Hirdetés

Biztonságos élet a neten és azon kívül



|

A közösségi oldalak térhódításával a magánéletünk is fokozottan az internetre terelődik, közben pedig a szokásaink mit sem változtak. Ha hosszú digitális életet szeretnénk, akkor változtatnunk kell hozzáállásunkon, gyakorlatunkon.

Hirdetés

Netezni kell, de nem veszélytelen, leginkább az internet kapcsolat által vagyunk kiszolgáltatva különféle támadásoknak. De még ha el is szigetelnénk magunkat, egy hardverhiba vagy baleset akkor is tönkre teheti digitális életművünket. Alapvetően fontos ezért, hogy valamiképpen biztonságban tudhassuk adatainkat.

 

Menteni a mentendőt


Természetesen az érdektelen adatokat felesleges védeni: ilyenek például az internetről letöltött ingyenes telepítőkészletek, amelyeket bármikor könnyen újra beszerezhetünk. Fontosabbak azok a személyes állományok - tipikusan a fotók és videók -, amelyekhez megismételhetetlen emlékek kötődnek, valamint ilyen a személyes levelezésünk is. Ezek elvesztése szomorúságra adna okot, de vannak kifejezetten kényes információk, amelyek rossz kezekbe kerülve erkölcsi vagy üzleti kárt okozhatnak, így mindenképpen védendők. Senki sem szeretné, ha esetleg hosszú hónapok, évek munkájával készült dolgozata, üzleti terve vagy akár regénye más kezében kamatozna. Általában tehát különféle állományokat kell megvédenünk az enyészettől - azaz a háttértár meghibásodásától - és az illetéktelen hozzáféréstől.


Hogy a tartalom ne kerülhessen illetéktelenek kezébe, ahhoz azt el kell határolni és lehetőleg titkosítani kell. Első esetre legjobb példa a noteszgép, illetve a Windows jelszava, amelyet meg kell adnunk ahhoz, hogy bejussunk a felhasználói fiókunkba, illetve eleve elinduljon a számítógép. Már maga a BIOS-jelszó is segíthet, olyan esetben például, ha egy tisztességes ember szeretne vásárolni egy jelszavas gépet, akinek így nehéz lesz eladni egy olyan notebookot, amelyhez nincs „kulcsa" az eladónak. Egy hozzáértő azonban akkor is hozzáférhet a merevlemezen tárolt adatokhoz, ha nem tud bejelentkezni, ugyanis ki lehet szerelni a meghajtót és egy másik számítógépről elolvasni az adatokat. Persze ha a fájljainkat titkosítottuk, akkor azzal komolyabb nehézséget okozunk egy szakértőnek is, hiszen meg kell fejtenie a titkosítást. Ez a legritkább esetben zajlik úgy, mint az akciófilmeken, azaz látványos és titokzatos képernyők előtt és billentyű-géppuskaropogás közepette. A valóságban a hackerek egy szótárkészlettel próbálkoznak, amely a legvalószínűbb jelszavakat tartalmazza. Végső esetben nyers erővel (brute force) dolgozó szoftver végigpróbálja az összes lehetséges jelszó-kombinációt. Így elvileg minden feltörhető, de a modernebb titkosító eljárások esetében a szükséges időtartam egy erőteljes géppel is csillagászati léptékűvé tolódhat ki. Azzal a számítógéppel, ami a DES- (Data Encryption Standard) titkosítást néhány óra alatt feltörte a '90-es évek végén, mintegy 149 trillió (a trillió a milliárd ezerszerese) évig tartana megfejteni egy 128 bites AES- (Advanced Encryption Standard) kódolással védett adatcsomagot. Joggal mondhatjuk tehát, hogy jelenleg az AES 256 bites változata tetszőleges alkalmazási területen nyújthat kellő biztonságot, érdemes olyan szoftvert választani, amely ezt alkalmazza.


