Je computer beveiligen anno 2015: een handleiding

Deze post gaat een keertje niet over de scheikunde. In plaats daarvan ga ik het hebben over computerbeveiliging. Maar wat valt daar eigenlijk over te vertellen? Je installeert een antivirus en dan ben je klaar, toch? Nee, helaas.

De wereld van informatiebeveiliging verandert zo snel dat beveiligingstechnieken van 5 – 10 jaar geleden al nutteloos zijn. Ook professionele IT’ers zijn vaak niet op de hoogte van de laatste veranderingen.

Deze tekst is sterk gebaseerd op de uitleg van een Engelstalige beveiligingsexpert (op een gesloten website, dus ik kan niet linken). Hij is op de hoogte van de laatste ontwikkelingen. Ik weet zelf genoeg van het onderwerp om te weten dat zijn uitleg te vertrouwen is.

Dat gezegd hebbende, deze uitleg is niet perfect (dat kan niet), en misschien is de situatie over 5 jaar weer compleet anders. Daarom probeer ik het vrij algemeen te houden.

Ik ga het eerst hebben over het beveiligen van je computer tegen infecties. Vervolgens ga ik het hebben over het gebruik van wachtwoorden op internet. Ik denk dat beide hoofdstukken je wel eens kunnen verbazen.

Je computer beveiligen

Eerst even twee zeer belangrijke punten:

  • Je kunt nooit ALLE infecties voorkomen. Zorg dus dat je back-ups maakt van je belangrijke data, het liefst op een schijf die je los van je computer bewaart.
  • Computers zijn uit zichzelf helemaal niet slecht in het tegenhouden van virussen. 95% van de virussen en andere malware komt binnen doordat de gebruiker op een verkeerd linkje klikt of een slecht programma installeert. Je bent je eigen vijand. Wees dus altijd voorzichtig en leer verdachte pagina’s, e-mails en programma’s herkennen.

Antivirusprogramma’s

Helaas zijn antivirusprogramma’s grotendeels nutteloos geworden. Alle antivirusprogramma’s werken ongeveer hetzelfde. Ze hebben een dagelijks bijgewerkte lijst van ‘herkenningspunten’ (signatures) van virussen. Als je een bestand downloadt en er staat een herkenningspunt in, gaat het antivirusprogramma klagen. In de vroege dagen van het internet werkte dat prima. Er waren weinig virussen en ze verspreidden zich traag.

Tegenwoordig gaat dat veel sneller. En een virusbouwer kan zonder moeite duizenden varianten op een virus maken, elk met eigen herkenningspunten. antivirusprogramma’s kunnen dat gewoonweg niet meer bijbenen. Symantec, het bedrijf achter Norton Antivirus, heeft toegegeven dat antivirusprogramma’s maar 45% van de virussen kunnen tegenhouden. (Om verwarring te voorkomen en een lezersvraag te beantwoorden, de vorige zin betekent niet dat ik Symantec-producten aanraad.) Volgens een ander onderzoek kunnen ze zelfs maar 5% van nieuwe virussen tegenhouden.

De bouwers van antivirussoftware willen natuurlijk verkopen, en adverteren met allerlei technische snufjes. Of ze betalen zogenaamde vergelijkingssites om ze een hoog cijfer te geven. Laat je daardoor niet om de tuin leiden.

Realiseer je dat een antivirusprogramma lang niet alles oplost, maar dat er naast antivirusprogramma’s nog andere manieren zijn om malware tegen te houden. Daarover later nog wat meer.

Moet ik een antivirusprogramma gebruiken? Zo ja, welke?

Ja. Ze zijn niet perfect, maar ze kunnen wel heel goed de wat oudere virussen tegenhouden, en daarmee neem je toch een behoorlijk risico weg.

Er zijn veel antivirusprogramma’s. Sommige zijn gratis, en sommige zijn betaald.

