Metodologija zaštite operativnog sistema...

1

Metodologija zaštite operativnog sistema...

offline
  • System administrator
  • Pridružio: 19 Jul 2010
  • Poruke: 367
  • Gde živiš: Golubinci

Poštovanje svim kolegama i članovima "Zaštite". Ne brinite, ovo nije još jedna od onih tema "čiji je antivirus jači", samo bih voleo da mnogi od vas definišu i izlože metodologiju, šemu i način zaštite svog operativnog sistema. Svesni smo da se vremena menjaju i ono što je nekada pokrivao antivirus, to je sada i u domenu mnogih drugih namenski kreiranih programa i softvera koji imaju prateću ulogu. Suštinsko pitanje glasi: koje programe za zaštitu koristite, tips and tricks, fina podešavanja sistema, iskustvo itd? Verujem da ćete biti kreativni jer ovde itekako postoje kapaciteti za ovu diskusiju. Ziveli



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Programer
  • Pridružio: 23 Maj 2012
  • Poruke: 4575

Kojih operativnih sistema? Windows-a, GNU/Linux-a, macOS-a, *BSD-a? Ili svih?

Najbolja zaštita si ti sam. Znači instaliranje programa sa pouzdanih izvora i praćenje bezbednosnih ažuriranja. Pored toga koristim Avast, povremeno odradim skeniranje sa Malwarebytes i AdwCleaner.

Na GNU/Linux koristim podrazumevane repoe za instaliranje paketa i povremeno ubacim neki sa strane. Uvek vršim proveru PGP potpisa pri preuzimanju aplikacija iz eksternih izvora.

Na macOS-u je, barem koliko sam čitao do sada, XProtect (ugrađeni zaštitni mehanizam koji postoji od verzije 10.6.7) u većini slučajeva dovoljan (no i macOS je u zadnjih par godina postao češća meta napada nego pre). Međutim, XProtect služi samo za detekciju poznatog malvera za Mac i blokiranje nebezbednih web priključaka (nešto slično SmartScreen mehanizmu na Windows-u) i ne vrši nikakvu heurističku analizu.

Kod XProtect-a postoje dva problema:

Može se zaobići pomoću mrežnog softvera trećeg lica, poput BitTorrent klijenata i Java apleta
Vrši proveru samo za softver preuzet preko mreže, ali ne i sa drugih medija (CD, USB itd).

Izlaskom novih verzija sistema Apple polako izbacuje definicije iz starijih, pa se njihova bezbednost samim tim degradira vremenom, što je razlog više da se koriste novije verzije operativnog sistema.

Od 10.7.5 Apple je ugradio još jedan sloj zaštite, Gatekeeper. On omogućava instaliranje softvera i instalacionih paketa koji su digitalno potpisani od strane programera pomoću sertifikata koji izdaje Apple. Ovo omogućava da autor programa odgovara za distribuiranje malvera. Gatekeeper ne sadrži bazu poznatog malvera, a ima i svoje mane:

Korisnik može lako da ga onemogući (System Preferences > Security > Open kod poslednje aplikacije koja nije pokrenuta).
Napadač može uspostaviti kontrolu nad procesom potpisivanja ili izbeći odgovornost od distribuiranja malvera.

Sa 10.8.3 Apple je uveo i treći sloj zaštite, MRT (Malware Removal Tool). MRT se automatski pokreće u pozadini pri ažuriranju sistema i proverava, a potom i uklanja malver koji je uspeo da prođe kroz druge slojeve zaštite preko Java eksploita (takođe se pokreće pri instaliranju ili ažuriranju Jave koju distribuira Apple, ali ne Oracle verzije).

Problem sa AV softverom je taj što je beskoristan kod zero-day napada (onih koji su do tog trenutka bili nepoznati) pošto za odbranu koristi bazu poznatih. Takođe, AV predstavlja još jednu kariku u lancu koja može biti slaba u određenom trenutku, a neretko se dešavaju i lažne uzbune.

Znam da MCShield (softver koji je kreirao AMF tim našeg foruma za zaštitu od USB malvera) koristi heurističku analizu i zbog toga ne treba ažuriranja. O tome je magna pisao prošle godine.

magna86 ::MCShield nikada nije funkcionisao kao ostali AM programi. U vecini slucajeva, MCS's database su sluzili za whitelisting legit autorun fajlova. Azuriranja naravno jesu pozeljna, uvek, ali MCS onda i danas u ogromnoj meri i dalje funkcionise na svojim heur. i genericni detekcijama i skeniranju. Te rutine prosto pokrivaju svaki poznat vektor napada koji svaki nov ili stari malware mora da koristi.

