About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (37),privacy (17),Facebook (17),social media (11),itsec (11),egyéb (10),social web (9),biztonság (8),mobil (8),OSINT (6),jog (6),magánszféra (6),tudomány (6),szellemi tulajdon (6),Google (5),molbiol (5),felzárkóztató (5),webcserkészet (5),szájbarágó (5),plágium (4),Nobel-díj (4),kriminalisztika (4),terrorizmus (4),kultúra (4),big data (4),email (4),genetika (3),pszichológia (3),molekuláris biológia (3),biztonságpolitika (3),CRISPR (3),Android (3),online marketing (3),sajtó (3),élettudomány (3),gépi tanulás (3),Onedrive (3),üzenetküldés (3),jelszó (3),2015 (3),orvosi-fiziológiai (3),Apple (3),Gmail (3),reklám (3),konferencia (3),webkettő (3),biztonságtudatosság (3),kriptográfia (3),levelezés (3),magatartástudomány (3),azelsosprint (3),popszakma (3),hype (3),open source intelligence (3),torrent (3),nyelvtechnológia (3),bejutas (2),tweak (2),villámokosság (2),cas9 (2),Yoshinori Ohsumi (2),Hacktivity (2),génterápia (2),fiziológia (2),természetes nyelvfeldolgozás (2),Reblog Sprint (2),bűnügy (2),Pécs (2),nyílt forrású információszerzés (2),webkamera (2),deep web (2),P2P (2),Netacademia (2),arcfelismerés (2),DDoS (2),Balabit (2),bűnüldözés (2),TOR (2),kulturális evolúció (2),ransomware (2),hitelesítés (2),SPF (2),Whatsapp (2),neuropszichológia (2),szabad információáramlás (2),FUD (2),DKIM (2),2-FA (2),bolyai-díj 2015 (2),molekuláris genetika (2),jövő (2),sudo (2),IDC (2),cyberbullying (2),social engineering (2),malware (2),tartalomszolgáltatás (2),meetup (2),facebook (2),reblog (2),videó (2),titkosítás (2),kutatás (2),epic fail (2),pedofília (2),netkultúra (2),nyelvtudomány (2),vírus (2),hírszerzés (2),iOS (2),farmakológia (2),szociálpszichológia (2),tanulás (2),biológia (2),gépház (2),bulvár (2),bug (2),Tinder (2),öröklődő betegség (2),Yandex (2),könyv (2),beszélgetés rögzítése (2),pszeudo-poszt (2),Twitter (2)

Vérciki hibát találtak a világ egyik vezető vírusirtójában magyar kutatók


antivírus Panda Silent Signal MD5 hash szájbarágó ITsec kriptográfiai függvényA Silent Signal kutatói hétfőn egy blogposztban számoltak be róla, hogy a világ egyik vezető biztonsági csomagja, a Panda Adaptive Defense 360 olyan hibát tartalmaz, amit kihasználva az antivírus motor simán megengedi rosszindulatú kód lefutását, ha az azt tartalmazó fájlt tévesen fehérlistára tette a víruskergető. A Silent Signal nem először mutat rá éppen olyan termékek hibáira, amik éppen informatikai rendszerek biztonságát kellene, hogy fokozzák.

Haladó felhasználók most ne olvassanak tovább, szájbarágó poszt következik, több helyen egyszerűsítésekkel.

Hogy mennyi kártékony kód létezik a világon, csak nagyságrendileg sejthető, egy eléggé megbízható forrás szerint az azonosított vírusok száma 2016-ban 600 millió körül járt és közel négyszázezer új rosszindulatú kód jelenik meg naponta, ugyan ezeknek egy jókora része korábbi vírusok polimorfjai.

A vírusirtók gyártói már régen olyan megoldásokat építettek a termékeikbe, amik nem csak ismert vírusok után keresnek, hanem például az éppen futtatott alkalmazások és szolgáltatások viselkedéséből következtetnek rá, hogy a gép vírusfertőzés áldozata lett. Emellett gyakori egy másik, igencsak megbízhatónak látszó megoldás az ún. fehérlisták összeállítása, azaz amikor a security suite telepítését követően a védelmi szoftverek megjegyzik, hogy mely fájlok futtathatóak anélkül, hogy különösen szaglászni kellene őket, hiszen így az egész kevésbé lassítja a gépet, akár egy végponti gépről, akár egy szerveroldali megoldásról van szó. Ilyenek például a Windows megszokott szolgáltatásai, gyakran használt alkalmazások, a fehérlista pedig később bővíthető egy-egy új alkalmazás telepítése után, jó esetben úgy, hogy a víruskergető azért előtte ehhez a felhasználó szives beleegyezését kéri.

Abban az esetben, ha az AV termék a fájlokat például önmagában a nevük alapján jegyezné meg és tenné fehérlistára, szinte értelmetlen lenne, hiszen a vírusok ezt kihasználva egyszerűen felülírnának egy legitim, fehérlistán lévő fájlt egy olyannal, ami rosszindulatú kódot tartalmaz, majd a fertőzött fájl legitimként futna le. Ezért a biztonsági termékek inkább elkészítik a fájl teljes ún. hash-lenyomatát és mindig ezt használja a fájl azonosítására. A hash-érték pedig függetlenül attól, hogy miből generálódott, állandó, de kis hosszúságú, például 128 bit.

Egyszerűsítve, ha az elindított alkalmazáshoz vagy szolgáltatáshoz tartozó fájl apró hash-értéke egyezik azzal, amit a víruskergető korábban tárolt, akkor futtatható, ami nyilván sokkal gyorsabb, mintha a teljes, akár több megabájtos fájlt tárolni kellene, majd az elejétől a végéig mindig megnézni, hogy egyezik-e a korábban tárolttal.

Ideális esetben természetesen egy adott tartalomhoz, jelen esetben egy fájl tartalmához csak egy hash-érték tartozhat illetve olyan hash-algoritmust használ egy jólnevelt szoftverrendszer, amit nem lehet csak úgy becsapni, hiszen ekkor a vírusok akár fehérlistás alkalmazásoknak is álcázhatnák magukat.

Viszont nyilván vannak erős, ugyanakkor rosszul leprogramozott vagy egyszerűen becsapható hash-algoritmusok, mint amilyen a Panda terméke által használt, eltéríthető MD5 algó.

A leginkább para pedig az az egészben, hogy egy olyan termékben, amelyik biztonsági csomagként azért lenne felelős, hogy biztosan azonosítsa a biztonságos és esetlegesen kártékony folyamatokat, ez simán eltéríthető, ahogy azt a Silent Signal egy videón keresztül be is mutatja.

Adja magát a kérdés, hogy akkor mégis miért használnak még biztonsági termékekben is MD5 algót valamilyen más helyett? Több lehetséges tippem is van, az egyik legerősebb érv talán a fejlesztői lustaság és megszokás, ami jelen van függetlenül attól, hogy biztonsági csomagot vagy valamilyen faék egyszerűségű appot kell fejleszteni.

