Információbiztonság - SZTE Előadás

UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
SZEGEDI TUDOMÁNYEGYETEM
Szoftverfejlesztés Tanszék
Információbiztonság
4. FEJEZET
Social Engineering és fizikai
biztonság
© Dr. Németh L. Zoltán, Dr. Vidács László

Tartalomjegyzék
1. Bevezetés, követelmények
2. Az információbiztonság alapjai. Fogalmak és célok.
Tanszék
Biztonsági alapelvek, területek. Védelmi kontrollok, kockázatok.

3. Fenyegetések, sérülékenységek és kihasználásuk, támadók,
Szoftverfejlesztés
incidensek. Osztályozás, feltárási módszerek, hackerek,

hackelés. Felmérés lépései.
4. Hozzáférés-vezérlés és identitáskezelés. Azonosítás,
hitelesítés, módszerek. Identitáskezelés.
5. Social engineering és fizikai biztonság. Pszichológiai
manipuláció. Fizikai fenyegetések.
6. Kriptográfiai alapfogalmak. Alapfogalmak, titkosítás, kulcsok,
hash-függvények. Elektronikus aláírás.
7. Hálózatbiztonság. Hálózati protokollok, eszközök. Naplózás és
felügyelet.
Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 2

Tartalomjegyzék (folyt.)
8. Alkalmazásbiztonság. Biztonsági kritériumok, fejlesztési

életciklus, biztonságos kódolás.
Tanszék
9. Web-alkalmazások biztonsága. OWASP, tipikus hibák és

védekezés ellenük.
Szoftverfejlesztés
10. Szoftvertesztelés és biztonsági tesztelés. Tesztelési

alapfogalmak, biztonsági tesztelési módszerek.
11. Információbiztonság etikai és jogi kérdései. Személyes
adatok védelme, jogi kérdések, törvény és etika.
12. Szabványok és folyamatok. Szabványosítás, szabványok.
Tanúsítás, képesítés, szervezetek.
13. Üzemeltetés biztonság, vészhelyreállítás és üzleti
folytonosság. Területek, célok és követelmények. Redundancia,
mentések. IT szolgáltatás ipari gyakorlata.

Social Engineering
(Emberek megtévesztése)
„A vállaltok dollármilliókat költenek tűzfalakra és
biztonságos távoli elérést nyújtó eszközökre, de
Tanszék
ez mind kidobott pénz, mert ezek egyike se

Szoftverfejlesztés
veszi figyelembe a leggyengébb szemet a

biztonsági láncban: az embert, aki használja,
igazgatja és működteti a számítógép
rendszereket.”
Kevin Mitnick – a legendás hacker

Social Engineering
Az emberi psziché sajátosságait kihasználva
rávenni valakit olyan információ kiadására vagy
Tanszék
cselekedet végrehajtására, amit különben nem

tenne.
Szoftverfejlesztés
Két nagy fajtája:

■ csak humán alapú
– személyesen
– telefonon
– SMS-ben
■ számítógépes eszközzel segített
– céges címről érkező és céges logoval ellátott e-mailben
– csevegésben
– automatikusan kártevőt telepítő pendrive
– hamisított weboldallal
– közösségi oldalakon.

Social Engineering
Közvetlen
Tanszék
■ Személyes kapcsolat a támadó és a

témadott között, pl telefonon vagy
Szoftverfejlesztés
személyesen
Közvetett
■ Nincs közvetlen kapcsolatfelvétel
■ „ottfelejtett” pendrive
■ Trójai email csatolmány

Social Engineering
Ilyen támadás célja lehet, például:
■ információgyűjtés a vállalatról,
Tanszék
■ érzékeny adatok megszerzése,

Szoftverfejlesztés
■ jogosultság nélküli fizikai belépés,

■ lopás (pl. laptop, szellemi tulajdon) vagy
■ ,,csak” kémkedés,
■ annak elérése, hogy
– az áldozat rákattintson egy linkre,
– töltsön le és futtasson egy programot vagy
– kikapcsoljon egy védelmi mechanizmust,
– dugjon be egy pendrive-ot a gépébe, stb.
Miért működik?
Az emberi viselkedés számos módon kihasználható.

Sokszor tudatalatti tényezők befolyásolják tetteinket.
Tanszék
A bizalom kihasználásán alapszik.

A vállalati és egyetemes kultúránkban hangsúlyos
Szoftverfejlesztés
értékek a nyíltság, barátságosság, segítőkészség.

