Rácz Bence - We watch you watch (In: Az internet a kockázatok és mellékhatások tekintetében szerk. Talyigás Judit, Scolar Kiadó, 2010.) szakirodalmi tételről készített bejegyzés
 |
| Kép forrása: inmargo.blogspot.com |
A jelszavak legsúlyosabb veszélye - amiről mindenki hallgat
Gyakran a rendszer feltörések, illegális behatolások észrevétlenek maradnak. Milyen baj származhat abból, ha a rendszert működtetők mondjuk csak fél év múlva veszik észre, hogy feltörték azt. Ez idő alatt a támadó a weblap belépéseket (login) bonyolító modulját olyan programmal látja el, amely eltárolja az összes jelszópróbálkozást. És onnantól hozzáfér minden rendszerünkhöz, üzleti vagy épp magánlevelezésünkhöz. Így a cég (vagy személy) kiszolgáltatottá válik (zsarolhatóvá), vagy egyszerűen ellopják a szükséges adatot (pl. friss fejlesztés leírását).
A jelszavakkal kapcsolatos legnagyobb veszély, hogy egy megjegyezhető, változatlan karaktersorozatra bízzuk az azonosítást, a védelmünket. Hiába változtatja a felhasználó a legfontosabb üzleti levelezését védő jelszót rendszeresen, ha az egyik rendszert, amelyhez a felhasználónak köze van, feltörik, akkor az azonosítás biztonsága az összes rendszeren bizonytalanná válhat. Szépen lassan egy illetéktelen behatoló kezében összpontosul az összes rendszer összes felhasználójának összes adata. A jelszó biztonságába vetett hit tévhit. Ha egy fájl, egy rendszer vagy eszköz jelszóval van védve, akkor az onnantól kezdve bizonyára feltörhetetlen. A jelszó használatával egy olyan karaktersorozatra bízzuk az informatikai rendszerek védelmét, amelyet egy ember képes megjegyezni és rendszeresen felidézni. Több ezer jelszó vizsgálata megmutatta, hogy a legtöbbet használt jelszavak keresztnevek, becenevek, főnevek, vagy a belépési név módosított variációi, vagy éppen a variáció hiánya voltak. Hogyan lehet elkerülni a rossz jelszót? Ne legyen köze a felhasználó valódi nevéhez, semmilyen tulajdonnévhez, baráthoz, rokonhoz, a billentyűzet bármilyen egymás mellett található karaktereinek sorozatához, születési dátumhoz, vagy ezek bármilyen eltorzított változatához. Könnyen feltörhető jelszavak pl. az egyszerű számokkal kiegészített jelszavak (gizike1), az egyszerű számokkal behelyettesített betűket tartalmazó jelszavak (ub0rka, 1bolya), az ismétlődő szavak (tecateca, macimaci) is. A jó jelszó minimum nyolc (de inkább 12-14) karakter, tartalmaz számot, kisbetűt, nagybetűt, és speciális karaktert is. A jelszóban ajánlott egy darab egymás után ismétlődő karakter. Probléma, hogy erre a jelszóra szinte lehetetlen emlékezni, ezért a felhasználó valószínűleg le fogja írni. Azonban több ilyen karaktersorozat megjegyzésével és kisebb változtatásával sok évig aránylag biztonságos jelszóval lehet védeni a rendszerünket.
Mennyi idő egy jelszó feltörése?
A jelszavak feltörésének, megszerzésének több módja is van. "Brute force"-nak, azaz „nyers erő”-t alkalmazó támadási technológiának nevezik azt, amikor a behatoló a jelszó összes karakterét egyesével végigpróbálgatja. Az abécé összes betűjét az A-tól Z-ig és a számokat 0-tól 9-ig stb. Ezért nagyon lényeges, hogy legalább 8 karakterből álljon a jelszó, és hogy többféle karaktertáblát használjon, a felhasználó mert egy hozzáadott karakterrel a feltörésre szánt számítási kapacitás és a szükséges időmennyiség nem lineárisan, hanem exponenciálisan nő. Azaz, annál tovább tart a feltörés ideje, mennél hosszabb és mennél több éle karakter tartalmaz a jelszó (években, évezredekben mérhető lesz a szükséges idő). A jelszó mellett sok egyebet is alkalmaznunk kell, ha valóban meg szeretnénk védeni adatainkat.
