1 / 35

Mellékhatások: a social engineering-től a cyber háborúig

Mellékhatások: a social engineering-től a cyber háborúig. Sik Zoltán Nándor ( sikzoltan @ enoadvisory.com ) , ENO Advisory Kft. ( www.enoadvisory.com ). Miért pont az Internet veszélyes?. Mire találták ki az Internetet?

johnathan
Download Presentation

Mellékhatások: a social engineering-től a cyber háborúig

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Mellékhatások:a social engineering-től a cyber háborúig Sik Zoltán Nándor (sikzoltan@enoadvisory.com), ENO Advisory Kft. (www.enoadvisory.com)

  2. Miért pont az Internet veszélyes? • Mire találták ki az Internetet? • Eisenhower: DARPA - Fegyverkezési verseny, válasz a Szputnyikra, stb. • És mire nem? • IT biztonság pl. nincs a protokollokban • Ki gondolta volna akkor? • Akkoriban űrből érkező atomtámadástól féltek… Vinton G. Cerf, Robert Kahn és Bill Clinton

  3. Az új sebezhetőségi pont:A harmadik hullám • Ma azonban az internet mindenkié... • A mindenkiben tényleg mindenki benne van • …azok is, akik nem arra használják, amire azt kitalálták • Veszély leselkedik tehát mindenkire • …és azokra is, akik nem arra használják, amire kitalálták! • Veszély tehát: • Társadalomra • Gazdaságra • Kultúrára • Hasonlóan az ipari forradalomhoz, az információs társadalom is újabb veszélyeket rejt magában…

  4. Harcban állunk! • Folyamatosan harcban állunk! • védekezni kell! (és időnként támadni is (?)) •  A legtöbben azt hiszik, hogy: • Jaj a hackerek! • …meg a vírusok… • …és esetleg a phishing • és akkor gyorsan: • … tűzfal kell, • …meg vírusirtó, • …meg IPS/IDS • A tájékozottabbak szerint: „informatikai biztonság”, „kiberbiztonság” stb.

  5. Az IT biztonságon túl • De sajnos nem csak ez van • Másfajta biztonságra is szükség van: • Fizikai • Személyi • Információ (!) biztonság • benne • dokumentum biztonság és • informatikai biztonság • (valaha algoritmikus biztonságról beszéltek) • Tehát körkörös védelem kell! …Hogy miért, az mindjárt kiderül

  6. Hogy is állunk ezzel a harccal? • Hogy is állunk ezzel a harccal? • Információs hadviselés! (IW = Information Warfare, IO = Information Operations) • Mi is az? • Nehéz meghatározni, körülírni… • Túl bő, túl szűk definíciók • Első def: Thomas Rona (1972)

  7. Az információs hadviselésről • „Polgári” felfogás (IW): • 2007(IWS, Google, Wikipedia, stb.): „Az információs hadviselés a hadviselés egy új formája, amikor is az információ, illetve támadások az információ, illetve az információs rendszerek ellen a hadviselés eszközeivé válnak.” • 2008 (ugyanott): „Információs hadviselés (information warfare - IW): az információ, vagy az információtechnológia használata krízis, vagy konfliktus idején, adott ellenfelet vagy ellenfeleket érintő meghatározott célok elérésére vagy azok elősegítésére.” • 2009 (ugyanott): „Információs hadviselés: az információ használata és menedzselése egy ellenfél felett való versenyelőny megszerzése érdekében.

  8. Az információs hadviselésről • „Katonai” felfogás (IO): • MNIOE (Multinational Information Operations Experiment) definíció: „Az információs rendszereket – beleértve a rendszerek viselkedését és lehetőségeit – érintő, olyan katonai tevékenységekre való javaslattétel, illetve ezek koordinálása, amelyekkel a kívánt hatások elérhetők” • Cél az információs fölény megszerzése – és megtartása (információs dominancia) • Információs fölény definíció (DoD, JP 1-02, 1998): „Valamely fél saját erőinek vezetésében való relatív előnye az ellenfelekhez képest. Az információs fölény, vagy dominancia elérhető mind a saját vezetők kiképzésével úgy, hogy azok a rendelkezésükre bocsátott, fölényt biztosító technikai információk segítségével gyors és megfelelő döntéseket tudjanak hozni, illetve annak érdekében tett erőfeszítések az ellenfél ugyanilyen képességeinek rombolására és lehetetlenné tételére, egyidejűleg a saját képességek védelmével.”

  9. Az információs hadviselésről • Története: • Egyes részei már igen régiek • Sun Ce (Sun Tzu): A háború művészete (ha ismered ellenségedet és magadat, győzni fogsz…) • II. VH (Enigma, Ultra, stb.) • Hidegháború (SZER, VoA, BBC, stb.) • 1991-es Öbölháború („Sivatagi vihar”) • a „második hullám” utolsó, vagy a „harmadik hullám” első háborúja? (ld. Alvin Toeffler: A harmadik hullám) • CNN jelenség • ma innen számítjuk

  10. Az információs hadviselésről • Területei (egyik – régebbi – felfogás): • Martin C. Libicki(1995) – nem definiál, inkább megadja a részterületeket (ezek összefüggenek egymással): • Vezetési hadviselés (Kommunikáció vezérelt hadviselés) - Command and Control Warfare (C2W), (régebbi nevén Signals Warfare), • Hírszerzés alapú hadviselés (Érzékelés alapú hadviselés) - IntelligenceBased Warfare (IBW), • Elektronikus hadviselés - Electronic Warfare (EW), • Pszichológiai hadviselés (Lélektani hadviselés) - Psychological Warfare (PSYOP), • „Hacker” hadviselés - Hacker Warfare, • Gazdasági információs hadviselés - Economic Information Warfare (EIW) • Kibernetikai hadviselés – Cyberwarfare Martin C. Libicki

  11. Az információs hadviselésről • Az információs hadviselés fókuszterületei (Forrás: ZMNE)

  12. Az információs hadviselésről • Libicki kritikája - a definiált területek túlságosan átfedők • Információs műveletek definíció (JP 1-02, JP 3-13): Az ellenség információit és információs rendszereit érintő cselekmények, a saját információk és információs rendszerek védelme mellett. • JP 3-13 szerinti felosztás: • Fizikai megsemmisítés (Phisical Destruction – PD) • Katonai megtévesztés (Military Deception – MILDEC) • Műveleti biztonság (Operation(al) Security – OPSEC) • Pszichológiai műveletek (Psychological Operations – PSYOP(S)) • Elektronikai hadviselés (Electronic Warfare– EW) • Számítógép-hálózati hadviselés (Computer Network Operations – CNO) • + Civil-katonai együttműködés (Civil-Military Cooperation – CIMIC) • + Tömegtájékoztatás (Public Information – PI)

  13. Az információs hadviselésről • Az információs műveletek fajtái (Forrás: Haig Zsolt – Várhegyi István: Hadviselés az információs hadszíntéren)

  14. Hacker Warfare (1) • Winn Schwartau: a számítógépes hálózatok elleni támadásokat tekinthetjük úgy, mint maga az információs hadviselés • Hacker warfare: „Informatikai” hadviselés • A hálózatok biztonsági réseinek kihasználása • Nem tényleges, hagyományos értelemben vett harc • Céljai: lehallgatás, megszemélyesítés, beavatkozás Winn Schwartau

  15. Hacker Warfare (2) • Lehetséges célok: • Számítógépes rendszerek megbénítása • Megbízhatatlan működés előidézése, pl. adathibák generálásával • Adatlopás pl. pénzszerzési, vagy értékesítési céllal • Jogosulatlan használat, vagy ilyenhez adatgyűjtés, adathalászat • Megszemélyesítés, mind felhasználói oldalon, mind szolgáltatást tettetve • Információgyűjtés hírszerzéshez, pl. lehallgatással, rendszer működés megfigyelésével • Hamis adatok bevitele a rendszerbe • Fenyegetés, zsarolás, illetve ezekhez a fentiek igénybe vétele

  16. Hacker Warfare (3) • Lehetséges technikák pl.: • Vírusok • Férgek • Logikai bombák • Trójaiak • Snifferek • Socialengineering(pl. phising-hez) – magyarul szélhámosság – Lásd pl. Kevin Mitnick könyvét • Különbség a katonai és polgári célpontok elleni támadásnál (katonaiak a nyilvános hálózatokról leválasztva) • Támadás fajták: fizikai, szintaktikai, szemantikai • Hacker warfare - szintaktikai • Cyberwarfare– szamentikai (ld. ott)

  17. Hacker Warfare (4) • Kritikus (létfontosságú) infrastruktúrák kiemelt védelme (CriticalInfrastructureProtection – CIP, CriticalInformationsInfrastructureProtection - CIIP), pl.: • Közművek • ICT • Energetika, energiaellátás • Bank, pénzátutalás • Biztonsági rendszerek • Business ContinuityPlanning / DisasterRecoveryPlanning • Támadás szimulálás • Log file analízis • Szoftverhibák • Time to market miatt • Szándékos (trapdoor, back door)

  18. Cyberwarfare (1) • Def: • A kibernetikai hadviselés a kibertérben zajlik, és mint olyan eléggé megfoghatatlan, utópisztikus. Itt egyes területeken csak trendekről, kibontakozó irányokról beszélhetünk, más oldalon viszont van tényleges hadviselési gyakorlat is. • Területei: • Információs terrorizmus • Szemantikai támadások • Szimulált háborúk • Gibson hadviselés – 4GW (5GW) (ld. William Gibson: Neuromancer)

  19. Cyberwarfare (2) • Információs terrorizmus • Hacker hadviseléshez hasonló, de! • Jól szervezett csoportok • Célok: terrorizmus, szervezett bűnözés • Szemantikai támadások • Hamisadatok betáplálása • A végeredmény is hamis • Rossz döntések • Pl.: tömeghisztéria, bank/tőzsdepánik, látszatkeltés • Defenzíva: adathelyesség, pontosság, megbízhatóság ellenőrzés, integritás ellenőrzés • Teljességgel ez sem zárja ki! (adatokban való „vakon” megbízás, negligencia, luxúria, stb.)

  20. Cyberwarfare (3) • Szimulált háborúk • Még csak jövőbeni elképzelés (?) • Tréningezni lehet • Döntéstámogatás • Játékelmélet • Esélylatolgatás, kárszámítás, költségbecslés, kockázatelemzés • Gibson hadviselés -> 4th generationwarfare 4GW • 1GW – muskéta, tűzfegyverek • 2GW – koncentrált tűzerő, ballisztikus fegyverek • 3GW – beszivárgás, mélységi hadviselés, mobil hadviselés, „villámháború” • 4GW – aszimmetrikus hadviselés (stateless), nem hagyományos formák, Gibson hadviselés. • Szintjei: fizikai, mentális, morális

  21. Cyberwarfare (4) • Gibson hadviselés (folytatás): • Nem államok az államok ellen • Hagyományos katonai összecsapások eltűnnek • Hátország megszűnik (totális háború) • Cél: nem a csaták, hanem a közvélemény megnyerése (ld. Orwell: 1984) • Módszerei: • Gerilla hadviselés, terrorizmus (= aszimmetrikus hadviselés) • Szabotázsok • Cyberwarfare! • Nem hagyományos hadviselési formák

  22. IW esetek • 1999, Moonlight Maze – USA ellen irányult, Oroszországnak tulajdonítják • 2003, Titan Rain – USA ellen irányult, Kínának tulajdonítják • Érintettek: Lockhead-Martin, Sandia National Labs, Redstone Arsenal, NASA • Shawn Carpenter (haditengerészet veteránja) 2005-re „felgöngyölítette” • 2007, Észtország elleni, Oroszországnak tulajdonított DDoS akció • Elsősorban Hacker Warfare, EIW, Cyberwarfare területeket érint • Botnet bérlés, nem követhető vissza (KGB?, Nashi ifjúsági szervezet?) • 2008, Dél-oszétiai események Grúzia vs. Oroszország (...) • Grúz internet blokkolása, de: Szaakasvili elnök kérése Lech Kaczinsky felé • „bin Laden” effektus – azaz nem érint „nagyon” • egyértelműen PSYOP – ne létezzen a grúz narratíva az eseményekről • 2008, Gázai övezet Izrael vs. Palesztinok • Távközlési létesítmények lebombázása - PD • Röplapok szórása – PSYOP • 2009, USA - GRID-ben talált botnet • „Digitális Armageddon” lesz? - Cyberwar

  23. Az információs hadviselésről • Ez azért eléggé távolinak tűnik. Pedig nem az. • Egy felosztás: • IT rendszerek elleni támadások • Nem IT rendszerek elleni támadások – ebből van több • Vegyes… • Ma már viszonylag kevés olyan támadás van, amiben az Internet nem játszik szerepet

  24. Hogyan lehet itt védekezni? • Kritikus Infrastruktúra Védelem (Critical Infrastructure Protection = CIP, „magyarul” KIV)! Ezen belül: • Kritikus Információs Infrastruktúra Védelem (Critical Information Infrastructure Protection = CIIP, azaz KIIV) Ok, de mi is az? Forrás: Davos World Economic Forum Global Risks 2008 Report

