Windows XP może być bezpieczny?...krótki poradnik część I.
#1
Jak wszyscy już chyba wiedzą, wielkimi krokami zbliża się moment, kiedy Microsoft ostatecznie osieroci swoje wciąż żywotne dziecko czyli system Windows XP . Akcja informacyjna idzie pełną parą i coraz więcej mamy sygnałów od producenta, które mają użytkownikowi uzmysłowić, że pracuje na systemie niemal nieaktualnym i które mają go (użytkownika) naprowadzić na jakieś sensowne rozwiązanie. Oficjalne stanowiskonie pozostawia użytkownikom zbyt wielkiego wyboru, ograniczając się do dwóch rad niezwykle oczywistych
- przejścia na tym samym sprzęcie na bardziej aktualny system...w domyśle Windows 8.1,
- zakupu nowego sprzętu, bo na takim sprzęcie z założenia systemy operacyjne będą w nowszych wersjach.

Jak widać nie za wiele tego i można by utyskiwać, czy to wystarczające nawet biorąc pod uwagę udostępnienie specjalnego narzędzia , które ma pomóc w migracji do nowego systemu i bezpiecznym przeniesieniu do niego istniejących już danych. Można by też narzekać, że Microsoft nie wskazał żadnego innego alternatywnego systemu poza tymi ze swojej rodziny, ale nie możemy chyba się specjalnie dziwić, bo w końcu tak powszechna akcja zamiany systemów napędza sprzedaż nowych produktów, a interes firmy stoi przecież ponad wszystkim.
W prasie tradycyjnej i w sieci znaleźć można już wiele artykułów, które wskazują na takie alternatywy i chyba nie zrobię żadnego odkrycia, jeśli najpowszechniej wskazywanymi okazują się być systemy z rodziny GNU/Linux ...ale zawiedzie się niestety ten, kto myśli, że mój artykuł również będzie o tym...nie będzie. Nie będzie też o wyższości programów jednego producenta nad rozwiązaniami od innego, ani o jakichkolwiek obowiązujących i jedynie słusznych rozwiązaniach w budowaniu ochrony systemu...nie będzie również o tym, że płatne jest lepsze od darmowego lub, jak kto woli, na odwrót.
Artykuł będzie za to moim subiektywnym poradnikiem dla mniej i bardziej radzących sobie z komputerem, który ma za zadanie uzmysłowić, że "XP wciąż może" oraz udzielić kilka wskazówek, co zrobić by wciąż można było go używać nie tracąc wiele albo nawet nic z poczucia bezpieczeństwa. Zdaję sobie sprawę, że treść tego artykułu nie wyczerpuje tematu i zaawansowany użytkownik czy znawca systemu znajdzie niedociągnięcia, może zbytnie uproszczenia czy nawet błędy…ale nie uważam się za „power usera”, więc z góry wybaczam sobie takie rzeczy  Poza tym jest to z założenia subiektywne ujęcie tematu, więc niektóre rzeczy pomijam celowo, a inne czasem bardziej podkreślam.

Pozbywamy się zbędnych rzeczy od Microsoft

Producent systemu w wielu swoich komunikatach „zagwarantował” nam…indywidualnym użytkownikom XP…że niczego dla nas już nie zrobi…że nie przygotuje dla nas żadnych aktualizacji do systemów oraz swoich programów użytkowych, które na komputerze u nas wciąż są, nie opublikuje łatek do znalezionych w nich podatności…więcej nawet – pozbawia nas właściwie jakiegokolwiek poczucia bezpieczeństwa, zaprzestając wsparcia dla swojego darmowego programu AV, który części wciąż jeszcze działa czyli Microsoft Security Essentials. Skoro więc tak, to możemy spokojnie na MS się „obrazić” i wyrazić to w postaci usunięcia z naszych systemów niemal wszystkich mniej lub bardziej zbędnych programów/komponentów, które gdzieś tam w cichych zakątkach dysków egzystowały. Zapewniam, że większość z nas z niektórych nigdy nie korzystała, a teraz te właśnie programy staną się nam „kulą u nogi”…więcej nawet…staną się niebezpieczne dla naszego systemu, ponieważ znane i nieznane dotąd luki w nich zawarte będą łatwym celem dla wszelkich możliwych ataków. Ponadto te programy właśnie często miały włączone automatyczne aktualizacje i samoczynnie bez naszego udziału łączyły się z siecią…nie powinny były tego robić wcześniej, tym bardziej nie powinny teraz…już trwają spekulacje, że kanał automatycznych aktualizacji systemowych może zostać wykorzystany do siania infekcji na komputerach, zwłaszcza na „osłabionych” XP-kach. Pozbywamy się więc dokładnie wszystkiego, co jest niebezpieczne, podatne, zbędna albo dla nas całkowicie nieprzydatne(odinstalowujemy, usuwamy albo wyłączmy działanie, usuwamy w usługach i w autostarcie):
- program zabezpieczający MSEoraz - jeśli wciąż mamy - również jego poprzednika Windows Defender
- skaner „Narzędzie do usuwania złośliwego oprogramowania”(Windows Malicious Software Removal Tool), którego kolejne wersje otrzymywaliśmy każdego miesiąca wraz z aktualizacjami systemowymi
- programy Outlook, Outlook Expressi komunikator Windows Messengeroraz związane z nimi usługi…jeśli potrzebujemy, to z pewnością znajdziemy dużo bardziej funkcjonalne i wygodniejsze programy pocztowe i komunikatory
- wszystkie nieużywane komponenty związane z Windows Live
- to dobry również moment na usunięcie Windows Media Player , który u większości ma domyślnie włączone aktualizowanie danych z sieci, współdzielenie plików oraz oczywiście aktualizacje od producenta.

