|
Hosszasan kerestem olyan titkosító eszközt, amely nagyon egyszerű felhasználó felülettel rendelkezik, minden platformon elfut (különösen mobilon), és nyílt formátumot használ, így szükség esetén másik programmal is kititkosíthatom a fájljaimat. Emellett fontos szempont volt, hogy megbízzak a választott eszközben.
Elsősorban annak a néhány különösen érzékeny fájlnak a védelmére kerestem megoldást, amelyet nem szeretnék nyíltan feltölteni a felhőbe.
Miután jópár androidos appot kipróbáltam és elvetettem, végül készítettem egy saját megoldást. Íme:
Ez pusztán egy HTML fájl némi JavaScripttel, a böngésződ futtatja kliens oldalon, semmit nem tölt fel sehova. Lényegében csak egy wrapper a CryptoJS könyvtárhoz. Amit betitkosítok, azt OpenSSL-lel is ki tudom nyitni. Kb. 10 megás fájlokon használtam, ami ennél sokkal nagyobb, azt úgyis jobb nem böngészőben kezelni.
Hajrá! :)
|
A myaccount.google.com címen tekintheted át Google fiókod beállításait. Néhány nagyon érdekes funkció is elérhető innen:
myaccount.google.com/security: Itt találhatóak a biztonsági beállítások. Jelszót változtathatsz, bekapcsolhatod a kétfaktoros autentikációt (utóbbit javaslom, mindenképp kapcsold is be), áttekintheted, milyen készülékekről léptél be, és erővel kiléptethetsz eszközöket. Áttekintheted, mely oldalakra léphetsz be a Google bejelentkezés segítségével, és akár jelszókezelőként is működik (bár javaslom, offline jelszókezelőt használj inkább).
myaccount.google.com/find-your-phone: Megkeresheted az elveszett telefonodat, megmutatja térképen, hogy hol van (hol volt utoljára), megcsörgetheted, és távolról le is törölhetsz róla mindent. Természetesen csak addig működik, amíg a telefon a Google fiókodat használja, így egy tolvaj várhatóan kikapcsolja majd ezt. (Akinek profibb megoldás kell, az választhat külön telefon-biztonsági alkalmazást, vagy nagyvállalati környezetben vannak telefon-menedzselő rendszerek.)
myaccount.google.com/data-and-personalization: Áttekintheted, milyen Google szolgáltatásokban tárolsz adatokat, milyen eszközökön. Beállíthatod, hogy a Google személyre szabott reklámokat adjon-e, és innen tekintheted át adatait történetét és itt töltheted le adataidat (utóbbi kettőről külön pontban is szólok). Itt tudod átállítani a Google szolgáltatások nyelvét, illetve itt tudod letörölni az adataidat a Google rendszeréből (e funkció GDPR előírás).
myactivity.google.com/myactivity: Áttekintheted, mit csináltál korábban. Ez jámbor funkciónak tűnik, de valójában ijesztő, ahogy a rendszer megmutatja (esetleg ábrázolja térképen), hogy mikor merre jártál, de lekérdezheted, mikor milyen kereséseket adtál ki, mikor milyen youtube videókat néztél meg, stb stb. Mivel a telefonod mindig nálad van, akár részletekbe menően rekonstruálhatja életed elég jelentős részét. Mikor akarod mindezt lekérdezni? Akarod-e, hogy esetleg bárki más lekérdezze? A Google célzott reklámokból él, itt belepillanthatsz, milyen alapos profilt készíthetnek valakiről.
Van itt egy különösen hasznos funkció: kikapcsolhatod mindezt. Ha használsz Google szolgáltatásokat, akkor nem árt, ha tudsz erről a funkcióról (amely alapból be van kapcsolva), és KAPCSOLD KI!