Negde je verujem vec spomenuto, MCShield koristi AntiAutorun, AntiScript, AntiLNK, par AntiMimics routines, tri AntiReplicator routines, AntiRimecud, AntiEsfury, AntiExeLnk, AntiCryptoLocker (USB based), hashes, general/blended file heuristics, CheckFileSignatures ...
Da, tek na kraju dolazi CheckFileSignatures.
(mozda ima jos neka rutina koju nisam spomenuo, ali verujem da sam sve pomenuo)

https://www.mycity.rs/MyCity-Laboratorija/MCShield-v3_11.html#p1861690



offline
  • Pridružio: 10 Okt 2005
  • Poruke: 13526
  • Gde živiš: Beograd

Na tako ozbiljan naslov ne ide ograničena analiza na temu "Vaš trenutni security setup" ili koji je najbolji antivirus ili komercijalni zaštitni paket (koji će 90% korisnika da preuzme i krekrekuje Mr. Green ).

Najpre treba ustanoviti šta danas sve spada u zaštitu, koje resurse čuvamo i štitimo, kome i kako poveravamo svoje fajlove na Cloudu (koji, podsetiću, nije nikakav paperjasti oblačak na bistrom plavom nebu, nedostupan zlikovcima, već jednostavno neki drugi kompjuter kome poveravate svoje fajlove), koliko vam je komunikacija (mailovi, instant massaging, file sharing) bezbedna i razumna, kako upotrebljavate telefon, koliko često, kako i gde radite backup i koliko često i kako testirate već napravljeni backup, kakva vam je politika kreiranja lozinki i koliko ih često menjate, koje su strukture, kako koristite naloge e-pošte, koje podatke i u kojoj formi i koliko osigurano razmenjujete, da li isti nalog e-pošte koristite i za privatnu i za poslovnu i za forumsku/švalersku/dilersku/anarhističku komunikaciju, i još mnogo toga.

Da ne spominjem aspekte fizičke zaštite: postoje tastature sa keylogerom, neko može da priključi svoju flešku i zarazi,kompromituje ili ošteti vaš OS ili da ukrade vašu flešku i sa nje skine razne fajlove, ili da otvori komp i izvadi hard disk i klonira ga...

Takođe, i socijalni aspekt vrlo je važan: ko ima uvid u vaše lozinke i login podatke, kakve slike i objave šaljete na društvene mreže, da li ostajete ulogovani na Fejs kada pošaljete komp u sleep mode, u kojem folderu i koliko zaštićene krijete one silne poorno slike koje ste skidali već par godina, da li uništavate medije koji vam više ne trebaju (CD i DVD diskove, neispravne fleške i hard diskove, ugovore sa provajderom gde je neko rukom napisao koji je e-mail i pristupna šifra), čije mejlove i attachmente otvarate bez raznišljanja a kod kojih ste oprezniji...

Dakle, pitanje o metodologiji zaštite operativnog sistema mnogo je šire i ozbiljnije od "koje programe za zaštitu koristite, tips and tricks, fina podešavanja sistema, iskustvo".

offline
  • Pridružio: 10 Okt 2005
  • Poruke: 13526
  • Gde živiš: Beograd

Sistem zaštite (operativnog sistema, stambenog prostora, ličnosti...) ne treba bazirati na alatima, programima, alarmima, elektrošokerima, već na protokolima, disciplini, zdravom nivou paranoje, na zdravom razumu i upoznavanju sa opasnostima. Kao što je mnogo puta naglašeno, najslabija (ali i najjača) karika u svakoj bezbednosnoj analizi je korisnik, građanin, operater, dakle čovek. U taj resurs treba najviše ulagati na svaki način, pa i otvaranjem ovakvih tema, pod uslovom da tema ostane ozbiljna i da se razvija u dobrom pravcu.

offline
  • System administrator
  • Pridružio: 19 Jul 2010
  • Poruke: 367
  • Gde živiš: Golubinci

E.L.I.T.E, SlobaBgd, poštovanje. Ziveli
Izvinjavam se zbog površnosti u prvom postu. Tematika koju želim da čujem je usko vezana za klijentske Windows operativne sisteme i rad sa njima. Analiza poslovnog okruženja je nešto što je abnormalno kompleksan pojam i sadržaj, tako da taj aspekt ne bih analizirao uzimajući u obzir složenost i topologiju mreža, računarskih i informacionih sistema na nivou jedne veće organizacije. Ne podcenjujem nikog, ali to je pojam koji bi jako mali broj članova na forumu razumeo i upustio se u dublju diskusiju. Baveći se ovim poslom, svakako sam došao do zaključka da je čovek faktor broj jedan u ovoj priči i da je softver za zaštitu samo tanak list jedne debele knjige, taj deo se podrazumeva i toga sam već duže vreme svestan.

