Információbiztonság gyakorlat

Követelmények
Bevezető
A tárgy célja
● Olyan ismeretek megszerzése, amely képessé teszi a hallgatókat
biztonságos alkalmazások készítésére, az elkészült alkalmazások és
rendszerek biztonsági hibáinak felderítésére, valamint hatékony
védekezési módszerek, eljárások alkalmazására.

● Nem célunk a félév során az, hogy a hallgatókból etikus hackereket

képezzünk, de a hatékony védekezéshez ismerni kell azokat a
módszereket, amelyekkel támadják a rendszereinket. Ezért a biztonsági
tesztek végrehajtásához hasonló módszerek és eszközök
alkalmazására kerül sor, mint amit a hackerek is használnak.
2012 évi C. törvény (Btk): Tiltott adatszerzés
422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése
céljából
a) más lakását, egyéb helyiségét vagy az azokhoz tartozó bekerített helyet titokban átkutatja,
b) más lakásában, egyéb helyiségében vagy az azokhoz tartozó bekerített helyen történteket
technikai eszköz alkalmazásával megfigyeli vagy rögzíti,
c) más közlést tartalmazó zárt küldeményét felbontja vagy megszerzi, és annak tartalmát
technikai eszközzel rögzíti,
d) elektronikus hírközlő hálózat - ideértve az információs rendszert is - útján másnak továbbított
vagy azon tárolt adatot kifürkész, és az észlelteket technikai eszközzel rögzíti,
bűntett miatt három évig terjedő szabadságvesztéssel büntetendő.
(2) Az (1) bekezdés szerint büntetendő, aki fedett nyomozó vagy a bűnüldöző hatósággal, illetve
titkosszolgálattal titkosan együttműködő személy kilétének vagy tevékenységének megállapítása
céljából az (1) bekezdésben meghatározottakon kívül információt gyűjt.
(3) Az (1) bekezdés szerint büntetendő, aki az (1)-(2) bekezdésben meghatározott módon megismert
személyes adatot, magántitkot, gazdasági titkot vagy üzleti titkot továbbít vagy felhasznál.
(4) A büntetés egy évtől öt évig terjedő szabadságvesztés, ha az (1)-(3) bekezdésben
meghatározott tiltott adatszerzést
a) hivatalos eljárás színlelésével,
b) üzletszerűen,
c) bűnszövetségben vagy
d) jelentős érdeksérelmet okozva
követik el.
Információs rendszer vagy adat megsértése
423. § (1) Aki
a) információs rendszerbe az információs rendszer védelmét biztosító technikai intézkedés
megsértésével vagy kijátszásával jogosulatlanul belép, vagy a belépési jogosultsága kereteit
túllépve vagy azt megsértve bent marad,
b) az információs rendszer működését jogosulatlanul vagy jogosultsága kereteit megsértve
akadályozza, vagy
c) információs rendszerben lévő adatot jogosulatlanul vagy jogosultsága kereteit megsértve
megváltoztat, töröl vagy hozzáférhetetlenné tesz,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) A büntetés bűntett miatt egy évtől öt évig terjedő szabadságvesztés, ha az (1) bekezdés b)-c)
pontjában meghatározott bűncselekmény jelentős számú információs rendszert érint.
(3) A büntetés két évtől nyolc évig terjedő szabadságvesztés, ha a bűncselekményt közérdekű
üzem ellen követik el.
(4) E § alkalmazásában adat: információs rendszerben tárolt, kezelt, feldolgozott vagy továbbított
tények, információk vagy fogalmak minden olyan formában való megjelenése, amely információs
rendszer általi feldolgozásra alkalmas, ideértve azon programot is, amely valamely funkciónak az
információs rendszer által való végrehajtását biztosítja.
Információs rendszer védelmét biztosító
technikai intézkedések kijátszása
424. § (1) Aki a 375. vagy a 423. §-ban meghatározott bűncselekmény elkövetése céljából az ehhez
szükséges vagy ezt könnyítő
a) jelszót vagy számítástechnikai programot készít, átad, hozzáférhetővé tesz, megszerez,
vagy forgalomba hoz, illetve
b) jelszó vagy számítástechnikai program készítésére vonatkozó gazdasági, műszaki,
szervezési ismereteit más rendelkezésére bocsátja,
vétség miatt két évig terjedő szabadságvesztéssel büntetendő.
(2) Nem büntethető az (1) bekezdés a) pontjában meghatározott bűncselekmény elkövetője, ha -
mielőtt a bűncselekmény elkövetéséhez szükséges vagy ezt megkönnyítő jelszó vagy
számítástechnikai program készítése a büntető ügyekben eljáró hatóság tudomására jutott volna -
tevékenységét a hatóság előtt felfedi, az elkészített dolgot a hatóságnak átadja, és lehetővé teszi a
készítésben részt vevő más személy kilétének megállapítását.
(3) E § alkalmazásában jelszó: az információs rendszerbe vagy annak egy részébe való belépést
lehetővé tevő, számokból, betűkből, jelekből, biometrikus adatokból vagy ezek kombinációjából álló
bármely azonosító.
Megjegyzés a biztonságos tanuláshoz
● Az itt elhangzott megoldásokat minden esetben csak saját elszeparált
környezetben, illetőleg a kabinetben oktatói engedéllyel, illetőleg
jóváhagyással szabad kipróbálni, gyakorolni.

