HADTUDOMÁNY X. évfolyam, 3. szám |
VEZETÉS-KIKÉPZÉS |
Magyar Ferenc
Az informatikai biztonság fogalma magában foglalja mindazt, ami a rendeltetésszerű, működéshez szükséges, így azokat a mechanizmusokat is, amelyek a tárolt és a továbbított adatok helyessége, integritása felett őrködnek. Az elvárt működéshez tartozik az is, hogy a rendszer időben szolgáltassa a megfelelő adatokat. Az adott rendszer biztonságának megítélésénél figyelembe kell venni, hogy mennyire véd a jogosulatlan hozzáférésektől, mennyire tudja garantálni az adatok helyességét, integritását, és mennyire megbízható a rendszer működése. A szerző az informatikai rendszerek támadásának lehetőségeit, védelmük fontosságát hangsúlyozva, védelmi eljárásokat mutat be. |
A NATO stratégiai koncepciójának értékelése szerint a szövetség felelősségi körzetében megszűnt az egyidejű, nagyméretű általános támadás veszélye, új típusú kockázatok és fenyegetések jelentek azonban meg, amelyek mind jellegükben, mind irányultságukban eltérnek a korábbiaktól, ami megnehezíti felismerésüket és kezelésüket. Fokozódó kihívást jelent többek között a tömegpusztító fegyverek és azok hordozóeszközeinek elterjedése, valamint az információs rendszerek elleni támadások lehetősége.
A második világháború óta vívott háborúkban előtérbe kerültek a nem kifejezetten katonai célpontok. Közigazgatási, banki rendszereket, erőműveket, gyárakat, szállítási vonalakat támadva csökkenthetők (kiiktathatók) a hadiipari, a szállítási, az ellátási képességek, a kommunikációs rendszerek lefogása béníthatja a vezetés lehetőségeit és hatékonyságát. Ezeknek a nem kifejezetten katonai célpontoknak a sikeres támadása közvetve befolyásolja a védelmi képességeket, adott esetben eldöntheti a konfliktus kimenetelét.
Informatikával átszőtt világunk nem nélkülözheti a számítógépeket, a számítástechnikai és távközlési ipar pedig arra törekszik, hogy a szervezetek közötti információcsere egyetlen globális adathálózaton belül történjen. A világ a globális hálózat felé halad, nap mint nap tapasztalhatjuk azonban, hogy ebben a fejlődési folyamatban a biztonság megteremtése csak "utánkövető" lehet.
A globális hálózat kialakulása szorosan kapcsolódik az internethez. Az interneten kialakult információkezelés, a TCP/IP, a HTML, XML adatállomány-formátum, a böngésző, mint kezelői felület általánossá válásával az internet mellett megjelentek az intranetek. Az intranetek - alapvetően internet-technológiára épülve - egy szervezet számára biztosítanak belső információcserét, elektronikus levelezést, adatbázis-hozzáférést, elméletileg a külvilágtól zárt módon. A globalizáció, a nemzetközi kapcsolatok igénye azonban szükségessé teszi a zárt intranet, valamint az internet kapcsolatát. A két hálózat közös kapcsolódási pontján azonban lehetővé válik - akár földrajzilag nagy távolságból aktivált - kártékony programok, vírusok átjutása a zárt, védett, belső hálózatba. A számítógép-hálózatok rohamos elterjedésével számolnunk kell azzal a ténnyel, hogy manapság tisztán informatikai eszközrendszer használatával is támadhatóvá váltak a lehetséges célpontok. Szembe kell nézni a hosszú éveken át figyelmen kívül hagyott kiberterrorizmus megjelenésével, amely békében is veszélyeztetheti biztonságunkat.
Különösen nagy problémát jelent az információs bűnözés elterjedése a magas szinten komputerizált országok - mint például az Egyesült Államok - számára.
"Az Egyesült Államok sebezhető cybertámadással, melyre egyre több terrorista és idegen állam képes, beleértve Oroszországot és Kínát is. Az információs hadviselés lehetséges stratégiai alternatívává vált azon államok számára, melyek felismerték, hogy a hagyományos katonai konfliktusokban nem tudnának az Egyesült Államok fölé kerekedni." - nyilatkozta egy vezető CIA-szakértő.
