Ismertetők
Ismertetők
 július 05. 15:48

A robothálózathoz (továbbiakban botnet) tartozhatnak otthoni, iskolai, illetve vállalati hálózatokban található számítógépek egyaránt. A számítógépek egy kártevő program által megfertőződnek, majd azt követően központi vezérlő számítógépektől (Command & Control szerverek) fogadnak utasításokat és különböző feladatok végrehajtására használják fel azokat. Végezhetnek számolási feladatokat, továbbíthatnak kéretlen leveleket, személyes adatokat lophatnak a fertőzött gépekről, vagy akár szolgáltatásmegtagadásra irányuló támadást is (DoS) indíthatnak róluk. Egy-egy nagyobb botnet hálózat akár több tízezer számítógépből is állhat.

A számítógépek kártevő programokkal való megfertőződését megelőzhetjük átfogó végpont védelmi szoftvercsomag használatával - pl. vírusvédelmi szoftver (anti-virus), szoftveres tűzfal (firewall), kártevő program felderítő szoftver (anti-malware) -, illetve a számítógépre telepített szoftverek rendszeres frissítésével, ami általában megfelelő beállításokkal automatikussá tehető.

A széles körben használt botnetek felismeréséhez, eltávolításához szükséges további információk az alábbi hivatkozáson találhatóak:

Kevesebb
 július 05. 15:47

A káros szoftverek több kategóriáját különböztetjük meg: 

  • Vírusok

Olyan kártékony szoftverek, amelyek a megfertőzött program működtetése során képesek önmaguk lemásolására. Terjedésük szerint lehetnek fájlokat fertőző vírusok (pl. makro vírus, futtatható fájlokat fertőző vírus, stb.), vagy a rendszerek indításához szükséges bootszektort fertőző vírusok.

A fájlokat fertőző vírusok indítható állományok, vagy dokumentumok segítségével terjednek, magukat beleírva az állományba. A makro vírusok a makrók írását támogató irodai programcsomagok (pl. MS Office) által létrehozható dokumentumfájlokkal terjednek. A bootszektor vírusok a számítógépek operációs rendszert betöltő területét fertőzik meg, így a rendszerek indításával aktivizálódnak.

Megelőzés érdekében javasolt naprakész víruskereső és tűzfal szoftver alkalmazása, valamint a külső adathordozók vírusellenőrzése a rajtuk levő állományok használata előtt.

Ha az otthoni gépünk vírusos, akkor szükségünk lesz egy naprakész vírusírtóra és egy vírusmentes indítólemezre / USB memóriára. A gép - vírusmentes indítólemezről való - újraindításával meggyőződhetünk a vírusfertőzésről a víruskereső teljes keresés funkciójának futtatásával. 

  • Férgek

A számítógépes férgek olyan kártevő programok, amelyek a hálózatok hibáit, vagy hiányos biztonsági beállításait használják fel arra, hogy terjesszék magukat. Az önsokszorosításon kívül a férgek többféle dologra is beprogramozhatóak. Egyik jellemző következményük, hogy hátsó ajtót (backdoor) nyitnak a rendszerekre, amin keresztül adatokat szereznek meg, illetve botnet hálózat részévé tehetik a támadott számítógépet.

A számítógépek, hálózatbiztonsági eszközök és szoftverek rendszeres frissítésével, az ismert férgek által alkalmazott kommunikációs csatornák tűzfalakban való blokkolásával előzhetjük meg a terjedésüket.

A féregfertőzés bekövetkezését követően a fertőzött gépek hálózatból való kizárásával csökkenthető a kár. A helyreállítás ezt követően a hálózat biztonságossá tételével folytatódhat, majd a kártevők egyenként történő leirtásával, vagy a fertőzött gépek újratelepítésével oldható meg teljesen.

  •   Trójai programok

A trójai programok olyan hamis szoftverek, amelyek a látszólagos funkciójuk mellett más, káros tevékenységet végeznek. Az egyszerűbb változatai csak a hasznosság látszatát mutatják, míg fejlettebb változataik valóban képesek az ígért funkciók elvégzésére. A leggyakoribb fertőzési módszert a letöltések és a veszélyes honlapok jelentik. A számítógépünk trójaival fertőződhet egy üzenet csatolmányának megnyitásával, azonnali üzenetküldő programon keresztül, de megkaphatjuk valamilyen adathordozón keresztül is.

