Hlavní navigace

Chcete bezpečnostní skener

1. 10. 2004

Sdílet

Zjistěte si, jak jste na tom s bezpečností vašeho počítače(CD) Počítačová bezpečnost je jedním z hlavních problémů dneška, zejména pokud intenzivně používáte internet. Je ně...
Zjistěte si, jak jste na tom s bezpečností vašeho počítače(CD)

Počítačová bezpečnost je jedním z hlavních problémů dneška, zejména pokud
intenzivně používáte internet.
Je nějak možné zjistit, jak je váš počítač bezpečný? A má cenu se o to vůbec
starat? Vše se dozvíte v tomto článku.

Rizika především

Problematika počítačové bezpečnosti je jedním z témat, která se zařadila mezi
stálice diskuzí o současném používání informačních technologií. V podstatě se
dá říci, že nikdo není zcela v bezpečí. Počítače, ale i další zařízení ohrožuje
mnoho různých elementů od stále se šířících červových nákaz přes klasické viry
po různý spyware a malware. Bezpečnostním problémem jsou však také operační
systémy, především nejrozšířenější a nejčastěji používaná Windows nedostatek
aktualizací, jejich špatné použití nebo implementace. Problémem je také
množství využívaných či jen zbytečně fungujících služeb, špatných konfigurací a
dalších elementů. Ve společnostech, které si kladou za cíl používat svou
informační infrastrukturu vskutku bezpečně, existují často speciální pozice
"bezpečnostních manažerů". Tito lidé mají jako jediný pracovní úkol starat se o
komplexní a velmi náročnou otázku zabezpečení firemních systémů. Ale co domácí
uživatelé?
Někteří tvrdí, že pro ně není otázka počítačové bezpečnosti zase tak důležitá a
v podstatě stačí využívat několik základních aplikací. Antivirový systém,
firewall, program pro hledání a likvidaci spywarových komponent. To jsou
elementární body bezpečnosti každého domácího počítače. Jenže stačí to? Můžeme
ještě přidat nutnost neustále a pokud možno automaticky aktualizovat,
respektive udržovat v aktuálním stavu svůj operační systém a ty komponenty,
které mají přímý vliv na bezpečnost. Nicméně ani to není vše.
Domnívat se, že bezpečnostní rizika se nás nemohou týkat, by bylo prvním
krůčkem na krátké a velmi strmé cestě do pekel, přesněji řečeno k ohromnému
problému. Ani bezpečnostní odborník, který je vzdělán a soustavně v
problematice trénován, si sám se svou vlastní hlavou leckdy nevystačí. Natož
pak tak říkajíc běžný uživatel. Přestože jednotlivým rizikům naštěstí nemusí
věnovat tak extrémní pozornost a nemusí být bezpečnostním paranoikem, je velice
důležité, aby člověk, kterému na bezpečnosti záleží, věděl, jak bezpečný je
jeho počítač, zejména je-li trvale připojen k internetu a toto připojení je
čile využíváno.
Podobně jako existují antivirové programy, jejichž posláním je na základě
známých informací vyhledávat možnou virovou či červovou nákazu a eliminovat ji,
a jako existují antispywarové systémy, které činí totéž s nevítanými aplikacemi
a komponentami, jež si kladou za cíl špehovat uživatele, případně zneužívat
jeho počítač k záměrům svých tvůrců, existují stejně i speciální aplikace pro
hodnocení bezpečnosti. Bezpečnostní auditování je součástí mnoha pokročilých
systémů určených ke správě síťového prostředí. Abychom je mohli využívat,
musíme tyto komplexní (a nutno podotknout že i drahé) systémy aktivně užívat a
především je musíme vlastnit. Výsledkem jejich práce pak bude jednoznačný,
rozsáhlý a především velmi komplexní obraz o tom, jak na tom s bezpečností
jsme, kde se nacházejí všechna potencionální rizika a kde jsou nejslabší místa
našich systémů. Opět by se mohlo zdát, k čemu to je, když se vše využije
nanejvýše ve velkých společnostech nebo ve firmách, které se komunikací
profesionálně zabývají či jejich systémy obsahují důležité, důvěrné informace.
Avšak i to je značná chyba, přesněji řečeno nedorozumění. Důležité a soukromé
informace se nacházejí v každém počítači. Naše soubory, hesla k nim, účetnictví
nebo prostý rozvrh financí. Různé projekty, studie a plody naší práce mohou být
snadno zneužity nebo kompromitovány. I proto je dobré svou bezpečnost velmi
podrobně znát a co nejvíce pro ni udělat.
Nyní se nebudeme zabývat jednotlivými komponentami tvořícími bezpečnost,
protože ty již byly představeny mnohokrát. To, co nás zajímá, jsou pro změnu
právě nástroje pro auditování bezpečnosti, a to takové, které máme šanci
využít, byť jen třeba v podobě demoverze, v domácím prostředí. Existuje jich
hned několik a soustředíme se převážně na dva. Jeden snadno a zadarmo dostupný,
druhý profesionální. Společně s nimi si povíme, nakolik je náš počítač bezpečný
a kde jsou jeho největší mezery, případně co s nimi udělat.

