Netidők Blogtársaság

Szeretem az informatikai biztonságtechnológiát, mert szimpatikus maga a terület, illetve tetszik ennek a terminológiája, hisz sok esetben logikus, kognitív háttere egységes, igen innovatív, valamint gyakran személetes is. Ugyanakkor számos problémával is meg kell küzdenie annak, aki minden pontját meg akarja érteni ennek a témakörnek, hisz igen gyorsan szaporodnak a biztonsági kockázatok és ezzel együtt a védekezési eljárások is, és mindezeknek nevet is kell adni. A szakkifejezések a terület sajátosságai miatt angol nyelvűek, és nem mindent tudunk lefordítani, tehát sok alak idegen formájában terjed el, honosodik meg.

A terület tanulmányozása közben találtam egy – a szakemberek számára nyilván ismerős, és remélem még mindig aktuális – weboldalt (http://www.itb.hu/), amelynek az értelmező tárgymutatójában böngészve megragadta egy szerkezet a figyelmemet. Ez pedig a gyenge pont. Látszólag semmim különös nincs ebben a jelzős szerkezetben, ám az az érdekessége, hogy ha mellérakjuk a terület néhány kifejezését. pl. betörés, behatolás, biztonsági rés stb., akkor kirajzolódik egy egységes kognitív metaforikus háttér, mégpedig az informatikai rendszer mint fizikai szerkezet, leginkább építmény, építménylánc, láncolat, amelynek fala van, kapuja van, ahová be lehet lépni, de be is lehet hatolni, azaz be lehet törni, és ez az egész rendszer épp annyira erős, mint a leggyengébb pontja. Úgy kell elképzelni ezt a képi hátteret, mint egy erődöt, amelyen belül vannak az adatok, amelyeket meg kell védeni, kívül vannak a támadók (hacker, cracker stb.), akik az erődön belül lévő adatokat el akarják lopni vagy kárt akarnak bennük tenni. A védők (voltaképpen a felhasználók, illetve az azokat segítő biztonsági tanácsadók, szakértők) a teljes erődöt védik ugyan, ám az erőket nyilván arra kell koncentrálni, hogy felfedezzék és megerősítsék az erőd leggyengébb pontját (kockázatokat, biztonsági réseket stb.), mert az ostromlók (vagyis a hackerek, crackerek, behatolók, károkozók stb.) is előbb-utóbb valószínűleg felfedezik ezt.

A gyenge pont informatikai meghatározására a fent említett www.itb.hu weboldalon a következő meghatározást találtam: „Az informatikai rendszerelemek olyan tulajdonsága, amelyek révén a fenyegető tényezők hatásainak ki vannak téve.” A meghatározás világos és egyértelmű, a pontosítás és részletezés pedig a biztonsági szakértők illetve a mindenkori biztonságtudatos felhasználók dolga.

Bódi Zoltán

| Még több lehetőség

Manapság egyre többet olvashatunk arról, hogy az óvatlan felhasználó gépe fölött átvehetik az irányítást, és a behatoló távvezérelve irányítja a gép folyamatait, kémkedhet a felhasználó iránt, és akár adatokat is lophat a gépről. Ezt a folyamatot már különböző szoftveres eszközök is segítik. Ezek az összefoglaló névvel RAT (Remote Administration Tool) nevű programok, magyarul ’távvezérlő adminisztrációs eszköz’. Ezeknek az alkalmazásoknak a segítségével egy viszonylag képzetlen felhasználó, komolyabb hekker tudás nélkül is képes behatolni valakinek a gépébe (persze aktív internet kapcsolaton keresztül), és például beindíthatja a beépített webkamerát vagy mikrofont, és így megfigyelheti a felhasználót. Ezek a szoftverek súlyos biztonsági kockázatot jelentenek, a használatuk erkölcstelen, és nyilvánvalóan személyiségi jogokat is sért.

A RAT szoftvert használó személy a ratter, az angol RAT betűszóhoz kapcsolt -er képzővel alakul ki a ’használó, tevékenységet végző személy’ jelentésű szóalak.

