Noțiuni elementare de securitate informatică

1. Probleme legate de mesagerie

1.1. View source

Aşadar, petrecem mult timp pe Facebook, primind tot felul de mesaje cu link-uri şi/sau imagini. Chiar dacă acele link-uri vin de la persoane de încredere, nu putem şti sigur că nu reprezintă un potenţial pericol. Persoanele respective ar putea fi infectate cu un malware care face ca acele link-uri să fie răspândite în toată lista de contacte. Dacă dorim neapărat să le accesăm, putem să le copiem cu grijă (să nu dăm click pe ele), iar apoi, în bara de adresă a browser-ului, să scriem: "view-source:[link]" (fără ghilimele), înlocuind "[link]" cu link-ul nostru. Dacă avem cunoştinţe minime de programare web, sau dacă ştim măcar cum arată un atac de tip XSS, putem vedea cu ochiul liber un iframe sau Javascript maliţios.

1.2. Alternativa Pidgin

Atunci când primim link-uri, putem lua decizia dacă le accesăm sau nu, însă din păcate Yahoo! Messenger afişează automat imaginile (atunci când cineva ne trimite un link către o imagine). În spatele acestora se poate ascunde cod PHP prin care atacatorul poate colecta informaţii despre noi (IP - chiar dacă ne aflăm în spatele unui proxy, user agent, dns), sau ni se pot chiar "fura" (parţial sau integral) cookie-urile, pe care atacatorul le poate folosi pentru a se autentifica pe conturile noastre. Acelaşi lucru este aplicabil şi pentru imaginile afişate în mod automat odată cu email-urile primite.

Problema din urmă poate fi remediată înlocuind Yahoo! Messenger cu Pidgin, client de mesagerie instant gratuit, open-source, care ne oferă numeroase avantaje:

1. Putem configura setări separate de conexiune (ex. proxy, SOCKS4, SOCKS5) pentru fiecare cont in parte.
2. Este un client universal, îl putem folosi şi pentru alte conturi decât cele de Yahoo (ex. MSN, gTalk, IRC, ICQ).
3. Putem instala plug-in-uri avansate (ex. criptarea chat-ului prin SSH).

Pidginul nu va afişa automat imaginile aferente link-urilor din mesajele recepţionate şi nu va permite executarea de cod maliţios în ferestrele de chat (amintim de malware-ul detectat de Bitdefender în decembrie 2011). De asemenea, nu este vulnerabil la trick-uri precum status-uri care au ca link ymsgr :-kill .

2. Probleme legate de comportamentul utilizatorilor la navigarea pe web

2.1. Add-on-ul HTTPs Everywhere

După cum probabil ştiţi sau aţi auzit, atunci când ne aflăm într-o reţea wireless publică (într-o cafenea, pub, restaurant, etc.) există riscul ca traficul nostru să fie interceptat de aşa-numiţii snifferi (clienţi conectaţi la aceeaşi reţea care rulează programe de interceptare/decodare a traficului, precum Wireshark). Chiar administratorul reţelei respective ne poate monitoriza traficul, prin unele facilităţi oferite chiar de către router-ul aflat la baza reţelei. Traficul criptat prin SSL este mult mai greu (imposibil uneori) de decodat, chiar dacă se reuşeşte interceptarea acestuia. Din păcate, nu toate site-urile mari activează implicit protocolul SSL împreună cu protocolul HTTP (site-urile care îl au activat au https:// în faţa adresei în loc de http://). Două exemple relevante sunt reprezentate chiar de Facebook şi Google, după cum puteţi vedea în imaginile urmatoare:


De aceea, în cazul în care utilizăm browser-ul Mozilla Firefox , pe care vi-l recomand cu caldură, este imperativă instalarea addon-ului HTTPs Everywhere , conceput sa "forţeze" utilizarea protocolului SSL ori de câte ori acesta este disponibil pe site-urile accesate.

