diplomska naloga it varnost in zaščita (draft)
DESCRIPTION
An almost finished diploma work. The official title in English is "Comprehensive IT security and protection for a small business or home working environment"TRANSCRIPT
Šolski center Kranj
Informatika
DIPLOMSKA NALOGA
Kranj, oktober 2015 Tadej Peršič
Šolski center Kranj
Informatika
DIPLOMSKA NALOGA
Kranj, oktober 2015 Tadej Peršič
Šolski center Kranj
Informatika
Diplomska naloga višjega strokovnega izobraževanja
CELOVITO ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI
DOMAČEGA OKOLJA ALI MIKRO PODJETJA
Avtor: Tadej PeršičIme podjetja: Tehna d.o.o.Mentor v podjetju: Žiga Petrič, univ. dipl. inž. el.Mentorica v šoli: Marjeta Pučko, dr.Lektorica: Bojana Samarin
Kranj, oktober 2015
ZAHVALA
Svoji mentorici na šoli dr. Marjeti Pučko se iskreno zahvaljujem za pomoč pri izbiri
primerne teme in naslova za diplomsko nalogo, kasneje pa za mnoge nasvete, pripombe
oziroma komentarje in vso ostalo strokovno pomoč pri izdelavi diplomske naloge. Brez
njene pomoči bi bila diplomska naloga veliko manj kvalitetna.
Prav tako se za priložnost, da sem pobližje spoznal informacijsko infrakstrukturo v
podjetju Tehna d.o.o., zahvaljujem svojemu so-mentorju v podjetju Žigi Petriču.
I
II
POVZETEK
V diplomski nalogi je obravnavan problem zagotovitve informacijske varnosti za
domače delovno okolje ali majhno (mikro) podjetje. V teoretičnem delu so v prvem delu
opisane tri vrste varnostnih incidentov glede na vzrok in način izgube oziroma zlorabe
podatkov, nato so opisana nekatera pomembna orodja in procedure za varovanje
podatkov, na koncu pa so predstavljeni še glavni varnostni mehanizmi, ki so vgrajeni v
operacijska sistema Windows XP in Windows 7. V praktičnem delu so v prvem delu na
primeru domačega delovnega okolja opisane konkretne varnostne nastavitve za internet,
ki so na voljo skrbnikom sistemov in končnim uporabnikom, v drugem delu pa so
navedena varnostna orodja, specifični programi in postopki, ki zagotavljajo varnost
računalnika in podatkov v delovnem okolju. Osnova za diplomsko nalogo je avtorjevo
poznavanje varnostnih mehanizmov pri operacijskih sistemih Microsoft Windows,
praktične izkušnje v zvezi z varnostnimi uporabniškimi programi in varnostnimi orodji
v domačem delovnem okolju in izkušnje z varnostjo pri računalniških sistemih nasploh.
KLJUČNE BESEDE
operacijski sistemi Windows, varnost informacijskih sistemov, varnost in zaščita
podatkov, varnostne nastavitve
III
ABSTRACT
In the thesis we presented the problem of providing security for the home working
environment or small (micro) company. The first part of the theoretical part of thesis
describes three types of security incidents in relation to the source of threats and the
cause for data loss, then a few most important tools and procedures for keeping the data
data secure are listed and shortly described, while the last part describes main security
mechanisms built into operating systems Windows XP and Windows 7. The first part of
practical part of thesis describes specific internet related configuration settings that are
available to system administrators and end-users, and the second part describes specific
security tools, programs and procedures, which provide security for the home working
environment. The basis for the thesis is author’s own knowledge about security
mechanisms in case of Microsoft Windows operating systems, his practical experiences
with security user programs and tools in home working environment, and experiences
with security in information technology in general.
KEY WORDS
Windows operating systems, information systems security, security and protection
od data, security configuration
IV
KAZALO VSEBINE
1 UVOD.............................................................................................................101.1 NAMEN DIPLOMSKE NALOGE in METODE DELA....................................................101.2 OPIS DELOVNEGA OKOLJA IN PODJETJA.................................................................111.3 ZASTAVLJENA HIPOTEZA.............................................................................................12
2 TEORETIČNE OSNOVE O VARNOSTI..................................................132.1 VZROKI ZA IZGUBO IN ZLORABO PODATKOV........................................................13
2.1.1 Izguba zaradi samega uporabnika..............................................................................132.1.2 Izguba ali zloraba zaradi tretje osebe.........................................................................132.1.3 Izguba zaradi nezanesljivosti tehnologije..................................................................142.1.4 Statistika napadov v letu 2014...................................................................................14
2.2 VARNOSTNA ORODJA IN STORITVE..........................................................................152.2.1 Anti-virusni programi.................................................................................................152.2.2 Požarni zidovi.............................................................................................................162.2.3 Storitev Dropbox........................................................................................................162.2.4 tev OpenDNS.............................................................................................................17
2.3 GLAVNE DOBRE VARNOSTNE PRAKSE.....................................................................192.3.1 Izdelava varnostnih kopij podatkov...........................................................................192.3.2 Uporaba varnih uporabniških gesel............................................................................192.3.3 Celovito zavarovan Windows XP..............................................................................202.3.4 Licenčna ali preverjena odprto-kodna programska oprema.......................................212.3.5 Pomembnost administriranja......................................................................................22
3 VARNOSTNI MEHANIZMI PRI MICROSOFT WINDOWS................243.1 VARNOSTNI MEHANIZMI PRI WINDOWS XP............................................................24
3.1.1 Varnostni mehanizem DEP........................................................................................243.1.2 Funkcije datotečnega sistema NTFS..........................................................................243.1.3 Windows sistemski servisi.........................................................................................243.1.4 Varnostna komponenta Windows Firewall................................................................253.1.5 Varnostna komponenta Microsoft Security Essentials..............................................263.1.6 Nastavitve za internet pod Internet Options...............................................................26
3.2 VARNOSTNI MEHANIZMI PRI WINDOWS 7...............................................................273.2.1 Varnostni mehanizem ASLR.....................................................................................273.2.2 Varnostni mehanizem UAC.......................................................................................273.2.3 Varnostna komponenta Windows Firewall................................................................283.2.4 Varnostna komponenta Action Center.......................................................................293.2.5 Varnostna komponenta Windows Defender..............................................................293.2.6 Varnostna funkcija Windows Update........................................................................30
4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA......................................314.1 KREIRANJE IN KONFIGURACIJA WI-FI OMREŽJA...................................................31
4.1.1 WI-Fi omrežje in storitev OpenDNS.........................................................................324.2 CELOVITA DNS ZAŠČITA ZA INFORMACIJSKI SISTEM.........................................34
4.2.1 Program DNSKong in DNS filtriranje.......................................................................344.2.2 LAN omrežje in program DNSKong.........................................................................354.2.3 Več-nivojska zaščita DNS sistema.............................................................................36
4.3 ANTI-VIRUSNI PROGRAM IN POŽARNI ZID..............................................................374.3.1 Anti-virusni program Avast Antivirus 2015..............................................................374.3.2 Požarni zid pri Windows XP SP3..............................................................................38
4.4 PROGRAMI ZA VARNOST NA INTERNETU................................................................394.4.1 K9 anti-spam program................................................................................................39
V
4.4.2 Proxomitron filtrirni proxy program..........................................................................404.5 DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI.......................................................41
4.5.1 Clamwin Antivirus Free.............................................................................................414.5.2 Spybot - Search & Destroy........................................................................................414.5.3 Bitdefender Adware Removal....................................................................................414.5.4 Program xp-AntiSpy..................................................................................................424.5.5 Program SpywareBlaster............................................................................................424.5.6 Cryptainer in fSekrit...................................................................................................434.5.7 Program PsExec.........................................................................................................444.5.8 Program BugOff.........................................................................................................464.5.9 Ostali varnostni uporabniški programi.......................................................................46
4.6 PROGRAMI ZA NADZOR NAD DELOVANJEM RAČUNALNIKA............................474.6.1 Program Process Explorer..........................................................................................474.6.2 Program TCPView.....................................................................................................494.6.3 Program AutoRuns.....................................................................................................504.6.4 Programa FileMon in RegMon..................................................................................51
4.7 VARNOSTNO KOPIRANJE PODATKOV.......................................................................534.7.1 Kopiranje na drug disk...............................................................................................544.7.2 Kopiranje na Dropbox................................................................................................544.7.3 Avtomatizacija z orodjem TaskScheduler.................................................................55
5 ZAKLJUČEK................................................................................................576 LITERATURA................................................................................................58
VI
KAZALO SLIK
Slika 1: Windows XP, Windows Firewall, opozorilno okno...................................25Slika 2: Windows 7, Windows Firewall, opozorilno okno......................................29Slika 3: Program Tenda Configuration Utility, Network Status..............................32Slika 4: Wi-Fi Properties, DNS servers, OpenDNS.................................................33Slika 5: OpenDNS, Settings, Web content filtering.................................................34Slika 6: LAN Properties, DNS servers, DNSKong + OpenDNS.............................36Slika 7: Program K9, e-mail sporočila v mapi Spam...............................................40Slika 8: Program Mozilla Firefox, proxy nastavitve................................................41Slika 9: Program xp-AntiSpy, uporabniški vmesnik, nastavitve..............................42Slika 10: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)................44Slika 11: Program BugOff, uporabniški vmesnik,, nastavitve.................................46Slika 13: Program Process Explorer, uporab. vmesnik, glavno okno......................48Slika 14: Program Process Explorer, proces firefox.exe, Performance Graph........49Slika 17: Program TCPView, uporab. vmesnik,, protokol TCP..............................50Slika 18: Program AutoRuns, uporab. vmesnik,, zavihek Everything.....................51Slika 15: Program FileMon, uporabniški vmesnik...................................................52Slika 16: Program RegMon, uporabniški vmesnik..................................................53Slika 19: Orodje Task Scheduler, skripta Backup_n1.bat........................................56
VII
KAZALO TABEL
Tabela 1: Statistika napadov glede na programsko opremo.....................................14
VIII
UPORABLJENE KRATICE IN POJMI
DNS - Domain Name System – Sistem imenovanja domen
HSPA - High Speed Packet Access – Hitri dostop do paketov; t. j. združeni termin
za protokola mobilne telefonije HSDPA (angl. High Speed Downlink Packet Access) in
HSUPA (angl. High Speed Uplink Packet Access)
Napad buffer overflow - napad na računalnik, ki izkorišča varnostno luknjo
oziroma napako imenovano »buffer overflow«; le-ta se pojavi, ko poskuša program ali
operacijski sistem v računalniški pomnilnik zapisati več podatkov, kot gredo v blok
pomnilnika, ki mu je bil dodeljen za uporabo
Storitve v oblaku - posebna vrsta storitev, pri katerih se obdelava in shranjevanje
podatkov ne izvaja na lokalnem računalniku, ampak na oddaljenih računalnikih
(stežnikih); dostop do podatkov shranjenih »v oblaku« je možen prek interneta
RAM - Random Access Memory – Pomnilnik z naključnim dostopom; t. j. hiter
fizični pomnilnik (za razliko od virtualnega pomnilnika), ki ga uporabljajo operacijski
sistemi in programi
RAMDisk - izraz za del spomina RAM, ki se obnaša kot pogon na trdem disku;
vsebina na njem je ob vsakem zagonu – resetiranje ali izklop – računalnika izgubljena
Ribarjenje - poskus pridobitve osebnih podatkov (na primer uporabniškega imena,
varnostnega gesla, številke kreditne kartice) za njihovo zlorabo; to se poskuša storiti
prek spletnih strani ali e-mail sporočil, ki izgledajo kot legitimne strani oziroma e-maili.
Robotsko omrežje - mreža računalnikov (angl. botnet) s katero upravlja tretja oseba
in jo uporablja za širjenje neželene e-pošte, virusov in drugih zlonamernih programov;
uporabniki praviloma ne vedo, da je njihov računalnik del botnet omrežja in da ga
nekdo zlorablja
IX
1 UVOD
V današnjem času so računalniki – oziroma širše, informacijska tehnologija – postali
nepogrešljiv sestavni del naših življenj. Brez njih si dela in izkoriščanja prostega časa
skoraj ne moremo več predstavljati. Računalnike uporabljamo za komunikacijo, pisanje
besedil, izdelavo prezentacij, v prostem času na njih igramo računalniške igrice in tako
dalje. V povezavi z njimi pa je prav tako nepogrešljiv postal tudi internet; uporabljamo ga
za iskanje informacij, spremljanje novic, spletne nakupe, spletno bančništvo, socialna
omrežja, pošiljanje in prejemanje elektronske pošte, klepet z osebami na drugih koncih
sveta prek audio in video povezave in tako dalje. Ker pa pri uporabi računalnika za kateri
koli namen že, obstajajo varnostna tveganja, je izjemno pomembno, da je vsak
informacijski sistem pravilno zaščiten. Glede varnosti pri informacijski tehnologiji
obstajajo mnogi postopki oziroma metode v smislu preventive, s katerimi lahko
preprečimo okužbo enega ali več računalnikov.
1.1 NAMEN DIPLOMSKE NALOGE IN METODE DELA
Namen diplomske naloge je bil – prek obravnavanega problema zagotovitve celovite
informacijske varnosti za domače delovno okolje ali majhno podjetje – opredeliti
pomembnost varnega informacijskega sistema, opredeliti glavne grožnje za varnost
informacijskih sistemov, navesti najbolj pogoste vrste varnostnih incidentov, celovito
opisati mehanizme, ki so vgrajeni v Microsoft Windows in zagotavljajo varnost in zaščito
operacijskih sistemov, cilj diplomske naloge pa je bil predstaviti nabor konkretnih
praktičnih rešitev (varnostna orodja, postopki in dobre prakse za zagotovitev varnosti pri
delu z osebnim računalnikom) za varno delo v domačem delovnem okolju.
Metoda dela za dosego cilja predstavitve pomembnosti varnega informacijskega
sistema je bila navajanje varnostnih groženj za nezavarovan informacijski sistem, za
predstavitev praktičnih varnostnih rešitev za varno delovno okolje pa je bila glavna metoda
dela opis konkretnih varnostnih orodij, storitev in dobrih varnostnih praks, povezanih z
varnostjo informacijskega sistema, kot tudi podroben opis nastavitev operacijskega sistema
in varnostnih uporabniških programov. Druga metoda za dosego ciljev je bila uporaba
izsledkov raziskovanja (prebiranje literature na svetovnem spletu), v manjši meri pa tudi
testiranje na domačem delovnem informacijskem sistemu. V diplomski nalogi se je avtor v
veliki meri naslanjal na svoje dosedanje izkušnje z varnostjo pri informatiki.
