Navigacio
Szakmai oldal:
RSS
Jásdi Kiss Imre: Hatodik Pecsét
Bejelentkezés
üdvözlet
A MAI NAPTÓL (2015/09/22) AZ ÚJ WEBOLDALUNK A: HTTP://POSTAIMRE.MAGYARNEMZETIKORMANY.COM :)
.....................
(A www.postaimre.net a továbbiakban szakmai oldalként müködik
az egykoti www.magyarnemzetikormany.com/pi-klub cím - archiv oldalként, amint tapasztalhatjátok - még mindig elérhetö.)
.....................
(A www.postaimre.net a továbbiakban szakmai oldalként müködik
az egykoti www.magyarnemzetikormany.com/pi-klub cím - archiv oldalként, amint tapasztalhatjátok - még mindig elérhetö.)
Komoly támadásoknak van kitéve a bankban lévõ pénz
Egyre gyakrabban fordulnak elõ vírus -és kibertámadások, mind nagyobb és valóságosabb problémát jelentenek a bankoknak és kormányzatoknak. A témáról Keleti Artúr, a T-Systems biztonsági szakértõje tartott elõadást a T-Systems Symposium 2012 konferencián.
A külsõ támadásokkal szembeni kiszolgáltatottságot mint az informatika betegségét az a gyors fejlõdési folyamat idézte elõ, amely egyre komplexebb, ezáltal egyúttal sérülékenyebb és szinte átláthatatlan rendszereket hozott létre. Az IT a mindennapok szinte összes területén jelen van, és az integrált eszközök egyre többet kommunikálnak egymással. "Az, hogy például a kenyérpirítókban nincsen szoftver, is csak percek kérdése." - mondta Keleti Artúr.
A rendszerek gyors változása tovább nehezíti a helyzetet, "a pénzintézeteknél egy frissítés kiadása a napi horror része" - fogalmazott az elõadó. Például miután az Oracle az egyik frissítését kibocsátotta, már 25 perccel késõbb jelezte a CERT (az EU informatikai védelemmel foglalkozó szervezete), hogy támadás indult a bankok rendszere ellen. Azt megelõzõen történt mindez, mielõtt a bankoknak ideje lett volna a frissítések telepítésére.
A támadások sok forrásból erednek, és indítékuk is változó. A politikai támadásokat elkövetõk, a "hacktivisták", mint például az Anonymous csoport tagjai, gyakran okoznak fejfájást a kormányzatoknak, például azzal, hogy átírják az alaptörvényt, vagy éppen - ahogy Ausztriában elõfordult - 25 ezer rendõrnek az adatait teszik elérhetõvé az interneten. A nemzeti adatvagyon védelmét felismerve a magyar parlament hétfõn elfogadta a kritikus infrastruktúrák védelmérõl szóló törvényt, amelyben nagy hangsúlyt kap az információbiztonság.
A Kürt Zrt. véleménye a törvényrõl
A közelmúltban bekövetkezett természeti és ipari katasztrófák miatt az érintett hatóságok tevékenységének hangsúlya a veszélyek megelõzésének, hatásuk mérséklésének irányába tolódott el. A törvény hatálya alá tartozó szervezetek számára az átfogó kockázatmenedzsment a napi tevékenység részévé kell, hogy váljon. Ennek elengedhetetlen része a sérülékenységek rendszeres feltárása (legális hackelés) és a kockázatkezelõ intézkedések megnevezése, végrehajtása (hardening). Ez megnyilvánul majd a hatékonyság javulásában, az üzletmenet, az üzleti, termelési folyamatok stabilitásának növekedésében, a biztonsági incidensek számának csökkenésében, és persze az ügyfelek elégedettségében is - véli az informatikai biztonsággal foglalkozó cég.
A kiberháború már nem tudományos fantasztikum, hanem hadviselési szempontból értelmezhetõ fogalom, ezért a kormányzatnak egy támadás esetén felelõsségi körök kialakítására lehet szüksége. Fontos lenne tisztázni, hogy például "egy pénzintézet megtámadása esetén csak a banknak, vagy a kormányzatnak is, esetleg a katonaságnak, vagy a rendõrségnek is szerepet kell-e vállalnia egy hackertámadás elhárításában" - fejtette ki Keleti.
A kibertér kalózait gyakran lebecsülik, általában csak úgy gondoltak rájuk, mint akiknek a motivációja annyiból áll, hogy "mielõtt szólnak, hogy kész a vacsi, még felnyomnak néhány weboldalt. Ez ma már megváltozott." A hackereknek több altípusa létezik, a motivációik alapján különböztethetõek meg. Angliában, az Egyesült Államokban vagy például Németországban is toboroznak kiberkatonákat, a britek nemrég indítottak egy ilyen programot, amely során az "x-boxozó", végzettség nélküli informatikusokat keresik, akik sokszor jobban értenek a kibertámadásokhoz, mint tanult társaik. Ezzel felszívják azt a munkaerõt, aki hasznos és egyben veszélyes is lehet.