Kép: blog.varonis.com

0 Tovább

Védelem abszolút kezdőknek a legveszélyesebb vírusok ellen


ITsec biztonság vírus vírusirtó ransomware felzárkóztatóMíg az előző posztomban inkább elméleti síkon foglalkoztam azzal, hogy hogyan előzhetőek meg a gép vagy akár a teljes céges hálózat adattartalmát letaroló vírusok okozta károk, ebben a posztban lépésről lépésre leírom, hogy az otthoni felhasználó mit tehet annak érdekében, hogy a legújabb keletű, ún. ransomware kártevőktől megvédje magát. A leírás persze nem lehet mindenre kiterjedő, másrészt ahogy az elcsépelt mondás is tartja „100%-os védelem nincs”. Valóban nincs száz százalékos védelem, viszont hiszem, hogy közel 100%-os viszont van. A cikk megírásakor feltételezem, hogy a felhasználó windowsos vagy OSX-es rendszert használ és nem kattint rá mindenre, amiről ordít, hogy valamilyen kártevőt tartalmaz.

Az első, hogy legyen a gépen valamilyen, kellően független szervezet által hatékonynak talált védelmi program, ami rendszereint magába foglalja magát az antivírus motort, egy kezdetleges szoftveres tűzfalat és egyébként funkciókat. Ezek többsége már jóideje nem csak a külső támadásoktól védik meg a felhasználókat, hanem önmaguktól is: azaz például sokszor esetben meg tudják fékezni a fertőzést akkor is, ha a felhasználó tudatlanságból kattintott egy emailen érkező, malware-t tartalmazó csatolt fájlra. Sokszor, de nem mindig! Nem szabad csupán a szoftveres védelmi megoldásra hagyatkozni.

Arról, hogy aktuálisan mik a világ legjobb végponti védelmi termékei, az http://www.av-comparatives.org/comparatives-reviews/ oldalról tájékozódhatunk, amik különböző szempontok szerint rendszeresen értékelik az AV termékeket. Több helyen lehetett olvasni, hogy a világ legjobb vírusirtóinak körülbelül a fele otthoni használatra ingyenes.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

A megállapítás igaz is és nem is. Mivel több terméknek csak a freemium verziója ingyenesen használható, azaz csak a legelemibb védelmi funkciókat látja el, abban az esetben, ha már komolyabb védelemre van szükség, licenszt kell vásárolni a termék teljes verziójához. Persze van, ahol a termék lényegében tényleg ingyenes otthoni felhasználásra, csupán a telefonos terméktámogatás igénybevételéhez van szükség licenszre.

Attól, hogy egy termék ingyenes, még lehet jó. Az AV-comparatives által ugyan nem jegyzett, Comodo Internet Security egy szokatlanul finomhangolható és kifinomult védelmi megoldás, a szolgáltatást pedig alighanem azért tudják ingyenesen biztosítani, mert a Comodo főprofilja nem a végfelhasználóknak szánt védelmi megoldások fejlesztése, viszont egy ilyen termék nagyban erősíti a cég brandjét. Hasonló üzleti modellel működő termékek vannak még bőven, az pedig már-már hitkérdés, hogy egy ingyenes termék lehet-e annyira hatékony, mint egy fizetős. A válasz egyszerűen az, hogy abban az esetben, hogy ha a cégnek van miből ingyen kínálható terméket fejleszteni, akkor lehetséges, az üzleti modell viszont rendszerint messze nem olyan világos, mint például a Comodo esetén.

Néhány évvel ezelőtt nem kis cirkusz volt belőle, amikor a fizetős Kaspersky a saját vírusdefiníciós adatbázisába [ami alapján a motor felismeri az új kártevőket] elhelyezett 10-15 kamu szignatúrát. Azaz olyan vírust jelző szignatúrát, ami alapján a termék vírusként ismert fel egyébként ártalmatlan fájlokat. Nem telt bele néhány hét, több ingyenes konkurens termék vírusdefiníciós adatbázisában ugyanezek a szignatúrák megjelentek, ami bizonyító erővel igazolta, hogy bizony az ingyenes gyártók némelyike energiatakarékosra fogta a figurát a fejlesztés során és egyszerűen kilopta a Kaspersky adatbázisából a szignatúrákat, ráadásul anélkül, hogy ellenőrizték volna, hogy azok tényleg malware-aktivitás jelei-e.

Amit még nagyon érdemes észben tartani, hogy teljesen mindegy, hogy mit mond a zöldséges, szomszéd, kolléga, haver azzal kapcsolatban, hogy mi a legbiztosabb AV-termék, sose higgyünk neki! Még azok, akik hivatásszerűen foglalkoznak számítógépes vírusok kutatásával, ők sem tudnak választ adni arra a kérdésre, hogy melyik a legjobb. Már csak azért sem, mert az antivírus motorok működése érthető módon titkos [hiszen ha nem lenne az, akkor a vírusok készítőinek sokkal könnyebb dolga lenne a víruskergetők kicselezésében], ami ráadásul rendszeresen változik, ahogy az AV-comparitives összehasonlításai is mutatják.

Másrészt erősen platformfüggő lehet, hogy egy AV-termék mennyire hatékony, általános tapasztalat, hogy az a víruskergető, ami windowsos környezetben kitűnően működik, OSX-en egyrészt csak vaktalálatokat ad, de azt nem képes kiszúrni, ha a felhasználó a Mac-jét a két ősellenségen, a Java alkalmazások futtatását lehetővé tevő Java futtatókörnyezet vagy Flash lejátszó egy elévült változatán keresztül jön pusztítani.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

a leghatékonyabbnak talált termékek ún. Real-World-tesztben


Amit érdemes figyelembe venni, a védelmi termék erőforrásigénye. Tudok olyanról, ami normálisan beállítva hatékony, de egy gyengébb gépen iszonyúan lassít mindent, lazább beállítás mellett pedig egyszerűen nem hatékony.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

különböző termékek erőforrásigénye

Érdemes figyelembe venni azt is, hogy a fejlettebb kártevők többsége nem a fertőzést követően azonnal pusztít, hanem lappang egy ideig, de bizonyos antivírus termékek simán beengedi a vírust, majd csak akkor kezdenek el vele foglalkozni, amikor az a memóriába töltődne, aztán akkor fékezik meg – ha tudják. Az, hogy egy bejutott kártevő jelenléte nem válik, azonnal nyilvánvalóvá azért veszélyes, mert pendrive-on és hálózati megosztásokon véletlenül szanaszét lehet fertőzni mindenkit, mielőtt a vírus bármilyen tényleges kárt is okozna.

A biztonsági mentés fontosságát nem lehet elégszer hangsúlyozni. Manapság minden további nélkül megtehetjük, hogy a fontos fájlokat feltöltjük egy olyan felhő alapú tárhelyre, aminek a kliensprogramját utólagosan leválasztjuk róla. Magyarul: például az Onedrive-on tárolt dokumentumokat feltöltjük a MEGA-ra, majd szépen kilépünk a MEGA-ból, aztán csak aztán nyúlunk hozzá legközelebb, amikor ténylegesen kell, míg a Onedrive továbbra is napi rendszerességgel fut – aminek adatait természetesen szintén gallyra vág egy ransomware, hiszen ha a fájlokat titkosítja a vírus, az elérhetetlenné tett fájlok fognak az Onedrive tárhelyen is megjelenni.

