Wielkimi krokami zbliża się ten piękny czas w roku, kiedy jedziecie do rodzinnych domów naprawiać drukarki. Przy okazji chcieliśmy Wam zaproponować jak możecie szybko poprawić bezpieczeństwo komputerów osób o mniejszej wiedzy informatycznej.
Poniższy zestaw porad nie jest uniwersalnym rozwiązaniem wszystkich problemów z bezpieczeństwem IT, nie jest także zestawem najlepszych praktyk. Ma zadanie pomóc Wam uchronić osoby dużo mniej świadome zagrożeń przed najpopularniejszymi w Polsce atakami na zwykłych użytkowników. Poniższa lista dotyczy głównie systemu Windows – posiadacze pozostałych systemów pewnie poradzą sobie sami.
1. Migracja poczty elektronicznej
Na skrzynki pocztowe Polaków codziennie trafia masa koni trojańskich przebranych i zamaskowanych na przeróżne sposoby. Z naszych testów wynika, że jest jeden dostawca poczty, który radzi sobie z każdym złośliwym oprogramowaniem (i przy okazji ogromną częścią spamu) i jest to Gmail. Z ostatnich 30 ataków Gmail wyłapał i zablokował 30 i zrobił to natychmiast po ich rozpoczęciu. Jeśli chcecie uchronić bliskich przed złośliwymi załącznikami i phishingiem, skonfigurujcie im skrzynkę na Gmailu. Nie muszą rezygnować z dotychczasowego adresu – na Gmailu można odbierać pocztę z innego konta i jako inne konto ją wysyłać.
Plusy: skuteczny filtr złośliwego oprogramowania i phishingu oraz spamu
Minusy: oddajemy kawałek prywatności Google
2. Nowoczesna przeglądarka
Drugim najpopularniejszym sposobem ataków na komputery jest wykorzystanie błędów w przeglądarkach oraz ich wtyczkach. Upewnijcie się, że Wasi bliscy korzystają z aktualnych wersji przeglądarek. Jeśli jest to Chrome lub Firefox, to sprawdźcie, czy są włączone automatyczne aktualizacje. Jeśli jest to Internet Explorer, którego nie można zaktualizować do wersji 11 lub Edge (np. na starym systemie operacyjnym), to ustawcie jako domyślną Chrome lub Firefoksa. Nowoczesne przeglądarki potrafią także wykrywać sporą część zagrożeń (na podstawie list znanych złych adresów) – na pewno nie zaszkodzi.
Plusy: większa ochrona
Minusy: w zasadzie brak
3. Click to play
Ataki na przeglądarki głównie wykorzystują nieaktualne wersje wtyczek (a czasem także błędy typu 0day, szczególnie we Flashu). Jedną z metod obrony jest funkcja click-to-play, czyli wyłączenie automatycznego uruchamiania obiektów takich jak Flash czy Java. Efektem ubocznym jest wyłączenie części reklam – czyli same korzyści. Chrome ma tę opcję domyślnie włączoną, Firefox chyba też. Jeśli nie – ustawcie click-to-play na wszystkie wtyczki i pokażcie bliskim, jak będą wyglądać strony i co trzeba zrobić, by np. uruchomić odtwarzanie filmów lub inną potrzebną funkcję.
Plusy: większe bezpieczeństwo, mniej reklam
Minusy: czasem może byc potrzebne dodatkowe kliknięcie
4. Blokowanie reklam
Jednym z najpopularniejszych sposobów dostarczania złośliwego oprogramowania są zainfekowane systemy reklam internetowych. Ich wyeliminowanie jest dobrym pomysłem, niosącym także korzyści w zakresie wygody korzystania z niektórych stron WWW. Zainstalujcie bliskim wtyczkę blokująca reklamy. My korzystamy z uBlock Origin – działa. Pokażcie im także jak wtyczkę dla danej strony wyłączyć – czasem może to być konieczne, by obejrzeć jakiś materiał.
Plusy: bezpieczniej i ładniej
Minusy: brak
5. Automatyczne aktualizacje
Jedną z przyczyn udanych ataków jest brak aktualizacji systemu operacyjnego i znajdujących się w nim programów. Włączcie automatyczne aktualizacje tam, gdzie jest to możliwe: Windows, Flash, Java, przeglądarki itp. Możecie także użyć takich narzędzi jak Secunia Personal Software Inspector, który pomoże w zarządzaniu aktualizacjami.
