Nem vagy akkora biztonságban, mint gondolod

Az utóbbi években a világhálót érintő legnagyobb botrányok egyike a Heartbleed bug, ahol az okozott kárt legjobb esetben is csak megbecsülni tudjuk. Ez gyakorlatilag megadta a kegyelemdöfést az internet biztonságába vetett hitünknek. Ennek azonban volt előfutára, elég csak visszaemlékezni az Észt elektronikus közigazgatást ért támadásokra, ahol néhány orosz hacker elég volt ahhoz, hogy majdnem megbénítson egy országot és az sem véletlen, hogy az egyik legnépszerűbb írónk DOS-os gépet használ, internetkapcsolat nélkül. A kérdés az, hol tartunk ma?

Nem vagy akkora biztonságban, mint gondolod

Gyakorlatilag ugyan ott. Hol van hát a hiba? Technikai részletekbe kár belemenni, maradjunk a közérthető nyelvezetnél. Napjaink szoftveres ökoszisztémája, az internettel nyakon öntve akkorára nőtt, hogy nem túlzás azt állítani: átláthatatlanná vált. Mire is gondolok? Vegyünk példát a természetből. Einstein annak idején kijelentette, hogy egy olyan összetett rendszer esetében mint az időjárás, a pontos előrejelzés szinte lehetetlen – mi pedig egy hasonló méretű, hasonlóan átláthatatlan rendszert építünk, ami szépen lassan kicsúszik az irányításunk alól. A kommunikáció a különböző eszközök, adathatlmazok, programok között annyira átláthatatlanná vált, hogy azt se tudjuk megmondani, mit csinál pontosan az az eszköz amin keresztül az olvasó eljutott hozzánk.

Nem vagy akkora biztonságban, mint gondolod

Most képzeljük el, hogy ebben a hihetetlenül bonyolult virtuális térben milliárdnyi eszköz kommunikál egymással, egy időben dolgozva hangolják össze a különböző feladatokat, adatokat és parancssorokat adnak át egymásnak a legkisebb programtól, valami igazán nagyig, mondjuk egy böngészőig – nos, ez lenne az internet. Viszont, ha porszem kerül a gépezetbe máris törlődik az internetes jegyfoglalásunk, vagy még rosszabb…

Nem vagy akkora biztonságban, mint gondolod

…és ne csak számítógépekben gondolkozzunk, hiszen az okostelefonok és táblagépek már a mindennapjaink részévé váltak, az okosórák, okostévék, okosautók, és más okoskütyük elterjedése pedig a küszöbön van. Arról a tényről sem feledkezhetünk meg, hogy napjaink legolcsóbb okostelefonjában akkora számítási kapacitás van elrejtve, ami évtizedekkel ezelőtt elég volt ahhoz, hogy a Holdra juttassa az embert. Viszont, ha már itt tartunk: a NASA képes fenntartani egy olyan géniusz-gárdát, ami átlátja a kérdés komplexitását és gondját tudja viselni a saját szoftvereinek. Ezzel szemben a mi okostelefonunknak, táblagépünknek, noteszgépünknek be kell érnie velünk, mi pedig az esetek nagy többségében csak leokézzuk a legújabb frissítéseket.

Nem vagy akkora biztonságban, mint gondolod

Érdemes megismerkednünk a 0day fogalmával. Nem kell különösebben hangsúlyozni, hogy az internetes biztonság finoman szólva is hagy némi kívánni valót maga után. A legtöbb program már születése előtt beláthatatlan időhiányban szenved és az ilyen nyomás alatt napvilágra került darabok számtalan rést hagynak a pajzson, melyekről mint felhasználó fogalmunk sincs. 0day, vagy nulladik napi támadások ezeket használják ki és még a biztonsági javítás megérkezése előtt lecsapnak a sebezhető prédára. A „nulladik nap” lényegében azt jelenti, hogy ennyi ideje van a fejlesztőnek kijavítani a hibát, mielőtt azt bárki is kihasználhatná. Az pedig biztos, hogy a mi eszközeinken is otthont talált nem egy ilyen program. A kiszolgáltatott prédákra pedig van vadász bőven, melyek legnagyobbikai a nemzetbiztonsági szolgálatok és a különböző hacker csoportok.

Nem vagy akkora biztonságban, mint gondolod

Az egy dolog, hogy így ellophatják az eszközeinken tárolt információkat – de mégis, kinek kellenek a családi fotóink és a warezolt filmjeink? Senkinek. Viszont, az eszköz által birtokolt adatfolyam már fontos lehet, hiszen egy zombihadsereg tagjaként DDoS támadást indíthat több ezer társával együtt, egy adott célpont ellen. Kis túlzással olyan ez napjainkban, mintha a II. Világháborúban a nagymama kollaborált volna a nácikkal. Ma elég egy emailhez csatolt pdf fájlt megnyitnunk, hogy bekövetkezzen a katasztrófa és mi ezt még csak észre sem vesszük. Nem olyan régen egy névtelen hacker Linux alapon működő eszközökhöz nyert hozzáférést, a bezsákmányolt 10 TB adatot felhasználva pedig egy internetes térképet alkotott – viszont mi lett volna, ha az általa eljuttatott malware károkozó lett volna? Valószínűleg, nagyobb nyilvánosságot kapott volna az eset.

Nem vagy akkora biztonságban, mint gondolod

Sajnos ez a fajta rés mindenhol megtalálható; a kórházakban, a kormányablakban, a bankok oldalán, azokban a szerverszobákban, amik a légiforgalom irányításért felelősek vagy csak a világítás fel-le kapcsolását garantálják. Ezek közül is talán a legkiszolgáltatottabbak az infrastrukturális létesítményeket kiszolgáló darabok, ugyanis a világhálón számtalan olyan jelentés megtalálható, ami – formálisan vagy informálisan – arról számol be, hogy egy hacker támadás egy napos kiesést okozott.

