Metody obrony przed wirusami, trojanami, robakami


Na temat wirusów, koni trojańskich i robaków napisano dużo, ale przeciętny użytkownik wie o nich niewiele. Najczęściej ten typ zagrożenia jawi się jako coś co nas od czasu do czasu spotyka i może być ograniczone przez stosowanie oprogramowania antywirusowego. Rzeczywistość jest jednak trochę inna. To głównie od nas, od naszej świadomości zagrożeń i umiejętności przeciwdziałania zależy nasze bezpieczeństwo, w mniejszym stopniu na biernym poleganiu na antywirusie, który czasem updatujemy. Należy więc poznać drogi rozprzestrzeniania się szkodliwego kodu i drogi te usunąć z naszego systemu.

Wirusy
Pierwotnie wirusy były głównie wirusami plikowymi. Wirus dopisywał się do pliku wykonywalnego i mógł być przenoszony np. na dyskietkach. Po uruchomieniu zarażonego pliku szukał innych plików, które mógłby zarazić. Trzeba było więc przynoszone nośniki skanować programami antywirusowymi. Teraz takie wirusy odchodzą w przeszłość bo znacznie łatwiej rozprzestrzeniać się przez Internet. Wirusy pocztowe nie działają w jakiś magiczny sposób jak niektórzy myślą. Są w załącznikach i te załączniki muszą być otwarte. Co prawda istniała luka w Outlook Express powodująca samoczynne otwieranie się załączników, jednak została załatana i dotyczy nieaktualizowanych systemów. Okazuje się jednak, że istnienie takiej dziury nie jest konieczne do zarażenia milionów komputerów. Czyżby była inna dziura? Tak, ale istnieje ona w mózgach klikaczy. Użytkownicy sami klikają bezmyślnie załączniki nie sprawdzając co otrzymali. Chcą, żeby to antywirus myślał za nich. To, że dostaliśmy wirusa, że mamy go na dysku nic nie znaczy. Problem się zacznie jak uruchomimy załączony program. Dlatego nie otwiera się załączników od nieznaych osób ani takich załączników, o które nie prosiliśmy. Jeśli dostaniemy program od znajomego, nie uruchamiamy go. Jeśli chcemy go użyć, ściągamy go ze strony producenta. Przy okazji zobaczymy, czy nie ma nowszej wersji. Należy wiedzieć, jakie rozszerzenia odpowiadają za jaki typ pliku. Szczególnie chodzi tu o pliki wykonywalne: exe, com, pif, lnk, url. Szkodliwy kod może też być w makrach Office, należy zezwolić na wykonywanie makr tylko podpisanych cyfrowo przez zaufane osoby.

Robaki
Rozprzestrzeniają się szukając dziur w usługach sieciowych i używając ich do ataku i dalszej ekspansji. Co więc trzeba zrobić? Usunąć dziurę instalując poprawkę. Bardzo wielu użytkowników nie instaluje żadnych poprawek bezpieczeństwa a potem się dziwią, że złapali wirusa. Oczywiście nie zawsze poprawka pojawia się przed robakiem, ale nie oznacza to, że nie trzeba na bieżąco uaktualniać systemu. Jest jeszcze jedna ważna rzecz. Robaki wykorzystują niezałatane dziury w usługach. O łataniu napisałem właśnie kilka słów, pora na same usługi. Jeśli usługi nie będzie, robak jej nie zaatakuje. Należy się więc zastanowić, czy na prawdę wszystkie usługi/daemony są nam potrzebne i do czego. To co jest niepotrzebne, wyłączamy. Tego co jest potrzebne tylko nam, nie udostępniamy całemu światu. Jeśli jakaś usługa otwiera jakiś port na na wszystkich interfejsach, a nam potrzeba tylko na localhoście, przekonfigurowywujemy a jak się nie da blokujemy firewallem. Z zewnątrz ma być widoczne tylko to, co ma być widoczne. Nie udostępnia się NetBIOSu i RPC na świat. Szczególnie niebezpieczne jest RPC (port 135) pod Windows, które domyślnie jest dostępne na wszystkich interfejsach i dzięki temu dosyć podatne na ataki. Poza tym windowsowa implementacja RPC nie miała dużo szczęścia pod względem bezpieczeństwa. Pod innymi systemami RPC też sprawiało problemy z bezpieczeństwem ale jest zwykle wyłączone.