Jak funguje auditovací program


Princip bezpečnostního skeneru se, jak již bylo řečeno, v mnohém podobá
principu antivirového systému. Jeho základem je soubor znalostí o dané
problematice, v tomto případě o bezpečnosti. Skener je schopen "projít" počítač
a určit, která jeho nastavení nebo které komponenty jsou potenciálním zdrojem
rizika. Na rozdíl od antiviru, jenž hledá jen určité kusy kódu, je ale práce
bezpečnostního auditora mnohem komplikovanější. Jeho primárním cílem je totiž
najít optimální míru rizika. Některé služby jsou sice bezpečnostním problémem,
nicméně se využívají a jsou zde proto, abychom je užívali. Skutečným rizikem se
stávají teprve poté, když jsou spuštěny jaksi navíc a kdy je jejich jediným
skutečným účelem fungovat jako ono riziko. Nemusí se přitom jednat jen o
služby, které by umožnily přímý přístup k prostředkům daného zařízení, nýbrž i
o ty, které mohou snadno fungovat jako prostředek sociotechnického útoku.
Podobně jako antivirus musí být i auditovací systém neustále aktuální. Tedy
jeho databáze musí být neustále doplňována o poslední poznatky o bezpečnostních
opravách, funkci služeb, ale také třeba o optimálních nastaveních, jejichž
aplikace minimalizuje riziko potenciálního útoku, respektive jejichž špatné
využití se samo stává rizikem.
Auditor je schopen analyzovat mnohem více: je schopen říci přesně, v čem se
nachází problémy vzhledem k tomu, jak dané zařízení využíváme. Jeho výstupem je
obvykle zpráva, která nám popíše stav a schopnost "léčit", tak nutná u
antivirového softwaru zde je vlastně jen bonusem. Podstatný je totiž návod,
jasná informace.

Jeden a hodně

Antivirový program musí být umístěn na každém počítači, aby jej byl schopen
analyzovat. Bezpečnostní auditor musí být naopak vybaven schopností analyzovat
najednou nikoli jen jeden stroj, na němž se fyzicky nachází, ale klidně celou
síť tvořenou mnoha počítači, mnoha komponentami s různými operačními systémy, s
jejich různým nastavením a také různým prostředím. To je podstatná vlastnost
pro firmy, které je používají. Jak je však tato vlastnost podstatná i pro
uživatele? Mnoho domácích počítačů není izolováno. Jsou často součástí menších
či větších lokálních sítí, ať již tyto sítě fungují třeba jen v rámci jedné
domácnosti, jednoho domu či jednoho sídliště. I kdyby byl jeden prvek takové
sítě v naprostém pořádku, pokud je pět nebo šest dalších vysoce
problematických, pak se celé prostředí stává právě tak nebezpečným zdrojem
potenciálního rizika, jako by žádná opatření pro zajištění bezpečnosti vůbec
nebyla aplikována. Ale podívejme se, co je pro hodnocení bezpečnosti
nejdůležitější: (viz rámeček).