A termék-támogatók azért vannak, hogy segítsenek.
Az emberek lusták, konfliktuskerülők,
megfélemlíthetők.
Nem ismerhetnek mindenkit egy nagyvállalatnál.
A támadók pedig alaposan felkészültek.

Példák I.
„A szakdolgozatomhoz szeretnék

segítséget kérni egy 10 perces kérdőív
Tanszék
kitöltéséhez a vállalatnál használt

Szoftverfejlesztés
biztonsági megoldásokról és Kovács

János igazgató úr azt mondta magához
fordulhatok bizalommal, mert Ön ismeri
legjobban a teljes informatikai rendszert.”

Példák II.
„Bocsánat, állásinterjúra jöttem 10 órára,

nagyon izgulok és véletlenül az előbb
Tanszék
leöntöttem kávéval az önéletrajzomat,

Szoftverfejlesztés
megtenné, hogy kinyomtatja

a pendrive-omról, így mert így ugye
mégsem adhatom oda? Nagyon kérem,
lehet, hogy az egész életem múlik rajta!
Ugye segít?”

Példák III.
„Az értékesíti osztályra hoztam ezt a csak

személyesen átvehető csomagot
Tanszék
[futárszolgálatos egyenruhában, a csomag

akkora, hogy csak két kézzel tudja megfogni], be
Szoftverfejlesztés
tudna engedni?”
De nem csak futár, hanem
■ szerelő,
■ takarító,
■ üzletkötő,
■ az „új” rendszergazda,
■ biztonsági auditor,
■ kormánytisztviselő, stb. vagyok, [X.Y-t keresem].

Példák IV.
WARNING! VIRUS ALERT!

Weboldalunk online scannere az Ön számítógépén
Tanszék
DeadPirate.32W vírust azonosított. A fertőzött fájlok az

alábbiak:
…. [az oprendszer jól ismert fájljai]
Szoftverfejlesztés
A kártevő rendkívül veszélyes előre nem ismert aktiválási

idejétől számítva körülbelül 5 percen belül képes a
számítógépén és a csatolt meghajtókon az összes adatot
visszavonhatatlanul megsemmisíteni. Kérjük haladéktalanul
futassa az a
AV_Soft_DeadPirateRemover_2-34.exe
programot a kártevő eltávolításához. A vírus működéséről
részletes információt a www.avats.hu/virdata/DeadPirate/
oldalon talál.

A Social Engineering folyamata

1. Felderítés (hírszerzés /nyílt/ forrásokból)
Megfelelő célszemély(ek) kiválasztása
Tanszék
2.
3. Megtévesztés - a bizalom megszerzése

Szoftverfejlesztés
4. A megszerzett bizalom kihasználása,

5. mellyel további információk nyerhetők,
és kezdődhet az egész elölről

egy magasabb szinten.

Az emberi viselkedés néhány
kihasználható tulajdonsága
1. Reciprocitás (Reciprocity)
2. Elkötelezettség és következetesség
Tanszék
(Consistency)
Szoftverfejlesztés
3. Társadalmi igazodás (Social Proof)

4. Tetszés (Liking)
5. Tekintély (Authority)
6. Hiány (Scarcity)
Dr. Robert Cialdini : „Hatás – A befolyásolás

lélektana” című könyve alapján
Reciprocitás (Reciprocity)
Ha valaki szívességet tesz nekünk törekszünk

viszonozni,
Tanszék
még ha nem is kértük és nincs is rá szükségünk,

ezért kapunk az adománygyűjtőktől apró
Szoftverfejlesztés
ajándékokat.
Működik tárgyalásnál is:
■ Engedtem valamit [lehet, hogy nekem jelentéktelen],
cserébe azt kérem, hogy …
■ Ha sikerül alkudni, a vevő elégedettebb, még ha
eleve irreális volt is az ár.
De nem ritka, hogy a támadó először valamit
valóban segít, pl. a szoftvert beállítani, mielőtt
például a jelszót elkérné.

Elkötelezettség és következetesség
(Consistency) I.
Erénynek tartjuk, ha elveink vannak, ha
viselkedésünk, állásfoglalásunk egy
Tanszék
kérdésben nem változik.

Szoftverfejlesztés
Kitűzünk egy cél és mindent megteszünk,

hogy igazoljuk döntésünket,
még ha az eredeti motiváció vagy a
körülmények meg is változnak közben.

