Dr. Leitold, Ferenc Adatbiztonság, Adatvédelem

(1)

Adatbiztonság, Adatvédelem

Dr. Leitold, Ferenc

(2)

Adatbiztonság, Adatvédelem

Dr. Leitold, Ferenc

Publication date 2013

Kivonat

Ez egy moodle kurzus amely az adatbiztonság, adatvédelem videóvezérelt tananyagot tartalmazza.

Minden jog fenntartva.

(3)

Tartalom

1. Bevezetés ... 1

2. 2. Kriptográfiai algoritmusok ... 2

1. 2. Kriptográfiai algoritmusok ... 2

2. 2.1 Egyszerű algoritmusok (1) ... 2

5. 2.2 Redundancia és frissesség ... 3

6. 2.3 Szimmetrikus algoritmusok (1) ... 3

9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) ... 3

10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) ... 4

11. 2.5 Hash algoritmsok ... 4

12. 2.6 Digitális aláírás ... 4

13. 2.7 PGP ... 4

14. 2.8 Elektronikus aláírás törvény Magyarországon ... 4

15. 2.9 A digitális aláírás használatának biztonsági problémái (1) ... 5

3. 3. Operációs rendszerek biztonsága ... 6

1. 3.1 Hitelesítés ... 6

2. 3.2 Hozzáférés-védelem ... 6

3. 3.3 Windows alapú operációs rendszerek biztonsága ... 6

4. 3.4 UNIX alapú operációs rendszerek biztonsága ... 6

5. 3.5 Biztonságot fokozó technikák ... 7

4. 4. Alkalmazások biztonsága ... 8

1. Alkalmazások biztonsága ... 8

2. 4.1 Puffertúlcsordulás ... 8

3. 4.2 SQL injekció ... 8

4. 4.3 Mellékcsatorna támadások (1) ... 9

5. 5. Hálózatok biztonsága ... 10

1. Hálózatok biztonsága ... 10

2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása ... 10

3. 5.2 Kommunikációs protokollok támadása ... 10

4. 5.3 Védekezési lehetőségek ... 11

6. 6. Kártevők ... 12

1. 6.1 Kártevők története, fejlődése (1) ... 12

2. 6.1 Kártevők története, fejlődése (2) ... 12

3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1) ... 12

4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2) ... 12

5. 6.3 Boot, file, makró vírusok(1) ... 13

8. 6.4 Vírusok tulajdonságai ... 13

9. 6.4 Vírusok tulajdonságai(2) ... 13

10. 6.5 Interneten terjedő kártevők ... 14

11. Interneten terjedő kártevők (2) ... 14

12. Interneten terjedő kártevők (3) ... 14

13. 6.6 Védekezési lehetőségek ... 14

7. 7. Informatikai biztonság kialakítása ... 15

1. 7.1 Informatikai biztonság tervezése, tesztelése ... 15

2. 7.2 Technikai kialakítás ... 15

3. 7.3 Az emberi tényező kezelése ... 15

(4)

Adatbiztonság, Adatvédelem

8. Összefoglalás ... 16 Tárgymutató ... 17

(5)

