home
***
CD-ROM
|
disk
|
FTP
|
other
***
search
/
Chip 1996 April
/
CHIP 1996 aprilis (CD06).zip
/
CHIP_CD06.ISO
/
hypertxt.arj
/
95H1-2
/
TISCFLEK.CD
< prev
next >
Wrap
Text File
|
1996-02-03
|
21KB
|
328 lines
@VTechnology for Information Security '94 -- Managing Risk@N
@VÉpítsd a falat, tömd be a lyukat!@N
Ha valaki elgépiesedô világunkban számítógépnek érezné
magát,tavaly év vége felé keresve sem találhatott volna
magának biztonságosabb helyet Galvestonnál. Ez a Houstontól
délre fekvô szigetecske, pontosabban a rajta épült, hasonló
nevû üdülôváros adott ugyanis otthont az 1994-es amerikai
információs biztonságtechnikai konferenciának, amely a
@KKockázatkezelés@N alcímet viselte.
Decemberben négy napra a tengerparti San Luis szállóba
és konferenciaközpontba gyûlt mindenki, aki az Egyesült
Ållamokban számít ebben a szakmában. A NASA Repülési
Igazgatósága (Mission Operations Directorate, MOD) által
szervezett rendezvényt tucatnyicég támogatta. Az ûr-,
illetve a számítástechnikai ipar két óriása,a Rockwell Space
Operations és a Unisys mellett a biztonságtechnikai ágazat
szervezete (Information Systems Security Association, ISSA),
valamint egy sor, szûkebb területre specializálódott, kisebb
vállalkozás -- az Allied Signal, a BlueLance, a Channel
Island Software, a Hernandez Engineering, a Magna --
szerepelt a szponzorok listáján.
Mirôl esett szó? Aki hálózaton dolgozik, különösen, ha
online szolgáltatásokat vesz igénybe vagy gyakran utazik az
Interneten,életbevágóan fontos információkkal térhetett haza
Galvestonból. ""Számítógépeink veszélyben vannak!" --
figyelmeztette a hallgatóságot @KWill Ozier,@N egy
kockázatelemzô és kezelô cég, az OPA elnöke. S minél több PC
kerül az irodákba és az otthonokba,minél többen kapcsolódnak
a gombamód szaporodó hálózatokra, annál nagyobb az veszély.
Ma az Internet, a Hálózatok Hálózata közel száz országra
terjed ki, mintegy 60 ezer LAN-t fog össze. Világszerte 15
millióan használják -- köztük mind többen Közép- és
Kelet-Európában. A rendszer elképesztô, évi 160 százalékos
(az Egyesült Ållamokat leszámítva 180 százalékos) ütemben
bôvül.
@VNövekvô százalékok
Egy, az Ernst & Young, valamint az @KInformation Week@N
által a közelmúltban végzett felmérés szerint az amerikai
alkalmazottak átlagosan 65 százaléka fér hozzá vállalata
számítógépeihez, amelyek gyakran az Internethez is
kapcsolódnak. Az elmúlt egy évben a számítógépen (is)
dolgozók aránya a biztosítóknál 90-rôl 95,a bankokban 90-rôl
93, az egészségügyben 55-rôl 73,a kereskedelemben 58-ról 67,
az iparban 45-rôl 66 százalékra nôtt. (Elemzôk
különösen veszélyesnek mondták az egészségügy területén
végbement robbanásszerû fejlesztést, mivel a gépesítéskor
sok helyütt átsiklottak a biztonsági, a személyiségi
jogvédelmi szempontok felett.) Megkérdezték a 2500-nál több
alkalmazottat foglalkoztató cégeket:számítógépeikre külsô
felhasználók is bejelentkezhetnek-e. Nos, a rendszerek 55
százalékát használhatják külsô megrendelôk, ügyfelek, 46
százalékát szállító partnerek, 33 százalékukhoz pedig
mindkét csoport hozzáférhetett.
Nem csoda, hogy 1994-ben az 1300
válaszadó informatikai/számítástechnikai vezetô 59
százalékának meg kellett küzdenie valamilyen
vírusfertôzéssel -- 1993-ban ez az arány 54 százalék volt.
A kórokozók az egy évvel korábbi 64 helyett 78 százalékban
bizonyultak romboló hatásúaknak.
