2011. május 26., csütörtök

We watch you watch

We watch you watch
(Rácz Bence - We watch you watch In: Az internet a kockázatok és mellékhatások tekintetében szerk. Talyigás Judit, Scolar Kiadó, 2010.) szakirodalmi tételről készített bejegyzés


Forrás: http://www.hacker.sokoldal.hu/



Ez a fejezet a könyben a technika természetéből fakadó veszélyeket ismerteti, nagyobb hangsúlyt kap ugyanakkor a személyi adatok védelmének, a hacker fogalmának és szerepének, a gyerekek, fiatalok és az internet viszonyának kérdése, valamint a személyes kiszolgáltatottság kockázata. Érdemesnek tartom elolvasni ezt a könyvet, mert a benne leírtak figyelemfelkeltésen túl a kiszolgáltatottság csökkenését is eredményezhetik.

Az adatok védelme az Interneten
A több-felhasználós gépek, illetve szoftverek lehetővé teszik, hogy egy felhasználói név és jelszó segítségével ne férjen más hozza adatainkhoz. Egyszerűbb fizikai biztonságot jelent az, ha valaki saját adathordozón tárolja adatait, és használatkor azt csatlakoztatja számítógépéhez. Átmeneti megoldást jelenthet egy-egy könyvtár rejtetté, vagy írásvédetté tétele.

Az információszerzés és publikálás legális és illegális módjai



Publikálás: Adott ország törvényeitől függ, de általában mindenhol tilos az illető jóváhagyása nélkül róla és környezetéről adatokat gyűjteni és azt felhasználni vagy továbbadni. Itt fontos bevezetni azt a fogalmat, hogy intellectual property, azaz szellemi tulajdon, mivel annak megsértése és az azzal való visszaélés nem csak a plágium kérdését veti fel, hanem a törvény is bünteti. Szabadalmaztatott programokat, eljárásokat, levédett filmeket, zenéket, képeket, szövegeket tilos saját nevünk alatt saját oldalunkon publikálni esetleges licencszerződés vagy hozzájárulás nélkül.




Információszerzés:



Legális információszerzés, ha kérdőívekkel, interjúkkal, fórumon kommenteléssel, e-mailben (nem spamben!), személyesen megkérdezzük. Illegális, ha a másik tudta nélkül, pl. pendrive-jának/laptopjának ellopásával vagy arról adatok elemelésével, keyloggerrel, lehallgatással, stb. tudunk meg valamit. A P2P (peer to peer, fájlmegosztás) hálózatokról, tehát fájlcserélő szerverekről – BitTorrent, Kazaa, Napster -, esetleg fájlcserélő programok (DC++, LimeWire) segítségével szintén illegális fájlokat, zenéket, filmeket letölteni, ugyanakkor legális saját készítésű fényképeinket, dokumentumainkat megosztani és kifejezetten hasznos is. De ez már a warez kérdése. (Forrás: www.martons.uw.hu)

A jelszavak legsúlyosabb veszélye
Sokan nem megfelelő jelszóval rendelkezünk. A legnagyobb veszély, hogy könnyen megjegyezhető szóra, számra bízzuk az azonosítást. Igazából egy tévhit, hogy a jelszó megvédi a számítógépen tárolt adatunkat, hiszen hiába változtatjuk rendszeresen jelszavunkat a munkahelyünkön is, ha a központi rendszert feltörik, az összes rendszer minden felhasználói adatai egy kézbe fognak kerülni. Ezért is fontos, hogy a közösségi portálokon kevésébbé írjunk ki számunkra alapvető, általános, de lényeges információkat, hiszen a hackerek ezekhez az adatokhoz nyúlnak először. Több ezer jelszó vizsgálata megmutatta, hogy a legtöbbet szó amelyet jelszavaknak alkalmaznak, nem más, mint a keresztnevek, becenevek, főnevek, vagy a belépési név módosított variációi, vagy éppen a variáció hiánya voltak.

Hogyan kerüljük el a rossz jelszót? Milyen a jó jelszó?
Úgy tudjuk elkerülni a rossz jelszót, ha nincs köze a felhasználó névhez, a barátunkhoz, párunkhoz, háziállatunkhoz, születési dátumainkhoz. Emellett fontos, hogy az egymás mellett lévő karakterek sorozatát (például 1234) és semmilyen tulajdon nevet ne használjuk jelszónak. Lényeges, hogy a jó jelszó legalább 8, de inkább 12-14 karakterből álljon, amely számokkal, kisbetűvel, nagybetűvel és speciális karakterrel (!, ?, :, stb…) legyen kiegészítve. Annyi nem elég, hogy Cica2, vagy gizike1. Az egyetlen probléma a nehéz jelszavakkal, hogy senki sem tudja őket fejben tartani, így rákényszerülünk, hogy leírjon őket. Az előnye az, hogy akár évekig is élhetünk ezekkel a biztonságos jelszavakkal és egy idő után, talán meg is tanuljuk őket. 



