Professional Documents
Culture Documents
SZEGEDI TUDOMÁNYEGYETEM
Szoftverfejlesztés Tanszék
Információbiztonság
4. FEJEZET
Social Engineering és fizikai
biztonság
1. Bevezetés, követelmények
2. Az információbiztonság alapjai. Fogalmak és célok.
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
(Emberek megtévesztése)
„A vállaltok dollármilliókat költenek tűzfalakra és
biztonságos távoli elérést nyújtó eszközökre, de
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Social Engineering
Az emberi psziché sajátosságait kihasználva
rávenni valakit olyan információ kiadására vagy
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Social Engineering
Közvetlen
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
személyesen
Közvetett
■ Nincs közvetlen kapcsolatfelvétel
■ „ottfelejtett” pendrive
■ Trójai email csatolmány
Social Engineering
Ilyen támadás célja lehet, például:
■ információgyűjtés a vállalatról,
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
tudna engedni?”
De nem csak futár, hanem
■ szerelő,
■ takarító,
■ üzletkötő,
■ az „új” rendszergazda,
■ biztonsági auditor,
■ kormánytisztviselő, stb. vagyok, [X.Y-t keresem].
alábbiak:
…. [az oprendszer jól ismert fájljai]
Szoftverfejlesztés
2.
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
kihasználható tulajdonsága
1. Reciprocitás (Reciprocity)
2. Elkötelezettség és következetesség
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
(Consistency)
Szoftverfejlesztés
ajándékokat.
Működik tárgyalásnál is:
■ Engedtem valamit [lehet, hogy nekem jelentéktelen],
cserébe azt kérem, hogy …
■ Ha sikerül alkudni, a vevő elégedettebb, még ha
eleve irreális volt is az ár.
De nem ritka, hogy a támadó először valamit
valóban segít, pl. a szoftvert beállítani, mielőtt
például a jelszót elkérné.
(Consistency) I.
Erénynek tartjuk, ha elveink vannak, ha
viselkedésünk, állásfoglalásunk egy
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
(Consistency) II.
„De hiszen kéthete a kérdőíven azt
nyilatkozta, hogy fontosnak tartja a kóbor
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
állatok megmentését…”
Szoftverfejlesztés
a környezetünkben.
Nevetünk, legalább is mosolygunk, ha a
környezetünkben mindenki nevet, még ha
nem is értjük a viccet.
Kandi kamera
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
http://www.youtube.com/watch?v=nNneIyKuL0w
Szoftverfejlesztés
Rokonszenv és hízelgés.
Szívesebben működünk együtt
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
…
… meg tudom mondani a születési dátumát,
lakcímét, anyja nevét, a
bankszámlaszámának első 8 számjegyét
vagy a bankkártyájának az utolsó 4
számjegyét …
[ezek viszonylag könnyen hozzáférhetők
információk]
Legyenek elveink:
„Elnézést, de ügyfeleink személyes adatait
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Biztonságtudatosság, képzés.
Szoftverfejlesztés
A „bankátutalásosra”:
„Nézze kérem, összefoglalva: mégis csak maga
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
2013.
2. Social Engineering, biztonságointernet.hu
Szoftverfejlesztés
http://www.biztonsagosinternet.hu/tippek/a-social-engineering-rol
3. Krasznay Csaba, Human security awareness – IT vagy HR
feladat?, előadás, Balabit Open Academy, 2012.
4. Michael Behringer: Understanding Operational Security
http://www.cisco.com/web/about/security/intelligence/opsecurity.h
tml
5. Krasznay Csaba: üzemeltetés-biztonság előadás az ELTE-n
Fizikai biztonság
fizikai – technikai (logikai) – adminisztratív
biztonság
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
támadónak
könnyen alááshatja mind a két másik
védelmet, pl.
■ adathordozó/eszköz eltulajdonítása
■ lehallgató v. távoli hozzáférést biztosító eszköz
elhelyezése
■ szabotázs, stb.
■ Confidentiality (bizalmasság)
■ Integrity (sértetlenség)
Szoftverfejlesztés
■ az információ
■ rendszerelemek
■ szolgáltatások
■ vagyontárgyak stb.
védelme (security)
E két védelem szempontjai időnként ütköznek és csak
komoly technikai megoldásokkal egyeztethetők össze.
emberi szándékolt
■ külső: rabló, kém, bűnszövetkezet, háború,
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
terrortámadás
Szoftverfejlesztés
■ HVAC:
heating – ventilllation – air-conditioning
Szoftverfejlesztés
3. Az adminisztratív biztonsággal
összefonódó területek:
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
■ Szabályzatok (policies)
Szoftverfejlesztés
http://www.silvaconsultants.com/blog/category/physical-security/
Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 48
SZEGEDI TUDOMÁNYEGYETEM
elzáratlanul:
■ semmilyen érzékeny adatot tartalmazó dokumentum
– naptár, vázlat, feljegyzés, szerződés, ügyfelek adatai stb.
■ a papír alapú információt, amint nincs rá
szükség
– iratmegsemmisítőben le kell darálni
– vagy el kell zárni
Man traps
Tanszék
UNIVERSITAS SCIENTIARUM SZEGEDIENSIS
Szoftverfejlesztés
https://www.dataspace.ru/en/infrastructure/
Információbiztonság - © 2015-2019 SZTE TTIK Informatikai Intézet 52
Összefoglalás
SZEGEDI TUDOMÁNYEGYETEM
fordulnak elő
a támadást általában könnyebb észlelni
de nagyon nagy károkat okozhat
ráadásul a védelem hatékonysága nehezen tesztelhető
ezért a fizikai védelem kialakítása nagy szakértelmet
kíván, melyet nem szabad figyelmen kívül hagynunk.