Bezpieczne podróże po Internecie

Wykradzione hasła, zainfekowane załączniki poczty, podstępnie zainstalowane dialery - barwny świat Internetu kryje wiele niebezpieczeństw, szczególnie, jeśli komputer pracuje w sieci LAN i może zarazić całą infrastrukturę sieciową firmy. Aby zminimalizować ryzyko, użytkownicy powinni przestrzegać kilku podstawowych zasad.

Wykradzione hasła, zainfekowane załączniki poczty, podstępnie zainstalowane dialery - barwny świat Internetu kryje wiele niebezpieczeństw, szczególnie, jeśli komputer pracuje w sieci LAN i może zarazić całą infrastrukturę sieciową firmy. Aby zminimalizować ryzyko, użytkownicy powinni przestrzegać kilku podstawowych zasad.

Poprawki oferowane przez producenta należy instalować.

Poprawki oferowane przez producenta należy instalować.

Internet nie jest drogą jednokierunkową. Każdy komputer podłączony do światowej sieci staje się jej częścią, nawet jeśli tylko na chwilę. W tym czasie jego zasoby dostępne są zasadniczo dla wszystkich użytkowników - staje się podatny na atak.

W typowych systemach pracujących pod kontrolą Windows jest wystarczająco dużo luk. Dwa programy, Internet Explorer i Outlook, z ich rozbudowaną obsługą języków skryptów i problematycznymi ustawieniami domyślnymi, są ulubionym celem ataków złośliwego oprogramowania, podobnie jak Windows Script Host, który standardowo wykonuje bez pytania skrypty VBS i Javy. Powiemy, jak rozbroić te newralgiczne zagrożenia. Skaner antywirusowy to wprawdzie podstawowe wyposażenie każdego komputera, nie jest jednak panaceum. Wykrywa tylko znane wirusy, robaki i trojany. Regularne uaktualnianie bazy sygnatur to sprawa podstawowa.

Trzeba też pamiętać, że nawet najbardziej wyrafinowane zabezpieczenia techniczne są bezsilne wobec lekkomyślności użytkowników. Niemal wszyscy już wiedzą, że nie powinno się zapisywać haseł na karteczkach i przyklejać ich na klawiaturze lub monitorze; ciągle jeszcze zbyt mało mówi się o właściwym doborze haseł. Imię żony lub przyjaciółki nie jest najlepszym wyborem. A przecież istnieje prosty sposób takiego doboru haseł, by trudno było je złamać.

Gdyby nie podatność użytkowników na zabiegi socjotechniczne, dialery nie zrobiłyby takiej kariery. Ich operatorzy stosują niemal zawsze ten sam prosty trik w celu przyciągnięcia ofiar - ofertę darmowego dostępu do stron z pornografią. Wystarczyłaby doza zdrowego rozsądku i kilka zabiegów technicznych, żeby uchronić się przed astronomicznym rachunkiem telefonicznym.

Lekkomyślne zachowanie prywatnego użytkownika stanowi zagrożenie tylko dla jego własnego komputera, ale ta sama lekkomyślność w przypadku komputera w sieci LAN może oznaczać katastrofę dla całej firmy, gdy wirus sparaliżuje całą sieć lub trojan zacznie wysyłać dane firmowe do Internetu. Oczywiście, teoretycznie można każdemu pracownikowi zablokować dostęp do Internetu, lecz z pewnością nie jest to rozwiązanie zasługujące na uznanie.

Inne wyjście to serwer proxy ze skanerem antywirusowym, który obsługuje cały ruch. Mimo to pozostaje pewne ryzyko związane z nieznanymi lukami zabezpieczeń i nowymi wirusami. Dlatego ostatecznie pozostaje gruntowne szkolenie użytkowników, uświadamianie zagrożeń i przestrzeganie reguł korzystania z Internetu.

Surfować? Tak, ale bezpiecznie

Współczesne przeglądarki internetowe to prawdziwe omnibusy, które nie tylko umożliwiają przeglądanie stron HTML, ale interpretują też aktywne treści, jak Java, JavaScript, ActiveX i Visual Basic Script (VBS).

