Adatbiztonság, Adatvédelem
Dr. Leitold, Ferenc
Adatbiztonság, Adatvédelem
Dr. Leitold, Ferenc
Publication date 2013
Szerzői jog © 2013 Dr. Leitold Ferenc Szerzői jog © 2013 Dunaújvárosi Főiskola
Kivonat
Ez egy moodle kurzus amely az adatbiztonság, adatvédelem videóvezérelt tananyagot tartalmazza.
Minden jog fenntartva.
Tartalom
1. Bevezetés ... 1
2. 2. Kriptográfiai algoritmusok ... 2
1. 2. Kriptográfiai algoritmusok ... 2
2. 2.1 Egyszerű algoritmusok (1) ... 2
3. 2.1 Egyszerű algoritmusok (2) ... 2
4. 2.1 Egyszerű algoritmusok (3) ... 2
5. 2.2 Redundancia és frissesség ... 3
6. 2.3 Szimmetrikus algoritmusok (1) ... 3
7. 2.3 Szimmetrikus algoritmusok (2) ... 3
8. 2.3 Szimmetrikus algoritmusok (3) ... 3
9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) ... 3
10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) ... 4
11. 2.5 Hash algoritmsok ... 4
12. 2.6 Digitális aláírás ... 4
13. 2.7 PGP ... 4
14. 2.8 Elektronikus aláírás törvény Magyarországon ... 4
15. 2.9 A digitális aláírás használatának biztonsági problémái (1) ... 5
16. 2.9 A digitális aláírás használatának biztonsági problémái (2) ... 5
17. 2.9 A digitális aláírás használatának biztonsági problémái (3) ... 5
3. 3. Operációs rendszerek biztonsága ... 6
1. 3.1 Hitelesítés ... 6
2. 3.2 Hozzáférés-védelem ... 6
3. 3.3 Windows alapú operációs rendszerek biztonsága ... 6
4. 3.4 UNIX alapú operációs rendszerek biztonsága ... 6
5. 3.5 Biztonságot fokozó technikák ... 7
4. 4. Alkalmazások biztonsága ... 8
1. Alkalmazások biztonsága ... 8
2. 4.1 Puffertúlcsordulás ... 8
3. 4.2 SQL injekció ... 8
4. 4.3 Mellékcsatorna támadások (1) ... 9
5. 4.3 Mellékcsatorna támadások (2) ... 9
6. 4.3 Mellékcsatorna támadások (3) ... 9
7. 4.3 Mellékcsatorna támadások (4) ... 9
5. 5. Hálózatok biztonsága ... 10
1. Hálózatok biztonsága ... 10
2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása ... 10
3. 5.2 Kommunikációs protokollok támadása ... 10
4. 5.3 Védekezési lehetőségek ... 11
6. 6. Kártevők ... 12
1. 6.1 Kártevők története, fejlődése (1) ... 12
2. 6.1 Kártevők története, fejlődése (2) ... 12
3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1) ... 12
4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2) ... 12
5. 6.3 Boot, file, makró vírusok(1) ... 13
6. 6.3 Boot, file, makró vírusok(2) ... 13
7. 6.3 Boot, file, makró vírusok(3) ... 13
8. 6.4 Vírusok tulajdonságai ... 13
9. 6.4 Vírusok tulajdonságai(2) ... 13
10. 6.5 Interneten terjedő kártevők ... 14
11. Interneten terjedő kártevők (2) ... 14
12. Interneten terjedő kártevők (3) ... 14
13. 6.6 Védekezési lehetőségek ... 14
7. 7. Informatikai biztonság kialakítása ... 15
1. 7.1 Informatikai biztonság tervezése, tesztelése ... 15
2. 7.2 Technikai kialakítás ... 15
3. 7.3 Az emberi tényező kezelése ... 15
Adatbiztonság, Adatvédelem
8. Összefoglalás ... 16 Tárgymutató ... 17
1. fejezet - Bevezetés
Az informatikai eszközök használata mára teljesen hétköznapivá vált. Ahhoz, hogy ezen eszközök használatában megbízhassunk az informatikai biztonság kérdéseire is oda kell figyelnünk, legyünk akár a területen jártas szakértők, vagy akár laikus felhasználók. Az informatikai eszközök és az általuk kezelt adatok vonatkozásában az informatikai biztonság szempontjából a bizalmasság, a sértetlenség és a rendelkezésre állás merül fel: - Bizalmasság (Confidentiality): Az informatikai eszközön kezelt adat szempontjából lényeges, arra vonatkozik, hogy az adatot csak és kizárólag az arra jogosultak és csakis a jogosultságuknak megfelelő mértékben ismerhetik meg, illetve rendelkezhetnek a felhasználásáról. - Sértetlenség (Integrity): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az