26 Oct 2004
F. Telbisz (Telbisz@sunserv.kfki.hu)
Biztonságos Windows használat
Az utóbbi hetek
(hónapok) vírus és féreg problémái miatt sokakban felvetődött a kérdés:
nem kellene-e a Windows helyett más, biztonságosabb rendszerre áttérni?
Való igaz, hogy miközben a Microsoft egyre újabb és újabb lehetőségeket
épített be az operációs rendszereibe, programjaiba, azokat rugalmasabbá
és hatékonyabbá téve, egyúttal egyre újabb támadási felületeket is
nyújtott. Annál is inkább így van, mert eközben az
információtechnológia, számítástudomány eredmányeire nem nagyon voltak
tekintettel. Lehet, hogy nem is ismerték ezeket?
Ennek ellenére úgy
gondolom, hogy a Windows is jól használható desktop operációs
rendszer kellemes grafikus felülettel, ahol okos használat mellett
megfelelő, a Linux-ot megközelítő biztonság is elérhető. (Egy rosszul vagy
gondatlanul menedzselt Linux-nál mindeképpen jobb lesz.) Ehhez az
szükséges, hogy ne használjuk a Microsoft által meggondolatlanul és
felelőtlenül belerakott lehetőségeket, amelyek ráadásul sok esetben
feleslegesek is. Nem feltétlenül szükséges, hogy az ember vírusokat,
férgeket kapjon. (Én, több mint 12 éve használok Windows-t. És leszámítva
az első éveket, amikor virus védelem nem is létezett még, soha nem kaptam
vírusokat vagy férgeket.) Ehhez néhány alapvető biztonsági szabály
betartása szükséges, az alábbiakban a legfontosabbakat foglaljuk összes
röviden.
A Microsoft Office kompatibilitási okok miatt nehezen kerülhető meg, de
jól tesszük, ha megfogadjuk a biztonsági szakemberek tanácsát, és
semmilyen hálózathoz kapocsolódó feladathoz nem használunk Microsoft
komponenst. Ez könnyen megtehető, mert nagyon széles a választék
jóminőségű ingyenes programokban is, annak következtében, hogy a Microsft
csak nagyon késedelmesen fogta fel az Internet jelentőségét, működési
módját. Talán még a mai napig nem történt ez meg, ezért is vannak a
Microsoft Internetes programok tele biztonsági lukkal.
A "malware"-ek kezelése.
"Malware"
néven szokás összefoglalni a különböző kártékony programokat.
Vírusok
A vírusoknak
valamilyen hordozóra van szükségük, mint az emberi vírusoknak is. Ez
lehet:
-
Valamilyen
dokumentum (Winword, Excel file, stb.). Ezeket a viruskeresők elég jól
kezelik. Természetesen nincs olyan víruskezelő, ami percre kész lenne.
Egy új vírusra való reagáláshoz a vírusirtók szerint legalább 6 óra, de
gyakran egy-két nap kell.
-
Levél
attachment. Alapszabály, hogy végrehajtható attachment-re soha nem
szabad kattintani. Nem végrehajthatóra (zip, gif, ...) lehet kattintani,
de ehhez szükséges, hogy látható legyen az attachment-ek file típusa.
Ehhez a Windows default beállítását meg kell változtatni (show file
extensions for all files !). Gyakorlatilag ennek a szabálynak a
betartása önmagában is meglehetősen nagy biztonságot ad.
-
Bár egyes
vírusoknak van saját levelező ágensük, ezek terjedéséhez is szükségük
van a levélre, mint hordozóra. Viszont az így generált DOS támadás is
igen komoly problémát okozhat, teljesen megbéníthatja a mail szerverek
működését. (Speciális támadás volt, amikor a leveleken kívül DNS lookup
kérdéseket is indítottak nagy tömegben és ezáltal a domain név-szerverek
megbénításával majdnem az egész Internetet sikerült megbénítani)
-
Mivel a beérkező
levelekben magukban is lehetnek virust tartalmazó kódrészek, script-ek,
amiket az Outlook Express automatikusan végrehajt, ajánlatos, hogy olyan
levelező programot használjunk amelyek ezt nem teszik, vagy ez
letiltható. A html formátumú leveleknél fokozottan fennáll ez a
kockázat. Ingyens levelező programok bőségesen találhatók:
Ez utóbbinál
modemes használatnál némi ügyeskedésre, és egy helyi mail szerverre (pl.
Mercury: http://www.pmail.com/) is
szükség van.
