Biztonsági jótanácsok - "tömören"

Security-all

Eddigi hozzászólások alapján [last upd.: 2011.04.16 - 16h]: http://wiki.hup.hu/index.php/Biztons%C3%A1gi_j%C3%B3tan%C3%A1csok_t%C3%…

  • 2869 megtekintés

( XYBeR | 2011. 04. 10., v – 14:35 )

ha nem is biztonsági jótanács, de:

"A többoldalnyi, feleslegesen középre rendezett szöveg rontja az olvashatóságot"

szerk: mi az a ridegvér? :)

( Panther v | 2011. 04. 10., v – 14:37 )

Csak beleolvastam. Itt van mindjárt egy problémám:

Szeresd a checksum-okat, akár egy letöltött telepítő CD-t ellenőrizz velük, akár a "/boot"-odat, amit esetleg nem tudtál titkosítani.
Ha lehet, a SHA512-őt részesítsd előnyben, és menekülj az MD5, CRC32-től, stb.

A kiemelt rész nettó hülyeség. Egyvalamire jó, hogy tudd, nem sérült meg a fájl, és valóban azt töltötted le, ami a szerveren volt. Itt jön be az a kérdés, hogy vajon melyik szerveren? Kis DNS-spoofing, ARP-poisoning, és máris másik szerverről jött a cucc, amiben esetleg rootkit van. Hogy is fejezzem ki... "az ellen nem véd".

( gbor | 2011. 04. 10., v – 14:37 )

Akármilyen oprendszert használsz, kapcsold ki a wifis beállításoknál azt, hogy automatikusan csatlakozzon egy hálózathoz [azonos SSID-t használhat egy /már említett/ rouge ap]

Bluetooth-ot mindig kapcsold ki, ha nem használod [akár telefonon]!

( hehenrik | 2011. 04. 10., v – 14:59 )

"Ha teheted, idegen gép előtt ülve ne adj meg jelszót [belépni facebook, iwiw, levelezés, stb.-be],
mivel arra az idegen gépre akárki felrakhatott egy jelszólopó alkalmazást [keylogger - billentyűzet figyelő]." ez nem mindig megoldhato, neha szuksegunk lehet nem sajat geprol belepni, itt pedig hozzatennem, hogy mindig sajatmagunk altal betoltott oldalon adjuk meg a usename-t es a passwd-t, (ez semm mindig teljesen megbizhato ) pl. a legegyszerubb ha betoltok elore egy oldalt, es azt modositom pl. firefox firebug kiegeszitojevel modositom a facebook, gmail, stb oldal forras kodjanak azon reszet, hogy hova kuldje a jelszot, es a passwd-t a gepre telepitett webszerver, vagy egy erre a celra keszitett weboldalra es ezutan TE belepsz az adott oldalra, es fogalmad sincs , hogy a username-dat es a passwd-et tudom. Ez a modszer igenyli a legkevesebb hozzaertest.

( E-Medve v | 2011. 04. 10., v – 15:03 )

Nagy frissítés (pl. Ubuntu 10.10->11.04) előtt mentsd le diszkszinten a rendszerparticiót, sose tudhatod, vissza kell-e állítani? (Nekem kellett, de volt mentés is.)

Nem kifejezetten biztonsági: a rendszered és az adatod lehetőleg ne ugyanazon a partición legyen. (Akármilyen operációs rendszer újratelepítésénél hasznos.)

Ha ismeretlen gépet kellene használnod és van lehetőséged saját liveCD-t vagy pendrive-ot bootolni, tedd azt.

( Oscon | 2011. 04. 10., v – 22:10 )

Akármilyen operációs rendszert használsz, időnként a 0-ról telepítsd újra [adatok lement, full format, install].

- Miért is ? Ennek pontosan mi a biztonsági hozadéka ? Mi értelme csak úgy letörölni a működő rendszert csak mert csütörtök 12-e van, és péntek 13án ugyanazt visszatenni ?

Ennek mi az értelme, azon kívül hogy pályázol vele a Hónap Időpocsékolója címre ?

