» Komputer twoją twierdzą «

Globalna sieć służy już nie tylko do komunikacji i rozrywki. Wykorzystywana jest także podczas realizacji poważnych transakcji finansowych. Każdy, kto korzysta z Internetu, musi wiedzieć, że jest narażony na ataki komputerowych intruzów, którzy za wszelką cenę pragną uzyskać dostęp do jego poufnych danych.

Chcąc przybliżyć Czytelnikom problematykę zabezpieczeń komputerowych, podajemy zasady działania hakerów oraz informujemy, czym grożą ataki cyberwłamywaczy i jak zapobiec dostaniu się cennych informacji w ręce osób niepowołanych.

Czasopisma papierowe i elektroniczne często informują o wyczynach komputerowych superspeców. Czytelnicy podziwiają umiejętności, a jednocześnie obawiają się, że sami padną ich ofiarą. Obawy są całkowicie uzasadnione: komputerowe włamanie bywało już przyczyną bankructwa firm, a chyba nikt nie chce, żeby numer jego karty kredytowej stał się powszechnie dostępny.

Haker - kto to taki?

Wiele nieporozumień wywołuje sam termin haker. Często jest stosowany zamiennie z określeniem kraker. Obiegowa opinia głosi, że haker to zdolny informatyk, często samouk, wykorzystujący swoje umiejętności do łamania wszelkich zabezpieczeń komputerowych. W powszechnym przekonaniu to hakerzy kradną hasła, numery kart kredytowych, a nawet podsyłają wirusy i tzw. konie trojańskie (rodzaj wirusa, który udając przyjazną aplikację, zdobywa informacje o hasłach dostępowych i innych istotnych danych oraz przesyła je do swego twórcy). Natomiast aktualizowany na bieżąco angielski słownik - The New Hacker's Dictionary - The Jargon File (www.ccil.org/jargon/jargon.html) definiuje hakera jako osobę mającą duże umiejętności programistyczne i bardzo bogatą wiedzę o komputerach oraz systemach operacyjnych, aplikacjach i lukach w nich występujących. W tym sensie hakerem nazywano kiedyś nawet Billa Gatesa. Na początku lat 80. amerykańskie media hakerami zaczęły nazywać komputerowych włamywaczy, uzyskujących nieautoryzowany dostęp do chronionych, ściśle tajnych danych.

Ponieważ już wtedy zauważano różnicę między działalnością specjalistów komputerowych a aktywnością tych programistów, którzy wykorzystywali swoją wiedzę do nielegalnych celów, pojawiły się kolejne określenia odróżniające "dobrych" hakerów od "złych". Tych drugich nazwano krakerami (crack - łamać), gdyż często łamali zabezpieczenia oryginalnych programów i potem rozprowadzali ich nielegalne kopie.

"Dobrzy" hakerzy zajmują się rozpracowywaniem systemów w celu wzbogacenia własnych umiejętności programistycznych lub dla intelektualnej rozrywki. Podobno mają swój kodeks etyczny. Nie niszczą danych, a jeżeli znajdą luki w systemie, informują o tym wyłącznie administratora odpowiedniego serwisu lub producenta wadliwego oprogramowania. Czasami nazywa się ich white hat (białe kapelusze), natomiast "złych" krakerów - black hat (czarne kapelusze). Samurajami z kolei nazywa się cyberprzestępców nawróconych, którzy porzucili nielegalną działalność i teraz sami zwalczają komputerowych wandali, np. pracują w specjalnym wydziale policji lub w firmie zabezpieczającej sieci komputerowe.

Z kolei phreakerzy, często myleni z hakerami, zajmują się phreakingiem, czyli uzyskiwaniem połączeń telefonicznych bez płacenia za nie operatorom sieci telekomunikacyjnych. Są jeszcze tzw. script kiddies (pogardliwe określenie szeroko rozumianych hakerów), czyli niedoświadczeni adepci komputerów, korzystający z gotowych pseudohakerskich skryptów. Próbują używać narzędzi pobieranych z Internetu, jednak z powodu braku umiejętności programistycznych aplikacje te są w ich rękach praktycznie bezużyteczne. Script kiddies często największe szkody wyrządzają samym sobie, ponieważ pobierają programy zawierające konie trojańskie, dzięki którym włamywacze uzyskują dostęp do zasobów dyskowych ich komputerów.

Skala zjawiska

W marcu 2001 roku należąca do FBI agencja National Infrastructure Protection Center, zajmująca się problemami bezpieczeństwa sieciowego, opublikowała wyniki analiz włamań internetowych do serwerów firm e-biznesowych, portali i sklepów elektronicznych. Z raportu wynika, że hakerzy nie stosują wyrafinowanych i unikatowych metod, wykorzystują za to powszechnie znane luki w systemach komputerowych. W większości przypadków administratorzy zaatakowanych systemów mogli w prosty sposób uniknąć niebezpieczeństwa, instalując dostępne poprawki. Najczęściej wykorzystywane przez hakerów luki programowe to: nieautoryzowany dostęp do serwera ISS przez Open Database Connectivity (ODBC), dostęp do danych z wykorzystaniem Remote Data Service (RDS), błędy w oprogramowaniu Microsoft SQL Server 7.0 i Microsoft Data Engine (MSDE) 1.0 oraz Web Server File Request Parsing.

