A kritikus informatikai rendszerek védelme

Írta: Krasznay Endre
2007-09-11 16:44

A kezdetek

Az idei Hacktivity konferenciának fontos tartalmi része lesz a magyar kritikus információs infrastruktúra védelme. Szekeres Balázs, a PTA CERT-Hungary Központ (PTA CHK), a magyar kormány informatikai biztonsági incidenskezelő központjának műszaki igazgatója is előadó lesz a Fonó Budai Zeneházban megrendezésre kerülő kétnapos konferencián. A PTA CHK a teljes magyar privát, üzleti és állami szféra informatikai rendszereinek biztonsági támogatására alakult, kiemelt szerepe van a nemzetgazdaság és az állami működőképesség szempontjából alapvető fontosságú informatikai rendszerek védelmében. A szervezet egyben tudásközpont szerepét is betölti a magyar polgárok és informatikai szakemberek számára.

Önről és szervezetükről kevés információt találni a neten. Bemutatná néhány mondatban, mivel foglalkoznak? Kíváncsiak lennénk arra is, hogy milyen szakmai életút után lehet egy ilyen szervezetben dolgozni; konkrétan Szekeres Balázs karrierje milyen fontosabb állomásokon ment keresztül?

A PTA CERT-Hungary Központot azért hoztuk létre 2004-ben a Puskás Tivadar Közalapítványnál (PTA), mert nem volt Magyarországon olyan szervezet, amely a kritikus információs infrastruktúrák védelmével foglalkozott volna. 2003-ban Szófiában került megrendezésre a South-Eastern Cybersecurity konferencia, melyet az USA Department of Homeland Security „minisztériuma” szervezett. A konferencián felhívták a térség figyelmét a cybersecurity fontosságára, illetve arra a szervezetre, amelyet a leghatékonyabbnak tartottak a védelem szervezésére és koordinálására, azaz a CERT (Computer Emergency Response Team) vagy CSIRT (Computer Security Incident Response Team) szervezetre. A konferencia után kutatómunkába kezdtünk, feltérképeztük a magyarországi és nemzetközi helyzetet.

Magyarországon akkor két CERT/CSIRT szervezet működött, egyik az NIIF-CSIRT, amely az NIIF hálózatot szolgálta, a másik a HUN-CERT, amely a SZTAKI-ban működött, és az internetszolgáltatóknak nyújtott szolgáltatásokat. A magyar kritikus információs infrastruktúra védelmével egyik sem foglalkozott, ezért 2004-ben az Informatikai és Hírközlési Minisztérium támogatásával elkészítettük a „Magyar kormányzati hálózatbiztonsági központ” (PTA CERT-Hungary Központ) koncepcióját, majd megkezdtük a kiépítést és a működtetést. Az azóta eltelt időben a PTA CERT-Hungary Központ folyamatosan fejlődött, akkreditált tagjai lettünk az európai CERT-ek szervezetének (Task Force-CSIRT/Trusted Introducer), a CERT-ek világ szervezetének (Forum of Incident Response and Security Teams) és nyolcadik tagként az Európai kormányzati CERT szervezetek szoros együttműködésének (European Governmental CERTs). Alapító tagjai vagyunk a 2004-ben alakult kritikus információsinfrastruktúra-védelmi nemzetközi együttműködésnek (International Watch and Warning Network), amely a 14 legfejlettebb gazdasággal rendelkező ország – többek között az USA, Németország, Hollandia, Ausztrália, Japán – és Magyarország részvételével zajlik.

Hazai szinten a kezdetektől szorosan együttműködünk a HUN-CERT-tel, illetve a Nemzeti Nyomozó Irodával. 2005-től megkezdtük az együttműködést a Magyar Bankszövetséggel, akikkel közösen gyakorlatokat tartunk. 2006 májusától beindítottuk a folyamatos 24/7 órás ügyeleti rendszerünket, ahol fogadni tudjuk az incidens-bejelentéseket.