Trojany
Programy te mają dać atakującemu kontrolę nad naszym systemem. Muszą być dostarczone na nasz komputer. Są dwa główne sposoby: fizyczny dostęp i skopiowanie z dyskietki/CD albo przesłanie e-mailem. W przypadku dostępu fizycznego (albo zdalnego, interaktywnego) nie można zezwalać na logowanie się na nasze konto ani tym bardziej administracyjne. Służy do tego konto Gość (w Windows) albo inne o niskich prawach, dzięki czemu trojan nie będzie mógł wiele zrobić. Oczywiście nasze konto i konto administracyjne powinno być chronione hasłem. Podobnie konta innych użytkowników, gdyż konta z pustymi hasłami, nawet ograniczone zawsze stanowią jakąś lukę w bezpieczeństwie. Przesyłanie przez e-mail omówiłem na początku tekstu. Generalnie nie otwieramy załączników wykonywalnych, także tych w ZIPach.

Ważną rzeczą jest aby nie pracować jako administrator/root ale na zwykłym koncie. Pamiętajmy, że wirusy mają takie prawa jak my. Jeśli pracujemy na zwykłym koncie i w jakiś sposób złapiemy wirusa, nie będzie on mógł uszkodzić całego systemu. Teoretycznie wirus może wykorzystać jakąś lukę do podniesienia swoich uprawnień, jest to jednak mało prawdopodobne. Zasada pracy z niskimi uprawnieniami dotyczy także usług. Jeśli serwer WWW działa z uprawnieniami systemu, atakujący jeśli znajdzie i wykorzysta dziurę, będzie miał dostęp do całego systemu. Jeśli serwer będzie działać na specjalnie wydzielonym koncie, o niedużych uprawnieniach, szkody będą o wiele mniejsze. Niestety praca na zwykłym koncie może sprawiać trochę problemów pod Windows. Przełączanie się między kontami jest bardziej uciążliwe i dłuższe. Chciałbym tu polecić program Superior SU umożliwiający m.in. tworzenie dodatkowych pulpitów. Pracujemy na zwykłym koncie i dwoma kliknięciami możemy się przełączyć na administratora. Oczywiście należy pamiętać, aby po wykonaniu czynności administracyjnych wrócić do swojego zwykłego konta. Można też użyć skrótów w menu Start do panelu sterowania i niektórych narzędzi. Wtedy na podajemy hasło i aplet/program zostaje uruchomiony na naszym pulpicie ale z prawami administratora. Drugim problemem są programy pisane przez lamerów, którzy albo zakochali się w Win98, pracują cały czas jako admini albo też nie wiedzą co to jest NTFS. Ich programy próbują coś pisać na C:\, C:\Windows albo w innych miejcach, gdzie nie powinny. Należy wtedy sprawdzić czego wymagają i dać odpowiednie prawa użytkownikowi. Oczywiście najpierw należy sprawdzić, czy nie ma nowszej wersji programu, w której naprawiono błąd albo czy nie ma innego podobnego programu, który działałby poprawnie.
Jeszcze parę słów na temat łatania. Należy się skupić na usługach sieciowych, bo to one są najbardziej narażone na ataki. Należy też jednak pamiętać o zwykłych pogramach. Przykładowo spreparowany plik MP3 może spowodować przepełnienie bufora w odtwarzaczu i wykonanie kodu. Patchowaniu powinno podlegać też jądro systemu jeśli jest taka możliwość.

Jeśli będziemy przestrzegać wyżej wymienionych zasad, na pewno będziemy znacznie bezpieczniejsi, a szkodliwe oprogramowanie nie będzie takie straszne. Wiele wirusów/robaków korzysta z tych samych utartych schematów rozprzestrzeniania się, dlatego pojawianie się nowych, działających tak samo nie stanowi problemu. Wiele robaków wykorzystuje błędy, na które od dawna są poprawki. Patchując system na bieżąco, wiem, że z ich strony nic mi nie grozi.
Uwaga! Nikt nigdy nie będzie w 100% bezpieczny. Ten tekst nie ma na celu wywołania uczucia fałszywego bezpieczeństwa. Ma tylko pokazać, że przestrzegając paru reguł i po prostu myśląc można być w miarę zabezpieczonym i nie stanowić łatwego łupu.