adat tartalma és a hozzá tartozó tulajdonságok az elvárttal megegyeznek, beleértve, hogy az adat az elvárt forrásból származik (hitelesség) és igazolható az adat eredete (letagadhatatlanság). Informatikai eszköz esetén a sértetlenség arra vonatkozik, hogy az eszköz az elvártnak megfelelően működik. - Rendelkezésre állás (Availability): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az informatikai eszköz és a rajta tárolt adat a megfelelő jogosultsággal rendelkezőknek, az elvártnak megfelelő időben és időtartamra használható. A bizalmasság, a sértetlenség és a rendelkezésre állás hármast az angol kezdőbetűk nyomán CIA-elvnek nevezik. Manapság az informatikai rendszerekkel szembeni fenyegetések többsége az internetről érkezik. Ebben a dokumentumban a teljesség igénye nélkül a legáltalánosabb fenyegetési formákat tekintjük át és a lehetséges védekezési módokat összegezzük. A kommunikáció többszörösen jelenik meg az informatikai biztonság esetén. Egyrészt manapság a védendő adat általában része valamilyen kommunikációnak, a fenyegetések többsége is kommunikáción alapul, és a hatékony védekezési megoldások jelentős része is a kommunikációt használja.
Minőségi koncepciók, alapfogalmak.
Figyelem
Nem sikerült betölteni a videót.
Minőségi koncepciók, alapfogalmak Letölthető jegyzet a fejezethez
2. fejezet - 2. Kriptográfiai algoritmusok
1. 2. Kriptográfiai algoritmusok
Kriptográfiai algoritmusok
Figyelem
Nem sikerült betölteni a videót.
Kriptográfiai algoritmusok Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
2. 2.1 Egyszerű algoritmusok (1)
Egyszerű algoritmusok (1)
Figyelem
Nem sikerült betölteni a videót.
Egyszerű algoritmusok (1) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
3. 2.1 Egyszerű algoritmusok (2)
Egyszerű algoritmusok (2)
Figyelem
Nem sikerült betölteni a videót.
Egyszerű algoritmusok (2) Letölthető jegyzet a fejezethez
4. 2.1 Egyszerű algoritmusok (3)
Egyszerű algoritmusok (3)
Figyelem
Nem sikerült betölteni a videót.
Egyszerű algoritmusok (2) Letölthető jegyzet a fejezethez
2. Kriptográfiai algoritmusok
5. 2.2 Redundancia és frissesség
Letölthető jegyzet a fejezethez
6. 2.3 Szimmetrikus algoritmusok (1)
Szimmetrikus algoritmusok (1)
Figyelem
Nem sikerült betölteni a videót.
Szimmetrikus algoritmusok (1)
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
7. 2.3 Szimmetrikus algoritmusok (2)
Szimmetrikus algoritmusok (2)
Figyelem
Nem sikerült betölteni a videót.
Szimmetrikus algoritmusok (2) Letölthető jegyzet a fejezethez
8. 2.3 Szimmetrikus algoritmusok (3)
Szimmetrikus algoritmusok (3)
Figyelem
Nem sikerült betölteni a videót.
Szimmetrikus algoritmusok (3) Letölthető jegyzet a fejezethez
9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1)
Asszimmetrikus (nyilvános kulcsú) algoritmusok (1)
Figyelem
Nem sikerült betölteni a videót.
Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) Letölthető jegyzet a fejezethez
2. Kriptográfiai algoritmusok
10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2)
Asszimmetrikus (nyilvános kulcsú) algoritmusok (2)
Figyelem
Nem sikerült betölteni a videót.
Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) Letölthető jegyzet a fejezethez
11. 2.5 Hash algoritmsok
Letölthető jegyzet a fejezethez
12. 2.6 Digitális aláírás
Digitális aláírás
Figyelem
Nem sikerült betölteni a videót.
Digitális aláírás
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
13. 2.7 PGP
PGP
Figyelem
Nem sikerült betölteni a videót.
PGP
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
14. 2.8 Elektronikus aláírás törvény Magyarországon
Elektronikus aláírás törvény Magyarországon
Figyelem
Nem sikerült betölteni a videót.
