aa

 

Embed or link this publication

Description

aaa

Popular Pages


p. 1

sigurnije na internetu

[close]

p. 2

obrazovanje À la carte http www.edu.hr prijavite se jednom koristite ih sve edu.hr portal centralno je mjesto za pristup uslugama koje pru acarnet s obzirom na vas status u sustavu obrazovanja.

[close]

p. 3

uvod sadrzaj uvod vas sigurnosni paket vodic za roditelje zlatna pravila sigurnosti pojmovnik 3 4 25 29 30 uvod pred vama je knjizica o sigurnijem koristenju racunala na internetu ona e vam pomoi boljem razumijevanju opasnosti koje vrebaju u virtualnom svijetu nauciti vas kako prepoznati prijevare zastititi vase racunalo i sacuvati vase podatke od krae ili gubitka cilj je nacionalnog cert-a odjela carnet-a zaduzenog za racunalnu sigurnost na internetu u republici hrvatskoj opremiti vas potrebnim znanjem kako biste sigurnije i s vise povjerenja koristili prednosti novih tehnologija razumljivo je da veina danasnjih korisnika racunala nisu niti zele postati racunalni strucnjaci racunala i pametne telefone koristimo za pristup novom mediju weba za komunikaciju i posao uz pomo uputa koje ete ovdje pronai moi ete se uz manje nepoznanica i opasnosti posvetiti koristenju racunala u svrhu koja je vama vazna brigu o sigurnosti ne mozete otkloniti no mozete je uciniti manje neugodnom i nepoznatom dok su u ranijim godinama najvee opasnosti bile koncentrirane u tehnickim propustima sotvera koji koristimo razvojem tog sotvera korisnik postaje laksa meta pa svjedocimo porastu pokusaja prijevare u svim zamislivim oblicima vase znanje i kriticko promisljanje osnovna je linija obrane vase sigurnosti kako se nas identitet u moderno vrijeme cesto sastoji samo od nekolicine podataka u pravim kombinacijama zastita nase privatnosti ubrzano se penje na vrh prioriteta pri koristenju novih tehnologija uz bolje razumijevanje potencijala vasih osobnih podataka i nacina na koji moderne usluge funkcioniraju vase iskustvo koristenja racunala opet moze postati ugodno i liseno straha zelimo vam ugodno surfanje i dobre valove vasi carnet i nacionalni cert 3 impressum hrvatska akademska i istrazivacka mreza carnet josipa marohnia 5 zagreb tel 01 6661 616 fax 01 6661 615 http www.carnet.hr nacionalni cert suradnici mladen stifi tekst sebastijan camagajevac ilustracije

[close]

p. 4

vas sigurnosni paket pojam racunalne sigurnosti posljednjih se godina sve vise prepoznaje i izvan strucnih krugova polako uviamo kako koristenje racunala na globalnoj mrezi sa sobom nosi niz odgovornosti i sigurnosnih pravila kao sto to vrijedi za upravljanje vozilom ili odrzavanje plinske instalacije u kuanstvu ipak opasnosti napreduju brze od razvoja svijesti o njima i ne potrudimo li se uhvatiti korak ostajemo im izlozeni ova brosura nastoji vam upravo u tome pomoi dajui vam znanje potrebno da biste opasnosti prepoznali i izbjegli iza virtualne zavjese zasto je uope globalna mreza u tolikoj mjeri preplavljena opasnim i nezeljenim sadrzajem kome je i zasto u interesu baciti nase kuno racunalo na koljena i uciniti ga jedva upotrebljivim vazno je razumjeti da je nase racunalo kada ga spojimo na internet dostupno svim drugim racunalima spojenima na internet komunicirali mi s njima ili ne internet je mreza u kojoj su svi meusobno povezani nase racunalo samo po sebi i nije posebno zanimljivo no tisue takvih kao sto je nase predstavljaju velike resurse s kojima se stosta moze napraviti 4

