diplomska naloga it varnost in zaščita
DESCRIPTION
My diploma work with official title "Comprehensive IT security and protection for a small business or home working environment" (in English)TRANSCRIPT
ŠOLSKI CENTER KRANJ
VIŠJA STROKOVNA ŠOLA
INFORMATIKA
DIPLOMSKA NALOGA
Kranj, oktober 2015 Tadej Peršič
ŠOLSKI CENTER KRANJ
VIŠJA STROKOVNA ŠOLA
INFORMATIKA
DIPLOMSKA NALOGA
Kranj, oktober 2015 Tadej Peršič
ŠOLSKI CENTER KRANJ
VIŠJA STROKOVNA ŠOLA
INFORMATIKA
Diplomska naloga višjega strokovnega izobraževanja
CELOVITO ZAGOTAVLJANJE
INFORMACIJSKE VARNOSTI
DOMAČEGA OKOLJA ALI
MIKRO PODJETJA
Avtor: Tadej Peršič
Ime podjetja: Tehna d.o.o.
Mentor v podjetju: Žiga Petrič, univ. dipl. inž.
Mentorica v šoli: dr. Marjeta Pučko
Lektorica: Bojana Samarin, prof.
Kranj, oktober 2015
ZAHVALA
Svoji mentorici na šoli dr. Marjeti Pučko se iskreno zahvaljujem za pomoč pri izbiri
primerne teme in naslova za diplomsko nalogo, kasneje pa za mnoge nasvete in
komentarje in vso ostalo strokovno pomoč pri izdelavi diplomske naloge. Brez njene
pomoči bi bila diplomska naloga veliko manj kakovostna.
Prav tako se za priložnost, da sem lahko od blizu in dokaj podrobno spoznal
informacijsko infrakstrukturo v podjetju Tehna, d.o.o., zahvaljujem svojemu somentorju
v podjetju Žigi Petriču.
I
POVZETEK
V diplomski nalogi je obravnavan problem zagotovitve informacijske varnosti za
domače delovno okolje ali majhno (mikro) podjetje. V teoretičnem delu so v prvem delu
opisane tri vrste varnostnih incidentov glede na vzrok in način izgube oziroma zlorabe
podatkov, nato so opisana nekatera pomembna orodja in postopki za varovanje
podatkov, na koncu pa so predstavljeni še glavni varnostni mehanizmi, ki so vgrajeni v
operacijska sistema Windows XP in Windows 7. V praktičnem delu so v prvem delu na
primeru domačega delovnega okolja opisane konkretne varnostne nastavitve za internet
– ki so na voljo skrbnikom sistemov in končnim uporabnikom –, v drugem delu pa so
navedena razna varnostna orodja, specifični programi in postopki, ki zagotavljajo
varnost računalnika in podatkov v delovnem okolju. Osnova za diplomsko nalogo je
avtorjevo poznavanje varnostnih mehanizmov pri operacijskih sistemih Microsoft
Windows, praktične izkušnje v zvezi z varnostnimi uporabniškimi programi in
varnostnimi orodji v domačem delovnem okolju in izkušnje z varnostjo pri
računalniških sistemih nasploh.
Ključne besede: operacijski sistemi Windows, varnost informacijskih sistemov,
varnost in zaščita podatkov, varnostne nastavitve
II
ABSTRACT
In the thesis we presented a problem of providing security for home working
environment or small (micro) company. In the first part of the theoretical part of thesis
we described three types of security incidents in relation to the source of threat and the
cause for data loss, then we listed (with short descriptions) a few of the most important
tools and procedures for keeping data secure, while in the last part we described main
security mechanisms built into operating systems Windows XP and Windows 7. In the
first part of practical part of thesis we presented specific internet related configuration
settings used in our working environment – which are all available to system
administrators and end-users worldwide –, and in the second part we described various
security tools, specific programs and procedures, which provide security and protection
for the working environment. The basis for the thesis is author’s own knowledge about
security mechanisms in case of Microsoft Windows operating systems, his practical
experiences with security end-user programs and tools in home working environment,
and experiences with security in information technology in general.
Keywords: Windows operating systems, information systems security, data security
and protection, security configuration
III
KAZALO VSEBINE
1 UVOD......................................................................................................................11.1 NAMEN DIPLOMSKE NALOGE IN METODE DELA..........................................................11.2 OPIS DELOVNEGA OKOLJA IN PODJETJA........................................................................21.3 ZASTAVLJENA HIPOTEZA....................................................................................................3
2 TEORETIČNE OSNOVE O VARNOSTI...........................................................42.1 VZROKI ZA IZGUBO IN ZLORABO PODATKOV...............................................................4
2.1.1 Izguba zaradi samega uporabnika.....................................................................................42.1.2 Izguba zaradi nezanesljivosti tehnologije.........................................................................52.1.3 Izguba ali zloraba zaradi tretje osebe................................................................................52.1.4 Statistika napadov v letu 2014..........................................................................................5
2.2 VARNOSTNA ORODJA IN STORITVE.................................................................................82.2.1 Antivirusni programi.........................................................................................................82.2.2 Požarni zidovi...................................................................................................................92.2.3 Storitev Dropbox...............................................................................................................92.2.4 Storitev OpenDNS..........................................................................................................10
2.3 GLAVNE DOBRE VARNOSTNE PRAKSE..........................................................................122.3.1 Izdelava varnostnih kopij podatkov................................................................................122.3.2 Uporaba varnih uporabniških gesel................................................................................122.3.3 Celovito zavarovani Windows XP..................................................................................142.3.4 Licenčna in odprtokodna programska oprema................................................................152.3.5 Pomembnost administriranja..........................................................................................16
3 VARNOSTNI MEHANIZMI PRI WINDOWS................................................173.1 VARNOSTNI MEHANIZMI PRI WINDOWS XP.................................................................17
3.1.1 Varnostni mehanizem DEP.............................................................................................173.1.2 Funkcije datotečnega sistema NTFS...............................................................................173.1.3 Windows sistemski servisi..............................................................................................173.1.4 Varnostna komponenta Windows Firewall.....................................................................183.1.5 Varnostna komponenta Microsoft Security Essentials...................................................193.1.6 Nastavitve za internet pod Internet Options....................................................................19
3.2 VARNOSTNI MEHANIZMI PRI WINDOWS 7....................................................................213.2.1 Varnostni mehanizem ASLR..........................................................................................213.2.2 Varnostni mehanizem UAC............................................................................................213.2.3 Varnostna komponenta Windows Firewall.....................................................................223.2.4 Varnostna komponenta Action Center............................................................................233.2.5 Varnostna komponenta Windows Defender...................................................................233.2.6 Varnostna funkcija Windows Update.............................................................................24
4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA.............................................254.1 KREIRANJE IN KONFIGURACIJA OMREŽJA...................................................................25
4.1.1 WI-Fi omrežje in storitev OpenDNS..............................................................................274.1.2 LAN omrežje in storitev OpenDNS................................................................................28
4.2 CELOVITA ZAŠČITA PREK SISTEMA DNS......................................................................294.2.1 Program DNSKong.........................................................................................................294.2.2 LAN omrežje in program DNSKong..............................................................................304.2.3 Več-nivojska zaščita DNS sistema.................................................................................314.2.4 Storitev OpenDNS v praksi............................................................................................33
4.3 ANTIVIRUSNI PROGRAM IN POŽARNI ZID....................................................................364.3.1 Program Avast Antivirus 2015.......................................................................................364.3.2 Požarni zid pri Windows XP SP3...................................................................................38
4.4 PROGRAMI ZA VARNOST NA INTERNETU.....................................................................394.4.1 Program K9.....................................................................................................................394.4.2 Program Proxomitron......................................................................................................39
IV
4.4.3 Program SpywareBlaster................................................................................................414.4.4 Program Spybot - S & D.................................................................................................41
4.5 DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI...........................................................424.5.1 Program xp-AntiSpy.......................................................................................................424.5.2 Program BugOff..............................................................................................................424.5.3 Program Clamwin Antivirus...........................................................................................434.5.4 Program Bitdefender Adware Removal..........................................................................434.5.5 Program PsExec..............................................................................................................444.5.6 Programa Cryptainer in fSekrit.......................................................................................464.5.7 Programi NoShare. SocketLock, SockLock. HijackThis................................................46
4.6 PROGRAMI ZA NADZOR NAD RAČUNALNIKOM..........................................................474.6.1 Program HWMonitor......................................................................................................474.6.2 Program Process Explorer...............................................................................................484.6.3 Program TCPView..........................................................................................................504.6.4 Program AutoRuns..........................................................................................................524.6.5 Programa FileMon in RegMon.......................................................................................53
4.7 VARNOSTNO KOPIRANJE PODATKOV............................................................................554.7.1 Kopiranje na drugi disk...................................................................................................554.7.2 Kopiranje na Dropbox.....................................................................................................564.7.3 Avtomatizacija z orodjem TaskScheduler......................................................................56
5 ZAKLJUČEK.......................................................................................................58
6 LITERATURA.......................................................................................................59
V
Kazalo slik
Slika 1: Windows XP, Windows Firewall, opozorilno okno..........................................18
Slika 2: Windows 7, Windows Firewall, opozorilno okno.............................................22
Slika 3: Program Tenda Configuration Utility, Network Status.....................................26
Slika 4: LAN, Wi-Fi in WAN nastavitve na usmerjevalniku..........................................27
Slika 5: Wi-Fi Properties, DNS servers, OpenDNS........................................................28
Slika 6: LAN Properties, DNS servers, DNSKong in OpenDNS...................................31
Slika 7: CIP, urejevalnik datoteke hosts..........................................................................32
Slika 8: OpenDNS, blokirane domene v 1 dnevu............................................................34
Slika 9: Firefox, opozorilo za z OpenDNS blokirano domeno.......................................34
Slika 10: OpenDNS, Web content filtering.....................................................................35
Slika 11: Avast Antivirus 2015, upor. vmesnik, virusni zabojnik...................................38
Slika 12: Program Mozilla Firefox, proxy nastavitve.....................................................40
Slika 13: Program xp-AntiSpy, uporabniški vmesnik, nastavitve...................................42
Slika 14: Program BugOff, uporabniški vmesnik, nastavitve.........................................43
Slika 15: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)........................44
Slika 16: Program HWMonitor, uporabniški vmesnik....................................................47
Slika 17: Program Process Explorer, uporab. vmesnik, glavno okno.............................48
Slika 18: Program Process Explorer, proces firefox.exe, Performance..........................49
Slika 19: Program TCPView, uporab. vmesnik, protokol TCP......................................51
Slika 20: Program AutoRuns, uporab. vmesnik, zavihek Everything.............................52
Slika 21: Program FileMon, uporabniški vmesnik..........................................................53
Slika 22: Program RegMon, uporabniški vmesnik..........................................................54
Slika 23: Task Scheduler, skripta Backup_n1.bat...........................................................57
Kazalo tabel
Tabela 1: Statistika napadov glede na državo....6Tabela 2: Statistika vseh napadov glede
na programsko opremo......................................................................................................7
VI
UPORABLJENE KRATICE IN SIMBOLI
Simbol/kratica Razlaga pomena simbola/kratice
HSPA High Speed Packet Access – termin za protokola mobilne telefonije
RAM Random Access Memory
IP Internet Protocol
DNS Domain Name System
DNS cache DNS predpomnilnik – pomnilniški sistem, kjer se hranijo v IP naslove
pretvorjeni spletni naslovi
DHCP Dynamic Host Configuration Protocol
Ribarjenje Poskus pridobitve osebnih podatkov za njihovo zlorabo
DEP Data Execution Prevention – varnostni mehanizem, ki varuje računalnik
pred napadi na izvršljiva področja fizičniega predpomnilnika
NTFS New Technology File System – privzeti datotečni sistem družine
operacijskih sistemov Windows NT
ASLR Address space layout randomization – varnostni mehanizem pri
Windows 7 in Windows 8
UAC User Account Control – varnostni mehanizem, ki skrbi za varnost pri
zaganjanju programov in spreminjanju sistemskih nastavitev
LAN Local Area Network – lokalno omrežje
Wi-Fi Wireless Local Area Network – brezžično lokalno omrežje
SSID Wireless Network Name – ime lokalnega omrežja
Network Key Geslo omrežja – varnostno geslo, potrebno za uporabo omrežja
UMTS Universal Mobile Telecommunications System
RAMDisk Del spomina RAM, ki se obnaša kot pogon na trdem disku
Spam e-pošta Vsiljena oziroma nezaželjena elektronska pošta
CPU Central Processing Unit – centralna procesna enota, ki skrbi za
izračunavanje in procesiranje podatkov
VII
1 UVOD
V današnjem času so računalniki – oziroma širše, informacijska tehnologija – postali
nepogrešljiv sestavni del naših življenj. Brez njih si dela in izkoriščanja prostega časa
skoraj ne moremo več predstavljati. Računalnike uporabljamo za komunikacijo, pisanje
besedil, izdelavo prezentacij, v prostem času na njih igramo računalniške igrice in tako
dalje. V povezavi z njimi pa je prav tako nepogrešljiv postal tudi internet; uporabljamo ga
za iskanje informacij, spremljanje novic, spletne nakupe, spletno bančništvo, socialna
omrežja, pošiljanje in prejemanje elektronske pošte, klepet z osebami na drugih koncih
sveta prek avdio in video povezave in tako dalje. Ker pa pri uporabi računalnika za kateri
koli namen že, obstajajo varnostna tveganja, je izjemno pomembno, da je vsak
informacijski sistem pravilno zaščiten. Glede varnosti pri informacijski tehnologiji
obstajajo mnogi postopki oziroma metode v smislu preventive, s katerimi lahko
preprečimo okužbo enega ali več računalnikov.
1.1NAMEN DIPLOMSKE NALOGE IN METODE DELA
Namen diplomske naloge je bil opredeliti pomembnost varnega informacijskega sistema,
opredeliti glavne grožnje za varnost informacijskih sistemov, navesti najbolj pogoste vrste
varnostnih incidentov, cilj diplomske naloge pa je bil prek obravnavanega problema
zagotovitve celovite informacijske varnosti za domače delovno okolje cpodrobno opisati
mehanizme, ki zagotavljajo varnost in zaščito in so vgrajeni v Microsoft Windows in
predstaviti nabor konkretnih praktičnih rešitev (varnostna orodja, postopki in dobre prakse)
za varno delo v domačem delovnem okolju ali mikro podjetju.
Metoda dela za dosego zastavljenega cilja diplomske naloge je bila opisovanje konkretnih
varnostnih orodij, postopkov, storitev in dobrih varnostnih praks, povezanih z varnostjo
informacijskega sistema, kot tudi v povezavi s tem podroben opis nastavitev operacijskega
sistema in varnostnih uporabniških programov (in opredelitev pomembnosti varnostnih
groženj za nezavarovan informacijski sistem), druga metoda za dosego ciljev pa je bila
uporaba izsledkov raziskovanja (prebiranje literature na svetovnem spletu), v manjši meri
pa tudi testiranje na domačem delovnem informacijskem sistemu. V diplomski nalogi se je
avtor v veliki meri naslanjal na svoje dosedanje izkušnje z varnostjo pri informatiki.
