Niezaprzeczalnym faktem jest to, że ze względu na swoją popularność, systemy z Redmond są bardzo częstym celem ataków. Zagrożenie stanowią wirusy i trojany dostarczane za pośrednictwem poczty e-mail lub przez zainfekowane strony internetowe. Niebezpieczne są też robaki sieciowe - oprogramowanie, które posiada zdolność samoreplikacji i rozpowszechnia się. Jeśli w zaatakowanej sieci znajduje się niezabezpieczony komputer, zostanie on zainfekowany.
Dobrym przykładem takiego robaka jest Slammer, który uaktywnił się pod koniec stycznia 2003 roku i zaatakował serwery zawierające bazę danych Microsoft SQL Server. W przeciągu krótkiego czasu doprowadził do paraliżu internetu powodując wyłączenie części stron, a także przeciążenie kilku głównych serwerów DNS (tak zwane root DNS servers - jest ich w sumie trzynaście i bez nich Internet praktycznie nie funkcjonuje).
Jak się
zabezpieczyć?
W
odpowiedzi na liczne zagrożenia płynące z sieci, powstało
oprogramowanie, które ma na celu zabezpieczenie komputera:
-
Programy antywirusowe, które reagują na bieżąco gdy uruchamiana
przez użytkownika aplikacja próbuje wykonać podejrzane operacje w
systemie.
- Firewalle, które
filtrują ruch pomiędzy komputerem a siecią i blokują niepożądane
połączenia.
Obecnie dostępne programy bardzo często łączą w sobie obie takie
funkcje i kompleksowo zabezpieczają nasz komputer.
Spora część tego typu oprogramowania jest dostępna bezpłatnie, o ile będziemy je wykorzystywać niekomercyjnie na własne potrzeby. Za darmo możemy pobrać i zainstalować np. Avast Home Edition, Outpost Firewall, ZoneAlarm czy Sygate Personal Firewall.
Na co zwrócić uwagę
podczas wyboru firewalla
Na
początek, istotnym jest to, że wszystkie "nowoczesne"
systemy operacyjne (Windows XP SP3, Vista SP1) posiadają wbudowany
firewall. Nie jest to tak wyszukany mechanizm, jak to bywa w
przypadku programów firm trzecich, ale ważne jest to, że nawet na
wejściu nie jesteśmy zupełnie bez ochrony. Niestety, jej jakość
pozostawia wiele do życzenia.
Bardzo istotne jest to, aby stosowany przez nas firewall posiadał możliwość filtrowania ruchu w obie strony - zarówno to, co przychodzi z sieci do lokalnego komputera jak też i to co lokalny komputer wysyła do sieci. Jeżeli inne zabezpieczenia zawiodą i system zostanie zainfekowany np. trojanem, to przy dobrze skonfigurowanym firewallu takiemu trojanowi nie uda się wysłać żadnych danych do sieci. Nie staniemy się w efekcie elementem botnetu, nasze hasła, dane, numery kart kredytowych będą bezpieczne.
Powinniśmy też zwrócić uwagę na to, czy dany firewall umożliwia filtrowanie na poziomie aplikacji. Chodzi o to, aby była możliwość blokowania połączeń dla danej aplikacji - np. dla przeglądarki internetowej możemy chcieć zablokować możliwość odbierania połączeń, a także nawiązywania ich na porty inne niż 80, 8080, 443. Zazwyczaj ruch jest domyślnie blokowany dla wszystkich programów, z pominięciem tych, w przypadku których sami wyraziliśmy zgodę na nawiązanie połączenia. W sytuacji gdy jakiś program próbuje nawiązać połączenie z Internetem, firewall wyświetla monit informujący o takim zdarzeniu, do użytkownika zaś należy decyzja czy zezwolić na połączenie. Dzięki temu na bieżąco możemy kontrolować sytuację i reagować gdy zauważymy coś niepokojącego.
Kolejną kwestią, na jaką powinniśmy zwrócić uwagę jest domyślna konfiguracja firewalla. Teoretycznie powinno to wyglądać tak, że domyślnie blokowany jest cały ruch. Niestety, w praktyce bywa różnie. Najlepszym przykładem jest firewall systemu Microsoft Vista - teoretycznie posiada on możliwość blokowania połączeń wychodzących, jednak domyślnie cały ruch do sieci jest dozwolony.
