Jak zabezpečit nový počítač
Přinesli jste si domů nový počítač a přemýšlíte, jak ho zabezpečit a jak v budoucnu ochránit data? Máme pro vás několik tipů.
PETR KRATOCHVÍL
Vzhledem ke stále rostoucí důležitosti internetu a síle hackerů je čím dál tím obtížnější zabezpečit jakýkoliv software nebo operační systém. Svědčí o tom i celá řada útoků na minoritní a dříve před hackery relativně bezpečný operační systém od firmy Apple. O to komplikovanější je zabezpečení Windows, která dnes najdete na většině počítačů.
Dříve než se ale pustíte do instalování desítek různých bezpečnostních nástrojů a pomocníků, je vhodné si určit, jakou úroveň zabezpečení pro svůj počítač (a data) potřebujete a o jak výkonný počítač jde. Jinak zabezpečený by měl být domácí počítač, na kterém se instalují stále nové a nové programy, hrají hry a surfuje po "podezřelých webech", a zcela jinak pracovní notebook používaný pro internetové bankovnictví. Jiné bezpečnostní řešení lze použít na starším počítači a netbooku, jiné na výkonném herním "stroji". Je také nutné si uvědomit, že celková úroveň bezpečnosti záleží na nejslabším článku – nelze tedy očekávat, že koupí (byť kvalitního) antiviru se stane váš počítač nedobytným. Pokud je nejslabším článkem řetězce uživatel (ať už jde o děti, nebo o méně zkušené surfaře), je vhodné k zabezpečení počítače přistoupit zcela jinak. Pojďme se ale nejprve podívat na základní oblasti zabezpečení, které by neměl zanedbat nikdo.
Operační systém a programy
Základním kamenem zabezpečení počítače je operační systém. Jak u něj, tak i u později instalovaných programů je vhodné zmínit jeho legálnost – jak z hlediska podpory (či budoucího upgradu), tak především z hlediska bezpečnosti. Shánění cracků (a podobných nástrojů) lze přirovnat ke kopírování klíčů od vlastního bytu u pochybného levného zámečníka. Potenciální riziko za ušetřených pár korun rozhodně nestojí. Na co je tedy důležité se u softwaru zaměřit?
Aktuálnost
Hlavní zbraní hackerů je neustálý vývoj a hledání stále nových zranitelností, na které bezpečnostní firmy jen obtížně reagují. Jedním z nejdůležitějších "obranných" opatření je aktuálnost softwaru. To však platí nejen pro operační systém (kde stačí jen zapnout automatické aktualizace), ale také pro všechny nainstalované programy. Klíčové jsou především nástroje určené pro internet nebo spolupracující s prohlížečem (například formou doplňků). Problémem je, že snaha vývojářů obvykle vede k vytvoření "aktualizační utility", která neustále zbytečně zabírá místo v paměti. A pokud máte takových programů více, může dojít ke znatelnému zpomalení počítače. Řešení tohoto problému je několik (například pravidelná každodenní manuální aktualizace), my ale doporučujeme použít jeden specializovaný nástroj hlídající aktuálnost všech nainstalovaných aplikací. Na Chip DVD proto najdete nástroj Secunia PSI, který tuto práci udělá za vás.
TIP: Nezapomínejte na aktualizace svého kancelářského softwaru – i tito každodenní pomocníci jsou častým cílem hackerů. Ať už používáte MS Office, nebo Open Office, aktivujte v nich automatické aktualizace.
Alternativní nástroje
Další cestou k lepšímu zabezpečení počítače je využití alternativních programů. Hackeři jdou totiž při útocích na cizí počítače tou nejjednodušší cestou – zaměřují se na nejrozšířenější a nejpoužívanější programy, které zaručují i největší množství cílů pro malware. Pokud tedy použijete alternativní software, podstatně zmenšíte riziko napadení. Typickou ukázkou může být například software pro práci se soubory ve formátu PDF. Zatímco známý a oblíbený Adobe Acrobat byl díky sedmnácti nalezeným zranitelnostem v letošním roce cílem celé řady útoků, neméně výkonná alternativa v podobě nástroje PDF X Change Viewer měla letos pouze dvě zranitelnosti.
