Lai kiberļaundari neaizsniedz

Lai kiberļaundari neaizsniedz

Vīrusi un ievainojamība

Datorvīrusi vai cita veida ļaunatūra (malware) ir vienas no visbiežākajām drošības problēmām. Lielākajam riskam ir pakļauti pasaulē populārākās operētājsistēmas Windows lietotāji, taču kopš 2012. gada arī Apple savos reklāmas materiālos vairs neizmanto lepno apgalvojumu, ka operētājsistēmu Mac OS vīrusi neapdraud. 

Potenciāli kaitniecisku programmu avoti ir e-pasta pielikumi, tīmekļa vietnes, kurās var būt bīstams kods, un arī datu nesēji ar nezināmas izcelsmes failiem. Dažādās datorinfekcijās iedzīvoties var, arī izmantojot pirātisku programmatūru. Vīruss var tikt iekļauts gan programmas instalācijas pakotnē, gan kādā papildu programmā, kādas nereti tiek pievienotas, lai apietu aizsardzības mehānismus, kuru mērķis ir mudināt lietotājus programmatūru iegādāties legāli. Taču vīrusu var paslēpt pat Word vai PDF dokumentā. 

Ir svarīgi atcerēties, ka ļaunatūra nav tikai personālo datoru problēma. Instalējot dažādas lietotnes, arī viedtālruņu u. c. ierīču lietotāji var sastapties ar nepatīkamiem pārsteigumiem, it īpaši, ja neuzticamai lietotnei ir atļauts pieslēgties internetam un piekļūt jūsu kontaktiem un failiem. 

Datorsistēmu drošības uzturēšanā ir būtiski, lai regulāri tiktu pārbaudīts, vai nav parādījušies atklāto drošības caurumu atjauninājumi. Tas attiecas gan uz operētājsistēmām, gan instalētajām programmām. Svarīgi ir pārliecināties, ka datoram ir jaunākā Flash un Java versija – šie papildinājumi plaši tiek izmantoti tīmekļa vietnēs, taču tajos regulāri tiek atrasts daudz ievainojamību. Nav pat jāapmeklē šaubīgas tīmekļa lapas – pietiek, ja kādā interneta reklāmas tīklā, kuru var izmantot arī cienīti mediji, parādās Flash baneris, kas izmanto ievainojamību. Šādai reklāmai ielādējoties, datoru ir iespējams inficēt. 

Windows sistēmās svarīgi ir izmantot antivīrusu programmas, tomēr pat vislabākā antivīrusu programma nenovērsīs visus apdraudējumus, jo ļaunatūras izstrādātāji vienmēr atradīsies soli priekšā. Tāpēc ir jāizmanto kādi papildu drošības pasākumi. Būtiskākais no tiem ir piesardzība – ir vēlams izvairīties no failiem, par kuru izcelsmi jums nav pārliecības, bet, ja tas nav iespējams, jāizmanto papildu drošības risinājumi.

Virtualizācija un smilšu kastes

Mūsdienās datori spēj darīt krietni vairāk nekā darbināt vienu operētājsistēmu ar dažādām tajā instalētajām programmām. Izmantojot attiecīgu programmatūru, ir iespējams vienā datorā vienlaikus darbināt vairākas šādas vides, un vienā vidē notiekošais neietekmē citu darbību. Tieši šī ir virtualizācijas pamatideja – radīt virtuālu, nevis reālu datora komponentu, vidi vai programmu. 

Populārs risinājums mūsdienās ir serveru virtualizācija, kas nozīmē, ka tā vietā, lai uzņēmums iegādātos vai īrētu atsevišķus serverus dažādu procesu nodrošināšanai, ir iespējams vienu serveri sadalīt atsevišķās virtuālās vidēs ar dažādām funkcijām. Tas gan palielina drošību, gan arī ļauj ekonomiski izmantot resursus, jo šādi ir iespējams efektīvāk noslogot serveri. 

Taču līdzīgā veidā ir iespējams virtualizēt arī darba vietas un atsevišķas programmas. Galalietotājam noderīga šo principu realizācija ir arī t. s. smilšu kastes (sandbox) – vides, kurās notiekošais ir izolēts no pārējās lietotāja izmantotās operētājsistēmas un kurās veiktās izmaiņas var ērti izdzēst, sistēmu atiestatot sākotnējā stāvoklī. Piemēram, ja jūs vēlaties atvērt kādu aizdomīgu failu, jūs to varat darīt šādā smilšu kastē – ja fails izrādīsies bīstams, tas nespēs sabojāt failus ārpus smilšu kastes, netiks klāt citām programmām un nespēs inficēt citus datorus. Turklāt šādā situācijā jūs pēc tam varat novērst visas izmaiņas, kas virtualizētajā vidē ir notikušas, un nākamajā reizē atsākt darbu tā, it kā jūsu priekšā būtu svaigi instalēts dators bez kādām nevēlamām izmaiņām.

