home *** CD-ROM | disk | FTP | other *** search
/ Chip 1996 April / CHIP 1996 aprilis (CD06).zip / CHIP_CD06.ISO / hypertxt.arj / 9504 / INFBIZT1.CD < prev    next >
Text File  |  1995-12-15  |  16KB  |  271 lines
  1.           @VMiért került elôtérbe az információbiztonság?@N
  2.  
  3.           @VEmber és gép!@N
  4.  
  5.               Az Egyesült  Ållamokban a  számítógépes,""fehérgalléros"
  6.           bûnözés  által okozott  kár meghaladja  az évi  70  milliárd
  7.           dollárt  [1].  (V.ö.   hazánk  40  év   alatt  összegyûjtött
  8.           adósságállományával!)    @K(A    szakirodalmi   hivatkozásokat
  9.           @Kszögletes  zárójelbe  tett  betû-szám  kombinációk  jelzik a
  10.           @Kszövegben.  A  hivatkozások feloldását  az  elsô cikk  végén
  11.           @Kadtuk meg -- a szerk.)@N
  12.               A  számítógépektôl,  ezek  adataitól  való  erôs  függés
  13.           megnöveli   a   számítógépes   biztonság   fontosságát    és
  14.           összetettségét. Az  információk biztonsága  a 90-es  években
  15.           már  kikerült  a  hagyományos  adatfeldolgozó  központokból.
  16.           Helyi hálózatok, nagy területi, sôt kontinensnyi  hálózatok,
  17.           összekapcsolt óriás-, mini-, személyi- és  mikroszámítógépek
  18.           egyetlen alkalmazásként mûködnek. Hasonlóképpen: a  PC-alapú
  19.           szoftverek, a házon  belül kifejlesztett és  a kereskedôktôl
  20.           vett programok sokféle hardver platformon mûködnek együtt. A
  21.           képfeldolgozás, a döntést támogató szoftver ma már közhellyé
  22.           vált. Az  intézmények pedig  végre kezdik  felismerni az új,
  23.           biztonsági  szolgáltatások  növekvô  jelentôségét  az  ilyen
  24.           dinamikus, kevert környezetekben.
  25.               Különösen   a   bankok  a   célpontjai   a  számítógépes
  26.           bûnözôknek. A régi kis, könyökvédôs, gyomorbajos hivatalnok,
  27.           aki egy  rosszul világított,  poros és  hideg raktárban nagy
  28.           fôkönyvek fölé hajolva sikkasztgatott, ma már nem létezik --
  29.           finomodnak  a  módszerek. A  kerekített  fillérekbôl képzett
  30.           meggazdagodás ismert esetén kívül legálisan is dollármilliók
  31.           cserélhetnek  gazdát  egyetlen  perc  alatt.  A   manhattani
  32.           nagybankok  például  az  esti  záráskor  óriási   összegeket
  33.           utalnak  át  a  nyugati  partvidékre  azért,  hogy  amíg itt
  34.           éjszaka ôk  alszanak, addig  az idôeltolódást  kihasználva a
  35.           pénzük ott ""mûködjön". Elképzelhetô, hogy milyen biztonsági
  36.           intézkedések  kellenek  itt,  és  mennyire  nevetséges ezzel
  37.           szemben egy (nem  is kis) hazai  banknak az a  közelmúltbéli
  38.           központi utasítása, hogy pénteken, 13-án a PC-k  mûködtetése
  39.           tilos  --  amikor  vannak  kifejezetten  a  gép   kikapcsolt
  40.           állapotát vagy más paraméterét figyelô idôzített vírusok is.
  41.           (A    Heti    CHIP    rendszeresen    közli    az   aktuális
  42.           ""vírusnaptárt".)
  43.               1983-ban egy milwaukee-beli kamaszokból álló csoport  be
  44.           tudott  hatolni  egy  kórház, egy  bank  és  a Los  Alamos-i
  45.           Nemzeti  Laboratórium  hálózatába,  valamint  több, érzékeny
  46.           programokat és adatokat tartalmazó nagy számítógépbe. Ez  az
  47.           eset   tette   a   köztudatban   a   számítógépes    bûnözés
  48.           megtestesítôjévé a hacker névvel illetett behatoló személyt.