O wzroście zagrożenia bezpieczeństwa komputerów i sieci świadczą dane, które opublikował w roku 2001 Computer Emergency Response Team (CERT) Uniwersytetu Carnegie-Mellon w Pittsburgu, oganizacja powołana przez władze Stanów Zjednoczonych do wykrywania i informowania o potencjalnych zagrożeniach w Internecie. W pierwszym kwartale 2001 roku CERT/CC zanotował 7047 incydentów, w całym roku 2000 było ich 21 756, podczas gdy w roku 1999 jedynie 9859. Jako incydent traktuje się wszelkie przejawy zagrożenia, bez względu na skalę wyrządzonych szkód, czyli np. rozpowszechnianie wirusa Melissa jest traktowane jako jeden przypadek. W tym samym okresie 2001 roku wykryto aż 633 luki programowe. Dla porównania: w roku 2000 wykryto ich 1090, a w roku 1999 - 417. Dodatkowo w pierwszym kwartale bieżącego roku CERT/CC otrzymał ponad 18 tysięcy e-maili dotyczących spraw bezpieczeństwa, a w ubiegłym roku około 56 tysięcy. Poprawę odnotowano jedynie w kwestii alarmów. W 2000 roku CERT zaalarmował internetową społeczność o bardzo poważnych zagrożeniach 22 razy, w tym roku tylko pięciokrotnie.

Niepokojących informacji udziela również Georgi Guninski, Bułgar specjalizujący się w wyszukiwaniu luk systemowych. Zwraca uwagę na częste niedociągnięcia w aplikacjach Microsoftu. Guniński twierdzi, że wielokrotnie informował Redmond o wykrytych lukach programowych, m.in. w Internet Explorerze, Outlooku oraz Outlook Expressie, jednak łaty udostępniane są z wielomiesięcznym opóźnieniem. Nie oznacza to, że programy Microsoftu zawierają ponadprzeciętną liczbę usterek. Po prostu z racji dużej popularności jego aplikacji pełne zabezpieczenie systemów wydaje się szczególnie ważne. Duży rozgłos towarzyszył wykryciu luki systemowej w serwerze nazw - DNS BIND (Berkeley Internet Name Domain), stosowany przez około 90 procent dostawców usług internetowych - który zajmuje się tłumaczeniem numerycznych adresów IP (np. 157.25.183.18.) na tekstowe nazwy domen, używane w celu ułatwienia ruchu w sieci globalnej. W styczniu tego roku w wersjach 4 i 8 DNS BIND wykryto poważny błąd, umożliwiający hakerom przejęcie kontroli nad serwerem korzystającym z tego oprogramowania. Na szczęście udało się szybko załatać lukę, która mogła być przyczyną chaosu w Internecie.

Nie tylko wielkie korporacje czy sklepy internetowe są narażone na ataki hakerów. Każdemu komputerowi podłączonemu do sieci zagraża wizyta wścibskich gości. W dodatku im większa sieć, tym więcej amatorów nielegalnych włamań. Największą, bo globalną siecią jest, oczywiście, Internet. W tym przypadku najbardziej narażeni są właściciele stałych łączy internetowych, w tym coraz popularniejszych SDI oraz ADSL. Nie oznacza to jednak, że zwykli "modemowcy" mogą czuć się całkiem bezpieczni. Spora część ataków komputerowych dotyka właśnie indywidualnych użytkowników, którzy najczęściej stają się ofiarami początkujących, lecz mających już pewną wiedzę "fachową" hakerów.

Co może zainteresować hakerów w Twoim komputerze? Bardzo wiele: dane adresowe, numery kart kredytowych i daty ich wygaśnięcia, informacje o kontach w banku, listy płac w firmie, bazy danych o klientach, dostawcach i pracownikach, hasła dostępu do kolejnych komputerów czy programów, służbowe i prywatne listy, opinie o współpracownikach czy kontrahentach, wszelkie dokumenty i fotografie. W przypadku włamania wszystkie te informacje mogą zostać przejrzane, pobrane do odległego komputera, zmienione, uszkodzone, a nawet usunięte.

Specjaliści mają głos

Kevin Mitnick, najsłynniejszy haker świata, po pięcioletnim pobycie w jednym z amerykańskich więzień wyszedł na wolność w styczniu 2000 roku. Do roku 2003 pozostanie pod nadzorem policji, nie wolno mu opuścić Kalifornii i zbliżać się do komputerów oraz telefonów. Mitnick, dziś 38-latek, zaczął karierę cyberwłamywacza w wieku 16 lat, kiedy to opracował sposób na uzyskiwanie darmowych połączeń telefonicznych. W ciągu następnych kilkunastu lat włamywał się do ściśle tajnych baz danych gigantów światowego przemysłu. FBI przez kilka lat śledziło tajemniczego hakera, który został ujęty po włamaniu się do komputera jednego z agentów.

Kilka miesięcy temu Mitnick opowiedział o swojej działalności na konferencji Infrastructures for E-Business, zorganizowanej przez firmę Giga Research. Poinformował informatyków i menedżerów odpowiedzialnych za bezpieczeństwo wielkich korporacji, jak schwytać intruza próbującego wtargnąć do firmowej sieci i jakie sposoby stosują komputerowi włamywacze.

Celem konferencji było udzielenie zgromadzonym słuchaczom wskazówek, jak zmniejszyć ryzyko ataku oraz włamania do sieci firmy. Podstawowe zalecenia to m.in.: zakaz używania prostych haseł i zapisywania ich, stosowanie niszczarek do dokumentów oraz likwidowanie niepotrzebnych dyskietek i twardych dysków, które niepowołanym osobom mogą posłużyć do uzyskania poufnych informacji. Zdaniem Mitnicka, nie drogie firewalle, ale stosowanie się do takich elementarnych zasad bezpieczeństwa może skutecznie utrudnić życie hakerom.

