Fenyegetettség és védekezés a hálózaton

Pásztor Miklós
MTA Sztaki/Aszi
pasztor@sztaki.hu

Tartalom


Bevezetés

A számítógéphálózati veszélyek korát éljük. Joggal érezhetik magukat fenyegetve intézmények, személyek. Digitálisan tárolt, továbbított információikat ellophatják, torzíthatják, hálózati rendszereiket tönkretehetik. De veszélybe kerültek az Internet klasszikus értékei is. Ebben a cikkben ilyen veszélyeket veszek számba. Néhány konkrét példát hozok, igyekszem a tendenciákat bemutatni: nem csak azokat, amiket veszélyesnek látok, hanem azokat is, amik a biztonságunkat növelik.

Internet élmény régen - és most

Néhány évvel ezelőtt, amikor az Internet még elsősorban akadémiai hálózat volt, még a technikai csodáknál, az információk gazdagságánál is nagyobb élmény volt sokunk számára az a segítőkész, önzetlen szellem, az a lelkes, önkéntes tevékenység amivel találkoztunk. A sok-sok hálózatra kapcsolt intézmény munkatársa egyetlen családot alkotott. Olyan programok, protokollok készültek amik ezt a kapcsolatot erősíthették. Ilyen a 'talk' vagy a 'finger'. Ma a legtöbb helyen ezek a szolgáltatások tiltva, vagy szűrve vannak: a rendszergazdák, felhasználók félnek - joggal -, az illetéktelen betolakodóktól.

A 'klasszikus' modell szerint az Internetre kapcsolt gépek bármelyikével kommunikálhatunk. Éppen az a törekvés volt jellemző, hogy különböző gyártmányú, és operációs rendszerű gépek minél könnyebben tudjanak kommunikálni.

Ma a betöréstől, a visszaéléstől való félelem arra készteti a rendszergazdákat, hogy korlátozzák a helyi hálózathoz, gépekhez való hozzáférést. Sokszor tűzfal mögé dugják a gépeiket, megszűntetnek, korlátoznak szolgáltatásokat.

Tendenciák

Nem csak szerver gépek fenyegetettek;
nem csak hozzáértők támadnak

Az első imposztorok a hálózaton nagytudású, invenciózus fiatalemberek voltak, akik szervergépek hálózati szolgáltatásait támadták. Meg akarták képességeiket mutatni a távoli renszergazdának, a világnak. Ma a hálózati betörések legnagyobb részét olyanok követik el, akik nem is igen értenek a számítástechnikához. Legtöbbjük vélhetőleg zavarba jönne, ha meg kellene magyaráznia a különbséget mondjuk a 'big endian' és 'little endian' vagy a TCP és UDP között. Másrészt a támadások sem feltétlenül nagy szervergépek ellen irányulnak. Egyre több a támadás az egyfelhasználós PC-k ellen is. A veszélyességet mindkét jelenség növeli. A hozzá nem értő betörő játéknak fogja fel tevékenységét, és tudatlanságból az akaratnál nagyobb kárt okozhat. Szerverek gazdái pedig több lehetőséggel, nagyobb tudással, tapasztalattal és elszántsággal védekezhetnek mint a 'mezei' felhasználók.

Egy példa a 'mezei' felhasználóra leselkedő veszélyre:

Frame spoofing

Web böngészés közben sokszor a szerverek kisebb keretekben, (frame) tálalják az információt. Ezek az ablakok aztán többé kevésbé önálló életet élhetnek. Egy több keretre osztott lap minden része általában ugyanarról a szerverről származik, de az is lehet, hogy különböző keretek tartalma különböző szerverekről. Sőt! Lehet, hogy egy korábban látogatott lap rosszindulatú szerzője felülír egy később kiírt keretet, és azt a hatást kelti, mintha a keret tartalma nem tőle származna! Ilyen módon hiheti a gyanútlan felhasználó pl. azt, hogy egy web-es áruház lapján titkosítottan küldi a bankkártya számát, valójában pedig illetéktelenek kezébe juttatja. Bővebben pl.: http://www.securexpert.com/framespoof/index.html

Egy példa a hálózati analfabéták által is hatásosan kezelhető betörési eszközre:

