Brak dobrego mechanizmu rozpoznawania wzorców zachowań programów to jedno z najważniejszych ograniczeń darmowych narzędzi antywirusowych. W przypadku wysokiej klasy komercyjnych produktów takich jak Norton czy Kaspersky monitorowanie i ocena zachowań programów stanowią ostatnią i bardzo efektywną linię obrony.

Jeśli w systemie mnożą się podejrzane działania - np. program zostawia najpierw ślady w rejestrze, przechwytuje znaki wprowadzane z klawiatury i włącza się w szyfrowaną komunikację przeglądarki internetowej, potencjalnie mamy do czynienia z koniem trojańskim. W takiej sytuacji alarm zgłasza monitor zachowań, co w idealnym przypadku pozwala na uniknięcie manipulacji w systemie.

Na szczęście także użytkownicy darmowych programów antywirusowych mogą zastosować tego typu mechanizm. Firma PC Tools dystrybuuje ThreatFire - darmowe wyspecjalizowane narzędzie do rozpoznawania wzorców zachowań, które powinno być instalowane dodatkowo, oprócz tradycyjnego skanera antywirusowego. Nie zaleca się jego stosowania w odosobnieniu, a więc bez podstawowej ochrony zapewnianej przez antywirusa dysponującego dobrym systemem rozpoznawania sygnatur i heurystyką. W końcu, aby system został zainfekowany, wystarczy jeden nierozpoznany "szkodnik" - a większość takowych niezawodnie wyławiać potrafią wyłącznie tradycyjne narzędzia antywirusowe.

Podczas przeprowadzonych przez nas testów bez problemu funkcjonowała kombinacja programu ThreatFire ze skanerami Avira i MSE. Nie zaleca się jednak połączenia ThreatFire'a z programem antywirusowym, który sam zawiera mechanizm rozpoznawania wzorców zachowań. Aplikacja autorstwa PC Tools działa w tle, a gdy stwierdzi podejrzaną aktywność, pozwala kontynuować pracę wątpliwego programu bądź go zablokować. W naszym teście ThreatFire zatrzymał wszystkie z 15 ręcznie uruchomionych szkodliwych programów, które umknęły uwagi klasycznych programów antywirusowych. Tylko w jednym wypadku przepuszczony został wpis w rejestrze oraz jeden plik wykonywalny. Jednak w żadnym z testów nie skończyło się to infekcją systemu.

Ściany przeciwogniowe

Kolejnym ważnym mechanizmem ochronnym są osobiste firewalle, które kontrolują ruch sieciowy i próbują w ten sposób zapobiegać szkodliwym działaniom w chronionym systemie. Z jednej strony mają one bronić przed atakami z zewnątrz, a z drugiej uniemożliwiać trojanom wysyłanie na zewnątrz wyszpiegowanych danych.

Ten, kto za pomocą domowego peceta łączy się bezpośrednio z Internetem, powinien zaopatrzyć się w sprzętowy router z funkcją firewalla, który odfiltrowuje wszystkie nieproszone dane z Sieci. Jeśli zaś mamy notebook, przy użyciu którego regularnie łączymy się z potencjalnie ryzykownymi sieciami, wówczas potrzebny jest osobisty firewall, który ochroni system przed niechcianymi próbami dostępu z zewnątrz. Dotychczas z tej roli świetnie wywiązuje się zapora sieciowa dostarczana razem z systemem Windows ? w większości przypadków działa ona nawet lepiej niż produkty innych firm, gdzie osobliwe reguły wyjątków lub brak obsługi IPv6 stanowią luki w zaporze ochronnej systemu.

Z kolei próba monitorowania i regulowania wychodzącego ruchu sieciowego w komputerze, aby uniknąć ewentualnego szpiegowania, mija się z celem. Niemal wszystkie programy mają dzisiaj funkcje sieciowe, a informacje dostarczane przez firewall nawet dla ekspertów nie stanowią pożytecznych wskazówek dotyczących tego, czy określona transmisja danych może być niebezpieczna, czy też jest niezbędna do działania komputera. Taki monitoring ma sens jedynie w szerszym kontekście analizy zachowań. Dlatego też osobiste firewalle, będące komponentami zestawów zapewniania bezpieczeństwa w komunikacji z Internetem, przepuszczają bez pytania użytkownika ruch sieciowy programów, które nie wzbudziły podejrzeń na innej płaszczyźnie. Z kolei działające osobno filtry pakietowe często irytują użytkowników ciągłymi ostrzeżeniami.