Mitnick oświadczył, że nigdy nie używał aplikacji hakerskich. Według niego, najsłabszym ogniwem są ludzie. "Inwestujecie miliony w firewalle, systemy biometryczne i najprzeróżniejsze zabezpieczenia techniczne. A potem okazuje się, że Wasz pracownik zapisał hasło na karteczce i przylepił do monitora". Słynny haker stwierdził, że jego najskuteczniejszą metodą było poznanie odpowiedniej osoby i tzw. social engineering, czyli wykorzystywanie słabości psychiki ludzkiej. Większość haseł zdobył, pracując jako sprzątacz w biurach. Jak twierdzi, wystarczyło przeszukać stanowiska pracy, aby znaleźć większość potrzebnych informacji.

Techniki hakerów

Metod włamań jest wiele, więc podzielono je na kilka grup: BO, DoS, DdoS, sniffing, spoofing, snoo-ping, wykradanie haseł i podsyłanie koni trojańskich.

BO, czyli Buffer Overflow

Przepełnianie bufora jest najbardziej popularną metodą ataku w Internecie. Atakujący wykorzystuje błędy logiczne w oprogramowaniu komputera (np. niepoprawne instrukcje w kodzie źródłowym) do wysyłania łańcuchów danych o rozmiarach przekraczających bufor wejściowy. Haker uzyskuje uprawnienia i instaluje własne programy w zaatakowanej maszynie, np. zmienia zawartość strony internetowej. Przed atakiem wyszukuje komputery i aplikacje najbardziej podatne na tego typu ingerencję. Poszukiwanie polega na skanowania portów w celu znalezienia luk w zabezpieczeniach.

Często stosowane są gotowe programy, zwane eksploitami (exploits), zawierające bazy danych publicznie ogłoszonych i wykrytych błędów programowych. Dodatkowym ułatwieniem dla włamywacza są tzw. zrzuty pamięci, często wykonywane przez system w czasie zawieszenia danego programu. Dane z pamięci RAM zapisywane są na twardym dysku, co pozwala hakerowi na znalezienie np. haseł dostępu.

DoS, czyli Denial of Service

Metoda Denial of Service (odmowa usługi) polega na blokowaniu działania serwerów sieciowych poprzez wysłanie mnóstwa pakietów IP, często mających zmodyfikowaną, nieprawidłową konstrukcję. Serwer jest bardzo obciążony obsługą nadchodzących pakietów, a w skrajnych przypadkach może odmówić świadczenia usług.

Bardziej zaawansowaną odmianą DoS jest DDoS (Distributed Denial of Service), czyli atak rozproszony - z wielu komputerów jednocześnie. W przejętych maszynach, tzw. komputerach zombi, haker umieszcza program-bombę czasową, która po uruchomieniu powoduje jednoczesne przesłanie pakietów IP z wielu komputerów zombi pod wybrany adres internetowy. Zastosowanie tysięcy zombi powoduje, że nawet najbardziej wydajne serwery skapitulują i odmówią pracy.

Wirusy, robaki i konie trojańskie
O ile przepełnienie bufora zwykle powoduje tylko zawieszenie działania komputera, o tyle zainstalowanie w systemie specyficznego programu może spowodować utratę zgromadzonych danych. Trzy główne rodzaje takich programów to wirusy, robaki i konie trojańskie, przy czym terminy te często stosowane są zamiennie.

Wirus to najczęściej program dopisujący swój kod do innego pliku wykonywalnego. Przy okazji uruchamiania zainfekowanego pliku równocześnie wykonywany jest szkodliwy kod wirusa. Może on usunąć pliki z dysku, zmienić ich nazwy lub rozszerzenia. Bardziej zaawansowanym typem wirusa jest robak (worm), który dodatkowo potrafi się rozmnażać. Do tego celu często wykorzystuje pocztę elektroniczną, rozsyłając swoje kopie pod wszystkie lub wybrane adresy znalezione w książce adresowej klienta pocztowego. Z kolei koń trojański często nie ukrywa swej obecności, a jedynie maskuje sposób uzyskania pożądanych danych.

Udaje pożyteczny program, aby po zainstalowaniu uruchomić dodatkowe funkcje powodujące wykonanie określonych działań - na przykład umożliwienie łączności z serwerem swego twórcy albo przechwycenie haseł czy znaków wprowadzanych z klawiatury. Połączenie z serwerem włamywacza może nastąpić za świadomą zgodą użytkownika, ponieważ konie trojańskie często podszywają się pod strony rejestracyjne, do złudzenia przypominające formularze znane z popularnych witryn internetowych. Często również koń trojański udaje pożyteczną aplikację internetową, która do uzyskania pełni funkcjonalności wymaga od użytkownika udostępnienia określonych danych.

Szkodliwość koni trojańskich polega na tym, że otwierają własny port, czyli rodzaj logicznych wrót do systemu, i nasłuchują poleceń swego twórcy. Tym samym umożliwiają mu zdalne wykonywanie poleceń w zainfekowanym komputerze. Bardziej zaawansowane aplikacje potrafią nawet dynamicznie zmieniać używane porty, co znacznie utrudnia ich wykrycie.

Trojany umożliwiają także podsyłanie wirusów i pobieranie plików z zasobów zainfekowanego komputera, czytanie poczty elektronicznej oraz komunikatów przesyłanych przez programy typu ICQ, IRC czy AIM.

Przechwytywanie haseł
W wielu przypadkach właśnie konie trojańskie umożliwiają zainstalowanie w niezabezpieczonym komputerze programów do łamania haseł dostępu. Najczęściej stosowane metody to: "brutal force" i słownikowa. Pierwsza polega na podstawianiu przez program wszystkich możliwych kombinacji znaków, które mogłyby zostać wpisane z klawiatury, druga - na wykorzystaniu specjalnie przygotowanego słownika zawierającego najczęściej używane słowa (użytkownicy zwykle stosują jako hasła imiona i nazwiska, nazwy miejscowości lub daty). Inną odmianą tej techniki jest udawanie przez trojana okienka logowania. Nieświadomy użytkownik podaje hasło dwukrotnie, myśląc, że za pierwszym popełnił błąd.

