4. Rodzaje zabezpieczeń

Poprzednie rozdziały ukazywały jakie zagrożenia niosą ze sobą wirusy

i spyware a także czym one są i jak funkcjonują. To wszystko po to by je lepiej poznać

ponieważ sekretem do zwycięstwa jest dobre poznanie wroga. Znając postępowanie

przeciwnika(w tym przypadku wirusa) wiemy jaki ruch wykonać i jesteśmy na wygranej

pozycji.

Zostanie tu wytłumaczone jak zabezpieczyć się prawie przed każdym wirusem

a w razie zarażenia w jaki sposób pozbyć się szkodnika bez konieczności formatowania dysku

jak to robi większości użytkowników.

Przed zwykłymi wirusami można się chronić stosując antywirusa i firewalla. Jednakże

nie zawsze to wystarcza. W takim przypadku należy posłużyć sie Spy botem a jeśli i to nie

pomoże to trzeba sięgnąć po większy kaliber czyli zaawansowane oprogramowanie

Hijackthis. Dla początkującego użytkownika narzędzie to może sprawiać problemy. Na

szczęście z pomocą idzie tu wielu profesjonalistów którzy zawsze służą pomocą na

specjalnych forach. Są one całkowicie darmowe a moderatorzy i użytkownicy bardzo mili

i pomocni.

4.1. Antywirusy

Program antywirusowy to złożona aplikacja komputerowa, która ma na celu

wykrywanie, usuwanie oraz zabezpieczanie systemu przed wirusami, robakami

internetowymi, koniami trojańskimi, spyware'm i innymi niebezpiecznymi aplikacjami, jak

również naprawę zainfekowanych już plików systemowych.

Pierwsze wirusy komputerowe jak i zwalczające je antywirusy wyposażone w proste

funkcje powstały niemalże tak samo szybko jak same komputery. Ale dopiero po

rozpowszechnieniu się internetu, wirusy komputerowe stały się tak uciążliwe, że

dotychczasowe programy antywirusowe i inne zabezpieczenia nie potrafiły wykrywać

zagrożeń a tym samym zapewnić należytego bezpieczeństwa komputera. Początkowo

stosowano w programach antywirusowych prostą analizę statystyczną, jednak wraz

z rozwojem komputerów i internetu nastąpił rozwój heurystyki, która jest do dziś obecna

w programach antywirusowych.1 W latach dziewięćdziesiątych, gdy internet nie był jeszcze

popularny, aktualizacje bazy wirusów były bardzo rzadko robione. Niestety był to okres zbyt

długi, przez co komputery między czasie były narażone na ataki nowo powstałych wirusów.

Wszystkie dane przechowywane w tym czasie na dysku twardym mogły zostać zainfekowane

przez niebezpieczne robaki internetowe, wirusy, konie trojańskie, spyware i wiele innych

niebezpiecznych aplikacji. W dzisiejszych czasach Internet rozpowszechnił się na taką skalę,

że każdy użytkownik programu antywirusowego może aktualizować aplikacje nawet

codziennie.

Programy antywirusowe często są wyposażone w dwa niezależnie pracujące moduły,

skaner badający pliki na żądanie lub co jakiś czas i służący do przeszukiwania zawartości

dysku oraz monitor, który bada pliki ciągle w sposób automatyczny i służy do kontroli

bieżących operacji komputera.

W ostatnich czasach coraz częściej dochodzi do integracji narzędzi służących ochronie

komputera. Dawniej był to jedynie skaner, który wyszukiwał wirusy, początkowo na

podstawie sygnatur znanych wirusów, a potem także typujący pliki, jako zawierające

podejrzany kod za pomocą metod heurystycznych. Obecnie poza skanerem, monitorem oraz

modułem do aktualizacji sieciowej pakiet antywirusowy zawiera często także zaporę sieciową

moduły kontroli przesyłek poczty elektronicznej i plików pobieranych z sieci, a poza

wirusami chroni też ogólnie przed tzw. malware, czyli różnego rodzaju szkodliwym

oprogramowaniem, oraz chroni prywatności danych użytkownika. Niektóre zawierają też

narzędzia ułatwiające administrację większej ilości stanowisk, co bardzo ułatwia przy

zarządzaniu lokalnymi sieciami firm i organizacji.

1 http://www.antywirus.net.pl/?go=co_to_jest_antywirus

4.1.1. Dostępne Antywirusy

Avast!4:

Źródło: http://www.avast.pl/

Avast!4 jest dobrym antywirusem z często uaktualnianą baza wirusów, co jest

niezwykle ważne, ponieważ każdego dnia powstają nowe groźne wirusy. Bez takiej ochrony

systemy informatyczne narażone są na zarażenie wirusem.

