Je naš računalnik res brez okužb?

Objavljeno: 29.10.2013 | Avtor: Miran Varga | Kategorija: Nasveti | Revija: November 2013

Informacijska varnost ni samoumevna, saj lahko praktično vsak dan beremo o prevarah, zlorabah, vdorih in drugih nevšečnostih, ki so uporabnike doletele v realnem ali digitalnem svetu. Redno posodobljen protivirusni program in požarni zid naj bi uporabnikom v internet povezanih digitalnih naprav ponudila ustrezno varnost pred elektronskimi in drugimi nevarnostmi, a se vse prepogosto zgodi, da so žrtve tudi na strani »pripravljenih« uporabnikov. Zato si bomo tokrat ogledali, kako preveriti, ali je naš računalnik/sistem resnično varen.

Računalnikarji menimo, da znamo v praksi dobro poskrbeti za varnost svojih naprav, sistemov in podatkov. Ko kupujemo varnostno programsko opremo, preverimo, katera sodi med najbolj učinkovite in obenem zahteva najmanj strojnih virov, saj ne želimo, da bi varnostna rešitev dušila računalnik bolj kot morebiten virus. Toda računalniške grožnje se stalno razvijajo, zato preprosto ni zagotovila, da bo danes najboljša varnostna rešitev že jutri kos najnovejši digitalni nevarnosti. Potem so tu še hekerji, ki utegnejo najti špranjo v navidez neprebojni zaščiti in se polastiti nadzora nad našim računalnikom (in podatki).

Zavedati se velja, da smo tudi opremljeni z najboljšim protivirusnim programom, ki se redno posodablja, še vedno ranljivi. Hekerji namreč poznajo zvrhan koš zvijač, s katerimi utegnejo našo zaščito prebiti. Prav zato je pomembno, da tudi sami tu in tam preverimo, kako dobro smo pravzaprav zaščiteni pred vplivi zunanjega sveta in, če/ko ugotovimo, da nismo, ustrezno ukrepamo. V nadaljevanju zato opisujemo vrsto postopkov, s katerimi bomo preverili, kako varno je naše računalniško okolje, z računalnikom, brskalnikom in omrežjem vred.

Varnostna rešitev že v svojem osnovnem vmesniku sporoča kopico informacij o stanju zaščite.

Varnostna rešitev že v svojem osnovnem vmesniku sporoča kopico informacij o stanju zaščite.

Je varnostni program res učinkovit?

Starejši oziroma preprostejši varnostni programi se osredotočajo pretežno na zaustavljanje računalniških virusov, čeprav ti že dolgo niso prevladujoča digitalna grožnja. Varnostni program – tega vsekakor velja namestiti, pa čeprav katero izmed brezplačnih različic – naj stalno preverja dejavnost datotek v računalniku in vse povezave. Po možnosti naj to počne čim bolj nemoteče. In prav zato, ker večina protivirusnih programov svoje delo nevidno opravlja v ozadju, je težko reči, kako uspešni oziroma učinkoviti so pri tem. K sreči lahko to v praksi kaj hitro preverimo.

Pregled stanja v Upravitelju opravil

V operacijskih sistemih Windows XP, Vista in 7 najdemo ikono varnostnega programa v sistemskem kotičku (praviloma desno spodaj). To žal ne velja za operacijski sistem Windows 8 ali nekatere Microsoftove programe, npr. Windows Defender. Če bi radi na hitro preverili, ali je naša varnostna rešitev dejavna, preprosto pritisnemo kombinacijo tipk Ctrl + Alt + Del, ki bo na zaslon priklicala Upravitelja opravil (Task Manager), v nekaterih sistemih pa moramo to možnost posebej klikniti. V Upravitelju opravil se nato odpravimo pod razdelek Procesi (Processes) in poiščemo ime nameščenega varnostnega programa. V sistemih Windows Vista, 7 in 8 najdemo njegovo ime med Opis (Description), v Windows XP pa ga je malce teže prepoznati, saj je proces označen z izvajano izvršilno datoteko (ki pa večkrat vsaj spominja na ime samega programa). Če varnostnega programa na tem seznamu ne najdemo, to bržkone pomeni, da ni dejaven in da velja program čim prej zagnati ročno.