Lényegében ugyanezek állíthatóak a privacy checkup oldalon, de ott az is állítható, hogy a Google Photos felismerje-e ismerőseid arcát a fényképeken, és kereshess-e a fényképek között arc alapján (pl. "Géza születésnap").
takeout.google.com: Egy mozdulattal lementheted/exportálhatod adataidat a Google szolgáltatásokból, akár ha biztonsági mentést akarsz készíteni, akár ha át akarnál költözni valahova máshova. Lementheted a GDrive-od tartalmát, a Chrome könyvjelzőidet és beállításaidt, a GMail leveleidet, a Google Photos-ban tárolt képeket, videókat, a Google Keep-ben lévő jegyzeteidet, stb, stb. Az összes Google szolgáltatásból exportálhatsz itt, köztük egészen egzotikus szolgáltatásokból is. Feltételezem, ez az oldal is a GDPR miatt készült.
A képeket az eredeti jpg vagy png formátumban, a videókat mp4-ben adja vissza, a levelezésedet mbox formátumban töltheted le, de néhol be is állíthatod, hogy mit milyen formátumban kérsz. Például a Google Docs dokumentumaidat kérheted pl. MS Word formátumban vagy PDF-ben is. A beállításokat többnyire json formátumban exportálhatod.
Miután kiválasztottad, hogy mely szolgáltatások adatait akarod letölteni, általában időt kér, hogy összecsomagolja a letöltendő fájlokat. Nálam pár perc múlva jelentkezett e-mailen, és adott néhány linket, ahonnan monstre tömörített állományokat tölthettem le. A linkek pár napig élnek.
Korrekt eszköz, biztonsági mentéseket célszerű ezen keresztül végezni.
admin.google.com: Ez egyrészt azért kakukktojás, mert csak fizetős Google fiókokhoz (ún. GSuite fiókokhoz) tartozik, másrészt pedig itt jellemzően mások fiókjait menedzselhetünk és nemcsak biztonsági szempontból. Itt pl. egy vállalat írhatja elő felhasználóinak, hogy milyen erősségű jelszót választhatnak, milyen információkat hozhatnak nyilvánosságra profiljukban, milyen appokat használhatnank, menedzselhetjük eszközeiket, és lényegében a teljes online irodai környezetüket is. Erről most nem beszélek bővebben.
Akit kellően megijesztett a myactivity oldal, az már tudja, hogy a takeout segítségével könnyen kimentheti az adatait, majd a data and personalization oldalon töröltetheti le őket a fiókjával együtt. xD
|
A közelmúltban olyan esetek jelentek meg a hírekben, ahol csalók úgy fosztották ki áldozataik bankszámláját, hogy megkerülték a bank által alkalmazott SMS-alapú kétfaktoros autentikációt.
A kétfaktoros autentikáció manapság alapnak számít, minden internetes bejelentkezés esetén célszerű bekapcsolni. Ilyenkor a jelszó mellett egy másik módon is azonosítjuk magunkat belépéskor. Háromféle módon azonosíthatjuk magunkat:
1) tudás alapon (pl. jelszó segítségével), ilyenkor megkérdeznek tőlünk valamit, amit csak mi tudhatunk;
2) tulajdon alapon (pl. mobiltelefon, kulcs, chipkártya, egyszeri jelszót generáló token), ilyenkor egy tárgyat keres a rendszer, ami csak minálunk lehet;
3) biometriai alapon (pl. ujjlenyomat, hangminta, arcfelismerés), ilyenkor a valamely biológiai jellemzőnket mérik meg, és az alapján döntik el, mi vagyunk-e azok;
Jó megoldásnak tartják, ha e három közül legalább kettőt használ egy rendszer.
SMS esetén a jelszó melletti másik faktor a mobiltelefonunk. Úgy dönti el a rendszer, hogy én akarok-e belépni, hogy SMS-ben küld egy egyszeri kódot az én telefonszámomra. Az tudja beírni a kódot, akinél ott van az én mobiltelefonom (vagy SIM kártyám).
