Ingyenesen elérhető Paul van Oorschot Computer Security: Tools and Jewels című angol nyelvű könyve. Az információbiztonság IT, azaz technológiai oldaláról ad tömör, de átfogó áttekintést. Friss munka, 2021 júniusában jött ki a második kiadás. A szerző honlapjáról tölthető le PDF formátumban, a második kiadást célszerű letölteni.

Kerestem már hasonló művet, nem könnyű olyat találni, amely jó összefoglalót ad, könnyen olvasható, friss, és ráadásul ingyenes. Beleolvastam pár fejezetbe, nagyon tetszett.

A fülszöveg szerint lényegében semmilyen előismeretet sem követel meg, de precíz, és belemegy a részletekbe is, ugyanakkor nincsenek benne sem matematikai levezetések, sem hosszú forráskód-részletek.

Úgy gondolom, Oorschot könyve remekül használható IT biztonsági szakemberek számára -- könnyű, magas szintű áttekintésként. Ugyanakkor jó lehet tankönyvnek is az IT biztonság iránt érdeklődő (elszánt) olvasók számára is, bár számukra várhatóan nem könnyű olvasmány -- épp azért mert egyszerre tömör és részletes, sok fogalmat vezet be, és elég gyorsan.

 

Készül Windowshoz egy parancssoros csomagkezelő, már ki lehet próbálni. Linux alatt régóta léteznek hasonló csomagkezelők (pl. Debian/Ubuntu alatt az apt), és remekül használhatóak telepítés vagy frissítés automatizálására.

Korábban is voltak már windowsos csomagkezelő kezdeményezések, én is írtam a chocolatey-ről, de ez most a Microsoft "bábáskodása" mellett jön létre. (Úgy látom, a Microsoft támogatja, de hivatalosan közösségi fejlesztés és nyílt forráskódú. Bárki írhat hozzá modult, amivel hozzáadhatja a saját alkalmazását, hogy az is telepíthető legyen így.)

Innen telepítheted fel a gépedre a csomagkezelőt, illetve a Microsoft blogbejegyzésében a "how to get" fejezet ír más telepítési módszereket.

Kipróbáltam, egész egyszerű használni. Nyitsz egy command prompt-ot, és beírod, hogy

winget install notepad++

és már települ is a gépedre a Notepad++ nevű editor. Nem kérdez semmit, nem kell kattintani, feltételeket elfogadni stb. Természetesen rendszergazdai jogot vagy jelszót kérhet a telepítéshez. Szintén automatizálható egy csomag frissítése (winget upgrade vagy egy újabb winget install) és az eltávolítása is. Szétnézve, elég sok alkalmazás elérhető rajta: találtam Acrobat Readert, Gimpet, Firefoxot, Operát, Pythont, de telepíthető így Steam kliens és még GOG is.

Még nem minden tökéletes. A Gimp telepítése során felugrott egy grafikus ablak, ami furcsa volt, és nem illett a képbe. Egy másik próbálkozásom a Geany nevű editor telepítése volt, ment is csont nélkül. De amint el akartam távolítani (winget uninstall geany), rögtön kiírta a winget hogy nincs telepítve ilyen csomag. Kénytelen voltam megkeresni az uninstall exe fájlt...

Biztonsági szempontból:

Úgy gondolom, biztonsági szempontból összességében előrelépést jelent egy parancssoros csomagkezelő.

 

Hosszasan kerestem olyan titkosító eszközt, amely nagyon egyszerű felhasználó felülettel rendelkezik, minden platformon elfut (különösen mobilon), és nyílt formátumot használ, így szükség esetén másik programmal is kititkosíthatom a fájljaimat. Emellett fontos szempont volt, hogy megbízzak a választott eszközben.

Elsősorban annak a néhány különösen érzékeny fájlnak a védelmére kerestem megoldást, amelyet nem szeretnék nyíltan feltölteni a felhőbe.

Miután jópár androidos appot kipróbáltam és elvetettem, végül készítettem egy saját megoldást. Íme:

https://kript.berta.hu

Ez pusztán egy HTML fájl némi JavaScripttel, a böngésződ futtatja kliens oldalon, semmit nem tölt fel sehova. Lényegében csak egy wrapper a CryptoJS könyvtárhoz. Amit betitkosítok, azt OpenSSL-lel is ki tudom nyitni. Kb. 10 megás fájlokon használtam, ami ennél sokkal nagyobb, azt úgyis jobb nem böngészőben kezelni.

Hajrá! :)

 

A myaccount.google.com címen tekintheted át Google fiókod beállításait. Néhány nagyon érdekes funkció is elérhető innen:

Akit kellően megijesztett a myactivity oldal, az már tudja, hogy a takeout segítségével könnyen kimentheti az adatait, majd a data and personalization oldalon töröltetheti le őket a fiókjával együtt. xD

 

A közelmúltban olyan esetek jelentek meg a hírekben, ahol csalók úgy fosztották ki áldozataik bankszámláját, hogy megkerülték a bank által alkalmazott SMS-alapú kétfaktoros autentikációt.

A kétfaktoros autentikáció manapság alapnak számít, minden internetes bejelentkezés esetén célszerű bekapcsolni. Ilyenkor a jelszó mellett egy másik módon is azonosítjuk magunkat belépéskor. Háromféle módon azonosíthatjuk magunkat:

1) tudás alapon (pl. jelszó segítségével), ilyenkor megkérdeznek tőlünk valamit, amit csak mi tudhatunk;

2) tulajdon alapon (pl. mobiltelefon, kulcs, chipkártya, egyszeri jelszót generáló token), ilyenkor egy tárgyat keres a rendszer, ami csak minálunk lehet;

3) biometriai alapon (pl. ujjlenyomat, hangminta, arcfelismerés), ilyenkor a valamely biológiai jellemzőnket mérik meg, és az alapján döntik el, mi vagyunk-e azok;

Jó megoldásnak tartják, ha e három közül legalább kettőt használ egy rendszer.

SMS esetén a jelszó melletti másik faktor a mobiltelefonunk. Úgy dönti el a rendszer, hogy én akarok-e belépni, hogy SMS-ben küld egy egyszeri kódot az én telefonszámomra. Az tudja beírni a kódot, akinél ott van az én mobiltelefonom (vagy SIM kártyám).

Az SMS-t mindig is "gyenge" második faktornak tartották. A 2018-as Reddit hack során a támadó látványosan megkerülte az SMS alapú második faktort. Habár az SMS, mint technológia sem biztonsági szerepet kellene, hogy betöltsön, vegyük észre, hogy kifejezetten low-tech támadások is működnek. Elegendő, ha a csaló bemegy a mobilszolgáltatóhoz, és új SIM kártyát kér az ügyfél nevében. Ha meg tudja győzni a mobilszolgáltató dolgozóját, meg tudja kerülni az SMS alapú második faktort, mert onnantól ő kapja meg a neki szóló SMS-eket. Ha mégsem sikerül meggyőzni a szolgáltató munkatársát, az valószínűleg nem rendőrt hív, csak megkéri az illetőt, hogy hozzon ilyen és ilyen igazolványt, a csaló pedig elmegy egy másik irodába, és ott kér kártyacserét. A mobilszolgáltatók folyamatait nem arra tervezték, hogy sokmilliós vagyonokat védjenek. Az SMS, mint második faktor praktikus ugyan, de kerülendő.

A mobiltelefonon futó autentikátor alkalmazást tartják ma a legjobb megoldásnak. Egyes cégeknek saját autentikátora van (pl. Steam), de még jobb, ha egy oldal standard megoldást használ, amely bármilyen szabványos autentikátorral együtt működik. Ilyen pl. a Google Authenticator, amely a TOTP szabvány (RFC6238) szerint működik, és nagyon sok oldallal használható (pl. Gmail, Facebook, Linkedin, stb, stb).

 

További bejegyzések a blogomban...

 

 
Ez az én személyes honlapom, amit itt írok, az az én saját, személyes véleményem, nem feltétlenül egyezik a munkahelyem véleményével. A blogomban szereplő tartalom a Creative Commons CC BY licenc szerint (azaz a szerző és a forrás megnevezésével) szabadon felhasználható.