[close]

p. 5

vas sigurnosni paket u danasnje vrijeme ako je vase racunalo zarazeno ono vrlo vjerojatno sudjeluje u koordiniranoj mrezi slicnih zarazenih racunala i svima njima upravlja autor malicioznog kôda koji ste pokupili vase racunalo koristi se za raspacavanje nezeljene poste razbijanje lozinki napade na web posluzitelje daljnje sirenje malicioznog kôda i slicno centralno upravljanu mrezu sastavljenu od zarazenih racunala zovemo botnet a maliciozni kôd na takvim zarazenim racunalima bot no opet se postavlja pitanje zasto je to nekome u interesu ako netko sastavi prijevaru vise o njima u poglavlju o prijevarama u koju je vrlo tesko povjerovati i posalje vam je sanse da ete nasjesti su vrlo male no ako je posalje na milijun adresa ve e nada se naii netko manje kritican takoer ako netko posluzuje ilegalnu web stranicu na jednom posluzitelju brzo e ostati bez nje ako je posluzuje na brojnim kunim racunalima i izmjenjuje adrese stranica dugo opstaje na veem je broju racunala takoer vea vjerojatnost pronalazenja podataka o broju kreditne kartice lozinki servisa koji upravljaju vasim novcem i slicno naravno postoji jos mnogo nacina na koje kriminalci mogu zaraditi na vasem zarazenom racunalu o kojima ete vise saznati u nastavku ove brosure putevi do kontrole naseg racunala kako se zlonamjeran kôd probije do naseg racunala i odakle dolazi cesto ustanovimo da s racunalom nesto nije u redu a ne mozemo se sjetiti niceg sumnjivog sto bismo s time povezali vazno je razumjeti da se zlonamjeran sadrzaj moze nalaziti i u tipovima datoteka u kojima ga obicno ne ocekujemo npr u dokumentima pdf doc xls cak i onda kada ti dokumenti izgledaju dobroudno zbog toga je vazno sve aplikacije koje 5

[close]

p. 6

vas sigurnosni paket dolaze u kontakt s datotekama preuzetima s interneta redovito azurirati kako bi se na vrijeme primijenile sigurnosne zakrpe njihovih proizvoaca s obzirom da tipican korisnik najvise vremena provede koristei web preglednik ta je aplikacija ujedno i najzanimljivija autorima zlonamjernog kôda redovito azuriran web preglednik tesko e dopustiti automatsku ugradnju bilo kakvog kôda bez odobrenja korisnika pa autori uglavnom pribjegavaju manipulaciji korisnika socijalnom inzenjeringu socijalni inzenjering je manipuliranje ljudima u svrhu otkrivanja povjerljivih informacija ili pristupa resursima do kojih manipulator sam ne moze doi manipulator korisnika prijevarom navuce da otkrije povjerljivu informaciju ili za njega obavi neku radnju tipican primjer ovakve manipulacije je web stranica s nekim zanimljivim video sadrzajem koji da biste ga pogledali zahtjeva pokretanje aplikacije plugina ili nekog drugog oblika izvrsnog kôda na vasem racunalu u stvarnosti se radi o zlonamjernom kôdu koji se bez vase pomoi ne bi samostalno mogao izvrsiti poveznice linkove na ovakve sadrzaje mozete primiti putem elektronicke poste izmjenjivanjem poruka u realnom vremenu instant messaging npr windows live messenger putem drustvenih mreza kao sto je facebook praenjem sadrzaja na twitteru u komentarima blogova i na brojnim drugim mjestima vazno poruke s opasnim poveznicama linkovima mogu putem drustvenih mreza i im-a doi i od osoba koje poznajete njihovo racunalo moze biti zarazeno i slati ih bez njihova znanja zlonamjeran kôd moze se skrivati i u obliku nekog multimedijalnog sadrzaja na p2p mrezama edonkey bittorrent gnutella i slicno datoteka koja nazivom i velicinom podsjea na video sadrzaj ne mora zaista to i biti openito nije preporucljivo pokretati bilo kakav sadrzaj koji ste primili iz nepoznatog izvora no ako ste se ve na to odlucili provjerite zavrsava li naziv datoteke znakovima bat exe pif scr cmd vbs js to su nastavci izvrsnih datoteka i pokretanjem mogu stei potpunu kontrolu nad vasim racunalom multimedijalni sadrzaji nikada nemaju takve nastavke 6

