Modul 3

1,274 views
1,237 views

Published on

Published in: Technology, Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,274
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Modul 3

  1. 1. 4. Rodzaje zabezpieczeń Poprzednie rozdziały ukazywały jakie zagrożenia niosą ze sobą wirusy i spyware a także czym one są i jak funkcjonują. To wszystko po to by je lepiej poznać ponieważ sekretem do zwycięstwa jest dobre poznanie wroga. Znając postępowanie przeciwnika(w tym przypadku wirusa) wiemy jaki ruch wykonać i jesteśmy na wygranej pozycji. Zostanie tu wytłumaczone jak zabezpieczyć się prawie przed każdym wirusem a w razie zarażenia w jaki sposób pozbyć się szkodnika bez konieczności formatowania dysku jak to robi większości użytkowników. Przed zwykłymi wirusami można się chronić stosując antywirusa i firewalla. Jednakże nie zawsze to wystarcza. W takim przypadku należy posłużyć sie Spy botem a jeśli i to nie pomoże to trzeba sięgnąć po większy kaliber czyli zaawansowane oprogramowanie Hijackthis. Dla początkującego użytkownika narzędzie to może sprawiać problemy. Na szczęście z pomocą idzie tu wielu profesjonalistów którzy zawsze służą pomocą na specjalnych forach. Są one całkowicie darmowe a moderatorzy i użytkownicy bardzo mili i pomocni. 4.1. Antywirusy Program antywirusowy to złożona aplikacja komputerowa, która ma na celu wykrywanie, usuwanie oraz zabezpieczanie systemu przed wirusami, robakami internetowymi, koniami trojańskimi, spyware'm i innymi niebezpiecznymi aplikacjami, jak również naprawę zainfekowanych już plików systemowych. Pierwsze wirusy komputerowe jak i zwalczające je antywirusy wyposażone w proste funkcje powstały niemalże tak samo szybko jak same komputery. Ale dopiero po rozpowszechnieniu się internetu, wirusy komputerowe stały się tak uciążliwe, że dotychczasowe programy antywirusowe i inne zabezpieczenia nie potrafiły wykrywać zagrożeń a tym samym zapewnić należytego bezpieczeństwa komputera. Początkowo stosowano w programach antywirusowych prostą analizę statystyczną, jednak wraz z rozwojem komputerów i internetu nastąpił rozwój heurystyki, która jest do dziś obecna
  2. 2. w programach antywirusowych.1 W latach dziewięćdziesiątych, gdy internet nie był jeszcze popularny, aktualizacje bazy wirusów były bardzo rzadko robione. Niestety był to okres zbyt długi, przez co komputery między czasie były narażone na ataki nowo powstałych wirusów. Wszystkie dane przechowywane w tym czasie na dysku twardym mogły zostać zainfekowane przez niebezpieczne robaki internetowe, wirusy, konie trojańskie, spyware i wiele innych niebezpiecznych aplikacji. W dzisiejszych czasach Internet rozpowszechnił się na taką skalę, że każdy użytkownik programu antywirusowego może aktualizować aplikacje nawet codziennie. Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły, skaner badający pliki na żądanie lub co jakiś czas i służący do przeszukiwania zawartości dysku oraz monitor, który bada pliki ciągle w sposób automatyczny i służy do kontroli bieżących operacji komputera. W ostatnich czasach coraz częściej dochodzi do integracji narzędzi służących ochronie komputera. Dawniej był to jedynie skaner, który wyszukiwał wirusy, początkowo na podstawie sygnatur znanych wirusów, a potem także typujący pliki, jako zawierające podejrzany kod za pomocą metod heurystycznych. Obecnie poza skanerem, monitorem oraz modułem do aktualizacji sieciowej pakiet antywirusowy zawiera często także zaporę sieciową moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, a poza wirusami chroni też ogólnie przed tzw. malware, czyli różnego rodzaju szkodliwym oprogramowaniem, oraz chroni prywatności danych użytkownika. Niektóre zawierają też narzędzia ułatwiające administrację większej ilości stanowisk, co bardzo ułatwia przy zarządzaniu lokalnymi sieciami firm i organizacji. 1 http://www.antywirus.net.pl/?go=co_to_jest_antywirus
