Ismét az ingyenes hálózatvédelemről volt: Vírus?

eNTi Szoft enti at entiszoft.hu
2015. Jan. 31., Szo, 03:14:35 CET


Tisztelt Listatagok,
2015.01.30. 9:20 keltezéssel, techinfo-request at lista.sulinet.hu írta:
>    17. Re: Vírus? (Kovács Zoltán)
>
> ------------------------------
>
> Message: 17
> Date: Thu, 29 Jan 2015 18:41:04 +0100
> From: Kovács Zoltán <kovzoli65 at gmail.com>
> To: Techinfo <techinfo at lista.sulinet.hu>
> Subject: Re: Vírus?
>
> Egy ma kapott levélből idézek. Szakmai jellegű véleményeket várok.
> Simon Gábor, ha itt vagy, a tiédet különösen.
Simon Gáborként erről ezt gondolom:
"Ábel iszonyú erővel hátba vágja Áront, aki hátranéz, és megkérdezi:
- Te Ábel, ez most komoly?
- Az hát.
- Na, azért! Mert viccnek igen durva lenne!"


Hogy mint adatbiztonsági megoldás-szállítók oktatási referense mit 
gondolok róla?
Nos, jó, lássuk, de elnézést, a téma összetettsége miatt hosszú leszek, 
és előtte még egy nagyon fontos megjegyzésem is van.
Az elemzés nem vitairat a SuliXerver ellen vagy mellett.
Adatbiztonsági szemszögből vizsgálva kerül megemlítésre bizonyos 
tulajdonsága vagy annak hiánya, azért, mert egy ilyen célú ajánlásban 
valaki hivatkozik rá, mint sikerrel alkalmazható megoldásra.
A véleményemet tehát egy ajánlásról fogalmazom meg, amivel semmiképpen 
nem akarok levonni a benne említésre kerülő SuliXerver értékéből. Már 
csak azért sem tenném, mert nem ők tehetnek arról, hogy valakik nem arra 
a célra javasolják a szoftver alkalmazását, amire a gyártó szánja.


Az eredeti kérdésre visszatérve: bár az ajánlás kimondottan egy hálózat 
életében fontos "vírus" és a "nem megfelelő tartalom" probléma 
kiküszöbölésére keletkezett, az ajánlott megoldásnak köze nincs az 
adatbiztonsághoz: téves értelmezésen, továbbá hiányos szakismereteken 
(vagy szándékos félrevezetésen) alapul.
A félreértésre a "tartalomszűrés" fogalom értelmezése ad okot, amit 
sajnos, a SuliXerver gyártója nem oszlat, hanem a termék létező 
tulajdonságainak kissé pontatlan megfogalmazásával felerősít.
A szakmaiatlanság pedig ott jelenik meg, hogy a hálózatvédelmet vírus és 
tartalomszűrésre egyszerűsíti, holott ez a teljes adatbiztonsági 
problémának csak csekély hányadát jelenti.


1. Az ajánlás szerver oldali részéről
A 2011. évi CXC. törvény 2014. szeptember 1-jén hatályba lépett 
kiegészítése az internet-hozzáféréssel rendelkező számítógépeket rendeli 
el könnyen telepíthető és használható magyar nyelvű szoftverrel ellátni, 
olyannal, ami védi a gyermekek és a tanulók lelki, testi és értelmi 
fejlődését.

Egy gyermek nem fog attól visszamaradni a növésben, lelkileg 
belebetegedni, vagy akár értelmileg kihívásokkal küzdővé válni, ha egy 
kártevő miatt összeomlik a számítógépe.
Ha azonban azt olvassa/hallja/látja, hogyan kell a ... dolgot (nem 
akarok nyilvános fórumon ötletet adni, ki-ki vérmérséklete szerint 
helyettesítsen be a ... helyére valami csúnya, gonosz, antiszociális, 
ön- vagy közveszélyes - azaz   h u m á n   c é l r a   s z á n t   
tartalmat) megtenni vagy meg nem tenni, az már tényszerűen akár 
maradandó károkat is okozhat benne.
Azaz: amiről a törvény beszél, az a humán tartalomszűrés igénye.