Adattitkosítás


Nagyon kényelmetlen lenne minden állományunkat egyesével ki- és visszacsomagolni használat előtt és után, ezért az ilyen széfjellegű szoftverek csak igen speciális esetekben megfelelők és nem is igen terjedtek el. Sokkal kényelmesebb, ha egy olyan megoldást használunk, amely egy kiválasztott meghajtót, partíciót vagy merevlemezt röptében titkosít, azaz a lemezre írás előtt kódolja, olvasáskor kikódolja az adatokat. Ideális, ha az alkalmazások és a felhasználó számára nem látható a titkosító program tevékenysége, megfelelő telepítés és hitelesítés után csak szimplán végzi a dolgát.
Ilyen megoldás a BitLocker, amely a Windows 7 és Vista Ultimate, illetve Enterprise kiadásaihoz jár. A Vista alatt teljes rendszermeghajtókat, Windows 7 alatt pedig már külső merevlemezek vagy flashmeghajtók partícióit is biztonságosan titkosíthatjuk vele. A rendszer biztosításához a Bitlocker egy titkosítatlan indítópartíciót is igényel, de ha ez nem állna rendelkezésre, akkor létre is hozza azt. Ezen a 200 MB-os területen helyezkednek el az indításhoz szükséges modulok. A BitLocker megköveteli kulcsállományok használatát, amelyeket az interneten (Microsoft felhő), USB- meghajtón vagy kompatibilis hardver (tipikusan üzleti noteszgépek) esetében a TPM-kulcsok között tárolhatunk.
Azok számára is van alternatíva, akik a Windows olcsóbb vagy régebbi változataival dolgoznak. Az egyik legnépszerűbb a nyílt forráskódú és közkedvelt TrueCrypt. A program nemcsak teljes partíciók, hanem virtuális és rejtett meghajtók titkosítására is alkalmas, sőt hordozható szoftverként is használható. TPM-et szándékosan nem támogat, de akár több titkosító kulccsal és a legmodernebb titkosító algoritmusokkal védi adatainkat. Megengedi pusztán jelszavas védelem használatát is. Mivel hordozható alkalmazásként is használható és létrehozhatunk benne rejtett meghajtókat is, ezért jó esetben le is tagadhatjuk, hogy egyáltalán titkosított meghajtó lenne a gépünkön.

 

 

A TrueCrypt még benchmark modult is kínál, így kipróbálhatjuk, hogy melyik titkosítási módszer milyen sebességgel képes dolgozni számítógépünkön


A Bitlocker egy komplett, a Windowsba szervesen illeszkedő megoldás, amely zárolja a gépet, ha behatolás gyanúja áll fenn - a kényelmet az operációs rendszer Enterprise és Ultimate kiadásainak magasabb árával fizetjük meg. A TrueCrypt ezzel szemben teljesen ingyenes és Windows XP, 2000, Vista és 7, valamint Mac OS és Linux alatt is használható, azaz keresztplatformos.


Védjük a vasat is


Eddig az adatokról esett szó, csakhogy ezek mindig egy fizikai adathordozón helyezkednek el. Napjainkban ez rendszerint merevlemez-meghajtót jelent, persze egyre terjednek a flashmemória alapú meghajtók is. Megjegyzendő, hogy a fogyasztói felhasználásra tervezett SSD-ken és az igen népszerű USB-meghajtókon sem túl biztonságos adatot tárolni, megbízhatóságban és tartósságban nem állnak még olyan szinten, mint a mára szinte végsőkig kiforrott merevlemezek. A flashmemória problémája, hogy az írása-olvasása nem tökéletesen szimmetrikus folyamat, azaz nem lehet akárhányszor kopás nélkül elvégezni, a cellák egyszerűen elfáradnak és tönkremennek. Ezt a jobb gyártók fejlett vezérlőelektronikával próbálják kitolni, azaz úgy menedzselik a szabad területet, hogy a teljes fizikai tárterületet egyenletesen vehessük igénybe. A merevlemez lassúbb, azonban sokkal több írási-olvasási ciklust kibír gond nélkül, így ahol nincs extrém fizikai igénybevétel, rázkódás, oda továbbra is ezt ajánljuk élettartam szempontjából. Teljesítmény, fogyasztás tekintetében az SSD jobb, de mi most biztonságra utazunk.


