Τεχνικό εγχειρίδιο ασφαλούς ρύθμισης και χρήσης προσωπικού υπολογιστή.

ΕΚΔΟΣΗ 1.0 28-01-13 Τεχνικό εγχειρίδιο ασφαλούς ρύθμισης και χρήσης προσωπικού υπολογιστή. Σελίδα 1 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Περιεχόμενα Εισαγωγή...3 Η αξία ενός προσωπικού υπολογιστή για έναν κακόβουλο χρήστη...3 Τεχνικές Απόκτησης πρόσβασης...6 Ασφαλής ρύθμιση-χρήση λειτουργικού συστήματος...9 Windows XP...9 Windows 7...28 Ubuntu...48 Ασφαλής ρύθμιση-χρήση φυλλομετρητών (Browsers)...57 Internet Explorer 9...57 Firefox...65 Chrome...73 Τείχος Προστασίας των Windows 7...80 Ανώνυμη πλοήγηση με Tor...87 Σωστή χρήση του Ηλεκτρονικού ταχυδρομείου (email)...90 Ασφαλής ρύθμιση-χρήση usb...93 Κρυπτογράφηση δεδομένων...102 Sandboxie...110 Εντοπισμός ύποπτης συμπεριφοράς Η/Υ...116 Windows...116 Linux...134 Επίλογος...143 Σελίδα 2 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Εισαγωγή Στα θέματα ασφαλείας προσωπικών υπολογιστών υπάρχει ένας κανόνας, δεν υπάρχει απόλυτη ασφάλεια. Αυτό που υπάρχει είναι η λήψη μέτρων, η υιοθέτηση σωστής χρήσης του προσωπικού υπολογιστή, η συνεχής ενημέρωση και η συνεχής επαγρύπνηση, που μας επιτρέπουν να μετριάσουμε τον κίνδυνο. Σκοπός αυτού του εγχειριδίου είναι αρχικά να δώσει γενική γνώση σε θέματα ασφαλείας αλλά και ειδική τεχνική γνώση, ανάλογα με το λειτουργικό σύστημα του καθενός, με τελικό στόχο την προστασία των προσωπικών υπολογιστών. Δεν πρόκειται για μία πολιτική ασφαλείας, αλλά για ενημερωτικό υλικό με στόχο την ενημέρωση των χρηστών σε προσωπικό επίπεδο για τους κινδύνους που διατρέχουν. Απαντώντας στην ερώτηση μα δεν έχω κάτι αξίας στον υπολογιστή, γιατί να δεχτώ επίθεση; περιγράφουμε την: Η αξία ενός προσωπικού υπολογιστή για έναν κακόβουλο χρήστη Ο υπολογιστής μας, σήμερα αποτελεί στόχο κακόβουλων χρηστών, για να χρησιμοποιηθεί σε κάθε είδους παράνομη δραστηριότητα. Είναι γεγονός πως η σύγχρονη ανάγκη για επικοινωνία επιβάλλει την χρήση δικτυακών συσκευών όπως υπολογιστές, tablet, κινητά και συνέπεια αυτού είναι να διακινείται καθημερινά πληθώρα ψηφιακών πληροφοριών για εμάς, την οικογένειά μας, την εργασία μας και τις συνήθειές μας. Αυτές οι πληροφορίες, όπως και ο ίδιος υπολογιστής έχουν μεγάλη αξία, κυρίως οικονομική, για έναν εισβολέα. Παρακάτω αναλύονται οι επιδιωκόμενοι στόχοι των κακόβουλων χρηστών, με την αντίστοιχη επεξήγηση. Υποκλοπή ονομάτων χρηστών και κωδικών Η υποκλοπή του ονόματος χρήστη (user name) και των κωδικών που χρησιμοποιεί στις διάφορες ιστοσελίδες στο διαδίκτυο, μπορεί να δώσει πρόσβαση σε: - Τραπεζικούς λογαριασμούς, όπου μπορούν να δουν την οικονομική μας κατάσταση (έσοδα έξοδα), να κάνουν μεταφορά χρημάτων σε άλλον λογαριασμό ή αγορά προϊόντων με πιστωτικές κάρτες, εν αγνοία μας. - Λογαριασμούς αγοραπωλησιών, όπως Amazon, Walmart, e-bay, όπου μπορούν να κάνουν αγορές ή και πωλήσεις προϊόντων και αγαθών, εν αγνοία μας. - Υπηρεσίες φύλαξης αρχείων, όπως icloud, Google Drive, Dropbox, όπου μπορούν να αποκτήσουν πρόσβαση σε ότι είδους αρχεία φυλάσσουμε εκεί. - Χρηματοοικονομικές υπηρεσίες, όπως ενεχυροδανειστήρια ή μετοχές, με τις αντίστοιχες δυνατότητες. - Φορολογικά δεδομένα, όπου μπορούν να δουν την φορολογική μας ενημερότητα, περιουσιακά στοιχεία (αυτοκίνητα, κύρια κατοικία, εξοχικά, σκάφη), εισοδήματα παρελθόντων ετών, αριθμό μελών οικογενείας κλπ. Σελίδα 3 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 - Λογαριασμούς εταιρειών courier, όπως UPS, Fedex, όπου μπορούν να αποστείλουν κλεμμένα ή παράνομα αγαθά στο όνομά μας ή να παραλάβουν παραγγελίες που έγιναν για εμάς σε άλλη διεύθυνση. Συλλογή διευθύνσεων ηλεκτρονικού ταχυδρομείου (e-mail) Εάν αποκτήσει κάποιος πρόσβαση στο ηλεκτρονικό μας ταχυδρομείο, τότε μπορεί: - Να ελέγξει τις επαφές μας, όπου συνήθως υπάρχουν και άλλα καταχωρημένα στοιχεία, όπως τηλέφωνα, διευθύνσεις και ιδιότητες για κάθε μία επαφή. - Να χρησιμοποιήσει τις καταχωρημένες επαφές για να πραγματοποιήσει επιθέσεις τελικού χρήστη (client side attack), σε όσους είναι στην λίστα μας. - Να δει την προσωπική μας αλληλογραφία, χωρίς την έγκρισή μας. - Να κάνει πολλαπλές προηγμένες απάτες με χώρες του εξωτερικού. - Να συλλέξει πληροφορίες για αγορές, συνήθειες και προτιμήσεις μας, όπως πχ ταξίδια, μαγειρική, ηλεκτρονικές συσκευές κλπ, όπου μπορεί να μας προωθήσει αντίστοιχα προϊόντα για να τα αγοράσουμε. - Να μάθει πληροφορίες που αφορούν στην υγεία μας, με στόχο την εκμετάλλευση αυτών προς όφελός του. - Να μάθει πληροφορίες για τις ερωτικές μας προτιμήσεις, είτε σε αγορές είτε σε συντρόφους και μετά να μας εκβιάζει. - Να αποκτήσει πληροφορίες για την εταιρεία που εργαζόμαστε, από ανταλλαγές αλληλογραφίας, ώστε να μάθει πληροφορίες εκ των έσω, εν αγνοία μας. Τα παραπάνω μπορεί να μην είναι άμεσα χρήσιμα σε αυτόν που θα πάρει τις συγκεκριμένες πληροφορίες, αλλά κάποιοι άλλοι τρίτοι, πληρώνουν αδρά για να αποκτήσουν πρόσβαση σε τέτοια δεδομένα, όπως πχ διαφημιστικές εταιρείες, κατάσκοποι κλπ. Υποκλοπή εικονικών προϊόντων και αγαθών (virtual goods) Η πρόσβαση τρίτων σε εικονικά προϊόντα και αγαθά μπορεί να οδηγήσει: - Στην πώληση των εικονικών χαρακτήρων, αγαθών ή νομισμάτων από on-line παιχνίδια εις βάρος δικό μας και όσων έχουν πρόσβαση εκεί. - Στην πώληση οποιασδήποτε άδειας λογισμικού ή λειτουργικού συστήματος έχουμε αποκτήσει νόμιμα. Σελίδα 4 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Χρήση του υπολογιστή μας ως διαδικτυακό ρομπότ για παράνομες δραστηριότητες (botnet - Δίκτυο υπολογιστών ελεγχόμενο κεντρικά και που εκτελεί αυτοματοποιημένες (παράνομες) εργασίες μέσω του Διαδικτύου) Ο υπολογιστής μας μπορεί να γίνει θύμα δραστηριότητας αυτοματοποιημένων προγραμμάτων (trojan) που ελέγχονται από τους κακόβουλους χρήστες μέσω botnet, με σκοπό: - Την αποστολή ανεπιθύμητης αλληλογραφίας, εν αγνοία μας, αλλά με το όνομά μας, σε εκατομμύρια χρήστες σε όλο τον κόσμο. - Την χρήση του ως μέλος μιας ευρείας διαμοιρασμένης επίθεσης άρνησης υπηρεσιών (DDOS) σε ιστοσελίδες και υπηρεσίες, εν αγνοία μας, αλλά με την υπογραφή μας. - Την χρήση του υπολογιστή μας ως μέρος μια καλοστημένης απάτης που κατευθύνει ανυποψίαστους χρήστες, σε ανύπαρκτες υπηρεσίες που συνδέονται με εμάς, χωρίς την άδεια μας και τελικό σκοπό παράνομες δραστηριότητες. - Την χρήση του υπολογιστή μας, ως ενδιάμεσο ή τελικό κόμβο ενός δικτύου διακομιστών μεσολάβησης (proxy server) για ανώνυμη (από την πλευρά του κακού) πλοήγηση στο Διαδίκτυο, αφού στην πραγματικότητα καταγράφεται η δική μας ηλεκτρονική διεύθυνση. - Την αυτόματη επίλυση των εικόνων απεικόνισης ασφαλείας CAPTCHA για παράνομη πρόσβαση σε δικτυακούς τόπους (ιστοσελίδες), εν αγνοία μας. Μίμηση της διαδικτυακής ταυτότητας μας Ο κακόβουλος χρήστης μπορεί να αποκτήσει πρόσβαση στην διαδικτυακή μας ταυτότητα και να κάνει διαδικτυακές απάτες ή να την πουλήσει κάνοντας χρήση των: - Λογαριασμών μας σε κάποιο (ή όλα) από τα Facebook, Twitter, LinkedIn,, Google+ κλπ, όπου έχουμε αναπτύξει τις διαδικτυακές μας γνωριμίες και φιλίες. - Των λογαριασμών ηλεκτρονικού μας ταχυδρομείου (e-mail). - Των λογαριασμών προγραμμάτων επικοινωνίας, όπως Skype, Messenger, Viber κλπ. Προσωπικός Εκβιασμός Εάν ο υπολογιστής μας έχει πέσει θύμα κακόβουλου χρήστη, τότε αυτός μπορεί να μας εκβιάσει είτε για κάποιο χρηματικό ποσό, είτε για άλλες υπηρεσίες, είτε για εκδίκηση με: - Φωτογραφίες που τυχόν βρει στον υπολογιστή μας και μας εκθέτουν. - Φωτογραφίες που μπορεί να πάρει με τη χρήση της κάμερας του υπολογιστή μας, Σελίδα 5 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 εν αγνοία μας. - Κρυπτογράφηση μέρους αρχείων ή ολόκληρου του σκληρού μας δίσκου, ώστε να μην είναι προσπελάσιμα αυτά από εμάς. - Καταγραφή των ιστοσελίδων που επισκεπτόμαστε και την απειλή δημοσιοποίησης τους. - Αλλαγή των κωδικών πρόσβασης στους διαδικτυακούς λογαριασμούς μας. - Την προβολή ψεύτικων αποτελεσμάτων ελέγχου αντιικών προγραμμάτων (Fake antivirus). Χρήση του προσωπικού μας υπολογιστή ως Διακομιστής δικτύου Ο υπολογιστή μας μπορεί να μετατραπεί σε διακομιστή δικτύου, εν αγνοία μας, και να χρησιμοποιηθεί: - Ως εξυπηρετητής (server) ιστοσελίδων υποκλοπής προσωπικών δεδομένων τρίτων. - Ως εξυπηρετητής (server) λογισμικού επιθέσεων ή κακόβουλου λογισμικού. - Ως διακομιστής πειρατικού (παράνομου) υλικού, όπως αρχείων μουσικής, ταινιών, λογισμικού ή παιδικής πορνογραφίας. Επίλογος Όπως μπορούμε να διαπιστώσουμε, υπάρχουν πάρα πολλοί λόγοι, για τους οποίους κάποιος άγνωστος προς εμάς, να ενδιαφέρεται για τον προσωπικό μας υπολογιστή. Στην συνέχεια περιγράφουμε τον τρόπο με τον οποίο μπορεί κάποιος να αποκτήσει πρόσβαση σε έναν υπολογιστή. Τεχνικές Απόκτησης πρόσβασης Για να αποκτήσει κάποιος κακόβουλος χρήστης πρόσβαση σε έναν υπολογιστή θα πρέπει να εφαρμόσει μία από τις παρακάτω τεχνικές: Εκμετάλλευση αδυναμιών (Server Side Exploitation). Κάθε εφαρμογή, λειτουργικό σύστημα και γενικά κάθε πρόγραμμα δεν είναι τίποτα άλλο από χιλιάδες γραμμές κώδικα. Οι κακόβουλοι χρήστες αναζητούν αδυναμίες στις γραμμές κώδικα, τις οποίες εκμεταλλεύονται για να αποκτήσουν πρόσβαση σε ένα πληροφοριακό σύστημα, ξεπερνώντας έτσι τα συστήματα και μέτρα ασφαλείας. Brute Forcing (Επαναλαμβανόμενη δοκιμή συνθηματικών). Αν κάποιος έχει αδύναμο συνθηματικό ή συνθηματικό μια λέξη που βρίσκεται σε ένα λεξικό, τότε εύκολα κάποιος κακόβουλος χρήστης μπορεί να μαντέψει το συνθηματικό με την χρήση αυτόματων εργαλείων (ncrack, Hydra, medusa). Επίθεση τελικού χρήστη (Client side attack). Με αυτή την τεχνική ένας επιτιθέμενος μπορεί να ξεπεράσει τα συστήματα ασφαλείας που έχει ένα δίκτυο ή ένας Σελίδα 6 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 απλός χρήστης και με την εκμετάλλευση μιας αδυναμίας είτε στον Browser, είτε στον email client, είτε στις εφαρμογές που καλεί ο Browser και ο email client. Social engineering είναι μία τεχνική που χρησιμοποιείται για να παραπλανηθεί ένας χρήστης, να κάνει μία ενέργεια που κάτω από άλλες συνθήκες δεν θα έκανε και έτσι ο επιτιθέμενος να αποκτήσει πρόσβαση στον υπολογιστή του και κατά συνέπεια στο δίκτυο. Αντίμετρο σε αυτές τις επιθέσεις είναι η καθημερινή ενημέρωση τόσο σε προσωπικό επίπεδο όσο και σε επίπεδο προγραμμάτων. Ο καλύτερος τρόπος να προστατευτούμε από κυβερνοεπιθέσεις είναι να διαθέτουμε δύο υπολογιστές. Ένας γυμνός δεν θα έχει τίποτα αποθηκευμένο και θα έχει απλά έναν φυλλομετρητή για πλοήγηση στο διαδίκτυο, θα έχει antivirus και firewall και όλες τις ενημερώσεις. Ο δεύτερος υπολογιστής δεν θα συνδεθεί ποτέ στο διαδίκτυο, θα έχει όλες τις απαραίτητες εφαρμογές για να εργαστούμε, θα έχει antivirus και firewall, τα οποία μπορούν να ενημερωθούν εκτός δικτύου (offline updates). Επιθυμητό θα ήταν να αποσυνδέσουμε και κάθε υλικό (κάρτες δικτύου - bluetooth) που πραγματοποιούν συνδέσεις. Βασικό είναι να διαθέτουμε μία προσωπική πολιτική ασφαλείας και σωστής χρήσης του υπολογιστή μας, τόσο στον χώρο εργασία μας όσο και στο σπίτι μας, που θα περιλαμβάνει τους παρακάτω κανόνες: 1. Χρησιμοποιούμε μόνο νόμιμο λογισμικό ή λογισμικό ανοικτού κώδικα (Open Source), για να μπορούμε να πραγματοποιούμε τις ενημερώσεις (updates). 2. Ενημερώνουμε καθημερινά το λογισμικό με τις τελευταίες ενημερώσεις ασφαλείας (Security Updates, Patches, κλπ) ή αντικαθιστούμε το λογισμικό κάθε φορά με την νεώτερη έκδοσή του. 3. Χρησιμοποιούμε λογισμικό προστασίας (Anti-Virus, Firewall και AntiSpyware), τα οποία ενημερώνουμε καθημερινά. 4. Χρησιμοποιούμε πολύπλοκα Συνθηματικά (Passwords), διαφορετικά σε κάθε λογαριασμό ή εφαρμογή και δεν είναι λέξη που περιλαμβάνετε σε λεξικό. 5. Δεν αποθηκεύουμε Συνθηματικά σε αρχεία του Η/Υ ή στον φυλλομετρητή (Browser) και δεν τα αποκαλύπτουμε σε κανέναν. 6. Δεν ακολουθούμε (κάνουμε κλικ) τους συνδέσμους-διευθύνσεις (LinksURLs) που μας αποστέλλονται με EMail ή Instant Messaging, αν δεν είμαστε σίγουροι για τον αποστολέα και την ασφάλεια του περιεχομένου. 7. Προσέχουμε τις διευθύνσεις (url) που πλοηγούμαστε, να είναι οι σωστές και όχι κάποιες παραπλανητικές. 8. Δεν ανοίγουμε επισυναπτόμενα αρχεία σε Emails, αν δεν είμαστε σίγουροι για την ασφάλεια του περιεχομένου. 9. Κρυπτογραφούμε προσωπικά και ευαίσθητα δεδομένα. Σελίδα 7 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 10. Ελέγχουμε συχνά τις εξωτερικές αποθηκευτικές συσκευές (π.χ. USB Drives) για μολυσμένα αρχεία. 11. Δεν αποθηκεύουμε, επεξεργαζόμαστε ή διακινούμε Διαβαθμισμένες πληροφορίες σε Αδιαβάθμητο δίκτυο (π.χ. Internet). 12. Προσέχουμε τα κοινωνικά δίκτυα, δεν αποκαλύπτουμε πληροφορίες που αφορούν την εργασία μας. 13. Αν για κάτι αμφιβάλλουμε, το απορρίπτουμε. Παράδειγμα, αν δεν είμαστε σίγουροι για το άνοιγμα ενός email, τότε το διαγράφουμε. 14. Αν μία εφαρμογή δεν την χρειαζόμαστε τότε την καταργούμε (απεγκατάσταση προγράμματος). Με αυτό τον τρόπο μειώνουμε την επιφάνεια επίθεσης στον υπολογιστή μας. Τα κεφάλαια που ακολουθούν, περιγράφουν τα τεχνικά βήματα που πρέπει να ακολουθήσει κάποιος χρήστης για να αυξήσει την ασφάλεια του υπολογιστή του και να μετριάσει τον κίνδυνο από κυβερνοεπιθέσεις. Απόλυτη ασφάλεια δεν υπάρχει, ωστόσο θα πρέπει να είμαστε σε θέση να αναγνωρίζουμε τις επιθέσεις και να τις αντιμετωπίζουμε έγκαιρα. Σελίδα 8 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Ασφαλής ρύθμιση-χρήση λειτουργικού συστήματος Windows XP Συμβουλές για ασφαλή ρύθμιση και χρήση ενός Windows XP λειτουργικού συστήματος. Σελίδα 9 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Συμβουλές για ασφαλή ρύθμιση και χρήση ενός windows XP λειτουργικού συστήματος. Αρχική παραμετροποίηση λειτουργικού συστήματος Απαραίτητη προϋπόθεση ασφαλείας για τα Windows XP είναι να έχουμε εγκατεστημένο το service pack 3. Δημιουργία αντιγράφου ασφαλείας. Το πρώτο βήμα μετά την εγκατάσταση του λειτουργικού συστήματος Windows XP και μόλις ολοκληρώσουμε όλες τις ενημερώσεις, για όλα τα προγράμματα, είναι η δημιουργία αντιγράφου ασφαλείας. Υπάρχουν πολλές δωρεάν εφαρμογές όπως το DriveImage XML (http://www.runtime.org/driveimage-xml.htm) και το paragon (http://www.paragon-software.com/home/br-free/). Δημιουργούμε το αντίγραφο ασφαλείας, ώστε στην περίπτωση που θεωρήσουμε πως έχουμε μολυνθεί από κάποιο ιό και δεν μπορούμε να τον αντιμετωπίσουμε αποτελεσματικά, τότε αποκαθιστούμε μία καθαρή έκδοση του λειτουργικού μας με την χρήση αυτού του αντιγράφου. Βασική προϋπόθεση είναι το αντίγραφο ασφαλείας να έχει αποθηκευθεί σε εξωτερικό μέσο. Ορισμός περιοδικών σημείων επαναφοράς. Για την αποφυγή της παραπάνω χρονοβόρας και ολικής δημιουργίας αντιγράφου ασφαλείας, μπορούμε να κάνουμε χρήση σημείων επαναφοράς για την προστασία των δεδομένων μας. Μπορούμε να πραγματοποιούμε συχνά αντίγραφα (backup) ασφαλείας με την ενσωματωμένη εφαρμογή ntbackup.exe. Μπορούμε να την εκτελέσουμε με την ακόλουθη διαδικασία: Επιλέγουμε start --> run, γράφουμε ntbackup.exe και επιλέγουμε enter. Εμφανίζεται η παρακάτω εικόνα. Ακολουθώντας τον οδηγό (wizard) μπορούμε να πραγματοποιήσουμε αντίγραφα ασφαλείας. Εικόνα 1 - Αντίγραφα ασφαλείας Σελίδα 10 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Ρυθμίσεις χρηστών Συνθηματικό χρήστη (password) Θα πρέπει το συνθηματικό να ικανοποιεί κάποιες βασικές απαιτήσεις ασφαλείας. Θα πρέπει να είναι πολύπλοκο, να έχει δηλαδή διάφορα σύμβολα (κεφαλαία μικρά, ειδικούς χαρακτήρες και κενά), να έχει μήκος τουλάχιστον 8 χαρακτήρων, να μην είναι λέξη που υπάρχει σε λεξικό, ούτε κάποια ημερομηνία (πχ γέννησης), ενώ για κάθε λογαριασμό θα πρέπει να υπάρχει διαφορετικό συνθηματικό. Μια καλή πολιτική είναι να αλλάζουμε συνθηματικό συχνά (κάθε 60 μέρες), να μην εφαρμόζουμε το ίδιο δεύτερη φορά και να κλειδώνει ο λογαριασμός μας μετά από τρεις αποτυχημένες προσπάθειες σύνδεσης για 30 λεπτά. Ένα παράδειγμα ισχυρού συνθηματικού είναι: Isx1r0_P@ssW0rd!@# Σχετικοί σύνδεσμοι: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/enus/usercpl_change_password.mspx?mfr=true http://en.wikipedia.org/wiki/password_strength Εικόνα 2 - Ρυθμίσεις συνθηματικών Σελίδα 11 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Δικαιώματα χρήστη. Όσο ισχυρός και να είναι ο κωδικός χρήστη, δεν θα πρέπει ποτέ να χρησιμοποιούμε κάποιον χρήστη που έχει επαυξημένα δικαιώματα. Για το λόγο αυτό, δημιουργούμε έναν χρήστη με περιορισμένα δικαιώματα (standard user) και εργαζόμαστε πάντα με αυτό τον λογαριασμό. Στην περίπτωση που θέλουμε να εγκαταστήσουμε μία εφαρμογή και αυτή χρειάζεται administrator δικαιώματα, τότε κάνουμε δεξί click πάνω στην εφαρμογή και επιλέγουμε run as administrator όπως φαίνεται και στην διπλανή εικόνα. Θα μας ζητηθεί να δώσουμε το συνθηματικό του administrator. Έτσι, με αυτό τον τρόπο, αποφεύγουμε την πιθανή εγκατάσταση κακόβουλου λογισμικού που απαιτεί πλήρη δικαιώματα. Κρυπτογράφηση δεδομένων. Για την μέγιστη ασφάλεια των δεδομένων μας είναι απαραίτητη η κρυπτογράφησή τους, ώστε εάν κάποιος μας κλέψει το laptop ή τον εξωτερικό σκληρό δίσκο, δεν θα μπορέσει να ανακτήσει τα δεδομένα μας. Για να κρυπτογραφήσουμε κάποιο μέσο, είτε ολόκληρο είτε τμήμα του, υπάρχουν διάφορες εφαρμογές. Μια ενσωματωμένη στα Windows XP είναι το EFS (Encrypting File System), με την προϋπόθεση ότι η διαμόρφωση του μέσου είναι σε NTFS. Εικόνα 3 - Δικαιώματα χρήστη Επιλέγουμε Start, All Programs, Accessories, Windows Explorer. Βρίσκουμε το αρχείο που θέλουμε να κρυπτογραφήσουμε, κάνουμε δεξί κλικ πάνω του και επιλέγουμε Properties. Στην καρτέλα General, επιλέγουμε Advanced. Κάτω από το Compress or Encrypt attributes, επιλέγουμε το Encrypt contents to secure data check box και πατάμε OK. Αν το αρχείο (file) βρίσκεται σε έναν μη κρυπτογραφημένο φάκελο θα μας ρωτήσει αν θέλουμε να κρυπτογραφήσουμε μόνο το αρχείο ή όλο τον φάκελο. Μια άλλη δωρεάν εφαρμογή είναι το truecrypt. Ένα θετικό με το truecrypt, είναι πως μπορούμε να το έχουμε σε διαφορετικά λειτουργικά συστήματα και έτσι να επεξεργαζόμαστε παντού τα δεδομένα μας. Αφού εγκαταστήσουμε το truecrypt (http://www.truecrypt.org/downloads), επιλέγουμε Create Volume και ξεκινά ο οδηγός TrueCrypt Volume Creation Wizard. Κάνουμε κλικ στην πρώτη επιλογή create an encrypted file container, επιλέγουμε standard TrueCrypt volume και πατάμε NEXT. Με Select File επιλέγουμε που θέλουμε να δημιουργηθεί το container, πώς θα το ονομάσουμε και σώζουμε με save. Στη συνέχεια επιλέγουμε τον αλγόριθμο (AES), το μέγεθος του φακέλου, ένα συνθηματικό και αφού το επιβεβαιώσουμε θα ξεκινήσει η διαδικασία της διαμόρφωσης (format). Με το τέλος της διαδικασίας διαμόρφωσης, θα έχει δημιουργηθεί και ο κρυπτογραφημένος φάκελος. Για να τον ανοίξουμε, επιλέγουμε select file> mount και δίνουμε το συνθηματικό μας. Σελίδα 12 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Εικόνα 4 - TrueCrypt Ασφαλής διαγραφή δεδομένων Η διαδικασία αποστολής δεδομένων στο καλάθι αχρήστων και το άδειασμα αυτού, δεν διαγράφει τα δεδομένα, αλλά διαγράφει τον σύνδεσμο σε αυτά, ο οποίος μας δείχνει που είναι αποθηκευμένα. Για να διαγράψουμε αποθηκευμένα δεδομένα από κάποια μνήμη, θα πρέπει πάνω τους να γράψουμε και να διαγράψουμε τυχαία δεδομένα, τουλάχιστον μία φορά. Μία δωρεάν εφαρμογή που μπορούμε να χρησιμοποιήσουμε είναι το eraser. (http://www.heidi.ie/eraser/download.php). Εικόνα 5 - Ασφαλής διαγραφή δεδομένων με το λογισμικό Eraser Σελίδα 13 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Ρυθμίσεις συστήματος Αυτόματη εκτέλεση (autorun) Η συγκεκριμένη λειτουργία, παρότι παρέχει διευκολύνσεις στη χρήση διάφορων μέσων (cd, dvd, usb sticks, hards disks), ενέχει πολλούς κινδύνους. Συγκεκριμένα, με την εισαγωγή κάποιου μολυσμένου μέσου, θα γίνει αυτόματη εκτέλεση του κακόβουλου λογισμικού, χωρίς να ερωτηθούμε. Για το λόγο αυτό θα πρέπει να απενεργοποιηθεί η συγκεκριμένη λειτουργία. Επιλέγουμε start, run, πληκτρολογούμε gpedit.msc και πατάμε enter. Στο Local Computer Policy, επεκτείνουμε το Computer Configuration, κατόπιν επεκτείνουμε τα (expand) Administrative Templates και στην συνέχεια επιλέγουμε System. Στη συνέχεια στο settings pane κάνουμε δεξί κλικ στο Turn off Autoplay και επιλέγουμε Properties, Enabled. Στο Turn off Autoplay box επιλέγουμε All drives για να απενεργοποιήσουμε το autorun σε όλους τους δίσκους. Με OK κλείνουμε το Turn off Autoplay Properties dialog box. Τέλος, για να εφαρμοστούν οι ρυθμίσεις θα πρέπει να κάνουμε επανεκκίνηση στον υπολογιστή. Πλέον, δεν γίνεται αυτόματη εκτέλεση σε καμία συσκευή μας. Εάν διαπιστώσετε ότι σε κάποια συσκευή σας εμφανίζεται το αρχείο autorun.inf, τότε υπάρχει μεγάλη πιθανότητα αυτή να είναι μολυσμένη με κάποιο κακόβουλο λογισμικό. Το άνοιγμα του αρχείου αυτού με έναν απλό text editor θα μας υποδείξει ποιο είναι αυτό το κακόβουλο λογισμικό. Εικόνα 6 - autorun.inf Κοινόχρηστα αρχεία και φάκελοι. Όταν εργαζόμαστε με κοινόχρηστους φακέλους θα πρέπει να χρησιμοποιούμε συνθηματικό και να επιτρέπεται μόνο η ανάγνωσή τους (read only) και όχι η επεξεργασία των δεδομένων τους. Και αυτό διότι αν δεν έχουμε ρυθμίσει σωστά το file sharing, κάποιος κακόβουλος χρήστης με πρόσβαση στο δίκτυο μπορεί να πάρει όλα τα δεδομένα που έχουμε σε αυτόν ή ακόμη και να τοποθετήσει κακόβουλο λογισμικό ώστε να παραπλανήσει το χρήστη και να το εκτελέσει ο ίδιος ή, με την χρήση του scheduler. Σελίδα 14 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Θα πρέπει να έχουμε απενεργοποιημένο το file sharing. Η διαδικασία που ακολουθούμε είναι: επιλέγουμε Start, My Computer. Στο Tools menu, επιλέγουμε Folder Options και εμφανίζεται το παρακάτω παράθυρο. Στην καρτέλα View, στις ρυθμίσεις Advanced Settings από-επιλέγουμε το Use simple file sharing (Recommended) check box και πατάμε OK. Εικόνα 7 - Κοινόχρηστα αρχεία και φάκελοι Καταλήξεις αρχείων Πολλά κακόβουλα προγράμματα εκμεταλλεύονται την απόκρυψη των καταλήξεων αρχείων που έχει εξ ορισμού το λειτουργικό σύστημα Windows για να δράσουν. Για να την απενεργοποιήσουμε επιλέγουμε Start, My Computer, στο Tools menu, επιλέγουμε Folder Options, στο παράθυρο που εμφανίζεται επιλέγουμε την καρτέλα View, στα Advanced Settings από-επιλέγουμε το "Hide extensions for known file types" check box και πατάμε OK. Εικόνα 8 - Καταλήξεις αρχείων Σελίδα 15 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Εμφάνιση κρυφών αρχείων Πολλές επιθέσεις βασίζονται στο γεγονός ότι το λειτουργικό σύστημα Windows αποκρύπτει εξ ορισμού κάποια αρχεία του συστήματος. Η διαδικασία που ακολουθούμε για να βλέπουμε τα κρυφά αρχεία είναι η παρακάτω: Επιλέγουμε Start, My Computer, στο Tools menu, επιλέγουμε Folder Options. Στο παράθυρο που εμφανίζεται επιλέγουμε την καρτέλα View. Στα Advanced Settings επιλέγουμε το "Show hidden files and folders" check box και πατάμε OK. Εικόνα 9 - Εμφάνιση κρυφών αρχείων Υπηρεσίες Πρέπει να γνωρίζουμε ποιες υπηρεσίες (services) εκτελούνται στον υπολογιστή και για ποιο λόγο. Εάν κάποια υπηρεσία εκτελείται χωρίς να την χρειαζόμαστε, τότε αυτή καταναλώνει πόρους του συστήματος και ενέχει κινδύνους εκμετάλλευσης της. Η διαδικασία που ακολουθούμε για να δούμε ποιες υπηρεσίες τρέχουν στον υπολογιστή μας είναι η παρακάτω: Επιλέγουμε start, run, πληκτρολογούμε services.msc και πατάμε enter. Στην οθόνη εμφανίζεται το διπλανό παράθυρο. Εικόνα 10 - Υπηρεσίες Σελίδα 16 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Σε αυτό μπορούμε να διακρίνουμε ποιες υπηρεσίες έχουν ξεκινήσει. Δεν θα πρέπει να εκτελούνται οι υπηρεσίες telnet, FTP και remote desktop, διότι αυτές μπορούν να χρησιμοποιηθούν κακόβουλα για την εκμετάλλευση του υπολογιστή (δημιουργία back door). Οι υπηρεσίες του συστήματος που θα πρέπει να είναι απενεργοποιημένες φαίνονται στην παρακάτω λίστα: Service Name Default Startup Type Alerter Disabled Background Intelligent Transfer Service Manual ClipBook Disabled Computer Browser Disabled Error Reporting Service Disabled Fast User Switching Compatibility Disabled Fax Disabled Ftp Publishing Service Disabled IIS Admin Service Disabled Indexing Service Disabled IPv6 Helper Service Disabled Messenger Disabled NetMeeting Remote Desktop Sharing Disabled Network DDE Disabled Network DDE DSDM Disabled Routing and Remote Access Disabled Simple Network Management Protocol (SNMP) Service Disabled Simple Network Management Protocol (SNMP) Trap Disabled SSDP Discovery Service Disabled Task Scheduler Disabled Telnet Disabled Terminal Services Disabled Universal Plug and Play Device Host Disabled WebClient Disabled Wireless Zero Configuration Disabled WMI Performance Adapter Disabled World Wide Web Publishing Service Disabled Σελίδα 17 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Προστασίες Φυσική ασφάλεια Παρότι δεν υπάρχει απόλυτος τρόπος προστασίας του υπολογιστή, οι παρακάτω συμβουλές σίγουρα θα δυσκολέψουν οποιονδήποτε αποκτήσει φυσική πρόσβαση σε αυτόν. Πρώτα από όλα, προστατεύουμε το BIOS με συνθηματικό κωδικό και αφαιρούμε από το μενού εκκίνησης την επιλογή να γίνει boot με άλλο μέσο πλην του σκληρού μας δίσκου. Έτσι, δεν επιτρέπουμε σε κανέναν κακόβουλο χρήστη να μπει σε αυτό και να αλλάξει τις ρυθμίσεις του για να εκκινήσει τον υπολογιστή μας, με τη χρήση CD, DVD ή USB, με άλλο λειτουργικό σύστημα και να υποκλέψει τα δεδομένα μας ή και να αλλάξει το συνθηματικό μας και να έχει στην συνέχεια πλήρη πρόσβαση στον υπολογιστή μας. Επίσης, όταν απομακρυνόμαστε από τον χώρο εργασίας μας, ο υπολογιστής μας να έχει συνθηματικό στο screen saver, για την προστασία από κακόβουλους χρήστες. (Σχετικός σύνδεσμος: http://www.geo.umn.edu/computer/win_password.html). Κακόβουλο λογισμικό Η χρήση λογισμικού antivirus και anti spyware είναι επιβεβλημένη λόγω της πληθώρας των κακόβουλων προγραμμάτων που κυκλοφορούν στο διαδίκτυο. Εκτός από τα εμπορικά προγράμματα (που απαιτούν αγορά του προϊόντος), μπορούμε να χρησιμοποιήσουμε και δωρεάν λογισμικά, όπως: - MS Security Essentials (http://windows.microsoft.com/en-us/windows/products/ security-essentials) - AVG (http://free.avg.com/ww-en/free-antivirus-download) - AVAST (http://www.avast.com/free-antivirus-download) On-line έλεγχος για κακόβουλο λογισμικό Στην περίπτωση που έχουμε μία άγνωστη εφαρμογή ή URL ή αρχείο (.doc,.xls,.pdf) και έχουμε αμφιβολίες για το αν έχει ή όχι κακόβουλο κώδικα, τότε μπορούμε να το ανεβάσουμε (upload) σε on-line υπηρεσίες που το ελέγχουν με μία σειρά αντι-ιϊκών, να μας δοθεί μία αναφορά αν είναι ύποπτο ή όχι. Σχετικοί σύνδεσμοι: http://www.virustotal.com http://virusscan.jotti.org/en http://vscan.novirusthanks.org/ Στην περίπτωση που έχουμε εντοπίσει ένα εκτελέσιμο αρχείο (.exe), το οποίο δεν το αναγνωρίζουμε, μπορούμε εκτός από την παραπάνω διαδικασία, να το ανεβάσουμε σε online sandboxes, τα οποία πραγματοποιούν ανάλυση συμπεριφοράς, για το τι ακριβώς αυτό κάνει. Σχετικοί σύνδεσμοι: http://anubis.iseclab.org/ http://www.threatexpert.com/submit.aspx http://www.threattrack.com/ http://wepawet.iseclab.org/ Σελίδα 18 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Προστασία από ανιχνεύσεις (scanning) Για μεγαλύτερη ασφάλεια, πρέπει να χρησιμοποιούμε Firewall. Φροντίζουμε ώστε το Firewall των Windows να είναι ενεργοποιημένο. Η χρήση του είναι ιδιαίτερα σημαντική, ειδικά αν έχουμε laptop και συνδεόμαστε σε δίκτυα που δεν γνωρίζουμε. Έτσι, αποφεύγουμε τυχόν επιθέσεις από τρίτους που είναι συνδεδεμένοι στο ίδιο δίκτυο. Προστασία συνθηματικών στο διαδίκτυο Δεν πρέπει να επιτρέπουμε στον browser να θυμάται τα συνθηματικά πρόσβασης σε σελίδες. Αν κάποιος κακόβουλος χρήστης αποκτήσει πρόσβαση στον υπολογιστή μας, τότε πολύ εύκολα μπορεί να ανακτήσει τα συνθηματικά μας που έχει αποθηκεύσει ο browser. Εικόνα 11 Ρυθμίσεις Firewall Προστασία τοπικών συνθηματικών χρήστη Στην περίπτωση που κάποιος κακόβουλος χρήστης αποκτήσει το κρυπτογραφημένο από το λειτουργικό σύστημα συνθηματικό κάποιου χρήστη, μπορεί εύκολα να το αποκρυπτογραφήσει εάν αυτό έχει κρυπτογραφηθεί με το LMHASH. Η διαδικασία που ακολουθούμε για να το απενεργοποιήσουμε είναι η παρακάτω: Επιλέγουμε start, run, πληκτρολογούμε gpedit.msc και πατάμε enter. Στο Local Computer Policy, πηγαίνουμε στη θέση Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options όπως φαίνεται και στην παρακάτω εικόνα. Εικόνα 12 - Ρυθμίσεις συνθηματικών χρήστη Σελίδα 19 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Στη λίστα με τις διαθέσιμες πολιτικές (policies), κάνουμε διπλό κλικ στο Network security: Do not store LAN Manager hash value on next password change. Στο παράθυρο που εμφανίζεται επιλέγουμε Enabled και στην συνέχεια OK. Εφαρμογές Πώς εκτελούμε μία άγνωστη εφαρμογή Στην περίπτωση που δεν είμαστε σίγουροι για κάποια εφαρμογή, μπορούμε να την εκτελέσουμε μέσα από ένα περιοριστικό περιβάλλον (sandbox), όπως το sandboxie (http://www.sandboxie.com/). Με αυτόν τον τρόπο πετυχαίνουμε να μην γίνουν μόνιμες εγγραφές στον δίσκο μας και αν δούμε πως πρόκειται για κακόβουλο λογισμικό, απλά κλείνουμε το sandboxie, χωρίς να σώσουμε τις αλλαγές. Με το sandbox, μπορούμε να τρέξουμε και τον browser μας και έτσι να έχουμε ασφάλεια κατά την πλοήγηση μας στο διαδίκτυο. Εικόνα 13 - Sandboxie Έλεγχος ακεραιότητας Για να είμαστε σίγουροι ότι το λογισμικό που κατεβάσαμε είναι όντως αυτό που θέλουμε και δεν έχει υποστεί κανενός είδους ψηφιακή αλλοίωση, θα πρέπει ο πάροχος του λογισμικού να μας δίνει την τιμή του ελέγχου ακεραιότητας για το πρόγραμμά του, μαζί με τον αλγόριθμο που χρησιμοποίησε για την εξαγωγή αυτής. Έτσι, αφού κατεβάσουμε το λογισμικό, κάνοντας χρήση κατάλληλου προγράμματος, όπως το MD5 Check (http://angusj.com/delphi/md5check_setup.exe), ελέγχουμε την ακεραιότητα του αρχείου. Εικόνα 14 - MD5 Check Σελίδα 20 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Αλγόριθμοι ελέγχου ακεραιότητας είναι οι md5, sha1, pgp. Στην παρακάτω εικόνα φαίνεται ένα παράδειγμα. PGP Αλγόριθμος Εικόνα 15 - Αλγόριθμοι ελέγχου ακεραιότητας Παρακολούθηση λειτουργίας συστήματος Ενημερώσεις συστήματος και εφαρμογών Για να έχουμε ένα καλό επίπεδο ασφάλειας, θα πρέπει τόσο το λειτουργικό σύστημα, όσο και οι εφαρμογές, που είναι εγκατεστημένες στον υπολογιστή μας, να πραγματοποιούν καθημερινά ενημερώσεις. Θα πρέπει κάθε εφαρμογή να είναι νόμιμη, ώστε να μπορεί απρόσκοπτα να ενημερώνεται. Κάθε εφαρμογή, όπως είναι και το λειτουργικό σύστημα, δεν είναι παρά γραμμές κώδικα. Ένας κακόβουλος χρήστης μπορεί να εντοπίσει αδυναμίες στον κώδικα, να γράψει ένα exploit και να ξεπεράσει με αυτό όλα τα συστήματα ασφαλείας μας. Για να εξαλειφθούν αυτές οι αδυναμίες, οι διάφοροι κατασκευαστές λογισμικού, εκδίδουν ενημερώσεις περιοδικά ή κάθε φορά που εντοπιστεί μία αδυναμία. Η secunia μας δίνει δωρεάν μία εφαρμογή την Personal Software Inspector (PSI), (http://secunia.com/vulnerability_scanning/personal/). Κάνοντας χρήση αυτού του λογισμικού, θα ειδοποιούμαστε κάθε φορά που κάποια από τις εφαρμογές μας χρειάζεται ενημέρωση ή υπάρχει μία νέα έκδοση. Σελίδα 21 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Στα windows XP για να έχουμε καθημερινό επίπεδο ενήμερο το λειτουργικό σύστημα, ενεργούμε ως εξής: Επιλέγουμε start, δεξί click στο my computer, properties, automatic updates. σε Εικόνα 16.1 - Ενημερώσεις Επιβεβαιώνουμε, όπως αναφέρθηκε και αρχικά, ότι έχουμε εγκαταστήσει το service pack 3, ως εξής: Επιλέγουμε start, run και πληκτρολογούμε winver.exe. Θα πρέπει να δούμε μία εικόνα όπως η διπλανή, η οποία θα πρέπει να μας δείχνει πως έχουμε εγκατεστημένο το service pack 3. Σε διαφορετική περίπτωση θα πρέπει να το εγκαταστήσουμε άμεσα από τα windows updates. Εικόνα 16.2 - Service Pack Είναι σημαντικό κάθε εφαρμογή να είναι ενήμερη, όπως πχ το MS Office. Σελίδα 22 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Εικόνα 16.3 - Ενημερώσεις Τέλος, πολύ σημαντικό είναι να επισκεπτόμαστε καθημερινά ιστοσελίδες που μας ενημερώνουν για τις νέες τρωτότητες, ώστε να είμαστε ενήμεροι για τυχόν τρωτότητες που μπορεί να έχει το λειτουργικό μας σύστημα, αλλά και οι εγκατεστημένες εφαρμογές μας. Αν διαπιστώσουμε για παράδειγμα πως ο internet explorer έχει μία διαπιστωμένη τρωτότητα για την οποία δεν έχουν εκδοθεί οδηγίες ασφαλείας, τότε εργαζόμαστε με άλλον browser, μέχρι να αποκατασταθεί το πρόβλημα. Σχετικοί σύνδεσμοι: http://technet.microsoft.com/en-us/security/bulletin http://www.securityfocus.com/ http://en.wikipedia.org/wiki/exploit_%28computer_security%29 http://www.securiteam.com/ http://www.exploit-db.com/ Log files Στα windows XP υπάρχουν log files, στα οποία καταγράφονται πληροφορίες για το σύστημα (System log files), για τις εφαρμογές (Application log) και για την ασφάλεια (Security log). Ωστόσο, δεν είναι ενεργοποιημένα εξ ορισμού τα security loggings. Για να τα ενεργοποιήσουμε, ώστε από τη μελέτη τους να μπορούμε να εντοπίσουμε προσπάθειες εκμετάλλευσης του συστήματός μας από κακόβουλους χρήστες, όπως πχ επιθέσεις brute forcing (επίθεση ανάκτησης συνθηματικού), κάνουμε τα εξής: Επιλέγουμε στο Control Panel το Network Connections και με δεξί κλικ στην ενεργή μας σύνδεση επιλέγουμε Properties. Στην καρτέλα Advanced επιλέγουμε Settings. Στο νέο παράθυρο επιλέγουμε την καρτέλα Advanced και στο πεδίο Security Logging πατάμε Settings. Στο παράθυρο Log Settings τσεκάρουμε τις επιλογές Log dropped packets και Log successfull connections και πατάμε ΟΚ. Τα παραπάνω φαίνονται με τη σειρά στην παρακάτω εικόνα. Σελίδα 23 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Εικόνα 17.1 - Log Files Για να παρακολουθήσουμε τα log entries, χρησιμοποιούμε το πρόγραμμα Event Viewer, στην κονσόλα computer management. Επιλέγουμε start, run και πληκτρολογούμε compmgmt.msc και επιλέγοντας Event Viewer. Εικόνα 17.2 - Log Files Σελίδα 24 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Ενεργές συνδέσεις Για να δούμε τις συνδέσεις που πραγματοποιούμε στο διαδίκτυο ακολουθούμε την παρακάτω διαδικασία: Επιλέγουμε start, run, πληκτρολογούμε cmd.exe και πατάμε enter. Στο τερματικό δίνουμε την εντολή netstat -ano. Μπορούμε να ανοίξουμε τον task manager με τον συνδυασμό των πλήκτρων ctrl+alt+del και θα έχουμε την παρακάτω εικόνα. Εικόνα 18 - Συνδέσεις συστήματος Μπορούμε έτσι να διακρίνουμε ποιο πρόγραμμα κάνει ποιες συνδέσεις. Σελίδα 25 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Κάνοντας χρήση της εντολής nslookup σε κονσόλα, μπορούμε να δούμε την αντιστοιχία domain names και IP, όπως διακρίνουμε στην παρακάτω εικόνα: Εικόνα 19 - nslookup Είναι σημαντικό να προσέξουμε που συνδεόμαστε. Στην περίπτωση που μία IP αντιστοιχεί σε κάποιο ύποπτο ιστότοπο, τότε το πρόγραμμα/υπηρεσία που έχει κάνει τη σύνδεση είναι κακόβουλο. Έλεγχος ασφαλείας. Μπορούμε να πραγματοποιήσουμε έλεγχο ασφαλείας στον προσωπικό μας υπολογιστή με τη χρήση του δωρεάν λογισμικού Microsoft Baseline Security Analyzer (MBSA). Σχετικό link: http://technet.microsoft.com/en-us/security/cc184924. To MBSA 2.2 είναι δωρεάν λογισμικό για administrators, security auditors, και IT professionals και πραγματοποιεί security και vulnerability assessment ανιχνεύσεις. Εικόνα 20 - Microsoft Baseline Security Analyzer (MBSA) Σελίδα 26 από 144

