Inter04.qxd
5/3/2006
4:27 PM
Page 43
4 Hogyan szabaduljunk meg a váratlan vendégektõl? 1. rész: Vírusok és férgek Ebben a könyvben végig használjuk a rosszindulatú program (malware) elnevezést. Ez egy általános kifejezés minden olyan szoftverre, amelyet kifejezetten a célból készítettek, hogy kárt okozzanak számítógépes rendszerekben. A rosszindulatú programok körébe számos különféle rossz szándékú program tartozik: így például vírusok, férgek, trójai programok, illetve egyes nagyon veszélyes kém- és reklámprogramok. Ez a fejezet a rosszindulatú programok hihetetlen mérvû elszaporodásának okait vizsgálja. Részletesebben szól a rosszindulatú programok két speciális fajtájáról, a vírusokról és a férgekrõl. Leírjuk, hogyan kerülnek a számítógépre és azt, hogy miként lehet ellenük védekezni. Megvizsgáljuk a vírusirtó programok elõnyeit és gyengeségeit, valamint hogy miként lehet megbénítani, illetve eltávolítani a vírusokat és férgeket.
4.1 A rosszindulatú programok elterjedése A rosszindulatú programok elõretörésének többféle oka van. Az elsõ az, hogy a számítógépek egyre nagyobb szerepet töltenek be a kommunikációban. Régen (a nyolcvanas évek végén) a rosszindulatú programok hajlékonylemezen terjedtek; ahhoz, hogy elkapjunk egy vírust, be kellett tenni egy fertõzött lemezt a számítógépbe. Az internetelérés terjedésével a kártékony programok már sokkal többféle kommunikációs csatornát használhatnak ki. Terjednek elektronikus levélben, azonnali üzenetküldõ programok üzenetiben, különbözõ internetes protokollokkal, valamint a Világhálón (a Weben).
Inter04.qxd
5/3/2006
44
4:27 PM
Page 44
Internetes biztonság otthoni felhasználóknak A rosszindulatú programok terjedésének második oka a számítástechnikai környezet egyre egységesebbé válása. Az egyik operációs rendszerre vagy lapkára írt kártékony program máshol nem mûködik, és ez régebben komolyan akadályozta a fertõzés terjedését, mivel a számítógépeken akkor még sokféle operációs rendszert használtak. Mára azonban ez a változatosság alaposan lecsökkent, a legtöbb helyen két fajtára: a Microsoft Windowsra és a UNIX-ra (beleértve ennek különbözõ változatait, így a Linuxot is). E rendszereken pedig általános alkalmazások futnak, mint például a Microsoft Office programcsomag vagy a többféle operációs rendszeren mûködõ webböngészõk. A rosszindulatú programok kihasználják az operációs rendszerek és alkalmazások gyenge pontjait, és ezeken keresztül fertõzik meg a gépet. A homogén számítástechnikai környezet és a sokféle hálózati fertõzési lehetõség együttese olyan széleskörû járványokat eredményez, amelyek az otthoni, a vállalati számítógépeket és az Internetet egyaránt pusztítják. A sötét programok terjedésének harmadik oka az, hogy a hagyományos védekezõ eszközök reaktív jellegûek. A vírus- és kémprogramkeresõk hatékony védelmet nyújtanak az ismert támadások ellen, de ha megjelenik egy új variáns, van egy kis ideje elterjedni, amíg a víruskutatók közössége megvizsgálja a támadást, létrehozza az ellenszert, és eljuttatja az ügyfeleinek. A rossz fiúk elõnyben vannak, és ezt ki is használják. A tûzfalak ugyan képesek letiltani a szokatlan kommunikációs csatornákat, csakhogy az internethasználók nagy részénél vagy nem is fut tûzfalprogram, vagy nincs jól beállítva. A támadók gyakran a leghétköznapibb eszközöket (például e-maileket vagy a Világhálót) használják a kártékony programok terjesztésére. Készülnek ugyan eszközök az új és ismeretlen támadások felismerésére és megállítására, de ezek még nem elég kiforrottak, és gyakran okoznak gondot a szokványos programok használata során. A sötét programok terjedésének negyedik, és egyben legaggasztóbb oka a pénz. Bûnözõi csoportok és rosszhírû üzleti szervezetek egyaránt foglalkoznak azzal, hogy különféle nem kívánt programokkal pénzt szerezzenek. Régebben az volt az általános feltételezés, hogy a legtöbb kártékony program írója csupán antiszociális viselkedésû; azért készíti a programot, hogy csodálatot vívjon ki magának a hasonló beállítottságú „szakértõk” között, vagy hogy saját nagyságának hízelegjen. Egy széles körben elterjedt kártékony program hasonló érdeklõdést vált ki a számítástechnikai alvilágban, mint egy rocksztár sikeres lemeze, vagy egy író sikerkönyve. (Ha többet szeretnénk tudni errõl a témáról, tekintsük meg Sarah Gordon kutatásainak eredményeit a www.badguys.org/papers.htm címen). Ezt a képletet azonban megváltoztatta a pénz megjelenése. A pénzért dolgozó programírók már nem kívánnak nagy feltûnést kelteni. Csöndes, lopakodó programokat készítenek, amelyek beosonnak a gépekbe, és igyekeznek ott is maradni, amíg csak lehet. Az olyan programok, amelyekrõl már az újságok is írnak, nyugodtan tekinthetõk levadászottnak és eltávolítottnak. A profitszerzõ programok megpróbálnak rejtve maradni.
Inter04.qxd
5/3/2006
4:27 PM
Page 45
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? Háromféleképpen lehet pénzt szerezni rosszindulatú programok írásával és elterjesztésével. Az elsõ a kémkedés. A nagyvállalatok és a kormány állandó céljai a kémeknek, akiket azért fizetnek, hogy államtitkokat vagy szellemi értékeket lopjanak el. (2005 májusában például hírül adták, hogy három izraeli vállalat vezetõjét azért tartóztatták le, mert magánnyomozókat béreltek fel, hogy kémkedjenek a versenytársaknál. A magánnyomozók trójai szoftvert használtak a fájlok és dokumentumok megszerzéséhez a megfertõzött számítógépekrõl. Egy régebbi esetben pedig a hackerek a QAZ féreg segítségével szerezték meg a Microsoft forráskód egy részét 2000-ben.) A különféle rosszindulatú programok – például a billentyûnaplózók és a betörõprogramok (rootkit) – megszokott részei az ipari kémkedés világának. (A betörõprogramok olyan programok, amelyek mélyen a számítógép operációs rendszerében megbújva teljeskörû irányítási lehetõséget biztosítanak a behatolónak. Egy betörõprogrammal fertõzött számítógépbe a behatoló bármikor vissza tud térni, és képes végrehajtani bármilyen mûveletet. A jól megírt betörõprogramok képesek elrejtõzni még a sokat próbált számítógép-rendszergazdák szeme elõl is. Kizárólag speciális felderítõ eszközökkel lehet megtalálni és eltávolítani õket.) A digitális kémkedés azóta létezik, amióta a számítógépek megjelentek, a betörõprogramok azonban ma már nemcsak az elit ügynökök eszközei. Elõre megírt betörõprogramok az Interneten mindenki számára elérhetõk, aki csak szeretne egyet. A második pénzszerzési mód nagyszámú gép feltörése, majd ezek pénzért kiárusítása a levélszemétküldõk, csalók, vagy éppen zsarolók számára. Az automata programok felderítik, feltörik és hatalmukba kerítik számítógépek ezreit, és távolról vezérelhetõ „rabszolgagépekké” teszik õket. A szolgagépeket, amelyeket szokás zombiknak vagy botoknak (a robot szó rövidítésébõl) is hívni, úgymond „bérbe adják” másoknak, akik azután kéretlen levéláradat küldésére, vagy szolgáltatás-megtagadási (elárasztási, DoS) támadások végrehajtására használják azokat. (A DoS támadás célja egy adott hely elárasztása olyan nagy mértékû forgalommal, hogy a felhasználók képtelenek legyenek hozzáférni.) A DSL-lel vagy kábelmodemekkel felszerelt otthoni PC-k kedvelt célpontok, mert gyakran védtelenek és nagy sávszélességû internetkapcsolataik e-mailek vagy weboldalkapcsolatok ezreit képesek létrehozni másodpercenként. A levélszemetelõk (és újabban az adattolvajok) bérbe veszik ezeket a zombihálózatokat, hogy kiszórják rájuk a beetetõ üzenetek legfrissebb változatait. Bûnözõ társaságok is felhasználják ezeket a hálózatokat arra, hogy megzsarolják például a hálózati szerencsejátékokkal és pornóoldalakkal foglalkozó cégeket: DoS támadásokkal fenyegetik õket, ami egy hálózatos cégnél akár a csõdöt is jelentheti. Biztonsági szakértõk szerint ezek a bûnözõk törvényes üzleti célpontok felé is fordulhatnak a jövõben. A profitszerzés harmadik módja a kémprogramok segítségével elkövetett lopás, vagy a reklám nagy kockázatot jelentõ reklámprogramokkal. A kémprogramok, például a billentyûnaplózók, feljegyzik a bizalmas adatokat (például az internetes banki tevékenységhez használt azonosítót és jelszót), majd továbbítják azt a támadónak, aki aztán leszedi a pénzt a számláról. A reklámprogramok elvben arra szolgálnának, hogy hirdetéseket
45
Inter04.qxd
5/3/2006
46
4:27 PM
Page 46
Internetes biztonság otthoni felhasználóknak küldjenek a PC-re. Egyes esetekben azonban ezek a programok adatokat is gyûjtenek a számítógéprõl – például az internetes böngészéssel vagy a számítógép használatával kapcsolatos információkat –, és eljuttatják ezeket az adatokat egy távoli számítógépre vagy a Világháló valamely más helyére. Vállalatok néha fizetnek a reklámszoftvert készítõ cégeknek olyan hirdetések készítéséért, amelyek akkor jelennek meg, ha egy versenytárs webhelyére látogatunk, vagy olyan helyre, amely kapcsolódik a vállalat termékeihez vagy szolgáltatásaihoz. Elõfordulhat, hogy a reklámprogram jelentést küld barangolásainkról egy ingatlanforgalmó cégnek, amely azután összegyûjti és eladja a feldolgozott információt, mint „vásárlói felmérést”. Míg azonban a trójai és vírusprogramok egyértelmûen rosszindulatúak (és a legtöbb esetben törvénysértõk), a reklámprogramok világa felemás. Sok, az Interneten elõforduló reklámot vállalatok készítenek (nem pedig bûnözõi csoportok vagy szabadúszó programozók). Ezeknek a vállalatoknak komoly ügyfeleik vannak, akiket a hirdetésekben és a piackutatásban támogatnak, valamint van saját védjegyük és hírnevük, amit ugyanúgy védenek, mint bármely más vállalat. (A reklámprogramokról részletesebben az 5. fejezetben beszélünk majd.) A lényeg, hogy a rosszindulatú programok komoly problémát jelentenek, és várhatóan bosszantani fogják a számítógépek használóit az idõk végtelenségéig. Tisztában kell lennünk a jelenlegi környezet fenyegetéseivel, és lépéseket kell tennünk a védelem érdekében. Nem az a cél, hogy számítógépünket sebezhetetlenné tegyük: ez lehetetlen. Az Internet azonban tele van egyszerû célpontokkal. A cél, hogy mi sokkal nehezebb célpont legyünk.