1
1.2OPIS DELOVNEGA OKOLJA IN PODJETJA
Domače delovno okolje, katerega smo opisovali v diplomski nalogi, je informacijski
sistem, ki ga sestavljajo naprave na dveh ločenih lokacijah. Čeprav gre torej za dva fizično
ločena informacijska sistema, ju bom v diplomski nalogi obravnaval kot informacijski
sistem iz dveh sestavnih delov, ki tvorita eno delovno okolje. Na eni lokaciji se nahajajo
namizni računalnik z operacijskim sistemom Windows XP, ki se na internet povezuje prek
usmerjevalnika in kabelskega modema (ponudnik storitev je Telemach), tiskalnik in
skener, na drugi lokaciji pa namizni računalnik, ki ima prav tako instaliran operacijski
sistem Windows XP, na internet pa se povezuje prek HSPA USB modema (ponudnik
storitev je Si.mobil). Del informacijskega sistema je tudi notesnik, ki ima nameščen
operacijski sistem Windows 7, za povezavo v internet pa uporablja – ko se povezuje prek
usmerjevalnika v lokalnem Wi-Fi omrežju na eni od lokacij oziroma prek javnih
zastonjskih Wi-Fi točk (angl. public access point) – namensko USB Wi-Fi mrežno kartico.
Tehna podjetje za marketing in inženiring, d.o.o., je podjetje, ki je specializirano za
svetovanje in izvedbo rešitev za avtomatizacijo strojev in naprav. Od leta 1990 ponuja
slovenskemu trgu opremo, s katero dviguje raven industrijske avtomatizacije. Podjetje je
pooblaščeni predstavnik in distributer vodilnega proizvajalca opreme za avtomatizacijo
Rockwell Automation. Dejavnosti podjetja se delijo na prodajo, svetovanje in izvedbo
rešitev za avtomatizacijo strojev in naprav in vključujejo:
– Dobavo aparaturne in programske opreme in rezervnih delov
– Servis za izdelke zastopanih podjetij
– Tehnično podporo uporabnikom in šolanje sistemskih integratorjev
– Izračun in simulacija pogonov in pogonskih komponent
– Izdelava programov za krmilnike in vizualizacijo
– Analiza in optimizacija delovanja servo pogonskih sklopov strojev in naprav
Infrastruktura informacijskega sistema v podjetju Tehna, d.o.o., se močno razlikuje od
informacijskega sistema v našem domačem delovnem okolju (zlasti zaradi računalnika, ki
ima inštaliran Windows operacijski sistem za stežnike in s tem možnost uporabe
domenskih računov in ostalega), kljub temu pa je njihov sistem razmeroma preprost.
2
Glavni strežniški računalnik teče na strežniškem operacijskem sistemu Windows 2008 R2
Small Business Server Edition, njegovi funkciji pa sta nudenje in upravljanje z
domenskimi računi za zaposlene (domenski računi so zaščiteni s standardnimi dvojicami:
uporabniško/geslo) in upravljanje DNS sistema. Podjetje za uporabnike iz domene
uporablja deljeni disk strežniku, prek njega pa deluje Microsoft Exchange 2010 za OWA
(storitev, ki nudi dostop do Exchange) s privatnim certifikatom za dostop od zunaj. Za
povezavo v internet v podjetju uporabljajo Wi-Fi usmerjevalnik (dostop z WEP ključem),
ki ima DHCP in požarni zid, ki deluje na usmerjevalniku. Dostop je ločen za zaposlene in
goste. V podjetju uporabljajo »storitev v oblaku« Vembu StoreGrid, ki jo uporabljajo za
varnostno kopiranje podatkov »v oblak« (storitev v oblaku - posebna vrsta storitve (angl.
angl. cloud service), pri kateri se obdelava in shranjevanje podatkov ne izvaja na lokalnem
računalniku, na oddaljenih informacijskih sistemih (stežnikih); dostop do podatkov
shranjenih »v oblaku« je možen prek interneta). Spletni strežnik za njihovo spletno stran in
strežnik za elektronsko pošto imajo pri ponudniku storitev Amis. V osnovi veljajo torej
zelo podobne zahteve in ukrepi za zagotavljanje osnovne informacijske varnosti.
1.3ZASTAVLJENA HIPOTEZA
Glede na tematsko področje in zastavljene cilje diplomske naloge sem postavil naslednjo
hipotezo: »Ne glede na stopnjo računalniškega znanja končnega uporabnika lahko z dobro
zavarovanim informacijskim sistemom zelo zmanjšamo možnost za okužbo računalnikov,
izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov in ostalih varnostnih
incidentov.«
3
2 TEORETIČNE OSNOVE O VARNOSTI
2.1VZROKI ZA IZGUBO IN ZLORABO PODATKOV
Ena od glavnih funkcij računalniških sistemov je obdelava podatkov, zato so pri
informacijski tehnologiji podatki bistvenega pomena, njihova varnost pa je ključnega
pomena. Zato učinkoviti načini za varovanje oziroma zaščito podatkov zavzemajo
pomemben del v svetu računalništva. Vzrokov zakaj in načinov kako, pride do izgube ali
zlorabe podatkov, je veliko, saj je vsak primer zase specifičen. Bi pa lahko te varnostne
incidente smiselno razdeliti glede na vzrok in izvor grožnje (oziroma povzročitelja) in
glede na način, kako je do izgube oziroma zlorabe prišlo.
2.1.1 Izguba zaradi samega uporabnika
Sem spadata izguba in zloraba podatkov, za kateri je kriv izključno uporabnik sam. Ti
varnostni incidenti so večinoma posledica raznih nesreč pri ravnanju s podatki in pri tej
vrsti izgube podatkov gre za nenamerne izgube, ki so posledica človeških napak pri
ravnanju s podatki. Sem sodijo različne nesreče, kot so na primer nenamerno brisanje ali
prepis podatkov, napačna hramba in podobno. Najbolj pogost primer izbrisanja podatkov
je nenamerni izbris datoteke ali mape. Do nenamernega prepisa podatkov pride na primer,
ko ima uporabnik v urejevalniku besedila odprto datoteko, nato naredi neki popravek
(recimo izbriše nekaj odstavkov) in nato program datoteko shrani in zapre program, s
čimer ni več mogoče razveljaviti zadnjih sprememb, ker je bila s shranjevanjem
onemogočena Undo opcija. Undo je sicer koristna funkcija urejevalnikov besedil in drugih
programov, ki omogoča razveljavitev neke spremembe (na primer ali izbirs nove besede ali
odstavka, razveljavitev dodanega ali zbrisanega zaznamka v spletnem brskalniku Firefox
in tako dalje.
Do podobnega primera lahko pride tudi pri deljenju datotek, ko imata isto datoteko hkrati
odprto dva uporabnika, in ko jo eden od njiju shrani in zapre, lahko s tem uniči vse, kar je
vanjo pred tem napisal drug uporabnik. Na srečo obstajajo pri teh storitvah varnostne
funkcije (na primer zaklenitev datoteke, ki je trenutno odprta), ki lahko to preprečijo. Do
nenamerne izgube podatkov pride tudi v primerih, ko uporabnik datoteke ne shranjuje
4
sproti. Vedno lahko namreč pride do sesutja programa, pri čemer bo izgubljeno vse delo, ki
je bilo opravljeno od zadnje shranitve dokumenta.
2.1.2 Izguba zaradi nezanesljivosti tehnologije
Pri tej vrsti izgube podatkov, ki je – enako kot prva – tudi nenamerna izguba, krivec za
izgubo podatkov ni uporabnik sam, niti ni to nekdo tretji, ampak je vzrok za izgubo strojna
oprema. Sem spadajo izgube podatkov, ki so posledica odpovedi posameznih računalniških
komponent informacijskega sistema; v veliki večini gre za okvaro strojne opreme,
namenjene hranjenju podatkov. Najbolj pogost primer, ki spada v to kategorijo je odpoved
trdega diska, namenjenega za operacijski sistem in/ali shranjevanje podatkov.
2.1.3 Izguba ali zloraba zaradi tretje osebe
V to skupino spadajo vsi načini izgube podatkov, kjer je krivec za izgubo ali zlorabo
podatkov nekdo tretji. Pri tej skupini gre za namerne zlorabe podatkov oziroma
povzročitve izgub podatkov, kjer neka tretja oseba – na primer nekdo, ki vdre v
uporabnikov poštni račun ali pisec virusa – to namerno povzroči. V to vrsto torej spadajo
zlorabe podatkov zaradi nepooblaščenega dostopa do njih kot tudi okužbe z zlonamernimi
programi. Same okužbe pa so velikokrat posledica naivnosti uporabnika pri uporabi spleta
in elektronske pošte. Na srečo se da te dogodke preprečiti s poučevanjem končnih
uporabnikov o dobrih praksah varnosti na spletu kot tudi z uporabo varnostnih orodij in
tehnologij, kot so na primer antivirusni program, šifriranje komunikacije po internetu,
šifriranje samih podatkov in tako dalje.
2.1.4 Statistika napadov v letu 2014
Pri statistiki napadov v letu 2014 smo se omejili na statistiko ogroženosti glede na državo
in ogroženost produktov oziroma programske opreme.
5
Tabela 1: Statistika napadov glede na državo
DRŽAVA ŠTEVILO NAPADENIH UPORABNIKOV
1 Brazilija 299830
2 Rusija 251917
3 Nemčija 155773
4 Indija 98344
5 ZDA 92224
6 Italija 88756
7 Velika Britanija 54618
8 Vietnam 50040
9 Avstrija 44445
10 Alžirija 33640
Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-security-
bulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)
V zgoraj prikazani tabeli s statistiko napadov za leto 2014 glede na državo ne gre za
proporcionalen prikaz števila vseh napadov; treba je upoštevati število prebivalcev teh
držav v primerjavi z državami z veliko manjšim številom prebivalcev, ki zato v to tabelo
niso prišle. Zanimiv je podatek, ki ga je objavil Kaspersky Lab; in sicer naj bi 44 % vseh
spletnih napadov imelo svoj izvor v Združenih državah Amerike in v Nemčiji.
(https://www.youtube.com/watch?v=u4TNc2gnVmc)
Zlonamerne osebe so v letu 2014 najbolj pogosto izkoriščale ranljivosti v programski
opremi podjetja Oracle, točneje, njihovo programsko opremo Java. Naslednji najbolj
ranljivi programi so bili iz kategorije spletnih brskalnikov (Internet Explorer, Google
Chrome, Mozilla Firefox in tako dalje). Na tretjem mestu je bil program Adobe Reader
(zlonamerneži so izkoriščali ranljivosti t. .i »drive-by attacks« prek interneta in ranljivosti
formata PDF). Na predzadnjem mestu se je znašel vtičnik Flash Player podjetja Adobe
(angl. Add-on ali Extension; vitčnik je poljubni vstavek ali razširitev osnovne
funkcionalnosti programa, ki uporabniku nudi neko novo funkcionalnost), na zadnjem – s
6
samo enim odstotkom od vseh napadov – pa so bili programi, ki so del Microsoftovega
paketa programov Microsoft Office.
Tabela 2: Statistika vseh napadov glede na programsko opremo
PRODUKT
Oracle
Java
Spletni
brskalniki
Adobe
Reader AndroidOS
Adobe
Flash
Player
Microsoft
Office
ODSTOTKI 45% 42% 5% 4% 3% 1%
Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-security-
bulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)
Zgoraj je prikazana tabela s statistiko napadov za leto 2014, podatki pa so rezultat raziskav
– okužb, zaznanih in preprečenih z uporabo njihovih varnostnih rešitev – podjetja
Kaspersky Lab. Kot lahko vidimo v tabeli, okužbe prek uporabe spletnih brskalnikov
predstavljajo skoraj polovico vseh okužb, zato je treba njihovi varnosti (redno
posodabljanje brskalnika in vtičnikov) posvetiti dovolj pozornosti.
Kot zanimivost bi bilo vredno omeniti še to, da je (glede na podatke, dostopne v članku s
statistiko napadov) prav v letu 2014 Slovenija – poleg Malte in Slovaške – izpadla z liste
10 najbolj varnih držav. Te tri države (torej Malta, Slovenija in Slovaška), ki so izpadle, so
zamenjale otoška državica Martinique, otoška mestna država Singapur in Švedska. To
vseeno pomeni, da je informacijska varnost pri nas v Sloveniji na dokaj visokem nivoju.
7
2.2VARNOSTNA ORODJA IN STORITVE
2.2.1 Antivirusni programi
Antivirusni program je programska oprema, ki se uporablja za preprečevanje okužb z
zlonamerno programsko opremo, kot tudi za odkrivanje in odstranjevanje že prisotne
zlonamerne programske opreme. Primeri zlonamerne programske opreme so računalniški
virusi, črvi in trojanski konji. Večina anti virusnih programov omogoča detekcijo in
odstranjevanje tudi drugih vrst zlonamerne programske opreme; to so na primer
oglaševalski programi, vohunski programi, t. i. »rootkiti« in tako dalje. Antivirusni
programi pri svojem delovanju uporabljajo različne strategije za detekcijo in
odstranjevanje zlonamerne programske opreme. Strategija zaznavanja virusov, ki temelji
na t. i. antivirusnih podpisih, se poslužuje iskanja znanih vzorcev zlonamerne kode v
izvršljivih datotekah, vendar pa ima ta strategija slabosti, ker antivirusni program ne more
zaznati zlonamernega programa, če je uporabnikov računalnik okužen z neko novo vrsto
kode, za katero tak podpis še ne obstaja.
Pri antivirusnih programih poznamo namensko skeniranje računalnika, ki pregleda trdi
disk in RAM na ukaz uporabnika, za preprečavanje okužb pa je ključnega pomena
skeniranje oziroma zaščita v realnem času, ki pregleduje zaganjanje programov in
odpiranje oziroma nalaganje datotek v istem trenutku oziroma prej, preden se program
zažene oziroma preden program datoteko odpre. Uporaba zaščite v realnem času ima to
slabost, da lahko upočasni delovanje računalnika. Prav tako imajo – podobno kot v primeru
bolj naprednih požarnih zidov – neizkušeni uporabniki težave, ko se morajo odločiti, kako
se odzvati na opozorilna okna, ki jih v primeru detekcije zlonamerne programske opreme
prikaže antivirusni program; napačna odločitev namreč lahko pripelje do okužbe
računalnika. Še en problem z antivirusnimi programi pa je zaznavanje programov kot
zlonamernih, ki to niso. V takih primerih lahko antivirusni program izbriše legalni program
ali dokument. Vseeno pa je v smislu preventive uporaba antivirusnega programa močno
priporočljiva, še posebej za manj vešče uporabnike. Pri uporabi antivirusnih programov pa
je bistveno to, da uporabnik čim bolj pogosto posodablja bazo virusnih definicij
(podpisov); še najbolje, da je program nastavljen tako, da sam vsakodnevno preverja, če je
na voljo nova različica podpisov in/ali nova različica samega programa.
8
2.2.2 Požarni zidovi
Požarni zid je varnostna komponenta, ki nadzoruje promet v omrežju in ga glede na
nastavitve omejuje, s tem pa varuje računalnik (oziroma lokalno omrežje) pred
nepooblaščenim dostopom do podatkov in pred neavtoriziranim odtokom podatkov.
