A Hun-CERT alapokmánya

1.2-es verzió

Tartalomjegyzék

1. Bevezető
2. Kapcsolat
3. Alapszabály
4. Irányelvek
5. Szolgáltatások
6. Incidens-bejelentő lapok
7. Jogállás

1. Bevezető

 

1.1 Utolsó módosítás dátuma

Az 1.0 verzió, 2003.10.30-án került közzétételre.
Az 1.1 verzió, mely 2006.06.28-án került közzétételre.

1.2 Értesítési lista

A verziófrissítésrõl szóló értesítéseket e lap 1.1 pontjában tesszük közzé.

1.3 Jelen dokumentum fellelhetőségei

Jelen dokumentum aktuális verziója elérhető a Hun-CERT honlapjáról RFC2350-hun néven, melynek címe: http://www.cert.hu/. Kérjük, bizonyosodjon meg róla, hogy az aktuális verziót használja.

1.4 A dokumentum azonosítása

A dokumentum angol és magyar verziója a Hun-CERT PGP kulcsával aláírásra került.

2. Kapcsolat

2.1 Egység neve

"Hun-CERT": az Internet Szolgáltatók Tanácsának  CERT-je.

2.2 Cím

Hun-CERT
MTA SZTAKI
Kende u. 13-17.
H-1111 Budapest
Magyarország

2.3 Időzóna

UTC+0100 közép-európai téli (MEWT=Middle Europe Winter Time) és UTC+0200 közép-európai nyári időszámítás szerint (MEST=Middle Europe Summer Time).

2.4 Telefonszám

+36 1 279 6222

2.5 Fax száma

+36 1 209 5288 (nem titkosított biztonságos fax)

2.6 Más kommunikációs csatorna

Nem áll rendelkezésre.

2.7 Elektronikus levélcím

cert kukac cert.hu
Ez egy cím-hozzárendelés, mely továbbítja a levelet a Hun-CERT megfelelő emberének.

2.8 Nyilvános kulcs és más titkosítási információ

A Hun-CERT rendelkezik PGP kulccsal, melynek kulcs-azonosítója (KeyID) 0x59B9E495, lenyomata pedig
B368 6C6B F4A6 5693 9721 B271 F8EC 9F54 59B9 E495.

A kulcs megtalálható ezen a címen.
 

2.9 Az egység tagjai

A Hun-CERT egység tagjai a Hun-CERT honlapon kerültek felsorolásra: teamlist.html

A menedzsmentet, kapcsolatokat és felügyeletet a Hun-CERT felügyelője biztosítja.

2.10 Egyéb információ

Az általános információk a Hun-CERT-ről az ajánlott biztonsági forrásokra mutató hivatkozásokkal együtt a http://www.cert.hu/ lapon érhetők el.

2.11 Ügyfélszolgálat kapcsolatok

A Hun-CERT ügyfélszolgálati kapcsolatának ajánlott módja a cert kukac cert.hu  címre írt elektronikus levél. Amennyiben sürgős segítségre szorul, a téma sorba (subject) írja bele a "sürgős" szót.

Amennyiben nem lehetséges (vagy biztonsági megfontolásokból nem ajánlott) az elektronikus levél használata, a Hun-CERT a hivatali órákban elérhető telefonon is. Az üzenetrögzítő naponta legalább egyszer meghallgatásra kerül.

A Hun-CERT munkaideje általában a hivatalos nyitvatartási időszakra korlátozódik (az ünnepnapok kivételével hétfőtől-péntekig 09:00-16:00 között).

Lehetőség szerint bejelentésének elküldésekor használja a 6. szekcióban meghivatkozott formátumokat.

3. Alapszabály

3.1 Tevékenység részletezése, küldetés

A Hun-CERT küldetése a Magyar Internet Társadalom segítése, ezen belül különösen a Magyar Internet Szolgáltatók segítése abban, hogy megfelelő eljárásokat alkalmazzanak a számítógépes hálózati incidensek kockázatainak kezelésére és az ilyen incidensek előfordulásakor az azokra adandó válaszokra.

