‘IT biztonság’ címkével ellátott bejegyzések

Adatok a felhőben

2012. augusztus 19. vasárnap

Bár kétség kívül erre tart ma a világ, de engem mégis rettentően zavarnak a felhőben tárolt adatok (ezt korábban már egy-két blogbejegyzésben említettem). Itt most nem a Facebook profilokra, a Dropboxra, meg az egyéb, közösségi oldalakra gondolok, az teljesen rendben van (mert ott van lehetőség arra, hogy körültekintően tegyük ki a nagy nyilvánosság elé az adatainkat). Amikkel problémám van, azok a következők: minden olyan szolgáltatás, amit napi szinten (pl. munkára) használunk és használat közben nincs időnk mérlegelni azt, hogy az adott tartalom mennyire szenzitív a számunkra, vagy nem tudjuk külön megszabni azt, hogy az adott fájl mégse menjen fel a felhőbe és nincs a rendszerben más alternatíva a helyi tárolásra. Inkább írnék néhány példát, hogy érthetőbb legyen.

iCloud — Az ugye az Apple felhő szolgáltatása, ahova (beállításoktól függően) számítógépünkről vagy iOS-t futtató eszközeink valamelyikéről a fájlok elkészítésének pillanatában elindul az adott tartalom feltöltése az Apple szervereire azért, hogy ezeket a fájlokat lehessen szinkronizálni a többi eszközzel.

Naptárak és GTD alkalmazások, melyek a felhőbe szinkronizálnak, Google dokumentumok — Ezek megint remek szolgáltatások, hasznosak, könnyen elérhetők bárhonnan, ugyanakkor ez megint az a kategória, amikor minden adatunk egyből megy a felhőbe, szinte válogatás nélkül, vagy esetleg egyből oda mentjük el úgy, hogy még szinkronizálni sem kell.

Gmail — Ez a fentiektől picit eltér. Ebben az a nagyon zavaró számomra, hogy a levelezésem tartalma alapján a Google rendszere nekiáll hirdetéseket ajánlgatni: ha váltok néhány PHP-vel kapcsolatos, vagy bármilyen más, ilyen tárgyú levelet, akkor rögtön jönnek pl. a webfejlesztős állásajánlatok a bannereknél. Ez megint nagyon kényelmes, a rendszer úgy dolgozik, hogy (szinte) mindenkinek jó: jó annak, aki a reklámozza magát, hiszen sokkal nagyobb a valószínűsége, hogy olyan személy látja a reklámot, akinek az releváns. Jó az adott személynek is, mert nagyobb valószínűséggel talál olyan reklámot, amit pont őt érdekli. Végül pedig jó a Google-nek, mivel az általa közvetített reklám célba ér, kattintanak, a kattintás után pedig leveszi a maga hasznát. Nekem viszont nem jó, mert úgy érzem, hogy figyelnek. Tudom, hogy nem kis kínai emberek vannak a másik oldalon és nem azok kapcsolják a leveleimhez a releváns hirdetéseket, hanem egy algoritmus és abban a másodpercben akár több tíz- vagy százezer másik felhasználóval is megtörténik ugyanez, de akkor is olyan érzése van az embernek, hogy figyelik.

Feltörhetetlen rendszer nem létezik

Egy hatalmas nagy adag naivitás kell ahhoz, hogy bárki elhiggye: az adott rendszert, amin az adatai vannak, nem lehet feltörni, vagy hogy soha sem kerülhetnek nyilvánosságra az adatai. Ez nem igen függ az adatainkat tároló cég nagyságától sem, mert bármilyen rendszert feltörni pusztán csak szakértelem és idő kérdése. Ráadásul még a nagy cégek sem tesznek meg közel sem mindent azért, hogy adatainkat biztonságban tárolják, elég csak arra gondolni, hogy az utóbbi időben hány nagy cégtől szivárogtak ki kódolatlanul a jelszavak (értsd: a szerveren sem volt kódolt formában tárolva).

