Blog (6)
Komentarze (1.5k)
Recenzje (5)
@ichitoBezpieczeństwo Windows XP...krótki poradnik część II

Bezpieczeństwo Windows XP...krótki poradnik część II

06.04.2014 | aktual.: 07.04.2014 14:01

Trochę długo trwało, ale mam nadzieję, że będzie mi to wybaczone :) Artykuł ten jest kontynuacją części ogólnej poradnika, którego zamiarem jest pomoc w zabezpieczeniu systemu Windows XP. Problem ten, jak sądzę, dotyczyć wciąż będzie wielu setek czy nawet tysięcy polskich użytkowników, którzy świadomie lub przez nieuwagę zrezygnowali z alternatywnych rozwiązań (migracja do nowszej wersji Windows, do innego systemu, zakup nowego sprzętu z pre‑instalowanym nowym systemem). Aktualne statystyki wskazują, że XP wciąż ma udział ok. 27‑30%, a prognozy mówią o wyniku na koniec roku na poziomie ok. 24‑26%...mam więc nadzieję, że wciąż warto ten temat poruszać. Staram się w artykule nie faworyzować jakiś konkretnych rozwiązań czy programów, niemniej pewnie zdarzy mi się jakiś nazw użyć…to będą raczej wyjątkowe przypadki i nie będą związane z żadną reklamą czy akcją promocyjną…więcej nawet…sadzę, że te które wymienię będą dotyczyć raczej aplikacji mało znanych, ale w jakiś sposób mi bliskich.

Ochrona bazy czyli backup

W poprzedniej części staraliśmy się o to, by uzyskać wersję systemu maksymalnie zaktualizowaną, pozbawioną zbędnych składników systemu oraz niepotrzebnych programów, a na koniec sprawdzoną narzędziem do wykrywania luk i podatności. Zakładając, że mamy już taki "wzorcowy" system, powinniśmy teraz zadbać o to, by stał się on naszą wyjściową bazą do wszelkich dalszych działań. To bardzo ważne, by mieć taką zarchiwizowaną wersję systemu na wypadek jakiejkolwiek wpadki podczas instalowania programów w przyszłości, zmiany systemowych ustawień czy jakiejś...nie daj Boże...przygody ze szkodliwym oprogramowaniem. Pamiętać bowiem musimy, że dysponujemy systemem, który najprawdopodobniej stanie się celem ataków mniej lub bardziej przemyślanych na skalę do tej pory nienotowaną. Ponadto backup, który wykonywać będziemy na bieżąco, da nam możliwość wyboru stanu systemu do odtworzenia...w końcu od czasu do czasu coś zmienimy w naszym systemie...choćby wersję przeglądarki czy programu do ochrony.

Nie chcę proponować jakiś konkretnych programów do wykonywania kopii zapasowych systemu i danych...jest takich programów całe mnóstwo, zarówno darmowych jak i płatnych, a to który z nich wybierzecie w znakomitej większości zależy od Waszych potrzeb i umiejętności. Mogę tylko zasugerować, że wygodnym rozwiązaniem są programy IRS (instant recovery system/software) do bardzo szybkiego przywracania wybranego stanu systemu z tworzonych migawek/kopii systemu...ponieważ programy te niejako przenoszą w czasie system, dlatego też część z nich ma w nazwie „time machine”. W większości przypadków odtworzenie systemu zajmuje w tych programach od kilkudziesięciu sekund do kilkunastu minut w zależności od programu, użytej technologii, rodzaju kopii i ilości danych do skopiowania, a wyboru interesującej nas migawki systemu dokonuje się dzięki instalowanej konsoli uruchamianej przed startem systemu.

Internet..."to be or not to be?"

