Vigyázat, pongyola! Csak laikusoknak.

A hackerfeleség naplója

IT biztonság - Az első lecke

Ti kérdeztétek

2016. december 26. - A feleség hackere

Ismét kaptunk egy olvasói levelet.

Szervusz!
Olvasom a blogod, nekem tetszik!
Felvetetted a lehetőséget, hogy ‎lehet mindenféle blogmotor regiszter nélkül kérdezni, igy nagy tisztelettel szeretnék élni ezzel, mint újonc. 
Előzményem: a kilencvenes évek eleje óta Mac felhasználó vagyok, van egy régi gépem, de anyagilag sem bírom kedvem szerint folytatni, és jövőbeni terveimhez sem szolgál ki a Mac. 14-éves a kicsike, lassan tényleg netre sem lehet használni. Webbank nincs, levelező elavult, csak képet lehet vele szer
Sosem volt még windows, bármi más PC-m, de szeretnék egyet most‎.
Vettem tárhelyet, vettem domain-t, lesz levelezőm. (...)
Amint látod : kell levelező szoftver, kép és videó (...) szerkesztő, dokumentum kezelő is.
De hogy fogom megvédeni a gépemet? Mitől maradok biztonságban böngészés közben? Hogy fogok magamnak biz-ton-ság-os weboldalt létrehozni? Párom laptopján zombiszerver üzemelt. Mondtam is neki, hogy a lemez forog, a gép dolgozik magától, ha nem vagy otthon! Szaki több 10 giga rejtett adatot, és több 100ezer foldert talált rajta.
Ez foglalkoztat nagyon. Ma megyek a laptopért.. (...). Terveim szerint egy linux és egy win lesz rajta.
Mit javasolsz rá telepíteni és milyen programokat, biztonsági komponenseket rakjak rá?
‎Nem szeretnék szívni vele.
Köszönöm előre is valaszodat, foglak továbbra is szorgalmasan olvasni.


A kérdést több oldalról is szeretném megközelíteni, mert erre nincs egyszerű válasz.

Sokakkal ellentétben én nem vagyok arról meggyőződve, hogy a Linux biztonságosabb, mint a Windows. Igaz, hogy Windowsra több a vírus, meg mindenféle csúnyaság, de ez nem a mai Windowsok hibája. Lassan nincs olyan hét, amikor ne látnánk újabb és újabb Linux sérülékenységeket, a Microsoft meg tényleg dolgozik azon hogy a Windows jobb legyen.

Nem akarok ebből semmilyen hivők közti háborút, úgyhogy megpróbálom hétköznapi szinten összefoglalni mik azok amik javítanak a biztonságon. Akik alaposabban érdeklődnek a téma iránt, olvassanak a post végén, ez a post alapvetően magánembereknek, otthoni viszonyokra szól és nyilvnvalóan nem elég ahhoz, hogy mondjuk sokezer ügyfél adatait védjük meg.

Megpróbálom témakörönként csoportosítani, bár a témakörök között elég nagy az átfedés.

safety_first.jpg Kép: brd_

Windows

Window 10 telepítésnél az összes opciót kapcsold ki szerintem. Nem ezzel fogod elkerülni a cryptolockert, de szerintem jobb kikapcsolni minden adatküldős, adatmegosztós funkciót.

Windowson a sokszor emlegetett alapszabályok fontosak.

  • Mindig legyen frisstve,
  • legyen bekapcsolva a tűzfal és
  • legyen rajta egy friss vírusírtó.

Ezek egyike sem képes csodákra, de a tömeges, általános dolgoktól jó hatékonysággal tudnak védekezni.

NE használd rendszergazdaként a géped. Tudom, hogy nagyon kényelmes, de legyen egy rendszergazda és egy sima felhasználód a gépen. Használd sima userrel, és ha kell, csak akkor add meg a rendszergazda jelszavát egy telepítéshez, vagy beállításhoz. Még jobb, ha tényleg van egy biztonságtudatos rendszergazdád, aki kézben tartja ezeket a dolgokat.

Használj bitlockert - azaz titkosítsd a meghajtód!

Legyen egy nem túl hosszú screen lock beállítva, és kérjen jelszót a feloldáshoz. És ha otthagyod a géped, mindig lockold.