Źródło: Opracowanie własne

Ma bardzo ciekawy interfejs, klikając prawym przyciskiem myszki na dowolny obszar

konsoli otwiera się menu z opcjami konfiguracji i skanowania. Może skanować dyski twarde,

dyski wymienne lub wybrane foldery. Do wyboru są również 3 rodzaje skanu: Quick,

Rys.4. 1 Avast! 4 Home Edition

Rys.4. 2 Interfejs Avasta

Standard, Thorough z możliwością zaznaczenia czy mają być skanowane też archiwa

spakowane. Monitoruje wszystkie procesy i otwarte dokumenty, a dzięki specjalnym

modułom, które można konfigurować niezależnie, kontroluje między innymi pocztę, pliki

systemowe, programy P2P (peer-to-peer), komunikatory internetowe czy protokoły pocztowe

SMTP/POP3/IMAP4/NNTP.

Avast ma możliwość integracji z wygaszaczem ekranu. Podczas uruchamiania się

wygaszacza odbywa się specjalne skanowanie stanu integralności plików i budowanie bazy

danych. Baza ta jest robiona raz na 3 tygodnie będąc bardzo pomocna w naprawie

uszkodzonych na skutek infekcji plików. 2

Źródło: Opracowanie własne

Posiada także Kwarantannę, będącym specjalnym folderem zabezpieczonym przez

Avasta magazynującym zarażone pliki. Schowek może przechowywać pliki w 3 grupach:

pliki zarażone (pliki zainfekowane lub objęte takim podejrzeniem), pliki użytkownika (pliki 2 http://www.searchengines.pl/lofiversion/index.php/t16112.html

Rys.4. 3 Kwarantanna Avasta

wskazane przez użytkownika) i pliki systemowe (chronione pliki systemowe). Skrzynka

Kwarantanny ze względów bezpieczeństwa nie uaktualnia się ani nie synchronizuje. Avast

cechuje się wysoką wykrywalnością wirusów, wydajnością, niezawodnością i stabilnością.

Dzięki czemu oprogramowanie avast posiada certyfikat ICSA Labs, wielokrotnie zdobywało

wiele prestiżowych nagród.

Avast!4 jest dostępny w dwóch wersjach Home i Profesiona Edition. Avast!4 Home

Edition to w pełni funkcjonalny pakiet antywirusowy przeznaczony tylko dla użytkowników

domowych. Jest on całkowicie darmowy, jednak tylko dla użytkowników wykorzystujących

komputer domowy w celach niekomercyjnych.

Dla firm, instytucji oraz użytkowników używających domowego komputera do prac

zarobkowych przeznaczony jest program avast! Professional Edition. Pakiet Home Edition

nie może być również używany przez instytucje niekomercyjne. Dla organizacji non-profit

(szkolnictwo, służba zdrowia, administracja publiczna, instytucja charytatywne) jest

oprogramowanie avast! Professional Edition z bardzo korzystnymi rabatami.3

W obu wersjach monitoruje on wszystkie procesy i otwarte dokumenty. Dzięki specjalnym

modułom, które można konfigurować niezależnie, kontroluje między innymi pocztę i pliki

systemowe. Avast! Professional Edition wprowadza dodatkowo planowanie i tworzenie

własnych zadań za pomocą harmonogramu, przechowywanie wyników skanowania,

blokowanie skryptów, skanowanie z poziomu wiersza poleceń. Kolejną przydatną funkcją

dostępną tylko w wersji Pro jest aktualizacja wymuszona PUSH, która polega na tym, że na

żądanie specjalistów z ALWIL Software zostaje przesłana przez specjalną wiadomość

pocztową informacja o aktualizacji.

Bardzo dobrym antywirusem jest również Mks_vir jeden z popularniejszych polskich

antywirusów.

3 www.avsoft.pl/pl/avast/15.html

Rys.4. 4 Mks_vir

Źródło: Opracowanie własne

Pierwsza wersja programu ukazała się w 1987 r. od tamtej pory jest on systematycznie

ulepszany i poszerzany o nowe bazy wirusów. Wykorzystuje on nowoczesne techniki

i rozwiązania stosowane na całym świecie w walce z robakami, trojanami i wirusami

komputerowymi. Mks_vir jest dedykowaną aplikacją działającą na platformach Microsoft

Windows z serii, 95, 98, ME, 2000, XP, Vista. Składa się z trzech elementów, które wspólnie

współpracując, oferują wysoki poziom bezpieczeństwa. Są nimi rezydentny monitor

antywirusowy, skaner poczty przychodzącej oraz skaner plików oraz dysków. Mks_vir

posiada wbudowany moduł, który pozwala na szybkie aktualizacje baz wirusów. Wersja 2k7

dodatkowo posiada inteligentny Filtr Spamu w pełni współdziałający ze Skanerem Poczty.

Zaporę Sieciową wyposażono dodatkowo w IDS, system wykrywania włamań i możliwość

szczegółowego ustawiania reguł ruchu sieciowego oraz blokowania stron internetowych.

