A datbiztonság, adatvédelem
Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő cél: az adat (és vele az információ) elvesztésének megakadályozása. MIT és MENNYIRE? Adatbiztonság: az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Fő cél: az adat (és vele az információ) illetéktelenek kezébe jutásának megakadályozása.HOGYAN?
A datbiztonság, adatvédelem Eszközök törvényi, jogi szabályozás Európában − ET 1973., 1979., OECD … − EU és EP 1999/93/EK irányelv az elektronikus aláírások közösségi keretszabályairól Magyarországon − évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról … − évi XXXV. tv. az Elektronikus Aláírásról (2001. május 29.)
A datbiztonság, adatvédelem Eszközök műszaki, technikai, tudományos eszközök pl. hálózati biztonságtechnikai hardver- és szoftvereszközök matematikai algoritmusok, pl. kriptográfia nemzetközi szervezetek szabványai, ajánlásai ISO IEEE W3C …
A datbiztonság, adatvédelem Az információ szabad áramlása A fő ellentmondás: A személyes adatok védelme
A datbiztonság, adatvédelem Kitől, mitől kell védenünk adatainkat? a konkurenciától a hálózati kalózok tevékenységétől vírusoktól, trójai programoktól, egyéb hálózati kártevőktől megbízhatatlanul működő informatikai eszközöktől (hardver és szoftver) a gondatlanság, tudatlanság miatt bekövetkező eseményektől !!
A datbiztonság, adatvédelem Honnan várható támadás? Forrás: Ökrös László: Biztonság és adatvédelem az információtechnológiában
A datbiztonság, adatvédelem A bekövetkez(het)ő események: adatlopás adatmanipuláció törlés, rombolás sérelmek miatti bosszú személyiségi jogok megsértése …
A datbiztonság, adatvédelem Gondatlanság, tudatlanság − amiről a felhasználó tehet… jelszavak védelmének hiánya jogosultsági rendszerek be nem állítása eszközök helytelen konfigurációja védelmi rendszerek hézagos telepítése szoftverlicencek hiányos kezelése (kezeletlensége) a biztonsági mentések elhanyagolása vagy hibás gyakorlata …
A datbiztonság, adatvédelem … és amiről nem tehet, de ezek is neki okoznak bosszúságot rosszul működő vagy rosszul konfigurált hardver biztonsági rések a szoftverekben a szoftverhibákhoz kiadott javítócsomagok áradata spamek és hoaxok …
A datbiztonság, adatvédelem Az adat- (és információ-) biztonság célja: az informatikai rendszer azon állapotának elérése, melyben a kockázatok szintje elviselhető mértékűre csökkenthető ehhez elfogadható intézkedések, döntések meghozatala ezzel biztosítva az információ elérhetőségét, sérthetetlenségét és megbízhatóságát.
A datbiztonság, adatvédelem Digitális aláírás Elektronikus aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. Tömösközi Péter
A datbiztonság, adatvédelem Digitális aláírás mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm. aláírás-készítés mmm! mmm mmm mmm mm mmm mm mm m mmmm m mm mm mm mmmm mm mm mm mmmmmm mmmm mm mm mm m mmm m mm mm m mmm mm mmm …
A datbiztonság, adatvédelem Digitális aláírás tulajdonságai elkészítéséhez szimmetrikus vagy aszimmetrikus kulcs szükséges az üzenethez van csatolva, és igazolja annak hitelességét sértetlenségét letagadhatatlanságát maga az üzenet nyílt (tehát kódolatlan) marad
A datbiztonság, adatvédelem Kódolás szimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás titkos kulcs
A datbiztonság, adatvédelem Kódolás aszimmetrikus kulccsal eredeti (nyílt) üzenet kódolt (titkos) üzenet kódolás Dekódolás kódolt (titkos) üzenet eredeti üzenet dekódolás magánkulcs publikus kulcs
A datbiztonság, adatvédelem Szimmetrikus vagy aszimmetrikus kódolás? kockázatelemzés költségek? a ma ismert legjobb módszerek PKI alapúak: PKI (Public Key Infrastructure)
A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kódolás egy kulcspárral történik, az egyik kulccsal kódolt üzenet csak a másik kulccsal fejthető meg a nyilvános kulcs közzétehető, nem titkos, a felhasználó csak a magánkulcsát nem adhatja ki a nyilvános kulcs birtoklását tanúsítvány igazolja (ezt egy hitelesítés-szolgáltató − CA − adja ki és saját kulcsával aláírja) a kulcspár tagjai matematikai algoritmussal (jelenleg főként RSA) előállított bitsorozatok: összetartoznak, de egyik a másikból nem következtethető ki
A datbiztonság, adatvédelem Kódolás aszimmetrikus (nyilvános) kulccsal a kulcspárt előállító algoritmusok megbízhatók, feltörésük ma rendelkezésünkre álló eszközökkel gyakorlatilag nem lehetséges üzenet titkosítására is felhasználható: ha a titkosításhoz a címzett nyilvános kulcsát használjuk, az csak az ő magánkulcsával fejthető meg teszt-kulcspár egyes szolgáltatóktól akár ingyen is igényelhető (igaz, ez csak egy elektronikus cím létezését bizonyítja, mást nem)
A datbiztonság, adatvédelem A PKI egyik alkalmazási területe − digitális aláírás készítése nyílt szöveg lenyomat a nyílt szövegről hash-függvény magánkulcs kódolt lenyomat ( = az aláírás) Az üzenet továbbítása: nyílt szövegkódolt lenyomat ( = az aláírás) címzett kódolás
A datbiztonság, adatvédelem Digitális aláírás ellenőrzése nyílt szövegkódolt lenyomat ( = az aláírás) feladó hash-függvény lenyomat 1. nyilvános kulcs lenyomat 2. dekódolás megegyeznek? Cél: mindenki tudja ellenőrizni egy digitális aláírás hitelességét, de a hiteles aláírást csak egy személy tudja produkálni.