A válaszadók 78 százaléka nyilatkozott úgy, hogy az
elmúlt egy esztendôben nôtt a veszély, s 26 százalékuk
lényegesen nagyobbnak érezte a kockázatot.55 százalékuk volt
elégedetlen LAN-ja biztonsági helyzetével -- márpedig a nagy
megbízhatóságot követelô almazásokban a helyi hálózat a
legelterjedtebb decentralizációs megoldás.
Mint a múltban, a cégek ma is szemérmesek, ha a
veszteségeikrôl kell beszélniük. Az illetékes vezetôk 79
százaléka nem adott választ arra a kérdésre: mekkora káruk
származott abból, hogy biztonsági rendszerük lyukasnak
bizonyult. 17 százalék 250 ezerdollár alatti, 3 százalék
negyed- és egymillió dollár közötti,1 százalék viszont annál
is nagyobb veszteségrôl számolt be.
Nyilvánvaló: jóllehet az információs sztráda --
hivatalos amerikai kormányterminológiával élve az országos
információs infrastruktúra (National Information
Infrastructure, NII) -- korábban elképzelhetetlen tömegû
adatot és ismeretet tesz közkinccsé, egyszers mind a tömeges
pusztítás kockázatát is magában hordozza, s a számítógépes
bûnözés melegágyává válhat. Gondosan meg kell vizsgálnunk
tehát -- fejtegette Ozier --, hová, milyen
környezetbe telepítjük gépeinket, s ha már döntöttünk,
alaposan meg kellszerveznünk a rendszer védelmét.
@VRobbanás, tûz, hackerek
De honnan jöhet a veszély? A legkülönbözôbb, sokszor
a legváratlanabb természeti és emberi forrásokból. Ozier
megtörtént esetekkel szórakoztatta közönségét. ""Egyik meg-
rendelônk irodaépületének tôszomszédságában iparvágányokra
figyeltünk fel. A sínek ragyogtak, szemmel láthatóan
rendszeresen használták ôket.Megkérdeztük ügyfelünket, mi
célt szolgálnak. Csak annyit tudtak, hogy hetente egyszer
elmegy arra egy tehervonat. Rövid nyomozássalkiderítettük:
az a bizonyos szerelvény szombatonként robbanóanyagot száll
ít a közeli kôbányába."
Egy másik megrendelô egy faházban rendezte be
számítóközpontját. A tûzoltókészülékek szavatossága rég
lejárt, a barakk mellett éjszakánként sûrûn látogatott bár
mûködött.De a legmeglepôbb eredményt talán az az átvilágítás
hozta, amelynek során felfedezték, hogy az ügyfél
mintaszerûnek hitt automatikus tûzoltórendszerének csövei a
semmiben végzôdnek: nem csatlakoznak sem vízvezetékre, sem
víztartélyra.
Napjaink Amerikájában a kockázatelemzô és -kezelô
cégek statisztikai alapon állapítják meg, egy-egy telephely
és gép mekkora és milyen veszélynek van kitéve. Vaskos
táblázatokból indulnak ki, amelyek útbaigazítanak arról,
mekkora -- mondjuk -- a villámcsapás , a földrengés, a légi
katasztrófa, a környezetszennyezés, a táphálózat-kimaradás,
az emberi hibák, a lopás, a szabotázs vagy a vandalizmus
valószínûsége. Az Egyesült Ållamok egészére vonatkozó
átlagértékeket tovább pontosítják: az adott helyszínre
vonatkozó adatokat kérnek a tûzoltóságtól, a rendôrségtôl, a
meteorológiai, árvízvédelmi és földrengés jelzôszolgálattól,
a környezetvédelmi hivataltól,a munkaügyi hatóságoktól és az
építkezési vállakozóktól. Åttanulmányozzák a megrendelô
számítógépeinek eseménynaplóját, a gyártótól bekérik a gépek
megbízhatósági (MTBF) értékeit.
Bár óva intett mindenkit attól, hogy lebecsülje a
természeti katasztrófák, a robbanás vagy a tûz kockázatát,
@KRichard W.Carr,@N a NASA biztonsági hivatalának
információtechnológiai programigazgatója az emberi tényezôt
tartotta legveszélyesebbnek. Hiba, gondatlanság, szándékos
károkozás -- széles a skála. A felelôs házon (intézményen,
vállalaton) belüli vagy azon kívüliszemély egyaránt lehet.