Jelszóválasztási tippek
1. Találj ki egy mondatot, amit könnyen észben tudsz tartani!
Például: A kisfiam Péter ma pontosan két éves.
2. Alakítsd a mondatot jelszóvá!
Használd minden szó első betűjét, hogy egy betűsorozatot gyárts: akpmpke
3. Bonyolítsd a szöveget egy kis fantáziával!
Vegyítsd a kis- és nagybetűket, használj számokat a betűk helyett. Például: AkPmp2e
4. Vonj be speciális karaktereket!
Használj olyan szimbólumokat, amelyek hasonlítanak bizonyos betűkhöz: AkP~~p2e
5. Tartsd titokban a jelszavadat!
Annyira kezeld bizalmasan a jelszavadat, mint azt az információt, amelyet az véd! (Forrás: http://www.weblap.ro/milyen-a-jo-jelszo)

Mennyi idő egy jelszó feltörése?
Brute force-nak, azaz „nyers erő”-t alkalmazó támadási módszernek nevezik azt, amikor a hacker a jelszó összes karakterét egyesével megpróbálja. Az abécé összes betűjét az A-tól Z-ig és a számokat 0-tól 9-ig stb. Ezért nagyon lényeges, hogy minél több karakterből, számból és speciális karakterből álljon a jelszó, hiszen egy hozzáadott karakterrel a feltörésre szánt számítási kapacitás és a szükséges időmennyiség nem lineárisan, hanem exponenciálisan nő.

Érdekességképpen nézzétek meg, milyen jelszavakat használnak a legtöbbször: Megdöbbentő, hogy milyen sok ember használ ezekhez hasonló, könnyen kitalálható és feltörhető jelszavakat, még erősen biztonságkritikus helyeken is, mint például bankszámlák, adminisztrációs felületek vagy postafiókok esetében.



123456 – Ez a leggyakrabban használt jelszó. És igen, létezik olyan, aki fontos adatok hozzáféréséhez használja ezt a jelszót. Hihetetlen igaz?



jelszó – A kreativitás csúcsa, amikor valaki ezt a szót választja jelszóként. A csalók ilyenkor köszönik szépen a segítséget.



Fradi, fradi, fradi – Gyakori, hogy valaki a kedvenc csapatát vagy játékosát választja jelszó gyanánt. Ezt sem túl nehéz kitalálni, ha valaki egy kicsit is ismeri az illetőt.



Petike – Amikor a jelszó az illető keresztnevének becézése. Még durvább, ha még csak nem is becézi, hanem egyenesen beírja a nevét – ez már nagyon súlyos.



0740174156 – A csajom vagy pasim telefonszáma, ne adj Isten a saját számom. Azért csak meg lehet jegyezni egy új számot a sok ismerős mellett, ne válasszuk már a saját számunkat!



asdf – Miből gondolod, hogy csak te tudod sorjában leütni azt a 4–5 billentyűt? A csalóknál valószínű az első 5 próbálkozásban szerepelni fog ez a kombináció is.



alma – Vagy angolban a monkey. Mindenki kedvenc szavai, divatszavak bizonyos körökben.
ábécé – Sorban az ábécé betűi. Ez sem egy nehéz rejtvény.



19820906 – Bármennyire is tudják, hogy ez nem egy jó ötlet, fantáziahiány miatt mégis rengetegen választják a születési dátumukat jelszó gyanánt.



szerelmünk neve – Elsőre lehet, hogy jó ötletnek tűnik, de ezt az információt a neten keresgélve még egy ezer idegen is megszerezheti. (Forrás: http://www.weblap.ro/milyen-a-jo-jelszo)

Többfaktoros azonosítás
A többfaktoros azonosítást jó megoldásnak tartom. Több tényezőt vesznek figyelembe az azonosítás kivitelezésekor. Pl. egy folyószámla ügyintézéskor a felhasználó név és jelszó páros helyes megadása után (tudás a partner mobiltelefonjának száma) a felhasználó a mobiltelefonjára kapott hitelesítő jelszóval (birtoklás) két különböző információs csatornán történő azonosítással bizonyítja a rendszerekhez való hozzáférés jogosultságát.

Kulcs
Kitalálták már a kulcsos, vagy elektronikus aláírást. Az a lényege, hogy az azonosításhoz több véletlenszerű karaktersorozatot használnak, amelyek hosszúsága a 2 valamelyik hatványa. Meglepő, de 128 és 2048 karakter között mozog.

Az előbbiekben már volt szó a hackerekről, most szeretném kicsit alaposabban is bemutatni őket.