  3. 3. 4.1.1. Dostępne Antywirusy Avast!4: Rys.4. 1 Avast! 4 Home Edition Źródło: http://www.avast.pl/ Avast!4 jest dobrym antywirusem z często uaktualnianą baza wirusów, co jest niezwykle ważne, ponieważ każdego dnia powstają nowe groźne wirusy. Bez takiej ochrony systemy informatyczne narażone są na zarażenie wirusem. Rys.4. 2 Interfejs Avasta Źródło: Opracowanie własne Ma bardzo ciekawy interfejs, klikając prawym przyciskiem myszki na dowolny obszar konsoli otwiera się menu z opcjami konfiguracji i skanowania. Może skanować dyski twarde, dyski wymienne lub wybrane foldery. Do wyboru są również 3 rodzaje skanu: Quick,
  4. 4. Standard, Thorough z możliwością zaznaczenia czy mają być skanowane też archiwa spakowane. Monitoruje wszystkie procesy i otwarte dokumenty, a dzięki specjalnym modułom, które można konfigurować niezależnie, kontroluje między innymi pocztę, pliki systemowe, programy P2P (peer-to-peer), komunikatory internetowe czy protokoły pocztowe SMTP/POP3/IMAP4/NNTP. Avast ma możliwość integracji z wygaszaczem ekranu. Podczas uruchamiania się wygaszacza odbywa się specjalne skanowanie stanu integralności plików i budowanie bazy danych. Baza ta jest robiona raz na 3 tygodnie będąc bardzo pomocna w naprawie uszkodzonych na skutek infekcji plików. 2 Rys.4. 3 Kwarantanna Avasta Źródło: Opracowanie własne Posiada także Kwarantannę, będącym specjalnym folderem zabezpieczonym przez Avasta magazynującym zarażone pliki. Schowek może przechowywać pliki w 3 grupach: pliki zarażone (pliki zainfekowane lub objęte takim podejrzeniem), pliki użytkownika (pliki 2 http://www.searchengines.pl/lofiversion/index.php/t16112.html
  5. 5. wskazane przez użytkownika) i pliki systemowe (chronione pliki systemowe). Skrzynka Kwarantanny ze względów bezpieczeństwa nie uaktualnia się ani nie synchronizuje. Avast cechuje się wysoką wykrywalnością wirusów, wydajnością, niezawodnością i stabilnością. Dzięki czemu oprogramowanie avast posiada certyfikat ICSA Labs, wielokrotnie zdobywało wiele prestiżowych nagród. Avast!4 jest dostępny w dwóch wersjach Home i Profesiona Edition. Avast!4 Home Edition to w pełni funkcjonalny pakiet antywirusowy przeznaczony tylko dla użytkowników domowych. Jest on całkowicie darmowy, jednak tylko dla użytkowników wykorzystujących komputer domowy w celach niekomercyjnych. Dla firm, instytucji oraz użytkowników używających domowego komputera do prac zarobkowych przeznaczony jest program avast! Professional Edition. Pakiet Home Edition nie może być również używany przez instytucje niekomercyjne. Dla organizacji non-profit (szkolnictwo, służba zdrowia, administracja publiczna, instytucja charytatywne) jest oprogramowanie avast! Professional Edition z bardzo korzystnymi rabatami.3 W obu wersjach monitoruje on wszystkie procesy i otwarte dokumenty. Dzięki specjalnym modułom, które można konfigurować niezależnie, kontroluje między innymi pocztę i pliki systemowe. Avast! Professional Edition wprowadza dodatkowo planowanie i tworzenie własnych zadań za pomocą harmonogramu, przechowywanie wyników skanowania, blokowanie skryptów, skanowanie z poziomu wiersza poleceń. Kolejną przydatną funkcją dostępną tylko w wersji Pro jest aktualizacja wymuszona PUSH, która polega na tym, że na żądanie specjalistów z ALWIL Software zostaje przesłana przez specjalną wiadomość pocztową informacja o aktualizacji. Bardzo dobrym antywirusem jest również Mks_vir jeden z popularniejszych polskich antywirusów. 3 www.avsoft.pl/pl/avast/15.html
  6. 6. Rys.4. 4 Mks_vir Źródło: Opracowanie własne Pierwsza wersja programu ukazała się w 1987 r. od tamtej pory jest on systematycznie ulepszany i poszerzany o nowe bazy wirusów. Wykorzystuje on nowoczesne techniki i rozwiązania stosowane na całym świecie w walce z robakami, trojanami i wirusami komputerowymi. Mks_vir jest dedykowaną aplikacją działającą na platformach Microsoft Windows z serii, 95, 98, ME, 2000, XP, Vista. Składa się z trzech elementów, które wspólnie współpracując, oferują wysoki poziom bezpieczeństwa. Są nimi rezydentny monitor antywirusowy, skaner poczty przychodzącej oraz skaner plików oraz dysków. Mks_vir posiada wbudowany moduł, który pozwala na szybkie aktualizacje baz wirusów. Wersja 2k7 dodatkowo posiada inteligentny Filtr Spamu w pełni współdziałający ze Skanerem Poczty. Zaporę Sieciową wyposażono dodatkowo w IDS, system wykrywania włamań i możliwość szczegółowego ustawiania reguł ruchu sieciowego oraz blokowania stron internetowych. Oprogramowanie MKS jest bardzo znane w Polsce, a także na świecie. Uhonorowano je wieloma nagrodami na łamach najbardziej prestiżowych magazynów komputerowych, takich