A számítógépek, hálózatbiztonsági eszközök és szoftverek rendszeres frissítésével, az ismert trójaik által alkalmazott kommunikációs csatornák tűzfalakban való blokkolásával előzhetjük meg a terjedésüket.

A trójai fertőzés bekövetkezését követően a fertőzött gépet a hálózatból le kell választani. A helyreállítás esetenként csak a fertőzött gépek újratelepítésével történhet meg.

  •  Kémprogramok

Azon káros szoftverek összessége, amelyek a megfertőzött számítógép felhasználójának személyazonosító, banki vagy más személyes adatait igyekeznek megszerezni. Ezeket általában böngészési szokásaink megfigyelésére, illetve visszaélések elkövetésére használják fel. Fontos a hagyományos információs rendszer és hálózat védelmi funkciók (víruskereső, tűzfal) alkalmazása és naprakész frissítése.

A kémprogramok és működtetőik elleni sikeres küzdelemhez szükség van a program működési mintáira, a rendszer naplóeseményeire, ezért ezeket a feltárást megelőzően ne töröljük. Ha vírusvédelmi rendszerünk működése ellenére kémprogram kerül a gépünkre, akkor az adott kémprogram célzott eltávolítását lehetővé tevő kémprogram eltávolító szoftvert hívhatjuk segítségül. Gyakran csak a rendszer teljes újratelepítése ad megoldást.

 

 

Kevesebb
 július 05. 15:46

Adathalász weboldalnak nevezünk egy olyan oldalt, amely egy ismert szervezet, vagy vállalat hivatalos oldalának láttatja magát, és megpróbál személyes adatokat, jellemzően felhasználói azonosítókat, jelszavakat, bankkártya adatokat megszerezni. A csalók gyakran kéretlen levelek, azonnali üzenetek küldésével igyekeznek rávenni a felhasználókat, hogy az üzenetben szereplő hivatkozásra rákattintsanak, amely az adathalász oldalra vezeti őket. Ha a felhasználók követik az ott szereplő utasításokat, akkor áldozattá válhatnak. 

Adathalász tevékenység kapcsán kétféle módon lehetünk érintettek:

  • egyrészt áldozattá válhatunk pl. egy becsapós e-mail utasításainak követésével
  • másrészt az általunk üzemeltetett web szerverre is kerülhet fel adathalász tartalom a gyakran használt, webes keretrendszerek ismert sérülékenységeinek kihasználása által

Megelőzés érdekében javasolható, hogy ne nyissunk meg ismeretlen forrásból származó kéretlen leveleket, és ha ezt mégis megtettük volna, (vagy a levelező kliens a beállításainál fogva automatikusan megjeleníti azt), ne kattintsunk az üzenetben szereplő hivatkozásokra!

Vállalati környezetben fontos a felhasználók és az ügyfelek képzése, biztonságtudatosításának rendszeressé tétele. E mellett a böngészők is képesek figyelmeztetni kártékony, mások által már lejelentett oldalakra.

Saját üzemeltetésű weboldal esetén ajánlott a felhasznált keretrendszer rendszeres frissítése. Ha adathalász oldallal találkozunk és a böngészőnk nem figyelmeztetett rá, akkor több, erre alkalmas oldalon mi magunk is lejelenthetjük azt.

Phishing bejelentő oldalak: 

Vállalati környezetben az informatikai biztonsági szabályzatban (IBSZ) részletezett módon járjunk el. Ha arról kapunk értesítést, hogy az általunk üzemeltetett web szerveren adathalász tartalom található, akkor a felhasznált keretrendszerek integritásának ellenőrzésére már lézeteznek eszközök. Az egyes, gyakran használt tartalomkezelő keretrendszerek (Drupal, Joomla!, WordPress, MediaWiki, stb.) mentésére, helyreállítására vonatkozó részletes leírás a gyártói oldalakon olvasható.

Kevesebb
 július 05. 15:46

A honlaprongálásos támadás lényege, hogy a támadók valamilyen módon hozzáférnek a web szerver DocumentRoot könyvtárában található fájlokhoz úgy, hogy azokat törölni, vagy módosítani tudják. Ehhez gyakran használnak fel ismert sérülékenységek kihasználására készült, ún. „exploit” kódot. 

Ezt követően le tudják cserélni a weboldal nyitó oldalát a saját maguk által összeállított tartalomra. Számos esetben csak elhelyeznek további fájlokat, jelezve, hogy a rendszer sebezhető, majd az oldal rongálhatóságának tényét lejelentik bizonyos weboldalakon. 

