Ochraňte si svůj operační systém - Díl první Windows 9x/ME

Tímto článkem začíná další seriál o bezpečnosti počítačových systémů. V průběhu
několika dílů se budeme věnovat zabezpečení jednotlivých operačních systémů.

Pokusíme se poukázat na bezpečnostní problémy jednotlivých operačních systému,

a zároveň si povíme, jak systémy co nejlépe chránit. V dnešním dílu se budeme

věnovat operačním systémům Windows 9×/ME.





Trocha teorie



Systémy Windows 95, 98 a ME (dále jen 9×) byly od začátku konstruovány jako

jednouživatelské systémy, u kterých je kladen důraz zejména na uživatelskou

přívětivost a jednoduchost, z čehož vyplývá, že bezpečnost není u těchto

systémů prioritou. To má samozřejmě velké výhody, ale i nevýhody. Nevýhodou je,

že tyto systémy může ovládat prakticky každý, kdo k nim má fyzický přístup.

Neexistuje zde žádné rozlišení uživatelů, takže konfigurovat systém může

prakticky kdokoliv, včetně nezkušených uživatelů, kteří mohou systém ohrozit,

aniž by o tom věděli nebo to chtěli. Na druhou stranu tyto systémy nepodporují

mnoho síťových funkcí, nelze je dálkově spravovat (v základní instalaci) ani

jinak ovládat. Z toho vyplývá, že největší nebezpečí hrozí při použití softwaru

třetích stran, který může tyto funkce obsahovat.





Využití systémů 9×



Se systémy 9× se můžeme setkat prakticky všude. Používají se ve školách,

menších i větších firmách, a samozřejmě jsou velmi rozšířené i mezi domácími

uživateli. Nejčastější je nasazení těchto systémů v takzvaném kancelářském

prostředí. Obliba těchto systémů je způsobena jak jejich jednoduchostí, výše

zmíněnou uživatelskou přívětivostí, a v neposlední řadě také marketingem

společnosti Microsoft. To, jestli je to dobře nebo špatně, proč tomu tak je,

nebo jak by tomu mělo být, necháme stranou a podíváme se na bezpečnost těchto

systémů z ryze praktického hlediska.



Jelikož nejsou tyto systémy využívány jako servery, budou následující řádky

užitečné zejména běžným uživatelům. V příštích dílech se budeme věnovat dalším

operačním systémům, které lze využívat i jako servery, a na své si tedy přijdou

i správci sítí. Důležité ale je, aby povědomí o bezpečnosti měli i běžní

uživatelé. K čemu by byl extrémně zabezpečený server, kdyby uživatelé posílali

hesla a informace elektronickou poštou, nechávali svůj počítač bez dozoru nebo

neustále stahovali a instalovali rádoby užitečné programy (nejčastěji viry,

trojské koně, backdoory)? A platí to i obráceně. K čemu by uživatelům bylo,

kdyby dodržovali všechna bezpečnostní opatření, pravidelně zálohovali svá data,

šifrovali soubory, používali silná hesla, kdyby byl server, který umožňuje

vzdálenou administraci a jsou na něm uloženy citlivé soubory, přístupný

komukoliv?





Útoky na systémy 9×



Útoky na tyto systémy můžeme rozdělit na dvě skupiny (v podstatě jako všechny

útoky bez ohledu na operační systém), na síťové a lokální. Jste–li např.

připojeni k internetu z domova (nikdo kromě vás nemá fyzicky k počítači

přístup), tak pokud vás nevykradou, bude pro vás prioritní obrana před síťovými

útoky, a nutno podotknout, že ta je celkem jednoduchá. Pokud je ale váš počítač

s tímto systémem součástí nějaké LAN sítě, a nemůžete zabezpečit počítač

fyzicky, bude pro vás prioritní obrana proti lokálním útokům. Nejdříve se tedy

podíváme na to, jaké nebezpečí nám hrozí, pokud se někdo pokusí kompromitovat

náš systém, ke kterému má fyzický přístup.





Lokální útoky



Je-li váš systém součástí nějaké, ať již větší či menší sítě (LAN),

pravděpodobně nebudete jediní, kdo k němu mají přístup. Typicky je tento

počítač umístěn v nějaké kanceláři či učebně a pracuje na něm vícero uživatelů.

