Sokszor olvastam fórumokon, hogy a hacker haver aztán bármit feltör, 5 perc alatt, de tényleg! Vajon mennyi ennek a valóságalapja?
Kezdjük az elején. Az internetes fórumok tele vannak trollokkal. Az egyik fajta troll az, aki ismer valakit, vagy egy ismerősének az ismerőse ismer valakit, aki hatalmas szaki, nem merje senki megkérdőjelezni a szaktudását! Persze nevet már nem rak mellé, még csak annyira sem, hogy „Zoli” vagy „Béla”.
Szóval ott csücsül a troll a gépe előtt, és fórumozik vadul, hogy az ismerősének az ismerőse aztán bármit, de tényleg, pillanatok alatt fel tud törni.
Próbáljuk meg segítségül hívni a józan paraszti eszünket: ha tényleg minden oldal feltörhető lenne, akkor vajon léteznének internetes banki felületek? Kizárt, hogy a bankok ekkora rizikót vállalnának be.
Itt máris megdőlt a „mindent fel lehet törni” teória. De akkor mi az igazság?
Az igazság az, hogy az oldalak nagy százalékát fel lehet törni. De ez tipikusan nem annak a következménye, hogy az internet ennyire megbízhatatlan közeg lenne, hanem sokkal inkább annak, hogy az emberek rosszul használják azt:
- Megbízzuk a „szomszéd Józsit” (mert ő ért a számítógéphez! (pfááá)), hogy csinálja meg a weboldalunkat.
A valóságban „szomszéd Józsi” lehet hogy remekül kezeli az Excel-t, jobb esetben látott már Linuxot. De ha Józsink mondjuk könyvtáros-informatika szakot végzett, akkor 99% az esélye annak, hogy az általa kreált weboldal minősége khmm… nem lesz kifejezetten figyelemre méltó. - Jobb esetben valami bevállt rendszert állítunk munkába, vagy profikra bízzuk a weboldal kialakítását. Itt nagyobb valószínűséggel saját hülyeségünk nemtörődömségünk áldozatává válunk. Mondjuk azzal, hogy admin/admin a felhasználónév-jelszó páros. Vagy a kutyánk neve, vagy egy szótári szó, stb.
Az első verzió a hacker számára csemege. A rosszul felépített kódot élvezet darabjaira robbantani, aztán énekelve táncolni a romokon. Viszont miután „egyedi rendszer”-ről beszélünk, talán az elterjedt automatikus támadási próbákat megússzuk.
A második verzió munkásabb lehet, de ettől sem fog a támadó ínhüvelygyulladást kapni. Elég egy jó szótár (mondjuk magyar értelmező), egy kis program, ami a kapott szavakat ragozza, számokat ír elé-mögé, esetleg a kisbetű-nagybetű kombinációkat variálja. Elég elindítani, aztán várni. Lehet hogy csak 1-2 órát. Lehet hogy 10-20 évet. De a felhasználói szokásokat figyelembe véve sokkal valószínűbb, hogy az 1-2 óra jobb becslés.
Mit tehetsz, ha biztonságban akarod tudni az adataidat?
- Ne a „szomszéd Józsira” bízd a weboldalad kialakítását!
Sajnos el kell fogadnod a tényt: ha megbízható weboldalt szeretnél, akkor bízd az oldal elkészítését szakértőre! Ha árajánlatot kérsz, kérj be referenciákat is! Ha lehet, olyan céget bízz meg, akinek van már biztonsági vizsgálaton átesett referenciája! - Ha nem tudsz megfizetni egy profit és csak egyszerű, néhány lapból álló weboldalra van szükséget, akkor javaslom, hogy végy egy elterjedt, és megbízható rendszert (mint például WordPress, vagy Drupal. Ezek ráadásul ingyenesek). Óva intelek azonban attól, hogy az oldal kinézetét az első pontban már említett Józsi szabja testre! – Ugyanis a rossz minőségű sablonok is biztonsági kockázatot jelenthetnek.
Ha megvan a rendszer, fektess kellő hangsúlyt a 3. pontra! - A jelszavad legyen minél erősebb! Legyen benne lehetőség szerint kisbetű, nagybetű, szám és valamilyen speciális jel (#,@,!, stb). És igen, legalább 8-10 karakter hosszú legyen.
Minél hosszabb, és összetettebb a jelszavad, annál nehezebb lesz akár automatikus próbálkozásokkal feltörni. Ha a jelszavad szerepel a szótárban, mint például „almáspite”, akkor piszok gyorsan ki lehet „találni”. De az „mhKx2#Gh!” valószínűleg egy szótárban sem fog szerepelni, se kisbetűvel, se naggyal.
Ha már van weboldalad, akkor kérlek, gondold át a fenti pontokat. Vajon mennyire igazak ezek rád, illetve az oldaladra? Sajnos a magyar gyakorlat azt mutatja, hogy akár komolyabb vállalkozások is nyugodt szívvel használnak egy-egy olyan komplex rendszert, ami nélkülöz mindenféle biztonsági megoldást.
Persze tudom, hogy egy induló vállalkozásnak nincs – sőt, sokszor egy évek óta működőnek sincs – tőkéje arra, hogy profikkal dolgoztasson. De bizton állíthatom, hogy ha fut egy biznisz, akkor egy támadás sokkal több kárt okozhat, mint amennyibe egy rendesen megírt rendszer, és egy biztonsági vizsgálat együtt került volna.
Erre mondják, hogy biztosítás-jellegű szolgáltatás. A lakásbiztosítás is kidobott pénznek tűnhet, amíg ki nem rabolják az embert, vagy le nem ég a háza egy villámcsapástól?
Persze továbbra is eldöntheted, hogy miben akarsz átvészelni egy vihart: szalmakunyhóban, vagy biztosított téglaházban.
Én annyiban kiegészíteném, hogy minden oldal feltörése lehetséges, a kérdés az, hogy mekkora energiabefektetés kell hozzá.
Minél összetettebb egy rendszer annál több a hibalehetőség, minél egyszerűbb annál kevesebbet tud.
Szerintem meg kell találni azt a középutat, amikor a funkcionalitás és a biztonsági szempontok összhangban vannak.
Ettől függetlenül az írás teljes mértékben elfogadható válaszokat ad.