor nem látjuk a makrókat, azaz lopakodó makrovírust sikerült kifognunk.

27 Az első makróvírusok a Word 6.0 WordBasic makrónyelvét használták ki. A Word 95 nem hozott nagy újdonságot, mindössze a lehetőségek bővültek. A Word 97-ben teljesen más lett a dokumentum formátuma, és a makrók is más módon tárolódnak. Megjelent a Visual Basic for Applications (VBA ) makrónyelv. A régi makrók könnyen, sőt, akár automatikusan is átkonvertálhatók ebbe. Ami teljesen új lehetőség, az az osztályok létezése. Az osztályok számunkra fontos jellemzője, hogy nem jelennek meg a makrók felsorolásában. DOC helyett szokták ajánlani az RTF (Rich Text Format) fájlokat, mert abban nincsenek makrók, így abban nem terjedhetnek a makróvírusok. !!!DE: az RTF-be be lehet ágyazni például OLE objektumokat, legegyszerűbb esetben egy DOS parancssort. Igaz, ehhez a felhasználónak kattintania kell a - mondjuk hangszórót ábrázoló - ikonon, de amikor már kattintott rajta, akkor késő gondolkozni, hogy mit indított el.

28 Vírusok plattform szerinti osztályozása DOS vírusok Windows vírusok OS/2 vírusok Linux vírusok Java vírusok HTML vírusok Word, Excel, PowerPoint vírusok Emberi plattform

29 A DOS vírusok a DOS rendszerek fájlformátumait fertőzik meg, azaz a COM és EXE, esetleg SYS és egyéb fájlokat. Linux-ra írt vírusok általában egy vagy több biztonsági hibát kihasználva root jogosultságokat szerez, és átveszi a hatalmat a gép felett. A Java egy platformfüggetlen programozási nyelv, így a Java vírusok nagy előnye (a saját szempontjukból), hogy ők is platformfüggetlenek lehetnek. A HTML vírusok a valóságban valamilyen script vírusok, ugyanis a HTML-t magát nem lehet programozni.

30 Emberi plattform Lánclevelek, melyek valamilyen „fontos cél” elérése érdekében arra kérik az olvasót, hogy küldje tovább a leveleket minden ismerősének. (ált. álhíreket tartalmaznak) Sok olyan jellemzőjük van, mely a gyakorlottaknak rögtön feltűnik. –mindenkinek el kell küldenünk, –egy befolyásos cég, vagy több cég emlegetése, –nagybetűk és felkiáltójelek felesleges használata, –tények hiánya.

31 A vírusfelismerő és -irtó programok alapelvei –a programok többnyire vírusmintákat, vírusnyomokat keresnek, –olyan jellemző kódrészleteket, amivel a vírus egyértelműen azonosítható, –olyan jeltorzulások, amit csak egy-egy vírus hozhatott létre.

32 Megelőzés - védekezés A védekezésnek két fontos területe van: a megelőzés és a felderítés utáni megsemmisítés. A védekezési eljárások megvalósításával sok cég foglalkozik ún. antivírus- programok keretében. Így pl.: a

33 Megelőzés - védekezés Az antivírus-programok megakadályozzák a vírusfertőzések kialakulását (figyelés), felderítik a vírusok jelenlétét (detektálás), a felfedezett kártevőket eltávolítják vagy karanténba teszik. Több fajtájuk van:  víruskereső programok  változásdetektorok  immunizálás  ellenőrző összegek alkalmazása  viselkedésgátlók.

34 Megelőzés, védelem: Szerezzünk be egy rezidens (állandóan, automatikusan működő) vírusvédelmi szoftvert („víruspajzs”), melyet állandóan frissítsünk. (Ezekhez általában Internetről letölthető az újabb vírusokkal kibővített adatbázis, melynek alapján felismeri és írtja a vírusokat.) Gépünk felhasználói jogosultságait megfelelő körültekintéssel alakítsuk ki. Jelszavunkat (jelszavainkat) őrizzük megbízható, nehezen hozzáférhető helyen. Bizalmas adatokat tároló számítógép használatát ne engedjük meg bárkinek.