Akárhol is tartsuk adatainkat, szögezzük le, hogy egyetlen példány nem példány, hiszen a merevlemezek sem örök életűek és senki sem vállal garanciát a rajtuk elhelyezett adatok biztonságáért, erről magunknak kell gondoskodnunk. A felhasználó szempontjából legegyszerűbb megoldás, ha eleve mindenről készül egy másolat, azaz redundáns tárolókötetre dolgozunk, ami otthoni kontextusban rendszerint egy RAID 1- vagy RAID 5-meghajtót jelent. A RAID 1-hez két merevlemez kell, hogy minden művelet egy időben két helyre történhessen, a biztonságért cserébe csak az egyik lemez kapacitásának erejéig nyújtózkodhatunk. A RAID 5 valamivel takarékosabb, a 3 lemezes kötetből kettőnek a tárolókapacitását használhatjuk ki és egy lemez kiesését viseli el a rendszer. Ha nem szeretnénk magát az operációs rendszert és a szoftvereket is redundánsan tárolni, akkor megtehetjük, hogy csak a dokumentumok számára építünk egy védett kötetet, így valamivel olcsóbban oldhatjuk meg azok védelmét.


RAID helyett kiegészítő megoldás lehet másodpéldányok vagy mentés készítése egy külső meghajtóra vagy a hálózatra, amihez használhatjuk a Windows saját backup megoldását is, de szóba jöhetnek olyan nyílt forráskódú szoftverek is, mint például a Cobian Backup 8. A lényeg, hogy mindenről készüljön másolat, ugyanolyan biztonsági szinten, mint amivel az eredeti fájl rendelkezik. Magyarán, ha egyáltalán nem igénylünk titkosítást, az rendben van, a mi dolgunk. Ha azonban erős titkosítást alkalmazunk a számítógép merevlemezén tárolt érzékeny adatokra, akkor azokat ne mentsük le, csak azonos erősségű titkosítás mellett, különben minden féltett javainkhoz hozzájut az, aki a mentéseket megszerzi. Akármilyen rendszert is alkalmazzunk, más mentéssel biztosított állapotban tartsunk egy főpróbát, hogy megbizonyosodjunk róla: nemcsak menteni, de visszaállítani is tudunk.

 

Földrengés, villámcsapás, tűz és felhő


Természetesen csak a véletlen törléstől védene, ha a másolataink ugyanazon a merevlemezen kapnának helyet. Ugyanígy korlátozott védelmet nyújt, ha a két másolat földrajzilag ugyanott helyezkedik el - ezért van az, hogy a RAID-tömb csak addig jó megoldás, amíg nem lopják el az egész gépet, nem üt be a mennykő, nem üt ki tűz. Ezért aztán vállalati megoldásoknál alapkövetelmény, hogy távoli mentések készüljenek, akár két NAS (hálózati adattároló) szinkronizálásával, akár FTP-kiszolgálóra, a lényeg, hogy a mentés földrajzilag távol helyezkedjen el az eredetitől. Szomorú példa erre, hogy volt olyan cég, amely a 9/11-es terrortámadás alkalmával a távoli mentéseit is elveszítette, akiszolgálói ugyanis a World Trade Center egyik, árnyékmentései a másik toronyban helyezkedtek el. Ebben a - szerencsére - ritka esetben túl rövid volt a távolság, de hasonló meglepetés érhet minket, ha mindkét szerverünk egyazon városban van és árvíz sújtja a területet.

 

 

Egy két rekeszes NAS RAID 1 konfigurációban már véd a merevlemez meghibásodása ellen,
de egy távoli mentés még emellett is szükséges

 

Sokan kínálnak felhőalapú tárhelyeket mentés céljára. Ezek előnye, hogy nem kell drágán bérelnünk vagy vásárolnunk egy teljes kiszolgálót és hozzá sávszélességet, hanem pusztán havidíjat fizetünk, minden más a szolgáltató gondja. Sokan azonban úgy gondolják, hogy nonszensz a biztonsági mentéseinket egy olyan helyre továbbítani, amiről a legtöbb esetben azt sem tudjuk, hogy merre helyezkedik el. Üzleti, kiemelten érzékeny adatok, költséges kutatói adatbázisok esetén valóban jobb megoldás lehet egy privát kiszolgáló, vagy nagyobbacska cégeknél akár egy privát felhő is szóba jöhet. Annyi azonban bizonyos, hogy nem célszerű nyilvános felhő szolgáltatásokban gondolkodni (ilyen például a Google Docs vagy a Microsoft Office 365), de főleg ingyenes szolgáltatások tárterületén nem érdemes tárolni sem jelszavakat, sem titkosító kulcsokat.