1.2 OPIS DELOVNEGA OKOLJA IN PODJETJA
Domače delovno okolje, katerega smo opisovali v diplomski nalogi, je informacijski
sistem, katerega sestavljajo naprave na dveh ločenih lokacijah. Na eni lokaciji se nahajajo
tiskalnik, skener in namizni računalnik z operacijskim sistemom Windows XP, ki se na
internet se povezuje prek lokalnega brezžičnega omrežja (ponudnik storitev je Telemach,
kabelska povezava). Na drugi lokaciji pa imamo namizni računalnik, ki prav tako uporablja
operacijski sistem Windows XP, na internet pa se povezuje prek 3G USB modema
(ponudnik storitev je Si.mobil, UMTS mobilni internet). Oba računalnika se lahko s
kablom poveže z notesnikom, ki uporablja operacijski sistem Windows 7, za povezavo v
internet pa uporablja USB Wi-Fi mrežno kartico.
Tehna podjetje za marketing in inženiring, d.o.o. pa je podjetje, ki je specializirano za
svetovanje in izvedbo rešitev za avtomatizacijo strojev in naprav. Od leta 1990 ponuja
slovenskemu trgu opremo, s katero dviguje raven industrijske avtomatizacije. Podjetje je
pooblaščen predstavnik in distributer vodilnega proizvajalca opreme za avtomatizacijo
Rockwell Automation. Dejavnosti podjetja se delijo na prodajo, svetovanje in izvedbo
rešitev za avtomatizacijo strojev in naprav in vključujejo:
− Dobavo aparaturne in programske opreme in rezervnih delov
− Servis za izdelke zastopanih podjetij
− Tehnično podporo uporabnikom in šolanje sistemskih integratorjev
− Izračun in simulacija pogonov in pogonskih komponent
− Izdelava programov za krmilnike in vizualizacijo
− Analiza in optimizacija delovanja servo pogonskih sklopov strojev in naprav
Infrastruktura informacijskega sistema v podjetju Tehna d.o.o. se seveda zelo razlikuje
od informacijskega sistema v našem domačem delovnem okolju, kljub temu pa je njihov
sistem razmeroma preprost. Glavni strežniški računalnik teče na strežniškem operacijskem
sistemu Windows 2008 R2 Small Business Server Edition, njegovi funkciji pa sta nudenje
in upravljanje z domenskimi računi za zaposlene (domenski računi so zaščiteni s
standardnimi dvojicami: uporabniško/geslo) in upravljanje DNS sistema. Podjetje za
uporabnike iz domene uporablja deljeni disk strežniku, prek njega pa deluje Microsoft
Exchange 2010 za OWA (angl. Outlook Web Mail) s privatnim certifikatom za dostop od
zunaj. Za povezavo v internet v podjetju uporabljajo Wi-Fi usmerjevalnik (dostop z WEP
ključem), ki ima DHCP in požarni zid, ki deluje na usmerjevalniku. Dostop je ločen za
zaposlene in goste. Za varnostno kopiranje podatkov uporabljajo storitev Vembu StoreGrid
(t. i. "cloud backup"), spletni strežnik za njihovo spletno stran in stežnik za elektronsko
pošto pa imajo pri ponudniku storitev Amis. V osnovi veljajo torej zelo podobne zahteve in
ukrepi za zagotavljanje osnovne informacijske varnosti.
1.3 ZASTAVLJENA HIPOTEZA
Glede na tematsko področje in zastavljene cilje diplomske naloge sem postavil sledečo
hipotezo: »Ne glede na stopnjo računalniškega znanja končnega uporabnika lahko z dobro
zavarovanim informacijskim sistemom zelo zmanjšamo možnost za okužbo računalnikov,
izgubo in/ali krajo pomembnih podatkov, zlorabo osebnih podatkov in ostalih varnostnih
incidentov.«
2 TEORETIČNE OSNOVE O VARNOSTI
2.1 VZROKI ZA IZGUBO IN ZLORABO PODATKOV
Ena od glavnih funkcij računalniških sistemov je obdelava podatkov, zato so pri
informacijski tehnologiji podatki bistvenega pomena, njihova varnost pa je ključnega
pomena. Zato učinkoviti načini za varovanje oziroma zaščito podatkov zavzemajo
pomemben del v svetu računalništva. Vzrokov zakaj – in načinov kako – pride do izgube
ali zlorabe podatkov je veliko, saj je vsak primer zase specifičen. Bi se pa dalo te varnostne
incidente smiselno razdeliti glede na vzrok in izvor grožnje (oziroma povzročitelja) in
glede na način, kako je do izgube oziroma zlorabe prišlo.
2.1.1 Izguba zaradi samega uporabnika
Pod to vrsto spada izguba in zloraba podatkov, za katero je kriv izključno uporabnik
sam. Ti varnostni incidenti so večinoma posledica raznih nesreč pri ravnanju s podatki in
pri tej vrsti izgube podatkov gre za nenamerne izgube, ki so posledica človeških napak pri
ravnanju s podatki. Sem sodijo raznorazne nesreče, kot so na primer nenamerno brisanje
ali prepis podatkov, napačna hramba in podobno. Najbolj pogost primer izbrisanja
podatkov je nenamerni izbris datoteke ali mape. Do nenamernega prepisa podatkov pride
na primer, ko ima uporabnik v urejevalnika besedila odprto datoteko, nakar naredi nek
popravek (recimo izbriše nekaj odstavkov) in nato program datoteko shrani in zapre
program, s čimer ni več mogoče razveljaviti (angl. Undo) zadnjih sprememb. Do
podobnega primera lahko pride pri deljenju datotek, ko imata isto datoteko hkrati odprto
dva uporabnika in ko jo eden od njiju shrani in zapre, lahko s tem uniči vse, kar je vanjo
pred tem napisal drug uporabnik. Na srečo obstajajo pri teh storitvah varnostne funkcije
(na primer zaklenitev datoteke, ki je trenutno odprta), ki lahko to preprečijo. Do nenamerne
izgube podatkov pride tudi v primerih, ko uporabnik datoteke ne shranjuje sproti. Vedno
lahko namreč pride do sesutja programa, pri čemer bo izgubljeno vse delo, ki je bilo
opravljeno od zadnje shranitve dokumenta.
2.1.2 Izguba ali zloraba zaradi tretje osebe
V to skupino spadajo vsi načini izgube podatkov, kjer je krivec za izgubo ali zlorabo
podatkov nekdo tretji. Pri tej skupini gre za namerne zlorabe podatkov ozrioma
povzročitve izgub podatkov, kjer neka tretja oseba – na primer nekdo, ki vdre v
uporabnikov poštni račun ali pisec virusa – to namerno povzroči. Pod to vrsto torej spadajo
zlorabe podatkov zaradi nepooblaščenega dostopa do njih, kot tudi okužbe z zlonamerni
programi. Same okužbe pa so velikokrat posledica naivnosti uporabnika pri uporabi spleta
in elektronske pošte. Na srečo se da te indicente preprečiti z poučevanjem končnih
uporabnikov o dobrih praksah varnosti na spletu, kot tudi z uporabo varnostnih orodij in
tehnologij, kot so na primer anti-virusni program, šifriranje komunikacije po internetu,
šifriranje samih podatkov in tako dalje.
2.1.3 Izguba zaradi nezanesljivosti tehnologije
Pri tej vrsti izgube podatkov, ki je – enako kot prva – tudi nenamerna izguba, krivec za
izgubo podatkov ni uporabnik sam, niti ni to nekdo tretji, ampak je vzrok za izgubo strojna
oprema. Sem spadajo izgube podatkov, ki so posledica odpovedi posameznih računalniških
komponent informacijskega sistema; v veliki večini gre za okvaro strojne opreme
namenjeni hranjenju podatkov. Najbolj pogost primer je na primer odpoved trdega diska,
namenjenega shranjevanju podatkov.
2.1.4 Statistika napadov v letu 2014
Pri statistiki napadov v letu 2014 smo se omejili na statistiko ogroženosti glede na
ogroženost produktov oziroma programske opeme. Zlonamerne osebe so v letu 2014
najbolj pogosto izkoriščale ranljivosti v programski opremi podjetja Oracle, točneje,
njihovo programsko opremo Java. Naslednji najbolj ranljivi programi so bili iz kategorije
spletnih brskalnikov (Internet Explorer, Google Chrome, Mozilla Firefox in tako dalje). Na
tretjem mestu je bil program Adobe Reader (zlonamerneži so izkoriščali ranljivosti t. .i
»drive-by attacks« prek interneta in ranljivosti formata PDF). Na predzadnjem mestu se je
znašel vtičnik (anlg. »Add-on«) Flash Player podjetja Adobe, na zadnjem – s samo enim
odstotkom od vseh napadov – pa so bili programi, ki so del Microsoftovega paketa Office.
Tabela 1: Statistika napadov glede na programsko opremo
Produkt
Oracle
Java
Spletni
brskalniki
Adobe
Reader AndroidOS
Adobe
Flash
Player
Microsoft
Office
Odstotki 45% 42% 5% 4% 3% 1%
Vir: https://securelist.com/analysis/kaspersky-security-bulletin/68010/kaspersky-security-
bulletin-2014-overall-statistics-for-2014/ (5. 9. 2015)
Zgoraj je prikazana tabela s statistiko napadov za leto 2014, podatki pa so rezultat raziskav
– okužb, zaznanih in preprečenih z uporabo njihovih varnostnih rešitev – podjetja
Kaspersky Lab. Kot lahko vidimo v tabeli, okužbe prek uporabe spletnih brskalnikov
predstavljajo skoraj polovico vseh okužb, zato je potrebno njihovi varnosti (redno
posodabljanje brskalnika in vtičnikov) posvetiti dovolj pozornosti.
Kot zanimivost bi bilo vredno omeniti še to, da je (glede na podatke, dostopne v članku s
statistiko napodov) prav v letu 2014 Slovenija – poleg Malte in Slovaške – izpadla iz liste
10 najbolj varnih držav. Te tri države (torej Malto, Slovenijo in Slovaško), ki so izpadle, so
zamenjale otoška državica Martinique, otoška mestna država Singapur in Švedska. To
vseeno pomeni, da je informacijska varnost pri nas v Sloveniji na dokaj visokem nivoju.
2.2 VARNOSTNA ORODJA IN STORITVE
2.2.1 Anti-virusni programi
Anti-virusni program je programska oprema, ki se uporablja za preprečevanje okužb z
zlonamerno programsko opremo (angl. malware), kot tudi za odkrivanje in odstranjevanje
že prisotne zlonamerne programske opreme. Primeri zlonamerne programske opreme so
računalniški virusi, črvi (angl. worm) in trojanski konji (angl. trojan). Večina anti-virusnih
programov omogoča detekcijo in odstranjevanje tudi drugih vrst zlonamerne programske
opreme; to so na primer t. i. oglaševalski programi (angl. adware), vohunski programi
(angl. spyware), t. i. rootkiti (angl. rootkits) in tako dalje. Anti-virusni programi pri svojem
delovanju uporabljajo različne strategije za detekcijo in odstranjevanje zlonamerne
programske opreme. Strategija zaznavanja virusov, ki temelji na t. i. podpisih (angl.
signatures) se poslužuje iskanja znanih vzorcev zlonamerne kode v izvršljivih datotekah,
vendar pa ima ta strategija slabosti, ker anti-virusni program ne more zaznati zlonamernega
programa, če je uporabnikov računalnik okužen z neko novo vrsto kode, za katero tak
podpis še ne obstaja.
Pri anti-virusnih programih poznamo namensko skeniranje računalnika (angl. on-demand
scan), ki pregleda trdi disk in RAM na ukaz uporabnika, za preprečavanje okužb pa je
ključnega pomena skeniranje oziroma zaščita v realnem času (angl. real-time ali on-
access), ki pregleduje zaganjanje programov in odpiranje oziroma nalaganje datotek v
istem trenutku oziroma prej, preden se program zažene oziroma preden program datoteko
odpre. Uporaba zaščite v realnem času ima to slabost, da lahko upočasni delovanje
računalnika. Prav tako imajo – podobno kot v primeru bolj naprednih požarnih zidov –
neizkušeni uporabniki težave, ko se morajo odločiti, kako reagirati na opozorilna okna, ki
jih v primeru detekcije zlonamerne programske opreme prikaže anti-virusni program;
napačna odločitev namreč lahko pripelje do okužbe računalnika. Še en problem z anti-
virusnimi programi pa je zaznavanje programov kot zlonamernih, ki to niso. V takih
primerih lahko anti-virusni program izbriše legalen program ali dokument. Vseeno pa je v
smislu preventive uporaba anti-virusnega programa močno priporočljiva, še posebej za
manj vešče uporabnike. Pri uporabi anti-virusnih programov pa je bistveno to, da
uporabnik čim bolj pogosto posodablja bazo virusnih definicij (podpisov); še najbolje, da
je program nastavljen tako, da sam vsakodnevno preverja, če je na voljo nova različica
podpisov in/ali nova različica samega programa.
2.2.2 Požarni zidovi
Požarni zid (angl. firewall) je varnostna komponenta, ki nadzoruje promet – pretok
podatkov – v omrežju in ga glede na nastavitve omejuje, s tem pa varuje računalnik
oziroma lokalno omrežje pred nepooblaščenim dostopom do podatkov in pred
neavtoriziranim odtokom podatkov. Požarni zid pregleda vsak paket podatkov in blokira
prehod tistim, ki ne zadostijo kriterijem. Požarni zid je lahko strojni ali pa programski
(aplikacijski) in torej deluje kot filter pretoka podatkov; preverja vse podatke, ki prihajajo
iz interneta v lokalno omrežje, in vse podatke, ki iz lokalnega omrežja odhajajo v internet.
Glede na nastavitve požarni zid določen prenos podatkov dovoli, ali pa ga ne dovoli.
Požarni zidovi lahko tudi zamaskirajo identiteto računalnika, da zlonamerni računalniški
programi, ki želijo raziskati ali pregledati nek računalnik, ne morejo pridobiti potrebnih
informacij, s katerimi bi lahko ta računalnik identificirali in napadli. Na računalniškem
sistemu sta lahko v uporabi obe vrsti požarnega zidu (strojni in programski), prednost
programskih požarnih zidov pa je predvsem v njihovi enostavnejši uporabi. Prav tako so
namenski strojni požarni zidovi običajno precej dragi in so zato bolj primerni za podjetja in
ustanove z več računalniki. So pa strojni požarni zidovi precej hitrejši v samem delovanju
in tako omogočajo večjo prepustnost prometa. Mnogo programskih požarnih zidov za
domačo uporabo je na voljo tudi v brezplačnih različicah, v veliko primerih pa so celo
enako zmogljivi in zanesljivi kot plačljivi. Nekaj primerov programskih požarnih zidov:
Zone Alarm, Kerio Firewall, Outpost Firewall in Comodo Firewall.
