A hagyományos számítógépek továbbra is célpontban gazdag kémlelési területnek számítanak. Rengetegen használják ezeket netbankoláshoz, mivel fizikailag (is) biztonságosabbak, mint a mobil eszközök. Hasonló okból, valamint a billentyűzet jelentette kényelem miatt több netes bejelentkezési adat is található rajtuk például levelezéshez vagy netes vásárláshoz. Hogyan lehet kideríteni, ha valaki illetéktelen is látja ezeket az információkat? Ha ez a helyzet, hogyan lehet gyorsan orvosolni?
Az első jele annak, hogy egy kártevő kémkedik, valójában a saját benyomásunk. Ha a számítógép érezhetően lelassult, ha az internetkapcsolatunk nem olyan gyors, mint általában, az lehet a fertőzés jele – és amúgy is megér egy vizsgálatot a teljesítményprobléma miatt. Persze kérdés, mivel végezzük az ellenőrzést, mivel nem minden víruskereső egyformán megbízható, és mindnek vannak vakfoltjai. Az AV-Test vizsgálata szerinti legjobb öt kémkereső a Kaspersky Internet Security, a BitDefender Internet Security, a Norton Security Standard, a Trend Micro Internet Security és az F-Secure SAFE. Ugyan ezekre éves szinten több dinárt kell költeni, de viszonylag jó védelmet adnak a támadások ellen. A rendszer teljesítményére gyakorolt hatásuk miatt sem kell aggódnunk, a modern keresők nem igényelnek komoly erőforrásokat.
Több kémkereső többet lát
A kémprogramok a rendszerünkbe vagy szolgáltatásként, vagy önálló programként kerülnek. Attól függően, hogy mennyire mélyen sikerült lehorgonyozniuk magukat, kikerülhetik az éppen futó védelmi programot, még annak frissítései után is. A biztonsági kutatók ráadásul rendszeresen találnak biztonsági réseket a vírusvédelmekben. Tavis Ormandy, a Google biztonsági részlegének szakértője például felfedezett egy komoly sérülékenységet a Symantec-termékekben. Azt a tényt használta ki, hogy a Symantecnek jogosultsága van kód kicsomagolására a Windows-rendszer Asztali magban, így puffer- túlcsordulásos támadással sikerült elérnie, hogy rendszermagjogokkal indíthasson el egy kártevőt, ezzel megkerülve a vírusvédelmet – és ez csak általános példa. Éppen ezért fontos, hogy ha fertőzésre gyanakszunk, soha ne csak egyetlen programmal végezzünk vizsgálatot. További kereséshez ideális a Farbar Recovery Scan Tool, amely listát készít a futó szolgáltatásokról. Csak indítsuk el a programot, és kattintsunk a Search gombra. A keresés végén a program könyvtárában találjuk az eredményt a frst.txt fájlban. Nyissuk meg, és keressük meg a Services részt, majd nézzük át, és a gyanús vagy ismeretlen bejegyzésekre keressünk rá a neten. Ha veszélyes elemre bukkantunk, indítsuk el a SpyBot Search & Destroyt, és azzal is végezzünk vizsgálatot. Ha megtalálta és eltávolította a fertőzést, majd egy újabb Farbar-menet nem talál semmit, rendben vagyunk – legalábbis ezzel az egy kártevővel. Ha a SpyBot nem bukkan rá semmire, vessük be a Malvarebytes 3.0-t, és az ESET Online Scannert.
A többszörös keresés sok esetben sikerre vezet, azonban akadnak megátalkodottabb kártevők, például rootkitek, amelyek túl mélyen rejtőznek a rendszerben ahhoz, hogy annak működése közben eltávolíthatóak vagy akár észrevehetőek legyenek. Ilyen esetben vethetjük be például a Kaspersky Rescue Disket. A program egy minimalista Linux-rendszer, amely önmagában képes futni, tehát a Windows működése nem zavarhatja a felderítést és elhárítást, így a legmakacsabb kártevőktől is megszabadulhatunk. Ha számítógépünk végre kémprogrammentes, ne felejtsük el megfelelő biztonsági csomaggal is felvértezni, amit persze frissen kell tartanunk – ahogy az operációs rendszert is. A különféle felhasználói programokhoz, amelyek nem gondoskodnak saját update-jeik beszerzéséről, használjuk a Secunia PSI-t, böngészőinket pedig a Cliqz képes ellenállóbbá tenni a kémprogramokkal szemben.