BO

Egy hálózatba kötött felhasználói PC általában nem nyújt a 'világnak' semmilyen szolgáltatást. Az 'klasszikus' internet modell szerint azonban ennek semmi akadálya: a földgolyó két távoli pontján levő programozók megállapodhatnak abban, hogy valamilyen új szolgáltatást próbálnak ki mondjuk az 10984-es TCP porton kommunikálva. Ezzel a lehetőséggel éltek vissza a Back Orifice nevű eszköz készítői. Ez egy olyan vírus, ami a fertőzött Windows 95 vagy 98 rendszerben 'szolgáltatást' nyújt az Internet távoli gépei számára: a fertőzött PC-t a megfelelő UDP porton át vezérelni lehet: tetszőleges fájlt lehet írni/olvasni alkalmazásokat elindítani/leállítani stb. A dolog azért is igen veszélyes, mert tartozik hozzá egy sor 'kliens alkalmazás'. Ezek egérrel vezérelhető programok, amik felderítik egy-egy távoli hálózat fertőzött gépeit, és könnyen kezelhető eszközt adnak arra, hogy a fertőzött gépen tevékenykedjen olyan illetéktelen, aki különben alig ért valamit a számítástechnikához! Bencsáth Boldizsár ennek a témának szentel egy lapot magyarul: http://budapest.hu/~boldi/bo/
A Netbus egy BO-hoz hasonló trójai faló, de ez NT szerverekre veszélyes. Erről is olvashatunk itt: http://www.iss.net/xforce/alerts/advise8.html

DoS támadások: bénítás, rombolás

A rosszindulatú tevékenység célja ma egyre többször nem éppen az, hogy a támadott gépről illetéktelenül adatokhoz, szolgáltatásokhoz férjenek hozzá, hanem csak annyi, hogy mások számára ezt lehetetlenné tegyék. Ezek a DoS (Denial of Service) támadások.

Smurf

A smurf egy hálózati szintű támadás, ami szintén azt használja ki, hogy a 'klasszikus' internet modell megalkotásánál jóindulatú tevékenységet tételeztek fel a hálózati szereplőkről. A visszaélés során három hálózat kap szerepet. A támadó egy közbülső hálózatot címez meg egy hamísított IP címmel. Ez a közbülső hálózat azután hatalmas mennyiségű csomagot zúdit annak az egy gépnek az irányába, aminek az IP címét az imposztor hamisította. Ezzel sokszor lehetetlenné teszi nem csak a támadott gép működését, hanem használhatatlanságig 'teletömi' a támadott hálózathoz vezető kommunikációs vonalakat. Bővebben pl.: http://www.netscan.org

Csalódások biztosnak hitt eszközökben

A hétköznapi életből ismert tapasztalat, hogy sokkal nagyobb lehet a baj akkor, ha hamisan biztonságban érezzük magunkat, (mert például egy korhadt korlátra támaszkodunk a kilátóban), mintha tudjuk, hogy nagyon kell vigyáznunk, mert nincs ami véd (nincs korlát a előttünk). A hálózaton sajnos, gyakori az ilyen önáltatás.

Firewall, titkos hátsó ajtóval

Volt, aki sok pénzt költött egy hálózati firewall-ra, és azt hitte, teljes biztonságban van. A firewall úgy volt konfigurálva, hogy a hálózatba nem engedett meg távoli bejelentkezést. Kiderült, hogy a program készítői - hogy a távoli karbantartást, diagnosztikai munkát lehetővé tegyék -, egy dokumentálatlan kiskaput hagytak a rendszeren: telnettel el lehetett érni a firewall-t. A telnetnél használt jelszó kódolatlan, sima szövegként utazott a hálózaton. Ilyen esetről lehet olvasni Marcus Ranum kitűnő firewall tesztelésről szóló írásában: http://www.clark.net/pub/mjr/pubs/fwtest/index.htm Olyan irodaházhoz hasonlít ez, ahol az épületbe nehéz ugyan bemenni, kivéve az őrző személyzet helyiségeit, amik tárva-nyitva állnak.

Kijátszható biztonságosnak hitt bejárat

A telefonos hálózati bejárás biztonságosabbá tételére való a CHAP protokoll, ami a telefonvonalon való lehallgatás ellen is védi a bejelentkezést. A CHAP egy bizonyos változata azonban lehetővé tette, hogy még jelszó lehallgatás nélkül is bejuthassanak illetéktelenek. Bővebben pl.: http://ciac.llnl.gov/ciac/bulletins/i-002a.shtml

Hiba a titkosított tranzakciók részére kitalált szabványban

A titkosított tranzakciók biztonságos hálózaton való lebonyolítására fejlesztették ki a PKCS (Public-Key Cryptography Standard) protokollt. Kiderült, hogy hibás, visszaélésre ad módot. Éppen a legkényesebb adatok dekódolására van lehetőség bizonyos esetekben. Bővebben: http://www.cert.org/advisories/CA-98.07.PKCS.html