Elkötelezettség és következetesség
(Consistency) II.
„De hiszen kéthete a kérdőíven azt
nyilatkozta, hogy fontosnak tartja a kóbor
Tanszék
állatok megmentését…”
Szoftverfejlesztés
Az ügynökök is sokszor „csak” egy

tájékozódó kérdőívvel kezdik …
Az autókereskedő az utolsó pillanatban
emeli meg az árat, mert tudja, hogy addigra
a vevő már elköteleződött amellett, hogy ezt
a kocsit szeretné, és nem fogja csak az ár
miatt az alkut felmondani.
Társadalmi igazodás (Social Proof) I.

Mindannyian igyekszünk beilleszkedni a
társadalomba.
Tanszék
Igyekszünk úgy viselkedni, mint a többiek

Szoftverfejlesztés
a környezetünkben.
Nevetünk, legalább is mosolygunk, ha a
környezetünkben mindenki nevet, még ha
nem is értjük a viccet.

Társadalmi igazodás (Social Proof) II.
Kandi kamera
Tanszék
http://www.youtube.com/watch?v=nNneIyKuL0w
Szoftverfejlesztés
„Nem akarja beírni a jelszavát a jelszó-

erősségmérő kalkulátoromba?! De hisz
eddig ezzel senkinek nem volt
problémája! Nézze, Kovács Béla 6.7
pontot kapott, a főnöke viszont csak 4.4-
et (he-he), a magáé biztosan jobb lesz.”

Tetszés (Liking)
Rokonszenv és hízelgés.
Szívesebben működünk együtt
Tanszék
olyasvalakivel, aki kedvel bennünket.

Szoftverfejlesztés
Nyilvánvalóan az is számít, hogy az illető

nekünk mennyire szimpatikus, csinos,
jóképű, megnyerő modorú, stb.
De megítélésünket könnyen igazítjuk pozitív
irányba néhány hízelgő szó hallatán.
Még az se kell, hogy különösebb értelme
legyen: pl. „Olyan remek termeted van!”
„Azért téged kérlek, mert ezt Te tudod a
legjobban megcsinálni …”
Tekintély (Authority)
Szívesebben engedelmeskedünk valakinek,

aki tekintélyes, köztiszteletben álló,
Tanszék
de még a személye is mellékes, ha valakitől

megbízatása van az adott feladatra:
Szoftverfejlesztés
igazgató, osztályvezető, rendőr, nyomozó,

ellenőr, hivatali tisztviselő, orvos, jogász,
stb.
Ha a támadó különleges felhatalmazással
rendelkezik, „szabályokon felül áll”, ezért
rendkívüli dolgokat is kérhet.
Ki meri mondjuk egy partner „vezérigazgató”
személyigazolványát elkérni?
Hiány (Scarcity) I.
A hiány keresletet generál.

Tanszék
„Csak ma”, „csak most”, „csak Neked”,

„limitált széria”, „most még bevezető áron,
Szoftverfejlesztés
korlátozott ideig kapható”, stb.

Minél ritkább valami, annál
értékesebbnek tűnik.
Mi pedig nem szeretnénk egy jó „vissza
nem térő” lehetőséget elszalasztani.

Hiány (Scarcity) II.
Lehet időhiány is:

Tanszék
„Sajnos csak ma 2-ig vagyok itt,

legközelebb majd két hét múlva, ha nem
Szoftverfejlesztés
ad rá felhatalmazást, hogy megoldjam a

problémát, majd magyarázza meg a
főnökének addigra.”
„Éppen egész nap tárgyalok, ezért nem
tud visszahívni a szokásos mellékemen.”

Social Engineering technikák I.
Pretexting: kitalált szituáció, előre

készülve a várható kérdésekre.
Tanszék
Phishing: adathalász e-mailezés.

