1. dia - Neumann J�nos Sz�m�t�g�p-tudom�nyi T�rsas�g by J7G2UPN

VIEWS: 4 PAGES: 35

									                                          Mellékhatások:
                                 a social engineering-től
                                        a cyber háborúig
Sik Zoltán Nándor (sikzoltan@enoadvisory.com),
                               ENO Advisory Kft. (www.enoadvisory.com)
                       Miért pont az
                   Internet veszélyes?
   Mire találták ki az Internetet?
       Eisenhower: DARPA -
        Fegyverkezési verseny, válasz a
        Szputnyikra, stb.
                                         Vinton G. Cerf, Robert Kahn és Bill Clinton

   És mire nem?
       IT biztonság pl. nincs a
        protokollokban
   Ki gondolta volna akkor?
       Akkoriban űrből érkező
        atomtámadástól féltek…
                Az új sebezhetőségi pont:
                   A harmadik hullám
   Ma azonban az internet mindenkié...
   A mindenkiben tényleg mindenki benne van
       …azok is, akik nem arra használják, amire azt kitalálták
   Veszély leselkedik tehát mindenkire
       …és azokra is, akik nem arra használják, amire kitalálták!
   Veszély tehát:
       Társadalomra
       Gazdaságra
       Kultúrára
   Hasonlóan az ipari forradalomhoz, az információs
    társadalom is újabb veszélyeket rejt magában…
                          Harcban állunk!
   Folyamatosan harcban állunk!
       védekezni kell! (és időnként támadni is (?))
   A legtöbben azt hiszik, hogy:
       Jaj a hackerek!
       …meg a vírusok…
       …és esetleg a phishing
   és akkor gyorsan:
       … tűzfal kell,
       …meg vírusirtó,
       …meg IPS/IDS
   A tájékozottabbak szerint: „informatikai biztonság”,
    „kiberbiztonság” stb.
                       Az IT biztonságon túl
   De sajnos nem csak ez van
   Másfajta biztonságra is szükség van:
       Fizikai
       Személyi
       Információ (!) biztonság
           benne
              dokumentum biztonság és
              informatikai biztonság

           (valaha algoritmikus biztonságról beszéltek)
   Tehát körkörös védelem kell!
    …Hogy miért, az mindjárt kiderül
                        Hogy is állunk
                       ezzel a harccal?
   Hogy is állunk ezzel a harccal?
   Információs hadviselés! (IW = Information Warfare,
    IO = Information Operations)
   Mi is az?
       Nehéz meghatározni, körülírni…
       Túl bő, túl szűk definíciók
       Első def: Thomas Rona (1972)
                           Az információs
                            hadviselésről

   „Polgári” felfogás (IW):

   2007(IWS, Google, Wikipedia, stb.):
    „Az információs hadviselés a hadviselés egy új formája, amikor is az
    információ, illetve támadások az információ, illetve az információs
    rendszerek ellen a hadviselés eszközeivé válnak.”
   2008 (ugyanott):
    „Információs hadviselés (information warfare - IW): az információ, vagy az
    információtechnológia használata krízis, vagy konfliktus idején, adott
    ellenfelet vagy ellenfeleket érintő meghatározott célok elérésére vagy
    azok elősegítésére.”
   2009 (ugyanott):
    „Információs hadviselés: az információ használata és menedzselése egy
    ellenfél felett való versenyelőny megszerzése érdekében.
                          Az információs
                           hadviselésről
   „Katonai” felfogás (IO):
   MNIOE (Multinational Information Operations Experiment) definíció:
       „Az információs rendszereket – beleértve a rendszerek viselkedését
       és lehetőségeit – érintő, olyan katonai tevékenységekre való
       javaslattétel, illetve ezek koordinálása, amelyekkel a kívánt hatások
       elérhetők”
   Cél az információs fölény megszerzése – és megtartása
    (információs dominancia)
   Információs fölény definíció (DoD, JP 1-02, 1998):
      „Valamely fél saját erőinek vezetésében való relatív előnye az
      ellenfelekhez képest. Az információs fölény, vagy dominancia elérhető
      mind a saját vezetők kiképzésével úgy, hogy azok a rendelkezésükre
      bocsátott, fölényt biztosító technikai információk segítségével gyors
      és megfelelő döntéseket tudjanak hozni, illetve annak érdekében tett
      erőfeszítések az ellenfél ugyanilyen képességeinek rombolására és
      lehetetlenné tételére, egyidejűleg a saját képességek védelmével.”
                        Az információs
                         hadviselésről
   Története:
   Egyes részei már igen régiek
       Sun Ce (Sun Tzu): A háború művészete (ha ismered
        ellenségedet és magadat, győzni fogsz…)
       II. VH (Enigma, Ultra, stb.)
       Hidegháború (SZER, VoA, BBC, stb.)
   1991-es Öbölháború („Sivatagi vihar”)
       a „második hullám” utolsó, vagy a „harmadik hullám” első
        háborúja? (ld. Alvin Toeffler: A harmadik hullám)
       CNN jelenség
       ma innen számítjuk
                            Az információs
                             hadviselésről
   Területei (egyik – régebbi – felfogás):
   Martin C. Libicki (1995) – nem definiál, inkább megadja a
    részterületeket (ezek összefüggenek egymással):                     Martin C. Libicki

