A hackerfeleség naplója

Vigyázat, pongyola! Csak laikusoknak.

Ma van a Biztonságos Internet Napja

2017. február 07. - hackerfeleség

sid-2017-logo-with-less-white-space.jpg

Egy kedves ismerősöm, @szögi így emlékezett meg a mai napról: "Ma van a biztonságos internet napja, szóval húzzátok ki a hálózati kábeleket, kapcsoljátok ki a wifit, és élvezzétek a biztonságot!"

Azért ha szívesen olvasnál arról, hogy a szervezők miket tartanak fontosnak, milyen anyagokkal készültek a világ számos pontján a mai napra, akkor nézz föl ide: https://www.saferinternetday.org/, vagy egyből a magyar oldalra: http://saferinternet.hu/ (ami nem mellékesen nem biztonságos módon [is] elérhető...)

Szerinted miért fontos beszélni - nem csak gyerekekkel - a biztonságos internetről? Lehet egyáltalán biztonságos az internet?

 

 

Töltsd a telefonod a buszon!

A kép a cambridge-i egyetemi járaton készült. (Szóval nekünk gondolom kell vagy húsz évet várnunk még rá. ;) )
Klassz, mi? Lemerül a teló, de nem gáz, mert töltheted a buszon.

Persze nem árt odafigyelni erre is. Nem állítom, hogy biztosan baj száramzik abból, ha mindenféle usb-be bedugod a telefonod. De jobb az óvatosság felkiáltással ilyen helyen* inkább használj olyan átalakítót, vagy kábelt (így keresd google-ben pl.: secure usb cable), amin keresztül adat nem tud közlekedni. Vagy a hordozható akksidat töltsd föl ilyen helyeken, és onnan a telefonod, abból baj nem lehet.

(*Ilyen helynek számít még a bárki számítógépe, vagy a nyilvános telefontöltők.)

usb-bus.jpg

Szép vagy, nem kellenek neked hülye filterek

meitu.jpegIdőről időre megjelennek cikkek. "Az a cuki szelfizős szoftver épp most nyúlja le minden adatát" - ez például a Meitu nevű appról van szól.

De nyilván nem tudsz minden appnak utánanézni, amit szeretnél a telefonodra letölteni. Ezért azt javaslom, hogy ilyen esetben legyen az az első szűrő, hogy mennyi mindenhez kér hozzáférést. Gondold át azt is, hogy például egy szelfizős filter app tényleg hozzá kell-e férjen a hangbeállításokhoz.
Segítek: nem, nem kell. Sőt! Nem is normális, ha hozzáfér.

És hogy mi a megoldás?
Bármennyire is szeretnéd azt az appot, ne telepítsd! Tudatosítsd magadban, hogy ez egy baromi jó mézesmadzag, mert most tényleg úgy érzed, hogy képtelen volnál anélkül az app nélkül élni. De eddig is remekül éltél nélküle. Tényleg. Hidd el, hogy szép vagy filterek nélkül is. A mézesmadzag végén mindig csapda van. Mindig. És te nem akarsz besétálni. 

Szóval ne telepíts ész nélkül mindent!

Csak a CVV-t ne add meg soha! - Anélkül is lehet a kártyáddal vásárolni!

security-codes-cc.jpgAz előző post kapcsán is sok olyan reakcióba futottam bele, hogy nincs semmi probléma a bankkártyaadatok megadásával, csak a hátulján lévő három számjegyű kódot ne add meg.

Nos...
Biztosan tudod, hogy anélkül a szám nélkül semmit nem érnek a kártyád egyéb adataival? Egészen biztosan tudod?

Álljunk itt meg egy pillanatra. A fenti hozzáállás ugyanis nem csak az előző postra és nem csak a bankkártyaadatokra igaz. Sajnos általában igaz, hogy biztos tudás nélkül jelentünk ki dolgokat.
Hogy nem lehet mit kezdeni a bankkártyaadatokkal a hátulján lévő szám nélkül. Hogy nem lehet ellopni az adataimat, ha nem vagyok Facebookon és különben is csak néha nézek föl a netre. Hogy nem lehet open wifin át hozzáférni semmihez. Hogy én annyira érdektelen kis hal vagyok, hogy tőlem úgysem érdemes ellopni semmit. Hogy én is megadtam bizonyos adatokat, mégsem nyúlta le senki a pénzem (ebből természetesen egyenesek következik, hogy mással sem fog előfordulni, és a későbbiekben velem sem.) Hogy én tuti észrevenném, ha valami adathalász weboldalba futnék. És a többi, és a többi..

