3.2. Emberi veszélyforrások

Az informatikai rendszerek azon a pontjai a leginkább veszélyeztetettek, amelyeknél ember-gép interakció történik. Nagy különbség van a között, hogy az interakcióban részt vevő személy milyen gyakorlattal rendelkezik és mennyire tudatosan és figyelmesen végzi a feladatát. Attól függően, hogy a felhasználó mekkora hatáskörrel rendelkezik a rendszer működése során és milyen akciókat hajthat végre beszélhetünk ügyintézőről, üzemeltetőről, mérnökről és programozóról. Ez persze egy nagyon durva csoportosítás, de jelen célunknak megfelel és szükség esetén tovább lehet finomítani.

Az ügyintéző szűk jogkörrel rendelkezik, elsősorban adatbevitelt végez és csak a hozzárendelt, korlátozott erőforrásokat használhatja. Egy jól implementált rendszernél még rosszakarattal is legfeljebb lokálisan okozhat kárt. Ennek a kategóriának a tagjai nagy szórást mutatnak abból a szempontból, hogy milyen gyakorlattal rendelkeznek a számítástechnika felhasználásában. A gyakorlatlan felhasználók körében a legnagyobb problémát az jelenti, hogy nem érzik át az azonosítás fontosságát. Gyakran egyszerűen kitalálható jelszót választanak, nem változtatják meg rendszeresen a jelszavaikat vagy a jelszót, PIN kódot, stb. a monitorra írják fel, ahol illetéktelenek is láthatják azt. Smart kártyák használatakor tipikus probléma, hogy a PIN kódot a kártyával egy helyen tartják. A jelszómenedzsmenttel később részletesen fogunk foglalkozni.

Annak ellenére, hogy az ügyintézők korlátozott jogkörrel rendelkeznek, jogosultságaik megszerzése és felhasználása ugródeszkát jelenthet egy támadás számára. A támadók minden eszközt, például megtévesztést és zsarolást is, felhasználnak információk gyűjtésére. Keresik a leggyengébb láncszeme(ke)t, amit sokszor az ügyintézők között találnak meg. Számos, tanulságos példát olvashat az érdeklődő Mitnick és Simon [15] könyvében.

Az üzemeltető széleskörű ismerettel és jogosítvánnyal rendelkezik a rendszer felhasználásával kapcsolatban. Rendszerint munkaviszonyban áll az adattulajdonos szervezettel, de tevékenységét egyre gyakrabban kiszervezik. A szervezettel kapcsolatban fontos információkkal rendelkezik, így titoktartási kötelezettsége van. Rendkívül fontos tehát, hogy ezen emberek ne csak szakmailag legyenek felkészültek, hanem erkölcsi szempontból is fedhetetlenek legyenek. A rendszer üzemszerű működéséért, paraméterezéséért és a hibaelhárítás megszervezéséért felelős.

Feladatai közé tartozik a felhasználók nyilvántartása és jogosultságaik beállítása. Nyomon kell követnie a felhasználók életciklusát a munkahelyre való belépéstől kezdve kilépésükig. Munkába álláskor a felhasználó megkapja a rendszer felhasználásához szükséges információkat és kódokat. Ezen kívül az üzemeltető beállítja a hozzáférési jogosultságaikat is. Sok szervezetnél az üzemeltető dönti el azt is, hogy a felhasználók milyen erőforrásokhoz juthassanak hozzá, milyen jogosítványokkal rendelkezzenek. Ezt a gyakorlatot, különösen nagyobb szervezeteknél nem tartjuk helyesnek, mert az erőforrások és jogosítványok kiosztása felelős döntés, amelyet nem célszerű az üzemeltetőre hárítani. Sokkal jobb, ha ezeket a jogosultságokat a munkakör és beosztás függvényében szabályzatokban rögzítik és az üzemeltető csak a szabályzat végrehajtásával foglalkozik. Ez nemcsak a rendszer biztonságát védi, hanem az üzemeltető felelősségét is csökkenti.

A jogosultság nem statikus, hanem vannak periódikusan változó, illetve egyszeri elemei is. Napi periodicitással történik például a munkába állás, amikor a dolgozó hozzáférhet a munkahelyén hozzá rendelt erőforrásokhoz, majd a munkaidő lejárta után a napi kijelentkezés, ami után a hozzáférését letiltják. Ilyen események kezelésére a biztonsági rendszert fel kell készíteni, nem szabad azt az üzemeltetőre bízni. Bizonyos munkahelyeken és munkakörökben a távoli és munkaidőn kívüli hozzáférés is megengedett. Előfordul, hogy a felhasználó elfelejti a jelszavát, a jelszava kompromittálódik, esetleg elveszíti vagy megrongálódik az azonosításra szolgáló eszköze. Ilyenkor az üzemeltetőnek, az előírásoknak megfelelően naplózva, cserélni kell az azonosítót. Megváltoznak a felhasználó jogosultságai akkor, ha új munkakörbe kerül. Ezek ritkán előforduló események, az üzemeltető felel a változások átvezetéséért. A felhasználó rendszerrel kapcsolatos életciklusa befejeződik, amikor kilép a szervezetből. Ekkor a hozzáférési jogosultságait törölni kell.

A mérnök magas szintű informatikai képzettséggel rendelkező személy, aki nagy informatikai rendszereket implementál. Általában nem áll azzal a szervezettel közvetlen alkalmazásban, ahol a tevékenységét végzi. Munkájának eredményes elvégzéséhez szükséges, hogy a szervezetet és az automatizálandó munkafolyamatokat jól megismerje. Sok bizalmas információt ismer meg, így titoktartási kötelezettsége van, amelyet szerződésben is biztosítani kell. Az általa készített dokumentumokat, implementációs terveket bizalmasan kell kezelni, illetéktelen kézbe jutva ugyanis hasznos információkat nyújthatnak egy esetleges támadónak.