Web kliens által futtatott programok

A web böngésző programok egyre-másra nyújtják a programozás lehetőségét a szerverek gazdáinak: Java, Javascript, Active X, VBScript stb. A készítők szándéka szerint ezekkel úgy lehet a kliens gépen a szerver gépről letöltött programot futtatni, hogy közben a kliensen nem keletkezhet kár, a kliensről nem kerülhetnek illetéktelen kezekbe adatok. A tapasztalat azonban azt mutatja, hogy sok esetben hiba csúszik éppen a legkényesebb helyeken a programba. Külön veszélyt jelent, hogy nem csak a programon, hanem az általa használt rendszerszolgáltatásokon, programkönyvtárakon is múlik a biztonság. Ezért aztán lehet, hogy a hibáról nem is a program, vagy eszköz írója tehet... Bővebben pl.: http://www.netscape.com/products/security/resources/bugs/injection.html

Trójai faló a login programban

A Unix egyik atyja Ken Thompson. Többek közt az ő munkája az első unixonkon használt C fordító. Kiderült, hogy a fordító programban volt egy dokumentálatlan 'fícsör'. Észrevette, ha a 'login' programot fordította, és ebben az esetben kicsit másképp viselkedett: minden ilyen fordítóval fordított 'login' program olyan volt, hogy lehetővé tette a rendszerbe való bejutást egy 'szuper jelszóval'. Ennek hasznát vehették a kezdeti időkben, amikor gyors beavatkozásra volt szükség és gyakorlatilag egy baráti kör használta ezeket a rendszereket, közös kutatás/fejlesztés céljából. Figyelemre méltó azonban, hogy ez a tulajdonság még sokáig része maradt a unixoknak, és hogy évek teltek el, míg nyilvánosságra került. Senki nem tudja, hogy a most használt sokkal nagyobb, bonyolultabb rendszerek hány ilyen dokumentálatlan kiskaput tartalmaznak. Soknál esély is alig van az ilyenek megtalálására, mivel ezek jelentős része nem áll forráskódban rendelkezésre. Bővebben:
Thompson, Ken, Reflections on Trusting Trust,
Volume 27, Number 8,
Communications of the ACM, August 1984.

Feltörhető DES

Elterjedt eszköz elektronikus adatok titkosítására a DES nevű szimmertrikus kulcsú algoritmus. Az USA-ban az 56 bit kulcshosszúságú DES használatos. Ennek exportja tiltott, csak a gyengébb, 40 bites DES kivitele megengedett az amerikai törvények szerint. Sokan gondolják, hogy talán azért, mert a 40 bites könnyen feltörhető, az 56 bites viszont biztonságos. A valóság az, hogy az 56 bites DES sem biztonságos. 1998-ban az EFF (Electronic Frontier Foundation) nem is túl drágán épített egy olyan számítógépet, ami 56 óra alatt feltörte a 'DES Challange' pályázat titkosított üzenetét. 1999 január 18-án az újabb pályázaton az üzenet feltöréséhez már csak 22 órára volt szükség! Elkorhadt korlátra támaszkodik mindenki, aki az 56 bites DES-sel kódolt információk tikosságában bízik! Bővebben pl: http://www.distributed.net/des/

Magánszféránk fenyegetettsége

Elektronikus adatgyűjtés

Veszély fenyeget a hálózaton nem csak a hálózati betörések által. Több millió e-mail címet gyűjtöttek be az Interneten azzal a céllal, hogy kéretlen reklámlevelekkel árasszák el a gyanútlan felhasználók postafiókjait. Vannak akik ilyen címgyűjteményeket árulnak. A kéretlen levelek, a SPAM az egyik legnagyobb probléma a mai Interneten. Ha nem teszünk semmi ellene, akkor az internetes kommunikáció létét fenyegeti. Már így is vannak, akik inkább lemondtak a hálózat használatáról.

Megjelentek az interneten magánnyomozók, akik bárkiről összegyűjtenek a hálózat segítségével adatokat. Elképesztő, hogy mi mindent lehet megtundni rólunk pusztán az Interneten nyilvánosságra kerülő információk alapján. Hátha még hozzászámítjuk, hogy a vonalak forgalma, a levelezés lehallgatható!

Az Interneten kívül is számos mód van arra, hogy magánszemélyekről elektronikus formában adatokat gyűjtsenek. Kamerák figyelnek minket a köztereken, áruházakban és másutt. Kártyákat használunk, amiken elektronikusan tárolva van sokszor nem csak a nevünk, hanem sok más adatunk is. Az írható elektronikus kártyák arra is módot adnak, hogy rögzítsék rajtuk pl. az utolsó vásárlások összegét, helyét stb.

