a rosszindulatú behatolások , programok elleni védekezés szabályai

A rosszindulatú behatolások, programok elleni védekezés szabályai

Kártevő, romboló programok Boot vírusok – fertőzött rendszerlemezzel terjednek. Rendszertöltéskor betöltődnek a memóriába és innen megfertőznek mindent. Korszerű operációs rendszerekre gyakorlatilag hatástalanok,

Fájl vírusok – hozzáfűzik magukat valamilyen futtatható fájlhoz, azzal együtt indulnak el. A kártételük azonnali, amely legtöbbször a felhasználó számítógépének rombolását, működésképtelenné válását, a tárolt adatok megsemmisítését stb. eredményezi. Korszerű operációs és fájlrendszer használata esetén a kártétel esélye és mérete kisebb,

Makró vírusok – elvileg minden makrózható dokumentum-fájl tartalmazhat kártevő makró-programot, a leggyakrabban azonban a Microsoft Office programcsomag Visual Basic makró nyelvén íródnak, és dokumentum fájlokkal terjednek. Bármilyen kártételre képesek. Viszonylag egyszerű a védekezés: nem szabad megengedni, hogy a dokumentum értelmezője (pl. az MS Word) a makrót jóváhagyás nélkül elindítsa. Ez az MS Office-ban alapbeállítás,

Féreg – más programok megfertőzése nélkül többszöröződő programkód. Célja a rendszer lelassítása, a működőképesség korlátozása, a használat akadályozása. Nincs benne romboló rutin,

Trójai faló – olyan kártevő program, amely behatolás után a „gazdájának” hátsó kaput nyit, ezáltal lehetővé teszi a gép vezérlésének teljes és észrevétlen átvételét. Nem szaporodik.

Kémprogramok

Ma az aktív rosszindulatú programok jelentős részét alkotják az un. kémprogramok (angolul spyware), amelyek az Internet útján illegálisan bejutva – általában marketing célokból –

titokban adatokat szolgáltatnak gépünkről, szokásainkról, internetes érdeklődésünkről, vásárlásainkról, vagy erőszakosan hirdetésekkel traktálnak minket stb.

Kémprogramok

Kémprogram jelenlétére utalhatnak a következő tünetek:

A számítógép elindításakor vagy hosszabb tétlenség után elindul az internet-böngésző, és hirdetéseket jelenít meg,

Böngészés közben a böngésző újabb példányai indulnak el, és hirdetéseket jelenítenek meg.

Megváltozik a böngésző kezdőlapja.

Új weboldalak jelennek meg a Kedvencek mappában.

Új eszköztárak jelennek meg a böngészőben.

Egyes hivatkozások nem működnek.

A böngésző hirtelen bezárul vagy lefagy.

A rosszindulatú behatolások, programok elleni védekezés szabályai*

Használjunk víruskereső és kémelhárító programot, amelyeket gyakori Internet-használat esetén legalább hetente frissítsünk. Ha a gép teljesítménye megengedi, a víruskereső és kémelhárító program legyen állandó figyelésen, vagyis minden hatást azonnal gátoljon meg.

Rendszeresen telepítsük az operációs rendszerre és az alkalmazásokra a legújabb javításokat. Ha a legújabb biztonsági javításokat nem telepítjük, egy rosszindulatú webhely már azáltal is fertőzhet, hogy felkeressük,

Használjunk tűzfalat, különösen akkor, ha gyors internet-kapcsolattal rendelkezünk,

Az idegen helyről származó, internetről letöltött szoftvereket, fájlokat használatbavétel előtt mindig ellenőrizzük le frissített vírusvizsgálóval,

Ismeretlen vagy nem megbízható webhelyek veszélyesek lehetnek. Legyünk óvatosak!

A rosszindulatú behatolások, programok elleni védekezés szabályai*

Programozható dokumentumfájlok megnyitásánál legyünk óvatosak, a makró-program jelzését ne kapcsoljuk ki!