35 Megelőzés, védelem: Kizárólag jogtiszta programokat használjunk. Kizárólag megbízható forrásból fogadjunk el állományokat, illetve ismeretlen eredetű programokat, kapott adathordozókat mindig ellenőrizzük le (a legújabb víruskeresővel), csak ezek után használjuk őket. Csak akkor csatlakozzunk bármilyen hálózathoz, ha használjuk azt és ne engedélyezzünk automatikus csatlakozást. Tűzfallal védjük gépünket a külső behatolásoktól. (Ha az otthoni gépedről elérhető az Internet, ajánlott egy „személyes tűzfal” (personal firewall) program telepítése, amely a vírusfertőzések megelőzésén kívül még sok szolgáltatást nyújt.) Folyamatosan figyelt levelezőrendszert használjunk, amelyben csak ellenőrzött, megbízható forrásból érkező csatolt állományok lehetnek, és minden tartalom víruskeresővel ellenőrzött.

36 Megelőzés, védelem: Rendszeresen látogathatunk vírusokkal foglalkozó honlapokat, vagy feliratkozhatunk hírlevélre, így mindig tájékozottak lehetünk az aktuálisan terjedő vírusokról és jellemzőikről.

37 Internetezés veszélyei Vírusok Férgek Trójai programok Kémprogramok (2008-Virtumonde) –Trükkös webhelyek Téves hírek (hoax-ok) Ál-kártevőírtók Internetes bűnözés !! Vírusfertőzések 2008-ban Forrás: PandaLabs

38 A februári toplista helyezettjei részletesen: 1. Win32/TrojanDownloader.Swizzor.NBF trójai Elterjedtsége a februári fertőzések között: 10,86% Működés: A Trojan.Downloader.Swizzor egy olyan kártevő, melynek segítségével további kártékony állományokat másolnak a támadók a fertőzött számítógépre. Többnyire reklámprogramokat tölt le és telepít. A Swizzor terjedéséhez a hiszékenységet is kihasználja: olyan programba szokták rejteni, amely látszólag peer 2 peer hálózatok sebességét (pl. Torrent) optimalizálja, azonban valójában maga a kártevő lapul a „csomagban". Emellett hátsó ajtót is nyit a megtámadott számítógépen. A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

39 2. WMA/TrojanDownloader.GetCodec trójai Elterjedtsége a februári fertőzések között: 5,23% Működés: Számos olyan csalárd módszer létezik, melynél a kártékony kódok letöltésére úgy veszik rá a gyanútlan felhasználót, hogy ingyenes és hasznosnak tűnő alkalmazást kínálnak fel neki letöltésre és telepítésre. Az ingyenes MP3 zenéket ígérő program mellékhatásként azonban különféle kártékony komponenseket telepít a Program Files\VisualTools mappába, és ezekhez tucatnyi Registry bejegyzést is létrehoz. Telepítése közben és utána is kéretlen reklámablakokat jelenít meg a számítógépen. A számítógépre kerülés módja: a felhasználó maga telepíti.

40 3. Win32/Agent trójai Elterjedtsége a februári fertőzések között: 5,13% Működés: Ezzel a gyűjtőnévvel azokat rosszindulatú kódokat jelöljük, amelyek a felhasználók információit lopják el. Jellemzően ez a kártevőcsalád mindig ideiglenes helyekre (Temporary mappa) másolja magát, majd a rendszerleíró-adatbázisban elhelyezett Registry kulcsokkal gondoskodik arról, hogy minden rendszerindításkor lefuttassa saját kódját. A létrehozott állományokat jellemzően.dat illetve.exe kiterjesztéssel hozza létre. A számítógépre kerülés módja: a felhasználó maga telepíti.

