Objavljeno: 24.12.2018 | Avtor: Miran Varga | Monitor Januar 2019

Ujemimo »lumpe« na delu

Ne glede na to, kako dobro varovan je naš osebni računalnik ali druga naprava, je na drugi strani cela vrsta škodljivih kod in spretnih napadalcev, da povsem brezskrben spanec vendarle ni mogoč. A tudi sami lahko še dodatno poskrbimo za dvig stopnje varnosti.

Pripravili smo pregled orodij, s katerimi bomo zaznali anomalije v rabi, ki pogosto kažejo na prisotnost nezaželenih gostov. V nadaljevanju predstavljamo orodja, ki nas bodo obveščala o tem, če kakšen nepovabljen gost dostopa do naše internetne povezave, računalnika, telefona in drugih virov in počne kaj, česar naj ne bi smel.

Nove naprave v omrežju

Če nas skrbi, da še kdo drug poleg nas uporablja brezžično internetno povezavo – in to neupravičeno – lahko to seveda preverimo. Pri tem si pomagamo z namenskim orodjem NirSoft Wireless Network Watcher (www.nirsoft.net), katerega naloga je, da nam razkrije vse v brezžično omrežje povezane naprave. Seveda ima orodje še cel kup drugih funkcij, ki bi jih lahko opisovali na dolgo in široko, a že najosnovnejša med njimi omogoča vpogled v dejavnost naprav, povezanih v omrežje. Po zagonu programa Wireless Network Watcher kliknemo razdelek Last Detected On in si s smernima puščicama izberemo prikaz, ki nam bo omogočil, da se zadnja priklopljena naprava prikaže na vrhu seznama. Tako bomo hitro videli, ali se v naše omrežje poveže še kdo.

Zelo dobrodošla je tudi funkcija opozarjanja na potencialno nevarne naprave. Nastavimo lahko alarm s piskom. To storimo tako, da se odpravimo v nastavitve, kliknemo Options in vklopimo možnosti Beep On New Device ter Beep On Disconnected Device (da bomo vedeli tudi, kdaj kakšna naprava zapusti omrežje). Program nam omogoča tudi izdelavo alarmov po meri – za točno določene naprave/povezave, če nam privzeta možnost ni všeč. Spremenimo lahko celo način zvočnega opozarjanja. Če nas alarmi preveč motijo, je zelo dober recept za odkrivanje anomalij tudi branje dnevniškega zapisa, saj ta premore informacije o vseh spremembah. Do njega se dokopljemo s klikom View in izborom možnosti HTML Report – All Items.

Nezaželene spremembe sistema

Razlogov, zakaj biti pozoren na spremembe sistemskih datotek ali nastavitev, resnično ne manjka. Lahko nas skrbijo izsiljevalski virusi ali pa preprosto ne želimo, da bi se kdorkoli »igral« z našo napravo. Če to poganja operacijski sistem Windows, si lahko hitro in enostavno pomagamo s programom WinPatrol (www.winpatrol.com), ki deluje kot nekakšen digitalni pes čuvaj. Zna namreč varovati programe, ki se samodejno zaženejo ob zagonu sistema, prav tako lahko zamakne njihovo izvajanje in tako pohitri sam zagon operacijskega sistema. Programu lahko očitamo le res grd (da, obupen je) uporabniški vmesnik, natlačen s funkcijami in informacijami, zato bo raba zahtevala nekoliko privajanja. 15 zavihkov funkcij pač nima priloženih smernic za uporabo. A se zato v nadaljevanju WinPatrol odkupi z možnostjo nadzora sprememb praktično česarkoli v operacijskem sistemu – od datotek do map. Gre za pasiven program, saj ga po namestitvi in nastavitvah pustimo ždeti v sistemskem kotičku (ozr. ozadju), kjer pozorno spremlja, kaj počne posamezen program ali želi namestiti. Če mu dejavnost posamezne aplikacije ali procesa ni všeč, nam bo prikazal grafično in predvajal zvočno opozorilo. Spremembe sistemskih nastavitev ali virov nato lahko sprejmemo ali pa zavrnemo. Če programa ali programske kode, ki jo WinPatrol zaloti pri delu, ne poznamo in menimo, da gre za sumljivo kodo, je njeno dejavnost bolje blokirati in preveriti s protivirusnim programom.