Diferenţa după instalare, în cazul exemplelor de mai sus, vom putea vedea imediat diferenţa, dând click pe lacătul afişat în bara de adresă, în stanga adresei:


Dacă tot sunt la capitolul SSL, vă reamintesc că vă puteţi conecta şi prin FTP folosind SSL, în cazul în care provider-ul vostru de hosting face posibil acest lucru. Mai jos găsiţi un exemplu de configurare a opţiunii de conectare din FileZilla:

Încă un mic amănunt legat de reţelele Wireless... Dacă sunteţi într-un loc public, nu vă conectaţi decât la punctul de acces "trusted", care ştiţi sigur că este deţinut de proprietarul acelei locaţii (NU punctul de acces cu semnalul cel mai puternic!). Oricine deţine un laptop/netbook şi cunoştinţe minime de reţelistică, îşi poate transforma dispozitivul în access point, iar odată conectat la el, tot traficul va putea fi interceptat şi decodat (chiar dacă este criptat prin SSL). Mai mult decât atât, atacatorul vă poate păcăli, modificând setările DNS, astfel încât atunci când accesaţi Facebook, de fapt intraţi pe o pagină falsă, concepută special pentru a vă captura numele de utilizator şi parola (atac de tip psihing).

Totodată, dacă aveţi posibilitatea de a alege între mai multe conexiuni, alegeţi-o pe cea care necesită o parolă. Nu vă jenaţi să solicitaţi parola deţinătorului barului/localului/pub-ului la care mergeţi sau celor de la bar. Este dreptul dumneavoastră în calitate de client! Reţelele protejate prin WPA/WPA2 vor cripta tot traficul efectuat. Reţelele protejate prin WEP sunt însă aproape la fel de nesigure ca şi cele care nu solicită autentificare. Pentru a vedea ce tip de autentificare folosesc reţelele wireless din zonă, executaţi următoarea comandă într-un CMD:

netsh wlan show networks mode=bssid

Dacă nu aveţi posibilitatea de a vă conecta la o reţea wireless criptată, recomand folosirea serviciului Trust Connect de la Comodo sau a unui alt serviciu VPN.

2.2. Add-on-ul Adblock Plus

În afară de faptul că abundenţa de reclame din web-ul românesc (şi nu numai) este deranjantă şi uneori chiar agasantă (prin multitudinea de ferestre pop-up afişate), aceasta poate reprezenta un potenţial pericol, prin codurile Javascript malitioase care pot favoriza atacurile de tip XSS (şi nu numai). De aceea, recomand cu căldură instalarea Add-on-ului Adblock Plus, împreună cu Adblock Plus Popup Addon. De asemenea, pentru blocarea reclamelor romaneşti, este necesară adăugarea filtrului corespunzător din caseta de dialog Filter preferences aferentă addon-ului, după accesarea butonului Add filter subscription...:

2.3. Add-on-ul noScript

În cazul în care sunteţi puţin mai paranoici, vă puteţi instala şi plug-in-ul noScript, care împiedică executarea automată a codului Javascript atunci când accesaţi diferite adrese web. Acest lucru ar putea avea şi dezavantaje, precum dezactivarea unor funcţionalităţi sau efecte vizuale pe unele site-uri web. Atunci când doriţi să permiteţi executarea de conţinut la o anumita adresă, o puteţi adăuga în lista de excepţii printr-un singur click:

Puteţi de asemenea obţine informaţii suplimentare despre site-ul vizitat executand SHIFT + CLICK pe adresă.

2.4. Atenţie la parolele pe care le setaţi şi adresele de e-mail pe care le deţineţi!

Atunci când vă creaţi diferite conturi, aveţi tendinţa de a folosi aceeaşi parolă peste tot, din comoditate. Acesta este cu siguranţă un obicei prost! Anumite site-uri pot fi vulnerabile, întreaga lor bază de date (inclusiv tabelele cu nume de utilizator şi parole) ajungând, mai devreme sau mai târziu în mâna atacatorilor. Chiar administratorii acelor pagini pot vizualiza parolele dumneavoastră! Gândiţi-vă cum ar fi să rămâneţi fără toate conturile dumneavoastră (GMail, Yahoo!, Facebook), doar pentru că acestea erau "protejate" de aceeaşi parolă ca cea de pe site-urile vulnerabile/cu administratori "băgăcioşi".