[close]

p. 7

vas sigurnosni paket takoer ponekad preuzeta video datoteka sadrzi kratak video s uputom da s neke web stranice preuzmete sotver za reprodukciju takav sotver gotovo je redovito zlonamjeran prijevare pojam s kojim se sve cese u medijima susreemo je kraa identiteta s obzirom da se danas gotovo sve transakcije u realnom svijetu mogu obaviti predocavanjem odreenih osobnih informacija te su informacije modernim kriminalcima iznimno zanimljive kada ih prikupe mogu u nase ime narucivati proizvode i usluge ili upravljati nasim bankovnim racunima uobicajen nacin na koji se te informacije od nas prikupljaju zove se phishing eng fishing pecanje a radi se o masovnom zasipanju velikog broja osoba porukama u kojima ih se nastoji nagovoriti da svoje osobne podatke upisu u formular na nekoj web stranici logika kojom se vode je da e se valjda netko upecati phishingom se kradu razliciti osobni podaci korisnicka imena i lozinke za pristup servisima kao sto su web mail facebook ili paypal a u opasnijem slucaju pin-ovi nasih kreditnih i debitnih kartica tipican phishing zapocinje porukom koja izgleda kao da je stigla od banke ili web stranice cije usluge koristimo u kojoj nam se objasnjava da je zbog sigurnosne provjere potrebno prijaviti se na njihovu web stranicu i upisati svoje podatke stranica na koju nas ta poruka odvodi izgledom e imitirati servis koji koristimo no upisani podaci zavrsit e u rukama prevaranta 7

[close]

p. 8

vas sigurnosni paket vasa banka nikada nee na ovaj nacin od vas traziti povjerljive podatke kao sto su broj kreditne kartice ili pin osnovni razlog popularnosti phishinga kao metode prikupljanja povjerljivih osobnih podataka je to sto se prevaranti ne moraju truditi pronai propuste u sigurnosnoj zastiti vaseg racunala korisnik svojevoljno upisuje informacije isto vrijedi i za ostale oblike prijevara jeste li kada dobili poruku elektronicke poste s obavijesti kako ste dobili na lutriji mozda se poruka pojavila u sklopu neke web stranice koju posjeujete na koji god nacin ovakva poruka stigla do vas razmislite ako zvuci predobro da bi bilo istinito vjerojatno ste u pravu nije istinito lazni dobici na lutriji samo su lukav nacin da vas se nagovori da uplatite razmjerno malen iznos za troskove obrade cime prica o vasem dobitku ujedno i zavrsava potpuno jednak princip vrijedi za price o nasljedstvu princeva iz udaljenih zemalja i slicne poruke neke od ovih prijevara pokusavaju biti uvjerljivije tako da vam umjesto gotovog novca nude kredit fantasticno povoljni krediti iz drugih zemalja takoer ni jedan servis u redovnom postupku ne trazi od svojih korisnika da potvrde svoje korisnicko ime i lozinku nakon sto je usluga jednom ve uspostavljena 8

[close]

p. 9

vas sigurnosni paket ponude poslane elektronickom postom sve to trebalo bi u vama pobuditi sumnju koliko god vam novac u tom trenutku bio potreban cak i ako vam se netko obrati na hrvatskom jeziku ili napise povoljno misljenje o tom kreditu na nekom forumu ne nasjedajte u novije vrijeme prevaranti e vas cak pokusati nagovoriti da uplatite novac kako biste sprijecili objavu nekog neugodnog video zapisa u kojem se navodno pojavljujete video zapis naravno ne postoji neki se moderni crvi sluze slicnom metodom poveznicom na video zapis kako bi vas pridobili da pristanete na preuzimanje sotvera za reprodukciju i tim postupkom zarazite racunalo osim ovakvih openitih prijevara koje se univerzalno koriste postoje i ciljane prijevare koje se oslanjaju na aktualne dogaaje humanitarna kriza izazvana potresom na haitiju popraena je nizom laznih humanitarnih akcija pri cemu su ljudi sirom svijeta novac uplaivali laznim humanitarnim organizacijama kako biste izbjegli ovakve prijevare a ipak ostvarili svoju zelju da pomognete pretrazite web i pronaite registrirane humanitarne organizacije cije postojanje i djelatnost mozete provjeriti te za uplate koristite informacije dostupne na njihovim sluzbenim web stranicama sve ove prijevare oblici su socijalnog inzenjeringa jer manipuliraju iskljucivo ljudima dok je tehnologija samo sredstvo dosega velikog broja ljudi 9