Een tip: Als je voor een groot bedrijf werkt of studeert, dan kun je vaak op je thuiscomputer gratis gebruik maken van de antivirusoplossing die je werkgever of school gebruikt. Een voordeel van dergelijke grote antivirusprogramma’s is dat ze gegevens van de gebruikers verzamelen om meer te weten te komen over virussen. Daardoor hebben ze een betere ‘dekking’.

Mocht je die optie niet hebben, of geen interesse hebben in die bedrijfsversie, dan is het het beste om voor een gratis antivirusprogramma te gaan. Er zijn er heel wat: AVG, Avira, Avast, Bitdefender, en Microsoft Defender. Het maakt niet zo heel veel uit welke je gebruikt. Voor Windows-gebruikers zou ik Microsoft Defender aanraden. Omdat dat ‘ingebouwd’ zit maakt het je computer nauwelijks langzamer, en hij is ongeveer even goed als de andere opties.

Denk overigens niet dat je volledig veilig bent met een Mac of Linux-computer. Vroeger waren er voor die systemen nauwelijks virussen, maar er beginnen er steeds meer op te duiken.

Nog een belangrijk punt: de gratis antivirusprogramma’s zijn over het algemeen net zo goed als de betaalde. Het is het niet waard om te betalen voor antivirus.

Maakt antivirus mijn computer trager?

Ja, dat kan zeker. Dat ligt deels aan welk programma je gebruikt, en deels aan de instellingen van je antivirus. Gebruik je je pc alleen om te gamen? Stel de scanner dan in dat hij alleen scant wanneer bestanden worden ingelezen (scan on read). Gebruik je je pc om bestanden van internet op te slaan? Stel dan in dat hij scant wanneer er bestanden opgezet worden (scan on write). Over het algemeen kun je het beste allebei de opties aanzetten.

Je kunt het ‘overslaan van mappen’ (whitelisten) tijdens een scan beter niet gebruiken. Er bestaan virussen die slim genoeg zijn om zichzelf in juist die mappen te verstoppen.

Ondanks mijn antivirus heb ik een infectie! Wat nu?

Denk aan wat ik eerder zei: veruit de meeste virussen komen op een computer doordat de gebruiker op iets verkeerds klikt. Dit is een leermoment.

Het allereerste wat je wil doen is je computer volledig van het internet halen. Veel virussen geven de virusmaker controle over je computer. Als je dan probeert het virus te verwijderen, zet hij hem vrolijk terug.

Daarna moet je gaan bedenken op welke manier je dit wil oplossen. Is het een relatief onschadelijk virus dat voor reclame-pop-ups zorgt? Doe een scan met een speciaal virus-verwijderprogramma. Is het een grote infectie en heb je geen idee wat er allemaal gebeurt met je computer? Denk je dat je je computer niet meer kunt vertrouwen met je bankgegevens of je internetwachtwoorden? Dan is het het beste om de harde schijf volledig te wissen en je computer opnieuw te installeren. (De veiligste optie is om dit op een speciale manier te doen waarbij de opstart-sector van de harde schijf ook gewist wordt. Daar kan een virus zich soms ook verstoppen.)

Denk eraan dat zelfs als je de scan doet, het virus mogelijk niet helemaal weg is. Ook na een scan moet je bedenken of het niet beter is je computer opnieuw te installeren.

De beveiligingsexpert raadt de opstart-cd van Sophos aan als goed virus-verwijderprogramma. Het is de bedoeling dat je kort voor de scan deze cd aanmaakt vanaf een schone computer, zodat je de laatste versie krijgt. Dan kun je de geïnfecteerde computer opstarten met de cd erin, en gaat Sophos zijn best doen het virus te verwijderen.

De cd werkt echter niet voor sommige soorten computers. Een andere optie is een virus-verwijderprogramma waarvoor je je computer niet op een speciale manier hoeft te starten. Hiervoor kun je bijvoorbeeld Malwarebytes of McAfee Stinger gebruiken. Deze werken ook zonder internetverbinding.

Maar nogmaals, de computer is nu geïnfecteerd geweest, en tenzij je precies weet wanneer de infectie plaatsvond en hoe de computer er voor die tijd uitzag, kun je hem zelfs na een scan niet volledig meer vertrouwen.

