Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
Varnost
Objavljeno: 14.6.2016 | Avtor: Matej Huš | Monitor Posebna 2016

Po toči zvoniti je prepozno

Vdori, napake in okvare se dogajajo, a neodgovorno bi bilo razmišljati, da proti temu ne moremo nič. Marsikaj lahko storimo, da tveganja zmanjšamo. Dobre prakse segajo od strojnega do programskega vidika. Da bi nam računalnik čim zanesljiveje služil in nam povzročal čim manj sivih las, ga moramo vzdrževati in primerno negovati. Skrbeti moramo za posodobitve, sprotno zaščito, nadzor internetnega prometa in, ne nazadnje, tudi prezračenost. Varnostne kopije pa so seveda samoumevna preventiva.

Če imate srečo, vaš računalnik nima premičnih delov, razen morda kakšnega ventilatorja. Cenejši pa imajo klasične diske, navadno tudi optične enote, hladilni sistemi močnejših procesorjev in grafičnih kartic pa so tako ali tako inženirski dosežki bakra in lopatic. V vsakem primeru je treba računalniku privoščiti tudi strojno vzdrževanje, da bo dolgo in zadovoljno predel.

Glavni sovražniki računalnikov in elektronike nasploh so vročina, vlaga in električni tok. Proti vročini se zaščitimo tako, da imamo računalnike v primerno prezračenih ali klimatiziranih prostorih, v njih pa nameščene primerne hladilnike. Zelo priporočljivo je ohišje z vsemi špranjami nekajkrat na leto odpreti in očistiti prahu, ki ovira kroženje zraka in hlajenje sistema. Dodobra prepečen in v vse pore zažrt prah je po nekaj letih zelo težko očistiti, saj se zlasti v manj snažnih prostorih skepi v mastne, oljne kosme.

Čiščenje ventilatorjev terja nekaj pazljivosti. Pri prepihovanju ali sesanju je treba preprečiti vrtenje, drugače se lahko zasuče prehitro, kar ga bo poškodovalo, rezultat pa bo cvileč ležaj. Če enkrat na leto v ležaj kanemo kapljico finomehaničnega olja, ne bo nič narobe, absolutno pa se je treba izogibati pripravka WD40. Ta ni mazivo ali čistilo, temveč odstranjevalec rje, s to pa v računalniku ni težav.

Kar zadeva vlago in električni tok, ne moremo storiti prav veliko. Računalnika ne postavljamo v kopalnico ali klet. Električni tok je, kakršen je. In, ne, vsakodnevno vklapljanje in izklapljanje modernim računalnikom ne škoduje.

Bistveno več dela pa imamo s programskim vzdrževanjem računalnika, ki obsega varovanje pred virusi, zaščito pred vdori, čiščenje nepotrebnih ostankov, izdelovanje varnostnih kopij in drugo vzdrževanje.

Protivirusni program

Uporabniki Linuxa lahko ta odstavek preskočijo, čeprav je treba priznati, da se tudi zanje najde virus, če ga iščejo z lupo, in tudi protivirusni programi. V Windows pa je prvi korak po vsaki namestitvi sistema vedno ureditev protivirusne zaščite. Nekdaj je moral protivirusni program zlasti pregledovati datoteke na disku, danes pa je precej pomembneje, da sproti (v realnem času) varuje sistem in že med rabo preprečuje zlobni kodi, da bi se sploh ugnezdila v naš računalnik.

Avira dobro ščiti pred virusi.

V Windows 7, ki še vedno domuje v večini računalnikov, ni vgrajen protivirusni program, zato je nujno, da ga namestimo sami. Izbira je res bogata, zelo dobre izdelke pa najdemo tudi med brezplačnimi. Nenehno dobivajo najboljše ocene za delež prepoznanih okužb, uporabniški vmesnik in (ne)požrešnost sistemskih virov Avira, Panda in BitDefender, solidna pa so tudi AVG in Avast. Za domačo rabo pravzaprav ni nobenega pametnega razloga, da bi uporabljali plačljivi protivirusni program, zato priporočamo rabo Avire. Odlikuje jo ena najvišjih stopenj zaznavanja groženj (žal noben protivirusni program ne zazna vseh novih virusov), pregleden uporabniški vmesnik in predvsem nizka poraba sistemskih virov, saj minimalno upočasnjuje računalnik. Odveč je poudarjati, da je treba imeti vključeno zaščito v realnem času, hevristiko in samodejno posodabljanje.

