Archive for the 'biztonság' Category

A jelszó emlékeztető veszélye

Én egyáltalán nem használom a jelszó emlékeztetőket. Vagy megjegyzem (eltárolom) egy adott oldalhoz szükséges jelszót, vagy egyszerűen nem is próbálom megjegyezni. Ha ritkán használok egy oldalt, akkor inkább minden alkalommal küldetek egy új jelszót az e-mail címemre.

A jelszó emlékeztető azért veszélyes, mert könnyen “feltörhető”. Sok esetben olyan a kérdés, amire könnyű kideríteni a választ. (Például a “Mi volt az általános iskolád neve?”, az iwiw-ben megtalálható információ.)

Vagy, ha valaki tényleg szeretné megszerezni, akkor felhív telefonon, hogy egy statisztikai felmérést végez és ha válaszolsz egy pár kérdésre, akkor nyerhetsz egy üveg whiskeyt. Majd feltesz 30 kérdést, közte a jelszó emlékeztetőt. (Persze nem akarok senkinek ötletet adni!)

Az elmúlt időben, a hírekbe is bekerült, Sarah Palin e-mail postafiókjának feltörését is hasonló módszerrel végezték el, csak ott a jelszó emlékeztetőre a választ egy egyszerű Google keresés megadta.

Jelszavak tárolása

Hihetetlen mennyi jelszó gyűlik össze egy felhasználónak. Minden regisztrált oldalhoz egy külön jelszó, mivel nem javasolt ugyanazt használni mindenhol.

Miután a jelszavakat nem javasolt felírni, megjegyezni meg lehetetlen, így milyen lehetőségek vannak azok tárolására?

Első tippem, hogy nem kell mindegyiket megjegyezni! Számos oldalon, főleg, amiket ritkán használok nem is próbálom megjegyezni, hanem, amikor be kell lépnem, akkor kérek e-mailben egy jelszó emlékeztetőt.

Nem jó ötlet elmenteni a böngészőbe, mivel onnan egy egyszerű programmal ki lehet olvasni.

Korábban Excel táblázatban tároltam a jelszavakat, és az XLS-t egy jelszóval védve mentettem el. Ez nem egy rossz módszer, tehát igazából ajánlani tudom, bár nekem sok év használat után kezdett nehézséget okozni, rendezetten tartani a jelszavakat.

Egyik megoldás, hogy léteznek erre célalkalmazások! Én a KeePass programot használom. Ingyenes, van magyar verziója, telepíteni sem kell, futtatható egy USB kulcsról. Ez egy felhasználónak megoldja a jelszótárolás kérdését, de akár több felhasználó is tudja használni, így a céges jelszavakat bárki el tudja érni. Ilyen hálózati felhasználás esetén, mind az XLS-nek és a KeePass-nak is az a gondja, hogy a belső hozzáférések nem kerülnek naplózásra. Természetesen erre is vannak megoldások. Ha érdekel, hogy mi, írj nekem egy e-mailt! 🙂

Védd a géped! – frissítve

Kicsit elnagyoltra sikerült a bejegyzésem, amihez két hozzászólásban fontos kiegészítést kaptam, így most azokkal kiegészítem.

Nem szoktam otthoni felhasználású gépekről írni, most mégis megteszem.

Az elmúlt időben több ügyfélnek változtatták meg a web oldalát, úgy, hogy kártékony kód került fel rá. Ezt, valószínű olyan gépekről, amit nem irodai környezetben használtak, hanem otthon, egyebek mellett munkára is. Már korábban itt írtam róla, hogy léteznek olyan vírusok, nem kívánt programok, amelyek ellopják az FTP jelszavakat, elküldik azokat egy külső helyre, ahol egy másik program, ennek segítségével, lecseréli a web oldalon a HTML és PHP fileokat és hozzáilleszt egy kártékony kódot. Tehát bármennyire véded az irodai rendszeredet, ha egy külsős partner vagy egy munkatársad, aki otthonról is dolgozik, nem teszi ugyanezt a saját gépével. Elég egy nem megfelelően védett pc, amin el van tárolva a web oldalad jelszava és kész a baj.