4.2 Vírusok és férgek A vírus olyan program vagy kód, amely képes önmagát megsokszorozni és más fájlokba beépíteni, amelyekkel kapcsolatba kerül. A vírus megfertõzhet egy másik programot, a lemez rendszerindító (boot) szektorát, egy lemezrész (partíció) szektorát vagy egy makrókat támogató dokumentumot – oly módon, hogy beléjük vagy hozzájuk építi a saját kódját. A legtöbb vírus csak sokszorozódik, de vannak olyanok is, amelyek tönkretehetik a számítógép operációs rendszerét vagy a tulajdonos adatait is – a kutatók ezt a részt a vírus „töltetének” (payload) hívják. Néha a vírus emberi segítséget vesz igénybe a sokszorozódáshoz, például rá kell kattintani egy vírust tartalmazó programra, vagy meg kell nyitni a fertõzött fájlt. Miután feléledt, a vírus már képes másolatokat létrehozni, és szétszórni azokat más fájlok vagy programok megfertõzésével, vagy a kommunikációs csatornákon, például e-mailen keresztül. A 4.1. táblázat részletesebben is áttekinti a vírusok egyes típusait. 4.1. táblázat Vírusfajták Típus Példák Fájlfertõzõ vírus Cascade
Leírás A fájlfertõzõ vírusok programokhoz, végrehajtható fájlokhoz és parancsfájlokhoz csatolják magukat. Ha egy megfertõzött fájl elindul a gépen, a vírus utána más programokra is átterjedhet.
Inter04.qxd
5/3/2006
4:27 PM
Page 47
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? 4.1. táblázat Vírusfajták (folytatás) Típus Példák Makróvírus Melissa, Concept
Rendszerindítószektor-vírus (boot vírus)
Michelangelo
Memóriában Jerusalem maradó vírus (memóriarezidens vírus) Többalakú vírus Marburg, Zmist (polimorf vírus)
Retrovírus
Gobi
Leírás A makrók olyan kicsi programok, amelyek nagyobb alkalmazásokon, például a Microsoft Wordön belül futnak. A makrók feladata jellemzõen a gyakori feladatok leegyszerûsítése. A makróvírusok képesek önmaguk lemásolására, dokumentumok törlésére és megváltoztatására, valamint sok egyéb nemkívánatos dologra. Egy lemez vagy merevlemez rendszerindító szektora határozza meg, hogy a számítógépen melyik program induljon el a lemez olvasásakor, illetve hogyan induljon el az operációs rendszer. A boot vírusok a lemezhez forduláskor, vagy a számítógép elindulásakor lépnek mûködésbe. Olyan vírus, amely a számítógép memóriájában marad a víruskód aktiválása után. Olyan vírus, amely sokszorozódása folyamán képes saját bájtmintájának megváltoztatására, ezért felismerhetetlen egyszerû mintaillesztési módszerekkel. Olyan vírus, amely aktívan támadja a víruskeresõ vagy más programokat a felfedezés megakadályozása érdekében.
A férgek (worm) olyan programok, amelyek képesek önmaguk lemásolására, gyakran minden emberi beavatkozás nélkül is. Károsíthatják és veszélyeztethetik a számítógép biztonsági rendszerét. Érkezhetnek a rendszer gyengeségét kihasználva egy felhasználó által megnyitott fertõzött e-mailbõl vagy egy megnyitott mellékletbõl. A vírusokkal ellentétben a férgek nem fertõzik meg a gazdafájlokat, inkább önálló programok, amelyek a számítógépen található többi programtól függetlenül mûködnek. Nem elég, hogy olyan hordozót használnak, mint az e-mail vagy az azonnali üzenetek, néhány féreg képes szétszóródni az Interneten és a helyi hálózatokon. A 4.2. táblázat részletesebben is áttekinti a férgeket. Jelenleg a férgek egyre inkább úgy készülnek, hogy megtalálják és kihasználják a népszerû operációs rendszerek vagy alkalmazások biztonsági réseit. Ezeken a réseken hatolnak be a férgek a számítógépbe, hogy elvégezzék feladatukat, majd megsokszorozódva más sebezhetõ számítógépeket keressenek. A szoftvergyártók tisztában vannak egyes sérülékeny pontokkal, és szofverfrissítéseket (biztonsági javításokat) adnak ki. Csakhogy elõfordul, hogy a szoftvergyártó egészen addig nem is tudja, hogy baj van, amíg egy új féreg vagy rosszindulatú szoftver fel nem bukkan, és el nem kezd rágcsálni az Interneten keresztül.
47
Inter04.qxd
5/3/2006
48
4:27 PM
Page 48
Internetes biztonság otthoni felhasználóknak Ez az a pillanat, amikor a kereskedõ ész nélkül siet kiadni a javítást. Akármi is legyen a helyzet, a végfelhasználó dolga (vagyis a miénk), hogy megtalálja és alkalmazza a javítócsomagot. Az egyik oka a férgek nagy sikerének, hogy sok felhasználó és cég nem igazán lelkesen alkalmazza a biztonsági javításokat. A 7. fejezetben részletesebben is szólunk a biztonsági javítócsomagok telepítésérõl. 4.2. táblázat Féregfajták Típus Példák Féreg Bugbear, Netsky, MyDoom
Levélféreg és tömeglevélféreg
LoveLetter (tömeglevél), Happy 99 (levél)
Kevert fenyegetések
Nimda, Slammer, Blaster
Leírás A féreg olyan program, amely képes saját maga terjesztésére – például saját példányainak lemezrõl lemezre másolására, illetve e-mailben vagy más továbbító rendszeren keresztüli szétszórására – és aktívan munkálkodik is ennek elõsegítésén. A féreg károsíthatja és tönkreteheti egy számítógép biztonsági rendszerét. Érkezhet a rendszer sérülékenységének kihasználásával vagy egy fertõzött e-mail megnyitásával. A levél- és tömeglevélférgek a számítógépes férgek különleges osztályát alkotják, amelyek e-mailekben terjednek. A tömeges levelezõk soksok másolatot küldenek magukról, a sima levélférgek valamelyest visszafogottabbak. A kevert fenyegetések a vírusok, férgek és trójai programok elemeit egyesítik, hogy a rendszer sebezhetõ pontjait kihasználva támadásokat kezdeményezzenek, és rosszindulató kódokat továbbítsanak, illetve sokszorozzanak. A kevert fenyegetések jellemzõi: képesek a károkozásra, többféle módon is terjednek, képesek több helyrõl támadni, potenciálisan képesek terjedni emberi beavatkozás nélkül is, valamint kiaknázzák a szoftver sebezhetõ pontjait. A változatos módszerek használata révén a kevert fenyegetést jelentõ férgek igen gyorsan elterjedhetnek, és jelentõs károkat okozhatnak.
Amint már leírtuk, a férgek gyakran nem igényelnek emberi beavatkozást. Ha egy féreg képes kapcsolatot létesíteni a számítógéppel a hálózaton keresztül, és számítógépünkön létezik az a sebezhetõ pont, amelyet a féreg keres, továbbá nem rendelkezünk semmilyen védelemmel, a játszma már el is dõlt.
Inter04.qxd
5/3/2006
4:27 PM
Page 49
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl?
Mire képesek a vírusok és férgek? A vírusok és férgek egyaránt arra törekszenek, hogy a megcélzott számítógépre valamilyen „töltetet” juttassanak el. A töltet célja valamilyen meghatározott feladat végrehajtása, például adatok törlése vagy módosítása, szoftver telepítése a számítógépünkre, vagy egy hátsó ajtó kinyitása, amelyen át késõbb az arra nem jogosult személyek is elérhetik a számítógépet. A férgek és vírusok egyaránt problémát jelentenek a fertõzött gépnek. A férgek ráadásul még járulékos kárt is okoznak, mert amikor terjednek az Interneten, nagyon megnövelik a hálózati forgalmat. Vegyük példának az SQL Slammert, egy nagyon gyorsan terjedõ férget, amely olyan kiszolgálókat vesz célba, amelyeken a Microsoft SQL Server 2000 szoftver sérülékeny változata fut. (Az SQL az adatbázisokban használt Structured Query Language, magyarul strukturált lekérdezõnyelv rövidítése.) A 2003 januárjában útjára indult SQL Slammer féreg gyorsan ellenõrzése alá vonta a sebezhetõ gépeket, és új áldozatok után nézett. Terjeszkedésének csúcsán 8,5 másodpercenként kétszerezte meg az ellenõrzése alá vont gépek számát. A fertõzött gépek olyan nagy forgalmat bonyolítottak, hogy az Internet szinte teljesen leállt. Dél-Korea legnagyobb része elvesztette az Internettel a kapcsolatot, a Continental Airlines légitársaságnak törölnie kellett a newarki reptérrõl induló járatait, számos bank pénzkiadó automatái pedig órákra megszakították szolgáltatásaikat. A férgeket és vírusokat eredetileg külön csoportba sorolták, de az utolsó pár évben keresztezni kezdték õket, hogy kevert fenyegetésként, többféle módon terjesszék magukat. Sok féreg például (az úgynevezett tömeglevélférgek) e-mailben terjed. Más férgek többféle módszert is használnak a terjedésre. Jó példa a 2001. szeptember 18-án felbukkant Nimda féreg. Ez a féreg öt különbözõ módszerrel terjedt. Az elsõ az olyan Windows kiszolgálók keresése volt, amelyeken az IIS (Internet Information Server, a Microsoft webkiszolgáló programja) sérülékeny változata futott. Egy ilyen kiszolgáló feltörése után a Nimda a számítógépet támaszpontként használva látott más megfelelõ gépek kereséséhez. Terjedt továbbá az Outlookon (a Microsoft levelezõprogramján) keresztül is: elküldte magát az áldozat címjegyzékében található címekre. A Nimda azokhoz is telepítette magát, akik a Weben barangolva egy megfertõzött kiszolgálóra érkeztek: itt az Internet Exploreren (a Microsoft böngészõje) keresztül töltötte le magát. Ezen kívül terjesztette magát a Windows fájlmegosztáson (a számítógépek közötti fájlmegosztást támogató Microsoft rendszeren) keresztül, valamint a már meglévõ nyitott ajtókon át, amelyeket két korábbi, a Windows IIS kiszolgálókat támadó féreg létesített.
