Desatoro bezpečného počítača

Desatoro bezpečného počítača

o informačnej bezpečnosti už toho bolo napísané mnoho, nielen na tomto portáli. Nezainteresovaný „bežný“ používateľ však môže mať občas oprávnený dojem, že je zo strany bezpečnostných profesionálov neustále iba vystríhaný pred mnohými hrozbami internetu a virtuálneho prostredia, alebo zahlcovaný množstvom technických informácií z teórie informačnej bezpečnosti. A následne si tento používateľ zrejme kladie otázku, aké konkrétne kroky by mal vlastne učiniť, ak chce nadobudnúť pocit, že spravil všetko pre elimináciu hrozieb. Pozrime sa teda na informačnú bezpečnosť opäť , tentokrát však z praktického hľadiska každodenného života.

Akékoľvek umelé zostručňovanie problematiky ochrany informačných aktív by bolo kontraproduktívne. Treba ale vziať do úvahy, že je značný rozdiel medzi prístupom k ochrane na úrovni veľkej korporácie, stredne veľkej eseročky a jednotlivca, ktorý používa počítač na surfovanie internetom, či na prácu, komunikáciu a zábavu v domácom prostredí.

Napriek tomu jestvujú isté všeobecné, pomerne jednoducho uplatniteľné zásady, ktorých dodržiavanie môže prispieť ku zníženiu rizík. Skúsme si ich zhrnúť ako zoznam odporúčaní. V tomto článku sa budem venovať problematike, ktorá sa odborne nazýva „hardening“, v zjednodušenom preklade, ako upevnenie, „posilnenie“ odolnosti počítača voči štandardným hrozbám.

Na začiatok treba zdôrazniť, že vzhľadom na rôznorodosť systémov a aplikácií nie je v možnostiach tohto článku dať podrobné návody „AKO“ vykonať hardening. Nasledujúci článok sa bude venovať len otázke „ČO“ spraviť v oblasti hardeningu. A venovať sa budeme len hardeningu operačných systémov MS Windows s predpokladom, že práve operačné systémy tohto výrobcu sú na trhu majoritné a že ak niekto používa iný, než operačný systém Microsoftu, tak je natoľko znalým používateľom, že sa o hardening svojho počítača dokáže postarať aj bez našich dobre mienených rád.

 

Zásada 1.:Používajte silné heslá

 

Hrozba:

Útočník môže získať prístup k vášmu počítaču cez internet, alebo bezdrôtové siete a spôsobiť kompromitáciu údajov, alebo nasadiť škodlivý kód, ktorý mu obratom (alebo aj v neskoršom období) poslúži ku prístupu k vašim alebo cudzím údajom.

Príčina:

Heslá sú stále najpoužívanejším autentizačným prvkom v oblasti osobných počítačov.

Pokiaľ útočník získa prístup k vášmu počítaču, prípadne na úrovni správcu systému, je veľmi málo pravdepodobné, že bude ešte možné zabrániť reálnemu zneužitiu počítača.

Náprava:

Nastaviť účinné heslá pre všetkých reálnych používateľov, ako aj pre všetky generické účty, vrátane účtu administrátora.

O problematike silných hesiel som písal na inom mieste: URL

Postup pre nastavenie hesla sa v jednotlivých verziách operačných systémov až tak zásadne nelíši. Jedno však majú všetky operačné systémy spoločné – a to, že ak chcete zmeniť heslá iným používateľom, než sebe samému, musíte disponovať právom administrátora.

 

Zásada 2.: Skryte sa za firewall

 

Hrozba:

Útočník môže lokalizovať váš počítač a  najzraniteľnejšie miesto jeho pripojenia a následne tak získať prístup k vášmu počítaču cez internet, alebo cez bezdrôtové siete.

