Zimowe prace przy Oknach

System funkcjonuje poprawnie i jest zabezpieczony - nierealne marzenie czy trudny do osiągnięcia cel? Ani jedno, ani drugie.

System funkcjonuje poprawnie i jest zabezpieczony - nierealne marzenie czy trudny do osiągnięcia cel? Ani jedno, ani drugie.

Niewiele trzeba pracy, aby bezpieczniej korzystać z Internetu, ale często o tym zapominamy pomiędzy sprawdzaniem poczty a długimi rozmowami przez "gada". Dlaczego?

Chcesz zostać ofiarą?

Do niedawna większość ataków przez Internet była wymierzona w serwery firm bądź instytucji. Zbagatelizowanie zagadnienia, jakim jest bezpieczeństwo komputera domowego, doprowadziło do eskalacji ataków. Pewien udział w tym ma komercjalizacja odkryć błędów w oprogramowaniu. Odkrywca sprzedaje swoje "znalezisko" firmie, która na przykład zajmuje się rozsyłaniem niechcianych reklam, tzw. spamu. Udostępnianie wiedzy o zagrożeniach w znacznym stopniu przestało być już działalnością charytatywną, a wykrywanie wadliwego działania programu jest obecnie dość opłacalnym zajęciem. Sam spotkałem się z ofertą kupienia ode mnie pewnych odkryć. Zapewniam, że nie był to producent wadliwego oprogramowania. Taka sytuacja może budzić pewien niepokój, ale jest jak przeziębienie - groźne, kiedy nieleczone.

Innym ważnym czynnikiem wzrostu liczby ataków na użytkowników domowych jest upowszechnianie się stałego dostępu do Internetu. Prawdopodobieństwo zaatakowania komputera na stałe połączonego z Internetem jest większe niż w wypadku łącza komutowanego.

Producent w miarę swoich możliwości dba o klientów.

Producent w miarę swoich możliwości dba o klientów.

Zastanówmy się, jakie korzyści może mieć ktoś, kto przejmie kontrolę nad naszym komputerem. Jak już wcześniej wspomniałem, taki "obezwładniony" komputer może pełnić funkcję serwera poczty. Za jego pomocą rozsyłany jest spam do innych użytkowników Internetu. Jeszcze gorsze jest wyznaczenie mu roli pośrednika w ataku na inny komputer. Umiejętnie spreparowany atak może uniemożliwić lub w znacznej części utrudnić wykrycie sprawcy. To jeszcze nie koniec sposobów eksploatacji. Niedawno pojawił się robak internetowy, który skrzętnie zapisywał informacje na temat karty kredytowej użytkownika, a następnie wysyłał je na konto e-mail swojego "pana". Zabrzmi to zabawnie, ale dobrze wytresowany robak internetowy jest znacznie groźniejszy od dobrze wytresowanego psa. Do kradzieży, bo tak należy to nazwać, danych o karcie kredytowej należy dodać kradzież haseł dostępu do różnego rodzaju kont pocztowych, FTP itp. czy programów.

Napisanie programu pozbawionego wad jest niemożliwe. Twórcy nie są w stanie przewidzieć wszystkich sytuacji, które mogą spowodować nieprawidłowe funkcjonowanie aplikacji. Im więcej osób korzysta z danego produktu, tym większe prawdopodobieństwo wykrycia w nim nieprawidłowości.

Skąd się biorą luki w systemie? Otóż odpowiedź zabrzmi dość paradoksalnie - są w nim cały czas. Odnalezienie nieścisłości to kwestia czasu oraz wiedzy użytkownika danego programu. Odkrycie problemu jest nieuniknione, a wówczas producent, chcąc usatysfakcjonować swoich klientów, zapewnia im pomoc w postaci tak zwanej łatki. Jej zadaniem jest usunięcie określonego problemu, ale trzeba pamiętać, że dopóki nie pojawi się "choroba", nie ma na nią lekarstwa. Należy samemu szukać odpowiedzi na pytanie, czy dana wersja programu jest aktualna i pozbawiona wad. Odwiedzając określone witryny internetowe, możemy znaleźć informacje, które pozwolą nam spać spokojnie.

