Jak się bronić – siedem kroków do większego bezpieczeństwa

W tym rozdziale omówiono podstawowe środki bezpieczeństwa, które powinien stosować każdy użytkownik systemu informatycznego.

Krok 1: Korzystaj z zapory połączenia Internetowego

Należy uniemożliwić osobom z zewnątrz włamanie do sieci za pośrednictwem Internetu przez zainstalowanie sprzętowej zapory sieciowej. Należy także chronić poszczególne komputery, włączając tzw. zapory programowe.

Sprzętowe zapory sieciowe to bardzo istotne pierwsze linie obrony chroniące sieci lokalne przed atakami z zewnątrz przez odrzucanie niechcianej komunikacji. Zaporę sprzętową można sobie wyobrazić jako zwariowaną telefonistkę, która łączy jedynie te osoby, które szef nazwał rozsądnymi, pozostałym mówi, że „szef jest na spotkaniu”. Zapory sprzętowe blokują cały ruch między Internetem a siecią, który nie jest dozwolony. Mogą także ukrywać adresy komputerów znajdujących się za zaporą, dzięki czemu komputery podłączone do sieci nie są widoczne dla osób z zewnątrz.

Programowe zapory sieciowe, takie jak zapora połączenia Internetowego wbudowana w system Windows XP, działają podobnie jak zapora sprzętowa, ale chronią jedynie komputer, na którym działają. Stanowią dobre uzupełnienie sprzętowych zapór sieciowych, ale działając samodzielnie nie zapewniają wystarczającej ochrony sieci.

Hakerzy-przestępcy mogą znaleźć sieć użytkownika i ewentualnie skierować atak na poszczególne komputery za pośrednictwem Internetu, nie wiedząc nawet o istnieniu atakowanej firmy, czy osoby. To tak jak wybieranie losowych numerów z książki telefonicznej. Jeśli użytkownik dysponuje stałym połączeniem, na przykład za pośrednictwem modemu kablowego, to istnieje prawdopodobieństwo, że jego sieć będzie losowo sondowana lub atakowana kilka razy dziennie. Uzbrojeni w poprawny adres komputera napastnicy mogą wykorzystać luki w oprogramowaniu (zwłaszcza, jeśli programy nie są zaktualizowane za pomocą najnowszych aktualizacji) lub złamać hasła w celu uzyskania dostępu. Sama zapora sieciowa nie wystarcza, aby zagwarantować bezpieczeństwo, ale jest dobrą pierwszą linią obrony.

Jak działają zapory sprzętowe

Sprzętowe zapory sieciowe są podłączane między prywatnymi komputerami sieci a publicznym połączeniem z Internetem. Wszelki ruch między siecią prywatną a Internetem przechodzi przez zaporę i dlatego sprzętowa zapora sieciowa chroni całą sieć. Zapora sieciowa sprawdza każdy przychodzący i wychodzący pakiet i akceptuje bądź odrzuca go na podstawie zdefiniowanych wcześniej reguł. Można na przykład w taki sposób skonfigurować zaporę sieciową, aby akceptowała konkretny rodzaj ruchu związanego z pocztą e-mail oraz z komunikacją sieci Web i odrzucała inne typy

Zapory sprzętowe są często integrowane z routerami lub modemami DSL/kablowymi dostarczanymi przez usługodawców Internetowych (ISP) celu podłączenia sieci do Internetu.

komputera lub opuszczający go. Jeśli do Internetu jest podłączony pojedynczy komputer, to można używać programowej zapory sieciowej. Programowe zapory sieciowe działają na konkretnym komputerze i sprawdzają jedynie ruch przychodzący do tego

Krok 2: Pobieraj aktualizacje

Należy pobierać i instalować najnowsze aktualizacje oprogramowania. Osoby atakujące wyszukują i wykorzystują błędy i luki w popularnym oprogramowaniu, głównie dla emocji z tym związanych, dla zysku lub chęci spowodowania zamętu.

Gdy firma Microsoft wykryje lukę w oprogramowaniu, wówczas publikuje aktualizację do pobrania za pośrednictwem Internetu. Z biegiem czasu podstawowa architektura systemów komputerowych staje się coraz solidniejsza i bezpieczniejsza. Na przykład system Microsoft Windows XP Professional jest bezpieczniejszy niż system Windows 95 i Windows 98.

Licznych infekcji wirusowych można bez problemu uniknąć. W wielu sytuacjach istniały aktualizacje, które mogły zapobiec problemom, ale użytkownicy ich nie zainstalowali.