Príčina:

Všetky počítače pripojené do lokálnych počítačových sietí, alebo do internetu, musia mať pridelenú platnú IP adresu. IP adresa však nie je jediným prvkom, ktorým je identifikovaný počítač v sieti. Každý komunikačný kanál z a do počítača je ďalej determinovaný jedným alebo viacerými prístupovými bodmi, tzv. portami. Napríklad, vo chvíli, keď sa pozeráte na túto web stránku, váš počítač a server www.preventista.sk komunikujú cez port číslo 80, čo je prednastaveným portom pre prenosový protokol http, používaný pre službu www. Viac ku využitiu portov nájdete napríklad v tomto článku: URL.

Problém je, že ktokoľvek na sieti môže použiť niektorý aj voľne dostupný nástroj na tzv. scannovanie portov a tak získať prehľad o službách, ktoré využíva váš počítač. A to už je dostatočná informácia pre útočníka. Ak k tomu prirátame fakt, že niektoré zo služieb najmä v prostredí operačných systémov MS Windows sú vopred („by default“) nastavené ako otvorené, teda nechránené, zneužitie mnohých zraniteľností je pre zručného útočníka vyslovene triviálna úloha.

Náprava:

Nainštalujte si niektorú aplikáciu typu firewall, použite zabudovaný firewall operačného systému, alebo si nainštalujte hardvérový firewall. Je potrebné spomenúť, že takmer všetky sieťové prepínače a smerovače vrátane wifi prístupových bodov je možné nakonfigurovať aj na funkcie firewall-u.

Firewall (vo voľnom preklade „protipožiarna stena“) je softvér alebo zariadenie, ktoré blokuje vzdialený prístup do vášho počítača vrátane všetkých pokusov o zistenie otvorených portov. Firewall vykonáva túto službu tak, že zneprístupňuje všetky porty, pokiaľ tieto nie sú explicitne využívané na komunikáciu vyvolanú z vnútornej strany firewall-u, teda z vášho počítača smerom von. Ak bola komunikácia iniciovaná zvnútra, odpoveď príslušného servera by už mala byť vpustená späť bez obmedzenia. Pravdou však je, že firewall hodnotí každý pokus o nevyžiadanú komunikáciu z internetu, aby tak zabránil tzv. scannovaniu IP adresného rozsahu.

Ak chcete overiť, či je zapnutý zabudovaný firewall operačného systému MS Windows, poľahky to zistíte cez ovládací panel.

 

Zásada 3.:Odstráňte škodlivý kód

 

Hrozba:

Škodlivý kód, po anglicky „malware“(niekedy zjednodušene a nesprávne nazývaný aj „počítačové vírusy“)  môže zásadným spôsobom obmedziť niektoré funkcie vášho počítača, kompromitovať, alebo zničiť dáta, prípadne bez Vášho vedomia zneužiť počítač na zlomyseľné aktivity voči iným počítačom na internete.

Príčina:

Jestvuje nepredstaviteľne veľké množstvo rôznych variantov škodlivého kódu, ktoré môžu rôznymi cestami a rôznym spôsobom infikovať váš počítač.

Typickým vektorom vírusov je príloha elektronickej pošty, pričom táto cesta je stála najčastejším zdrojom infekcie počítačov, používaných neopatrnými používateľmi. Otvorenie aj na prvý pohľad nevinnej prílohy mailu zo známej adresy môže mať katastrofálne následky.

Druhým najčastejším vektorom sú webové stránky. Jednak tie, ktoré sú rizikové sami o sebe (špecificky sú to najmä webové sídla so sexuálne explicitným obsahom, alebo rôzne stránky s licenčne nekorektnými, nelegálnymi, alebo pochybnými zdrojmi). Ale žiaľ, mnohokrát sú nositeľmi škodlivého kódu aj stránky renomovaných spoločností, ktoré zanedbali ochranu voči škodlivému kódu.

Náprava:

Nainštalujte si niektorú profesionálnu antimalware aplikáciu.

K dispozícii sú mnohé voľne šíriteľné, alebo oklieštené verzie, avšak použitie antimalware balíka od niektorého zo známych výrobcov (Symantec, MacAfee, alebo slovenský ESET) poskytne účinnú obranu voči väčšine známych hrozieb tohto typu.

