Chcete bezpečnostní skener

Zjistěte si, jak jste na tom s bezpečností vašeho počítače(CD)


Počítačová bezpečnost je jedním z hlavních problémů dneška, zejména pokud

intenzivně používáte internet.

Je nějak možné zjistit, jak je váš počítač bezpečný? A má cenu se o to vůbec

starat? Vše se dozvíte v tomto článku.



Rizika především



Problematika počítačové bezpečnosti je jedním z témat, která se zařadila mezi

stálice diskuzí o současném používání informačních technologií. V podstatě se

dá říci, že nikdo není zcela v bezpečí. Počítače, ale i další zařízení ohrožuje

mnoho různých elementů od stále se šířících červových nákaz přes klasické viry

po různý spyware a malware. Bezpečnostním problémem jsou však také operační

systémy, především nejrozšířenější a nejčastěji používaná Windows nedostatek

aktualizací, jejich špatné použití nebo implementace. Problémem je také

množství využívaných či jen zbytečně fungujících služeb, špatných konfigurací a

dalších elementů. Ve společnostech, které si kladou za cíl používat svou

informační infrastrukturu vskutku bezpečně, existují často speciální pozice

„bezpečnostních manažerů“. Tito lidé mají jako jediný pracovní úkol starat se o

komplexní a velmi náročnou otázku zabezpečení firemních systémů. Ale co domácí

uživatelé?

Někteří tvrdí, že pro ně není otázka počítačové bezpečnosti zase tak důležitá a

v podstatě stačí využívat několik základních aplikací. Antivirový systém,

firewall, program pro hledání a likvidaci spywarových komponent. To jsou

elementární body bezpečnosti každého domácího počítače. Jenže stačí to? Můžeme

ještě přidat nutnost neustále a pokud možno automaticky aktualizovat,

respektive udržovat v aktuálním stavu svůj operační systém a ty komponenty,

které mají přímý vliv na bezpečnost. Nicméně ani to není vše.

Domnívat se, že bezpečnostní rizika se nás nemohou týkat, by bylo prvním

krůčkem na krátké a velmi strmé cestě do pekel, přesněji řečeno k ohromnému

problému. Ani bezpečnostní odborník, který je vzdělán a soustavně v

problematice trénován, si sám se svou vlastní hlavou leckdy nevystačí. Natož

pak tak říkajíc běžný uživatel. Přestože jednotlivým rizikům naštěstí nemusí

věnovat tak extrémní pozornost a nemusí být bezpečnostním paranoikem, je velice

důležité, aby člověk, kterému na bezpečnosti záleží, věděl, jak bezpečný je

jeho počítač, zejména je-li trvale připojen k internetu a toto připojení je

čile využíváno.

Podobně jako existují antivirové programy, jejichž posláním je na základě

známých informací vyhledávat možnou virovou či červovou nákazu a eliminovat ji,

a jako existují antispywarové systémy, které činí totéž s nevítanými aplikacemi

a komponentami, jež si kladou za cíl špehovat uživatele, případně zneužívat

jeho počítač k záměrům svých tvůrců, existují stejně i speciální aplikace pro

hodnocení bezpečnosti. Bezpečnostní auditování je součástí mnoha pokročilých

systémů určených ke správě síťového prostředí. Abychom je mohli využívat,

musíme tyto komplexní (a nutno podotknout že i drahé) systémy aktivně užívat a

především je musíme vlastnit. Výsledkem jejich práce pak bude jednoznačný,

rozsáhlý a především velmi komplexní obraz o tom, jak na tom s bezpečností

jsme, kde se nacházejí všechna potencionální rizika a kde jsou nejslabší místa

našich systémů. Opět by se mohlo zdát, k čemu to je, když se vše využije

nanejvýše ve velkých společnostech nebo ve firmách, které se komunikací

profesionálně zabývají či jejich systémy obsahují důležité, důvěrné informace.

Avšak i to je značná chyba, přesněji řečeno nedorozumění. Důležité a soukromé

informace se nacházejí v každém počítači. Naše soubory, hesla k nim, účetnictví

nebo prostý rozvrh financí. Různé projekty, studie a plody naší práce mohou být

snadno zneužity nebo kompromitovány. I proto je dobré svou bezpečnost velmi

podrobně znát a co nejvíce pro ni udělat.

Nyní se nebudeme zabývat jednotlivými komponentami tvořícími bezpečnost,

protože ty již byly představeny mnohokrát. To, co nás zajímá, jsou pro změnu

právě nástroje pro auditování bezpečnosti, a to takové, které máme šanci

využít, byť jen třeba v podobě demoverze, v domácím prostředí. Existuje jich

hned několik a soustředíme se převážně na dva. Jeden snadno a zadarmo dostupný,

druhý profesionální. Společně s nimi si povíme, nakolik je náš počítač bezpečný

a kde jsou jeho největší mezery, případně co s nimi udělat.