  7. 7. jak CHIP, PC WORLD COMPUTER. 4 4.2. Skanery Online Skanery online działają poprzez strony www, i by je uruchomić należy potwierdzić zgodne na ściągnięcie pewnych składników z internetu. Działają one poprzez ActiveX, przez co mogą się uruchomić tylko przez Internet Explorer. Na szczęście są wyjątki skanery takie jak Trend Micro Housecall czy Panda NanoScan działają poprzez Firefoxa. Program ten można uruchomić bez konieczności instalacji w systemie. Skaner online przy każdym uruchomieniu pobiera najnowsze bazy wirusów, dzięki czemu jego skuteczność jest bardzo wysoka. Skanery mogą posiadać różne funkcje, np. skanujące dyski, pocztę, itd. Skanery te nie chronią w żaden sposób komputera przed zagrożeniami płynącymi z korzystania z internetu, tylko umożliwiają odnalezienie i usunięcie wirusów, trojanów, spywaru i innych niebezpiecznych plików znajdujących się na komputerze. Obsługa Skaneru Online przeważnie jest bardzo prosta, dla przeciętnego użytkownika komputera. Na końcu każdego skanowania systemu program wyświetla listę znalezionych, skasowanych lub wyleczonych plików. Istnieje wiele skanerów online przedstawię najpopularniejsze. 4 http://dobreprogramy.pl/index.php?dz=2&id=74&mks_vir+2k7+8.0.0+Build+4054
  8. 8. Rys.4. 5 Trend MICRO HouseCall 6.5 Źródło: Opracowanie własne na podstawie strony http://emea.trendmicro.com/ Trend Micro HouseCall 6.5 oparty na własnej technologii. Jest bardzo dobrym i solidnym skanerem, ale niestety jest bardzo powolny. Ma możliwość szukania spyware / grayware oraz weryfikowania stanu aktualizacji komputera i skan portów. Jego duża zaleta jest także obsługa alternatywnych przeglądarek, co jest rzadko spotykane wśród skanerów online wymagających ActiveX występującym tylko w przegądarce Internet Explorer. Można go, więc uruchomić na Firefox / Mozilli, ale niestety nie na Operze. Skaner Panda ActiveScan oparty o jej maszynę z technologią TruPrevent. Jest to bardzo dobry skaner. Skanuje dyski twarde i wymienne, indywidualne foldery i pliki włącznie z archiwami oraz pocztę. Dostępna jest też opcja heurystyki w poszukiwaniu nieznanych wirusów. Usuwa trojany, wirusy i robaki. Dodatkowo funkcja jest wyszukiwania spyware ale niestety nie może ich usuwać. Arcaonline Jest Polskim skanerem antywirusowym. Skan prowadzony na dyskach twardych i wymiennych włącznie z ręcznym wybieraniem konkretnej lokalizacji. W opcjach ma możliwość ustawienia skanowania plików spakowanych i osadzonych, wybrania poziomu heurystyki oraz zdefiniowanie zachowania skanera w przypadku wykrycia szkodliwych obiektów. Posiada zdolności dezynfekcyjne. By uruchomić skaner należy w Internet Explorer
  9. 9. dodać adres arcaonline do zaufanych Witryn.5 4.2.1. Mini skanery i szczepionki Są to skrócone wersje będące skanerami na żądanie lub służące usuwaniu najpopularniejszych zakażeń. Dzięki temu, że są to wersje zminimalizowane nieingerujące w system, mogą być swobodnie i bez konfliktu uruchamiane przy obecności głównego programu antywirusowego. Duża ich zaletą jest niezależność od przeglądarki tak jak w przypadku skanerów online. Najbardziej popularne mini skanery: ArcaMicroScan jest dyskowym odpowiednikiem Arca Online z tą różnicą, iż nie trzeba go instalować. Umożliwia szybkie i pełne sprawdzenie zasobów komputera i wyleczenie ewentualnych infekcji. Lokalizacje skanu jak w większości skanerów można wybrać ręcznie. W opcjach ma możliwość skonfigurowania skanowania plików skompresowanych i osadzonych, akcji dla wykrytych plików oraz poziomu heurystyki. Moduł Monitor jest zarezerwowane dla komercyjnego wydania ArcaMicroScan Pro. Dostępna też wersja mini Arcaclean do usuwania konkretnych robaków. MicroWorld Free AntiVirus Toolkit Utility (MWAV) to skrócony skaner, umożliwiający wyszukiwanie wirusów, spyware, adware, keyloggerów i innych typów malware. Sporą jego zaletą jest konfigurowalne opcje skanu i