Aktualizacje

Krytyczną bramą wejściową, którą bezwzględnie należy zaryglować, są stare wersje programów ze znanymi lukami w zabezpieczeniach. Błędy w przeglądarkach WWW, Javie, Flashu, Adobe Readerze, MS Offisie, odtwarzaczach MP3 itp. są już wykorzystywane niemal rutynowo w celu przemycania aplikacji szpiegujących bądź oprogramowania do obsługi sieci botów. Dzieje się to nie tylko na podejrzanych stronach WWW, ale również w przypadku znanych usług, których serwery zostały przechwycone, lub też za pośrednictwem wyświetlanych reklam.

Aktualizacje w Windows, automatycznie doinstalowujące poprawki zabezpieczeń z Redmond i uwzględniające także inne produkty Microsoftu, takie jak MS Office, są udogodnieniem, z którego w żadnym wypadku nie należy rezygnować. Niestety, w przeciwieństwie do choćby GNU/Linuksa, Okna nadal nie mają sensownej infrastruktury zapewniającej systematyczne aktualizacje oprogramowania innych producentów. Dlatego też każda firma robi to na swój sposób, co ostatecznie prowadzi do tego, że wiele aplikacji jest nieaktualnych bądź też proces aktualizacyjny działa zawodnie.

Wyjściem z tej sytuacji może być regularne korzystanie z usługi Update Check w serwisie heise Security. Zamieszczony tam aplet Javy sprawdza system Windows i 26 różnych programów pod kątem przestarzałych i dotkniętych problemami z bezpieczeństwem komponentów. Badane są m.in. popularne przeglądarki internetowe, Adobe Reader, Flash, QuickTime i Java. Jeśli znaleziona zostanie wersja ze znanymi lukami w zabezpieczeniach, proponowany jest od razu odnośnik do instalacji odpowiedniej poprawki.

Gruntowniejszą analizę przeprowadza instalowany lokalnie Personal Software Inspector (PSI) firmy Secunia, który porównuje wersje znalezionych programów z obszerną bazą danych luk w zabezpieczeniach tego skandynawskiego dostawcy usług z zakresu bezpieczeństwa. Z kolei Mozilla Plug-in Check sprawdza tylko wtyczki i rozszerzenia przeglądarek, również Internet Explorera.

Hasła

Obszarem problematycznym w kwestiach bezpieczeństwa wciąż pozostają hasła. Nie dlatego, że są seryjnie łamane, jak sugerują wyniki badań dotyczące wymaganej złożoności haseł, lecz dlatego, że potrzeba ich więcej, niż jesteśmy w stanie zapamiętać. Ten, kto używa tego samego hasła na wielu różnych stronach internetowych, naraża się na niebezpieczeństwo. Jeśli na przykład któraś z odwiedzanych witryn zostałaby zdyskredytowana też nastąpiłoby przechwycenie danych dostępowych w niezabezpieczonej sieci WLAN, cyberprzestępca mógłby zyskać możliwość dostępu do wielu usług użytkownika.

Najważniejszym hasełem jest prawdopodobnie to zapewniające dostęp do poczty elektronicznej, ponieważ w skrzynce odbiorczej często znajdują się dane dostępowe do różnych serwisów; nierzadko można też skorzystać z opcji resetowania hasła, zyskując w ten sposób dostęp do kolejnych usług. Dlatego też takie hasło powinno być traktowane na specjalnych zasadach i być niezależne od pozostałych.

Aby także w przypadku dostępu do innych systemów posługiwać się każdorazowo własnym, wystarczająco bezpiecznym hasłem, można skorzystać z pomocy, jaką zapewniają wbudowane w przeglądarkach internetowych wirtualne sejfy na hasła. Niestety, dość łatwo do nich zajrzeć. Dlatego też należy bezwzględnie ustawić główne hasło dostępu, gdyż w przeciwnym razie wystarczy kilka kliknięć myszą na pozostawionym bez kontroli komputerze, aby wydrukować kompletną listę haseł. Ujawnienie hasła może też nastąpić w wyniku ataku wykorzystującego rozpowszechnione obecnie na stronach WWW luki typu Cross-Site Scripting.

Kolejnym poziomem zabezpieczeń może być zewnętrzny wirtualny sejf na hasła, taki jak Keepass. Zapewnia on przynajmniej przeniesienie wrażliwych tajemnic ze stanowiącej ryzykowny obszar przeglądarki. Niestety, mechanizm ten wciąż pozostaje łakomym kąskiem, bo jest podatny na ataki. W końcu trzeba przecież podać główne hasło dostępowe - a wówczas do gry może wkroczyć np. działający w ukryciu program szpiegujący.