I kdybyste byli jedinými uživateli tohoto systému, pravděpodobně nemůžete

zajistit, aby se k němu někdo nedostal v době vaší nepřítomnosti. Musíte tedy

vymyslet, jak takový počítač zabezpečit. Nyní si probereme slabá místa systému

od okamžiku jeho spuštění. Budeme předpokládat, že na disku jsou nějaká data, o

která stojíte, a že útočník se je snaží zcizit nebo alespoň poškodit.





BIOS



Po zapnutí počítače je jako první aktivuje BIOS. BIOS (Basic Input Ouput

System) tvoří rozhraní mezi hardwarem počítače a vyššími vrstvami programového

vybavení. BIOSem je vybaven každý počítač třídy PC. Jak jistě všichni víte, lze

v BIOSu nastavovat základní parametry počítače počítač je bohužel zranitelný

již v této úvodní fázi. V BIOSu se dá napáchat velká škoda, a nemusí jít často

ani o úmysl. Útočník může například změnit rychlost procesoru, může deaktivovat

pevný disk, znemožnit používání CD mechaniky a mnoho dalších, pro běžného

uživatele velmi nepříjemných věcí. Jednou z vůbec nejhorších věcí, která mě

napadá, je nahrání BIOSu, jenž není určen pro typ vaší základní desky. Poté by

vám pravděpodobně nezbývalo nic jiného, než návštěva servisu. BIOS lze

samozřejmě zaheslovat. Možná si říkáte, že tím se vše vyřeší, ale není to

zdaleka pravda. Toto heslo lze totiž snadno překonat. Za prvé mají některé

BIOSy univerzální hesla, například nejpoužívanější AWARD má univerzální hesla

jako AWARD_SW, BIOSTAR, j262, AW a další. AMI BIOSy používají například AMI,

AMIDECODE, AMI?SW. Z vlastní zkušenosti mohu potvrdit, že univerzální hesla

fungují spolehlivě. Pokud BIOS univerzální heslo nemá, lze jej resetovat pomocí

jumperu, což jsou přepínače na základní desce. Některé desky obsahují jumpery,

jež slouží kromě jiného i k resetu BIOSu, tedy i případného hesla, které jej

chrání. Pokud si nejste jisti, podívejte se do dokumentace k vaší základní

desce. Třetí možnost, jak toto heslo obejít, je nadmíru jednoduchá. Podobně

jako u jumperů sice vyžaduje přístup k základní desce (tedy otevření počítače).

Prakticky každý BIOS je napájen malou baterií umístěnou na základní desce.

Pokud ji vyjmeme, dojde k resetu BIOSu. No, a nakonec je tady ještě jedna

možnost, ta ale vyžaduje podporu operačního systému, takže pro nás není v této

chvíli podstatná. Z této první části si tedy zapamatujeme, že zaheslovat BIOS

je dobrý nápad, ale prakticky nic neřeší.



V neposlední řadě spouští BIOS také operační systém. Součástí BIOSu je MBR

(Master Boot Record), do kterého je při instalaci nahrán zavaděč operačního

systému a který se stará o správné zavedení operačního systému(ů). Existuje

několik speciálních zavaděčů, jako například Lilo nebo Grub, jež jsou součástí

Linuxu, ale existují i jiné. Zmínil bych například XOSL (Extended Operating

System Loader), který si můžete stáhnout z www.xosl.org. Tento zavaděč je velmi

komplexní a bez problémů zvládne zavést téměř jakýkoliv operační systém. Co je

pro nás ale důležitější, lze ho zaheslovat, takže operační systém bude moci

spustit jen ten, kdo zná správné heslo. Nevyskytují se zde rovněž žádná

univerzální hesla a reset BIOSu zavaděč nezničí. Na druhou stranu je třeba

říci, že útočník může v BIOSu změnit pořadí médií, ze kterých je systém

zaváděn, a může klidně zavést systém z diskety nebo CD-ROMu.



