A blogom RSS-en keresztül is elérhető.
2004-ben MBA fokozatot szereztem a brit Buckinghamshire Chilterns University College-ben. 2006-ban CISA, 2013-ban CISSP minősítést szereztem.
|
Egyre többször találkozhatunk a hírekben a kiberbűnözés (cybercrime), kibertámadás (cyberattack) vagy kiberháború (cyberwar) kifejezésekkel, és egyre többször emlegetik laikusok a különféle informatikai támadásokat csak úgy "kiber"-ként. Mit jelent, honnan származik ez a kifejezés, és hogy kerül ide?
Magát a kibernetika szót az 1940-es években alkották a görög kübernétész (kormányos) szóból. A kibernetika a szabályozástechnika egy irányzata, visszacsatolt rendszerekkel foglakozik. A "rendszer" lehet egy turbina, de lehet biológiai vagy társadalmi vagy gazdasági folyamat is. Ez a kifejezés régebbi, mint az informatika.
William Gibson, egy amerikai sci-fi író a nyolcvanas években írt regényeiben (Neurománc, Count Zero és Mona Lisa Overdrive -- együtt Sprawl-trilógiának is hívják) egy disztopikus jövőt képzel el, amelyben a világot egy hatalmas számítógép-hálózat szövi át, és ezt kibertérnek (cyberspace) nevezte el. Gibson világában a legnagyobb kincs az információ; a világot multinacionális cégek irányítják, amelyek a nemzetállamoknál jóval nagyobb hatalomra tettek szert. Az emberiség nagy része nyomorban él; járványok, háború és az elszabadult környezetszennyezés tizedeli őket, de a kütyük eközben mindennapi életük (sőt gyakran testük) részét képezik, és életük egyre nagyobb és nagyobb részét töltik a cyberspace-ben. A cyberspace-ben folyik üzlet, folynak háborúk, és bűnözés is, valamint megjelennek cyberspace cowboy-ok (mai szóval: hackerek), akik különösen értenek a cyberspace-hez és ott keresik meg a napi betevőt mint bűnöző, zsoldos, nyomozó vagy testőr. Gibson a "cyberpunk" műfaj egyik megteremtője.
Egy sci-fi kifejezés szabadult el a köznyelvben, mintha például a Jedi, a Bene Gesserit vagy a mugli kifejezésekkel találkozhatnánk a hírekben.
A kiber többnyire azt jelenti, hogy valami informatikai eszközökkel, számítógép hálózaton és/vagy Interneten keresztül történik. Gyakran negatív összefüggésekben (pl. támadásra) használják, de semmi rosszat nem jelent. Egy informatikus számára viszont minden kiber, és egy mondat jelentése csak ritkán változik meg e szó elhagyásával, így a kiber a gyakorlatban azt jelenti, hogy valaki el akar adni neked valamit.
TL;DR: s/(cyber|kiber)//gi
|
Biztonságos felhő szolgáltatásokra építeni? Sok nagy IT cég nyújt felhő alapú szolgáltatásokat: levelezést, online drive-ot, fájlmegosztást, irodai csomagot, fényképtárat, stb. Jó ötlet rájuk bízni az adatainkat? A továbbiakban az otthoni felhasználásról és a nem "nagycéges" megoldásokról lesz szó. "Céges" esetben sok más dolog is felmerül: egy cég lényegében a teljes IT-jét kiszervezheti a felhőbe. Jelenti ez az irodai felhasználók menedzsmentjét, de akár virtualizálhatjuk a fejlesztő-környezetünket, szervereinket, és akkor nem kell foglalkoznunk azok üzemeltetésével, őrzésével, áramellátásával, és bármikor akár sokszorosára bővíthetjük kapacitásukat, akár automatizált módon. Ezekről itt most nem lesz szó, mert az otthoni felhasználásra fókuszálunk.
