Csatlakoztasd és imádkozz! - 2013.02.08 |
Megosztom: Írjon nekünk: |
Rengeteg otthoni használatú eszköz válhat hackerek prédájává az UPnP technológia súlyos hibája miatt - írta az Origo » . Ám nem kizárólag az otthoni eszközök miatt kell aggódnunk.
Nézzük meg először, milyen technológiáról van is szó! Még emlékszem azokra az időkre, amikor az első Plug and Play (Csatlakoztasd és játssz!) eszközök megjelentek. Létrehozásuk célja az volt, hogy bizonyos eszközök egyszerűen, konfigurációs lépések elvégzése nélkül legyenek használatba vehetők. A technológia annyira kiforrott volt, hogy akkoriban egyesek a PnP rövidítés alatt a Plug and Pray (Csatlakoztasd és imádkozz!) kifejezést értették, bár előfordult, hogy az imádkozás sem segített...
Ha valaki tényleg imádkozott, akkor azt a működés érdekében tette. Az, hogy az eszköz biztonságosan működik-e, akkoriban sokakban fel sem merült.
Az UPnP a PnP technológia továbbfejlesztése hálózati eszközökre. Mivel itt a hálózati összetevők automatikus kezelése történik, a biztonság kérdése is kritikusabbá vált. Ahogyan ez a legtöbb technológiában előfordul, az UPnP eszközök is tartalmaznak biztonsági réseket. Ezeket tipikusan ugyanúgy kezelik, mint ahogy más eszközök esetén szokásos: felfedezik a hibát, kidolgozzák és publikálják a javító szoftvert, majd pedig telepítik őket az érintett eszközökre. Ideális esetben ez így működik, a professzionális világban is többnyire. Persze a hibák felfedezése és a javító programok kifejlesztése között idő telik el, és ebben az időszakban fokozott a kockázat. A professzionális üzemeltetés tipikusan kezeli ezeket a kockázatokat: telepíti a megfelelő javító programokat, addig pedig, amíg ezek nem állnak rendelkezésre, letiltja a biztonsági réseket tartalmazó összetevő működését. Léteznek olyan alkalmazások is, amelyek felderítik ezeket a biztonsági réseket, valószínűsíthető, hogy a professzionális üzemeltetés során ezeket használják is.
Az UPnP technológiát alkalmazó eszközök számottevő része azonban nem tartozik egységes, professzionális felügyelet alá. Gyakran alkalmazzák ezeket otthonokban, nyilvános helyeken, kis szervezetek esetén. Emiatt gyakran előfordulhat, hogy a sérülékenységek kezelése elmarad. A nem professzionális eszközök esetén gyakori, hogy az UPnP alapértelmezés szerint is engedélyezve van úgy, hogy az üzemeltető (aki gyakran az otthoni felhasználó) esetleg nincs is tudatában a sérülékenységnek. Ezekben az estekben gyakran használnak régebbi eszközöket is, ezeket a gyártók már nem támogatják, hiába derül ki, hogy kockázatot jelentenek, nem készülnek hozzá javító programok.
A nem kezelt biztonsági rések okozta kockázat abban áll, hogy az eszköz esetleg illegális, külső kéréseket is kiszolgál, így például lehetőséget ad adatlopásra is. Nagyobb veszélyben a nem professzionális üzemeltetésű informatikai eszközök vannak, de a nagy szervezetek informatikai hálózatai is fenyegetettek.
Ha az eszközeink nem elavultak és a frissítések is megfelelőképpen megtörténtek rajtuk, akkor biztonságban érezhetjük magunkat - legalábbis ebben a tekintetben.