Elektronikus aláírás törvény Magyarországon Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
2. Kriptográfiai algoritmusok
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
15. 2.9 A digitális aláírás használatának biztonsági problémái (1)
A digitális aláírás használatának biztonsági problémái (1)
Figyelem
Nem sikerült betölteni a videót.
A digitális aláírás használatának biztonsági problémái (1) Letölthető jegyzet a fejezethez
16. 2.9 A digitális aláírás használatának biztonsági problémái (2)
A digitális aláírás használatának biztonsági problémái (2)
Figyelem
Nem sikerült betölteni a videót.
A digitális aláírás használatának biztonsági problémái (2) Letölthető jegyzet a fejezethez
17. 2.9 A digitális aláírás használatának biztonsági problémái (3)
A digitális aláírás használatának biztonsági problémái (3)
Figyelem
Nem sikerült betölteni a videót.
A digitális aláírás használatának biztonsági problémái (3) Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
3. fejezet - 3. Operációs rendszerek biztonsága
Az operációs rendszer alapvető feladata, hogy képes legyen adatokat tárolni valamilyen fájlrendszerben, illetve az operációs rendszer felel a felhasználóval történő kapcsolattartásért is.
Az operációs rendszer biztonsági feladatai közé is elsősorban ezen területek biztonsági feladatai tartoznak:
egyrészt a számítógéphez kapcsolódni szándékozó felhasználót azonosítani, hitelesíteni kell, másrészt a tárolt adatokat is célszerű titkosítani.
1. 3.1 Hitelesítés
Hitelesítés
Figyelem
Nem sikerült betölteni a videót.
Hitelesítés
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
2. 3.2 Hozzáférés-védelem
Letölthető jegyzet a fejezethez
3. 3.3 Windows alapú operációs rendszerek biztonsága
Windows alapú operációs rendszerek biztonsága
Figyelem
Nem sikerült betölteni a videót.
Windows alapú operációs rendszerek biztonsága Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
4. 3.4 UNIX alapú operációs rendszerek biztonsága
UNIX alapú operációs rendszerek biztonsága
Figyelem
Nem sikerült betölteni a videót.
UNIX alapú operációs rendszerek biztonsága Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
3. Operációs rendszerek biztonsága
5. 3.5 Biztonságot fokozó technikák
Biztonságot fokozó technikák
Figyelem
Nem sikerült betölteni a videót.
Biztonságot fokozó technikák Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
4. fejezet - 4. Alkalmazások biztonsága
Az operációs rendszereknek többek között az egyik legfontosabb feladata, hogy a felhasználói igényeknek megfelelően különböző programokat, alkalmazásokat futtasson. A számítógépek operációs rendszerei által kezelt alkalmazások azonban egy távoli, külső felhasználó (támadó) számára olyan lehetőségeket kínálhatnak, melyek segítségével sikeres támadást hajthatnak végre a számítógépünk ellen. Ezek a módszerek általában a programok, alkalmazások alábbi két fő problémáján alapulnak:
A programok, alkalmazások programozási hibája révén a támadó a saját programkódját futtathatja (például puffertúlcsordulás, SQL-injekció).
A programok, alkalmazások működésük során olyan információt szolgáltatnak, melyek segítségével következtethetünk azok belső működésére (például mellékcsatorna – “side channel” – támadások).
Az alkalmazások biztonsága érdekében a megfelelő védelmi intézkedéseket az alkalmazások készítőinek kell megtenni. Az ő felelősségük, hogy programozási hibák révén ne legyen lehetőség – ezek kihasználásával – támadást végrehajtani. Ez ugyanis nemcsak az adott alkalmazáson belüli probléma, hanem a teljes számítógép biztonságát érinti.
1. Alkalmazások biztonsága
Alkalmazások biztonsága
Figyelem
Nem sikerült betölteni a videót.
Alkalmazások biztonsága Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
2. 4.1 Puffertúlcsordulás
Puffertúlcsordulás
Figyelem
Nem sikerült betölteni a videót.
Puffertúlcsordulás
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
3. 4.2 SQL injekció
SQL injekció
Figyelem
Nem sikerült betölteni a videót.
SQL injekció
4. Alkalmazások biztonsága
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
4. 4.3 Mellékcsatorna támadások (1)
Mellékcsatorna támadások (1)
Figyelem
Nem sikerült betölteni a videót.
Mellékcsatorna támadások (1) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
5. 4.3 Mellékcsatorna támadások (2)
Mellékcsatorna támadások (2)
Figyelem
Nem sikerült betölteni a videót.