Požarni zid pregleda vsak paket podatkov in blokira prehod tistim, ki ne zadostijo
kriterijem. Požarni zid torej deluje kot filter pretoka podatkov; preverja vse podatke, ki
prihajajo iz interneta v lokalno omrežje, in vse podatke, ki iz lokalnega omrežja odhajajo v
internet. Glede na nastavitve požarni zid določen prenos podatkov dovoli, ali pa ga ne
dovoli. Požarni zidovi lahko tudi zamaskirajo identiteto računalnika, da zlonamerni
računalniški programi, ki želijo raziskati ali pregledati neki računalnik, ne morejo pridobiti
potrebnih informacij, s katerimi bi lahko ta računalnik identificirali in napadli. Strojni
požarni zidovi so precej hitrejši v samem delovanju in tako omogočajo večjo prepustnost
prometa, so pa namenski strojni požarni zidovi običajno precej dragi in so zato bolj
primerni za podjetja in ustanove z več računalniki (sta pa v informacijskem sistemu lahko
v uporabi obe vrsti požarnega zidu), prednost programskih požarnih zidov pa je predvsem
v njihovi enostavnejši uporabi. Mnogo programskih požarnih zidov za domačo uporabo je
na voljo tudi v brezplačnih različicah, v veliko primerih pa so celo enako zmogljivi in
zanesljivi kot plačljivi. Nekaj primerov programskih požarnih zidov: Zone Alarm, Kerio
Firewall, Outpost Firewall in Comodo Firewall.
2.2.3 Storitev Dropbox
Dropbox je storitev, ki registriranim uporabnikom nudi varno shranjevanje in deljenje
datotek »v oblaku«, prav tako pa omogoča sinhronizacijo datotek na lokalnem računalniku
z njihovimi strežniki. Dropbox te storitve nudi tako, da Dropbox program pri inštalaciji na
uporabnikovem računalniku ustvari posebno mapo z imenom »My Dropbox«, običajno
pod %userprofile%\My Documents\. To mapo nato Dropbox program uporablja za
sinhroniziranje podatkov s svojimi datotečnimi strežniki. To pomeni, da bo za uporabnika
vsebina te mape vedno enaka, ne glede na to, na katerem računalniku bo dostopal do nje.
Datoteke v tej mapi so torej na lokalnem disku enake kot tiste na Dropbox strežniku,
dostopne pa so tudi prek mobilnih aplikacij in prek spletnega brskalnika na spletni strani
Dropbox. Dropbox v brezplačni različici (Dropbox Basic) uporabnikom nudi 2 GB
9
prostora na svojih strežnikih, v plačljivi različici pa kar 1000 GB (1 TB). Uporabniki
brezplačne različice pa lahko na različne načine (na primer na Dropbox napotijo novega
uporabnika ali začnejo Dropboxu slediti na socialnih omrežjih) pridobijo dodatni
razpoložljivi prostor. (https://en.wikipedia.org/wiki/Dropbox_(service))
Zelo pomembna je varnostna storitev hranjenja podatkov na Dropbox strežnikih za primere
izbrisa datotek. Ko uporabnik izbriše datoteko iz mape »My Dropbox« na svojem
računalniku, ta datoteka ni več vidna v upravljavcu datotek in je odstranjena iz lokalnega
diska. A datoteka dejansko še ni trajno izbrisana; Dropbox program jo je le uvrstil na listo
datotek, ki čakajo na trajni izbris. Ta mehanizem omogoča uporabniku, da izbrisano
datoteko (ali več datotek) pridobi nazaj, prav tako pa omogoča funkcijo zgodovine različic
datotek(e). Za uporabnike osnovne brezplačne storitve Dropbox se varnostne kopije
izbrisanih in/ali spremenjenih datotek na Dropbox strežnikih hranijo 30 dni.
(https://www.dropbox.com/help/115?path=space_and_storage) Za uporabnike osnovne brezplačne
storitve se izbrisane in spremenjene datoteke na Dropbox strežnikih hranijo 30 dni. Še
vedno pa za podjetja in korporacije v praksi velja (oziroma bi moralo veljati) pravilo, da za
ključne poslovne podatke z visoko stopnjo zaupnosti zagotovijo tudi fizične kopije, ki se
hranijo v bančnem sefu.
2.2.4 Storitev OpenDNS
OpenDNS je varnostna storitev, ki razširja DNS sistem z dodatkom raznih varnostnih
funkcij. OpenDNS za DNS storitve uporabnikom ponuja svoje DNS strežnike. IP naslova
od OpenDNS strežnikov za različico IP protokola IPv4 sta 208.67.222.222
(resolver1.opendns.com) in 208.67.220.220 (resolver2.opendns.com), za različico Ipv6 pa
2620:0:ccc::2 in 2620:0:ccd::2. Glavne funkcije, ki jih ponuja storitev OpenDNS, so
naslednje:
– osnovna DNS storitev (pretvorba spletnih naslovov – oziroma imen domen v
IP naslove)
– zaščita pred ribarjenjem;
– zaščita pred znanimi robotskimi omrežji;
10
– popravljanje napak v spletnih naslovih; če uporabnik storitve OpenDNS po
pomoti napačno vnese ime spletne strani (na primer google.cm in ne
google.com), ga OpenDNS preusmeri na pravi naslov;
– filtriranje vsebin prek kategorij spletnih strani, ki se nastavijo individualno za
vsakega uporabnika posebej, in filtriranje imen domen glede na črno in belo
listo; za te domene uporabnik nastavi, da jih OpenDNS vedno blokira (oziroma
nikoli), te nastavitve pa imajo prednost pred kategorijami in je tako mogoče
obiskati stran, ki je v blokirani kategoriji
Ker DNS sistem uporablja UDP protokol (ki je t. i. nepovezavno orientiran protokol) in ne
povezavnega protokola TCP, so DNS operacije ene najhitrejših operacij na internetu. Kljub
temu pa je OpenDNS v veliko primerih pri pretvorbi naslovov hitrejši od DNS strežnikov
uporabnikovega ponudnika spletnih storitev. Svoje DNS strežnike ima namreč razporejene
po celem svetu, prav tako ima OpenDNS tudi velik predpomnilnik že pretvorjenih spletnih
naslovov v IP naslove. Njegovim strežnikom se tako ni treba povezati z avtoritativnim
DNS imenskim strežnikom od spletne strani za vsako DNS zahtevo, ker ima OpenDNS IP
naslov od spletne strani shranjen že prej. Osnovna storitev OpenDNS ne zahteva
registracije, če pa želi uporabnik uporabljati napredne funkcije, se mora registrirati.
(https://en.wikipedia.org/wiki/OpenDNS)
OpenDNS uporablja t. i. Anycast usmerjanje, ki je posebna tehnologija usmerjanja, ki
poskrbi, da računalniki OpenDNS uporabnikov vedno komunicirajo z najbližjim
podatkovnim središčem OpenDNS. Z usmerjanjem Anycast OpenDNS v praksi doseže, da
neki IP naslov obstaja na več sto strežnikih. OpenDNS procesira več milijard DNS
zahtevkov dnevno, in ker upravlja enega največjih DNS predpomnilnikov na internetu, ima
v danem trenutku pregled nad celotnim globalnim stanjem interneta. To pomeni, da je
velika verjetnost, da za poljubno DNS zahtevo OpenDNS že pozna odgovor, ne da bi
moral pridobiti informacijo od avtoritativnega DNS strežnika. Ta mehanizem zmanjšuje
uporabnikov DNS odzivni čas in zagotavlja hitrejšo uporabniško izkušnjo. OpenDNS
podpira tudi protokol DNSCrypt, ki omogoča overitev DNS prometa med računalnikom in
imenskimi strežniki. (https://www.opendns.com/about/global-dns-infrastructure/)
11
2.3GLAVNE DOBRE VARNOSTNE PRAKSE
2.3.1 Izdelava varnostnih kopij podatkov
Najbolj učinkovita, zanesljiva in univerzalna metoda za obrambo pred izgubo podatkov je
izdelovanje varnostnih kopij podatkov. Univerzalna v tem smislu, da deluje ne glede na
vzrok za izgubo podatkov oziroma storilca. Ker se podatki na računalniških sistemih
hranijo v obliki datotek, te pa so hierarhično razporejene v mape, varnostno kopiranje
pomeni izdelovanje varnostnih kopij datotek in map. Glede na možnost okvare strojne
opreme izdelava varnostih kopij na isti trdi disk nima smisla, ker se bodo v primeru okvare
diska izgubili vsi podatki na njem. Zato je varnostne kopije smiselno izdelovati izključno
na zunanji medij; zunanji medij je lahko USB ključ, CD/DVD disk, drug trdi disk (ali več
diskov) na istem računalniku, in tako dalje. Katero vrsto zunanjega medija bomo izbrali, je
odvisno od našega namena in cilja; ali želimo redno izdelovati varnostne kopije manjših
količin podatkov, ali želimo (trajno) arhivirati večje količine podatkov.
Glede na kapaciteto, zmogljivost in ceno je izdelava varnostnih kopij na drug trdi disk še
najbolj ugodna rešitev. Razen nam dostopnih (fizičnih) zunanjih medijev pa obstajajo tudi
spletne storitve za varno hrambo in deljenje podatkov v »oblaku«. Primeri takih storitev so
Dropbox, Copy, Google Drive, Microsoft OneDrive in Syncplicity. Pri varovanju podatkov
pred izgubo z uporabo politike izdelovanja varnostnih kopij pa se je treba zavedati, da je
lahko tako varovanje nezanesljivo, če je odvisno od človeka; človek lahko namreč na redno
izdelavo varnostnih kopij pozabi. Zato je najbolj smiselno, da varnostno kopiranje
podatkov popolnoma avtomatiziramo. To lahko v primeru kopiranja na zunanji medij ali v
»oblak« storimo z namenskimi programi ali z osnovnimi oziroma bolj naprednimi
skriptnimi jeziki (na primer VBScript, ki je akronim za »Basic Scripting Edition« in je bolj
napreden skriptni jezik, ki ga je Microsoft razvil na podlagi jezika Visual Basic) in z
Windows orodjem Task Scheduler.
2.3.2 Uporaba varnih uporabniških gesel
Zelo pomembna dobra varnostna praksa je uporaba varnih gesel v kombinaciji z
uporabniškimi imeni, pa naj gre za gesla za vpis v uporabniški račun na računalniku, gesla
12
za dostop do uporabniških računov na spletnih straneh, in tako dalje. Osnova varnega gesla
sta njegova dolžina in kompleksnost; da je geslo zares varno, mora biti čim bolj
raznovrstno, kajti večja kot je variacija v znakih, ki ga sestavljajo, teže ga je uganiti ali
razbiti. Se je pa treba zavedati, da je praktično vsako geslo treba razbiti. Ni pa zelo
verjetno, da bi nekdo posvetil veliko resursov za to, da bi odkril na primer naše geslo za
vpis na neko spletno stran. Zato je v primerih, ko gre za uporabniška imena in gesla za vpis
v spletne strani in podobno (ko torej ne gre za zelo pomembne, občutljive ali vredne
informacije), pretiran strah odveč.
Pri izbiri gesla se je treba držati nekaj osnovnih pravil: geslo mora biti dovolj dolgo
(sestavljeno mora biti iz dovolj velikega števila znakov), vsebovati mora velike in male
črke kot tudi številke, ločila in druge simbole. Za gesla ne smemo uporabiti besed iz
slovarjev, svojega (ali uporabniškega) imena ali priimka oziroma katerega koli lastnega
imena. Zelo pomembno je, da gesel nikomur ne izdamo in da si jih nikamor ne zapišemo,
ampak jih imamo v spominu; najmanj varno geslo je namreč tisto, ki je nekje zapisano, še
toliko slabše, če je shranjeno v digitalni obliki na disku. Vedeti pa je treba, da je najslabše
geslo tisto, ki smo ga pozabili, ker s tem izgubimo dostop do želene vsebine. Zato si
izberimo tako geslo, ki se ga bomo mi lahko spomnili, za druge pa je težko ali nemogoče,
da bi ga uganili. Dobra varnostna praksa je tudi to, da geslo vsake toliko časa zamenjamo.
(http://www.usewisdom.com/computer/passwords.html)
Druga možnost pa je, da si izberemo bolj kompleksno geslo, ki si ga ne moremo zapomniti
na pamet, nato pa uporabljamo program za varno hrambo gesel v šifrirani obliki. Za
hranjenje takih bolj kompleksnih varnostnih gesel je namenjena posebna vrsta programov
za šifriranje, ki so posebej namenjeni varnemu hranjenju gesel. Za hranjenje gesel v
šifrirani obliki obstaja kar nekaj brezplačnih uporabniških programov, dva izmed najbolj
popularnih pa sta programa KeePass (bolj napreden program) in program Password Safe
(preprostejši), ki sta oba v osnovi namenjena hranjenju uporabniških imen in gesel v
dvojicah in ostalih poljubnih dodatnih podatkov v zašifrirani bazi podatkov.
13
2.3.3 Celovito zavarovani Windows XP
Windows XP je bil izdan in je prišel v uporabo oktobra 2001; to pomeni, da je v letu 2015
star skoraj 14 let in je že zelo star operacijski sistem. Faza podaljšane podpore se je zanj
končala 8. aprila 2014 po več kot 12 letih od prihoda operacijskega sistema na trg. Tudi
spletni brskalnik Internet Explorer je komponenta operacijskega sistema Windows, zato so
pri Microsoftu prenehali tudi s podporo za vse različice programa za Windows XP.
Microsoft je za Windows XP od tega datuma dalje zagotavljal le še definicije in
posodobitve za antimalware program Microsoft Security Essentials. A tudi to se je končalo
14. julija 2015. Ker torej Microsoft ne nudi več popravkov za operacijski sistem in
Microsoft programe, je prav ranljivost operacijskega sistema eden največjih dejavnikov
tveganja za varnostne incidente; Windows XP je tako rekoč z vsakim dnem bolj ranljiv in
njegova uporaba bolj tvegana. Če imajo posamezne naprave v informacijskem sistemu še
vedno nameščen operacijski sistem Windows XP, je njegova zavarovanost še toliko bolj
pomembna. (https://en.wikipedia.org/wiki/Windows_XP)
Glede na to, da je izvor večine zlonamernih programov internet, ima tako najbolj
pomembno vlogo pri varovanju pred vdori in okužbami na starem operacijskem sistemu
požarni zid. Prav tako je pomembno, da imamo na računalniku dober antivirus program, ki
ga je treba redno posodabljati; še najbolje, da ga nastavimo tako, da se redno posodablja
sam. Še en zelo učinkovit način, kako dodatno zavarovati računalniški sistem, ki ima na
eni od naprav (ali na več) inštaliran operacijski sistem Windows XP, je z uporabo storitve
OpenDNS. Ko je računalnik s takim operacijskim sistemom priključen na internet, ga
OpenDNS varuje pred spletnimi stranmi in e-mail sporočili, katerih namen je »ribarjenje«
podatkov o uporabniku, storitev OpenDNS pa nudi zaščito pred robotskimi omrežji.
(http://searchsecurity.techtarget.com/definition/botnet)
Ker imamo v domačem delovnem okolju na dveh lokacijah računalnika, ki še vedno
uporabljata operacijski sistem Windows XP, je prav dobra zavarovanost operacijskega
sistema pred grožnjami z interneta izredno pomembna. Zastareli operacijski sistem
Windows XP še vedno uporabljamo iz več razlogov. Enega od računalnikov (na eni od
dveh lokacij) za delo uporabljajo tudi drugi uporabniki, ki so manj vešči uporabe
računalnika in programov in so navajeni izključno na uporabniški vmesnik operacijskega
14
sistema Windows XP in bi zanje prehod na vmesnik novejših različic operacijskega
sistema Microsoft Windows (Windows 7, Windows 8 in Windows 10) predstavljal veliko
oviro. Obstaja tudi nekaj nepogrešljivih programov (na primer program Diogenes za
prevajanje iz klasične grščine v angleščino), ki jih pogosto uporabljamo, a še niso bili
posodobljeni za novejše različice Microsoft Windows in tudi ni jasno, ali sploh kdaj bodo.