Ki az a hacker? - A szakmai közösségek terminológiája
A hackerek olyan szakemberek, akik az informatikai biztonsági rendszerek megkerülésére specializálódtak. Nagyon magas szinten ismerik az informatikát, a rendszergazdai és szoftverfejlesztői szint felett járnak. Vannak bűnöző hajlamúak (blackhat, cracker, script kid) és vannak, akik nem bűnöző hajlamúak. (whitehat)

A hackereken belül megkülönböztethető:




Blackhat: számítógépek illegális feltörése, információlopás, üzleti hírszerzés (technikailag mindig bűnöző)
Whitehat: biztonságtechnikai fejlesztés, hibák javítása (nem bűnöző, de gyakran van bűnözői múltja)
Greyhat: erkölcsileg egyik irányban sem elkötelezett (tudását saját önös célra használja, így morálisan sem és erkölcsi irányban sem bűnöző)
Cracker: szoftverek illegális módon történő technikai használhatóvá tétele, feltörése. Két típusa van. 1. warez (mindig bűnöző, aki a szoftvereket licenszeléstől függetlenül használhatóvá tesz) 2. hacker (bűnözőként szokás említeni)
Script kid: rosszindulatú, csekély technikai tudású kezdő hacker vagy informatikai szakember. Célja haszonszerzés, szórakozás vagy akár oktalan károkozás.

A média terminológiája
A médiában sokat hallani a hackerekről. Itt leginkább script kid fogalom szerint említik őket. Ők azok, akik önös érdekből törik fel másoknak a számítógépét, rendszerét.

A céges hacker
Nagyobb vállalatok és szervezetek által felbérelt hackerek, valamint biztonsági auditorok csoportja. A hackereknek nevezett csoportok tagjainak többsége a karrierjét egy idő után nagy cégek alkalmazottjaként folytatja.



Veszélyeztető tényezők, támadási lehetőségek és védekezés
Probléma: Léteznek olyan biztonsági rések, amik programok telepítését teszik lehetővé a felhasználó tudta nélkül, esetleg megpróbálhatja valahogy rávenni a felhasználót a telepítésére. De kiragadott példaként speciálisan megírt weboldalakkal az otthoni routerek beállításai módosíthatók, ha az alapértelmezett jelszót nem változtatták meg. Megoldás: tűzfalak, vírusirtók, anti-kémprogramok telepítése, biztonságos böngészők és levelezőprogramok használata, lehetőleg minél kevesebb ismeretlen, idegen program telepítése a gépre, biztonságos oldalak látogatása az Interneten.
Probléma: Speciális támadási forma a social engineering, amikor az emberi hiszékenységet és jóhiszeműséget használják ki. Pl. valaki rendszergazdának adja ki magát és karbantartásra hivatkozva elkéri a felhasználónevet és jelszót. Ide tartozik még a pishing, avagy adathalászat fogalma: megtévesztik az embereket, h azok megadják pl. a banki adataikat. Megoldás: semmi naivitás és a hiteles források ellenőrzése. (Forrás: www.martons.uw.hu)

A világ veszélyei – A WIFI
Súlyos problémákat okozhat a vezeték nélküli internet levédésének a hiánya. Könnyen megtalálhatók azok a felhasználók, akik jelszó nélkül használják az internetet. Ezekre rácsatlakozva a hacker az előfizető nevében ténykedhet az interneten. Nagyon fontos, hogy a céges WIFI levédése biztonságos legyen, így ehhez többcsatornás azonosítási módszert kell alkalmazni.

Instant Messaging
Olyan chat felületek, amelyek azonnali üzenetváltási lehetőséget biztosítanak (Msn, Facebook chat stb). Ezek közül egyedül a Skype az, amelyik valódi titkosítási lehetőséget biztosít felhasználói számára. A legtöbb chat program nem titkosított, így ha nem védett vezeték nélküli interneten csatlakozik valaki ezekhez a felületekhez, akkor a közvetített információk és jelszavak, korábbi beszélgetések mindenki számára elérhetővé válhatnak.

Közösségi portálok
A közösségi oldalakról bárkiről, bármilyen információt meg lehet szerezni. Ezért nagyon fontos, hogy figyeljünk oda, milyen adatokkal szolgálunk a világ felé. Az információk jelentős részét önszántunkból osszuk meg a többiekkel és nem is gondolunk arra, hogy ezzel magunknak mennyi kárt okozhatunk. Sokan megfeledkeznek arról, hogy ezeket az információkat nem csak ismerőseink, hanem illetéktelen személyek is láthatják, használhatják. Ráadásul az üzenőfalakra kiírt üzenetekből az illető gondolkodásmódja és személyisége is könnyen kitalálható, megismerhető. Ezen információk birtokában egy felkészült megfigyelő könnyen vonhat le következtetéseket az illetőről és azok szokásrendszeréről.

