En simpel og effektiv sikkerhedsstrategi til privatbrugere
Der er i dag mange faldgrupper, som man skal være opmærksom på, når man færdes på internettet.
Derfor er det vigtigt at man planlægger sin egen IT-sikkerhedsstrategi, så man i værste tilfælde kan undgå følgende situationer:
Identitetstyveri
Systemnedbrud
Data tab
Økonomisk tab
IT-sikkerhed er for mange privat brugere stadigvæk et kompliceret område, som byder på rigtig mange udfordringer.
Mange ser det som en uoverskuelig opgave, som de helst vil være foruden.
På arbejdet bliver der taget hånd omkring sikkerheden, men derhjemme, skal man selv bruge tiden på det og tage stilling til en lang række ting.
Hvis man ikke har famile, venner eller kollegaer der kan hjælpe en med spørgsmål eller opsætning, ja så kan det godt være svært.
Jeg vil i denne blog-post prøve at beskrive/formulere en sikkerhedsstrategi, som jeg håber de fleste kan forstå og vil være med på.
Inden vi går i gang, er det vigtigt først at slappe helt af og prøve at se tingene fra en lidt anden vinkel.
Mange nyhedsmedier, IT-forums og blogs elsker sensations-overskrifer, som:
Ny virus kan lænse din konto.
120 millioner Facebook-brugere trues af virus.
Ny virus kræver løsepenge for dine data.
100.000 pc’er er inficeret med virus.
50.000 hjemmesider er hacket.
Disse sensations/skræmme/katastorfe overskrifter giver hele historien et ekstra pift og er således med til at gøre den meget mere interessant.
Samtidig er der en økonomisk interesse for alle producenter af sikkerhedssoftware i at piske en stemning op omkring faren ved af færdes på internettet.
Læg også mærke til hvor få, af alle disse medier/artikler/nyheder, der formidler en god forebyggelsesstrategi mod alle disse farer/trusler til den interesseret læser.
Med det i mente, så lad os prøve at kigge på de angrebsmetoder/faldgrupper en privat bruger kan blive udsat for, når han/hun færdes på nettet.
Jeg vælger her at opdele angrebsmetoderne i 2 hovedgrupper, med tilhørende underpunkter.
I den forbindelse vil jeg bruge ordet malware flere gange. Malware er betegnelsen for alt ondsindet kode. For mere info, se nedenstående link.
http://da.wikipedia.org/wiki/Malware
Social engineering (manipulation med brugeren):
Sociale netværkstjenester, som LinkedIn ,Facebook, Myspace og Twitter, hvori man modtager links til ondsindet websider eller malware.
Phishing (Identitetstyveri) er også et oplagt mål for disse tjenester.
Messenger/Spam mails, som udgiver sig for at være en troværdig afsender. Det kan være en bank, netbutikker, afsendere med fantastiske tilbud som gavekort, mfl.
Fælles for denne angrebsmetode (Identitetstyveri), er at de prøver at lokke brugeren til at videregive personlige oplysninger, som kontonumre, cpr-numre eller pin-koder,
enten via mail eller en falsk hjemmeside.
Malware inficeret codec. Brugeren lokkes her til at installere et nødvendigt codec for at se/afvikle en video eller et online spil.
Malware inficeret software. Det findes mange steder på diverse crack/piratsider/torrent.
Her fristes brugeren til at installere det ønskede program med tilhørende crack nøgle.
Falsk Sikkerhedssoftware. Falske Antivirus produkter med en troværdig hjemmeside og betegnelse, som Anti-Cleaner 2010 eller Anti-Remover 2010 mfl.
Find selv på flere undergrupper. Det vigtige er, at man begynder at få en forståelse for disse angrebsmetoder og forholder sig til dem.
Remote Code execution (onsindet kode der afvikles via et program, som ens Browser, PDF Reader, Mediaplayer, Office Pakken, Java mfl):
Drive-by download – browser angreb (exploit). Man bliver via en hacket hjemmeside videresendt til malware.
Dette sker typisk via et ondsindet javascript som afvikles i browseren (IE, Firefox mfl).
Inficeret PDF filer. PDF Reader angreb (exploit). Man bliver via en hacket hjemmeside videresendt til malware der udnytter sårbarheder i PDF Readeren (typisk Adobe).
En ondsindet PDF-fil bliver indlæst i browersen. Koden I PDF-filen downloader og installerer malware via PDF Readeren.
Inficeret medie filer. Det kan være ondsindet kode i feks MP3/ASF-filer der udnytter sårbarheder i Windows Mediaplayer og via denne forsøger at downloade og installere malware.
Inficeret office dokumenter. Det kan være ondsindet kode i office dokumenter der udnytter sårbarheder i Office pakken eller Vieweren.
Find selv på flere undergrupper. Det vigtige er, at man begynder at få en forståelse for disse angrebsmetoder og forholder sig til dem.
