10 rad podnoszcych bezpieczestwo komputera

od
Niebezpiecznik.pl
(ver0.9z10sierpnia2014)

>> Krtki link do tego dokumentu to

http://nbzp.cz/10-porad-bezpieczenstwa

Otozestawczynnoci,ktrychwykonaniepowinnopodnieoglnebezpieczestwoTwojegoprywatnegokomputera,telefonulub
tabletu.Wykonajje,autrudniszhakerom/cyberprzestpcomkradzietwoichprywatnychdanychzarwnozdyskwtwoichurzdze
jakizserwiswinternetowych,naktrychmaszkonta.

PoradykierowanesdoprzecitnegoKowalskiego,aleczznichmoewymagapewnegoobyciazkomputerem.Wrazie
niejasnocipytajwkomentarzachlubpoproznajomegoinformatykaopomocwkonfiguracji.Obiecujemymaksymalnieuproci
jzyktegoporadnikawjegoprzyszychedycjach.

UWAGA!Dokumentjestwtrakcietworzenia.Kadymoezostawikomentarz,doczegozachcamy.
Wystarczyskorzystazmenunagrzestrony.Prosimyjednakododawanie
maksymalniepraktycznychkomentarzy
,zawierajcychprzydatnenarzdziaoraz
poradypodnoszcebezpieczestwo.Waszekomentarzezostanrozpatrzoneiprzeniesionedotekstu.Chtnychdoaktywnegorozbudowaniategoporadnika
zapraszamydo
kontaktu
otrzymacieuprawnieniaedytorategodokumentu.Ajelibardzolubiciepisao(nie)bezpieczestwie,tozachcamydostaej
wsppracywramachserwisuNiebezpiecznik.pl
szukamyredaktorw
(i
pacimy
zaartykuy:)

Akcja

Opisneutralizowanegoataku

1.Zaszyfruj*cay*dysktwardy Chroniprzednieuprawnionymdostpemdodanych,np.
(tzw.
fulldiskencryption
)
naskutekkradzieylubwsytuacjiwktrejzostawie

sprztbezopiekiwhotelowympokoju,schodzcna
niadanie(tzw.atak
EvilMaid
).

UWAGIiprzydatneprogramy
Programy:

TrueCrypt

dlaWindows(
http://www.truecrypt.org/
projektprzechodzipewne
niezrozumiaezmiany
,
zostanaglezamknityprzezdeveloperw,zaleca
sikorzystaniezinnegooprogramowanialub
pozostanieprzywersji
7.1.a
)

FileVault2
dlaMacOSX(wbudowanywsystem,
wzakadceSecurity&Privacywsystemowych
preferencjach).PoskonfigurowaniuFileVaulta
uruchomterminaliwydajpolecenie:
sudopmsetahibernatemode25

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.1/12

destroyfvkeyonstandby1
ktrebdziekasowaokluczzpamicipodczas
hibernacjilaptopa,chronicprzedatakami
Evil
Maid
i
ColdBoot
.

BitLocker
dlaWindows(wbudowanywsystem)

dmcryptdlaLinuksa(wbudowanywwikszo
dystrybucji)

Niezalenieodszyfrowania,wartowykonywa
regularnybackup(tzw.kopizapasow)
,
poniewawprzypadkuszyfrowanychdyskw,
zmiana/bdjednegobitumoeuniemoliwi
dostpdowszystkichdanych.

Niektrezdyskwtwardychwspierajszyfrowanie
napoziomiekontrolera(coniewymagainstalacji
dodatkowegooprogramowania,aodpowiedniej
konfiguracji,tj.ustawieniahasawBIOS).
Oczywicietoczyufaalgorytmomdanego
producentapozostawiamydoocenysamemu
uytkownikowipytaniekluczowe:czylepiej,aby
dodanychmiadostpproducentczyzodziej?

