SecurityLabs

Wszystko o cyberbezpieczeństwie
Gdzie czają się niebezpieczeństwa? | Jak ochronić siebie, swoje urządzenie i swoją tożsamość?

Co to są botnety?

Botnetem nazywamy grupę komputerów zarażonych specjalną odmianą wirusa. Działając pod kontrolą twórcy szkodnika (botmastera), sieć wykonuje określone zadania bez wiedzy użytkowników zarażonych komputerów (zwanych zombie).

Fakty i mityt

Z pewnością zdarzało Ci się otrzymywać dobre rady oraz inne pól-prawdy w kręgu znajomych. W tym miejscu chcielibyśmy wyjaśnić parę popularnych przesądów.

Bezpieczeństwo urządzeń mobilnych

Korzystając z hotspotów lub innych wolnodostępnych sieci WLAN należy zachować szczególną ostrożność. Takie punkty dostępowe są w większości przypadków niedostatecznie bądź w ogóle niezabezpieczone i umożliwiają przechwycenie danych przesyłanych drogą bezprzewodową.

Bezpieczeństwo sieci bezprzewodowych

Nieprawidłowo zabezpieczone sieci bezprzewodowe można spotkać praktycznie wszędzie. Dla wielu użytkowników urządzeń bezprzewodowych konfiguracja zabezpieczeń jest nieprzejrzysta i zbyt skomplikowana.

Bezpieczne hasła

W tej sekcji chcielibyśmy uświadomić Cię jak należy tworzyć bezpieczne hasła. Wielu użytkowników ma naiwną tendencję do używania łatwo zgadywalnych haseł, które ułatwiają potencjalnym atakującym uzyskanie dostępu do prywatnych danych swoich ofiar.

Cyberbezpieczeństwo

Często w mediach słyszy się o kolejnych kradzieżach kart kredytowych, opróżnionych kontach internetowych oraz innych zagrożeniach płynących z Internetu. Możliwe, że sam padłeś ofiarą takiej katastrofy.

Firewall

Aby uchronić się przed dostępem do Twojego komputera przez sieć, zalecane jest użycie firewalla (zapory sieciowej).

Kopie zapasowe

Seria niefortunnych zdarzeń może doprowadzić do utraty cennych danych. Ryzyko wystąpienia takiego zdarzenia można zminimalizować postępując wedle paru prostych zasad.

Szara strefa gospodarki

Rozwój szarej strefy gospodarki w ostatnich latach można zilustrować jednym przykładem: Hakerzy, którzy niegdyś przechwalali się, że dzięki fałszywym danym zyskiwali bezpłatny dostęp do jednej z niezliczonych ofert erotycznych w Internecie, chełpią się dziś ilością kart kredytowych, których dane wykradły ich sieci botnet.

Historia wirusów komputerowych

Niedawno minęła dwudziesta rocznica pierwszego oficjalnie zaprezentowanego wirusa komputerowego. Poniżej przedstawiamy kamienie milowe rozwoju wirusów, robaków oraz trojanów.

Minimalizowanie ryzyka

Stosowanie kilku zasad bezpiecznego korzystania z komputera i Internetu pozwoli na zminimalizowanie ryzyka poniesienia strat wynikających z utraty kontroli nad systemem lub wycieku poufnych danych.

Programy antywirusowe

Identyfikacja złośliwego oprogramowania odbywa się na podstawie porównania skanowanego obiektu z bazą wzorców zwanych sygnaturami lub definicjami wirusów.

Rodzaje zagrożeeń

Wirusy, konie trojańskie, robaki internetowe itp. to specyficzna grupa programów, bynajmniej nie użytkowych.

Urządzenia mobilne

Popularność smartfonów rośnie wraz z biegiem czasu. Szczególnie wielu użytkowników zyskują produkty oparte o platformę Android.

Wskazówki bezpieczeństwa dla urządzeń mobilnych

Mobilne urządzenia przejmują coraz więcej funkcji komputerów osobistych, dlatego dane na nich przechowywane powinny być chronione za pomocą programów zabezpieczających przed kradzieżą, szpiegowaniem i złośliwym oprogramowaniem.

Zgłoś podejrzany plik, adres url lub aplikację!

Nasi eksperci czekają na Twoje wyzwania



Co to są botnety?

Botnetem nazywamy grupę komputerów zarażonych specjalną odmianą wirusa. Działając pod kontrolą twórcy szkodnika (botmastera), sieć wykonuje określone zadania bez wiedzy użytkowników zarażonych komputerów (zwanych zombie).

Botmaster może wykorzystywać moc obliczeniową komputerów swojej sieci zombie do różnych celów. Twórca szkodnika całkowicie kontroluje wszystkie skompromitowane komputery.
Ma pełny dostęp do zapisanych danych i bez wiedzy użytkownika może korzystać z połączenia internetowego.

Otwiera to przed przestępcą zarządzającym siecią zombie całą paletę możliwości. Komputery można wykorzystywać jako serwery proxy, co umożliwia ukrycie tożsamości atakującego.
W zależności od rozmiarów botnetu może używać do przeprowadzania ataków różnych adresów IP i zmieniać je nawet co sekundę. Ponadto komputery zombie nadają się idealnie do rozprzestrzeniania złośliwego kodu lub wysyłania spamu.

Typowe botnety osiągają rozmiary od kilkuset do wielu setek tysięcy zainfekowanych maszyn. Tak liczną armie komputerów z łatwością można wykorzystać do przeprowadzenia wycelowanego ataku DDoS (Distributed Denial of Service). Polega on na zarzuceniu wybranego serwera stron lub poczty masową ilością zapytań. Odpowiednio duża ilość komputerów zombie potrafi spowodować unieruchomienie takiego serwera ze względu na przeciążenie zapytaniami. Przestępcom pachnie to oczywiście wymuszeniem opłaty za odblokowanie usługi.

Często spotyka się wykorzystywanie komputerów zombie jako serwery stron lub FTP. Może to służyć m. in. tworzeniu zarażonych stron internetowych lub też serwisów hakerskich lub pornograficznych na konto posiadacza zarażonej maszyny.

Zarządzanie i koordynowanie działań sieci komputerów zombie może odbywać się na różne sposoby. Pierwsze botnety były centralnie zarządzane, obecnie stawia się na zdecentralizowaną strukturę komunikacji przypominającą zasadą działania sieci wymiany plików P2P (Peer-to-Peer). Utrudnia to namierzenie i zlikwidowanie botnetu, ponieważ nie istnieje jeden centralny komputer, którego likwidacja położy kres działaniu całej sieci. Zamiast tego wszystkie komputery komunikują się ze sobą nawzajem, co znacznie poprawia stabilność danego botenetu.

Nowe komputery zombie rekrutowane są w różny sposób. Oprócz wysyłki zarażonych wiadomości pocztowych, przestępcy wykorzystują również popularne strony internetowe skompromitowane przez hakerów przy wykorzystaniu luk w systemach operacyjnych lub oprogramowaniu. Infekcja odbywa się metodą „drive-by”, czyli podczas odwiedzania strony.

Tworzenie i obsługa botnetów jest obecnie jedna z najbardziej dochodowych gałęzi przestępczości internetowej. Z jednej strony dzięki dużej ilości cennych danych wykradanych z zarażonych komputerów, z drugiej zaś dzięki wpływom z odpłatnego udostępniania wydajności botnetów osobom trzecim, np. w celu dystrybucji spamu.




Fakty i mity

Z pewnością zdarzało Ci się otrzymywać dobre rady oraz inne pól-prawdy w kręgu znajomych. W tym miejscu chcielibyśmy wyjaśnić parę popularnych przesądów.

Nikt nie przekazuje ich złośliwie. Często źródła stanowią przypuszczenia, pozorna wiedza, czy zasłyszane zalecenia. Zasada głuchego telefonu także bierze udział w zniekształcaniu faktów.

Nie przyniesie Ci krzywdy wiedza ich prawdziwego tła, a pozwoli zminimalizować ryzyko zostania ofiarą ataku cybernetycznego.

Wiele potencjalnych ofiar mówi: “Nie posiadam nic wartego kradzieży”. Jest to głównie bardzo subiektywna ocena, która niekoniecznie pokrywa się z punktem widzenia atakującego. Każdy ślad prywatnej informacji, nieważne jak mały, może stanowić wartość dla włamywacza i skutkować krzywdą wyrządzoną ofierze.

Nawet jeżeli nie przechowujesz absolutnie żadnych danych osobistych w systemie, w ogólnym rozrachunku, sam komputer jest interesującym łupem. Jeżeli system trafi pod kontrolę atakującego, może zostać użyty do nielegalnych celów, tworzyć część sieci obejmującej tysiące komputerów, które zdolne są do maskowania dalszej, nielegalnej działalności.

Czasem możesz stać się współwinnym, nie będąc nawet tego świadomym. Także wcale nie musisz być zamożny finansowo, by stać się ofiarą. Kryminaliści z radością zdobywają małe kwoty, aby nagle nie zwrócić na siebie uwagi.

Niestety, duży procent użytkowników PCtów nie docenia istoty wagi uaktualnień programów i systemu. Wielu nie jest nawet świadomych istnienia tych aktualizacji. Te naiwne nastawienie czyni szczególnie łatwym dla włamywaczy wykorzystywać luki bezpieczeństwa w nieaktualnych systemach, w szczególności tych znanych od wielu lat.

Obok regularnego aktualizowania systemu operacyjnego (pewien duży dostawca oprogramowania z Redmond, USA, prowadzi comiesięczne “patchdays”), regularne wyszukiwanie aktualizacji do programów zainstalowanych w systemie powinno nam wejść w nawyk. Dostawcy, jak Secunia oferują narzędzia służące do automatycznego wyszukiwania aktualizacji co pewien czas, spośród szerokiego spektrum aplikacji. Oczywiście nie należy przeoczyć częstego aktualizowania ochrony antywirusowej.




Bezpieczeństwo urządzeń mobilnych

Ryzyko kradzieży w niezabezpieczonych sieciach

Korzystając z hotspotów lub innych wolnodostępnych sieci WLAN należy zachować szczególną ostrożność. Takie punkty dostępowe są w większości przypadków niedostatecznie bądź w ogóle niezabezpieczone i umożliwiają przechwycenie danych przesyłanych drogą bezprzewodową. Tym niemniej, niezabezpieczone sieci bezprzewodowe są powszechnie stosowane dla mało istotnych celów, jak sprawdzanie rozkładów jazdy, czy do odwiedzania portali społecznościowych.

Znaczenie kont Google

Konto Google stanowi rdzeń urządzeń działających na oprogramowaniu Android. Przechowuje takie dane jak email, terminarz, kontakty, pobierane aplikacje z Android Market, Google Play Now, a także odpowiada za zdalne sterowanie urządzeniem. Oznacza to możliwość, na przykład, zdalnego wyłączenia urządzenia zainfekowanego złośliwym oprogramowaniem.

