Bezpieczeństwo komputera: jak zwalczyć infekcję?

Przeczytaj także: Ataki hakerskie 2012

Nie ma niczego odkrywczego w stwierdzeniu, że wszyscy staramy się chronić swoje komputery przed zagrożeniami, tak samo, jak chronimy się przed przeziębieniem, kiedy nadchodzą jesienne słoty. Dobrze wiadomo jednak, że nie zawsze udaje nam się ustrzec przed grypą, nic więc dziwnego, że czasem także nasz komputer, pomimo zabezpieczeń, może zostać zainfekowany. Żaden program antywirusowy nie daje stuprocentowej gwarancji bezpieczeństwa. Jeśli nawet w testach osiąga wynik 99,9% wykrywalności, to należy mieć świadomość, że pozostały promil z liczby kilkuset tysięcy testowanych próbek złośliwego oprogramowania daje kilkaset potencjalnych e zagrożeń, które mogą wymknąć się spod kontroli i narobić szkód. Często sami sprzyjamy niebezpiecznym sytuacjom przez złe nawyki i lenistwo – nie lubimy zmieniać haseł, lekceważymy wyświetlane komunikaty, dla własnej wygody obniżamy poziom zabezpieczeń.

Złośliwe oprogramowanie

Jak od dawna alarmują analitycy, oprócz olbrzymiego wzrostu ilości wzrasta również jakość szkodliwego oprogramowania. Nowe zagrożenia wykazują coraz większą złożoność, coraz szersze spektrum możliwości rozprzestrzeniania się i infekowania komputerów, coraz lepszą umiejętność maskowania się w systemie oraz omijania istniejących zabezpieczeń.

Chociaż w świadomości użytkowników najbardziej typowym zagrożeniem wciąż jest wirus komputerowy, w rzeczywistości jest to obecnie rzadziej spotykany napastnik, ustępujący pola swym krewniakom, jak robaki czy konie trojańskie. Klasyfikacja złośliwego oprogramowania rozróżnia przynajmniej kilkanaście różnorodnych typów, odmiennych pod względem funkcji, sposobów działania i przenoszenia. Oprócz wirusów, których charakterystyczną cechą jest obecność nosiciela (wirus dołącza się do innych plików), można wymienić wspomniane wcześniej trojany, czyli programy ukrywające swe zdradzieckie cele; robaki - samodzielne programy o szkodliwym działaniu; backdoory otwierające tylną furtkę i umożliwiające intruzom zdalne zarządzanie systemem; keyloggery śledzące naciśnięcia klawiszy; programy szpiegujące aktywność użytkowników (spyware), wyświetlające niechciane reklamy (adware), dialery łączące się poprzez drogie numery dostępowe, exploity wykorzystujące luki w oprogramowaniu i systemie, rootkity ukrywające inne niebezpieczne procesy; ataki phishingowe, pharmingowe, wstrzykiwanie kodu etc.

W zależności od rodzaju zagrożenia, różne są także źródła zarażenia i różne sposoby reagowania na zaistniałą infekcję. System może zostać zarażony przez spreparowaną lub przejętą przez napastnika stronę www, przez użycie zainfekowanego nośnika np. karty pamięci albo pendriva, uruchomienie szkodliwego programu, otwarcie załącznika e-mail ze szkodliwą zawartością, zezwolenie aplikacji na wykonanie niepożądanych działań, nieprzemyślane udostępnienie zasobów, zaniedbanie ochrony lub regularnej aktualizacji oprogramowania.

Identyfikacja infekcji i ocena ryzyka

Wczesne wykrycie infekcji systemu jest niezwykle istotne i może zaważyć na powodzeniu całej operacji ratowania danych z zarażonego komputera. Jest to moment, w którym często najwięcej zależy od użytkownika komputera i tego, czy zostaną zauważone przejawy nietypowej aktywności oraz dziwnych zachowań programów i systemu. Jak zostało już powiedziane we wstępie, zainstalowane oprogramowanie antywirusowe niekoniecznie stanowi tu gwarancję bezpieczeństwa, ponieważ tempo rozprzestrzeniania się epidemii szkodliwego oprogramowania bywa nadzwyczaj szybkie i dla jej powstrzymania niezwykle ważny jest czas pomiędzy pojawieniem się epidemii, a uaktywnieniem się skutecznej ochrony, czyli uaktualnieniem bazy sygnatur programu antywirusowego – w sytuacji, gdy malware skutecznie ominął ochronę proaktywną. Przez ten czas, trwający od jednej do nawet kilkudziesięciu godzin, właśnie użytkownik jest w stanie rozpoznać objawy zarażenia systemu. Symptomami mogą być bardzo różne zachowania – na przykład pojawianie się dziwnych okien i reklam, wyłączenie się programu antywirusowego albo zapory, nagłe spowolnienie pracy komputera, otrzymywanie odpowiedzi z serwerów pocztowych na niewysyłane wiadomości, niestabilna praca systemu, zawieszanie się programów, niemożność wchodzenia na niektóre strony, zwłaszcza producentów oprogramowania antywirusowego, wyłączanie się komputera itp. Naturalnie, o wiele łatwiejsza do opanowania jest infekcja rozpoznana przez oprogramowanie antywirusowe – można wówczas oprzeć się na wskazówkach producenta danego oprogramowania. Ekstremalnym przypadkiem infekcji jest takie uszkodzenie plików systemowych lub nawet podzespołów komputera, że niemożliwe jest jego uruchomienie.

Po stwierdzeniu nietypowej aktywności pierwszą ważną czynnością jest ocena ryzyka występujących nieprawidłowości. Nie każde podejrzane zachowanie musi oznaczać infekcję. W tym momencie wymagana jest odrobina wyczucia, aby wykluczyć fałszywy alarm, lub nie poddać się panice przy spotkaniu z żartem komputerowym, a jednocześnie nie zlekceważyć symptomów poważnego zagrożenia.