Szolgáltató adatai Help Sales ÁSZF Panaszkezelés DSA

About...

Napi betevő adag elírás, elütés és helyesírási hiba egy helyen! Amúgy meg #információbiztonság #webcserkészet néha #élettudomány

bardóczi ákos @post.r

blogavatar

minőségi kontent-egyveleg

RSS

cimketenger

ITsec (38),Facebook (18),privacy (17),egyéb (12),social media (11),itsec (11),social web (10),biztonság (9),mobil (8),Google (6),OSINT (6),jog (6),szellemi tulajdon (6),tudomány (6),magánszféra (6),szájbarágó (5),email (5),webcserkészet (5),molbiol (5),felzárkóztató (5),Nobel-díj (4),big data (4),Gmail (4),kultúra (4),terrorizmus (4),online marketing (4),kriminalisztika (4),plágium (4),webkettő (4),genetika (3),molekuláris biológia (3),pszichológia (3),azelsosprint (3),Android (3),biztonságpolitika (3),nyelvtechnológia (3),magatartástudomány (3),Apple (3),sajtó (3),2015 (3),orvosi-fiziológiai (3),élettudomány (3),gépi tanulás (3),jelszó (3),üzenetküldés (3),CRISPR (3),Onedrive (3),2-FA (3),popszakma (3),konferencia (3),levelezés (3),kriptográfia (3),reklám (3),biztonságtudatosság (3),hype (3),torrent (3),open source intelligence (3),neuropszichológia (2),Whatsapp (2),deep web (2),FUD (2),kulturális evolúció (2),nyílt forrású információszerzés (2),TOR (2),hitelesítés (2),titkosítás (2),Pécs (2),bűnügy (2),tweak (2),facebook (2),SPF (2),DKIM (2),bűnüldözés (2),DDoS (2),bejutas (2),videó (2),Reblog Sprint (2),természetes nyelvfeldolgozás (2),villámokosság (2),Hacktivity (2),Yoshinori Ohsumi (2),reblog (2),cyberbullying (2),arcfelismerés (2),ransomware (2),fiziológia (2),Netacademia (2),webkamera (2),szabad információáramlás (2),P2P (2),Balabit (2),cas9 (2),beszélgetés rögzítése (2),pszeudo-poszt (2),molekuláris genetika (2),bulvár (2),gépház (2),tartalomszolgáltatás (2),jövő (2),bolyai-díj 2015 (2),könyv (2),Tinder (2),öröklődő betegség (2),HR (2),sudo (2),Yandex (2),bug (2),nyelvtudomány (2),meetup (2),Twitter (2),tanulás (2),biológia (2),netkultúra (2),malware (2),IDC (2),social engineering (2),szociálpszichológia (2),kutatás (2),hírszerzés (2),iOS (2),vírus (2),farmakológia (2),pedofília (2),epic fail (2),génterápia (2)

Nem is etikus, nem is hekker, de egy sajtótermék sem maradhat le a dilivonatról...


BKK e-ticket ITsec sajtó felzárkóztatóAz a helyzet, hogy nem lehet kikerülni bizonyos hírekben megjelenő témákat, akkor sem, ha összeszorított farpofával szeretném, mert egyszerűen a csapból is az folyik. Képzelem, ahogy a műkörmös szalonban a szakértő hölgyek azzal kapcsolatban hüledeznek, hogy egy 18 éves diák jelentette a BKK e-ticket jegyvásárlását érintő sebezhetőséget, na jó, ez így bonyolult, inkább csak annyit mondanak egymás közt, hogy meghakkolták a Békákát, erre elvitték a zsaruk. Micsoda világban élünk, elviszik a hékek azt, aki csak segíteni akart. Nem röhögni! A 10 legolvasottab magyar sajtótermék szerintem ennél nem sokkal magasabb szinten tárgyalja vagy lényegében nem eltérő interpretációban tárgyalja a témát. De úgy fest, hogy még az IT-sek közt - na meg aki annak mondja magát - is sokaknál elszállt a séró', ezért gondoltam, hogy egy kicsit oszlatom a ködöt.

Miről is van szó ténylegesen?

A BKK és a T-Systems közösen egy netes jegyvásárlási rendszert vezetett be, aminek az alkalmazásában bennmaradt egy olyan hiba, amilyenre én tankönyvi hibaként szoktam hivatkozni, mert annyira triviális. Innentől kezdve úgy írom, hogy az a műkörmös is megértse, aki még nem látott forráskódot, az informatikában minimálisan is jártas műkörmösöktől pedig előre is elnézést kérek! Több hibáról van szó egyébként, a legegyszerűbbet fogom kivesézni. /*azt is pongyolán, amiért pedig azok elnézését kérem, akik értik, hogy miről van szó*/

Amikor egy alkalmazás/szolgáltatás/API adott típusú bemenő adatot, azaz például egy pozitív egész számot kér, mint amilyen pozitív egész egy BKK-bérlet ára forintban, akkor nyilván nem logikai értéket, negatív számot, éppenséggel a Despacito szám egyik sorát, mint sztringet, azaz karaktersorozatot fogja megkapni, hanem valóban pozitív egészet. Na már most, elvben nincs akadálya annak, hogy egy egész számot váró szolgáltatás más típusú adatot kapjon, viszont elemi, na még egyszer: _elemi_, hogy fel kell készíteni a szoftvert az ilyen eset kezelésére. Nyilván nem fordulhat elő véletlenül, hogy a rendszer a 9500, mint egész szám helyett /*egy havi bérlet ára forintban*/, a szerver felé - a továbbiakban: szerveroldalra - mondjuk a "Sí, sabes que ya llevo un rato mirándote" karaktersorozatot küldje vagy mondjuk egy logikai  értéket. Viszont kábé az első, ha nem nulladik dolog az, amit nem hogy egy éles üzembe állított rendszeren egy fekete kalapos hekkernek, fehér kalapos hekkernek vagy egy médiában kikiáltott balfácánnak kell ellenőriznie, hanem a tesztelőnek már az adott modulban ki kell szúrnia - módszertantól függően - mondjuk az unittesztelés során. És abban az esetben, ha azt észleli, hogy a fejlesztő annyira hülye volt, hogy egy ilyen egyszerű trükkre, azaz az adat on-the-fly átírhatóságára nem készítette fel a szoftver adott részét, alaposan dokumentálja, iszik egy felest, majd megpróbál egy kulturált levelet írni a fejlesztőnek, ami tartalmazza a javítással kapcsolatos instrukciókat /*részletekbe menően vagy kevésbé*/, aztán ez vagy sikerül européer stílusban vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóA leírt folyamatot, azaz azt, hogy egy szoftver ellenőrizze, hogy valid adatot kapott-e és nem egy nyári sláger első sorát karaktersorozat formátumban, esetleg egy olyan bitsorozatot /*nagy általánosságban fogalmazva*/, ami tetszőleges műveletet hajt majd végre a szerver oprendszerén vagy annak valamelyik szolgáltatásában röviden parserelésnek nevezzük, persze ez önmagában még mindig nem elég.

Azaz amellett, hogy leprogramozzák, hogy valami egész számot vár, biztosítani és ellenőrizni is kell, hogy oda csak egész szám kerülhet, majd továbbítódhat-e.

írok egy olyan sebezhetőséget, de én inkább tweaknek nevezném, ami gyakorlatilag dettó ugyanerre épül, pont az előző posztban írtam róla, csak én nem egy szaros jegyvásárlási rendszerrel csináltam meg, hanem a Facebookkal, másrészt nem azért, hogy én legyek egy hétig a nemzeti Robin Hood, hanem azért, mert praktikusnak találtam. A következőről van szó: a Facebook egész számokkal azonosítja a jogosultságokat - többek közt - azaz, hogy valaminek a láthatósága, eléghetősége Only me, Friends, Friends of Friends vagy Public/Everyone vagy egy általad definiált, ismerősöket tartalmazó lista. Azaz amikor a Facebookon beállítod, hogy ki jelölhet be ismerősnek, azaz "Who can send you friend requests?", akkor alapvetően egy egész számot továbbít és rögzít a rendszer. Évekkel ezelőtt észleltem, hogy éppen ennek az azonosítónak az átírásával a Facebook olyan beállítást is elfogad, aminek konkrétan nincs értelme, azaz például, hogy csak önmagamat jelölhetem ismerősnek, csak a barátaim jelölhetnek ismerősnek [nem is tudnak, mert eleve a ismerőseim ugye], de még olyat is, hogy az ismerőseim egy listában tárolt része jelölhet ismerősnek, ami ugye még elborultabb. Viszont minden ilyen szokatlan beállításnak az lett az eredménye, hogy konkrétan senki sem tudott ismerősnek jelölni - hál' Istennek - akit eléggé érdekesnek találtam, azt úgyis bejelöltem én. /*csak egy üres listába tartozó felhasználók "tudtak" ismerősnek jelölni*/ Mi történt? Az, hogy a Facebook nem ellenőrizte, hogy értelmes beállítást kap-e egyáltalán, azaz hogy csak olyanok jelölhetnek ismerősnek, akivel van közös ismerősöm vagy éppen mindenki. Ez a bemenet valószínűleg nem volt parserelve vagy parserelve volt ugyan, egyéb helyen eltolva. Az előző posztban írtam, hogy ezt a beállítást a mobilappon sikerült elállítanom, viszont az évekkel korábbi módszerrel visszaállítani nem sikerült, ami bosszantott pár percig, aztán nem érdekelt.