Wykorzystując dane logowania konta Google, możliwa jest instalacja programów, bez konieczności fizycznego kontaktu z telefonem. Z jednej strony zyskujemy korzyść z możliwości uruchomienia oprogramowania do geolokalizacji w zagubionych telefonach, z drugiej strony, zdalny dostęp stwarza zagrożenie w przypadku kradzieży hasła. Włamywacz może umieścić w urządzeniu programy szpiegujące, bądź zmodyfikować lub usunąć hasła zabezpieczające. Zbyt krótkie hasła również powodują ryzyko niepowołanego dostępu. Aby do tego nie doszło, należy szczególnie zadbać o bezpieczeństwo stosowanych haseł. (link od “bezpieczne hasła”)

Bądź świadomy: przechowuj dane w chmurze

Obecnie istnieje szeroki wybór spośród serwisów oferujących korzystanie z chmury dla urządzeń mobilnych. Dane przechowywane w wewnętrznej pamięci telefonu mogą zostać całkowicie lub częściowo przesłane na serwer i pozostać tam chronione przed bezpośrednią utratą danych. Koniecznie zapoznaj się z warunkami i zasadami przechowywania danych u konktretnego dostawcy, zwracając szczególnie uwagę:

  • Czy serwery znajdują się na terenie Unii Europejskiej i czy podlegają jej kontroli? Jeżeli nie, to czyjej?
  • Czy operatorem jest firma amerykańska?
  • Czy posiadam prawa do przechowywanych danych?
  • Czy dane przechowywane na serwerze są przechowywane w postaci zaszyfrowanej?
  • Czy przesyłając dane zapewniane jest bezpieczne połączenie?
  • Co nastąpi z danymi w przypadku bankructwa firmy?
  • Czy osoby trzecie, jak organy ścigania mają dostęp do moich danych? W jakich warunkach?

Dodatkowo należy się upewnić, czy serwis zapewnia dostateczny poziom bezpieczeństwa oferowanych usług, w tym zabezpieczenie przed włamaniem i nieautoryzowanym dostępem.




Bezpieczeństwo sieci bezprzewodowych

Nieprawidłowo zabezpieczone sieci bezprzewodowe można spotkać praktycznie wszędzie. Dla wielu użytkowników urządzeń bezprzewodowych konfiguracja zabezpieczeń jest nieprzejrzysta i zbyt skomplikowana. W międzyczasie okazało się, że starsze metody szyfrowania przestały być bezpieczne i nie gwarantują już bezpieczeństwa. W wielu przypadkach zalecane jest sprawdzenie i przeprowadzenie ewentualnej korekty ustawień punktów dostępowych. Narzędzie G Data WLAN Security Check, dostępne w oprogramowaniu G Data może być w tym pomocne. Automatycznie weryfikuje ustawienia zabezpieczeń aktywnej sieci bezprzewodowej za pomocą narzędzi dostępnych w systemach Windows.

Niedostatecznie zabezpieczona sieć WLAN umożliwia podłączenie się do niej osobom nieupoważnionym. Jeśli nieautoryzowany dostęp do sieci ogranicza się do sporadycznego korzystania z Internetu lub sprawdzania poczty, nie będzie to w żaden sposób zauważalne dla właściciela urządzenia bezprzewodowego.

Niestety niezabezpieczone sieci bezprzewodowe często są wykorzystywane nie tylko przez użytkowników, którzy nie chcą płacić za Internet, ale też przez przestępców. W takim przypadku wszystkie czynności wykonane przy użyciu skompromitowanego połączenia mogą zostać zaliczone na konto właściciela urządzenia.

Kiedy sieć WLAN jest bezpieczna?

Istnieje kilka czynników wpływających na bezpieczeństwo sieci WiFi. Najbardziej zagrożone są oczywiście sieci, które nie są w ogóle zabezpieczone. Do takiej sieci może się podłączyć dowolne urządzenie znajdujące się w jej zasięgu.

Szyfrowanie:

Rodzaj wybranego szyfrowania spośród oferowanych przez urządzenia bezprzewodowe nie jest bez znaczenia. Ogólnodostępne są 3 standardy szyfrowania: WEP, WPA oraz WPA2. Szyfrowanie WEP nie gwarantuje realnego bezpieczeństwa. Ten algorytm szyfrujący został złamany już przed laty. Uzyskanie dostępu do sieci zabezpieczonej tą technologią to dla fachowca kilka chwil.
Następcą tej technologii jest szyfrowanie WPA. W odróżnieniu od WEP oferuje dodatkowo generowanie tymczasowych kluczy szyfrowanych algorytmem TKIP.
O wiele skuteczniejszym zabezpieczeniem jest jednak stosowanie technologii szyfrowania WPA2, która ma zaimplementowany algorytm szyfrujący Advanced Encryption Standard (AES).

Jednakże nawet w tym przypadku to nie wszystko. Zabezpieczenie jest skuteczne tylko wtedy, gdy zastosuje się wystarczająco silne hasło (passphrase).
Bardziej zaawansowaną metodą szyfrowania jest wykorzystanie centralnego serwera (RADIUS) i dostęp do sieci przy wykorzystaniu statycznych kluczy szyfrujących Preshared Key (PSK) w routerze i po stronie urządzenia, które uzyskuje dostęp do sieci. Klucz generowany jest na podstawie hasła oraz identyfikatora SSID sieci WLAN.

SSID:

Jeśli nazwa sieci bezprzewodowej (SSID lub Service Set Identifier) w jakikolwiek sposób zdradza tożsamość właściciela sieci (np. nazwisko, nazwa firmy), sieć naturalnie będzie bardziej atrakcyjna dla potencjalnego włamywacza niż taka, która nosi anonimową nazwę. Jeśli w SSID zawrzemy nazwę producenta lub model urządzenia dostępowego, również ułatwimy przestępcom zadanie. Wykorzystanie znanych luk bezpieczeństwa danego urządzenia może umożliwić przejęcie kontroli nad siecią WLAN.

Hasło do urządzenia:

Dostęp do urządzeń WiFi jest również zabezpieczony hasłem dostępu. Pozostawienie domyślnego hasła dostępu ustawionego przez producenta to najczęściej spotykany błąd, który na pewno zostanie wykorzystany przez potencjalnego włamywacza. Po uzyskaniu dostępu do urządzenia (routera/access pointa) przestępca samodzielnie zmieni ustawienia sieci bezprzewodowej i będzie mógł się do niej dostać bez najmniejszych przeszkód.

Jak krok po kroku skonfigurować bezpieczną sieć WLAN

Konfiguracja bezpiecznej sieci bezprzewodowej nie jest procesem skomplikowanym. Współczesne urządzenia bezprzewodowe umożliwiają zmaksymalizowanie bezpieczeństwa sieci. Korzystając z nich świadomie poprawiamy bezpieczeństwo danych.

Krok 1:

Dostęp do interefejsu zarządzającego routerem/access pointem jest chroniony hasłem. Hasło domyślne, ustawione producenta jest najczęściej proste do odgadnięcia i powinno zostać zmienione w pierwszej kolejności. Należy pamiętać, że czynności konfiguracyjne najbezpieczniej jest wykonywać po podłączeniu komputera do urządzenia za pomocą kabla, nie zaś bezprzewodowo.
Hasło musi być bezpieczne, czyli takie, które trudno odgadnąć lub złamać dowolną metodą. Hasła typu „admin“ lub „123“ nie należą do trudnych! Bezpieczne hasło powinno zawierać co najmniej 8 znaków wielkich i małych, cyfry i znaki specjalne (np. $m &,^). Nie powinno zawierać słów słownikowych. Nie może również być w żaden sposób powiązane z właścicielem sieci (data urodzenia, itp).

Można stworzyć hasło trudne do złamania i jednocześnie łatwe do zamapiętania, np. Na podstawie konkretnego zdania, cytatu, tytułu piosenki, choćby poprzez akronimizację: The sound of silence von Simon & Garfunkel 1966 = Tsos_vS&G_1966

Można zastosować technikę zastępowania konkretnych liter podobnymi znakami specjalnymi: The sound of silence = 7he_50und_0f_51l3nc3

Krok 2:

Każda sieć WLAN ma swoją nazwę (SSID). Nazwa sieci nie powinna w żaden sposób sugerować, kto jest jej właścicielem. Unikanie nazw firm, nazwisk itp. jest ściśle wskazane. Często powtarzanym błędem jest stosowanie w nazwie sieci producenta lub modelu urządzenia bezprzewodowego. Pamiętajmy, że nazwa sieci będzie widoczna, nawet jeśli wyłączymy w urządzeniu jej rozgłaszanie. Dla przestępcy nie stanowi to większej przeszkody. Znając nazwę lub model urządzenia, atakujący może wykorzystać znane luki w zabezpieczeniach urządzenia w celu włamania się do niego. Ukrywanie nazwy sieci może utrudnić korzystanie z niej, ale nie podnosi w żaden sposób bezpieczeństwa.

Przypadkowa nazwa sieci j. np. „G5ugL4pp0o“ jest o wiele bezpieczniejsza, niż SSID wskazujący na jej właściciela lub model urządzenia.

Krok 3:

O ile wszystkie urządzenia korzystające z sieci bezprzewodowej obsługują standard szyfrowania WPA2, warto włączyć w urządzeniu dostępowym metodę szyfrowania WPA2-PSK. Zaleca się stosowanie algorytmu AES, który uchodzi za bezpieczniejszy niż metoda TKIP stosująca algorytm RC4.
Bezpieczne hasło dostępu do sieci bezprzewodowej powinno składać z minimum 20 znaków (maksymalnie może być ich 64). Hasło powinno zawierać cyfry, znaki wielkie, małe oraz specjalne. Unikamy słów słownikowych, a także danych osobowych (nazwisk, adresów, dat). Przykład bezpiecznego hasła: ‘%%NILpE`YSfi[54MNSp3d}K|0“WSGAT#zBg$g9j/@}K[7

Naturalnie takie hasło jest trudne do zapamiętania, ale nie używa się go często. Każdy komputer i smartfon podłączony do sieci bezprzewodowej zapamięta raz wpisane hasło.

Sieć bezprzewodowa zabezpieczona według powyższych kroków gwarantuje najwyższe bezpieczeństwo udostępnianych w niej danych. Odstępstwa od tych reguł mogą być zgubne w skutkach.




Bezpieczne hasła

W tej sekcji chcielibyśmy uświadomić Cię jak należy tworzyć bezpieczne hasła. Wielu użytkowników ma naiwną tendencję do używania łatwo zgadywalnych haseł, które ułatwiają potencjalnym atakującym uzyskanie dostępu do prywatnych danych swoich ofiar. Przy zastosowaniu odpowiedniej strategii tworzenia haseł, ryzyko te można zminimalizować. Pokażemy Ci jak należy to robić.

Bez cienia wątpliwości jest trudno zapewnić, aby codziennie używane hasła były zarówno “bezpieczne” jak i łatwe do zapamiętania. Jednym z czynników, którego użytkownicy zwykle nie są świadomi jest mnogość konsekwencji będących wynikiem odgadnięcia lub kradzieży hasła. Z pewnością nie chciałbyś, aby ktoś czytał Twoje prywatne, bądź biznesowe maile. Bardziej istotną kwestią z tym związaną jest ujawnienie tajnych informacji, które były przeznaczone wyłącznie dla Ciebie. Wyciek ważnych informacji, które osoba wyłudzająca może uzyskać przez przeglądanie Twoich prywatnych dokumentów, tworzy warunki do różnego rodzaju nadużyć. Pomyśl o poufnych dokumentach handlowych lub dodatkowych hasłach do innych serwisów, które przesyłają Ci informacje drogą mailową.