Krok 3: Korzystaj z aktualnego oprogramowania antywirusowego

Należy zapobiegać infekcjom wirusami, instalując oprogramowanie antywirusowe i regularnie je aktualizując oraz używać wbudowanych funkcji zabezpieczeń programów pocztowych takich jak np. Microsoft Outlook. Nie należy otwierać podejrzanych plików.

Wirusy (a także robaki i konie trojańskie) to złośliwe programy infekujące komputery. Infekcja zaczyna się, gdy użytkownik uruchomi zarażony program lub skrypt, zazwyczaj z załącznika do poczty e-mail lub pobrany z witryny sieci Web. Wirusy mogą być także osadzane na stronach sieci Web oraz w wiadomościach e-mail sformatowanych tak, aby wyglądały jak strony sieci Web (np. w wiadomościach e-mail w formacie HTML). Osadzone wirusy są uruchamiane w momencie wyświetlenia strony lub wiadomości e-mail. Te pliki często wyglądają kusząco lub rozmyślnie wprowadzają w błąd. Zainfekowany komputer może szybko rozprzestrzeniać wirusa na komputery innych użytkowników. Różne wirusy powodują różne skutki. Niektóre usuwają lub modyfikują pliki, inne zużywają zasoby komputera. Niektóre umożliwiają obcym osobom uzyskanie dostępu do plików użytkownika. Usuwanie wirusów oznacza stratę czasu.

Oto kilka środków znacznie ograniczających ryzyko infekcji wirusem:

• Zakupić i zainstalować oprogramowanie antywirusowe i aktualizować je. Należy zainstalować oprogramowanie antywirusowe na wszystkich komputerach podłączonych do sieci. To oprogramowanie skanuje zawartość przychodzących wiadomości e-mail (oraz plików znajdujących się już na komputerze) w poszukiwaniu sygnatur wirusów. Jeśli program znajdzie wirusa, to go po prostu usuwa lub poddaje kwarantannie. Sygnatura wirusa to coś w rodzaju unikatowej sekwencji DNA w kodzie wirusa komputerowego. Każdego miesiąca pojawiają się setki nowych wirusów, wszystkie programy antywirusowe trzeba regularnie aktualizować, wprowadzając nowe definicje sygnatur, aby program mógł wychwytywać najnowsze wirusy. Oprogramowanie antywirusowe bez najnowszych sygnatur wirusów nie jest skuteczne. Należy zaopatrzyć się w program, który automatycznie pobiera definicje i swoje aktualizacje z Internetu. Jako dodatkowy środek zapobiegawczy na serwerze poczty e-mail można zainstalować oprogramowanie skanujące każdy fragment poczty e-mail przychodzącej do firmy. Niektórzy usługodawcy Internetowi zapewniają swoim klientom automatyczne filtrowanie wirusów.
• Nie otwierać podejrzanych plików. Złota reguła to nie otwierać jakichkolwiek plików dołączonych do wiadomości e-mail z nieznanego, podejrzanego, lub niegodnego zaufania źródła, niezależnie od tego, jak kusząco może wyglądać wiadomość e-mail. Taką samą ostrożność należy zachowywać przy przeglądaniu stron sieci Web i przy pobieraniu plików z Internetu. Pliki należy pobierać jedynie z zaufanych witryn. Większość produktów antywirusowych skanuje pliki zapisane na dysku twardym niezależnie od tego, skąd pochodzą (np. z witryny sieci Web, z poczty e-mail, z dyskietki czy z sieci). Należy się upewnić, że w oprogramowaniu antywirusowym jest włączona automatyczna ochrona. Należy pamiętać, że fałszywe alarmy dotyczące wirusów nadsyłane w wiadomościach e-mail (podobnie łańcuszki i inne listy) są równie powszechne jak same wirusy.
• Blokować spam. Spam to niezamawiane komercyjne wiadomości, których liczba cały czas rośnie. Około połowy wszystkich wiadomości e-mail wysyłanych na całym świecie to spam. Niektóre z nich przenoszą wirusy, a niektóre zawierają obraźliwe treści. Przeciętny pracownik spędza dziennie około jednej godziny zajmując się pocztą e-mail, więc spam w oczywisty sposób rzutuje na jego wydajność.

Krok 4: Używaj silnych haseł lub technologii silnego uwierzytelniania

Nie ułatwiaj hakerom dostępu do systemu przez używanie haseł, które łatwo odgadnąć lub złamać. Należy wybierać tzw. silne hasła i regularnie je zmieniać.