Az SMS-t mindig is "gyenge" második faktornak tartották. A 2018-as Reddit hack során a támadó látványosan megkerülte az SMS alapú második faktort. Habár az SMS, mint technológia sem biztonsági szerepet kellene, hogy betöltsön, vegyük észre, hogy kifejezetten low-tech támadások is működnek. Elegendő, ha a csaló bemegy a mobilszolgáltatóhoz, és új SIM kártyát kér az ügyfél nevében. Ha meg tudja győzni a mobilszolgáltató dolgozóját, meg tudja kerülni az SMS alapú második faktort, mert onnantól ő kapja meg a neki szóló SMS-eket. Ha mégsem sikerül meggyőzni a szolgáltató munkatársát, az valószínűleg nem rendőrt hív, csak megkéri az illetőt, hogy hozzon ilyen és ilyen igazolványt, a csaló pedig elmegy egy másik irodába, és ott kér kártyacserét. A mobilszolgáltatók folyamatait nem arra tervezték, hogy sokmilliós vagyonokat védjenek. Az SMS, mint második faktor praktikus ugyan, de kerülendő.
A mobiltelefonon futó autentikátor alkalmazást tartják ma a legjobb megoldásnak. Egyes cégeknek saját autentikátora van (pl. Steam), de még jobb, ha egy oldal standard megoldást használ, amely bármilyen szabványos autentikátorral együtt működik. Ilyen pl. a Google Authenticator, amely a TOTP szabvány (RFC6238) szerint működik, és nagyon sok oldallal használható (pl. Gmail, Facebook, Linkedin, stb, stb).
|
Az Internet egyre nagyobb és nagyobb része néhány nagy cég köré összpontosul, felhő-szolgáltatásaik segítségével olcsóbb, és ahogy korábban írtam, sok szempontból biztonságosabb rendszerhez jutnak.
Ahogy elmélyedtem a felhő-biztonság területében, egyre jobban megtetszett ez a világ, és végül a saját dolgaimat (például ezt a honlapot, de általában azt a környezetet, ahol különböző dolgokat kipróbálok, bütykölök) is felhőbe - végül többnyire a Google felhőjébe - vittem. A következőkben a szolgáltató-választással kapcsolatos tapasztalataimról írok. (Az irodai felhő-csomagokról /pl. Office365, GSuite/ majd később írok.)
Az Amazon/AWS, a Google/GCP és a Microsoft/Azure felhőit vizsgáltam meg alaposabban. Más-más hangsúllyal ugyan de hasonló szolgáltatásokat nyújtanak: Tárolhatsz bennük adatokat fájlokban vagy adatbázisban, futtathatsz náluk virtuális gépeket (rajtuk Linux vagy Windows szervereket), vagy írhatsz kódot, ami a felhő-szolgáltató platformján fut (és ekkor magukkal a szerverekkel nem is kell foglalkoznod), létezik naplózó vagy kulcs-menedzsment szolgáltatásuk, stb. Áraik is nagyjából hasonlóak -- vagy csak nagyon-nagyon nehezen vethetőek össze.
A felhő-szolgáltatásért azzal arányosan fizetsz, hogy mennyi erőforrást használsz. Ezért olcsón el tudsz indulni, és ha a rendszered felfut, akkor később könnyen tehetsz mögé több erőforrást. Fix havi díj nincs, így ha végül úgy döntesz, nem használód a felhőt, egyáltalán nem fizetsz.
Mindhárom nagy felhős cég szolgáltatásának van ingyenes és próbaváltozata is, a próba általában egy évig tart, de mindháromnak vannak korlátlan ideig ingyenes szolgáltatásai is (AWS, GCP, Azure). Ha csak az ingyenes szolgáltatásokat használod (ami nehéz), és az ingyenes kvóta alatt maradsz, akár korlátlan ideig ingyenesen működhet a rendszered. Engem elsősorban a "beugró" árak érdekeltek egyelőre.
A három nagy közül az Amazon AWS a piacvezető, az ő szolgáltatásaik talán a leginkább kifinomultak, és a merőben új dolgokkal általában ők jelennek meg. A másik kettő sokszor az AWS-t másolja, ebből adódóan sokszor jobban végiggondolt szolgáltatásokat nyújtanak (hiszen tanulnak belőle, hogy mit rontott el a másik). A Google és a Microsoft felhője jobban illeszkedik az adott szolgáltató ökoszisztémájához (pl. MS Active Directory), vagy irodai csomagjához (MS Office, illetve GSuite) -- bár egyelőre itt elég kevés kapcsolódási felületet találtam.