Szoftverfejlesztés
Vishing: interaktív üzenetrögzítőn (IVR)

keresztül.
Spear Phishing (szigonyozás): jól
definiált célcsoport támadása.
Whaling (bálnavadászat): ugyanez a
felsővezetőkre.
Social Engineering technikák II.
Pharming: átirányítás hamisított

weblapra.
Tanszék
Baiting (csalizás): kártékony kódot

Szoftverfejlesztés
tartalmazó pendrive vagy CD

„elhagyása”.
Tailgating ~ Piggybacking: besurranás
valakit követve.
Shoulder Surfing: jelszó ellesése ,,váll
felett”.
Dumpster Diving: kukabúvárkodás.
Pretext példa I.
Üdvözlöm, Kiss Éva vagyok, a … bank Telefonos

Bankkártya Ügyfélszolgálati Csoportjának
Tanszék
munkatára. Azért hívom, mert az új visszaélés-

ellenes szabályzat értelmében a külföldre irányuló
Szoftverfejlesztés
nagy összegű tranzakciók hitelességét

telefonon is ellenőriznünk kell.
A rendszerben azt látom, hogy az Ön
folyószámlájáról 2014. április 15-én 112Euro
összegű átutalást indítottak Carlos P. Ramíreznek a
Central Bank of Nicaraguanál vezetett
bankszámlájára …
… a tranzakció törléséhez azonban be kell kérjek
néhány adatot / át kell kapcsoljam a telefonos
azonosító rendszerünkbe …
Pretext példa II.
… tehát biztos hogy nem maga indította az

átutalást? Nem tudom, hogy történhetett
Tanszék
nézett az utóbbi időben külföldi

weboldalakat? Vagy nyitott meg ismeretlen
Szoftverfejlesztés
feladótól levelet? Vagy használta a

Facebookot? Sajnos az utóbbi időben egyre
több ilyen eset történik ….
… nekem is ma még 13 átutalást kell
ellenőriznem, és szinte mindegyiket vissza
szokták vonni, igaz volt egy a múlthéten ami
valós volt, meg sajnos olyan is, amikor nem
tudtam időben telefonon elérni a
tulajdonost…
Pretext példa III.
… ha nem hisz nekem, természetesen

visszahívhat a … telefonszámon, de kérem
Tanszék
mindenképpen tegye meg, mert különben a

rendszer automatikusan indítja az átutalást
Szoftverfejlesztés
…
… meg tudom mondani a születési dátumát,
lakcímét, anyja nevét, a
bankszámlaszámának első 8 számjegyét
vagy a bankkártyájának az utolsó 4
számjegyét …
[ezek viszonylag könnyen hozzáférhetők
információk]

Pretext példa IV.
… de természetesen felhívhatja a normál

ügyfélszolgálatunkat is, csak az ott dolgozó
Tanszék
kollégáknak nincs jogosultságuk a már validált

tranzakciók díjmentes törlésére …
Szoftverfejlesztés
… értse meg azonosítás nélkül sajnos

semmilyen módosítást nem végezhetek,
egyszerűen meg sem jelenik az ügyfél
megbízásainak módosítás menüpont. Akkor
átkapcsolhatom a telefonos azonosításhoz?
… nekem pedig le, kell zárnom az ellenőrzést,
mert a nemzetközi TFH megállapodás
értelmében 12 órán belül teljesítenünk kell
minden megbízást…
Pretext példa V.
…várjon, próbálok segíteni, ezt meg tudom

nézni, még 12 perc 50 másodperc van az
Tanszék
automatikus indításig. Sajnos nem tudom

biztosra ígérni, hogy addig a normál
Szoftverfejlesztés
ügyfélszolgálatot el tudja érni, ilyenkor

délután nagyon sokan szoktak lenni…
…és ha a tranzakció elindul, akkor csak a
nemzetközi egyezmények alapján tudjuk a
pénzt visszakérni, ami egyrészt hónapokat
vehet igénybe, másrészt igazából sokszor a
külföldi bank jóindulatán is múlik. Akkor is én
fogom keresni, de majd személyesen kell
befáradnia valamelyik bankfiókunkba…
Pretext példa VI.
… igen a weblapunkon az áll, hogy a bank nem

kér telefonon vagy e-mailben személyes
Tanszék
azonosító adatokat, de a telebankhoz mindig kell

azonosítás …
Szoftverfejlesztés
… értse meg, nekem nincs jogosultságom Öntől

azonosítás nélkül semmilyen megbízást
elfogadni, a rendszer nem engedi, én hiába
hiszek magának …
… én nem akarom befolyásolni, végül is a döntés
az Öné…
… én csak vázoltam a lehetőségeket …
… akkor végül mi legyen? Tudjuk törölni a
tranzakciót ?

Védekezés
Nem intézhetjük el annyival, hogy a Social

Engineering csak néhány magyarul alig
Tanszék
érthető phising e-mail, aminek mi biztosan

nem dőlünk be.
Szoftverfejlesztés
Ismerjük el, hogy gondosan kitervelt és

személyre szabott támadással sajnos minket
is meg tudnak vezetni.
Az élet néha produkál szokatlan vagy
képtelennek tűnő helyzeteket, melyektől egy
támadást nem könnyű megkülönböztetni.
Ezért a védekezés semmi esetre sem
könnyű.

