WannaCry, Petya i ostali rensomveri su napravili veliku čarlamu na globalnom nivou, milijarde dolara štete i uvek kad se tako nešto pročuje krene se sa „Kako zaštiti kompjuter“ filozofijama, pa bih evo, da ovde postavim svojevrsnu azbuku zaštite nazvanu „7 Kompjuteraških zapovesti“ za ove i sve buduće globalne i lokalne napade, u vedu eto neke moje preporuke za koju smatram da je standard na polju zaštite od malvera a naravno, ako se u međuvremenu pojavi još nešto bitno dopuniću tekst.

Namerno sam napisao branite a ne odbranite jer stoprocentna odbrana kompjutera koji je uključen ne postoji ali vi bar uradite sve što je u vašoj moći da do infekcije ne dođe – a to što je u vašoj moći, ja ću na upravo ovoj ovde stranici izlistati, tako da je računajte kao neku azbuku bezbedonosnih postavki kompjutera pod Windowsom. Ovde pričamo u kućnim korisnicima…poslovni imaju sysadmine koji se brinu o WSUS-ovima, polisama, ruterima, edukacijom zaposlenih o pretnjama i slično ali bi trebalo svakako da bude standard kad je prevencija i zaštita u pitanju.

Naravno, pomenuću u startu i Linux ali se neću u tekstu baviti njime jer budimo realni – Windowsaše ni bog ne može naterati da koriste Linux dok Linuksaši već koriste Linux. Linux sam po sebi nije neuništiv i neprobojan ali trenutno nije zanimljiv napadačima jer ga koristi dosta mali broj PC korisnika ali i dosta veliki broj servera – a opet, na serverima se o Linuxima brinu obučena i informatički obrazovana lica plus se oni obično nalaze iza raznih firewallova, dodatnih zaštita i čuda pa je opet i to jedan vid odgovaranja od napada ali ne i izazov napadačima, ali otom – potom, za sad, pričamo o Windowsu.

Ovim što ću ovde napisati kontaću da nisu svi informatički pismeni (pročitajte zašto se neko i sa naboljim antivirusom zarazi a neko sa nikakvim ne ovde) pa ću ići sa najsitinijim stvarima na koje će iskusniji korisnici kotrljati očima kao da su na lotou, ali šta da se radi a opet, neću ići u sitna crevca i podešavanja jer bi to bio tekst level Rat i mir. Biću slobodan da nazovem ova pravila „7 Kompjuteraških zapovesti“ i neće biti privacy stvari tipa „šifruj particiju“ već je orjentir isključivo zaštita od ulaska malvera u’kuću.

Zapovest 1:
NE BUDI GLUP

Najbitnije pravilo! Izvinjavam se što ovako vređam ali ne znam kako bih nazvao korisnika koji klikne na baner u kome piše nešto tipa „Vi ste milioniti posetilac i osvojili ste 5 miliona dolara“. Ne treba čovek da bude haker da bi znao da će dobiti đoku ako nije u nečemu učestvovao ili nešto ranije uplatio u nekoj nagradnoj igri – kao što veli ona poslovica „Ni kod babe nema džabe“ i njen nastavak „Аko i ima, baba triper poklanja svima“. Isto tako ni komšinica Jelena koja je na 2.6km od tebe neće da se jebe sa tobom niti je izašao novi porno video Kim Kardašijan click here a bogami ni taj link od porno snimka tvoje FB prijateljice koji si dobio na četu ili te neko tagovao – ti neće dati ono što tražiš.

Tu su i standardne prevare za koje čovek ne mora da bude glup već samo pošten (i brzoplet) i na koje padaju ipak i oni malo informatički pismeniji ne samo ‘ovi glupi’. Banka recimo, nikad vam neće slati mail da potvrdite svoj nalog klikom na neki link, ali opet vi ćete se uplašiti da će vam neko maznuti teško zarađene pare sa računa, ruka će zadrhtati i vi ćete kliknuti na link, instaliati nešto što vam je ‘banka’ preporučila i pokrenuti zabavu.