Wat kan ik doen tegen ‘exploits’?

Bij een exploit maakt iemand misbruik van een foutje in je computer om rottigheid uit te halen.

De makkelijkste oplossing is zorgen dat je altijd de laatste updates van je programma’s installeert. Veel updates doen niets anders dan zulke foutjes eruit halen.

Daarnaast is het goed om te weten wat voor programma’s exploits kunnen hebben. In principe is dat elk programma. Ook besturingssystemen zelf hebben exploits (zet dus nooit Windows Update uit). Maar je loopt een extra groot risico met programma’s die vanuit het internet draaien. Dan heb ik het vooral over online Java en Flash applicaties. In principe is het veiliger om beide volledig te blokkeren, maar dan zullen een hoop goede websites ook niet meer werken zonder dat je elke keer met instellingen gaat klooien. Ik heb zelf Flash gewoon aan staan en probeer voorzichtig te zijn op het internet.

De beveiligingsexpert raadt aan om het Microsoft-programma EMET te installeren. Ik heb er zelf geen ervaring mee, maar volgens hem houdt het allerlei exploits tegen en maakt het je computer niet echt trager. Ik ga het eens uitproberen om te zien of het geen ongewenste bijwerkingen heeft. (Mocht je BitLocker op je computer hebben, dan moet je wel even goed opletten. Volgens de handleiding werkt EMET daar niet goed mee samen tenzij je allerlei instellingen verandert.)

Hoe zit het met pop-up- en adblockers?

Online reclames, ‘ads’, dragen soms een virus mee. Daarom is het goed om een adblocker te gebruiken als je het internet op gaat. Denk eraan dat sommige websites bestaan door hun reclameopbrengsten, dus als je een website vertrouwt en hen wil steunen kun je specifiek voor die site de adblocker uitzetten.

De meest populaire adblocker is waarschijnlijk nog steeds AdBlock Plus. Deze wordt echter afgeraden omdat ze (sinds kort) een deal hebben met een aantal reclamebedrijven en zelf niet meer helemaal zuiver zijn. In plaats daarvan worden uBlock Origin (scroll een stuk naar beneden voor installatie-instructies) en uBlock aangeraden. Die lijken op elkaar, ze zijn namelijk van hetzelfde programma afgesplitst. Voor zover ik begrijp zijn ze beide wel goed, maar wordt Origin beter up-to-date gehouden. Origin werkt echter niet op Safari, mocht je die browser gebruiken.

Veilig gebruik van wachtwoorden

Waarom?

Om te beginnen: waarom is het zo belangrijk om veilige wachtwoorden te gebruiken?

Een van de grootste problemen is identiteitsfraude. Als mensen toegang krijgen tot je mail, of tot je facebook, of wat dan ook, dan kunnen ze al snel genoeg informatie bij elkaar halen om jou te imiteren. Criminelen doen dat in een poging bij je bankrekening te komen, geld uit te geven in jouw naam, of allerlei illegale dingen te doen met jouw naam. Er zijn verhalen van slachtoffers van identiteitsfraude, die na jaren en jaren nog steeds onverwachte bezoekjes van de politie kregen en die geen rekeningen meer konden openen bij banken. Dat wil je niet meemaken.

Daarnaast zijn er genoeg andere redenen te bedenken waarom je niet wil dat anderen bij je login-gegevens kunnen. Maar die kun je vast zelf wel bedenken.

Middelmatige tips

Je kent de tips wel. Gebruik lange wachtwoorden. Gebruik cijfers en leestekens. Gebruik hetzelfde wachtwoord nooit twee keer.

Dat is allemaal leuk en aardig, maar wie kan er zoveel ingewikkelde wachtwoorden onthouden? Ik in elk geval niet. Sommige mensen lossen dat op door voor elke website hetzelfde wachtwoord te nemen maar met een uniek getal aan het eind. Maar dat blijkt ook niet helemaal veilig te zijn. Als een hacker eenmaal een van je wachtwoorden binnen heeft, kan hij snel genoeg varianten gaan proberen.