41 4. Win32/Adware.Virtumonde alkalmazás Elterjedtsége a februári fertőzések között: 4,67% Működés: A Virtumonde (Vundo) program a kéretlen alkalmazások (Potentially Unwanted) kategóriájába esik az ESET besorolása szerint. A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működés közben megkísérel további kártékony komponenseket, trójai programokat letöltő webcímekre csatlakozni. Futása közben különféle felnyíló ablakokat jelenít meg. A Win32/Adware.Virtumonde trójai a Windows System32 mappájában véletlenszerűen generált nevű fájl(oka)t hoz létre. A számítógépre kerülés módja: a felhasználó tölti le és futtatja. 5. INF/Autorun vírus Elterjedtsége a februári fertőzések között: 4,45% Működés: INF/Autorun egyfajta gyűjtőneve az autorun.inf automatikus programfuttató fájlt használó kórokozóknak. A kártevő fertőzésének egyik jele, hogy a számítógép működése drasztikusan lelassul. A számítógépre kerülés módja: fertőzött adathordozókon (akár MP3-lejátszókon) terjed.

42 6. Win32/Kryptik trójai Elterjedtsége a februári fertőzések között: 4,06% Működés: A trójai nem rendelkezik saját magát telepítő kódrészlettel, azt a felhasználó maga tölti le és indítja el. A megtámadott számítógépről információkat próbál gyűjteni, amelyeket véletlenszerűen generált néven.htm illetve.png kiterjesztésű fájlokban tárol el, és azokat különféle weboldalak felé igyekszik továbbítani. Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Emellett hátsó ajtót is nyit, melyen keresztül a távoli támadó később is könnyen hozzáfér a megfertőzött számítógéphez. A számítógépre kerülés módja: a felhasználó tölti le és futtatja.

43 7. Win32/Conficker.AA féreg Elterjedtsége a februári fertőzések között: 4,03% Működés: A Win32/Conficker egy olyan hálózati féreg, amely a Microsoft Windows legfrissebb biztonsági hibáját kihasználó exploit kóddal terjed. Az RPC (Remote Procedure Call) vagyis a távoli eljáráshívással kapcsolatos sebezhetőségre építve a távoli támadó megfelelő jogosultság nélkül hajthatja végre az akcióját. A Conficker először betölt egy DLL fájlt az SVCHost eljáráson keresztül, majd távoli szerverekkel lép kapcsolatba, hogy azokról további kártékony kódokat töltsön le. Emellett a féreg módosítja a host fájlt, ezáltal számos vírusvédelmi webcím is elérhetetlenné válik a megfertőzött számítógépen. A számítógépre kerülés módja: a felhasználó maga telepíti.

44 8. Win32/PSW.OnLineGames.NMY trójai Elterjedtsége a februári fertőzések között: 3,37% Működés: Ez a kártevőcsalád olyan trójai programokból áll, amelyek billentyűleütés-naplózót (keylogger) igyekszenek gépünkre telepíteni. Gyakran rootkit komponense is van, amelynek segítségével igyekszik állományait, illetve működését a fertőzött számítógépen leplezni, eltüntetni. Ténykedése jellemzően az online játékok jelszavainak begyűjtésére, ezek ellopására és a jelszó adatok titokban való továbbküldésére fókuszál. A számítógépre kerülés módja: a felhasználó maga telepíti. tölti le és futtatja.

45 9. Win32/Injector trójai Elterjedtsége a februári fertőzések között: 1,65% Működés: A számítógépre kerülése után további kártékony komponensek letöltését kísérli meg orosz weboldalakról. Azért, hogy a trójai gondoskodjon saját indításáról minden egyes rendszerindítás esetén, a rendszerleíró-adatbázisban több különböző bejegyzést hoz létre. Rootkit-szerű működése során fájlokat rejt el a fájlkezelő alkalmazások elöl (pl. EXPLORER, FAR MANAGER) még akkor is, ha ezek eredetileg nem rejtett attribútummal ellátottak. Fertőzésre utalhat a C:\ WINDOWS\ system32\ ntos.exe állomány jelenléte is. A számítógépre kerülés módja: a felhasználó maga tölti le és futtatja.

