HUNGARNET CERT

Gábor Zoltán, gabor@sztaki.hu

Magyar Tudományos Akadémia, Számítástechnikai és Automatizálási Kutató Intézet

Abstract

The aim of the CERT charter is to provide guidelines and recommendations to facilitate the consistant handling of security incidents in the Internet community and to take proactive steps to raise the community's awareness of computer security issues, and to conduct research targeted at improving the security of existing systems. This process has already started in Hungary as well. The HUNGARNET CERT provides different information services (www, anonftp, mailing lists, PGP keyserver) that make this work even more effective. Though the HUNGARNET CERT is a young group, it has strongly based experience behind it to complete the basic level coordination for handling incidents.

1. Bevezetés

1.1. Biztonsági problémák

Napjainkban egyre növekszik az igény az információ gyors megszerzésére és feldolgozására. A hálózati alkalmazások világméretűvé váltak. Egyre könnyebben lehet elektronikus információhoz jutni, ám a jelenleg használt rendszerek sebezhetôsége közismert. Vannak, akik visszaélnek a hálózat adta lehetôségekkel. A probléma felismerése önmagában - megfelelő technikai felkészültség hiányában - még nem oldja meg a bizalmas adatok illetéktelen kezekbe kerülésének veszélyét. Ezért szükséges kiemelten kezelni az Internet használata által felvetett nagyszámú, hálózati biztonsággal kapcsolatos problémát. Ennek megfelelôen célszerű megelôzô lépéseket tenni és a hálózatok biztonságosabb működtetése érdekében tett akciókat összehangolni.

Ma már Magyarországon is egyre szaporodnak a számítógépes betörések, ezért merült fel az igény egy olyan biztonsági incidensekkel, illetve azok elhárításával foglalkozó csoport, a CERT (Computer Emergency Response Team) kialakítására, amely támogatja a különbözô Hungarnet intézményeket a betörések megelôzésében, behatárolásában.

1.2. Nemzetközi példák

A biztonsági problémák kezelésére, megelôzésére világszerte alakultak CERT csoportok (pl.: DFN-CERT, CERT-NL, CERT-RENATER, JANET-CERT, stb.). Ezek többsége valamely kutatóintézetnek, felsôoktatási intézménynek vagy kormányzati szervnek a csoportja és ezen szféráknak a védelmét látja el. Ezek a nemzetközi CERT csoportok egymással kooperációban működnek. Folyamatban van egy európai SIRCE kialakítása, amelyhez várhatóan a Hungarnet csatlakozni fog.

1.3. Célkitűzések, elvárások

Ezen szerteágazó szervezési és szakmai feladatok összehangolása, koordinálása Magyarországon leginkább az NIIF szervezeti keretei között biztosítható a kutatói közösség számára.

2. A HUNGARNET-CERT feladatai, szolgáltatása, eszközrendszere

2.1. A HUNGARNET-CERT csoport feladatai

A HUNGARNET-CERT csoport segít, tanácsot ad a HUNGARNET intézmények biztonsági szempontból való felügyeletéhez. Feladata az ezen intézmények gépeire történô betörés esetén a gyors segítségnyújtás. A csoport segíti a helyi rendszeradminisztrátorokat a biztonsági incidensek elkerülése érdekében. Segítséget nyújt az intézmények nagyobb szervereinek a biztonsági átvilágításához, sok betörést megelôzve ezzel.

Nem feladata a mindennapi rendszeradminisztrációs tevékenységek ellátása.

2.2. Információs szolgáltatások

Felállítottunk egy olyan - más biztonsággal foglalkozó csoportokkal kapcsolatban álló - információs szervert, amely fontos információkat tartalmaz a legújabb betörési módszerekrôl, operációs rendszerek, szoftverek hibáiról (pl: WWW böngészôk, E-mail kézbesítôk ), új vírusok megjelenésérôl. Ezekrôl rendszeresen készülnek jelentések és javítások (advisories, patches).