Hasła to najpowszechniejsza metoda uwierzytelniania użytkowników. Uwierzytelnianie bazuje na czymś, co użytkownik zna lub posiada (np. tajne słowo lub fraza, odciski palców lub wzór tęczówki oka, inteligentna karta, token lub fizyczny klucz). Najbardziej rozpowszechnione są hasła, gdyż korzystanie z nich jest najprostsze. Z drugiej strony łatwo może dojść do ich niewłaściwego użycia.

Osoby atakujące używają zautomatyzowanych narzędzi, które w parę minut odgadują i odszukują proste hasła. Oszust, stosując sztuczki socjotechniczne, może sprowokować użytkowników do ujawnienia haseł. Osoba atakująca, udając konsultanta do spraw zabezpieczeń, może na przykład zadzwonić do recepcjonistki podczas sytuacji awaryjnej i poprosić o podanie hasła w celu wykonania śledzenia lub debugowania. Najlepsze na świecie zabezpieczenia są bezwartościowe, jeśli ktoś niepowołany będzie znać hasło.

Po pierwsze, należy zrozumieć, dlaczego niektóre hasła są słabe. Rozważmy następujące zagadnienia:

• Nieużywanie haseł nie jest dobrą praktyką, głównie dlatego, że każdy pracownik może podejść do niezabezpieczonego komputera i się zalogować.
• Hasła takie jak imię, nazwa użytkownika lub nazwa firmy łatwo odgadnąć.
• Hasła w postaci powszechnie używanych słów są łatwo do odgadnięcia za pomocą zautomatyzowanych „ataków słownikowych”.
• Typowe hasła, takie jak „haslo”, „wpuscmnie” czy „1234” łatwo odgadnąć.
• Hasła zapisane na kartce papieru leżącej w pobliżu komputera łatwo odszukać.
• Hasło nie zmieniane przez kilka miesięcy może zostać odgadnięte lub złamane bez wiedzy użytkownika.
• Hasło, które zna ktoś jeszcze, jest zawsze luką w zabezpieczeniach.
• Słabe są hasła zawierające typowe zamienniki liter, np. zastępowanie litery „i” znakiem „! ”, litery „s” znakiem „$” lub cyfrą „5” czy litery „o” cyfrą „0” itd. Współczesne metody łamania haseł uwzględniają takie podstawienia, więc stosowanie ich w hasłach ani trochę nie zwiększa siły hasła. Inaczej mówiąc, jeśli podstawienie jest sensowne w oczach użytkownika, to może być także sensowne dla osoby łamiącej hasła.

Silne hasła mają następujące cechy:

• Powinny zawierać co najmniej osiem znaków; im więcej, tym lepiej.
• Powinny zawierać małe i wielkie litery, cyfry i symbole (np. ` ~! @ # $ % ^ & * ) _ + – = { } | [ ] \: “; ‘ < >?,. / lub znak spacji).
• Powinno być regularnie zmieniane (90 dni to dobra częstotliwość, ale zalecamy 42 dni) i znacznie się różnić od poprzednich haseł. (Hasła z licznikiem, takie jak Haslo001, Haslo002, Haslo003 nie są silne).

Na przykład silnym hasłem, zgodnie z tymi regułami, byłoby hasło J*p2leO4>F.

Oczywiście, hasło, którego użytkownik nie jest w stanie zapamiętać jest bezużyteczne. Istnieją jednak sztuczki ułatwiające zapamiętywanie silnych haseł:

• W systemach Windows 2000 oraz Windows XP można użyć jako hasła frazy takiej jak „Zjadłem na obiad pięć kurczaków”.
• Można wybrać frazę i wykorzystać z niej pierwsze litery wyrazów, na przykład Msm5lat! (Mój syn ma 5 lat! ).
• Inna sztuczka polega na wybraniu krótkich słów i połączeniu ich za pomocą liczb i symboli (np. Ptak+34+Staw).

Opracowując zasady, należy zawsze uwzględniać podatność ludzi na sztuczki socjotechniczne i ludzkie słabości. Należy uświadamiać użytkownikom, że hasło powinno być traktowane tak samo jak klucz do biura: nie należy go zostawiać na wierzchu ani udostępniać innym osobom.

Warto również skonfigurować wygaszacz ekranu, tak aby po powrocie do komputera system żądał hasła. Takie postępowanie uniemożliwia pozostawienie zalogowanego komputera, gdy jego użytkownik oddali się od biurka. 34+Staw).

