Nagy port kavart minap a hír, mely szerint feltörték a távoli támogatást, távoli hozzáférést és online megbeszéléseket segítő TeamViewer rendszerét. A hír gyorsan végigfutott a világban, hiszen népszerű eszközről van szó, a cég szerint egy adott pillanatban mintegy 20 millió online eszköz lóg a rendszeren, és összesen közel 1 milliárd telepítése van. Szinte a hír felröppenésével egy időben több órára le is állt a TeamViewer. Mint kiderült DDoS-támadás áldozata lett – no nem a szolgáltatás, hanem egyes DNS szerverek. A két esetnek azonban nincs köze egymáshoz. Az alábbiakban a töréssel foglalkozunk.

A törés hírét a TeamViewer cáfolta (a DDoS-támadást elismerte), és én hiszem, hogy nem csak a saját hátsójukat védik, hiszen számukra a bizalom alapvető ahhoz, hogy szolgáltatásuk sikeres legyen. Azaz ha egyszer kiderül, hogy hazudtak, az nagyjából azt jelenti, hogy bezárhatják a boltot.

Szóval keressünk egy egyszerűbb magyarázatot arra, hogy a támadók hogyan jutottak be az áldozatok gépeire, ha nem a rendszert törték fel!

Induljunk ki a kályhától, azaz a jelszótól

Tegye fel a kezét az, aki soha, de tényleg SOHA nem használja ugyan azt a jelszót két helyen. Gratulálok, ha fent van a keze, ön a felhasználók kivételes 1 százalékához tartozik. Most az hagyja fent a kezét az, aki tudja, mi az a kétlépcsős azonosítás, és használja is! Még mindig fent van a keze? Akkor ön a legtudatosabb felhasználók 0,1 százalékába tartozik. Gratulálok!

De hogy jön ez ide? Elmagyarázom.

Alapvetően a TeamViewert egy jelszó védi. Van az ideiglenes elérés, ami változó kód (ezt alapesetben célszerű kikapcsolni, és csak akkor használni, ha valakit épp be akarunk engedni), és van az állandó jelszó. Ez utóbbi nem gyári elem, nekünk kell beállítanunk. Sokan be is állítják, mert azzal kényelmesen, bárhonnan el tudják érni a gépüket. Erre is való a TeamViewer (meg persze távsegítségre).

Lássuk, mit tesz átlag felhasználó ilyenkor (nem ön, hiszen ön ugye nem átlagos felhasználó): beírja a macskája nevét (a kutyáé is jó) és a születési évszámát. Ez szuperbiztonságos jelszó, mert a macskát tiszteljük, így nagybetűvel kezdjük a nevét és van benne szám is, így az oldalak simán elfogadják. Hurrá!

Tehát felhasználónk büszke arra, hogy ilyen jó kis jelszót talált ki, lelkesen alkalmazza is mindenhol, ahová regisztrál. Mert ezt úgysem tudja más, csak ő, jó lesz mindenhová. De várjunk csak, ha mindenhová megadom, akkor minden oldal üzemeltetője tudni fogja (a francba, erre nem gondoltam!). Ezen persze könnyű túllépni, hiszen ők rendes fickók, főleg az illegális videoletöltő oldalak üzemeltetői, így tuti nem fogják használni, meg hát ugye biztos titkosítva tárolják (NEM) és ők sem férnek hozzá (DE).

De jaj, valamelyik lelkes rendszeradminisztrátor elfelejtette frissíteni a szerverét (ha tudnád, hogy hány ilyen van...), így betörtek, és vitték a jelszavakat... Lelkes adminisztrátorunk mit sem tud erről, hiszen nem törődik a szerverével. Vagy tud, csak éppen, védendő a hátsóját, jobbnak látja nem publikálni... Tehát a lelkes és jelszavára oly büszke felhasználó szuper jelszava immár tutira rossz kezekben van (valójában eddig is abban volt).