Saját, nem céges anyagaink védelménél kicsit engedékenyebbek lehetünk. Ha csak fotóinkat, magánirományainkat szeretnénk a jelenleginél nagyobb biztonságban tudni, akkor a lényeg nem annyira a szivárgás vagy adatlopás esélye, hanem az, hogy az adataink megőrzésére milyen garanciákat nyújt a szolgáltató. Magánszemélyek részére is elérhető felhőalapú backup például a Norton 360 csomag kiegészítése. Hogy igénybe vesszük-e az ilyen szolgáltatásokat, az annak kérdése, hogy mennyire bízunk meg a cégben és mennyire érzékenyek az adatok, amiket náluk tárolunk.


Internet = veszély?


Az internet hatalmas információforrás, amely igen sokat segít a mindennapi munkában és szórakozásban, csakhogy kétélű fegyver, hiszen nemcsak mi juthatunk általa információhoz, de mások is sokat megtudhatnak rólunk. Sokan úgy gondoljuk, hogy nincs rejtegetni valónk, ám érzékeny információkat mindenki használ: mindenképpen ilyenek a jelszavak, fióknevek, PIN-kódok. Ártatlan családi vagy baráti körben született fotóink sem hatnának feltétlenül jól, ha nem odaillő kontextusban mutatnák be őket és sajnos minden lényegtelennek tetsző adattal vissza lehet élni. Külön írásunkban foglalkozunk már a közösségi oldalak biztonsági beállításaival és a visszafogott önmegnyilatkozás alapelvével, de alapvetően ez a terület saját józanságunkon múlik.

 

 

 

Külön alkalmazásban is gyűjthetjük jelszavainkat,
erre való például az ingyenes és meglehetősen biztonságos KeePass


Régebbi és nagyobb probléma az adatlopás, a malware- és vírustevékenység, ma már pénzszerzés céljával (például jelszólopásra) fejlesztenek ártalmas alkalmazásokat, ezekről Biztonság rovatunkban igen sokat és részletesen olvashatnak. Ha követni nem is tudjuk az újabb és még újabb támadásokat, de néhány alapelv alkalmazásával nagyban csökkenthetjük a ránk leselkedő veszélyt.

 

Aranyszabályok mindenkinek


Mindig használjunk titkosított kapcsolatot, még az otthoni Wi-Fin is, egyébként ellophatják az adatcsomagjainkat és játszva kiszedhetik belőle a jelszavakat. Különösen ügyeljünk nyilvános Wi-Fi-hotspotok esetén, hogy kizárólag titkosított, védett kapcsolaton lépjünk be még a legártatlanabb oldalra is. Legjobb azonban, ha saját 3G-modemünket és előfizetésünket vesszük igénybe, ennek feltörése már mérnöki kihívás és nem olyan hobbifeladat, mint a Wi-Fin keresztüli adatlopás. Hasonlóan, a mentésekre használt, két telephely között kiépített VPN-kapcsolat is legyen minden esetben titkosított.
Lehetőleg a legártatlanabb oldalakra való belépéshez is használjunk titkosított adatkapcsolatot; ma már minden alap protokollnak (például FTP, HTTP) van titkosított párja (FTPS, HTTPS) és még a közösségi oldalak is kínálnak titkosított kapcsolat lehetőséget - használjuk ki.


Alapvető a frissített operációs rendszer és böngésző, az ártalmas weblapok szűrésének bekapcsolása. Ne felejtsünk el személyi tűzfalat használni, amely figyelmeztet a szokatlan tevékenységekre. Legyen alapbeállítás a sütik (cookies) törlése kilépéskor, hogy ne tudhassák meg a felhasználói fiókjaink nevét illetéktelenek.