Jak funguje auditovací program





Princip bezpečnostního skeneru se, jak již bylo řečeno, v mnohém podobá

principu antivirového systému. Jeho základem je soubor znalostí o dané

problematice, v tomto případě o bezpečnosti. Skener je schopen „projít“ počítač

a určit, která jeho nastavení nebo které komponenty jsou potenciálním zdrojem

rizika. Na rozdíl od antiviru, jenž hledá jen určité kusy kódu, je ale práce

bezpečnostního auditora mnohem komplikovanější. Jeho primárním cílem je totiž

najít optimální míru rizika. Některé služby jsou sice bezpečnostním problémem,

nicméně se využívají a jsou zde proto, abychom je užívali. Skutečným rizikem se

stávají teprve poté, když jsou spuštěny jaksi navíc a kdy je jejich jediným

skutečným účelem fungovat jako ono riziko. Nemusí se přitom jednat jen o

služby, které by umožnily přímý přístup k prostředkům daného zařízení, nýbrž i

o ty, které mohou snadno fungovat jako prostředek sociotechnického útoku.

Podobně jako antivirus musí být i auditovací systém neustále aktuální. Tedy

jeho databáze musí být neustále doplňována o poslední poznatky o bezpečnostních

opravách, funkci služeb, ale také třeba o optimálních nastaveních, jejichž

aplikace minimalizuje riziko potenciálního útoku, respektive jejichž špatné

využití se samo stává rizikem.

Auditor je schopen analyzovat mnohem více: je schopen říci přesně, v čem se

nachází problémy vzhledem k tomu, jak dané zařízení využíváme. Jeho výstupem je

obvykle zpráva, která nám popíše stav a schopnost „léčit“, tak nutná u

antivirového softwaru zde je vlastně jen bonusem. Podstatný je totiž návod,

jasná informace.



Jeden a hodně



Antivirový program musí být umístěn na každém počítači, aby jej byl schopen

analyzovat. Bezpečnostní auditor musí být naopak vybaven schopností analyzovat

najednou nikoli jen jeden stroj, na němž se fyzicky nachází, ale klidně celou

síť tvořenou mnoha počítači, mnoha komponentami s různými operačními systémy, s

jejich různým nastavením a také různým prostředím. To je podstatná vlastnost

pro firmy, které je používají. Jak je však tato vlastnost podstatná i pro

uživatele? Mnoho domácích počítačů není izolováno. Jsou často součástí menších

či větších lokálních sítí, ať již tyto sítě fungují třeba jen v rámci jedné

domácnosti, jednoho domu či jednoho sídliště. I kdyby byl jeden prvek takové

sítě v naprostém pořádku, pokud je pět nebo šest dalších vysoce

problematických, pak se celé prostředí stává právě tak nebezpečným zdrojem

potenciálního rizika, jako by žádná opatření pro zajištění bezpečnosti vůbec

nebyla aplikována. Ale podívejme se, co je pro hodnocení bezpečnosti

nejdůležitější: (viz rámeček).



Má to smysl?



Mají bezpečnostní audity smysl i pro „obyčejného“ uživatele? Za jistých

okolností ano. Je vhodné je provádět, protože následky, které plynou z

nedostatečného zajištění počítače, mohou být mnohem cennější než čas a

prostředky, které na bezpečnostní audit vynaložíte. Vše je ovšem samozřejmě

přísně individuální otázkou, takže konečné rozhodnutí zůstává pouze na vás jako

na uživateli. Je také nevhodné instalovat a provádět testy nebo

administrátorské zásahy na počítačích, na nichž nejste autorizovanými

administrátory. To však asi není třeba připomínat.



Základem je Microsoft

MBSA (Microsoft Baseline Security Analyser)

http://www.microsoft.com/se­curity/default.mspx



Základní aplikace pro provedení bezpečnostního auditu MBSA (Microsoft Baseline

Security Analyser) je k dispozici zdarma. MBSA je určen pro operační systémy

typu Windows NT (W2K, XP). Analyzuje kromě nich také nejběžnější další produkty

tohoto výrobce, jako sadu Office, SQL server a také komponenty IIS. Výsledky

jsou podávány co nejpřehlednější cestou pomocí jednoduchých a srozumitelných

reportů. MBSA je vhodný pro každého uživatele, podmínkou jeho použití je ovšem

dostatečná znalost angličtiny. Jedná se o dobrý základní nástroj.



