Zagrożenia internetowe i ich zwalczanie
W komputerze stacjonarnym, który nie ma kontaktu z siecią Internet, istnieje małe ryzyko wystąpienia na nim złośliwego oprogramowania lub nie może mieć miejsca atak hakera. Niebezpieczeństwo przedostania się na komputer groźnego programu lub skryptu istnieje jedynie przez płyty CD lub dyskietki. Inaczej sytuacja wygląda w przypadku peceta podłączonego do Internetu. Wtedy komputer staje się bramką do ogólnoświatowej sieci, w której poza niezliczoną ilością informacji istnieje duże niebezpieczeństwo w postaci ludzi, którzy chcą Twoim kosztem wzbogacić się lub po prostu działają z czystej złośliwości, pragnąc zniszczyć owoce Twojej pracy. Dlatego podczas korzystania z dobrodziejstwa jakim jest globalna wioska, należy być bardzo uważnym i ostrożnym, aby radości surfowania nie popsuł człowiek lub program o bardzo złych intencjach. W tym haśle poznasz wszystkie niebezpieczeństwa, jakie mogą Cię zaskoczyć oraz przeczytasz jak sobie z nimi radzić. Dowiesz się także:
Które programy mogą wyrządzić szkody w Twoim komputerze?
Jakie ataki komputerowe może przepuścić agresor na Twojego peceta?
Które z przestępczych zjawisk zagrażają Twoim danym najbardziej?
Kim jest internetowy przestępca?
Co zrobić, aby zminimalizować ryzyko ataku na Twój komputer i dane?
Jak aktywnie walczyć z internetowymi rabusiami i złośliwym oprogramowaniem?
NIEBEZPIECZEŃSTWA CZYHAJĄCE NA KOMPUTER PODŁĄCZONY DO INTERNETU
Internet to przestrzeń, w której znajdziesz wszystko. Odwiedzając jego zakamarki można trafić także na wiele niebezpieczeństw, które mogą skończyć się utratą danych lub nawet kradzieżą oszczędności całego życia. W pierwszej kolejności przeczytaj na jakiego rodzaju niebezpieczeństwa możesz się natknąć. Wiedza taka pozwoli Ci zidentyfikować źródło problemów i w porę przeciwdziałać jego niszczącemu działaniu.
Złośliwe oprogramowanie, które może zaatakować Twój podłączony do Internetu komputer
Złośliwe programy zwane inaczej malware (malicious software) to aplikacje i skrypty powodujące uszkodzenia komputera i danych zapisanych na dysku twardym. Spowalniają one pracę komputera i ograniczają dostęp do Internetu. Dodatkowo oprogramowanie takie wykorzystujące komputer do rozprzestrzeniania się na komputery znajomych i innych użytkowników sieci Internet. Wśród złośliwego oprogramowania wyróżniamy:
wirusy,
robaki,
konie trojańskie,
rootkity,
exploity,
spyware,
keyloggery,
dialery,
ransomware,
Wirusy komputerowe
Wirus to program komputerowy, który prowadzi złośliwą działalność na komputerze swojej ofiary. W zależności od egzemplarza wirus może wyłączać komputer, co jakiś określony czas. Może także uniemożliwić korzystanie z komputera poprzez wyłączenie niektórych podzespołów komputera. Potrafi także kasować dane, niszczyć je i formatować dysk twardy. Czasami wyświetla grafikę, odgrywa dźwięki, wysuwa tackę z napędu CD-ROM. Zdarza się także, że wirusy rozsyłają niechciane wiadomości (spam) i dokonują ataku na serwery w sieci Internet.
Wirusy komputerowe, podobnie jak te znane ze środowiska przyrodniczego, potrafią rozmnażać się bez zgody użytkownika. Do powielania się wirus potrzebuje nośnika, którym może być inny program komputerowy, poczta elektroniczna lub dowolny plik. Często fakt zawirusowania komputera jest niezauważalny dla użytkownika. W ten sposób działają wirusy, które zaprogramowano do jak najintensywniejszego powielania się i infekowania innych komputerów. Do dziś napisano około 100-150 tysięcy wirusów, a do czynienia miało z tymi szkodnikami ponad 90% użytkowników komputerów.
Rodzaje wirusów
Wirusy komputerowe ze względu na sposób infekcji i rozprzestrzeniania się podzielone są na kilka rodzajów:
Plikowe – infekują pliki wykonywalne (zdatne do uruchomienia) takie jak .exe, .com. Zainfekowane pliki wykorzystują do dalszego transportu. Dołączają się do pliku modyfikując go w taki sposób, aby kod wirusa był uruchamiany jako pierwszy. Dopiero później następuje uruchomienie oryginalnego programu. Są najbardziej popularne ze względu na stosunkową łatwość pisania kodu oraz szybkość powielania się.
Boot sectora – zmieniają wartość sektora głównego dysku albo sektora ładowania. Uaktywniają się już podczas startu dysku a jedynym sposobem ich usunięcia jest uruchomienie komputera z dyskietki startowej (lub CD-ROM-u) i włączenie programu antywirusowego.
Hybrydowe – ich działanie polega na łączenie wielu metod infekcji. Najszybciej replikujący się i najcięższy do wykrycia rodzaj wirusa.
Polimorficzne – omówione wyżej wirusy o zmiennym kodzie.
Rezydentne – pisane w assemblerze instalują się w pamięci komputera. Czekają w ukryciu na uruchomienie przez system jakiegoś pliku, aby go wówczas zainfekować. Analogicznie wszystkie pozostałe wirusy (np. tradycyjne plikowe) są zwane nierezydentnymi.
Makrowirusy – wirusy pisane w językach makr i zarażające pliki takich programów jak Microsoft Excel, Word czy Visual Basic. Makrowirusy na zarażają programów uruchamialnych, lecz pliki zawierające definicje makr. Najpopularniejsze obiekty infekcji to pliki DOC, XLS oraz SAM.
Retro – mają procedury zwalczające oprogramowanie antywirusowe poprzez jego wyłączenie lub nawet zniszczenie.
Wirusy a system operacyjny
Autorzy wirusów chcą zainfekować jak największą liczbę maszyn, dlatego do tego celu wybierają komputery pracujące pod popularnymi systemami operacyjnymi. Dlatego też najwięcej wirusów jest pisanych pod systemy operacyjne z rodziny Windows. Inne systemy operacyjne takie jak np. Linux, Unix czy Mac OS X są zdecydowanie mniej narażone na wirusy. Spowodowane jest to wolnym od błędów kodem, a także tym, że są one rzadziej używane.
Ukrywanie się wirusa
Zdecydowana większość wirusów ma procedury pozwalające na jego skuteczne ukrycie się w systemie i oszukanie programów antywirusowych. W tym celu wirusy modyfikują pliki oraz sektory dyskowe, np. dopisując się do istniejących już na dysku plików wykonywalnych (.exe, .com czy .bat). Program antywirusowy stara się odnaleźć wirusa poprzez sygnatury jakie ma zapisane w swojej bazie. Jeśli rozpozna plik jako zainfekowany rozpoczyna procedury takie jak np. proponuje usunięcie całego pliku, jego wyleczenie, czy też przeniesienie go do katalogu zwanego kwarantanną, gdzie plik może poczekać aż zostanie opracowana odpowiednia szczepionka. Twórcy wirusów znaleźli jednak sposób na oszukanie programów antywirusowych. Stworzyli oni wirusy polimorficzne, których różne próbki wyglądają inaczej dzięki zakodowaniu samego wirusa. Przez to wykrywanie wirusów na podstawie sygnatur staje się bardzo trudne. Istnieją także wirusy typu stealth, które wskazują fałszywe odczyty parametrów pliku. Przekłamują one rozmiar pliku pomniejszając go o wielkość wirusa (Semi-stealth) lub podają nieprawdziwy rozmiar i inną zawartość plików, skutecznie udając, że dany plik nie został zawirusowany (Full-stealth).
Rozprzestrzenianie się wirusów
Poza szkodzeniem użytkownikowi komputera, głównym zadaniem wirusa jest rozpowszechnienie się na jak największą ilość komputerów. Żywot wirusa na konkretnym pececie jest zazwyczaj krótki. Prędzej czy później jest on zneutralizowany przez oprogramowanie antywirusowe lub działanie użytkownika. Dlatego istnienie tego złośliwego programu uzależnione jest od liczby rozprzestrzenionych egzemplarzy wirusa i zainfekowanych komputerów. Wirusy można podzielić na rozpowszechniające się za pomocą:
Nośników wymiennych – dyskietek, pendrive'ów czy CD-ROM-ów. Ten sposób rozpowszechniania, kiedyś bardzo popularny, teraz występuje bardzo rzadko. Jednak w dalszym ciągu należy zachować ostrożność odczytując nosniki pochodzące z nieznanego źródła.
E-mali (automatycznie) – wirusy wysyłają do użytkownika wiadomość pocztową będącą w rzeczywistości skryptem uruchamiającym się już w samym momencie otwarcia e-maila. Stosunkowo rzadkie, ale niebezpieczne, bowiem użytkownik wcale nie musi otwierać załącznika, aby się zarazić. Na szczęście uzależnione od błędów w stosowanym programie pocztowym (np. Outlook Express), czemu można zaradzić poprzez aktualizacje lub zmianę programu na inny.
E-maili (poprzez załącznik) – do zarażenie konieczne jest otwarcie załącznika. Bardzo popularny obecnie sposób rozpowszechniania się wirusów, jednak skuteczny tylko wobec łatwowiernych i mniej świadomych użytkowników.
Komunikatorów internetowych – poprzez wysyłanie wiadomości zachęcających do otwarcia specjalnie przygotowanej strony internetowej, co spowoduje zarażenie komputera.
Oprogramowania – z pozoru niewinny program może zawierać groźne wirusy. Dlatego pobierajcie oprogramowanie tylko z zaufanych witryn i stron producentów. Wirusy ukryte w aplikacjach zdarzają się często w pirackim oprogramowaniu.
Programów do wymiany plików peer-to-peer – szukając interesującego Was pliku na pewno widzieliście propozycje ściągnięcia plików o nazwach takich jak np. Download_xyz_BitTorrent_downloader.exe czy też Find_xyz_using_emule_multimedia_toolbar.zip. Takie wykonywalne pliki są udostępnianie przez wirusy pod nazwą zachęcającą do ich ściągnięcia, a uruchomienie takich przynęt spowoduje niechybnie infekcję komputera.
Robaki
Robaki komputerowe (worms) to złośliwe programy, które przejmują kontrolę nad funkcjami komputera, odpowiedzialnymi za przesyłanie plików lub informacji. Mogą one także niszczyć pliki, wysyłać pocztę (z reguły spam) lub mogą być nosicielami wirusów komputerowych, koni trojański oraz innych wrogich programów jak backdoory, trojany, spyware lub keyloggery. Robak może również zajmować pamięć lub obniżać przepustowość sieci, powodując w ten sposób zawieszenie się komputera. W odróżnieniu od klasycznych wirusów, są samodzielnymi programami i nie potrzebują programu żywiciela. Potrafią rozprzestrzeniać się we wszystkich sieciach podłączonych do zarażonego komputera poprzez wykorzystanie luk w systemie operacyjnym lub naiwności użytkownika. Robaki kopiują się samoczynnie z jednego komputera na drugi. Rozprzestrzeniają się one najczęściej poprzez pocztę elektroniczną (robaki e-mailowe) rozsyłając się automatycznie do wszystkich odbiorców ze skrzynki adresowej, poprzez sieć lokalną (robaki sieciowe) lub poprzez Internet (robaki internetowe). Program ten wykryty przez antywirusa jest przez niego kasowany.
Konie trojańskie
Koń trojański zwany trojanem to program, który symulują pracę legalnej i nieszkodliwej aplikacji. Uruchomiony, wykonuje pracę widzianą od strony użytkownika jako normalną i pożyteczną, z drugiej jednak strony, prowadzi szkodliwą dla niego działalność. Po zainfekowaniu komputera część konia trojańskiego najczęściej kopiuje sama siebie do katalogu systemowego oraz zmienia ustawienia systemu, tak, aby przy każdym następnym uruchomieniu peceta uruchomić się w sposób automatyczny. W tym celu dopisuje nową pozycję w usłudze autostartu w rejestrze systemu Windows. Trojan nie jest widoczny dla użytkownika, ponieważ nadaje sobie atrybut ukryty. Trudno znaleźć ślady bytowania konia trojańskiego, ponieważ jego nazwa nie jest wyświetlana w menedżerze zadań i w żadnym innym miejscu interfejsu systemu Windows.
Szkody wyrządzane przez konie trojańskie
Trojany potrafią wyrządzić wiele szkód w systemie:
uszkadzają system komputerowy,
zawieszają komputer,
uniemożliwiają korzystania z komputera
kasują pliki i dane na dysku twardym,
tworzą i kasują katalogów;
przesyłają informacje systemowe: nazwę komputera, nazwy użytkownika, typ procesora, wielkość pamięci, wersji systemu, zainstalowanych sterowników i transferują je do określonego miejsca w sieci, najczęściej do włamywacza lub na serwer spamu,
instalują w systemie inne złośliwe oprogramowanie,
szpiegują i wykradają poufne dane użytkownika,
otwierają porty komputera, przez który może być dokonany atak,
utrudniają pracę programom antywirusowym,
zmieniają stronę startową przeglądarki internetowej,
wprowadzają uciążliwości dla użytkownika takie jak wyłączenie monitora, wysuwanie tacki napędu optycznego, odgrywanie dźwięków, samoczynnie uruchamiają strony internetowe.
