Bevezetés a kiberbiztonság

szakterületi ismereteibe
BEVEZETÉS

Dr. Muha Lajos ny.ezds

címzetes egyetemi tanár
muha.lajos@uni-nke.hu
Az elektronikus
információs
rendszerek
biztonságának
története
Mióta?

Az informatikával
(számítástechniká
val) egyidős
 !"#$%&'"()#*
• ie. 1900: nem szabványos egyiptomi hieroglifákat
használtak
• ie: 60-50: Julius Casar helyettesítéses rejtjelzése
• ~1000: a kriptoanalízis felfedezése (arabok)
• 1465: Alberti felfedezi a polialfabetikus rejtjelzést, mely
kivédi a korai, gyakoriságalapú töréseket
• 1586: Vigenère titkosító: hosszú ideig a legjobb
rejtjelzési eljárás volt
• 1917: a brit hírszerzés elfogja és megfejti Arthur
Zimmermann táviratát, ami miatt az USA belép az I.
világháborúba.
• 1918: Arthur Scherbius szabadalmaztat egy titkosító
gépet, mely később nagy karriert fut be Enigma néven.
 !"#$%&'"()#*
• A kriptográfia igazi, nagy áttörése a II.
világháborúhoz köthető, amikor az
információszerzés minden korábbinál
fontosabbá vált. A háború nem csak a
frontokon dúlt, hanem a háttérben, a
hírszerzőknél is.
• A németek az Enigmát használták minden
haderőnemnél. A szövetségesek komoly
erőfeszítéseket tettek ennek feltörésére.
• Ennek eredménye a számítógép és számos
modern tudományág elindulása.
 !"#$%&'"()#*
• 1948: Claude E. Shannon ihletésére kialakul az
információelméletnek nevezett tudományág.
• 1975: A Data Encryption Standard (DES) szabvány
megjelenése
• 1976: Diffie-Hellman, az aszimmetrikus rejtjelzés
felfedezése, melyből a legismertebb rejtjelzési
szabvány, az RSA kifejlődött.
• 1991: Phil Zimmermann, a PGP megírása, a
kriptográfia megjelenése széles körben, ezzel együtt
új, jogi problémák felvetése
A DoD problémája?!
A biztonság
kezdetben csak a
DoD problémája
volt!
• Az egyetlen, aki igazán érdekelt volt;
• Az egyetlen, akinek pénze volt az
egyéni megoldásokra.
1958
DoD Advanced Research
Project Agency (ARPA) elkezdte
az ARPANET fejlesztését, mint
hidegháborús válaszlépést a
szovjet Szputnyik fellövésére.
“tárolás és továbbítás”
 !"#!

!"#$%&'()*+,'#*-./%0'12+
.34&*#+5!,..6
!"#$% &!$'()
!"##$%&'()*+,-'.$/0'10+()2022$
314),)+0,$)$5&,/*+&5&,$
&146/7#&,8
 !"#$
!" #$% &'()*+,-(." . #/&(012,(
3#/&(04&*5*6 $78,)9.(0,7 .76
:,94/(07; <*)=01*>?" .90" ;.).7(@&(."
.-" A22-*2" B0-(,72@;4,&0(0C."
B*(.)(@2@(D
*+,-.*,/012, ,34450/6,7
8.+2,/%29:92; 4/0,-651<=-2/,/>*
 !"#%
+, -./012#, 34/&2(56&7, 307%810%, 0'6,,
2459*:7&$&"%&%,*1*9;%&%%#,0'60%02#,.7,#$*"#,
9<=<77.'09, 2459*%("7*#>?1, *9@, A&'6,
&16*5, A*"/B0", .7, 7=&)%B0", B./012#,
20'&1/(7&9*%, , %*5412(56&==*5*9, .7,
*C(51C*5*9@,*201609,9#01.';%D05,B./05.9,*,
2#5D7;%0%%, #5)&"2(:#?9*%, *,
%<>>)01A*7=5(1?7@, 20'&7=%&%%, 0"D)&""(7E,
7=(2;%?'.$07,"05/7=0"09>05F
1970
Willis H. Ware:
Security Controls
for Computer
Systems
Report of Defense Science
Board Task Force on
Computer Security
1973
+,G"00$0"@,*,%<"%.50102,017D,B;"47*,H,IJKI
“I’m the Creeper: catch me if you can.”
A Creepert (kúszónövény) az ARPANET-en
keresztül terjesztették. Bemásolták a
rendszerbe, ahol megjelenítette az üzenetét,
miután megjelent, elkezdett kinyomtatni egy
fájlt, de aztán ez leállt, és átváltott egy másik
számítógépre. A következő gépre „ugrással”
eltűnt az előzőből.
A Reaper (kaszás) eltávolította a rendszerből a
Creeper „vírust”, így az első „víruskereső
programnak” tekinthető.
1973
D. Elliott Bell,
Leonard J. LaPadula:
Secure computer
systems:
Mathematical
foundations and
model
1977
Kenneth J. Biba:
Integrity
considerations for
secure computer
systems
 !"&!