2.Regularnieaktualizuj
oprogramowanie

Chroniprzedwikszociatakwmasowych,typu:

otwarciezoliwegoplikuPDF
,

wejcienazoliwstroninternetow

Kadepopularneoprogramowanieposiadabdy
bezpieczestwa(tzw.dziury).Soneodnajdowanei
atanenabieco.Abyjeeliminowanaleyregularnie
aplikowaaktualizacje,inaczejpowalamykademu
gimnazjaliciekorzystajcemuztzw.programwdo
hackowania(np.metasploita)naprzejcienaszego
komputera

Wczautomatycznaktualizacjwkadymz
programw,zktrychkorzystasznakomputerze
(zwaszczawprzegldarceinternetowej)

Jelimusiszrczniecignaktualizacj,
ciagajjzestronyproducentapoHTTPS(w
przeciwnymrazie,ktoktojestnatrasietwojego
poczenia,mgbypodmieniciganedanena
zoliwe).

Przydatneprogramy:

Windows:
PSI
(PersonalSecurityInspector)
http://secunia.com/products/consumer/psi/

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.2/12

Linux:
aptgetupdate&&aptgetupgrade

MacOSX:
Ustawienia>Aktualizacje

Odczasudoczasuwartotakeprzejrze
uprawnienia,jakienadaezewntrznym
aplikacjomnaswoichkontach:

Facebooka:
https://www.facebook.com/settings?tab=application
s

Google:
https://accounts.google.com/b/0/IssuedAuthSubTo
kens?hl=en

3.Stosujunikatowehasa,
czylirnedokadegoz
serwisw/usug

...iwcz2factorauthentication
(dwuskadnikowe
uwierzytelnienie)

ChroniprzednieuprawnionymdostpemdoTwoich
danych(kontwserwisachinternetowych).

Najczciejatakujcyzdobywajdostpdotwojego
kontawserwisieX,dzikitemu,eudaoimsiwama
naserwisY,wktrymtakemiaezarejestrowane
kontonatensamadresemail/login.PoniewaserwisY
byoddawnazapomniany(np.studenckieforum)i
zarzdzanyprzezniekompetentnosob,wmomencie
atakupracowapodkontrolnieaktualnego
oprogramowania.Dzikitemu,atakujcywykorzustujc
znanyoddawnabd,wykradlizniegobazdanych.W
bazieznajdowaositwojehaso,niestetytakiesame
jakdoserwisuX.

Doczegoprowadztegotypuatakiprzeczytaj:
http://niebezpiecznik.pl/post/odwyciekuprawie20000
haseldowrzucanianagichzdjecofiarnafacebooka/

Innprzyczynwamanakontajestobejcie
formularzalogowaniapoprzezformularzresetuhasa.
Ztegopowodunieustawiajpytaniaprzypominajcego
hasonaUlubionykolorzodpowiedziCzarny,gdy
jesttobardzoatwedoodgadnicia.

Atakujcyswstaniesprawdzaponad5milionw
hasenasekund.Dlategoabyopnizamanie
hasa,hasopowinnoby:

niesownikowe
(hasa:qwerty,qazwsx,albo
kasia123lubdefibrylatorniesdobre,
poniewaznajdujsiwsownikachsucychdo
amaniahase.Tesownikizawierajwszystkie
poprawnesowazj.polskiego,angielskiego,itp,
orazpopularnekombinacje123456,atake
wersjepowyszychswpisaneodtyu,na
przemianmaymiiduymiliterami,atakez
przyrostkami(ang.suffix):123,098,111,
000,123!,1!itp.nakocu).

nieszablonowe
(nietwrzichwedugszablonu.
np.
MojeTajneHasloDoAllegro
bowprzypadku
wyciekuhasezAllegro,atakujcydomylisi,e
twojehasodoFacebookatozapewne
MojeTajneHasloDoFacebooka
)

dugieiskomplikowane
(imduszehasoiim
wicejznakwposiada,tymduejzajmie
atakujcemujegoamanie).