A následne, ak už budete mať nainštalovaný antimalware softvér, mali by ste v pravidelných intervaloch, najmenej však jeden krát týždenne spustiť komplexnú kontrolu počítača na prítomnosť škodlivého kódu. Väčšina komerčných antimalware balíkov obsahuje funkciu automatickej ochrany, preto najmenej pre načítavanie obsahu elektronickej pošty a web stránok, presnejšie povedané: pre  akúkoľvek komunikáciu prichádzajúcu v smere do vášho počítača, je odporúčané použiť rezidentný scanner.

Niekoľko drobných odporúčaní v tejto súvislosti navyše:

Predovšetkým, ak ste už rozhodnutí kúpiť antimalware program, urobte to hneď a nie až potom, keď zistíte prítomnosť škodlivého kódu. Väčšina vírusov obsahuje komponent, ktorý je schopný ukrývať sám seba, alebo obmedziť účinnosť známych typov antimalware programov. Preto, ak máte počítač „zavírený“ skôr, než ste zakúpili antimalware aplikáciu, môže sa stať, že Vám táto aplikácia už nedokáže pomôcť.

Zabezpečte aby bol váš antimalware program pravidelne aktualizovaný. Výrobcovia antivírusových prostriedkov priebežne vytvárajú nové a nové balíčky vírusových definícií (tzv. signatúr) a obnovené definície signatúr dodávajú zákazníkom prostredníctvom internetu väčšinou úplne automaticky, aby týmto spôsobom dokázali čeliť novým hrozbám. Bez aktualizácie databázy , antivírusový program nebude schopný rozpoznať nové typy škodlivého kódu.

 

Zásada 4.: Chráňte sa proti spyware a adware

 

Hrozba:

Tzv. Spyware alebo Adware programy dokážu veľmi rýchlo zamoriť váš počítač a kompromitovať dôverné osobné údaje a identity, alebo znížiť výkon počítača.

Príčina:

Spyware a Adware sú generické názvy pre skupinu programov navrhnutých za účelom zbierania dôverných dát, alebo na doručovanie reklamy. Možno to znie nevinne, avšak treba vziať do úvahy, že niektoré typy voľne šíriteľných programov pracujú tak, že na vašom počítači zhromažďujú údaje o vašom správaní na internete, alebo napríklad o vašich nákupných zvyklostiach a zasielajú ich príjemcom, ktorí si takúto „službu“ zaplatili. Tieto údaje sú následne využité najmä na marketingové účely, avšak to je len špička ľadovca. Je tu aj iná kategória tohto typu programov, ktorá je schopná priamo ovplyvňovať správanie vášho počítača na internete. A tak zistíte, že nechtiac, aj pri otvorení vašich bežne navštevovaných stránok, ste zrazu presmerovaní na pochybné stránky, o ktorých zhliadnutie ste vôbec nestáli. Relatívne najmenšou hrozbou je to, že budete donútení dookola neustále zatvárať nejaké obscénne webové reklamy.

Náprava:

Nainštalujte si niektorý softvérový nástroj na vyhľadávanie a odstraňovanie spyware.

Našťastie, mnohí vývojári venovali čas a úsilie na to, aby vytvorili kvalitný, voľne šíriteľný softvér na odstraňovanie tejto hávede zo systémov.

 

Zásada 5.: Aktualizujte operačný systém

 

Hrozba:

Škodlivý kód a útočníci môžu zneužiť novo objavené bezpečnostné diery operačných systémov MS Windows a internetového prehliadača MS Internet Explorer.

Príčina:

Windows je extrémne komplexný operačný systém, a ako taký, má samozrejme aj isté chyby a vývojové nedostatky, ktoré sa Microsoft snaží priebežne zaplátať. Na druhej strane pomyselnej barikády stoja používatelia, ktorí sa, plní entuziazmu, snažia neustále odhaľovať tieto medzery, jednak so zlým úmyslom, ale samozrejme, mnohí aj v prospech výrobcu.