  49.               A  milwaukee-i  eset  nyilvánosságra  kerülése  után   a
  50.           számítógépes       biztonsági       termékek        forgalma
  51.           megháromszorozódott,   az   antivírus   programok    eladása
  52.           ugrásszerûen   megnôtt,   és   hirdetéseik    szalagcímekben
  53.           szerepeltek. ""Amikor ilyen események publicitást kapnak, és
  54.           a  vezetôk   kérdésére,  hogy   ""Mi  is   veszélyeztetettek
  55.           vagyunk?", a válasz:  ""Igen", akkor a  telefonok elkezdenek
  56.           csengeni." -- nyilatkozta egy biztonsági szakértô [1].
  57.               1988-ban egyetemi hallgatóknak sikerült behatolni az USA
  58.           Védelmi   Minisztériumának   (DoD)   Arpanet   kommunikációs
  59.           hálózatába. A rendszerbe  beültetett féreg szaporodása  több
  60.           mint  hatezer   számítógépet  bénított   meg.  A   hivatalos
  61.           kommentár szerint ez csupán ""zavart" okozott, az adatok nem
  62.           sérültek meg,  és a  vírus nem  hatolt be  a legfôbb védelmi
  63.           biztonsági kommunikációs kapcsolatokba.
  64.  
  65.  
  66.           @VHárom téves feltevés@N
  67.  
  68.               Milwaukee-ben  egy   csoport  a   körzeti  telefonszámot
  69.           alkalmazta  saját  nevének megjelöléséhez.  Elsô  lépésük az
  70.           volt, hogy felhívták a Telenet körzeti számát, amikor is  ez
  71.           megkérdezte, hogy melyik számítógéppel kívánnak  kapcsolatba
  72.           kerülni. Nem  tudták, de  ez nem  is volt  érdekes, mivel  a
  73.           telefonhálózatba  kapcsolt mindegyik  rendszernek megvolt  a
  74.           saját  azonosító   kódja.  A   behatolók  néhány   valószínû
  75.           számkombinációval  próbálkoztak,  és  meglepetésükre  a  Los
  76.           Alamos-i National Laboratory, egy nukleáris kutatóközpont és
  77.           a New York-i Sloan-Kettering Rákkutató Központ  jelentkezett
  78.           be. Ez utóbbinál a jelszó egy köznapi, jól ismert szó  volt,
  79.           amely   a  szervizeléshez   szükséges  alapvetô   funkciókat
  80.           biztosította.   Behatoláskor    a   kamaszok    ugyanazt   a
  81.           számítógépes   környezetet   észlelték,   mint   az  iskolai
  82.           adatfeldolgozási  órákon.   A  rendszer   ilyen  ismeretében
  83.           kétszer  teljesen  leültették  ezt  a  gépet.  Az incidensek
  84.           szerencsére  késô  éjjel történtek,  és  egyetlen beteg  sem
  85.           károsodott, de hosszú hónapokba telt a károk felderítése  és
  86.           kijavítása.
  87.               Ez az  eset az  alábbi három  téves feltevés gyakorlatba
  88.           ültetésén alapult [1]:
  89.               @V*@N  A  nagy   pénzügyi  és  katonai   védelmi  rendszerek
  90.           számítógépein kívül ugyan ki akarna behatolni a mi gépünkbe?
  91.               @V*@N  Egy  jelszó  elégséges  védelmet  biztosít,  és   nem
  92.           szükséges azt megváltoztatni.
  93.               @V*@N Nagyon  kevés azoknak  a száma,  akik kellô ismerettel
  94.           rendelkeznek,   hogy    hozzáférjenek   a    gépünkhöz,   és
  95.           manipulálják a benne lévô információt.
  96.  
  97.  
  98.           @VMiért nem kielégítô a védelem?@N
  99.  
