Új Szó, 2006. július (59. évfolyam, 151-175. szám)
2006-07-12 / 159. szám, szerda
DIGITALIA 2006. július 12., szerda 10. évfolyam 26. szám Egy helyen az amerikai erkölcstelenek adatai Internetes szégyentábla Amíg a dolgozok cetlikre írjak jelszavaikat, és a monitorra ragasztják, addig nehéz biztonságról beszélni Rések, adathalászok, hackerek MT1-H1R Az adathalászati támadások terjedésével biztonsági szakemberek szerint újra előtérbe került az emberi hiszékenység kérdése, az informatikai rendszerekkel dolgozók képzése, oktatása. FELDOLGOZÁS Az emberi hiszékenység kihasználásán alapuló úgynevezett „social engineering” támadások évtizedek óta ismertek, többek között a híres-hírhedt hacker, Kevin Mit- nick is ezek alkalmazásával tudott behatolni különféle rendszerekbe. Az adathalászok is ezen módszert használják az internetezők átverésére, a korábban látott tömeges megkeresések mellett azonban egyre több célzott támadás is történik. Értelemszerűen hatékonyabb, ha több millió vakon címzett levél helyett kevesebbet, ám azt célzottan, informatikai vezetők, felelős beosztású személyek számára küldenek el. Ha eközben rafinált trükköket is bevetnek, akkor játszi könnyedséggel járhatnak túl a leendő áldozatok eszén. A legjobb példa egy az elmúlt hetekben történt eset, melynek során adathalászok egy pénzintézet informatikusának küldtek levelet: ügyfélnek adták ki magukat, aki látszólag a bank nevében kapott csalóktól származó üzenetet. A gyanúdan banki alkalmazottban pedig fel sem merült, hogy ót próbálják átverni, és rákattíntott az e- mailben található linkre, ahonnan egy trójai települt a számítógépére. Technikai szempontból súlyos mulasztások vezethettek ahhoz, hogy az adathalászok végül is hozzáférést szereztek egy belső rendszerhez. Hiszen ha minden javítás fel lett volna telepítve, és naprakészen tartott biztonsági szoftverek futottak volna a rendszeren, akkor egy böngészósebezhetőségen keresztül nem lett volna szabad megfertőzniük a számítógépet. Emellett a céges tűzfal sem engedhetett át egy ismeretien kapcsolatot - mégis az emberi természet és a hiszékenység volt a leggyengébb láncszem. A támadók kreativitása utat nyitott a bank számítógépeihez, és rávilágít arra, hogy a kényes adatokhoz hozzáférő személyeknek különleges oktatásban kell részesülniük, hogy felismerhessék és elháríthassák az ilyen incidenseket. A hackerek egyre leleményesebbek, egyre több fronton, újabbnál-újabb módszerekkel próbálnak támadni, és ezekre fel kell készülni. Az utólagos reagálás már nem megfelelő, intelligens módon kell elejét venni a támadásoknak, az ellenfél fejével kell gondolkozni. A social engineering típusú támadások ráadásul csak elindítják a lavinát, mely egy vállalati hálózat vagy rendszer teljes kompromittá- lódásához is vezethet. Napjainkban, mikor egyre több mobü eszközt, laptopot, PDA-t, pendrive- okat és vezeték nélküli készüléket használunk, akkor előtérbe kerül az ezek eltulajdonításával elérhető anyagi haszon is, ezért fokozottan védeni kell őket. Az USB-kulcsos támadásról korábbi cikkünkben már beszámoltunk, a vezeték nélküli hálózatok feltörése pedig sajnos mindennaposnak számít. A social engineering a felhasználók bizalmának manipulásáról szól: a hackerek aljas módon használják ki a hiszékenységet, és elérik, hogy az emberek senkiben se bízzanak meg. Gondoljunk csak a támadót áldozatnak gondoló banki informatikusra, vagy a magát telefonszerelőnek álcázó hackert beengedő portásra, a sort a végtelenségig lehetne folytatni. Biztonsági szakemberek szerint az informatikai rendszerek sebezhetőségei