Vo všeobecnosti je možné povedať, že väčšinu zraniteľností a slabín výrobca zapláta takmer okamžite po ich objavení, ba mnohokrát i oveľa skôr. Jednako však, používatelia, ktorí neaktualizujú svoje operačné systémy, sú vydaní napospas útočníkom, ktorí využívajú nástroje na objavenie nezaplátaných zraniteľností operačných systémov.

Náprava:

Udržujte svoj operačný systém neustále aktualizovaný. Windows obsahuje funkcionalitu automatickej aktualizácie, ktorá pravidelne overuje, či výrobca nepublikoval nejakú novú záplatu a pokiaľ zistí, že áno, tak ju stiahne a nainštaluje.

Použite funkciu automatickej aktualizácie operačného systému Windows Update.

 

Zásada 6.: Upracte generické účty

 

Hrozba:

Zlomyseľní používatelia sa môžu pokúsiť použiť na útok voči Vášmu počítaču zabudovaný účet správcu systému s názvom ‚Administrator‘, alebo pri vyššej zručnosti zabudovaný účet systému s názvom ‚Guest‘.

Príčina:

Isto ste si všimli, že počas inštalácie operačného systému Windows (ktorejkoľvek verzie) si inštalačný proces od vás vyžiadal vytvorenie hesla pre zabudovaný účet s názvom „Administrator“. Tento účet má (alebo dokáže získať) úplné práva na všetky súbory a konfigurácie vášho počítača. Každý, kto čo  i len zbežne pozná OS Windows, vie o existencii tohto účtu. A táto množina nepochybne zahŕňa aj potenciálnych útočníkov.

Tento účet nemôže byť uzamknutý, ani vyradený z činnosti a teda logicky býva prvým cieľom každého útočníka. Napriek tomu, že tento účet by mal byť v zmysle vyššie uvedeného odporúčania chránený heslom, stále to nie je dostatočná ochrana pred zneužitím tohto účtu na útok voči vášmu počítaču.

Na počítači zároveň jestvuje od prvej inštalácie operačnému systému aj automaticky vytvorený účet s názvom „Guest“ (t.j. návštevník). Tento hosťovský účet je určený pre používateľov, ktorí nemajú vytvorený permanentný účet na Vašom počítači či v doméne a teda nie sú autentifikovaní. Účet je určený na „obmedzený“ prístup ku Vášmu počítaču. Používatelia s týmto prístupom nemajú práva na inštaláciu softvéru, ovládačov zmenu konfigurácie, zmenu hesla, alebo zmenu či vytvorenie nového používateľského účtu. To však platí len do doby, kým tento účet nie je zneužitý zručným útočníkom.

Náprava:

Premenujte administrátorský účet a vymažte hosťovský účet.

Najprv sa však uistite, že ste sám prihlásený pod takým účtom, ktorý má práva správcu systému. Zvyčajne je ním prvý používateľ, ktorý bol vytvorený pri inštalácii operačného systému. Ak nie, vytvorte si taký účet, alebo si prostredníctvom pôvodného admin účtu zmeňte práva na správcovské.

 

Zásada 7.: Odstráňte skryté zdieľania

 

Hrozba:

Zlomyseľní používatelia môžu jednoduchým spôsobom pristúpiť ku ktorémukoľvek adresáru, alebo súboru vo vašom počítači.

Príčina:

Pre vykonávanie niektorých úloh vzdialenej správy systému používa Windows skryté systémové zdieľania. Každá logická partícia na vašom počítači je už od prvopočiatku inštalácie operačného systému zdieľaný s konvenciou názvu: „(písmeno disku)$“.Podobne skryto je zdieľaný aj samotný inštalačný adresár Windows a názvom ADMIN$.

Tieto skryté zdieľania sú prístupné len pre používateľa s administrátorskými právami, avšak pokiaľ útočník získa heslo ku administrátorskému účtu, všetky súbory vášho systému sú mu k dispozícii prostredníctvom týchto skrytých zdieľaní.