BKK e-ticket ITsec sajtó felzárkóztatóAmi a BKK jegyrendszerét érinti, meggyőződésem, hogy a legvadabb hibákat egymástól függetlenül több százan szúrták ki, mert annyira triviálisak. Volt és sejthetően még mindig van benne néhány sokkal súlyosabb hiba is, ami ennyire röviden nem magyarázható el Ádámtól-Évától. Nem világos, hogy mennyien jelentették a hibát, az igen, hogy végülis volt egy jól beazonosítható, 18 éves gyerek is, aki igen. Innentől különösen fontos egészében nézni az eseményeket, mert elképesztő zavar van a fejekben.

Nem tisztem megvédeni a T-Systems-t, és nincs is rá szükségük - bár ilyen PR mellett ki tudja - de szó sincs róla, hogy a nagy, gonosz, hülye, bugyirózsaszín IT-cég vagy épp a BKK szemétkedésből tett volna feljelentést, hanem azért, mert ilyenkor jogszabályi kötelessége feljelentést tenni! Igen, még akkor is, ha világos, hogy pont annak a 18 éves srácnak az évszázad hakkolásával' együtt a társadalomra való veszélyessége nem is mérhető. Mindemellett a T-Systems kríziskommunikáció szempontjából megbukott, alighanem senki sem mert időben beleállni a dologba azzal, hogy köszönik, hogy a hibát jelentették, de azért a feljelentést meg kellett tenniük. Akinek nem világos, hogy ez miért van így, annak fingja nincs róla, hogy hogyan működik ez az egész. Ami pedig a Készenléti Rendőrséget illeti - amelyiket ugyancsak nem kell megvédenem - onnantól kezdve, hogy érkezik hozzájuk egy ilyen feljelentés, nem gusztus dolga, hogy eljárnak vagy sem, hanem szintén a törvény betűjét követve kell eljárniuk, akkor is, ha az sajnos az adott esetben életszerűtlen és aránytalan intézkedést ír elő, mint amilyen az előállítás. Azt azért szögezzük le, hogy nem éjszaka jelentkezett a hatóság, hanem reggel 7-kor, nem rúgták rá az ajtót, hanem kopogtattak, ami pedig az előállítást illeti, senki sem gondolhatja komolyan, hogy vezetőszáron kellett volna bevinni a gyereket Hannibal-maszkban. Azaz a Rendőrség, amelyiknek a tagjai már teljesen megszokták, hogy általában teljesen igazságtalanul élcelődik rajtuk a plebs, ugyancsak jogszerűen jártak el.

Egészében az eljárás - ahogy egy, az Ibtv. /*aka 2013. évi L. törvény*/ megalkotásában részvevő ismerősöm megjegyezte, jogszerű volt, de szégyenletes.

Na most ami a sajtót illeti, az egész hírértékét az adta, hogy mégiscsak egy jókora céget mogyoróztak meg, a szoftver lefejlesztésében tényleg orbitálisan nagy hibák vannak, az már mindegy, hogy mik, lehet hülyézni és kész. Ilyen esetben egyetlen nagyobb sajtóorgánum sem teheti meg, hogy ne szálljon fel a dilivonatra és tolja a hülyeséget, ezen kívül szokásosan mindenki egyszerre lesz telekommunikációs szakjogász, na meg a műszaki etika szakértője egyszerre.

A szerencsétlen módon előállított csávó pedig nem is etikus, nem is hekker, ami pedig legalább ilyen fontos, hogy vagy eszelősen naiv volt vagy eszelősen hülye.

A bugreporting, azaz egy-egy sebezhetőség bejelentése már-már külön tudomány, már ha úgy akar valaki eljárni, hogy abból senkinek se származzon kára, ő is legyen jogilag védve, nem mellékesen pedig a felhasználók is, akiknek az adatai pont egy-egy ilyen pszeudo-full disclosure miatt kerülhettek veszélybe, már ha igaz, hogy még az e-ticketes ügyféladatbázis is lopható volt.

Azaz ha észlelünk egy hibát, akkor nem, nem ész nélkül, azonnal jelentjük saját néven, tök hülyén, hozzátéve, hogy Proof-of-Concept, a sebezhetőséget még ki is használtuk, hanem megkérdezzük a területen jártas jogászt, utánakotrunk, hogy milyen policy szerint érdemes a hibát jelenteni a konkrét esetben, ha meg minden kötél szakad vagy csak nincs cérnánk ilyen részletekkel tökölni, akár teljesen névtelenül jelentjük. Aztán ha még továbbra sem javítják, akkor jöhet a full disclosure, gusztus, na meg vérmérséklet kérdése, hogy mennyi idő várakozás után. Tipikusan egyébként már az nem egyértelmű, hogy a hibát hova lenne érdemes jelenteni, azaz hogyan érhető el a tényleges responsible contact, mert egy sima, ügyfélszolgálati címre küldött email biztos, hogy nem az. Nem nehéz rájönni, hogy az ügyfélszolgálatok nem ilyen típusú minősített adatokkal dobálóznak nap, mint nap, sok-sok kézen megy keresztül a bug részletes leírása, aztán jó esetben senki sem használja ki, aki olvasta. Például akinek az ügyfélszolgálatos véletlenül elmondja, aztán akinek elmondta vesz 1000 darab havi bérletet 10 forintért, ami pedig a bejelentést illeti, majd vagy eljut az illetékeshez vagy sem.

BKK e-ticket ITsec sajtó felzárkóztatóAkinek van egy csöpp esze szinte mindig úgy dönt, hogy nem tököl-kockáztat, ha hibát talál, eljuttatja annak a körnek, amelyik a legnagyobb valószínűséggel illetékes és nyugodtan alszik a bejelentő. Illetve amikor valami nagyon meredekről van szó, akkor olyat kell kérdezni előzetesen, aki meg tudja jósolni, hogy egy bejelentést követően mire lehet számítani.

Na most egy olyan világban, ahol az emberek már akkor sértve érzik a magánszférájukat, ha valaki, akivel ismerkednek netes társkeresőn vagy anonim fórumon, aztán meg meg vannak lepődve, ha a másik megtalálja őket a keresztnevük és a koruk vagy egy általuk kedvelt oldal vagy meglátogatott esemény alapján /*igen, ennyi pontosan elég hozzá*/, akkor se a jogalkotóktól, sem a megoldásszállító cégektől, se a sajtótól, se a hatóságoktól nem várható el, hogy életszerűen tudjanak kezelni egy ilyen helyzetet.

Konkrétan ebben az esetben senki se jöjjön azzal, hogy inkább jutalmazni kellett volna a srácot, mivel totálisan töketlen volt a hiba bejelentése, az eset valamire azért nyomatékosan felhívja a figyelmet. Mégpedig arra, hogy bárki, akár etikus hekker, akár advanced user, akár érdeklődő, ha rendelkezik olyan ismerettel, amivel az átlag felhasználó nem, inkább tartsa a dolgot titokban, de komolyan! Ugyanis ez akár igazságos, akár nem, de a többség totálisan félreérti az egészet, elég egy kommunikációs botlás és már megállíthatatlanul borul is az illetőre a trágyalé. Hogy mást ne mondjak, sokszor egy tényleges informatikai bűncselekmény kapcsán nem azon kerültek a lehetséges gyanusítottak körébe sokáig, akiknek érdekükben állhatott az elkövetése, hanem azok, akikről tudvalevő volt, hogy technikailag képesek rá, ami nettó őrület, de így van. A Google- és Facebook-fiókhardeningelős posztjaim után halomra kaptam a segghülye leveleket azzal kapcsolatban, hogy én mennyiért törnék fel ilyen-olyan accountot. Szóval ennyire nem értették meg néhányan, amiről azt hittem, hogy egyértelmű annak, aki nem analfabéta, nevezetesen, hogy a cikkek lényegi mondanivalója nem az, hogy hogyan törjünk FB-fiókot, hanem az, hogy hogyan csökkenthetjük a rizikóját annak, hogy megtörténjen. A gyógyszerész is tud mérget keverni, de aligha fog, hiába kéri tőle valaki jópénzért. Hasonlóan, aki tud hardeningelni, nyilván törni is, de nem fog.

