Magyarországot, de az egész világot is megrengette a múlt héten kirobbant Pegasus-botrány, az eddig nyilvánosságot látott információk szerint ugyanis világszerte több ezer újságíró, aktivista és üzletember okostelefonját hallgatták le, figyelték meg, az izraeli NSO nevű informatikai cég Pegasus nevű kémszoftverének segítségével. Mivel a cég állítása szerint a szoftvert csak kormányoknak értékesítik, nagy a valószínűsége, hogy a magyar célpontok – köztük az nlc.hu-t is kiadó Centrál Média tulajdonosa, Varga Zoltán – ellen a magyar kormány köreiből adhatott valaki engedélyt a megfigyelésre, bár természetesen a kormány beszélő fejei azóta azt ismételgetik, hogy nem történt ilyesmi, pontosabban, Pintér Sándor belügyminiszter úgy fogalmazott, hogy nem került sor illegális lehallgatásra. Ez utóbbihoz meg kell jegyezni, hogy Magyarországon a jelenlegi jogi környezet eléggé megengedő a lehallgatásokkal kapcsolatban, így feltételezhető, hogy valóban használták a szoftvert, legfeljebb annak „jogszabályi kellékeit”, ahogy Varga Judit igazságügyi miniszter fogalmazott, hajlították ügyesen formára.
Mivel egy egyelőre még formálódó és egyébként is elég kusza hátterű dologról van szó, jelen cikkünkben nem is a Pegasus-sztorival foglalkozunk, hanem azzal, hogy mit tehet a hétköznapi ember, hogy a telefonját és annak tartalmát biztonságban tudhassa. Aki az izraeli kémszoftver ijesztő képességeire kíváncsi, azoknak ajánljuk a 24.hu Pegasus-kisokosát. Annyit még megjegyeznénk, hogy az Amnesty International szakértői kifejlesztették az MVT (Mobile Verification Toolkit) nevű eszközt, amellyel felderíthető, hogy valakinek a telefonján ott van-e, vagy korábban ott volt-e a Pegasus. Sajnos, ez az eszköz nem elérhető egyből telepíthető applikáció formájában, de a GitHub kódmegosztó oldalról letölthető a teljes forráskódja, így megfelelő informatikai ismeretekkel már felhasználható.
Engem aztán megfigyelhetnek, nincs titkolnivalóm!
Gyakori, hogy a fenti közcímben olvasható felkiáltással söprik le az adatvédelemmel kapcsolatos kérdéseket vagy érveket, azonban, ahogy a cikkünkből ki fog derülni, nem csak azért és akkor kell az embernek védelemmel ellátnia a digitális eszközeit, ha kormányzati korrupció után nyomozó újságíróként vagy üzleti titkokkal dolgozó cégvezetőként éli az életét. Ha másért nem, hát azért, mert ma már a legtöbben vásárolnak vagy különféle szolgáltatásokért fizetnek az interneten keresztül, azt meg talán senki sem szeretné, hogy a bankkártyájával mások költenék a pénzét.
Lássuk tehát, mire és hogyan kell odafigyelni, ha IT-biztonságról beszélünk! Az elején egy picit általánosabban, a számítógépek és okostelefonok – elvégre az is csak egy hordozható számítógép – esetén is használható, általános tudnivalókat járjuk körül, a cikk második felében pedig kifejezetten a mobileszközök biztonságának szentelünk pár gondolatot.
Jelszó, jelszó, jelszó!
Akár a laptopunkról, akár az email-fiókunkról, akár a Facebook-accountunkról van szó, az erős jelszó ma már annyira alapvető, hogy nem is kellene rá szót vesztegetni, de sajnos, a gyakorlat azt mutatja, hogy ennek ellenére sokan még mindig könnyelműen bánnak a különféle bejelentkezési adataikkal, illetve, az IT-biztonsági cégek által kiadott jelentésekben a mai napig olyan, nem túl bonyolult jelszavak szerepelnek, mint a Jelszo123 vagy hasonló.