Náprava:

Odstráňte všetky skryté zdieľania adresárov.

Pokiaľ sa jedná o počítače v podnikovom prostredí, nanešťastie je existencia skrytých zdieľaných adresárov je nutná. Na domácich počítačoch však odstránenie každého nadbytočného zdieľania významne zníži hrozbu kompromitácie vašich dát na diaľku.

 

Zásada 8.: Zmeňte nastavenia prehliadača

 

Hrozba:

Niektoré typy škodlivého kódu sú schopné napadnúť váš systém napríklad prostredníctvom tzv. ActiveX prvkov, ktoré sú používané na niektorých typoch web stránok.

Príčina:

ActiveX je softvérová štruktúra vyvinutá Microsoftom, určená pre tvorbu dynamických web stránok a zdieľanie webového obsahu medzi rôznymi aplikáciami. ActiveX umožňuje vzájomnú interakciu softvérových súčastí v sieťovom prostredí bez ohľadu na jazyk, v ktorom boli tieto súčasti vytvorené. Existencia ActiveX je založená na myšlienke, že mnohé aplikácie obsahujú rovnaké funkcie, ktoré namiesto toho, aby boli programované vždy od začiatku môžu byť zdieľané medzi aplikáciami. Pomocou tejto technológie sú teda vytvárané stavebné bloky, z ktorých sú potom zostavené aj obsiahlejšie webové aplikácie.

ActiveX funguje len v prostredí MS Windows a pracuje len s aplikáciami z dielne MS (Word, Excel, Internet Explorer, PowerPoint).

Táto technológia však zároveň predstavuje i nemalú zraniteľnosť. Napríklad náhodným kliknutím na vyskakovacie (tzv. pop-up) okno, alebo aj prístupom na nedôveryhodnú stránku môžete prehliadaču nechtiac povoliť inštaláciu škodlivého kódu (napr. trójskeho koňa) do vášho počítača, zmenu niektorého ovládača hardvéru, alebo zmenu konfigurácie.

Náprava:

Zvýšte základnú úroveň bezpečnosti prehliadača MS Internet Explorer.

Našťastie, Internet Explorer sa dá nastaviť na viac reštriktívnu politiku. S takým nastavením vlastností MS Internet Explorer nebude (prinajmenšom nie bez opýtania) spúšťať určitý typ obsahu z webových stránok, a to vrátane potenciálne škodlivého ActiveX kódu. Samozrejme, toto nastavenie obmedzí  obsah spúšťaný aj z bezpečných webových stránok. To sa však dá vyriešiť tým, že známe a bezpečné stránky, na ktoré často pristupujete, pridáte do zoznamu dôveryhodných stránok v nastaveniach MS Internet Explorer-a.

Vo všeobecnosti však práve preto, že MS Internet Explorer je najrozšírenejším internetovým prehliadačom, väčšina škodlivého kódu je zamierená práve voči zraniteľnostiam prehliadača MS Internet Explorer. Tu zostáva len jedno účinné odporúčanie – naučte sa používať alternatívny, bezpečnejší prehliadač. Existuje ich nepreberné množstvo a paradoxne fakt, že MS Internet Explorer je najrozšírenejší, vôbec neznamená, že je najlepší.

 

Zásada 9: Zabezpečte zdieľané súbory

 

Hrozba:

Útočníci sa môžu dostať ku vašim zdieľaným súborom.

Príčina:

Na počítačoch so systémom Windows je v predvolenom nastavení zapnuté tzv. jednoduché zdieľanie súborov. Všetci používatelia autentifikovaní na vašom počítači majú v rovnakej pracovnej skupine, alebo doméne počítačovej siete týmto spôsobom plný prístup do vašich zdieľaných priečinkov. Pri zapnutej funkcii „jednoduché zdieľanie súborov“ sa namiesto záložiek Zabezpečenie a Zdieľanie zobrazí používateľské rozhranie jednoduchého zdieľania súborov.