A szervezett bűnözés és a hackerek kapcsolata
A hackerek szerint minden rendszerben van hiba, így feltörhető, kérdés, hogy az elérhető adat a megéri-e a feltörés költségeit. Vannak adatok, amelyek nagyon értékesek lehetnek (pl. ipari kémkedés, politika, stb.) Főként az orosz és a kínai Blackhat-hackercsoportok között akadnak olyanok, akik részt vesznek a szervezett bűnözés akcióiban és nagyon komoly összegekért speciális támadásokat hajtanak végre nagyobb cégek és szervezetek, vagy akár egész országok ellen. Elsősorban az orosz maffia módszere, hogy felbérelt hackerek segítségével nyomás alá helyeznek gazdagabb egyéneket, vagy cégeket, így zsarolva ki nagyobb összegeket.

Oroszok és észtek
2007 elején az észt kormány úgy döntött, hogy a Bronzkatonának nevezett szovjet háborús emlékművet elköltözteti Tallinnból. Válaszul az oroszok 2007-ben végrehajtottak egy akciót az észtek ellen. Az orosz hackerek először az észt külügyminisztérium honlapját alakították át, majd az összes minisztérium és Észtország fontosabb gazdasági szervezetei is áldozatul estek az akciónak. Ez az eset felhívta a figyelmet arra, hogy a DDOS (Distributed Denial of Service) a politika eszközévé is válhat, így alkalmas az ellenfél megfélemlítésére, elhallgattatására, kontroll alatt tartására, vagy akár a külvilággal való kapcsolattartás megakadályozására is. Ezek tudatában elmondható, hogy értékes fegyver lehet egy korai szakaszban háború esetén.

Kiberhadviselés
A legjelentősebb hatást úgy érik el, hogy a valós felhasználói kérésektől megkülönböztethetetlen módon kérdésekkel árasztja el az áldozat portálját. A cél, hogy leterhelje az áldozat számítógépének kapacitását, vagy akár annak sávszélességét.

Miért hackel a hacker? Mi a hacker motivációja?
Azért, mert meg tudja tenni. A hackerek többsége magas intelligenciájú és extrém technikai tudású, de csendes, visszahúzódó személyiség. Általában autodidakta módon szerzik meg tudásukat és a többség számára nem jelent kihívást a kommunikáció. A szociális kapcsolatok terén a világtól elszigetelve, gyakran virtuális valóságukban élik életüket, és alakítják személyes kapcsolataikat is. Leginkább a 14-19 éves korosztály az, aki időtöltés híján és lázadása eredményeképpen el kezd hackelni. Ők magam extrém tudással rendelkeznek és visszaélnek mások adataival.

A biztonságos rendszer
A könyv szerint biztonságosnak azt a rendszert tekinthetjük, amelynek biztonsági feltörése nagyobb erőforrás-mennyiséget (időt, energiát) igényel, mint az általa védett dolog értéke. Szem előtt kell tartani, hogy feltörhetetlen rendszer nem létezik, csak olyan rendszer van, amelyet feltörni drágább, mint amekkora a feltöréssel megszerezhető információ. A feladat az, hogy biztonságos rendszert kell kialakítani az általa védett értéktől függően, amelyről legalább azt biztosan és időben minél korábban meg tudjuk állapítani, hogy illetéktelen behatolás történt.

Ellenőrző kérdések a biztonságos internethasználattal kapcsolatban

1. Milyen adatokat tárolok a számítógépemen vagy az e-mail szolgáltatómnál, amely értékes lehet, vagy kárt okozhat bennem? (gmail, freemail, citromail, yahoo)
2. Valóban szükséges-e, hogy ezeket az adatok a gépemen vagy a leveleim között tároljam?
3. Milyen információkat osztok meg magamról a különböző közösségi portálokon? (facebook, iwiw, linkedln, twitter, blog)
4. Mit lehet rólam kideríteni egy sima kereséssel, milyen találatok vannak rólam a keresőkön? (google, yahoo)
5. Van-e fizetős vírusirtó szoftver a gépemen? Ha igen, akkor érvényes-e még, mikori az adatbázisa?
6. Van-e titkosító szoftver a gépemen?
7. Nyolc vagy több karakteres a jelszavam, és van benne kis-és nagybetű, szám és speciális karakter is?
8. Használok-e e-mailt bizalmas információk továbbítására?
9. Használok-e mobiltelefont vagy sms-t bizalmas információk továbbítására?
10. Használok-e bármilyen Instant Messaging (msn, gtalk) megoldást bizalmas információk továbbítására?
11. Az általános weboldalak elérésére http-t vagy https-t használok-e, mikor mindkettőre lehetőség van?
12. Frissítem-e számítógépem operációs rendszerét rendszeresen? (windows update)
13. Van-e otthon wifi és ha igen, akkor le van-e tiltva legalább egy jelszóval?

Nincsenek megjegyzések:

Megjegyzés küldése