Mindhármat kipróbáltam, és végül a Google GCP mellett tettem le a voksomat, mert:
Korlátlanul ingyenes szolgáltatások: GCP alatt egy darab, 'micro' virtuális gépet korlátlan ideig futtathatsz ingyenesen. Egy kezdőnek talán a virtuális gép jelenti a legkönnyebb belépőt a felhőbe: pont olyan, mint a te szervered, csak nem nálad van, hanem a szolgáltatónál, így meglévő dolgok akár egy az egyben átvihetőek rá. Általában igaz, hogy minél inkább szolgáltató-független egy felhő-szolgáltatás, annál kevésbé adják ingyenesen, mert akkor bármikor otthagyhatod őket. Ezzel szemben, ha olyan szolgáltatásokra építesz, amelyek csak az adott szolgáltatónál vannak, azzal elkötelezed magad irántuk, így "beetetésként" sokkal többet adnak ingyen.
A virtuális gépek futtatására használt ún. compute szolgáltatások tipikusan fizetősek, mert a virtuális gép könnyen mozgatható. Ezzel szemben, ha kifejezetten a szolgáltató platformjára, az ő library-jei segítségével írsz kódot, az elég sokáig ingyenesen futtatható. Hasonlóképpen, a standard SQL adatbáziskezelőre (MySQL, Postgresql) épülő szolgáltatások kivétel nélkül pénzesek, míg a szolgáltatók saját, nem-szabványos noSQL adatbáziskezelői (AWS DynamoDB, GCP Firestore/Firebase) elég nagyvonalú árazással rendelkeznek, sokáig teljesen ingyenesek.
AWS alatt csak az első évig ingyenes egy virtuális gép, a Microsoft pedig elég hamar elkezd pénzt kérni az embertől a virtuális gépért (utóbbi árazását nem sikerült átlátnom). Így ha AWS alatt sikerült belőnöm egy hobbi-rendszert, egy év múlva el kell döntenem, fizetek-e érte vagy lelövöm. Google alatt mehet korlátlanul -- amíg ki nem növi a kis virtuális gépet.
Ha nem hobbi-rendszerről, hanem vállalkozásról lenne szó, akkor nem így állnék hozzá. Üzleti tervet készítenék, felmérném, hogyan fog növekedni a felhasználás, és az alapján dönteném el, hogy a tervezett felhasználás esetén melyik szolgáltató ára a legjobb. Amíg hobbi-rendszerről van szó, az a legjobb, amiért nem kell rendszeres díjat fizetni.
Könnyű belépés: A GCP regisztrációkor ad 300 USD kreditet, ami egy évig érvényes. Így ha akkor sem kapsz számlát, ha rövid időre a fizetős szolgáltatások közé tévedsz, hanem ebből a kreditből vonja le az összeget.
A felhő alapú kulcsmenedzsment rendszerek (KMS) például mindenütt fizetősek. Több olyan embert ismerek, aki elkezdett játszani az AWS KMS-ével, és hó végén kapott egy számlát. Néhány centről ugyan, de megijedt, és gyorsan letörölt mindent.
Projektek: A GCP esetén projektekbe kell szervezned a rendszereidet, bármilyen szolgáltatást bekapcsolsz, az egy projekt alá kerül. Ezért ha úgy döntesz, később az adott projekt letörlésével könnyen letörölheted az összes hozzá tartozó rendszert. Így könnyen le tudod választani, és meg tudod szüntetni azokat a funkciókat, amelyek nem kellenek, és a törlést követően nem kell fizetned értük. AWS alatt elég macerás lehet kimazsolázni, hogy pontosan mi az, amire még szükséged van, és mi az, ami már nem kell. A projekt jó példa arra, hogy a Google levonta a tanulságot, hogy mi a gond az AWS-nél, és a saját rendszerét jobban építette fel.
