Professional Documents
Culture Documents
VVV 36
VVV 36
VVV 36
T
együk fel, hogy van egy felhasználónk,
valamennyire érdekli is a számítástech-
nika, hallott már az adathalászatról, és
a vírusirtó, kémirtó, személyi tűzfal szenthá-
romságot is szépen használja a gépén. Ez eddig
nagyszerű – bár itt tartana már mindenki –, és
ezzel sikeresen meg is védi a saját számítógé-
pét. De vajon az adataiért is megtett mindent?
Ez már azon is múlik, mennyire erős jelszava-
kat választott a különböző belépési helyein, és
hogy minden helyen másikat használ-e. Van-
nak olyan hasznos biztonsági szokások, ame-
lyek mellőzését egyetlen vírusirtó vagy tűzfal
sem kompenzálhatja, ez pedig a használt jel- A Conficker féreg szótáralapú támadást indít a gyenge adminisztrátori jelszavak ellen. Így a
szavak minősége, mennyisége és változtatá- fertőzés következményeinek kivédésében nagy szerep jut az erős jelszavak használatának
si gyakorisága, továbbá ezek gondos és bizal-
mas kezelése. ják, és sem az alapértelmezett adminisztráci- zett kódja – ha valaki nem állított be magának
ós jelszót (a www.routerpasswords.com olda- mást – „1111” volt. Mindenki ezt kapta auto-
Éljen és virágozzék az alapértelme- lon bárki megkeresheti) nem változtatják meg matikusan, és csak ennyit kellett beütnie az el-
zett jelszó! azonnal, sem a forgalomhoz nem állítanak be követőnek is, bízva abban, hogy nem változtat-
A social engineering rejtelmei, módszerei na- titkosítást, vagy esetleg csak WEP-et. Aztán vé- ták meg. A szerencse a behatoló mellett állt,
ponta változnak, bővülnek új eszközökkel, il- gül csodálkoznak, illetve ami talán még ros�- a jelszó az alapértelmezett volt, így bárkinek
letve a kiemelt odafigyelést igénylik a begye- szabb, mindezt észre sem veszik. 2009 novem- a hangpostafiókjához hozzá tudott férni, meg-
pesedett pavlovi reflexek helyett. A legfon- berében egy ausztrál fiatalember, visszaélve hallgathatta az üzeneteket.
tosabb dolgok, amiket észben kell tartani, a a jailbreakelt telefonokat használók tudatlan- 2002. szeptember 28-án a Pannon lecserél-
rendszeres jelszócsere, bizalmatlanság, a ta- ságával és/vagy lustaságával, az alapértelme- te az összes hangpostakódot; ezzel a továb-
núsítványok kiemelt vizsgálata, csak ismert és zett SSH-jelszót felhasználva írt egy C nyelvű bi hasonló eseteket kívánták megelőzni. Elvi-
megbízható forrásból történő szoftver telepí- férget. Ez távolról belépett mások telefonjába, leg az ekkor hatályos büntető törvénykönyv az
tése, és még hosszasan lehetne sorolni. Sok- lezárta az SSH-portot és felmásolt néhány ál- ilyen típusú bűncselekmények elkövetőit 5 évig
féle hibát követhet el egy átlagfelhasználó; egy lományt, többek közt lecserélte az inkriminált terjedő szabadságvesztéssel sújthatta volna,
ilyen hiba például ha operációs rendszerében iPhone-ok háttérképét Rick Astley fotójára. A de a történet végét, az esetleges nyomozás
könnyen kitalálható, ergo szótárban szereplő vírusíró, a 21 esztendős Ashley Towns csak egy eredményét már nem ismerjük. Ennek ellené-
jelszót választ. Emellett pedig sokan csak el- jó balhénak tartotta az esetet, azonban a pub- re konstatálhatjuk, hogy ha ismert emberek,
hozzák a boltból Wi-Fi-routert, kicsomagol- likált forráskódnak köszönhetően később több közszereplők vagyunk, akkor különösen von-
kártevőváltozat is készült. zó célpont lehetünk, és éppen ezért fokozott fi-
gyelemmel kell megelőzzük a biztonsági inci-
Az elnök emberei denseket. Ezt vagy saját magunknak kell meg-
2002. szeptember 25-én Friderikusz Sándor tenni, vagy megfelelő technikai segítséget kell
üzenetet kapott a mobiljára Lendvai Ildikó- kérni/alkalmazni hozzá.