De térjünk most vissza a bankkártya hátulján lévő három jegyű számhoz. És ennek példáján át gondolkodjon el mindenki, hogy tényleg biztos tudással legyint-e a figyelmeztetésekre.

A bankkártya hátoldalán lévő kód a CSC (CVV-ként is találkozhatsz vele elég sokszor és igen, van más elnevezés is, de talán ez a kettő a leggyakoribb). És akár hiszed, akár nem, ahhoz, hogy tudj vásárolni, nem mindenhol kérik a CSC-t, sőt van, ahol a kártya lejárati dátumát sem. Tudtad ezt?

2012-ben az Amazonon még egészen biztosan lehetett CSC nélkül vásárolni, mert az Amazon úgy volt vele, hogy az ilyen jellegű csalások miatti visszatérítés számára (nem a te számodra!) annyira elhanyagoható mértékű, hogy megéri nekik ez a kockázat, azért, hogy te gyorsabban vásárolhass és így őket válaszd. Nem biztos, hogy ez változott azóta.

És persze hozhatnék adathalászatra is példákat. Ha valami módon (akár a te levelezésedből, akár a szálloda levelezéséből, számítógépeiről) egy adathalász kezébe kerülnek a kártyaadataid (és mondjuk a neved, címed, születési időd, telefonszámod - hiszen a szállodában ezeket az adatokat is megadtad), máris kaphatsz olyan hitelesnek tűnő telefonhívást a "bankodtól" (természetesen a csalótól, akinél a kártyaadataid landoltak), amivel olyan bizalmat képesek építeni benned, hogy a beszélgetés végére gondolkodás nélkül megadod a CSC-t is. Így meg aztán már végképp szabad az út... 

Na, csak hogy érthetőbb legyen a fenti bekezdés:
Ugyanabban a szállodában száll meg egy rosszindulatú hacker is, ahol te. A szálloda wifijén keresztül feltöri a rendszert és megszerzi az összes vendég minden adatát. Aztán pár hét múlva a következő hívást kapod tőle:

  • Jó napot kívánok, Kovács Béla vagyok az XY bank biztonsagi osztályáról. Tájékoztatom, hogy a beszélgetés biztonsági okokból rögzítésre kerül. Az Ön kártyájával valószínűleg visszaélés történt. Ezt szeretném ellenőrizni, de az ügyintézéshez azonosításra lesz szükség. Kérem válaszoljon: Mi az ön neve?
  • Kiss Pista.
  • Az édesanyja neve?
  • Nagy Juli.
  • Születési ideje?
  • 1920.01.01.
  • Köszönöm, az azonosítás sikerült. Az Ön kártyájára XY hotelből 123.456Ft terhelesi kérelem érkezett, de gyanús a tranzakció, ezért kérem Önt, nyilatkozzon! Ön fizetett XY hotelnek 123.456Ft-ot?
  • Dehogyis! Mi a f*sz ez? Miért vonták le? @*#%!!!
  • Semmi gond, természetsen letiltjuk a tranzakciót és a kártyát is, nem törtenik majd kifizetés.
  • Huh, óriási! Nagyon hálás vagyok! Jajj, de jó!
  • Ehhez csak egyeztetnünk kell az adatokat. Az Ön kártyájánk száma: 1234556789, lejárati dátuma xx/yy. Így van?
  • Megnézem, pillanat... Igen, ez az.
  • A letiltáshoz már csak 2 dologra van szükség. A kártya hátoldalán lévő 3 jegyű azonosító számra és egy érthető, hangos válaszra a hangfelvétel miatt. Kérem valaszoljon: Le kívánja tiltani az 123456789 számú kártyát?
  • IGEN
  • A kártya hátoldalán található 3 számjegyű kód?
  • 123.
  • Köszönöm, az Ön kártyáját azonnal letiltottuk, és terítésmentesen elindítjuk az új kártya igénylését. Köszönjük az együttműködést.

