Ostatnia linia oporu

Nawet systematyczne łatanie i uaktualnianie Windows albo Linuksa czasami nie zdaje się na nic. Nieraz to sam użytkownik robi wiele, aby komuś udało się przechwycić hasło dostępowe do konta w banku internetowym bądź zamienić komputer w bramkę do rozsyłania spamu. Poza dbaniem o system operacyjny koniecznie musimy pamiętać o zachowaniu “internetowego BHP” i odpowiednio skonfigurować sieciowe aplikacje oraz korzystać z programów zabezpieczających naszą maszynę.
archiwum
24.08.2005|Przeczytasz w 3 minuty

Złam mnie, jeśli potrafisz

Zacznijmy od upewnienia się, że bezpiecznie przesyłamy krytyczne dane – na przykład wtedy, gdy komunikujemy się z bankiem internetowym. W tym wypadku poufność informacji jest zagwarantowana dzięki protokołowi SSL (Secure Socket Layer). Jego obsługa powinna być włączona w przeglądarce WWW (domyślnie odpowiednia funkcja jest uaktywniona). Powinniśmy też wiedzieć, że istnieje nowsza i pewniejsza wersja protokołu zabezpieczającego – Transport Layer Security (TLS). Ponieważ nie wszystkie serwery go obsługują, opcja TLS zazwyczaj jest wyłączona. Nie zaszkodzi na wszelki wypadek odblokować wspomnianego protokołu. Gdy korzystamy z najpopularniejszych przeglądarek WWW, powinniśmy wydać polecenia:

  • Firefox:
  • Narzędzia | Opcje | Zaawansowane | Zabezpieczenia | Włącz obsługę TLS 1.0;
  • Internet Explorer:
  • Narzędzia | Opcje internetowe | Zaawansowane | Zabezpieczenia | Użyj TLS 1.0;
  • Mozilla:
  • Edycja | Preferencje | Prywatność i zabezpieczenia | SSL | Włącz TLS;
  • Opera:
  • Narzędzia | Preferencje | Zaawansowane | Zabezpieczenia | Protokoły zabezpieczające | Włącz TLS;
  • Konqueror: Opcje | Konfiguracja | Kryptografia | Włącz TLS, jeśli zezwala na to serwer.

Pamiętajmy wreszcie, żeby zrezygnować z używania kluczy zabezpieczających krótszych niż 64-bitowe.

Czy ty to ty?

“Tu Twój bank internetowy, odwiedź stronę www.twojbank.com i podaj swój login oraz hasło – musimy uaktualnić dane osobowe”. Co rusz słychać, że ktoś odebrał e-maila takiej treści, naprawdę pofatygował się na wskazaną witrynę i przekazał niepowołanym osobom informacje wystarczające do opróżnienia konta.

Rosnąca liczba ofiar phishingu każe zastanowić się nad sposobami sprawdzania tożsamości nadawców listów elektronicznych. Takie metody istnieją – wystarczy skorzystać z certyfikatów. Są one wydawane przez uprawnione do tego instytucje (CA, Certifying Authorities). Dzięki “dowodom osobistym” uda się zweryfikować tożsamość nadawcy e-maila. Jeżeli zatem już musimy odpowiadać na listy z prośbą o podanie poufnych informacji, sprawdźmy, czy nadawca e-maila otrzymał certyfikat.

Sami także możemy postarać się o bezpłatny (dla użytkownika domowego) “paszport”, służący do podpisywania naszych przesyłek. Zdobędziemy go np. na stronie firmy Unizeto (www.certum.pl).

Ruch na portach

Używając aplikacji sieciowych, pamiętajmy, że każda z nich powinna odbierać i wysyłać dane za pośrednictwem określonego portu. Najważniejsze porty mają numery od 0 do 1023 – są to tzw. well known ports. Przydzielono im konkretne zadania i wiadomo, jakie dane wymieniane są za ich pośrednictwem. Ułatwia to konfigurację programów sieciowych. Dla przykładu: przeglądarka WWW “wie”, że powinna łączyć się z witrynami internetowymi na porcie 80.

Sprawy komplikują się nieco, gdy chodzi o porty o numerach od 1024 do 49 151, ponieważ nie podlegają one standaryzacji. Porty te (nazywane alokowanymi dynamicznie lub prywatnymi) to “drzwi wyjściowe”, z których można korzystać, aby uzyskać dostęp do Sieci. Przez takie furtki przesyłają dane klienty sieci P2P oraz inne aplikacje – na przykład elektroniczni “szpiedzy”. Jeżeli chcemy wiedzieć, kto i z jakiego portu korzysta, możemy sięgnąć po aplikację Active Ports, którą zamieszczamy na CHIP-CD. Program monitoruje ruch sieciowy i pozwala zablokować komunikację na wybranym porcie.

Więcej:bezcatnews
UdostępnijTwitter