tól, hogy őrá gondoltak az MTV elnöki széké- Annak illusztrálására, hogy mennyire nem
ben (forrás: index.hu/belfold/lendvai0925/). változik a világ, vagy talán a marketing legyő-
„Mi a maga pályázatát támogatjuk első soron, zi az ésszerűséget, álljon itt egy 2010. június
tehát ebben az én véleményem nem változott, 29-i hír. Az AT&T igyekszik felhívni az ügyfe-
és ahogy látom, megegyezik a Péterével.” Az lei figyelmét, éljenek az egyedi hangposta-
üzenet azonban kikerült a nyilvánosság elé és kód lehetőségével, amelyet 4-14 jegyű szám-
MP3 formátumban bejárta a netet. Friderikusz kombinációval védhetnek. Ellenkező esetben
Csak azok a feltört telefonok vannak ilyen
veszélyben, amelyeken fut az SSH-démon. Sándor végül nem lett TV-elnök. Hogy történ- egy androidos telefonról bárkinek a hangpos-
Ashley Towns nem akart kárt okozni, és a fel- hetett meg mindez? Ebben az időben a Pannon tafiókja lehallgatható (forrás: hopp.pcworld.
tűnően lecserélt háttérkép is ez látszik igazolni GSM mindegyik postafiókjának alapértelme- hu/7143).
A Phenoelit az egyik legismertebb weboldal, ahol alapértel- Bár ez itt most csak egy ártalmatlan adásvétel, a bűnözői csoportok nagy
mezett jelszavakat találunk (www.phenoelit-us.org/dpl/dpl. tételben adják el a különböző ellopott banki, online játékhoz való és egyéb
html). A felhasználói lustaságra jellemző, hogy ezek alkalma- accountokat
zása többször jár sikerrel, mint kudarccal
Steve Jobs is megvolt sikerült a fenti módon bejutnia és felajánlot- ről is beszélt már nyilvánosság előtt – és ez egy
Nem lehet elhanyagolni kulcsemberek, cég- ta, hogy egyfajta váltságdíjként vegye meg tőle bizonyos középiskola neve volt. Innentől már
vezetők, és jól ismert IT-szereplők elleni pró- ezeket az adatokat, különben nyilvánosságra meg is volt oldva a dolog.
bálkozásokat sem, főleg ha sikeres a kísérlet. hozza azokat. Az ismert és kevésbé ismert embereknek ko-
A „felhasználó” ahol tud, lazít, könnyít, post molyan el kellene gondolkodniuk, érdemes-e
itre jelszót irkál, illetve akár meg is adja azt Game over olyan adattal védeni bármit is, amit róluk a bul-
egy idegennek a telefonban. 2009 májusában Az online játékosok is célpontok, sőt. Már várlapok hetente megírnak, vagy amit önként
maga Steve Jobs Amazon áruházas account- 2008-as felmérések is megerősítették, hogy kiplakátoltak az iWiW-es, facebookos lapjukra.