 

 

 

Sok mindent elárul a ShowIP bedolgozó, mellette látható a NoScript, ami megakadályozza például,
hogy ártó szándékkal "linkre csalva" megfertőzzék a gépet


Magában egyik böngésző sem támadhatatlan, ezért nagyon hasznosak a biztonsági bedolgozó modulok, bővítmények. Ilyen a (joggal) paranoiás Firefox-felhasználók körében a NoScript, amely alapértelmezésben egyetlen oldalnak sem engedi, hogy szkripteket futtasson, azaz aktív tevékenységet lásson el, így rosszindulatú weblapok nem képesek a böngésző vagy az operációs rendszer hibáit kihasználva tudtunkon kívül támadást indítani gépünk ellen. Felugró ablakok megfékezésére hasznos az Adblock Plus, amely több mint negyven szűrő segítségével automatikusan kigyomlálja az ismert weboldalak tartalmán levő reklámokat.


A legügyesebb kiegészítők és körültekintés mellett is előfordulhat, hogy egy addig tiszta oldal végül támadás áldozata lett és ártalmas kód került bele, ezért nem nélkülözhetjük a vírusirtókat és az internetes biztonsági szoftvercsomagokat sem. Legalább egy ingyenes megoldás kötelező, a PC World olvasói számára annál is inkább, mert havonta ingyen juthatnak hozzá több neves biztonsági csomaghoz.


Különösen veszélyeztetett munkakörben


Az átlagfelhasználónál több veszélynek lehet kitéve az, aki naponta használja az internetet adminisztrációs célokra, tucatszor lép be és ki különféle rendszerekbe, amelyek üzleti vállalkozások bizalmas adatait kezelik. Itt a felelősség és az esély a támadásra egyaránt megnő, így fokozott körültekintésre van szükség. Mivel gyakran érzékeny adatok kerülnek forgalomba, elengedhetetlen a titkosított levelezés használata, amely megoldható az ingyenes PGP segítségével is.
A böngészőbővítmények közül jó szolgálatot tehet a ShowIP, amely megmutatja, hogy a felkeresett oldal milyen IP-címről vagy címekről származik és a felbukkanó menüben megtudhatjuk a kiszolgáló nevét, utánajárhatunk, hogy kié a cím.

 

 

Nyilván el kívánjuk hagyni az oldalt, amíg szerepel a szűrő szolgáltatás feketelistáján


Hasonló funkciót lát el, de továbbmegy ennél a Netcraft Toolbar is, amely segít kiszűrni az adathalász honlapokat, hamis banki belépőoldalakat. A különböző trükköket is kiküszöböli, például meggátolja, hogy egy felugró ablak nyitásával eltüntethesse az oldal a navigációs gombokat, kiszűri a megtévesztő karakterekkel dolgozó URL-eket és feltünteti a kiszolgáló földrajzi helyzetét is - valószínűleg gyanús lenne, ha egy hazai bank a volt Szovjetunió területén tartaná kiszolgálóit, ebből máris rájöhetünk, hogy valamiképpen hamis címre csaltak minket.


Mindenkinek hasznos lehet az Adaptive Referer Remover, nem adja át az adatgyűjtő webkiszolgálóknak amely az ugrási értékeket (például azt, hogy honnan jöttünk, meddig voltunk ott, hova megyünk). Segíthet még a Flashblock is, amellyel kikapcsolható az oldalon minden Flash-tevékenység. Ha a banki ügyintézésünket interneten folytatjuk, akkor ezek használata alapvető, keretes írásunkban pedig ki is gyűjtöttük az erre az érzékeny területre vonatkozó biztonsági előírásokat.

 

A jelszó sosem 123456!


De sajnos igen. Újabb és újabb hackertámadások bizonyítják be, hogy mennyivel előbbre valónak tartjuk a gyakorlatban a kényelmet a biztonságnál. Legutóbb a Gawker bloggerszolgáltatás adatbázisát lopták el, amely titkosítva volt ugyan, de célirányos próbálkozásokkal így is 190 ezer jelszót sikerült a tolvajoknak visszafejteni. A leggyakoribb jelszó továbbra is az 123456 volt, aztán jött az 12345678, a „qwerty" és az „abc123", majd a különféle népszerű nickneveket tartalmazó jelszavak. Az Errata Security felméréséből 2009. júniusában ugyanez derült ki - szintén az 123456 vitte el a pálmát -, a Webroot szerint pedig a felhasználók 36%-a a közösségi oldalon használt jelszavát másutt is beveti.


