Szoftverfejlesztői követelmények minősített környezetben
Elhangzott: Robothadviselés 9. Tudományos Konferencia, 2009. november 24.
Megjelent: Hadmérnök folyóirat, IV. Évfolyam 4. szám - 2009. december
A közigazgatás elektronizálása korábban nem látott ütemű és kiterjedtségű szoftverfejlesztéseket tett szükségessé olyan környezetekben is, melyek a Magyar Köztársaság működése szempontjából közvetve vagy közvetlenül kritikusak. A kifejlesztésre kerülő rendszerek azonban a legtöbbször nem szigetszerűen működnek, közvetlenül nem kezelnek állam- és szolgálati titkokat, így nem érvényesek rá a Titokvédelmi Törvény elvárásai. Jelen tanulmány bemutatja, hogy milyen személyi, szervezeti és szabályzati követelményeket kell szabni azon fejlesztőkkel és a fejlesztői környezettel szemben, akik ilyen, többnyire a 143/2004-es kormányrendelet keretében dolgoznak.
Digitális Mohács
Elhangzott: Hacktivity 2009 Konferencia, 2009. szeptember 20.
Elhangzott: Informatikai Biztonság Napja 2009, 2009. szeptember 24.
Megjelent: Nemzet és Biztonság folyóirat, III. évfolyam 1. szám - 2010. február
Hazánk is számos olyan infrastruktúrával rendelkezik, amelyek a mindennapi életben – a gazdaságtól kezdve a politikán át a mindennapi emberek életéig – nélkülözhetetlenek. Kritikus információs infrastruktúráink mindenhol megtalálhatóak. Csak néhány példa: villamosenergia-rendszer irányítása, banki és pénzügyi számítógépes hálózatok, vezetékes és mobil kommunikáció, egészségügyi informatikai rendszerek. Az nem újdonság ma már senki számára, hogy ezek a rendszerek (is) sérülékenyek, támadhatóak. Ugyanakkor nem látunk olyan határozott lépéseket, amelyek ezek komplex védelmére irányulnának. Gyakran mondogatjuk: nekünk egy Mohács kell, hogy felfogjuk, valóban veszélyben vagyunk! Ha ez a Mohács az információs infrastruktúrák területén jelentkezik, akkor bekövetkezhet egy "Digitális Mohács", azaz egy olyan informatikai-információs katasztrófa, amelyek következményei mindannyiunkat el fognak érni. Jelen tanulmány azokat a rendszereket kívánja bemutatni, amelyek a leginkább támadhatóak hazánkban, és a leginkább sérülékenyek egy összehangolt információs támadás esetén. A cél az, hogy felhívjuk a figyelmet arra, hogy hazánk is komoly veszélyben van, amelyet nem lehet túldimenzionálni.
Ellentevékenység az interneten
Elhangzott: Magyar Hadtudományi Társaság Elektronikai, Informatikai és Robotikai Szakosztály, 2009. június 30.
A prezentáció célja bemutatni az internetes ellentevékenység fogalmát és típusait. Az elektronikai ellentevékenységgel párhuzamot vonva röviden bemutatja a zavarási, pusztítási és megtévesztési technikákat.
Hackerek a nemzetvédelemben
Elhangzott: Cyber Terrorism and Crime Conference CYTER 2009, Prága, 2009. június 24.
