FIREWALL - základ bezpečnosti (díl 1/3)

1. Příprava

• Smažte Váš stávající antivirový program. Nezáleží na značce či výrobci, je k ničemu.
• Stáhněte si NOD32, trial verzi, proskenujte si celý počítač, odstraňte případné existující viry, a pak NOD32 zase smažte.
• Stáhněte si Ad-aware, proskenujte si celý počítač, odstaňte existující trojany, a mallware, a pak Ad-Aware opět smažte.
• Zakupte si Tiny Personal Firewall. I když v názvu má jen slovo “firewall”, je to především naprosto geniální sandbox.
• Nakonfigurujte si Tiny Personal Firewall.
• Stáhněte si Proxomitron, tedy nejlepší proxy s online filtrováním na světě, pokud nechcete být obtěžováni reklamou, bannery, toplistem, atd., zároven s ním, si stáhněte JD5000 config set, ušetříte si práci. Nastavte si proxy svého browseru na localhost.
• Přestaňte používat Internet Explorer a Outlook (Express). Naprostá většina bezpečnostních děr, které zrovna nesázejí na blbost běžného uživatele, využívá chyb v těchto produktech, popřípadě využívá ryze Microsoftí ActiveX. Opera či Mozilla Firefox a Thunderbird tyto problémy nemají, popřípadě jen v minimální míře.

2. Konfigurace Tiny Personal Firewall (TPF)

Všechny ostatní firewalls jsou jen obyčejným paketovým filtrem. To nestačí!! Pro prevenci je potřeba kombinace firewall + sandbox. Tiny Personal Firewall je mnohem dál. Je to nejlepší světový produkt (zakázka například pro 500.000 počítačů US Air Force), Made in Czechia, protože kromě paketového filtru, aplikovaného na jednotlivé procesy, podporuje i ochranu registrů, ochranu OLE mechanismu, ochranu “application hijacking”, souborů, a moře dalších věcí.

K čemu to je?

• Jednoduché firewalls typu ZoneAlarm, Sygate, Kerio, či Outpost jsou jen paketovým filtrem, vztaženým na jednotlivé programy. Některé extrémně jednoduché firewalls jako Norton Internet Security, či McAfee firewall neumí ani to. Jejich jediný smysl je, že Vám dodávají falešný pocit bezpečí.
• Tiny Personal Firewall hlídá veškeré procesy v systému. Kromě firewallu je to i sandbox. A sandbox je základ prevence. Sandbox dovoluje programům a procesům přidělit jejich prostor, který nesmí překročit. Neautorizované procesy nemají žádná práva. Nelze je ani spustit. Nemohou zapisovat do registrů, či do jiných souborů, popřípadě používat jiné, autorizované, procesy, pro přístup k prostředkům počítače a k internetu. Máte-li třeba ZoneAlarm, a stáhnete si do systému trojana, a máte povolen přístup Internet Exploreru na internet (třeba kvůli Windows Update), tak si tento Trojan, pokud je dobře napsaný, klidně použije IE pro svůj přístup na internet, nebude navazovat socketovou komunikaci přímo, a ZoneAlarm to nezaznamená (její Open Process Control a Advanced Program Control to neřeší). Ostatní firewalls programům na lokálním diskům “věří”. Tiny Personal Firewall ovšem zaznamená tento “application hijacking” a dotáže se Vás, zda jej chcete povolit (pochopitelně, že nechcete). Ostatní firewalls klidně povolí trojanu, aby si z internetu nepozorovaně stáhnul celé stádo “škůdců” a… svůj počítač zachráníte jen low-level formátováním. V tom nejlepším případě. 😉
• Tiny Personal Firewall hlídá Windows registry. I takový primitivní trojan, který se Vám dostane do systému, se většinou zapíše do Run sekce registrů. Tedy, pokud máte něco jiného než Tiny Personal Firewall. S novým spuštěním Windows se spustí a… mohou se rozmnožovat a škodit.
• Tiny Personal Firewall hlídá OLE a DDE mechanismus. Za pomoci OLE si Trojan může zavolat IE nebo Outlook (Express), který má povolen přístup k internetu, a vydávat se tak za něj. Jiné firewalls než Tiny Personal Firewall toto v klidu dopustí. TPF ne.
• Tiny Personal Firewall umožňuje vytvářet skupiny programů pro packetové filtrování. Můžete si vytvořit skupinu browser, a zde povolit jen odchozí (outbound) komunikaci pro port 80, popřípadě https, a zakázat veškrou inbound. Následně skupinu email, s povolenými odchozími porty 25 a 110. Potom takovou Operu zařadíte do obou těchto skupin, obsahuje totiž jak browser, tak email klienta. U ostatních firewall můžete buď nastavovat jen povolení všech portů, či zakázání všech portů (McAfee, Norton), popřípadě nemůžete vytvářet skupiny (ZoneAlarm), takže dělat 4x to samé pro IE, Mozillu, Firefox a Operu Vás brzo přestane bavit… Tiny Personal Firewall Vám práci zjednoduší, a povolí otevřít jen ty porty, které skutečně potřebujete aby Váš systém byl co nejvíce bezpečný a programy do těchto skupin zařadit.
• Tiny Personal Firewall umožňuje monitorovat přístup ke klíčovým souborům, například v adresáři c:/windows/ *.ini,*.exe, *.dll, *.vxd. Opět, zápis do těchto souborů, pokud právě nic neinstalujete, může být příznakem viru či trojana. Ostatní firewalls toto v klidu ignorují. TPF Vás požádá o jednorázové, či trvalé schválení, či odmítnutí této akce. Zobrazí Vám zároveň informace o procesu, který tento zápis provádí. Pokud je to trojan, je pro Vás triviální tento zápis odmítnout, a mallware smazat.
• Tiny Personal Firewall monitoruje zápisy a změny DLL, EXE a dalších souborů.

