Ochrana proti malware

Aktuální verze z 25. 4. 2019, 05:42

Způsoby ochrany

1. Opatrnost

• Obezřetnost v prostředí Internetu (e-mail, web, Facebook,...).
• Nezadávat své osobní údaje (e-mailovou adresu, čísla účtu, už vůbec ne hesla apod.), není-li to nezbytné.
• Být opatrný v tom, jaké stránky navštěvuji.
• Prověřit si pravost došlé zprávy, než kliknu na odkaz v ní.
• Nestahovat a nespouštět nelegální software.
• Nejsme-li si jistí korektností stránky či programu, raději se jí/mu vyhneme.

2. Technické zabezpečení

Nezbytný základ

• Trvale spuštěný antivirový program (i pro mobilní zařízení!)
• Trvale spuštěný firewall.
• Automatická instalace aktualizací (minimálně bezpečnostní aktualizace).

Lze i další

• Antispyware.
  • Programy svým principem a funkcí velmi podobné antivirovým programům, ale specializující se na spyware.
  • Příklady: SpyBot, AdAware
• Ochrana proti modifikacím DNS záznamů (pharmingu)
  • Existují doplňky do prohlížečů, které kontrolují IP adresy
  • Například: toolbar.netcraft.com — neověřeno!

3. Zálohování dat

• Jako obrana proti útoku ransomware šifrujícího data.

4. Prevence proti spamu

• Nepublikujte svoji adresu veřejně — nelze u pracovních adres, kde je komunikace veřejně součástí práce.
  • Pokud musí být adresa vystavena na webu, skryjte ji před roboty.
• Neposílejte řetězové maily!
• Pokud musíte posílat zprávy více adresátům, VŽDY adresy pište do kolonky Skrytá kopie!
  • Příjemce tak uvidí jen vaši adresu (odesilatele) a svoji, nikoli adresy ostatních adresátů.
  • Je neslušné vystavovat adresy všech příjemců všem příjemcům, navíc pokud má některý příjemce prolomené zabezpečení schránky, útočník se nedozví adresy ostatních adresátů.
• Měňte si pravidelně heslo k mailové schránce!
• Neregistrujte svůj mail na všelikých stránkách!
  • Mějte speciální adresu pro registraci na e-shopech a jiných méně důvěryhodných stránkách.
  • Mějte jinou adresu pro pracovní a jinou pro osobní komunikaci.
• Zákaz automatických náhledů mailu v klientech elektronické pošty a zákaz automatického zobrazování obrázků v poštovních zprávách
  • Čteme jen hlavičky zpráv (subject/předmět), otevíráme jen to, co je vpořádku.
  • V nevyžádaném mailu může být vložen miniaturní neviditelný obrázek. Prohlížeč při zobrazení mailu stáhne obrázek ze serveru útočníka a útočník tak ví, že spam došel příjemci a e-mailová adresa je funkční (vlastně slouží jako potvrzení o přečtení nevyžádané zprávy). Navíc útočník ví i IP adresu a rychlost přečtení mailu.
  • Zákaz zobrazování obrázků se projeví chybějícími obrázky v mailu, jednotlivě lze zobrazování ručně povolit ve zprávách, u kterých jsem si jisti, že je bezpečná.
  • Pokud čtete zprávy přes webové rozhraní a zobrazování obrázků nelze vypnout, zvažte používání mailového klienta (třeba Thunderbird).
• Nemějte mailovou schránku na špatně zabezpečených mailových serverech!
  • Třeba jeden z nejpopulárnějších českých mailových serverů je kromě jiných neduhů nechvalně známý tím, že z jeho adres běžně chodí spam...

Antivirové programy

Jak hledají malware?

• Databáze signatur
  • hledá v programech na disku posloupnosti instrukcí, o kterých se ví, že je obsahuje jen virus
  • závislé na aktuálnosti databáze (co není v databázi, to nenajdeme)
  • přesné, rychlé
  • malé riziko falešného hlášení
• Heuristická analýza
  • analyzuje kód programu a hledá potenciálně podezdřelé instrukce
  • riziko falešného hlášení — zdravý program může být občas prohlášen za virus
  • výrazně náročnější na čas procesoru
  • najde i škodlivé programy, které jsou úplně nové

Kdy se spouští test

• Rezidentní ochrana
  • Antivir běží stále na pozadí.
  • Zpomaluje počítač (významné u starších počítačů)
  • Kdykoli otevíráme soubor, je obsah souboru nejprve zkontrolován na přítomnost viru.
• Ruční spuštění testu

Příklady antivirů

Svobodné antiviry (zdarma pro libovolné použití + dostupný zdrojový kód)

• ClamAV/Immunet
  • Licence GPL.
  • Verze pro Linux i Windows (Immunet).