Preizkus z »virusom EICAR« daje hitre in točne rezultate. Če se na podlagi nedelovanja trenutne rešitve odločimo za zamenjavo, velja trenutno rešitev kar takoj odstraniti iz računalnika.

Preizkus z »virusom EICAR« daje hitre in točne rezultate. Če se na podlagi nedelovanja trenutne rešitve odločimo za zamenjavo, velja trenutno rešitev kar takoj odstraniti iz računalnika.

Pregled dnevnikov dejavnosti

Eden izmed enostavnejših načinov preverjanja, ali naša varnostna rešitev deluje pravilno, je že klik  ustrezne ikone. V uporabniškem vmesniku nas večina varnostnih rešitev kaj hitro opozori, če je z računalnikom kaj narobe ali pa če rešitve nekaj časa nismo posodobili ali zagnali temeljitega skeniranja sistema. Skorajda vsi varnostni programi imajo tudi t. i. dnevnik dejavnosti (activity log), kamor si zapisujejo vse dogodke. V Microsoftovih brezplačnih varnostnih rešitvah Windows Defender in Microsoft Security Essential je že v osnovnem pogledu programa izpisan datum zadnjega skeniranja in posodobitve.

Preizkus delovanja s testnim virusom EICAR

Enostaven in popolnoma varen način preizkušanja delovanja varnostne rešitve je tudi preizkus z navideznim virusom organizacije EICAR. Vsi protivirusni programi so namreč zasnovani tako, da to tekstovno datoteko prepoznajo kot virus – če jo, potem delujejo. Preizkus opravimo tako, da najprej v računalnik prenesemo testno datoteko EICAR, ki je na spletnem naslovu http://www.eicar.org/85-0-Download.html. Spletna stran nam postreže z več različicami navideznega virusa, preizkusimo lahko prav vse. Boljši protivirusni programi bodo prekinili že sam poskus prenosa te datoteke, tisti malce preprostejši pa se bodo z opozorilom oglasili takoj, ko bo datoteka prenesena v računalnik. Prav mogoče je, da bodo datoteko takoj izbrisali ali poslali v karanteno. To pomeni, da so dobro opravili svoje delo. Če pa bomo datoteko/e prenesli brez težav in brez opozoril varnostnega programa, je to znak za preplah, ki zahteva nadaljnjo analizo. Predlagamo posodobitev varnostnega programa ali celo  zamenjavo. Pri tem pomnite, da je treba stari protivirusni program vedno najprej odstraniti (po možnosti tudi na novo zagnati računalnik) in šele nato namestiti drugo/novo različico, drugače se utegneta varnostni rešitvi »stepsti« in povsem ohromiti računalnik.

Naš cilj je doseči navzven (zunanjemu svetu) neviden računalnik.

Naš cilj je doseči navzven (zunanjemu svetu) neviden računalnik.

Druga varnostna orodja

Na trgu je cela vrsta varnostnih orodij, od resnično univerzalnih rešitev do bolj specializiranih za posamezna področja. Vsaka v internet povezana naprava potrebuje poleg protivirusne zaščite tudi dober požarni zid. Operacijska sistema Windows Vista in 7 sta, denimo, že opremljena s precej zmogljivim požarnim zidom in zaščito pred škodljivo kodo (aplikacija Windows Defender). Windows 8 ima obe omenjeni rešitvi še nadgrajeni. Operacijski sistem Windows XP, ki ga še vedno najdemo v velikanskem številu računalnikov, pa je z današnjega varnostnega vidika zelo ranljiv. Vsem uporabnikom okenskih operacijskih sistemov (razen osmice) zato priporočamo namestitev brezplačnega varnostnega dodatka Microsoft Security Essentials (najdete ga na povezavi http://windows.microsoft.com/en-gb/windows/security-essentials-all-versions). Omenjeni program bo med namestitvijo tudi sam preveril, ali je nameščen požarni zid Windows Firewall.

