About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (36),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),mobil (8),biztonság (8),OSINT (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),jog (6),Google (5),webcserkészet (5),molbiol (5),szájbarágó (5),felzárkóztató (4),Nobel-díj (4),terrorizmus (4),kriminalisztika (4),big data (4),kultúra (4),email (4),plágium (4),Apple (3),jelszó (3),nyelvtechnológia (3),genetika (3),Android (3),biztonságpolitika (3),pszichológia (3),webkettő (3),reklám (3),élettudomány (3),gépi tanulás (3),CRISPR (3),Onedrive (3),üzenetküldés (3),2015 (3),orvosi-fiziológiai (3),online marketing (3),kriptográfia (3),molekuláris biológia (3),azelsosprint (3),torrent (3),konferencia (3),magatartástudomány (3),hype (3),biztonságtudatosság (3),open source intelligence (3),popszakma (3),levelezés (3),Gmail (3),szabad információáramlás (2),Yoshinori Ohsumi (2),bejutas (2),Hacktivity (2),Reblog Sprint (2),tweak (2),Pécs (2),génterápia (2),DKIM (2),cas9 (2),bűnügy (2),fiziológia (2),hitelesítés (2),TOR (2),kulturális evolúció (2),villámokosság (2),deep web (2),ransomware (2),bűnüldözés (2),DDoS (2),természetes nyelvfeldolgozás (2),arcfelismerés (2),FUD (2),nyílt forrású információszerzés (2),Balabit (2),P2P (2),webkamera (2),Netacademia (2),neuropszichológia (2),Whatsapp (2),SPF (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),sajtó (2),tanulás (2),biológia (2),szociálpszichológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

A vírusvédelem gazdaságtana és jövője - szájbarágó


"Melyik virtusirtó a legjobb? Amúgy olyan kellene, amelyik ingyenes is, tudod, én nem értek hozzá, csak az a lényeg, hogy menjen is." Ez egy igencsak gyakran felmerülő kérdés, amivel kapcsolatban, mielőtt megválaszolnám, gyorsan meg kell jegyeznem, hogy önmagában a vírusirtó, azaz végfelhasználói antivírus termék már jóideje édeskevés, olyat kell választani, ami tartalmaz tartalomszűrőt, személyi tűzfalat, és egyáltalán, minél több olyan funkciót valamilyen formában, amit nagy-nagy rendszerekben is alkalmaznak, csak itt kicsiben. Másrészt, ahogy arra kitérek, amellett, hogy nem lehet kijelenteni egy adott antivírus termékről, hogy a legjobb, azt meg pláne nem, hogy ha most hatékony, majd az lesz több hónap vagy év múlva is. 

mindeközben a világon a Fireeye animációján

Tételezzük fel, hogy az olvasó nem művelte ki magát malware analízis rejtelmeivel kapcsolatban, hanem átlag felhasználóként próbálja meg védeni a gépét a kártevőktől. A vírus, rootkit és malware kifejezéseket minden további nélkül használhatjuk rokon értelmű kifejezésként, a kártevők ezek csoportosítása mára már tényleg történeti az esetek többségében. 

Abban az esetben, ha valaki legalább megkérdezi, hogy melyik a legjobb AV-termék, a jobbik eset, a rosszabb, ugyan talán már kevésbé gyakori, amikor valaki azt vallja, hogy az ő víruskergetője aztán mindent felismer. 

Ahogy írtam, a normális végponti védelmi megoldás, azaz security suite nem csupán vírusirtó motorból áll, hanem tartalmaz olyan elemeket, amik szigorú értelembe véve nem az AV-termék részei ugyan, nyilvánvaló, hogy a gép biztonsága szempontjából legalább annyira fontosak. Például a legtöbb termék tartalmaz olyan funkciót, amelyik figyeli, hogy a felhasználó milyen webhelyet látogatna meg és ha azt észleli, ha olyan webhelyről van szó, amit korábban észlelt, mint kártékony webhely, jelzi ezt a felhasználónak - függetlenül attól, hogy a böngészőnek egyébként is van-e ilyen funkciója vagy sincs. 

