10 rad podnoszcych bezpieczestwo komputera

od Niebezpiecznik.pl
(ver 0.9 z 10 sierpnia 2014)
>> Krtki link do tego dokumentu to

http://nbzp.cz/10-porad-bezpieczenstwa

Oto zestaw czynnoci, ktrych wykonanie powinno podnie oglne bezpieczestwo Twojego prywatnego komputera, telefonu lub
tabletu. Wykonaj je, a utrudnisz hakerom/cyberprzestpcom kradzie twoich prywatnych danych zarwno z dyskw twoich urzdze
jak i z serwisw internetowych, na ktrych masz konta.
Porady kierowane s do przecitnego Kowalskiego, ale cz z nich moe wymaga pewnego obycia z komputerem. W razie
niejasnoci pytaj w komentarzach lub popro znajomego informatyka o pomoc w konfiguracji. Obiecujemy maksymalnie uproci
jzyk tego poradnika w jego przyszych edycjach.
UWAGA! Dokument jest w trakcie tworzenia. Kady moe zostawi komentarz, do czego zachcamy.
Wystarczy skorzysta z menu na grze strony.Prosimy jednak o dodawanie maksymalnie praktycznych komentarzy, zawierajcych przydatne narzdzia oraz
porady podnoszce bezpieczestwo. Wasze komentarze zostan rozpatrzone i przeniesione do tekstu. Chtnych do aktywnego rozbudowania tego poradnika
zapraszamy do kontaktu - otrzymacie uprawnienia edytora tego dokumentu. A jeli bardzo lubicie pisa o (nie)bezpieczestwie, to zachcamy do staej
wsppracy w ramach serwisu Niebezpiecznik.pl -- szukamy redaktorw (i pacimy za artykuy :-)

Akcja
1. Zaszyfruj *cay* dysk twardy
(tzw. full disk encryption)

Opis neutralizowanego ataku

Chroni przed nieuprawnionym dostpem do danych,
np. na skutek kradziey lub w sytuacji w ktrej
zostawie sprzt bez opieki w hotelowym pokoju,
schodzc na niadanie (tzw. atak Evil Maid).

UWAGI i przydatne programy

Programy:
- TrueCrypt dla Windows
(http://www.truecrypt.org/ projekt przechodzi
pewne niezrozumiae zmiany, zosta nagle
zamknity przez developerw, zaleca
si korzystanie z innego oprogramowania lub
pozostanie przy wersji 7.1.a)
- FileVault2 dla Mac OS X (wbudowany w system,
w zakadce Security & Privacy w systemowych
preferencjach). Po skonfigurowaniu FileVaulta
uruchom terminal i wydaj polecenie:

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 1/12

sudo pmset -a hibernatemode 25

destroyfvkeyonstandby 1
ktre bdzie kasowao klucz z pamici podczas
hibernacji laptopa, chronic przed atakami Evil
Maid i Cold Boot.
- BitLocker dla Windows (wbudowany w system)
- dm-crypt dla Linuksa (wbudowany w wikszo
dystrybucji)
Niezalenie od szyfrowania, warto wykonywa
regularny backup (tzw. kopi zapasow),
poniewa w przypadku szyfrowanych dyskw,
zmiana/bd jednego bitu moe uniemoliwi
dostp do wszystkich danych.
Niektre z dyskw twardych wspieraj
szyfrowanie na poziomie kontrolera (co nie
wymaga instalacji dodatkowego oprogramowania,
a odpowiedniej konfiguracji, tj. ustawienia hasa w
BIOS). Oczywicie to czy ufa algorytmom
danego producenta pozostawiamy do oceny
samemu uytkownikowi -- pytanie kluczowe: czy
lepiej, aby do danych mia dostp producent czy
zodziej?
2. Regularnie aktualizuj
oprogramowanie

Chroni przed wikszoci atakw masowych, typu:

- otwarcie zoliwego pliku PDF,
- wejcie na zoliw stron internetow
Kade popularne oprogramowanie posiada bdy
bezpieczestwa (tzw. dziury). S one odnajdowane i
atane na bieco. Aby je eliminowa naley regularnie
aplikowa aktualizacje, inaczej powalamy kademu
gimnazjalicie korzystajcemu z tzw. programw do
hackowania (np. metasploita) na przejcie naszego
komputera

Wcz automatyczn aktualizacj w kadym z

programw, z ktrych korzystasz na komputerze
(zwaszcza w przegldarce internetowej)
Jeli musisz rcznie cign aktualizacj,
ciagaj j ze strony producenta po HTTPS (w
przeciwnym razie, kto kto jest na trasie twojego
poczenia, mgby podmieni cigane dane na
zoliwe).
Przydatne programy:
- Windows: PSI (Personal Security Inspector)

