IT-säkerhetsskolan 2 – Antivirus
Välkomna till det andra avsnittet i Optinets IT-säkerhetsskola. Detta avsnitt handlar om ett stort och kärt ämne – antivirus
(detta blir ett lååångt avsnitt)!
Först innan vi börjar vill vi klargöra en sak: ett helt säkert antivirus finns inte. Enda sättet att vara helt säker på att inte drabbas är att använda en dator som inte har någon kontakt med omvärlden alls. Ingen internetuppkoppling, inga CD-skivor, inga USB-minnen, ingenting – då är du säker!
Som alla säkert inser blir en sådan dators användningsområden begränsade. Man kan i och för sig skriva en roman och printa ut den på papper … Därför skall vi också beröra lite vad ett farligt beteende är.
Vad är ett då ett bra antivirusprogram och vad är ett dåligt? Ja, eftersom detta är en IT-säkerhetsskola så skall vi inte lyfta fram några speciella fabrikat som bra eller dåliga, vi kan nöja oss med att säga att det finns många. Några av de vanligare är: Symantec (Norton), Mcafee, Trend, Eset (Nod 32), Panda, Vipre (GFI), Kaspersky, Microsoft med flera. Ett av de stora problemen med ALLA antivirusprogram är att de är reaktiva, det betyder att de reagerar på hot EFTER att de uppkommit. Först skapar någon ett virus, sedan modifierar man skyddet så att antivirusprogrammet kan upptäcka det. Detta innebär att det ALLTID finns en risk att bli smittad. Om någon säger något annat vet dom inte vad dom talar om! Det finns metoder att upptäcka virus direkt, men dessa fungerar sällan så bra som tillverkarna vill ge sken av, läs mer under avancerat.
Är det då så viktigt att ha ett antivirusprogram? Ja, tyvärr. Har man inte det är risken att bli smittad väldigt stor. Enligt flera oberoende källor finns det i dagsläget över en miljon kända virus!
Men om vi backar lite, vad är egentligen ett datavirus? Ja, per definition är det ett dataprogram som besitter egenskapen att kopiera sig självt vidare till en annan dator, ungefär som ett vanligt mänskligt virus som smittar från person till person. På precis samma sätt kan smittvägarna vara olika, tex. USB-minnen, mail (e-post), surfning (hemsidor), CD-skivor, olika messenger-program (MSN, Skype), fildelningsprogram (DC, Torrent), nätverk, trådlösa nätverk. Som ni märker är smittvägarna många och nya metoder uppfinns hela tiden.
Vidare finns det en hel del varianter av virus, t.ex. trojaner, maskar, adware (annonsprogram), malware (okynnesprogram), spyware (spionprogram). Alla dessa är dock inte virus, dvs. de kan inte smitta. Man kan mycket väl ha fått in dem i datorn, men de smittar inte vidare, de bara ställer till ett eller annat problem som man antingen märker eller inte märker. Det mest otrevliga man kan råka ut för är om man får in ett program som gör att någon annan kan lagra sin information i din dator, t.ex. barnporr. Detta är dock som tur är mycket ovanligt, men förekommer tyvärr. En mask är den typ av datorvirus som är jobbigast att hantera, den sprider sig själv vidare utan att användaren behöver gör någonting, det räcker att datorn är påslagen. Trojaner är program som ser ut att vara en sak, t.ex. ett spel, men i själva verket gör något helt annat, t.ex. spionerar på din bankinloggning.
Det vanligaste är att ett antivirusprogram även upptäcker mer än bara virus (dvs. resten av de hot vi räknat upp ovan). Dock gör inte alla detta så det är viktigt att kolla upp hur det antivirusprogram man själv använder fungerar.
Nu till själva lektionen: Vad är viktigt att kunna/veta?
1. Har du antivirusprogram installerat på datorn? Detta är nummer ett, ibland saknas det helt. Det finns både gratisvarianter och betalvarianter som kostar några hundralappar per år. Du MÅSTE känna till vad ditt antivirusprogram heter!
2. Är det uppdaterat? Som vi sa tidigare så är programmen reaktiva, det betyder att de måste uppdateras regelbundet. Någonstans kan du hitta information om när programmet uppdaterades senast. Normalt sett genom att högerklicka på programmet som oftast ligger som en ikon nere till höger på skärmen och välja open eller about. Windows kan också varna för att ditt antivirus inte är uppdaterat. Var dock helt säker på att varningen kommer från Windows!
3. Hur är programmet inställt att arbeta? Ja, nu börjar det bli lite svårt. Ett antivirusprogram jobbar normalt på två sätt, dels i realtid, d.v.s. att det fångar virus direkt t.ex. när du öppnar ett mail som är smittat och dels genom schemalagda genomsökningar (scanning) av hela din dator. Om inte viruset fångas när det kommer in i datorn så skall det hittas av nästa genomsökning, det är tanken. Du bör känna till när genomsökningarna sker och ATT de sker (du kanske märker av dem ibland för datorn brukar bli långsammare just då).