Zapewnienie, czy osoba przedstawiająca się jest w rzeczywistości tą osobą, zwane jest uwierzytelnieniem (autoryzacją) i stanowi spore wyzwanie dla współczesnego Internetu. Stosowanie haseł jest w tej dziedzinie standardową praktyką stosowaną od lat. Problem stanowią hasła będące łatwe do zgadnięcia. Wielu dzisiejszych atakujących wykorzystuje tą wiedzę do tworzenia programów malware, które posługując się listą haseł próbują uzyskać dostęp (tzw. metoda “Brute Force” – brutalna/słownikowa).

Wielu użytkowników używa haseł bazujących na personalnych danych łatwych do zapamiętania. Oszuści są tego świadomi. Często zgadują np. krótkie hasła numeryczne, jak na przykład data urodzenia ofiary. Innymi, równie popularnie stosowanymi frazami są imiona zwierząt, czy pupili i także nie stanowią wysokiej poprzeczki dla włamywacza.

O wiele bezpieczniejsze są kombinacje składające się z wielkich i małych liter, numerów i znaków specjalnych. Na przykład, stwórz sekwencję znaków złożoną z pierwszych liter i cyfr każdego wyrazu ze zdania: “Dzisiaj, 10-go Lipca, utworzę bardzo bezpieczne hasło, składające się przynajmniej z 25 znaków”.

D,10L,ubbhsspz25z

Dla włamywacza stanowi to bardzo trudną barierę do złamania, a dla Ciebie, znającego oryginalne zdanie, hasło jest stosunkowo łatwe do zapamiętania.

Wybrane hasło powinieneś znać wyłącznie Ty. Nie dziel się nim ze znajomymi, czy rodziną i nie zapisuj go nigdzie.

Niektóre aplikacje umożliwiają zapamiętywanie haseł, jednak należy unikać tego typu funkcji, ponieważ nie zawsze gwarantują one przechowywanie haseł w bezpiecznej, zaszyfrowanej formie. Hasła zachowane w systemie w postaci jawnej, niezaszyfrowanej, są łatwe do odczytania dla atakującego.




Cyberbezpieczeństwo

Często w mediach słyszy się o kolejnych kradzieżach kart kredytowych, opróżnionych kontach internetowych oraz innych zagrożeniach płynących z Internetu. Możliwe, że sam padłeś ofiarą takiej katastrofy. By zapewnić sobie optymalną ochronę, nie zaszkodzi być świadomym istnienia zagrożeń i posiadać ogólną wiedzę, aby móc zachować pewne środki bezpieczeństwa.

Trudno wyobrazić sobie dziś świat bez komputerów. Wszystkie dziedziny naszego życia spotykają się z obecnością komputerów. Z tego powodu, cyberbezpieczeństwo wpływa na nas wszystkich, nawet jeżeli nie każdy zdaje sobie z tego sprawę. Idea cyberbezpieczeństwa obejmuje ochronę prywatnych informacji, jak również ostrzeganie, wykrywanie i reakcje na ataki przeprowadzane w celu ich kradzieży.

Zagrożenia

Wachlarz zagrożeń jest bardzo szeroki. Zaczynając od złośliwego oprogramowania malware mogącym bezpowrotnie zniszczyć system, poprzez skierowane włamania do systemów komputerowych, w których Twoje dane mogą zostać dowolnie zmanipulowane, do nielegalnego wykorzystania twojego PCta jako narzędzia ataku do innych systemów, a także kradzieży prywatnych danych i skutkujących nimi szkód. Mimo, że nie ma możliwości w 100% się zabezpieczyć, można łatwo zbliżyć do ideału podejmując niewielkie środki ochronne i tym samym wyraźnie ograniczyć ryzyko.

W pierwszej kolejności chcemy przedstawić zagrożenia i wyjaśnić występującą w tle terminologię.

Hakerzy / atakujący

Jest to określenie odnoszące się do nieproszonych gości, którzy nie niszczą niczego na Twoim komputerze. Wykorzystują luki bezpieczeństwa oraz słabe punkty i używają nielegalnie przejęty system komputerowy do własnych działań.

Złośliwe oprogramowanie (Malware)

Termin ten oznacza każde oprogramowanie pełniące niepożądane funkcje na danym komputerze, działające bez świadomości użytkownika. Ogólnie, złośliwe oprogramowanie można podzielić na podkategorie:

  • Koń trojański (Trojan horse) – Konie trojańskie, często niepoprawnie odnoszone do Trojanów, różnią się od robaków i wirusów, przez to, że nie replikują się samodzielnie. Na przykładzie historycznego imiennika, nazwa “koń trojański” odnosi się do programu, który udaje działanie pożądane przez użytkownika. Dodatkowo, zawiera ukryty fragment programu, który w tym samym czasie otwiera drzwi do zainfekowanego komputera i umożliwia tym samym niemal pełny dostęp do systemu bez informowania użytkownika. Ilość metod jakimi konie trojańskie ukrywają swoje prawdziwe zamiary jest niemal nieograniczona. Mogą się ukrywać w liniach komend systemów UNIX administratorów, jak passwd, ps, czy netstat (proste rootkity), lub okazywać się jako “Remote Access Trojans” (znane szerzej jako RATy lub backdoory). Te podstępne programy są także wysyłane jako wygaszacze ekranów, gry , a także w mailach. Jedno uruchomienie wystarcza do zainfekowania systemu złośliwym oprogramowaniem.
  • Robaki (Worms) – W przeciwieństwie do wirusów, robaki nie dołączają się do plików wykonywalnych. Roznoszą się przez przesyłanie przez sieci lub połączenia pomiędzy komputerami.
  • Robaki sieciowe (Network worms) – Kilkanaście portów jest skanowanych w losowo wybranych sieciach komputerowych i jeżeli atak jest możliwy, robaki są rozsyłane i trafiają w słabe punkty protokołów (np. IIS) lub ich implementacje. Niesławnymi reprezentantami tego rodzaju malware są “Lovsan/Blaster” i “CodeRed”. Sasser wykorzystuje błąd przepełnienia bufora w serwisie lokalnego podsystemu autoryzacji bezpieczeństwa (LSASS) i infekuje komputery, kiedy są podłączone do Internetu.
  • Robaki mailowe (Email worms) – Robak przeniesiony drogą mailową, może użyć dostępne programy pocztowe (np. Outlook, Outlook Express) albo wykorzystać własny silnik poczty SMTP. Obok zwiększenia ruchu sieciowego i użycia zasobów systemowych, może zawierać inne, szkodliwe ładunki. Znane robaki mailowe zawierają szkodliwe programy “Beagle” i “Sober”.
  • Robaki P2P – Robaki P2P kopiują się do współdzielonych plików serwisów P2P, jak “Emule”, “Kazaa”, itd., po czym oczekują na potencjalną ofiarę, z przyciągającą uwagę nazwą rynkowego oprogramowania lub nazw celebrytów.
  • Robaki komunikatorów internetowych (Instant messaging worms) – Robaki IM do rozpowszechniania się wykorzystują komunikatory internetowe. Nie opierają się wyłącznie na funkcji przesyłania plików w procesie. O wiele częściej rozsyłają linki do szkodliwych stron. Wiele robaków IM potrafi nawet prowadzić rozmowę z potencjalna ofiarą.
  • Wirusy (Viruses) – Podobnie wirusy starają się replikować i przenosić na inne komputery. Aby to osiągnąć, dołączają się do innych plików lub osadzają w sektorach ładujących nośników danych. Są często niezauważenie przemycane na wymiennych nośnikach danych (np. dyskietkach), przez sieci (w tym P2P),maile, bądź Internet. Wirusy są zdolne do dołączania się do wielu różnych części systemu operacyjnego i działania z wykorzystaniem wielu różnych kanałów. Mogą być podzielone na kategorie:
    • Wirusy sektorów ładujących (Boot sector viruses) – Wirusy sektorów ładujących lub wirusy MBR (master boot record) wstawiają się na początku sektorów ładujących danych mediów, aby zapewnić odczytanie kodu wirusa w pierwszej kolejności, a następnie oryginalnego sektora ładującego. Umożliwia to wirusowi pozostanie w pamięci po zainfekowaniu systemu.
    • Wirusy plikowe (File viruses) – Wiele wirusów wykorzystuje okazję by ukryć się w plikach wykonywanych. Dokonują tego przez usunięcie lub nadpisanie pliku gospodarza, bądź dołączenie się do niego. W ostatnim przypadku, plik zachowuje swoją funkcję. Jeżeli zostanie uruchomiony, kod wirusa, zwykle pisany w języku asemblera, rozpoczyna działanie jako pierwszy, po czym włącza się oryginalny program (jeżeli nie został usunięty).
    • Wirusy wielostronne (Multipartile viruses) – Ten rodzaj wirusa jest szczególnie niebezpieczny, ponieważ jego składniki nie tylko infekują pliki wykonywalne, ale także zamieszczają się w sektorach ładujących (lub w tablicach partycji).
    • Wirusy towarzyszące (Companion wiruses) – W systemach DOS, pliki COM są uruchamiane przed plikami EXE, mającymi tą samą nazwę. W czasach, gdy komputery były często obsługiwane z wiersza linii poleceń, było to bardzo efektywną metodą wyzwalania szkodliwego kodu w sposób niezauważalny.
    • Makrowirusy (Macro viruses) – Makrowirusy również przyłączają się do plików, ale same nie są wykonywalne. Ponadto, nie są pisane w języku asemblera, ale w językach makr, jak Visual Basic. Dlatego, do ich działania konieczny jest interpreter makrojęzyka, jaki znaleźć można w programach Word, Excell, Access i Power Point. Następnie makrowirusy działają w taki sam sposób jak wirusy plikowe. Ponadto są zdolne do ukrywania się, infekowania sektorów ładujących lub tworzenia wirusów towarzyszących.
    • Wirusy stealth i rootkity – Niektóre zagrożenia wyposażone są w mechanizmy umożliwiające ukrywanie się przed programami antywirusowymi. W tym celu przejmują kontrolę nad różnymi funkcjami systemowymi. W takich przypadkach standardowe skanowanie systemu plików i obszarów systemowych napędów nie wykryje zagrożenia. Mechanizmy ukrywające działanie szkodników uruchamiane są po zainfekowaniu przez wirusa pamięci operacyjnej.
    • Wirusy polimorficzne (Polymorphic viruses) – Wirusy polimorficzne posiadają mechanizmy pozwalające im na zmianę postaci z każdą nową infekcją. Osiągają to przez szyfrowanie części kodu. Dodana funkcja kodująca generuje nowy szyfr dla każdej kopii, a czasem nawet nowe funkcje kodujące. Sekwencje komend zbędne do działania wirusa również mogą zostać zastąpione bądź losowo przestawione. W ten sposób łatwo wytworzyć miliardy wersji wirusa. Aby wykryć i usunąć zakodowane i polimorficzne wirusy, konieczne jest stosowanie bardziej wyrafinowanych metod, niż klasyczne sygnatury wirusów. W większości przypadków należy stworzyć specjalne programy. Koszty analizowania i przygotowania właściwych środków zaradczych mogą być niezwykle wysokie. Dlatego w kategoriach złośliwego oprogramowania, wirusy polimorficzne stanowią najwyższe wyzwanie.
    • Wirusy zamierzone (Intended virus) – Termin wirusów zamierzonych odnosi się do wadliwych wirusów, które zarażają plik, ale nie są zdolne do dalszej replikacji.
    • Wirusy mailowe (Email viruses) – Wirusy mailowe należą do tzw. kategorii “mieszanych zagrożeń”. Malware tego rodzaju łączy cechy koni trojańskich, robaków i wirusów. Kiedy wirus “BubbleBoy” zadebiutował na scenie nowych zagrożeń, zauważona została możliwość infekowania komputerów osobistych przez funkcję podglądu HTML-owych wiadomości przez wykorzystanie luki bezpieczeństwa w Microsoft Internet Explorer. Zagrożenie jakie powodują wspomniane “kombinacyjne wirusy” nie powinno być niedoceniane.