Jednej przydatnej wciąż rzeczy się jednak nie pozbywamy…pakietu Office jeśli go mamy . Na systemie XP ostatnią obsługiwaną chyba wersją była wersja 2003, do której też już wsparcia producenta nie będzie, a wciąż jeszcze są maszyny z wersją 2000…i jak tak właśnie mam, czego ze względu na przyzwyczajenie, jako taką znajomość obsługi i wciąż niezaprzeczalną funkcjonalność nie mam zamiaru zmieniać.
Konieczne na tym etapie będą również poniższe, niemniej ważne rzeczy związane z usługami systemowymi (właściwie wszystkie poniżej wymienione usługi były na liście usług zbędnych i do wyłączenia zawartych w publikowanych lata temu poradnikach typu „jak odchudzić/podkręcić XP” i prawdopodobnie zostały już wyłączone, ale warto to sprawdzić):
- wyłączamy współdzielenie zasobów(dysków/folderów)…pozostawienie tej opcji włączonej bardzo ułatwia niekontrolowany i niepożądany dostęp do naszych danych,
- wyłączamy usługi zdalne jak zdalny dostęp, rejestr, pulpit, zdalną pomoc i obsługę techniczną, usługi terminalowe
- wyłączmy również takie usługi jak raportowanie błędów(nikt się nimi już nie zajmie przecież), NetMeeting Remote Desktop Sharing, czas systemu Windows, logowanie pomocnicze, klient sieci Web(WebClient), WebFolders .
- sprawdzamy czy deinstalacji wcześniej wymienionych komponentów nie pozostały jakieś aktywne wpisy – jeśli tak, to wyłączamy je.


Na koniec pozostawiłem do omówienia automatyczne aktualizacje systemowe…wyłączamy je całkowiciei nieodwołalnie z przyczyn podanych już wyżej, bo musimy sobie zapamiętać, że cudu nie będzie i naprawdę żadne aktualizacje od 8 kwietnia 2014 się nie pojawią …nie mogą się pojawić (taki stan jest na moment pisania artykułu) i raczej nic tego nie zmieni. Jeśli otrzymamy nagle jakiś komunikat, wiadomość na prywatną pocztę, że takowe aktualizacje są dla nas przygotowane, to naprawdę musimy to potraktować z rezerwą i powinniśmy starannie najpierw sprawdzić, czy rzeczywiście MS takowe opublikował, a najlepiej taką informację zignorować.
Naszym celem jest jednak otrzymanie systemu możliwie najbardziej aktualnego i niejako „zmrożenie” go tym stanie na przyszłość , dlatego konieczne są dla nas te systemowe aktualizacje tak długo, jak to tylko będzie możliwe. Nie musimy się tym jednak martwić, bo wszystko, co nam się jeszcze od producenta „należy” uzyskamy korzystając z przeznaczonej do tego strony Microsoftu – update.microsoft.com – strona ta jednak do poprawnego działania wymaga przeglądarki Internet Explorer, która na pewno jest zainstalowana w systemie. Pobyt na tej stronie skutkuje sprawdzeniem istniejących aktualizacji na naszym systemie i zaproponowanie zainstalowania tych najbardziej podstawowych, jak i tych opcjonalnych…te wszystkie najważniejsze (poza „Narzędziem do usuwania złośliwego oprogramowania”) instalujemy dla własnego dobra. Reszta opcjonalnych wedle uznania.