4.3 Vírusirtó programok A számítógépeket támadó vírusok és férgek ellen többféle módon is lehet védekezni. A legjobb védelmet a vírusirtó („antivírus”, AV) programok jelentik. Az AV program véd a vírusok települése ellen, valamint képes megtalálni, elszigetelni és eltávolítani a vírusokat és férgeket a számítógéprõl, amelyek átcsúsztak a védelmen.
49
Inter04.qxd
5/3/2006
50
4:27 PM
Page 50
Internetes biztonság otthoni felhasználóknak A hagyományos vírusirtó úgy mûködik, hogy kivonatot tartalmaz minden rosszindulatú programról (a vírus „aláírását”). Ez a kivonat egy olyan kóddarabka, ami csak az adott rosszindulatú programban található meg, és egyfajta ujjlenyomatként mûködik: igen erõs bizonyítéka a program jelenlétének. Minden alkalommal, amikor a vírusirtó program átnézi egy levél mellékletét, vagy átvizsgálja a fájlokat a meghajtón, az ismert vírusok és férgek ujjlenyomatait keresi.
Mit tud egy vírusirtó? A vírusirtó megvéd az ismert vírusoktól, amelyek bárhol elõfordulhatnak: bejövõ és kimenõ levelekben, azonnali üzenetekben és a számítógép merevlemezén. Be lehet úgy állítani, hogy minden bejövõ és kimenõ üzenetet automatikusan megvizsgáljon. Ha webes levelezési szolgáltatást használunk, például az MSN, az AOL vagy a Yahoo! rendszerét, akkor a szolgáltató maga is átvizsgálja az e-maileket, hogy nincsenek-e bennük vírusok. (Az MSN a Trend Micro víruskeresõ programjait használja, a Yahoo! a Norton AntiVirust, az AOL pedig a McAfee-t.) A legtöbb vírusirtó program egy valósidejû keresõt is tartalmaz, amely minden használatba kerülõ fájlt végigvizsgál. Ennek ellenére célszerû rendszeresen átvizsgálni a merevlemezt és megkeresni a PC-re került rosszindulatú programokat. A legtöbb vírusirtó ütemezés szerint végzi az átvizsgálást, de ez igen hosszú idõt vehet igénybe (egy laptop teljes átvizsgálása akár másfél óra is lehet), és lelassíthatja a többi mûködõ alkalmazást. Az automatikus ellenõrzéseket meg lehet szakítani, ha ütközik a munkával vagy a játékkal, de azért érdemes a lehetõ legsûrûbben lefuttatni egy teljes ellenõrzést. Néhány szakértõ heti egy vizsgálatot ajánl, de ezt alighanem csak a tisztaságmániás (esetleg kicsit paranoiás) emberek teszik meg. Ha valaki havonta elvégzi, az már jónak számít.
Mit nem tud egy vírusirtó? A hagyományos vírusirtók védekezési módszere nem tud megvédeni olyan vírusoktól, amelyeket nem ismer. Amint azt ki lehetett következtetni a kivonatokról szóló részben, a kivonatokra épülõ felismerés hátránya, hogy legalább egy víruspéldánynak el kell jutnia a vírusirtó cégekhez, hogy kivonatot készíthessenek róla. Amikor vadonatúj vírusok támadnak, amelyeket még senki sem látott, a vírusirtók nem sokat segítenek. Az új kártevõ szabadon terjedhet, amíg a vírusirtókat gyártó cégek meg nem vizsgálják, majd kivonatot készítenek belõle, végül tesztelik és szétosztják a megoldást ügyfeleik között. Általában 3-4 óránként történik új fertõzés; ha nincs elég szerencsénk, és bekerülünk az elsõ hullám fertõzöttjei közé, meg kell várni, amíg a gyártó ki nem hoz egy segédprogramot a rosszindulatú program eltávolítására. (További információ a fejezet végén lévõ kiemelt szövegrészben található.) Léteznek megoldások, amelyek megkísérlik megállítani az ismeretlen kártevõket: figyelik a programok viselkedését, olyan jellegzetességeket keresve, amelyek egy esetleges károkozásra utalnak, vagy csak furcsák. Például minden vírusirtó tartalmaz egy úgynevezett heurisztikus keresõt, amely a makróvírusok jellegzetességeit keresi a programokban.
Inter04.qxd
5/3/2006
4:27 PM
Page 51
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? Ugyanez a kód teljesen alkalmatlan lehet egy windowsos trójai program vagy féreg ellen. A heurisztikus keresõk a legjobb eredményt az ismert kártevõk, illetve a többalakú (polimorf) vírusok variánsainak felkutatásában érik el. Variánsoknak az ismert kártevõk olyan változatait nevezzük, amelyek a kivonat alapú felismerést próbálják megakadályozni, megváltoztatva a gépre töltött adatokat, vagy módosítva a betöréshez használt módszert. Manapság a férgeknek több száz, néha több ezer variánsa is van, amelyeket az eredeti támadás nyomán fejlesztettek ki. A többalakú vírusok rendszeresen megváltoztatják saját kódjukat, hogy megpróbálják elkerülni a kivonat alapú felismerést és mégis végrehajtsák feladatukat. Bár a heurisztikus keresés nagyon hatásos lehet bizonyos típusú ismeretlen fenyegetések ellen, nem alkalmas mindenre. Egy másik megoldás, a Host Intrusion Prevention Solutions (behatolás-megelõzési megoldások, HIPS) szintén képes megállítani az ismeretlen támadásokat úgy, hogy figyeli kódban a rosszindulatú viselkedés jegyeit. Ez a módszer képes megakadályozni a tártúlcsordulást is, ami a rosszindulatú programok támadásának egy gyakori formája. A tártúlcsordulás azt jelenti, hogy több adat kerül a számítógép memóriájának egy adott területére (egy átmeneti tárba), mint amennyit a számítógép még képes kezelni. A többletadatok kiömlenek a memóriatárból, és a számítógép megpróbálja végrehajtani õket. A tártúlcsordulás kihasználásakor ezek a többletadatok támadó kódok, amelyek lehetõvé teszik a támadó számára a számítógép irányítását. Tártúlcsordulásra jellemzõen a férgek építenek, ezt használja például a Code Red, a Nimda és a Sasser is. A HIPS azért fontos fejlesztés a biztonságtechnikában, mert megelõzõ jellegû, idegen szóval proaktív: ez pedig azt jelenti, hogy a gépek elõre védettek az ismeretlen támadásokkal szemben, anélkül, hogy meg kellene várni az újonnan felfedezett kártevõk kivonatait. A proaktív megoldások egyre fontosabbak, mert az új támadások olyan sûrûn érkeznek, és olyan gyorsan terjednek, hogy ezrek vagy százezrek válnak áldozattá, mire a behatolóvagy vírusölõ kivonatok elkészülnek. Sajnos a HIPS fõ hátránya az, hogy gyakran nem mûködik helyesen, és néha a védelem érdekében ártalmatlan programok mûködését akadályozza meg. Ezt hívjuk téves riasztásnak. A téves riasztások sajnos évek óta sújtják a védekezési módszereket, és jelentõs szerepet játszanak abban, hogy a kivonaton alapuló megoldások még mindig népszerûek – reaktívak ugyan, de pontosak. A legtöbb HIPS megoldás ráadásul a nagyvállalatoknak készül, ahol a hálózati rendszergazdák jobban értik a biztonsági irányelveket, amelyek alapvetõ szerepet játszanak a HIPS helyes mûködésében. Idõvel valószínûleg megjelennek könnyebben érthetõ, felhasználóbarátabb termékek is. Egyre több új biztonsági termék kapható, amely HIPS megoldásokat, így tártúlcsordulás elleni védelmet is tartalmaz. Az egyik ilyen program a Panda Software TruPrevent Personal nevû programja. Ezt a vírusirtók kiegészítéseként fejlesztették ki a támadások azonosítására, már akkor, amikor még nincs a kártevõrõl kivonat. Ha ér-
51
Inter04.qxd
5/3/2006
52
4:27 PM
Page 52
Internetes biztonság otthoni felhasználóknak dekel minket ez a megoldás, a Panda Software lehetõvé teszi a TruPrevent vásárlás elõtti kipróbálását. Használjuk ki a lehetõséget, és próbáljuk ki, nem akadályozza-e a szoftver a számítógép normális mûködését.
4.4 Egyéb védekezési módok A vírusirtó programok nem védenek meg azoktól a férgektõl, amelyek nem e-mailben vagy azonnali üzenetben terjednek. A vírusirtók képesek megtalálni a férgeket (vagy azokat a kártevõket, amelyeket a férgek hoztak létre a számítógépen) a meghajtó végignézésével, de ahhoz, hogy megakadályozzuk a gép megfertõzését, jó elõre végre kell hajtani és be kell tartani az alábbiakat.