Dakle, voleo bih da razmotrimo opcije zaštite klijentskog Windows operativnog sistema sa nekog neutralnog, univerzalnog stanovišta, bilo da je kućni računar za zabavu, posao ili nešto treće. Koje procedure sprovodite kako bi sistem bio što dugotrajniji i zaštićeniji? Računajmo na to da se radi o prosečnom korisniku. Ovo je svakako posao gde ne postoji univerzalni kodeks ponašanja u radu bilo koga od nas, svako ima neki svoj recept koji mu odgovora i baš zbog te diferentnosti želim da čujem mišljenje drugih kolega.

offline
  • _Sale  Male
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 13411
  • Gde živiš: Z-moon

Bravo za temu.

Korisnik kao što sam ja, sistem štiti na sledeći način:

Arrow imam više od 90% legalnih programa, uključujući Windows (Full Office, Total Commander, ESET AV, Photoshop Elements, Acronis True Image), preostalih 10% ću kupiti ove godine.
- Prednost ovog pristupa: nemam potrebe za zaobilaznim načinima registracije koji oduzimaju vreme i potencijalno mogu naneti štetu.

Arrow ne koristim CryptoPrevent (imam ga u sistemu, ali je podešen da ne bude aktivan)
- uključujem ga samo kada se radi o nekoj globalnoj frci, razlog je malo niže u postu;

Arrow u laptopu se nalazi samo SSD 128 GB sa sistemom, potrebnim aplikacijama i dnevno potrebnim fajlovima
Sve bitne podatke čuvam na dva eksterna HDD-a (1 TB i 300 GB, ovaj drugi ima samo fotografije) i jednom SSD od 128 GB (slika sistema, jednom mesečno), eksterni diskovi se kače na laptop samo kada ima potrebe za tim;

Arrow redovan backup celog sistema, posle svake bitne instalacije (uz pomoć Acronis True Image na HDD od 1TB)
- čuvam samo dva poslednja bekapa, okvirno - jednom u dve nedelje napravim bekap

Arrow Koristim samo sistemski e-mail klijent, Mail za W10
- Outlook ne volim da koristim, iako sa njim drugujem na poslu i imam ga instaliranog.

Arrow nadogradnja i ispravka sistema je uključena sve vreme, svi ostali programi takođe primaju redovne nadogradnje i ispravke;
Ovde nema kompromisa.

Arrow veoma retko dobijam mejlove od nepoznatih osoba ili sumnjivog sadržaja. Tada obavezno koristim priliku i otvaram mejl i pripadajući attachment, u svrhu testiranja AV (ovde postaje bitno uključivanje CryptoPrevent) i celokupne ranjivosti sistema cap cap
- samo sam jednom davno imao problem (na XP) koji mi je uništio sistem, ali ne i bitne dokumente.

Arrow nemam šifru za prijavu (u stvari, automatski se prijavljujem prethodno unetom šifrom), ali je sistem podešen da posle "buđenja" traži šifru.
- uključena je opcija lociranja uređaja, ali sad ne mogu da se setim da li sam uz Windows praćenje uključio i ASUS praćenje lokacije.

Dakle, ništa specijalno Mr. Green
Moja filozofija je da imam uredan bekap, i da je aktivni sistem potrošna roba Very Happy

offline
  • knell  Male
  • Zaslužni građanin
  • Pridružio: 25 Feb 2008
  • Poruke: 634
  • Gde živiš: Basin City