Mondanunk sem kell, hogy a szótáralapú jelszótörő programok nagy előnyt élveznek a gyakorlatban azokkal szemben, amelyek puszta erővel dolgoznak. A szótár - benne első helyen az 123456 mintával - ipari mennyiségben tartalmazza a könnyelmű felhasználók leggyakoribb jelszóhelyettesítő képzeteit, így a törés elég nagy eséllyel jár sikerrel. Megéri tehát olyan jelszavakat használni, amelyek nemhogy másnak nem juthatnak eszébe, de annak sem, aki ismer minket. Még jobb, ha a kód a lehető legkevésbé értelmes szó vagy szóösszetétel, ekkor valóban nem marad más egy támadó számára, mint az időigényes nyers erő.

A legbiztonságosabb, ha egy gépileg véletlenszerűen generált jelszót használunk, amely kis- és nagybetűket, számjegyeket és megengedett írásjeleket is tartalmaz. Persze az ilyeneket lehetetlen megjegyezni, de úrrá lehetünk a memorizálhatatlan kuszaságon egy jelszókezelő alkalmazás révén - ilyen például az ingyenes és hordozható változatban is létező KeePass. Már csak az összes jelszót védő mesterjelszót kell úgy megválasztanunk, hogy szokatlan, de számunkra azért megjegyezhető legyen, ugyanakkor ne tudják kitalálni azok sem, akik jól ismernek minket: tilos a családtagok és háziállatok neve, az autó rendszáma, házassági évforduló dátuma és hasonlók. A KeePass még kulcsállomány használatát is lehetővé teszi.

 

Banki parancsolatok


Ha telefonról bankolunk, akkor semmiképp se tegyük házi vezeték nélküli (DECT) készülékekről, amelyek jele 500 méteres körzetben fogható és dekódolható, használjunk inkább mobiltelefont.


Egyetlen bank sem kéri soha semmilyen körülmények között e-mailben a jelszavunkat, azonosítónkat, ezek minden esetben adathalász támadóktól érkező levelek.

Soha ne kattintsunk levélben érkezett, banki oldalra mutató linkre, hanem használjuk saját könyvjelzőnket vagy akkurátusan gépeljük be a bank weboldalának URL-jét.

Mindig ellenőrizzük az adathalászszűrő funkciót a böngészőben, ezek felhasználói bejelentések alapján figyelmeztetnek a hamis oldalakra. Többet is használhatunk akár, ilyenek a NetCraft Toolbar, a Finjan Secure Browsing, a Web of Trust, Web Security Guard vagy a McAfee Siteadvisor is.

Ellenőrizzük a tanúsítványt és az IP-t belépéskor (pl. NetCraft Toolbarral).

Ne érjük be az URL átfutásával és egy felületes pillantással, mert a hamis oldalak képpontról képpontra megegyeznek az eredetivel és az URL-t is hasonlóra választják a megtévesztés érdekében, például raiffeisen.hu helyett raffiesen.hu.

Minden kapcsolat esetében ellenőrizzük, hogy ott-e a kis lakat a böngésző státuszsorában, amely a titkosított adatkapcsolatot jelzi.

Soha nem bankoljunk nyilvános Wi-Fi-hálózatról, lehetőleg még internetkávézóból sem!

Ne elégedjünk meg egy puszta jelszavas fiókvédelemmel! Ha többe kerül is, fizessünk elő az SMS-kódküldő szolgáltatásra, így tranzakcióink csak a valós időben kiküldött véletlen SMS kód beírása esetén teljesülhetnek. Még jobb a token vagy a kártyaolvasó és chipkártya használata.

 

Hirdetés

Úgy tűnik, AdBlockert használsz, amivel megakadályozod a reklámok megjelenítését. Amennyiben szeretnéd támogatni a munkánkat, kérjük add hozzá az oldalt a kivételek listájához, vagy támogass minket közvetlenül! További információért kattints!

Engedélyezi, hogy a https://www.pcwplus.hu értesítéseket küldjön Önnek a kiemelt hírekről? Az értesítések bármikor kikapcsolhatók a böngésző beállításaiban.