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 2/12

http://secunia.com/products/consumer/psi/
- Linux: apt-get update && apt-get upgrade
- Mac OS X: Ustawienia -> Aktualizacje
Od czasu do czasu warto take przejrze
uprawnienia, jakie nadae zewntrznym
aplikacjom na swoich kontach:
- Facebooka:
https://www.facebook.com/settings?
tab=applications
- Google:
https://accounts.google.com/b/0/IssuedAuthSubTo
kens?hl=en
3. Stosuj unikatowe hasa,
czyli rne do kadego z
serwisw/usug
...i wcz 2 factor
authentication
(dwuskadnikowe
uwierzytelnienie)

Chroni przed nieuprawnionym dostpem do Twoich

danych (kont w serwisach internetowych).
Najczciej atakujcy zdobywaj dostp do twojego
konta w serwisie X, dziki temu, e udao im si
wama na serwis Y, w ktrym take miae
zarejestrowane konto na ten sam adres e-mail/login.
Poniewa serwis Y by od dawna zapomniany (np.
studenckie forum) i zarzdzany przez niekompetentn
osob, w momencie ataku pracowa pod kontrol
nieaktualnego oprogramowania. Dziki temu, atakujcy
wykorzustujc znany od dawna bd, wykradli z niego
baz danych. W bazie znajdowao si twoje haso,
niestety takie same jak do serwisu X.
Do czego prowadz tego typu ataki -- przeczytaj:
http://niebezpiecznik.pl/post/od-wycieku-prawie-20000-hasel-do-wrzucania-nagich-zdjec-ofiar-nafacebooka/
Inn przyczyn wama na konta jest obejcie
formularza logowania poprzez formularz resetu hasa.

Atakujcy s w stanie sprawdza ponad 5

milionw hase na sekund. Dlatego aby opni
zamanie hasa, haso powinno by:
- niesownikowe (hasa: qwerty, qazwsx, albo
kasia123 lub defibrylator nie s dobre,
poniewa znajduj si w sownikach sucych do
amania hase. Te sowniki zawieraj wszystkie
poprawne sowa z j. polskiego, angielskiego, itp,
oraz popularne kombinacje 123456, a take
wersje powyszych sw pisane od tyu, na
przemian maymi i duymi literami, a take z
przyrostkami (ang. suffix): 123, 098, 111,
000, 123!, 1! itp. na kocu).
- nieszablonowe (nie twrz ich wedug szablonu.
np. MojeTajneHasloDoAllegro - bo w przypadku
wycieku hase z Allegro, atakujcy domyli si, e
twoje haso do Facebooka to zapewne
MojeTajneHasloDoFacebooka)
- dugie i skomplikowane (im dusze haso i im

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 3/12

Z tego powodu nie ustawiaj pytania przypominajcego

haso na Ulubiony kolor z odpowiedzi Czarny,
gdy jest to bardzo atwe do odgadnicia.
Dwuskadnikowe uwierzytelnienie ochroni twoje
konto, w przypadku przejcie Twojego hasa (np. po
logowaniu si do Facebooka na komputerze kolegi, w
hotelu, itp.). Atakujcy aby mie dostp do Twojego
konta potrzebuje take twojego telefonu (a miejmy
nadziej, e nie zostawie go przy cudzym
komputerze, na ktrym wpisae haso ;).

wicej znakw posiada, tym duej zajmie

atakujcemu jego amanie).
(te same porady dotycz take odpowiedzi na
pytania przypominajce haso)
Hasa twrz i zapisuj w managerze hase (np.
KeePass, ktry jest dostpny dla
Windows/Linux/Mac/iOS/Android). Dziki temu
musisz pamita tylko jedno haso - do managera.
Reszt zajmie si on.
Dwuskadnikowe uwierzytelnienie mona
wczy w:
- Facebooku
http://niebezpiecznik.pl/post/facebookwprowadza-nowe-zabezpieczenia/
- Google GMail
http://niebezpiecznik.pl/post/google-wprowadzadwuskladnikowe-uwierzytelnienie/
- Dropbox
- Twitter http://niebezpiecznik.pl/post/twitteranowe-i-trzeba-przyznac-ciekawe-podejscie-dodwuskladnikowego-uwierzytelniania/
- Evernote
...oraz innych serwisach, by moe te, z ktrych
korzystasz ju je maj -- sprawd to ...i wcz!
UWAGA! Upewnij si, e wiesz jak si zalogowa za
pomoc specjalnych kodw awaryjnych, na wypadek
gdyby straci dostp do swojego telefonu. Wydrukuj je
i przechowuj w bezpiecznym miejscu.