WinPatrol nima najpreglednejšega uporabniškega vmesnika na svetu, a zato uspešno odkriva sumljive dejavnosti v sistemu.

Nepooblaščeni dostop do deljenih datotek

V primeru, ko imamo na domačem računalniku omogočen dostop do vsebin v skupni rabi, po svoje sami puščamo odprta vrata do njih. Zato jih velja ustrezno zavarovati oziroma nadzorovati. Pri tem nam lahko pomaga program Net Share Monitor (www.securityxploded.com/netsharemonitor.php), ki spremlja dejavnost v mapah, ki smo jih dali v skupno rabo. Gre za res minimalistično orodje, ki premore tri zavihke. V zavihku Active Sessions si lahko ogledamo dnevnik sej povezanih uporabnikov, zavihek Accessed Files nam postreže z informacijami o tem, do katerih map in datotek trenutno dostopajo kateri oddaljeni uporabniki, zavihek Shared Files pa skrbi za pregled nad tem, katere mape dejansko delimo v omrežju. Program Net Share Monitor sicer samodejno preveri in odkrije, katere naše mape in njihove vsebine so vidne v omrežju. V trenutku, ko odkrije spremembe nastavitev ali čudno obnašanje, pa na to opozori s piskom in utripanjem, dogajanje pa shrani v dnevniški zapis, ločeno datoteko.

Če uporabljamo funkcijo deljenja v storitvah oblačne hrambe datotek, si oglejmo, kakšne nadzorne funkcije ponudi ponudnik. Microsoftov OneDrive (onedrive.live.com) zna, denimo, pošiljati e-poštna obvestila in kratka sporočila SMS, kadar drugi uporabniki dostopajo do deljenih datotek in jih spreminjajo. Tudi sicer vsem, ki uporabljajo funkcijo deljenja vsebin, priporočamo branje Microsoftovega vodnika, kako le-to ustrezno nastaviti v okolju operacijskega sistema Windows 10. Dostopen je na spletnem naslovu support.microsoft.com/en-gb/help/4092694/windows-10-changes-to-file-sharing-over-a-network.

Neželene spremembe map

Lokalna različica že omenjenega programa Net Share Monitor je rešitev FolderMonitor (www.nodesoft.com/foldermonitor), njegova skrb pa obveščanje uporabnika o spremembah vsebine map. Po namestitvi program ždi v sistemskem kotičku, njegov vmesnik obudimo z dvojnim klikom ikone. Zatem desno kliknemo kjerkoli v programskem oknu in izberemo možnost Add folder, s katero dodamo programu mapo, ki jo želimo opazovati. Če želimo dodati širše področje, npr. kar ves osebni računalnik, kliknemo možnost Add path. Po tem, ko smo dodali mapo v »opazovanje«, jo lahko desno kliknemo in izberemo možnost FolderMonitor Options. Nato si lahko ogledamo z njo povezane dogodke – katere datoteke ali mape so bile na novo ustvarjene, katere spremenjene, preimenovane ali izbrisane. Če kdorkoli (uporabnik ali aplikacija) karkoli spremeni v opazovanih mapah, nas program na to takoj opozori.

Kdo se prijavlja v računalnik?

Če bi radi preverili, kaj se z računalnikom dogaja, ko ga mi ne uporabljamo, lahko sami izdelamo opozorilo o prijavi v računalnik in si ga posredujemo po e-pošti. Pomagali si bomo kar z orodjem Urnik opravil (Task Scheduler), ki je vdelan v operacijski sistem. Denimo, da želimo obvestila prejemati na svoj račun Gmail, ki je praktično vedno z nami na mobilnem telefonu z operacijskim sistemom Android. Ironično, za začetek bomo morali v Googlovem vklopiti možnost poganjanja manj varnih aplikacij (Less secure apps). To storimo tako, da prijavljeni v Googlov račun v naslovno vrstico brskalnika vnesemo naslednjo povezavo: myaccount.google.com/lesssecureapps?pli=1. Zatem v računalnik namestimo program SendEmail (caspian.dotconf.net/menu/Software/SendEmail/). V oknih nato odpremo program Task Scheduler – najdemo ga tako, da njegovo ime vnesemo na meniju Start. Po njegovem zagonu v razdelku Actions kliknemo možnost Create Basic Task in jo poljubno poimenujemo (npr. Pošlji email). Zatem v zavihku Trigger odkljukamo možnost When a specific event is logged in kliknemo naprej. Pod zavihkom Log uporabimo padajoči meni, kjer najprej izberemo možnost Security, nato pa še Source in Microsoft Windows security auditing. V okence za identifikacijo vtipkamo številko 4624 in kliknemo Naprej. Na strani Action nato odkljukamo Start a program in izberemo program SendEmail. V okence Add arguments napišemo naslednji dolg ukaz – v njem lahko poljubno spremenimo očitne podatke v oklepajih s svojimi:

- f [e-pošta pošiljatelja] @gmail.com -t [e-pošta prejemnika] @gmail.com -u [naslov; npr. Prijava v računalnik?] -m [vsebina sporočila; npr. Nekdo se je pravkar prijavil v računalnik.] -s smtp.gmail.com:587 -xu [e-pošta pošiljatelja] @gmail.com -xp [geslo e-pošte] -o tls=yes

Preostane nam le še preizkus, ali avtomatsko obveščanje deluje. Odjavimo se iz računalnika in se znova prijavimo vanj. Ob prijavi bi morali na e-poštni naslov prejeti obvestilo.

Ukazna vrstica programa SendEmail nas mimogrede odpelje v neko spet ne tako zelo oddaljeno preteklost.

Mar aplikacije vohunijo za nami?

Bržkone se je že vsak izmed nas ob prenosu in namestitvi kakšne mobilne aplikacije na telefon ali tablico vprašal, zakaj potrebuje dostop do kamere in mikrofona. Prav možno je, da razvijalci vohunijo za nami. Celo aplikacije, kakršna je Facebook, so se morale soočiti z očitki, zakaj neki poslušajo uporabnike (bojda, da zaradi boljšega ciljanega oglaševanja!). Da bi prevzeli nadzor nad vsako aplikacijo in tem, do česa lahko dostopa, se moramo v operacijskem sistemu Android odpraviti v nastavitve in poiskati razdelek aplikacije, nato pa pri vsaki preveriti, ali ima dostop do mikrofona, kamere, povezave Bluetooth ali Wi-Fi, lokacije itd. In ji to seveda ročno onemogočiti, kar je hudo časovno potratno opravilo. Za dodatno zaščito lahko zato namestimo aplikacijo D-Vasive (play.google.com/store/apps/details?id=com.Dvasive&hl=en_GB). Gre za plačljivo aplikacijo, saj (če ni v akciji) stane 4,99 evra, a ustrezno učinkovite brezplačne alternative zaenkrat še nismo našli. D-Vasive močno olajša upravljanje vseh zaščitnih in varnostnih ukrepov, med katerimi so tudi opozorila, če posamezna aplikacija aktivira orodja, ki snemajo zvok ali sliko, sledijo naši lokaciji ali kako drugače vohunijo za nami. Poleg tega D-Vasive omogoča, da kar prek opozorila takoj ugasnemo »problematično« aplikacijo. Če se nam taka opozorila prikazujejo zelo pogosto, velja razmisliti o odstranitvi »nadležnih« aplikacij.

Opozorila ob zlorabah računov

Varnostna higiena narekuje, da bi morali periodično (npr. na vsake tri mesece) menjati uporabniška imena in gesla, a v praksi to počnemo le redki. Kljub temu ne velja uporabljati istih uporabniških imen in gesel za dostop do računalnika, spletnih strani in storitev, saj ob zlorabi hitro ostanemo »brez vsega«. Spletno mesto Have I Been Pwned (haveibeenpwned.com) naj bo naš prvi obisk, kjer z vnosom svojega e-poštnega naslova preverimo, ali so mogoče naši prijavni (in drugi) podatki ušli ali bili odtujeni kateremu od ponudnikov storitev. Če je tako, nujno zamenjajmo vsaj geslo za dostop do posamezne storitve in vseh drugih, kjer smo uporabili isto (zlorabljeno/ušlo) geslo! Zelo dobrodošla je tudi funkcija obveščanja, saj nas spletno mesto lahko obvesti, če najde naš naslov v zlorabljenih zbirkah podatkov – na obvestila se enostavno prijavimo na zavihku Notify me.

Kot dodaten varnostni element lahko v brskalnik Chrome namestimo tudi razširitev HackNotice Extension (chrome.google.com/webstore/detail/hacknotice-extension/), ki nas opozori na obisk morebitno zlorabljene strani.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji