|
Odwiedziło Nas |
|
271710 gości
|
|
|
|
Tytuł oryginału: Safe Computing Primer
Dla porządku:
Owszem można rozpowszechniać ten tekst, ale byłoby miło wspomnieć:
Autora: Chris Quirke (
Ten adres email jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
) i
Tłumacza: Romek (
Ten adres email jest ukrywany przed spamerami, włącz obsługę JavaScript w przeglądarce, by go zobaczyć
) jako źródło ;-)
Co zagraża Twojemu komputerowi ?
Jakkolwiek większość ludzi myśli o wirusach to pełny obraz jest trochę szerszy gdyż wirusy nie są jedynym problemem.
KAŻDY kod lub plik spoza systemu jest potencjalnym zagrożeniem:
Wysłany świadomie przez kogoś kto chce zainfekować
Wysłany przypadkowo tj. przez komputer a nie człowieka
Przypuszczalnie bezpieczny, ale jest siedliskiem groźnych zawartości
W założeniu bezpieczny, ale błędy programowania powodują niebezpieczeństwo
W założeniu bezpieczny, ale niekompatybilne z systemem
Podstawowa zasada bezpiecznego komputowania:
"Nic nie może być uruchomione w systemie, chyba ze zadecyduję aby to uruchomić".
Wniosek:
"Oszacuję całą zawartość i zadecyduję czy to uruchomić"
Co się uruchamia ?
W starych czasach tylko "programy" czyli pliki, których nazwa miała rozszerzenie BAT, COM, EXE lub SYS mogły być problemem.
Ale to się zmieniło:
MS Word uruchamia automatycznie makra w szablonach, które przez zmianę rozszerzenia z DOT na DOC udają normalne dokumenty.
MS Word zrobi to samo niezaleznie od rozszerzenia; nawet TXT
Przeglądarki sieci Internet i programy do e-maili mogą uruchomić pliki HTML, które z kolei mogą zawierać uruchamialny kod.
Więc moja rada na teraz jest by traktować *każdy* plik jako problematyczny niezależnie jak się nazywa i jakie ma rozszerzenie. Nawet pliki typu .txt, .rtf i .htm mogą być ryzykowne dzięki "active content" w stronach www, e-mailowi i głupocie Worda gdy chodzi o makra.
Ale nie tylko pliki mogą być uruchamiane; strony www, które odwiedzasz w Internecie mogą zawierać zrobione w złej intencji lub źle działające aktywne procedury. Pozatym niektóre programy e-mailowe mogą być oszukane i uruchamiać kod ukryty w hiperlikach wewnątrz samej wiadomości.
Jak się dostaje do środka ?
Są różne wejścia do systemu:
Start z dyskietki (ustaw w BIOSie kolejność bootowania C: A:)
Uruchomienie albo "otwarcie" plików z dyskietki lub CD
Autostartujące CDeki (wyłącz)
Odwiedziny strony internetowej
Czytanie e-maila niezabezpieczonym programem pocztowym
Uruchomienie lub "otwarcie" plików otrzymanych jako załączniki do e-maila
Uruchomienie programu, który automatycznie instaluje coś z Intrenetu
Bycie on-line podczas gdy ktoś sie włamuje przez Internet
Dopuszczenie dostępu do klawiatury PeCeta przez "data calls" modemu.
Spośród powyższych największa DZIURA to (6), Moja standardowa praktyka zabezpiecza przed (1,3,4,5,9) przez ustawienia systemu i oprogramowania minimalizujące ryzyko - ale (2,6) zależą od użytkownika.
Co to jest "wredne oprogramowanie" ?
Wredne, napisane w złej woli, oprogramowanie są to pliki, kod albo zawartość, które działają w nieoczekiwany lub nieporządany sposób. W tej grupie są "konie trojańskie", wirusy i robaki.
Co to jest wirus ?
Wirus jest to kod, który sam siebie reprodukuje i rozprzestrzenia infekując inne dyski lub pliki. Ponieważ Word dla Windows samoczynnie uruchamia makra to jest możliwe napisanie wirusów, które infekują dokumenty Worda.
Wirusy mogą próbować nie robić krzywdy, ale powodują problemy jako skutek uboczny złego programowania lub niekompatybilności. Z drugiej strony wiele, jeśli nie większość, wirusów przenoszą procedury, które powodują zniszczenie, po przekroczeniu pewnej liczby dni lub zdarzeń, albo pewnego dnia tygodnia, miesiąca lub roku. Przykładem jest orginalny CIH zbierający żniwo 26 kwietnia.