Rozprzestrzenianie się konie trojańskiego
Konie trojańskie nie potrafią rozprzestrzeniać się samodzielnie, nie posiadają samoreplikującego się kodu . Przenoszą się one na różne sposoby:
Najczęstszą metodą infekcji jest instalacja programu zakażonego trojanem. Zagrożenie może występować w programach shareware i freeware (narzędziowe, kompresujące, multimedialne).
Przeglądarka internetowa – podczas przeglądania stron WWW można natrafić na witrynę, która została stworzona w celu zainstalowania trojana na komputerze osoby serfujacej. Wykorzystuje ona luki w zabezpieczeniach przeglądarki internetowej, które pozwalają na wniknięcie złośliwego oprogramowania do systemu.
Poczta internetowa – konie trojańskie są również rozsyłane poprzez pocztę e-mail. Zdarzają się sytuacje, w których do zainfekowania dochodzi nawet po pobraniu wiadomości na komputer. Nie trzeba otwierać załącznika aby trojan przedostał się do systemu. Tutaj podobnie jak w przypadku przeglądarki internetowej, złośliwe oprogramowanie wykorzystuje niski poziom zabezpieczeń klienta pocztowego.
Komunikatory internetowe – również ten kanał rozprzestrzeniania koni trojańskich jest coraz popularniejszy. Sprzyja temu duża ilość oprogramowania tego typu (nie zawsze dopracowanego) oraz niski poziom zabezpieczeń takich programów.
Brak zapory sieciowej – komputer bez firewalla ma otwarte wszystkie porty komunikacyjne (używane w sieciach komputerowych do identyfikacji usług funkcjonujących na pecetach oraz przesyłania danych). Otwarte i niezabezpieczone porty bardzo często wykorzystują konie trojańskie i ich autorzy do zainfekowania komputerów.
Rootkity
Rootkit to złośliwe oprogramowanie pomocne agresorowi przy włamaniu do systemu komputerowego. Jego podstawowym zadaniem jest ukrywanie szkodliwych działań prowadzonych przez hakera, a zmierzających do przejęcia kontroli nad komputerem użytkownika. Intruz może to osiągnąć poprzez podmianę plików, bibliotek systemowych lub zainstalowanie modułu jądra. Rootkit potrafi zagnieździć się nawet w pamięci flash BIOS-u płyty głównej. W takiej sytuacji nawet formatowanie dysku nie usunie go z komputera. Program ten ukrywa się w systemie przejmując wybrane funkcje systemu operacyjnego. Mogą one działać w trybie użytkownika (usermode) lub systemu operacyjnego (kernel-mode). Rootkity tworzone są dla różnych systemów operacyjnych takich jak Windows, Linux i Solaris. Rozprzestrzeniane są razem trojanami poprzez aplikacje.
Exploity
Exploit to kolejny groźny program, który może zaatakować komputer. Jego celem jest przejęcie kontroli nad komputerem użytkownika przez sieć. Do tego celu exploit wykorzystuje błędy programistyczne w systemie i oprogramowaniu. Nazwy exploitów pochodzą często od nazw luk, które wykorzystują do atakowania systemów: buffer overflow, heap overflow, format string attack, race condition lub cross-site scripting.
Spyware
Spyware (szpieg) to złośliwe oprogramowanie zbierające informacje o użytkowniku bez jego zgody. Dane te przesyłane są potem do autora programu. Spyware dołączany jest zazwyczaj do innego programu bez wiedzy i zgody użytkownika. Program ten zmienia wpisy do rejestru w systemie operacyjnym i ustawienia użytkownika.
Informacje, które zbiera spyware
Programy szpiegowskie zbierają, a następnie przesyłają do autora następujące dane:
osobowe (odczytane z rejestru systemu),
adres IP,
zwrotny DNS Twojego adresu (przez co określane jest miejsce zamieszkania),
hasła,
numery kart płatniczych ,
adresy stron WWW i serwerów FTP z których korzystasz,
adresy e-mail pod które piszesz listy,
zainteresowania użytkownika komputera (określane na podstawie słów wpisywanych w okna wyszukiwarki),
spis programów zainstalowanych w komputerze,
informacje o ściąganych plikach (typy, nazwy wielkości itp.),
hasła połączeń internetowych,
śledzi tytuły multimediów które oglądasz i słuchasz.
Zakażenie programem szpiegowskim
Programy spyware najczęściej dołączane są do oprogramowania adware. Z aplikacji adware można korzystać za darmo, jednak pod warunkiem, że użytkownik zgadza się na wyświetlanie reklam przez program, zazwyczaj w postaci banerów reklamowych. W ten sposób producent programu zarabia na nim. Niestety często do tego typu programów dołączane są programy szpiegowskie. W takim przypadku podczas instalacji na dysku oprócz właściwej aplikacji zapisywane są mniej lub bardziej podejrzane biblioteki i kontrolki. Spyware uruchamiają się wraz ze startem macierzystego programu i tym samym rozpoczynają swoją szpiegowską działalność. Instalacja programów szpiegowskich odbywa się także za pomocą odpowiednio spreparowanych wirusów, robaków, programów P2P lub stron WWW wykorzystujących błędy w przeglądarkach internetowych.
Sprawdzanie, czy w komputerze zainstalowany jest spyware
Gdy masz na komputerze zainstalowany program adware, istnieje spore prawdopodobieństwo, że w systemie siedzi również szpieg. Niestety samo usuniecie podejrzanych aplikacji nie gwarantuje, że moduł szpiegujący też zostanie usunięty. Zazwyczaj pozostaje on w ukryciu i działa bez macierzystej aplikacji. Jeśli Twoja karta sieciowa wykazuje silną aktywność w okresach, gdy praktycznie nic nie robisz na komputerze, jeżeli używasz firewalla i obserwujesz wzmożony ruch na niestandardowych portach skierowany do bliżej nieznanych adresów, a do tego w komputerze znajdujesz nieznane pliki: adimage.dll, advert.dll, advpack.dll, amcis.dll, amcis2.dll, amcompat.tlb, amstream.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe, tfde.dll (wszystkie lub niektóre z nich), oznacza to, że w systemie czai się spyware.
Keyloggery
Kolejnym złośliwym oprogramowaniem jest keylogger. Specjalizuje się on w wykradaniu tajnych haseł użytkownika. Działa na zasadzie przejęcia kontroli nad procedurami Windows służącymi do obsługi klawiatury. Keylogger zapisuje do ukrytego w systemie pliku wszystkie klawisze, które wcisnął użytkownik na klawiaturze. Dodatkowo w pliku tym zapisywane są dane opisujące, do jakiego programu lub okna odnoszą się te operacje. Większość keyloggerów wysyła ten plik na wyznaczony adres pocztowy. W ten sposób adresy, kody, piny do kont bankowych i inne cenne informacje mogą dostać się w niepowołane ręce. Keylogger działa często w spółce z innymi złośliwymi programami takimi jak koń trojański. Inną odmianą keyloggera jest monitor systemu, który wykonuje zrzuty ekranowe, przedstawiające czynności wykonywane na komputerze ofiary.
Dialery
Dialer to zagrożenie dla osób łączących się z Internetem za pomocą modemów telefonicznych analogowych i cyfrowych ISDN. Program ten łączy się poprzez numer dostępowy o kosztach wielokrotnie przekraczających typowe koszty dostępu do Internetu. Najczęściej są to numery zaczynające się od 0-700 lub numery zagraniczne. W ten sposób nieświadomy użytkownik pod koniec miesiąca otrzymuje rachunek telefoniczny opiewający nawet na kilka tysięcy złotych. Osoby korzystacie ze stałego łącza, nie muszą obawiać się działalności takich programów.
Sposób infekcji dialerem
Najczęściej takim programem możesz zainfekować komputer odwiedzając strony WWW z:
zawartością erotyczną,
pirackim oprogramowaniem (tzw.: warez),
programami odbezpieczającymi (crackami) komercyjne aplikacje.
Aby uniknąć zainfekowania komputera dialerem unikaj tych stron lub zablokuj połączenia z numerem 0-700 u Twojego dostawcy usług telekomunikacyjnych. Część dialerów wybiera numery międzynarodowe, dlatego aby być całkowicie bezpiecznym powinieneś zablokować również te połączenia.
Sprawdzanie obecności dialera w komputerze
Łatwo sprowadzić czy w komputerze jest dialer. Uruchamia się on przy starcie systemu i minimalizuje do paska zadań tuż przy zegarze systemowym. Tam niektóre z dialerów przybierają postać zminimalizowanych dokumentów sugerujących związek z Internet Explorerem lub mają wizerunek nagiej kobiety. Jeśli w Twoim komputerze jest taka ikona, nie wciskaj żadnych linków po rozwinięciu i maksymalizacji ikony z paska zadań. Będąc połączonym z Internetem ryzykujesz rozłączenie z numerem dostawcy usług internetowych na rzecz kosztownego numeru 0-700. Jeżeli nie jesteś połączony z Internetem, po kliknięciu na opcje zawarte w menu dialera może on zacząć wybierać niepożądany numer.
Wabbity
Wabbit to złośliwy program uruchamiający się w tle podczas pracy systemu Windows. Jego działalność nastawiona jest na konkretną operację. Wabbit wykonuje ją aż do momentu wyczerpania zasobów pamięci komputera. W ten sposób paraliżuje on pracę peceta.
Ransomware
Ransomware to oprogramowania wykorzystywane w przestępczości internetowej. Jego działanie polega na szyfrowaniu danych umieszczonych na dysku twardym. Program taki przenika do komputera użytkownika, a następnie wykonuje swoją szkodliwą działalność. Poprzez zaszyfrowanie danych na dysku użytkownik nie może się do nich dostać. Wtedy zazwyczaj w komputerze użytkownika wyświetlana jest notka, za pomocą której cyberprzestępca proponuje podanie klucza i instrukcji do odszyfrowania danych w zamian za przelanie pieniędzy na wskazane konto.
Pomimo złowieszczo brzmiącego opisu działalności tego oprogramowania można stosunkowo łatwo ubezpieczyć się przed utratą danych (poprzez zaszyfrowanie). Wystarczy regularnie wykonywać kopię zapasową cennych danych. Również firmy odzyskujące dane często są w stanie złamać klucz szyfrowania i odzyskać cenne pliki. Jednak takie usługi do tanich nie należą.
Mało szkodliwe złośliwe oprogramowanie
Ostatnim i najmniej groźnym typem złośliwego oprogramowania są fałszywe alarmy i żarty komputerowe. Pomimo groźnego zachowania na początku działalności okazują się nieszkodliwe. Przykładem mogą być alarmy o wystąpieniu groźnego wirusa komputerowego lub programy imitujące wadliwe zachowanie komputera.
Zjawiska i czynności będące zagrożeniem dla Twojego peceta
Nie tylko programy stworzone do uprzykrzania życia internautom mogą zaatakować Twojego peceta. W sieci Internet możesz spotkać się z wieloma zjawiskami, których celem jest kradzież informacji lub atak na komputer.
Backdoor
Backdoor (tylne drzwi) to luka w zabezpieczeniach programu komputerowego, która umożliwia atak na komputer użytkownika. Zazwyczaj programista pozostawia ją specjalnie, aby umożliwić przeprowadzenie ataku na komputer i przejęcie nad nim kontroli. Wtedy agresor zdalnie może kontrolować system i przeprowadzać operacje wbrew woli właściciela peceta. Backdoor zainstalowany w systemie podszywa się pod pliki i programy, z których często korzysta użytkownik.
Najsłynniejszym odkryciem backdoora był przypadek programu Microsoft Network. Znajdowały się w nim tylne drzwi, które umożliwiały pobranie dowolnych informacji z dysku twardego użytkownika komputera. Za pomocą tych danych identyfikowano posiadaczy nielegalnych kopii oprogramowania firmy Microsoft.
Przepełnienie bufora
Przepełnienie bufora (Buffer overflow) to błąd programistyczny, który powoduje nieprawidłową pracę systemu operacyjnego. Polega on na pobraniu do bufora (obszaru pamięci) większej ilości danych, niż zarezerwował na ten cel programista, który utworzył aplikacje. Ten błąd wykorzystywany jest często podczas ataku na komputer użytkownika.
Ataki na komputer
Częstym zjawiskiem jest atak intruza na komputer użytkownika. Ma on na celu zawładnięcie maszyną i przeprowadzenie w systemie konkretnych operacji. Włamania dokonuje się także w celu pozyskania informacji lub plików. Często ataki takie służą celom niszczycielskim (utrata danych) lub utrudniającym pracę na komputerze. Aby przeprowadzić atak agresor może wykorzystać lukę w systemie zabezpieczeń, błąd serwisu sieciowego lub słaby poziom zabezpieczeń komputera. Intruzi mogą skorzystać z całego asortymentu inwazji na komputer podłączony do Internetu. Za chwilę opiszemy najpopularniejsze z nich.
DoS
Atak typu DoS (Denial of Service) czyli odmowa usługi to jeden z najczęstszych typów ataków. Polega on na wysyłaniu z jednego komputera setki zapytań do peceta ofiary, przez co zostają zajęte wszystkie jego wolne zasoby. Atak taki ma na celu zawieszenie komputera i zablokowanie łącza ofiary. Może on prowadzić do fizycznego uszkodzenia sprzętu lub systemu operacyjnego, wymazania BIOS-u na płycie głównej lub nawet uszkodzenia dysku twardego.
DDoS
DDoS (Distributed Denial of Service) to inna odmiana ataku DoS. Różni się on tym, że zamiast ataku z jednego komputera, przeprowadzany jest on z dużej liczby komputerów lub serwerów.
Password guessing
Password guessing to atak, w którym intruz próbuje włamać się do komputera ofiary poprzez podawanie identyfikatora użytkownika i hasła. Odbywa się to na zasadzie dobierania słów słownikowych i dopasowywania ich do hasła użytkownika przez specjalny program. Intruz często stara się też rozszyfrować hasła z pliku passwd.