A programozó készíti azokat a programokat, amelyek informatikai rendszereinken működnek. Az informatika hőskorában a számítógépes „guruk” egyedül vagy kis csoportokban dolgoztak, így felkészültségük és tudásuk meghatározó volt az elkészített rendszerek biztonsága szempontjából is. Beépíthettek olyan funkciókat is, amelyek kárt okozhattak. A számítógépes folklórból ismert történet, amikor egy programozót egy banki rendszer elkészítésével bíztak meg. Észrevette, hogy a kamat kiszámításánál rendszeresen kell kerekíteni, ritkán jön ki pontos eredmény. A programot úgy készítette el, hogy az mindig lefelé kerekített és a kerekítési hiba összegét a saját számlájára tette át. Az egyedi hiba csak néhány fillér, fel sem tűnik a tulajdonosnak, összesítve azonban nagy tétel. A programozó ezzel az ötletével, a szabályozás hiányosságát kihasználva jelentős bevételre tett szert.

A nagy programrendszereket ma már jól szervezett vállalkozások készítik, a kódolást sokszor olcsó munkaerővel készíttetik. Az elkészített termékek minőségét komoly minőségbiztosítási rendszer felügyeli. Az egyéni hibák és rosszindulatú beavatkozások káros következményeit ezzel jelentősen lehet csökkenteni. A hibák kiszűrésének másik módja a nyílt forráskódú programok alkalmazása. Ebben az esetben a minőségbiztosítást az a közösség végzi, amelyik a programot fejleszti. Minden felhasználó más egyéniség, így sokféleképpen használják a programot, amelynek a hiányosságaira gyorsan fény derül.

A programozók és a rendszert üzemeltető mérnökök jól ismerik az azonosítással kapcsolatos problémákat. Ha azonban ők maguk vagy jelszavuk korrumpálódik, akkor az nagy veszélyt jelent a rendszerre, hiszen eltulajdoníthatják a programok és adatbázisok fontos elemeit vagy a betolakodó megváltoztathatja a számítógép beállításait és a programokat. Azonosításukat ezért nagyon biztonságosan kell elvégezni. Egyszerű, de fontos szabály, hogy az üzemeltető csak akkor lépjen be a rendszerbe üzemeltetői szerepkörben, ha arra feltétlenül szükség van. Különben dolgozzon felhasználói szerepkörben.

Informatikai rendszerek üzemeltetői egybehangzóan állítják, hogy a legtöbb kárt a social engineering alapú támadások okozzák. Azokat a támadási módszereket, amelyek az emberi viselkedés gyenge pontjait használják ki nevezzük social engineeringnek. Magyar fordítása alkalmazott szociológia lehetne. Ezek a gyenge pontok lehetnek például a velünk született jóindulat, kíváncsiság; hiányos ismeretek és a memóriánk korlátai. A social engineering segítségével a bűnözők hozzáférést szerezhetnek a számítógéphez. A manipuláció célja többnyire az, hogy a számítógépkalózok titokban kémprogramot vagy más kártékony programot telepítsenek a számítógépre, vagy rávegyék a felhasználót, hogy kiadja jelszavait vagy más bizalmas pénzügyi és személyes adatait. Ezek a technikák régóta ismertek, a kémek és a detektívek évszázadok óta használják. Agatha Cristie regényeinek egyik főszereplője, Miss Marple például ügyesen használja ki, hogy vele, a kedves, idős hölggyel szívesen csevegnek az emberek. Nem tételezik fel róla, hogy az információkat egy bonyolult bűnügy felderítésére használja. A történeteket a megtévesztéses támadás tipikus példáinak tekinthetjük. A számítástechnika fejlődésével a social engineering korábban nem ismert módszerei is kialakultak. Itt csak az adathalászattal foglalkozunk, sok más tanulságos példát találhat az olvasó Mitnick és Simon [15] könyvében.

Az adathalászok célpontjai elsősorban a honlappal rendelkező pénzintézetek, de a támadás lényegében minden online szolgáltató ellen irányulhat. Olyan honlapot készítenek, amelyik nagyon hasonlít valamely pénzintézet honlapjára. Ilyen példát mutattunk be az 1.2.4 fejezetben. Nagyon sok, véletlenszerűen kiválasztott e-mail címre küldenek levelet, amelyben kérik a címzettet, hogy nyissa meg a hamis honlapot. Azon személyazonosítás céljából kérik a gyanútlan felhasználó adatait; felhasználói nevét és jelszavát. Ha a célszemély megadja a kért adatokat, akkor azok nem a pénzintézethez, hanem a csalókhoz kerülnek, akik ha gyorsan cselekednek, akkor kiüríthetik a felhasználó számláját.

A felhasználók leveleinek tartalma is érdekli az adathalászokat. Az elektronikus levélforgalomból feltérképezhetik a felhasználó kapcsolatrendszerét, szokásait és érdeklődési körét. Ezeket az információkat általában nem lehet közvetlenül hasznosítani, de támpontot jelenthetnek a támadásokhoz. A 6.1 ábrán bemutatott e-mailt a szerző 2010.10.09-én kapta és arra a webmasterservice@info.al címre kellett volna válaszolnia. Természetesen nem tette és azt tanácsolja, hogy senki se válaszoljon hasonló tartalmú levelekre.

3.1 ábra