Prav tako pa za star UMAX skener ni na voljo posodobljenih gonilnikov za Windows 7.
2.3.4 Licenčna in odprtokodna programska oprema
Za varnost informacijskega sistema je pomembno tudi to, da uporabljamo bodisi plačljivo
licenčno bodisi preverjeno brezplačno odprto-kodno programsko opremo. Najbolj
pomembno je, da je licenčni operacijski sistem; v našem primeru sta to Windows XP in
Windows 7. Torej, da ne uporabljamo operacijskega sistema, katerega nelicenčen in
»razbit« (angl. cracked) inštalacijski program je mogoče dobiti prek interneta ali pa od
tretjih oseb. Prav tako pa je pomembno tudi, da je licenčen, ali v primeru brezplačnega
programa od znanega podjetja antivirusnega programa; v našem primeru sta to programa
Microsoft Security Essesntials in Windows Defender Microsofta in program Avast
Antivirus 2015. Prav tako pa je pomembno, da ne uporabljamo »razbitih« različic licenčne
oz. preizkusne programske opreme. Če pa že uporabljamo brezplačne programe,
uporabimo tiste znanih podjetij (primer Mozilla Firefox, Google Chrome in tako dalje)
oziroma znanih avtorjev programske opreme.
Glavna prednost licenčne programske opreme (ki pa je lahko tudi slabost) je predvsem v
dejstvu, da gre za zaprto-kodne programske rešitve, kar pomeni, da izvirna koda ni na
voljo javnosti (na primer zlonamernim tretjim osebam, ki bi poskušale najti varnostne
luknje v kodi), ostale prednosti pa so njena legalnost, možnost nudenja pomoči
uporabnikom ob težavah in tako dalje. Slabosti licenčne programske opreme pa so v tem,
da je izvorna koda programa nedosegljiva in bi to neko podjetje lahko izkoristilo v zle
namene. Ena od glavnih prednosti brezplačne (oziroma odprto-kodne) programske opreme
je v transparentnosti; izvorna koda je namreč javna. V praksi to pomeni na primer to, da si
lahko vsak uporabnik (programer) program prilagodi po svoje, prav tako pa to pomeni tudi,
da uporabniki odprto-kodne programske opreme hitreje najdejo potencialne varnostne
luknje, ki so zato tudi hitreje odpravljene. Glavna slabost odprtokodne programske opreme
15
pa je v tem, da je izvorna koda prosto dostopna, kar pomeni, da je na voljo tudi
zlonamernim tretjim osebam, ki lahko izkoristijo še neodkrite varnostne luknje v
programski kodi. (http://www.gnu.org/philosophy/proprietary.html)
2.3.5 Pomembnost administriranja
Sistemski skrbniki (administratorji) imajo pri varovanju informacijskih sistemov
najpomembnejšo vlogo. Oni so praviloma tisti, ki so namestili operacijski sistem na
računalnike končnih uporabnikov in oni upravljajo z administrativnimi opravili, kot so na
primer posodabljanje operacijskega sistem in programov. Administrator v večini primerov
skrbi tudi za avtomatizacijo opravil, povezanih z varno hrambo podatkov oziroma
izdelovanjem varnostnih kopij. In ker je pri zanesljivem varnostnem kopiranju podatkov
pomembno, da to opravilo ni odvisno od spomina in dejanj končnega uporabnika (niti
samega administratorja), je najbolje, da so ta opravila popolnoma avtomatizirana. Zato je
še posebej pomembno, da ima administrator dober pregled nad celotnim informacijskim
sistemom, za katerega skrbi, pa naj gre za domače delovno okolje ali za manjše oziroma
večje podjetje.
Administratorji skrbijo tudi za posodobitve operacijskega sistema in uporabniških
programov. V delovnih okoljih z več računalniki je avtomatizacija teh opravil praktično
nujna, saj si je težko predstavljati, da bi sistemski skrbnik posodabljal vsako napravo
posebej. Pri tem pa si lahko pomaga s številnimi namenskimi orodji in varnostnimi
uporabniškimi programi. Za večja delovna okolja pa je pomembno tudi to, da obstaja med
administratorjem – oziroma pri večjih informacijskih sistemih več administratorji – in
končnimi uporabniki dobra komunikacija. Administratorji imajo glede na naravo svojega
dela priložnost, da ob konkretnih primerih težav oziroma varnostnih incidentov končne
uporabnike poučijo o varnosti na spletu, dobrih praksah uporabe računalnika in podobno.
16
3 VARNOSTNI MEHANIZMI PRI WINDOWS
3.1VARNOSTNI MEHANIZMI PRI WINDOWS XP
3.1.1 Varnostni mehanizem DEP
Varnostni mehanizem DEP je varnostna funkcija, ki v delovnem spominu operacijskega
sistema opredeli določena področja kot izvršljiva, druga pa kot neizvršljiva. Tako na
primer programom, servisom in gonilnikom dovoli samo zagon kode v območju, ki je
označeno kot izvršljivo. Ta varnostni mehanizem ni v uporabi samo na operacijskih
sistemih Microsoft Windows, ampak je na voljo tudi v operacijskih sistemih Linux, OS X
in iOS, in v operacijskem sistemu za pametne telefone Android. Ta varnostna funkcija je
bila pri Microsoft Windows prvič uporabljena pri operacijskem sistemu Windows Vista.
(http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html)
3.1.2 Funkcije datotečnega sistema NTFS
Z operacijskim sistemom Windows XP je prišel novi datotečni sistem NTFS in z njim
veliko varnostnih funkcij, ki jih datotečni sistem FAT32, ki je bil v uporabi do takrat, ni
poznal. NTFS datotečni sistem uporabnikom omogoča podrobne varnostne nastavitve za
pogone, mape in datoteke. Te varnostne nastavitve so na voljo v zavihku Security v
lastnostih pogona, datoteke ali več datotek, in mape ali več map. S klikom na gumb
»Advanced« lahko administrator računalnika podrobno določa pravice za različne
uporabnike in skupine uporabnikov, po želji pa jih tudi dodaja in briše. Prav tako lahko
spreminjamo lastnika pogona, map in datotek. Datotečni sistem NTFS ponuja tudi
enkripcijo posameznih datotek in map.
3.1.3 Windows sistemski servisi
Vsi Microsoft Windows operacijski sistemi imajo vgrajene t. i. servise, ki imajo vsak svojo
specifično vlogo, velika večina pa se jih v računalniški spomin naloži pri zagonu
računalnika s pomočjo gostiteljskih »svchost.exe« procesov. Veliko servisov pri
operacijskem sistemu Windows nima direktne povezave z varnostjo, ampak je njihova
17
vloga, da podpirajo operacijski sistem; brez zagnanih servisov Remote Procedure Call
(RPC), Event Log in še nekaterih uporabnik ob zagonu računalnika najverjetneje sploh ne
bi prišel do namizja, ali pa bi bilo le-to popolnoma neuporabno. Nekaj servisov pa je
ključnih za varnost računalnika. To so na primer servisi: Windows Firewall/Internet
Connection Sharing (ICS), Microsoft Antimalware Service, Security Center, Windows
Updates, Security Center, HTTP SSL in tako dalje. Med njih bi lahko uvrstili še druge
servise, kot sta na primer servisa Protected Storage (nudi varno shranjevanje podatkov) in
System Restore (izvaja funkcije za povrnitev sistema v prejšnje stanje), a zgoraj našteti so
najpomembnejši.
3.1.4 Varnostna komponenta Windows Firewall
Windows Firewall oziroma Windows požarni zid je varnostna komponenta pri operacijskih
sistemih Windows XP in je pri Windows XP SP3 privzeto omogočen. Požarni zid
Windows Firewall filtrira ves promet – zahtevke za vzpostavitev povezave in prenos
podatkov – v lokalnem omrežju; to pomeni, da preverja prenos podatkov, ki prihajajo z
interneta v lokalno omrežje, in podatke, ki odhajajo iz lokalnega omrežja v internet, in
glede na nastavitve požarnega zidu vzpostavitev povezave oziroma prenosa podatkov
dovoli ali ne dovoli.
Slika 1: Windows XP, Windows Firewall, opozorilno okno
18
Windows Firewall pri Windows XP deluje prek procesov »alg.exe« (ki poganja
Application Layer Gateway Service servis) in »svchost.exe« (v katerem je zagnan
Windows Firewall/Internet Connection Sharing) servis. Glavna naloga Windows
požarnega zidu je torej ta, da preverja zahtevke oddaljenih računalnikov za povezavo z
uporabnikovim računalnikom in glede na nastavitve – oziroma odločitev uporabnika – to
komunikacijo dovoli oziroma je ne dovoli.
3.1.5 Varnostna komponenta Microsoft Security Essentials
Od operacijskega sistema Windows XP SP3 dalje podjetje Microsoft ponuja svojim
uporabnikom brezplačni antivirus in antisypware program Microsoft Security Essentials
(ali kratko MSE). Microsoft Security Essentials je podobno kot Windows požarni zid
varnostna komponenta, ki je vgrajena v Windows operacijske sisteme in je privzeto
omogočena. Prek uporabniškega vmesnika lahko ročno zaženemo skeniranje sistema
oziroma ga avtomatiziramo, vklopimo in izklopimo lahko zaščito v realnem času, v
nastavitvah programa pa lahko pod »Exclusions« dodamo procese in poti do map in
datotek, za katere nočemo, da jih program preverja.
3.1.6 Nastavitve za internet pod Internet Options
Napredne konfiguracijske nastavitve za spletni brskalnik Internet Explorer so uporabniku v
Control Panel – tj. posebna vrsta mape, ki je dostopna prek menija Start in vsebuje večino
pomembnih nastavitev – dostopne prek ikone Internet Options. Te nastavitve so
univerzalne v tem smislu, da veljajo tudi za veliko drugih programov in ne samo za
brskalnik Internet Explorer; veljajo tako za programe Microsofta kot tudi za druge
programe, ki se povezujejo v internet. Prek teh nastavitev lahko nastavimo razne napredne
nastavitve, ki izboljšajo varnost našega računalnika med uporabo interneta.
V zavihku General se nahajajo osnovne nastavitve spletnega brskalnika Internet Explorer,
kot so na primer nastavitev za domačo stran, nastavitev za zgodovino brskanja po spletu,
nastavitve za ponudnike iskanja po spletu, obnašanje zavihkov, lokacija mape in
maksimalna velikost za mapo »Temporary Internet Files« ter nastavitve za barve, jezik in
19
pisavo. V zavihku Security so pomembne nastavitve za štiri različne cone: Internet, Local
intranet, Trusted sites in Restricted sites. Privzete nastavitve za vsako cono je poleg
popolnoma poljubnih nastavitev možno spremeniti tudi v eno od petih v naprej
nastavljenih stopenj varnosti; High, Medium-high, Medium, Medium-low, Low. Stopnja
High je najbolj varna nastavitev, Medium-high je podobna stopnji Medium (vendar so
nekatere dodatne funkcije onemogočene oziroma nastavljene tako, da brskalnik za
potrditev vpraša uporabnika), Medium je stopnja s srednje varnimi nastavitvami, Medium-
low je tudi podobna stopnji Medium, le da brskalnik uporabnika ne vpraša za potrditev,
preden požene neko potencialno nevarno vsebino (ta nastavitev je privzeta za cono Local
intranet), Low pa je najmanj varna stopnja. Obstaja še stopnja Custom Level, ki pomeni od
uporabnika nastavljene nastavitve in je namenjena bolj izkušenim uporabnikom. Praviloma
je za brskanje po spletu (cona Internet) privzeta nastavitev Medium-high dovolj varna.
Nastavitve za cono Internet lahko administrator ali končni uporabnik na primer nastavi
tako, da ne dovoli avtomatičnega zagona t. i. »Active Scripts«; to naredi tako, da v oknu
Settings (ki se odpre prek gumba »Custom Level…«) pod sekcijo Scripting odstrani
kljukici pod »Active scripting« in »Scripting of Java applets«. Zelo pomembne so tudi
nastavitve, ki programu Internet Explorer preprečijo, da bi avtomatično zagnal Java
programe. V teh nastavitvah se nahaja tudi opcija, ki brskalniku Internet Explorer prepreči,
da bi avtomatično prikazoval aktivno vsebino, kot so na primer animacije.
Zlasti pomembne so napredne nastavitve v zadnjem zavihku Advanced. V sekciji
Accessibility se nahajajo osnovne nastavitve v zvezi s prikazom vsebine, v sekciji
Browsing so nastavitve od izgleda samega okna spletnega brskalnika do načina prikaza
spletnih strani in prikaza map in datotek pri uporabi FTP protokola, nastavitve v zvezi z
razširitvami oziroma vtičniki in tako dalje. V sekciji Multimedia se nahajajo tudi nekatere
nastavitve v povezavi s prikazom vsebine spletnih strani, sekcija Security pa vsebuje
varnostne nastavitve za t. i. aktivno vsebino, nastavitve za preverjanje varnostnih
certifikatov spletnih strani in digitalnih podpisov programov, pridobljenih s spleta, in
nastavitve za DOM Storage, SSL in TSL protokole.
20
3.2VARNOSTNI MEHANIZMI PRI WINDOWS 7
3.2.1 Varnostni mehanizem ASLR
Varnostni mehanizem ASLR je varnostna tehnologija, ki varuje računalnik pred t. i.
»buffer overflow« napadi. Da bi potencialnemu napadalcu, ki je vdrl v operacijski sistem,
preprečili, da bi dostopal do določene ranljive funkcije oziroma področja v sistemskem
pomnilniku, varnostni mehanizem ASLR v naslovnem prostoru naključno organizira
položaje za ključne podatke od procesov, ki so v tistem trenutku zagnani.
3.2.2 Varnostni mehanizem UAC
Varnostni mehanizem UAC je varnostna komponenta, ki jo je Microsoft prvič predstavil v
operacijskih sistemih Windows Vista in Windows Server 2008, v verziji Windows 7 pa je
bila še izboljšana. Bistvo tega mehanizma je v izboljšanju varnosti operacijskega sistema, s
tem da Windows programe privzeto zaganja z navadnimi uporabniškimi pravicami. Za
posebne primere – na primer povečanje pravic, da lahko uporabnik inštalira novi program
– pa mora dejanje potrditi administrator operacijskega sistema. V Windows 7 je varnostni
mehanizem UAC postal manj nadležen in bolj fleksibilen.
(https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf) Manj programov zahteva
odobritev za zagon, in če ima uporabnik administratorske pravice, lahko sam podrobno
nastavi, kako pogosto in za katere stvari ga bo UAC mehanizem obveščal. Ko je UAC
aktiviran, uporabnika obvesti tako, da se namizje zatemni in mora v UAC opozorilnem
oknu odobriti ali zavrniti zahtevo, preden lahko naredi karkoli drugega na računalniku.
UAC je privzeto nastavljen na Always notify, to pomeni, da UAC mehanizem uporabnika
obvesti vedno, ko programi poskušajo izvesti spremembe na računalniku oziroma v
nastavitvah operacijskega sistema, ki zahtevajo skrbniško dovoljenje.