Nem nehéz megoldani, hogy ilyen adatokat nagy mennyiségben feldolgozzanak, értékeljenek. Valójában hasonlót csinálnak a közvéleménykutató intézetek, a nagy vállalatok marketing osztályai, tömegkommunikációs eszközök munkatársai. Ilyen kutatások alapján készítik a reklámkampányokat, és tervezhető a mozilátogatások, vagy az üdülési szokások görbéje éppen úgy, ahogy egy gyümölcsösben tervezhető, kiszámítható a vegyianyagok felhasználásának függvényében az almamolyok rajzása. Biztos, hogy van olyan szempont ami szerint nincs is lényeges különbség: költség, haszon, hatékonyság. Kell azonban, hogy valahol megálljt mondjunk az ilyen tendenciáknak, és szükséges, hogy az egyének legalább halványan tisztában legyenek azzal, hogy milyen veszélyek rejlenek az állampolgárokról szóló elektronikus adatok gyűjtéséban. Hibás az a gondolkodás, mely kézlegyintéssel elintézi a dolgot ilyenformán: bízunk, bízhatunk azokban, akiknek módjában lenne ezen adatokkal visszaélni. Nem lehet tudni, hogy akár holnap kiknek a kezébe kerülnek az adatok, és törekednünk kell arra, hogy a visszaélések lehetőségeit is csökkentsük. Bővebben pl.: 'How is the NII like a prison ?' http://wex.www.media.mit.edu/people/wex/panoptic-paper.html

Névtelenség a hálózaton

Részben a magánszféra védelmében kezdtek el sokan álnéven élni az Interneten. Vannak, akik valamilyen hálózati tevékenységüket folytatják nem valódi név alatt. Sokszor egy-egy funkció követeli ezt meg, például a postmaster@vala.hol, vagy a support@ceg.neve ilyen. Van úgy, hogy hogy valaki egy szerepet vállal/játszik a hálózaton, és ehhez egy fiktív nevet, címet használ - akárcsak a régi folyóiratban 'Okos Kata'. Az is előfordul, hogy azért van erre szükség, mert magánvéleményét akarja elmondani egy vállalat munkatársa. Vannak hálózati eszközök, amik éppen azt a célt szolgálják, hogy még a levél útját, eredetét is elrejtsék: anonymous remailerek. Lásd bővebben pl.: news:/alt.privacy.anon-server

Nyilvánvaló, hogy az eddig felsorolt esetekben pozitív szerepe van a névtelenségnek. Azonban ez is rejt veszélyt magában. Az álnevet (vagy akár csak azt, hogy csak elektronikusan érintkezünk), lehet provokációra, manipulálásra is használni.

Rendszer biztonságot ellenőrző/növelő eszközök

A hálózaton sok olyan eszköz áll rendelkezésre, ami segít abban, hogy csökkentsük a hálózati veszélyeket. Egy sor olyan program készült, ami arra való, hogy az operációs rendszerben, a hálózaton levő biztonsági lyukakat felderítse. Számos ilyen eszköz forráskódban elérhető, ingyen letölthető és használható. Néhány ilyen eszköz:

Satan

A program neve rosszindulatot sugall, de ez félrevezető. A SATAN (Security Administrator's Tool for Analyzing Networks) egy klasszikus, web böngészőből vezérelhető hálózati hibakereső. Lásd: http://www.fish.com/~zen/satan/satan.html

Cops

A Cops unix rendszereken képes felfedezni konfigurációs hibákat, biztonsági lyukakat. Shell scriptek gyűjteménye. Lásd: http://www.fish.com/cops/

Titan

A Titan egy viszonylag új unixos biztonságot ellenőrző és javító eszköz. Moduláris, konfigurálható és bővíthető. Az egyes modulok egy-egy biztonsági lyukat derítenek ki, és szüntetnek meg. Lásd: http://www.fish.com/titan/

SPAM ellenes eszközök

Az elektronikus szemét elleni küzdelemben sok segítséget kaphatunk sorstársainktól a hálózaton.

Az RBL és az ORBS egy-egy állandóan válozó fekete lista szolgáltatás. Levelező szerverek konfigurálhatók úgy, hogy a fekete listán levő helyekről ne fogadjanak el levelet. Az RBL lista elsősorban spam forrásokat, az ORBS pedig nyílt reléket tartalmaz. Lásd:
http://maps.vix.com/rbl/ illetve
http://www.orbs.org
A spam ellenes törekvések gyűjtő web helye pl. http://www.cauce.org

Hálózati biztonságnak szentelt hálózati erőforrások

Számos web hely, hírcsoport, és levelezési lista segít az 'Internet klasszikus szellemének' megfelelően a hálózati biztonság dolgában. Kettőt említünk e helyen.