Słabe punkty czyli szukamy „dziury w całym” oraz usuwamy śmieci

Teraz przyszedł czas na kolejne porządki czyli przegląd tego, co jeszcze w systemie jest zainstalowanei rachunek sumienia – wciąż nam to potrzebne, czy może jednak nie. Zaręczam, że każdy z nas znajdzie pewnie niejeden program, o którego istnieniu właściwie zapomniał…jakąś grę, kolejną i nieaktualną już przeglądarkę internetową czy trzeci odtwarzacz filmów, który był tylko „na próbę”, może kodeki do muzyki. Wszystko to rozsądnie jest odinstalować – zwolnimy sobie miejsce na dysku, zmniejszymy zużycie zasobów, prawdopodobnie usuniemy jakieś niepotrzebne wpisy w autostarcie, zrobimy nieco porządków w systemie, odświeżymy go, a generalnie nie będziemy się musieli martwić, czy mamy te aplikacje zaktualizowane czy nie i ogólnie będziemy mieć poczucie dobrze spełnionego obowiązku Smile
To, co nam zostało dobrze jest zaktualizować do ostatnich dostępnych na XP wersji …i tu znów musimy pamiętać, że skoro producent systemu przestaje go wspierać, to z pewnością znajdą się producenci oprogramowania, którzy swoich aplikacji pod ten system rozwijać też już nie będą. Ilość producentów programów na XP idzie pewnie w tysiące, a ilość programów i ich kolejnych wersji z pewnością przekroczyła dziesiątki tysięcy, trudno więc wymagać, by ktokolwiek opublikował listę tego wszystkiego, na co jeszcze będzie można liczyć w nowszych odsłonach. Aktualizacje możemy przeprowadzić, szukając samemu na stronie producenta lub na innych zaufanych stronach z programami ewentualnie posiłkując się specjalistycznymi aplikacjamido wyszukiwania aktualizacji zainstalowanych na konkretnej maszynie programów (nawet niektóre portale z programami oferują swoje własne narzędzia do tego).

Kolejną rzeczą po aktualizacji programów jest aktualizacja pluginów/wtyczek do przeglądarek, a wśród nich tych najbardziej podatnych czyli Javy, Adobe Flashi ewentualnie Silverlight . Każda z dostępnych przeglądarek oferuje taką funkcję (chyba tylko IE nie) więc nie będzie to trudne, a jeśli nawet to można znaleźć dedykowany dla naszej lub uniwersalny dla wielu dodatek, które nam pomoże sprawdzić, jak aktualne mamy wtyczki.

Kiedy pozbyliśmy się już najbardziej newralgicznych programów i usług, kiedy mamy za sobą już proces aktualizacji systemu, czas sprawdzić, jak to wszystko naprawdę wygląda i jaki jest stan systemu pod kątem bezpieczeństwa . Microsoft dysponuje odpowiednim narzędziem – to Microsoft Baseline Security Analyzerczyli najprościej mówiąc skaner luk i podatności w systemie…oczywiście tych związanych z Microsoft. Program wykryje niezainstalowane jeszcze aktualizacje i poprawki, sprawdzi np. jeszcze nasze hasło. Z praktyki jednak wiadomo, że program cechuje się długotrwałym procesem skanowania, co może być niewygodne i frustrujące no i niestety jest po angielsku, co powoduje, że staje się niezbyt czytelny dla części użytkowników.
W zamian można zaproponować mały programik, który co prawda jest również po angielsku, ale jest tak prosty w obsłudze i w budowie, że tu nie sposób coś zepsuć. Program nazywa się Protector Plus - Windows Vulnerability Scanner(Proland Software) i jest jednym plikiem od razu do uruchomienia po pobraniu. Zaraz po uruchomieniu pyta, czy rozpocząć skanowanie, a po chwili już mamy listę wykrytych niezainstalowanych poprawek wraz z ich poziomem ważności. Dobrze program jest zainstalować w osobnym przeznaczonym dla niego folderze, ponieważ wynik skanowania jest dostępny w tworzonym zaraz po tym pliku HTML. Po otwarciu tego raportu otrzymujemy listę podobną do tej w ekranie programu, a do wszystkich znalezionych podatności mamy aktywne linki, dzięki czemu każdą poprawkę możemy zainstalować wedle konieczności i wyboru. Całość naprawdę jest bardzo poręczna i szybka.