Kezdjük az elején: amikor új szolgáltatásra regisztrálunk, a legtöbb esetben már maga a rendszer figyelmeztet, hogy tessék szépen erős jelszót megadni. Az erős jelszavakban szerepelnek kis-, és nagybetűk, számok, speciális – nem alfanumerikus – karakterek, emellett nem tartalmaznak ismétlődést. Ezzel azonban tényleg csak a legalapvetőbb első lépést tettük meg. Ilyenkor sokan a kedvenc háziállatuk nevét, a születési dátumukat, a gyerek születési dátumát vagy hasonló, számukra könnyen megjegyezhető dologból faragnak jelszót, ezzel pedig máris adtak egy fegyvert azok kezébe, akik illetéktelenül próbálnak az adataink közelébe férkőzni. Az efféle adatokat ugyanis egy ügyes, rosszindulatú hacker akár nyilvánosan elérhető adatbázisokból össze tudja vadászni. Arról nem beszélve, hogy a közösségi oldalakon sokan megadják a hasonló személyes adatok egy jó részét, nem véletlen, hogy a legtöbbször ezzel próbálkoznak először a különféle felhasználói fiókok feltörésénél.
A szintén a közösségi oldalakon gyakran feltűnő játékokkal is érdemes vigyázni, és most azokra gondolok, amikor a születési adataink adják meg például az álommunkánkat, vagy, hogy melyik filmsztárral és hol lenne az ideális álomrandink – például: január: Brad Pitt, február: Antonio Banderas stb.. Ezek az első ránézésre ártalmatlannak tűnő poénok pár másodperces mosolyra fakasztják a felhasználókat, akik boldogan írják be a kommentek közé a saját megfejtésüket. Innentől pedig csupán annyit kell tennie a hackernek, hogy a táblázat alapján visszanézi, hogy ki milyen választ adott, máris hozzájutott az összes hozzászóló egyik legfontosabb személyes adatához.
Legalább ennyire fontos, hogy ahol csak tehetjük, ne maradjunk bejelentkezve. Igen, ez „macerás”, ha mindig be kell írni az e-mail-címet és a jelszót, akárhányszor belépnénk a Facebookra, de ez még így is kevesebb időt és hajtépést igényel, mintha például a banknál kellene letiltatni a hitelkártyánkat, mert valaki megszerezte a fizetési adatainkat.
Szintén gyakori jelenség és látvány egy-egy irodában körbenézve, a monitorok szélére ragasztott színes cetlik serege, amelyeken a különféle jelszavakat – minősített esetben jelszavakat, belépési neveket, és ráadásul még az adott szolgáltatás nevét – tárolják a feledékeny kollégák. Eszményi terep ez egy hackernek, hiszen így akár egyetlen gyors fotó elkattintásával hozzáférhet az email-fiókunkhoz, az ügyfélkapunkhoz, rosszabb esetben pedig akár a bankszámlánkhoz is. Mindezt úgy, hogy egyetlen digitális eszközt sem kellett feltörnie, csupán valami mondvacsinált indokkal bejutni az adott irodaházba. Ez pedig távolról sem olyan nehéz, mint hinnénk, mert rossz esetben egy frissen vásárolt meleg pizzával, meg némi magabiztossággal máris átjuthatunk a recepcióson vagy biztonsági őrön is.
A jelszavak megjegyzését segítik az úgynevezett jelszómenedzser alkalmazások (mint például a LastPass vagy a 1Password), ezek hátránya, hogy ha sikerül hozzáférni ehhez az egy fiókunkhoz, máris minden más jelszavunkhoz hozzá lehet férni. Ettől függetlenül, az IT-biztonsági szakemberek közül sokan javasolják a használatát, mert azért még így is biztonságosabb, mint a monitor szélére ragasztott papírok. A legjobb azonban, ha kitalálunk valamilyen rendszert, ami alapján meg tudjuk jegyezni, hogy hol, milyen jelszót használunk.