tworzenie raportu. Natomiast wadą jest brak możliwości dezynfekcyjnych. Jedyne co jest udostępnione do czyszczenia, to usuwanie robaka Brontok. Przydatną funkcją jest również moduł ViewTCP (Przeglądaj porty) pokazujący aktywność sieciową programów. Posiada możliwość aktualizacji nowych baz wirusów. Kaspersky Virus Removal Tool zarówno wykrywa jak i dezynfekuje. Program jest skanerem na żądanie i jest pozbawiony funkcji ochronnych. Ale jak na darmowy obiekt ma całkiem sporo opcji konfiguracji skanu. Ma też i swoje wady takie jak brak funkcji aktualizowania (paczkę trzeba ściągać i instalować za każdym razem od początku, każde nowe definicje).6 5 http://www.searchengines.pl/lofiversion/index.php/t6694.html 6 http://www.searchengines.pl/index.php?showtopic=18695
  10. 10. 4.3. Firewall Firewall (zapora przeciwogniowa) zabezpiecza sieć i system przed intruzami. Odnosi się to zarówno do sprzętu komputerowego wraz ze oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz. Najważniejszym zadań firewalla jest filtrowanie połączeń wchodzących i wychodzących oraz tym samym blokowanie żądań dostępu uznanych za niebezpieczne. Najczęściej używanymi technikami obrony są: filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych, stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty) oraz zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET). Również ważną funkcją firewalla jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych informacji do dziennika. Dzięki czemu administrator może odpowiednio dokonać zmian konfiguracji. Dobrze skonfigurowana zapora powinien odeprzeć wszelkie znane typy ataków.7 Zapory ogniowe można podzielić na różne typy. Jednym z zapór sieciowych są zapory filtrujące, monitorują one wszystkie przepływające przez nią pakiety sieciowe i przepuszczają tylko zgodne z regułami ustawionymi na danej zaporze. Zwykle w niewielkich sieciach jest zapora sprzętowa bądź dedykowany komputer z systemem operacyjnym Linux. Obecnie najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables. Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada bardzo wymyślne własności i rozbudowany system konfiguracji oraz pełno możliwych do zintegrowania rozwiązań, pozwalających nie tylko na analizę i filtrowanie pakietów IP, ale także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu ISO/OSI a nawet na prowadzenia ochrony antywirusowej. Oprogramowanie komputerów stacjonarnych udostępnia wybrane porty do połączeń "z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera wybranym programom lub usługą. Często zintegrowane z ochroną antywirusową (na przykład Norton Internet Security). Zapory pośredniczące, wykonują połączenia w imieniu użytkownika. Pozwalają na zarządzanie i kontrolę, kto i kiedy oraz w jaki sposób korzysta z usługi FTP.8 Obecnie często firewall jest rozwiązaniem hybrydowym analizującym pakiety od warstwy łącza danych do aplikacji modelu OSI. 7 http://forum.purepc.pl/index.php?showtopic=235710 8 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626
  11. 11. Zapory ogniowe można podzielić również na Hardware’owe i software’owe. Hardware’owe zabezpieczenie, które ma na celu zablokować wszelkie próby ataku z zewnątrz z Internetu i z sieci lokalnej. Zapory hardware'owe wykorzystywany jest głównie na serwerowniach oraz wszędzie tam, gdzie bardzo istotne jest odpowiednie zabezpieczanie danych. Niestety, sprzętowe zapory ogniowe są kosztowne najtańsze kosztują około 300 złotych, sprzedawane są przeważnie, jako integralna część routera. Profesjonalne rozwiązania wiążą się nawet z wydatkiem rzędu kilku tysięcy złotych. Software’owe (programowe), są powszechnie stosowane. Ich skuteczność przy blokowaniu nieautoryzowanego dostępu do domowego komputera jest wystarczająca dla małych firm i zwykłych użytkowników. Dobrą jego cechą jest zamykanie otwartych portów, dzięki czemu spada ryzyko ustawienie na nich trojanów, bądź tez exploitacja. Niewątpliwą 9 zaletą rozwiązań programowych jest również ich niska cena. Dostępne są również wersje darmowe, które nie odbiegają zbytnio jakością firewallom jednakże lepiej używać ich wyłącznie do użytku domowego. 