Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

Ghidul de bune practici emis de Asociaia National pentru Securitatea Sistemelor Informatice ofer recomandri necesare n vederea asigurrii unui nivel de securitate informatic eficient. Ameninrile cibernetice nu se mai limiteaz n a viza doar reelele mari ale corporaiilor. Atacatorii au neles c intele sunt mai vulnerabile atunci cnd utilizatorii lucreaz acas, unde, de obicei, msurile de securitate sunt mai slabe. Utilizatorii trebuie s menin de asemenea un nivel corespunztor de securitate i atunci cnd lucreaz acas, utiliznd Internetul. Ghidul este structurat n patru capitole: recomandri pentru securitatea computerelor personale, recomandri pentru securitatea reelelor personale, recomandri de securitate operaional i comportament pe Internet, respectiv recomandri avansate de securitate. I. Recomandri pentru securitatea computerelor personale

1. Migrai ctre sisteme de operare i platforme hardware moderne Multe dintre caracteristicile de securitate ale acestor sisteme sunt acum activate implicit i pot preveni o multitudine de atacuri des ntlnite. Mai mult, versiunile acestor sisteme de operare pe 64 de bii solicit eforturi mai mari din partea unui atacator care ncearc s capete controlul unui computer. O setare obligatorie, indiferent de sistemul de operare pe care l folosii, este de a activa mecanismele automate de actualizare (update) ale sistemului de operare. 2. Instalai o soluie complet de software de securitate O astfel de soluie trebuie s cuprind software anti-virus, anti-phishing i s aib capabiliti de tip firewall i IPS, de prevenire a atacurilor i de navigare securizat. Aceste servicii, lucrnd conjugat pot oferi o aprare stratificat mpotriva celor mai des ntlnite ameninri. Mai multe astfel de soluii ofer i un serviciu care verific site-urile pe care le accesai, avnd un istoric al reputaiei domeniilor web care au avut vreodat un rol n rspndirea de malware. Nu uitai s activai orice serviciu automat de actualizare automat a acestor softuri pentru a v asigura c folosii ultimele versiuni de semnturi ale programelor anti-malware. 3. Evitai pe ct posibil folosirea contului de administrator Primul cont creat n mod implicit cnd este instalat sistemul de operare, este cel de administrator local. Este necesar crearea unui cont de utilizator care s nu aib toate privilegiile specifice contului de administrator. Acest cont va fi folosit pentru activitile uzuale, cum ar fi web-browsing, creare sau editare de documente, acces la e-mail, etc. Contul de administrator ar trebui folosit numai atunci cnd se fac actualizri de software sau cnd este necesar reconfigurarea sistemului. Navigarea pe web sau accesul la e-mail folosind contul de administrator este riscant, dnd ocazia atacatorilor s preia controlul asupra sistemului. 4. Utilizai browsere web cu capabiliti de tip Sandbox