Czasem hakerzy instalują program, który "podsłuchuje" ruch w sieci, korzystając z jakiegoś urządzenia np. routera sterującego ruchem pakietów lub komputera pośredniczącego. Ten rodzaj techniki zwany jest sniffingiem i oprócz zdobycia haseł umożliwia między innymi przechwycenie wszelkiej komunikacji przesyłanej za pomocą tego urządzenia. Czasami podsłuch sieciowy stosują też administratorzy sieci, np. w celu uniemożliwienia przesyłania plików MP3.

Spoofing
Ta technika polega na podszywaniu się pod cudze adresy IP. Może się to wydawać dziwne, lecz w praktyce bywa bardzo skuteczne. Metoda opiera się na doświadczeniach wojskowych, gdzie jako jedną z technik maskujących stosuje się nadawanie sygnałów wprowadzających przeciwnika w błąd. W wersji dostosowanej do potrzeb hakerów zwykle fałszowany jest adres IP (IP address spoofing). Atakujący podszywa się pod wewnętrzne lub zewnętrzne zaufane adresy IP, żeby przejść przez system ochrony oparty tylko na identyfikacji adresów IP. W ten sposób można na przykład nawiązać połączenie z (pozornie) zabezpieczonym serwerem firmy, udając jej pracownika, i uzyskać dostęp do poufnych baz danych. Odmianą spoofingu jest uprowadzenie sesji (session hijacking), polegające na zgadywaniu. Odgadując numer IP, haker przejmuje połączenie między dwoma komputerami oraz rolę jednej ze stron tego połączenia.

Network Snooping
Bardziej wyrafinowaną techniką jest network snooping, czyli namierzanie sieci. Wykorzystuje się zaawansowane analizatory sieci, aby następnie wybrać najefektywniejszą w danym przypadku metodę ataku.

Symptomy włamania

Nie wystarczy znajomość najpopularniejszych technik hakerskich, trzeba jeszcze wykrywać i demaskować intruzów buszujących po naszych zasobach. Wbrew pozorom, nie jest to takie skomplikowane. Jeżeli zainstalowałeś w systemie konia trojańskiego, to z odpowiednim zasobem wiedzy najprawdopodobniej wykryjesz szkodliwy program. Zwykle widocznym symptomem sa nienotowane wcześniej, niezwykłe "efekty specjalne", np. nagłe otwieranie się tacki CD-ROM-u, miganie diod na klawiaturze czy też zamiana funkcji zaprogramowanych dla lewego i prawego przycisku myszy. Tego typu objawy pojawiają się w przypadku większości trojanów, łącznie z dwiema najpopularniejszymi wersjami - Netbus i SubSeven. Dodatkowe symptomy infekcji to także samodzielne poruszanie się kursora po ekranie (oznaka czyjejś działalności) oraz blokada klawiatury i kursora myszy.

Objawem zainfekowania może być również odwrócenie obrazu wyświetlanego na monitorze albo zmiana rozdzielczości ekranu. Często oznacza to, że haker dostosował parametry obrazu tak, aby zrobić jak najwyraźniejszy zrzut ekranu Twego komputera. Co więcej, jeśli podłączyłeś do komputera kamerę i mikrofon, w skrajnych przypadkach możesz być nawet podglądany i podsłuchiwany. Jeżeli bez Twojego udziału zmieniła się strona startowa przeglądarki internetowej, to również może być oznaką działania jednego z zainfekowanych programów pobranych z Sieci. W ten sposób trojan próbuje zwrócić uwagę na konkretną witrynę, która nie musi być stroną jego twórcy, a jedynie ma służyć do zdobycia poufnych danych osobowych. Oczywiście, tak łatwe wykrycie jest możliwe, jeżeli atakujący chce tylko zirytować niedoświadczonego użytkownika. Gdy haker zamierza poważnie Ci zaszkodzić, wtedy zazwyczaj ukrywa swoją obecność.

Najprostszym sposobem maskowania obecności stosowanym przez cyberwłamywaczy, jest ukrycie zasobnika systemowego. Jeżeli nie jest widoczny, to nie pokazuje się tam również ikona informująca o działaniu nieznanego Ci programu. Podobnie gdy nie możesz uaktywnić kombinacji klawiszy [Ctrl Alt Del]. Jedno wywołanie tej kombinacji powoduje wyświetlenie listy aktywnych programów, więc blokując tę funkcję, haker uniemożliwia Ci przejrzenie listy aplikacji zajmujących zasoby pamięci komputera. Kolejna wskazówka: jeśli w momencie restartu komputera otrzymujesz komunikat, że do Twojej maszyny podłączona jest inna osoba, może to być ktoś nieuprawniony.

Nie lekceważ także ostrzeżeń dostawcy usług internetowych albo administratora sieci komputerowej, że Twój komputer skanuje porty innych urządzeń. Jeżeli sam tego nie robiłeś, to istnieje duże prawdopodobieństwo, że dokonał tego zainstalowany w Twoim komputerze koń trojański. Zmienił Twoją maszynę w tzw. komputer-zombi, który może zostać wykorzystany do zdalnego ataku DDoS.

Inne powody do podejrzeń: aplikacje samoczynnie zamieniły hasła dostępu do systemu, poczty, katalogów czy sieci lub program żąda dwukrotnego wprowadzenia hasła, które zawsze zostaje zaakceptowane za drugim razem, a nie po pierwszej próbie (może pierwsze okienko tworzy nieznany program, aby wykraść Twoje hasło).

