Az Ethical Hacking szükségessége – paranoia faktor Budai László IT Biztonságtechnikai tanácsadó.

Slides:



Advertisements
Hasonló előadás
Készítette: Zrufkó Viktória Turizmus- vendéglátás, Levelező tagozat
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
Készítette: Nagy Márton
Kliens-szerver architektúra
Számítógépes operációs rendszerek
A rendszer próbája: az etikus hackelés és penetrációs tesztelés
Mennyire projekt érett a mai magyar társadalom? 1022 Budapest, Bimbó út 3. Telefon/fax:
Információbiztonság vs. informatikai biztonság?
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
AZ INFORMATIKAI BIZTONSÁG
Kötelező Önvédelmi Gyakorlatok Nem Csak „Feketeöves Adatvédőknek” Kun Árpád vezető rendszermérnök, CEH Budapest, Január 28.
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az SAP bevezetése a Debreceni Egyetemen
A magyar joghatóság határai a kibertérben Ügyészi szemmel
 H ol?  Kiemelt kockázatú objektumokban.  Milyen eszközökkel?  Speciális felderítő eszközök használatával.  Levélvizsgáló berendezés  Röntgensugaras.
Hálózati architektúrák
Hol szökik a hatékonyság
Számítógépvírusok.
Sütik. Mi is az a süti? A HTTP-süti egy információcsomag, amelyet a szerver küld a böngészőnek, majd a böngésző visszaküld a szervernek minden, a szerver.
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Mi is az az Internet?.
Erdődi László, PhD, CEH, SSCP
Megvalósíthatóság és költségelemzés Készítette: Horváth László Kádár Zsolt.
Fejlesztési, stratégiai útmutató
Biztosítók irányítási rendszere
„Nem is gondoljuk, milyen egyszerű feltörni” A Neumann János Számítógép-tudományi Társaság részére Budapest, Rácz Bencze ügyvezető Fusiongate.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
Gyűjteményünk Elsősorban helyismereti dokumentumok Szépirodalmi és szakirodalmi művek, szakdolgozatok, képeslapok Heves megyei.
S S A D M ELEMZÉSI ÉS TERVEZÉSI MÓDSZERTAN
Infó-kommunikációs technológia, mint kritikus infrastruktúra védelmi faktor Napjaink egyik világméretekben egységesen felismert és értelmezett jelensége.
Projektek monitorozása. Elvek és módszerek
Biztonságtechnikai fejlesztések Eshetőségek: Külső behatolás a rendszerekbe Külső személy bejutása az épületbe Belső szivárogtatás Mindhárom lehetőségre.
Mobil eszközök biztonsági problémái
DDoS támadások veszélyei és az ellenük való védekezés lehetséges módszerei Gyányi Sándor.
Folyamatos Fejlesztés Cél: Önálló fejlesztési képesség kialakítása intézményi és egyéni szinten.
Programtesztelés. Hibák keletkezésének okai nem egyértelmű vagy hiányos kommunikáció fejlesztés közben maga a szoftver bonyolultsága programozói (kódolási)
EasyWay ITS Hungary workshop tervezett programja Házigazdai üdvözlés – Kovács Ákos MK vezérigazgató EasyWay áttekintés – dr. Lindenbach Ágnes ITS Hungary.
Vállalati tanácsadás pályázatainak értékelése
Kulturális Projekt Ciklus Menedzsment A kultúra gazdaságtana
Máté István Multimédia fejlesztő Máté István
Hálózatok.
Korszerû IT Biztonságtechnika Számonkérés Szorgalmi feladatok hétrõl-hétre  Óra kezdésig kell elküldeni nekem Félév-végi vizsga ZH  100.
2014. június 12. Lackó Péter Clarity
Hazai vámhatósági tapasztalatok és legjobb gyakorlatok az AEO-kal való együtt működés terén Konopás András százados2014. június 24. NAV KAVIG Konopás András.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Ingyenes,Multi funkcionális tűzfal szoftver
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" TÁMOP C-12/1/KONV projekt „Ágazati felkészítés a hazai.
Visegrád, Könyvvizsgálat, Minőség-ellenőrzés és
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
HEFOP 3.3.1–P /1.0A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. 1 Számítógép- hálózatok dr. Herdon.
Tűzfal (firewall).
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Trójaiak: egyszerűség, hatékonyság Szincsák Tamás november 25.
Telephelyek információbiztonsági felülvizsgálata szervezeti összeolvadás esetén Cseh Zsolt tanácsadó XXXVII. Szakmai fórum szeptember 16.
KONFIGURÁCIÓKEZELÉS è A projektirányítás a költségekkel, erőforrásokkal és a felhasznált idővel foglalkozik. è A konfigurációkezelés pedig magukkal a termékekkel.
Vírusok. Számítógépes vírusok 1. Számítógépvírus fogalma: Olyan speciális, önmagát szaporítani képes program, amely más programokba beépülve különböző.
Mitől innovatív egy vállalkozás? Nyert a pályázatom! Hogyan tovább? Segítünk a megoldásban!
Kockázati értékelés kis szervezetekben Tar György Szeged, 2013.október
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
A pénzügyi kimutatások könyvvizsgálatának tervezése 300
Hálózati struktúrák, jogosultságok
Internet és kommunikáció
Biztonság és GDPR kancellar.hu
A szoftverhasználat jogi vonatkozásai
Előadás másolata:

Az Ethical Hacking szükségessége – paranoia faktor Budai László IT Biztonságtechnikai tanácsadó

Hacker vagy etikus hacker? „Black-hat hacker"-nek nevezzük azokat a hackereket akik tudásukkal visszaélve jogosulatlanul számítógépbe illetve számítógéphálózatokba törnek be. A black-hat hacker motivációja sokrétű lehet: pénzszerzés az adott információ birtoklása által avagy a puszta kíváncsiság, kémkedés. „White-hat hacker”-nek (fehér kalapos hacker) nevezzük azokat a kiemelt tudással rendelkező informatikai szakembereket, akik tudásukat arra használja fel, hogy megbízás alapján vagy állandó jelleggel biztonsági hibákra világítson rá, ezáltal elkerülve és megelőzve a black-hat hackerek betörési kísérleteit. A White Hat Hacker-ek csoportjába tartoznak az úgynevezett Etikus Hackerek illetve a Penetration Testerek.

Informatikai Biztonsági vizsgálatok jelentősége Az üzleti titkok elvesztése, kiszivárgása, egy informatikai rendszer leállása vagy az ügyfelek bizalmának elvesztése a kis- és nagyvállalatokat egyaránt megrendíti. Az IT fejlesztések (rendszer és alkalmazás) során illetve után ellenőrizni kell, hogy a biztonsági szempontokat figyelembe vették-e (milyen kontrollok kerültek alkalmazásra) és betartják-e. A fejlesztés, a rendszer életciklusának több fázisában indokolt lehet a sérülékenységi vizsgálatok és behatolás-tesztelés külsős, harmadik fél által történő elvégzése. Külföldön már bevett gyakorlat, hogy a számítógépes hálózatok biztonságát etikus hackerek tesztelik.

Mi az ethical hacking? Az ethical hacking a külső szakértő által végezhető biztonsági vizsgálatok közül a legösszetettebb feladat. Célja: a működő rendszer védelmi kontrolljainak kijátszása bármilyen technikával. Ebbe beletartozik az emberi ráhatással (social engineering) történő támadás is. Több szakértő összehangolt munkáját igényli, akiknek feladata a vizsgált szervezet összes sérülékenységének felderítése. Magában foglalhatja a funkcionális tesztelést, a sérülékenység-vizsgálatot és a behatolás-tesztelést is, a feladat jellegétől függően. A megbízótól kapott információktól függően: Black box módszer White box módszer

A csoport tagok kiválasztása Megfelelő szerződések megkötése, engedélyek megszerzése, tervek benyújtása Felderítés Felmérés Támadási tesztkörnyezet összeállítása Sérülékenység hozzárendelés Kihasználás Kiterjesztés Incidenskezelés tesztelése Jelentés A vizsgálat lépései:

Felderítés Az ethical hacking projekt során a vizsgálati módszertől függően adnak ki a vizsgálat alatt álló szervezetről információt. (black vagy white box) Az első feladat a célpont felderítése. Ez olyan tevékenységeket jelent, melyeknek során nyilvános vagy kiszivárgott információkat gyűjtenek össze a célpontról. Erről a tevékenységről semmilyen módon nem értesül az ügyfél, hiszen az etikus hacker nem lép vele kapcsolatba.