Firewall

Aby uchronić się przed dostępem do Twojego komputera przez sieć, zalecane jest użycie firewalla (zapory sieciowej). Przez celowe limitowanie ruchu sieciowego, chroni nie tylko przed atakami z zewnątrz, ale także, jeżeli nastąpiła infekcja w systemie, blokuje komunikację z “domem” programów malware i przede wszystkim, pobieranie dalszego złośliwego oprogramowania lub wysyłanie do ich twórców Twoich własnych danych.

Rozróżniamy dwa fundamentalne rodzaje firewalli – sprzętowe oraz programowe.

Sprzętowe firewalle pełnią fizyczną rolę, pomiędzy połączeniem internetowym, a siecią chronioną. Wiele routerów DSL posiada podstawowe funkcje firewalla. Zapory sprzętowe separują logicznie wewnętrzną sieć chronioną od sieci zewnętrznych (Internetu).

Programowe firewalle są integrowane w obecnych systemach operacyjnych, jednak prawdę mówiąc, nie zawsze zapewniają pełną funkcjonalność oddzielnego oprogramowania zabezpieczającego. Firewalle programowe są bezpośrednio instalowane na stanowiskach PC, które mają chronić i kontrolują przychodzący i wychodzący ruch sieciowy. Ten typ ochrony określa się także jako biurkowy firewall (“desktop firewall”) lub osobisty firewall (“personal firewall”).

Zapora tworzy zestaw reguł, które determinują, które z pakietów sieciowych mogą przejść, a które będą zablokowane. Różnica pomiędzy zezwoleniem, a zablokowaniem pakietu, pod tym względem, może być ustalona wedle różnych kryteriów. Z jednej strony decydować może adres IP oraz port, z drugiej decyzja o ewentualnym zezwoleniu, bądź zablokowaniu podjęta może być na podstawie aplikacji, która rozpoczęła połączenie z lokalnym systemem.

Jeżeli następuje połączenie, którego nie obejmuje zestaw reguł, wtedy, w zależności od ustawień domyślnych firewalla, pojawia się interaktywne okno dialogowe umożliwiające stworzenie nowej reguły. W przyszłości, zarządzenie o pozwoleniu, zablokowaniu, bądź zapobiegnięciu połączenia podjęte zostanie automatycznie, bez zapytania. Oczywiście, zależy od tego, jak “ostro” ustawiony jest firewall.

Jako, że liczba zapytań występujących w wstępnej fazie działania zapory, mogą przytłoczyć, zwłaszcza niedoświadczonych użytkowników, firewalle zawarte w produktach G Data oferują tzw. tryb autopilota. Jeżeli jest włączony, zapytania są odkładane. Firewall decyduje przy współpracy ze skanerem antywirusowym, czy dana aplikacja może utworzyć połączenie sieciowe, w której proces, który żąda łączności, jest wstępnie sprawdzany pod kątem obecności zagrożeń. Gracze sieciowi zyskują korzyść z funkcji autopilota, ponieważ połączenie pomiędzy grą, a jej serwerem może zostać ustanowione bez potrzeby opuszczania trybu pełnoekranowego, w celu podjęcia decyzji w oknie dialogowym. W tym samym czasie, wyłącznie potwierdzone połączenia będą dozwolone, a włamywacze próbujący uzyskać dostęp do komputera z zewnątrz, tam też pozostaną.




Kopie zapasowe

Seria niefortunnych zdarzeń może doprowadzić do utraty cennych danych. Ryzyko wystąpienia takiego zdarzenia można zminimalizować postępując wedle paru prostych zasad:

  • Używaj oprogramowania antywirusowego oraz zapory sieciowej i upewnij się, czy dysponują najnowszymi aktualizacjami, a także czy często kontrolują własną aktualność.
  • Poddawaj system regularnym skanowaniom skanerem antywirusowym.
  • Upewnij się, czy system operacyjny oraz zainstalowane programy są zaktualizowane do najnowszych wersji. Większość ataków odnosi powodzenie z powodu znanych luk bezpieczeństwa starych wersji.
  • Zapoznaj się z ustawieniami ochrony każdej aplikacji łączącej się z Internetem. Standardowe ustawienia nie są zawsze najlepszą opcją. Postaraj się znaleźć optimum pomiędzy bezpieczeństwem, a funkcjomalnością.
  • Używaj bezpiecznych haseł do ochrony twojego konta użytkownika. Kodowanie ważnych danych zapewnia bezpieczeństwo nawet w przypadku udanej kradzieży informacji. Sejf G Data NotebookSecurity pozwala na instalację wirtualnego dysku, w którym wszystkie dane są przechowywane w zakodowanej formie.
  • Upewnij się, że korzystasz z konta użytkownika do zarządzania Twoim systemem operacyjnym. Uprawnienia administratora nie są konieczne do codziennej pracy. Jeżeli złośliwe oprogramowanie uruchomi się na koncie administratora, może dokonać dużo większych szkód niż w znacznie ograniczonym koncie użytkownika.
  • Dawno zainstalowane i niewykorzystywane programy powinny zostać odinstalowane. Bez Twojej świadomości, w starych wersjach programów mogą tkwić krytyczne luki bezpieczeństwa, które mogą umożliwić zdalny dostęp, pomimo aktualności pozostałych składników systemu.
  • Usuwając wrażliwe dane z systemu, upewnij się, że nie pozostawiłeś niczego w zasobach systemu operacyjnego. Często, rzekomo usunięte dane mogą zostać odzyskane bez większego wysiłku. W takich sytuacjach pomocą służy niszczarka zasobów, zawarta w produktach G Data: InternetSecurity, TotalSecurity i NotebookSecurity, która dokonuje wielokrotnego usunięcia i nadpisania losowymi danymi. Zapewnia to niezawodną ochronę przed niechcianym odzyskaniem informacji.



Szara strefa gospodarki

Rozwój szarej strefy gospodarki w ostatnich latach można zilustrować jednym przykładem: Hakerzy, którzy niegdyś przechwalali się, że dzięki fałszywym danym zyskiwali bezpłatny dostęp do jednej z niezliczonych ofert erotycznych w Internecie, chełpią się dziś ilością kart kredytowych, których dane wykradły ich sieci botnet. Na uwagę zasługuje fakt, że dane te można dziś wymienić na brzęczące monety.

Tendencja ta doprowadziła z czasem do rozwoju podziemia gospodarczego. Dziś można tam znaleźć wszystkie elementy “prawdziwego” otoczenia rynkowego, czyli producentów, handlarzy, usługodawców, “oszustów” oraz klientów. Zarabianie pieniędzy w owej szarej strefie stanowi dla wielu jedynie pierwszy etap przed przeniknięciem w kręgi przestępczości zorganizowanej, mimo iż (lub ponieważ?) w żadnym momencie nie nawiązują oni osobistego kontaktu z ludźmi.

Kolejne strony raportu G Data producenta oprogramowania antywirusowego, prezentują ogólny zarys tej szarej strefy i jej struktur. Widać przy tym wyraźnie, ze nie chodzi tu o żadną nieszkodliwą mniejszość, lecz o zorganizowane sieci oszustów i złodziei.




Historia wirusów komputerowych

Niedawno minęła dwudziesta rocznica pierwszego oficjalnie zaprezentowanego wirusa komputerowego. Poniżej przedstawiamy kamienie milowe rozwoju wirusów, robaków oraz trojanów.

1949

Teoretyczne rozważania na temat możliwości istnienia groźnych algorytmów sięgają roku 1949. John von Neumann (1903-1957) sformuował teorię samoreprodukujących się automatów. W tamtych czasach wprowadzenie podobnej teorii w życie było nie do pomyślnenia.

Lata 70-te

Podczas Core Wars napisane w Redcode programy zwalczają się nawzajem. Walczą o przeżycie w obszarze pamięci. Tak zwane Impsy zawieszają się w pamięci i kasują na chybił trafił zapisy adresowe. Niektóre z wersji potrafią same się kopiować. Takie były początki wirusów komputerowych.

1981

Profesor Leonard M. Adleman używa w rozmowie z Fredem Cohenem po raz pierwszy określenia wirus komputerowy.

1982

Pierwsze wirusy na komputerach Apple II są wymieniane za pośrednictwem dyskietki w wąskim gronie użytkowników. Z powodu błędu wirus prowadzi do zawieszania się programów. Błąd ten zostaje usunięty w wersji późniejszej.
Wirus Elk Cloner nęka użytkowników jako pierwszy.
Wirus dotyka użytkowników Apple / DOS 3.3 skaczącymi liniami, odwróconym i nieprawidłowym obrazem oraz odgłosem stukania. On również rozprzestrzenia się standardowo – poprzez dyskietki.

1983

W listopadzie podczas seminarium Fred Cohen, po raz pierwszy, prezentuje koncepcję wirusa. Do zaimplementowania pierwszego funkcjonującego wirusa w systemie UNIX potrzebuje tylko 8 godzin. Po czym w ciągu kilku minut uzyskuje pełne prawo dostępu do plików na wszystkich komputerach.

1984

Fred Cohen publikuje pierwszy artykuł o eksperymentach z wirusami komputerowymi, który staje się częścią jego pracy doktorskiej, opublikowanej w 1986 pt. Computer Viruses – Theory and Experiments. Definicja wirusa Freda Cohena, raczej matematycznie ukierunkowana, jest ciągle uznawana, przy czym nie rodzi tak negatywnych skojarzeń i emocji, jakie wirusy mają dzisiaj.

1985

Kolejne wirusy nie pozwoliły na siebie za długo czekać. Często są to tylko żartobliwe programy, które naprzykrzają się użytkownikom komputerów. Tak naprawdę złośliwy okazał się dopiero trojan Gotcha. Po wystartowaniu programu, który miał umożliwiać przedstawianie grafiki, usuwane zostają pliki zapisane na twardym dysku, a na monitorze ukazuje się napis Arf, arf, Gotcha.
Polski półświatek hackerów również zajmuje się wirusami. Jednakże ciągle jeszcze nie docenia się zagrożenia jakie niosą ze sobą wirusy komputerowe.

1986

Bracia Basit i Amjad Farooq Alvi prowadzą mały sklep komputerowy o nazwie Brain Computer Services w Lahore, w Pakistanie. Aby karać za nielegalne kopiowanie swoich programów, tworzą pierwszy wirus sektora bootowania systemu DOS. Wirus ten rozprzestrzenia się jak epidemia poprzez pakistańskich studentów na uczelniach wyższych w USA. Program ten jest stosunkowo niegroźny, gdyż jedynie zmienia nazwę spisu treści zainfekowanych dyskietek na słowo Brain (mózg).
John McAfee, i wielu innych specjalistów komputerowych, zakłada pierwsze firmy zajmujące się pisaniem programów antywirusowych.