ja került horogra, pontosabban ennek kihor- amíg egy lopott WoW- (World of Warcraft) lo- Sokszor nincs sok lehetőségünk, csak a rög-
gászása az elkövető Orin0co szerint már az gin feketepiaci ára 10 dollár, addig egy „sima” zített standard jelszó-emlékeztető kérdések
előző évben megtörtént, csak a nyilvánosság- bankkártyaadat mindössze csupán 50 centet közül választhatunk: „your pet”, „your first
ra hozatal volt a friss esemény. Emberünk időt kóstált a bűnözői körökben. A havi vírustoplis- teacher” stb. De ilyenkor sem kötelező ám az
és fáradtságot nem kímélve, létrehozott egy ta eredményei alapján is úgy tűnik, a kártevő- adott kérdésre vonatkozó választ adni! Persze
hamis Amazon áruházas weblapot belépé- terjesztők az elmúlt években a sebezhetősé- sok helyen van lehetőség saját kérdést írni, ezt
si lehetőséggel, és várta az érkező adatokat. gek kihasználásával mind jobban ráfókuszál- minden esetben érdemes is kihasználni, így
A sok hétköznapi felhasználó mellett azonban tak erre a területre is. jócskán csökkenthetjük a találgatásos mód-
nagy meglepetésére egyszer csak maga Steve szer hatékonyságát. Hogy hívják a kedvenc ta-
Jobs is figyelmetlen volt, és besétált a csap- Jelszó-emlékeztető – jó és rossz národat? „Csütörtök_139” – hangzik a válasz,
dába: megadta a nevét, címét, bankkártyaada- ötletek és ez egy jó válasz. Melyik kórházban születtél?
tait, telefonszámát, valamint az amazonos be- Bizonyára sokan emlékeznek még Sarah Pa- „Lekváros palacsinta fahéjjal”. Dolgozzon csak
lépési nevét és jelszavát. A hiteles belépésről lin Yahoo!-s postafiókjának feltörésére. A mód- meg a feltörő, ha akar valamit, ne mi nyújtsuk
képernyőmentés is készült, és a támadó leve- szer nem feltörés, nem jelszótalálgatás volt, a tálcán a fejünket.
let is írt „bestseller” Jobsnak, amelyben azt hanem új jelszó igénylése. A születési hely és
is megemlítette, hogy 6-7 évre visszamenő- idő megszerzése nem okozott gondot, a titkos Egykulcsos jelszó
leg elementette a korábbi vásárlásainak listá- ellenőrző kérdés pedig az volt, hol ismerkedett A mindenütt azonos jelszó használata is ko-
ját. A levélben részletesen elmondta, hogyan meg a férjével. A dolog érdekessége, hogy er- moly veszélyt jelent, bár megjegyezni bizo-
Egy jó példa arra, mihez kezdhetnek például egy ellopott belépéssel. Itt a Érdemes a jól konfigurált vírusvédelmi programunk beállításait is
támadó váltságdíjat kért Steve Jobstól jelszóval védeni az illetéktelen módosítások ellen
nyosan könnyű. Ha azonban ezek közül csak szerzett jelszót kipróbálva. Ennek segítségével az automatikus futtatási lehetőség kihaszná-
egyetlen helyszínen is kompromittálódik a be- jutottak el a propelleres jelszavakhoz, és saj- lása mellett éppen a gyenge adminisztrátori
lépési adatunk, gyakori forgatókönyv, hogy egy nálatos módon a fiókban benne volt két év leve- jelszavak szótáralapú törésével is terjed.
jelszó megszerzésekor végigpróbálgatják az lezése, üzleti titkok, jelszavak, amelyeket a tá-
illető minden egyéb publikus levelező, cseve- madók elolvashattak, lemásolhattak. Nem Káptalanfüred az agyunk
gő, közösségi, webes, FTP-eléréseit – és gyak- Több különböző, ingyenes és fizetős program
ran nem eredmény nélkül. Ezzel fokozhat- Vajon mennyire működik a fantáziánk? létezik a jelszavak sokaságának biztonságos
ják a veszteségeinket, dőlnek a további domi- Negatív eredményt mutat a Bitkom németor- megőrzésére. Mi ezek közül egyet említünk
nók. Ilyen baleset érte a propeller.hu-t is 2010 szági, 2010. júniusi vizsgálata, amelyből az de- most, a KeePassX-et (www.keepassx.org). Ez
márciusában, amelynél egyszer csak azt vet- rül ki, hogy a németek 41%-a sosem cserél kó- egy ingyenes és multiplatformos (Windows,
ték észre, hogy az oldal kikerült a Google-ből dot a banki, aukciós árverési helyszínein, sem a OS X, Linux alatt is használhatjuk) jelszókeze-
(forrás: hopp.pcworld.hu/7142). Mint később számítógépén, sem a mobiltelefonján. Kizáró- lő szoftver, amelyben kényelmesen eltárolhat-
kiderült, a támadók úgy módosították a robots. lag akkor változtatnak, amikor erre felszólítást juk jelszavainkat egy olyan adatbázisba, ame-
txt fájlokat, hogy emiatt az kitiltotta a kereső- kapnak, vagy ha technikailag elkerülhetetlen. lyet jelszóval és/vagy kulccsal is védhetünk.