Minek tárolni olyan dolgokat,
amik már neked soha nem kellenek, viszont egy rosszindulatú ember könnyen felhasználhatja őket? Lásd: régi e-mailek.

- Sosem tudhatod mikor kell, vagy jön jól, én tavaly szeptemberben kotortam egyet a 2002es archívumban is. (és meg is lett amit kerestem, pedig nagy rendellenes vagyok. Egyik mottóm pakolás közben, hogy amerre áll, arra repül. Az univerzumban uralkodó Káosznak teret kell hagyni, hogy kitombolja magát, nem szabad útját állni, hogy megkeserítse a hétköznapokat :-) )

+ Viszont betenném azt is, hogy a "munkahelyi gép", is "idegen gép" (!!!), kiemelten veszélyesebb minden másnál.Sokan úgy tekintenek a munkahelyi gépre, hogy az a "benti gépem", nos az többnyire nem az user gépe. ;-)
Pl. Garantáltan van rajta kémprogram, csak ott úgy hívják, hogy rendszeradminisztrációs eszköz, és a használata teljesen legális. ;-)

- Linux esetében a titkosítást esetleg érdemes koncentráltan alkalmazni, egy amúgy is ingyen letölthető és bárki számára hozzáférhető rendszert titkosítani szerintem sok értelme nincs. A védendő adatok úgyis a home-n belül vannak , esetleg a home-n belül is érdemes szűkíteni. Ha nem kell a titkosított adatokkal dolgozni, nem is biztos hogy érdemes induláskor becsatolni a rendszerbe.

+ Játékra esetleg érdemes másik felhasználót használni / operenciás rendszertől függetlenól / , mint amivel dolgozunk, vagy az adóbevallást csináljuk, vagy netbankolunk.
A játékok fejlesztésekor a biztonság kb. érdektelen kategória. Így ha valaki a játékon át tör be, jó eséllyel max. ahhoz lesz joga, amihez a játékot futtató usernek...

--------

Nem vezetek...Jobb így. Nekem is
meg mindenki másnak is.

"A játékok fejlesztésekor a biztonság kb. érdektelen kategória. Így ha valaki a játékon át tör be, jó eséllyel max. ahhoz lesz joga, amihez a játékot futtató usernek..."

És mivel a játékok fejlesztésekor jól beleszarnak a kompatibilitásba is, ez jó eséllyel teljes rendszergazdai jogkör.

Igazából ahol az apuka ugyanazon a gépen netbankol, mint amin a család kedvenc gyermeke játszik, ott tényleg érdemes két oprendszert - akár ugyanazt - felrakni, akár hardveresen leválasztva az épp nem kellőt. (De már szoftveresen is talán a legjobb védelem)

( Toma_ | 2011. 04. 10., v – 22:16 )

A jótanácsgyűjtemények 99%-a marhaság, és elolvasni unalmas, és paranoiás leszel tőlük, akinek meg ajánlod az úgy sem érti a felét sem és főleg nem érdekli!

( vOrOn | 2011. 04. 10., v – 22:27 )


PISILÉ ELŐTT, UTÁN, KÖZBEN MINDIG MOSOLYOGJUNK!

A FALRÓL LECSEPEGHET, A SZÉLBEN VISSZACSAPÓDHAT!

NE HÚZZUNK, HA TOLHATUNK IS! FORDÍTVA IS IGAZ!

AKINEK NINCS - NEM IS LESZ! AKINEK VAN - KEVÉS!

KÖTELEZŐ, DE MINDENKÉPPEN KERÜLENDŐ!

--
Solaris Express, Opera, OpenOffice.org, Yebol

( xclusiv v | 2011. 04. 11., h – 16:47 )

Ez biztos nagyon jó összeállítás, de kérlek az olvashatóság kedvéért tégy meg annyit, hogy nem középre rendezve rakod ki.

Ez így ugyanis olvashatatlan, ezért használhatatlan.

De kimásoltam notepad-ba és átnyálaztam, a következő lett az eredmény:

"Wifis [ha nagyon kell] routereden állítsd be legalább a "WPA2 AES" titkosítást, 63 karakteres random char-okat tartalmazó jelszóval."

