Bezpečnost » MyEgo.cz - Radek Hulán webzine

MyEgo.cz

home foto blogy mywindows.cz kontakt

Synchronizace (SkyDrive, Dropbox) není zálohování, na to potřebujete Acronis

Používám SkyDrive (25GB zdarma + 100GB v ceně 960 Kč za rok) jako cloudový synchronizační prostor, recenze bude cca za týden. Synchronizace ale samozřejmě není zálohování, smazaný soubor lokálně se zcela identicky smaže ve SkyDrive. Na zálohování potřebujete třeba Acronis True Image Home 2012.

Acronis je geniální software. Používal jsem už předchozí verzi a udělal rád upgrade.

Můžete si snadno nastavit zálohování vašich dat v nějakém intervalu či dokonce realtime, včetně verzování souborů. Můžete soubory nahrávat na externí disk i do online úložiště (data se nahrávají šifrované pomocí AES vaším heslem, Acronis k jejich obsahu tedy nemá přístup). Můžete si pravidelně zálohovat celý obraz SSD na HDD, pro případ kolapsu. Můžete klonovat celé disky, migrovat větší HDD na menší SSD.

Celé se to navíc dobře ovládá, dobře to vypadá a funguje 100% spolehlivě.

Pro případ obnovy dat či klonování disků existuje na Linuxu postavená verze, kterou můžete nabootovat třeba z USB klíčenky či DVD a pracovat se zálohami.

Samotný Acronis True Image Home 2012 stojí cca 1200 Kč s DPH, online zálohovací prostor pak €50 / rok pro 250GB. Upload je velice rychlý, není problém odesílat data rychlostí 100Mbps.

Acronis True Image Home 2012

Zkoumal jsem jiné nabídky a neznám lepší zálohovací řešení.

Zavirovaný počítač = hloupý uživatel

Podle dlouhodobé analýzy Microsoftu na poli bezpečnosti může za více než 99% zavirovaných počítačů hloupý uživatel. Ta analýza to samozřejmě neříká takto natvrdo, ale dá se to z ní vyčíst.

Bezpečnostní trhliny v instalovaných produktech (zhruba polovina z nich mimochodem padá na instalovaný Oracle Java), v kancelářských balících, prohlížečích, i v operačním systému samotném jsou ve skutečnosti zodpovědné za méně než 1% infekcí.

Za zbytek může uživatel.

virus

Takže pokud nemáte na počítači Javu, a máte virus či malware, s 99.5% pravděpodobností jste hlupák.

Co s tím?

  • Jakákoliv sofistikovaná věc potřebuje operátora s mozkem. Auto je schopen bez havárií řídit i člověk s IQ 90, pokud ovšem dostatečně respektuje pravidla a používá ten malý kus mozku, kterým jej Bůh obdařil. Tak jej zkuste používat i při práci s PC, nevypínejte jej!
  • Zapněte si automatické aktualizace pro Windows, Office i pro veškeré instalované produkty třetích stran. Aktualizace jsou zdarma a jsou důležité, protože opravují odhalené problémy (typicky) dříve než jsou masově zneužívány.
  • Neinstalujte si různé toolbary a pluginy na porno webech, aby jste uviděl kozy. Možná je uvidíte, ale také si zavirujete PC.
  • Nestahujte warez. Když potřebujete software, kupte si jej. Vaše auto také opravuje autorizovaný servis, a ne 10leté dítě pomocí vúdú zaklínadel. Warez často obsahuje malware, je pouze vaše zodpovědnost, když si jej zatáhnete do PC.
  • Chovejte se zodpovědně, na ulici se také rozhlížíte než přejdete silnici, tak proč se u PC chováte jako nesvéprávný blázen?

Mít zavirované PC je ostuda. Vaše. S 99.5% pravděpodobností jste hlupák vy, ne výrobce. Zkuste to pochopit a přijmout svůj díl zodpovědnosti.