Ne nyissunk meg olyan e-mail mellékletet, amelyet ismeretlen személytől kaptunk – de legyünk elővigyázatosak az ismerősöktől jövő e-mailekkel kapcsolatban is. Egyes vírusok úgy terjednek, hogy továbbküldik magukat a megfertőzött számítógép címjegyzékében szereplő címekre. Ha kétségek merülnek fel egy melléklet megbízhatóságát illetően, a melléklet megnyitása előtt kérdezzük meg a feladót.

Biztonsági szempontból szerencsésebb, ha olyan alkalmazásokat használunk, amelyek nincsenek nagyon szoros kapcsolatban az operációs rendszerrel (az csak futtatja őket). Ezért, ahol megoldható, különösen, ha ingyenesen programcsomag rendelkezésre áll, törekedjünk független alkalmazások használatára. Jellemző és jó referenciákkal rendelkező ingyenes váltó alkalmazások:

A rosszindulatú behatolások, programok elleni védekezés szabályai

az MS Internet Explorer böngésző helyett: Mozilla vagy Mozilla Firefox –http://mozilla.fsf.hu/mozilla.html vagy Opera – http://www.opera.com/

az MS Outlook Express levelező program helyett Mozilla Thunderbbird – http://mozilla.fsf.hu/thunderbird.html

MS Office irodai programcsomag helyett: OpenOffice – http://hu.openoffice.org/

MS Windows Media Player helyett sok más (pl. Winamp – http://www.winamp.com )

Az MS Windows XP tűzfala helyett más (pl ZoneAlarm –http://www.zonelabs.com/ )

http://mozilla.fsf.hu/mozilla.html

http://www.opera.com/download/

http://mozilla.fsf.hu/thunderbird.html

http://hu.openoffice.org/

http://www.winamp.com/

http://www.zonelabs.com/

A védelem első vonala: a tűzfal

Ez olyan, mint egy ellenőrzött kapu.

A védendő belső hálózat vagy számítógép és az ismeretlen, fenyegetésekkel teli külvilág (világháló, másik hálózat) között helyezkedik el.

Szűri a forgalmat, különböző kritériumok alapján megakadályoz kívülről jövő támadás-kísérleteket.

A tűzfal emellett a belülről jövő forgalmat is ellenőrzi, és a nem engedélyezett adatok, eljárások, kérelmek stb. kijutását megakadályozza.


A tűzfal megvalósítása többféle:

1. A klasszikus (és drága) megoldás, amikor a tűzfal egy külön célszámítógép. Hardverelemként iktatják a védendő hálózat és a külső hálózat közé. A konfigurálás speciális, meglehetősen széleskörű hálózatismeretet igényel. Az ilyen eszközök rendszere gyakran Unix, a hozzáférés pedig terminálprogrammal vagy Telnettel történik. Nagyobb professzionális (vállalati) rendszereknél terjedt el.

2. A fentihez hasonló jellegű és célú megoldás, amikor a tűzfal szoftver külön, csak erre szolgáló számítógépen fut. Az ilyen gépeken szívesen használják az ingyenes Linux operációs rendszert. A számítógép olcsó, régebbi gép is lehet. A tűzfal gyakran személyes jogosítású (felhasználói név, jelszó), és néha proxyszerver funkciókat is ellát.

A proxyszerver fő funkciója, hogy a belső hálózatot címfordítással mintegy elfedje a külvilág elől. Az egész védett hálózat kifelé egyetlen címen jelenik meg. A proxy másik funkciója a webforgalom „cashelése” és nyilvántartása. A „cashelés” folytán a már egyszer meglátogatott (letöltött) weblapokat a felhasználók a proxyn érik el, így a hozzáférési idő lecsökken.


Tűzfalként egy nagyobb professzionális hálózat arra is alkalmas proxyszerverét használják.

4. A tűzfal a hálózati útválasztóval (router) van összeépítve, amely így egyetlen hálózatépítő eszközként jelenik meg.

Routert akkor érdemes használni, ha egy internet-csatlakozást több gép megosztva használ, pl. egy kis családi hálózaton.