  25. A kritikus infrastruktúra és védelme • Definíció (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrák alatt olyan, egymással összekapcsolódó, interaktív és egymástól kölcsönös függésben lévő infrastruktúra elemek, létesítmények, szolgáltatások, rendszerek és folyamatok hálózatát értjük, amelyek az ország (lakosság, gazdaság és kormányzat) működése szempontjából létfontosságúak és érdemi szerepük van egy társadalmilag elvárt minimális szintű jogbiztonság, közbiztonság, nemzetbiztonság, gazdasági működőképesség, közegészségügyi és környezeti állapot fenntartásában.”

  26. A kritikus infrastruktúra és védelme • Definíció folyt (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrának minősülnek azon hálózatok, erőforrások, szolgáltatások, termékek, fizikai vagy információtechnológiai rendszerek, berendezések, eszközök és azok alkotó részei, melyek működésének meghibásodása, megzavarása, kiesése vagy megsemmisítése, közvetlenül vagy közvetetten, átmenetileg vagy hosszútávon súlyos hatást gyakorolhat az állampolgárok gazdasági, szociális jólétére, a közegészségre, közbiztonságra, a nemzetbiztonságra, a nemzetgazdaság és a kormányzat működésére.”

  27. A kritikus infrastruktúra és védelme • Miért kell védeni? • Mert „kritikus” = létfontosságú • Infrastruktúra – nem is annyira, az infrastruktúra, mint szolgáltatások, funkciók, folyamatok • USA definíció: • „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat, illetve elosztó képességeket) tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében” (Critical Foundations Protecting America’s Infrastructures, The Report of the President’s Commission on Critical Infrastructures Protection; Washington, 1997 )

  28. A 2005. július 7-i londoni terrortámadás helyszínei

  29. Kritikus infrastruktúra védelem otthon? • OK, de ezt otthon? • Miért, otthon mi a kritikus „infrastruktúra”? • Egyáltalán van analógia? • „Otthoni kritikus infrastruktúra” • Család • Egészség • Tulajdon • ház, • autó, • pénz… • és az Adatok???

  30. Életünk adatokra épül! • Adatokra épül az életünk, ha nincsenek adataink, nem létezünk! (hacsak nem Bhutan-ban élünk…) • Miért is? • személyi adatok (ID, egészségügy, munkaügy, segélyek, stb.) • tulajdonok nyilvántartásai (ingatlan, ingóságok, pénz!) • részesedések nyilvántartásai (cég tagság, részvény, stb.) • kapcsolataink… • Azaz: ha nincsen adatunk, nem is vagyunk (vagy nem azok vagyunk, akik vagyunk…)

  31. Adatainkra kell vigyáznunk! • Tehát mire kell legjobban vigyázni? • (a szemünk fényén kívül…) • És mire van ráhatásunk? • Otthoni kritikus „infrastruktúrára” majdnem teljesen. • Majdnem minden a felügyeletünk alatt tartható • Na meg a biztosító fizet… • Kivéve az adataink. • Azt nem mi kezeljük. • Hanem az állam, bank, szolgáltatók…

  32. Amit tudunk, nekünk kell megtenni! • Adataink legalább nálunk ne szivárogjanak! • a többivel foglalkozzanak, akik kezelik, mi csak ellenőrizni/ellenőriztetni tudjuk, ha tudjuk… • Tehát nekünk mit kell tenni? • A biztonság adott szintjét fenntartani • De! előtte meghatározni, hogy mi az a szint, amit ésszerűen fenn tudunk tartani • Ez legtöbbször pénz kérdése…

  33. Hogyan vigyázzunk? • Hogyan? • OK, volt már szó IT biztonságról • De! • + Dokumentum biztonság • azaz nem dobjuk a kukába a papírra felírt jelszót • …CISA auditorok kedvence a kukafosztogatás • de amíg a lázlapot mindenki láthatja a kórházban… • + Fizikai biztonság! • Kit engedünk be? Elöl hagyjuk-e az adatainkat? Fenyegetésre hogy reagálunk (pl. silent alarm!)? • + Személyi biztonság • Kivel állunk szóba? Telefonon? IWIW-en? Chat szobában? vagy a gangon?

  34. Egészséges paranoia! Legalább a privát szféránkat védjük meg!

  35. Social Engineering!+Psychological Operations 

More Related