Kto poważnie podchodzi do kwestii bezpieczeństwa, powinien pójść dalej i nie przechowywać haseł na podatnym na ataki komputerze, lecz zapamiętywać je przy użyciu sztuczki: należy zapamiętać możliwie długi, złożony ciąg znaków i zestawić go z łatwym do odgadnięcia fragmentem odnoszącym się do konkretnej strony. Powstaje wówczas hasło w przykładowej postaci heis%fgHao6CE4 - fragment %fgHao6CE4 zostanie po kilkudziesięciokrotnym wpisaniu w końcu zapamiętany, a przedrostek "heis" dla konta w serwisie heise online jest bardzo łatwy do skojarzenia. Całościowo jednak tego typu hasło jest bardzo trudne do złamania.

Jeśli coś takiego wydaje się zbyt skomplikowane, zawsze można w tradycyjny sposób zapisywać hasła na kartce przechowywanej w portfelu - nawet jeśli taka praktyka jest często krytykowana, to nie da się zaprzeczyć, że portfel jest przez nas raczej dobrze pilnowany, a program, który byłby w stanie wyszpiegować taką karteczkę, nie został jeszcze wynaleziony. Administratorzy systemów typu Unix mogą również skorzystać z mechanizmu haseł jednorazowych przy zdalnym dostępie do powłoki.

Kieszonkowiec, który kradnie portfel, bardziej ucieszy się z pieniędzy i karty kredytowej niż z niepozornej karteczki z kryptograficznymi łańcuchami znaków. Jeśli natomiast ktoś celowo kradnie portfel w celu zdobycia informacji o hasłach, to z pewnością jest w stanie posunąć się także do przemocy fizycznej. Oczywiście nie należy traktować kartki z hasłami jako ogólnej metody przechowywania haseł dostępu do krytycznych usług. Jednak jeśli mamy wybór między niewielką liczbą słabych haseł i zapisywaniem mocniejszych na kartce, zdecydowanie lepsza będzie kartka.

Więcej

Kto chciałby zrobić jeszcze więcej dla swojego bezpieczeństwa, powinien lepiej zabezpieczyć główną bramę dostępową do komputera, którą jest przeglądarka internetowa. Już samo zastąpienie Internet Explorera Firefoksem likwiduje ryzyko związane z wieloma exploitami, jednak nie należy sądzić, że zapewni to nam bezgraniczne bezpieczeństwo. "Ognisty lis" nie jest już egzotycznym produktem i exploity są realnym zagrożeniem także w jego przypadku, a dla pakietów służących do budowania sieci botów (jak np. Zeus) istnieją już nawet wyspecjalizowane moduły przeznaczone dla Firefoksa.

Z punktu widzenia bezpieczeństwa obiecującą przeglądarką jest Google Chrome, ponieważ w jej przypadku programiści pozbyli się całego balastu związanego jeszcze z Netscape'em i opracowali nowoczesną aplikację z kilkoma interesującymi koncepcjami w dziedzinie zabezpieczeń. Na przykład Chrome uruchamia każde okno przeglądarki w osobnym procesie, a newralgiczne komponenty są dodatkowo izolowane w obszarze o niższych uprawnieniach. Te dodatkowe przeszkody z pewnością są do pokonania, ale przyczyniły się do tego, że Chrome jako jedyna z popularnych przeglądarek już dwa razy oparła się atakom organizowanym w ramach corocznego spektaklu hakerskiego Pwn2own. Inną sprawą jest, że korzystając z Chrome'a nieco bardziej narażamy się na zakusy lubiącego zbierać dane koncernu Google.

Microsoftowe narzędzie EMET włącza dodatkowe mechanizmy ochronne w Windows i neutralizuje w ten sposób wiele exploitów. Podczas codziennego korzystania z Internetu bezpieczeństwo poprawiać mogą także pomniejsze dodatki do przeglądarek. Na przykład wtyczka NoScript blokuje aktywne treści i zezwala na udostępnianie takowych jedynie przez wybrane, zaufane witryny. Jest to niestety związane ze znacznym ograniczeniem komfortu korzystania z Sieci.

Inne zagrożenie mogą stanowić wszechobecne w Sieci skrócone adresy URL generowane przez takie serwisy jak np. bit.ly czy tnij.org - ukrywają one właściwy cel odnośnika i dlatego są chętnie stosowane do przekierowywania internautę do zmanipulowanych stron. Radą na to jest usługa LongURL Please, która odczytuje cel przekierowania i prezentuje go internaucie. Z usługi tej można korzystać we wszystkich przeglądarkach za pośrednictwem specjalnej skryptozakładki (bookmarklet) umieszczanej w pasku zakładek; ponadto dla Firefoksa istnieje też odpowiednie rozszerzenie.

źrodlo: Heise-Online