A RAT betűszó egybeesik az angol rat ’patkány’ főnévvel, így ennek a szoftvereszköznek a jelentéstani kapcsolata is meglehetősen negatív.  A patkány és a gépünkbe észrevétlenül behatoló, ahhoz távoli hozzáférést adó, és kárt okozó szoftver jelentése még némiképpen kapcsolódik is, hisz a patkány is képes szinte bárhová beférkőzni és ott kárt okozni. A kifejezés szemléletes és kifejező, ennek ellenére nehéz elvonatkoztatni az igen kellemetlen jelentéstartalmától. Arról nem is beszélve, hogy nyilvánvalóan vannak olyan ratterek, akik puszta szórakozásból veszik át az irányítást mások gépe fölött.

Bódi Zoltán

| Még több lehetőség

A múlt heti bejegyzésemben a clickjacking nevű átverésről írtam, amelyből kiderült, hogy ezzel a rafinált művelettel egy ártatlannak tűnő felületre való kattintással, nem kívánatos, kártevő folyamatok is elindulnak gépünkön, itt olvashatnak róla bővebben.

A keyjacking kicsit hasonló ehhez a jelenséghez, mert ez is átverés, tehát hivatalosan a scam (’átverés’) nevű kórokozó csoportba tartozik. A keyjacking lényege, hogy megjelenik a kijelző felületén egy látszólag captcha kódot bekérő felület (a captcha kifejezésről szóló bejegyzést lásd itt), ám ha begépeljük a kódot, akkor nem az általunk megkezdett folyamatra léphetünk tovább, hanem rögtön elindul egy állomány futtatása, amit mi nem láthatunk, mert bizonyos böngészőkben az állomány futtatására, mentésére vagy törlésére figyelmeztető párbeszédablakot letakarja a captcha kód ablaka. Az átverés lényege, hogy a feltűnő captcha ablak nem igazi, és valójában elég a megadott kód első betűkét beütni, és már fut is az elrejtet állomány. Mondanom sem kell, hogy számos módja van a védekezésnek: pl. csak azt töltsük le, csak oda kattintsunk, oda regisztráljunk, ahova tényleg muszáj, amit tényleg akarunk, és ne próbálkozzunk vagy kíváncsiskodjunk, mert könnyen pórul járunk, illetve érdemes figyelni a böngészők biztonsági figyelmeztetéseit, illetve hatékonyan tudnak védeni az akaratlan programfuttatástól a jobb fajta, frissen tartott internet biztonsági szoftverek.

A keyjacking összetétel szerkezete megegyezik a clickjackingével (hisz ennek a mintájára, analógiájára született), tehát az utótagja, a jacking az ’eltérítést’ jelenti, míg az előtagja a key alapjelentése a ’kulcs’, ’billentyű’, ám itt természetesen a ’kulcs’ metaforakörébe tartozik a ’kód’, ’valaminek a megoldása’. Közismert a key, magyarul kulcs kifejezés ebben a jelentésében a biztonságtechnikában a biztonsági kulcs vagy titkosítási kulcs szerkezetekben.

Bővebb információkat például az alábbi helyeken lehet olvasni

http://securitywatch.pcmag.com/security/313261-dial-r-for-a-keyjacking-running-malware-with-captcha

http://antivirus.blog.hu/2013/07/01/mai_szavunk_pedig_keyjacking

Bódi Zoltán

Az interneten terjedő kártevők ravasz példánya a clickjacking, ami nem más, mint a kattintásunk eltérítése. Az átverés (közkeletű szakkifejezéssel scam) lényege, hogy a weboldalon rákattintunk egy látszólag ártalmatlan, kattintható felületre, például egy képre vagy egy linkre, és ahelyett, hogy az elvárt folyamat elindulna, eltérítenek egy általunk nem kívánt webhelyre, vagy esetleg letöltődik, elindul egy nem kívánt, kártevő szoftver. Az is gyakran megtörténik, hogy a kattintásunk után az elvárt folyamat ugyan elindul (pl. a videót lejátsszuk), ám mellette még valami tudtunkon és akaratunkon kívül megtörténik, például meg is osztjuk a képet, videót, állományt ismerőseinkkel a közösségi oldalunkon.

A kifejezés egy összetétel, amelynek az előtagja, a click ’kattintás’, ’klikkelés’ mindenki számára ismerős lehet. Megjegyzem, hogy az angol click hangutánzó szó észrevétlenül elterjedt a mi nyelvünkben is, ám jelentése speciális, kifejezetten az egérkattintásra értjük. Az utótag a jacking megfigyelhető a hijacking ’repülőgép-eltérítés’ összetételben is, és mindenhol eltérítést jelent.