46 10. Win32/Adware.GooochiBiz alkalmazás Elterjedtsége a februári fertőzések között: 1,5% Működés: A károkozó elsődleges célja kéretlen reklámok letöltése a számítógépre. Működése közben távoli webcímekre csatlakozik és onnan reklámokat tölt le. Sok kártevő vet be olyan trükköket, amellyel saját lelepleződésüket igyekeznek elkerülni. Az Adware.GooogchiBiz a tasklistában is nyomon követhető folyamatok közül a normál körülmények között is megtalálható iexplore.exe mögé igyekszik elbújni. Emellett hátsó ajtót is nyit a rendszerben. A számítógépre kerülés módja: a felhasználó maga telepíti

47 Behatolás: Az elektronikus betörések jellemzői –szoftveresen támadható felületek - amelyek valamilyen publikus felületről el lehet érni, –fizikai hozzáférhető szerverek és routerek, –megcsapolható kábelek, trójai faló programok A hálózati szoftverek adta lehetőségek –jelszavak, –jogosultságok, – belépéskésleltetések, – kötelező jelszóváltások

48 Behatolásvédelem A hálózatok szétválasztásának szükségessége - trójai falovak és nyílt felületeken történő támadások ellen A tűzfalprogramok –vizsgálják a hálózatról érkező adatolvasási kérések jogosságát, –a kéretlenül letöltött adatok jelegét, –a letöltendő adatok tartalmát –a jó tűzfal a kimenő forgalmat is figyeli

49 Felhasználó-azonosítás Az egyedi azonosítás elve A partnert kétséget kizáróan azonosítani kell. Ez közvetlen vagy közvetett fizikai kontaktus nélkül csak olyan információk segítségével történhet, amit csak a partnerek ismerhetnek

50 Az elektronikus aláírás és felhasználhatósága A kölcsönösen azonosított partnerek bármilyen egyedi azonosítási technikát kidolgozhatnak. Az azonosítás történhet fizikai jellemzők alapján, speciális kódsorral, az üzenettel együtt elküldött egyezményes információval. Az azonosítás módszere és az ehhez felhasznált információk lehetnek állandóak vagy időszakosan változtatottak.

51 Védelmi stratégia 1.Védelmi stratégiánk legyen alapos és gondosan kimunkált! Helyezzük előtérbe a többféle, egymást átfedő és egymást kölcsönösen segítő védelmi rendszer használatát, hogy védve legyünk, ha bármely technika vagy védelmi módszer valamely ponton kiesne! Ebbe a rendszeresen frissített víruselhárító, tűzfal, behatolást észlelő és elhárító rendszereknek a felhasználói rendszerekre történő telepítése is bele tartozik. 2. Kapcsoljuk ki és távolítsuk el a szükségtelen szolgáltatásokat! 3. Ha egy rosszindulatú program vagy más veszélyforrás kihasznál egy vagy több hálózati szolgáltatást, a javítás megtörténtéig tiltsuk le ezeket a szolgáltatásokat, vagy ne engedjük meg ezekhez a hozzáférést!

52 4.A rendszerek hibajavításai legyenek mindig naprakészek, különösen azokon a számítógépeken, amelyeken nyilvános szolgáltatás fut és a tűzfalon át elérhetőek, például a HTTP-, FTP- levél- és DNS-szolgáltatás. 5. Vegyük fontolóra a hálózati megfelelősségről gondoskodó megoldások alkalmazását. Ezek nem engedik meg a fertőzött mobil felhasználók csatlakozását a hálózathoz (és az újra csatlakozás előtt fertőtlenítik azokat). 6. Szabályozzuk a jelszavak használatát! 7. A levelezőszervereket úgy állítsuk be, hogy azok megállítsák vagy eltávolítsák a vírusok terjedésében általános szerepet játszó csatolmányt, így a.VBS,.BAT,.EXE,.PIF és.SCR kiterjesztésű fájlokat tartalmazó leveleket. 8. A fertőzött számítógépeket gyorsan különítsük el, hogy ezzel megakadályozzuk a szervezethez tartozó további gépek veszélyeztetését! Alaposan elemezzük a rendszert, és megbízható adathordozóról állítsuk helyre a számítógépeket!