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

n momentul de fa, exist cteva astfel de browsere, care, atunci cnd se execut un cod malware, izoleaz acest cod de sistemul de operare, fcnd astfel imposibil exploatarea unei eventuale vulnerabiliti a sistemului de operare. Majoritatea acestui gen de browsere au i capabilitatea de autoactualizare sau de notificare a utilizatorului atunci cnd apar versiuni noi. Exist pe pia i abordri care mut navigarea pe web n ntregime pe maini virtuale, dar care nu au nc maturitatea tehnologic necesar pentru a fi folosite de publicul larg. 5. Folosii numai programe cu capabiliti de Sandboxing pentru a citi fiierele de tip PDF Capabilitatea de Sandboxing izoleaz de sistemul de operare orice cod malware coninut de fiierele PDF. Aceste fiiere au devenit un vector de atac foarte des folosit, ele putnd conine, pe lang informaia legitim, cod executabil. n prezent, exist cteva versiuni, att comerciale, ct i opensource, ale unor astfel de softuri ce au capabiliti de Sandboxing, ct i de blocare a linkurilor ctre website-uri incluse n documentele n format PDF. 6. Folosii versiuni ale aplicaiilor de tip Office ct mai recente n versiunile mai recente, formatul de stocare al documentelor este XML, un format care nu permite executarea de cod la deschiderea unor documente, astfel protejnd utilizatorii de malware-ul ce folosete ca mod de propagare astfel de documente. Unele din versiunile cele mai recente ofer o facilitate de tip protected view, deschiznd documentele n modul read-only, astfel eliminnd o serie de riscuri generate de un fiier infectat. 7. Actualizai-v software-ul Majoritatea utilizatorilor nu au timpul sau rbdarea de a verifica dac aplicaiile instalate pe computer sunt actualizate. De vreme ce exist multe aplicaii ce nu au capabiliti de auto-actualizare, atacatorii vizeaz astfel de aplicaii ca mijloace de a prelua controlul asupra sistemului. Pe pia exist cteva produse ce monitorizeaz software-ul instalat pe sistem i descoper care aplicaii au ajuns la sfritul duratei ciclului de via sau au nevoie de actualizri, indicnd i locul de unde pot fi obinute actualizri sau versiuni mai noi pentru respectivele aplicaii. 8. Criptai discurile laptop-urilor Sistemele de operare recente ofer nativ capabilitatea de criptare a discurilor prin mecanisme proprii. Pentru versiuni mai vechi, dar i pentru celelalte exist produse care implementeaz acest serviciu. Astfel, putei evita accesul neautorizat la informaii confideniale, n caz c laptop-ul este pierdut sau furat. 9. Actualizai-v sistemele de operare pentru dispozitivele mobile Este recomandat s facei acest lucru atunci cnd apar versiuni noi i s verificai acest lucru periodic. Suntei mult mai vulnerabili atunci cnd utilizai dispozitivele mobile (telefon, tableta, etc.) n timpul unor cltorii,deoarece ameninrile sunt mai probabile n reelele publice din aeroporturi, gri, obiective turistice etc. 10. Utilizai parole complexe Ca o regul general, toate parolele asociate cu orice cont de utilizator ar trebui s aib cel puin 10 caractere i s fie complexe, n sensul de a include caractere speciale, cifre, litere mici i litere mari.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

II. Recomandri pentru securitatea reelelor personale

Reelele personale sunt reele informatice de mici dimensiuni utilizate cel mai adesea la domiciliu bazate din ce n ce mai mult pe tehnologia wireless. 1. Designul reelei De obicei, furnizorii de servicii Internet furnizeaz un dispozitiv de conectare la reeaua lor (un modem de cablu, un modem ADSL, etc.) cu capabiliti de routare si wireless. Pentru a maximiza controlul utilizatorului asupra routrii i a capabilitilor wireless, este recomandat ca utilizatorul s instaleze un router wireless separat de cel al furnizorului de servicii, asupra cruia s aib control complet. 2. Implementai WPA2 n reeaua wireless Reeaua wireless ar trebui s fie protejat prin folosirea tehnologiei Wi-Fi Protected Access 2 (WPA2), care este de preferat n locul WEP (Wired Equivalent Privacy). Actualmente, tehnologia WEP este vulnerabil, criptarea asociat putnd fi spart n timp foarte scurt i astfel, permind unui atacator s intercepteze tot traficul. De menionat c, este posibil ca sistemele mai vechi s nu suporte WPA2, fiind nevoie de un upgrade de software sau hardware. Dac urmeaz s achiziionai dispozitive wireless, asigurai-v c sunt certificate cel puin WPA2-Personal. 3. Limitai accesul la interfeele de administrare ale dispozitivelor de reea Administrarea acestor dispozitive (modem-uri, router-e, switch-uri) trebuie s fie permis doar din partea intern a reelei, i acolo unde este posibil, opiunea de administrare extern a acestor dispozitive s fie dezactivat, prevenind astfel ca un atacator s obin controlul reelei. 4. Implementai un furnizor alternativ de servicii DNS De obicei, furnizorii de servicii Internet implementeaz servicii simple de DNS (domain name service), neoferind faciliti care s blocheze accesul ctre site-uri periculoase sau infectate. Exist alternative att comerciale, ct i open-source care menin o baz de date de tip blacklist pentru protecia i restricionarea accesului la Internet. 5. Setai parole puternice pe toate dispozitivele de reea Pe lang setarea unei parole puternice i complexe pentru reeaua wireless, toate dispozitivele de reea care ofer posibilitatea de web-management ar trebui s aib parole puternice. De exemplu, majoritatea imprimantelor de reea pot fi configurate via web, gama de setri fiind una vast, de la servicii pn la alerte prin e-mail sau jurnalizri.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