[close]

p. 10

vas sigurnosni paket maliciozan sotver malver do sada smo ve spominjali maliciozan kôd no o cemu se zapravo radi popularno zvani virusi ili crvi neki su od brojnih oblika sotvera nacinjenog s namjerom zloupotrebe racunalnih sustava kako tih oblika ima sve vise zajedno su okupljeni pod pojmom malicioznog sotvera malvera eng malware malicious sotware malver u praksi razlikujemo po funkciji koju obavlja za svog autora neki su oblici potpuno autonomni i izvrsavaju unaprijed zadane zadatke npr koristenje vaseg racunala za raspacavanje nezeljene poste spama a neki se nakon ugradnje u racunalo pritaje i ocekuju upute od svog autora malver koji korisnik sâm ugradi instalira u racunalo jer se predstavlja kao neki drugi sadrzaj kao u primjeru ranije spomenutog video zapisa zovemo trojanskim konjem osim manipulacijom korisnika malver se ugrauje u racunalo i koristenjem sigurnosnih propusta sotvera koji koristite to znaci da takav malver s jednog zarazenog racunala na drugo moze putem mreze prijei bez ikakve interakcije s korisnikom i bez ikakve vidljive reakcije racunala ali pod uvjetom da je ciljno racunalo ranjivo zamislite da ste na ulaz u kuu ugradili protuprovalna vrata no imate prozore koji se daju otvoriti izvana s vratima je sve u redu no vasa je kua svejedno izlozena riziku od provale dovoljno je da provalnik primijeti vas propust u slucaju sotvera propusti nestrucnim ocima uope nisu vidljivi i moramo se osloniti na proizvoaca u prvom se redu rizik sigurnosnih propusta odnosi na vas operativni sustav npr microsot windows zatim web preglednik npr mozilla firefox a ponekad i preglednike dokumenata i multimedijalnih datoteka npr adobe acrobat reader windows media player proizvoaci pronaene sigurnosne propuste u pravilu ispravljaju i korisnicima distribuiraju azurne inacice no na nama je da te inacice redovito preuzimamo i pokreemo jednom ugraen u nase racunalo malver moze pretraziti nase dokumente elektronicku postu i zapise o po10

[close]

p. 11

vas sigurnosni paket operativni sustav i mnoge aplikacije na njemu danas nude mogunost automatskog azuriranja nas je savjet da tu mogunost uvijek koristite sjeenim stranicama te iz tih izvora saznati povjerljive podatke ako mu nedostaje korisnicko ime i lozinka za neku uslugu koju koristimo pricekat e da posjetimo web stranicu gdje te podatke upisujemo te ih preuzeti dok koristimo tipkovnicu ili pronai u mreznom prometu izmeu naseg racunala i interneta prikupljene e podatke zatim poslati na adresu nekog racunala pod kontrolom autora cesto je i to samo racunalo zarazeno nekim oblikom malvera odakle ih on preuzima i dalje koristi malver s vasim racunalom moze ciniti sve sto i vi sami ve smo spomenuli kako vam poruke s opasnim poveznicama mogu doi i od vasih prijatelja putem drustvenih mreza kada je na vasem racunalu malver i vas e virtualni identitet biti koristen na taj nacin danas najopasniji malver pritajeno ceka da pristupite web sucelju svoje banke i u standardne formulare ubacuje dodatna polja s podacima koje od vas zeli ukrasti npr pin vase kartice koji banka obicno od vas ne trazi u sklopu elektronickog bankarstva te podatke takoer pritajeno prosljeuje osobi koja malverom upravlja formular elektronickog bankarstva odjednom trazi neke nove podatke nazovite korisnicku podrsku pitajte o cemu se radi autor moze prodati pristup malverom zarazenim racunalima nekoj treoj osobi i u praksi to najcese i jest tako 11

