Hogyan vernek át nap, mint nap?

Hogyan vernek át nap, mint nap?

Az adatbiztonság napjainkban.

Váczi Dániel - Hogyan vernek át nap, mint nap?

Bemutatkozás

Váczi DánielÓbudai EgyetemBánki Donát Gépész és Biztonságtechnikai

Mérnöki KarHad- és Biztonságtechnikai Mérnöki Szak


A gyűrű

Veled biztos nem történik meg?


Mi az adat?

Bármi, ami értelmezhető ismeret

Objektív


Információ - szubjektív

Adat+ háttér- vagy előismeret+ motiváció= Információ

Tudás Bölcsesség


Mit is kell védeni?

INFORMÁCIÓT?!


Információ védendő értékei

• Bizalmasság – Jogosult hozzáférés

• Sértetlenség– Jogosult módosítás

• Rendelkezésre állás

• Fontos:– Letagadhatatlan– Elszámoltatható– Hiteles


Miért is kell őket védeni?

• Ma világ:– A fél életünket számító gép előtt töltjük– „Mindenünk” a gépen van

• Üzemekben a gépek irányítása• Szabadalom• Pénzünk (e-bank)• Közszolgáltatások


Mitől is kell LEGINKÁBB védeni?

Saját magától, az EMBERTŐL!


Mi az a Social Engineering?

A nagy átverés


„A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja, vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.”

(Kevin D. Mitnick – A megtévesztés művészete, borító)


Leggyakoribb trükkök

• Alkalmazottnak adja ki magát• Partner cég/állami szerv• Magas pozícióban lévő valakinek adja ki

magát• Rendszer javítás/frissítés (partner cég)• Probléma -> segítséget nyújt -> előidézi azt

-> visszahív -> ő kér segítséget• Ingyen szoftver/javítás küldése


Leggyakoribb e-trükkök

• E-mail: trójai, vírus• Hamis felbukkanó ablak -> újrabejelentkezés• Keylogger• Fertőzött adathordozó a gép mellett• Tetteti, hogy távoli irodában van, kéri, hogy

hozzáférhessen az e-mailokhoz


Ismerős?


Egyéb trükkök

• Hiszékenység, lustaság: belső szleng, szakkifejezés alkalmazása

• Jutalom -> regisztráció• Faxgép fejlécének megváltoztatása• Fax kérés látszólag belső számra• File kérés látszólag belső címre• Hangpostafiók létrehozása, visszahíváskor

belsősnek tűnjön


A sunyik…

• Kukabúvárkodás• Váll-szörf• Szoros követés• Egyenruha


Keylogger


Támadásra utaló jelek

• A hívó nem adja meg a telefonszámát• Rendkívüli kérés

• Hivatali hatalmára hivatkozik• Sürgősség

• Együttműködés hiánya esetén negatív következményekkel „fenyegetőzik”• Dobálózik a nevekkel• Bókol, hízeleg• Flörtöl


Támadás felépítése

• Kutatás, információ szerzés• Kapcsolat kiépítése, bizalom

megteremtése• Kapcsolat kihasználása• Támadás


Védekezés (cég)

• Sebezhetőség felmérése•Biztonsági előírások,

irányelvek•Képzés


Személyazonosság ellenőrzése

• Hívószám kijelzés (név, szám megegyezősége)• Visszahívás (céges telefonkönyvből)• Kezesség vállalás (megbízható személy kezeskedik-e

érte)• Megosztott titok (jelszó/naponta változó kód)• Alkalmazott felettese/főnöke• Biztonságos e-mail (digitálisan hitelesített)• Hangfelismerés (személyes ismerettség)• Dinamikus jelszó (Secure ID)• Személyes megjelenés kérése (igazolhatóság)


Alkalmazotti státusz ellenőrzése

• Alkalmazotti nyilvántartás ellenőrzése• Főnöknél utánakérdezés• Osztály/csoport utánakérdezése


Jogosultság ellenőrzése

• Személyhez tartozó jogosultság ellenőrzése– Papíron– Szoftverrel

• Vezető engedélye• Információ felelős engedélye


Jelszavak

• Alapértelmezett– Gyári beállítás– 12345…, admin

• Logikai kapcsolat– Személy-jelszó ( anya névnapja)– Login név-jelszó (Andrea – Aerdna)

• Szótár• Nyers erő (brute force)


Jelszó hosszúság a döntő

•7010=2,8*1018

•1018

•2618=3*1025


Bankkártya csalások

• Mágnes csík van rajta• Az újakon mikrochip

Mágneskártya olvasó


Pult mögött mi van?

• Mágnes kártya olvasó• Kártya látótávolságon belül• Kamera a fej fölött• Pin kód megjegyzése vakon


ATM csalások

Mini kamera

Kártya olvasó

Egész panel


ATM csalások


Bankautomata


Jelszó megadása máshol


Személyes okmányok

• Személyigazolvány• Útlevél• Jogosítvány• Lakcímigazoló kártya• Bankkártya• Diákigazolvány


Személyazonosság lopás


Mit adunk meg?

•Fórumok•Blogok•Közösségi oldalak


Facebook

• Mit osztunk meg• Ki láthatja az adatainkat• Ki láthatja a képeinket• Események• Mit töltünk ki• Mit nyitunk meg


Neptun

• Egymás jelszava• Személyes adatok•Bankszámlaszám


Neptun

• Egymás jelszava• Személyes adatok•Bankszámlaszám

Előugró ablakok


Nyilván még senki nem látta ezt…


A kedves Google segít


• Beállítások •Minden adatot lehet látni• A modern technika csodái


WiFi


Bluetooth


Javaslatok

• Jelszó -> SENKINEK• Szervezeti felépítés• Céges telefonszámok • Személyes adat• Számítógéppel kapcsolatos adatok• Titkos/privát információ• Tiszta szoftver• Naplózás beállítása


Figyeljünk oda

• E-maileinkre (melléklet)• Jelszó• Letöltések• Rendszer- és hálózati beállítások• Mentések !


Extra 1 Alapjelszó


Extra 2 Rábeszélés


Források

• Kevin D. Mitnick – A legendás hacker• Oroszi Eszter – Diplomamunka• Svindlerek c. filmsorozat


Köszönöm a figyelmet!

Hogyan vernek át nap, mint nap?

Documents

Transcript of Hogyan vernek át nap, mint nap?