Asiguraţi-vă, de asemenea, că parola dumneavoastră este sigură împotriva atacurilor de tip brute force. Este recomandat ca aceasta să conţină minimum 8 caractere, într-o combinaţie de minuscule şi majuscule, şi eventual caractere speciale. Puteţi utiliza serviciul gratuit oferit de http://www.passwordmetter.com/ pentru verificarea securităţii parolei dumneavoastră.

De asemenea, atunci când vă creaţi conturi, este recomandat să utilizaţi o adresă de e-mail separată. În caz contrar, veţi fi bombardat cu SPAM/JUNK. Motivul este cât se poate de simplu: crawlerii/roboţeii companiilor de Advertising (mai mult sau mai puţin legale) parsează site-urile şi colectează adresele de e-mail într-o bază de date dedicată publicităţii nedorite.

3. Comportamentul în utilizarea cotidiană a calculatorului

3.1. Atenţie la sursele de download!

Nu acceptaţi decât de la persoane de încredere şi sub nici o formă nu rulaţi fişiere executabile şi/sau kit-uri de instalare cu extensia .msi, decât dacă acestea provin din surse sigure. În caz contrar, ele pot conţine programe de tip backdoor/trojan/keylogger, care permit atacatorului să preia controlul calculatorului dumneavoastră sau să vă monitorizeze activitatea în timp real (inclusiv tot ce tastaţi, deci implicit parolele). Totodată, atunci când doriţi să descărcaţi o aplicaţie, descarcaţi-o de pe site-ul oficial sau din surse sigure (ex. Softpedia, CNET). Nu vă bazaţi doar pe antivirus în vederea detectării fişierelor malitioase! Acestea pot fi criptate, făcând virusul nedetectabil!

3.2. Modalităţi de instalare a aplicațiilor

Vă recomand insistent, în cazul în care folosiţi Windows, să vă desfăşuraţi activitatea de pe un cont de utilizator fără privilegii administrative. În cazul în care o anumită operaţiune pe care o executaţi (ex. instalarea unei aplicaţii, ştergerea unui subfolder/fişier din folder-ul Program Files, ştergerea unui subfolder/fişier din folder-ul Windows) necesită permisiuni suplimentare, versiunile de Windows superioare bătrânului XP (Vista, 7, 8) vor afişa imediat o casetă de dialog aparţinând funcţiei UAC (User Account Control) care vă va înştiinţa despre operaţia care urmează a fi executată. Numai dacă sunteţi sigur că dumneavoastră aţi iniţiat acea operaţie, daţi click pe Yes. În caz contrar, daţi click pe No. Astfel, eventualii viruşi contactaţi se vor afla în imposibilitatea (teoretică) de a vă compromite sistemul.

În cazul în care rulaţi pe bătrânul Windows XP, va trebui să vă delogaţi de pe contul de utilizator neprivilegiat şi să vă logaţi pe contul de administrator ori de câte ori doriţi să executaţi o astfel de operaţie.

3.3. Atenţie la stick-urile USB!

Mulţi viruşi se răspândesc prin intermediul stick-urilor USB, mai precis prin rularea automată a funcţiei Autorun de către sistemul de operare, la introducerea stick-ului, care execută fişierul autorun.inf infectat de pe suportul USB. Această funcţie este activată în mod implicit în toate versiunile de Windows. Puteţi evita executarea acesteia ţinând apăsată tasta SHIFT la introducerea dispozitivului USB.