Acronis Online Backup - zálohování s rychlostí 90Mbps

Před týdnem jsem psal o lokálním zálohování pomocí Acronis True Image 2011 a drobně se věnoval i online variantě. Vyzkoušel jsem mezitím různé konkurenční software pro online zálohování - Mozy, CrashPlan, Dropbox, Carbonite a iDrive a zůstal u Acronis Online Backup (plus Live Mesh 2011 pro sync mezi PC).

Důvod?

Ostatní online zálohovací služby jsou nepoužitelné. Nabízí sice třeba unlimited plán pro data, jenže rychlostí 5Mbps tam ty data budete dostávat několik týdnů, což je k ničemu. Takovéto zálohování nedává vůbec žádný smysl:

CrashPlan má sice unlimited prostor, ale pomalý uploadCrashPlan má sice unlimited prostor, ale pomalý upload

Výhodou Acronis Online Backup je, že servery jsou zřejmě umístěny v ČR nebo někde zatraceně blízko ČR, ale rozhodně ne v USA, kde je mají zřejmě ostatní zálohovací služby, a kam se rapidně snižuje přenosová rychlost a zvyšuje latence.

Acronis zálohuje 10x vyšší rychlostí než konkurence - v mém případě skoro 90Mbps:

Acronis je 10x rychlejšíAcronis je 10x rychlejší

Nahrát počátečních 100GB dat trvá několik málo hodin, nikoliv řadu dnů či týdnů. Inkrementální backup je podobně rychlý, úložiště si samozřejmě vede historii souborů a verzování, defaultně 6 měsíců dozadu.

Zálohuji (nově i s Acronis True Image 2011)

K zálohám vám velice pozitivní vztah. V reálném čase synchronizuji díky Live Mesh 2011 kritická data mezi hlavním počítačem, dvěma notebooky a cloudem, veškerá data jsou na hlavním PC uložena v RAID-5 diskovém poli (a odolná proti selhání HDD), a to celé se inkrementálně zálohuje na externí 3TB disk a část nahrává do online úložiště.

Vše je samozřejmě šifrované BitLockerem pomocí AES-256.

Ty lokální zálohy mám rozdělené na dvě oblasti - denní automatickou zálohu systémového disku (2x 300GB Velociraptor) dělám pomocí aplikace Bitová kopie systému, vestavěné ve Windows. Celá operace běží zhruba 10 minut na pozadí a přesune kompletní kopii instalace Windows 7 a všech programů na zálohovací disk, z něhož se dá kdykoliv obnovit.

Nutné je zde použít právě Windows 7 zálohování, protože veškeré disky (i ty zálohovací) jsou šifrované a program třetí strany by k nim při případné obnově neměl přístup, instalační DVD Windows 7 po zadání obnovovacího kódu ale ano.

Denní zálohy datových souborů jsem řešil dlouho s Nero BackitUp 3, ale nebyl jsem úplně spokojen s možnostmi konfigurace i  výrazným zpomalováním práce při zálohování.

Otestoval jsem pár jiných řešení a nedávno koupil Acronis True Image 2011.

Acronis True Image 2011Acronis True Image 2011

Internet Explorer 8 a 9 jsou nejbezpečnější, Firefox i Google Chrome propadl

Viry se dnes do systémů uživatelů dostávají převážně dvěma způsoby - pomocí emailu a prohlížeče. Email je ve většině případů přitom "očištěn" o škodlivý kód už na straně poskytovatele, ať už se jedná o Exchange, Hotmail nebo třeba Gmail. Zbývá tedy prohlížeč, jako hlavní zdroj nákazy uživatelů.

Zde je situace poměrně jednoduchá - pokud používáte Internet Explorer 9 (Beta), jste v téměř absolutním bezpečí, pokud IE8, jste stále v hodně dobrém bezpečí, pokud Chrome, Safari či Firefox, můžete mít velký problém.

Dle posledních testů NSS Labs (odkaz vede na PDF) totiž Google Chrome odhalí jen 3% malware, Opera 0%, Firefox 19%, zatímco IE9 plných 99%:

IE8 a IE9 jsou výrazně bezpečnější než konkurenceIE8 a IE9 jsou výrazně bezpečnější než konkurence

Microsoft je v bezpečnosti prohlížečů inovátor - přišel jako první ve finální verzi prohlížeče se sandboxem (IE8), chráněným režimem i nezávislými záložkami (opět IE8 - pád jedné nezpůsobí pád jiné), plně také podporuje UAC a DEP. Takový Firefox či Safari to neumí dosud.

Skvělý antivirus a antispyware zdarma - Microsoft Security Essentials v2

Microsoft nabízí v české variantě druhou verzi svého výborného antivirového a antimalware řešení - Microsoft Security Essentials 2.

MSE v2 je zdarma pro domácí použití a pro malé firmy do 10 počítačů a nově kromě antivirových a antispyware definic obsahuje i heuristickou analýzu a analýzu síťových přenosů, plus je propojen s vestavěným firewall ve Windows Vista/7. Jedná se o komplexní řešení.

MSE má dle nezávislých testů velice dobré detekční schopnosti, ale co na něm osobně oceňuji nejvíce je, že o něm člověk naprosto neví - aktualizace se stahují "neviditelně" pomocí Windows Update, nezatěžuje počítač a samotný provoz MSE nezpomaluje žádné aplikace. Nic z toho se nedá říci o většině placených antivirových řešeních, které stojí stovky či tisíce Kč ročně.

Osobně nejsem zrovna zastánce používání antiviru profesionály, nicméně v případě MSE v2 jsem si jej nainstalovaný zatím ponechal. Nezpomaluje nijak systém.

Jak nejlépe otestovat soubor na viry / malware?

Pokud nepoužíváte na svém počítači realtime antivirovou ochranu, můžete přesto občas narazit na potřebu otestovat nějaký soubor na to, zda neobsahuje malware či virus. Příklad může být stažený patch na Windows Live Messenger, který z něj odstraňuje reklamu.

Používám na toto online scan na virusscan.jotti.org. Skvělá věc na tomto nástroji je, že proskenuje až 10MB soubor celkem 18 různými antiviry, přes Avast, NOD32 až po Kaspersky. Bezpečnost takovéhoto skenu je samozřejmě podstatně vyšší než pouhým jedním lokálním antivirem (ne, stále ale není absolutní).

online scan na visusscan.jotti.orgonline scan na visusscan.jotti.org

Kritická důležitost různých hesel na různé weby

V dnešní době člověk používá stovky webových služeb. Existuje přitom stále obrovská spousta lidí, kteří používají stejné či velice podobné heslo na veškeré tyto služby.

Uvedená věc je ovšem extrémně nebezpečná. Osobně používám asi 500 velice složitých hesel, typu TT2oKBW5uKOwF2tNucy&^xrD, na každý web a službu samozřejmě jiné.

Problém totiž je v tom, že překvapivě velká spousta webů si hesla ukládá jako plaintext, a pokud je na takovém webu heslo ukradeno, je z toho velký problém.

A mám s tím dokonce osobní zkušenost :-)

Na tento rok hacknutém www.phpbb.com webu jsem si kdysi dávno (asi 6 roků dozadu) založil jednorázový účet (na položení jedné otázky) a to samé na 5 dalších fórech. Toto heslo (bylo triviální, na fórech o nic nejde...) bylo ukradeno a zveřejněno.

V tomto případě se nestalo nic hrozného, ale pokud bych měl to samé heslo na citlivé weby a informace, tak je obrovský problém, který kriminální živly snadno zneužijí.