Mobiltelefonos kémvédelem
Az IDC adatai szerint az androidos készülékek piaci részesedése csaknem 90%-os. Az okostelefonok kiváló kommunikációs központok, a telefonálás, üzenet- és levélküldés mellett hozzáférhetünk velük a közösségi hálókhoz és számos webes szolgáltatáshoz. A támadók leginkább az androidos felhasználókra koncentrálnak. Megmutatjuk, hogyan lehet biztonságosabbá tenni a korosabb készülékeket is.
A Google Android rendszerében a kémprogramok rejtőzhetnek egy app belsejében, de álcázhatják magukat rendszerszolgáltatásnak is. Amennyiben a program kellően kifinomult, még az erre specializálódott szakértőknek is nehézséget jelent rábukkanni. Ez azonban (szerencsére) csak a kormányszervek által létrehozott kémeszközökre jellemző – a hagyományos, bűnözők által létrehozott változatokat legtöbbször lényegesen könnyebb kiszűrni. Az első jel ez alkalommal is a saját gyanakvásunk. Például túl sok tolakodó reklám bukkan fel böngészés közben, amik ráadásul átirányítják a böngészőt egy másik oldalra, vagy mobilunk a tudtunk nélkül küld SMS-eket – utóbbi azért több mint gyanús. Szintén feltűnő lehet egy olyan appikon, amit nem tudunk hova tenni. Az ilyet haladéktalanul töröljük, ha mégis tisztes app volt, letölthetjük újra, később. Ha felkérést kapunk APK letöltésére, ugyancsak joggal gyanakodhatunk, sok kártevő SMS-ben küldött linkekkel oldja meg a települését. A telefonszámla is jó nyom lehet, mivel összehasonlíthatjuk az ott elszámolt megabájtokat a készüléken mérttel. A legtöbb kártevő ugyanis képes saját forgalmi statisztikáit elrejteni a megtámadott rendszer és ezzel annak felhasználója elől. Így, ha a két érték között komoly, akár 50-100 megabájt az eltérés, valamelyik program adatokat forgalmazott a háttérben, például a telefonbeszélgetéseink hangfelvételét vagy a szövegbevitelünk részletes naplóját továbbította a hackereknek. Ha a fenti jelek valamelyike alapján fertőzésre gyanakszunk, a következő lépés elég egyszerű: telepítsünk egy víruskeresőt. Bár a védőprogramok többsége pénzbe kerül, a frissítésekkel megfelelő állandó védelmet ad a későbbi fertőzések ellen is, eseti és ingyenes segítségnek pedig ott a Malware bytes Anti-Malware. Amennyiben a keresőnek semmi nem tűnik fel, de még mindig úgy érezzük, hogy eszközünk kompromittálódott, saját kezünkbe kell vennünk a bizonyítást. Erre kiváló megoldás a Network Connections app, persze egyenesen a Play Áruházból. Ezzel az alkalmazással naplózhatjuk eszközünk teljes hálózati forgalmát, így könnyedén követhető lesz, mely appok és szolgáltatások hova kapcsolódnak. Ennek a módszernek azonban akad egy nagy hátránya: bár egyértelműen kiderülhet, ha egy kémprogram megfertőzte a rendszerünket, azonban annak eltávolítása szinte lehetetlen, különösen, ha mélyen beágyazódott a rendszerbe. Az esetek döntő többségében ilyenkor csak a gyári adatok visszaállítása segíthet. Ha gond van, csak a visszaállítás segít. De, mielőtt nekilátnánk ennek a lépésnek, bizonyosodjunk meg róla, hogy adatainkról készült biztonsági másolat, vagy készítsünk magunk egyet. De ne a hagyományos úton, mivel a kémprogram abban is elrejtőzhet, így a visszatöltéssel a rendszert is újra megfertőznénk. Amennyiben Google-fiókot használunk a mentéshez, ellenőrizzük, nem fertőzött-e – ennek módjáról még lesz szó bővebben a következő oldalakon. Ezután készítsük el a másolatot a MyPhoneExplorerrel. Így már nyugodtan elvégezhetjük a gyári adatok visszaállítását, majd a rendszer megfiatalítása után a saját adatainkét is a programon keresztül.