ugyan óriási problémákat okoznak, és megkönnyítik a támadók dolgát, azt azonban soha ne felejtsük el, hogy a hackerek a legkisebb ellenállás felé veszik útjukat. Ha egy telefonhívással megszerezhetik a rendszergazda jelszavát, akkor nem fognak napokat vagy akár heteket tölteni a rendszer sérülékeny pomjának keresésével. Sokak szerint a cégek nagy része megbukna egy olyan kísérleti támadás során, melynél social engineeringet alkalmaznak a biztonsági audittal megbízottak. Steve Stasiukonis, a Secure Network Technologies (SNT) alapítója szerint a pendrive-okkal végrehajtott akciójuk teljesen lehengerlő volt, és rávilágított arra, mennyire ki vannak szolgáltatva a céges hálózatok a dolgozóknak. Hiszen hiába üzemel behatolás jelző és elhárító rendszer, ha egy alkalmazott rádughat egy parkolóban talált USB-kulcsot a számítógépére, majd elindíthatja a rajta található programokat. Stasiukonis egy másüt megdöbbentő esetről is beszámolt: egy bank parkolójában megvárták a dgiszünetet, csatlakoztak a dolgozókhoz, és elmesélték, hogy elvesztették a belépőjüket. A jóhiszemű alkalmazottak pedig beengedték őket, ahol az egyik teremben szabad hálózati elérési pontot találtak, csatlakoztak, és rövid időn belül adminisztrátori jogokat szereztek. Amíg a dolgozók cetlikre írják jelszavaikat, és azokat a monitorra ragasztják, amíg nem zárolják a munkaállomásukat, amíg egy telefonos beszélgetés után hozzáférést engednek valakinek, addig nehéz biztonságról beszélni. Biometrikus (például ujjlenyomat, írisz, retina) azonosítással szinte teljesen ki lehetne küszöbölni a visszaéléseket, a bevezetés költségei azonban igen magasak lennének. A social engineering típusú támadások ellen gyakorlatilag lehetetlen védekezni, a megfelelő oktatás természetesen sokat számíthat. Ennél is fontosabb azonban, hogy az egyes alkalmazottak tényleg csak azokhoz a rendszerelemekhez és adatokhoz férhessenek hozzá, melyek a munkájukhoz feltétlenül szükségesek. Ez természetesen rengeteg kellemetlenséget okozhat, akár még a termelékenységet is visszavetheti, azonban jól behatárolt jogosultsági körökkel elejét vehetjük, hogy illetéktelen információhoz juthassanak. (Vírushíradó) Internetes szégyentáblára kerülnek az Egyesült Államokban a szexuális bűnözők lakcímei és személyi adatai. Jogvédő szervezetek attól tartanak, hogy ez az eljárás túlkapásokra vezethet. Oregon és Dél-Dakota múlt heti döntésével már mind az 50 szövetségi állam csatlakozott az országos honlaphoz, amely a szexuális bűn- cselekményekért elítélt személyek lakcímeit és más adatait tünteti fel, így személyleírást ad róluk, felsorolja a terhűkre rótt bűncselekményeket, és a birtokukban levő gépkocsi típusát is megadja. Az igazságügyi tárca meghatározása szerint a honlap valós idejű hozzáférést nyújt a nyüvánosság- nak a nemi bűnözők adataihoz országszerte egyetlenegy internetes kereséssel, lehetővé teszi a szülőknek és az aggódó állampolgároknak, hogy saját szövetségi államuk határain túl is tájékozódjanak a bűnelkövetőkről. Az adatbázis több FELDOLGOZÁS A Microsoft korábbi bejelentésének megfelelően július 11-étől megszünteti a Windows 98 operációs rendszer mindennemű támogatását, ami azt jelenti, hogy sem- müyen termékfrissítés nem jelenik már meg többé a szoftverhez. Az 1998 nyarán megjelent Win- dows-verzió terméktámogatása az eredeti ütemterv szerint már 2004 elején lezárult volna. Az idén nyolcéves operációs rendszert azonban akkor még nagyon sokan használták, ezért a Microsoft úgy döntött, mint félmillió szexuális bűnöző adatait tartalmazza, akiknek kötelező bejelenteni