Jelenlegi hely

ISACA

Feliratkozás ISACA hírcsatorna csatornájára
Az ISACA Magyarországi Egyesület a nemzetközi ISACA magyarországi szakmai szervezete.
Frissítve: 1 óra 12 perc

Információvédelem menedzselése LXXX. Szakmai Fórum

2018, február 19 - 11:23

A Hétpecsét Információbiztonsági Egyesület meghívja Önt, a 2018 március 7-én tartandó, "Információvédelem menedzselése LXXX. Szakmai Fórum" rendezvényére.

A Rendezvényünk ÚJ Helyszíne a Lurdy Konferencia-és Rendezvényközpont (1097 Budapest, Könyves Kálmán krt. 12-14.)

 

 

A rendezvény programja:

09.30 – 10.00 Érkezés, regisztráció

10.00 – 11.30 Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén

Csuka Dénes (Hétpecsét Egyesület) titkár

Adatkezelés a munkaviszony megszűnése után a GDPR tükrében

 Dr. Pók László adatvédelmi jogász

Előadás a blockchain témakörben felkérés alatt

11.30 – 11.50 Kávé szünet (kávé, üdítő, pogácsa, aprósütemény)

11.50 – 13.00 Mobile Device Management és biztonsági kihívásai egy igazán nagy cég életében

Balázs András (GE Digital) Director - Digital Operations

Hatásvizsgálat a gyakorlatban

dr. Nagy Beatrix Havaska (Szerencsejáték Zrt.) vezető biztonsági és ellenőrzési menedzser/ belső adatvédelmi felelős

 

A Szakmai fórum az ISACA Hungarian Chapter által támogatott rendezvény.

CPE pontszerzési lehetőség.

Kérjük részvételi szándékát jelezze legkésőbb 2018. március 4-ig elektronikus regisztrációval a honlapon keresztül.

A részvételt technikai okok miatt kizárólag az időben beérkezett regisztráció alapján tudjuk biztosítani.

Felhívjuk a résztvevők figyelmét, hogy az előadások nyomtatott változatát csak a Hétpecsét Információbiztonsági Egyesület tagjainak tudjuk biztosítani.

A fórumról szóló információkat, valamint az Egyesület életéről és az információbiztonsággal kapcsolatos érdekességekről a Hétpecsét Egyesület LinkedIn oldalán olvashatnak!

 

Regisztráció a fórumra

 

 

Internal Audit 2020 – and beyond

2018, február 16 - 14:05

A BEMSZ az ISACA-val közösen nemzetközi konferenciát szervez április 12-13-án Budapesten a Magyar Telekom Székházában.

A konferencia témája az audit tevékenység jövője. 


Plenáris előadóink:
Michael PEPPERS (USA), IIA Global, Global Chairman of the Board
Ramsés GALLEGO (ESP), President of ISACA Barcelona Chapter
Craig WRIGHT (UK), Partner KPMG
Andrew SHEFFORD (UK), Managing Director KPMG
István KIRALY (HUN), Enterprise business unit director, Vodafone Hungary
Norbert FOGARASI (HUN), Managing director, Morgan Stanley
Verra MARMALIDOU (GR), National Bank of Greece, Member of the ECIIA Banking Committee
Selim ELHADEF (TR) Advisory Services Partner, EY

A várakozásaink szerint izgalmas prezentációk mellett 8 szekcióban további 24 előadó vitatja a résztvevőkkel a belső ellenőrzés és az informatikai területek legfontosabb kérdéseit.

A rendezvény nyelve angol, kétnyelvű weboldala: conference2018.iia.hu
 

IDC Security Roadshow 2018

2018, február 16 - 14:00

Az elmúlt 20 év során a biztonság olyan témává fejlődött, amelyet manapság minden szempontból elemeznek, újra értelmeznek, megvitatnak és megvizsgálnak. Minden érdekelt csoportnak — legyenek azok biztonsági vezetők, gyakorlati szakértők, szoftver és megoldásszállítók — megvan a maga értékteremtő javaslata, amelyet határozottan képvisel.


Az IDC egyedülálló független platformja biztosítja a részvételt a szakértői megbeszéléseken, eszmecseréken, connect beszélgetéseken, amelyek keretében Ön elmondhatja saját álláspontját. A lehetőség mindenki előtt nyitva áll, hogy megossza tapasztalatait, miközben alkalom kínálkozik arra, hogy értékes tudással vértezze fel magát.

 

 

Időpont EseményElőadók 08:00       09:00   Nyitó gondolatok   Fauszt Gábor ügyvezető igazgató, IDC Magyarország 09:05   Kormányzati szintű kiberbiztonsági koordináció Magyarországon
Független szakértői előadás   Prof. Dr. Rajnai Zoltán egyetemi tanár, Magyarországi kibervédelmi koordinátora 09:30   Információbiztonság a multi-platform korában
Az IDC felvezető előadása   Bakk József szoftverpiaci elemző, Közép- és Kelet Európa     09:50   Platina partneri előadás   10:10   A Balasys arany partneri előadás   10:20   A Check Point arany partneri előadása   Vilhelm Zsolt biztonsági mérnök, Check Point Software Technologies Ltd. 10:40   Kávészünet, személyes eszmecserék a résztvevők és a megoldásszállító cégek képviselői között   11:20   A színfalak mögött – TALOS   Csordás Szilárd IT biztonsági tanácsadó, Cisco Systems Magyarország Kft.     11:40   Defense in Details on Unlimited Scale Made by Qualys   Marek Skalický CISM, CRISC, Managing Director for Central Eastern Europe, Qualys     12:00   Esettanulmányi előadás   Dr. Dósa Imre adatvédelmi felelős, e-csatorna támogató jogtanácsos, Budapest Bank 12:15   Útjelzők az IBIR (Információ Biztonsági Irányítási rendszer) irányába
Esettanulmányi előadás   Kirch Rudolf Zénó IT biztonsági vezető, Waberer’s International Nyrt.     12:30   Moderált panelbeszélgetés az előadók részvételével   13:00   Büféebéd   14:10   Biztonsági megoldásszállítói előadás   14:30   IDC Connect Beszélgetés: moderált, interaktív beszélgetés az alábbi témákról Dellei László, Biró Gabriella, Hazslinszky Ákos, Dr. Kovács Zoltán     15:30   A Connect beszélgetések összegzése   15:40   Összegző gondolatok

 

Az IDC Security Roadshow 2018-ról bővebb információ az esemény hivatalos weboldalán érhető el: http://idcitsecurity.com/budapest/

mySEC Talk: Gyermekeink és a jövő: digitális mauglik, vagy fejlett társadalom?

2018, február 16 - 13:55

Gyermekeink, a mai 16 év alattiak egy olyan gyorsan mozgó, változó élet részesei, amit mi szülők nem mindig értünk, de cserébe azt sem tudjuk milyen következményei lehetnek. Azt a nagy közösségi oldalak alapítói is elismerik, hogy az internetes közösségi élet jó, de olyan módon befolyásolhatja a valós életet, aminek a hatását és következményeit még csak találgatni tudjuk: lájk impulzusok, arctalan barátok, “IBF” és Vlog, cyberbulling.


Ha az előbbi kifejezések ismeretlenek, nem kell megijedni....azaz, akinek van gyermeke, annak igen. Manapság ezek azok a dolgok, amelyek mozgatják a fiatalokat és egy stratégikus kommunikációs program mentén pont ugyanilyen egyszerűen befolyásolható a gondolkodásuk.

Szerencsére vannak olyan szakemberek, akik időben felismerték ezt a problémát és sokat tesznek azért, hogy a felnőttek világából időben és megfelelő minőségben eljusson a figyelmefelhívás és az “egészséges” digitális léthez szükséges szemlélet a fiatalokhoz. Kerekasztal vendégeink a maguk területén sokat tesznek ezért és a beszélgetés részeként elmondják nekünk mit látnak jelenleg és mit kell tennünk a jövőért.

