Ochrana proti malware
Z MiS
(Rozdíly mezi verzemi)
(Osamostatnění ze stránky Malware.) |
(Změna struktury stránky) |
||
| (Není zobrazeno 10 mezilehlých verzí od 1 uživatele.) | |||
| Řádka 1: | Řádka 1: | ||
| − | [[Category:VSE]][[Category:Informatika]][[Category:CRI]] | + | [[Category:VSE]][[Category:Informatika]][[Category:CRI]][[Category:Bezpečnost]] |
| + | |||
| + | |||
| + | == Způsoby ochrany == | ||
| + | |||
| + | === 1. Opatrnost === | ||
| + | * Obezřetnost v prostředí Internetu (e-mail, web, Facebook,...). | ||
| + | * Nezadávat své osobní údaje (e-mailovou adresu, čísla účtu, už vůbec ne hesla apod.), není-li to nezbytné. | ||
| + | * Být opatrný v tom, jaké stránky navštěvuji. | ||
| + | * Prověřit si pravost došlé zprávy, než kliknu na odkaz v ní. | ||
| + | * Nestahovat a nespouštět nelegální software. | ||
| + | * Nejsme-li si jistí korektností stránky či programu, raději se jí/mu vyhneme. | ||
| + | |||
| + | === 2. Technické zabezpečení === | ||
| + | ; Nezbytný základ: | ||
| + | * Trvale spuštěný antivirový program (i pro mobilní zařízení!) | ||
| + | * Trvale spuštěný firewall. | ||
| + | * Automatická instalace aktualizací (minimálně bezpečnostní aktualizace). | ||
| + | |||
| + | ; Lze i další: | ||
| + | * Antispyware. | ||
| + | ** Programy svým principem a funkcí velmi podobné antivirovým programům, ale specializující se na spyware. | ||
| + | ** Příklady: SpyBot, AdAware | ||
| + | * Ochrana proti modifikacím DNS záznamů (pharmingu) | ||
| + | ** Existují doplňky do prohlížečů, které kontrolují IP adresy | ||
| + | ** Například: [http://toolbar.netcraft.com/ toolbar.netcraft.com] — neověřeno! | ||
| + | |||
| + | === 3. Zálohování dat === | ||
| + | * Jako obrana proti útoku ransomware šifrujícího data. | ||
| + | |||
| + | === 4. Prevence proti spamu === | ||
| + | * Nepublikujte svoji adresu veřejně — nelze u pracovních adres, kde je komunikace veřejně součástí práce. | ||
| + | ** Pokud musí být adresa vystavena na webu, [[Skrytí mailové adresy na webu|skryjte ji před roboty]]. | ||
| + | * Neposílejte řetězové maily! | ||
| + | * Pokud musíte posílat zprávy více adresátům, VŽDY adresy pište do kolonky Skrytá kopie! | ||
| + | ** Příjemce tak uvidí jen vaši adresu (odesilatele) a svoji, nikoli adresy ostatních adresátů. | ||
| + | ** Je neslušné vystavovat adresy všech příjemců všem příjemcům, navíc pokud má některý příjemce prolomené zabezpečení schránky, útočník se nedozví adresy ostatních adresátů. | ||
| + | * Měňte si pravidelně heslo k mailové schránce! | ||
| + | * Neregistrujte svůj mail na všelikých stránkách! | ||
| + | ** Mějte speciální adresu pro registraci na e-shopech a jiných méně důvěryhodných stránkách. | ||
| + | ** Mějte jinou adresu pro pracovní a jinou pro osobní komunikaci. | ||
| + | * Zákaz automatických náhledů mailu v klientech elektronické pošty a zákaz automatického zobrazování obrázků v poštovních zprávách | ||
| + | ** Čteme jen hlavičky zpráv (subject/předmět), otevíráme jen to, co je vpořádku. | ||
| + | ** V nevyžádaném mailu může být vložen miniaturní neviditelný obrázek. Prohlížeč při zobrazení mailu stáhne obrázek ze serveru útočníka a útočník tak ví, že spam došel příjemci a e-mailová adresa je funkční (vlastně slouží jako potvrzení o přečtení nevyžádané zprávy). Navíc útočník ví i IP adresu a rychlost přečtení mailu. | ||
| + | ** Zákaz zobrazování obrázků se projeví chybějícími obrázky v mailu, jednotlivě lze zobrazování ručně povolit ve zprávách, u kterých jsem si jisti, že je bezpečná. | ||
| + | ** Pokud čtete zprávy přes webové rozhraní a zobrazování obrázků nelze vypnout, zvažte používání mailového klienta (třeba Thunderbird). | ||