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.3/12


Dwuskadnikoweuwierzytelnienie
ochronitwoje
konto,wprzypadkuprzejcieTwojegohasa(np.po
logowaniusidoFacebookanakomputerzekolegi,w
hotelu,itp.).AtakujcyabymiedostpdoTwojego
kontapotrzebujetaketwojegotelefonu(amiejmy
nadziej,eniezostawiegoprzycudzymkomputerze,
naktrymwpisaehaso).

(tesameporadydotycztakeodpowiedzina
pytaniaprzypominajcehaso)

Hasatwrzizapisujwmanagerzehase
(np.
KeePass
,ktryjestdostpnydla
Windows/Linux/Mac/iOS/Android).Dzikitemu
musiszpamitatylkojednohasodomanagera.
Resztzajmiesion.

Dwuskadnikoweuwierzytelnieniemona
wczyw:

Facebooku
http://niebezpiecznik.pl/post/facebookwprowadza
nowezabezpieczenia/

GoogleGMail
http://niebezpiecznik.pl/post/googlewprowadzadw
uskladnikoweuwierzytelnienie/

Dropbox

Twitter
http://niebezpiecznik.pl/post/twitteranoweitrzeba
przyznacciekawepodejsciedodwuskladnikowego
uwierzytelniania/

Evernote

...orazinnychserwisach,bymoete,zktrych
korzystaszjujemajsprawdto...iwcz!

UWAGA!

Upewnijsi,ewieszjaksizalogowaza
pomocspecjalnychkodwawaryjnych,nawypadek
gdybystracidostpdoswojegotelefonu.Wydrukujje
iprzechowujwbezpiecznymmiejscu.

4.Podniebezpieczestwo
przegldarkiFirefoxiGoogle

Podsuchaniemtwojegoruchuinternetowegoikradzie
tosamoci/danych

Przegldarkainternetowatozapewneprogramw
ktrymspdzasznajwicejczasu,dlatego:

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.4/12

Chrome

1.Upewnijsi,eniekorzystaszzprzegldarki
innejniGoogleChrome(albojej
zoptymalizowanego
odpowiednika
)lubFirefoxlub
Opera)

ZaletGoogleChromejestsandboxing
(separacja),minimalizujcyskutkiatakw,ale
wadprzekazywanepewnychstatystykdo
Google(comonaograniczywustawieniachlub
wykorzystaklonprzegldarkiGoogleChrome
zorientowanynaprywatno,np.
SRWareIron
lubChromium
,ktradomylnieniewysya
statystykiraportwobdach).

2.WyczwtyczkJava(orazinnektrychnie
potrzebujesz,azapewneniepotrzebujeszniczego
pozaFlashem)

2.Wczfunkcj
click2play
dlawtyczek.Dziki
temu,adenapletFlashanastronieniewystartuje
samzsiebie(nawetteniewidzialne1x1px).Aby
aktywowanp.apletfilmikunaYouTube,bdziesz
musianajpierwwniegoklikn
DlaChrome:
UstawieniaPokaustawieniazaawansowane...
UstawieniatreciWtyczkiKliknij,by
uruchomi

Instrukcjedlainnychprzegldarek

3.Zainstaluj
przydatnerozszerzenia,
zwaszczate:

NoScript
(blokadaJSdlaFx)

NoScripts
(blokadaJSdlaChrome)

HTTPSEverywhere
(wymuszaszyfrowane
poczenia,jelismoliwe)

4.JeliprywatnojestdlaCiebierwniewanaco
bezpieczestwo,skonfigurujciasteczkawtryb
No
thirdpartycookies
ochronitoTwoj

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.5/12

prywatnoprzedtrackingiemreklamowym(por.
http://niebezpiecznik.pl/post/grozneciasteczkaflas
howe/
)

5.KorzystajzVPN,czcsiz Chroniprzedpodsuchaniemtwoichdanych.
nieswojsieci(WiFi)

Wprzypadkudarmowychhotspotw(np.wStarbucks,
McDonalds,itp.)orazsiecizszyfrowaniemWEP
kadyinnyuytkowniksieciwidzicaytwjruch
internetowy.Jeliniekorzystaszzszyfrowanych
protokow,bdziemonaCipodsuchainp.
przechwycinp.twojehasa.