A nem válasz melletti legnyilvánvalóbb érv, hogy így a felhő-szolgáltató, mint "Nagy Testvér", mindent lát, amit csak csinálsz. Ne becsüld alá a megfigyelési-iparágat, és különösen ingyenes szolgáltatások esetén igaz, hogy nem vagy nemcsak ügyfele, hanem terméke vagy a szolgáltatónak. Megteheted, hogy feltöltés előtt titkosítod az adataidat (ez az ún. kliens-oldali titkosítás) - akár egy így működő felhő szolgáltató, pl. a Tresorit segítségével, akár úgy hogy magad titkosítod az adataidat -, de ekkor fel kell adnod, hogy szolgáltató feldolgozza adataidat, és "egyszerűen" csak adattárolóként, fájlszerverként használhatod.
A továbbiakban a felhő melletti biztonsági érvekről fogok írni. Igen, a felhő mellett is állnak biztonsági érvek, feltéve, hogy nem épp a szolgáltató az, akitől tartasz. Természetesen kényelmi szempontok is szólnak a felhő mellett, és a felhő segítségével új funkciókat, erős, és folyamatosan fejlesztett szolgáltatásokat érünk el, remekül kereshetünk adataink között, megoszthatjuk őket másokkal, és hivatkozhatunk mások adataira, pl. egy fényképen megjelölhetjük Facebook ismerőseinket. Itt most a biztonság pozitív oldaláról szeretnék írni, és nem ezen új lehetőségeket ecsetelem.
Védelem kéretlen és rosszindulatú levelek ellen: A felhő szolgáltató rengeteg jó és rossz levelet lát, így sokkal több adat áll a rendelkezésére, hogy felismerje a spamet, vírusokat, csaló leveleket, mint bármilyen más védelmi rendszer, amit te magad állítanál fel. A Google Gmail szolgáltatásán fut ma keresztül talán a legtöbb ember levelezése, így a Gmail sok szempontból biztonságosabb megoldás, mintha a saját gépeden futtatnád a levelezőprogramot, és/vagy saját levelezőszervert használnál. A Gmailt folyamatosan frissítik, mindig naprakész, ismeri, hogy épp milyen kéretlen levelek keringenek.
A levelezés általában véve egy érzékeny funkció, támadási felület, mert ez az egyik olyan pont, ahol kívülről érkező fájlokat fogadsz. Önmagában az is jelenthet védelmet, hogy böngészőben levelezel, mert ha rosszindulatú levet kapsz, az nem kerül automatikusan rá a számítógépedre, csak akkor, ha külön letöltöd. Ugyanakkor a böngésző maga is támadási felület, lehet érelme külön böngészőt használni a levelezéshez, nehogy egy rosszindulatú weblap belenyúlhasson valahogy.
Biztonsági mentések: Senki sem fordulna olyan felhő szolgáltatóhoz, amely elveszíti az ügyfele adatait. Ezért a szolgáltató gondosan kidolgozott, szigorúan ellenőrzött mentési rendszert működtet. Redundáns módon tárolja az adataidat, a világ több pontján is tart mentést, mert az adatod nem veszhet el, ha egy-egy lemez bedöglik, és nem válhat elérhetetlenné, ha valamelyik telephelye épp nem üzemel. Valószínűleg jobb a rendszere, mint a tiéd, és fegyelmezettebben végzi a mentéseket, mint ahogy te tennéd. Gondolj bele, mikor készítettél utoljára biztonsági mentést az adataidról? Előfordult már, hogy tervezted, hogy mentesz, de mégis közbejött valami?
Ugyanakkor, hogy ha nincs net, akkor nem éred el, amit csak a szolgáltatónál tárolsz. Szintén problémát okozhat, hogy ha minden adatodat egy könnyen kezelhető központi helyen tartod, mert épp a könnyű kezelhetőség miatt könnyen le is törölheted az összeset.