53 9.Figyelmeztessük az alkalmazottakat arra, hogy nem várt és ismeretlen, vagy nem megbízható helyről érkezett csatolmányt ne nyissanak meg! Amíg nem ellenőrizték, hogy fertőzött-e egy internetről letöltött program, addig ne indítsák el azt! 10. Gondoskodjunk megfelelő vészhelyzeti eljárásról! Ehhez az esetleges sikeres támadás vagy katasztrofális adatvesztés esetén az elveszett vagy megrongálódott adatok helyreállítása érdekében hozzátartozik a mentést készítő és helyreállító megoldás megléte is. 11. A vezetőség legyen tisztában a védelemhez szükséges költségekkel! 12. Ellenőrizzük a védelmet, hogy biztosak lehessünk a megfelelő szabályozás működése felől! 13. Tudjunk arról, hogy a veszélyforrások a fájlcserélő programok, az ingyenes letöltések, vagy a szoftverek ingyenes, illetve kipróbálható változatainak telepítésével önműködően települhetnek a számítógépre! Az ekben (vagy a közvetlen üzenetekben) levő linkekre vagy csatolmányokra kattintással is szükségtelen veszélynek tehető ki a számítógép. Gondoskodjunk arról, hogy csak a szervezetnél jóváhagyott alkalmazások legyenek az irodai gépekre telepítve!

54 Elsődleges cél: A szolgáltatás folyamatosságának biztosítása Céges környezet

55 A kontrollálandó informatikai folyamat: –A szolgáltatás folyamatosságának biztosítása Az informatikai folyamat által kielégítendő üz leti követelmény: –gondoskodni arról, hogy informatikai szolgáltatás i üzemszünet bekövetkezése minimális hatással legyen az üzleti tevékenységre A központi kérdések: –alkalmazkodási képesség beépítése az automatizált megoldásokba, és az informatikai működésfolyamatossági tervek kidolgozása, naprakészen tartása és tesztelése A megvalósítás feltételei: –Informatikai rendkívüli helyzetkezelés kialakítása és naprakészen tartása (javítása) –Informatikai rendkívüli helyzetkezelési tervek tesztelése és kiképzés a tervekre A rendkívüli helyzetkezelési tervek és az adatok másolatainak tárolása a telephelyen kívüli helyszíneken Folyamatleírás

56 A mérésének eszközei: –A nem tervezett leállások miatt elvesztegetett órák száma havonta és felhasználónként –Azon üzleti tevékenység szempontjából kritikus fontosságú, az informatikára támaszkodó f olyamatok száma, amelyekre nem készült informatikai működésfolyamatossági terv

57 Informatikai működésfolyamatossági keretrendszer A keretrendszer célja: –segítséget nyújtson az infrastruktúra szükséges alkalmazkodóképességének meghatározásához, –vezérelje a katasztrófa helyreállítási és az informatikai működésfolyamatossági tervek kidolgozását. A keretrendszernek foglalkoznia kell : –működésfolyamatosság menedzsment szervezeti felépítésével, –tartalmaznia kell a belső és a külső szolgáltatók szerepköreit, feladatait és felelősségeit, –azokat a tervezési folyamatokat, amelyek létrehozzák a katasztrófa helyreállítási és az informatikai működésfolyamatossági tervek dokumentálásának, tesztelésének és végrehajtásának szabályait és szerkezetét. –kritikus fontosságú erőforrások beazonosítása, –kulcsfontosságú függőségek kimutatása, –kritikus erőforrások, –az alternatív feldolgozás rendelkezésre állásának figyelemmel kísérése és jelentése, –a mentések és a visszaállítások alapelvei.

58 Keretrendszer tartalma használati útmutatókat, szerepköröket és felelősségeket, eljárásokat, kommunikációs folyamatokat Tesztelési módszert.

