Oprogramowanie

Internet Security a zwykły antywirus - różnice

opublikowano przez Tomasz Duda w dniu 2011-02-15

Typowy program antywirusowy zapewnia podstawową ochronę przed szkodliwym kodem:

  • wykrywa i blokuje szkodliwe oprogramowanie (gównie wirusy, ale nie tylko) w plikach i programach w komputerze na podstawie sygnatur pobieranych z serwerów producenta
  • analizuje pliki w celu wykrycia nowych szkodników, których nie ma w bazie sygnatur (heurystyka)

Programy antywirusowe potrafią naturalnie usunąć elementy szkodliwego oprogramowania, które dostały się do systemu przed instalacją pakietu, ale ważne jest również to, czego  antywirusy nie potrafią! Nie ochronią na przykład kanałów przekazywania danych, by zapobiegać dostawaniu się szkodliwego kodu do komputera. Nie zablokują również napływu niechcianych wiadomości elektronicznych do skrzynki odbiorczej użytkownika, nie przeanalizują stron internetowych pod kątem generowanych przez nie zagrożeń oraz nie pomogą rodzicom w ochronie ich dzieci przed nieodpowiednimi treściami, których (nie ma się co łudzić) pełno jest w sieci globalnej.

Taką funkcjonalność oferują właśnie pakiety Internet Security, które w porównaniu do podstawowych antywirusów zawierają szereg dodatkowych, bardzo przydatnych modułów, w których skład wchodzą zazwyczaj:

  • firewall, czyli zaporę kontrolującą przepływ danych między pecetem a siecią, która uniemożliwia przyjmowanie połączeń przychodzących bez zgody użytkownika
  • antyspam, czyli filtr usuwający z przychodzącej poczty niechciane reklamy i korespondencję wyłudzającą prywatne dane
  • filtr kontroli rodzicielskiej, pomagający w blokowaniu treści nieodpowiednich dla dzieci
  • mechanizm blokujący witryny hakerskie rozsiewające szkodliwe oprogramowanie
  • filtr chroniący przed wyciekiem prywatnych danych (ochrona tożsamości)
  • narzędzia do monitorowania sieci

Firewall

Esencjonalna część każdego systemu zabezpieczeń. Zastępuje dość ubogie rozwiązanie, jakie standardowo dostępne jest w nowszych systemach operacyjnych z rodziny Windows. Niezależnie od tego, który z pakietów Internet Security  zainstalujemy, firewall w nim zawarty będzie miał znacznie większe możliwości konfiguracyjne. Za jego pomocą możemy precyzyjnie określić prawa, na jakich dany plik wykonywalny kontaktuje się z siecią, jakie porty otwiera i na jakiego typu pakiety. Dzięki temu mamy większy wpływ na to, jak chronione są poszczególne zasoby systemu.

Nowoczesne firewalle skonfigurować można zazwyczaj na dwa sposoby: prosty, który działa na ustawieniach domyślnych i bardzo rzadko wymagał będzie ingerencji ze strony użytkownika (zalecany dla większości użytkowników domowych) oraz zaawansowany, który zapewni dużo lepszą kontrolę, ale też może okazać się denerwujący w codziennej obsłudze, zwłaszcza jeśli często instalujemy nowe programy.

Warto pamiętać, że dobrze skonfigurowany firewall znaczy dla komputera więcej, niż jakikolwiek antywirus. To on kontroluje przepływ danych. Jeśli „zapora ogniowa” działała będzie odpowiednio dobrze, a my zachowamy rozsądek w kontaktach ze ściąganymi plikami, ryzyko infekcji wyraźnie spadnie!

Filtr antyspamowy

Jest jednym z najcenniejszych dodatków, szczególnie jeśli odbieramy pocztę z konta, które jest słabo chronione przed spamem - na przykład z „darmowej” skrzynki oferowanej przez wiele portali internetowych. Antyspam znacznie ogranicza zagrożenie „eksploitami” przesyłanymi pocztą. Mają one przede wszystkim formę podrobionych e-maili z linkami prowadzącymi do stron WWW, które instalują w systemie szkodliwe oprogramowanie lub podszywają się (często bardzo skutecznie) pod znaną nam witrynę, próbując wyłudzić prywatne dane (np. loginy i hasła).

Kontrola rodzicielska

Choć nie zwalnia od samodzielnego monitorowania aktywności dziecka w sieci, radykalnie zmniejsza zagrożenie. Dzięki blokowaniu znanych stron z treściami dla dorosłych minimalizują szansę, że dziecko przypadkowo natknie się na nieodpowiednie materiały.