● Ne próbálkozzunk a tesztkörnyezeten kívül éles rendszerek

tesztelésével még jóindulatból sem a rendszer, illetőleg az adat
tulajdonosának előzetes írásban rögzített engedélye nélkül.

● A bírósági gyakorlatban még a családon belül elkövetett a fenti

paragrafusokba ütköző cselekedeteket is büntethetik!
Tematika
• Hálózati biztonság, rendszer analíziséhez használható hálózati
eszközök (nmap, ncat, wireshark), kommunikáció nyomonkövetése,
elemzése.
• Anonimitás az interneten.
• Weboldalak biztonsága, http, https, GET, POST, szerveroldali
ellenőrzés, SQLi, XSS, CSRF, direct object references.
• Alkalmazásbiztonság, C printf, buffer overflow, Java, JavaScript,
• pseudorandom.
• Kriptográfia, szteganográfia: kód visszafejtés statisztikai alapon,
kulcs törése, üzenet elrejtése más adatban.
Követelmények
• A gyakorlat értékelése két zárthelyi dolgozat alapján történik.
• Összesen 100 pontot lehet szerezni. Ebből a gyakorlati zárthelyi
dolgozat 60 pontot, az elméleti zárthelyi dolgozat 40 pontot ér. A
félév teljesítésének feltétele, hogy a két ZH együttes pontszáma
elérje az 50%-ot.
• A zárthelyi dolgozatok javítására az utolsó tanítási héten lesz
lehetőség.
• A javító ZH-n legfeljebb 50 pontot lehet elérni.
• A gyakorlatok látogatása nem kötelező - de ajánlot :)
Érdemjegyek
Gyakorlati jegyek meghatározása:
0 - 49 pont : elégtelen (1)
50 - 61 pont : elégséges (2)
62 - 74 pont : közepes (3)
75 - 86 pont : jó (4)
87 - pont : jeles (5)
 Biztonság
● akinek
● csak a jogosultsága
felhatalmazott van hozzá, az
személyek Integrity Availability
bármikor
módosíthatják elérhesse az
az adatot. adatot,
szolgáltatást
stb.

Confidentality
● csak a felhatalmazott személyek
férhessenek hozzá az adathoz
(olvasás)
A biztonság réteges felépítése
Alkalmazások biztonsága
Hálózati biztonság
Szabályzatok, irányelvek,
jogi környezet

EMBER

Fizikai biztonság

Hostok biztonsága
Szoftverek biztonsági követelményei
• Authenticity (hitelesség): az adat forrásának megbízhatósága.
– Hitelesítés során meggyőződünk a másik fél "személyazonosságáról"
(tényleg azzal kommunikálunk, akivel akarunk)
– Ennek eszköze a message authentication code (MAC)
– A MAC tekinthető egy olyan hash-nek, amit az adatból illetve egy
olyan titkos kulcsból képezünk, amit a feladó és a fogadó is ismer (de
csak ők). Így alkalmas az integritás és a hitelesség ellenőrzésére is.
• Authorization (engedélyezés): annak meghatározása, hogy ki milyen
erőforráshoz férhet hozzá (pl. sima user vagy admin).
– Előfeltétele a hitelesítés.
• Non - repudiation (letagadhatatlanság): egy tranzakció (küldés, fogadás
stb.) letagadhatatlanságának biztosítása
– Ennek eszköze a digitális aláírás
100%-os védelem???
• Nincs és NEM is lesz.
– Bombabiztos program
– vs
– Még fel nem tárt processzor sérülékenység(ek)