Tudsz valamit? Tagadd le! De tényleg! És akkor nem fognak lehekkerezni meg összemosni mindenféle idiótával. Majd akkor lehet előhozakodni security- és privacy-related tudással, amikor az a közeg, amiben élünk, kellően érett lesz hozzá, addig inkább ne.

Na, én most megyek, keresek az utcában egy lakatosként dolgozó szomszédot, hogy este elmenjünk buliból betörni, aztán majd szelfizünk egyet a kinyitott ajtó előtt, szigorúan úgy, hogy látszódjon az utca és a házszám, majd töltjük is fel a Fészre, betaggelve a kerületi rendőrség oldalát...

kép: Knowyourmeme

26 Tovább

Nyelv, tudat, nyelvhasználat – első találkozásom az idegen nyelvvel


reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatNem sok nyomasztóbb téma van annál, mint az, hogy a magyarok mennyire gyengék átlagosan, ha idegen nyelvtudásról van szó. Nem csak a Magyarországon élő magyarok! Ha valaki alaposan szétnéz a tág ismeretségi körében, ideértve mondjuk a volt általános iskolai osztálytársak cikibb felét, nos, azok akik nem amiatt költöztek mondjuk Londonba, mert ott jobb lehetőséget találtak arra, hogy megvalósítsák valamelyik ötletüket, hanem azért, mert nem éppen irigyelni való melóval jobban keresnek, mint Magyarországon, azt találja, hogy hiába élnek kinn több éve, egyáltalán nem biztos, hogy megtanulták a helyi nyelvet. Igaz, hogy idegen nyelvterületen a nyelvtanulás valamennyivel könnyebb, azt viszont csak a full szenilis nagyik gondolhatják, hogy valaki azért tudott megtanulni egy idegen nyelvet, mert külföldön volt vagy hogy ki kell menni külföldre azért, hogy valaki szinte tökéletesen megtanuljon idegen nyelven. Mindkettő egy-egy önmagát makacsul tartó, ostoba és – amint be fogom mutatni: veszélyes – mítosz a nyelvtanulással kapcsolatban.

Az én ismereteim szerint ma még a nyelvtudomány számára sem világos, hogy egyáltalán a mindennapi kommunikáció hogyan bonyolítható le annyira gyenge, az általános iskolás szintűvel is alig összevethető nyelvtudással, mint amennyivel például magyarok – és persze más nemzetek fiainak – százezrei élnek például Londonban olyan helyeken, ahol kevésbé van szükség kommunikációra, azaz kétkezi munkások.

Imádom a nyelveket! A holland játékosságát, a francia diplomatikusságát, a spanyol rejtett kiterjedtségét és gazdagságát, az olasz paggogását, az angolban azt, hogy bármilyen szégyenletes bénasággal beszéli valaki, a lényeg érthető marad előttem, a japánban azt, hogy az elején semmit sem értesz belőle, aztán egy bizonyos ponton megvilágosodsz, csak legyen cérnád eljutni odáig, az oroszt és az [standardizált] arabot azért, mert ezekkel egy-egy teljesen, új addig ismeretlen világ nyílik meg, ami igaz a többi nyelvre is, de a legmarkánsabban ennél a kettőnél éreztem ezt.

Azért félreértés ne essen, ezeket nem beszélem is, mert valamilyen nyelvből nyelvvizsgát szerezni, egy [nem anyanyelvi] nyelvet olvasni és beszélni, valamint választékosan alkalmazni, nos, mind más-más műfaj.

De még mennyire, hogy más! Nem ritka, hogy még magyarul, a saját anyanyelvemen sem tudom normálisan szóban kifejezni magam, egy ideig érdekelt, hogy ennek lehet-e köze ahhoz, hogy régen dadogtam, mára már sokkal kevésbé foglalkoztat a kérdés. Aztán Csernus doktor legyen a talpán, aki megállapítja, hogy vajon a nyelvzabálással megpróbálom túlkompenzálni önmagam sok-sok év után, ha gimnáziumban az egyetlen tárgy, amiből sikerült buknom [egyszer félévkor] pont az angol volt vagy véletlenről van szó.

Ugyancsak szerencsétlen véletlen, hogy hogyan érintkeztem először az idegen nyelvvel az óvodában, majd általános iskolában, majd gimnáziumban hogyan vészeltem át azt, amit merészeltek nyelvoktatásnak nevezni.

Emlékszem, óvodás koromban a szülők egy része kitalálta, hogy legyen fakultatív nyelvtanulás, ami nem tűnik annyira hülye ötletnek, viszont maga a kivitelezés egész egyszerűen tragikus volt. Kezdeném ott, hogy mindegy, hogy milyen fakultatív programról van szó, az óvodás gyerekek egy része egyszerűen nem meri megmondani a szülőnek, ha utálja az elfoglaltságot, amire járatják, aminek több oka is lehet, ezért a szülőnek erre különösen oda kell figyelnie, hacsak nem akarja megkockáztatni, hogy ilyen miatt valamit a gyerkőc egy életre megutáljon. Máig emlékszem, hogy a német nyelvtanulás valami olyasmiből állt, hogy főnevek német nyelvű megfelelőit kell bemagolni 4-5 évesen, természetesen úgy, hogy semmilyen fogalmi keret nem volt, amibe az ovisok ezeket a fogalmakat el tudták volna helyezni, ami minden tanulási folyamatban kulcs tényező. A szülők viszont elvilloghattak vele, hogy az ő gyerekük milyen korán kezd nyelvet tanulni. Ami pedig az egész kivitelezésében totálisan elhibázott volt, hogy olyan szülők kérték az ovis nyelvtanítást, akik nem vagy csak minimális szinten használták az idegen nyelvet, ahogy az én szüleim is!

Fejlődéspszichológiából a modellkövetés a nyelvtanulásban betöltött szerepe eléggé jól ismert, ahogy az is, hogy gyakorlatilag nincs annyira kicsiny gyermek, amelyik ne szúrná ki, ha a felnőtt minta, akár szülői, akár más felnőtt, valamilyen szempontból nem hiteles. Márpedig itt olyan szülők – na nem csak a saját szüleim – szorgalmazták ez a módszertanilag és minden más szempontból messze elhibázott nyelvtanulósdit, akik nem beszéltek idegen nyelven. Innentől komolytalan a gyerek számára az egész, legyen akármilyen kicsi is. Amikor a szülők, az ovónénik, majd később az általános iskolai tanárok az idegen nyelv fontosságáról beszélnek, holott ők maguk sem tudnak semmilyen idegen nyelven, nem látja a gyerek, hogy idegen nyelvű lapokat olvasnának, idegen nyelvű adót néznének, hatalmas csorbát szenved a felnőttek hitelessége. A jelenség hatása majdnem annyira pusztító, mint amikor a kezdetleges drogprevenciós programokban a 60-70-80-as években, majd később is olyanok beszéltek tiniknek ostobaságokat a drogok hatásairól, akiknek fogalmuk nem volt az egészről. A gyerkőcök azt tapasztalták a környezetükben, hogy a bátyus néha elszív egy zöldet, mégsem őrül meg, a nővére lánybúcsúkra bespurizva megy csapatni, azaz a gyerekek tapasztalatai nem igazolták azt, amit a drogprevenciós elődadáson hallottak. A következmény pedig, kultúránként eltérő mértékben ugyan, de még annál is súlyosabb volt, mintha egyáltalán nem kerültek volna szóba az iskolában a drogok – mivel nemzedékek nőttek fel, akik hiteltelennek látták azt, amit a drogokról hallottak és akitől hallották az iskolákban, majd éppen ezért hajmeresztő kockázatoknak tették ki magukat. IMHO ennek isszuk a levét máig, csak éppenséggel államonként, kultúránként eltérő, hogy mennyire gyorsan tudták a rendkívül káros beidegződéseket helyrerakni. Ha úgy tekintünk a nyelvtudás hiányára, mint a mobilitás hiányára illetve a munkaerőpiaci elhelyezkedést nehezítő hatásra, nem túlzás azt mondani, hogy ennek a hatása nemzetgazdasági szinten alighanem a káros szenvedélyek által okozott kárral vethető össze!