59 A kontrollálandó informatikai folyamat: –A rendszerek biztonságának megvalósítása Az informatikai folyamat által kielégítendő üzleti követelmény: –az információk és az adatfeldolgozó infrastruktúra sértetlenségének fenntartása, és a biztonsági sebezhetőségek és rendkívüli helyzetek hatásának minimalizálása A központi kérdések: –az informatikai biztonsági irányelvek, tervek és eljárások meghatározása, – a biztonsági sebezhetőségek és rendkívüli események figyelemmel kísérése, felismerése, jelentése és megoldása

60 megvalósítás feltételei: –A biztonsági követelmények, sebezhetőségek és fenyegetések megértése –A felhasználói azonosítók és engedélyezési eljárás szabványosított módon történő kezelése –A biztonság rendszeres tesztelése A mérésének eszközei: –A szervezet hírnevének sérülését okozó rendkívüli események száma –Azon rendszerek száma, amelyek nem teljesí tik a biztonsági követelményeket –A munkaköri feladatok elkülönítését megsértő esetek száma

61 Személyazonosítás kezelése Gondoskodni kell arról, hogy az összes (belső, külső és ideiglenes) felhasználó és az informatikai rendszereken (üzleti alkalmazások, informatikai környezet, rendszerműveletek, fejlesztés és karbantartás) végzett tevékenységük egyedileg beazonosítható legyen. A felhasználók azonosítását lehetővé kell tenni hitelesítési mechanizmusokon keresztül. Meg kell győződni arról, hogy a rendszerekre és az adatokra vonatkozó felhasználói hozzáférési jogok összhangban vannak a meghatározott és dokumentált üzleti igényekkel, a felhasználói azonosítókhoz csatolták-e a munkaköri leírásokat. FONTOS! felhasználói hozzáférési jogokat a felhasználó illetékes vezetői kérelmezzék, azokat a rendszerek felelősei hagyják jóvá, A biztonságért felelős személy állítsa be. A felhasználói azonosítókat és a hozzáférési jogok egy központi adattárban kell naprakészen tartani.

62 Felhasználói fiókok kezelése Foglalkozni kell a felhasználói fiókok és a kapcsolódó felhasználói jogosultságok –igénylésével, –kialakításával, –kiadásával, –felfüggesztésével, –módosításával –és lezárásával. Ki kell egészíteni egy jóváhagyási eljárással. Ezeket az eljárásokat az összes felhasználó esetében alkalmazni kell, beleértve az adminisztrátorokat A kiemelt jogosultságokkal rendelkező felhasználók, valamint a belső és külső felhasználókat mind a normál, mind a rendkívüli eseményekre vonatkozóan. A vállalat rendszereihez és információihoz történő hozzáféréssel kapcsolatos jogokat és kötelezettségeket szerződésben kell rögzíteni az összes felhasználó típusra. Az összes fiók és kapcsolódó jogosultság ok rendszeres vezetői felülvizsgálatát el kell végezni.

63 Kriptográfiai kulcsok kezelése Gondoskodni kell arról, hogy a kriptográfiai kulcsok létrehozásának, megváltoztatásának, visszavonásának, megsemmisítésének, kiosztásának, tanúsításának, tárolásának, bevitelének, használatának és archiválásának szervezését szolgáló irányelvek és eljárások működjenek annak érdekében, hogy a kulcsok módosítás és engedély nélküli feltárás elleni védelme biztosított legyen. Kriptográfia: informatikai tudományág, mely a rejtjelzéssel, titkosírásokkal, kódolással; azok előállításával és megfejtésével foglalkozikinformatikairejtjelzésseltitkosírásokkal kódolással

64 Kártevő szoftverek megelőzése, felismerése és hatásuk korrigálása Megelőző, észlelő és helyesbítő intézkedéseket kell bevezetni különösen naprakész biztonsági frissítések és vírusvédelem a szervezet minden területén az információrendszerek és az informatika kártékony szoftverektől való védelme érdekében (például vírusok, férgek, kémszoftverek és kéretlen üzenetek).

65 Hálózatbiztonság A hálózatoktól és a hálózatokhoz történő hozzáférés engedélyezése és a hálózatokból történő és a hálózatokba irányuló információáramlás ellenőrzéséhez biztonsági módszereket és azokhoz kapcsolódó irányítási eljárásokat kell alkalmazni (például tűzfalakat, biztonsági készülékeket, hálózati szegmentációt, behatolás észlelés).