Ne legyen bekapcsolva semmilyen automatikus lejátszás, mindig te egyedileg döntsd el mit akarsz kezdeni a fájlokkal 

Linux

Linuxnál a legfontosabb, hogy ne rootként használd a gépet (tehát pl. ne használj Kalit alapbeállításokkal csak azért, mert az vagány dolog). Ezen kívül olyan haladó beállításokra lenne szükség, amik már túlmutatnak a laikus szinten, de akit érdekel, olvassa el a cikk végét.

Legyen külön tmp könyvtárad, külön boot, külön home, és mindegyiket megfelelő módon csatold fel. Pl. a tempen mindenképp legyen nodev, noexec, nosuid beállítva. De ez már tényleg nem felhasználói szint.

Ne legyenek olyan fájlok a gépeden, amik mindenki által írhatóak.

Itt is legyen tűzfal bekapcsolva, és akár vírusírtót is tehetnél rá, mert ártani nem árt.

Használj LUKS-ot a homeodra vagy a teljes /-ra.

Ember

A helyzet az, hogy a biztonságban TE vagy a legfontosabb. Lehet bármilyen eszközöd, biztonsági szoftvered, ha fegyelmezetlen vagy, semmit sem fog érni. A legfontosabb ökölszabály, hogy ami kényelmes, az tutira nem biztonságos. Ezt mindig tartsd szem előtt. Vannak persze kivételek, dehát az ökölszabályok már csak ilyenek.

Olyan weboldalakat, amikről feltételezhető, hogy megengedőbbek a szabályszegésekkel kapcsolatban (warez oldalak, pornó, cukiságoldalak, kifejezetten kattintásvadász oldalak stb.) kezelj nagy körültekintéssel. Szerintem pl. azon a gépeden, amin érzékeny adatokat tárolsz, ne is látogasd ezeket az oldalakat. Legyen erre egy külön virtuális gép, amit bárki ingyenesen csinálhat magának pl.virtualbox-szal. Nem 100%, de sokkal jobb, mint saját gépen warezolni.

NE használd a számítógépen megadott useredet semmi máshoz. Tehát ne ezt állítsd be a szkennerbe, mikor e-mailbe vagy hálózatra szkennelsz, és ne ezt használd a munkahelyeden, vagy bárhol máshol. Legyen egyedi.

Ha teheted, minimalizáld a támadási felületet azzal, hogy a lehető legkevesebb kiegészítőt, szoftvert telepíted. Nem arra gondolok, hogy ne tegyél fel Wordot, vagy Firefoxot, hanem arra, hogy ne tegyél fel cuki képernyővédőt, mindenféle Firefox kiegészítőt, és teljesen értelmetlen feladatokat elvégző szoftvereket feleslegesen. Én például nem használok flasht évek óta, mert nem biztonságos és a java pluginek futása is manuális engedélyhez kötött. És ami nagyon fontos, ne torrentről leszedett szoftvereket tegyél föl. Senki sem olyan jótét lélek, hogy ingyen dolgozzon programok feltörésén, hogy aztán te ingyen használhasd. Mi értelme lenne ennek? Viszont ha van a feltört Windows/Office/Game stb. programban egy kis beépített ajándék a jótékony hackerek (mert ugye kik is törik fel ezeket a szoftvereket?) részéről, akkor már meg is érte megcsinálni a törést, mert szereztek vele egy csomó gépet a botnetbe. Szóval vedd meg szépen a szoftvereket.

Ha valmit telepíteni akarsz és a vírusírtó sikít, hogy ez bizony vírusos, akkor nem az a megoldás, hogy felfüggeszted a védelmet amíg telepíted, mondván ez tutira nem virusos, mer' a Feri küldte. Nem. Az bizony virusos, te pedig nem telepíted, ha nem akarsz vírust.

Ne telepits feleslegesen olyan böngésző plugineket, amik egyből böngészőbe ágyazva megnyitnak tartalmakat (média, pdf, videó, akármi).

Szóval összességében tartsd kézben az irányítást, ne hagyd, hogy a géped mindent megcsináljon helyetted.
NE, hangsúlyozom, NE jegyeztess meg jelszavkat Firefoxban (általában böngészőben), TotalCommanderben stb. Használj password safe-et.