Az információmorzsák összegyűjtésének forrásai : Céges weboldal Kapcsolódó vállalkozások (pl. cégjegyzék) Telephellyel kapcsolatos információk (Google Map) Telefonszámok, kontaktszemélyek, címek Aktuális események (pl. sajtóközlemények) Nyilvánosan elérhető műszaki információk (szabályzatok, szabványok, stb.) Archív információk (pl. Alkalmazottaktól kiszivárgó információk (pl. blogok, iWiW) Keresők által szolgáltatott információk (pl. Google hacking) Bármilyen más relevánsnak tűnő információ Felderítés

Felmérés A szervezetre vonatkozó technikai információk begyűjtése: IP információk összegyűjtése DNS információk összegyűjtése Hálózat felderítése (wifi hálózat is) Sérülékenységek keresése Nyitott portok keresése, tűzfal szkennelés Szolgáltatások feltérképezése, és verzióinak megállapítása Felhasználói azonosítók megszerzése Operációs rendszerek azonosítása

Kihasználás A felmérés eredményei alapján a támadási módszer kerül kiválasztásra. A legtipikusabb támadási utak: Az operációs rendszer hibáinak kihasználása (esetek többségében tűzfal védi, exploitok, trójai programok bejuttatása, és az onnan származó információk felhasználása) Sérülékeny rendszerszolgáltatások kihasználása (pl. webszerver, FTP szerver, VPN, stb.) Alkalmazáshibák kihasználása (pl. rosszul megírt webes alkalmazások hibáinak megtalálása) Az emberi tényező kihasználása (social engineering)

Alkalmazáshibák kihasználása A szervezetek legnyilvánvalóbb támadási felülete a weboldala valamint azok az alkalmazások, ahol a buffer overflow programozási hiba kihasználható. A webszerverek támadása különösen akkor érzékeny, ha belső hostolású, dinamikus weboldal, melyet nem megfelelő biztonsági tervezéssel állítottak elő, ami nincsen megfelelően elszeparálva a belső hálózattól, ráadásul a webhost mellett érzékeny adatokat is tárolnak rajta.

Social Engineering – avagy az emberi tényező kihasználása A social engineering (SE) nem más, mint annak a művészete és tudománya, hogy miként vegyünk rá személyeket arra, hogy a mi akaratunknak megfelelően cselekedjenek. A SE támadás csak a támadási mód tekintetében tér el bármely más információ vagy erőforrás elleni támadástól, ebben az esetben az emberi gyengeségeket használják ki a támadók, megkerülve ezáltal a hardver és szoftver eszközök segítségével implementált biztonsági kontrollokat. A legvégső biztonsági tényező maga az ember, ha őt magát sikerül megtéveszteni, máris tárva-nyitva áll az út a támadó számára.

Minden social engineering támadás más és más, ugyanakkor mint a legtöbb támadási formának, így a social engineering-nek is van forgatókönyve, létezik egy minta, amelyet minden SE támadás használ. A forgatókönyv lépései a következők: Információszerzés Kapcsolatépítés A kapcsolat kihasználása (felhasználása) * Végrehajtás – a tervezett cél megvalósítása Social Engineering – avagy az emberi tényező kihasználása

Social Engineering – avagy az emberi tényező kihasználása Technikák: Dumpster diving Vállszörf Popup ablak, csatolmány, elhagyott cd, weboldalak Megszemélyesítés, fontos ember, gyámoltalan felhasználó, „mi vagyunk” a help-desk, harmadik fél felhatalmazása Személyesen besétálunk az épületbe, mint látogatók A SE önálló vizsgálatként is megállja a helyét, vele fény derülhet biztonsági, információ hozzáférési, üzemeltetési kockázatokra illetve a biztonságtudatossági oktatás hiányosságaira.

Kiterjesztés, Incidenskezelés A vizsgálat céljaként meghatározott támadás elvégzése, mely kiterjedhet a szervezet által tett intézkedések mérésére is. (IPS/IDS megoldások tesztelése és a vállalati incidenskezelés vizsgálata is a célok között szerepelhet)

Az etikus hackelés segít rávilágítani a szervezet néhány (nem az összes) biztonsági hiányosságára, ami egy lépés lehet a még jobb biztonság kialakítására! Hangsúlyozzuk, hogy az etikus hackelés nem teljeskörű! Az etikus hackelésnek akkor van értelme, ha egy olyan szervezetnél végzik el, ahol kialakult információbiztonság van! Jelentés

Köszönöm Megtisztelő Figyelmüket! Budai László IT Biztonságtechnikai tanácsadó