A honlapok rongálását sokszor nem emberek követik el manuálisan, hanem káros kód söpör végig járványszerűen a sebezhető weboldalakon, és helyez el oda nem illő tartalmat. 

A honlaprongálás megelőzése érdekében javasolt a weboldal tartalmának módosítására jogosult felhasználói fiókok (pl. tartalomkezelő, FTP, SSH) jelszavának rendszeres módosítása, összetett jelszavak használata, nem használt, illetve jelszó nélküli felhasználói fiókok törlése, a tartalomkezelő keretrendszer rendszeres frissítése, a weboldal tartalmának, valamint a kapcsolódó adatbázis tartalmának rendszeres mentése. 

Az egyes, gyakran használt tartalomkezelő keretrendszerek (Drupal, Joomla!, WordPress, MediaWiki stb.) frissítésére, mentésére, helyreállítására vonatkozó részletes leírás a gyártói oldalakon található.

Kevesebb
 július 05. 15:45

A kéretlen levelek egyre jobban terhelik a felhasználók postafiókjait, ami fontossá teszi, hogy kellőképpen felvértezzük ellenük levelező rendszereinket. Gyakran reklámokat, felhívásokat tartalmaznak, esetenként illegális termékek (például hamisított gyógyszerek) vásárlására buzdítanak, de alkalmazhatják más csalási módok részeként is. A feladó valódi személyét szinte mindig elrejtik, vagy meghamisítják.

A botnetek általános leírásánál említésre került már, hogy többek között kéretlen levelek küldésére is használhatják őket. Emiatt egy botnet fertőződésből fakadóan az általunk használt IP cím feketelistákra kerülhet, és bizonyos levelező szerverek nem fogják befogadni a tőlünk küldött leveleket. (Ez természetesen nem érinti a webes felületen történő e-mail küldést.) A tényről, hogy feketelistára kerültünk, több forrásból is értesülhetünk, értesítést kaphatunk.

Ha feketelistára kerüléssel kapcsolatban kapunk értesítést, akkor az értesítő általában tartalmazza, hogy mely listára kerültünk fel, és az adott weboldalon megtalálható, hogy mit kell tennünk a listáról való lekerüléshez. Ennek minden esetben feltétele a számítógépes hálózatunk vírusmentesítése, ezt követően a legtöbb lista esetében bizonyos idő elteltével automatikusan lekerülünk.

Ha nem egyértelmű, hogy mely listára kerülhettünk fel, az alábbi oldalak segítségével ellenőrizhetjük, hogy szerepelünk-e valamely feketelistán: 

http://whatismyipaddress.com/blacklist-check
http://www.dnsbl.info/dnsbl-database-check.php
http://mail-blacklist-checker.online-domain-tools.com/

Kevesebb
 július 05. 15:42

A zsarolóvírus (ransomware) olyan kártékony szoftver, amely titkosítja a számítógépen és a mobil eszközökön található fájlokat, majd váltságdíjat követel azok feloldásáért. A szoftver fizetési határidőt is szabhat, melynek lejárta után akár végérvényesen elérhetetlenné teszik az adatokat.

Jellemzően fertőzött e-mailekkel terjed, csatolt tömörített állományokban található. A levelekben a támadók számlákra, hivatalos dokumentumokra hivatkozva próbálják rávenni az áldozatot, hogy nyissa meg a mellékletet. Amennyiben ez megtörténik, a program telepíti magát és további kártékony kódokat igyekszik letölteni a megfertőzött eszközökre. Az esetleges váltságdíj kifizetése nem javasolt, mivel semmilyen garancia sincs arra, hogy kapunk kódot a visszaállításra, és hogy az működőképes is lesz.

Az operációs rendszer, illetve az alkalmazások (Adobe Flash, Java) hibajavításainak rendszeres telepítésén túl mindenképp javasolt valamilyen vírusvédelmi megoldás használata, illetve naprakészen tartása (termékverzió, felismerési adatállományok). Adatainkról egy elkülönített, és fizikailag is leválasztható meghajtóra rendszeresen mentéseket kell készíteni. Fontos a biztonságtudatos internet használat: ismeretlen feladótól érkezett e-mailekben ne nyissuk meg a mellékletet, főleg ha ez egy tömörített állomány! A zsarolóvírusok gyakran .exe, vagy .pdfkiterjesztésű mellékletben érkeznek. Egy esetleges fertőződés esetén a fertőzött gépet azonnal le kell választani a hálózatról.