A clickjacking jelentéstani hátterében tehát az eltérítés művelete áll, nem az átverés vagy a károkozás van hangsúlyozva, hanem az odavezető út, az eltérítés, vagyis a felhasználó szándéka ellenére történő folyamat.

A clickjacking kifejezést egyébként Jeremiah Grossman és Robert Hansen vezette be 2008-ban (http://www.sectheory.com/clickjacking.htm), és azóta az informatikai biztonsági terminológiában a user interface redressing attack (’a felhasználói felület átcímzése’) vagy egyszerűen csak UI redressing szakkifejezések csoportjába sorolják.

Bódi Zoltán

| Még több lehetőség

Az egyik ismerősöm a következő emailt kapta. Elolvasván – tapasztalatlansága miatt – annyira megijedt, hogy önmaga tiltatta le a bankkártyáját.

Íme a levél:

From: Hitelkartya Biztonsaga [mailto:…] 
Sent: Saturday, June 15, 2013 3:45 PM
To:…
Subject: Hitelkártyáját fel fogjuk függeszteni, ha nem teszi meg a szükséges lépéseket.

Dear … user!


Köszönjük, hogy a Visa vagy Mastercard kártyát választotta. Ezen szolgáltatók azon dolgoznak nap mint nap, hogy megvédjék Önt a visszaéléstol.



A rendszerben újból frissités történt, és meg szeretnénk bizonyosodni arról, hogy valóban Ön használja ezt az e-mail cimet.



Amennyiben nem tölti ki az ívet 48 órán belül, a kártyája átmenetileg felfüggesztésbe kerül, amelyet a bankjában tudnak feloldani.



A kérdoiv kitöltésért kattintson IDE. .



Thank you,



VISA Security Team

Ez a levél tipikus példája az adathalászatnak, nemzetközi nevén a phishingnek. Az interneten végrehajtott csalások egyik típusa tehát a phishing, amelynek az a lényege, hogy a címzett kap egy e-mailt, amelyik formára, tartalmilag hivatalosnak tűnik, és a levélben található egy link, amely elvezet egy olyan weboldalra, amely megszólalásig hasonlít a levélben jelzett cég hivatalos weboldalához, ám ez egy hamisított honlap. Ezen a webhelyen pedig a látogató személyes adatai (például bankkártyaszám, számlaszám, titkos kód stb.) iránt érdeklődnek.

A phishing az angol fishing ’halászat’ szó írásváltozata (ejtésben megegyezik a két szóalak). A csalilevél vagy adathalászat formában magyarított (ám magyar formájában kevéssé ismerős) phishing és a ’halászat’ jelentésű fishing kapcsolata azon alapul, hogy a hiszékeny ügyfelet ugyanúgy halásszák le, csalják lépre, mint a horgászok a halat.

A fentebb idézett levél azon túl, hogy a címzett adatait szeretné lehalászni egy bizonyos kérdőívben, még meg is kíván bizonyosodni arról, hogy valódi, működő-e az email cím. Ezzel nemcsak adatokhoz, hanem biztos spam célponthoz is jut a feladó.

Van a fenti levélben néhány árulkodó jel: a köszöntés és az elköszönés angol nyelvű, míg a levél magyarul van. A szövegben számos grammatikai és helyesírási hiba található. A feladó neve igen gyanús, kissé magyartalan. A kérdőívre vezető link domainje .pl végződésű, pedig a feladó címe .hu végződésű, és a szövegben vannak magyar és angol elemek is. Mindezek alapján elképzelhetetlen, hogy egy megbízható biztonsági cég küldte volna. Kifejezetten életszerűtlen, hogy a két nagy bakkártya cég biztonsági ügyeit együtt kezelik. Maga a megkeresés tárgya is fura: miért lenne szüksége a bankkártyám kibocsájtójának arra, hogy egyeztessék az email címemet. Elképzelhetetlen, hogy valamilyen adategyeztetés elmaradása esetén egy cég a meglévő ügyfelét felfüggesztené. Örök szabály, hogy komoly bankok és cégek személyes adatokat sohasem egyeztetnek az ügyfelekkel emailben, interneten keresztül.

Bódi Zoltán

| Még több lehetőség