Web o všem

To pravé zabezpečení před útoky z internetu

03.05.2009 19:47

Dobrá obranná strategie a správné zabezpečení operačního systému je v dnešním online světě základním pilířem v prevenci ztráty důležitých dat a citlivých osobních údajů.

V minulých týdnech bylo na našem serveru otázce bezpečnosti věnováno několik článků. Zejména jsme se zaměřili na v současnosti žhavé otázky související s účinností a smyslem antivirových řešení. Spousta odborníků na bezpečnost totiž začíná čím dál hlasitěji volat po změně koncepce antivirů a vůbec přehodnocení způsobu spouštění aplikací v operačním systému. Více v třech článcích:

Viry jsou jiné, zvládne je antivirus ukočírovat nebo je jen ztrátou peněz
Když i antivir je hrozbou
Zachrání nás před destruktivní infekcí jiný systém?

V prvním článku jsme se seznámili i s pojmem „defense-in-depth strategy“. Jak říká český překlad, jde o hloubkovou obrannou strategii a ač tento pojem zní možná až příliš odborně, neskrývá se v něm vlastně nic tajemného a složitého. Vlastně ji používá spousta lidí, aniž by to možná tušili. Jde zkrátka o „rozvrstvené“ použití více ochranných prvků v systému. Seznamme se alespoň s těmi nejdůležitějšími body této ochrany na domácích počítačích.

Poznámka na začátek

Dnešní článek se bude věnován zabezpečení na desktopech nejpoužívanějšího operačního systému ― MS Windows (a to hlavně tedy XP a Vist). Různé bezpečnostní prvky se sice používají i v dalších systémech, ale to nic nemění na skutečnosti, že otázka bezpečnosti ve Windows je zcela jiného ražení.

Bezpečně od instalace systému

Chystá-li se člověk instalovat Windows, měl by se držet několika pravidel. Prvním z nich je instalace co možná nejaktuálnějšího systému. Jestliže například vlastníte instalační disk Windows XP jen s prvním servisním balíkem, být připojen k internetu během instalace a po ní znamená vystavit systém velkému riziku nakažení viry a jiným škodlivým softwarem.

Máte-li tu možnost, připravte si k instalaci raději aktuálnější systém ― a to buď integrací posledního servisního balíku do instalačních souborů, nebo rovnou přidáním i posledních záplat. Integraci service packu můžete provést ručně, nebo můžete využít aplikaci nLite ― kromě toho vám nLite pomůže si Windows upravit podle představ (můžete zakázat nebezpečné služby, odebrat součástí systému apod.). O integraci service packu a také o nLite jsme psali například v článku Vytvořte si instalační CD Windows XP s SP3. Pro úpravy Windows Vista je od stejného vývojáře určen program vLite.

Existuje-li nějaký důvod, který vám brání ve vytvoření upraveného instalační CD, alespoň si připravte poslední servisní balík dopředu na CD, flash kartu či jiné médium a ihned po instalaci Windows jej nainstalujte. Pamatujte, že byste během instalace neměli mít v počítači zastrčený síťový kabel, kterým se připojujete k internetu.

Jak ukázal výzkum společnosti Internet Storm Center/SANS, Windows bez nejnovějších aktualizací se po připojení k internetu mohou nakazit už do 5 minut ― nepodceňujte tedy riziko nákazy.

Firewall a firewall

Zmenšit riziko napadení operačního systému (i čerstvě nainstalovaného, který je zranitelnější) můžete použitím hardwarového firewallu. Ten je přítomný v mnoha síťových prvcích, jako jsou routery a switche, které se používají i ke stavbám domácích sítí. Počítač pak není připojen k internetu „přímo“, ale přes router s firewallem, který se stará o bezpečnostní politiku. I bez větších zásahů uživatele je díky pokročilým funkcím schopen odrazit útoky malwaru a hackerů. Síťové prvky spojující funkci routeru, switche a firewallu jsou dnes velice levné a neměly by chybět v žádné domácnosti, která se k internetu připojuje. A to nejen kvůli snadnému vybudování domácí sítě (jednoduše stačí připojit nový počítač dalším kabelem nebo bezdrátově), ale i kvůli bezpečnosti. Některé domácnosti jsou totiž připojeny do lokálních sítí (např. u poskytovatelů připojení přes optiku), díky čemuž jsou počítače snadno přístupné nejen dalším uživatelům v síti, ale jsou náchylné i k infekci malwarem.

