Reanimacja zabezpieczeń

Microsoft zakończył 8 kwietnia 2014 r. wsparcie dla jednego ze swoich najlepszych systemów operacyjnych – Windows XP SP3. To znaczy, że odtąd każda nowo wykryta luka będzie zagrożeniem dla systemu. Na razie nie ma jednak powodów do paniki. Problem zacznie się pojawiać za pół roku, może rok. Z czasem, gdy liczba zidentyfikowanych luk będzie przyrastała, ryzyko będzie się potęgować. Paradoksalnie, przyczyną stale rosnącego zagrożenia będą nie tylko hakerzy, ale także sam producent oprogramowania.

Jedną z popularnych technik hakerskich jest dekompilacja aktualizacji w celu zidentyfikowania luki w zabezpieczeniach, którą łatają. Tę wiedzę można wykorzystać nie tylko do ataku na tych użytkowników, którzy nie zainstalowali aktualizacji, ale także do łamania zabezpieczeń starszych, nieaktualizowanych już wersji programu. Ten problem dotyczy teraz także Windows XP. Aż w ⅔ przypadków luki łatane w Windows 7 i Windows 8 są także obecne w Windows XP. W związku z tym każdy patch dla nowych okienek stworzy kolejne potencjalne zagrożenie dla starych.

W przypadku użytkowników indywidualnych liczba maszyn z Windows XP to około 20 proc. pecetów. W Polsce, według serwisu Ranking.pl, Windows XP w chwili pisania artykułu działa aż u 22 proc. internautów. W niektórych krajach azjatyckich, np. w Chinach, udział systemu Windows XP jest znacznie większy i sięga aż 50 proc. To znaczy, że na starych okienkach pracują setki milionów pecetów na całym świecie. U klientów korporacyjnych na 10–15 proc. komputerów wciąż działa Windows XP. Z tego względu wiele dużych firm i instytucji decyduje się na wykupienie dodatkowego okresu wsparcia, za 200 dol./PC za rok. Ta usługa nie jest jednak dostępna dla klientów indywidualnych i małych firm.

Na szczęście istnieje wiele sposobów, które pozwalają podnieść bezpieczeństwo systemu i częściowo zniwelować zagrożenia płynące z braku aktualizacji.

W przeciwieństwie do nowszych systemów operacyjnych Microsoftu Windows XP domyślnie konfiguruje użytkownikowi konto z uprawnieniami administratora. Tymczasem korzystanie na co dzień z konta z pełnymi uprawnieniami nie jest specjalnie dobrym pomysłem. Dlatego, jeśli nie zrobiłeś tego do tej pory, utwórz sobie w Panelu sterowania nowe konto standardowego użytkownika, w szczególności do korzystania z internetu i uruchamiania aplikacji, które pobierają dane z sieci (np. P2P). Do pewnego stopnia utrudni to skuteczny atak w celu przejęcia uprawnień administracyjnych nad maszyną, co jest niezbędne do zainstalowania w systemie np. ukrytego trojana. Przejęcie kontroli nad kontem użytkownika nie skutkuje tak groźnymi konsekwencjami.

Ostatnią wersją Internet Explorera zgodną z Windows XP jest bardzo już wiekowa wersja 8. Biorąc pod uwagę, że przeglądarki internetowe to oprogramowanie najbardziej narażone na ataki, w pierwszej kolejności trzeba zainstalować alternatywną przeglądarkę.

Windows XP jest wciąż obsługiwany przez najnowszą wersję Google Chrome, a firma obiecuje wsparcie dla systemu przynajmniej do kwietnia 2015 roku. Także najnowszy Firefox bez problemu współpracuje ze starym systemem. Biorąc pod uwagę fakt, że Firefox radzi sobie lepiej na starszych komputerach z mniejszą ilością pamięci operacyjnej, będzie to najlepszy wybór.

Kurczowe trzymanie się Windows XP na dłuższą metę będzie niewykonalne. Z czasem system będzie coraz bardziej dziurawy i zapewne wykryte zostaną luki, których nie da się kontrolować za pomocą metod opisanych w tym artykule. Dlatego niezależnie od zabezpieczania starego systemu trzeba myśleć nad nowym. Oczywistym wyborem dla wiernego fana Windows XP będzie Windows 7. System ten w wersji Windows 7 Home Premium OEM kosztuje ok. 330 zł. Niestety Siódemka ma dużo wyższe wymagania sprzętowe niż XP. Wersja 64-bitowa wymaga minimum 2 GB RAM, a w praktyce 4 GB RAM i dodatkowo dwurdzeniowego procesora. Starsze pecety, w szczególności notebooki z ograniczonymi możliwościami rozbudowy, mogą temu nie sprostać. Wówczas można pomyśleć o alternatywnym systemie, bazującym na jądrze Linuksa. Dobrym wyborem jest Lubuntu, wersja Ubuntu, najpopularniejszej dystrybucji do zastosowań desktopowych, która bazuje na lekkim środowisku graficznym LXDE. Dzięki tej modyfikacji system działa na 256 MB RAM, a jednocześnie pozwala na korzystanie z najnowszego oprogramowania: przeglądarki Google Chrome, Firefoks czy LibreOffice. System jest stale aktualizowany pod kątem zabezpieczeń i otrzymuje systematycznie nowe sterowniki urządzeń, które dla Windows XP nie są już opracowywane.