Magamról röviden annyit mondanék, hogy 1998-ban végeztem a Könnyűipari Műszaki Főiskola Biztonságtechnikai mérnöki szakán, majd 2002-ben a Budapesti Műszaki és Gazdaságtudományi Egyetemen mint bankinformatikai szakmérnök. 1998-tól 2003-ig az Ernst and Young Kft.-nél a Technology and Security Risk Services csoportban dolgoztam vezető tanácsadóként, itt első sorban internetbiztonsági átvilágításokkal, attack and penetration tesztekkel, valamint hitelesítésszolgáltatókkal és a digitális aláírás témakörével foglalkoztam. 2003-ban csatlakoztam a Puskás Tivadar Közalapítványhoz, ahol feladatom a PTA CERT-Hungary projekt előkészítése és elindítása volt az első időkben, majd az üzem beindítása után mint műszaki igazgató felelős vagyok a PTA CERT-Hungary Központ üzemeltetéséért és fejlesztéséért.

Néhány hete a hazai informatikai vállalatok érdekszervezete, az IVSZ megfogalmazta egy közleményben, hogy az államnak nagyobb szerepet kell vállalnia a védelmi képességek fejlesztésében. Szerintük komolyan kell venni az információs hadviselés témakörét, amely a hadviselés egy olyan új formája, ahol az információ, illetve az információs rendszerek elleni támadások kerülnek előtérbe. Fontos – állítják –, hogy az állami szerepvállalás a védelemre összpontosuljon, és e védelem kapcsán a gazdaság működőképességének fenntartása, a társadalom, a kultúra fenntartása és fejlődési ütemének biztosítása fogalmazhatók meg fő célokként. Hogyan értékeli az IVSZ megszólalását?

Egyetértünk ezzel az állásfoglalással, hozzátéve, hogy történtek már lépések az állam részéről a kritikus infrastruktúra védelme területén, megjelent például a „Zöld könyv”, amelynek célja a Nemzeti Kritikus Infrastruktúra Védelméről szóló nemzeti program és jogszabály megalkotása. A PTA CERT-Hungary Központ alapító tagja a nemzetközi kritikus információsinfrastruktúra-védelmi hálózatnak (International Watch and Warning Network), ahol a résztvevő országok jogszabályalkotói, kormányzati CERT szervezetei és a bűnüldöző szervek működnek együtt a globális problémák kezelésében.

A legnagyobb multinacionális informatikai vállalatok támogatnák egy olyan állami intézmény kijelölését vagy létrehozását, amely egy személyben felelős lenne az információs hadviseléshez kötődő, különösen a kritikus információs infrastruktúrák védelmével kapcsolatos feladatok meghatározásáért, koordinálásáért, végrehajtásáért, ellenőrzéséért. A PTA CERT-Hungary meg tudna oldani egy ilyen feladatot?

A PTA CERT-Hungary Központ egyik legfőbb feladata a kritikus információs infrastruktúra védelme, de nem csupán az információs hadviseléshez kötődve. A kritikus információs infrastruktúra védelme nemcsak egy szervezet feladata, együttműködést igényel a kormányzati és a magánszféra között hazai és nemzetközi szinten is. 2006-ban Budapesten került megrendezésre a PTA CERT-Hungary Központ szervezésében a Meridian 2006 kormányzati kritikus információsinfrastruktúra-védelmi nemzetközi konferencia 23 ország részvételével. A Meridian célja, hogy létrehozzon és hatékonyan üzemeltessen egy nemzetközi hálózatot az egyes kormányzatok között e területen. A tavalyi konferencia óta a PTA CERT-Hungary Központ a Meridian szervezet elnökségi tagja, továbbá üzemelteti a Meridian konferenciák honlapját, és mi adjuk ki a negyedéves hírleveleket. A PTA CERT-Hungary Központ természetesen meg tudna oldani egy ilyen feladatot.

A megboldogult Informatikai Minisztérium 2004 végén azt tervezte, hogy a PTA CERT-Hungary központot 2-3 éven belül Kritikus Infrastruktúra Védelmi Információmegosztó Központtá fejleszti. Hogy áll jelenleg ez az elképzelés?

A jelenlegi helyzet az, hogy több területen előrehaladtunk az információmegosztó központ kialakításában. A Puskás Tivadar Közalapítvány közreműködőként üzemelteti a Nemzeti Hírközlési Hatóság Országos Informatikai és Hírközlési Főügyeletét (OIHF), ami szintén egy folyamatos 7/24 órás ügyeleti szolgálat. Az OIHF informatikai jelentései a PTA CERT-Hungary Központtól származnak. Kialakítottunk egy magyar nyelvű szoftversérülékenységi adatbázist, ahol kockázatértékeléssel együtt magyar nyelven szerepeltetjük a megbízható információforrásból származó szoftversérülékenységi információkat.

