Új jelszóválasztási elvárások
Image by Gerd Altmann from Pixabay
A PCLinuxOS Magazine novemberi számának egyik cikke beszámol arról, hogy a NIST (USA Nemzeti Szabványügyi és Technológiai Intézet) új ajánlásokat adott ki a jelszavak készítésére és használatára vonatkozóan. A NIST ajánlásai az USA kormány kiberbiztonsági ajánlásainak minősülnek. Noha a szervezetnek a végrehajtatásra nincsenek jogosítványai, az ajánlásait mindig megfogadják.
A jelszóképzéssel és -használattal kapcsolatos ajánlásoknak két kategóriája van, a kötelezően betartandó (SHALL, SHALL NOT) és az erősen ajánlott (SHOULD, SHOULD NOT).
Ajánlások:
3.1.1.1: Jelszavas azonosítás
A jelszót vagy az érintett választja, vagy a biztonsági tanúsítványszolgáltató generálja. Ha az utóbbi nem fogadja el a felhasználó jelszavát, mert az a szokásosan használt jelszavak jegyzékében megtalálható, kitalálható, vagy ismert, akkor a felhasználó köteles (SHALL) más jelszót választani. A jelszó összetételére tilos (SHALL NOT) más feltételeket támasztani.
3.1.1.2: Jelszóhitelesítés
A jelszavak összeállításával kapcsolatban kilenc alapvető elvárást fogalmaztak meg:
- a jelszó minimum nyolc, de lehetőség szerint tizenöt karaktert tartalmazzon;
- a hitelesítők és tanúsítványszolgáltatók számára erősen ajánlott (SHOULD), hogy tegyék lehetővé legfeljebb 64 karakter hosszúságú jelszavak használatát;
- a jelszavakban az összes ASCII nyomtató karakter, közötte a szóköz használatát lehetővé kell tenni;
- erősen ajánlott az Unicode karakterek elfogadása, ahol a jelszó hosszának vizsgálatakor minden egyes Unicode karaktert kötelező önálló karakterként értelmezni;
- a jelszavak összeállításánál tilos (SHALL NOT) további elvárást megfogalmazni, ú.m. kis- és nagybetűk, számok és szimbólumok stb. kötelező használata. Bebizonyosodott, hogy négy, vagy öt véletlenszerűen választott szó használata legalább annyira biztonságos, miközben jóval könnyebben megjegyezhető;
- tilos (SHALL NOT) a jelszavak időszakonkénti lecserélését követelni, hacsak nincs bizonyíték a felhasználó jelszavának nyilvánosságra kerülésére;
- a hitelesítők és a biztonsági tanúsítványszolgáltatók ne engedélyezzék – tiltsák meg – jelszóemlékeztető tárolását nem ellenőrzött igénylők által elérhető helyen;
- a felhasználóktól tilos ismeretalapú azonosításkérővel pl. „Mi volt az első háziállatod neve?”, vagy biztonsági kérdéssel kérni a jelszót megadásakor;
- a hitelesítők kötelesek a teljes bevitt jelszót ellenőrizni (azaz nem lehet levágni)
A követelményeket további ajánlások egészítik ki.
Unicode karakterek esetén ajánlott NFKC, vagy NFKD normalizáció alkalmazása – akit érdekel, nézzen utána.
Jelszóválasztásnál (első, vagy változtatás esetén) az ellenőrzés a teljes jelszóra terjedjen ki.
A jelszó ellenőrzésekor használt lista legyen elegendően nagy méretű, hogy brute force jelszótörési kísérlet esetén ne érje meg tovább próbálkozni.
A hitelesítők adjanak támpontot a felhasználóknak erős jelszót választani.
A hitelesítők kötelesek limitálni a lehetséges belépési kísérletek számát.
A hitelesítők kötelesek lehetővé tenni jelszókezelő használatát és erősen javasolt „beillesztés” lehetőségét biztosítani. A felhasználók szívesebben választanak erősebb jelszavat, ha jelszókezelőt használhatnak.
A felhasználók támogatása érdekében lehetővé kell tenni, hogy lássák a beírt jelszót, ha megfelelő környezetben vannak, illetve rövid ideig felvillantani a karaktert a beírás közben.
A hitelesítők és tanúsítványszolgáltatók elfogadott titkosítást és hitelesített, védett csatornát kötelesek használni a jelszó bekérésekor.