Mellékcsatorna támadások (2) Letölthető jegyzet a fejezethez
6. 4.3 Mellékcsatorna támadások (3)
Mellékcsatorna támadások (3)
Figyelem
Nem sikerült betölteni a videót.
Mellékcsatorna támadások (3) Letölthető jegyzet a fejezethez
7. 4.3 Mellékcsatorna támadások (4)
Mellékcsatorna támadások (4)
Figyelem
Nem sikerült betölteni a videót.
Mellékcsatorna támadások (4) Letölthető jegyzet a fejezethez
5. fejezet - 5. Hálózatok biztonsága
Az internet elterjedésével az informatikai rendszerek biztonságának egy sarkalatos kérdésévé vált azok biztonsága az internetről érkező támadásokkal szemben. A hálózatbiztonság témakörébe tartozik minden olyan biztonsági kérdés, amin nem javíthatunk csupán titkosítással. Az internetről érkező veszélyeket alapvetően két csoportba sorolhatjuk. Egyrészt az interneten elérhető és onnan érkező kártevők köre (ezzel foglalkozik a 6.
fejezet), illetve a célzott támadásokkal kapcsolatos biztonsági kérdések. A célzott támadások esetén a támadó kifejezetten a megtámadott informatikai infrastruktúrába szeretne behatolni, hogy ott a felhasználók tudta nélkül tevékenykedjen.
A CERT (Computer Emergency Readiness Team) szerint az incidens az a cselekedet, amelynek során megsértenek egy explicit vagy implicit biztonsági házirendet, például:
Sikeres vagy sikertelen kísérlet arra, hogy jogosulatlanul hozzáférést szerezzenek egy rendszerhez vagy annak adataihoz.
Egy szolgáltatás nem kívánt megszakítása vagy megtagadása.
Egy rendszer jogosulatlan használata adatok kezelése vagy tárolása céljából.
A rendszer hardverének, firmware-ének vagy szoftverjellemzőinek a megváltoztatása a tulajdonos tudomása, utasítása vagy jóváhagyása nélkül.
1. Hálózatok biztonsága
Hálózatok biztonsága
Figyelem
Nem sikerült betölteni a videót.
Hálózatok biztonsága
Letölthető jegyzet a fejezethez
2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása
Operációs rendszer megismerése, biztonsági rések kihasználása
Figyelem
Nem sikerült betölteni a videót.
Operációs rendszer megismerése, biztonsági rések kihasználása Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
3. 5.2 Kommunikációs protokollok támadása
Kommunikációs protokollok támadása
Figyelem
Nem sikerült betölteni a videót.
Kommunikációs protokollok támadása
5. Hálózatok biztonsága
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
4. 5.3 Védekezési lehetőségek
Védekezési lehetőségek
Figyelem
Nem sikerült betölteni a videót.
Védekezési lehetőségek Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
6. fejezet - 6. Kártevők
Manapság az informatikai rendszereket veszélyeztető egyik legnagyobb veszélyforrás a programozott kártevők köre, melyek legnagyobb csoportját az olyan kártékony programok alkotják, melyek képesek önmaguktól terjedni, támadást végrehajtani, számítógépekhez távoli hozzáférést biztosítani vagy akár az áldozat számítógépen tárolt dokumentumait eltulajdonítani.
1. 6.1 Kártevők története, fejlődése (1)
Kártevők története, fejlődése(1)
Figyelem
Nem sikerült betölteni a videót.
Kártevők története, fejlődése(1)
2. 6.1 Kártevők története, fejlődése (2)
Kártevők története, fejlődése (2)
Figyelem
Nem sikerült betölteni a videót.
Kártevők története, fejlődése (2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1)
Önreprodukáló kártevők (vírusok, férgek)(1)
Figyelem
Nem sikerült betölteni a videót.
Önreprodukáló kártevők (vírusok, férgek)(1) Letölthető jegyzet a fejezethez
4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2)
Önreprodukáló kártevők (vírusok, férgek)(2)
Figyelem
Nem sikerült betölteni a videót.
Önreprodukáló kártevők (vírusok, férgek)(2) Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
6. Kártevők
5. 6.3 Boot, file, makró vírusok(1)
Boot, file, makró vírusok(1)
Figyelem
Nem sikerült betölteni a videót.
Boot, file, makró vírusok(1) Letölthető jegyzet a fejezethez
6. 6.3 Boot, file, makró vírusok(2)
Boot, file, makró vírusok(2)
Figyelem
Nem sikerült betölteni a videót.