[close]

p. 12

vas sigurnosni paket bezicne mreze danasnja prijenosna racunala standardno dolaze s opremom za povezivanje na bezicne mreze terminalna oprema koju dobivate kada preuzimate prikljucak na internet takoer uglavnom dolazi s bezicnom pristupnom tockom bezicne su mreze svuda oko nas i omoguavaju nam veu mobilnost i udobnost takoer ako nisu ispravno podesene omoguavaju svakome u nasoj blizini da se u njih ukljuci prisluskuje i pristupa internetu koristei nas prikljucak ako koristimo samo jedno stacionarno racunalo u kui lako se zastititi od bezicnih opasnosti jednostavno spojimo racunalo na ureaj za pristup internetu koristei obican mrezni kabel te iskljucimo bezicni primopredajnik na pristupnom ureaju i na racunalu upute za iskljucenje bezicnog primopredajnika dobivamo s ureajem a ako smo ih izgubili mozemo se savjetovati s korisnickom podrskom ako nam je bezicna mreza potrebna prvo trebamo osigurati ispravnu kontrolu pristupa i enkripciju informacija koje se radio valovima sire kada racunalo komunicira s pristupnom tockom veina pristupnih ureaja i racunala nudi wep wpa i wpa2 standarde enkripcije te koristenje kraeg ili duzeg kljuca za kontrolu pristupa wep standard sadrzi propuste zbog kojih je mogue ukrasti kljuc unatoc enkripciji i nije preporucljiv za koristenje svakako izbjegavajte koristenje wep standarda wpa i wpa2 su dobri standardi enkripcije i uz nasumican kljuc cine odgovarajuu zastitu vase mreze svakako koristite potpuno nasumican kljuc bez rijeci imena datuma ili bilo cega drugog smislenog racunalo e pohraniti vas kljuc i vise vas za njega nee pitati te nema potrebe da bude lako pamtljiv 12

[close]

p. 13

vas sigurnosni paket web stranice klijenti za dopisivanje i druge aplikacije koje ve koriste enkripciju odgovarajue su zastiene cak i ako mreza na kojoj ih koristimo nije koristite li javnu bezicnu mrezu kao npr u kafiu provjerite kod osoblja kako se zove pristupna tocka kako biste se upravo na nju spojili koristimo li tue pristupne tocke potrebno je obratiti paznju na dvije stvari 1 2 radi li se o nezastienoj nekriptiranoj ili wep kriptiranoj mrezi znamo li kome mreza pripada i mozemo li mu vjerovati kada pristupamo nezastienoj bezicnoj mrezi sva racunala u dometu mogu preslusavati informacije koje nase racunalo odasilje i prima na ovaj nacin mogu se ukrasti lozinke i drugi vazni podaci a u nekim slucajevima mogue je pristupiti i sadrzaju tvrdog diska vaseg racunala ako je vase racunalo pri tom jos i ranjivo vise o ranjivostima u iduem poglavlju mogue je potpuno preuzimanje kontrole bez vaseg znanja pristupamo li bezicnoj mrezi cijeg vlasnika ne poznajemo izlazemo se istom riziku kao i u slucaju nezastiene mreze tko god kontrolira pristupnu tocku moze stei pristup nasem racunalu 13