 

a Kaspersky threat-mapje szerint sem jobb a helyzet

Hasonló módon, a security suitehoz gyakoran kapcsolódik valamilyen IPS vagy IDS megoldás, ha más nem, olyan, ami figyeli, hogy nem érkeznek-e esetleg töredezett adatcsomagok a hálózat felől vagy éppen egy alkalmazás nem akar-e olyan műveletet végrehajtani, ami egyébként végképp nem megszokott az adott környezetben. 

Maradva a klasszikus antivírus-termékekhez legközelebb eső szoftvereknél, az http://av-comparatives.org/ rendszeresen összeállít részletes elemzéseket különböző, végfelhasználók számára kínált AV-megoldásokkal kapcsolatban, ami nagy segítség lehet a választásban, de semmiképp se mondanám, hogy a konkrét választáshoz bőven elég, még akkor sem, ha a teszteket különböző szempontok alapján végzik el, amik egyikében azt nézik, hogy éles használat közben mennyire teljesít jól egy termék, megint másikban azt, hogy mennyire erőforrásigényes, mennyire strapálja a gépet, megint másik tesztben azt, hogy mennyi falspozitív találatot ad és így tovább. Többek közt azért nem lehet mindössze ennyi alapján dönteni, mert figyelembe kell venni a konrét környezetet, amiben a termék majd futni fog, másrészt van olyan termék, aminek helye lenne az összehasonlítások közt, de mégsincs fenn. Az alatt, hogy különböző környezetek figyelembe vétele, nem csak azt értem, hogy figyelembe kell venni a különböző teljesítményű gépeket, hanem azt is, hogy a felhasználó, amlyik használni fogja, mennyi előismerettel rendelkezik, azaz tudja-e hatékonyan használni a szoftvert olyan módon, hogy nem kell irritálóan sokat foglalkoznia vele, viszont a gépét is megfelelő biztonságban tudhatja, a termék az elvárható mértékben a háttérben, csendben végzi a feladatát és csak akkor rikácsol, amikor az tényleg indokolt. 

Másrészt figyelembe kell venni azt a nagyon kellemetlen tényt, hogy az a védelmi megoldás, ami most még a csúcson van, lehet, hogy néhány idő elteltével már gyalázatosan rosszul teljesít. Még a tavalyi Hacktivtyn Varga-Perke Bálint mutatta be azt az eszközt, amivel víruskergetők hatékonyságát vizsgálta, sokkoló, de több AV termék, mintha nem is lenne, a legfeltűnőbb behatolási kísérleteket sem észleli. 

Az tűnik logikusnak, hogy a legszélesebb körben ismert termékek biztosan a legjobbak is, holott ez nem igaz. Meggyőződésem, hogy több antivírus termék azért örvend nagyon nagy ismertségnek, mert sikerült eltalálnia az igencsak nehezen belőhető szintet a felhasználóbarát kialakítás és a hatékonyság közt. Ugyanis nyilván egy végponti termék beállítópaneljei nem lehetnek ijesztően bonyolultak a felhasználók számára, ebből viszont egyenesen adódik, hogy nem is lehet annyi mindent finomhangolni bennük. 

Platform, platform és platform... Korábban már meséltem róla, hogy amikor iMac-emet vagy a Macbookomat használom, mindkettőn fut több víruskergető is, amik ebben a környezetben nem vesznek össze egymással, de az OSX felhasználók döntő többsége még azzal sincs tisztában, hogy illene bekapcsolni a BSD-lelkű OSX beépített tűzfalát a rendszerbeállításoknál, ami többek közt egy nagyon precíz iptables-konfigurálást végez a háttérben. Víruskereső beállításáról eleve csak ez után van értelme egyáltalán beszélni. 

Sokszor a linuxos felhasználók a legsúlyosabbak, legvitaképtelenebbek olyan szempontból, hogy pusztán azért érzik magukat fenenagy biztonságban, mert valamelyik linux-disztrót használják. A közveszélyes mítosz, ami szerint a linux disztribúciók védettek a vírusokkal és vírus-jellegő kártevőkkel szemben, mindig is mítosz volt, arra pedig nincs általános recept, hogy milyen finomhangolást kell elvégezni egy Slackware vagy egy OpenSUSE disztrón azért, hogy az valóban eléggé biztonságosnak mondható legyen. Másrészt az is meggyőződésem, hogy a linux felhasználók többségének a gépét akár éveken keresztül is átjáróháznak lehetne használni anélkül, hogy abból bármit is észlelnének. 