A SuliXerver gyártója a honlapján nyilatkozik arról, hogy a terméke erre 
alkalmas.
Bár azt állítja, hogy "... A SuliXerver pontosan azokat a szoftvereket 
és szolgáltatásokat tartalmazza, melyekre egy iskolai informatikai 
hálózatban szükség van, ...", de a következő mondatok pontosabb nyelvi 
elemzésével könnyen rájöhetünk: ez csak a hálózatkezelés azon fő 
tevékenységeit öleli fel, amire egy hálózat egyáltalán létre jött.

Másról, mint pl. alacsony szinten zajló, informatikai értelmű 
(programkód-)tartalomszűrésről, kártékony kódok felderítéséről/irtásáról 
(mert mi van akkor, ha mégis átcsúszik egy fertőzés az ellenőrzésen, 
vagy Pistike csökkentett módban bootol be aztán hajrá?) sem a 
nyilatkozata, sem a honlap bármely más része nem tesz említést - holott 
ez is hálózat-üzemeltetési feladat, ráadásul égetőn fontos, de tény: nem 
a fő-, hanem a kiegészítő tevékenységek közé tartozik.

Vagyis: a SuliXerver   n e m   a d a t b i z t o n s á g i   termék.
Adatbiztonságra azonban ennek ellenére szükség van egy hálózatban, mert:
- ma már átlagban 3 másodpercenként jelenik meg új kártevő az 
Interneten. Negyedévente garantáltan felbukkannak korábban ismeretlen 
technikák, ami miatt a védekezés stratégiáját is minimum bővíteni, de 
nem ritkán teljesen át is kell alakítani.
- Az adatbiztonság-sértések 70%-áért az ún. "harmadik féltől származó" 
programok három "uniplatform" képviselőjének tervezési-kivitelezési 
hibái a felelősek, nevezetesen: a böngészők, az Adobe és a Java 
problémák. Ezeknek köze nincs a hálózatvezérlést megvalósító szoftverhez.
- A hálózat gépeit felhasználók kezelik, de a rendszergazda felelős a 
biztonságukért. Eszköztelenül azonban esélye sincs ellátni ezt a feladatát.

Fentiek miatt egy nem adatbiztonsági szoftvernek adatbiztonsági célokra 
való alkalmazása szakmai műhiba.


2. Kliens oldal
> A Windows 7 vagy nagyobb verziójú op. rendszereken a Windows Defender
> beépített vírusellenőrzője működik, mely nem helyettesíti a vírusirtó
> alkalmazásokat
Egyetértünk. De ha nem helyettesíti, akkor mi fogja betölteni ezt a 
biztonsági rést azokon az eszközökön, amelyek az összes fertőzési 
kapuval rendelkeznek?

> Külső adattárolóról (pendrive) sem lehetséges vírusos szoftvert telepíteni, minden telepítéshez rendszergazdai jogosultságú felhasználói beavatkozás szükséges (kivéve ha a program nem igényli a Windows regiszterek módosítását).
Egy rossz hír: a manapság futótűzként terjedő ransomware (zsaroló kód) 
kártevők egyes verzióinak nincs szüksége registry módosításra, enélkül 
is képes hazavágni a kép-, a szöveg-, a táblázat- vagy az adatbázis 
állományainkat.
És ha az adatmentésünk nem off-line (időnként felcsatlakozó, pl. 
szalagos tároló), hanem on-line (folyamatosan kapcsolódunk hozzá) 
rendszerű, akkor közvetlenül, de akár közvetve, a megosztásokon 
keresztül is képes átkódolni a mentéseinket.
Akkor pedig...

Van tehát egy megoldásunk ami sem kliens, sem szerver oldalról nem ad 
megfelelő hálózatbiztonságot.
De menjünk tovább.