Ja, aztán a 63 char-t meg állítsd be telefonon meg minden kütyün. Pláne ha nem támogatja a WPA2 AES-t...

"Minél bonyolultabb, "feature dúsabb" egy program, oprendszer, annál nagyobb a valószínűség arra, hogy hiba van benne [KISS]."

Ez igaz, de mit kezd ezzel egy r=1 user windows előtt ülve? Visszatér a palatáblához, vagy mi?

"Otthoni router[eidet], gép[eidet] próbáld fizikailag biztosítani, zárható ajtó vagy fiók."

Fölösleges paranoia

"Ha informatikus vagy, vagy csak a hobbid az informatika, akkor remélhetőleg nem ismeretlen fogalom a SSH tunnel, OpenVPN."

szóval felhasználóknak szóló tippek...

"Akármilyen operációs rendszert, böngészőt használsz, _mindig_ tartsd frissen. Amint kijön valami hibajavítás, telepítsd azt fel [patch alapú sebezhetőség]."

A "[patch alapú sebezhetőség]" rész fölösleges, és szerintem értelmetlen is.

"Elektronikus [vagy kézzel fogható] tárolt adataid [papírjaid, stb.] közt rendszeresen lomtározz. Minek tárolni olyan dolgokat, amik már neked soha nem kellenek, viszont egy rosszindulatú ember könnyen felhasználhatja őket? Lásd: régi e-mailek."

Egyrészt nem tudhatod, mikor lesz rá szükség. Másrészt ha már nincs rá szükség, akkor a támadó számára kb. annyira használhatatlan, mint neked.

"Egy jó jelszó kisbetűk-nagybetűk-számok-speciális karakterek véletlenszerű sorozata, legalább 16 karakter hosszan.
Elképesztően el lehet lehetetleníteni a támadó dolgát, ha a jelszód jó hosszú [akár h. 2x, 3x írod le az alap jelszód egymás után, valami extra karakterrel elválasztva, FONTOS A HOSSZÚSÁG!!]"

Ja, és ezzel el lehet lehetetleníteni a user dolgát is. 16 karakteres randomot jegyezzen meg, lehetőleg 10-20 darabot, mert minden rendszerhez más jelszó, ráadásul cserélgesse párhavonta.
Ezzel csak annyit érsz el, hogy fel fogja írni, és olvasva, karakterenként fogja begépelni 2-3 rossz próbálkozással, próbálkozásonként fél perc alatt. Innen meg nem ér semmit.

"Egy érdekes sorozat: Svindlerek. Nézd végig az összes részét."

Az amerikai remake-et inkább ne, az hulladék. Az angol eredeti viszont nagyon jó, Jess Clement miatt eyecandy-nek se utolsó :)

"Ha például valamelyik Linux distro-t választottad, akkor el ne felejtsd annak telepítésekor azt, hogy a teljes HDD-t titkosítsd [pl.: dm-crypt LVM/AES]
Így ha el is lopják a gépet, igazából nem lesz baj [vagy ha esetleg valaki hozzáfér a gépedhez, miközben te elmentél bevásárolni, akkor se lehessen lehetőség keylogger telepítésére pl.].
Ha windows használsz, akkor esetleg nézz utána [teljes vinyó titkosítás miatt] a PGP Desktop-nak."

Windows-on truecrypt is tud hdd titkosítást.

"Ha nem is telepíted időnként újra a day-to-day használt géped, legalább időnként töröld a böngésződ profil mappáját [pl.: "~/.config/google-chrome/"].
Majd persze kiegészítők, beállítások újta inst., beállít."
"Akármilyen operációs rendszert használsz, időnként a 0-ról telepítsd újra [adatok lement, full format, install]."

Minek?
Ráadásul user csak ne telepítgessen, ha nem muszáj.

"Ne beszélj a biztonsági megoldásaidról: nem mások ügye, kizárólag a tied [soha nem tudhatod mikor lesz ellenséged a barátod]."