A pénzintézetek szempontjából az egyik legfontosabb hackertípus a kiberbûnözõk közül a fraudster, aki informatikai eszközökkel hamisításokat és csalásokat hajt végre Õk jelentik a legnagyobb kockázatot számukra. Egy nagyszabású csalássorozat indult az év elején Olaszországból, ahol fraudsterek olyan trójai eszközöket terjesztettek el, amelyek feltelepülnek a számítógépekre, hogy ellopják az ügyfél online banki adatait, például az intézõbe beépülve. Ezután a felhasználó helyett végeznek el olyan tranzakciókat, amelyekrõl õ nem tud, mert a kliensfelületen látszólag minden rendben van.
Ennek a módszernek azonban már nemcsak kliens, hanem szerver oldali megoldása is létezik legújabban. Hackerek egy szervert üzemeltetnek valahol, ez kommunikál a kliensekkel, és összehangolja a munkájukat. Ezzel kijátszható a többfaktorú azonosítás is, mert az ügyfél a például SMS-ben kapott kódját valójában az alkalmazásnak adja meg. A szerverek megoldják azt is, hogy úgy utasítják a klienseket, mintha azok felhasználók lennének, vagyis várnak, lapozgatnak, hibáznak, hogy nehezebb legyen kiszûrni a számítógépes bejelentkezéseket. A csalássorozat 100 millió eurós nagyságrendû károkozást okozhatott becslések szerint, amely jelentõs részét a bankok megtérítik ügyfeleiknek az ügyféllojalitás megõrzése érdekében.
A kiberkémek és szabotõrök aktívan mûködnek például Kínában és Koreában, ahol kormányzati megbízásból foglalkoznak azzal, hogy informatikai rendszerekbe törnek be adatlopási céllal. A kiberterroristák fizikai terrortámadásokat kiviteleznek a kibertér manipulálásával, és léteznek "kiberfegyver nepperek" is. A "kiberfegyver kereskedõk" olyan eszközöket gyártanak kormányzati vagy bûnszervezetek részére, amelyek kibertámadás bonyolítására alkalmasak úgy, hogy azt például egy bank nem veszi észre, mert olyan "nulladik napi sérülékenységekre" épülnek, amit még nem ismer. A védelem megerõsítése a banki alaprendszerek érinthetetlenségének megváltoztatását is igényli, amiben a bankoknak nyitnia kellene az informatikusok, IT-cégek felé - vonta le a konklúziót az elõadó.
Link
A külsõ támadásokkal szembeni kiszolgáltatottságot mint az informatika betegségét az a gyors fejlõdési folyamat idézte elõ, amely egyre komplexebb, ezáltal egyúttal sérülékenyebb és szinte átláthatatlan rendszereket hozott létre. Az IT a mindennapok szinte összes területén jelen van, és az integrált eszközök egyre többet kommunikálnak egymással. "Az, hogy például a kenyérpirítókban nincsen szoftver, is csak percek kérdése." - mondta Keleti Artúr.
A rendszerek gyors változása tovább nehezíti a helyzetet, "a pénzintézeteknél egy frissítés kiadása a napi horror része" - fogalmazott az elõadó. Például miután az Oracle az egyik frissítését kibocsátotta, már 25 perccel késõbb jelezte a CERT (az EU informatikai védelemmel foglalkozó szervezete), hogy támadás indult a bankok rendszere ellen. Azt megelõzõen történt mindez, mielõtt a bankoknak ideje lett volna a frissítések telepítésére.
A támadások sok forrásból erednek, és indítékuk is változó. A politikai támadásokat elkövetõk, a "hacktivisták", mint például az Anonymous csoport tagjai, gyakran okoznak fejfájást a kormányzatoknak, például azzal, hogy átírják az alaptörvényt, vagy éppen - ahogy Ausztriában elõfordult - 25 ezer rendõrnek az adatait teszik elérhetõvé az interneten. A nemzeti adatvagyon védelmét felismerve a magyar parlament hétfõn elfogadta a kritikus infrastruktúrák védelmérõl szóló törvényt, amelyben nagy hangsúlyt kap az információbiztonság.