Gdy haker zorientuje się, że zaczyna być namierzany, często resetuje komputer ofiary, aby zatrzeć po sobie ślady i w ten sposób uniemożliwić identyfikację. Może również zablokować Ci komunikację z Siecią, zalewając Twój komputer spreparowanymi komunikatami (atak DoS) lub pingami (tzw. Ping of Death - Ping śmierci).

Firewalle programowe i sprzętowe

Firewalle można podzielić na rozwiązania programowe i sprzętowe. Jak już wspomnieliśmy, z punktu widzenia użytkownika indywidualnego najkorzystniejsze jest zastosowanie bezpłatnych wersji. Są także płatne programy tego typu, w cenie od 160 do 200 zł. Większość współczesnych firewalli wykrywa fałszowanie adresu (IP address spoo-fing) i zapobiega tego typu atakom, blokując każdy kontakt, który ma adres sieci wewnętrznej, lecz nadchodzi z Internetu. Osobiste firewalle blokują również echo w odpowiedzi na Ping, dzięki czemu komputer staje się "niewidzialny" z Sieci. Umożliwiają także prowadzenie dzienników prób ataku, czyli przechowują w pliku tekstowym zapis, kiedy i spod jakiego adresu IP podjęto wrogie działania.

Firewalle programowe

Programy tego typu mogą być przeznaczone dla indywidualnego użytkownika i dla centralnie zarządzanych firm. Skoncentrujemy się na najlepszych aplikacjach dla użytkowników indywidualnych, nie zapominając jednak o klientach potrzebujących ochrony sieci złożonej z większej liczby komputerów.

Tiny Personal Firewall ver. 2.0.13

Aplikacja umożliwia skonfigurowanie sposobu, w jaki programy zainstalowane w Twoim komputerze wysyłają i odbierają dane z Sieci. W menu możesz określić stopień zaawansowania ochrony systemu. Do wyboru są warianty: wysoki, średni i niski. Jeśli nie wiesz, którą opcję zaznaczyć, zdaj się na "tryb inteligentny", dostosowujący stopień zaawansowania ochrony do działań użytkownika.

Jeśli aplikacja wykryje jakieś nieprawidłowości w pracy sieci (próbę włamania lub inne podejrzane zdarzenie), wyświetli odpowiedni komunikat, po czym przedstawi propozycję rozwiązania problemu. Program zapamiętuje Twoje odpowiedzi i kolejne podobne zdarzenie nie wymaga ponownego podejmowania decyzji. Mechanizm zabezpieczeń sprawdza m.in. wiarygodność cyfrowych podpisów oraz umożliwia przypisanie danych aplikacji do określonych portów lub adresów IP. Dodatkowo program generuje raport zawierający informacje o wszystkich podejrzanych sytuacjach, w których podjął działania obronne.
Producent: Tiny Software, [link widoczny dla zalogowanych]

ZoneAlarm ver. 2.6

Jedną z wielu zalet tego bardzo dobrego osobistego firewalla jest elastyczna konfigurowalność. Program nie tylko filtruje nachodzące z Sieci pakiety danych, ale także monitoruje, które programy zainstalowane w Twoim komputerze próbują kontaktować się z adresami internetowymi. Ta funkcja pomaga wykryć konie trojańskie, które zwykle po zagnieżdżeniu się w zasobach zaatakowanego komputera nawiazują kontakt ze swoim twórcą w celu uzyskania dalszych instrukcji. Bardzo użyteczna jest również opcja dezaktywowania niepożądanego ruchu w Sieci w czasie, gdy Twój komputer jest włączony, lecz Ty w tym momencie z niego nie korzystasz. Możesz także ograniczyć "widoczność" swojego komputera, pozwalając tylko części aplikacji na wymianę danych z serwerami internetowymi.

Dodatkowo program monitoruje korespondencję elektroniczną - w razie zagrożenia zatrzymuje wiadomości mogące zawierać robaki zbudowane na podstawie skryptów Visual Basic i rozprzestrzeniające się automatycznie za pośrednictwem e-maili (np. wirus I Love You czy Anna Kurnikowa). Producent: Zone Labs, [link widoczny dla zalogowanych]

NetWatcher 2000

Gdy jesteś połączony z Internetem, program cały czas pracuje w tle, monitorując przepływ pakietów danych między Twoim komputerem a serwerami internetowymi. Jeśli wykryje potencjalne zagrożenie, wyświetla stosowną informację, zalecając jednocześnie natychmiastowe zakończenie sesji internetowej. Możliwości zabezpieczeń obejmują m.in.: zapis adresu IP, z którego usiłowano się włamać do Twojego komputera, identyfikację podejrzanego portu oraz adresu serwera dostawcy internetowego, z którego nastąpił atak. Mając tyle informacji, możesz powiadomić dostawcę usług internetowych, że za pośrednictwem jego serwerów ktoś próbuje uzyskać nielegalny dostęp do zasobów innych użytkowników Sieci. Producent: Moonlight Software, [link widoczny dla zalogowanych]

ConSeal PC Firewall
Program chroni nie tylko przed zagrożeniami z Internetu, ale także czuwa nad bezpieczeństwem w sieci lokalnej. Podobnie jak NetWatcher 2000, działa w tle i na podstawie ustawień konfiguracyjnych automatycznie odmawia przyjęcia niepożądanych danych. Możesz określić, jaki typ danych ma być odrzucany, lub uruchomić firewall w trybie uczenia i optymalna konfiguracja zostanie przeprowadzona automatycznie, na podstawie podejmowanych przez Ciebie działań. Producent: ConSeal, [link widoczny dla zalogowanych]