3. Az ajánlás alátámasztásáról.
3.1 Csúsztatás a szaktekintélyre hivatkozás
Az ajánlás szerint:
> A SuliXerver használatát a NIIF intézet is ajánlja.
Igen, de mire is?
Az általam ismert anyagok között mindössze az szerepel: a NIIF szerint 
a  SuliXerver megoldás kitűnő hálózatvezérlő alternatíva iskolai 
alkalmazás esetén, de azt egy szóval nem mondja, hogy adatbiztonsági 
feladatokra is ajánlja.

3.2 Az "elégedett ügyfél"-elv kifacsarása
Az akár magánügy is lehetne, hogy nekem személy szerint problémám van a 
következőkkel:

a.) ismeretlen hátterű iskolára hivatkozik (nem tudjuk, milyen 
eszköz-parkja van, azt milyen oktatási elvek alapján milyen modellben 
használja, stb.)

b.) A mintavétel gyakorisága 1 db iskola. Ennek nem ellenőrzött 
tapasztalata kellene hogy elegendő legyen az ajánlás megalapozottságára.

c.) "Minden internetes tartalmat a SuliXerver ellenőriz":
Világszabadalom lenne.
Csak hogy érzékeltessem, mivel néz szembe az, aki ezt a követelményt 
teljesíteni akarja,  pár protokoll a gyakoriak közül: HTTP / HTTPS / FTP 
/ SFTP / SMTP / POP / IMAP / IRC / Bittorrent / P2P / chat / VoIP (pl. 
Skype) / Tor-Onion. És akkor még nem esett szó a kevésbé ismertekről, és 
arról sem, hogy a listát folyamatosan karban kell tartani (értsd: 
figyelni, milyen újdonságok jelentek meg, és azt átvezetni a rendszerbe).
"Minden tartalmat ellenőriz" - kódtatalomra értve, ilyet eddig még senki 
nem tudott / nem mert felelősséggel állítani, bele érve olyan nagy 
tapasztalatú és informatikai múlttal rendelkező cégeket is, mint az 
Astaro (Sophos UTM) vagy a Checkpoint.
Pedig tarolná a piacot, az biztos.

d.) A "...  megoldást a tanév eleje óta alkalmazza az iskola, (eddig) 
probléma mentesen ..."
d/1 Mondja az, akinek nincs alkalmas mérő eszköze, azaz 
telepített/használt antivírus szoftvere, ami esetleg ki tudná mutatni, 
hány kémprogram, vagy más kártevő figyel csendben a rendszerben.
d/2 Szeretnék bekérni néhány log-ot arról, hány és milyen kártevőt 
fogott meg ez a "védelem".
d/3 "Eddig" - meddig? Mikori a mintavétel lezárása? December? Múlt 
hónap? Múlt hét? Még tegnap is?
De szinte mindegy is. Az adatbiztonság statisztikai alapokon nyugszik - 
ehhez azonban elegendő számú mintára lenne szükség. Csakhogy ilyen 
nincs, marad a "mázlifaktor", ami szerint elkerülték őket a kártevők.
Mert hogy nem ők kerülték ki azokat, abban bizonyos vagyok.


4. Magáról a célkitűzésről: "Vírus és tartalomszűrés"
A "vírus" csak egy a sokféle kártevő-osztály között. Jelentősége 10 év 
óta rohamosan csökken; ma már csak elvétve lehet egy-két új példánnyal 
találkozni. A helyére más megközelítésű, más célú, más technikai 
megvalósítású kategóriák léptek. (Hogy mást ne mondjak: ma már vannak 
"fekete oldalak", ahol kártevőket lehet rendelni, "100 felett 
kedvezmény, 1000 felett törzsvásárlói"-szerű ajánlattal csábítva a  
nagyérdeműt.)
Aki tehát úgy véli, hogy vírust szűr, és azzal elkerüli a hálózat 
fertőződést, az kb. olyan 200 millió további más kártevővel nem számol.

De ha már itt tartunk:
A kódtartalom-szűrés (nagyon durva közelítésben) történhet mintázat vagy 
viselkedés alapján.