A biztonságos webes bejelentkezéssel, s online adatainkkal kapcsolatban a legnagyobb csapást az jelenti, ha a támadók hozzáférnek az e-mail-fiókunkhoz. Nemcsak az ott tárolt személyes adatok miatt, hanem mert oda érkezik a levél minden egyes webszolgáltatótól, ha például új jelszót kérnénk – vagy valaki más teszi ezt, a nevünkben. Azt, hogy valaki más hozzáfért-e a fiókunkhoz, gyakran elárulják a naplók. A gond csak az, hogy ezeket nem könnyű megtalálni a beállítások menü labirintusában. De, hol rejtőznek a Gmail szolgáltatók rendszerében? A Google levelezőrendszere igen előzékeny: azonnal értesítést küld levélben, és akár SMS-ben is, amint valaki addig ismeretlen számítógépről jelentkezik be a fiókunkba. Ez a szolgáltatás alapállapotban is aktív szokott lenni, ha mégsem ez a helyzet, vagy kikapcsoltuk korábban, érdemes elindítani. Kattintsunk a Gmail oldalán a jobb felső sarokban látható profilképünkre, és válaszszuk a Saját fiókot. Az új oldalon keressük meg az Eszköztevékenység és értesítések sort, majd annak oldalán a Biztonsági értesítések beállításai alatt a Beállítások kezelése linket. Itt beállíthatjuk, hogyan értesítsen minket a rendszer, ha valaki megpróbál hozzáférni a fiókunkhoz. Amennyiben ilyen értesítést kapunk a jövőben, és nem mi magunk okoztuk egy új eszköz vagy böngésző használatával, akkor nagy az esélye, hogy valaki kémkedik utánunk. Térjünk vissza az Eszköztevékenység és értesítések menüjébe, ahol válasszuk az Eszközök áttekintése lehetőséget. Itt megnézhetjük, hogy az utóbbi 28 napban milyen eszközök és böngészők próbáltak kapcsolódni a fiókunkhoz.
Ha a Google listáján ismeretlen eszközre bukkanunk, két dolgot kell tennünk haladéktalanul. Az első és egyszerűbb feladat a jelszóváltás, a másik az esetleg bejutott támadó kizárása. Mivel a sikeres bejelentkezéssel a támadó létrehozott egy jelszótokent is, így a belépőkód cseréje önmagában nem elég. A token ugyanis egy egyéni hozzáférési kulcs, amellyel a PC vagy okostelefon beléphet a szolgáltatásba, és változatlanul működni fog még akkor is, ha új jelszót adunk meg, egészen addig, amíg magát a tokent nem deaktiváljuk. Gmail alatt ehhez lépjünk be a Saját fiókunkba, majd a Társított alkalmazások és webhelyek menüjébe, ott pedig kattintsunk az Alkalmazások kezelésére. A megjelenő ablakban láthatjuk azokat a szolgáltatásokat és eszközöket, amelyek ilyen magas szintű hozzáférést kaptak. Ha nem tudjuk, melyik token melyik eszközünkhöz tartozik, a biztonság kedvéért töröljük mindet – ennek az egyetlen hátránya, hogy újra kell engedélyeznünk saját eszközeinket a későbbiekben.
Ugyan az Apple iOS rendszere biztonságosabb, de nem sebezhetetlen, jobban védett a kártevők ellen, ennek ellenére az iOS-felhasználók is a kémek áldozatául eshetnek. A legtöbb kártevő azokon a biztonsági réseken át juthat be a rendszerbe, amelyeket a Jailbreak telepítésére is használnak, ezért a legfontosabb (főleg használt telefon vásárlásakor), hogy ellenőrizzük, jailbreakelték-e a készülékünket. Ehhez telepítsük a G Data Internet Securityt az App Store-ból, amely elindulása után ellenőrzi, hogy a rendszer bizonyos területeit megváltoztatta-e valamilyen kártevő. Amennyiben a válasz igen, hasonlóan kell eljárnunk, mint az androidos készülékek esetében, csak éppen az asztali iTunes programon keresztül. Biztonsági másolathoz azonban ne az iTunest, hanem az iCloudot használjuk, utóbbi előnye ugyanis, hogy az Apple csak személyes adatok tárolására használja. Kedvenc appjaink pedig majd a helyreállítás során az eredeti App Store-ból kerülnek fel újra a készülékünkre, így az egész eljárást elindító fertőzésnek esélye sincs visszatérni. Sajnos nem elég a biztonsághoz, ha megmaradunk az operációs rendszer keretein belül. Jailbreak nélkül is elég, ha egy appot manipulálnak, hogy hozzáférjen a mikrofonhoz a háttérben. Ahogy teljesen szabályos, App Store-ból beszerezhető programok között is akad olyan, amely hasonló módon kémkedhet. Szerencsére ennek kiderítése elég egyszerű: ellenőrizzük a készülék beállításaiban, mely programoknak van hozzáférésük a mikrofonhoz és a kamerához. Ehhez a Beállításokban koppintsunk az Adatvédelemre, és ott a Mikrofon és Kamera alatt megnézhetjük, mely appok kértek hozzáférést. Ugyanígy deríthetjük ki, hogy mely programok kapnak GPS-adatokat, méghozzá a Helymeghatározás pont alatt. Ha bármelyik listán olyan appot találunk, amelynek szerintünk nincs feltétlen szüksége ezekre a jogokra, egy mozdulattal letilthatjuk.