Atakujcymoetakecelowo
podstawifaszyw,
niezaszyfrowansieonazwie(SSID)takiejjaksie,do
ktrejwczeniejsiczye
.Twjkomputerpoczy
sizniautomatycznie,copozwolinapodsuch
poczeniaprzezatakujcego.

Wszelkiebdycertyfikatwwyskakujcepodczas
poczenialubkomunikatyinformujceozmianie
odcisku/fingerprintakluczatraktujjako
atakMITM
i
nieakceptujtakiegopoczenia.

Wczajnp.firmowyVPNkorzystajcz
niezaufanychsieciWiFi(hotele,lotniska,biura
klienta).

JeliniemaszfirmowegoVPNa,moeszkupi
tegotypuusugzagroszelubstworzyj
samemu.BardzoprostyVPNmoeszzrobisam
przypomocydowolnegoserweraVPSzSSH
(
polecamyDigitaloceanjakonajtaszyhosting
VPSw,zgotowymiobrazami,dyskamiSSDi
wysokimilimitami,za5USDnamiesicw
rozliczeniusekundowym
obecniepodaniekodu
2MO512
lub
10TOSHIP

przyrejestracji,po
podaniudanychpatniczychdodaje10USDna
koncie,czyli2miesicezabawy).

JelijumaszgdziekontoSSH,zalogujsido
niegowtensposb:
sshlogin@serwerD9090
anastpniewprzegldarceustawSOCKSproxy
naport9090.

Uwaga
!Dalejmonaprzechwycitwjruch
generowanyprzezinneniprzegldarka
oprogamowaniezainstalowanenatwoim
komputerze(systemoweSOCKSproxyrozwie
problempor.
http://superuser.com/questions/319516/howtoforc
eanyprogramtousesocks
apotemwydaj
polecenie:
netshwinhttpimportproxysource=ie
).

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.6/12

Dodatkowowartozdawasobiespraw,eruch
jestszyfrowanyjedyniedoserweraSSHjeli
wicktopodsuchujeserwerSSH,nawyjciu
bdziewstaniepodejrzetwojeniezaszyfrowane
poczenia(dlategokorzystajtamgdzietomoliwe
zszyfrowanychprotokow,tj.np.HTTPS).

AlternatywdoVPNajesttakesieTOR
(
https://www.torproject.org/
)alepodobniejakz
serweramiVPN/SSHnawyjciuztejsieci
niezaszyfrowanyruchkierowanydoserwera
docelowegomoezostaprzechwycony.

6.Korzystajzfirewalla

Chroniprzedzwikszaniempowierzchniatakupoprzez
wystawieniewszystkimusugzTwojegokomputera
(np.domylniewczonegowWindowsudostpniania
plikwprzezprotokSMB)

Ustawblokadwszystkichpocze
przychodzcychdoTwojegokomputera.Nie
utrudniaCitokorzystaniazkomputera,pod
warunkiem,eniejesteserweremWWW,lubnie
udostpniaszinnejusugiinnyminternautomale
jelitorobisz,tozapewnewiesznajakimporcie
dziaausugaibdzieszwstaniezaoy
odpowiedniregunafirewallu.

GUIdofirewallanaMacOSX:
http://www.hanynet.com/icefloor/

Rozwainstalacjoprogramowania,ktrebdzie
takelimitowaoruchwychodzcyztwojego
komputera.DlaMacOSXbdzieto
LittleSnitch
,
wprzypadkuWindowsainteraktwnelimitowanie
ruchuwychodzcegoumoliwiaprogram
ZoneAlarm

7.Korzystajzantywirusai
kontazograniczonym
uprawnieniami(nieadmina)

Antywiruschroniprzedznanymiwirusami,akorzystanie
zkontabezprzywilejwadministratorskichniepozwoli
zoliwemuoprogramowaniunacakowiteprzejcie
systemu.