Ce faceţi dacă stick-ul este infectat? Vă întrebaţi unde au dispărut toate folderele şi fişerele de pe acesta? Cei mai mulţi viruşi răspândiţi prin intermediul mediilor de stocare USB nu fac altceva decât să le "ascundă", prin modificarea atributelor acestora în Hidden. Cum le faceţi să apară la loc? În primul rând, verificaţi dacă sunt acolo, prin activarea unei opţiuni. Deschideţi My Computer, apoi din meniul Tools, alegeţi opţiunea Folder Options. Din meniul View al casetei de dialog apărute, alegeţi opţiunea Show hidden files, folders and drives:

Folderele şi fişierele ar trebui să apară, pe drive-ul USB.

Pentru a le înlătura atributele Hidden, trebuie să deschideţi o fereastră de CMD (START ---> RUN ---> CMD, sau direct din meniul de start în Windows Vista, 7 sau 8), să navigaţi către litera asociată partiţiei USB (ex. D: ), şi apoi să tastaţi următoarea comandă:

attrib -h -a -s -r /s /d

Va trebui să aşteptaţi până când sunt procesate toate folderele şi fişierele prezente pe stick.

Utilitarul Unlocker este de asemenea util în înlăturarea fişierului autorun.inf, în cazul în care acesta nu poate fi şters prin metode obişnuite.

3. Cum putem verifica rapid dacă am fost infectaţi?

Mai întâi, deschidem Task Manager (CTRL + SHIFT + ESC), accesăm tabul Processes şi bifăm opţiunea Show processes from all users. Dacă nu vedem coloana Description, o putem activa din meniul View, optiunea Select columns.... Toate procesele de încredere vor avea în cadrul câmpului Description compania care a produs soft-ul aferent procesului respectiv. Dacă există un proces suspicios, putem imediat să îl terminăm, folosind opţiunea End Process.

Apoi, rulăm utilitarul msconfig (START ---> RUN ---> MSCONFIG, sau direct din meniul de Start, in cazul Windows Vista, 7 sau 8), accesăm tab-ul Startup şi cercetăm cu atenţie dacă există aplicaţii care rulează odată cu sistemul de operare şi ne trezesc semne de întrebare. Aici, ne putem ghida după coloana Manufacturer. Dacă constatăm prezenţa unui proces suspicios, putem debifa checkbox-ul aferent lui şi accesa succesiv butoanele Apply şi OK pentru ca acesta să nu mai ruleze odată cu pornirea sistemului de operare.

Mulţi începători nu realizează atunci când au de a face cu un antivirus Fake, semn clar al unei infecţii cu un virus. Acestea sunt exemple de antiviruşi falşi, care defapt reprezintă viruşi care vă silesc să achiziţionaţi o soluţie de securitate care nu există:

Nu în ultimul rând, puteţi folosi utilitarele gratuite oferite de:

Bitdefender: http://quickscan.bitdefender.com/ro/
Kaspersky: Free Virus Scan - Kaspersky Lab

4. Credeţi că e totul sigur?

Microsoft pune la dispoziţie utilitarul Microsoft Baseline Security Analyzer care va verifica dacă aveţi toate actualizările de securitate instalate şi/sau dacă aveţi setări ale sistemului de operare care deschid potenţiale "portiţe".

Secunia PSI este un utilitar care verifică dacă toate programele instalate sunt actualizate la ultimele versiuni, diminuându-se astfel şansa ca sistemul dumneavoastră să fie vulnerabil atacurilor.

Soluţii gratuite de securitate:

Este de preferat să aveţi instalată o suită de securitate completă (Antivirus + Firewall), întrucât acestea îndeplinesc funcţii diferite. Firewall-ul vă protejează de atacurile directe şi previn accesul neautorizat în sistemul dumneavoastră. De asemenea, vă protejează intimitatea, blocând anumite aplicaţii să trimită statistici de utilizare sau alte date producătorilor fără acordul dumneavoastră. Antivirusul detectează şi încearcă să înlăture viruşii care ajung pe calculatorul dumneavoastră, înainte ca aceştia să se activeze.