Turvaline surfamine Sandboxie abil

Viimati toimetatud 20.sept.2009.a.

Internetis surfamisel võib mõnikord sattuda pahatahtlikele kodulehekülgedele, millel olevate skriptide ja muu pahavara abil võidakse kaaperdada brauseri stardilehekülg, muuta arvuti sätteid, paigutada helistamistarkvara, mis modemit kasutades hakkab kasutaja teadmata võtma kaugetesse maadesse kalleid kõnesid, avada ebameeldivaid hüpikaknaid või nakatada arvuti ussiga (worm).

Halvimal juhul installeeritakse märkamatult arvutisse klahvinuhk, troojalane või rootkit, seda eriti koos kasutaja enda poolt allalaaditud kahtlase programm või mänguga. Kõige selle eest kaitseb arvutit väike programm nimega Sandboxie.

Kui külastate veebilehti, laete alla faile, mängite online- või arvutis olevaid mänge, loete e-maile ja avate manuseid, installeerite ning jooksutades programme või muud taolist, salvestab Windows kõigi tehtavate operatsioonide andmed vaikimisi kõvakettale. Operatsioonisüsteem eeldab, et nende jälgede järgi kulub hiljem vähem aega failide lugemiseks ning rakenduste avamiseks. Kõvaketta ja käimasoleva protsessi vahel toimub pidev andmevahetusvahetus, ent just needsamad kirjutatavad andmed võivad süsteemi rikkuda või õelvaraga nakatada. Kuid Sandboxi kasutades loob programm ajutise isoleeritud virtuaalse kausta, mis ei lase andmetel kõvakettani jõuda ja süsteemi modifitseerida. Loe edasi: Turvaline surfamine Sandboxie abil

Salapärane ja kummituslik rootkit

Viimati toimetatud 13.august 2009.a.

Mida aeg edasi, seda enam ohustavad arvuteid uue põlvkonna pahavarad, mis võrreldes tavaliste viiruste, troojalaste ja nuhkvaraga on võimelised end süsteemi ära peitma ning vältima avastamist traditsiooniliste tõrjeprogrammide poolt.Sellist kurivara on tavavahenditega väga raske eemaldada, kuna nad teisendavad end arvuti tööks eluliselt vajalikeks süsteemifunktsioonideks või -protsessideks. Neid salajasi ja varjatud pahalasi kutsutakse rootkit’ideks.

ukryte_furtki_rys41043333064108.jpg

Olemus

Rootkit on peidetud pahavara, ehk siis nähtamatu protsess või koodijupp (viirus, trooja, klahvivajutuste salvestaja, nuhkvara), mis suudab mööda hiilida viirus- ja nuhkvaratõrjeprogrammidest, salvestub kettale ja hakkab õelvara loojale edastama arvutis leiduvat tundlikku informatsiooni – salasõnadest kuni pangakoodideni välja.

Tavaliselt kasutataksegi rootkit-pahavara just klahvinuhkide peitmiseks. Esmalt muudetakse vastavalt rootkiti olemusele ja ülesannetele arvutis olevad teatud protsessid, programmid või süsteemiutiliidid töövõimetuks (modifitseeritakse algtähenduselt teiseks), mis võimaldab sissemurdjal saavutada kontroll kogu arvuti üle. Kontrollitavat arvutit saab kasutada näiteks isikliku andmelaona, kus kurjam hoiab oma kahtlast kraami, kas siis levitamiseks mõeldud spämmi, varastatud faile jne. Samuti võidakse nakatunud arvutit kasutada pahavarakeskusena teiste arvutite nakatamiseks üle interneti.

Lisainfo siit

Tüübid

Rootkite liigitatakse põhiliselt nelja alaliiki: mälupõhised, kasutajapõhised, püsivad (Persistent) ja kernel-tasandi rootkitid. Raskemini avastatavad ja ohtlikeimad on just kaks viimast, kuna aktiveeruvad juba arvuti alglaadimisel, enne veel, kui operatsioonisüsteem ise jõuab täielikult käivituda ja mingitki kaitset pakkuda. Kasutajapõhiseid ja mälupõhiseid rootkite saab aga kergemini avastada ja eriutiliitide abil eemaldada. Mälupõhine rootkit ei suuda püsivat pahatahtlikku koodi kõvakettale salvestada ja arvuti taaskäivitamisel see tavaliselt hävineb. Ent kunagi ei või kindel olla, et see end uuesti automaatselt käima ei lülitada, kasutades selleks näiteks süsteemitaastepunkte.
Lisainfot siit ja siit

Ennetus ja tõrje

Kuna pahatahtlikud “kummitused” installeeruvad kergemini administraatori õigustega sisseloginud kasutajate süsteemi, siis alati on turvalisem toimetada arvutis tavakasutaja õigustes. Ja loomulikult olgu administraatori konto ikka alati salasõnaga kaitstud. Kuidas valida turvalisi salasõnu, sellest loe siit ja siit

Kuigi rootkitid võivad olla leidnud takistusteta tee arvutisse, ei tähenda see, et sama tõrjeprogramm, millest see läbi lipsas, ei suudaks seda hiljem avastada. Pahalasi otsitakse nii signatuuride põhjal kui pahavara käitumiskombeid analüüsides, seega ikka ja alati olgu viiruse-ja nuhkvaratõrjed värskelt uuendatud. Samuti tuleb Microsofti koduleheküljelt (Windows Update) kõik turvaaukude lappimiseks mõeldud parandused arvutisse tõmmata. Ja mis peamine – kunagi ei tasu arvutisse installeerida tundmatut programmi, mille päritolus ja turvalisuses kindel pole, kuna sageli sokutatakse just nendega salaja rootkit kaasa. Enne tasuks vastava programmi kohta internetist infot otsida ja alles seejärel otsustada.

Kindlasti soovitan paigaldada arvutisse mõni rootkitide tõkestusprogramm. Parimaks neist peetakse DiamondCS ProcessGuard´i ja InfoProcess AntiHook´i , millest eelmine versioon 2.6 on vabavara kodukasutajatele. Ise kasutan Processguard kaitset, millest küll vabavaraline versioon paraku otseselt ei paku rootkit-vastast blokeeringut, ent arvestades nende aastatepikkust kogemust ja programmi kvaliteeti, ei hakka nad oma mainet rikkuma ohtliku pahavara arvutisse lubamisel.

14153-diamondcs-processguard.jpg

Kui veel aasta tagasi pakuti rootkit’ide avastamiseks ja eemaldamiseks vaid kolme-nelja programmi, siis nüüd võib neid internetist leida palju, enamus vabavaralised. Kindlalt on esirinnas vanematest tegijatest Sysinternals RootkitRevaler ja F-Secure BlackLight.

blacklight_rootkit.jpg

Uutest tõrjevahenditest peetakse paremateks Gmeri, Ice Swordi, Rootkit Unhookerit, Hidden Finderit ja Rootkit Hook Analyzerit. Olen neid kõiki katsetanud ja rahule jäänud, ent algajad peaksid arvestama, et mõned on neist üsna keerulised, mitmete lisadega, ja kui pole väga kursis süsteemiprotsessidega, siis tuleks pigem kasutada mõnd lihtsamat, näiteks viirusetõrjujate poolt väljatöötatud beeta-versioone, mille leiab nende kodulehtedelt. Need eriutiliidid on väga kasutajasõbralikud, rootkiti leides tavaliselt nimetatakse see ümber (rename) ja taaskäivitusega (restart) eemaldatakse.
Kõigi eelnimetatud tõkestus- ja tõrjeprogrammide kohta ja paljude teiste analoogsete programmide kohta saab infot siit:
http://antirootkit.com/software/index.htm
Täiendavat lugemist siit

Kindlalt teada nuhkvaratõrjujad, mis samuti suudavad kummitus-kurivara avastada, on vabavaraline A-squared Free ja tasuline Ashampoo AntiSpyware.

