Komputery pod ochroną


Źródła oprogramowania

Aspektem mającym zasadniczy wpływ na bezpieczeństwo systemu jest zainstalowane na nim oprogramowanie. Większość ataków przeprowadza się poprzez wykorzystanie dziur, które istnieją w zainstalowanych aplikacjach, a nie w samym systemie. Pobierając programy, należy zawsze korzystać z zaufanych źródeł. W popularnych dystrybucjach Linuksa sprawa jest ułatwiona. Producent dostarcza repozytorium, czyli zbiór sprawdzonych i przetestowanych programów. Jednak na równi z domyślnym repozytorium użytkownik może dodać własne (w niektórych dystrybucjach prawie każdy program znajduje się w osobnym zbiorze). Należy przy tym zachować szczególną ostrożność, bo pobrane tak programy są już skompilowane, więc mogą zawierać złośliwy kod. Dodatkowym czynnikiem sprzyjającym infekcjom jest fakt, że użytkownicy zwykle nie podejrzewają, by w repozytorium znajdowały się wirusy. Kluczowe znaczenie ma więc wybór zaufanych źródeł.

System repozytoriów działa bardzo dobrze, jeśli istnieje sposobność zebrania w jednym miejscu dużej liczby programów. W przypadku Windows jest to niewykonalne, ale podobną rolę spełnia Microsoft Update. Narzędzie to pozwala na instalację oprogramowania w wygodny sposób, ze sprawdzonego źródła - ryzyko infekcji spada praktycznie do zera. Jest to ponadto bezpieczny sposób na aktualizacje programów. Niestety, ze względów licencyjnych jego zastosowanie jest ograniczone tylko do produktów Microsoftu.

Warto dodać, że możliwy jest atak na całe repozytoria. Stało się tak w przypadku bramki pocztowej SquirrelMail. Atakujący przejęli konto jednego z koordynatorów projektu, po czym zmienili fragment kodu, za który odpowiadał. Aby się przed tym bronić, wystarczy sprawdzać sumy kontrolne plików. Może w tym pomóc pochodzące z systemu NetBSD narzędzie veriexec, które sprawdza czy sumy kontrolne wykonywanych plików się nie zmieniły.

Groźny uptime

Typowy obrazek z Windows: konto gościa jest wyłączone, a użytkownik korzysta z systemu jako administrator, co w przypadku infekcji prowadzi do bardzo groźnych następstw.

Typowy obrazek z Windows: konto gościa jest wyłączone, a użytkownik korzysta z systemu jako administrator, co w przypadku infekcji prowadzi do bardzo groźnych następstw.

Statystyczny czas pracy maszyn wyposażonych w systemy uniksowe jest większy niż w tych pracujących pod kontrolą Windows. Serwery, rutery i inne urządzenia sieciowe, a nawet stacje robocze mogą pracować przez wiele dni czy miesięcy bez przerwy. W szczególności dotyczy to ruterów, które praktycznie nigdy nie są wyłączane.

Przez to stają się łakomym kąskiem dla cyberprzestępców. Komputery zwykłych użytkowników działają zwykle przez kilka, góra kilkanaście godzin dziennie, po czym są wyłączane. Urządzenia pracujące non stop są łatwiejszym celem ataku w tym sensie, że można próbować włamania bez ryzyka, iż zostaną wyłączone. A jeśli już uda się zdobyć kontrolę nad takim urządzeniem, to można robić z niej użytek bez ograniczeń czasowych.

Bezpieczne hasła

Jeśli użytkownicy pracują na kontach działających na serwerze, to nawet prosty skrypt próbujący złamać hasło wybranego użytkownika może działać całymi dniami, by w końcu zdobyć dostęp do atakowanego konta. Należy więc zawczasu wprowadzić ograniczenia logowania i tak skonfigurować system, by zbyt długo działające procesy były automatycznie zatrzymywane. Koniecznie trzeba też wymusić na użytkownikach tworzenie bezpiecznych haseł i upowszechnić zwyczaj ich częstego zmieniania.

Z pomocą przychodzi sam Linux, który zawiera narzędzia do bardzo dokładnego ustawiania parametrów haseł. Ważne są przede wszystkim minimalna długość (im hasło dłuższe, tym lepsze), wymagane znaki (np. duże i małe litery, cyfry, znaki specjalne) oraz częstotliwość zmian. Odpowiedni mechanizm weryfikuje, czy hasło nie jest zbyt podobne do poprzedniego (np. czy użytkownik nie wpisał go od końca albo nie zmienił tylko jednego znaku) i czy nie zostało już wcześniej użyte.

Uwaga na uprawnienia

W ostatnich miesiącach pojawia się coraz więcej usług, które pozwalają na bezpieczne przechowywanie kopii zapasowych w Internecie. Na ilustracji: F-Secure Online Backup.

W ostatnich miesiącach pojawia się coraz więcej usług, które pozwalają na bezpieczne przechowywanie kopii zapasowych w Internecie. Na ilustracji: F-Secure Online Backup.

Bardzo istotne jest zachowanie ścisłej dyscypliny w przydzielaniu kont użytkownikom i programom. Obowiązuje tu prosta zasada: każdemu procesowi przydzielamy najmniejsze możliwe uprawnienia - tylko tyle, ile potrzebuje i ani trochę więcej. W ten sposób minimalizujemy szkody, które zostaną wyrządzone, gdy nastąpi infekcja. Jak wiadomo, złośliwe oprogramowanie ma takie same uprawnienia jak użytkownik, który je uruchomił. Jeśli wirus bądź inny szkodnik przeniknie przez linie obronne w momencie, gdy będziemy zalogowani jako administrator, może dokonać olbrzymich spustoszeń. Jeśli zaś infekcja przytrafi się na koncie zwykłego użytkownika, trzeba będzie co najwyżej dokonać reinstalacji kilku programów.

W systemach linuksowych przydzielanie uprawnień stanowi nieodłączny element rutynowych czynności związanych z konfiguracją czy też bieżącą obsługą. Wynika to z ich podstawowej cechy, jaką jest wielodostępność. Zupełnie inaczej jest w przypadku Windows. Tu każdy program uruchamiany jest przez użytkownika - zwykle posiadacza komputera. Właściwie do dziś standardem jest korzystanie z konta administratora do zwykłej pracy, mimo że już w Windows 2000 można było łatwo zakładać i zarządzać kontami o ograniczonych uprawnieniach. To niebezpieczne przyzwyczajenie jest bardzo silnie zakorzenione u użytkowników Windows. Przy każdej okazji należy im uświadamiać, na czym polega zagrożenie, a najlepiej po prostu wymuszać logowanie się na stacjach roboczych.