1. fejezet - Bevezetés

Az informatikai eszközök használata mára teljesen hétköznapivá vált. Ahhoz, hogy ezen eszközök használatában megbízhassunk az informatikai biztonság kérdéseire is oda kell figyelnünk, legyünk akár a területen jártas szakértők, vagy akár laikus felhasználók. Az informatikai eszközök és az általuk kezelt adatok vonatkozásában az informatikai biztonság szempontjából a bizalmasság, a sértetlenség és a rendelkezésre állás merül fel: - Bizalmasság (Confidentiality): Az informatikai eszközön kezelt adat szempontjából lényeges, arra vonatkozik, hogy az adatot csak és kizárólag az arra jogosultak és csakis a jogosultságuknak megfelelő mértékben ismerhetik meg, illetve rendelkezhetnek a felhasználásáról. - Sértetlenség (Integrity): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az adat tartalma és a hozzá tartozó tulajdonságok az elvárttal megegyeznek, beleértve, hogy az adat az elvárt forrásból származik (hitelesség) és igazolható az adat eredete (letagadhatatlanság). Informatikai eszköz esetén a sértetlenség arra vonatkozik, hogy az eszköz az elvártnak megfelelően működik. - Rendelkezésre állás (Availability): Az informatikai eszköz és az általa kezelt adat szempontjából is lényeges. Arra vonatkozik, hogy az informatikai eszköz és a rajta tárolt adat a megfelelő jogosultsággal rendelkezőknek, az elvártnak megfelelő időben és időtartamra használható. A bizalmasság, a sértetlenség és a rendelkezésre állás hármast az angol kezdőbetűk nyomán CIA-elvnek nevezik. Manapság az informatikai rendszerekkel szembeni fenyegetések többsége az internetről érkezik. Ebben a dokumentumban a teljesség igénye nélkül a legáltalánosabb fenyegetési formákat tekintjük át és a lehetséges védekezési módokat összegezzük. A kommunikáció többszörösen jelenik meg az informatikai biztonság esetén. Egyrészt manapság a védendő adat általában része valamilyen kommunikációnak, a fenyegetések többsége is kommunikáción alapul, és a hatékony védekezési megoldások jelentős része is a kommunikációt használja.

Minőségi koncepciók, alapfogalmak.

Figyelem

Nem sikerült betölteni a videót.

Minőségi koncepciók, alapfogalmak Letölthető jegyzet a fejezethez

(6)

2. fejezet - 2. Kriptográfiai algoritmusok

1. 2. Kriptográfiai algoritmusok

Kriptográfiai algoritmusok

Figyelem

Kriptográfiai algoritmusok Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

2. 2.1 Egyszerű algoritmusok (1)

Egyszerű algoritmusok (1)

Figyelem

Egyszerű algoritmusok (1) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

3. 2.1 Egyszerű algoritmusok (2)

Figyelem

Egyszerű algoritmusok (2) Letölthető jegyzet a fejezethez

4. 2.1 Egyszerű algoritmusok (3)

Figyelem

Egyszerű algoritmusok (2) Letölthető jegyzet a fejezethez

(7)

2. Kriptográfiai algoritmusok

5. 2.2 Redundancia és frissesség

Letölthető jegyzet a fejezethez

6. 2.3 Szimmetrikus algoritmusok (1)

Szimmetrikus algoritmusok (1)

Figyelem

Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

7. 2.3 Szimmetrikus algoritmusok (2)

Figyelem

Szimmetrikus algoritmusok (2) Letölthető jegyzet a fejezethez

8. 2.3 Szimmetrikus algoritmusok (3)

Figyelem

Szimmetrikus algoritmusok (3) Letölthető jegyzet a fejezethez

9. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (1)

Asszimmetrikus (nyilvános kulcsú) algoritmusok (1)

Figyelem

Asszimmetrikus (nyilvános kulcsú) algoritmusok (1) Letölthető jegyzet a fejezethez

(8)

10. 2.4 Asszimmetrikus (nyilvános kulcsú) algoritmusok (2)

Asszimmetrikus (nyilvános kulcsú) algoritmusok (2)

Figyelem

Asszimmetrikus (nyilvános kulcsú) algoritmusok (2) Letölthető jegyzet a fejezethez

11. 2.5 Hash algoritmsok

12. 2.6 Digitális aláírás

Digitális aláírás

Figyelem

Digitális aláírás

13. 2.7 PGP

PGP

Figyelem

PGP

14. 2.8 Elektronikus aláírás törvény Magyarországon

Elektronikus aláírás törvény Magyarországon

Figyelem

Elektronikus aláírás törvény Magyarországon Letölthető jegyzet a fejezethez

(9)

Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

15. 2.9 A digitális aláírás használatának biztonsági problémái (1)

A digitális aláírás használatának biztonsági problémái (1)

Figyelem

A digitális aláírás használatának biztonsági problémái (1) Letölthető jegyzet a fejezethez

16. 2.9 A digitális aláírás használatának biztonsági problémái (2)

Figyelem

17. 2.9 A digitális aláírás használatának biztonsági problémái (3)

Figyelem

(10)

3. fejezet - 3. Operációs rendszerek biztonsága

Az operációs rendszer alapvető feladata, hogy képes legyen adatokat tárolni valamilyen fájlrendszerben, illetve az operációs rendszer felel a felhasználóval történő kapcsolattartásért is.

Az operációs rendszer biztonsági feladatai közé is elsősorban ezen területek biztonsági feladatai tartoznak:

egyrészt a számítógéphez kapcsolódni szándékozó felhasználót azonosítani, hitelesíteni kell, másrészt a tárolt adatokat is célszerű titkosítani.

1. 3.1 Hitelesítés

Hitelesítés

Figyelem

Hitelesítés

2. 3.2 Hozzáférés-védelem

3. 3.3 Windows alapú operációs rendszerek biztonsága

Windows alapú operációs rendszerek biztonsága

Figyelem

Windows alapú operációs rendszerek biztonsága Letölthető jegyzet a fejezethez

4. 3.4 UNIX alapú operációs rendszerek biztonsága

UNIX alapú operációs rendszerek biztonsága

Figyelem

UNIX alapú operációs rendszerek biztonsága Letölthető jegyzet a fejezethez

(11)

3. Operációs rendszerek biztonsága

5. 3.5 Biztonságot fokozó technikák

Biztonságot fokozó technikák

Figyelem

Biztonságot fokozó technikák Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

(12)

4. fejezet - 4. Alkalmazások biztonsága

Az operációs rendszereknek többek között az egyik legfontosabb feladata, hogy a felhasználói igényeknek megfelelően különböző programokat, alkalmazásokat futtasson. A számítógépek operációs rendszerei által kezelt alkalmazások azonban egy távoli, külső felhasználó (támadó) számára olyan lehetőségeket kínálhatnak, melyek segítségével sikeres támadást hajthatnak végre a számítógépünk ellen. Ezek a módszerek általában a programok, alkalmazások alábbi két fő problémáján alapulnak:

A programok, alkalmazások programozási hibája révén a támadó a saját programkódját futtathatja (például puffertúlcsordulás, SQL-injekció).

A programok, alkalmazások működésük során olyan információt szolgáltatnak, melyek segítségével következtethetünk azok belső működésére (például mellékcsatorna – “side channel” – támadások).

Az alkalmazások biztonsága érdekében a megfelelő védelmi intézkedéseket az alkalmazások készítőinek kell megtenni. Az ő felelősségük, hogy programozási hibák révén ne legyen lehetőség – ezek kihasználásával – támadást végrehajtani. Ez ugyanis nemcsak az adott alkalmazáson belüli probléma, hanem a teljes számítógép biztonságát érinti.

1. Alkalmazások biztonsága

Alkalmazások biztonsága

Figyelem

Alkalmazások biztonsága Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

2. 4.1 Puffertúlcsordulás

Puffertúlcsordulás

Figyelem

Puffertúlcsordulás

3. 4.2 SQL injekció

SQL injekció

Figyelem

SQL injekció

(13)

4. Alkalmazások biztonsága

4. 4.3 Mellékcsatorna támadások (1)

Mellékcsatorna támadások (1)

Figyelem

Mellékcsatorna támadások (1) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

5. 4.3 Mellékcsatorna támadások (2)

Figyelem

Mellékcsatorna támadások (2) Letölthető jegyzet a fejezethez

6. 4.3 Mellékcsatorna támadások (3)