Ami a Windows-t érintő kártevőket illeti, a drága felhasználó sokszor a legelemibb lépéseket sem teszi meg, mint például az oprendszer rendszeres frissítését. Persze abban az esetben, ha a Windows nem aktivált, nem legális forrásból származik, lehet, hogy az automatikus frissítés emiatt nem fog menni, viszont a MS update oldaláról minden esetben lecibálhatók a frissítések kézzel. Hogy mennyire nem érdekli a többséget a frissítés, arra amilyen szélsőséges, legalább annyira tanulságos eset, hogy a 2008-ban azonosított Conficker worm annak ellenére képes volt 6-7 évig a legelterjedtebb kártevők dobogós helyén maradnia, hogy a felhasználóknak egyetlen (!!) frissítést kellett volna telepíteniük ugyan, ami korrigálja azt a hibát, amit a kártevő kihasznált, de még ezt sem tették meg. A windowsos rendszerek alapértelmezett beállításai is persze általában veszélyesek, túl megengedőek, a tömegeknek szánt oprendszerre természetesen igaz, amit előbb írtam a védelmi termékekkel kapcsolatban, azaz a kényelem és a biztonság közti egyensúly megtalálása kulcs kérdés. 

Kényelem, azaz egyszerűség és a biztonság. Nos, igen. A saját Windowsomon olyan security suite fut, amivel mást biztos a világból ki lehetne kergetni, mert annyira bonyolultnak tűnhet beállítani, hozzáteszem, egyszer kell normálisan beállítani, aztán különösebben foglalkozni sem kell vele. 

Engem már riasztott el antivírus szoftver azzal, mert annyira halálosan bugyuta volt és alig lehetett benne valamit átállítani, ehhez képest persze, hogy ellentétben az általam használttal, a sokkal bénább fenn van az AV-comparatives listáján. Olyan megoldásoknál, ahol egyáltalán nem látni a motorháztető alá, idő kérdése, hogy a felhasználó mikor fog súlyos árat fizetni a kényelemért. Több AV-termék egészen elképesztő dolgokat enged meg magának, például többről kiderült, hogy az AV-motor beengedi a szignatúra alapon felismert vírust, de csak akkor csinál is vele valamit, ha azt valami futtatná, ami hajmeresztő blődség, mert kombinálva olyan módszerekkel, mint a felhő alapú heurisztika, azaz amikor a gép felküldi a szervernek a gyanusnak ítélt fájlt vizsgálatra vagy a viselkedés alapú heurisztika, ami azt vizsgálja, hogy egy folyamat végez-e valamilyen szokatlan műveletet, egyáltalán nem biztos, hogy kiszúrja a kártevő működését az AV-motor, azaz erre nem kellene támaszkodni, a szigorúbb beállítás viszont drámaian megnöveli a szoftver erőforrásigényét. 

Mi lehet tehát a megoldás, ha nem értesz hozzá? Az egyik, hogy bízol a rendszergazdában, amiből mondjuk nem következik egyenesen az, hogy kellő mélységben ő is érteni fog hozzá és nem arra gondolok, hogy képesített malware analyst vagy sem. Láttam már szép nagy szervezeteket, aminél olyan malware-védelmi megoldást vezettek be, amik veszett drágák voltak de legalább jó szarok, ami egészen addig nem tűnt fel senkinek, amíg nem tarolta le a fél világot mindenféle ransomware, azaz váltságdíjszedő malware.  

a Norse szerint sem rózsásabb a helyzet

A vírusvédelem tehát nem választható el az informatikai biztonság többi területétől, kérdezz olyat, aki ért hozzá, ha senki sincs a közelben, akkor marad az AV-comparatives, mint kiindulási pont. 