Som om inte detta var nog bör du också komplettera med ett Antimalwareprogram. Tyvärr räcker det sällan med ett antivirusprogram för att göra hela jobbet. Här finns det en del bra gratisversioner för närvarande, t.ex. Malwarebytes eller Ad-aware.
Varning 1! Ha ALDRIG mer än ett antivirus installerat samtidigt på datorn (vi skiljer alltså på antivirusprogram och antimalwareprogram), detta kan ställa till stora problem och till och med göra datorn helt obrukbar! Ett bra skydd är att ha ett bra, uppdaterat antivirus installerat i kombination med ett Antimalwareprogram som används för att scanna datorn då och då eller när man blir orolig.
Varning 2! Många virus (trojaner, malware, etc.) är förklädda till just antivirusprogram, installera därför ALDRIG program på datorn som du inte känner till. Klicka heller ALDRIG på rutor som poppar upp om du inte är HELT SÄKER på att dessa är från ditt riktiga antivirusprogram eller Windows eller något annat program du känner till. Detta är mycket viktigt! Varje vecka kommer vi i kontakt med användare som klickat på något och sedan fått in en infektion i datorn. Ett felaktigt klick räcker …
Vad är ett farligt beteende?
Ja, om man hårddrar det lite skulle man kunna säga att så fort du har mail installerat eller surfar på internet så börjar det bli farligt. Det är i och för sig sant, men vi kan minimera risken betydligt genom att:
1. Lära känna ditt antivirus och hålla koll på att det är uppdaterat.
2. Öppna inte mail och framför allt inte bilagor (filer) i mail som du inte litar på. Här finns dock en del fallgropar. Rätt vad det är får du ett mail från en bekant (och han/hon litar du ju på), men det behöver inte vara säkert för det. Du vet inte att hans/hennes dator inte blivit smittad och du kan inte ens veta att mailet verkligen kommer från hans/hennes dator. Läs därför mailet noga (är det skrivet på engelska kan man ju bli misstänksam) och är du inte säker så öppna det inte.
3. Undvik oseriösa sidor på internet. De mest oseriösa sidorna är de som hanterar piratkopiering, först och främst dataprogram, men även filmer och musik. Porrsidor behöver inte vara så oseriösa (på detta sätt, men kanske på andra ..), men kanske bör undvikas av andra skäl.
4. Klicka inte på rutor som poppar upp automatiskt om du inte är helt säker, detta kan inte betonas tillräckligt mycket …
5. Ju vanligare program du använder, desto större blir också risken. Använder du Windows, Microsofts antivirus och Internet Explorer är du mer i riskzonen än om du byter till Vipre och Google Chrome t.ex.
Hur vet jag att jag blivit smittad?
Ibland märker man det för att datorn beter sig konstigt, ibland märker man det inte alls. En vanlig missuppfattning är att virus kan radera hela hårdisken, men det är inte speciellt sannolikt eftersom det då också skulle radera sig självt och inte kunna sprida sig vidare, ett sådant virus skulle inte bli så framgångsrikt. Om fönster börjar poppa upp (med reklam t.ex.) helt omotiverat har man definitivt fått in något i datorn. Det man bör göra då är att scanna datorn, dels med sitt antivirusprogram och dels med sitt antimalwareprogram. Detta hjälper tyvärr inte alltid och då får man ta kontakt med någon mer datakunnig! Använd inte datorn mer i detta läge!
Att antiviruset faktiskt FÅNGAT ett virus brukar normalt sett visa sig genom att ett fönster poppar upp (och nu gäller det att veta att det faktisk är det riktiga programmet och inte någon falsk trojan) och detta innebär INTE att man fått virus, utan helt enkelt att allt funkar som det ska. Man skall dock fundera på vad man gjorde och försöka undvika detta i fortsättningen.
Hoppas detta avsnitt har gett någon klarhet i detta kära ämne som vi nog tyvärr får dras med ett tag till!
Just det – backup! Virus KAN radera information och då måste man ha backup på sina filer glöm inte det!
Avancerat
För att ta upp tråden som vi släppte ovan finns det metoder att hitta virus utan att ha uppdaterat sina signaturfiler, dessa metoder brukar normalt kallas heuristisk detektering (men andra hitech-namn kan också förekomma). Vi, Optinet, har dock gjort tester på detta och genom att endast ändra några oskyldiga tecken i ett skarpt virus kunna få det att passera obemärkt genom en scanning. Så tyvärr fungerar den metoden bäst i reklambladen!
På ett företag där man behöver övervaka många datorer (10, 20, 100 etc) är det ohållbart att användarna skall ta ansvar för antivirushanteringen och inte heller ekonomiskt. Man behöver ett centralt övervakningssystem. Med detta kan man se till att alla klienter hålls uppdaterade, man kan se vilka datorer som blivit smittade och vidta nödvändiga åtgärder. Man bör också kontrollera sina mailströmmar och kanalisera mailen genom något filter innan den landar i företagets interna mailserver. Vidare samverkar antivirusarbetet mycket med uppdateringar och patchning, så läs även det avsnittet i vår it-säkerhetsskola. Har man väldigt högt ställda krav bör man även överväga virusskydd i brandväggar eller någon proxyfunktion för surfandet på företaget!