3.2 Képviselet

A Hun-CERT a hazai Internet szolgáltatók, különösképpen a Magyar Internet Szolgáltatók Tanácsának (ISZT) tagjai szolgálatában működik. Az ISZT-rõl bővebb információ érhető el a http://www.iszt.hu címen. Ennek ellenére a Hun-CERT szándéka, hogy az egész hazai Internet-közösség használja a http://www.cert.hu-n elérhető a hálózati biztonságról szóló nyilvános információkat.

3.3 Támogatások és/vagy kapcsolatok

A Hun-CERT az ISZT által támogatott szolgálat. A Hun-CERT egy munkacsoport az Magyar Tudományos Akadémia Számítástechnikai és Automatizálási Kutató Intézetében (MTA SZTAKI). A Hun-CERT közszféra-magánszféra együttműködésben (public private partnership) van/volt az Informatikai és Hírközlési Minisztériummal (IHM) és a Nemzeti Hírközlési Hatósággal (NHH).

Ezeken felül kapcsolatot tart fenn más CSIRT (Computer Security Incident Response Team, Számítógépes Biztonsági Incidensre Reagáló Egység) egységekkel az országon belül és kívül.

3.4 Hatáskör

A Hun-CERT segítõ együttműködést igyekszik kialakítani a hazai Internet szolgáltatók rendszergazdáival, és a lehetőségekhez mérten nem él hatalmi szóval. Ha azonban a körülmények indokolják, akkor a Hun-CERT az ISZT-hez folyamodik, hogy közvetett vagy közvetlen módon érvényt szerezzen hatáskörének.

A Hun-CERT intézkedéseit megfellebbezni szándékozó ISZT tagok ügyükkel az ISZT Hálózatbiztonsági Bizottságához fordulhatnak. Ha ezen a fórumon sem születik a felek által elfogadható eredmény, akkor az ügyben az ISZT vezetőségéhez kell fordulni.

A Hun-CERT az ISZT védnöksége alatt és hatáskörén belül tevékenykedik.

4. Irányelvek

4.1 Incidens típusok és támogatási szintek

A Hun-CERT felhatalmazással bír az előforduló vagy előfordulással fenyegetõ mindennemű számítógépes biztonsági események közlésére a hazai Internet szolgáltatók felé.

A Hun-CERT által biztosított támogatási szintek annak függvényében változók, hogy az incidens vagy probléma milyen típusú, mennyire komoly, milyenek az összetevők típusai, mekkora az érintett közösség száma, és milyen erőforrások állnak rendelkezésre az adott időpontban a Hun-CERT számára, miközben minden esetben valamilyen válaszadás egy munkanapon belül megtörténik. Az erőforrások a következő csökkenő fontossági sorrend szerint kerülnek hozzárendelésre:

  • Rendszergazdai vagy rendszerszintű támadások bármely menedzsment információs rendszer (MIR), vagy bármely gerinchálózati infrastruktúra elem ellen.
  • Rendszergazdai vagy rendszerszintű támadások bármely nyilvános szolgáltatást üzemeltető szerver ellen, legyen az többfelhasználós vagy célirányos felhasználású eszköz.
  • Korlátozott bizalmas szolgáltatási azonosítók vagy szoftver telepítések kompromittálása, különösen a bizalmas adatokat tartalmazó MIR alkalmazásokhoz használtak esetei, vagy azoké, melyeket rendszer-adminisztrálásban alkalmaznak.
  • A fenti három pontban említett szintek bármelyike elleni szolgáltatásbénító támadások esete.
  • Bármely fenti eset, ha honi Internet szolgáltató címtartományából indul a támadás más tartomány ellen.
  • Bárminemű nagyarányú támadás esete, pl. lehallgatás, IRC "személyes ráhatás", jelszó feltörés.
  • Fenyegetések, zaklatások és más bűnesetek, melyekbe egyéni felhasználói azonosítókat vontak be.
  • Egyéni felhasználói azonosítók kompromittálódása többfelhasználós rendszerben.
  • Asztali rendszerek kompromittálódása.
  • Hamisítás és megtévesztés, valamint olyan biztonságot érintő helyi törvények és jogszabályok megsértése, mint pl. hálózati faliújság vagy E-mail hamisítás, jogosulatlan IRC szolgáltatás használata.
  • Szolgáltatásbénító támadás egyéni felhasználói azonosítók ellen, pl. levélbomba.

