16 767
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 767
https://androbit.net/ContentUploads/N6089/hacker.jpg
Kattints ide  ➜

Így hackelték meg az FBI‑t és a Nemzetbiztonsági Minisztériumot

Makay József2016.02.11. 13.18
https://androbit.net/ContentUploads/N6089/hacker.jpgEgy magányos hacker az amerikai Nemzetbiztonsági Minisztérium (Department of Home Security) kilencezer alkalmazottjának adatait szerezte meg a Super Bowl alatt, miután feltört egy e-mail fiókot, aztán új felhasználóként kért és kapott hozzáférést a rendszerhez.

Kilencezer nemzetbiztonsági alkalmazott nevét, telefonszámát és más személyes adatát töltötte fel a netre egy amerikai hacker, miután a Super Bowl ideje alatt a social engeneering legegyszerűbb módszerével szerzett hozzáférést a drága szoftver- és hardvereszközökkel védett amerikai hivatalok rendszereihez. A támadó azt állítja, további 20 ezer FBI-alkalmazott adatait is megszerezte, és azokat is hamarosan közzéteszi. Erről szóló posztjában az is szerepel, hogy 200 GB-nyi nemzetbiztonsági adatot töltött le, az akció alatt pedig 1 TB-hoz volt hozzáférése.

A hacker előbb feltört egy e-mail fiókot, azután betelefonált a hivatalba azzal, hogy új felhasználóként elakadt és nem tud továbblépni a rendszerben. A megkeresett alkalmazott ekkor megkérdezte, van-e kódja, a nemleges választ követően pedig megadta a sajátját. A hacker ezután belépett a rendszerbe, és a már feltört e-mail fiókon keresztül hozzáférést szerzett egy hálózatra kötött működő géphez, ahonnan belépett a belső hálózatra.

Ez egészen egyszerűen hihetetlen, ám a jelek szerint mégis igaz. A világ legdrágább védelmi rendszere sem sebezhetetlen, ha az alkalmazottak egyszerűen dilettánsok. Nagyon kíváncsi lennék, hogy az illető megadta volna-e a saját bankjától a tokenjére érkező jelszót, ha valaki felhívja. Talán igen, de nagyobb a valószínűsége annak, hogy nem: ez pedig kiválóan mutatja, hogy alkalmazottként milyen felelőtlenek tudnak lenni az emberek” – mondta Sallai György, a KPMG információbiztonsági tanácsadásért felelős igazgatója.


Sallai szerint minden informatikai rendszer annyit ér, amennyit a hozzá kapcsolódó szabályzatból az emberek betartanak. Ehhez folyamatos képzés és az egész intézményrendszer minden szintjét átható fenyegetettségtudat szükséges. A szakértő arra figyelmeztet, hogy a social engeneering módszerekkel szemben a legjobb szoftveres és hardveres védelem is kevés, sőt minél drágább és ismertebb a védelmi rendszer, annál könnyelműbbé teheti az alkalmazottakat.

Ráadásul olyan ez, mint a kiemelt személyek biztonsági védelme vagy a tűzriadók: ha nem tesztelik olykor a működésüket, egy idő után sokkal támadhatóbb lesz a célszemély, vagy nagyobb az emberveszteség” – teszi hozzá a szakértő.


Sallai György szerint az információbiztonság érdekében a különböző hardveres és szoftveres megoldások mellett öt további intézkedés megkerülhetetlen:


1. A fenyegetettségek hierarchikus kezelése



Nem elegendő, ha az IT-szakemberek technikai eszközökkel harcolnak a rendszer sérülékenységei ellen. Egy biztonsági szabály figyelmen kívül hagyása, egy olcsó beszállító bevonása vagy egy belső ellenőrzési jelentés alulértékelése mind gyors üzleti eredménnyel kecsegteti az adott szintű vezetőt, aki éppen ezért nem maradhat ki a kockázatkezelés látóköréből. A szervezeti hierarchia helyes megválasztása fontos szempont, éppen úgy, mint az, hogy a védelmi intézkedések áthassák a szervezetet egészét.


2. Munkavállalók képzése



Az adatvesztések második leggyakoribb oka humán kockázatra vezethető vissza. Ezeket akár egy olyan költségkímélő biztonsági tréninggel is meg lehet akadályozni, amelyik nyomatékosan felhívja a dolgozók figyelmét az „alma1234” jelszó használatának veszélyeire vagy a post-it cédulákra írt jelszavak kockázatára. Ha a szervezet nem látja az előtte álló kockázatok erdejét, social engineering vizsgálattal feltárhatja a neuralgikus pontokat.


3. Beszállítók monitorozása



A tapasztalatok azt mutatják, hogy az egyik legnagyobb biztonsági kockázat olyan harmadik személy – azaz a legtöbb esetben valamelyik beszállító –, amellyel számítógépen kommunikálunk. Az üzleti racionalitás érdekében beszállítók egész sora fér hozzá felhasználói vagy üzletileg érzékeny adatokhoz. Éppen ezért vizsgálni kell, hogy a beszállítók milyen rendszereket, adatokat és munkafolyamatokat érnek el és az adott hozzáférés valóban szükséges-e a munkavégzéshez.


4. Biztonsági szabályok alkalmazása



Itt lényegesen többről van szó, mint a szabályok kialakításáról. A gyakorlati alkalmazáson, betartatáson van a hangsúly, mert minden szabály annyit ér, amennyire komolyan veszik. A legkisebb változtatás kockázatait is mérlegelni kell és a szabályok alkalmazását minden esetben kockázatarányos módon kell kikényszeríteni.


5. Sérülékenységek rendszeres ellenőrzése



A rendszeres ellenőrzés a leghatékonyabb módja a külső támadások megakadályozásának. Nem elég azonban egy rendszer gyenge pontjait a bevezetés pillanatában vizsgálni, sőt még az éves felülvizsgálat is kevésnek bizonyulhat, ha a struktúrákban sűrűn történik változás. A vizsgálatok tervezésénél fontos szempont a proaktivitás. Minden változás alkalmával érdemes a vele járó kockázatokat előre számba venni, és felkészülni a kezelésükre. A sérülékenységek túlnyomó többsége már a tervezési-fejlesztési szakaszban látszik. Helyes szabályok, rutinok és kockázatelemzés alkalmazásával még a rendszer elkészülte előtt láthatóvá válnak a gyenge pontok.


Fotó: Clapway
Forrás: ISSUES Sajtóközlemény
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
Ezek a jelenleg kapható legerősebb okostelefonok
A következő Apple Watch okosóra már kör alakú lehet
Az Android 7.0 Nougat lesz az UMi karácsonyi ajándéka
LEAGOO M8 ‑ Elindult az egyik legolcsóbb okostelefon előrendelési időszaka
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Az egyik legnépszerűbb antivírus egyben a legrosszabb is
Ezek a jelenleg kapható legerősebb okostelefonok
2016 legjobb okostelefonjai - Sebességteszt
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Android 1.0 Apple Pie vs. Android 7.1 Nougat
Állásajánlatok
Folyamatmérnök
IT Project Manager
Folyamatmérnök
Analízis labormérnök
ICT Architekt PJ-7287
Senior Debug Engineer
Gépészmérnök