Ajaloost

Termin “rootkit” (root – unix keskonnas adiministraator; kit – tööriistakomplekt) on kasutusel juba 10-15 aastat. Algselt ei olnud rootkit loodud sugugi pahatahtlikuna, vaid oli mõeldud administraatorite töö kergendamiseks Unix/Linuxi keskkonnas. Paraku on see ka parim tee võõra arvuti kaaperdamiseks…

rootkit.jpgEsimene Windowsi rootkit avalikustati juba aastal 1999 Greg Hoglund`i poolt. Laiemalt hakati rootkit’ide olemasolu teadvustama 2005. aasta oktoobris, kui Microsoft ja Sysinternals.com turvaekspert Mark Russinovich avastas juhuslikult oma isiklikust arvutist meediakonserni Sony poolt oma toodetega kaasa pandud nn Sony Rootkit’i, mis pidi kindlustama muusikaplaatide kopeerimiskaitse, ent samal ajal võttis see kontrolli arvuti üle ning selle eemaldamise järel lakkas Windows töötamast.

Sony Skandaalist saab lähemalt lugeda siit .  Ja lõpplahendusest on ka Arvutikaitses juttu.

Pahavaravastane vihmavari SpyCatcher

SpyCatcher Express on tasuta programm, mis lisaks enamlevinud nuhkvara leidmisele avastab ka troojaid, klahvivajutuste salvestajaid, varjatud sidekanaleid ehk nn. tagauksi, peidetud kernel-tasandi pahavarasid ehk rootkit’e ning pakub samal ajal ka hästi toimivat reaalajakaitset.

image001.jpg

SpyCatcher Express (http://www.tenebril.com/consumer/spyware/spycatcher-express.php) vabavaraline versioon erineb Tenebril SpyCatcher 2007 tasulisest versioonist selle poolest, et puudub automaatne programmi ja andmebaasi uuendamine, pahavara otsimine muu töö taustal, IP aadresside analüüsija, võltsveebilehtede avastamine (anti-phishing ehk nn. õngitsemine) ning võimalus saata leitud pahavara analüüsimiseks programmi haldajatele. Ent plussiks on see, et lisaks enamusele internetis levivatele pahavara tüüpidele suudab ta avastada ka nendesamade pahavarade järgmisi põlvkondi ehk siis muteerunud pahavara variatsioone. Kui programm pahavara kindlalt ära tunneb, eemaldab ta selle automaatselt karantiini. Juhul kui kasutaja soovib mingil põhjusel karantiini lisatud pahavara taastada, saab ka seda teha, avades programmis Protection (kaitse) alt My Spyware (minu pahavara) ja valides Change Action (muuda toimingut).image003.jpg

Tõsi, programm avastab ka selliseid faile, mis ei pruugigi pahavara olla. Siiski ei maksa kohe arvata, et antakse palju valeteateid ja programm ei suuda tööga hakkama saada. Tuleb arvestada, et häiret tõstetakse potentsiaalselt ebavajalike ja võibolla veidi kahtlaste failide puhul, ent sel juhul jäetakse faili lubamine või keelamine kindlalt arvutikasutaja otsustada.

Näide: programm avastab faili E3TL.dll ja märgib selle kahtlustäratavana, ent karantiini ei pane. Kontrollimisel selgub, et tegu on programmi ProgramChecker vajaliku osaga, mis ei vaja eemaldamist. (Või siiski – võibolla keegi arvab, et see on liiast ja ikkagi lisab karantiini või hoopis hävitab selle – maitse asi!) Kontrollida leitud faile aga on lihtne – tehke uurimist vajaval failil kaks hiireklikki ja Tenebril kodulehel avaneb nn. uurimiskeskus, mis annab detailse ülevaate failist. Juhul, kui programmi haldajatele on see tundmatu fail, siis infot saab postitajate kommentaaridest. Näiteks eelnimetatud faili kohta saab arvamusi sellelt lehelt: http://www.tenebril.com/src/sfile.php?id=e3tl.dll

Programmi reaalajakaitse on üsna hea, ent võiks parem olla. Pigem just selles mõttes, et arvuti käivitamisel startiva failina aeglustab ta tunduvalt arvuti alglaadimist ja kasutab ka hiljem üsna palju resursse. Siiski suudab ta avastada ja peatada pahavara juba arvutisse sissetungikatsel, mis on õelvara ennetamisel peamine.