To zasadnicze pytanie, ponieważ niejako definiuje dalszy sposób używania komputera z systemem XP oraz sposób konstruowania zabezpieczeń. W większości dostępnych w tej chwili źródeł podkreśla się zasadę, by maksymalnie ograniczyć dostęp takiego komputera do sieci i to z bardzo prostej przyczyny – internet, jego przeglądana zawartość i to, co z niej pobieramy na dysk to w tej chwili podstawowy wektor wszelkiego rodzaju zagrożeń. Jeśli zdecydujemy się na odcięcie od sieci, to właściwie jedynym wektorem ataku są podłączane napędy wymienne i wtedy właściwie do ochrony wystarcza nam mechanizm blokujący automatyczne uruchamianie napędów oraz plików na nich zapisanych. W tej kategorii również jest wiele skutecznych programów od bardzo prostych do bardziej skomplikowanych, oferujących np. dodatkowe skanowanie zawartości napędów czy monitorowanie uruchamianych plików wykonywalnych.

To w kwestii napędów dodatkowych…co więc na dysku twardym?...wg mnie cokolwiek, co będzie kontrolować pojawiające się nowe pliki wykonywalne jak choćby ExeWatch lub monitor zmian kluczowych obszarów systemu jak Tiny Watcher...może jakiś menadżer procesów/usług/autostartu jak Anvir Task Manager, który powiadamia również o wykrytych zmianach w autostarcie czy System Explorer, pozwalający na podgląd wielu innych ciekawych rzeczy dotyczących systemu oraz tworzenie migawek systemu (pliki i rejestr) i wyłowienie dzięki temu zaistniałych w systemie zmian. W ogóle dobrym rozwiązaniem na co dzień jest stosowanie tego typu menadżerów, bo to pozwala nie tylko na kontrolę systemu, ale również uczy nas, co się w nim dzieje, a co ewentualnie zmienia. Bardziej zaawansowani mogą zainstalować coś „mocniejszego” czyli monitory zmian w czasie rzeczywistym jak WinPatrol czy WinSonar (o czymś jeszcze bardziej zaawansowanym będzie w dalszej części).

OK…a co gdy chcemy korzystać z sieci?...odpowiedź jest niebywale prosta, choć pociąga od razu za sobą rozwiązania, na które część nie miała do tej pory ochoty, a teraz raczej będzie musiała. Mowa oczywiście o zaporze czyli o programie znanym również jako firewall…nie, nie tej systemowej, chyba że ktoś jest mocno zaawansowany w tej materii. Zapora systemowa na XP jest bardzo uboga w funkcje i możliwości i dla znakomitej większości jej konfiguracja jest niemal niewykonywalna. Co nam da zapora? No przede wszystkim po zainstalowaniu i wstępnej (czasem w trakcie procesu instalacji) konfiguracji od razu narzuca swoje reguły i z góry ogranicza lub wręcz zamyka możliwości niechcianego połączenia się z naszą maszyną z zewnątrz oraz pozwala w znakomitej większości przypadków określenie sieci, z której korzystamy, jako zaufanej lub nie. W przypadku XP po 8 kwietnia (teraz w sumie też tak jest lepiej) najrozsądniej jest wybrać ustawienie „sieć niezaufana” inaczej też nazywana „publiczna” – dzięki temu nakładane restrykcje i tym samym bezpieczeństwo są większe. Dodatkowa zapora programowa poza restrykcjami na ruchu przychodzącym pozwala też na określenie, które aplikacje i w jaki sposób będą miały zezwolenie na połączenie się z siecią czyli tworzy reguły dla połączeń wychodzących. Dzięki temu unikamy niepotrzebnego „tłoku na łączach”, bo przecież nie wszystko musi stale być na aktywnym połączeniu, a ponadto mamy kontrolę nad tym jaki proces chce nawiązać połączenie, co ma szczególne znaczenie w przypadku infekcji jakimś malware…szkodniki często próbują nawiązać jedno- lub wielokrotne połączenia w celu pobrania kolejnych fragmentów szkodliwego kodu, a uniemożliwienie im tego poprzez zamknięcie połączenia pozwala od razu na zminimalizowanie skutków infekcji.