ΕΚΔΟΣΗ 1.0 28-01-13 Για προχωρημένους χρήστες. Οι πιο έμπειροι χρήστες μπορούν, για ακόμα μεγαλύτερη ασφάλεια, να χρησιμοποιούν και τις παρακάτω μεθόδους, συνδυαστικά. Χρήση του εικονικού λειτουργικού συστήματος. Με την χρήση του Virtualbox, μπορούμε να εκτελούμε ένα λειτουργικό σύστημα μέσα σε ένα άλλο. Μπορούμε δηλαδή μέσα σε ένα XP λειτουργικό σύστημα να τρέχουμε μέσα από το virtualbox ένα άλλο windows XP, το οποίο χρησιμοποιούμε για να περιηγηθούμε στο διαδίκτυο. Αν μολυνθεί, απλά χρησιμοποιούμε ένα αντίγραφο το οποίο έχουμε δημιουργήσει στην αρχή, ή κάνοντας χρήση του snapshot. (https://www.virtualbox.org/wiki/downloads). Χρήση HIDS (Host Intrusion Detection System) Το HIDS (http://en.wikipedia.org/wiki/host-based_intrusion_detection_system), είναι λογισμικό το οποίο μας προστατεύει από τις κακόβουλες εξερχόμενες συνδέσεις και γενικά ζητά άδεια από τον χρήστη να επιτρέπει την σύνδεση ή όχι μιας εφαρμογής στο διαδίκτυο. Υπάρχουν δωρεάν HIDS (Host-based Intrusion Detection System), όπως το ossec και το zone alarm. http://www.ossec.net/main/downloads http://www.zonealarm.com/ Επίλογος Στην ασφάλεια υπάρχει ένας κανόνας, δεν υπάρχει απόλυτη ασφάλεια. Γι αυτό θα πρέπει να γνωρίζουμε καλά την χρήση του υπολογιστή μας, την χρήση του διαδικτύου και να επαγρυπνούμε συνεχώς. Μόνο με συνεχή ενημέρωση και επαγρύπνηση έχουμε ένα επιθυμητό επίπεδο ασφάλειας. Η ασφάλεια είναι αποτέλεσμα εκπαίδευσης - ενημέρωσης, εφαρμογής διαδικασιών και χρήσης κατάλληλης υποδομής και λογισμικού. Σελίδα 27 από 144

Windows 7 Συμβουλές για ασφαλή ρύθμιση και χρήση του Windows 7 λειτουργικού συστήματος Σελίδα 28 από 144

Συμβουλές για ασφαλή ρύθμιση και χρήση του Windows 7 λειτουργικού συστήματος Νέα χαρακτηριστικά του λειτουργικού συστήματος User Account Control Η λειτουργία User Account Control (UAC) Έλεγχος Λογαριασμού Χρήστη είναι αυτή η οποία, πριν την εγκατάσταση κάποιου λογισμικού ή το άνοιγμα κάποιων εφαρμογών που ενδεχομένως θα μπορούσαν να βλάψουν τον σταθμό εργασίας ζητά την άδεια για την εκτέλεσή τους. Ουσιαστικά η λειτουργία αυτή βοηθά στη διατήρηση του ελέγχου του υπολογιστή, παρέχοντας ενημέρωση όταν το πρόγραμμα εφαρμόζει μια αλλαγή για την οποία απαιτούνται δικαιώματα σε επίπεδο διαχειριστή. Εικόνα 1.1 - User Account Control (UAC)/Έλεγχος Λογαριασμού Χρήστη Εικόνα 1.2 - User Account Control (UAC)/Έλεγχος Λογαριασμού Χρήστη BitLocker Drive Encryption Μια ενσωματωμένη στο λειτουργικό επιλογή για ασφαλή κρυπτογράφηση δεδομένων είναι η υπηρεσία BitLocker η οποία πραγματοποιεί κρυπτογράφηση της μονάδας δίσκου που θα επιλέξετε. Το BitLocker έχει βελτιωθεί αρκετά στο Windows 7, ενώ διαθέσιμη είναι και η εφαρμογή BitLocker To Go η οποία κλειδώνει φορητές συσκευές. Περισσότερες λεπτομέρειες για το BitLocker μπορούμε να διαβάσουμε παρακάτω, στο πεδίο Κρυπτογράφηση δεδομένων BitLocker Drive Encryption Σελίδα 29 από 144

