Ön itt áll: A HivatalrólA HivatalrólKiadványok, publikációkJogelőd szervezetek kiadványaiOTKA-kiadványok
Okostelefon – okos védekezés
Okostelefon – okos védekezés
2017. február 28.
Utolsó módosítás: 2017. december 29.
Olvasási idő: 7 perc
Az „okos világ” beszivárog az életünkbe: az okostelefonokon, tableteken futó appokat, programokat nemcsak az utca embere, hanem akár egy vállalat is használja. A különböző színtereken természetesen más-más termékekre van szükség, de közös bennük, hogy mind emberek alkotásai, ezért nem tökéletesek. A termékekben megtalálható hibák egy része biztonsági résekhez vezet, és ezeket akár véletlenszerűen, akár nagyon is tudatos támadással kihasználhatják a rosszindulatú felhasználók, amivel komoly zavarokat okozhatnak.

MobilPéldául egy zsaroló vírus zárolja a telefonunkat, és nem férünk hozzá a kontaktjainkhoz, a fényképeinkhez. Okosodnak az autók, a lakásriasztók, a háztartási berendezések – lassan minden az internetre csatlakozik, és a támadók akár kizárhatják a felhasználót ezek használatából: ellehetetlenítik a mindennapi életét.
Vállalati szinten ez a probléma még jobban eszkalálódik, hiszen ott komoly üzleti érdekek sérülhetnek, a vállalkozásnak komoly kára származhat abból, ha elveszíti az adatait, nem fér hozzá a rendszereihez, nem tudja kiszolgálni a felhasználóit, nem tudja teljesíteni a vállalásait, kötelezettségeit. Ha pedig olyan kritikus infrastruktúrát támadnak sikeresen, amely a közlekedést, a közszolgáltatásokat, a víz-, a villany-, a gáz- vagy a központi internetszolgáltatást vezérli, akkor beláthatatlan, akár össztársadalmi problémák keletkezhetnek – mondja Horváth Attila, az Információs Társadalomért Alapítvány munkatársa, akinek az „IT és hálózati sérülékenységek tovagyűrűző társadalmi-gazdasági hatásai” (PD 109740) című projektje 2016-ban zárult le.

Mégis azt fedeztük fel a kutatásaink során – folytatja –, hogy ezekkel a veszélyekkel szinte csak az informatikusok vannak tisztában, és amíg csak az informatikusok számára nyilvánvalóak és csak az ő számukra vannak érthetően megfogalmazva, addig egy munkahelyi vezető – aki például pénzügyi végzettségű és más nézőpontból szemléli a világot, mint az informatikus – nem tud velük mit kezdeni, noha ő van döntéshozói pozícióban.

Pedig mind a magán-, a vállalati és a közszféra komoly kihívásokkal néz szembe, hiszen a technológiafüggőség, az IT, különösen a hálózatba kapcsolt eszközök alkalmazása egyre kiterjedtebb; külön figyelmet érdemelnek az olyan, manapság kiterjedten használt technológiák, mint a felhőszolgáltatások, vagy a már említett okostelefonok, okoseszközök.

Ha kiépítenek egy informatikai rendszert, annak a biztonságára is költeni kell. A sérülékenységek kijavításakor kétféle lehetőség közül lehet választani. Az egyik: az informatikusok folyamatosan figyelik azokat a forrásokat, ahol ezeket a sérülékenységeket korrigálják, folyamatosan frissítik a rendszereket, és adott esetben bizonyos funkciókat – amelyekben még nem javították ki a hibát – lekapcsolnak. Ez pénzbe kerül („humánerőforrás-igényes”), hiszen valakinek állandóan figyelnie kell a rendszert, amit a kiépítés után nem hagyhatunk magára.

A másik lehetőség: ha nem tudjuk vagy nem akarjuk kijavítani a hibákat, és ez a gyakoribb, legalább tegyünk elé olyan réteget, amely megakadályozza, hogy a támadók hozzáférjenek az adott sérülékenységhez. Ez olyan, mint amikor kilyukad a hajó. Akkor elkezdhetjük befoltozni, vagy próbálkozhatunk a tengerészek régi módszerével: ők ponyvát húztak kívülről a lyukra, hogy addig ne törhessen be a víz, amíg biztonságos helyre nem érnek, ahol megjavíthatják. Az informatikai rendszer ugyanilyen. Ezért a másik lehetőségünk az, hogy különböző biztonsági eszközökből megpróbálunk pajzsot tartani elé – és ha a sérülékeny részhez nem férnek hozzá a támadók, akkor ezzel is meg tudjuk szüntetni a problémát.

Miből állhat a pajzs? Egy szimpla tűzfal vagy vírusirtó biztosan nem elég.

Pedig ez az alap. Magánfelhasználói szinten, de akár szervezeti szinten is, nagyon örülünk, ha valaki tudatosan védekezik; tudja, hogyan kell viselkedni a számítógépes környezetben, és például vírusirtót használ, nem nyit meg gyanús csatolmányokat az e-mailben.

A biztonságnak szervezési, logikai és fizikai része is van. Kezdjük az utolsóval. Egyes sérülékenységeket úgy lehet kihasználni, hogy a támadó odamegy a rendszerhez, és feltűnés nélkül elhelyez egy eszközt a megtámadott hálózatban. Ez ellen kártyás beléptetéssel, portással, fegyveres őrrel, kamerarendszerrel – klasszikus fizikai biztonsági eszközökkel – lehet védekezni, illetve az eszközök olyan típusú elhelyezésével, hogy illetéktelen személy ne férhessen hozzá a hálózathoz.

A következő a logikai szint: idetartoznak a szoftvereszközök, a legegyszerűbb vírusirtótól, tűzfaltól kiindulva a bonyolult vállalati biztonsági rendszerekig, biztonsági ökoszisztémákig, amelyek része a vírusirtó, a tűzfal, a folyamatos szakértő-felügyelet, a behatolás-ellenőrző eszközök együttese.

A szervezési biztonság úgy valósul meg, hogy megtanítjuk a szervezetet a (potenciális) támadások elkerülésére. Egyes szervezetekben nem véletlenül tiltják meg, hogy a magas szintű tisztviselők megjelenjenek a közösségi oldalakon. Az ott publikált információk alapján megtalálhatók egy ember gyenge pontjai – ezt social engineering támadásnak nevezzük –, és az illetőt megfenyegethetik azzal, hogy tudják, milyen iskolába jár a gyereke, hova megy nyaralni, vagy a fényképét, adatait el tudják lopni és megpróbálnak az ő nevében valamilyen tranzakciót indítani vagy fellépni egy szervezetben.

Ez a néhány mondat is szemlélteti, hogy mi minden tartozhat a biztonsági ökoszisztémához – és megint hangsúlyozom, hogy a biztonsági eszközökre azért van szükség, mert nem tökéletes, ember alkotta rendszereket használunk.

Hogyan lehet tolmácsolni az informatikusok és a vállalatvezetők között?

A projektünk azt célozta, hogy próbáljunk egyrészt olyan tablót mutatni a magyar végfelhasználói, vállalati, közszférabeli rendszerekről, amely felhívja a figyelmet a leggyakoribb veszélyforrásokra, másrészt olyan típusú modellt, megközelítést dolgozzunk ki, ami kézzelfoghatóvá, értelmezhetővé teszi az üzleti döntéshozó számára, hogy miért is kell ezzel foglalkoznia. Miért kell erre költeni, és mennyit? Mert az IT-biztonságra a világ összes pénzét el lehet költeni. Amikor már nagyon magas biztonsági szinten vagyunk, egészen kis biztonságnövekedésre is hatalmas összeget kell költeni – de tudnunk kell, hogy nincs 100 százalékos biztonság. Ezért azt szoktuk mondani, hogy nem a maximális, hanem az optimális biztonsági szintet kell elérni, ami azt jelenti, hogy a támadónak több erőforrást kelljen ráfordítania a rendszerbe való behatolásra, mint amennyit a sikeres behatolással nyer. Ahogy minden autó ellopható, de ha telerakjuk biztonsági eszközökkel, akkor a tolvaj inkább olyat keres, amelyikben kevesebb biztonsági eszköz van...

Ez a védelem elérhető észszerű határok között?

Igen, de természetesen az „észszerű határ” esetről esetre változik. Egy bankban, ahol folyamatosan bonyolítanak le pénzügyi tranzakciókat, más nagyságrendű védelemre van szükség, mint egy olyan vállalatnál, ahol az informatikai rendszer kiesése okoz ugyan némi kényelmetlenséget, vagy akár mérhető veszteséget, de az még menedzselhető. A vállaltnak föl kell mérnie, hogy mekkora üzleti veszteséget okoz egy adott rendszerben például egy félórányi, egyórányi vagy egynapi kiesés. Ez alapján lehet kalkulálni, hogy mennyit érdemes költenie a probléma elhárítására. Az is előfordulhat, hogy kisebb kárt okoz a támadás, mint amennyit a védelemre költünk. Akkor ez a kiadás gazdaságilag nem racionális.

De a gazdasági racionalitás mellett megjelennek a bizalmi kérdések is. Egy vállalat esetleg nem engedheti meg magának, hogy a megtámadhatóság híre elterjedjen róla. Ezért a pénzügyi szektorban nagyon nehezen szerzünk információt az ilyen típusú incidensekről. Magyarországon senki sem kötelezi a cégeket a támadások bejelentésére, valamint a bejelentett támadásokról sem készül nyilvánosan hozzáférhető statisztika; az Egyesült Államokban ezt a kérdés sokkal nyitottabban kezelik. Léteznek nyilvános adatok a bűnüldöző szervek nyilvántartásai alapján, illetve létezik egy olyan nemzetközi szakmai szervezet (CERT), amely strukturáltan gyűjti és publikálja a szakma által frissen felfedezett informatikai sérülékenységeket, hogy mielőbb minden érintett megtehesse a megfelelő lépéseket a védekezésre. Mi is az ottani bejelentések, statisztikák alapján tájékozódhatunk elsősorban, innen ismertük meg a legsúlyosabb támadásokat.

Ezek szerint a titkolózás megnehezíti a védekezést.

Szerencsére, a világon nagyon sok informatikai szakember dolgozik ezekkel a szoftverekkel, és folyamatosan teszteli őket különböző biztonsági sérülékenységekre. Egy nemzetközi hálózat pedig összegyűjti és publikálja a sérülékenységi adatokat.

A kutatás során létrehoztunk egy több mint 2000 rekordos adatbázist a három év alatt nyilvánosságra került, releváns informatikai sérülékenységekből. Ezekhez a sérülékenységhez „tulajdonságokat” is rendeltünk, mert utánanéztünk a publikált adatok hátterének – annak, hogy milyen zavarokat okozhatnak egy rendszerben. Végül pedig alkalmaztunk egy általánoson elfogadott „mérőrendszert”, amelynek segítségével pontszámok, egységesen értelmezhető metrika alapján soroltuk be az egyes sérülékenységeket. Ebből vontunk le tanulságokat arra nézve, hogy milyen területekre kellene a mostaninál sokkal jobban odafigyelni – és ez az információ már a döntéshozók számára is értelmezhető.

A három év során a fenti adatbázisból, illetve a többi primer és szekunder kutatási forrásból származó információkat mintegy 400 oldalnyi szakmai publikációban dolgoztuk fel. Két folyóiratcikk, öt konferenciaközlemény és kilenc könyvfejezet született magyar és angol nyelven. A kutatás eredményeit szerkesztett kötetben foglaltuk össze, amely elérhető a következő bibliográfiai adatok alatt:

Horváth Attila – Kiss Ferenc (ed.): IT és hálózati sérülékenységek társadalmi-gazdasági hatásai, ISBN 978-615-80061-5-6, Információs Társadalomért Alapítvány, Komlóska, 2016.

2017. február

Utolsó módosítás: 2017. december 29.
Visszajelzés
Hasznos volt az oldal információtartalma az Ön számára?