A felsorolásban nem szereplő incidensek a nyilvánvaló komolyságuk és kiterjedtségük alapján kerülnek besorolásra.

Fontos megjegyezni, hogy nincs közvetlen segítségnyújtás a végfelhasználók részére; velük szemben elvárás, hogy saját rendszergazdájukkal, hálózati adminisztrátorukkal vagy ügyfélszolgálatosukkal vegyék fel a kapcsolatot. A Hun-CERT ez utóbbiakat támogatja. A végfelhasználóknak a hálózati biztonsággal foglalkozó Hun-CERT oldalak információinak hasznos olvasását tanácsoljuk.

Miközben a Hun-CERT megérti, hogy nagy különbség lehet az egyes rendszergazdák szakértelme között, és miközben a Hun-CERT erőfeszítéseket tesz, hogy egyénre szabottan tálalja az információkat és a támogatást, a Hun-CERT nem képezheti menet közben a rendszergazdákat, és nem hajthat végre rendszer-karbantartási munkákat az érdekükben. A legtöbb esetben, a Hun-CERT iránymutatást ad a megfelelő intézkedések alkalmazását segítő információk eléréséhez.

4.2 Együttműködés, kölcsönhatás és az információk felfedése

Miközben törvényi és etikai megszorítások léteznek a Hun-CERT-től kimenő információfolyamra, a Hun-CERT elismerően hálás, és kinyilatkozza közreműködési szándékát, ahhoz az együttműködési szellemiséghez, amely az Internetet létrehozta. Ennek következtében miközben szükség esetén a megfelelő mértékű intézkedésekkel védi támogatott tagjainak és a szomszédos hálózati helyeknek az azonosító adatait, aközben a Hun-CERT szabadon megoszt minden olyan információt, amely hozzájárul a biztonsági események megoldásához vagy megelőzéséhez.

A következő bekezdésekben az "érintett felek" a jogosult tulajdonosokra, operátorokra és a kapcsolódó számítástechnikai felszereléssel rendelkező felhasználókra vonatkoznak. Nem vonatkozik a jogosulatlan felhasználókra ide értve a jogosultsággal rendelkező jogosulatlan felhasználást megvalósító felhasználókat; ezen felhasználók nem várhatnak bizalmasságot a Hun-CERT-tõl. Ők rendelkezhetnek vagy nem rendelkezhetnek bizalmasságra vonatkozó jogokkal; az ilyen jogok létezésük helyén természetesen tiszteletben lesznek tartva.

A kiadásra szánt információ a következők szerint kerül osztályozásra:

  • A felhasználók személyes adatai az egyéni felhasználókról szóló adatok, vagy egyes esetekben egyéni alkalmazások, melyek jogi, szerződéses vagy etikai szempontból bizalmasnak tekintendők.
     
    A személyes adatok nem kerülnek azonosítható módon kiadásra a Hun-CERT-en kívülre, kivéve az alábbi pontok esetében. Amennyiben a felhasználó azonosítója álcázott, úgy az információ szabadon kiadható (pl. egy támadó által módosított .cshrc fájl példaértékű mintája, vagy egy különleges személyes ráhatás támadás bemutatása).
  • A behatolók adatai hasonlók a személyes felhasználók adataihoz, de a behatolókra vonatkozik.
     
    Miközben a behatolók adatai, és főleg az azonosító adatok, nem kerülnek közzétételre (amíg nem válnak nyilvánossá, például azért, mert büntetõjogi költségek kerültek kiszabásra), szabadon megoszthatók lesznek a rendszergazdák és a CSIRT-ek között az incidensek nyomkövetéséhez.
  • A magán hálózati hely adata technikai adat magántulajdonban lévő rendszerről vagy hálózati helyről.
     
    Az adat nem kerül közzétételre a kérdéses hálózati hely engedélye nélkül, kivéve az alábbiak esetében.
  • A sebezhetőségi adatok technikai adatok a sebezhetőségekről vagy támadásokról, ideértve a megoldási és elkerülési lehetõségeket, amennyiben ilyen adatok elérhetők.
     