A hitelesítők kötelesek a jelszavakat külső támadás ellen védett formában tárolni. A jelszavakhoz véletlenszerű karaktereket kell adni a titkosítás előtt a nehezebb feltörés érdekében. (Salt and hash) Jóváhagyott titkosítási eljárásként a legfrissebb [SP800-132], vagy a NIST jelszótitkosítási iránymutatásai alkalmazandóak.
A hozzáadott karaktercsoport legalább 32 bites kell legyen és igyekezni kell a tárolt hash-ek egyediségre. (Itt még vannak további részletek a hitelesítők számára.)
Mivel a téma csak mint felhasználót érint, így a részletesebb értelmezéstől eltekintenék. Vegyétek ezt annak, ami -- figyelemfelhívás.
Megjelent a PCLinuxOS Magazine 2024. novemberi száma
A tartalomból:
* helyreállították a PCLinuxOS Wiki tudásbázist!;
* fedezd fel a Typst-et;
* GIMP oktató: duplán exponált kép készítése;
* jelszókészítés - új alapelvek és elváráasok;
* TTT: biztonsági másolat készítése a /home könyvtárról;
* mindenféle rövid hírek
és egyebek.
A Typst nyomdai szedő szoftver leírása igen hosszúra sikeredett, így annak fordítása sem lesz meg túl hamar, ahogy a NIST (Nemzeti Szabványügyi és Tedhnológiai Hivatal) új jelszóválasztási előírásairól szóló cikk is az. Utóbbiről majd összefoglaló készül valamikor.
Jó szórakozást!
Kedves csoporttagok,
A következő Fedora Linux kiadása kedden délután fog bekövetkezni. Onnan lehet ezt tudni, hogy megkezdödött a tükrökre feltöltés. Aki nem ismeri ezt a Linuxot, annak kipróbálásra tudom javasolni, sok fejlesztés köszönhető neki. Ilyen például pulseaudio,pipeware, wayland.
A telepítőkészletet penderive-ra a fedora által fejlesztett https://github.com/FedoraQt/MediaWriter/releases Mediawriter programmal tehetjük meg, amiből van windowsos kiadás is.
Természetesen akinek még van cd meghajtója, arra is felírható.
Fedora Linux Magazine
októberi ajánlott flatpak-programok
A Flatpak-csomagok telepítéséhez előbb fel kell rakni a Flatpak-et az adott disztribúcióra (általában a tarolóból elérhető), majd aktiválni kell a Flatpak-tárolót. (flatpak remote-add --if-not-exists flathub https://dl.flathub.org/repo/flathub.flatpakrepo). Noha a honlapjuk szerint csak 41 Linuxon és a PCLinuxOS nincs közöttük, de a Flatpak elérhető a tárolóból. A Flatpak-rőll tovább információk a Flatpak honlapjáról..
A Fedora Magazine a Flatpak-csomagok között böngészve négy kategóriából – munka, játék, alkotás és vegyes – kiemel egy-egy hasznosnak vélt programot. Az októberi ajánlatuk:
Wildcard
A Wildcard, noha a Fedora-csomagként is elérhető, ebben a hónapban a Munka kategória ajánlatába bekerült. Az alkalmazás a Gnome-projekt része és feladata a reguláris kifejezések tesztelése. Alapvetően fejlesztőknek és rendszeradminisztrátoroknak lehet hasznos az eszköz, amikor parancssorból kell különféle állományokat tesztelni.
Telepítése a flatpak install flathub com.felipekinoshita.Wildcard paranccsal lehetséges.
X-Moto
Játékok közül most a régi X-Moto programot emelte ki. Noha az X-Moto nem mai program, de folyamatosan karban tartják, legutóbb 2023-ban frissítették.
Ahogy a neve is sugallja, motorral lehet száguldozni több ezer versenypályán és csúcsokat dönteni. Érdemes a „Quick Start” gombot használni és véletlenszerű nehézségi fokot választani.
Telepítése lehet a program oldaláról, vagy a flatpak install flathub org.tuxfamily.XMoto paranccsal. A program a Fedora tárlójából közvetlenül is telepíthető.
Speech Note
A Vegyes kategória e havi választottja a Speech Note. Lehet vele feljegyzéseket diktálni, felolvastatni és több nyelvre lefordítani. Ehhez a Speech to Text-et (beszéd szöveggé), a Text to Speech-et (írás felolvasása) és a Machine Translation-t (gépi fordítás) használja. Mindez az Internet nélkül, helyi gépen történik.