Mechanizm blokujący szkodliwe strony

Funkcja bardzo często integrująca się z listą wyników podawaną przez najpopularniejsze wyszukiwarki internetowe. Jeśli spróbujemy wejść na stronę rozsiewającą szkodliwe oprogramowanie, zostaniemy o tym poinformowani (obok łącza pojawi się ostrzegawczy znaczek). Podobna usługa jest dostarczana bezpłatne przez Google. Jest zaimplementowana w przeglądarkach Firefox i Chrome, ale bazy poszczególnych dostawców takich list nie zawsze się pokrywają, więc używanie więcej niż jednego filtru naraz może wyraźnie  zwiększyć bezpieczeństwo systemu.

Filtr chroniący przed wyciekiem prywatnych danych

Wykrywa i blokuje informacje adresowe, numery kart kredytowych, czy wszelkie inne, wcześniej zdefiniowane informacje.

Narzędzia do monitorowania sieci

Pozwalają samodzielnie weryfikować poprawność działania transferu danych „do” i „z” Internetu.

 

Dodatkowa wiedza: podstawowe typy ataków

Rodzajów ataków na cenne dane użytkowników jest tak wiele, że opisanie ich wszystkich wymagałoby stworzenia prawdziwej encyklopedii, jednak niektóre z nich są szczególnie rozpowszechnione. Oto kilka podstawowych typów:

Social Engineering (inżynieria społeczna) - polega na wykorzystywaniu niewiedzy i naiwności ludzi w celu uzyskania poufnych informacji. Jest to jedno z najpopularniejszych i najłatwiejszych narzędzi współczesnych hackerów, crackerów. Bardzo często ma ona postać rozmowy telefonicznej, podczas której osoba „wyłudzająca” podszywa się pod pracownika danej firmy, twierdząc, że jest w pełni upoważniona do otrzymania poufnych danych. Strona atakująca używa przy tym odpowiednich technik socjologicznych (intensywne prośby, agresja, zastraszanie, litość itp.) dzięki którym bardzo często udaje jej się przejąć kontrolę nad rozmówcą i uzyskać wszystkie pożądane informacje.

Ten rodzaj ataku jest na tyle rozpowszechniony i przy okazji na tyle trudny do wychwycenia, ze bardzo często nawet nie zdajemy sobie sprawy, że mu ulegamy.

Inną wersją takiego „pozyskiwania danych” jest przeszukiwanie stanowisk pracy osób mających dostęp do ważnych informacji. Zdarza się, że niektóre z nich zapisują swoje hasła i loginy na żółtych karteczkach i przyklejają w widocznym miejscu na biurku. Niestety przed tego typu lekkomyślnością nie ochroni żaden, nawet najlepszy pakiet IS.

Spoofing (phishing) - wyłudzanie poufnych informacji osobistych (np. haseł lub szczegółów karty kredytowej) przez podszywanie się pod godną zaufania osobę lub instytucję, której te informacje są pilnie potrzebne. Jest to rodzaj ataku opartego nainżynierii społecznej. Phishing bardzo często występuje w e-mailach lub ma postać stron internetowych, które wyglądają identycznie jak ich bezpieczne pierwowzory, z tą różnicą, że ich adres WWW jest ninimalnie zmieniony lub ukryty. Użytkownik, który nie zadba o wcześniejsze sprawdzenie strony wpisze swój login i hasło, przekazując je tym samym internetowym przestępcom.

Sniffing - podsłuchiwanie komunikacji w sieci. Polega najczęściej na monitorowaniu i rejestrowaniu loginów oraz haseł używanych w trakcie rejestrowania się użytkowników do konkretnych stron internetowych lub sieci komputerowych. W typowych sytuacjach programy takie zapisują "jedynie" identyfikator i hasło, ale niektóre z nich potrafią przekazać osobie atakującej nawet treść przesyłanych informacji (np. e-maile, kontakty, SMS'y, itp.).

Aby utrudnić napastnikom uzyskanie dostępu należy przede wszystkim kontrolować, czy łączymy się z bezpieczną (certyfikowaną) stroną HTTPS z szyfrowaną komunikacją, czy też zwykłą, nieszyfrowaną witryną HTTP.