Ako už bolo spomenuté, v operačnom systéme Windows existuje hosťovský účet „Guest“, ktorý umožňuje vzdialeným používateľom pristupovať aj ku zdieľaným súborom. Tento účet bez hesla umožňuje neobmedzený a nekontrolovaný virtuálny prístup ku všetkým zdieľaným dátam komukoľvek, kto pozná vašu IP adresu.

Náprava:

I keď správne nakonfigurovaný firewall by mal blokovať väčšinu prichádzajúcich spojení oplatí sa limitovať známe zraniteľnosti aj vypnutím funkcie „jednoduché zdieľanie“ a zrušením hosťovského účtu.

To potenciálneho útočníka donúti použiť niektorý z používateľských účtov, ktoré vytvoril správca systému, avšak pri dodržaní vyššie uvedených odporúčaní bude už riziko výrazne nižšie.

Dáta vždy zdieľajte len na základe vedomého rozhodnutia a vždy premysleným spôsobom, konkrétnemu autentifikovanému používateľovi.

 

Zásada 10: Vypnite všetky nepoužívané služby systému

 

Hrozba:

Každá systémová služba predstavuje potenciálnu zraniteľnosť. O to viac sú zraniteľnejšie také služby, ktoré sú dlhodobo spustené bez reálneho využitia zo strany oprávneného používateľa počítača.

Nepotrebné alebo nepoužívané systémové služby zvyšujú riziko útoku na počítač a zároveň zaťažujú systémové prostriedky počítača, čím prispievajú k jeho spomaleniu.

Príčina:

Aj keď je operačný systém Windows nepochybne najrozšírenejší a z používateľského hľadiska „priateľský“ („user friendly“),  má zároveň tú nepríjemnú vlastnosť, že sa snaží byť natoľko odolný voči neznalosti používateľa (slangovo povedané: „blbuvzdorný“), že týmto prístupom dáva skoro až komfortné možnosti zlomyseľným používateľom, ktorí sa snažia o neoprávnený prístup ku vašim dátam. Niet napríklad ani najmenšieho dôvodu, aby pre domáci počítač bola povolená a spustená služba vzdialenej podpory, alebo vzdialeného prevzatia pracovnej plochy, atď.

Náprava:

Cez ovládací panel vypnite všetky nepoužívané systémové služby a odinštalujte všetky dlhodobo nepoužívané aplikácie. Zoznamy systémových služieb a odporúčania na vypnutie nájdete na mnohých web stránkach, napríklad tu: URL.

Obmedzte všetky služby, knižnice a mikroaplikácie, ktoré sa štartujú automaticky po spustení počítača. Jeden z dobrých nástrojov, ktorý vám poskytne kontrolu nad spúšťanými službami je Autoruns od firmy Sysinternals. Tento je dostupný dokonca aj na stránkach Microsoftu: URL.

Záver

Vyššie uvedené odporúčania sú vedome formulované všeobecným spôsobom, aby bolo možné uplatniť ich nezávisle od konkrétnej verzie operačného systému Windows.

V nadväznosti na tento článok sa budeme snažiť jednotlivé odporúčania rozpracovať aj s konkrétnymi návodmi.

Na záver azda len jedna rada: ak si nie ste istí tým, čo robíte, požiadajte radšej o pomoc profesionálneho informatika. Nevhodná rekonfigurácia počítača vám nielenže nepomôže ochrániť vaše dáta, ale môže viesť k ich poškodeniu, zničeniu alebo nevedomému zvýšeniu rizika ich kompromitácie.

 

 

Na základe pôvodného článku uverejneného na stránke PCSTATS 29. Augusta 2007 „BeginnersGuides: Ten Steps to a Secure PC“ od MikeDowlera, preložil a doplnil Ivan Makatura.

http://www.pcstats.com/articleview.cfm?articleid=1598&page=3

 

 

logovpravo

Vyjadrite váš názor v komentároch