Co to jest robak ?
Robak jest kodem. który sam siebie rozprzestrzenia w sieci, infekując inne systemy. Typowo robi to przez przesłanie samego siebie pod inne adresy np. Melissa albo przez dołaczenie się do wszystkich wiadomości wysyłanych z komputera np. Happy99. Ponieważ robak potrafi się rozsyłać do adresatów wziętych z książki adresowej lub z e-maili, to nie wystarczy że znamy nadawcę wiadomości, żeby zaufać przysyłanym przez niego e-mailom.
Rozróżnienie między robakiem np Happy99 i wirusem np Macro-CAP jest zatarty przez takie wredne rzeczy jak Zipped_Files i Melissa. Przychodzą do nas jako trojany lub wirusy, mogą się rozprzestrzeniać jako wirusy ale wysyłają się bezpośrednio jak robią to robaki.
Co to jest koń Trojanski ?
Koń Trojaśki jest to program lub plik, który wydaje się pożądany, użyteczny lub interesujący, ale jest siedliskiem wrednego kodu. Programy "dowcipy" wysyłane przez e-mail, spiratowane oprogramowanie ściągniete z serwera "warez", a nawet same strony internetowe mogą być trojanami.
W przeciwieństwie do robaków i wirusów trojany nie muszą infekować innych sieci, systemów, dysków lub plików żeby się rozprzestrzeniać.Co to są załączniki ?
Można wysłąć dowolne pliki razem z wiadomościami e-mail jako binarne załączniki.
Te pliki mogą być dowolną rzeczą: trojanem, trojańska stroną www, zainfekowanym dokumentem lub innym plikiem. To jest NAJPOWSZECHNIEJSZA forma rozprzestrzeniania wrednego oprogramowania, i nieświadomi użytkownicy nie tylko padają ofiarami ale powodują problemy przez pozwalanie swoim systemom na rozsyłanie plików do innych użytkowników. Jest tylko kwestią czasu gdy przeczytamy o 'wypadku wściekłości sieciowej' gdy jakiś użytkownik, który odmawia wyczyszczenia swojego systemu zostaje pobity przez kogoś, kto traci dane w wyniku przesyłki od ofiary.
Co to jest aktywna zawarość ?
Aktywna treść to Java, javaScript lub VBScript. Są to języki programowania lub języki skryptowe przesyłane z serwera www do komputera internauty i uruchamiane na tym komputerze bez wiedzy lub zgody użytkownika. To wyraźnie wykracza poza praktykę bezpiecznego używania komputera.
Ponieważ aktywna zawartość może dojść tam gdzie dochodzi HTML i ponieważ wiele programów e-mailowych może wysyłać treść w formacie HTML, więc nawet wiadomość e-mailowa może się stać niebezpieczna.
Co to jest "ładunek" ?
"Ładunek" jest to atak zrobiony przez wredny program! Wchodzi w to:
Prywatność; hasła, numery kart kredytowych itp, wysyłane przez Internet
Podawanie się; wysyłanie wiadomości jakby pochodziły od ciebie
Zniszczenie; usunięcie lub zaśmiecenie twoich danych lub plików systemowych
Zniszczenie sprzętu; takie przeprogramowanie BIOSa, że komputer nie może wystartować
Odmowa pracy; ingerencja w funkcjonowanie systemu
Nota bene, (3) i (4) nie są wcale trywialne. Zepsute dane nie zawsze mogą być odtworzone, niezależnie ile godzin lub pieniędzy na to przeznaczysz. Zepsuty BIOS może wymagać wymiany płyty głównej albo całego komputera - w przypadku rzadkiej marki lub laptopa.
Co jest źle z Microsoft ?
Cześciową przyczyną faktu, że produkty Microsoftu są celem wirusów jest to, że są powszechnie używane oraz, ze są niepopularne wsród niektórych użytkownikow z różnych powodów. Ale dużą częścią problemu jest natura samych produktów Microsoftu.