WhatsApp-tartalom a böngészőben
A legtöbb üzenetküldő szolgáltatás már biztonságos titkosítást használ az adattovábbításhoz. Ahogy a CIA kiszivárgott adatai is sejtetik, aki ezeknek a szolgáltatásoknak az adataira vágyik, annak egyszerűbb az okostelefonhoz hozzáférnie, amelyen éppen futtatják. Több mint egymilliárd felhasználójával a WhatsApp vitathatatlanul a legnépszerűbb üzenetküldő. Megmutatjuk, hogyan kémlelhetőek ki az itt küldött információk, és mit tehetünk a megvédésükért.
Biztonsági szakértők szerint veszélyforrás a WhatsApp Web, amelylyel kényelmesen, böngészőből nyithatjuk meg a tárolt információkat, olvashatjuk a beszélgetéseket, és akár új üzenetet is küldhetünk. De ez a kényelem veszélyeket is rejt: elég, ha lezárás nélkül magára hagyjuk egy időre a mobilunkat, és a WhatsApp QR-kódbeolvasójával bármely kollégánk beléphet a webszolgáltatás oldalán, azaz hozzáférhet minden korábbi üzenetünkhöz, és újakat is küldhet a nevünkben. Ha arra gyanakszunk, hogy ezt meg is tette valaki, nyissuk meg mobilunkon a WhatsAppot, és koppintsunk a Beállításokra, majd a WhatsApp Webre. A kijelentkezés minden számítógépről paranccsal minden webes hozzáférést törölhetünk. Hogy a hasonló eseteket megelőzzük, arra a legegyszerűbb megoldás a képernyő zárolásának beállítása a mobilunkon. Ezzel nemcsak a WhatsApp-hozzáférésünket védhetjük meg, de a készülék elvesztése vagy ellopása esetén is felettébb hasznos lehet, ha nem tud bárki körülnézni a fiókunkban és az appjainkban. Az egyszerűbb házi módszer mellett olyan kártevők is támadják a WhatsAppot, amelyekkel a hacker titokban készíthet fényképeket rólunk. Ez ellen a legegyszerűbb egy kameratakaró lappal védekezni. Mellette persze érdemes megfelelő szoftveres védelemről is gondoskodni. Természetesen azzal is sokat tehetünk a biztonságunkért, ha kizárólag a hivatalos appboltokból származó alkalmazásokat telepítünk – bár ott is előfordult már vírusos app, de ritkaságnak számít, és általában gyorsan letiltják.
A WhatsApp beszélgetéseit végpontok közötti titkosítás biztosítja. Az ehhez szükséges hitelesítési kódok közvetlenül a készülékekben találhatóak, és az app ezeket felhasználva titkosítja az üzenetet, mielőtt elküldené. Azonban szakértők már megtalálták a módját, hogy megkerüljék a titkosítást: egyszerűen lecserélik a kódot a fogadó fél eszközén, így azt ismerve, közbeékelődéses támadással juthatnak az üzenetekhez. Annak, hogy a felhasználó erről mit sem sejt, az üzenőapp beállítása az oka. A Facebook a kényelmet előnyben részesíti a biztonsággal szemben, ezért nem figyelmeztet a változásra. Szerencsére van rá lehetőség, hogy figyelmeztetést kérjünk ilyen esetekben, csak elég nehéz rátalálni a beállítások mélyén. Indítsuk el a WhatsAppot, és a Beállításokban koppintsunk a Fiókra, majd a Biztonságra, végül kapcsoljuk be a Biztonsági értesítések mutatása lehetőséget. Ha egy ismerősünk hitelesítési kódja a jövőben megváltozna, mi is kapunk róla értesítést. Ez persze nem feltétlenül jelent támadást, ugyanúgy kiválthatja, ha az illető új mobilt vett, és azon jelentkezett be, így kétség esetén mindenkinek a legjobb, ha rákérdezünk ismerősünknél a váltás okára. (A Chip alapján.)