robotokat a weboldalról. Emellett a Propel- A mind a magánszemélyeket, mint a vállalato- Létezik belőle hagyományos, és telepítés nél-
ler nevében beadtak egy törlési kérelmet is a kat érintő felmérés másik érdekessége, hogy kül futtatható változat is, így akár Windows és
Google-hoz. Az illetéktelen behatolók úgy ju- a felhasználók 37 százaléka adja át a számító- Linux alatt egy közös adatbázissal, például egy
tottak be az oldalra, hogy az üzemeltető gmai- gépét vagy a belépési adatát valaki másnak is USB-kulcsról is kényelmesen futtathatjuk.
les fiókját törték fel egy másik helyszínen meg- (forrás: hopp.pcworld.hu/7144).
A Webroot egy korábbi átfogó, mintegy ezer- Akkor ezt most hogy?
egyszáz Facebook-, MySpace-, Twitter-, Lin- Összefoglalva: a jelszóval való törődés nem
Milyen erős a tervezett jelszavunk?
kedlin-oldal felhasználóját kérdezte ki egy fel- azért van, hogy bosszantson minket, hanem
mérés keretében 2009 júniusában. Ebből töb- hogy sikerrel szolgáljon bennünket, amit meg is
bek között az derült ki, hogy egyharmaduk tesz, ha mi is gondosan állunk hozzá. Ha rend-
(36%) ugyanazt a közösségi portálon hasz- szeresen cseréljük, kellően erőset választunk
nált jelszavát máshol is alkalmazza. Ugyan- és nem ugyanazt használjuk mindenhol, máris
csak 2009 februárjában az Errata Security is sokat tettünk – saját magunkért. Persze igaz,
vizsgálta a jelszavak minőségét egy több ezer, ezek az erőfeszítések, jelszócserék munkát és
PhpBB felhasználói csoport alapján, a vég- odafigyelést igényelnek, de akárcsak a bizton-
eredmény itt is siralmas és lesújtó volt. A két sági mentések készítésénél, itt is megtérül a
leggyakoribb választott jelszó az „123456” és befektetés, ha legyőzzük a lustaságunkat.
a „password” volt. Íme a Top10-es lista továb-
bi helyezettjei, a leggyakoribb találatokkal: Kérjük kedves olvasóinkat, ha a témában kér-
„phpbb”, „qwerty”, „12345”, „12345678”, „let- désük, hozzászólásuk van, juttassák el hoz-
A hopp.pcworld.hu/7148 címen, a Micro- mein”, „1234”, „test”, „123”. A jelszóválasztá- zánk (velemeny@pcworld.hu).
soft oldalán is tesztelhetjük az új, terve- si fantáziátlanság szembetűnő. Nyilván nem
zett jelszavunk erősségét. Ha egyaránt van lehet figyelmen kívül hagyni ilyenkor azt sem, Csizmazia István,
benne kis- és nagybetű, szám és különle- hogy az ESET Magyarországon terjedő számí- vírusvédelmi tanácsadó
ges karakter, valamint hosszabb, mint tíz tógépes vírusok toplistájában első helyét 2009 Sicontact Kft., a NOD32 antivírus
karakter, akkor az már nem is rossz októbere óta az a Conficker féreg tartja, amely magyarországi képviselete
az operációs rendszer frissítéseinek hiánya és antivirus.blog.hu