Sygate Personal Firewall 4.0

Aplikacja umożliwia wybór jednego z dwóch trybów aktywacji zabezpieczeń. Pierwsza opcja powoduje, że program uruchamia się automatycznie podczas startu systemu operacyjnego, natomiast drugi tryb pozwala na ręczną aktywację w menu systemu Windows. Zaletą tego narzędzia jest możliwość precyzyjnego wyboru stopnia zaawansowania zabezpieczeń za pomocą kilkunastu predefiniowanych trybów ochrony. Możesz skonfigurować program tak, aby informował Cię o podejrzanych, nieautoryzowanych próbach dostępu do komputera, jednocześnie zezwalając na wysyłanie pakietów danych niezbędnych do poprawnego działania stron WWW lub umożliwiając pobieranie plików z Sieci. Podobnie jak pozostałe opisywane programy, Sygate Personal Firewall tworzy raporty o ruchu w Sieci. Niezaprzeczalnym plusem aplikacji jest możliwość jednoczesnej współpracy z innymi osobistymi firewallami, co pozwala na podwójne zabezpieczenie komputera.
Producent: Sygate Technologies, [link widoczny dla zalogowanych]

Firewalle sprzętowe

Z powodu wysokich cen - w przypadku urządzeń średniej klasy od około 1600 do dziesiątków tysięcy złotych - sprzętowe zabezpieczenia przed cyberwłamywaczami przeznaczone są do firm oraz większych biur domowych. Zwykle zawierają wieloportowe huby umożliwiające podłączenie większej liczby użytkowników. Często są obsługiwane przez aplikacje pracujące pod kontrolą systemów uniksowych i oferujące bogate możliwości konfiguracyjne. Nie oznacza to, że ich konfiguracja jest bardzo skomplikowana, wręcz przeciwnie - producenci starają się, żeby przeciętnemu użytkownikowi komputera nie zajmowała więcej niż kilkanaście minut. Jedną z najważniejszych funkcji, w którą muszą być wyposażone sprzętowe firewalle, to możliwość uaktualniania oprogramowania sterującego (podobnie jak w przypadku baz danych zawierających definicje nowo powstałych wirusów). Dużą zaletą rozwiązań sprzętowych jest ich rozbudowany system raportowania, który w przypadku większości urządzeń pozwala na zdalne informowanie administratora systemu (za pomocą wiadomości e-mail czy sms-ów) o zaistniałych zagrożeniach. Firewalle sprzętowe oferują również konfigurację serwera DHCP, który po zabezpieczeniu przed włamaniami ułatwia rozdział adresów IP dla reszty sieci komputerowej.

Dodatkowo urządzenia wyposażane są w mechanizm NAT (Network Address Translation - sieciowe tłumaczenie adresów), którego rola polega na ochronie sieci lokalnej przed atakiem z zewnątrz. System ten umożliwia ustawienie prywatnych adresów IP poza firewallem, tak aby były widoczne jako adresy IP spoza sieci lokalnej, co uniemożliwia hakerom identyfikację komputera, z którego pochodzi ruch pakietów.

Systemy wykrywania włamań

Są to jedne z najnowszych sposobów zabezpieczeń sieciowych. Stosuje się je zwykle jako uzupełnienie dobrze znanych i popularnych firewalli. Systemy IDS traktowane są jako druga linia obrony umożliwiająca reakcję na działania włamywacza.

Są dwa typy działania systemów wykrywania włamań. Pierwszy opiera się na bezpośredniej ochronie systemów operacyjnych, serwerów oraz baz danych. Drugi polega na ciągłym monitorowaniu ruchu w sieci i poszukiwaniu anomalii w jej działaniu. Identyfikacja obecności intruza może nastąpić przed, w trakcie lub po włamaniu. W zależności od momentu wykrycia włamania, system umożliwia administratorowi sieci podjęcie określonych kroków w odpowiedzi na zagrożenie.

Zarządzający siecią może zablokować daną usługę, zdemaskować i zebrać dane o agresorze lub przeprowadzić kontratak, który uniemożliwi włamywaczowi dalsze działania. Kluczem do skutecznego działania systemów IDS są mechanizmy oparte na bazach danych o zachowaniach sieciowych odbiegających od normy. Wzorce tego typu zawierają dynamiczne opisy działalności, która może zagrażać bezpieczeństwu sieci.

Dodatkowo stosuje się wzorce obserwujące, czy przesyłane w sieci pakiety danych nie zawierają podejrzanych ciągów tekstowych. Ostatnia z metod używanych w systemach IDS to pełna analiza protokołów warstw sieci. Algorytm tej analizy umożliwia dynamiczną identyfikację niepoprawnych oraz nadmiarowych pakietów, odbiegających od przyjętych standardów protokołów i systemów operacyjnych. Najpopularniejsze programy tego typu to: BlackICE firmy Network ICE, Cisco Secure IDS, NetProwler oraz Intruder Alert.

Co zrobić po ataku?

Polski kodeks karny, podobnie jak przepisy wielu innych państw, przewiduje za włamania komputerowe surowe kary, włącznie z karą pozbawienia wolności. Wbrew powszechnemu mniemaniu, polscy hakerzy nie powinni czuć się bezkarni. Co ciekawe, w żadnym z paragrafów polskiego kodeksu karnego nie występuje słowo "haker" - mówi się natomiast o ochronie programów komputerowych, przestępstwach przeciwko ochronie informacji oraz o sprowadzaniu niebez- pieczeństwa na innych obywateli. Przez to ostatnie sformułowanie rozumie się m.in. stwarzanie zagrożenia utraty mienia przez negatywny wpływ na przetwarzanie, gromadzenie oraz przesyłanie informacji.