Oprogramowanie MKS jest bardzo znane w Polsce, a także na świecie. Uhonorowano je

wieloma nagrodami na łamach najbardziej prestiżowych magazynów komputerowych, takich

jak CHIP, PC WORLD COMPUTER. 4

4.2. Skanery Online

Skanery online działają poprzez strony www, i by je uruchomić należy potwierdzić

zgodne na ściągnięcie pewnych składników z internetu. Działają one poprzez ActiveX, przez

co mogą się uruchomić tylko przez Internet Explorer. Na szczęście są wyjątki skanery takie

jak Trend Micro Housecall czy Panda NanoScan działają poprzez Firefoxa. Program ten

można uruchomić bez konieczności instalacji w systemie. Skaner online przy każdym

uruchomieniu pobiera najnowsze bazy wirusów, dzięki czemu jego skuteczność jest bardzo

wysoka. Skanery mogą posiadać różne funkcje, np. skanujące dyski, pocztę, itd.

Skanery te nie chronią w żaden sposób komputera przed zagrożeniami płynącymi

z korzystania z internetu, tylko umożliwiają odnalezienie i usunięcie wirusów, trojanów,

spywaru i innych niebezpiecznych plików znajdujących się na komputerze. Obsługa Skaneru

Online przeważnie jest bardzo prosta, dla przeciętnego użytkownika komputera. Na końcu

każdego skanowania systemu program wyświetla listę znalezionych, skasowanych lub

wyleczonych plików.

Istnieje wiele skanerów online przedstawię najpopularniejsze.

4 http://dobreprogramy.pl/index.php?dz=2&id=74&mks_vir+2k7+8.0.0+Build+4054

Rys.4. 5 Trend MICRO HouseCall 6.5

Źródło: Opracowanie własne na podstawie strony http://emea.trendmicro.com/

Trend Micro HouseCall 6.5 oparty na własnej technologii. Jest bardzo dobrym

i solidnym skanerem, ale niestety jest bardzo powolny. Ma możliwość szukania spyware /

grayware oraz weryfikowania stanu aktualizacji komputera i skan portów. Jego duża zaleta

jest także obsługa alternatywnych przeglądarek, co jest rzadko spotykane wśród skanerów

online wymagających ActiveX występującym tylko w przegądarce Internet Explorer. Można

go, więc uruchomić na Firefox / Mozilli, ale niestety nie na Operze.

Skaner Panda ActiveScan oparty o jej maszynę z technologią TruPrevent. Jest to

bardzo dobry skaner. Skanuje dyski twarde i wymienne, indywidualne foldery i pliki włącznie

z archiwami oraz pocztę. Dostępna jest też opcja heurystyki w poszukiwaniu nieznanych

wirusów. Usuwa trojany, wirusy i robaki. Dodatkowo funkcja jest wyszukiwania spyware ale

niestety nie może ich usuwać.

Arcaonline Jest Polskim skanerem antywirusowym. Skan prowadzony na dyskach

twardych i wymiennych włącznie z ręcznym wybieraniem konkretnej lokalizacji. W opcjach

ma możliwość ustawienia skanowania plików spakowanych i osadzonych, wybrania poziomu

heurystyki oraz zdefiniowanie zachowania skanera w przypadku wykrycia szkodliwych

obiektów. Posiada zdolności dezynfekcyjne. By uruchomić skaner należy w Internet Explorer

dodać adres arcaonline do zaufanych Witryn.5

4.2.1. Mini skanery i szczepionki

Są to skrócone wersje będące skanerami na żądanie lub służące usuwaniu

najpopularniejszych zakażeń. Dzięki temu, że są to wersje zminimalizowane nieingerujące

w system, mogą być swobodnie i bez konfliktu uruchamiane przy obecności głównego

programu antywirusowego. Duża ich zaletą jest niezależność od przeglądarki tak jak

w przypadku skanerów online.

Najbardziej popularne mini skanery: ArcaMicroScan jest dyskowym odpowiednikiem

Arca Online z tą różnicą, iż nie trzeba go instalować. Umożliwia szybkie i pełne sprawdzenie

zasobów komputera i wyleczenie ewentualnych infekcji. Lokalizacje skanu jak w większości

skanerów można wybrać ręcznie. W opcjach ma możliwość skonfigurowania skanowania

plików skompresowanych i osadzonych, akcji dla wykrytych plików oraz poziomu

heurystyki. Moduł Monitor jest zarezerwowane dla komercyjnego wydania ArcaMicroScan

Pro. Dostępna też wersja mini Arcaclean do usuwania konkretnych robaków.

MicroWorld Free AntiVirus Toolkit Utility (MWAV) to skrócony skaner,

umożliwiający wyszukiwanie wirusów, spyware, adware, keyloggerów i innych typów

malware. Sporą jego zaletą jest konfigurowalne opcje skanu i tworzenie raportu. Natomiast

wadą jest brak możliwości dezynfekcyjnych. Jedyne co jest udostępnione do czyszczenia, to

usuwanie robaka Brontok. Przydatną funkcją jest również moduł ViewTCP (Przeglądaj porty)

pokazujący aktywność sieciową programów. Posiada możliwość aktualizacji nowych baz

wirusów.