V Windows 8 in Windows 10 je že vgrajen protivirusni program, ki se imenuje Windows Defender, v bistvu pa gre zgolj za preimenovan Microsoft Security Essentials z nespremenjenim uporabniškim vmesnikom. To ne pomeni, da ga je priporočljivo uporabljati, saj daje nadpovprečno veliko lažnih pozitivnih rezultatov, precej virusov spregleda in tudi kar znatno obremeni sistem. Zato je modro tudi v najnovejših različicah Windows namestiti Aviro ali kak drug protivirusni program, Windows Defender pa izključiti (namestitev drugega protivirusnega programa to praviloma stori že sama).

Windows Defender je brezplačno priložen Windows, kar je tudi njegova edina prednost.

Seveda noben protivirusni program ne more nadomestiti odgovorne rabe interneta, zato sumljivih datotek iz neznanih virov ne odpiramo. Če pa nas neizmerno zanima, kaj je v sumljivem PDFju, ki vam ga je v angleščini domnevno poslal prijatelj, ga odprite v virtualki z nameščenim Linuxom. Pri brskanju po spletu je nekoliko manj preprosto, ker se lahko okužimo že z obiskom legitimne strani, na katero so hekerji podtaknili povezavo do zlonamerne programske opreme. Za namerno brskanje po sumljivih straneh pa veljajo isti napotki kakor za odpiranje sumljivih PDFjev – virtualka in po možnosti Linux.

Še najhujša Ahilova peta modernih sistemov so ključi USB, saj v računalnike nezaščiteno vtikamo najrazličnejše naprave, po katerih virusi zlahka preskakujejo. Tu nam virtualka ne pomaga, zato se moramo zanesti na nameščen protivirusni program in ustrezno zakrpan sistem.

Odstranjevanje vohunskih programov

Če parafraziramo zloglasno frazo, ni vsaka nesnaga tudi računalniški virus. Odstranili pa bi jo radi kljub vsemu. V najbolj benigni obliki gre za agresivne piškotke in LSOje (local shared object), v kritičnih primerih pa za razne rootkite in keyloggerje. Tem nadlogam je kos Malwarebytes Anti-Malware, ki v brezplačni različici omogoča iskanje in odstranjevanje nesnage, v plačljivi pa tudi zaščito v realnem času in prestrezanje škodljivih spletnih strani. Njegov mlajši brat, Malwarebyte Anti-Rootkit, je še v beta stadiju in je namenjen prav odstranjevanju rootkitov.

Malwarebytes Anti-Malware je odličen pripomoček za globinsko čiščenje nesnage.

Zelo koristna aplikacija je tudi Kaspersky Security Scan, ki prav tako poišče rootkite in keyloggerje. Poleg tega identificira še celo vrsto potencialno manj varnih nastavitev sistema, denimo vklopljen autorun ali skrivanje končnic datotek (škodljive datoteke z dvojno končnico, .jpg.exe in podobno, so kljub dolgi bradi še vedno železni repertoar piscev virusov).

Windows 10 sploh ne omogoča enostavnega izklopa posodabljanja sistema.

Požarni zid

Naslednja sestavina računalniškega imunskega sistema so požarni zidovi, ki preprečujejo napade na računalnik z daljave. Poglavitna naloga požarnega zidu je omejevanje dohodnih povezav v računalnik, večina pa omogoča tudi nadzor nad odhodnimi. Požarni zidovi so pomembni, ker z zavračanjem dohodnih povezav omogočajo tudi zaščito pred neznanimi in nezakrpanimi ranljivostmi.