4.3.1. Najczęstsze zagrożenia przed którymi chroni firewall Firewall chroni przed wieloma atakami z zewnątrz. Atak typu pingflood polega na „bombardowaniu” komputera pakietami ICMP o większej niż dozwolona wielkości (tzn. większej niż 65 536 B). Do ich wysyłania wykorzystywany jest program ping. W efekcie zaatakowany komputer (lub serwer) może zostać mocno obciążony lub nawet może samoczynnie uruchomić się ponownie. Skutki ataku typu land mogą być takie same, jak opisanego wyżej pingfloodu. Sam przebieg jest jednak inny. Agresor wysyła sfałszowany pakiet, w którym adres IP komputera- adresata jest taki sam, jak numer IP nadawcy. Zaatakowany komputer próbuje odpowiedzieć na otrzymaną informacje jednak, ponieważ sfałszowano adres nadawcy, łączy się on z samym sobą. Dochodzi w efekcie do zapętlenia czynności odbierania i odpowiadania na żądanie. Innym zagrożeniem jest Smurf Attack charakteryzuje się tym, że do sieci kierowanych jest wiele pakietów protokołu ICMP, których adres zwrotny został zastąpiony adresem rozgłoszeniowym (tzw. broadcast). W wyniku tego wszystkie komputery znajdujące się w 9 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626
  12. 12. danej sieci zaczynają odpowiadać na otrzymaną informację. Atak wpływa na ilość generowanego, niepotrzebnego ruchu. Może doprowadzić do zablokowania serwera. Do zagrożeń również można zakwalifikować skanowanie portów, które często zapowiada kolejne (na przykład próbę zainfekowania komputera koniem trojańskim lub robakiem). Cracker skanuje komputer w celu wykrycia wolnych portów, przez które możliwe będzie „wszczepienie” złośliwego kodu, lub aby zebrać nieco informacji na temat sposobu wykorzystania sieci. 10 4.3.2. Dostępne Firewalle Ashampoo FireWall Rys.4. 6 Ashampoo FireWall Źródło: opracowanie własne 10 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626
  13. 13. Ashampoo Firewall jest bardzo dobrą i znaną zapora ogniową przeznaczona dla systemem Windows XP oraz 2000. Zapewnia ona doskonałą ochronę, monitorując wszystkie procesy zachodzące w sieci. Przed każda próbą połączenia z internetem dla jakiejkolwiek aplikacji użytkownik musi zaakceptować połączenie. Dzięki czemu można monitorować, które aplikacje korzystają z internetu. Sam interfejs jest bardzo przejrzysty, menu jest czytelne z dobrze dobraną grafiką. W każdej z zakładek dostępne są przydatne opcje. Użytkownik może w łatwy sposób zablokować wybraną aplikacje, porty, itd. Dostępne są między innymi statystyki ruchu w sieci oraz szczegółowe logi. Konfiguracja programu jest bardzo prosta niesprawiająca problemu przeciętnemu użytkownikowi. Rys.4. 7 Reguły w Ashampoo FireWall Źródło: Opracowanie własne
  14. 14. Program zawiera zakładkę “Reguły”, w której użytkownik może ustawiać dostęp do Aplikacji. Można ustawić pełny dostęp danej aplikacji lub nawet całkowicie zablokować, dzięki czemu można lepiej chronić komputer. Często Firewall sam pyta użytkownika czy pozwolić działać danej aplikacji. W zakładce Statystyki można sprawdzić, jakie połączenia są dokonywane ile z nich jest dopuszczanych a ile blokowanych przez firewall. Znajdują się tu również informacje o najczęściej dopuszczanych i blokowanych programach. Kolejna zakładka zawiera dziennik informujący o wszystkich próbach łączenia się Internetem. Przedstawia typ połączenia, dokładny czas i date, rodzaj aplikacji próbującej nawiązać połączenie oraz port i adres IP. Ashampoo firewall ma jeszcze wiele innych przydanych opcji takich jak Informacje o aktualnie aktywnych procesach, czy różne ogólne ustawienia zapory ogniowej. Dzięki tym wszystkim zaletą uważam go za najlepszego firewall’a dla zwykłego użytkownika. Inną bardzo dobrą zaporą sieciową jest firewall ZoneAlarm. Jest on jednym z najpopularniejszych programów, służący do zabezpieczenia komputera przed różnego rodzaju atakami, z sieci lokalnej oraz Internetu. Używany jest w komputerach mających dostęp do sieci poprzez modem, DSL, Tl, T2, ISDN, Cable itp. Poprzez ustawiania poziomu zabezpieczenia można zadecydować jak będzie widziany komputer w sieci, jeśli ustawione jest na Wyskoki Poziom Zabezpieczenia komputer nie będzie