    A sebezhetőségi adatok szabad közzétételre kerülnek, bár minden erőfeszítés megtörténik a szolgáltató értesítésére még a nyilvánosságra hozatal előtt.
  • A kínos adatok magukba foglalják az incidens bekövetkezésének közleményét és az incidens kiterjedésérõl és súlyosságáról szóló adatokat. A kínos adatok vonatkozhatnak egy hálózati helyre, egyéni felhasználóra vagy egy felhasználó csoportra.
     
    A kínos adatok nem kerülnek közzétételre a hálózati hely vagy érintett felhasználók engedélye nélkül, kivéve az alábbiak esetében.
     
  • A statisztikai adat az azonosító adatok nélküli kínos információ.
    A statisztikai adatok közzétételre kerülnek és publikációs valamint oktatási anyagokban felhasználásra kerülnek Ezek a statisztikák soron kívül érhetők el az ISZT tagok számára.
     
  • A kapcsolatfelvételi adatok írják le a CSIRT csoportok rendszergazdáinak elérési módját.
     
    A kapcsolatfelvételi adatok szabadon közzétételre kerülnek, kivéve amikor az illetékes személy vagy a jogi személy kérte, hogy ne ez legyen az eljárás, vagy a Hun-CERT-nek az a benyomása, hogy az adat terjesztését nem fogják nagyra értékelni.

A lehetséges adatfogadók a Hun-CERT részérõl a következők szerint kerülnek osztályozásra:

  • A bizalmasságot érintő felelősségek természete és az elvárások következetessége miatt, az ISZT vezetősége jogosult minden olyan adat kézhezvételére, mely szükséges a hatáskörükben előfordult számítógépes incidensek kezelésének elősegítéséhez.
  • Az ISZT felhasználói jogosultak az azonosítójukhoz tartozó biztonsági adatokra, akkor is, ha ez a más felhasználó "behatoló adatainak" vagy "kínos adatainak" a leleplezésével jár. Például, ha az \'aaaa\' azonosító feltörésre került és errõl megtámadták \'bbbb\' azonosítót, \'bbbb\' jogosult tudni \'aaaa\' feltörésérõl, és a \'bbbb\' azonosítója elleni támadás végrehajtásának módjáról. A \'bbbb\' szintén jogosult, ha kéri, \'aaaa\' azonosító adataira, aki megengedheti \'bbbb\'-nek, hogy a támadás után nyomozzon. Például, ha \'bbbb\' került megtámadásra valaki által távolról kapcsolódva \'aaaa\'-hoz, akkor \'bbbb\' köteles elmondani az \'aaaa\'-hoz kapcsolódás forrását, akkor is, ha ez az adat normális esetben magánjellegűnek tekinthetõ \'aaaa\' részérõl. Az ISZT felhasználói jogosultak értesítésre, ha fennáll a gyanú, hogy azonosítójuk kompromittálódott.
  • Az ISZT közösség nem kap korlátozott nyilvánosságú adatokat, kivéve, ha az érintett felek engedélyt adnak az adatok felfedésére. Statisztikai adatok az általános ISZT közösség számára elérhetők lesznek. A Hun-CERT részérõl nincs publikációs kötelezettség az incidensekre vonatkozóan, de lehetősége van rá, hogy így járjon el; különösen akkor, ha kívánatos, hogy a Hun-CERT minden érintett felet értesítsen az érintettségük módjáról, vagy bátorítja az érintett hálózati helyet, hogy maga járjon el így (publikáljon statisztikát).
  • A nagy nyilvánosság nem kap korlátozott nyilvánosságú adatokat. Valójában külön erőfeszítés nem kerül alkalmazásra a nagy nyilvánossággal történő kommunikáció érdekében, bár a Hun-CERT felismeri, hogy minden cél és szándék ellenére az ISZT közösség számára elérhetővé tett adatok a közösség szélesebb körének is nyilvánosak lehetnek, és a célnak megfelelően alakulhatnak.
  • A számítógépes biztonsággal foglalkozó közösség általános nyilvánosságként lesz kezelve. Miközben a Hun-CERT tagok részt vehetnek a számítógépes biztonsággal foglalkozó közösség fórumain, mint hírcsoportok, levelezési listák (beleértve a teljesen nyilvános "Bugtraq" listát is) és konferenciák, ezeket a fórumokat úgy fogják kezelni, mintha nagy nyilvánosságot. Miközben technikai témák (beleértve a sebezhetőségeket) bármilyen részletes szinten tárgyalhatók, semmilyen Hun-CERT-től származó példa vagy tapasztalat sem fedhető fel az érintett felek azonosításának elkerülése érdekében.
  • A sajtó is általános nyilvánosságként lesz kezelve. A Hun-CERT nem kerül közvetlen kapcsolatba a sajtóval számítógépes biztonsági incidensekkel kapcsolatban, kivéve útmutató jelleggel az általános nyilvánosságra hozott adatok felé irányítva őket. Ez nem érinti a Hun-CERT tagjait abban, hogy interjúkat adjanak általános számítógépes biztonsági kérdésekben; tulajdonképpen bátorítást élveznek, hogy tegyenek így, egyfajta közösségi szolgáltatásként. Hasonló a helyzet a biztonsági konferenciákon tartandó előadásokkal és publikációkkal.
  • Más hálózati helyek és CSIRT-ek, amikor együttműködnek egy számítógépes biztonsági incidens felderítésében, néhány esetben bizalmas adatokkal lesznek megbízva. Ez abban az esetben fog megtörténni, ha az idegen hálózati hely megbízhatósága ellenőrizhető, és a továbbított adat csak arra korlátozódik, ami az incidens megoldását segíti. Ilyen információcsere valószínűleg abban az esetben történik meg, amikor a hálózati helyek jól ismertek a Hun-CERT előtt (pl. néhány más honi közösség az ilyen esetekben informális, de jól meghatározott munkakapcsolatban van az ISZT-vel).
  • Egy biztonsági incidens megoldásának céljából, különben félig magánjellegű vagy viszonylag ártatlan felhasználói adatok, mint a felhasználói azonosítóra történő kapcsolódás forrása nem tekinthetők magas érzékenységűnek, és túlzott elővigyázatosság nélkül továbbíthatók idegen hálózatok felé. A Â'behatoló adataiÂ' korlátozás nélkül kerülnek továbbításra a többi rendszergazda és a CSIRT egység felé. A Â'kínos adatokÂ' az adatok bizalmasságának szavatolása esetén kerülnek továbbításra, amikor az adatokra szükség van egy incidens megoldása érdekében.
  • A kereskedők a legtöbb cél és szándék szerint külföldi CSIRT-nek számítanak. A Hun-CERT bátorítani kívánja a különböző hálózati és számítógépes felszereltségű, szoftveres valamint szolgáltatást nyújtó kereskedőket termékeik biztonságának javítására. Ennek elősegítésére egy ilyen termékben talált sebezhetőség esetén ez a felfedezés a kereskedő felé jelentésre kerül mellékelve minden technikai részlettel, mely a probléma megoldásának azonosításához és javításához szükséges. Az azonosító részletek az érintett felek engedélye nélkül nem kerülnek átadásra a kereskedő részére.
  • A törvényt végrehajtó tisztviselők teljes mértékű együttműködést kapnak a Hun-CERT-tõl, beleértve bármilyen a bűnüldözéshez általuk igényelt információt, összhangban a hatályos törvényekkel.

4.3 Kommunikáció és azonosítás

Azon információ típusainak szemszögéből nézve, melyekkel a Hun-CERT foglalkozik, a telefonok megfelelően biztonságosnak tekinthetők kódolatlan kommunikáció esetében is. A kódolatlan E-mail nem tekinthető különösen biztonságosnak, de elégséges lesz az alacsony érzékenységű adatok továbbítására. Amennyiben magas érzékenységű adatok E-mail-ben történő küldése szükséges, PGP kerül alkalmazásra. Hálózati fájl forgalmazás az E-mail-hez hasonlónak tekinthető a következő célok esetén: érzékeny adatot kódolni kell az átvitelhez vagy kódolt csatornát kell használni az átvitel során (scp, biztonságos másolás vagy sftp, biztonságos fájl átviteli protokoll az adott operációs rendszerre elérhető kliens programtól függően).