III. Recomandri de securitate operaional i comportament pe Internet

1. Recomandri de cltorie n diverse locuri (cafenele, hoteluri, aeroporturi, etc.) se gsesc hotspot-uri wireless sau chiocuri care ofer servicii Internet clienilor. Avnd n vedere c infrastructura ce deservete aceste reele este una necunoscut i c adeseori, securitatea nu e o preocupare n aceste locuri, exist o serie de riscuri. Pentru a le contracara, iat cteva recomandri: Dispozitivele mobile (laptop-uri, smart-phones) ar trebui s fie conectate la Internet folosind reelele celulare (mobile Wi-Fi, 3G sau 4G), aceast modalitate fiind de preferat n locul hotspot-urilor. Dac se folosete un hotspot Wi-Fi pentru accesul la Internet, indiferent de reeaua folosit, utilizatorii pot seta un tunel VPN ctre un furnizor de ncredere pentru acest gen de servicii, protejnd astfel tot traficul de date efectuat i prevenind activiti ruvoitoare cum ar fi interceptarea traficului. Dac utilizarea unui hotspot Wi-Fi este singura modalitate de a accesa Internetul, este recomandat s v rezumai doar la navigarea pe web i s evitai s accesai servicii unde trebuie s v autentificai, deci s furnizai date de genul user/parol.

Este recomandat s avei tot timpul controlul asupra dispozitivelor mobile i laptop-urilor deoarece acestea pot fi inta unui atac dac un atacator ar avea acces la ele. Astfel, dac suntei nevoit s lsai, de exemplu, un laptop n camera de hotel, se recomand ca acesta s fie oprit i s aib discurile criptate, aa cum precizam mai sus. 2. Schimbul de date ntre computerul de la locul de munc i cel de acas n general, reelele companiilor sunt configurate de o manier mai sigur i au servicii (filtrare de emailuri, filtrare coninut web, IDS, etc.) care pot detecta coninutul maliios. De vreme ce acas, utilizatorii nu au aceleai reguli de securitate ca la locul de munc, computerele personale sunt inte mult mai uor de compromis pentru un atacator. Astfel, fluxul de date (folosind e-mailul sau stick-uri de memorie, etc.) dinspre computerul de acas spre cel de la birou induce o serie de riscuri i trebuie evitat de cte ori este posibil. 3. Stocarea datelor personale pe Internet trebuie fcut cu precauie Informaiile personale, stocate pn acum n mod tradiional pe sisteme locale, tind s fie mutate pe Internet, n cloud. Putem da exemplu de astfel de date cum ar fi: serviciile de webmail, informaii de natur financiar sau informaii personale postate pe site-uri de socializare. Odat postat, informaia din cloud este dificil de nlturat i este reglementat de regulile de securitate i confidenialitate ale sistemului pe care este postat. Cei care posteaz astfel de informaii folosind aceste servicii web trebuie s se gndeasc foarte bine nainte de a o face i s i rspund la urmtoarele ntrebri: Cine va avea acces la aceste informaii? i Cum pot controla felul n care aceast informaie e stocat i publicat?. Utilizatorii de Internet ar trebui, de asemenea, dac au temeri, s verifice periodic dac informaii cu caracter personal ce i privesc au fost publicate pe Internet, cutnd astfel de informaii cu ajutorul celor mai populare motoare de cutare.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

4. Utilizarea cu precauie a datelor personale pe site-urile de socializare Site-urile de socilizare sunt foarte comod de folosit i foarte eficiente atunci cnd vine vorba de a partaja informaii personale cu familia i prietenii. Aceste faciliti induc totui nite riscuri. De aceea, utilizatorii trebuie s contientizeze ce date personale sunt accesibile altora i cine le poate accesa. Nu este recomandat postarea numrului de telefon, a locului de munc sau a altor date ce pot fi folosite n mod ruvoitor de ctre alii. Acolo unde este posibil, se recomand restricionarea accesului la datele personale, permindu-l doar prietenilor. Atunci cnd primii mesaje sau aplicaii de la prieteni, prin intermediul unor site-uri de socializare, gndii-v c multe din atacuri se bazeaz tocmai pe faptul c astfel de mesaje sau aplicaii sunt cu prea mare uurin acceptate dac vin din partea unui prieten. Aparent, aceste aplicaii ofer noi capabiliti, n realitate ele coninnd cod maliios bine ascuns utilizatorului. Multe din site-urile de socializare ofer acum opiunea de a renuna la publicarea datelor cu caracter personal. Se recomand ca, periodic, s verificai politicile de securitate i setrile disponibile pe respectivul site de socializare pentru a descoperi eventuale noi mecanisme de securitate implementate n vederea proteciei informaiilor personale. 5. Utilizarea criptrii SSL Criptarea la nivel de aplicaie (numit SSL - secure soket layer) asigur confidenialitatea informaiilor atunci cnd sunt n tranzit prin alte reele. Acest gen de criptare previne furtul de identitate de ctre eventuali atacatori care intercepteaz traficul din reele wireless de exemplu i care ar putea s vad credenialele atunci cnd v autentificai la aplicaii web. Atunci cnd este posibil, este recomandat s folosii versiunile criptate ale protocoalelor utilizate de aplicaiile web. Instituiile financiare se bazeaz masiv pe criptarea datelor folosind SSL atunci cand datele tranzaciilor sunt n tranzit prin alte reele. Multe dintre aplicaiile foarte populare precum Facebook sau Gmail sunt implicit configurate s foloseasc aceast criptare. Marea majoritate a browserelor web indic faptul c o aplicaie folosete SSL, folosind simbolul unui lact plasat lng URLul respectivului site. 6. Recomandri pentru folosirea e-mail-ului Conturile de e-mail, att cele web-based, ct i cele locale, sunt inte foarte vizate de atacatori. Urmtoarele recomandri se pot dovedi utile pentru a reduce riscurile legate de acest serviciu: n ideea de a nu v compromite att contul de email de la birou, ct i cel personal, este recomandat s folosii nume diferite pentru aceste conturi. Numele de utilizator unice pentru aceste conturi diminueaz riscul de a fi vizate ambele conturi ntr-un atac Setarea unor mesaje de genul out-of-office pentru contul personal de e-mail nu este recomandat, fiind o surs preioas de informaii pentru spammeri i confirmnd faptul c este o adres de e-mail valid Folosii ntotdeauna protocoale securizate atunci cnd accesai e-mailul (indiferent de protocol IMAPS, POP3S, HTTPS), mai ales atunci cnd folosii o reea wireless. Majoritatea clienilor de email suport aceste protocoale, prevenind astfel o interceptare a e-mailului atunci cnd este n tranzit ntre computerul dumneavoastr i serverul de e-mail

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

Mailurile nesolicitate care conin ataamente sau link-uri trebuie tratate ca suspecte. Dac identitatea celui care a trimis respectivul email nu poate fi verificat, sfatul este de a terge acel e-mail fr a-l deschide pentru a-i vedea coninutul. Nu rspundei la emailuri care v solicit date cu caracter personal. Orice entitate cu care relaionai prin intermediul unor aplicaii web ar trebui deja s aib aceste informaii. n cazul e-mailurilor care conin link-uri, nu navigai direct ctre acel link. Putei copia acel link i s l cutai de exemplu pe Google.