(http://windows.microsoft.com/en-us/windows/what-are-user-account-control-settings#1TC=windows-7)
3.2.3 Varnostna komponenta Windows Firewall
Požarni zid, ki je bil vgrajen v starejše operacijske sisteme Windows, je bil dolgo tarča
pritožb, da ne nudi dovolj zaščite. Požarni zid je namreč v svoji prvi različici (najprej se je
21
imenoval preprosto Internet Connection Firewall, od Windows XP SP2 naprej pa Windows
Firewall) filtriral samo dohodni promet (angl. inbound traffic), prometa z izvorom na
lokalnem računalniku (angl. outbound traffic) pa ne. Običajno gre sicer za legitimne TCP
zahtevke za povezavo, kar pomeni, da neki program na določenem vratih (angl. port)
posluša in čaka na zahtevke za povezavo z oddaljenih računalnikov; temu rečemo, da se
program obnaša kot strežnik (angl. server).
Slika 2: Windows 7, Windows Firewall, opozorilno okno
Tako pa se obnaša tudi veliko zlonamernih programov, in s tem, ko onemogoči povezavo v
internet, s tem prepreči nadaljnjo škodo; privzeta nastavitev Windows požarnega zidu je
namreč taka, da programom dovoli povezavo v internet. To je Microsoft popravil že v
različici požarnega zidu za Windows XP SP3, ko je bil požarni zid nadgrajen, da je požarni
zid za programe, ki poslušajo za dohodne TCP povezave z oddaljenih računalnikov, začel
uporabniku prikazovati preprosta opozorilna okna. V Windows 7 pa je požarni zid še
veliko bolj napreden in nudi veliko več nastavitev ter je bolj podoben namenskim
programskim požarnim zidovom.
22
3.2.4 Varnostna komponenta Action Center
Action Center je varnostna komponenta, ki uporabniku posreduje pomembna sporočila o
varnostnih nastavitvah in priporočenih vzdrževalnih ukrepih. V Action Center so z rdečo
barvo obarvana pomembna sporočila, na primer taka, ki kažejo na večje potencialne težave
ali varnostna tveganja, za katera je priporočeno, da se jim uporabnik čim prej posveti.
Primer za tako vrsto sporočila je – če je Action Center nastavljen tako, da spremlja
delovanje teh dveh komponent – ustavljen Windows Firewall ali zastarele oziroma še ne
inštalirane posodobitve za operacijski sistem. Z rumeno barvo pa so v Action Center
obarvana manj pomembna sporočila, ki kažejo na priporočene – običajno vzdrževalne –
naloge, za katere je le priporočeno, da jih uporabnik obravnava, ni pa to nujno. V Nadzorni
plošči je mogoče nastaviti katere funkcije oziroma komponente operacijskega sistema
Action Center spremlja in za njih prikazuje sporočila, in katerih ne.
3.2.5 Varnostna komponenta Windows Defender
Windows Defender je antimalware program, ki je vključen v sistem Windows 7, podobno
kot je bil Microsoft Security Essentials vključen v Windows XP. Windows Defender je
torej varnostna aplikacija, katere glavna naloga je preprečevanje okužb, uporablja pa se ga
tudi za odkrivanje in odstranjevanje že prisotne zlonamerne programske opreme. Windows
Defender nudi zaščito v realnem času, kar pomeni, da blokira zlonamerno programsko
opremo, ko se poskuša namestiti ali zagnati, prav tako pa redno samodejno skenira
računalnik za že prisotno zlonamerno kodo. Windows Defender za prepoznavo zlonamerne
kode uporablja t. i. definicijske datoteke. To so posebne datoteke, ki vsebujejo podatke o
potencialnih grožnjah oziroma podatke o zlonamerni programski opremi. Kot pri vseh
antimalware programih je tudi pri programu Windows Defender pomembno, da so njegove
definicijske datoteke redno posodobljene. Windows Defender za posodabljanje
definicijskih datotek in za posodabljanje samega programa uporablja Windows Update, ki
samodejno prenese in namesti nove definicije takoj, ko so na voljo.
(http://www.microsoft.com/security/pc-security/windows7.aspx)
23
3.2.6 Varnostna funkcija Windows Update
Windows Update (ali kratko WU) je storitev, ki jo Microsoft ponuja uporabnikom za
zagotavljanje posodobitev za operacijske sisteme Windows in njihove komponente.
Storitev WU omogoča različne vrste posodobitev; varnostne posodobitve in/ali kritične
posodobitve zaščitijo računalnik pred ranljivostmi, ki bi jih lahko izkoristili zlonamerni
programi ali tretje osebe (t. i. »hekerji«), posodobitve, ki niso ključnega pomena za varnost
računalnika, pa so namenjene odpravi odkritih napak v komponentah operacijskega
sistema ali povečanju funkcionalnosti. Storitev je možno nadgraditi v Microsoft Update, ki
je razširjena različica storitve in zagotavlja posodobitve tudi za druge Microsoftove
programe . (https://en.wikipedia.org/wiki/Windows_Update)
Microsoft običajno izdaja varnostne posodobitve vsak drugi torek v mesecu, lahko pa jih
izda in namesti na računalnike pravzaprav kateri koli dan, kar velja za primere na novo
odkritih večjih varnostnih lukenj. Posodobitev je takrat nujna in z njo se preprečijo
morebitne množične okužbe opreracijskih sistemov Windows po celem svetu. Sistemski
skrbniki lahko konfigurirajo storitev tako, da se nujne posodobitve pridobijo in namestijo
samodejno, ko je računalnik povezan v internet. Za podjetja in ustanove je to pravzaprav
edina možnost, ker je praktično nemogoče, da bi administrator ročno posodabljal vse
operacijske sisteme. Za Windows Vista, Windows Server 2008 in kasnejše operacijske
sisteme Windows (torej tudi za Windows 7) stara spletna stran za Windows Update ne nudi
več uporabniškega vmesnika za izbiro in prenos posodobitev. Namesto nje nudi podobno
funkcionalnost Windows Update v Nadzorni plošči. Podpora za Microsoft Update je
vgrajena tudi v sam operacijski sistem, vendar je privzeto izklopljena.
24
4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA
4.1KREIRANJE IN KONFIGURACIJA OMREŽJA
V domačem delovnem okolju se na eni lokaciji osebni računalnik (ki ima inštaliran
operacijski sistem Windows XP Home SP3) na internet povezuje prek Wi-Fi mrežne
kartice TENDA, Wi-Fi usmerjevalnika (angl. router) in kabelskega modema od ponudnika
storitev Telemach. Da je to možno, je bilo najprej treba ustvariti lokalno domače brezžično
omrežje. Nekateri usmerjevalniki in brezžične mrežne kartice se znajo sami pravilno
konfigurirati, tukaj pa bomo opisali potek ročnega kreiranja nove Wi-Fi povezave prek
vmesnika, ki je na voljo v operacijskih sistemih Windows.
Za kreiranje nove Wi-Fi povezave je treba v oknu, ki se odpre, ko uporabnik z desnim
klikom na miško klikne na Wi-Fi ikono v orodni vrstici, izbrati »View Available Wireless
Connections« in nato klikniti »Set up a wireless network for a home or small office«. S
tem se odpre čarovnik Wireless Network Setup Wizard, v katerem je treba vnesti ime
oziroma SSID in geslo za novo domačo brezžično omrežje, prav tako pa je treba izbrati
način enkripcije podatkov (WPA oziroma WPA2 ali WPE). Nato je treba usmerjevalnik
resetirati (da se izbrišejo morebitne že obstoječe nastavitve), v operacijskem sistemu pa
onemogočiti Wi-Fi mrežno kartico. Nato je treba Wi-Fi usmerjevalnik s kablom povezati
na pravi vhod na računalniku. Ko to naredimo v spletnem brskalniku vnesemo IP naslov
192.168.0.1 in pritisnemo tipko Enter, kar odpre nastavitveni vmesnik od Wi-Fi
usmerjevalnika, tja pa je treba vnesti iste podatke, kot so bili prej vneseni prek čarovnika v
Windows vmesniku. Ko so pravi podatki za novo Wi-Fi omrežje vneseni v Wi-Fi
usmerjevalnik, ga je treba odklopiti iz elektrike, odnesti h kabelskemu modemu (ki v
našem domačem delovnem okolju ni v istem nadstropju kot Wi-Fi usmerjevalnik) in ju
povezati s kablom. Lokalno Wi-Fi omrežje začne delovati takoj, ko uporabnik iz
usmerjevalnika izklopi kabel in v operacijskem sistemu spet omogoči Wi-Fi mrežno
kartico; Wi-Fi kartica v računalniku nato svoj privatni IP naslov dobi od DHCP strežnika.
Od takrat dalje se je na računalniku možno v internet povezati prek Wi-Fi mrežne kartice
in nadaljnja konfiguracija ni več potrebna.
25
V primeru namiznega računalnika na tej lokaciji, zaradi zastarelosti gonilnikov Wi-Fi
mrežne kartice modela ni možno uporabljati Windows programske opreme za
konfiguracijo in povezovanje v omrežje; namesto nje je treba uporabiti namenski program
Tenda TWL541C(P) Wireless LAN Adapter Configuration Utility Wi-Fi mrežne kartice.
Ko s tem programom ustvarjamo profil za domače Wi-Fi omrežje, je treba – podobno kot
velja za vmesnik Wi-Fi usmerjevalnika – v vnosno polje v prvem koraku vnesti enake
podatke (SSID in geslo), kot so bili vneseni prek čarovnika v Windows vmesniku, ko smo
ustvarjali Wi-Fi omrežje. Razlika med ustvarjanjem lokalnega brezžičnega omrežja z
Windows vmesnikom in ustvarjanjem profila z namenskim programom je le v tem, da je
pri slednjem poleg metode za enkripcijo podatkov (WPA-PSK) treba izbrati tudi način
overovitve (AES ali TKIP).
Slika 3: Program Tenda Configuration Utility, Network Status
V primeru notesnika s TP-LINK brezžično USB mrežno kartico pa tak posebni program ni
potreben; v lokalno Wi-Fi omrežje se je brez težav mogoče povezati prek programskega
26
vmesnika, ki je del operacijskega sistema Windows 7. V kratkem nameravamo v to
delovno okolje vključiti še en namizni računalnik; le-ta pa se bo v internet povezoval
(podobno kot notesnik) prek TP-LINK PCI mrežne kartice.
4.1.1 WI-Fi omrežje in storitev OpenDNS
Kot je opisano v poglavju v teoretičnem delu, storitev OpenDNS ponuja uporabnikom za
DNS storitve svoja alternativna DNS strežnika. Ta dva IP naslova vpišemo kot DNS
strežnika; to lahko naredimo v DNS nastavitvah Wi-Fi usmerjevalnika, ali pa v nastavitvah
za posamezno povezavo oziroma omrežje (\\Control Panel\Network Connections\).
Slika 4: LAN, Wi-Fi in WAN nastavitve na usmerjevalniku
27
Na zaslonski sliki na prejšnji strani je primer nastavitev Wi-Fi usmerjevalnika za lokalno
brezžično omrežje na usmerjevalniku TP-LINK, ko je nastavljen za uporabo OpenDNS
(pod WAN, DNS Server). Preko tega usmerjevalnika se v internet povezuje delovni
računalnik v domačem delovnem okolju na eni od dveh lokacij. Na ta način imamo
nastavljeno odkar smo dobili nov usmerjevalnik; pred tem je bila uporaba storitve
OpenDNS nastavljena na napravah ločeno za vsako povezavo oziroma omrežje posebej.
4.1.2 LAN omrežje in storitev OpenDNS
Za uporabo storitve OpenDNS prek nastavitev za posamezne LAN povezave (in ne prek
usmerjevalnika) pa je potrebno v lastnostih lokalnega omrežja v zavihku General – pod
Internet Protocol (TCP/IP) – namesto »Obtain DNS server address automatically« izbrati
»Use the following DNS server addresses« in v tista vnosna polja (torej pod Preferred in
Alternate DNS Server) vpisati IP naslova 208.67.220.220 in 208.67.222.222.
Slika 5: Wi-Fi Properties, DNS servers, OpenDNS
28
Tako uporabljamo OpenDNS v domačem delovnem okolju na drugi lokaciji, kjer uporaba
storitve OpenDNS (in hranjenje IP naslovov za imena domen) ni vklopljena na
usmerjevalniku (ker nimamo Wi-Fi omrežja in usmerjevalnika), ampak na pravkar opisan
način. Ta računalnik ima inštaliran Windows XP Professional SP3, na internet pa se
povezuje prek Huawei HSPA USB modema (UMTS) in namenskega Vodafone Mobile
Broadband programa; program pri inštalaciji ustvari (in kasneje uporablja) lokalno
omrežje, kateremu privatni IP naslov dodeli lokalni DHCP strežnik. Možno pa se je v
internet povezati tudi prek PPP protokola z uporabo t. i. »ročne povezave«, ki ne uporablja
lokalnega omrežja in programa Mobile Broadband.
4.2CELOVITA ZAŠČITA PREK SISTEMA DNS
4.2.1 Program DNSKong
DNSKong je program, ki se obnaša kot lokalni DNS strežnik. DNSKong deluje na
lokalnem IP naslovu 127.0.0.1 (localhost) in tako filtrira ves internetni promet. Noben
zunanji računalnik ne more uporabljati programa DNSKong; uporablja ga samo lokalni
računalnik. Program DNSKong za pravila za filtriranje in blokiranje uporablja tri navadne
tekstovne datoteke:
– named.txt je datoteka, ki vsebuje posamezne dele imen v URL naslovih, ki
bodo blokirani (preusmerjeni na 127.0.0.1);
– pass.txt je datoteka, ki enako kot »named.txt« vsebuje posamezne dele imen,
samo da so te za razliko od tistih v »named.txt«, ki so blokirane, eksplicitno
dovoljene;
– presets.txt je datoteka, ki deluje kot lokalni DNS predpomnilnik, po vlogi in
funkcionalnosti podoben hosts datoteki
Glede na specifično uporabo filtrirnih datotek obstajata dva glavna načina uporabe
programa DNSKong. Prvi način je t. i. »block all« način, ki privzeto blokira vse IP
naslove, razen tistih nekaj, ki se uporabljajo vsak dan in jim zato zaupamo. To dosežemo
29
tako, da se doda .com, .net, .org top oziroma root-level imena domene v named.txt, v
datoteko pass.txt pa tiste posamezne, za katere se dovoli. Drugi način je pa t. i. »pass all«
način, ki načeloma dovoli vse, razen tistih, ki se eksplicitno dodajo v named.txt datoteko.
Sam uporabljam slednjega.
4.2.2 LAN omrežje in program DNSKong
Konfiguriranje operacijskega sistema Windows za uporabo programa DNSKong je dokaj
preprosto. Najprej je treba onemogočiti DNS Client servis, ker bi se le-ta vmešaval v
delovanje programa, nato pa imamo dve možnosti. Nastavitve za lokalno omrežje lahko
nastavimo tako, da bo DNS sistem (in z njim internet) deloval samo takrat, ko bo zagnan
program. To dosežemo tako, da pod »Preferred DNS Server« vpišemo naslov 127.0.0.1
(prek tega naslova bo deloval DNSKong, ko bo zagnan), naslova za »Alternate DNS
Server« pa ne določimo.
