Zaštita sustava - vatrozid

Virusi, crvi i slični programerski uradci nisu od jučer. U doba dok još Internet nije bio rasprostranjen, bilo je 'programa' koji su se prenosili samo-kopiranjem s diskete i koji su mogli uništiti podatke (zloćudni) ili bi sporadično korisniku na ekranu prikazali nekakvu poruku ili igrokaz bez ikakve štete (dobroćudni). Antivirusni programi, zajedno s uzorcima koda virusa mogli su stati na jednu disketu. Mehanizam čišćenja svodio se je na Boot računala s diskete i pregled sadržaja diska, a danas na sadržaj USB stika. Najopasnija vrsta bili su oni koji bi uništili zapise o particijama diska i FAT zapise datotečnog sustava. Nekad, dok neki takav uradak 'preskoči baru' znali su potrajati mjeseci.

Ni danas se situacija nije bitno promijenila glede njihovog učinka, ali su se načini rasprostiranja drastično promijenili. Vrlo brze Internet veze, mogućnost pregledavanja web sadržaja i slanja elektroničke pošte, a sada i najezda stick-ova omogućili su da se zloćudni programi šire vrlo brzo (reda sekundi). Programi za zaštitu računala sofisticirani su u ogromnoj mjeri u odnosu na svoje izvornike. I mehanizmi instaliranja takvih zloćudnih programa su drugačiji. Na računalo se 'uglavi' neki mali kod koji poslije potiho instalira čudo toga preuzimajući s Interneta a da korisnik ni ne primijeti. Rat u ovoj domeni je nesmiljen, korisnik uvijek zaostaje prema novim domišljatostima kreatora ovakvih uradaka, neprekidno gubi korak, pokoju bitku možda i dobije, ali rat sigurno gubi.

Sve raširenija kategorija su RAT  (Remote Access Trojan) programi koji su u biti zloćudna programska potpora koja funkcionira po načelu korisnik-poslužitelj arhitekturi, Kad napadač (zločesti učesnik mreže) uspije dobiti kontrolu nad zaraženim računalom, instalira na njega mali program često sakriven pod nekom sistemskim imenom, na primjer AVG ili SVCHOST i slično, koji mu omogućava korištenje korisnikovog računala na daljinu. Kako instalirani dio programa-poslužitelja sam uspostavlja vezu prema Internetu predstavlja odlazni promet prema napadaću-korisniku koji se često ne nadzire, te na taj način omogućava napadaču da nadzire sve radnje na računalu korisnika ili ga uporabi kao posrednika za napad na treće računalo. U prvom slučaju interesantne su zaporke i bankovni računi a u drugom slučaju skupina tako zaraženih računala čini mrežu (BOTNET) iz koje se u zadanom trenutku može zatrpati prometom na primjer neka banka i tako joj onemogućiti poslovanje (DoS napad).

Sreća je da antivirusna industrija međusobno razmjenjuje podatke o novootkrivenim 'napastima' pa obrana relativno brza i ima nekakvog smisla. Jedan od vrlo zločestih uradaka na štetu običnog korisnika bi je DIALER, koji je mnogim korisnicima Interneta 'nabio' ogromne računa, na način da bi modemsku vezu u trenu prebacio s lokalne veze na međunarodnu vezu. Ne bi bilo čudno da su ovaj produkt u začetku naručile PTT kompanije.

Dva osnovna razloga zaštite računala su:

• Zaštita vlastitih podataka od krađe ili uništenja ili zlouporabe resursa koji su dijeljeni.
• Zaštita od zlouporabe računala u svrhu 'napada' na druge računalne sustave.

Današnja računala imaju velike diskovne resurse i korisnik često ne primijeti do koje mjere su zapunjeni. 'Provala' na računalo ne mora biti zlonamjerna, već 'napadač' može na primjer diskovne resurse uporabiti kao skladište. Krađu podataka i njihovu zlouporabu ne treba ni spominjati, brojevi kreditnih kartica na primjer. Drugi od primjera je opasniji. Uzmimo primjer da se na tisućama računala instalira 'programčić' koji će na dan ' D ' zasipati e-poštom ili nečim drugim poslužitelj neke banke, do mjere da ista neće moći komunicirati sa svojim klijentima. Pravi krivac je nepoznat, a odgovaran je vlasnik računala i zbog svoje nepažnje može snositi posljedice.