Zapory oferują różne możliwości i realizują to w różny sposób…starsze przeważnie nierozwijane już, choć mogą odstraszać surowym wyglądem, to wciąż w rękach w miarę zaawansowanego użytkownika będą skutecznym narzędziem, filtrując ruch sieciowy i ustalając dla niego reguły (w tym dla aplikacji). Nowsze, które są wyglądu i predefiniowanych opcji bardziej przyjazne użytkownikom nie aż  tak obytym, dają znacznie większy komfort i łatwość obsługi, choć okupione to jest zazwyczaj zwiększonym zużyciem zasobów systemowych...skupiają się one raczej na regułach dla aplikacji, a ewentualne reguły dla pakietów dostępne są w opcjach zaawansowanych, ponadto oferują w większości dodatkowe moduły ochronne związane z ochroną proaktywną (HIPS/bloker/monitor). Ponadto niektóre z nich dają możliwość ochrony wybranych stron internetowych, blokowania innych, połączenie z chmurą w celu określenia reputacji uruchamianych procesów czy pobieranych plików, czasem umożliwiają ochronę określonych aplikacji czy uruchamianie dowolnego procesu z ograniczonymi uprawnieniami (o tym w kolejnej części). To wszystko po to, by dać użytkownikowi maksymalnie użyteczne i skuteczne narzędzie. Trudno tu rozważać wszystkie opcje i możliwości oferowane przez zapory programowe…trudno omawiać wszystkie możliwe ustawienia i reguły dla sieci czy aplikacji…to temat rzeka, zależny przede wszystkim od preferencji, potrzeb i umiejętności konkretnego użytkownika, dlatego z konieczności mówię o sprawach najważniejszych i to w sposób raczej uproszczony.

Pod koniec chciałbym tylko dorzucić uwagę, że sprawdzać ruch sieciowy możemy w bardzo prosty sposób – celowo piszę „sprawdzać”, bo tylko tyle możemy w tym przypadku poza ewentualnie zamknięciem połączenia…żadnych trwałych reguł stworzyć nie możemy. Do tego celu służyć mogą wspomniane menadżery procesów, z których niektóre (System Explorer czy Process Hacker) oferują wykaz aktualnych połączeń lub narzędzie dedykowane połączeniom sieciowym jak np. CrowdInspect, które pokazuje listę wszystkich aktywnie połączonych z siecią procesów i określoną dla nich reputacją. Zapora to dobre rozwiązanie, ale wiem, że nie każdy na nią się skusi...inna zaś część będzie wyznawcą opinii, że skoro jest odpowiednio skonfigurowany router, to mają wszystko, co potrzeba. Poniekąd tak, jeśli mówimy o komputerach na stałe włączonych do sieci domowej...i niestety nie, jeśli mamy na myśli komputery przenośne i korzystamy z sieci ogólnie dostępnych. Nic jednak na siłę...może więc choć PeerBlock?...właśnie niedawno ukazała się jego nowa wersja?

Na sam finał tego fragmentu krótkie info - jest kilka newralgicznych portów w systemie, których zamknięcie może ze względów bezpieczeństwa przynieść korzyści...jeśli nie zrobiliśmy tego za pomocą zapory programowej, warto skorzystać z dostępnych narzędzi. Sądzę, że najlepiej powody i sposób ich zamykania opisuje ten linkowany artykuł Picasso na je forum.

Zastosowanie programów anty-malware...w miarę proste...i w miarę tylko skuteczne

Tytuł dla niektórych możliwe, że będzie jakiś obrazoburczy, ale niestety odzwierciedla aktualne warunki i możliwości takich programów. Pamiętać musimy, że koniec wsparcia producenta dla swojego systemu to także widoczny sygnał dla producentów oprogramowania na ten system, że czas przemyśleć również i ich wsparcie. Pół biedy, gdy do czynienia mamy z programami użytkowymi, narzędziowymi, multimedialnymi...gorzej gdy mówimy o programach anty-malware, bo te programy bazują przede wszystkim na dostępie do najnowszych informacji o zagrożeniach...bez tych informacji staja się bezużyteczne. Łatwo się domyślić, że dopóty będą skutecznie rozpoznawać i zwalczać zagrożenia, dopóki producent będzie aktualizował i dostarczał bazy sygnatur na swoje programy działające na Windows XP i można jedynie spekulować, czy na przykład programy oparte na chmurze nie staną się bardziej skuteczne, bo w tym przypadku informacji dostarcza też społeczność użytkowników, co producentowi ułatwić może sprawę. Wielu producentów programów AV (umówmy się, że tak ogólnie je nazwiemy) już w jakiś sposób się opowiedziało czy będzie wspierać XP i ewentualnie jak długo…ich najbardziej chyba aktualna listę opublikowała AV‑TEST, a znaleźć ją można pod tym adresem