A hackereket sokszor tartják rosszfiúknak, pedig ez nem (mindig) igaz. De néhány esetben mégis szerves részei lehetnek a kibervédelmi rendszernek, különösen azon kis és közepes méretű országokban, ahol a honvédség vagy a titkosszolgálatok nem rendelkeznek a szükséges erőforrásokkal és tudással, hogy elhárítsanak egy komplex hálózati támadást. A tanulmány megvizsgálja egy közepes méretű közép-európai ország nyilvános és reális lehetőségeit a kibervédelemben, felhasználva az elmúlt évek nemzetközi tapasztalatait. Az nyilvánvaló, hogy egy kisebb országnak nincsen elég szakértője ezen a területen, és egy ilyen támadás túlságosan gyors egy azonnali NATO reagáláshoz, tehát valamilyen kormányzati-civil együttműködés szükséges. A publikáció felvillant néhány lehetséges együttműködési lehetőséget a civil szakértők és a hackerek bevonásával. Megvizsgálja továbbá a hackerek véleményét a nemzetbiztonságban való részvételről személyes interjúk és kérdőívek segítségével. Az utolsó rész javaslatot ad a hackerek bevonására, valamint arra is megadja a választ, hogy miért bízzunk meg bennük.
A magyar elektronikus közigazgatás biztonsága
Elhangzott: Magyar Hadtudományi Társaság Elektronikai, Informatikai és Robotikai Szakosztály, 2009. május 5.
Az előadás rövid áttekintést ad a magyar elektronikus közigazgatás biztonsági kérdéseiről. Célja alapvetően a problémafelvetés, azaz kinek a feladata Magyarországon a kibertér védelme egy esetleges támadás esetén.
Éjjel-nappal a világhálón – avagy biztonság a virtuális térben
Elhangzott: I. Nemzetközi Titkosszolgálati Konferencia, 2009. április 22.
A prezentáció bemutatja az információbiztonság általam vallott filozófiáját, valamint bevezeti a Krasznay-féle 5E (elmélet, előírások, emberek, eszközök, ellenfelek) elméletét.
Web service fenyegetések e-közigazgatási környezetben
Elhangzott: Networkshop 2009 Konferencia, Szeged, 2009. április 16.
A 2009-2010-es években számos olyan szoftver- és rendszerfejlesztés valósul meg Magyarországon hazai és Európai Uniós forrásból, melyek segítik az e-közigazgatás fejlődését. Ezek technológiai iránya a szolgáltatás-orientált architektúra (SOA) felé mutat. Ez a megoldás új, eddig még kevéssé vizsgált informatikai biztonsági fenyegetéseket rejt magában, melyekkel a közigazgatási ajánlások kevéssé foglalkoznak, a biztonságos alkalmazásfejlesztés érdekében azonban szükséges a terület részletes elemzése.
Előadásomban bemutatom a magyar központi közigazgatási rendszerek jelenlegi és tervezett, nyilvánosan megismerhető architektúráját, fejlesztési irányait, valamint a web service helyét ebben a környezetben. Ismertetem továbbá azokat a szabványokat, ajánlásokat, melyek az ilyen típusú megoldásokra vonatkoznak, és behatárolják a fejlesztők lehetőségeit. Kiemelten foglalkozom a magyar elektronikus közigazgatási keretrendszerrel, mely az előadás idejében a tervek szerint szakmai vita tárgyát fogja képezni, így a tudományos elemzése időszerű lesz.
Bemutatom továbbá azokat az ismert, tipikus támadási módokat, melyek speciálisan a szolgáltatás-orientált architektúrákra vonatkoznak, valamint azokat az általános védelmi intézkedéseket, melyek segítségével a támadások kivédhetők. Az aktuális trendek alapján megállapítható, hogy a kifinomult informatikai támadások már nem hálózat és operációs rendszer szintjén történnek, hanem alkalmazási szinten, kiemelten a webes alkalmazások területén. Mivel a szolgáltatás-orientált architektúra igen komplex megoldásokra ad lehetőséget, a képzett támadónak jó esélyei vannak észrevétlenül jogosulatlan hozzáférést szerezni a rendszerhez. A szoftvertervezőknek, fejlesztőknek pedig – tekintettel arra, hogy a komplex rendszert sokan kivitelezik – nagy az esélyük arra, hogy olyan hibát vétenek, mely megkönnyíti a támadók dolgát. Ahány rendszer, annyiféle védelmi intézkedés képzelhető el, de meghatározhatók olyan megoldások, melyek általános alkalmazásával ezek a hibák minimalizálhatók.