66 Bizalmas adatok cseréje A bizalmas tranzakciós adatok cseréje csak megbízható útvonalon keresztül, ill. olyan adathordozó segítségével történhet, amelyek kontrolljai biztosítják a tartalom hitelességét, az átadás bizonyíthatóságát, az átvétel bizonyíthatóságát és az eredet letagadhatatlanságát.

67 Titkosítás („kétkulcsos”) A módszer egy 1977-ben született matematikai megoldás. Legismertebb megvalósítása az RSA algoritmus, amelynek kidolgozása három matematikus nevéhez fűződik (Rivest, Shamir és Adleman). Lényege: minden felhasználó (feladó és címzett egyaránt) rendelkezik egy kulcspárral, ami egy nyilvános (public) és egy titkos (private) kulcsot tartalmaz. A nyilvános kulcs a titkosításhoz, a privát kulcs a dekódoláshoz használatos. Fontos megjegyezni, hogy a két kulcs egymásból nem számítható ki, vagyis nem állítható elő a nyilvános kulcsból a titkos kulcs.

68 Gyakorlati működése A titkos kulcsot optimális esetben csak tulajdonosa ismerheti, viszont publikus kulcsát minél szélesebb körben ismertté kell tennie, hiszen így tudnak neki -címzettnek- titkosított üzenetet küldeni. A két kulcs egymást kiegészítve működik; a címzett nyilvános kulcsával titkosítjuk az üzenetet, amit rajta kívül más nem tud elolvasni, hiszen csak ő rendelkezik a dekódolást elvégző titkos kulccsal. A módszer erősségét, a szimmetrikus kulcsos titkosítás hátrányának megoldása szolgáltatja: azok is tudnak titkosított üzeneteket váltani, akik nem ismerik egymást (elég, ha előzőleg kicserélték nyilvános kulcsaikat). Ez a csere történhet Interneten keresztül is, hiszen attól, hogy valaki megszerzi a nyilvános kulcsunkat még nem fér hozzá bizalmas információkhoz. További előnyös tulajdonsága, a digitális aláírás készítésének lehetősége, mely opciót a hitelességvizsgálat céljából érdemes kihasználni

69 A nyilvános kulcsból a titkos kulcsot csak nagyszámú művelet segítségével lehet előállítani. A módszer biztonságossága egy matematikai problémán, a prímszámfejtésen alapul. Az még matematikailag nincs bizonyítva, hogy a probléma megfejtésére nem létezik algoritmus, mellyel az "egyszerűen" visszafejthető (eddig ilyen módszer nem került nyilvánosságra, noha ez a matematikának egy igen erősen kutatott területe)

70 Digitális aláírás A digitális aláírást lehetővé teszi az un. HASH eljárás, amely a HASH függvényen alapszik. Ennek lényege, hogy egy tetszőleges hosszúságú dokumentumhoz egy belőle létrehozott, állandó hosszúságú un. stringet, sűrítményt fűzünk hozzá. Az eredeti dokumentum a bemenet (input), a sűrítmény a kimenet (output). Minden dokumentumhoz más-más string tartozik és a string létrehozása gyors, egyszerű, a program által automatikus folyamat. A HASH a következő tulajdonságok miatt alkalmas “digitális ujjlenyomat” készítésére: gyakorlatilag nem létezik két olyan input, ami azonos outputot generál, egy létező outputhoz az eredeti inputtól eltérő inputot nem lehet konstruálni úgy, hogy a HASH függvény ahhoz is azonos outputot rendeljen, a dokumentumban történő egy bit módosítás a kimenet több bitjét módosítja.

71 Felhasznált irodalom -Dreilinger Tímea: Vírusvédelem. Bp. Panem Informatikai fogalmak kisszótára. Bp. Korona p. -http://www.nfllab.com/szakdoli/szakdoli.htmlhttp://www.nfllab.com/szakdoli/szakdoli.html -http://www.sulinet.hu/tart/fncikk/Kiaf/0/5971/st art.htm -www.virusbuster.hu


Letölteni ppt "Adatbiztonság. Adatvédelem-adatbiztonság Adatvédelmen: azon fizikai, ügyviteli és algoritmikus eszközök együttes felhasználását értjük, amelyek segítségével."

Hasonló előadás


Google Hirdetések