widoczny w Internecie, dzięki czemu włamanie się cracker'ów do komputera jest prawie niemożliwe. Poziom Zabezpieczeń umożliwia zablokowanie z góry dostępu do komputera bez ustawianie portów i protokołów, co często sprawia duże problemy przeciętnemu użytkownikowi. Przed uruchomieniem każdego programu korzystającego z Internetu firewall zada pytanie, czy dany program może z Internetu korzystać. Aplikacja stale monitoruje zarówno wychodzący jak i przychodzący ruch sieciowy zapisując je do pliku. W przypadku niebezpieczeństwa potrafi blokować intruza. Można określić, które programy mają mieć dostęp do sieci, informuje też o wszelkich próbach dostania się do systemu. Zone Alarm ma możliwość instalacji opcjonalnego toolbaru Spy Blocker w przeglądarce internetowej. Aplikacja posiada automatyczne aktualizacje oraz daje możliwość ochrony poczty e-mail. Posiada on także opcje zamek internetowy służący do blokowania przesyłania danych z lub do komputera. Jeśli pasek pod jest koloru zielonego i ma napis unlocked to znaczy, ze jest udostępniony dostęp do przesyłania i odbierania danych z Internetu na pasku startowym znajduje się ikona z dwoma poprzecznymi paskami. Jeśli zamiast napisu pojawi się czas oznacza to, ze jest włączony Automatyczny Zamek mówi ile czasu zostało do zamknięcia
  15. 15. przesyłu, odbioru danych. Jeśli pasek jest koloru czerwonego oznacza to, ze przesyłanie, odbieranie danych zostało zablokowane w miejscu obok godziny ukazuje się "kłódka" z krzyżykiem. Po raz kolejny, jeśli włączony jest Automatyczny Zamek na czerwonym, pasku zostaje odliczany czas od zamknięcia Zamka. Aby zobaczyć więcej opcji związanych z Zamkiem należy kliknąć na przycisk Zamek pod kłódką. W ten sposób pokazują sie ustawienia zamku internetowego. Tu można ustalić Zamkniecie "kłódki" po określonym czasie. Jeżeli w Opcjach Zamkniecie zaznaczy się „Pass Lock programs may the Internet”. Oznacza to, że programom, którym nadaliśmy stale prawo korzystania z Intemetu po Zaniknięciu "kłódki", ZoneAlarm będzie umożliwiał przesyłanie i odbieranie danych tym programom. Opcja Wysokie Zabezpieczenie blokuje podczas zamknięcia wszystkie aplikacje bez wyjątków. Zone Alarm zawsze pyta czy zezwolić nowym aplikacją na połączenie z Internetem, można zabronić dostępu, zezwolić lub zezwolić na stałe by przy uruchamianiu tej aplikacji nie pokazywało sie już te same okienko z pytanie. Ale jest jeszcze jeden sposób by to zrobić wystarczy wejść w okno Programs. Jest to panel kontrolny programów z listą programów, które już były już kiedyś używane na tym komputerze. Każdemu programowi można nadać z osobna prawa korzystania do odpowiedniej Strefy. Kolumna Pass Lock pozwala zadecydować, która z aplikacji może połączyć się z Internetem nawet, jeśli jest Zamknięta "kłódka". Jest tu także możliwość sprawdzenia informacji o danym programie wystarczy przytrzymać na chwile myszka na danym programie. Zawiera nazwę programu, miejsce pliku na dysku, wersje programu, datę utworzenia pliku i rozmiar pliku. Kolumna Allow Connect pokazuje prawa danego programu do dostępu do Internetu. Zielony ptaszek zezwala aplikacją na korzystanie z danej Strefy bez pytania się ciągłego o zezwolenie. Jeżeli jakiś program ma pozwolenie na Strefę Internetową od razu ten sam program będzie miał zezwolenie w Strefie Lokalnej. Czerwony krzyżyk blokuje dostęp, a dokładniej nie pyta o zezwolenie dostępu danego programu do odpowiedniej Strefy. Znak zapytania oznacza, że za każdym razem jak będziemy uruchamiać ta aplikacje będzie się ona nas pytała o zezwolenie. Można także zobaczyć, jakie aplikacje są uruchomione i jakie w danym czasie pobierają dane przez Sieć. Wystarczy spojrzeć na ikonki powyżej napisu Programs. Jeżeli ikona mruga oznacza to, że przesyła albo odbiera ona dane. Zone Alarm zawiera przycisk stop wciskając go, automatycznie zostaje zatrzymana praca Internetu. Służy to głownie obronie przed końmi trojańskimi i innymi programami mającymi naruszyć prywatność użytkownika. Aby wznowić działanie Internetu wystarczy znów wcisnąć przycisk Stop. Firewall pokazuje informacje o Ip, porcie, godzinie i dacie próby każdego włamania.