1987

Coraz częściej pojawiają się teraz wirusy, które zarażają pliki (na razie ciągle jeszcze tylko pliki z rozszerzeniem .com).
Opinii publicznej daje się poznać wirus Lehigh. Zaraża on plik command.com, a po utworzeniu 4 kopii na dyskietkach usuwa dane na wszystkich znajdujących się w komputerze nośnikach pamięci. Taka radykalna akcja prowadzi do jego szybkiej zagłady. W związku z wirusem Lehigh powstaje lista mailingowa VIRUS-L/comp.virus i grupa dyskusyjna, która staje się z czasem najważniejszym źródłem informacji w walce przeciwko wirusom. Organizują się zarówno autorzy wirusów, jak i antywirusowi specjaliści. Powstają pierwsze programy antywirusowe.

1988

MacMag jest pierwszym wirusem komputerów Macintosh i oferuje całą gammę innowacji. Jest to pierwszy wirus, który powstał na zamówienie (redaktora naczelnego magazynu MacMag). Jako pierwszy zaraża pliki danych (w tym przypadku pliki HyperStack), aby się powielać. Poza meldunkiem nie posiada jednak żadnej szkodliwej funkcji.

W piątek 13-go maja w Jerozolimie, po raz pierwszy wybucha logiczna bomba (w tym przypadku bomba czasowa). Tym samym powstaje nowa odmiana wirusów. Kod wirusa zawiera błąd, przez co zaraża ciągle ten sam plik i dość łatwo go rozpoznać. Mechanizm rozprzestrzeniania się jest podobny do Lehigh, lecz o wiele bardziej efektywny, ponieważ infekuje nie tylko pliki .com lecz również .exe.

1989

DataCrime powoduje kolejne wielkie zamieszanie w mediach. Wraz z Vienna (V2Px) autorstwa Marka Washburna pojawiają się pierwsze wirusy polimorficzne. Wirus ten szyfruje się sam zmiennymi kluczami i zmienia również formę rutyny dekodującej. Mogą go wykryć jedynie programy antywirusowe o kompleksowym algorytmie, które mają, niestety, skłonności do fałszywych alarmów. Problem ten jest powodem upadku wielu producentów oprogramowania antywirusowego.

1990

Hodowanie wirusów stało się modne. W biuletynie VX (Virus Exchange) wymieniane są stare oraz coraz to nowsze wirusy.
4096 Bytes to rozmiar wirusa o tej samej nazwie, który ukazał się w styczniu. Doczepia się on do otwartych oraz wykonywalnych plików. Mechanizm, który próbuje to ukryć prowadzi często do tego, że zarażone pliki zostają zniszczone.
Próba edytowania wiadomości Frodo Lives prowadzi do zawieszania i wyłączania się systemu.

1991

Michał Anioł jest pierwszym wirusem bootsektorowym, który 6. marca – w dniu urodzin Michała Anioła – zapisuje pierwsze 256 sektorów nośnika pamięci. Po takim działaniu komputer staje się praktycznie bezużyteczny. W roku następnym media szeroko nagłaśniają sposób działania i potencjalne szkody jakie może wyrządzić Michał Anioł, co przyczynia się od ograniczenia liczby infekcji i destrukcyjnego działania. Michał Anioł jest jednak jeszcze aktywny przez długie lata.

1992

Komputery typu Commodore, Amiga oraz Atari ST tracą na znaczeniu. MS-DOS zdobywa i rozbudowuje swoją pozycję na rynku. Odpowiednio do tego procesu wzrasta również ilość wirusów DOS-owych. Altair do Atari ST reklamuje się jako program antywirusowy. Likwiduje on wszystkie wirusy jakie znajduje w bootsektorze. Ostatecznie ponosi jednak klęskę, podobnie jak wiele innych programów antywirusowych.

1993

Ukazują się nowe narzędzia do wytwarzania wirusów polimorficznych: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) i Dark Angel’s Multiple Encryption (DAME) bazują na MtE. Sygnatury wirusów są nadal używane.
Pojawiają się pierwsze wirusy komputerowe na system Windows.

1994

Pojawiają się pierwsze wirusy wielopartycyjne. Wykorzystują one wiele mechanizmów infekcyjnych i mogą zarażać jednocześnie, oprócz samych plików, również bootsektory, względnie tablice partycji.
Black Baron publikuje Smeg.Pathogen (oraz Smeg.Queen). Smeg.Pathogen ukazuje informację i zapisuje następnie pierwszych 256 sektorów twardego dysku. Doprowadza to w niektórych firmach do znacznych strat finansowych. Rok później autor zostaje skazany na karę więzienia.

1995

DMV i Night Watchman to pierwsze makrowirusy.
Melissa, Loveletter, Sobig itp. ustanawiają coraz to nowe rekordy w prędkości rozprzestrzeniania się.
Hunter.c to pierwszy polimorficzny makrowirus.
Rozpoznanie wirusów makro stawia wysokie wymagania wobec skanerów wirusowych, chociażby z powodu stale zmieniających się formatów języków, w jakich tworzone są skrypty.

1996

Pojawiają się pierwsze makrogeneratory dla niemieckich i angielskich wirusów makro. Wirusy makro nie ograniczają się już tylko do formatu Word, lecz atakują również pliki Excel i AmiPro. Przekraczają również granice poszczególnych systemów operacyjnych i zarażają zarówno komputery typu PC jak i Mac.

1997

Wirusy stają się coraz bardziej wyspecjalizowane i atakują docelowo słabe miejsca w programach, systemach operacyjnych i sprzęcie komputerowym.
Pojawia się pierwszy wirus na system operacyjny Linux.

1998

Strange Brew jest pierwszym wirusem Java.
CIH (Spacefiller, Chernobyl) jest, jak dotąd, jednym z najgroźniejszych wirusów. 26-go każdego miesiąca staje się aktywny i wprowadza zapis we Flash-BIOS oraz tablica partycji twardego dysku. Z tego powodu komputer nie daje się już uruchomić. Na niektórych płytach głównych trzeba wymieniać lub na nowo programować elektroniczne podzespoły BIOS. Ale nawet po uruchomieniu systemu dane ulegają zniszczeniu.
Dr. Solomons został kupiony przez Network Associates. Jak we wcześniejszym przypadku firmy McAfee klienci zaniechali kupowania programu.

1999

W związku z pojawieniem się Back Orifice dyskutuje się nad pytaniem czy jest to program do zdalnego serwisowania czy też zdalnego sterowania komputera. Jako, że funkcje zdalnego serwisowania mogą zostać wykonane bez wiedzy korzystającego, Back Orifice należy uznać za trojana. W połowie roku 2000 przeprowadzającemu atak BO udało się włamać do sieci wewnętrznej firmy Microsoft.

Happy99 tworzy kopię wysłanej poczty elektronicznej każdego z nadawców, a następnie rozsyła ją ponownie z tą samą treścią i tematem, lecz już z robakiem w załączniku. W identyczny sposób odbywa się to w przypadku poczty Usenet.

2000

Palm/Phage oraz Palm/Liberty-A występują co prawda rzadko, ale są w stanie zaatakować urządzenia PDA i PalmOS.
W maju nowy robak rozsyła w sposób lawinowy pocztę elektroniczną z listy kontaktów programu Outlook o temacie I love you (Loveletter) i wyrządza miliardowe szkody w sieciach komputerowych dużych przedsiębiorstw. Od pierwotnej wersji napisanej przez filipińskiego studenta o nazwisku Onel de Guzman wywodzą się liczne warianty tego wirusa. Amerykańscy eksperci mówią o najbardziej złośliwym wirusie w historii komputerów.
Po wirusie Loveletter i jego licznych wariantach na serwerach poczty elektronicznej, zainfekowane wiadomości z określonym tematem są zwalczane po prostu poprzez filtrowanie. Wirus Stages of Life zmienia więc temat wiadomości elektronicznej i w ten sposób pokonuje zastosowane zabezpieczenia.
Pomimo wszelkich zapowiedzi nie pojawił się jednak robak tysiąclecia, który zasłużyłby na ten tytuł.

2001

Code Red wykorzystuje błąd tzw. przepełnienia bufora w Internet Information Server (IIS) Indexing Service DLL programu Windows NT, 2000 oraz XP. Skanuje przypadkowe adresy IP na standardowym porcie połączenia internetowego i instaluje trojana, który między 20 a 27 dniem danego miesiąca przeprowadza atak typu Denial of Service (DoS) przeciwko stronie internetowej Białego Domu. Usunięcie wirusa jest bardzo kosztowne i pochłania miliardy dolarów.

2002

Robak MyParty ukazuje internautom na początku tego roku, że nie wszystko, co się kończy na .com jest stroną internetową. Kto klika na załącznik www.myparty.yahoo.com otrzymuje zamiast oczekiwanej strony internetowej ze zdjęciami – robaka z elementami backdoor.
Lentin jest robakiem, który wykorzystuje fakt niewiedzy wielu ludzi, że pliki .scr nie są jedynie prostymi wygaszaczami ekranu, lecz również plikami wykonywalnymi. W porównaniu z Klezem Lenin jest bardziej szkodliwy i uciążliwy. Nie rozprzestrzenił się jedna k w takim stopniu jak Klez.
W końcu września jak epidemia grasuje wirus Opasoft (zwany również Brazil). Na porcie 137 skanuje on komputer w sieci i sprawdza, czy istnieje możliwość dostępu do plików lub drukarek. Następnie próbuje powielić się w systemie. Jeśli na komputerze istnieje hasło (hasła) dostępu, usiłuje je złamać.
Tanatos zwany również BugBear jest pierwszym robakiem, który od wiosny zdetronizował Kleza. Robak rozprzestrzenia się przez pocztę elektroniczną oraz sieć komputerową, instaluje elementy szpiegowskie (spyware) i przesyła zapisy wszystkich znaków wprowadzanych z klawiatury inwigilowanego komputera.

2003

W styczniu W32/SQL-Slammer godzinami blokuje Internet, wykorzystując lukę serwera SQL firmy Microsoft w celu przesyłania treści baz danych.
Robak masowej poczty elektronicznej Sobig.F za pomocą swego własnego silnika przesyłowego ustanawia nowy rekord prędkości rozprzestrzeniania się. Robi to 10 razy szybciej niż dotychczasowe robaki.

2004

Rugrat to pierwszy wirus 64-bitowego systemu Windows.
Cabir jest pierwszym wirusem telefonów komórkowych wyposażonych w system Symbian z interfejsem Bluetooth. Został stworzony przez Grupę 29A, znaną z wirusów typu Proof-of-Concept. Niewiele później powstaje WinCE4Dust.A – pierwszy wirus dla Windows CE. Zresztą autorstwa tej samej grupy.

2005

Pierwszy robak atakujący aparaty Symbian Smartphone to CommWarrior.A atakujący przez wiadomości MMS. Wysyła wiadomości do wszystkich kontaktów książki adresowej.

2006

Koncern Sony BMG umieszcza na swoich płytach audio-CD mechanizm rootkit zapobiegający kopiowaniu płyt. Rootkity stają się obiektem zainteresowania twórców wirusów i pojawiają się masowo jako składowe złośliwych programów utrudniając ich wykrycie przez oprogramowanie zabezpieczjące.

2007

Oprócz ogromnej ilości ataków przy pomocy mechanizmów phishingowych i pharmingowych pojawiają się botsieci komputerów zombie wysyłające wiadomości masowe.




Minimalizowanie ryzyka

Stosowanie kilku zasad bezpiecznego korzystania z komputera i Internetu pozwoli na zminimalizowanie ryzyka poniesienia strat wynikających z utraty kontroli nad systemem lub wycieku poufnych danych.

Dotyczy to zarówno ochrony przed bezpośrednim dostępem do komputera, jak i zdalnym atakiem na system przeprowadzonym przez sieć.

