Saturs
Ievads
Izejot no savas mājas, jūs aizslēdzat durvis un varbūt pat ieslēdzat signalizāciju, ja tāda ir uzstādīta. Lai vai kā, tiek veikti kādi preventīvi pasākumi sevis un sava īpašuma pasargāšanai. Līdzīgi vajadzētu attiekties arī pret jūsu datora drošību.
Kā ziņot par incidentu?
Ja jums ir radušās aizdomas par ielaušanos savā datorā, nedzēsiet ārā nekādu informāciju, atvienojiet datoru no tīkla un
sazinieties ar CERT.LV! CERT.LV speciālisti palīdzēs jums saglabāt vajadzīgos pierādījumus un atrast drošības nepilnības, kuru dēļ ielaušanās vai datu zādzība varēja notikt.
Mājas datora drošība
Šeit sniegsim vispārīgas vadlīnijas, kā padarīt drošāku savu mājas datoru. Izpildot visus norādījumus, jūsu dators joprojām nav uzskatāms par pilnīgi drošu, tomēr jūs jau būsiet to pasargājis no vairākiem populāriem uzbrukumu veidiem. Ja uz datora tiks uzstādīta vai aktivizēta ugunssiena, tā var radīt traucējumus dažādu programmu darbībā, kas izmanto sarežģītākus tīkla savienojumus. Šajā gadījumā jums būs vajadzīga speciālista palīdzība ugunssienas noskaņošanā.
CERT.LV neuzņemas atbildību par traucējumiem jūsu datora vai programmatūras darbībā, kas varētu tikt izraisīti, izpildot zemāk esošos norādījumus.
Kādēļ iebrucējus varētu interesēt mans dators?
Uz jūsu datora varētu atrasties informācija par jūsu bankas kontiem, kredītkartēm, personas datiem, u.tml., kuru varētu izmantot materiāla labuma gūšanai. Ja šāda veida informācija uz datora glabāta netiek, tik un tā iebrucējs varētu būt ieinteresēts jūsu datorā - dēļ tam pieejamiem resursiem - cietā diska vieta, internet pieslēgums, procesora jauda. Jūsu datoru var izmantot, lai no tā uzbruktu citām sistēmām.
Kas būtu jādara pieslēdzot datoru tīklam?
Pirms pieslēdzat savu datoru internetam, pārliecinieties, ka ir uzstādīta un ieslēgta aizsardzības programmatūra "ugunssiena" (angļ. val. firewall) kā arī programmatūra aizsardzībai pret datorvīrusiem.
Tikko uzinstalētai sistēmai visticamāk nebūs jaunāko drošības ielāpu un atjauninājumu, jo tā tika ielaista tirgū pirms tie tika izveidoti, un jaunas ievainojamības tiek atklātas nepārtraukti. Labā prakse būtu pieslēgt šādu neaizsargātu datoru tīklam, atrodoties aiz maršrutētāja (angļ. val. router), kas veic NAT funkciju (tīkla adrešu translēšana), tādā veidā aizsardzību nodrošinās ugunssiena aparatūras līmenī.
Sekojiet, lai jūsu dators saņem atjauninājumus.
Kā ieslēgt Windows iebūvēto ugunssienu?
Ja jūs lietojat Windows XP Service Pack 2 (SP2), tad Windows ugunssiena ir ieslēgta pēc noklusējuma. Lai vai kā, der pārliecināties vai tiešām tas tā ir.
1. Noklikšķiniet peles kreiso pogu uz Start, tad Control Panel
2. Atkarībā no darba vides izskata kādu lietojat (Category View vai Classic View) ir attiecīgi jāizvēlas Security Center, tad Windows Firewall vai uzreiz Windows Firewall.
3. Pārliecinieties, ka General sadaļā ir ieķeksēts On
Jāņem vērā, ka Windows iebūvētā ugunssiena filtrē tikai ienākošos pieslēgumus - uz jūsu datoru, no jūsu datora uz āru pieslēgumi netiek filtrēti.
Jūs varat lietot jebkuru citu, varbūt jums ērtāku vai funkcionālāku programmatūras līmeņa ugunsienu, būtiskākais ir lai tā spēj aizsargāt jūsu datoru no nesankcionētas piekļuves datiem.
Kā aktivizēt automātisku atjauninājumu lejuplādi un uzstādīšanu?
Automātiskā atjauninājumu lejuplādes un uzstādīšanas režīmā jūsu dators saņem visus svarīgākos drošības un kritiskos servisa paku jauninājumus un uzstāda tos automātiski, jums pašam tie nav jāmeklē.
1. Noklikšķiniet ar peli uz Start, Settings, Control Panel
2. Security Center, Automatic Updates
3. Ieķeksējam Automatic (recommended)
Ir iespējams izvēlēties laiku, kad sistēma meklēs atjauninājumus, tam vajadzētu notikt katru dienu.
Kādas vēstules izsūta CERT.LV?
Ja CERT.LV ir saņēmis informāciju par mēstuļu izsūtīšanu no Jūsu datora vai ziņojumu, ka Jūsu dators ir inficēts, tiek izsūtīta apmēram šāda informatīva vēstule:
Labdien!
Esam saņēmuši sūdzības par Jūsu tīklā esošu datoru ar ārējo IP adresi
@IPADDRESS@. Tas tiek izmantots mēstuļu izsūtīšanai, kas, ticamākais, ir
kāda datorvīrusa darbības rezultāts. Lai neiekļūtu starptautiskajos
e-pasta "melnajos sarakstos", Jums ir jārūpējas par datoru antivīrusu
programmatūras uzstādīšanu/atjaunināšanu un jānovērš kaitīgo programmu
darbība, kas izsūtīja mēstules.