Kaspersky Virus Removal Tool zarówno wykrywa jak i dezynfekuje. Program jest

skanerem na żądanie i jest pozbawiony funkcji ochronnych. Ale jak na darmowy obiekt ma

całkiem sporo opcji konfiguracji skanu. Ma też i swoje wady takie jak brak funkcji

aktualizowania (paczkę trzeba ściągać i instalować za każdym razem od początku, każde

nowe definicje).6

5 http://www.searchengines.pl/lofiversion/index.php/t6694.html6 http://www.searchengines.pl/index.php?showtopic=18695

4.3. Firewall

Firewall (zapora przeciwogniowa) zabezpiecza sieć i system przed intruzami. Odnosi

się to zarówno do sprzętu komputerowego wraz ze oprogramowaniem, jak i do samego

oprogramowania blokującego niepowołany dostęp do komputera. Pełni rolę połączenia

ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem

z zewnątrz. Najważniejszym zadań firewalla jest filtrowanie połączeń wchodzących

i wychodzących oraz tym samym blokowanie żądań dostępu uznanych za niebezpieczne.

Najczęściej używanymi technikami obrony są: filtrowanie pakietów, czyli sprawdzanie

pochodzenia pakietów i akceptowanie pożądanych, stosowanie algorytmów identyfikacji

użytkownika (hasła, cyfrowe certyfikaty) oraz zabezpieczanie programów obsługujących

niektóre protokoły (np. FTP, TELNET). Również ważną funkcją firewalla jest monitorowanie

ruchu sieciowego i zapisywanie najważniejszych informacji do dziennika. Dzięki czemu

administrator może odpowiednio dokonać zmian konfiguracji. Dobrze skonfigurowana zapora

powinien odeprzeć wszelkie znane typy ataków.7

Zapory ogniowe można podzielić na różne typy. Jednym z zapór sieciowych są zapory

filtrujące, monitorują one wszystkie przepływające przez nią pakiety sieciowe i przepuszczają

tylko zgodne z regułami ustawionymi na danej zaporze. Zwykle w niewielkich sieciach jest

zapora sprzętowa bądź dedykowany komputer z systemem operacyjnym Linux. Obecnie

najczęściej wykorzystywana metoda filtrowania w Linuksie to reguły oparte na iptables.

Dostępne są także zamknięte komercyjne rozwiązania programowe, z których wiele posiada

bardzo wymyślne własności i rozbudowany system konfiguracji oraz pełno możliwych do

zintegrowania rozwiązań, pozwalających nie tylko na analizę i filtrowanie pakietów IP, ale

także na sprawdzanie poprawności pakietów z punktu widzenia wyższych warstw modelu

ISO/OSI a nawet na prowadzenia ochrony antywirusowej.

Oprogramowanie komputerów stacjonarnych udostępnia wybrane porty do połączeń

"z zewnątrz" monitorując ruch, udostępnia także połączenia na zewnątrz komputera

wybranym programom lub usługą. Często zintegrowane z ochroną antywirusową (na przykład

Norton Internet Security). Zapory pośredniczące, wykonują połączenia w imieniu

użytkownika. Pozwalają na zarządzanie i kontrolę, kto i kiedy oraz w jaki sposób korzysta

z usługi FTP.8 Obecnie często firewall jest rozwiązaniem hybrydowym analizującym pakiety

od warstwy łącza danych do aplikacji modelu OSI.

7 http://forum.purepc.pl/index.php?showtopic=2357108 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626

Zapory ogniowe można podzielić również na Hardware’owe i software’owe.

Hardware’owe zabezpieczenie, które ma na celu zablokować wszelkie próby ataku

z zewnątrz z Internetu i z sieci lokalnej. Zapory hardware'owe wykorzystywany jest głównie

na serwerowniach oraz wszędzie tam, gdzie bardzo istotne jest odpowiednie zabezpieczanie

danych. Niestety, sprzętowe zapory ogniowe są kosztowne najtańsze kosztują około 300

złotych, sprzedawane są przeważnie, jako integralna część routera. Profesjonalne rozwiązania

wiążą się nawet z wydatkiem rzędu kilku tysięcy złotych.

Software’owe (programowe), są powszechnie stosowane. Ich skuteczność przy

blokowaniu nieautoryzowanego dostępu do domowego komputera jest wystarczająca dla

małych firm i zwykłych użytkowników. Dobrą jego cechą jest zamykanie otwartych portów,

dzięki czemu spada ryzyko ustawienie na nich trojanów, bądź tez exploitacja. Niewątpliwą

zaletą rozwiązań programowych jest również ich niska cena. 9 Dostępne są również wersje

darmowe, które nie odbiegają zbytnio jakością firewallom jednakże lepiej używać ich

wyłącznie do użytku domowego.