2.2.3 Storitev Dropbox
Dropbox je storitev, ki registriranim uporabnikom nudi varno shranjevanje in deljenje
datotek »v oblak«, prav tako pa omogoča sinhronizacijo datotek na lokalnem računalniku z
njihovimi strežniki. Dropbox te storitve nudi tako, da Dropbox program pri inštalaciji na
uporabnikovem računalniku ustvari posebno mapo z imenom »My Dropbox«, običajno
pod %userprofile%\My Documents\. To mapo nato Dropbox program uporablja za
sinhroniziranje podatkov s svojimi datotečnimi strežniki. To pomeni, da bo za uporabnika
vsebina te mape vedno ista, ne glede na to, na katerem računalniku bo dostopal do nje.
Datoteke v tej mapi so torej na lokalnem disku enako kot tiste na Dropbox strežniku,
dostopne pa so tudi prek mobilnih aplikacij in prek spletnega brskalnika na spletni strani
Dropbox. Dropbox v brezplačni različici (angl. Dropbox Basic) uporabnikom nudi 2 GB
prostora na svojih strežnikih, v plačljivi različici pa kar 1000 GB (1 TB). Uporabniki
brezplačne različice pa lahko na različne načine (na primer na Dropbox napotijo novega
uporabnika ali začnejo Dropboxu slediti na socialnih omrežjih) pridobijo dodaten
razpoložljiv prostor. Vir: https://en.wikipedia.org/wiki/Dropbox_(service) (5. 7. 2015)
Zelo pomembna je varnostna storitev hranjenja podatkov na Dropbox strežnikih za
primere izbrisa datotek. Ko uporabnik izbriše datoteko iz mape »My Dropbox« na svojem
računalniku, ta datoteka ni več vidna v upravljalcu datotek in je odstranjena iz lokalnega
diska. A datoteka dejansko še ni trajno izbrisana; Dropbox program jo je le uvrstil na listo
datotek, ki čakajo na trajni izbris. Ta mehanizem omogoča uporabniku, da izbrisano
datoteko (ali več datotek) pridobi nazaj, prav tako pa omogoča funkcijo zgodovine različic
datotek(e). Za uporabnike osnovne brezplačne storitve Dropbox se varnostne kopije
izbrisanih in/ali spremenjenih datotek na Dropbox strežnikih hranijo 30 dni. Vir:
https://www.dropbox.com/help/115?path=space_and_storage (6. 7. 2015) Za uporabnike
osnovne brezplačne storitve se izbrisane in spremenjene datoteke na Dropbox strežnikih
hranijo 30 dni.
Še vedno pa za podjetja in korporacije v praksi velja (oziroma bi moralo veljati)
pravilo, daz a ključne poslovne podatke z visoko stopnjo zaupnosti zagotovijo tudi fizične
kopije, ki se hranijo v bančnem sefu.
2.2.4 tev OpenDNS
OpenDNS je varnostna storitev, ki razširja DNS sistem z dodatkom raznih varnostnih
funkcij. OpenDNS za DNS storitve uporabnikom ponuja svoje DNS strežnike. IP naslova
od OpenDNS strežnikov za različico IP protokola IPv4 sta 208.67.222.222
(resolver1.opendns.com) in 208.67.220.220 (resolver2.opendns.com), za različico Ipv6 pa
2620:0:ccc::2 in 2620:0:ccd::2. Glavne funkcije, ki jih ponuja storitev OpenDNS, so
sledeče:
− osnovna DNS storitev (pretvorba spletnih naslovov – oziroma imen domen – v IP
naslove)
− zaščita pred ribarjenjem (angl. anti-phishing)
− zaščita pred znanimi robotskimi omrežji (angl. botnets oziroma bot networks)
− popravljanje napak v spletnih naslovih; če uporabnik storitve OpenDNS pomotoma
napačno vnese ime spletne strani (na primer google.cm in ne google.com), ga
OpenDNS preusmeri na pravi naslov
− filtriranje vsebin prek kategorij spletnih strani, ki se nastavijo individualno za
vsakega uporabnika posebej in filtriranje imen domen glede na črno in belo listo; za te
domene uporabnik nastavi, da jih OpenDNS vedno blokira (oziroma nikoli), te
nastavitve pa imajo prednost pred kategorijami in je tako mogoče obiskati stran, ki je v
blokirani kategoriji
Ker DNS sistem uporablja UDP protokol – ki je t. i. nepovezavno orientiran protokol –
in ne povezavnega protokola TCP, so DNS operacije ene najhitrejših operacij na internetu.
Kljub temu pa je OpenDNS v veliko primerih pri pretvorbi naslovov hitrejši od DNS
strežnikov uporabnikovega ponudnika spletnih storitev. Svoje DNS strežnike ima namreč
razporejene po celem svetu, prav tako ima OpenDNS tudi velik predpomnilnik (angl. DNS
cache) že pretvorjenih spletnih naslovov v IP naslove. Njegovim strežnikom se tako ni
treba povezati z avtoritativnim DNS imenskim strežnikom od spletne strani za vsako DNS
zahtevo, ker ima OpenDNS IP naslov od spletne strani shranjen že od prej. Osnovna
storitev OpenDNS ne zahteva registracije, če pa želi uporabnik uporabljati napredne
funkcije, se mora registrirati. Vir: https://en.wikipedia.org/wiki/OpenDNS 27. 6. 2015)
OpenDNS uporablja t. i. Anycast usmerjanje, ki je posebna tehnologija usmerjanja, ki
poskrbi, da računalniki OpenDNS uporabnikov vedno komunicirajo z najbližjim
podatkovnim središčem OpenDNS. Z usmerjanjem Anycast OpenDNS v praksi doseže, da
nek IP naslov obstaja na več sto strežnikih. OpenDNS procesira več milijard DNS
zahtevkov dnevno in ker upravlja enega največjih DNS predpomnilnikov na internetu, ima
v danem trenutku pregled nad celotnim globalnim stanjem interneta. To pomeni, da je
velika verjetnost, da za poljubno DNS zahtevo OpenDNS že pozna odgovor, ne da bi
moral pridobiti informacijo od avtoritativnega DNS strežnika. Ta mehanizem zmanjšuje
uporabnikov DNS odzivni čas in zagotavlja hitrejšo uporabniško izkušnjo. OpenDNS
podpira tudi protokol DNSCrypt, ki omogoča overitev DNS prometa med računalnikom in
imenskimi strežniki. Vir: https://www.opendns.com/about/global-dns-infrastructure/ (27. 6.
2015)
2.3 GLAVNE DOBRE VARNOSTNE PRAKSE
2.3.1 Izdelava varnostnih kopij podatkov
Najbolj učinkovita, zanesljiva in univerzalna metoda za obrambo pred izgubo
podatkov izdelovanje varnostnih kopij podatkov. Univerzalna v tem smislu, da deluje ne
glede na vzrok za izgubo podatkov oziroma storilca. Ker se podatki na računalniških
sistemih hranijo v obliki datotek, te pa so hierarhično razporejene v mape, varnostno
kopiranje pomeni izdelovanje varnostnih kopij datotek in map. Glede na možnost okvare
strojne opreme izdelava varnostih kopij na isti trdi disk nima smisla, ker se bodo v primeru
okvare diska izgubili vsi podatki na njem. Zato je varnostne kopije smiselno izdelovati
izključno na zunanji medij; zunanji medij je lahko USB ključ, CD/DVD disk, drug trdi
disk (ali več diskov) na istem računalniku in tako dalje. Katero vrsto zunanjega medija
bomo izbrali je odvisno od našega namena in cilja; ali želimo redno izdelovati varnostne
kopije manjših količin podatkov, ali želimo (trajno) arhivirati večje količine podatkov.
Glede na kapaciteto, zmogljivost in ceno, je izdelava varnostnih kopij na drug trdi disk še
najbolj ugodna rešitev. Poleg nam dostopnih (fizičnih) zunanjih medijev pa obstajajo tudi
spletne storitve za varno hrambo in deljenje podatkov v »oblaku«. Primeri takih storitev so
Dropbox, Copy, Google Drive, Microsoft OneDrive in Syncplicity. Pri varovanju podatkov
pred izgubo z uporabo politike izdelovanja varnostnih kopij pa se je treba zavedati, da je
lahko tako varovanje nezanesljivo, če je odvisno od človeka; človek lahko namreč na redno
izdelavo varnostnih kopij pozabi. Zato je najbolj smiselno, da varnostno kopiranje
podatkov popolnoma avtomatiziramo. To lahko v primeru kopiranja na zunanji medij ali v
»oblak« storimo z namenskimi programi ali z osnovnimi oziroma bolj naprednimi
skriptnimi jeziki (na primer VBScript, ki je akronim za »Basic Scripting Edition« in je bolj
napreden skriptni jezik, ki ga je Microsoft razvil na podlagi jezika Visual Basic) in
Windows orodjem Task Scheduler.
2.3.2 Uporaba varnih uporabniških gesel
Zelo pomembna dobra varnostna praksa je uporaba varnih gesel v kombinaciji z
uporabniškimi imeni, pa naj gre za gesla za vpis v uporabniški račun na računalniku, gesla
za dostop do uporabniških računov na spletnih straneh in tako dalje. Osnova varnega gesla
sta njegova dolžina in kompleksnost; da je geslo zares varrno mora biti čimbolj
raznovrstno, kajti večja kot je variacija v znakih, ki ga sestavljajo, težje ga je uganiti ali
razbiti. Se je pa treba zavedati, da se da praktično vsako geslo razbiti. Ni pa zelo verjetno,
da bi nekdo posvetil veliko resursov za to, da bi odkril na primer naše geslo za vpis na
neko spletno stran. Zato je v primerih, ko gre za uporabniška imena in gesla za vpis v
spletne strani in podobno (ko torej ne gre za zelo pomembne, občutljive ali vredne
informacije), pretiran strah odveč.
Pri izbiri gesla se je potrebno držati nekaj osnovnih pravil: geslo mora biti dovolj
dolgo (sestavljeno mora biti iz dovolj velikega števila znakov), vsebovati mora velike in
male črke, kot tudi številke, ločila in druge simbole. Za gesla ne smemo uporabiti besed iz
slovarjev, svojega (ali uporabniškega) imena ali priimka, oziroma katerega koli lastnega
imena. Zelo važno je, da gesel nikomur ne izdamo in da si jih nikamor ne zapišemo, ampak
jih imamo v spominu; najmanj varno geslo je namreč tisto, ki je nekje zapisano, še toliko
slabše, če je shranjeno v digitalni obliki na disku. Vedeti pa je treba, da je najslabše geslo
tisto, ki smo ga pozabili, ker s tem izgubimo dostop do želene vsebine. Zato si izberimo
tako geslo, ki se ga bomo mi lahko spomnili, za druge pa je težko ali nemogoče, da bi ga
uganili. Dobra varnostna praksa je tudi to, da geslo vsake toliko časa zamenjamo. Vir:
http://www.usewisdom.com/computer/passwords.html (6. 6. 2015)
Druga možnost pa je, da si izberemo bolj kompleksno geslo, ki si ga ne moremo
zapomniti na pamet, nato pa uporabljamo program za varno hrambo gesel v šifrirani obliki.
Za hranjenje takih bolj kompleksnih varnostnih gesel je namenjena posebna vrsta
programov za šifriranje, ki so posebej namenjenih varnemu hranjenju gesel. Za hranjenje
gesel v šifrirani obliki obstaja kar nekaj zastonjskih uporabniških programov, dva izmed
najbolj popularnih pa sta programa KeePass (bolj napreden program) in program Password
Safe (preprostejši), ki sta oba v osnovi namenjena hranjenju uporabniških imen in gesel v
dvojicah in ostalih poljubnih dodatnih podatkov v zašifrirani bazi podatkov.
2.3.3 Celovito zavarovan Windows XP
Windows XP je bil izdan in je prišel v uporabo oktobra 2001; to pomeni, da je v letu
2015 star skoraj 14 let in je že zelo star operacijski sistem. Faza podaljšane podpore se je
zanj končala 8. aprila 2014 po več kot 12 letih od prihoda operacijskega sistema na trg.
Tudi spletni brskalnik Internet Explorer je komponenta operacijskega sistema Windows,
zato so pri Microsoftu prenehali tudi s podporo za vse različice programa za Windows XP.
Microsoft je za Windows XP od tega datuma dalje zagotavljal le še definicije in
posodobitve za anti-malware program Microsoft Security Essentials. A tudi to se je
končalo 14. julija 2015. Ker torej Microsoft ne nudi več popravkov za operacijski sistem in
Microsoft programe, je prav ranljivost operacijskega sistema eden največjih faktorjev
tveganja za varnostne incidente; Windows XP je tako rekoč z vsakim dnem bolj ranljiv in
njegova uporaba bolj tvegana. Če imajo posamezne naprave v informacijskem sistemu še
vedno nameščen operacijski sistem Windows XP, je njegova zavarovanost še toliko bolj
pomembna. Vir: https://en.wikipedia.org/wiki/Windows_XP (20. 6. 2015)
Glede na to, da je izvor večine zlonamernih programov internet, ima tako najbolj
pomembno vlogo pri varovanju pred vdori in okužbami na starem operacijskem sistemu
požarni zid. Prav tako je pomembno, da imamo na računalniku dober anti-virus program,
ki ga je potrebno redno posodabljati; še najbolje, da ga nastavimo tako, da se redno
posodablja sam. Še en zelo učinkovit način, kako dodatno zavarovati računalniški sistem,
ki ima na eni od naprav (ali na večih) inštaliran operacijski sistem Windows XP, je z
uporabo storitve OpenDNS. Ko je računalnik s takim operacijskim sistemom priključen na
internet, ga OpenDNS varuje pred spletnimi stranmi in e-mail sporočili, katerih namen je
»ribarjenje« podatkov o uporabniku, storitev OpenDNS pa nudi zaščito pred robotskimi
omrežji. Vir: http://searchsecurity.techtarget.com/definition/botnet (28. 6. 2015)
Ker imamo v domačem delovnem okolju na dveh lokacijah računalnika, ki še vedno
uporabljata operacijski sistem Windows XP, je prav dobra zavarovanost operacijskega
sistema pred grožnjami iz interneta izredno pomembna. Zastareli operacijski sistem
Windows XP še vedno uporabljamo iz več razlogov. Enega od računalnikov (na eni od
dveh lokacij) za delo uporabljajo tudi drugi uporabniki, ki so manj vešči uporabe
računalnika in programov in so navajeni izključno na uporabniški vmesnik operacijskega
sistema Windows XP in bi zanje prehod na vmesnik novejših različic operacijskega
sistema Microsoft Windows (Windows 7, Windows 8 in Windows 10) predstavljal veliko
oviro. Obstaja tudi nekaj nepogrešljivih programov (na primer program Diogenes za
prevajanje iz klasične grščine v angleščino), ki jih pogosto uporabljamo, a še niso bili
posodobljeni za novejše različice Microsoft Windows in tudi ni jasno ali sploh kdaj bodo.