Használjunk tûzfalat! Amint azt az elõzõ fejezetben (Tûzfalak) már leírtuk, a tûzfal elrejti a számítógépet más számítógépek elõl az Interneten. Egy megfelelõen beállított tûzfal birtokában az Interneten támadható számítógépet keresgélõ férgek egyszerûen átlépik a gépet. Fontoljuk meg olyan biztonsági szoftver használatát, amely egy csomagban többféle szolgáltatást tartalmaz, például vírusirtót, tûzfalat, kémprogramirtót és így tovább. Néhány tûzfal- és vírusirtó program szintén tartalmaz behatolásfelderítési és -megakadályozási megoldásokat, amelyek megvizsgálják a bejövõ internetforgalmat, ismert férgeket vagy egyéb kártevõket keresve. Például a Norton AntiVirus is tartalmaz alapvetõ behatolásfelderítést, a Norton Internet Security pedig egy egész tûzfalat, behatolásfelderítéssel és -megakadályozással. A behatolásfelderítõ és -megakadályozó szoftver minden rosszindulatú programot képes megbénítani, amelyhez rendelkezik felismerõ kivonattal, és védelmet jelent néhány olyan új operációs rendszeri hibával szemben is, amelyekhez még nincs is ismert támadó vagy rosszindulatú kód. A behatolásfelderítés és -megelõzés egy újabb réteg védelmet nyújt a veszélyekkel szemben.
Ne nyissunk meg idegen e-mail t! A számítógépek megjelenése óta az elektronikus levél a legjobb dolog a számítógépvírusok számára. Az e-mail amilyen kiváló kommunikációs módszer, úgy segíti a vírusok terjedését, potenciális célok egész listáját kínálja (a címjegyzékben elõforduló minden cím), sõt lehetõvé teszi, hogy a vírus készítõje némi fondorlattal rávegye az embereket, hogy ki is nyissák az üzenetet, ezzel biztosítva a vírus terjedését. Ezért kell nagyon figyelni, amikor megjelennek a levelek a beérkezõ üzenetek ablakában. Ha ismeretlen személytõl érkezett levéllel találkozunk, gondosan ügyeljünk a következõkre: • A Feladó: sorban ismeretlen név szerepel, furcsa szerkezetû, esetleg idegen a tartomány? (A tartomány a @ jel jobb oldalán álló szöveg.) • A Tárgy: sorban szöveg helyett összevissza karakterek szerepelnek? (Ez azt is jelentheti, hogy az e-mailt olyan nyelven írták, amelyet a levelezõprogramunk nem támogat, és ezért nem tudta az idegen nyelvet lefordítani.) Egy másik gyanús jel, ha üres a tárgysor.
Inter04.qxd
5/3/2006
4:27 PM
Page 53
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? • A Tárgy: sorban kihagyhatatlan ajánlattal bombáznak, netán figyelmeztetésnek tûnõ szöveg van egy számlával kapcsolatban? (Sok levélszemétküldõ és adattolvaj toboroz vírusírókat, hogy mellékeljék tömeges leveleikhez rosszindulatú programjaikat. A kártevõ aztán mindenféle feladatot elláthat, a billentyûleütések rögzítésétõl kezdve egészen a gép levelezõautomatává alakításáig.) • Kapunk-e több e-mailt ugyanattól a feladótól, vagy olyan üzeneteket, amelyeknek gyanúsan azonos a tárgysora? Amennyiben bármelyikre is igennel válaszolnánk a fenti kérdések közül, az üzenetet megnyitás nélkül töröljük. Jónéhány kártevõ már a levél megnyitásakor feléled. Ha mégsem akarjuk törölni a levelet, akkor ne nyissuk ki legalább egy napig, vagy még tovább. Ezalatt ellenõrizzük, hogy a vírusirtó programot forgalmazó weboldalon van-e figyelmeztetés új vírus vagy féreg megjelenésérõl. Ezek a figyelmeztetések gyakran tartalmaznak olyan információt, amely segít felfedezni a vírust a postaládában, például a vírusíró által használt Tárgy sor alapján.
Ne kattintsunk hivatkozásokra vagy programokra a levelekben! Ha meg is nyitunk egy furcsa e-mailt, semmiképpen ne kattintsunk a benne levõ hivatkozásokra vagy a csatolt programokra! Még ha ismerjük is a küldõ személyét, lehet, hogy õ is egy vírus áldozata. A tömeglevélvírusok és -férgek ellopják az áldozat címjegyzékét, és postázzák magukat annyi célpontnak, ahánynak csak lehetséges, kihasználva a levelezõpartnerek közötti ismeretség hitelét. Ha gyanús valamelyik hivatkozás, amelyet egy ismert személytõl kaptunk, gyõzõdjünk meg róla – ha másként nem, hát egy telefonhívással –, hogy valóban õ küldte-e a levelet és a hivatkozást vagy programot, és hogy garantálja-e, hogy az nyugodtan használható. A másik lehetõség, hogy inkább átírjuk közvetlenül a hivatkozást egy böngészõbe. Így kivédhetõ egy rosszindulatú oldalhoz kapcsolódás, ha a hivatkozás rejtett karaktereket is tartalmazott.
Tartsuk valamennyi programunkat naprakészen! Mivel állandóan új vírusok és férgek készülnek, állandóan frissíteni kell a vírusirtó szoftvert. Ha a vírusirtó támogatja az automatikus frissítést, válasszuk ezt a lehetõséget, mert ilyenkor az új kivonatok és egyéb frissítések automatikusan felkerülnek a gépre. A Norton AntiVirus esetében például bekapcsolható az automatikus LiveUpdate szolgáltatás, amely a legfrissebb vírusleírásokat és programfrissítéseket eljuttatja a számítógépre, valahányszor csak az Internetre kapcsolódunk. Kiválasztható az is, hogy emlékeztessen-e a Norton minden egyes alkalommal, amikor új frissítés érkezik, vagy automatikusan töltse le a frissítést a gépre. Ha saját magunk akarjuk telepíteni az új frissítéseket, a Live Update gombra kell kattintani a kinyíló ablak tetején, és saját kezûleg kell elvégezni a letöltést. Más vírusirtó programok is hasonló módszert alkalmaznak az automatikus frissítésnél.
53
Inter04.qxd
5/3/2006
54
4:27 PM
Page 54
Internetes biztonság otthoni felhasználóknak Amennyiben a vírusirtónk nem képes automatikus frissítésre (bár ez ma már nem túl valószínû), legalább azt tisztázni kell, hogyan érhetõ el az új letöltéseket tartalmazó weboldal. Szintén védelem a rosszindulatú programok ellen a többi program rendszeres frissítése, különösen ami az operációs rendszert és az olyan alkalmazásokat illeti, mint az Internet Explorer. A 7. fejezetben részletesebben is szólunk e programok frissítésérõl.
4.5 Mi a teendõ, ha vírust vagy férget kaptunk? Még akkor is elõfordulhat fertõzés, ha minden biztonsági szabályt betart az ember. Ez azonban még nem ok a pánikra. Néha nagyon is könnyen eltávolítható a vírus vagy féreg.
Mirõl ismerjük fel, hogy a számítógép megfertõzõdött? A megfertõzött számítógép felismerésének legjobb módja, hogy rendszeresen lefuttatjuk a víruskeresõt a legfrissebb kivonatokkal. Van mód a számítógép internetkapcsolaton keresztüli vizsgálatára is. Például a Symantec Security Check az Interneten keresztül ellenõriz, vírusokat vagy egyéb rosszindulatú programot keresve. Az ingyenes keresésért látogassunk el a www.symantec.com/securitycheck oldalra. Más vírusirtógyártóknál is találhatók hasonló ingyenes szolgáltatások. A www.mcafee.comon kattintsunk a Home & Home Office (Otthon és otthoni iroda) hivatkozásra, és keressük a Free Tools (Ingyenes eszközök) részt a megnyíló oldal bal alsó részén. A www.trendmicro.com címen kattintsunk a Personal (Személyes) mutatóra. Az oldal bal alsó részén látható a Free Virus Scan hivatkozás is egy ingyenes víruskeresõt indít el. A Panda Software ingyenes keresõje a http://www.pandasoftware.com/products/ /activescan.htm címen található. A keresések azonban nem tudják kimutatni az olyan új rosszindulatú programokat, amelyekhez még nincs kivonat. Ezért érdemes figyelni a fertõzésrõl árulkodó jeleket. Ilyen például fájlok megsérülése vagy eltûnése, egy alkalmazás beállításainak váratlan megváltozása, vagy a biztonsági program ok nélküli letiltása. Hirtelen lelassult vagy kiszámíthatalanná vált a számítógép? A tûzfal azt jelzi, hogy olyan programok próbálnak kapcsolódni az Internetre, amelyeket nem is nyitottunk meg? Ezek mind fertõzésre utaló jelek!
Hogyan távolítsuk el a férget vagy vírust? Ha észrevettük a vírust a számítógépen, azonnal utasítsuk a vírusirtó programot annak eltávolítására. A keresés után a szoftver felajánlja az eltávolítást vagy elszigetelést („karanténba zárást”; ami azt jelenti, hogy a rosszindulatú program a számítógépen marad, de olyan elszigetelt állapotban, hogy nem pusztíthat többé). A vírusirtó képes lehet a vírussal megfertõzött fájlok megtisztítására is.
Inter04.qxd
5/3/2006
4:27 PM
Page 55
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? A vírusirtó gyártója általában felkínál eszközöket a férgek és egyéb kártevõk, például trójai programok eltávolítására is (ezekrõl részletesebben az 5. fejezetben szólunk). Ezek az eszközök letölthetõk a vírusirtó gyártójának weboldaláról. A vírusirtónak meg kell tudnia mondani, szükséges-e egyéb eszköz. Az Egy Beagle féregváltozat eltávolítása címû kiemelt szövegrészben végignézzük majd azokat a lépéseket, amelyek szükségesek voltak ahhoz, hogy a szerzõ eltávolítson egy férget, ami a gépét veszélyeztette. A legrosszabb esetben a vírusirtó nem tudja eltávolítani a kártevõt. Ilyenkor külsõ segítségre lehet szükség. Vegyük fel a kapcsolatot a vírusirtó cég ügyfélszolgálatával, várjuk meg, hogy õk mit ajánlanak (de készüljünk fel hosszú várakozásra). Felvehetjük a kapcsolatot a számítógép gyártójával is, segítséget kérhetünk abban a boltban, ahol vettük a gépet (feltehetõleg nem ingyen), vagy kapcsolatba léphetünk egy helyi számítógépszervizzel, és kérhetünk ott segítséget. Végsõ megoldásként letörölhetjük és újratelepíthetjük az operációs rendszert, illetve az alkalmazásokat az eredeti telepítõlemezek segítségével. Ehhez egyszerûen csak be kell tenni az eredeti operációsrendszer-lemezt a CD-olvasóba és elindítani a számítógépet. A számítógép felszólít, hogy erõsítsük meg, valóban újra akarjuk-e telepíteni az operációs rendszert. Ne feledjük azonban, hogy az operációs rendszer újratelepítése letörli a számítógépen tárolt összes adatot (reméljük, volt rendszeres mentés). Gyõzõdjünk meg róla, hogy minden egyéb lehetõséget kimerítettünk, mielõtt elhatároznánk, hogy újraformázzuk a merevlemezt.
4.6 Hogyan válasszunk vírusirtót? Ha még nincs vírusirtónk, igen sok termék közül választhatunk. A három legnagyobb gyártó a Symantec, amely a Norton AntiVirus nevû terméket árulja, illetve a Trend Micro a PC-cillin és a McAfee a VirusScan nevû programjával. Azért elõnyös a három nagy gyártó valamelyikét választani, mert jól felszerelt kutatócsoportjaik gyorsan elõállítják az új vírusok kivonatait, és megvan az infrastruktúrájuk ahhoz, hogy eljuttassák ezeket a frissítéseket az ügyfelekhez. Az érem másik oldala persze az, hogy ezek az eszközök a legdrágábbak. Közvetlenül a három nagy után számos cég kínál nagyon jó termékeket. Ilyen például a Computer Associates, a Kaspersky Lab, az F-Secure, a ZoneLabs, az ESET és a Panda Software. Ingyen szerezhetõ vírusirtó program a GriSoft cégtõl. Ennek AVG AntiVirus nevû terméke tartalmazza a fizetõs termékek összes szokásos szolgáltatását: ellenõrzi az új fájlokat, programokat és e-maileket, valamint végig lehet nézetni vele az egész merevlemezt. Víruseltávolító eszközöket is tartalmaz, és automatikusan frissíthetõ egy új víruskivonat megjelenése esetén. Az egyetlen hátrány, hogy az ingyenes változat felhasználói
55
Inter04.qxd
5/3/2006
56
4:27 PM
Page 56
Internetes biztonság otthoni felhasználóknak nem kapnak semmilyen technikai támogatást. Bejegyzett felhasználóként küldhetünk kérdéseket a tapasztalt AVG-felhasználóknak egy internetes fórumon, de ha nem vettük meg a fizetõs változatot, akkor nem küldhetünk e-mailt, és nem beszélhetünk az ügyfélszolgálattal sem. (Igaz, a fizetõs változat még mindig sokkal olcsóbb a legtöbb vírusirtónál.) Általában kijelenthetõ, hogy ezek a termékek nagyjából azonos szintû biztonságot nyújtanak. A legtöbb cég felajánl valamennyi ingyenes kipróbálási idõt különbözõ programjaihoz. Néhány program kipróbálása valóban jó ötlet, mert lehetõséget ad rá, hogy kiválasszuk azt, amelyiknek a felhasználói felülete a legkényelmesebb, és amelyiknek a súgója a legtöbb információt nyújtja a számunkra. A 4.3. táblázat olyan vírusirtógyártókat sorol fel, amelyek weboldalaikon ingyenes próbát vagy vásárlási lehetõséget biztosítanak. 2005 közepén az ár 24,95 dollártól 49,95 dollárig terjedt az önálló vírusirtó programok esetében, bár az akciós ajánlatok befolyásolhatják az árat. Amint már említettük, hasznosabb egy olyan termék, amelyik a vírusvédelmen kívül egyéb szolgáltatásokat is tartalmaz. 4.3. táblázat A vezetõ vírusirtó termékek Termék Gyártó Anti-Virus Personal Kaspersky Lab AVG Anti-Virus GriSoft eTrust Antivirus Computer Associates F-Secure Anti-Virus F-Secure NOD32 ESET Norton AntiVirus Symantec PC-cillin Trend Micro Titanium Antivirus Panda Software VirusScan McAfee ZoneAlarm AntiVirus Zone Labs
Weboldal www.kaspersky.com http://free.grisoft.com www.ca.com www.f-secure.com www.eset.com www.symantec.com www.trendmicro.com www.pandasoftware.com www.mcafee.com www.zonelabs.com
Amennyiben további tanácsra lenne szükségünk, a magazinok és egyéb weboldalak, például a PC Magazin (www.pcmagazine.com), a PC World (www.pcworld.hu) és a CNET (www.cnet.com) rendszeresen mutatnak be végfelhasználói biztonsági programokat, és általában kiválasztják a „szerkesztõk kedvencét” is. Olvassuk el ezeket az ismertetéseket, hasonlítsuk össze az árakat és a kínált szolgáltatásokat.
4.7 Ellenõrzõlista Az alábbi ellenõrzõlista a fejezetben tárgyaltak áttekintésére szolgál. Mit tegyünk? • Használjunk vírusirtót, akár önálló programként, akár egy programcsomag részeként! • Rendszeresen végezzünk vírusellenõrzést számítógépünkön, és tartsuk vírusirtónkat naprakészen!
Inter04.qxd
5/3/2006
4:27 PM
Page 57
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl? • Frissítsük gyakran operációs rendszerünket és böngészõnket! • Fontos fájljainkról készítsünk rendszeresen biztonsági másolatot! Mit ne tegyünk soha? • Ne nyissunk meg ismeretlen személytõl érkezõ gyanús, kéretlen e-maileket! • Ne kattintsunk ismeretlen levelekben szereplõ hivatkozásokra, és ne nyissuk meg az ilyen levelek mellékleteit!
4.8 Hasznos források Ebben a részben néhány további hasznos forrást mutatunk be. A fejezetben felsorolt minden gyártó nyújt tájékoztatást a vírusjárványokkal, a frissítésekkel és az eltávolító eszközökkel kapcsolatban, és mindnyájan adnak ötleteket, hogy miként lehet elkerülni a rosszindulatú programokat és megvédeni számítógépünket. A Kaspersky Lab által a www.viruslist.com címen mûködtetett víruslista kitûnõ forrása az ártalmas programokkal, a kéretlen levelekkel, a rosszindulatú támadókkal és az általános internetes biztonsági kérdésekkel kapcsolatos információknak. Az oldalon egy enciklopédiát is találunk, amelyben a rosszindulatú programokkal kapcsolatos különféle témák között böngészhetünk, valamint javaslatokat, hogy miként védhetjük számítógépünket nagyobb biztonsággal. A www.virusbtn.com címen található Virus Bulletin adatok garmadáját tartalmazza a vírusokról és egyéb kártevõkrõl, és egy hírlevélre is elõfizethetünk, amely a víruskutatók közösségétõl érkezõ hírekrõl tájékoztat. A www.wildlist.org címen található WildList Organization magát a létezõ vírusok számában kicsit túlzásokra hajlamos vírusirtógyártók egyfajta ellenõrének tartja. Van is némi igaza. Attól függõen, hogy melyik gyártónak hiszünk, a létezõ vírusok száma 50 és 90 ezer közötti, és folyamatosan nõ. A gyakorlatban azonban a jelentõs mértékben elterjedt vírusok száma ennek töredéke. Ez a szervezet nyomon követi azokat a vírusokat, amelyek valóban veszélyeztetik a hétköznapi számítógépek munkáját. A „vad” vírusokat kiemelik azok közül, amelyeket a kutatók a laboratóriumban állítottak elõ, vagy csak valamiféle „elv igazolására” születtek, és ténylegesen nem terjednek. A WildList a víruskutatók közösségének önkénteseire támaszkodik, illetve mindenki másra, akik vírusmintákat küldenek, és nyomon követik a vadon kószáló vírusokat. Magyarországon érdemes felkeresni a http://wigwam.sztaki.hu és a http://virus.lap.hu/ oldalakat is.
57
Inter04.qxd
5/3/2006
58
4:27 PM
Page 58
Internetes biztonság otthoni felhasználóknak
Egy Beagle féregváltozat eltávolítása 2005 januárjának végén az otthoni számítógépem megfertõzõdött a Beagle féreg egyik, Beagle.BA nevû változatával. (A legtöbb vírusirtó így nevezi ezt a Beagle férget.) Ez a változat egy már létezõ, korábban megjelent kártevõ új alakja. A változatok úgy jönnek létre, hogy a vírus- vagy féregírók módosítanak vagy kiegészítenek egy már meglévõ programot. A Beagle.BA tömeglevélféreg, amely megkísérelte kikapcsolni a vírusirtót és a biztonsági programokat a gazdagépen. Ez nem szokatlan dolog egy féregtõl, különösen azoktól, amelyek trójai programot próbálnak a számítógépre csempészni, hogy a gépet késõbb a támadók használni tudják. Szerencsémre a Beagle.BA nem hordozott trójai programot töltetként. Akkor fedeztem fel, hogy megfertõzõdtem, amikor a merevlemezen végzett rendszeres vírusellenõrzés kimutatta a férget. A Norton AntiVirus törölte a férget a számítógéprõl, de ajánlotta, hogy töltsek le egy speciális javítóeszközt, amely minden kárt kijavít, amit a féreg a betelepüléskor okozhatott. Elmentem a www.symantec.com oldalra, ahol a Security Response hivatkozásra kattintottam. Ekkoriban a Beagle.AB az elsõ oldalon szerepelt a Security Response listán, így arra a hivatkozásra kattintottam, amelyik egyenesen a Beagle.AB-t eltávolító eszközhöz vezetett. (Ha nem találjuk meg az általunk keresett vírust a Security Response elsõ oldalán, írjuk be a nevet a keresõmezõbe.) A webes útmutató azt javasolta, hogy kapcsoljam ki a Rendszer-visszaállítást (System Restore). Ez a Windows egyik szolgáltatása, amely figyeli az operációs rendszer mûködéséhez elengedhetetlen rendszerfájlok és a rendszerleíró adatbázis változásait. Segítségével „pillanatkép” készíthetõ a számítógép egy ismert, jó állapotáról, amikor minden helyesen mûködik. Ha valami megakasztja ezt a helyes mûködést, a Rendszer-visszaállítás segítségével vissza lehet térni az ismert jó állapothoz. Mivel a kártevõk gyakran rendszerfájlokba és a rendszerleíró adatbázis bejegyzéseibe mentik magukat, elõfordulhat, hogy a Rendszer-visszaállítás menti a férget vagy vírust is, és újratelepíti a kártevõt a számítógépre. A segédprogram kikapcsolásával minden korábban tárolt visszaállítási pontot eltávolítunk. Ha a rendszer-visszaállításról többet szeretnénk tudni, kattintsunk a Súgó és Támogatás menüpontra, és írjuk be a „rendszer visszaállítása” kifejezést a keresõmezõbe. A Rendszer-visszaállítás ideiglenes kikapcsolása nem érinti a személyes fájlokat, tehát például a Word dokumentumokat, képeket és egyéb médiafájlokat. A segédprogram kikapcsolásához kattintsunk a Start gombra, majd válasszuk a Vezérlõpult pontot. (A Startmenü beállításától függõen lehet, hogy Vezérlõpult lehetõséget a Beállítások között találjuk.) A Vezérlõpultra kattintás után megnyílik egy ablak, amely egy kategória kiválasztására kér (4.1. ábra).
Inter04.qxd
5/3/2006
4:27 PM
Page 59
4. fejezet • Hogyan szabaduljunk meg a váratlan vendégektõl?
4.1. ábra A Vezérlõpult Teljesítmény és karbantartás kategóriája
Válasszuk a Teljesítmény és karbantartás lehetõséget, majd kattintsunk a Rendszer pontra (4.2. ábra). Egy kisebb, Rendszertulajdonságok nevû ablak ugrik elõ, ez látható a 4.3. ábrán. Ez az ablak több lapból áll (például Általános, Számítógépnév és Hardver). Válasszuk A rendszer visszaállítása lapot. Itt látható A rendszer-visszaállítás kikapcsolása... nevû jelölõnégyzet. Jelöljük be, majd kattintsunk az ablak alján található Alkalmazás gombra.
4.2. ábra A Rendszer kategória a Teljesítmény és karbantartás csoportban
59
Inter04.qxd
5/3/2006
60
4:27 PM
Page 60
Internetes biztonság otthoni felhasználóknak Miután elvégeztem a fentieket, letöltöttem az FxBeagle nevû eszközt, és elindítottam a gépen. Miután a program végzett, visszatértem A rendszer visszaállítása ablakhoz, és visszakapcsoltam a rendszer-visszaállítást. Ezután elvégeztem ismét egy teljes víruskeresést a merevlemezen, és most már tiszta volt a gép.
4.3. ábra A Rendszertulajdonságok párbeszédablak
Ha biztosak vagyunk abban, hogy a számítógép tiszta, saját kezûleg is beállíthatunk saját visszaállítási pontokat. Ehhez kattintsunk a Start gombra, majd válasszuk a Minden program (Programok), Kellékek, Rendszereszközök, Rendszer-visszaállítás menüpontot. Egy varázsló végigvezet a visszaállítási pontok beállításához szükséges lépéseken.
Inter09.qxd
5/3/2006
1:59 PM
Page 157
9 A vezeték nélküli eszközök és a VoIP biztonsága Régebben a számítógép csak számítógép, a telefon pedig csak telefon volt. Napjainkban ez a megkülönböztetés már sokkal nehezebb, és az elkövetkezõ öt évben valószínûleg értelmét is fogja veszíteni. A vezeték vagy drót nélküli (wireless) technológiák és az internetes telefonálás fejlõdésének köszönhetõen a mai személyi számítógépek hordozhatóbbak, mint valaha, és még a saját számítógépünkrõl is kezdeményezhetünk telefonhívást. Eközben a mobiltelefonokba, elektronikus személyi titkárokba (PDA, Personal Digital Assistant), és vezeték nélküli levelezõeszközökbe belekerültek az asztali számítógép jellemvonásai, szolgáltatásai, és processzorteljesítménye. Ezeknek a fejlesztéseknek számos elõnye van. A vezeték nélküli megoldások nagyobb mobilitást és kényelmet nyújtanak otthonra és könnyebb internet-hozzáférést otthonunkon kívül. Pillanatnyilag a vezeték nélküliség néhány nyilvános hozzáférési pontra (hotspot) korlátozódik, de idõvel ugyanazt a vezeték nélküli internet-hozzáférést lehet majd élvezni a számítógépen, mint a mobiltelefonokon. Jelenleg a Voice over IP (VoIP, internetes hangátvitel) kínál olcsó számítógépes telefonálást, ahol a beszélgetés nem a hagyományos telefonhálózaton, hanem az Interneten keresztül folyik. Ha már telefonokról van szó, a mobiltelefonok szintén rendkívüli fejlesztéseken mentek keresztül: a cégek újabb és újabb szolgáltatásokat nyújtanak, például szöveges üzenetküldési lehetõséget (korábban ki gondolta volna, hogy ilyen népszerûvé válik az SMS?), digitális fényképezést és internetkapcsolatot, továbbá az olyan (az e-mailhez folyamatos vezeték nélküli hozzáférést nyújtó) készülékek, mint a BlackBerry, vagy a digitális határidõnaplók (Palm Pilot) nemsokára telefonálásra is alkalmasak lesznek, így még jobban
Inter09.qxd
5/3/2006
158
1:59 PM
Page 158
Internetes biztonság otthoni felhasználóknak elmosódik a kézi készülékek között húzódó határ. A jövõben (legalábbis a hirdetõk álmai szerint) a helyi üzletek virtuális kuponokat fognak sugározni, és ajánlataikat a mobiltelefonunkra küldik majd, ha elsétálunk a bolt mellett. No persze, ahogy mostanra már nyilván kitaláltuk, az új mûszaki megoldások jó tulajdonságait össze kell vetni az esetleges biztonsági hátrányokkal. A hátrányok, különösen a vezeték nélküli rendszerek esetében bizony jelentõsek. A problémák közül még a szerényebb, ha valaki az internetkapcsolatunkra csatlakozva szabadon töltöget és ingyen böngészik – a lista csúnyábbik végén olyan tolvajok és bûnõzök találhatók, akik személyes adatokat lopnak. A mobiltelefonok kézi számítógéppé alakulásuk közben áldozatul esnek a PC-ket gyötrõ kártevõknek (már léteznek mobiltelefon-vírusok), és a számítógép telefonhoz közeledésének (VoIP) is megvannak a maga hátrányai, amelyek közül néhánynak biztonsági következményei is vannak. Ez a fejezet ezeknek az új mûszaki megoldásoknak a lehetséges veszélyeit tekinti át.
9.1 Hogyan mûködik a vezeték nélküli hálózat? Manapság számos háztartásban elõfordul, hogy egynél több, közös internetkapcsolatot használó számítógép van. Egyre több az otthoni hálózat, amelynek számítógépei között megengedett a fájlcsere, valamint az internethasználaton való osztozkodás. Ezekben az otthoni hálózatokban a számítógépek vagy kábellel, vagy vezeték nélkül csatlakoznak egymáshoz. A vezeték nélküli hálózatokat azért szeretjük, mert nem fut kábel minden számítógéphez a házban, és a családtagok egyszerre is használhatják az Internetet akár a fürdõszobából, akár a nappaliból, az otthoni irodából vagy akár még a kertbõl is (a hozzáférési pont jelerõsségétõl függõen). Egy alapszintû vezeték nélküli kapcsolathoz két összetevõre van szükség: egy vezeték nélküli kártyára vagy lapkára a számítógépben, illetve egy hozzáférési pontra (AP, access point), amit néha vezeték nélküli útválasztónak (wireless router) is hívnak. A mai hordozható számítógépek többsége beépítve tartalmazza a vezeték nélküli elérés lehetõségét, ha pedig régebbi laptopunk van, vásárolhatunk egy kártyát, ami biztosítja ezt a képességet. A hozzáférési pont többféle módon is csatlakozhat az Internetre: telefonos betárcsázással, DSL modemen vagy kábelmodemen keresztül. Egy hozzáférési ponthoz több számítógép is csatlakozhat rádiós kapcsolaton keresztül. Az otthoni vezeték nélküli termékek gyártói között olyan neves cégek találhatók, mint a Linksys, a Belkin, a D-Link és a NetGear. A mai otthoni vezeték nélküli kapcsolatoknak egy szabványrendszer, az úgynevezett Wi-Fi az alapja, ami a „wireless fidelity” rövidítése („vezeték nélküli hûség”, a Hi-Fi alapján). A WiFi szabványt az Institute of Electrical and Electronics Engineers (IEEE) gondozza – ez a szervezet vizsgálja felül a mûszaki szabványokat, hogy biztosítsa a különbözõ vállalatok által gyártott termékek problémamentes együttmûködését. A Wi-Fi több szabványt is tartalmaz, amelyek a 802.11 kód alá tartoznak, a vezeték nélküli hálózati szabványokat kidolgozó munkacsoport azonosítója után. A jelen fejezetben négy IEEE-szabványt mutatunk be, a 802.11b, 802.11g, 802.11a és a 802.1x jelûeket. A b, g és a szabványok az adatát-
Inter09.qxd
5/3/2006
1:59 PM
Page 159
9. fejezet • A vezeték nélküli eszközök és a VoIP biztonsága vitel alapvetõ kérdéseivel foglalkoznak. A 802.1x egy keretrendszert határoz meg a hitelesítési adatok cseréjéhez a vezeték nélküli hálózatok készülékei között; errõl a szabványról még lesz szó a fejezet vége felé. A b, g és a jelû szabványok több dologban is eltérnek: a kapacitásban (mennyi adatot képesek átvinni adott idõ alatt), az áthidalt távolságban (milyen messzire képesek továbbítani a jelet), a használt rádióhullámok tartományában, illetve hogy miként kezelik az interferenciát. (A rádióhullámú jeleket zavarja a tereptárgyak – falak, födémek, természeti képzõdmények, például hegyek – által okozott interferencia, de ugyanígy ütközhetnek a más készülékek, például mikrohullámú sütõk gerjesztette elektromágneses mezõvel is.) A legszélesebb körben elfogadott szabvány a 802.11b, ami azt jelenti, hogy a megvásárolt vezeték nélküli berendezések és nyilvános hozzáférési pontok (amelyek például kávézókban találhatók) többsége használja vagy támogatja ezt a szabványt. A 802.11b maximális kapacitása másodpercenként 11 megabit, és körülbelül 50 méter távolságot képes áthidalni. Az újabb szabványok még nagyobb sebességet nyújtanak – másodpercenként 54 megabitet –, és mostanra már talán át is vették a 11 megabites eszközöktõl a vezetõ helyet. Szinte naponta jelennek meg új termékek, amelyek közül néhány többféle szabványt is támogat, és a hálózati követelményektõl függõen váltani is tud köztük. A szabvány kiválasztásakor különféle kompromisszumokat kell kötni. A 802.11a hatótávolsága például feleakkora, mint a többié, de az 5 GHz körüli sávban mûködik, ami kevésbé zsúfolt, és kevésbé hajlamos a mágneses interferenciára. A 802.11b-nek és g-nek nagyobb a sebessége, és rengeteg fogyasztói Wi-Fi eszköz és vezeték nélküli hálózat támogatja. Ezekben azonban érezhetõ interferenciát okozhatnak a vezeték nélküli telefonok és mikrohullámú sütõk. A három Wi-Fi szabványt a 9.1. táblázat foglalja össze. 9.1. táblázat Vezeték nélküli hálózati szabványok Szabvány