Feladatok

Szó volt róla, hogy az ENISA (European Network and Information Security Agency), az Európa Unió hálózatbiztonságért felelős szervezete Magyarországra kívánja telepíteni a CERT szervezetek tevékenységét koordináló munkacsoportját, és az USA által megfogalmazott „elvárás” szerint, létrejöhetne CERT témában egy délkelet-európai központ, amelyre jó eséllyel pályázhatna Magyarország. Azt is hallottuk, hogy a FIRST szervezet is létesítene Magyarországon központot. Miért nem valósultak meg ezek az elképzelések?

Jelenleg az ENISA alelnöke dr. Suba Ferenc, a PTA CERT-Hungary Központ testület elnöke is egyben. A PTA CERT-Hungary Központ testületben szerepet kapott még egy fő a Magyar Bankszövetség bankbiztonsági munkacsoportjából, illetve a HUN-CERT vezetője is. Dr. Suba Ferencnek egyik fő feladata az ENISA-ban a CERT szervezetek koordinálása és Délkelet-Európában a CERT szervezetek létrehozásának támogatása. 2003-ban a délkelet-európai központ feladatát az USA illetékesei Bulgáriának szánták. Jelenleg az a helyzet, hogy a PTA CERT-Hungary Központ segítségével fogják a bolgárok a saját kormányzati CERT szervezetüket kialakítani. Térségünkben jelenleg a PTA CERT-Hungary Központ az egyetlen kormányzati CERT szervezet, még Ausztria is csak most kezdte meg a kialakítását szintén a mi segítségünkkel. Horvátországban állítólag a döntés már megszületett, azonban még nem jutottak a megvalósítás fázisába. A többi térségbeli országban legfeljebb akadémiai CERT működik 2-3 részmunkaidős szakemberrel.

A FIRST (Forum of Incident Response and Security Teams – http://www.first.org) nem tervezi regionális központok, így európai központ létesítését sem. A FIRST mint világszervezet együttműködik a regionális szervezetekkel szerte a világon, így Európában a Terena keretein belül működő Task Force-CSIRT/Trusted Introducerrel, amely a CERT szervezetek európai szervezete és a PTA CERT-Hungary Központ 2006 februárja óta akkreditált tagja. 2007 januárjában a PTA CERT-Hungary Központ volt a házigazdája a TF-CSIRT/Trusted Introducer konferenciának és közgyűlésének, melyet a FIRST is támogatott egy technikai nappal.

Milyen feladatokat lát el jelenleg az Ön által képviselt intézmény? Hányan dolgoznak a szervezetnél? Milyen a kapcsolatuk a döntéshozókkal és a piaci szereplőkkel? Milyen forrásokból fedezik működésüket?

A PTA CERT-Hungary Központ feladatai jelenleg a kritikus információs infrastruktúrák védelme érdekében az incidenskezelés (például phishing, DDoS, stb.), a szoftversérülékenység-kezelés, a biztonsági tudatosság növelése (például www.biztonsagosinternet.hu), illetve a nemzeti kapcsolati ponti szerep ellátása ezekben a témákban. Jelenleg 12 fő dolgozik közvetlenül a PTA CERT-Hungary Központnál, ebből 4 fő látja el az ügyeleti tevékenységet, 3 a fejlesztésekkel és a készenléti ügyelettel, 3 a tudatosság növeléssel, jogi kérdésekkel, marketinggel, a hazai és a nemzetközi kapcsolatokkal, illetve 2 a gazdasági és adminisztrációs feladatokkal foglalkozik. Az OIHF ügyeletén ezen kívül 5 fő dolgozik. Az OIHF üzemeltetése miatt közvetlen szakmai kapcsolatunk van a Nemzeti Hírközlési Hatósággal és azon keresztül a Gazdasági és Közlekedési Minisztériummal. A PTA CERT-Hungary Központ szakmai felügyeletét a Miniszterelnöki Hivatal Elektronikuskormányzat-központ látja el. Tagjai vagyunk az IVSZ-nek, illetve 5 magyar informatikai biztonsági vállalkozással (Virusbuster Kft., Kürt ZRt., Balabit Kft., E-Group cégcsoport, Megatrend Zrt.) együtt létrehoztuk az eSec.hu konzorciumot. A kormányzati megszorítások sajnos minket is komolyan érintettek, jelenleg a MeH EKK-val van szerződésünk a kormányzati informatikai rendszer incidenskezelési szolgáltatásaira. Egyéb forrásaink lehetnek a pénzintézetek, ahol piaci alapon próbáljuk meg értékesíteni szolgáltatásainkat, illetve nemzetközi konzorciumok tagjaként EU-forrásokra is pályázunk.