Lahko pa nastavitve za lokalno omrežje usmerimo tudi tako, da bo DNS (in z njim
internet) vedno deloval, ne glede na to, ali bo program DNSKong zagnan ali ne. Ko bo
DNSKong zagnan, bo DNS deloval prek njega (prek programa DNSKong), ko pa
DNSKong ne bo zagnan, bo DNS deloval prek sekundarnega DNS imenskega strežnika.
To dosežemo tako da »Preferred DNS Server« nastavimo na naslov 127.0.0.1, naslov za
»Alternate DNS Server« pa nastavimo poljubno; če hočemo, lahko vpišemo IP naslov od
ponudnika storitev (IP od Telemacha ali Si.mobila), ali pa – če želimo uporabljati
OpenDNS, ko program DNSKong ni zagnan –, enega od OpenDNS imenskih strežnikov.
30
Slika 6: LAN Properties, DNS servers, DNSKong in OpenDNS
Program DNSKong pa je skupaj s storitvijo OpenDNS mogoče uporabljati tudi tako, da ko
je DNSKong zagnan, kar sam program DNSKong za pretvorbo DNS uporablja IP naslove
od OpenDNS imenskih stežnikov. To naredimo tako, da naslova 208.67.220.220 in
208.67.222.222 vpišemo v nastavitev »Proxied DNS servers« v programu DNSKong. Tako
imamo program DNSKong nastavljen na delovanje skupaj s storitvijo OpenDNS na drugi
lokaciji v delovnem okolju.
4.2.3 Več-nivojska zaščita DNS sistema
V operacijskih sistemih Microsoft Windows ima za DNS operacije glavno prioriteto
datoteka »hosts« (to je datoteka, ki nima končnice kot so na primer exe, doc, txt in tako
dalje), ki se nahaja pod %windir%\system32\drivers\etc\ (pri Windows XP je to običajno
mapa C:\Windows\system32\drivers\etc\). Da ima ta datoteka glavno prioriteto, pomeni to,
da operacijski sistem za vse DNS zahtevke najprej pogleda vanjo za morebitna imena
31
domen, pretvojena v IP naslove, šele nato uporabi DNS Client servis (če je ta nastavljen,
da ga operacijski sistem uporablja) in zunanje DNS strežnike. Prek datoteke hosts je
možno tudi blokirati povezavo na želene spletne strani. To storimo tako, da imenu domene,
na katero želimo preprečiti povezavo, določimo IP naslov 127.0.0.1 (localhost) ali 0.0.0.0
(anyhost), ki sta oba splošna IP naslova za lokalni računalnik.
Slika 7: CIP, urejevalnik datoteke hosts
V ta namen uporabljam program CIP, zelo uporaben urejevalnik datoteke hosts (ker
omogoča tudi pretvorbo spletnih naslovov v IP naslove), s katerim urejam svojo hosts
datoteko in opravljam pretvorbo nekaj najbolj pogosto uporabljanih spletnih naslovov
in/ali imen domen (ki sem jih sam dodal v hosts datoteko) v naslove IP. Spletne naslove je
v program CIP možno tudi uvoziti iz standardne »bookmarks.html« datoteke (le-to pa je
mogoče izvoziti iz shranjenih priljubljenih spletnih strani »Bookmarks« pri brskalniku
Mozilla Firefox) in iz »Favorites« pri brskalniku Internet Explorer.
32
DNS sistem na tem računalniku je z uporabo datoteke hosts in programa DNSKong
večnivojski, kar pomeni, da na tem računalniku operacijski sistem išče na več lokacijah,
preden se /če je to sploh potrebno) poveže z zunanjimi DNS strežniki. V praksi to pomeni,
da Windows za dano ime domene vedno najprej preveri lokalne zaloge pretvorjenih IP
naslovov in šele v tistih primerih, ko se pretvorjeni IP ne nahaja na nobeni od teh lokacij,
naredi poizvedbo prek OpenDNS imenskih strežnikov. Prvi nivo DNS sistema na tem
računalniku so torej dvojice imen domen in pripadajočih IP naslovov, ki so shranjeni v
datoteki hosts. Drugi nivo so dvojice imen domen in IP naslovov, ki se nahajajo v
predpomnilniku v RAM-u in v datoteki presets.txt od programa DNSKong. Ta računalnik
torej uporabi DNS server od storitve OpenDNS šele takrat, ko v datoteki hosts in v
predpomnilniku programa DNSKong ne najde razrešenega imena domene. DNS sistem
torej deluje preko dveh lokalnih stopenj, z OpenDNS pa se doda še eno zunanjo, kajti tudi
OpenDNS ima svoj DNS predpomnilnik. S takim DNS sistemom poskrbimo tudi za
varnost računalnika med uporabo interneta.
4.2.4 Storitev OpenDNS v praksi
Ne glede na specifičen način konfiguracije pa velja, da ko je omrežje enkrat nastavljeno za
uporabo OpenDNS (torej da za DNS storitve uporablja imenska strežnika od OpenDNS),
bodo vsi DNS zahtevki z izvorom na tem omrežju šli prek storitve OpenDNS. Kot rečeno,
funkcije, ki jih OpenDNS privzeto nudi, so zaščita pred ribarjenjem, robotskimi
zlonamernimi omrežji in popravljanje napak v vpisanih spletnih naslovih.
33
Slika 8: OpenDNS, blokirane domene v 1 dnevu
Slika 9: Firefox, opozorilo za z OpenDNS blokirano domeno
34
Bolj napredne nastavitve, kot je na primer filtriranje vsebin prek kategorij spletnih strani
ter belo in črno listo domen, pa je treba ročno nastaviti na OpenDNS spletni strani.
Uporabnikom – običajno administratorju omrežja – so no voljo še druge funkcionalnosti
kot na primer statistika blokiranih domen, IP naslovov, t. i. »domain tagging« in tako dalje.
Slika 10: OpenDNS, Web content filtering
35
4.3ANTIVIRUSNI PROGRAM IN POŽARNI ZID
4.3.1 Program Avast Antivirus 2015
Na obeh glavnih namiznih računalnikih imamo (na enem od njih poleg Microsoft programa
MSE, ki je zato onemogočen) nameščen antivirusni program Avast Antivirus.
Uporabljamo trenutno najsodobnejšo brezplačno različico z imenom Avast Antivirus 2015.
Glavno vlogo pri zaščiti pred okužbami ima »Ščit datotečnega sistema« (angl. File System
Shield), ki v realnem času pregleduje vse datoteke in programe, preden jih je dovoljeno
odpreti in zagnati. V nastavitvah je možno podrobneje nastaviti, kakšne vrste datotek in
aplikacij naj program skenira, kot tudi ob katerih operacijah. Datotečni ščit je privzeto
nastavljen, da pregleduje datoteteke pri izvajanju – kar pomeni, da ščit preverja programe,
ko se zaženejo – možno pa ga je nastaviti, da tega ne počne. Enako velja za pregledovanje
datotetek pri odpiranju, pri spreminjanju in shranjevanju, pri priklapljanju, in tako dalje.
V naprednih nastavitvah pod Izjeme je možno izbrati lokacije na lokalnem disku, za katere
želimo, da jih ščit ne pregleduje v realnem času. Pod nastavitvijo Akcije pa lahko
uporabnik sam izbere, kaj naj ščit stori (naj vpraša uporabnika, avtomatično popravi
okuženo datoteko, premakne zlonamerno programsko opremo v Virusni zabojnik in tako
dalje), ko je zaznana določena vrsta grožnje. Obstajajo še druge napredne nastavitve, na
primer Packers in Sensitivity. Pod Izjeme sam dodam procese, ki jih dobro poznam, še
posebej tiste, ki se ne povezujejo v internet. Prav tako tja vpišem poti do map na lokalnem
disku, kjer vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi
multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v
realnem času ne pregledujejo prav vseh programov, ki jih zaženem, in datotek, ki jih
odprem.
Varnosti med brskanjem po spletu pa je namenjen »Spletni ščit« (angl. Web Shield), ki v
realnem času varuje računalnik pred grožnjami med brskanjem po spletu in nalaganjem ali
prenašanjem podatkov iz spleta, prav tako pa preprečuje tudi zagon zlonamernih skript. V
naprednih nastavitvah je možno natančno nastaviti spletno in HTTPS skeniranje kot tudi
skeniranje skript. Pod Izjeme pa je možno iz pregledovanja izključiti določene URL (angl.
Uniform Resource Locator) naslove (angl. Uniform Resource Locator) in tipe MIME
36
(angl. Internet Media Type). Podobno kot za datotečni ščit pod Izjeme dodam vse procese,
ki jih dobro poznam, naslove spletnih mest, ki so praviloma varna poti do map na lokalnem
disku, kjer vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi
multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v
realnem času ne pregledujejo prav vseh programov, ki jih zaženem, datotek, ki jih odprem,
in tako dalje.
Zaščiti pred nevarno programsko opremo – ki do računalnika pride prek k e-mail
sporočilom pripetih datotek, kot tudi na druge načine – in nezaželeno pošto pa je namenjen
»Ščit e pošte« (angl. Mail Shield), ki pregleduje dohodna in odhodna sporočila, ki
uporabljajo POP3 (angl. Post Office Protocol), IMAP (angl. Internet Message Access
Protocol) in SMTP (angl. Simple mail transfer protocol) protokole, kot tudi e-mail spročila
novičarskih skupin (angl. Network News Transfer Protocol). Enako kot pri ostalih dveh
ščitih so na voljo še druge napredne nastavitve, na primer Packers in Sensitivity, Izjeme in
tako dalje.
Na eni od naprav zaščito v realnem času dostikrat začasno onemogočim – sploh takrat, ko
računalnik ni povezan na internet –, saj je moje znanje glede varnosti pri uporabi interneta
obširno in moj računalnik ob vsakodnevnem delu v zadnjih letih še ni bil resneje ogrožen
zaradi virusa ali katere koli druge oblike zlonamernih programov. To storim (onemogočim
katerega od ščitov; navadno onemogočam Ščit datotečnega sistema) v določenih spedfičnih
situacijah, ko je to smiselno, na primer med inštaliranjem nove programske opreme, med
posodabljanjem gonilnikov, kopiranjem večjih količin podatkov in podobno. Vzrok za to je
verjetno tudi v dejstvu, da običajno vsakodnevno obiskujem ena ista spletna mesta.
Uporaba antivirusnega programa Avast Antivirus 2015 (omogočeni vsi ščiti in dodatne
funckije) pa je nujna na računalniku na drugi lokaciji. Tam računalnik uporabljajo manj
vešči uporabniki in to tudi razlog, da je bil sistem prek brskalnika Google Chrome okužen
z nadležno obliko enega od oglaševalskih programov, omogočen in pravilno nastavljen ščit
programa Avast Antivirus pa je – dokler oglaševalskega programa nisem odstranil s
programoma Bitdefender Adware Removal – sproti preprečeval odpiranje spletnih strani,
37
ki so jih vstavki poskušali naložiti. Prav tako pa je tudi onemogočal moteča oglasna okna,
ki so bila tudi posledica te okužbe.
Slika 11: Avast Antivirus 2015, upor. vmesnik, virusni zabojnik
4.3.2 Požarni zid pri Windows XP SP3
Kot zelo pomembno obliko zaščite svojega računalnika, ki ima inštaliran operacijski sistem
Windows XP, uporabljam požarni zid, ki je vgrajen v operacijski sistem Microsoft
Windows XP Professional SP3. Kot ostali požarni zidovi Windows Firewall nadzira pretok
podatkov, ki pridejo do računalnika iz drugih računalnikov, in deloma tudi pretok
informacij, ki imajo svoj izvor na lokalnem računalniku (računalnik, kjer deluje požarni
zid). Windows požarni zid, vgrajen v operacijski sistem, deluje tako, da ko se nekdo na
lokalnem omrežju ali internetu poskuša povezati z računalnikom, Windows požarni zid
blokira povezavo, dovoli pa nam, da se povezujemo v internet. V primeru, če uporabljamo
programe, kot so na primer programi za online pogovor, ali igramo igrice po internetu,
požarni zid ob zagonu takega programa prikaže opozorilno okno, mi pa moramo
povezovanje izrecno dovoliti s klikom na gumb »Unblock«. Drugi dve opciji sta »Keep
Blocking« in »Ask Me Later«.
Če se uporabnik odloči za odblokiranje povezave, požarni zid za ta program ustvari izjemo
in uporabnika v prihodnosti ne moti več z opozorilnim oknom. Pri teh povezavah, ko se
38
nekdo na lokalnem omrežju ali internetu poskuša povezati z uporabnikovim računalnikom,
in ne obratno, gre za programe na našem računalniku, ki poslušajo za prihajajoče zahtevke
za povezavo. Drugače povedano, gre za TCP povezavo v t. i. stanju »LISTENING«. Za
vsako izjemo so na voljo dodatne možnosti, kaj vse ta program sme in česa ne; dodamo
lahko na primer vrata, na katerih lahko neki program posluša za prihajajoče zahtevke,
dodajamo enega ali več računalnikov, od katerih lahko ta program vedno sprejema
zahtevke za povezavo, in tako dalje. Seveda lahko tudi tu ročno dodajamo programe in
tako za njih v naprej – preden jih prvič zaženemo in preden se prvič povežejo na internet –
nastavimo, kaj smejo in česa ne.
4.4PROGRAMI ZA VARNOST NA INTERNETU
4.4.1 Program K9
K9 je program za filtriranje elektronske pošte, ki deluje v povezavi z lokalnim e-mail
odjemalcem in avtomatično razvršča dohodna e-mail sporočila kot »spam« (neželena e-
mail sporočila) oziroma »ne-spam«. Program deluje tako, da ni potrebe po vzdrževanju −
in/ali rednem posodabljanju − pravil, glede na katera naj program sortira e-mail sporočila.
Program K9 uporablja statistično analizo dohodnih e-mail sporočil, ki po določenem času
postane zelo natančna; program se uči iz svojih napak in s časom postane vedno boljši v
prepoznavi neželene e-pošte. Še pomembnejše je to, da se program nauči prepoznati,
katera sporočila uporabnik razume kot spam e-pošto. K9 deluje samo z e-poštnimi računi,
ki uporabljajo standardni POP3 protokol, ne podpira pa računov, ki uporabljajo protokol
IMAP, niti ne podpira Hotmail, AOL in drugih računov e-pošte, ki je dostopna prek
brskalnika.
4.4.2 Program Proxomitron
Proxomitron je zelo zmogljiv lokalni filtrirni HTTP proxy. Program Proxomitron se najbolj
pogosto uporablja za blokiranje odpiranja nadležnih oken, kot so pop-ups, oglasnih pasic in
odstranjevanje multimedijskih vsebin (zvoki in animacije), ki so vgrajene v spletne strani.
Prav tako je program zmožen blokirati JavaScript skripte, spreminjati in brisati glave
HTTP sporočil in blokirati zahtevke in jih preusmeriti k oddaljenemu zunanjemu proxy-ju.
39
Program deluje prek konfiguracijskih datotek, ki vsebujejo zapletena filtrirna pravila, le-ta
pa se spreminja in njihovo delovanje omogoča in onemogoča prek programskega
uporabniškega vmesnika.
V spletnem brskalniku Internet Explorer nastavimo uporabo proxy-ja prek menija Tools,
Internet Options in v zavihku Connections za izbrano povezavo kliknemo gumb
»Setttings«, nato pa pod sekcijo Proxy Settings odkljukamo opcijo »Use a proxy server for
this connection«, nato pa preko gumba »Advanced« za HTTP in Secure pod »Proxy
address to use« vpišemo »localhost«, pod »Port« pa vnesemo število 8080.