Svaki link ili fajl koji vam stigne na chat, Skype, Viber, WhatsApp, mail ili gde god – računajte kao potencionalnu pretnju ako dolazi od bilo koga koga nepoznajete a čak i ako dolazi od nekoga koga poznajete otvorite 5 očiju pre neko što klikneta na njega – jer možda je i njegov nalog kompromitovan. Ako je u pitanju browser pogledajte pre klika gde taj link vodi, recimo evo primera lažnog očiglednog linka u Firefoxu:

Ako je neko od vaših poznanika počeo da se ponaša čudno u e-komunikaciji, tipa – odjednom počeo da vam persira ili da piše na engleskom jeziku – palite žutu lampicu…ako vam šalje linkove ili fajlove – palite crvenu. Da ne gnjavim mnogo, svi linkovi su potencionalna pretnja i pre klika bacite krajičkom oka dole u browser gde zaista vodi link koji ste kliknuli, to vam je pola sekunde. Sam klik na link u velikom broju slučajeva nije maliciozan ali će vas odvesti na neku fišing strnicu koja ‘deluje ko original’ gde će se od vas tražiti da instalirate ovo-ili-ono ili da popunite ovo-ili-ono ili da jednostavno skinete nešto i kliknete 2x na to nešto.

Kao i kad pričate svojoj deci: ‘Ne razgovaraj sa nepoznatim ljudima’ a ja vam velim’Ne klikćite ni na šta što dobijate od nepoznatih ljudi

Ako baš morate da posećujete sumnjive sajtove tipa torenti, krekovi, pornići i slično, da se ne ponavljam – pregledajte ono napisano u tekstu koji sam napisao ranije „Porno sajtovi i kako se zaštititi dok gledate porniće na internetu“ gde sam pisao o posetama porno sajtovima jer su oni ubedljivo najposećeniji na internetu (tj nisu, to niko ne gleda) ali se isto može primeniti i na ostale sumnjive sajtove gde može vrebati bazuka uperena u vaš hard disk ali čak i na regularne sajtove koje je neko pametniji kompromitovao.

Koliko dugo pratim kako ljudi navlače zaraze, pa mislim da je 90% svih zaraza došlo klikom na nešto što ne treba ili instalacijom nečega što nije trebalo. Ostalih 10% su stvari poput nezakrpljenih browsera, krekovanih i neažuriranih Windowsa. Jednostavno shvatite, luda su vremena došla, svaki dobijeni link i svaki dobijeni izvršni fajl su moguća infekcija.

I još jedna je stvar, kad već pominjemo luda vremena da vam dočaram koliko su zaista luda: Ako vam dođe mail sa legitimne adrese, recimo banka.rs – opet ni to ne mora da znači da je mail legitiman. Kako to?
banka.rs i bаnka.rs – možete gledati koliko želite…nisu isti domeni. Ovaj drugi domen – ima jedno slovo a koje je ćirilično (a ćirilično i latinično a su ista slova ‘na oko’) – a ćirilična slova je moguće registrovati. Više o ovom problemu ovde gde je problem opisan na nivou domena Apple-a gde recimo domen www.xn--80ak6aa92e.com neki browseri otvaraju kao apple.com a neki kako treba a sve zato što je slovo l u domenu neko kinesko.

Zapovest 2
OBEZBEDI WINDOWS

Windows bi trebalo da bude prepečovan Windows ažuriranjima i o tome svi živi (s razlogom) drve i to je OK u praksi i na papiru i po diflutlu bi trebalo da je tako…ali u zavisnosti od hardvera do hardvera Windows Update ume da pojebe sistem katastrofa…primera radi na mom laptopu ne smem da postavim automatska ažuriranja – dva puta sam to radio i dva puta me dočekao neupotrebljiv Windows koji je samo system image napravljen ranije mogao da ispegla – a radi se o legalnom Windowsu – ništa Dorćol Edition. Znam za nekoliko korisnika kojima se Windows Update pošibao sa Fortinet VPN klijentom što je rezultiralo BSoD-om i jebavanjem sa njegovim oporavljanjem. Ali napominjem – to ima problem na jednom (Lenovo) od dva moja laptopa (da Windows update ubije laptop) i na 3-4 laptopa (isto Lenovo) na kojima je bio Fortinet VPN klijent – velika većina kompjutera nema taj problem. Moj privatni laptop (Asus) nema nikakve probleme sa Windows Update i automatskim ažuriranjima.