lakcímváltozásukat a helyi hatóságoknak. Alberto Gonzales igazságügyi miniszter helyi idő szerint hétfőn elhangzott nyüatkozatában kijelentette, hogy a nemi bűnözők országos nyüvántartásának létrehozása jó hír a szülőknek és a rend őreinek egyaránt. A gyerekek oltalmazása a szexuális bűnözőktől olyan állandó erőfeszítés, amely sosem ér véget - hangoztatta. Jogvédő szervezetek aggodalmaiknak adtak hangot amiatt, hogy a virtuális pellengér túlkapásokra, zaklatásra, önbíráskodásra adhat lehetőséget és ezért szorgalmazzák, hogy a honlapot csak bejelentkezéssel lehessen felkeresni. Nemrég Maine állam függesztette fel a szövetségi nyüvántartásban való részvételt, mivel bebizonyosodott: egy fiatalember a nyüvántar- tásból szerzett adatok alapján keresett fel, majd mészárolt le több korábbi szexuális bűnözőt. további két évig még ad ki frissítéseket a termékhez. A meghosszabbított támogatási határidő 2006. július 11-én ért véget: keddtől a szoftvercég már nem ad ki több biztonsági frissítést a Windows 98-hoz, ületve a szoftver Second Edition nevű változatához, valamint az arra épülő Windows Me verzióhoz. Mostantól a cég ügyfélszolgálatán sem lehet többé telefonos segítséget kérni az operációs rendszerrel kapcsolatos problémák esetén, bár a szoftverek weboldalái elérhetőek maradnak még legalább egy éven át. (o) Tegnaptól megszűnt mindennemű támogatás Meghalt Windows 98 Az, hogy a Windows titokban „hazaüzen", nagy felháborodást váltott ki a felhasználók körében, és a szoftver eltávolítására egy sor házi törés látott napvilágot A Windows már nem üzenget FELDOLGOZÁS A felhasználók felháborodásának nyomására a Microsoft kivette eredetiség-ellenőrző szoftveréből azt a funkciót, amely minden Win- dows-indításkor üzenetet küldött a szoftvercégnek. A Microsoft új verziót adott ki a Windows eredetiség-ellenőrző rutinjából, és részletes leírást adott ki arról, hogyan kell eltávolítani a szoftvert - adta hírül a News.com. A redmondi szoftvercég április végén öt országban - többek közt az Egyesült Államokban, Ausztráliában és az Egyesült Királyságban és Szlovákiában - kezdte el terjeszteni Windows XP operációs rendszer eredetiségét ellenőrző alkalmazását, a Windows Genuine Advantage Notificationst. A segédprogram véletlenszerűen kiválasztott felhasználók számítógépeire települt fel biztonsági javításokkal együtt, ha aktiválva volt az XP automata frissítési funkciója. Az viszont csak június elején derült ki, hogy a szoftver minden egyes rendszerindítás során megkísérli felvenni a kapcsolatot az interneten keresztül Microsoft központi szervereivel, bár a cég szerint „csupán” az IP-címet és a kapcsolódás időpontját továbbítja, más személyes vagy egyéb adatot nem. Az, hogy a Windows titokban „hazaüzen”, érthetően nagy felháborodást váltott ki a felhasználók körében, és a WGA Notifications eltávolítására egy sor házilag buhe- rált törés és kiegészítő látott napvilágot. A most kiadott friss változat automatikusan felülírja a korábban telepített tesztverziót, és nem tartalmazza a rendszeres visszajelző funkciót. Bár a Microsoft közzé tette a kézi eltávolítás módját weblapján, azt nem javasolja senkinek, és a WGA Notifications továbbra is ott lesz a frissítések között. A Microsoft tavaly indította el a magyarul eredeti Windows, valódi előny névre keresztelt programot, amelynek keretében a felhasználók csak regisztrált, jogtiszta operációs rendszerükhöz tölthetnek le olyan kiegészítéseket, mint a Windows Defender vagy a Media Player. A nem regisztrált másolatokhoz csak a kritikus biztonsági frissítéseket lehet letölteni.