A veszély máshonnan is jöhet

Nem csak a szerverek feltörése miatt problémásak a felhőben tárolt adataink, hanem egyéb, külső tényezők miatt is azok lehetnek. Képzeljük el, hogy egy ország kormánya, vagy pl. az EU hoz egy rendeletet és máris egyből megváltozik az, hogy a felhasználók adataihoz kik férhetnek hozzá. Aki most legyint egyet és azt mondja, hogy ilyen nincs, az nézzen picit utána pl. a SOPA/PIPA/ACTA rövidítéseknek, de több olyan, EU-s törvény is napvilágot látott már, amit nem igazán vernek/vertek nagy dobra — pont a súlyosságuk miatt.

Belülről jövő veszély

Igen, ilyen is van, említenék is egy példát: sok hónappal ezelőtt a Dropbox-nál valaki elállított valamit (a fejlesztők közül), így egy időre minden fiók publikus lett, mindenki számára. Nem rég pedig Androidon sikerült az Instagram csapatának publikussá tenni egy időre a privát képeket úgy, hogy azokat szintén bárki láthatta. A fenti két példákon kívül persze másikakat is lehetne említeni, nem csak ez a kettő volt.

Egészséges paranoia

Az emberek egyre jobban hozzászoknak, hogy gyakorlatilag árucikkek lesznek, egyre természetesebb lesz az, hogy az adataikban algoritmusok turkálnak és olyan információkat szednek ki belőle, vagy állítanak össze, mely eladható. Ezért az interneten a paranoia egy teljesen egészséges dolog. Fogadj meg egy jó tanácsot: soha ne adj meg másoknak a kelleténél több információt magadról, mert szinte bármikor könnyen visszaélhetnek vele.

Több, mint 55.000 Twitter felhasználó jelszava szivárgott ki

2012. május 9. szerda

Tegnapi hír, hogy több, mint 55.000 Twitter felhasználó jelszava szivárgott ki, melyeket a pastebin.com oldalon közzé is tettek ismeretlen hackerek.

Aki teheti, az változtassa meg minél előbb a Twitter jelszavát akkor is, ha nem szerepel a fent említett listán.

A jelszavakról több, mint két évvel ezelőtt írtam már egy részletesebb bejegyzést, amit mindenképpen érdemes elolvasni azoknak, akik nincsenek tisztában annyira ezzel a témával, vagy úgy gondolkodnak, hogy „persze, majd pont az én fiókom jelszavára fáj bárkinek is a foga”.

Egyébként az csinálja jól, aki rendszeresen cserélgeti a jelszavait és egy jelszót nem használ egynél több helyen. Ez nyilván nem olyan egyszerű dolog, de nem árt észben tartani, hogy minél népszerűbb egy ilyen szolgáltatás, annál nagyobb veszélynek van kitéve.

Biztonsági kockázatot növelő változtatás a Firefox 4-ben

2011. április 1. péntek

A Firefox 4-es verziójába több, a böngésző grafikus felületét érintő változtatás is belekerült. Ezek közül az egyik érinti a felhasználó weboldal általi értesítését szolgáló dialógusablakok megjelenését is, melyeket a JavaScript alert(), confirm() és a prompt() függvényeivel érhetjük el.

A Firefox 4 előtti változatokban – ill. a többi böngészőben – az ilyen ablakok kinézete megegyezik az adott operációs rendszer grafikus felületének stílusával. Ameddig a többi ilyen ablakot drag and drop módszerrel akár a böngésző ablakán kívül is elhelyezhetjük, addig a 4-es Firefoxban lévő változat egyáltalán nem mozgatható és minimális időráfordítással bárki készíthet ilyen stílusú párbeszédablakot, pusztán JavaScript és CSS segítségével.

Ennek az egésznek a veszélye abban nyilvánul meg, hogy az átlagfelhasználók hozzászoknak az ilyen ablakokhoz és nem fogják tudni megkülönböztetni a böngészők és pl. a kártékony kódot tartalmazó weboldalak által küldött üzenetet, ezért könnyen vissza lehet majd élni egyes felhasználók bizalmával. Márpedig ha vissza lehet élni, akkor lesznek olyanok, akik ezt meg is teszik.