Többfaktoros azonosítás
Biztonságosabb megoldások azok az azonosítási módszerek, amelyek több tényezőt vesznek figyelembe az ellenőrzéskor. Ilyenek a tudás alapú, birtoklás alapú és biometrikus alapú hitelesítési módszerek. Pl. egy banki szolgáltatás igénybevételekor (pl. folyószámla ügyintézés) a belépési név és jelszó páros helyes megadása után (tudás alapú, hiszen az ügyfél mobiltelefonjának számára szükség van) a felhasználó a mobiltelefonjára kapott hitelesítő jelszóval (birtoklás, azaz egy újabb beléptető kóddal kell rendelkezni) két különböző információs csatornán történő azonosítással bizonyítja a rendszerekhez való hozzáférés jogosultságát.
A „kulcs”
A rendszerbiztonság érdekében létezik kulcsos azonosítás, vagy elektronikus aláírás. A kulcsos hitelesítés azt jelenti, hogy az azonosításhoz több véletlenszerű karaktersorozatot használnak fel, amelynek a hossza a 2 valamelyik hatványa (általában 128 és 2048 karakter között).
A fejezet a fenti azonosításbiztonsági kérdésekről a lehetséges támadók felé fordítja az olvasók figyelmét. Sokat hallani a különböző médiában a hackerekről. Lássuk, mit lehet róluk tudni.
Ki az a hacker?
A hacker definíciója elég sokszínű. A hacker lét egyfajta szubkultúra, a szakmai közösségek terminológiája. Általában véve azokat a rendkívüli technikai tudású informatikai szakembereket nevezik így, akik az informatikai rendszerek működését az általános rendszergazdai és szoftverfejlesztői szint felett ismerik, és az informatika bizonyos ágait rendkívül magas szinten művelik. Olyan különleges tudású és képességű szakemberek, akik az informatikai biztonsági rendszerek megkerülésére specializálták tudásukat.
A hackereken belül Rácz Bence megkülönbözteti az alábbi csoportokat:
- Blackhat: számítógépek illegális feltörése, információlopás, üzleti hírszerzés (bűnöző hajlamú)
- Whitehat: biztonságtechnikai fejlesztés, hibák javítása (sosem bűnöző)
- Greyhat: erkölcsileg egyik irányban sem elkötelezett
- Cracker: szoftverek illegális módon történő technikai használhatóvá tétele, feltörése (bűnöző hajlamú)
- Script kid: (wannabe) rosszindulatú, csekély technikai tudású kezdő hacker vagy informatikai szakember. Célja haszonszerzés, szórakozás vagy akár oktalan károkozás. (bűnöző hajlamú)
A hacker, mint munkavállaló
Nagyobb vállalatok és szervezetek által felbérelt hackerek, valamint biztonsági auditorok csoportja. A hackereknek nevezett csoportok tagjainak többsége a karrierjét egy idő után nagy cégek alkalmazottjaként folytatja. Megjelentek a különböző szabványok is a területen pl. CISM (certifiedinformation security manager, azaz minősített információbiztonsági vezető) CISA (certified information systems auditor aza minősített információsrenszer auditor), CEH (certified ethical hacker - szakmai szervezet által minősített etikus hacker). Más kérdés, hogy vannak hackerek (magyarul gondolom, hamarosan hekker), akik a fenti szabványosodási folyamatokat nem nézik jó szemmel, azaz nem tartják valóban hackernek azokat, akik így dolgoznak. Bizonyos hacker szubkultúrákban a "hacker" foglama kissé a renegátéhoz hasonlít.
A WIFI biztonság
Komoly problémákat vethet fel a vezeték nélküli internet levédésének, titkosításának hiánya. Gyakran a felhasználók nem is gondolnak arra, hogy védeni kellene a WIFI csatornájukat, így könnyen megtalálhatók azok, akik jelszó nélkül osztják meg a világgal az internetet. Ezekre rácsatlakozva egy hacker gyakorlatilag az előfizető nevében ténykedhet az interneten. Természetesen épp ezért fontos, hogy a céges WIFI levédése biztonságos legyen, így ehhez többcsatornás azonosítási módszert kell alkalmazni.