[close]

p. 14

vas sigurnosni paket kako se zastititi iako je do vaseg racunala ponekad mogue doi i bez vaseg odobrenja veinom su vase odluke prva i posljednja linija obrane vasa svijest o informacijskoj sigurnosti najbolji je sigurnosni alat slijedite li aktualne preporuke sigurnosnih strucnjaka i donosite li informirane odluke o vjerodostojnosti sadrzaja koji vam se nudi na internetu predstavljate tvrd orah za prevarante te e vas velika veina njih jednostavno zaobii u potrazi za laksom zrtvom na tehnickoj razini racunalo je potrebno zastititi odgovarajuim sigurnosnim softverom te ispravnim podesenjima operativnog sustava i aplikacija sreom danas postoji mnostvo kvalitetnih besplatnih rjesenja na ovom podrucju izdvojit emo najvaznije elemente zastite i pravila kojih se dobro drzati antivirus/antispyware/antimalware rjesenja za prepoznavanje i zaustavljanje aktivnosti malvera antivirusni alat je obavezan dio sotverske opreme vaseg racunala neka rjesenja dolaze u paketima sa drugim sigurnosnim sotverom npr vatrozidom dok su neka samostalna windows security center provjerava prisutnost i ispravan rad antivirusnog sotvera te e u slucaju problema korisnika upozoriti crvenim stitom u statusnoj traci system tray preporuceno besplatno rjesenje je avast antivirus vatrozid aplikacija koja ogranicava mreznu komunikaciju izmeu vaseg racunala i interneta selektivnim propustanjem prometa izbjegava se neovlastena komunikacija i smanjuje mogunost iskoristenja sigurnosnih propusta u aplikacijama koje ne koristite a koje imaju mogunost mrezne komunikacije windows operativni sustav xp i noviji po ugradnji u racunalo ve sadrzi vatrozid s odgovarajuom zastitom vatrozid e vas upitati za odobrenje svaki puta kada neka nova aplikacija pokusa poslati podatke putem mreze preporucljivo je koristenje alternativnog vatrozida npr checkpoint zonealarm jer se na taj nacin smanjuje mogunost da malver mimo vaseg znanja podesi vatrozid i sam sebe propusti automatsko azuriranje operativnog sustava i aplikacija sigurnosni propusti u sotveru stalno se otkrivaju kako vas ne bi ostavili ranjivima ukljucite automatsko azuriranje u operativnom sustavu i svim aplikacijama koje dolaze u kontakt sa sadrzajima s interneta npr citaci za pdf dokumente windows security center promatra je li automatsko azuriranje operativnog sustava ukljuceno te upozorava korisnika ako nije 14

[close]

p. 15

vas sigurnosni paket koristenje korisnickog racuna sa smanjenim privilegijama limited user account preporucljivo je da korisnicko ime kojim se sluzite u svakodnevnom radu ima ogranicen pristup racunalu na taj nacin veina malvera jednostavno nee imati pristup kljucnim dijelovima operativnog sustava i nee moi obaviti svoj zadatak kada vam zatrebaju vee ovlasti jednostavno se odjavite i prijavite ponovno kao korisnik administrator obavite sto trebate i ponovno se prijavite sa svojim svakodnevnim korisnickim imenom alternativni sotver autori malvera ciljaju sotver s najveom bazom korisnika ako je mogue koristite alternativne klijentske aplikacije i preglednike to se odnosi na web preglednik klijent elektronicke poste preglednik pdf dokumenata sotver za reprodukciju multimedije i sve sto dolazi u kontakt sa sadrzajem s interneta mozete koristiti cak i alternativni operativni sustav kao sto je ubuntu linux provjereni sigurnosni alati kada odabirete sigurnosne alate ne nasjedajte na oglase po sumnjivim web stranicama cesto se malver krije u obliku laznog antivirusnog sotvera ili stranice koja imitira da je na vasem racunalu upravo pronaen virus kako biste bili sigurni da koristite provjeren sotver potrazite sigurnosni alat koji vas zanima na stranicama nacionalnog cert-a http www.cert.hr/alati slozene i razlicite lozinke racunala iznimno brzo mogu isprobavati razlicite kombinacije imena i lozinki pa su lozinke koje sadrze rijeci iz govornog jezika datume imena i slicno iznimno jednostavne za pogaanje dobra lozinka sastoji se od 6-8 znakova mjesavine slova i brojki dodatnu sigurnost pruza koristenje velikih i malih slova te interpunkcijskih znakova razumljivo ovakve je lozinke tesko upamtiti pogotovo ako su razlicite za svaki 15

[close]

Comments

no comments yet