RÉSZTVEVŐK:
Moderátor: Dr. Krasznay Csaba
Beszélgető partnerek:
- Borbás Fanni - Nemzetközi Gyermekmentő Szolgálat
- Csizmazia István - független IT biztonsági szakértő
- Poór Csaba - Új Nemzedék Központ - Digitális Immunerősítő Program

Helyszín és időpont: 2018. február 27. 17:30-20:00

T-Systems Magyarország Zrt. - 1117 Budapest, Budafoki út 56.

Minden kedves érdeklődőt szeretettel várunk!

A részvétel díjmentes, de REGISZTRÁCIÓHOZ kötött, amit ezen a linken tudsz megtenni:
https://mysectalk.hu/index.php/component/k2/item/56-gyermekeink-es-a-jovo-digitalis-mauglik-vagy-fejlett-tarsadalom

BSidesBUD 2018 – nemzetközi kiberbiztonsági konferencia

2018, február 16 - 13:21

BSidesBUD 2018 – nemzetközi kiberbiztonsági konferencia másodszor Budapesten!

Második alkalommal kerül megrendezésre hazánkban a nemzetközileg elismert BSides IT-biztonsági konferencia 2018. március 1-én a budapesti Lurdy Rendezvényközpontban, ahová 15 előadó érkezik 7 különböző országból izgalmas témákkal. Jegyek már kaphatók az eseményre.

 

A BSidesBUD elnevezésű kiberbiztonsági konferenciát először a tavalyi évben rendezték meg a Lurdy Rendezvényközpontban. Annak ellenére, hogy korábban még nem volt a BSides licensz égisze alatt konferencia hazánkban, az eseményre több mint 400 látogató volt kíváncsi. A kiváló előadók és nagy érdeklődésre számot tartó, szakmai programok nem csak a hazai IT-biztonsági szféra jeles képviselőit, elismert szakembereit, a téma iránt érdeklődő laikusokat és diákokat vonzották, a BSidesBUD2017-re ugyanis 11 különböző országból érkeztek látogatók.

A BSidesBUD2018 összesen 10 érdekes előadással és 4 nagyobb lélegzetvételű workshoppal várja az érdeklődőket egy teljes napon át. A magyar IT-szakemberek mellett érkeznek előadók Luxemburgból, Argentínából, Franciaországból, Kolumbiából, és Németországból, de képviselteti magát a szegedi és a budapesti Hackerspace csapata is, így igazán színes, izgalmas program várható. Szó lesz többek között a mai modern lehallgatóeszközök működéséről és detektálásáról, Android hackelésről, DNS exploitálásról, Web App penetráció tesztelésről és a GDPR-ról is.

A minőségre garancia, hogy az eseményt a 14 éve működő, világszerte elismert Hacktivity IT-biztonsági konferencia csapata szervezi.

A rendezvény a nemzetközi BSides konferenciák licenszét használja (csak a tavalyi évben több mint ötven konferenciát szerveztek világszerte BSides márkanév alatt), ezért nagy presztízzsel bír az kiberbiztonsági szférában.

A BSidesBUD2018 nem csak azokat az IT-szakembereket várja, akik szeretnének kapcsolatokat építeni, tapasztalatot cserélni hasonló érdeklődésű és szaktudású emberekkel, hanem azokat az IT-szakos hallgatókat is, akik érdeklődnek az kiberbiztonság iránt és belekóstolnának a témába, esetleg később ebben a szakmában kívánnak elhelyezkedni. Ez az esemény remek lehetőség arra, hogy képbe kerüljünk az IT-biztonság legújabb trendjeivel és a workshop-ok révén mélyebben megismerkedjünk olyan témákkal, amelyekkel egyébként csak drága kurzusokon való részvétellel lenne lehetőségünk. A konferencia 18 éven aluliak számára ingyenesen látogatható, a vállalkozó kedvű hackerek pedig belépőt nyerhetnek a február 12-én startoló Capture The Flag játékkal, amelyet az Avatao biztosít majd. Hasznos információ a CPE pontok gyűjtőinek, hogy a helyszínen található ISACA standnál jóváírathatják pontjaikat.
 
A BSidesBUD2018-ról bővebb információ az esemény hivatalos weboldalán érhető el, a jegyeket pedig a következő linken lehet megvásárolni: http://bit.ly/2FFPlER

 

Tisztújító közgyűlés eredménye

2018, február 15 - 10:42

Tisztelt Tagtársaink!

2018. február 14-én megrendezésre került az ISACA Magyarországi Egyesületének tisztújító közgyűlése. A tisztújítás keretében az ISACA budapesti tagozata a következő pozíciókra választott tisztségviselőket:
 
Elnök
Biró Gergely

Elnökségi tagok
Fésűs Zoltán
Gélák Róbert
Horváth Pál
Mészáros Norbert
Rónaszéki Péter
Viczián Pál

Felügyelő Bizottsági tagok
Ragó István
Szabó Zsolt Mihály
Szabolcs András

Etikai Bizottsági tagok
Kirner Attila
Krasznay Csaba
Tarján Gábor

Közgyűlés 2018

2018, január 5 - 11:25
Tisztelt Tagtársak!

Az ISACA Magyarországi Egyesület 2018. február 14-én 17.00-kor tartja éves közgyűlését a szokásos helyen, az MNB 1013 Budapest, Krisztina krt. 39. alatti épületében (korábban PSZÁF), melyre tisztelettel meghívunk. 

Amennyiben a meghirdetett időpontra nem jelenik meg a szavazásra jogosultak min. 50,1%-os részaránya, úgy a közgyűlés eredménytelen lesz. Erre az esetre a meghirdetett közgyűlés megismételt közgyűlési időpontját 2018. február 14-én 17.30-kor tartja az MNB 1013 Budapest, Krisztina krt. 39. alatti épületében. A megismételt közgyűlés a megjelentek számától függetlenül határozatképes lesz.

A Közgyűléssel kapcsolatos dokumentumok hamarosan elérhetők lesznek a weboldalon.

Minden tag megjelenésére feltétlenül számítunk!
 

Üdvözlettel:
 
Biró Gergely
elnök

Hétpecsétes történetek 2,5 – a GDPR antológia

2018, január 4 - 12:00

Kedves Érdeklődő!

2018. január 17-én a 79. Hétpecsét Információbiztonsági Fórumon jelentette be az Egyesület elnöksége, hogy a Hétpecsétes történetek és a Hétpecsétes történetek II. után közösségi szerkesztésben kiadjuk a Hétpecsétes történetek 2,5-t, ami egy GDPR tematikus kiadvány lesz. Az aláírás alatt olvasható az erről kiadott sajtóközlemény.

A Hétpecsét mögött, mellett vagy előtt járó szakemberek és szakmai közösségek bevonásával közösségi projektként szervezzük a munkát, amelyben való részvételre ezennel Téged is felkérlek!

A kiadvány egy antológia lesz, amelybe a Ti javaslataitok alapján kívánjuk beszerkeszteni a leghasznosabbnak ítélt magyar nyelvű GDPR témájú tartalmakat. Cikk és/vagy kulcsszó ajánlásodat, valamint szerkesztőnek való jelentkezésedet a
https://goo.gl/forms/x7EEQT8OKAUmqcjn2 URL-en található kis adatlappal teheted meg. A projekt figyelemmel kiséréséhez érdemes lehet a Facebook „információbiztonság” csoportjához csatlakozni.

Miért most? Közel van a határidő. Az érintettek belefulladnak a sokféle témába vágó tartalomba.

Miért a Hétpecsét? Mert szakmailag független, sokakat megszólító nyílt szervezet. Rendelkezünk szakmai műhellyel és kiadói tapasztalattal.

Jó munka, jó buli és hasznos eredmény lesz! Várunk!