Ez szerintem túl paranoid. Nyilván nem kell _mindenkinek_ _mindent_ az orrára kötni, de tanácsot lehet adni szerintem.

"Levelezés esetén törekedj mindig arra, hogy "plain text"-ben, azaz sima szövegként kerüljenek küldésre az e-mailek [és ezt terjeszd ismerőseid közt].
HTML-be küldött levelekbe pl.: rosszindulatú javascript-et lehet pakolni, azért kerüld."

Ez remek, csak egyrészt 2011-et írunk, másrészt a rosszindulatú cuccok főleg téged fenyegetnek a bejövő levelekkel, az ellen meg nem véd, ha plaintext-ben küldesz.
Ráadásul r=1 user azt se tudja, hogy mi az a plaintext vagy html, bár ez utóbbiról már valszeg hallott valamit.

"Próbálj biztonságos böngészőt használni [pl.: Google Chrome], biztonságot növelő kiegészítőkkel: NotScript, WOT.
Az "--incognito" indítási módot, és a "Clear Browsing Data" funkciót NE felejtsd el!"

Ja, csak az a kérdés, hogy ki és mikor auditálta a chrome és a notscript, stb. forrását, azok közül is melyiket? Illetve hozzá tudsz-e jutni, ha esetleg te szeretnéd auditáltatni.
Mert ezek nélkül pont annyira bízhatsz ezekben, mint bármiben.

"A bemenetet szűrjük, a kimenetet escapeljük"

ja, ez user-nek hasznos információ.

"A ridegvéredet, józan ítélőképességedet mindig őrizd meg"

Hidegvér akart lenni gondolom, ridegvér-re a google mindössze 10 találatot ad.

( peterson v | 2011. 04. 11., h – 17:11 )

Az idézetek közé:
"Bízz Istenben, és tartsd naprakészen a backup-ot"

---
"A megoldásra kell koncentrálni nem a problémára."

( meditor | 2011. 04. 11., h – 17:15 )

Ne egyél piszkos kézzel gombostűt.

> Sol omnibus lucet.

( T_chris | 2011. 04. 16., szo – 15:18 )

Linux alatt letöltött fájlokat ellenőrizd valamilyen eszközzel, mielőtt MS környezetben használod. Pl.: exe, msi, média formátumok, stb...
Nincs is annál jobb mint belső hálón lefertőzni a család többi tagjának a gépét valamivel, esetleg a kollégák is szeretni fognak, ha viszed nekik az aktuális websorozat.avi-t egy kis extra tartalommal... :)
- - - - - - - - - - - - - - - - - - - - - - - - -
Fejlődőképes hiperláma, és okleveles érdekfeszítő
Aki érti a humort az mindent tud. Aki nem érti az viszont mindenre képes.

( subchee | 2011. 04. 16., szo – 15:37 )

>> tömören 


# cat tomoren.txt | wc -w
3171

tl;dr lett. BTW, mehetne a hupwikibe, nem?

( Nyosigomboc v | 2011. 04. 16., szo – 15:40 )

Az idezetekhez ajanlanam:

- Rendőrség? - kiabálta ezalatt Ivan a kagylóba. - Rendőrség? Kérem, ügyeletes elvtárs, intézkedjék azonnal, hogy küldjenek ki öt motorbiciklis járőrt, géppuskával, egy külföldi konzultáns elfogására. Tessék? Jöjjenek értem, én is magukkal megyek... Tessék? Itt Hontalan beszél, a költő, a bolondokházából... Mi a címük? - kérdezte halkan az orvostól, tenyerével elfödve a kagylót, majd újra belekiabált: - Halló! Halló! Nem hallják? Piszokság! - üvöltött fel hirtelen, és a falhoz vágta a kagylót.
(Bulgakov, A Mester és Margarita)

--
Ha hulyeseget akarnek hallgatni, venne'k TV-t. - Gabucino

( ratdragon | 2011. 04. 17., v – 18:43 )

Elolvastam.
Facepalm.

Egyből a második pont már nettó baromság. :)
(Ha érted, mire célzok, ha már biztonság körében "alkottál" :D)