Většina současných PC používá operační systémy společnosti Microsoft, tedy

Windows. Moderní počítač si již takřka nedokážeme představit bez systému

Windows XP a bez kancelářské sady Office k provádění nejběžnějších úkonů.

Přesto jsou právě tyto komponenty (bohužel) nejnáchylnější k útokům všeho druhu

a představují nejzákladnější bezpečnostní riziko. Aby jim bylo možné

předcházet, vyvinul (respektive licencoval) Microsoft jakýsi elementární,

základní bezpečnostní scanner. Software nazvaný MBSA (Microsoft Baseline

Security Analyser) je zdarma k dispozici na stránkách Microsoftu zabývajících

se bezpečností. Jedná se o nevelkou lokální aplikaci, jejíž uživatelské

rozhraní je uzpůsobeno vzhledu Windows XP, ovládání je tedy i přes

komplikovanost aplikace velmi intuitivní. Pomocí analyzátoru je možné prověřit

nejen vlastní počítač, ale rovnou celou místní síť. Klíčem pro identifikaci

jejích prvků je typicky rozsah IP adres, v nichž se nacházejí požadované

počítače.

MBSA po spuštění analýzy nejprve kontaktuje servery Microsoftu a vyzvedne si z

nich informace o aktualizacích. To je nezbytný proces, nutný k tomu, aby nám

celá analýza vůbec k něčemu byla podstatnou částí je totiž porovnání stavu

systémů s aktuálním vývojem, s aktuálními záplatami. Následně jsou v počítači

vyhledávány styčné body a právě porovnávány se znalostmi produktu. Protože jde

o elementární software a možná i proto, že jeho autorem je samotný Microsoft,

probíhá skenování velmi rychle. Typicky po několika desítkách sekund pro každý

počítač (v závislosti na pověřeních, která k němu máte, a na průchodnosti sítě)

je vytvořen report. Tedy závěrečná zpráva, která zůstává uložena v analyzátoru

a která obsahuje všechny potřebné informace týkající se bezpečnosti. Jednotlivé

položky jsou ve výchozím nastavení tříděny podle produktů a závažnosti. Každý

typ závažnosti problému má svou ikonku, díky níž je čtení závěrečné zprávy o to

jednodušší. U nalezených problémů je obvykle uveden odkaz s vysvětlením, co

bylo přesně skenováno, a s jakým výsledkem, důležité je i doporučení, co s

nalezeným problémem dělat dále. Report je možné vytisknout nebo zkopírovat do

schránky. To je sice poněkud omezené spektrum možností, nicméně je pro většinu

uživatelů plně postačující. MBSA uchovává starší verze reportů, a tak je možné

se k nim kdykoliv vrátit, obvykle s cílem porovnat poslední (současný) stav s

minulými zprávami a zjistit, jakým směrem se bezpečnost daných počítačů ubírá.

MBSA pracuje kromě samotných Windows i s aplikacemi sady Microsoft Office,

systémem IIS (Internet Information Services), Microsoft SQL serverem a je

schopen identifikovat jednak zbytečné služby, jednak nastavení hesel. V

případě, že najde nesrovnalost, zahrne ji do svých výsledků.

Smůlou je, že ne vždy MBSA funguje zcela korektně. Není schopen analyzovat

nedostatky Windows 98 a podobných systémů, přestože tyto jsou stále uživateli

využívány. V některých případech také dochází k dosti nepochopitelným kolizím

mezi aplikací a skenovanými komponentami, což vede k „nekompletním“ výsledkům.

Tento problém přetrvává i přesto, že nedávno byla uvolněna nová verze aplikace.

A na závěr ještě jeden malý problém.

Smůlou MBSA je, že ač při každém skenování aktualizuje svůj seznam problémů a

detekční databázi, aplikace v současné době neobsahuje nástroj, jímž by byla

schopna aktualizovat sama sebe. MBSA vás sice upozorní na přítomnost nové verze

na webu Microsoftu, nicméně ji není schopen stáhnout a tuto akci přenechá na

uživateli. Jedná se sice o detail, ale o takový detail, který má vliv na

uživatelský komfort ovládání programu.

Celkově však MBSA můžeme směle doporučit všem uživatelům, kteří by se rádi

dozvěděli, jak na tom s bezpečností svého systému Windows a přilehlých

komponent vlastně jsou. Je jednoduchý, přehledný, má všechny potřebné základní

funkce a má tu hlavní přednost, že je zdarma (přesněji řečeno jste za něj

zaplatili již koupí dotyčných produktů Microsoftu). Jeho aktualizace jsou díky

jednotnému systému pravidelné a zřejmě naprosto dostačující. Je vhodné si jej

nainstalovat a zejména pokud máte na počítači důležitá data, jednou za čas

opravdu použít.