Carr szerint a legtöbb gondot belülrôl -- a rosszul képzett
rendszergazda, -- az emberi hiba vagy mulasztás, -- a rossz
rendszerszervezés, -integrálás és bevizsgálás,kívülrôl pedig
-- a (bel- vagy külföldrôl indított) hackertámadás, --
az ipari kémkedés, -- a vírusfertôzés és -- a gyári hardver-
vagy szoftverhiba okozza. ""Az ördög -- avagy a nemzetközi
hackertársadalom nem alszik. A hét minden napján, a nap
minden órájában számolhatunk támadással" -- mondotta.
@VBújócska
A NASA biztonsági hivatalának munkatársai, hogy
saját szervezetükkel kapcsolatos feltevéseik és módszereik
helyességét bizonyítsák,ellenôrzô vizsgálatokat végeztek egy
meg nem nevezett intézménynél vagy vállalatnál. Az eredmény
elképesztô volt. Hat hónap leforgása alatt nem kevesebb,
mint hatmillió illetéktelen belépési kísérletet -- riasztást
-- mutattak ki. Ezek persze nemfeltétlenül jelentettek
támadást -- szó lehetett tévedésekrôl is.De ennyi esetben?
Ugyanitt 250 ezer tranzakció során négyezer riasztás
érkezett,s ezek közül négyszáz valóban támadásnak bizonyult.
Åm a legelgondolkodtatóbb, hogy a NASA-ellenôrzés
nélkül mindebbôl alig vettek volna valamit észre: az
intézmény rendszergazdái a négyszázból mindössze nyolc
támadást észleltek.
Magának a NASA-nak a rendszereibe havonta négy-hatszáz-
szor próbálnak meg illetéktelenek belépni. A NASA-t, az
amerikai Energiaügyi Minisztériumot, az ARPA-t és a légierôt
hónapról-hónapra átlagosan hat komolyabb támadás éri, nem
szólva az Interneten érkezô @Knapi@N száz betörési
kísérletrôl.
Kik a legveszedelmesebbek? A szakemberek szerint a két
véglet: a hackertársadalom elitje és a söpredéke.Az elôbbiek
-- nem egyszer ipari kémek -- egyre kifinomultabb
módszerekkel dolgoznak, aknamunkájukat rendkívül nehéz
felfedezni. Nem véletlenül nevezik ôket átlátszó
(transzparens) hackereknek vagy infogyilkosoknak.
Az aljanépnek ezzel szemben szinte semmilyen
számítástechnikai kultúrája nincs, virtusból, egyszerûen
bulldog módjára alkalmazza a hálózaton terjesztett betörési
recepteket. º az elefánt a porcelánboltban -- fogalma sincs
róla, mekkora kárt okoz minden mozdulatával.
""Míg két ember van a világon, kémkedni fognak egymásra.
A hidegháború elmúltával a kémkedés nem szûnt meg, csak
átalakult. Ma az ipari kémkedésé a fôszerep, s több ország
vesz részt benne, mint valaha" -- intett éberségre @KRaymond
@KM. Semko,@N aki az amerikai Energiaügyi Minisztérium
kémelhárítási osztályától jött Galvestonba. Ugyancsak a
számítógépes bûnözés nemzetközivé válására hívta fel a
figyelmet @KKristina L. Roth@N hadnagy, a légierôinformatikai
hadviselési központjának elhárítómérnöke. Elôadásában a
légierô számítóközpontjai ellen külföldrôl indított
támadásokról beszélt.
Jóllehet a hadnagy történetében szereplô egyik hacker
végül rendôrkézre került, ez a ritkább eset. 1993-ban a
NASA-nak a rendszereit ostromló ezrek közül mindössze
tizennégy támadó ellen sikerült eljárást indítania. Nem
könnyû kimutatni egy számítógépes betörést. De még nehezebb
kinyomozni a tettest,s megfelelô jogszabályok híján annál is
nehezebb vádat emelni ellene.