Na, hogy tetszik?
Aki erre azt mondja, hogy az emberek 90%-a nem ugrik bele, az nem ismeri az embereket. Annyi adatot zúdít a támadó az áldozatra, hogy az áldozatban föl sem merül, hogy nem a bankkal beszél és azonnal válaszolni fog minden kérdésre.

 

Nagyon fontos tudatában lenni annak, hogy attól, hogy valami létezéséről nem tudsz, az nem azt jelenti, hogy nincs is. Ahogy nem úgy ellenőrzöd, hogy be van-e kapcsolva a rezsó, hogy rátenyerelsz, úgy az adataid biztonságát sem úgy teszteled, hogy hagyod őket ellopni. Nem félni kell, nem kell elbújni a világ elől, és nem, paranoidnak sem kell lenni, egyszerűen csak tudatosnak.

"Legyen kedves a bankkártya számát és lejáratát megadni!"

Ne legyél kedves! Soha!

Újabb friss-ropogós gyönyörűség:

hotel-bankka_rtya.png

Te mit csinálnál?

Remélem, hogy a válaszlevélben felhívnád a szálloda figyelmét arra, hogy adatvédelmi szempontból ez a kérés több, mint aggályos, és hogy eszed ágában sincs még a bankkártyád színeit sem megírni nekik, nemhogy a számát és lejáratát.

És most gondolj bele, vajon hányan küldik gondolkodás nélkül a kért adatokat?

Van értelme egy ilyen kérésnek?

Semmi! Tételezzük föl, hogy megadod a szükséges adatokat a limitet pedig beállítod mondjuk 1.000Ft-ra. Na? Ha bármi van, akkor 1.000Ft-ot tudnak levonni a számládról és nem azt az összeget, amit valójában fizetned kellene.

Miért probléma ez?

Ha elküldöd a kért információkat, akkor az a te levelezésedben a Sendben megtalálható. A fogadó fél Inboxában is meglesz. Meglesz a küldő és a fogadó szerveren is és mindazokon az eszközökön, ahol a levelezések be vannak állítva. Tehát ha a levelezésed laptopon, telefonon és tableten is be van állítva, akkor ugye mindegy, hogy melyik eszközről küldöd a levelet, az minden eszközön a Send mappában megtalálható lesz. Tehát bármelyik eszközödet - és a fogadó fél eszközei közül is bármelyiket - feltörik, akkor máris megszerezték a bankkártyaadataidat.

És akkor ugye ki tudja, hogy a szálloda mit kezd a bejövő levéllel. Kimásolja az e-mailben megkapott adatokat egy Excel táblába? Azt hol, hogyan, milyen titkosítással tárolja? Továbbküldi a penzugy@-ra, hogy a gazdaságisnak is meglegyen a szükséges információ? Továbbküldik esetleg a könyvelőnek? Titkosítva leveleznek vajon?

Elég jól látszik, hogy ezzel az erővel akár a homlokodra is írhatnád a bankkártyaszámod, hogy biztosan jól lássa mindenki...

 

Megoldás

  • Feltétlenül jelezd a szállodának, hogy aggályosnak találod ezt a kérést, és nem vagy hajlandó nekik elküldeni a kért adatokat.
  • Kérd meg őket, hogy találjanak más módot a foglalás véglegesítésére - például fizess átutalással, küldjék el az ehhez szükséges adatokat.

 

És aztán...

Jeleztük a szállodának az aggályainkat, amit mintha meg sem hallottak volna. Természetesen az utaláshoz szükséges adatokat azért elküldték, és még egy kis - nem kevésbé gáz - tájékoztatást:

hotel-bankka_rtya-folytata_s.png

Na ezt ne csináld soha bankkártyával!

Az idei első hajmeresztő felelőtlenség

happy-new-year.jpg

Boldog új évet nektek!

Remélem, az újévi fogadalmaitok között szerepel, hogy igyekeztek biztonságtudatosan élni, és nem csináltok olyan ordas nagy baromságokat őrültséget, mint amit épp ma követett el valaki:

X.Y. céges bankkártyáját letiltották. Erről a bankártyáról fizettek automatikusan több, havonta megújuló informatikai szolgáltatást. Természetesen előbb tiltották le a kártyát, és csak utána gondolták át, mivel is járhat ez. Például azzal, hogy akár már holnap nem fog tudni dolgozni senki, ha ugyanis nem tudják a havidíjakat levonni, kikapcsolhatják a szolgáltatásokat.