A magyar elektronikus közigazgatás biztonságának elemzése és továbblépési lehetőségei
Elhangzott: Robothadviselés 8. Tudományos Konferencia, 2008. november 27.
Megjelent: Hadmérnök folyóirat, IV. Évfolyam 1. szám - 2009. március
A 2009-2010-es évek jelentős fejlődést hozhatnak a magyar e-közigazgatásban. Bár az informatikai biztonsági szempontok kiemelt szerepet képviselnek, jelenleg nincsenek egységes elvek és gyakorlatok ebben a körben a megfelelően biztonságos rendszerek fejlesztéséhez. A tanulmány áttekinti a magyar elektronikus közigazgatás fejlesztési irányait, majd bemutatja az ebből adódó várható műszaki kockázatokat. Mindezt a Common Criteria szabvány formalizmusával teszi, tekintettel a kormányzati elvárásokra. Ezután bemutatja azt az ajánlásrendszert, mely a tervezés és kivitelezés során felhasználható, és a japán példa elemzésével az ideális fejlődési irányt is felvázolja. Végül egy biztonsági teszt segítségével bemutatja a közigazgatási rendszerek általános biztonsági állapotát, és javaslatot tesz a tudományos alapokon nyugvó előrelépésre.
Az ISO 27000-es család
Elhangzott: Budapesti Műszaki és Gazdaságtudományi Egyetem Irányítástechnika és Informatika Tanszék, Számítástechnikai audit, 2008. október 30.
Hála Szigeti kollégának, évről-évre felkérést kapok arra, hogy mondjam el a tapasztalataimat a Műegyetemen is. 2008-ban több témát is feldolgoztam, ezek közül az egyik az ISO 27001 és 27002 (lánykori nevén ISO 17799) szabványok bemutatása. A szervezeti biztonsággal foglalkozó szabvány minden fejezetéről írtam egy keveset. Tekintettel arra, hogy informatikus hallgatóknak beszéltem, az egyes fejezetek megmutatják, hogy az alkalmazások hol tudják támogatni az ISO 27001 tanúsítvány megszerzését.
A rendszer próbája: az etikus hackelés és penetrációs tesztelés
Elhangzott: IIR Hungary Certified Data Security Manager Course, 2008. június 18.
Régóta szerettem volna készíteni egy prezentációt az etikus hackelésről. Ez az anyag megpróbálja bemutatni, hogy mit is értünk etikus hackelés alatt, milyen fogalmakat kell megismernie és számonkérnie annak, aki ilyen szolgáltatást rendel. Talán az is kiderül belőle, hogy módszertanilag megalapozott tevékenységről van szó. Természetesen a kancellár.hu már számos ilyen projektet csinált, így ajánlom magunkat!
Információbiztonság a másik oldalról: hackerek Magyarországon
Elhangzott: Networkshop 2008 Konferencia, Dunaújváros, 2008. március 19.
Elhangzott: Robothadviselés 7. Tudományos Konferencia, 2007. november 27.
Elhangzott: ISACA Hungary Chapter, 2007. november 14.
Az előadás megpróbálja bemutatni a magyar hacker szubkultúra résztvevőit. Magyarországon eddig egyetlen tanulmány készült a hackerekről, ezért fontosnak tartottam, hogy a saját tapasztalataimat, melyek az egyetemekről, a munkámból és a Hacktivity konferenciáról származnak, megosszam az érdeklődőkkel. Vitatkozni biztosan lehet vele, ezért az esetleges véleményeket szívesen fogadom!
A PCI DSS szabványról röviden
Elhangzott: kancellár.hu Kft. CIO reggeli, 2007. október 9.
A szaksajtóban egyre többször foglalkoznak a Visa és a Mastercard által kidolgozott Payment Card Industry (PCI) Data Security Standard (DSS) szabvánnyal, ami a bankkártyadatok biztonságos tárolására, feldolgozására és továbbítására vonatkozik. Mivel magyar nyelven még nem nagyon érhető el információ erről az ajánlásról, próbáltam hiánypótló prezentációt csinálni.