Postępowanie w
przypadku włamania
Firewall
wyświetla alarmujące komunikaty, ktoś szykuje się do włamania na
nasz komputer. Co w takiej sytuacji należy zrobić?
Po pierwsze, nie panikować. Bardzo często okazuje się, że jest to tylko fałszywy alarm. Istniejące na rynku aplikacje bywają przewrażliwione i zgłaszają nawet błahe incydenty.
Należy zorientować się, jaki rodzaj zagrożenia został zidentyfikowany. Czy jest to jakaś nieznana aplikacja, która próbuje połączyć się z siecią? Jeśli tak, należy dokładnie sprawdzić co to za aplikacja i w jakim celu próbuje uzyskać dostęp do internetu. Istnieje niebezpieczeństwo, że nasz komputer został zainfekowany przez trojana, który teraz "dzwoni do domu".
Jeśli zagrożenie zostało zdefiniowane jako przychodzące z zewnątrz, trzeba dokonać analizy. Czy jest to pojedynczy pakiet na pojedynczy port? Cała seria połączeń na różne porty? Na jakie? Czy są to porty na których nasłuchują jakieś znane usługi? Czy adres IP, z którego są nadawane pakiety ma jakiś związek z serwerami, z których ostatnio korzystaliśmy?
Z praktyki wiemy, że bardzo często okazuje się, że firewall reaguje nadpobudliwie na zwyczajny ruch - pakiety ICMP echo request, ruch z serwera WWW, który właśnie odwiedzamy w przeglądarce. Czasami firewall nie radzi sobie z analizą połączeń jakie nawiązujemy, przez co błędnie zgłasza wystąpienie alertu. Zdarza się to np. podczas nawiązywania aktywnego połączenia FTP - jeśli odpowiedź serwera potraktowana zostanie jako osobne połączenie, zgłoszona zostanie próba włamania.
Zdarza się też, że zgłoszenie alarmu faktycznie jest na miejscu, natomiast przyczyna nie leży tam, gdzie wskazuje firewall - przykładową taką sytuacją jest błąd routera rozdzielającego internet w sieci lokalnej. Komputery A i B znajdują się za NATem. Pakiety, które powinny iść do komputera A przez błąd routera trafiają do komputera B. Firewall na komputerze B zgłasza próbę włamania z serwera.
Dopiero po przeanalizowaniu dostępnych danych można ustalić, czy faktycznie istnieje jakieś zagrożenie i czy należy podjąć dalsze działania.
Działania te zazwyczaj sprowadzają się do kontaktu z abuse organizacji, do której należy adres IP próbujący połączyć się z naszym komputerem. Konieczne będzie udostępnienie dokładnych logów dotyczących incydentu - ważne aby nasz firewall takie logi generował. Trzeba pamiętać, że odbiorca naszego maila może zarządzać setkami tysięcy adresów IP (z czego część może należeć do klientów tej organizacji albo nawet klientów), a jego łącza mogą przesyłać w ciągu sekundy gigabity danych. Dlatego ważne jest dostarczenie precyzyjnych danych na temat tego z jakiego IP nawiązywano połączenie, z jakiego portu, na jaki IP i jaki port, kiedy dokładnie (co do sekundy) to nastąpiło. Bez takich danych bardzo często niemożliwe jest ustalenie konkretnej przyczyny wystąpienia alarmu.
Ataki phishingowe dokonywane są najczęściej poprzez e-maile, w których przestępcy zwykle podszywają się pod przedstawicieli banków oraz innych instytucji finansowych. Co ważne, fałszywe e-maile pochodzące od przestępców na pierwszy rzut oka bardzo trudno odróżnić od tych prawdziwych.
Oznacza to, iż wiadomość jest przygotowana zgodnie z szablonem e-maili wysyłanych do klientów przez daną instytucję - może zawierać elementy graficzne charakterystyczne dla danej instytucji, podpis oraz prawdziwe dane teleadresowe tej instytucji. Bardzo istotne jest także to, iż w polu "Nadawca" również możemy znaleźć prawdziwy adres e-mail danej instytucji, a nie namiary na przestępcę.
Jedynym sygnałem rozpoznawczym jest zazwyczaj prośba o udostępnienie, bądź aktualizację poufnych danych poprzez sposób wskazany w e-mailu.