Antywirusy
dasiobej
ijesttostosunkowo
prostezadanie.Niemniejjednakwartoznich
korzysta,bodoskonaleodsiewajznane(tj.stare)
imasowezagroenia.

Nietrzebakupowaantywirusawielezfirmma
wersjebezpatneisonerwnie(nie)skuteczneco

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.7/12

ichpatneodpowiedniki.

Rozwainstalacjdodatkowychnarzdzi
chronicychprzedzoliwymoprogramowaniem,
takichjak:

Bit9
,jakoalternatywdoantywirusa,polegajc
nawhitelistinguprogramw

EMET
(unieszkodliwieleexploitw,jelijudotr
naTwjsystem)

Niekorzystajzkontaadministratoradopracynaco
dzie.Zaosobnekonto.

8.Zastanwsi,co
umieszczaszwsieci

Chroniprzedkompromitacj,wyciekiempoufnych
danych

Wszystkocoumieszczaszwinternecielub
wysyaszemailemnawetdo1wybranejosoby,
traktujjako
publiczniedostpne.Zawsze.Dla
wszystkich
.

Skrzynkaemailtwojegozaufanegoodbiorcymoe
zostaupublicznionanaskutekataku.Prywatna
galeriazdjnaFacebookumoenaglestasi
dostpnadlakadegointernautynaskutek
czasowegobduwserwisie.Takiesytuacjemiay
jumiejsce(por.
http://niebezpiecznik.pl/post/dziurawfacebookuuj
awniaprywatnezdjeciauzytkownikow/
).

Wszystkocoumieszczaszwinternecie,madu
szanszostatamnazawsze,czytegochcesz,
czynie,por.
http://archive.org

9.ZahasonaBIOS

Chroniprzedkradziesprztu/danych

AtakujcynieodpaliTwojegokomputerazLiveCD/USB
inieuzyskadostpudoniezaszyfrowanychczci
dysku,obchodzcuwierzytelnienie(utrudnimutotake
nadpisanieMBRdyskuzpoziomuzewntrznego
systemu)

Dyskzawszemonawymontowafizycznie,ijeli
jestniezaszyfrowany(patrzpkt.1),toklops.

WkomputerachMacbrakjestBIOSualemona
ustawistartuppassword

Pamitaj!HasonaBIOSczstomona
zresetowa(np.zwork)lubpodadomylnehaso

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.8/12

producenta,jelimasidostpfizycznydopyty
gwnej.Oileniedasiprzeddostpemfizycznym
zabezpieczyskutecznie,towartotowykrywa
najprostszmetodbdzie
korzystaniezlakierudo
paznokci
.Ochronfizycznmogtake
podnie
odpowiednieakcesoria
.

10.Jeliwybraebrak
szyfrowaniacaegodysku
twardego(por.pkt.1)

...tojestegu^WfanemJustina
BieberaizespouWeekend:P

Nicniechroniciwprzypadkukradzieyprzed
wyciekiemtwoichpoufnychdanych,
kradzietosamoci,
kompromitacjpoprzezopublikowanienp.twoich
nagichzdjnatwoimFacebooku,
itp.

Moeszjednakodzyskasprzt,namierzajc
zodziejaoileprzedkradziezainstalowaena
swoimkomputerze/telefonieoprogramowanietypu
przyjaznytrojan,aurzdzenieniezostaoprzez
zodziejawyczone:

http://preyproject.com/
(Windows,Mac,Linux,Android,iOS)

FindMyiPhone
(pozwalarwniena
odnajdywanieMacbooka,iPada)
https://icloud.com

AndroidDeviceManager

Pomimoustaleniaprzyblionegomiejsca
przechowywaniasprztudo"namierzenia
zodzieja",i"odzyskaniasprztu"drogamoeby
dugaiwyboista.Zawszejednakmonasprbowa
wymuszeniausuniciadanych.

