bezpieczne Windows (tak jakby)

Na razie jedyną w miarę bezpieczną wersją Windows jest Windows S (sprzedawane z najtańszymi laptopami), gdzie można uruchamiać wyłącznie aplikacje ze sklepu Microsoftu. Właściwie jest to Windows Home przestawione w tryb S ("usprawnione pod kątem zabezpieczeń") i niestety wyjście z tego trybu jest nieodwracalne (bez sensu to zrobili, ale pewnie policzyli). Czyli chwilę po odkryciu, że czegoś nie ma w Microsoft Store i wyłączeniu trybu S zostajemy bezpowrotnie we wrogim środowisku, nieusprawnionym pod kątem zabezpieczeń.

Najprostszym sposobem usprawnienia (pod kątem zabezpieczeń) Windows Home jest pewnie zakup dobrego programu antywirusowego, tzn. lepszego niż wbudowany w Windows Defender. Ale po pierwsze trzeba wiedzieć który jest lepszy, a po drugie nie po to kupujemy najtańszego laptopa żeby zaraz do niego dopłacać. Zresztą wypowiadałem się krytycznie o programach antywirusowych już sto lat temu i zdania nie zmieniłem. Tyle że dziś już każdy chcąc nie chcąc używa programu antywirusowego. A tzw. złośliwe oprogramowanie i tak jest krok do przodu, o czym niewątpliwie świadczy nieustająco duża liczba infekcji.

Na szczęście jest też sensowna darmowa alternatywa. Bo Windows oprócz słabego programu antywirusowego ma dość skuteczny mechanizm blokowania uruchamiania wszelkiego oprogramowania, więc także złośliwego. To AppLocker. Co ciekawe (od Windows 10) — wbrew potocznej opinii — AppLocker działa również na Windows Home, niestety ta radosna nowina chyba zbyt powoli dociera do potencjalnie zainteresowanych użytkowników. Może dlatego, że konfigurowanie AppLockera na Windows Home/Professional jest mówiąc oględnie nieco karkołomne i niezbyt bezpieczne, trzeba to robić skryptami powershella. Więc nikogo nie namawiam, ale tym bardziej nie zniechęcam. Da się: Applocker on Windows Home. Na wszelki wypadek jeszcze link do samego źródła czyli skryptów Sandy Zeng na githubie. Rzecz jasna rozsądek nakazuje poćwiczyć na zwirtualizowanych Windows, gdzie łatwo wrócić do niezepsutej kopii.

Oczywiście żeby mieć pełny pożytek z AppLockera trzeba przestać pracować na koncie z uprawnieniami administratora. Zresztą i tak lepiej przestać. Na pewno wygodniej jest pracować jako administrator, nie trzeba w koło macieju podawać hasła (tylko raz przy logowaniu), ale to niestety przepis na katastrofę. Na koncie z uprawnieniami administratora najlepiej mieć więc jakieś trudne do złamania ale w miarę łatwe do wpisywania hasło, niestety — jak już wspomniałem — jako standardowy użytkownik dość często musimy je podawać.

Więc jeśli właśnie kupiliśmy laptopa to od razu zakładamy drugie konto do codziennego użytku, bez uprawnień administratora. A jeśli do tej pory nierozważnie i lekkomyślnie działaliśmy na koncie z uprawnieniami administratora to zakładamy drugie konto z uprawnieniami administratora, sprawdzamy czy działa, a potem zabieramy prawa administratora sobie, czyli kontu, którego normalnie używaliśmy i nadal używać zamierzamy. Od tej pory działamy jako standardowy użytkownik, któremu nasze drugie ja (opiekuńczy administrator) odbiera prawo strzelania sobie w stopę z granatników.

Jako administrator za pomocą AppLockera powinniśmy uniemożliwić sobie/użytkownikowi (czyli i złośliwemu oprogramowaniu) uruchamianie wszystkiego, co nie zostało świadomie i porządnie zainstalowane z konta administratora. Oraz — zachowując dużą ostrożność — wszystkiego co już jest na komputerze (bo wchodzi w skład systemu operacyjnego Windows) i da się kreatywnie wykorzystywać do infekowania, a nam (w roli użytkownika) nie jest do życia potrzebne. Ponieważ dziś już każdy ma program antywirusowy (sprawdzający, czy sygnatura uruchamianego programu znajduje się w bazie wirusów), to źli ludzie posługują się coraz częściej i coraz sprawniej systemowymi programami Microsoftu. Wiadomo że na komputerze już są, a w bazie wirusów się nigdy nie znajdą. Lista ich jest długa i możliwość uruchamiania części z nich na pewno warto odebrać sobie jako standardowemu użytkownikowi.