A ma kapható legfejlettebb routerek az alapfeladaton (csatlakozás a szolgáltatóhoz) kívül vezetékes és vezeték nélküli switch-ként (hálózati kapcsoló) csatlakozást biztosítanak a felhasználói gépeknek (egymás között is), nyomtatószerverként funkcionálnak, dinamikus IP cím kiosztást végeznek, tűzfalat tartalmaznak, beépített webszerverük segítségével webtechnikával állíthatók be stb.

5. Egyéni szoftveres tűzfal alkalmazása minden felhasználói gépen. Egyre terjedő megoldás, különösen azóta, hogy a Microsoft a Windows XP-be tűzfalat is beépített.

Az MS Windows XP tűzfala

A Windows XP SP2-ben a Vezérlőpultban új panel jelent meg: a Biztonsági központ, mely a máshol is elérhető biztonsági beállításokat fogja össze.


A tűzfal innen is, de a Vezérlőpulton külön is elérhető

Az SP2 frissítés megjelenésével a Windows XP tűzfala nyugodtan használható (korábban voltak vele nehézségek), lényegében mindent tud, ami egy otthoni felhasználó számára szükséges.


A beállító panel Kivételek fülénél be lehet állítani azokat a helyi alkalmazásokat, amelyeknek megengedjük az interneten való kommunikációt.Ha valamilyen – a listában nem szereplő alkalmazás kommunikálni akar, azt a tűzfal jelzi, és kéri annak engedélyezését vagy tiltását.


A védett kapcsolaton a különféle internetes szolgáltatásokat, protokollokat, illetve az általuk használt kapuk (portok) nyitását részletekbe menően a Beállítások részben engedélyezhetjük.

Egyéni tűzfal programok Szinte minden internet-biztonsággal foglakozó cég kínál saját tűzfalmegoldást sokféle kivitelben. Alább röviden bemutatunk néhány ismert speciálcég egyéni szoftveres tűzfalmegoldását:

Zone Alarm

A ZONELabs ismert, régi, sokszor díjazott terméke, ingyenes és fizetős verzióban (Pro) áll rendelkezésre.

Az ingyenes verzió képességei:

Megakadályozza a behatolást az internet felől,

Elrejti a számítógépet a kutakodók elől („lopakodó mód”),

Karanténba helyezi a gyanús e-mail mellékleteket.

FENYEGETÉSEK, VESZÉLYFORRÁSOK

Ahhoz, hogy egy rendszert megfelelő hatékonysággal védhessünk, elengedhetetlen a lehetséges fenyegetések körültekintő számbavétele, hiszen lehetőleg azonosítani kell, mi ellen kell védekeznünk.

A támadások különböző formában valósulhatnak meg, pl.:

− illetéktelen hozzáférés az információkhoz, vagy megtévesztő adatok bevitele, úgy, hogy az ne feleljen meg a valóságnak,

− az adatbázis felhasználhatatlanná tétele,

− rosszindulatú szoftverek bevitele a rendszerbe,

− elektronikai zavarások, stb.


Szervezeti és működési veszélyforrások

− a biztonsági szervezet hiánya, vagy elégtelen kialakítása

− a titokvédelmi és iratkezelési hiányosságok

− iratok tárolása, illetve megsemmisítése rendjének hiánya

− a harmadik felekkel kötött szerződésekből eredő veszélyforrások


Humán veszélyforrások

− a biztonsági környezeten belülről

− az adatbiztonsági és adatvédelmi rendszabályok be nem tartása, a veszély

lekicsinylése – hamis biztonságtudat, veszélyérzet hiánya

− maga a felhasználó fordul az informatikai biztonsági környezet valamely eleme

ellen – szándékos károkozás, bosszú

− a biztonsági környezeten kívülről

− hacker

− cracker, pl.:

− megtévesztés, zsarolás

− adathalászat


Természeti veszélyforrások

Ebbe a kategóriába a természeti csapásokat, mint pl. árvíz, villámcsapás, földrengés soroljuk.