Je kunt unieke wachtwoorden maken en ze laten onthouden door je webbrowser, bijvoorbeeld Chrome. Dat kan. Alleen blijkt dat het niet zo heel moeilijk is om die wachtwoorden uit Chrome uit te lezen.

Je kunt unieke wachtwoorden maken en ze allemaal op papier opschrijven. Dat is redelijk veilig, dan moet iemand je kladblok al stelen voordat ze bij je logins kunnen. Maar het is wel een gedoe om alles elke keer over te typen.

Mensen in de computerbeveiliging gebruiken meestal een andere oplossing.

De oplossing: een wachtwoordbeheerder

Een wachtwoordbeheerder is een programma dat al je wachtwoorden versleuteld opslaat, achter een ander wachtwoord. Dat andere wachtwoord is een soort ‘master password’ of ‘hoofdwachtwoord’. Die versleuteling is zodanig sterk dat je er vanuit kunt gaan dat zonder het hoofdwachtwoord niemand ter wereld de rekenkracht heeft om de wachtwoorden te ontsleutelen.

Je kunt zo’n wachtwoordendatabase dus prima op internet zetten als back-up, of zodat je er zelf altijd bij kan. Want anderen kunnen er niet in. De meeste wachtwoordbeheerders hebben een optie om je wachtwoordendatabase automatisch te synchroniseren tussen computers, bijvoorbeeld met iCloud, OneCloud of Dropbox. Zo heb je op elk apparaat dat je gebruikt altijd de laatste versie.

Dan is het wel van heel groot belang dat je het hoofdwachtwoord voor jezelf houdt en heel erg veilig maakt. Met zo’n systeem hoef je alleen nog maar het hoofdwachtwoord te onthouden, dus je kunt die erg complex maken. En daarbij geldt: lengte is belangrijker dan speciale tekens. Maak dus geen wachtwoord, maar een wachtzin. Minstens 20 letters lang, liefst meer. Als je het dan nog veiliger wilt hebben kun je er ook nog getallen en leestekens in stoppen.

Wat doe je dan met de wachtwoorden van alle sites? Nou, zo’n wachtwoordbeheerder heeft een functie om willekeurige wachtwoorden aan te maken. Dit zijn meestal willekeurige combinaties van letters en cijfers. Geef elke site waarop je inlogt zo’n willekeurig wachtwoord en zorg dat je dat wachtwoord opslaat in je wachtwoordendatabase.

Misschien denk je nu dat het een slecht idee is om al je wachtwoorden zo bij elkaar te zetten. Maar het blijkt dat de versleuteling van een wachtwoorddatabase wel zo sterk is dat het eventuele risico het waard is. De meeste mensen die geen wachtwoordbeheerder hebben, gebruiken slechte wachtwoorden, en dat geeft nog veel meer risico’s. Dus als je geen fotografisch geheugen voor wachtwoorden hebt, zou ik een wachtwoordbeheerder aanraden.

Denk er wel aan dat als je het hoofdwachtwoord kwijt bent, ook jij zelf niet meer bij de wachtwoorden kunt. Dus zorg dat je die onthoudt of ergens op een papiertje in een kluis opgeschreven hebt staan. Natuurlijk kun je website wachtwoorden meestal resetten via je e-mailadres. Handig, dan kun je toch nog inloggen. Maar ook gevaarlijk: als een hacker bij je e-mailadres kan, kan hij bij alle websites waar je op inlogt. Dus zorg ook voor een veilig e-mailwachtwoord (die ook in je wachtwoorddatabase kan).

Welke wachtwoordbeheerder kan ik gebruiken?

Er zijn drie veelgebruikte wachtwoordbeheerders. Ik noem eerst even LastPass. Die kun je beter niet gebruiken. Hun systemen zijn namelijk een paar keer gehackt, waardoor je bij hen niet zeker bent of je wachtwoorden wel veilig zijn.