Boot, file, makró vírusok(2) Letölthető jegyzet a fejezethez
7. 6.3 Boot, file, makró vírusok(3)
Boot, file, makró vírusok(3)
Figyelem
Nem sikerült betölteni a videót.
Boot, file, makró vírusok(3) Letölthető jegyzet a fejezethez
8. 6.4 Vírusok tulajdonságai
Vírusok tulajdonságai
Figyelem
Nem sikerült betölteni a videót.
Vírusok tulajdonságai
Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
9. 6.4 Vírusok tulajdonságai(2)
Vírusok tulajdonságai(2)
Figyelem
6. Kártevők
Nem sikerült betölteni a videót.
Vírusok tulajdonságai(2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
10. 6.5 Interneten terjedő kártevők
Interneten terjedő kártevők
Figyelem
Nem sikerült betölteni a videót.
Interneten terjedő kártevők
11. Interneten terjedő kártevők (2)
Interneten terjedő kártevők(2)
Figyelem
Nem sikerült betölteni a videót.
Interneten terjedő kártevők(2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
12. Interneten terjedő kártevők (3)
Interneten terjedő kártevők(3)
Figyelem
Nem sikerült betölteni a videót.
Interneten terjedő kártevők(3) Letölthető jegyzet a fejezethez
13. 6.6 Védekezési lehetőségek
Védekezési lehetőségek
Figyelem
Nem sikerült betölteni a videót.
Védekezési lehetőségek Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
7. fejezet - 7. Informatikai biztonság kialakítása
Egy informatikai infrastruktúrát rengeteg veszélyforrás fenyegeti. A veszélyforrásokhoz léteznek jól működő védelmi megoldások, azonban ezek hatékonysága attól függ, hogy a gyakorlatban mennyit tudunk belőlük hasznosítani. Nagyon sok múlik tehát az informatikai biztonság megtervezésén, kialakításán, a védelmi eszközök megfelelő használatán. És nem feledkezhetünk meg a minden biztonsági veszélyforrás esetén jelenlevő kockázatról, az emberi tényezőről sem. A felhasználók biztonságtudatosságát pedig a célzott, informatikai biztonságra vonatkozó oktatással, továbbképzéssel fokozhatjuk.
1. 7.1 Informatikai biztonság tervezése, tesztelése
Informatikai biztonság tervezése, tesztelése
Figyelem
Nem sikerült betölteni a videót.
Informatikai biztonság tervezése, tesztelése Letölthető jegyzet a fejezethez
Letölthető jegyzet a fejezethez
2. 7.2 Technikai kialakítás
Letölthető jegyzet a fejezethez
3. 7.3 Az emberi tényező kezelése
Az emberi tényező kezelése
Figyelem
Nem sikerült betölteni a videót.
Az emberi tényező kezelése Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez
8. fejezet - Összefoglalás
A történelem során az információ, az adat megszerzése mindig is nagyon fontos volt. Manapság a modern eszközök birtokában, amikor az informatikai eszközökön tárolt adatok mennyisége folyamatosan nő, kiemelten fontos az informatikai biztonság megfelelő kezelése. Az adatokat legtöbbször valamilyen kommunikációs csatornán továbbítjuk. Az adatok védelméről egyrészt a kommunikációs csatornában kell gondoskodnunk, erre szolgálnak a kriptográfia eszközei. Ugyanakkor nem szabad elfeledkeznünk a végpontok védelméről sem, hiszen ha egy támadó valamely végpontot az ellenőrzése alá tud vonni, akkor az adatainkat, illetve az informatikai eszközeinket is veszélyezteti.
Az informatikai eszközök támadására egy támadónak rengeteg módszere kínálkozik, ugyanakkor 100%- os védelmet nem lehet biztosítani. Elérhető azonban az informatikai rendszernek egy olyan, biztonságosnak nevezett állapota, amelyben zárt, teljes körű, folytonos és a potenciális fenyegetések kockázatával arányos védelem valósítható meg. Ez nyilván az érintett felhasználó(k) számára is kielégítő lehet. Zártnak nevezzük a védelmet, ha az összes potenciális fenyegetést figyelembe veszi, teljes körű, ha a rendszer minden részére kiterjedő, folytonos, ha időben megszakítás nélkül működik és a kockázattal arányos, ha a védelem költségei elfogadható arányban állnak a potenciális fenyegetések esetleges kárértékével.
Összefoglalás
Figyelem
Nem sikerült betölteni a videót.
Összefoglalás