Figyelem

7. 4.3 Mellékcsatorna támadások (4)

Figyelem

(14)

5. fejezet - 5. Hálózatok biztonsága

Az internet elterjedésével az informatikai rendszerek biztonságának egy sarkalatos kérdésévé vált azok biztonsága az internetről érkező támadásokkal szemben. A hálózatbiztonság témakörébe tartozik minden olyan biztonsági kérdés, amin nem javíthatunk csupán titkosítással. Az internetről érkező veszélyeket alapvetően két csoportba sorolhatjuk. Egyrészt az interneten elérhető és onnan érkező kártevők köre (ezzel foglalkozik a 6.

fejezet), illetve a célzott támadásokkal kapcsolatos biztonsági kérdések. A célzott támadások esetén a támadó kifejezetten a megtámadott informatikai infrastruktúrába szeretne behatolni, hogy ott a felhasználók tudta nélkül tevékenykedjen.

A CERT (Computer Emergency Readiness Team) szerint az incidens az a cselekedet, amelynek során megsértenek egy explicit vagy implicit biztonsági házirendet, például:

Sikeres vagy sikertelen kísérlet arra, hogy jogosulatlanul hozzáférést szerezzenek egy rendszerhez vagy annak adataihoz.

Egy szolgáltatás nem kívánt megszakítása vagy megtagadása.

Egy rendszer jogosulatlan használata adatok kezelése vagy tárolása céljából.

A rendszer hardverének, firmware-ének vagy szoftverjellemzőinek a megváltoztatása a tulajdonos tudomása, utasítása vagy jóváhagyása nélkül.

1. Hálózatok biztonsága

Hálózatok biztonsága

Figyelem

Hálózatok biztonsága

2. 5.1 Operációs rendszer megismerése, biztonsági rések kihasználása

Operációs rendszer megismerése, biztonsági rések kihasználása

Figyelem

Operációs rendszer megismerése, biztonsági rések kihasználása Letölthető jegyzet a fejezethez

3. 5.2 Kommunikációs protokollok támadása

Kommunikációs protokollok támadása

Figyelem

Kommunikációs protokollok támadása

(15)

5. Hálózatok biztonsága

4. 5.3 Védekezési lehetőségek

Védekezési lehetőségek

Figyelem

Védekezési lehetőségek Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

(16)

6. fejezet - 6. Kártevők

Manapság az informatikai rendszereket veszélyeztető egyik legnagyobb veszélyforrás a programozott kártevők köre, melyek legnagyobb csoportját az olyan kártékony programok alkotják, melyek képesek önmaguktól terjedni, támadást végrehajtani, számítógépekhez távoli hozzáférést biztosítani vagy akár az áldozat számítógépen tárolt dokumentumait eltulajdonítani.

1. 6.1 Kártevők története, fejlődése (1)

Kártevők története, fejlődése(1)

Figyelem

Kártevők története, fejlődése(1)

2. 6.1 Kártevők története, fejlődése (2)

Kártevők története, fejlődése (2)

Figyelem

Kártevők története, fejlődése (2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

3. 6.2 Önreprodukáló kártevők (vírusok, férgek)(1)

Önreprodukáló kártevők (vírusok, férgek)(1)

Figyelem

Önreprodukáló kártevők (vírusok, férgek)(1) Letölthető jegyzet a fejezethez

4. 6.2 Önreprodukáló kártevők (vírusok, férgek)(2)

Önreprodukáló kártevők (vírusok, férgek)(2)

Figyelem

Önreprodukáló kártevők (vírusok, férgek)(2) Letölthető jegyzet a fejezethez

(17)

6. Kártevők

5. 6.3 Boot, file, makró vírusok(1)

Boot, file, makró vírusok(1)

Figyelem

Boot, file, makró vírusok(1) Letölthető jegyzet a fejezethez

6. 6.3 Boot, file, makró vírusok(2)