A mintázat alapú eljárás során a bejövő tartalmat egy ismert mintázattal 
kell összehasonlítani. Egyezés esetén riasztás, gyanú esetén karantén, a 
többi esetben átengedés a következő ellenőrzési lépcsőnek (amiből a 
gyengébb védelmek is vagy féltucatnyit tartalmaznak).
Mindehhez adatbázisra van szükség. A létező, felderített kártevők 
adatbázisát  - gyártónként értendő! - jelenleg több kontinensen 
telepített szerver-farmok (farmonként ezres nagyságrendű 
szerver-számmal) tartják karban.
Azért, mert olyan negyed milliárdra tehető a kártevők létszáma.
Igen, minden egyes tartalmat ennyi mintázattal kell(ene) egybe vetni.

A módszer a már ismert kártevők esetén adhat jó eredményt. Ugyanakkor 
alkalmazásában nehézséget jelent, hogy az ismertté váló kártevők 
irgalmatlan nagy száma miatt az ellenőrzési idő növekszik, de ezt nem 
szeretik a felhasználók. Különösen azok, akiknek 512 MB-os, 6-8 éves 
gépeik vannak. Azaz a magyar közoktatás kb. negyede.

A még nem ismert kártevők jelenlétének kimutatására az egyed várható 
tevékenysége alapján kínálkozik lehetőség. Az elvet többféle 
viselkedés-elemzővel hajtjuk végre. Van közöttük olyan, ami szimulálja, 
hogy mit tenne a kód, majd megpróbál rájönni, hogy ez most káros-e vagy sem.
Ne menjünk bele, hogy ez mennyire összetett feladat - nagyon az.

Az ismertté  váló hátrányok kiküszöbölésére jöttek létre a különféle 
felhő-technikák. Ezek egy része ígéretes, másik része zsákutca . A 
lényeg azonban, hogy a beérkező állományt (vagy egy rá jellemző 
mintázatot) fellőjük egy adott web-oldalra, ahol van elegendő számítási 
kapacitás az elemzésre. (Egy érdekesség: a technika indulásakor az egyik 
neves gyártó kénytelen volt az eredetileg kiválasztott publikus 
szerverfarmról elvinni és saját farmra áttenni a mintegy nyolcszáz gépes 
flottáját. Akkora volt az energiafelhasználásuk, hogy az elektromos 
táprendszer nem bírta ki huzamosabb ideig a terhelést, ezért szó szerint 
kirúgták őket.)

Valamennyinek van előnye-hátránya, az adatbiztonsági szoftverek ezeket 
optimálisan, kiegyensúlyozottan alkalmazzák.

Ha valaki tud arról, hogy a SuliXerver szolgáltatásai ilyen funkciókat 
is tartalmaznak, amivel minden kártevő típusra 100% hibamentességet 
garantálnak, vagy hogy a SuliXerver esetén egyáltalán nincs szükség 
ilyenre, mert az ennek segítségével kezelt hálózatban efféle gondok nem 
csak gyakorlatilag, de elvileg is kizártak, akkor kérem, az erről szóló 
bizonyítékot (dokumentum, gyártói nyilatkozat, bármi, ami hiteles 
információnak tekinthető) juttassa el hozzám. Magam fogom személyesen 
eljuttatni három vezető adatbiztonság-gyártónak: nézzétek, tanuljatok.

Előre is köszönöm a segítséget.

Utóirat:
Aki úgy véli, hogy adatbiztonságot megfelelő adatvédelmi megoldással 
kell megvalósítani, azzal szívesen megosztom (szigorúan magánban) a 
minimalizált védelmi költség képletét (mert van ilyen, és matematikailag 
is bizonyíthatóan minimalizálható tulajdonsággal bír). Bónuszként 
megkapja az eljárás menetét is.
Ez az egyetlen, általam ismert módszer, amivel ugyan nem ingyen, de 
garantáltan minimalizált védelmi költség árán lehet hálózatvédelmet 
létre hozni.

Mert ne feledjük: az ellenkező bizonyításáig ingyenes, megfelelő 
biztonságú hálózatvédelmi megoldások továbbra sem léteznek.

Üdvözlettel:
Simon Gábor
eNTi Szoft Kft.


További információk a(z) Techinfo levelezőlistáról