Jak widać niektórzy wspierać będą XP przez rok tylko, inni przez 2‑3 i więcej…niektórzy nie wypowiedzieli się wcale i liczyć można jedynie, że jakoś „samo się to poukłada”. Możliwe, ale to żadna gwarancja dla użytkowników, którzy używali tych programów częstokroć płacąc za to niemałe pieniądze. Jeśli do tej pory używaliście programów AV, to nierozsądnym byłoby zmieniać teraz swoje przyzwyczajenia…tym bardziej, że programy te podlegają nieustannej ewolucji, a zmiany jakie ona wprowadza skutkują nowymi rozwiązaniami, technologiami i opcjami których zadaniem jest wsparcie lub czasem wyparcie wręcz wykrywania sygnaturowego. Przykładem mogą tu być wszelkiego rodzaju monitory zmian systemu, blokery behawioralne, mechanizmy heurystyki, polityka ograniczania uprawnień czy nawet samodzielne piaskownice służące do izolowania uruchamianych podejrzanych plików czy procesów. Z tego wszystkiego musimy nauczyć się korzystać, bo inaczej będziemy skazani tylko na bazowanie na przestarzałych informacjach, jakimi są sygnatury i to już w momencie ich publikowania. Nie chcę wywoływać kolejnej „wojenki” między użytkownikami konkretnych programów, więc nie będę tu polecał jakiegokolwiek programu AV…jest wciąż sporo na rynku i każdy może dobrać sobie coś odpowiedniego tym bardziej, że wciąż na stronach różnych organizacji są dostępne wyniki testów skuteczności dla systemu Windows XP. Pamiętać jednak trzeba, że wykrywalność to nie wszystko, a program AV jest jak buty, które kupujemy…ma nam „dobrze leżeć”.

To odnośnie programów, których działanie opiera się na stałej pracy w tle...warto jednak przypomnieć, że dostępna jest również cała rzesza programów, które uruchamiamy tylko na żądanie czyli wtedy, kiedy zaplanowaliśmy sobie kontrolny, standardowy skan lub w przypadku jakiś podejrzeń, że coś niedobrego w naszym systemie się dzieje. W tej grupie programów znaleźć możemy bardzo proste skanery, w których wskazujemy tylko lokalizację niepewnych danych, ale i takie które oferują kilka trybów skanowania i to jeszcze w połączeniu z dodatkowymi mechanizmami heurystyki...mamy skanery oparte na silniku AV jednego producenta, jak i wielosilnikowe, dające w większości przypadków bardziej rzetelne wyniki. Warto zaznaczyć, że część z nich dodatkowo oferuje bardzo zaawansowane narzędzia analityczne, które biegłym w temacie użytkownikom pomagają zdefiniować bardziej skomplikowane zagrożenia i usunąć je trwale z systemu. Nie będę bardziej rozbudowywał tego zagadnienia...powszechność stosowania takich programów pozwala mi na skrócenie jego omówienia do niezbędnego minimum.

Na tym zakończę…reszta będzie w części kolejnej i na „trzeciej” chyba się już skończy.

-----------------------

edit: z powodów osobistych i braku wystarczającej ilości czasu, zmuszony jestem odłożyć pisanie ostatniej części artykułu. Miała być związana z ochroną proaktywną, restrykcjami i izolacjami dla aplikacji oraz wirtualizacją systemu...to trudne dość rzeczy i wymagające uwagi przy pisaniu, więc nie można ich potraktować nierzetelnie. Ze względu na nadchodzące zdarzenia (8 kwietnia już jutro), kolejna część będzie już właściwie nieaktualna, jednak niemal na pewno zmienię w niej nieco perspektywę, choć i tak głównie wciąż celem będzie ochrona XP właśnie. Przepraszam zawiedzionych.

Wybrane dla Ciebie
Komentarze (9)