home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
9504
/
INFBIZT1.CD
< prev
next >
Wrap
Text File
|
1995-12-15
|
16KB
|
271 lines
@VMiért került elôtérbe az információbiztonság?@N
@VEmber és gép!@N
Az Egyesült Ållamokban a számítógépes,""fehérgalléros"
bûnözés által okozott kár meghaladja az évi 70 milliárd
dollárt [1]. (V.ö. hazánk 40 év alatt összegyûjtött
adósságállományával!) @K(A szakirodalmi hivatkozásokat
@Kszögletes zárójelbe tett betû-szám kombinációk jelzik a
@Kszövegben. A hivatkozások feloldását az elsô cikk végén
@Kadtuk meg -- a szerk.)@N
A számítógépektôl, ezek adataitól való erôs függés
megnöveli a számítógépes biztonság fontosságát és
összetettségét. Az információk biztonsága a 90-es években
már kikerült a hagyományos adatfeldolgozó központokból.
Helyi hálózatok, nagy területi, sôt kontinensnyi hálózatok,
összekapcsolt óriás-, mini-, személyi- és mikroszámítógépek
egyetlen alkalmazásként mûködnek. Hasonlóképpen: a PC-alapú
szoftverek, a házon belül kifejlesztett és a kereskedôktôl
vett programok sokféle hardver platformon mûködnek együtt. A
képfeldolgozás, a döntést támogató szoftver ma már közhellyé
vált. Az intézmények pedig végre kezdik felismerni az új,
biztonsági szolgáltatások növekvô jelentôségét az ilyen
dinamikus, kevert környezetekben.
Különösen a bankok a célpontjai a számítógépes
bûnözôknek. A régi kis, könyökvédôs, gyomorbajos hivatalnok,
aki egy rosszul világított, poros és hideg raktárban nagy
fôkönyvek fölé hajolva sikkasztgatott, ma már nem létezik --
finomodnak a módszerek. A kerekített fillérekbôl képzett
meggazdagodás ismert esetén kívül legálisan is dollármilliók
cserélhetnek gazdát egyetlen perc alatt. A manhattani
nagybankok például az esti záráskor óriási összegeket
utalnak át a nyugati partvidékre azért, hogy amíg itt
éjszaka ôk alszanak, addig az idôeltolódást kihasználva a
pénzük ott ""mûködjön". Elképzelhetô, hogy milyen biztonsági
intézkedések kellenek itt, és mennyire nevetséges ezzel
szemben egy (nem is kis) hazai banknak az a közelmúltbéli
központi utasítása, hogy pénteken, 13-án a PC-k mûködtetése
tilos -- amikor vannak kifejezetten a gép kikapcsolt
állapotát vagy más paraméterét figyelô idôzített vírusok is.
(A Heti CHIP rendszeresen közli az aktuális
""vírusnaptárt".)
1983-ban egy milwaukee-beli kamaszokból álló csoport be
tudott hatolni egy kórház, egy bank és a Los Alamos-i
Nemzeti Laboratórium hálózatába, valamint több, érzékeny
programokat és adatokat tartalmazó nagy számítógépbe. Ez az
eset tette a köztudatban a számítógépes bûnözés
megtestesítôjévé a hacker névvel illetett behatoló személyt.
A milwaukee-i eset nyilvánosságra kerülése után a
számítógépes biztonsági termékek forgalma
megháromszorozódott, az antivírus programok eladása
ugrásszerûen megnôtt, és hirdetéseik szalagcímekben
szerepeltek. ""Amikor ilyen események publicitást kapnak, és
a vezetôk kérdésére, hogy ""Mi is veszélyeztetettek
vagyunk?", a válasz: ""Igen", akkor a telefonok elkezdenek
csengeni." -- nyilatkozta egy biztonsági szakértô [1].