Mégis, mi az ami segíthet? I.
Legyenek elveink:
„Elnézést, de ügyfeleink személyes adatait
Tanszék
telefonon senkinek sem adhatom ki.”

Szoftverfejlesztés
Egy jó biztonsági szabályzat ebben sokat

segíthet,
és hivatkozási alapnak is jó szolgálatot tesz.
Ugyanakkor nem lehet mindent a
szabályzatban rögzíteni.

Mégis, mi az ami segíthet? II.
Az adatok biztonsági osztályozása

(titkos, érzékeny, nem osztályozott).
Tanszék
Biztonságtudatosság, képzés.
Szoftverfejlesztés
Ne csak manipulálható szenvedő alanyok

legyünk, kérdezzünk vissza.
Próbáljunk olyan kérdést feltenni, amire a
támadó nem készülhetett fel előre .
Józan ész és higgadtság,
mert legtöbbször az érzelmeinken
keresztül akarnak manipulálni.
Mégis, mi az ami segíthet? III.
Ha éberek vagyunk felismerhetjük a

támadás szokásos jegyeit.
Tanszék
Valahol megszólal bennük egy belső hang,

hogy ,,ez nekem gyanús”.
Szoftverfejlesztés
Csakhogy a támadó azt akarja elhitetni

velünk, hogy nincs más megoldás, csak amit
ő javasol.
De van más megoldás!!!
Az igazi biztonság a lehetőségekről szól,
csak ne legyünk lusták megkeresni,
mert a biztonságnak ára van, erőfeszítésben
is.
Van más megoldás! I.
Azon járjon az agyunk, hogy pl.

„Rendben, lehet, hogy igaza van, és mégis ő
Tanszék
a legnagyobb partnerünk vezérigazgatója,

Szoftverfejlesztés
de hogyan tudnám ezt ellenőrizni?”

Pl. elkérem a névjegykártyáját és felívom a
titkárnőjét, hogy itt van-e épp nálunk.
Pl. „Leöntöttem az életrajzom kávéval”-ra:
„Értem. Én ugyan nem csatlakoztathatok
idegen eszközt a számítógépembe, de
mindjárt felhívom a biztonsági felelőst, és ő
ki fogja tudni nyomtatni.”
Van más megoldás ! II.
A „bankátutalásosra”:
„Nézze kérem, összefoglalva: mégis csak maga
Tanszék
hívott fel engem, azt állítja, hogy a bankomtól van,

de a bankszámlaszámomat nem tudja
Szoftverfejlesztés
megmondani, se azt, hogy melyik fiókban mikor

nyitottam a számlát, és ennek ellenére a telebank
azonosítómat és a PIN kódomat szeretné,
mégpedig itt és most azonnal. Ez az egész
nekem felettébb gyanús, ezért engedje meg, hogy
független forrásból ellenőrizzem állításainak
valódiságát.
Egy félórán belül vissza fogom hívni, kérem
intézze el, hogy az átutalás addig ne történjen
meg. Köszönöm.”
Összefoglalás
 A Social Engineering igen komoly veszélyforrás.

 Esetenként bűncselekmény, azon túl hogy természeti
Tanszék
törvény, hogy hazudni nem szabad.

Szoftverfejlesztés
 Egymásba vetett bizalmunkkal él vissza aki ilyet tesz.

 Igen nehéz védekezni ellene,
 bár beszélnek ,,emberi tűzfalról”, sajnos, mindig könnyű
találni valakit, aki könnyebben manipulálható.
 Csak a tudatosítás hatékony ellene, ismerni kell, hogy
■ felkészüljünk a támadásokra,
■ felismerjük őket, és
■ ellent tudjunk állni.