A legelterjedtebb hálózati szolgáltatás a WWW biztonságának növelését szolgálja a "World Wide Web Security FAQ" http://www.w3.org/Security/faq/www-security-faq.html Részletes, világos alapos munka. Aki biztonságos web szervert akar üzemeltetni annak ismernie kell.

Magyarországon évek óta működik a security-l lista a KFKI gépén, Kadlecsik Józsi gondozásában. Érdemes rá feliratkozni. A listáról: http://www.kfki.hu/mailman/listinfo/security-l

Mit tehetünk ?

Kreáljunk AUP-t, tartsuk és tartassuk be!

Visszatérő gondolat a security-l listán: igaz ugyan, hogy X.Y. a hálózati biztonságot fenyegető módon viselkedett, de nincs eszközünk rá, hogy ebben megakadályozzuk. Nem hiszem, hogy ez szükségszerű. Amikor egy felhasználó egy hálózatra csatlakozik, azonosítót kap akkor sok helyen alá szoktak vele iratni egy szerződést, vagy legalább egy jószándéknyilatkozatot. Ez az a pont, ahol egy ilyesfajta mondatot be kell venni: 'A hálózat elfogadható használatának szabályait (AUP, Accaptable Use Policy) ismerem és magamra nézve kötelezőnek tartom. Tudomásul veszem, hogy az AUP be nem tartása a szolgáltatásból való kizárást vonhatja maga után.' A Hungarnet AUP-je mindenkinek jó kiindulási pont lehet: http://www.hungarnet.hu/magyar/halszolg/aup.html

Sose higyjük, hogy tökéletes biztonságban vagyunk!

Ha a teszt nem mutat ki hibát, abból nem következik, hogy nincs hiba. Nem elég időnként ellenőrizni a rendszereket. Állandóan figyelni kell, és készen kell állni a beavatkozásra.

Éljünk a a hálózaton ingyen rendelkezésre álló eszközökkel

Nem feltétlenül biztonságosabb valami, mert drágább, vagy egy nagy tengerentúli vállalat terméke. Többet használhat egy-egy ingyen rendelkezésre álló eszköz, és persze legfőképpen a józan ész, és odafigyelés. Egy-egy új hibát, nehézséget sokszor gyorsabban, rugalmasabban ki lehet javítani olyan eszköznél, aminek forráskódja is rendelkezésre áll, és aminek javításában a hálózati fórumokon segítséget kapunk. Figyeljük a fent említettekhez hasonló fórumok írásait, a megjelenő eszközöket és éljünk ezekkel!

Miben tér el az elektronikus és a 'többi' biztonsági kérdés ?

Ha a sufniba bejöttek, a postai levelünket felbontották, annak rendszerint nyoma marad. Elektronikus behatolásnak, lehallgatásnak rendszerint nincs nyoma. Ilyen módon az elektronikus betörő sokkal veszélyesebb lehet.

Aki betör a sufniba az általában azonnal fel akarja használni a lopott holmit. Elektronikus betörő talán csak évek múlva él vissza a megszerzett információval. Talán nem is azok, akik megszerezték. Ebből a szempontból is veszélyesebb az elektronikus visszaélés.

Egy példa a történelmi közelmúltból

A 70-es években jelent meg a Valóság című folyóiratban, később pedig a Diagnózisok c. kötetben Hankiss Elemér "Közösségek válsága és hiánya" című tanulmánya. Ebben arról ír, hogy a század első felében még virágzó önkéntes, szabadon szerveződő társulásokat a kommunista időkben felőrölték, megszűntették. A pókhálószerű 'lenti' szövedéket fürt szerű kapcsolatokkal váltották fel, ahol minden fokon mindenki csak a főnökével kommunikál. Az ilyen kapcsolatrendszer kedvez a hatalmi visszaélésnek, az egyént pedig elidegeníti, kiszolgáltatottá teszi. A két kapcsolatrendszert szemléltette technikai példával is. A 'szövedék' sűrű telefonhálózatnak felel meg, a 'fürt' pedig a műholdas információtovábbításnak. Hankiss szerint nem véletlen, hogy a szocialista tábor olyan erős műholdak tekintetében, de olyan elmaradott a lakossági telefonhálózat terén. A klasszikus Internet a 'szövedéket' erősíti. Manapság egyre többet használják fürtszerű kommunikáció, és kapcsolatrendszer eszközeként. Rajtunk is múlik, hogy hol, mikor melyik jellemzője domborodik ki.