Jedan od programskih uradaka za zaštitu sustava od neovlaštenog korištenja je vatrozid (firewall), koji je sa SP2 (Service pack 2) implementiran u operativni sustav i nudi elementarne zaštitne funkcije. Neće dopustiti nijedan ulazni promet iniciran izvana koji nije odobren, ali dopušta većinu izlaznog prometa. No i to se ponešto može podesiti. Prilikom instalacije OS vatrozid će podesiti svu 'prihvatljivu' programsku potporu da smije komunicirati s Internetom. Ono što se želi onemogućiti jednostavno se isključi ili se potpuno izbriše kao što pokazuje naredna slika. Pojedine zapise moguće je i izbrisati.

Slika* 4.4.41 Podešavanje vatrozida. ( + / - )

Sa slike 4.4.41a vidljivo je da je dopuštena komunikacija antivirusnog programa, dok je dijeljenje resursa i udaljeni pristup onemogućen. No to nije sve što se može učiniti. Gornji dio slike 4.4.41b pokazuje kakav se prozor dobije kada se odabere |Edit...| ako je označen izbor |File and printer sharing| gdje se vidi da se mogu dopustiti neki port-ovi, te za koju mrežu vrijede, a promjene mrežnih postavku mogu se izvršiti izborom |Change scope...| kada se dobije donji dio slike 4.4.41b. Može se umjesto cijele mreže ili podmreže definirati samo pojedina računala. Potvrda OK znači da se uneseno prihvati. Opcija ima podosta i za svaku programsku potporu ponuda izbora je drugačija. Treba poznavati što pojedini elementi znače, inače ih nije preporučljivo mijenjati.

Korisno je uključiti da vatrozid upozori korisnika da neka programska potpora želi 'izaći', kako bi se mogla donijeti odluka da li to dopustiti ili ne. Ova mala osobitost omogućava korisniku da se lakše snađe i da ima bolji nadzor. Čim neka čudna programska potpora želi kontakt van mreže, moguće je da je računalo kompromitirano.

Jako bitan element je antivirusna zaštita u općem smislu. No navedenoj nije zadaća samo čitanje sadržaja pošte, već i pregled svih datoteka koje se pokreću, kao i sadržaj preuzetih ili učitanih web sadržaja te se uspoređuje njihov kod s uzorcima u bazi antivirusnog programa. Ako se ustanovi nekakav štetan kod nudi se izbor što uraditi. Upravo zbog raznolikosti funkcija navedene programske potpore često se nudi kao 'INTERNET SECURITY' rješenje, kojemu je glavno obilježje da se mora poštovati uplaćivanje mjesečne pretplate kako bi zaštitna programska potpora uspješno radila. Za poneke korisnike ovo rješenje je skupo, te pojedine firme omogućavaju korisnicima besplatne manje moćne verzije iste programske potpore (obično nazvane LITE), sa ciljem da s vremenom udobrovolje korisnika da se odluči na kupnju njihovog profesionalnog proizvoda.

Kada se kupi neki sklop renomirane firme, matična ploča na primjer, ili preinstalirana verzija OS na prijenosniku, obično se uz dobije puna verzija nekog proizvođača s podužim trajanjem, najčešće nešto starija u odnosu na trenutno raspoloživu, ali učinkovita. Rješenje je prihvatljivo dok traje pretplata. Nesreća je da ovakvi programi ulaze 'duboko' u OS i ponekad ih je teško deinstalirati te je instalacija nove verzije istog ili nekog drugog proizvoda gotovo nemoguća.

Naredna slika pokazuje što bi sve trebao sadržavati jedan 'INTERNET SECURITY' proizvod: antivirusnu detekciju, napredniji vatrozid koji će zamijeniti postojeći od Windows XP sustava, rokovnik s određenim vremenima pregleda sustava i preuzimanja novih zaštitnih definicija od proizvođača, stalno raspoloživi zaštitni štiti koji će detektirati 'napad', skladište i izolacija zaraženih datoteka (može biti i koja od sustava što je dobro znati radi 'ručne' popravke), sustav za automatsku implementaciju preuzetih sadržaja i drugo.

Slika 4.4.42 INTERNET SECURITY programska potpora i njene komponente.

Navedena verzija firme GRISOFT u oslabljenoj besplatnoj verziji, koja sadrži samo dio navedenog ali koji više nego dobro funkcionira, može se preuzeti na adresi koju sadrži link: AVG Anti-Virus Free, AVG Anti-Spyware Free and AVG Anti-Rootkit Free. Pouzdana programska potpora ove vrste je i besplatna verzija Comodo Internet Security. U osnovi, komponente koje programska potpora zaštite sadrži sastoji se od slijedećih programskih alata i zadaća:

• ANTIVIRUS - Osnovni dio programske računalne zaštite. Antivirusni program treba biti stalo raspoloživ (Resident shield), brz u radu, efikasan, ne zauzimati previše sistemskih resursa i mora imati dobru zaštitu i prepoznavanje od virusa u stvarnom vremenu (Real Time protection). Nikako se ne smije koristiti više antivirusnih programa istovremeno zbog mogućeg 'sukoba interesa', jer je to gore nego nemati antivirusni program.
• FIREWALL - Vatrozid štiti od neovlaštenih upada u računalo ili u mrežu ako računalo nadzire sav dolazni i odlazni promet iz nje. Filtrira mrežni promet i tako tvori sigurnosnu zonu. Program koji treba pristup na Internet treba dobiti dopuštenje od vatrozida da to učini. Osobito je koristan u nadzoru dolaznog prometa da 'odbaci' sve što je poslano a nitko unutar mreže to nije tražio. U načelu nije moguće istovremeno koristiti više programskih uradaka ove vrste.
• ANTI SPYWARE - Alat koji služi za detekciju i uklanjanje špijunskih programa koji imaju zadaću saznaju sve zaporke, brojeve kreditnih kartica i slično, te ih pošalju na zadano odredište bez znanja korisnika zaobilazeći vatrozid. Upravo dojava vatrozida o nelegitimnom odlaznom prometu ukazuje na prisutnost jednog takvog programa u računalu, a ova zaštita treba da omogući njegovo uklanjanje. Za razliku od vatrozida i antivirusa, ovdje možete koristiti više programskih uradaka za ovu svrhu odjednom.
• ANTI SPAM - Spam je neželjena pošta koja u privitku svašta može sadržavati, a ako je dozvoljeno njeno primanje u HTML obliku moguće je izvršiti i maliciozne skripte. Najgore od svega je to što se neka maliciozna programska potpora može propustiti i izvršiti ako je tip datoteke .EXE promijenjen u recimo .webp. Dakle, ne radi se o pukom bombardiranju korisnika reklamama. Alati ove vrste integriraju se u noviju 'e-mail' programsku potporu i eventualne sumnjive 'nalaze' prosljeđuju jednoj od već navedenih komponenti u zaštiti sustava.
• ANTI TROJAN - U ovu grupu može se ubrojiti zaštita TROJANACA i od RAT (Remote Administration Tool) programa koji omogućavaju pristup računalu korisnika, šalju definiranom odredištu podatke gdje se nalaze i omogućavaju s njim komunikaciju i preuzimanje kontrole nad računalom bez znanja korisnika ako su RAT tipa. Pomoću RAT moguće je u sustav ukomponirati 'kukavičje jaje' koje se izvršava kao opće prepoznatljivi servis (SVCHOST na primjer) ili neka programska potpora koja će na primjer brzim uzastopnim zahtjevima za pružanje neke Internet usluge, najčešće od neke banke, onemogućiti rad poslužitelja na način da svoje resurse ne stignu staviti na raspolaganje drugim korisnicima - uskraćivanje resursa, DoS napad (Denial-of-Service), odnosno DDoS napad (Distributed Denial-of-Service) ako se koristi više zaraženih računala u tu svrhu koja čine tzv. BOTNET mrežu. Navedeno omogućava NEZNANJE korisnika računala.
• OSTALO - Važno je instalirati najnovije zakrpe i 'Service Pack' (SP) za operativni sustav, jer one također štite od malicioznih programa i radnji na način da se uklanjaju uočeni propusti u pojedinim programskim dijelovima OS. Važno je redovito instalirati najnovije nadogradnje za Windows-e, preko 'Microsoft Update' poslužitelja koji objedinjuje 'Windows Update', 'Office Update' i nadogradnju ostalih nezavisnih komponenti sustava preuzetih od Microsoft-a.

Besplatna programska potpora će naravno poslužiti u nedostatku komercijalne zaštite, no treba imati na umu da je u odnosu na profesionalnu uglavnom po mogućnostima slabija i služi kao reklama (udica) za kupnju profesionalne programske potpore. No ono što je najvažnije je: ISPRAVNO KORISTITI GLAVU. Obvezna provjerava novih programa koji se pokreću u OS, onemogućiti 'autorun' odnosno automatsko pokretanje programske potpore sa stika ili optičkih medija, ne dopuštati ActiveX kontrole i davanje dozvola za izvođenje skripti s Internet stranica osim za one nužne kao 'Microsoft Update', 'Adobe Flash', 'Java Runtime Environment' i slično.

Kada se bira nekakav sustav zaštite na jednu osobitost treba obratiti pozornost: OS nikad ne smije ostati u stanju bez zaštite prilikom nadopunjavanja baze zaštitnog sustava, ni po cijeni nužnog restart-a računala. Naime ne smije se dogoditi da se prilikom nadogradnje baze preko Interneta zaštitni sustav za trenutak zaustavi i oslobodi sve pristupe. Takva programska rješenja treba izbjegavati. Bez obzira na sve navedeno, i dalje je prva obrana od napada NAT (Network Address Translation), brižno isplanirana i redovito nadzirana mrežna shema.

SAŽETAK:

Kako bi se omogućio dohvat zajedničkih mrežnih resursa u Firewall-u opciju ||Exsceptions||-|File and Printer Sharing| treba uključiti. Da bi se poboljšao dohvat i oglašavanje dijeljenih resursa u mreži korisno je za navedenu opciju definirati jedan imenik kao dijeljeni (share) na koji će ostvarivati pravo pristupa svi članovi podmreže ili odabrane IP adrese računala kako bi vatrozid znao koga treba propustiti (izbor ||Exceptions||-|File and Printer Sharing|-|Edit|-|Change Scope...|). Jako je korisno sve servise koji su pokrenuti prilikom podešavanja navedenih opcija postaviti na 'Auto' (na primjer Network Connections, COM+ i još pokoji) kako bi se pospješilo umrežavanje i prepoznavanje resursa prilikom uključivanja računala. Naime, kako se navedene postavke povezanosti čuvaju nekoliko dana, prilikom dužeg razdoblja nekorištenja računala može uslijediti poruka o nedostupnosti, što će se izbjeći ako se navedeni servisi samostalno uključe i 'oslušnu' okoliš. Navedeno je dovoljno kada su sva računala iste porodice (na primjer XP professional), no ako se žele povezati raznorodni sustavi (Windows XP i Windows 2K ili Windows 98), na računalu koje nudi resurse treba otvoriti korisnika s istim imenom i zaporkom koje korisnik ima na drugom računalu na kojem radi, odnosno na računalu koje resurse potražuje.

Vatrozid i antivirusni programi nisu dostatni, ako se korisnik ne brine o tome da se računalo redovito 'KRPA' s povremenim izmjenama dijelova operativnog sustava ili programske potpore (hotfix), koji se kod Windows XP OS odvijaju automatski. Korisnik o ovome mora neprestano voditi brigu. No prodavač operativnog sustava ili programske potpore štiti i sebe. Ako prilikom navedenog postupka ustanovi da je na računalu piratska kopija OS ili programske potpore može u svrhu zaštite svog proizvoda obustaviti njihovo krpanje ili ih učiniti nekorisnim.

Koji je najbolju način zaštite? Ako se nešto važno i ozbiljno radi, takvo računalo mora biti samostalno i nepovezano s Internetom, ili u mreži koja ovu vezu nema. Samo po sebi to nije dovoljno. Nema donošenja prijenosnika od kuće ili odnošenja istog kući odakle se može vratiti zaraženo i napraviti štetu u lokalnoj mreži koja nigdje nije vezana. Priča koja slijedi bila je i na TV: Tajo je sinčiću posudio prijenosnik i kad je sutra došao na posao u atomsku centralu, uskoro pola NewYorka cijeli dan nije imalo struje. Statistike ukazuju da više od polovine štete nastaje zbog nesmotrenosti unutar firme ili institucije u odnosu na izravne štete preko Interneta. Sve navedeno znači: Uvesti u firmu ili ustanovu SIGURNOSNU POLITIKU koja opisuje tko što radi od vratara pa do sistem-inženjera, i POLITIKU PRIHVATLJIVOG PONAŠANJA koja definira što se smije a što ne. SIGURNOST je aspekt koji se više ni na jedan način ne može izbjeći.

Mala opaska za kraj. Windows poslužitelj nema implementiran vatrozid kao XP sustav jer mu nije potreban. Sve je podrazumno zabranjeno dok administrator drugačije ne odredi. Najbolje zaštićeno računalo je ono računalo koje uopće nije spojeno na mrežu. Ne tako davno bila je uvriježena praksa da u važnijim sustavima, samo računalo administratora može 'izaći', ali ono nije u mreži s ostalima. Za ispitivanje rada neke programske potpore služilo je drugo odvojeno računalo dok se ista ne bi 'dokazala'. No, sve mjere zaštite su badava ako 'tajo' svoje prijenosno računalo donese kući i dao ga 'junioru' da se malo poigra. Kad se 'tajo' vrati na posao upitno je što je sa svojim prijenosnim računalom 'donirao'. Znate li koristiti Google? Pronađite kako je jedno popodne dio New York-a ostao bez struje jer su se reaktori atomske centrale morali 'ručno ugasiti' nakon što je nad njima izgubljen nadzor.