4.3.1. Najczęstsze zagrożenia przed którymi chroni firewall

Firewall chroni przed wieloma atakami z zewnątrz. Atak typu pingflood polega na

„bombardowaniu” komputera pakietami ICMP o większej niż dozwolona wielkości (tzn.

większej niż 65 536 B). Do ich wysyłania wykorzystywany jest program ping. W efekcie

zaatakowany komputer (lub serwer) może zostać mocno obciążony lub nawet może

samoczynnie uruchomić się ponownie.

Skutki ataku typu land mogą być takie same, jak opisanego wyżej pingfloodu. Sam

przebieg jest jednak inny. Agresor wysyła sfałszowany pakiet, w którym adres IP komputera-

adresata jest taki sam, jak numer IP nadawcy. Zaatakowany komputer próbuje odpowiedzieć

na otrzymaną informacje jednak, ponieważ sfałszowano adres nadawcy, łączy się on z samym

sobą. Dochodzi w efekcie do zapętlenia czynności odbierania i odpowiadania na żądanie.

Innym zagrożeniem jest Smurf Attack charakteryzuje się tym, że do sieci kierowanych

jest wiele pakietów protokołu ICMP, których adres zwrotny został zastąpiony adresem

rozgłoszeniowym (tzw. broadcast). W wyniku tego wszystkie komputery znajdujące się w

9 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626

danej sieci zaczynają odpowiadać na otrzymaną informację. Atak wpływa na ilość

generowanego, niepotrzebnego ruchu. Może doprowadzić do zablokowania serwera.

Do zagrożeń również można zakwalifikować skanowanie portów, które często

zapowiada kolejne (na przykład próbę zainfekowania komputera koniem trojańskim lub

robakiem). Cracker skanuje komputer w celu wykrycia wolnych portów, przez które możliwe

będzie „wszczepienie” złośliwego kodu, lub aby zebrać nieco informacji na temat sposobu

wykorzystania sieci. 10

4.3.2. Dostępne Firewalle

Ashampoo FireWall

Źródło: opracowanie własne

10 http://pccentre.pl/article/show/Jak_dziala_firewall/id=13626

Rys.4. 6 Ashampoo FireWall

Ashampoo Firewall jest bardzo dobrą i znaną zapora ogniową przeznaczona dla

systemem Windows XP oraz 2000. Zapewnia ona doskonałą ochronę, monitorując wszystkie

procesy zachodzące w sieci. Przed każda próbą połączenia z internetem dla jakiejkolwiek

aplikacji użytkownik musi zaakceptować połączenie. Dzięki czemu można monitorować,

które aplikacje korzystają z internetu. Sam interfejs jest bardzo przejrzysty, menu jest

czytelne z dobrze dobraną grafiką. W każdej z zakładek dostępne są przydatne opcje.

Użytkownik może w łatwy sposób zablokować wybraną aplikacje, porty, itd. Dostępne są

między innymi statystyki ruchu w sieci oraz szczegółowe logi. Konfiguracja programu jest

bardzo prosta niesprawiająca problemu przeciętnemu użytkownikowi.

Źródło: Opracowanie własne

Rys.4. 7 Reguły w Ashampoo FireWall

Program zawiera zakładkę “Reguły”, w której użytkownik może ustawiać dostęp do

Aplikacji. Można ustawić pełny dostęp danej aplikacji lub nawet całkowicie zablokować,

dzięki czemu można lepiej chronić komputer. Często Firewall sam pyta użytkownika czy

pozwolić działać danej aplikacji. W zakładce Statystyki można sprawdzić, jakie połączenia są

dokonywane ile z nich jest dopuszczanych a ile blokowanych przez firewall. Znajdują się tu

również informacje o najczęściej dopuszczanych i blokowanych programach. Kolejna

zakładka zawiera dziennik informujący o wszystkich próbach łączenia się Internetem.

Przedstawia typ połączenia, dokładny czas i date, rodzaj aplikacji próbującej nawiązać

połączenie oraz port i adres IP. Ashampoo firewall ma jeszcze wiele innych przydanych opcji

takich jak Informacje o aktualnie aktywnych procesach, czy różne ogólne ustawienia zapory

ogniowej. Dzięki tym wszystkim zaletą uważam go za najlepszego firewall’a dla zwykłego

użytkownika.