Tiszta elnevezések: Ez teljesen szubjektív, de nekem sokkal könnyebb volt tájékozódni a GCP elnevezései között, az AWS fantázianevei elrettentettek. Pl. az AWS DNS szolgáltatását úgy hívják, Route53, míg a GCP DNS szolgáltatásának a neve DNS; az AWS storage szolgáltatásút úgy hívják, S3 (simple storage service), míg a GCP esetén csak Storage; az AWS virtuális gépeket futtató szolgáltatása EC2 (ellastic cloud compute), míg a GCP esetén csak Compute. Stb.
Google :) Szintén szubjektív, de általában tetszenek a Goolge szolgáltatásai, míg a Microsoft hasonló megoldásai általában kevésbé jönnek be.
Általában minden felhő-megoldásra igaz, hogy kiadod a kezedből a kontrollt az adataidról, cserébe egyszerűbben, olcsóbban, és jobban skálázhatóan oldhatsz meg bizonyos dolgokat. Magával a szolgáltatóval szemben teljesen kiszolgáltatott vagy (csak kriptográfia segítségével védekezhetsz, de ott is csak nagyon szűk esetekben), és ha elrontasz valamit, akkor a hibád kint lesz a nyílt Interneten.
Óriási perspektíva van a felhő-szolgáltatásokban, de biztonsági szempontból alaposan végig kell gondolni, mibe vágsz bele.
|
Egyre többször találkozhatunk a hírekben a kiberbűnözés (cybercrime), kibertámadás (cyberattack) vagy kiberháború (cyberwar) kifejezésekkel, és egyre többször emlegetik laikusok a különféle informatikai támadásokat csak úgy "kiber"-ként. Mit jelent, honnan származik ez a kifejezés, és hogy kerül ide?
Magát a kibernetika szót az 1940-es években alkották a görög kübernétész (kormányos) szóból. A kibernetika a szabályozástechnika egy irányzata, visszacsatolt rendszerekkel foglakozik. A "rendszer" lehet egy turbina, de lehet biológiai vagy társadalmi vagy gazdasági folyamat is. Ez a kifejezés régebbi, mint az informatika.
William Gibson, egy amerikai sci-fi író a nyolcvanas években írt regényeiben (Neurománc, Count Zero és Mona Lisa Overdrive -- együtt Sprawl-trilógiának is hívják) egy disztopikus jövőt képzel el, amelyben a világot egy hatalmas számítógép-hálózat szövi át, és ezt kibertérnek (cyberspace) nevezte el. Gibson világában a legnagyobb kincs az információ; a világot multinacionális cégek irányítják, amelyek a nemzetállamoknál jóval nagyobb hatalomra tettek szert. Az emberiség nagy része nyomorban él; járványok, háború és az elszabadult környezetszennyezés tizedeli őket, de a kütyük eközben mindennapi életük (sőt gyakran testük) részét képezik, és életük egyre nagyobb és nagyobb részét töltik a cyberspace-ben. A cyberspace-ben folyik üzlet, folynak háborúk, és bűnözés is, valamint megjelennek cyberspace cowboy-ok (mai szóval: hackerek), akik különösen értenek a cyberspace-hez és ott keresik meg a napi betevőt mint bűnöző, zsoldos, nyomozó vagy testőr. Gibson a "cyberpunk" műfaj egyik megteremtője.
Egy sci-fi kifejezés szabadult el a köznyelvben, mintha például a Jedi, a Bene Gesserit vagy a mugli kifejezésekkel találkozhatnánk a hírekben.
A kiber többnyire azt jelenti, hogy valami informatikai eszközökkel, számítógép hálózaton és/vagy Interneten keresztül történik. Gyakran negatív összefüggésekben (pl. támadásra) használják, de semmi rosszat nem jelent. Egy informatikus számára viszont minden kiber, és egy mondat jelentése csak ritkán változik meg e szó elhagyásával, így a kiber a gyakorlatban azt jelenti, hogy valaki el akar adni neked valamit.
TL;DR: s/(cyber|kiber)//gi
További bejegyzések a blogomban...