A másik megoldás, hogy veszünk egy hardveres titkosítást alkalmazó pendrive-ot, amire feltolunk minden dokumentumot, persze megjelölve, hogy a mentés mikor készült, aztán alaposan eltesszük és bízunk benne, hogy a következő mentésig nem lesz rá szükség. Több helyen lehet olvasni, hogy alternatív air-gapped, azaz hálózathoz kapcsolódó gépektől teljesen leválasztott adathordozóra, azaz például DVD-re is kiírhatjuk legfontosabb fájljainkat. Igen ám, ez viszont komolyan feladja a leckét, hogy a DVD-re írt adatot előzetesen mivel lenne érdemes titkosítani – már ha nem tesszük be egy méregdrága páncélszekrénybe - hiszen egy DVD-hez elvben mindenki hozzáfér.

Hacsak nincs bekapcsolva az oprendszeren és egyéb alkalmazásokon az automatikus frissítés – mert mondjuk az mindig akkor indulna el, amikor a legkevésbé érünk rá – rendszeresen ellenőrizzük a frissítéseket. A Windows verziók legális vagy nem crackelt, de nem legális, például nem aktivált változata közt sokszor annyi a különbség, hogy nem történik automatikus frissítés, viszont a frissítő elindításával a frissítés kézileg végrehajtható.

Itt megjegyzem, hogy míg sok-sok évvel ezelőtt relatív ritkább frissítés is elegendő volt, mára a szofisztikált kártevők olyan sebességgel terjednek, hogy több termék már néhány óránként vagy gyakrabban ellenőrzi, hogy jelent-e meg frissítés hozzá.

Vegyük figyelembe, hogy sajnos bárki lehet célzott támadás áldozata, hiszen már évek óta aki egy játékprogrammal elboldogul, ilyen-olyan készletekkel tud új, polimorf vírusokat vagy kémprogramokat írni, jó hír viszont, hogy az AV termékek ennek megfelelően nem csak szignatúra alapú felismerést, felhő alapú heurisztikát és hasonlókat használnak a valós idejű védelemnél, hanem a szokatlan alkalmazásokat is kiszúrják. Azaz egy kipaterolt ex, kirúgott alkalmazott vagy egyszerűen egy hülyegyerek könnyűszerrel tud ugyan személyre szólóan nekünk vírust vagy kémprogramot írni, szerencsére ezeket normális AV-termék fel is ismeri még akkor is, ha pontosan olyannal vírussal még nem találkozott.

Ne mások kárából tanuljunk, hanem ezeket az intézkedéseket tegyük rutinszerűvé, különben megeshet, hogy nem lesz az az IT-s szaki, aki helyre tudná állítani a bekövetkezett kárt egy adatvesztés után, ha pedig még mindig a világ egyik legveszélyesebb téveszméjében hinne, ami szerint az ő adataira senki sem kíváncsi, gondolja át a dolgot még egyszer. Nem csak arról van szó, hogy rossz esetben egy rosszakaró viheti az egész boltot, ami egy áltagos felhasználó gépén van, arra is gondolnunk kell, hogy például azok a levelet, amiket nekünk küldtek és kikerültek, a feladó részéről annak szellemében íródtak, hogy azt csak mi olvashatjuk el – vagy legalábbis nem a fél világ. Márpedig nem csak egy cég, hanem bárki, de tényleg bárki elszenvedhet olyan arcvesztést, ami miatt többen majd úgy gondolják, hogy nem küldenek emailt neki, ha ennyire képtelen vigyázni a saját adataira sem.

Behatóbban a vírusok világáról, legújabb fenyegetésekről az Antivirus Blogon.

0 Tovább

Műhiba, ami egy kórházban bármikor megtörténhet, egy normális cégnél soha


Milyen mulasztás történhet egy megyei kórházban következmények nélkül, amiért egy pénzintézetben fejek hullanának? Ransomware támadás áldozatául esett a veszprémi kórház a hétvége folyamán, ahogy arról többek közt az ATV is beszámolt.

A ransomware-ek a kártékony programok azon típusa, amelyik tipikusan email csatolmányaként érkezik, majd ha a felhasználó kellően ostoba hozzá, hogy az ismeretlen feladótól érkező, ordítóan gyanus csatolmányt megnyissa, a zsaroló program települ a gépre és a helyben tárolt felhasználói adatok elérhetetlenné tételén túl nem ritkán elérhetetlenné tesz minden mást is, amit csak lát: hálózati meghajtókon, megosztásokon keresztül szinte mindent. Teszi mindezt úgy, hogy egy valóban erős titkosítással titkosítja a felhasználó fájljait. Ha a felhasználónak nem voltak biztonsági mentései, lehetőleg air-gapped, azaz hálózatról leválasztott adathordozón az adatairól, így járt. A kártevő kedvesen felajánlja, hogy a fájlokat ismét elérhetővé teszi, akkor, ha a felhasználó váltságdíjat fizet értük. Az ATV-s riportban elhangzottal ellentétben a váltságdíjat sosem bankszámlaszámra kell utalni, hiszen az azonnal visszakövethető lenne, hanem a deep web jó öreg, jelen tudásunk szerint gyakorlatilag visszakövethetetlen keményvalutájában, bitcoinban kell fizetni.

Vannak olyan ransomware-variánsok, amik annyira kifinomultak, hogy figyelmeztetik a felhasználót rá, hogy idővel a váltságdíj folyamatosan duplázódik, ami fokozza a pszichikai hatást, a felhasználó pedig fizet, jó esetben pedig valóban visszakapja az elérhetetlenné tett adatait, amit azonban semmi sem garantál.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAhogy egy-egy gépen egyre nagyobb mennyiségű és egyre nagyobb értékkel bíró információ koncentrálódik, jól mutatja, hogy bizonyos zsaroló vírusok akár 2000 USD-nak megfelelő váltságdíjat is kérhetnek bitcoinban, nyilván teszik mindezt azért, mert bizony a felhasználók egy jókora részének már megér annyit az, hogy ne vesszen el végérvényesen az összes dokumentumuk, fotójuk, videójuk és egyéb fájljaik, amit valaha is készítettek, ha nincs róla biztonsági másolat.

A ransomware-ek terjedése olyannyira nem új jelenség, hogy az egyik kezdetleges változata már 2-3 évvel ezelőtt szabályosan letarolta a SOTE hálózatához tartozó több kutatócsoport gépparkját is, nem kímélve semmit, márpedig ha eleve költséges kísérleteket kell megismételni a biztonsági másolatok hiánya okán bekövetkező adatvesztés miatt, igencsak fájdalmas tud lenni.

A Debreceni Egyetemen nem túl rózsás a helyzet, ha külön körlevélben hívták fel a felhasználók figyelmét a múlt héten arra, amire korábban már számtalanszor, azaz hogy ne kattintsanak ész nélkül mindenre – persze ettől még fognak, egészen addig, amíg a saját bőrükön nem tapasztalják meg a kárt.

A helyzet már csak azért is igencsak súlyos, mert a vírusoknak olyan polimorfjai jelennek meg, amiket könnyen lehet, hogy az antivírus-termék nem fog kiszúrni azonnal, ráadásul ilyen vírus variánsok létrehozására még kitek is rendelkezésre állnak, azaz egy pusztító kártevő egy új változatának létrehozásához már már érteni sem kell a programozáshoz.

Visszatérve az eredeti hírre, túl sok konkrétum nem derül ki, nagyjából csak annyi, hogy valaki, feltehetően még csak nem is privilegizált, magasabb jogosultságokkal rendelkező felhasználó a veszprémi kórházban nem túl bölcsen megnyitotta mondjuk a nigériai főhercegtől érkező Viagrás árajánlatot, ami elég is volt hozzá, hogy földhöz vágja a teljes hálózatot, ezért a kórházi adminisztráció lényegi részét papír alapon kelljen végezni.

