Podniková síť je bezpečná, ale co váš notebook na cestách

Rozvoj IT a nárůst prodeje notebooků vzbuzují otázky týkající se zabezpečení

informací při přenosech dat, ať už v těle přístroje nebo během datových

připojení. Přenosné a kapesní počítače mohou znamenat riziko také pro jinak

chráněné lokální sítě.

Otázka bezpečného používání informačních technologií mimo pracoviště je ve

srovnání s bezpečností v zaměstnání stále v pozadí. Přitom na cestách hrozí

nejen nebezpečí úniku citlivých dat, ale také ztráty samotného technického

vybavení a následné ztráty nejen citlivých, ale všech dat. Stejně jako bezpečný

provoz stabilního počítačového pracoviště má i zabezpečení informační techniky

a dat na cestách svoje zákonitosti.



Ochrana před ztrátou

Už v roce 1998 proběhl výzkum amerického Institutu pro počítačovou bezpečnost,

kterého se zúčastnilo 520 expertů na danou problematiku. Výsledná zpráva

přinesla překvapující výsledky. Krádeže laptopů byly v roce 1998 druhým

nejrozšířenějším počítačově orientovaným zločinem, se kterým se musely

společnosti využívající informační technologie vyrovnat. Na prvním místě byly

počítačové viry.

V roce 1999 bylo podle společnosti Safeware Insurance Group ukradeno 319 tisíc

přenosných počítačů, zatímco o rok později už to bylo 387 tisíc. Nejnovější

dostupná čísla pak hovoří o dalším nárůstu, který sice dosahuje pouze jednotek

procent, ale ve Spojených státech tvořila ztráta způsobená firmám krádežemi

přenosných počítačů v minulém roce 89 000 amerických dolarů na společnost.

Důležitost ochrany elektronických zařízení je tedy evidentní.



Jako s bicyklem

Asi nejdostupnějším a nejjednodušším mechanickým řešením, které zabrání příliš

snadné krádeži laptopu, je bezpečnostní kabel. Jediným požadavkem pro jeho

použití je Universal Security Slot (USS), kterým je vybaveno přibližně 80 %

všech dnes vyráběných notebooků. USS jednoduše umožňuje připojení

standardizovaných zámků opatřených kabelem z kvalitní oceli k tělu notebooku.

Bezpečnostní kabel pak funguje jako zámky a řetězy používané cyklisty se

srovnatelným úspěchem.

Stejně jako v případě zámku k jízdnímu kolu i v případě bezpečnostního kabelu k

notebooku je potřeba dbát na kvalitu provedení. Nejdůležitější je kvalitní

zámek, který nelze odemknout sponkou do vlasů. Je dobré zapomenout na

nekvalitní číselný zámek, u kterého lze správné nastavení získat během několika

sekund, a to i bez stetoskopu.



Pár překážek

Metod, jak zloději znemožnit či alespoň zkomplikovat život v případě, že už se

mu krádež povedla, je hned několik. Tou základní, která ale odradí jen velice

nezkušeného zloděje, je heslo požadované při spouštění počítače a heslo pro

přístup do operačního systému. Některé modely notebooků jsou vybaveny číselnými

klávesnicemi pro zadání numerického kódu, který je vyžadován při spuštění, a

protože je provázán s hardwarem, je obtížnější jej obejít. Podobně fungují i

přístroje vybavené biometrickými systémy. V případě notebooků jde o snímače

otisku prstů, ať už zabudované do těla přístroje výrobcem nebo v podobě

přídavné karty do PCMCIA slotu.

Viditelné a špatně odstranitelné označení vlastníka na těle přístroje a

příslušenství zase většinou zloději znesnadní prodej ukradeného notebooku. I v

zastavárně se budou zdráhat přijmout notebook křičící do světa jméno svého

pravého majitele. Pomůže rovněž skryté označení pro případ, že dojde k

odstranění viditelných identifikačních značek a vy svůj notebook najdete ve

vyhlášeném bazaru.