És most jön a rémtett: a bankkártyát egyszerűen lefotózták és egyből e-mailben elküldték a fényképet.

Ez már eleve a telefonról, a fényképek közül lopható, de vihetik a levelezésből is, meg persze bármelyik csatornát megfúrva, ahol az információ közlekedik.

 

Ha érted, hogy ez miért volt gáz, de neked sem lenne más ötleted eljuttatni a kártyaadatokat A-ból B-be, ha épp szükség lenne rá, akkor most lássunk rá megoldást.

  • Nyisd meg a Word-öt, írd bele egy dokumentumba a kártyaadatokat, és mentsd el úgy, hogy jelszóval védett legyen! (Így ha a számítógépedre bejut egy támadó, akkor is titkosítva lesz. Nem feltörhetetlen, de mindenképp biztonságosabb, mintha titkosítás nélkül van a gépeden.)
    • B-verzió: Elmentheted akár jegyzettömbbe is, amiből aztán jelszóval védett zip-et / rar-t / 7zip-et állíthatsz elő, de ha kész a titkosított fájl, ne felejtsd el a gépedről véglegesen (tehát a kukából is!) törölni a .txt-t!
  • A fájlnév ne legyen árulkodó, szóval ne bankkartyamadatai.doc legyen a neve. :)
  • A jelszó legyen erős (tehát ne 1234), random generált mondjuk. Az így titkosított doksit elküldheted e-mailben, a jelszót pedig küld mellé sms-ben.
  • A legjobb megoldás pedig, ha a levelezésedet GPG/PGP-vel intézed. (Erről egy későbbi postban írok bővebben.)

Természetesen a fenti módszer sem jelent 100%-os védelmet, de ha ezt a pár egyszerű lépést megteszed, akkor azért sokat teszel a kártyád biztonságáért, és ez a lényeg.

Mostmár tudod, hogy hogy kell, szóval soha ne küldj fényképet a bankkártyádról senkinek! :)

IT biztonság - Az első lecke

Ti kérdeztétek

Ismét kaptunk egy olvasói levelet.

Szervusz!
Olvasom a blogod, nekem tetszik!
Felvetetted a lehetőséget, hogy ‎lehet mindenféle blogmotor regiszter nélkül kérdezni, igy nagy tisztelettel szeretnék élni ezzel, mint újonc. 
Előzményem: a kilencvenes évek eleje óta Mac felhasználó vagyok, van egy régi gépem, de anyagilag sem bírom kedvem szerint folytatni, és jövőbeni terveimhez sem szolgál ki a Mac. 14-éves a kicsike, lassan tényleg netre sem lehet használni. Webbank nincs, levelező elavult, csak képet lehet vele szer
Sosem volt még windows, bármi más PC-m, de szeretnék egyet most‎.
Vettem tárhelyet, vettem domain-t, lesz levelezőm. (...)
Amint látod : kell levelező szoftver, kép és videó (...) szerkesztő, dokumentum kezelő is.
De hogy fogom megvédeni a gépemet? Mitől maradok biztonságban böngészés közben? Hogy fogok magamnak biz-ton-ság-os weboldalt létrehozni? Párom laptopján zombiszerver üzemelt. Mondtam is neki, hogy a lemez forog, a gép dolgozik magától, ha nem vagy otthon! Szaki több 10 giga rejtett adatot, és több 100ezer foldert talált rajta.
Ez foglalkoztat nagyon. Ma megyek a laptopért.. (...). Terveim szerint egy linux és egy win lesz rajta.
Mit javasolsz rá telepíteni és milyen programokat, biztonsági komponenseket rakjak rá?
‎Nem szeretnék szívni vele.
Köszönöm előre is valaszodat, foglak továbbra is szorgalmasan olvasni.


A kérdést több oldalról is szeretném megközelíteni, mert erre nincs egyszerű válasz.