Plusy: bezpieczniej
Minusy: okresowe restarty komputera
6. Antyexploit
Nie mamy pojęcia, dlaczego jedno z najlepszych narzędzi zabezpieczających przed atakami jest tak mało popularne. Zainstalujcie na komputerach swoich bliskich (i swoich też!) Malwarebytes Anti-Exploit. To program blokujący wiele metod przejmowania kontroli nad procesami działającymi na komputerze. Nawet jeśli jakiś błąd typu 0day prześliźnie się przez przeglądarkę lub wtyczkę, to Anti-Exploit prawdopodobnie go zablokuje (w tym roku pokonał wszystkie znane ataki 0day na Flasha). Program jest darmowy, nie obciąża komputera i nie wymaga konfiguracji.
Malware Anti-Exploit
Podobnie działa także EMET Microsoftu (polecamy jednak do środowisk korporacyjnych, może wymagać konfiguracji) oraz Hitman ProAlert (płatny).
Plusy: dodatkowa ochrona
Minusy: brak
7. Uprawnienia administratora
Osoby, które nie posiadają prawie żadnej wiedzy IT rzadko potrzebują uprawnień administratora do swojego komputera. Załóżcie im konto zwykłego użytkownika, powinno wystarczyć. Pomoże to ograniczyć skutki potencjalnych ataków.
Plusy: ograniczenie strat w razie udanego ataku
Minusy: może być konieczna interwencja zdalna w razie problemów
8. Kopie bezpieczeństwa
Skonfigurujcie automatyczne kopie bezpieczeństwa najważniejszych folderów na komputerach Waszych bliskich. Czy będzie to Pulpit, czy Moje Dokumenty – nauczcie ich zapisywać tam wszystko, co ważne (lub wybierzcie folder, gdzie i tak już zapisują) oraz skonfigurujcie automat kopiujący dane w inne miejsce i zachowujący poprzednie wersje plików. Czy będzie to chmura typu Box czy Dropbox, czy dysk sieciowy w sieci lokalnej, to sprawa drugorzędna. Kopia dokumentów czy zdjęć na pewno kiedyś okaże się przydatna. Dobrze także jeśli kopia wykonywana będzie z uprawnieniami innego użytkownika na wypadek ataku ransomware.
Plusy: kopia danych zawsze się przyda
Minusy: trochę pracy przy konfiguracji, koszty lub prywatność
9. Uwierzytelnienie dwuskładnikowe
Może niektórym wyda się to już przesadą, ale naprawdę w dzisiejszych czasach, gdy każdy ma komórkę a dostawcy usług w internecie oferują darmowe wysyłanie SMSów z kodami uwierzytelniającymi wstyd nie skorzystać. Nawet jeśli gdzieś wycieknie hasło Waszych bliskich, to przestępcy i tak nie dostaną się do ich kont. Poza tym podawanie tego kodu raz na miesiąc nie jest dużą uciążliwością. Skonfigurujcie 2FA wszędzie tam, gdzie jest dostępne i gdzie znajdują się jakiekolwiek istotne dane (poczta, serwisy społecznościowe, kopie bezpieczeństwa).
Plusy: dodatkowe bezpieczeństwo
Minusy: lekka uciążliwość, konieczność edukacji
10. Zdalny dostęp
Próbowaliście kiedyś komuś pomóc przez telefon nie widząc jego ekranu? Jeśli tak, to na pewno już zainstalowaliście tej osobie rozwiązanie do zdalnego dostępu. My używamy TeamViewera – działa zawsze i łatwo zapamiętać identyfikatory zarządzanych komputerów. Nie raz uratował nas przed daleką wycieczką lub mozolnym czytaniem każdego komunikatu na ekranie po kolei.