Przestępcy będą chcieli skłonić ofiarę, by przekazała swoje poufne dane poprzez zwrotny e-mail, poprzez zalogowanie się na wskazanej stronie, bądź też by zadzwoniła w celu potwierdzenia danych pod wskazany w e-mailu numer telefonu. Argumentacja do przekazania tych danych może być bardzo różna, choć zwykle bazuje na straszeniu adresatów poniesieniem konsekwencji związanych z niepodjęciem przez nich czynności ujawnienia danych.
Przestępcy będą zatem informować, że brak reakcji z naszej strony spowoduje zablokowanie lub zawieszenie naszego konta, mogą również wykorzystywać rzeczywiście planowane zmiany przez dany bank (np. systemu obsługi klienta, a nawet wizualnej oprawy internetowego serwisu bankowego) do wymuszenia na jego klientach rzekomej aktualizacji danych.
Odpowiadając w jeden z podanych przez przestępcę sposobów, nieświadomie ujawniamy mu swoje poufne dane, które ten z pewnością wykorzysta kradnąc z naszego konta lub karty kredytowej pieniądze, bądź też sprzedając nasze poufne dane innym przestępcom.
Warto pamiętać, że przestępcy nie próżnują i cały czas poszerzają zakres sposobów dotarcia do swoich ofiar i kradzieży ich danych. Próba przejęcia naszych danych (ataki phishingowe) mogą zatem przybrać formę ataku przez telefon, komunikator internetowy, poprzez wiadomości SMS, faksy, wprowadzenie do komputera ofiary wirusa, podstawienia w zakładkach (ulubionych) przeglądarki fałszywego adresu do strony banku, a nawet przejęcia przez cyberprzestępców stron banków oraz innych instytucji finansowych (tzw. pharming).
Niestety, z przeprowadzonych w 2007 roku przez naukowców z Harvardu badań wynika, że na phishing może "złapać się" praktycznie każda osoba, niezależnie od jej poziomu wiedzy na temat nowych metod wykorzystywanych przez przestępców.
Sposobów jest wiele i są zazwyczaj proste w zastosowaniu, jednak niezwykle ważne jest by nie polegać tylko na jednym z nich.
Po pierwsze - należy ignorować prośby o weryfikację, ujawnienie, czy też wprowadzenie naszych poufnych danych, które pojawiają się niespodziewanie, bez wyraźnej potrzeby wynikającej z faktycznych zmian, których sami dokonaliśmy w odpowiednim urzędzie.
Pamiętajmy, iż żaden poważny bank, ani żadna instytucja finansowa nigdy nie powinna prosić swoich klientów o przekazanie ich poufnych danych, takich jak: numer klienta, login, hasła dostępu, piny, numery kart kredytowych, numery kont bankowych, numery identyfikacyjne typu PESEL, NIP, numer dowodu osobistego poprzez:
komunikator
SMS
fax
formularz na niezabezpieczonej i nie podpisanej certyfikatem danej instytucji stronie
prosząc o kontakt na podany w e-mailu numer telefonu
telefon z prośbą o ujawnienie danych
Banki oraz instytucje finansowe są świadome zagrożeń wynikających z tego typu form kontaktu z klientem, dlatego też korzystają z nich jedynie w celach informacyjnych - po wcześniejszym wyrażeniu zgody przez klienta, np. do przesyłania miesięcznych zestawień, informowania o mniej istotnych zmianach, czy nowych ofertach banku.
Dopóki nasze dane nie ulegną zmianie - poprzez działania wynikające z naszej strony w odpowiednich urzędach - bank nie ma potrzeby kontaktu z nami w celu ich weryfikacji czy zmiany. Zazwyczaj zmiany danych klienci dokonują na drukowanych formularzach, pozostawiając je w placówkach banku lub też wysyłając kserokopie dokumentów na ogólny adres tradycyjny (nie e-mail) banku.
Po drugie - należy stosować oprogramowanie zabezpieczające komputer, jak programy antywirusowe, antyszpiegowskie oraz zapory sieciowe (ang. firewall).
Po trzecie - należy na bieżąco aktualizować swoje oprogramowanie (system operacyjny, przeglądarki, programy antywirusowe, antyszpiegowskie, firewall) - szczególnie chodzi o jak najszybsze stosowanie aktualizacji dotyczących bezpieczeństwa.
Po czwarte - jeśli zamierzamy skorzystać ze strony naszego banku warto wcześniej włączyć w przeglądarce internetowej zabezpieczenie antyphishingowe - są one obecnie wbudowane w każdą z najpopularniejszych na polskim rynku przeglądarkę: Firefox, Operę oraz Internet Explorer.