Ir pieejamas daudzas šāda veida virtualizācijas programmas. Dažas no populārākajām ir VirtualBox, VMware Player un Comodo ugunsmūrī iekļautais Virtual Desktop.

Paroļu drošība

Paroles ir ierasti drošības mehānismi, taču tām piemīt virkne vājo punktu. Pirmkārt, lietotāji bieži vien ir tendēti izvēlēties ne pārāk drošas paroles – tādas, kurās ir maz simbolu, simboli ir tikai mazie burti, vai arī tādas, kuras ir iespējams atminēt, ja ir zināmas dažas personiskas detaļas par konkrēto cilvēku. Garnadži mēdz izmantot paroļu minēšanas programmas, ar kurām pārbauda visas iespējamās simbolu kombinācijas, līdz atrod to, kas der. Reizē ar procesoru jaudas pieaugumu šī minēšana notiek aizvien ātrāk, tāpēc ir nepieciešams izvēlēties aizvien garākas un sarežģītākas paroles. 

Otrkārt, datorlietotāji ikdienā izmanto vairākas sistēmas, kurās ir jāpierakstās ar paroli, taču lielu skaitu paroļu atcerēties ir grūti. Šāda situācija palielina motivāciju ielaisties kompromisos, kas rada jaunus drošības riskus, proti, lietotāji vairākās vietnēs izmanto to pašu paroli – tātad vienas paroles nozagšanas gadījumā ļaundaris var iegūt 

Paroli Š0d13n ārā 1R lab5 la1k5 ar tās 24 simboliem ir iespējams atcerēties

piekļuvi vairākām sistēmām – vai arī tur tās pierakstītas datorā, tālrunī vai blociņā, no kurienes tās ir iespējams nozagt. Unikālas un grūti atminamas paroles ir īpaši svarīgi izmantot sistēmās, kurām piekļūstot ir iespējams iegūt vēl citu sistēmu pieslēgšanās datus, piemēram, ja kāds ielaužas jūsu e-pastā, šo piekļuvi var izmantot, lai atjaunotu dažādu citu konkrētajai e-pasta adresei piesaistīto pakalpojumu paroles. 

Īsu paroļu atlaužamības un garu paroļu sarežģītības problēmu var mēģināt risināt, par paroli domājot nevis kā par vārdu, bet gan frāzi, turklāt burtus papildinot ne tikai ar cipariem, bet arī pieturzīmēm, atstarpēm u. c. mazāk ierastām rakstu zīmēm. Paroli Š0d13n ārā 1R lab5 la1k5 ar tās 24 simboliem, kur ir lielie un mazie burti un atsevišķi burti uz līdzības pamata ir aizvietoti ar cipariem, ir iespējams atcerēties, jo šai simbolu virknei ir jēga, taču tās uzlaušanai būs nepieciešams ļoti ilgs laiks.

Taču arī relatīvi drošas paroles var nonākt svešās rokās. Kāds tās var iegūt, piemēram, datorā slepus instalējot programmu, kas reģistrē visus nospiestos taustiņus, vai arī pieslēdzoties datortīklam un novērojot, kāda informācija tajā tiek pārsūtīta. Organizāciju iekšienē iespējas vērot datu plūsmu

Labā ziņa – vairums moderno viedtālruņu ir attālināti bloķējami, un to saturu ir iespējams izdzēst, ja vien ierīce ir pieslēgta tīklam

parasti ir tikai tīklu administratoriem, taču, ja esat pieslēdzies pie publiska Wi-Fi tīkla, paturiet prātā, ka šinī pašā tīklā ar datu skeneri var darboties kāds svešu datu kārotājs, kuram teorētiski var būt iespēja redzēt informāciju, ko pārsūtāt internetā, tostarp paroles.

Nozīmīgs indikators, kas liecina par nedrošību, ir tas, ka pieslēgšanās laikā ierīce prasa, vai atļaut izmantot jaunu drošības sertifikātu. Šādu taktiku izmanto kibernoziedznieki, lai savu sistēmu mēģinātu uzdot par kādu uzticamu vietni un iestātos pa vidu (kā starpnieki) starp lietotāju un viņa izmantoto pakalpojumu (piemēram, e-pastu). Ja tas izdodas, viņi var sekot informācijai, kas tiek pārsūtīta.