Ha a nálad is meglévő adatokat a felhőbe szinkronizálod (ilyen pl. a OneDrive / GDrive / Dropbox / Tresorit vagy az IMAP levelezés), akkor minden előnyét élvezed annak, hogy nálad vannak az adataid, de a világ nagyon sok pontján van róluk folyamatos biztonsági másolat is. Mindemellett esetleg visszaállíthatsz korábbi verziókat is, ha valamit elrontottál. Mellesleg, bárhol vagy, eléred az összes adatodat.
Ha komolyan gondolkozol felhő alapú adattárolásban, ismerd meg, hogy a szolgáltató milyen mentési/visszaaállítási funkciókkal rendelkezik, pl. hány előző verziót tart fent a fájljaidból, és legyen terved a nagyobb rendszer-visszaállításokra. Ezen túl azt javaslom, időnként készíts egy-egy saját, offline mentést is, mert így kevésbé szolgáltatod ki magadat a felhőnek.
Biztonságos belépés: A szolgáltatóknál használhatsz kétfaktoros authentikációt (amelyiknél nem, azt a szolgáltatót lehet, hogy jobb elkerülni), és folyamatosan fejlesztik, hogy a legmodernebb beléptetési megoldásokat is használhasd.
Sok oldal támogatja, hogy valamely felhő szolgáltatás segítségével (pl. Google, Facebook vagy Twitter fiókoddal) lépjél be. Így nemcsak kevesebb jelszavad van, de automatikusan megkapod a szolgáltató erős azonosításának előnyeit. Ha saját szervered van, megvalósíthatsz rá kétfaktoros beléptetést. De vajon meg is valósítottad?
Te is kezelhetsz sok jelszót biztonságos módon (pl. egy jelszókezelő segítségével, esetleg felhővel kombinálva), de ehhez némi fegyelmezettség szükséges. Kevésbé biztonság-tudatos felhasználók lehet, hogy jobban járnak ha a Facebookon (vagy Google-ben stb.) használnak erős jelszót és kétfaktoros beléptetést, és máshova e felhő szolgáltatókon keresztül lépnek be. (Ez annál mindenképp jobb, mintha valakinek mindenhol "
Alma1" a jelszava.)Légy óvatos: A felhő nagy előnye, hogy bárhonnan eléred az adataidat, egyúttal azt is jelenti, hogy bárki más is megpróbálhatja bárhonnan elérni az adataidat. Ha "gyenge" módon is elérhető a fiókod (széthagyod a jelszavadat / gyenge jelszót választasz / nem használsz második faktort stb), más is ki- és bejárkálhat a fiókodba. A felhőben MINDIG állíts be kétfaktoros beléptetést.
Biztonsági frissítések, biztonságos üzemeltetés: Ha nem épp a felhő-szolgáltató az, akitől adataidat félted, valószínűleg sokkal biztonságosabban üzemelteti a rendszerét, mint ahogy te tennéd. Profi szakemberei és automatizált folyamatai vannak, a szervereit rendszeresen frissíti (teszteli, telepíti és beállítja a biztonsági frissítéseket), beszerzi, és telepíti a tanúsítványokat, megújítja őket, ha lejárnának, és folyamatosan figyeli, hogy nem próbálják-e meg feltörni, és lépéseket tesz a támadások ellen.
Vigyázz: A szolgáltató szolgáltatást nyújt, és nem felel azért, hogy te hogyan használod a szolgáltatást. Ha rosszul állítod be, akkor boldog-boldogtalan eléri az adataidat.
Leltár. A szolgáltató az alapján számláz, hogy mennyit használod (fizetős fiók esetén). Bármi más elromolhat a szolgáltatónál, de a számlázási rendszere szinte biztos, hogy működni fog. Ennek kapcsán nyilvántartást kapsz arról, hogy mid van nála, hol, és kivel osztottad meg, ehhez alapos nyilvántartást kellene vezetned (és az emberek/cégek többsége nem tesz ilyet).