A mobilkészülékek biztonsága
Elhangzott: Informatikai Biztonság Napja 2007, 2007. szeptember 26.
Szintén egy folytatás. A korábbi Hacktivity előadásaim alapján kidolgozott rövid prezentáció megpróbálja összefoglalni a hordozható készülékekkel kapcsolatos biztonsági kérdéseket.
Phishing és spam Magyarországon és a világban
Elhangzott: Hacktivity 2007 konferencia, 2007. szeptember 23.
Előadásomban - folytatva a Networkshop konferencián elkezdett témát - kielemeztem a kéretlen levelek forrásait, bemutattam néhány példát az ártalmasságukról, valamint külön kitértem a magyar adathalászat sajátosságaira.
A digitális archiválás szabályai
Elhangzott: A hosszútávú archiválás írott és íratlan szabályai konferencia, 2007. június 6.
Az előadás a digitális archiválás helyével és problémás kérdéseivel foglalkozik. Részletesen kitér a hosszútávú hiteles archiválás témakörére is.
Spambiznisz – A kéretlen levelek útja a támadótól az áldozatig
Elhangzott: Networkshop 2007 Konferencia, Eger, 2007. április 12.
Napjaink legnagyobb kihívásai közé tartozik a kéretlen elektronikus levelek kezelése. Az iparági statisztikák alapján elmondható, hogy az összes elküldött e-mail kb. 40%-a tartozik ebbe a körbe, ami naponta több mint 10 milliárd kéretlen levelet jelent. Eszerint egy felhasználó egy évben 2200 spamet kap. Ennek megfelelően a védelmi megoldások száma és minősége is sokat fejlődött az elmúlt időkben. De ezek csak tüneti kezelések. A megfelelő védekezéshez tudni kell a kór okát is. Előadásomban megvizsgálom a kéretlen levelek útját a megrendelőktől, azaz a hirdetőktől az áldozatokig, az internetet használó milliókig. Részletesen kitérek az ilyen küldemények típusaira, a gyanítható bűnszövetkezetek működésére, akik a postázást intézik, és azokra a műszaki megoldásokra, melyekkel milliószámra lehet e-mail címeket szerezni, valamint ezekre a leveleket eljuttatni. Végül bemutatom a kéretlen levelek célpontjait is.
Vezetéknélküli hálózatok (WiFi, Bluetooth) biztonsága
Elhangzott: Pécsi Tudományegyetem Szakhét 2007 rendezvény, 2007. március 28.
Az előadás a vezetéknélküli hálózatok alapvető biztonsági kérdéseivel foglalkozik. Bemutatja a vezetéknélküli és a bluetooth hálózatok elleni legismertebb támadásokat, és azok kivédésének módjait.
Common Criteria szerinti értékelések lehetőségei Magyarországon
Elhangzott: Informatikai Biztonság Napja 2006, 2006. szeptember 26.
Az előadás bemutatja, hogy mi a Common Criteria, illetve milyen lehetőségei vannak azoknak a magyar fejlesztőknek, akik ilyen tanúsítványt szeretnének szerezni valamelyik termékükre.
A magyar elektronikus közigazgatási rendszer biztonsági analízise
Elhangzott: Networkshop 2006 Konferencia, Miskolc, 2006. április 19.
Az elektronikus közigazgatás Magyarországon nagy lökést kapott az új Közigazgatási Eljárási Törvény (Ket.) 2005. novemberi életbe lépésével. Elindult az Ügyfélkapu, valamint az azon keresztül elérhető elektronikus közigazgatási szolgáltatások egyre bővülő halmaza. Ezek az interneten elérhető szolgáltatások azonban új biztonsági kihívásokat is jelentenek az üzemeltetőknek. Őket segítik azok a végrehajtási rendeletek, melyek követelményeket fogalmaznak meg az e-közigazgatási szolgáltatások biztonsági szintjére vonatkozóan.
