Nastavenie operačného systému

A. NASTAVENIE SYSÉMU

a) Možnosti prieniku do systému vo verejných priestoroch:

  1. Užívateľ je prihlásený ako správca, a preto má každý spustený program rovnaké práva ako správca, môže robiť čokoľvek.
  2. Možnosť bootovania [bútovania], spustenia operačného systému, z iných pamätí, napríklad CD, DVD, USB.
  3. Nezaheslovaný BIOS umožňuje nastavenie bootovania.
  4. Odhalenie hesla správcu, alebo iných prístupových hesiel.
  5. Zapnutý diaľkový prístup do počítača.
  6. Spustené škodlivé programy ktoré umožňujú prístup.
  7. Zmazanie dôležitých dát a programov.
  8. Zmena užívateľských nastavení.

b) Opatrenia na zabezpečenie počítača

  1. Prihlasovať sa ako užívateľ s obmedzenými právami. Potom všetky spusteneé programy budú mať tiež obmedzené práva.
  2. Zakázať v BIOS-e bootovanie z iných pamätí ako je harddisk. Alebo fyzicky odpojiť mechaniky a USB.
  3. Zaheslovať BIOS.
  4. Používať dlhšie heslá obsahujúce text, čísla a špeciálne znaky. Nikde si heslá nezapisovať.
  5. Vypnúť diaľkový prístup, vypnúť všetky nepotrebné sieťové služby ktoré umožňujú diaľkový prístup.
  6. Neinštalovať neznáme a nepreverené programy. Môžu obsahovať škodlivý kód.
  7. Zálohovanie dát a programov pomocou zálohovacích programov.
  8. Zakázať zmenu užívateľských nastavení užívateľom, potom ich nemôžu meniť ani spustené programy. Alebo nespúšťať neznáme programy, ktoré by mohli meniť nastavenia, napríklad skripty na www stránkach.

Podrobne o zabezpečení systému:

  • Bežne sa prihlasovať ako užívateľ s obmedzenými právami. Ako správca iba pri inštalácii programov. Bezpečnejšie je dať práva správcu iba programom ktoré ich práve potrebujú. Ako správca sa možno bezpečnejšie prihlásiť v Linuxe cez program "sudo", príkaz "su" v konzole. Vlastné programy možno spúšťať aj obyčajný užívateľ, napríklad portované aplikácie z portableapps.com
  • Heslo správcu by malo byť ťažko odhaliteľné a ľahko zapamätateľné. Odporúča sa aspoň 6 znakov, kombinácia textu, čísel a do vnútra špeciálny znak (#@$...), napríklad tiger$26. Program 0phcrack dokáže jednoduché heslo zistiť do pár sekúnd. Program možno nabootovať ako živé CD.
  • Neukladať heslá do počítača. Napríklad v prehliadači Mozilla Firefox si to užívateľ môže nastaviť v ponuke Úpravy - príkaz Predvoľby. V dialógovom okne "Predvoľby aplikácie Firefox" na kartičke "Zabezpečenie" vypnúť ukladanie hesiel.

    Rovnako môžete zakázať ukladanie dôverných dát a histórie, prípadne ich nechať automaticky zmazať po vypnutí programu Firefox. Pamatanie dát vo formulárových poliach alebo cookies sú niekedy potrebné na funkčnosť webových stránok, preto ich možno nechať zapnuté.
  • Pravidelné aktualizácie programov obsahujú nahrávanie opráv chýb programov, doplnenie databázy vírusov antivírového programu, nové verzie programov a podobne. Chyby programov alebo zastaralá databáza vírusov môžu umožniť prienik do systému. Antivírové programy sa aktualizujú aj viackrát za deň, operačný systém raz za niekoľko dní.
  • V BIOS-e nastaviť bootovanie iba z harddisku. Bootovanie je spustenie operačného systému, obvykle z harddisku. Ak cudzí užívateľ nabootuje vlastný operačný systém zo "živého" CD alebo USB kľúča, potom získa kontrolu nad počítačom, a napríklad môže zmazať údaje na harddisku. Toto nastavenie má význam napríklad v internet-kafe, vo firmách alebo v školách, kde vlastník počítačov je zodpovedný za ich funkčnosť a legálne používanie.
  • Zaheslovať BIOS, aby si cudzí užívateľ nemohol meniť nastavenia počítača, napríklad bootovanie, frekvenciu, či napätie procesora.
  • Záloha dát alebo systému umožní ich obnovu v prípade poškodenia počítača.
    • Pravidelnú zálohu dát možno robiť ručne alebo automaticky, na harddisk, CD, DVD či USB klúč.
    • Záloha disku do súboru umožňuje napríklad prekopírovať novonainštalovaný operačný systém do zálohy. V prípade akejkoľvek poruchy, zavírenia alebo blokovania systému možno prekopírovať systém zo zálohy späť a systém je ako nový. Odporúča sa robiť záloha na živé DVD s obnovovacím programom. Také DVD sa iba vloží do mechaniky a po zapnutí počítača sa systém automaticky obnoví. Na zálohu a obnovú systému možno použiť napríklad program CloneZilla.
    • Záloha harddisku na serveroch sa robí pomocou RAID polí. Napríklad sa dáta ukladajú rovnako naraz na dva harddisky. Pri poruche jedného harddisku sa poškodený harddisk vymení a z druhého nepoškodeného sa všetko prekopíruje na nový harddisk.
  • Zabrániť neželanej zmene užívateľských nastavení, napríklad prestane fungovat klávesnica, alebo zmiznú panely. Dá sa uložiť sedenie = všetky užívateľské nastavenia a zakázať zmenu nastavení. Alebo vymazať užívateľské nastavenia a potom budú platiť štandardné. Nastavenia sú uložené v príslušnom podadresári, v adresári užívateľa. Napríklad v Linuxe v adresári užívateľa /home/student je podadresár ./mozilla s nastaveniami pre Mozillu a v adresári ./kde s nastaveniami pre okenný manažér KDE.
  • Vypnúť nepoužívané sieťové služby a zavrieť nepotrebné porty
    • Vypnúť diaľkový prístup, ak ho nepotrebujete.