Egy orosz tisztviselő véleménye szerint a nemzeti célpontok - mint a szállítási központ vagy egy elektromos elosztó központ - elleni cybertámadás katasztrofális következményei azonosak lennének a fegyveres támadáséval.
Serabian hivatkozott egy azonosítatlan kínai tábornok megjegyzésére is: "Az ellenséges parancsnoki központok kiiktathatók információs rendszereik megváltoztatásával. Az ellenfél döntéshozó szerveit valótlan adatok küldésével hibás döntések meghozatalára késztethetjük. Átvehetjük az uralmat ellenségünk bankrendszere vagy akár teljes társadalmi rendje felett." [1]
Egy neves amerikai professzor szerint: "A számítógépes támadás technológiája már most széles körben ismert. Nagyon hasonló eszközöket használt néhány vandál pár héttel ezelőtt (a több nagy weblapot érintő Denial-of-Service támadás során), ezek jóval nagyobb léptékű használata képzelhető el az országok-államok szintjén a nemzetgazdaságban és az infrastruktúrában hatalmas károkat okozó leállásokat generálva." [2]
Válaszul a hálózatokat ért támadásokra az Egyesült Államokban internetbiztonsági csúcs került összehívásra a nemzetbiztonsági tanács szervezésében, ezzel is jelezve azt a tényt, hogy a kormányzat potenciális nemzetbiztonsági problémaként kezeli az eseményeket.
A veszélyforrások számbavételére, a legsérülékenyebb szektorok feltérképezésére pedig létrehozták az "Elnöki Bizottság a Kritikus Infrastruktúra Védelmére" nevű bizottságot.
A Pentagon az események hatására elrendelte hálózatainak átvizsgálását, Bill Clinton pedig a 2001. pénzügyi évre 2 milliárd dollárnyi költségvetési keretösszeget kért a kongresszustól a számítógépes hálózatok biztonságának fokozására.
A megváltozott biztonsági környezet szükségessé tette a biztonság fogalmának újraértékelését. Az új szemléletű megközelítésben a biztonság a hagyományos politikai és katonai tényezőkön túl magában foglalja a gazdasági, a pénzügyi, az emberi jogi, a kisebbségi, az információs, a technológiai, a környezeti, valamint a nemzetközi jogi dimenziókat is.
A NATO biztonságpolitikai rendszerében az egyik legfontosabb elem az információbiztonság. A NATO információbiztonsági politikája megalkotásánál a kockázati tényezők, a sebezhető pontok meghatározásából indul ki. Alapelve, hogy az információvédelmi rendszer elemeit (személyi, fizikai, dokumentum, informatikai, adatátviteli) úgy kell tervezni, hogy a rendszeren való áthatolás költsége, a ráfordított energia nagysága haladja meg a megszerezni kívánt információ értékét.
A NATO-hoz csatlakozásunk tőlünk is megköveteli biztonsági szemléletünk változását, a Szövetség információvédelmi rendszere ugyanis rendkívül összetett, és kiemelten fontos feladatként kezeli a megelőzést is. Sajnos az eljárások, az ajánlások, a szabályzók átvétele, alkalmazása számunkra is sok problémával jár. Gondoljunk csak az általunk használt ügyviteli kategóriákra, és vessük össze ezt a NATO-ban használatos biztonsági minősítésekkel. [3] Az informatika területén szintén nagy eltérés tapasztalható az egyes értelmezések között, amelyek nem is fedik mindig az eredeti kifejezés jelentését. Érdemes tanulmányozni az AAP-31 című kiadványt, és összevetni az általunk használatos informatikai terminológiával.
A NATO biztonságpolitikájában az informatikai védelem mint komplex feladat: politikai, műveleti és információtechnológiai szinten jelentkezik. A szövetség természetes törekvése, hogy a tagországok által alkalmazott nemzeti informatikai védelmi eljárások egységesítésre kerüljenek. Ehhez jött létre az INFOSEC (Information Security), amely a tagországok számára ma már több mint ajánlás.