Hozzáteszem, első látásra gyanusnak tűnhet, hogy hogyan lehet a világ legjobb vírusirtói közt több olyan is, ami egyébként teljesen ingyenes, tipikusan otthoni használatra avagy mitől is ingyenes? Ami ingyenes, az nem feltétlenül rosszabb. A freemium termékeknél általában a felhasználó megkap mindent, vattacukorral-törökmézzel, aztán ha olyanra lenne szüksége, ami nyilván szintén kell, azaz például biztonságosabb netezést lehetővé tevő tartalomszűrő, akkor már a fizetős csomagot kell választania. 

Ami gyakran látott jelenség freemium termékeknél, hogy a freemium a teljes terméktől esetleg csak olyan funkciókban tér el, amik konkrétan irrevelánsak a konkrét felhasználó esetén. így például értelmetlen hatékony spamszűrést emlegetni akkor, ha a felhasználó nem levelezőklienst használt a levelezéshez, hanem webes felületen levelezik, ahogy az elsöprő többség. Gyakran látható és inkább csak a félelemre apelláló marketingszöveg az, hogy egy ilyen termék biztonságosabbá teszi a netes vásárlást, de az már nem derül ki, hogy hogyan. Ugyanis ha ismeretlen zugshopok látogatásánál nem figyelmezteti a felhasználót sem a védelmi termék, sem a böngésző, a felhasználót sem zavarja, hogy egy láthatóan vállalhatatlan helyen adja meg a bankkártyája adatait, akkor nyilván értelmezhetetlen biztonsági featureként az, hogy "biztonságosabb netes vásárlás". Ami még egy hangzatos favorit, az a parental control. Nem tudom, hogy ki hogy van vele, de nekem általában feltűnik, ha olyan webhelyre tévedek, ahol kábszit, kurvákat, fegyvert vagy gyilokpornót lehet rendelni illetve nézni, anélkül, hogy erre figyelmeztetne egy szoftver. Ha bárki úgy gondolná, hogy ez egy roppant hatékony megoldás azért, hogy a netező gyerekek biztonságba netezhessenek, van egy rossz hírem: az esetek többségében a gyerkőc körülbelül akkor már ki tudja lőni vagy meg tudja kerülni a parental controlt, mire megtanul olvasni. 

Ismét más freemium megoldásnál az ingyenes és a teljes verzió esetleg szinte semmiben nem különbözik egymástól leszámítva azt, hogy az egyikhez van támogatás, a másikhoz pedig nincs, ami lehet, hogy annyira nem tűnik fontosnak, de fogyasztói kultúrától függően vannak államok, ahol azok, akik tényleg csak használni akarják a gépet, a részletekkel pedig nem foglalkozni, inkább befizetnek pár garast évente, hogy valami szaki segítsen helyrepakolni a gépet telefonon vagy távoli bejelentkezésen keresztül, ha van valami probléma. Esetleg olyan termékről van szó, aminél a gyártó főprofilját nem is az AV és személyes tűzfal megoldások jelentik, hanem valami teljesen más, például nagyvállalati megoldások, az abból befolyó összeg egy részét költik arra, hogy end-user termékeket fejlesszenek ezzel erősítve a márka nevét és még így is simán megéri. 

Felhasználói tudatosság mindenek felett: tökéletes megoldás valószínűleg sosem lesz, mivel hiába jelzi ki egy védelmi termék, hogy egy emailen érkezett webcím gyanus vagy egy alkalmazás szokatlan műveletet hajtana végre, a felhasználó úgyis arra a gombra kattint, amelyikkel a felugró ablak leggyorsabban eltüntethető az útból. Ahogy a legtöbb helyen a felhasználók úgy gondolják, hogy a biztonság szavatolása csak az IT-sek dolga, úgy a legtöbb helyen az alkalmazottnak semmiféle kártérítést nem kell fizetnie olyan kárért, amit ők maguk okoztak, azaz például egy riasztás ellenére engedett lefutni egy ismeretlen alkalmazást vagy egy nyilvánvalóan scam emailben rákattintottak egy fertőzött webhelyre mutató hivatkozásra. 