Takie działania podlegają karze więzienia od 6 miesięcy do 8 lat. Dwa lata w celi grożą osobom, które bezprawnie uzyskały dostęp do Twoich danych lub nielegalnie złamały kody zabezpieczające komercyjne aplikacje komputerowe. Dodatkowo tej samej karze podlegają osoby, które ujawniają osobom trzecim treść nielegalnie zdobytych informacji.

Kto przyczyni się do zniszczenia, uszkodzenia lub modyfikacji zapisu na komputerowym nośniku danych, gdy w dodatku informacje dotyczyły zagadnień o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji, funkcjonowania administracji rządowej, innego organu państwowego lub administracji samorządowej, musi się liczyć się z konsekwencjami w postaci kary pozbawienia wolności od 6 miesięcy do lat 8.

Polskie prawo zabrania nielegalnego uzyskiwania informacji, podsłuchiwania przesyłanych danych, czytania cudzej poczty elektronicznej czy dokonywania zmian na stronach WWW bez zgody ich właścicieli. Zabrania nie tylko korzystania z pirackich kopii programów, ale również rozpowszechniania tzw. numerów seryjnych i tzw. cracków, służących do uruchamiania programów bez opłat. Za tego typu działalność grozi utrata nie tylko komputera, ale także wolności.

Jeśli włamano się do Twojego systemu, przede wszystkim zgłoś to policji. Polskie prawo ściga cyberprzestępców, ale na wniosek pokrzywdzonego. Możesz skorzystać z policyjnego numeru zgłoszeniowego 997.

Początkujący użytkownicy osobistych firewalli, np. darmowego programu ZoneAlarm, niedługo po ich zainstalowaniu zaskoczeni są częstymi informacjami o prawdopodobnych próbach włamania. Programy codziennie, czasami wręcz co kilka minut informują, że ktoś z Internetu próbuje uzyskać dostęp do systemu. Najczęściej komunikaty mówią o nadchodzących tajemniczych "pakietach ICMP". Nie są to jednak ataki hakerów, ale tzw. Pingi.

Ping a włamanie

Ping to skrót od Packet InterNet Groper - internetowy pakietowy poszukiwacz, pingować zaś to sprawdzać istnienie danego adresu sieciowego. Funkcja ta służy do sprawdzania, czy komunikujący się przez sieć komputer nadal odpowiada na wysyłane sygnały. Mogło się przecież zdarzyć, że został wyłączony albo na drodze transmisji nastąpiła jakaś awaria. Aby wysłać taki pakiet w systemie Windows, wystarczy połączyć się z Internetem, przejść do okna DOS-u (Start | Programy | Tryb MS-DOS) i np. wpisać polecenie ping [link widoczny dla zalogowanych] W ten sposób sprawdzisz działanie serwera naszej internetowej witryny. Program wysyła specjalny pakiet danych przy użyciu protokołu ICMP (Internet Control Message Protocol), oczekując na odpowiedź odległego komputera przez określony czas. Jeżeli pojawi się komunikat "Sieć docelowa niedostępna", oznacza to kłopoty na łączach lub przerwę w działaniu serwera. Jeżeli zaś otrzymasz pozytywną odpowiedź, a są problemy podczas korzystania z usług sieciowych (np. nie możesz odebrać poczty elektronicznej lub oglądać witryny WWW) to powoduje je nie sprzęt (serwer i kable), lecz Twoje oprogramowanie, np. jego nieodpowiednia konfiguracja.

Niektórzy administratorzy celowo blokują odpowiedź na Ping, aby nie zajmowała cennego czasu pracy procesora oraz aby komputer, choć podłączony, był niewidoczny z Internetu. Jest to zabezpieczenie przed stosowanym przez hakerów tzw. Ping of Death, który powoduje zawieszenie "zapingowanego na śmierć" komputera. Na szczęście większość nowoczesnych systemów operacyjnych jest już odporna na te ataki. Nadal jednak hakerzy wykorzystują Ping jako wstęp do włamania, bo umożliwia zlokalizowanie komputerów podłączonych do sieci.

Czy w związku z tym należy się obawiać pingowania? Na pewno nie wolno całkowicie go lekceważyć. Pingowanie to jak stukanie do drzwi - grzecznie puka się raz czy dwa. Jeśli jest długotrwałe i systematyczne, przypomina łomotanie i szarpanie za klamkę - brak reakcji to znak, że nikt nie pilnuje domu i można zaryzykować włamanie. Jeśli osobisty firewall informuje Cię o pingowaniu, to sprawdź, jaki serwer kryje się pod podanym w ostrzeżeniu adresem IP. Może to serwer strony WWW, którą właśnie oglądasz lub oglądałeś kilka minut temu, chce Ci przesłać pliki, o które prosiłeś, ale połączenie uległo zakłóceniu.

Jeśli nie zareagujesz, może to oznaczać, że nie jesteś dość czujny, co zachęci potencjalnego włamywacza do podjęcia dalszych, może nieprzyjemnych w skutkach działań.

Gdyby udało Ci się zidentyfikować sprawcę włamania, pod żadnym pozorem nie informuj go o tym, bo spróbuje zatrzeć ślady. Nie zmieniaj zawartości twardego dysku, korespondencji, śladów łączności i dzienników. Informacje te umożliwią policji wytropienie przestępcy i staną się materiałem dowodowym w przypadku postępowania sądowego. Pamiętaj, że samodzielne przeprowadzenie akcji odwetowej polegającej na dokonaniu włamania do systemu komputerowego hakera również traktowane jest jako przestępstwo zagrożone karą pozbawienia wolności.

