המדריך השלם להגנה על המחשב (מומלץ)
להלן הגירסה שלי להגנה על המחשב. (המונחים מתייחסים למערכות הפעלה חלונות עם ממשק באנגלית. באם הגירסה שלכם היא עם ממשק בעברית יש לחפש את המונחים המקבילים). ההגנה מתייחסת רק לסכנות מכיוון האינטרנט, ולא לסכנות מכיוון של מישהו שיש לו גישה פיזית למחשב שלכם.
i. דברים שחשוב להקפיד עליהם:
א. עדכוני אבטחה באופן שוטף למערכת ההפעלה ולתוכנות שקשורות באופן ישיר או עקיף עם האינטרנט. (אפשר ונוח להשתמש ב- windows update, ולעדכן עדכונים קריטיים). יש להקפיד על זה, כי הרבה וירוסים וסוסים טרויאנים מנצלים חורי אבטחה כאלו כדי להפעיל את עצמם אוטומטית.
ב. תוכנת אנטיוירוס מעודכנת תמיד שרצה ברקע. יש להקפיד שהיא תהיה מעודכנת עד כמה שאפשר, כי לפעמים וירוסים מפיצים את עצמם במהירות כל כך גבוהה, שעדכון בן שבוע-שבועיים לא יספיק. במידה ויש עדכון נפרד למנוע סריקה ולקובץ נתוני וירוסים, יש לעדכן גם את זה וגם את זה.
ג. אם אינכם מחוברים ברשת פנימית, יש לוודא (מתוך network שב- control panel) ש- "file and print sharing" מכובה (כלומר לא מסומן).
אם אתם מחוברים ברשת פנימית, וצריכים לשם כך את ה- file and print sharing" מומלץ להתקין פיירוול שחוסם תקשורת מבחוץ לפורטים 130-139 במחשבכם. אם לא, אז יש לפחות להקפיד להגדיר חלונות שם משתמש וסיסמה לא טריויאלית.
ד. אם אתם משתמשים בתוכנות כמו outlook express או microsoft outlook, יש מתוך התוכנה להגדיר שהיא תריץ html כ- restricted zone (תוגדר כ- restricted zone). לא בטוח שבכל הגירסאות, אבל לפחות בחלקן היא מוגדרת כ- local/intranet zone, וזה מתכון שמייצר הרבה בעיות אבטחה.
ה. (וזה החלק הכי פחות טריויאלי) - להבין כיצד וירוסים גורמים לכם להפעיל אותם וחודרים אליכם למחשב, ולדעת להמנע מזה.
זה נושא גדול ולא טריויאלי, וככל שתבינו בזה יותר, כך יהיה יותר קשה לוירוסים לחדור אליכם ולאנשים להחדיר אליכם סוסים טרויאנים.
מגוון הטריקים גדול מאוד. למשל ידועים הרבה מאוד טריקים שוירוסים משתמשים בהם כדי להראות כקבצים שאינם קבצי הרצה (לדוגמא קבצי jpg או txt), בעוד שהם כן קבצי הרצה. הדבר כולל למשל המנעות מהרצה והפעלה של קבצים שאתם מקבלים דרך icq או irc, או תוכנות שיתוף למיניהן (כדוגמת קאזה או גנוטלה). למשל יש וירוס מוכר שעובר ברשת גנוטלה, ובכל פעם שאתם מחפשים ברשת קובץ עם שם מסויים, והבקשה מגיע למחשב נגוע בוירוס הנ"ל, הוירוס יציע את עצמו בתחפושת של מה שחיפשתם (כלומר כקובץ עם אותו שם שחיפשתם).
הדבר כולל גם לחשוד בכל קובץ שאתם מקבלים בדואר אלקטרוני - גם אם הגיע כביכול מאדם שאתם מכירים וסומכים עליו. יתכן שהמחשב של אותו אדם נגוע והוירוס שולח את עצמו משם תחת השם של משתמש המחשב. הרבה מאוד וירוסים עובדים ככה. הבעיה העיקרית בסעיף זה זה לדעת להבדיל ביןקובץ הרצה לקובץ שאינו קובץ הרצה, כי כמות הטריקים כאן לא קטנה. תוכלו לקרוא על זה עוד ב-
http://212.117.138.119/uzi/eng/safe.html
ו. תזכרו שגם אם אנשים שולחים לכם בתמימות קבצים שיש להם במחשב, יתכן שהם לא מודעים לכך שהמחשב שלהם נגוע בוירוס ושהוירוס הדביק את הקבצים הללו.
ז. גיבוי של חומר חשוב. קצב הגיבוי, וסוג הגיבוי משתנה בהתאם לאופי החומר שיש לכם על המחשב, ולאפשרויות שלכם.
אלה הדברים הכי חשובים.
ii. יש עוד דברים שאפשר לשקול, ושישפרו את האבטחה של מחשבכם. למשל:
א. תוכנת אנטיוירוס נוספת. כדעה נוספת לבדיקת קבצים חדשים לפני הרצתם.
ב. תוכנת פיירוול אישי. גם כאן יש גישות שונות עם רמות נוחיות והגנה שונות.
ג. הגבלת הגדרות הבטיחות באזורי האבטחה השונים באינטרנט אקספלורר, לישומים בטוחים בלבד. למשל אתם יכולים לחסום activex ואז להיות מוגנים מניצול חורי אבטחה שמתגלים מדי פעם ב- activex. יש כאן גם מחיר של חסימת שימושים לגיטימים, ולכן יתכן שתרצו במקביל לחסימות כאלו ב- internet zone, להתיר אותם ע"י הגדרת customization של ה- trusted zone, ולשים שם אתרים שאתם סומכים עליהם. להרבה אנשים כדאי לחסום ישומים בעייתיים ב- internet zone, ולהגדיר את ה- trusted zone כ- medium security.
ד. לא נכנסתי לאלמנטים של פרטיות כמו cookies, או מניעת spams, וכדומה. אפשר להרחיב כאן הרבה, אבל זה מעבר למסגרת המכתב הנוכחי שלי.
ה. ביטול netbios over tcp/ip לחלוטין (דרך ה- control panel/network).
3. המלצות לדרגת פרנואידיות גבוהה יותר:
א. שימוש בשרתי פרוקסי מסוג anonymizers ואי-שימוש בתוכנות שחושפות את ה- ip שלכם לכל מעוניין.
ב. הגבלות קשוחות בפיירוול ועל קונפיגורציית התוכנות שמשתמשים בהן. אי-שימוש בתוכנות שרת או בתוכנות peer2peer. המנעות משימוש בתוכנות דואר אלקטרוני של מייקרוסופט.
ג. שימוש בתוכנת אנטיוירוס שלישית כדעה נוספת. אפשר גם רביעית וכדומה.
ד. מעבר למעכות הפעלה מאובטחות יותר (כאלה שלמשל מאפשרות בניית מערך הרשאות, כמו win2000 עם ntfs או כמו linux, וכדומה.
ה. הרשמה לרשימת תפוצה שמעדכנת בעדכונים שוטפים שקשורים לאבטחה, וכדומה.
ו. אי החזקה של חומר רגיש על המחשב שלכם. חיבור מינימלי לאינטרנט, ועוד ועוד.
ז. למעשה במחלקה של "פרנואידיות גבוהה" (סעיף iii) אפשר להוסיף עוד המון סעיפים, עד לקצה גבול הפרנואידיות (ניתוק מוחלט מהאינטרנט כתנאי הכרחי).