Tudjátok mit? Nem csak rossz oldala van annak, hogy az utóbbi néhány hónapban két nagy magyar orvosi egyetemen is rommá fertőzték a gépparkot ilyen-olyan ransomware-ek, ezzel számos kutató dokumentumait végérvényesen gallyra vágva - holott ez megelőzhető lett volna. Ilyenkor mindig úgy gondoljuk néhányan, hogy ebből aztán már csak-csak tanulnak majd valamit az érintettek, még mindig jobb, mintha mondjuk 5 év múlva, egy még durvább malware szedi szét a házat, aminek az eredménye végülis nem kevés értékes kieső munkaóra. Amit sokan nem vesznek észre, hogy minden állami költségvetésű szerv végülis a közös kasszábból gazdálkodik akkor is, ha éppen megelőzhető vírusfertőzések után kutatási adatok helyreállításával szerencsétlenkednek az alatt az időt alatt, amit lehetne értelmesebben is tölteni. 

Valahogy ez a privát szektorban nagyon sok helyen nem kérdés, hogy beengedni egy vírust olyan módon, hogy az alkalmazott valamelyik művelettel eltér az informatikai biztonsági házirendtől, ugyanúgy következményeket von maga után, mintha véletlenül megöntözi forró csokival a céges projektort. Szent igazság, hogy a biztonságtudatosságot még mindig annál inkább veszik komolyan, minél közvetlenebb módon látható egy-egy incidens következtében adódó kár, legyen szó akár egy vírusfertőzésről, akár célzott támadásról

A security suite termékek jövője egyértelműen olyan irányba kell, hogy menjen, aminek a lényege, hogy a felhasználót önmagától védik meg több-kevesebb sikerrel, arra még jóideig nem lehet számítani, hogy a felhasználót tekintsük értelmes lénynek a géphasználat szempontjából, de ez nem a security suite-ok sajátossága. Ennek első látványos megjelenése a Windows-termékekben megjelenő UAC volt az OSX-eken pedig alapértelmezés szerint időről időre csökkentették a felhasználók jogosultságait avagy ahogy a művelt kínai mondaná, principle of least privilege

Ahogyan az is várható, hogy a végponti biztonsági programcsomagok piaca olyan módon fog diverzebbé válni, hogy az egyik futtatása a bevallottan az erősebb, a másik a gyengébb hardverrel rendelkező gépeken ajánlott, az egyik bolondbiztosabb, a másik kevésbé, de nagyobb finomhangolásra ad lehetőséget, illetve az egyre gyorsabb netes penetráció előnyeit kihasználva az egyik jobban támaszkodik a felhőre, a másik kevésbé. Ezen kívül várható, hogy azokon a helyeken, amiket kevésbé tartottak kritikusnak vírusvédelmi szempontból, a helyi rendszergazda vagy IT team bekeményít és valamilyen módon szankcionálja, ha egy alkalmazott hülyeségére vezethető vissza a sikeres fertőzés. 

A fenti animációkon az látható, ahogy egy-egy víruslabor, önmagát általában csupasz Windows XP-nek álcázó honeypot szerverét mennyi és milyen típusú támadás éri, ehhez adódnak még a felhasználók gépei által automatikusan elemzésre felküldött fájlokból és viselkedésmintákból származó adatok. 

könyv tipp: Szőr Péter - A vírusvédelem művészete; Hacking Exposed: Malwares and Rootkits  
térképek: Krebsonsecurity Blog, animáció meg van még, mondjuk itt

0 Tovább

Torrentezés és netvirológia - letöltés biztonságosan?


Avagy létezik-e biztonságos letöltés? Főleg, ha nehezen beszerezhető anyagokról van szó.

Napjainkban a torrent szolgáltatásokban alap szinten jártas felhasználó csak annyit lát, hogy ha kell neki egy film, egyszerűen felmegy egy nagyobb torrentoldalra, majd rákeres a film címére, ezt követően pedig letölti a filmet kedvenc torrent kliensével.