Má to smysl?

Mají bezpečnostní audity smysl i pro "obyčejného" uživatele? Za jistých
okolností ano. Je vhodné je provádět, protože následky, které plynou z
nedostatečného zajištění počítače, mohou být mnohem cennější než čas a
prostředky, které na bezpečnostní audit vynaložíte. Vše je ovšem samozřejmě
přísně individuální otázkou, takže konečné rozhodnutí zůstává pouze na vás jako
na uživateli. Je také nevhodné instalovat a provádět testy nebo
administrátorské zásahy na počítačích, na nichž nejste autorizovanými
administrátory. To však asi není třeba připomínat.

Základem je Microsoft
MBSA (Microsoft Baseline Security Analyser)
http://www.microsoft.com/security/default.mspx

Základní aplikace pro provedení bezpečnostního auditu MBSA (Microsoft Baseline
Security Analyser) je k dispozici zdarma. MBSA je určen pro operační systémy
typu Windows NT (W2K, XP). Analyzuje kromě nich také nejběžnější další produkty
tohoto výrobce, jako sadu Office, SQL server a také komponenty IIS. Výsledky
jsou podávány co nejpřehlednější cestou pomocí jednoduchých a srozumitelných
reportů. MBSA je vhodný pro každého uživatele, podmínkou jeho použití je ovšem
dostatečná znalost angličtiny. Jedná se o dobrý základní nástroj.

