Mellékhatások: a social engineering-től a cyber háborúig Sik Zoltán Nándor (sikzoltan@enoadvisory.com), ENO Advisory Kft. (www.enoadvisory.com)

Miért pont az Internet veszélyes? Mire találták ki az Internetet? Eisenhower: DARPA - Fegyverkezési verseny, válasz a Szputnyikra, stb. És mire nem? IT biztonság pl. nincs a protokollokban Ki gondolta volna akkor? Akkoriban űrből érkező atomtámadástól féltek… Vinton G. Cerf, Robert Kahn és Bill Clinton

Az új sebezhetőségi pont: A harmadik hullám Ma azonban az internet mindenkié... A mindenkiben tényleg mindenki benne van …azok is, akik nem arra használják, amire azt kitalálták Veszély leselkedik tehát mindenkire …és azokra is, akik nem arra használják, amire kitalálták! Veszély tehát: Társadalomra Gazdaságra Kultúrára Hasonlóan az ipari forradalomhoz, az információs társadalom is újabb veszélyeket rejt magában…

Harcban állunk! Folyamatosan harcban állunk! védekezni kell! (és időnként támadni is (?))  A legtöbben azt hiszik, hogy: Jaj a hackerek! …meg a vírusok… …és esetleg a phishing és akkor gyorsan: … tűzfal kell, …meg vírusirtó, …meg IPS/IDS A tájékozottabbak szerint: „informatikai biztonság”, „kiberbiztonság” stb.

Az IT biztonságon túl De sajnos nem csak ez van Másfajta biztonságra is szükség van: Fizikai Személyi Információ (!) biztonság benne dokumentum biztonság és informatikai biztonság (valaha algoritmikus biztonságról beszéltek) Tehát körkörös védelem kell! …Hogy miért, az mindjárt kiderül

Hogy is állunk ezzel a harccal? Információs hadviselés! (IW = Information Warfare, IO = Information Operations) Mi is az? Nehéz meghatározni, körülírni… Túl bő, túl szűk definíciók Első def: Thomas Rona (1972)

Az információs hadviselésről „Polgári” felfogás (IW): 2007(IWS, Google, Wikipedia, stb.): „Az információs hadviselés a hadviselés egy új formája, amikor is az információ, illetve támadások az információ, illetve az információs rendszerek ellen a hadviselés eszközeivé válnak.” 2008 (ugyanott): „Információs hadviselés (information warfare - IW): az információ, vagy az információtechnológia használata krízis, vagy konfliktus idején, adott ellenfelet vagy ellenfeleket érintő meghatározott célok elérésére vagy azok elősegítésére.” 2009 (ugyanott): „Információs hadviselés: az információ használata és menedzselése egy ellenfél felett való versenyelőny megszerzése érdekében.

Az információs hadviselésről „Katonai” felfogás (IO): MNIOE (Multinational Information Operations Experiment) definíció: „Az információs rendszereket – beleértve a rendszerek viselkedését és lehetőségeit – érintő, olyan katonai tevékenységekre való javaslattétel, illetve ezek koordinálása, amelyekkel a kívánt hatások elérhetők” Cél az információs fölény megszerzése – és megtartása (információs dominancia) Információs fölény definíció (DoD, JP 1-02, 1998): „Valamely fél saját erőinek vezetésében való relatív előnye az ellenfelekhez képest. Az információs fölény, vagy dominancia elérhető mind a saját vezetők kiképzésével úgy, hogy azok a rendelkezésükre bocsátott, fölényt biztosító technikai információk segítségével gyors és megfelelő döntéseket tudjanak hozni, illetve annak érdekében tett erőfeszítések az ellenfél ugyanilyen képességeinek rombolására és lehetetlenné tételére, egyidejűleg a saját képességek védelmével.”