Kérdem én, miféle IT biztonsági házirend van érvényben egy olyan helyen, ahol egy mezei felhasználó hülyesége ekkora kárt tud okozni, de mégis? Ezek szerint vagy még nem hallottak a minimálisan szükséges jogosultságok elvéről, ami kimondja, hogy minden felhasználó egy adott rendszerben pontosan annyi jogosultságot kapjon, amennyi a tevékenysége elvégzéséhez szükséges, de egy grammnyival se többet vagy éppen hallottak az elvről, csak éppen betartani nem tudták. Mert feltehetően nem a rendszergazdák valamelyike vágta gallyra a hálózatot egy duplaklikkel, abban pedig szinte biztos vagyok, hogy azt, akinek a fertőzést köszönhetik, nemhogy felelősségre vonni nem tudják, de még azt sem tudják utólag megállapítani, hogy ki volt.

Ilyenkor körlevélben megy egy kis ejnye-bejnye, na meg figyelmeztetés azzal kapcsolatban, hogy tessék jobban vigyázni, az egység sugarú felhasználó pedig még mindig ott tart, hogy ő csak a munkáját végezné, erre jönnek ezek a csúnya számítógépes bűnözők, aztán izgalmasabbá teszik az életet. Hát nem! Amiatt, hogy ennyire tragikusan rossz a helyzet globálisan, a felhasználó is tehet. A felhasználók pedig nem veszik észre, hogy biztonságtudatosság nélkül használni a gépet olyan, mintha sosem zárnák a házuk, na meg kocsijuk ajtaját, mert csak az hibáztatható, aki betör a házba vagy elköti a verdát.

Kicsit előreszaladok – még néhány hónappal ezelőtt beszéltem egy, a hazai bankok informatikai biztonságával foglalkozókat tömörítő szervezet egyik vezetőjével, akit arról kérdeztem, hogy világos, hogy a felhasználók ennyire tompák voltak 10, 15 vagy 20 évvel ezelőtt, de hogy lehet, hogy ez gyakorlatilag semmit sem változott, csak éppenséggel ma már nem MSN-üzenetben jön az áldás, hanem Facebook-linkek formájában vagy email csatolmányként. Mire jött a válasz, amihez túl sokat nem is tudnék hozzátenni: miért feltételeznénk, hogy az emberek változnak?

És valóban: magatartástudományi ismereteim fényében röviden én is csak annyit tudok mondani, hogy a biztonságtudatos magatartást csak akkor lehet elvárni a felhasználóktól, ha tartanak a felelőtlenségük következményétől.

Általános összefüggés, hogy egy szervezetben minél inkább közvetlenül kifejezhető pénzben és minél látványosabb egy breachből adódó kár, a szervezetre annál szigorúbb standardok vonatkoznak, nem csak technikai szempontból, hanem emberi oldalról szintén. Gondoljunk csak a légi irányításban használatos szoftverrendszerekre vagy az ipari vezérlőrendszerekre, ahol egy-egy IT-politikával egybefüggő mulasztás, szoftverhiba vagy sikeres informatikai támadás emberéletekbe kerülhet, míg egy pénzintézet esetében is a szervezet saját bőrén érzi, ha az informatikai rendszerben meghibásodás történik.

Nem véletlen, hogy minden, úgymond rázósabb területen saját iparági standardokat alakítottak ki és tartatnak be annak érdekében, hogy az informatikai eredetű kockázatokat és károkat minimalizálják. Ezek a standardok annál inkább belemennek a részletekbe, minél inkább kritikus infrastruktúrát kell védeni. Hogy az Olvasó is képbe legyen: külön forgatókönyvek és szabályzatok deklarálják, hogy a biztonsági mentéseket hogyan kell kezelni, milyen szabályok vonatkoznak a biztonságos felhasználói azonosítására, a felhasználók magatartására, a szervezeten belüli információcsere részleteire és így tovább.

Ami viszont a lényeg: még a leginkább penge módon kidolgozott, sokezer oldalas szabályzatok sem érnének semmit abban az esetben, ha a szabályok megszegése nem lenne szankcionálva. Rémes leírni, de a felhasználók közt még azok is, akik egyébként a kockázatokkal tisztában vannak, nem értenek a szép szóból, a szabályok betartatása pedig a cég IT biztonságáért felelős CISO-k számára állandó, lassacskán már az egyik legfajsúlyosabb kihívást jelenti. Nem csoda, hiszen ha egy relatív alacsonyabb beosztásban lévő alkalmazott hibájából történik meg a baj, belső vizsgálatot, fegyelmit lehet indítani ellene, el lehet bocsátani, esetleg a törvény előtt is felelnie kell, viszont sokkal bonyolultabb a helyzet akkor, ha az, aki a hibát elköveti, középvezető vagy éppen felsővezető, akit érthetően nehezebb felelősségre vonni.

Ezen a területen a néhány évvel ezelőttihez képest jelentős fejlődés, hogy a CISO-k egyre több helyen már közvetlenül a menedzsmentnek számolnak be, ezen kívül a cégek felsővezetői is egyre nagyobb jelentőséget tulajdonítanak az informatikai biztonságnak.

Nemrég hallgattam egy kitűnő előadást azzal kapcsolatban, hogy egy nagy-nagy banknál hogyan is történik az informatikai incidensek kezelése és általában mik a tipikusan elkövetett hibák. Bizarr vagy sem, de megkísérlem összehasonlítani tényleg csak néhány ponton, hogy mik a legmarkánsabb eltérések a példánál maradva pénzintézeti környezetben működő IT infrastruktúrák üzemeletetése és használata, valamint sokkal köznapibb helyeken, azaz például kisvállalkozásoknál, közoktatási vagy felsőoktatási intézmények háza táján.

Felhasználói azonosítás

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Ha van valami, amivel napi rendszerességgel ki lehet kergetni a világból a rendszergazdát vagy a IT biztonsági főnökök, az egyik ez. Hiába a megfelelően erős jelszavakkal kapcsolatos ajánlások valamint konkrét előírások, nap, mint nap előfordul, hogy az egyik felhasználó a másiknak kényelemből odaadja a felhasználói nevét és jelszavát. Fájóan hosszú lenne boncolgatni, hogy elvi szempontból is miért hatalmas hiba illetve kockázat, még abban az esetben is, ha egy magáncélra használt, súlytalanabb webes szolgáltatásról lenne szó, nem még hogy valamilyen munkahelyi belépésről. Ha egy alkalmazott a másik nevében végez nem kívánt műveleteket vagy éppenséggel akaratlanul pont akkor fertőzi le a gépet valamilyen kémprogrammal, utólag nyilván megállapíthatatlan, hogy az egyik vagy  a másik alkalmazott hibázott, azaz kinek kellene elvinni a balhét. Pénzintézeti környezetben az ilyet szigorúan szankcionálják, ezen kívül további lépéseket építenek az azonosítási folyamatba a jelszó mellett, de én még olyanról nem nagyon hallottam, hogy valakit felelősségre vontak volna azért, mert a hozzáférési adatait kölcsönadta valakinek. Egyébként van pozitív példa is: az egyik nagy hazai egyetemen az ilyenért a felhasználó felkerült az informatikai szolgáltató központhoz, géptermekhez vezető hülyetáblára, ezen kívül be sem léphet egy ideig.