Divu līmeņu autentifikācija 

Tā kā ar vienu pašu paroli bieži vien var būt par maz, pakalpojumu sniedzēji aizvien plašāk piedāvā divu līmeņu autentifikāciju (two-step verification; two-factor authentication), kur papildus lietotāja vārdam un parolei ir paredzēts ievadīt kodu, kas katru reizi mainās, tādējādi būtiski sarežģījot ļaundara mēģinājumus nesankcionēti piekļūt sistēmai. 

Pie mums populārākais šādas pieejas piemērs ir pieslēgšanās internetbankai, kur lietotājam tiek prasīts ievadīt kodu kartes vai kalkulatora kodu. Taču papildu drošības līmeni, kas darbojas pēc līdzīga principa, pašlaik piedāvā arī daudzu citu pakalpojumu sniedzēji, ieskaitot e-pasta, mākoņskaitļošanas un sociālās tīklošanās vietnes. 

Divu līmeņu autentifikācija parasti ir piesaistīta lietotāja mobilajam tālrunim. Bieži vien ir iespējams izvēlēties: vai nu pēc lietotāja vārda un paroles ievadīšanas katru reizi saņemt īsziņu ar kodu, vai arī viedtālrunī instalēt lietotni, kas šādu kodu ļaus radīt uz vietas. 

Nav noliedzams, ka šādi tālrunis kļūst par būtisku lietotāja digitālās identitātes atslēgšanas elementu un tādā veidā šī nelielā ierīce, kas ir ne tikai viegli pārnēsājama, bet arī viegli pazaudējama, vienlaikus rada arī jaunus drošības riskus. Kas notiek, ja tālrunis nonāk svešās rokās? Labā ziņa – vairums moderno viedtālruņu ir attālināti bloķējami, un to saturu ir iespējams izdzēst, ja vien ierīce ir pieslēgta tīklam. Tas nozīmē, ka ierīci pēc tās pazaudēšanas arī citi vairs nevarēs izmantot, lai autorizētos kādam pakalpojumam. Taču, ja šāds scenārijs piepildās, noderēs datu rezerves kopijas.

Rezerves kopijas 

Datu zudums gan uzņēmumiem, gan privātpersonām var radīt pamatīgas problēmas. Neuzmanības, nelaimes gadījuma, zādzības vai kāda cita iemesla dēļ postā var aiziet vairāku mēnešu vai pat gadu darbs, kas vairs var nebūt rekonstruējams. Labā ziņa – dati ir kopējami, tādējādi samazinot zaudējumus, kas varētu rasties datu nesēja zaudēšanas vai sabojāšanās gadījumā. 

Rezerves kopēšanas programmas ir dažādas. Ir tādas, kas veido identisku jūsu datora sistēmas kopiju, kuru var noglabāt vai nu kādā atsevišķā diska nodalījumā, vai ārējā datu nesējā, no kura nepieciešamības gadījumā atgūt jūsu sistēmas stāvokli precīzi tādu, kāds tas bija kopijas izveides brīdī. Ir tādas, kas uzrauga tikai konkrētas lietotāja norādītās mapes vai failus, un ik reizi, kad norādītajā mapē vai failos ir kādas izmaiņas, rezerves kopijas arhīvā tiek ievietota jaunākā versija. 

Ierindas lietotājs vismaz daļu dokumentu rezerves kopiju var uzglabāt mākonī, izmantojot Microsoft OneDrive, hubiC, Dropbox vai daudzus citus tiešsaistes sinhronizācijas pakalpojumus (pirmais bez maksas piedāvā 15 gigabaitus diska vietas, otrais – 25, bet pēdējais – tikai 2). Papildus tam var noderēt daudzās mūsdienu operētājsistēmās jau iebūvētie vai arī trešo pušu (Paragon, Acronis, EaseUS) izstrādātie risinājumi, kas ļauj veidot un pārvaldīt failu vai visu cieto disku rezerves kopijas. 

Savukārt uzņēmumiem var būt nepieciešami specifiski risinājumi, kas dod iespēju liela izmēra datu kopijas veidot centralizēti un glabāt attālinātā datu centrā, kurš, savukārt, ļauj izveidot ne tikai atsevišķu failu, bet arī datubāzu, sistēmas konfigurāciju u. c. datu dublējumus.

Garnadži mēdz izmantot paroļu minēšanas programmas, ar kurām pārbauda visas iespējamās simbolu kombinācijas, līdz atrod to, kas der

Datu šifrēšana

Rūpējoties par datu drošību, ir jāpatur prātā vēl viens aspekts: kas notiks, ja ļaundaris – par spīti visam – tomēr jūsu datiem piekļūs? Tas var būt iespējams, gan nozogot jūsu datoru vai tālruni, gan ielaužoties tīklā, gan pārtverot sūtījumus, kas ceļo no jūsu datora pie adresāta un atpakaļ.