Legyél bizalmatlan. Ha kapsz egy levelet, gondold át kitől jött. A többségünknek nem küld levelet Bill Gates, hogy megossza vele a vagyonát, vagy Mihalik Enikő, hogy megmutassa a meztelen képeit (.exe formátumban természetesen). Szóval ne kattints, csak ha biztos vagy a dolgodban.

Hálózat

Állíts be fixen névszervert, például opendns-t.

Tűzfalon kifelé és befelé is minden legyen alapból blokkkolva, csak azokat engedd ki, vagy be egyesével, amiket használni akarsz.

Az otthoni wifid jelszava legyen nagyon erős és ne add oda barátoknak sem. Vendégeknek legyen külön vendég wifi (nem tőlük félünk, hanem a teleonfjuktól, laptopjuktól...)

Ne használd a szolgáltató által adott modemet/wifi routert fő eszkozként. Tegyél mögé egy saját routert, és ahhoz csatlakoztasd a gépeidet, telefonjaidat stb.

Ne legyen egyetlen olyan openwifi sem beállítva a gépeden/telefonodon, amihez automatikusan csatlakozol.
Ne használj publikus wifiket, ha lehet, de ha mégis (én is szoktam azért), legyél körültekintő. Használj saját DNS-t és használj mindent titkosítva és különösen figyelj oda a https certekre. Ha nem jó a cert, ne lépj tovább!

Adatvédelem

  • Legyen snapshot, shadow copy bekapcsolva, hogy visszaállíthasd a fájljaidat.
  • Legyen mentésed, amit nem ér el folyamatosan a géped (tehát ne olyan hálózati meghajtón legyen, amit folyamatosan lát a géped).
  • Legyen mentésed.
  • Legyen mentésed (ezt még le kéne írni 100-szor).
  • Legyen titkositva minden, ami fontos. Teljes merevlemez, jelszavak stb.
  • Ne küldj e-mailben titkosítatlanul fontos információkat (pl jelszavak...).

 Biztonságos weboldal

Nem telik úgy el hét, hogy ne kellene valamilyen webalkalmazást tesztelnem, mégis ez a kérdés legnehezebb része. Egy cégnek persze tudnám, mit válaszljak, de egy magánembernek nem mondhatom, hogy a megfelelő céggel csináltassa meg, aztán leteszteljük neki X százezer forintért. Szóval ez nehéz, de itt is mondok ökölszabályokat.

Használj olyan CMS-t vagy webáruház motort, amit aktívan fejlesztenek és nagy a közösségi támogatása. Magento, Wordpress, Drupal, ilyesmi. Ezt mindig tartsd frissen (bár ennek nem is olyan régen volt hátránya is, mert feltörték a Wordpress-t és a frissítésen keresztül tudtak fertőzni...).

NE a legolcsóbb hosting szolgáltatónál üzemeltesd.
Kérdezd meg a szolgáltatót, hogy használ-e ModSecurityt vagy valamilyen web application firewall-t. Kérdezd meg hogyan garantálják, hogy ha feltörnek egy másik weboldalt, akkor a tied nem kerül bajba. Kérdezd meg, hogy van-e tűzfal, és az milyen szolgáltatásokat nyújt (pl. szólnak-e neked, ha gyanús forgalom zajlik a usereddel).

Ne használj SEMMIT titkosítatlanul a tárhelyeden (ftp, imap, smtp, https minden legyen titkosítva rendes certtel), te magad is tegyél WAF-t alkalmazáson belül (ez Wordpressben egy modul, amit pár kattintással bekapcsolhatsz).
Egy laikusnak iszonyú nehéz megfelelő szolgáltatást, és megfelelő szakembert választani sajnos.

A jó hosting kérdése annyira nehéz egyébként, hogy én anno (több mint 10 éve) inkább csináltam saját webszervert, mert nem volt normális szolgáltató. Azóta is csak saját szerveren hostolok, és ügyfeleknek is ezt javaslom. Persze ez szakértelmet ÉS elhivatottságot igényel sajnos.

 

Post vége: azok, akik mélyebben érdeklődnek a téma iránt, szeretnék saját szerverük, asztali gépük, laptopjuk biztonsági szintjét drasztikusan emelni, töltsék le a rendszerspecifikus hardening PDF-et a CIS-től, és menjenek rajta tételesen végig. https://learn.cisecurity.org/benchmarks

A bejegyzés trackback címe:

http://hackerfeleseg.hu/api/trackback/id/tr6112045677

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.