Üdvözlettel:
Gasparetz András
elnök
m: +36204349000
e: elnok@hetpecset.hu
hu.linkedin.com/in/gasparetz

Hétpecsét Információbiztonsági Egyesület
1102 Budapest, X. Szent László tér 20.
www.hetpecset.hu
 
S A J T Ó K Ö Z L E M É N Y
 
GDPR antológia közösségi szerkesztésben, avagy 109.000in1

2018. január 17., Budapest – A Hétpecsét Egyesület a Hétpecsétes történetek és a Hétpecsétes történetek II után nekilátott a Hétpecsétes történetek 2,5 -nek. A tematikus szám egy GDPR antológia lesz. A korábbi kötetektől eltérően ebben az esetben az Egyesület tagjai nem szerzői lesznek a kiadványnak, hanem már elérhető tartalmakat szerkesztenek egy antológiába, azaz válogatva, csoportosítva, kulcsszavazva és egységes formai szerkezetbe foglalják össze. A most kezdődő projekt eredményét a terv szerint a márciusi, 80. szakmai fórumon mutatják be és a Digitalstand felületén ingyenesen elérhetővé is teszik mindenki számára.

9.450.000 találatot ad a google a „GDPR”-ra keresve. Magyar nyelven is 109.000 a találatok száma. Ez a nagy szám nem véletlen, hiszen sokan foglalkoznak a hamarosan életbe lévő szabályozással. Most helyzet van. Az információbiztonsággal foglalkozók körében a GDPR, illetve főleg a szabályok be nem tartásából származó büntetési fenyegetés mértéke sok új gondolatot hozott. Az ezzel foglalkozó konferenciáknak, s kommunikéknek se szeri, se száma.

Valahogy azért a szakemberek, s vezetők, akiknek foglalkozni kell a GDPR-nak megfelelő rendszer kialakításával egyszerre kapnak túl keveset a maga EU nyelvezetén megfogalmazott eredeti jogi szövegezéstől, s sokat az értelmezésektől, amelyek mögött sokszor egy-egy részkövetelmény üzleti alapon történő hangsúlyozása történik.

A Hétpecsét Információbiztonsági Egyesület úgy gondolja, hogy felhasználva a 16 év alatt felépített szakmai műhelyét, elkészíti a Hétpecsétes történetek 2,5-t, amely kifejezetten a GDPR-ral foglalkozik.

Az idő rövidsége, s a téma szerteágazó jellege miatt egy újszerű közösségi formát választottak a megvalósításhoz a következő fő mérföldkövekkel:
- a január 17-i szakmai fórumon meghirdeti a közösségi projektet,
- február 7-ig várják, hogy a kollégák elküldjék, hogy számukra milyen nyilvánosan elérhető helyen találtak számukra értékes információt.
- szintén február 7-ig küldhetnek be javasolt kulcsszavakat és jelentkezhetnek szerkesztőségi munkára a szakemberek,
- a beérkezett ajánlások alapján egy rendezett, csoportosított és kulcsszavakra kigyűjtött antológiát állítunk össze a közösségből erre a feladatra jelentkező önkéntesekkel,
- a „Hétpecsétes történetek 2,5 – a GDPR antológia”-t a Hétpecsét 80., március 7-i szakmai fórumán mutatják be, és ezzel egyidőben nyilvánossá is teszik a Digitalstandon.

Az Egyesület reméli, hogy ezzel is hozzájárul az információs társadalom előnyei mellett jelentkező fenyegetettségek kockázatarányos kezeléséhez.
***
További információ 2018.01.19-től: www.hetpecset.hu és a FB „Információbiztonság” csoportban
 
Gasparetz András, elnök
elnok@hetpecset.hu  
tel.: (20) 434 9000
 
 

ISACA vizsga a WSH-ban

2018, január 4 - 00:00

ISACA VIZSGA A WSH-BAN

  A WSH Vizsgaközpont nyújt szolgáltatást az ISACA vizsgáinak lebonyolításában.  

Az ISACA vizsgákat 2018-ban a WSH vizsgaközpontban tehetik le. A következő időintervallumokra van lehetőség vizsgajelentkezésre az ISACA weboldalán:

  • 2018. február 1 – május 24.

  • 2018. június 1 – szeptember 23.

  • 2018. október 1 – 2019. január 24.

 

A WSH Kft.-ben az ISACA vizsgák az alábbi időpontokban elérhetőek:

Kedd: 9:00-13:00 és 13:00-17:00

Szerda és Péntek: 9:00-13:00


A vizsgákra regisztrálni közvetlenül az ISACÁ-nál a van lehetőség az isacaavailability.psiexams.com oldalon.  

  A vizsgák menetéről és a vizsgákon való részvétel feltételeiről az alábbi linken letölthető dokumentumban található részletes információ: isaca.org/Certification/Pages/Candidates-Guide-for-Exams.aspx
További felmerülő kérdések esetén keresse vizsgaadminisztrátorainkat a vizsga@wsh.hu e-mail címen, illetve a +36-1/353-9800 telefonszámon.

 

Információvédelem menedzselése LXXIX. Szakmai Fórum

2018, január 3 - 14:13

A Hétpecsét Információbiztonsági Egyesület meghívja Önt, a 2018. január 17-én tartandó, "Információvédelem menedzselése LXXIX. Szakmai Fórum"rendezvényére.

A Rendezvényünk ÚJ Helyszíne a

Lurdy Konferencia-és Rendezvényközpont

(1097 Budapest, Könyves Kálmán krt. 12-14.)

 

A rendezvény programja:

09.30 – 10.00 Érkezés, regisztráció

10.00 – 11.30 Köszöntő és bevezető gondolatok - Aktualitások az információvédelem területén

Tarján Gábor(Hétpecsét Egyesület) alelnök

Tudásmenedzsment és kockázat paradoxona
Prof. dr. habil Bencsik Andrea (Széchenyi István Egyetem) egyetemi tanár

Hogyan érinti a GDPR a munkahelyi adatkezeléseket?
Dr. Pók László (Szecskay Ügyvédi Iroda) partner

11.30 – 11.50 Kávé szünet (kávé, üdítő, pogácsa, aprósütemény)

11.50 – 13.00 Mobile Device Management és biztonsági kihívásai egy igazán nagy cég életében

Balázs András (GE Digital) Director - Digital Operations

Nyilt (Permissionless) Blocklánc alapú rendszerek információbiztonsági kihívásai

Csabai Csaba Független crypto-blogger, Bitcoin evangelista

 

A Szakmai fórum az ISACA Hungarian Chapter által támogatott rendezvény.

CPE pontszerzési lehetőség.

Kérjük részvételi szándékát jelezze legkésőbb 2018. január 14-ig elektronikus regisztrációval a honlapon keresztül.

A részvételt technikai okok miatt kizárólag az időben beérkezett regisztráció alapján tudjuk biztosítani.

Felhívjuk a résztvevők figyelmét, hogy az előadások nyomtatott változatát csak a Hétpecsét Információbiztonsági Egyesület tagjainak tudjuk biztosítani.

A fórumról szóló információkat, valamint az Egyesület életéről és az információbiztonsággal kapcsolatos érdekességekről a Hétpecsét Egyesület LinkedIn oldalán olvashatnak!

Budapest, 2017. december 12.

Regisztráció a Fórumra

Tagsági státusz megújítás 2018. évre

2017, december 23 - 10:32

Kedves Tagtársunk!

Örülök, hogy idén tagjaink között voltál az ISACA Budapest Chapterben és remélem, hogy te is megtaláltad a számításaidat, megkaptad a számodra fontos értékeket és igénybe vetted a Chapter által kínált szolgáltatásokat. Mint a nemzetközi ISACA hírekben olvashattad, december végével lejár az éves tagsági státusz és már megkezdődött a megújítási ciklus a 2018-as évre. Javaslom, hogy ne hagyd az utolsó pillanatra a megújítást, mert így lemaradsz az első 100 megújító tagunknak küldendő ajándékról is!

Fontosnak tartjuk, hogy erősödjön a Budapest Chapter, jövőre még több kollégát segíthessünk hozzá a tagsággal járó előnyökhöz és lehetőségekhez és azt is szeretnénk, ha minél több tagtársunk választaná ismét Egyesületünket. 