V brskalniku Mozilla Firefox pa uporabo proxy-ja nastavimo prek menija Tools, Options,
Advanced, Network in okna, ki se odpre, ko kliknemo na gumb »Settings«. Tam namesto
»Use system proxy settings« (kar je privzeta nastavitev) izberemo »Manual proxy
configuration« in pod polji HTTP Proxy in SSL Proxy moramo vnesti »localhost«, pod
polje »Port« pa številko 8080 (ki je privzeta vrednost; lahko pa bi izbrali tudi druga vrata)-
Slika 12: Program Mozilla Firefox, proxy nastavitve
40
4.4.3 Program SpywareBlaster
Program SpwareBlaster je zelo uporaben antispyware program, ki pomaga preprečevati
inštalacijo vohunskih in drugih potencialno nevarnih programov. Njegove funkcije
vključujejo zaščito pred znanimi nevarnimi ali vsaj nezaželenimi piškotki (Cookie
Protection) in pred nevarnimi ActiveX komponentami (ActiveX Protection) za spletni
brskalnik Internet Explorer. Nudi tudi zaščito pred znanimi nevarnimi spletnimi stranmi
(Restricted Sites), kar program naredi tako, da imena teh spletnih strani doda v cono
»Restricted sites« v zavihku Security v Internet Options oknu v Nadzorni plošči. Prav tako
program nudi zaščito tudi za spletni brskalnik Mozilla Firefox pred nezažejenimi piškotki,
za spletni brskalnik Google Chrome pa pred nezaželenimi piškotki in nevarnimi skriptami
(Scipt Protection).
4.4.4 Program Spybot - S & D
Za zaščito v realnem času kot tudi za skeniranje za vohunske in oglaševalske programe
imamo na enem od računalnikov nameščen tudi program Spybot − Search & Destroy.
Program je kompatibilen z vsemi različicami Microsoft Windows od Windows 95 naprej.
Njegova naloga je predvsem skeniranje računalniškega spomina in trdega diska za
zlonamerno programsko kodo; v primeru, če tako programsko opremo odkrije, jo je z njim
možno tudi odstraniti.
Zelo uporabna je funkcija Immunization (ki je bila kot »Immunize« uporabnikom na
razpolago že v starejših verzijah programa, npr. v stabilni verziji 1.6), ki podobno kot
program SpwareBlaster naredi preventivne spremembe v nastavitvah spletnih brskalnikov
(blokira dostop do določenih spletnih strani in/ali domen), sistemskih nastavitvah in
nastavitvah za internet, in s tem vnaprej prepreči zlonamerni programski opremi možnost
delovanja (zagona) in s tem okužbe računalnika. Novejše verzije programa (v oktobru
2015 je zadnja 2.4) imajo tudi možnost nadgrajene zaščite računalnika v realnem času prek
modula Live Protection – ki je bil v okrnjeni obliki prisoten kot funkciji »SDHelper«
(aktivno blokiranje zlonamernih strani) in »TeaTimer« (varovanje raznih drugih sistemskih
nastavitev) že v starejših verzijah programa –, ki je nadgrajena prejšnja zaščita računalnika
s komponentami Spybot programa.
41
4.5DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI
4.5.1 Program xp-AntiSpy
Program xp-AntiSpy je program, ki na enem mestu omogoča spreminjanje raznih skritih
varnostnih nastavitev operacijskega sistema, omrežja in tako dalje.
Slika 13: Program xp-AntiSpy, uporabniški vmesnik, nastavitve
4.5.2 Program BugOff
Program BugOff je program, ki onemogoči razne varnostne luknje v starejših različicah
Internet Explorer in njegovih komponentah in funkcijah operacijskega sistema Windows
XP, ki ga uporabljamo na dveh napravah v našem domačem delovnem okolju.
42
Slika 14: Program BugOff, uporabniški vmesnik, nastavitve
4.5.3 Program Clamwin Antivirus
V našem delovnem okolju občasno na enem od računalnikov uporabljamo tudi brezplačni
antivirusni program Clamwin Antivirus Free, ki je namenjen samo za skeniranje
operacijskega sistema za potencialno nameščeno zlonamerno programsko kodo (zlasti
viruse), ne omogoča pa zaščite v realnem času. Program je prenosljiv, kar pomeni, da ne
potrebuje inštalacije in se ga lahko zažene z USB ključa in podobno.
4.5.4 Program Bitdefender Adware Removal
Bitdefender Adware Removal je brezplačni skener za vohunske, oglaševalske in ostale
zlonamerne programe, ki po končanem preverjanju delovnega spomina in trdega diska
43
odstrani razne tipe zlonamerne programe. Program razvija znano podjetje Bitdefender, ki
nudi licenčni antivirusni program Bitdefender Total Security 2015.
4.5.5 Program PsExec
Program PsExec je program za zagon drugih programov z zmanjšanimi pravicami. Če je
uporabnik administrator (torej z uporabniškim računom, ki ima vse pravice), lahko z
uporabo programa PsExec želene programe zažene z omejenimi pravicami (kot t. i.
»Limited User«). To je posebej koristno za programe, ki se povezujejo v internet.
Slika 15: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)
V zaslonski sliki zgoraj je vidna razlika v pravicah procesov »firefox.exe« zagnanih z in
brez programa PsExec (ima omogočenih več privilegijev).
C:
cd\
cd C:\Software\
C:\WINDOWS\psexec.exe -l -d -belownormal K9.exe
C:\WINDOWS\psexec.exe -l -d -belownormal Trayconizer.exe "C:\
Program Files\Mozilla Thunderbird\thunderbird.exe"
44
Na prejšnji strani je primer skripte s katero s PsExec zaganjam antispam program K9 in e-
mail odjemalec Mozilla Thunderbird.
Spodaj pa je skripta s katero prek PsExec zaganjamo tri različne profile programa Firefox,
ki se zaženejo kot samostojni procesi. Tako nastavljeno imamo zato, da če se mi sesuje
eden od njih, ne izgubim vseh odprtih spletnih strani oziroma že naloženih videov.
C:
set TEMP=C:\WINDOWS\Temp\
set TMP=C:\WINDOWS\Temp\
cd\
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p
profile1
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p
profile2
cd\
set TEMP=B:\Cache\Temp\
set TMP=B:\Cache\Temp\
cd\
cd C:\Software\Support\Proxomitron\
C:\WINDOWS\psexec.exe -l -d -abovenormal Proxomitron.exe
Ker je na teh Windows XP vrednost za uporabniški okoljski spremenljivki TEMP in TMP
ročno spremenjena na mapo B:\Cache\Temp\ na RAMDisk, sem v skripti za prvi in drugi
profil lokacijo spremenljivk TMP in TEMP nastavil na disk, ker bi se drugače hitro
zapolnil prostor na RAMDisk-u; primer programa, ki s svojimi datotekami hitro zapolni
ves prostor na RAMDisk-u, je vtičnik za brskalnik Adobe Flash Player. Za tretji profil,
katerega uporabljam skupaj s filtrirnim proxy programom Proxomitron, pa spremenljivko
nastavim nazaj na »Temp« direktorij na RAMDisk-u.
45
4.5.6 Programa Cryptainer in fSekrit
Program za šifriranje podatkov Cryptainer PE je šifrirni program, ki mape in datoteke
shrani v zašifriran trezor. Ta trezor je – ko ga ima uporabnik odprtega – v upravljavcu
datotek viden kot navaden pogon s pripadajočo črko pogona (npr. E:, F:). Vsebino
zašifriranih trezorjev program shrani v poljubno imenovano datoteko s poljubno končnico.
Program Cryptainer PE deluje prek funkcije povleci in spusti (angl. drag & drop) in kopiraj
in prilepi (angl. copy & paste), med kopiranjem pa se podatki zašifrirajo. Za šifriranje
podatkov sta na voljo dva algoritma: 448-bitni Blowfish in novi standard za šifriranje AES
(angl. Advanced Encryption Standard). Cryptainer je na voljo tudi v brezplačni različici
(Cryptainer LE), a pri tej različici je velikost šifriranih trezorjev omejena. V našem
delovnem okolju uporabljamo licenčno verzijo programa.
fSekrit, ki je tudi program za šifriranje podatkov, pa je namenjen za varno hranjene
šifriranih zapiskov. fSekrit deluje na drugačen način kot Cryptainer, in sicer šifrira golo
besedilo, katerega uporabnik zavaruje z varnostnim geslom, ki ga je treba vnesti ob zagonu
šifrirane datoteke. Zašifirano besedilo program hrani kot izvršljivo datoteko (datoteka s
končnico exe) s poljubnim imenom datoteke. Velika prednost uporabe programa fSekrit je
v tem, da se dešifrirani podatki nikoli ne hranijo na trdi disk, ampak so ves čas locirani
izključno v delovnem spominu računalnika. fSekrit uporablja močno šifriranje: standard
AES / Rijndael v načinu CBC z velikostjo ključa 256-bitov. Zaprte šifrirane datoteke
prograna fSekrit so majhne; velikost datotek je le okoli 50 KB plus dolžina šifriranega
besedila. fSekrit je kompatibilen s večino družin Microsfot Windows: 9x / NT / 2K / XP
(32-bit in 64-bit), razen z Windows Visto, Windows 7 in novejšimi operacijskimi sistemi.
4.5.7 Programi NoShare. SocketLock, SockLock. HijackThis
Na naših računalnikih, ki imajo inštaliran operacijski sistem Windows XP, uporabljamo še
veliko drugih uporabniških varnostnih programov (vse omeniti je praktično nemogoče
zaradi dolžine diplomske naloge), ki pa jih ne bomo bolj podrobno opisovali. V tem
primeru gre za preproste programe, ki imajo eno glavno funkcijo. Na primer s programom
NoShare lahko na operacijskem sistemu omogočimo pomembno varnostno funkcijo
zaprtega NetBIOS. S programom SocketLock inštaliramo gonilnik, ki prepreči eno od
46
ranljivih funkcionalnosti operacijskega sistema Windows XP, s podobnim programom
SockLock pa onemogočimo okužbo sistemskih datotek winsocks s trojanskimi konji
Happy99, SKA in tako dalje. Program HijackThis je namenjen temu, da naredi podroben
pregled sistema za vse programe, servise, BHO objekte in tako dalje, ki se avtomatično
zaženejo ob zagonu, uporabnik pa jih z njim po potrebi lahko tudi odstrani.
4.6PROGRAMI ZA NADZOR NAD RAČUNALNIKOM
4.6.1 Program HWMonitor
HWMonitor je program, ki v realnem času prikaže vrednosti, ki jih pridobi iz senzorjev na
matični plošči, procesorju, grafični kartici in tako dalje. S programom lahko spremljamo
vrednosti za razne parametre v zvezi s posameznimi komponentami (procesor, grafična
kartica, trdi diski, ventilatorji) strojne opreme. To so na primer trenutne vrednosti voltaže,
kot jo zaznavajo senzorji, temperatura komponent, delovanje ventilatorjev in tako dalje.
Slika 16: Program HWMonitor, uporabniški vmesnik
47
4.6.2 Program Process Explorer
Program Process Explorer je na sploh eden od najbolj uporabnih programov, z njim pa
lahko nadziramo zagnane procese, servise, t. i. »opravila« (angl. job) in posebne sistemske
procese, kot so na primer System Idle Process, Hardware Interrupts, DPCs in System.
Slika 17: Program Process Explorer, uporab. vmesnik, glavno okno
48
S programom je možno spremljati tudi, koliko odstotkov procesorske moči (ali % CPU)
vsak od njih uporablja v danem trenutku, koliko spomina zaseda, koliko I/O operacij
proces vrši, katere knjižnice uporablja, katere t. i. »niti« (angl. thread) tečejo v procesu,
katere t. i. »ročice« (angl. handle) ima odprte in tako dalje. Process Explorer ponuja toliko
funkcij, da smo našteli samo najbolj pomembne. Operacijski sistemi Windows imajo sicer
vgrajen program Task Manager, a je ta veliko manj napreden kot Process Explorer; ne
prikazuje procesov v drevesu (angl. process tree), ne kaže bolj podrobnih informacij za
vsak proces posebej – kot so na primer zgodovina rabe CPU, spomina in I/O v zavihku
Performance Graph, odprte TCP povezave v zavihku TCP/IP, niti v procesu v zavihku
Threads in tako dalje –, kot jih kaže Process Explorer.
Slika 18: Program Process Explorer, proces firefox.exe, Performance
49
Daleč najbolj prav pa pride program Process Explorer pri odpravljanju težav. Ko na primer
začne nek računalnik brez jasnega vzroka delovati (in/ali se odzivati na premike miške)
vidno počasneje, kot dela ponavadi, je v veliki večini primerov vzrok v katerem od
programov (katerem od njegovih procesov), ki se je »zataknil« in jemlje ogromno (tudi do
100% CPU) procesorske moči. Podoben primer je ko začne nek program brez nadzora
uporabljati vedno več sistemskega spomina (angl. memory leak); tudi v tem primeru je v
večini primerov vzrok v katerem od procesov, ki uporablja več spomina, kot bi ga smel. Če
je vzrok za počasno delovanje kateri od zgoraj naštetih dveh možnih vzrokov, lahko to
hitro odkrijemo s programom Process Explorer.
4.6.3 Program TCPView
S programom TCPView lahko spremljamo vse TCP in UDP povezave med dvema
točkama, tako odprte povezave v stanju »ESTABLISHED« (povezano) kot tudi neodprte
povezave v stanje »LISTENING« (»poslušanje« za dohodne povezave), pri čemer je ena
točka na lokalnem in druga na oddaljenem računalniku, v primeru nekaterih posebnih
programov pa sta obe točki na lokalnem računalniku. Program TCPView povezave, ki so
bile pred kratkim na novo vzpostavljene oziroma ustvarjene označi z zeleno barvo.
50
Slika 19: Program TCPView, uporab. vmesnik, protokol TCP
Povezave, ki so med zadnjim intervalom osveževanja prešle iz enega v drugo stanje – na
primer iz stanja »ESTABLISHED« v stanje »TIME_WAIT« – TCPView obarva z rumeno
barvo. Povezave, ki so bile pred kratkim prekinjene oziroma zaprte, pa obarva z rdečo
barvo. Program TCPView je zelo uporaben zato, ker se praktično vsak zlonameren
program povezuje v internet in lahko z njim vidimo, kateri proces se kam povezuje. Z njim
tudi poljubno ustavljamo procese, kar naredimo z desnim klikom na vrstico povezave in v
meniju izberemo »End Process«, prav tako pa lahko z njim zapiramo posamezne TCP
povezave, kar naredimo z desnim klikom na vrstico povezave in v meniju izberemo »Close
Connection«).
51
4.6.4 Program AutoRuns
S programom AutoRuns lahko nadziramo vse zagonske vnose. To so lahko programi,
knjižnice, gonilniki, servisi, BHO objekti, ki se zaženejo ob zagonu računalnika.
Posamezne zagonske vnose v registru in na disku je s tem programom mogoče tudi
omogočati, onemogočati in/ali trajno brisati. Zagonski vnosi so priročno razdeljeni v
kategorije, katerim pripadajo. Nekaj primerov kategorij: AppInit, KnownDLLs, Logon,
Winlogon, Explorer, Sheduled Tasks, Services, Drivers. AutoRuns pride zelo prav, ker se
praviloma vsak nezaželjen oziroma zlonameren program zažene že ob zagonu računalnika,
kar pomeni, da je moral v sistemski register dodati vnos za zagon. S programom AutoRuns
lahko tak vnos onemogočimo ali izbrišemo in preprečimo nadaljnjo škodo.
