Słów kilka wróbla ćwierka na temat bezpieczeństwa w świecie komputerów, tak trochę od strony praktycznej. Na wstępie trzeba jasno powiedzieć nie ma na 100% pewnych zabezpieczeń IT, nawet w poważnych firmach dysponujących dużymi budżetami występują przypadki włamań czy wycieku informacji. W warunkach domowych głównie chodzi o to żeby nie utracić naszych danych, które mamy w formie cyfrowej, bezpieczeństwa sieci domowej czy realnej gotówki.
Dlatego trzeba na początek wydzielić sobie kilka obszarów działań:

  • zabezpieczenie komputera
    • ochrona antywirusowa
    • firewall (ściany ognia)
    • pułapki w systemie
    • identyfikacja i zwalczanie zagrożeń
  • bezpieczeństwo danych osobowych
  • bezpieczeństwo realnej gotówki
  • internet
  • backup danych
  • zabezpieczenie sieci domowej
  • zabezpieczenie urządzęń mobilnych

Ochrona antywirusowa

Standardowo na każdym komputerze powinien się znajdować jakiś antywirus, obojętnie płatny czy darmowy z włączoną subskrypcją pobierania aktualnej definicji wirusów. Jedak trzeba wziąść pod uwagę że antywirusy nie wykrywają wszystkich niespodzianek.

Dlaczego ?

Z prostego powodu, codziennie powstaje po kilkaset robaczków, a nawet więcej i opracowanie definicji dla nowego wirusa/trojana wymaga trochę czasu, z drugiej strony z bazy wirusów usuwane są definicje starych wirusów, które w danym czasie są mało aktywne. Jest to kompromis pomiędzy dokładnością wykrywania a wielkością bazy wirusów i szybkością programu antywirusowego.

Firewall

Ściana ognia (firewall) jest to program który reguluje dostęp do komputera (czy innego urządzenia) do sieci. Każda ściana ognia ma reguły, które domyślnie blokują dostęp do naszego komputera z zewnątrz, ale wszystkie programy mają dostęp do internetu.

Dlaczego jest jednak dobrze ograniczać dostęp programów do sieci ?

Po prostu, mam pewność ze program nie pobierze dziwnych danych, albo nie chcę żeby wysyłał coś na zewnątrz. Tak samo dostęp do zasobów komputera (drukarka, udostępnione pliki) powinien być ograniczony do lokalnej sieci.

Warto tutaj wspomnieć o ustawieniach routera, bezwzględnie na routerze rozdzielającym sygnał po sieci lokalnej ma być wyłączona zdalna administracja czy zdalne zarządzanie routerem. Jest zabezpieczenie przeciw zmianą ustawień routera, które spowodują ze jak wejdziemy na stronę np. banku w rzeczywistości zostaniemy skierowani na fałszywą stronę. Tutaj można sprawdzić czy router jest udostępniony z zewnątrz.

Przykład prawidłowo skonfigurowanego routera, wyłączona zdalna administracja.

Pułapki w systemie

Stanowią one przeszkodę w działaniu nieznanych programów, których jeszcze antyvirusy nie potrafią wykryć. Zasada ich działania polega na monitorowaniu i blokadzie dostępu do krytycznych zasobów systemu.

Należy tutaj wspomnieć o darmowym narzędziu Microsoftu – EMET (Enhanced Mitigation Experience Toolkit) do podnoszenie bezpieczeństwa systemu, umożliwia ono:

  • Structured Exception Handling Overwrite Protection – zabezpiecza przed nadpisaniem struktury SEH,
  • Dynamic Data Execution Prevention – oznacza stos programu i stertę jako „non executable”, w tak oznaczonym obszarze pamięci nie może zostać uruchomiony kod wykonywalny
  • Address Space Layout Randomization – randomizacja adresów położenia bibliotek w pamięci,
  • HeapSpray Allocations – blokada umieszczania kodu wykonywalnego w HeapSpray,
  • Null Page Allocations – blokada  przechwycenia kody wykonywalnego wywołanego przez przechwycenie wyjątku „null dereferences”,
  • Export Address Table Access Filtering – blokowanie pobrania adresu API biblioteki przez shellcode
  • Bottom-up Randomization – mechanizm randomizacji adresów
  • Certificate Trust – sprawdzenie autentyczności i wykrywania autaków typu “man-in-the-middle”. W skrócie polega on na tym że np: na urządzeniu pośredniczącym w ruchu sieciowym przedstawiam swój certyfikat (najlepiej podpisany jako zaufany) i podstawiam go zamiast certyfikatu instytucji bankowej czy innej organizacji. Z poziomu przeglądarki wszystko jest OK (połączenie jest szyfrowane), ale w rzeczywistości transmisja może być modyfikowana i podsłuchiwania przez atakującego.
EMET konfiguracja

Monitorowanie dostępu do rejestru, plików systemowych, urządzeń zewnętrznych (klawiatura, mysz, itd), tutaj używam Comodo Internet Security  w niestandartowych ustawieniach (dające komunikat o zmianach w systemie).

Uruchamianie programów w piaskownicy – polega to na tym ze programy uruchamiane są w emulowanym fragmencie systemu operacyjnego, gdzie jeżeli aplikacje nabroją nie rozlewa się to na cały system.

Comodo konfiguracja i log zmian w systemie

CDN …