  100.               A legtöbb intézménynél a védelem több okból is távol áll
  101.           attól, hogy kielégítônek lehessen nevezni:
  102.               @V*@N  A  védekezés  kényelmetlenséget  okoz,  mivel  a  nem
  103.           jogosult  felhasználók kiszûrésére  alkalmazott eljárások  a
  104.           legitim  felhasználókat  is  meggyanúsítva,  hátráltatják  a
  105.           munkát.
  106.               @V*@N Az intézmények azt  szeretnék, hogy a róluk  kialakult
  107.           kép kedvezô  legyen. Nagyon  sok számítógépes  bûneset azért
  108.           nem kap nyilvánosságot, mivel a felsô vezetôk félnek  attól,
  109.           hogy a cég kompromittálódik.
  110.  
  111.  
  112.           @VHonnan várható a fenyegetés?@N
  113.  
  114.               A számítógépes biztonság elsôsorban nem mûszaki  kérdés.
  115.           Bár a legtöbb kiadványban fôként ezeket tárgyalják, ki  kell
  116.           emelnünk, hogy a biztonság elsôsorban humán probléma.
  117.               A   legnagyobb   fenyegetés   a   számítógépekre   és  a
  118.           számítógépes adatokra nem kívülrôl származik, hanem a  saját
  119.           alkalmazottak oldaláról.
  120.  
  121.  
  122.           @VKorunk vagyona: az információ@N
  123.  
  124.               Egyedi körülményektôl függô veszélyforrások:
  125.               @V*@N Személyi adatok feldolgozása és tárolása:
  126.              -- Személyi adatok nem szándékos közlése, módosítása
  127.                  vagy megsérülése.
  128.              -- A bizalmassági elôírások, személyiségi jogok
  129.                  megsértése.
  130.               @V*@N  Titkos  adatok  feldolgozása  vagy  tárolása   (bírói
  131.           vizsgálati  anyagok,  katonai  vagy  politikai   felderítés,
  132.           üzleti titkok, marketing-titkok):
  133.              -- Titkos, vagy érzékeny adatok szándékos vagy
  134.                     véletlenszerû közlése, módosítása vagy sérülése.
  135.              -- Törvények, elôírások, rendeletek megsértése.
  136.               @V*@N Pénzügyi  adatok feldolgozása  és tárolása  (mérlegek,
  137.           forgóeszközök ki- és bevitele, általános fôkönyv, tartozások
  138.           és követelések, bérlisták):
  139.              -- Pénzügyi csalás, hûtlen kezelés vagy lopás.
  140.              -- Véletlenszerû pénzügyi veszteség, például
  141.                  piacvesztés.
  142.              -- A pénzügyi jelentések elkészítési határidejének és
  143.                  más, esetleg adózási vagy társadalombiztosítási
  144.                  kötelezettségek elmulasztása.
  145.               @V*@N   Folyamatvezérlés   (gyártási,   pénzügyi  folyamatok
  146.           irányítása, szállítás, beruházás, betegellátás stb.):
  147.              -- A folyamatok szándékos vagy véletlenszerû módosítása,
  148.                  hibája vagy (fizikai) sérülése.
  149.               Az   USA-ban  külön   országos  központi,   számítógépes
  150.           bûnözést   nyilvántartó   adatbank   mûködik,   amelynek   a
  151.           statisztikai adatait  szemlélteti az  alábbi ábra  [1]. Ezen
  152.           érdemes elgondolkodnunk!
  153.               Honnan származnak az intézményen belüli fenyegetések  az
  154.           információra mint vagyontárgyra?
  155.               @V*@N  A  számítógépes  bûnözôk gyakran  a  legokosabb  és a
  156.           legjobb munkaerôk körébôl kerülnek ki, akik úgy érzik,  hogy
  157.           a  munkájukat  képezô   rutinszerû  feladatoknál  jobbak   a
  158.           képességeik. Ez különösen a fiatalabb munkaerôknél fordulhat
  159.           elô, akiknek még nincs professzionális felelôsségérzetük.  A
  160.           motiváltság,  valamint   a  professzionális   kihívás  magas
  161.           szintjének fenntartása elkerülhetôvé teszi ezt a  biztonsági
  162.           problémát.