Nagyon találó Bruce Schneier feudális biztonság analógiája: "hűséget esküszöl" a felhő-szolgáltatónak, cserébe védelmet kapsz. Ez az írás a védelemről szól. Igen, valóban jár védelem. Cserébe tényleg el kell kötelezned magad a szolgáltató mellett: minél jobban kihasználod a szolgáltató speciális szolgáltatásait (például a fényképeiden az ismerősök arcainak felismerése, és az ez alapján történő fénykép-keresés), annál jobban hozzá kötöd magadat a későbbiekben. A felhő-szolgáltatók alapvetően hasonló szolgáltatásokat nyújtanak, de attól még nem könnyű dolog átváltani egyik szolgáltatóról a másikra, és nem könnyű párhuzamosan használni két szolgáltatót anélkül, hogy összakavarodnának a dolgok.
Ha nem bízol a felhő-szolgáltatóban, akkor ne használd. Ugyanakkor ha elfogadod, hogy rábízod az adataidat, számos előnyt nyújt cserébe, köztük jópár biztonsági előnyt is. Igen, ezek nagy részét te is meg tudnád csinálni... De meg is csináltad már őket? Lesz rá valaha is időd?
Ha felhőt akarsz használni, íme néhány jótanács:
- MINDIG használj kétfaktoros autentikációt a fontos fiókokra.
- Legyen terved a visszaútra. Gondold végig, mit csinálnál, ha meg kell válnod a szolgáltatótól.
- Ismerd meg a szolgáltatást! Ha rosszul használod, nemcsak óriási katyvaszt csinálhatsz, de az rögtön kint lesz az Interneted az összes adatoddal együtt.
|
Az Electronic Frontier Foundation (EFF) egy remek elemzést készített a megfigyelési iparág működéséről.
Hosszú írás, három részből áll. Az első rész azt mutatja be, hogy milyen azonosítók alapján követhetik nyomon az embert akár a neten (pl. ip cím, browser fingerprinting, mobil készülékek), akár a való éleben (pl. arcfelismerés, rendszámtábla-felismerés). A második rész arról szól, hogy milyen módon, milyen rendszerekkel követik az embert, a harmadik pedig a piacot mutatja be, ahol a megfigyelők értékesítik a megszerzett információkat, és ahol kereskednek adatainkkal. A cikk negyedik része arról ír, mit tehetünk mindez ellen (támogassuk az EFF-et).
Elsősorban a marketing-információk gyűjtéséről, és a célzott reklámok mögötti iparágról szól, és többnyire a legális vagy fél-legális megoldásokról. Különösen érdekes, ahogy a netes, és a fizikai világban alkalmazott megfigyelés egymás mellett szerepel, és az is, hogy sok esetben a fizikai világban vagyunk kevésbé védettek.
Műfaját tekintve a state-of-the-art-ot foglalja össze. Aki követi az információbiztonság szakmát, valószínűleg kevés új tényt fog találni benne. Attól még megdöbbentő mindezt így összeszedve látni. Igen, van néhány alapvető technikai lépés, amit megtehetünk a biztonságunk érdekében, és az ember időnként vállonveregeti magát, amikor adblockert használ, vagy kiüríti a böngészőcache-t, de a leírtak ellen bizony nagy nehéz igazán védekezni. Vannak szereplők, akik sok különböző megfigyelési technikát egyszerre használnak, és rendszeresen összevetik ezek eredményeit. Ha kiüríted a cache-t, a cookie-kat, vagy ha IP-címet váltasz, más rendszerekkel akkor is beazonosítanak, és feljegyzik az új címet, és az új cookie-t. Látjuk, hogy az sem jelent megoldást, ha valaki egyáltalán nem használ elektronikát. Ő hiába térne vissza a középkorba, rengeteg olyan pont van, ahol továbbra is megfigyelhetik.
Valószínűleg csak szabályozás jelenthet megoldást, ha jól működik, és ha globális, de legalábbis vonatkozik a nagy tech cégekre.
|
A hétvégén megoldottam, hogy a saját honlapomnak legyen rendes TLS tanúsítványa.