Gyakran hallani napjainkban a kétlépcsős azonosításról (Two-factor Authentication, 2FA), amelynek lényege, hogy egy online felületre való belépéskor a jelszón kívül egy második biztonsági ellenőrzésen is át kell esni. A leggyakoribb, hogy ilyenkor a telefonunkra, vagy egy általunk megadott emailcímre küldenek egy kódot, amit be kell ütni, ez azért jó, mert hiába szerezte meg valaki a jelszavunkat, ha ezek után nem fér hozzá a telefonunkhoz, vagy az email-fiókunkhoz, nem sokra megy magával a jelszóval. Annyit azért megjegyeznénk, hogy szigorúan tilos mindenhol ugyanazt a jelszót használni, hiszen akkor elég egyetlen fiók hozzáférést megszerezni, hogy utána bárhová be tudjanak lépni a támadók. Szerencsére ma már egyre több szolgáltatás megköveteli a kétlépcsős azonosítást, ahol azonban ez nem kötelező, ott is érdemes bekapcsolni, ha lehetőség van rá.
A gyenge láncszem: az emberi tényező
Megadhatunk bármilyen trükkös jelszót, ha egyébként nem figyelünk a környezetünkre, vagy könnyen kiadjuk magunkat az ismeretleneknek. A legjobb hackerek ugyanis éppen azok, akik könnyűszerrel képesek kihúzni másokból érzékeny adatokat, akár úgy, hogy az adott célpont vagy áldozat ezt észre sem veszi. A pszichológiai manipuláció vagy pszichológiai befolyásolás (social engineering) lényege, hogy egy jogosultsággal rendelkező felhasználó olyan, jogosulatlan személy számára adjon át bizalmas adatokat, aki ezzel aztán visszaél.
Ennek az egyik legszomorúbb és legaktuálisabb példája a mostanában gyakran előforduló, úgynevezett „unokázós” csalás, amikor a csalók jellemzően idős embereket hívnak fel, és azt hazudják nekik, hogy az unokájuk bajba került – balesetet szenvedett, bevitték a rendőrségre vagy hasonló. Az elkövetők ilyenkor az említett unoka barátjának adják ki magukat és megkérik a célpontokat, hogy bizonyos összeget adjanak át nekik, mert ennyibe kerül a bajba jutott unoka kisegítése. Egyértelmű pszichológiai manipuláció, hiszen ki ne tenne meg bármit, hogy segítsen a bajba keveredett rokonán.
Hasonló megtévesztéssel azonban sokszor még nagy cégek vagy épp állami szervezetek ügyintézőit is meg lehet vezetni, ha például valaki kellő magabiztossággal állítja, hogy informatikai karbantartást jött végezni. A kilencvenes évek legendás hackere, Kevin Mitnick pedig egy közérthető példán keresztül világított rá, hogy sokszor elég egy teljesen hétköznapi tárgy is, hogy még a gyanú árnyéka is leperegjen rólunk. Amikor ugyanis egyszer megkérdezték tőle, hogy mi az az egyetlen tárgy, amellyel a lehető legszabadabban tud mozogni egy irodaházban, Mitnick annyit mondott: egy bögre kávé. Egy kávésbögrét szorongató embert valószínűleg senki nem fog megállítani, vagy megkérdezni, hogy mit keres ott, hiszen láthatóan valakitől – aki a cég, avagy a „törzs” tagja – kapott már kávét, tehát biztos, hogy hivatalos ügy miatt van az épületben.
Így védd meg az okostelefonodat, mobilodat!
Mivel napjainkban már a legtöbben a vécéig sem mennek el az okostelefon nélkül, annak védelme mindennél fontosabb, különösen, hogy a digitális technológia fejlődésének köszönhetően ma már sokan használják a telefont virtuális bankkártyaként, tévétávirányítóként, illetve a különféle okoseszközök – amelyek informatikai sérülékenysége egy külön cikket is megérne – vezérlőpultjaként, így elengedhetetlen, hogy a telefonunkat legalább annyira védjük, mint tesszük azt a pénztárcánkkal, lakáskulcsunkkal vagy a személyes iratainkkal.
Ennek első lépése, hogy a telefonon használt felhasználói fiókhoz a fentiekben részletezett módon jó erős jelszót találjunk ki, amit aztán tényleg ne osszunk meg senkivel. Már csak azért sem, mert a telefonkönyvünkön, kontaktlistánkon keresztül akár mások adataihoz is hozzáférhetnek az illetéktelen behatolók, aminek mi sem örülnénk fordított helyzetben.