Od czego zacząć?

Użytkownik domowego peceta znajdzie tu wszystkie aktualne wiadomości oraz skuteczne rozwiązania, zwiększające bezpieczeństwo systemu.

Użytkownik domowego peceta znajdzie tu wszystkie aktualne wiadomości oraz skuteczne rozwiązania, zwiększające bezpieczeństwo systemu.

Rozwiązywanie problemów z wadliwym oprogramowaniem przypomina usuwanie usterki np. w samochodzie. Tylko przypomina, ponieważ nie musimy wadliwego produktu dostarczać do warsztatu. Naprawa jest znacznie łatwiejsza i mniej czasochłonna, a najważniejsze, że wykonamy ją sami. Pewnie wszyscy właściciele pojazdów nie posiadaliby się z zachwytu, gdyby wymiana niesprawnego podzespołu wymagała jedynie wizyty w witrynie internetowej.

Korzystając z systemu Windows, obowiązkowo należy śledzić zmiany na stronie internetowej producenta. Nie musimy przeglądać wszystkich zgromadzonych tam informacji. Zainteresujmy się zagadnieniami bezpieczeństwa. W Ulubionych warto zapisać ten adres: http://www.microsoft.com/poland/security/default.mspx .

Przeglądając "biuletyny bezpieczeństwa", dowiemy się, jakie problemy wykryto w naszej wersji systemu, znajdziemy opis usterki oraz narzędzie do jej wyeliminowania.

Zwykle strona internetowa producenta jest najbardziej rzetelnym źródłem informacji o zagrożeniach systemu, ale nie jedynym. Bardzo często, zanim producent dowie się o nieprawidłowości w swoim produkcie, informacja o niej jest publikowana na tzw. bugtraq. Co to jest i do czego służy?

Bugtraq

Informacja o zdarzeniach w sieci

Informacja o zdarzeniach w sieci

Jest to lista mailingowa poświęcona bezpieczeństwu komputerów. Są na niej publikowane i omawiane luki w zabezpieczeniach programów. Odkrywcy opisują genezę nieszczelności, metodę eksploatacji oraz sposób naprawy.

Bugtraq utworzył 5 listopada 1993 roku Scott Chasin. Początkowo lista była otwarta na wszelkie publikacje. Jednakże nadużywanie tej możliwości i umieszczanie mało istotnych informacji zrodziło potrzebę nadzoru nad publikowaną zawartością (5 czerwca 1995).

Przez ostatnie lata Bugtraq było własnością SecurityFocus, firmy zajmującej się bezpieczeństwem komputerów. Od 6 sierpnia 2002 roku właścicielem serwisu securityfocus.com jest Symantec.

O rzetelności bugtraq stanowi jego kolegialny charakter. Opublikowane informacje o znalezieniu nieprawidłowości są omawiane przez użytkowników listy. Usterkę analizują czytelnicy. Odkrycie może zostać potwierdzone bądź zdementowane.

W chwili, kiedy luka jest potwierdzona, pojawia się informacja o zagrożeniu, np. informacja o zagrożeniu dla użytkowników Gadu-Gadu najpierw musi zostać zweryfikowana na łamach bugtraq ( http://www.securityfocus.com/archive/82/372677 ), a dopiero potem może być przedstawiona jako faktyczne niebezpieczeństwo ( http://www.securityfocus.com/bid/11017 ). W tym wypadku weryfikacja trwała dwa dni, czasem jednak trwa to znacznie dłużej.

Przeglądając listy mailingowe poświęcone bezpieczeństwu komputera, możemy przygotować się np. na atak nowego robaka internetowego.

Jednak ciągłe analizowanie bugtraq jest czasochłonne, a użytkownik domowego komputera nie musi aż tak się zagłębiać w zagadnienia bezpieczeństwa. Wystarczającej wiedzy dostarczą witryny internetowe publikujące potwierdzone zagrożenia.

