7. diel - Nastavujeme operačný systém - Súkromie, antivírusy a ďalšie SW
V predchádzajúcej lekcii, Nastavujeme operačný systém - Užívatelia a prihlasovanie , sme sa dozvedeli, ako správne využívať zabezpečenie na základe užívateľských účtov.
V dnešnej lekcii seriálu venovanom kybernetickej bezpečnosti dokončíme nastavenie operačného systému kontrolou nastavenia súkromia a pustíme sa na tému softvér. V tutoriále spomenieme antivírusový softvér, zásady bezpečnej práce pri inštalácii programov a ich aktualizácii a ukážeme si, ako využiť nastavenie riadeného prístupu k zložkám na minimalizáciu rizík.
Kontrola nastavenia súkromia
Bezpečnostne kritickým hardvérom, ktorý nás môže špehovať, je vstavaná kamera a mikrofón počítača. Úplne najbezpečnejším riešením je prostá krytka na kameru (prípadne čierna izolačná páska) a žuvačka nalepená na otvor s mikrofónom:) Ak však z nejakého dôvodu tieto tradičné anti-hackerské opatrenia používať nechceme, skontrolujme aspoň v Nastaveniach Windows v položke Súkromie, ktoré aplikácie majú k týmto zariadeniam prístup.
Pokiaľ mikrofón a/alebo kameru bežne nepoužívame, silne odporúčame ich v systéme deaktivovať úplne. Jednoducho hneď prvú položku v zozname Povoliť aplikáciám prístup ku kamere prepneme na Vypnuté (budeme na to potrebovať administrátorské práva). Ak kameru potrebujeme používať, skontrolujme si, čo zaberá (napríklad spustením aplikácie „Kamera“). Rozhodne by nemala zaberať napríklad klávesnicu, na ktorej zadávame heslá! Ďalej sa pozrieme, či k nej majú povolený prístup iba tie aplikácie, v ktorých ju skutočne používame. Je to ale len riešenie typu „lepšie ako nič“, pretože tradičné desktopové aplikácie týmto spôsobom obmedziť nemožno!
V rovnakom nastavení nájdeme aj povolenie prístupu k našej polohe či možnosť nás identifikovať podľa reklamného ID.
Dodatočný antivírusový softvér
Antivírusový (presnejšie antimalwareový) softvér býval predtým obľúbeným a odporúčaným bezpečnostným opatrením pre Windows, aj keď toto riešenie malo vždy svojich priaznivcov aj odporcov. Osobne zastávam názor, že takéto zabezpečenie má byť súčasťou operačného systému. Okrem špecifických prípadov mi teda nepríde vhodné použiť dodatočný program tretej strany.
Výnimkou môže byť napríklad komplexné riešenie zabezpečenia celej siete, kde však nejde o typické antivírusové riešenia, ale ide skôr o centrálne monitorovanie pokusov o prienik alebo neštandardných, a teda podozrivých operácií.
Ako spomenieme ďalej, môžeme nechať program preveriť externým antivírusom.
V dnešnej dobe je dilema použitia antivírusov už viac-menej vyriešená, pretože takýto softvér je začlenený do štandardnej výbavy Windows priamo Microsoftom a počiatočné „detské“ choroby už má tiež za sebou. Ide o nástroj nazvaný Windows Defender. Nájdeme ho v hlavnej ponuke pod názvom „Zabezpečenie Windows“. Jeho východiskové nastavenie je pomerne rozumné, takže sa vo väčšine prípadov obmedzíme len na jeho kontrolu:
- V časti Ochrana pred vírusmi a hrozbami môžeme spustiť klasickú antivírusovú kontrolu. My tu prejdeme položky Nastavenie ochrany pred vírusmi a hrozbami, kde nastavíme všetko na Zapnuté. U Aktualizácia ochrany pred vírusmi a hrozbami, skontrolujeme, či zobrazuje aktuálny dátum. Riadenému prístupu k zložkám sa budeme venovať nižšie, rovnomennú položku aj ponuku Ochrana pred ransomwarom, teda zatiaľ preskočíme.
- Firewall a ochrana siete by mal byť zapnutý. Ak klikneme na
Povoliť aplikáciu v bráne firewall otvoríme zoznam aplikácií,
ktoré môžu cez firewall posielať sieťové požiadavky. Z bezpečnostného
hľadiska nás skôr zaujíma, čo na ktorom porte skutočne počúva, čo
môžeme zistiť v PowerShellu Windows cez príkaz:
netstat -a | findstr LISTENING
. Ide o tému, ktorá vyžaduje trochu hlbšiu znalosť sieťovej problematiky a presahuje tak rámec nášho článku. - V ponuke Riadenia aplikácií a prehliadačov rozhodne zapneme Ochranu na základe reputácie (filter SmartScreen) pre všetko. Ak neprevádzkujete aplikácie ako sú napríklad programy na ťažbu kryptomien, zvoľte aj Blokovanie potenciálne nežiaducich aplikácií.