Prav tako pa za star UMAX skener ni na voljo posodobljenih gonilnikov za Windows 7.
2.3.4 Licenčna ali preverjena odprto-kodna programska oprema
Za varnost informacijskega sistema je pomembno tudi to, da uporabljamo bodisi
plačljivo licenčno (angl. proprietary software), bodisi preverjeno zastonjsko odprto-kodno
(angl. freeware ali open-source) programsko opremo. Kot najbolj pomembno je, da je
licenčen operacijski sistem; v našem primeru sta to Windows XP in Windows 7. Torej da
ne uporabljamo operacijskega sistema, katerega nelicenčen in »razbit« (angl. cracked)
inštalacijski program je mogoče dobiti prek interneta ali pa od tretjih oseb. Prav tako pa je
pomembno tudi da je licenčen ali v primeru zastonjskega programa od znanega podjetja
anti-virusni program; v našem primeru sta to programa Microsoft Security Essesntials in
Windows Defender od Microsofta in program Avast Antivirus 2015. Prav tako pa je
pomembno, da ne uporabljamo »razbitih« različic licenčne oz. preizkusne programske
opreme (angl. shareware oziroma trialware). Če pa že uporabljamo zastonjske programe,
naj bodo ti kot rečeno od znanih podjetjih (primer Mozilla Firefox, Google Chrome in tako
dalje) oziroma znanih avtorjev programske opreme.
Glavna prednost licenčne programske opreme (ki pa je lahko tudi slabost) tiči predvsem v
dejstvu, da gre za zaprto-kodne programske rešitve, kar pomeni, da izvirna koda ni na
voljo javnosti (na primer zlonamernim tretjim osebam, ki bi poskušale najti varnostne
luknje v kodi), ostale prednosti pa so njena legalnost, možnost nudenja pomoči
uporabnikom ob težavah (angl. user support) in tako dalje. Slabosti licenčne programske
opreme pa so v tem, da je izvorna koda programa nedosegljiva in bi to neko podjetje lahko
izkoristilo v zle namene. Ena od glavnih prednosti zastonjske (oziroma odprto-kodne)
programske opreme je v transparentnosti; izvorna koda je namreč javna. V praksi to
pomeni na primer to, da si lahko vsak uporabnik (programer) program prilagodi po svoje,
prav tako pa to pomeni tudi, da uporabniki odprto-kodne programske opreme hitreje
najdejo potencialne varnostne luknje, ki so zato tudi hitreje odpravljene. Glavna slabost
odprto-kodne programske opreme pa je v tem, da je izvorna koda prosto dostopna, kar
pomeni, da je na voljo tudi zlonamernim tretjim osebam, ki lahko izkoristijo še neodkrite
varnostne luknje v programski kodi. Vir: http://www.gnu.org/philosophy/proprietary.html
Proprietary Software (5. 9. 2015)
2.3.5 Pomembnost administriranja
Sistemski skrbniki (administratorji) imajo pri varovanju informacijskih sistemov
najpomembnejšo vlogo. Oni so praviloma tisti, ki so namestili operacijski sistem na
računalnike končnih uporabnikov in oni upravljajo z administrativnimi opravili, kot so na
primer posodabljanje operacijskega sistem in programov. Administrator v večini primerov
skrbi tudi za avtomatizacijo opravil povezanih z varno hrambo podatkov oziroma
izdelovanjem varnostnih kopij. In ker je pri zanesljivem varnostnem kopiranju podatkov
pomembno, da to opravilo ni odvisno od spomina in dejanj končnega uporabnika (niti
samega administratorja), je najbolje, da so ta opravila popolnoma avtomatizirana. Zato je
še posebej pomembno, da ima administrator dober pregled nad celotnim informacijskim
sistemom, za katerega skrbi, pa naj gre za domače delovno okolje za manjše oziroma večje
podjetje. Administratorji skrbijo tudi za posodobitve operacijskega sistema in uporabniških
programov. V delovnih okoljih z več računalniki je avtomatizacija teh opravil praktično
nujna, saj si je težko predstavljati, da bi sistemski skrbnik posodabljal vsako napravo
posebej. Pri tem pa si lahko pomaga s številnimi namenskimi orodji in varnostnimi
uporabniškimi programi.
Za večja delovna okolja pa je pomembno tudi to, da obstaja med administratorjem –
oziroma pri večjih informacijskih sistemih več administratorji – in končnimi uporabniki
dobra komunikacija. Administratorji imajo glede na naravo svojega dela priložnost, da ob
konkretnih primerih težav oziroma varnostnih incidentov končne uporabnike poučijo o
varnosti na spletu, dobrih praksah uporabe računalnika in podobno.
3 VARNOSTNI MEHANIZMI PRI MICROSOFT WINDOWS
3.1 VARNOSTNI MEHANIZMI PRI WINDOWS XP
3.1.1 Varnostni mehanizem DEP
Varnostni mehanizem DEP (»Data Execution Prevention«) je varnostna funkcija, ki v
delovnem spominu operacijskega sistema opredeli določena področja kot izvršljiva, druga
pa kot neizvršljiva. Tako na primer programom, servisom in gonilnikom dovoli samo
zagon kode v območju, ki je označeno kot izvršljivo. Ta varnostni mehanizem ni v uporabi
samo na operacijskih sistemih Microsoft Windows, ampak je na voljo tudi v oprearcijskih
sistemih Linux, OS X in iOS, in v operacijskem sistemu za pametne telefone Android.
3.1.2 Funkcije datotečnega sistema NTFS
Z operacijskim sistemom Windows XP je prišel nov datotečni sistema NTFS in z njim
veliko varnostnih funkcij, ki jih datotečni sistem FAT32, ki je bil v uporabi do takrat, ni
poznal. NTFS datotečni sistem uporabnikom omogoča podrobne varnostne nastavitve za
pogone, mape in datoteke. Te varnostne nastavitve so na voljo v zavihku Security v
lastnostih pogona, datoteke ali več datotek, in mape ali več map. S klikom na gumb
»Advanced« lahko administrator računalnika podrobno določa pravice za različne
uporabnike in skupine uporabnikov, po želji pa jih tudi dodaja in briše. Prav tako lahko
spreminjamo lastnika (angl. Owner) pogona, map in datotek. Datotečni sistem NTFS
ponuja tudi enkripcijo posameznih datotek in map.
3.1.3 Windows sistemski servisi
Vsi Microsoft Windows operacijski sistemi imajo vgrajene t. i. servise, ki imajo vsak
svojo specifično vlogo, velika večina pa se jih v računalniški spomin naloži pri zagonu
računalnika s pomočjo gostiteljskih »svchost.exe« procesov. Veliko servisov pri
operacijskem sistemu Windows nima direktne veze z varnostjo, ampak je njihova vloga, da
podpirajo operacijski sistem; brez zagnanih servisov Remote Procedure Call (RPC), Event
Log in še nekaterih, uporabnik ob zagonu računalnika najverjetneje sploh ne bi prišel do
namizja, ali pa bi bilo le-to popolnoma neuporabno. Nekaj servisov pa je ključnih za
varnost računalnika. To so na primer servisi: Windows Firewall/Internet Connection
Sharing (ICS), Microsoft Antimalware Service, Security Center, Windows Updates,
Security Center, HTTP SSL in tako dalje. Med njih bi lahko uvrstili še druge servise, kot
sta na primer servisa Protected Storage (nudi varno shranjevanje podatkov) in System
Restore (izvaja funkcije za povrnitev sistema v prejšnje stanje), a zgoraj našteti so
najpomembnejši.
3.1.4 Varnostna komponenta Windows Firewall
Windows Firewall oziroma Windows požarni zid je varnostna komponenta pri
operacijskih sistemih Windows XP in je pri Windows XP SP3 privzeto omogočen. Požarni
zid Windows Firewall filtrira ves promet – zahtevke za vzpostavitev povezave in prenos
podatkov – v lokalnem omrežju; to pomeni, da preverja prenos podatkov, ki prihajajo iz
interneta v lokalno omrežje in podatke, ki odhajajo iz lokalnega omrežja v internet, in
glede na nastavitve požarnega zidu vzpostavitev povezave oziroma prenos podatkov dovoli
ali ne dovoli.
Slika 1: Windows XP, Windows Firewall, opozorilno okno
Windows Firewall pri Windows XP deluje prek procesov »alg.exe«, ki poganja
Application Layer Gateway Service servis in »svchost.exe«, v katerem je zagnan Windows
Firewall/Internet Connection Sharing (ICS) servis. Glavna naloga Windows požarnega
zidu je torej ta, da preverja TCP zahtevke oddaljenih računalnikov za povezavo z
uporabnikovim računalnikom in glede na nastavitve – oziroma odločitev uporabnika – to
komunikacijo dovoli, oziroma je ne dovoli.
3.1.5 Varnostna komponenta Microsoft Security Essentials
Od operacijskega sistema Windows XP SP3 dalje podjetje Microsoft ponuja svojim
uporabnikom zastonjski anti-virus in anti-sypware program Microsoft Security Essentials
(ali kratko MSE). Microsoft Security Essentials je podobno kot Windows požarni zid
varnostna komponenta, ki je vgrajena v Windows operacijske sisteme in je privzeto
omogočena. Prek uporabniškega vmesnika lahko ročno zaženemo skeniranje sistema
oziroma ga avtomatiziramo, vklopimo in izklopimo lahko zaščito v realnem času, v
nastavitvah programa pa lahko pod Izjeme (angl. Exclusions) dodamo procese in poti do
map in datotek, za katere nočemo, da jih program preverja.
3.1.6 Nastavitve za internet pod Internet Options
Napredne konfiguracijske nastavitve za spletni brskalnik Internet Explorer so
uporabniku dostopne prek ikone Internet Options v Kontrolni plošči (angl. Control Panel).
Te nastavitve so univerzalne v tem smislu, da veljajo tudi za veliko drugih programov in ne
samo za brskalnik Internet Explorer; veljajo tako za programe od Microsofta, kot tudi za
druge programe, ki se povezujejo v internet. Prek teh nastavitev lahko nastavimo razne
napredne nastavitve, ki izboljšajo varnost našega računalnika med uporabo interneta.
V zavihku General se nahajajo osnovne nastavitve spletnega brskalnika Internet
Explorer, kot so na primer nastavitev za domačo stran, nastavitev za zgodovino brskanja
po spletu, nastavitve za ponudnike iskanja po spletu, obnašanje zavihkov, lokacijo mape in
maksimalno velikost za začasne internetne datoteke (angl. Temporary Internet Files), ter
nastavitve za barve, jezik in pisavo. V zavihku Security so pomembne nastavitve v za štiri
različne cone: Internet, Local intranet, Trusted sites in Restricted sites. Privzete nastavitve
za vsako cono je poleg popolnoma poljubnih nastavitev možno spremeniti tudi v eno od
petih vnaprej nastavljenih stopenj varnosti; High, Medium-high, Medium, Medium-low,
Low. Stopnja High je najbolj varna nastavitev, Medium-high je podobna stopnji Medium
(vendar so nekatere dodatne funkcije onemogočene oziroma nastavljene tako, da brskalnik
za potrditev vpraša uporabnika), Medium je stopnja s srednje varnimi nastavitvami,
Medium-low je tudi podobna stopnji Medium, le da brskalnik uporabnika ne vpraša za
potrditev, preden požene neko potencialno nevarno vsebino (ta nastavitev je privzeta za
cono Local intranet), Low pa je najmanj varna stopnja. Obstaja še stopnja Custom Level,
ki pomeni od uporabnika nastavljene nastavitve in je namenjena bolj izkušenim
uporabnikom. Praviloma je za brskanje po spletu (cona Internet) privzeta nastavitev
Medium-high dovolj varna. Nastavitve za cono Internet lahko administrator ali končni
uporabnik na primer nastavi tako, da ne dovoli avtomatičnega zagona t. i. »Active Scripts«;
to naredi tako, da v oknu Settings (ki se odpre prek gumba »Custom Level…«) pod sekcijo
Scripting odstrani kljukici pod »Active scripting« in »Scripting of Java applets«. Zelo
pomembne so tudi nastavitve, ki programu Internet Explorer preprečijo, da bi avtomatično
zagnal Java programe. V teh nastavitvah se nahaja tudi opcija, ki brskalniku Internet
Explorer prepreči, da bi avtomatično prikazoval aktivno vsebino, kot so na primer
animacije.
Zlasti pomembne so napredne nastavitve v zadnjem zavihku Advanced. V sekciji
Accessibility se nahajajo osnovne nastavitve v zvezi s prikazom vsebine, v sekciji
Browsing so nastavitve od izgleda samega okna spletnega brskalnika, do načina prikaza
spletnih strani, in prikaza map in datotek pri uporabi FTP protokola (angl. File Transfer
Protocol), nastavitve v zvezi z razširitvami oziroma vtičniki in tako dalje. V sekciji
Multimedia se tudi nahajajo nekatere nastavitve v povezavi s prikazom vsebine spletnih
strani, sekcija Security pa vsebuje varnostne nastavitve za t. i. aktivno vsebino, nastavitve
za preverjanje varnostnih certifikatov spletnih strani in digitalnih podpisov programov
pridobljenih iz spleta, in nastavitve za DOM Storage, SSL in TSL protokole.
3.2 VARNOSTNI MEHANIZMI PRI WINDOWS 7
3.2.1 Varnostni mehanizem ASLR
Varnostni mehanizem ASLR (»Address space layout randomization«) je varnostna
tehnologija, ki varuje računalnik pred t. i. »buffer overflow« napadi. Da bi potencialnemu
apadalcu, ki je vdrl v operacijski sistem preprečili, da dostopal določene ranljive funkcije
oziroma področja v sistemskem pomnilniku, varnostni mehanizem ASLR v naslovnem
prostoru naključno organizira položaje za ključne podatke od procesov, ki so v tistem
trenutku zagnani.