Férgek
Ezek sajnos
sajátmagukat aktívan terjesztik. Rendszerint a buffer túlcsorgást
használják ki. Úgy látszik, hogy a Microsoft előszeretettel úgy programoz,
hogy az input buffer mögötti részre adja át a vezérlést. Elég, ha a
támadók a buffer méretét meghaladó csomagot küldenek, ahol a túlméretezett
csomagba elhelyezik a virus kódját, a vezérlést garantáltan megkapja.
Ezek ellen semmilyen vírusvédő program nem tud védeni. A védekezésnek két
eszköze van:
-
Mivel a
Microsoft ezeket a hibákat javítja amint kiderülnek, gondoskodnunk kell
arról, hogy a biztonsági patch-eket feltegyük, amikor elkészülnek.
Sajnos, a hibák javítása meglehetősen lassan és vontatottan megy a
Microsoft-nál. A javításokra a Windows 2000 vagy későbbi változatoknál
használhatjuk az auto-update opciót. Sajnos, ez csak az Internet
Explorerrel működik, de növeli a biztonságot, ha az Internet Explorer
használatát az automatikus update funkcióra korlátozzuk.
-
A másik fontos
eszköz az, hogy ne legyen olyan nyitott port a gépünkön, amire nincs
szükségünk. Erre valók a tűzfalak. Az intézményi tűzfalak a külső
támadástól ugyan megvédenek, de a belső támadások ellen csak a saját,
személyi tűzfal véd meg. Szerencsére, ilyenek is vannak, ingyenesek is:
Kerio, Sygate, ZoneAlarm (A két utóbbi csak magánhasználatra ingyenes.)
A személyi tűzfalakról egy korábbi Biztonsági Hírlevélben már szóltunk.
Ez teljes egészében megtalálható, az alábbi URL-en:
http://www.kfki.hu/(hu)/cnc/news/csbh/csbh041004.html. Most csak
arra hívjuk fel a figyelmet, hogy a Microsoft tűzfalak nem védenek
attól, hogy egy megfertőzött gépről további támadások induljanak ki, a
többi tűzfal ezt megakadályozza, hacsak a gép gazdája nem engedélyezi
ezt nekik. Microsoft tűzfalak esetében ez ellen védelmet csak a
hálózati eszközök: router-ek, switch-ek tudnak nyújtani
A férgek a
böngészőkön keresztül is terjedhetnek, már megfertőzött web helyeken
keresztül. Az Internet Explorer különösen veszélyeztetett, részben
elterjedtsége, részben a benne található programozási hibák (buffer
túlcsorgás), valamint a beépített lehetőségek (Active-X, Microsoft JAVA
script-ek) miatt. Ezért sokan tanácsolják, hogy használjunk más,
biztonságosabb böngészőt. Ingyenesek:
Amennyiben mégis
az Internet Explorer mellett döntünk, telepítsük a biztonsági patch-eket
megjelenésük után azonnal, és célszerű, ha - mint azt a Microsoft is
ajánlotta már (!) - az Active-X-et és a Microsoft Java-t letiltjuk benne.
(Sajnos, így a képességeit is alaposan megnyírbáljuk, többek között az
automatikus update sem tud működni.)
Kém (spy)
programok
Ezek jobbik
esetben hirdetéseket mutatnak pop-up ablakokon keresztül, vagy az Internet
használati szokásainkról, az általunk meglátogatott web helyekről
gyűjtenek információt, de az is lehetséges, hogy a gépen tárolt bizalmas
adatokat (bankszámla számokat, PIN kódokat, jelszavakat) keresnek. Még az
is lehetséges, hogy a billentyűzeten begépelt jelszavakat gyűjtsék be és
továbbítsák a működtetőiknek.
A gépünkre leginkább két módon kerülhetnek:
-
Ingyenes,
u.n. adware programokon keresztül kerülnek a gépre. Ezek eredetileg
ingyenes (freeware) programok voltak, és a fejlesztők a hirdetésekből
akarták fedezni a költségeiket.
-
Web lapokon
található kódrészeken keresztül is kerülhetnek a gépünkre virusok,
férgek, vagy egyszerűen csak kém programok.Nem mindegy, hogy milyen web
lapokat látogatunk meg!
Védekezés a
kémprogramok ellen:
-
Csak
megbízható web helyeket szabad látogatni. Letölteni meg pláne csak
ilyenről szabad bármit is. (Aki Olaszországban az Uffizi képtárat, vagy
a Vatikáni Múzeumot látogatja, nincs komoly kockázatnak kitéve, de aki a
nápolyi piacon akar márkás órát venni, számíthat arra, hogy becsapják.)