Amikor jött az általános iskola, német nyelvet választottam, abból is vittem haza életem első elégséges osztályzatát, ami nem tudom, hogy engem sokkolt jobban vagy az eredetileg pedagógusként dolgozó szüleimet, akik mintadiákot akartak belőlem faragni. Nem túlzok, de kicsit traumatizált, mert miután az ellenőrzőbe bekerült az osztályzat, órákig bóklásztam a városban és azon görcsöltem, hogy otthon hogy fogom kidumálni a dolgot. Ami pedig a német tanárnénit illeti… Azt mondják, hogy az idő mindent megszépít. Körülbelül úgy, ahogy az ember farka élete végéig nő… Ha ma találkoznék vele, nem nagyon lenne más kérdésem, mint az, hogy mi a jóégnek tanított általános iskolában. Ugyanis ha van két dolog, amit a tanárnő nagyon gyűlölt, az egyik az általános iskolások, a másik pedig maga a tanítás, a legkisebb hiába komolyan az volt, hogy nem tudott németül, mivel egy orosz szakosból sürgősségi jelleggel átképezni próbált spiné volt, akinek a gondolatától nem csak a nyelvóra előtt, hanem már aznap reggeltől rendszeresen gyomorgörcsöm volt.

reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatGimnáziumban német és angol óráim voltak, a tanáraim jöttek-mentek és egyaránt akadt köztük tehetséges nyelvtanár és olyan is, aki tényleg komplett idióta volt, ezt a részt szerintem ugorjuk is át. Ja, azért annyira hirtelen ne. Ugyanis ami aztán tényleg feltette az i-re a pontot, ami a nyelvtanulást illeti, az a szóbeli érettségimen történt. A saját nyelvtanáromnál érettségiztem, aki adott egy tételt, amiben a rágógumigyártás történetéről volt egy rész, amit el kellett olvasni, majd saját szavakkal összefoglalni angol nyelven pár perccel később fejből. A dolog nem volt különösebben bravúros, mivel egyébként is jó és segítőkész tanár vizsgáztatott, de maga a felelet egyenesen szürreális volt. A vizsgáztató tanár mellett ugyanis ült egy másik nyelvszakos tanár, aki rendszeresen elröhögte magát, amikor belekezdtem egy-egy mondatba. Ismerős lehet a szituáció, amikor azt hiszed, hogy valaki ennyire kretén bunkó már nem lehet, aztán utólag esik le, hogy mégis. Felelet közben azt hittem egy ideig, hogy esetleg mögöttem lehet valami, ami annyira szórakoztató vagy szimplán csak bepiált az érettségi elnökkel, de gyorsan rá kellett jönnöm, hogy nem. Mindig akkor röhögött a képembe, amikor egy-egy elakadás után folytattam a feleletet. Tényleg rajtam röhögött! Ha van valami, amire nem számít senki 18 éves érettségiző lurkóként, na az alighanem az, hogy a szóbeli érettségije közben – amikor egyébként is van egy jóadag para – rajta röhög valaki, felelet közben.

Egyetemen persze nem volt mese, mint minden normálisabb helyen, a nyelvet egyszerűen tudni kell, különben eleve felkészülni sem lehet azokból a tárgyakból, amikből a jobb szakirodalom angol nyelven áll rendelkezésre.

Aztán összeszorított farpofával kerestem egy magán nyelvtanárt, aki lehet, hogy a többi tanítványánál sikerrel alkalmazta azt, hogy az Ezer kérdés, ezer választ című tematikus könyvből bemagoltat mondatokat, majd lecseszi őket, ha nem tudják pontosan visszamondani, nálam nem.

Nincs királyi út. Vagy mégis?

reblog sprint azelsosprint nyelv nyelvtanulás fejlődéspszichológia pszicholingvisztika felzárkóztató nyelvhasználatHa van még valami, ami makacsul tarja magát a nyelvtanulással kapcsolatos tévhitek közt, hogy csak megfeszített erővel, vérrel, verejtékkel lehet megtanulni egy idegen nyelvet. Szorgalom természetesen kell hozzá. Viszont más-más embernél más-más módszer lehet hatékony, amire viszont mindenkinek saját magának kell rájönnie. Ha ez megvan, onnantól kezdve már feszültségektől mentes a nyelvtanulás. Lomb Katóra utalnék, aki azt vallotta, hogy a nyelvtanulás hatékonysága nagyon nagy részben attól függ, hogy a nyelvvel kapcsolatos szorongásait mennyire tudja valaki félretenni.

Én a könyvesboltban választottam néhány nyelvkönyvet, ami nem tankönyv, de van benne kitöltögetős rész, ami nem hagyja, hogy a figyelmem alábbhagyjon gyakorlás közben, majd azokat töltögettem ki, így nem csak az íráskészségemet fejlesztettem, hanem ezzel párhuzamosan a szókincsem is bővült. Nekem ez vált be. Másoktól hallottam, hogy nekik az, ha idegen nyelvet néztek felirattal. Megint mások beszéltek ahogyan tudtak, majd folyamatosan korrigálták a saját hibáikat. Ami fontos, hogy nettó tévedés kiindulni abból, hogy egy idegen nyelvet azokkal a módszerekkel hatékonyan lehetne tanulni, mint az anyanyelvünket, ugyanis az a nyelv elsajátításának egy speciális esete – elég csak azokra a kisgyerekekre gondolni, akik olyan nyelvet tanulnak, amiben szinte nem is érdemes hagyományos nyelvtanulási módszerekkel szabályszerűségeket keresni [úgy tudni, hogy az európai aggyal legnehezebben tanulható nyelv az inuit eszkimó], a gyerek mégis megtanulja szabályosan használni. Ismét eloszlatok egy hiedelmet: a NYEST.hu ugyan már többször foglalkozott a témával, de nem létezik olyan, hogy legnehezebb nyelv, csupán annyi mondható egy nyelvről, hogy egy bizonyos kultúrával és anyanyelvvel rendelkező számára a legnehezebben értelmezhető és elsajátítható.

Egyébként a jól megválasztott nyelvkönnyel és munkafüzettel történő tanulás nekem mindig bejött, csak azt követően használtam a netet is a nyelvtanuláshoz, amikor már elértem egy bizonyos szintet.

A nem latin írásrendszerrel rendelkező nyelvek esetén a legelején persze szintén tagmondatokat érdemes megtanulni, sokkal nehezebb valamilyen fogalmi keretbe helyezni őket. Így például az orosz és az arab írásjeleit csak úgy tudtam megtanulni annyira, amennyire, hogy kivágott papírsablonokon, majd papírsablonok nélkül rajzoltam meg a különböző betűket, ahogyan tanultam írni általános iskolában is. Azonban itt is jól megfigyelhető, az elsődlegesség, mint sajátosság, nevezetesen az, hogy a cirill betűket még hosszas gyakorlás után is akaratlanul annak megfelelően formáltam egy idő után, ahogy a latin betűket írtam, ha azokban volt hasonlóság, ilyen például a latin b és az orosz

ь

 

Ha valakinek csak nehézkesen megy a nyelvtanulás, először érdemes átgondolni, hogy megfelelő módszer-e az, amivel egyáltalán próbálkozik. Ezt sajnos a nyelvtanárok többsége sem tudja, csupán azt, hogy általában, a diákok többségénél mi hatékony. Miután ez megvan, le kell vetkőzni a nyelvtanulással kapcsolatos félelmeket, majd úgy nekifutni a feladatnak.

Elképesztően sok ostobaságot hallottam és olvastam a nyelvtanulással kapcsolatban az utóbbi néhány évben, azaz legyünk mindig kellően szkeptikusak, amikor valaki meg akarja mondani a tutit azzal kapcsolatban, hogy mi is az igazi jó módszer. Hogy kinek mi, alighanem nagyban függ attól, hogy az idegen nyelvvel való első találkozása milyen volt. Akit behatóbban érdekel, hogy miért is teljesen más műfaj egy-egy nyelvet beszélni, írni és olvasni, főleg, ha nem az idegen nyelvünk, a fent jelölt könyveket tudom ajánlani.