Kot smo že omenili, zelo odsvetujemo hkratno namestitev dveh protivirusnih programov. To seveda še ne pomeni, da v računalnik ne moremo namestiti več varnostnih rešitev, še posebej, če bomo te zaganjali ročno. Ena bolj priporočljivih aplikacij, ki jih velja namestiti in občasno pognati v računalniku, je Malwarebytes Free (www.malwarebytes.org). Preverila bo vsebino diska glede morebitnih vgnezdenih škodljivih kod, ki jih je glavni varnostni program pri svojem (ne)delu spregledal.

Okna tudi nimajo vgrajene zaščite pred nezaželeno pošto, ki jo radi ponujajo obsežnejši varnostni programi. Edina zaščita, ki smo jo uporabniki s strani Microsofta še deležni ob okenskih operacijskih sistemih, je zaščita pred spletnimi prevarami, ki je navzoča v t. i. funkciji SmartScreen Filter in je na voljo v spletnem brskalniku Internet Explorer od različice 7 naprej. Med brezplačnimi orodji za čiščenje elektronskega nabiralnika sicer priporočamo uporabo dodatka Mailwasher Free (www.mailwasher.net), ki je združljiv s praktično vsemi odjemalci elektronske pošte ter z operacijskimi sistemi Windows.

Nmap je zmogljivo orodje, ki omogoča zelo podroben vpogled v dogajanje v omrežju.

Nmap je zmogljivo orodje, ki omogoča zelo podroben vpogled v dogajanje v omrežju.

Preizkus učinkovitosti požarnega zidu

Delovanje okenskega požarnega zidu lahko preizkusimo po naslednjem postopku. S kombinacijo tipke Windows in tipke R prikličemo ukazno okno za zagon, vanj vpišemo firewall.cpl in pritisnemo Enter. Odvisno od uporabljanega operacijskega sistema nam bo sistem izpisal stanje požarnega zidu. Če je ta neaktiven, ga v Windows XP aktiviramo s klikom gumba Vklop (On), v Windows Vista z izbiro možnosti Posodobi nastavitve (Update settings now), v sistemih Windows 7 in 8 pa izberemo možnost Uporabi priporočene nastavitve (Use recommended settings).

Ko smo vklopili požarni zid, oziroma se prepričali, da deluje, je čas za preizkus učinkovitosti njegovega delovanja. Oddeskamo na stran brezplačnega spletnega pregledovalnika ShieldsUP (www.grc.com/shieldsup), ki bo nato skeniral odprta vrata v naš računalnik. Vsa vrata bi morala biti privzeto zaprta (vsaj za vhodne povezave), razen tistih, za katere smo posameznim programom dovolili komunikacijo. Vrata so nekakšni virtualni »kanali«, po katerih požarni zid posameznim aplikacijam dovoljuje komunikacijo z zunanjim svetom (internetom). Zgled: vrata 80 so rezervirana za klasični spletni promet, torej večino komunikacije, ki jo opravimo s spletnim brskalnikom.

V našem primeru povezavo uporabljajo le štirje normalni programi/procesi.

V našem primeru povezavo uporabljajo le štirje normalni programi/procesi.