Ar cieņu,
...
Kā pārliecināt klientu, ka viņa dators ir inficēts?
Bieži klienti netic CERT.LV ziņojumam un apgalvo, ka ar datoru viss ir kārtībā. Kā pārliecināt klientu, ka dators tomēr ir inficēts?
Visredzamākā pazīme ir, ja klienta IP adrese ir iekļuvusi kādos melnajos sarakstos un tas nevar normāli aizsūtīt e-pastus.
Ja šādas problēmas nav, tad jāmēģina noskaidrot, vai uz datora ir atjaunota antivīrusu programmatūra. Ja nav, tad kā gan klients zina, ka viņš nav inficēts?
Var ieteikt klientam atjaunot esošo antivīrusu un veikt pilnu skanēšanu visiem datora diskiem vai arī visiem datoriem iekšējā tīklā.
Vairāk informācijas CERT.LV sagatavotajos rakstos:
Pazīmes, ka dators varētu būt inficēts?
Ko darīt, ja dators ir inficēts?
Ko darīt, lai Windows dators būtu drošībā?
Kādu antivīrusu programmatūru izmantot?
No bezmaksas antivīrusu programmām CERT.LV iesaka:
No maksas antivīrusu programmām CERT.LV iesaka:
Kā iztīrīt Spyware no datora?
Ko darīt, ja dators ir botnetā?
CERT.LV iesaka izmantot kādu no trim Antivīrusu ražotāju sagatavotajiem rīkiem, kas ir bezmaksas pieejami internetā un kurus var izmantot, lai no jūsu datora aizvāktu lielāko daļu infekciju un vīrusu. Šie rīki ir pieejami no lapas
https://www.botfrei.de/en/index.html
Kā datortīklu administratoram tīklā atrast vainīgo datoru?
Ļoti bieži uzņēmumiem ir viena ārējā IP adrese un viss tīkls atrodas aiz NAT (tiek izmantota adrešu translācija). Šajā gadījumā CERT.LV ziņo par problēmu ar ārējo IP adresi, bet uzņēmuma IT administratora uzdevums ir noskaidrot, kurš dators iekšējā tīklā ir inficēts un rada problēmas.
CERT.LV administratoram var palīdzēt, nosūtot informāciju par precīzu incidenta laiku, pēc kura kopā ar žurnālfailu pierakstiem, būtu jāvar atrast inficēto datoru.
Mēstuļošanas gadījumā vainīgo datoru vajadzētu varētu atrast pēc izejošajiem pieslēgumiem uz 25.portu – šo pieslēgumu monitorings jāieslēdz, ja citādi inficēto datoru noskaidrot nav izdevies. Jāskatās, kuram datoram ir liels aktīvo pieslēgumu skaits, daudz DNS un SMTP pieslēgumu.
Ja administrators nevar ieslēgt pieslēgumu monitorēšanu (nav pieejas), CERT.LV iesaka sazināties ar interneta pakalpojumu sniedzēju vai aparatūras apkalpotāju.
Ko darīt gadījumā, ja neviens dators pastiprinātas aktivitātes neveic?
Kā administratoram noskaidrot inficēto datoru, ja novērošanas brīdī neviens dators pastiprinātas aktivitātes neveic?
Ja administratoram ir pieejami maršrutizatora žurnālfaili, tad CERT.LV iesaka izpētīt žurnālfailus, īpašu uzmanību pievēršot tam laika posmam, kad ir uzrādīts incidents vai notikusi mēstuļu izsūtīšana.
Ja administratoram nav pieejami maršrutizatora žurnālfaili, tad CERT.LV iesaka pārbaudīt, vai maršrutizatora izmantotā programmatūra spēj izsūtīt brīdinājumus par pārāk lielu pieslēgumu skaitu no viena datora. Ja jā, tad nepieciešams uzstādīt šādu brīdinājumu.
Ja administrators nemāk uzstādīt brīdinājumu, tad, zinot maršrutizatora modeli, CERT.LV pārbaudīs tā dokumentāciju un noskaidros, vai šādi brīdinājumi ir iespējami.
Kā pārbaudīt aizdomīgus failus?
Ja ir aizdomas, ka kāds no failiem ir inficēts, var izmantot VirusTotal -
http://www.virustotal.com/ , lai šo failu pārbaudītu. Iesūtot failu, pēc īsa brītiņa lietotājs saņems atpakaļ informāciju, vai fails ir inficēts, ja jā, tad ar ko un kā to ārstēt.
Jāņem vērā, ka uz VirusTotal nevajadzētu sūtīt nekādus konfidenciālus failus, pat ja ir aizdomas, ka tie varētu būt inficēti.
Ko darīt, ja e-pastā pienāk aizdomīgi „Delivery report”?
Mēdz gadīties, ka klientam e-pastā pienāk daudzi "Delivery report", ka it kā no
klienta e-pasta adreses izsūtītas mēstules neesošiem lietotājiem. Šādā gadījumā visbiežāk klienta dators nav inficēts, bet mēstuļotāji ir izmantojuši klienta e-pasta
adresi mēstulēs kā atpakaļadresi.
Šajā gadījumā diemžēl darīt neko nevar, „Delivery report” jāmet ārā un jāignorē.