Nem vagy akkora biztonságban, mint gondolod

0
480

Az utóbbi években a világhálót érintő legnagyobb botrányok egyike a Heartbleed bug, ahol az okozott kárt legjobb esetben is csak megbecsülni tudjuk. Ez gyakorlatilag megadta a kegyelemdöfést az internet biztonságába vetett hitünknek. Ennek azonban volt előfutára, elég csak visszaemlékezni az Észt elektronikus közigazgatást ért támadásokra, ahol néhány orosz hacker elég volt ahhoz, hogy majdnem megbénítson egy országot és az sem véletlen, hogy az egyik legnépszerűbb írónk DOS-os gépet használ, internetkapcsolat nélkül. A kérdés az, hol tartunk ma?

Nem vagy akkora biztonságban, mint gondolod

Gyakorlatilag ugyan ott. Hol van hát a hiba? Technikai részletekbe kár belemenni, maradjunk a közérthető nyelvezetnél. Napjaink szoftveres ökoszisztémája, az internettel nyakon öntve akkorára nőtt, hogy nem túlzás azt állítani: átláthatatlanná vált. Mire is gondolok? Vegyünk példát a természetből. Einstein annak idején kijelentette, hogy egy olyan összetett rendszer esetében mint az időjárás, a pontos előrejelzés szinte lehetetlen – mi pedig egy hasonló méretű, hasonlóan átláthatatlan rendszert építünk, ami szépen lassan kicsúszik az irányításunk alól. A kommunikáció a különböző eszközök, adathatlmazok, programok között annyira átláthatatlanná vált, hogy azt se tudjuk megmondani, mit csinál pontosan az az eszköz amin keresztül az olvasó eljutott hozzánk.

Nem vagy akkora biztonságban, mint gondolod

Most képzeljük el, hogy ebben a hihetetlenül bonyolult virtuális térben milliárdnyi eszköz kommunikál egymással, egy időben dolgozva hangolják össze a különböző feladatokat, adatokat és parancssorokat adnak át egymásnak a legkisebb programtól, valami igazán nagyig, mondjuk egy böngészőig – nos, ez lenne az internet. Viszont, ha porszem kerül a gépezetbe máris törlődik az internetes jegyfoglalásunk, vagy még rosszabb…

Nem vagy akkora biztonságban, mint gondolod

…és ne csak számítógépekben gondolkozzunk, hiszen az okostelefonok és táblagépek már a mindennapjaink részévé váltak, az okosórák, okostévék, okosautók, és más okoskütyük elterjedése pedig a küszöbön van. Arról a tényről sem feledkezhetünk meg, hogy napjaink legolcsóbb okostelefonjában akkora számítási kapacitás van elrejtve, ami évtizedekkel ezelőtt elég volt ahhoz, hogy a Holdra juttassa az embert. Viszont, ha már itt tartunk: a NASA képes fenntartani egy olyan géniusz-gárdát, ami átlátja a kérdés komplexitását és gondját tudja viselni a saját szoftvereinek. Ezzel szemben a mi okostelefonunknak, táblagépünknek, noteszgépünknek be kell érnie velünk, mi pedig az esetek nagy többségében csak leokézzuk a legújabb frissítéseket.

Nem vagy akkora biztonságban, mint gondolod

Érdemes megismerkednünk a 0day fogalmával. Nem kell különösebben hangsúlyozni, hogy az internetes biztonság finoman szólva is hagy némi kívánni valót maga után. A legtöbb program már születése előtt beláthatatlan időhiányban szenved és az ilyen nyomás alatt napvilágra került darabok számtalan rést hagynak a pajzson, melyekről mint felhasználó fogalmunk sincs. 0day, vagy nulladik napi támadások ezeket használják ki és még a biztonsági javítás megérkezése előtt lecsapnak a sebezhető prédára. A “nulladik nap” lényegében azt jelenti, hogy ennyi ideje van a fejlesztőnek kijavítani a hibát, mielőtt azt bárki is kihasználhatná. Az pedig biztos, hogy a mi eszközeinken is otthont talált nem egy ilyen program. A kiszolgáltatott prédákra pedig van vadász bőven, melyek legnagyobbikai a nemzetbiztonsági szolgálatok és a különböző hacker csoportok.