Plusy: wygoda
Minusy: brak
Podsumowanie
Na powyższej liście brak jest wielu pozycji, które także mogą poprawić bezpieczeństwo. Wybraliśmy jednak 10 naszym zdaniem najważniejszych i oferujących najlepszy stosunek trudności ich wdrożenia do osiąganego efektu. Jeśli przeszliście już całą listę, to możecie jeszcze zaktualizować Windowsy do co najmniej 8.1 (precz z XP!), sprawdzić konfigurację antywirusa i przeskanować dysk po uruchomieniu komputera z płyty / USB, zamienić Adobe Readera na Foxita lub inną alternatywę, wgrać alternatywne oprogramowanie na domowy ruter czy nauczyć korzystania z banku tylko z systemu uruchomionego z płyty DVD. Może macie także swoje patenty i przemyślenia – zapraszamy do dzielenia się nimi w komentarzach. Miłego naprawiania drukarek!
Komentarze
Teoretycznie można Sandboxie zainstalować i powiedzieć ciotce „ej, ciotka, małpo wredna, ty lubisz instalować 30 programów dziennie przez asystenty pobierania więc od teraz kliknij prawym na pliku EXE i wybierz „Uruchom w Sandboxie”, rozumiesz, czy mam cię zabić?”.
I będzie spokój, poinstaluje sobie 200 programów i syfu nie narobi, o ile ogarnie sandboxie i uruchamianie programów przez sandboxie.
Można też WORDA i czytnik PDF firewallem zablokować, bo i tak marna szansa by przeciętna, nieogarniająca osoba potrzebowała tych programów z dostępem do netu, a przynajmniej w tle nic nie ściągną.
PDF-XChange polecam.
Poleciłbym comodo internet security, ale dla babć, dziadków, ciotek może się nie nadawać, zobaczą alert z HIPS i zaczną wydzwaniać „wnusiu, coś ty narobił! pentagon i NSA mi w kompie siedzą i pytają o pozwolenia na coś, nie chcę skończyć w kryminale, powiem matce jak tego nie odkręcisz”.
Do punktu 4 można dodać to: http://someonewhocares.org/hosts/
Pytanie: czy taki potężny plik hosts nie zamula czasem rozwiązywania nazw? Mowa bardziej o Windowsie.
team viewer to chmura a chmura jest beee
Secunia Personal Software Inspector – czy ten program dalej ma aktualne bazy załatanego oprogramowania?
I w pkt-cie 5 minusem jest też to, że czasem aktualizacja coś popsuje albo wciśnie reklamę Windowsa 10.
„6. Antyexploit”
Szkoda, że to oprogramowanie ma ochronę przed pdfami już w wersji płatnej bo patrząc po komentarzach pod twoimi artykułami to sporo osób pada ofiarami tego badziewia. Niemniej zawsze coś ;)
Ofiary to są raczej od PDF.EXE a na to antiexploit nie pomoże :)
Zawsze też można włączyć otwieranie PDFów w Chrome (sandbox)
Racja, lecz mało kto aktualizuje Adobe Readera i na niego też jest sporo dziur.
Przecież Malwarebytes A-E w wersji free nie chroni systemu w czasie rzeczywistym. Można jedynie odpalić go na żądanie i dlatego ludzie go nie używają.
Nie pomylił Ci się z antimalware?
Dokładnie tak jest jak piszesz. Od kilku miesięcy korzystam dopiero z WinSzitu i mylą mi się wszystkie progi na ten OS. Zwłaszcza, że nazwy są łudząco podobne. Ale Anti-Exploit miałem kiedyś zainstalowanego i jakieś problemy z nim miałem, że go odinstalowałem. Ale nie kojarzę już z czym się gryzł..
Też kiedyś miałem potrzebę zbawiania świata i zabezpieczania komputerów bliskich. Kończyło się ciągłymi prośbami „jak to wyłączyć” „czemu mi się program nie wgrywa” „strony nie działają”. Olałem to, ja mam swojego lapka, stacjonarke, które są zabezpieczone zgodnie ze sztuką i od lat pracują jak nowe. To, że ktoś sobie komputer zasyfi bo instalował bzdury z reklam to już jego problem.
Ja nie przepadam za podsłuchiwaniem (czy nawet możliwością techniczną) mojej komunikacji przez włamywaczy, a zabezpieczenie tylko swojego komputera nie wystarcza do zabezpieczenia komunikacji.
Poza tym jak coś się stanie u najbliższych np. trojan wyciągnie z konta żony kasę to potem konsekwencje mogą być wspólne ;)
Z drugiej strony masz rację.
