Beveilig uw Ubuntu-systeem

Wie Ubuntu gebruikt, heeft heel wat minder kans om met virussen of ander digitaal ongedierte besmet te worden dan Windows-gebruikers. Maar het betekent niet dat u helemáál geen risico meer loopt. Ook onder Ubuntu is het zaak uw systeem zo veilig mogelijk te maken.

Als een computersysteem onveilig is, kan dat twee oorzaken hebben: ofwel zitten er beveiligingsgaten in de geïnstalleerde software, ofwel u hebt zelf de software onveilig geconfigureerd. De tips die we in dit artikel geven zijn dan ook bedoeld om beide oorzaken aan te pakken en zo het aantal aanwezige fouten zo klein mogelijk te houden. Volledig foutloze software bestaat niet, maar met deze tips perkt u de gevolgen al sterk in.

Ubuntu helpt zelf al heel wat met het up-to-date houden van software. Immers: onder dit besturingssysteem installeert u alle software in één centraal programma, de pakketbeheerder (in het menu Toepassingen, Installeren/ Verwijderen...) Hierdoor kan Ubuntu ook eenvoudig controleren of alle geïnstalleerde pakketten wel de nieuwste versies zijn. Wanneer er een nieuwere versie is, krijgt u automatisch een melding met de vraag om de updates te installeren. Soms gaat het hierbij om een versie met nieuwe functionaliteit, maar vaak ook om een veiligheidsupdate die enkel fouten oplost.

Ubuntu meldt updates door in het paneel onderaan het venster Updatebeheer geminimaliseerd te tonen. Als u hierop klikt, krijgt u een lijst met alle beschikbare updates te zien, waarna u klikt op Updates installeren. Vul uw wachtwoord in, klik op OK en Ubuntu downloadt en installeert de beschikbare updates voor alle geïnstalleerde software. Aan het einde van dit proces meldt de Update-manager dat uw systeem up-to-date is. Om zo veilig mogelijk te blijven, moet u ervoor zorgen dat u deze updates telkens zo snel mogelijk installeert. Gelukkig is Ubuntu standaard zo ingesteld dat het dagelijks naar updates zoekt (zie het menu Systeem, Beheer, Softwarebronnen, Updates).

Het is niet aan te raden om software te gebruiken die niet vanuit Ubuntu's pakketbeheerder te installeren is. Niet zozeer omdat u de software niet zou kunnen vertrouwen, maar wel omdat die software dan niet gebruik kan maken van Ubuntu's updatemechanisme. Stel dus dat u op een website een programma voor Ubuntu downloadt (meestal in de vorm van een .deb-bestand) en installeert, en er wordt een beveiligingsfout in gevonden, dan is er geen enkele manier om u op de hoogte te brengen van een veiligheidsupdate die ervoor verschijnt. Resultaat: na een tijd is de software verouderd en bevat ze misschien een groot beveiligingsgat waarlangs hackers binnensluipen.

Hoe meer software u installeert, hoe meer kans u hebt om met beveiligingsfouten te zitten. De remedie is dus simpel: installeer enkel wat u echt nodig hebt. Aangezien software installeren in Ubuntu zo eenvoudig is, zult u wel vaak eventjes een programma uitproberen. Dat is prima, maar vergeet niet om het programma te verwijderen als het u toch niets lijkt en u het niet gaat gebruiken. Kijk ook eens om de zo veel tijd in de lijst met geïnstalleerde programma's en vraag u af welke ervan u al lang niet meer hebt gebruikt. Hebt u ze niet meer nodig? Weg ermee! Klik voor het programma in de lijst om het af te vinken en klik dan op Wijzigingen doorvoeren. Zo hebben hackers of virussen minder kans om u te grazen te nemen. Elk geïnstalleerd programma kan onbedoeld de poort naar uw computer open zetten.

Ubuntu heeft standaard een firewall aan boord, UFW (Uncomplicated Firewall), maar die staat niet aan. Het loont de moeite om die in te schakelen en in te stellen welk netwerkverkeer binnen mag en welk niet. Installeer daarvoor het beheerprogramma Firewall configuration vanuit de pakketbeheerder en open het daarna in het menu Systeem, Beheer, Firewall configuration. Vink Firewall is actief aan om de fi rewall in te schakelen. Binnenkomend verkeer wordt nu standaard geblokkeerd, waardoor er geen enkele ingang tot uw computer is. Maar als u serversoftware hebt draaien, dan moet de firewall verkeer van en naar dit onderdeel natuurlijk wel toelaten. U kunt hiervoor specifieke regels toevoegen.

Hebt u een draadloos netwerk, dan prijst u zichzelf waarschijnlijk gelukkig dat u met uw laptop op de bank kunt zitten surfen zonder die lastige kabel. Helaas maakt het dit ook eventuele hackers gemakkelijker; als u uw draadloos netwerk niet beveiligt, hoeven ze maar in de buurt te zijn met een computer om uw netwerkverkeer dat door de lucht gaat (e-mail, wachtwoorden op websites) af te luisteren. Gelukkig zijn er verschillende technieken ontwikkeld die het netwerkverkeer in de lucht versleutelen. U dient hiervoor in de instellingen van uw draadloze router de gebruikte beveiligingsmethode, een naam voor het netwerk en een wachtwoord in te geven, en op al uw computers en apparaten die toegang tot het draadloos netwerk behoeven, geeft u dezelfde informatie in. Belangrijk voor de beveiliging is dat u niet voor WEP (Wired Equivalent Privacy) kiest, want dat is zo lek als een zeef: met de juiste tools kan het in enkele seconden (!) gekraakt worden. De opvolgers van WEP zijn WPA (WiFi Protected Access) en WPA2. Met beide technieken zit u voorlopig vrij veilig, maar kies als het kan voor WPA2 en dan liefst voor de Enterpriseversie.

Normaal wordt alle netwerkverkeer van uw bezoek aan een website onversleuteld over het netwerk verstuurd. Voor logins en wachtwoorden is dat natuurlijk uit den boze, dus elke zichzelf respecterende website gebruikt daarvoor SSL (Secure Sockets Layer), dat de communicatie versleutelt. Helaas geven veel websites nog de keuze om in te loggen met of zonder SSL, en sommigen bieden u zelfs standaard zonder SSL aan. In Windows Live bijvoorbeeld moet u expliciet onderaan op de kleine lettertjes Aanmelden met verbeterde beveiliging klikken om in te loggen met SSL. Als een website met een loginpagina zonder SSL geen enkele verwijzing naar een versie met SSL biedt, kunt u zelf eens proberen of ze toch niet bestaat door gewoon een s na de http toe te voegen en deze pagina te laden. Of u op een website met SSL inlogt, ziet u aan de https in plaats van http voor de domeinnaam en Firefox maakt het u ook duidelijk met een groene balk met de naam van het bedrijf (waarop u kunt klikken voor meer informatie) voor de url-balk en onderaan rechts in de statusbalk een slotje met de domeinnaam.

Al die beveiligingsmaatregelen hebben natuurlijk weinig zin als een willekeurige persoon maar enkele pogingen moet doen om uw wachtwoord te raden en zo bij uw bestanden of e-mail kan. Er zijn ook computerprogramma's die automatisch allerlei wachtwoorden uitproberen en als u dan een vaak voorkomend woord als wachtwoord hebt, vindt het programma dat onmiddellijk. Een goed wachtwoord mag dus niet gemakkelijk geraden worden door een mens of wachtwoordkraker en moet dus zo willekeurig mogelijk zijn. We besluiten daarom met de volgende voorwaarden waaraan een moeilijk kraakbaar wachtwoord moet voldoen:

I) Geen woord of een combinatie van een aantal woorden die in een woordenboek te vinden zijn.

II) Geen eigennamen (van u, uw partner, uw kind, uw huisdier of uw lievelingszanger).

III) Geen getal zoals uw geboortedatum of burgerservicenummer.

IV) Zo lang mogelijk, maar niet zo lang dat u het niet kunt onthouden en moet opschrijven.

V) Best een combinatie van hoofdletters, kleine letters, cijfers, leestekens en speciale tekens.

Dit artikel komt uit Computer Idee nummer 17, jaargang 2009