Date: Mon, 26 Oct 2004 
From: F. Telbisz (Telbisz@sunserv.kfki.hu)
Subject: Biztonsagi hirlevel: Biztonságos Windows használat - 2004.10.26

Biztonságos Windows használat

Az utóbbi hetek (hónapok) vírus és féreg problémái miatt sokakban felvetődött a kérdés: nem kellene-e a Windows helyett más, biztonságosabb rendszerre áttérni? Való igaz, hogy miközben a Microsoft egyre újabb és újabb lehetőségeket épített be az operációs rendszereibe, programjaiba, azokat rugalmasabbá és hatékonyabbá téve, egyúttal egyre újabb támadási felületeket is nyújtott. Annál is inkább így van, mert eközben az információtechnológia, számítástudomány eredmányeire nem nagyon voltak tekintettel. Lehet, hogy nem is ismerték ezeket?

Ennek ellenére úgy gondolom, hogy a Windows is jól használható desktop operációs rendszer kellemes grafikus felülettel, ahol okos használat mellett megfelelő, a Linux-ot megközelítő biztonság is elérhető. (Egy rosszul vagy gondatlanul menedzselt Linux-nál mindeképpen jobb lesz.) Ehhez az szükséges, hogy ne használjuk a Microsoft által meggondolatlanul és felelőtlenül belerakott lehetőségeket, amelyek ráadásul sok esetben feleslegesek is. Nem feltétlenül szükséges, hogy az ember vírusokat, férgeket kapjon. (Én, több mint 12 éve használok Windows-t. És leszámítva az első éveket, amikor virus védelem nem is létezett még, soha nem kaptam vírusokat vagy férgeket.) Ehhez néhány alapvető biztonsági szabály betartása szükséges, az alábbiakban a legfontosabbakat foglaljuk összes röviden.

A Microsoft Office kompatibilitási okok miatt nehezen kerülhető meg, de jól tesszük, ha megfogadjuk a biztonsági szakemberek tanácsát, és semmilyen hálózathoz kapocsolódó feladathoz nem használunk Microsoft komponenst. Ez könnyen megtehető, mert nagyon széles a választék jóminőségű ingyenes programokban is, annak következtében, hogy a Microsft csak nagyon késedelmesen fogta fel az Internet jelentőségét, működési módját. Talán még a mai napig nem történt ez meg, ezért is vannak a Microsoft Internetes programok tele biztonsági lukkal.

A "malware"-ek kezelése.

"Malware" néven szokás összefoglalni a különböző kártékony programokat.

Vírusok

A vírusoknak valamilyen hordozóra van szükségük, mint az emberi vírusoknak is. Ez lehet:

Valamilyen dokumentum (Winword, Excel file, stb.). Ezeket a viruskeresők elég jól kezelik. Természetesen nincs olyan víruskezelő, ami percre kész lenne. Egy új vírusra való reagáláshoz a vírusirtók szerint legalább 6 óra, de gyakran egy-két nap kell.
Levél attachment. Alapszabály, hogy végrehajtható attachment-re soha nem szabad kattintani. Nem végrehajthatóra (zip, gif, ...) lehet kattintani, de ehhez szükséges, hogy látható legyen az attachment-ek file típusa. Ehhez a Windows default beállítását meg kell változtatni (show file extensions for all files !). Gyakorlatilag ennek a szabálynak a betartása önmagában is meglehetősen nagy biztonságot ad.
Bár egyes vírusoknak van saját levelező ágensük, ezek terjedéséhez is szükségük van a levélre, mint hordozóra. Viszont az így generált DOS támadás is igen komoly problémát okozhat, teljesen megbéníthatja a mail szerverek működését. (Speciális támadás volt, amikor a leveleken kívül DNS lookup kérdéseket is indítottak nagy tömegben és ezáltal a domain név-szerverek megbénításával majdnem az egész Internetet sikerült megbénítani)
Mivel a beérkező levelekben magukban is lehetnek virust tartalmazó kódrészek, script-ek, amiket az Outlook Express automatikusan végrehajt, ajánlatos, hogy olyan levelező programot használjunk amelyek ezt nem teszik, vagy ez letiltható. A html formátumú leveleknél fokozottan fennáll ez a kockázat. Ingyens levelező programok bőségesen találhatók:
- Netscape (http://channels.netscape.com/ns/browsers/download.jsp),
- Mozilla (http://www.mozilla.org/),
- Pegasus (http://www.pmail.com/),
- Eudora (http://eudora-survey.qualcomm.com/live/download),
- PC-Pine (http://www.washington.edu/pine/).
Ez utóbbinál modemes használatnál némi ügyeskedésre, és egy helyi mail szerverre (pl. Mercury: http://www.pmail.com/) is szükség van.