Technologie silnego uwierzytelniania

W przypadku systemów informatycznych firm zawierających szczególnie ważne lub poufne informacje (dane finansowe, personalne) zabezpieczenie hasłami statycznymi może się okazać niewystarczające. Należy wówczas rozważyć wdrożenie technologii oferujących tzw. Silne uwierzytelnianie, tj. takie, które przy ogólnie dostępnych obecnie technologiach nie mogą zostać złamane. Do najbardziej powszechnych i sprawdzonych w tym zakresie należą:

• Rozwiązania oparte o karty inteligentne oraz Infrastrukturę Klucza Publicznego (PKI)
• Tokeny wykorzystujące mechanizm silnego uwierzytelnia dwuskładnikowego

Krok 5: Przeglądaj sieć Web, zachowując środki ostrożności

Należy zadbać, aby przeglądanie sieci Web odbywało się w bezpieczny sposób. Strony sieci Web mogą zawierać programy. Te programy są na ogół nieszkodliwe i pożyteczne (np. animacje i menu wyskakujące), ale czasem zawierają wirusy. Istotna jest również przepustowość łącza, więc ograniczenie dozwolonych operacji Internetowych może być pomocne przy oszczędzaniu tego cennego zasobu.

Istnieje wiele środków ostrożności, które można zastosować, aby zwiększyć bezpieczeństwo przeglądania sieci Web przez pracowników. Warto rozważyć następujące kroki:

• Nie odwiedzać nie zaufanych witryn sieci Web. Jednym ze sposobów zaimplementowania tego środka zapobiegawczego jest wyperswadowanie pracownikom używania komputerów w pracy do przeglądania Internetu w wolnych chwilach. Należy poprosić pracowników o odwiedzanie tylko tych witryn, których zawartość jest niezbędna do pracy.
• Nie przeglądać witryn sieci Web bezpośrednio z serwera. Należy zawsze używać stacji roboczej.
• Zastanowić się nad zastosowaniem routera/zapory sieciowej w celu filtrowania adresów sieci Web lub nad zainstalowaniem oprogramowania filtrującego zawartość sieci Web.
• Stworzyć ulotkę z zasadami korzystania z sieci Web i rozdać ją pracownikom. Określić, czy pracownicy mogą przeglądać sieć Web w celach osobistych czy wyłącznie w celu zwiększenia wydajności pracy. Jeśli pracownicy mogą przeglądać sieć Web w celach osobistych podczas przerwy na lunch lub poza czasem pracy, to należy to określić w zasadach. Poinformować pracowników, czy korzystanie z sieci Web jest monitorowane i czy mogą liczyć na zachowanie prywatności w odniesieniu do sposobu wykorzystania Internetu. Nie należy się obawiać dosłownego opisania niedopuszczalnych zachowań – określić praktyki takie jak pobieranie obraźliwej zawartości, grożenie lub agresywne zachowania, nielegalne działania lub wysyłanie ogłoszeń handlowych (niezwiązanych z wykonywaną pracą) itp. Dla każdego pracownika należy przygotować dwa egzemplarze zasad – jeden dla niego, drugi do podpisu i zwrotu.

Krok 6: Korzystaj z poczty e-mail w bezpieczny sposób

Poczta e-mail to bardzo ważne narzędzie komunikacyjne. Jednak poczta e-mail to najczęściej używana usługa internetowa i dlatego jest częstym obiektem ataków. Należy nauczyć się wykorzystywać jej zalety przy jednoczesnym ograniczeniu związanego z jej używaniem ryzyka.

Nowe oprogramowanie do obsługi poczty e-mail rozwinęło się w sposób gwarantujący większe bezpieczeństwo w związku z rosnącą liczbą zagrożeń związanych z wiadomościami e-mail. Jednak wciąż należy stosować kilka środków ostrożności:

• Aktualizować oprogramowanie poczty e-mail (i inne programy). Aktualizacje programów często zawierają istotne poprawki problemów związanych z bezpieczeństwem.
• Zainstalować oprogramowanie antywirusowe i aktualizować je. Należy używać oprogramowania antywirusowego firm o dobrej reputacji, współpracującego z używanym oprogramowaniem poczty e-mail i pamiętać o regularnym pobieraniu definicji nowych wirusów.
• Filtrować wiadomości śmieci.
• Nie otwierać podejrzanych załączników. Nie otwierać niezamawianych załączników wiadomości e-mail. Najprościej w takiej sytuacji odpisać do nadawcy i potwierdzić zawartość załącznika.
• Nie odpowiadać na spam. Często w wiadomościachśmieciach znajdują się łącza lub adresy umożliwiające usunięcie z listy wysyłkowej nadawcy spamu. Jednak odpowiedź na spam najczęściej jest informacją dla jego nadawcy, że uzyskał aktywny, poprawny adres e-mail. Spam należy ignorować i usuwać.
• Nigdy nie podawać haseł, numerów kart kredytowych lub innych informacji osobistych w odpowiedzi na wiadomość e-mail. Jeśli legalnie działająca firma będzie potrzebować takich informacji, to nie będzie żądać podania ich za pośrednictwem poczty e-mail. Zamiast tego poprosi o wprowadzenie danych za pośrednictwem bezpiecznej witryny sieci Web. Jeśli nie ma pewności, czy otrzymana wiadomość e-mail pochodzi z pewnego źródła, należy w pierwszej kolejności otworzyć przeglądarkę internetową i wpisać adres firmy (nie należy klikać łącza znajdującego się w wiadomości e-mail). Gdy zostanie wyświetlona prawdziwa witryna firmy, będzie można się zorientować, czy są jej potrzebne nasze informacje osobiste.