  16. 16. Wszystkie próby włamania i inne działania są zapisywane w pliku Zalog.txt 11 Dodatkowo ochrona ZoneAlarm dzieli się na 3 strefy zaufaną (Trusted), internetową i zablokowaną. Zaufana jak wskazuje sama nazwa obejmuje miejsca sieciowe, z których nie należy się spodziewać zagrożenia. Po drugiej (internetowej) można się spodziewać wszystkiego, ale kontaktu z nią nie da się uniknąć. Trzecia (zablokowana) to miejsce o najgorszej reputacji, tu komputer powinien być szczelnie zabezpieczony. Wobec każdej z tych stref stosowana jest zupełnie odmienna polityka ochrony. Rys.4. 8 Strefy w firewallu ZoneAlarm Źródło: Opracowanie własne 11 http://www.my.link.pl/komputer/art.php?id=212
  17. 17. W opcji Firewall w zakładce Zones klikając przycisk Add wybiera się rodzaj elementu, który można dodać. Tu użytkownik może podać konkretne adresy IP komputerów w sieci (IP Address), zakresy adresów (IP Range) albo podsieci (Subnet). Jeśli nie zna się adresu IP serwera www, można wykorzystać opcję (Host/Site) wpisując tam adress serwera, a firewall automatycznie sprawdzi i zapamięta adres IP. Rys.4. 9 Pytanie o zezwolenie połączenia Źródło: Opracowanie własne ZoneAlarm przechwytuje żądania dostępu do Internetu wszelkich aplikacji, a następnie pyta użytkownika czy można danej aplikacji go udzielić. Zgoda bądź odmowa może być udzielona tylko jednorazowo lub na stałe, gdy przed kliknięciem odpowiedzi zostanie zaznaczone pole wyboru opcji Remember this setting. Listę uprawnień dostępu programów i usług można dowolnie modyfikować w zakładce Program Control. Przechodząc do opcji Program Control i klikając Programs otrzymujemy listę programów, które dotychczas próbowały nawiązać kontakt z siecią. Dostępne są również informacje o uprawnieniach, jakie posiadają dane aplikacje kolumna Access dotyczy zezwoleń na dostęp do zasobów sieci, a Server możliwości funkcjonowania jako serwer. W tych kolumnach uprawnienia definiuje się osobno dla strefy Trusted (zaufanej)
  18. 18. i Internet (internetowej). Jeśli chce się zmienić dostęp aplikacji, wystarczy kliknąć ikonę w odpowiedniej kolumnie oraz strefie, oraz wybrać Allow (zezwalaj), Block (zablokuj) lub Ask (zapytaj). Rys.4. 10 Ogólne ustawienia zapory Źródło: Opracowanie własne W Firewallu Zone Alarm jest możliwość ogólnego ustawienia zapory. Najlepiej by w opcjach Firewall na karcie Main suwak ochrony w strefie internetowej był ustawiony na High, a w strefie zaufanej (Trustem) na Medium. Ustawienie Medium najlepiej zaznaczyć też dla opcji Program Control na karcie Main. W oknie Alerts & Logs na karcie Log Viewer można sprawdzić czy zapora ma coś do roboty, zawarte są tam szczegółowy raport z działań ZoneAlarm. 4.4. Programy antyspyware
  19. 19. Spybot - Search & Destroy Rys.4. 11 Spybot - Search & Destroy Źródło: Opracowanie własne. Spybot - Search & Destroy jest najpopularniejszym programem wykrywającym oraz usuwającym z komputera różnego rodzaju spyware, dialerów, keyloggerów itp. Mimo iż nie jest to program antywirusowy, wykrywa on również kilka najpopularniejszych trojanów i keyloggerów. Spyware jest dość nowym rodzajem zagrożeń, którego nie wykrywa jeszcze większość powszechnie stosowanych programów antywirusowych. Jeżeli w przeglądarce Internet Explorer pojawiły się nowe paski narzędzi, które same się zainstalowały, jeżeli przeglądarka się zawiesza lub gdy strona startowa zmieniła się bez wiedzy użytkownika, najprawdopodobniej zadziałał spyware. Bardzo ważne jest, że SpyBot wykrywa również pliki cookies, pochodzące z serwisów reklamowych, zbierających dane o użytkownikach. Spybot - Search & Destroy umożliwia archiwizację dokonanych zmian, jeżeli przez pomyłkę zostanie