Nem vagy akkora biztonságban, mint gondolod

Aztán itt van számunkra az OTR, vagyis az Off The Record üzenetküldő opció. Néhány szakember már az egekig magasztalta az ilyen megoldásokat, melyek lényegében egy titkosítási réteget ültetnek be a különböző chat szolgáltatásokba (gtalk, Yahoo messenger, AIM, Jabber) és ez által garantálják a visszafejthetetlen kommunikációt. Ezzel azonban akad némi probléma. AZ OTR-t nevezzük bárhogy is, felépítésében egy standardot követ és ennek a standardnak az alapköve egy ún. libpurple mappa. Ha azt akarjuk, hogy egy infosec-es sznob dülledt szemekkel nézzen ránk, hozzuk csak fel az libpurple-t… Mi is itt a gond? A libpurple C programnyelven íródott, mely alkalmas arra, hogy csodálatos dolgokat alkossunk, melyek a nulladik napi támadások kedvelt alanyai lehetnek. A Heartbleed bug ebből a sebből is vérzik.

Nem vagy akkora biztonságban, mint gondolod

Szóval legyen szó bármilyen programról, napról napra, hétről hétre, hónapról hónapra kapjuk a frissítéseket melyek ki tudja mióta tátongó foltokat toldozgatnak és ezáltal vagy megszabadulunk a betolakodótól, vagy nem. Lehetetlen megmondani. Vagyis amikor felkerül a legújabb update, nem a szárazdokkba vitt hajót javítjuk ki, hanem a vizet merjük ki egy vödörrel, nehogy teljesen elsüllyedjünk. Igazi megoldás nincs, de például a sandboxok segítséget nyújtanak a bugyután megírt programok karanténban tartására, ahol nem, vagy inkább alig okozhatnak bajt.

Ne legyenek kétségeink, senki sem használja helyesen a szoftvereit. Én sem. Az OTR sem segít a bajban, leginkább csak hamis biztonságérzetet ad. Viszont, ha az Anktartiszon egy orvos sikeres vakbélműtétet hajtott végre magán, miért  ne lehetne elméletileg lehetséges, hogy minden kódoló és dekódoló kulcsot helyesen kezeljünk, miközben több különböző eszközön, oldalon és felhasználói fiókban tárolt adattal dolgozunk? Igen, mi, egyszerű felhasználók. Az egy dolog, hogy az internetbe vetett hitet eltemethetjük, de mellé fektethetjük az emberekbe és napjaink kultúrájába vetett hitünket is.

Touché.

Források:

http://internetcensus2012.bitbucket.org/paper.html

http://www.theverge.com/2014/5/26/5751284/software-vulnerabilities-and-security-flaws

http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.101.1143&rep=rep1&type=pdf

http://csrc.nist.gov/staff/Singhal/k0day_august-version.pdf

Gabe

Ha tetszett a cikk, kérlek oszd meg mással is:

Szerző további cikkei

Kategóriák

További cikkeink

2025.03.24.
Brutális sebesség jön az SSD-knél – a PCIe 7.0 hozza el a 512 GB/s korszakát
A technológia folyamatosan gyorsul, de a PCI Express 7.0 szabvány bevezetésével…
2025.02.27.
Kibertámadás áldozatai lettek népszerű Chrome-bővítmények – 3,2 millió felhasználó érintett
Egy nagyszabású kibertámadás során hackerek feltörtek 16 népszerű Chrome-bővítményt, köztük az…
2025.02.19.
90%-os kedvezmény: Népszerű lopakodós játék mindössze 2 dollárért a Steamen
A játékosok most hatalmas kedvezménnyel szerezhetik be az egyik legnépszerűbb ’stealth’…
2026.07.17.
Skullcandy Crusher 720: THX Spatial Audio és 65 órás üzemidő az új fejhallgatóban
A Skullcandy bemutatta legújabb vezeték nélküli fejhallgatóját, a Crusher 720 modellt, amely a…
2026.07.17.
Onimusha: Way of the Sword demóval és új játékokkal bővült a GeForce NOW
Az NVIDIA újabb nagy megjelenéssel bővíti felhőalapú játékszolgáltatását: az Onimusha: Way of…
2026.07.16.
McIntosh MX124: csúcskategóriás AV processzor érkezett 13.4 csatornás Dolby Atmos támogatással
A McIntosh bemutatta új referencia kategóriás AV processzorát, az MX124-et, amely…
Thermal Grizzly DeltaMate
2026.07.16.
Thermal Grizzly DeltaMate: új gyorscsatlakozók és leeresztőszelep érkezett vízhűtéses PC-khez
A Thermal Grizzly tovább bővíti DeltaMate termékcsaládját, amely ezúttal új gyorscsatlakozókkal…
2026.07.15.
IBM Power S1112: új AI-szerverrel és önműködő Power platformmal bővül a vállalati kínálat
Az IBM új hardverrel és több mesterséges intelligenciára épülő szoftveres fejlesztéssel…
2026.07.15.
ASUS ROG Swift OLED PG27UCWM és PG32UCWM: megérkeztek a 4K Tandem RGB OLED gamer monitorok
A ASUS Republic of Gamers hivatalosan is elérhetővé tette új csúcskategóriás…
2026.07.14.
GameSir T7 Pro W: retró dizájnnal érkezett az új Xbox és PC kontroller
A GameSir hivatalosan is bemutatta legújabb vezetékes játékvezérlőjét, a T7 Pro W…
2026.07.14.
Windows Search: végre átláthatóbb keresőt kap a Windows 11
A Microsoft több ponton is átdolgozza a Windows 11 beépített keresőjét,…