Biztonságtudatosságból közepes alá

2013. április 24. 11:33 - Csizmazia Darab István [Rambo]

És hiába van közben énekből meg testnevelésből jelesünk. Brit tudósok jöttek, láttak, felmértek - eredmények és részletek alant.

Az Adults' Media Use and Attitudes Report 2013 nevű felmérés keretében a megkérdezett felnőttek 55%-a ugyanazt az egy jelszót több helyen, vagy a létező összes webhelyén használja. Emellett, hogy még ijesztőbb legyen az összkép, 26%, vagyis durván negyedük esetében ez egy családtag neve vagy személyes születési dátumuk. Más szóval minden hozzávaló együtt van van egy "Hogyan ne kezeljük jelszavainkat?" liveshow-hoz. Az egyedüli, ami talán adhat okot némi reménykedésre az emberiségbe vetett hitünk területén, hogy a WiFi használatban látni pici javulást, itt már 62%-uk állítja, megvédte az otthoni vezeték nélküli kapcsolódását -  erre 2011-ben csak 52% bólogatott. Ebben azért tegyük hozzá, nem csak brit földön tapasztalható előrelépés, hiszen mondjuk a budapesti állapotokat szúrópróbaszerűen nézve az 1-2 évvel korábbi helyzethez képest, jól láthatóan sokan megértették végre a leckét. Összevissza császkálva a kerületekben korábban számtalanszor több nyitott wifit lehetett látni, mint védettet, ám mostanra már inkább csak elvétve találni nyitott "Dr. Kovács III.2." típusú közprédát. Sőt, örvendetesen sokszor olvashatunk WPA2-t a korábbi igencsak gyenge védelmet jelentő WEP helyett.  

A lassú javulást igazolhatja emellett az is, hogy 61% figyel a titkosított SSL kapcsolatra is, miközben személyes adatokat ad meg egy weboldalon. Itt persze tág határok között mozoghat a "látott már életében kis sárga lakatot"-tól az "ellenőrzi még a tanúsítvány részleteit, lejáratát és hitelességét is"-ig, de azért mindez biztató, különösen ha a korábbi 2011-es 56%-hoz hasonlítjuk, az irány jó, biztató javulás.  

A felhasználói biztonságtudatosságban a következő téma a széles körben sajnálatosan mellőzött, ám mégis fontos dolog: az operációs rendszer és felhasználói programjaink naprakész frissítése - lenne. Ha csak egy évre visszamenőleg megnézzük a havi vírus toplistánkat, az Autorun vírus és a Conficker féreg évek óta tartó előkelő szereplését az élbolyban, kimondhatjuk, ezeknek a többéves kártevőknek az intenzív jelenléte a leggyakoribb fertőzések között azt bizonyítja, hogy a Windows frissítések terén a felhasználók jelentős részének komoly elmaradása van, amit ha bepótolnának, javulhatna a pillanatnyi szituáció. Emlékezetes, hogy nem csak a befoltozatlan MS08-067-es 5 éves biztonsági közleményben ismertetett Windows sebezhetőség a lehetséges gyenge pont, de akár a rendszerszintű megosztásokhoz használt túl egyszerű, és így a féreg által szótárral könnyen kitalálható jelszavak is. Vagyis a javítófoltok gyors letöltése és futtatása létfontosságú a védekezés szempontjából, a kellően erős jelszó használata úgyszintén elengedhetetlen kellék a biztonsághoz, amelyet természetesen a megfelelően beállított és frissített antivírus használata egészíthetünk ki. Legfrissebb jelszóügyi szájbarágónkat itt lehet elolvasni.

A frissítési hajlandóság kontra sebezhetőségeket kihasználó kártevők tárgykörben a Verizon is letett egy anyagot az asztalra. Arculcsapás jellegű új felismerések persze nincsenek ebben sem, ám abban mégiscsak érdekes, milyen jelentős mértékben megelőzhető lenne a kibertámadások jó része például a vállalatok szempontjából. A cég saját éves adatait áttekintve, ebben 47 ezer incidens kielemzésével azt szűrte le, hogy nem csak a támadások tizede lett volna megelőzhető egyszerű módszerekkel, hanem az összes támadás 78%-a elhárítható lett volna a naprakész frissítés, megfelelő védelmi program, plusz a munkavállalók rendszeres biztonsági képzése (social engineering, BYOD, USB eszközökön céges adatok hazavitelének veszélyei, stb.) kombóval.