A rossz fiúk nem hülyék. Tehát miután megszerezték a jelszót, azt is megnézik, hol lehet azt használni. Valami meglepő okból a TeamViewer eddig nem jutott az eszükbe (mégsem olyan okosak, vagyis de, mert már igen), de most eszükbe jutott és kipróbálták. És örömmel látták, hogy milyen sok helyen működik a szuperbiztonságos(tm) jelszó.

Ha ön magára ismert, akkor most piszok gyorsan változtassa meg a jelszavát minden helyen teljesen egyedire: minimum 16 karakter, legyen benne kisbetű, nagybetű, szám – haladóbbak használhatnak egyéb írásjeleket is –, és SOHA nem legyen értelmes szó! És SOHA ne használja ugyan azt a jelszót két helyen!

Bonyolult jelszavakat fejben tartani?

Nyilván senkinek a feje sem káptalan. Képtelenség megjegyezni hosszú és értelmetlen karaktersorokat, amelyekben a karakterek sorrendjében nincs semmiféle logika.

Czakó Krisztián

A '90-es évek óta a hazai open source közösség meghatározó tagja. 1997-ben alapította a ProLin Kft., amely linuxos rendszeradminisztrációs szolgáltatásokat nyújtott. 2008-tól a Linux Akadémia tanára, 2015-től igazgatója.

(A fenti írás egy a Facebookon közzétett bejegyzés szerkesztett változata.)

Ezért találták ki a jelszókezelő szoftvereket. Ma már kiváló jelszókezelő alkalmazások vannak, amelyekkel titkosítva lehet tárolni a jelszavakat. Paranoid felhasználóknak például a KeePass javasolható, míg azok, akik bíznak a felhős szolgáltatásokban, próbálkozhatnak a LastPass szolgáltatással, amit tavaly ősszel vásárolt fel a LogmeIn.

Nem, rosszul gondolja, az Excel tábla nem lesz jó. És a Word sem. Ahogy a LibreOffice-t kedvelőknél az ods vagy odt sem. És semmi hasonló. Még akkor sem, ha doksit jelszóval védi. Az nem az a szint, ami megakadályozhatná a jelszó ellopását. Jobb ugyan, mintha egy jelszót használna mindenhol, de korántsem az a biztonsági szint, ami biztosítaná a nyugodt alvást. Főleg akkor nem, ha a fájlt Dropboxban tárolja, hogy biztosan mindenhonnan el lehessen érni.

És ahol van – a TeamViewernél pedig van –, használjon kétlépcsős azonosítást. A Google Authenticator erre például nagyon jó, ráadásul a TeamViewer is támogatja. Használ Gmailt? Az is tudja! Kapcsolja be! Amúgy tud SMS-sel is működni, és ingyen van, csak kapcsolja be! És minden oldalon, ahol van ilyen, kapcsolója be!

Azt persze nem hisszük el a Google-nek, hogy ő nem látja (elvben csak a telefonunkon van meg az egyszer használatos kód), de arra pont elég, hogy egy nagy lépéssel bonyolíthassuk le a bejutást. És így a támadóknak már nem elég, ha megszerzik a jelszavunkat, mert kellene a telefonunkon a Google Authenticatorban tárolt kód is. Megszerezhető? Minden bizonnyal. De az már kellően bonyolult ahhoz, hogy a legtöbb rossz fiúnak megérje vele pepecselni (mert amíg van elég gyengébb, egyszerűbb, megelégszenek azzal).

És egy utolsó tanács: ahol bekapcsoljuk a kétlépcsős azonosítást, ott az oldal ad egyszer használatos jelszavakat, amit csak akkor tud használni, ha a telefonunk nincs kéznél: elveszett, elromlott, vagy más okból veszett el az Authenticator alkalmazás adatbázisa. Ezt tegye el. De könyörgöm, ne egy Word doksiba, hanem a jelszókezelődbe, titkosítva!