Więc zabezpieczanie komputera teścia kuzyna brata żony rzeczywiście można sobie odpuścić, ale chociaż w najbliższym otoczeniu można poprawić.
Czyli przychodzi do ciebie matka/ciotka/babcia/dziadek z prośbą o wyczyszczenie i konfigurację komputera, a ty odpowiadasz „spadaj, gówno mnie to obchodzi, to twój problem”? A pamiętasz jak srałeś w pieluchę i chodziłeś z gilami pod nosem? A jak czekałeś głodny na obiad? Czy ktokolwiek powiedział ci „to twój problem”, gówniarzu? Trochę pokory by ci się przydało.
Dokładnie. Teraz na telefon instruuję znajomych jak uruchomić przywracanie obrazu systemu ;). Wiem wredny jestem, ale wcześniej robiłem usuwanie wirusów i innego syfu, bawiłem się w ratowanie a czasem odzyskiwanie danych, odinstalowanie syfu, optymalizacje, a wygodny skurczybyk przynosił mi po tygodniu że nie działa. Zaglądam a tam pełno syfu z dobre programy itp, wirusiska zewsząd :) Teraz zmądrzałem i nie mam na to czasu. Przywracanie systemu, a na pytanie co się stało z moimi danymi odpowiadam, że wirusy skasowały. taka nauczka zostaje na długo a efekt 100 razy lepszy niż edukacja i kilkudniowa zabawa
Dzięki za podanie nazwy „uBlock Origin” muszę przyznać że od dawna korzystałem z adblock ale on mi zamulał FF :/ a uBlock jakby przyspieszył wczytywanie ;)
AdBlock EDGE
https://www.eff.org/privacybadger – polecam (full automat)
Dziękuję za ten wpis.
Malware a-e zainstaluję, choć szkoda że nie ma wersji na linuxa.
spróbuj w WineHQ, powinno działać :-P
Dzięki, tak się zasiedziałem od lat przy pingwinku, że o biednych przyjaciołach z Windows zapomniałem. Teraz im pomogę :)
„lub Edge (np. na starym systemie operacyjnym)” – what?!
Przeczytaj jeszcze raz całe zdanie na spokojnie.
„zamienić Adobe Readera na Foxita lub inną alternatywę” – niby dlaczego „cokolwiek do odczytu PDF’ów” jest lepsze od AR? (źródła proszę)
https://web.nvd.nist.gov/view/vuln/search-results?query=Adobe+Reader&search_type=all&cves=on : 517 wyników
https://web.nvd.nist.gov/view/vuln/search-results?query=foxit&search_type=all&cves=on : 26 wyników.
Czy to że w Windows jest znajdywanych (i łatanych) więcej „dziur”
https://web.nvd.nist.gov/view/vuln/search-results?adv_search=true&cves=on&cpe_vendor=cpe%3a%2f%3amicrosoft&cpe_product=cpe%3a%2f%3a%3awindows&cve_id=
niż w Linux’ach
https://web.nvd.nist.gov/view/vuln/search-results?adv_search=true&cves=on&cpe_product=cpe%3a%2f%3a%3alinux&cve_id=
świadczy o tym że Windows jest gorszym systemem od Linux’a (czy może że jego udział w rynku jest większy)?
I czy z tego powodu należy przyjąć zasadę że każdemu (zwłaszcza wspomnianym „ciotkom/siostrzeńcom/etc.”) należy zalecać/wykonywać przesiadkę na Linux’a?
Nie.
tak
Adam cie zawstydzil!
Dzięki, już wiem co będę robił w Święta!
;-)
@3. Click to play
Na niektorych stronach (pozdro VOD tvp.pl i player polskieradio.pl) bez odpalenia inspektora i wywalenia overlaya nie da rady, mozna sobie klikac do woli. A od niedawna chrome (i pochodne) wymaga prawokliku do odpalenia a ilosc stron wylaczajacych prawoklik przez zaslanianie 'oncontextmenu’ tylko rosnie…
Od kiedy Chrome wymaga prawokliku? Mam chyba najnowszą wersję (47.0.2526.106 m) i nigdy czegoś takiego nie zaobserwowałem…
Wg mnie podstawowym rozwiązaniem, które częściowo zabezpiecza komputer jest filtrowanie ruchu na poziomie serwerów DNS (np. https://dns.norton.com lub https://www.opendns.com), co dodatkowo odciąża łącze.