Sítnice pro profesionály

Retina Network Security Scanner

http://www.eeye.com



Na rozdíl od MBSA je RNS (Retina Network Security Scanner) profesionálním

produktem určeným bezpečnostním manažerům. Je to komplexní systém, který

představuje určitý kompromis. Jeho robustní jádro je totiž zabaleno do poměrně

jednoduše ovladatelného a spravovatelného hávu. Nabízí širokou škálu testování

různých produktů, tedy nejen od Microsoftu, a různých součástí operačního

systémů i jednotlivých aplikací. Jedná se o velmi vyspělý, a proto také

finančně nákladný software určený pro správce větších sítí. Nicméně existuje

verze, kterou je možné si bezplatně stáhnout a vyzkoušet. Můžete se tak alespoň

podívat, jak vypadá opravdu komplexní bezpečnostní audit. A po dobu testování

se jím pochopitelně můžete i řídit, což vaši bezpečnost velmi posílí.

Nedostatkem jsou vyšší nároky a pomalejší chod samotné aplikace. To však

vzhledem k jejímu účelu příliš nevadí.

Nyní od základních řešení určených pro jediný typ operačního systému přeskočíme

k řešení profesionálnímu, postavenému pro skutečné heterogenní sítě,

používající množství aplikací. Princip Retina Security Scanneru je stejný jako

v předchozím případě. Uživatelské rozhraní se s nedávno uveřejněnou novou verzí

začalo také podobat Windows XP, ovládání základních funkcí je velmi intuitivní.

Přesto je poznat, že RNS obsahuje mnohem více funkcí a prostý uživatel se v něm

zřejmě začne orientovat až po nějakém čase.

Elementární funkcí je schopnost prozkoumat stanovené počítače na základě jejich

zadaných IP adres. Skenování je mnohem komplexnější než v případě MBSA. Retina

není Microsoft, což znamená, že může jako problém označit i ta nastavení,

komponenty a stavy, které by jinak v podání výrobce operačního systému zřejmě

„prošla“.

Retina podporuje či je schopna alespoň detekovat množství různých softwarových

produktů různých výrobců a poukazovat nejen na jejich jednotlivé problémy, ale

i na možné vzájemné interakce. Samotné testování je časově mnohem náročnější

než v případě základního analyzátoru. Vyšší jsou také nároky na hardware.

Skenování neprobíhá zároveň s aktualizací možností softwaru, ta se provádí

samostatně prostřednictvím zvlášť dodávané aplikace. Přesto se aktualizaci

doporučuje provádět co nejčastěji, pokud možno po každém spuštění RNS.

Samotné testování probíhá nevýhradním způsobem a během něj je možné s RNS dále

pracovat, prakticky se to ale nedoporučuje. Je možné naplánovat a spustit více

testování najednou. Jejich stav je přitom neustále zobrazován v patřičné části

uživatelského rozhraní aplikace. RNS obsahuje speciální manažer přihlašovacích

jmen a hesel. Ty je možné (po bezpečnostním varování) zadat a následně provádět

testování s nejrůznějšími pověřeními. Díky tomu správce může provést několik

náhledů na stav bezpečnosti jednotlivých strojů. Další předností tohoto řešení

je možnost testování různých systémů, které mají různá přihlašovací jména a

hesla.

Vypracované reporty jsou formátovány podobně jako u MBSA, jen prostředí je o

něco málo méně intuitivní. Vyšší jsou ale možnosti při formátování a následném

exportu jednotlivých výsledků. Bohatší je schopnost definování skupin

testovaných strojů, adres a portů, stejně jako podrobnější nastavení celého

procesu bezpečnostního auditu. Testy lze, což je důležitá vlastnost, plánovat

velmi podrobně dopředu.

Samotné výsledky jsou mnohem podrobnější než u produktu Microsoftu. Některé z

problémů je možné okamžitě opravit z prostředí RNS, avšak pozor! Některé opravy

sice zvyšují bezpečnost, ale zároveň mohou snižovat kompatibilitu systému, na

což ovšem systém dopředu upozorňuje. Výborně jsou zpracována i informativní

hlášení o možných dodatečných problémech, o instalovaných aplikacích, možných

virových infekcích a dalších důležitých jevech. K většině výsledků (ale ne ke

všem) jsou podány vysvětlující informace. Tyto informace však vyžadují obvykle

určité správcovské znalosti a také určitou znalost angličtiny.