Az INFOSEC tartalmazza mind a számítógépes védelmet (COMPUSEC-Computer Security), mind az összeköttetés, a kisugárzás és a rejtjelzés védelmét (COMSEC-Communication Security), továbbá lefedi a rendszerek integritásával és elérhetőségével kapcsolatos biztonsági vonatkozásokat is. [4]
Ez a gyakorlatban olyan hardver- és szoftverelemek használatát, illetve biztonsági tevékenységek megvalósítását jelenti, amelyek biztosítják a rendszerek védelmét, a felhasználók azonosítását, az összeköttetések megbízhatóságát, az információk hitelességét, rendelkezésre állását, megakadályozzák a jogosulatlan hozzáférést, az adatok módosítását, törlését illetéktelenek részéről.
Az adatbázisokon alapuló informatikai rendszerek egyik leglényegesebb kérdése a bennük tárolt információk védelme. Az informatikai rendszernek úgy kell működnie, hogy minden felhasználó csak a jogosultsági körébe eső adatokhoz juthasson hozzá, az illetéktelen hozzáférést pedig akadályozza meg. A védelem egyik nagyon fontos eleme a felhasználók azonosítását végző mechanizmus. Ekkor dönti el a védelmi rendszer, hogy a bejelentkező jogosult felhasználó-e, illetve hogy az általa igényelt hozzáférési mód engedélyezett-e vagy sem.
A felhasználók azonosítására három alapvető eljárás terjedt el, amelyeket a biztonság fokozására többnyire kombináltan alkalmaznak:
Az első: amikor a felhasználó mond valamit, amit csak ő ismer (felhasználói ID, jelszó, PIN-kód),
A második: amikor a felhasználó mutat valamit, amivel csak ő rendelkezik (smartcard, valamilyen készülék stb.).
A harmadik: amikor a rendszer felismeri a felhasználót valamilyen jellemzője alapján (ujjlenyomat, retina, hangminta).
Röviden tekintsük át a három eljárás lényegét.
A felhasználó azonosítás leggyakrabban alkalmazott módszere.
Előnye, hogy nem igényel speciális berendezést, hátránya viszont, hogy
kevesebb biztonsági garanciát nyújt. Az azonosításhoz mindenki rendelkezik
egy azonosítóval és egy jelszóval. Belépéskor a rendszer megkérdezi a
felhasználó nevét és jelszavát. A felhasználó a rendszer számára az
azonosító (login) megadásával azonosítja magát, a jelszóval pedig bizonyítja,
hogy valóban ő az. Az ellenőrzés során a rendszer egy egyirányú
A jelszavas védelemmel kapcsolatos fő probléma, hogy a jelszó gyakran kitalálható. A felhasználók jelentős része ugyanis könnyen fejben tartható jelszavakat használ, amit nagyon könnyű megfejteni. A támadás az ún. szótáralapú-program felhasználásával végezhető el. Ezek a programok a szótárakban fellelhető szavakat kódolják, és hasonlítgatják össze a felhasználó kódolt jelszavával. Ha ugyanis a felhasználó által választott jelszó szerepel valamilyen szótárban, akkor a mai számítási kapacitás mellett, a megfelelő szoftverrel a jelszó feltörhető.
Az utóbbi időben határozott igénnyé vált a szótárakban előforduló szavak jelszóként való felhasználásának megakadályozása. Egyes rendszerekben elő lehet írni a jelszó minimális méretét, valamint, hogy annak tartalmaznia kell kis- és nagybetűt, numerikus karaktereket is. Sok rendszerben korlátozni lehet az egyes jelszavak élettartamát, ha ez letelik, a rendszer figyelmeztetést küld a felhasználónak, hogy változtassa meg jelszavát. A túl gyakori jelszóváltoztatás hátránya, hogy a felhasználók esetleg nem tudják fejben tartani a mindig újabb és újabb változatot, így egy idő után kénytelenek azt leírni.
Más rendszerek maguk is elvégzik a jelszavak kitalálhatóságának vizsgálatát, egy szótár-adatbázissal összehasonlítva azt. Ha a jelszó az ellenőrzésen megbukott, a rendszer értesíti a felhasználót, felszólítva egy újabb jelszó megadására.
Az adminisztratív védelmi eszközök fejlődése magával hozta az olyan külső, azonosításra szolgáló berendezések megjelenését, amelyek a jelszó kiváltására szolgálnak. Egyre jobban elterjednek az úgynevezett smartcard megoldások (pl. home-banking), vagy a hardver-token berendezés használata, amely gombnyomásra mindig új jelszót generál. A jelszót generáló algoritmust természetesen ismernie kell a rendszernek, hiszen csak így tudja, hogy aktuálisan milyen jelszónak kell következnie.