       Vezetési hadviselés (Kommunikáció vezérelt hadviselés) - Command
        and Control Warfare (C2W), (régebbi nevén Signals Warfare),
       Hírszerzés alapú hadviselés (Érzékelés alapú hadviselés) - Intelligence
        Based Warfare (IBW),
       Elektronikus hadviselés - Electronic Warfare (EW),
       Pszichológiai hadviselés (Lélektani hadviselés) - Psychological Warfare
        (PSYOP),
       „Hacker” hadviselés - Hacker Warfare,
       Gazdasági információs hadviselés - Economic Information Warfare
        (EIW)
       Kibernetikai hadviselés – Cyberwarfare
                         Az információs
                          hadviselésről
   Az információs hadviselés fókuszterületei (Forrás: ZMNE)
                               Az információs
                                hadviselésről
   Libicki kritikája - a definiált területek túlságosan
    átfedők
   Információs műveletek definíció (JP 1-02, JP 3-13):
    Az ellenség információit és információs rendszereit érintő
       cselekmények, a saját információk és információs rendszerek
       védelme mellett.
   JP 3-13 szerinti felosztás:
       Fizikai megsemmisítés (Phisical Destruction – PD)
       Katonai megtévesztés (Military Deception – MILDEC)
       Műveleti biztonság (Operation(al) Security – OPSEC)
       Pszichológiai műveletek (Psychological Operations –
        PSYOP(S))
       Elektronikai hadviselés (Electronic Warfare– EW)
       Számítógép-hálózati hadviselés (Computer Network
        Operations – CNO)
       + Civil-katonai együttműködés (Civil-Military Cooperation –
        CIMIC)
       + Tömegtájékoztatás (Public Information – PI)
                              Az információs
                               hadviselésről
   Az információs műveletek fajtái
(Forrás: Haig Zsolt – Várhegyi István: Hadviselés az információs hadszíntéren)
                      Hacker Warfare (1)
   Winn Schwartau: a számítógépes
    hálózatok elleni támadásokat
    tekinthetjük úgy, mint maga az
    információs hadviselés