Elektronické oko

K navrácení přístroje majiteli může kromě šťastné náhody či práce policie

napomoci i využití systémů pro sledování. Sledování pohybu jakéhokoliv předmětu

je dnes pouze otázkou peněz. Je téměř jisté, že přístroje, kterými jsou

vybaveni špičkoví představitelé tajných služeb, takovou technologií disponují a

pořídit si ji může každý, kdo na ni má.

Kromě aktivních systémů existují i levnější a mnohem dostupnější řešení. Slibně

vypadá technologie TheftGuard od společnosti Phoenix Technologies. Ta má

umožnit vysledování notebooku po ukradení tak, že si přístroj při každém

přihlášení k internetu vymění informace se speciálním serverem. Pokud zjistí,

že je hlášena krádež, systém uzamkne či vykoná instrukce uvedené na serveru. Ty

mohou zahrnout i zformátování pevného disku. Notebook je pak možné vysledovat

díky IP adrese použité pro internetové připojení. I když jde podle Phoenixu o

neprůstřelný systém, výměnu dat lze zakázat při použití firewallu; jako ochrana

před běžným typem zlodějů však určitě poslouží.



Ochraňte alespoň data

Šikovný nebo spíše zkušený zloděj počítačů si s hesly v BIOSu nebo operačním

systému poradí. Pokud na notebooku máte citlivá data týkající se obchodních

tajemství nebo vlastní soukromé údaje, je nutné přistoupit k další úrovni

ochrany.

Základem je samozřejmě nastavené heslo pro přístup do operačního systému, ale

to se dá obejít. Při ochraně dat tak musíme přejít na vyšší úroveň, která

znamená využití šifrování. Šifrovat lze jak pouze vybraná data, tak celý pevný

disk.

V případě průběžného kryptování kompletního obsahu disku dochází ke zpomalení

práce, proto je jednodušší uchovávat tajná data pouze v několika zašifrovaných

souborech, jejž navíc nemusejí být na první pohled viditelné. Kromě komerčních

produktů, jako je Drive Crypt nebo BestCryp či kompletní balíček Pretty Good

Privacy, jsou k dispozici také produkty freewarové, které zahrnují PGP Disk z

verze PGP 6.0.2i.

Pro kryptografickou ochranu větších objemů dat se používají symetrické šifry. U

těchto šifer slouží jeden a tentýž klíč jak k zašifrování dat, tak i k jejich

dešifraci. Bezpečnost uložených dat ovlivňuje použitý kryptografický algoritmus

a délka použitého klíče. PGP a další nástroje nabízejí volbu několika různých

algoritmů a zároveň volbu délky použitého klíče. V případě velice rozšířeného

algoritmu DES je maximální možná délka klíče 56 bitů.

Vzhledem k vysokým nákladům potřebným na rozlomení šifry DES je pro běžné

nasazení stále ještě bez problémů použitelná. Za bezpečnou délku klíče však

dnes u symetrických šifer kryptografové považují 90 až 100 bitů. Klíče s těmito

hodnotami podporují například algoritmy Blowfish nebo IDEA.

Šifrovací klíče používané k ochraně dat je vhodné uchovávat mimo pevný disk

chráněného počítače. Ideálně na CD vizitkového formátu nebo na USB klíčence.

Ochranu dat lze navíc provázat s biometrickými technologiemi, které jsme už

zmínili dříve.



Nebezpečí na síti

I když jsme na začátku uvedli, že největší nebezpečí na cestách nepředstavují

hackeři, neznamená to, že by šlo o zanedbatelné riziko. Nutnost základní

ochrany počítače před nebezpečím skrytým v počítačových sítích je dobře známá.

Nejen na cestách, ale i v kanceláři je vhodné používat tři typy aplikací

chránících před útokem počítač i vaše data. Prvním základním kamenem ochrany je

antivirový software s pravidelnými aktualizacemi. Druhou vrstvou ochrany je

firewall, který chrání počítač před útoky hackerů a některých internetových

červů, jakým je například MSBlaster. Navíc může firewall odblokovat i reklamní

bannery a vyskakovací okna v internetovém prohlížeči. Třetí vrstvou ochrany

jsou aplikace schopné vyhledat spyware a trojské koně, které by pronikly do

systému.