Férgek

Ezek sajnos sajátmagukat aktívan terjesztik. Rendszerint a buffer túlcsorgást használják ki. Úgy látszik, hogy a Microsoft előszeretettel úgy programoz, hogy az input buffer mögötti részre adja át a vezérlést. Elég, ha a támadók a buffer méretét meghaladó csomagot küldenek, ahol a túlméretezett csomagba elhelyezik a virus kódját, a vezérlést garantáltan megkapja.

Ezek ellen semmilyen vírusvédő program nem tud védeni. A védekezésnek két eszköze van:

Mivel a Microsoft ezeket a hibákat javítja amint kiderülnek, gondoskodnunk kell arról, hogy a biztonsági patch-eket feltegyük, amikor elkészülnek. Sajnos, a hibák javítása meglehetősen lassan és vontatottan megy a Microsoft-nál. A javításokra a Windows 2000 vagy későbbi változatoknál használhatjuk az auto-update opciót. Sajnos, ez csak az Internet Explorerrel működik, de növeli a biztonságot, ha az Internet Explorer használatát az automatikus update funkcióra korlátozzuk.
A másik fontos eszköz az, hogy ne legyen olyan nyitott port a gépünkön, amire nincs szükségünk. Erre valók a tűzfalak. Az intézményi tűzfalak a külső támadástól ugyan megvédenek, de a belső támadások ellen csak a saját, személyi tűzfal véd meg. Szerencsére, ilyenek is vannak, ingyenesek is: Kerio, Sygate, ZoneAlarm (A két utóbbi csak magánhasználatra ingyenes.) A személyi tűzfalakról egy korábbi Biztonsági Hírlevélben már szóltunk. Ez teljes egészében megtalálható, az alábbi URL-en: http://www.kfki.hu/cnc/news/csbh/csbh041004.html. Most csak arra hívjuk fel a figyelmet, hogy a Microsoft tűzfalak nem védenek attól, hogy egy megfertőzött gépről további támadások induljanak ki, a többi tűzfal ezt megakadályozza, hacsak a gép gazdája nem engedélyezi ezt nekik. Microsoft tűzfalak esetében ez ellen védelmet csak a hálózati eszközök: router-ek, switch-ek tudnak nyújtani

A férgek a böngészőkön keresztül is terjedhetnek, már megfertőzött web helyeken keresztül. Az Internet Explorer különösen veszélyeztetett, részben elterjedtsége, részben a benne található programozási hibák (buffer túlcsorgás), valamint a beépített lehetőségek (Active-X, Microsoft JAVA script-ek) miatt. Ezért sokan tanácsolják, hogy használjunk más, biztonságosabb böngészőt. Ingyenesek:

- Netscape http://channels.netscape.com/ns/browsers/download.jsp,
- Mozilla vagy Firefox:: http://www.mozilla.org/,
- Opera: http://www.opera.com/.

Amennyiben mégis az Internet Explorer mellett döntünk, telepítsük a biztonsági patch-eket megjelenésük után azonnal, és célszerű, ha - mint azt a Microsoft is ajánlotta már (!) - az Active-X-et és a Microsoft Java-t letiltjuk benne. (Sajnos, így a képességeit is alaposan megnyírbáljuk, többek között az automatikus update sem tud működni.)

Kém (spy) programok

Ezek jobbik esetben hirdetéseket mutatnak pop-up ablakokon keresztül, vagy az Internet használati szokásainkról, az általunk meglátogatott web helyekről gyűjtenek információt, de az is lehetséges, hogy a gépen tárolt bizalmas adatokat (bankszámla számokat, PIN kódokat, jelszavakat) keresnek. Még az is lehetséges, hogy a billentyűzeten begépelt jelszavakat gyűjtsék be és továbbítsák a működtetőiknek.

A gépünkre leginkább két módon kerülhetnek:

Ingyenes, u.n. adware programokon keresztül kerülnek a gépre. Ezek eredetileg ingyenes (freeware) programok voltak, és a fejlesztők a hirdetésekből akarták fedezni a költségeiket.
Web lapokon található kódrészeken keresztül is kerülhetnek a gépünkre virusok, férgek, vagy egyszerűen csak kém programok.Nem mindegy, hogy milyen web lapokat látogatunk meg!

Védekezés a kémprogramok ellen:

Csak megbízható web helyeket szabad látogatni. Letölteni meg pláne csak ilyenről szabad bármit is. (Aki Olaszországban az Uffizi képtárat, vagy a Vatikáni Múzeumot látogatja, nincs komoly kockázatnak kitéve, de aki a nápolyi piacon akar márkás órát venni, számíthat arra, hogy becsapják.)
Olyan böngészők használata, amelyek ezek által kevésbé veszélyeztetettek. Ezek felsorolása fentebb megtalálható
.
Mivel a víruskeresők nem igen találják meg a kém (spy) programokat, célszerű kémprogram keresőt használni. Ezekből is található ingyenes: Spybot (http://www.safer-networking.org/), vagy Ad-Avare (http://www.lavasoftusa.com/support/download/#free). (Ez utóbbi csak magánhasználatra ingyenes.)

Hamis riasztások

Mintha nem lenne elég probléma a vírusokkal, férgekkel, gyakran még hamis riasztások is borzolják a kedélyeket. Ezekkel leggyakrabban két formában találkozunk:

Hamis vírusokról szóló hírek. Ezek rendszerint levélben terjednek és különféle borzalmas vírusok közeli megérkezésével fenyegetnek. Tulajdonképpen elég könnyen felismerhetők arról, hogy kevéssé specifikusak, nem lehet belőle pontosan megtudni, hogy milyen vírusról beszélnek és a hatásairól is általában ködös, de nagyon vészesen hangzó információt adnak. Ugyanakkor a szöveg meglehetősen technikainak hangzik, ami megdöbbenti a nem szakembert. Rendszerint arra is felszólítanak, hogy az értesítést pilótajáték szerűen minél több címre küldjük el, ami már valóságos veszélyt is rejt(het) DOS támadás formájában. Minderről részletesebben is olvashatunk a KFKI web szerverén Zimányi Magda korábbi levelében (http://www.kfki.hu/cnc/email/hoax.html), a vírus ugratásokkal pedig több web lap is foglalkozik, az ezekre utaló link-ek megtalálhatók a http://www.kfki.hu/cnc/virus.html URL-en.
Mivel a levelek feladóját (From:) nagyon könnyű hamisítani, az újabb vírusok és férgek nemcsak a fertőzött gépen fellelhető címekre küldenek leveleket, hanem feladóként is beírják azokat a címeket, amiket a gépen találnak. Így, ha egy olyan értesítést kapunk, hogy valakinek küldött levelünk (akinek soha, de legalább is a közlemultban nem küldtünk levelet) vírust tartalmazott, nem kell megijedni, mert valószínűleg csak annyi történt, hogy valakinek a gépe megfertőződött, akinek valaha mi küldtünk levelet, vagy ő küldött nekünk levelet.

Gyakorlati védelmi szabályok

Mindenki javítsa ki a gépén a Windowsa default beéllítást úgy, hogy a file típust megmutassa minden (!) file-ra. Útmutató található: http://www.kfki.hu/cnc/virext.html
Legyen víruskeresőnk, rendszeresen frissített adatbázissal.
Legyen a gépünkön személyes tűzfal: telepítsünk vagy kapcsoljuk be az XP tűzfalát.
Időnként futtasunk le kémkereső program(ok)at: spybot-ot, vagy Ad-Avare-t is.

TUDOMÁSUL KELL VENNI, HOGY A HANYAG MAGATARTÁS NEMCSAK A SAJÁT BIZTONSÁGUNKAT VESZÉLYEZTETETI - EZ MÉG AKÁR BÁRKINEK A MAGÁNÜGYE IS LEHETNE - HANEM A KOLLÉGÁKÉT IS.

Mindez meglehetősen egyszerű – és biztonságos is – de csak addig, amíg a gépünket (Linux stílusú) munkaállomásként akarjuk használni, azon legföljebb csak egy-egy viszonylag biztonságosabb mail vagy file (lehetőleg SFTP) szervert működtetünk.

Ha a gépünk tagja egy Microsoft network domain-nek, megosztott lemezekkel, vagy azon más szolgáltatásokat is akarunk nyújtani, azonnal kockázatosabb és bonyolultabb lesz az élet. Pl. az XP rendszerek biztonságos működtetéséről az amerikai NIST (National Institute of Standards and Technology) ebben az évben (2004) egy kb. 150. oldalas könyvet adott ki, immár harmadik változatban (http://csrc.nist.gov/itsec/guidance_WinXP.html).