Αρχική παραμετροποίηση λειτουργικού συστήματος Δημιουργία αντιγράφου ασφαλείας. Το πρώτο βήμα μετά την εγκατάσταση του λειτουργικού συστήματος Windows 7 και μόλις ολοκληρώσουμε όλες τις ενημερώσεις, για όλα τα προγράμματα, είναι η δημιουργία αντιγράφου ασφαλείας. Για να δημιουργήσουμε ένα αντίγραφο ασφαλείας μπορούμε να χρησιμοποιήσουμε την ενσωματωμένη υπηρεσία του λειτουργικού συστήματος Backup And Restore ακολουθώντας την παρακάτω διαδικασία. Επιλέγουμε Start, Control Panel, System and Security, Backup and Restore και πατάμε Setup Backup. Εικόνα 2 - Δημιουργία αντιγράφου ασφαλείας. Στο παράθυρο Set up backup επιλέγουμε το μέσο στο οποίο θέλουμε να αποθηκεύσουμε το αντίγραφο ασφαλείας. Πρέπει πάντα να επιλέγουμε εξωτερικό ή δικτυακό μέσο αποθήκευσης. Υπάρχουν επίσης δωρεάν εφαρμογές όπως το DriveImage XML (http://www.runtime.org/driveimage-xml.htm) και το paragon (http://www.paragonsoftware.com/home/br-free/). Δημιουργούμε το αντίγραφο ασφαλείας, ώστε στην περίπτωση που θεωρήσουμε πως έχουμε μολυνθεί από κάποιον ιό και δεν μπορούμε να τον αντιμετωπίσουμε αποτελεσματικά, τότε αποκαθιστούμε με μία καθαρή εικόνα του υπολογιστή μας με την χρήση αυτού του αντιγράφου. Σελίδα 30 από 144

Ορισμός περιοδικών σημείων επαναφοράς. Για την αποφυγή της παραπάνω χρονοβόρας και ολικής δημιουργίας αντιγράφου ασφαλείας, μπορούμε να κάνουμε χρήση σημείων επαναφοράς για την προστασία των δεδομένων μας. Το λειτουργικό σύστημα δημιουργεί περιοδικά σημεία επαναφοράς χωρίς να χρειάζεται κάποια ενέργεια από τον χρήστη. Έτσι, επιλέγοντας την υπηρεσία Recovery (Start, Control Panel, All Control Panel Items, Recovery) και πατώντας το Open System Restore έχουμε τη δυνατότητα να επιλέξουμε κάποιο από τα διαθέσιμα σημεία επαναφοράς που θεωρούμε ασφαλέστερο. Εικόνα 3 - Ορισμός περιοδικών σημείων επαναφοράς. Ρυθμίσεις χρηστών Συνθηματικό χρήστη (password) Θα πρέπει το συνθηματικό που επιλέγουμε να ικανοποιεί κάποιες βασικές απαιτήσεις ασφαλείας. Θα πρέπει να είναι πολύπλοκο, να έχει δηλαδή διάφορα σύμβολα (κεφαλαία μικρά, ειδικούς χαρακτήρες και κενά), να έχει μήκος τουλάχιστον 8 χαρακτήρων, να μην είναι λέξη που υπάρχει σε λεξικό, ούτε κάποια ημερομηνία (πχ γέννησης), ενώ για κάθε λογαριασμό θα πρέπει να υπάρχει διαφορετικό συνθηματικό. Μια καλή πολιτική είναι να αλλάζουμε συνθηματικό συχνά (το πολύ κάθε 60 μέρες), να μην εφαρμόζουμε το ίδιο δεύτερη φορά και να κλειδώνει ο λογαριασμός μας μετά από 3 αποτυχημένες προσπάθειες σύνδεσης για 30 λεπτά. Ένα παράδειγμα ισχυρού συνθηματικού είναι: Isx1r0_P@ssW0rd!@# Σχετικοί σύνδεσμοι: http://windows.microsoft.com/en-us/windows-vista/change-your-windows-password http://en.wikipedia.org/wiki/password_strength Εικόνα 4 Παραμετροποίηση συνθηματικού Σελίδα 31 από 144

Δικαιώματα χρήστη. Όσο ισχυρός και να είναι ο κωδικός μας, δεν θα πρέπει ποτέ να χρησιμοποιούμε κάποιον χρήστη που έχει επαυξημένα δικαιώματα. Για το λόγο αυτό, δημιουργούμε έναν χρήστη με περιορισμένα δικαιώματα (standard user) και εργαζόμαστε πάντα με αυτό τον λογαριασμό. (Βλ. User Account Control) Στην περίπτωση που θέλουμε να εγκαταστήσουμε μία εφαρμογή και αυτή χρειάζεται administrator δικαιώματα, τότε κάνουμε δεξί κλικ πάνω στην εφαρμογή και επιλέγουμε run as administrator, όπως φαίνεται και στην διπλανή εικόνα. Θα μας ζητηθεί να δώσουμε το συνθηματικό του administrator. Έτσι, με αυτό τον τρόπο, αποφεύγουμε την πιθανή εγκατάσταση κακόβουλου λογισμικού που απαιτεί πλήρη δικαιώματα. Εικόνα 5 Δικαιώματα χρήστη Κρυπτογράφηση δεδομένων. Για την μέγιστη ασφάλεια των δεδομένων μας είναι απαραίτητη η κρυπτογράφησή τους, ώστε εάν κάποιος μας κλέψει το laptop ή τον εξωτερικό σκληρό δίσκο, να μην μπορέσει να ανακτήσει τα δεδομένα μας. Για να κρυπτογραφήσουμε κάποιο μέσο, είτε ολόκληρο είτε τμήμα του, υπάρχουν διάφορες εφαρμογές. Μια ενσωματωμένη στα Windows XP είναι το EFS (Encrypting File System), με την προϋπόθεση ότι η διαμόρφωση (format) του μέσου είναι σε NTFS. Επιλέγουμε Start, All Programs, Accessories, Windows Explorer. Βρίσκουμε το αρχείο που θέλουμε να κρυπτογραφήσουμε, κάνοντας δεξί κλικ πάνω του και επιλέγοντας Properties. Στην καρτέλα General, επιλέγουμε Advanced. Κάτω από το Compress or Encrypt attributes, επιλέγουμε το Encrypt contents to secure data check box και πατάμε OK. Αν το αρχείο (file) βρίσκεται σε έναν μη κρυπτογραφημένο φάκελο θα μας ρωτήσει αν θέλουμε να κρυπτογραφήσουμε μόνο το αρχείο ή όλο τον φάκελο. Εικόνα 6 Advanced Attributes Σελίδα 32 από 144

Μια άλλη δωρεάν εφαρμογή είναι το truecrypt. Ένα πλεονέκτημα του truecrypt, είναι ότι μπορούμε να το έχουμε σε διαφορετικά λειτουργικά συστήματα και έτσι να επεξεργαζόμαστε παντού τα δεδομένα μας. Αφού εγκαταστήσουμε το truecrypt (http://www.truecrypt.org/downloads), επιλέγουμε Create Volume και ξεκινά ο οδηγός TrueCrypt Volume Creation Wizard. Κάνουμε κλικ στην πρώτη επιλογή create an encrypted file container, επιλέγουμε standard TrueCrypt volume και πατάμε NEXT. Με Select File επιλέγουμε που θέλουμε να δημιουργηθεί το container, πώς θα το ονομάσουμε και σώζουμε με save. Στη συνέχεια επιλέγουμε τον αλγόριθμο (AES), το μέγεθος του φακέλου, ένα συνθηματικό και αφού το επιβεβαιώσουμε θα ξεκινήσει η διαδικασία της διαμόρφωσης (format). Με το τέλος της διαδικασίας διαμόρφωσης, θα έχει δημιουργηθεί και ο κρυπτογραφημένος φάκελος. Για να τον ανοίξουμε, επιλέγουμε select file> mount και δίνουμε το συνθηματικό μας. Εικόνα 7 - TrueCrypt BitLocker Drive Encryption Μια ενσωματωμένη στο λειτουργικό επιλογή για ασφαλή κρυπτογράφηση δεδομένων είναι η υπηρεσία BitLocker η οποία πραγματοποιεί κρυπτογράφηση της μονάδας δίσκου που θα επιλέξουμε. Από τη στιγμή που θα ενεργοποιηθεί, κάθε αρχείο που αποθηκεύουμε σε αυτή τη μονάδα θα κρυπτογραφείται αυτόματα. Είναι διαθέσιμο στις εκδόσεις Ultimate και Enterprise των Windows 7. Tο BitLocker To Go είναι μια νέα δυνατότητα των Windows 7 η οποία κλειδώνει φορητές συσκευές αποθήκευσης που είναι εύκολο να πέσουν σε λάθος χέρια, όπως μονάδες flash USB και εξωτερικές μονάδες σκληρού δίσκου. Σελίδα 33 από 144

Εικόνα 8 - BitLocker Ασφαλής διαγραφή δεδομένων Η διαδικασία αποστολής δεδομένων στο καλάθι αχρήστων και το άδειασμα αυτού, δεν διαγράφει τα δεδομένα, αλλά διαγράφει τον σύνδεσμο σε αυτά, ο οποίος μας δείχνει που είναι αποθηκευμένα. Για να διαγράψουμε αποθηκευμένα δεδομένα από κάποια μνήμη, θα πρέπει πάνω τους να γράψουμε και να διαγράψουμε τυχαία δεδομένα, τουλάχιστον μία φορά. Μία δωρεάν εφαρμογή που μπορούμε να χρησιμοποιήσουμε είναι το eraser. (http://www.heidi.ie/eraser/download. php). Εικόνα 9 Eraser (διαγραφή δεδομένων) Ρυθμίσεις συστήματος Αυτόματη εκτέλεση (autorun) Η συγκεκριμένη λειτουργία, παρότι παρέχει διευκολύνσεις στη χρήση διάφορων μέσων (cd, dvd, usb sticks, hards disks), ενέχει πολλούς κινδύνους. Συγκεκριμένα, με την εισαγωγή κάποιου μολυσμένου μέσου, θα γίνει αυτόματη εκτέλεση του κακόβουλου λογισμικού, χωρίς να ρωτηθούμε. Για το λόγο αυτό θα πρέπει να απενεργοποιήσουμε τη συγκεκριμένη λειτουργία όπως παρακάτω. Επιλέγουμε start, και στη γραμμή αναζήτησης πληκτρολογούμε gpedit.msc και Σελίδα 34 από 144

πατάμε enter. Στο Local Computer Policy, επεκτείνουμε το Computer Configuration, Administrative Templates, Windows Components και στην συνέχεια επιλέγουμε AutoPlay Policies. Στη συνέχεια στο settings panel κάνουμε δεξί κλικ στο Turn off Autoplay και επιλέγουμε Edit. Στο Turn off Autoplay box επιλέγουμε Enabled για να απενεργοποιήσουμε το autorun. Βεβαιωνόμαστε ότι στα Options είναι προεπιλεγμένο το All drives ώστε να εφαρμοστεί σε όλα τα μέσα. Με OK κλείνουμε το Turn off Autoplay Properties dialog box. Τέλος, για να εφαρμοστούν οι ρυθμίσεις θα πρέπει να κάνουμε επανεκκίνηση στον υπολογιστή. Πλέον, δεν γίνεται αυτόματη εκτέλεση σε καμία συσκευή μας. Εάν διαπιστώσουμε ότι σε κάποια συσκευή μας εμφανίζεται το αρχείο autorun.inf, τότε υπάρχει μεγάλη πιθανότητα αυτή να είναι μολυσμένη με κάποιο κακόβουλο λογισμικό. Το άνοιγμα του αρχείου αυτού με έναν απλό text editor (π.χ. notepad) θα μας υποδείξει ποιο είναι αυτό το κακόβουλο λογισμικό. Παράδειγμα autorun.inf: [AutoRun] shellexecute=\path\to\infected.exe UseAutoPlay=1 Εικόνα 10 autorun.inf Κοινόχρηστα αρχεία και φάκελοι. Όταν εργαζόμαστε με κοινόχρηστους φακέλους θα πρέπει να χρησιμοποιούμε συνθηματικό και να επιτρέπουμε μόνο την ανάγνωσή τους (read only) και όχι την επεξεργασία των δεδομένων τους. Και αυτό διότι αν δεν έχουμε ρυθμίσει σωστά το file sharing, κάποιος κακόβουλος χρήστης με πρόσβαση στο δίκτυο μπορεί να πάρει όλα τα δεδομένα που έχουμε σε αυτόν ή ακόμη και να τοποθετήσει κακόβουλο λογισμικό ώστε να παραπλανήσει το χρήστη και να το εκτελέσει ο ίδιος ή, με την χρήση του scheduler. Θα πρέπει να έχουμε απενεργοποιημένο το file sharing. Η διαδικασία που ακολουθούμε είναι να επιλέξουμε στο μενού Organize το Folder and Search Options. Θα εμφανιστεί το διπλανό παράθυρο. Στην καρτέλα View, στις ρυθμίσεις Advanced Settings από-επιλέγουμε το Use Sharing Wizard (Recommended) και πατάμε OK. Εικόνα 11 Ρυθμίσεις κοινόχρηστων φακέλων Σελίδα 35 από 144

Καταλήξεις αρχείων Πολλά κακόβουλα προγράμματα εκμεταλλεύονται την απόκρυψη των καταλήξεων αρχείων που έχει εξ ορισμού το λειτουργικό σύστημα Windows για να δράσουν. Η διαδικασία που ακολουθούμε είναι να επιλέξουμε στο μενού Organize το Folder and Search Options. Θα εμφανιστεί το διπλανό παράθυρο. Στην καρτέλα View, στις ρυθμίσεις Advanced Settings από-επιλέγουμε το "Hide extensions for known file types" check box και πατάμε OK. Εικόνα 12 Ρυθμίσεις εμφάνισης καταλήξεων αρχείων Εμφάνιση κρυφών αρχείων Πολλές επιθέσεις βασίζονται στο γεγονός ότι το λειτουργικό σύστημα Windows αποκρύπτει εξ ορισμού κάποια αρχεία του συστήματος. Η διαδικασία που ακολουθούμε είναι να επιλέξουμε στο μενού Organize το Folder and Search Options. Θα εμφανιστεί το διπλανό παράθυρο. Στην καρτέλα View, στις ρυθμίσεις Advanced Settings επιλέγουμε το "Show hidden files, folders and drives" check box και πατάμε OK. Εικόνα 13 Ρυθμίσεις εμφάνισης κρυφών αρχείων Υπηρεσίες Πρέπει να γνωρίζουμε ποιες υπηρεσίες (services) τρέχουν στον υπολογιστή και για ποιο λόγο. Εάν κάποια υπηρεσία τρέχει χωρίς να την χρειαζόμαστε, τότε αυτή καταναλώνει πόρους του συστήματος και ενέχει κινδύνους εκμετάλλευσης της. Σελίδα 36 από 144

Η διαδικασία που ακολουθούμε για να δούμε ποιες υπηρεσίες τρέχουν στον υπολογιστή μας είναι η παρακάτω: Επιλέγουμε start, run, πληκτρολογούμε services.msc και πατάμε enter. Στην οθόνη εμφανίζεται το παρακάτω παράθυρο. Εικόνα 14.1 - Υπηρεσίες Σε αυτό μπορούμε να διακρίνουμε ποιες υπηρεσίες έχουν ξεκινήσει. Δεν θα πρέπει να εκτελούνται οι υπηρεσίες telnet, FTP και remote desktop, διότι αυτές μπορούν να χρησιμοποιηθούν κακόβουλα για την εκμετάλλευση του υπολογιστή (δημιουργία back door). Οι υπηρεσίες του συστήματος που θα πρέπει να είναι απενεργοποιημένες φαίνονται στην παρακάτω λίστα: Service Name Default Startup Type Background Intelligent Transfer Service Manual Computer Browser Disabled IPv6 Helper Service Disabled Media Center Extender Service Disabled Net.Tcp Port Sharing Service Disabled Remote Desktop Configuration Disabled Remote Desktop Services Disabled Remote Desktop Services UserMode Port Disabled Redirector Σελίδα 37 από 144

Service Name Default Startup Type Remote Procedure Call (RPC) Locator Disabled Routing and Remote Access Disabled Simple Network Management Protocol (SNMP) Trap Disabled SSDP Discovery Disabled Task Scheduler Disabled TCP/IP NetBIOS Helper Disabled UPnP Device Host Disabled WebClient Disabled WMI Performance Adapter Disabled Προστασίες Φυσική ασφάλεια Παρότι δεν υπάρχει απόλυτος τρόπος προστασίας του υπολογιστή, οι παρακάτω συμβουλές σίγουρα θα δυσκολέψουν οποιονδήποτε αποκτήσει φυσική πρόσβαση σε αυτόν. Πρώτα από όλα, προστατεύουμε το BIOS με συνθηματικό κωδικό και αφαιρούμε από το μενού εκκίνησης την επιλογή να γίνει boot με άλλο μέσο πλην του σκληρού μας δίσκου. Έτσι, δεν επιτρέπουμε σε κανέναν κακόβουλο χρήστη να μπει σε αυτό και να αλλάξει τις ρυθμίσεις του για να εκκινήσει τον υπολογιστή μας, με τη χρήση CD, DVD ή USB, με άλλο λειτουργικό σύστημα και να υποκλέψει τα δεδομένα μας ή και να αλλάξει το συνθηματικό μας και να έχει στην συνέχεια πλήρη πρόσβαση στον υπολογιστή μας. Επίσης, όταν απομακρυνόμαστε από τον χώρο εργασίας μας, ο υπολογιστής πρέπει να έχει συνθηματικό στο screen saver, για την προστασία από κακόβουλους χρήστες. Σχετικός σύνδεσμος: http://windows.microsoft.com/en-us/windows-vista/use-your-windows-password-for-yourscreen-saver-password Κακόβουλο λογισμικό Η χρήση λογισμικού antivirus και anti spyware είναι επιβεβλημένη λόγω της πληθώρας των κακόβουλων προγραμμάτων που κυκλοφορούν στο διαδίκτυο. Εκτός από τα εμπορικά προγράμματα (που απαιτούν αγορά του προϊόντος), μπορούμε να χρησιμοποιήσουμε και δωρεάν λογισμικά, όπως: MS Security Essentials (http://windows.microsoft.com/en-us/windows/products/securityessentials) AVG (http://free.avg.com/ww-en/free-antivirus-download) AVAST (http://www.avast.com/free-antivirus-download) On-line έλεγχος για κακόβουλο λογισμικό Στην περίπτωση που έχουμε μία άγνωστη εφαρμογή ή URL ή αρχείο (.doc,.xls,.pdf) και έχουμε αμφιβολίες για το αν έχει ή όχι κακόβουλο κώδικα, τότε μπορούμε να το ανεβάσουμε (upload) σε on-line υπηρεσίες που το ελέγχουν με μία σειρά αντι-ιϊκών, να μας δωθεί μία αναφορά αν είναι ύποπτο ή όχι. Σχετικοί σύνδεσμοι: Σελίδα 38 από 144

http://www.virustotal.com http://virusscan.jotti.org/en http://vscan.novirusthanks.org/ Στην περίπτωση που έχουμε εντοπίσει ένα εκτελέσιμο αρχείο (.exe), το οποίο δεν το αναγνωρίζουμε, μπορούμε εκτός από την παραπάνω διαδικασία, να το ανεβάσουμε σε online sandboxes, τα οποία πραγματοποιούν ανάλυση συμπεριφοράς, για το τι ακριβώς αυτό κάνει. Σχετικοί σύνδεσμοι: http://anubis.iseclab.org/ http://www.threatexpert.com/submit.aspx http://www.threattrack.com/ http://wepawet.iseclab.org/ Προστασία από ανιχνεύσεις (scanning) Για μεγαλύτερη ασφάλεια, πρέπει να χρησιμοποιούμε Firewall. Φροντίζουμε ώστε το Firewall των Windows να είναι ενεργοποιημένο. Η χρήση του είναι ιδιαίτερα σημαντική, ειδικά αν έχουμε laptop και συνδεόμαστε σε δίκτυα που δεν γνωρίζουμε. Έτσι, αποφεύγουμε τυχόν επιθέσεις από τρίτους που είναι συνδεδεμένοι στο ίδιο δίκτυο. Προστασία συνθηματικών στο διαδίκτυο Δεν πρέπει να επιτρέπουμε στον browser να θυμάται τα συνθηματικά πρόσβασης σε σελίδες. Αν κάποιος κακόβουλος χρήστης αποκτήσει πρόσβαση στον υπολογιστή μας, τότε πολύ εύκολα μπορεί να ανακτήσει τα συνθηματικά που έχει αποθηκεύσει ο browser. Για περισσότερες οδηγίες/λεπτομέρειες ανατρέχουμε στις αντίστοιχες Τεχνικές Οδηγίες. Εικόνα 14 Windows Firewall Προστασία τοπικών συνθηματικών χρήστη Στην περίπτωση που κάποιος κακόβουλος χρήστης αποκτήσει το κρυπτογραφημένο από το λειτουργικό σύστημα συνθηματικό κάποιου χρήστη, μπορεί εύκολα να το αποκρυπτογραφήσει εάν αυτό έχει κρυπτογραφηθεί με το LMHASH. Η διαδικασία που ακολουθούμε για να το απενεργοποιήσουμε είναι η παρακάτω: επιλέγουμε start, run, πληκτρολογούμε gpedit.msc και πατάμε enter. Στο Local Computer Policy, πηγαίνουμε στη θέση Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options όπως φαίνεται και στην παρακάτω εικόνα. Σελίδα 39 από 144

Εικόνα 15 Local Group Policy Editor Στη λίστα με τις διαθέσιμες πολιτικές (policies), κάνουμε διπλό κλικ στο Network security: Do not store LAN Manager hash value on next password change. Στο παράθυρο που εμφανίζεται επιλέγουμε Enabled και στην συνέχεια OK. Εφαρμογές Πως εκτελούμε μία άγνωστη εφαρμογή. Στην περίπτωση που δεν είμαστε σίγουροι για κάποια εφαρμογή, μπορούμε να την τρέξουμε μέσα από ένα περιοριστικό περιβάλλον (sandbox), όπως το sandboxie (http://www.sandboxie.com/). Με αυτόν τον τρόπο πετυχαίνουμε να μην γίνουν μόνιμες εγγραφές στον δίσκο μας και αν καταλάβουμε ότι Εικόνα 16 - Sandboxie Σελίδα 40 από 144

πρόκειται για κακόβουλο λογισμικό, απλά κλείνουμε το sandboxie, χωρίς να σώσουμε τις αλλαγές. Με το sandbox, μπορούμε να τρέξουμε και τον browser μας και έτσι να έχουμε ασφάλεια κατά την πλοήγηση μας στο διαδίκτυο. Έλεγχος ακεραιότητας. Για να είμαστε σίγουροι ότι το λογισμικό που κατεβάσαμε είναι όντως αυτό που θέλουμε και δεν έχει υποστεί κανενός είδους ψηφιακή αλλοίωση, θα πρέπει ο πάροχος του λογισμικού να μας δίνει την τιμή του ελέγχου ακεραιότητας για το πρόγραμμά του, μαζί με τον αλγόριθμο που χρησιμοποίησε για την εξαγωγή αυτής. Έτσι, αφού κατεβάσουμε το λογισμικό, κάνοντας χρήση κατάλληλου προγράμματος, όπως το MD5 Check (http://angusj.com/delphi/md5check_setup. exe), ελέγχουμε την ακεραιότητα του αρχείου. Εικόνα 17 MD5 Check Αλγόριθμοι ελέγχου ακεραιότητας είναι οι md5, sha1, pgp. Στην παρακάτω εικόνα φαίνεται ένα παράδειγμα. PGP Αλγόριθμος Εικόνα 18 Αλγόριθμοι ελέγχου Ακεραιότητας Σελίδα 41 από 144

Παρακολούθηση λειτουργίας συστήματος Ενημερώσεις συστήματος και εφαρμογών Για να έχουμε ένα καλό επίπεδο ασφάλειας, θα πρέπει τόσο το λειτουργικό σύστημα, όσο και οι εφαρμογές, που είναι εγκατεστημένες στον υπολογιστή, να πραγματοποιούν καθημερινά ενημερώσεις. Θα πρέπει κάθε εφαρμογή να είναι νόμιμη, ώστε να μπορεί απρόσκοπτα να ενημερώνεται. Κάθε εφαρμογή, όπως είναι και το λειτουργικό σύστημα, δεν είναι παρά γραμμές κώδικα. Ένας κακόβουλος χρήστης μπορεί να εντοπίσει αδυναμίες στον κώδικα, να γράψει ένα exploit και να ξεπεράσει με αυτό όλα τα συστήματα ασφαλείας μας. Για να εξαλειφθούν αυτές οι αδυναμίες, οι διάφοροι κατασκευαστές λογισμικού, εκδίδουν ενημερώσεις περιοδικά ή κάθε φορά που εντοπιστεί μία αδυναμία. Η Secunia μας δίνει δωρεάν μία εφαρμογή, την Personal Software Inspector (PSI), (http://secunia.com/vulnerability_scanning/personal/). Κάνοντας χρήση αυτού του λογισμικού, θα μας ενημερώνει κάθε φορά που κάποια από τις εφαρμογές μας χρειάζεται ενημέρωση ή υπάρχει μία νέα έκδοση. Στα Windows 7 για να έχουμε σε καθημερινό επίπεδο ενήμερο το λειτουργικό σύστημα, ενεργούμε ως εξής: επιλέγουμε start, All Programs, και επιλέγουμε Windows Update. Εικόνα 19 Windows Update Σελίδα 42 από 144

Επιβεβαιώνουμε, ότι έχουμε εγκαταστήσει το service pack 1, των Windows 7 ως εξής: επιλέγουμε start, και πληκτρολογούμε winver.exe. Εικόνα 20 winver.exe Θα πρέπει να δούμε μία εικόνα όπως η παραπάνω, η οποία θα πρέπει να μας δείχνει ότι έχουμε εγκατεστημένο το service pack 1. Σε διαφορετική περίπτωση θα πρέπει να το εγκαταστήσουμε άμεσα από τα windows updates και την επίσημη ιστοσελίδα της Microsoft. Είναι σημαντικό κάθε εφαρμογή να είναι ενήμερη, όπως πχ το MS Office. Εικόνα 21 MS Office/Check for updates Σελίδα 43 από 144