Sokakkal ellentétben én nem vagyok arról meggyőződve, hogy a Linux biztonságosabb, mint a Windows. Igaz, hogy Windowsra több a vírus, meg mindenféle csúnyaság, de ez nem a mai Windowsok hibája. Lassan nincs olyan hét, amikor ne látnánk újabb és újabb Linux sérülékenységeket, a Microsoft meg tényleg dolgozik azon hogy a Windows jobb legyen.

Nem akarok ebből semmilyen hivők közti háborút, úgyhogy megpróbálom hétköznapi szinten összefoglalni mik azok amik javítanak a biztonságon. Akik alaposabban érdeklődnek a téma iránt, olvassanak a post végén, ez a post alapvetően magánembereknek, otthoni viszonyokra szól és nyilvnvalóan nem elég ahhoz, hogy mondjuk sokezer ügyfél adatait védjük meg.

Megpróbálom témakörönként csoportosítani, bár a témakörök között elég nagy az átfedés.

safety_first.jpg Kép: brd_

Windows

Window 10 telepítésnél az összes opciót kapcsold ki szerintem. Nem ezzel fogod elkerülni a cryptolockert, de szerintem jobb kikapcsolni minden adatküldős, adatmegosztós funkciót.

Windowson a sokszor emlegetett alapszabályok fontosak.

  • Mindig legyen frisstve,
  • legyen bekapcsolva a tűzfal és
  • legyen rajta egy friss vírusírtó.

Ezek egyike sem képes csodákra, de a tömeges, általános dolgoktól jó hatékonysággal tudnak védekezni.

NE használd rendszergazdaként a géped. Tudom, hogy nagyon kényelmes, de legyen egy rendszergazda és egy sima felhasználód a gépen. Használd sima userrel, és ha kell, csak akkor add meg a rendszergazda jelszavát egy telepítéshez, vagy beállításhoz. Még jobb, ha tényleg van egy biztonságtudatos rendszergazdád, aki kézben tartja ezeket a dolgokat.

Használj bitlockert - azaz titkosítsd a meghajtód!

Legyen egy nem túl hosszú screen lock beállítva, és kérjen jelszót a feloldáshoz. És ha otthagyod a géped, mindig lockold.

Ne legyen bekapcsolva semmilyen automatikus lejátszás, mindig te egyedileg döntsd el mit akarsz kezdeni a fájlokkal 

Linux

Linuxnál a legfontosabb, hogy ne rootként használd a gépet (tehát pl. ne használj Kalit alapbeállításokkal csak azért, mert az vagány dolog). Ezen kívül olyan haladó beállításokra lenne szükség, amik már túlmutatnak a laikus szinten, de akit érdekel, olvassa el a cikk végét.

Legyen külön tmp könyvtárad, külön boot, külön home, és mindegyiket megfelelő módon csatold fel. Pl. a tempen mindenképp legyen nodev, noexec, nosuid beállítva. De ez már tényleg nem felhasználói szint.

Ne legyenek olyan fájlok a gépeden, amik mindenki által írhatóak.

Itt is legyen tűzfal bekapcsolva, és akár vírusírtót is tehetnél rá, mert ártani nem árt.

Használj LUKS-ot a homeodra vagy a teljes /-ra.

Ember

A helyzet az, hogy a biztonságban TE vagy a legfontosabb. Lehet bármilyen eszközöd, biztonsági szoftvered, ha fegyelmezetlen vagy, semmit sem fog érni. A legfontosabb ökölszabály, hogy ami kényelmes, az tutira nem biztonságos. Ezt mindig tartsd szem előtt. Vannak persze kivételek, dehát az ökölszabályok már csak ilyenek.

Olyan weboldalakat, amikről feltételezhető, hogy megengedőbbek a szabályszegésekkel kapcsolatban (warez oldalak, pornó, cukiságoldalak, kifejezetten kattintásvadász oldalak stb.) kezelj nagy körültekintéssel. Szerintem pl. azon a gépeden, amin érzékeny adatokat tárolsz, ne is látogasd ezeket az oldalakat. Legyen erre egy külön virtuális gép, amit bárki ingyenesen csinálhat magának pl.virtualbox-szal. Nem 100%, de sokkal jobb, mint saját gépen warezolni.