Na strani ShieldsUP lahko tako pridno poklikamo vse možnosti skeniranja vhodov v naš računalnik in potem skrbno preberemo komentarje o morebiti z rdečo barvo označenih »zadetkih«, saj se v njih skrivajo potencialne težave. Najnatančnejše skeniranje se skriva za možnostjo All service ports, kjer bo strežnik na drugi strani poskušal najti razpoko v naši zaščiti. Če imamo doma domači podatkovni strežnik (napravo NAS) ali drugo rešitev, ki omogoča dostop prek spleta na daljavo, bodo vrata 80 in 443 odprta. To ni razlog za preplah, vsekakor pa vam priporočamo uporabo močnih (beri: zapletenih) gesel v navezi s temi aplikacijami. Vsako drugače kot zeleno obarvano polje pomeni, da se velja varnostni vrzeli posvetiti. S prehodom mišjega kazalca nad obarvanim poljem se nam izpiše tudi številka vrat in vrsta preizkusa, zato bomo laže vedeli, kje iskati težavo. Sicer pa spletna stran GRC ponuja res obilo informacij s področja varnosti v spletu.

Na stežaj odprta vrata

Da bi ugotovili, katera aplikacija je zaslužna za »na stežaj odprta vrata«, si lahko pomagamo tudi s programom Nmap (http://nmap.org/download.html). Zadnjo okensko različico najdemo pod vnosom Latest release self-installer, prenesemo jo v računalnik in namestimo. Za delo s programom Nmap bomo potrebovali tudi naslov IP našega računalnika. Izvemo ga tako, da s kombinacijo tipke Windows in tipke R prikličemo ukazno okno za zagon, vanj vpišemo cmd in pritisnemo Enter. V oknu/ukazni vrstici, ki se nam odpre, vtipkamo še ukaz ipconfig in ga potrdimo s tipko Enter. Prikazale se nam bodo štiri skupine števil, nas pa zanima tista, ki se skriva za opisom IPv4 address. Zapisana bo v obliki štirih številk, XXX.XXX.XXX.XXX.

Zdaj, ko poznamo naslov IP računalnika, poženemo program Nmap-Zenmap GUI in številko vnesemo v ciljno polje (Target). Pri tem zadnji del števila nadomestimo z zvezdico (*), npr. 192.168.0.*. V polju Profile izberemo možnost hitrega skeniranja (Quick Scan) in poženemo skeniranje (kliknemo gumb Scan). Prikazal se nam bo seznam vseh naprav v krajevnem omrežju in njihovih odprtih vrat. Če imamo v omrežju še kak računalnik, tudi vanj namestimo Nmap in si prek Zenmap GUI ogledamo seznam odprtih/vidnih vrat v našem računalniku. Logično je, da ima vsak računalnik, ki komunicira z internetom, odprtih nekaj standardnih vrat, zato pozornost namenimo le tistim, ki jih ShileldsUP posebej izpostavi.

Kako pa najti program, ki uporablja posamezna vrata? Za začetek priporočamo zaprtje vseh aktivnih programov in sledenje poti Start > Programi > Pripomočki (Start > Programs > Accessories) ter desni klik Ukazne vrstice (Command Prompt), ki jo nato zaženemo v skrbniškem načinu (Run as Administrator). V ukazni vrstici nato vnesemo ukaz netstat -bno, ki nam bo postregel s seznamom vseh vzpostavljenih internetnih povezav in programov, ki jih uporabljajo (ime programa je navedeno v »trdih« oklepajih). Številka vrat pa je tista vrednost, ki je navedena za dvopičjem za naslovom IP (zgled: 123.456.789.012:443 označuje vrata št. 443). Večinoma gre za povsem legitimne zahtevke programov/procesov po povezavi v svet, a velja biti vsekakor zelo pozoren na vsa čudna in neprepoznavna imena izvršilnih datotek, saj se za njimi navadno skrivajo virusi in/ali škodljive kode. Če morebitnih pogosteje uporabljanih okenskih programov in njihovih procesov ne poznamo, lahko njihovo ime poskušamo poiskati na seznamu procesov, ki ga pridno objavlja stran Process Library. Dostopen je na spletnem naslovu www.processlibrary.com.

Z namestitvijo programa Secunia PSI lahko skrb za posodabljanje sistema in nameščenih programov zaupamo zanesljivemu pomočniku.