Atak za pomocą apletu
Również często używanym przez agresorów typem ataku na system komputerowy, jest atak za pomocą apletów. Polega ona na wykorzystaniu apletu, który uruchamiany jest przez przeglądarkę internetową. Powoduje on zatrzymanie systemu. Jest to atak typu odmowa usługi.
Ataki podszywania
Kolejnym atakiem jest atak podszywania. Polega on na tym, że komputer agresora uwierzytelniany jest w systemie jako urządzenie pochodzące z zaufanego źródła. W tym celu intruz musi odgadnąć numer sekwencji, który jest wymagany do uwierzytelnienia komputerów miedzy którymi jest relacja zaufania. Gdy uzyska on dostęp do komputera, szuka dziury w systemie za pomocą której będzie mógł łączyć się pecetem bez ponownego uwierzytelniania.
Aktywne rozsynchronizowanie
To kolejny atak na komputer użytkownika. Polega on na tym, że intruz rozsynchronizowuje dwa końce połączenia TCP, przez co komputery nie mogą wymieniać między sobą danych. Następnie z trzeciego komputera agresor przechwytuje rzeczywiste pakiety i tworzy ich zamienniki, które są akceptowane przez oba połączone ze sobą komputery. W ten sposób pakiety wygenerowane przez trzeci komputer zastępują pakiety oryginalne, które byłyby wymienione przez połączone systemy.
Spoofing
Spoofing to metoda ataku polegająca na podszyciu się intruza pod jednego z użytkowników systemu, który ma własny numer identyfikujący użytkownika IP. Dzięki temu agresor może ominąć wszystkie zabezpieczenia zastosowane przez administrator w sieci wewnętrznej. W przeciwieństwie do ataków polegających na rozsynchronizowaniu, spoofing jest trudny do wykrycia. Najlepszą obroną przed tym atakiem jest filtrowanie pakietów wchodzących przez router z Internetu i blokowanie tych, których dane wskazują na to, że powstały w obrębie lokalnej domeny.
Format string attack
Format string attack to atak wykorzystujący błędy programistyczne w aplikacjach. Włamywacz atakując komputer usuwa z listy procesów systemu operacyjnego aplikacje z dziurą lub za jej pomocą uruchamia specjalny kod. Zasada działania tego ataku podobna jest do sposobu wykorzystania błędu przepełnienia bufora.
Heap overflow
Jest to jeden z rodzajów błędu przepełnienia bufora. Ma on miejsce w obszarze pamięci, w którym dynamicznie zapisywane są dane. Jeżeli aplikacja z błędem będzie zapisywać większą porcję danych niż przewidział to programista tworzący program, nadpisane mogą zostać struktury kontrolne, co może doprowadzić do wadliwej pracy aplikacji. To z kolei może wykorzystać osoba atakująca komputer w celu przejęcia kontroli nad nim.
Sniffing
Sniffer (wąchacz) jest to program komputerowy, który przechwytuje i analizuje dane przepływających w sieci. Zazwyczaj jest on wykorzystywany przez administratorów sieci do diagnostyki problemów z siecią, jej niezawodnością i wydajnością. Niestety równocześnie może być on stosowany do monitorowania aktywności sieciowej osób trzecich (tzw. sniffing). Prowadzi to do przechwytywania tajnych haseł i informacji oraz podsłuchiwania użytkownika. Takie działanie jest już niezgodne z prawem.
Trzeba zaznaczyć, że sniffing możliwy jest jedynie w sieci lokalnej. Nie umożliwia on analizowania aktywności sieciowej dowolnego komputera w Internecie. Dlatego jeśli Twój komputer podpięty jest do sieci osiedlowej, sąsiedzkiej lub firmowej możesz czuć się zagrożony.
Sniffing ma miejsce w sieci komputerowej ponieważ informacje przekazywane są w niej w formie tzw. pakietów. Pakietem jest porcja informacji, zaopatrzona w odpowiednie informacje teleadresowe, takie jak numer IP komputera, z którego jest on wysłany, numer IP odbiorcy i wiele innych. Dzięki temu wiadomo skąd taki pakiet został wysłany, dokąd wędruje i jakie treści zawiera. Taki pakiet przechodzi przez szereg komputerów, zanim zostanie dostarczony do końcowego odbiorcy. Tym samym, jeśli komputer osoby trzeciej stoi na jego drodze, osoba taka może go podglądnąć i dowiedzieć się, co zawiera. Serwer w sieci LAN przekazuje pakiety z komputerów w tej sieci do Internetu oraz przyjmuje pakiety z Internetu i obdziela nimi komputery w LAN-ie. Można zatem z niego przeanalizować praktycznie dowolny pakiet.
Phishing
Phishing (password harvesting fishing) polega na wyłudzeniu od użytkownika jego poufnych danych: loginu i hasła do banku internetowego, numeru karty kredytowej czy loginu i hasła do serwisu aukcyjnego. Znajomość tych danych umożliwia oszustowi zrobienie zakupów na cudzy koszt czy opróżnienie konta bankowego.
Zasada działania phishingu
Proces wyłudzenia polega na tym, że użytkownik dostaje wiadomość, zazwyczaj jest to e-mail, ale czasem może być to wiadomość wysłana przez komunikator internetowy - z informacją, że powinien koniecznie wejść na stronę internetową banku, platformy aukcyjnej czy jakiejś instytucji finansowej w celu potwierdzenia swoich danych. Jako uzasadnienie najczęściej występuję informacja o awarii serwerów czy aktualizacji oprogramowania w banku. Wiadomość zawiera też odnośnik do strony, na której należy się podać swoje dane. Jednak nie prowadzi on na stronę banku, lecz na stronę łudząco do niej podobną – czasem identyczną – przygotowaną przez oszusta. Podane na tej stronie dane nie trafią do zaufanej instytucji, np. banku internetowego, a prosto do przestępców. Treść wiadomości jest sformułowana w oparciu o zasady socjotechniki. Ma przekonać odbiorcę, aby postąpił zgodnie z poleceniami zawartymi w wiadomości. Zazwyczaj wiadomość jest utrzymana w tonie mającym wywołać u odbiorcy poczucie zagrożenia, a tym samym sprowokować go do dalszych działań. Często w wiadomości zawarta jest groźba, np. że nie potwierdzenie danych w ciągu 48 godzin spowoduje zablokowanie konta. Odnośnik zawarty w fałszywej wiadomości na pierwszy rzut oka wygląda prawidłowo, dopiero po bliższym przyjrzeniu się, bądź też po przeanalizowaniu całej wiadomości można zauważyć ze prowadzi on na fałszywą stronę WWW.
Inną metodą jest rejestracja domeny, która łudząco przypomina tę używana przez zaufaną instytucję. Przykładem może być domena e-g0ld.com, która jednym tylko znakiem (cyfra zero zamiast literki o) różni się od domeny e-gold.com, która jest adresem serwisu będącego swego rodzaju bankiem internetowym. Metoda ta jest rzadziej stosowana m.in. z powodu utrudnionej (choć nie niemożliwej) anonimowej rejestracji domen.
Jeszcze inną metodą wyłudzania danych jest tworzenie sklepów internetowych, które mają bardzo konkurencyjne ceny. W ten sposób cyberprzestępcy wyłudzają numery kart kredytowych.
Minimalizowanie ryzyka utraty poufnych danych
Phishing opiera się na socjotechnice. Do skutecznego przeprowadzenia takiego ataku konieczne jest uśpienie czujności użytkownika i przekonanie, aby wykonał określone czynności. Stosując się do poniższych zaleceń możesz wyeliminować ryzyko stania się ofiara cyberprzestepców:
Nie klikaj odnośników zawartych w wiadomościach, których treść wywołuje choćby cień podejrzenia, co do ich wiarygodności.
Nawet w sytuacji ewidentnej próby wyłudzenia danych, powstrzymaj się od odwiedzania stron podanych w takiej wiadomości. Nie można wykluczyć, że taka strona zawiera szkodliwy kod, który wykorzysta luki w Twojej przeglądarce internetowej do zainstalowania w systemie konia trojańskiego.
Wiadomości phisingowe są często rozpoznawane przez filtry antyspamowe jako niechciane wiadomości.
Wiadomość od oszusta, rzekomo wysłana z banku, może zawierać adres nadawcy, o którym nigdy wcześniej nie słyszałeś.
Treść wiadomości jest często napisana infantylnym językiem, mogą nawet pojawić się błędy ortograficzne i gramatyczne. Jeśli wiadomość nie jest adresowana imiennie do Ciebie, a rozpoczyna się ogólnikową formułką, na przykład Drogi kliencie, Szanowni klienci powinno to wzbudzić Twoją czujność.
Potwierdzanie wiadomości u nadawcy
Każdą podejrzaną wiadomość, zwłaszcza taką, która wygląda na wysłaną przez Twój bank, potwierdzaj telefonicznie u rzekomego nadawcy. Nie używaj numerów telefonów podanych w wiadomości, lecz poszukaj ich, np. na wyciągach z konta. Większość banków uruchamia dla swoich klientów darmowe numery telefonów, więc kosztuje to tylko kilka minut poświęconych na wykonanie telefonu. W porównaniu z możliwymi stratami jest to bardzo rozsądna inwestycja
Bezpieczne przeglądanie stron WWW
Jeśli serwis, z którego korzystasz, umożliwia logowanie zwykłe lub szyfrowane (SSL) – zawsze wybieraj to drugie. Dzięki temu zmniejszysz prawdopodobieństwo „podsłuchania” Twoich danych przez agresora. Dotyczy to głownie serwisów aukcyjnych. W przypadku banków jedynym możliwym sposobem dostępu do konta powinno być szyfrowane połączenie. Jeśli Twój bank nie wymusza lub w ogóle nie oferuje szyfrowania – zmień bank.
Ręczne wpisywanie adresu banku
Odwiedzając stronę banku, wpisuj jego adres ręcznie. Dzięki temu masz pewność, że podajesz swoje dane na właściwej stronie WWW. Może się zdarzyć tak, że Twój komputer został zainfekowany złośliwym programem, który dokonał zmian w katalogu z zakładkami przeglądarki internetowej podmieniając adres Twojego banku.
Po wejściu na stronę banku upewnij się, że nawiązałeś połączenie szyfrowane. Poznasz je po obecności kłódki w prawym dolnym rogu przeglądarki. Klikając na kłódkę możesz sprawdzić poprawność certyfikatu SSL.
Jeśli adres strony WWW podany w certyfikacie jest różny od tej, na którą wszedłeś, lepiej wyłącz przeglądarkę.
Rysunek 1. Certyfikat SSL dla banku internetowego
Adres nadawcy
Korzystaj z programu pocztowego, który przy podglądzie wiadomości poza nazwą nadawcy wyświetla również jego adres e-mail. Pole Nadawca w nagłówku wiadomości składa się z dwóch części: nazwy nadawcy oraz właściwego adresu e-mail. Na przykład: Jan Kowalski <jan.kowalski@serwerpocztowy.pl>. Wiele programów pocztowych (np. Microsoft Outlook i Outlook Express) przy wyświetlaniu wiadomości pokazuje jedynie pierwsze pole – czyli nazwę nadawcy. Dlatego na pierwszy rzut oka może wydawać się, że wiadomość została wysłana przez Twój bank. Rozsądnym krokiem jest zmiana programu pocztowego na taki, który od razu wyświetla zarówno nazwę nadawcy, jak i jego adres e-mail. Dzięki temu łatwiej wykryjesz ewentualne oszustwo.
Dobrymi zamiennikami programów firmy Microsoft są darmowy klient pocztowy Mozilla Thunderbird, czy też komercyjny The Bat!
Jeśli do obsługi poczty korzystasz z programów MS Outlook lub Outlook Express, możesz sprawdzić adres e-mail nadawcy wiadomości wyświetlając jej właściwości. W tym celu:
Zaznacz podejrzaną wiadomość.
Kliknij ją prawym przyciskiem myszy i z menu kontekstowego wybierz Właściwości.
W nowym oknie znajdziesz informacje o adresie e-mail nadawcy, zaś w zakładce Szczegóły będziesz mieć dostęp do pełnego nagłówka wiadomości: adresu e-mail nadawcy, adresu IP komputera i serwera SMTP, z którego wiadomość została wysłana.
Rysunek 2. W oknie Właściwości wiadomości w programie Outlook Express uzyskacie szczegółowe informacje o nadawcy listu
Zabezpieczanie komputera przed phishingiem
Poza zachowywaniem ostrożności podczas korzystania z Internetu, możesz również skorzystać z zabezpieczeń antyphishingowych wbudowanych w przeglądarki internetowe. Zabezpieczenia takie są zaimplementowane w najnowszych wersjach trzech najpopularniejszych przeglądarek: Firefox 2, Internet Explorer 7 oraz Opera 9.
Filtr antyphisingowy w przeglądarce Firefox jest domyślnie włączony. Nie musisz podejmować żadnych działań, aby z niego korzystać. Natomiast w przeglądarce Internet Explorer należy go włączyć. Systemy antyphishingowe obu przeglądarek działają w podobny sposób – porównują adres odwiedzanej strony WWW z listą znanych adresów stron, które służą wyłudzaniu poufnych danych. Po zakwalifikowaniu adresu jako adresu strony potencjalnie niebezpiecznej dla użytkownika, przeglądarka wyświetli odpowiednią informację oraz zasugeruje opuszczenie danej strony WWW.