4. Podnie bezpieczestwo
przegldarki Firefox i Google

Podsuchaniem twojego ruchu internetowego i

kradzie tosamoci/danych

Przegldarka internetowa to zapewne program w

ktrym spdzasz najwicej czasu, dlatego:

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 4/12

Chrome
1. Upewnij si, e nie korzystasz z przegldarki
innej ni Google Chrome (albo jej
zoptymalizowanego odpowiednika) lub Firefox lub
Opera ;)
Zalet Google Chrome jest sandboxing
(separacja), minimalizujcy skutki atakw, ale
wad przekazywane pewnych statystyk do
Google (co mona ograniczy w ustawieniach lub
wykorzysta klon przegldarki Google Chrome
zorientowany na prywatno, np. SRWare Iron lub
Chromium, ktra domylnie nie wysya statystyk i
raportw o bdach).
2. Wycz wtyczk Java (oraz inne ktrych nie
potrzebujesz, a zapewne nie potrzebujesz
niczego poza Flashem)
2. Wcz funkcj click-2-play dla wtyczek. Dziki
temu, aden aplet Flasha na stronie nie wystartuje
sam z siebie (nawet te niewidzialne 1x1 px). Aby
aktywowa np. aplet filmiku na YouTube, bdziesz
musia najpierw w niego klikn
Dla Chrome:
Ustawienia Poka ustawienia zaawansowane...
Ustawienia treci Wtyczki Kliknij, by
uruchomi
Instrukcje dla innych przegldarek
3. Zainstaluj przydatne rozszerzenia, zwaszcza
te:
- NoScript (blokada JS dla Fx)
- NoScripts (blokada JS dla Chrome)
- HTTPS Everywhere (wymusza szyfrowane
poczenia, jeli s moliwe)
4. Jeli prywatno jest dla Ciebie rwnie wana
co bezpieczestwo, skonfiguruj ciasteczka w tryb

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 5/12

No third party cookies - ochroni to Twoj

prywatno przed trackingiem reklamowym (por.
http://niebezpiecznik.pl/post/grozne-ciasteczkaflashowe/)
5. Korzystaj z VPN, czc si z
nieswoj sieci (Wi-Fi)

Chroni przed podsuchaniem twoich danych.

W przypadku darmowych hotspotw (np. w Starbucks,
McDonalds, itp.) oraz sieci z szyfrowaniem WEP -kady inny uytkownik sieci widzi cay twj ruch
internetowy. Jeli nie korzystasz z szyfrowanych
protokow, bdzie mona Ci podsucha i np.
przechwyci np. twoje hasa.
Atakujcy moe take celowo podstawi faszyw,
niezaszyfrowan sie o nazwie (SSID) takiej jak sie,
do ktrej wczeniej si czye. Twj komputer poczy
si z ni automatycznie, co pozwoli na podsuch
poczenia przez atakujcego.

Wszelkie bdy certyfikatw wyskakujce podczas

poczenia lub komunikaty informujce o zmianie
odcisku/fingerprinta klucza traktuj jako atak MITM
i nie akceptuj takiego poczenia.
Wczaj np. firmowy VPN korzystajc z
niezaufanych sieci Wi-Fi (hotele, lotniska, biura
klienta).
Jeli nie masz firmowego VPN-a, moesz kupi
tego typu usug za grosze lub stworzy j
samemu. Bardzo prosty VPN moesz zrobi sam
przy pomocy dowolnego serwera VPS z SSH
(polecamy Digitalocean jako najtaszy hosting
VPS-w, z gotowymi obrazami, dyskami SSD i
wysokimi limitami, za 5USD na miesic w
rozliczeniu sekundowym - obecnie podanie kodu
2MO512 lub 10TOSHIP przy rejestracji, po
podaniu danych patniczych dodaje 10USD na
koncie, czyli 2 miesice zabawy).
Jeli ju masz gdzie konto SSH, zaloguj si do
niego w ten sposb:
ssh login@serwer -D 9090
a nastpnie w przegldarce ustaw SOCKS proxy
na port 9090.
Uwaga! Dalej mona przechwyci twj ruch
generowany przez inne ni przegldarka
oprogamowanie zainstalowane na twoim
komputerze (systemowe SOCKS proxy rozwie
problem - por.
http://superuser.com/questions/319516/how-toforce-any-program-to-use-socks a potem wydaj
polecenie: netsh winhttp import proxy