Ismertté vált szoftverhibák javítása, rendszeres frissítések

Ideális esetben az IT team amellett, hogy technikai szinten meghatározta a biztonsági házirendet [jogosultságok kiosztása szerepkörök szerint, tűzfalkonfiguráció, APT-védelem, stb.] néha rá is néz a tűzfal naplófájljaira és kiszúrja a gyanus műveleteket, amiket ma már fejlett naplóelemző alkalmazások segítenek. Ha pedig megtörtént a baj, például egy szoftverhibát kihasználva feltörték a céges aloldalt, nem csak visszaállítja azt az eredeti állapotába, hanem megszünteti azt a sebezhetőséget jelentő beállítást vagy szoftverhibát, ami azt lehetővé tette. Ehhez képest például a feltört weboldalak esetén a helyreállítás megtörténik ugyan, viszont a tartalomkezelő rendszerben benne marad ugyanaz a hiba, ami lehetővé tette a sikeres támadást egy kisebb szervezet esetén.

A néhány héttel ezelőtti előadásban viszont az is szóba került, hogy esetleg az IT-staff nagyon nem szivesen nyúl egy megtorpedózott alrendszerhez a helyreállítást követően, mivel tartanak a hibajavítás idejére eső kiesés következményeitől. Mivel egy komolyabb rendszerben egy hibát nem elég pusztán javítani, hanem a módosított rendszert teszteken, közelebbről, unitteszteken, rendszerteszteken, állapotátmenet-teszteken, keresztül kell ellenőrizni, ami sokszor akár több időt is igénybe vehet, mint maga a fejlesztés vagy a bugfix.

Azt pedig egy pillanatig se felejtsük el, hogy bizonyos rendszerek időleges kiesése az üzletfolytonosságot veszélyeztetnék, még néhány perces kiesés sem fogadható el. Márpedig hiába van tartalék rendszer arra az esetre, ha egy ilyen kritikus fontosságú rendszer leállna. A hibajavítás sokszor nem oldható meg leállítás és újraindítás nélkül, ha pedig a leállítás idejére a tartalék rendszert indítják el, az értelemszerűen ugyanazt a sebezhetőséget tartalmazza és azzal fog futni, a karbantartás ideje alatt így arra az időre a sebezhetőség is kihasználható. Akár a 22-es csapdája, nem? Nem csoda, hogy igen kackiás általános, de magas szintű vagy kimondottan iparági jellegzetességekre szabott protokollok vannak előírva az ilyen esetekre.  

A magas szintű informatikai biztonságot igénylő iparágakkal párhuzamosan persze kialakult azoknak a minősítéseknek a rendszere, ami sokszor beugró ahhoz, hogy valaki ilyen típusú feladatot lásson el. Ezek közül a legismertebbek az ISACA, az EC-Council, az Offensive Security certijei, vagy éppen a GIAC minsőítései, amiket megszerezni nem könnyű persze, viszont jóval nagyobb értékkel bírnak, mint a hagyományos tudományos fokozatok.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Másik gyakori hiba, a megfelelő biztonsági mentés hiánya

A biztonsági mentés, akár kézzel kell végezni, akár automatizálva van, amilyen lélekölő, annyira hasznos, ha egy megsérült rendszer adatait mentésből kell helyreállítani. A leggyakoribb probléma természetesen az, hogy nincs használható biztonsági mentés vagy éppenséggel van, de az annyira régi, hogy látta az élő Lenint, ilyen módon nem sokat ér. A legtöbb helyen nincs is policy azzal kapcsolatban, hogy a biztonsági mentést milyen gyakran, hogyan, kell elkészíteni, ahogy persze szankcionálva sincs, ha egy súlyos adatvesztés után az egyszeri rendszergazda nem tudja elvégezni a megfelelő helyreállítást. Banki környezetben természetesen ez is máshogy működik.

Ha mentésről van szó, mondanom sem kell, itt is egy nagyon szerteágazó, kérdések áradatát felvető témáról van szó. Például nem elegendő rendszeresen biztonsági mentéseket végezni, azok sértetlenségét, működőképességét is ellenőrizni kell.

Nincs vagy hiányosan van előírva, hogy a felhasználók hogyan kezelhetik az IT-eszközöket és magukat az információkat

Nem, most tényleg nem csak arra gondoltam, hogy a legócskább social engineering támadásokkal szemben is védtelen a cégek és közintézmények többsége.
Kicsit is normális helyen háztáji szerveren vagy megbízható privát felhőben történik a céges információk tárolása és kezelése, ahogy maga a céges kommunikáció is, ahogy a cloud technológiák évről évre egyre olcsóbbak váltak.

Annak ellenére, hogy a cégek az igényeknek megfelelően saját levelezéssel, tárhellyel, vagy akár komplett ERP-vel rendelkeznek, nagyon gyakori, hogy céges adatokat küldözgetnek át az alkalmazottak egymásnak kommersz, ingyenes levelezőrendszerekben, de olyat is hallottam már, hogy egy közösségi szolgáltatást használtak ilyenre. A rendszergazda, ha tud is róla, jó esetben legalább valamiféle képe van azzal kapcsolatban, hogy ez mekkora kockázattal jár, mégsem nagyon tud mit tenni ellene.

Mielőtt úgy gondolnánk, hogy csak a közvetlenül pénzzé tehető adatvagyon egy részét használó felhasználók jelentenek kockázatot a fegyelmezetlenségükkel, képzeljük el, hogy egy nagy szerkesztőség újságírója kényelemből valamilyen ingyenes kommersz levelezőrendszert használ, amikből meg sok esetben végképp nem nehéz észrevétlenül szivárogtatni az információt jelszólopással, kémprogrammal, akármivel, viszont mivel a postafiók nem a céges rendszerhez tartozik, a rendszergazdának esélye sincs észlelni ezt. Ebben az egyszerű példában képzeletbeli újságíró barátunk veszélybe sodorhatja az informátorait, lenyúlhatják a postafiókjából a mástól hozzá érkező kéziratokat és így tovább. Csak a fantázia szab határt annak, hogy mekkora kavar lehet abból, ha házon kívülre viszik a céges adatokat, mivel a felhasználók egyszerűen nem veszik figyelembe, hogy az nem az ő tulajdonuk, hanem a cégé!

Viszont nem egy esetet hallottam, amikor a céges eszközöket egyáltalán nem használták, ráadásul az egyik legnagyobb magyar, tartalomszolgáltatással foglalkozó cégénél. Ezt ismétcsak úgy lehetne kivédeni, ha következetesen szankcionálnák a cégen belül, ha valaki céges adatokat nem az arra fenntartott infrastruktúrán kezel. Ezen kívül persze, nagy szerepe van annak, hogy az alkalmazottak kapjanak biztonságtudatossági tréninget, már ahol egyáltalán tudják is, hogy mi az, még ha bizonyos szempontból egyre nehezebb is. Kevin Mitnick nem mondott nagy újdonságot azzal, amikor azt mondta, hogy a felhasználók a biztonsági előírásokat akkor fogják betartani, ha látják annak az értelmét. Viszont manapság már a támadások olyannyira szofisztikálttá váltak, hogy az az átlagos felhasználónak túl bonyolultak, amit csak úgy lehet kompenzálni, ha technikai módszerrel korlátozzák, hogy a felhasználó mit tehet meg és mit nem, ahogy írtam, a jogosultságok kiosztását meg kell, hogy előzze a szerepkörök pontos meghatározása.

