Élet és halál játékai a Weben….

Sok-sok évvel ezelőtt, Temesváron láttam egy színdarabot. Amelynek a szerzőjére sajnos már nem emlékszem, de mondanivalója nagyon bennem van. Az atomháború után, egy homoksivatagban próbálkoznak emberek azon, hogy megtegyék a lehetetlent,. Túlélni….Élni….

Sok-sok évvel ezelőtt, Temesváron láttam egy színdarabot. Amelynek a szerzőjére sajnos már nem emlékszem, de mondanivalója nagyon bennem van. Az atomháború után, egy homoksivatagban próbálkoznak emberek azon, hogy megtegyék a lehetetlent,. Túlélni….Élni….

Nos, a Web egy ilyen homoksivatag. Egy olyan homoksivatag, ahol ismert és ismeretlen veszélyek leselkednek rá. És csak akkor lehet esélye a túlélésre, ha sikerül ezeken a nem is ismert veszélyeken felül kerekedni.

A legfontosabb veszélyek érdekes módon mindig a saját és más országok hatóságai felől fenyegetnek. Ugyanis hajlamosak korrekt szabályozás hiányában a Web lehallgatását kissé nagyvonalúan kezelni. Ennek sajnos meg is van a következménye, aki gondatlanul a Weben hirdet mondjuk szoftvert, az nem csak saját magát sodorja veszélybe, hanem mindazokat a szerencsétleneket is, aki tőle vásárolnak. Jelenleg Magyarországon több rendőri eljárás folyik mindegyik esetben száz fölötti vádlott számmal.

A WEB egy nyílt világ. Nyíltabb, mintha a levelezőlapon adná fel valaki a féltett információit. S ráadásul emlékezik is. A WEB mély kútjából könnyen kiásható, hogy valaki ilyen vagy olyan fórumon vajon mit nyilatkozott. Vagy éppen levelezett. A WEB és annak részei adatokra a személyiségileg érzékeny adatokra éhes. Éhesek a kereskedők, mert azt hiszik, ezzel több árut sóznak el. De éhesek a hatóságok, mert ezzel a rendszerrel megtalálták a gondolatrendőrségi eljárások legkevésbé botrányt kavaró módját. De ott leskelődnek a szerzői jogvesztők is, akik mindig mindenért fizettetni szeretnének.

A felhasználóknak ebben az ellenséges világban kell lavírozniuk. Nem kell tőle félni, de tudni kell, mire számíthatunk onnan. Pontosan azt kell tenni mint a jó titkosügynöknek: amikor észreveszi a poloskát -azaz a lehallgató kézi készüléket -, nem távolítja el, hanem egyszerűen tudatába vési az ott van. Ugyanígy, aki kilép a WEB-re, e mailt küld, tudatában kell annak lennie, bizony megfigyelik, lehallgatják, és egyszer valakik valamikor majd a fejére olvassak az ott folyó dolgokat. Zsarolástól nem kell félni. Csak az zsarolható, aki hagyja magát. A gondot az egyre szaporodó gondolatrendőségi eljárások okozzak. A rendőrségnek eredményesség kell, a jogvesztőknek félelemtől remegő felhasználók. És pénz. NAGYON SOK pénz.

A legnehezebb az ilyen állami megfigyelés és lehallgatás ellen védekezni. A kereskedelmi forgalomban lévő titkosító programok, lehetnek bármilyen jónevű cég termékei nagy valószínűséggel Echelon-kompatibilisek. Ez azt jelenti, ha mások nem is, de az amerikai lehallgató rendszerek számára egy kiskapu be van építve a kódolásba. Más országok ennél nyíltabban igyekeznek megakadályozni a Web titkosítását. Ebben élen a franciák és az angolok járnak, ahol a valóban erős titkosítás használata tilos.

De titkosítani kell. Ilyenkor kerülnek előtérbe azok a megoldások, amelyeket kripto kriptográfiának nevezünk. Ekkor maga az üzenetről sem tűnik fel, hogy az egy titkosított közlemény, Egy képbe, egy hangállományba a megfelelő szoftveres megoldásokkal igencsak el lehet anyagokat  rejteni. A feltalálójáról Stegográfiának nevezett kódolási eljárás mindenképpen akkor eredményes, ha nem kereskedelmi szoftvereket alkalmaznak. Előnye akár faxon is lehet így kódolt képet továbbítani, ahol annak bedigitalizálása után visszaolvasható megfelelő programmal a kódolt információ. Az eljárás ha korrekten csináljak ma is egyike a legkorszerűbbeknek. Annak idején a magyar katonai titkosszolgálat is alkalmazta ennek egyedi megoldásait, kiváló eredménnyel.