Az információs hadviselésről Története: Egyes részei már igen régiek Sun Ce (Sun Tzu): A háború művészete (ha ismered ellenségedet és magadat, győzni fogsz…) II. VH (Enigma, Ultra, stb.) Hidegháború (SZER, VoA, BBC, stb.) 1991-es Öbölháború („Sivatagi vihar”) a „második hullám” utolsó, vagy a „harmadik hullám” első háborúja? (ld. Alvin Toeffler: A harmadik hullám) CNN jelenség ma innen számítjuk

Az információs hadviselésről Területei (egyik – régebbi – felfogás): Martin C. Libicki (1995) – nem definiál, inkább megadja a részterületeket (ezek összefüggenek egymással): Vezetési hadviselés (Kommunikáció vezérelt hadviselés) - Command and Control Warfare (C2W), (régebbi nevén Signals Warfare), Hírszerzés alapú hadviselés (Érzékelés alapú hadviselés) - Intelligence Based Warfare (IBW), Elektronikus hadviselés - Electronic Warfare (EW), Pszichológiai hadviselés (Lélektani hadviselés) - Psychological Warfare (PSYOP), „Hacker” hadviselés - Hacker Warfare, Gazdasági információs hadviselés - Economic Information Warfare (EIW) Kibernetikai hadviselés – Cyberwarfare Martin C. Libicki

Az információs hadviselésről Az információs hadviselés fókuszterületei (Forrás: ZMNE)

Az információs hadviselésről Libicki kritikája - a definiált területek túlságosan átfedők Információs műveletek definíció (JP 1-02, JP 3-13): Az ellenség információit és információs rendszereit érintő cselekmények, a saját információk és információs rendszerek védelme mellett. JP 3-13 szerinti felosztás: Fizikai megsemmisítés (Phisical Destruction – PD) Katonai megtévesztés (Military Deception – MILDEC) Műveleti biztonság (Operation(al) Security – OPSEC) Pszichológiai műveletek (Psychological Operations – PSYOP(S)) Elektronikai hadviselés (Electronic Warfare– EW) Számítógép-hálózati hadviselés (Computer Network Operations – CNO) + Civil-katonai együttműködés (Civil-Military Cooperation – CIMIC) + Tömegtájékoztatás (Public Information – PI)

Az információs hadviselésről Az információs műveletek fajtái (Forrás: Haig Zsolt – Várhegyi István: Hadviselés az információs hadszíntéren)

Hacker Warfare (1) Winn Schwartau: a számítógépes hálózatok elleni támadásokat tekinthetjük úgy, mint maga az információs hadviselés Hacker warfare: „Informatikai” hadviselés A hálózatok biztonsági réseinek kihasználása Nem tényleges, hagyományos értelemben vett harc Céljai: lehallgatás, megszemélyesítés, beavatkozás Winn Schwartau

Hacker Warfare (2) Lehetséges célok: Számítógépes rendszerek megbénítása Megbízhatatlan működés előidézése, pl. adathibák generálásával Adatlopás pl. pénzszerzési, vagy értékesítési céllal Jogosulatlan használat, vagy ilyenhez adatgyűjtés, adathalászat Megszemélyesítés, mind felhasználói oldalon, mind szolgáltatást tettetve Információgyűjtés hírszerzéshez, pl. lehallgatással, rendszer működés megfigyelésével Hamis adatok bevitele a rendszerbe Fenyegetés, zsarolás, illetve ezekhez a fentiek igénybe vétele

Hacker Warfare (3) Lehetséges technikák pl.: Vírusok Férgek Logikai bombák Trójaiak Snifferek Social engineering (pl. phising-hez) – magyarul szélhámosság – Lásd pl. Kevin Mitnick könyvét Különbség a katonai és polgári célpontok elleni támadásnál (katonaiak a nyilvános hálózatokról leválasztva) Támadás fajták: fizikai, szintaktikai, szemantikai Hacker warfare - szintaktikai Cyberwarfare – szamentikai (ld. ott)

Hacker Warfare (4) Kritikus (létfontosságú) infrastruktúrák kiemelt védelme (Critical Infrastructure Protection – CIP, Critical Informations Infrastructure Protection - CIIP), pl.: Közművek ICT Energetika, energiaellátás Bank, pénzátutalás Biztonsági rendszerek Business Continuity Planning / Disaster Recovery Planning Támadás szimulálás Log file analízis Szoftverhibák Time to market miatt Szándékos (trap door, back door)