Ve srovnání s loňským rokem jsme méně důraznější v doporučování alternativního softwaru v oblasti browserů. Zatímco Internet Explorer 8 nebyl zrovna synonymem "neprůstřelnosti", nová verze, označená číslem 9, je na tom z hlediska bezpečnosti podstatně lépe. Tento prohlížeč se dokonce stal vítězem našeho testu browserů v minulém Chipu. Pro běžné surfování ho tedy lze bez větších výhrad doporučit. Pouze při návštěvě extremně nebezpečných oblastí internetu je lepší použít některý z méně rozšířených prohlížečů (například Operu) nebo Firefox s bezpečnostními doplňky (NoScript, BetterPrivacy, WOT).
TIP: Dříve než se pustíte do zabezpečování svého počítače, odstraňte z něj zbytečný software, obvykle přidávaný výrobci (či distributory) počítačů. Tento nainstalovaný "crapware" obvykle počítač nejen brzdí, ale může být i potenciálním cílem zranitelností. Specializovaný nástroj na odstranění crapwaru najdete i na Chip DVD.
Zálohování a hardware
Ještě než se pustíte do instalace softwaru, doporučujeme vytvořit zálohu, která vám pomůže v případě větších potíží. Tento problém je obvykle snáze řešitelný u notebooků, kde uživatelé v rámci předinstalované výbavy obvykle najdou i jednodušší zálohovací software. V některých případech je také možné využít "image" operačního systému, nacházejícího se ve skryté oblasti na disku. Ten ale pouze obnoví systém do původní podoby – včetně nepříjemného "crapwaru".
Ve Windows (od verze Vista) najdete také šikovný zálohovací nástroj – rozhodně ho doporučujeme použít, spíše než některý z bezplatných zálohovacích nástrojů. Ve Windows ho najdete v Ovládacích panelech (v sekci Systém a zabezpečení | Zálohování a obnovení). Nástroj umožňuje jak volbu místa, kam budete zálohovat (síť, jiný disk, DVD), tak přehlednou volbu oblastí, které chcete zálohovat. Nechybí ani možnost pravidelného zálohování pomocí tzv. plánu. Jakmile začnete na počítač instalovat potřebný software, doporučujeme také pravidelně vytvářet body obnovy – to vám v případě problémů s programem ušetří spoustu práce.
Nejen softwarové bezpečí
Dalším krokem k bezpečnému využívání počítače je správně nakonfigurovaný hardware. Tím máme na mysli především routery a podobné síťové prvky. Dříve než se ale pustíme do hlubin konfigurace routeru, je nutné zmínit důležitý první krok: změnu implicitního hesla. Ač se to nezdá, velké množství uživatelů sice router nakonfiguruje, ale zapomene změnit přednastavené přístupové heslo. To je u výrobků jedné firmy stejné (například pro účet admin je obvyklé heslo admin), a toho mohou využít nejen hackeři při cíleném útoku, ale také specializované typy malwaru – například v loňském roce se takto šířil Botnet označovaný jako "Chuck Norris". Jako první tedy při konfiguraci routeru změňte přístupové heslo.
Základním kamenem bezpečných sítí je aktuální verze firmwaru routeru – staré verze mohou být nejen důvodem nestability a nízké rychlosti, ale také potenciálních bezpečnostních rizik. V loňském roce využíval zranitelností firmwaru například botnet Psybot.
Pokud plánujete použít Wi-Fi router, rozhodně nepodceňujte jeho integrovaný firewall (označovaný jako SPI). Robustní SPI firewall představuje první linii obrany před hackery a síťovými hrozbami. Doporučujeme také použít pro zabezpečení WPA2 – je podstatně bezpečnější než často používaný WEP nebo WPA. Obě zmiňované technologie zabezpečení už jsou totiž relativně snadno prolomitelné, a WEP dokonce i pomocí amatérských prostředků.
V ideálním případě by měla být konfigurace routeru povolena jen přes "kabel", nebo alespoň pro nastavení přístroje určen jiný port než 80.
Bezpečnostní nástroje
Posledním krokem na cestě za bezproblémovým počítačem je důkladná bezpečnostní výbava. Jejím průzkumníkem by měl být firewall, základem kvalitní antivir a pojistkou alternativní bezpečnostní nástroje.
