Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

BEVINFO 003 - 2017

No description
by

Tamas Tofalvy

on 10 October 2017

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of BEVINFO 003 - 2017

Adatvédelem
Privacy

Emberi hiba, figyelmetlenség

Váratlan esemény, baleset

Szándékos emberi károkozás
Fizikai védelem
- ne hagyd őrizetlenül a géped
- ne bízd valaki másra egy kávézóban
- ne hagyd a széken az egyetemen vagy egy előadáson, rendezvényen, konferencián, stb.
- lásd el jelszóval a gépet / telefont
Malware védelem
- ne kattints megbízhatatlan oldalak hirdetéseire, ajánlataira, gyanús linkjeire (ellenőrzés: egérrel hover (mouseover), böngésző alsó sávjában link ellenőrizhető )
- honnan lehet tudni, hogy nem megbízható? nem lehet, de vannak valószínűségi faktorok: illegális tartalom, pornó, grafikai elemek, felugró ablakok, nagyon népszerű, éppen virális tartalmak
- ne tölts le ismeretlen eredetű programot vagy adatállományt
- ...ezek nem csak a gépednek lehetnek károsak, hanem a te személyes adataid ellopásában is segíthetnek
- malware: malicious software
- ingyen letölthető verziók
- próbaverziók
- előfizetés (pár ezer forint per év)
- Microsoft saját programjai (Apple más?)
- 9,500 új rosszindulatú weboldal minden nap
- eleve malware-terjesztésre épített honlapok
- megfertőzött site-ok

- napi 12-14 millió Google keresés mellett jelennek meg figyelmeztetések a programban
- ha már nem fertőző az oldal, nem jelenik meg a figyelmeztetés
Google Biztonságos böngészés kezdeményezés
Hogyan védekezz?
Phishing
Adathalászat
vírus (+"gazdatest")
féreg (worm, nem kell gazdaprogram)
trójai (programban rejtőzik, nem másolja magát)
kémprogram (spyware, adatok szivárogtatása)

- lassítja, tönkreteszi a gépet
- módosítja vagy törli az állományokat vagy azok részét
- hozzáférhetővé teszi harmadik fél számára
- pénzt emel le / kér
Vezetnek a trójaiak
- Kapsz egy levelet egy bankodtól, adatmódosítás-ügyben
- De nem a banktól kapod, hanem valaki mástól, aki adatokat akar tőled kicsalni
- ui.: a bankok sosem kernek, _nem kérhetnek_ tőlünk e-mailben jelszót vagy bármi más adatot!)

- Másik levél: nyertél egy pénzösszeget, csak meg kell adnod pár adatod hozzá
- Figyeljük a levelezőben, hogy a linkek hova mutatnak (copy link location)

- Ugyanez működik a weben is, ál-site-ok, beloggolást, jelszót kér
- A Firefox Google-együttműködésben az lehet ellenőrizni az oldalakat, és blokolni is őket:
https://support.mozilla.org/en-US/kb/how-does-phishing-and-malware-protection-work
- vagy itt: Google Safe Browsing
Ez már egy fokkal komplexebb: nem csak phishing,
hanem
account-hekkelés
is!
- más: napi több ezer meghekkelt gmail account!
- nincs pontos adat, nem adják ki

- miért? pénzkérő levelek, károkozás és:
- szórakozás!
Hogyan védekezhetsz az
accountod feltörése ellen?

Kétlépcsős azonosítás
1.
Megfelelő jelszó
Biztonsági mentés, backup

Privacy: a dolog ami senkit sem érdekel, és
amiről egyre több szó van...
Adatok és személyes szféra: a lyukkártyától az online big data-ig
https://www.eff.org/https-everywhere
A HTTPS (HTTP Secure) "protokoll" az adattovábbítást
titkosított csatornára tereli.
- lásd: gmail
Facebook:
- ne ossz meg semmit, ami személyes
- ne adj meg magadról pontos lokációt, személyes információt
- csinálj listákat, válogas meg ki láthat mit
2.
- The Onion Router
- "héjszerűen" titkosítja az adatáramlást
- a letöltött alkalmazással résztvevő önkéntesek hálózatában
Akik használhatják:

- politikai ellenállást szervezők
- akik nem akarják, hogy lássák az adatforgalmukat
- ...és akár illegális tevékenységekre is (ezért ellentmondásos a megítélése)
1. Adatok gyűjtögetése, adatbázisépítés
2. Az adatbázisok összekapcsolásának
tilalma
Magyarország: szigorú adatvédelmi szabályok, törvények
Mit csinál az, akinél minden adat ott van? Honnan tudod, hogy nem kapcsolja össze, ha már ott van? (Nem tudhatod)
Orosz "csajozós" app:
- minden közösségi média felületről begyűjtötte a nyilvános infókat, és a helyszínen aggregálta őket a lokációval, ha volt
- betiltották
- DE ez azt jelenti, van ilyen
Az adatbázis-összekapcsolás teljesen nyilvános adatokkal is lehet nagyon veszélyes / ijesztő / furcsa:
Vagy:
- arcfelismerő szoftver facebookkal összekötve, és
utcai demonstrációkon használva...?
Google:
- nagyjából reménytelen a helyzet
Biztonságos böngészés
- titkosított útvonalak
- fizikai másodpéldány: pendrive, dvd, háttértár, másik gép
- előny: van egy másik példányunk
- hátrány: nem frissül, szintén elveszhet, elromolhat, stb
Felhő-alapú szolgáltatások:
Google Drive
- ha a mentés automatikus
- up to date a mentett és a másodpéldány is
- könnyen hozzáférhető neked
- és nehezen hozzáférhető másnak
Mi az igazán jó megoldás?
Az adatmentés klasszikus módszere:
- automatikus mentés
- szinkronizáció (felhő és másik gép)
- könnyen hozzáférhető
- és nehezen hozzáférhető másnak (azaz: jelszó függvénye)
- nem romlik el (de)
- nem mehet tönkre (de)
Tanulságok:
Mi ellen véd a jelszó?
...egy ilyen jelszóellenőrző site lehet phishing-oldal is!