MS Word jest wielkim edytorem tekstów, ale działa bez pojęcia, nie tylko automatycznie uruchamiając makra (czyli programy) o pewnych nazwach w dowolnym dokumencie, ale robi tak nawet gdy plik ma rozszerzenie nazwy nie przynależne dokumentowi Worda takie jak .txt (zwykły tekst) .rtf (Rich Text Format, który nie powinien zawierać makr) albo .htm (HTML język znakowania stron w sieci). A propos, tylko pliki Worda z rozszerzeniem .DOT - czyli szablony mają prawo zawierać makra. Dokumenty .DOC z założenia nie powinny zawierać makr.
To jest wredne gdyż ludzie używają formatów .txt, .rtf i .htm próbując przesyłać dane w bezpieczny sposób, tak aby dane mogły być odczytane przez dowolny program, w formacie, który z założenia nie może zawierać makr!
MS PowerPoint i Excel także automatycznie uruchamiają makra w plikach
MS Outlook (przezwisko 'Outbreak' czyli po polsku "Wyrodek") ma kilka fatalnych wad:
Outlook Express jest częścią przeglądarki, a więc jest dostępny - może być uruchomiony przez zawartość strony internetowej.
Czyta format HTML i uruchamia "aktywną zawartość" strony .html
Ma słaby punkt "niesprawdzalny bufor". Jest podatny na atak tego typu
Składuje załączniki binarne w skrzynce pocztowej.
Odtwarza i skacze do tych plików gdy pliki są "otwierane"
Może być kontrolowany przez makra Worda a także przez aktywną zawartość.
Punkt (3) jest interesujący. Jeśli ktoś stworzy bardzo długi hiperlink (ten niebieski podkreślony kawałek, którym otwierasz załącznik binarny lub klikasz na stronie by przeskoczyć na inną stronę) i umieści na jego końcu kod binarny, to może spowodować wywalenie się programu lub uruchomienie kodu tak jakby był on fragmentem programu - a kod binarny może zrobić cokolwiek; zainfekować pliki, zaśmiecić dane, cokolwiek oprogramowanie może zrobić.
Większość programów sprawdzi czy te dodatkowe dane (takie jak w linku) nie są zbyt długie aby zmieścić się w buforze zanim te dane do bufora skopiuje. Ale nie MS - nawet NT Server ma sytuacje gdy przepełnienie niesprawdzanego bufora może być wykorzystane (tzw. exploity).
Bezpieczne komputowanie
Jak być bezpiecznym?
1. Wybieraj starannie swoje oprogramowanie.
Jeśli chodzi o e-mail, trzymam się Eudory 3.0 jako, że jest odporna na przepełnienia buforów, nie uruchamia aktywnych treści HTML w poczcie i, co najważniejsze, tworzy osobne pliki z nadchodzących załącznikików już w momencie ściągania poczty.
A to oznacza, że można sprawdzać programem antywirusowym (np F-PROT) tylko jeden folder, typowo "Eudora\Attach" -, w którym te załączniki są zapisywane. Natomiast w programie Outlook trzeba pamiętać żeby NIE kliknąć podwójnie na nazwie załącznika ("O kurde: trafiony-zatopiony jeśli to był wirus albo Trojan). Trzeba natomiast zapisać załącznik jako plik, pamiętać gdzie i pod jaką nazwą się go zapisało, wyjść z Outlooka, przejść do Explorera aby znaleźć plik i sprawdzić plik programem antywirusowym. Niestety ten ciąg czynności trzeba powtarzać przy każdym otrzymanym załączniku.
Można też oczywiście zawierzyć rezydentnemu programowi antywirusowemu.
To także oznacza, że jesli otrzymałeś w poczcie Trojana i chcesz usunąć go z dysku, to możeśz zrobić "Plik/Szukaj " w Explorerze i wszystkie jego egzemplarze znajdziesz. Podczas gdy używasz Outlook, Trojan będzie ukryty w pliku skrzynki pocztowej gdzie "Szukaj" go nie znajdzie. Nie znajdzie go tam także program antywirusowy i stamtąd nie usunie. Jeśli po wejściu w pocztę niechcący klikniesz na załączniku to znów zarazisz komputer. Nawet jśli usuniesz wiadomość ze skrzynki to cały załącznik będzie w "Koszu" dopóki go stamtąd nie usuniesz.
2. Skonfiguruj swój system dla bezpieczeństwa
Ustaw kolejność bootowania C: potem A:
Wyłącz automatyczne uruchamianie programów z CR-ROMu.