Antiviry zdarma

• Comodo
  • Internet Security = Antivirus + Firewall
  • placené verze i verze zdarma (není uživatelská podpora)
  • přesměrovává DNS server (obrana proti pharmingu)
• Avira
  • Platformy Windows, Mac, Android a iOS
  • Existuje placená verze

Antiviry zdarma pouze pro nekomerční použití

• AVG
  • Existuje placená i „free“ verze v angličtině (česká ne).
  • AVG nabízí i anti-spyware, tam česká „free“ verze, ale nemá rezidentní štít.
• Avast
  • zdarma pro nekomerční použití, ale je třeba jednou za rok registrovat.

Placené antiviry

• Cena obvykle cca 1000–1500 Kč/rok
• Obvykle výborně hodnocené (spolehlivost detekce, spektrum služeb (i firewall atd.), rychlost testování,...)
• Uživatelská podpora.
• Často další služby: zálohování dat on-line atd.
• NOD32
• Kasperski Antivirus
• Produkty řady Norton (Symantec).

Porovnání antivirů

• av-comparatives.org

Firewall

• Kontroluje tok dat mezi počítačem/počítačovou sítí a okolním světem (okolními sítěmi).
• Nerozlišuje škodlivost aplikace, pouze řeší, jestli tato aplikace má povoleno komunikovat do sítě pomocí daného síťového protokolu.

Rozdělení podle toho, kde běží

• Osobní firewall — běží v počítači, který chrání.
• Síťový firewall
  • Chrání přístup do celé sítě, veškerý provoz do sítě musí jít přes něj.
  • Běží na routeru.

Rozdělení podle síťové vrstvy, na které pracují

Na nižších vrstvách architektury ISO/OSI rychlejší, ale neumí tak dobře rozlišit datové toky.

Paketový filtr (síťová vrstva)

• běží na router-u
• komunikace probíhá přímo mezi chráněnou stanicí a vnějším partnerem,
• může být vybráno několik stanic bastion hosts, které mohou komunikovat (nebo dále zprostředkovat komunikaci) přímo. (DMZ — demilitarized zone — mezi firewallem a těmito stanicemi.)
• povolení nebo zákaz podle kombinace IP adresy a portu.

Aplikační brána (aplikační vrstva)

• někdy také nazýváno „proxy“
• komunikace probíhá mezi vnějším partnerem a firewallem, ten případně komunikuje s chráněnými stroji,
• chráněné stanice jsou z vnější sítě nedostupné (např. mají privátní IP adresy),
• aplikační brána musí rozumět danému síťovému protokolu.

Stavový paketový filtr

Vstupní × výstupní provoz (in- nebo out-)

• Zabezpečení sítě proti útoku napadení z okolí
  • Snažší k zajištění.
  • Útočník vždy musí projít přes firewall, chce-li síť napadnout.

• Zabezpečení proti úniku dat
  • Například v důsledku napadení malwarem, který odesílá citlivá data.
  • Je složitější rozlišit korektní provoz od škodlivého (používají stejné programy).
  • Nebezpečí zneužití klientů protokolů HTTP, POP3, IRC, které standardně podporujeme.

• Vždy existuje riziko úniku dat jinými cestami:
  • paměťová média odnesená zaměstnanci,
  • modemové spojení,
  • telefonní hovory: social engineering.

Strategie zabezepečení

• „Prevence“
  • „Zakážeme vše a povolíme jen ten provoz a ty programy, které jsou určitě v pořádku.“
  • Jednodušší, častější.
  • Vyjmenujeme programy či služby, které povolíme, zbytek zůstane zakázán.
  • Může dojít k blokování toků, které jsou v pořádku, ale nebyly uvedeny mezi povolenými.

• „Presumpce neviny“
  • „Povolíme vše a zakážeme provoz, který je určitě špatně.“
  • Problém s novými programy, se kterými se nepočítalo.

Zdroje

• interhack.net > Pubs > Fwfaq <http://www.interhack.net/pubs/fwfaq/>

Příklady

• Vestavěný firewall operačního systému
• Comodo Firewall — zdarma
  • povolování komunikace pro jednotlivé aplikace
• Firewally zdarma ke stažení: TheFreeCountry.com > Security > Firewalls

Související stránky a zdroje

• Malware, Skrytí mailové adresy na webu