Ha megvan a jó erős jelszó, léphetünk tovább: állítsunk be képernyőzárat, ezt ma már minden okostelefonnal meg lehet tenni. Lehet egy négy, vagy hat számjegyű kód, egy a képernyőre rajzolt minta, de a modernebb készülékeken már ujjlenyomat-olvasó, illetve kamerás azonosítás is szerepel – utóbbinál a telefon kamerája érzékeli az arcvonásainkat és csak akkor oldja fel a zárat, ha a jogos tulajdonos arcát „látja”. Természetesen ezek közül egyik sem atombiztos megoldás – mint ahogy az informatikai biztonság terén ilyenről gyakorlatilag nem beszélhetünk – azonban ezzel máris kizártuk az alkalomszerű elkövetőket, és a képzettebb próbálkozók dolgát is sikerült megnehezítenünk. Az ujjlenyomat-olvasók és a kamerás megoldás helyett azért érdemes inkább olyan megoldást választani, ami elfér a fejünkben, ezek az eszközök ugyanis nem mindig működnek megbízhatóan, illetve előfordulhat, hogy valamilyen sérülés miatt – például az elvágott ujjunkra ragasztott ragtapasz – nem tudjuk használni ezeket a lehetőségeket.
A következő lépés a telefonunkon futó operációs rendszer (leggyakrabban Android vagy iOS) frissítése a legújabb verzióra. Ezt sokan elhanyagolják, vagy csak a vállukat vonogatják, ha a készüléken megjelenik az üzenet, hogy itt az ideje a frissítésnek, azonban ezt kihagyni komoly hiba. A hackerek ugyanis gyakran az ilyen operációs rendszerekben felfedezett biztonsági réseket kihasználva férnek hozzá az adatainkhoz, a készülékgyártók pedig ezeket a réseket a frissítések segítségével tudják „befoltozni”. Ha tehát értesítést kapunk, hogy itt az operációs rendszer legújabb verziója, ne habozzunk azonnal telepíteni azt. A cikk elején említett Pegasus esetén is volt rá példa, hogy az iPhone készülékeken futó iMessage üzenetküldő egy biztonsági rését kihasználva telepítették a kémszoftvert a telefonokra.
A készülékünkben egy adattároló is lapul, ahol tárolhatjuk a fotóinkat, csengőhangjainkat, illetve bármilyen fájlt, állományt, amit letöltöttünk a készülékre. A telefon beállításai között meg fogjuk találni az adattároló titkosítását (encryption) lehetővé tévő opciót, használjuk is ezt, mivel ezzel tovább nehezíthetjük az adatainkhoz való hozzáférést. Ha nem vagyunk benne biztosak, hogy a telefonunkon hol és hogyan lehet bekapcsolni a titkosítást, kérdezzük meg a szolgáltatónk ügyfélszolgálatán.
A legtöbb készülékhez beállíthatunk még egy fontos biztonsági funkciót, ez pedig a távoli törlés (remote wipe) lehetősége. Bár ez elsőre ijesztően hangzik, ezzel épp mi magunk védhetjük a saját adatainkat, ha a telefont ellopnák. Ilyenkor egy másik számítógépen bejelentkezve a felhasználói fiókunkba, kezdeményezhetjük a telefon tartalmának törlését, így hiába szerezték meg a készüléket, legfeljebb a hardver marad a kezükben. Ne feledjük, ha erős jelszót és képernyőzárat is használtunk, a fizikailag ellopott telefonba is jóval nehezebb bejutnia a tolvajnak, mintha tárva-nyitva hagynánk előtte az ajtót.
Ha mindezzel megvagyunk, már sokat tettünk az adataink biztonságáért, de még fokozhatjuk az óvatosságot: a telefonunkat rendszeresen, legalább hetente egyszer indítsuk újra. Ezzel egyrészt megnehezíthetjük, akár a Pegasushoz hasonló szoftverek dolgát is, de a telefonnal is jót teszünk, mert ellenkező esetben egy idő után lelassul, romlik a teljesítménye a sok felgyűlt „adatszemét” miatt.
Az IT-biztonság nagy része fejben dől el!