Inną bardzo dobrą zaporą sieciową jest firewall ZoneAlarm. Jest on jednym

z najpopularniejszych programów, służący do zabezpieczenia komputera przed różnego

rodzaju atakami, z sieci lokalnej oraz Internetu. Używany jest w komputerach mających

dostęp do sieci poprzez modem, DSL, Tl, T2, ISDN, Cable itp. Poprzez ustawiania poziomu

zabezpieczenia można zadecydować jak będzie widziany komputer w sieci, jeśli ustawione

jest na Wyskoki Poziom Zabezpieczenia komputer nie będzie widoczny w Internecie, dzięki

czemu włamanie się cracker'ów do komputera jest prawie niemożliwe. Poziom Zabezpieczeń

umożliwia zablokowanie z góry dostępu do komputera bez ustawianie portów i protokołów,

co często sprawia duże problemy przeciętnemu użytkownikowi. Przed uruchomieniem

każdego programu korzystającego z Internetu firewall zada pytanie, czy dany program może

z Internetu korzystać. Aplikacja stale monitoruje zarówno wychodzący jak i przychodzący

ruch sieciowy zapisując je do pliku. W przypadku niebezpieczeństwa potrafi blokować

intruza. Można określić, które programy mają mieć dostęp do sieci, informuje też o wszelkich

próbach dostania się do systemu.

Zone Alarm ma możliwość instalacji opcjonalnego toolbaru Spy Blocker

w przeglądarce internetowej. Aplikacja posiada automatyczne aktualizacje oraz daje

możliwość ochrony poczty e-mail.

Posiada on także opcje zamek internetowy służący do blokowania przesyłania danych

z lub do komputera. Jeśli pasek pod jest koloru zielonego i ma napis unlocked to znaczy, ze

jest udostępniony dostęp do przesyłania i odbierania danych z Internetu na pasku startowym

znajduje się ikona z dwoma poprzecznymi paskami. Jeśli zamiast napisu pojawi się czas

oznacza to, ze jest włączony Automatyczny Zamek mówi ile czasu zostało do zamknięcia

przesyłu, odbioru danych. Jeśli pasek jest koloru czerwonego oznacza to, ze przesyłanie,

odbieranie danych zostało zablokowane w miejscu obok godziny ukazuje się "kłódka"

z krzyżykiem. Po raz kolejny, jeśli włączony jest Automatyczny Zamek na czerwonym, pasku

zostaje odliczany czas od zamknięcia Zamka. Aby zobaczyć więcej opcji związanych

z Zamkiem należy kliknąć na przycisk Zamek pod kłódką. W ten sposób pokazują sie

ustawienia zamku internetowego. Tu można ustalić Zamkniecie "kłódki" po określonym

czasie. Jeżeli w Opcjach Zamkniecie zaznaczy się „Pass Lock programs may the Internet” .

Oznacza to, że programom, którym nadaliśmy stale prawo korzystania z Intemetu po

Zaniknięciu "kłódki", ZoneAlarm będzie umożliwiał przesyłanie i odbieranie danych tym

programom. Opcja Wysokie Zabezpieczenie blokuje podczas zamknięcia wszystkie aplikacje

bez wyjątków. Zone Alarm zawsze pyta czy zezwolić nowym aplikacją na połączenie

z Internetem, można zabronić dostępu, zezwolić lub zezwolić na stałe by przy uruchamianiu

tej aplikacji nie pokazywało sie już te same okienko z pytanie. Ale jest jeszcze jeden sposób

by to zrobić wystarczy wejść w okno Programs. Jest to panel kontrolny programów z listą

programów, które już były już kiedyś używane na tym komputerze. Każdemu programowi

można nadać z osobna prawa korzystania do odpowiedniej Strefy. Kolumna Pass Lock

pozwala zadecydować, która z aplikacji może połączyć się z Internetem nawet, jeśli jest

Zamknięta "kłódka". Jest tu także możliwość sprawdzenia informacji o danym programie

wystarczy przytrzymać na chwile myszka na danym programie. Zawiera nazwę programu,

miejsce pliku na dysku, wersje programu, datę utworzenia pliku i rozmiar pliku.

Kolumna Allow Connect pokazuje prawa danego programu do dostępu do Internetu.

Zielony ptaszek zezwala aplikacją na korzystanie z danej Strefy bez pytania się ciągłego

o zezwolenie. Jeżeli jakiś program ma pozwolenie na Strefę Internetową od razu ten sam

program będzie miał zezwolenie w Strefie Lokalnej. Czerwony krzyżyk blokuje dostęp,

a dokładniej nie pyta o zezwolenie dostępu danego programu do odpowiedniej Strefy. Znak

zapytania oznacza, że za każdym razem jak będziemy uruchamiać ta aplikacje będzie się ona

nas pytała o zezwolenie.

Można także zobaczyć, jakie aplikacje są uruchomione i jakie w danym czasie

pobierają dane przez Sieć. Wystarczy spojrzeć na ikonki powyżej napisu Programs. Jeżeli

ikona mruga oznacza to, że przesyła albo odbiera ona dane. Zone Alarm zawiera przycisk

stop wciskając go, automatycznie zostaje zatrzymana praca Internetu. Służy to głownie

obronie przed końmi trojańskimi i innymi programami mającymi naruszyć prywatność

użytkownika. Aby wznowić działanie Internetu wystarczy znów wcisnąć przycisk Stop.