Evo i mog skormnog pisanija.
Kuci posedujem racunar i 3 laptopa svuda su win 10 osim na jednom na kome je instaliran Debian + PIXEL. AV i firewall resenja ne koristim pocev od izlaska win 10. Nikad nisam imao problema sa stetocinama. Cak i laptop koji koristi cerka i moja lepsa polovina do sada nije se "nakasljao". To je verovatno zbog kulture ponasanja na internetu. Koriste se free alternative ili paid onamo gde ne postoji dostojna free zamena. Svoj posao ne donosim kuci da napomenem ono sto je vredno na mojim hdd i ssd diskovima su fotografije i video snimci koji se po defaultu dizu (automatizovani procesi) u cloud servise tako da i ako neki hdd ode u vecna lovista nece biti nikakve stete. Koristim gmail u privatnoj prepisci vec nekih 15 godina i nikad nisam dobio maliciozni mejl.
Na poslu je to mnogo ozbiljnije. Postoji privatni odnosno zakupljeni link (ovo je moj amaterski jezik) gde se nalaze svi umrezeni racunari i izlazi ka internetu. Sav sadrzaj se filtrira kako onaj koji dolazi spolja tako i onaj koji pokusava da izadje. Istoj mrezi se ne moze pristupiti ukoliko se ne nalazite u istoj odnosno njenim sadrzajima info stranicama i gomilu drugih stvari. Sve to se odrzava negde na "spratu" gde postoje geekovi od kojih cesto dobijem mejl sledece sadrzine ukoliko je sumnjiv "attch je zadrzan i posle provere bice prosledjen" ili slicno. Isti ti ljudi rade redovne dnevne nedeljne i mesecne bekapove i primorani smo da lozinke na raznoraznim servisima menjamo nedeljno, ali covek na to navikne. Postoje evidencije odredjenih sajtova koji verovatno imaju neki malwere i istima se ne moze pristupiti (isti se azuriraju konstantno) odnosno ukoliko morate trazi se posebna dozvola i istima se pristupa nakon odredjenih prepravki koji prethodno geekovi odrade na vasem PC -ju. Koristi se ESET verzija za kompanije i iako znam da je bilo bezbrojnih pokusaja upada u mrezu do sada ista je sa uspehom odolevala. Postoje stalne obuke vezano za racunarsku zastitu i na zadnjoj je prikazan mejl koji je presretnut onaj u kome je "neki" izvrsitelj iz Novog Sada trazio naplatu potrazivanja, a u samom mejlu je bio ransomware koji je tog dana kruzio u Srbiji i znam da su neke drzavne institucije "obolele". Eto ovo je iskustvo obicnog korisnika.
Zaboravio sam da napomenem flesove ne mozete da koristite niti diskove. Ukoliko imate potrebe za istima dobijate sluzbene fleske i samo iste mozete da ubodete u racunar, druge je nemoguce registrovati bez pomoci onih ljudi sa sprata Very Happy. Takodje isti ne mozete izneti iz zgrade odnosno prikljuciti na neki drugi racunar.

offline
  • Programer
  • Pridružio: 23 Maj 2012
  • Poruke: 4575

Sloba je izneo malo širi pogled na celu stvar (što se i meni više dopada nego ograničavanje na jedan OS ili uopšte samo na zaštitu operativnog sistema). Tako mnogi GNU/Linux i macOS korisnici žive u zabludi kako su potpuno bezbedni od pretnji Smile

Što se tiče lozinki, koristim KeePassX. Baza sa svim lozinkama je redovno ažurirana i nalazi se na nekoliko cloud provajdera (Google Drive, Dropbox, MEGA), i na fizičkim uređajima (telefonu i na MacBook-u). Tako da su šanse da lozinke nestanu vrlo male, a u slučaju da jednog dana neko uspe da provali AES ili Twofish enkripciju (što je vrlo moguće kada krene ekspanzija kvantnih računara), mogu lako da ih povučem sa servisa.

Ne radim backup sistema jer ništa što je bitno ne čuvam na njemu.

offline
  • _Sale  Male
  • Prijatelj foruma
  • Pridružio: 30 Jul 2010
  • Poruke: 13411
  • Gde živiš: Z-moon

Download, instalacija i podešavanje sistema i svih aplikacija koje koristim zahteva previše vremena, koje ja sebi ne mogu priuštiti.
Umesto toga, za oko 45 minuta imam ponovo aktivan i podešen sistem, sa sve relativno aktuelnom istorijom pretrage u pretraživaču i svim lozinkama.
Dakle, faktor vreme je takođe jako bitan, a time i dodatno obesmišljavam bilo kakvu ozbiljnu pretnju po računar.

offline
  • Programer
  • Pridružio: 23 Maj 2012
  • Poruke: 4575

To je razumljivo. Ja koristim Ninite kod sveže instaliranih sistema tako da mi treba manje od 10 minuta da instaliram sve potrebne programe. Pošto mi je Chrome sinhronizovan, sva istorija i bookmark-ovi su tu čim se prijavim. Za ostalo koristim Windows 10 sinhronizaciju.

Ko je trenutno na forumu
 

Ukupno su 1019 korisnika na forumu :: 24 registrovanih, 5 sakrivenih i 990 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: babaroga, Ben Roj, DPera, drimer, Duh sa sekirom, esx66, Frunze, ILGromovnik, jukeboxer, Kibice, kunktator, loon123, marsovac 2, mean_machine, mikrimaus, mile33, MILO-VAN, Milos ZA, NMNJ, novator, ruma, savaskytec, suton, voja64