Retina je profesionální produkt a tomu odpovídá i na jednotlivce vysoká cena.

Není ale důvod si zoufat. Existuje plně funkční, byť časově omezená verze,

kterou si můžete stáhnout ze stránek výrobce a zadarmo vyzkoušet. I výsledky

této dočasné verze vám sdělí velmi cenné informace o zabezpečení vašeho

počítače a nabídnou vám mnoho podstatných řešení, co dál. Nedostatkem

pochopitelně je, že veškeré výsledky se po nějaké době od vypršení vaší

zkušební verze stanou neaktuálními a budete nuceni využívat opět jiné, volně

dostupné produkty. Přesto je ale vhodné si tento profesionální produkt

vyzkoušet. Pochopitelně jedině v případě, že se o problematiku bezpečnosti

skutečně zajímáte.



Základní kritéria bezpečnostního auditu



Aktualizovaný systém

Aktualizace je základem péče o bezpečnost operačního systému. Aby byl systém

bezpečný, měl by být aktualizován na nejvyšší možnou úroveň. Ale je zde jeden

problém. Díky složitosti moderního operačního prostředí se stává, že samotné

aktualizace se stávají za určitých okolností zdrojem problému. Jsou všechny

aktualizace ve vašem počítači skutečně „aktuální“? Jsou instalovány ve správné

návaznosti a nejsou třeba poškozené? Nedošlo mezitím, co jste je instalovali,

ke kompromitaci některé z nich? To je první a základní otázka.



Kontrola přítomnosti základních nákaz

Ačkoliv bezpečnostní auditování primárně neznamená hledání například malwaru či

červů, může být ve vyspělých nástrojích přítomno. Je to proto, že někteří červi

se, i přestože je konvenční antivirové produkty bez problému identifikují a

likvidují, mohou masově rozšířit, stát se prakticky nezvladatelnými a mohou se

šířit dlouho poté, co dosáhli svého kulminačního bodu. Tak se stávají rizikem,

které hranici rizika „obvyklých“ červů dalece převyšuje a musí mu být věnována

náležitá pozornost.



Potřebujeme vše, co máme?

Především některé síťové služby, které jsou v operačních systémech latentně

přítomny, se mohou stát zdrojem problému, pokud je nepotřebujeme a přesto běží.

Využívají se opravdu všechny věci, které jsou spuštěny? Patří sem zejména

služby typu webových serverů, systémy vzdáleného přístupu (telnet) a dále ty

funkce, které jsou určeny pro správu a řízení serverů, nemluvě obecně o

serverových komponentách jako takových. Některé z nich je vhodné přitom co

nejvíce omezit nebo úplně vypnout, jestliže je nepotřebujeme. Nejen, že se tím

zvýší úroveň zabezpečení, ale stoupne i výkon vašeho systému. To se často týká

například použití moderních skriptovacích technologií, systému ActiveX, DCOM a

podobně. Kromě technologií mohou riziko vytvářet i některé aplikace.

Pochopitelně ty, které jsou bundlovány s nejrůznějším dodatečným softwarem, ale

také například klienti výměnných sítí, některé komunikační programy a

překvapivě třeba také část systémů pro distribuované počítání.



Funguje to, co máme, bezpečně?

Široce rozšířené komunikační aplikace, jako třeba Internet Explorer, Mozilla,

ICQ a podobně obsahují mnoho různých nastavení. Některá z nich mohou velmi

silně ovlivňovat bezpečnost. Jde především o schopnost pamatovat si hesla a

další osobní údaje a vysílat je pryč, dále pak o nastavení bezpečnostních zón,

jejichž nekorektní využití se může velmi snadno stát terčem útoku (zejména u

Internet Exploreru). Totéž se ovšem týká například technologie Java, již

uvedeného ActiveX a několika dalších.



Používáme náš systém bezpečně?

Co vše člověk neudělá, aby si zjednodušil práci. Nicméně existuje i silně

riskantní zjednodušení práce. Patří mezi ně zejména používání počítače bez

patřičného hesla, které by mělo být navíc dostatečně komplikované a dostatečně

často obměňované. Počítač lze zkompromitovat například díky nekorektnímu

nastavení mezipaměti přihlašování, ale také internetové cache, souboru

virtuální paměti (pagefile) a díky dalším podobným komponentám. Přestože zde

jde z pohledu mnoha domácích uživatelů o vyloženě okrajovou záležitost, ve

skutečnosti není ani zdaleka tolik okrajová, jak by se na první pohled mohlo

zdát a s celkovou bezpečností velmi silně souvisí.