-
Olyan
böngészők használata, amelyek ezek által kevésbé veszélyeztetettek. Ezek
felsorolása fentebb
megtalálható
.
-
Mivel a
víruskeresők nem igen találják meg a kém (spy) programokat, célszerű
kémprogram keresőt használni. Ezekből is található ingyenes: Spybot (http://www.safer-networking.org/),
vagy Ad-Avare (http://www.lavasoftusa.com/support/download/#free).
(Ez utóbbi csak magánhasználatra ingyenes.)
Hamis riasztások
Mintha nem lenne
elég probléma a vírusokkal, férgekkel, gyakran még hamis riasztások is
borzolják a kedélyeket. Ezekkel leggyakrabban két formában találkozunk:
-
Hamis vírusokról
szóló hírek. Ezek rendszerint levélben terjednek és különféle borzalmas
vírusok közeli megérkezésével fenyegetnek. Tulajdonképpen elég könnyen
felismerhetők arról, hogy kevéssé specifikusak, nem lehet belőle
pontosan megtudni, hogy milyen vírusról beszélnek és a hatásairól is
általában ködös, de nagyon vészesen hangzó információt adnak. Ugyanakkor
a szöveg meglehetősen technikainak hangzik, ami megdöbbenti a nem
szakembert. Rendszerint arra is felszólítanak, hogy az értesítést
pilótajáték szerűen minél több címre küldjük el, ami már valóságos
veszélyt is rejt(het) DOS támadás formájában. Minderről részletesebben
is olvashatunk a KFKI web szerverén Zimányi Magda korábbi levelében (http://www.kfki.hu/(hu)/cnc/virus/hoax.html),
a vírus ugratásokkal pedig több web lap is foglalkozik, az ezekre utaló
link-ek megtalálhatók a
http://www.kfki.hu/(hu)/cnc/virus.html URL-en.
-
Mivel a levelek
feladóját (From:) nagyon könnyű hamisítani, az újabb vírusok és férgek
nemcsak a fertőzött gépen fellelhető címekre küldenek leveleket, hanem
feladóként is beírják azokat a címeket, amiket a gépen találnak. Így, ha
egy olyan értesítést kapunk, hogy valakinek küldött levelünk (akinek
soha, de legalább is a közlemultban nem küldtünk levelet) vírust
tartalmazott, nem kell megijedni, mert valószínűleg csak annyi történt,
hogy valakinek a gépe megfertőződött, akinek valaha mi küldtünk
levelet, vagy ő küldött nekünk levelet.
Gyakorlati védelmi szabályok
-
Mindenki
javítsa ki a gépén a Windowsa default beéllítást úgy, hogy a file típust
megmutassa minden (!) file-ra. Útmutató található:
http://www.kfki.hu/(hu)/cnc/virext.html
-
Legyen
víruskeresőnk, rendszeresen frissített adatbázissal.
-
Legyen a
gépünkön személyes tűzfal: telepítsünk vagy kapcsoljuk be az XP
tűzfalát.
-
Időnként
futtasunk le kémkereső program(ok)at: spybot-ot, vagy Ad-Avare-t is.
TUDOMÁSUL KELL
VENNI, HOGY A HANYAG MAGATARTÁS NEMCSAK A SAJÁT BIZTONSÁGUNKAT
VESZÉLYEZTETETI - EZ MÉG AKÁR BÁRKINEK A MAGÁNÜGYE IS LEHETNE - HANEM A
KOLLÉGÁKÉT IS.
Mindez meglehetősen egyszerű – és biztonságos is – de csak addig, amíg a
gépünket (Linux stílusú) munkaállomásként akarjuk használni, azon
legföljebb csak egy-egy viszonylag biztonságosabb mail vagy file
(lehetőleg SFTP) szervert működtetünk.
Ha a gépünk tagja egy Microsoft network domain-nek, megosztott lemezekkel,
vagy azon más szolgáltatásokat is akarunk nyújtani, azonnal kockázatosabb
és bonyolultabb lesz az élet. Pl. az XP rendszerek biztonságos
működtetéséről az amerikai NIST (National Institute of Standards and
Technology) ebben az évben (2004) egy kb. 150. oldalas könyvet adott ki,
immár harmadik változatban (http://csrc.nist.gov/itsec/guidance_WinXP.html).
|