Lássuk, hogy milyen veszélyek fenyegetik az internetre kapcsolat számítógépeket? Hogyan érkezhetnek nem kívánt programok és hogyan tudtok védekezni?

1.) Direktbe érkeznek, a gép valamelyik kifele nyújtott szolgáltatásán keresztül, ha nincs tűzfal és a számítógép közvetlenül csatlakozik a hálózathoz. Persze ez így erősen nem javasolt! Én a router használatát preferálom, de ha az sincs, akkor a Windows XP beépített tűzfala elég szokott lenni, csak legyen bekapcsolva és ne legyenek rajta kivételek engedélyezve!
A Windows XP beépített tűzfalának működése egyszerű: kifele minden forgalmat engedélyez, de befele nem, csak ami a kivételnél szerepel. Ott lehetőleg ne legyen semmi, de a „Fájl és nyomtató megosztás” semmiképpen. (Sok program telepítéskor szeret egy szabályt kreálni, amiben saját magát engedélyezi, teljesen feleslegesen! Töröld, ami nem kell, csak az maradjon, amiben 100%-ig biztos vagy!)

2.) E-mailen keresztül jönnek.
Megfelelő szolgáltató kell, akinél van vírusszűrés. (Egyáltalán meglepő, hogy ez nincs mindenhol!) Ha az e-mail postafiókodon nincs szűrés, akkor kell egy rendszeresen, automatikusan frissülő antivirus program.

3.) Azonnali üzenetküldőkön keresztül.
Skype, MSN és egyéb üzenetküldő programok sem mentesek a biztonsági résektől, így azok is veszélyforrások! Ezek ellen is a folyamatos frissítés és egy jó víruskereső a megoldás. (Továbbá a VoIP kliensek is problémásak lehetnek, bár azokról még nem olvastam kihasznált biztonsági problémát.)
Köszönöm Till Zoltán-nak a kiegészítést!

4.) Ilyen-olyan letöltött szoftver, amit a felhasználók telepítenek, hogy kipróbálják.
NE! Ha nem tudod, hogy mi az, akkor ne telepítsd! (Ha tudod, akkor se! :))
Vagy ha már mindenképpen érdekelnek a különféle szoftverek, akkor használj egy virtuális gépet!

5.) Böngőszőből!
Ez a legvalószínűbb és leggyakoribb veszély forrás. Ehhez “értelmesen” kell böngészni, de népszerűek az alternatív (nem Internet Explorer) böngészők is. Az én tapasztalatom, hogy Internet Explorer is teljesen megfelelő, de, oda kell figyelni! “Értelmesen” böngészni, nagyjából annyit jelent, hogy ha valami rákérdez arra, hogy “telepíti az akármilyen komponenst”, akkor arra mindig “nem”-et kell válaszolni! Ez a veszély leginkább Internet Explorer-ben jelentkezik, a többi böngészőben ez nincs vagy máshogy van (bár ott is lehetett már vírusos kiterjesztésről hallani). Ilyen szempontból egy Firefox vagy Opera lehet, hogy megfelelőbb választás, főleg ha már többször előfordult, hogy összefertőződött egy gép. 🙂

Tehát a jó tanácsok:

  • Windowsupdate. Folyamatosan frissítsd a Windowst, legjobb, ha engedélyezed, hogy ez automatikusan megtörténjen!
  • A használt böngészőt folyamatosan frissíteni kell! (Windowsupdate-tel az Internet Explorer automatikusan frissül, egyéb böngészők indításkor jelzik, ha van új verzió.)
  • Tűzfal. Mindenképpen használj tűzfalat! Routert, vagy legalább a Windows beépített tűzfalát.
  • Víruskereső (és egyéb nem kívánt program védelem). Otthoni felhasználásra például az AVG ingyenes.
  • Ne legyél rendszergazda a gépeden! Bár, tapasztalatból mondom, hogy ez erősen megnehezíti a munkát és még mindig sok problémás program van, ami limitált jogosultsággal nem tud futni, de csökkenti a veszélyeket, ha nem rendszergazda jogosultságú felhasználóval használod a napi munkához a pcdet.
    Köszönöm, vsz-nek a hasznos kiegészítést!
  • Ésszel! Ha valamit nem tudsz, inkább kérdezz! Az, hogy egy program azt jelzi, hogy “nagy a baj” és feltétlen telepítened kell valamit, még nem jelent semmit! Lehet, hogy a telepítés után lesz igazán probléma!