Firewall
O důležitosti či zbytečnosti firewallu se vedou spory již dlouhou dobu. Až do Windows XP, s jejich interní "parodií na firewal" a nepříliš výkonnými antiviry, mohl hrát firewall podle našeho názoru důležitou roli. Od Windows Vista ale prodělal integrovaný firewall celou řadu vylepšení a zlepšila se i výkonnost antivirových nástrojů. Díky těmto změnám tak lze použití alternativního firewallu doporučit jen velmi zkušeným uživatelům, pohybujícím se v rizikových oblastech internetu nebo používajícím potenciálně nebezpečný software. Na základě výsledků celé řady testů doporučujeme firewall Comodo, který už však nelze nainstalovat samostatně, ale pouze jako součást bezplatného "balíku" Comodo Internet Security (http://personalfirewall.comodo.com/). V podobné situaci je firewall od Outpostu, integrovaný v bezplatném nástroji Outpost Security Suite Free (http://free.agnitum.com/).
Antivir
Základem obrany každého počítače by dnes měl být kvalitní antivir. Komplexní bezpečnostní balík vám sice nabídne téměř dokonalou ochranu, ale zaplatíte za to podstatně větší zátěží počítače a instalací dodatečných (a často zbytečných) funkcí.
Méně náročným uživatelům lze tedy jako antivir doporučit bezplatný Microsoft Essentials nebo Panda Antivirus Pro 2012, jehož půlroční verzi najdete zdarma i na Chip DVD. Na stejném disku si však vyberou i náročnější uživatelé – jako komplexní bezpečnostních řešení totiž mohou zvolit buď AVG Internet Security 2011 Chip Edition, nebo F-Secure Internet Security 2011. Oba produkty nabízí opravdu komplexní ochranu od klasického antiviru přes firewall až po antispamový filtr či rodičovskou kontrolu.
Bezpečnostní pomocníci
K lepšímu zabezpečení počítače mohou přispět i malí, nenápadní a obvykle "jednoúčeloví" pomocníci. Jejich výhodou je, že s nimi hackeři příliš nepočítají, a proto se je ani nesnaží cíleně oklamat (například na rozdíl od antivirů). Díky tomu pak tyto nástroje mohou přispět i k odhalení útoku hackera či zavirování počítače. Jediným problémem obvykle bývá kompatibilita – některé nástroje se "špatně snáší" s klasickými bezpečnostními nástroji (antiviry a bezpečnostními balíky) a jediným řešením takovéhoto konfliktu bývá odinstalace.
Typickým příkladem takovéhoto pomocníka je SpywareTerminator – z původně jednoduchého nástroje se program vyvinul do komplexního antimalwarového nástroje s vlastní rezidentní ochranou a ta se často "nesnese" s ochranou klasického antiviru. Podobnou cestou se vydal i známý program Ad-Aware. Z původně freewarové aplikace, která po spuštění odhalovala nejrozšířenější spyware, se změnil na rozsáhlý nástroj s realtime ochranou. Proto se vyplatí zaměřit se spíše na menší utility bez rezidentní ochrany.
Mezi populární programy let minulých rozhodně patřil nástroj Spybot Search and Destroy (www.safer-networking.org), který dokázal najít již známý malware a jako bonus také vyčistit stopy po vaší práci na počítači. V roce 2009 ale aktivita autorů softwaru poněkud "poklesla" a bez aktualizací se program stával jen zbytečným balastem na disku. Letos v létě se však vývojáři probrali a zdá se, že druhá verze bude praktickým pomocníkem v boji proti malwaru.
Mezi důležitou softwarovou výbavu rozhodně patří nástroj HijackThis (http://free.antivirus.com/hijackthis/), který dokáže z registru získat a zobrazit informace o softwarové výbavě a instalovaných doplňcích browserů. Na základě těchto informací je pak možné odhalit přítomnost různého potenciálně nebezpečného softwaru. Výhodou je také možnost vytváření záznamů (tzv. logů) s informacemi o systému, které je v případě problémů možné nechat automaticky analyzovat nebo je nahrát na vybraná bezpečnostní fóra a konzultovat s odborníky. Jako bonus najdete v HijackThis i několik nástrojů pro správu systému (například uninstall manager).
Pouze pro zkušené uživatele je určen Ultimate Process Manager (www.lodusweb.net), který funguje jako jakýsi pokročilý správce úloh. Po spuštění dokáže analyzovat aktivní procesy a rozpoznat potenciální malware, ale také se s ním vypořádat. Ještě jednou však zdůrazňujeme, že schopnosti tohoto nástroje jsou natolik rozsáhlé, že ho doporučujeme jen velmi zkušeným uživatelům. Začátečník s ním dokáže zcela zdevastovat Windows už během několika sekund…
Nejlepší obrana
K napadení počítače může dojít i přes nainstalované bezpečnostní nástroje a vhodně nakonfigurované browsery. Pokud totiž uživatel nepoužívá zdravý rozum a mechanicky odklikává upozornění na obrazovce, nepomůže mu sebekomplikovanější software.