Τέλος πολύ σημαντικό είναι να επισκεπτόμαστε καθημερινά ιστοσελίδες που μας ενημερώνουν για τις νέες τρωτότητες, ώστε να είμαστε ενήμεροι για τυχόν τρωτότητες που μπορεί να έχει το λειτουργικό μας σύστημα, αλλά και οι εγκατεστημένες εφαρμογές μας. Αν διαπιστώσουμε για παράδειγμα πως ο internet explorer έχει μία διαπιστωμένη τρωτότητα για την οποία δεν έχουν εκδοθεί οδηγίες ασφαλείας, τότε πρέπει να εργαζόμαστε με άλλον browser, μέχρι να αποκατασταθεί το πρόβλημα. Σχετικοί σύνδεσμοι: http://technet.microsoft.com/en-us/security/bulletin http://www.securityfocus.com/ http://en.wikipedia.org/wiki/exploit_%28computer_security%29 http://www.securiteam.com/ http://www.exploit-db.com/ Log files Στα Windows 7 υπάρχουν log files, στα οποία καταγράφονται πληροφορίες για το σύστημα (System log files), για τις εφαρμογές (Application log), για την ασφάλεια (Security log). Ωστόσο, δεν είναι ενεργοποιημένα εξ ορισμού τα security loggings. Για να τα ενεργοποιήσουμε, ώστε μελετώντας τα να μπορούμε να εντοπίσουμε προσπάθειες εκμετάλλευσης του συστήματός μας από κακόβουλους χρήστες, όπως πχ επιθέσεις brute forcing (επίθεση ανάκτησης συνθηματικού), κάνουμε τα εξής: επιλέγουμε Start και πληκτρολογούμε wf.msc για να ανοίξουμε το Windows Firewall with Advanced Security. Στο Windows Firewall With Advanced Security on Local Computer κάνουμε δεξί κλικ και επιλέγουμε Properties για να ανοίξει το παρακάτω παράθυρο. Εικόνα 22 Windows Firewall With Advanced Security on Local Computer Σελίδα 44 από 144

Επιλέγουμε customize στο πεδίο Logging. Στο νέο παράθυρο μπορούμε να καθορίσουμε την τοποθεσία αποθήκευσης των log files καθώς και το μέγεθος του αρχείου. Για την ενεργοποίηση του logging επιβεβαιώνουμε ότι η επιλογή στα δύο drop down menus (Log dropped packets & Log Successful connections) είναι στο Yes. Στη συνέχεια πατάμε ΟΚ δύο φορές. Εικόνα 23 Customize Logging Settings Για να παρακολουθήσουμε τα log entries, χρησιμοποιούμε το πρόγραμμα Event Viewer. Επιλέγουμε start και πληκτρολογούμε event viewer. Εικόνα 24 Event Viewer Ενεργές συνδέσεις Για να δούμε τις συνδέσεις που πραγματοποιούμε στο διαδίκτυο ακολουθούμε την παρακάτω διαδικασία: επιλέγουμε start, run, πληκτρολογούμε cmd.exe και πατάμε enter. Στο τερματικό δίνουμε την εντολή netstat -ano. Μπορούμε να ανοίξουμε τον task manager με τον συνδυασμό των πλήκτρων ctrl+alt+del. Θα έχουμε την παρακάτω εικόνα. Σελίδα 45 από 144

Εικόνα 25 Ενεργές συνδέσεις Μπορούμε έτσι να διακρίνουμε πιο πρόγραμμα κάνει ποιες συνδέσεις. Κάνοντας χρήση της εντολής nslookup σε κονσόλα, μπορούμε να δούμε την αντιστοιχία domain names και IP, όπως διακρίνεται στην παρακάτω εικόνα: Εικόνα 26 nslookup Είναι σημαντικό να προσέξουμε που συνδεόμαστε. Στην περίπτωση που μία IP αντιστοιχεί σε κάποιο ύποπτο ιστότοπο, τότε το πρόγραμμα/υπηρεσία που έχει κάνει τη σύνδεση είναι κακόβουλο. Έλεγχος ασφαλείας. Μπορούμε να πραγματοποιήσουμε έλεγχο ασφαλείας στον προσωπικό μας υπολογιστή με την χρήση του δωρεάν λογισμικού Microsoft Baseline Security Analyzer (MBSA). Σχετικό link: http://technet.microsoft.com/en-us/security/cc184924 Σελίδα 46 από 144

To MBSA 2.2 είναι δωρεάν λογισμικό για administrators, security auditors, και IT professionals και πραγματοποιεί security και vulnerability assessment ανιχνεύσεις. Εικόνα 27 Microsoft Baseline Security Analyzer (MBSA) Για προχωρημένους χρήστες. Οι πιο έμπειροι χρήστες μπορούν, για ακόμα μεγαλύτερη ασφάλεια, να χρησιμοποιούν και τις παρακάτω μεθόδους, συνδυαστικά. Χρήση του εικονικού λειτουργικού συστήματος. Με την χρήση του Virtualbox, μπορούμε να εκτελούμε ένα λειτουργικό σύστημα μέσα σε ένα άλλο. Μπορούμε δηλαδή μέσα σε ένα Windows 7 λειτουργικό σύστημα να τρέξουμε μέσα από το virtualbox ένα άλλο Windows 7, το οποίο χρησιμοποιούμε για να σερφάρουμε στο διαδίκτυο. Αν μολυνθεί, απλά χρησιμοποιούμε ένα αντίγραφο το οποίο έχουμε δημιουργήσει στην αρχή, ή κάνουμε την χρήση του snapshot. https://www.virtualbox.org/wiki/downloads Χρήση HIDS (Host Intrusion Detection System) Το HIDS (http://en.wikipedia.org/wiki/host-based_intrusion_detection_system), είναι λογισμικό το οποίο μας προστατεύει από τις κακόβουλες εξερχόμενες συνδέσεις και γενικά ζητά άδεια από τον χρήστη να επιτρέπει την σύνδεση ή όχι μιας εφαρμογής στο διαδίκτυο. Υπάρχουν δωρεάν HIDS (Host-based Intrusion Detection System), όπως το ossec και το zone alarm. http://www.ossec.net/main/downloads http://www.zonealarm.com/ Επίλογος Στην ασφάλεια υπάρχει ένας κανόνας, δεν υπάρχει απόλυτη ασφάλεια. Για αυτό θα πρέπει να γνωρίζουμε καλά την χρήση του υπολογιστή μας, την χρήση του διαδικτύου και να επαγρυπνούμε συνεχώς. Μόνο με συνεχή ενημέρωση και επαγρύπνηση έχουμε ένα επιθυμητό επίπεδο ασφάλειας. Η ασφάλεια είναι αποτέλεσμα εκπαίδευσης - ενημέρωσης, εφαρμογής διαδικασιών και χρήσης κατάλληλης υποδομής και λογισμικού. Σελίδα 47 από 144

Ubuntu Ασφαλή χρήση και ρύθμιση ενός υπολογιστή με λειτουργικό σύστημα Ubuntu 12.10. Περιεχόμενα: 1. Δημιουργία απλού χρήστη 2. Ισχυρό συνθηματικό 3. Κρυπτογράφηση 4. Αυτόματες ενημερώσεις 5. Firewall 6. HIDS 7. Κοινόχρηστη μνήμη (Shared memory) 8. Ρυθμίσεις πυρήνα 9. Απενεργοποίηση λογαριασμών 10. Κλείδωμα λογαριασμών χρηστών 11. Απενεργοποίηση απομακρυσμένης διαχείρισης 12. Απενεργοποίηση χρήσης του Amazon 13. Εγκατάσταση chkrootkit και rkhunter 14. Boot up Manager 15. Apparmor 16. Clamav Σελίδα 48 από 144

Ασφαλή χρήση και ρύθμιση ενός υπολογιστή με λειτουργικό σύστημα ubuntu 12.10. 1. Δημιουργούμε έναν χρήστη με περιορισμένα δικαιώματα, να μην ανήκει δηλαδή στους sudoers. H διαδικασία που ακολουθούμε είναι η παρακάτω (υποθέτουμε ότι το username του χρήστη που θέλουμε να δημιουργήσουμε είναι testuser): Σε ένα τερματικό δίνουμε την εντολή: sudo useradd -d /home/testuser -m testuser και στην συνέχεια δίνουμε την εντολή για την δημιουργία συνθηματικού: sudo passwd testuser X display manager for login interfaces., which replaced the old GDM (Gnome Displ Ο λόγος που δημιουργούμε αυτό τον χρήστη είναι για να εργαζόμαστε μόνο με αυτόν, ώστε αν κάποιος υποκλέψει το συνθηματικό να μην έχει δικαιώματα root χρήστη. Αν θέλουμε να αποκτήσουμε δικαιώματα root, δίνουμε την εντολή: su (username sudoer) και στην συνέχεια δίνουμε την εντολή: sudo -s 2. Χρησιμοποιούμε ισχυρά συνθηματικά (http://en.wikipedia.org/wiki/password_strength) Παράδειγμα ισχυρού συνθηματικού είναι το: Isx1r0_P@ssW0rd!@# 3. Στην αρχική εγκατάσταση επιλέγουμε να έχουμε πλήρως κρυπτογραφημένο σκληρό δίσκο, ένα ασφαλές συνθηματικό, καθώς και κρυπτογραφημένο home folder. Σελίδα 49 από 144

Ωστόσο για να έχει κάθε χρήστης κρυπτογραφημένο, τον home folder ακολουθούμε την παρακάτω διαδικασία: Εγκαθιστούμε το λογισμικό ecryptfs-utils δίνοντας εντολή: apt-get install ecryptfs-utils Στην συνέχεια δίνουμε την εντολή: sudo ecryptfs-migrate-home -u USERNAME όπου username το username του χρήστη που θέλουμε να κρυπτογραφήσουμε τον home folder. Πριν την επανεκκίνηση θα πρέπει ο συγκεκριμένος χρήστης να κάνει login. Μπορούμε να χρησιμοποιήσουμε και το truecrypt (http://www.truecrypt.org) για να κρυπτογραφήσουμε δεδομένα, ή να χρησιμοποιήσουμε το openpgp (GNUPG). 4. Θα πρέπει τόσο το λειτουργικό σύστημα, όσο και οι εγκατεστημένες εφαρμογές να είναι πάντα ενήμερες. Θα πρέπει να γίνεται καθημερινά και αυτόματα η εγκατάσταση των updates και upgrades, η διαδικασία που ακολουθούμε είναι η παρακάτω: α. Στο DASH Home αναζητούμε τον update manager, επιλέγουμε settings, πάμε στην καρτέλα updates και επιλέγουμε όπως στην εικόνα. Σελίδα 50 από 144

Δεν εγκαθιστούμε λογισμικό και δεν προσθέτουμε repositories από μη έμπιστες πηγές. Δεν εκτελούμε στην γραμμή εντολών κώδικα ή εντολές που δεν είμαστε σίγουροι για το αποτέλεσμά τους. Αν κάτι δεν γνωρίζουμε, το αναζητάμε στην google. 5. Χρησιμοποιούμε firewall Στο Ubuntu υπάρχει προ εγκατεστημένο το ufw (Uncomplicated Firewall). Υπάρχουν αρκετοί τρόποι ρύθμισης του UFW. Υπάρχει το γραφικό περιβάλλον και η γραμμή εντολών. Στην συνέχεια θα παρουσιάσουμε τον τρόπο ρύθμισης μέσω γραφικού περιβάλλοντος. Για την εγκατάσταση του γραφικού περιβάλλοντος επιλέγουμε το ubuntu software center και στην αναζήτηση (search) γράφουμε ufw, επιλέγουμε να εγκαταστήσουμε το Firewall Configuration. Σελίδα 51 από 144

Επόμενο βήμα είναι να προβούμε στις ρυθμίσεις του ufw. Πάμε στο DASH Home γράφουμε Firewall και εκεί επιλέγουμε το Firewall configuration. Ενεργοποιούμε το ufw αφού δώσουμε το συνθηματικό μας Οι αρχικές ρυθμίσεις μας δείχνουν ότι όλες οι εισερχόμενες συνδέσεις απαγορεύονται και επιτρέπονται όλες οι εξερχόμενες. Εδώ μπορούμε να πραγματοποιήσουμε τις Σελίδα 52 από 144

προσωπικές ρυθμίσεις που επιθυμούμε. Μπορούμε να απαγορεύσουμε και τις εξερχόμενες συνδέσεις και στην συνέχεια να προσθέσουμε κανόνες. Ωστόσο χρήστες που δεν έχουν εμπειρία με τις ρυθμίσεις ενός Firewall, καλά θα είναι απλά να αφήσουν τις αρχικές ρυθμίσεις. Αν επιλέξουμε να απαγορεύσουμε και τις εξερχόμενες τότε θα πρέπει να φτιάξουμε κανόνες να επιτρέπουν τις παρακάτω εξερχόμενες συνδέσεις: FTP, HTTP,HTTPS,CUPS,SMTP,IMAP,DNS,NTP Η διαδικασία δημιουργίας κανόνων είναι η παρακάτω: Επιλέγουμε Outgoing DENY στην συνέχεια πατάμε στο σύμβολο + για να προσθέσουμε έναν νέο κανόνα Αν θέλουμε να προσθέσουμε κάποια πόρτα και UDP πρωτόκολλο μπορούμε να επιλέξουμε την καρτέλα simple και εκεί να επιλέξουμε allow out udp 53, όπως στην εικόνα. Με αυτή την διαδικασία μπορούμε να ρυθμίσουμε το UFW στο UBUNTU 12.10. Σελίδα 53 από 144

6. Επόμενο βήμα είναι να εγκαταστήσουμε ένα Host IDS (Host Intrusion Detection System). Θα επιλέξουμε το OSSEC. Το OSSEC είναι ένα Open Source Host-based Intrusion Detection System. Το οποίο πραγματοποιεί log analysis, file integrity checking, policy monitoring, rootkit detection, real-time alerting και active response. Η διαδικασία εγκατάστασης είναι απλή. Πρώτα εκτελούμε την εντολή: sudo apt-get install build-essential Στην ιστοσελίδα http://www.ossec.net/ μπορούμε να κατεβάσουμε την τελευταία έκδοση του ossec hids agent. Αφού πραγματοποιήσουμε τον έλεγχο ακεραιότητας, εκτελούμε το script εγκατάστασης (install.sh) και ακολουθούμε τα βήματα, εκεί μπορούμε να επιλέξουμε και την ελληνική γλώσσα εγκατάστασης. Στις βασικές ρυθμίσεις επιλέγουμε για τοπική (local) χρήση. Μετά την εγκατάσταση δίνουμε την εντολή: /var/ossec/bin/ossec-control restart Για περισσότερες πληροφορίες βλέπουμε τα link. http://acidborg.wordpress.com/2009/10/08/how-to-install-and-configure-ossec-in-ubuntuserver-9-04/ 7. Επόμενο βήμα είναι να περιορίσουμε στην κοινόχρηστη μνήμη (Shared memory) τα δικαιώματα και αυτό γιατί πολλά exploits την χρησιμοποιούν για επιθέσεις. Δεν θα επιτρέψουμε να έχει δικαιώματα εκτέλεσης. Αυτό που κάνουμε δίνουμε την εντολή gksudo gedit /etc/fstab και προσθέτουμε την εγγραφή: tmpfs /dev/shm tmpfs defaults,noexec,nosuid 0 0 και στην συνέχεια δίνουμε την εντολή: sudo mount -o remount /dev/shm 8. Επόμενο βήμα είναι να ασφαλίσουμε τον πυρήνα: Δίνουμε την εντολή: gksudo gedit /etc/sysctl.conf Στην συνέχεια ενεργοποιούμε τις παρακάτω επιλογές (η ενεργοποίηση γίνεται με την διαγραφή μπροστά από κάθε ρύθμιση του συμβόλου #): net.ipv4.conf.default.rp_filter=1 net.ipv4.conf.all.rp_filter=1 net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.accept_source_route = 0 net.ipv6.conf.all.accept_source_route = 0 net.ipv4.conf.all.log_martians = 1 Επόμενη εντολή για να ενεργοποιήσουμε τις παραπάνω αλλαγές είναι η : sudo sysctl -p 9. Επόμενο βήμα είναι να απενεργοποιήσουμε το shell σε όλους τους λογαριασμούς που δεν θέλουμε να έχουν δυνατότητα shell (γραμμή εντολών) και να απενεργοποιήσουμε τον λογαριασμό επισκεπτών (guest account). Σελίδα 54 από 144

Η διαδικασία είναι απλή: πρώτα δημιουργούμε ένα backup αρχείο του /etc/passwd με την εντολή cp -p -a /etc/passwd /etc/passwd-bak και στην συνέχεια δίνουμε την εντολή gksudo gedit /etc/passwd και όπου βλέπουμε κάποιον λογαριασμό που έχει δυνατότητα shell (οπου βλέπουμε /bin/sh) το αλλάζουμε σε /bin/false. Παράδειγμα την γραμμή bin:x:2:2:bin:/bin:/bin/sh την αλλάζουμε σε bin:x:2:2:bin:/bin:/bin/false Για την απενεργοποίηση του λογαριασμού επισκεπτών, η εντολή που δίνουμε είναι η sudo sh -c 'echo "allow-guest=false" >> /etc/lightdm/lightdm.conf' 10. Επόμενο βήμα είναι να κλειδώσουμε λογαριασμούς στο /etc/shadow αρχείο πρώτα δημιουργούμε ένα backup αρχείο του /etc/shadow με την εντολή cp -p -a /etc/shadow /etc/shadow-bak και στην συνέχεια δίνουμε την εντολή gksudo gedit /etc/shadow χρησιμοποιούμε την λίστα και σε ένα τερματικό κλειδώνουμε τους λογαριασμούς που θέλουμε με την εντολή: passwd -l deamon (με αυτή την εντολή κλειδώνουμε τον λογαριασμό του deamon) και συνεχίζουμε παρόμοια με τους υπόλοιπους λογαριασμούς που θέλουμε. 11. Επόμενο βήμα είναι να απενεργοποιήσουμε την απομακρυσμένη διαχείριση του υπολογιστή με την εντολή sudo sh -c 'echo "greeter-show-remote-login=false" >> /etc/lightdm/lightdm.conf' 12. Επόμενο βήμα είναι να απενεργοποιήσουμε τις ρυθμίσεις για χρήση του amazon με την εντολή sudo apt-get remove unity-lens-shopping Θα πρέπει να κάνουμε επανεκκίνηση για να αλλάξουν οι ρυθμίσεις. 13. Επόμενο βήμα εγκαθιστούμε τα προγράμματα chkrootkit και rkhunter με την εντολή: sudo apt-get install chkrootkit rkhunter και στην συνέχεια δίνουμε την εντολή: sudo rkhunter update Τα δύο προγράμματα chkrootkit και rkhunter τα εκτελούμε περιοδικά για να εντοπίσουμε εγκατεστημένο κακόβουλο λογισμικό (rootkit) σε ένα linux λειτουργικό σύστημα. Για να εκτελέσουμε το rkhunter δίνουμε την εντολή: sudo rkhunter -c Για να εκτελέσουμε το chkrootkit δίνουμε την εντολή: sudo chkrootkit 14. Επόμενο βήμα είναι να εγκαταστήσουμε τον Boot up Manager (bum) με την εντολή: apt-get install bum Σκοπός μας είναι να περιορίσουμε τις εφαρμογές που εκτελούνται στο λειτουργικό μας σύστημα, όσο λιγότερες εφαρμογές τρέχουμε στον υπολογιστή μας τόσο μικρότερη επιφάνεια επίθεσης έχουμε. Δίνουμε την εντολή: sudo bum Με την χρήση του γραφικού περιβάλλοντος του BUM μπορούμε να απενεργοποιήσουμε Σελίδα 55 από 144

εφαρμογές που δεν χρειαζόμαστε. Απενεργοποιούμε σίγουρα το bluetooth services και ότι άλλο δεν μας χρειάζεται και στην συνέχεια επιλέγουμε apply. 15. Επόμενο βήμα είναι να ελέγξουμε την (http://en.wikipedia.org/wiki/apparmor), δίνοντας την εντολή: κατάσταση του apparmor sudo aa-status Επόμενο βήμα είναι να εκτελέσουμε περισσότερα profiles και δίνουμε την εντολή: apt-get install apparmor-profiles επαναλαμβάνουμε την εντολή: aa-status η apparmor_status 16. Μπορούμε για να ελέγχουμε για ιομορφικό λογισμικό windows εφαρμογών στο ubuntu, να εγκαταστήσουμε και το clamav antivirus με την εντολή: sudo apt-get install clamav Για να πραγματοποιήσουμε ενημερώσεις (updates) στο clamav δίνουμε την εντολή: freshclam Επίλογος Στην ασφάλεια υπάρχει ένας κανόνας, δεν υπάρχει απόλυτη ασφάλεια. Γι αυτό θα πρέπει να γνωρίζουμε καλά την χρήση του λειτουργικού συστήματος του υπολογιστή μας, την χρήση του διαδικτύου και να επαγρυπνούμε συνεχώς. Μόνο με συνεχή ενημέρωση και επαγρύπνηση έχουμε ένα επιθυμητό επίπεδο ασφάλειας. Η ασφάλεια είναι αποτέλεσμα εκπαίδευσης - ενημέρωσης, εφαρμογής διαδικασιών και χρήσης κατάλληλης υποδομής και λογισμικού. Σελίδα 56 από 144

Ασφαλής ρύθμιση-χρήση φυλλομετρητών (Browsers) Internet Explorer 9 ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ INTERNET EXPLORER 9 (ΙΕ9) Σελίδα 57 από 144

ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ INTERNET EXPLORER 9 (ΙΕ9) Γενικά Οι βασικές επιθέσεις σε έναν υπολογιστή, κατά την περιήγηση στο διαδίκτυο, μπορεί να ανήκουν σε μία από τις παρακάτω κατηγορίες: Προσωπικές επιθέσεις με την χρήση social engineering. Επιθέσεις στον υπολογιστή μέσω του web browser ή μέσω τον add-ons του web browser. Επιθέσεις μέσω ιστοσελίδων, όπως παράδειγμα cross-site scripting, client side attack. Είναι σημαντικό να ρυθμίσουμε σωστά τον browser μας, για να προστατευτούμε από αυτού του είδους επιθέσεις. Μερικοί βασικοί κανόνες ασφαλείας κατά την περιήγηση στο διαδίκτυο με την χρήση του browser μας: 1. Δεν επιτρέπουμε να σώζεται το ιστορικό (history) του browser. Μετά το τέλος της πλοήγησης, κάνουμε εκκαθάριση του ιστορικού. 2. Προσέχουμε τις ιστοσελίδες τις οποίες επισκεπτόμαστε, δεν επισκεπτόμαστε porn sites, hackers sites ή ιστοσελίδες αγνώστου περιεχομένου. 3. Δεν απαντάμε σε μηνύματα της μορφής κερδίσατε ή μολυνθήκατε. 4. Προσέχουμε το URL, να είναι της εταιρίας που επιθυμούμε να επισκεφθούμε και όχι κάποιο παραπλανητικό site. 5. Απενεργοποιούμε το Auto complete. 6. Δεν επιτρέπουμε να αποθηκεύει ο browser τα συνθηματικά μας και άλλες προσωπικές πληροφορίες κατά την περιήγηση μας στο διαδίκτυο.. Βασικές διαφοροποιήσεις ΙΕ 9 Παρέχει ένα καλύτερο σύστημα προειδοποίησης στην περίπτωση που εντοπίσει κακόβουλο λογισμικό. Πρόκειται για το Application Reputation, που μας βοηθά να αποφασίσουμε αν θα κατεβάσουμε ή όχι ένα λογισμικό και αν αυτό είναι ασφαλές ή όχι. Εικόνα 1 - Application Reputation Διαθέτει φίλτρα για περιεχόμενο που μπορεί να είναι επικίνδυνο. Το ActiveX Filtering, μας δίνει την επιλογή να επιτρέπουμε να εκτελούνται ή όχι τα ActiveX controls. Με αυτό τον τρόπο προστατευόμαστε από αρκετές επιθέσεις. Εικόνα 2 - ActiveX Filtering Διαθέτει το SmartScreen Filter, το οποίο προστατεύει από phishing και επιθέσεις Σελίδα 58 από 144

κακόβουλου λογισμικού (malware). Μόλις το SmartScreen Filter εντοπίσει ιστοσελίδα με κακόβουλο λογισμικό μας προειδοποιεί και μας δίνει εναλλακτικές οδηγίες, όπως στην εικόνα που ακολουθεί. Εικόνα 3 - Smartscreen Filter Προστατεύει την ιδιωτικότητα με το χαρακτηριστικό Tracking Protection. Δεν επιτρέπει στα διάφορα sites να μπορούν να μας εντοπίζουν, ως χρήστες, καθώς και τις δραστηριότητές μας. Για να τεθεί σε λειτουργία απαιτείται η εγκατάσταση μιας Tracking Protection List. Διαθέσιμες λίστες από τη Microsoft βρίσκονται στο σύνδεσμο: http://ie.microsoft.com/testdrive/browser/trackingprotectionlists/ Εικόνα 4 - Tracking Protection Αναγνωρίζει επιθέσεις cross-site scripting με τη χρήση ενός φίλτρου προστατεύοντας μας από αυτού του είδους τις επιθέσεις. Σελίδα 59 από 144

Ρυθμίσεις Compatibility View Αν μία ιστοσελίδα δεν μας παρουσιάζεται σωστά, τότε μπορεί να υπάρχει θέμα συμβατότητας με τον IE 9. Σε αυτή την περίπτωση, πατάμε την επιλογή συμβατότητας (Compatibility View), όπως στην εικόνα που ακολουθεί. Εικόνα 5 - Compatibility View Εκκαθάριση του ιστορικού (history) Κάνουμε κλικ στο Tools button, επιλέγουμε Safety, και στην συνέχεια κάνουμε κλικ στο Delete browsing history. Εκεί επιλέγουμε τι θέλουμε να διαγράψουμε και κάνουμε κλικ στο Delete. Εικόνα 6 - Εκκαθάριση του ιστορικού (history) InPrivate Browsing Σε περίπτωση που χρειαστεί να περιηγηθούμε στο διαδίκτυο από ξένο υπολογιστή και Σελίδα 60 από 144