Doporučit antivirový software je těžké na výběr je z řady českých i

zahraničních produktů. U každého z nich je důležité pravidelně aktualizovat

definiční soubory, a to nejlépe každý den.

Volba firewallu a jeho nastavení už je trochu složitější. Uživatelé Windows XP

mají možnost využít firewallu zabudovaného v operačním systému, který

zneviditelní počítač zvenku. Nezabrání však v přístupu na internet aplikacím, o

kterých nevíte, ale které přesto mohou nejen zbytečně zatěžovat linku, ale také

odesílat informace o vašem chování na internetu či o obsahu vašeho pevného

disku.

Řešením je instalace aplikačního firewallu nebo komplexního firewallu, který

umí pracovat jak přímo s transportní vrstvou, tak s vrstvou aplikační. V praxi

to znamená, že komplexní softwarový firewall umí blokovat komunikaci na

vybraných portech a protokolech i povolit či zakázat přístup k internetu

vybraným aplikacím.

Také v oblasti osobních firewallů je nabídka široká. Kromě nejznámějšího a

nejrozšířenějšího Zone Alarmu jsou v nabídce i méně známé produkty, jako je

Sygate Personal Firewall nebo Agnitum Outpost Firewall. Zapomenout nesmíme ani

na český Kerio Personal Firewall ve verzi 4.2. Všechny zmíněné aplikace

nabízejí třicetidenní zkušební lhůtu a také verzi zdarma pro nekomerční použití.

Nastavení firewallů je jednoduché, většinou už základní instalace poskytuje

dostatečnou ochranu. Při detekci aplikace, která se snaží získat přístup k

internetu, vyzve většina aplikačních firewallů uživatele k vytvoření pravidla.

To může přístup na internet povolit v jednom či v obou směrech, případně

zakázat, a to jak jednorázově, tak trvale. Pokud o nastavení firewallu

pochybujete, můžete využít některý z on-line testů simulujících běžné útoky na

váš počítač.

Pro používání firewallu platí jedno jednoduché pravidlo nepovolovat provoz

neznámých aplikací či služeb a pokud možno nepřerušovat provoz firewallu.



Domů jenom bezpečně

Zatímco firewall ochrání počítač před běžnými zvědavci, připojení k firemnímu

informačnímu systému je mnohem citlivější záležitostí, ke které je nutné

využívat technologii virtuálních privátních sítí. V průběhu obyčejného

připojení totiž data putují internetem v nešifrované podobě, a není tak nic

jednoduššího, než je po cestě odposlechnout.

Virtuální privátní sítě využívají pro přenos dat veřejné sítě, ale data, která

jimi proudí, jsou šifrována na protokolové vrstvě využitím IPSec (Internet

Protocol Security). Tuto službu nabízí firemním zákazníkům všichni větší

poskytovatelé internetového připojení. Předpokladem pro využívání služby je

instalace routeru s podporou IPSec v lokální síti či na intranetu zákazníka.

Kromě klasických providerů poskytují služby VPN rovněž mobilní operátoři, o

jejichž služby v této oblasti je díky rozšíření technologie GPRS poměrně značný

zájem. Kromě klasické VPN nabízejí provozovatelé mobilních sítí také

bezpečnější GPRS připojení přes vyhrazené přístupové body. Při využití této

služby není potřeba speciálního vybavení, takže je vhodné i pro menší firmy.

V případě VPN fungujících v prostředí mobilních sítí existuje ještě jedno

nepříliš diskutované riziko. Přístup ke službě je vázán na SIM kartu, na

telefonní číslo. Pokud někdo získá kopii SIM karty, získá tak také ověření pro

vzdálený přístup k firemním informačním systémům. Toto riziko není příliš

výrazné, ale existuje.

Klonování karet samo o sobě není u běžných SIM karet příliš náročné, problém

pro případného útočníka představuje získání originálu karty. Prozatím jedinou

dostupnou SIM kartou odolnou proti klonování je T-Mobile universal SIM. Ta je

vybavena šifrovacím algoritmem SAM pro přístup k síti. Za bezpečností karty

stojí použití nového šifrovacího algoritmu, který doposud nebyl kompromitován.

