Ograniczanie ataków dzięki Hardentools

17 maja 2019, 17:48 | W biegu | komentarzy 15
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Współcześnie program antywirusowy to zbyt mało, aby zapewnić stosunkowo skuteczną ochronę urządzeń. Wiele rzeczy związanych z zabezpieczeniem komputera czy smartfona musimy wykonać samodzielnie. Z pomocą przychodzi nam Hardentools, który odpowiednio “utwardza” system Windows, czyli ten najbardziej narażony na ataki.

Narzędzie to zostało wydane przez Security Without Borders. Możemy pobrać je ze strony internetowej organizacji. Zaraz po uruchomieniu zostaniemy zapytani o możliwość działania na prawach administratora (uważajcie na ten krok jeśli nie ufacie producentowi tego oprogramowania!), co pozwoli na dokonanie większych zmian. Następnie narzędzie jest gotowe do pracy. Elementy do “utwardzenia” są wypisane w dolnej części okna. Domyślnie wszystkie opcje mają zaznaczenie. Możemy to zmienić i dostosować wprowadzane modyfikacje.

Hardening (“utwardzanie”) to proces zmierzający do poprawy działania zabezpieczeń. Dotyczy wielu zagadnień, ponieważ możemy “utwardzać” zarówno serwer pracujący pod kontrolą systemu Linux, witrynę opartą na WordPressie, jak i urządzenia sieciowe.

Producent wyraźnie zaznacza, że hardening pakietu Office, programu Adobe Acrobat oraz samego systemu, może zakłócać poprawne działanie pewnych aplikacji. Nie spotkałem się z żadnymi błędami, ale narzędzia używamy na własne ryzyko. Mimo wszystko zalecam zachowanie domyślnych ustawień, ponieważ znacznie zwiększają bezpieczeństwo. Poza tym zawsze powinniśmy posiadać kopię zapasową w dwóch niezależnych lokalizacjach (np. dysk NAS i chmura). Zapoznajmy się z najważniejszymi elementami mającymi realny wpływ na zabezpieczenia.

Windows Script Host: Nie trzeba nikomu przypominać, że największa ilość ransomware, czyli oprogramowania szyfrującego pliki i żądającego okupu za ich zwrot, wykorzystuje złośliwe skrypty JavaScript, które są obsługiwane przez system Windows. To bardzo prosty język oferujący duże możliwości (odpowiada za wszelkie “ruchome” elementy na stronach), również dla twórców malware. Poza tym zwykły użytkownik raczej nie będzie korzystał z tej funkcji, dlatego nie zauważy zmian. Modyfikacja w systemie nie obejmuje obsługi JavaScript w przeglądarkach, która także powinna być ograniczona.

Office ActiveX: Elementy ActiveX osadzone w dokumentach pakietu Office (Word, Excel, Access itp.) mogą stanowić szczególne zagrożenie. Działają tylko w środowisku Windows i pozwalają na przekazywanie danych pomiędzy różnymi aplikacjami. W ten sposób mogą uzyskać dostęp do dysku. Możliwość eksploracji systemu zależy od umiejętności przestępcy. Może spróbować zaszyfrować pliki lub je wykraść. W samej technologii znaleziono kilka podatności, które jednak zostały załatane, ale użytkownicy czasami zapominają o konieczności aktualizacji. Microsoft od dawna próbuje zastąpić ActiveX frameworkiem .NET.

AutoRun and AutoPlay: Włączenie tej opcji zapobiega dostępowi do nośników wymiennych, takich jak pendrive’y lub płyty CD bez działania użytkownika. Dzięki temu malware z systemu nie zainfekuje plików na podłączonych dyskach lub odwrotnie. W przypadku osób starszych lub ze słabą wiedzą na temat komputera może być to pewna trudność. Z drugiej strony ich “słabości” mogą zostać wykorzystane właśnie do takich prostych ataków. Dlatego należy to przemyśleć i obowiązkowo zainstalować solidne rozwiązanie antywirusowe, aby zapewnić podstawową ochronę przed szkodliwymi plikami. Przede wszystkim nie zalecamy podłączania nieznanych dysków do komputera.

Powershell and cmd: PowerShell to wartościowe narzędzie w rękach administratorów (pozwala m.in. zarządzać wieloma komputerami), ale niestety też przestępców. Jest on często wykorzystywany do wykonywania kodu, np. w celu uruchomienia malware fileless, które działa jedynie w pamięci operacyjnej. Wiersz polecenia także może służyć do ataków, ale w tym przypadku akurat większym zagrożeniem jest brak pełnej znajomości wpisywanych poleceń, co może prowadzić do niestabilności systemu. Te dwie funkcje systemu Windows nie są często używane przez użytkowników domowych, dlatego bez obaw możemy je wyłączyć.