1988-ban egyetemi hallgatóknak sikerült behatolni az USA
Védelmi Minisztériumának (DoD) Arpanet kommunikációs
hálózatába. A rendszerbe beültetett féreg szaporodása több
mint hatezer számítógépet bénított meg. A hivatalos
kommentár szerint ez csupán ""zavart" okozott, az adatok nem
sérültek meg, és a vírus nem hatolt be a legfôbb védelmi
biztonsági kommunikációs kapcsolatokba.
@VHárom téves feltevés@N
Milwaukee-ben egy csoport a körzeti telefonszámot
alkalmazta saját nevének megjelöléséhez. Elsô lépésük az
volt, hogy felhívták a Telenet körzeti számát, amikor is ez
megkérdezte, hogy melyik számítógéppel kívánnak kapcsolatba
kerülni. Nem tudták, de ez nem is volt érdekes, mivel a
telefonhálózatba kapcsolt mindegyik rendszernek megvolt a
saját azonosító kódja. A behatolók néhány valószínû
számkombinációval próbálkoztak, és meglepetésükre a Los
Alamos-i National Laboratory, egy nukleáris kutatóközpont és
a New York-i Sloan-Kettering Rákkutató Központ jelentkezett
be. Ez utóbbinál a jelszó egy köznapi, jól ismert szó volt,
amely a szervizeléshez szükséges alapvetô funkciókat
biztosította. Behatoláskor a kamaszok ugyanazt a
számítógépes környezetet észlelték, mint az iskolai
adatfeldolgozási órákon. A rendszer ilyen ismeretében
kétszer teljesen leültették ezt a gépet. Az incidensek
szerencsére késô éjjel történtek, és egyetlen beteg sem
károsodott, de hosszú hónapokba telt a károk felderítése és
kijavítása.
Ez az eset az alábbi három téves feltevés gyakorlatba
ültetésén alapult [1]:
@V*@N A nagy pénzügyi és katonai védelmi rendszerek
számítógépein kívül ugyan ki akarna behatolni a mi gépünkbe?
@V*@N Egy jelszó elégséges védelmet biztosít, és nem
szükséges azt megváltoztatni.
@V*@N Nagyon kevés azoknak a száma, akik kellô ismerettel
rendelkeznek, hogy hozzáférjenek a gépünkhöz, és
manipulálják a benne lévô információt.
@VMiért nem kielégítô a védelem?@N
A legtöbb intézménynél a védelem több okból is távol áll
attól, hogy kielégítônek lehessen nevezni:
@V*@N A védekezés kényelmetlenséget okoz, mivel a nem
jogosult felhasználók kiszûrésére alkalmazott eljárások a
legitim felhasználókat is meggyanúsítva, hátráltatják a
munkát.
@V*@N Az intézmények azt szeretnék, hogy a róluk kialakult
kép kedvezô legyen. Nagyon sok számítógépes bûneset azért
nem kap nyilvánosságot, mivel a felsô vezetôk félnek attól,
hogy a cég kompromittálódik.
@VHonnan várható a fenyegetés?@N
A számítógépes biztonság elsôsorban nem mûszaki kérdés.
Bár a legtöbb kiadványban fôként ezeket tárgyalják, ki kell
emelnünk, hogy a biztonság elsôsorban humán probléma.
A legnagyobb fenyegetés a számítógépekre és a
számítógépes adatokra nem kívülrôl származik, hanem a saját
alkalmazottak oldaláról.
@VKorunk vagyona: az információ@N
Egyedi körülményektôl függô veszélyforrások:
@V*@N Személyi adatok feldolgozása és tárolása:
-- Személyi adatok nem szándékos közlése, módosítása
vagy megsérülése.
-- A bizalmassági elôírások, személyiségi jogok
megsértése.
@V*@N Titkos adatok feldolgozása vagy tárolása (bírói
vizsgálati anyagok, katonai vagy politikai felderítés,
üzleti titkok, marketing-titkok):
-- Titkos, vagy érzékeny adatok szándékos vagy
véletlenszerû közlése, módosítása vagy sérülése.