Firewall pokazuje informacje o Ip, porcie, godzinie i dacie próby każdego włamania.

Wszystkie próby włamania i inne działania są zapisywane w pliku Zalog.txt 11

Dodatkowo ochrona ZoneAlarm dzieli się na 3 strefy zaufaną (Trusted), internetową

i zablokowaną. Zaufana jak wskazuje sama nazwa obejmuje miejsca sieciowe, z których nie

należy się spodziewać zagrożenia. Po drugiej (internetowej) można się spodziewać

wszystkiego, ale kontaktu z nią nie da się uniknąć. Trzecia (zablokowana) to miejsce

o najgorszej reputacji, tu komputer powinien być szczelnie zabezpieczony. Wobec każdej

z tych stref stosowana jest zupełnie odmienna polityka ochrony.

Źródło: Opracowanie własne

11 http://www.my.link.pl/komputer/art.php?id=212

Rys.4. 8 Strefy w firewallu ZoneAlarm

W opcji Firewall w zakładce Zones klikając przycisk Add wybiera się rodzaj

elementu, który można dodać. Tu użytkownik może podać konkretne adresy IP komputerów

w sieci (IP Address), zakresy adresów (IP Range) albo podsieci (Subnet). Jeśli nie zna się

adresu IP serwera www, można wykorzystać opcję (Host/Site) wpisując tam adress serwera ,

a firewall automatycznie sprawdzi i zapamięta adres IP.

Źródło: Opracowanie własne

ZoneAlarm przechwytuje żądania dostępu do Internetu wszelkich aplikacji,

a następnie pyta użytkownika czy można danej aplikacji go udzielić. Zgoda bądź odmowa

może być udzielona tylko jednorazowo lub na stałe, gdy przed kliknięciem odpowiedzi

zostanie zaznaczone pole wyboru opcji Remember this setting. Listę uprawnień dostępu

programów i usług można dowolnie modyfikować w zakładce Program Control.

Przechodząc do opcji Program Control i klikając Programs otrzymujemy listę

programów, które dotychczas próbowały nawiązać kontakt z siecią. Dostępne są również

informacje o uprawnieniach, jakie posiadają dane aplikacje kolumna Access dotyczy

zezwoleń na dostęp do zasobów sieci, a Server możliwości funkcjonowania jako serwer.

W tych kolumnach uprawnienia definiuje się osobno dla strefy Trusted (zaufanej)

Rys.4. 9 Pytanie o zezwolenie połączenia

i Internet (internetowej). Jeśli chce się zmienić dostęp aplikacji, wystarczy kliknąć ikonę

w odpowiedniej kolumnie oraz strefie, oraz wybrać Allow (zezwalaj), Block (zablokuj) lub

Ask (zapytaj).

Źródło: Opracowanie własne

W Firewallu Zone Alarm jest możliwość ogólnego ustawienia zapory. Najlepiej by

w opcjach Firewall na karcie Main suwak ochrony w strefie internetowej był ustawiony na

High, a w strefie zaufanej (Trustem) na Medium. Ustawienie Medium najlepiej zaznaczyć też

dla opcji Program Control na karcie Main. W oknie Alerts & Logs na karcie Log Viewer

można sprawdzić czy zapora ma coś do roboty, zawarte są tam szczegółowy raport z działań

ZoneAlarm.

4.4. Programy antyspyware

Rys.4. 10 Ogólne ustawienia zapory

Spybot - Search & Destroy

Źródło: Opracowanie własne.

Spybot - Search & Destroy jest najpopularniejszym programem wykrywającym oraz

usuwającym z komputera różnego rodzaju spyware, dialerów, keyloggerów itp. Mimo iż nie

jest to program antywirusowy, wykrywa on również kilka najpopularniejszych trojanów

i keyloggerów. Spyware jest dość nowym rodzajem zagrożeń, którego nie wykrywa jeszcze

większość powszechnie stosowanych programów antywirusowych. Jeżeli w przeglądarce

Internet Explorer pojawiły się nowe paski narzędzi, które same się zainstalowały, jeżeli

przeglądarka się zawiesza lub gdy strona startowa zmieniła się bez wiedzy użytkownika,

najprawdopodobniej zadziałał spyware. Bardzo ważne jest, że SpyBot wykrywa również pliki

cookies, pochodzące z serwisów reklamowych, zbierających dane o użytkownikach. Spybot -

Search & Destroy umożliwia archiwizację dokonanych zmian, jeżeli przez pomyłkę zostanie

Rys.4. 11 Spybot - Search & Destroy

usunięty nieodpowiedni komponent. Program wyposażony jest również w zneutralizowanego

klienta Cydoor, który zastępuje oryginalny plik, dzięki czemu jego neutralizacja nie powoduje

skutku w postaci zablokowania działania programu, który go zawierał. Dużą zaletą jest fakt,

że program skanuje pamięć podręczną IE, Netscape'a i Opery.12 Po przeskanowaniu dysków

program wyświetla szczegółowe dane na temat wykrytych plików i umożliwia naprawę

wykrytych błędów. Narzędzia mają możliwość przeglądania aktualnie pracujących procesów

wraz z załadowanymi modułami.