Hivatkozások
1. W. Owen Redwood, Offensive Security (Course Lecture Videos /

Slides), Florida State University Computer Science Department,
Tanszék
2013.
2. Social Engineering, biztonságointernet.hu
Szoftverfejlesztés
http://www.biztonsagosinternet.hu/tippek/a-social-engineering-rol
3. Krasznay Csaba, Human security awareness – IT vagy HR
feladat?, előadás, Balabit Open Academy, 2012.
4. Michael Behringer: Understanding Operational Security
http://www.cisco.com/web/about/security/intelligence/opsecurity.h
tml
5. Krasznay Csaba: üzemeltetés-biztonság előadás az ELTE-n

Fizikai biztonság
fizikai – technikai (logikai) – adminisztratív
biztonság
Tanszék
a fizikai hozzáférés rendkívül előnyös a

Szoftverfejlesztés
támadónak
könnyen alááshatja mind a két másik
védelmet, pl.
■ adathordozó/eszköz eltulajdonítása
■ lehallgató v. távoli hozzáférést biztosító eszköz
elhelyezése
■ szabotázs, stb.

Célok és típusok
Fizikai szinten is a célok:

Tanszék
■ Confidentiality (bizalmasság)
■ Integrity (sértetlenség)
Szoftverfejlesztés
■ Availability (rendelkezésre állás)

Időrendben
■ Preventív (megelőző)
– Pl. elrettenő felirat, jó megvilágítás, kerítés
■ Detektív (észlelő)
– (korai) tűzjelző, riasztó rendszer, CCTV
■ Korrektív (javító)
– biztonsági őr, automata tűzoltó rendszer, stb.
Mit védünk …
Mindig elsődleges az emberi élet

védelme (safety)
Tanszék
Csak utána jöhet

Szoftverfejlesztés
■ az információ
■ rendszerelemek
■ szolgáltatások
■ vagyontárgyak stb.
védelme (security)
E két védelem szempontjai időnként ütköznek és csak
komoly technikai megoldásokkal egyeztethetők össze.

Fenyegetések
emberi szándékolt
■ külső: rabló, kém, bűnszövetkezet, háború,
Tanszék
terrortámadás
Szoftverfejlesztés
■ belső: sértett/megvesztegetett alkalmazott

emberi nem szándékolt
■ Mulasztás, figyelmetlenség
nem emberi
■ természeti csapások
– tűz, árvíz, földrengés, (ipari katasztrófák)
■ üzemzavar, meghibásodás, szolgáltatás kiesés
Rétegzett védelem
(Defense in depth)
Tanszék
Szoftverfejlesztés

A fizikai biztonság területei
1. A „klasszikus” illetéktelen behatolás

és katasztrófa elleni védelem:
Tanszék
■ falak, ajtók, ablakok, rácsok, zárak, stb…

Szoftverfejlesztés
■ passzív tűz-, por- és vízbetörés védelem

■ EMC (Electro Magnetic Compatibility)
elektromágneses összeférhetőség
– elekektromágneses zaj kibocsátás/kiszűrés
– elektromágneses lehallgatás elleni védelem
■ vandalizmus elleni védelem
– (pl. kábelek védelme)

A fizikai biztonság területei II.
2. A technikai biztonsággal összefonódó területek:

■ biztonságos energiaellátás és elosztás
Tanszék
■ HVAC:
heating – ventilllation – air-conditioning
Szoftverfejlesztés
fűtés – szellőzés – légkondicionálás

■ hűtés, extrém hűtés
■ aktív tűzvédelem (oltó rendszerek)
Ezek együtt tervezendők és összehangolandók!
■ Fizikai hozzáférés szabályozás
– Beléptető rendszerek
– Riasztó rendszerek
– CCTV (biztonsági kamerák)
– ezek felügyelete, beavatkozás, log. elemzés
■ Karbantartás és hibaelhárítás

A fizikai biztonság területei II.
3. Az adminisztratív biztonsággal
összefonódó területek:
Tanszék
■ Szabályzatok (policies)
Szoftverfejlesztés
– személyzet fizikai hozzáférésének adminisztratív

szabályozása
– Clean desk policy
■ tervezés:
– az épület elhelyezkedésének biztonsági
szempontjai
– helyiségek kialakítása (biztonsági zónák)
■ mentések, katasztrófa elhárítás
Tanszék Biztonsági zónák
Szoftverfejlesztés
http://www.silvaconsultants.com/blog/category/physical-security/
Clean desk policy (CDP)

 https://www.sans.org/security-resources/policies/general/pdf/clean-desk-policy
Tanszék
Szoftverfejlesztés

Clean Desk Policy

Munkahelyenként eltérő lehet. De általában:
Távozáskor (nap végén, illetve hosszabb időre,
Tanszék
pl. ebédszünet) nem maradhat a munkahelyen