Slika 20: Program AutoRuns, uporab. vmesnik, zavihek Everything
52
4.6.5 Programa FileMon in RegMon
Programa FileMon in RegMon žal nista več na voljo, ker ju je nadomestil enoten program
Process Monitor. V našem delovnem okolju pa ju raje še vedno uporabljamo ločeno.
Program FileMon v realnem času nadzira delovanje datotečnega sistema, z njim pa lahko
vidimo, katere datoteke procesi odpirajo, spremljamo lahko tudi informacije, ki jih procesi
zapisujejo, kot tudi to, kam na disk jih zapisujejo. Na zaslonski sliki spodaj lahko vidimo
kako se v programu vidi, ko sem odprl urejevalnik teksta Notepad, v njem odprl in
spremenil vsebino datoteke »Test_n2.bat« in jo shranil. Prav tako se na sliki vidi, ko sem
nato v upravljavcu datotek Total Commander datoteko »Temp1.bat« preimenoval v
»Test_n1.bat«, jo odprl v programu EditPad Lite in jo shranil.
Slika 21: Program FileMon, uporabniški vmesnik
S programom RegMon pa lahko v realnem času nadziramo delovanje sistemskega registra
operacijskega sistema in z njim lahko spremljamo, kam kateri proces zapiše v register, kot
tudi, kaj zapiše. Na zaslonski sliki na naslednji strani lahko vidimo, kako se v programu
RegMon vidi, ko sem s programom AutoRuns najprej onemogočil zagon programa
TaskSwitchXP in ga nato nazaj omogočil; proces »autoruns.exe« je zagonski vnos iz
ključa »Run« premaknil v podključ »AutorunsDisabled«, nato pa nazaj v ključ »Run«.
Prav tako pa se na sliki vidi, ko sem malce zatem v programu za urejanje slik Irfan View v
mapo B:\Temp\ shranil sliko »Autoruns_Logon.png«; proces »i_view32.exe« je pot in ime
datoteke dodal pod ključ MRU.
53
Slika 22: Program RegMon, uporabniški vmesnik
Vsi programi našteti v tem podpoglavju razen programa HWMonitor, so (brezplačni)
programi s spletne strani Sysinternals. Pisanje programov za spletno stran Sysinternals se
je začelo kot stranski projekt podjetja Winternals Software LP, leta 2006 pa je podjetje
kupil Microsoft, programi s strani Sysinternals pa so postali del Microsoft TechNet.
(https://technet.microsoft.com/en-us/sysinternals/default) Spletna stran je bila ustanovljena že leta
1996, ko je na njej Mark Russinovich, sedaj razvijalec jedra novih operacijskih sistemov in
ostale programske opreme pri Microsoftu, začel na spletu deliti tehnične informacije in
sistemske pripomočke in programe, ki jih je sam napisal.
(https://en.wikipedia.org/wiki/Sysinternals) Programi se v grobem ločijo na kategorije »File and
Disk Utilities«, »Networking Utilities«, »Process Utilities«, »Security Utilities« in
»System Information Utilities«.
54
4.7VARNOSTNO KOPIRANJE PODATKOV
Poleg uporabe požarnega zidu, antivirusnega programa, in ostalih z varnostjo in zaščito
povezanih programov je v domačem delovnem okolju za varovanje podatkov najbolj
pomembno izdelovanje varnostnih kopij pomembnih podatkov. Najbolj preprosto je sproti
izdelovati varnostne kopije pomembnih datotek in map, bodisi na drugo particijo na istem
trdem disku bodisi na drugi trdi disk. Ker pa lahko zaradi nezanesljivosti strojne opreme
pride do odpovedi trdega diska, vsake toliko časa – ko se nabere dovolj podatkov –,nove
podatke zapečemo na CD/DVD optični disk. V zadnjih letih, ko so kapacitete USB ključev
postale vedno večje, pa smo se navadili na kopiranje pomembnih podatkov na dovolj velik
USB ključ. Ker sem v tem informacijskem sistemu administrator, sem postopek
varnostnega kopiranja delno avtomatiziral z uporabo skriptnih datotek, ki jih običajno sam
ročno zaganjam. Nekatere datoteke in mape kopiram pogosteje, druge redkeje; to pa je
odvisno od tega, kdaj so bile nazadnje spremenjene in koliko novih podatkov – ki bi jih v
primeru okvare trdega diska pogrešal, vsebujejo od zadnjega varnostnega kopiranja.
4.7.1 Kopiranje na drugi disk
Tukaj bomo opisali delovanje skripte, ki določene datoteke varnostno kopira z enega na
drug disk. Skripta najprej na pogonu D: v direktoriju D:\Backup\ ustvari mapo z imenom
»Docs« (če pa že obstaja, pa kopira vanjo), nato pa iz mape »My Documents« na C:
pogonu vanjo kopira vse datoteke s končnicami txt, doc in docx. V primeru, da datoteke na
ciljni lokaciji že obstajajo, skripta tja kopira samo tiste datoteke, ki so novejše kot tiste pod
ciljnim direktorijem. To dosežemo z uporabo parametra /D v ukazni vrstici programa
xcopy. Kdaj je bila katera datoteka zadnjič spremenjena, program izve iz vrednosti atributa
Spremenjeno (angl. Modified file attribute) od posameznih datotek; novejše datoteke imajo
kasnejši datum in čas. Skripta od uporabnika ne zahteva nobenih potrditev za posamezna
kopiranja, kar dosežemo s parametrom /Y.
@echo off
D:
cd\
cd Backup
55
mkdir "Docs"
C:
cd %userprofile%\My Documents\
xcopy *.txt "D:\Backup\Docs" /D /Y
xcopy *.doc "D:\Backup\Docs" /D /Y
xcopy *.docx "D:\Backup\Docs" /D /Y
4.7.2 Kopiranje na Dropbox
V primeru, ko je potrebno datoteke kopirati iz ene lokacije na pogonu C: na drugo lokacijo
na istem disku – v direktorij, ki ga uporablja storitev Dropbox – in jih s tem varnostno
kopira tudi na Dropbox strežnik, pa pride v poštev podobna skripta. Ta skripta iz mape
»My Documents« na pogonu C: v mapo »Documents« v direktoriju C:\Documents and
Settings\Administrator\My Documents\My Dropbox\Backup\ kopira vse datoteke s
končnicami doc in docx. Če nekatere (ali vse) datoteke na ciljni lokaciji že obstajajo,
skripta tja kopira samo tiste, ki so novejše od tistih v ciljni mapi. Tudi ta skripta ne zahteva
interakcije; da varnostno kopiranje pravilno deluje, pa mora biti zagnan program Dropbox,
ki sinhronizira mapo na disku z mapo na Dropbox strežniku. Če v času zagona skripte
program ni bil zagnan, bo kopiranje datotek izvedeno ob prvem naslednjem zagonu
programa Dropbox.
@echo off
C:
cd %userprofile%\My Documents\
xcopy *.doc "C:\Documents and Settings\Administrator\My
Documents\My Dropbox\Backup\Documents" /D /Y
xcopy *.docx "C:\Documents and Settings\Administrator\My
Documents\My Dropbox\Backup\Documents" /D /Y
4.7.3 Avtomatizacija z orodjem TaskScheduler
Administrator v domačem delovnem okolju lahko zagon skript popolnoma avtomatizira.
To lahko naredi z orodjem Task Scheduler, ki je vgrajeno v vse operacijske sisteme
56
Windows. Task Scheduler je orodje za avtomatizacijo opravil, deluje pa tako, da po
korakih prek čarovnika nastavimo vse potrebno za zagon programov, dokumentov ali
skript. Spodaj je zaslonska slika uporabniškega vmesnika.
(https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006)
Slika 23: Task Scheduler, skripta Backup_n1.bat
57
5 ZAKLJUČEK
Nepogrešljivost informacijske tehnologije se je v zadnjih 20−25 letih stopnjevala do te
mere, da je uporaba osebnih računalnikov, tablic, pametnih telefonov in tako dalje postala
nekaj popolnoma samoumevnega. Lahko bi rekli, da si naših življenj – pa naj gre za delo
ali izkoriščanje prostega časa oziroma zabavo – brez informacijske tehnologije skorajda ne
moremo več predstavljati. Informacijska tehnologija se je razširila na toliko področij
življenja, da velikokrat ugotovimo, kako zelo je vpletena v naša življenja, šele takrat, ko
nam ni več dostopna. Prav zaradi dejstva, da je informacijska tehnologija v zadnjih dveh
desetletjih postala tako nepogrešljiva, je varnost informacijskega sistema ključnega
pomena. Pri uporabi računalnikov, tablic in ostalih naprav za kateri koli namen že, vedno
obstajajo varnostna tveganja. Zato je izjemno pomembno, da je vsak informacijski sistem
pravilno zaščiten.
Glede varnosti pri informacijski tehnologiji obstajajo mnogi postopki in metode (v smislu
preventive) s katerimi lahko preprečimo okužbo enega ali več računalnikov, vdor v
informacijski sistem in nepooblaščen dostop do podatkov, zlorabo osebnih podatkov in
tako dalje. Prav tako obstaja mnogo varnostnih programov, ki spadajo pod preventivo.
Nekaj teh programov smo tudi omenili in opisali v tej diplomski nalogi. V primerih, ko
takih varnostnih incidentov ne moremo preprečiti, pa lahko z dosledno uporabo nekaterih
konkretnih dobrih varnostnih praks in programske opreme dosežemo, da bo, če do
incidenta pride, škoda veliko manjša, kot bi bila, če se jih ne bi držali. S pametno
konfiguriranim in zavarovanim informacijskim sistemom in pravimi orodji pa lahko že na
začetku zelo zmanjšamo možnost, da do varnostnih incidentov sploh pride.
Analiza stanja informacijskega sistema z vidika varnosti in analiza izkušenj iz preteklosti
glede varnostnih incidentov v domačem delovnem okolju pritrjujeta zastavljeni hipotezi,
da lahko z dobro zavarovanim informacijskim sistemom zelo zmanjšamo možnost za
okužbo računalnikov, izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov
in ostalih varnostnih incidentov, ne glede na stopnjo računalniškega znanja končnega
uporabnika.
58
6 LITERATURA
Bradley, T. Pros and Cons of Windows 7 Security. (online). 2009. (citirano 4. 7. 2015).
Dostopno na naslovu: http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html
Dropbox. What happens when I delete a file? (online). (citirano 6. 7. 2015). Dostopno na: https://www.dropbox.com/help/115?path=space_and_storage
Free Software Foundation. Proprietary Software – GNU Project (online). 2015. (citirano 5.
9. 2015). Dostopno na naslovu: http://www.gnu.org/philosophy/proprietary.html
Kaspersky Lab. Kaspersky Security Bulletin 2014. Overall statistics for 2014 (online).
2014. (citirano 5. 9. 2015). Dostopno na naslovu: https://securelist.com/analysis/kaspersky-
security-bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/
OpenDNS. Fast, Intelligent DNS Service (online). (citirano 27. 6. 2015). Dostopno na
naslovu: https://www.opendns.com/about/global-dns-infrastructure/
Microsoft. Using the Task Scheduler (Windows) (online). 2015. (citirano 7. 7. 2015).
Dostopno na naslovu: https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006
Microsoft. What are User Account Control settings? (online). 2015. (citirano 5. 7. 2015).
Dostopno na naslovu: http://windows.microsoft.com/en-us/windows/what-are-user-account-control-
settings#1TC=windows-7
Microsoft. Windows Sysinternals: Documentation, downloads and additional resources
(online). 2015. (citirano 20. 9. 2015)
https://technet.microsoft.com/en-us/sysinternals/default
Microsoft. Windows 7 Security Features (online). 2014. (citirano 5. 7. 2015). Dostopno na
naslovu: http://www.microsoft.com/security/pc-security/windows7.aspx
59
NSA, The Information Assurance Mission at NSA. Security Highlights of Windows 7
(online). 2014. (citirano 4. 7. 2015). Dostopno na naslovu: https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf
Use Wisdom. Passwords (online). (citirano 6. 6. 2015). Dostopno na naslovu: http://www.usewisdom.com/computer/passwords.html
WhatIs.com. What is botnet (zombie army)? (online). 2012. (citirano 28. 6. 2015).
Dostopno na naslovu: http://searchsecurity.techtarget.com/definition/botnet
Wikipedia. Dropbox (service) (online). 2015. (citirano 5. 7. 2015). Dostopno na naslovu: https://en.wikipedia.org/wiki/Dropbox_(service)
Wikipedia. OpenDNS (online). 2015. (citirano 27. 6. 2015). Dostopno na naslovu: https://en.wikipedia.org/wiki/OpenDNS
Wikipedia. Sysinternals (online). 2015. (citirano 20. 9. 2015). Dostopno na naslovu: https://en.wikipedia.org/wiki/Sysinternals
Wikipedia. Windows Update (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu: https://en.wikipedia.org/wiki/Windows_Update
Wikipedia. Windows XP (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu: https://en.wikipedia.org/wiki/Windows_XP
YouTube. Hacked off in 2014: the cyber-battle for cash and privacy, Kaspersky Lab.
(online). 2014. (citirano 26. 9. 2015). Dostopno na naslovu:
https://www.youtube.com/watch?v=u4TNc2gnVmc
60
IZJAVA O AVTORSTVU DIPLOMSKE NALOGE
Diplomant: Tadej Peršič,
rojen: 13. 7. 1980 v kraju Ljubljana,
i z j a v l j a m,
da sem diplomsko nalogo z naslovom:
CELOVITO ZAGOTAVLJANJE
INFORMACIJSKE VARNOSTI DOMAČEGA
OKOLJA ALI MIKRO PODJETJA
izdelal in napisal samostojno.
Kranj, oktober 2015 Podpis študenta:
ZAŠČITA DIPLOMSKE NALOGE
A. Copyright c: - diplomant Tadej Peršič podpis
Kopiranje in vsakršen drug način razmnoževanja v celoti ali posameznih delov ni
dovoljeno brez predhodnega pisnega dovoljenja nosilcev te pravice.
B. Glede na Zakon o avtorskih pravicah in sorodnih pravicah (UL RS št. 21/95, 9/01,
30/01, 85/01, 43/04, 58/04, 94/04, 17/06, 44/06, 139/06, 16/07) in Zakona o industrijski
lastnini (UL RS št. 13/92, 13/93, 27/93, 34/97, 75/97) in velja še naslednje:
Diplomska naloga – arhivski izvod si je možno ogledati samo v prostorih knjižnice
Šolskega centra Kranj, s pisnim dovoljenjem:
avtorja – diplomanta
diplomant Tadej Peršič podpis avtorja – diplomanta
Če ni avtorjevega – diplomantovega podpisa, je diplomska naloga v knjižnici Šolskega
centra Kranj nedostopna za vpogled.
Pojasnilo k B točki:
Lastnoročni podpis avtorja – diplomanta dovoljuje ogled diplomske naloge le v
knjižnici Šolskega centra Kranj,
Brez lastnoročnega podpisa avtorja – diplomanta ogled diplomske naloge ni možen.
Kranj, oktober 2015