Z výše uvedeného tedy vyplývá, že za použití standardních prostředků útočníkovi

nezabráníme systém spustit, můžeme mu to jen zkomplikovat. To může být užitečné

v prostředí, kdy má útočník málo času, a musel by například otevřít skříň

počítače a resetovat BIOS. Jestliže tedy nemůžeme útočníkovi zabránit ve

spuštění operačního systému, musíme systém zabezpečit jinak.





Spuštění z diskety



Zde je jedna z velkých slabin systémů 9×. Útočník může spustit operační systém

z diskety a má pak nad systémem neomezenou kontrolu. Může libovolně procházet

pevný disk, mazat nebo kopírovat soubory atd. Nemůže ale spouštět a instalovat

aplikace určené pro systém Windows, neboť se pohybuje v systému MS-DOS. Pokud

zapne systém Windows (příkazem win), spustí se systém Windows, který však již

může mít implementovány nějaké bezpečnostní prvky. Proti spuštění systému z

diskety tedy v podstatě neexistuje účinná obrana, snad jen šifrování souborů na

pevném disku nebo odpojení disketových mechanik (což ale nezaručuje, že útočník

nemůže mít vlastní). Ztrátě nezabráníme, a proto je dobré udržovat si

pravidelné zálohy, ze kterých by pro nás neměl být problém systém obnovit.

Dejme ale tomu, že útočník nestojí o to vymazat nám obsah pevného disku, ale

chce na náš systém nainstalovat nějakou škodlivou utilitku, například trojského

koně nebo backdoor. K tomu bude třeba spustit systém Windows. A nyní se

dostáváme k otázce zabezpečení samotného systému. Ještě si ale uveďme stručnou

tabulku, ve které shrneme předchozí řádky.





Přihlášení



Pokud počítač používá více uživatelů, pravděpodobně bude mít každý z nich

zřízen nějaký profil a bude se muset systému před použitím identifikovat.

Bohužel je to jen jakási parodie na skutečnou autentizaci, kterou známe

například z prostředí systémů UNIX/Linux nebo Windows NT, 2000, XP. Stačí

jednoduše stisknout ESC, popřípadě vložit libovolné jméno a heslo, a systém se

nám otevře dokořán. Máme pro vás dobrou zprávu. Systém Windows lze nastavit

tak, aby se k němu nemohl přihlásit nikdo neoprávněný (alespoň částečně).

Bohužel má tento postup několik podmínek, a v důsledku bude u počítače sedět

stejně kdo chce a bude si dělat co chce. Ale myslím, že ze standardních

prostředků, které nám Windows nabízejí, je tento způsob asi nejúčinnější. Nyní

však se vraťme k oněm podmínkám. Za prvé je třeba, aby byl počítač součástí

nějaké sítě typu klient-server. To je v prostředí podniků či škol celkem běžný

jev. Za druhé server musí provádět autentizaci pro domény, musí tedy fungovat

jako PDC (Primary Domain Controller). Za třetí klienty je nutno nakonfigurovat

tak, aby se přihlašovaly do domény Windows NT (Ovládací panely Síť, Klient sítě

Microsoft Vlastnosti). Dobrá zpráva je, že jako PDC může fungovat jak server s

operačním systémem Windows NT, tak UNIX, na kterém běží Samba server. Více o

konfiguraci Samby jako PDC naleznete v dokumentaci. Pokud tedy splňuje náš

systém všechny uvedené podmínky, stačí do registrů na klientských počítačích

přidat následující položku: Spusťte editor registru a přejděte na položku

HKEY_LOCAL_MACHINE\Network\Logon. Zde pak vytvořte novou položku typu DWORD s

názvem MustBeValidated a změňte její hodnotu na 1. Poté počítač restartujte.

Pokud se teď někdo pokusí přihlásit do systému a zadá neplatné jméno či heslo,

případně se pokusí přihlašovací dialog stornovat (česky zrušit), bude mu

přístup odepřen. Bohužel i tento mechanismus lze obejít. Jak? Naprosto

jednoduše. Stačí spustit Windows v nouzovém režimu, a všechny autentizační

metody jsou k ničemu. Útočník pak může v klidu nainstalovat potřebný software a

klidně odejít. Naštěstí ale tímto postupem znemožníme útočníkovi přístup k

síti, kde by se mohl pokusit napáchat další škody.