Tym sposobem zbudowaliśmy podstawy pod system, który może funkcjonować spokojnie jeszcze przez lata…tak myślę, choć nie jestem w stanie przewidzieć jakiś katastrofalnych epidemii infekcji komputerowych i nie mam pewności, jak długo najbardziej aktualny i odizolowany Windows XP będzie mógł bezpiecznie funkcjonować. O tym jednak, jak go zabezpieczyć, napiszę w części drugiej artykułu.
Jeśli ktokolwiek ma uwagi, propozycje i pytania…piszcie i pytajcie…ten tekst ma być nie tylko gotowym poradnikiem, ale również platformą wymiany pomysłów i rozwiewania ewentualnych wątpliwości.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Świetny artykuł ichito! Beer
Btw.
Tak z mojej strony:
Zabezpiecz swój komputer!
1. Zainstaluj w komputerze oprogramowanie, które wykrywa wirusy oraz programy szpiegujące (spyware). Zainstaluj też zaporę sieciową (firewall). Regularnie aktualizuj te aplikacje ( Ja polecam CIS''A ).
 2. Pomyśl, zanim klikniesz na link lub otworzysz załącznik w e-mailu albo w komunikatorach internetowych, nawet jeśli pochodzi on od znajomych. Bądź szczególnie ostrożny, gdy nie spodziewałeś się takiej wiadomości i gdy jesteś w niej proszony o dane osobowe lub hasła.
 3. Nigdy nie kopiuj ani nie uruchamiaj programów z nieznanego źródła.
 4. Używaj haseł co najmniej ośmioznakowych, które oprócz liter zawierają cyfry i inne symbole. Regularnie je zmieniaj. Każde konto powinno mieć inne hasło.
 5. Transakcje w sieci przeprowadzaj tylko z renomowanymi firmami, które używają połączeń szyfrowanych.
 6. Nie podawaj poufnych informacji o sobie ani o swoich kontach, gdy korzystasz z niezabezpieczonych połączeń bezprzewodowych, na przykład w miejscach publicznych.
7. Ze swojej strony polecam doinstalować Malwarebytes anti-exploit, który nadal będzie chronił użytkowników, po skończeniu wsparcia, dla windows xp.
Odpowiedz
#3
Świetne porady , dzięki Beer
Odpowiedz
#4
Cytat: kanał automatycznych aktualizacji systemowych może zostać wykorzystany do siania infekcji na komputerach, zwłaszcza na „osłabionych” XP-kach

Co prawda nie mówimy w tym konkretnym przypadku o aktualizacjach systemowych, a programowych, ale właśnie tego typu ataki, jak omawiany poniżej są spodziewany na porzucony XP. Możliwe, że dotyczyć będą firm/instytucji, ponieważ system ten wciąż pracuje w takiej infrastrukturze np. banki, NFZ.
Cytat: Doczekaliśmy się (pierwszego?) ataku skierowanego jednostki polskich samorządów terytorialnych. E-mail, podszywający się pod producenta oprogramowania zamówionego przez Ministerstwo Finansów nakłaniał (co rzadko się zdarza) poprawną polszczyzną do zainstalowania fałszywej aktualizacji, zainfekowanej złośliwym oprogramowaniem.
Fałszywa bestia

Jak informuje portalsamorzadowy.pl, kilka jednostek samorządu terytorialnego otrzymało e-maila z fałszywą aktualizacją systemu [email protected] (Stworzonego przez Sygnity Informatycznego Systemu Zarządzania Budżetami Jednostek Samorządu Terytorialnego, przeznaczonego dla Ministerstwa Finansów, Regionalnej Izby Obrachunkowej i ich Zespołów Zamiejscowych oraz Jednostek Samorządu Terytorialnego i ich Związków):
Cytat: Mail z fałszywą aktualizacją został wysłany z adresu <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->, który jest łudząco podobny do adresu obecnego wykonawcy, czyli <!-- e --><a href="mailto:[email protected]">[email protected]</a><!-- e -->.

Incydent potwierdza producent (który informował o ataku już wczoraj przedwczoraj rano).

Jaki cel miał atak?

Celem atakujących było najprawdopodobniej przejęcie danych dostępowych do kont bankowych, jakimi zarządzają operatorzy oprogramowania [email protected] Jak informuje jeden z naszych czytelników, z tego samego komputera najczęściej wykonywane są przelewy na miliony złotych dziennie.

Takie ukierunkowanie ataku sugeruje, że mogą stać za nim osoby, które doskonale znają specyfiką pracy Jednostek Samorządów Terytorialnych.