Kép: Wikipedia

0 Tovább

Védelem abszolút kezdőknek a legveszélyesebb vírusok ellen


ITsec biztonság vírus vírusirtó ransomware felzárkóztatóMíg az előző posztomban inkább elméleti síkon foglalkoztam azzal, hogy hogyan előzhetőek meg a gép vagy akár a teljes céges hálózat adattartalmát letaroló vírusok okozta károk, ebben a posztban lépésről lépésre leírom, hogy az otthoni felhasználó mit tehet annak érdekében, hogy a legújabb keletű, ún. ransomware kártevőktől megvédje magát. A leírás persze nem lehet mindenre kiterjedő, másrészt ahogy az elcsépelt mondás is tartja „100%-os védelem nincs”. Valóban nincs száz százalékos védelem, viszont hiszem, hogy közel 100%-os viszont van. A cikk megírásakor feltételezem, hogy a felhasználó windowsos vagy OSX-es rendszert használ és nem kattint rá mindenre, amiről ordít, hogy valamilyen kártevőt tartalmaz.

Az első, hogy legyen a gépen valamilyen, kellően független szervezet által hatékonynak talált védelmi program, ami rendszereint magába foglalja magát az antivírus motort, egy kezdetleges szoftveres tűzfalat és egyébként funkciókat. Ezek többsége már jóideje nem csak a külső támadásoktól védik meg a felhasználókat, hanem önmaguktól is: azaz például sokszor esetben meg tudják fékezni a fertőzést akkor is, ha a felhasználó tudatlanságból kattintott egy emailen érkező, malware-t tartalmazó csatolt fájlra. Sokszor, de nem mindig! Nem szabad csupán a szoftveres védelmi megoldásra hagyatkozni.

Arról, hogy aktuálisan mik a világ legjobb végponti védelmi termékei, az http://www.av-comparatives.org/comparatives-reviews/ oldalról tájékozódhatunk, amik különböző szempontok szerint rendszeresen értékelik az AV termékeket. Több helyen lehetett olvasni, hogy a világ legjobb vírusirtóinak körülbelül a fele otthoni használatra ingyenes.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

A megállapítás igaz is és nem is. Mivel több terméknek csak a freemium verziója ingyenesen használható, azaz csak a legelemibb védelmi funkciókat látja el, abban az esetben, ha már komolyabb védelemre van szükség, licenszt kell vásárolni a termék teljes verziójához. Persze van, ahol a termék lényegében tényleg ingyenes otthoni felhasználásra, csupán a telefonos terméktámogatás igénybevételéhez van szükség licenszre.

Attól, hogy egy termék ingyenes, még lehet jó. Az AV-comparatives által ugyan nem jegyzett, Comodo Internet Security egy szokatlanul finomhangolható és kifinomult védelmi megoldás, a szolgáltatást pedig alighanem azért tudják ingyenesen biztosítani, mert a Comodo főprofilja nem a végfelhasználóknak szánt védelmi megoldások fejlesztése, viszont egy ilyen termék nagyban erősíti a cég brandjét. Hasonló üzleti modellel működő termékek vannak még bőven, az pedig már-már hitkérdés, hogy egy ingyenes termék lehet-e annyira hatékony, mint egy fizetős. A válasz egyszerűen az, hogy abban az esetben, hogy ha a cégnek van miből ingyen kínálható terméket fejleszteni, akkor lehetséges, az üzleti modell viszont rendszerint messze nem olyan világos, mint például a Comodo esetén.

Néhány évvel ezelőtt nem kis cirkusz volt belőle, amikor a fizetős Kaspersky a saját vírusdefiníciós adatbázisába [ami alapján a motor felismeri az új kártevőket] elhelyezett 10-15 kamu szignatúrát. Azaz olyan vírust jelző szignatúrát, ami alapján a termék vírusként ismert fel egyébként ártalmatlan fájlokat. Nem telt bele néhány hét, több ingyenes konkurens termék vírusdefiníciós adatbázisában ugyanezek a szignatúrák megjelentek, ami bizonyító erővel igazolta, hogy bizony az ingyenes gyártók némelyike energiatakarékosra fogta a figurát a fejlesztés során és egyszerűen kilopta a Kaspersky adatbázisából a szignatúrákat, ráadásul anélkül, hogy ellenőrizték volna, hogy azok tényleg malware-aktivitás jelei-e.

Amit még nagyon érdemes észben tartani, hogy teljesen mindegy, hogy mit mond a zöldséges, szomszéd, kolléga, haver azzal kapcsolatban, hogy mi a legbiztosabb AV-termék, sose higgyünk neki! Még azok, akik hivatásszerűen foglalkoznak számítógépes vírusok kutatásával, ők sem tudnak választ adni arra a kérdésre, hogy melyik a legjobb. Már csak azért sem, mert az antivírus motorok működése érthető módon titkos [hiszen ha nem lenne az, akkor a vírusok készítőinek sokkal könnyebb dolga lenne a víruskergetők kicselezésében], ami ráadásul rendszeresen változik, ahogy az AV-comparitives összehasonlításai is mutatják.

Másrészt erősen platformfüggő lehet, hogy egy AV-termék mennyire hatékony, általános tapasztalat, hogy az a víruskergető, ami windowsos környezetben kitűnően működik, OSX-en egyrészt csak vaktalálatokat ad, de azt nem képes kiszúrni, ha a felhasználó a Mac-jét a két ősellenségen, a Java alkalmazások futtatását lehetővé tevő Java futtatókörnyezet vagy Flash lejátszó egy elévült változatán keresztül jön pusztítani.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

a leghatékonyabbnak talált termékek ún. Real-World-tesztben


Amit érdemes figyelembe venni, a védelmi termék erőforrásigénye. Tudok olyanról, ami normálisan beállítva hatékony, de egy gyengébb gépen iszonyúan lassít mindent, lazább beállítás mellett pedig egyszerűen nem hatékony.

ITsec biztonság vírus vírusirtó ransomware felzárkóztató

különböző termékek erőforrásigénye

Érdemes figyelembe venni azt is, hogy a fejlettebb kártevők többsége nem a fertőzést követően azonnal pusztít, hanem lappang egy ideig, de bizonyos antivírus termékek simán beengedi a vírust, majd csak akkor kezdenek el vele foglalkozni, amikor az a memóriába töltődne, aztán akkor fékezik meg – ha tudják. Az, hogy egy bejutott kártevő jelenléte nem válik, azonnal nyilvánvalóvá azért veszélyes, mert pendrive-on és hálózati megosztásokon véletlenül szanaszét lehet fertőzni mindenkit, mielőtt a vírus bármilyen tényleges kárt is okozna.

A biztonsági mentés fontosságát nem lehet elégszer hangsúlyozni. Manapság minden további nélkül megtehetjük, hogy a fontos fájlokat feltöltjük egy olyan felhő alapú tárhelyre, aminek a kliensprogramját utólagosan leválasztjuk róla. Magyarul: például az Onedrive-on tárolt dokumentumokat feltöltjük a MEGA-ra, majd szépen kilépünk a MEGA-ból, aztán csak aztán nyúlunk hozzá legközelebb, amikor ténylegesen kell, míg a Onedrive továbbra is napi rendszerességgel fut – aminek adatait természetesen szintén gallyra vág egy ransomware, hiszen ha a fájlokat titkosítja a vírus, az elérhetetlenné tett fájlok fognak az Onedrive tárhelyen is megjelenni.

A másik megoldás, hogy veszünk egy hardveres titkosítást alkalmazó pendrive-ot, amire feltolunk minden dokumentumot, persze megjelölve, hogy a mentés mikor készült, aztán alaposan eltesszük és bízunk benne, hogy a következő mentésig nem lesz rá szükség. Több helyen lehet olvasni, hogy alternatív air-gapped, azaz hálózathoz kapcsolódó gépektől teljesen leválasztott adathordozóra, azaz például DVD-re is kiírhatjuk legfontosabb fájljainkat. Igen ám, ez viszont komolyan feladja a leckét, hogy a DVD-re írt adatot előzetesen mivel lenne érdemes titkosítani – már ha nem tesszük be egy méregdrága páncélszekrénybe - hiszen egy DVD-hez elvben mindenki hozzáfér.

Hacsak nincs bekapcsolva az oprendszeren és egyéb alkalmazásokon az automatikus frissítés – mert mondjuk az mindig akkor indulna el, amikor a legkevésbé érünk rá – rendszeresen ellenőrizzük a frissítéseket. A Windows verziók legális vagy nem crackelt, de nem legális, például nem aktivált változata közt sokszor annyi a különbség, hogy nem történik automatikus frissítés, viszont a frissítő elindításával a frissítés kézileg végrehajtható.