Cyberwarfare (1) Def: Területei: A kibernetikai hadviselés a kibertérben zajlik, és mint olyan eléggé megfoghatatlan, utópisztikus. Itt egyes területeken csak trendekről, kibontakozó irányokról beszélhetünk, más oldalon viszont van tényleges hadviselési gyakorlat is. Területei: Információs terrorizmus Szemantikai támadások Szimulált háborúk Gibson hadviselés – 4GW (5GW) (ld. William Gibson: Neuromancer)

Cyberwarfare (2) Információs terrorizmus Szemantikai támadások Hacker hadviseléshez hasonló, de! Jól szervezett csoportok Célok: terrorizmus, szervezett bűnözés Szemantikai támadások Hamisadatok betáplálása A végeredmény is hamis Rossz döntések Pl.: tömeghisztéria, bank/tőzsdepánik, látszatkeltés Defenzíva: adathelyesség, pontosság, megbízhatóság ellenőrzés, integritás ellenőrzés Teljességgel ez sem zárja ki! (adatokban való „vakon” megbízás, negligencia, luxúria, stb.)

Cyberwarfare (3) Szimulált háborúk Még csak jövőbeni elképzelés (?) Tréningezni lehet Döntéstámogatás Játékelmélet Esélylatolgatás, kárszámítás, költségbecslés, kockázatelemzés Gibson hadviselés -> 4th generation warfare 4GW 1GW – muskéta, tűzfegyverek 2GW – koncentrált tűzerő, ballisztikus fegyverek 3GW – beszivárgás, mélységi hadviselés, mobil hadviselés, „villámháború” 4GW – aszimmetrikus hadviselés (stateless), nem hagyományos formák, Gibson hadviselés. Szintjei: fizikai, mentális, morális

Cyberwarfare (4) Gibson hadviselés (folytatás): Nem államok az államok ellen Hagyományos katonai összecsapások eltűnnek Hátország megszűnik (totális háború) Cél: nem a csaták, hanem a közvélemény megnyerése (ld. Orwell: 1984) Módszerei: Gerilla hadviselés, terrorizmus (= aszimmetrikus hadviselés) Szabotázsok Cyberwarfare! Nem hagyományos hadviselési formák

IW esetek 1999, Moonlight Maze – USA ellen irányult, Oroszországnak tulajdonítják 2003, Titan Rain – USA ellen irányult, Kínának tulajdonítják Érintettek: Lockhead-Martin, Sandia National Labs, Redstone Arsenal, NASA Shawn Carpenter (haditengerészet veteránja) 2005-re „felgöngyölítette” 2007, Észtország elleni, Oroszországnak tulajdonított DDoS akció Elsősorban Hacker Warfare, EIW, Cyberwarfare területeket érint Botnet bérlés, nem követhető vissza (KGB?, Nashi ifjúsági szervezet?) 2008, Dél-oszétiai események Grúzia vs. Oroszország (...) Grúz internet blokkolása, de: Szaakasvili elnök kérése Lech Kaczinsky felé „bin Laden” effektus – azaz nem érint „nagyon” egyértelműen PSYOP – ne létezzen a grúz narratíva az eseményekről 2008, Gázai övezet Izrael vs. Palesztinok Távközlési létesítmények lebombázása - PD Röplapok szórása – PSYOP 2009, USA - GRID-ben talált botnet „Digitális Armageddon” lesz? - Cyberwar

Az információs hadviselésről Ez azért eléggé távolinak tűnik. Pedig nem az. Egy felosztás: IT rendszerek elleni támadások Nem IT rendszerek elleni támadások – ebből van több Vegyes… Ma már viszonylag kevés olyan támadás van, amiben az Internet nem játszik szerepet

Hogyan lehet itt védekezni? Kritikus Infrastruktúra Védelem (Critical Infrastructure Protection = CIP, „magyarul” KIV)! Ezen belül: Kritikus Információs Infrastruktúra Védelem (Critical Information Infrastructure Protection = CIIP, azaz KIIV) Ok, de mi is az? Forrás: Davos World Economic Forum Global Risks 2008 Report

A kritikus infrastruktúra és védelme Definíció (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrák alatt olyan, egymással összekapcsolódó, interaktív és egymástól kölcsönös függésben lévő infrastruktúra elemek, létesítmények, szolgáltatások, rendszerek és folyamatok hálózatát értjük, amelyek az ország (lakosság, gazdaság és kormányzat) működése szempontjából létfontosságúak és érdemi szerepük van egy társadalmilag elvárt minimális szintű jogbiztonság, közbiztonság, nemzetbiztonság, gazdasági működőképesség, közegészségügyi és környezeti állapot fenntartásában.”