Szeretnénk neked segíteni néhány tanáccsal és javaslattal a sikeres megújításod érdekében:

  • A megújítást a www.ISACA.org/renew oldalról közvetlenül indíthatod, és elérheted a My ISACA / MyCertifications oldalról is.
  • Ne felejtsd el a 2017-es évre vonatkozó CPE pontjaidat ellenőrizni és feltölteni a minősítéseidhez. A Budapest Chapter által kiadott CPE kártyával látogatott események pontjainak feltöltését a HQ felé automatikusan végrehajtjuk.
  • A CPE pontokkal kapcsolatos részletes feltételekről tájékozódhatsz a minősítésedhez tartozó CPE Policy oldalon. Mintaként itt a CISA CPE Policy.
  • Remélem, hogy sok ingyenes rendezvényünkön (mert vannak szép számmal) találkozunk a jövőben és elégedett tagunk leszel.

Ha kérdésed lenne, akkor szívesen állunk rendelkezésedre az alábbi elérhetőségeinken:

 

Horváth Pál,

Membership Director

     

SecOps Europe 2018 Konferencia

2017, december 6 - 10:02
Kedves Kolléga!


Az ISACA Budapest Chapter és a konferencia szervezői szeretettel várnak Téged Magyarország egyik leginnovatívabb nemzetközi IT biztonsági konferenciájára, a SecOps Europe-ra!

A két napos rendezvényen a szakmai előadásokat, kiberbiztonsági gyakorlatok fogják színesíteni, így a résztvevők nemcsak elméleti, hanem gyakorlati információkkal gazdagothatnak az IT biztonság offenzív és defenzív területein. 
Az előadások listája folyamatosan bővül, a részleges lineup már elérhető az oldalon.

Időpont: 2018. január 24-25. (szerda-csütörtök)
Helyszín: Budapest Kongresszusi Center


REGISZTRÁLJ INGYENESEN, VAGY VÁSÁROLJ LIMITÁLT VIP JEGYET >>>

 


Mire számíthatsz az előadásokon kívül?

 
1. NAP
A SecOps Europe első napján a kiberbiztonsággal kapcsolatos TTX (Tabletop Exercise) játékoké lesz a főszerep: délelőtt egyetemi csapatok, délután pedig IT biztonsági szakértők mérik össze tudásukat és tapasztalataikat. 
 
Mi a TTX?
A Tabletop Exercise egy olyan stratégiai döntéshozó szimuláció, amely során döntéshozatali, vezetői és diplomáciai szinten lehet tesztelni egy vállalat, szervezet, vagy kritikus infrastruktúra incidenskezelési tervét különböző - valós élet tapasztalatain alapuló - kibertámadásokra. 
A játék során a résztvevők folyamatosan jutnak hozzá az eszkalálódó  szcenáriókhoz és a hozzájuk kapcsolódó részletes információkhoz, amelyek alapján a lehető leghatékonyabb stratégiai döntéseket kell meghozniuk. A profi zsűri ezután egy előre meghatározott szempontrendszernek megfelelően értékeli a csapatok munkáját.
 
Miért hasznos?
Mert a TTX gyakorlatok során gyorsan, hatékonyan és non-destruktív módon lehet információkhoz jutni az adott szervezet incidenskezeléséről, valamint eredményesen lehet azonosítani azokat a kritikus pontokat, amelyek egy valós kibertámadás során problémát okozhatnak. Tehát a Tabletop Exercise kiértékelése segít a szervezetnek az incidenskezelés fejlesztésében.

 
2. NAP
A második napon egy valódi Cyber Range versenynek lehetnek tanúi az érdeklődők, amely során nemzeti CERT csapatok fognak szembeszállni egymással. A cél, hogy megvédjék a kritikus infrastruktúrákat a támadó Red Teamtől. 
 
Mi a Cyber Range?
A Cyber Range, vagy másnéven kiber hadgyakorlat, egy szimuláció, amely különböző valós életből vett infrastruktúrák miniatürizált változatait használja az incidenskezelési tervek tesztelésének alapjául. Az eseménykezelő, CERT csapatok munkáját folyamatosan támadja a kifejezetten erre felállított Red Team, vagy hacker csapat. A Secops Europe infrastruktúrája létfontosságú rendszert testesít meg, egy PLC eszközzel. Tudj meg többet a Cyber Range-ről!
 
Miért hasznos?
Mert a szimuláció nemcsak teszteli, hanem fejleszti is a szervezet incidens reagáló és detektációs képességeit egy valós tapasztalatok alapján felépített környezetben.
 
 
REGISZTRÁCIÓ A RENDEZVÉNYRE >>>
 


A VIP jegyek limitált számban elérhetőek!

A VIP jegyek az alábbi plusz szolgáltatásokat tartalmazzák:
- elsőbbségi belépés
- VIP lounge
- kávé és ebéd
- VIP party networking lehetőséggel
 

JEGYVÁSÁRLÁS >>>

A felhasználói azonosítás jövője - paradigmák és technikák

2017, november 22 - 11:29

Amekkora közhely, akkora igazság: a jelszó már nem elég. Ahogy egy korábbi cikkben volt róla szó, bizonyos esetekben még a többlépcsős hitelesítés sem, ha nincs meg hozzá a megfelelő biztonságtudatosság. Mivel fokozható a biztonság? Az elmúlt években egyre többet lehetett hallani a viselkedés elemzésen alapuló behatolásérzékelő, azaz user behavor analytics alapú megoldásokról, viszont az ismert termékek közül több is a gyakorlatban egyenlőre még nem eléggé kiforrott.

Az UBA és hasonló megoldások ugyan elegánsak, vannak hasonlóan elegáns, a felhasználói viselkedést kevésbé figyelő, ugyanakkor napjainkban még hatékonyabb megoldások a felhasználói azonosítók, főként jelszavak ellopásán alapuló breachek azonosítására és megfékezésére. A következő cikkben ezzel fogok foglalkozni bevezető szinten, a webes vagy weben keresztül is elérhető szolgáltatások példáin keresztül.

Mindegy, hogy csoportmunkát támogató nagyvállalati megoldásokról, a Twitterről, a Facebookról, a munka világába betörni próbáló Workplace by Facebookról, a Google-ről, G Suite-ról vagy éppen a Zoho Suite-ról van szó, mind egyre kifinomultabb megoldásokat vezettek be, amivel a jelszólopáson alapuló betörési kísérleteket próbálják sokkal nehezebbé tenni. A tesztek alapján érdemes végigvenni, hogy mik azok a tényezők, amiket egy-egy belépésnél ezek a rendszerek figyelnek, ha úgy tetszik, ha valaki bombabiztos intranetet, collaboration suite-ot, ERP-t, intranetet tervezne, ezeket mindenképp érdemes beépíteni a szolgáltatásba még akkor is, ha az implementálása nem tűnik rutin feladatnak, másrészt költségesebbé teszi a működtetést olyan szempontból is, hogy külső szolgáltatók szolgáltatásait, például külső GeoIP-szolgáltatókat kell igénybe venni.

Tekintsük az alábbi hipotetikus esetet: adott egy potenciális áldozat, aki tipikusan Budapestről, vagy ha nem is Budapestről, de Magyarországról szokott belépni az adott szolgáltatásba, mobilról mindig iOS-en, mobilappon keresztül, asztali gépen pedig böngészővel Windows 10-es oprendszerrel és az aktuálisan legújabbra frissített Firefox böngészővel, amin nagyjából ugyanazok az addonok vannak telepítve a munkahelyi vagy otthoni gépén. A jólnevelt, alapos azonosítást végző webszolgáltatások lényegében a mi biztonságunk érdekében szeretik lekérdezni és naplózni az ún. browser fingerprintet, ami többek közt a következőket foglalja magába:

- képernyő felbontása és színmélysége

- a felhasználó által használt böngésző típusa, verziója és az általa használt pluginek

- a gép által használt időzóna

- a böngésző engedélyezi-e a DNT-headert, amiről érdemes tudni, hogy a webhelyek vagy figyelembe veszik vagy sem, de nincs kötelező érvénye

- a HTTP_ACCEPT , válaszban fogadható adatok típusa

- az egyedi  WebGL hash

- a böngésző és persze az operációs rendszer nyelve

- azok a rendszerben telepített betűtípusok, amiket a böngésző használhat a webhelyek megjelenítéséhez

- természetesen a jó öreg user-agent

Már ennyiből belátható, hogy itt valóban egy ujjlenyomatról van szó, hiszen alighanem nincs két ugyanolyan eszköz a világon, aminek ezek az értékek azonosak lennének, ami érthetőbbé válik a következő ábra alapján:

 

 

A saját böngésző ujjlenyomatunkat a legegyszerűbbben a https://panopticlick.eff.org/  oldalon nézhetjük meg, a teszt lefutása után csak a Show full results for fingerprinting lehetőségre kell kattintani. Az ujjlenyomatban látható bits of identifying information valamint one in x browsers have this value oszlopban látható értékek értelemszerűen azt mutatják, hogy az összes korábban mért böngésző-ujjlenyomathoz képest a sajátunk mennyire egyedi.