Ma már nem annyira jellemző a használata, de valamikor igen elterjedt fizikai azonosító volt a kulcs is, biztosan sokan emlékeznek rá és használták is.
Ezek az eszközök "megfelelő védelmet" képesek garantálni, előnyük, hogy távolról feltörhetetlenek. Nagy hátrányuk viszont, hogy nem képesek a felhasználó azonosítására, akinek a birtokában vannak, az a rendszer számára jogosult felhasználó. Lopás és elvesztés esetén bárki használhatja ezeket, és hamisításuk is könnyű.
Manapság a legkorszerűbbnek számító védelmi rendszerek biometrikus elven működnek, azaz az ember egyéni jellegzetességeinek felismerésére épülnek. Ezek már nem csak azonosítást végeznek, hanem komplex védelmi feladatok megvalósítására is képesek.
Az ilyen típusú eszközök első családja a felhasználók ujjlenyomatának azonosítására épült. Például miközben az egérrel klikkelgetünk, a rendszer automatikusan összehasonlítja ujjlenyomatunkat a tárolt adatbázisban lévővel, és vagy engedélyezi a belépésünket vagy nem. Ezek a rendszerek a legegyszerűbbek közé tartoznak, mégis olyan mennyiségű adat tárolását és feldolgozását igénylik, ami csak megfelelően korszerű gép birtokában valósítható meg. A módszer nem biztosítja azt a megbízhatóságot, amely ma már természetes igény az ilyen rendszerekkel szemben. A rendszer problémáját az emberi kéz sérülékenysége jelenti, hiszen egy balesetben az ujjlenyomat örökre megváltozhat, eredménytelenné téve a bejelentkezési kísérletet.
A legkorszerűbbnek az úgynevezett többdimenziós rendszerek számítanak, vagyis azok, amelyek az arc azonosítására, a hanganalízisre és a szájmozgás felismerésére egy~aránt képesek. A rendszer az egyik biometrikus jegy kismértékű megváltozása esetén is biztonságosan azonosítja a felhasználót a másik két jegy alapján.
A rendszer használata elvileg nem igényel speciális berendezéseket, csupán egy szabványos videokonferencia-csomagot. A megfelelő biztonság érdekében természetesen gondosan védeni kell a berendezéseket. Egy kamera esetén például biztosítani kell, hogy annak kimenő jelét ne lehessen egy előre felvettel kicserélni.
Az íriszazonosításon alapuló eljárások azok, amelyek kétségkívül a legmegbízhatóbbak közé tartoznak. Az eddigi tapasztalatok szerint az írisz mintázata az egyének meglehetősen stabil azonosítását teszi lehetővé, azonkívül a sérülések ellen sokkal jobban védett, mint például a kéz. Az elv az emberi szem retinája fényvisszaverési és -elnyelési tulajdonságainak mérésén alapul, miközben a felhasználó bizonyos távolságból egy fényforrásba néz. A rendszer a mért értékeket hasonlítja össze egy letárolt mintával.
A biztonság fokozható az azonosítási módszerek kombinálásával, mindenki által ismert példa erre az ATM automaták által alkalmazott felhasználó azonosítási eljárás. A jogosultság megállapításához nem elég a bankkártya birtoklása, szükség van a PIN-kód (mint jelszó) ismeretére is.
A védelmi rendszerek által megvalósítandó igen fontos feladat a titkosítás vagy rejtjelzés, amely kiterjedhet a tárolt adatok és az adatforgalom titkosítására is. Algoritmikus szempontból egy titkosító rendszer két fő komponensből áll, a titkosító kódoló, dekódoló transzformációkból, és a kriptográfiai protokollokból.
A titkosító algoritmus olyan matematikai apparátust jelent, amely tetszőleges, nyílt adathalmazból úgy állít elő egy transzformált, kódolt adathalmazt, hogy abból az eredeti visszanyerhető legyen. Alapvető követelmény a titkosító algoritmussal szemben, hogy változtassa meg az adathalmaz statisztikai szerkezetét, a titkosított adathalmaz véletlen statisztikai szerkezetet mutasson.