Existuje ještě jedna možnost, jak případnému útočníkovi ztížit poškození

systému, a tou je Policy editor. Je to malá utilitka, která nám umožňuje

definovat pravidla pro jednotlivé uživatele. Lze pomocí ní například definovat,

které aplikace budou moci jednotliví uživatelé spouštět nebo které položky jim

budou přístupné v Ovládacích panelech. Bohužel i tato utilitka je imunní vůči

nouzovému režimu. Naleznete ji na instalačním CD (tools\reskit\poledit) vašeho

systému nebo si ji můžete stáhnout ze stránek www.microsoft.com.





Spořič obrazovky



U spořiče obrazovky lze nastavit heslo. To je dobré bezpečnostní opatření pouze

v případě, že opouštíte počítač jen na malou chvilku, neboť útočník může kromě

jiného systém vždy restartovat.





Další pomůcky



Existuje i software třetích stran, který slouží k autorizaci uživatelů, či k

definici jejich oprávnění. Některé takovéto aplikace jsou celkem propracované,

ale všechny bez výjimky mají jeden společný nedostatek. Jsou spouštěny spolu s

operačním systémem, často ale až po jeho spuštění. Nepřijde vám na tom nic

divného? V systémech 9× může bohužel útočník ovlivňovat, které aplikace se po

startu systému nahrají. Může to provést přepsáním registrů ze systému MS-DOS

vymazáním zástupců ze složky Po spuštění ze stejného prostředí nebo prostým

zakázáním jejich natažení, pokud startuje systém v nouzovém režimu a zvolí, že

chce potvrzovat jednotlivé kroky.



Z výše uvedeného tedy vyplývá, že systémy 9× nelze zabezpečit před lokálními

útoky. Poslední a nejdůležitější obranou linií, a to jak proti lokálním tak

síťovým útokům, je šifrování. K němu se vrátíme poté, co probereme nebezpečí,

která nám hrozí po síti.





Síťové útoky



Dobrá zpráva pro uživatele systémů 9× je, že tyto systémy síťovými funkcemi

příliš neoplývají, a nejsou tedy tolik náchylné k útokům po síti. Mluvíme teď

samozřejmě o výchozí konfiguraci systému. Problém vzniká ve chvíli, kdy

používáme produkty třetích stran nebo se rozhodne zpřístupnit svoje soubory

ostatním uživatelům pomocí sdílení. Pokud se i přesto pokusí někdo na váš

systém zaútočit, bude o něm nejprve potřebovat získat nějaké informace.





Zkoumání systému



Potenciální útočník bude nejdříve potřebovat zjistit, jaký operační systém na

vašem počítači běží, a které aplikace a v jaké verzi provozujete. Nejdříve však

bude chtít zjistit, zdali je váš systém vůbec aktivní. To zjistí pomocí utility

ping, která je součástí snad každého operačního systému. Existují však i

sofistikovanější verze tohoto programu, jež nabízejí rozšířené funkce. V

tabulce je uveden přehled několika z nich. Pokud útočník zjistí, že je váš

systém aktivní, bude se snažit zjistit druh a verzi operačního systému.

Naneštěstí jsou systémy 9× velice sdílné, pokud jde o identifikaci systému. S

použitím nástroje jako je například unixový nmap dokáže útočník cílový systém

velice snadno identifikovat. Pokud navštívíte nějakou webovou stránku, která

obsahuje příslušný Javascript, lze operační systém identifikovat rovněž. Další

věcí, kterou bude chtít útočník zjistit, je jaké aplikace používáte. To není

tak jednoduché, zejména pokud jde o „čistokrevný“ útok po síti. Prvním krokem

bude zřejmě skenování portů, protože každá síťová služba musí naslouchat na

nějakém portu. To, jaké služby na jakých portech naslouchají, zjistíte jak

jinak, než skenováním. Zde je přehled několika port scannerů, pomocí kterých to

můžete zkusit. Skenujte však pouze svůj systém, a pokud nevíte, co děláte,

raději se tomu vyhněte. Všechny zde zmíněné programy jsou zdarma a je jich

zastoupen jen zlomek. Podobných nástrojů existují stovky a můžete je nalézt na

velkých webech, jako například www.packetstormsecurity.org, kde se nalézá

zřejmě největší archiv bezpečnostních utilit pro všechny operační systémy.



Síťové útoky na systémy 9× můžeme v podstatě rozdělit do dvou hlavních skupin.

Za prvé jde o útoky na sdílené prostředky, a za druhé o využití chyby v

aplikacích.





Sdílení



Aby bylo možno na sdílené prostředky zaútočit, je třeba je nejdříve vyhledat a

identifikovat. K tomu můžeme použít několik utilit. Jedním z takových nástrojů

je například NBTscan. Tato utilitka zkoumá síť a zjišťuje u klientů IP adresu,

jméno počítače, uživatelské jméno přihlášeného uživatele a MAC adresu síťové

karty. Můžete jí získat na adrese www.inetcat.org. Existuje verze pro UNIX i

Windows. Dalším nástrojem může být například smbclient, který je součástí Samba

serveru. Dále existují utilitky, jež se pokouší připojovat ke sdíleným

prostředkům a hádat hesla pomocí brute force attack nebo pomocí slovníkového

útoku. Jedním z takovýchto nástrojů je Legion, vytvořený skupinou Rhino9. Tento

program umí kromě skenování určitého intervalu IP adres a vyhledávání systémů

se sdílenými prostředky i útok na sdílené prostředky právě pomocí výše

uvedených metod. Tento nástroj můžete získat na serveru

www.packetstormsecurity.org.



Jaká je tedy nejlepší obrana? Patrně nejbezpečnější je sdílení vůbec

nepoužívat. Pokud se ale bez něj neobejdete, každý sdílený prostředek řádně

zakódujte. Bohužel délka hesla je maximálně 8 znaků. Přesto se snažte heslo

vybrat co nejlépe. Můžete používat i speciální znaky jako * $ # atd. Dobrým

nápadem je umístit na konec sdílného prostředku znak dolaru $. Sdílený

prostředek se pak ostatním klientů nezobrazí v okně Okolní počítače a funguje i

proti nástroji Legion. Ale pozor, například vůči utilitě smbclient je to

neúčinné. Dále také dobře zvažte, které adresáře či soubory nabízíte ke

sdílení. Je jistě velkou chybou poskytnout ke sdílení celý disk. Lepší je

vytvořit speciální adresář a do něj umístit věci, které potřebujete sdílet.





Útoky na síťové aplikace



Tento druh útoků je patrně nejrozšířenější. Útočit lze prakticky na všechny

aplikace, jež ke své činnosti používají síť. My si ukážeme ty nejčastěji

napadané a pokusíme se o jejich zabezpečení. Na úvod je však třeba říct, že

proti těmto útokům moc dělat nemůžeme, snad jen sledovat vývoj a instalovat

opravy.





Internet Explorer



O chybách v tomto oblíbeném webovém browseru by se daly psát romány. Během

posledního zhruba půl roku neuplyne týden, aby se v aplikaci neobjevila alespoň

jedna chyba, která umožňuje číst soubory z lokálního disku nebo by neumožňovala

spuštění libovolného programu na cílovém systému.



Většina těchto chyb vychází z technologie ActiveX, mnohé ale ne. Pokud chcete

mít přehled o všech chybách IE, navštivte stránky www.www.guninski.com Tyto

stránky provozuje Georgi Guninski, který stojí za odhalením většiny

bezpečnostních chyb IE. Princip těchto chyb je pro běžného uživatele často

nepochopitelný a nemá cenu je zde ani popisovat. Důležitější je zaměřit se

obranu.



Asi nejjednodušší by bylo říci, nepoužívejte IE. Bohužel z vlastních zkušeností

mohu potvrdit, že s takovouto radou příliš nepochodíte. Mnoho uživatelů nemá

chuť zkoušet a instalovat nové produkty, ať již z pohodlnosti nebo kvůli oblibě

IE. Přesto bych doporučit spíše jiné prohlížeče jako například Mozillu nebo

Operu. Jde o velmi podařené produkty, jsou dostupné zdarma a také můžete sehnat

verze pro většinou operačních systémů. V rámci objektivity je však třeba

upozornit i na některé nedostatky, jimiž tyto produkty trpí. U Mozilly je to

především velká náročnost na systémové zdroje, takže pokud máte 32MB nebo méně

RAM, budete potřebovat i značnou dávku trpělivosti. U Opery, která je

mimochodem nejméně náročná na systémové zdroje, se občas vyskytnou problémy s

podporou novějších standardů a funkcí, a také s podporou češtiny.