Fontos megjegyezni, hogy ha a belső használatra szánt eszközök nem eléggé rugalmasak, stabilak és felhasználóbarátak, ahol ezt szankciómentesen megtehetik, az alkalmazottak Gmailt, Google Docst, Dropboxot és hasonló kommersz eszközöket fognak használni a céges adatok kezeléséhez is. Ezzel értelemszerűen menedzselhetetlenné válik a cég információáramlása, megnehezíti az incidensek vagy éppen az adatszivárgások, azaz DLP-k megelőzését kivizsgálását. Ráadásul ezek a közkeletű ingyenes szolgáltatások formálisan semmiféle felelősséget nem vállalnak a náluk tárolt felhasználói adatokért, az azok elvesztéséből adódó károkért, gyakorlatilag pedig egész egyszerűen nem elég biztonságosak. Nem, még akkor sem, ha a fél világ arról cikkezik, hogy azok.

Mit tehet mégis egy közepes méretű vállalat, amelyik nem foglalkoztathat CISO-t főállásban, a céges rendszergazda tehet szert csak úgy olyan szintű tudásra, mint egy CISO, ugyanakkor szeretné biztonságban tudni az általa kezelt információkat? Külső szakértőt megbízni mindenképp ajánlott, akivel együtt a házirendet ki tudják dolgozni és időnként felül is tudják vizsgálni.

Ez persze szubjektív, de szerintem a dolog legérdekesebb része, hogy hogyan építsenek a házirendbe olyan részt, ami kimondottan azzal foglalkozik, hogy az emberi tévedésből, mulasztásból, figyelmetlenségből vagy social engineering támadások kiküszöbölhetőek legyenek és azt tényleg mindenki tartsa be.

Ahogy írtam, annál hatékonyabb a megelőzés, minél inkább ismert a támadások kivitelezésének módja.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAmit rendkívül hasznosnak találtam a Social Engineering Penetration Testing – Executing Social Engineering Pen Test, Assessments and Defense kötet végén található cheat sheetet, ami kellő részletességgel, ugyanakkor áttekinthetően mutatja a social engineering támadások általános sémáját.

Idén jelent meg ebook formájában ingyenesen letölthető kiadványként a Navigating the Digital Age – The Definitive Cybersecurity Guide for Directors and Officers kötet, kimondottan cégvezetőknek, ami a legfrissebb tények tükrében foglalja össze az informatikai biztonság fontosságát.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Igen ám, csakhogy a cégek felsővezetői könnyen lehet, hogy nem szivesen futnak neki egy közel 400 oldalas könyvnek, így gyakorlati szempontból talán még jobbak azok a Dummies-füzetkék, amit különböző gyártók támogatásával jelentetnek meg rendszeresen és ugyancsak ingyenesen letölthetőek. Ha pedig a cégvezetők a szükséges mértékben értik a cég vérkeringését jelentő IT-rendszerek működését, jobban megértik egymást az informatikai csoporttal. Ilyen ingyenes kiadvány például a Cybersecurity for Dummies, a Network Security in Virtualized Data Centers for Dummies, a Mobile Security for Dummies, az Advanced Endpoint Protection for Dummies vagy éppen a Paloalto mellett a Fortinet által támogatott Dummies-könyvek, mint a Unified Threat Management for Dummies,
csak hogy a legfrissebb információkat tartalmazó kiadványokat említsem, amiket egy-egy elfoglalt cégvezető szivesebben vesz kézbe nyomtatva, mint egy jóval vaskosabb kiadványt.

Az IT-seknek szükséges könyvek ára sokszor be van építve egy-egy képesítés anyagába.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságA magyar nyelvű, frissen megjelent könyvek közül átfogó műként a Vállalati információs rendszerek műszaki alapjait találtam a legjobbnak, ugyan annak tartalma már túlmutat a menedzsment tagjai számára szükséges ismereteken.

3 Tovább

A vírusvédelem gazdaságtana és jövője - szájbarágó


"Melyik virtusirtó a legjobb? Amúgy olyan kellene, amelyik ingyenes is, tudod, én nem értek hozzá, csak az a lényeg, hogy menjen is." Ez egy igencsak gyakran felmerülő kérdés, amivel kapcsolatban, mielőtt megválaszolnám, gyorsan meg kell jegyeznem, hogy önmagában a vírusirtó, azaz végfelhasználói antivírus termék már jóideje édeskevés, olyat kell választani, ami tartalmaz tartalomszűrőt, személyi tűzfalat, és egyáltalán, minél több olyan funkciót valamilyen formában, amit nagy-nagy rendszerekben is alkalmaznak, csak itt kicsiben. Másrészt, ahogy arra kitérek, amellett, hogy nem lehet kijelenteni egy adott antivírus termékről, hogy a legjobb, azt meg pláne nem, hogy ha most hatékony, majd az lesz több hónap vagy év múlva is. 

mindeközben a világon a Fireeye animációján

Tételezzük fel, hogy az olvasó nem művelte ki magát malware analízis rejtelmeivel kapcsolatban, hanem átlag felhasználóként próbálja meg védeni a gépét a kártevőktől. A vírus, rootkit és malware kifejezéseket minden további nélkül használhatjuk rokon értelmű kifejezésként, a kártevők ezek csoportosítása mára már tényleg történeti az esetek többségében. 

Abban az esetben, ha valaki legalább megkérdezi, hogy melyik a legjobb AV-termék, a jobbik eset, a rosszabb, ugyan talán már kevésbé gyakori, amikor valaki azt vallja, hogy az ő víruskergetője aztán mindent felismer. 

Ahogy írtam, a normális végponti védelmi megoldás, azaz security suite nem csupán vírusirtó motorból áll, hanem tartalmaz olyan elemeket, amik szigorú értelembe véve nem az AV-termék részei ugyan, nyilvánvaló, hogy a gép biztonsága szempontjából legalább annyira fontosak. Például a legtöbb termék tartalmaz olyan funkciót, amelyik figyeli, hogy a felhasználó milyen webhelyet látogatna meg és ha azt észleli, ha olyan webhelyről van szó, amit korábban észlelt, mint kártékony webhely, jelzi ezt a felhasználónak - függetlenül attól, hogy a böngészőnek egyébként is van-e ilyen funkciója vagy sincs. 

 

a Kaspersky threat-mapje szerint sem jobb a helyzet

Hasonló módon, a security suitehoz gyakoran kapcsolódik valamilyen IPS vagy IDS megoldás, ha más nem, olyan, ami figyeli, hogy nem érkeznek-e esetleg töredezett adatcsomagok a hálózat felől vagy éppen egy alkalmazás nem akar-e olyan műveletet végrehajtani, ami egyébként végképp nem megszokott az adott környezetben. 