Pharming
Pharming jest trudniejszą do przeprowadzenia i rozpoznania odmianą phishingu. Jego celem jest również wykradzenie poufnych danych. Działa on na zasadzie ściągnięcia użytkownika na fałszywą stronę WWW poprzez usługę DNS (Domain Name Service), która odpowiada za zamianę adresów domenowych (na przykład www.mojastrona.pl) na ich numeryczne odpowiedniki zrozumiałe dla serwerów internetowych, czyli adresy IP (np. 213.78.65.355). Oszustwo polega na tym, że w usłudze DNS zostaje zmieniony prawdziwy adres IP strony na adres IP strony przygotowanej przez oszusta. W efekcie po wpisaniu adresu www.mojastrona.pl przeglądarka WWW wyświetli stronę przygotowaną przez oszusta.
Zmiany w usłudze na poziomie DNS mogą być dokonywane lokalnie na komputerze użytkownika poprzez odpowiedni wpis, najczęściej za pomocą konia trojańskiego, w pliku hosts, lub też poprzez włamanie do serwera DNS dostawcy usługi dostępu do Internetu.
Rysunek 3. Przykład wpisu w pliku hosts, który przekierowuje użytkownika na fałszywą stronę WWW
Plik hosts znajduje się na dysku systemowym w folderze C:\WINDOWS\system32\drivers\etc. Domyślnie z plikiem tym nie jest skojarzona żadna aplikacja. Jeśli chcesz go otworzyć kliknij go dwukrotnie, w okienku informującym o niemożności otwarcia pliku zaznacz opcję Wybierz program z listy, a następnie zaznacz na liście program Notatnik.
Browser hijacking
Browser hijacking polega na przejęciu kontroli nad przeglądarka internetową. Głównym celem tego ataku jest prezentacja użytkownikowi treści komercyjnych, zazwyczaj wbrew jego woli. Efektem browser hijacking może być:
Zmiana strony startowej w przeglądarce – strona uruchamiana wraz ze startem przeglądarki zostaje zmieniona na witrynę reklamową. Dzieje się to poprzez dokonanie zmian w rejestrze systemu Windows. Uniemożliwia to ręczną zmianę strony startowej z powrotem na tę ustawioną przez użytkownika.
Dodanie niepożądanych odnośników do folderu Ulubione – najczęściej są to witryny o charakterze pornograficznym lub reklamowym.
Wzmożone wyświetlanie reklam pop-up – zaledwie w kilka sekund na pulpicie może zostać otwartych kilkanaście lub kilkadziesięt okien przegladarki z reklamami, które skutecznie utrudniają dalszą pracę z komputerem.
Zablokowanie części programów i dostępu do niektórych stron WWW – dotyczy to oprogramowania antywirusowego i antyszpiegowskiego oraz witryn producentów takiego oprogramowania, a także serwisów dotyczących bezpieczeństwa.
Instalacja nowych pasków narzędzi – w takim pasku znajduje się zazwyczaj okienko wyszukiwania. Działa ono w ten sposób, że po wpisaniu interesującego Cię hasła zamiast obiektywnych wyników wyświetlane są odnośniki do stron, które zaprogramował intruz.
Zdarzają się nawet sytuacje, w których atak powoduje uniemożliwienie korzystania z Internetu.
Spam
Spam to listy reklamowe wysyłane masowo do przypadkowych odbiorców poprzez pocztę internetową. Pozyskiwanie adresów odbiorców z Internetu i rozsyłanie spamu odbywa się automatycznie przez specjalne programy. Spam jest zjawiskiem szkodliwym. Powoduje znaczne blokowanie ruchu w sieci Internet, obciąża serwery pocztowe, a przy dużej ilości korespondencji i znacznej ilości spamu, powoduje brak przejrzystości w skrzynce pocztowej. Często też tą drogą rozprzestrzeniane są wirusy.
Zdobywaniu adresów e-mail służą programy, tzw. harverstery (kombajny), które przeszukują sieć i zapisują znalezione adresy w swoich bazach danych. Przeszukiwanie odbywa się w obszarach takich jak strony WWW, grupy dyskusyjne, logi z rozmów, księgi gości. Nierzadko adres może zostać wyśledzony tylko podczas przeglądania stron WWW. Wtedy przeglądarka zostaje oszukana przez umieszczone na stronie skrypty powodujące, że podaje ona adres e-mail zapisany w ustawieniach przeglądarki.
Jeśli na Twoje konto zacznie napływać spam nie odpowiadaj na taki list. Większość adresów podanych w polu informującym skąd został wysłany list jest generowana automatycznie i nie ma nic wspólnego z prawdziwym adresem wysyłającego. Nie korzystaj również z załączonej w wiadomości możliwości usunięcia z listy. Taka opcja podana jest po to, aby upewnić się czy Twój adres działa i jest on używany. Postępując zgodnie z procedurą podaną w spamie, potwierdzasz tylko, że Twoja skrzynka jest aktywna. Jest ona wówczas umieszczana na listach sprawdzonych adresów ofiar reklamowych przesyłek i często odsprzedawana innym spammerom. Nie próbuj także zalewać pocztą adresu z którego nadszedł spam. Może się zdarzyć, że trafi ona do osoby, której adres został podstawiony.
Do obrony przed spamem powszechnie stosuje się filtrowanie wiadomości i usuwanie tych niechcianych. Zadanie to realizują programy antyspamowe, które mogą działać na serwerach poczty lub na Twoim komputerze. Ich skuteczność jest dosyć wysoka, choć zdarzają się przypadki błędnego zakwalifikowania wiadomości jako spam lub przepuszczenia spamu do odbiorcy.
Darmowymi programami, które skutecznie zwalczają spam to Milo spam killer lub Spamihilator.
Wyskakujące okienka reklamowe
Pop-up to funkcja stron internetowych (realizowana zazwyczaj przez kod window.open), która powoduje automatyczne uruchamianie się nowych okienek przeglądarki z określoną zawartością. Jest to technika wykorzystywana w reklamie internetowej. Najczęściej okienka reklamowe otwierają się przy wejściu na stronę internetową. Niestety częste otwieranie okien reklamowych przy przeglądaniu zasobów sieci Internet jest bardzo irytujące. Zdarza się także, że zamiast jednego jest otwierane automatycznie kilka okien. Destabilizuje to prace na komputerze, a wyłączenie wszystkich otwartych okien zużywa cenny czas użytkownika.
Inną odmianą pop-upów są pop-undery, które są mniej uciążliwe dla użytkownika, ponieważ okienko reklamowe otwierane w tle, pod bieżącym oknem. Staje się ono widoczne dopiero po zamknięciu, przesunięciu czy zminimalizowaniu głównego okna przeglądarki.
Opcje blokowania okien reklamowych mają najnowsze wersje przegladarek internetowych. Jeśli ich funkcje w Twoim przypadku są niewystarczające, możesz skorzystać z zewnętrznych programów specjalizujących się w zwalczaniu pop-upów, np z Pop-Up Stopper.
Kto za tym stoi?
Osoby zajmujące się tworzeniem złośliwego oprogramowania lub włamywaniem na serwery i komputery użytkowników zostały nazwane i przyporządkowane do odpowiednich grup. Tak więc rozróżnia się trzy grupy komputerowych intruzów.
Haker
Hakerzy (hackers) to programiści mający bardzo dużą wiedzę na temat oprogramowania i bezpieczeństwa komputera. Przełamują oni zabezpieczenia informatyczne w celu pogłębienia własnej wiedzy, zwrócenia uwagi na braki w zabezpieczeniach i dla tzw. sportu. Zazwyczaj nie czerpią oni zysków z wykonywanej działalności. Prawdopodobnie nie będziesz miał do czynienia z hakerami, ponieważ atakują oni jedynie duże cele, których skompromitowanie może przynieść określony rozgłos i mieć określone skutki.
Craker
Crakerzy (crackers) w porównaniu z hakerami czerpią zyski ze swojej działalności. Często niszczą dane w zaatakowanych systemach na zlecenie osób trzecich. Zajmują się także wykradaniem danych oraz ich niszczeniem. Cracker nastawiony jest głównie na destrukcję, przełamywanie zabezpieczeń oraz innego rodzaju nadużycia. Crakerzy mogą zaatakować dowolny komputer z zamiarem okradzenia użytkownika lub wykorzystania jego maszyny do ataku na większy cel.
Script kiddies
Script kiddies to grupa korzystająca z narzędzi stworzonych przez hakerów i crakerów. Jest to najliczniejsza grupa internetowych włamywaczy.
NAJWAŻNIEJSZA PROFILAKTYKA
Zasada łatwiej zapobiegać niż leczyć sprawdza się nie tylko w medycynie, ale również w przypadku komputerów podłączonych do sieci Internet. Dzięki uświadomieniu sobie możliwych zagrożeń i podjęciu pewnych działań prewencyjnych, możesz w dużym stopniu zminimalizować niebezpieczeństwo infekcji peceta złośliwym oprogramowaniem lub ataku na Twój komputer.
Aktualizacja systemu Windows
System Windows w podstawowej wersji, dostępnej zaraz po instalacji, nie gwarantuje pełnego zabezpieczenia danych swojemu użytkownikowi. Niestety zawiera on wiele dziur i luk, które mogą być wykorzystane przez agresora lub złośliwe oprogramowanie. Na szczęście sztab programistów na bieżąco po każdym odkryciu groźnej dziury publikuje poprawki niwelujące zagrożenie.
Service Packs
Co jakiś czas wszystkie poprawki dla systemu Windows zebrane są w tzw. Service Packs. Poza poprawkami zawierają one nowe narzędzia i modyfikacje systemu zmierzające do jego sprawnego działania.
Aby zainstalować Service Pack:
Sprawdź czy jest dostępna najnowsza wersja Service Pack i jeśli jest pobierz ją na twardy dysk.
Zamknij wszystkie programy i uruchom instalatora poprawek.
Po zakończeniu instalacji uruchom ponownie komputer.
Automatyczne aktualizacje
W system Windows XP wbudowany jest mechanizm aktualizowania poprawek o nazwie Automatyczne aktualizacje. Aby z niego skorzystać potrzebujesz tylko stałego dostępu do Internetu, a narzędzie będzie samo pobierać nowe poprawki. Po ich pobraniu Windows będzie powiadamiał użytkownika lub od razu je instalował.
Aby skonfigurować tę usługę:
Kliknij Start/Panel sterowania i wybierz ikonę System.
Otworzy się okno Właściwości systemu w którym przejdź do zakładki Aktualizacje automatyczne.
Zaznacz opcję Pobierz aktualizacje automatycznie i powiadom mnie, kiedy będą gotowe do zainstalowania. Po zaznaczeniu pola kliknij przycisk Zastosuj i OK.
Teraz ponownie uruchomcie komputer.
Rysunek 4. Optymalna konfiguracja Automatycznej aktualizacji
Od teraz usługa Automatyczne aktualizacje będzie wyświetlać informacje o pojawieniu się nowych poprawek wraz z pytaniem czy je zainstalować. Jeśli nie chcesz aby system czekał na akceptację w celu zainstalowania poprawek, a robił to automatycznie, zaznacz pole Automatycznie (zalecane).
Wszystkie poprawki w jednym
AutoPatcher to darmowy program, który zawiera zastaw wszystkich poprawek dla systemu Windows XP, a także dodatkowe narzędzia zwiększające możliwości systemu. Tak więc wystarczy zainstalować ten pakiet, aby cieszyć się w pełni funkcjonalnym i zabezpieczonym systemem.
Aby zainstalować poprawki:
Uruchom instalator AutoPatchera i na wstępie zaakceptuj umowę licencyjną.
Wybierz miejsce, w którym wypakowane zostaną poprawki lub pozostaw domyślne C:\Program Files\AutoPatcher i kliknij zainstaluj.
Następnie wybierz gdzie zostanie dodana ikona AutoPatchera (menu Start, pulpit).
Po uruchomieniu programu zaakceptuj licencję programu i wciśnij Dalej.
Teraz zostanie wyświetlone okno z zawartością AutoPatchera. Znajdziesz w nim:
Microsoft Windows – poprawki krytyczne – znajdują się tu najważniejsze aktualizacje zabezpieczeń i poprawki bezpieczeństwa dla systemu Windows XP i oprogramowania Microsoftu. Koniecznie wybierz wszystkie pozycje.
Microsoft Windows – poprawki zalecane – tutaj również znajdziesz aktualizacje i poprawki jednak o mniejszej wadze niż w poprzednim dziale. Polecamy wybrać wszystkie pozycje z listy.
Microsoft Windows – aktualizacje komponentów – w tym dziale znajdują się uaktualnienie dla programów firmy Microsoft instalowanych z systemem Windows:
.Net Framework - jest to platforma programistyczna umożliwiająca tworzenie i uruchamianie aplikacji oraz usług napisanych dla technologii .NET. System Windows XP ma automatycznie zainstalowany .NET Framework w wersji 1.1. AutoPatcher aktualizuje go do wersji 3.
MSXML - XML to specjalny język przeznaczony do reprezentowania różnych danych w ustrukturalizowany sposób, MSXML wykorzystywany jest w Internet Explorerze.
Windows Script - odpowiada za interpretację i wykonywanie skryptów w systemie Windows.
Windows Installer – narzędzie odpowiadające za instalacje programów w systemie Windows.
Windows Messenger – aktualizacja programu do rozmów online, jeśli z niego nie korzystanie, nie instalujcie tej aktualizacji.
Windows Update – uaktualnia moduł aktualizacji systemu, jezeli nie aktualizujecie w ten sposób systemu, odznaczcie pole przy tej opcji.
Windows Live Messenger – narzędzie do komunikacji, w przypadku nie korzystania z aplikacji, nie instalujcie tej aktualizacji.
Narzędzie Diagnostyka sieci – analizuje informacje dotyczące połaczenia sieciowego.
Internet Explorer 7 – aktualizacja dla przeglądarki internetowej Microsoftu.