       Hacker warfare: „Informatikai” hadviselés   Winn Schwartau


       A hálózatok biztonsági réseinek kihasználása
       Nem tényleges, hagyományos értelemben vett harc
       Céljai: lehallgatás, megszemélyesítés, beavatkozás
                     Hacker Warfare (2)
   Lehetséges célok:
       Számítógépes rendszerek megbénítása
       Megbízhatatlan működés előidézése, pl.
        adathibák generálásával
       Adatlopás pl. pénzszerzési, vagy
        értékesítési céllal
       Jogosulatlan használat, vagy ilyenhez
        adatgyűjtés, adathalászat
       Megszemélyesítés, mind felhasználói
        oldalon, mind szolgáltatást tettetve
       Információgyűjtés hírszerzéshez, pl.
        lehallgatással, rendszer működés
        megfigyelésével
       Hamis adatok bevitele a rendszerbe
       Fenyegetés, zsarolás, illetve ezekhez a
        fentiek igénybe vétele
                      Hacker Warfare (3)
   Lehetséges technikák pl.:
       Vírusok
       Férgek
       Logikai bombák
       Trójaiak
       Snifferek
       Social engineering (pl. phising-hez) – magyarul
        szélhámosság – Lásd pl. Kevin Mitnick könyvét
   Különbség a katonai és polgári célpontok elleni
    támadásnál (katonaiak a nyilvános hálózatokról
    leválasztva)
   Támadás fajták: fizikai, szintaktikai, szemantikai
     Hacker warfare - szintaktikai
     Cyberwarfare – szamentikai (ld. ott)
                       Hacker Warfare (4)
   Kritikus (létfontosságú) infrastruktúrák kiemelt védelme
    (Critical Infrastructure Protection – CIP, Critical Informations
    Infrastructure Protection - CIIP), pl.:
       Közművek
       ICT
       Energetika, energiaellátás
       Bank, pénzátutalás
       Biztonsági rendszerek
   Business Continuity Planning
         / Disaster Recovery Planning
   Támadás szimulálás
   Log file analízis
   Szoftverhibák
       Time to market miatt
       Szándékos (trap door, back door)
                       Cyberwarfare (1)
   Def:
       A kibernetikai hadviselés a kibertérben zajlik, és mint
        olyan eléggé megfoghatatlan, utópisztikus. Itt egyes
        területeken csak trendekről, kibontakozó irányokról
        beszélhetünk, más oldalon viszont van tényleges
        hadviselési gyakorlat is.
   Területei:
      Információs terrorizmus
     Szemantikai támadások
     Szimulált háborúk
     Gibson hadviselés – 4GW (5GW)
    (ld. William Gibson: Neuromancer)
                      Cyberwarfare (2)
   Információs terrorizmus
       Hacker hadviseléshez hasonló, de!
       Jól szervezett csoportok
       Célok: terrorizmus, szervezett bűnözés
   Szemantikai támadások
       Hamisadatok betáplálása
       A végeredmény is hamis
       Rossz döntések
       Pl.: tömeghisztéria, bank/tőzsdepánik, látszatkeltés
       Defenzíva: adathelyesség, pontosság, megbízhatóság
        ellenőrzés, integritás ellenőrzés
       Teljességgel ez sem zárja ki! (adatokban való „vakon”
        megbízás, negligencia, luxúria, stb.)
                             Cyberwarfare (3)
   Szimulált háborúk
       Még csak jövőbeni elképzelés (?)
       Tréningezni lehet
       Döntéstámogatás
       Játékelmélet
       Esélylatolgatás, kárszámítás, költségbecslés, kockázatelemzés
   Gibson hadviselés -> 4th generation warfare 4GW
       1GW – muskéta, tűzfegyverek
       2GW – koncentrált tűzerő, ballisztikus fegyverek
       3GW – beszivárgás, mélységi hadviselés, mobil hadviselés,
        „villámháború”
       4GW – aszimmetrikus hadviselés (stateless), nem
        hagyományos formák, Gibson hadviselés.
           Szintjei: fizikai, mentális, morális
                          Cyberwarfare (4)
   Gibson hadviselés (folytatás):
       Nem államok az államok ellen
       Hagyományos katonai összecsapások
        eltűnnek
       Hátország megszűnik (totális háború)
       Cél: nem a csaták, hanem a közvélemény
        megnyerése (ld. Orwell: 1984)
       Módszerei:
           Gerilla hadviselés, terrorizmus (=
            aszimmetrikus hadviselés)
           Szabotázsok
           Cyberwarfare!
           Nem hagyományos hadviselési formák
                                      IW esetek

   1999, Moonlight Maze – USA ellen irányult, Oroszországnak tulajdonítják
   2003, Titan Rain – USA ellen irányult, Kínának tulajdonítják
       Érintettek: Lockhead-Martin, Sandia National Labs, Redstone Arsenal, NASA
       Shawn Carpenter (haditengerészet veteránja) 2005-re „felgöngyölítette”
   2007, Észtország elleni, Oroszországnak tulajdonított DDoS akció
       Elsősorban Hacker Warfare, EIW, Cyberwarfare területeket érint
       Botnet bérlés, nem követhető vissza (KGB?, Nashi ifjúsági szervezet?)
   2008, Dél-oszétiai események Grúzia vs. Oroszország (...)
       Grúz internet blokkolása, de: Szaakasvili elnök kérése Lech Kaczinsky felé
       „bin Laden” effektus – azaz nem érint „nagyon”
       egyértelműen PSYOP – ne létezzen a grúz narratíva az eseményekről
   2008, Gázai övezet Izrael vs. Palesztinok
       Távközlési létesítmények lebombázása - PD
       Röplapok szórása – PSYOP
   2009, USA - GRID-ben talált botnet
     „Digitális Armageddon” lesz? - Cyberwar
                       Az információs
                        hadviselésről
   Ez azért eléggé távolinak tűnik. Pedig nem az.
   Egy felosztás:
       IT rendszerek elleni támadások
       Nem IT rendszerek elleni támadások – ebből van több
       Vegyes…
   Ma már viszonylag kevés olyan támadás van,
    amiben az Internet nem játszik szerepet
                         Hogyan lehet
                        itt védekezni?

   Kritikus Infrastruktúra Védelem
    (Critical Infrastructure Protection = CIP,
      „magyarul” KIV)!
Ezen belül:
 Kritikus Információs Infrastruktúra
  Védelem
    (Critical Information Infrastructure         Forrás: Davos World Economic Forum
                                                       Global Risks 2008 Report
      Protection = CIIP, azaz KIIV)
Ok, de mi is az?
                A kritikus infrastruktúra
                       és védelme
   Definíció (2080/2008 Korm hat – Zöld Könyv):
    „Kritikus infrastruktúrák alatt olyan, egymással
    összekapcsolódó, interaktív és egymástól
    kölcsönös függésben lévő infrastruktúra elemek,
    létesítmények, szolgáltatások, rendszerek és
    folyamatok hálózatát értjük, amelyek az ország
    (lakosság, gazdaság és kormányzat) működése
    szempontjából létfontosságúak és érdemi
    szerepük van egy társadalmilag elvárt minimális
    szintű jogbiztonság, közbiztonság,
    nemzetbiztonság, gazdasági működőképesség,
    közegészségügyi és környezeti állapot
    fenntartásában.”
                 A kritikus infrastruktúra
                        és védelme
   Definíció folyt (2080/2008 Korm hat – Zöld
    Könyv):
    „Kritikus infrastruktúrának minősülnek azon
    hálózatok, erőforrások, szolgáltatások,
    termékek, fizikai vagy információtechnológiai
    rendszerek, berendezések, eszközök és azok
    alkotó részei, melyek működésének
    meghibásodása, megzavarása, kiesése vagy
    megsemmisítése, közvetlenül vagy közvetetten,
    átmenetileg vagy hosszútávon súlyos hatást
    gyakorolhat az állampolgárok gazdasági,
    szociális jólétére, a közegészségre,
    közbiztonságra, a nemzetbiztonságra, a
    nemzetgazdaság és a kormányzat működésére.”
                        A kritikus infrastruktúra
                               és védelme
    Miért kell védeni?
        Mert „kritikus” = létfontosságú
    Infrastruktúra – nem is annyira, az infrastruktúra,
     mint szolgáltatások, funkciók, folyamatok
    USA definíció:
    „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek
     összessége, amelyek meghatározott ipari létesítményeket,
     intézményeket (beleértve a szakembereket és eljárásokat, illetve
     elosztó képességeket) tartalmaznak. Mindezek biztosítják a
     termékek megbízható áramlását az Egyesült Államok védelmi és
     gazdasági biztonságának fenntartása, valamint a minden szinten
     zavartalan kormányzati munka és a társadalom egésze érdekében”
    (Critical Foundations Protecting America’s Infrastructures, The Report of the President’s
                       Commission on Critical Infrastructures Protection; Washington, 1997 )
A 2005. július 7-i londoni
 terrortámadás helyszínei
                    Kritikus infrastruktúra
                      védelem otthon?
   OK, de ezt otthon?
   Miért, otthon mi a kritikus
    „infrastruktúra”?
   Egyáltalán van analógia?
   „Otthoni kritikus infrastruktúra”
       Család
       Egészség
       Tulajdon
           ház,
           autó,
           pénz…
       és az Adatok???
                     Életünk adatokra épül!
   Adatokra épül az életünk, ha nincsenek
    adataink, nem létezünk! (hacsak nem
    Bhutan-ban élünk…)
   Miért is?
       személyi adatok (ID, egészségügy, munkaügy,
        segélyek, stb.)
       tulajdonok nyilvántartásai (ingatlan, ingóságok,
        pénz!)
       részesedések nyilvántartásai (cég tagság,
        részvény, stb.)
       kapcsolataink…
   Azaz: ha nincsen adatunk, nem is vagyunk
    (vagy nem azok vagyunk, akik vagyunk…)
               Adatainkra kell vigyáznunk!
   Tehát mire kell legjobban vigyázni?
       (a szemünk fényén kívül…)
   És mire van ráhatásunk?
   Otthoni kritikus „infrastruktúrára”
    majdnem teljesen.
   Majdnem minden a felügyeletünk alatt
    tartható
       Na meg a biztosító fizet…
   Kivéve az adataink.
   Azt nem mi kezeljük.
   Hanem az állam, bank, szolgáltatók…
                        Amit tudunk,
                    nekünk kell megtenni!
   Adataink legalább nálunk ne
    szivárogjanak!
       a többivel foglalkozzanak, akik kezelik,
        mi csak ellenőrizni/ellenőriztetni tudjuk,
        ha tudjuk…
   Tehát nekünk mit kell tenni?
   A biztonság adott szintjét fenntartani
       De! előtte meghatározni, hogy mi az a
        szint, amit ésszerűen fenn tudunk
        tartani
       Ez legtöbbször pénz kérdése…
                      Hogyan vigyázzunk?
   Hogyan?
       OK, volt már szó IT biztonságról
   De!
   + Dokumentum biztonság
       azaz nem dobjuk a kukába a papírra felírt jelszót
       …CISA auditorok kedvence a kukafosztogatás
       de amíg a lázlapot mindenki láthatja a kórházban…
   + Fizikai biztonság!
       Kit engedünk be? Elöl hagyjuk-e az adatainkat? Fenyegetésre
        hogy reagálunk (pl. silent alarm!)?
   + Személyi biztonság
       Kivel állunk szóba? Telefonon? IWIW-en? Chat szobában? vagy a
        gangon?
Egészséges paranoia!


                       Legalább a
                       privát
                       szféránkat
                       védjük meg!
    Social Engineering!
+Psychological Operations 

								
To top