Při surfování, instalování programů či používání webových služeb je nejdůležitější ochranou před hackery zdravý rozum. Posílá vám dlouho neviděný "přítel" na Facebooku bez jediného slova odkaz na neznámé video? Upozorní vás anglicky na "zajímavý odkaz"? Nabídne vám někdo úžasné služby zdarma nebo můžete po jediném kliknutí vyhrát skvělý mobilní telefon? Uvědomte si, nakolik jsou tyto situace opravdu reálné a jak byste na ně reagovali mimo internet. Teprve poté se rozhodněte, zda opravdu na odkaz kliknete či si nainstalujete úžasný software zdarma.
PETR.KRATOCHVIL@CHIP.CZ
BitLocker – zabezpečení pro pokročilé
Již dříve existovaly nástroje, které umožňovaly šifrování pevných disků. Ne každý však ví, že od příchodu operačního systému Windows Vista a posléze i Windows 7 je tato funkce přímo součástí operačního systému. Alespoň u vyšších verzí Ultimate a Enterprise. Jde o nástroj BitLocker, který pomáhá udržovat vše od dokumentů až k heslům bezpečnější zašifrováním celé jednotky, na níž je umístěn systém Windows a vaše data. Po zapnutí nástroje BitLocker jsou veškeré soubory uložené na jeho jednotce automaticky zašifrované, a to včetně boot sektoru operačního systému.
K ČEMU JE TO DOBRÉ?
V dnešní době, kdy cena notebooku je velmi nízká a zakoupený software lze znovu nainstalovat, jsou v případě jeho ztráty tím nejcennějším data. Samozřejmě, v lepším případě máte zálohu a i data můžete obnovit. Šifrování je však zárukou, že se ztracená data nedostanou do nepovolaných rukou. A nemusí se jednat ani o firemní data, ale například o fotografie z rodinné dovolené a další citlivé soukromé informace. Na disku lze také najít přihlašovací jména a hesla k různým webovým stránkám, případně hashe síťových hesel. Tak může potenciální útočník získat důvěryhodný počítač pro vedení útoku. V případech, kdy je disk šifrovaný, se k těmto ani k systémovým informacím není možné dostat.
Výhodou je, že pro zajištění šifrování pevných disků není nutné mít přítomný TPM čip, který je používán pro generování klíčů a ukládání šifrovacích informací. Pro uložení dešifrovacího klíče je možné využít vyměnitelné médium (například USB klíč). Je ale nutné poznamenat, že pro povolení šifrování pomocí vyměnitelného média je potřeba modifikovat bezpečnostní politiku počítače. Je nutné informovat operační systém, že TPM není vyžadován. Konfiguraci skupinové politiky provedete tak, že po kliknutí na tlačítko Start zadáte do vyhledávacího řádku gpedit.msc. V okně poté přejděte na "Konfigurace počítače | Šablony pro správu | Součásti systému Windows | Šifrování jednotky pomocí služby BitLocker |Požadovat při spuštění další ověřování" a zde zvolte "Povolit nástroj BitLocker bez kompatibilního čipu TPM".
Tip: Při přípravě počítače doporučujeme vytvořit systémovou partition o velikosti 300 MB a následně do této partition umístit prostředí Windows Recovery Environment (WinRE), které umožňuje případnou opravu při pádu vlastního operačního systému.
Foto: PDF-XChange Viewer: Lepší alternativa k Adobe Readeru nejen z hlediska bezpečnosti
Foto: Zálohování: Ve Windows (od verze Vista) najdete také kvalitní zálohovací nástroj…
Foto: Bezpečná Wi-Fi: Pro bezpečnou síť použijte šifrování WPA2.
Foto: HijackThis: Staronový nástroj pro boj s malwarem.
Foto: Ultimate Process Manager: Komplikovaný, ale výkonný nástroj pro zkušené uživatele
Foto: Bezpečnější: Základní firewall ve Windows je už kvalitní a pro méně zkušené uživatele je zbytečné hledat alternativy.