http://pcsupport.about.com/od/tipstricks/a/free-public-dns-servers.htm
+
https://www.grc.com/dns/benchmark.htm
Dokładnie, dodałbym do listy darmową usługę OpenDNS Home https://www.opendns.com/home-internet-security/. Szkoda, że nasze urzędy nie dbają tak o bezpieczeństwo swoich obywatli. IRS np. publikuje cyklicznie porady bezpieczeństwa, w tym co obywatel powinien zrobić jeśli padnie ofiarą Identity Theft.
* Stop.Think.Connect. Tip Card: Cybersecurity While Traveling – http://www.dhs.gov/sites/default/files/publications/Cybersecurity While Traveling_7.pdf
* Cyber Security Tip ST11-001: Holiday Traveling with Personal Internet-Enabled Devices – http://www.us-cert.gov/cas/tips/ST11-001.html
* Cyber Security Tip ST05-017: Cybersecurity for Electronic Devices – http://www.us-cert.gov/cas/tips/ST05-017.html
* Cyber Security Tip ST04-017: Protecting Portable Devices: Physical Security – http://www.us-cert.gov/cas/tips/ST04-017.html
* IRS Security Awareness Tax Tip Number 1: https://www.irs.gov/uac/Seven-Tips-to-Protect-Your-Computer-Online
* IRS Security Awareness Tax Tip Number 2: https://www.irs.gov/uac/Dont-Take-the-Bait-Avoid-Phishing-and-Malware-to-Protect-Your-Personal-Data
* IRS Security Awareness Tax Tip Number 3: https://www.irs.gov/uac/Seven-Steps-for-Making-Identity-Protection-Part-of-Your-Routine
* IRS Security Awareness Tax Tip Number 4: https://www.irs.gov/uac/What-You-Need-to-Know-to-Protect-Your-Passwords
* Securing Home and Small Business Routers: https://www.us-cert.gov/ncas/current-activity/2015/12/15/Securing-Home-and-Small-Business-Routers
* ST15-002: Securing Your Home Network: https://www.us-cert.gov/ncas/tips/ST15-002
* ST15-003: Before You Connect a New Computer to the Internet: https://www.us-cert.gov/ncas/tips/ST15-003
* Identity Protection: Prevention, Detection and Victim Assistance: https://www.irs.gov/Individuals/Identity-Protection
* https://www.youtube.com/watch?v=nOt7U23n5lc
A co robią nasze urzędy w tym temacie ja się pytam?!
No nie no, z tym gmailem to trochę przesadziłeś :) Przekonywać samego siebie i rodzinkę do założenia konta na gmailu? Przecież w środowisku fanów anonimowości gmail jest wyśmiewany, tam wszystko jest monitorowane. Kiedyś chciałem założyć jedno konto do testów na gmailu to małpa za każdym razem chciała nr tel do zweryfikowania rejestracji :/
Reszta porad Ok, ja bym dodał jeszcze dodatek NoScript (jest na wszystkie mozillo podobne przeglądarki) daje to tyle, że na nowo odwiedzanej stronie (nie zaufanej) blokuje skrypty javascrips, iframy, jave, itd chyba że zaznaczymy że ma zezwalać. Warto by było dopisać wymianę domyślnej adobowej przeglądarki pdf’ów na coś mniej podatnego. Ktoś mógł by coś sensownego polecić? Mam sumatrę ale niewiem czy nie ma czegoś lepszego. Deinstalację javy jeśli komuś nie jest potrzebna. Zamiast Chrome może lepiej Iron albo Operę?
Całkiem dobry potencjał ma również SpyShelter AntiKeylogger naszej polskiej produkcji. Autorzy się trochę ogarnęli i darmowa wersja już obsługuje systemy 64bitowe.
@kwestia gmaila w tym przypadku – to sie jakos zwie fachowo, cos jak adekwatnosc srodkow do zagrozenia.
Innymi slowy – nie przerzucaj swojej paranoi na czlonkow rodziny jesli nie jest to uzasadnione a naklady na bezpieczenstwo stosuj takie by byly wywazone z zachowaniem dotychczasowego komfortu pracy (wiekszym zagrozeniem jest dla nich kradziez danych/pieniedzy przez syf z internetu niz przez Google’a).