Uwaga!
Dobrzezabezpieczdostpdokont
zarzdzajcychww.programami.Wartomie
wiadomo,ewprzypadkuichprzejciaskutki
mogbytragiczne,por.
http://niebezpiecznik.pl/post/jakamazonpomoglzh
ackowacapple/

Jelimimostosowaniapowyszychrad,komuudaosiwamanatwojskrzynkemail,
toporadnik,pt.

cozrobiijak
posprztapowamaniu

(orazupewnisi,eatakujcyniemajudostpudotwoichwiadomoci)
znajdzieszwtymartykule
.

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.9/12

...jelipowyszeradyokazaysipomocne,podzielsilinkiemdotegoporadnikazeznajomymi!Dziki!
http://nbzp.cz/10poradbezpieczenstwa

Maszpomyscojeszczemonaumieciw
tymporadniku?
Amoeznaszjakiciekawy(idealnieopensourceidarmowy)program,
ktrypozwolipodniebezpieczestwokorzystaniazinternetu?Dajnamzna:t
op10security@niebezpiecznik.pl

O Niebezpiecznik.pl
Niebezpiecznik.pl
toserwisinformacyjny,ktrycodzienniepublikujeinformacjenatematzagroewInternecie,wtym
praktyczneporadypodnoszcebezpieczestwapracyprzykomputerze.
Moesznasczytaprzez
RSS
,
Facebooka
,
Twittera
.

*** Sprawd czy jeste bezpieczny ***

EkipaNiebezpiecznikatozespdowiadczonychspecjalistwds.bezpieczestwazwieloletnimstaem.
Moeszwynajnasdo
przetestowaniatwojejsieci/aplikacji
podktemdziuripodatnocinaataki.Zapoznajsiznasz
ofert
audytwbezpieczestwaitestwpenetracyjnych
orazszkole:

Dlaprogramistwlubadministratorw,prowadzimyregularnieotwarteszkoleniaz:
AtakowaniaiOchronyWebaplikacji
BezpieczestwaAplikacjiMobilnych
(iOS,AndroidiWindows7)
BezpieczestwaSieciKomputerowych
(testwpenetracyjnych)

Dlamniejdowiadczonychtechnicznieosbpracujcychnacodzieprzedkomputeremprzygotowalimyspecjalne
szkolenieobejmujceswoimzakresempodstawybezpieczestwawinternecie,demonstrujcezagroeniaiuczce
jakjewykrywaijaknanieprawidoworeagowa:

zobaczopisszkolenia
bezpiecznapracaprzykomputerze

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.10/12

Poradnik 10 PORAD BEZPIECZESTWA by Niebezpiecznik.pl is licensed under a Creative Commons Uznanie autorstwa Uycie niekomercyjne Bez utworw
zalenych 4.0 Midzynarodowe License.
Ten utwr jest dostpny na licencji Creative Commons Uznanie autorstwa Uycie niekomercyjne Bez utworw zalenych 4.0 Midzynarodowe. Aby
zapozna si z tekstem licencji wejd na stron
http://creativecommons.org/licenses/byncnd/4.0/
.

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.11/12

Inne zaprzyjanione poradniki:

Jakpodniebezpieczestwowszkoachiurzdach?
http://ipsec.pl/informatyzacja/bezpieczenstwoinformatyczneszkolinstytucjipublicznychporadnik.html

TODO:

Jakbezpieczniepacikartamikredytowymiwinternecie(plusprzykadyatakwnabankowointernetowtechnikiZeuSaMITMOiCitadel)

Poradnik10poradbezpieczestwaautorstwa
Niebezpiecznik.pl
str.12/12