Comodo Internet Security temeljito ščiti pred nevarnostmi iz interneta

Tu imajo uporabniki Windows manj skrbi, saj ta že od različice XP SP2 zajema osnovni požarni zid, ki svojo nalogo, roko na srce, opravlja povsem zadovoljivo. V časih pred vgrajenim požarnim zidom so črvi sveže namestitve Windows XP okužili v nekaj minutah po priključitvi v internet (spomnite se zloglasnega Blasterja), še preden nam je uspelo namestiti vse popravke. Danes je teh težav manj. Windows Firewall v ozadju blokira dohodne povezave in večini uporabnikov, zlasti če njihovi računalniki niso neposredno izpostavljeni internetu, temveč so v službenih omrežjih za večjimi strojnimi požarnimi zidovi, povsem zadošča. Ob namestitvi je privzeto vključen in, če ga niste izklapljali, je tako tudi ostalo.

Vgrajeni požarni zid privzeto dopušča vse odhodne povezave razen izrecno prepovedanih. Boljši požarni zidovi imajo tudi tako imenovano zaščito HIPS (host intrusion prevention system), ki spremlja tudi obnašanje programov oziroma kode v sistemu in poizkuša identificirati sumljivo vedenje, ki nakazuje na okužbo oziroma vdor. Med brezplačnimi programi je dober Comodo Free Firewall oziroma celoten paket Comodo Internet Security. Ta za vsako omrežje vpraša, ali naj ga obravnava kot domače, službeno ali javno, in temu primerno prilagodi varnostne nastavitve. Večino običajnih programov že pozna in nas zanje ne bo spraševal po dovoljenju za dostop do interneta, za neznane pač. Ima tudi peskovnik (sandbox), v katerem lahko poganjamo sumljive ali zgolj bolj izpostavljene aplikacije, npr. brskalnik ali kak nelegalen generator ključev. Nastavimo lahko tudi kompleksna pravila, kdo lahko dostopa do interneta in kam oziroma kdo sme sprejemati podatke iz njega.

Za starejše računalnike, pri katerih se trudimo iz strojne opreme iztisniti vsak megaherc in megabajt, pa se ozrimo po TinyWallu, ki je znan po svoji minimalni porabi sredstev in nevsiljivosti, saj sploh ne izrisuje prikaznih oken in dosledno blokira večino povezav.

Posodobitve

Programsko opremo je treba imeti posodobljeno, ker je to prva in osnovna zaščita pred napadi, vsa dodatna orodja pa zgolj nadgradnja. Uporabniki Linuxa v terminalu vpišejo sudo apt-get dist-upgrade in sudo apt-get update, v Windows pa je treba ustrezno nastaviti Windows Update. Pri Windows 7 v nastavitvah izberemo samodejno nameščanje posodobitev ali samodejni prenos in poziv za nameščanje. Še pred letom dni bi svetovali prvo možnost, zdaj pa raje izberite drugo, drugače vam lahko Microsoft samodejno namesti nadgradnjo po imenu Windows 10! V internetu namreč že dežujejo pritožbe uporabnikov, ki se jim je to zgodilo. Preostala Microsoftova programska oprema se posodablja prek istega kanala (tudi Office je, recimo, v Windows Update), za programe tretjih izdelovalcev (recimo LibreOffice, Firefox, VLC in drugo) pa je treba v nastavitvah samega programa izbrati samodejno nadgrajevanje. Vključimo ga!

Windows 10 na prvi pogled sploh ne dopušča izklopa samodejnih posodobitev, zato je odveč skrb, da bi imeli neposodobljen sistem. Nasprotno, če bi iz kakršnihkoli razlogov želeli ročno uravnavati dinamiko nameščanja posodobitev, moramo v Windows 10 Home omrežno povezavo nastaviti kot metered (torej označiti, kot da je prenos podatkov plačljiv), da Windows ne bo samodejno prenašal vseh posodobitev, temveč le najpomembnejše. V drugih inačicah (Professional, Enterprise itd.) lahko z urejevalnikom Group Policy poiščemo možnost Computer Configuration\Administrative Templates\Windows Components\Windows Update in izključimo prejemanje posodobitev. Skrajna možnost je ustavitev storitve Windows Update Service, a to ni priporočljivo.