Inštalácia programov
Najskôr by sme si mali uvedomiť, že spustenie akéhokoľvek programu je bezpečnostne kritická operácia všeobecne. Môžeme mať na disku celú zbierku najrôznejšieho škodlivého kódu, prezerať si ho, upravovať, kompilovať a nič sa nestane, kým niekto nedá počítaču príkaz, že ho má tiež vykonať – tj spustiť. A to úplne najhoršie, čo môžeme urobiť, je spustiť ho navyše s právami administrátora. Čo je presne to, čo sa deje, keď program inštalujeme.
Preto je úplne kľúčové program dokonale preveriť, než sa pustíme do jeho inštalácie. V zásade sú dve možnosti, ako sa takýto škodlivý kód do programu môže dostať:
- Autor programu ho tam začlenil úmyselne a celá aplikácia je už na tento účel napísaná.
- Pôvodná a úplne korektná aplikácia je „nakazená“ pridaným škodlivým kódom.
Preto pri inštalácii dodržujeme nasledujúce zásady:
- Inštalujeme iba aplikácie, ktoré sú bežne známe a používané, prípadne sme si o nich niečo vopred zistili. Ak z nejakého dôvodu (napr. na testovanie) potrebujeme inštalovať aj ďalšie aplikácie, kúpme si na to najlepšie zvláštny počítač alebo aspoň SandBox či VirtualBox (o ich použití sa niečo dozvieme v záverečných lekciách).
- Programy sťahujeme iba z dôveryhodných zdrojov, najlepšie z ich oficiálnych stránok. Že stránky patria skutočne tomu, kto je tam uvedený (autorovi či distribútorovi daného softvéru), poznáme z ich certifikátu a nie vzhľadu!
- Nikdy neuškodí, keď si stiahnutý súbor preveríme externým antivírusom. Použiť môžeme napr. VirusTotal, ktorý aplikáciu preverí niekoľkými desiatkami antivírusov naraz. Súbor sem po stiahnutí stačí len pretiahnuť priamo z prehliadača. Bežne sa odosiela iba hash súboru, takže nás to ani nijak zvlášť nezdrží.
- Väčšina
.exe
a.msi
inštalátorov už dnes obsahuje digitálny podpis autora alebo distribútora aplikácie. Ak by ho niekto zmenil, podpis by už nesúhlasil. Windows nám ho zobrazí spolu so žiadosťou o potvrdenie, že program skutočne chceme spustiť. Skontrolujme si, že skutočne zodpovedá očakávanej identite autora, než spustenie potvrdíme.
Stará programátorská poučka hovorí, že v každom programe je aspoň jedna chyba. To síce exaktne vzaté pravda byť nemusí, avšak to v praxi rozhodne platí o každom zložitejšom programe, najmä v prípade, že sa stále vyvíja a pridávajú sa k nemu nové a nové funkcie. Preto je u väčšiny programov viac než vhodné zaistiť ich aktualizáciu v čo najkratšom čase - často stačí zapnúť automatické aktualizácie priamo v nastavení konkrétneho programu. To platí najmä o operačnom systéme samotnom a ďalej pri programoch, ktoré komunikujú s internetom a/alebo interpretujú cudzí kód. Ako príklad spomeňme rôzne prehliadače alebo programy z Office, ktoré zase môžu interpretovať makrá.
Riadený prístup k zložkám
Ako sme už spomenuli vyššie, v zabezpečení Windows pod označením Ochrana pred ransomwarom nájdeme tiež Riadený prístup k zložkám. Po jeho aktivácii tu je možné špecifikovať tzv. chránené zložky, do ktorých môžu pristupovať iba povolené aplikácie. To môže pomôcť, ak spustíme nedopatrením nejakú zavírovanú aplikáciu. Naše dáta v chránených zložkách ochránia za predpokladu, že program nepobeží s právami administrátora. V opačnom prípade záleží na tom, ako je daný vírus šikovný na to, aby dokázal administrátorské práva využiť.
Ide teda o veľmi účinný spôsob ochrany našich dát, vlastne o akýsi slabší odvar z vysoko zabezpečených systémov C3+, používajúcich na zabezpečenie spravidla jadro SE Linux (stručne sa ním zoznámime v závere kurzu). V riadených zložkách ale bohužiaľ nemáme možnosť riadiť prístup k určitým typom súborov a rozlišovať aspoň práva na read/write a samozrejme špeciálne právo na zmenu typu súboru.
Odporúčame túto ochranu zapnúť až potom, čo si dôkladne rozmyslíme, kam jednotlivé súbory budeme ukladať a ktoré programy na prácu s nimi budeme používať. Počítajme tiež s tým, že nám Windows budú neustále pri niečom prekážať (a navyše nám neumožnia v danej chvíli intuitívne daný program pridať do oprávnených), než tento systém vychytáme.
V nasledujúcom kvíze, Kvíz - Bezpečnosť hesiel a nastavenie operačného systému, si vyskúšame nadobudnuté skúsenosti z predchádzajúcich lekcií.