Itt persze nem egyedül önmagában csak a frissítés dönt el mindent pro vagy kontra, hanem valamennyi biztonsághoz szükséges elemnek együttesen kell megfelelőnek lennie. Például az is kimutatható volt, hogy az eredményes támadások 76%-ban nem valamilyen zseniális hackertrükkel operáltak, hanem mindössze egy könnyen kitalálható primitív jelszót kellett feltörniük, vagy egy már korábban ellopott jelszóval próbálkozva sikerült nekik mindez. Ami ha az első bekezdést újra megnézzük: íme az ember, akinek mindenhol ugyanaz a jelszava, és hányan is vannak ilyenek: 55% - na ez itt a valóban szomorú. 

5 komment

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

dhrbikes 2013.04.24. 20:12:41

Csodás. Mint volt rendszergazda, azt tudom mondani, hogy ha erős jelszót követelünk meg és x havonta meg kell változtatni+nem lehet egyik korábbi sem, akkor van az, hogy post-itre kiírják a monitorra. Amúgy nekem nagyságrendileg100 helyen van regisztrációm, talán mindenhol mást kellene megadnom? Talán annyi elég, hogy a banki jelszó azért legyen más mint a többi és legyen kisbetű-nagybetű-szám. Facebookra minek 20 karakteres, minden mástól különböző jelszó?

Csizmazia Darab István [Rambo] · http://antivirus.blog.hu 2013.04.24. 20:38:58

Nyilván egy huszadrangú tesztkörnyezetben tökéletes egy abc123. A Facebook jelszó értékénél azért azt is vedd figyelembe, mi a kár, ha rossz kezekbe kerül, kompromittáló vagy pedofil dolgokat töltenek fel hozzád, soha az életbe nem kapsz munkát. De ha csak az ismerőseidet megszórják spammel, vagy a nevedben pénzt kérnek tőlük, akkor is leiratkozik rólad a fél város.

A jelszó kérdésben van még egy érdekes körülmény, ha meg tudnak szerezni korábbi jelszavadat, és annak birtokában egyszerűen kitalálható a jelszóképzési szokásod, akkor a jelenlegit is tálcán adtad. Elvileg az a jó, ha mind a 100 helyen más, és nem kutyuska55, kutyuska56, és így tovább, hanem egy esetlegesen megszerzett password birtokában sem lehet kitalálni a másik 99-et.

Szerintem egy jó jelszómanager program pl. KeePass, vagy hasonlók segíthetnek ilyen esetben. Persze az én fejem sem káptalan, de ha a másik oldal érdeit nézed, azért izgalmas: pl. te vagy a főnök egy olyan cégben, ahol a vízzel működő autót fejlesztitek, és folyamatosan támadnak benneteket netről, dobálják az USB kulcsokat a parkolóban, stb.. Mit fogsz a dolgozóidtól megkövetelni: havi biztonsági oktatás, vagy sem; kutyuska56 vagy rendes jelszó?

balkon-úr 2013.04.24. 21:10:36

Egyértelmű, hogy bankhoz extra jelszót választok. De ma már mindenhova regisztrálni kell, nehogy már minden egyes regisztrációmhoz külön bonyolult jelszót találjak ki, és hogy a fenébe jegyezzem meg, mert felírni sem szabad. Túl van ez egy kicsit lihegve. Majd ha helyettem, az én jelszavammal más ír be kommentet pl. itt, attól fogva megszüntetem a regisztrációmat. Enélkül, még van élet.

tundrazuzmo (törölt) 2013.04.25. 00:14:05

Én nem a születési dátumomat adom meg, hanem a kutyám születési dátumát, az sokkal biztonságosabb. És 3 bites titkosítást használok: egy 3bit csoki papírjára írtam fel a jelszavamat, ami mindig nálam hányódik.

Nekem brit tudósok ne tanítsanak semmit, miután a James Bond filmben feltörték az MI6 főhadiszállását a hekkerek.

rezsoatya (törölt) 2013.04.25. 00:30:25

@tundrazuzmo: ugye az megvan:
- Te hülye vagy? A kutyád nevét adtad meg root jelszónak? - Miért, mi bajod azzal, hogy "kcgjtzjIUTZU7GTNGG6F4XCXDsdf44heA" ?
süti beállítások módosítása