Maradva a klasszikus antivírus-termékekhez legközelebb eső szoftvereknél, az http://av-comparatives.org/ rendszeresen összeállít részletes elemzéseket különböző, végfelhasználók számára kínált AV-megoldásokkal kapcsolatban, ami nagy segítség lehet a választásban, de semmiképp se mondanám, hogy a konkrét választáshoz bőven elég, még akkor sem, ha a teszteket különböző szempontok alapján végzik el, amik egyikében azt nézik, hogy éles használat közben mennyire teljesít jól egy termék, megint másikban azt, hogy mennyire erőforrásigényes, mennyire strapálja a gépet, megint másik tesztben azt, hogy mennyi falspozitív találatot ad és így tovább. Többek közt azért nem lehet mindössze ennyi alapján dönteni, mert figyelembe kell venni a konrét környezetet, amiben a termék majd futni fog, másrészt van olyan termék, aminek helye lenne az összehasonlítások közt, de mégsincs fenn. Az alatt, hogy különböző környezetek figyelembe vétele, nem csak azt értem, hogy figyelembe kell venni a különböző teljesítményű gépeket, hanem azt is, hogy a felhasználó, amlyik használni fogja, mennyi előismerettel rendelkezik, azaz tudja-e hatékonyan használni a szoftvert olyan módon, hogy nem kell irritálóan sokat foglalkoznia vele, viszont a gépét is megfelelő biztonságban tudhatja, a termék az elvárható mértékben a háttérben, csendben végzi a feladatát és csak akkor rikácsol, amikor az tényleg indokolt. 

Másrészt figyelembe kell venni azt a nagyon kellemetlen tényt, hogy az a védelmi megoldás, ami most még a csúcson van, lehet, hogy néhány idő elteltével már gyalázatosan rosszul teljesít. Még a tavalyi Hacktivtyn Varga-Perke Bálint mutatta be azt az eszközt, amivel víruskergetők hatékonyságát vizsgálta, sokkoló, de több AV termék, mintha nem is lenne, a legfeltűnőbb behatolási kísérleteket sem észleli. 

Az tűnik logikusnak, hogy a legszélesebb körben ismert termékek biztosan a legjobbak is, holott ez nem igaz. Meggyőződésem, hogy több antivírus termék azért örvend nagyon nagy ismertségnek, mert sikerült eltalálnia az igencsak nehezen belőhető szintet a felhasználóbarát kialakítás és a hatékonyság közt. Ugyanis nyilván egy végponti termék beállítópaneljei nem lehetnek ijesztően bonyolultak a felhasználók számára, ebből viszont egyenesen adódik, hogy nem is lehet annyi mindent finomhangolni bennük. 

Platform, platform és platform... Korábban már meséltem róla, hogy amikor iMac-emet vagy a Macbookomat használom, mindkettőn fut több víruskergető is, amik ebben a környezetben nem vesznek össze egymással, de az OSX felhasználók döntő többsége még azzal sincs tisztában, hogy illene bekapcsolni a BSD-lelkű OSX beépített tűzfalát a rendszerbeállításoknál, ami többek közt egy nagyon precíz iptables-konfigurálást végez a háttérben. Víruskereső beállításáról eleve csak ez után van értelme egyáltalán beszélni. 

Sokszor a linuxos felhasználók a legsúlyosabbak, legvitaképtelenebbek olyan szempontból, hogy pusztán azért érzik magukat fenenagy biztonságban, mert valamelyik linux-disztrót használják. A közveszélyes mítosz, ami szerint a linux disztribúciók védettek a vírusokkal és vírus-jellegő kártevőkkel szemben, mindig is mítosz volt, arra pedig nincs általános recept, hogy milyen finomhangolást kell elvégezni egy Slackware vagy egy OpenSUSE disztrón azért, hogy az valóban eléggé biztonságosnak mondható legyen. Másrészt az is meggyőződésem, hogy a linux felhasználók többségének a gépét akár éveken keresztül is átjáróháznak lehetne használni anélkül, hogy abból bármit is észlelnének. 

Ami a Windows-t érintő kártevőket illeti, a drága felhasználó sokszor a legelemibb lépéseket sem teszi meg, mint például az oprendszer rendszeres frissítését. Persze abban az esetben, ha a Windows nem aktivált, nem legális forrásból származik, lehet, hogy az automatikus frissítés emiatt nem fog menni, viszont a MS update oldaláról minden esetben lecibálhatók a frissítések kézzel. Hogy mennyire nem érdekli a többséget a frissítés, arra amilyen szélsőséges, legalább annyira tanulságos eset, hogy a 2008-ban azonosított Conficker worm annak ellenére képes volt 6-7 évig a legelterjedtebb kártevők dobogós helyén maradnia, hogy a felhasználóknak egyetlen (!!) frissítést kellett volna telepíteniük ugyan, ami korrigálja azt a hibát, amit a kártevő kihasznált, de még ezt sem tették meg. A windowsos rendszerek alapértelmezett beállításai is persze általában veszélyesek, túl megengedőek, a tömegeknek szánt oprendszerre természetesen igaz, amit előbb írtam a védelmi termékekkel kapcsolatban, azaz a kényelem és a biztonság közti egyensúly megtalálása kulcs kérdés. 

Kényelem, azaz egyszerűség és a biztonság. Nos, igen. A saját Windowsomon olyan security suite fut, amivel mást biztos a világból ki lehetne kergetni, mert annyira bonyolultnak tűnhet beállítani, hozzáteszem, egyszer kell normálisan beállítani, aztán különösebben foglalkozni sem kell vele. 

Engem már riasztott el antivírus szoftver azzal, mert annyira halálosan bugyuta volt és alig lehetett benne valamit átállítani, ehhez képest persze, hogy ellentétben az általam használttal, a sokkal bénább fenn van az AV-comparatives listáján. Olyan megoldásoknál, ahol egyáltalán nem látni a motorháztető alá, idő kérdése, hogy a felhasználó mikor fog súlyos árat fizetni a kényelemért. Több AV-termék egészen elképesztő dolgokat enged meg magának, például többről kiderült, hogy az AV-motor beengedi a szignatúra alapon felismert vírust, de csak akkor csinál is vele valamit, ha azt valami futtatná, ami hajmeresztő blődség, mert kombinálva olyan módszerekkel, mint a felhő alapú heurisztika, azaz amikor a gép felküldi a szervernek a gyanusnak ítélt fájlt vizsgálatra vagy a viselkedés alapú heurisztika, ami azt vizsgálja, hogy egy folyamat végez-e valamilyen szokatlan műveletet, egyáltalán nem biztos, hogy kiszúrja a kártevő működését az AV-motor, azaz erre nem kellene támaszkodni, a szigorúbb beállítás viszont drámaian megnöveli a szoftver erőforrásigényét. 

Mi lehet tehát a megoldás, ha nem értesz hozzá? Az egyik, hogy bízol a rendszergazdában, amiből mondjuk nem következik egyenesen az, hogy kellő mélységben ő is érteni fog hozzá és nem arra gondolok, hogy képesített malware analyst vagy sem. Láttam már szép nagy szervezeteket, aminél olyan malware-védelmi megoldást vezettek be, amik veszett drágák voltak de legalább jó szarok, ami egészen addig nem tűnt fel senkinek, amíg nem tarolta le a fél világot mindenféle ransomware, azaz váltságdíjszedő malware.  

a Norse szerint sem rózsásabb a helyzet

A vírusvédelem tehát nem választható el az informatikai biztonság többi területétől, kérdezz olyat, aki ért hozzá, ha senki sincs a közelben, akkor marad az AV-comparatives, mint kiindulási pont. 