Čiščenje navlake

Že pri rutinski rabi se v računalniku kopičijo začasne datoteke in druga navlaka, ki je ob nastanku imela smisel, zdaj pa ga počasi izgublja. Še huje je pri pogostem nameščanju in odstranjevanju programov, saj za vsakim odstranjenim programom ostanejo sledovi. Datoteke lahko polovimo ročno, ostanke v registru pa raje pustimo, da si ne pokvarimo sistema. Zaradi tega postaja računalnik čedalje počasnejši. Resnici na ljubo pa nas včasih zgolj moti, da si programi zapomnijo vse datoteke, ki smo jih odprli v preteklosti, brskalniki pa vse ključne pojme, po katerih smo iskali.

BleachBit pod Windows ponuja čiščenje precej več datotek kot CCleaner, kar je lahko tudi nevarno.

V Linuxu s sudo apt-get autoremove pobrišemo pakete, ki niso več potrebni, ker smo programe, ki so jih potrebovali in namestili, vmes odstranili. Začasne kopije paketov v lokalnem repozitoriju pobriše sudo apt-get clean. S tema ukazoma bomo v glavnem sprostili prostor na disku, na odzivnost sistema pa ne vplivata. Za temeljitejše čiščenje sistema je uporaben program BleachBit, ki pobriše nepotrebno navlako v sistemu in nameščenih programih.

Isti BleachBit je na voljo tudi za Windows, čeprav smo v tem okolju bolj vajeni CCleanerja. Primerjava pokaže, da je BleachBit bolj agresiven in pobriše precej več kakor CCleaner, a to ni nujno prednost, saj hitro izbriše kaj vitalnega. Programov za čiščenje je še precej (npr. PrivaZer, SlimCleaner, WiseCleaner), a CCleaner ostaja zlati standard.

Temeljito odstranjevanje programov

Odstranjevanje nameščenih programov v Linuxu je tako zelo enostavno, da se pri isti nalogi v Windows lahko razjokamo. Seveda ima Windows vgrajeno funkcionalnost za odstranjevanje programov, a za njimi vedno ostane kakšna malenkost. Teh malenkosti sami ne moremo pobrisati, zato je koristno imeti nameščeno orodje, ki natančno spremlja, kaj si pri nameščanju posameznega programa spremeni, da ga lahko potem kirurško natančno odstrani. Še bolje je, če zmore popravljati tudi stare grehe, torej odstraniti programe, ki so bili nameščeni že prej.

To najbolje počne Revo Uninstaller Free, ki omogoča temeljitejšo odstranitev nameščenih programov. Možnost spremljanja vseh sprememb ob namestitvi ima le plačljiva različica Pro in v tem primeru je brisanje programa res popolno. To pa zmore tudi brezplačni ZSoft Uninstaller, ki omogoča ročno izdelavo slike sistema pred namestitvijo kakšnega programa in po njej, nato pa iz razlike izračuna odtis programa, če ga bomo kdaj želeli popolnoma izbrisati. To terja disciplino, ker moramo funkcijo aktivirati pred vsako namestitvijo kakšnega programa.

Varnostne kopije

Ko gre vse narobe, in po Murphyju bo nekoč šlo vse narobe, nas rešijo edino varnostne kopije. V večjih podjetjih imajo to navadno urejeno centralizirano (pa ne v vseh – celo v nekem velikem trgovcu so zaposleni v nabavi prejeli zunanje diske z navodili, »naj si nanje kopirajo podatke«), v manjših in doma pa moramo zanje poskrbeti sami. Prave varnostne kopije niso uporaba sinhroniziranih oblačnih storitev za hrambo podatkov (Dropbox, OneDrive ipd.) niti priključen RAID. Ti resda varujejo pred fizično okvaro nosilca podatkov, a večino izgub podatkov dandanes povzročijo programske napake in zlasti izsiljevalski virusi (Monitor 04/16, Mafijski virusi). Tu nam sinhronizirana kopija krajevnega diska ne pomaga, ker se ista katastrofa preslika tudi v oblak. Programov za izdelovanje varnostnih kopij je veliko, obširno pa smo si jih ogledali pred poltretjim letom (Monitor 10/13, Naj bo varen dom). Odtlej se ni kaj dosti spremenilo.