| + | * Nemějte mailovou schránku na špatně zabezpečených mailových serverech! | ||
| + | ** Třeba jeden z nejpopulárnějších českých mailových serverů je kromě jiných neduhů nechvalně známý tím, že z jeho adres běžně chodí spam... | ||
| + | |||
| − | |||
| − | |||
== Antivirové programy == | == Antivirové programy == | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == | + | === Jak hledají malware? === |
| − | * | + | * Databáze signatur |
| − | ; | + | ** hledá v programech na disku posloupnosti instrukcí, o kterých se ví, že je obsahuje jen virus |
| − | * | + | ** závislé na aktuálnosti databáze (co není v databázi, to nenajdeme) |
| − | * | + | ** přesné, rychlé |
| + | ** malé riziko falešného hlášení | ||
| + | * Heuristická analýza | ||
| + | ** analyzuje kód programu a hledá potenciálně podezdřelé instrukce | ||
| + | ** riziko falešného hlášení — zdravý program může být občas prohlášen za virus | ||
| + | ** výrazně náročnější na čas procesoru | ||
| + | ** najde i škodlivé programy, které jsou úplně nové | ||
| + | |||
| + | === Kdy se spouští test === | ||
| + | * Rezidentní ochrana | ||
| + | ** Antivir běží stále na pozadí. | ||
| + | ** Zpomaluje počítač (významné u starších počítačů) | ||
| + | ** Kdykoli otevíráme soubor, je obsah souboru nejprve zkontrolován na přítomnost viru. | ||
| + | * Ruční spuštění testu | ||
| + | |||
| + | === Příklady antivirů === | ||
| + | ; Svobodné antiviry (zdarma pro libovolné použití + dostupný zdrojový kód) | ||
| + | *[http://www.clamav.net/lang/en/ ClamAV/Immunet] | ||
| + | ** Licence GPL. | ||
| + | ** Verze pro Linux i Windows (Immunet). | ||
| + | ; Antiviry zdarma | ||
| + | *[http://www.comodo.com/ Comodo] | ||
| + | **Internet Security = Antivirus + Firewall | ||
| + | **placené verze i verze zdarma (není uživatelská podpora) | ||
| + | **přesměrovává DNS server (obrana proti pharmingu) | ||
| + | *[http://www.free-av.com/ Avira] | ||
| + | ** Platformy Windows, Mac, Android a iOS | ||
| + | ** Existuje placená verze | ||
| + | ; Antiviry zdarma pouze pro nekomerční použití | ||
| + | * AVG | ||
| + | ** Existuje placená i „free“ verze v angličtině (česká ne). | ||
| + | ** AVG nabízí i anti-spyware, tam česká „free“ verze, ale nemá rezidentní štít. | ||
| + | * Avast | ||
| + | ** zdarma pro nekomerční použití, ale je třeba jednou za rok registrovat. | ||
| + | ; Placené antiviry | ||
| + | * Cena obvykle cca 1000–1500 Kč/rok | ||
| + | * Obvykle výborně hodnocené (spolehlivost detekce, spektrum služeb (i firewall atd.), rychlost testování,...) | ||
| + | * Uživatelská podpora. | ||
| + | * Často další služby: zálohování dat on-line atd. | ||
| + | * NOD32 | ||
| + | * Kasperski Antivirus | ||
| + | * [http://www.symantec.com/cs/cz/ Produkty řady Norton (Symantec).] | ||
| + | |||
| + | ; Porovnání antivirů | ||
| + | * [http://www.av-comparatives.org av-comparatives.org] | ||
| + | |||
== Firewall == | == Firewall == | ||
| − | * | + | * Kontroluje tok dat mezi počítačem/počítačovou sítí a okolním světem (okolními sítěmi). |
| − | + | * Nerozlišuje škodlivost aplikace, pouze řeší, jestli tato aplikace má povoleno komunikovat do sítě pomocí daného síťového protokolu. | |
| − | * | + | |
| − | + | <div class="Priklad">Příkad: | |
| − | + | * Smí program VLC komunikovat prostřednictvím portu 80 (protokol HTTP)? | |
| − | * | + | * Smí FreeCommander komunikovat prostřednictvím portu 21 (protokol FTP)? |
| − | * | + | * Máme povolit spojení z cizího počítače na port 22 (protokol SSH) našeho počítače? |