Online hirdetésben is lehet vírus

A felhasználók elsősorban éberséggel, illetve valódi védelmet nyújtó, márkás vírus- és kémprogram-ellenes szoftverek használatával védekezhetnek. Don Jackson figyelmeztetése szerint a webböngészőkbe beépített biztonsági mechanizmusokban nem szabad feltétel nélkül megbízni – ugyanis előfordul, hogy a kártékony kód a valódi tartalommal azonos helyen kerül hosztolásra.

Az egész cikk olvasható: Károkozót is rejthet egy-egy banner

Tanulságok:

  • Ha Ti is használhatok hirdetésre külső forrást, akkor fontos, hogy az megbízható legyen! (Nyilván a Google Adsense és Etarget oldalairól származó hirdetésekkel nincs ilyen gond.)
  • Szükséges a víruskereső és kémprogram irtó programok használata!

Tartalék szerver

A bejegyzés apropója, hogy egyik ügyfelünknek tönkrement a szervere. Egyszerű hardver hiba volt, valószínűleg valami tápegység probléma, ami viszont károsította az alaplapot is. Előfordul az ilyen. Amint kiderült, rögtön ment a szervizesünk, megállapította a gondot, kicseréltük a hibás alkatrészeket (természetesen egy kb. kétéves gépbe nem tudtuk már, csak újabb típust tenni). Ez szükségessé tette új meghajtó programok (driverek) telepítését a Windows Serverhez. A különféle, ilyenkor szokásos gondokat figyelembe véve, viszonylag hamar megvoltunk és csak egy munkanap esett ki!

Viszont 1 munkanap nagyon sok is lehet!

Gondoljátok végig, hogy nálatok mit jelentene! Elképzelhető, hogy jobban megéri egy tartalék szervert is beszerezni (lehetőleg az élessel egyforma konfigurációt)! Ha lett volna ilyenünk, akkor egyszerűen át kellett volna tenni a merevlemezt (kettőből az egyik sértetlen volt) és gyakorlatilag majdnem azonnal működhetett volna tovább a cég!

Ezt még azzal lehet fokozni, ha az adatokat is egy automatizmus minden éjjel átmásolja, így egy mentés is van, ha még a merevlemezzel is történne valami. (Természetesen léteznek kész szoftverek, amivel folyamatosan lehet az adatokat két kiszolgálóra írni, de ezek ára jelentős.)

Nem olcsó egy tartalék szerver, de csökkentheti az állásidőt, így lehet, hogy többet meg tudtok spórolni.

https

HTTPS (HTTP Secure): biztonságos HTTP, tehát a normál HTTP kommunikációt egy biztonságos módon végzi. Általában bankoknál és egyéb pénzintézeteknél, online fizetésnél és egyéb helyeken használt módszer a látogatók, felhasználók adatainak védelme érdekében. Szükséges-e ezt Nektek is nyújtani az ügyfelek felé?

Két alapvető funkciót valósít meg:

  • adattitkosítás
  • hitelesítés

Adattitkosítás
Célja, hogy garantált legyen, hogy a kiszolgáló és a böngésző közötti kommunikáció titkosítva történjen, így az ne legyen lehallgatható vagy módosítható.

A https kommunikáció egy védett csatornán zajlik, nem nyújt védelmet, ha a végpontokon történik a “lehallgatás”, tehát például a kliens gépen egy nem kívánt program fut!