Podstawy bezpieczeństwa

Przede wszystkim zainstaluj program antywirusowy oraz osobisty firewall, który w większości przypadków powinien skutecznie zniechęcić potencjalnych włamywaczy. Dla użytkowników indywidualnych najkorzystniejsze jest użycie bezpłatnych firewalli, które całkiem dobrze radzą sobie z ochroną najpopularniejszych systemów operacyjnych. Na przykład aplikacja TDS-3 Trojan Defence Suite wykrywa ponad 5 tysiecy trojanów i ich odmian (http://tds.diamondcs.com.au).

1. Jeśli chcesz dodatkowo zabezpieczyć system, zwróć uwagę na program PestPatrol (www.safersite.com), który wykrywa ponad 16 tysiecy zagrożeń niezwiązanych bezpośrednio z wirusami - m.in. ataki DoS i DDoS, bomby ANSI i e-mailowe, hakowanie automatycznej sekretarki, deasemblacja, wrogie kody języka Java, atak przez ICQ, łamanie haseł, sniffing oraz skanowanie portów komputerów w Sieci. Aplikacja niszczy również dokumentacje hakerskie (FAQ), które mogą zostać wykorzystane przez domorosłych włamywaczy ze szkodą dla firmowych bądź uczelnianych sieci komputerowych.

2. Zainstaluj dobry program antywirusowy, który umożliwi automatyczne wyszukiwanie wirusów w poczcie elektronicznej i plikach pobieranych z Sieci. Pamiętaj, że stale pojawiają się nowe odmiany wirusów i koni trojańskich, dlatego należy często uaktualniać bazy danych zawierające definicje wirusów. Znajdziesz je na stronach producentów programów antywirusowych. Coraz więcej aplikacji antywirusowych oferuje opcję automatycznej aktualizacji baz definicji wirusów.

3. Uaktualniaj użytkowane oprogramowanie ze względu na luki systemowe w większości nowych, niedopracowanych aplikacji. Często nawet legalne programy mają tzw. furtki (backdoors) albo włazy (trapdoors), umyślnie zostawiane przez programistów, pomagające im w pełnej kontroli aplikacji. Sposób obejścia zabezpieczeń sprowadza się wtedy do poznania odpowiedniej kombinacji klawiszy lub znaków, dających kontrolę nad programem. Większość producentów bezpłatnie udostępnia łatki eliminujące te niedociągnięcia. Uaktualnienia znajdziesz w firmowych witrynach internetowych, których adres powinien się znajdować w dokumentacji programu. Pamiętaj, że większość skutecznych włamań komputerowych związana jest z lukami w systemie bezpieczeństwa, do których przygotowano już odpowiednie łatki programowe, lecz administrator sieci lub właściciel komputera nie zastosowali ich w porę.

4. Jeśli to możliwe, stosuj szyfrowanie katalogów twardego dysku, dyskietek oraz poczty elektronicznej (możesz użyć doskonałego bezpłatnego programu PGP).

5. W hasłach dostępu nie stosuj słów popularnych i krótkich. Uzupełniaj je dużymi i małymi literami, cyframi oraz innymi nietypowymi znakami klawiatury. W ten sposób znacznie utrudnisz złamanie swoich haseł metodą słownikową. Jeżeli na komputerze pracuje kilka osób, utwórz im oddzielne profile oraz konta.

6. Opracuj politykę bezpieczeństwa informatycznych zasobów firmy. Nawet najprostsza, zabraniająca pracownikom zapisywania haseł na karteczkach i przyklejania ich na obudowie komputera, utrudni życie włamywaczom, którzy bardzo często uzyskują tajne wiadomości wewnątrz firmy.

7. Dostęp do serwerów sieciowych powinni mieć wyłącznie ich administratorzy. Wprowadź skuteczny mechanizm zabezpieczeń, jakim są karty magnetyczne weryfikujące dostęp do pomieszczeń i urządzeń, oraz systemy haseł ważnych tylko przez określony czas.

8. Jako administrator, nigdy nie pozostawiaj bez nadzoru komputera z uaktywnionymi prawami tzw. superużytkownika (super-user czy root). Ktoś nieumiejący się obchodzić z systemem może w jednej chwili zniszczyć mozolnie budowane zabezpieczenia.

9. Określając sposób kontroli dostępu w sieci, w systemie Windows wybieraj współdzielenie plików i urządzeń na poziomie użytkownika, a nie zasobów.

10. Rób kopie bezpieczeństwa na płytach CD-R/RW lub taśmach streamerów. Ułatwi to odzyskanie wartościowych danych w przypadku zniszczenia zasobów.

11. Jeśli działalność gospodarcza Twojej firmy oparta jest na wykorzystaniu poczty elektronicznej i serwisu WWW, pomyśl o zastosowaniu poważniejszych, profesjonalnych zabezpieczeń, zawierających systemy wykrywania włamań (intrusion detection system).

12. Do sprawdzenia odporności sieci na włamanie użyj odpowiedniego narzędzia. Najbardziej znaną aplikacją tego typu jest program SATAN (Security Analysis Tool for Auditing Networks, np. [link widoczny dla zalogowanych]).

powiem tak..... mogles podac zrodlo skad to kopiowales... po drugie.. powienienes dac tylko progsy.. po trzecie ten wstep(chyba) nie jest tu potrzebny.. nie czytalem go ale wydaje sie byc nie potrzebny

Powiem tak! w większości co napisałeś lub skopiowałeś możesz mieć racje,ale krakerzy nie martwią się firewalami to głupoty i też można je szybko obejść! chyba że ktoś nie jest na tyle dobry żeby to zrobić ! no dobra pozdrawiam , powiem tak te informacje to tylko chwilowe ostrzeżenie a ono nie zabardzo pomaga!