NE használd a számítógépen megadott useredet semmi máshoz. Tehát ne ezt állítsd be a szkennerbe, mikor e-mailbe vagy hálózatra szkennelsz, és ne ezt használd a munkahelyeden, vagy bárhol máshol. Legyen egyedi.

Ha teheted, minimalizáld a támadási felületet azzal, hogy a lehető legkevesebb kiegészítőt, szoftvert telepíted. Nem arra gondolok, hogy ne tegyél fel Wordot, vagy Firefoxot, hanem arra, hogy ne tegyél fel cuki képernyővédőt, mindenféle Firefox kiegészítőt, és teljesen értelmetlen feladatokat elvégző szoftvereket feleslegesen. Én például nem használok flasht évek óta, mert nem biztonságos és a java pluginek futása is manuális engedélyhez kötött. És ami nagyon fontos, ne torrentről leszedett szoftvereket tegyél föl. Senki sem olyan jótét lélek, hogy ingyen dolgozzon programok feltörésén, hogy aztán te ingyen használhasd. Mi értelme lenne ennek? Viszont ha van a feltört Windows/Office/Game stb. programban egy kis beépített ajándék a jótékony hackerek (mert ugye kik is törik fel ezeket a szoftvereket?) részéről, akkor már meg is érte megcsinálni a törést, mert szereztek vele egy csomó gépet a botnetbe. Szóval vedd meg szépen a szoftvereket.

Ha valmit telepíteni akarsz és a vírusírtó sikít, hogy ez bizony vírusos, akkor nem az a megoldás, hogy felfüggeszted a védelmet amíg telepíted, mondván ez tutira nem virusos, mer' a Feri küldte. Nem. Az bizony virusos, te pedig nem telepíted, ha nem akarsz vírust.

Ne telepits feleslegesen olyan böngésző plugineket, amik egyből böngészőbe ágyazva megnyitnak tartalmakat (média, pdf, videó, akármi).

Szóval összességében tartsd kézben az irányítást, ne hagyd, hogy a géped mindent megcsináljon helyetted.
NE, hangsúlyozom, NE jegyeztess meg jelszavkat Firefoxban (általában böngészőben), TotalCommanderben stb. Használj password safe-et.

Legyél bizalmatlan. Ha kapsz egy levelet, gondold át kitől jött. A többségünknek nem küld levelet Bill Gates, hogy megossza vele a vagyonát, vagy Mihalik Enikő, hogy megmutassa a meztelen képeit (.exe formátumban természetesen). Szóval ne kattints, csak ha biztos vagy a dolgodban.

Hálózat

Állíts be fixen névszervert, például opendns-t.

Tűzfalon kifelé és befelé is minden legyen alapból blokkkolva, csak azokat engedd ki, vagy be egyesével, amiket használni akarsz.

Az otthoni wifid jelszava legyen nagyon erős és ne add oda barátoknak sem. Vendégeknek legyen külön vendég wifi (nem tőlük félünk, hanem a teleonfjuktól, laptopjuktól...)

Ne használd a szolgáltató által adott modemet/wifi routert fő eszkozként. Tegyél mögé egy saját routert, és ahhoz csatlakoztasd a gépeidet, telefonjaidat stb.

Ne legyen egyetlen olyan openwifi sem beállítva a gépeden/telefonodon, amihez automatikusan csatlakozol.
Ne használj publikus wifiket, ha lehet, de ha mégis (én is szoktam azért), legyél körültekintő. Használj saját DNS-t és használj mindent titkosítva és különösen figyelj oda a https certekre. Ha nem jó a cert, ne lépj tovább!

Adatvédelem

  • Legyen snapshot, shadow copy bekapcsolva, hogy visszaállíthasd a fájljaidat.
  • Legyen mentésed, amit nem ér el folyamatosan a géped (tehát ne olyan hálózati meghajtón legyen, amit folyamatosan lát a géped).
  • Legyen mentésed.
  • Legyen mentésed (ezt még le kéne írni 100-szor).
  • Legyen titkositva minden, ami fontos. Teljes merevlemez, jelszavak stb.
  • Ne küldj e-mailben titkosítatlanul fontos információkat (pl jelszavak...).