Poza tym, gdzies ktos kiedys powiedzial: „co z tego, ze ja nie bede mial konta Gmail skoro wiekszosc moich znajomych je ma?”. Amen.
NoScript jest b. niebezpieczny dla ciotek. Zobacz sobie white list w nim i pomysl co mozna zrobic z domenami, ktore jescze nie istnieja a juz juz sa na liscie default-owo.
Porady na pewno bardzo ciekawe i warte wdrożenia wszak nie u członka rodziny a u siebie. Dla znajomych i rodziny polecam image systemu i szybkie przywracanie po awarii lub na wypadek wpadki z wirusem/malware/… . Są dwie opcje – albo ktoś jest świadomy zagrożenia i go unika a wasze 10 porad mu w tym pomaga, albo ktoś nie rozumie tematu i się co kwartał wpakuje w g…o i wtedy szybko można mu przywrócić system z obrazu.
takimi poradami mozna mozna zachwycic niejednego przedszkolaka
ad 10 – Minusy: Jeśli ludziom od producenta będzie się nudziło, to sobie będą mogli pooglądać ten komputer.
Ech… TeamViewera odpala się „na żadanie”, a nie konfiguruje jako usługę.
Dodał bym jeszcze K9 do blukołta z wyjątkami. Niektórych użytkowników można traktować jak internetowe dzieci :)
Ja mam tak: ramdrive (stary nawyk) – na nim wszelkie temp, cache przegladarki et. Duza pamięc, aby nie uzywać pliku wymiany, choc jest-programy graficzne bez niego nie chodzą, przynajmniej u mnie. Wykupiony dynDNS, wpisany ich DNS. Kopie profilu internetowego, jak tylko cos sie tnie – od nowa jeden klik. Przegladarka nie zapisuje historii-a co zapisze-to na temp w ramdrivie-wylaczam komputer, jesli cos tam siedzi, to ginie (przerobione juz ok.1998 roku,mam nadzieje, ze dziala i na obecne weersje) Antivir rosyjski(nich i druga strona poszpieguje..jak klinem na klin ;-))), program do szyfrowania znakow klawiatury, backup, wlasna chmura NAS (tu widze najsłabszy punkt, ale jest wyjatkowo niespotykany, wiec i moze wektorow niewiele..) No i slabe punkty-corka z kompem zycie na FB, żona podobnie chociaz mniej, maja siec wydzieloną, ale i tak jest wspolny router… Wiec uwazam, ze i tak jak ktos sie uprze, to na niewiele to się zda.. P.S nie jestem informatykiem
Tak, świetnie, korzystajcie z programów i usług największych korporacji, pozwalajcie im decydować co i kiedy zainstalują i dajcie im dostęp zdalny. Będziecie bezpieczni.
Czy malwarebytes anti exploit mozna jeszcze pobrac jak samodzielna appke? na stronie pisza ze zmigrowali to do calego pakietu https://pl.malwarebytes.com/antiexploit/
Podłączam się pod pytanie, w tym pakiecie Malwarebyte antiexploit jest chyba jako trial na 14 dni :((
tylko premium – potem przejdzie w darmowke.
https://forums.comodo.com/polski-polish/optymalna-konfiguracja-comodo-internet-security-t100736.0.html;msg730126#msg730126
Ta konfiguracja Comodo zapewnia bardzo solidną ochronę bez żadnych powiadomień.
Ghostery do Firefoksa.
Malwarebytes Anti-Exploit – cholera link z forum i dodatkowo nie z serwerow MWB tylko box.com? Paranoja mnie ogarnia? Tylko mnie? :s
Ale też ważne żeby ich uczulić na bezpieczeństwo w sieci, bo czasem szczególnie osoby starsze albo dzieciaki nie do końca zdają sobie z konsekwencji np zamieszczenia zdjęcia, ja wydrukowałem ze strony https://www.vivus.pl/moje-finanse/poradnik-pozyczkobiorcy/jak-bezpiecznie-korzystac-z-internetu-i-chronic-dane-w-sieci/ te obrazki i dałem córce, może to jakoś bardziej do niej trafi ;)