Az információs szerverünk négy szolgáltatást tartalmaz:

A WWW szerver kezdô lapján találhatók az illetéktelen behatolások biztonságtechnikai kezelését elősegítő adatközlő eljárások. (telefon, e-mail, fax, postai levél) Ezen kívül lehetôség van egy ún. formula kitöltésére a betörés részleteire utaló kérdésekkel, amelynek a tartalma természetesen titkosítva továbbítódik a csoporthoz. Minden biztonsági incidenssel kapcsolatos esemény a cert@cert.iif.hu címre küldendô. Minden egyéb kérést, megjegyzést pedig kérjük, hogy az info@cert.iif.hu címre kézbesítsenek. A hitelesség érdekében, ha lehetséges a saját titkos kulcsukkal írják alá és a WWW szerveren található HUNGARNET-CERT publikus kulcsával titkosítsák leveleiket.

Az FTP szerveren található néhány biztonsági programcsomag (SATAN, COPS, TIGER, CRACK, stb.), amelyet bárki letölthet és biztonsági szempontból ellenôrízheti a saját gépét . Erre a szerverre tükrözzük két külföldi CERT anyagait is. Ezen kívül található még sok hasznos program, amelyek speciális esetekre alkalmazhatók.

Felállítottunk egy levelezési listát, amelyen a legújabb biztonsági résekre vonatkozó leírások, javaslatok és patchek jelennek meg.

Fenntartunk egy belsô levelezési listát is az egyes területek biztonsági szakemberei számára, amely a megfelelô információ ellátottságot biztosítja.

A PGP kulcsszerver tárolja a CERT és a CERT tagok publikus kulcsát. Mivel a kulcsszerver szinkronban van a világ több kulcsszerverével, így lehetôvé vált több ezer publikus kulcsnak a tárolása.

Fontosnak tartjuk, hogy ezek az információs szerveren tárolt adatok mindig naprakészek és hitelesek legyenek.

2.3. Bizalmas információ kezelése

A HUNGARNET-CERT csoport tagjai számára rendelkezésre álló információk sokszor bizalmas jellegűek, ezért biztosítjuk, hogy ilyen információkhoz valóban csak a hivatalosan delegált intézményi képviselôk, szakértôk jussanak hozzá.

Bizalmas információt csak kódolt elektronikus levél útján küldünk. A PGP (Pretty Good Privacy), elfogadott szabványos titkosítási algoritmus. A HUNGARNET-CERT csoport tagjai közötti információáramlás lehallgathatóság elleni védelméhez az ssh programcsomagot használjuk.

2.4. Együttműködés más CERT csoportokkal

A használt technológiák széles spektruma miatt az incidensek kezelésének ismerete nem mindig található meg egy csoporton belül. Ezért szükséges együttműködni más CERT csoportokkal illetve szoftverfejlesztôkkel, akik segíthetik a csoportot a működés hatékonysága érdekében.

Fontos momentum a TERENA SIRCE project-jéhez kapcsolódni, mert itt szerezhetôk meg a CERT csoport továbbfejlôdéséhez szükséges fontos információk.

3. A HUNGARNET-CERT működése

A HUNGARNET-CERT által nyújtott szolgáltatásoknak 3 szintjét különböztetjük meg:

Ez a három szint különálló egységként fejlôdött ki, de ezek valójában egymásra épülnek. A magasabb szintek több szolgáltatást nyújtanak és szélesebb kör igényeit elégítik ki.

A HUNGARNET-CERT jelenleg telefonon, faxon, e-mail-en keresztül és postai levél útján érhetô el. A kezdeti idôszakban az ügyelet munkanapokon 9:00-17:00 óra között áll a HUNGARNET intézmények rendelkezésére a (06-1)149-79-86 -os telefonszámon (elemi szintű koordináció). Az incidens bejelentése után a HBONE ticketrendszeréhez hasonlóan egy úgynevezett "open" jegy készül, így a beavatottak azonnal értesülhetnek a betörés részleteirôl. A nyomozás során készülhetnek "update" jegyek, a lezáráskor pedig egy "close" ticket. A jegyrendszer segítségével megoldódik az információtovábbítás, betörés nyilvántartási, archiválási, keresési probléma.

4. A CERT szükségessége és idôszerűsége

Napjainkban az információáramlás nem ismer országhatárokat, így a számítógépes betörések kapcsán felmerülô problémákat nem elég csak helyi szinten kezelni. Ezért igyekszik a nemzetközi kutatói hálózat összehangolni a munkáját. Mindezek tükrében Magyarországon is - az exponenciálisan növekvô számú betörési tendenciák miatt - érzôdik a szükségessége és idôszerűsége egy CERT csoport vagy csoportok kooperatív működésének, amelyet csak összefogással lehet sikeressé tenni.