3. Antivirus

Potřebujete antivirus? Kromě prvotního skenu… rozhodně ne. Antivirus je k ničemu, pokud máte správně nastaven firewall a sandbox, tedy pokud máte Tiny Personal Firewall. Není šance aby se virus či trojan ve Vašem systému vůbec dostal, popřípadě aby prováděl jakoukoliv činnost (hlídání registrů, ini souborů, OLE, application hijacking, atd.). Antivirus hlídá jen pár případů známých virových aktivit, je tedy k ničemu, Tiny Personall Firewall jde na celou problematiku komplexně, principiálně znemožňuje i neznámým virům a trojanům existenci a komunikaci.

4. Smazání Internet Exploreru a Outlooku a instalace Opery nebo Firefoxu

Tento bod asi není nutné příliš komentovat, stačí si přečíst security bulletin Microsoftu.

Ať už se rozhodnete pro nejlepší (ale nikoliv zdarma) Operu či Firefox a Thunderbird zdarma, Vaše bezpečnost se automaticky zvýší.

5. Trochu přemýšlení…

Přišel Vám emailem soubor big-tits.exe? Jste zvědav, co v něm je? Co to asi ukáže? Hmmm. Pak nechápu, proč čtete tento článek… Naprosta většina virů jsou primitivní exe soubory, které nespoléhají na chyby v systému, ale na chyby uživatele. Na to, že BFU něco spustí. Jen tak. Proč ne! Však on to systémák opraví. Vlastně, je to chyba systémáka, když něco nebude fungovat, poté, co to spustím, že?! 😉

6. Procesy we Windows

Řada trojanů používá ke své činnosti některé “díry” ve službách Windows, které sice jsou defaultně spuštěny, jenž ovšem téměř nikdo nepotřebuje. Služby, které nepotřebujete, nejenže snižují bezpečnost počítače, ale také zabírají desítky megabajtů paměti.

Jak na pozastavení těchto služeb? V menu Start, zvolte Spustit, a vložte text services.msc.

Následující služby můžete typicky na domácím počítači zakázat:

• Automatická konfigurace WiFi
• ICF (firewall ve Win, používáte TPF, ne?)
• Indexing Service
• NetBIOS (port 135) nad TCP/IP
• NetMeeting (sdílení plochy)
• nvidia driver helper service
• Prohledávání počítačů
• Protokol SSDP
• Sekundární přihlašování
• Server (pokud nemáte síť)
• Směrování a vzdálený přístup
• Systém událostí modelu COM+
• Telnet
• Terminálové služba
• Vzdálený registr
• Zařízení UPnP
• Webový klient.

Následující služby můžete typicky na domácím počítači nastavit na manuální / ruční:

• Aplikace COM+
• Automatické aktualizace
• Automatické připojení pomocí vzdáleného přístupu
• DDE v síti
• QoS
• Umístění v síti
• Výstrahy
• Windows Installer.

Jedním z nejlepších zdrojů na popis a “nutnost” jednotlivých procesů ve Windows je Black Viper.com.