επιθυμούμε ο ΙΕ9 να μην αποθηκεύσει τα ίχνη της περιήγησής μας (browsing history, temporary Internet files, form data, cookies, user names, passwords) πρέπει να επιλέξουμε το InPrivate Browsing. Η διαδικασία που ακολουθούμε είναι η παρακάτω: Κάνουμε κλικ στο Tools button, επιλέγουμε Safety, και στην συνέχεια κάνουμε κλικ στο InPrivate Browsing. Εικόνα 7 - InPrivate Browsing Μόλις τελειώσουμε την περιήγηση, θα πρέπει να απενεργοποιήσουμε το InPrivate Browsing με την ίδια διαδικασία. Check this website Εάν δεν εμπιστευόμαστε κάποιον ιστότοπο, ο IE9 έχει την δυνατότητα να υποδεικνύει εάν υπάρχουν ή όχι αναφορές για κακόβουλο περιεχόμενο στο συγκεκριμένο ιστότοπο. H διαδικασία είναι η παρακάτω: Κάνουμε κλικ στο Tools button, επιλέγουμε Safety, και στην συνέχεια κάνουμε κλικ στο Check this website. Εικόνα 8 - Check this website Smart Screen Filter To SmartScreen Filter είναι ένα χαρακτηριστικό του ΙΕ9 το οποίο μας προστατεύει από phishing websites και επίσης προστατεύει από το κατέβασμα (downloading) ή την εγκατάσταση κακόβουλου λογισμικού (malicious software). Για να δούμε αν το SmartScreen Filter, είναι ενεργό, η διαδικασία που ακολουθούμε είναι η παρακάτω: Σελίδα 61 από 144

Κάνουμε κλικ στο Tools button, επιλέγουμε Safety, και στην συνέχεια εντοπίζουμε την εγγραφή Turn Off SmartScreen Filter. Με αυτό τον τρόπο μπορούμε να το ενεργοποιήσουμε και να το απενεργοποιήσουμε. Εικόνα 9 - Smart screen filter Ρύθμιση ζωνών ασφαλείας Η Microsoft διακρίνει την ασφάλεια σε ζώνες. Αυτές είναι: Internet. Εφαρμόζεται σε όλα τα websites, εκτός από αυτά της ζώνης Local intranet, Trusted, ή Restricted site. Local intranet. Εφαρμόζεται στα websites τα οποία βρίσκονται σε ένα εταιρικό δίκτυο (corporate or business network). Trusted sites. Εφαρμόζεται στα websites τα οποία γνωρίζουμε καλά και εμπιστευόμαστε. Restricted sites. Εφαρμόζεται στα websites τα οποία δεν εμπιστευόμαστε. Για κάθε ζώνη του ΙΕ9 μπορούμε να κάνουμε τις ανάλογες ρυθμίσεις ασφαλείας όπως ακολούθως: Εικόνα 10.1 Ρύθμιση ζωνών ασφαλείας Κάνουμε κλικ στο Tools button και στην συνέχεια στο Internet options. Επιλέγουμε την καρτέλα Security και στην συνέχεια μία από τις ζώνες που θέλουμε να ρυθμίσουμε. Στη ζώνη του internet θα πρέπει να έχουμε την ρύθμιση medium-high και πάνω (Εικόνα 101). Στα trusted sites θα πρέπει να έχουμε την ρύθμιση medium (Εικόνα 10.2). Σελίδα 62 από 144

Εικόνα 10.2 - Ρύθμιση ζωνών ασφαλείας Στα restricted sites θα πρέπει η επιλογή να είναι high, όπως στην εικόνα 10.3. Εικόνα 10.3 - Ρύθμιση ζωνών ασφαλείας Επιλογή προγραμμάτων Ο ΙΕ9 για να ανοίξει διάφορα αρχεία, καλεί διάφορα προγράμματα. Είναι σημαντικό να γνωρίζουμε ποια είναι αυτά τα προγράμματα. Στην περίπτωση που κάποιο από αυτά έχει κάποια αδυναμία, θα πρέπει να ρυθμίσουμε άμεσα τον ΙΕ 9, να καλεί κάποιο άλλο πρόγραμμα. Ακολουθούμε την παρακάτω διαδικασία για να αλλάξουμε τα εξ ορισμού προγράμματα: Κάνουμε κλικ στο Tools button και στην συνέχεια στο Internet options. Επιλέγουμε την καρτέλα Programs και στην συνέχεια set programs. Με αυτό τον τρόπο επιλέγουμε, με ποια προγράμματα θα ανοίγουν τα διάφορα αρχεία του διαδικτύου (Εικόνα 11). Σελίδα 63 από 144

Εικόνα 11 - Επιλογή προγραμμάτων Auto Complete Το Auto Complete είναι ένα πρόσθετο του ΙΕ το οποίο συμπληρώνει αυτόματα μία URL ή ένα συνδυασμό username/ password σε μία φόρμα ιστοσελίδας την οποία μπορεί να επισκεπτόμαστε συχνά, βασιζόμενο σε ότι έχουμε μερικώς πληκτρολογήσει. Αυτό μπορεί να προκαλέσει πρόβλημα ασφαλείας εάν κάποιος άλλος χρησιμοποιήσει τον υπολογιστή μας. Το Auto Complete μπορεί να απενεργοποιηθεί με την παρακάτω διαδικασία: Κάνουμε κλικ στο Tools button, επιλέγουμε Internet Options. Επιλέγουμε την καρτέλα Content και στο πεδίο Auto Complete πατάμε Settings. Στο νέο παράθυρο αποεπιλέγουμε όλα τα checkboxes και πατάμε ΟΚ. Εικόνα 12 - Auto Complete Επίλογος Για να αποφεύγουμε κατά το μέγιστο δυνατό τους κινδύνους που διατρέχουμε στο διαδίκτυο είναι απαραίτητο να ρυθμίζουμε και να χρησιμοποιούμε με ασφάλεια τον Internet Explorer. Σελίδα 64 από 144

Firefox ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ FIREFOX Σελίδα 65 από 144

ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ FIREFOX Γενικά Οι βασικές επιθέσεις σε έναν υπολογιστή, κατά την περιήγηση στο διαδίκτυο, μπορεί να ανήκουν σε μία από τις παρακάτω κατηγορίες: Προσωπικές επιθέσεις με την χρήση social engineering. Επιθέσεις στον υπολογιστή μέσω του web browser ή μέσω τον add-ons του web browser. Επιθέσεις μέσω ιστοσελίδων, όπως παράδειγμα cross-site scripting, client side attack. Είναι σημαντικό να ρυθμίσουμε σωστά τον browser μας, για να προστατευτούμε από αυτού του είδους επιθέσεις. Μερικοί βασικοί κανόνες ασφαλείας κατά την περιήγηση στο διαδίκτυο με την χρήση του browser μας: 1. Δεν επιτρέπουμε να σώζεται το ιστορικό (history) του browser. Μετά το τέλος της πλοήγησής, κάνουμε εκκαθάριση του ιστορικού. 2. Προσέχουμε τις ιστοσελίδες τις οποίες επισκεπτόμαστε, δεν επισκεπτόμαστε porn sites, hackers sites ή ιστοσελίδες αγνώστου περιεχομένου. 3. Δεν απαντάμε σε μηνύματα της μορφής κερδίσατε ή μολυνθήκατε. 4. Προσέχουμε το URL, να είναι της εταιρίας που επιθυμούμε να επισκεφθούμε και όχι κάποιο παραπλανητικό site. 5. Απενεργοποιούμε το Auto complete. 6. Δεν επιτρέπουμε να αποθηκεύει ο browser τα συνθηματικά μας και άλλες προσωπικές πληροφορίες κατά την περιήγησή μας στο διαδίκτυο. Ρυθμίσεις Όλες οι ρυθμίσεις στον Firefox γίνονται ακολουθώντας την παρακάτω διαδικασία: Επιλέγουμε την καρτέλα Firefox και πατάμε την επίλογη Options. Γενικά (General) Σε αυτή την καρτέλα μπορούμε να ρυθμίσουμε τον φάκελο στον οποίο θα κατεβάζουμε τα διάφορα προγράμματα, καθώς και την αρχική σελίδα μας. Επίσης, μπορούμε να οδηγηθούμε στην διαχείριση των πρόσθετων του λογισμικού. Εικόνα 1 Options Σελίδα 66 από 144

Περιεχόμενο (Content) Σε αυτή την καρτέλα μπορούμε να απενεργοποιήσουμε την χρήση java script. Ωστόσο, δεν θα μπορούν πολλά sites να λειτουργούν σωστά. Πολλές επιθέσεις γίνονται με την χρήση της java script. Η καλύτερη ρύθμιση, από πλευράς χρήστη, είναι να αφήσουμε ενεργοποιημένη την javascript και να εγκαταστήσουμε το add on noscript, ώστε να ελέγχουμε εμείς σε ποιες ιστοσελίδες θα εκτελείται javascript ή όχι. Στο παρακάτω σύνδεσμο μπορούμε να εγκαταστήσουμε το no script http://noscript.net/ Επίσης, να ρυθμίσουμε τις επιλογές για το popup windows καθώς και για τις εικόνες. Εικόνα 2 - Options/Content Εφαρμογές (applications). Σε αυτή τη καρτέλα μπορούμε να επιλέξουμε με ποιες εφαρμογές θα ανοίγει ο firefox τα διάφορα αντικείμενα που υπάρχουν σε μία ιστοσελίδα, όπως για παράδειγμα με ποιο πρόγραμμα θα ανοίγουμε τα flash videos. Είναι σημαντική καρτέλα, διότι, αν παράδειγμα έχουμε επιλέξει να ανοίγουμε τις video εφαρμογές με τον vlc player και αυτός έχει αδυναμία (vulnerability), τότε θα πρέπει να επιλέξουμε κάποιο άλλο player, αντί αυτού. Εικόνα 3 Options/Applications Σελίδα 67 από 144

Απόρρητο (privacy) Σε αυτή τη καρτέλα επιλέγουμε να μη μας εντοπίζουν οι διάφορες ιστοσελίδες και ο Firefox να μην θυμάται το ιστορικό μας. Κρίνεται θεμιτό να κάνουμε εκκαθάριση του ιστορικού κάθε φορά που τελειώνουμε την περιήγησή μας και, εφόσον δεν το έχουμε προεπιλέξει, να μην κρατάει το ιστορικό. Με την επιλογή αυτή απενεργοποιείται και η αυτόματη συμπλήρωση φορμών (Form History) που συμπληρώνει αυτόματα μία URL ή username σε μία φόρμα ιστοσελίδας την οποία μπορεί να επισκεπτόμαστε συχνά, βασιζόμενο σε ότι έχουμε μερικώς πληκτρολογήσει. Αυτό μπορεί να προκαλέσει πρόβλημα ασφαλείας εάν κάποιος άλλος χρησιμοποιήσει τον υπολογιστή μας. Εικόνα 4 - Options/Privacy Ασφάλεια (security) Σε αυτήν πρέπει να επιλέξουμε τα παρακάτω checkboxes: - Warn me when sites try to install add-ons (Προειδοποίηση όταν οι σελίδες προσπαθούν να εγκαταστήσουν πρόσθετα) - Blocked reported attack sites (Φραγή σελίδων που έχουν αναφερθεί ως κακόβουλες) - Block reported web forgeries ( Φραγή σελίδων που έχουν αναφερθεί ως πλαστές) Επιβεβαιώνουμε ότι δεν είναι επιλεγμένο το checkbox Remember passwords for sites (να θυμάται τα συνθηματικά), ενώ δεν πρέπει να χρησιμοποιούμε master password. Εικόνα 5 Options/Security Σελίδα 68 από 144

Για Προχωρημένους (Advanced) Γενικά Η πρώτη μας επιλογή είναι η καρτέλα Γενικά, σε αυτή μπορούμε να ελέγξουμε γενικές ρυθμίσεις του browser σχετικά με την προσβασιμότητα, την περιήγηση και τις προεπιλογές συστήματος. Προτείνεται να αφήνουμε επιλεγμένα τα παρακάτω: -Use hardware acceleration when available (χρήση επιτάχυνσης hardware, όπου είναι διαθέσιμη) -check my spelling as Ι type (ορθογραφικός έλεγχος κατά την πληκτρολόγηση) Εικόνα 6 - Options/Advanced/General Δικτύου (Network) Σε αυτή την καρτέλα μπορούμε να ελέγξουμε τις ρυθμίσεις κατά τη σύνδεση του Firefox στο δίκτυο. Στο πρώτο πεδίο μπορούμε να καθορίσουμε τον proxy server μέσω του οποίου συνδεόμαστε στο διαδίκτυο. Η καλύτερη λύση είναι να χρησιμοποιούμε τον proxy του provider μας. Άλλη μια ρύθμιση η οποία είναι διαθέσιμη σε αυτή την καρτέλα είναι η διαχείριση της προσωρινής μνήμης (cache). Επίσης, μπορούμε να κάνουμε εκκαθάριση του περιεχομένου εργασίας χωρίς σύνδεση και δεδομένα χρήστη (Offline web content and user data). Επιλέγουμε το checkbox Ειδοποίηση όταν μια ιστοσελίδα αποθηκεύει δεδομένα για εργασία χωρίς σύνδεση (Tell me when a website asks to store data for offline use). Σελίδα 69 από 144

Εικόνα 7.1 - Options/Advanced/Network Ενημερώσεις (Updates) Σε αυτή τη καρτέλα ρυθμίζουμε τον τρόπο με τον οποίο ενημερώνετε ο browser. Επιλέγουμε να γίνονται αυτόματα οι ενημερώσεις. Εικόνα 7.2 - Options/Advanced/Update Σελίδα 70 από 144

Κρυπτογράφιση (Encryption) Σε αυτή τη καρτέλα επιλέγουμε να γίνεται χρήση και των δύο πρωτοκόλλων ssl 3 και tls1. Στην ίδια καρτέλα, μπορούμε να επιλέξουμε ποια πιστοποιητικά (certificates) εμπιστευόμαστε και τι τους επιτρέπουμε να κάνουν. Εικόνα 7.3 - Options/Advanced/Encryption Private Browsing Σε περίπτωση που χρειαστεί να περιηγηθούμε στο διαδίκτυο από ξένο υπολογιστή και επιθυμούμε ο Firefox να μην αποθηκεύσει τα ίχνη της περιήγησής μας (browsing history, temporary Internet files, form data, cookies, user names, passwords) πρέπει να επιλέξουμε το Start Private Browsing. από το μενού Tools. Εικόνα 8.1 - Private Browsing Σελίδα 71 από 144

Όταν το ενεργοποιήσούμε, ο Firefox μας προειδοποιεί ότι θα αποθηκεύσει τις τρέχουσες ανοικτές καρτέλες για χρήση τους μετά την ολοκλήρωση του Private Browsing. Εικόνα 8.2 - Private Browsing Πατάμε το Start Private Browsing και θα εμφανιστεί το παρακάτω παράθυρο. Μπορούμε πλέον να περιηγηθούμε ιδιωτικά. Εικόνα 8.3 - Private Browsing Security add ons Για ακόμα καλύτερη διασφάλιση της πλοήγησης στο διαδίκτυο, μπορούμε να εγκαταστήσουμε μια πληθώρα πρόσθετων (add-ons) γι αυτό το σκοπό, ανάλογα με τις ανάγκες μας. Εκτός από το noscript, που αναφέρθηκε πιο πάνω, υπάρχει πλήρως ολοκληρωμένη λίστα που ανανεώνεται συνεχώς με νέες εκδόσεις και πρόσθετα στο σύνδεσμο: https://addons.mozilla.org/en-us/firefox/extensions/privacy-security/?sort=users Η αναφορά όλων των προσθέτων ξεφεύγει από τον σκοπό της παρούσας Τεχνικής Οδηγίας. Επίλογος Για να αποφεύγουμε κατά το μέγιστο δυνατό τους κινδύνους που διατρέχουμε στο διαδίκτυο είναι απαραίτητο να ρυθμίζουμε και να χρησιμοποιούμε με ασφάλεια τον Firefox. Σελίδα 72 από 144

Chrome ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ GOOGLE CHROME Σελίδα 73 από 144

ΑΣΦΑΛΗΣ ΧΡΗΣΗ ΤΟΥ GOOGLE CHROME Γενικά Οι βασικές επιθέσεις σε έναν υπολογιστή, κατά την περιήγηση στο διαδίκτυο, μπορεί να ανήκουν σε μία από τις παρακάτω κατηγορίες: Προσωπικές επιθέσεις με την χρήση social engineering. Επιθέσεις στον υπολογιστή μέσω του web browser ή μέσω τον add-ons του web browser. Επιθέσεις μέσω ιστοσελίδων, όπως παράδειγμα cross-site scripting, client side attack. Είναι σημαντικό να ρυθμίσουμε σωστά τον browser μας, για να προστατευτούμε από αυτού του είδους επιθέσεις. Μερικοί βασικοί κανόνες ασφαλείας κατά την περιήγηση στο διαδίκτυο με την χρήση του browser μας: 1. Δεν επιτρέπουμε να σώζεται το ιστορικό (history) του browser. Μετά το τέλος της περιήγησής μας, κάνουμε εκκαθάριση του ιστορικού. 2. Προσέχουμε τις ιστοσελίδες τις οποίες επισκεπτόμαστε, δεν επισκεπτόμαστε porn sites, hackers sites ή ιστοσελίδες αγνώστου περιεχομένου. 3. Δεν απαντάμε σε μηνύματα της μορφής κερδίσατε ή μολυνθήκατε. 4. Προσέχουμε το URL, να είναι της εταιρίας που επιθυμούμε να επισκεφθούμε και όχι κάποιο παραπλανητικό site. 5. Απενεργοποιούμε το Auto fill. 6. Δεν επιτρέπουμε να αποθηκεύει ο browser τα συνθηματικά μας και άλλες προσωπικές πληροφορίες κατά την περιήγησή μας στο διαδίκτυο. Ρυθμίσεις Αυτόματες ενημερώσεις Για να διασφαλίσουμε ότι είμαστε προστατευμένοι πρέπει να έχουν γίνει οι τελευταίες ενημερώσεις ασφαλείας. O Chrome ενημερώνεται αυτόματα με τις τελευταίες λειτουργίες ασφαλείας και επιδιορθώσεις, χωρίς να απαιτείται καμία ενέργεια από εμάς. Εκκαθάριση του ιστορικού (history) Από το μενού που βρίσκεται πάνω δεξιά πατάμε το κουμπί με το κλειδί επιλέγουμε Tools, Clear Browsing Data όπως φαίνεται στην παρακάτω εικόνα. Σελίδα 74 από 144 και

Εικόνα 1.1 - Εκκαθάριση του ιστορικού (history) Στο παράθυρο που θα εμφανιστεί, όπως φαίνεται παρακάτω, μπορούμε να επιλέξουμε ποια δεδομένα επιθυμούμε να διαγράψουμε. Εικόνα 1.2 - Εκκαθάριση του ιστορικού (history)-συνέχεια Σελίδα 75 από 144

Προσαρμογή αδειών δεδομένων ιστότοπου και cookie Εκτός από την δυνατότητα της διαγραφής των δεδομένων έχουμε επίσης και την δυνατότητα διαχείρισης του περιεχομένου και των cookies που εμπιστευόμαστε και θέλουμε να αποθηκεύσουμε στον Chrome. Όλα τα cookies επιτρέπονται από προεπιλογή, αλλά μπορούμε να προσαρμόσουμε αυτήν τη ρύθμιση. Αν τα cookies έχουν οριστεί ή αποκλειστεί για τη σελίδα που προβάλλεται, εμφανίζεται ένα εικονίδιο στο τέλος της γραμμής διευθύνσεων. Για να επιλέξουμε δεδομένα και cookies που θα επιτρέπετε να αποθηκεύονται στον Chrome ακολουθούμε την παρακάτω διαδικασία: Κάνουμε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης, επιλέγουμε Settings, Under the Hood και κάνουμε κλικ στο κουμπί Content Settings. Θα εμφανιστεί η παρακάτω εικόνα στην οποία μπορούμε να επιλέξουμε και να ρυθμίσουμε το περιεχόμενο το οποίο θεωρούμε χρήσιμο και ασφαλές. Εικόνα 2 Ρύθμιση Επιτρεπόμενου Περιεχομένου Σελίδα 76 από 144

New Incognito Window Σε περίπτωση που χρειαστεί να περιηγηθούμε στο διαδίκτυο από ξένο υπολογιστή και επιθυμούμε ο Chrome να μην αποθηκεύσει τα ίχνη της περιήγησής μας (browsing history, temporary Internet files, form data, cookies, user names, passwords) πρέπει να επιλέξουμε το New Incognito Window. Η διαδικασία που ακολουθούμε είναι η παρακάτω: Από το μενού που βρίσκεται πάνω δεξιά πατάμε το κουμπί με το κλειδί, επιλέγουμε Tools, New Incognito Window και θα ανοίξει μία νέα καρτέλα όπως φαίνεται στην παρακάτω εικόνα. Τείχος Προστασίας των Windows 7Εικόνα 3 Ιδιωτική Περιήγηση Ασφαλής περιήγηση (Safe Browsing) Ο Chrome θα εμφανίσει ένα μήνυμα προειδοποίησης πριν επισκεφθούμε έναν ιστότοπο που ενδέχεται να περιέχει κακόβουλο λογισμικό ή ηλεκτρονικό "ψάρεμα" (phishing). Μία επίθεση ηλεκτρονικού "ψαρέματος" (phishing) πραγματοποιείται όταν κάποιος υποδύεται κάποιον άλλον ώστε να μας ξεγελάσει και να μας υποκλέψει προσωπικές ή άλλες ευαίσθητες πληροφορίες, συνήθως μέσω ενός πλαστού ιστότοπου. Από την άλλη, το κακόβουλο πρόγραμμα είναι λογισμικό εγκατεστημένο στον υπολογιστή μας, τις περισσότερες φορές εν αγνοία μας και είναι σχεδιασμένο για να βλάψει τον υπολογιστή μας ή πιθανώς να κλέψει πληροφορίες από τον υπολογιστή μας. Με την ενεργοποίηση της τεχνολογίας Safe Browsing στον Chrome κατά την περιήγησή μας όταν συναντήσουμε έναν ιστότοπο που ενδεχομένως χρησιμοποιείται για ''ηλεκτρονικό ψάρεμα'' ή περιέχει κακόβουλο κώδικα, θα δούμε μία σελίδα προειδοποίησης όπως αυτή που ακολουθεί. Σελίδα 77 από 144

Εικόνα 4 Ειδοποίηση Ασφαλείας Για να ελέγξουμε ότι η υπηρεσία Safe Browsing είναι ενεργοποιημένη στον Chrome ακολουθούμε την παρακάτω διαδικασία: Κάνουμε κλικ στο εικονίδιο με το κλειδί στη γραμμή εργαλείων του προγράμματος περιήγησης, επιλέγουμε Settings, Under the Hood και στην ενότητα Privacy ελέγχουμε ότι είναι τσεκαρισμένη η επιλογή Enable phishing and malware protection όπως φαίνεται και στην παρακάτω εικόνα. Εικόνα 5 Ενεργοποίηση Safe Browsing Sandboxing Ο Chrome λειτουργεί κάνοντας αυτόματη χρήση της υπηρεσίας Sandboxing η οποία αποτρέπει το κακόβουλο λογισμικό από το να εγκαθίσταται στον υπολογιστή μας ή να χρησιμοποιεί τις ενέργειες που γίνονται σε μία καρτέλα στον περιηγητή για να επηρεάζει τις Σελίδα 78 από 144

ενέργειες που γίνονται σε μία άλλη καρτέλα. Προσθέτει ένα επιπλέον επίπεδο προστασίας από κακόβουλες ιστοσελίδες που προσπαθούν να αντιγράψουν στον υπολογιστή μας κακόβουλο λογισμικό,να παρακολουθήσουν τις δραστηριότητές μας στο διαδίκτυο ή να κλέψουν προσωπικά δεδομένα από τον σκληρό μας δίσκο. ΕπίλογοςΤείχος Προστασίας των Windows 7 Για να αποφεύγουμε κατά το μέγιστο δυνατό τους κινδύνους που διατρέχουμε κατά την περιήγησή μας στο διαδίκτυο είναι απαραίτητο να ρυθμίζουμε και να χρησιμοποιούμε με ασφάλεια τον Google Chrome. Σελίδα 79 από 144

Τείχος Προστασίας των Windows 7 Τείχος Προστασίας των Windows 7 Σελίδα 80 από 144

Τείχος προστασίας των Windows 7. Ο παρακάτω οδηγός περιλαμβάνει οδηγίες χρήσης του τείχους προστασίας των windows 7. Η χρήση της ονομασίας Firewall, θα χρησιμοποιείται στο επόμενο κείμενο για συντομία της ονομασίας του τείχους προστασίας. Ανάλογη διαδικασία είναι εφαρμόσιμη και σε άλλα λειτουργικά συστήματα. Ο οδηγός αποτελείται από τις εξής ενότητες: Επεξήγηση του firewall Ενεργοποίηση του firewall Ρύθμιση του προφίλ «Δημόσιο» Παραδείγματα χρήσης Επεξήγηση του firewall Το τείχος προστασίας είναι ένα πρόγραμμα που ελέγχει τις συνδέσεις, από και προς το Internet ή το δίκτυό μας, και στη συνέχεια, είτε τις αποκλείει είτε τις επιτρέπει να περάσουν στον υπολογιστή μας, ανάλογα με τις ρυθμίσεις. Μπορούμε να έχουμε μέχρι και 4 διαφορετικά προφίλ, με προκαθορισμένες επιλογές ανάλογα τις απαιτήσεις. Αναφερόμαστε για τα προφίλ Οικία, Εργασία, Δημόσιο, και Τομέα domain. Όποιο επίπεδο προστασίας κι αν επιλέξετε για το προφίλ σας, θα μπορείτε εύκολα να το αλλάζετε. Ακόμη κι αν πιστεύετε ότι δεν υπάρχει τίποτα στον υπολογιστή σας που θα ενδιέφερε κάποιον, ένας ιός τύπου worm θα μπορούσε να θέσει εκτός λειτουργίας τον υπολογιστή σας ή κάποιος άλλος θα μπορούσε να χρησιμοποιήσει τον υπολογιστή σας για να εξαπλώσει ιούς τύπου worm ή ιούς σε άλλους υπολογιστές χωρίς να το γνωρίζετε Πηγή: Microsoft, σε FAQ για την χρησιμότητα του Firewall Σύνδεσμος: http://windows.microsoft.com/el-gr/windows7/firewall-frequently-askedquestions Ενεργοποίηση του firewall Η συγκεκριμένη ενέργεια δεν είναι απαραίτητη εάν κάποιο πρόγραμμα προστασίας που είναι εγκατεστημένο στον υπολογιστή σας, έχει αντικαταστήσει τον firewall του μηχανήματός σας. Τα προγράμματα αυτά έχουν συνήθως την ονομασία internet security και είναι κομμάτι του antivirus. Εάν δεν είναι αυτή η περίπτωση, τότε ακολουθούμε τα βήματα: 1. Ανοίξτε το Τείχος προστασίας των Windows κάνοντας κλικ στο κουμπί Έναρξη και, στη συνέχεια, κάνοντας κλικ στην επιλογή Πίνακας ελέγχου. Στη συνέχεια κάντε κλικ στην επιλογή Σύστημα και Ασφάλεια. Σελίδα 81 από 144