Ezen kívül van még több finomság, amire rendszerint nem gondolnak azok, akiknek rendszerint az a rögeszméjük, hogy ők aztán tényleg anonim módon szörföznek, saját tapasztalataim szerint akik úgy gondolják, hogy a legnagyobb avatott szakértői az anonimizálásnak, nehezebben edukálhatók, mint a teljesen fogalmatlan felhasználók, senkinek sem ajánlanám, hogy bárki is megpróbálja meggyőzni őket arról, hogy nem tévedhetetlenek.

De vannak más információk is, amiket a böngésző kikotyoghat, például a WebRTC-technológia miatt. A WebRTC ötletét az adta, hogy a VoIP és a böngészőben elérhető videótelefonálós szolgáltatások zökkenőmentesebben működjenek, alapértelmezés szerint máig az összes böngészőben alapértelmezés szerint engedélyezett a WebRTC, ami a következő információkat árulja el a felhasználóról, amiről aztán nem gondolná, hogy kívülről is látható:

- LAN IP - nem nehéz belátni, hogy a használt routerben beállított DHCP lease timetól függően a publikus IP-LAN IP együttesen nézve már alkalmas lehet a konkrét eszköz és felhasználó azonosítására. Viszont azt, hogy például egy felhasználó a  5.62.39.247 publikus IP-t használja, amihez a hozzá tartozó LAN IP 192.168.1.88, elvben természetesen nem csak olyan szolgáltatás kérdezheti le, amelyiknek ténylegesen szüksége van erre az információra, azaz nem csak videócsetes szolgáltatás. Egy 5.62.39.247 cím önmagában nem túl egyedi, de egy 192.168.1.88-192.168.1.88 már eléggé, egy 5.62.39.247-172.16.231.122 pedig annál inkább, több irodaépületben esetleg a LAN IP sosem változik.

- A felhasználó által használt DNS-szerverek, amik akár az alapértelmezés szerint az internetszolgáltató által automatikusan beállított DNS1, DNS2 címek, akár a kézileg beállított OpenDNS, akár a Google DNS1, DNS2 címei, egyaránt árulkodóak, hiszen ugyancsak lekérdezhetőek.

Hogy a gépünk érintett-e a DNS leaking szempontjából, a legegyszerűbben a  https://ipleak.net/ oldalon ellenőrizhetjük.  

Természetesen a böngésző ujjlenyomata és a WebRTC is megmókolható illetve lecsapható, viszont nem feltétlenül bölcs dolog, hiszen ezeket az információkat alapvetően azért árulja el a böngészőnk, hogy a webhelyek megfelelően legyenek megjeleníthetőek.

Egy-egy gyanús belépési kísérletnél a hitelesítés ellenőrzésének része lehet a böngésző ujjlenyomat és a WebRTC miatt lekérdezhető információk összevetése azokkal, amiket korábban naplózott a rendszer az adott felhasználóra vonatkozóan.

Ennél sokkal kevesebb információ is elegendő ahhoz, hogy valamilyen anomáliát szúrjon ki egy-egy szolgáltatás egy gyanus belépés esetén, ezért extra, az azonosításhoz szükséges adatokat kérjen majd a felhasználótól. Tételezzük fel, hogy a felhasználó 13:00-kor belép vagy éppenséggel aktívan használ egy korábban indított munkamenetet Budapestről, mondjuk a UPC lakossági hálózatán keresztül, ahol ráadásul igen ritkán változnak az elvben dinamikus IP-címek, közben pedig egy másik eszközön 13:10-kor valaki elsőre megadja a helyes felhasználói nevet és jelszót olyan eszközön, ami a hozzárendelt IP-cím alapján Bécsben van és mondjuk az A1 IP-tartományából kapott publikus IP-t mutatja. Ezen kívül tételezzük fel, hogy a felhasználó ritkán utazgat, nem szokott VPN-t használni, valamint azt, hogy 10 perc alatt nem teleportálta magát Budapestről Bécsbe. A szolgáltatás joggal fog riasztani azzal kapcsolatban, hogy egy támadó egy szimpla jelszólopással próbál hozzáférni a felhasználó fiókjához és függően attól, hogy a korábbiakhoz képest mennyire szokatlan a belépési kísérlet, annál komolyabb extra lépéseket kérhet a felhasználótól az azonosításhoz. Persze ha valaki rendszeresen ugrál akár céges VPN-en keresztül, akár anonimizáló VPN-szolgáltatáson, akár TOR-on keresztül, az okos beléptetés ezt is meg fogja jegyezni és a későbbiekben már nem tekinti szokatlan belépési kísérletnek az előzőhöz hasonló esetet. Ráadásul a legnagyobb webes szolgáltatások azt is nagyon jól tudják, hogy milyen címtartományok tartoznak anonimizáló VPN szolgáltatásokhoz valamint egész precíz listája van a TOR exit node-okról.

Az ilyen típusú ellenőrzésnek ugye semmi köze pl. az UBA-hoz, viszont mégis nagyon hatékony. Kísérletező kedvűek kipróbálhatják, hogy egy USA-beli VPN-re csatlakoznak, nyitnak egy privát böngészőablakot, majd megpróbálnak belépni a Twitter-, Google- vagy Facebook-fiókjukba, közel 100%, hogy mindegyik sikítani fog és további információt kér az azonosításához. A szolgáltatás a felhasználót kötelezheti új jelszó megadására, arra is, hogy végigmenjen egy security checkupon, ami magába foglalja korábbi belépések áttekintését, a megbízhatónak megjelölt eszközök áttekintését, az utolsó felhasználói aktivitások áttekintését, de ha csak a Google- vagy Facebook accountra gondolunk, előfordulhat olyan forgatókönyv is, hogy a szolgáltatás az accountot átmenetileg lezárja, amíg egy moderátor át nem nézi, hogy mennyire is gyanus egy-egy belépési kísérlet, ennek megfelelően a Facebook kérheti, hogy a felhasználó küldjön arcképes személyi igazolvány scant, amin valóban az ő arca van. Persze olyan arc, ami összevethető a korábbi feltöltött képek alapján. Ezen kívül az is lehetséges, hogy a helyreállítást csak akkor hajtják végre, ha a felhasználó engedi, hogy a saját nevén lévő bankkártyán keresztül zároljanak egy jelképes összeget, a bankkártyán lévő névnek pedig egyeznie kell a szolgáltatásban használt névvel.

Ilyesmit alighanem többen láttak már, ideális esetben nem túl sokszor:

A Google-t és a Facebookot két szempontból emelem ki. Az egyik, hogy a Google a G Suite-tal már rég meghódította hatalmas szervezetek szinte teljes kommunikációját már akkor, amikor a mostani szabványok szerinti megfelelőséggel nem is rendelkezett, amiről itt olvashatunk bővebben: https://gsuite.google.com/security/?secure-by-design_activeEl=data-centers   

 

 

Amivel most a Facebook is próbálkozik, a Workplace by Facebook, amivel kapcsolatban amúgy a cég esküszik rá, hogy sokkal komolyabban veszik az abban tárolt, elvben Facebooktól teljesen elválasztva kezelt információkat és ezt szintén igyekeznek külső audit reportokkal alátámasztani

A második, ami miatt ezt a kettőt emeltem ki, hogy ha alapvetően tömegszolgáltatás esetén be lehetett vezetni a fent vázolt, felhasználók biztonságát fokozó módszereket, ebből lenne mit tanulniuk például a céges intranet rendszerek fejlesztőinek.