Fizikai veszélyforrások

− az eszközök fizikai eltulajdonítása,

− túlmelegedés,

− hálózati áramellátás kimaradása,

− annak biztosításának hiánya, hogy csak a hozzáférési jogosultsággal rendelkezők

léphessenek be azokba a helyiségekbe, ahol az alkalmazások találhatók,

− elektromos, mágneses jelek sugárzása,

− kábelezés, elosztók, csatlakozók lehallgatása,

− a számítógép képernyőjének távolról történő megfigyelése,

− adathordozók avulása, elöregedés vagy kopás

− a levegő nedvességtartalmának jelentős változása,

− piszkolódás


Logikai veszélyforrások

− hálózati betörés,

− gyenge jelszórendszer,

− a jelszavakhoz rendelt jogosultságok nem feladatfüggően vannak megkülönböztetve,

− nem biztosított a naplózás (ki, mikor, milyen műveletet végzett),

− rejtjelfejtés,

− nincs megfelelő mentési rendszer,

− rosszindulatú szoftverek


Életciklushoz kapcsolódó veszélyforrások

- nincs elkülönített fejlesztő rendszer,

- fejlesztéskor a biztonsági követelmények megfogalmazásának hiánya,

- a rendszerek átvételekor a biztonsági követelmények ellenőrzésének hiánya,

- nem megfelelő, nem szabályozott selejtezések

VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK

Szervezeti és működési veszélyforrások elleni védelem lehetőségei

− a biztonsági szervezet feladataiból fakadóan:

− a védelmi intézkedések meghatározása, betartatása,

− a biztonsági események kezelése

− követés, naprakészség biztosítása


− titokvédelem

− Az adatokat, alkalmazásokat, eszközöket és helyiségeket osztályozni, minősíteni kell. Az adatvédelmi osztályok: titkos (pl. államtitok, üzleti titok), bizalmas (pl. szolgálati titok, személyes adatok) belső használatra, nyilvános (alkalmazások és eszközök is).

− Az alkalmazások védelmi osztályozása: milyen osztályba tartozó adatokat kezel.

− Az eszközök védelmi osztályozása biztonságkritikusságuk alapján.

− A helyiségek védelmi osztályozása funkcióik alapján: zárt, kiemelten ellenőrzött, ellenőrzött, nyilvános.


− Iratkezelési utasítás

− Tartalmaznia kell az iratok előállítására, feldolgozására, továbbítására, megsemmisítésére vonatkozó utasításokat is.

− Biztonsági alrendszer tervezés

− átvilágítási jelentés

− biztonsági politika

− katasztrófa terv

− biztonsági szabályzat


− Biztonsági alrendszer tervezés

− átvilágítási jelentés

− biztonsági politika

− katasztrófa terv

− biztonsági szabályzat


− Harmadik féllel kötött szerződések − garanciák szükségesek

− a megbízó ellenőrzési jogosultságát el kell ismertetni

− outsourcing karbantartási, rendszerkövetési megbízás

− a szolgáltató alárendelése a megbízó biztonsági politikájának

− a szolgáltató jogosultságainak korlátozása, rögzítése

− ellenőrzési lehetőség biztosítása

− számonkérési, szankcionálási lehetőség biztosítása

− a biztonsági követelményeket szerződésben kell rögzíteni

− a fejlesztés alatt meg kell tervezni az átadás/átvétel menetét és a konkrét implementációt


Humán veszélyforrások elleni védelem− Munkaviszony létesítésekor

− háttér ellenőrzés kell végezni, referenciákat, erkölcsi bizonyítványt kell bekérni,

− folyamatban levő bűnügyi eljárás ellenőrizni kell,

− titoktartási nyilatkozat (a munkaviszony megszüntetése utáni időszakra is),

− nyilatkozat a biztonsági követelmények ismeretéről,

− érdekütközési nyilatkozat (nincs olyan érdekeltsége, amely nem teszi lehetővé a

tervezett munkakör betöltését),

− szakmai és emberi kompetencia vizsgálat


- Munkaviszony alatt

− karrier menedzsment – lojalitás, kötődés kialakítása

− munkaköri leírások naprakészsége

− szakmai továbbképzés

− egymást kizáró biztonságkritikus munkakörök figyelembe vétele


− Munkaviszony megszüntetésekor

− jogosultságok, accountok visszavonása, a felmondási időre legalább korlátozni kell

− megszüntetési interjú: nyilatkozat a vállalati dokumentumok és adathordozók visszaszolgáltatásáról, kilépés utáni titoktartásról

− vállalati tulajdon visszavonása (beléptető kártya, kulcsok is)

− a munkatársak értesítése a kilépés tényéről.