Windows 10 ima star program za varnostno kopiranje iz Windows 7 in novo orodje za hranjenje različic datotek.

Priporočena sestava je naslednja. Najbolje je imeti dva diska, povezana v RAID z zrcaljenjem, s čimer se zavarujemo pred odpovedjo diska. Mape s pomembnimi dokumenti je najbolje imeti ves čas sinhronizirane v Google Drive, Dropbox, Microsoft OneDrive oziroma podobno oblačno shrambo podatkov. S tem smo varni pred uničenjem ali tatvino računalnika, kar zlasti v času prenosnikov ni tako redko, kot se sliši. Zadnja, a zelo pomembna stopnička pa je redno varnostno kopiranje na krajevne nosilce podatkov, največkrat zunanje diske, ki so sicer odklopljeni. Idealno bi bilo to početi vsako noč, marsikdo pa to počne enkrat na teden (ali pa še redkeje). Sami se moramo odločiti, kakšno razmerje med udobnostjo in varnostjo želimo.

Največ packarije si namestimo sami

Posebej pozorni moramo biti pri nameščanju kvazibrezplačne programske opreme iz interneta, ki med postopkom namestitve navadno predlaga namestitev raznih orodnih vrstic in druge nepotrebne reklamne programske opreme, ki ponečedi sistem. Previdno moramo prebrati vsako okno in odstraniti kljukice pri vseh teh možnostih, preden klikamo naprej. To je eden izmed glavnih razlogov za prislovične programsko zanemarjene računalnike, ki jih pogosto dobivamo na servis z diagnozo »zelo počasi deluje«, na njih pa se bohotijo reklame, orodne vrstice in drug spyware.

Java želi namestiti tudi packarijo.

Programov, ki to počno, je cel kup, osnovnega pa ima Windows tudi vgrajenega (Control Panel/System and Maintenance/Backup and Restore). Ta res omogoča zgolj najbolj primitivne funkcije, in sicer lahko nastavimo, kaj naj se varnostno kopira, kako pogosto naj se operacija izvaja in kam naj se kopije shranjujejo. Če ob nastavljeni uri nimamo priključenega ustreznega nosilca, se varnostno kopiranje pač ne izvede. Po drugi strani je dovolj pameten, da kopira le datoteke, ki so se dejansko spremenile ali na novo ustvarile. Imamo celo primitiven nadzor nad starimi kopijami, saj lahko nastavimo bodisi ohranjanje zgolj zadnje kopije bodisi skladiščenje zgodovine varnostnih kopij, dokler prostor to dopušča. Windows 10 je to nadgradil, saj poleg starega orodja z isto funkcionalnostjo ponuja še možnost shranjevanja različic datotek.

Kdor želi več finega nadzora, bo posegel po enem iz plejade programov za izdelavo varnostnih kopij. Med najboljšimi brezplačnimi sta premisleka vredna EaseUS Todo Backup Free, ki podpira celo shranjevanje neposredno v oblak, šifriranje, inkrementalne in diferenčne varnostne kopije, orodje za obnavljanje zrušenega sistema, in Macrium Reflect Free, ki omogoča zgolj izdelavo kompaktnih slik (in ne posameznih datotek), a se odkupi z res bogato paleto funkcij.

Kontrola fizikalnih parametrov

Z vidika vzdrževanja računalnika je koristno vedeti, ali se pregreva, kako kaže diskom, ali napetosti nihajo zunaj toleranc (kar bi kazalo na odpovedovanje napajalnika ali matične plošče) in druge fizikalne parametre. Kdaj bo odpovedal kak disk, je nemogoče vedno predvideti, a nabor diagnostičnih parametrov SMART daje osnovno informacijo o kondiciji diska. Brezplačen program za spremljanje in evidentiranje vseh teh parametrov je HWiNFO.