Ok, vi har nu defineret en række typiske angrebsmetoder til de 2 hovedgrupper.
Vi har nu en basal forståelse hvad vi er oppe imod og vi kan udfra det, prøve at designe og planlægge vores sikkehedsstrategi/politik.
Som udgangspunkt skal denne strategi være så simpel/nem og effektiv som overhovedet muligt.
Ordet simpel dækker her over, at vi skal kunne forstå de enkelte punkter i vores strategi.
Vi ønsker feks ikke, at skulle bruge meget tid på kompliceret sikkerhedspakker/firewall’s og alle deres funktioner.
Ordet effektiv betyder i denne sammenhæng, at vores strategi skal baserer sig på forebyggelse frem for helbredelse.
Vores mål er således at fjerne success kriterierne for at at malware kan eksistere. Vores strategi begynder nu at tage form.
Vi skal herefter beslutte hvilke punkter/værn der skal indgå i vores forsvarsstrategi.
Punkt 1. Windows firewall:
Brug den indbyggede firewall i Windows. Den beskytter computeren effektivt,ved at at blokkere for alle indgående forbindelser.
Den beskytter mod diverse internet orme og potentielle script kiddies/hackere.
Windows firewallen er standard aktiveret i Windows XP SP2 og fremefter.
Punkt 2. Windows og Program opdateringer:
Malware udnytter de sårbarheder/fejl (exploit) der findes i Windows og programmer generelt.
Derfor er sikkerhedsopdateringer meget vigtige at installere, idet de retter op på disse programfejl.
Det nemmeste er her, at lade Windows Update hente dem ned automatisk på et fast tidpunkt.
Det samme gælder for andre applikationer som Adobe, Flash,Java
Punkt 3. Antivirus:
Som udgangspunkt skal man installerer et antivirus program.
Det kan være med til at forhindre, at man installere malware via et program man havde fuld tillid til.
Jeg anbefaler her, at man vælger et AV program der bruger et minimum af system-ressourcer, samt er let at forstå og anvende.
Det kunne feks være følgende produkter, som alle er gratis/freeware.
Microsoft Security Essentials
Avira AntiVir
avast
Punkt 4. Data backup:
Dette punkt bliver tit overset og kommer først i fokus, når skaden er sket, i form af nedbrud eller datatab.
Data backup er en løbende process, som optimalt skal kører hele tiden.
For at denne blog-post ikke skal blive alt for lang har jeg lavet et et separat skriv omkring online data backup, via nedenstående link.
Microsoft Skydrive. Man kan her hente sine data fra andre computere. Der findes også en række danske udbydere der tilbyder online backup (bzcure.dk – saveme.dk).
Spørg her famile, venner, forums, hvad de har gode erfaringer med.
Data Backup
Ovenstående punkter udgør således grundstammen i vores sikkerhedsstrategi og vil sjældent kræve justeringer når det først er konfigureret.
Vi opfylder således kriteriet til, at det skal være en simpel/nem sikkerhedsstrategi. Vi forstår ovenstående punkter og kender betydningen af dem.
Punkt 5. Forhindre Social engineering:
Lad os nu kigge på hvordan vi forhindre at bliver ofre for “Social Engineering”. Udgangspunktet er her, at bruge sin sunde fornuft, når man færdes på nettet.
Hvis vi skal præcisere det yderligere, kan det være følgende regler/råd.
Download kun programmer fra steder du har tillid til (Microsoft, Adobe, Sun Java mfl.). Søg evt først på google, før du downloader og installere et program.
Sig altid nej til at installere plugins/programmer du ikke selv har bedt om, når du surfer på nettet.
Fravælg altid at installere reklame programmer adware/plugins/toolbars.
Undgå programmer fra Fildelingstjenester og P2P netværk.
Afvis at videregive dine personlige oplysninger via mail eller web, som du ikke selv har bedt om (Phishing).
Klik aldrig på links eller vedhæftede filer i email’s du ikke har tiltro til (Spam). Slet dem uden tøven.
Som eksempel til om man kan stole på et program eller et website, så lad os kigge på nedenstående side.
Den ser jo meget troværdig ud og “Windows Enterprise Defender” lyder også godt.
Men hvad får man at vide, hvis vi laver en google søgning på samme navn.
Som man kan se er der masse link til hvordan man fjerner den. Dette burde få alle advarelses lamper til at lyse, selv hos de mest uopmærksome brugere.
Der er selvfølgelig tale om et falsk sikkerhedsprogram, som prøver at lokke brugeren til at downloade og installere det.
Man bliver herefter via en række skræmme-popups lokket til at købe det.
En anden metode kan være at benytte såkaldte site advisors.
Hvis man er i tvil om en hjemmeside er falsk eller indeholder malware kan man her indtaste linket.
http://www.siteadvisor.com/sites/
http://safeweb.norton.com/
Punkt 6. Forhindre Remote Code execution:
Denne angrebsmetode kan ramme alle. Selv hjemmesider man stoler på, kan før eller siden blive hacket eller kompromitteret.
Som sagt tidligere, sker angrebet typisk ved at man klikker på et link i en mail eller går ind på en hjemmeside, hvorefter man bliver videresendt til malware.
Remote Code execution udnytter fejl eller sårbarheder i de programmer man har installeret på sin computer, som typisk vil være en browser eller en PDF reader.
Fælles for denne angrebsmetode er, at den altid prøver at downloade og afvikle en eksekverbar fil på den lokale computer.
Når filen bliver eksekveret vil den typisk åbne en bagdør for andet malware, som virus, rootkits, orme, keyloggere mfl.
Disse eksekverbare filer vil ofte gå under betegnelsen trojaner. Navnet og signaturerne på filerne er ikke ens og skifter konstant (feks mp3codec.exe eller antivirus.exe).
Nogle af disse angreb kan udføres uden at det kræver bruger-input eller godkendelse fra brugeren.
Dette gælder for ikke opdateret systemer eller applikationer. Derudover er der de berømte zero-day exploit, hvor der endnu ikke er lavet en fejlrettelse.
Her har Internet Explorer og Adobe Reader/Flash været hårdt ramt igennem tiderne.
Som eksempel på zero-day exploit i nyere tid kan nævnes
Trojan.Hydraq – Aurora – En såbarhed i IE hvor en eksekverbar fil afvikles uden bruger-input.
http://www.microsoft.com/technet/security/advisory/979352.mspx
Adobe Reader og Adobe Acrobat. En såbarhed i Adobe hvor en eksekverbar fil afvikles uden bruger-input
http://www.adobe.com/support/security/bulletins/apsb09-15.html
Ovenstående lyder meget skræmmende og kompliceret. Men igen, lad os prøve at slappe helt af og se om vi ikke kan prøve at gennemskue det.
Der er intet malware (trojan, rootkit mfl.) der på magisk vis kan komme ind på vores computere via det store internet (vores firewall er jo aktiveret).
Hvis malware skal komme ind på vores system, kræver det forinden, at en eksekverbar fil bliver kørt/afviklet.
Vi er således nået til det punkt i vores sikkerhedsstrategi, hvor vi skal finde en simpel og effektiv metode til at forhindre dette.
Med andre ord, ønsker vi en form for applikationskontrol/whitelist, der ikke tillader nogle eksekverbare filer at blive kørt, uden at vi har godkendt dem.
Til det formål har jeg fundet en applikation som hedder Anti-Executable fra Faronics. Den er også supportet på Windows 7.
Programmet er desværre ikke gratis, men det er utroligt nemt at installere og benytte.
For at denne blog-post ikke skal blive alt for lang og uoverskuelig, har jeg lagt selve installationsguiden ud i en separat blog-post.
Se nedenstående link for denne guide.
http://jravn.dk/?p=272
Anti-Executable whitelister automatisk alle eksisterende applikationer som kører på vores computer. Herefter blokerer den for alle nye eksekverbare filer, som vi ikke har godkendt.
Denne simple teknik vil således forhinde alt “Remote Code execution”, som bliver forsøgt eksekveret via web, mail, USB, DVD.
Lad os se på nogle af de typiske malware trusler vi kender i dag og teste dem med Anti-Executable.
Falsk Antivirus.
Brugeren bliver her videresendt til hjemmeside som indeholder ondsindet kode.
En række skræmme-billeder dukker op og fortæller os, at vores computer er i fare.
Brugeren kan her let blive forvirret og klikke på knappen “Repair All”.
Men med Anti-Executable bliver dette angreb let afvist, netop fordi den eksekverbare fil ikke er godkendt.
Zeus Trojan.
Brugen bliver videresendt til en trojan og kan komme til at køre den. Igen bliver den afvist.
RootKit.TDDS.
Anti-Executable blokerer den eksekverbare fil.
Prøv også at se nedenstående billede, hvor få Antivirus programmer der kender denne fil (usr32.exe). Scannet hos jotti og virustotal.
Vi har nu udformet og testet en simpel og effektiv sikkerhedsstrategi, som holder vores system fri for malware.
Den baserer sig på forebyggelse, hvor en opsummeret konklusionen er som følger:
Udlever ikke personlige oplysninger via mail eller web, som du ikke selv har bedt om (Identitetstyveri/Phishing).
Sig altid nej til at installere plugins/programmer du ikke selv har bedt om, når du surfer på nettet
Lad være med at downloade og installerer software og filer fra høj risiko hjemmesider som crak/pirat/fildelingstjenester, hvor du ikke kender eller stoler på ophavsmanden.
Benyt applikation kontrol/whitelist teknologi, som sikre dig mod drive-by, PDF og zero-day exploit/angreb.
Malware er ikke noget problem og kan let undgås, hvis du ønsker det.