Hordozható adattárolót (pendrive, külső merevlemez) sem szabad csatlakoztatni, hiszen ezzel a fertőzést tovább lehet vinni egy másik számítógépre. A meghajtó teljes formázása javasolt, ezzel biztosan eltűnik a vírus minden nyoma. Csak a teljes operációs rendszer újratelepítése, valamint az aktív vírusvédelem bekapcsolása után lehet az adatokat az archív mentésekből helyreállítani.

A ransomware-ek számos variánsát sikerült már feltörni (vagy a szoftver készítői maguk publikálták a visszafejtéshez szükséges mester kulcsot, pl. a TeslaCrypt esetében), így célszerű lehet a titkosított állományok megőrzése.

Ebben nyújthat hatékony segítséget a CryptoSearch  nevű, Michael Gillespie biztonsági kutató által a Windows platformra készített ingyenes program, amely egy folyamatosan frissülő online adatbázist használva (ID Ransomware) jelenleg kb. 240 variáns felismerésével képes automatikusan detektálni a titkosított fájlokat és róluk egy, a felhasználó által választott meghajtóra - az eredeti könyvtárszerkezet megtartásával - mentést készíteni.

A zsarolóvírusokról az alábbi hivatkozásokon további információt találhat: 

http://www.eset.hu/zsarolovirusok
https://support.symantec.com/en_US/article.HOWTO124710.html
http://www.pandasecurity.com/mediacenter/malware/what-is-ransomware
http://www.mcafee.com/us/security-awareness/articles/ransomware.aspx
https://biztonsagportal.hu/a-linux-sem-jelent-akadalyt-a-brutalis-killdisk-virusnak.html
http://www.welivesecurity.com/2017/01/05/killdisk-now-targeting-linux-demands-250k-ransom-cant-decrypt/

Kevesebb
 2017. január 18. 09:55

A szolgáltatásmegtagadásos (DoS - Denial-of-service) támadások olyan elektronikus támadások, amelyek rendszereket, szolgáltatásokat vagy hálózatokat képesek olyan mértékben leterhelni, hogy az érintett rendszer, szolgáltatás, vagy hálózat elérhetetlenné válhat. Ez egyrészt a rendszerek megbénításával, másrészt a hálózati forgalom növelésével érhető el, amelynek eredménye, hogy a legitim adatforgalom nem éri el a célrendszert. A DoS támadás származhat egyetlen rendszertől, vagy akár rendszerek csoportjától is. Ez utóbbi esetet elosztott szolgáltatásmegtagadásos (DDoS) támadásnak nevezzük.

A motivációs célok között megtalálható többek között az anyagi előnyszerzés (pl.: szervezet zsarolása), valamint ideológiai célok is (pl.: tiltakozás egy ország, vagy szervezet ellen), (Anonymous, ISIS).

Az elosztott szolgáltatásmegtagadásos (DDoS) támadásokat gyakran botnetek segítségével hajtják végre, így egy eddig rejtett botnet fertőzöttség miatt bárki kaphat olyan értesítést, amely szerint az általa használt IP címet egy weboldal, vagy bármely más szolgáltatás elleni DDoS támadásban használták fel. A támadó visszaélhet mások IP címével is, amit IP hamisításnak (IP spoofing) nevezünk.  Ilyen értesítés esetén a botneteknél tárgyalt módon lehet ellenőrizni, hogy fertőzött-e a rendszerünk.

DDoS támadások egy másik csoportja, amelyekben bizonyos UDP protokollt használó szolgáltatásokat (NTP, DNS) használnak a célpont túlterhelésére. Ebben az esetben nyíltként konfigurált szervereket szólítanak meg nagyszámú kliensről, forráscímként a túlterhelni kívánt célpont IP címét megadva.

Ha egy ilyen módszerrel végrehajtott támadás kapcsán az általunk üzemeltetett szolgáltatás használatáról kapunk információt, akkor az adott szolgáltatás (pl. DNS szerver) konfigurációját érdemes felülvizsgálni. Egy DNS szerver esetén pl. meg lehet vizsgálni, hogy kiknek válaszol, nincs-e ún. „open resolver”-ként konfigurálva.

Kevesebb