Wyłącz albo ostrzegaj o uruchamianiu aktywnej treści w przeglądarce
Użyj fałszywego adresu pocztowego w przeglądarce
Ułatw sprawdzanie wirusów w załącznikach, na dyskietkach i w plikach
Nie używaj znanych-niebezpiecznych programów, np. poczty w przeglądarce
Ustaw zabezpieczenia w niebezpiecznych programach, np w Wordzie i przeglądarce.
Nawet jeśli ktoś ustawił powyższe zabezpieczenia przy instalacji systemu, to przez instalację oprogramowania polecanego przez dostawcę Internetu (ISP) prawdopodobnie złamałeś te zabazpieczenia.
Włączyłeś automatyczny start programu (autorun) z CD-ROMu, nowa przeglądarka ma właściwe ustawienia w programie pocztowym ułatwiając automatyczne rozsyłanie wrednych programów. Pozatym przeglądarka ma prawdoopodobnie ustawione uruchamianie wszystkich rodzajów "aktywnej treści" bez twojej wiedzy i zgody.
Rozważ ponowne włączenie zabezpieczeń przeciw aktywnej treści. W MSIE w menu Tools, Options, zakładka Security, Custom, ustaw wszystkie za wyjątkiem "download" i "drag-n-drop" na Prompt lub Disable. Ustaw także bezpieczniejszy niż Outlook program jako domyślny program pocztowy.
3. Pomyśl zanim klikniesz
_Nawet_nie_myśl_ o otwieraniu załącznika w poczcie dopóki:
jest to poczta od kogoś znajomego _oraz_
w treści wiadomości JASNO nie opisano co to są za załączniki _oraz_
wszystkie pliki sprawdziłeś uaktualnionym skanerem antywirusowym.
"Here are the files you requested" (ang - To są pliki, o które prosiłeś) NIE JEST jasnym opisem załączonych plików. Wiele Trojanów i robaków używa ogólnikowych sformułowań gdy wysyła same siebie pod adresy ukradzione z listy adresowej (np robi tak robak Melissa gdy używasz Outlook97) lub ukradzione z nadchodzącej lub gotowej do wysłania poczty (robi tak trojan/ robak o nazwie Zipped_Files).
Nie przesyłaj załączników dopóki nie trzeba, a jeśli już musisz, to opisz każdy plik w jasny sposób. Nie zakładaj czyjejś ufności gdy wysyłasz mu niezamawianie załączniki, szczególnie gdy chodzi o pliki -dowcipy otrzymane od innego nieznajomego.
Nie pozwól "aktywnej zawartości" strony na uruchomienie się, chyba że ufasz miejscu skąd pochodzi is strona www musi zrobić coś dla ciebie ważnego i przydatnego (np. strona twojego banku lub serwer "sign-up").
Nie otwieraj plików z dyskietki bez uprzedniego sprawdzenia skanerem. Sprawdzanie radziłbym stosować nawet do dysków CD.
Sprawdzaj pod kątem wirusów każdy plik, który ściągnąłeś z sieci.
4. Oceniaj realistycznie możliwości swojego skanera wirusowego
Skaner wirusowy jest taki dobry jak dobra jest jego baza wirusów, dlatego należy uaktualniać tę bazę co najmniej raz w miesiącu. Skaner, który nie umożliwia pobrania z sieci darmowych uaktualnień jest warty tyle ile dysk, na którym jest zapisany.
Wyjątkiem od tej reguły mogą być skanery heurystyczne, które nie polegają tylko na porównaniu kodu wirusa z zapisanymi sygnaturami. Ostrożnie podchodź do ich możlowości i miej zawsze w zapasie zwykły skaner.
Skaner będzie znał wiele wirusów i robaków ale nie może znać każdego trojana i nie wykryje najnowszych robaków i wirusów, które przesyłają się automatycznie z pomocą programów pocztowych.
Dlatego sprawdzaj przed użyciem wszystko co przyszło z zewnątrz. Ale jeśli plik ma podejrzane pochodzenie i nie prosiłeś o niego (patrz "Myśl zanim klikniesz") to w ogóle go nie "otwieraj". W końcu nie czujesz się zobowiązany do czytania każdych śmieci wrzuconych co do skrzynki pocztowej.
Dlaczego miałbyś otwierać każdą paczkę-bombę wrzuconą ci przez okno?
Strona Anty Wirusowa - Zobacz!
|
|
Info od Admina 