| − | * | + | </div> |
| − | + | ||
| − | * | + | ; Rozdělení podle toho, kde běží |
| − | *** | + | * Osobní firewall — běží v počítači, který chrání. |
| − | ** | + | * Síťový firewall |
| − | + | ** Chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj. | |
| − | + | ** Běží na routeru. | |
| − | + | ||
| − | + | ; Rozdělení podle síťové vrstvy, na které pracují | |
| − | + | Na nižších vrstvách architektury ISO/OSI rychlejší, ale neumí tak dobře rozlišit datové toky. | |
| − | + | ||
| − | + | ''Paketový filtr'' (síťová vrstva) | |
| − | + | * běží na router-u | |
| − | + | * komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem, | |
| − | * | + | * může být vybráno několik stanic ''bastion hosts'', které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (''DMZ — demilitarized zone'' — mezi firewallem a těmito stanicemi.) |
| − | + | * povolení nebo zákaz podle kombinace IP adresy a portu. | |
| − | * | + | |
| − | + | ''Aplikační brána'' (aplikační vrstva) | |
| − | * | + | * někdy také nazýváno „proxy“ |
| − | + | * komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji, | |
| + | * chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy), | ||
| + | * aplikační brána musí rozumět danému síťovému protokolu. | ||
| + | |||
| + | ''Stavový paketový filtr'' | ||
| + | |||
| + | ; Vstupní × výstupní provoz (in- nebo out-) | ||
| + | * Zabezpečení sítě proti útoku napadení z okolí | ||
| + | ** Snažší k zajištění. | ||
| + | ** Útočník vždy musí projít přes firewall, chce-li síť napadnout. | ||
| + | |||
| + | * Zabezpečení proti úniku dat | ||
| + | ** Například v důsledku napadení malwarem, který odesílá citlivá data. | ||
| + | ** Je složitější rozlišit korektní provoz od škodlivého (používají stejné programy). | ||
| + | ** Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme. | ||
| + | |||
| + | * Vždy existuje riziko úniku dat jinými cestami: | ||
| + | ** paměťová média odnesená zaměstnanci, | ||
| + | ** modemové spojení, | ||
| + | ** telefonní hovory: social engineering. | ||
| + | |||
| + | |||
| + | ; Strategie zabezepečení | ||
| + | * „Prevence“ | ||
| + | ** ''„Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.“'' | ||
| + | ** Jednodušší, častější. | ||
| + | ** Vyjmenujeme programy či služby, které povolíme, zbytek zůstane zakázán. | ||
| + | ** Může dojít k blokování toků, které jsou v pořádku, ale nebyly uvedeny mezi povolenými. | ||
| + | |||
| + | * „Presumpce neviny“ | ||
| + | ** ''„Povolíme vše a zakážeme provoz, který je určitě špatně.“'' | ||
| + | ** Problém s novými programy, se kterými se nepočítalo. | ||
| + | |||
| + | |||
; Zdroje | ; Zdroje | ||
*interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/> | *interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/> | ||
| − | ; Příklady | + | ; Příklady |
| + | * Vestavěný firewall operačního systému | ||
* Comodo Firewall — zdarma | * Comodo Firewall — zdarma | ||
** povolování komunikace pro jednotlivé aplikace | ** povolování komunikace pro jednotlivé aplikace | ||
* Firewally zdarma ke stažení: [http://www.thefreecountry.com/security/firewalls.shtml TheFreeCountry.com > Security > Firewalls] | * Firewally zdarma ke stažení: [http://www.thefreecountry.com/security/firewalls.shtml TheFreeCountry.com > Security > Firewalls] | ||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == | + | == Související stránky a zdroje == |
| − | * | + | * [[Malware]], [[Skrytí mailové adresy na webu]] |
| − | + | ||
Aktuální verze z 25. 4. 2019, 05:42
Obsah |
Způsoby ochrany
1. Opatrnost
- Obezřetnost v prostředí Internetu (e-mail, web, Facebook,...).