Rešenje u situaciji kad znate da Windows Update hoće da napravi problem, tj ako spadate u grupu od 5% nas problematičnih, jeste da se postavi Windows Update da se može pokrenuti samo ručno, pa napravite image sistema Acronisom ili CloneZillom (opisano ovde kako) i za to vam treba oko 15 minuta (ako ste postavili da vam svi korisnički fajlovi budu na drugoj particiji a da particija C bude isključivo rezervisana za sistem i programe) pa onda pokrenete Windows Update ručno….i ako sve radi kako treba i posle nedelju dana – možete da obrišete taj image. Napominjem, ovo važi za manjinu koja zna da ima ovaj problem.

Da, zbog lakšeg pravljenja system image-a, idealno je da imate bar 2 particije…jedne na kojoj su samo sistemske stvari (Windows, instalirani programi…) i drugu na kojoj su korisnički fajlovi. Desktop, MyDocuments i ostale default korisničke foldere možete lako premestiti na tu drugu particiju u 3-4 klika. Dakle jedna strogo sistemska particija i jedna strogo korisnička – a system image pravite samo nad sistemskom particijom koja će biti dosta manja (jer nema filmova, muzike, fotografija i ostalih bilion korisničkih fajlova)….tako da i kad uradite restore podataka – sve što je bilo recimo na Desktopu biće i dalje tu…samo što će Windows i instalirane stvari biti vraćene na datum pravljenja sistem imagea.

…ako ne potpadate pod nas problematične, tj ako ste u 95% ovih ostalih, samo uključite Windows Update i bole vas ćoše.

Problem 2 su piratski krekovani Windowsi kojih ima mnogo više od ovih legalnih a na kojima ne sme da se aktivira Windows Update bilo kako bilo jer će zajebati aktivaciju. Rešenje za te korisnike je da koriste alat unutar 360 Total Security-ja imena „Patch UP“ koji će poskidati te kritične apdejte od kojih ‘život zavisi’ i samo njih instalirati (više o njemu ovde). Iako mi niko od korisnika sa krekovanim Windowsom nije prijavio problem sa ovim alatom imajte u vidu da se ovakvo ažuriranje radi van standarda i alatom treće strane – tako da može zeznuti aktivaciju. Velim – još nisam naleteo da mi je neko prijavio problem sa ovim alatom.

Druga stvar koja je dobra a smara ljude je takozvani UAC iliti User Access Control ili ti Kontrola Korisničkog naloga koji ne može da zaustavi instalaciju malvera ali može da vam izbaci obaveštenje da ‘nešto hoće da se instalira – da li dozvoljavaš to?“. UAC obično svi isključuju jer svaku instalaciju bilo čega izleti prozor koji pita „Esi siguran da želiš ovo da instaliraš/pokreneš“ uključujuši i pokretanje standardnih Windows stvari kojima se može uticati na sistem (regedit, Control Panel, gpedit i ostalo). UAC je obično i prva meta koju malver pokušava da ugasi ali pretpostavljam da baš ni Microsoft ne sedi skrštenih ruku.

Windows podzapovest: Izbegavaj administratorske privilegije na Windowsu za korisnika

Svi kućni korisnici, ali komplet svi do jednog su na Windows prijavljeni pod administratorskim privilegijama a i sam Windows po instalaciji korisniku daje pune privilegije, korisnika obično boli uvo i to tako ostane. Na Linuxu recimo, koji je bogotac po instalaciji korisnik nema nikakve privilegije sem da koristi programe koji su instalirani uz sistem, da upravlja podacima unutar svog profila na sistemu, da tumara po folderima na kojima mu je izričito dozvoljeno da švrlja (tipa /tmp) i slično…a sve fensi i sistemsko tipa instalacija/deinstalacija novih programa, podešavanje mreže i slično – mora da pokrene pod root ili sudoers korisnikom koji ima full privilegije za sve i da zna njegovu šifru.