Klient programu Zarządzanie prawami dostępu – narzędzie to zapewnia dostęp do funkcji opartych na technologiach RMS.
Windows Media Player 11 PL – odtwarzacz multimedialny, jeśli z niego korzystasz, zainstalujesz w ten sposób najnowszą wersję.
Windows Dodatki – dodatkowe narzędzia dla systemu Windows XP.
Windows Moduły – użyteczne moduły dla systemu Windows:
Podrasowanie rejestru systemu Windows – tutaj wybierzesz opcje zmian w rejestrze systemu Windows, które wpływają na zmiany wyglądu, funkcjonalności, bezpieczeństwa i szybkości systemu Windows.
Po wybraniu interesujących Cię opcji wciśnij Zapisz ustawienia (instalację będziesz mogli przeprowadzić później lub na innym komputerze z ustawieniami jakie przed chwilą wprowadziłeś) lub Aktualizacja aby od razu rozpocząć instalacje.
Po zakończeniu instalowania wszystkich komponentów uruchom ponownie komputer. Dodatkowe moduły i narzędzie uruchomisz przez menu Start i Panel sterowania.
Aktualizacja oprogramowania
Podobnie jak w przypadku systemu operacyjnego również w programach występują liczne niebezpieczne dziury i luki, które stwarzają potencjalne niebezpieczeństwo dla Twojego komputera. Dlatego bardzo ważne jest aktualizowanie programów do najnowszej, opublikowanej wersji. Pamiętaj przy tym, aby najnowszą wersję programu pobierać z pewnych stron, najlepiej producenta oprogramowania.
Nieużywanie podejrzanych programów i plików niewiadomego pochodzenia
Unikaj mało znanych programów, które kuszą Cię możliwościami niedostępnymi dla darmowego oprogramowania (np. program odbierający wszystkie stacje telewizyjne przez Intenrnet). Nie pobieraj również programów z nieznanych źródeł. Pamiętaj o podstawowej zasadzie, aby w pierwszej kolejności ściągać aplikacje ze strony producenta, a dopiero później, tylko z zaufanego serwisu. Nie instaluj również oprogramowania nielegalnego i crackowanego. Uważaj na pliki pobierane z Internetu. Bądź szczególnie czujny, jeśli pobierasz pliki ze stron z crackami, serialami do komercyjnych programów, pornografią i z sieci P2P.
Sprawdzanie nośników danych
Płyty CD i dyskietki mogą również zawierać złośliwe oprogramowanie. Dlatego przed uruchomieniem nowej płyty koniecznie przeskanuj ją programem antywirusowym
Przeglądnie stron WWW
Niebezpieczeństwo infekcji złośliwym oprogramowaniem zwiększa się przy przeglądaniu stron o podejrzanej treści. Tak więc przeglądając strony o charakterze pornograficznym, witryny poświęcone nielegalnemu oprogramowaniu lub serwisy pseudo-hakerskie musisz liczyć się ze zwiększonym ryzykiem infekcji komputera.
Używanie szyfrowanych połączeń
Jeśli strona WWW umożliwia wejście za pomocą transmisji szyfrowanej (początek adresu https) koniecznie korzystaj z tej możliwości. Dzięki zastosowaniu kryptografii SSL, przesyłane dane będą znacznie trudniejsze do przechwycenia i odczytania. Symbolem takiej transmisji jest ikona zamkniętej kłódki na dolnym pasku okienka przeglądarki internetowej lub w polu adresu.
Poczta e-mail
Duża część złośliwego oprogramowania rozprzestrzeniana jest za pomocą poczty e-mail. Dlatego warto przestrzegać podstawowych zasad, aby zminimalizować ryzyko przeniknięcia wrogiego programu na komputer.
Podgląd wiadomości
W celu zwiększenia bezpieczeństwa wyłącz w Outlook Expressie opcje Okienko poglądu. W tym celu wybierz z górnego menu programu opcję Widok/Układ i w sekcji Okienko podglądu odznacz pole Pokaż okienko podglądu.
Załączniki
Powstrzymaj się także od otwierania podejrzanych załączników z rozszerzeniami typu .exe, .doc lub .xls, zwłaszcza jeśli pochodzą one od nieznanego Ci użytkownika. Bądź czujny również, jeśli dostaniesz list z załącznikiem od znajomej osoby, a nie uzgadnialiście wcześniej, że ma ona przysłać Ci jakiś plik. Przed otwarciem załącznika, przeskanuj go programem antywirusowym
Ochrona e-maila
Pamiętaj aby unikać podawania swojego e-maila w Internecie. Każdy wpis do księgi gości czy pozostawienie informacji o swoim adresie e-mail na dowolnym forum dyskusyjnym może spowodować, że trafi on na listy adresowe organizacji rozsyłających spam. Traktowanie adresu e-mail jako informacji poufnej i powierzanie go jedynie zaufanym osobom pozwoli Ci ustrzec się przed zalewem reklamowych śmieci.
Komunikatory internetowe
Nie klikaj na linki, które dostajesz za pośrednictwem komunikatorów internetowych od nieznanych osób. Zazwyczaj prowadzą one na spreparowane strony, które dokonują włamania do komputera wykorzystując luki przeglądarki.
Bezpieczne hasła
Hasło jest najpowszechniejszą i najprostszą metodą uwierzytelniania dostępu do komputera i danych. Niestety mało kto pamięta, że hasło i jego jakość stanowi często pierwszy i jednocześnie ostatni bastion chroniący przed nieuprawnionym dostępem. Dlatego zastosowanie do ochrony komputerów i danych właściwego hasła stanowi dla większości włamywaczy barierę nie do sforsowania. Podstawowym zadaniem hasła jest bronienie dostępu do komputera i danych. Niestety w większości przypadków użytkownicy stosują bardzo proste hasła. Takie hasła intruz może przy zastosowaniu odpowiedniego sprzętu i oprogramowania rozszyfrować w ciągu kilku minut. Proste do odgadnięcia są hasła złożone z wyrazów słownikowych, nazwisk i dat. Znacznie trudniejsze do złamania są hasła zbudowane ze znaków alfanumerycznych i specjalnych (np. A!f@k)l&).
Silne hasło musi spełnić kilka warunków:
powinno mieć minimum 8 znaków,
powinno składać się z kilku rodzajów znaków, takich jak cyfry (0-9), wielkie i małe litery alfabetu angielskiego (a-z, A-Z) oraz symboli i znaków specjalnych (np. !, %, &, #, @),
nie powinno składać się z wyrazów słownikowych (np. nazwisko, imię), samego ciągu cyfr, zwłaszcza określającego datę urodzenia czy numer NIP oraz całych fraz (np. „dzisiaj mam urodziny”). Litery, a tym bardziej wyrazy nie powinny być zastępowane ich logicznymi odpowiednikami (np. s - $, a - @, o – 0).
należy określić minimalny okres ważności hasła. Silne hasło powinno być zmieniane przynajmniej raz na 3 miesiące (zaleca się zmiany co miesięczne).
hasła nie powinny być nikomu udostępniane oraz zapisywane.
Przykładowe silne hasło spełniające wszystkie powyższe warunki to: $Pl2o4>Fv*J#
Szyfrowanie plików
Windows XP w wersji Professional wyposażony został w specjalne funkcje, umożliwiające zapis plików na dysku w zaszyfrowanym formacie. Podczas szyfrowania pliki są zapisywane w formacie, który uniemożliwia innym ich odczytanie. Możesz automatycznie szyfrować swoje pliki za pomocą EFS (Encrypting File System) w momencie, gdy zapisujecie je na dysku.
W ten sposób pliki mogą być szyfrowane tylko na partycjach z systemem plików NTFS, nie da się tego zrobić na partycjach FAT32.
EFS stosuje się do:
szyfrowania plików,
dostępu do zaszyfrowanych plików,
kopiowania, przenoszenie oraz zmieniania nazw zaszyfrowanych plików,
odszyfrowywania plików.
EFS szyfruje pliki tylko wtedy, gdy są zapisywane. Żeby zaszyfrować pliki przesyłane przez Internet, konieczne są dodatkowe zabezpieczenia, np. Internet Protocol Security (IPSec) lub szyfrowanie PPTP. Szyfrowanie z użyciem EFS możesz włączyć w Eksploratorze Windows w następujący sposób:
Uruchom Eksplorator Windows i wyszukaj pliki do zaszyfrowania.
Kliknij wybrany plik lub katalog prawym przyciskiem myszy i wybierz z menu kontekstowego opcję Właściwości.
W zakładce Ogólne kliknij przycisk Zaawansowane.
W obszarze Atrybuty kompresji i szyfrowania zaznacz opcję Szyfruj zawartość, aby zabezpieczyć dane i kliknij OK.
Ponownie kliknij przycisk OK. Pojawi się okno dialogowe z ostrzeżeniem o szyfrowaniu.
Jeśli chcesz zaszyfrować tylko wybrany plik, zaznaczcie opcję Szyfruj tylko plik i po raz kolejny kliknij OK.
Czas operacji szyfrowania lub odszyfrowywania jest tym dłuższy im więcej jest danych do przetworzenia. Może on wynosić nawet kilkanaście minut. Nazwy zaszyfrowanych plików i katalogów będą wyświetlane w Eksploratorze Windows na zielono.
Nieufność
Nie ufaj otrzymywanym od nieznajomych ofertom czy odnośnikom. Nigdy nie podawaj w e-mailach czy rozmowach prowadzonych za pośrednictwem komunikatorów swoich loginów i haseł. Nie rozpowszechniaj informacji na temat swojego systemu operacyjnego, używanej karty sieciowej, adresu MAC czy numeru IP. Im mniej o Tobie wiadomo, tym mniejsze prawdopodobieństwo, że ktoś wykorzysta te informacje przeciwko Tobie. Nigdy nie mów (np. przez komunikator internetowy) że właśnie sprawdzasz stan konta w banku czy pocztę elektroniczną. Jeśli Twoje rozmowy są podsłuchiwane, intruz będzie wiedział, kiedy może podsłuchać Twoje hasło.
Zabezpieczenie sieci bezprzewodowej
Jeśli korzystasz z sieci bezprzewodowej, koniecznie włącz szyfrowanie WEP/WPA. Włamanie do sieci bezprzewodowej jest nieporównywalnie łatwiejsze niż do klasycznej. Wystarczy, że intruz znajdzie się z laptopem odpowiednio blisko punktu dostępowego, a włamie się do niego i będzie miał dostęp do wszystkich pakietów przepływających w sieci.
Ochrona przed przepełnieniem bufora
Włącz technologię DEP (Data Execution Prevention), która zapobiegająca uruchamianiu kodów programów umieszczonych w obszarze pamięci tylko dla danych. Dzięki temu likwiduje wiele zagrożeń dotyczących złośliwego oprogramowania. Wykorzystuje ona dwa mechanizmy obrony: sprzętowy (NX) oraz programowy. Funkcja ta może jednak sprawiać problemy niektórym aplikacjom, dlatego warto w takich przypadkach wyszczególnić listę programów, które mają być zwolnione z ochrony DEP. Konfiguracji zabezpieczeń DEP możesz dokonać poprzez: Mój Komputer/Właściwości/Zaawansowane/Wydajność/Ustawienia/ Zapobieganie wykonywaniu danych. Po kliknięciu opcji Dodaj możesz wybrać odpowiedni program, dla którego ochrona DEP ma być wyłączona.
Rysunek 5. Okno Opcje wydajności, pozwalające wyłączyć usługę DEP dla wybranych programów
Zdalna obsługa komputera
Do zdalnego administrowania komputerem używaj SSH zamiast telnetu. Telnet jest starszym i coraz mniej popularnym (choć ciągle spotykanym) sposobem na zdalne wykonywanie komend na innym komputerze. Ponieważ komunikacja przez telnet jest nieszyfrowana, o wiele bezpieczniejszym rozwiązaniem jest używanie SSH będącego standardem w zdalnym zarządzaniu.
Sprawdzanie poziomu bezpieczeństwa w komputerze
Jeżeli uważasz, że Twój komputer jest zabezpieczony, ma zainstalowane wszystkie poprawki, program antywirusowy i firewall, sprawdź czy rzeczywiście ochrona Twojego peceta jest skuteczna. Skorzystaj z bezpłatnych serwisów, które symulują próby wtargnięcia do Twojego komputera z Internetu.
W zależności od wybranej opcji, będziesz mogli przeskanować swój komputer w poszukiwaniu otwartych portów, aktywnych trojanów i uruchomionych usług. W przypadku wykrycia luki zostaniesz poinformowani o tym fakcie wraz z informacją dotyczącą sposobów jej likwidacji. Jeżeli nie udostępniasz w Internecie żadnych usług, powinieneś zmierzać do sytuacji, w której dostęp do komputera jest zablokowany.
AKTYWNA WALKA Z ZAGROŻENIAMI Z INTERNETU
W tej części hasła przedstawimy programy, które są nieodzownym orężem w walce z internetowym złem. Programy opisane za chwilę służą do zabezpieczenia Twojego komputera, a także do bezpośredniego zwalczania uciążliwych agresorów.
Zapora sieciowa
Firewall zwany zaporą sieciową lub ogniową to rozwiązanie sprzętowe lub programowe, które chroni komputer przed atakami intruzów, a także złośliwym oprogramowaniem. Pozwala on także dokładnie monitorować przebieg komunikacji w sieci Internet. Zapora sieciowa przepuszcza lub odrzuca pakiety na podstawie zdefiniowanych reguł, takich jak protokół, adres nadawcy, adres odbiorcy, port źródłowy, port docelowy, itp. Każdy komputer podłączony do Internetu powinien mieć zainstalowaną i dobrze skonfigurowaną zaporę sieciową. Dzięki niej agresorowi trudniej będzie przedrzeć się do Twoich danych, a komputer zamieni się w strzeżoną pilnie twierdzę.