Titkos kulcsú titkosítás
A titkosítási módszernél minkét félnek ismernie kell a titkosításhoz használt kulcsot. A kulcsot a feltörhetetlenség érdekében periodikusan cserélni kell, erről egy biztonságos csatornán értesíteni kell a másik felet. A biztonságos csatorna kialakítása és használata igen költséges, hiszen ellenkező esetben nem is kellene titkosítást alkalmazni, ezen a csatornán lehetne az üzenetet nyílt formában továbbítani. A kulcskiosztási problémák feloldására vezették be a kulcskiosztási protokollokat
A titkos kulcsú kódolás legelterjedtebb algoritmusa a DES. A Data Encryption Standard (DES) néven ismert adattitkosítási szabványt 1977-ben fogadta el az Egyesült Államok kormánya. Az algoritmust az IBM fejlesztette ki bankterminálok, számítógépes távfeldolgozó rendszerek és számítógép-hálózatok védelmi rendszerének algoritmikus eleme céljából. A DES 56 bites kulccsal dolgozik, az ezáltal nyújtott biztonságot ma már nem mindenhol tartják elegendőnek, így elterjedt a triple-DES kódolás használata.
A DES-t megalkotása óta folyamatosan érik a kritikák: az IBM eredetileg 128 bites kulcsot tervezett, ezt később módosították 56 bitesre, sokak szerint azért, hogy a kormány számára lehetővé váljanak az esetleges későbbi lehallgatások. Az IBM nem hozta nyilvánosságra a szorzat rejtjelzéshez választott S-dobozok választásának indoklását, így nem lehet kizárni, hogy létezik olyan algoritmus, mellyel a kulcs egyszerűen megfejthető (mostanáig ilyen algoritmus nem került nyilvánosságra).
Nyilvános kulcsú titkosítás
A nyilvános kulcsú titkosítás leggyakrabban alkalmazott algoritmusa az RSA. Ennél a módszernél mindkét félnek két kulcsa van: egy titkos, melyet csak ő ismer, ezt nem kell és nem is szabad tudatnia senkivel, valamint egy nyilvános kulcsa, melyet mindenki ismer. A küldő fél a címzett nyilvános kulcsával végzi el az üzenet kódolását, majd ezt továbbítja. Az így kódolt üzenetet a címzett az ő titkos kulcsával tudja visszafejteni. A módszer nem igényli a kulcsok periodikus cserélgetését.
A nyilvános kulcsból a titkos kulcsot csak nagyszámú művelet segítségével lehet előállítani. A módszer biztonságossága egy NP-teljes matematikai problémán, a prímszámfejtésen alapul. Az még matematikailag nincs bizonyítva, hogy a probléma megfejtésére nem létezik algoritmus, mellyel az "egyszerűen" visszafejthető (eddig ilyen módszer nem került nyilvánosságra, noha ez a matematikának egy igen erősen kutatott területe).
Mindazonáltal az RSA algoritmus nem tökéletes kriptorendszer, hiszen elvileg lehetőség lenne a nyílt adatok birtokában az összes nyílt üzenethez tartozó titkosított üzenet kiszámítására. Ezeket párban tárolva tetszőleges titkosított üzenethez tartozó nyílt üzenet meghatározható. Ez azt jelenti, hogy a titkos üzenet minden információt tartalmaz az üzenetre vonatkozóan, és nem azt, hogy a titkos kulcs visszafejthető. Az RSA algoritmus másik hátránya, hogy maga a kódolás is igen számításigényes, azaz nagy mennyiségű adatot nem célszerű RSA-val kódolva továbbítani. Az RSA gyakori alkalmazási formája, hogy az üzenetváltásnál használt DES kulcsot továbbítjuk segítségével, ily módon alakítva ki biztonságos csatornát.
Mint arról már volt szó, algoritmikus szempontból egy titkosító rendszer két fő komponenst tartalmaz: egyrészt a titkosító kódoló és dekódoló transzformációkat, másrészt kriptográfiai protokollokat. A protokoll algoritmikus lépések sorozata két vagy több résztvevő partner között valamely feladat végrehajtása céljából. [5]
Szükségesek olyan szabályok, amelyek biztosítják, hogy a titkosító transzformációk egy adott alkalmazásban a megkívánt titkosságot vagy hitelességet nyújtsák. A transzformáció többnyire egy kulcsot használ, de a transzformációt végrehajtó algoritmus nem gondoskodik e kulcs védett célba juttatásról (kulcskiosztás), a tárolás ideje alatti algoritmikus védelméről (pl. hitelességének biztosítása).