Většina současných PC používá operační systémy společnosti Microsoft, tedy
Windows. Moderní počítač si již takřka nedokážeme představit bez systému
Windows XP a bez kancelářské sady Office k provádění nejběžnějších úkonů.
Přesto jsou právě tyto komponenty (bohužel) nejnáchylnější k útokům všeho druhu
a představují nejzákladnější bezpečnostní riziko. Aby jim bylo možné
předcházet, vyvinul (respektive licencoval) Microsoft jakýsi elementární,
základní bezpečnostní scanner. Software nazvaný MBSA (Microsoft Baseline
Security Analyser) je zdarma k dispozici na stránkách Microsoftu zabývajících
se bezpečností. Jedná se o nevelkou lokální aplikaci, jejíž uživatelské
rozhraní je uzpůsobeno vzhledu Windows XP, ovládání je tedy i přes
komplikovanost aplikace velmi intuitivní. Pomocí analyzátoru je možné prověřit
nejen vlastní počítač, ale rovnou celou místní síť. Klíčem pro identifikaci
jejích prvků je typicky rozsah IP adres, v nichž se nacházejí požadované
počítače.
MBSA po spuštění analýzy nejprve kontaktuje servery Microsoftu a vyzvedne si z
nich informace o aktualizacích. To je nezbytný proces, nutný k tomu, aby nám
celá analýza vůbec k něčemu byla podstatnou částí je totiž porovnání stavu
systémů s aktuálním vývojem, s aktuálními záplatami. Následně jsou v počítači
vyhledávány styčné body a právě porovnávány se znalostmi produktu. Protože jde
o elementární software a možná i proto, že jeho autorem je samotný Microsoft,
probíhá skenování velmi rychle. Typicky po několika desítkách sekund pro každý
počítač (v závislosti na pověřeních, která k němu máte, a na průchodnosti sítě)
je vytvořen report. Tedy závěrečná zpráva, která zůstává uložena v analyzátoru
a která obsahuje všechny potřebné informace týkající se bezpečnosti. Jednotlivé
položky jsou ve výchozím nastavení tříděny podle produktů a závažnosti. Každý
typ závažnosti problému má svou ikonku, díky níž je čtení závěrečné zprávy o to
jednodušší. U nalezených problémů je obvykle uveden odkaz s vysvětlením, co
bylo přesně skenováno, a s jakým výsledkem, důležité je i doporučení, co s
nalezeným problémem dělat dále. Report je možné vytisknout nebo zkopírovat do
schránky. To je sice poněkud omezené spektrum možností, nicméně je pro většinu
uživatelů plně postačující. MBSA uchovává starší verze reportů, a tak je možné
se k nim kdykoliv vrátit, obvykle s cílem porovnat poslední (současný) stav s
minulými zprávami a zjistit, jakým směrem se bezpečnost daných počítačů ubírá.
MBSA pracuje kromě samotných Windows i s aplikacemi sady Microsoft Office,
systémem IIS (Internet Information Services), Microsoft SQL serverem a je
schopen identifikovat jednak zbytečné služby, jednak nastavení hesel. V
případě, že najde nesrovnalost, zahrne ji do svých výsledků.
Smůlou je, že ne vždy MBSA funguje zcela korektně. Není schopen analyzovat
nedostatky Windows 98 a podobných systémů, přestože tyto jsou stále uživateli
využívány. V některých případech také dochází k dosti nepochopitelným kolizím
mezi aplikací a skenovanými komponentami, což vede k "nekompletním" výsledkům.
Tento problém přetrvává i přesto, že nedávno byla uvolněna nová verze aplikace.
A na závěr ještě jeden malý problém.
Smůlou MBSA je, že ač při každém skenování aktualizuje svůj seznam problémů a
detekční databázi, aplikace v současné době neobsahuje nástroj, jímž by byla
schopna aktualizovat sama sebe. MBSA vás sice upozorní na přítomnost nové verze
na webu Microsoftu, nicméně ji není schopen stáhnout a tuto akci přenechá na
uživateli. Jedná se sice o detail, ale o takový detail, který má vliv na
uživatelský komfort ovládání programu.
Celkově však MBSA můžeme směle doporučit všem uživatelům, kteří by se rádi
dozvěděli, jak na tom s bezpečností svého systému Windows a přilehlých
komponent vlastně jsou. Je jednoduchý, přehledný, má všechny potřebné základní
funkce a má tu hlavní přednost, že je zdarma (přesněji řečeno jste za něj
zaplatili již koupí dotyčných produktů Microsoftu). Jeho aktualizace jsou díky
jednotnému systému pravidelné a zřejmě naprosto dostačující. Je vhodné si jej
nainstalovat a zejména pokud máte na počítači důležitá data, jednou za čas
opravdu použít.