Windows Firewall
Windows Firewall to zapora sieciowa wbudowana w system Windows (udoskonalona w dodatku Service Pack). Zapora systemu Windows uaktywnia się domyślnie już podczas pierwszego uruchomienia komputera. Szczególną zaletą Windows Firewall jest jego współpraca z innymi zaporami systemowymi.
Aby przejść do systemu zarządzania Windows Firewall wybierz Start/Panel sterowania/Centrum zabezpieczeń i z dolnej części okna wybierz Zapora systemu Windows. Zapora ma trzy tryby pracy:
Włącz - jest to domyślny i zalecany tryb pracy zapory. Zawiera niezwykle przydatną listę wyjątków, która stanowi wykaz programów i usług wyposażonych w możliwości nasłuchiwania na odpowiednich portach i otwierania portów obsługiwanych przez usługi FTP lub WWW. Brak aplikacji na liście wyjątków prowadzi do wyświetlenia pytania do użytkownika o potwierdzenie blokady lub odblokowania dostępu programu/usługi do Internetu.
Rysunek 6. Zakładka Wyjątki w listą wyszczególnionych aplikacji
Oprócz tego możesz w opcjach Dodaj program/port i Edytuj udostępnić daną aplikację lub port dla konkretnego komputera (należy podać odpowiedni adres IP) lub dla całego otoczenia sieciowego, bądź też pozostawić do Twojej wyłącznej dyspozycji.
Rysunek 7. Okno z możliwościami udostępnienia wybranych aplikacji lub portów
W ostatniej z zakładek (Zaawansowane) zapora sieciowa umożliwia dokonywanie złożonych konfiguracji połączeń, dotyczące protokołów, serwerów i innych usług. Konfiguracji możesz dokonywać z poziomu opcji Ustawień połączeń sieciowych.
Rysunek 8. Tryb zaawansowanych ustawień zapory ogniowej systemu Windows
Możesz również uaktywnić porty udostępniające pliki w sieci lokalnej bądź zamknąć dostęp do nich z Internetu.
Rysunek 9. Lista szczegółowych usług dostępu
Dla administratorów monitorujących system za pomocą Podglądu zdarzeń udostępniona jest możliwość tworzenia dzienników zabezpieczeń rejestrujących połączenia. Zapora pozwala wybrać maksymalny rozmiar utworzonego dziennika i wyszczególnić rodzaje zdarzeń, jakie ma rejestrować (np. udane połączenia lub porzucone pakiety).
Rysunek 10. Okno ustawień dziennika zabezpieczeń
Drugi tryb pracy zapory systemowej Nie zezwalaj na wyjątki wyłącza listę wyjątków. Tryb ten ma szczególne znaczenie, gdy komputer jest zainfekowany groźnymi wirusami. W tym wypadku szczególnie przydaje się możliwość ustawiania zapory dla każdego połączenia z osobna.
Trzeci tryb całkowicie wyłącza działanie zapory ogniowej systemu Windows. Tryb przydatny w wypadkach braku kompatybilności zapory z innym potrzebnym Wam do pracy oprogramowaniem.
Sunbelt Kerio Personal Firewall
Program Sunbelt Personal Firewall ma szeroko zakrojoną ochronę komputera. Poza kontrolą transmisji danych poszczególnych programów, umożliwia także blokowanie okien wyskakujących na stronach WWW, blokowanie informacji o odwiedzanych stronach internetowych (Refer), czy zarządzanie plikami cookies. Umożliwia także ochronę informacji prywatnych, takich jak adresy kont pocztowych, numerów kart płatniczych, czy też kont bankowych. Po instalacji program Sunbelt Personal Firewall działa w pełnej wersji przez 30 dni, a następnie staje się dostępny jedynie w wersji ograniczonej. Wersja limitowana nie zapewnia filtrowania treści, blokowania okienek pop-up, reklam, skryptów oraz ciasteczek. Jednak nawet wersja limitowana stanowi skuteczną ochronę komputera w sieci Internet.
Instalacja Sunbelt Personal Firewall
Podczas instalacji zapory Sunbelt Personal Firewall, wyświetlone zostanie pytanie o ustawienia jakie mają zostać włączone po instalacji. Dostępne są dwie możliwości:
Simple (No popup mode) – przyjęte ustawienia nadają się dla większości użytkowników. Program nie zadaje pytań dotyczących ustawień.
Advanced (Learning mode) – program pyta o nieznany ruch w sieci, oraz o uruchamianie nieznanych aplikacji.
Przy ustawieniu Simple zapora przepuszcza całą komunikację wychodzącą, a blokuje połączenia przychodzące. Ustawienia sieci są dobierane automatycznie, a opcje informacji o zagrożeniu są wyłączone. Oznacza to, że na ekranie nie będą pojawiać się informacje o zaistniałych zagrożeniach, dzięki czemu użytkownik nie będzie musiał wybierać czy zablokować lub przepuścić dane połączenie. Z kolei funkcja Advanced przeznaczona jest dla bardziej zaawansowanych użytkowników i umożliwia ustawienie poziomu bezpieczeństwa odpowiednie do Waszych wymagań.
P
o
zakończeniu instalacji i ponownym uruchomieniu systemu, program
automatycznie zostanie wczytany przy starcie. W pasku zadań widoczna
będzie jego ikona.
Rysunek 11. Ikona zapory Sunbelt Personal Firewall widoczna w pasku zadań
po otwarciu programu podwójnym kliknięciem jego ikony w pasku zadań, w lewym menu znajdują się takie pozycje jak:
Przegląd – ogólne informacje o przesyłanych danych, oraz statystyki,
Ochrona sieci – ustawienia programu Sunbelt Personal Firewall,
Ataki – ustawienia zapobiegające atakom,
WWW – ustawienia pozwalające kontrolować zawartość wyświetlanych stron WWW,
Logi i ostrzeżenia – informacje o zarejestrowanych zdarzeniach.
Poniżej menu znajduje się wykres wskazujący, z jaką prędkością odbywa się komunikacja przychodząca oraz wychodząca. Wykres zielony odpowiada za prędkość komunikacji wychodzącej, natomiast wykres czerwony – przychodzącej. Z lewej strony okna programu znajduje się także przycisk Odłącz sieć. Służy on awaryjnym sytuacjom, w których z różnych przyczyn chcesz przerwać połączenie sieciowe. Może to być np. atak hakera, czy nieprawidłowe funkcjonowanie któregoś z programów mogące być wynikiem działalności wirusa komputerowego.
Rysunek 12. Menu zapory Sunbelt Personal Firewall, monitor i przycisk Odłącz sieć
Przegląd
W menu Przegląd znajdują się informacje o realizowanych połączeniach. Dostępne są tu zakładki takie jak:
Połączenia – znajdują się tu informacje o tym, z jakiego adresu i portu realizowane jest połączenie, jaki program nim rozporządza i przez jaki protokół odbywa się połączenie. Informacje te widoczne są po naciśnięciu ikony plusa znajdującej się przy poszczególnych pozycjach programów.
Rysunek 13. Połączenia widoczne po rozwinięciu pozycji programu Firefox
Na dole okna programu znajdują się informacje o ilości połączeń przychodzących, wychodzących oraz nasłuchujących. Połączenia nasłuchujące to otwarte porty aplikacji systemowych. Mogą one być otwierane przez program, który korzysta z sieci, ale także przez konie trojańskie zagrażające bezpieczeństwu systemu. Aby dowiedzieć się, jakie programy utrzymują otwarte porty w systemie, wystarczy rozwinąć menu danego programu naciskając przycisk + przy jego nazwie.
Rysunek 14. Informacja o połączeniach przychodzących, wychodzących i nasłuchujących, wyświetlana u dołu okna zapory Sunbelt Personal Firewall
Statystyki – dowiesz się tutaj wszystkiego o ilości zarejestrowanych ataków na oprogramowanie (HIPS – funkcja ta ma na celu zapobieganie atakom, które są wymierzone w najsłabsze punkty aplikacji zainstalowanych w komputerze, zapora chroni Cię głównie przed przepełnieniem bufora oraz przed złośliwym kodem), ilości zarejestrowanych ataków z sieci (NIPS – zapora chroni sieć przed znanymi formami ataków), a także zablokowanych reklamach, skryptach, czy plikach cookies. Z rozwijalnego menu możliwe jest wybranie zakresu czasowego, dla jakiego mają zostać wyświetlone informacje. Dostępne przedziały czasu to godzina, dzień, tydzień i miesiąc.
Właściwości – możesz tutaj włączyć informowanie przez program o jego nowych wersjach, generowanie raportu o błędach przydatny do wykrycia problemów z programem, import oraz eksport ustawień programu, dzięki któremu łatwo jest przenieść skonfigurowane reguły lub zarchiwizować tworząc kopię bezpieczeństwa.
Program także możesz chronić hasłem, dzięki czemu dostęp do funkcji i ustawień zapory sieciowej może mieć tylko upoważniona osoba oraz można zarządzać nią zdalnie z innego komputera. Te opcje włącza się po zaznaczeniu Włącz ochronę hasłem oraz Zezwalaj na zdalną administrację programem.
Ochrona sieci
W zakładce Ochrona sieci znajdują się wszystkie ustawienia niezbędne do prawidłowej konfiguracji programu Sunbelt Personal Firewall. Znajdziesz tu zakładki:
Aplikacje - znajdują się kolumny z opisem plików i aplikacji za pośrednictwem których, odbywa się komunikacja sieciowa. Dalej widnieją dwie kolumny: Zaufane oraz Internet, podzielone na dwie mniejsze kolumny Przychodzące i Wychodzące. Zaufane to strefa określona przez użytkownika jako uprzywilejowana. Poszczególne komputery, czy adresy IP można dodać do strefy zaufanej, dzięki czemu komunikacja z nimi będzie się odbywać z innymi przywilejami (np. połączenie przychodzące w kierunku Twojego komputera będzie zawsze przepuszczane), niż ma to miejsce w przypadku pozostałych połączeń określanych jako Internet. Zarówno opcje połączeń przychodzących jak i wychodzących można ustawić w trzech pozycjach:
blokuj – blokuje połączenia,
dopuść – zezwala na połączenia,
pytaj – przy połączeniu wyświetlane jest okno dialogowe, dzięki któremu użytkownik może zadecydować, czy połączenie ma zostać przepuszczone, czy też odrzucone.
Kolumna Internet odpowiada strefie wszystkich pozostałych połączeń. Jeżeli przeglądasz strony WWW, korzystasz z FTP, czy odbierasz pocztę elektroniczną, wszystkie te połączenia znajdują się w strefie Internetu.
Kolumna Zapisuj logi umożliwia włączenie logowania zdarzeń, w celu późniejszej analizy. Włączanie logowania następuje po przyciśnięciu kropki znajdującej się w tej kolumnie. Po kliknięciu zmieni się ona w ikonę kartki papieru z liniami. Oznacza to, że logowanie zostało włączone.
Kolumna Ostrzegaj służy powiadamianiu użytkownika o wszelkiej działalności związanej z daną aplikacją. W przypadku próby uruchomienia czy usunięcia danej aplikacji, na ekranie wyświetlony zostanie komunikat na ten temat. Dzięki temu użytkownik ma dokładniejszy wgląd w działania wykonywane w systemie. Włączenie ostrzegania odbywa się podobnie jak w przypadku logowania: kliknij kropkę znajdującą się w wierszu z daną aplikacją w kolumnie Ostrzegaj. Zostanie ona zamieniona w znak ostrzeżenia z wykrzyknikiem. Od tej chwili ostrzeganie jest włączone.
U dołu listy reguł znajduje się pozycja Dowolna aplikacja. Najlepszym rozwiązaniem jest ustawienie opcji komunikacji wychodzących i przychodzących w pozycji pytaj. Dzięki temu, za każdym razem, gdy uruchomiony zostanie nowy program, który nawiąże połączenie z Internetem, pojawi się okno dialogowe. W oknie tym wyświetlone zostanie pytanie o zdefiniowanie reguły. Wówczas z rozwijanego menu wybierz opcje dopuść/pytaj/blokuj dla poszczególnych połączeń przychodzące/wychodzące w strefie Zaufane oraz Internet.
W przypadku, gdy po raz pierwszy po zainstalowaniu programu Sunbelt Personal Firewall uruchomiony zostanie dowolny program korzystający z Internetu, wyświetlone zostanie następujące okno z pytaniem o określenie reguły dla aplikacji.
Rysunek 15. Okno programu Sunbelt Personal Firewall, służące do określenia reguły połączenia programu Screamer Radio
Aby zezwolić na działanie programu:
Zaznacz opcję Utwórz regułę dla tego połączenia i więcej się nie pytaj.
Następnie wciśnij przycisk Dopuść.
Teraz przejdź do listy aplikacji i naciśnij przycisk Odśwież, znajdujący się w prawym dolnym narożniku okna. Na liście pojawi się pozycja Skype, wraz z utworzonymi regułami połączenia.
W celu zwiększenia bezpieczeństwa komputera w pozycji Microsoft File and Printer Sharing ustaw opcję blokuj, zarówno dla połączeń przychodzących i wychodzących w kolumnie Zaufane oraz w kolumnie Internet. Dzięki temu wszystkie połączenia związane z udostępnianiem plików oraz drukarek będą blokowane. Jeśli komputer podłączony jest do sieci lokalnej, mogą się wówczas pojawić problemy z otoczeniem sieciowym. Wówczas dodaj otoczenie sieciowe do strefy Zaufanej i ustaw dla niej przepuszczanie połączeń.