Office Macros: Rzadko spotkamy osadzone makro, które nie ma na celu szkodliwego działania. Wektory ataku przez dokumenty pakietu Office z osadzonym makrem są popularne. Nieświadomi użytkownicy myślą, że otwierają zwykły załącznik, a tak naprawdę właśnie doprowadzili do infekcji systemu. Jeśli musimy otworzyć arkusz kalkulacyjny z zawartym makro, warto skorzystać z Google Docs.

UAC Prompt: Raczej nie zainstalujemy programu bez praw administratora. Jeśli aplikacja nie jest złośliwa, nie powinno nas to dziwić. Gorzej w przypadku, gdy mamy do czynienia z malware, a powiadomienia o próbie uzyskania wyższych uprawnień są wyłączone. Już pomijając fakt, że nie powinniśmy pracować na koncie administratora — może nie zapobiegnie to infekcji, ale na pewno ograniczy skutki. Każdy program warto skanować przed uruchomieniem. Jeśli nie posiadamy dobrego antywirusa, możemy przesłać plik do usługi VirusTotal, gdzie uzyskamy informacje o próbce.

Hardentools nie zastąpi programu antywirusowego lub rozsądnego korzystania z urządzenia. To po prostu świetne narzędzie, które może zapobiec wielu infekcjom, zwłaszcza w przypadku zwykłych użytkowników. Nie potrzebują oni zaawansowanych funkcji systemu Windows do codziennych zadań. Prawdą jest, że zmiany dokonane przez narzędzie można uzyskać “ręcznie”, ale wymaga to szukania odpowiednich ustawień, przez co zajmuje więcej czasu. Hardentools nie ma jeszcze wersji przeznaczonych na inne platformy.

–mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Michał

    Nie polecam używania UAC z promptem yes/no, nawet jeśli jest ustawiona opcja „always notify”. Cały czas powstają metody omijania tego mechanizmu. Lepiej pozbawić użytkownika praw administracyjnych i włączyć do tego celu osobne konto. Jeśli będzie potrzebne podniesienie uprawnień np. przez „run as an administrator”, będziemy musieli podać hasło do konta admina – czyli mechamizm podobnny do linuksowego.

    Odpowiedz
    • Michał

      Z tym osobnym kontem jak najbardziej się zgadzam. Ale nie każdy myśli serio o bezpieczeństwie, dlatego lepszy wybór tak/nie niż nic

      Odpowiedz
    • pretender

      Słusznie Michale ? widać dobre nawyki z właściwej rodziny systemów. Niemal każdy domowy użytkownik Windows jedzie na koncie Admina ?… Zawsze uważałem, że userzy windowsa to kowboje ?…

      Odpowiedz
      • Michał

        @pretender
        Nie nawyki, ale codzienność. Używam Linuxa

        Odpowiedz
    • John Sharkrat

      Święte słowa

      Odpowiedz
  2. jasc

    Info dla nieznających jeszcze tego narzędzia: tak jak jednym kliknięciem można wykonać hardening systemu, analogicznie można wykonać czasowy de-hardening – wszystkiego, lub tylko wybranych opcji, które są nam akurat potrzebne.
    Łatwo też przechwycić zmiany które Hardentools wpisuje do rejestru by upewnić się, że nie robi niczego „podejrzanego” przy okazji.

    Odpowiedz
  3. Marek

    > Jeśli nie posiadamy dobrego antywirusa
    Warto tu wspomnieć, że MS dogonił (a nawet przegonił) pozostałe rozwiązania i Windows Defender jest obecnie bardzo dobrym antywirusem co potwierdzają testy. Także nie ma opcji że ktoś nie ma dobrego antywirusa. ;)

    Odpowiedz
    • Michał

      Nie przesadzałbym z tą skutecznością :)

      Odpowiedz
      • #Max

        Windows Defender, dobrym AV :-) Ok, a możesz podać na jakiej podstawie to piszesz ?

        Odpowiedz
  4. BrakZaufania

    Kto racjonalnie myslacy da prawa admina dla aplikacji, ktora moze potencjalnie zrobic wszystko, wliczajac dzialania niepozadane.
    Ktos zna jakies racjonalne wykorzystanie tego softu z perspektywy dobrych praktyk bezpueczenstwa?

    Odpowiedz
    • Michał

      Hardentools za bardzo nie szkodzi

      Odpowiedz
  5. Mateusz

    Można prosić o źródło do „największa ilość ransomware, czyli oprogramowania szyfrującego pliki i żądającego okupu za ich zwrot, wykorzystuje złośliwe skrypty JavaScript, które są obsługiwane przez system Windows.” ? :)

    Odpowiedz
    • Michał

      To nie jest moja opinia (źródła nie znajdę). Na JS trzeba uważać i tyle :)

      Odpowiedz

Odpowiedz