D. SOCIÁLNE INŽINIERSTVO - využíva naivitu ľudí:

  • Požiadanie o heslo správcu (priamo, mailom...) - bezmocný začiatočník čo dočasne potrebuje heslo správcu, predstieraná technická podpora, niekto dôležitý...
  • Podvrh je program ktorý sa tvári ako užitočný program, ale v skutočnosti vykonáva škodlivú činnosť. Napriklad falošný antivírus ktorý v skutočnosti zavíri počítač.
  • Phishing = rybárenie je získavanie údajov podvrhnutými materiálmi. Najčastejšie je záujem o prístupové údaje k internetovému bankovníctvu. Používajú sa skeny stránok vyzerajúce ako oficiálne stránky banky, samozrejme na inej adrese ako je adresa banky, alebo e-maily s odkazem na nejaký nový systém kde treba zadať svoje prihlasovacie údaje ako vo svojej banke.
  • Hoax = poplašná správa, ktorá obsahuje výzvu na okamžité hromadné rozposlanie správy. Cieľom je vytvorenie spamu. Napríklad snaha získať prostriedky pre ťažko chorého človeka, petície...

HROMADNÝ ÚTOK

  • Botnet je sieť infikovaných počítačov ovládaná niekým z vonku. Botnety umožňujú anonymitu a hromadný útok. Botnet môže obsahovať tisíce až milióny počítačov. Botnety sa vytvárajú za účelom finančného zisku alebo získanie osobných údajov, napríklad prístupových hesiel k bankovým účtom. Zisk sa dosahuje prenájmom časti botnetu, jeho funkcií alebo strojového času. Botnet sa využíva na lámanie Captcha a hesiel, rozposielanie spamu, hromadné (DDoS) útoky, utajenie IP alebo odpočúvaniu komunikácie (sniffovania).
  • DDoS (distributed denial-of-service) je metóda, keď útočník zahltí počítač obrovským množstvom požiadaviek. To má za následok odpojenie počítača od Internetu. Obvykle sa DDoS robí cez botnetu. Možno zahltiť počítač, firmu, poskytovateľa pripojenia alebo celú krajinu. Za ďalšie problémi, napríklad pád systému, môže bezpečnosť počítača (servera).
  • Spam sú nevyžiadané správy, predovšetkým emaily. Dnes sa producenti spamu zameriavajú nielen na e-mail, ale aj na webové stránky (komentáre, diskusné fóra), blogy, stránky sociálnych sietí a mobilné telefóny. Spam môže zahltiť schránku, web, či telefón. Ochrana proti spamu (antispamová ochrana) sa vykonáva programami ktoré rozpoznávajú spam od obyčajnej správy. Spam sa rozlišuje na základe adries odosielateľa (zoznamy spamerských adries sa zverejňujú), obsahu (bayesovské filtre) alebo digitálnych otlačkov prstov. Šíreniu spamu napomáha aj hromadné posielanie pošty užívateľmi pomocou políčka komu. Ak sa takýto mail dostane do zavíreného počítača, vírus si môže prečítať adresy všetkých príjemcov a potom im bude posielať spam. Preto je lepšie pri hromadnej pošte používať políčko "skrytá kópia".
    Úplne sa spam dá z mailov odstrániť zavedením elektronického podpisu. To by ale každý, od koho chcete prijať mail musl používať elektronický podpis. Realita je taká, že ho nepoužíva nikto. V štátnej správe boli pred pár rokmi snahy o zavedeniu elektronického podpisu, ale neujalo sa to.

Linky

  1. Snowden