7. Managementul parolelor Asigurai-v c parolele i ntrebrile setate pentru mecanismele de recuperare a parolelor sunt corespunztor securizate. Parolele trebuie s fie complexe i unice pentru fiecare cont n parte. O parol complex trebuie s aib cel puin 10 caractere i s includ caractere speciale, cifre, litere mici i litere mari. Parolele trebuie s fie unice pentru fiecare cont pentru a preveni compromiterea tuturor conturilor dac o parol este compromis. Dezactivai acele opiuni care permit programelor s memoreze parole. Multe site-uri implementeaz mecanisme de recuperare a parolelor de tip challenge-response. Rspunsurile la aceste ntrebri trebuie s fie lucruri intim tiute de ctre utilizator i s nu poat fi gsite pe Internet prin cutri bine direcionate. 8. Integrarea fotografii/GPS n prezent, multe din telefoane i noile camere foto, includ n fotografii i coordonatele GPS ale locaiei unde a fost fcut fotografia. Limitai accesul la aceste fotografii, permindu-l doar unei audiene de ncredere, sau, folosind unelte software, eliminai coordonatele GPS. Aceste coordonate pot fi folosite pentru a defini profilul unei persoane, a determina obiceiurile i locurile des frecventate, sau, pot indica aproape n timp real poziia unei persoane atunci cnd sunt ncrcate pe un site de socializare prin intermediul unui smartphone. Unele site-uri de socializare, cum ar fi Facebook, elimin automat coordonatele GPS din fotografii, n scopul de a proteja viaa privat a utilizatorilor si.

9. Ingineria sociala n domeniul securitii informatice, sensul ingineriei sociale const n puterea de a manipula oamenii astfel nct s divulge informaii confideniale n scopul de a strnge informaii, a frauda sau a accesa n mod neautorizat sisteme informatice. n cele mai multe cazuri, victima nu are contact personal cu atacatorul. Astfel, trebuie contientizat faptul ca administratorii de reea sau ale altor servicii informatice pe care le folosii, nu v vor solicita niciodata date cu caracter personal, cum ar fi numrul cardului dumneavoastr de credit, codul pin sau parole ale contului de e-mail sau al vreunui alt serviciu. Administratorii, nu au nevoie de date ale utilizatorilor, ei fiind capabili sa i desfoare activitatea intr-un mod transparent fa de utilizatori, neinteracionnd dect n cazuri excepionale cu utilizatorii. Nu divulgai niciodata date cu caracter personal sau confideniale n urma unor solicitri telefonice sau prin e-mail i verificai ntotdeauna identitatea interlocutorului dac are loc un astfel de dialog.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale

IV. Recomandri avansate de securitate

Urmtoarele recomandri solicit un nivel mai ridicat de cunotine referitoare la reele. Aceste recomandri, odat implementate, pot duce la un grad sporit de securitate, dar pot avea un impact asupra modului n care navigai pe web, adesea solicitnd revizuirea lor n mod repetat. 1. Configurarea routerelor wireless Se pot face o serie de setri suplimentare pentru reelele wireless n ideea unei restricionri a accesului mai riguroas. Mecanismele de securitate descrise mai jos sunt, totui, eficiente doar mpotriva unor atacatori mai puin experimentai. Filtrarea adreselor MAC permite accesul la reea doar sistemelor autorizate n prealabil, prin configurarea routerului cu adresele MAC ale staiilor autorizate s acceseze reeaua Limitarea puterii de transmisie a routerului pentru a limita aria n care reeaua este accesibil, prevenind astfel ca reeaua s fie accesibil de exemplu din faa casei sau din parcare Ascunderea SSID-ului routerului previne detectarea reelei de ctre un eventual atacator, dar totodat mpiedic computerele client din respectiva reea s o descopere, ele trebuind s fie configurate manual Reducerea plajei de adrese dinamic alocate de ctre router sau configurarea de adrese IP statice n cadrul reelei este un alt mecanism de securitate care mpiedic computerele neautorizate s se conecteze n reea

2. Dezactivarea executrii de scripturi n browsere Dac folosii anumite browsere, putei folosi opiunea NoScript / NotScript sau plugin-uri pentru a nu permite execuia de scripturi ce provin de pe site-uri necunoscute. Dezactivarea execuiei de scripturi poate cauza probleme de folosire facil a browserului, dar este o tehnic foarte eficient pentru a elimina o serie de riscuri legate de execuia acestor scripturi.

Acest Ghid a fost elaborat de ANSSI lund n considerare bunele practici n vederea asigurrii unui nivel acceptabil de securitate precum i diverse materiale de specialitate.

Ghid de bune practici pentru securizarea calculatoarelor i reelelor personale