Pahavara leidmisel antakse hoiatus kas ikooni vilkumise või hüpikaknakesega, kuidas kasutajale endale rohkem meeldib, valida saab seda Alerts nupu alt. Samas saab valida, kui tugevaks sättida kaitsemeetodit – kõrgeks, keskmiseks, madalaks või valikuliseks, viimases saab kas sisse või välja lülitada:

1. veebilehe kaaperdamise funktsiooni
2. süsteemi sätete kaitsmise
3. klahvivajutuste salvestajate blokeerimise
4. peidetud kernel-tasandi rootkit-pahavara blokeerimise
5. hüpikakende ehk popup-aknakeste blokeerimise

Programmi arvutisse installeerimisel nõutakse kasutaja nime, perenime ja toimivat e-maili aadressi. Sisestada võib ju ka varjunimed ja spetsiaalselt selleks mõeldud e-maili aadressi, see ei mõjuta hilisemat programmi tööd. Paigaldusfaili suurus on peaaegu 18 MB.

Kindlasti tuleb arvestada ka sellega, et SpyCatcher Express ei pruugi sobida teiste programmidga, peamiselt just antinuhkvara ja eriti nende reaalajakaitsetega, konflikti sattudes võib arvuti hanguda, nagu mul endal juhtus. Taaskäivituselt (restart) tagasitulles eemaldasin programmi reaalajakaitse autostartivate failide hulgast ja kõik hakkas normaalselt toimima.

Pahavara otsimismeetodeid on kolm: kiire, sügav ja valikuline, milles viimasel kasutaja saab ise otsustada, kas skanneerida ainult mäluprotsesse, registri võtmeid ja –väärtusi, olemasolevaid kettaid, neid kõiki koos või eraldi; või ise valida kahtlustäratavaid faile ja kaustu kiirkontrollimiseks.

image005.jpg

Kiirus oleneb muidugi arvutis olevatest failide hulgast, ent üldiselt võib öelda, et kiire meetod (Fast Scan) on tõesti kiire, põhjalik meetod (Deep Scan) võtab ajaliselt u. 5 – 15 minutit, seega samuti üsna kiire võrreldes mõne teise samaväärse programmi tööga.

Pahavara ndmebaasi saab käsitsi uuendada ja programm võimaldab ka sättimist ajastatud toiminguna just kasutajale sobival ajal arvutit nuhkvarast puhastama – kas kord päevas, nädalas, kuus või kindlal nädalapäeval.

Abivahenditena on programmiga kaasas:
1. Upgrade Manager – selle abil saab osta täisversiooni
2. System Explorer – sellega saab vaadata kõiki protsesse, mis arvutis käivituvad või käivad – mäluprotsesse, autostartivaid faile, Internet Exploreri pluginaid, võrguobjekte, ActiveX komponente jne. Samas saadaval ka üsna hea informatsioon failide kohta.
3. Logivaatur
4. Küpsiste haldur
5. Seadete viisard, mille abil saab sammhaaval programmi sobilikult tööle sättida, ent kuna ka paigaldamisel avaneb esimese asjana sama viisard, siis hiljem tõenäoliselt pole seda vaja enam kasutada.

SpyCatcher Express vabavaralise versioonina teeb ka usinasti omale reklaami, kutsudes ostma programmi täisversiooni või vähemasti prooviversioonina seda katsetama, ent reklaam eriti ei sega ja selle võib kahe silma vahele jätta.

Süsteeminõuded:

  • Windows 2000 ja uuem
  • Pentium 350MHz või parem
  • 64 MB RAM
  • 18MB vaba ruumi

McAfee SiteAdvisor teeb surfamise turvalisemaks

1

Viimati toimetatud 21.dets.2009

Sedamööda, kuidas kurikaelad internetis võimust võtavad, muutub järjest aktuaalsemaks küsimus, kas konkreetsele koduleheküljele võib ikka julgelt surfata või on põhjust karta, et sellelt mõni pahalane külge hakkab. Konkreetse koduleheküle turvalisuse üle otsustamisel on abiks McAfee SiteAdvisor.

2SiteAdvisor on saadaval nii Firefox’ile extension’ina (lisakomponent – programm, laiend browseri täiustamiseks) kui ka Internet Explorer’ile Plug-in’ina. SiteAdvisor aitab kaitsta iga tüüpi veebipõhise rünnaku vastu, kaasaarvatud nuhkvara, reklaamvara, spammi, isegi viiruste ja troojate, veebilehitseja kaaperdamise ja õngitsemise (võltsveebilehed, kus palutakse pettuse eesmärgil sisestada privaatseid andmeid – pangakoode jne) vastu.