  163.               @V*@N A számítógépes bûnelkövetô viszont nem  szükségszerûen
  164.           jól  képzett  szakember,  lehet egy  kis  beosztott  is, aki
  165.           egészen véletlenül jön rá: ""Jé, ezt is meg lehet csinálni a
  166.           géppel!" Ha  elégedett és  lojális, akkor  ezzel az  újonnan
  167.           megszerzett tudással nem fog ártani. Ha viszont sérelem éri,
  168.           akkor több hónappal késôbb is felhasználhatja ezt.
  169.               @V*@N A  számítógépes bûnözôk  sokszor a  bizalmi pozícióban
  170.           lévôk  körébôl  kerülnek  ki, akik  az  általuk  jól ismert,
  171.           szokásos rutinmûveleteket használva árthatnak a rendszernek.
  172.           Bármely biztonsági  terv esetén  ezen egyének  tevékenységét
  173.           kell gondosan felügyelni,  szoros ellenôrzéssel és  hatékony
  174.           nyilvántartással.
  175.               @V*@N A bûneseteket legtöbbször  nem egyedül követik el,  az
  176.           esetek  felében bûntársak  mûködnek közre,  mivel egy  egyén
  177.           rátermettségét meghaladó képességekre lehet szükség, sôt egy
  178.           intézményen belüli elkövetônek külsô partnerei lehetnek.
  179.  
  180.  
  181.           @VA jó védelmi rendszer@N
  182.  
  183.               @V*@N     minimalizálja     az     intézmény     mûködésének
  184.           veszélyeztetettségét;
  185.               @V*@N különbözô jogosultságot biztosít a felhasználók igénye
  186.           és felelôssége szerint;
  187.               @V*@N a felhasználókat egyértelmûen felelôssé tudja tenni  a
  188.           számítógépes akciókért;
  189.               @V*@N  szétválasztja  a  felhasználókat,  a  programokat, az
  190.           adatfile-okat és a forrásokat;
  191.               @V*@N  azonosítja  a  visszaélési  kísérleteket  és védekezô
  192.           lépéseket tesz.
  193.               Felhasználhatóság. Egy biztonsági rendszernek nem szabad
  194.           elfogadhatatlan  megszorításokat  támasztani  a   számítógép
  195.           felhasználóival   szemben,  vagy   károsan  befolyásolni   a
  196.           feldolgozási   mûveletek   hatékonyságát,   hanem    ezekkel
  197.           együttesen kell biztosítani  a szükséges védelmi  szintet. A
  198.           jelenleg  kapható biztonsági  szoftvertermékek, különösen  a
  199.           nagygépes   környezetben   moduláris   konstrukciójúak,  így
  200.           lehetôvé  teszik,  hogy a  biztonsági  eljárásokat fokozatos
  201.           fáziseltolással  léptessék   életbe.  E   termékek,  bár   a
  202.           hagyományos  értelemben  nem  felhasználóbarátak, figyelembe
  203.           veszik   az   emberi  tényezôket   és   lehetôvé  teszik   a
  204.           felhasználóknak,  hogy  az  idô  múlásával  hozzászokjanak a
  205.           rendszer felügyeletéhez.
  206.  
  207.  
  208.           @VMiért került elôtérbe az információbiztonság?@N
  209.  
  210.               @V*@N  A   személyi  számítógépek   és  a   hálózatok  egyre
  211.           elterjedtebbek;
  212.               @V*@N  A  végfelhasználók   ma  már  egyre   több  számítást
  213.           végeznek, és  ez nem  csupán egy  adatfeldolgozási osztályra
  214.           hárul.
  215.               @V*@N A hálózatok és a számítógépes kommunikáció az adatokat
  216.           minden eddiginél jobban, bárki számára hozzáférhetôvé teszi.