  20. 20. usunięty nieodpowiedni komponent. Program wyposażony jest również w zneutralizowanego klienta Cydoor, który zastępuje oryginalny plik, dzięki czemu jego neutralizacja nie powoduje skutku w postaci zablokowania działania programu, który go zawierał. Dużą zaletą jest fakt, że program skanuje pamięć podręczną IE, Netscape'a i Opery.12 Po przeskanowaniu dysków program wyświetla szczegółowe dane na temat wykrytych plików i umożliwia naprawę wykrytych błędów. Narzędzia mają możliwość przeglądania aktualnie pracujących procesów wraz z załadowanymi modułami. Źródło: Opracowanie własne Rys.4. 12 Ochrona komputera Program ten nie tylko wykrywa i usuwa, ale także chroni komputer przed różnymi zagrożeniami. Można go skonfigurować w taki sposób, aby komputer był przez nie skanowany o dogodnej dla użytkownika porze. 12 http://www.pc-max.pl/?load=shownews&pid=277
  21. 21. Rys.4. 13 Pytanie o zmianę w rejestrze Źródło: Opracowanie własne Program ten ma również możliwość blokowania ważniejszych zmian w rejestrze przez różnego typu programy. Użytkownik sam może zdecydować czy zezwolić na zmianę czy odmówić jej. Spybot-S&D jest całkowicie darmowym i bardzo dobrym programem. 4.5 HiJackThis HijackThis jest kolejnym programem który walczy z różnymi rodzajami wirusów, spyware i trojanami. Jest on niezwykle przydatny ponieważ radzi sobie z takimi przypadkami gdzie zwykły antywirus czy spybot nie daje sobie rady. Niestety pokazuje on lokalizacje zarówno dobrych plików jak i szkodliwych wirusów przez co bez odpowiedniego doświadczenia usuwanie szkodników samodzielnie nie jest dobrym rozwiązaniem. Na szczęście istnieje wiele różnych forum gdzie moderatorzy jak i również doświadczeni użytkownicy pomagają w przeanalizowaniu loga i dokładnie tłumaczą jak pozbyć się zagrożeni. Program jest dość przejrzysty i łatwy w obsłudze. Pierwszą opcją jaką mamy do wyboru jest scan wraz z możliwością stworzenie loga w notatniku. Po wybraniu tej opcji system zostaje przeskanowany po czym można usuwać zagrożenia zaznaczając je i wciskając „fix checked”. Natomiast wybierając drugą opcje dokonujemy tylko scanu bez zapisywania loga.
  22. 22. Program posiada również opcje konfiguracji z czterema oknami Main, Ignorelist, Backups i Misc Tools. Rys. 4. 14 HiJackThis Źródło: Opracowanie własne. Zakładka Main powinna wyglądać tak jak podałem na rysunku. Dzięki czemu tworzone są kopie zapasowe w folderze backups wszystkich usuwanych plików. Natomiast w zakładce Ignorelist można dodawać ignorowane wpisy a w Backups można zarządzać kopiami zapasowymi . By odzyskać skasowany wpis należ go zaznaczyć i kliknąć „Restore”. 4.5.1 Budowa Loga. Logo składa się z listy potencjalnych szkodników gdzie każdy ma swój osobny identyfikator. Nie u każdego użytkownika będą występować wszystkie identyfikatory i nie trzeba się tym przejmować. Opis identyfikatorów:
  23. 23. R0, R1, R2, R3 - Strona startowa / wyszukiwarka / proxy IE N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI O1 - Przekierowania w pliku HOSTS O2 - BHO czyli Browser Helper Objects O3 - Paski narzędziowe w IE O4 - Autostart programów z kluczy rejestru lub folderu Startup O5 - Ikona Opcji Internetowych niewidoczna w Panelu sterowania O6 - Opcje Internetowe IE zablokowane przez "Administratora" O7 - Edytor rejestru Regedit zablokowany przez "Administratora" O8 - Dodatkowe opcje w menu prawokliku w IE O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu "Narzędzia" w IE O10 - Integracja obiektów z łańcuchem Winsock O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane O12 - Wtyczki Internet Explorer O13 - Domyślne prefixy IE O14 - Resetuj ustawienia sieci Web O15 - Strony www w "Zaufanych Witrynach" O15 - Zmodyfikowana wartość ProtocolsDefaults O16 - Kontrolki ActiveX O17 - Ustawienia DNS O18 - Extra protokoły i protokoły zmodyfikowane O19 - Arkusz stylów IE O20 - AppInit_DLLs Windows 2000/XP/2003/Vista O20 - Winlogon Notify Windows 2000/XP/2003/Vista O21 - ShellServiceObjectDelayLoad O22 - SharedTaskScheduler O23 - Usługi niestandardowe Windows 2000/XP/2003/Vista

×