A némileg tájékozottabb felhasználó már tisztában van vele, hogy vannak olyan peer-to-peer oldalak, amik valamilyen saját torrentkliens telepítését teszik annak feltételévé, hogy tőlük lehessen letölteni, ami persze felveti annak a lehetőségét is, hogy a torrentkliens nem csak letölteni illetve visszatölteni fog, hanem csinál valami teljesen mást is a gépen, mint mondjuk tolja a felhasználó arcába a reklámot. Ráadásul nagyon sok fertőző oldalra mutató hivatkozás a Google TOP 10-jében van.

Inkább a leggyakoribb tüneteket írom le, amit a torrent klienssel együtt települő malware csinálhat

- folyamatosan tolja a reklámod az arcodba, ha tetszik, ha nem
- a böngészők kezdőoldalát átállítja valami számodra érdektelen oldallá, amit nem tudsz visszaállítani
- a te géped szabad erőforrásait fogja a tudtod nélkül bitcoin bányászatra használni akkor is, ha nem is tudsz róla, a géped nincs üresjáratban, te pedig nem érted, hogy miért lassult be a gép
- mindenféle hülye eszköztárakat helyez el a böngészőben, amik szintén leirthatatlanok
- gyakorlatilag bármi más, ami az előzőekből kimaradt, de legalább ennyire idegesítő

Persze ezeket a malware vagy malware-szerű aktivitásokat vagy kiszúrja az antivírus szoftver vagy sem, ha ki is szúrja, könnyen lehet, hogy ha a kártékony programot sikerül eltávolítani, maga a torrent kliens sem lesz működőképes. Ráadásul akármilyen überszuper a vírusirtó, az intelligens malware gondoskodik róla, hogy szépen újratelepítse magát, méghozzá, hogy ne legyen feltűnő, nem is azonnal, hanem egy kis lappangási idő után.

Valóban vannak helyzetek, amikor már annyira romos egy gép, hogy újratelepíteni az egészet időtakarékosság szempontjából praktikusabb, mint kigyomlálni mindent, ami nem oda való, abban az esetben, ha a baj nem akkora - vagy nem tűnik olyan nagynak - nincs mese, riasztani kell valami harceddzettebb ismerőst, aki aztán alighanem állhat neki fúrni-faragni a Windows rendszerleíró adatbázisát,  könyékig túrni a böngésző, menüből nem elérhető finombeállításai közt, na meg guglizni, hogy egy-egy azonosított kártevőt hogyan lehet leggyorsabban leirtani kézileg - az egyetlen szerencse, hogy ez utóbbi már eléggé gyorsan elérhető. Azért írtam, hogy kézileg, mert olyan malware sem ritka, amelyik malware-eltávolítónak álcázza magát, azaz vírusgyilkolásra nem biztos, hogy a legjobb ötlet telepíteni még valamit, amit a kereső előkelő helyen dob és azt ígéri magáról, hogy eltávolítja, valójában pedig önmaga is vírus. OSX-es esetben pedig még cifrábbak lehetnek a protokollok és bizony ott is vannak nagyon komoly sebezhetőségek, ahogy az a The Register mai cikkéből is kiderül.

A windowsosos után pedig a legnagyobb kockázatnak pedig az elterjedtebb linux-disztrók használók közül az egyszerűbb lelkek vannak kitéve, akik még mindig úgy gondolják, hogy "jinyukszra nyinycsen víjus", ami igazából sosem volt igaz, de bízzunk benne, hogy majd felnőnek egyszer. A vírus és malware fogalmakat ugye rokonértelműként használom, ezek közül az egyik csoportba tartoznak a rootkitek, amik olyan rosszindulatú, kifinomult malware-ek, amik észrevétlenül és sokszor szinte észrevehetetlenül az operációs rendszer - akár legelemibb - működését változtatják meg, gyakorlatilag bárhogy. Linuxos rendszereken aztán végképp nincs semmiféle általános forgatókönyv rootkitek azonosítására, egy ősrégi módszer lényege, hogy a különösen fontos fájlok integritását, változásait folyamatosan figyelve van rá esély, hogy a rootkitet sikerül időben megfogni, kísérleti szinten sincsenek olyan módszerek, amik már a windowsos rendszereknél általánosan elterjedt ún. viselkedés-alapú heurisztikákat használnak, azaz azt szúrják ki, ha valami nagyon szokatlan történik, a témával kapcsolatban bővebben a poszt alján megjelölt könyvekből lehet tájékozódni.