De kisebb súlyú dolgokra a kereskedelmi megoldások is alkalmazhatóak. Hiszen nem szabad ágyúval verébre lőni. Meg nem is éri meg, hiszen az embernek csak az igazán fontos dolgokat kell és érdemes elrejteni a hálón való kommunikációban., Ugyanis, minél kisebb valaki értelmezhetetlen forgalma, annyiban kevésbé válik gyanússá, a megfigyelések alanyává. Ilyenkor alkalmazzuk a kereskedelmi titkosító szoftvereket, de kisebb súlyú és semmiképpen sem kompromittáló dolgok esetében akár kódolás nélkül is levelezhetünk. Ne gondoljuk, hogy a Word vagy a tömörítő programok titkosításai biztonságosak. A net al- és felvilágában, azaz legálisan és illegálisan rendkívül sok nagyon jó password törő programot találhatunk. Ha ott megvannak, akkor a piszkosszolgálatoknak szerte a világban miért  ne lennének?. És ha kereskedelmi szoftver, akkor pont abban miért ne lenne hátsó művészbejáró? Ne legyünk naívak. A naív és tudatlan emberek korán halnak.

Használjuk a Netet úgy, mintha nyílt képeslapot küldenénk, és akkor nem érhet meglepetés. Bár ki tudja.

A második problémát az Internetre lépőnél saját adatainak biztonsága jelenti. Azaz minél többet vagyunk a Neten, annál kevésbé vannak adataink biztonságban, ha nem védekezünk. Ugyanis a gépek, amelyek a Netre feljelentkeztek, szinte kínálják magukat a rosszindulatú támadásra, amire a rosszul konfigurált, vagy a gyárilag is csupa szita típusú operációs rendszerek szinte felhívják a rosszindulatú emberek figyelmét:. Itt vannak az adatok, tessék-tessék. Lopni-csalni, és amit még akartok. Például egy kábeltelevíziós internetes szegmensen, ha az ember körülnéz a megfelelő programok segítségével, akkor tárva nyitva hagyott Windows rendszerek tömegét találhatja. És a hackertörvényünk gumiparagrafusainak alapján lecsukható, ha erről bárkinek is szól. De nem csak az emberek, hanem a vírusok, és az internetes férgek ( a szakirodalomban Internet Worm néven szokás emlegetni ezeket a MS Windows Basic programnyelvét kihasználó rút programokat) is közlekednek a tárva nyitva hagyott, védtelen rendszereken. Őket senki sem csukja le. Sőt a titkosszolgálatok jótékony munkatársai ők, lopják az információt megbízóik számára.

A Word makrovírusok és ezek a Visual Basic férgek az emberi hülyeséget használják ki. A felhasználók ugyanis automatikusan mindent elindítanak, ami levélben érkezik. Mint amikor szokás szerint szerződnek mondjuk a biztosítóval és természetesen nem olvassák el, mi is van a szerződésre irva. Nos akár saját halálos ítéletüket is aláírjak legtöbben. Így, amikor megérkeznek a internetes férek, a felhasználó automatikusan ráklikkel, megnyitja és ezzel telepíti a gépére. A következmények pedig katasztrofálisak.

Az internetes férgekkel szinte minden megvalósítható. Nagy a gyanú, hogy a mostani vírus és féregjárványok csupáncsak tesztek. Mert hát mit is csinálnak a legújabb férge?. A Magistr névre hallgató háziállat egyik fő tulajdonsága, hogy belső szótárral rendelkezik, és bizonyos dokumentumokat keres, amelyekben a szótárban szereplő kifejezések vannak. A másik ilyen állat a SirCam. Ez egyéb tulajdonságai mellett dokumentumokra vadászik, és azt továbbküldi. Az budapesti informatikai kormánybiztosságról éppen úgy került ki anyag ezen a módon, mint az ukrán belügyminisztériumból, vagy az amerikai FBI-tól. Igaz, aki meg akarja nézni, az maga is megfertőződik, de viszonylag könnyen írható biztonságos nézegető program. És akkor lehet tobzódni az állami és üzleti titkokban. Nos, mi van akkor, ha valaki e két féregprogram képességeit összeadja. És mondjuk a gépre bejutott program adott szókapcsolat alapján keres dokumentumokat és azokat egy adott címre, mondjuk az Adóhivatal megfelelő osztályára küldi tovább. Vagy mást máshova.