-- Törvények, elôírások, rendeletek megsértése.
@V*@N Pénzügyi adatok feldolgozása és tárolása (mérlegek,
forgóeszközök ki- és bevitele, általános fôkönyv, tartozások
és követelések, bérlisták):
-- Pénzügyi csalás, hûtlen kezelés vagy lopás.
-- Véletlenszerû pénzügyi veszteség, például
piacvesztés.
-- A pénzügyi jelentések elkészítési határidejének és
más, esetleg adózási vagy társadalombiztosítási
kötelezettségek elmulasztása.
@V*@N Folyamatvezérlés (gyártási, pénzügyi folyamatok
irányítása, szállítás, beruházás, betegellátás stb.):
-- A folyamatok szándékos vagy véletlenszerû módosítása,
hibája vagy (fizikai) sérülése.
Az USA-ban külön országos központi, számítógépes
bûnözést nyilvántartó adatbank mûködik, amelynek a
statisztikai adatait szemlélteti az alábbi ábra [1]. Ezen
érdemes elgondolkodnunk!
Honnan származnak az intézményen belüli fenyegetések az
információra mint vagyontárgyra?
@V*@N A számítógépes bûnözôk gyakran a legokosabb és a
legjobb munkaerôk körébôl kerülnek ki, akik úgy érzik, hogy
a munkájukat képezô rutinszerû feladatoknál jobbak a
képességeik. Ez különösen a fiatalabb munkaerôknél fordulhat
elô, akiknek még nincs professzionális felelôsségérzetük. A
motiváltság, valamint a professzionális kihívás magas
szintjének fenntartása elkerülhetôvé teszi ezt a biztonsági
problémát.
@V*@N A számítógépes bûnelkövetô viszont nem szükségszerûen
jól képzett szakember, lehet egy kis beosztott is, aki
egészen véletlenül jön rá: ""Jé, ezt is meg lehet csinálni a
géppel!" Ha elégedett és lojális, akkor ezzel az újonnan
megszerzett tudással nem fog ártani. Ha viszont sérelem éri,
akkor több hónappal késôbb is felhasználhatja ezt.
@V*@N A számítógépes bûnözôk sokszor a bizalmi pozícióban
lévôk körébôl kerülnek ki, akik az általuk jól ismert,
szokásos rutinmûveleteket használva árthatnak a rendszernek.
Bármely biztonsági terv esetén ezen egyének tevékenységét
kell gondosan felügyelni, szoros ellenôrzéssel és hatékony
nyilvántartással.
@V*@N A bûneseteket legtöbbször nem egyedül követik el, az
esetek felében bûntársak mûködnek közre, mivel egy egyén
rátermettségét meghaladó képességekre lehet szükség, sôt egy
intézményen belüli elkövetônek külsô partnerei lehetnek.
@VA jó védelmi rendszer@N
@V*@N minimalizálja az intézmény mûködésének
veszélyeztetettségét;
@V*@N különbözô jogosultságot biztosít a felhasználók igénye
és felelôssége szerint;
@V*@N a felhasználókat egyértelmûen felelôssé tudja tenni a
számítógépes akciókért;
@V*@N szétválasztja a felhasználókat, a programokat, az
adatfile-okat és a forrásokat;
@V*@N azonosítja a visszaélési kísérleteket és védekezô
lépéseket tesz.
Felhasználhatóság. Egy biztonsági rendszernek nem szabad
elfogadhatatlan megszorításokat támasztani a számítógép
felhasználóival szemben, vagy károsan befolyásolni a
feldolgozási mûveletek hatékonyságát, hanem ezekkel
együttesen kell biztosítani a szükséges védelmi szintet. A
jelenleg kapható biztonsági szoftvertermékek, különösen a
nagygépes környezetben moduláris konstrukciójúak, így
lehetôvé teszik, hogy a biztonsági eljárásokat fokozatos
fáziseltolással léptessék életbe. E termékek, bár a
hagyományos értelemben nem felhasználóbarátak, figyelembe
veszik az emberi tényezôket és lehetôvé teszik a
felhasználóknak, hogy az idô múlásával hozzászokjanak a
rendszer felügyeletéhez.