Instant Messaging
Az instant messaging felületek olyan chat-elő terek, amelyek azonnali üzenetváltási lehetőséget biztosítanak (AOL, ICQ, Google talk, Facebook chat stb). Ezek közül egyedül a Skype az, amelyik valódi titkosítási lehetőséget biztosít felhasználói számára. Ha a támadó félnek nincs és semmilyen módon nem is volt hozzáférése ahhoz a számítógéphez, amelyiken a beszélgetés történik, akkor az üzenetváltások nehezen támadhatók. Viszont, ha nem kapcsoljuk ki a Skype üzenetváltások szöveges mentésének funkcióját, akkor a szöveges részek áldozatul eshetnek a potenciális támadónak, ha be tud férkőzni a számítógépbe. A legtöbb chat program eleve nem titkosított, így ha nem védett vezeték nélküli interneten csatlakozik valaki ezekhez a felületekhez, akkor a közvetített információk, illetve a hozzátartozó jelszavak, korábban folytatott beszélgetések is elérhetővé válhatnak.
Közösségi portálok
A közösségi oldalakon (Facebook, Iwiw, MySpace, stb.) a legtöbb felhasználó a szokásosnál jóval több személyes információt oszt meg magáról, mint amit egyébként a való életben közzétenne. Emellett fórumokon való hozzászólásokban szintén sokat árulunk el magunkról, értékrendünkről. Több közösségi oldalról összeollózott információval és különböző kutatási módszerek használatával szinte bárkiről bármilyen információt ki lehet deríteni. És ami a nagyon fontos, hogy az információk jelentős részét az érintett önszántából osztja meg. A közösségi portálok használói két szempontról megfeledkeznek: egyrészt a megosztott információt, adatot nemcsak a közösség tagjai láthatják, másrészt az oldalakon megosztott és egyéb helyen elérhető információk együttesen már nem csak az illető személyes adatait, barátait és kapcsolati körével kapcsolatos egyéb információkat hordozzák magukban, hanem teljes gondolkodásmódját, személyiségprofilját is. Ezeket az információkat összeollózva a felkészült megfigyelő messzemenő következtetéseket vonhat le az illető szokásrendszerével és viselkedési mintáival kapcsolatban. éppen ezért van nagyon fontos szerepe a különböző biztonsági és adatvédelmi beállításoknak, illetve a tudatos gondolkozásnak.
A szervezett bűnözés és a hackerek kapcsolata
Látható volt korábban, hogy a hackerek az informatikai rendszerek biztonsági hiányosságait használják ki. Vélekedésük szerint minden rendszerben van hiba, így feltörhető, kérdés, hogy az elérhető adat a megéri-e a feltörés költségeit. Vannak adatok, amelyek nagyon értékesek lehetnek (pl. ipari kémkedés, politika, stb.) Főként az orosz és a kínai Blackhat-hackercsoportok között akadnak olyanok, akik résztvesznek a szervezett bűnözés akcióiban és nagyon komoly összegekért speciális támadásokat hajtanak végre nagyobb cégek és szervezetek, vagy akár egész országok ellen. Elsősorban az orosz maffia módszere, hogy felbérelt hackerek segítségével nyomás alá helyeznek gazdagabb egyéneket, vagy cégeket, így zsarolva ki nagyobb összegeket.
Oroszok és észtek - hacker módszerek a politikában
2007-ben az észt kormány a Bronzkatonának nevezett szovjet háborús emlékművet el akarta költözteti Tallinn központjából. Észt országban nagy számú orosz nemzetiség él, akik azonnal tiltakoztak. Orosz hackerek először az észt külügyminiszter pártjának honlapját írták át, majd csaknem az összes minisztérium és Észtország jelentősebb és kevésbé jelentős gazdasági szervezetei is áldozatul estek támadásaiknak. Több száz számítógép felhasználásával megbénították az ország internet forgalmát, ezzel komoly nyomás alá helyezve az országot. Ez az eset felhívta a figyelmet arra, hogy a DDoS (Distributed Denial of Service, azaz a megosztott szolgáltatás letiltás, amikor több gép vesz részt a támadásban és együttesen bénítják meg az áldozat rendszerét) a nemzetközi politika eszközévé is válhat. Alkalmas az ellenfél megfélemlítésére, elhallgattatására, infrastruktúrájának potenciális kontroll alatt tartására, és a külvilággal való kapcsolattartás megakadályozására – és ezek által rendkívül értékes fegyver lehet egy háború korai szakaszában. A legjelentősebb hatást egy DDoS támadás során azzal érik el, hogy a valós felhasználói kérésektől megkülönböztethetetlen, legitimnek tűnő kérésekkel árasztja el az áldozat portálját (mondjuk egy kormányzati ügyfélkaput, vagy az adóbevallás leadását segítő oldalt, vagy valamilyen eshop oldalt, stb.), leterhelve ezzel annak számítási kapacitását, szélsőséges esetben annak sávszélességét is.
Miért hackel a hacker?
Leginkább azért, mert meg tudja tenni. A hackerek többsége szélsőségesen magas intelligenciájú és extrém technikai tudású, de csendes, visszahúzódó személyiség. Rácz Bence szerint általában ők a többség számára kihívást nem jelentő kommunikációs problémákkal küzdenek. A szociális kapcsolatok terén elszigetelődő jellegű személyiségükből fakadóan a világtól elszigetelve, gyakran virtuális valóságukban élik életüket, és alakítják személyes kapcsolataikat is. A hacker többnyire autodidakta módon szerzi meg tudását, és a hozzá hasonló adottságú személyekkel keresi a többnyire csak kevés valós életbeli fizikai kontaktussal járó kapcsolatot. A 14-19 éves korban járó fiatalemberek többsége rendkívüli képességeit és saját maga által megszerzett extrém technikai tudást – jobb időtöltés híján – ebben az időszakban oly módon használja fel lázadása megélésére, hogy azzal visszaél: hackel. Eric S. Raymond Hogyan lesz az emberből hacker? című írásában azonban inkább arra helyezi a hangsúlyt, hogy a hackerek problémamegoldó gondolkozásúak. Kreatívak és szabadok. A hackerek a nyílt forráskódú szoftverek elkötelezett támogatói és fejlesztői. A megoldási utakat pedig egymás között megosztják, nyilvánossá teszik, így fejlesztve az egész hacker közösség tudását. Raymond véleménye szerint a hacker nem feltétlen "kocka", sőt gyakran kiváló apák és férjek - női hackerekről nem esik szó :-) Felvázol egy introvertált, zenére és távol-keleti filozófiákra érzékeny, szójátékokon edződő hacker személyiséget. Írásában pedig azokat a praktikus lépéseket is elolvashatjuk, amelyek segítségével valaki hacker lehet. A hackerek motivációiról egy más szemszögből az "Én mindig szemét vagyok, de van amikor van szerződésem is..." című írásból is tájékozódhatunk, amelyben beszélgetést olvashatunk hackerekkel a motivációról, eseteikről és azok tanulságairól. Nekem az szűrődött le, hogy a hacker szubkultúra nagyon sok rétű, nehezen lehet aprólékos általánosításba bocsátkozni.
A lényeg a biztonságos rendszer
Rácz Bence írásának konklúziója az, hogy biztonságosnak azt a rendszert tekinthetjük, amelynek biztonsági megoldásainak feltörése, kiiktatása nagyobb erőforrás-mennyiséget (időt, energiát) igényel, mint az általa védett dolog, adatok értéke. Feltörhetetlen rendszer nem létezik, pusztán olyan rendszer van, amelyet feltörni drágább, mint amekkora a feltöréssel megszerezhető információ.
Az informatikában az alapvető problémák az infrastruktúrában, illetve annak szintjeiben rejlenek. Mindig lesz egy adott szint, amelyen a rendszer működik, például a szoftver fut rajta, és egy „alacsonyabb” szint, pl. az adathordozó, amely a rendszert tárolja, és amelyet valaki meg tud támadni, és általa az összes magasabb szinten lévő eszközhöz hozzáférést szerez. (Egyik csoporttársnő észrevétele volt, hogy a legritkább esetben védjük pendrive-unkat valamilyen módon, akár egy egyszerű jelszó segítségével is.) A feladat tehát az, hogy olyan, kellőképp biztonságos rendszert kell kialakítani nyilván az általa védett értéktől függően, amelyről legalább azt biztosan és időben minél korábban meg tudjuk állapítani, hogy illetéktelen behatolás történt.
Nincsenek megjegyzések:
Megjegyzés küldése