Sítnice pro profesionály
Retina Network Security Scanner
http://www.eeye.com

Na rozdíl od MBSA je RNS (Retina Network Security Scanner) profesionálním
produktem určeným bezpečnostním manažerům. Je to komplexní systém, který
představuje určitý kompromis. Jeho robustní jádro je totiž zabaleno do poměrně
jednoduše ovladatelného a spravovatelného hávu. Nabízí širokou škálu testování
různých produktů, tedy nejen od Microsoftu, a různých součástí operačního
systémů i jednotlivých aplikací. Jedná se o velmi vyspělý, a proto také
finančně nákladný software určený pro správce větších sítí. Nicméně existuje
verze, kterou je možné si bezplatně stáhnout a vyzkoušet. Můžete se tak alespoň
podívat, jak vypadá opravdu komplexní bezpečnostní audit. A po dobu testování
se jím pochopitelně můžete i řídit, což vaši bezpečnost velmi posílí.
Nedostatkem jsou vyšší nároky a pomalejší chod samotné aplikace. To však
vzhledem k jejímu účelu příliš nevadí.
Nyní od základních řešení určených pro jediný typ operačního systému přeskočíme
k řešení profesionálnímu, postavenému pro skutečné heterogenní sítě,
používající množství aplikací. Princip Retina Security Scanneru je stejný jako
v předchozím případě. Uživatelské rozhraní se s nedávno uveřejněnou novou verzí
začalo také podobat Windows XP, ovládání základních funkcí je velmi intuitivní.
Přesto je poznat, že RNS obsahuje mnohem více funkcí a prostý uživatel se v něm
zřejmě začne orientovat až po nějakém čase.
Elementární funkcí je schopnost prozkoumat stanovené počítače na základě jejich
zadaných IP adres. Skenování je mnohem komplexnější než v případě MBSA. Retina
není Microsoft, což znamená, že může jako problém označit i ta nastavení,
komponenty a stavy, které by jinak v podání výrobce operačního systému zřejmě
"prošla".
Retina podporuje či je schopna alespoň detekovat množství různých softwarových
produktů různých výrobců a poukazovat nejen na jejich jednotlivé problémy, ale
i na možné vzájemné interakce. Samotné testování je časově mnohem náročnější
než v případě základního analyzátoru. Vyšší jsou také nároky na hardware.
Skenování neprobíhá zároveň s aktualizací možností softwaru, ta se provádí
samostatně prostřednictvím zvlášť dodávané aplikace. Přesto se aktualizaci
doporučuje provádět co nejčastěji, pokud možno po každém spuštění RNS.
Samotné testování probíhá nevýhradním způsobem a během něj je možné s RNS dále
pracovat, prakticky se to ale nedoporučuje. Je možné naplánovat a spustit více
testování najednou. Jejich stav je přitom neustále zobrazován v patřičné části
uživatelského rozhraní aplikace. RNS obsahuje speciální manažer přihlašovacích
jmen a hesel. Ty je možné (po bezpečnostním varování) zadat a následně provádět
testování s nejrůznějšími pověřeními. Díky tomu správce může provést několik
náhledů na stav bezpečnosti jednotlivých strojů. Další předností tohoto řešení
je možnost testování různých systémů, které mají různá přihlašovací jména a
hesla.
Vypracované reporty jsou formátovány podobně jako u MBSA, jen prostředí je o
něco málo méně intuitivní. Vyšší jsou ale možnosti při formátování a následném
exportu jednotlivých výsledků. Bohatší je schopnost definování skupin
testovaných strojů, adres a portů, stejně jako podrobnější nastavení celého
procesu bezpečnostního auditu. Testy lze, což je důležitá vlastnost, plánovat
velmi podrobně dopředu.
Samotné výsledky jsou mnohem podrobnější než u produktu Microsoftu. Některé z
problémů je možné okamžitě opravit z prostředí RNS, avšak pozor! Některé opravy
sice zvyšují bezpečnost, ale zároveň mohou snižovat kompatibilitu systému, na
což ovšem systém dopředu upozorňuje. Výborně jsou zpracována i informativní
hlášení o možných dodatečných problémech, o instalovaných aplikacích, možných
virových infekcích a dalších důležitých jevech. K většině výsledků (ale ne ke
všem) jsou podány vysvětlující informace. Tyto informace však vyžadují obvykle
určité správcovské znalosti a také určitou znalost angličtiny.
Retina je profesionální produkt a tomu odpovídá i na jednotlivce vysoká cena.
Není ale důvod si zoufat. Existuje plně funkční, byť časově omezená verze,
kterou si můžete stáhnout ze stránek výrobce a zadarmo vyzkoušet. I výsledky
této dočasné verze vám sdělí velmi cenné informace o zabezpečení vašeho
počítače a nabídnou vám mnoho podstatných řešení, co dál. Nedostatkem
pochopitelně je, že veškeré výsledky se po nějaké době od vypršení vaší
zkušební verze stanou neaktuálními a budete nuceni využívat opět jiné, volně
dostupné produkty. Přesto je ale vhodné si tento profesionální produkt
vyzkoušet. Pochopitelně jedině v případě, že se o problematiku bezpečnosti
skutečně zajímáte.