2. Στη συνέχεια κάντε κλικ στην επιλογή Τείχος προστασίας των Windows. 3. Στο αριστερό τμήμα παραθύρου, επιλέξτε Ενεργοποίηση ή απενεργοποίηση του τείχους προστασίας των Windows. Σε περίπτωση που σας ζητηθεί κωδικός πρόσβασης διαχειριστή ή επιβεβαίωση, πληκτρολογήστε τον κωδικό πρόσβασης ή παρέχετε την επιβεβαίωση. Παρακάτω παρουσιάζεται το παράθυρο διαλόγου Προσαρμογή των ρυθμίσεων για κάθε τύπο δικτύου, όπου εμφανίζονται οι προτεινόμενες ρυθμίσεις ενεργοποίησης του Τείχους προστασίας των Windows για κάθε θέση δικτύου (ιδιωτικό δημόσιο), καθώς και ανάλυση όλων των δυνατών επιλογών. Σελίδα 82 από 144

Ενεργοποίηση του Τείχους προστασίας των Windows Όταν η επιλογή αυτή είναι επιλεγμένη, τότε το Τείχος προστασίας των Windows είναι ενεργοποιημένο και τα περισσότερα προγράμματα αποκλείονται από την επικοινωνία μέσω του τείχους προστασίας. Αν θέλετε να επιτρέψετε σε ένα πρόγραμμα να επικοινωνεί μέσω του τείχους προστασίας, μπορείτε να το προσθέσετε στη λίστα των επιτρεπόμενων προγραμμάτων. Για να προσθέσετε ένα πρόγραμμα στη λίστα, ανατρέξτε στο θέμα Αποδοχή της επικοινωνίας ενός προγράμματος μέσω του Τείχους προστασίας των Windows. (Προτείνεται να είναι ενεργοποιημένο σε όλες τις θέσεις δικτύου). Αποκλεισμός όλων των εισερχόμενων συνδέσεων, συμπεριλαμβανομένων εκείνων στη λίστα επιτρεπόμενων προγραμμάτων Αυτή η ρύθμιση αποκλείει όλες τις προσπάθειες για σύνδεση με τον υπολογιστή σας, που ξεκινούν από άλλον υπολογιστή στο δίκτυο ή στο Internet και δεν αφορούν ούτε περιορίζουν τις δικές μας συνδέσεις. Επιλέγοντας τη συγκεκριμένη ρύθμιση έχετε την δυνατότητα μέγιστης προστασίας του υπολογιστή σας, που προτείνεται όταν συνδέεστε σε ένα δημόσιο δίκτυο ή όταν κυκλοφορεί κάποιος ιός τύπου worm στο Internet. (Προτείνεται να είναι ενεργοποιημένο στις θέσεις δημοσίου δικτύου). Ειδοποίηση όταν το Τείχος προστασίας των Windows αποκλείει ένα νέο πρόγραμμα Σελίδα 83 από 144

Επιλέγοντας την συγκεκριμένη ρύθμιση, το Τείχος προστασίας των Windows θα σας ειδοποιεί κάθε φορά που αποκλείει ένα νέο πρόγραμμα και σας δίνει την επιλογή να καταργή σετε τον αποκλεισμό αυτού του προγράμματος. (Προτείνεται να είναι ενεργοποιημένο σε όλες τις θέσεις δικτύου για έναν έμπειρο χρήστη). Απενεργοποίηση του Τείχους προστασίας των Windows (δεν προτείνεται) Προτείνεται η αποφυγή ενεργοποίησης αυτής της ρύθμισης, εκτός εάν λειτουργεί κάποιο άλλο τείχος προστασίας στον υπολογιστή σας. Αν καταργήσετε το Τείχος προστασίας των Windows, ενδέχεται να κάνετε τον υπολογιστή σας (και το δίκτυο, αν διαθέτετε) περισσότερο ευάλωτα σε βλάβες από εισβολείς και κακόβουλο λογισμικό. Πηγή: Microsoft, Κατανόηση των ρυθμίσεων για το τείχος προστασίας των Windows Σύνδεσμος: http://windows.microsoft.com/el-gr/windows7/understanding-windows-firewallsettings#section_1 Περισσότερες πληροφορίες για την παραμετροποίηση του εργαλείου μπορούν να βρεθούν εδώ: http://windows.microsoft.com/el-gr/windows7/understanding-windows-firewall-settings Ρύθμιση του προφίλ «Δημόσιο» Ακολουθώντας την διαδικασία ρύθμισης του προφίλ «Δημόσιο» που παρουσιάζεται παρακάτω, σας δίνεται η δυνατότητα να μην περιορίζεται καθόλου τις ενέργειες τις οποίες ξεκινάτε εσείς από τον υπολογιστή σας, αλλά να περιορίζονται όλες οι απομακρυσμένες συνδέσεις που ξεκινούν από τους άλλους υπολογιστές του δικτύου ή του διαδικτύου που έχουν στόχο τον δικό σας υπολογιστή. Τέλος, έχετε την δυνατότητα να παίρνετε καταγραφή αυτών των συνδέσεων. 1. Ανοίξτε το Τείχος προστασίας των Windows κάνοντας κλικ στο κουμπί Έναρξη και, στη συνέχεια, κάνοντας κλικ στην επιλογή Πίνακας ελέγχου. Στη συνέχεια κάντε κλικ στην επιλογή Σύστημα και Ασφάλεια. 2. Στο αριστερό τμήμα του παραθύρου επιλέξτε Ρυθμίσεις για προχωρημένους. 3. Στο αριστερό τμήμα του παραθύρου κάνοντας δεξί κλικ στο Τείχος προστασίας των Windows για εξελιγμένη ασφάλεια, επιλέξτε Ιδιότητες. Σελίδα 84 από 144

4. Επιλέγοντας την καρτέλα Δημόσιο προφίλ, κάνουμε τις ακόλουθες ρυθμίσεις στην ενότητα Κατάσταση : Α. Στην επιλογή Κατάσταση Τείχους προστασίας επιλέγουμε Ενεργοποίηση (προτείνεται). Β. Στην επιλογή Εισερχόμενες συνδέσεις επιλέγουμε Αποκλεισμός όλων των συνδέσεων Σελίδα 85 από 144

5. Τέλος στην καρτέλα Δημόσιο προφίλ, στην ενότητα Καταγραφή πατάμε Προσαρμογή και στην επιλογή Καταγραφή πακέτων που απορρίφθηκαν επιλέγουμε Ναι. Μια άλλη προσέγγιση που ανεβάζει την ασφάλεια του υπολογιστή μας είναι είναι να θεωρούμε όλα τα δίκτυα που εισερχόμαστε για πρώτη φορά, σαν δημόσια δίκτυα. Αυτή η ρύθμιση μπορεί να γίνει και σαν προεπιλογή. Βέβαια μπορεί να αλλάξει όποια στιγμή το θελήσουμε. Σελίδα 86 από 144

Ανώνυμη πλοήγηση με Tor ΑΝΩΝΥΜΗ ΠΛΟΗΓΗΣΗ ΙΣΤΟΣΕΛΙΔΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΜΕ ΤΗ ΧΡΗΣH ΤΟΥ ΔΙΚΤΥΟΥ TOR Σελίδα 87 από 144

ΑΝΩΝΥΜΗ ΠΛΟΗΓΗΣΗ ΙΣΤΟΣΕΛΙΔΩΝ ΣΤΟ ΔΙΑΔΙΚΤΥΟ ΜΕ ΤΗ ΧΡΗΣH ΤΟΥ ΔΙΚΤΥΟΥ TOR Γενικά - Αποποίηση ευθύνης Οι οδηγίες που δίνονται εδώ αφορούν στην ανώνυμη πλοήγηση στο διαδίκτυο, για περιπτώσεις όπου είναι αναγκαίο να γίνει αυτό ΜΟΝΟ για νόμιμους σκοπούς και όχι για παράνομες ενέργειες. Η ΔΙΚΥΒ σε καμία περίπτωση δεν παροτρύνει κανέναν να προβεί σε καμία είδους παράνομη ενέργεια και δε φέρει καμία ευθύνη για τον τρόπο χρήσης των οδηγιών αυτών. Το λογισμικό Tor To Tor (συντομογραφία του The onion router) είναι ένα δίκτυο υπολογιστών που δίνει στους χρήστες του τη δυνατότητα ανωνυμίας στο Διαδίκτυο. Το λογισμικό πελάτη Tor δρομολογεί τη διαδικτυακή κίνηση μέσω ενός παγκόσμιου εθελοντικού δικτύου διακομιστών με σκοπό να αποκρύψει την τοποθεσία ενός χρήστη ή τη χρήση της κίνησης από οποιονδήποτε διεξάγει διαδικτυακή παρακολούθηση ή ανάλυση της διαδικτυακής κίνησης. Η χρήση Tor κάνει δύσκολη την ανίχνευση διαδικτυακής δραστηριότητας του χρήστη, συμπεριλαμβανομένου επισκέψεων σε κάποια ιστοσελίδα, διαδικτυακές αναρτήσεις, προγράμματα άμεσων μηνυμάτων και άλλων μέσων διαδικτυακής επικοινωνίας, κι έχει σκοπό να προστατεύσει την ατομική ελευθερία, την ιδιωτικότητα και τη δυνατότητα του χρήστη να διεξάγει εμπιστευτικές εργασίες χωρίς να καταγράφονται οι διαδικτυακές δραστηριότητές του. Πώς λειτουργεί το Tor Το Onion routing αναφέρεται στη στρωματοποιημένη φύση της υπηρεσίας κρυπτογράφησης: τα αρχικά δεδομένα κρυπτογραφούνται και επανακρυπτογραφούνται πολλές φορές, έπειτα στέλνονται μέσω διαδοχικών κόμβων του Tor, ο καθένας από τους οποίους αποκρυπτογραφεί ένα «στρώμα» κρυπτογράφησης προτού μεταφέρει τα δεδομένα στον επόμενο κόμβο και τελικά στον προορισμό τους. Αυτό μειώνει την πιθανότητα να αποκρυπτογραφηθούν ή να γίνουν κατανοητά κατά τη μεταφορά τους τα αρχικά δεδομένα. Σχηματικά, μπορούμε να δούμε το παραπάνω στην Εικόνα 1. Εικόνα 1 Το δίκτυο Tor Λήψη του λογισμικού Tor Το Tor είναι ελεύθερο λογισμικό πελάτη και η χρήση του είναι δωρεάν. Μπορούμε να κατεβάσουμε το λογισμικό πελάτη ανάλογα με το λειτουργικό σύστημα που χρησιμοποιούμε από την ιστοσελίδα https://www.torproject.org/download/download.html.en. Σελίδα 88 από 144

Έναρξη χρήσης Tor Αφού έχουμε κατεβάσει και αποσυμπιέσει το λογισμικό Tor, οι χρήστες Windows ανοίγουμε το φάκελο και εκτελούμε το αρχείο Start Tor Browser. Οι χρήστες Linux ανοίγουμε μια κονσόλα, μπαίνουμε στον φάκελο που αποσυμπιέσαμε και δίνουμε σαν απλοί χρήστες (όχι root!) την εντολή #./start-tor-browser. Θα ανοίξει ο πίνακας ελέγχου Tor, όπου θα κάνει κάποιους ελέγχους ορθότητας (Εικόνα 2) και εάν δεν υπάρχει κανένα πρόβλημα, τότε θα μας εμφανιστεί ένα παράθυρο πλοήγησης ίδιο με την Εικόνα 3, στο οποίο θα φαίνεται και η ΙΡ διεύθυνση με την οποία θα εμφανιζόμαστε στους άλλους στο Διαδίκτυο. Τονίζεται ότι η υπόψη ΙΡ θα φαίνεται μόνο από τον συγκεκριμένο φυλλομετρητή (browser) και μόνο για σελίδες του Παγκόσμιου Ιστού (www). Εάν επιθυμούμε να κάνουμε χρήση της ανωνυμίας και για άλλες Εικόνα 2 Πίνακας ελέγχου Tor υπηρεσίες (πχ ανταλλαγής άμεσων μηνυμάτων), υπάρχουν άλλες διαδικασίες που ξεφεύγουν από το σκοπό αυτής της Τεχνικής Οδηγίας. Εικόνα 3 Φυλλομετρητής Tor Επίλογος Η σύγχρονη τεχνολογία μας επιτρέπει να πλοηγούμαστε στο Διαδίκτυο ανώνυμα, ώστε να προστατέψουμε την ταυτότητά μας. Οι δυνατότητες ανώνυμης χρήσης δεν σταματούν εδώ, αλλά επεκτείνονται και σε άλλους τομείς που εδώ δεν εξετάστηκαν. Σελίδα 89 από 144

Σωστή χρήση του Ηλεκτρονικού ταχυδρομείου (email). Πως προστατευόμαστε από κακόβουλα email 1. Πρέπει να διαθέτουμε Πολιτική ασφαλείας για την σωστή χρήση του email client. 2. Πρέπει να είμαστε ενήμεροι για θέματα ασφαλέιας. 3. Πρέπει να ασφαλίζουμε τον email client μας και να χρησιμοποιούμε ενημερωμένο antivirus Η ενημέρωση και η επιμόρφωση θα πρέπει να αφορά τόσο στη σωστή χρήση όσο και στις τεχνικές επίθεσης μέσω email. Γενικές πληροφορίες Οι Τεχνικές επίθεσης μέσω email, περιλαμβάνουν τις παρακάτω μεθοδολογίες: 1. Επισυναπτόμενα αρχεία με ιομορφικό περιεχόμενο. Σε αυτή την κατηγορία περιλαμβάνονται PDF, DOC, XLS, RTF αρχεία τα οποία φέρουν μακροεντολές ή και κώδικα και μπορούν να εκτελέσουν ιομορφικό λογισμικό. 2. Ενεργοποίηση γνωστού exploit μέσω email client. Μέσω email μπορεί ένας κακόβουλος χρήστης να ενεργοποιήσει ένα exploit και να επιτεθεί σε εφαρμογές που καλεί ο email client ή και στον ίδιο τον email client. 3. HTML mail με ενσωματωμένα scripts. Αν δεν είναι σωστά ρυθμισμένος ο email client, θα μπορούσε κακόβουλος χρήστης να αποστείλει html κώδικα και να επιτύχει την μόλυνση του συγκεκριμένου υπολογιστή. 4. Αποστολή παραπλανητικών συνδέσμων. Μπορεί ένας κακόβουλος χρήστης να αποστείλει ένα παραπλανητικό email και να ξεγελάσει το χρήστη να ακολουθήσει έναν σύνδεσμο και εκεί να δεχτεί client side attack. Γενικές οδηγίες προστασίας από email επιθέσεις. 1. Πρέπει να ρυθμίζουμε ασφαλώς τον email client και να πραγματοποιούμε συνεχείς ενημερώσεις. Οι ρυθμίσεις που παρέχει το Trust Center της microsoft για Outlook 2007-2010 είναι αρκετές, σύμφωνα με την Microsoft. 2. Πρέπει να κρυπτογραφούμε τα email όταν στέλνουμε προσωπικά δεδομένα 3. Πρέπει να έχουμε spam filterinq 4. Πρέπει να ελέγχει το antivirus κάθε εισερχόμενο email και να είναι συνεχώς ενήμερο 5. Πρέπει να έχουμε ισχυρό συνθηματικό. 6. Δεν πρέπει να ανοίγουμε άγνωστα email. 7.Δεν πρέπει να απαντάμε σε άγνωστα email. Σελίδα 90 από 144

8. Δεν πρέπει να ανοίγουμε ύποπτα email attachments και ειδικά αυτά με καταλήξεις: (.bat,.chm,.cmd,.com,.exe,.hta,.ocx,.pif,.scr,.shs,.vbe,.vbs, or.wsf). 9. Όταν προωθούμε email, καλό είναι να χρησιμοποιούμε BCC (Blind Carbon Copy), ώστε να μην φαίνονται οι αποδέκτες. 10. Προσέχουμε κατά την χρήση των δωρεάν email υπηρεσιών. Πλεονεκτήματα-μειονεκτήματα των free email services. α. Πλεονεκτήματα: 1. Προσβασιμότητα, παντού λαμβάνουμε τα μυνήματα μας με εναν απλό browser. 2. Παροχή επιπλέον υπηρεσιών ασφαλείας, όπως antivirus, antispam. β. Μειονεκτήματα: 1. Ιδιωτικότητα, μπορεί να παραβιαστεί. 2. Αξιοπιστία, μπορεί να μην λειτουργεί, διότι είναι δωρεάν υπηρεσία και όχι δεσμευτική. 3. Μειωμένη ασφάλεια, μερικές φορές δεν παρέχουν ssl συνδέσεις. Πως μειώνουμε τα spam email: 1. Δεν δίνουμε όπου μας ζητάνε το email μας. 2. Όπου μας ζητάνε το email, διαβάζουμε προσεκτικά την πολιτική τους (private policies). 3. Προσέχουμε όταν ζητάμε κάποιες υπηρεσίες τις εξ ορισμού επιλογές, ειδικά αυτές που λένε να μας στέλνουν email. 4. Χρησιμοποιούμε spam φιλτρα. 5. Αν λάβουμε spam email το αναφέρουμε. 6. Δεν ακολουθούμε συνδέσμους σε spam μηνύματα. 7. Δεν επιτρέπουμε να βλέπουμε html μηνύματα. 8. Ενεργοποιούμε δεύτερο λογαριασμό email, για να αποφεύγουμε τα spam. 9. Στην κοινωνική δικτύωση επιλέγουμε ποιος θα βλέπει η όχι τον email λογαριασμό μας. 10. Δεν στέλνουμε spam email. Oι Outlook email client 2007 και 2010 έχουν το trust center, το οποίο δεν είναι τίποτα άλλο από προρυθμίσεις ασφαλείας. Για να πάμε στο Trust center στο Outlook ακολουθούμε τα παρακάτω βήματα. Κλίκ στο File ---> options trust center Εκεί θα βρούμε όλες τις ρυθμίσεις ασφαλείας. Σελίδα 91 από 144

Βασικοί κανόνες ασφαλείας. 1. Δεν επιτρέπουμε την εκτέλεση activex, εκτός αν είμαστε σίγουροι. 2. Επιλέγουμε σαν ζώνη προστασίας την Internet Zone. 3. Γενικά αφήνουμε τις ρυθμίσεις του Trusted Center 4. Επιλέγουμε να μην έχουμε preview στα emails. 5. Ενεργοποιούμε το junk filter. Σελίδα 92 από 144

Ασφαλής ρύθμιση-χρήση usb Προστασία από Μολυσμένες Εξωτερικές Συσκευές Αποθήκευσης (USB Flash Drives) σε Windows XP Οι εξωτερικές συσκευές αποθήκευσης τύπου USB (USB Flash Drives) είναι πολύ χρήσιμες και βολικές γιατί έχουν πολύ μικρό μέγεθος (σε αντίθεση με τους κλασσικούς εξωτερικούς σκληρούς δίσκους) αλλά επιτρέπουν την αποθήκευση και γρήγορη μεταφορά σχετικά μεγάλου όγκου δεδομένων. Όμως, η εκτεταμένη χρήση των USB Flash Drives από την συντριπτική πλειοψηφία των χρηστών Η/Υ έχει καταστήσει αυτές τις συσκευές έναν από τους βασικότερους τρόπους μετάδοσης «κακόβουλου» λογισμικού (Malware). Αν συνδέουμε μία τέτοια συσκευή σε Η/Υ που είναι μολυσμένος, το παραπάνω λογισμικό αντιγράφει τον εαυτόν του αυτόματα στην συσκευή και μολύνει τα περισσότερα από τα αρχεία που υπάρχουν ήδη μέσα σε αυτό. Έτσι, οποιαδήποτε μετέπειτα σύνδεση σε άλλους Η/Υ καταλήγει σε μόλυνση και αυτών είτε μέσω των μολυσμένων αρχείων είτε μέσω της αυτόματης αντιγραφής του Malware. Με αυτό τον τρόπο μπορούμε να μολύνουμε δεκάδες ή ακόμα και εκατοντάδες Η/Υ σε σύντομο χρονικό διάστημα χωρίς αυτό να γίνει αντιληπτό. Επισημαίνεται ότι αυτή η αδυναμία έχει εφαρμογή κυρίως σε Η/Υ που χρησιμοποιούν λειτουργικό σύστημα Windows. Η συγκεκριμένη τεχνική οδηγία έχει σκοπό να μας δείξει πως μπορούμε να μειώσουμε την πιθανότητα να «μολυνθεί» ο προσωπικός μας Η/Υ από «κακόβουλο» λογισμικό μέσω των USB Flash Drives σε λειτουργικό σύστημα Windows XP. Για την αντιμετώπιση αυτού του προβλήματος απαιτούνται τρείς (3) βασικές ενέργειες: 1. Χρήση ενημερωμένου λογισμικού Antivirus και σάρωση-έλεγχο της συσκευής USB με αυτό. 2. Απενεργοποίηση της λειτουργίας Αυτόματης Εκτέλεσης Προγραμμάτων (Autorun) των Windows. 3. Ρύθμιση του λειτουργικού συστήματος ώστε να βλέπουμε: α. Τις καταλήξεις όλων των αρχείων. β. Τα κρυφά αρχεία. γ. Τα αρχεία συστήματος. Για να εντοπίσουμε μία μολυσμένη USB συσκευή αλλά ταυτόχρονα να προφυλαχτούμε από την μετάδοση του κακόβουλου λογισμικού θα πρέπει να ακολουθήσουμε τα παρακάτω βήματα: 1. Αποφεύγουμε ΠΑΝΤΑ τo «άνοιγμα» μίας USB συσκευής (για να δούμε τα περιεχόμενά της) μέσω της λειτουργίας Autorun (Eικόνες 1 και 2). Εικόνα 1. ΔΕΝ χρησιμοποιούμε την παραπάνω επιλογή Σελίδα 93 από 144

Εικόνα 2. ΔΕΝ χρησιμοποιούμε την παραπάνω επιλογή Η πρώτη περίπτωση (Εικόνα 1) εμφανίζεται στην περίπτωση που είναι ενεργοποιημένη η λειτουργία autorun ή στην περίπτωση που έχουμε μολυσμένο USB και έχει δημιουργηθεί από το κακόβουλο λογισμικό το αρχείο «autorun.inf» με σκοπό να γίνει αυτόματη εγκατάσταση του λογισμικού στους Η/Υ που συνδέουμε την συσκευή. Στην δεύτερη περίπτωση (Eικόνα 2) το autorun είναι ενεργοποιημένο αλλά δεν υπάρχει το αρχείο autorun.inf, όμως στο παράθυρο που ανοίγει αυτόματα εμφανίζεται η επιλογή που διακρίνεται με το κόκκινο περίγραμμα και η οποία έχει σκοπό να εξαπατήσει τον χρήστη. Σε περίπτωση που γίνει επιλογή αυτής θα δούμε τα περιεχόμενα της συσκευής αλλά ταυτόχρονα θα ενεργοποιηθεί και το malware. 2. Απενεργοποίηση της Αυτόματης Εκτέλεσης Προγραμμάτων (Autorun) των Windows. Για την απενεργοποιήση του Autorun απαιτείται η παρακάτω διαδικασία: α. Επιλέγουμε Start --> Run, γράφουμε Gpedit.msc και πατάμε Enter. β. Στο Local Group Policy, επεκτείνουμε (expand) το Computer Configuration, και στη συνέχεια το Administrative Templates και μετά κάνουμε click στο System. γ. Στην καρτέλα Settings κάνουμε δεξί click στο Turn off Autoplay, και στη συνέχεια click στο Properties. δ. Κάνουμε click Enabled, και στη συνέχεια επιλέγουμε All drives στο κουτί Turn off Autoplay για να απενεργοποιήσουμε το Autorun σε όλους τους δίσκους (drives). ε. Κάνουμε click OK για να κλείσουμε το κουτί διαλόγου Turn off Autoplay Properties. στ. Κάνουμε επανεκίνηση (Restart) του Η/Υ. 3. Για να πλοηγηθούμε με ασφάλεια σε μία συσκευή USB (και να αποφύγουμε την χρήση του autorun) κάνουμε δεξί κλικ στο εικονίδιο αυτής και επιλέγουμε Open (Εικόνα 3). Σελίδα 94 από 144

Εικόνα 3. Ασφαλής τρόπος «ανοίγματος» συσκευής USB 4. Στην συνέχεια πλοηγούμαστε στην συσκευή και αναζητούμε τυχόν ενδείξεις για malware. Αυτά μπορεί να έχουν την μορφή εκτελέσιμων αρχείων (με κατάλήξη.exe,.com,.dll,.scr). Επίσης, αναζητούμε αρχεία με την ονομασία autorun.inf. Αυτό είναι το πρόγραμμα το οποίο είναι υπεύθυνο για να εκτελεστεί αυτόματα το κακόβουλο λογισμικό εάν έχουμε ενεργοποιημένο το autorun. Με το πρόγραμμα notepad μπορούμε να το ανοίξουμε και να το διαβάσουμε με σκοπό να βρούμε την διαδρομή (path) που είναι κρυμμένος ο ιός. Παράδειγμα autorun.inf.: [AutoRun] shellexecute=\recycler\virus.exe UseAutoPlay=1 Στο παραπάνω παράδειγμα ο ιός (virus) βρίσκεται μέσα στον φάκελο RECYCLER της συσκευής USB και ονομάζεται virus.exe (Εικόνα 4). Σελίδα 95 από 144

