Egy IT security-s témát felvetni, olyan, mint fociról írni: mindenki ért hozzá...

Egy ilyen téma felvetése nagyjából olyan, mint gyújtóbombát dobni egy benzinkútra. Garantáltan kattan rá mindenki és mindenki azt hiszi, hogy ő jobban tudja a másiknál... a securitys meg kajánul vigyorog a vélemények olvasása közben, aztán amikor nem bírja tovább, beugat valamit a témába, amire megint csak garantáltan felhörren szinte mindenki.

Múlt hét péntek volt az a nap, amikor munkáltatómnál az IT-biztonsághoz tartozó tévhiteket lelepleztem: tettem ezt azért, mert mi vagyunk akkora szervezet, hogy szükséges a biztonságtudatosság növelése, másrészt olyan sok igen népszerű tévhit forog közkincsként, hogy érdemes volt foglalkozni a témával.

Kérek mindenkit, aki tudja, melyik cégnél dolgozom, ne hozza nyilvánosságra - az eddig eltelt 12 év alatt igyekeztem megőrizni ezt az inkognitót és szeretném, ha ez így is maradna!

Első gondolatom az volt, hogy a fórumhozzászólásokat idézem és megválaszolom, miért nincs igaza az illetőnek, de aztán rájöttem, hogy akkor ez nem gyújtóbomba lesz, hanem naquadriah-val töltött Mark9-es... Marad viszont az, amit a múlt heti előadásban is elmondtam, kezdjük hát ütni a vasat, azaz hogyan ne legyünk hülyék!

1. Miért engem támadnának, nincs semmi fontos információ a gépemen?!

Két okból: ezért, meg azért. Azért, mert ha másra nem jó egy gép, hát botnet részeként használható lesz spammelésre, DDoS-ra, jelszótörésre, meg azért is, mert óvatlanul is eltárolhatunk mi, vagy a családtagjaink online bankoláshoz szükséges információkat a számítógépen.

2. Biztonságban vagyok, mert van tűzfalam és antivírusom telepítve.

100%-os védelmet egyik sem garantál, sem egyedül, sem kombinációban. Az AV csak azt ismeri fel, amire van szignatúrája és a heurisztikus keresés sem megoldás mindenre. Egy kellően obfuszkált kód elég gyorsan képes becsapni a víruskeresőket, elsődleges védelmi vonalnak azonban mindenképpen szükséges Windowson, Linuxon ajánlott, ha windowsos gépekkel is cserélünk állományokat.

A tűzfal meg egészen pontosan annyir ér, amennyi a felhasználó tudatossága: hiába a jól beállított tűzfal, ha a böngészőn keresztül a júzer beengedi a férget.

3. Az antivírus jelezni fog, ha gáz van.

Mint már az előző pontban is leírtam, az AV sem megoldás mindenre.
Az antivírussal kapcsolatban akkor lehetünk nyugodtak, ha látjuk, hogy visít valamiért. Ha kussol, az vagy azért van, mert nem történik semmi, vagy azért, mert nem ismeri fel a malware-t, harmadik lehetőségként pedig azért, mert a betelepült kártevő már rég legyilkolta...

4. Azért nincsenek malware-ek Linuxra, mert 1% a piaci részesedése.

Dupla fail. A Linux részesedése legfeljebb desktopon 1%, szervereken, webszervereken, routereken, telefonokon, okostévéken ennél lényegesen nagyobb, mégsem ömlenek a malware-ek a platformra.

A biztonságtechnikai elemzők szerint ez leginkább annak köszönhető, hogy a platform teljesen nyílt és nagyon nehéz ártó kódot elrejteni benne.

5. Nem kell foglalkoznom az IT-biztonsággal, mert van rá csoport a cégen belül.

Epikus. Az infrastruktúra minden egyes pontján szükséges a védelem, a leggyengébb láncszemnek, a felhasználónak pedig tisztában kell lennie azzal, hogy mi múlik rajta és hogyan teheti a legtöbbet azért, hogy ne veszítsen piacot a munkáltatója.

Senki nem várja el a felhasználótól, hogy értsen az IT-biztonsághoz, nem az ő dolga, azt viszont igenis elvárja, hogy a területen nála képzettebbek által összeállított védekezési elemeket maradéktalanul elsajátítsa és alkalmazza (jelszócsere, víruskeresés, backup).

6. Az ismert személyektől érkező e-mailek biztonságosak.

Igen... vagy nem, de így a tuti. Az ismerőst éppúgy megfertőzheti egy malware, ahogyan minket és ez a malware is küldhet nekünk phishing, downloader e-maileket.

7. Csak megbízható oldalakat látogatok, nincs szükségem biztonsági programokra.

YES, a kedvencem! Amikor ezt látom, hangosan kezd hullani a hajam. Akik ilyeneket állítanak, sosem hallottak még browser autopwn-ről, vagy arról, hogy a malware saját maga is generálhat IP-címeket - pl. SQL Slammer -, amelyeket megpróbálhat fertőzni, feltételezik, hogy az általuk látogatott oldalakat senki nem törte meg - hogy ez utóbbi feltételezés min alapul, nem tudom.

Érdemes fejben tartani, hogy pl. a BusinessWeek is szenvedett el ilyen támadást.

Végszó

A fentiek közül mindegyik roppant népszerű még azok köreiben is, akik régóta felhasználói a számítógépeknek, a programok működéséről azonban kevés ismeretük van. Velük még csak nem is az a baj, hogy felületesek az ismereteik, hanem az, hogy ezeket terjesztik, propagálják, megtévesztve másokat is, ha pedig ismertetik velük álláspontjuk helytelenségét, hivatkoznak régi PC-pilóta mivoltjukra és náluk jobban senki ne tudja má', honnan folyik a hideg víz!

Mások szerint a védelmi szoftverek feleslegesek, mert nem előzik meg a bajt, de legalább felzabálják az erőforrásokat. Ennek a véleménynek egy részben igaz az egyik fele. Sajnos igaz az, hogy egyes megvalósítások rosszak, de legalább lassúak, másokat meg észre sem venni, mégis rendben teszik a dolgukat - már amennyire ez lehetséges. Ha ezen preventív jellegű szoftverek alkalmazásával csak egy spammerrel kevesebb, vagy egy botnettel kevesebb, azt gondolom máris megérte. Remélem, sikerült tüzet és fényt gyújtani...