Erre ritkán van szükség, leginkább olyan esetben, ha bizalmas adatait kezelitek egy ügyfélnek (például online fizetés esetén a bankkártya számok). Viszont ritkán olvasni arról, hogy visszaélés történne egy közbenső ponton, inkább egy munkaállomásra települt kémprogramok jelent veszélyt.

Hitelesítés
Cél, hogy a szerver és/vagy kliens azonosított legyen. Egy szerver hitelesítését egy külső intézmény, a tanúsítványt kiállító szervezet végzi.

Ez olyan esetben szükséges, ha fontos a látogatóidnak, hogy a szerveredről meg tudják állapítani, hogy tényleg a Tietek. Bankoknál ez elengedhetetlen, egyéb esetekben ritka, hogy erre szükség lenne.

A két funkció és annak tényleges megvalósítása nagyon fontos! Csak azért ne csináljatok https siteot, mert az jól hangzik! (És amennyiben szükséges egy szolgáltató, aki ezt biztosítani tudja, keressetek minket! 🙂 )

Szoftverfrissítések

Mára már (szerencsére) nagyjából általános és elfogadott a Windowsupdate használata. Tehát az üzemeltetők tisztában vannak a frissítés fontosságával. Ez általában elég jól automatizálható, tehát a munkaállomások és szerverek folyamatos naprakészen tartása megoldott.

Viszont az egyéb alkalmazások frissítése még esetleges. Vannak programok (pl: Firefox), amelyek gondoskodnak arról, hogy figyelmeztessék a felhasználót, ha elérhető egy új verzió és segítenek annak egyszerű telepítésében. Természetesen más programok nem foglalkoznak még a kérdéssel.

Pedig fontos! Ma már nem csak egy operációs rendszer vagy böngésző sérülékenység kihasználásával „kompromittálnak” egy gépet, hanem egyéb komponens is alkalmas lehet rá. (Például nem lepődnék meg egy PDF fájlon, ami az Adobe Reader hibáját próbálná kihasználni. Egy ilyen e-mailben terjedve, egész érdekes eredményeket érhetne el.)

Napokban teszteltem egy programot, ami kigyűjti, hogy a telepített programok közül, melyik naprakész, nem biztonságos vagy frissítésre szoruló. Bár maga a program még béta, de érdemes kipróbálni. Otthoni felhasználásra ingyenes: Secunia Personal Software Inspector, de van vállalati verziója is (amiért már fizetni kell).

Meglepett, hogy még nekem is voltak elavult verziójú szoftvereim telepítve (bár én mániákusan frissítem a gépeimet). A flash lejátszóból, Opera böngészőből és egy-két segédprogramból volt régi verzióm telepítve.

A javító csomagokat és az új verziókat (ami még nem fizetős), amúgy is érdemes installálni. Ezek a biztonsági javítások mellett, gyorsabbak lehetnek és esetleg bővített funkcionalitásuk van.

Ti is legyetek mindig naprakészek!

Kiegészítés vírus témában

Különös aprópója az előző bejegyzésemnek a ma frissen megjelent Skype-on terjedő vírus. Ma már az azonnali üzenetküldő programokon (Messenger, Skype, stb.) keresztül is szívesen terjesztik a vírusokat. Ha használtok ezek közül valamelyiket, akkor még egy indok egy antivírus program telepítésére!

Néhány gondolat a víruskereső programokról

Régebben (internet előtti időkben) a vírusok floppykon keresztül terjedtek, mára már jellemzően az interneten át. Bár ennek több módja van, irodai felhasználóknál jellemzően két forrást lehet említeni: e-mailek és web oldalak. Az e-mail vírusok a szerveren hatékonyan szűrhetőek. A böngészőn keresztüli veszélyek ellen is van lehetőség egyszerű eszközökkel védekezni: az operációs rendszer és felhasználói programok folyamatos frissítése és alternatív böngésző program használata. Betartva ezeket, már elég érvnek tűnhet, hogyha elfogadjuk, hogy a felhasználók nem látogatnak „olyan” oldalakat. (Magyarul alapvetően üzleti oldalakat látogatnak, ami a munkájukhoz kell.)
Miután ezeket az oldalak megbízhatónak tekinthetőek, ezért felmerült a jogos kérdés, hogy szükséges-e víruskereső a munkaállomásokra?
Bár én mindig is inkább rábeszéltem az ügyfeleket, de én is mindig szívesen játszottam el a gondolattal. 🙂