Természeti veszélyforrások elleni védelem

Leginkább országos szervezetek, szakhatóságok hatásköre.


Fizikai veszélyforrások elleni védelem− rendszeres megelőző karbantartás

− a különösen érzékeny összetevők megelőző cseréje

− a számítógépekbe és a hálózatba való bejutás módozatainak szabályozása

− a hardver eszközök, illetve szolgáltatásaik igénybevétele csak a felhasználó azonosítását és hitelesítését követően legyen lehetséges

− hosszabb inaktivitás esetén kényszerített kijelentkezés vagy a berendezés "blokkolása„ (például képernyőzárolás)

− a fejlesztő és a végrehajtó számítógépek szigorú elhatárolása (felhasználói gépen nem

folyhat szoftverfejlesztés).

− az alkalmazott rendszer valamennyi készülékéről, azok műszaki állapotváltozásairól és konfigurálásáról folyamatos nyilvántartás (műszaki törzslap) vezetése

− zárt elosztók


− tartalék eszközök

− jó minőségű eszközök

− klimatizálás

− szünetmentes áramellátás, aggretágor

− épületek mechanikai védelme /kerítések, rácsok, nyílászárók, zárak, stb./

− elektronikai jelzőrendszerek alkalmazása

− informatikai helységek tűzvédelme

− informatikai helységek villámvédelme

− kisugárzás és zavarvédelem


− mozgás-, hő- és füstérzékelő eszközök az illegális behatolás és tűz jelzésére

− csak a megfelelő jogosultsággal rendelkezők bejutásának biztosítása azon helyiségekbe, ahol az alkalmazások találhatók. Az ennek érdekében történő azonosítás a következő módokon valósítható meg.

VESZÉLYFORRÁSOK ELLENI VÉDEKEZÉSI MÓDOK*

− mozgás-, hő- és füstérzékelő eszközök az illegális behatolás és tűz jelzésére

− csak a megfelelő jogosultsággal rendelkezők bejutásának biztosítása azon helyiségekbe, ahol az alkalmazások találhatók. Az ennek érdekében történő azonosítás a következő módokon valósítható meg.

Tulajdonságok, jellemzők

alapján történő azonosítás

− alak− hang− írisz

− aláírás− ujjlenyomat

− egyéb

Kódolt adatok alapjánA, optikai módszer

− vonalkód− mátrix

− optikai jelfelismerés− optikai karakterfelismrés

Kódolt adatok alapjánB, mágneses módszer

− mágnescsík C, félvezetős technika

− rádiófrekvenciás jeladó

− memóriakártya− aktív memóriakártya


Logikai veszélyforrások elleni védelem

− Autentikáció

− a belépni szándékozónak meg kell győznie a rendszert, hogy azonos azzal, akinek mondja magát

− többször használatos jelszó – mit tudsz?

− egyszer használatos jelszó – mi van a birtokodban?

− biometriai jelszó – ki vagy?

− többszintű hozzáférés védelem: pl. az alkalmazás eléréséhez újabb azonosítás szükséges

− probléma: egy felhasználónak túl sok jelszót kell ismernie, ezért rögzíti őket

− jelszó és felhasználói azonosító soha nem kerülhet postai küldeménybe, még elektronikus levélbe sem


− Kriptográfia

− az adatokat titkosítva tároljuk vagy továbbítjuk

− primitív titkosítás: egyszerű karakterhelyettesítés vagy keverés

− one time pad: a kulcs azonos hosszúságú véletlen sorozat – nem megfejthető, de használhatatlan

