Kürt: Nem marad nyoma az illetéktelen behatolásnak
2014. április 17.
Az elmúlt napokban látott napvilágot a valaha volt egyik legsúlyosabb biztonsági hiba felfedezéséről szóló hír, az OpenSSL hibája. A Heartbleed azért rendkívül ijesztő, mert egy olyan eszközt kompromittált, amelyet éppen a webes kommunikáció megvédésére, titkosítására fejlesztettek ki, és amit a webes eszközök jelentős része használt nagyfokú biztonságot igénylő tranzakciók és műveletek végrehajtásához.
Ez az a pont, ahol sokadszorra fel kell hívni az informatikát és internetet használó közösség – azaz gyakorlatilag mindenki! – figyelmét a biztonságosabb jelszóhasználat egyedül üdvözítő voltára, amely néhány pontban összefoglalva a következő:
- megfelelő erősségű, 12-16 karakterből álló jelszó, kis és nagybetű, szám és speciális karakterek (.,_()/ stb.),
- tilosak: az „aaaaaa”, „12345”, „password123..”, „jelszo”, születési évszámok, rokonok neve, háziállatok neve és a hasonlóan könnyen kitalálható jelszavak,
- különböző rendszerekben különböző jelszavakat használjunk.
Hab a tortán, hogy mint kiderült, a hiba már vagy 2 éve létezik, és ez időszak alatt bárki kihasználhatta a sérülékenységet. Az, hogy ez megtörtént-e, kideríthetetlen, hiszen a hiba révén közvetlenül a memória tartalmához lehet hozzáférni, és semmilyen nyoma nem marad az illetéktelen behatolásnak.
Nem javítja a helyzetet a biztonsági rések felfedezésének, közzétételének, javításának kialakult rendszere sem. Ha felfedeznek egy ilyen hibát, akkor azt nyilvánosságra hozzák, vagyis gyakorlatilag mindenki számára hozzáférhetővé teszik. Kicsit olyan ez, mint ha öles betűkkel kiírnánk a házunkra, hogy „Kulcs a lábtörlő alatt”.
Jó esetben gyorsan elkészül a javítás, és ekkor már csak attól függ, hogy milyen hamar szűnik meg a fenyegetettség, hogy az érintettek mennyire igyekeznek kijavítani a hibát a javítás telepítésével. Van tehát egy nehezen meghatározható hosszúságú időszakasz, amikor a hibát bárki kihasználhatja, mert a kapuk nyitva vannak. És akkor nem beszéltünk arról, hogy a nyilvánosságra hozás előtt vajon már ismert volt-e bizonyos körök számára a biztonsági rés, mint azt a Heartbleed kapcsán például feltételezik.
Vállalatok esetén egy jól működő információbiztonsági rendszerben az ilyen helyzetek kezelve vannak, és a szabályzatok tartalmazzák a teendőket. Annak ellenére, hogy ma mar a kormányzati törekvések egyértelműek, a törvényi szabályozás segíti a biztonságosabb informatikát, nem alkalmazzák sokan. Sajnos a KÜRT sérülékenység-vizsgálatai azt mutatják, hogy csak nagyon kevés helyen működik ténylegesen jól, vagy a szabályzatok betartása, betartatása nem megfelelő, vagy nincsenek is megfelelő szabályozások.
„Csak remélhetjük, hogy az ilyen esetek tanulságai hozzájárulnak az általános biztonságtudatosság javulásához, mert jól érzékelhető, hogy egyre súlyosabb a helyzet az internetes biztonság területén. A változó jelszavak megjegyzésére pedig több ingyenes mobil applikáció is letölthető már, amelyek biztonsággal alkalmazhatók” – javasolja Márton Miklós, a KÜRT Zrt. üzleti vezérigazgató-helyettese. Megnyugtatásul hozzátette, hogy a mostani Heartbleed bug csak az éppen használt szerver memóriájának kiolvasását tette lehetővé a támadónak.
Szép példája a felelős hazai cég, a Prezi fejlesztő csapatának gyors reakciója a helyzetre, mert azonnal küldött értesítő e-mailt a felhasználóinak, hogy a rendszerük használatát jelszómódosítással biztosítják a jövőben.
Kapcsolódó cikkek
- Magyarországon ezres nagyságrendű weboldalt érint a feltárt biztonsági rés
- Az amerikai kormány figyelmeztetése a Heartbleed programhibával kapcsolatban
- Vigyázat linuxosok: Sérülékenység az OpenSSL-ben
- Az adathalász támadások harmada a pénzünkre pályázik
- Fontos beállítások tilthatók le illetéktelenül az iOS 7.1 biztonsági rése miatt
- Egy archívumkezelő szoftver sérülékenységére figyelmeztet a Kormányzati Eseménykezelő Központ
- Újabb tömeges adatlopást tártak fel Németországban
- Hanyagságra figyelmeztettek a szabadalmi hivatalt kifosztó adathalászok
- A vállalatok jobban tartanak saját alkalmazottaiktól, mint a hackerektől
- Kaspersky Lab: a TOR-hálózat valóban biztonságos és nem feltétlenül rossz