A kritikus infrastruktúra és védelme Definíció folyt (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrának minősülnek azon hálózatok, erőforrások, szolgáltatások, termékek, fizikai vagy információtechnológiai rendszerek, berendezések, eszközök és azok alkotó részei, melyek működésének meghibásodása, megzavarása, kiesése vagy megsemmisítése, közvetlenül vagy közvetetten, átmenetileg vagy hosszútávon súlyos hatást gyakorolhat az állampolgárok gazdasági, szociális jólétére, a közegészségre, közbiztonságra, a nemzetbiztonságra, a nemzetgazdaság és a kormányzat működésére.”

A kritikus infrastruktúra és védelme Miért kell védeni? Mert „kritikus” = létfontosságú Infrastruktúra – nem is annyira, az infrastruktúra, mint szolgáltatások, funkciók, folyamatok USA definíció: „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat, illetve elosztó képességeket) tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében” (Critical Foundations Protecting America’s Infrastructures, The Report of the President’s Commission on Critical Infrastructures Protection; Washington, 1997 )

A 2005. július 7-i londoni terrortámadás helyszínei

Kritikus infrastruktúra védelem otthon? OK, de ezt otthon? Miért, otthon mi a kritikus „infrastruktúra”? Egyáltalán van analógia? „Otthoni kritikus infrastruktúra” Család Egészség Tulajdon ház, autó, pénz… és az Adatok???

Életünk adatokra épül! Adatokra épül az életünk, ha nincsenek adataink, nem létezünk! (hacsak nem Bhutan-ban élünk…) Miért is? személyi adatok (ID, egészségügy, munkaügy, segélyek, stb.) tulajdonok nyilvántartásai (ingatlan, ingóságok, pénz!) részesedések nyilvántartásai (cég tagság, részvény, stb.) kapcsolataink… Azaz: ha nincsen adatunk, nem is vagyunk (vagy nem azok vagyunk, akik vagyunk…)

Adatainkra kell vigyáznunk! Tehát mire kell legjobban vigyázni? (a szemünk fényén kívül…) És mire van ráhatásunk? Otthoni kritikus „infrastruktúrára” majdnem teljesen. Majdnem minden a felügyeletünk alatt tartható Na meg a biztosító fizet… Kivéve az adataink. Azt nem mi kezeljük. Hanem az állam, bank, szolgáltatók…

Amit tudunk, nekünk kell megtenni! Adataink legalább nálunk ne szivárogjanak! a többivel foglalkozzanak, akik kezelik, mi csak ellenőrizni/ellenőriztetni tudjuk, ha tudjuk… Tehát nekünk mit kell tenni? A biztonság adott szintjét fenntartani De! előtte meghatározni, hogy mi az a szint, amit ésszerűen fenn tudunk tartani Ez legtöbbször pénz kérdése…

Hogyan vigyázzunk? Hogyan? De! + Dokumentum biztonság OK, volt már szó IT biztonságról De! + Dokumentum biztonság azaz nem dobjuk a kukába a papírra felírt jelszót …CISA auditorok kedvence a kukafosztogatás de amíg a lázlapot mindenki láthatja a kórházban… + Fizikai biztonság! Kit engedünk be? Elöl hagyjuk-e az adatainkat? Fenyegetésre hogy reagálunk (pl. silent alarm!)? + Személyi biztonság Kivel állunk szóba? Telefonon? IWIW-en? Chat szobában? vagy a gangon?

Egészséges paranoia! Legalább a privát szféránkat védjük meg!

Social Engineering! +Psychological Operations 