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 6/12

source=ie).
Dodatkowo warto zdawa sobie spraw, e ruch
jest szyfrowany jedynie do serwera SSH -- jeli
wic kto podsuchuje serwer SSH, na wyjciu
bdzie w stanie podejrze twoje niezaszyfrowane
poczenia (dlatego korzystaj tam gdzie to
moliwe z szyfrowanych protokow, tj. np.
HTTPS).
Alternatyw do VPN-a jest take sie TOR
(https://www.torproject.org/) - ale podobnie jak z
serwerami VPN/SSH -- na wyjciu z tej sieci
niezaszyfrowany ruch kierowany do serwera
docelowego moe zosta przechwycony.
6. Korzystaj z firewalla

Chroni przed zwikszaniem powierzchni ataku poprzez

wystawienie wszystkim usug z Twojego komputera
(np. domylnie wczonego w Windows udostpniania
plikw przez protok SMB)

Ustaw blokad wszystkich pocze

przychodzcych do Twojego komputera. Nie
utrudnia Ci to korzystania z komputera, pod
warunkiem, e nie jeste serwerem WWW, lub nie
udostpniasz innej usugi innym internautom - ale
jeli to robisz, to zapewne wiesz na jakim porcie
dziaa usuga i bdziesz w stanie zaoy
odpowiedni regu na firewallu.
GUI do firewalla na Mac OS X:
http://www.hanynet.com/icefloor/
Rozwa instalacj oprogramowania, ktre bdzie
take limitowao ruch wychodzcy z twojego
komputera. Dla Mac OS X bdzie to LittleSnitch,
w przypadku Windowsa interaktwne limitowanie
ruchu wychodzcego umoliwia program
ZoneAlarm

7. Korzystaj z antywirusa i
konta z ograniczonym
uprawnieniami (nie admina)

Antywirus chroni przed znanymi wirusami, a

korzystanie z konta bez przywilejw administratorskich
nie pozwoli zoliwemu oprogramowaniu na cakowite
przejcie systemu.

Antywirusy da si obej i jest to stosunkowo

proste zadanie. Nie mniej jednak warto z nich
korzysta, bo doskonale odsiewaj znane (tj.
stare) i masowe zagroenia.

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 7/12

Nie trzeba kupowa antywirusa - wiele z firm ma

wersje bezpatne i s one rwnie (nie)skuteczne
co ich patne odpowiedniki.
Rozwa instalacj dodatkowych narzdzi
chronicych przed zoliwym oprogramowaniem,
takich jak:
- Bit9, jako alternatyw do antywirusa, polegajc
na whitelistingu programw
- EMET (unieszkodli wiele exploitw, jeli ju dotr
na Twj system)
Nie korzystaj z konta administratora do pracy na
co dzie. Za osobne konto.
8. Zastanw si, co
umieszczasz w sieci

Chroni przed kompromitacj, wyciekiem poufnych

danych

Wszystko co umieszczasz w internecie lub

wysyasz e-mailem nawet do 1 wybranej osoby,
traktuj jako publicznie dostpne. Zawsze. Dla
wszystkich.
Skrzynka e-mail twojego zaufanego odbiorcy
moe zosta upubliczniona na skutek ataku.
Prywatna galeria zdj na Facebooku moe nagle
sta si dostpna dla kadego internauty na
skutek czasowego bdu w serwisie. Takie
sytuacje miay ju miejsce (por.
http://niebezpiecznik.pl/post/dziura-w-facebookuujawnia-prywatne-zdjecia-uzytkownikow/).
Wszystko co umieszczasz w internecie, ma du
szans zosta tam na zawsze, czy tego chcesz,
czy nie, por. http://archive.org

9. Za haso na BIOS

Chroni przed kradzie sprztu/danych

Atakujcy nie odpali Twojego komputera z LiveCD/USB
i nie uzyska dostpu do niezaszyfrowanych czci
dysku, obchodzc uwierzytelnienie (utrudni mu to take

Dysk zawsze mona wymontowa fizycznie, i jeli

jest niezaszyfrowany (patrz pkt. 1), to klops.
W komputerach Mac brak jest BIOS-u ale mona
ustawi startup password

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 8/12

nadpisanie MBR dysku z poziomu zewntrznego

systemu)

10. Jeli wybrae brak

szyfrowania caego dysku
twardego (por. pkt. 1)
...to jeste gu^Wfanem
Justina Biebera i zespou
Weekend :-P

Nic nie chroni ci w przypadku kradziey przed

- wyciekiem twoich poufnych danych,
- kradzie tosamoci,
- kompromitacj poprzez opublikowanie np. twoich
nagich zdj na twoim Facebooku,
itp.