9)5'$:8$;),/<&(5=
7"0#%)+8"9*)4+:"0+
!"#$;&*0+.*<;0'&3
1983
“The Orange Book”:
Department of Defense
Trusted Computer System
Evaluation Criteria (TCSEC)

Szivárvány sorozat
EU: ITSEC
1988 november 02. 23:28
FEKETE CSÜTÖRTÖK
“We are currently under attack
from an Internet VIRUS. It has
hit UC Berkeley, UC San Diego,
Lawrence Livermore, Stanford,
and NASA Ames.”
Peter Yee
NASA Ames
 Robert T. Morris férge
A férget úgy tervezte, hogy a megfertőzött UNIX
rendszereken keresztül megszámolja az interneten lévő
kapcsolatokat. Programozási hiba miatt a féreg agresszívan
replikálódott és hatalmas károkat hagyott maga után.
Morris lett az első, akit sikeresen vádoltak a számítógépes
csalásokról és visszaélésekről szóló törvény alapján. 10.000
dollár pénzbírságot kapott, három év próbaidőre ítélték, és
elbocsátották az egyetemről. (A MIT kinevezett
professzorává vált J.)
Ez vezetett egy számítógépes vészhelyzeti reagálási
csoportot, a mai US-CERT elődjének létrehozásához.
1990 -
A biztonság
„mindenkinek” a
problémájává vált:
• DoD nem engedheti meg magának az
egyéni megoldásokat;
• Internet, e-kereskedelem;
• Adatvédelem;
• viruskeresők, SSL, Kerberos
 Kiberháborúk
• 1999, Moonlight Maze – USA
(támadó: Oroszország?)
• 2003, Titan Rain – USA
(támadó: Kína?)
• 2007, Észtország
(támadó: Oroszország?)
• 2008, Grúzia
(támadó: Oroszország!)
?*@>,/:/,A$B(('

!"#$%&'#(%)*+,*
(%(-,./-,0*1"-,(23*
4+56-'2$
Észtország
C50,-D501<$B(('E
2007 áprilisában rendszeres
internetes támadásokat
szerveztek főként Észtországon
kívülről az észt államigazgatás
hivatalos kommunikációs
vonalainak és weboldalainak
blokkolására irányuló kísérletek
keretében.
C50,-D501<$B(('E
Az internetes támadások megpróbálták
megbénítani a különböző észt honlapok
működését, megakadályozva, hogy a
"normál felhasználók" elérhessék azokat,
sőt, egyes esetekben azok tartalmát is
igyekeznek megváltoztatni. Az első
forgalombénító DDoS-támadások május
elején kezdődtek, célpontjaik a parlament, a
kormányhivatalok, sőt a bankok és az észt
média számítógépes központjai voltak.
C50,-D501<$B(('E
A cselekmények súlyosságát jelzi, hogy
az észt hálózaton az adatforgalom
sokszor órákon át a normális ezerszerese
volt. Az ország internetes forgalmát
irányító központok napjában többször
leálltak, az állami szervek hálózatait le
kellett választani az internetről. A banki
rendszerek megbénultak, a pénzügyi
megbízások rendszeresen akadoztak.
C50,-D501<$B(('E
Május 15-én az ország második bankja, a SEB
Eesti Uhisbank a tömeges internetes
támadások miatt kénytelen volt felfüggeszteni
azt a szolgáltatását, hogy külföldről is be lehet
lépni a pénzintézet egyes rendszereibe.
Egy észt bank, a Hansabank nyilvánosságra
hozta a támadások miatti veszteségét, a jelentés
szerint május 10-én több mint egymillió dolláros
forgalomkiesést szenvedtek el.
C50,-D501<$B(('E
Néhány támadást sikerült orosz
szerverekig visszanyomozni, sőt az
Európai Parlament állásfoglalásában
leszögezte, hogy e támadások az orosz
közigazgatás IP címeiről érkeztek, de
az alkalmazott technika miatt rendkívül
nehéz a forrásokat pontosan
meghatározni.
C50,-D501<$B(('E
"Észtországban kiberháború folyik …"
jelentette ki Andrus Ansip észt
miniszterelnök.
Urmas Paet külügyminiszter azt mondta,
„bebizonyosodott, hogy az észt
kormányszervek és az elnöki hivatal
honlapjai elleni internetes terrortámadások
az orosz kormányszervek, ideértve az
elnöki adminisztráció számítógépeiről
érkeztek.”
C50,-D501<$B(('E
Oroszország tagadja, hogy bármi köze
lenne a történtekhez.
Az Európai Parlament 2007. május 24-
én állásfoglalást adott ki ez ügyben.
A NATO egy szakértőt küldött
Észtországba, hogy segítsen kivédeni
a különböző kormányzati szervek elleni
internetes akciókat.
C50,-D501<$B(('E
A NATO egyik tagja elleni támadás az egész
katonai szövetség elleni támadásnak minősül -
figyelmeztetett a szervezet legfőbb alapelvére a
támadások kezdetén egy név nélkül nyilatkozó
NATO-tisztségviselő Brüsszelben.
Ennek ellenére a NATO nyilvánosan a mai
napig nem foglalt állást abban a kérdésben,
hogy kik volt a támadók, kinek az irányításával
történt, támadásnak minősíti-e az eseményeket.
2010 június
STUXNET
Iránban, a Bushehr erőmű
egyik gépén, majd több, mint
100 000 számítógépen
észlelték.
2010. 11 16-án Irán
leállította az urándúsítóit,
miután a centrifugák több,
mint 20%-a megsemmisült.
2012 május
FLAME
LAN-on vagy USB-n terjed.
Legalább 1000 gépet megfertőzőtt
Képes a hálózati forgalom, az
audio és video eszközök
tevékenységének rögzítésére és
Bluetooth-on továbbítására.
Magyarország
Az információbiztonság a BM
III. Főcsoportfőnökség
(a III./I., ill. a III./V. Csfség.)
privilégiuma volt.
1981
Az 1/1981. (I.27.) BM
rendelet a
számítástechnikai
rendszerek titok-, vagyon-,
és tűzvédelméről
1987
A 3/1988. (XI.22.) KSH
rendelkezés az államtitok
és szolgálati titok
számítástechnikai
védelméről
1994
Miniszterelnöki Hivatal
Informatikai Tárcaközi
Bizottság (MeH ITB):
Informatikai
biztonsági
módszertani kézikönyv
MeH ITB 8. sz. ajánlás
1996
Miniszterelnöki Hivatal
Informatikai Tárcaközi Bizottság
(MeH ITB):
Informatikai rendszerek
biztonsági
követelményei
MeH ITB 12. sz. ajánlás
1997
Miniszterelnöki Hivatal
Informatikai Tárcaközi Bizottság
(MeH ITB):
Common Criteria (CC), az
informatikai termékek és
rendszerek biztonsági
értékelésének módszertana
MeH ITB 16. sz. ajánlás
2008
Miniszterelnöki Hivatal
Közigazgatási Informatikai
Bizottság:
Magyar Informatikai
Biztonsági Ajánlások
(MIBIK, MIBÉTS, IBIX)
KIB 25. sz. ajánlás
2013 . évi L. törvény
az állami és
önkormányzati
szervek
elektronikus
információbiztonsá
gáról
 STRATÉGIA

1838/2018. (XII. 28.) Korm.

határozat
Magyarország
hálózati és információs
rendszerek
biztonságára
vonatkozó
Stratégiájáról
 EU RENDELET

Az Európai Parlament és a Tanács

2019/881 rendelete
az ENISA-ról és
az információs és kommunikációs
technológiák kiberbiztonsági
tanúsításáról ...
(kiberbiztonsági jogszabály)
 EU IRÁNYELV

Az Európai Parlament és a Tanács (EU)

2022/2555 irányelve
(2022. december 14.)
az Unió egész területén
egységesen magas szintű
kiberbiztonságot biztosító
intézkedésekről ...
(NIS 2 irányelv)
Köszönöm a figyelmet!