A datbiztonság, adatvédelem Lenyomatkészítés hash-függvénnyel tetszőleges hosszúságú szövegből rövid, fix hosszúságú bitsorozat előállítása (ez a Message Digest − lenyomat vagy üzenetkivonat) egyirányúság ütközésmentesség lavinahatás
A datbiztonság, adatvédelem A (nyílt kulcsú) digitális aláírás előnyei garantáltan bizonyítja, hogy az üzenetet az aláíró írta (hitelesség), annak tartalma nem változott meg az aláírás óta (sértetlenség) az üzenetet az aláíró küldte el (letagadhatatlanság) a ma használt szoftverek (pl. levelező- vagy irodai programok) nagy része többé-kevésbé kezelni tudja
A datbiztonság, adatvédelem A digitális aláírás hátrányai eszközigény a számításhoz többféle, egymással nem kompatibilis szabvány az elküldött üzenet nyílt marad, tehát ellopható, illetéktelen kezekbe juthat nem véd vírusoktól, betöréstől, DoS-tól és más, hálózati támadásoktól, stb.
A datbiztonság, adatvédelem A digitális aláírás hátrányai A digitális aláírás önmagában semmiképpen sem nyújt kellő védelmet a hálózat veszélyeitől… … de nem is arra való.
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: az adattárolás veszélyei (fájlrendszerek védelmi eszközei − vagy ezek hiánya) hibák az operációs rendszerekben − biztonsági rések, amelyek nem akarnak elfogyni nem létező vagy rosszul konfigurált védelmi eszközök (kikapcsolt tűzfalak, ritkán cserélt jelszavak, stb.)
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok az elmélet születése − publikáció készül önmagát reprodukálni képes program írásának lehetőségéről az első példány − Elk Cloner − megjelenése (Apple II rendszerlemezeken) az első dokumentált vírus (a „vírus” születési éve) 1990-es évek eleje: jellemzően boot- és fájlvírusok (Jerusalem − 3 év) makróvírusok − Word.Concept (4 hónap)
A datbiztonság, adatvédelem Az adataink biztonságát (továbbra is) veszélyeztető dolgok: vírusok kártevők − Melissa (OutLook Express, egymillió fertőzött PC), LoveLetter (6 óra alatt) „a férgek éve” (Nimda, Sircam, CodeRed) január 25. SQL.Slammer (10 perc alatt fertőzött PC, a fertőzött gépek száma 8,5 másodpercenként megduplázódik) szeptember 28. HackTool.JPEGShell (Trojan.Moo) JPEG-vírus?
A datbiztonság, adatvédelem A JPEG-vírus? (még?) nem vírus (nincs önreprodukáló kódja) az MS programok biztonsági grafikus vezérlőjének (GDI+) biztonsági rését használja ki elemzők szerint aggodalomra ad okot… … pedig volt már hasonló: − augusztus (PNG-probléma) − január (Macromedia Flas-ba épülő vírus) … és ma sem csak a JPG érintett
A datbiztonság, adatvédelem
A vírusfogalom átértékelése víruskeresőket használunk, pedig ma már főként nem vírusokat keresünk új, szokatlan terjedési módok (pl. képfájlokban) néhány esetben bizonyíthatóan üzleti vállalkozás áll a háttérben Forrás: Kapersky Lab., októberi top 20
A datbiztonság, adatvédelem Az okok (többek között) Az MS oldalán a javasolt 3 lépés a biztonság érdekében: használjunk tűzfalat szerezzünk be minden frissítést használjunk naprakész víruskeresőt