  217.               @V*@N Sok alkalmazás közös adatbázist használ.
  218.               @V*@N A beosztottak -- és általában a nagyközönség --  egyre
  219.           jártasabb a számítógépek használatában.
  220.  
  221.  
  222.           @VAz információvédelem hat alapszabálya [5] @N
  223.  
  224.               @V*@N  Titoktartás:  az  információt  a  tulajdonos explicit
  225.           engedélye nélkül senki  sem olvashatja el.  Ez az adatok  és
  226.           programok olyan részegységeire is vonatkozik, amelyek  ugyan
  227.           önmagukban  semmit  sem  érnek,  de  egy  nagyobb   rendszer
  228.           részeként már felhasználhatók.
  229.               @V*@N Adatok sérthetetlensége: az információ  (természetesen
  230.           a programok is ide tartoznak) semmilyen módon nem  törölhetô
  231.           vagy  változtatható meg  a tulajdonos  engedélye nélkül.  Az
  232.           információba itt minden, nem triviális adat beleértendô: még
  233.           a mentési  szalagok, a  file-ok létrehozási  dátumai, sôt  a
  234.           dokumentációk is.
  235.               @V*@N Hozzáférhetôség: az információt úgy kell védeni,  hogy
  236.           engedély nélküli hozzáférési kísérlet esetén ne sérülhessen,
  237.           illetve  a  jogosult  felhasználó  mindig  elérje.  Ha   egy
  238.           rendszer  hozzáférhetetlen  egy  meghatalmazott  felhasználó
  239.           számára, az ugyanolyan rossz (sôt, néha rosszabb) mintha  az
  240.           adatokat töröltük volna.
  241.               @V*@N  Következetesség:  biztosítani kell,  hogy  a rendszer
  242.           folyamatosan  úgy mûködjön,  ahogy azt  elvárják a  jogosult
  243.           felhasználók. Ha egy szoftver vagy hardver hirtelen teljesen
  244.           másképpen  kezd   mûködni  egy   frissítés  (upgrade)   vagy
  245.           hibajavítás után, az súlyos problémákhoz vezethet. Képzeljük
  246.           el például, ha egy megszokott parancs egyik napról a másikra
  247.           listázás helyett törölné a file-okat...
  248.               @V*@N  Elkülönítés:  a  rendszer  elérését  megfelelôen kell
  249.           szabályozni.   Ha   egy   ismeretlen   illetve  jogosulatlan
  250.           felhasználó  vagy  szoftver  hozzáférhet  a  rendszerhez, az
  251.           katasztrofális  lehet. Késôbb  már nem  lehet tudni,  hogyan
  252.           került be, mit csinált és rajta kívül még ki (vagy mi)  érte
  253.           el az  információinkat. Az  ilyen események  után a rendszer
  254.           helyreállítása,  esetleges  újratelepítése  nagyon költséges
  255.           lehet.
  256.               @V*@N Felügyelet: nemcsak a jogosulatlan felhasználók  miatt
  257.           kell aggódni, sokszor az engedéllyel rendelkezô felhasználók
  258.           is követnek el  hibákat, illetve rosszabb  esetben szándékos
  259.           támadásokat.  Ezekben  a  helyzetekben  tudnunk  kell,  hogy
  260.           pontosan mi történt, vagyis  ki és mit csinált.  Az egyetlen
  261.           lehetôség,   ha   fenntartunk   néhány   maximálisan  védett
  262.           adatterületet e tevékenységek nyilvántartására.
  263.               A  fent  említett  szabályok  mindegyike  nagyon fontos,
  264.           sorrendet felállítani azonban nem lehet, hiszen ez mindig az
  265.           adott   felhasználástól   függ.   Åltalánosan    fogalmazva:
  266.           különbözô  környezetekben  különbözô  biztonsági elôírásokat
  267.           kell figyelembe venni. Például bankok esetében általában  az
  268.           adatok sérthetetlensége és felügyelete a legfontosabb.
  269.  
  270.           @KVörös Gábor@N
  271.