Nem rémálom az ilyen feltételezés. Ugyanis 2000. év elején az amerikai kormányzat készített egy vírust, a Cannabis.OCX-et. Ennek a feladata az volt, hogy miután valaki meglátogatta az amerikai kormány droginformációs webhelyét, a nyakába kapott kis programmal mint spionnal közlekedett. Így minden meglátogatott WEB hely címét továbbította az amerikai kormány adott információs szervéhez ez a program. És milyen érdekes, a nem amerikai szoftverek ismerték fel és irtották ezt a parazitát. A dolog a múlt esztendei szeptember 11-i merényletek után csak súlyosbodott, mert megjelent a kormány hírszerző vírus programja a Magic Laterne. És ha az amerikaiak ezt megtették, miért ne tették volna meg mások? Esetleg operációs rendszert szállítók, ahol a vírus maga a csillogó vadi új operációs rendszer. Vagy egy játék, alkalmazás, vagy valami más.

A féregprogramok és vírusok ellen védekezni kell. A legjobb meg sem kapni őket. Erre a különböző antivírus szoftverek valók. Ezek közül is fel kell tételezni azt, hogy bizonyos termékek Echelon kompatibilisek. Ez azt jelenti, hogy nem ismeri fel és nem detektálja az amerikai kormány által használt víruskémeket. Éppen ezért antivírus programok esetében egy program nem program. Általában egy keleti – mondjuk izraeli vagy orosz és egy nyugati ismert antivírus programot érdemes használni. Egyszerre.

Az operációs rendszerek által tárva nyitva hagyott kapukat a tűzfalakkal lehet becsukni. Ezek olyan programok, amelyek kontrollálják a gép és a hálózat közötti kommunikációt. Itt is figyelembe kell venni a nagyhatalmi érdekeket. Azaz egy tűzfal nem tűzfal, kettő már valami. Ugyanis nem paranoia az, ha az ember feltételezi, egyes amerikai gyártók termékei itt is Echelon kompatibilisek. Azaz vannak rajta hátsó művészbejárók, Ezeket ha szükségük van rá akkor használjak. Ha pedig kiderítik, akkor a cég sajnálkozik: kérem ez bizony programhiba és sürgősen kijavítja. Esetleg újabb eddig nem ismert lukakat nyitva a rendszeren. Az Európai Unió ajánlásaiban javasolja nyilvánítsák a tagországok bűncselekménnyé a rendszerek biztonsági tesztjét, az ehhez szükséges eszközök és eljárások birtoklását és használatát. A magyar hacker törvény is ezt az euro-idióta állapotot tükrözi. vajon miért szolgáltatjuk ki magunkat más érdekeknek. Vajon miért akar az állam a vesénkbe is belelátni. Természetesen csupa jóindulatból.

Három évvel ezelőtt az amerikai Dicovery Channelen az USA-ban bemutattak egy filmet, amelynek a címe Non lethal Weapons volt. Később ez a magyar műsorban is többször vetítésre került. Ebben a filmben egy nagy rész foglakozott a James Bond szerű, de létező különleges kütyük mellett a számítógépes hadviseléssel. Pontosabban annak azon részével, amelyet egy rendőrség vagy egy ország a saját állampolgárai és ellenségesnek mondott országok állampolgárai ellen folytat. És nagyon -laikusnak talán – nagyon meglepő dolgokat mondott el.

A legmeglepőbb dolog annak beismerése volt, hogy a kereskedelmi termékek nem egészen a korrekt programozás szabályai szerint íródtak. Így természetesen van arra lehetőség, hogy a megfigyelt gépbe bejuttassanak kémprogramokat, vagy ha akarják megbénítsák azok működését. Erre természetesen akkor van lehetőség, ha ismert és nyugati kereskedelmi termékekkel ellátott rendszerekről van szó. Így például a gépek egyik legjobb távvezérlő szoftverének a trójai programként is felhasználható Netbus-Pro-nak létezik olyan katonai változata, amely a háttérben észrevétlenül települ. Egy ideig nagyon nagy vita volt arról, hogy ezt a programot az egyik leghíresebb antivírus cég szoftverei valahogyan nem hajlandóak kimutatni és ez mennyire korrekt dolog tőlük. Semennyire.

Ilyen és hasonló turpisságok sora található az informatika világában. De arról elfeledkezünk, hogy ezek a dolgok itt bizony vérre mennek. Sok esetben kisebb kár lenne abból, ha egy adat megsemmisül, semmint az, hogy illetéktelen kezekbe kerül. Emberek egzisztenciája, szabadsága függ az adatoktól, amit a gépekben tartanak.