Risinājums ir datu šifrēšana. Tā var izpausties gan kā automātiska datu šifrēšana to pārsūtīšanas laikā, gan kā to uzglabāšana šifrētā formā. Internetā pārsūtītos datus šifrē daļa tīmekļa vietņu, kas pieslēgumu nodrošina ar HTTPS / SSL protokolu. Par to, ka konkrētā vietne šifrē datus, liecina burti https interneta adreses sākumā (parastā http vietā), atslēgas simbols interneta pārlūka adreses joslas kreisajā pusē vai uzņēmuma nosaukums uz zaļa fona – uz tā uzklikšķinot, parādās informācija par to, kā lietotāja pārsūtītie dati tiek aizsargāti. Šāds šifrēšanas standarts mūsdienās ir internetbankās, sociālās tīklošanās portālos, tiešsaistes veikalos u. c. pakalpojumos, kas ir saistīti ar personisku un sensitīvu datu pārsūtīšanu. 

Te gan ir jāuzsver, ka e-pasta sarakstes konfidencialitāti un uzticamību HTTPS negarantē – tas gan samazina iespēju, ka nepiederošas personas uzzinās jūsu paroli, taču e-pasta darbības principi savulaik netika izstrādāti, domājot par drošību. Vēstules ceļā pie adresāta tiek sūtītas caur dažādiem starpniekiem (gan e-pasta serveriem, gan interneta pieslēguma nodrošinātājiem), un nav garantijas, ka tie visi atbalsta šifrēšanu. Tādējādi ziņojuma pārsūtīšanas laikā pastāv iespēja, ka tā saturam vai vismaz metadatiem (informācija par to, kurš, kad un ar ko pa e-pastu ir kontaktējies) piekļūst nepiederīgas personas. E-pastu ir iespējams nosūtīt, uzdodoties par kādu citu personu. Šajā ziņā palīdz e-paraksts, kas apliecina nosūtīto dokumentu īstumu. 

Populārs risinājums ir arī datoru cieto disku šifrēšana  – tas nodrošina, ka diskā esošie faili nav pieejami, ja lietotājs nav ievadījis pareizos pieslēgšanās datus. Šifrēšanas risinājumi bieži vien ir iekļauti mūsdienu operētājsistēmās, taču tādus piedāvā arī daudzi trešo pušu programmatūras izstrādātāji. Izvēloties šādu risinājumu, ir jāatceras gan, ka paroles vai šifrēšanas atslēgas nozaudēšanas gadījumā ir nopietns risks, ka zaudēsit piekļuvi saviem datiem  – drošības apsvērumu dēļ pieejas tiesību atiestatīšana parasti ir krietni sarežģītāka nekā tad, ja esat pazaudējis, piemēram, e-pasta vai Facebook paroli.

E-­pasta darbības principi netika izstrādāti, domājot par drošību

Taču uzņēmuma līmenī šāda datu šifrēšana nav labākais variants: pirmkārt, sava datora piekļuves atslēgas ir zināmas katram atsevišķajam darbiniekam un netiek pārvaldītas centralizēti; otrkārt, dati, kas tiek turēti katrā atsevišķā datu nesējā, ir vairāk pakļauti dažādiem riskiem un grūtāk pārvaldāmi nekā tie, kas atrodas atbilstīgi uzturētā datu centrā, kur tos var centralizēti šifrēt un veidot to rezerves kopijas. Tāpēc efektīvāka ir mākoņskaitļošana, izmantojot jau pieminētos virtualizācijas risinājumus.

Drošība pret ērtumu

Domājot par datu drošību, ir jāievēro princips – lielāka drošība bieži vien iet rokrokā ar noteiktu ērtību zaudējumu. Piemēram, ieviešot divu līmeņu autentifikāciju vai liekot izvēlēties garas un sarežģītas paroles un tās regulāri mainīt, lietotājiem var šķist, ka viņi tiek apgrūtināti ar papildu darbībām, taču šie u. c. drošības līmeņi var palīdzēt novērst reālus zaudējumus. 

Tāpēc labā drošības politikā ir paredzēts reālistiski izvērtēt iespējamos draudus un potenciālos zaudējumus sliktākā scenārija gadījumā un atbilstīgi atrast līdzsvaru starp IT lietošanas ērtumu un nepieciešamajiem piesardzības pasākumiem.

Saistītie raksti


Kontakti

Saziņai:
23300113
Adrese:
Daugavas iela 38-3, Mārupe, LV-2167
Ikmēneša labāko ziņu apkopojums e-pastā:
Seko!