Blokowanie komputera

Nawe jeśli opuszczamy stanowisko na krótki okres czasu, warto skorzystać z funkcji zablokowania komputera dostępnej w menu Start systemu Windows. Pozostawienie komputera bez zabezpieczenia może zainteresować osoby znajdujące się w pobliżu.

Ustawienia zabezpieczeń

Zarówno system operacyjny, jak i jego składniki czy inne aplikacji umożliwiają na konfigurowanie poziomu zabezpieczeń. Ustawienia domyślne nie zawsze są najbezpieczniejsze. Warto poświęcić chwilę czasu na sprawdzenie i ewentualne dostosowanie ustawień zabezpieczeń kluczowych elementów systemu i aplikacji. Stosowanie narzędzia Tuner zawartego w pakiecie G Data TotalCare również może pomóc w dostosowaniu ustawień wpływających na bezpieczeństwo.

Wyłączanie komputera lub rozłączenie połączeń sieciowych

Jeśli odchodzimy od komputera na dłuższy czas, warto całkowicie wyłączyć komputer lub przynajmniej rozłączyć działające połączenia z siecią. Bez wątpienia ma to swoje pozytywne aspekty – choćby w kontekście pobierania przez operatorów mobilnego Internetu opłat za czas połączenia; głównie jednak ze względu na fakt, że urządzenie odłączone od sieci nie jest podatne na ataki z zewnątrz.

Sporządzanie kopii zapasowych

Kopia zapasowa danych uchroni nas od ich utraty – każdy to wie, lecz mało kto korzysta z ogólnodostępnych narzędzi do backupowania danych. Utrata danych może nastąpić również bez ingerencji z zewnątrz – choćby w przypadku awarii komputera lub dysku twardego, a także jeśli np. laptop zostanie ukradziony. Produkt G Data TotalCare wyposażony jest w mechanizm umożliwiający automatyczne sporządzanie kopii zapasowych wskazanych danych na wszystkich dostępnych nośnikach, a także w Internecie. Prosta konfiguracja harmonogramu kopii zapasowych może znacznie zmniejszyć ryzyko utraty danych nawet w wyniku zdarzeń losowych.




Programy antywirusowe i aktualizacje

Co robi program antywirusowy i jak funkcjonuje?

Identyfikacja złośliwego oprogramowania odbywa się na podstawie porównania skanowanego obiektu z bazą wzorców zwanych sygnaturami lub definicjami wirusów.
Rozróżniamy dwie metody skanowania – skanowanie na żądanie (on demand) i dostępowe skanowanie w czasie rzeczywistym (on access).

Skanowanie na żądanie

Zlecenia skanowania mogą być uruchamiane ręcznie przez użytkownika lub automatycznie, zgodnie z ustalonym harmonogramem. Skanowanie obejmuje dyski, partycje, pliki, foldery lub nośniki wymienne. Ze względu na obciążenie sprzętu generowane podczas skanowania, zaleca się przeprowadzanie zaplanowanych skanowań w czasie, kiedy komputery nie są intensywnie wykorzystywane. W miarę możliwości zaleca się stosowanie opcji skanowania tylko w trybie bezczynności, zaimplementowaną np. w rozwiązaniach antywirusowych G DATA.

Skanowanie dostępowe

Skanowanie to polega na kontrolowaniu wszystkich prób dostępu do plików na dyskach. Skanowanie odbywa się w tle przy użyciu filtra zintegrowanego z systemem. Odczyt, zapis i uruchomienie dowolnego pliku poprzedzone jest skanowaniem antywirusowym. Jeśli skaner dostępowy (monitor) wykryje złośliwe oprogramowanie w pliku, do którego system lub użytkownik próbuje uzyskać dostęp, podejmuje zdefiniowane wcześniej działanie (usunięcie, próbę dezynfekcji, zablokowanie, czy też przeniesienie pliku do zabezpieczonego folderu – kwarantanny). Ze względów bezpieczeństwa skanowanie dostępowe powinno być stale włączone.

Filtry HTTP, komunikatorów i poczty elektronicznej

Kompleksowa architektura ochrony powinna zabezpieczać komputery we wszystkich możliwych płaszczyznach. Ochrona protokołów wejściowych, czyli przeglądarek internetowych, komunikatorów i programów pocztowych stanowi doskonałe uzupełnienie ochrony na poziomie plików. Luki bezpieczeństwa w systemach operacyjnych i stosowanych programach umożliwiają przeniknięcie złośliwego kodu do komputera i uruchomienie go bezpośrednio w pamięci operacyjnej – z pominięciem dysku twardego. Produkty G Data oferują dodatkowe filtry chroniące przeglądarki, komunikatory oraz programy pocztowe.

Aktualizacje

Regularne aktualizowanie baz wzorców wirusów ma podstawowe znaczenie dla skutecznej ochrony przed zagrożeniami. Nowe złośliwe aplikacje powstają codziennie, dlatego też oprogramowanie antywirusowe powinno być aktualizowane tak często, jak się da. Pomocnym narzędziem jest wbudowany w aplikacje zabezpieczające harmonogram automatycznych aktualizacji. Programy G Data umożliwiają aktualizowanie wzorców wirusów w trybie cogodzinnym, co znacznie ogranicza możliwość przeniknięcia do chronionego systemu nowego wirusa.




Rodzaje zagrożeń

Wirusy, konie trojańskie, robaki internetowe itp. to specyficzna grupa programów, bynajmniej nie użytkowych. Malware (malicious = złośliwy + software = oprogramowanie), to ogólnie przyjęte określenie zbiorcze na programy, które w złej intencji udostępniają, zmieniają lub usuwają dane zarażonego komputera. Są zazwyczaj niewielkie, co utrudnia ich wykrycie, ale w kodzie zawierają funkcje i polecenia mogące zaszkodzić właścicielowi zarażonego komputera – od szpiegowania i przechwytywania danych osobistych po usuwanie plików z dysku. Dzieli się je na trzy podstawowe grupy: trojany (konie trojańskie), robaki i wirusy. W szerszym sensie określenie malware obejmuje też programy typu spyware oraz dialery.

Trojany

Podstępny program komputerowy zawierający ukryte procedury, umożliwiające jego autorowi komunikację i czasem wręcz przejęcie kontroli nad zainfekowanym komputerem. Metody ukrywania szkodliwych funkcji są przeróżne. Czasem polecenia potrafią być podpięte pod wiersz poleceń administratora systemu, czasem trojany przychodzą pocztą w formie skryptów, wygaszaczy ekranu lub udostępniane są do pobrania przez Internet pod nazwami znanych gier, programów lub cracków. Uruchomienie takiego załącznika, programu powoduje natychmiastową infekcję systemu.

Robaki

Robaki rozpowszechniają się przez sieci komputerowe lub pocztą elektroniczną:

  • Robak sieciowy: Robak może infekować komputery zdalnie, przez sieć komputerową. Skanując porty komputera wynajduje słabe punkty systemu, konfiguracji lub zabezpieczeń i wykorzystuje je aby wedrzeć się do systemu – przykładem jest robak Sasser wykorzystujący błąd przepełnienia bufora w usłudze Local Security Authority Subsystem Service (LSASS). W 2004 roku Sasser zainfekował w ten sposób rekordowe ilości komputerów.
  • Robak pocztowy: Wysyła się jako załącznik do poczty elektronicznej. Może wykorzystywać w tym celu domyślny program pocztowy, ale zazwyczaj posiada wbudowany własny silnik poczty wychodzącej, a adresy mailowe pobiera z książek adresowych programów pocztowych lub wyszukuje je w plikach tekstowych. Poza generowaniem ruchu w sieci i absorbcją zasobów systemowych robaki mogą wyrządzać inne szkody, w zależności od woli autora. Typowymi przedstawicielami gatunku są Bagle i Netsky, najpopularniejsze wirusy w roku 2004.

Wirusy

Wirusy to programy zajmujące się reprodukcją i przenoszeniem się na inne komputery. Infekują pliki lub bootsektory nośników danych. Przemieszczają się niezauważone na dyskietkach, dyskach, przez sieci komputerowe (także Peer-to-Peer), pocztą elektroniczną lub przez zwykłe pobieranie plików z Internetu. Umieszczają swoje kopie w różnych miejscach na dysku i działają na różne sposoby. Rozróżniamy następujące grupy wirusów:

  • Wirus bootesktorowy: Jest to szczególnie uciążliwy typ wirusa, na szczęście obecnie zdarza się już rzadko. Atakuje Master Boot Record dysku twardego lub dyskietki, umieszczając się tuż przed nim. W ten sposób do pamięci wczytywany jest najpierw wirus, a dopiero potem bootsektor. W ten sposób wirus niepostrzeżenie przenika do systemu i będzie uruchamiał się za każdym startem komputera z zarażonego dysku. Kod wirusa często pozostaje w pamięci komputera. Takie wirusy nazywamy rezydentnymi. Takie wirusy rozprzestrzeniają się głównie na dyskietkach, przeszły więc wraz z dyskietkami do historii. Wirusy bootsektorowe potrafiły być bardzo niebezpieczne – najgroźniejsze potrafiły uszkodzić dysk.
  • Wirus plikowy: Wirusy plikowe popularne niegdyś, dziś pojawiają się sporadycznie. Infekcja polega na doczepienie się do pliku uruchamialnego. Czasem wirus pozostawia plik żywiciela nietknięty, instalując się tuż przed lub tuż za nim, często jednak dochodzi do uszkodzenia pliku właściwego. W tym przypadku program antywirusowy nie jest w stanie przywrócić pliku do działania – może tylko usunąć go wraz zagrożeniem.
  • Makrowirus: Makrowirusy też infekują pliki, ale innego rodzaju. Pisane są w języku Visual Basic i doczepiają się do dokumentów programów obsługujących język makr, np. Microsoft Access, Excel czy Word. Poza tym w mechanizmach działania nie różnią się od wirusów plikowych.
  • Wirus Stealth: Niektóre wirusy wyposażone są w specjalne mechanizmy umożliwiające im ukrycie się przed programami antywirusowymi. Przejmują w tym celu kontrolę nad różnymi funkcjami systemowymi, a jeżeli to się uda, są w stanie oszukać skaner antywirusowy i nie wykazać obecności wirusa przy próbie dostępu do zarażonego pliku. Aby funkcjonować, wirus stealth musi rezydować w pamięci operacyjnej. W mechanizmy stealth wyposażone są często inne rodzaje wirusów.
  • Wirus polimorficzny: Wirusy polimorficzne tworząc kolejne swoje kopie modyfikują pewne parametry – nazwę, rozmiar itp. aby utrudnić wykrycie kolejnych infekcji. W tym celu fragmenty kodu wirusa są zaszyfrowane. Modyfikacje polegają m.in. na zmianie kolejności wykonywanych poleceń (np. poprzez losowanie). W ten sposób powstają miliardy wariantów jednego wirusa. Aby skutecznie wykrywać tego typu wirusy, nie wystarczy zastosowanie klasycznych sygnatur wirusów. Potrzebne są do tego specjalne, osobne procedury lub programy.
  • Wirus pocztowy: Wirusy pocztowe to modna obecnie mieszanka cech (Blended threats = zmiksowane zagrożenie) trojanów, robaków i wirusów. Możliwe dzięki temu jest stworzenie wirusa infekującego komputer już w momencie podglądania wiadomości pocztowej w formacie HTML. Dzieje się to z powodu błędu w zabezpieczeniach przeglądarki internetowej Microsoft Internet Explorer.

