October 31, 2024

Hibák, történetek, érdekességek

Alapértelmezésű jelszó

Korábban számos operációs rendszert alapértelmezés szerint installálva bizonyos (fiktív) felhasználói nevek alapértelmezésű jelszóval jöttek létre. Ma is számos alkalmazásnál felbukkannak az alapértelmezésű jelszavak, az ilyeneket változatlanul hagyva rendszerünket veszélynek tehetjük ki.

Dohányzás

A dohányzás legalább annyira káros számítógépes rendszereinkre, mint az emberekre. A hamu eltömi a hűtőberendezéseket, lerakódása zavarja a hőleadást. A dohányfüst korróziós hatása is jelentős, lerakódása kisüléseket okozhat a mikroáramkörökön. Kívül-belül összemocskolja a berendezéseket (dohányzás miatt elpiszkolódott berendezésre nem vonatkozik garancia). Számos speciális kár okozásáért is felelős vagy felelős lehet. Egyértelműen kimutatott, hogy sok hardver (merevlemezes egységek, hajlékonylemezes meghajtók, egerek stb.) élettartamát lényegesen (10-30 %-kal) csökkenti. Nehéz megérteni, hogy egyes munkahelyek még csak nem is korlátozzák vagy szankcionálják a dohányzást.

Domain Name System

Ha DNS szerverünk először egy másik géphez irányítja a levelet (pontosabban a másik gép preferáltabb az MX bejegyzés szerint, azaz kisebb a preferencia indexe), csak utána a rendeltetési helyhez, a két gép ráadásul egy hálózaton helyezkedik el, valamint teljes Internet eléréssel és mail transport agent-tel rendelkezik, ez ekkor már gyanús: valami különleges ok áll fenn, esetleg tévedés történt, netalán csak leveleinket akarják tanulmányozni.

Elektronikus levélcímünk változása

Levélcím változás esetén, ha lehet azonnal ne szüntessük/szüntettessük meg régi címünket, onnan átirányítást biztosítsunk vagy kérjünk. Rengeteg levél megy ismert, de nem működő címekre, ahol gyűlnek az olvasatlan levelek, bosszankodnak a feladók.

Írható távoli file-rendszer vagy annak írható könyvtára

Ne engedjünk meg véletlenül több jogot az olvasásnál! Ne engedjünk nyilvános írásjogot! Ne azt határozzuk meg, hogy ki, mihez nem férhet hozzá, hanem adjuk meg a szükséges jogokat, és azon kívül tiltsunk meg minden mást!

A jelszógyűjtés egy sajátos módja

Ha egy kellően érdekes, vonzó szolgáltatást hozunk létre saját rendszerünkön, ami csak a felhasználó által szabadon, de kötelezően választandó jelszóval érhető el, akkor a választott jelszavakat összegyűjthetjük. Mivel a felhasználók részben megszokott jelszavaikat használják, így ezekkel jó eséllyel kezdhetjük meg behatolásunkat más rendszerekbe. A tanulság: nem szabad különböző rendszereken azonos jelszavakat használni!

Jelszó nélküli accountok

A tapasztalat azt mutatja, hogy a felhasználók 10-30 %-a – ha teheti – jelszó nélkül használja accountját, teljes jogot engedve másoknak levelezéséhez, adataihoz. Ahol a személyes adatok kevésbé értékesek, ott az arány még magasabb. Sokfelhasználós rendszerek esetén a helyes jelszófelhasználás gyakran csak retorziókkal érhető el.

Hálózati erőforrások indokolatlan terhelése

Ez inkább etikai, mintsem biztonsági kérdés, azonban a szolgáltatások elérhetetlenségét, használhatatlanságát okozhatja, így nem lehet csak etikai kérdésként hozzáállni. Bár követni, illetve (főleg szúrópróbaszerűen) ellenőrizni lehet, hogy a felhasználók mit csinálnak, ez a személyiségi jogokat sértheti és etikai szempontból sem elfogadható. Így csak a tájékoztatás, oktatás, nevelés és propaganda segít.

A hálózati dokumentáció hiányossága

Egy hálózati hiba (pl. vezeték sérülés) megtalálása rendkívüli feladat lehet, ha nem tudjuk, hogy merre haladnak a vezetékek.

Hardver kulcs

A hardver kulcs általában másolás, ritkábban hozzáférés elleni védelmet szolgál. Egy szoftver felhasználójának ritkán érdeke az ilyen másolásvédelem, emellett ez kellemetlenségekhez vezethet (a hardver kulcs zavarhatja a normális működést vagy üzemeltetést, a kulcsok elveszthetők, ellophatók, megsérülhetnek). Érdemes tudni, hogy számos hardver kulcsos terméknek van kulcs nélkül működő változata is, vagy forgalomban van olyan szoftver, amely inaktiválja a kulcsot.