- Nezadávat své osobní údaje (e-mailovou adresu, čísla účtu, už vůbec ne hesla apod.), není-li to nezbytné.
- Být opatrný v tom, jaké stránky navštěvuji.
- Prověřit si pravost došlé zprávy, než kliknu na odkaz v ní.
- Nestahovat a nespouštět nelegální software.
- Nejsme-li si jistí korektností stránky či programu, raději se jí/mu vyhneme.
2. Technické zabezpečení
- Nezbytný základ
- Trvale spuštěný antivirový program (i pro mobilní zařízení!)
- Trvale spuštěný firewall.
- Automatická instalace aktualizací (minimálně bezpečnostní aktualizace).
- Lze i další
- Antispyware.
- Programy svým principem a funkcí velmi podobné antivirovým programům, ale specializující se na spyware.
- Příklady: SpyBot, AdAware
- Ochrana proti modifikacím DNS záznamů (pharmingu)
- Existují doplňky do prohlížečů, které kontrolují IP adresy
- Například: toolbar.netcraft.com — neověřeno!
3. Zálohování dat
- Jako obrana proti útoku ransomware šifrujícího data.
4. Prevence proti spamu
- Nepublikujte svoji adresu veřejně — nelze u pracovních adres, kde je komunikace veřejně součástí práce.
- Pokud musí být adresa vystavena na webu, skryjte ji před roboty.
- Neposílejte řetězové maily!
- Pokud musíte posílat zprávy více adresátům, VŽDY adresy pište do kolonky Skrytá kopie!
- Příjemce tak uvidí jen vaši adresu (odesilatele) a svoji, nikoli adresy ostatních adresátů.
- Je neslušné vystavovat adresy všech příjemců všem příjemcům, navíc pokud má některý příjemce prolomené zabezpečení schránky, útočník se nedozví adresy ostatních adresátů.
- Měňte si pravidelně heslo k mailové schránce!
- Neregistrujte svůj mail na všelikých stránkách!
- Mějte speciální adresu pro registraci na e-shopech a jiných méně důvěryhodných stránkách.
- Mějte jinou adresu pro pracovní a jinou pro osobní komunikaci.
- Zákaz automatických náhledů mailu v klientech elektronické pošty a zákaz automatického zobrazování obrázků v poštovních zprávách
- Čteme jen hlavičky zpráv (subject/předmět), otevíráme jen to, co je vpořádku.
- V nevyžádaném mailu může být vložen miniaturní neviditelný obrázek. Prohlížeč při zobrazení mailu stáhne obrázek ze serveru útočníka a útočník tak ví, že spam došel příjemci a e-mailová adresa je funkční (vlastně slouží jako potvrzení o přečtení nevyžádané zprávy). Navíc útočník ví i IP adresu a rychlost přečtení mailu.
- Zákaz zobrazování obrázků se projeví chybějícími obrázky v mailu, jednotlivě lze zobrazování ručně povolit ve zprávách, u kterých jsem si jisti, že je bezpečná.
- Pokud čtete zprávy přes webové rozhraní a zobrazování obrázků nelze vypnout, zvažte používání mailového klienta (třeba Thunderbird).
- Nemějte mailovou schránku na špatně zabezpečených mailových serverech!
- Třeba jeden z nejpopulárnějších českých mailových serverů je kromě jiných neduhů nechvalně známý tím, že z jeho adres běžně chodí spam...
Antivirové programy
Jak hledají malware?
- Databáze signatur
- hledá v programech na disku posloupnosti instrukcí, o kterých se ví, že je obsahuje jen virus
- závislé na aktuálnosti databáze (co není v databázi, to nenajdeme)
- přesné, rychlé
- malé riziko falešného hlášení
- Heuristická analýza
- analyzuje kód programu a hledá potenciálně podezdřelé instrukce
- riziko falešného hlášení — zdravý program může být občas prohlášen za virus
- výrazně náročnější na čas procesoru
- najde i škodlivé programy, které jsou úplně nové
Kdy se spouští test
- Rezidentní ochrana
- Antivir běží stále na pozadí.