Szoftverfejlesztés
elzáratlanul:
■ semmilyen érzékeny adatot tartalmazó dokumentum
– naptár, vázlat, feljegyzés, szerződés, ügyfelek adatai stb.
■ a papír alapú információt, amint nincs rá
szükség
– iratmegsemmisítőben le kell darálni
– vagy el kell zárni

Clean Desk Policy II.

nem maradhat őrizetlenül
■ kulcs, adathordozó (CD, DVD, pendrive)
Tanszék
■ mobil/laptop/tablet, egyéb hordozható eszköz

Szoftverfejlesztés
jelszavak nem lehetnek felírva elérhető helyen

■ sárga-cetlin, naptárban, gép/billentyűzet alatt, stb.
a nyomatóban nem maradhat érzékeny dokumentum
a táblákat (white-board) le kell törölni
a számítógépből ki kell lépni
rövid idejű eltávozáskor is
a gépet le kell állítani a nap végén

Man traps
Tanszék
Szoftverfejlesztés
https://www.dataspace.ru/en/infrastructure/
Összefoglalás
 a fizikai biztonság szerteágazó terület

 támadások a logikai és adminisztratív védelem
Tanszék
állandó próbára tételével szemben itt viszonylag ritkán

Szoftverfejlesztés
fordulnak elő
 a támadást általában könnyebb észlelni
 de nagyon nagy károkat okozhat
 ráadásul a védelem hatékonysága nehezen tesztelhető
 ezért a fizikai védelem kialakítása nagy szakértelmet
kíván, melyet nem szabad figyelmen kívül hagynunk.

Információbiztonság - SZTE Előadás

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Információbiztonság - SZTE Előadás

Uploaded by

Copyright:

Available Formats

UNIVERSITAS SCIENTIARUM SZEGEDIENSIS

© Dr. Németh L. Zoltán, Dr. Vidács László

Biztonsági alapelvek, területek. Védelmi kontrollok, kockázatok.

incidensek. Osztályozás, feltárási módszerek, hackerek,

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 2

8. Alkalmazásbiztonság. Biztonsági kritériumok, fejlesztési

9. Web-alkalmazások biztonsága. OWASP, tipikus hibák és

10. Szoftvertesztelés és biztonsági tesztelés. Tesztelési

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 3

ez mind kidobott pénz, mert ezek egyike se

veszi figyelembe a leggyengébb szemet a

Kevin Mitnick – a legendás hacker

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 4

cselekedet végrehajtására, amit különben nem

Két nagy fajtája:

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 5

■ Személyes kapcsolat a támadó és a

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 6

■ érzékeny adatok megszerzése,

■ jogosultság nélküli fizikai belépés,

Az emberi viselkedés számos módon kihasználható.

A bizalom kihasználásán alapszik.

értékek a nyíltság, barátságosság, segítőkészség.

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 8

„A szakdolgozatomhoz szeretnék

kitöltéséhez a vállalatnál használt

biztonsági megoldásokról és Kovács

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 9

„Bocsánat, állásinterjúra jöttem 10 órára,

leöntöttem kávéval az önéletrajzomat,

megtenné, hogy kinyomtatja

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 10

„Az értékesíti osztályra hoztam ezt a csak

[futárszolgálatos egyenruhában, a csomag

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 11

WARNING! VIRUS ALERT!

DeadPirate.32W vírust azonosított. A fertőzött fájlok az

A kártevő rendkívül veszélyes előre nem ismert aktiválási

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 12

A Social Engineering folyamata

3. Megtévesztés - a bizalom megszerzése

4. A megszerzett bizalom kihasználása,

és kezdődhet az egész elölről

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 13

3. Társadalmi igazodás (Social Proof)

Dr. Robert Cialdini : „Hatás – A befolyásolás

Ha valaki szívességet tesz nekünk törekszünk

még ha nem is kértük és nincs is rá szükségünk,

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 15

kérdésben nem változik.

Kitűzünk egy cél és mindent megteszünk,

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 16

Az ügynökök is sokszor „csak” egy

Társadalmi igazodás (Social Proof) I.

Igyekszünk úgy viselkedni, mint a többiek

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 18

Társadalmi igazodás (Social Proof) II.

„Nem akarja beírni a jelszavát a jelszó-

Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 19

olyasvalakivel, aki kedvel bennünket.

Nyilvánvalóan az is számít, hogy az illető

Szívesebben engedelmeskedünk valakinek,

de még a személye is mellékes, ha valakitől