DoS (Denial of Service) – atak „odmowy usługi”, mający na celu zdalne unieruchomienie sprzętu lub oprogramowania i w efekcie zaprzestanie świadczenia usług przez zaatakowany system komputerowy. Jest to jeden z najbardziej rozpowszechnionych typów uderzenia, który przy okazji cechuje się wyjątkową skutecznością i prostotą. Ataki DoS są bardzo uciążliwe, gdyż przeciążony lub „unieruchomiony” serwer nie może wysyłać, ani odbierać danych, co dla przeciętnego użytkownika równoznaczne jest z wyświetleniem odpowiedniego błędu w przeglądarce, ale dla zaatakowanych firm oznacza niekiedy milionowe straty.

Jedną z odmian jest DDoS (Distributed Denial of Service), w którym uderzenie odbywa się za pośrednictwem przynajmniej kilku komputerów, z których każdy ma ściśle wyznaczoną rolę. Atak rozpoczyna się z jednego miejsca, ale później przekazany zostaje na wiele dodatkowych hostów. Skuteczność DDoS jest jak można się domyślić dużo wyższa od tradycyjnego DoS.

E-mail bombing (bomba pocztowa) – polega na wysyłaniu wybranej osobie lub instytucji „ton” e-maili, przeładowywując jego skrzynkę pocztową, połączenie sieciowe i serwery. Ataki tego typu są bardzo proste - niekiedy wystarczy zapisać ofiarę do dużej ilości grup dyskusyjnych.

Exploit – najłatwiejszy z ataków, wykorzystujący luki obecne w każdym systemie operacyjnym, oprogramowaniu i usługach sieciowych do uzyskania dostępu do uprawnień systemowych (podwyższonych lub nie) oraz danych, które są skojarzone z tymi uprawnieniami.

Buffer overflow (przepełnienie bufora) – klasyczna wersja eksploita, polegająca na wysyłaniu do konkretnej usługi dużo większej ilości danych, niż ta oczekiwała dostać. Wynikiem jest oczywiście zamknięcie programu lub przynajmniej ciągłe komunikaty o błędzie.

Backdoor (tylne drzwi) – czyli otwarta furtka do komputera. Atakująca osoba wykorzystuje zazwyczaj nowo utworzone konto administratora (super usera) lub konkretną furtkę umieszczoną z premedytacją w oprogramowaniu, które użytkownik zainstalował z własnej woli. Dodatkowym typem „backdoorów” są tak zwane konie trojańskie, czyli programy działające pożytecznie, ale mające ukryte dodatkowe linie kodu, które aktywowane są (na przykład zdalnie) przez osobę atakującą. Po zmianach w kodzie pożyteczna aplikacja ukazuje swoje drugie, niezbyt przyjemne oblicze i wykonuje nieautoryzowane czynności.

Keylogger – prosty, ale bardzo szkodliwy program, który działając w tle (w ukryciu) przechwytuje i zapisuje wszystkie znaki wprowadzane za pośrednictwem klawiatury przez użytkownika. Pozwala szybko i skutecznie „wyłowić” loginy i hasła, a co za tym idzie stanowi podstawę do włamań na skrzynki e-mailowe, konta bankowe i inne serwisy wymagające tych danych. Keyloggery są bardzo często trudne do wykrycia, ale dobre pakiety typu IS powinny sobie z nimi poradzić.

Wirus – to program, który wykorzystuje swoje programowe DNA, do kopiowania się. Są to z definicji maleńkie aplikacje działające ze szkodą dla użytkownika, choć wypada zaznaczyć, że zdecydowana większość wirusów wypuszczonych na wolność stwarza minimalne zagrożenie i nie działa destrukcyjnie. Tych naprawdę zajadłych jest niewiele, ale z całą pewnością nikt nie chciałby na nie trafić! Wiele wirusów komputerowych „dołącza” się do innego programu, często trwale go uszkadzając i namnaża się w nieskończoność. Nawet jeśli dany wirus nie robi nic poza multiplikacją, to i tak zaliczany jest do programów szkodliwych, gdyż zużywa cenne zasoby systemowe (czas CPU, pamięć RAM, zapełnia miejsce na dysku itp.)

Rootkit – narzędzie służące do ukrywania szkodliwych plików, aplikacji i procesów, które umożliwiają utrzymanie kontroli nad systemem zainstalowanym na komputerze ofiary. Często dostają się do pamięci wraz z aplikacją będącą w rzeczywistości trojanem.

Dobre oprogramowanie zabezpieczające pozwoli uchronić komputer i cenne dane przez większością powyższych zagrożeń, ale pamiętajmy, że żaden program nie jest doskonały. Zadaniem użytkownika jest jednak wybranie takiego pakietu, który według jego wiedzy jest najbliżej ideału. My postaramy się przedstawić kilka ciekawych propozycji.