1. srpen, 2006 | PC World Security | Napsali o nás

Úloha prevence při zabezpečení dat

Prevence je v dnešní době bohužel pojmem, kterému se příliš uživatelů PC nevěnuje, popř. věnuje jen částečně. Je důležité si uvědomit, že pouze nainstalovaný antivirový program, v lepším případě i pravidelně aktualizovaný a správně nastavený, je sám o sobě nedostatečnou prevencí. Příliš nepomůže ani osobní firewall (pokud uživatel nepozná legální od ilegální síťové komunikace), popřípadě software pro odstraňování "špionů" a havěti, která uživatele otravuje vyskakující reklamou na ploše Windows či během surfování po Internetu.

 

Proč jsou výše uvedené skutečnosti nedostatečnou prevencí? Jde totiž pouze o "hloupé" programy a "smysl života" jim dává až UŽIVATEL a ten je právě v některých případech kamenem úrazu.

 

Většina uživatelů se na výše uvedené programy plně spoléhá a nechává celou tíhu osudu na nich. Ve většině případů vede tento přístup k tomu, že dříve nebo později je PC takového uživatele totálně "prošpikováno" havětí.

 

Aby nebyl uživatel pouze uživatelem a správce sítě pouze správcem sítě, mělo by být samozřejmostí následující:

 

  • Antivirový systém by měl být nedílnou součástí každého PC v síti. Existují sice serverová antivirová řešení (např. pro souborový server, poštovní, internetovou bránu), avšak případná havěť neútočí přímo na ně, ale opět až na koncové zařízení v podobě PC zaměstnanců, tj. komunikace přes zmiňované servery pouze prochází. Ve výsledku tak může být značná část škodlivých elementů odfiltrována již na vstupu do LAN, ale vzhledem k nepříjemné realitě s „ne-globální“ havětí, která jako celek způsobuje globální problémy (viz samostatná kapitola) se může velice často stát, že i přes sebelepší ochranu na vstupu infekce pronikne. Pokud je nákup antivirového systému omezen finančně, doporučuji v „prvním kole“ zajistit ochranu alespoň samotných stanic a až poté řešit ochranu poštovních serverů a dalších serverů. Důvody jsou jasné, havěť primárně útočí na stanice a antivirus na stanici dokáže takovou havěť odhalit bez ohledu na to, zda dorazila e-mailem nebo např. po protokolu HTTP během surfování.

 

    • Zároveň je potřeba zajistit:

 

      • pravidelnou - AUTOMATICKOU aktualizaci antiviru. Vzhledem k rychlosti šíření dnešní havěti (především prostřednictvím elektronické pošty) není aktualizace 2x za hodinu žádným luxusem. Obecně platí, že čím častěji se bude antivirový systém pokoušet o stažení aktualizace, tím lépe. V sítích lze často uplatnit centrální aktualizační server, kdy stanice nestahují každou aktualizaci samostatně z Internetu, ale přistupují k rychlému serveru uvnitř LAN.

 

      • minimálně chod modulu, starající se o nepřetržitou kontrolu souborů, ke kterým uživatel právě přistupuje (které otevírá/uzavírá - při kopírování např., spouští apod.). Takové moduly se většinou označují pojmy jako "rezidentní štít" či odborně "on-access skener". Je nutné si uvědomit, že tento modul je nejdůležitější součástí každého moderního antivirového systému. Ve většině případů je sice nabízen i modul, který kontroluje přímo stahovanou či odesílanou poštu, ale i tento lze v nouzi oželet, jelikož tak jako tak by případné infekci zabránil on-access skener. Sice by virus neodchytil předtím, než bude zařazen do přihrádky doručené pošty, ale odchytil by ho v momentě, kdy by se uživatel pokusil otevřít - spustit infikovanou přílohu e-mailu. A jelikož příloha není nic jiného než soubor a otevírání a spouštění je činností, kterou sleduje on-access skener, není co řešit.

 

Je potřeba si uvědomit, že přítomnost havěti - infikovaného souboru, e-mailu s infikovanou přílohou nemusí nutně znamenat, že PC je infikováno. Havěť se totiž může na pevném disku vyskytovat v "mrtvém", neaktivním stavu. Typickým příkladem může být havěť, kterou uživatel dříve nebo později najde v adresáři "Internet Temporary Files", kam si prohlížeč Internet Explorer odkládá data - soubory, které jsou nutné pro zobrazení webové stránky (obrázky, skripty, html kód), kterou si uživatel vyžádal. Některé stránky se mohou snažit úmyslně zneužít známou bezpečností chybu (program na stránkách, který se toho snaží dosáhnout se nazývá EXPLOIT), např. právě v aplikaci Internet Explorer s účelem spuštění škodlivého kódu bez vědomí uživatele. V ideální situaci může dojít k tomu, že se sice tento exploit uloží do adresáře "Internet Temporary Files", ale vzhledem k přítomnosti "záplatované" - aktualizované verze Internet Explorer nedojde k provedení tohoto škodlivého kódu. Na pevném disku tak vznikla "mrtvá" - neaktivní havěť. Opakem je "živá" - aktivní havěť, která se obvykle pravidelně zavádí společně se startem operačního systému Windows a zanechává za sebou ilegální běžící procesy v paměti. Aktivní havěť může být antivirovým systémem detekována přímo v operační paměti.

 

      • Předchozím odstavcem bylo zahájeno další téma.

 

Měla by být zajištěna pravidelná aktualizace alespoň těch produktů, které mají něco společného s počítačovou sítí nebo Internetem. Programy mohou obsahovat chyby - bezpečnostní díry a pokud se objeví zrovna v části, která např. zajišťuje přístup do Internetu, může se najít vzdálený útočník (osoba - hacker, "sedící" někde na Internetu), který chyby šikovně zneužije k tomu, aby získal nad PC uživatele kontrolu. Podobně se o to snaží např. i výše zmíněný exploit, tedy program - kód, který byl vytvořen s cílem úmyslně zneužít bezpečnostní chybu pro svůj prospěch (např. pro spuštění další havěti, která je dodatečně stažena z Internetu). Pokud se podíváme do praxe, je ideální:

        • povolit pravidelnou aktualizaci operačního systému Windows (nabídka Start / Ovládací panely),
        • na nových strojích navštívit stránky Windows Update a Office Update, kde se nachází průvodce, který zjistí aktuální stav PC a nabídne vhodné "záplaty" na bezpečnostní díry ke stažení. První odkaz je velice důležitý, jelikož se stará o samotný operační systém Windows (ten je pochopitelně nejvíce ohrožen) a samozřejmě i o Internet Explorer. Druhý odkaz zajišťuje aktualizaci kancelářské balíku Microsoft Office.
        • pravidelně aktualizovat i další, běžně používané produkty (ICQ, DC...), které by mohly být z Internetu zneužity.

 

  • Firewall, nejčastěji v podobě tzv. personálního firewallu by měl být taktéž výbavou uživatele přistupujícího k Internetu. Přítomnost firewallu je téměř nutností v momentě, kdy je uživatel k Internetu připojen veřejnou IP adresou a jeho počítač je tak přímo dosažitelný odkudkoliv z Internetu (veřejnou IP obvykle dostane uživatel při dial-up připojení či při připojení přes kabelový Internet - typicky chello/UPC...). Podobně jako v případě antivirových systémů je ale potřeba, aby dokázal uživatel firewall správně používat. Musí být schopen určit, jaká komunikace je legální a ilegální, resp.: jakou povolit a zakázat. V opačném případě ztrácí přítomnost firewallu smysl. I ve firemních sítích se prostor pro personální firewally na stanicích najde a to především ve chvíli, kdy si někdo do takové sítě připojí havětí totálně prošpikovaný notebook. Pak nepomůže centrální firewall, který chrání firemní síť z venku (z Internetu), ale právě personální firewally přímo na stanicích. V tomto případě mluvíme o útoku "ze vnitř".

 

Ve firemním prostředí je skoro nutností, aby antivirový systém a ideálně i firewall na jednotlivých stanicích fungoval s možností centrální správy. U antivirových systémů nejde o nic nesplnitelného, avšak v případě firewallů je současná situace poněkud horší. Současným trendem je, aby konkrétní společnost nabízela jak ochranu proti havěti (antivirus), tak i nástroj pro likvidaci spamu a pochopitelně i osobní firewall. Vzhledem k tomu, že v drtivé většině případů jde původně o antivirové společnosti, je právě firewall a antispam dodatečně vyvíjen. V horším případě neexistují tyto další produkty vůbec, v lepším existují bez možnosti centrální správy a v ideálním (nejméně pravděpodobném) i s možností centrální správy.

 

 

Samostatná kapitola:

Trojský kůň, lokální problém v globálním světě

 

 

V dávných dobách, kdy světu dominovaly 3.5" diskety a vznikaly viry, které biologickým sourozencům dělaly jméno, potřebovala tato havěť několik měsíců až let na opravdu důkladné rozšíření po celém světě. Antivirové společnosti tak měly spoustu času na vydání patřičné aktualizace, navíc pokud ji uživatelům zasílali klasickou poštou na disketě či cédéčku jednou za čtvrt roku. Teoreticky tak mohla nastat situace, kterou by si jistě každý dnes přál. Uživatel totiž mohl v některých případech "čekat" na to, až za několik měsíců po aktualizační disketě či cédéčku dorazí i samotný virus, který je zmiňovanou aktualizací detekován.

 

A dnes? Dnes člověk ani nestíhá včas stahovat aktualizace přes rychlý Internet. Dnešní viry, červi a ostatní havěť je díky Internetu natolik rychlá, že antivirový systém nemůže klasickou metodou detekce (vyhledávání známé infiltrace) včas zareagovat a vždycky zde vznikne několika minutová až hodinová mezera mezi objevením nové infekce a momentem, kdy je tato nová havěť detekována antivirovým systémem. Další věc souvisí s tím, že ne každá nová havěť může způsobit globální problém. Speciálně různá infiltrace spadající nebo se blížící kategorii "trojský kůň" (tyto programy se nedokážou sami o sobě šířit) může představovat pouze miniaturní problém několika uživatelů rozsetých po světě. Může trvat věčnost (v lepším případě několik měsíců), než některému z těchto jedinců dojde, že z jeho PC není něco v pořádku a dodá antivirové společnosti podezřelé soubory k zajištění detekce do budoucna. V horším případě ani zmiňovaní jedinci nepoznají, že s jejich PC je něco v nepořádku (trojský kůň může např. sloužit pouze jako "brána" na odesílání spamu a přímo uživatele nijak trápit nemusí). Toto vysvětluje i případy, kdy uživatel používal léta antivirus A, později na chvíli vyzkoušel antivirus B a tento i přes přítomnost antiviru A našel spoustu havěti. Není to v drtivém množství případů rozhodně způsobeno tím, že by antivirová společnost produkující antivirus A šidila své zákazníky a "spala na vavřínech", ale nezodpovědným přístupem uživatele k PC a zároveň skutečností, která byla uvedena výše. Otázkou je i to, co vlastně antivirus B zachytil. Antivirus nemusí nutně zachytávat pouze havěť jako takovou, ale i různé "vtípky" - Jokes apod., ale i kategorie, které nemusí být antivirem A vůbec detekovány (nikde není psáno, že antivirus musí chytat i spyware, adware a další software).

Autor článku: Bc.Igor Hák, ESET software (hak@eset.cz)