Könnyen előfordulhat, hogy olyan tartalomra lenne szükségünk, ami eléggé specifikus ahhoz, hogy ne legyen fenn még a nagyobb torrent oldalakon sem, így jobban alá kell merülni a netnek.

Ha könyvet keresünk, ami nem teljesen újonnan jelent meg, lehet, hogy elegendő, ha a Google keresőjébe egyszerűen beírjuk a könyv címét a filetype:pdf operátorral, ami arra utasítja a keresőt, hogy csak a PDF-típusú fájlokat adja ki találatként és szerencsés esetben ott is lesz a teljes letölthető könyv, kevésbé szerencsés esetben pedig csak egy olyan oldalra jutunk PDF-csali miatt, ahol valójában a könyvnek csupán néhány oldala szerepel, a teljes könyv letöltéséhez már meg kellene adni a bankkártyaszámunkat, amivel kapcsolatban amúgy az adott webhely esküdözik, hogy nem von le róla egy garast sem, csak a felhasználó azonosítása vagy a free trial regisztráció megkezdése miatt kell :) És végig ne felejtsük el, hogy ha nem lennének olyan felhasználók tömegesen, akik még ezt is beszopják, nyilván nem érné meg üzemeltetni az ilyen oldalakat.

Nos, mi van akkor, ha kellene egy bizonyos könyv például, de az sehogy se sikerül normálisan lecibálni a netről, így az elszánt felhasználó nyel egy nagyot, kockáztat és megpróbálja minden áron lecibálni a tartalmat, a kockázatok minimalizálásával?

Kézenfekvőnek tűnik egy olyan gépet használni, amit akkor sem sajnálunk, ha rommá megy a rendszer rajta a nap végére, nemde? Végülis igen, de már igen korán felmerült rá az igény, hogy ehhez ne kelljen egy tényleges számítógépet és éles operációs rendszert használni, többek közt ez volt az egyik, aminek kielégítésére kifejlesztették az ún. virtuális gépeket. Ezek olyan szoftverek, amik a valódi operációs rendszer hátán alkalmazásként futva képesek más operációs rendszereket futtatni, amik gyakorlatilag teljesen izolált környezetben vannak, így a VM-ben futó operációs rendszer és annak alkalmazásai számára úgy tűnik, mintha valódi számítógépen futnának. Azaz ha valaki elkezd számítógépes vírusokkal foglalkozni, akkor egyszerűen ezekre az izoláltan, sandboxban futó operációs rendszerekre felteszi a vírusboncoláshoz szükséges eszközöket, na meg leferzőzi a vizsgálni kívánt vírussal. Hogy víruskutatókra nem kis szükség lesz, nem kérdés és a Duqu 2-be még bele se mentem.

Nos, a virtuális gépben futó operációs rendszereken szinte minden futtatható, amit az adott operációs rendszer támogat, persze érthetően jóval lassabban, így például tele lehet őket szórni kismillió ilyen-olyan letöltést segítő szarral és bízni benne, hogy azokkal már csak-csak sikerül letölteni azt a ritka könyvet vagy más, nehezen beszerezhető tartalmat, amire szükségünk lenne. Ha sikerült, a letöltött tartalmat még a virtuális gépen futtatott böngészőben feltolhatjuk a https://www.virustotal.com/ -ra, ami szignatúra alapon ismeri fel a kártevőket, vagy a Checkpoint Threat Cloudjába, ami pedig emulál egy Windows XP-s környezetet, ott megfigyeli a fájl viselkedését és megítéli, hogy biztonságos-e.

Ha egyik sem talált semmit, de még mindig igencsak paranoidok vagyunk és hallottunk már róla, hogy céges környezetben a vírusfertőzések közel fele úgy történik, hogy az emailben érkező, legitim PDF-nek tűnő csatolmány fertőzött, azaz a dokumentum szöveges tartalmán kívül rosszindulatú kódot is tartalmaz, az eleve PDF fájlt nyomtassuk ki például a PDF995 progival szintén PDF-fájllá. Ezt követően pedig a virtuális gépen például egy eldobható postafiókon keresztül a fájlt elküldhetjük önmagunknak.