A Kürt Zrt. véleménye a törvényrõl
A közelmúltban bekövetkezett természeti és ipari katasztrófák miatt az érintett hatóságok tevékenységének hangsúlya a veszélyek megelõzésének, hatásuk mérséklésének irányába tolódott el. A törvény hatálya alá tartozó szervezetek számára az átfogó kockázatmenedzsment a napi tevékenység részévé kell, hogy váljon. Ennek elengedhetetlen része a sérülékenységek rendszeres feltárása (legális hackelés) és a kockázatkezelõ intézkedések megnevezése, végrehajtása (hardening). Ez megnyilvánul majd a hatékonyság javulásában, az üzletmenet, az üzleti, termelési folyamatok stabilitásának növekedésében, a biztonsági incidensek számának csökkenésében, és persze az ügyfelek elégedettségében is - véli az informatikai biztonsággal foglalkozó cég.
A kiberháború már nem tudományos fantasztikum, hanem hadviselési szempontból értelmezhetõ fogalom, ezért a kormányzatnak egy támadás esetén felelõsségi körök kialakítására lehet szüksége. Fontos lenne tisztázni, hogy például "egy pénzintézet megtámadása esetén csak a banknak, vagy a kormányzatnak is, esetleg a katonaságnak, vagy a rendõrségnek is szerepet kell-e vállalnia egy hackertámadás elhárításában" - fejtette ki Keleti.
A kibertér kalózait gyakran lebecsülik, általában csak úgy gondoltak rájuk, mint akiknek a motivációja annyiból áll, hogy "mielõtt szólnak, hogy kész a vacsi, még felnyomnak néhány weboldalt. Ez ma már megváltozott." A hackereknek több altípusa létezik, a motivációik alapján különböztethetõek meg. Angliában, az Egyesült Államokban vagy például Németországban is toboroznak kiberkatonákat, a britek nemrég indítottak egy ilyen programot, amely során az "x-boxozó", végzettség nélküli informatikusokat keresik, akik sokszor jobban értenek a kibertámadásokhoz, mint tanult társaik. Ezzel felszívják azt a munkaerõt, aki hasznos és egyben veszélyes is lehet.
A pénzintézetek szempontjából az egyik legfontosabb hackertípus a kiberbûnözõk közül a fraudster, aki informatikai eszközökkel hamisításokat és csalásokat hajt végre Õk jelentik a legnagyobb kockázatot számukra. Egy nagyszabású csalássorozat indult az év elején Olaszországból, ahol fraudsterek olyan trójai eszközöket terjesztettek el, amelyek feltelepülnek a számítógépekre, hogy ellopják az ügyfél online banki adatait, például az intézõbe beépülve. Ezután a felhasználó helyett végeznek el olyan tranzakciókat, amelyekrõl õ nem tud, mert a kliensfelületen látszólag minden rendben van.
Ennek a módszernek azonban már nemcsak kliens, hanem szerver oldali megoldása is létezik legújabban. Hackerek egy szervert üzemeltetnek valahol, ez kommunikál a kliensekkel, és összehangolja a munkájukat. Ezzel kijátszható a többfaktorú azonosítás is, mert az ügyfél a például SMS-ben kapott kódját valójában az alkalmazásnak adja meg. A szerverek megoldják azt is, hogy úgy utasítják a klienseket, mintha azok felhasználók lennének, vagyis várnak, lapozgatnak, hibáznak, hogy nehezebb legyen kiszûrni a számítógépes bejelentkezéseket. A csalássorozat 100 millió eurós nagyságrendû károkozást okozhatott becslések szerint, amely jelentõs részét a bankok megtérítik ügyfeleiknek az ügyféllojalitás megõrzése érdekében.
A kiberkémek és szabotõrök aktívan mûködnek például Kínában és Koreában, ahol kormányzati megbízásból foglalkoznak azzal, hogy informatikai rendszerekbe törnek be adatlopási céllal. A kiberterroristák fizikai terrortámadásokat kiviteleznek a kibertér manipulálásával, és léteznek "kiberfegyver nepperek" is. A "kiberfegyver kereskedõk" olyan eszközöket gyártanak kormányzati vagy bûnszervezetek részére, amelyek kibertámadás bonyolítására alkalmasak úgy, hogy azt például egy bank nem veszi észre, mert olyan "nulladik napi sérülékenységekre" épülnek, amit még nem ismer. A védelem megerõsítése a banki alaprendszerek érinthetetlenségének megváltoztatását is igényli, amiben a bankoknak nyitnia kellene az informatikusok, IT-cégek felé - vonta le a konklúziót az elõadó.
Link
Hozzaszolasok
#1 |
Balu
- 2012. November 18. 00:13:45
#2 |
Balu
- 2012. November 18. 00:45:57
#3 |
Balu
- 2012. November 18. 00:57:01
#4 |
fapipa
- 2012. November 18. 07:15:57
#5 |
spartakusz
- 2012. November 18. 07:29:12
Hozzaszolas küldése
Hozzaszolas küldéséhez be kell jelentkezni.