 Biztonságos weboldal

Nem telik úgy el hét, hogy ne kellene valamilyen webalkalmazást tesztelnem, mégis ez a kérdés legnehezebb része. Egy cégnek persze tudnám, mit válaszljak, de egy magánembernek nem mondhatom, hogy a megfelelő céggel csináltassa meg, aztán leteszteljük neki X százezer forintért. Szóval ez nehéz, de itt is mondok ökölszabályokat.

Használj olyan CMS-t vagy webáruház motort, amit aktívan fejlesztenek és nagy a közösségi támogatása. Magento, Wordpress, Drupal, ilyesmi. Ezt mindig tartsd frissen (bár ennek nem is olyan régen volt hátránya is, mert feltörték a Wordpress-t és a frissítésen keresztül tudtak fertőzni...).

NE a legolcsóbb hosting szolgáltatónál üzemeltesd.
Kérdezd meg a szolgáltatót, hogy használ-e ModSecurityt vagy valamilyen web application firewall-t. Kérdezd meg hogyan garantálják, hogy ha feltörnek egy másik weboldalt, akkor a tied nem kerül bajba. Kérdezd meg, hogy van-e tűzfal, és az milyen szolgáltatásokat nyújt (pl. szólnak-e neked, ha gyanús forgalom zajlik a usereddel).

Ne használj SEMMIT titkosítatlanul a tárhelyeden (ftp, imap, smtp, https minden legyen titkosítva rendes certtel), te magad is tegyél WAF-t alkalmazáson belül (ez Wordpressben egy modul, amit pár kattintással bekapcsolhatsz).
Egy laikusnak iszonyú nehéz megfelelő szolgáltatást, és megfelelő szakembert választani sajnos.

A jó hosting kérdése annyira nehéz egyébként, hogy én anno (több mint 10 éve) inkább csináltam saját webszervert, mert nem volt normális szolgáltató. Azóta is csak saját szerveren hostolok, és ügyfeleknek is ezt javaslom. Persze ez szakértelmet ÉS elhivatottságot igényel sajnos.

 

Post vége: azok, akik mélyebben érdeklődnek a téma iránt, szeretnék saját szerverük, asztali gépük, laptopjuk biztonsági szintjét drasztikusan emelni, töltsék le a rendszerspecifikus hardening PDF-et a CIS-től, és menjenek rajta tételesen végig. https://learn.cisecurity.org/benchmarks

Jelent-e bármilyen veszélyt a bankkártyás vásárlási bizonylatok egyszerű kukába dobása?

Ti kérdeztétek

bizonylat.jpgHa nagyon egyszerűen akarnék válaszolni, akkor csak ennyit mondanék: mint ahogy az életben bármi, igen, ez is lehet veszélyes.

Csakhogy ettől még senki nincs beljebb, szóval inkább nézzük kicsit részletesebben. (De előtte azért mégis szögezzük le gyorsan: azért nagy para nincs, nyugi! :) )


Tegyünk különbséget a bankkártyás vásárlás után a pénztárban kapott bizonylat és az ATM-es készpénzfelvétel után kapott bizonylat között. Ez utóbbi egy csöppet veszélyesebb, hiszen szerepel(het) rajta, hogy még mennyi pénzünk maradt a bankszámlánkon.
Más tekintetben viszont kezelhetjük őket egyformán.


A bizonylaton szerepel többek között a bankkártyád utolsó négy számjegye, hogy hol, mikor és mennyiért vásároltál. Ezek önmagukban nem olyan adatok, amikkel egyből vissza lehet élni. Szóval pont úgy kidobhatod, mint a cuki cicás képeslapot, amit a barátaidtól kaptál szülinapodra. Alá is írták, mindenki a becenevét. 

Pont annyira veszélyes kidobni a bizonylatot, mint a szülinapi képeslapot. A barátaidtól. A cuki cicásat.

Ha ugyanis téged, vagy rajtad keresztül akar bárki támadni, akkor a képeslap rengeteg fontos információt tartalmaz. Hogy (kb.) mikor van a szülinapod. Ha a haverok nem diszkrétek, azt is meg lehet tudni, hogy hányadik volt épp. Azt, hogy szereted a cuki cicákat. És a haverok becenevét is. Mert jófejek és aláírták. Így aztán ha megszereznék még mondjuk az e-mail címed, és kapnál oda egy nagyon hasonló e-mailt, amit látszólag a haverokt írtak alá, akkor már kattintanál is. Ugye? És már be is nyaltál valami vírust.
No, de ez egyrészt egy másik út, másrészt pedig - bár reális, mégis - kicsi az esély ilyesmire.