Közös jelszó, jelszó átadása

Azért szokás ilyen eszközökhöz folyamodni, mert valamely adatot, hozzáférési jogot szeretne valaki mással megosztani. Ehhez a megoldáshoz nyilván azért fordul a felhasználó, mert más, jobb utat nem ismer. Pedig van! File/könyvtár hozzáférési jogok megadása, levélátirányítás stb. Csak egy kis fáradságot kell venni rendszereink megismeréséhez.

Levélben kért jelszó

Sok rendszergazda hajlandó (elektronikus) levél, telefon/fax stb. kérésre megváltoztatni egy felhasználó jelszavát. Vagy letörli a jelszót (az account jelszó nélkül marad), vagy titkosítatlanul elküldi. Természetesen privilegizált account esetében ilyet senki nem tesz.

Maximált file-méret

Számos rendszerben (a legtöbb Unix alatt) szokás a maximális file-méret alkalmazása. Az aktuális korlát ismerete hiányában a felhasználó többször nekirugaszkodik letölteni egy 120 MB-os file-t, s 100 MB-nál rendszeresen elakad. Ezzel alapos nem kívánatos hálózati forgalmat generál.

Rendszer adminisztrátori account

A rendszer adminisztrátori (supervisori) és más privilegizált accountot csak akkor és arra használjuk, amit máshogy nem lehet megoldani, és csak arra az időre jelentkezzünk be így, amíg az adott feladatot elvégezzük. Nyilvánosan elérhető gépről ne használjunk ilyen accountokat (sőt hálózatról sem). Az előbbiek igazak nemcsak az ilyen accountok használatára, hanem minden privilegizált hozzáférésre.

A rendszer erőforrásainak terhelése

Önön szórakoztatásunkra elindítunk néhány dekoratív X alkalmazást (‘X szemet’) és a rendszer erőforrásainak nagy részét ezzel lekötöttük. Majd kiadunk egy keresést (find parancsot Unix alatt), s a rendszer majdhogynem megáll. A példákat sorolhatnánk.

Reset gomb

Többfelhasználós rendszert nyugodt szívvel kapcsolhat ki vagy indíthat újra egy átlagfelhasználó, ha lefagy a terminálja. Persze ezt nem teszi, ha erre nincs módja, vagy csak különös nehézségek árán kivitelezhető. Egyesek nem tudnak ellenállni a szünetmentes tápegység kikapcsológombjának. Az igazi megoldás a fizikai védelem – eltávolítani, beragasztani minden nyomógombot :-). Persze elárulhatjuk a felhasználóknak az alternatív lehetőségeket is (pl. keresse a rendszergazdát, vagy hogy mely billentyűkombinációval próbálkozzon ilyenkor).

Rossz jelszavak

A felhasználók előszeretettel alkalmazzák (ha csak tehetik) az alábbi típusú jelszavakat:

  • saját login név, név, becenév, családtag, barátnő neve;
  • saját telefonszám, gépkocsi rendszám;
  • munkakörre, munkahelyre, hobbira vonatkozó szó.

Vannak népszerű jelszavak. Egyes felmérések szerint kevesebb mint ezer jelszó lefedi a világon számítógép eléréshez használt jelszavak több mint felét.

Single user üzemmód, magára hagyott szerver

Mint fent említettük az elveszett jelszó ürügyén: a magára hagyott gépek jelszavai nagyon sok esetben feltörhetők (a PC-k setup jelszava általában – közismert módon – feltörhető, sok Unix esetében az ún. single user mód nem kellően védett). Itt adott esetben csak az operációs rendszer upgrade-je, cseréje, a hardver le- vagy elzárása esetleg cseréje szolgáltathat megoldást – vagy a biztonsági rés tudatával kell együtt élnünk.

Szoftver upgrade

Rengeteg hiba forrása mind az upgrade, mind annak hiánya. Példák az upgrade lehetséges problémáiból (nem csak operációs rendszerre, de elsősorban arra gondolunk):

  • számos bevált alkalmazásunk nem működik;
  • interoperábilitási, kompatibilitási problémák bukkanhatnak fel;
  • meg kell tanulnunk használni az új rendszert;
  • ismeretlen jelenségek léphetnek fel, hibák bukkanhatnak elő;
  • mentésünk visszaállításánál problémák léphetnek fel.

Az operációs rendszerek és az összetettebb alkalmazások biztonsági szempontból sohasem tökéletesek. Számos hibát észlelnek a fejlesztők, melyekre vagy javításokat (patch) adnak ki, vagy az újabb változatokból már kiiktatják a hibákat. Az újabb változatok is tartalmazhatnak persze biztonsági lyukakat, de ezek még nem kerültek napvilágra, így a támadók is kisebb eséllyel használják ki ezeket.

A visszaállítás nehézségei

Gyakori eset, hogy a mentés akkurátus pontossággal végrehajtott, széfben őrzik a mentést, … Azonban amikor (akár évek múltával) először következik be adatvesztés, a visszaállítás nem sikerül. Ritka, hogy ilyen esetben a visszaállítást valahogy ne lehetne végül is megoldani, de megoldhatatlan esetekre is számos példa volt.