3.2.2 Varnostni mehanizem UAC
Varnostni mehanizem UAC (»User Account Control«) je varnostna komponenta, ki jo
je Microsoft prvič predstavil v operacijskih sistemih Windows Vista in Windows Server
2008, v verziji Windows 7 pa je bila še izboljšana. Bistvo tega mehanizma je v izboljšanju
varnosti operacijskega sistema s tem, da Windows programe privzeto zaganja z navadnimi
uporabniškimi pravicami. Za posebne primere – na primer povečanje pravic, da lahko
uporabnik inštalira nov program – pa mora dejanje potrditi administrator operacijskega
sistema. V Windows 7 je varnostni mehanizem UAC postal manj nadležen in bolj
fleksibilen. Vir: https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf (4. 7.
2015) Manj programov zahteva odobritev za zagon. Če ima uporabnik administratorske
pravice, lahko sam podrobno nastavi kako pogosto in za katere stvari ga bo UAC
mehanizem obveščal. UAC je privzeto nastavljen tako, da uporabnika obvesti vedno (angl.
Always notify), ko programi poskušajo izvesti spremembe na računalniku oziroma v
nastavitvah operacijskega sistema, ki zahtevajo skrbniško dovoljenje. To je tudi najbolj
varna možna nastavitev. Ko je UAC aktiviran, uporabnika obvesti tako, da se namizje
zatemni in mora v UAC opozorilnem oknu odobriti ali zavrniti zahtevo, preden lahko
naredi karkoli drugega na računalniku.
3.2.3 Varnostna komponenta Windows Firewall
Požarni zid, ki je bil vgrajen v starejše operacijske sisteme Windows, je bil dolgo tarča
pritožb, da ne nudi dovolj zaščite. Požarni zid je namreč v svoji prvi različici (najprej se je
imenoval preprosto Internet Connection Firewall, od Windows XP SP2 naprej pa Windows
Firewall) filtriral samo dohodni promet (angl. inbound traffic), prometa z izvorom na
lokalnem računalniku (angl. outbound traffic) pa ne. Običajno gre sicer za legitimne TCP
zahtevke za povezavo, kar pomeni, da nek program na določenem vratih (angl. port)
posluša in čaka na zahtevke za povezavo z oddaljenih računalnikov; temu rečemo, da se
program obnaša kot strežnik (angl. server). Tako pa se obnaša tudi veliko zlonamernih
programom in s tem, ko onemogoči povezavo v internet in s tem prepreči nadaljno škodo;
privzeta nastavitev Windows požarnega zidu je namreč taka, da programom dovoli
povezavo v internet. To je Microsoft popravil že v različici požarnega zidu za Windows
XP SP3, ko je bil požarni zid nadgrajen, da je uporabnik za programe, ki poslušajo za
dohodne TCP povezave z oddaljenih računalnikov, začel prikazovati preprosta opozorilna
okna. V Windows 7 pa je požarni zid še veliko bolj napreden in nudi veliko več nastavitev
in je bolj podoben namenskim programskim požarnim zidovom.
Slika 2: Windows 7, Windows Firewall, opozorilno okno
3.2.4 Varnostna komponenta Action Center
Action Center je varnostna komponenta, ki uporabniku posreduje pomembna sporočila
o varnostnih nastavitvah in priporočenih vzdrževalnih ukrepih. V Action Center so z rdečo
barvo so obarvana pomembna sporočila, na primer taka, ki kažejo na večje potencialne
težave ali varnostna tveganja, za katera je priporočeno, da se jim uporabnik čim prej
posveti. Primer za tako vrsto sporočila je – če je Action Center nastavljen tako, da spremlja
delovanje teh dveh komponent – ustavljen Windows Firewall ali zastarele oziroma še ne
inštalirane posodobitve za operacijski sistem. Z rumeno barvo pa so v Action Center
obarvana manj pomembna sporočila, ki kažejo na priporočene – običajno vzdrževalne –
naloge, za katere je le priporočeno, da jih uporabnik obravnava, ni pa to nujno. V Nadzorni
plošči je mogoče nastaviti katere funkcije oziroma komponente operacijskega sistema
Action Center spremlja in za njih prikazuje sporočila in katerih ne.
3.2.5 Varnostna komponenta Windows Defender
Windows Defender je anti-malware program, ki je vključen v sistem Windows 7,
podobno kot je bil Microsoft Security Essentials vključen v Windows XP. Windows
Defender je torej varnostna aplikacija, katere glavna naloga je preprečevanje okužb,
uporablja pa se ga tudi za odkrivanje in odstranjevanje že prisotne zlonamerne programske
opreme. Windows Defender nudi zaščito v realnem času, kar pomeni, da blokira
zlonamerno programsko opremo, ko se poskuša namestiti ali zagnati, prav pa redno
samodejno skenira računalnik za že prisotno zlonamerno kodo. Windows Defender za
prepoznavo zlonamerne kode uporablja t. i. definicijske datoteke. To so posebne datoteke,
ki vsebujejo podatke o potencialnih grožnjah oziroma podatke o zlonamerni programski
opremi. Kot pri vseh anti-malware programih je tudi pri programu Windows Defender
pomembno, da so njegove definicijske datoteke redno posodabljane. Windows Defender za
posodabljanje definicijskih datotek in za posodabljanje samega programa uporablja
Windows Update, ki samodejno prenese in namesti nove definicije takoj ko so na voljo.
http://www.microsoft.com/security/pc-security/windows7.aspx (5. 7. 2015),
3.2.6 Varnostna funkcija Windows Update
Windows Update (ali kratko WU) je storitev, ki jo Microsoft ponuja uporabnikom za
zagotavljanje posodobitev za operacijske sisteme Windows in njihove komponente..
Storitev WU omogoča različne vrste posodobitev; varnostne posodobitve in/ali kritične
posodobitve zaščitijo računalnik pred ranljivostmi, ki bi jih lahko izkoristili zlonamerni
programi ali tretje osebe (t. i. »hekerji«), posodobitve, ki niso ključnega pomena za varnost
računalnika, pa so namenjene odpravi odkritih napak v komponentah operacijskega
sistema ali povečanju funkcionalnosti. Storitev je možno nadgraditi v Microsoft Update, ki
je razširjena različica storitve in zagotavlja posodobitve tudi za druge Microsoftove
programe . Vir: https://en.wikipedia.org/wiki/Windows_Update (20. 6. 2015)
Microsoft običajno izdaja varnostne posodobitve vsak drugi torek v mesecu, lahko pa
jih izda in namesti na računalnike pravzaprav kateri koli dan, kar velja za primere na novo
odkritih večjih varnostnih lukenj. Posodobitev je takrat nujna in njo se prepreči morebitve
množične okužbe opreracijskih sistemov Windows po celem svetu. Sistemski skrbniki
lahko konfigurirajo storitev tako, da se nujne posodobitve pridobijo in namestijo
samodejno, ko je računalnik povezan v internet. Za podjetja in ustanove je to pravzaprav
edina možnost, ker je praktično nemogoče, da bi administrator ročno posodabljal vse
operacijske sisteme. Za Windows Vista, Windows Server 2008 in kasnejše operacijske
sisteme Windows (torej tudi za Windows 7) stara spletna stran za Windows Update ne nudi
več uporabniškega vmesnika za izbiro in prenos posodobitev. Namesto nje nudi podobno
funkcionalnost Windows Update v Nadzorni plošči. Podpora za Microsoft Update je
vgrajena tudi v sam operacijski sistem, vendar je privzeto izklopljena.
4 PRAKTIČNI PRIMER ZAŠČITE IT SISTEMA
4.1 KREIRANJE IN KONFIGURACIJA WI-FI OMREŽJA
V domačem delovnem okolju na eni lokaciji se osebni računalnik, ki ima inštaliran
operacijski sistem Windows XP Home SP3, na internet povezuje prek Wi-Fi mrežne
kartice, Wi-Fi usmerjevalnika in kabelskega modema od ponudnika storitev Telemach. Da
je to možno, je bilo najprej potrebno ustvariti lokalno domače brezžično omrežje. Nekateri
usmerjevalniki in brezžične mrežne kartice se znajo sami pravilno konfigurirati, tukaj pa
bomo opisali potek ročnega kreiranja nove Wi-Fi povezave prek vmesnika, ki je na voljo v
operacijskih sistemih Windows.
Za kreiranje nove Wi-Fi povezave je treba v oknu, ki se odpre, ko uporabnik z desnim
klikom na miško klikne na Wi-Fi ikono v orodni vrstici, izbrati »View Available Wireless
Connections« in nato klikniti »Set up a wireless network for a home or small office«. S
tem se odpre čarovnik Wireless Network Setup Wizard, v katerem je treba vnesti ime
oziroma SSID (angl. wireless network name) in geslo (angl. network key) za novo domačo
brezžično omrežje, prav tako pa je treba izbrati način enkripcije podatkov (WPA oziroma
WPA2 ali WPE). Nato je potrebno usmerjevalnik resetirati (da se izbrišejo morebitne že
obstoječe nastavitve), v operacijskem sistemu pa onemogočiti Wi-Fi mrežno kartico. Nato
je treba Wi-Fi usmerjevalnik s kablom povezati na pravi vhod na računalniku. Ko je to
storjeno v spletnem brskalniku vnesemo IP naslov 192.168.0.1 in pritisnemo tipko Enter,
kar odpre nastavitveni vmesnik od Wi-Fi usmerjevalnika, tja pa je potrebno vnesti iste
podatke, kot so bili prej vnešeni prek čarovnika v Windows vmesniku. Ko so pravi podatki
za novo Wi-Fi omrežje vnešeni v Wi-Fi usmerjevalnik, ga je potrebno odklopiti iz
elektrike, odnesti k kabelskemu modemu (ki v našem domačem delovnem okolju ni v
istem nadstropju kot Wi-Fi usmerjevalnik) in ju povezati s kablom. Lokalno Wi-Fi omrežje
začne delovati takoj, ko uporabnik iz usmerjevalnika izklopi kabel in v operacijskem
sistemu spet omogoči Wi-Fi mrežno kartico; Wi-Fi kartica v računalniku nato svoj privatni
IP naslov dobi od DHCP strežnika. Od takrat dalje se je na računalniku možno v internet
povezati prek Wi-Fi mrežne kartice in nadaljnja konfiguracija ni bila več potrebna.
V primeru računalnika na tej lokaciji pa zaradi zastarelosti gonilnikov Wi-Fi mrežne
kartice ni možno uporabljati Windows programske opreme za konfiguracijo in
povezovanje v omrežje; namesto nje je treba uporabiti namenski program Tenda
TWL541C(P) Wireless LAN Adapter Configuration Utility od Wi-Fi mrežne kartice. Ko s
tem programom ustvarjamo profil za domače Wi-Fi omrežje, je potrebno – podobno kot
velja za vmesnik od Wi-Fi usmerjevalnika – v vnosno polje v prvem koraku vnesti iste
podatke (SSID in geslo), kot so bili vnešeni prek čarovnika v Windows vmesniku, ko smo
ustvarjali Wi-Fi omrežje. Razlika med ustvarjanjem lokalnega brezžičnega omrežja z
Windows vmesnikom in ustvarjanjem profila z namenskim programom je le v tem, da je
pri slednjem poleg metode za enkripcijo podatkov (WPA-PSK) potrebno izbrati tudi način
overovljenja (AES ali TKIP).
Slika 3: Program Tenda Configuration Utility, Network Status
4.1.1 WI-Fi omrežje in storitev OpenDNS
Kot je opisano v poglavju v teoretičnem delu, storitev OpenDNS ponuja uporabnikom
za DNS storitve svoja alternativna DNS strežnika. Ta dva IP naslova vpišemo kot DNS
strežnika v lastnostih lokalnega Wi-Fi omrežja (angl. Wireless Local Area Network) v
zavihku General pod Internet Protocol (TCP/IP), lahko pa bi to naredili tudi v DNS
nastavitvah Wi-Fi usmerjevalnika. Spodaj je primer nastavitev za lokalno brezžično
omrežje, preko katerega se v internet povezuje delovni računalnik v domačem delovnem
okolju na eni od dveh lokacij.
Za uporabo storitve OpenDNS je potrebno namesto »Obtain DNS server address
automatically« izbrati »Use the following DNS server addresses« in v tista vnosna polja –
torej pod Preferred in Alternate DNS Server – vpisati IP naslova 208.67.222.222 in
208.67.220.220, prek katerih deluje storitev OpenDNS. Tako imamo DNS nastavitve
nastavljene na enem od računalnikov.
Slika 4: Wi-Fi Properties, DNS servers, OpenDNS
Ko je omrežje enkrat nastavljeno, da za DNS storitve uporablja imenska strežnika od
OpenDNS, bodo vsi DNS zahtevki z izvorom na tem omrežju šli prek storitve OpenDNS.
Bolj podrobne nastavitve za omrežje so administratorju omrežja na voljo na spletni strani.
Funkcije, ki jih OpenDNS privzeto nudi so zaščita pred ribarjenjem, robotskimi
zlonamernimi omrežji (angl. botnets) in popravljanje napak v vpisanih spletnih naslovih.
Bolj napredne nastavitve, kot je na primer filtriranje vsebin prek kategorij spletnih strani
ter belo in črno listo domen, pa je potrebno ročno nastaviti na OpenDNS spletni strani.
Slika 5: OpenDNS, Settings, Web content filtering
4.2 CELOVITA DNS ZAŠČITA ZA INFORMACIJSKI SISTEM
V domačem delovnem okolju na drugi lokaciji pa je računalnik bolj zapleteno
konfiguriran za hranjenje IP naslovov za imena domen. Ta računalnik ima inštaliran
Windows XP Professional SP3, na internet pa se povezuje prek HSPA USB modema in
namenskega Vodafone Mobile Broadband programa, ki pri inštalaciji ustvari – in kasneje
uporablja – lokalno omrežje (angl. Local Area Network), kateremu privatni IP naslov
dodeli lokalni DHCP strežnik. Možno pa se je v internet povezati tudi prek PPP protokola
(angl. Point-to-Point Protocol) z uporabo t. i. ročne povezave (angl. dial-up), ki ne
uporablja lokalnega omrežja in Vodafone programa Mobile Broadband.
4.2.1 Program DNSKong in DNS filtriranje
DNSKong je program, ki se obnaša kot lokalni DNS stežnik. DNSKong deluje na
lokalnem IP naslovu 127.0.0.1 (localhost) in tako filtrira ves internetni promet. Noben
zunanji računalnik ne more uporabljati programa DNSKong; uporablja ga samo lokalni
računalnik. Program DNSKong za pravila za filtriranje in blokiranje uporablja tri navadne
tekstovne datoteke:
– named.txt je datoteka, ki vsebuje posamezne dele imen v URL naslovih, ki bodo
blokirani (preusmerjeni na 127.0.0.1)
– pass.txt je datoteka, ki enako kot »named.txt« vsebuje posamezne dele imen, samo
da so te za razliko od tistih v »named.txt«, ki so blokirane, eksplicitno dovoljene
– presets.txt je datoteka, ki deluje kot lokalni DNS predpomnilnik, po vlogi in
funkcionalnosti podoben hosts datoteki
Glede na specifično uporabo filtrirnih datotek obstajata dva glavna načina uporabo
programa DNSKong. Prvi način je t. i. »block all« način, ki privzeto blokira vse IP naslove
razen tistih nekaj, katere se uporablja vsak dan in se jim zato zaupa. To se doseže tako, da
se doda .com, .net, .org top oziroma root-level imena domene v named.txt, v datoteko
pass.txt pa tiste posamezne, za katere se dovoli. Drugi način je pa t. i. »pass all« način,
kateri načeloma dovoli vse, razen tiste, katere se eksplicitno doda v named.txt datoteko.