Amikor valami probléma van, akkor a rendőrség mindig a gépek elkobzásával kezdi itthon is a dolgát. Mert az emberek ott hagyják a legtöbb nyomot életükről tevékenységükről, miként a cégek is arról, mit is tesznek valójában. Ezek azok a látszólag jelentéktelen adatok, amelyeket védeni kell. Mindenképpen az idegen tekintetektől.

A legjobb megoldás a kivehető merevlemez amit biztos helyen tárolunk, és csak akkor és annyi ideig használjuk, és csakis érzékeny adatokra, amennyire feltétlenül szükséges. Ilyenkor természetesen semmilyen hálózati kapcsolattal nem szabad rendelkeznünk. Az adatvédelemre a Linux alapú szabad forráskódú szoftverek a legalkalmasabbak, mert itt nincsen semmi trükközés, a forráskódban hozzaférhető szoftverekben a sok szem előbb utóbb kiszúrna minden tisztességtelenséget. Itt természetesen felhasználói név, jelszó páros van. Ezt korrekten KELL használni.

Külön adatvédelmi rémtörténeteket lehetne írni arról, hogy az ilyen típusú védelmet a felhasználók nem vesznek komolyan. A legegyszerűbb megoldásuk amikor a felhasználói név és a jelszó azonos. De lehet látni monitor oldalára felirt cetlit, a billentyű aljára felvésett jelszót éppen úgy, mint a családi vonatkozású, így könnyen kikövetkeztethető jelszavak sorát. Erre tanulságként szolgál az egyik legkorábbi amerikai kormányzati rendszer feltörése: akkor a felhasználói név Allah volt. S mi más is lehetne a jelszó? Mohammed…

A biztonság lépései a túlélés lépései. Érdemes megjegyezni ennek aranyszabályait:

1. Amennyiben nem egyedi szoftverek kódoltuk leveleinket egy kör számára azok biztosan hozzáférhetőek. Ha egyáltalán nem kódoljuk az olyan, mintha a postán képeslapon továbbítanánk.

1. A WEBEN minden megnyilatkozásunk regisztrálásra kerül .Évek múlva is visszakereshető ténykedésünk, véleményünk. Csak jól kell használni a keresőgépeket is. A titkosszolgálatok, közöttük a magyar is, teljesen törvényesen preventíven az Internettel elsősorban tartalom és viselkedéselemzésre épülő adatgyűjtést és lehallgatást végez. Az eredményeket éves idősorokban tárolja és összehasonlítja.

1. A gépek, ha nem védekezünk, védtelenné válunk amint a WEB re csatlakozunk. Ezért a hálózathoz kapcsolódó gépeket tűzfalprogramokkal, jól konfigurált és megbízható operációs rendszerrel kell ellátni.

1. A rendszerben a folyamatos vírusfigyelés ellenére nem indítgatunk a levelekben kapott csatolmányokat -attachementeket. Ha nem bízunk meg vagy gyanús egy küldemény, inkább töröljük, akkor is ha ismert feladótól származik. Ilyenkor meglepődünk, a feladó sem tud róla, hiszen valamilyen programféreg az ô nevében a fertőzött gépéről levelez

.

1. Egy tűzfal, egy vírusvédő program nem program. Az amerikai nagyhatalmi törekvések miatt, a beépített hátsó ajtók kivédésére mindig legalább egy keleti és egy nyugati tűzfalat és vírusvédelmi programot használjunk. Ne használjunk olyan programot, amelyik tűzfalként a gyártójával kapcsolatban akar maradni. Hasonlóképpen kerüljük az on-line jogosítást végző programokat is. Hinni a templomban kell Informatikában a bizonyosság és nem a propaganda hangereje a döntő.

1. A komoly védelmet igénylő információkat csak egyedi fejlesztésű tikosításra bízzuk. Több ország éppen a lehallgathatóság érdekében tudatosan korlátozza a használható titkosítási eljárásokat, illetve  kulcshosszúságot esetleg mindkettőt. Ilyenkor fontos titkaink védelmére használjunk stegográfián alapuló eljárásokat. DE CSAK A FELTÉTLENÜL VÉDENDŐ DOLGOKAT VÉDJÜK!

1. Jelszavaink kívülállók számára ne legyenek nyilvánvalóak. A fontos dolgok esetében rendszeresen változtassuk azokat és ne írjuk fel… Sehova.

1. Vegyük figyelembe: Az Internet egy homoksivatag, tele ismeretlen veszélyekkel. Odafigyeléssel és egy túlélési kézikönyvvel van esély a túlélésére. De ne feledjük, a leselkedő veszélyeknek legalább a természetével tisztában kell lennünk. Ha ezt nem tesszük akkor pedig ne csodálkozzunk.

Johannes

Az eredeti megjelent 2001 augusztus 6.