Tovább bonyolítja a helyzetet, hogy még ha észlelik is a
biztonsági problémát, a legtöbb helyen -- érthetô presztízs-
vagy üzleti okból -- eltussolják az eseményeket. Az amerikai
védelmi minisztérium egyik belsô ellenôrzésének eredménye:az
ügyeletesek az illetéktelen behatolási kísérleteknek
mindössze 4 százalékát fedezték fel, s az észlelt 4
százaléknak csupán a 15 százalékát jelentették. Az I.S.
átvilágító és biztonsági szolgálat becslése szerint az
intézmények, vállalatok dolgozói a problémák 85 százalékát
elhallgatják.
@VUtána és elôtte
Mit tegyünk, ha fülön csíptünk egy számítógépes bûnözôt?
-- tették fel többen a kérdést. Nos, nem egy tekintélyes
szakember úgy vélte: aki hackert fogott, törököt fogott. Ha
ugyanis feljelenti, számíthat arra, hogy az egész
hackertársadalom a nyakába zúdul, s a végén sok lúd disznót
gyôz. ""Ha nem okozott nagy kárt, jobb egyezkedni. A legtöbb
hacker hiú. Dicsérjük meg, milyen ügyes volt! Netán, ha
ténylegaz volt, ajánljunk neki állást a biztonsági
szolgálatnál! Ha elmondja hogyan jutott be a gépeinkbe, s
ezáltal befoltozhatunk egy lyukat a biztonsági rendszerünkön,
már nyertünk a kompromisszummal" -- hangzott a jó tanács.
Mint minden baj, a számítógépes bûnözés ellen is legjobb
módszer a megelôzés. De hogyan? Elôször is -- ajánlották a
szakértôk -- biztonsági rendszerünkben, de nemcsak ott,
egyszerû, áttekinthetô, jól strukturált szoftverrel
dolgozzunk! ""A szoftver természeténél fogva hibás. Murhpy
törvénye szerint pedig,ha valahol fennáll a hiba lehetôsége,
az be is fog következni. Minél egyszerûbb a szoftver, annál
könnyebb tesztelni, a hibákat felfedezni éskijavítani."
Helyzeti elônyben vannak, akik nagy- vagy minigépes
operációs rendszert futtatnak. A már említett Ernst & Young-
és @KInformation Week@N-féle felmérés ugyanis arról tanúskodik,
hogy azok megbízhatóbbak. Elég biztonságosnak tartja-e
szoftverkörnyezetét? Az OS/400 felhasználóinak mindössze 3,
az MVS-, illetve a VMS-üzemeltetôknek pedig csupán 4,
illetve 6 százaléka válaszolt @Knem@Nmel. Más operációs
rendszereknél sokkal nagyobb volt a kétségek aránya: a
Netware-nél 14, a Unixnál 22, az OS/2-nél 27, a Windows
különbözô változatainál 37, a Mac OS-nél 47, a DOS-nál pedig
57 százalék!
Akármilyen géprôl legyen is szó, minimális biztonsági
követelmény a jelszó használata. Ne engedjünk meg semmiféle
-- belsô célra szánt, kényelmes -- kerülôutat! De ma
általában ennyi kevés. Dolgozzunk változó jelszóval,
alkalmazzunk titkosítást, nagyobb rendszerek köré pedig --
javasolták a konferencián -- telepítsünk tûzfalat, vagyis
olyan hardver-szoftver eszközt, amely ellenôrzi, szûri a
kívülrôl befelé irányuló információforgalmat,miközben önmaga
garantáltan ellenáll minden behatolási kísérletnek.
Emellett ideje, hogy a rendszereket, illetve a velük
foglalkozószakembereket egységes elvárások szerint
minôsítsék -- mégpedig nemcsak az Egyesült Ållamokon belül,
hanem világszerte. Az elôbbi célt tûzte ki maga elé az
(ISC)², azaz az International Information Systems Security
Certification Consortium elnevezésû szervezet,amely a tervek
szerint 1995 áprilisában tartja elsô vizsgáját.