Próba uruchomienia zablokowanego programu od razu rzuci się w oczy:
Żeby zobaczyć co zostało zablokowane trzeba zajrzeć do logu Microsoft-Windows-AppLocker%4EXE and DLL.evtx — rejestrowane są tam wszystkie próby uruchomienia programów, także dozwolone, czyli np. w przypadku Firefoksa czy innej przeglądarki każde otwarcie nowej zakładki, niestety podobno nie można tego inaczej ustawić.

Zaoszczędzone dzięki zrezygnowaniu z "lepszego programu antywirusowego" pieniądze można np. pożytecznie przeznaczyć na zakup klucza sprzętowego Yubico i zabezpieczyć np. swoje konto na Google (gdzie mamy pozapisywane wszystkie hasła).

sprzedawcy dziurawych kondonów

Może wreszcie drgnęło w skompromitowanej wielokrotnie branży — pierwszy sprzedawca dziurawych kondonów potrafiący powiedzieć: That’s a spectacular failure for our company, and for the antivirus industry in general. Chodzi rzecz jasna o Stuxnet, DuQu i Flame. A na drugą nóżkę Aurora, Night Dragon i Shady Rat — They left McAfee, Alperovitch says, because it and the rest of the cyber-security industry are building the wrong products.

Jeśli ktoś jeszcze nie wie, Twittera można (wygodnie?) czytać w postaci RSS. Przepis do wyguglania.

narodowa kultura defekacji i infekcji

Is India's lack of toilets a cultural problem?
Economics Journal: What Connects Cellphones and Toilets?

Stąd: Researchers Clobber Khelios Spam Botnet (wytłuszczenia moje)
"Meyers said that, for some unknown reason, the largest single geographic grouping of Khelios-infected systems – 25 percent — were located in Poland. U.S.-based ISPs were home to the second largest contingent of Khelios bots. Meyers said about 80 percent of the Khelios-infected systems they sinkholed were running Windows XP, an increasingly insecure operating system that Microsoft released more than a decade ago."

A tu jest po polsku oraz mapka: Kaspersky Lab i CrowdStrike zamykają drugi botnet Hlux/Kelihos - ogromna ilość zainfekowanych komputerów działała w Polsce

fakapik czy wtopka

Kilka lat temu sfrustrowany Chińczyk Li, daremnie szukający pracy w branży IT, napisał wirusa/trojana zamieniającego m.in. hurtem ikonki windowsianych programów w pandy palące kadzidełka (Fujacks, "panda pandemonium" wg WSJ). Odsiedział za to tylko trzy lata (bo z czterech) i wyszedł ostentacyjnie zresocjalizowany: jak podaje Reuters, skruszony Li Jun pomaga dziś pandom (50000 juanów) i pracuje w Panda Security. Zatrudnienie byłego złoczyńcy przez konkurencję ochoczo skomentowała inna firma ochroniarska, Sophos, a konkretnie jej starszy konsultant Cluley na firmowym blogu.

Całkiem ładna notka mu wyszła, niestety Panda S. kategorycznie zaprzeczyła jakoby, natarczywie domagając się sprostowania. Tak więc notka była stopniowo prostowana (tytuł najpierw, ślad został w urlu), aż wreszcie wszystko zostało wyjaśnione. Owszem, jakiś chiński dystrybutor Pandy wykorzystywał Li Juna marketingowo, ale w Pandzie Security nie było i nie ma dla takich miejsca. Byłbym może nawet współczuł nieszczęsnemu Cluleyowi, gdyby nie jedno zdanie: "Do we really want malicious hackers to think that malware might be a shortcut to a new job?". Ofkors not, ale czy trzy lata w pierdlu są atrakcyjną drogą na skróty?

Źródło (dez)informacji bije tu: China computer virus creator donates cash for panda, works for web security, czyli w agencji Xinhua. Akurat wczoraj Chiny Ludowe dołączały do elitarnej grupy państw niezadowolonych z wręczenia ich obywatelowi pokojowej nagrody Nobla — są tam już np. hitlerowskie Niemcy (Ossietzky), breżniewowski ZSRR (Sacharow) czy jaruzelski PRL (Wałęsa) — więc Xinhua rozpaczliwie próbowała "coś zrobić". Nie do wiary, ale trochę im się udało.

Liu Xiaobo ma podobno wyjść na wolność z więzienia 21 czerwca 2020 (będzie miał wtedy 64 lata).