Jaz uporabljam slednjega.
4.2.2 LAN omrežje in program DNSKong
Konfiguriranje operacijskega sistema Windows za uporabo programa DNSKong je
dokaj preprosto. Najprej je treba onemogočiti DNS Client servis, ker se bi le-ta vmešaval v
delovanje programa, nato pa imamo dve možnosti. Nastavitve za lokalno omrežje lahko
nastavimo tako, da bo DNS sistem in z njim internet deloval samo takrat, ko bo zagnan
program. To dosežemo tako, da pod »Preferred DNS Server« vpišemo naslov 127.0.0.1
(kar pomeni, da bo prek tega naslova deloval program DNSKong, ko bo zagnan), naslova
za »Alternate DNS Server« pa ne določimo.
Lahko pa nastavitve za lokalno omrežje nastavimo tudi tako, da bo DNS (in z njim
internet) vedno deloval, ne glede na to, ali bo program DNSKong zagnan ali ne. Ko bo
DNSKong zagnan, bo DNS deloval prek njega, ko pa DNSKong ne bo zagnan, bo DNS
deloval prek sekundarnega DNS imenskega stežnika. To dosežemo tako, da »Preferred
DNS Server« nastavimo na naslov 127.0.0.1, naslov za »Alternate DNS Server« pa
nastavimo poljubno. Tja lahko vpišemo IP naslov od enega od dveh OpenDNS DNS
imenskih stežnikov. Tako, da program DNSKong deluje skupaj s storitvijo OpenDNS, je
internetna povezava nastavljena na računalniku na drugi lokaciji v delovnem okolju.
Slika 6: LAN Properties, DNS servers, DNSKong + OpenDNS
Program DNSKong pa se da skupaj s storitvijo OpenDNS uporabljati tudi tako, da ko
je DNSKong zagnan, kar sam program DNSKong za pretvorbo DNS uporablja IP naslove
od OpenDNS imenskih stežnikov. To dosežemo tako, da naslova 208.67.222.222 in
208.67.220.220 vpišemo v nastavitev »Proxied DNS servers« v programu DNSKong.
4.2.3 Več-nivojska zaščita DNS sistema
V Windows operacijskih sistemih ima za DNS operacije glavno prioriteto datoteka
»hosts«, ki se nahaja pod %windir%\system32\drivers\etc\ (pri operacijskem sistemu
Windows XP je to običajno mapa C:\Windows\system32\drivers\etc\). Da ima ta datoteka
glavno prioriteto pomeni to, da operacijski sistem za vse DNS zahtevke najprej pogleda
vanjo za morebitna imena domen pretvojena v IP naslove, šele nato uporabi DNS Client
servis (če je nastavljen, da ga operacijski sistem uporablja) in zunanje DNS strežnike. Na
ta način je možno tudi blokirati povezave za želena imena domen oziroma do poljubnih
spletnih strani. To storimo tako, da imenu domene, na katero želimo programom preprečiti
povezavo, določimo IP naslov 127.0.0.1 (localhost) oziroma 0.0.0.0 (anyhost), ki sta oba
splošna IP naslova za lokalni računalnik.
DNS sistem na tem računalniku je z uporabo datoteke »hosts« in programa DNSKong
več-nivojski, kar pomeni to, da na tem računalniku operacijski sistem išče na več lokacijah,
preden se – če je to sploh potrebno – poveže z zunanjimi DNS strežniki. V praksi to
pomeni, da sistem za dano ime domene vedno najprej preveri lokalne zaloge za pretvorjene
IP naslove in šele v tistih primerih, ko se pretvorjeni IP ne nahaja na nobeni od teh lokacij,
naredi poizvedbo prek OpenDNS imenskih strežnikov. Prvi nivo DNS sistema na tem
računalniku so torej dvojice imen domen in pripadajočih IP naslovov, ki so shranjeni v
datoteki »hosts«. Drugi nivo so dvojice imen domen in IP naslovov, ki se nahajajo v
predpomnilniku v RAM-u in v datoteki presets.txt od programa DNSKong. Ta računalnik
torej uporabi DNS server od storitve OpenDNS šele takrat, ko v datoteki hosts in v
predpomnilniku programa DNSKong ne najde razrešenega imena domene. DNS sistem
torej deluje preko dveh lokalnih stopenj, z OpenDNS pa se doda še eno zunanjo, kajti tudi
OpenDNS ima svoj DNS predpomnilnik. S takim DNS sistemom poskrbimo tudi za
varnost računalnika med uporabo interneta.
4.3 ANTI-VIRUSNI PROGRAM IN POŽARNI ZID
4.3.1 Anti-virusni program Avast Antivirus 2015
Na enem od računalnikov imamo namesto Microsoft programa MSE nameščen anti-
virusni program Avast Antivirus. Uporabljamo trenutno najsodobnejšo zastonjsko varianto
Avast Antivirus 2015. Glavno vlogo pri zaščiti pred okužbami ima Ščit datotečnega
sistema (angl. File System Shield), ki v realnem času pregleduje vse datoteke in programe
preden jih je dovoljeno odpreti in zagnati. V nastavitvah je možno podrobneje nastaviti
kakšne vrste datotek in aplikacij naj program skenira, kot tudi ob katerih operacijah.
Datotečni ščit je privzeto nastavljen, da pregleduje datoteteke pri izvajanju – kar pomeni,
da ščit preverja programe, ko se zaženejo –, možno pa ga je nastaviti, da tega ne počne.
Enako velja za pregledovanje datotetek pri odpiranju, pri spremenjena in shranjevanju, pri
priklapljanju in tako dalje. V naprednih nastavitvah pod Izjeme je možno izbrati lokacije
na lokalnem disku, za katere želimo, da jih ščit ne pregleduje v realnem času. Pod
nastavitvijo Akcije pa lahko uporabnik sam izbere, kaj naj ščit stori, ko je zaznana
določena vrsta grožnje. Obstajajo še druge napredne nastavitve, na primer Packers in
Sensitivity. Pod Izjeme sam dodam procese, katere dobro poznam, še posebej sploh tiste,
ki se ne povezujejo v internet. Prav tako tja vpišem poti do map na lokalnem disku, kjer
vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi multimediskimi
datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v realnem času ne
pregledujejo prav vseh programov, ki jih zaženem in datotek, ki jih odprem.
Za varnost med brskanjem po spletu pa je zelo pomemben »Spletni ščit« (angl. Web
Shield), ki v realnem času varuje računalnik pred grožnjami med brskanjem po spletu in
nalaganje ali prenašanjem podatkov iz spleta, prav tako pa preprečuje tudi zagon
zlonamernih skript. V naprednih nastavitvah je možno natančno nastaviti spletno in
HTTPS skeniranje, kot tudi skeniranje skript. Pod Izjeme pa je možno iz pregledovanja
izključiti določene URL naslove (angl. Uniform Resource Locator) in tipe MIME (angl.
Internet media type). Podobno kot za datotečni ščit pod Izjeme dodam vse procese, ki jih
dobro poznam, naslove spletnih mest, ki so praviloma varna poti do map na lokalnem
disku, kjer vem, da ni možnosti za okužbo (na primer mape z 1 GB in več velikimi
multimedijskimi datotekami) in s tem pohitrim delovanje programa, saj aktivni ščiti v
realnem času ne pregledujejo prav vseh programov, ki jih zaženem, datotek, ki jih odprem
in tako dalje.
Res pa je, da njegovo zaščito v realnem dostikrat onemogočim – sploh takrat, ko
računalnik ni povezan na internet –, saj je moje znanje glede varnosti pri uporabi interneta
obširno in moj računalnik še nikoli ni bil resneje ogrožen zaradi virusa ali katere koli druge
oblike zlonamernih programov. Vzrok za to verjetno tiči tudi v dejstvu, da običajno
vsakodnevno obiskujem ena in ista spletna mesta.
4.3.2 Požarni zid pri Windows XP SP3
Kot zelo pomembno obliko zaščite svojega računalnikov, ki imajo inštaliran
operacijski sistem Windows XP, uporabljam požarni zid, ki je vgrajen v operacijski sistem
Microsoft Windows XP Professional SP3. Kot ostali požarni zidovi Windows Firewall
nadzira pretok podatkov, ki pridejo do računalnika iz drugih računalnikov in deloma tudi
pretok informacij, ki imajo svoj izvor na lokalnem računalniku (računalnik, kjer deluje
požarni zid). Windows požarni zid, vgrajen v operacijski sistem deluje tako, da ko se
nekdo na lokalnem omrežju ali internetu poskuša povezati z računalnikom, Windows
požarni zid blokira povezavo, dovoli pa nam, da se povezujemo v internet. V primeru če
uporabljamo programe, kot so na primer programi za pogovor (angl. chat), ali igramo
igrice po internetu, požarni zid ob zagonu takega programa prikaže opozorilno okno, mi pa
moramo povezovanje izrecno dovoliti s klikom na gumb »Unblock«. Drugi dve opciji sta
»Keep Blocking« in »Ask Me Later«.
Če se uporabnik odloči za odblokiranje povezave, požarni zid za ta program ustvari
izjemo in uporabnika v prihodnosti ne moti več opozorilnim oknom. Pri teh povezavah, ko
se nekdo na lokalnem omrežju ali internetu poskuša povezati z uporabnikovim
računalnikom in ne obratno, gre za programe na našem računalniku, ki poslušajo za
prihajajoče zahtevke za povezavo. Drugače rečeno, gre za TCP povezavo v t. i. stanju
LISTENING. Za vsako izjemo so na voljo dodatne možnosti kaj vse ta program sme in
česa ne; dodamo lahko na primer vrata, na katerih lahko nek program posluša za
prihajajoče zahtevke, dodajamo enega ali več računalnikov, od katerih lahko ta program
vedno sprejema zahtevke za povezavo in tako dalje. Seveda lahko tudi tu ročno dodajamo
programe in tako za njih vnaprej – preden jih prvič zaženemo in preden se prvič povežejo
na internet – nastavimo kaj smejo in česa ne.
4.4 PROGRAMI ZA VARNOST NA INTERNETU
4.4.1 K9 anti-spam program
K9 je program za filtriranje elektronske pošte, ki deluje v povezavi z lokalnim e-mail
odjemalcem in avtomatično razvršča dohodna e-mail sporočila kot »spam« (neželjena e-
mail sporočila) oziroma »ne-spam«. Program deluje tako, da ni potrebe po vzdrževanju -
in/ali rednem posodabljanju - pravil, glede na katera naj program sortira e-mail sporočila.
Program K9 uporablja statistično analizo dohodnih e-mail sporočil, ki po določenem času
postane zelo natančna; program se uči iz svojih napak in s časom postane vedno boljši v
prepoznavi neželjene e-pošte. Še pomembneje je to, da se program nauči prepoznati, katera
sporočila uporabnik razume kot spam e-pošto. K9 deluje samo z e-poštnimi računi, ki
uporabljajo standardni POP3 protokol (angl. Post Office Protocol), ne podpira pa računov,
ki uporabljajo protokol IMAP (angl. Internet Message Access Protocol), niti ne podpira
Hotmail, AOL in drugih računov e-pošte, ki je dostopna prek brskalnika (angl. webmail).
Slika 7: Program K9, e-mail sporočila v mapi Spam
4.4.2 Proxomitron filtrirni proxy program
Proxomitron je zelo zmogljiv lokalni filtrirni HTTP proxy. Program Proxomitron se
najbolj pogosto uporablja za blokiranje odpiranja nadležnih oken (angl. pop-ups), oglasnih
pasic (angl. banners) in odstranjevanje multimedijskih vsebin (zvoki in animacije), ki so
vgrajene v spletne strani. Prav tako je program zmožen blokirati JavaScript skripte,
spreminjati in brisati glave HTTP sporočil (angl. HTTP message headers) in blokirati
zahtevke in jih preusmeriti k oddaljenemu zunanjemu proxy-ju. Program deluje prek
konfiguracijskih datotek, ki vsebujejo zapletena filtrirna pravila, le-ta pa se spreminja in
omogoča prek programskega uporabniškega vmesnika.
V brskalniku Internet Explorer nastavimo uporabo proxy-ja prek menija Tools,
Internet Options, in v zavihku Connections za izbrano povezavo kliknemo gumb
»Setttings«, nato pa pod sekcijo Proxy Settings odkljukamo opcijo »Use a proxy server for
this connection«, nato pa preko gumba »Advanced« za HTTP in Secure pod »Proxy
address to use« vpišemo »localhost«, pod »Port« pa vnesemo število 8080.
V brskalniku Mozilla Firefox pa uporabo proxy-ja nastavimo prek menija Tools,
Options, Advanced, Network in okna, ki se odpre, ko kliknemo na gumb »Settings«. Tam
namesto »Use system proxy settings« (kar je privzeta nastavitev) izberemo »Manual proxy
configuration« in pod polji HTTP Proxy in SSL Proxy vnesti »localhost«, pod polje »Port«
pa številko 8080 (kar je običajno v navadi; lahko pa bi izbrali tudi kakšna druga vrata)
Slika 8: Program Mozilla Firefox, proxy nastavitve
4.5 DRUGI VARNOSTNI UPORABNIŠKI PROGRAMI
4.5.1 Clamwin Antivirus Free
V našem delovnem okolju občasno na enem od računalnikov uporabljamo tudi
zastonjski anti-virusni program Clamwin Antivirus Free, ki je namenjen samo za
skeniranje operacijskega sistema za potencialno nameščeno zlonamerno programsko kodo
(zlasti viruse), ne omogoča pa zaščite v realnem času. Program je prenosljiv (angl.
portable), kar pomeni, da ne potrebuje inštalacije in se ga lahko zažene iz USB ključa in
podobno.
4.5.2 Spybot - Search & Destroy
Za zaščito v realnem času kot tudi za skeniranje za vohunske in oglaševalske
programe imamo na enem od računalnikov nameščen tudi program Spybot - Search &
Destroy. Program je kompatibilen z vsemi različicami Microsoft Windows od Windows 95
naprej. Mjegova naloga je predvsem skeniranje računalnikovega spomina in trdega diska
za zlonamerno programsko kodo; v primeru, če tako programsko opremo odkrije, jo je z
njim možno tudi odstraniti.
4.5.3 Bitdefender Adware Removal
Bitdefender Adware Removal je zastonjski skener za vohunske, oglaševalske in ostale
zlonamerne programe, ki po končanem preverjanju delovnega spomina in trdega diska
odstrani razne tipe zlonamerne programe. Program razvija znano podjetje Bitdefender, ki
nudi licenčni anti-virusni program Bitdefender Total Security 2015.
4.5.4 Program xp-AntiSpy
Program xp-AntiSpy je program, ki na enem mestu omogoča spreminjanje raznih
skrite« varnostnih nastavitev operacijskega sistema, nastavitev za omrežje, nastavitev
programa Internet Explorer in tako dalje.
Slika 9: Program xp-AntiSpy, uporabniški vmesnik, nastavitve
4.5.5 Program SpywareBlaster
Program SpwareBlaster je zelo uporaben anti-spyware program, ki pomaga
preprečevati inštalacijo vohunskih in drugih potencialno nevarnih programov. Njegove
funkcije vključujejo zaščito pred znanimi nevarnimi ali vsaj nezaželjenimi piškotki (angl.
Cookie Protection) in pred nevarnimi ActiveX komponentami (angl. ActiveX Protection)
za spletni brskalnik Internet Explorer. Nudi tudi zaščito pred znanimi nevarnimi spletnimi
stranmi (angl. Restricted Sites), kar program naredi tako, da imena teh spletnih strani doda
v cono »Restricted sites« v zavihku Security v Internet Options oknu v Nadzorni plošči.
Prav tako program nudi zaščito tudi za spletni brskalnik Mozilla Firefox pred
nezaželjenimi piškotki, za spletni brskalnik Google Chrome pa pred nezaželjenimi piškotki
in nevarnimi skriptami (angl. Scipt Protection).
4.5.6 Cryptainer in fSekrit
Program za šifriranje podatkov Cryptainer PE je šifrirni program, ki mape in datoteke
v hierarhični strukturi – enako kot na trdem disku – shrani v zašifriran trezor (angl.
encrypted vault). Ta trezor je v upravljalcu datotek viden kot navaden pogon s pripadajočo
črko pogona (npr. E:, F:), ko ga ima uporabnik odprtega. Vsebino teh zašifriranih trezorjev
pa program shrani v poljubno imenovano datoteko s poljubno končnico. Program
Cryptainer PE deluje na način povleci in spusti (angl. drag & drop), med tem pa se podatki
tudi zašifrirajo. Za šifriranje podatkov sta na voljo dva algoritma: 448-bitni Blowfish in
novi standard za šifriranje imenovan AES (angl. Advanced Encryption Standard).
Cryptainer je na voljo tudi v zastonjski različici (Cryptainer LE), a pri tej različici je
velikost šifriranih trezorjev omejena; v našem delovnem okolju uporabljamo licenčno
verzijo programa.
Program za šifriranje podatkov z imenom fSekrit pa je namenjen za varno hranjene
šifriranih zapiskov. fSekrit deluje na drugačen način kot Cryptainer in sicer šifrira golo
besedilo (tekst), katerega uporabnik zavaruje z varnostnim geslom, ki ga je treba vnesti ob
zagonu šifrirane datoteke. Zašifirano besedilo program hrani kot izvršljivo datoteko –
datoteko s končnico .exe – s poljubnim imenom. Velika prednost uporabe programa fSekrit
je v tem, da se dešifrirani podatki nikoli ne hranijo na trdi disk, ampak so ves čas locirani
izključno v delovnem spominu računalnika. fSekrit uporablja močno šifriranje: standard
AES / Rijndael v načinu CBC z velikostjo ključa 256-bitov. Zaprte šifrirane datoteke
prograna fSekrit so majhne; velikost datotek je le okoli 50 KB plus dolžina šifriranega
besedila. fSekrit je kompatibilen s celotno paleto Windows operacijskih sistemov: 9x /
NT / 2K / XP (32-bit in 64-bit).
4.5.7 Program PsExec
Program PsExec je program za zagon drugih programov z zmanjšanimi pravicami s
spletne strani Sysinternals (več o strani v naslednjem poglavju). Če uporabnik operacijski
sistem Windows uporablja kot administrator (torej z uporabniškim računom, ki ima vse
pravice), lahko z uporabo programa PsExec želene programe zažene z omejenimi
pravicami (kot t. i. »Limited User«). To je sploh koristno za tiste programe, ki se
povezujejo v internet. V zaslonski sliki zavihka Security za proces »firefox.exe« v
programu Process Explorer spodaj je vidna razlika v pravicah procesa zagnanega brez
PsExec, ki ima omogočenih več privilegijev, kot proces zagnan s programom PsExec.
Slika 10: Pravice procesa zagnanega brez (zgoraj) in s PsExec (spodaj)
Spodaj je primer skripte s katero prek programa PsExec zaganjam anti-spam program
K9 in lokalni e-mail odjemalec Mozilla Thunderbird.
echo off
C:
cd\
cd C:\Software\
C:\WINDOWS\psexec.exe -l -d -belownormal K9.exe
Doze.exe 2
C:\WINDOWS\psexec.exe -l -d -belownormal Trayconizer.exe
"C:\Program Files\Mozilla Thunderbird\thunderbird.exe"
Spodaj je primer skripte s katero prek programa PsExec zaganjamo dva različna
profila programa Firefox; več profilov –pri čemer vsak teče kot samostojen proces –
uporabljam zato, da če se mi sesuje eden od njih ne izgubim vseh odprtih spletnih strani
ozrioma že naloženih videov. Ker je na tem operacijskem sistemu vrednost za User
okoljski spremenljivki (angl. Environment Variable) TEMP in TMP nastavljena na mapo
B:\Cache\Temp\ na RAMDisk, v skripti za prvi profil nastavim lokacijo za TMP in TEMP
spremenljivki nazaj na disk. To je potrebno, ker bi na RAMDisk-u – ki ima samo 64 MB
prostora – drugače hitro zmanjkalo prostora; vtičnik Adobe Flash Player namreč med
predvajanjem Flash vsebin podatke zapisuje v datoteke s končnico *.tmp v »Temp« mapo.
Za drugi profil, katerega uporabljam skupaj s filtrirnim proxy programom Proxomitron, pa
spremenljivko nastavim nazaj na »Temp« direktorij na RAMDisk-u.
echo off
C:
set TEMP=C:\WINDOWS\Temp\
set TMP=C:\WINDOWS\Temp\
cd\
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p
profile1
Doze.exe 4
set TEMP=B:\Cache\Temp\
set TMP=B:\Cache\Temp\
cd\
cd C:\Software\Support\Proxomitron\
C:\WINDOWS\psexec.exe -l -d -abovenormal Proxomitron.exe
cd\
cd "C:\Program Files\Mozilla Firefox\"
C:\WINDOWS\psexec.exe -l -d -belownormal firefox.exe -p
profile2
4.5.8 Program BugOff
Program z imenom BugOff je program, ki onemogoči razne varnostne luknje v
starejših različicah IE / Windows, kar vključuje tudi Windows XP, ki ga uporabljamo na
dveh napravah.
Slika 11: Program BugOff, uporabniški vmesnik,, nastavitve
4.5.9 Ostali varnostni uporabniški programi
Na naših računalnikih, ki imajo inštaliran operacijski sistem Windows XP,
uporabljamo še veliko drugih uporabniških varnostnih programov (vse omeniti je praktično
nemogoče zaradi dolžine diplomske naloge), ki pa jih ne bomo bolj podrobno opisovali. V
tem primeru gre za preproste programe, ki imajo eno samo glavno funkcijo. Na primer s
programom NoShare lahko na operacijskem sistemu omogočimo pomembno varnostno
funkcijo (angl. Closed NetBIOS). S programom SocketLock inštaliramo gonilnik, ki
prepreči eno od ranljivih funkcionalnosti operacijskega sistema Windows XP (angl. Full
RAW sockets), s podobnim programom SockLock pa oneomogočimo okužbo sistemskih
datotek winsocks (angl. winsocks stack) s trojanskimi konji Happy99, SKA in tako dalje.
Program HijackThis je namenjen temu, da naredi podroben pregled sistema za vse
programe, servise, BHO objekte in tako dalje, ki se avtomatično zaženejo ob zagonu
računalnika, uporabnik pa jih z njim po potrebi lahko tudi odstrani. Program
RootkitRevealer pa je program (iz znane strani Syinternals), ki je namenjem iskanju okužb
s t. i. »rootkits«; program skenira operacijski sistem in prikaže morebitbe okužbe, žal pa se
jih z njim ne da odstraniti.
4.6 PROGRAMI ZA NADZOR NAD DELOVANJEM RAČUNALNIKA
Glede bolj naprednih uporabniških programov za nadzor nad računalnikom izstopajo
(zastonjski) programi iz spletne strani Sysinternals, ki se je začela kot stranski projekt
podjetja Winternals Software LP, leta 2006 pa jo je kupil Microsoft in je postala del
Microsoft TechNet. Vir: https://en.wikipedia.org/wiki/Sysinternals (20. 9. 2015) Spletna
stran je bila ustanovljena že leta 1996, ko je na njej Mark Russinovich, sedaj razvijalec
jedra novih operacijskih sistemov in ostale programske opreme pri Microsoftu, začel na
spletu deliti tehnične informacije in sistemske pripomočke in programe, ki jih je sam
napisal. Programi se v grobem ločijo na kategorije »File and Disk Utilities«, »Networking
Utilities«, »Process Utilities«, »Security Utilities« in »System Information Utilities«. Vir:
https://technet.microsoft.com/en-us/sysinternals/default (20. 9. 2015)
4.6.1 Program Process Explorer
Program Process Explorer je enen bolj uporabnih programom s spletne strani, z njim
pa lahko nadziramo vse zagnane procese, servise, t. i. opravila (angl. jobs) in posebne
sistemske procese kot so na primer psevdo procesi System Idle Process, Hardware
Interrupts, DPCs in System. S programom je možno spremljati tudi koliko procentov
procesorske moči ali % CPU (angl. Central Processing Unit) vsak od njih uporablja v
danem trenutku, koliko spomina zaseda, koliko I/O (angl. Input/Output) operacij proces
vrši, katere knjižnice uporablja, katere niti (angl. threads) tečejo v procesu, katere ročice
(angl. handles) ima odprte in tako dalje. Process Explorer ponuja toliko funkcij, da smo
našteli samo najbolj pomembne.
Slika 13: Program Process Explorer, uporab. vmesnik, glavno okno
Windows operacijski sistemi imajo sicer vgrajen program Task Manager, a je ta veliko
manj napreden kot Process Explorer; ne prikazuje procesov v drevesu (angl. process tree),
ne kaže bolj podrobnih informacij za vsak proces posebej – kot so na primer zgodovina
rabe CPU, spomina in I/O v zavihku Performance Graph, odprte TCP povezave v zavihku
TCP/IP, niti v procesu v zavihku Threads in tako dalje –, kot jih kaže Process Explorer.
Daleč najbolj pa pride Process Explorer prav pri odpravljanju težav. Ko nek računalnik na
primer deluje počasi, je v veliki večini primerov vzrok v katerem od programov – katerem
od njegovih procesov –, ki se je zataknil in jemlje ogromno procesorske moči (tudi do
100% CPU), ali pa brez nadzora rabi vedno več sistemskega spomina (angl. memory leak);
če je torej vzrok za počasno delovanje v kateri od naštetih stvari, to najlažje odkrijemo s
programom tipa Process Explorer.
Slika 14: Program Process Explorer, proces firefox.exe, Performance Graph
4.6.2 Program TCPView
S programom TCPView lahko spremljamo vse TCP in UDP povezave med dvema
točkama (angl. endpoints), tako odprte povezave v stanju »ESTABLISHED«, kot tudi
neodprte povezave v stanje »LISTENING«, pri čemer je ena točka na lokalnem in druga na
oddaljenem računalniku, v primeru nekaterih posebnih programov pa sta obe točki na
lokalnem računalniku. Program TCPView povezave, ki so bile pred kratkim na novo
vzpostavljene oziroma ustvarjene označi z zeleno barvo.
Slika 17: Program TCPView, uporab. vmesnik,, protokol TCP
Povezave, ki so tekom zadnjega intervala osveževanja prešle iz enega v drugo stanje –
na primer iz stanja »ESTABLISHED« v stanje »TIME_WAIT« – TCPView obarva z
rumeno barvo. Povezave, ki so bile pred kratkim prekinjene oziroma zaprte, pa obrava z
rdečo barvo. Program TCPView je zelo uporaben zato, ker se praktično vsak zlonemeren
program povezuje v internet in lahko z njim vidimo kateri proces se kam povezuje. Z njim
tudi poljubno ustavljamo procese, kar naredimo z desnim klikom na vrstico povezave in v
meniju izberemo »End Process«, prav tako pa lahko z njim zapiramo posamezne TCP
povezave, kar naredimo z desnim klikom na vrstico povezave in v meniju izberemo »Close
Connection«).
4.6.3 Program AutoRuns
S programom AutoRuns lahko nadziramo vse zagonske vnose. To so lahko programi,
knjižnice, gonilniki, servisi, BHO objekti, ki se zaženejo ob zagonu računalnika.
Posemezne zagonske vnose v registru in na disku je s tem programom mogoče tudi
omogočati, onemogočati in/ali trajno brisati. Zagonski vnosi so priročno razdeljeni v
kategorije katerim pripadajo. Nekaj primerov kategorij: AppInit, KnownDLLs, Logon,
Winlogon, Explorer, Sheduled Tasks, Services, Drivers. AutoRuns pride zelo prav, ker se
praviloma vsak nezaželjen oziroma zlonameren program zažene že ob zagonu računalnika,
kar pomeni, da je moral v sistemski register dodati vnos za zagon. S programom AutoRuns
lahko tak vnos onemogočimo ali izbrišemo in preprečimo okužbo oziroma nadaljno škodo.
Slika 18: Program AutoRuns, uporab. vmesnik,, zavihek Everything
4.6.4 Programa FileMon in RegMon
Programa FileMon in RegMon žal nista več na voljo, ker ju je nadomestil enoten
program Process Monitor. Vir: https://technet.microsoft.com/en-us/library/bb896645 (20.