Aktualizacja 20:30
Otrzymaliśmy zarówno pełen e-mail jak i próbkę oprogramowania (MD5: 9bb03bb5af40d1202378f95a6485fba8). Analiza trwa. Poniżej wynik skanowania programami antywirusowymi (złośliwe oprogramowanie rozpoznaje 30/51 antywirusów)

Całość http://niebezpiecznik.pl/post/atak-na-samorzady/
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Polemizowałbym z wyłaczeniem Live Update - moze sie okazac ze jednak zrobia jakies poprawki pomimo oficjalnego zakończenia wsparcia. Wsparcie nadal maja np. banki ze wzgledu na to ze wikszosc bankomatów chodzi na XP.
Odpowiedz
#6
zalew napisał(a):Polemizowałbym z wyłaczeniem Live Update - moze sie okazac ze jednak zrobia jakies poprawki pomimo oficjalnego zakończenia wsparcia. Wsparcie nadal maja np. banki ze wzgledu na to ze wikszosc bankomatów chodzi na XP.

OK...jeśli faktycznie wydana zostanie poprawka, to automatyczny update nam to zainstaluje lub o tym poinformuje...zgoda. Ale jeśli je wyłączymy, to wciąż mamy dostępny kanał przez IE, które pracuje w tylko wtedy, kiedy my chcemy, a nie mieli ciągle w tle niepotrzebnym już procesem. O takiej poprawce...oficjalnej...będzie raczej głośno w internecie, więc nie powinna umknąć uwadze. Poza tym, można aktualizacje włączać okresowo, choć nie widzę za bardzo sensu takiego działania...sprawdzenie dostępnych łatek jest znacznie szybsze ze strony MS.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#7
Btw.
Link do skanowania na virustotal ( No ta bestia Grin ) :https://www.virustotal.com/pl/file/1afc6.../analysis/
Odpowiedz
#8
zbc napisał(a):Link do skanowania na virustotal


Malwarebytes - ale wtopa, czy ten trojan nie jest targetem MBAMQuestion

Ciekawe, co by zrobił HMPA 2.6?

Edycja:

Jeszcze dzisiaj w nocy Malwarebytes nie wykazywał żadnego zagrożenia (nie zrobiłem zrzutu),
a teraz jednak wykrywa trojana; no nic, lepiej późno niż wcale...
Odpowiedz
#9
Bardzo, bardzo fajne poradniki, czego jeszcze nie miałem poprawionego w systemie lub o czym nie wiedziałem za poradą poprawiłem Suspicious Jednego tylko nie rozumiem:

ichito napisał(a):Na systemie XP ostatnią obsługiwaną chyba wersją była wersja 2003, do której też już wsparcia producenta nie będzie, a wciąż jeszcze są maszyny z wersją 2000

Office 2007 Home mam w domu, bez problemu aktualizuje się przez Microsoft update na XPku. Z kolein na uczelnianych komputerach na XP fruwają 2010 i też się aktualizują bez problemu. Rozumiem, że w razie ewentualnych problemów helpline mi nie pomoże, ale co poza tym? Ktoś może przypadkiem zrozumieć, że nowsze office w ogóle nie chodzą pod XP
Człowiek, któremu zazdroszczą najlepszych pomysłów na sygnatury...
Odpowiedz
#10
M''cin napisał(a):Bardzo, bardzo fajne poradniki, czego jeszcze nie miałem poprawionego w systemie lub o czym nie wiedziałem za poradą poprawiłem Suspicious Jednego tylko nie rozumiem:

ichito napisał(a):Na systemie XP ostatnią obsługiwaną chyba wersją była wersja 2003, do której też już wsparcia producenta nie będzie, a wciąż jeszcze są maszyny z wersją 2000

Office 2007 Home mam w domu, bez problemu aktualizuje się przez Microsoft update na XPku. Z kolein na uczelnianych komputerach na XP fruwają 2010 i też się aktualizują bez problemu. Rozumiem, że w razie ewentualnych problemów helpline mi nie pomoże, ale co poza tym? Ktoś może przypadkiem zrozumieć, że nowsze office w ogóle nie chodzą pod XP
Masz rację...punkt za uważne czytanie Smile To mój błąd i sam teraz nie wiem, czemu tak napisałem. Na XP SP3 faktycznie można jeszcze instalować MSOffice 2010, co widać na oficjalnej stronie Microsoft
http://technet.microsoft.com/pl-pl/libr ... 14%29.aspx
Office 2013 już na XP się nie uruchomi
http://technet.microsoft.com/pl-pl/libr ... fice.15%29
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz




Użytkownicy przeglądający ten wątek: 1 gości