Együttműködő elektronikus közigazgatási megoldások fejlesztése Magyarországon
Elhangzott: eGOV INTEROP'06 Conference, Bordeaux, 2006. március 23.
A 2005-ös eGOV INTEROP'05 konferencián bemutattuk a Magyar Elektronikus Közigazgatási Interoperabilitási Keretrendszert (MEKIK). Ebben az előadásban a projekt megvalósításával kapcsolatos tevékenységekről beszélünk. Bemutatjuk a jogi hátteret, a közszféra, az üzleti szereplők és az oktatási intézmények közötti együttműködést és az elektronikus aláírás-létrehozó alkalmazások együttműködési tesztjéről készült esettanulmányt. Az utolsó részben az elektronikus közigazgatás interoperabilitásával kapcsolatos jövőbeli lehetőségekről szólunk.
Bluetooth biztonság
Elhangzott: Hacktivity 2005 konferencia, 2005. szeptember 17.
A Hacktivity 2005 konferencián tartott előadásomban a bluetooth implementációk ismert sérülékenységeivel és általános bluetooth biztonsági kérdésekkel foglalkoztam.
Vezetéknélküli hálózatok biztonsága
Elhangzott: D-Lan LAN Party, 2005. július 2.
A dunaújvárosi D-Lan LAN Partyn elhangzott előadás a vezetéknélküli hálózatok alapvető biztonsági kérdéseivel foglalkozik, illetve betekintést nyújt a sérülékeny hálózatok feltörésének módjaiba.
Információs rendszerek fejlesztése - Common Criteria
Elhangzott: Egyetemi előadás, 2005. április 21.
A Budapesti Műszaki és Gazdaságtudományi Egyetem informatikus hallgatóinak tartott Információs Rendszerek Fejlesztése tantárgy keretében tartott előadás a Common Criteria alapjait ismerteti meg.
Hosszútávú hiteles archiválás elektronikus aláírás segítségével
Elhangzott: NetWorkShop konferencia, 2005. március 31.
Az elektronikus aláírásról szóló törvény módosításával lehetőség nyílt hiteles archiválási szolgáltatás nyújtására. Ennek kapcsán sok érdekes kérdés merülhet fel elsősorban technológiai oldalról. Emellett azonban nem elhanyagolhatók a jogi szabályok sem.
Előadásomban a törvényi háttér ismertetése után részletesen ismertetem egy elektronikus aláírási szabályzat archiválási utasításainak létrehozását, annak minden előnyével és hátrányával. Kitérek az elektronikus archiválás általános problémáira is. A szabályozás megvalósítása érdekében olyan elektronikus aláírás formátumot kell felhasználni, ami képes hosszú távon ellenőrizhetővé tenni egy elektronikusan aláírt dokumentumot. Ez a formátum az ETSI TS 101 903 szabványból eredeztethető, melynek használatára szintén kitérek. Végül a hiteles elektronikus archiválás jövőképét kívánom felvázolni.
Magyar eKözigazgatási Interoperabilitási Keretrendszer - Szabványkatalógus
Elhangzott: eGOV INTEROP'05 Conference, Genf, 2005. február 24.
A MEKIK (Magyar eKözigazgatási Interoperabilitási Keretrendszer) kidolgozása elkezdődött a köztesréteg és a MEKIK portál specifikációjával, valamint a technikai szabványkatalógus pilot implementálásával, ami a portálról érhető el. Ezen követelmények teljesülése szükséges a közigazgatáson belüli biztonságos kommunikáció és az elektronikus aláírás használatának előkészítéséhez. A projekt - hasonlóan a szabványkatalogushoz - lefedi az általános biztonsági szempontokat, követelményeket fogalmaz meg a hitelesítés-szolgáltatókkal, az aláírás létrehozó eszközökkel és alkalmazásokkal, a kriptográfiai protokollokkal, a jogi megközelítéssel és a biztonságos mobil kommunikációval kapcsolatban. Az előadás bemutatja az elektronikus közigazgatás interoperabilitásával kapcsolatos fejleményeket.