Legnagyobb sebesség
Hatótávolság
Terméktámogatás
Frekvencia
802.11b
11 Mb/mp
30-50 m
2,4 GHz
802.11g
54 Mb/mp
30-50 m
802.11a
54 Mb/mp
10-25 m
Széleskörû támogatás a vezeték nélküli eszközökben Egyre támogatottabb. Összeegyeztethetõ a 802.11b szabvánnyal (de csak 11 Mb/mp sebességen) Új technológia, jelenleg a legkevésbé támogatott. Nem mûködik együtt a 802.11b vagy g szabványokkal
2,4 GHz
5 GHz
159
Inter09.qxd
5/3/2006
160
1:59 PM
Page 160
Internetes biztonság otthoni felhasználóknak
9.2 A WLAN-ok biztonsági kérdései A Wi-Fi hálózatok (vezeték nélküli helyi hálózatnak vagy WLAN-nak – Wireless Local Area Network – is hívják õket) kényelmének a titoktartás és biztonság komoly hiánya az ára. Talán nem tudatosul azonnal, de a számítógépünkben lévõ lapka vagy kártya és a hozzáférési pont között rádiókapcsolat áll fenn, jóllehet kisebb és más a frekvenciatartománya, mint a hagyományos AM/FM rádióké. A vezeték nélküli készülék által küldött jelet a hatótávolságába esõ összes készülék képes fogni, nemcsak a saját hozzáférési pont. A támadók ezt tudják, és egy „szimatolónak” (sniffer) nevezett szoftver segítségével lehallgathatják a titkosítás nélküli Wi-Fi kapcsolatokat. Ezek a lehallgatóprogramok a telefonos lehallgatás vezeték nélküli megfelelõi, azzal a különbséggel, hogy az e-maileket és az azonnali üzenetküldõk üzeneteit hallgatják le, és természetesen minden jelszó és felhasználói azonosító rögzítésére képesek a kapcsolat idõtartama alatt. A vezeték nélküli lehallgató eszközök igazából a vezetékes hálózatok lehallgató eszközeinek továbbfejlesztett változatai. A vezeték nélküli lehallgatók használata sokkal egyszerûbb, mert nem kell fizikai vezetékes csatlakozást létrehozni vagy hálózati csatlakozót találni – egyszerûen csak be kell kapcsolni a szimatolót a Wi-Fi közelében, és figyelni a forgalmat. A szimatolókon kívül a hatósugáron belül tartózkodó minden vezeték nélküli kommunikációra alkalmas lapkával vagy kártyával rendelkezõ számítógép is képes csatlakozni a hozzáférési ponthoz. A legtöbb WLAN technológiának mintegy 50 méter a hatótávolsága, azaz a hozzáférési pont nem sugároz jeleket Kínáig és vissza, de a jel ahhoz éppen elég messzire terjed, hogy a szomszéd vagy valaki a ház elõtt egy autóban ülve lehallgassa. Azt is észben kell tartani, hogy a rádiós adatátvitel nemcsak egyenes vonalban terjed, hanem felfelé és lefelé is, mint ahogy egy hullám a tóban. A rádiójel áthatol a falakon, folyosókon, és a mennyezeten, így az alsó és a felsõ szomszéd, illetve körben mindenki benne lehet a hatósugárban. Azért szögezzük le, hogy a WLAN használata nem mindig ilyen szörnyen veszélyes. Elég kicsi a valószínûsége, hogy egy bûnözõ folyamatosan a ház elõtt sürög-forog, és megpróbálja feltörni a rádiós forgalmat. (Ennek a valószínûsége sokkal nagyobb a nyilvános hozzáférési pontoknál, de ezt a kérdést késõbb tárgyaljuk.) Ami ennél sokkal valószínûbb, hogy a kíváncsiskodó szomszéd belekukkant az adatforgalomba, és ingyen használja az internetkapcsolatot. Az is elõfordulhat, hogy a WiFi-mániákusok körbe-körbe kocsikáznak a környéken egy különleges programot használva, hogy rádiós hálózatot találjanak. Ezt a „war dialing” alapján „war drivingnak” hívják; a „war dialing” (háborús tárcsázás) azt a támadási módszert jelenti, amikor egy automata számítógépprogram segítségével sok-sok telefonszámot hívnak fel számítógépes modemek után kutatva. A „kocsikázók” néha nem csak szabad internet-hozzáférést keresnek a szomszédságban, néhányuk feltörési szándékkal is keresgél, de általában a nyilvános WLAN-ok vonzzák õket, amelyek közül számos alig vagy egyáltalán nem védett. Sokan szabadon hagyják hozzáférési pontjukat, hogy segítsék a szélessávú internethozzáférést, de aki jobban kedveli a magányt, lezárhatja a WLAN-ját. Elõször is, a hozzáférési pontok titkosíthatók. A titkosítás során a géprõl a hozzáférési pontnak küldött
Inter09.qxd
5/3/2006
1:59 PM
Page 161
9. fejezet • A vezeték nélküli eszközök és a VoIP biztonsága (és az onnan érkezõ) adatokat olvashatatlan szöveggé kódolják. A többi felhasználó legfeljebb ezt láthatja, de a vezeték nélküli kapcsolaton keresztül ténylegesen küldött és fogadott adatokat nem. A WLAN-forgalom titkosítására három szabványos kódolás szolgál: a WEP (Wired Equivalent Privacy, vezetékes hálózatnak megfelelõ adatvédelem), a WPA (Wi-Fi Protected Access, védett Wi-Fi-n keresztüli hozzáférés), és a WPA2 (ez a WPA továbbfejlesztése, amely erõsebb kódolási algoritmust használ). A WPA2 megfelel a 802.11i szabványnak, amely szintén a vezeték nélküli hálózatok biztonságának növelését célozza. A WEP régebbi titkosítási módszer, amelyrõl bebizonyosodott, hogy az általános WLANbiztonság garantálására is alkalmatlan, az üzleti WLAN-ok biztosítására pedig teljesen. A WEP legnagyobb hibája, hogy gyenge kódolást használ: rövid kulcsokat, viszonylag sokáig. A kulcs az a kódsorozat, amelynek alapján egy matematikai függvény az érthetõ szöveget érthetetlenné teszi, illetve visszaalakítja érthetõ szöveggé. A kulcsok hossza 40 és 2048 bit között változhat, de lehet ennél hosszabb is. Általában igaz, hogy minél hosszabb a kulcs, annál nehezebben fejti meg egy számítógép a kódolt üzenetet azzal, hogy kipróbálja a számok és betûk összes lehetséges variációját. A hosszabb kulcsok titkosító és visszafejtõ függvényeinek futtatása nagyobb processzorteljesítményt igényel, így a rövidebb kulcsok használata a mûködési sebességet növelõ kompromisszum. Néhány rövid kulcsot használó program nagy gyakorisággal változtat a kódon (mondjuk percenként), így ha a támadó fel is törne egy kulcsot, mindent elölrõl kellene kezdenie, amikor az új kulcs mûködésbe lép. Mivelhogy a WEP rövid kulcsokat, viszont hosszú idõszakokat használ, és a kulcsok is nagyon gyengék, a kutatók hamar felfedezték, hogy rövid idõ alatt meg lehet fejteni a WEP-kódolású üzeneteket. Hamar megjelentek az Interneten a WLAN-támadásra alkalmas programok. A legaljasabb az AirSnort nevû, amely percek alatt képes feltörni a WEP-kódolással védett üzeneteket. A WPA és a WPA2 hosszabb és gyakrabban váltott kulcsokkal küszöböli ki a WEP hiányosságait. A manapság kapható hozzáférési pontok kivétel nélkül a WPA-t vagy a WPA2-t használják; a régebbi WLAN-készülékek esetleg szoftverfrissítést igényelhetnek a WEP-rõl a WPA-ra. Ha nincs elérhetõ frissítés, akkor is érdemes használni legalább a WEP-t, mert bármilyen védelem többet ér, mint a semmi. (A WEP arra elég jó, hogy távol tartsa a kíváncsiskodó szomszédot, de a használata a vállalati hálózatokban nem elfogadható, mert ezeket a bûnözõk gyakrabban támadják, és érzékeny információözön kering bennük.) A WPA-t és a WPA2-t az üzleti és a magánfelhasználók más-más módra állíthatják. Otthoni felhasználóként a vezeték nélküli AP beállításakor a WPA-PSK (Wi-Fi Protected Access Preshared Key) lehetõséget érdemes választani. A WPA-PSK-nak egy jelszóra van szüksége, ebbõl állítja elõ a hozzáférési pont kódolási kulcsát. Egy jó jelszóban számok és betûk is
161
Inter09.qxd
5/3/2006
162
1:59 PM
Page 162
Internetes biztonság otthoni felhasználóknak találhatók. Ezt a jelszót minden készülékbe be kell írni, amellyel a hozzáférési ponthoz csatlakozni kívánunk. A WPA bekapcsolása után minden, a számítógép és a hozzáférési pont között átvitt adat titkosított lesz. A Windows XP SP2-ben egy varázsló van a segítségünkre a WLAN beállítása során. A varázsló a Start, Vezérlõpult, Hálózati és internetes kapcsolatok (Network and Internet Connections) ikonra kattintva érhetõ el. A vezeték nélküli kártya ikonja mellett látható a Vezeték nélküli hálózat beállítása varázsló (Wireless Network Setup Wizard; 9.1. ábra).