Pénteken a tanítványaimnak magyaráztam, hogy ma már minden magára adó oldalnak bizony már van tanúsítványa. A Let's Encrypt korában ez már teljesen ingyenes, és lényegében egyetlen parancs kiadásával megoldható. Korábban voltak olyan elveim, hogy csak érzékeny információt kell titkosítani, és ugyan minek tanúsítvány olyan oldalnak, ahol nem adsz meg jelszót, és ahol nem titkokat töltesz le. Húsz éve a TLS tényleg lassított és drága volt.
Ma viszont már nincs kifogás: a legegyszerűbb mindenhol TLS-t használni.
A saját honlapomon a Google cloud segítségével csináltam meg, így mindent megoldanak helyetted -- ingyen.
|
Letettem a
CCSK (Certificate of Cloud Security Knowledge v4)
vizsgát, ami a Cloud Security Alliance
felhő-szolgáltatások biztonságáról szóló governance/menedzsment vizsgája.
Leírom a tapasztalataimat (ahogy korábban CISSP-ről tettem).
A CCSK vizsga három anyagra épül:
Mindhárom dokumentum ingyen letölthető. A vizsgadíj 395 dollár. A vizsgának nincsen fenntartási költsége, viszont a vizsga az adott verzióra (jelenleg v4) szól.
A CCSK vizsga feleletválasztós teszt, 90 perc alatt 60 kérdést kell megválaszolni. Mindent lehet használni, csak nincs rá idő :P.
A felkészüléshez beszereztem az Udemy-n három vizsgasort, olyan csomagot találtam, ahol minimális plusz költségért járt hozzá Peter HJ van Eijk CCSK kedvcsinálója (amiről Peter hangsúlyozza, hogy csak kedvcsináló, és nem CCSK tréning). A vizsgasorok hasznosak voltak, az éles vizsgán sok ismerős kérdéssel találkoztam, bár a udemy-s sorokban elég sok hiba volt. (Például választani kellett, hogy az A&C vagy az A&B opciópárok-e a jók, de az opciók össze voltak keverve, és nem volt mellettük betűjel.)
Peter kedvcsináló tréningje viszont nagyon kellemes csalódás volt: Peter rendkívül értelmes fickó, nagyon jól összefoglalja, hogy szerinte mi az igazán fontos a CCSK-ban, elmagyarázza, hogy szerinte miért különösen fontos a cloud és annak biztonsága, és hasznos tippeket ad a felkészüléshez. Lelkesen, de kritikusan áll hozzá a témához, úgy érzem, sokat tanultam tőle. (A kedvcsinálóval az egyik célja, hogy fizessünk elő a teljes cloud kurzusára, de az gondolom, drágább.)
Számomra hasznos kaland volt a CCSK felkészülés, a CCSK-hoz tisztába kell kerülni azzal, hogy mi az a felhő, mit jelent a felhőben a biztonság, melyek a legjobb gyakorlatok, de legfontosabb, hogy ad egy terminológiát, amivel közös nevezőre kerülhetsz más cloud szakemberekkel. (A rossz terminológia gyakran a cloud projekt halálát jelenti; annyi mindent értenek az emberek felhő/cloud alatt, hogy ha elég sok szakember elég sokáig beszél felhőkről, akkor egy nagy árnyékbokszoláson kívül nem sok marad a projektből.)
A három dokumentum nem nagyon hosszú, el kell olvasni őket, ismerni kell őket annyira, hogy a vizsga során nagy biztonsággal tudj CTRL+F keresni bennük. Azt tapasztaltam, muszáj rákeresni, akkor is, ha úgy gondolom, tudom. A dokumentumok tartalmára szó szerint kérdeznek rá, és az egyes válaszok mást jelentenek, ha tudod, mi a kontextus. Azt vontam le, mindenképp rá kell keresni, és ehhez célszerű kipreparált PDF fájlokat használni, amelyekben megfelelő könyvjelzők és tartalomjegyzék van. Ezen túl, a mac-eseknek azt javasolják, ne a beépített PDF nézőt használják, hanem mást, amelyben hatékonyabban lehet keresni.
További bejegyzések a blogomban...