Različno vzdrževanje diskov in SSDjev

Diski in SSDji zaradi drugačne tehnologije delovanja terjajo drugačno programsko vzdrževanje. Datotečni sistem NTFS, ki ga uporablja Windows, je bistveno bolj podvržen fragmentaciji datotek kakor Linuxov ext4. To pomeni, da imamo ob uporabi čedalje več datotek, ki so zapisane po kosih na različnih delih diska. Klasični diski so pri naključnem dostopu počasnejši kot pri sekvenčnem, zato defragmentacija pozitivno vpliva na hitrost dostopa do datotek. Windows ima že od prazgodovine vgrajeno orodje za defragmentacijo, ki se ga splača pognati enkrat na mesec. Linux zaradi drugačnega ustroja defragmentacije ne potrebuje, ker že datotečni skrbi, da so datoteke od samega začetka zapisane čim bolj vsaksebi.

SSDji imajo uniformen dostopni čas, zato nima nobenega smisla premikati datotek po disku. Od Windows 8 naprej Windows to razume in vam niti ne dovoli defragmentacije SSDjev, v starejših različicah pa jih kljub temu lahko. S tem ne pridobite ničesar, razen da skrajšate življenjsko dobo SSDja. So pa SSDji občutljivi za brisanje podatkov, saj je zapis podatkov v prazne celice hitrejši od zapisa v polne celice. Ker običajni datotečni sistemi ob logičnem brisanju datotek fizično ne izbrišejo, temveč prostor le označijo kot znova uporaben, se s časom SSD upočasnjuje. Rešitev je ukaz trim, ki ga podpirajo vsi SSDji in moderni operacijski sistem. Linux in Windows 8 ter novejši imajo avtomatično podporo za trim, na Windows 7 pa je treba preveriti, ali je trim vključen. To storimo z ukazom fsutil behavior query DisableDeleteNotify, ki mora vrniti ukaz 0. Če je rezultat 1, trim vključimo s fsutil behavior set DisableDeleteNotify 0.

Pomnilnik je namenjen rabi

Starejši bralci se še spomnite starih časov, ko je bil pomnilnik drag kot žafran in ga je bilo vedno premalo. Tedaj se je zakoreninila polresnica, da je zaseden pomnilnik slab, ker upočasnjuje računalnik. To drži, če ga imate malo in imate popolnoma zasedenega z delujočimi programi. V tem primeru bo moral operacijski sistem ob zagonu novega programa del pomnilnika prepisati v izmenjevalno datoteko (swap) na disku, do koder je dostop za več velikostnih razredov počasnejši.

Leta 2016 je pomnilnik poceni in ga skoraj noben računalnik nima premalo. Operacijski sistemi so postali pametnejši pri njegovi rabi, zato je nasilno čiščenje pomnilnika danes kontraproduktivno. Pomnilnik je namenjen rabi in prazen pomnilnik je potrata.

Med uporabniki Linuxa je pogosto vprašanje, zakaj ukaz free –h prikaže tako visoko zasedenost pomnilnika, četudi se z računalnikom ne dogaja nič posebnega. Razlog je, da Linux del pomnilnika, ki ga programi ne potrebujejo, uporablja za medpomnjenje (buffering) in predpomnjenje (caching) vsebine diska. S tem se bistveno poveča odzivnost sistema, saj najpogosteje datoteke prikličemo kar iz pomnilnika namesto z diska. Ko program zahteva dodaten pomnilnik, Linux zavrže, oziroma takoj prepiše del pomnilnika za predpomnjenje, kar ne traja nič dlje kot zapis v prazen pomnilnik. Visoka raba pomnilnika je znak učinkovitosti.

Tudi novejše različice Windows znajo pametno delati z večjimi količinami pomnilnika, kar lahko vidimo v Task Managerju. Del pomnilnika zasedajo programi, del pa se uporablja kot predpomnilnik za disk. Če pomnilnika za programe redno zmanjkuje, pa velja premisliti o dokupu dodatnega.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

Naroči se na Monitor Spletni nakup Naroči se na tedenske novice
 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji

Spletno mesto uporablja piškotke z namenom zagotavljanja spletne storitve, oglasnih sistemov in funkcionalnosti, ki jih brez piškotkov ne bi mogli nuditi. Z obiskom in uporabo spletnega mesta soglašate s piškotki.


Več o piškotkih in nastavitve piškotkov