Zamiast wbudowanego w system Outlook Expressa, który jest przestarzały i od dawna nieaktualizowany, najlepiej użyć renomowanego klienta poczty działającego w chmurze, takiego jak: Gmail, Yahoo czy Outlook, który pozwoli na korzystanie z poczty bez pobierania jej na dysk. Biorąc pod uwagę, że szkodniki są często rozsyłane w spamie, który jest skutecznie filtrowany przez te usługi, takie rozwiązanie blokuje jeden z potencjalnych wektorów ataku.

Gdy korzystasz z poczty firmowej oferowanej przez dostawcę usług internetowych, często musisz pobierać e-maile do klienta pocztowego. W tym wypadku także warto posłużyć się klientem on-line. Dobrze działającą funkcję ściągania poczty z zewnętrznych serwerów ma np. Gmail. Jeśli najpierw pobierzesz pocztę do klienta on-line, będzie ona przeskanowana pod kątem wirusów i spamu, tak jak e-maile przychodzące bezpośrednio z internetu. Po przeskanowaniu możesz ściągnąć wiadomości do komputera. Najlepiej zrobić to za pośrednictwem protokołu IMAP pozwalającego wybrać e-maile, które mają zostać pobrane na dysk. Pozwala to uniknąć kontaktu z zawartością podejrzanych wiadomości, które przedarły się przez zabezpieczenia usługodawcy.

Jeśli nie potrafisz żyć bez desktopowego klienta pocztowego, ściągaj pocztę za pomocą aplikacji, która jest systematycznie aktualizowana, np. za pomocą bezpłatnego programu Mozilla Thunderbird (aplikację można pobrać z serwisu PC Format Programy) lub Outlooka, jeśli masz dostęp do tego programu w ramach subskrypcji Office 365.

Choć Microsoft podkreśla, że program antywirusowy nie zastąpi regularnych łatek likwidujących znalezione luki w zabezpieczeniach, to z pewnością jest w stanie zablokować dużą część wirusów i trojanów, które będą próbowały przeniknąć do systemu operacyjnego za pośrednictwem niezałatanych luk. Choć bezpłatny antywirus Microsoftu – Security Essentials – będzie wciąż otrzymywał zaktualizowane bazy sygnatur wirusów jeszcze przez rok po zakończeniu wsparcia dla Windows XP, lepiej zastąpić go skuteczniejszym skanerem pochodzącym od wyspecjalizowanego producenta oprogramowania zabezpieczającego. W większości wypadków producenci oprogramowania zabezpieczającego będą wspierać Windows XP przynajmniej przez kolejne dwa lata.

W przypadku bezpłatnego antywirusa Avira Free, który wyróżnia się dużą skutecznością i jest popularnym, darmowym zamiennikiem programu Security Essentials, zapowiadane wsparcie dla Windows XP zakończy się w kwietniu 2015 roku. Z kolei inny popularny i darmowy program antywirusowy, AVG Free (aplikację można pobrać z serwisu PC Format Programy), zapewnia wsparcie dla Windows XP aż do wiosny 2016 roku. Polecamy też korzystanie z często pojawiających się na łamach PC Formatu pełnych wersji programów antywirusowych.

Choć system Windows XP ma wbudowaną zaporę ogniową, która zabezpiecza przed bezpośrednimi atakami z internetu za pośrednictwem portów TCP/UDP, to jeśli zostaną w niej odkryte luki pozwalające na obejście zabezpieczeń, oprogramowanie przestanie spełniać swoją rolę. Dlatego, by poprawić bezpieczeństwo Windows XP, bezwzględnie trzeba zainstalować inny firewall, który będzie otrzymywał poprawki bezpieczeństwa.

W komputerach domowych doskonale sprawdzą się bezpłatne rozwiązania, jak np. ZoneAlarm Free Firewall (aplikację można pobrać z serwisu PC Format Programy) czy Comodo Personal Firewall. Pracując na Windows XP, warto także unikać podłączania komputera bezpośrednio do internetu. Nawet tani router sieci domowej, oczywiście ze zaktualizowanym firmware’em, będzie dodatkowym zabezpieczeniem przed bezpośrednim atakiem z internetu.

Nie jest tajemnicą, że ulubioną przez hakerów drogą ataku na środowisko Windows jest przełamywanie zabezpieczeń powszechnie instalowanych pluginów do przeglądarek, które są znacznie gorzej zabezpieczone niż sama przeglądarka i system operacyjny. Pierwsze miejsca na hakerskiej liście zajmują w kolejności alfabetycznej: Adobe Reader, Flash i Java. Niezałatane zabezpieczenia w Windows XP mogą potęgować zagrożenie związane z tymi aplikacjami. Dlatego lepiej pozbyć się ich z systemu i próbować korzystać z alternatywnego oprogramowania.

Jest to możliwe np. w przypadku przeglądarek plików PDF (np. Foxit Reader - możesz go pobrać z serwisu PC Format Programy), z kolei Flash w najbardziej popularnym zastosowaniu, czyli odtwarzacza wideo na stronach WWW, jest w razie braku pluginu coraz częściej automatycznie zastępowany odtwarzaczem HTML5, renderowanym przez przeglądarkę internetową. Skasowanie Javy nie jest wielkim problemem, gdyż używa jej tylko 0,2 proc. witryn internetowych. Warto także przyjrzeć się krytycznie dodatkom do przeglądarki i usunąć z nich jak najwięcej groźnych pluginów.

Kolejnym sposobem na zwiększenie bezpieczeństwa Windows XP jest unikanie domen, które rozsiewają szkodliwy kod. Są to zazwyczaj słabo zabezpieczone witryny na nieaktualizowanych CMS-ach, w których hakerzy dzięki znanym lukom zdołali przejąć uprawnienia administracyjne i zamienić treść plików HTML. Oczywiście na pierwszy rzut oka nie widać, czy strona została zhakowana. Można to natomiast wykryć na podstawie tzw. czarnych list, do których dodawane są zidentyfikowane zainfekowane hosty. Aby skorzystać z tych list, można np. użyć wyspecjalizowanej usługi DNS, która podczas tłumaczenia nazw domen na adresy IP odcina dostęp do niebezpiecznych stron.

Za darmo taką usługę oferuje m.in. serwis OpenDNS. Instalacje własnych, zabezpieczonych DNS-ów oferują często także aplikacje typu internet security oraz zapory ogniowe, jak np. opisany wcześniej Comodo Personal Firewall. Filtrowanie groźnych witryn na podstawie czarnych list jest także jedną z funkcji wspomnianych wcześniej pakietów typu internet security, dlatego jeśli używasz tego oprogramowania, nie musisz korzystać ze sztuczki z DNS-ami.

Jeśli bezpieczeństwo maszyny z Windows XP jest priorytetem, ze względu na wrażliwe informacje czy krytyczne aplikacje (np. księgowość), które na niej działają, opisane wcześniej sposoby mogą nie wystarczać, bo nie są w stanie w pełni zastąpić systematycznego łatania wykrytych luk w zabezpieczeniach. Dlatego, jeśli nie ma możliwości przeniesienia środowiska na nowszy system, można komputer odciąć od internetu. Biorąc pod uwagę, że przytłaczająca większość ataków odbywa się właśnie tą drogą, trzymanie komputera off-line zapewnia wysoki poziom bezpieczeństwa. Oczywiście nie można zapominać w tej sytuacji o fizycznym zabezpieczeniu maszyny, bo gdy złodziej czy haker mają bezpośredni dostęp do portów, nie zatrzymają go żadne informatyczne zabezpieczenia.

Dla tych, którzy używają aplikacji działających wyłącznie z Windows XP, wyjściem z sytuacji może być także przeniesienie systemu do środowiska wirtualnego, np. do darmowego programu VirtualBox, który radzi sobie świetnie we wszystkich zastosowaniach, wyjąwszy nowe gry 3D. Maszyna wirtualna zapewnia izolację systemu Windows XP, dzięki czemu, nawet jeśli dojdzie do infekcji, pozostanie ona ograniczona do wirtualnego środowiska. Maszynę wirtualną można skopiować i w razie potrzeby przywrócić, co pozwoli łatwiej usunąć ewentualne szkody.

Używając Linuksa jako systemu gospodarza, można także pomyśleć o przechowywaniu danych w systemie plików Linuksa i udostępnianiu ich systemowi Windows za pośrednictwem mechanizmu dysku sieciowego. Wówczas uszkodzenie systemu wirtualnego z aplikacjami nie będzie pociągało za sobą poważniejszych konsekwencji.

Warto podkreślić, że kopia systemu ze starego komputera będzie działała na nowym, wydajniejszym sprzęcie dużo szybciej mimo zastosowania wirtualizacji. Szczegółowe instrukcje o wirtualizowaniu Windows można znaleźć na stronie http://pcformat.pl/u/890.