Láthattunk már hasonló trükköket az iPhone-on futó Safarival kapcsolatban, amikor az eredeti címsort kicserélve megtévesztik a felhasználót akár a webcímek valódiságát, akár a kapcsolat biztonsági fokát (http/https) illetően. Szerintem nagyon rossz és nem átgondolt ötlet volt a Mozilla részéről a GUI ezen részének ilyen irányú módosítása, sok probléma lehet még ebből.

Erős, nehezen feltörhető jelszó kiválasztása

2010. április 6. kedd

A számítógépünkön ill. az interneten tárolt adatainkra az egyik legnagyobb veszélyt – bármilyen furcsán is hangzik, de – mi magunk jelentjük, a legtöbbször helytelenül megválasztott jelszavainkkal. Ami elsőre nekünk bonyolult jelszónak tűnik, az annak lehet, hogy rém egyszerű, aki be szeretne lépni valamelyik szolgáltatásba a mi azonosítóinkkal.

Tetszik, vagy nem, de a jelszavak és PIN-kódok világában élünk, naponta több alkalommal kell megadnunk ezeket az adatokat és szinte minden egyes alkalommal ott a lehetőség, hogy ilyenkor valaki illetéktelenül hozzájuk férhet akár a mi hanyagságunkra, akár a szerencséjére bízva azt.

Sajnos munkám során sok jelszót mutatnak meg nekem, mondanak el, vagy látok meg akaratlanul is. Folyamatosan azt látom, hogy az emberek nem vigyáznak eléggé a jelszavaikra. Nyilván amikor begépeli valaki a jelszavát, akkor próbálok nem oda nézni, de ha oda van ragasztva a monitor aljára egy cetlire, akkor ha nem akarom, akkor is látom. Azt már nem is írom, amikor mondják hogy lépjek be nyugodtan, mert úgysem titkos a jelszó és máris diktálják a kutyájuk nevét, születési dátumokat, gyermekük keresztnevét, esetleg ezeket kombinálva az “123″ karaktersorozattal, vagy a születési dátum utolsó 2 számjegyével.

Ennek ellenére nincs a fejemben jelszó-adatbázis, mert egyrészt nem érdekelnek mások jelszavai, másrészt meg elég rossz a memóriám… :) Viszont néha annyira egyszerű egy-egy jelszó és annyira hozzákapcsolható az adott felhasználóhoz, hogy ez miatt előfordul, hogy hónapok, de még évek múlva is emlékszem rá.

Jelszavak ellopása, feltörése

Itt megpróbáltam összegyűjteni azokat a dolgokat, amik miatt veszélybe kerülhetnek jelszavaink, adataink. Ha odafigyelünk az alábbi pontokra, akkor nagyban lecsökkentjük annak esélyét, hogy illetéktelenek kezébe juthassanak jelszavaink.

A túl egyszerű jelszó
Ez az, amikor jelszavunk annyira primitív, hogy bárki által néhány próbálgatással könnyedén kitalálható.
Védekezés: válasszunk bonyolultabb (erős) jelszót.

Hanyagul kezelt jelszó
Hiába választunk bármilyen bonyolult jelszót, ha azt a monitoron vagy a mellette lévő, falon lógó parafatáblán tároljuk lehetőleg úgy, hogy bárki láthatja, aki a helyiségben tartózkodik. Ez vetekszik a “felírom a PIN kódot a bankkártyámra, hogy ne felejtsem el” esettel…
Védekezés: figyeljünk jobban oda jelszavainkra.

Mindenhova ugyanaz a jelszó
Erről majd még később írok, picit részletesebben. A lényege az, hogy az egyszerűség kedvéért egy jelszót használunk gyakorlatilag mindenhova, ami szintén nagyon veszélyes.
Védekezés: több jelszót használjunk és azokat felváltva, vagy biztonsági szintekbe sorolva használjuk.