Elektronikus aláírás használatának lehetőségei és hatásai a gazdasági életben
Elhangzott: Menedzserek Országos Szövetsége - Információvédelmi Konferencia, 2004. november 3.
Az előadás közérthetően beszél az elektronikus aláírás használatáról a gazdasági életben, bemutatja az e-aláírás gyakorlati használatát és az ezzel járó lehetőségeket, illetve buktatókat.
A Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma szerinti értékelőlaborok
Elhangzott: HiSec konferencia, 2004. október 27.
Magyarország csatlakozásával a Common Criteria egyezményhez kezdetét vette a Magyar Informatikai Biztonsági Értékelési és Tanúsítási Séma kidolgozása. Ennek a sémának, mely a Common Criteria egyszerűsített formájának tekinthető, egyik alapeleme, hogy létezzenek olyan laboratóriumok, melyek képesek az informatikai eszközök és termékek biztonsági értékelésére. Az előadás részletesen foglalkozik a MIBÉT Sémába tartozó laboratóriumokkal kapcsolatos követelményekkel, az értékelőkkel kapcsolatos elvárásokkal és az értékelők feladataival.
A laboratóriumokkal kapcsolatos előírások megértéséhez ismertetésre kerülnek az általános szabványok mellett a Common Criteria brit nemzeti sémájának az előírásai, valamint a jelenleg érvényes informatikai biztonsági szabályok. Ezek után lehet beszélni a MIBÉTS specifikus előírásokról, pl. a laborokról szóló miniszteri rendeletről. Az előadás második felében külföldi példákon keresztül mutatjuk be, hogy hogyan jön létre és hogyan, milyen körülmények között működik egy Common Criteria értékelőlabor.
Kéziszámítógépek biztonsága
Elhangzott: Hacktivity konferencia, 2004. augusztus 14.
A tenyérgépek biztonsága egyre kritikusabb tényező. Nem szabad elfelejteni, hogy minden rendszer, hálózat, annyit ér, amennyit a leggyengébb láncszeme. Ma Magyarországon még viszonylag kevesen vannak, akik tudatosan foglalkoznak hálózatuk, rendszerük védelmével. Viszont minden felelős rendszergazdának kötelessége lenne minden eshetőségre felkészülni. A szakértőknek, egyetemi előadóknak tehát az a küldetése, hogy minél többször, minél érthetőbben, minél átfogóbban adják át azt a tudást, amit ők megszereztek. Ez az előadás is ezt a célt kívánja szolgálni, remélhetőleg minél sikeresebben.
Biztonságos elektronikus kereskedelmi rendszer létrehozása PKI alapokon
Elhangzott: Diplomavédés, 2003. június
Diplomatervem célja egy olyan elektronikus kereskedelmi rendszer létrehozása, ami teljesíti a gyakorlati biztonsági követelményeket, emellett lehetőséget nyújt elektronikus aláírással hitelesített tranzakciók lebonyolítására. A biztonság ellenőrzésére el kell végezni a rendszer kockázatelemzését, amiből kiderülnek a hiányosságok és a veszélyek, majd védelmi intézkedéseket javasolni, ami kiküszöböli a ezeket.
A digitális aláírás elterjedésének lehetőségei és korlátai
Elhangzott: TDK konferencia, 2001. november 14.
A dolgozatban a digitális aláírás témakörével, hazai elterjedésével foglalkozunk. A jelenlegi helyzetkép felvázolását segítendő egy próbakérdőívet állítottunk össze, amit az Interneten tettünk közzé. A kérdésekre adott válaszokból leszűrtük a kérdőívre, illetve a válaszadók témához való hozzáállására vonatkozó tanulságokat.