Z namestitvijo programa Secunia PSI lahko skrb za posodabljanje sistema in nameščenih programov zaupamo zanesljivemu pomočniku.

Ko odkrijemo nezaželen program, ki naš računalnik izpostavlja zunanjim nevarnostim, ga lahko poskusimo odstraniti. V Nadzorni plošči (Control Panel) uporabimo ukaz Dodaj/Odstrani program (Add/Remove programs), izberemo program s seznama in kliknemo gumb Odstrani (Remove). Če se program upira odstranitvi ali pa gre za škodljivo kodo, ga moramo najprej zaustaviti. To storimo tako, da s kombinacijo tipk Ctrl + Alt + Del prikličemo Upravitelja opravil (Task Manager), poiščemo njegov istoimenski proces ter ga zaustavimo (End Task). Zatem pa poženemo protivirusni program ali pa v prejšnji številki predstavljeni program CCleaner (www.ccleaner.com) za temeljito čiščenje registra računalnika.

Krpanje varnostnih vrzeli

Nenameščanje posodobitev sistema Windows in uporaba starejših programskih rešitev lahko pomenita resno varnostno grožnjo. Priporočamo zagon programa Secunia PSI (dostopen je na naslovu www.secunia.com/vulnerability_scanning/personal), ki bo preveril različico programskih rešitev v računalniku in nas obvestil o zastarelih programih. To fantastično brezplačno orodje stalno preverja morebitne posodobitve nameščenih programov in posodobitve sistema Windows. Če med namestitvijo programa Secunia PSI odkljukamo možnost Update programs automatically, pa bo program vse našteto počel samodejno. To možnost seveda lahko vselej vklopimo na menuju Update handling s klikom funkcije Update.

Varovanje omrežja

Varovati moramo tako domača kot poslovna omrežja, žična in brezžična. Če hekerjem uspe vdreti v domače omrežje, so v nevarnosti vse vanj povezane naprave. Prav zato velja glede morebitnih težav preveriti tudi omrežje. Kadar uporabljamo brskalnik Internet Explorer, se lahko odpravimo na spletno stran Pure Networks Security Scan (http://nmreports.linksys.com/nmscan) in s klikom gumba Start Scan poženemo namestitev dodatka, ki nato opravi temeljito skeniranje omrežja ter pripravi izčrpno poročilo o varnosti žične in/ali brezžične povezave. Žal je omenjeni dodatek za brskalnik v nekaterih sistemih (denimo Windows 8) bolj muhast in si z njim ne moremo pomagati.

Varnost usmerjevalnika

Nekateri usmerjevalniki omogočajo upravljanje na daljavo prek spletnega brskalnika. Če ne sodimo med računalniške zanesenjake, velja to možnost onemogočiti, drugače nam lahko povzroči več težav kot koristi. Nekateri usmerjevalniki imajo za privzeto geslo nastavljeno kar vrednost 0000. To je zelo nevarno, saj mora v tem primeru napadalec poznati le naš naslov IP in že se mu bo usmerjevalnik »oglasil«. Krajevno povezovanje z usmerjevalnikom je precej bolj varno, zato si velja v navodilih za uporabo usmerjevalnika ogledati, kako se onemogoči možnost upravljanja na daljavo.

S priključki in funkcijami bolje založeni usmerjevalniki omogočajo tudi deljenje naprav, priključenih na vrata USB, postavljanje datotečnih in večpredstavnih strežnikov. Če teh funkcij v krajevnem omrežju ne uporabljamo, jih kar onemogočimo, še posebej anonimni dostop FTP.

Tudi funkcija UPnP (Universal Plug and Play) sodi med priročnejše, ko želimo med napravami v omrežju deliti fotografije, glasbo in/ali filme, a hkrati omogoča, da programi opravljajo različne varnostne nastavitve v usmerjevalniku. Funkcija UPnP tako z vidika varnosti pomeni določeno stopnjo tveganja. Lahko jo poskusimo izklopiti in nato preverimo, kakšen učinek na našo uporabniško izkušnjo ima (večina usmerjevalnikov jo ima sicer že privzeto izklopljeno).