Kromě hardwarového firewallu je nedílnou součástí operačních systémů i firewall softwarový: ve Windows se v podobě integrované aplikace objevil v roce 2004, kdy jej Microsoft zabudoval do druhého servisního balíku pro systémy XP. Ve Windows Vista je firewall už mnohem pokročilejší a chrání i odchozí komunikaci. Za určitých okolností (nepoužíváte-li například nelegální kopie softwaru s cracky, jež by mohly obsahovat nějaký malware, který se připojuje ke vzdáleným serverům útočníků) je k ochraně počítače dostačující firewall ve Windows XP ― avšak chcete-li mít pod kontrolou i to, co se z vašeho počítače odesílá, a zda a kam se případně připojují vaše programy, sáhněte po vyspělejším řešení. Jedním z nejlepších bezplatných firewallů na trhu je třeba Comodo Firewall Pro, ale jeho nevýhodou je, že neexistuje v češtině. Osobních firewallů existuje celá řada, s jejich výběrem se poraďte se zkušenějším uživatelem.

Viry, červi, trojští koně a jiná havěť

Otázky spojené s účinností a smyslem antivirových řešení se sice stále probírají, ale přesto platí, že pokud domácí uživatel dodržuje aspoň některá pravidla hloubkové obranné strategie ― body výše a ještě některé zmíníme ―, antivirový program coby pouze jeden bod strategie svou práci odvede dobře.

Spousta antivirových aplikací dnes chrání před řadou různých typů nákaz: nejen viry, ale i trojskými koni, červy, různým špehovacím a reklamním softwarem (spyware, adware). Velice oblíbeným řešením ve světě je například český produkt Avast, který existuje i v bezplatné verzi pro domácí použití. Chrání i před nebezpečnými rootkity, obsahuje více štítů (síťový štít, webový štít, standardní štít pro ochranu souborů, Avast chrání i před nákazou z p2p sítí nebo kecálků ― ICQ, MSN,…) Z nejznámějších antivirů lze jmenovat ruský Kaspersky AntiVirus, slovenský NOD32, české AVG nebo stále populárnější Avira AntiVir.

Windows Vista od základní instalace obsahují program zvaný Windows Defender. „Ochránce oken“ v reálném čase chrání hlavně před spywarem a dostupný je i pro majitele Windows XP, stačí jej stáhnout.

Podobným a pokročilejším programem, který se těší velké oblibě, je Spyware Terminator. Pracuje rovněž v reálném čase a umí odhalit nejen spyware, ale i trojské koně, keyloggery a jinou havěť. Kromě toho obsahuje i možnost antivirové ochrany ― ale pamatujte na základní pravidlo: v systému se může nacházet jen jeden antivirus a jeden softwarový firewall. Stejně tak byste měli mít jen jednu antispyware aplikaci s ochranou v reálném čase.

Kromě antispyware programu pracujícím v reálném čase je dobré mít nainstalovaný další „čistič“, který na základě své databáze prohledá počítač a záškodnické programy odstraní. Mezi nejznámější programy (které ale umí i real-time režim) patří dnes už legendy jako Adaware nebo Spybot Search & Destroy (oba jsou zdarma).

Chování a prevence

Na závěr si zmiňme snad nejdůležitější součást strategie defense-in-depth. A tou je poučený uživatel. Sice se to omílá na každém druhém webovém rohu, ale pamatujte, že zmíněné ochranné prvky (HW firewall, SW firewall, aktualizovaný Windows, antivirus, antispyware s režimem real-time a i „čističe“) operační systém neochrání úplně ― je zapotřebí uživatelovy opatrnosti. Pravidlem číslo jedna je používání aktuálního webového prohlížeče ― vždyť jde o program, který je na počítači připojeném k internetu s velkým přehledem ten nejpoužívanější ― a aktuálního systému (mít zapnuté automatické aktualizace). Pak na řadu přicházejí nesmrtelné věty: neotevírat přílohy v e-mailech od neznámých odesílatelů, vyvarovat se neznámému softwaru a hlavně warezu (crackům, keygenům), nespouštět podstrčené programy na pofiderních webových stránkách, nečíst (ani v náhledu) spam (přečtení e-mailu v nezáplatovaném Outlook Expressu stačí k nákaze systému) a hlavně: pokud je to možné, pracovat v rámci účtu s omezenými právy (v tomto ohledu jsou díky nové struktuře Windows Vista mnohem bezpečnější než XP).

Zpět

Vyhledávání

© 2009 by technik