Aztán nemrégen egyik ügyfelünk web oldalát megnézve jelzett a víruskeresőm és meglepő módon kiderült, hogy tényleg ártalmas kód van a lapon! Ez igen meglepett! Végül a következőt sikerült kiderítenünk:
Nem csak az oldalt készítő programozó tudta a hozzáférés jelszavát, mivel pár éve kiadta egy munkatársának, aki otthonról is dolgozott vele és azóta is el volt tárolva a gépen, amin egy elavult víruskereső volt és vírusos lett.

Ezt egy olyan vírus volt, ami a gépen tárolt FTP jelszavakat jutatta el a készítőknek. (Ezeket, például a népszerű Windows Commander eltárolt jelszavai közül nyerte ki.) Valószínűleg ez elküldte a jelszót, aminek segítségével módosították az oldalt, hogy bekerüljön az ártalmas kód is.

Tanulságok:

  • Még az FTP a jelszavakat is időnként meg kell változtatni, főleg ha azt külső partnernek is kiadtátok! Egy lezárt munka végén érdemes azt módosítani!
  • Ha úgy gondolod, hogy nem szükséges a munkaállomásokra egy víruskereső program, akkor a fenti történet győzzön meg, hogy igenis kell!

Megjegyzések:

  • A fentiben kicsit leegyszerűsítettem a vírusok terjedésének lehetőségeit. Természetesen sok egyéb módon is be lehet szedni azokat!
  • Bármilyen más, a pc-n eltárolt jelszó is összegyűjthető hasonló módon, például a böngészőben eltárolt jelszavak!

Wireless biztonság

Hétvégén egy barátomnak állítottam be az otthoni wireless routerét. Közben megtaláltam a szomszéd titkosítatlan hálózatát…

Erről eszembe jutott egy eset, ami kb. 1 éve történt egy ügyfelünknél:
Szóltak, hogy nem tudnak e-mait küldeni. Kiderült, hogy az internet kapcsolatuk IP címe feketelistára került, mert sok spamet küldtek róla, ezért számos szerver nem fogadja el tőlük a leveleket. Miután a levelező szerverük rendben volt és azon keresztül nem mentek ki ellenőrizetlenül e-mailek, az összes munkaállomás átvizsgálásra került vírusra és egyéb kéretlen programokra.

Ez sem hozott eredményt és kezdett az ügy kínossá válni. Próbáltuk kideríteni, hogy valaki nem vitt-e el notebookot, ami esetleg a vizsgálat időpontjában nem volt. Ennek során jutott a tudomásunkra, hogy az egyik dolgozó egy wireless access pointot helyezett üzembe! (Most tegyük félre a kérdést, hogy egyáltalán miért tehet valaki ilyet!)

Természetesen semmilyen védelem nem volt rajta! Meg is volt lepődve, amikor megtudta, hogy így a szomszédból vagy akár az iroda előtt, egy kocsiból, bárki hozzá férhetett a céges hálózathoz. (A cégvezetés sem örült különösebben…)

Tehát ismét egy emlékeztető: otthon vagy az irodában ne használj titkosítatlan vezeték nélküli hálózatot! A “MAC filtering” (routeren csak az adott hálózati cím engedélyezése) ezen semmit nem segít. Sőt! Vannak egyéb halva született ötletek a kérdésben. Érdemes elolvasni a témában a következő két cikket (angolul):

The six dumbest ways to secure a wireless LAN
Wireless LAN security myths that won’t die

Javasolt a WPA-PSK biztonság használata!