„Nem is gondoljuk, milyen egyszerű feltörni”

A Neumann János Számítógép-tudományi Társaság részéreBudapest, 2009.05.26

Rácz Benczeügyvezető

Fusiongate Kft. Megtervezni. Létrehozni. Megvédeni.H-1038 Budapest, Vasút sor 29.tel.: +36 1 369 40 90fax: +36 1 231 10 50 fusiongate.hu

Rosszindulatú Hackerek és Script Kiddiek?

Rosszindulatú Hackerek és Script Kiddiek

A Hacker Profilja

• Ki a Hacker?– Rosszindulatú Hackerek– Etikus Hackerek– Szoftverfejlesztők

• Ki a Script Kiddie?

Támadás és Védekezés / ExploitokKonferenciák

• DEFCON (STF)• CCC (Locks)• HAL2K (Hackme)• HEX (Cell)

• Hacktivity• Ethical Hacking Konferencia

Biztonságtechnikai Alapvetés

• Az a biztonsági rendszer, amelynek kiiktatása nagyobb erőforrásmennyiséget igényel, mint az általa védett dolog értéke, biztonságosnak mondható.

• Feltörhetetlen rendszer nem létezik, pusztán olyan rendszer, aminek a kiiktatása többe kerülne, mint a megszerezhető érték.

Biztonságtechnikai Alapvetés #2

• A rendszer biztonsági szintje = technikai bonyoultsági szint

• Valaki mindig elég intelligens vagy gazdag lesz hogy legyűrje a rendszert

• Minden rendszer feltörhető – az alapvető problémák az infrastruktúrában rejlenek.

Biztonságtechnikai Alapvetés #3

Minden rendszer feltörhető és minden hacker elkapható – a rászánt erőforrás mértékétől függően.

Nem csak az a cél, hogy minden támadást megakadályozzunk, hanem az, hogy a támadásokat észleljük, és megállapítsuk hogy sikeresek voltak -e!

Támadás és Védekezés

Fenyegetettség Preventív védelem Detektív védelem

Denial of Service (DoS) Tűzfal, csomagszűrés IDS

Hackerek, exploitok OS HardeningKarbantartás, patchelés

IPSAudit

Spam, Vírusok, Férgek Helyi védelem

Social engineering Belső képzések Naplóelemzés

Belső támadásGondatlanság

SzabályzatokSeparation of DutiesPKI

Penetration testing

Hardver meghibásodás Backup Monitoring rendszerek

Támadás és Védekezés / DoS

Fenyegetettség Preventív védelem Detektív védelem

Denial of Service (DoS) Tűzfal, csomagszűrés IDS

- A támadás célja: szolgáltatás kiiktatása- Audit, terheléstesztelés- Nem igényel nagy technikai előképzettséget- Támadó szándékú ember végzi, tudatosan, adott célpont ellen- „Ököllel megütni”- Védekezés: Tűzfalak, csomagszűrés, behatolásfigyelő rendszerek

Támadás és Védekezés / Exploitok

Fenyegetettség Preventív védelem Detektív védelem

Hackerek, exploitok OS HardeningKarbantartás, patchelés

IDS, IPSAudit

- Exploit adatbázisok és elrontott exploitok- Hibát találni és rá exploitot írni: nagy technikai felkészültséget igényel

Jelszavak

• A jelszó– Webes jelszavak– Wifi használat, reptér, stb.– Sok idősebb kolléga, érzékeny adatok, bíznak a „jelszavas” védelemben

Támadás és Védekezés

Fenyegetettség Preventív védelem Detektív védelem

Spam, Vírusok, Férgek Helyi védelem

- Vírus irtó szoftverek, spam szűrő levelezőprogramok és szerverek

Támadás és Védekezés

Fenyegetettség Preventív védelem Detektív védelem

Social engineering Belső és külső képzések Naplóelemzés

- Phishing: Banki támadások, személyazonosság lopások- Hiszékenység, figyelem hiánya- Ami papíron van elhiszik, ha e-mailben jön „biztos hiteles”, és válaszolnak (spoofing. PKI!)- Ha csalás történt, nem is tudnak róla! - Mint a védelmi rendszereknél: a lényeg, hogy észrevegyük!

Támadás és VédekezésFenyegetettség Preventív védelem Detektív védelem

Belső támadásGondatlanság

SzabályzatokSeparation of DutiesPKI

Penetration testing

- Bankot kicsempészni a zsebben – hordozható merevlemez, pendrive-Telefonos segítség- Policy: A feljelentés elmarad- Auditok, pentesting

Támadás és VédekezésGondatlanság

• Gyenge jelszavak• Jelszavak megadása egymásnak• Tisztázatlan jogosultsági rendszer• Bizalmas adatok nyomtatása, kukába dobása, íróasztalon tárolása• Munkaállomások nyitva hagyása

• Gondatlanság = Pendrive

• Cyber-Ark statisztika: – 90% veszített már el vagy találta meg és nézett bele más pendrivejába– IT vezetők 35%-a becsüli azon dolgozók arányát, akik saját pendrivejukon céges adatokat

tárolnak. Valós adat az alkalmazottak válasza alapján: 77%– A cégek 33%-a rendelkezett már a pendriveokra vonatkozó biztonsági szabályokról: reaktívan

• A náluk dolgozók 50%-a nem tud ilyen szabályozásról,• 23%-a tud a szabályozásról de nem tudja felidézni a tartalmát

Támadás és Védekezés

Fenyegetettség Preventív védelem Detektív védelem

Hardver meghibásodás Backup Monitoring rendszerek

- Elhanyagolás helyett odafigyelni- Üzleti folytonosság / Üzemeltetés / Biztonság: Spórolás: Amíg nincs incidens, nem kellesz(amikor van, már késő)

Never ending story

• Az információbiztonsággal kapcsolatos harcnak soha nem lesz vége, nincs „megoldás”• Az adat érzékenységének és értékének megfelelő védelmi rendszer szükséges

Adatbiztonság – Nálad

• Érzékeny adat? Kompromittáló adat?• Frissítések?• Internet, veszélyes oldalak?• Védelem? Takarítás?• Közösségi oldalak? (XING, IWIW, LinkedIn, facebook, stb.)

Köszönöm a figyelmet.

Rácz Bencze

Fusiongate Kft. tel.: +36 1 369 40 90

bencze.racz@fusiongate.hu