Sprawdzone, opublikowane

Folder Ulubione powinniśmy uzupełnić o kolejny adres - http://bezpieczenstwo.idg.pl . Serwis ten zalicza się do najbardziej sumiennie prowadzonych oraz omawia wiele zagadnień z zakresu bezpieczeństwa komputera. Przeważnie w każdym kraju zespół ludzi czuwa nad bezpieczeństwem globalnej sieci. CERT (Computer Emergency Response Team) Polska utworzono w 1996 roku, a jednym z głównych zadań zespołu jest popularyzacja kwestii bezpieczeństwa teleinformatycznego i analizowanie bezpieczeństwa polskich zasobów Internetu. W witrynie http://www.cert.pl można uzyskać wiele cennych porad.

Chcąc dotrzeć do obcojęzycznych zasobów Internetu, warto zajrzeć na http://www.securityfocus.com/microsoft . Ten światowy portal wiedzy teleinformatycznej stanowi swego rodzaju źródło dla pozostałych serwisów o podobnej tematyce. To tu najczęściej najpierw pojawia się informacja o zagrożeniu spowodowanym nieprawidłowościami w określonym programie.

Nie ma zatem jednego źródła wiadomości. Potrzebując najświeższych informacji, należy odwiedzać różne witryny internetowe. Postępując w ten sposób, na pewno jesteśmy właściwie poinformowani.

Zdobywanie i montowanie "uszczelek"...

Komunikacja pomiędzy systemem a witryną Windows Update odbywa się przy minimalnym udziale użytkownika.

Komunikacja pomiędzy systemem a witryną Windows Update odbywa się przy minimalnym udziale użytkownika.

Kiedy już wiemy, że nasze oprogramowanie jest wadliwe, powinniśmy ze strony internetowej producenta pobrać łatkę, która usunie problem. Najwygodniej jest korzystać z witryny automatycznie aktualizującej Windows. Użytkownik http://windowsupdate.microsoft.com przy niewielkim wysiłku usunie usterki swojego systemu.

Jeżeli jednak nie mamy zaufania do zautomatyzowanych procesów bądź chcemy zapisać poszczególne uaktualnienia, powinniśmy skorzystać ze znanego adresu http://www.microsoft.com/poland/security/default.mspx .

Należy kliknąć Biuletyn bezpieczeństwa. Otworzy się strona internetowa zawierająca ogólne informacje o zagrożeniu. Chcąc pobrać łatkę, musimy zagłębić się w lekturę i kliknąć Uzyskaj więcej informacji w biuletynie technicznym. Otwarta witryna zawiera listę oprogramowania, które jest zagrożone. Teraz należy wybrać swoją wersję systemu bądź programu. Zostaniemy skierowani do ostatniej strony, z której pobierzemy uaktualnienie. Odnajdujemy przycisk Pobierz i klikamy go.

Kiedy pobieranie się zakończy, wystarczy uruchomić łatkę. Dalej postępujemy zgodnie z instrukcjami programu aktualizującego system.

Od redakcji

A producent...? Trzeba przyznać, że się stara i to na wiele sposobów: udostępnia bezpłatnie wszelkie łatki i dodatki na swojej stronie, na życzenie-zamówienie wysyła też bezpłatnie CD-ROM, np. z najnowszym Windows XP Service Pack 2. Ale żeby poprawki sprzedawać? To już majstersztyk biznesu. Wydawać by się mogło, że w interesie producenta leży, aby poprawki dotarły do jak najszerszej grupy użytkowników poprawianej aplikacji, tymczasem niekoniecznie. I tu - jak się okazuje - można zarobić. Czy granicą tego absurdu będzie to, że producenci przestaną się specjalnie przejmować jakością produktu, bo i tak zarobią później na poprawkach? Miejmy nadzieję, że nie, choć krok w tym kierunku właśnie poczyniono... Trzeba też pamiętać, że jakże często informacje o - mówiąc delikatnie - "niedoskonałościach" swojego oprogramowania producent gromadzi, wykorzystując życzliwość użytkowników. A poszukiwanie luk w zabezpieczeniach to dość czasochłonne zajęcie i wymagające sporej wiedzy. Za co producent jednak nie zapłaci. Zapłacą zaś użytkownicy, kupując poprawkę...


Zobacz również