Przewidziano wprawdzie mechanizmy zabezpieczeń, które mają uniemożliwiać nieuprawnione zmiany, usuwanie czy odczytywanie danych z komputera użytkownika, jednak w kolejnych wersjach przeglądarek pojawiają się wciąż nowe luki tych zabezpieczeń. Ponieważ przeglądarki są zwykle ściśle powiązane z klientami poczty i wiadomości, jak to ma miejsce na przykład w przeglądarce Internet Explorer, luki dają znać o sobie również i w tych komponentach.

Trzeba zatem jak najszybciej instalować poprawki i uaktualnienia, które usuwają zauważone błędy. Wymaga to regularnego odwiedzania stron producentów oprogramowania. Microsoft, na przykład, informuje o problemach technicznych na stronie http://www.microsoft.com/poland/biuletyn/default.htm ; biuletyny rozsyłane są raz w miesiącu pocztą elektroniczną do zainteresowanych osób.

Microsoft zazwyczaj publikuje szczegółowe informacje o lukach zabezpieczeń dopiero wtedy, gdy odpowiednia poprawka dostępna jest co najmniej od 30 dni. Warto więc skorzystać z oferty dostępnej na stronie http://www.ntbugtraq.com i zaabonować powiadomienia o nowo odkrytych lukach i problemach.

Model stref przeglądarki Internet Explorer

Nawet bez specjalnych luk w zabezpieczeniach aktywne treści stwarzają wystarczająco dużo zagrożeń. Dlatego Internet Explorer od wersji 4 wykorzystuje model bezpieczeństwa, dzielący witryny internetowe na strefy o różnym stopniu zaufania. Użytkownik przypisuje strony do jednej z czterech stref - Internet, Lokalny intranet, Zaufane witryny i Witryny z ograniczeniami. W każdej z nich obowiązują inne zasady bezpieczeństwa. Internet Explorer zalicza do lokalnego intranetu strony, do których ma dostęp bez pośrednictwa serwera proxy lub przez ścieżkę UNC. Strefa ta jest interesująca w pierwszym rzędzie dla firm, które stosują serwer internetowy w sieci LAN, a z Internetem połączone są przez serwer proxy.

Listy stron w strefach Zaufane witryny i Witryny z ograniczeniami są standardowo puste; użytkownik sam musi dokonać wpisów. Wszystkie pozostałe strony przeglądarka kwalifikuje do strefy Internet. Na karcie Zabezpieczenia w menu Opcje internetowe można ustalić dla każdej strefy oddzielnie, jak Internet Explorer ma traktować potencjalnie szkodliwe treści. Możliwości ustawień są zagmatwane w sposób typowy dla Microsoftu, a precyzyjny wybór nie zawsze jest możliwy. W pozycji Wykonywanie aktywnych skryptów Microsoft umieścił łącznie skrypty Javy i VBS. Gdyby ktoś chciał zablokować tylko jeden z języków skryptów, nie ma takiej możliwości.

Model stref IE - wartości domyślne

Pobłażliwe ustawienia domyślne - Internet Explorer zezwala domyślnie na wykonywanie skryptów na stronach ze strefy Internet.

Pobłażliwe ustawienia domyślne - Internet Explorer zezwala domyślnie na wykonywanie skryptów na stronach ze strefy Internet.

Microsoft podzielił stopień bezpieczeństwa na poziomy od niskiego do wysokiego i domyślnie przypisał każdej ze stref jeden z tych poziomów. Zaufane witryny zasługują na poziom niski, Lokalny intranet to poziom średnioniski, Internet ma przypisany poziom średni, zaś Witryny z ograniczeniami - wysoki.

W niewątpliwie najważniejszej strefie Internet przeglądarka zezwala na takie elementy, jak Java, JavaScript, VBS i kontrolki ActiveX niewątpliwie bardzo niefrasobliwe podejście. Warto więc zmienić poziom zabezpieczeń w strefie standardowej na wysoki, a w wersjach wcześniejszych niż 6.0 dodatkowo wyłączyć wszystkie opcje w sekcji Formanty ActiveX i dodatki plug-in.

Aby skorzystać z niektórych usług czy ofert, internauta musi zrezygnować z rygorystycznych zabezpieczeń - choćby dlatego, że witryna banku internetowego wymaga skryptów Javy. W takim przypadku można wpisać adres banku w strefie Zaufane witryny. Warto jednak przestrzegać zasady, by postępować tak wyłącznie w stosunku do rzeczywiście znanych i godnych zaufania witryn.


Zobacz również