Eικόνα 4. Διαδρομή «κακόβουλου» λογισμικού σε συσκευή USB Πλοηγούμαστε στον φάκελο RECYCLER. Συνήθως ο ιός έχει αυτόματα οριστεί ως κρυφό αρχείο, οπότε για να μπορούμε να τον δούμε θα πρέπει να έχουμε επιλέξει στις ιδιότητες των Φακέλων την λειτουργία «εμφάνισης κρυφών αρχείων και φακέλων» (Show hidden files and folders). Σε αντίθετη περίπτωση θα δούμε την παρακάτω εικόνα (εικόνα 5): Εικόνα 5. ΜΗ επιλογή «εμφάνισης κρυφών αρχείων & φακέλων» Σελίδα 96 από 144

5. Επόμενο βήμα είναι να ρυθμίσουμε το λειτουργικό σύστημα ώστε να βλέπουμε τα κρυφά αρχεία, τα αρχεία συστήματος καθώς και τις καταλήξεις όλων των αρχείων. Η ρύθμιση αυτή γίνεται μέσα από την διαδρομή Tools --> Folder Options όπου στην καρτέλα «View» ενεργοποιούμε την επιλογή «Show hidden files and folders» και απενεργοποιούμε τις επιλογές «Hide extensions for known file types» και «Hide protected operating system files» (Εικόνα 6). Εικόνα 6. Επιλογή «εμφάνισης κρυφών αρχείων & φακέλων», «ΜΗ απόκρυψη αρχείων συστήματος» και «εμφάνιση καταλήξεων αρχείων» Με την διαδικασία που περιγράφτηκε μπορούμε να εντοπίσουμε ένα κακόβουλο λογισμικό που ενεργοποιείται αυτόματα με την χρήση του αρχείου autorun.inf. Μία άλλη τεχνική μετάδοσης ιών μέσα από συσκευές USB είναι η τεχνική Shortcut Virus. Ο συγκεκριμένος ιός λειτουργεί ως εξής: αφού εντοπίσει την USB συσκευή, ανιχνεύει όλες τις εφαρμογές που έχει αποθηκευμένες ο χρήστης στην συγκεκριμένη συσκευή και τις μετατρέπει είτε σε κρυφά αρχεία, είτε σε αρχεία συστήματος (με σκοπό να μην είναι ορατές) και ταυτόχρονα δημιουργεί «μολυσμένες» συντομεύσεις (Shortcuts) αυτών των αρχείων (Εικόνες 7 και 8). Σε περίπτωση που επιλέξουμε (κάνουμε κλικ) σε μία από αυτές τις συντομεύσεις, εκτελείται το κακόβουλο λογισμικό με αποτέλεσμα την άμεση «μόλυνση» του Η/Υ. Για την αντιμετώπιση του συγκεκριμένου ιού και την αποκατάσταση των εφαρμογών στην συσκευή USB απαιτούνται τα παρακάτω βήματα: 1. Εγκαθιστούμε στο Antivirus τις τελευταίες ενημερώσεις (updates) και ελέγχουμε την συσκευή USB. Σελίδα 97 από 144

Εικόνα 7. Απεικόνιση αρχείων σε «καθαρή» USB συσκευή Εικόνα 8. Απεικόνιση αρχείων σε συσκευή USB με Shortcut Virus Σελίδα 98 από 144

Εικόνα 9. Κάθε συντόμευση (Shortcut) ενεργοποιεί τον ιό. 2. Πλοηγούμαστε στην συσκευή με δεξί κλικ και Open. Αφού έχουμε επιλέξει να βλέπουμε τα κρυφά αρχεία, τα αρχεία συστήματος και τις καταλήξεις, θα δούμε τα αρχικά αρχεία μας μαζί με τις συντομεύσεις αλλά και τον ιό (αν δεν τον έχει διαγράψει το Antivirus). Αν κάνουμε δεξί κλικ σε κάποια από τις συντομεύσεις και ανοίξουμε την καρτέλα Shortcut θα διαπιστώσουμε ότι η συντόμευση καλεί τον ιό (Εικόνα 9). Αρχικά διαγράφουμε όλες τις συντομεύσεις (Εικόνα 10) και τον ιό, αν παραμένει στην συσκευή μετά τον έλεγχο του Antivirus. Σελίδα 99 από 144

Εικόνα 10. Διαγραφή συντομεύσεων 3. Εν συνεχεία, για την επαναφορά των αρχικών αρχείων, επιλέγουμε Start --> Run και αφού γράψουμε cmd.exe πατάμε Enter. Με αυτή την εντολή θα εμφανιστεί η κονσόλα (γραμμή εντολών). Αν υποθέσουμε πως το γράμμα που αντιστοιχεί στο USB είναι το «d», τότε δίνουμε την παρακάτω εντολή (Εικόνα 11) η οποία επαναφέρει όλα τα αρχεία της συσκευής στην αρχική τους μορφή (Εικόνα 12): attrib -h -r -s /s /d d:\*.* Εικόνα 11. Εντολή αποκατάστασης Σελίδα 100 από 144

Εικόνα 12. Αποκατάσταση των αρχείων στην συσκευή USB Σελίδα 101 από 144

Κρυπτογράφηση δεδομένων Δημιουργία και χρήση κρυπτογραφημένων διαμερισμάτων μνήμης με το εργαλείο TrueCrypt Σελίδα 102 από 144

Δημιουργία και χρήση κρυπτογραφημένων διαμερισμάτων μνήμης με το εργαλείο TrueCrypt Γενικά Είναι σημαντικό στην περίπτωση που χρησιμοποιούμε φορητούς υπολογιστές, φορητές συσκευές αποθήκευσης (USB) ή στην περίπτωση που έχουμε ευαίσθητα δεδομένα στον υπολογιστή, αυτά να μπορούν να προστατευτούν από τους μη εξουσιοδοτημένους χρήστες με τη χρήση ενός κρυπτογραφημένου χώρου. Η παρούσα τεχνική οδηγία περιγράφει βήμα προς βήμα τη διαδικασία δημιουργίας κρυπτογραφημένων διαμερισμάτων μνήμης με την χρήση του ελεύθερου λογισμικού TrueCrypt. Επιλέγουμε το truecrypt, διότι είναι δωρεάν, έχει ανοικτό κώδικα και χρησιμοποιείται από το σύνολο των λειτουργικών συστημάτων. Εγκατάσταση Κατεβάζουμε και εγκαθιστούμε την εφαρμογή truecrypt από την επίσημη ιστοσελίδα επιλέγοντας την κατάλληλη έκδοση για το λειτουργικό σύστημα που χρησιμοποιούμε, από εδώ: http://www.truecrypt.org/downloads Δημιουργία Κρυπτογραφημένης Περιοχής Μνήμης Αφού έχουμε ολοκληρώσει επιτυχώς την εγκατάσταση της εφαρμογής μπορούμε να την εκτελέσουμε είτε κάνοντας διπλό κλικ πάνω στο TrueCrypt.exe είτε κάνοντας κλικ στο εικονίδιο της εφαρμογής που έχει προστεθεί στο μενού Έναρξη του λειτουργικού συστήματος, έτσι ώστε να εμφανιστεί το αρχικό παράθυρο. Εικόνα 1 Αρχικό παράθυρο Στο παράθυρο της Εικόνας 1 που θα εμφανιστεί επιλέγουμε Create Volume για να εκκινήσουμε τον οδηγό Δημιουργίας Κρυπτογραφημένης Περιοχής Μνήμης όπως φαίνεται παρακάτω. Σελίδα 103 από 144

Εικόνα 2 Δημιουργίας Κρυπτογραφημένης Περιοχής Μνήμης Η πρώτη από τις παραπάνω επιλογές που έχουμε είναι να δημιουργήσουμε έναν φάκελο ο οποίος θα κρυπτογραφηθεί και θα μπορούμε με τον κωδικό μας να τον χειριζόμαστε σαν ένα απλό φάκελο. Η δεύτερη επιλογή, μας επιτρέπει να κρυπτογραφήσουμε ένα ήδη υπάρχον partition, το οποίο όμως δεν είναι συστήματος ή και μία μονάδα usb flash disk. Η τρίτη επιλογή, μας δίνει την δυνατότητα να κρυπτογραφήσουμε το partition της μνήμης που χρησιμοποιείται για το σύστημα. Η ακόλουθη διαδικασία αφορά την πρώτη επιλογή από τις παραπάνω, δηλαδή δημιουργίας κρυπτογραφημένου φακέλου. Επιλέγουμε το Create an encrypted file container και πατάμε Next. Στο παράθυρο που θα ανοίξει, όπως φαίνεται στην εικόνα 3, έχουμε τη δυνατότητα να επιλέξουμε εάν ο φάκελος που θα δημιουργήσουμε θα είναι κρυφός ή όχι. Επιλέγουμε Standard TrueCrypt Volume και πατάμε Next. της Εικόνα 3 Τύπος Φακέλου Στο αριστερό παράθυρο της εικόνας 4 που εμφανίζεται, επιλέγουμε που θέλουμε να δημιουργηθεί ο φάκελος που θα κρυπτογραφηθεί. Επιλέγουμε Select File και πατάμε Next έτσι ώστε να ανοίξει ο Windows Explorer όπως φαίνεται δεξιά στην εικόνα 4. Σελίδα 104 από 144

Εικόνα 4 Επιλογή Τοποθεσίας Φακέλου Στην επάνω γραμμή του Windows Explorer επιλέγουμε την τοποθεσία του φακέλου που θέλουμε να δημιουργήσουμε, ενώ στην κάτω γραμμή επιλέγουμε την ονομασία του φακέλου και πατάμε Save. ΠΡΟΣΟΧΗ: Είναι πολύ σημαντικό να προσέξουμε ότι εάν επιλέξουμε να κρυπτογραφήσουμε έναν ήδη υπάρχον φάκελο, τότε τα αρχεία που θα υπάρχουν σε αυτόν θα χαθούν, γιατί ο φάκελος θα υποστεί νέα διαμόρφωση. Επιλογές Κρυπτογράφησης Αφού επιβεβαιώσουμε τις επιλογές μας στο παράθυρο που εμφανίζεται, όπως φαίνεται αριστερά στην εικόνα 5.1, πατάμε Next για να εμφανιστεί το δεξί παράθυρο της εικόνας 5.1, όπου θα επιλέξουμε τον αλγόριθμο με τον οποίο θα γίνει η κρυπτογράφηση του φακέλου και επιλέγουμε Next. Σελίδα 105 από 144

Εικόνα 5.1 Επιλογές Κρυπτογράφησης Στο βήμα αυτό επιλέγουμε το μέγεθος του κρυπτογραφημένου φακέλου στο αριστερό παράθυρο της εικόνας 5.2 και πατάμε Next για να εισάγουμε τον κωδικό με τον οποίο θα γίνει η κρυπτογράφηση όπως στο δεξί παράθυρο. Αφού εισάγουμε δύο φορές τον κωδικό σας για επιβεβαίωση πατάμε Next. Εικόνα 5.2 Επιλογές Κρυπτογράφησης Θα πρέπει να θυμόμαστε τον κωδικό. Εάν για οποιοδήποτε λόγο τον ξεχάσουμε ή τον χάσουμε δεν θα έχουμε πρόσβαση στα δεδομένα μας. Ο κωδικός μπορεί να είναι όσο μεγάλος επιθυμούμε, κατά προτίμηση επιλέγουμε μία μεγάλη πρόταση (pass-phrase) με παραλλαγές ώστε να την θυμόμαστε. Σελίδα 106 από 144

Κατόπιν, επιλέγουμε στο παράθυρο που εμφανίζεται τον τύπο διαμόρφωσης (NTFS ιδανικό) όπως φαίνεται πάνω αριστερά της εικόνας 5.3.1 και πατάμε Format. Όταν τελειώσει η διαδικασία διαμόρφωσης θα εμφανιστεί το παράθυρο επιβεβαίωσης όπως φαίνεται πάνω δεξιά της εικόνας 5.3.1. Πατάμε ΟΚ ώστε να εμφανιστεί το παράθυρο επιβεβαίωσης της δημιουργίας του κρυπτογραφημένου αρχείου. Για να κλείσει πατάμε Exit Εικόνα 5.3.1 Επιλογές Κρυπτογράφησης Εικόνα 5.3.2 τέλος Κρυπτογράφησης Άνοιγμα Κρυπτογραφημένου Φακέλου Σε αυτό το βήμα θα δείξουμε πώς ανοίγουμε το κρυπτογραφημένο φάκελο που δημιουργήσαμε με τα παραπάνω βήματα. Στην κεντρική οθόνη της εφαρμογής επιλέγουμε κάποιο από τα διαθέσιμα γράμματα που εμφανίζονται και κατόπιν πατάμε Select File, όπως στα αριστερά της εικόνας 6.1. Θα εμφανιστεί ο Windows Explorer όπου πρέπει να πλοηγηθούμε και να επιλέξουμε τον φάκελο που δημιουργήσαμε στα προηγούμενα βήματα και πατάμε Open. Σελίδα 107 από 144

Εικόνα 6.1 Άνοιγμα Κρυπτογραφημένου Φακέλου Ακολούθως στο πάνω αριστερά παράθυρο της εικόνας 6.2 πατάμε Mount για να εμφανιστεί το παράθυρο εισαγωγής κωδικού. Αφού εισάγουμε τον κωδικό τον οποίο χρησιμοποιήσαμε για την διαδικασία κρυπτογράφησης πατάμε OK. Θα εμφανιστεί το παράθυρο το οποίο φαίνεται στο κάτω μέρος της εικόνας 6.2, όπου φαίνεται ότι έχει ολοκληρωθεί επιτυχώς η διαδικασία αποκρυπτογράφησης των δεδομένων του φακέλου μας και μπορούμε να δούμε τα περιεχόμενα του. Εικόνα 6.2 Άνοιγμα Κρυπτογραφημένου Φακέλου Σελίδα 108 από 144

Σε περίπτωση λανθασμένης εισαγωγής κωδικού θα μας ζητηθεί να εισάγουμε ξανά τον κωδικό. Ο κρυπτογραφημένος φάκελός μας έχει δημιουργηθεί σαν μία νέα διαμέριση και έχει ανατεθεί από το σύστημα ένα νέο γράμμα σε αυτόν. Πλοηγούμαστε στον φάκελο My Computer, για να πλοηγηθούμε στον φάκελο μας, όπως και στην εικόνα 6.3. Πλέον μπορούμε να χρησιμοποιήσουμε τον νέο φάκελο σαν οποιοδήποτε απλό φάκελο. Τα αρχεία που εισάγουμε σε αυτόν κρυπτογραφούνται αυτόματα. Εικόνα 6.3 Άνοιγμα Κρυπτογραφημένου Φακέλου Κλείσιμο Κρυπτογραφημένου Φακέλου Για να κλείσουμε τον φάκελο επιλέγουμε στην αρχική οθόνη της εφαρμογής τον κρυπτογραφημένο φάκελο και πατάμε Dismount όπως φαίνεται στην εικόνα 7. Εικόνα 7 Κλείσιμο Κρυπτογραφημένου Φακέλου Επίλογος Είναι σημαντικό να κρυπτογραφούμε τα δεδομένα μας, ώστε σε περίπτωση απώλειας, είτε της φορητής συσκευής αποθήκευσης, είτε του φορητού μας υπολογιστή να μην μπορεί κάποιος να ανακτήσει τις πληροφορίες μας. Υπάρχουν αρκετές δωρεάν εφαρμογές, το truecrypt είναι μία από τις αξιόπιστες. Γενικά κρυπτογραφούμε τα δεδομένα μας για να μην μπορεί τρίτος να έχει πρόσβαση. Σε επίπεδο υπολογιστή επιλέγουμε και συνολική κρυπτογράφηση του σκληρού δίσκου αλλά και κρυπτογράφηση επιμέρους φακέλων. Ολοκληρωτικά κρυπτογραφούμε και τις εξωτερικές μας συσκευές αποθήκευσης και εσωτερικά δημιουργούμε κρυπτογραφημένους φακέλους και επιπλέον προστασία. Ιδανική λύση είναι να έχουμε διπλή κρυπτογράφηση. Δηλαδή, στην περίπτωση Linux, χρησιμοποιούμε LUKS για εξωτερική κρυπτογράφηση και στην συνέχεια truecrypt για εσωτερική κρυπτογράφηση. Σελίδα 109 από 144

Sandboxie ΑΣΦΑΛΗΣ ΕΚΤΕΛΕΣΗ ΠΡΟΓΡΑΜΜΑΤΩΝ ΜΕ ΤΗ ΧΡΗΣΗ ΤΟΥ SANDBOXIE Σελίδα 110 από 144

ΑΣΦΑΛΗΣ ΕΚΤΕΛΕΣΗ ΠΡΟΓΡΑΜΜΑΤΩΝ ΜΕ ΤΗ ΧΡΗΣΗ ΤΟΥ SANDBOXIE Γενικά Tο sandbox είναι ένα μηχανισμός-λογισμικό ασφαλείας, όπου μας επιτρέπει τα προγράμματα (εφαρμογές) να εκτελούνται σε περιορισμένο ελεγχόμενο περιβάλλον, χωρίς να επηρεάζουν το λειτουργικό σύστημα του υπολογιστή. Χρησιμοποιείται για πολλούς σκοπούς. Για προσωπική χρήση μπορεί να χρησιμοποιηθεί για να εκτελούμε εφαρμογές, όπως ο browser, και να πλοηγηθούμε σε ιστοσελίδες που δεν τις εμπιστευόμαστε, να εκτελέσουμε λογισμικό που έχουμε την υπόνοια πως μπορεί να περιέχει κακόβουλο κώδικα. Πρακτικά, το sandbox παρέχει τους απολύτως απαραίτητους πόρους ώστε να εκτελεστεί ένα πρόγραμμα, μέσα σε έναν περιορισμένο και ελεγχόμενο χώρο, στον σκληρό δίσκο και στην μνήμη. Η πρόσβαση στο δίκτυο (τοπικό ή Διαδίκτυο), καθώς και η δυνατότητα αναγνώρισης του λειτουργικού συστήματος ή η χρήση εξωτερικών αποθηκευτικών μέσων είναι μη επιτρεπτή ή αυστηρώς περιορισμένη, όταν εκτελείται μία εφαρμογή μέσα από το sandbox, περιορίζει έτσι την μόλυνση του υπολογιστή. Για τους παραπάνω λόγους, το sandbox θεωρείτε μια μορφή εικονικού περιβάλλοντος. Υπάρχουν πολλές εμπορικές εφαρμογές που κάνουν χρήση του μηχανισμού sandbox. Το πιο δημοφιλές από αυτά είναι το sandboxie [http://www.sandboxie.com/], το οποίο προσφέρει και μία δωρεάν έκδοση για προσωπική χρήση και αυτήν παρουσιάζουμε. Στο σχήμα που ακολουθεί διακρίνουμε γραφικά τον τρόπο εκτέλεσης των εφαρμογών με τη χρήση του Sandboxie και το επίπεδο ασφάλειας που προστίθεται. Εικόνα 1 Τρόπος εκτέλεσης των εφαρμογών με τη χρήση του Sandboxie Εγκατάσταση Αφού κατεβάσουμε το πρόγραμμα (sandboxieinstaller.exe) από την επίσημη ιστοσελίδα, κάνουμε εγκατάσταση με δικαιώματα διαχειριστή. Οι προεπιλεγμένες επιλογές που προτείνονται στην εγκατάσταση είναι επαρκείς για την βασική χρήση. Σελίδα 111 από 144

Εικόνα 2 Διαδικασία εγκατάστασης Εκτέλεση Μετά το τέλος της εγκατάστασης το λογισμικό θα εκτελεστεί για πρώτη φορά και θα εμφανιστεί το σχετικό εικονίδιο στο System Tray. Παράλληλα θα ανοίξει το κεντρικό παράθυρο ελέγχου, Sandboxie Control. Εικόνα 3 System Tray Εικόνα 4 Sandboxie Control 'Όπως φαίνεται και στην παραπάνω εικόνα το πρόγραμμα χρησιμοποιεί ξεχωριστό file manager με φακέλους, στους οποίους η πρόσβαση είναι εφικτή μόνο μέσα από το Sandbox. Εκεί θα βρούμε φακέλους οι οποίοι προσομοιάζουν το πραγματικό λειτουργικό σύστημα, π.χ. Desktop, Drives κλπ. Συγκεκριμένα, οι φάκελοι είναι διαθέσιμοι από το DefaultBox, αφού η εφαρμογή δίνει τη δυνατότητα να δημιουργήσουμε και να χρησιμοποιήσουμε παραπάνω από ένα κουτιά. Σελίδα 112 από 144

Επιλέγοντας View θα εμφανιστούν οι επιλογές Programs και Files and Folders. Επιλέγουμε Programs για να εμφανιστούν τα προγράμματα και οι διεργασίες οι οποίες εκτελούνται στο περιορισμένο χώρο του Sandboxie. Όπως φαίνεται στην παρακάτω εικόνα, ο χρήστης έχει εκτελέσει τον Firefox μέσα από το Sandboxie. Στο παράθυρο Sandboxie Control μπορούμε να επιβεβαιώσουμε ότι η εφαρμογή που έχει τρέξει είναι ο Firefox παράλληλα με τις απαραίτητες, για την εκτέλεση του, διεργασίες. Εικόνα 5 Sandboxie Control/Programs Για την εκτέλεση οποιασδήποτε εφαρμογής με τη χρήση του Sandboxie κάνουμε δεξί κλικ στην εφαρμογή μέσα από το Start, All Programs ή στο αντίστοιχο εικονίδιο της εφαρμογής στο φάκελο εγκατάστασης. Το ίδιο ισχύει και για τυχόν συντομεύσεις που μπορεί να έχουμε. Εικόνα 6 Εκτέλεση εφαρμογής με τη χρήση του Sandboxie Σελίδα 113 από 144

Μετά την εκτέλεση της εφαρμογής με την παραπάνω διαδικασία, θα εμφανιστεί το παρακάτω παράθυρο, όπου καλούμαστε να επιλέξουμε το κουτί μέσα στο οποίο θα τρέξει η εφαρμογή. Όπως προαναφέρθηκε το Sandboxie μας δίνει την δυνατότητα να δημιουργήσουμε διαφορετικό στεγανό χώρο ( κουτί ). Πρέπει να σημειωθεί ότι αυτή η δυνατότητα είναι διαθέσιμη μόνο στην εμπορική έκδοση. Εικόνα 7 Επιλογή κουτιού Αφού επιλέξουμε το DefaultBox και πατήσουμε ΟΚ ανοίγει η εφαρμογή με τη χρήση του Sandboxie. Σημειώνεται ότι η εκκίνηση της εφαρμογής μπορεί να καθυστερήσει ενώ υπάρχει πιθανότητα, ανάλογα με τις ρυθμίσεις του Sandboxie, να εμφανιστεί κάποιο παράθυρο όπου αναφέρονται πιθανά σφάλματα ή καταγραφές. Μπορούμε να διακρίνουμε μια εφαρμογή που εκτελείται Sandboxed από το χαρακτηριστικό περίγραμμα του παραθύρου που ανοίγει. Εικόνα 8 Εκτέλεση εφαρμογής με τη χρήση του Sandboxie Σελίδα 114 από 144

Περαιτέρω Ρυθμίσεις Στο μενού Sandbox, DefaultBox, SandboxSettings υπάρχουν πολλές ρυθμίσεις οι οποίες αφορούν στην διαμόρφωση της εφαρμογής σύμφωνα με τις ανάγκες του χρήστη. Οι ρυθμίσεις αυτές καλύπτουν από την εμφάνιση της εφαρμογής έως και πιο προχωρημένες επιλογές που ξεφεύγουν από το σκοπό της παρούσης Τεχνικής Οδηγίας. Πολλές από αυτές τις ρυθμίσεις είναι διαθέσιμες μόνο στην εμπορική έκδοση της εφαρμογής. Στον ιστότοπο του Sandboxie μπορούμε να βρούμε αρκετές συμβουλές χρήσης. http://www.sandboxie.com/index.php?helptopics Εικόνα 9 Ρυθμίσεις εφαρμογής Επίλογος Ο μηχανισμός sandbox προσφέρει ένα ικανοποιητικό επίπεδο ασφαλείας στον μέσο χρήστη, για την εκτέλεση άγνωστων εφαρμογών ή τον περιορισμό εκτέλεσης κακόβουλου λογισμικού κατά τη διάρκεια της πλοήγησης στο διαδίκτυο. Σελίδα 115 από 144

Εντοπισμός ύποπτης συμπεριφοράς Η/Υ Windows ΑΝΤΙΜΕΤΩΠΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ WINDOWS Σελίδα 116 από 144

ΑΝΤΙΜΕΤΩΠΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ WINDOWS Γενικά Σκοπός της παρούσας Τεχνικής Οδηγίας είναι να εντοπίζουμε την πιθανή παραβίαση ενός λειτουργικού συστήματος Windows, μέσα από μία σειρά ελέγχων και στην συνέχεια να προβούμε στην αντιμετώπιση. Η τεχνική αυτή οδηγία, μπορεί να εφαρμοστεί στην περίπτωση που έχουμε ενδείξεις ότι έγινε παραβίαση του Η/Υ και το αντιικό λογισμικό δεν δύναται να εντοπίσει την κακόβουλη εφαρμογή. Όλες οι εντολές δίνονται στην γραμμή εντολών (DOS prompt). Η γραμμή εντολών εμφανίζεται είτε αφού ανοίξουμε το σχετικό παράθυρο Command prompt από το μενού Start, είτε πληκτρολογώντας την εντολή cmd.exe στο πλαίσιο της αναζήτησης (search). Οι εντολές αυτές θα πρέπει να χρησιμοποιούνται περισσότερο ως προληπτικοί περιοδικοί έλεγχοι του λειτουργικού συστήματος για την αποφυγή προβλημάτων, όποτε κρίνουμε απαραίτητο ή έχουμε υπόνοιες πως κάτι δεν λειτουργεί σωστά, και να καταγράφονται οι ημερομηνίες ελέγχου για μελλοντική χρήση. Με τις ενέργειες αυτές, προσπαθούμε να εντοπίσουμε την δημιουργία ύποπτων λογαριασμών χρηστών, ύποπτες διεργασίας και υπηρεσίες, ύποπτες συνδέσεις, ύποπτες εγγραφές στην registry, την ύπαρξη keylogger (εντοπίζουμε το αρχείο που μας καταγράφει), την ύπαρξη ύποπτων εγγραφών στον scheduler και γενικά εντοπίζουμε την τυχόν ύποπτη συμπεριφορά του υπολογιστή μας. Εντοπισμός ύποπτων Λογαριασμών χρηστών Στον προσωπικό μας υπολογιστή, θα πρέπει να υπάρχουν οι λογαριασμοί χρηστών που εμείς έχουμε δημιουργήσει. Θα πρέπει να γνωρίζουμε τους χρήστες που έχουν πρόσβαση στον συγκεκριμένο υπολογιστή, ώστε να μπορέσουμε να εντοπίσουμε τυχόν δημιουργία λογαριασμού χρήστη χωρίς την συγκατάθεσή μας, ειδικά αυτών που έχουν δικαιώματα διαχειριστών (administrator). Ο κακόβουλος χρήστης όταν παραβιάσει έναν υπολογιστή δημιουργεί έναν λογαριασμό χρήστη με δικαιώματα διαχειριστού, για να έχει συνεχή πρόσβαση. Εικόνα 1 Ομάδα διαχειριστών από γραφικό περιβάλλον Για να εντοπίσουμε αυτό τον λογαριασμό ενεργούμε ως εξής: Για να δούμε τους λογαριασμούς που έχουν δικαιώματα διαχειριστή (administrator) σε γραφικό περιβάλλον, δίνουμε την εντολή C:\>lusrmgr.msc. Επιλέγουμε τον φάκελο Groups, κάνουμε διπλό κλικ στο Administrator και θα εμφανιστούν τα μέλη της ομάδας αυτής, όπως φαίνεται στην εικόνα 1. Σελίδα 117 από 144

Επίσης, το ίδιο αποτέλεσμα έχουμε στην γραμμή εντολών και με τις εντολές C:\>net user (Εικόνα 2) και C:\>net localgroup administrators (Εικόνα 3). Εικόνα 2 - Ομάδα διαχειριστών από γραμμή εντολών (1) Εικόνα 3 - Ομάδα διαχειριστών από γραμμή εντολών (2) Αρχεία καταγραφής συμβάντων (logs) (Ασυνήθιστες εγγραφές). Στα αρχεία αυτά καταγράφονται γενικά μηνύματα σφάλματος και προειδοποιήσεις του συστήματος. Για να εμφανίσουμε τα αρχεία καταγραφής συμβάντων σε γραφικό περιβάλλον, δίνουμε την εντολή C:\>eventvwr.msc. Θα εμφανιστεί το παράθυρο της εικόνας 4, όπου μπορούμε να δούμε όλα τα μηνύματα σφάλματος και προειδοποιήσεων, ανά κατηγορία. Εικόνα 4 - Μηνύματα σφάλματος και προειδοποιήσεις συστήματος Σελίδα 118 από 144

Εγγραφές που θα πρέπει να μας προβληματίσουν φαίνονται στον παρακάτω πίνακα. Α/Α Αγγλική έκδοση Ελληνική έκδοση 1. Event log service was stopped. 2. Windows File Protection is not active on Η προστασία αρχείων των Windows δεν this system. είναι ενεργή σε αυτό το σύστημα. 3. The protected System file [file name] was Το προστατευόμενο αρχείο [όνομα not restored to its original, valid version αρχείου] δεν επανήλθε στην αρχική, because the Windows File Protection... έγκυρη έκδοση γιατί η προστασία αρχείων των Windows... 4. The MS Telnet successfully. Service Η υπηρεσία καταγραφής συμβάντων έχει σταματήσει. has started Η υπηρεσία Telnet ξεκίνησε επιτυχώς. Πίνακας 1 Ύποπτες εγγραφές Επίσης, μεγάλος αριθμός από αποτυχημένες προσπάθειες εισαγωγής στο σύστημα (logon failures) ή κλειδωμένους λογαριασμούς θα πρέπει να μας προβληματίσει. Διεργασίες και υπηρεσίες Κάθε σύστημα έχει ορισμένες υποχρεωτικές διεργασίες που πρέπει να εκτελεστούν για την εύρυθμη λειτουργία του και τόσες υπηρεσίες όσες χρειάζονται για να επιτελέσει τον σκοπό χρήσης του. Για το λόγο αυτό, αυτές θα πρέπει να είναι από πριν γνωστές, ώστε να μπορούμε να δούμε τυχόν περίεργες εντολές ή υπηρεσίες που εκτελούνται σε αυτό. Για να ελέγξουμε εάν εκτελούνται διεργασίες ως χρήστης Σύστημα ( SYSTEM ) ή Διαχειριστής ( Administrator ), σε γραφικό περιβάλλον, εκτελούμε Εικόνα 5 - Διεργασίες από γραφικό περιβάλλον την εντολή C:\>taskmgr.exe και θα εμφανιστεί το παράθυρο της εικόνας 5. Σελίδα 119 από 144

Επίσης, το ίδιο αποτέλεσμα έχουμε στην γραμμή εντολών και με τις εντολές C:\>tasklist (εικόνα 6) και C:\>wmic process list full (εικόνα 7) για περισσότερες λεπτομέρειες. Εικόνα 6 - Διεργασίες από γραμμή εντολών (1) Σελίδα 120 από 144

Εικόνα 7 Διεργασίες από γραμμή εντολών (2) Για να ελέγξουμε ποιες υπηρεσίες εκτελούνται, σε γραφικό περιβάλλον, εκτελούμε την εντολή C:\>services.exe και θα εμφανιστεί το παράθυρο της εικόνας 8. Σελίδα 121 από 144

Εικόνα 8 Υπηρεσίες από γραφικό περιβάλλον Επίσης, το ίδιο αποτέλεσμα έχουμε στην γραμμή εντολών και με τις εντολές C:\>net start (εικόνα 9) και C:\>sc query (εικόνα 10) για περισσότερες λεπτομέρειες. Σελίδα 122 από 144

Εικόνα 9 Υπηρεσίες από γραμμή εντολών (1) Σελίδα 123 από 144

Εικόνα 10 Υπηρεσίες από γραμμή εντολών (2) Για να δούμε ποιες διεργασίες σχετίζονται με ποιες υπηρεσίες, δίνουμε την εντολή C:\>tasklist /svc και θα εμφανιστεί η σχετική λίστα σαν αυτή της εικόνας 11. Σελίδα 124 από 144

Εικόνα 11 Λίστα συσχέτισης υπηρεσιών με διεργασίες από γραμμή εντολών Ασυνήθιστα αρχεία και εγγραφές μητρώου Θα πρέπει να παρακολουθούμε τυχόν ξαφνικές μεταβολές στα μεγέθη αρχείων και μεγάλες αλλαγές στον διαθέσιμο ελεύθερο χώρο των μέσων αποθήκευσης (σκληροί δίσκοι), είτε με τη χρήση των ιδιοτήτων που παρέχει ο explorer για κάθε αρχείο ή φάκελο, είτε με τη χρήση του εργαλείου αναζήτησης από το μενού Start > Search > For files or folders... > Search options > Size > At least 10000KB για παράδειγμα. Επίσης, αναζητούμε ασυνήθιστα αρχεία στο μητρώο της registry, που σχετίζονται με την εκκίνηση του συστήματος (system startup) στις διαδρομές: Σελίδα 125 από 144

α) HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run β) HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Runonce γ) HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/RunonceEx Για να επεξεργαστούμε το μητρώο της registry από γραφικό περιβάλλον, εκτελούμε την εντολή C:\>regedit.exe (εικόνα 12) και από γραμμή εντολών την εντολή C:\>req query <reg key> (εικόνα 13). Εικόνα 12 Μητρώο registry από γραφικό περιβάλλον Εικόνα 13 Μητρώο registry από γραμμή εντολών Σελίδα 126 από 144

Επίσης, για να ελέγξουμε ποια προγράμματα τρέχουν αυτόματα με την εκκίνηση του υπολογιστή, δίνουμε την εντολή C:\>msconfig.exe. Θα εμφανιστεί ένα νέο παράθυρο, στο οποίο μπορούμε να δούμε τα προγράμματα (εικόνα 14) και τις υπηρεσίες (εικόνα 15). Εικόνα 14 Προγράμματα αυτόματης εκκίνησης στον υπολογιστή Εικόνα 15 Υπηρεσίες αυτόματης εκκίνησης στον υπολογιστή Σελίδα 127 από 144

Η ανάλυση όλων των υπηρεσιών ξεφεύγει από το σκοπό αυτής της Τεχνικής Οδηγίας. Επίσης, το ίδιο αποτέλεσμα έχουμε στην γραμμή εντολών και με την εντολή C:\>wmic startup list full (εικόνα 16). Εικόνα 16 Λίστα αυτόματης εκκίνησης προγραμμάτων από γραμμή εντολών Σελίδα 128 από 144

Ασυνήθιστη χρήση δικτύου Για να δούμε ποιος έχει ανοικτές συνδέσεις εκείνη τη στιγμή στο σύστημά μας, δίνουμε την εντολή C:\>net session. Εάν δεν υπάρχουν ενεργές συνδέσεις, θα εμφανιστεί ένα παρόμοιο μήνυμα όπως αυτής της εικόνας 17. Εικόνα 17 Ανοικτές συνδέσεις Για να δούμε ποιες ενεργές συνδέσεις υπάρχουν εκείνη τη στιγμή στο σύστημά μας, δίνουμε την εντολή C:\>net use. Εάν δεν υπάρχουν ενεργές συνδέσεις, θα εμφανιστεί ένα παρόμοιο μήνυμα όπως αυτής της εικόνας 18. Εικόνα 18 Ενεργές συνδέσεις Για να ελέγξουμε ποια αρχεία και φάκελοι είναι κοινόχρηστα στο δίκτυο, δίνουμε την εντολή C:\>net view \\127.0.0.1. Εάν δεν υπάρχουν κοινόχρηστα αντικείμενα, θα εμφανιστεί ένα παρόμοιο μήνυμα όπως αυτής της εικόνας 19. Εικόνα 19 Κοινόχρηστοι φάκελοι και αρχεία Για να δούμε τυχόν δραστηριότητα του NetBIOS στον υπολογιστή, δίνουμε την εντολή C:\>nbtstat -S. Υπό φυσιολογικές συνθήκες, θα πρέπει να λάβουμε μήνυμα μη ύπαρξης συνδέσεων, παρόμοιο της εικόνας 20. Σελίδα 129 από 144

Εικόνα 20 Δραστηριότητα NetBIOS Ένας ακόμα έλεγχος που πρέπει να γίνεται αφορά στις θύρες δικτύου (ports). Αυτό προϋποθέτει ότι γνωρίζουμε ποιες πρέπει να είναι ενεργοποιημένες και ποια προγράμματα τις χρησιμοποιούν. Για να δούμε ποιες θύρες δικτύου είναι ενεργές στο σύστημά μας, εκτελούμε την εντολή C:\>netstat -na. Μια λίστα παρόμοια με αυτή της εικόνας 21 θα εμφανιστεί. Για να ενημερώνεται η λίστα κάθε 5 δευτερόλεπτα, προσθέστε το τέλος της εντολής το 5 με κενό, δηλαδή C:\>netstat -na 5 και για να δούμε ποια διεργασία σχετίζεται με ποια θύρα, δίνουμε την εντολή C:\>netstat -naο. Εικόνα 21 Ενεργές θύρες Επίσης, θα πρέπει να γίνεται περιοδικός έλεγχος στον πίνακα arp για αντιστοιχία φυσικών διευθύνσεων MAC με IP διευθύνσεις. Για να δούμε όλες τις καταχωρημένες αντιστοιχίες, εκτελούμε την εντολή C:\>arp -a. Στη λίστα που θα εμφανιστεί, θα πρέπει να μας είναι γνωστές όλες οι ΙΡ διευθύνσεις που αναφέρονται εκεί. Σελίδα 130 από 144

Εικόνα 22 Πίνακας αντιστοίχισης arp Τέλος, ελέγχουμε τις ρυθμίσεις του τείχους προστασίας, με την εντολή C:\>netsh firewall show config (εικόνα 23). Εικόνα 23 Ρυθμίσεις τείχους προστασίας Ασυνήθιστες προγραμματισμένες εργασίες Ελέγχουμε τις προγραμματισμένες εργασίες, ειδικά όσες εκτελούνται από χρήστες με δικαιώματα Σύστημα ( SYSTEM ) ή Διαχειριστής ( Administrator ) ή χωρίς όνομα. Για να δούμε τις προγραμματισμένες εργασίες σε γραφικό περιβάλλον, ανοίγουμε το πρόγραμμα από το μενού Start > Programs > Accessories > System Tools > Scheduled Tasks ή Task Scheduler (εικόνα 24). Σελίδα 131 από 144

Εικόνα 24 Προγραμματισμένες εργασίες σε γραφικό περιβάλλον Επίσης, το ίδιο αποτέλεσμα έχουμε στην γραμμή εντολών και με την εντολή C:\>schtasks (εικόνα 25). Εικόνα 25 Προγραμματισμένες εργασίες από γραμμή εντολών Χρήσιμες ιστοσελίδες http://www.cisecurity.org/ Σε αυτή τη σελίδα μπορούμε να βρούμε επιμέρους οδηγίες για θέματα ασφαλείας. Σελίδα 132 από 144

Επίλογος Εάν διαπιστώσουμε μη ομαλή συμπεριφορά του λειτουργικού συστήματος δεν πανικοβαλλόμαστε! Οι ενδείξεις δεν είναι πάντοτε αποδείξεις. Υπάρχει περίπτωση να μην έχουμε δεχθεί κάποια κακόβουλη επίθεση ή ενέργεια, αλλά να οφείλεται σε δυσλειτουργίες από τυχόν ενημερώσεις του συστήματος ή αύξηση της χρήσης των πόρων (συνήθως μνήμης και swap), καθώς και πέραν του συνηθισμένου ξαφνικές επανεκκινήσεις συστήματος ή μπλε οθόνες. Σε κάθε περίπτωση, οι παραπάνω έλεγχοι θα πρέπει να γίνουν από κάποιον που έχει δικαιώματα administrator. Εάν διαπιστωθεί ότι όντως υπάρχει κάποιο σοβαρό πρόβλημα ασφαλείας, πρέπει να ακολουθηθούν οι προβλεπόμενες διαδικασίες, ανάλογα της περίπτωσης. Σελίδα 133 από 144

Linux ΑΝΤΙΜΕΤΩΠΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ LINUX Σελίδα 134 από 144

ΑΝΤΙΜΕΤΩΠΙΣΗ ΠΕΡΙΣΤΑΤΙΚΩΝ ΣΕ ΛΕΙΤΟΥΡΓΙΚΟ ΣΥΣΤΗΜΑ LINUX Γενικά Σκοπός της παρούσας Τεχνικής Οδηγίας είναι ο τρόπος εύρεσης πιθανών ενδείξεων παραβίασης ενός λειτουργικού συστήματος Linux και η αντιμετώπισή τους. Οι περισσότερες εντολές που αναφέρονται, πρέπει να εκτελούνται με τα δικαιώματα του χρήστη root (πρόθεμα #) και λίγες ως απλός χρήστης (πρόθεμα $ ). Ενδέχεται κάποιες εντολές ή προγράμματα να μην είναι εγκατεστημένα στο σύστημά μας. Στην περίπτωση αυτή, θα πρέπει είτε να κατεβάσουμε τον πηγαίο κώδικα του προγράμματος και να κάνουμε την μεταγλώττιση και την εγκατάσταση, είτε (εάν υπάρχει) το ίδιο το πρόγραμμα σε έτοιμο πακέτο εγκατάστασης, ανάλογα με τη διανομή Linux που έχουμε. Οι εντολές αυτές θα πρέπει να χρησιμοποιούνται περισσότερο ως προληπτικοί περιοδικοί έλεγχοι του συστήματος για την αποφυγή προβλημάτων, όποτε κρίνουμε απαραίτητο, και να καταγράφουμε τις ημερομηνίες ελέγχου για μελλοντική χρήση. Λογαριασμοί χρηστών Στο σύστημα θα πρέπει να υπάρχουν μόνο οι λογαριασμοί των χρηστών και υπηρεσιών, που έχει επιτρέψει ο διαχειριστής του υπολογιστή. Θα πρέπει να γνωρίζουμε ποιοι λογαριασμοί πρέπει να υπάρχουν στο λειτουργικό σύστημα, ώστε να μπορέσουμε να εντοπίσουμε ποιοι είναι ύποπτοι λογαριασμοί. Όλοι οι λογαριασμοί χρηστών βρίσκονται στο αρχείο /etc/passwd. Για να δούμε ποιοι λογαριασμοί υπάρχουν, δίνουμε την εντολή: # sort -nk3 -t: /etc/passwd lesss Ένα ενδεικτικό αποτέλεσμα της παραπάνω εντολής φαίνεται στην Εικόνα 1. Ύποπτοι λογαριασμοί είναι όσοι έχουν UID ίσο με 0 ή μικρότερο από 500. Για να δούμε μόνο τους λογαριασμούς που έχουν UID 0 δίνουμε την εντολή: # egrep ':0+' /etc/passwd Εικόνα 1 Λογαριασμοί συστήματος Σε σύστημα που χρησιμοποιεί πολλαπλές μεθόδους αυθεντικοποίησης, δίνουμε την εντολή: Σελίδα 135 από 144

# getent passwd egrep ':0+:' Αρχεία καταγραφής συμβάντων (logs) Στα αρχεία αυτά καταγράφονται γενικά μηνύματα σφάλματος και προειδοποιήσεις του συστήματος. Εγγραφές που θα πρέπει να μας προβληματίσουν αφορούν την αλλαγή της κάρτας δικτύου σε entered promiscous mode, πολλά λάθη αυθεντικοποίησης (username password) είτε τοπικά είτε απομακρυσμένα σε διάφορες υπηρεσίες (ftp, telnet, ssh), πολλές απομακρυσμένες συνδέσεις (rpc) με εγγραφές που περιλαμβάνουν πολλούς (παραπάνω από 20) περίεργους χαρακτήρες (πχ ^ΡΜ-^ΡΜ-^ΡΜ...), μεγάλος αριθμός λανθασμένων μηνυμάτων του Apache με την ένδειξη error, επανεκκινήσεις συστήματος ή επανεκκίνηση διεργασιών. Μια εντολή που υπάρχει σε όλα τα λειτουργικά συστήματα Linux είναι η dmesg. Με αυτήν, μπορούμε να δούμε τα περισσότερα μηνύματα συστήματος με την εξής σύνταξη: # dmesg grep [μήνυμα],όπου [μήνυμα] βάζούμε την λέξη που ψάχνουμε. Επίσης, ένα αρχείο καταγραφής βρίσκεται είτε στο /var/log/messages είτε στο /var/log/current, ανάλογα με την έκδοση Linux που έχετε. Μερικά παραδείγματα μπορούμε να δούμε στην Εικόνα 2. Εικόνα 2 Μηνύματα συστήματος Διεργασίες και υπηρεσίες Κάθε σύστημα έχει ορισμένες υποχρεωτικές διεργασίες που πρέπει να εκτελεστούν για την εύρυθμη λειτουργία του και τόσες υπηρεσίες όσες χρειάζονται για να επιτελέσει τον σκοπό χρήσης του. Για το λόγο αυτό αυτές θα πρέπει να είναι από πριν γνωστές, ώστε να μπορούμε να δούμε τυχόν περίεργες εντολές ή υπηρεσίες που εκτελούνται σε αυτό. Για να δούμε όλες τις διεργασίες που εκτελούνται αυτή τη στιγμή στο σύστημά μας, Σελίδα 136 από 144

δίνουμε την εντολή # ps -aux Μέρος του αποτελέσματος της εντολής φαίνεται στην Εικόνα 3. Εικόνα 3 Διεργασίες και υπηρεσίες συστήματος Βλέπουμε τις οδηγίες σύνταξης της εντολής ps που αναλύονται στο manual page, με την εντολή # man ps. Εάν εντοπίσουμε κάποια ύποπτη διεργασία ή υπηρεσία, τότε μπορούμε να δούμε περισσότερες λεπτομέρειες για τα αρχεία και τις πόρτες δικτύου (ports) που σχετίζονται με αυτήν, εκτελώντας την εντολή # lsof -p [pid],όπου pid (process id) ο αντίστοιχος αριθμός της διαδικασίας. Τέλος για να ελέγξουμε ποιες υπηρεσίες τρέχουν στο σύστημα, υπάρχει και η εντολή # chkconfig list. Σελίδα 137 από 144

Ασυνήθιστα αρχεία Θα πρέπει να γνωρίζουμε σε ποια αρχεία έχουν ορισθεί δικαιώματα SUID που εκτελούνται με δικαιώματα root. Για να αναζητήσουμε ασυνήθιστα SUID αρχεία, τρέχουμε την εντολή: # find / -uid 0 -perm -4000 -print Θα εμφανιστεί μια λίστα σαν αυτή της Εικόνας 4, η οποία δεν θα πρέπει να περιέχει κάποια περίεργη διαδρομή ή αρχεία. Επίσης, αρχεία με ασυνήθιστα μεγάλο μέγεθος (πχ 10ΜΒ) μπορούμε να τα εντοπίσουμε με την εντολή: # find / -size +10000k -print Επιπλέον, αρχεία με ονομασία που περιέχουν τελείες ή κενά δεν θα πρέπει να υπάρχουν. Για να ελέγξουμε την ύπαρξη τέτοιων αρχείων, μπορούμε να δώσουμε τις παρακάτω εντολές: # find / -name " " -print # find / -name ". " -print # find / -name ".. " -print Για να ελέγξουμε την ύπαρξη κρυμμένων αρχείων ή πορτών δικτύου (ports) που μπορεί να χρησιμοποιηθούν για πρόσβαση στο σύστημα, τρέχουμε την εντολή: # lsof +L1 Εικόνα 4 Αρχεία SUID Ειδικά για τον έλεγχο των πορτών δικτύου, ανατρέχουμε στην παράγραφο ασυνήθιστη χρήση δικτύου. Εάν το λειτουργικό σύστημα που χρησιμοποιούμε κάνει χρήση των πακέτων RPM, τότε μπορούμε να κάνουμε έλεγχο MD5, δικαιωμάτων, μεγέθους, ιδιοκτητών και ομάδων χρηστών από τη βάση δεδομένων που τηρεί η έκδοση Linux στους διακομιστές της. Η εντολή που θα πρέπει να δώσουμε είναι η: # rpm -Va sort Τα πιθανά αποτελέσματα που μπορούμε να δούμε φαίνονται στον Πίνακα 1. Σελίδα 138 από 144

Έξοδος Ερμηνεία S Διαφορά στο μέγεθος M Διαφορά στα δικαιώματα 5 Διαφορά στον έλεγχο MD5 D Διαφορά στο αριθμό συσκευής L Διαφορά στην διαδρομή αρχείου U Διαφορά στον ιδιοκτήτη χρήστη G Διαφορά στην ομάδα χρηστών T Διαφορά στον χρόνο τροποποίησης αρχείου Πίνακας 1 Αποτελέσματα ελέγχου RPM Ιδιαίτερη προσοχή πρέπει να δώσουμε σε αλλαγές που έχουν σχέση με τις διαδρομές /sbin, /bin, /usr/bin και /usr/bin. Εκτός της παραπάνω μεθόδου ελέγχου, υπάρχει σε ορισμένες εκδόσεις Linux η εντολή check-packages, που κάνει τον ίδιο έλεγχο για άλλης μορφής πακέτα. Ασυνήθιστη χρήση δικτύου Η κάρτα δικτύου του συστήματος θα πρέπει υπό φυσιολογικές συνθήκες να μην είναι σε promiscuous mode, κατάσταση στην οποία μπορεί να γίνεται παρακολούθηση των πακέτων που ανταλλάσσονται στο δίκτυο. Για να κάνουμε τον έλεγχο, τρέχουμε την εντολή: # ip link grep PROMISC, η οποία δεν θα πρέπει να μας δώσει κάποιο αποτέλεσμα. Ένας ακόμα έλεγχος που πρέπει να γίνεται αφορά στις πόρτες δικτύου (ports). Αυτό προϋποθέτει ότι γνωρίζουμε ποιες πρέπει να είναι ενεργοποιημένες και ποια προγράμματα τις χρησιμοποιούν. Για να δούμε ποιες πόρτες δικτύου έχει ανοικτές το σύστημά μας, τρέχουμε την εντολή # netstat -nap Θα εμφανιστεί μια λίστα με όλες τις ενεργές συνδέσεις που έχει εκείνη τη στιγμή το σύστημα, όπως ενδεικτικά φαίνεται στην Εικόνα 5. Μπορούμε να δούμε τις οδηγίες σύνταξης της εντολής netstat που αναλύονται στο manual page, με την εντολή # man netstat. Επίσης, θα πρέπει να γίνεται περιοδικός έλεγχος στον πίνακα arp για αντιστοιχία φυσικών διευθύνσεων MAC με IP διευθύνσεις. Για να δούμε όλες τις καταχωρημένες αντιστοιχίες, τρέχουμε την εντολή # arp -a. Σελίδα 139 από 144

Σελίδα 140 από 144

Εικόνα 5 Ενεργές συνδέσεις Ασυνήθιστες προγραμματισμένες εργασίες Ελέγχουμε τις προγραμματισμένες εργασίες μέσω του cron, με την εντολή # crontab -u root -l, για τον χρήστη root. Ομοίως, ελέγχουμε και όποιον άλλον χρήστη έχει δικαιώματα root, αντικαθιστώντας το root με το όνομά του, καθώς και για άλλες προγραμματισμένες εργασίες του συστήματος, με τις εντολές: Σελίδα 141 από 144