9.1. ábra A Vezeték nélküli hálózat beállítása varázsló
A varázsló átvezet a biztonságos vezeték nélküli hálózat kialakításához szükséges összes lépésen. Az elsõ képernyõn arra kér, hogy válasszunk egy SSID-t (errõl részletesebben kicsit késõbb beszélünk), amint az a 9.2. ábrán látható, továbbá választ vár arra is, hogy automatikus vagy egyéni meghatározású legyen-e a kommunikációt titkosító hálózati kulcs. A Microsoft az automatikus beállítást javasolja. Ha a hozzáférési pont támogatja a WPA-t, akkor ellenõrizzük a képernyõ alján, hogy a WPA kódolás van-e bejelölve a WEP helyett. A titkosításon túl más biztonsági megoldás is létezik a vezeték nélküli hálózatok védelmére: a 802.1x. Ez a szabvány egy keretrendszer hitelesítési adatok, például jelszavak, digitális tanúsítványok vagy biztonsági tokenek elküldéséhez, hogy hozzáférhessünk a vezeték nélküli hálózathoz. Otthoni hálózat beállításakor nem kell törõdnünk a 802.1x-szel, viszont szembetalálkozhatunk vele, ha nyilvános vezeték nélküli hálózaton, például egy kávézóban vagy egy hotelben vásárolunk használati idõt. További lépéseket is tehetünk a Wi-Fi hálózat biztonságossá tételéhez – ezekrõl a következõ részekben lesz szó.
Inter09.qxd
5/3/2006
1:59 PM
Page 163
9. fejezet • A vezeték nélküli eszközök és a VoIP biztonsága
9.2. ábra Az SSID és a WPA kiválasztása
Az alapértelmezett SSID megváltoztatása Az SSID (Service Set Identifier, szolgáltatáshalmaz-azonosító) egy a vezeték nélküli hozzáférési ponthoz tartozó, 32 karakterbõl álló azonosító. Az SSID lényegében úgy viselkedik, mint egy név: megkülönbözteti a hozzáférési pontunkat vagy WLAN-unkat a többitõl. A hozzáférési ponthoz csatlakozni kívánó berendezéseknek ismerniük kell az SSID-t. Gondot jelent, hogy a legtöbb hozzáférési pont alapértelmezés szerint ugyanazt a gyárilag beállított SSID-t (például „default”) használja. Ezek a gyári SSID-k jól ismertek, ezért célszerû megváltoztatni õket. Bármilyen név választható, de a legjobb a szavak és betûk kombinációja. Az SSID átvitele általában kódolatlanul történik, ezért ne használjunk személyes adatokat, amilyen például a születési dátum, az internetes jelszó, a nevünk vagy a címünk. Ha a hozzáférési pont SSID-jét módosítjuk, akkor ezt meg kell adnunk a hozzáférési ponthoz csatlakozó minden egyes számítógépen.
Az SSID-sugárzás kikapcsolása Lehetséges, hogy a hozzáférési pont úgy van beállítva, hogy rendszeres idõközönként (mondjuk néhány másodpercenként) szétsugározza az SSID-jét. Ez hasznos eljárás lehet nagy WLAN-ok esetében, ahol a felhasználók mozognak a hozzáférési pontok között, de teljesen felesleges az otthoni hálózatoknál, és megelõzésképpen célszerû is kikapcsolni, nehogy egy lehetséges betolakodó megtudja a hálózat nevét.
Az alapjelszó megváltoztatása A hozzáférési pont kérhet továbbá egy jelszót a beállítások módosításához. Sajnos ugyanúgy, mint az SSID esetében, általában ez is gyári beállítású. Ezeket az alapjelszavakat a bûnözõk és a csalók jól ismerik, így a saját érdekünkben változtassuk meg.
163
Inter09.qxd
5/3/2006
164
1:59 PM
Page 164
Internetes biztonság otthoni felhasználóknak
A MAC-szûrés bekapcsolása Néhány hozzáférési pont beállítható úgy, hogy csak meghatározott MAC címekkel lehessen hozzá csatlakozni. (A MAC címnek semmi köze a Macintosh számítógépekhez, amelyeket gyakran Macnek neveznek. A MAC a Media Access Control nevû hálózati réteg rövidítése). Minden hálózati kártyának van egy egyedi száma: ez a MAC cím, és elvileg nincs két egyforma MAC címû hálózati kártya. A gyakran Ethernet kártyának is nevezett hálózati kártyák feladata a számítógépek összekötése a hálózattal. Az utóbbi években eladott számítógépek zömében van hálózati kártya. Mivel minden MAC cím egyedi, a MAC címek szûrése hatásos módszer az ismeretlen számítógépek hálózathoz csatlakozásának letiltására. A MAC cím megtalálásához kattintsunk a Start, Futtatás (Run) menüpontra, és írjuk be, hogy „command”. Ekkor megnyílik egy parancsértelmezõ ablak, benne egy villogó készenléti jel. Ide írjuk be az ipconfig parancsot, és nyomjuk meg az Enter billentyût. Ekkor megjelennek a számítógép részletes hálózati beállításai (lásd a 9.3. ábrát). Keressük meg a fizikai címhez (Physical Address) tartozó bejegyzést: ez a hálózati kártya MAC címe. A MAC cím számokból és betûkbõl áll, és valahogy így néz ki: 00.0D.60.FE.0F.1B. Ha a számítógépben nincs hálózati kártya, a MAC-szûrés nem használható.
9.3. ábra Egy számítógép MAC címe
Vezeték nélküli biztonsági programok Ha bekapcsoljuk a WPA-t, és elvégezzük a többi lépést is a vezeték nélküli kapcsolat biztonsága érdekében, valószínûleg nagyobb biztonságban leszünk, mint a legtöbben, az internetes bûnözõk ugyanis elõször a védtelen célpontokat támadják. Ha azonban kimagasló biztonságot akarunk, vásároljunk valamilyen vezeték nélküli biztonsági programot. Ezeknek a programoknak az az igazi értéke, hogy segítséget nyújtanak a más rádiós hálózatokhoz (mondjuk egy kávézó vagy más nyilvános hozzáférési pont hálózatához) való csatlakozáshoz.
Inter09.qxd
5/3/2006
1:59 PM
Page 165
9. fejezet • A vezeték nélküli eszközök és a VoIP biztonsága A biztonsági programokat gyártó McAfee ingyenesen ellenõrzi vezeték nélküli hálózatunk biztonságát. Ehhez le kell töltenünk egy ActiveX vezérlõt (tehát az Internet Explorer böngészõt kell használnunk). A teszt végrehajtásához látogassunk el a www.mcafee.com oldalra, keressük ki a Download Product Updates & Upgrades (Termékfrissítések letöltése) részt, itt kattintsunk a Home User (Otthoni felhasználó) hivatkozásra, és keressük meg a Free Services (Ingyenes szolgáltatások) McAfee Wi-Fi Scan elemét. A Trend Micro a Wi-Fi Intrusion Detection nevû szolgáltatással bõvítette PC-cillin nevû termékét, amely már eddig is tartalmazott személyi tûzfalat, illetve vírus- és kémprogramirtót. A Wi-Fi Intrusion Detection modul figyelmeztet, amikor egy autós wifi-vadász vagy egy ismeretlen számítógép belép a vezeték nélküli hálózatba. Látogassunk el a www.trendmicro.com oldalra. Az OTO nevû cég készíti a Wi-Fi Defense 1.0 nevû terméket, amely szintén a vezeték nélküli hálózat védelmét segítõ program. Automatikusan bekapcsolja a WLAN biztonsági beállításait, és segít felügyelni az éppen a hálózaton tartózkodó felhasználókat, továbbá megkönnyíti az új felhasználók hozzáadását a vezeték nélküli hálózathoz, illetve eltávolításukat onnan. A webhelyük címe: www.otosoftware.com. A Zone Labs a ZoneAlarm Wireless Security nevû megoldást kínálja. Ez a program automatikusan felismeri a vezeték nélküli hálózatokat, és segít biztonságossá tenni azokat, továbbá megengedi, hogy a különbözõ, közösen használt rádiós hálózatokra különbözõ biztonsági beállításokat adhassunk meg. A program tartalmazza a ZoneAlarm tûzfalat is. További információt a www.zonelabs.com címen kaphatunk. A LucidLink Wireless Security ingyenes programot kínál az otthoni vezeték nélküli iroda kialakításához. Egyszerûbbé teszi az otthoni irodai hozzáférési pont létrehozását és beállítását, valamint a felhasználók felvételét és eltávolítását a WLAN-ról. A szoftver három felhasználóig ingyenes, de szükség van még egy elkülönített, a vezetékes hálózathoz csatlakozó számítógépre is, ami biztonsági felügyeleti konzolként mûködik. Ez a vezetékes számítógép azonosítja a rádiós hálózathoz csatlakozó vezeték nélküli számítógépeket. További információ: www.lucidlink.com.
9.3 A nyilvános hozzáférési pontok biztonsága Vezeték nélküli hálózatokat nem csak otthon szokás használni. Számos nyilvános helyen – kávézókban, gyorséttermekben, szállodákban, városok terein, könyvesboltokban, könyvtárakban – csatlakozhatunk rádiós hálózatokhoz. A nyilvános WLAN-ok hozzáférési pontjainak népszerû angol neve „hotspot”, amelyek terjedését a vezeték nélküli csatlakozás hihetetlen kényelme és az iránta mutatott kereslet serkenti. Mostanra már a Boeing is vezeték nélküli hozzáférési ponttal felszerelt repülõgépeket épít. A hozzáférési pont a gépen található mûholdantennához továbbítja az adatokat, amelyek ezen keresztül jutnak el a földi állomáshoz. Ennek eredményeképpen az így felszerelt repülõgép utasai 10 ezer méter
165