(IFUA Horváth & Partners, senior expert)
Címkék: hacker, IT biztonság
« vissza
Albert Gábor
tovább » |
Mezei Szabolcs
tovább » |
Solti Gábor
tovább » |
Blogunk a vállalatvezetés, a menedzsment legújabb trendjeiről, módszereiről szól. Egyperces posztok az IFUA Horváth & Partners szakembereitől.
autógyártás(3), közlekedés(2), cloud(4), felhő(3), e-kereskedelem(3), Malév(1), fizetőképesség(1), IT biztonság(13), mobilbiztonság(4), okostelefon(5), bank(9), Balanced Scorecard(1), BSC(1), stratégiai térkép(1), mutatószám(2), stratégia(5), Kék Óceán(2), Blue Ocean(2), tablet(3), iPad(2), mobil(1), mobilfizetés(2), oktatás(1), légitársaság(2), fapados(1), iBooks Author(1), interaktív könyv(1), telekom(1), pénzmosás(1), adócsalás(1), hacker(4), posta(1), mobileszköz(1), mobiloptimalizálás (1), pénzforgalom(2), zöld energia(2), szélerőmű(1), napelem(1), napkollektor(1), biogáz-erőmű(1), (11), controlling(8), operatív controlling(1), stratégiai controlling(1), folyamatköltség-számítás(1), értékesítés(7), beszerzés(6), banktitok(1), egészségügy(5), kötelező nyugdíjazás(1), hatékonyság(7), hatékonyságjavítás(3), költségmegtakarítás(1), mobilpénztárca(1), private cloud(1), hitel(3), kötvény(1), kockázat(2), termelésmenedzsment(1), shopfloor management(1), IT(3), technológiai platformok egységesítése(1), zöldenergia(1), megújuló energia(2), zöldbizonyítvány(1), bónusz(1), bónuszbank(1), prémium(1), légiközlekedés(1), repülés(1), Drucker(1), előrejelzés(1), árfolyam(2), árfolyamkockázat(1), management tanácsadás(1), teljesítménymenedzsment(1), marketing(1), üzleti intelligencia(9), business intelligence(5), BI(8), kereskedelem(3), termékinnováció(1), gyártásszervezés(1), kockázatkezelés(4), javadalmazás(2), controller(1), olimpiai aranyérem(1), csalásdetektálás(1), adatbányászat,(1), hálózatkutatás(3), SIXTEP(1), biztosítás(3), információbiztonság(1), nyugdíjbiztosítás(1), életbiztosítás(1), vezetői információs rendszer(1), könyvelés(1), omnichannel(1), multichannel értékesítés (1), vállalati értékteremtés(2), képzés(2), játékosítás(1), számítógép(1), informatika(1), kormányzati informatika(1), informatikai infrastruktúra(2), informatikai szolgáltatások(1), kkv(1), kockázatmenedzsment (1), adózás(1), adóoptimalizálás (1), lean(5), adattudomány(2), adattudós(2), data science(1), data scientist(1), kkv(1), DDoS(1), visszahívás(1), hűségprogram(1), beszámolás(2), adatvizualizáció(1), Emirates(1), orvosok(1), Kazahsztán(1), mezőgazdaság(1), élelmiszeripar(1), Disclosure Management(1), termelékenység(1), tőkehatékonyság(1), Lean Six Sigma(1), készletgazdálkodás(1), nonprofit menedzsment(1), innováció(3), adattárház(2), overprocessing(2), BI as a service(1), projektcontrolling(2), önköltségszámítás(1), felelős vállalatirányítás(1), ártárgyalás(1), hitelkiváltás(2), jelzáloghitelezés(1), portfolioblogger(39), jelzáloghitelezés(1), BYOD(1), controller szerep(2), HR(2), elemzés(2), tervezés(1), toborzás(1), vezetőképzés(1), vezetői képzés(1), digitalizáció(2), prediktív elemzés(2), prediktív analitika(2), kórházak(1), gyógyszeripar(1), terrorizmus(1), szabályzat(1), analytics(1), közösségi szervezetek(1), verseny(1), együttműködés(1), kooperáció(1), Excel(1), adat(1), dashboard(1), vizualizáció(1), fizetés(1), jövedelem(1), CapacityInsight(1), kapacitásmodellezés(1)