Na, pont ilyesmi fordulhat elő a bankkártyás bizonylatokkal is. Ha pl. egy kupacnyit dobsz ki egyszerre, akkor abból a vásárlási szokásaidat remekül lehet rekonstruálni. Ha valaki konkrétan téged akar támadni, akkor már tudja a neved, megszerezte a bizonylatod, ahonnan tudja a bankártyád utolsó négy számjegyét, és azt is, hogy múlt pénteken hol fizettél 6.437Ft-ot. Ha még azt is kideríti, hogy melyik banknál vagy, és hogy mi a címed /e-mail címed, akkor már kapod is a hivatalos banki levélhez megszólalásig hasonló levelet, amely néven szólít, közli, hogy a bankkártyáddal, melynek utolsó négy számjegye 1234, és amivel múlt pénteken 6.437Ft-ot fizettél a sarki közértben, na, szóval azzal van valami baj, de azonnal kivizsgálják, csak add meg a valamilyen adatod. Az emberek jelentős többsége ennek biztosan bedől.

Igen, jól érzed, ez már szinte határos azért a paranoiával. Valószínűleg ennyi energiát és nyomozást és szemétben turkálást senki nem feccöl egy átlagos bankszámla lenyúlásába - ráadásul biztosan könnyebben is hozzájuthat bankkártyaadatokhoz. Azért meséltem ezt el, mert ennyi veszély van a dologban, nem több. Viszont ennyi van. Nem mondhatom, hogy tökéletesen biztonságos csak úgy kidobni a bizonylatokat.


Pénzfelvételnél azért ha nem muszáj, ne kérj bizonylatot.
Ha kicsit jobban parázol az átlagnál, akkor tépd össze, mielőtt kidobod.
Ha sokkal jobban parázol az átlagnál, akkor égesd el. :)

 

3d Secure - Biztosíték a bank számára?

3d-secure.pngNemég bankot váltottam, és az ügyintéző lelkesen mesélte, hogy nagyon bizotnságos a vásárlás az ő kártyájukkal, mert van 3d Secure.

Itt olvashatod, miről is szól ez:

http://www.mastercard.com/hu/consumer/securecode-gyik.html



Magyarul, ha online vásárolsz, akkor - opcionálisan - jön egy kód, amivel igazolod, hogy te akarod használni a kártyát. De ez hogyan véd meg téged, ha egyszer opcionális? Mitől véd meg?

  1. Valaki ellopja a tárcád, vagy a kártyád, vagy a kártyaadataidat és interneten használja. Ettől megvéd, feltéve ha a támadó olyan hülye, hogy 3d Secure helyen vásárol a megszerzett adatokkal.
  2. ? - Mitől még?

Persze választhatsz tudatosan olyan kereskedőt, aki támogatja a 3D Secure-t, de ez esetben ki véd meg kit? Mitől véd meg a kód?

Szerintem semmitől. Ha én ellopom az adataidat és vásárolok hát tutira nem 3D Secure helyen fogok vásárolni, úgyhogy ennek semmi értelme. Az a biztonsági intézkledés, ami nem kötelező, az bizony nem ér semmit.

Vagyis mégis véd azért valamit:

Megvédi a KERESKEDŐT hiszen ha a kereskedő 3D Secure kereskedő, akkor tudja bizonyítani, hogy te vásároltál, így az ő felelőssége megszűnik. Még akkor is, ha valaki megtalálja a módját a visszeélésnek, akkor is bizonyítva lesz, hogy te voltál. Jó ez neked? 

Cserébe viszont kényelmetlen. Nem is értem, ki találta ezt ki.

A 3D Secure jó lenne, ha kötelező lenne mindenhol. Akkor igen, tuti. De így csak púp a hátamon. Örömmel fogadok minden ellenvéleményt, komolyan szeretném magam biztonságban érezni a 3D Secure miatt, de egyelőre úgy látom, hogy az emberek többségének hamis a biztonságérzete, ami iszonyú nagy probléma.