Nem vagy akkora biztonságban, mint gondolod

Az egy dolog, hogy így ellophatják az eszközeinken tárolt információkat – de mégis, kinek kellenek a családi fotóink és a warezolt filmjeink? Senkinek. Viszont, az eszköz által birtokolt adatfolyam már fontos lehet, hiszen egy zombihadsereg tagjaként DDoS támadást indíthat több ezer társával együtt, egy adott célpont ellen. Kis túlzással olyan ez napjainkban, mintha a II. Világháborúban a nagymama kollaborált volna a nácikkal. Ma elég egy emailhez csatolt pdf fájlt megnyitnunk, hogy bekövetkezzen a katasztrófa és mi ezt még csak észre sem vesszük. Nem olyan régen egy névtelen hacker Linux alapon működő eszközökhöz nyert hozzáférést, a bezsákmányolt 10 TB adatot felhasználva pedig egy internetes térképet alkotott – viszont mi lett volna, ha az általa eljuttatott malware károkozó lett volna? Valószínűleg, nagyobb nyilvánosságot kapott volna az eset.

Nem vagy akkora biztonságban, mint gondolod

Sajnos ez a fajta rés mindenhol megtalálható; a kórházakban, a kormányablakban, a bankok oldalán, azokban a szerverszobákban, amik a légiforgalom irányításért felelősek vagy csak a világítás fel-le kapcsolását garantálják. Ezek közül is talán a legkiszolgáltatottabbak az infrastrukturális létesítményeket kiszolgáló darabok, ugyanis a világhálón számtalan olyan jelentés megtalálható, ami – formálisan vagy informálisan – arról számol be, hogy egy hacker támadás egy napos kiesést okozott.

Nem vagy akkora biztonságban, mint gondolod

Aztán itt van számunkra az OTR, vagyis az Off The Record üzenetküldő opció. Néhány szakember már az egekig magasztalta az ilyen megoldásokat, melyek lényegében egy titkosítási réteget ültetnek be a különböző chat szolgáltatásokba (gtalk, Yahoo messenger, AIM, Jabber) és ez által garantálják a visszafejthetetlen kommunikációt. Ezzel azonban akad némi probléma. AZ OTR-t nevezzük bárhogy is, felépítésében egy standardot követ és ennek a standardnak az alapköve egy ún. libpurple mappa. Ha azt akarjuk, hogy egy infosec-es sznob dülledt szemekkel nézzen ránk, hozzuk csak fel az libpurple-t… Mi is itt a gond? A libpurple C programnyelven íródott, mely alkalmas arra, hogy csodálatos dolgokat alkossunk, melyek a nulladik napi támadások kedvelt alanyai lehetnek. A Heartbleed bug ebből a sebből is vérzik.

Nem vagy akkora biztonságban, mint gondolod

Szóval legyen szó bármilyen programról, napról napra, hétről hétre, hónapról hónapra kapjuk a frissítéseket melyek ki tudja mióta tátongó foltokat toldozgatnak és ezáltal vagy megszabadulunk a betolakodótól, vagy nem. Lehetetlen megmondani. Vagyis amikor felkerül a legújabb update, nem a szárazdokkba vitt hajót javítjuk ki, hanem a vizet merjük ki egy vödörrel, nehogy teljesen elsüllyedjünk. Igazi megoldás nincs, de például a sandboxok segítséget nyújtanak a bugyután megírt programok karanténban tartására, ahol nem, vagy inkább alig okozhatnak bajt.

Ne legyenek kétségeink, senki sem használja helyesen a szoftvereit. Én sem. Az OTR sem segít a bajban, leginkább csak hamis biztonságérzetet ad. Viszont, ha az Anktartiszon egy orvos sikeres vakbélműtétet hajtott végre magán, miért  ne lehetne elméletileg lehetséges, hogy minden kódoló és dekódoló kulcsot helyesen kezeljünk, miközben több különböző eszközön, oldalon és felhasználói fiókban tárolt adattal dolgozunk? Igen, mi, egyszerű felhasználók. Az egy dolog, hogy az internetbe vetett hitet eltemethetjük, de mellé fektethetjük az emberekbe és napjaink kultúrájába vetett hitünket is.

Touché.

Források:

http://internetcensus2012.bitbucket.org/paper.html

http://www.theverge.com/2014/5/26/5751284/software-vulnerabilities-and-security-flaws

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.101.1143&rep=rep1&type=pdf

http://csrc.nist.gov/staff/Singhal/k0day_august-version.pdf

Gabe

HOZZÁSZÓLOK A CIKKHEZ

Kérjük, írja be véleményét!
írja be ide nevét