Wspólne cechy wirusów i robaków

Zarówno robaki, jak i wirusy komputerowe zbudowane są z następujących składników:

  • Moduł replikujący – Złośliwe programy wyposażone są w mechanizmy służące do rozprzestrzeniania się. Infekowanie może zachodzić przy wykorzystaniu nośników wymiennych (dyskietek, pendrive`ów itp.), poprzez udostępnione zasoby sieciowe, sieci peer-to-peer lub pocztą elektroniczną. Często wykorzystywane są różne kombinacje tych metod lub wszystkie jednocześnie, co zwiększa możliwości rozprzestrzeniania się szkodników.
  • Moduł rozpoznawczy – Składnik rozpoznawczy, sprawdza przed rozpoczęciem infekcji, czy dany wirus/robak nie został już zainstalowany w danym systemie. Zapobiega to wielokrotemu infekowaniu jednego komputer, co ułatwiłoby wykrycie szkodnika.
  • Moduł wyrządzający szkody – Narzędzia wyrządzające szkody (ang. payload) można podzielić na następujące grupy:
    • Pozostawienie otwartych tylnych drzwi (ang. backdoor) umożliwia twórcy wirusa zdalny dostęp do komputera. Dzięki temu może manipulować danymi, przeprowadzać różnego rodzaju ataki sieciowe lub przejąć całkowitą kontrolę nad komputerem. Szkodniki mogą w różny sposób manipulować danymi komputera. Zdarza się wyświetlanie komunikatów, grafik, wydawanie dźwięków, a czasem też usuwanie danych z dysków. Częstą metodą ataku jest wynajdywanie i przesyłanie do twórcy wirusa ważnych informacji. Celem takich ataków jest uzyskanie haseł dostępu, numerów kart kredytowych i innych poufnych danych.
    • Ataki typu Denial of Service (DoS) mają na celu zasypanie komputera lub strony internetowej zapytaniami w celu wywołania przeciążenia serwera lub danej usługi. Usługa lub też strona internetowa przestaje funkcjonować prawidlowo, co może spowodować duże straty finansowe, np. w przypadku dobrze prosperujących stron internetowych. Zdarzają się szkodniki, które nie wyrządzają żadnych szkód, oprócz spowolnienia działania komputera lub połączenia internetowego. Wiele wirusów i robaków zawiera błędy, dzięki którym nie działają prawidłowo. Niestety może to mieć również negatywne skutki, ponieważ niektóre z zamiaru niegroźne złośniki mogą wyrządzić wiele szkód właśnie przez błędy popełniane przez twórców.
  • Mechanizm warunkowy – Zarówno replikacja, jak i wyrządzanie szkód może uruchamiać się dopiero po spełnieniu warunków postawionych przez twórce szkodnika. Najczęściej wirus zaczyna funkcjonować od razu po uruchomieniu. W niektórych przypadkach mechanizm wyrządzający szkody musi zostać uruchomiony przez użytkownika, np. poprzez otwarcie załącznika poczty elektronicznej. Niektóre wirusy stosują opóźnienie czasowe, uaktywniając się w konkretnym dniu, lub o konkretnej godzinie. Spotyka się również szkodniki uaktywniające się po danej liczbie uruchomień komputera lub zainfekowanego programu.
  • Moduł ukrywający – Często twórcy robaków, wirusów i innych złośliwych programów usiłują tak skonstruować swoje dzieła, aby nie były zauważalne dla użytkownika komputera, lub aby nie dało się ich wykryć oprogramowaniem zabezpieczającym. Szkodniki potrafią wykryć działanie programów skanujących, a także ukrywać się samoistnie dzięki długim i skomplikowanym poleceniom w kodzie maszynowym. Dobrą metodą na ukrycie wirusa, jest wyposażenie go w mechanizm usuwający ślady infekcji. W tym celu fałszowane są raporty i komunikaty systemu. Przykładowo wirus rezydujący w pamięci może przekazywać do systemu informację, że zajęte przez niego obszary w pamięci są zajęte przez niegroźny program, który znajdował się tam wcześniej. Szkodniki potrafią szyfrować fragmenty swojego kodu, aby zabezpieczyć się przed wykryciem przez program antywirusowy. Współczesne szkodniki wykorzystują mechanizmy znane pod nazwą rootkit, których działanie polega na przejęciu kontroli nad systemem operacyjnym poprzez ukrycie własnych procesów.

Malware

Malware to ogólne określenie na złośliwe oprogramowanie, powstała ze złożenia słów malicious (ang. złośliwy) oraz software (ang. oprogramowanie. Fałszywy alarm: Często w Internecie krążą wiadomości o rzekomym, bardzo groźnym wirusie. Zazwyczaj autor namawia do przesłania maila do wszystkich znajomych w celu ostrzeżenia. Znamy takie metody z modnych swojego czasu listów-łańcuszków. Ogólnie chodzi chyba o wzbudzenie niepotrzebnej paniki i wywołanie niepotrzebnego ruchu w sieci.

Backdoor

Wielu administratorów sieci korzysta z procedur nasłuchujących do zdalnego łączenia się z komputerami. Nie ma w tym nic złego, ale te same metody w rękach twórców wirusów umożliwiają zdalne łączenie się z zainfekowanymi komputerami i wykonywanie operacji na plikach, bez wiedzy ich właścicieli i użytkowników. Wystarczy, że wirus pozostawi otwarte tylne drzwi (backdoor), np. w postaci otwartego portu TCP.

Spyware

To grupa programów zajmująca się szpiegowaniem użytkowników. Potajemnie rejestrują procesy i czynności wykonywane na komputerze i przesyłają je do autora, lub serwera. Dane wykorzystywane są do analizowania zachowań użytkownika podczas pracy z Internetem, np. w celu dopasowania wyświetlanych odpowiednich banerów reklamowych. Istnieją programy wykrywające i usuwające spyware.

Dialer

Dialery instalują się w komputerze równie niepostrzeżenie jak wirusy. Potrafią przekierować połączenie Internetowe typu dial-up na droższy numer. Skutkuje to niezasłużenie wysokimi rachunkami za telefon. Istnieją nawet specjalne programy chroniące przed plagą dialerów.

Spam

Wiadomości masowe, niechciana poczta, propaganda elektroniczna – czyli po prostu spam. Dotyka to każdego użytkownika poczty elektronicznej. Nowoczesne programy antyspamowe stosują statyczne i statystyczne metody (analiza treści i filtry samouczące, np. Bayes Theorem) wykrywania i filtrowania niechcianej poczty.

Phishing

Phishing to określenie na działalność polegającą na wysyłaniu rzekomo w imieniu banków i innych instytucji, próśb o podanie prywatnych danych: nazwa użytkownika, hasło, numer karty kredytowej itp. Zaproszenie do przekazania danych zazwyczaj przychodzi pocztą elektroniczną z linkiem do fałszywej strony banku lub innej instytucji. Niestety coraz więcej osób daje się na to nabrać. Więcej informacji na ten temat można znaleźć na anglojęzycznej witrynie poświęconej tej tematyce: www.antiphishing.org.




Urządzenia mobilne

Popularność smartfonów rośnie wraz z biegiem czasu. Szczególnie wielu użytkowników zyskują produkty oparte o platformę Android. Oferują dziś znacznie więcej możliwości niż wykonywanie połączeń głosowych. Pełnią rolę cyfrowej pamięci, przechowującej informacje o kontaktach, zdjęcia, dokumenty, korespondencję mailową, hasła, billingi i wiele, wiele więcej.

Dodatkowo, są naszymi stałymi kompanami, bez których nasze życie osobiste i biznesowe wydają się być dziś niemożliwe do wyobrażenia. Aby chronić te wrażliwe dane, użytkownicy muszą być świadomi zagrożeń i poznać wskazówki odpowiedzialnego korzystania ze smartfonów. Załoga G DATA Security Labs wspólnie przygotowała poniższe artykuły zawierające wiele interesujących i pomocnych rad.

Bezpieczeństwo urządzeń mobilnych Czytaj więcej

Nowe technologie, nowe możliwości i nowe zagrożenia. Rozwój smartfonów i innych inteligentnych urządzeń mobilnych szybko postępuje. Dlatego kwestią najwyższej wagi jest świadomość występujących zagrożeń i właściwego im przeciwdziałania.

Wskazówki bezpieczeństwa dla urządzeń mobilnych Czytaj więcej

Wielozadaniowe urządzenia mobilne muszą być właściwie zabezpieczone wedle pewnych reguł przy korzystaniu z aplikacji, WiFi, haseł, itd. Zapoznaj się z ważnymi wskazówkami, które pomogą zabezpieczyć Cię i twoje dane.




Wskazówki bezpieczeństwa dla urządzeń mobilnych

Zainstaluj oprogramowanie zabezpieczające

Mobilne urządzenia przejmują coraz więcej funkcji komputerów osobistych, dlatego dane na nich przechowywane powinny być chronione za pomocą programów zabezpieczających przed kradzieżą, szpiegowaniem i złośliwym oprogramowaniem.

Zastanów się nad poprawą bezpieczeństwa swich urządzeń mobilnych z G DATA Mobile Internet Security

Korzystaj wyłącznie z bezpiecznych sieci bezprzewodowych

Do sieci nieznanych i publicznie dostępnych należy podchodzić z dużą ostrożnością. Ważne operacje, jak bankowość elektroniczna lub inne wykorzystujące poufne dane typu hasła, nie powinny być wykonywane z użyciem wspomnianych połączeń. Także wskazane jest nieprzeprowadzanie aktualizacji oprogramowania w niezabezpieczonych sieciach ze względu na ryzyko manipulacji.
W pewnych przypadkach, złodzieje danych tworzą punkty dostępowe WLAN i nadają im popularne, bądź wiarygodnie brzmiące nazwy, by zwabić nieświadomych zagrożenia użytkowników. Dlatego nie należy sugerować się wyłącznie ogłaszaną nazwą sieci. Oficjalne bezprzewodowe hotspoty, np. operatorów telefonii komórkowej, przy pierwszej próbie połączenia wyświetlają u użykownika dedykowaną stronę logowania. W prywatnych sieciach bezprzewodowych nie istnieją strony weryfikujące. Bezpieczne sieci WLAN powinny wykorzystywać protokół szyfrujący WPA2 i silne hasła dostępowe.

Wyłączaj połączenia bezprzewodowe i GPS

Połączenia bezprzewodowe, jak WLAN, Bluetooth, IrDa, powinny być wyłączane w czasie bezczynności. Pozostawienie ich aktywnymi nie tylko naraża na niepotrzebne ryzyko, ale również zmniejsza żywotność baterii. Dostawca telekomunikacyjny może określić lokalizację telefonu w każdej chwili, ponieważ każde urządzenie automatycznie loguje się do najbliższej komórki. Wiele aplikacji stara się wykorzystać te dane, a nawet moduł GPS do uzyskania dostępu do telefonu. Pozwolenie na wykorzystywanie funkcjonalności geolokalizacji należy udzielać wyłącznie programom tego wymagającym, jak nawigacja, czy raporty ruchu. Pewne programy rozrywkowe wymagają możliwości odczytu danych lokalizacyjnych do określenia, czy użytkownik na danym obszarze ma prawo korzystania z usługi.