Základní kritéria bezpečnostního auditu

Aktualizovaný systém
Aktualizace je základem péče o bezpečnost operačního systému. Aby byl systém
bezpečný, měl by být aktualizován na nejvyšší možnou úroveň. Ale je zde jeden
problém. Díky složitosti moderního operačního prostředí se stává, že samotné
aktualizace se stávají za určitých okolností zdrojem problému. Jsou všechny
aktualizace ve vašem počítači skutečně "aktuální"? Jsou instalovány ve správné
návaznosti a nejsou třeba poškozené? Nedošlo mezitím, co jste je instalovali,
ke kompromitaci některé z nich? To je první a základní otázka.

Kontrola přítomnosti základních nákaz
Ačkoliv bezpečnostní auditování primárně neznamená hledání například malwaru či
červů, může být ve vyspělých nástrojích přítomno. Je to proto, že někteří červi
se, i přestože je konvenční antivirové produkty bez problému identifikují a
likvidují, mohou masově rozšířit, stát se prakticky nezvladatelnými a mohou se
šířit dlouho poté, co dosáhli svého kulminačního bodu. Tak se stávají rizikem,
které hranici rizika "obvyklých" červů dalece převyšuje a musí mu být věnována
náležitá pozornost.

Potřebujeme vše, co máme?
Především některé síťové služby, které jsou v operačních systémech latentně
přítomny, se mohou stát zdrojem problému, pokud je nepotřebujeme a přesto běží.
Využívají se opravdu všechny věci, které jsou spuštěny? Patří sem zejména
služby typu webových serverů, systémy vzdáleného přístupu (telnet) a dále ty
funkce, které jsou určeny pro správu a řízení serverů, nemluvě obecně o
serverových komponentách jako takových. Některé z nich je vhodné přitom co
nejvíce omezit nebo úplně vypnout, jestliže je nepotřebujeme. Nejen, že se tím
zvýší úroveň zabezpečení, ale stoupne i výkon vašeho systému. To se často týká
například použití moderních skriptovacích technologií, systému ActiveX, DCOM a
podobně. Kromě technologií mohou riziko vytvářet i některé aplikace.
Pochopitelně ty, které jsou bundlovány s nejrůznějším dodatečným softwarem, ale
také například klienti výměnných sítí, některé komunikační programy a
překvapivě třeba také část systémů pro distribuované počítání.

Funguje to, co máme, bezpečně?
Široce rozšířené komunikační aplikace, jako třeba Internet Explorer, Mozilla,
ICQ a podobně obsahují mnoho různých nastavení. Některá z nich mohou velmi
silně ovlivňovat bezpečnost. Jde především o schopnost pamatovat si hesla a
další osobní údaje a vysílat je pryč, dále pak o nastavení bezpečnostních zón,
jejichž nekorektní využití se může velmi snadno stát terčem útoku (zejména u
Internet Exploreru). Totéž se ovšem týká například technologie Java, již
uvedeného ActiveX a několika dalších.

Používáme náš systém bezpečně?
Co vše člověk neudělá, aby si zjednodušil práci. Nicméně existuje i silně
riskantní zjednodušení práce. Patří mezi ně zejména používání počítače bez
patřičného hesla, které by mělo být navíc dostatečně komplikované a dostatečně
často obměňované. Počítač lze zkompromitovat například díky nekorektnímu
nastavení mezipaměti přihlašování, ale také internetové cache, souboru
virtuální paměti (pagefile) a díky dalším podobným komponentám. Přestože zde
jde z pohledu mnoha domácích uživatelů o vyloženě okrajovou záležitost, ve
skutečnosti není ani zdaleka tolik okrajová, jak by se na první pohled mohlo
zdát a s celkovou bezpečností velmi silně souvisí.