A szakemberek arra figyelmeztetnek: a kiberbűnözők figyelme egyre inkább az iWiW- és MyVIP-féle közösségi oldalak felé fordul. Az ilyen szájtok forgalma ugrásszerűen nőtt az utóbbi két évben; az eleinte „rendeltetésszerűen” használt oldalakon azóta szinte mindennaposak a féllegális adatgyűjtések (cégek, szervezetek ismerősgyűjtése) – a vírusok terjesztése a következő lépcsőfok. A terroristák is a legzsúfoltabb helyeken robbantanak, hogy maximalizálják az áldozatok számát. Itt a kiberbűnözők a terroristák, a vírus a bomba és a közösségi oldalak a legzsúfoltabb világhálós helyszínek. Mit szól ehhez a nem túl rózsás előrejelzéshez? Hogyan lehetne megelőzni a bajt?

Ezzel a nyilatkozattal csak egyet tudok érteni! Az internetbiztonság egyik legalapvetőbb eleme a biztonságos és tudatos használat. A támadások legnagyobb része nem az egyes szoftverek vagy rendszerek gyengeségeit használja ki, hanem a felhasználók hiszékenységét. Elég csak az adathalászatra gondolni, és máris látszik, hogy a támadás nem a banki informatikai rendszerek ellen irányul közvetlenül, hanem a hiszékeny felhasználó ellen. A közösségi oldalak legnagyobb veszélye, hogy a felhasználók közzétesznek olyan adatokat, amelyekkel nagyon könnyű visszaélni. A bajt csak úgy lehet megelőzni, ha tudatosítjuk a felhasználókban, hogy az internet alapvetően egy nem biztonságos hely. Erre a tudatosításra egy példa a fenti nyilatkozat. A PTA CERT-Hungary Központ ezért hozta létre a biztonsági tudatosságot növelő oldalát, a www.biztonsagosinternet.hu-t, ahol megpróbáltuk közérthető nyelven elmagyarázni az internettechnológia veszélyeit. A tudatosságnövelő munka keretében került megrendezésre 2005-ben a legnagyobb európai szakmai esemény, az Information Security Solutions Europe éves konferenciája Budapesten, a PTA CHK közreműködésével.

Véleményem szerint már az általános iskolában kéne oktatni a biztonságos internethasználatot, ugyanis a mai gyerekek már úgy nőnek fel, hogy teljesen természetesen használják az internettechnológiát, azonban ha nem mondjuk el nekik a veszélyeket, akkor nem fognak tudni védekezni azok ellen.

Elmesélne nekünk egy olyan konkrét történetet, amikor a PTA CERT-Hungary akcióba lendült valamilyen támadásnál?

Több nemzetközi adathalász-bejelentést is kaptunk már, amikor magyarországi szervereken helyezték el adathalászok külföldi bankok phishing oldalait. Ha már az információs hadviselésnél tartunk, nemzetközi szinten a PTA CERT-Hungary Központ is részt vett az Észtország ellen irányuló DDoS-támadás felszámolásában, ugyanis hazánkban is voltak olyan rendszerek, ahonnan támadták az észtországi kormányzati rendszereket. A legjelentősebb esetünk azonban a 2006 novemberében kezdődő adathalász támadás volt, amely magyarországi bankok ellen zajlott. A PTA CERT-Hungary Központ feladata az volt, hogy koordinálja nemzetközi szinten az adathalász incidensek kezelését, azaz távolíttassa el az adathalász oldalakat. Találtunk adathalász oldalt a világ több pontján (például Szingapúrban, New Yorkban, Japánban, Kínában, Németországban, stb.), ahol a támadás „trükkje” az volt, hogy a tucatszámra feltört gépek egyaránt voltak web- és DNS-szerverek. Ezek ráadásul lekérdezésenként más-más gépre mutattak a csoportból, így ha az egyik gép ki is esett a láncból, a többi ugyanúgy működött tovább, és a felhasználó folyamatosnak érzékelte a phishing oldal működését. A globálisan szétszórt hálózat miatt első körben a TLD-szervereken keresztüli doménblokkolás volt a leggyorsabb megoldás, majd ezt követte az érintett gépek deaktiváltatása. Általában az oldalak megjelenése után 12-24 órával már nem voltak elérhetők az adathalász oldalak, ami a hatékony nemzetközi CERT együttműködésnek köszönhető.