- Zpomaluje počítač (významné u starších počítačů)
- Kdykoli otevíráme soubor, je obsah souboru nejprve zkontrolován na přítomnost viru.
- Ruční spuštění testu
Příklady antivirů
- Svobodné antiviry (zdarma pro libovolné použití + dostupný zdrojový kód)
- ClamAV/Immunet
- Licence GPL.
- Verze pro Linux i Windows (Immunet).
- Antiviry zdarma
- Comodo
- Internet Security = Antivirus + Firewall
- placené verze i verze zdarma (není uživatelská podpora)
- přesměrovává DNS server (obrana proti pharmingu)
- Avira
- Platformy Windows, Mac, Android a iOS
- Existuje placená verze
- Antiviry zdarma pouze pro nekomerční použití
- AVG
- Existuje placená i „free“ verze v angličtině (česká ne).
- AVG nabízí i anti-spyware, tam česká „free“ verze, ale nemá rezidentní štít.
- Avast
- zdarma pro nekomerční použití, ale je třeba jednou za rok registrovat.
- Placené antiviry
- Cena obvykle cca 1000–1500 Kč/rok
- Obvykle výborně hodnocené (spolehlivost detekce, spektrum služeb (i firewall atd.), rychlost testování,...)
- Uživatelská podpora.
- Často další služby: zálohování dat on-line atd.
- NOD32
- Kasperski Antivirus
- Produkty řady Norton (Symantec).
- Porovnání antivirů
Firewall
- Kontroluje tok dat mezi počítačem/počítačovou sítí a okolním světem (okolními sítěmi).
- Nerozlišuje škodlivost aplikace, pouze řeší, jestli tato aplikace má povoleno komunikovat do sítě pomocí daného síťového protokolu.
Příkad:
- Smí program VLC komunikovat prostřednictvím portu 80 (protokol HTTP)?
- Smí FreeCommander komunikovat prostřednictvím portu 21 (protokol FTP)?
- Máme povolit spojení z cizího počítače na port 22 (protokol SSH) našeho počítače?
- Rozdělení podle toho, kde běží
- Osobní firewall — běží v počítači, který chrání.
- Síťový firewall
- Chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj.
- Běží na routeru.
- Rozdělení podle síťové vrstvy, na které pracují
Na nižších vrstvách architektury ISO/OSI rychlejší, ale neumí tak dobře rozlišit datové toky.
Paketový filtr (síťová vrstva)
- běží na router-u
- komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem,
- může být vybráno několik stanic bastion hosts, které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (DMZ — demilitarized zone — mezi firewallem a těmito stanicemi.)
- povolení nebo zákaz podle kombinace IP adresy a portu.
Aplikační brána (aplikační vrstva)
- někdy také nazýváno „proxy“
- komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji,
- chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy),
- aplikační brána musí rozumět danému síťovému protokolu.
Stavový paketový filtr
- Vstupní × výstupní provoz (in- nebo out-)
- Zabezpečení sítě proti útoku napadení z okolí
- Snažší k zajištění.
- Útočník vždy musí projít přes firewall, chce-li síť napadnout.
- Zabezpečení proti úniku dat
- Například v důsledku napadení malwarem, který odesílá citlivá data.
- Je složitější rozlišit korektní provoz od škodlivého (používají stejné programy).
- Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme.
- Vždy existuje riziko úniku dat jinými cestami:
- paměťová média odnesená zaměstnanci,
- modemové spojení,
- telefonní hovory: social engineering.
- Strategie zabezepečení
- „Prevence“
- „Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.“
- Jednodušší, častější.
- Vyjmenujeme programy či služby, které povolíme, zbytek zůstane zakázán.
- Může dojít k blokování toků, které jsou v pořádku, ale nebyly uvedeny mezi povolenými.
- „Presumpce neviny“
- „Povolíme vše a zakážeme provoz, který je určitě špatně.“
- Problém s novými programy, se kterými se nepočítalo.
- Zdroje
- interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/>
- Příklady
- Vestavěný firewall operačního systému
- Comodo Firewall — zdarma
- povolování komunikace pro jednotlivé aplikace
- Firewally zdarma ke stažení: TheFreeCountry.com > Security > Firewalls