Ha már PDF-ekről van szó, itt jegyzem meg érdekességként, hogy a helyzet már annyira súlyos, hogy a Checkpoint tömeges PDF-tisztító megoldást kínál szinte bármekkora cég számára, ami annyit csinál, hogy a beérkező emailekben lévő PDF-eket újra PDF-fé "nyomtatja" és csak ezt követően engedi a felhasználó postafiókjába.

Tehát elvileg virtuális gépet használva sokkal biztonságosabban lehet torrenezni a legelborultabb helyekről is. Hozzáteszem, számomra ez mondjuk azért nagyon fontos, mert ha meglátok egy jó könyvet a neten, annak sokszor pusztán a tartalomjegyzékéből vagy néhány megjeleníthető oldalából nem derül ki, hogy tényleg olyan könyv-e, amire szükségem van. Ugyanis míg régen többen megvettek egy könyvet printbe, amit aztán olvasgathatták ebook formában is a könyvhöz kapott hozzáféréssel, mára pont fordítva van, azaz olvasunk, azaz először megnézem a könyvet ebook formában, aztán ha azt látom, hogy tényleg nagyon jó, a több száz oldalt nem képernyőről fogom elolvasni, hanem inkább megrendelem printbe.

Megjegyzem, hogy az alkalmazott magatartástudomány engem érdeklő tájain, a social engineering és az open source intelligence területén persze, számomra nagyon sok átfedés van könyv és könyv közt, viszont azért sokszor van bennük valami egészen új is vagy a szemléletmódja más. Például nemrég egy barátomnak beboltoltam szülire Chris Hadnagy Social Engineering: The Art of Human Hacking című alapművét, ugyanakkor ugyanettől a szerzőtől a nemrég megjelent Unmasking the Social Engineer: The Human Element of Security könyvet, ami csak minimálisan fed át az előzővel és - most tessenek figyelni! - ahogy azt valahogy megsejtettem pár évvel ezelőtt, az látszik, hogy a legszofisztikáltabb social engineering és azt megelőző technikák döntően a nonverbális kommunikációra és többször a nyelvtudományból átvett kutatásokra alapoznak.

Egyébként meggyőződésem, hogy a nyelvtudományi kutatások közül nagyon sokminden annyira átcsorog majd az információbiztonság területére, hogy azt korábban aligha hitte volna valaki.

//ami kimaradt
0x100. Ha még nem tudod, hogy mozdonyvezető legyél, tűzoltó, katona, vadakat terelő juhász, esetleg víruskutató, két könyvet emelnék ki amolyan iránymutatásként:

A vírusvédelem művészete - Szőr Péter
Hacking Exposed: Malware & Rootkits Secrets & Solutions Paperback - Michael Davis, Sean Bodmer, Aaron LeMasters

0x200. Ami a posztból kimaradt, hogy természetesen a virtuális géppel történő trükközés sem bombabiztos megoldás, hiszen elvben előfordulhat, hogy a virtualizált környezetet biztosító alkalmazás egy hibáját egy intelligens malware úgy használja ki, hogy kitör onnan és eléri az éles operációs rendszert. Ismétcsak lehetnek olyan malware-ek, amik egyrészt jóideig lappanganak, másrészt több trükköt próbálnak bevetni annak megállapítására, hogy amin futnak, éles operációs rendszer vagy virtuális gép.

0x300. Remekül mutatja, hogy mennyire nem szabad elhinni semmit kapásból, amit a neten olvasunk, az az eset, amikor az uTorrent kliensre fogták rá, hogy a felhasználók tudta nélkül bányássza a bitcoit, amit komolyabbnál komolyabb lapok közöltek le, aztán persze egy tényleg komoly lap utána is nézett és kiderült, hogy erről ebben a formában szó sincs

képek: bluecoat.com, pcmag.com, github.io

0 Tovább