Előbb írtam, hogy ezek a szolgáltatások nem figyelik a felhasználói magatartást, ami azért nem teljesen igaz, használják, de nem elsődlegesen. A Facebook például sikít, ha egy teljesen friss belépést követően valakinek az első dolga a figyelmeztetések vagy a kétlépcsős hitelesítés kikapcsolása, a fiókhelyreállításra alkalmas email-cím vagy mobilszám megváltoztatása, míg a Google drákói szigorral ideiglenesen jegeli azt a Google-accountot, amelyiknél egy friss belépést követően a felhasználó olyan szűrőszabályt állít be az emailekre, amik éppen a biztonsági figyelmeztetéseket tartalmazó emaileket dobálná kukába, ha pedig a támadó átirányítást állított be egy külső email címre, webes felületen az ezzel kapcsolatos figyelmeztetés egy hétig fog a felső sávban virítani.

Ha egy-egy fontos, akár minősített adatokat is tároló rendszerben eléggé kifinomultan van kialakítva a védelem, ami, mint lájuk, nagyobb részt nem perimeter-based védelemi mechanizmusokra támaszkodik, az igencsak megnehezítheti még a felkészültebb támadó dolgát is.

Nos, mindezt figyelembe kell venni a pentesternek is, akár pusztán no-tech hacking, akár technikaibb módszerekkel próbálkozik. Tételezzük fel, hogy a pentester vagy a rosszindulatú támadó tisztában van azokkal, amiket leírtam, éppen ezért virtuális gépet használ, természetesen a virtuális gépen használt böngészővel. Ekkor a virtuális gépnek minél inkább sikeresen el kell hitetnie a támadott szolgáltatással, hogy hagyományos gép, ami pedig a böngészőt illeti, azt is úgy kell kialakítania, hogy az minél jobban hasonlítson egy mezei böngészőhöz. És tételezzük fel, hogy nem használ TOR-t vagy hasonló csodát, amivel gyanusabbá nem is tehetné önmagát. Persze a portable browser sem megoldás, egyszerűen azért, mert kellően bravúros védelmi megoldás esetén a szolgáltatás észleli, hogy valószínűleg portable browserről van szó. Azaz OPSEC szempontból még az sem a legjobb megoldás, ami egyébként annak tűnik. Akár a pentester, akár a rosszindulatú támadó egy támadásnál annál inkább számíthat sikerre, minél inkább úgy kezeli a virtuális gépet és a böngészőt, mintha az valódi lenne. Például rendkívül gyanus az olyan böngésző, aminek az ujjlenyomata alapján semmilyen addon nincs telepítve, ahogy természetesen az is, ha ugyancsak a fingerprint alapján kiderül, hogy az oprendszer és a böngésző orosz nyelvű, holott a támadott felhasználó angol vagy magyar nyelvűtől eltérő oprendszert és böngészőt sosem szokott használni, orosz nyelvűt sosem használt. Az pedig már szinte biztos, hogy bekapcsolja a vészcsengőt, ha valaki a TOR hordozható böngészőjével próbálkozik, amiben éppen az a gyanus, hogy semmilyen addonja nincs, de NoScript mindig, csak a legszükségesebb betűtípusokat használja és így tovább.

A böngészőnk és a viselkedésünk nem csak valamilyen szolgáltatásba való belépésnél lehet nagyon árulkodó. Néhány hónappal ezelőtt, miután a nagyon sokadik emailt kaptam egy szépnevű USA-beli hoszting szolgáltatótól, hogy költöztessek hozzájuk ezt, azt, amazt, gyanusan olcsón, egy idő után a szolgáltató oldalán kértem egy pre-sales csetes supportot. A beszélgetésből kiderült, hogy a felkínált ár tényleg annyi, amennyit feltüntettek, de csak az első számlázási ciklusban és csak akkor, ha három évre előre fizetek elő, de ha mindez nem lenne elég, az is kiderült, hogy ha az ügyfél európai vagy sejthetően az adatforgalmat jórészt Európa felé kellene biztosítani, ami ennek megfelelően sokkal drágább a szolgáltatónak, akkor háromszoros áron tudják csak biztosítani a szolgáltatást. Gondoltam, magamban, nesze neked net neutrality, puding próbája az éves, ennyire pofátlan szolgáltató esetén nem éreztem különösebb bűntudatot, amikor szűz böngészővel egy USA-beli VPN-szerveren keresztül elindítottam szolgáltatás megrendelését, USA-beli számlázási címet megadva. Ahogy pedig ez jobb helyeken bevett gyakorlat, ellenőrzik a szolgáltatás élesítése előtt, hogy a megrendelő nem spambáró, terrorista vagy hasonszőrű arc-e esetleg. Paypal-lel fizettem volna, azaz a fizetési eszköz alapján nem lehetett következtetni a kilétemre. A szolgáltatást mégsem élesítették a csalásmegelőző rendszer riasztása miatt. Az adott szolgáltató a MaxMind MinFraud szolgáltatását használta, az pedig alighanem abból következtetett rá, hogy valószínűleg nem USA-beli vásároló vagyok, hogy a megrendeléskor használt böngésző nyelve magyar volt a fingerprint alapján, ami meglehetősen ritka lehet a megrendelőik körében. Vagy olyan tényező alapján, amiről nem tudok.

Összefoglalásként elmondható, hogy a felkészült támadó dolgát - persze nem csak webes környezetben - igencsak meg lehet nehezíteni, ha a védelem teljesen különböző technikáit kombináltan használják. A perimeter-based védelem nem elég, a felhasználói viselkedést elemző rendszerek önmagukban még biztosan nem eléggé kiforrottak, ugyanakkor több elegáns, alapvetően a kliensre jellemző technikai sajátosságok lekérdezése, azok összehasonlítgatása korábbi mintákkal, az ahhoz kapcsolódó valószínűségi változókkal már igen hatékony lehet.

Amit még megjegyeznék, hogy nagyon sokszor nem is szükséges olyan, diszkrét, kevésbé diszkrét, de drasztikus módszerek bevetése, mint supercookie-k és hasonló okosságok küldése az ügyfél felé ahhoz, hogy egy felhasználó nagy pontossággal azonosítható legyen. Persze, van, amikor igen, ugyan ez kevésbé tárgya a cikknek. Mire is gondolok? Az FBI a Wikipedia szerint legalább 2002. óta használja a semmitmondó nevű Network Investigative Technique toolkitet, ami nem tűnik túl privacy-barát dolognak. Az is tudvalevő, hogy a nyomozóhatóságok nem ritkán a feketepiacra járnak 0-day exploitokat vásárolni. Természetesen 100%-ig nem zárható ki, hogy ezzel nem élnek vissza, viszont rendszeresen felröppen olyan hír, amikor éppen valamilyen 0-day sebezhetőséget kihasználva sikerült egy-egy pedofilhálózatot leleplezniük a dark weben, ekkor senki sem ítéli el a módszert különösebben. Az egyik ilyen pedofil ügyben a vádemelést követően egy bíró próbálta kötelezni a FBI-t az általuk használt technikák és az összes többi technika felfedésére, amit lehet indokolni mondjuk azzal, hogy csak törvényesen szerzett bizonyíték használható fel, ahogyan Európában is, csak éppen józan ésszel nem. Személy szerint azért nem értek egyet azokkal, akik szerint a privacy mindenek fölött álló és bűnüldöző szervek se használjanak néha etikai szempontból  megkérdőjelezhető módszereket, mert ha lebuktatnak 1000 pedofilt, embercsempészt, bérgyilkost, nagy tételben utazó drogbárót, na meg olyan arcot, akikkel nem szivesen találkoznánk személyesen, emellett 1 ártatlan személy magánszférájába a feltétlenül szükségesnél jobban beletúrnak akár véletlenül, akár szándékosan, ép ésszel belátható, hogy szerencsésebb eset, mintha senkinek a magánszférája nem sérült volna minimális mértékben sem, de tovább ténykedhet 1000 bűnöző a net legsötétebb bugyraiban.

Tökéletes OPSEC nincs. Az pedig a kriminalisztika dogmaként kezelt megállapítása, hogy elkövetés sem létezik nyom nélkül.