Itt megjegyzem, hogy míg sok-sok évvel ezelőtt relatív ritkább frissítés is elegendő volt, mára a szofisztikált kártevők olyan sebességgel terjednek, hogy több termék már néhány óránként vagy gyakrabban ellenőrzi, hogy jelent-e meg frissítés hozzá.

Vegyük figyelembe, hogy sajnos bárki lehet célzott támadás áldozata, hiszen már évek óta aki egy játékprogrammal elboldogul, ilyen-olyan készletekkel tud új, polimorf vírusokat vagy kémprogramokat írni, jó hír viszont, hogy az AV termékek ennek megfelelően nem csak szignatúra alapú felismerést, felhő alapú heurisztikát és hasonlókat használnak a valós idejű védelemnél, hanem a szokatlan alkalmazásokat is kiszúrják. Azaz egy kipaterolt ex, kirúgott alkalmazott vagy egyszerűen egy hülyegyerek könnyűszerrel tud ugyan személyre szólóan nekünk vírust vagy kémprogramot írni, szerencsére ezeket normális AV-termék fel is ismeri még akkor is, ha pontosan olyannal vírussal még nem találkozott.

Ne mások kárából tanuljunk, hanem ezeket az intézkedéseket tegyük rutinszerűvé, különben megeshet, hogy nem lesz az az IT-s szaki, aki helyre tudná állítani a bekövetkezett kárt egy adatvesztés után, ha pedig még mindig a világ egyik legveszélyesebb téveszméjében hinne, ami szerint az ő adataira senki sem kíváncsi, gondolja át a dolgot még egyszer. Nem csak arról van szó, hogy rossz esetben egy rosszakaró viheti az egész boltot, ami egy áltagos felhasználó gépén van, arra is gondolnunk kell, hogy például azok a levelet, amiket nekünk küldtek és kikerültek, a feladó részéről annak szellemében íródtak, hogy azt csak mi olvashatjuk el – vagy legalábbis nem a fél világ. Márpedig nem csak egy cég, hanem bárki, de tényleg bárki elszenvedhet olyan arcvesztést, ami miatt többen majd úgy gondolják, hogy nem küldenek emailt neki, ha ennyire képtelen vigyázni a saját adataira sem.

Behatóbban a vírusok világáról, legújabb fenyegetésekről az Antivirus Blogon.

0 Tovább

Műhiba, ami egy kórházban bármikor megtörténhet, egy normális cégnél soha


Milyen mulasztás történhet egy megyei kórházban következmények nélkül, amiért egy pénzintézetben fejek hullanának? Ransomware támadás áldozatául esett a veszprémi kórház a hétvége folyamán, ahogy arról többek közt az ATV is beszámolt.

A ransomware-ek a kártékony programok azon típusa, amelyik tipikusan email csatolmányaként érkezik, majd ha a felhasználó kellően ostoba hozzá, hogy az ismeretlen feladótól érkező, ordítóan gyanus csatolmányt megnyissa, a zsaroló program települ a gépre és a helyben tárolt felhasználói adatok elérhetetlenné tételén túl nem ritkán elérhetetlenné tesz minden mást is, amit csak lát: hálózati meghajtókon, megosztásokon keresztül szinte mindent. Teszi mindezt úgy, hogy egy valóban erős titkosítással titkosítja a felhasználó fájljait. Ha a felhasználónak nem voltak biztonsági mentései, lehetőleg air-gapped, azaz hálózatról leválasztott adathordozón az adatairól, így járt. A kártevő kedvesen felajánlja, hogy a fájlokat ismét elérhetővé teszi, akkor, ha a felhasználó váltságdíjat fizet értük. Az ATV-s riportban elhangzottal ellentétben a váltságdíjat sosem bankszámlaszámra kell utalni, hiszen az azonnal visszakövethető lenne, hanem a deep web jó öreg, jelen tudásunk szerint gyakorlatilag visszakövethetetlen keményvalutájában, bitcoinban kell fizetni.

Vannak olyan ransomware-variánsok, amik annyira kifinomultak, hogy figyelmeztetik a felhasználót rá, hogy idővel a váltságdíj folyamatosan duplázódik, ami fokozza a pszichikai hatást, a felhasználó pedig fizet, jó esetben pedig valóban visszakapja az elérhetetlenné tett adatait, amit azonban semmi sem garantál.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAhogy egy-egy gépen egyre nagyobb mennyiségű és egyre nagyobb értékkel bíró információ koncentrálódik, jól mutatja, hogy bizonyos zsaroló vírusok akár 2000 USD-nak megfelelő váltságdíjat is kérhetnek bitcoinban, nyilván teszik mindezt azért, mert bizony a felhasználók egy jókora részének már megér annyit az, hogy ne vesszen el végérvényesen az összes dokumentumuk, fotójuk, videójuk és egyéb fájljaik, amit valaha is készítettek, ha nincs róla biztonsági másolat.

A ransomware-ek terjedése olyannyira nem új jelenség, hogy az egyik kezdetleges változata már 2-3 évvel ezelőtt szabályosan letarolta a SOTE hálózatához tartozó több kutatócsoport gépparkját is, nem kímélve semmit, márpedig ha eleve költséges kísérleteket kell megismételni a biztonsági másolatok hiánya okán bekövetkező adatvesztés miatt, igencsak fájdalmas tud lenni.

A Debreceni Egyetemen nem túl rózsás a helyzet, ha külön körlevélben hívták fel a felhasználók figyelmét a múlt héten arra, amire korábban már számtalanszor, azaz hogy ne kattintsanak ész nélkül mindenre – persze ettől még fognak, egészen addig, amíg a saját bőrükön nem tapasztalják meg a kárt.

A helyzet már csak azért is igencsak súlyos, mert a vírusoknak olyan polimorfjai jelennek meg, amiket könnyen lehet, hogy az antivírus-termék nem fog kiszúrni azonnal, ráadásul ilyen vírus variánsok létrehozására még kitek is rendelkezésre állnak, azaz egy pusztító kártevő egy új változatának létrehozásához már már érteni sem kell a programozáshoz.

Visszatérve az eredeti hírre, túl sok konkrétum nem derül ki, nagyjából csak annyi, hogy valaki, feltehetően még csak nem is privilegizált, magasabb jogosultságokkal rendelkező felhasználó a veszprémi kórházban nem túl bölcsen megnyitotta mondjuk a nigériai főhercegtől érkező Viagrás árajánlatot, ami elég is volt hozzá, hogy földhöz vágja a teljes hálózatot, ezért a kórházi adminisztráció lényegi részét papír alapon kelljen végezni.

Kérdem én, miféle IT biztonsági házirend van érvényben egy olyan helyen, ahol egy mezei felhasználó hülyesége ekkora kárt tud okozni, de mégis? Ezek szerint vagy még nem hallottak a minimálisan szükséges jogosultságok elvéről, ami kimondja, hogy minden felhasználó egy adott rendszerben pontosan annyi jogosultságot kapjon, amennyi a tevékenysége elvégzéséhez szükséges, de egy grammnyival se többet vagy éppen hallottak az elvről, csak éppen betartani nem tudták. Mert feltehetően nem a rendszergazdák valamelyike vágta gallyra a hálózatot egy duplaklikkel, abban pedig szinte biztos vagyok, hogy azt, akinek a fertőzést köszönhetik, nemhogy felelősségre vonni nem tudják, de még azt sem tudják utólag megállapítani, hogy ki volt.

Ilyenkor körlevélben megy egy kis ejnye-bejnye, na meg figyelmeztetés azzal kapcsolatban, hogy tessék jobban vigyázni, az egység sugarú felhasználó pedig még mindig ott tart, hogy ő csak a munkáját végezné, erre jönnek ezek a csúnya számítógépes bűnözők, aztán izgalmasabbá teszik az életet. Hát nem! Amiatt, hogy ennyire tragikusan rossz a helyzet globálisan, a felhasználó is tehet. A felhasználók pedig nem veszik észre, hogy biztonságtudatosság nélkül használni a gépet olyan, mintha sosem zárnák a házuk, na meg kocsijuk ajtaját, mert csak az hibáztatható, aki betör a házba vagy elköti a verdát.

Kicsit előreszaladok – még néhány hónappal ezelőtt beszéltem egy, a hazai bankok informatikai biztonságával foglalkozókat tömörítő szervezet egyik vezetőjével, akit arról kérdeztem, hogy világos, hogy a felhasználók ennyire tompák voltak 10, 15 vagy 20 évvel ezelőtt, de hogy lehet, hogy ez gyakorlatilag semmit sem változott, csak éppenséggel ma már nem MSN-üzenetben jön az áldás, hanem Facebook-linkek formájában vagy email csatolmányként. Mire jött a válasz, amihez túl sokat nem is tudnék hozzátenni: miért feltételeznénk, hogy az emberek változnak?