Dakle idealno je da imate jednog administrator korisnika zaštićenog dovoljno bezbednom šifrom (ajd, ne mora baš šifra tipa NJhb639uBzfvOIfuhs ali može recimo prvaljubav1995) i jednog vašeg profila koji će biti ili standard ili guest profil. Guest profil na Windowsu je profil koji nema skoro pa nikakve privilegije i ja kad instaliram Windowse kućnim korisnicima ili korisnicima koji nisu informatički pismeni, posle instalacije drajvera i programa i podešavanja Windowsa obično postavim da budu pod guest profilom – ali im naravno kažem i administratorsku lozinku, za slučaj da zatreba instalacija nečega ili za podešavanje mreže.

Ako vam je Guest suviše naporan – budite makar Standard User koji ima dosta šire privilegije ali nije administrator na sistemu.

Zapovest 3
ZAŠTITI BROWSER

Browser je prvi na udaru na internetu, možda neko zarazi legitiman sajt malverom koji će koristeći neku rupu na nivou browsera da vam nametne ransomware ili neku drugu napast. Mnogi proizvođači browsera recimo jednom godišnje organizuju za razne hakere takmičenje u hakovanju browsera uz veliki nagradni fond za svaku rupu na koju se naleti.

Browser uvek treba da je na poslednjoj verziji ali to je OK jer Firefox, Chrome a mislim i Opera imaju servise koji rade u pozadini i proveravaju da li postoje novije verzije browsera te ako postoje iste skidaju i instaliraju automatski – vama se samo pojavi ona poruka da restartujete browser i tu se priča završava ali ipak s vremena na vreme proverite vi ipak ručno da nema novije verzije – i to možete unutar samog browsera u About sekciji (na Firefoxu recimo klik na sendvič meni, klik na znak upita, klik na ‘About Firefox’).

Stvar dva koju ja primenjujem a preporučujem i vama – jeste korišćenje Firefoxa i instalacija dva dodatka njemu imena NoScript Security Suite i uBlock Origin – prvi zabranjuje sve skripte sa sajtova koje posećujete (osim one koje vi omogućite ručno, tipa Facebook skripte i slično), drugi blokira oglase. Ovaj prvi plugin ume malo da smara pošto morate jedno po jedno blokirano da vajtlistujete – ali kad jednom to uradite…mirni ste što se tog sajta tiče a ovaj drugi samo ćuti i radi, nije potrebna nikakva dodatna intervencija.

Oglasi sami po sebi obično nisu maliciozni ali su nešto što se plasira posetiocu sa neke druge lokacije ili servera – što je regularno (Google AdSense, eTarget i slični servisi) i na poznatim sajtovima ih obično omogućavam (tj vajtlistujem) kao neki vid podrške radu sajta ali ako odete na neki nepoznatiji ili sumnjiviji sajt moguće da će neko kroz oglas plasirati nešto što je maliciozno, ili direktno ili indirektno pa makar to bila reklama za dating čiji klik vas vodi na malicioznu stranicu gde možete da se zarazite triperom – što se PC-ja tiče…ako me razumete. Ne znam da li postoji slično na Google Chrome browseru.

Zapovest 4
ANTIVIRUS ZAŠTITA

Javiće se bogaoca ljudi koji će vam prijaviti da je antivirus viška i da džaba opterećuje sistem – ali ih ignorišite. To su obično ljudi koji su debelo tehnički potkovani, koriste neke druge vidove zaštite pa sad vama tu nešto seru i prave se Ajnštajnima (pročitajte više o njima ovde).

Koji antivirus? Eeee to je već večna dilema, ima bogaoca raznoraznih proizvođača – i komercijalnih i besplatnih. Od komercijalnih nekako mi se najviše izdvaja Kasperski, vidim da stalno učestvuju u nekakvim istraživanjima, dosta skrivenih malicioznih radnji na globalnom nivou detektuju njihovi stručnjaci, dosta velikih upada oni krpe, dosta su iskusna i jaka kompanija. Ovaj antivirus lično ne koristim niti znam kakav je u radu, neki mi ljudi prijavljuju da je težak za sistem neki da se ne oseća ali i jedni i drugi mi prijavljuju da nema virusa.