@VMiért került elôtérbe az információbiztonság?@N
@V*@N A személyi számítógépek és a hálózatok egyre
elterjedtebbek;
@V*@N A végfelhasználók ma már egyre több számítást
végeznek, és ez nem csupán egy adatfeldolgozási osztályra
hárul.
@V*@N A hálózatok és a számítógépes kommunikáció az adatokat
minden eddiginél jobban, bárki számára hozzáférhetôvé teszi.
@V*@N Sok alkalmazás közös adatbázist használ.
@V*@N A beosztottak -- és általában a nagyközönség -- egyre
jártasabb a számítógépek használatában.
@VAz információvédelem hat alapszabálya [5] @N
@V*@N Titoktartás: az információt a tulajdonos explicit
engedélye nélkül senki sem olvashatja el. Ez az adatok és
programok olyan részegységeire is vonatkozik, amelyek ugyan
önmagukban semmit sem érnek, de egy nagyobb rendszer
részeként már felhasználhatók.
@V*@N Adatok sérthetetlensége: az információ (természetesen
a programok is ide tartoznak) semmilyen módon nem törölhetô
vagy változtatható meg a tulajdonos engedélye nélkül. Az
információba itt minden, nem triviális adat beleértendô: még
a mentési szalagok, a file-ok létrehozási dátumai, sôt a
dokumentációk is.
@V*@N Hozzáférhetôség: az információt úgy kell védeni, hogy
engedély nélküli hozzáférési kísérlet esetén ne sérülhessen,
illetve a jogosult felhasználó mindig elérje. Ha egy
rendszer hozzáférhetetlen egy meghatalmazott felhasználó
számára, az ugyanolyan rossz (sôt, néha rosszabb) mintha az
adatokat töröltük volna.
@V*@N Következetesség: biztosítani kell, hogy a rendszer
folyamatosan úgy mûködjön, ahogy azt elvárják a jogosult
felhasználók. Ha egy szoftver vagy hardver hirtelen teljesen
másképpen kezd mûködni egy frissítés (upgrade) vagy
hibajavítás után, az súlyos problémákhoz vezethet. Képzeljük
el például, ha egy megszokott parancs egyik napról a másikra
listázás helyett törölné a file-okat...
@V*@N Elkülönítés: a rendszer elérését megfelelôen kell
szabályozni. Ha egy ismeretlen illetve jogosulatlan
felhasználó vagy szoftver hozzáférhet a rendszerhez, az
katasztrofális lehet. Késôbb már nem lehet tudni, hogyan
került be, mit csinált és rajta kívül még ki (vagy mi) érte
el az információinkat. Az ilyen események után a rendszer
helyreállítása, esetleges újratelepítése nagyon költséges
lehet.
@V*@N Felügyelet: nemcsak a jogosulatlan felhasználók miatt
kell aggódni, sokszor az engedéllyel rendelkezô felhasználók
is követnek el hibákat, illetve rosszabb esetben szándékos
támadásokat. Ezekben a helyzetekben tudnunk kell, hogy
pontosan mi történt, vagyis ki és mit csinált. Az egyetlen
lehetôség, ha fenntartunk néhány maximálisan védett
adatterületet e tevékenységek nyilvántartására.
A fent említett szabályok mindegyike nagyon fontos,
sorrendet felállítani azonban nem lehet, hiszen ez mindig az
adott felhasználástól függ. Åltalánosan fogalmazva:
különbözô környezetekben különbözô biztonsági elôírásokat
kell figyelembe venni. Például bankok esetében általában az
adatok sérthetetlensége és felügyelete a legfontosabb.
@KVörös Gábor@N