Hozzáteszem, első látásra gyanusnak tűnhet, hogy hogyan lehet a világ legjobb vírusirtói közt több olyan is, ami egyébként teljesen ingyenes, tipikusan otthoni használatra avagy mitől is ingyenes? Ami ingyenes, az nem feltétlenül rosszabb. A freemium termékeknél általában a felhasználó megkap mindent, vattacukorral-törökmézzel, aztán ha olyanra lenne szüksége, ami nyilván szintén kell, azaz például biztonságosabb netezést lehetővé tevő tartalomszűrő, akkor már a fizetős csomagot kell választania. 

Ami gyakran látott jelenség freemium termékeknél, hogy a freemium a teljes terméktől esetleg csak olyan funkciókban tér el, amik konkrétan irrevelánsak a konkrét felhasználó esetén. így például értelmetlen hatékony spamszűrést emlegetni akkor, ha a felhasználó nem levelezőklienst használt a levelezéshez, hanem webes felületen levelezik, ahogy az elsöprő többség. Gyakran látható és inkább csak a félelemre apelláló marketingszöveg az, hogy egy ilyen termék biztonságosabbá teszi a netes vásárlást, de az már nem derül ki, hogy hogyan. Ugyanis ha ismeretlen zugshopok látogatásánál nem figyelmezteti a felhasználót sem a védelmi termék, sem a böngésző, a felhasználót sem zavarja, hogy egy láthatóan vállalhatatlan helyen adja meg a bankkártyája adatait, akkor nyilván értelmezhetetlen biztonsági featureként az, hogy "biztonságosabb netes vásárlás". Ami még egy hangzatos favorit, az a parental control. Nem tudom, hogy ki hogy van vele, de nekem általában feltűnik, ha olyan webhelyre tévedek, ahol kábszit, kurvákat, fegyvert vagy gyilokpornót lehet rendelni illetve nézni, anélkül, hogy erre figyelmeztetne egy szoftver. Ha bárki úgy gondolná, hogy ez egy roppant hatékony megoldás azért, hogy a netező gyerekek biztonságba netezhessenek, van egy rossz hírem: az esetek többségében a gyerkőc körülbelül akkor már ki tudja lőni vagy meg tudja kerülni a parental controlt, mire megtanul olvasni. 

Ismét más freemium megoldásnál az ingyenes és a teljes verzió esetleg szinte semmiben nem különbözik egymástól leszámítva azt, hogy az egyikhez van támogatás, a másikhoz pedig nincs, ami lehet, hogy annyira nem tűnik fontosnak, de fogyasztói kultúrától függően vannak államok, ahol azok, akik tényleg csak használni akarják a gépet, a részletekkel pedig nem foglalkozni, inkább befizetnek pár garast évente, hogy valami szaki segítsen helyrepakolni a gépet telefonon vagy távoli bejelentkezésen keresztül, ha van valami probléma. Esetleg olyan termékről van szó, aminél a gyártó főprofilját nem is az AV és személyes tűzfal megoldások jelentik, hanem valami teljesen más, például nagyvállalati megoldások, az abból befolyó összeg egy részét költik arra, hogy end-user termékeket fejlesszenek ezzel erősítve a márka nevét és még így is simán megéri. 

Felhasználói tudatosság mindenek felett: tökéletes megoldás valószínűleg sosem lesz, mivel hiába jelzi ki egy védelmi termék, hogy egy emailen érkezett webcím gyanus vagy egy alkalmazás szokatlan műveletet hajtana végre, a felhasználó úgyis arra a gombra kattint, amelyikkel a felugró ablak leggyorsabban eltüntethető az útból. Ahogy a legtöbb helyen a felhasználók úgy gondolják, hogy a biztonság szavatolása csak az IT-sek dolga, úgy a legtöbb helyen az alkalmazottnak semmiféle kártérítést nem kell fizetnie olyan kárért, amit ők maguk okoztak, azaz például egy riasztás ellenére engedett lefutni egy ismeretlen alkalmazást vagy egy nyilvánvalóan scam emailben rákattintottak egy fertőzött webhelyre mutató hivatkozásra. 

Tudjátok mit? Nem csak rossz oldala van annak, hogy az utóbbi néhány hónapban két nagy magyar orvosi egyetemen is rommá fertőzték a gépparkot ilyen-olyan ransomware-ek, ezzel számos kutató dokumentumait végérvényesen gallyra vágva - holott ez megelőzhető lett volna. Ilyenkor mindig úgy gondoljuk néhányan, hogy ebből aztán már csak-csak tanulnak majd valamit az érintettek, még mindig jobb, mintha mondjuk 5 év múlva, egy még durvább malware szedi szét a házat, aminek az eredménye végülis nem kevés értékes kieső munkaóra. Amit sokan nem vesznek észre, hogy minden állami költségvetésű szerv végülis a közös kasszábból gazdálkodik akkor is, ha éppen megelőzhető vírusfertőzések után kutatási adatok helyreállításával szerencsétlenkednek az alatt az időt alatt, amit lehetne értelmesebben is tölteni. 

Valahogy ez a privát szektorban nagyon sok helyen nem kérdés, hogy beengedni egy vírust olyan módon, hogy az alkalmazott valamelyik művelettel eltér az informatikai biztonsági házirendtől, ugyanúgy következményeket von maga után, mintha véletlenül megöntözi forró csokival a céges projektort. Szent igazság, hogy a biztonságtudatosságot még mindig annál inkább veszik komolyan, minél közvetlenebb módon látható egy-egy incidens következtében adódó kár, legyen szó akár egy vírusfertőzésről, akár célzott támadásról

A security suite termékek jövője egyértelműen olyan irányba kell, hogy menjen, aminek a lényege, hogy a felhasználót önmagától védik meg több-kevesebb sikerrel, arra még jóideig nem lehet számítani, hogy a felhasználót tekintsük értelmes lénynek a géphasználat szempontjából, de ez nem a security suite-ok sajátossága. Ennek első látványos megjelenése a Windows-termékekben megjelenő UAC volt az OSX-eken pedig alapértelmezés szerint időről időre csökkentették a felhasználók jogosultságait avagy ahogy a művelt kínai mondaná, principle of least privilege

Ahogyan az is várható, hogy a végponti biztonsági programcsomagok piaca olyan módon fog diverzebbé válni, hogy az egyik futtatása a bevallottan az erősebb, a másik a gyengébb hardverrel rendelkező gépeken ajánlott, az egyik bolondbiztosabb, a másik kevésbé, de nagyobb finomhangolásra ad lehetőséget, illetve az egyre gyorsabb netes penetráció előnyeit kihasználva az egyik jobban támaszkodik a felhőre, a másik kevésbé. Ezen kívül várható, hogy azokon a helyeken, amiket kevésbé tartottak kritikusnak vírusvédelmi szempontból, a helyi rendszergazda vagy IT team bekeményít és valamilyen módon szankcionálja, ha egy alkalmazott hülyeségére vezethető vissza a sikeres fertőzés. 

A fenti animációkon az látható, ahogy egy-egy víruslabor, önmagát általában csupasz Windows XP-nek álcázó honeypot szerverét mennyi és milyen típusú támadás éri, ehhez adódnak még a felhasználók gépei által automatikusan elemzésre felküldött fájlokból és viselkedésmintákból származó adatok. 

könyv tipp: Szőr Péter - A vírusvédelem művészete; Hacking Exposed: Malwares and Rootkits  
térképek: Krebsonsecurity Blog, animáció meg van még, mondjuk itt

0 Tovább