Pamitaj! Haso na BIOS czsto mona

zresetowa (np. zwork) lub poda domylne
haso producenta, jeli ma si dostp fizyczny do
pyty gwnej. O ile nie da si przed dostpem
fizycznym zabezpieczy skutecznie, to warto to
wykrywa - najprostsz metod bdzie
korzystanie z lakieru do paznokci. Ochron
fizyczn mog take podnie odpowiednie
akcesoria.
Moesz jednak odzyska sprzt, namierzajc
zodzieja o ile przed kradzie zainstalowae
na swoim komputerze/telefonie oprogramowanie
typu przyjazny trojan, a urzdzenie nie zostao
przez zodzieja wyczone:
- http://preyproject.com/
(Windows, Mac, Linux, Android, iOS)
- FindMyiPhone (pozwala rwnie na
odnajdywanie Macbooka, iPada) https://icloud.com
- Android Device Manager
Pomimo ustalenia przyblionego miejsca
przechowywania sprztu do "namierzenia
zodzieja", i "odzyskania sprztu" droga moe by
duga i wyboista. Zawsze jednak mona
sprbowa wymuszenia usunicia danych.
Uwaga! Dobrze zabezpiecz dostp do kont
zarzdzajcych ww. programami. Warto mie
wiadomo, e w przypadku ich przejcia skutki
mog by tragiczne, por.
http://niebezpiecznik.pl/post/jak-amazon-pomoglzhackowac-apple/

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 9/12

Jeli mimo stosowania powyszych rad, komu udao si wama na twoj skrzynk e-mail, to poradnik, pt. co zrobi i jak
posprzta po wamaniu (oraz upewni si, e atakujcy nie ma ju dostpu do twoich wiadomoci) znajdziesz w tym artykule.

...jeli powysze rady okazay si pomocne, podziel si linkiem do tego poradnika ze znajomymi! Dziki!
http://nbzp.cz/10-porad-bezpieczenstwa

Masz pomys co jeszcze mona umieci w tym poradniku? A moe znasz jaki ciekawy (idealnie open-source i darmowy) program,
ktry pozwoli podnie bezpieczestwo korzystania z internetu? Daj nam zna: top10security@niebezpiecznik.pl

O Niebezpiecznik.pl
Niebezpiecznik.pl to serwis informacyjny, ktry codziennie publikuje informacje na temat zagroe w Internecie, w tym
praktyczne porady podnoszce bezpieczestwa pracy przy komputerze.
Moesz nas czyta przez RSS, Facebooka, Twittera.

*** Sprawd czy jeste bezpieczny ***

Ekipa Niebezpiecznika to zesp dowiadczonych specjalistw ds. bezpieczestwa z wieloletnim staem.
Moesz wynaj nas do przetestowania twojej sieci/aplikacji pod ktem dziur i podatnoci na ataki. Zapoznaj si z nasz
ofert audytw bezpieczestwa i testw penetracyjnych oraz szkole:

Dla programistw lub administratorw, prowadzimy regularnie otwarte szkolenia z:

Atakowania i Ochrony Webaplikacji
Bezpieczestwa Aplikacji Mobilnych (iOS, Android i Windows7)
Bezpieczestwa Sieci Komputerowych (testw penetracyjnych)
Dla mniej dowiadczonych technicznie osb pracujcych na co dzie przed komputerem przygotowalimy specjalne
szkolenie obejmujce swoim zakresem podstawy bezpieczestwa w internecie, demonstrujce zagroenia i uczce
jak je wykrywa i jak na nie prawidowo reagowa:

zobacz opis szkolenia bezpieczna praca przy komputerze

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 10/12

Poradnik 10 PORAD BEZPIECZESTWA by Niebezpiecznik.pl is licensed under a Creative Commons Uznanie autorstwa - Uycie
niekomercyjne - Bez utworw zalenych 4.0 Midzynarodowe License.
Ten utwr jest dostpny na licencji Creative Commons Uznanie autorstwa - Uycie niekomercyjne - Bez utworw zalenych 4.0
Midzynarodowe. Aby zapozna si z tekstem licencji wejd na stron http://creativecommons.org/licenses/by-nc-nd/4.0/.

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 11/12

Inne zaprzyjanione poradniki:

- Jak podnie bezpieczestwo w szkoach i urzdach?
http://ipsec.pl/informatyzacja/bezpieczenstwo-informatyczne-szkol-instytucji-publicznych-poradnik.html

TODO:
- Jak bezpiecznie paci kartami kredytowymi w internecie (plus przykady atakw na bankowo internetow; techniki ZeuSa MITMO i Citadel)

Poradnik 10 porad bezpieczestwa autorstwa Niebezpiecznik.pl str. 12/12