Keepass

Als tweede, KeePass (gebruik de professionele editie). Ik gebruik KeePass zelf en ben er tevreden mee. Een groot voordeel is dat het gratis is.

Een nadeel is dat het lastig kan zijn om hem met webbrowsers te integreren. Ik gebruik bijvoorbeeld Firefox, en kan hem (na het intypen van mijn hoofdwachtwoord) in één klik wachtwoorden laten invullen op inlogschermpjes. Daarvoor gebruik ik de add-on ‘Keefox’. Er zijn dergelijke add-ons voor elke browser, maar sommige zijn ingewikkelder dan anderen. En ze zijn niet allemaal geschreven door de makers van KeePass zelf, dus sommige mensen stellen vragen bij de veiligheid daarvan.

Je kunt KeePass ook prima gebruiken zonder add-ons. Als je het programma op zichzelf start dan kun je er gewoon wachtwoorden in bewaren en die kopiëren en plakken naar websites. Na 15 seconden haalt KeePass een wachtwoord vanzelf uit je Ctrl+V, zodat je hem niet per ongeluk ergens anders plakt.

Er bestaat ook een speciale Mac versie van KeePass voor de OS X gebruikers. Die kun je hier vinden.

1Password

1Password is een wachtwoordbeheerder die beschikbaar is voor Android, iPhone, Mac en Windows. Er is helaas geen Linux versie. Het grootste nadeel is dat er een prijskaartje aan hangt. De smartphone-versies zijn gratis, maar voor de pc versies moet je eenmalig een licentie kopen. $50 voor alleen Windows òf Mac, $70 voor beide tegelijk. (Op het moment van schrijven hebben ze korting, met $30 voor een enkele licentie, $42 voor beide.) Wat je daarvoor terugkrijgt is een veel grotere gebruiksvriendelijkheid dan bij KeePass en een veel makkelijkere manier om hem met alle webbrowsers te laten samenwerken. *

 

Zowel KeePass als 1Password worden veel gebruikt. Je zult zelf moeten afwegen welk programma je het meest geschikt vindt.

Om af te sluiten

Als ik eerlijk mag zijn, er valt nog veel meer te zeggen over computerbeveiliging. Er zijn bijvoorbeeld allerlei technieken om de kans dat data die je online verstuurt wordt onderschept te verkleinen. Maar dat wordt al snel een ingewikkeld verhaal. Als je zeker wil zijn dat je mailtjes niet onderschept worden, stuur dan een papieren brief of spreek eens met iemand af. Dat is nog gezelliger ook.

Er duiken de laatste tijd wel allerlei producten op, zoals apparaatjes die je op je modem kunt zetten en die volgens de verkoper voor “100% veiligheid” zorgen. 100% veilig bestaat helemaal niet, dus laat je niet om de tuin leiden door de kwakzalvers van de computerwereld. In het beste geval maakt zo’n kastje je verbinding alleen maar trager. In het ergste geval zitten er juist criminelen achter die het kastje gebruiken om virussen te versturen.

Concluderend, hoewel alle trucjes die ik net heb beschreven zeker helpen, blijft het zo dat een veilige computer bij jezelf begint. 95% van alle virusinfecties gebeuren doordat de gebruiker iets verkeerds aanklikt, dus als je daar goed op let ben je al een heel eind.

 

* Toevoeging: Zo zie je maar weer, een paar uur na het plaatsen van mijn blog is hij alweer verouderd. Het blijkt dat 1Password niet geheel veilig is. Dat geldt alleen als je je wachtwoord-database openbaar op internet zet. In dat geval kunnen mensen alsnog NIET bij je wachtwoorden, maar ze kunnen wel zien van welke sites je wachtwoorden hebt. Tenzij je een optie genaamd OPVault aanzet, dan kunnen ze er helemaal niet meer bij. Dus… in principe is het nog veilig, maar zet je database niet op je website.

This entry was posted in CompSci, Nederlands. Bookmark the permalink.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *