Chip 1996 April

home *** CD-ROM | disk | FTP | other *** search

/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9504 / INFBIZT0.CD < prev next >

Wrap

Text File | 1996-03-08 | 24KB | 400 lines

@VAz Athena hálózat Kerberos védelmi rendszere az MIT-n@N @VVan, aki csak a jelszavakra gondol...@N A számítógépes információvédelem hallatán az emberek többsége elôször a vírusokra, majd a jelszavakra és a rejtjelezésre gondol. Ez utóbbiakról ejtünk néhány szót. @K(A @Kszakirodalmi hivatkozásokat szögletes zárójelbe tett @Kbetû-szám kombinációk jelzik a szövegben. A hivatkozások @Kfeloldását ennek a cikknek a végén adjuk meg -- a szerk.)@N Cikkfüzérünk mellé érdemes elolvasni a Heti CHIP 1995. január 12-i számának 5. oldalán kezdôdô cikkét, amely a tavaly decemberben az Egyesült Ållamokban megrendezett Technology for Information Security '94 konferenciáról számolt be. @VSzomorú, de megtörtént...@N Volt egy programozó Kaliforniában, akinek a feladata a bankjegykiadó automaták (ATM -- Automatic Teller Machine) karbantartása volt, tervét tehát egy háromnapos hétvégére idôzítette. Telepítéskor egy programozott mesterkulcs beépítésével rejtjelezték a rendszert. A szándék az volt, hogy az üzembe helyezést követôen ezt a kulcsot meg fogják változtatni, és azt már csak a megbízható beavatottak fogják ismerni. Feledékenységbôl azonban ezt elmulasztották. A szóban forgó programozó egy hónapon keresztül összegyûjtötte az ATM rendszer összes üzenetét, és dekódolta a jogosultsággal rendelkezô felhasználók személyi azonosító számait. Ezen a hétvégén a programozó és bûntársai ezekkel a számokkal több körzetben pénzösszegeket vettek ki, mivel tudták, hogy a tranzakciók banki ellenôrzése csak keddi napokon szokott történni. Akadt köztük azonban egy -- talán valami nézeteltérés miatti -- feljelentô. îgy tehát korántsem mûszaki, hanem emberi tényezô segítette a nagyobb kár elhárítását. Talán megemlíthetjük még, hogy a felhasználó által adott jelszó megszerzésére volt olyan eset is, hogy az utcai pénzkifizetô automatával szemben lévô ház emeletérôl videóra vették a bebillentyûzés folyamatát, majd a képanyagot szép nyugodtan -- a kellô helyeken kimerevítve -- kielemezték. @VA gyenge pontok@N Az USA Igazságügyi Minisztériuma az alábbi nyolc pontban foglalta össze az adatfeldolgozó rendszerek legvalószínûbb gyenge pontjait [1]: @K1. Az adatbevitel és kiadás kézi kezelésének gyenge @Kellenôrzése.@N Ez a leggyengébb pont. A vizsgálat azt mutatta, hogy az információra -- mint vagyontárgyra -- a legnagyobb veszélyt a számítógépbe történô bevitel vagy visszanyerés jelenti. Ekkor legkönnyebb a hozzáférés, és a bûnözônek csak kevés szakismeretre van szüksége. Ebbôl következik, hogy a biztonsági programot a számítógépes környezeten kívülre is ki kell terjeszteni, és védeni kell a bármilyen formában megjelenô adatokat. @K2. Gyenge fizikai felügyelet (sok esetben egyáltalán @Ksemmi).@N Ez @Vfelhívás a bûnözésre@N, míg a hatékony fizikai biztonsági rendszer a motivált bûnözôt is elriaszthatja. Természetesen ennek megvannak a határai. Négy eset közül, ahol a behatolók fegyvert használtak, három politikai ügy volt, míg a negyediket egy hátrányos helyzetû beosztott követte el. Csúcstechnológiájú, igen drága biztonsági rendszerek esetében ma túl sok vezetô hamis biztonságban érzi magát, és elhanyagolja a fizikai környezet védelmét. @K3. Elégtelen mûködtetési elôírások a munkaállomásokon.@N A billentyûzetrôl hozzáféréshez jutó bûnözô rengeteg kárt okozhat. Az ellenintézkedés lehet a személyzet kötelezettségeinek szétválasztása, az @Vérzékeny funkciók kettôs ellenôrzése@N, a személyzet tevékenységeinek naplózása, egy biztonsági információs program megvalósítása, és gondosan kidolgozott kezelési utasítások. A mentési (backup) rendszerek és a katasztrófaelhárító tervek korlátozzák az esetleges veszteségeket. @K4. Rossz üzleti morál.@N A számítógépes bûnelkövetô @Kgyakran nem egyetlen személy, hanem egy egész vállalat. @VNéha a vezetôk is összefonódnak@N a hûtlen kezeléssel, csalással, megfélemlítéssel, lopással és ipari kémkedéssel, sokszor azonban nem is tudnak beosztottaik ilyen tevékenységérôl. @K5. Rosszul ellenôrzött programok.@N Zugcégek által fuserált, strukturálatlan, a szoftverminôsítés elemi követelményeit sem teljesítô programok gyakran tartalmaznak visszaélésre is kihasználható csapdákat és hozzáférési lehetôségeket. Más esetekben maguk a bûnözôk használták a programokat bemeneti eszközként. Ez rendszerint azért van így, mivel ezek a programok híjával vannak több életfontosságú ellenôrzésnek: @V*@N a tesztelésnek és minôségellenôrzésnek; @V*@N az érzékeny programok hozzáférési lehetôségei korlátozásának; @V*@N a programozók munkája utáni elszámoltatásnak; @V*@N a dokumentációk és programok biztonságos tárolásának. @K6. Az (operációs) rendszer gyenge pontjai.@N A bûnözôk gyakran kihasználják a tervezés gyenge pontjait és a programhibákat. Azt szokták mondani, hogy legalább egy strukturális hiba elôfordulhat minden 5 Kbyte-os programrészben. îgy tehát egy 5 Mbyte-os program 100 hibát tartalmazhat, és egy újabb verziójú operációs rendszernél nem kell azonnal vírusra gyanakodni. @K7. Elszemélytelenedés.@N Ez a hackerek igazi területe: hozzáférés a rendszerhez úgy, mintha jogos felhasználók lennének. A fô hiba itt a jelszavak listájának nem kellô védelme vagy lehetôség hagyása az intelligens felderítésre. @K8. A közegek nem megfelelô kezelése.@N A tanulmány, amely elsôsorban a nagy bankok és állami intézmények központi gépeire összpontosított, beszámolt több olyan esetrôl, ahol a bûnelkövetôk hozzáférhettek a mágnesszalagokhoz. A nem megfelelôen tárolt mikrogépes floppyk még nagyobb kihívást jelentenek. @VJelszavas védelem@N ■ Jelszavas rendszer Fôbb elônyök Fôbb hátrányok Felhasználó által adott Könnyen megjegyezhetô Gyakran könnyû kitalálni Rendszer által generált Nehezen kitalálható Nehezebb megjegyezni és a generáló algoritmus kikövetkeztethetô Korlátlan idôtartamú Könnyen megjegyezhetô A találgatási és kimerítô tesztelési kísérletek esetén a legsérülékenyebb; nehéz észrevenni az ellopott jelszavat Rögzített Könnyen megjegyezhetô,ha Sebezhetôsége az idô- az intervallum elég hosszú intervallumtól függ (egy hónap vagy egy hét); biztonságosabb a korlátlan idôtartamúnál Egyszeres Alkalmas a rendszerbe Nehéz megjegyezni, hacsak le történô sikeres behatolás nem írjuk; a jogosult detektálására; a rövid felhasználó is kintrekedhet élettartam lehetetlenné sikeres behatolás esetén teszi a kimerítô felderítési tesztelést Mérete és a felhasznált Minél hosszabb a jelszó és Minél hosszabb, annál jelkészlet a jelkészlet, annál nehezebb megjegyezni nehezebb kitalálni Információtartalom Segíti a behatolási Hosszú jelszavakat eredmé- (például jogosultsági kísérletek detektálását, nyezhet, amelyeket le kell és ellenôrzô jegyek) amennyiben a behatoló nem írni,és ha kitudódik a séma, ismeri a jelszó-struktúrát akkor könnyû kikövetkeztetni a jelszavakat Kézfogási sémák Ellenáll a kimerítô Idôigényes lehet; az (például dialógusok, vizsgálatoknak; átvitel egyszeres jelszavaknál felhasználói során is bizonyos védelmet nagyobb tárigényû transzformációk) nyújt ■ @VTanácsok ""nehéz" felhasználói jelszavak megalkotásához:@N @V*@N Soha ne használjuk intézményünk, sportegyesületünk, autómárkánk vagy közeli hozzátartozónk nevét! @V*@N Ne használjunk értelmes szavakat, vagy regényhôsök nevét! @V*@N Keverjük az ábécé betûit számokkal és speciális karakterekkel (^,/,;,?,+,& stb., de ne alkalmazzunk [Ctrl]-os gombkombinációkat, vagy #-ot és @@-et, mert ezek ""megbolondíthatnak" egyes rendszereket). @V*@N Használjunk olyan rövidítéseket, amelyekre viszont mi biztos jól fogunk emlékezni! (Például: ""Eieü^eeeee!" azaz az ""Ezt sikerült ^elfelejtenem!" magánhangzóit, majd legközelebb a mássalhangzóit.) @V*@N Választhatunk blabla szavakat is, persze számokkal nehezítve stb.! @V*@N A hálózat különbözô csomópontjain, vagy más munkaállomáson más-más jelszót használjunk! @VA jelszóhasználat hátulütôi@N A számítógépes biztonságot említve legtöbbször a ""jelszó" ugrik be, amely a ""szézám, tárulj"-tól a pénzkiadó automaták személyi azonosítószámáig (PIN) terjedhet. A jelszó a biztonság egyszerû, de mégis hatékony formája. A megfelelô jelszó képes azonosítani a jogosult felhasználót, és engedélyezi a rendszerhez a hozzáférést. Ha a jelszavak használata szelektív, akkor ez a hozzáférés korlátozott. Sok vezetô úgy gondolja, hogy ezeket használva a szükséges biztonság már elértnek is tekinthetô. Ez csak az alábbi két esetben mondható el: @V*@N A jelszó nem az egyetlen, minden célra megfelelô biztonsági eszköz. Olyan mint egy csavarhúzó: nagyon fontos, de nem az egyetlen hasznos szerszám. A jelszó csak egy nagyobb biztonsági rendszerben lehet hatásos. [1] Egy másik jó tanács a felhasználóknak: ""A jelszó legyen olyan, mint a fogkefe -- Másnak ne adjuk oda még kölcsönképpen sem, használjuk minden nap (azaz minden fontos mûvelethez), és gyakran cseréljük!" @V*@N A hatásos jelszavas rendszer csak megfelelô adminisztrációval valósulhat meg. Nem megfelelô karbantartás esetén a rendszer hatékonysága elvész, és ha ilyenkor nincs figyelmeztetés, akkor ez hamis biztonságérzetet kelthet. A biztonsági oktatóprogramok indításakor el kell magyarázni, hogy miért történik a bevezetés, és mit várunk a beosztottaktól. A biztonsági intézkedések a napi munkát rendszerint nehezebbé teszik. Próbáljuk megértetni, hogy a biztonság nem átok, hanem inkább jótékony hatásai vannak: a rosszul vagy jogosulatlanul bevitt adatok kijavítása sokkal nagyobb többlet ráfordítást, túlórázást kíván. Az is gyakori hiba, hogy a szervezetek az oktatóprogram lefutása után elintézettnek vélik a kiképzést: nem veszik figyelembe, hogy a dolgozók közben kicserélôdhetnek, és nem intézményesítik az új belépôk oktatását. ùgyszintén nem árt, ha a vezetô ismételten ellenôriz, és felhívja a figyelmet az egy évvel ezelôtt kiadott utasításainak betartására. A fizikai védelem a szinte általánossá váló hálózatoknál szóba sem jöhet, de nagy központi rendszereknél kötelezô, és gyakran sokkal nagyobb jelentôségû. Az adattárolás új módszerei azonban itt is további kihívást jelentenek -- a floppyk kezdetben 8 colosak voltak, ma pedig három és felesek. Ma már nem nehéz kisétálni egy lemezzel a védelem nélküli információ-raktárból, vagy lemásolni az értékes dokumentációkat a mindenütt jelenlévô másológépekkel. A behatolás és információszerzés néha a legbizarrabb módon történt: eldobott számítógépes nyomatok (printoutok), használt indigók, sôt használt festékszalagok segítségével, régebben pedig a képernyôn hagyott jelszavakéval. Utóbbi ellen ma már közismert módszer, hogy a jelszó begépelésekor csupán csillagok láthatók a képernyôn (vagy még az sem -- ekkor még a jelszó hosszát is nehezebb megtudni). Érdemes visszagondolni a cikkünk elején említett ""videós jelszóvadászat" trükkjére is. @VAlgoritmusos adatvédelem@N A rejtjelezô kulcsok hasonlóak a jelszavakhoz, de a megfelelô kulcs kiválasztása további meggondolásokat igényel. A kulcstér a lehetô legnagyobb legyen, hogy elbátortalanítsa a találgatásos behatolást, de lehetôséget kell adnia a gyakori változtatásra és sok felhasználó munkáját kell lehetôvé tennie. [1] A rejtjelezés hatékonysága a következôktôl függ: @V*@N az alkalmazott algoritmustól; @V*@N a rejtjelezés helyétôl és idejétôl; @V*@N a kulcskiválasztás kritériumaitól. Egy matematikailag feltétlenül biztos rejtjelezô eljárást Vernam az American Telephone and Telegraph Company-nál már 1917-ben megalkotott [2]. Az eredeti szöveg (plaintext) minden karakterét bitenkénti XOR mûvelettel összekombinálta véletlen(szerû) számokkal: egy kalapból kihúzott véletlenszerû számsort rávittek egy lyukszalagra (ez képezte a kulcs-folyamot), és a plaintextet egy másik olvasóra vitték. A visszafejtés ugyanezzel a kulcsfolyammal történt. Mivel bármilyen azonos hosszúságú rejtjeles szöveg egy ismeretlen véletlenszerû kulccsal csak az utóbbi ismeretében fejthetô meg, ezért ezt csak egyetlen alkalommal használják. Innen az eljárás neve: ""egyszeri szalag", melynek nagy jelentôségét aláhúzza, hogy a Moszkva-Washington ""forró drót" is ezt az eljárást alkalmazza! A rejtjelezés elméletéhez legjelentôsebb hozzájárulást Shannon cikke [3] jelentette, amit nem sokkal a közismertebb matematikai kommunikáció-elméleti munkája után publikált. Ebben kétféle biztonságot definiált: @V*@N feltétlenül biztos rendszerek; @V*@N számításilag biztos rendszerek. Egy rejtjeles szöveg (kriptogram) akkor lehet feltétlenül biztos, ha az egyetlen helyes megoldáshoz nem ad elégséges információt. Ehhez Shannon egy ""unicitási távolság"-ot definiált, ami egyszerûen azt jelenti, hogy a plaintext redundanciájának meg kell haladnia a kulcs információját. Egy monoalfabetikus helyettesítô rejtjelezô kulcsmérete 26! és log2 26! = 88, valamint ha a plaintext mint írott szöveg redundanciáját 80%-nak vesszük, akkor minden karakter 3,8 bit redundanciát hordoz. Ezért bármilyen 88/3,8, azaz kb. 23 karakternél hosszabb szöveg alkalmas lehet a monoalfabetikus rejtjelezés feltörésére, mivel az unicitási távolság 23. Tekintve, hogy az egyszeri szalag unicitási távolsága végtelen, ezért mai ismereteink szerint ez az egyetlen matematikailag feltétlenül biztos rendszer. Bár a számításilag kivihetetlen (feltörô) eljárásnak nincs definíciója, ma olyan nézet van, hogy egy 10^25 lépést meghaladó számítás nem kivitelezhetô, ha ""lépésként" egy LSI chippel 1 msec alatt elvégezhetô mûveletet vesszük. A termodinamikai határ a jelenleg ismert eljárásokra szorítkozik: feltételezve, hogy minden logikai lépés kT energiát fogyaszt (ahol k a Boltzmann állandó és T az abszolút hômérséklet), továbbá azt véve, hogy a számítás 100 K-en történik, kimutatható, hogy az 1000 év alatt elvégezhetô mûveletek száma 3x10^48. @VNéhány szó a ""DES"-rôl@N Amint a piacon megjelentek a különbözô adatvédelmi rendszerek és felmerült a hálózatok összekapcsolásának lehetôsége is, úgy keletkezett a szabványosítás igénye. Ezt felismerve az USA Szabványhivatala (NBS, újabb nevén NIST) 1973-ban felhívást tett közzé a megfelelô szabványos rejtjelezô algoritmus (DES -- Data Encryption Standard) kidolgozására, melynek a következô követelményeket kellett kielégítenie: 1. Adjon magas szintû biztonságot. 2. Teljesen specifikált és könnyen érthetô legyen. 3. Az algoritmus által nyújtott titkosság ne legyen az algoritmus titkosságának függvénye. 4. Minden felhasználó és gyártó számára hozzáférhetô legyen. 5. Legyen alkalmas egymástól igen különbözô felhasználásokban. 6. Elektronikus eszközökkel gazdaságosan megvalósítható és hatékony legyen. 7. Alá lehessen vetni érvényesítésnek (validation). 8. Legyen exportálható. A beérkezett válaszok kiábrándítóak voltak: sok matematikus kiforratlan, további fejlesztést kívánó algoritmust javasolt, és olyan is volt, aki újból felfedezte az ""egyszeri szalagot". Ezért 1974 augusztusában másodszor is kiírták a pályázatot, és megint sok megoldás nem volt elég erôs, mások pedig túlzottan specializáltak voltak. Végül egyedül az IBM Lucifer algoritmusa teljesítette a kiírt követelményeket. Kimutatták, hogy ha minden rejtjelezô kulcs tesztelésére 1 pikomásodpercet fordítanak, akkor az eljárás kívülrôl történô feltöréséhez 10^19 év szükséges. Amerika legjobb mûszaki egyetemén, az MIT-n az Athena hálózatot a Kerberos rendszer védi. Åbránk a file-átvitel védett és rejtjeles mûveletét mutatja, amely a felhasználó jelszavas bejelentkezését követôen a munkafázisnak (session) a rajzon piros színnel szemléltetett kulcsa és a jegyengedélyezési folyamat segítségével történik. A felhasználónak a tipikus multiuser rendszerben megszokottakon kívül semmit sem kell tennie. Az ábrákon szemléltetett Kerberos védelmi rendszer úgy igyekszik a hálózaton lévô felhasználói információk titkosságát biztosítani, hogy a maximális biztonság ugyanakkor a teljes bizalmatlanság jegyében ne rója a felhasználóra jogosultságának állandó bizonygatását. A felhasználói jelszavakat nem a munkaállomás tárolja, a jegyek pedig csak az adott munkaállomáson és csak néhány óráig használhatók. De most jön az emberi oldal: a rendszermenedzserek közvetlenül bejelentkezhetnek a fizikailag biztonságos, ""galambdúc"-nak nevezett, kvázi-páncéltermi kulcselosztóban. Nos, az ôrzött személyekre is nem egyszer a testôrök jelentik a legnagyobb veszélyt. Egy további cikkünkben kitérünk a számítástechnikai környezetben az emberi megbízhatóság és motiválás nehéz problémájára. Most csak annyi, hogy a nyomozói gyakorlatban közismerten a ""motiváció, a módszer és az alkalom" elvet alkalmazzák. A motivált elkövetô, ha hozzáférhet a rendszerhez, akkor biztosan megtalálja az alkalmat, és kidolgozza a módszert a károkozásra. A kormányzati és üzleti számítógépekbe behatoló kamaszok többé-kevésbé véletlenszerûen lesznek bûnelkövetôk. Egy jelszó kitalálása jó passzió. A külsô elkövetônek találgatnia kell, míg a belsô alkalmazott tudja, hogy hol vannak a gyenge pontok, és hol találja az érzékeny file-okat. Fôként tehát a saját alkalmazottakra kell odafigyelni. A hálózatból kívülrôl behatolók és vírusterjesztôk nagyobb publicitást kapnak, és jobban felhívják a figyelmet a gyenge pontokra, de az igazi veszély az intézményen belül van! Nincs az a pitbull-mutációkkal védett, atombiztos páncélterem, titkosító- vagy biztonsági rendszer, amit kellô ismerettel, fôleg belülrôl és csoportosan ne lehetne feltörni! A számítógépek nem követnek el bûnöket. Ezt az emberek követik el, akik bûnös célra használják a gépeket. îgy tehát a rendszer védelmének hatékonyságát az emberi oldalra történô odafigyelés (""human engineering") növelheti elsôsorban, azaz: ""Soha ne feledkezzünk meg az emberrôl, amikor géprôl beszélünk!" @KVörös Gábor@N @VHIVATKOZOTT IRODALOM@N [1] Baker, R. H: ""Computer Security Handbook" TAB Professional and Reference Books, Blue Ridge Summit, P.A. Second Edition, 1991 [2] Davies - Price: ""Security for Computer Networks" John Wiley & Sons, Second Edition, 1989 [3] Shannon: ""Communication Theory of Secrecy Systems" Bell System Technical Journal vol. 28. p. 656., 1948. október [4] Schiller, J.I: Secure Distributed Computing Scientific American, 1994. november [5] Garfinkel, S.: ""Practical Unix Security", O'Reillz & Associates, Inc., Sebastopol, CA 95472, USA, 1991 [6] Herzberg,F et al: ""The Motivation to Work" John Wiley and Sons New York, 1959 [7] ""HISEC '93" Adatvédelem és Adatbiztonság Konferencia, Budapest, 1993