Rysunek 16. Pozycja Microsoft File and Printer Sharing w oknie zapory Sunbelt Kerio Personal Firewall
W zakładce Zdefiniowane dostępne są reguły ochrony sieci. Możesz tu określić czy dla poszczególnych stref (Zaufane i Internet), będą realizowane połączenia. W celu najlepszej ochrony komputera pozostaw dopuszczone (pozostawiony zielony znaczek) w obu kolumnach następujące pozycje:
Ping and Tracert out
Dynamic Host Configuration Protocol
Domain Name System
Pozostałe pozycje pozostaw zablokowane (zaznaczone czerwonym iksem).
Rysunek 17. Ustawienia reguł ochrony sieci w zakładce Zdefiniowane
Zakładka Zaufana strefa odpowiada za ustawienia komputerów, adresów IP lub całych zakresów adresów IP, które będą uprzywilejowane. Oznacza to, że ustawienia ich praw dostępu będą określane nie w kolumnie Internet, ale w kolumnie Zaufane.
W zakładce Zaawansowane znajdują się opcje:
Ochrona w czasie uruchamiania – blokuje wszystkie połączenia przychodzące w czasie uruchamiania i zamykania systemu.
Tryb współdzielenia łącza – jeżeli z komputera na którym zainstalowany jest zapora Sunbelt Personal Firewall udostępnione jest łącze internetowe dla innego komputera, powinieneś włączyć tę opcję.
Zaawansowana rejestracja zdarzeń – w plikach logowania znajdować się będą również pozycje komunikacji do portów, które nie są otwarte. Opcja ta przydatna jest w przypadku, gdy dokładnie analizowany jest ruch sieciowy na danym komputerze. Standardowo opcję tę możesz pozostawić odznaczoną.
Ataki
W menu Ataki znajduje się sieciowy system zapobiegania atakom (NIPS) oraz system zapobiegania atakom na aplikacje (HIPS). Oba te systemy należy włączyć. Natomiast opcję Włącz ochronę systemu możesz pozostawić odznaczoną, ponieważ jej rolę spełnia dobry program antywirusowy, który powinieneś mieć zainstalowany w komputerze.
WWW
Zakładka WWW służy do filtrowania zawartości stron internetowych. W menu tym znajdziecie zakładki:
Blokowanie – znajdują się tu opcje, za pomocą których mogą być filtrowane reklamy, wyskakujące okna, a także niebezpieczne skrypty oraz obiekty ActiveX.
W zakładce Prywatność istnieje możliwość filtracji plików cookies, mogących dostarczać osobom postronnym informacje o odwiedzanych przez Ciebie stronach, a także informacji Refer, która przesyła dane dotyczące ostatnio odwiedzanej strony internetowej. Opcja Blokuj informacje prywatne umożliwia włączenie blokowania wysyłanych informacji o karcie kredytowej, adresie e-mail, koncie bankowym, numerze telefonu, kluczu rejestracyjnym, numerze prywatnym, kodzie PIN, ID użytkownika, itp.
Aby dodać nową regułę dotyczącą blokowania powyższych danych:
Zaznacz pole Blokuj informacje prywatne.
Następnie wciśnijcie przycisk Ustaw/Dodaj.
W polu Typ wybierz rodzaj informacji, który ma zostać blokowany.
Teraz w polu Blokowanie informacji wpisz ciąg znaków, który ma być blokowany (w przypadku adresu e-mail będzie to ciąg w formacie nazwa@domena.pl).
Następnie w polu Opis wpisz dowolną nazwę własną dla stworzonej reguły.
Rysunek 18. Okno ustawień blokowania informacji prywatnych
W zakładce Wyjątki znajdują się adresy internetowe, które będą traktowane w szczególny sposób. Można dla nich określić odrębne reguły korzystania z funkcji Refer, plików cookies, okienek wyskakujących, czy skryptów oraz informacji prywatnych.
Aby dodać nową pozycję do Wyjątków:
Wciśnij przycisk Dodaj.
W polu Adres serwera WWW wpisz adres strony internetowej (możliwe jest zastosowanie znaków uniwersalnych odpowiadających pojedynczym znakom (symbol ?) lub całym ciągom znaków (symbol *).
W zakładce Blokowanie zaznacz pola opcji, które mają być blokowane. Mogą to być wyskakujące okna, skrypty, czy obiekty ActiveX.
W zakładce Prywatność możesz zablokować pliki cookies, informacje o przeglądanych stronach, czy też informacje prywatne.
Na końcu kliknijcie OK. Wprowadzony w ten sposób adres strony zostanie dodany do listy Wyjątków. Dzięki temu połączenia z danego adresu internetowego będą przyjmowane lub blokowane według indywidualnie ustalonych dla niego reguł.
Logi i ostrzeżenia - pozwala zobaczyć wszystkie zarejestrowane zdarzenia. U dołu okna znajdują się zakładki, dzięki którym możliwe jest wyświetlenie zalogowanych ataków czy zdarzeń. W zakładce Ustawienia możliwe jest określenie maksymalnego rozmiaru pliku logowania, oraz ustawienie wysyłania go na serwer.
Program antywirusowy
Najlepszym sposobem na zabezpieczenie się przed złośliwym oprogramowaniem jest ochrona w postaci dobrego programu antywirusowego. Antywirus to aplikacja za pomocą której możesz przeszukać dowolny nośnik (dysk twardy, płyta CD lub dyskietka) na obecność wirusa. Program taki skanuje wybrane miejsce i po znalezieniu szkodnika usuwa go z systemu i dysku lub przeprowadza kwarantannę podejrzanych plików. Specjalny monitor online w antywirusach stale sprawdza ruch danych w komputerze i w każdej chwili może wyłapać wirusa lub inny szkodliwy program. Każdy komputer powinien być wyposażony w aktualny program antywirusowy. Dotyczy to maszyn pracujących w Internecie, jak i pecetów, które nie są podłączone do światowej sieci. Jeśli chcesz cieszyć się bezpiecznym i sprawnym komputerem, koniecznie zainstaluj program antywirusowy.
Bazy antywirusowe
Program antywirusowy po krótkim czasie od wydania, traci na swej aktualności. Przez to nie rozpoznaje najnowszych wirusów i staje się mało skuteczny. Trzeba wiedzieć, że nowe wersje złośliwego oprogramowania pojawiają się bardzo szybko, dlatego antywirus może być nieaktualny już po miesiącu. Producenci oprogramowania tego typu rozwiązali ten problem wydając co kilka tygodni specjalne bazy antywirusowe. Zawierają one najnowsze definicje co dopiero zidentyfikowanych wirusów. Wystarczy pobrać specjalny plik aktualizujący lub połączyć się z serwerem producenta przez specjalne narzędzie wbudowane w program.
Avast!
Program ten, jest jedynym z najskuteczniejszych darmowych antywirusów, który dysponuje dodatkowo polskim interfejsem. Avast! Home Edition jest lekko okrojoną wersją pakietu avast! Professional Edition. Można z niego korzystać tylko osobom prywatnym, dla firm przeznaczony jest komercyjny kuzyn tego antywirusa. Charakteryzuje się on dużymi możliwościami i widowiskowym wyglądem. Avast! oferuje ochronę poczty, skanowanie na życzenie i podczas pracy w tle. Umożliwia także skanowanie systemu podczas uruchamiania. Wygląd interfejsu programu możesz zmieniać, wczytując inną skórę. Nie wymaga dużej mocy obliczeniowej, więc może być stosowany nawet na wolniejszych komputerach.
Program trzeba zarejestrować do 60 dni na stronie producenta. Wtedy użytkownik dostaje specjalny klucz licencyjny, który jest ważny przez następne 14 miesięcy. Po upływie tego czasu należy ponownie się zarejestrować na kolejne 14 miesięcy.
Instalacja avast!
Instalacja programu jest poprowadzona w bardzo przystępny i przejrzysty sposób:
Po zaakceptowaniu umowy licencyjnej wybierz rodzaj instalacji.
Kiedy program zostanie zainstalowany, wyświetli się okno z pytaniem o włączenie skanowania dysków lokalnych podczas wczytywania systemu po ponownym uruchomieniu komputera. Jeśli chcesz aby program wykonał przeszukanie wciśnij Tak.
Teraz uruchomiony zostanie Kreator Zabezpieczeń poczty programu avast!.
Po kliknięciu Dalej w oknie Ustawienia podstawowe zaznaczcie pola Automatycznie chronić wszystkie konta pocztowe i Automatycznie chronić wszystkie konta tworzone w przyszłości.
Następnie wybierz podstawowy serwer SMTP oraz POP3 i kliknijcie Zakończ.
Teraz wybierz pole Uruchom ponownie i wciśnijcie Zakończ.
W
pasku zadań pojawią się dwie ikony: z literą a – program
avast! oraz i – dostęp do funkcji VRDB (Virus Recovery
Database). Ikona programu avast! może przybierać różne formy, gdy
jest niebieska chroni komputer. Gdy ikona jest przekreślona, program
jest nieaktywny, gdy szara – program pracuje.
Rysunek 19. Ikona programu avast! w pasku zadań systemu Windows
Konfiguracja avast!
Po uruchomieniu programu avast!, w pierwszej kolejności zostanie przetestowana pamięć operacyjna i elementy autostartu. Test możesz przerwać wciskając przycisk Zatrzymaj test. Wtedy wyświetlone zostanie główne okno programu.
Rysunek 20. Główne okno programu avast! jest bardzo atrakcyjne wizualnie
Aby skonfigurować program:
Kliknij przycisk z trójkątem znajdujący się w lewym, górnym kącie okna programu i z menu które się rozwinie wybierz Ustawienia.
Otworzy się okno ustawień programu avast! Z lewej strony zobaczycie następujące zakładki:
Współdzielone - możesz wyłączyć tutaj test pamięci w trakcie uruchamiania aplikacji. Wystarczy, że odznaczysz odpowiednie pole, a program będzie uruchamiał się szybciej. Poniżej ustawisz program tak, aby nie pozwalał na zamknięcie lub ponowne uruchomienie komputera w przypadku, gdy w napędzie znajduje się nośnik danych. Jest to zabezpieczenie przed wirusami sektora rozruchowego. W tej zakładce znajdują się także opcje dotyczące rozszerzenia Eksploratora.
Kwarantanna - w tej zakładce zdefiniuj opcje związane z wysyłaniem plików z Kwarantanny do ALWIL Software. Wybierz dopuszczalny maksymalny rozmiar pliku i zdefiniuj ustawienia wysłania poczty.
Potwierdzenia - tutaj określ, które pytania i ostrzeżenia będą wyświetlane przez program avast! Polecamy pozostawienie wszystkich pól oznaczonych.
Dźwięki - ustaw interesujące Cię dźwięki informujące o działaniach wykonywanych przez program. Po kliknięciu przycisku Ustawienia, pojawi się okno właściwości dźwięków. Tam w zakładce Dźwięki polu Zdarzenia dźwiękowe znajdziesz sekcję zdarzeń avast! antivirus.
Logowanie – program w czasie pracy tworzy specjalne pliki (tzw. logi), gdzie przechowywane są informacje o zdarzeniach powiązanych z działaniem programu. W tej zakładce określisz typy zdarzeń, o których informacje będą zapisywane w logach. Znajdują się tu:
Stan zagrożenia – oznacza niebezpieczeństwo dla całego komputera.
Alarm - możliwe niebezpieczeństwo dla całego komputera.
Krytyczny - krytyczny błąd programu, po którym zostanie on zamknięty.
Błąd - pojawił się błąd i program nie może dalej funkcjonować.
Ostrzeżenie - pojawił się błąd, ale program może działać lub naprawić problem.
Powiadomienie - ważna informacja.
Informacja - zwykłe powiadomienie.
Wykluczenia – tutaj możesz wykluczyć z testowania na obecność wirusów dowolne foldery lub pliki.
Aktualizacja (podstawowa) - skonfiguruj sposób aktualizacji najnowszych definicji antywirusowych i samego programu. Avast! może pobierać automatycznie bazy wirusów (jeśli tylko dostępna będzie nowsza od dostępnej w Waszym programie), informować jeśli pojawiły się nowe bazy (program przed aktualizacją poprosi o zgodę) lub pozostawić użytkownikowi ręczne wykonywanie tej czynności. W trakcie aktualizacji programu aktualizowana jest również baza wirusów. Podczas aktualizacji wczytywane są tylko brakujące elementy, co skraca długość łączenia się przez Internet.
W zakładce Aktualizacje (Połączenia) określ sposób w jaki komputer łączy się z Internetem.
Alerty – jeśli chcesz, aby avast! wysyłał wiadomości z ostrzeżeniem o pojawieniu się wirusa, wpisz adres alertu.
Rysunek 21. Aktualizacja programu i definicji antywirusowych w avast!
Aby ręcznie pobrać bazy wirusów w głównym oknie programu wciśnij przycisk z błyskawicą znajdujący się w lewej, dolnej części panelu. Możesz również kliknać prawym przyciskiem myszy ikonę a i z menu kontekstowego wybrać Aktualizacje/Aktualizuj. Zostanie wtedy nawiązane połączenie z serwerem w celu ściągnięcia najnowszych definicji antywirusowych.
Szukanie wirusów za pomocą avast!
Z poziomu programu możesz przeszukać na obecność wirusów wszystkie dyski lokalne, wymienne nośniki i konkretny obszar, jak np. dany folder lub grupa folderów. W tym celu:
Kliknij jedną z ikon znajdujących się z prawej strony panelu programu avast! Pierwsza od góry umożliwia przeskanowanie całych dysków twardych, druga wymiennych nośników, a najniżej – wybór konkretnego miejsca do skanowania.