Megjegyzi a böngésző is…
Van a böngészőknek az a nagyon hasznos (de elég veszélyes) szolgáltatása, amikor megjegyzik a jelszavakat helyettünk. Ez tényleg roppant praktikus, de ha nincs lejelszavazva a felhasználói fiókunk és odaül valaki gép elé, akkor pár kattintás és pár perc után tudni fogja az összes, weben használt jelszavunkat. Ez a szolgáltatás amúgy tényleg hasznos, de önmagában veszélyesebb, mint amilyen kényelmes.
Védekezés: ha ezt a lehetőséget igénybe vesszük, akkor jelszavazzuk le számítógépünkön felhasználói fiókunkat.

HTTP helyett HTTPS – a biztonságosabb adatátvitel
Biztos mindenki találkozott ilyennel (talán a netbankoknál a leggyakoribb). Sima HTTP kapcsolatnál böngészőnk titkosítatlanul küldi és kapja az adatokat, így azok (és más adataink is) illetéktelen kezekbe kerülhetnek.
Védekezés: ha az esemény megköveteli és van rá lehetőség, akkor válasszunk titkosított csatornát (de azért ezt túlzásba sem kell vinni, mert a titkosított kapcsolaton történő adatátvitel valamivel lassabb, mint a titkosítatlan, mivel ez plusz feladatot ad a szervernek (is)).

Keyloggerek
Vannak olyan programok, melyek a számítógépre telepítve a háttérben futnak a felhasználó tudta nélkül és naplózzák a billentyűleütéseket. Gondolom, hogy nem kell részletezni, hogy meddig tart egy ilyen programmal megszerezni egy jelszót, így legyünk mindig nagyon körültekintőek, amikor idegen helyen, más gépén lépünk be valahova. Ilyenkor a legbiztosabb az, ha hazaérve azonnal megváltoztatjuk az adott jelszót. Persze nem árt, ha távollétünkben az otthoni gépünkre sem telepít fel senki semmit…
Védekezés: idegen számítógépekre ne nagyon pötyögjük be jelszavainkat, hacsak nem feltétlenül szükséges. Ha már megadtuk jelszavunkat, akkor amint hazaértünk, változtassuk meg azt.

Adathalászat/phishing
Az adathalászok egyik kedvenc trükkje közé tartozik az, amikor küldenek egy rendszer üzemeltetői nevében egy e-mailt, hogy ezért vagy azért sürgősen lépjünk be. A levélben található link viszont nem a valódi, hanem az eredetihez általában a megszólalásig hasonlító (szerencsére vannak kivételek) oldalra visz, ahol az áldozat megpróbál belépni. Ilyenkor általában az történik, hogy az első próbálkozás sikertelen (legalábbis ezt írja ki a rendszer), mert ilyenkor kapja meg az adathalász a jelszavunkat, majd másodszor már sikerül belépni, de akkor már a valódi oldalra. Elsőre nem túl feltünő, azt gondolná az ember, hogy elgépelte a jelszót, közben pedig már az adathalász birtokában van a féltve örzött jelszavunk.
Védekezés: böngészőnk címsorában figyeljük meg az URL-t, hogy valóban azon az oldalon vagyunk-e, amelyikre be szeretnénk lépni, vagy csak egy olyanon, aminek hasonló az URL-je. Egyre több böngészőprogramban ma már ki van emelve az erdeti domain, pont ilyen okok miatt.

Van olyan eset is, amikor egyből magát a jelszavunkat kérik el egy rendszer üzemeltetői nevében. Nem árt fejben tartani, hogy egy olyan rendszer üzemeltetője, ahova regisztrálva vagyunk, soha sem fogja elkérni jelszavunkat.
Védekezés: soha, semmilyen körülmények között se adjuk meg jelszavunkat senkinek.

Szótár alapú feltörés
Ez összefügg a rosszul megválasztott jelszóval, hiszen ebben az esetben olyan a jelszavunk, amely szerepel az adott szótárban. Többféle ilyen szótár létezik, direkt erre a célra elkészítve: ezekben a leggyakrabban használt jelszavak vannak és néhány száz vagy néhány ezer szóból állnak. Ezeket értelemszerűen nem ember próbálgatja végig, hanem egy program, ezért ha szerepel a szótárban a jelszó, akkor aránylag hamar sikerül belépni. A weben leginkább ezzel próbálkoznak a robotok.
Védekezés: válasszunk bonyolultabb (erős) jelszót.

Brute force (nyers erő)
Mint a neve is mutatja, elég könyörtelenül működik, gyakorlatilag végigpróbálgatja az összes lehetőséget és minden variációt, ami csak létezik, így – ha máshogy nem védekezünk ellene – pusztán idő kérdése az, hogy mikor sikerül megfejteni. Természetesen ez ellen is vannak védekezési módok, azonban erre nem mindenütt van lehetőség. Védekezési lehetőség az adott eszköz/rendszer fejlesztőinek/üzemeltetőinek részéről, ha limitálják a bejelentkezési próbálkozások számát (pl.: netbankoknál, mobiltelefon PIN-kód, bankkártya PIN kód, ahol limitálva van a rossz próbálkozások száma eseményre és/vagy időre). Szerencsére ezt a brute force nevű megoldást nem lehet mindenhol titokban és hatékonyan alkalmazni, kicsit feltűnő lenne mondjuk egy online szolgáltatásnál, ha látnák az üzemeltetők, hogy valamelyik felhasználó napokon, heteken, hónapokon keresztül próbálkozik és néhánymillió alkalommal sem tud belépni. A fenti okok miatt, ill. az adatátvitel és kapcsolódás lassúsága miatt ez talán annyira nem jellemző internetes környezetben.

Ahogy fent is írtam, ezzel a módszerrel tulajdonképpen minden jelszó feltörhető, csupán idő kérdése, melynek hossza a jelszót feltörő számítógép(ek) sebességétől függ. A jelszó feltörése elméletben a néhány másodperctől akár több ezer vagy százezer évig is eltarthat, hiszen már egy 8 karakteres, az angol abc kis- és nagybetűit, valamint számokat tartalmazó jelszónál (egy karakteren 26+26+10 különböző lehetőség) akár 218.340.105.584.896, tehát több, mint 218 billió variációból is állhat.
Védekezés: minél több karakterből álló, kis- és nagybetűket, valamint számokat tartalmazó karaktersorozatot válasszunk.

Az erős jelszó

A fentiek tudatában nyugodtan kijelenthetjük, hogy megfejthetetlen jelszó nem létezik, viszont logikus a következtetés, hogy minél bonyolultabb egy jelszó, annál erősebbnek mondható. Sok helyen lehet olvasni, de mégsem lehet elégszer leírni, hogy a jó jelszóválasztás alapjai a következők:

  • ne legyen semmiből sem visszaszármaztatható (tehát ne legyen benne nevünk, becenevünk, családtagok neve, születési dátumok, háziállataink neve, stb.)
  • legyenek benne vegyesen kis- és nagybetűk
  • legyenek benne számok
  • álljon minél több karakterből (ajánlott a 6-8 karakternél hosszabb jelszavak használata)
  • időnként változtassuk meg jelszavainkat a fentiek szerint (pl. hetente, vagy havonta és soron kívül, bármilyen gyanús eseménykor)

Néhány szó az ékezetes/egyéb karakterekről: ha az angol abc kis- és nagybetűi, valamint a számok mellett használunk ékezetes, vagy egyéb karaktereket (pl.: kérdőjel, felkiáltójel, pont, vessző, stb.), akkor azzal nagyban növelhetjük a biztonságot, viszont az átlagfelhasználó bajba kerülhet, ha mondjuk a hosszú “ű” betű pl. szerepel a jelszavában és egy távoli országban odaül egy gép elé… Ettől függetlenül természetesen lehet ilyen karaktereket is használni, a biztonságot nagyban növeli, csak nem árt ezt is fejben tartani. :)

Pár szóban még a Brute force módszerről

Ez úgy működik, hogy az adott program végigpróbálgatja a-tól az összes lehetséges karaktersorozatot. Tehát: a, b, c, [...], x, y, z, aa, ab, ac, [...], ax, ay, az, ba, bb, bc és így tovább… Ha csak az angol abc kisbetűit vesszük alapul, akkor 1 karakternél 26 variáció van, 2-nél már 676, három karakternél 17.576. Egy 6 karakteres jelszónál, ami csak az angol abc kisbetűit tartalmazza, ott már több, mint 308 millió 915 ezer variáció lehetséges, de ne feledjük, hogy ha jelszavunk a szintén 6 betűs, rettentően bonyolult “qwerty” vagy “qwertz” karaktersorozat, akkor a szótár alapú feltörésnél a másodperc tört része alatt megvan az eredmény…

Többszintű jelszókezelés

Nem jó, hogy ha mindenhova ugyanazt a jelszót használjuk, ez is egy elég jelentős veszélyforrás.

Célszerű különböző biztonsági szinteket felállítani az általunk használt jelszavaknál. Ez azt jelenti, hogy ne ugyanazt a jelszót használjuk pl. egy netbankos azonosítóhoz, mint pl. a freemail-es, vagy MSN-es felhasználói fiókunkhoz. Ezen kívül pedig egy-egy szinten lehet több jelszó is. Ez így elsőre bonyolultnak tűnik, de valójában nagyon egyszerű és még a sok karakteres, látszólag megjegyezhetetlen jelszavakat is könnyen meg tudjuk jegyezni, ha párszor már begépeltük.

Egyéb veszélyek

Nem csak felhasználói fiókunkat célszerű jelszóval ellátni. Ma már rengeteg helyen használnak otthon is olyan routert, ami képes vezeték nélkül is kommunikálni. Egy ilyen eszköz beállításakor az első dolgunk az legyen, hogy a gyári alapértelmezett jelszót megváltoztatjuk. Ha ez nem menne, akkor inkább hívjunk segítségül egy olyan szakembert, vagy ismerőst, aki ért hozzá és segít beállítani. Sokan a router gyártójának a nevét adják meg a hálózat nevének (pl.: DLINK, GIGABYTE), amivel önmagában nincs baj, de a gyártó nevéből pillanatok alatt ki lehet deríteni a gyári felhasználói nevet és jelszót…

Végezetül néhány jótanács: az interneten legyél paranoiás, hidd el, hogy itt ez egy rendkívül egészséges dolog. Ne bízz meg senkiben, válassz erős jelszót, ne add oda jelszavadat a legjobb barátodnak sem és ha mégis megmondod, akkor utána a legelső alkalommal változtasd meg valami másra. Egyáltalán nem biztos, hogy pont a barátod, vagy ismerősöd fog vele visszaélni, lehet hogy pont az ő rendszerébe lép be illetéktelen személy, aztán meg lehet magyarázkodni egymásnak…).

Adatbiztonsági incidens az iWiW-en

2010. április 2. péntek

iWiW - Üzenetek

Március 25-én egy blogbejegyzésben hívták fel a figyelmet arra a biztonsági problémára, melyet kihasználva néhány órán keresztül bárki számára könnyen hozzáférhetővé váltak a rendszerben tárolt levelek (értsd: gyakorlatilag bárki elolvashatta bárkinek a leveleit a rendszerben a leveleket azonosító messageID megadásával). Azóta kiderüt, hogy ez egy fejlesztési hiba miatt következett be, a hibás szolgáltatást pedig az iWiW szakemberei néhány órával később leállították.

A levelezés viszont a mai napon ismét nem működött rendesen délelőtt. A probléma Szabó Márton szerint nem függ össze a március végi eseményekkel, a mostani szolgáltatás-kiesést az egyik adatbázisszerver meghibásodása okozta (forrás: IT café).

(tovább…)