9. 2015) V našem delovnem okolju pa ju raje še vedno uporabljamo ločeno. Program
FileMon v realnem času nadzira delovanje datotečnega sistema, z njim pa lahko vidimo
katere datoteke procesi odpirajo, spremljamo lahko tudi informacije, ki jih procesi
zapisujejo, kot tudi to kam na disk jih zapisujejo. Na zaslonski sliki spodaj lahko vidimo
kako se v programu vidi, ko sem odprl urejevalnik teksta Notepad, v njem odprl in
spremenil vsebino datoteke »Test_n2.bat« in jo shranil. Prav tako se na sliki vidi ko sem
nato v upravljavcu datotek Total Commander datoteko »Temp1.bat« preimenoval v
»Test_n1.bat«, jo odprl v programu EditPad Lite in jo shranil.
Slika 15: Program FileMon, uporabniški vmesnik
S programom RegMon pa lahko v realnem času nadziramo delovanje sistemskega
registra operacijskega sistema in z njim lahko spremljamo kam kateri proces zapiše v
register, kot tudi kaj zapiše. Na zaslonski sliki spodaj lahko vidimo kako se v programu
RegMon vidi, ko sem s programom AutoRuns najprej onemogočil zagon programa
TaskSwitchXP in ga nato nazaj omogočil; proces »autoruns.exe« je zagonski vnos iz
ključa »Run« premaknil v podključ »AutorunsDisabled«, nato pa nazaj v ključ »Run«.
Prav tako pa se na sliki vidi ko sem malce zatem v programu za urejanje slik Irfan View v
mapo B:\Temp\ shranil sliko »Autoruns_Logon.png«; proces »i_view32.exe« je pot in ime
datoteke dodal pod ključ MRU (angl. Most Recently Used; t. j. lista nazadnje uporabljanih
ali nazadnje shranjenih datotek).
Slika 16: Program RegMon, uporabniški vmesnik
4.7 VARNOSTNO KOPIRANJE PODATKOV
Poleg uporabe požarnega zidu, anti-virusnega programa, in ostalih z varnostjo in
zaščito povezanih programov, je v domačem delovnem okolju za varovanje podatkov
najbolj pomembno izdelovanje varnostnih kopij pomembnih podatkov. Najbolj preprosto
je sproti izdelovati varnostne kopije pomembnih datotek in map, bodisi na drugo particijo
na istem trdem disku, bodisi na drug trdi disk. Ker pa lahko zaradi nezanesljivosti storjne
opreme pride do odpovedi trdega diska, vsake toliko časa – ko se nabere dovolj podatkov
–, nove podatke zapečemo na CD/DVD optični disk. V zadnjih letih, ko so kapacitete USB
ključev postale vedno večje, pa smo se navadili na kopiranje pomembnih podatkov na
dovolj velik USB ključ. Ker sem v tem informacijskem sistemu administrator, sem
postopek varnostnega kopiranja delno avtomatiziral z uporabo skriptnih datotek (angl.
batch files), katere običajno sam ročno zaganjam. Nekatere datoteke in mape kopiram
pogosteje, druge redkeje; to pa je odvisno od tega, kdaj so bile nazadnje spremenjene in
koliko novih podatkov – ki bi jih v primeru okvare trdega diska pogrešal –, vsebujejo od
zadnjega varnostnega kopiranja.
4.7.1 Kopiranje na drug disk
Spodaj je primer skripte, ki določene datoteke varnostno kopira iz enega na drug disk.
Skripta najprej na pogonu D: v direktoriju D:\Backup\ ustvari mapo z imenom »Docs« (v
primeru da že obstaja pa kopira vanjo), nato pa iz mape C\Documents and Settings\
Administrator\My Documents\ na C: pogonu vanjo kopira vse datoteke s končnicami *.txt,
*.doc in *.docx. V primeru, da datoteke na ciljni lokaciji že obstajajo, skripta tja kopira
samo tiste datoteke, ki so novejše kot tiste pod ciljnim direktorijem. To dosežemo z
uporabo parametra /D v ukazni vrstici programa xcopy. Kdaj je bila katera datoteka zadnjič
spremenjena program izve iz vrednosti atributa Spremenjeno (angl. Modified) od
posameznih datotek; novejše datoteke imajo kasnejši datum in čas. Skripta od uporabnika
ne zahteva nobenih potrditev za posamezna kopiranja, kar dosežemo s parametrom /Y.
@echo off
D:
cd\
cd Backup
mkdir "Docs"
C:
cd\
cd %userprofile%\My Documents\
xcopy *.txt "D:\Backup\Docs" /D /Y
xcopy *.doc "D:\Backup\Docs" /D /Y
xcopy *.docx "D:\Backup\Docs" /D /Y
4.7.2 Kopiranje na Dropbox
Spodaj je primer skripte, ki datoteke kopira iz ene lokacije na pogonu C: na drugo
lokacijo na istem disku – v direktorij, ki ga uporablja storitev Dropbox – in jih s tem
varnostno kopira tudi na Dropbox strežnik. Skripta iz mape C\Documents and Settings\
Administrator\My Documents\ na pogonu C: v mapo »Documents« v direktoriju C:\
Documents and Settings\Administrator\My Documents\My Dropbox\Backup\ kopira vse
datoteke s končnicami *.doc in *.docx. Če nekatere (ali vse) datoteke na ciljni lokaciji že
obstajajo, skripta tja kopira samo tiste, ki so novejše od tistih v ciljni mapi. Tudi ta skripta
ne zahteva interakcije; da varnostno kopiranje pravilno deluje pa mora biti zagnan program
Dropbox, ki sinhronizira mapo na disku z mapo na Dropbox strežniku. Če v času zagona
skripte program ni bil zagnan, bo kopiranje datotek izvedeno ob prvem zagonu Dropbox
programa.
@echo off
C:
cd\
cd %userprofile%\My Documents\
xcopy *.doc "C:\Documents and Settings\Administrator\My
Documents\My Dropbox\Backup\Documents" /D /Y
xcopy *.docx "C:\Documents and Settings\Administrator\My
Documents\My Dropbox\Backup\Documents" /D /Y
4.7.3 Avtomatizacija z orodjem TaskScheduler
Uporabnik oziroma administrator v domačem delovnem okolju lahko – oziroma je to
priporočeno – zagon skripte, ki varnostno kopira datoteke na drug disk ali v »oblak« na
Dropbox, popolnoma avtomatizira z orodjem Task Scheduler. Task Scheduler je orodje za
avtomatizacijo opravil, ki je vgrajeno v vse operacijske sisteme Windows, deluje pa tako,
da z njim po korakih prek čarovnika nastavimo vse potrebno za zagon programov,
dokumentov ali skript. Spodaj je zaslonska slika primera ene od avtomatiziranih nalog
(skripta, ki vsak tretji dan kopira podatke na drug disk), ki je bila ustvarjena z orodjem
Task Scheduler. Vir: https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006
(7. 7. 2015)
Slika 19: Orodje Task Scheduler, skripta Backup_n1.bat
5 ZAKLJUČEK
Nepogrešljivost informacijske tehnologije se je v zadnjih 20-25 letih stopnjevala do te
mere, da je uporaba osebnih računalnikov, tablic, pametnih telefonov in tako dalje, postala
nekaj popolnoma samoumevnega. Lahko bi rekli, da si naših življenj – pa naj gre za delo
ali izkoriščanje prostega časa oziroma zabavo – brez informacijske tehnologije skorajda ne
moremo več predstavljati. Informacijska tehnologija se je razširila na toliko področij
življenja, da velikokrat ugotovimo kako zelo vpletena je v naša življenja šele takrat, ko
nam ni več dostopna.
Prav zaradi dejstva, da je informacijska tehnologija v zadnjih dveh desetletjih postala
tako nepogrešljiva, je varnost informacijskega sistemov ključnega pomena, kajti pri
uporabi računalnika za kateri koli namen že, vedno obstajajo varnostna tveganja. Zato je
izjemno pomembno, da je vsak informacijski sistem pravilno zaščiten. Glede varnosti pri
informacijski tehnologiji obstajajo mnogi postopki oziroma metode v smislu preventive, s
katerimi lahko preprečimo okužbo enega ali več računalnikov.
Glede varnosti pri informacijski tehnologiji obstajajo mnogi postopki oziroma metode
v smislu preventive, s katerimi lahko preprečimo okužbo enega ali več računalnikov, vdor
v informacijski sistem in nepooblaščen dostop do podatkov, zlorabo osebnih podatkov in
tako dalje. V primerih, ko takih varnostnih incidentov ne moremo preprečiti, pa lahko z
dosledno uporabo nekaterih konkretnih dobrih varnostnih praks dosežemo, da če do
incidenta pride, bo škoda veliko manjša, kot bi bila, če se jih ne bi držali. S pametno
konfiguriranim in zavarovanim informacijskim sistemom in pravimi orodji lahko že na
začetku zelo zmanjšamo možnost, da v bodoče pride do varnostnih incidentov.
Analiza stanja informacijskega sistema z vidika varnosti in analiza izkušenj iz
preteklosti glede varnostnih incidentov v domačem delovanjem okolju, pritrjujeta
zastavljeni hipotezi, da lahko z dobro zavarovanim informacijskim sistemom zelo
zmanjšamo možnost za okužbo računalnikov, izgubo in/ali krajo pomembnih podatkov,
zlorabo osebnih podatkov in ostalih varnostnih incidentov, ne glede na stopnjo
računalniškega znanja končnega uporabnika.
6 LITERATURA
Kaspersky Lab, Kaspersky Security Bulletin 2014. Overall statistics for 2014 (online).
2014. (citirano 5. 9. 2015). Dostopno na naslovu: https://securelist.com/analysis/kaspersky-
security-bulletin/68010/kaspersky-security-bulletin-2014-overall-statistics-for-2014/
Dropbox, What happens when I delete a file? (online). (citirano 6. 7. 2015). Dostopno
na naslovu: https://www.dropbox.com/help/115?path=space_and_storage
Wikipedia, Dropbox (service) (online). 2015. (citirano 5. 7. 2015). Dostopno na
naslovu: https://en.wikipedia.org/wiki/Dropbox_(service)
Wikipedia, OpenDNS (online). 2015. (citirano 27. 6. 2015). Dostopno na naslovu:
https://en.wikipedia.org/wiki/OpenDNS
OpenDNS, Fast, Intelligent DNS Service (online). (citirano 27. 6. 2015). Dostopno na
naslovu: https://www.opendns.com/about/global-dns-infrastructure/
Use Wisdom, Passwords (online). (citirano 6. 6. 2015). Dostopno na naslovu:
http://www.usewisdom.com/computer/passwords.html
Wikipedia, Windows XP (online). 2015. (citirano 20. 6. 2015). Dostopno na naslovu:
https://en.wikipedia.org/wiki/Windows_XP
WhatIs.com, What is botnet (zombie army)? (online). 2012. (citirano 28. 6. 2015).
Dostopno na naslovu: http://searchsecurity.techtarget.com/definition/botnet
Free Software Foundation, Proprietary Software – GNU Project (online). 2015.
(citirano 5. 9. 2015). Dostopno na naslovu:
http://www.gnu.org/philosophy/proprietary.html
Microsoft, Windows 7 Security Features (online). 2014. (citirano 5. 7. 2015).
Dostopno na naslovu: http://www.microsoft.com/security/pc-security/windows7.aspx
NSA, The Information Assurance Mission at NSA, Security Highlights of Windows 7
(online). 2014. (citirano 4. 7. 2015). Dostopno na naslovu:
https://www.nsa.gov/ia/_files/os/win7/win7_security_highlights.pdf
Microsoft, What are User Account Control settings? (online). 2015. (citirano 5. 7.
2015). Dostopno na naslovu: http://windows.microsoft.com/en-us/windows/what-are-user-
account-control-settings#1TC=windows-7
Bradley, T., Pros and Cons of Windows 7 Security, PCWorld (online). 2009. (citirano
4. 7. 2015). Dostopno na naslovu:
http://www.pcworld.com/article/182917/pros_cons_windows_7_security.html
Wikipedia, Windows Update (online). 2015. (citirano 20. 6. 2015). Dostopno na
naslovu: https://en.wikipedia.org/wiki/Windows_Update
Wikipedia, Sysinternals (online). 2015. (citirano 20. 9. 2015). Dostopno na naslovu:
https://en.wikipedia.org/wiki/Sysinternals
Microsoft, Windows Sysinternals: Documentation, downloads and additional resources
(online). 2015. (citirano 20. 9. 2015)
https://technet.microsoft.com/en-us/sysinternals/default
Microsoft, Using the Task Scheduler (Windows) (online). 2015. (citirano 7. 7. 2015).
Dostopno na naslovu:
https://msdn.microsoft.com/en-us/library/windows/desktop/aa384006
Solomon, D. in Russinovich, M., Microsoft Windows Internals 4th Edition, 4. izd.,
Microsoft Press, 2004. ISBN: 0-7356-1917-4 (online). (citirano 5. 7. 2015). Dostopno na
naslovu: http://csit.udc.edu/~byu/UDC3529315/WindowsInternals-4e.pdf
IZJAVA O AVTORSTVU DIPLOMSKE NALOGE
Diplomant-ka: Tadej Peršič,
rojen-a: 13. 7. 1980 v kraju Ljubljana,
i z j a v l j a m
da sem diplomsko nalogo z naslovom:
Celovito zagotavljanje informacijske varnosti domačega okolja ali mikro podjetja
izdelal-a in napisal-a samostojno.
Kraj in datum: Podpis študenta-ke:
Kranj, 9. oktober 2015
ZAŠČITA DIPLOMSKE NALOGE
A. Copyright c: - diplomant Tadej Peršič podpis
Kopiranje in vsakršen drug način razmnoževanja v celoti ali posameznih delov ni
dovoljeno brez predhodnega pisnega dovoljenja nosilcev te pravice.
B. Glede na Zakon o avtorskih pravicah in sorodnih pravicah (UL RS št. 21/95, 9/01,
30/01, 85/01, 43/04, 58/04, 94/04, 17/06, 44/06, 139/06, 16/07) in Zakona o industrijski
lastnini (UL RS št. 13/92, 13/93, 27/93, 34/97, 75/97) in velja še naslednje:
Diplomska naloga – arhivski izvod si je možno ogledati samo v prostorih knjižnice
Šolskega centra Kranj, s pisnim dovoljenjem:
avtorja – diplomanta
diplomantTadej Peršič podpis avtorja – diplomanta
Če ni avtorjevega – diplomantovega podpisa, je diplomska naloga v knjižnici Šolskega
centra Kranj, nedostopna za vpogled.
Pojasnilo k B točki:
Lastnoročni podpis avtorja – diplomanta dovoljuje ogled diplomske naloge le v
knjižnici Šolskega centra Kranj,
Brez lastnoročnega podpisa avtorja – diplomanta ogled diplomske naloge, ni možen.
Kranj, oktober 2015