Cikkem lényegi mondandója, hogy a felhasználó eszközeiről és viselkedéséről szerzett és naplózott információk nélkül pedig nyilván esélytelen lenne a jelenleg leghatékonyabbnak tűnő biztonsági megoldásokat megvalósítani. Ahogy a Snowden-botrányt követően készült South Park epizódban Cartman anyukája megjegyzi Carmannek: „Tudom, hogy az NSA kínozza a Mikulást, Szivem, de ez a biztonság ára.” Nemrég jegyeztem meg egy ismerősömnek, hogy meg nem tudnám mondani, hogy mennyi könyvet és cikket olvastam el a Snowden-sztorival kapcsolatban, de egyszerűen nem találtam olyat, ami a lényeget jobban összefoglalná, mint a Let Go, Let Gov South Park-epizód, aminek a mondandója van akinek úgymond átmegy, megint másoknak nem, magyar szinkronnal is nagyon jó lett. 

Szabadulószoba a biztonságtudatosságért

2017, november 22 - 11:14

A májusi szerdai előadáson Oroszi Eszter előadását hallhattuk.  Az előadáson keresztül a felhasználók biztonságtudatosságának fejlesztésének egy új, kevésbé emlegetett módszerét ismerhettük meg, aminek a lényegi részét egy, a célnak megfelelően kialakított szabadulószoba jelenti.

Az előadó gyorsan összefoglalta, hogy a hagyományos IT security awareness tréningekkel a legnagyobb probléma, hogy a résztvevők alapvetően túlságosan passzívak, holott az interaktivitás fontossága olyan képesség kialakításában, mint az éberség, elengedhetetlen. Világos, hogy a hagyományos biztonságtudatosságot fokozó tréningek alapvetően unalmasak, mivel már ismert dolgokat mutatnak be, ami ugye kódoltan azt is jelenti, hogy hiába ismer elvben valaki egy bizonyos típusú kockázatot, közel sem biztos, hogy eléggé éber lesz, amikor valaki egy tényleges social engineering támadással próbálkozik.

Eszterék olyan szabadulószobát alakítottak ki, ahol a tréning résztvevői egy időre a támadó bőrébe bújhatnak, az irodaként kialakított szabadulószobában lényegében meg kell találniuk a továbblépéshez szükséges információkat, ami lehet akár egy aktatáskát nyitó kulcs megkeresése a fiókokban vagy éppen egy emlékeztetőt tartalmazó postit-cetli, amit a szoba hipotetikus alkalmazottja, esetleg megpróbált elrejteni. Egyszóval a játékosoknak minél ötletesebben kell turkálniuk használható információk után kutatva, amíg meg nem találják végül a zárolt munkaállomás feloldásához szükséges jelszót.

Szóba került, hogy a többség egész egyszerűen nem szeret turkálni, ami teljesen érthető, hiszen nem ahhoz szokott hozzá, hogy idegen helyen turkáljon. A szabadulószobát a játék közben persze felügyelni kell, így a játékosnak segítséget lehet nyújtani, ha esetleg elakadna az ötletelésben. Több apró siker pedig természetesen fokozza az egész játék élményszerűségét, emellett a játékosok amellett, hogy korábban tudtak róla, valóban tudatosul is bennük, hogy bárki lehet célpont, másrészt hiba vakon bízni a fizikai biztonságban. Azaz akár érzékeny információkat tartalmazó dokumentumokat elzáratlanul hagyni vagy egy munkaállomást lezáratlanul hagyni még akkor is rizikós, ha elvben az irodákba csak a cég alkalmazottjai léphetnek be.

Persze csak elvben, mivel sok-sok helyen mindegy, hogy beléptető kártyával lehet csak bemenni illetve átmenni egy-egy irodába, sok esetben még ez sem zárja ki a tailgating  és a piggybacking  módszerével kivitelezett bejutást. Emellett ahogy az minden, azonosítást igénylő helyen lenni szokott, több munkahelyen az alkalmazottak esetleg kölcsönadják a saját beléptetőkártyájukat. Ahogyan az sem zárható ki, hogy egy támadó új alkalmazottnak adja ki magát és azzal téveszt meg egy alkalmazottat, hogy a beléptetőkártyája valami miatt nem működik, így a feljogosított felhasználó inkább beengedi a sajátjával. A social engineering támadásoknál gyakran visszatérő elem, hogy a támadó az áldozat segítőkészségét használja ki, lévén, hogy alighanem gyakrabban fordul elő, hogy egy arra feljogosított alkalmazott nem tud bejutni valahova, mint annak, hogy kifinomult csalással jusson be valaki egy irodaépület valamelyik részébe. Hirtelen a Deloitte két reklámfilmje jutott eszembe, mindkét esetben a social engineering teremti meg a lehetőségét annak, hogy később a támadók sikeresen férhessenek hozzá egy, amúgy jól őrzött cég hálózatához.

Így könnyítheti meg a támadó dolgát a többlépcsős hitelesítés

2017, november 2 - 15:04

Az olyan, tömegigényt kiszolgáló szolgáltatók, mint a Google vagy a Facebook valamivel több, mint 5 évvel ezelőtt vezették be azt, ami az ebanking környezetekben már gyakorlatilag standard volt: az azonosítón és a jelszón kívül a szolgáltatás a beléptetésnél a felhasználó azonosítása érdekében még valamilyen információt kérnek, aminek a leggyakoribb megvalósítási módja volt a múltban az egyszer használatos SMS-ben érkező token illetve persze a tokengenerátor. Ma persze már sokkal gyakoribb megoldás, hogy egy mobilapp generálja a tokeneket, aminek két-három különböző megvalósítása uralta le a piacot.

A Google Authenticator a TOTP-ra és a HOTP-ra alapuló kódgenerálást egyaránt támogatja. Aki esetleg allergiás lenne mindenre, ami Google, az használhat Duo Mobile-t ami ugyanez a kettő, legjobban elterjedt idő-alapú tokengeneráló algoritmust használja. Ami jelentősen eltérő, de szintén elterjedt app, az Authy, ezen kívül az olcsósága miatt érdemes lehet Yubikey-t használni az azonosítás második lépésében, amit egyre több és több rendszer támogat, emellett lehetőség van arra is, hogy valaki egyszerűen beszerezze a Yubikey API-ját és beépítse a saját rendszerébe. Továbbra is gyakori megoldás a második lépést telefonhívással vagy SMS-sel megoldani.

Főleg ott, ahol tömegigényt kell kielégíteni, nyilván a fejlesztőknek úgy kellett implementálniuk a kétlépcsős hitelesítést, hogy a fiók tulajdonosa számára az se jelentsen fennakadást, ha a tokenek generálásához használt mobil elveszik vagy éppen a mobil nem hívható, esetleg nem tud SMS-t fogadni bármilyen okból. Éppen ezért a 2FA beállításakor a minden ilyen rendszer felhívja a felhasználó figyelmét, hogy mentse le valahova azt a 10 kódot, ami abban az esetben is alkalmas az azonosítás második lépésekor, ha a mobil sehogy sem érhető el, amiben már önmagában van fantázia támadói oldalról.

Mielőtt úgy gondolnánk, hogy legalább a web legnagyobbjai komolyan is veszik a 2FA-t, érdemes tudni, hogy a Facebook esetén a support egyszerűen kikapcsolja a kétlépcsős hitelesítést pusztán azzal, hogy a támadó a fiókhelyreállításnál behazudja, hogy nem tud hozzáférni az áldozat fiókjához, mi több, ezt követően hitelesebben tudja kiadni magát, mint a fiók valódi tulajdonosa. A Google és persze a G Suite esetében azért sokkal jobb a helyzet, mivel egy algoritmus ellenőrzi a fiókhelyreállítási kísérletkor, hogy a felhasználó valóban nem tud-e belépni és persze, ha azt látja, hogy rendszeresen problémamentesen bejelentkezik, mint korábban bármikor, a támadó el sem jut a supportig. Viszont sem a Facebooknak, sem pedig a Googlenek nincs sem kapacitása, sem pedig lehetősége egy-egy bejelentés jogosságát kivizsgálni, ezért nem csoda, hogy inkább lazábbra fogják a figurát a biztonság terén, minthogy felhasználót veszítsenek. Céges környezetben a G Suite adminja lehet rázós célpont, ne felejtsük el, hogy a Facebook is elkezdett nyomulni a Workplace by Facebook-kal, ami később szintén okozhat izgalmas pillanatokat céges környezetben.