És valóban: magatartástudományi ismereteim fényében röviden én is csak annyit tudok mondani, hogy a biztonságtudatos magatartást csak akkor lehet elvárni a felhasználóktól, ha tartanak a felelőtlenségük következményétől.

Általános összefüggés, hogy egy szervezetben minél inkább közvetlenül kifejezhető pénzben és minél látványosabb egy breachből adódó kár, a szervezetre annál szigorúbb standardok vonatkoznak, nem csak technikai szempontból, hanem emberi oldalról szintén. Gondoljunk csak a légi irányításban használatos szoftverrendszerekre vagy az ipari vezérlőrendszerekre, ahol egy-egy IT-politikával egybefüggő mulasztás, szoftverhiba vagy sikeres informatikai támadás emberéletekbe kerülhet, míg egy pénzintézet esetében is a szervezet saját bőrén érzi, ha az informatikai rendszerben meghibásodás történik.

Nem véletlen, hogy minden, úgymond rázósabb területen saját iparági standardokat alakítottak ki és tartatnak be annak érdekében, hogy az informatikai eredetű kockázatokat és károkat minimalizálják. Ezek a standardok annál inkább belemennek a részletekbe, minél inkább kritikus infrastruktúrát kell védeni. Hogy az Olvasó is képbe legyen: külön forgatókönyvek és szabályzatok deklarálják, hogy a biztonsági mentéseket hogyan kell kezelni, milyen szabályok vonatkoznak a biztonságos felhasználói azonosítására, a felhasználók magatartására, a szervezeten belüli információcsere részleteire és így tovább.

Ami viszont a lényeg: még a leginkább penge módon kidolgozott, sokezer oldalas szabályzatok sem érnének semmit abban az esetben, ha a szabályok megszegése nem lenne szankcionálva. Rémes leírni, de a felhasználók közt még azok is, akik egyébként a kockázatokkal tisztában vannak, nem értenek a szép szóból, a szabályok betartatása pedig a cég IT biztonságáért felelős CISO-k számára állandó, lassacskán már az egyik legfajsúlyosabb kihívást jelenti. Nem csoda, hiszen ha egy relatív alacsonyabb beosztásban lévő alkalmazott hibájából történik meg a baj, belső vizsgálatot, fegyelmit lehet indítani ellene, el lehet bocsátani, esetleg a törvény előtt is felelnie kell, viszont sokkal bonyolultabb a helyzet akkor, ha az, aki a hibát elköveti, középvezető vagy éppen felsővezető, akit érthetően nehezebb felelősségre vonni.

Ezen a területen a néhány évvel ezelőttihez képest jelentős fejlődés, hogy a CISO-k egyre több helyen már közvetlenül a menedzsmentnek számolnak be, ezen kívül a cégek felsővezetői is egyre nagyobb jelentőséget tulajdonítanak az informatikai biztonságnak.

Nemrég hallgattam egy kitűnő előadást azzal kapcsolatban, hogy egy nagy-nagy banknál hogyan is történik az informatikai incidensek kezelése és általában mik a tipikusan elkövetett hibák. Bizarr vagy sem, de megkísérlem összehasonlítani tényleg csak néhány ponton, hogy mik a legmarkánsabb eltérések a példánál maradva pénzintézeti környezetben működő IT infrastruktúrák üzemeletetése és használata, valamint sokkal köznapibb helyeken, azaz például kisvállalkozásoknál, közoktatási vagy felsőoktatási intézmények háza táján.

Felhasználói azonosítás

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Ha van valami, amivel napi rendszerességgel ki lehet kergetni a világból a rendszergazdát vagy a IT biztonsági főnökök, az egyik ez. Hiába a megfelelően erős jelszavakkal kapcsolatos ajánlások valamint konkrét előírások, nap, mint nap előfordul, hogy az egyik felhasználó a másiknak kényelemből odaadja a felhasználói nevét és jelszavát. Fájóan hosszú lenne boncolgatni, hogy elvi szempontból is miért hatalmas hiba illetve kockázat, még abban az esetben is, ha egy magáncélra használt, súlytalanabb webes szolgáltatásról lenne szó, nem még hogy valamilyen munkahelyi belépésről. Ha egy alkalmazott a másik nevében végez nem kívánt műveleteket vagy éppenséggel akaratlanul pont akkor fertőzi le a gépet valamilyen kémprogrammal, utólag nyilván megállapíthatatlan, hogy az egyik vagy  a másik alkalmazott hibázott, azaz kinek kellene elvinni a balhét. Pénzintézeti környezetben az ilyet szigorúan szankcionálják, ezen kívül további lépéseket építenek az azonosítási folyamatba a jelszó mellett, de én még olyanról nem nagyon hallottam, hogy valakit felelősségre vontak volna azért, mert a hozzáférési adatait kölcsönadta valakinek. Egyébként van pozitív példa is: az egyik nagy hazai egyetemen az ilyenért a felhasználó felkerült az informatikai szolgáltató központhoz, géptermekhez vezető hülyetáblára, ezen kívül be sem léphet egy ideig.

Ismertté vált szoftverhibák javítása, rendszeres frissítések

Ideális esetben az IT team amellett, hogy technikai szinten meghatározta a biztonsági házirendet [jogosultságok kiosztása szerepkörök szerint, tűzfalkonfiguráció, APT-védelem, stb.] néha rá is néz a tűzfal naplófájljaira és kiszúrja a gyanus műveleteket, amiket ma már fejlett naplóelemző alkalmazások segítenek. Ha pedig megtörtént a baj, például egy szoftverhibát kihasználva feltörték a céges aloldalt, nem csak visszaállítja azt az eredeti állapotába, hanem megszünteti azt a sebezhetőséget jelentő beállítást vagy szoftverhibát, ami azt lehetővé tette. Ehhez képest például a feltört weboldalak esetén a helyreállítás megtörténik ugyan, viszont a tartalomkezelő rendszerben benne marad ugyanaz a hiba, ami lehetővé tette a sikeres támadást egy kisebb szervezet esetén.

A néhány héttel ezelőtti előadásban viszont az is szóba került, hogy esetleg az IT-staff nagyon nem szivesen nyúl egy megtorpedózott alrendszerhez a helyreállítást követően, mivel tartanak a hibajavítás idejére eső kiesés következményeitől. Mivel egy komolyabb rendszerben egy hibát nem elég pusztán javítani, hanem a módosított rendszert teszteken, közelebbről, unitteszteken, rendszerteszteken, állapotátmenet-teszteken, keresztül kell ellenőrizni, ami sokszor akár több időt is igénybe vehet, mint maga a fejlesztés vagy a bugfix.

Azt pedig egy pillanatig se felejtsük el, hogy bizonyos rendszerek időleges kiesése az üzletfolytonosságot veszélyeztetnék, még néhány perces kiesés sem fogadható el. Márpedig hiába van tartalék rendszer arra az esetre, ha egy ilyen kritikus fontosságú rendszer leállna. A hibajavítás sokszor nem oldható meg leállítás és újraindítás nélkül, ha pedig a leállítás idejére a tartalék rendszert indítják el, az értelemszerűen ugyanazt a sebezhetőséget tartalmazza és azzal fog futni, a karbantartás ideje alatt így arra az időre a sebezhetőség is kihasználható. Akár a 22-es csapdája, nem? Nem csoda, hogy igen kackiás általános, de magas szintű vagy kimondottan iparági jellegzetességekre szabott protokollok vannak előírva az ilyen esetekre.  

A magas szintű informatikai biztonságot igénylő iparágakkal párhuzamosan persze kialakult azoknak a minősítéseknek a rendszere, ami sokszor beugró ahhoz, hogy valaki ilyen típusú feladatot lásson el. Ezek közül a legismertebbek az ISACA, az EC-Council, az Offensive Security certijei, vagy éppen a GIAC minsőítései, amiket megszerezni nem könnyű persze, viszont jóval nagyobb értékkel bírnak, mint a hagyományos tudományos fokozatok.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Másik gyakori hiba, a megfelelő biztonsági mentés hiánya

A biztonsági mentés, akár kézzel kell végezni, akár automatizálva van, amilyen lélekölő, annyira hasznos, ha egy megsérült rendszer adatait mentésből kell helyreállítani. A leggyakoribb probléma természetesen az, hogy nincs használható biztonsági mentés vagy éppenséggel van, de az annyira régi, hogy látta az élő Lenint, ilyen módon nem sokat ér. A legtöbb helyen nincs is policy azzal kapcsolatban, hogy a biztonsági mentést milyen gyakran, hogyan, kell elkészíteni, ahogy persze szankcionálva sincs, ha egy súlyos adatvesztés után az egyszeri rendszergazda nem tudja elvégezni a megfelelő helyreállítást. Banki környezetben természetesen ez is máshogy működik.