Pokud se tedy rozhodnete používat i nadále IE, je třeba jej správně

nakonfigurovat. Především zakažte všechny ActiveX, chcete-li mít klidný spánek.

Doporučuje se co možná nejvíce paranoidní konfigurace. Dále také nestahujte a

neinstalujte nejrůznější plug-iny a „udělátka“, kterých je na síti k dispozici

velké množství. Ve většině případů půjde minimálně o spyware. Nejdůležitější je

však včasná instalace oprav vydaných společností Microsoft.





Outlook



Z hlediska bezpečnosti je na tom Outlook podobně jako IE. Bezpečnostních děr je

také požehnaně a dají se celkem snadno zneužít. Asi nejvážnější chybou těchto

produktů je automatické spouštění příloh elektronické pošty. Tato chyba také

umožnila šíření nejrůznějších virů a červů. V poslední záplatě firmy Microsoft

už by mělo být vše odstraněno, ale je jen otázka času, kdy se objeví něco

podobného. Pokud tedy nechcete používat jiné produkty jako je Eudora, The Bat a

další, řiďte se stejnou radou, jaká platí pro IE.





Další produkty



Mezi nejpoužívanější produkty patří různé komunikační prográmky jako je ICQ,

AIM nebo mIRC. V každém z těchto programů byly objeveny nejrůznější chyby,

které ve svém důsledku vedly až ke kompromitaci celého systému. Chyby se mohou

vyskytnout prakticky v jakémkoliv softwaru. Proto vždy moudře zvažte, jaké

programy na systému instalujete a není-li to občas na úkor bezpečnosti,

stability a kvality. Jak se říká: „není všechno zlato, co se třpytí“.





Cíle na systému



Důležité je také, jaké cíle na systému útočník sleduje. Pokud se snaží na váš

počítač útočit cíleně, pravděpodobně bude vědět, co se na něm ukrývá, a měli

byste to tušit i vy. Pokud budete náhodným cílem, půjde pravděpodobně po

souboru .PWL, kde jsou uložena všechna systémová hesla. Ukládání hesel můžete

zakázat použitím Policy editoru nebo změnou následující položky v

registru\HKEY_LOCAL_MACHI­NE\SOFTWARE\Microsoft\Win­dows\Current\Version\Poli­cies\

NetworkDisablePwdCaching na hodnotu 1. Útočníka mohou zajímat i jiné soubory,

zejména ty zaheslované. O prolamování hesel si však povíme někdy jindy.





Zálohování



Ať již se o svůj systém staráte sebelíp, vždy může nastat situace, kdy bude váš

systém někým ovládnut čí poškozen. Aby mohl být poté systém uveden do původního

stavu, musí být odkud. Proto je tak důležité data zálohovat. Pokud ale

používáte svůj počítač jen pro brouzdání po internetu, občas si zahrajete

nějakou hru a nic jiného na počítači neděláte, nemají pro vás zálohy příliš

velký význam, neboť systém můžete obnovit jednoduše novou instalací. Pokud ale

například vytváříte webové stránky, grafiku, programujete nebo píšete texty, je

třeba zálohovat. A to pravidelně. Nemůžeme vám dát univerzální návod, jak

zálohovat, to záleží na konkrétní situaci. Pokud například denně vytvoříte

několik grafických návrhů nebo napíšete několik stovek řádků zdrojových kódů,

měli byste vždy na konci pracovní doby provést zálohu svých dat. Na druhou

stranu, vytvoříte-li jeden dopis nebo jiný text za týden, bylo by pro vás denní

zálohování celkem zbytečné. Důležité je také postup a médium, které na

zálohování používáte. Pokud píšete již výše zmíněné texty, vystačí vám na

zálohy prostá disketa. Potřebujete-li ale zálohovat velké množství dat, budete

potřebovat jiné médium, například CD-R. Pokud nemáte vypalovačku či jiné

záznamové zařízení o velké kapacitě, máte problém. Řešení je několik.