Figyelem

7. 6.3 Boot, file, makró vírusok(3)

Figyelem

8. 6.4 Vírusok tulajdonságai

Vírusok tulajdonságai

Figyelem

Vírusok tulajdonságai

9. 6.4 Vírusok tulajdonságai(2)

Vírusok tulajdonságai(2)

Figyelem

(18)

6. Kártevők

Vírusok tulajdonságai(2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

10. 6.5 Interneten terjedő kártevők

Interneten terjedő kártevők

Figyelem

Interneten terjedő kártevők

11. Interneten terjedő kártevők (2)

Interneten terjedő kártevők(2)

Figyelem

Interneten terjedő kártevők(2) Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

12. Interneten terjedő kártevők (3)

Interneten terjedő kártevők(3)

Figyelem

Interneten terjedő kártevők(3) Letölthető jegyzet a fejezethez

13. 6.6 Védekezési lehetőségek

Védekezési lehetőségek

Figyelem

Védekezési lehetőségek Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

(19)

7. fejezet - 7. Informatikai biztonság kialakítása

Egy informatikai infrastruktúrát rengeteg veszélyforrás fenyegeti. A veszélyforrásokhoz léteznek jól működő védelmi megoldások, azonban ezek hatékonysága attól függ, hogy a gyakorlatban mennyit tudunk belőlük hasznosítani. Nagyon sok múlik tehát az informatikai biztonság megtervezésén, kialakításán, a védelmi eszközök megfelelő használatán. És nem feledkezhetünk meg a minden biztonsági veszélyforrás esetén jelenlevő kockázatról, az emberi tényezőről sem. A felhasználók biztonságtudatosságát pedig a célzott, informatikai biztonságra vonatkozó oktatással, továbbképzéssel fokozhatjuk.

1. 7.1 Informatikai biztonság tervezése, tesztelése

Informatikai biztonság tervezése, tesztelése

Figyelem

Informatikai biztonság tervezése, tesztelése Letölthető jegyzet a fejezethez

2. 7.2 Technikai kialakítás

3. 7.3 Az emberi tényező kezelése

Az emberi tényező kezelése

Figyelem

Az emberi tényező kezelése Letölthető jegyzet a fejezethez Letölthető jegyzet a fejezethez

(20)

8. fejezet - Összefoglalás

A történelem során az információ, az adat megszerzése mindig is nagyon fontos volt. Manapság a modern eszközök birtokában, amikor az informatikai eszközökön tárolt adatok mennyisége folyamatosan nő, kiemelten fontos az informatikai biztonság megfelelő kezelése. Az adatokat legtöbbször valamilyen kommunikációs csatornán továbbítjuk. Az adatok védelméről egyrészt a kommunikációs csatornában kell gondoskodnunk, erre szolgálnak a kriptográfia eszközei. Ugyanakkor nem szabad elfeledkeznünk a végpontok védelméről sem, hiszen ha egy támadó valamely végpontot az ellenőrzése alá tud vonni, akkor az adatainkat, illetve az informatikai eszközeinket is veszélyezteti.

Az informatikai eszközök támadására egy támadónak rengeteg módszere kínálkozik, ugyanakkor 100%- os védelmet nem lehet biztosítani. Elérhető azonban az informatikai rendszernek egy olyan, biztonságosnak nevezett állapota, amelyben zárt, teljes körű, folytonos és a potenciális fenyegetések kockázatával arányos védelem valósítható meg. Ez nyilván az érintett felhasználó(k) számára is kielégítő lehet. Zártnak nevezzük a védelmet, ha az összes potenciális fenyegetést figyelembe veszi, teljes körű, ha a rendszer minden részére kiterjedő, folytonos, ha időben megszakítás nélkül működik és a kockázattal arányos, ha a védelem költségei elfogadható arányban állnak a potenciális fenyegetések esetleges kárértékével.

Összefoglalás

Figyelem

Összefoglalás

(21)