Aktív támadások ellen egy titkosító transzformáció önmagában nem véd, így megfelelő szabályokkal kell gondoskodni az üzenetek támadó általi manipulációjának (blokkok nyilvános csatornából történő kivonása vagy helyettesítése) felfedhetőségéről.
Protokollok felhasználásával történik a kommunikáló partnerek hitelességének megállapítása, az illetéktelen megszemélyesítés felfedése és megakadályozása is. A legerősebb titkosító transzformáció sem nyújt védettséget egy hibásan tervezett protokollkörnyezetben.
A kriptográfiai protokollok az algoritmusok igen széles családját foglalják össze. Az gyakorlatban leginkább alkalmazott, alapvető protokollok a következő csoportokba sorolhatók:
A közelmúlt eseményei bizonyították, hogy a legprecízebben kialakított védelmi rendszer sem jelent teljes biztonságot. Hiába alkalmazzuk a legtökéletesebb titkosítási eljárásokat az információ átvitele során, ha gépünk nem kisugárzásvédett helyen van telepítve. Az információk jogosulatlan megszerzéséhez elegendő egy irányított antennával ellátott megfelelő berendezés. Az alapelv a katódsugárcsövek működése folyamán "melléktermékként" keletkezett kisugárzott jelek vételére és rekonstruálására épül. A berendezés a számítógép szórt elektromágneses terét fogja, és ebből rekonstruálja az eredeti tartalmat. A legerősebb jelek azok, amelyeket a képernyő sugároz, bár például a billentyűzet kábelén haladó jeleknek is van kisugárzása, csak ezek jóval kisebb intenzitásúak.
A problémát az okozza, hogy a monitorokon megjelenő adatok még (vagy már) titkositatlan formában vannak jelen. Egy irányított antenna segítségével a monitoron megjelenő összes jel rekonstruálható.
Növeli a módszer veszélyét, hogy az a lehallgatott fél számára észrevehetetlen. A védekezésnek két módszere létezik, egyrészt a különböző árnyékolási technikák (például a NATO-ban is), másrészt egy speciális szoftver használata.
A szoftveres megoldásról egy NATO tudományos konferencián megtartott elő~adáson6hallottam először, azóta ingyenesen letölthető programot is feltettek az Internetre. A módszer speciális karaktertípus használatán alapul. A karakterkészlet sajátossága, hogy jelek szélei el vannak simítva, nincsenek élek, így a monitor szórt energiája sokkal kisebb, mint a hagyományos karakterkészlet használata esetén.
Meggyőződésem, hogy már az eddigiek is teljes mértékben alátámasztják a következő - az internetről származó - idézetet: "Nincs teljes biztonság, csak minimális kockázat, a biztonság tehát tudatos kockázatvállalás!"
Az informatikai védelem szempontjából láthatóan nagy jelentősége van a felhasználók megbízható azonosításának, az adatbázisok és az adatforgalom titkosításának. Gondoljunk csak a korábban idézett kínai tábornok kijelentésére, ha az informatikai védelem nem megfelelő, akkor általa közvetve veszélybe kerülhet egy állam társadalmi, gazdasági rendszere, csökkenhetnek védelmi képességei.
Óhatatlanul felmerül a kérdés: Hol lehet meghúzni azt a választóvonalat, amelyet átlépve a komputerizáció már nemcsak értünk, hanem potenciálisan ellenünk is dolgozik?
Egy biztos, elmúlt az az időszak, amikor a hálózatok elleni sikeres támadásnak a bosszúságon kívül nem sok hatása volt. Ma a komplex védelmi rendszer megtervezése szempontjából alapvető, hogy a biztonságot befolyásoló veszélyek és kockázatok komplex módon, egymással kölcsönhatásban jelennek meg. Ez azt jelenti, hogy az egyes országok biztonsága - csak nemzetközi keretben - és az államok rendelkezésére álló valamennyi eszköz együttes alkalmazásával garantálható.
FELHASZNÁLT IRODALOM