Ne kösd össze az accountjaid egymással!

Lánc és jelszó: ha egy helyen gyenge a jelszó, dől a többi is!

Ne szimpla szótári szavak legyenek!

Ne használd ugyanazt a jelszót máshol!

Ha nyilvános wifit használsz, kapcsold ki a mappák és állományok megosztását!

Ne engedélyezd a gépen a nyilvános wifihálózatokhoz való kapcsolódást!

Ha nem használsz már egy szolgáltatást, akkor szüntesd meg!

Friss példák: ELTE HÖK botrány, Google maps street view bevezetése
Adatbiztonság -> Privacy
Néhány jótanács
- korábban: adathordozókról, ma: inernetről
Víruskeresők, vírusirtók
(Two-step verification)
- saját gépen is ajánlott
- de főleg, ha máshol is belépsz
- hekkelést, kukkolást előzhetsz meg vele
- ha nem akarod telefonra, elmenthetsz magadnak kódokat
- nagyon egyszerű beállítani és
használni
- de ez még nem elég...
Persze a feltöréseket nem csak emberek csinálják, hanem számítógépek, programok
Milyen erős a jelszavad, azaz mennyi időbe telik egy átlagos PC-nek feltörni?
abc
budapestiműszakiésgazdaságtudományiegyetem2013
+ bónusz: böngésző-szinkronizálás
- ha el is veszik a gép, minden maradhat a régiben
- Fyrefox Sync
Kulcskérdések:

1. Emberi figyelmetlenség, véletlen, szándékos károkozás a fő okok
2. A jelszó fontossága
3. Fizikai és malware védelem és backup, backup, backup
4. Minden, amit az interneten csinálsz: adat! Ezért a privacy is fontos
...miért?
Ami akkor évekbe telt összegyűjteni, elemezni -


- az ma pár másodperc.

(Nagy Adat!)
"IBM Hollerith D-11 típusú lyukkártya-osztályozó berendezés"
- 1933-as németországi népszámlálás, melynek során a nácik a zsidókat azonosították

Koncentrációs tábor, lyukkártyarendszer
- hármas és a négyes oszlopban található lyukak soronként, a beszállítás "Oka"
- 3-as a homoszexualitás, 9-es a köztörvényes bűnöző, 12-es a zsidó, 8-as a cigány származás
Halálokok, a 34-es oszlopban
- 3-as lyuk a "természetes" halál, 4-es a kivégzés, 5-ös az öngyilkosság, 6-os a "különleges bánásmód" (gázkamra, tarkólövés)
- minden táborlakóról volt egy lyukkártya az azonosító számával

- a vasúti menetrend összehangolása (és minden vasútállomást elláttak lyukkártyarendszerrel)
- évi másfél milliárd lyukkártya és "support"

(Forrás: Galántai Zoltán: e-privacy olvasókönyv)
- nem látványos, nem érezzük az azonnali hatást
- "elérhetőségi heurisztika"
A jelszó és a jelszón túli világ: adatvédelem és privacy
Bevezetés az informatikába - 03
Tófalvy Tamás
Budapesti Műszaki és Gazdaságtudományi Egyetem 2017-18 ősz
...Mennyi laptop veszik el egy átlagos héten az amerikai reptereken?
http://www.google.com/safebrowsing/diagnostic?site=bme.hu
b*****g
budapestiműszakiésgazdaságtudományiegyetem
f***you
12345678
A 40 leggyakoribb jelszó:
Az összes jelszó 40%-a a top 100-ba esik
(Avagy Jennifer Lawrence és a Sex Tape nyomdokain)
Mi jön a jelszó után?
alternatívák:
- biometrikus azonosítás
- ujjlenyomat, arc, iPhone
- eltérő problémák a fejlődő és a fejlett világban
- ellopható, módosítható, vissza lehet vele élni

az internet
természete
Jelszavas
védelem
jobb vagy rosszabb
kezelhetőség / kényelem
privacy /
személyes adatok
emberi memória
jobb vagy rosszabb biztonság
az emberi természet
és tudás
A fő biztonsági rés itt is:
A jelszó
gépi támadások
Minden, amit az interneten csinálunk:
adat
Mekkora a veszély?
Nagyságrendek és számok
Honnan,
Milyen fajták,
És mit akarnak?
Ransomware
Malware támadások 2015-ben (azon felhasználók aránya a malware-áldozatok közül, akik banki trójai támadást szenvedtek el)
Gyenge pontok,
bizonsági rések,
Szituációk
The year in figures

In 2015, there were 1,966,324 registered notifications about attempted malware infections that aimed to steal money via online access to bank accounts.
Ransomware programs were detected on 753,684 computers of unique users; 179,209 computers were targeted by encryption ransomware.
Kaspersky Lab’s web antivirus detected 121,262,075 unique malicious objects: scripts, exploits, executable files, etc.
Kaspersky Lab solutions repelled 798,113,087 attacks launched from online resources located all over the world.
34.2% of user computers were subjected to at least one web attack over the year.
To carry out their attacks, cybercriminals used 6,563,145 unique hosts.
24% of web attacks neutralized by Kaspersky Lab products were carried out using malicious web resources located in the US.
Kaspersky Lab’s antivirus solutions detected a total of 4,000,000 unique malicious and potentially unwanted objects.
Pénz, pénz, pénz

Virtual private network (VPN)
Full transcript