Az adathalászat ebben az évben kiemelt figyelmet érdemel, nem véletlen, hogy a bankok igyekeznek gyorsan eltüntetni a nyomokat. Reményeink szerint a Hacktivity konferencián további részleteket is megismerhetünk a hazai dolgainkról. Köszönjük az interjút!

***

Az IT.news a Hacktivity kapcsán egy informatikai biztonsági játékot (vetélkedőt) indított, és megkértük az előadókat, hogy egy kérdést tegyenek fel játékos kedvű olvasóinknak. Szekeres Balázs is teljesítette kérésünket, íme:

Mit jelent a kritikus infrastruktúra és a kritikus információs infrastruktúra esetén az interdependencia?

a./ A kritikus infrastruktúra hatása a kritikus információs infrastruktúrákra

b./ A kritikus infrastruktúrák és a kritikus információs infrastruktúrák függőségi viszonya

c./ A kritikus információs infrastruktúrák hatása a kritikus infrastruktúrákra

d./ A kritikus infrastruktúra és kritikus információs infrastruktúra esetén nem
értelmezhető az interdependencia

Azóta történt

A root sem mindenható

Béres László az SELinux biztonsági rendszert fogja bemutatni a Hacktivity konferencián. Interjú.

Biztonság 2007-09-12 1
A Java Web Start hackelése

Thief_hu a Hacktivityn bemutatja: ledönthetők úgy a korlátok, hogy egy árva figyelmeztetést sem kapunk. Interjú.

Biztonság 2007-09-13 3
Terrorizmus és bűnözés a kibertérben

Egy digitális Pearl Harbor veszélyeiről és az internetes bűnözés elleni háborúról beszélgettünk az információs hadviselés szakértőjével.

Biztonság 2007-09-18 57
Dagad a botrány: nem írtak ki pályázatot a kormanyszovivo.hu megvalósítására

Kormanyszovivo.hu: az állami keretszerződések olyan módon szabályozzák a közbeszerzési feltételeket, mely elfogadhatatlan az adófizetők szemszögéből nézve.

Társadalom 2008-06-22 85

Előzmények

Bűnözők kezében van a világ legerősebb szuperszámítógépe

A Storm botnet méretét nem tudják pontosan megbecsülni. De nyugodtan aggódhatunk.

Biztonság 2007-09-10 29
Betörtek a Pentagon rendszerébe

Kínát vádolják a támadással, de Peking tagad.

Biztonság 2007-09-04 0
Konferenciadömping: IIR, Hacktivity, ITBN

A következő hetekben három konferenciát is rendeznek Budapesten az informatikai biztonságról.

Biztonság 2007-08-27 0
Újra lesz Hacktivity Budapesten

Az egykori hackerfórum mára komoly informatikai konferenciává nőtte ki magát: „Tudd, hogy mi ellen kell védekezni!”

Biztonság 2007-07-16 14

Percről percre

Ghost of Tsushima technikai teszt

gp A Ghost of Tsushima a Sony eddigi legnépszerűbb PC-s átirata, mely megelőzte még a God of Wart és a Spider-Mant is. De vajon maga a port is hozza az ehhez illő technikai minőséget?

Nokia 3210 - felélni az örökséget

ma A HMD ismét elővett egy klasszikust, hogy újra kiadják. De ismét csalódás lesz azoknak, akik az eredeti modellt is használták. És lehet, hogy másoknak is.

Wizardry: Proving Grounds of the Mad Overlord teszt

gp 43 év szinte beláthatatlan idő a videojáték-világban – márpedig az első Wizardry idén tölti be ezt a kort. Most az eredeti legenda az eredeti játékmenettel, de megújult látványvilággal tért vissza.