Programska oprema usmerjevalnika omogoča cel kup funkcij, ki lahko v rokah manj spretnih uporabnikov postanejo varnostne vrzeli.

Programska oprema usmerjevalnika omogoča cel kup funkcij, ki lahko v rokah manj spretnih uporabnikov postanejo varnostne vrzeli.

Zahtevna brezžična gesla

Temeljni gradnik varnosti, kot jo poznamo, so gesla. Ta uporabljamo za uporabniške račune, dostop do aplikacij, spletnih storitev in seveda tudi brezžičnih omrežij. Čeprav se zdijo kompleksna gesla prava nadloga, so v praksi zelo težko zlomljiva. Najbolj so na udaru brezžična omrežja, saj njihov domet navadno seže dlje od klasičnih žičnih povezav, pa tudi za napadalce je taka vrsta napada laže izvedljiva. Ko so hekerji enkrat v omrežju in začno prestrezati promet, ni pred njimi varna nobena naprava več. Gesla za brezžična omrežja so torej še kako pomembna. Primernost gesel lahko hitro preverimo na spletni strani Password Meter (www.passwordmeter.com), ki nam tudi svetuje, da velja uporabiti kombinacije majhnih in velikih črk ter številk. Seveda se kakovost gesla povečuje z dolžino. Poleg uporabe daljših (8 ali več znakov) gesel priporočamo tudi uporabo alfanumeričnih kombinacij znakov, saj si bodo algoritmi za dešifriranje na njih »lomili zobe«. Zelo priporočljiva je tudi uporaba enkripcije, npr. WPA2, ki napadalcem še dodatno meša štrene.

Preverimo, kdo je v omrežju

Vsaka naprava, ki se poveže v omrežje, za to početje potrebuje naslov IP. Tega ji dodeli usmerjevalnik oziroma njegov sistem DHCP. Seveda vsak usmerjevalnik tudi ve, kateri napravi in za koliko časa je podelil posamezen naslov (številko IP). Če bi radi preverili, katere naprave so prijavljene v omrežje (na usmerjevalnik), v vmesniku usmerjevalnika poiščemo možnost DHCP Client list (ali podobno). Prikazal se nam bo seznam naslovov IP.

Če na seznamu na usmerjevalnik prijavljenih naprav zaznamo kak neznan vnos (ali pa večje število naprav, kot jih imamo), je morebiti čas za razmislek o spremembi gesla ...

Če na seznamu na usmerjevalnik prijavljenih naprav zaznamo kak neznan vnos (ali pa večje število naprav, kot jih imamo), je morebiti čas za razmislek o spremembi gesla ...

Zapora naprav v omrežju

Eden najbolj posrečenih pristopov, kako blokirati neželene naprave pred vstopom v omrežje, je uporaba t. i. filtriranja naslovov MAC. Vsak omrežni vmesnik ima namreč tudi svoj naslov, t. i. naslov MAC, sestavljen iz 12 znakov (črk in številk). Če torej v svojemu usmerjevalniku vklopimo možnost filtriranja naprav po njihovih naslovih MAC, bo v omrežje pustil le naprave, katerih naslove MAC mu bomo vnesli. Če bi želeli izvedeti, kakšen je naslov MAC omrežnega vmesnika na trenutnem računalniku, se odpravimo v ukazno vrstico (Command Prompt) in vtipkamo ukaz ipconfig /all. Izpišejo se nam podatkih vseh omrežnih povezav v računalniku, z naslovi MAC posameznih vmesnikov vred – prepoznamo jih poleg oznake Physical Address. Pomniti velja le to, da tudi filtriranje MAC ni absolutna rešitev, saj nekatere naprave omogočajo poljubno spreminjanje ali kloniranje naslovov MAC ...

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!
Prijava

ph

Komentirajo lahko le prijavljeni uporabniki