SiteAdvisor’i automaatsed testijad kontrollivad pidevalt veebisaite, märkides oma andmebaasi, kas tegu on turvalise või väheturvalise saidiga. Kui kasutada Google või Yahoo otsingut, siis kuvatakse leitud kirjete taha automaatselt märkus, mille järgi saab otsustada, kas ikka tasub sellele lehele minna. Otsustamist kergendab asjaolu, et ka kirjete lõpus olevad ümmargused nupukesed on vastavalt turvalisusele ise värvi – rohelise „linnukesega” on turvalised, kollaste hüüumärkidega tuleb veidi ettevaatlik olla, punase ristiga on kahjulikud. Kirjete lõpus olevatele nupukestele noolega liikudes kuvatakse automaatselt üldinfo lehe kohta ja neile vajutades saab ka põhjaliku analüüsi lehe kohta: kas on probleemne või mitte ja ka seletuse, mis põhjusel pole ta näiteks turvaline. Samas on lehekülastajate kommentaarid – kas peavad saiti heaks või halvaks. Kes soovib, saab ka ise arvamusi lehest lisada, ent selleks tuleb registreeruda. Registreerimisel nõutakse toimivat e-maili aadressi, kuhu saadetakse nn kutse ehk siis link, millele vajutades oledki juba SiteAdvisor’i täieõiguslik kasutaja, kellel on õigusi ka oma arvamusi ükskõik millisest netilehest üles riputada. Selleks tuleb vaid oma koodidega lehele sisse logida.

Ükskõik mis lehel sa ka ei ole, on Firefoxi paremal all nurgas (kella lähedal) Siteadvisor’i ikoon, mis vastavalt saidi turvalisuse astmele muudab värvi (roheline, kollane, punane). Sellele peale klikkides saad muuta sätteid – lülitada sisse või soovi korral välja turvalise surfamise kuvatavad nupukesed, muuta ka otsingus kuvatavad kirjed vastavalt turvalisusele värviliseks (Highlight search result links) või lülitada sisse turvaline teabeedastus (Use SSL communications to server; SSL kohta saab infot siit: http://en.wikipedia.org/wiki/Transport_Layer_Security). Samast saab ka vaadata detailseid testitulemusi lehe koha, millel oled; SiteAdvisor’i välja lülitada, saata tagasisidet SiteAdvisor’i meeskonnale; meeldivuse korral kutsuda sõber SiteAdvisor’it kasutama (Tell a friend) jne.

Teenust on pakutud juba 2005 aastast SiteAdvisor’i nime all, ent 5. aprillil 2006. a. omndas McAfee turvakorporatsioon õigused SiteAdvisor nimele ja nüüd on selle veebilehitsejate abivahendi ametlikuks nimeks McAfee SiteAdvisor. Juba maailma ühe tuntuma antiviirusetõrje looja soov osta SiteAdvisor näitab, et tegu on kasuliku, kiiresti tuntust koguva lahendusega. Usutavasti tänu McAfee enda turvatehnoloogia rakendamisele muutub SiteAdvisor veelgi kasulikumaks ja mugavaks abivahendiks kasutajatele, näidates ära lehed, kust võib pahavara saada ja lugeda kasutajate arvamusi lehe kohta (nii häid kui halbu).

3a

Isiklikult kasutan SiteAdvisor’it juba ammu, olen sellega väga rahul, ja kinnitan, et antav info on objektiivne ja peab paika. Lisaks, olles juba nii pikka aega tegutsemas, on saavutatud kogemus, mida võib arvestada.
McAfee SiteAdvisor on üks huvitavamaid leide ja meeldivalt nutikas lahendus! Kui mingid jobud ei hakka pahatahtlikult anonüümseid tühi-ehk valearvamusi mingi saidi kohta üles riputama, siis pean seda kasulikuks lisandiks kas Firefoxile või Internet Explorerile.

Süsteeminõuded:
• Opsüsteem: Windows Vista/XP,  Mac OS X
• Brauser: Mozilla Firefox 2.0, Internet Explorer 6

Saadaval on nii vabavaraline kui ka tasuline versioon, mille võrdlustabeli leiab siit.