Za prvé můžete svá data zálohovat na server, jste-li součástí nějaké sítě typu

klient-server. Pokud máte rychlé připojení k internetu, můžete si zřídit

prostor na nějakém serveru a data ukládat tam. Pokud máte rozdělen disk na

několik oblastí a na jedné oblasti vám běží dejme tomu Linux, můžete data

zálohovat tam, neboť neexistuje způsob, jak z prostředí systémů 9× zapisovat na

linuxové diskové oddíly. Pozor ale, aby útočník na vašem systému nespustil

nějaký program, který přepíše tabulku oddílů.





Šifrování



Pokud tedy máte vyřešen problém se zálohováním, jistě nebudete chtít, aby si

data mohl kdokoliv číst. A zde přichází ke slovu šifrování. O šifrách a

algoritmech jste si mohli přečíst v minulých číslech PC WORLDu. Nebudeme se

jimi tedy již více zabývat a vrhneme se rovnou na věc. Za prvé pro vás máme

dobrou zprávu. Nemusíte pracně shánět nějaký program, který šifruje, a lámat si

hlavu s jeho ovládáním nebo s tím, jaký algoritmus používá. Na všechno nám bude

bohatě stačit PGP, které máte jistě všichni po přečtení minulého čísla PC

WORLDu nainstalované.



PGP ve verzi pro Windows 9× zvládá kromě šifrování elektronické pošty rovněž

šifrování souborů na pevném disku nebo rovnou celých diskových oblastí. Jistě

jste si všimli, že po instalaci programu se vám v kontextové nabídce objevila

nová položka PGP, která nabízí několik možností. Pokud kliknete pravým

tlačítkem na nějaký soubor, složku či disk, a najedete na PGP, otevře se vám

další nabídka, jež nabízí několik možností. Předně můžete soubor zaheslovat

(Encrypt), podepsat (Sign) zašifrovat a podepsat (Encrypt and Sign), bezpečně

vymazat (Wipe) a nakonec vytvořit spustitelný zašifrovaný soubor (Create SDA).

První tři možnosti jsou nejpoužívanější. Ke své činnosti však takto zašifrované

soubory potřebují PGP. Pokud chcete soubor zaheslovat a poté jej spustit na

systému, který PGP neobsahuje, zvolte poslední možnost (Create SDA).



Existují i jiné programy, jež umožňují šifrovat soubory, ale PGP je více než

dostatečné. Navíc je zdarma, což se o ostatních kvalitních produktech tohoto

typu říci nedá. Rozhodně však svoje soubory neheslujte pomocí Winzipu, Wordu,

Excelu a podobných programů. Tato hesla jsou poměrně slabá a lehce prolomitelná

pomocí brute force attack. K tématu prolamování hesel se ještě v budoucnu

vrátíme.



Na závěr si ještě uveďme jakousi bezpečnostní kuchařku, do které shrneme

všechny nezbytné body pro správné zabezpečení počítače se systémem 9×. Pokud

některý bod nemůžete z nejrůznějších důvodů aplikovat, naleznete odpověď v

článku.





Správně zabezpečený systém



1. Zaheslovaný BIOS

2. Zaheslovaný zavaděč operačního systému

3. Vyžaduje autentizaci domény

4. Nainstalovaný Poledit

5. Aplikované záplaty

6. Nemožnost vzdálené administrace

7. Neobsahuje zbytečné aplikace

8. Kvalitní firewall

9. Pravidelně zálohovaný

10. Citlivá data šifrována



V příštím dílu seriálu začne ta „opravdová zábava“, protože se podíváme na

bezpečnost systémů Windows NT/2000. Jelikož se tyto systémy používají i jako

servery a běží na nich spousta služeb, existuje zde nepřeberně více možností,

jak tyto systémy napadnout a tím pádem i více věcí, které je třeba udělat pro

jejich zabezpečení.



Všechny vaše rady, náměty na další články nebo seriál, názory a prosby opět rád

uvítám na adrese igm@centrum.cz.