Tűzfal otthonra

A Windows-felhasználók másfél évvel ezelőtt kényszerűen vehették tudomásul, hogy az operációs rendszeren belül semmi korlátja nincsen annak, hogy valaki - például a Back Orifice (BO) trükkös bejuttatásával - leigázza a gépüket. A hálózaton keresztül a gép minden erőforrását átveheti a támadó, bármit letölthet és felmásolhat a kedve szerint. Ugyanígy a háttérbe húzódva láthatatlan árnyékként követheti: vajon áldozata mit néz, mit ír és mit tölt le.

A behatolóprogramok első változatukban jelszóval védettek voltak. Ha egy szerencsétlen internetezőnek a gépére bejutott valaki, beállíthatta a programot úgy, hogy csak neki engedelmeskedjen. Azóta viszont olyan backdoor programok terjednek (a terjedés útjáról lásd alább), amelyek mindenkit beengednek, aki a felnyitott gépet észreveszi. Az áldozattá vált gép minden rákapcsolódáskor megnyit egy portot, és az első szórakozást kereső átveheti rajta az irányítást. Célzottan figyelni valakit nem egyszerű, mivel a szolgáltatók minden alkalommal más IP számot osztanak ki a modemes internetezőknek (amelyik betárcsázómodemet éppen elcsípi). Viszont nem nehéz felderíteni, hogy az IP számok mely tartománya van kiosztva betárcsázós (dial-up) ügyfelek részére, akiket aztám meg lehet támadni.

Miközben a meglékelt gép tulajdonosa erősen csodálkozik a hálózat lassúságán, és a modem fényeinek felesleges villogásán, a teljes levelezését megkaparinthatják, vagy a gépén keresztül támadhatnak meg másokat. Alkalomszerűen vicces feliratok jelenhetnek meg a képernyőn - ezt inkább a NetBus gyakorolja -, például arra felszólítva a jelenlévőket, hogy legyenek szívesek kávéval megitatni a billentyűzetet.

Ha elég óvatlan az átjáróházzá vált gép tulajdonosa, és a jelszavait minden lehetséges alkalomal megjegyezteti (a tárcsázóval, a levelezőprogrammal és a böngészővel) akkor a megfelelő fájlok lemásolásával megszerezhető a hozzáférés minden rejtett dolgához. Ha például az internetszolgáltató nem enged belépni (too many sessions), nem paranoia arra gyanakodni, hogy valaki megszerezte a jelszót, és éppen lopja az előfizetést.

	A következő lépés
	A Winnuke a vita utáni következő lépés, mintegy a flame-war folytatása például IRC-n, csak más eszközökkel. A núkolás csak arra jelenthet veszélyt, akit nem véd jól beállított tűzfal, az IP száma ismert a bombázó előtt, és ráadásul készületlenül éri a támadás. Némelyik "anti-nuke" eszköz pontosan kijelzi, hogy ki bombáz bennünket, és akár vissza is lőhetünk. Ha ilyen gyerekes dolgokra nincsen időnk, jobban tesszük, ha bezárkózunk.

A házioltárnak számító, horgolt terítővel letakart otthoni gép nem csak akkor lehet kitéve az adatlopás veszélyének, amikor az internetre kapcsolódik. A rejtett szaglászóprogramok offline üzemmódban is begyűjthetik, loggolhatják a történéseket, a billentyűleütéseket, köztül például a jelszavakat. Az eredményt aztán legközelebb postázzák a megbízónak, aki otthon nyugodtan visszafejthet mindent.

A fentiekből talán kitűnik, hogy mezei felhasználóként sem árt védekezni. Triviális biztonsági szabálynak számít, hogy semmilyen bizonytalan helyről letöltött vagy elektronikus levélben érkezett dokumentumot (programot) nem szabad ellenőrzés nélkül megnyitni. Korábban ez a szabály úgy szólt, hogy elegendő az ismeretlen feladójú levelekkel óvatosnak lenni. A Melissa vírus viszont megmutatta, hogy tudtán kívül bárki terjesztője lehet a rosszindulatú elektronikus kreatúráknak.

