Ismét az ingyenes hálózatvédelemről volt: Vírus?
eNTi Szoft
enti at entiszoft.hu
2015. Jan. 31., Szo, 03:14:35 CET
Tisztelt Listatagok,
2015.01.30. 9:20 keltezéssel, techinfo-request at lista.sulinet.hu írta:
> 17. Re: Vírus? (Kovács Zoltán)
>
> ------------------------------
>
> Message: 17
> Date: Thu, 29 Jan 2015 18:41:04 +0100
> From: Kovács Zoltán <kovzoli65 at gmail.com>
> To: Techinfo <techinfo at lista.sulinet.hu>
> Subject: Re: Vírus?
>
> Egy ma kapott levélből idézek. Szakmai jellegű véleményeket várok.
> Simon Gábor, ha itt vagy, a tiédet különösen.
Simon Gáborként erről ezt gondolom:
"Ábel iszonyú erővel hátba vágja Áront, aki hátranéz, és megkérdezi:
- Te Ábel, ez most komoly?
- Az hát.
- Na, azért! Mert viccnek igen durva lenne!"
Hogy mint adatbiztonsági megoldás-szállítók oktatási referense mit
gondolok róla?
Nos, jó, lássuk, de elnézést, a téma összetettsége miatt hosszú leszek,
és előtte még egy nagyon fontos megjegyzésem is van.
Az elemzés nem vitairat a SuliXerver ellen vagy mellett.
Adatbiztonsági szemszögből vizsgálva kerül megemlítésre bizonyos
tulajdonsága vagy annak hiánya, azért, mert egy ilyen célú ajánlásban
valaki hivatkozik rá, mint sikerrel alkalmazható megoldásra.
A véleményemet tehát egy ajánlásról fogalmazom meg, amivel semmiképpen
nem akarok levonni a benne említésre kerülő SuliXerver értékéből. Már
csak azért sem tenném, mert nem ők tehetnek arról, hogy valakik nem arra
a célra javasolják a szoftver alkalmazását, amire a gyártó szánja.
Az eredeti kérdésre visszatérve: bár az ajánlás kimondottan egy hálózat
életében fontos "vírus" és a "nem megfelelő tartalom" probléma
kiküszöbölésére keletkezett, az ajánlott megoldásnak köze nincs az
adatbiztonsághoz: téves értelmezésen, továbbá hiányos szakismereteken
(vagy szándékos félrevezetésen) alapul.
A félreértésre a "tartalomszűrés" fogalom értelmezése ad okot, amit
sajnos, a SuliXerver gyártója nem oszlat, hanem a termék létező
tulajdonságainak kissé pontatlan megfogalmazásával felerősít.
A szakmaiatlanság pedig ott jelenik meg, hogy a hálózatvédelmet vírus és
tartalomszűrésre egyszerűsíti, holott ez a teljes adatbiztonsági
problémának csak csekély hányadát jelenti.
1. Az ajánlás szerver oldali részéről
A 2011. évi CXC. törvény 2014. szeptember 1-jén hatályba lépett
kiegészítése az internet-hozzáféréssel rendelkező számítógépeket rendeli
el könnyen telepíthető és használható magyar nyelvű szoftverrel ellátni,
olyannal, ami védi a gyermekek és a tanulók lelki, testi és értelmi
fejlődését.
Egy gyermek nem fog attól visszamaradni a növésben, lelkileg
belebetegedni, vagy akár értelmileg kihívásokkal küzdővé válni, ha egy
kártevő miatt összeomlik a számítógépe.
Ha azonban azt olvassa/hallja/látja, hogyan kell a ... dolgot (nem
akarok nyilvános fórumon ötletet adni, ki-ki vérmérséklete szerint
helyettesítsen be a ... helyére valami csúnya, gonosz, antiszociális,
ön- vagy közveszélyes - azaz h u m á n c é l r a s z á n t
tartalmat) megtenni vagy meg nem tenni, az már tényszerűen akár
maradandó károkat is okozhat benne.
Azaz: amiről a törvény beszél, az a humán tartalomszűrés igénye.
A SuliXerver gyártója a honlapján nyilatkozik arról, hogy a terméke erre
alkalmas.
Bár azt állítja, hogy "... A SuliXerver pontosan azokat a szoftvereket
és szolgáltatásokat tartalmazza, melyekre egy iskolai informatikai
hálózatban szükség van, ...", de a következő mondatok pontosabb nyelvi
elemzésével könnyen rájöhetünk: ez csak a hálózatkezelés azon fő
tevékenységeit öleli fel, amire egy hálózat egyáltalán létre jött.
Másról, mint pl. alacsony szinten zajló, informatikai értelmű
(programkód-)tartalomszűrésről, kártékony kódok felderítéséről/irtásáról
(mert mi van akkor, ha mégis átcsúszik egy fertőzés az ellenőrzésen,
vagy Pistike csökkentett módban bootol be aztán hajrá?) sem a
nyilatkozata, sem a honlap bármely más része nem tesz említést - holott
ez is hálózat-üzemeltetési feladat, ráadásul égetőn fontos, de tény: nem
a fő-, hanem a kiegészítő tevékenységek közé tartozik.
Vagyis: a SuliXerver n e m a d a t b i z t o n s á g i termék.
Adatbiztonságra azonban ennek ellenére szükség van egy hálózatban, mert:
- ma már átlagban 3 másodpercenként jelenik meg új kártevő az
Interneten. Negyedévente garantáltan felbukkannak korábban ismeretlen
technikák, ami miatt a védekezés stratégiáját is minimum bővíteni, de
nem ritkán teljesen át is kell alakítani.
- Az adatbiztonság-sértések 70%-áért az ún. "harmadik féltől származó"
programok három "uniplatform" képviselőjének tervezési-kivitelezési
hibái a felelősek, nevezetesen: a böngészők, az Adobe és a Java
problémák. Ezeknek köze nincs a hálózatvezérlést megvalósító szoftverhez.
- A hálózat gépeit felhasználók kezelik, de a rendszergazda felelős a
biztonságukért. Eszköztelenül azonban esélye sincs ellátni ezt a feladatát.
Fentiek miatt egy nem adatbiztonsági szoftvernek adatbiztonsági célokra
való alkalmazása szakmai műhiba.
2. Kliens oldal
> A Windows 7 vagy nagyobb verziójú op. rendszereken a Windows Defender
> beépített vírusellenőrzője működik, mely nem helyettesíti a vírusirtó
> alkalmazásokat
Egyetértünk. De ha nem helyettesíti, akkor mi fogja betölteni ezt a
biztonsági rést azokon az eszközökön, amelyek az összes fertőzési
kapuval rendelkeznek?
> Külső adattárolóról (pendrive) sem lehetséges vírusos szoftvert telepíteni, minden telepítéshez rendszergazdai jogosultságú felhasználói beavatkozás szükséges (kivéve ha a program nem igényli a Windows regiszterek módosítását).
Egy rossz hír: a manapság futótűzként terjedő ransomware (zsaroló kód)
kártevők egyes verzióinak nincs szüksége registry módosításra, enélkül
is képes hazavágni a kép-, a szöveg-, a táblázat- vagy az adatbázis
állományainkat.
És ha az adatmentésünk nem off-line (időnként felcsatlakozó, pl.
szalagos tároló), hanem on-line (folyamatosan kapcsolódunk hozzá)
rendszerű, akkor közvetlenül, de akár közvetve, a megosztásokon
keresztül is képes átkódolni a mentéseinket.
Akkor pedig...
Van tehát egy megoldásunk ami sem kliens, sem szerver oldalról nem ad
megfelelő hálózatbiztonságot.
De menjünk tovább.
3. Az ajánlás alátámasztásáról.
3.1 Csúsztatás a szaktekintélyre hivatkozás
Az ajánlás szerint:
> A SuliXerver használatát a NIIF intézet is ajánlja.
Igen, de mire is?
Az általam ismert anyagok között mindössze az szerepel: a NIIF szerint
a SuliXerver megoldás kitűnő hálózatvezérlő alternatíva iskolai
alkalmazás esetén, de azt egy szóval nem mondja, hogy adatbiztonsági
feladatokra is ajánlja.
3.2 Az "elégedett ügyfél"-elv kifacsarása
Az akár magánügy is lehetne, hogy nekem személy szerint problémám van a
következőkkel:
a.) ismeretlen hátterű iskolára hivatkozik (nem tudjuk, milyen
eszköz-parkja van, azt milyen oktatási elvek alapján milyen modellben
használja, stb.)
b.) A mintavétel gyakorisága 1 db iskola. Ennek nem ellenőrzött
tapasztalata kellene hogy elegendő legyen az ajánlás megalapozottságára.
c.) "Minden internetes tartalmat a SuliXerver ellenőriz":
Világszabadalom lenne.
Csak hogy érzékeltessem, mivel néz szembe az, aki ezt a követelményt
teljesíteni akarja, pár protokoll a gyakoriak közül: HTTP / HTTPS / FTP
/ SFTP / SMTP / POP / IMAP / IRC / Bittorrent / P2P / chat / VoIP (pl.
Skype) / Tor-Onion. És akkor még nem esett szó a kevésbé ismertekről, és
arról sem, hogy a listát folyamatosan karban kell tartani (értsd:
figyelni, milyen újdonságok jelentek meg, és azt átvezetni a rendszerbe).
"Minden tartalmat ellenőriz" - kódtatalomra értve, ilyet eddig még senki
nem tudott / nem mert felelősséggel állítani, bele érve olyan nagy
tapasztalatú és informatikai múlttal rendelkező cégeket is, mint az
Astaro (Sophos UTM) vagy a Checkpoint.
Pedig tarolná a piacot, az biztos.
d.) A "... megoldást a tanév eleje óta alkalmazza az iskola, (eddig)
probléma mentesen ..."
d/1 Mondja az, akinek nincs alkalmas mérő eszköze, azaz
telepített/használt antivírus szoftvere, ami esetleg ki tudná mutatni,
hány kémprogram, vagy más kártevő figyel csendben a rendszerben.
d/2 Szeretnék bekérni néhány log-ot arról, hány és milyen kártevőt
fogott meg ez a "védelem".
d/3 "Eddig" - meddig? Mikori a mintavétel lezárása? December? Múlt
hónap? Múlt hét? Még tegnap is?
De szinte mindegy is. Az adatbiztonság statisztikai alapokon nyugszik -
ehhez azonban elegendő számú mintára lenne szükség. Csakhogy ilyen
nincs, marad a "mázlifaktor", ami szerint elkerülték őket a kártevők.
Mert hogy nem ők kerülték ki azokat, abban bizonyos vagyok.
4. Magáról a célkitűzésről: "Vírus és tartalomszűrés"
A "vírus" csak egy a sokféle kártevő-osztály között. Jelentősége 10 év
óta rohamosan csökken; ma már csak elvétve lehet egy-két új példánnyal
találkozni. A helyére más megközelítésű, más célú, más technikai
megvalósítású kategóriák léptek. (Hogy mást ne mondjak: ma már vannak
"fekete oldalak", ahol kártevőket lehet rendelni, "100 felett
kedvezmény, 1000 felett törzsvásárlói"-szerű ajánlattal csábítva a
nagyérdeműt.)
Aki tehát úgy véli, hogy vírust szűr, és azzal elkerüli a hálózat
fertőződést, az kb. olyan 200 millió további más kártevővel nem számol.
De ha már itt tartunk:
A kódtartalom-szűrés (nagyon durva közelítésben) történhet mintázat vagy
viselkedés alapján.
A mintázat alapú eljárás során a bejövő tartalmat egy ismert mintázattal
kell összehasonlítani. Egyezés esetén riasztás, gyanú esetén karantén, a
többi esetben átengedés a következő ellenőrzési lépcsőnek (amiből a
gyengébb védelmek is vagy féltucatnyit tartalmaznak).
Mindehhez adatbázisra van szükség. A létező, felderített kártevők
adatbázisát - gyártónként értendő! - jelenleg több kontinensen
telepített szerver-farmok (farmonként ezres nagyságrendű
szerver-számmal) tartják karban.
Azért, mert olyan negyed milliárdra tehető a kártevők létszáma.
Igen, minden egyes tartalmat ennyi mintázattal kell(ene) egybe vetni.
A módszer a már ismert kártevők esetén adhat jó eredményt. Ugyanakkor
alkalmazásában nehézséget jelent, hogy az ismertté váló kártevők
irgalmatlan nagy száma miatt az ellenőrzési idő növekszik, de ezt nem
szeretik a felhasználók. Különösen azok, akiknek 512 MB-os, 6-8 éves
gépeik vannak. Azaz a magyar közoktatás kb. negyede.
A még nem ismert kártevők jelenlétének kimutatására az egyed várható
tevékenysége alapján kínálkozik lehetőség. Az elvet többféle
viselkedés-elemzővel hajtjuk végre. Van közöttük olyan, ami szimulálja,
hogy mit tenne a kód, majd megpróbál rájönni, hogy ez most káros-e vagy sem.
Ne menjünk bele, hogy ez mennyire összetett feladat - nagyon az.
Az ismertté váló hátrányok kiküszöbölésére jöttek létre a különféle
felhő-technikák. Ezek egy része ígéretes, másik része zsákutca . A
lényeg azonban, hogy a beérkező állományt (vagy egy rá jellemző
mintázatot) fellőjük egy adott web-oldalra, ahol van elegendő számítási
kapacitás az elemzésre. (Egy érdekesség: a technika indulásakor az egyik
neves gyártó kénytelen volt az eredetileg kiválasztott publikus
szerverfarmról elvinni és saját farmra áttenni a mintegy nyolcszáz gépes
flottáját. Akkora volt az energiafelhasználásuk, hogy az elektromos
táprendszer nem bírta ki huzamosabb ideig a terhelést, ezért szó szerint
kirúgták őket.)
Valamennyinek van előnye-hátránya, az adatbiztonsági szoftverek ezeket
optimálisan, kiegyensúlyozottan alkalmazzák.
Ha valaki tud arról, hogy a SuliXerver szolgáltatásai ilyen funkciókat
is tartalmaznak, amivel minden kártevő típusra 100% hibamentességet
garantálnak, vagy hogy a SuliXerver esetén egyáltalán nincs szükség
ilyenre, mert az ennek segítségével kezelt hálózatban efféle gondok nem
csak gyakorlatilag, de elvileg is kizártak, akkor kérem, az erről szóló
bizonyítékot (dokumentum, gyártói nyilatkozat, bármi, ami hiteles
információnak tekinthető) juttassa el hozzám. Magam fogom személyesen
eljuttatni három vezető adatbiztonság-gyártónak: nézzétek, tanuljatok.
Előre is köszönöm a segítséget.
Utóirat:
Aki úgy véli, hogy adatbiztonságot megfelelő adatvédelmi megoldással
kell megvalósítani, azzal szívesen megosztom (szigorúan magánban) a
minimalizált védelmi költség képletét (mert van ilyen, és matematikailag
is bizonyíthatóan minimalizálható tulajdonsággal bír). Bónuszként
megkapja az eljárás menetét is.
Ez az egyetlen, általam ismert módszer, amivel ugyan nem ingyen, de
garantáltan minimalizált védelmi költség árán lehet hálózatvédelmet
létre hozni.
Mert ne feledjük: az ellenkező bizonyításáig ingyenes, megfelelő
biztonságú hálózatvédelmi megoldások továbbra sem léteznek.
Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.
További információk a(z) Techinfo levelezőlistáról