Po wybraniu skanowania:
całych dysków - z panelu z górnej krawędzi wysunie się wybór opcji przeszukiwania. Dostępne są: Szybki skan, Standardowy skan i Gruntowny skan.
nośników wymiennych – poza wyborem szybkości skanowania, wysuwa się z prawej strony także mniejszy panel, w którym zaznacz czy chcesz przeszukać dyskietkę czy napęd CD/DVD.
konkretnej lokalizacji – po kliknięciu tej ikony otworzy się okno w którym wybierz folder, który chcecie przeszukać.
Teraz wciśnij przycisk wyglądający jak play w odtwarzaczach multimedialnych, a zostanie uruchomiony proces skanowania.
Po zakończeniu, w panelu wyświetlony zostanie wynik poszukiwań.
Jeśli podejrzane pliki będą przeniesione do kwarantanny, możesz je zobaczyć klikając przycisk z trójkątem, znajdujący się w lewym, górnym kącie okna programu. Następnie z menu które się rozwinie, wybierz Ustawienia/Kwarantanna wirusów. W oknie, które się otworzy zobaczysz pliki poddane kwarantannie.
Osłona rezydentna w avast!
Osłona rezydentna w programie avast! to specjalny monitor kontrolujący wszystkie wysyłane i przychodzące pliki. Przez to zmniejsza się możliwość zakażenia komputera przez wirusa. Osłona rezydentna uruchamiana jest automatycznie przy starcie systemu operacyjnego.
Aby skonfigurować osłonę rezydentną:
Kliknij prawym klawiszem myszy ikonę z literą a w pasku zadań systemu Windows i z rozwiniętego menu wybierzcie Kontrola ochrony dostępowej.
W oknie Skaner dostępowy avast! możesz wybrać poziom zabezpieczeń Normalny lub Wysoki.
Po wciśnięciu przycisku Szczegóły zobaczysz zainstalowanych w Twoim komputerze dostawców.
W oknie tym ustaw czułość osłony rezydentnej jako Normalną, Wysoką lub Własną (po skonfigurowaniu narzędzia według własnych potrzeb).
VRDB
VRDB to baza danych umożliwiająca odzyskanie plików po ataku wirusa. Dzięki temu narzędziu będziesz mógł także naprawić zarażone pliki. Jeśli w pasku zadań zobaczysz ikonę z literą i oznacza to, że VRDB właśnie działa.
Aby utworzyć bazę danych VRDB kliknij prawym klawiszem myszy ikonę z literą i w pasku zadań i z menu wybierz Generuj teraz VRDB!
Baza VRDB powinna być często aktualizowana, zwiększa to jej skuteczność. Możesz tak ustawić program avast!, aby uaktualniał bazę kiedy komputer nie jest obciążony lub podczas pracy wygaszacza ekranu. Baza danych jest aktualizowana co trzy tygodnie.
Rysunek 22. Opcje VRDB dostępne po kliknięciu ikony w pasku zadań systemu Windows
Skanowanie komputera oprogramowaniem antywirusowym w trybie awaryjnym
Aby skutecznie oczyścić komputer z niechcianego oprogramowania możesz przeskanować go programem antywirusowym w trybie awaryjnym. System Windows uruchamia się wtedy z minimalna ilością sterowników i dodatkowych modułów, a więc zmniejsza się ryzyko, że złośliwe oprogramowanie zablokuje program antywirusowy. W tym celu:
Po włączeniu komputera po pokazaniu się ekranów POST Biosu, a przed wyświetleniem ekranu ładowania systemu Windows wciśnij klawisz <Przeycisk>F8.
Następnie z menu startowego, za pomocą strzałek kursora góra i dół, wybierz opcję Tryb awaryjny i potwierdź swój wybór klawiszem ENTER.
Komputer uruchomi się w trybie awaryjnym.
Ponieważ komputer w trybie awaryjnym wczytuje się z minimalną ilością sterowników i dodatkowych podprogramów, najprawdopodobniej oprogramowanie antywirusowe nie zostanie załadowane automatycznie. Musisz je uruchomić ręcznie klikając Start/Wszystkie programy.
Skanery antywirusowe online
Jeśli chcesz dodatkowo sprawdzić jakiś plik innym antywirusem nie musisz go instalować. Skorzystaj ze skanera online. Dzięki niemu szybko przeszukasz dysk lub nośnik na wypadek występowania wirusa. Jedynym warunkiem jest dostęp do Internetu podczas instalacji skanera i przy pobieraniu uaktualnień. Wszystkie opisane skanery antywirusowe są bezpłatne. Skanery online podczas instalacji i przy kolejnym uruchomieniu pobierają najnowsze definicje wirusów. Zwiększa to skuteczność wykrywania wirusów. Po zainstalowaniu skanery antywirusowe mogą być używane wielokrotnie, bez konieczności ponownego łączenia z Internetem. Czas potrzebny na zainstalowanie skanerów przez Internet może być dosyć długi, nawet do kilkudziesięciu minut.
Najlepsze skanery antywirusowe to:
Panda ActiveScan - możesz nim testować wybrane pliki, całe foldery na dysku lokalnym i sieciowym, w stacjach dyskietek, CD-ROM-ie, strony WWW i listy e-mail wraz z załącznikami.
Skaner MkS_vir - sprawdza i czyści zainfekowane pliki.
Skaner Symantec Security Check - skaner w wersji angielskiej, domyślnie sprawdza cały dysk na obecność wirusów i trojanów.
Korzystaj ze skanerów internetowych tylko w ostateczności, ponieważ nie mogą one zapewnić ochrony antywirusowej na takim poziomie jak specjalistyczna aplikacja zainstalowana i skonfigurowana na Twoim komputerze.
Programy zwalczające złośliwe oprogramowanie
Aplikacji specjalizujących się w oczyszczaniu komputera ze złośliwego oprogramowania jest bez liku. Za chwile opiszemy najskuteczniejsze programy tego typu.
Spybot - Search & Destroy
Bardzo skutecznym programem do walki ze złośliwym oprogramowaniem jest Spybot - Search & Destroy. Po pobraniu wersji instalacyjnej należy program zainstalować i odpowiednio skonfigurować. W tym celu:
Uruchom program instalacyjny klikając go dwukrotnie.
Wybierz język instalacji (domyślnie będzie to język polski)
Następnie zaakceptuj warunki licencji i wciśnij Dalej.
Wybierz folder, w którym program ma zostać zainstalowany.
W kolejnym oknie Zaznacz komponenty pozostaw opcje zaznaczone domyślnie. Upewnij się że pole Pobierz aktualizacje; natychmiast jest zaznaczone.
Potwierdź utworzenie skrótów w menu Start.
W oknie Zaznacz dodatkowe zadania pozostaw opcje domyślne, czyli wszystkie cztery pola powinny być zaznaczone.
Aby rozpocząć instalację kliknij Instaluj. W trakcie instalacji program może się łączyć z serwerem w celu ściągnięcia dodatkowych modułów, tak więc instalacja może potrwać kilka minut.
Po zakończeniu instalacji instalator automatycznie uruchomi program o ile nie odznaczysz opcji Uruchom program.
Przy pierwszym uruchomieniu, uruchomiony zostanie kreator konfiguracji programu. Aby skonfigurować Spybot - Search & Destroy:
W pierwszej kolejności wykonaj kopię zapasową rejestru klikając przycisk Twórz kopie zapasową rejestru.
Po utworzeniu kopii zapasowej przejdź do kolejnego okienka w którym zaktualizujesz program. W tym celu wciśnij Wyszukaj aktualizacje a następnie pobierz wszystkie dostępne aktualizacje.
W kolejnym oknie włącz opcję Chroń system, a następnie Rozpocznij prace z systemem.
Niszczenie złośliwego oprogramowania
Gdy program jest uaktualniony i skonfigurowany można rozpocząć eksterminacje złośliwego oprogramowania. W tym celu:
Kliknij w lewym menu ikonę Sprawdzanie i naprawa, a nastepnie aby uruchomić skanowanie wciśnij przycisk Sprawdź wszystko.
Po sprawdzeniu systemu program Spybot - Search & Destroy wyświetli listę znalezionych problemów. Aby je usunąć kliknij przycisk Napraw zaznaczone problemy i potwierdź zamiar wykonania operacji.
Rysunek 23. Wyniki wyszukiwania i zaznaczone 22 znalezionych problemów
Aby skanowanie programem Spybot - Search & Destroy było jeszcze bardziej skuteczne, wykonuj je uruchamiając komputer w trybie awaryjnym.
Ochrona systemu za pomocą Spybot - Search & Destroy
Program ten poza usuwaniem złośliwego oprogramowania, ma również funkcję ochrony systemu przed takim oprogramowaniem. Spybot - Search & Destroy wyposażono w szereg dodatkowych narzędzi, które skutecznie będą neutralizowały różnego rodzaju zagrożenie. Aby je włączyć i ustawić:
Zmień interfejs programu ze standardowego na zaawansowany (menu Tryb/Zaawansowany).
W menu po lewej stronie kliknij zakładkę Narzędzia.
Wybierz pozycję Rezydent i w niej zaznacz pola Rezydent SDHelper (program chroni przez szkodliwymi pobraniami przeglądarki Internet Explorer) i Rezydent Tea Timer (chroni ustawienia systemu i zmiany dokonywane w rejestrze).
Teraz przejdź do kategorii IE Tweaks i zaznacz tam opcje:
Ustaw plik hosta jako tylko do odczytu aby zabezpieczyć się przed porywaczami
Zablokuj stronę startową dla zmian przez użytkownika (bieżący użytkownik)
Zablokuj panel kontrolny IE przed jego otwarciem (bieżący użytkownik)
Rysunek 24. Włączanie zaawansowanych opcji ochrony przeglądarki w programie Spybot - Search & Destroy
Opcja Zablokuj panel kontrolny IE przed jego otwarciem uniemożliwi dokonanie zmian w ustawieniach Internet Explorera również samemu użytkownikowi. Menu Narzędzia/Opcje internetowe nie będzie dostępne z poziomu przeglądarki. Zmiana w ustawieniach Internet Explorera możliwa będzie jedynie z poziomu Opcje internetowe w Panelu sterowania.
SUPERAntiSpyware Free Edition
Program SUPERAntiSpyware Free Edition specjalizuje się w wykrywaniu i zwalczaniu szkodliwych programów. Program oferuje trzy tryby skanowania pozwalające na sprawdzenie dysku twardego, nośników wymiennych, pamięci oraz rejestru.
Aby skonfigurować program:
Po instalacji SUPERAntiSpyware Free Edition powinieneś zaktualizować jego bazę sygnatur, odpowiadając Tak na pytanie dotyczące pobrania najnowszych definicji.
Po pobraniu komponentów uruchomiony zostanie kreator, który pozwoli skonfigurować program. W trakcie operacji musisz podać swój adres e-mail.
W oknie Protect Home Page potwierdź stronę startową, jeśli jest ona zgodna z Twoim wcześniejszym ustaleniem. Aby potwierdzić wybór wciśnij Protect Home Page (recommended).
Wyświetlone zostanie okno programu, w którym wybierz Scan your Computer.
Następnie w polu Scan Location określ który nośnik chcesz sprawdzić oraz z prawej strony okna zaznacz jedną z opcji:
Perform Quick Scan – szybki skan wybranego elementu,
Perform Complete Scan – dokładne skanowanie,
Perform Custom Scan – sam określasz, co dokładnie chcesz przeszukać.
Rysunek 25. Określenie miejsca i typu skanowania w programie SUPERAntiSpyware Free Edition
Po wykonaniu skanowania, które może trwać kilkadziesiąt minut, wyświetlone zostanie podsumowanie wyników operacji.
Rysunek 26. Program SUPERAntiSpyware Free Edition odnzlazł 7 wrogich plików
Aby usunąć odnaleziona zagrożenia wciśnij OK i w głównym oknie Dalej.
Po usunięciu złośliwych plików, program poprosi o ponowne uruchomienie komputera.
AVG Anti-Rootkit Free
AVG Anti-Rootkit Free to bezpłatny program przeznaczony do wykrywania i usuwania programów typu rootkit. Narzędzie skanuje rejestr, pliki na dysku twardym i uruchomione procesy. Obsługa programu sprowadza się do uruchomienia skanowania wciskając przycisk Search for rootkits. Po odnalezieniu niebezpieczeństwa, program zaproponuje usunięcie niebezpieczeństwa.
Rysunek 27. AVG Anti-Rootkit Free w poszukiwaniu rootkitów
CWShredder
CWShredder to darmowy program specjalizujący się w usuwaniu złośliwych komponentów typu hijackers, które podmieniają stronę startową w przeglądarce internetowej. CWShredder jest bardzo prosty w obsłudze. Aby z niego skorzystać uruchom plik cwshredder.exe i w oknie programu wciśnij przycisk Scan Only. Jeśli program odnalazł szkodliwe komponenty wciśnij Next. Po ich usunięciu wybierz Exit aby wyjść z programu.
Rysunek 28. Główne okno programu CWShredder
DialerKiller
Z dialerami najlepiej radzi sobie darmowy program DialerKiller. Rozróżnia on bardzo dużą ilością sygnatur dialerów (ponad 50 000). DialerKiller umożliwia wykrywanie plików .exe z dialerami i groźne wpisy w rejestrze. Potrafi także blokować wybrane numery oraz próby nawiązania połączeń Dial-Up.
Aby przeskanować komputer w celu odnalezienia dialera:
Po uruchomieniu programu kliknij Baza i Pobierz najnowszą bazę dialerów.
Następnie wybierz Program/Ustawienia i przejdź do zakładki Inne.
Tam zaznacz pole Uruchamiaj z Windows, aby program był automatycznie wczytywane razem ze startem systemu.
Po powrocie do głównego okna programu zaznacz dysk systemowy i wciśnij przycisk SKANUJ.
Rysunek 29. Program DialerKiller podczas pracy