A BO többnyire inkognitóban utazik. Hasznos(-nak tűnő) programokra akaszkodik potyautasként (trójai faló), és ahogy az eredeti fájlt lefuttatjuk, maga is berendezkedik a gépen. Megjelenésének idején sokan azonnal felismerték az adódó lehetőséget, hogy a veszélyes programot "Back Orifice mentesítőként" is szétszórják a jónép között, hátha ezzel rászedhetnek valakit.

A vírusvédelem alaphelyzetben a furmányos trójai falovak után is nyomoz. Mégis előfordulhat, hogy valamilyen program beszivárog a gépre, és a tudtunkon kívül kommunikálni akar a külvilággal. Ilyenkor már csak egy tűzfalprogram segíthet leleplezni a behatolót.

	Nyomulnak a tűzfalak
	Az AtGuard technológiát kifejlesztő WRQ-tól a Norton márkanévről ismert Symantec vásárolta meg. A Norton Internet Security 2000 az AtGuard alapjaira épül. Sajnos nincs kipróbálható verziója, de ami a cég weboldalán látszik belőle, az elég ergya. A Mcafee is hasonló tűzfalprogram kifejlesztésén dolgozik, ami leválthatja majd az öregecske Guard Dogot. Kisebb cégek ugyancsak kínálnak tűzfalakat. A Signal 9 Solutionst és a Sybergent látszólag nem vágja földhöz, hogy shareware változatban kipróbálásra letölthetővé tette ConSeal és Sybergen Secure Desktop nevű programját.

A Freedom-ról szóló cikkben mellékszálon elhangzott a szépreményű AtGuard neve, amelynek felhasználóit a kifejlesztő cég ettől az évtől nem támogatja, sőt a shareware verziót is be kívánják vonni a fellelhető letöltési helyekről.

Ez a program az internetes kommunikáció minden típusára ráugrik, és az engedély megadásáig szigorúan visszatartja. Négy választási lehetőséget kínál: mindig engedélyezni, mindig tiltani, most az egyszer engedélyezni/tiltani.

A tűzfal öntanuló, vagyis a kinyíló ablakban néhány kattintással elmagyarázható neki, hogy a böngészőprogramnak a böngészést kell engedélyezni, a levelezőnek pedig a levelek küldését és fogadását. Érdemes a feltételeket a lehető legszűkebbre venni (egy program, egy porton keresztül egy helyre mehet ki). Így az ismeretlen programok próbálkozásai mind lelepleződnek, és azt a forgalmat azonnal le lehet tiltani. Kicsit meglepő dolgokat fedezhet fel az ember, például a CNN némelyik oldala a böngészés alatt feltétlenül szeretne levélküldés ügyében valamilyen levélszerverre kapcsolódni.

A totális hálózati ellenőrzés mellett kellemes effektusként kiszűrhetők a reklámcsíkok, alapból letilthatók a maguktól kinyíló ablakok, korlátozható a Java és a Javascript valamint az ActiveX vezérlők ténykedése. Az AtGuard a böngésző beállításaitól függetlenül lecsap a kukikra is (cookie). Amire szükség van, azokat beengedi, a rosszakat élből visszadobja. Az ICQ csevegőprogram biztonsági szempontból olyan mint egy ólajtó, ez legkésőbb akkor kiderül, amikor az AtGuard-tól sorban legalább nyolc alkalommal kér különböző szerverekhez engedélyt.

Kifejezetten a trójai programok elleni védelmet szolgálja a Lockdown2000. Nem csak a kifelé menő forgalmat ellenőrzi, de a rendszer szempontjából kritikus fájlok változását is azonnal jelzi. A háttérben offline időszakokban is folyamatosan mehet a program. Ha bármi rendellenességet tapasztal, azonnal figyelmeztet, és felkínálja a változások törlését.

A gép lefagyasztására tett kísérleteket is visszaveri, és gyorsan megkeresi a támadót. (Például: Incoming hack attempt from IP Address: 207.136.9.251). Nincs esélyük az ICQ számot bombázó programoknak, és elhibázott minden, az IP "megnukeolására" tett kísérlet. Külön védőprogramokra nincsen szükség, sőt használatuk a zavaró hatás miatt egyenesen ellenjavallt. Integrált eszközként Traceroute és Whois ablakot is beépítettek a Lockdown2000-be. Ezek segítségével az IP számok visszafejthetők és lenyomozhatók.