− kategóriái: szimmetrikus rejtjelezés, aszimmetrikus rejtjelezés

− digitális aláírás


− Határfelületi védelem

− a csatlakozási pontokon ellenőrizzük, naplózzuk a forgalmat: tűzfal (firewall)


− Mentések, visszaállítások

− jól definiált mentési eljárás: mit, milyen gyakran, inkrementális/teljes mentés, mikor, mire, hány példányban, mennyi ideig. A biztonsági másolatokat két példányban kell készíteni. Egyes ajánlások szerint különböző típusú adathordozóra, vagy azonos típusú adathordozók esetén különböző gyártótól származó adathordozókra. Körültekintően kell meghatározni ezen másolatok tárolási helyét (például nem alkalmas erre egy irodai nyitott polc, ahol minden munkatárs hozzáférhet). Lehetőleg egymástól elkülönítetten, tűzbiztos páncélszekrényben kell őket tárolni. Figyelembe kell venni ezen adathordozók fizikai elavulási idejét. Ellenőrizni szükséges az adatok ezen adathordozókról való visszatölthetőségét.


− Védekezés a rosszindulatú szoftverek ellen

− detektálása és elhárítása, antivírus szoftverek

− fertőzés megelőzés: rezidens program a memóriában


− Hálózatok logikai védelme

− alkalmazások, protokollok: nem titkosított jelszótovábbítást használó alkalmazások

kizárása (telnet, ftp) – megoldás: pl. ssh

− illegális szoftvertelepítések megakadályozása

− nem használt csatlakozók inaktiválása – menedzselt hálózatok

− levelezési szabályok (filtering rules), tartalomszűrés

− penetration teszt

− naplózások megfelelő konfigurálása és kiértékelése


Életciklushoz kapcsolódó veszélyforrások elleni védelem

− A fejlesztéshez és beszerzéshez kapcsolódó védelmi módszerek

− védelmi intézkedések szükségesek mind a fejlesztés tárgyát képező rendszerben, mind a fejlesztési környezetben

− az intézkedések egyaránt szükségesek kész eszköz vásárlása és fejlesztési megbízás esetén

− a fejlesztési környezetet az éles rendszertől minden szempontból le kell választani

− a fejlesztésnek minőségbiztosítás mellett kell folynia

− a fejlesztést korszerű fejlesztési módszertan alapján kell véghezvinni


− Az átadás-átvételhez kapcsolódó védelmi módszere

− bizonyítani szükséges, hogy a fejlesztési folyamatra és környezetre teljesültek a biztonsági követelmények

− fenyegetés mentességi nyilatkozat (az eszköz nem tartalmaz olyan elemet, amely fenyegeti a megbízó biztonságát)

− jogtisztasági nyilatkozat

− a forráskód tárolásáról történő megegyezés (pl. közjegyző)

− a beépített védelmi intézkedések ellenőrzése

− az előírt formai és tartalmi követelményeknek megfelelő dokumentációk átvétele

− a fejlesztők speciális jogosultságainak visszavonása


− Az üzemeltetéshez kapcsolódó védelmi módszerek

− szabályozott change management (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, a felhasználók értesítése, oktatása, naplózás)

− a hardver karbantartások, konfiguráció módosítások, szoftver követések szabályozottak és nem sérthetik a biztonsági követelményeket

− a hardver karbantartások, konfiguráció módosítások, szoftver követések végrehajtói korlátozott hozzáférési jogosultságokkal rendelkezhetnek

− távoli üzemeltetési célú hozzáférések csak szigorú hozzáférés ellenőrzés és naplózás mellett engedhetők meg

− a biztonsági eseményeket naplózni, a naplót értékelni kell


− A selejtezéshez kapcsolódó védelmi módszerek

− szabályozott selejtezési eljárások (jóváhagyás, végrehajtás menete, szerepek, dokumentálás, naplózás)

− adathordozók megsemmisítése: égetés, zúzás

− a megsemmisítés tételes ellenőrzése szükséges

a rosszindulatú behatolások , programok elleni védekezés szabályai

Documents