Amikor bizalom kialakításra van szükség, pl. a Hun-CERT-nek küldött információra támaszkodás előtt, vagy bizalmas adat közzé tétele előtt, a megfelelõ bizalmi szint eléréséhez a másik fél azonosítása és jóhiszeműsége megállapításra kerül. Valakinek az azonosítása az ISZT-n belül és az ismert szomszédos hálózati helyekkel, valamint az ismert és megbízható személyek közvetítésével kielégítő. Más esetekben odaillő eljárás kerül alkalmazásra, mint pl. FIRST tagok keresése, WHOIS és más Internet regisztrációs adatok használata stb., telefon és E-mail visszahívás vagy visszaírás mellett, megbizonyosodva arról, hogy a másik fél nem csaló. Azon bejövő E-mail üzenetek, melyek adataiban meg kell bízni, ellenőrzésre kerülnek a szerző személyével vagy a digitális aláÂírása által (a PGP különösen támogatott).

5. Szolgáltatások

5.1 Incidens válaszok

A Hun-CERT támogatja a rendszergazdákat a támadások technikai és szervezeti kezelésében. Különösképpen segédkezik, vagy tanácsadást nyújt a következő szempontok szerinti incidensek esetén:

5.1.1 Incidens osztályozás
  • Annak tanulmányozása, hogy valóban incidens történt-e.
  • Az incidens kiterjedésének meghatározása.
5.1.2 Incidens koordinálás
  • Az incidens eredendő okának meghatározása (kihasznált sebezhetőség).
  • Szükség esetén a szolgáltatókkal és az ISZT Biztonsági Tanácsával történő kapcsolatfelvétel segítése.
  • Jelentések készítése.
  • Felhasználók felé történő értesítések összeállítása, ha lehetséges.
5.1.3 Incidens megoldása
  • A sebezhetőség elemzése, és ha lehetséges, megszűntetése.
  • A rendszer biztonsági megerősítése az incidens hatásai ellen.
  • Bizonyítékok gyűjtése, amikor bűnvádi eljárás, vagy fegyelmi eljárás van kialakulóban.

Ezeken felül a Hun-CERT összegyűjt minden olyan incidensekről szóló statisztikát, mely az ISZT közösségen belül fordult elő vagy érintette azt, és szükségképpen értesíti a tagságot, hogy az ismert támadások ellen segítse a védekezésben.

A Hun-CERT incidensre reagáló szolgáltatásának hasznosításhoz, kérjük, küldjön E-mail-t a 2.11 bekezdés szerint. Kérjük, vegye figyelembe, hogy a rendelkezésre álló támogató segítség mértéke változó a 4.1 bekezdésben foglaltaktól függően.

5.2 Megfelelő eljárások

A Hun-CERT erőforrásaihoz mérten összehangolja és kezeli a következő szolgáltatásokat:

  • Adatszolgáltatás
    • Az egység tagjainak névsora, felelősségi körük és elérhetőségük.
    • Levelezési lista a tagok számítógépes környezetére vonatkozó új adatokról és ezek biztonsági kapcsolatairól.
      Ez a lista csak az ISZT rendszergazdái számára lesz elérhető.
  • Archiváló szolgáltatás
    A kezelt biztonsági incidensek rekordjai megőrzésre kerülnek. Miközben a rekordok bizalmasak maradnak, időszakos statisztikai jelentések elérhetővé válnak az ISZT közösség számára.

A fenti szolgáltatások részletes leírásai, a levelezési listára történő feliratkozás adataival együtt, letöltési adatok, vagy ezen szolgáltatásokban való részvétel, mint a központi naplózás és fájl sértetlenség-ellenőrzés szolgáltatások, elérhetők a Hun-CERT honlapján a 2.10 bekezdésben leírtak alapján.

6. Incidens-bejelentõ lapok

Tanácsoljuk ezen a címen elérhetõ Incidens Bejelentő Lap használatát.

7. Jogállás

Miközben elővigyázatossággal készülnek az adatösszeállítások, visszaigazolások és figyelemfelhívások, a Hun-CERT nem vállal felelősséget a hibákért vagy elírásokért, vagy a bennük szereplő adatok által eredményezett károkért.

Minden olyan esetben, amikor eltérés van az angol és a magyar verzió között, a magyar verziót kell alapul venni.