Nie pozostawiaj telefonu bez nadzoru

Najbardziej prawdopodobnym skutkiem pozostawienia telefonu bez nadzoru, jest jego kradzież. Jednak, nawet osoba nie mająca intencji przywłaszczania sobie cudzych urządzeń może uzyskać dostęp do prywatnych danych, zwłaszcza w przypadku pozostawienia niezablokowanego telefonu. Przykładowy scenariusz: osoba zyskująca kontrolę nad nie swoim sprzętem pobiera aplikację szpiegowską i w ciągu paru sekund odczytuje informacje o kontaktach, wiadomościach, historii połączeń, itd, po czym wysyła zgromadzone informacje na zdalny serwer poprzez Internet. Następnie, po zatarciu śladów użycia programu, właściciel odzyskuje pozostawiony telefon. Złodziej danych może teraz spokojnie wykorzystać dane zupełnie nieświadomej kradzieży ofiary.

Używaj silnych haseł

Do rejestracji zaleca się używania silnych haseł. Odnosi się to zwłaszcza do kont z których korzysta telefon (konto Google, Apple ID, itd.). Hasła typu admin, czy 123 nie stanowią najlepszego zabezpieczenia. Stosuj kombinacje składające się z co najmniej 8 znaków, dużych i małych liter, liczb i znaków specjalnych, by utworzyć kod typu & Hb1 opGT58. Skonstruowane w ten sposób hasło, choć bezpieczne, może być trudne dla zapamiętania.
Aby ułatwić sobie zadanie, zbuduj hasło na bazie akronimu Twojej ulubionej piosenki, np.: The Sound of Silence, zespół Simon & Garfunkel, rok 1966 = “TSoS,zS&G,r1966. Możesz również wykorzystać podobieństwo pewnych liter do cyfr i uzyskać hasło typu: The Sound of Silence = 7h3_50und_0f_51l3nc3.

Sprzedajesz telefon? Koniecznie go zresetuj

Telefony stanowią obecnie medium przechowujące wiele danych osobistych i biznesowych. Znajdują się w nich kontakty, emaile, zdjęcia, dokumenty, muzyka, itd. Dlatego istotne jest usunięcie takich informacji przed sprzedażą telefonu, aby nowy właściciel nie miał dostępu do Twojej prywatnej korespondencji i zdjęć z wakacji. Większość telefonów dysponuje funkcją resetowania do ustawień fabrycznych, usuwania prywatnych danych lub podobnie działającym poleceniem. Dodatkowo, zadbaj o sformatowanie umieszczonej w telefonie karty pamięci lub zastąp ją całkowicie nową.

Przeprowadzaj regularne kopie bezpieczeństwa

Utrata smartfona lub tableta jest z samych przyczyn finansowych bardzo nieprzyjemna. Znacznie gorzej jest, gdy wraz ze zgubionym urządzeniem bezpowrotnie tracimy nasze cenne dane. Z tego powodu ważne jest regularne tworzenie kopii zapasowych informacji zgromadzonych na posiadanym sprzęcie. W większości przypadków można tego łatwo dokonać przy użyciu komputera. Pewni producenci oferują wsparcie dysków-chmur, do których aktualne dane trafiają w sposób ciągły i są tam magazynowane. Informacje powinny być przechowywane w postaci zaszyfrowanej, o ile jest to możliwe.

Zablokuj zgubiony sprzęt na stronie producenta

Istnieje obecnie wielu producentów oferujących aplikacje przygotowane specjalnie pod produkowane urządzenia. W przypadku straty telefonu, umożliwiają odnalezienie i odzyskanie zguby. Dodatkowo istnieje możliwość zdalnego usunięcia danych zgromadzonych na telefonie, aby nie mogły wpaść w niepowołane ręce. Profilaktycznie, należy zapewnić działanie blokady klawiatury. W przypadku niepowodzenia odzyskania, pozostaje jedynie zakup nowego telefonu i wgranie kopii bezpieczeństwa danych.

Używaj podglądu kodów QR

Użyteczne kody QR są obecnie popularnie stosowane, dlatego należy obchodzić się z nimi z ostrożnością. Aby uniknąć niemiłych niespodzianek, ważne jest używanie skanerów kodów z funkcją podglądu lub chociaż zastąpić funkcję automatycznego wykonywania odczytanych instrukcji zapytaniami użytkownika o podjęcie decyzji o dalszej akcji.

Posiadaj aktualne oprogramowanie i firmware

Włamywacze mogą wykorzystać luki bezpieczeństwa tkwiące w nieaktualnym oprogramowaniu lub firmware do przeprowadzenia skutecznych ataków na urządzenia mobilne. Potencjalnymi konsekwencjami mogą być utrata danych, wysokie rachunki telekomunikacyjne, przerywanie połączeń, uszkodzenie telefonu, bądź trudne do przewidzenia następstwa kradzieży prywatnych danych.
Wszelkie oferowane aktualizacje programów i firmware należy na bieżąco instalować. W tym celu wielu producentów telefonów komórkowych wymaga przeprowadzania aktualizacji wykorzystując połączenie z komputerem. Pliki aktualizacyjne mogą zostać załadowane bezpośrednio, przez WiFi lub połączenie GSM.

Uwaga: Wyświetlane ostrzeżenia występujące przed procesem instalacji dotyczące konieczności podłączenia urządzenia do zasilania należy traktować jako bardzo istotne. Jeżeli w trakcie aktualizacji firmware bateria się wyczerpie, istnieje ryzyko nieodwracalnego uszkodzenia telefonu.

Twórz bezpieczne sieci bezprzewodowe

Droga do utworzenia bezpiecznych sieci bezprzewodowych wcale nie jest tak trudna, jak się z początku wydaje. Przy zachowaniu pewnych reguł postępowania niemal nic nie stoi na przeszkodzie do przeprowadzenia poprawnej konfiguracji. Na stronie głównej G Data dostępny jest przewodnik istotnych opcji ustawień. Składa się głównie z czterech podstawowych kroków:

  • Dostęp do konfiguracji interfejsu routera lub punkt dostępowy musi być zabezpieczony hasłem dostępnym jedynie wewnętrzenie.
  • Sieć bezprzewodowa powinna posiadać nową nazwę rozgłaszaną (SSID), która nie ma nic wspólnego z właścicielem. Wyłączanie rozgłaszania nazwy nie jest konieczne.
  • Sieć musi być zszyfrowana. Obecnie, standardem dla sieci domowych i małych firm jest WPA2-PSK. Zalecane jest użycie algorytmu AES nad TKIP wykorzystującego RC4.
  • Jeżeli router umożliwia filtrację adresów MAC, należy ją skonfigurować jedynie dla znanych urządzeń.

Wyłącz tryb debuggingu

Tryb debuggingu generalnie służy dla deweloperów do celów testowania pod kątem błędów instalowanych przez nich aplikacji mobilnych. Przeciętni użytkownicy nie powinni włączać tej funkcji, aby nie dawać okazji do nieautoryzowanego dostępu do urządzenia osobom niepowołanym.

Blokowanie ekranu

Urządzenia mobilne powinny być zabezpieczone przed ingerencją osób trzecich. Najprostszą metodą osiągnięcia ochrony jest blokowanie ekranu. Producenci oferują wiele różnych dodatkowych funkcji do ich systemów operacyjnych dokładnie opisanych instrukcjami. Jeżeli dane urządzenie zostało wyposażone w domyślny szyfr, należy to zmienić.

Uwaga: hasła złożone z numerów, liter i znaków specjalnych stanowią lepszą ochronę, niż kod PIN. W przypadku zapasowej funkcji gestów jaką wykorzystują urządzenia z systemem Android, istotnym jest czyszczenie ekranu po wprowadzeniu gestu. Ślady palców mogą szybko zdradzić stosowaną kombinację.

Kupuj aplikacje u zaufanego źródła

Aplikacje należy kupować i pobierać wyłącznie u zaufanych źródeł, jak Android market, gdzie użytkownicy recenzują i komentują używane programy. Stanowi to dobry punkt informacyjny. Ponadto Android Market wymaga przedstawienia wymaganych przez aplikację uprawnień. Testowanie i sprawdzanie wiarygodności spoczywa na barkach użytkowników i oprogramowania zabezpieczającego, jak na przykład G Data Mobile Security for Android, który sprawdza zgodność wymaganych poświadczeń.

Kupuj telefony wyłącznie u zaufanych źródeł

Ceny osiągane przez wydajne i nowe urządzenia mobilne, jak smartfony, czy tablety potrafią osiągnąć bardzo wysoki poziom. Tym bardziej trzeba unikać ofert obiecujących produkty z górnej półki w bardzo korzystnych cenach. Dotyczy to zwłaszcza używanego sprzętu, który wymaga dokładnego zapoznania się z opisem i samym urządzeniem:

  • Czy urządzenie jest sprawne, czy posiada defekty?
  • Czy dostępny jest oryginalny dowód zakupu?
  • Czy gwarancja jest nadal aktualna?
  • Czy zestaw jest kompletny?

Wraz z niewiarygodnie niską ofertą ceny, wzrasta ryzyko braku pozytywnej odpowiedzi na któreś z powyższych pytań. W takim przypadku lepiej wstrzymać się z zakupem. Ta sama zasada dotyczy kupna nowych urządzeń. Jeżeli oferowana cena jest wielokrotnie niższa od kosztu jaki trzeba ponieść w autoryzowanym punkcie sprzedaży, ryzyko oszustwa jest wysokie.

Pamiętaj, aby przeprowadzić reset do ustawień fabrycznych nowo zakupionego telefonu przed pierwszym podłączeniem do komputera.

Pamiętaj o zezwoleniach

Zasadniczo, aplikacje wymagają stosowania uprawnień, aby mogły poprawnie funkcjonować w urządzeniach mobilnych. Należy zwrócić uwagę na to, czy wymagane przez program pozwolenia znajdują uzasadnienie w spełnianej przez niego funkcji. Przykładowo, aplikacja monitorująca poziom naładowania baterii telefonu nie powinna żądać otrzymania dostępu do odczytywania książki adresowej. Właściwe zarządzanie uprawnieniami programów stanowi bardzo istotną część środków bezpieczeństwa, dlatego należy uważać na warunki i zasady instalowanych programów, aby uchronić się przed potencjalnie szkodliwym działaniem.

W razie utraty telefonu zablokuj kartę SIM

Zablokowanie karty SIM jest zasadniczym działaniem w przypadku utraty telefonu, zapobiegającym powiększeniu kosztów, będących skutkiem nadużycia. Blokady można w łatwy sposób dokonać dzwoniąc na numery alarmowe, linie specjalne lub odwiedzając internetową obsługę klienta właściwego dostawcy telekomunikacyjnego. Wszelkie numery kontaktowe znaleźć można wskazanych przez niego stronach internetowych.

Uważaj na ładowanie telefonu

Aby naładować telefon, producenci zalecają używanie ładowarek korzystających z gniazd sieciowych. Zasilając poprzez port USB należy łączyć urządzenia z zaufanymi komputerami, najlepiej własnymi. Publiczne stacje ładujące stwarzają ryzyko kradzieży danych, zwłaszcza, gdy włączony jest tryb debuggingu lub zapewniony swobodny dostęp do kart SD.


Klikajbezpiecznie.pl

Promowanie podstawowych zasad zachowania bezpieczeństwa w internecie, porady dla rodziców i duża dawka wiedzy pozwalającej ustrzec się przed cyberprzemocą.

Kliknij!

Newsy

Artukuły, nowości, informacje - wszystko z życia G DATA.

Czytaj