A program hatalmas méretű, – 1 GB a telepítő mérete és kicsomagolva 3 GB – de érdemes kipróbálni!
Telepíthető közvetlenül a honlapjáról, vagy a flatpak install flathub flathub net.mkiol.SpeechNote paranccsal.
Easy Effects
Az alkotókedvűeknek most az Easy Effects-et ajánlja, egy fejlett hangmanipuláló eszközt, ami a PulseEffects utódja, de ez csak a PipeWire hangszerverrel dolgozik. Van benne többek között equalizer, limiter, kompresszor és reverberációs eszköz, illetve egy beépített spektrum analizátor. A program nemcsak a kimeneti hangokat, hanem a hangbemenetet (pl. mikrofon) is képes kezelni (manipulálni). Hasznos lehet hangfelvételek készítése, illetve párbeszéd során.
Telepíthető a honlapjáról közvetlenül, vagy a flatpak install flathub com.github.wwmm.easyeffects parancs kiadásával. A program egyébként a Fedora tárolójában elérhető.
Perfctl malware a Linux rendszereken
Az Ars Technica egy 2024. október 4-i cikkben számol be az Aqua Security jelentéséről. A kutatók találtak egy 2021 óta forgalomban lévő rosszindulatú szoftvert, ami a rosszul karbantartott rendszereket fertőzheti meg, vagy a CVE-2023-33426 számon jelzett (Apache RocketMQ-t érintő) sebezhetőséget kihaszbálva települhet a számítógépekre. A sebezhetőséget már javították.
A Perfctl a malware kriptóvaluta-bányászó komponensének a neve. A rosszindulatú szoftver a Linux-rendszerekben használatos processzek, vagy hasonló nevek mögé rejtőzik.
A működését számos trükkel álcázza:
- számos elemét rootkit-ként telepíti;
- működését leállítja új felhasználó bejelentkezésekor;
- kommunikációját a TOR-on folytatja;
- telepítés után törli a binárist és háttérszolgáltatásként fut tovább;
- manipulálja a pcap_loop-ot, hogy megakadályozza forgalma figyelését;
- elnyomja a végrehajtása során keletkező hibaüzeneteket.
A malware perzisztens. Újraindítás, vagy a fő komponensek törlését követően helyreállítja magát. Ehhez (1) módosítja a ~/.profile-t és (2) a lemez több helyén hoz létre magáról másolatot. A pcap_loop eltérítése is segíti a beágyazódását. A Perfctl backdoor-ként is szolgálhat más rosszindulatú szoftverek telepítéséhez.
A Perfctl jelenlétét több rendszergazda is észlelte. Például a Reddit CentOS alcsoportjában 2023 áprilisában írta egy admin, hogy két szerverén észlelt kriptóvaluta-bányász tevékenységet perfctl és perfcc névvel. Amint SSH-val bejelentkezett, a tevékenység leállt. Kijelentkezése után azonnal újraindult. A perfcc-re keresve megtalált fájlokat hiába törölte a rendszer újraindítása után a malware újraépítette magát.
Az Aqua kutatói tesztkörnyezetébe a behatoló egy eltérített számítógépről telepítette a malware-t „httpd” névvel álcázva. Futtatásakor először a /tmp könyvtárba helyezte át magát, majd lefutott – náluk sh néven –, azután törölte az eredeti binárist. Az „sh” náluk a CVE-2021-4043-as sebezhetőséget (Gpac sebezhetősége, javítva 2021-ben) kihasználva próbált jogosultságot emelni. Ezután másolta be magát a memóriából a lemez több területére, normál rendszerfájloknak álcázva. Végül telepített egy rootkit-et és a bányászó szoftvert. Alkalmanként „proxy-jacking” (proxy eltérítő) szoftvert is telepített.
Működéséhez az adatokat a /tmp könyvtárban létrehozott két alkönyvtárban tárolja, illetve környezeti változókban azokat, amik működését befolyásolják. A btmp és utmp fájlokat figyeli és új felhasználót észlelve felfüggeszti a tevékenységét. Továbbá a konkurens malware-ket kiiktatja.
Aqua Securuty képe, a telepített rosszindulatú fájlok által alkalmazott nevekről.
A malware felfedezéséhez, a fenti információkon túl, a CPU-használat hirtelen megnövekedése, vagy rendszer lelassulása – különösen a géphasználat üresjáratai idején –, adhat támpontot.
Továbbiak az Aqua Security jelentésében.