• Habár, el nem érhető, ettől függetlenül törekedni kell, hiszen

– Az esetek 90%-ában már ismert hibákat használnak ki a támadók
– Az alkalmazások 35%-ában fordulnak elő beégetett (hard - coded)
jelszavak
– Az alkalmazások 39%-a támaszkodik gyenge vagy hibás kripográfiára
További nehezítő tényezők
• A fejlesztők nem kellően motiváltak biztonságos alkalmazások
előállításában.
• A támadóknak rengeteg idő áll a rendelkezésükre, nagyon sokan is
lehetnek a fejlesztő csapattal szemben.
• A biztonsági tesztelés szintén egy reménytelen harc:
– A támadóknak elég egyetlen hibát felfedezniük, nem számít, hogy a
fejlesztés során több ezer ki lett szűrve.
• Maguk a felhasználók is lebecsülik az IT biztonságot.
– "Úgysincs semmi fontos az otthoni gépemen, csak pár film és játék".
• A támadó az erőforásainkat is ellophatja
– pl. ha a korábban említett botnet hálózat részévé teszi a gépünket.
Kiberbűnözés
• A hideg háború idején a szovjet ügynökök megszereztek az amerikaiktól
egy programot, ami valójában a CIA trójai falova volt és a vezérlés
befolyásolásával szibériai gázvezetékeket robbantott fel.
• Stuxnet (2010). Egy amerikai/izraeli eredetű vírus, melynek célja az iráni
urándúsító berendezések roncsolása és így a nukleáris fejlesztésük
hátráltatása volt.
• A 2016-os amerikai elnökválasztás befolyásolása.
• WannaCry (2017) Zsarolóvírus.
– Zárolta a számítógép fájljait, a feloldásért pénzt követelt.
– Nagy - Britanniában kórházak számítógépes rendszerét bénította
meg, Németországban a vasutat, Magyarországon a Telenort
érintette.
• Brazil routerek megfertőzése (2019).
– A cél a DNS feloldás befolyásolása volt, hogy a felhasználókat
adathalász oldalakra vezesse át pl. az igazi Netflix helyett.
Kategorizálás - Seven Pernicous Kingdoms
• Input validáció és reprezentálás hibája
– Buffer overflow: a program által foglalt memóriaterület túlírása
– Cross-site scripting: kártékony kliens oldali szkriptek futtatása
– Format string sérülékenység: a kiíratás user inputtól függ, ami nincs
kellően ellenőrizve
– Integer overflowSQL injection
• Az API rossz használata (API abuse).
– A hívó illetve a hívott függvény nem veszik figyelembe egymás
tulajdonságait.
– A hívó nem nézi a meghívott függvény visszatérési értékét, így
lehetséges hibaállapotok felett siklik el
– String kezelő függvények hibás használata buffer overflow-t idézhet
elő
– A hívó függvény nem veszi figyelembe, hogy a meghívott függvény
kivételeket dobhat, a program lehetséges elszállását idézve elő.
Kategorizálás - Seven Pernicous Kingdoms
• Biztonsági elemekkel kapcsolatos hibák
– Kiszámítható random szám generálás: kriptográfiailag nem
megbízható random számok.
– Rossz jogosultságkezelés, least privilage elv sérülése
– Kódba beégetett jelszavak alkalmazása
– Jelszavak szöveges tárolása, gyenge hash alkalmazása. MD5
ismerten gyenge hash, de már az SHA-1 használata sem javallott.
– Jelszavak beírása konfig fájlokba
• Időzítéssel/program állapottal való visszaélések
– Session id újrafelhasználása autentikáció során (egy korábban
autentikált session ellophatóvá válhat)
– TOCTOU: a támadó kihasználja egy fájl megnyithatóságának
elllenőrzése és a tényleges felhasználás közötti kis időt.
Kategorizálás - Seven Pernicous Kingdoms
• Hibás hibakezelés
– Üres catch blokk, vagyis a hiba ignorálása
– NullPointerException elkapása: ne legyen soha alternatíva a null
pointer dereferencia előzetes ellenőrzésére
– Túl általános catch blokkok (pl mindenhol ős kivétel van elkapva).
i. Bonyolult hibakezelési kódhoz vezethet, amiben lehetőség van
sérülékenységekre.
• Alacsony kódminőségből eredő hibák
– Nem inicializált változók megléte
– Memory leak, egyéb fel nem szabadított erőforrások létezése
– Obsolete/depracted kód/függvények használata
Kategorizálás - Seven Pernicous Kingdoms
• Elszigetelés (encapsulation) hiánya
– Az egyik felhasználóhoz átszivároghatnak egy másik felhasználó
adatai.
– Információk szivároghatnak ki a rendszerről.
i. Pl., egy túl beszédes hibaüzenetek vagy egy fájl törlésekor a
hdd-ről nem tűnik el azonnal.
• Egyéb, környezeti hibalehetőségek
– Rosszul konfigurált futtatókörnyezet
– Elavult operációs rendszer,
– Hardver sérülékenységek
Köszönöm a figyelmet!