A rendszerjellemzôk értékelését és meghatározását egy
másik, az ISSA által támogatott nemzetközi bizottság, a GSSP
Committee igyekszik egységesíteni. A rövidítés kifejtése:
Generally Accepted System Security Principles -- az
egyszerûség kedvéért egy S-t kihagytak a betûszóból --,
vagyis általánosan elfogadott rendszerbiztonsági elvek. A
bizottság elnöke Will Ozier, tagjai -- az amerikaiak mellett
-- brit, francia, holland, japán, kanadai,mexikói és svéd
szakemberek. A konferencia résztvevôi már tanulmányozhatták
a GSSP elsô, tizenhét elvet felvázoló tervezetét.Kidolgozói
remélik, hogy munkájuk eredménye nemzetközi szabvány lesz,
amely világszerte javítja az információs
rendszerek biztonságát.
@VPróféta és hazája
Konferenciabeszámolónk végére váratlan csattanót
szolgáltatott a véletlen. (Véletlen?) A rendezvény utáni
héten ugyanis attól visszahangzott a houstoni rádió, hogy a
város egyik legnagyobb Internet szolgáltatójának, a
Neosoftnak több napra le kellett húznia a redônyt, mert egy
ismert és egy ismeretlen támadó léketvágott a biztonsági
rendszerén...
@KMikolás Zoltán
@VKi mit tud?
Olvasóink számára talán nem érdektelen, ha megadjuk
néhány informatikai biztonsági szakértô, illetve szervezet
adatait. A felsorolt címek, telefonszámok egytôl egyig az
Egyesült Ållamokra vonatkoznak.
* A galvestoni informatikai biztonságtechnikai
konferencia PR ügyeit @KEdwin G. Kusik,@N a @VRockwell Space
@VOperations@N biztonsági mérnöke irányította; 600 Gemini M/S
R11A, Houston, TX77058, (713)-282-2566, fax: (713)-282-4922.
* Az @VInformation Systems Security Association (ISSA),@N
4350 DiPaolo Center, Suite C, Glenview, IL 60025,
(708)-699-6441, fax:(708)-699-6329, nemzetközi biztonsági
szakmai szervezet oktatási fórumokat, kiadványokat és
konzultációs lehetôségeket nyújt több mint kétezer tagjának
-- informatikai biztonsági szakembereknek,oktatóknak,
diákoknak, jogászoknak és bûnüldözôknek.
* @KWill Ozier,@N az OPA és a GSSP Committee elnöke várja a
GSSP elsô fogalmazványával kapcsolatos észrevételeket. @VOPA,
@VInc.,@N870 Market St., Suite 1001, San Francisco, CA 94102,
(415)-989-9092, fax: (415)-989-9101, will.ozier@comsec.org.
* @KSteven M. Bellovin@N -- 600 Mountain Ave., Rm. 2B-104,
MurrayHill, NJ 07974, (908)-582-5886, smb@research.att.com --
az @VAT&TBell Laboratories@N kutatója, s a közelmúltban
megjelent @KFirewalls and Internet Security:Repelling the Wily
@KHacker@N címû könyv társszerzôje.
* @KRichard W. Carr@N a @VNASA Security
@KOffice@N információtechnológiai programigazgatója; JLS Office
Code JLS,Washington, DC 20546, (202)-358-2308,
(202)-358-3238.
* @KEdward A. Cavazos, Esq.@N ügyvéd az @VAndrews and Kurth,
@VLLP@N¬nél, és a @KCyberspace and the Law: Your Rights and Duties
@Kin theOn-Line World@N címû könyv szerzôje; 4200 Texas Commerce
Tower, Houston TX 77002, (713)-220-4195, fax:
(713)-220-4285,ecava zos@@blkbox.com.
* @KScott Charney,@N az amerikai
igazságügyminisztérium számítógépes bûnözési részlegének
vezetôje; Chief, Computer Crime Unit, @VDepartment of Justice,@N
1400 New York Ave. NW, Washington,DC 20005, (202)-514-1026,
fax: (202)-514-6113. Több súlyos számítógépes bûncselekmény
kivizsgálásában játszott szerepet, s különbözô amerikai és
nemzetközi kezdeményezésnek aktív résztvevôje.
* @KRalph Spencer Poore,@N a @VCoopers and Lybrand@N
információsbiztonsági szolgálatának igazgatója -- 1999 Bryan
St., Dallas, TX75201, (214)-754-5220, fax: (214)-754-5399,
rmoorenn@reach.com -- több mint húsz éve van a szakmában
s az (ISC)² elnökhelyettesi tisztét is betölti.