Navíc vůbec nezáleží na tom, zda to heslo je složité či jednoduché, třeba SvětHardware.cz měl (a možná stále má)  hesla uložená v databázi jako plaintext. Jejich admin či obecně libovolný člověk s přístupem k této DB může teoreticky vaše heslo zneužít - pokud je máte stejné na jiné weby, snadno se s ním přihlásí kamkoliv jinam aniž to poznáte.

A protože nemůžete nikdy vědět, zda daný web ukládá hesla jako plaintext, nepomůže vám ani jedno silné heslo, strojově jinak neodhalitelné.

Nutné je mít hesla různá na každou webovou službu a navíc silná.

Protože není v lidské moci pamatovat si 500 různých silných hesel, tak  musí na scénu přijít pomoc ve formě utilit.

Osobně používám RoboForm v ceně US$ 30. Je to skvělý plugin pro Internet Explorer a Firefox, který umožňuje generování hesel o libovolné délce a jejich ukládání ke každému webu zvláť (včetně více identit k jednomu webu). Tuto databázi hesel můžete zašifrovat heslem hlavním, a toto jediné si musíte pamatovat. Oněch 500 hesel bude bezpečně uloženo pomocí AES šifry díky master heslu.

Pokud to doplníte o šifrování disku pomocí (například) BitLockeru, je to dostatečně bezpečné řešení pro libovolné použití.

Osobně si bez RoboForm nedokážu fungování na internetu představit.

Související: Miliony hacknutých účtů v ohrožení. I v Česku

Šifrování disku, BitLocker, TPM a Microsoft

Šifrování disků je jeden ze základních stavebních kamenů pro bezpečné PC. Nedávno jsem narazil na článek Optimizing Client Security by Using Windows Vista (to samé platí dnes i pro Win 7), kde Microsoft popisuje zabezpečení svých klientských stanic - klíčovou součástí je právě BitLocker, chráněný režim IE, UAC, phishing filtr v IE, Defender a Windows 7 firewall. Obecně, sám Microsoft používá na maximum nových technologií ve Windows 7 (a i proto bych mohutně doporučil upgrade z Windows XP, Windows 7 je jednoznačně současný nejbezpečnější OS).

BitLocker je řešení, které je úžasně rychlé, bezpečné (používá se AES-256 s difusorem) a dokonale integrované v jádru operačního systému. Zásadní nevýhoda je v tom, že BitLocker bohužel není obsažen v Home Premium a Professional edicích Windows 7, jen v nejvyšších Ultimate a Enterprise.

Pro vlastní uložení klíčů máte několik možností. Na business noteboocích a lepších desktopových základních deskách máte k dispozici TPM chipset ve verzi 1.2, většinou od Infineonu či od Sinosunu.

TPM se používá pro dvě základní činnosti - uložení privátních šifrovacích klíčů a pro kontrolu, že systém jako celek nebyl změněn. TPM se při startu podívá na konfiguraci počítače (sleduje cca 20 ukazatelů, můžete je nastavit v gpedit.msc - Šablony pro správu) a pokud je hardware odlišný, TPM chipset klíč odmítne vydat.

Infineon TPMovládací panel Infineon TPM

Microsoft Security Essentials - výborný antivirus ve finální verzi a zcela zdarma

Je o mě poměrně dobře známo, že nemám rád antivirové programy. Zpomalují totiž většinou zcela zásadně PC, způsobují jeho nestabilitu a různé falešné poplachy. Nicméně vypadá to, že se objevil první antivirus, který tyto problémy nemá (asi i proto, že jej programuje výrobce Windows samotných), a navíc je zdarma - Microsoft Security Essentials.

Osobně nevím, co bude od dnešního dne prodávat takový Eset (NOD32) či Symantec, protože se rychlostí, nezpomalováním počítače a stabilitou nemohou dle mých subjektivních testů s Microsoft Security Essentials měřit a jen těžko za ně bude dále někdo ochoten platit.

Microsoft Security EssentialsMicrosoft Security Essentials
Banan.cz