Több multifaktoros megoldás összehasonlítását a Wikipedián erre találjuk.

Van viszont egy sokkal, de sokkal húzósabb kockázat az egész kétlépcsős hitelesítéssel kapcsolatban, ami hát persze, hogy az emberi természetet, mint a permanens módon leggyengébb láncszemet célozza.

Azt szoktam mondani, hogy a totális tudatlanságtól már csak a hamis biztonságérzet a veszélyesebb, és tényleg. Amint az egyszeri felhasználó vagy akár egy privilegizált felhasználó beállította a kétlépcsős hitelesítést, onnantól kezdve nyugodtan alhat, hiszen még egy jelszólopás esetén is a támadó nem tud majd továbblépni a 2FA miatt, nemde? Elvben igen. Viszont nem eléggé tudatos felhasználónál éppen ez a hatás tovább feszíti a hamis biztonságérzet és az effektív biztonság közti szakadékot!

Aki használ 2FA-t gyakrabban vagy kevésbé gyakran találkozik olyan, mobiljára érkező SMS-sel, amiben egy-egy szolgáltatás küldi az SMS-t, csak annyit jelez, hogy a belépés sikeres, sikertelen, de ideális esetben be vannak állítva olyan triggerek, amik szokatlan tevékenységkor is SMS-ben figyelmeztetik a felhasználót abban az esetben is, ha egyébként a 2FA-t általában nem SMS-en keresztül használja, hanem valamelyik okosmobil-appal.

Na most képzeljük el, hogy biztonságtudatos, azaz még csak nem is totálisan paranoid felhasználónk kap egy SMS-t az alábbi sablon szövegek valamelyikével:

  • "Your account was logged into from a new browser or device. Review the login: https://oldal.tld/token_helye"
  • "Your account was recently logged into from Safari on Windows."
  • "Password reset code: [öt-hat számjegyű szám] Or reset your password here: http://oldal.tld/token_helye"
  • "Access data for your account has been ordered by you personally or by someone else. Your temporary password: [jelszó helye]"

Az első scenario: szóval landolt egy SMS, amiben kedvesen tudatja velünk a szolgáltatás, hogy mi a belépési tokenünk, amiről tudjuk, hogy csak a helyes felhasználói név és jelszó megadása után szokta kérni a rendszer, aztán esetleg ott egy adathalász oldalra mutató link, az SMS-t pedig egy az egyben a támadó küldte. Az adathalász oldalon már kedvesen elkérhető az áldozat felhasználói neve, jelszava, amit ugye lehet, hogy még kismillió helyen használ.. Mire pedig rájön, hogy adathalász támadás áldozata lett, már lehet, hogy késő. A támadás megspékelhető a második scenarioval kombinálva. 

A második forgatókönyv, alighanem sokkal régebben ismert volt, minthogy figyelmeztetést adott volna ki ezzel kapcsolatban több IT biztonsági cég is, a Symantec a Gmail példáján keresztül mutatja be a támadást az alábbi videóban: https://www.youtube.com/watch?v=_dj_90TnVbo

Tehát a támadó indít egy jelszóhelyreállítást, tokent kér az áldozat mobiljára, majd küld a mobilra egy SMS-t azzal a szöveggel, hogy valaki illetéktelenül belépett a fiójába, a kapott tokent küldje vissza SMS-ben válaszként, ha nem ő volt, a felhasználóban pedig megáll az ütő, nem gondolkozik, nem nézi a mobilszámot, küldi is vissza a támadónak a jelszóhelyreállító tokent, amivel a támadó új jelszót állít be.

Megjegyzem, éppen ez a támadás ma már a Google és G Suite accountoknál nem használható ebben a formában, mivel a fiókhelyreállítás megkezdése előtt a Google korábbi viselkedési adatokat elemez,  további adatokat kér, mint például azt, hogy mikor jelentkeztünk be sikeresen utoljára, honnan, milyen platformról, melyik szolgáltatásba, és így tovább, viszont a Facebook továbbra is sérülékeny! És persze ki tudja, hogy hány és hány vállalati rendszer úgyszintén.

Lehetne elemezni a támadást step-by-step bőven, ami itt a kulcselem, az ijedtség és az azonnaliság kényszere, amik persze hasonlóan kiirthatatlan sajátosságok, mint a tudatlanság. A módszer alighanem annyira hatékony, hogy alighanem még akkor is működik, ha a felhasználó arra a mobiljára kapja ezt a riasztást, amelyiken ilyet fogadni sosem szokott.

Korábban egy ISACA Második Szerdai előadáson volt róla szó, hogy a breachek több, mint fele azonosítók ellopásával van összefüggésben, aminek sejthetően a legnagyobb része nettó jelszólopások. Mint látható, a többlépcsős hitelesítés sem silver bullet, bájos, hogy az illetéktelen hozzáférést látszólag nagyon komolyan megnehezítő megoldás újabb lehetséges, hatékony támadási formák lehetőségét teremtették meg.

Az viszonylag világosan látható, hogy mi nem jelent megoldást. Például a fiókhoz tartozó mobilszám titokban tartása, hiszen a mai világban egész egyszerűen nem lehet mobilszámot titokban tartani, de még ha lehetne, akkor sem lenne túl életszerű, hogy a felhasználó arra rendszeresítsen egy mobilt, aminek a számát titokban tartja, hogy azt csak belépésekhez használja.

Ha többlépcsős azonosításról van szó, eljátszhatunk azzal a gondolattal, hogy egy nagyobb szervezetnél a főadmin gondol egyet, aztán teljesen saját tokengeneráló alkalmazást fejleszt, majd vezet be. Ott meg aztán nagyon-nagyon sok ponton homokszem kerülhet a gépezetbe például akkor, ha azok a véletlen számok mégsem annyira véletlenszerűek, ami az egyik leggyakoribb hiba ilyen alkalmazások implementációjakor. Viszont a támadó miért is bíbelődne ilyennel, amikor ott a fent vázolt, sokkal egyszerűbb módszer? 

Meghívó: Második szerdai előadás / november

2017, november 2 - 11:46
Felhő és a biztonság - trendek, kockázatok

Szeretettel meghívjuk soron következő, 2. szerdai előadásunkra:

Dátum: 2017. november 8., szerda 17:00 óra

Helyszín: MNB - Budapest I. kerület, Krisztina krt. 39., Google térkép >>>

 

REGISZTRÁCIÓ >>>

Előadás leírása:

Jelenleg kétféle cég létezik: akik használnak felhőt és ahol tiltott a felhő, de mégis használják. A felhő teret hódít minden cégnél, nem tudjuk elkerülni, hogy a dolgozók trendi alkalmazásokat, vagy weboldalakat kezdjenek használni. Vajon a Facebook felhőszolgáltatás? Mi az a CloudSOC, CASB és UBA? Mi a trend és az IT biztonság oldaláról milyen esélyeink vannak a céges adatok védelmére? Az előadásból többek között ezek is ki fognak derülni.   Meghívott előadó

Makay Kálmán, mySec

Makay Kálmán 17 éve az IT szakma aktív tagja, 2000-2009 között külsős munkatársként nagyvállalati rendszerek biztonságos üzemeltetéséért felelt és projektek vezetését látta el (Thysenkrupp Presta, MÁV Start). 2010-től a Wizz Air-nél dolgozott és elsődlegesen a PCI-DSS megfelelőség bevezetéséért és folyamatos auditálhatóságáért felelt. 2010-ben megalapítja a mySec-et és igyekszik a szakma számára értékadó információkat átadni. 2014-ben a Symantec-nél kezd el dolgozni IT biztonsági konzulensként, ugyanebben az évben megkapta az ITBN Év Útmutató Szakember díjat.

REGISZTRÁCIÓ >>>

Theme by Danetsoft and Danang Probo Sayekti inspired by Maksimer