Krok 7: Regularnie twórz kopie zapasowe i odtwarzaj dane

Tworzenie kopii zapasowych to ważny element zasad bezpieczeństwa. Należy je testować przez okresowe ich odtwarzanie, aby zagwarantować poprawne procedury.

Aby utworzyć skuteczne rozwiązania dotyczące kopii zapasowych, należy rozważyć dwa zagadnienia: sprzęt do tworzenia kopii zapasowych oraz procedury. Szybkie urządzenie o wysokiej pojemności nie jest dobrym rozwiązaniem, jeśli kopie zapasowe danych nie są często tworzone. Istnieją dwa rodzaje kopii zapasowych: pełna i przyrostowa. Pełna kopia zapasowa pozwala na skopiowanie wszystkich wybranych danych na inny nośnik. W przyrostowej kopii zapasowej są uwzględniane jedynie te dane, które zostały dodane lub zmodyfikowane od czasu sporządzenia ostatniej pełnej kopii zapasowej.

Kopie zapasowe to ostatnia linia obrony, gdy nastąpi awaria sprzętu, zalanie lub pożar, uszkodzenie będące następstwem naruszenia zabezpieczeń lub przypadkowe usunięcie danych. Należy zadać sobie pytanie, co było, gdy nastąpiła utrata ważnych danych biznesowych. Ile czasu zajęłoby ich odtwarzanie? Jakie wystąpiłyby zakłócenia i opóźnienia?

W przypadku indywidualnego użytkownika konieczne jest nabranie nawyku zgrywania kluczowych danych na zewnętrzne nośniki (np. CD –ROM, DVD). W przypadku ochrony systemów firmy, czy urzędu należy wyznaczyć osobę odpowiedzialną za kopie zapasowe. Ta osoba powinna regularnie testować integralność kopii, odtwarzając część lub wszystkie skopiowane dane na komputerze testowym (należy pamiętać, aby w wyniku odtwarzania nie zamazać istniejących danych).

Tworzenie planu zabezpieczeń

Bezpieczeństwo nie jest jednorazowym zadaniem, ale procesem. Wymaga podjęcia określonych środków, konsekwentnego realizowania przyjętych zasad. Wdrożenie właściwych zabezpieczeń oznacza skoordynowanie działań polegających na zastosowaniu określonych technologii, ludzkich zachowań, zasad i procesów. Nie da się więc przeprowadzić takiego zadania bez stworzenia planu. Plan ułatwia koordynację wszystkich wysiłków związanych z bezpieczeństwem i pozwala zagwarantować, że nie pozostały luki. Plan pozwala także zorientować się w proporcjach i priorytetach.

Sporządzenie dobrego planu zabezpieczeń wymaga czterech kroków: inspekcji, zaplanowania, wykonania, i powtarzania. Używając jako listy kontrolnej 22 pytań oraz „10 kroków do zwiększenia bezpieczeństwa” przedstawionych we wcześniejszej części przewodnika, należy dokonać inspekcji wszystkich komputerów, jakie pracują w systemie informatycznym. Po drugie, po wykonaniu inspekcji należy określić priorytety na podstawie prawdopodobieństwa wystąpienia problemu. Po trzecie, uwzględniając kolejno poszczególne zagrożenia, szeregując je według priorytetów, należy określić, jak je odsunąć, złagodzić lub jak ich unikać (albo zastanowić się, czy można pracować mimo istnienia tych zagrożeń). W końcu należy utworzyć zespół, przydzielić zasoby i obowiązki, a następnie zrealizować plan. Należy pamiętać o ciągłej weryfikacji i nadzorowaniu przestrzegania planu.

Dobry plan dzisiaj jest lepszy niż idealny plan jutro. Z natury planowanie zabezpieczeń jest procesem cyklicznym, więc warto wdrożyć szybki plan już i poprawić go później.