Ha mentésről van szó, mondanom sem kell, itt is egy nagyon szerteágazó, kérdések áradatát felvető témáról van szó. Például nem elegendő rendszeresen biztonsági mentéseket végezni, azok sértetlenségét, működőképességét is ellenőrizni kell.

Nincs vagy hiányosan van előírva, hogy a felhasználók hogyan kezelhetik az IT-eszközöket és magukat az információkat

Nem, most tényleg nem csak arra gondoltam, hogy a legócskább social engineering támadásokkal szemben is védtelen a cégek és közintézmények többsége.
Kicsit is normális helyen háztáji szerveren vagy megbízható privát felhőben történik a céges információk tárolása és kezelése, ahogy maga a céges kommunikáció is, ahogy a cloud technológiák évről évre egyre olcsóbbak váltak.

Annak ellenére, hogy a cégek az igényeknek megfelelően saját levelezéssel, tárhellyel, vagy akár komplett ERP-vel rendelkeznek, nagyon gyakori, hogy céges adatokat küldözgetnek át az alkalmazottak egymásnak kommersz, ingyenes levelezőrendszerekben, de olyat is hallottam már, hogy egy közösségi szolgáltatást használtak ilyenre. A rendszergazda, ha tud is róla, jó esetben legalább valamiféle képe van azzal kapcsolatban, hogy ez mekkora kockázattal jár, mégsem nagyon tud mit tenni ellene.

Mielőtt úgy gondolnánk, hogy csak a közvetlenül pénzzé tehető adatvagyon egy részét használó felhasználók jelentenek kockázatot a fegyelmezetlenségükkel, képzeljük el, hogy egy nagy szerkesztőség újságírója kényelemből valamilyen ingyenes kommersz levelezőrendszert használ, amikből meg sok esetben végképp nem nehéz észrevétlenül szivárogtatni az információt jelszólopással, kémprogrammal, akármivel, viszont mivel a postafiók nem a céges rendszerhez tartozik, a rendszergazdának esélye sincs észlelni ezt. Ebben az egyszerű példában képzeletbeli újságíró barátunk veszélybe sodorhatja az informátorait, lenyúlhatják a postafiókjából a mástól hozzá érkező kéziratokat és így tovább. Csak a fantázia szab határt annak, hogy mekkora kavar lehet abból, ha házon kívülre viszik a céges adatokat, mivel a felhasználók egyszerűen nem veszik figyelembe, hogy az nem az ő tulajdonuk, hanem a cégé!

Viszont nem egy esetet hallottam, amikor a céges eszközöket egyáltalán nem használták, ráadásul az egyik legnagyobb magyar, tartalomszolgáltatással foglalkozó cégénél. Ezt ismétcsak úgy lehetne kivédeni, ha következetesen szankcionálnák a cégen belül, ha valaki céges adatokat nem az arra fenntartott infrastruktúrán kezel. Ezen kívül persze, nagy szerepe van annak, hogy az alkalmazottak kapjanak biztonságtudatossági tréninget, már ahol egyáltalán tudják is, hogy mi az, még ha bizonyos szempontból egyre nehezebb is. Kevin Mitnick nem mondott nagy újdonságot azzal, amikor azt mondta, hogy a felhasználók a biztonsági előírásokat akkor fogják betartani, ha látják annak az értelmét. Viszont manapság már a támadások olyannyira szofisztikálttá váltak, hogy az az átlagos felhasználónak túl bonyolultak, amit csak úgy lehet kompenzálni, ha technikai módszerrel korlátozzák, hogy a felhasználó mit tehet meg és mit nem, ahogy írtam, a jogosultságok kiosztását meg kell, hogy előzze a szerepkörök pontos meghatározása.

Fontos megjegyezni, hogy ha a belső használatra szánt eszközök nem eléggé rugalmasak, stabilak és felhasználóbarátak, ahol ezt szankciómentesen megtehetik, az alkalmazottak Gmailt, Google Docst, Dropboxot és hasonló kommersz eszközöket fognak használni a céges adatok kezeléséhez is. Ezzel értelemszerűen menedzselhetetlenné válik a cég információáramlása, megnehezíti az incidensek vagy éppen az adatszivárgások, azaz DLP-k megelőzését kivizsgálását. Ráadásul ezek a közkeletű ingyenes szolgáltatások formálisan semmiféle felelősséget nem vállalnak a náluk tárolt felhasználói adatokért, az azok elvesztéséből adódó károkért, gyakorlatilag pedig egész egyszerűen nem elég biztonságosak. Nem, még akkor sem, ha a fél világ arról cikkezik, hogy azok.

Mit tehet mégis egy közepes méretű vállalat, amelyik nem foglalkoztathat CISO-t főállásban, a céges rendszergazda tehet szert csak úgy olyan szintű tudásra, mint egy CISO, ugyanakkor szeretné biztonságban tudni az általa kezelt információkat? Külső szakértőt megbízni mindenképp ajánlott, akivel együtt a házirendet ki tudják dolgozni és időnként felül is tudják vizsgálni.

Ez persze szubjektív, de szerintem a dolog legérdekesebb része, hogy hogyan építsenek a házirendbe olyan részt, ami kimondottan azzal foglalkozik, hogy az emberi tévedésből, mulasztásból, figyelmetlenségből vagy social engineering támadások kiküszöbölhetőek legyenek és azt tényleg mindenki tartsa be.

Ahogy írtam, annál hatékonyabb a megelőzés, minél inkább ismert a támadások kivitelezésének módja.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságAmit rendkívül hasznosnak találtam a Social Engineering Penetration Testing – Executing Social Engineering Pen Test, Assessments and Defense kötet végén található cheat sheetet, ami kellő részletességgel, ugyanakkor áttekinthetően mutatja a social engineering támadások általános sémáját.

Idén jelent meg ebook formájában ingyenesen letölthető kiadványként a Navigating the Digital Age – The Definitive Cybersecurity Guide for Directors and Officers kötet, kimondottan cégvezetőknek, ami a legfrissebb tények tükrében foglalja össze az informatikai biztonság fontosságát.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonság

Igen ám, csakhogy a cégek felsővezetői könnyen lehet, hogy nem szivesen futnak neki egy közel 400 oldalas könyvnek, így gyakorlati szempontból talán még jobbak azok a Dummies-füzetkék, amit különböző gyártók támogatásával jelentetnek meg rendszeresen és ugyancsak ingyenesen letölthetőek. Ha pedig a cégvezetők a szükséges mértékben értik a cég vérkeringését jelentő IT-rendszerek működését, jobban megértik egymást az informatikai csoporttal. Ilyen ingyenes kiadvány például a Cybersecurity for Dummies, a Network Security in Virtualized Data Centers for Dummies, a Mobile Security for Dummies, az Advanced Endpoint Protection for Dummies vagy éppen a Paloalto mellett a Fortinet által támogatott Dummies-könyvek, mint a Unified Threat Management for Dummies,
csak hogy a legfrissebb információkat tartalmazó kiadványokat említsem, amiket egy-egy elfoglalt cégvezető szivesebben vesz kézbe nyomtatva, mint egy jóval vaskosabb kiadványt.

Az IT-seknek szükséges könyvek ára sokszor be van építve egy-egy képesítés anyagába.

ransomware zsaroló vírus ITsec biztonsági házirend felzárkóztató céges informatikai biztonságA magyar nyelvű, frissen megjelent könyvek közül átfogó műként a Vállalati információs rendszerek műszaki alapjait találtam a legjobbnak, ugyan annak tartalma már túlmutat a menedzsment tagjai számára szükséges ismereteken.

3 Tovább

Népszínház utca: mémügyi felzárkóztató villámposzt


Még mielőtt rátérnék a kezdő email forensicsre, egy kis netkultúra egyenesen a Népszínház utcából, hogy hangulatba hozzak mindenkit: avagy mémriadó és változatok egy témára - csakis a legjobbak!

Poposan!  

Rockosan!

Star warsosan!

Skrillexesen!

Metálosan!

Ace venturás

0 Tovább