Źródło: Opracowanie własne

Program ten nie tylko wykrywa i usuwa, ale także chroni komputer przed różnymi

zagrożeniami. Można go skonfigurować w taki sposób, aby komputer był przez nie

skanowany o dogodnej dla użytkownika porze.

12 http://www.pc-max.pl/?load=shownews&pid=277

Rys.4. 12 Ochrona komputera

Rys.4. 13 Pytanie o zmianę w rejestrze

Źródło: Opracowanie własne

Program ten ma również możliwość blokowania ważniejszych zmian w rejestrze przez

różnego typu programy. Użytkownik sam może zdecydować czy zezwolić na zmianę czy

odmówić jej. Spybot-S&D jest całkowicie darmowym i bardzo dobrym programem.

4.5 HiJackThis

HijackThis jest kolejnym programem który walczy z różnymi rodzajami wirusów,

spyware i trojanami. Jest on niezwykle przydatny ponieważ radzi sobie z takimi

przypadkami gdzie zwykły antywirus czy spybot nie daje sobie rady. Niestety pokazuje on

lokalizacje zarówno dobrych plików jak i szkodliwych wirusów przez co bez odpowiedniego

doświadczenia usuwanie szkodników samodzielnie nie jest dobrym rozwiązaniem. Na

szczęście istnieje wiele różnych forum gdzie moderatorzy jak i również doświadczeni

użytkownicy pomagają w przeanalizowaniu loga i dokładnie tłumaczą jak pozbyć się

zagrożeni.

Program jest dość przejrzysty i łatwy w obsłudze. Pierwszą opcją jaką mamy do

wyboru jest scan wraz z możliwością stworzenie loga w notatniku. Po wybraniu tej opcji

system zostaje przeskanowany po czym można usuwać zagrożenia zaznaczając je i wciskając

„fix checked”. Natomiast wybierając drugą opcje dokonujemy tylko scanu bez zapisywania

loga.

Program posiada również opcje konfiguracji z czterema oknami Main, Ignorelist,

Backups i Misc Tools.

Rys. 4. 14 HiJackThis

Źródło: Opracowanie własne.

Zakładka Main powinna wyglądać tak jak podałem na rysunku. Dzięki czemu

tworzone są kopie zapasowe w folderze backups wszystkich usuwanych plików. Natomiast

w zakładce Ignorelist można dodawać ignorowane wpisy a w Backups można zarządzać

kopiami zapasowymi . By odzyskać skasowany wpis należ go zaznaczyć i kliknąć „Restore”.

4.5.1 Budowa Loga.

Logo składa się z listy potencjalnych szkodników gdzie każdy ma swój osobny

identyfikator. Nie u każdego użytkownika będą występować wszystkie identyfikatory i nie

trzeba się tym przejmować. Opis identyfikatorów:

R0, R1, R2, R3 - Strona startowa / wyszukiwarka / proxy IE

N1, N2, N3, N4 - Strony startowe i wyszukiwarki Mozilli i Netscape'a

F0, F1, F2, F3 - Autostart programów z plików WIN.INI i SYSTEM.INI

O1 - Przekierowania w pliku HOSTS

O2 - BHO czyli Browser Helper Objects

O3 - Paski narzędziowe w IE

O4 - Autostart programów z kluczy rejestru lub folderu Startup

O5 - Ikona Opcji Internetowych niewidoczna w Panelu sterowania

O6 - Opcje Internetowe IE zablokowane przez "Administratora"

O7 - Edytor rejestru Regedit zablokowany przez "Administratora"

O8 - Dodatkowe opcje w menu prawokliku w IE

O9 - Dodatkowe przyciski w głównym pasku narzędziowym lub dodatkowe opcje w menu

"Narzędzia" w IE

O10 - Integracja obiektów z łańcuchem Winsock

O11 - Dodatkowa grupa w Opcjach Internetowych w zakładce Zaawansowane

O12 - Wtyczki Internet Explorer

O13 - Domyślne prefixy IE

O14 - Resetuj ustawienia sieci Web

O15 - Strony www w "Zaufanych Witrynach"

O15 - Zmodyfikowana wartość ProtocolsDefaults

O16 - Kontrolki ActiveX

O17 - Ustawienia DNS

O18 - Extra protokoły i protokoły zmodyfikowane

O19 - Arkusz stylów IE

O20 - AppInit_DLLs Windows 2000/XP/2003/Vista

O20 - Winlogon Notify Windows 2000/XP/2003/Vista

O21 - ShellServiceObjectDelayLoad

O22 - SharedTaskScheduler

O23 - Usługi niestandardowe Windows 2000/XP/2003/Vista