Ja koristim besplatni 360 Total Security od 2014-te godine sa aktivirana dva dodatna Avira i Bitdefender modula i pokazao se kao perfektan antivirus za moj kompjuter i one kod kojih znam da je instaliran. U međuvremenu su počeli da plasiraju reklame kroz taj antivirus i pozivaju na kupovinu support licence – ali ja to ne vidim…a iskreno, možda čak i kupim licencu iz čiste podrške njima jer su carevi. Nekolicina ljudi mi je prijavilo da im se nešto ušunjalo pored ovog antivirusa – ali se ispostavilo da su ga instalirali i tu je kraj – nisu aktivirali ta dva dodatna modula koja su po meni OBAVEZNA a koja po defaultu nisu aktivirana. Pisao sam recenzije za 360 Internet Security ovde i za 360 Total Security ovde – i moje se mišljenje i dalje nije promenilo, Kinezima svaka čast.

I opet napominjem – za ove neverne tome i teoretičare zavere, nemam nikakve veze sa ovom kompanijom, ne dobijam nikakav keš od njih za reklamu ili bilo šta slično, jednostavno sam samo (pre)zadovoljan kako to sve radi – a dokle ću biti, videćemo.

Zapovest 5
FIREWALL ZAŠTITA

Da ne drvim mnogo, firewall je nešto što štiti vas od napada preko mreže nekoga spolja. Kroz firewall vi definišete šta je sve otvoreno za pregled onome ko bi da se nakači na vaš kompjuter. I ovde kao što je slučaj kod kod antivirusa postoji bogaoca proizvođača ali sam ja mišljenja da na Windowsu nije potrebno ništa više od njegovog nativnog firewalla koji samo treba malo da se došteluje – a to se može u par klikova.

Može vam biti zanimljivo: Treba li vam dodatni firewall na kućnim računarima?

Dovoljno je da pri konekciji kažete Windows Firewallu da konekciju tretira kao javne (Public) a da sam kompjuter bude nevidljiv za ostale a to ćete na Windows 10 uraditi tako što ćete čim se nakačite na novi WiFi kliknuti na NO kad vas pita „Do you want to allow your PC to be discoverable by other PCs on this network (prevod – oš dozvoliš da te svi sa ove mreže vide)„.

Da promenite već definisane konekcije na Public imate ovde uputstvo – ali imajte na umu da niko neće moći da se nakači na vaš laptop putem Remote Desktopa ili File and Printer Sharinga i bilo čega ostaloga – dok mu vi ne omogućite ručno…to omogućavanje je već nešto što traži malo predznanja pa vas neću sa time zamarati ovde.

Kao i na Linuksovom iptablesu – možete definisati koji je port otvoren za koga, koji protokol, koja source i destination adresa – tako da, eto – samo zapamtite – gde god vas pita koji tip konekcije zapamtite pojmove PUBLIC i „NO (na nešto discoverable by other PCs štagod, da mi iskoči)“

Zapovest 6
ZAŠTITI UREĐAJE KOJI KOMUNICIRAJU SA KOMPJUTEROM

Sve što se ubada i meće u kompjuter (USB fleševi, eksterni hard diskovi, CD/DVD-jevi), komunicira ili će nekad komunicirati sa kompjuterom (mobilni telefoni, tableti i aplikacije sa njih) – o svemu bi trebalo voditi računa pre ubadanja/komunikacije.

Telefon recimo, ako ste povukli neko sranje sa neta – a možete povući ako skinete program van Google Play-a (a nekad bogami čak i odatle) možda može da napravi ili exportuje iz sebe samog neki izvršni fajl – recimo exe na sam storage telefona…exe fajl ne može da uradi ništa telefonu – ali ako isti telefon ubodete u kompjuter i taj exe fajl recimo ima ikonicu kao neka fotka sa telefona – udarite dupli klik na njega svesno ili nesvesno – i žurka može da počne. Dakle Android – skidajte samo sa Google Playa, mante se svega ostalog i onoga što vam drugi pričaju.

USB fleševi – propast živa…od 20 raznoraznih fleševa koje sam ubo u privatni kompjuter od raznoraznih ‘prebaci mi to-i-to’ korisnika – pa čini mi se da je antivirus vrištao na svih 20 – ali pošto mi je kompjuter pod Guest Windows nalogom, antivirus aktivan, autorun isključen, UAC na maksimumu – nije mi se ništa desilo…mada da su napasti bile sofisticiranije možda su mogle sve to da mi poisključuju – dakle, idealna varijanta i bila – da ne ubadam ničije fleševe osim svojih.