Pokud místo přístupu k intranetu nebo k informačním systémům ve firmě

potřebujete jen výměnu dat prostřednictvím elektronické pošty nebo instant

messengeru, můžete využít aplikace jako Pretty Good Privacy (PGP). V případě

elektronické komunikace je vhodné používat asymetrické šifrovací algoritmy,

které pracují se strukturou veřejných a privátních klíčů. To v praxi znamená,

že data určená dané osobě šifrujete s použitím jejího veřejného klíče. Zpráva

je pak nečitelná do okamžiku, než je dešifrována privátním klíčem. Bezpečnost

dat je zaručena tím, že z veřejného klíče nelze odvodit podobu klíče

soukromého. S pomocí PGP je možné šifrovat komunikaci i při použití ICQ nebo

obdobného programu.



Jak bez drátů

Na cestách dnes můžeme běžně používat bezdrátovou komunikaci jak pro přímý

přístup k internetu, tak pro propojení laptopu a mobilního telefonu. Slouží k

tomu technologie Wi-Fi pro přístup na internet a Bluetooth pro komunikaci mezi

elektronickými zařízeními na krátkou vzdálenost.

Charakter bezdrátových sítí sám o sobě vzbuzuje potřebu zabezpečení, protože

přístup k provozu v síti je velice snadné získat. I když je efektivní dosah

Wi-Fi sítí poměrně malý, v menší intenzitě se signál šíří daleko a s výkonnou

anténou je útočník schopen odhalit nezabezpečenou síť a zneužít ji minimálně k

bezplatnému přístupu na internet, ale v horším případě k datům proudícím sítí.

Ochrana v tomto případě není jen na vás.

Bezpečné bezdrátové připojení má zajistit především provozovatel přípojného

bodu. K základním bezpečnostním prvkům pat-ří šifrovací mechanismus Wired

Equivalent Privacy (WEP), který pracuje se 64 nebo 128bitovým klíčem. Tato

ochrana není příliš silná, ale bez aktivovaného WEP je Wi-Fi hotspot

jednoznačnou pozvánkou pro rádoby-hackery.

WEP navíc ve Wi-Fi síti chrání data pouze na cestě mezi vaším zařízením a

přístupovým bodem, dále po internetu jsou transportována v otevřené podobě,

proto i zde platí pravidla o použití šifrovacích metod. V případě Wi-Fi

hotspotů nabízených zavedenými ISP se pak automaticky nabízí využití služeb

VPN. V ostatních případech zůstává alternativou prosté šifrování e-mailové

komunikace a omezení práce na internetu na obyčejné prohlížení stránek bez

přístupu k citlivým datům.

Rizika používání bezdrátové sítě Bluetooth jsou pak asi nejmenším problémem,

který uživatele informačních technologií na cestách potká při dodržení jednoho

jediného pravidla. Bohužel, stejně jako Wi-Fi zařízení, i Bluetooth je dodáván

často se základním nastavením, při kterém jsou vypnuté bezpečnostní prvky. V

případě Bluetoothu je pro nechráněný přístroj hrozbou utilitka Red Fang, která

umí nechráněné zařízení odhalit. Odhalení je jen začátek, následně je možné na

nechráněné zařízení odeslat krátkou aplikaci, která umožní sběr informací.

Proti zařízením s aktivovaným zabezpečením je ale Red Fang neúčinný. Bluetooth

síť má navíc velice malý dosah a případného útočníka by bylo pravděpodobně

jednoduché odhalit.



Šťastně doma

Návrat do firemního prostředí ještě neznamená konec starostí. Při dodržení

zásad bezpečnosti by neměly nastat žádné problémy, přesto by bylo velice

nezodpovědné ihned po návratu do firmy připojit notebook do lokální sítě. Stroj

by měl místo toho projít karanténou nebo spíše otestováním firemním antivirovým

softwarem a dalšími nástroji.

Pokud se vám to zdá jako přehnaná starost, mýlíte se. Při nedávném útoku

internetového červa MSBlaster došlo i u nás k několika případům, kdy nic

netušící zaměstnanec pronesl tento vir dovnitř firemní sítě na notebooku, se

kterým byl předtím připojený do sítě u zákazníka či doma.