Ha a fenti lépéseket megtettük, az igazán örvendetes, de ezen a ponton muszáj megismételni, hogy nincs feltörhetetlen biztonsági megoldás. A legtöbbet azzal tehetjük adataink biztonsága érdekében, ha tudatosan használjuk a készüléket és átgondoljuk, mikor, mire és hova kattintunk, milyen alkalmazásokat telepítünk és kinek, milyen információkat adunk ki magunkról.
Amikor egy-egy alkalmazást telepítünk, az első indításnál rá fog kérdezni, hogy engedélyt adunk-e az applikáció számára, hogy hozzáférjen a telefonunk bizonyos részeihez. Például, ha telepítünk egy csevegőprogramot – mondjuk a Vibert – amellyel telefonálni is lehet, az első indításnál kérvényezni fogja a hozzáférést a címlistánkhoz. Mivel a hasonló felületeken fotókat is küldhetünk egymásnak, a szoftver a képgalériához is hozzáférést fog kérni. Ezekkel nincs gond, elvégre az üzemszerű működéshez szükség van rá, hogy a program meg tudja nézni, milyen számot is kell hívnia, és hát, a nyaralós fotókat sem tudnánk elküldeni, ha szegény szoftver nem mehet be a képtárba.
Ha viszont egy alkalmazás olyan hozzáférést szeretne kérni, ami első ránézésre gyanús – például miért is van szüksége egy játékprogramnak a telefonunk lokációs adataira? – nyugodtan tagadjuk meg az engedélyt a szoftvertől. Előfordulhat persze, hogy valóban a „normál ügymenet” miatt van erre szükség, ezt viszont látni fogjuk, ha tovább lépünk és azt tapasztaljuk, hogy az alkalmazásban valami nem működik – a legtöbb esetben ilyenkor maga a szoftver fog tájékoztatni róla, hogy az adott funkció igénybevételéhez szükség van például a lokációs adatok megadására. A lényeg, hogy legyünk résen, és mindig tegyük fel a kérdést, hogy épp miért van szüksége az adott alkalmazásnak a szóban forgó funkcióra.
Hasonló a helyzet az interneten való barangolással: bár lehet, hogy jól hangzik, ha egy weboldal azt állítja, hogy épp mi vagyunk az egymilliomodik látogatói, ezért nagy értékű ajándékot, tévét, autót, esetleg készpénzt nyertünk, de szívre tett kézzel, nyugodtan állíthatjuk: még soha senki nem nyert ilyesmit, pusztán azzal, hogy jókor lépett be egy adott weboldalra. Ugyanez igaz az e-mail-címünkre érkező furcsa levelekkel, amelyek mesés vagyonokat ígérnek, csak kattintsunk a levél végén szereplő linkre. Ennél alattomosabb, hogy a hasonló, adathalász (phising) megoldások ma már nagyon kifinomultak lehetnek, például megszólalásig utánozzák a bankunk, mobilszolgáltatónk, vagy más online szolgáltató leveleit, logóval, sőt, akár a vezérigazgató aláírásával ellátva. A hasonló levelek könnyen megtéveszthetik a felhasználókat, de azért ilyenkor is érdemes gyanakodni. Ha nem a megszokott időben érkező, pontos összeget és ügyfélazonosítót tartalmazó számlalevélről van szó, mielőtt bármit tennénk, hívjuk fel az adott szolgáltató ügyfélszolgálatát és kérdezzük meg, hogy valóban ők küldték-e a levelet. Hasonlóan járjunk el, ha esetleg rég nem látott ismerőstől érkezik olyan levél, amiben nem arról ír, hogy milyen régen nem beszéltünk, hanem esetleg csak annyi van benne: ezt nézd meg!, majd egy link. Ilyenkor is érdemes gyanakodni, hogy átverés áldozatai vagyunk.
Mint látható, bár az adataink védelméhez nem ártanak informatikai (alap)ismeretek, nagyon sok múlik azon, hogy mennyire vagyunk tudatos felhasználók és mennyire járunk nyitott szemmel a digitális és a fizikai világban egyaránt!
Még több okostelefon az nlc-n:
- Mentális egészség és a videojátékok: mit gondol a pszichológus?
- Itt a „harmadik szem”, amely vigyáz ránk, ha séta közben mobilozunk
- Vannak, akik napi 7 óránál is többet használnak mobilalkalmazásokat