Da bih dočarao zašto je ovo bitno zamislite kako su uhakovana iranska nuklearna postrojenja – s obzirom da su bili u potpunosti zatvoreni za javnost i odsečeni od interneta? Neko mudar je bacio zaraženi fleš ili ispred fabrike ili ispred gajbe zaposlenog pre nego što će da krene na posao – ovaj video otišao i ubo u firmin kompjuter jer znatiželja, crv se proširio celom internom mrežom sa tog kompa i 15 iranskih postrojenja je bilo ubijeno (više o ovome na ovom linku). Radilo se o crvu Stuxnet koji je očigledno bio napravljen od strane ljutih profesionalaca, uložen ogroman novac najverovatnije od iranskih političkih neprijatelja kojih imaju mnogo kao da su Srbi – i eto, mogla je nastupiti katastrofa level Černobil jer, ponavljam – radi se o nuklearnim postrojenjima.

Zapovest 7
OFFLINE/NOSYNC KOPIJA BITNIH FAJLOVA

Uvek treba znati da postoji mogućnost da se probiju sve moguće i nemoguće zaštite i da malver opet nekako uleti i zaštifruje ili bespovratno obriše sve podatke – treba biti i na to spreman. Dakle treba s vremena na vreme bekapovati bitne podatke u jednosmernom toku…dakle ili narezati na neke silne DVD-jeve ili imati zaseban eksterni HDD samo za bekap ili bekapovati na cloud u folder koji se ne sinhronizuje automatski sa kompjuterom ili osmisliti neko drugo rešenje.

NAS-ovi, mrežni diskovi i slično vam ne igraju ulogu ako su stalno povezani sa kompjuterom (Map Network Drive i slično) jer će ransomware zašifrovati i njih kad zarazi sam kompjuter. Vi eventualno ovde možete da postavite da se čuva više odvojenih kopija fajlova u folderima na samom NAS-u a koji nisu vidljivi kompjuterima (ako nema u vidu aplikacije onda će morati malo shell skripting da radi).

Ja lično primenjujem varijantu sa cloudom i no-sync folderom….dakle imate folder na tamo nekom Dropboxu/YandexDisku/GoogleDrive/Ostalo, tu uradite upload ili ručno ili preko PC sync klijenta i kad se sinhronizacija završi vi je skinete sa daljeg sinhronizovanja….tako da ako WannaCry uleti i sve vam zašifruje – zašifrovaće i sve fajlove na tom istom lokalnom Dropboxu/YandexDisku/GoogleDrive/Ostalo – to će se uploadovati na cloud…i ostadoste i bez tih podataka…ali opet, folder koji se ne sinhronizuje će ostati netaknut jer je on samo na cloudu – ne i na lokalnom kompjuteru.

Ovde je problem prostor na cloudu kojeg u besplatnoj varijanti možete imati do 50GB (Mega), ali za recimo 20$ godišnje možete dobiti 100GB na Yandexu (trenutno najjeftinije) – ali vi sami redefinišite koji su vam fajlovi bitni – ako ćete da bekapujete filmove, muziku i ostalo onda jebajga baš…ali ako ćete privatne fotografije, snimke, docx/xlsx/pdf… i ostala dokumenta onda mnogo toga može da se popakuje u tih 100 ili čak i 50GB.

Sem bekapa na jedan cloud primenjujem još i bekap etremno bitnih podataka i na još jedan cloud – i to je cloud koji ne sinhronizujem ni sa čim i nigde…samo je na serveru provajdera i to je to.

Ukratko: Ne klikćite na sve i svašta te svaki dobijeni link ili fajl kontajte kao da šalje ljuti neprijatelj iz pakla koji bljuje vatru, Windows – ažurirajte a ako imate problema prvo system image pa onda, uključite UAC iako smara, ne budite administrator na Windowsu nego Standard ili Guest korisnik, browser poslednja verzija Firefoxa sa NoScript i uBlock Origin dodatkom (ne znam postoji li ekvivalent na Chromeu, najverovatnije postoji), antivirus koji radi u realnom vremenu, firewall na kome niste vidljivi nikome sa mreže, pazite šta ubadate u USB port, DVD drajv i na šta se kačite kroz mrežu i opet, pravite bekape vama bitnih fajlova na neke offline ili nosync lokacije. Eto.