Chcete bezpečnostní skener

Zjistěte si, jak jste na tom s bezpečností vašeho počítače. Počítačová bezpečnost je jedním z hlavních problémů dneška, zejména pokud intenzivně používáte internet.



Zjistěte si, jak jste na tom s bezpečností vašeho počítače

Počítačová bezpečnost je jedním z hlavních problémů dneška, zejména pokud intenzivně používáte internet.
Je nějak možné zjistit, jak je váš počítač bezpečný? A má cenu se o to vůbec starat? Vše se dozvíte v tomto článku.

Rizika především

Problematika počítačové bezpečnosti je jedním z témat, která se zařadila mezi stálice diskuzí o současném používání informačních technologií. V podstatě se dá říci, že nikdo není zcela v bezpečí. Počítače, ale i další zařízení ohrožuje mnoho různých elementů od stále se šířících červových nákaz přes klasické viry po různý spyware a malware. Bezpečnostním problémem jsou však také operační systémy, především nejrozšířenější a nejčastěji používaná Windows nedostatek aktualizací, jejich špatné použití nebo implementace. Problémem je také množství využívaných či jen zbytečně fungujících služeb, špatných konfigurací a dalších elementů. Ve společnostech, které si kladou za cíl používat svou informační infrastrukturu vskutku bezpečně, existují často speciální pozice "bezpečnostních manažerů". Tito lidé mají jako jediný pracovní úkol starat se o komplexní a velmi náročnou otázku zabezpečení firemních systémů. Ale co domácí uživatelé?
Někteří tvrdí, že pro ně není otázka počítačové bezpečnosti zase tak důležitá a v podstatě stačí využívat několik základních aplikací. Antivirový systém, firewall, program pro hledání a likvidaci spywarových komponent. To jsou elementární body bezpečnosti každého domácího počítače. Jenže stačí to? Můžeme ještě přidat nutnost neustále a pokud možno automaticky aktualizovat, respektive udržovat v aktuálním stavu svůj operační systém a ty komponenty, které mají přímý vliv na bezpečnost. Nicméně ani to není vše.
Domnívat se, že bezpečnostní rizika se nás nemohou týkat, by bylo prvním krůčkem na krátké a velmi strmé cestě do pekel, přesněji řečeno k ohromnému problému. Ani bezpečnostní odborník, který je vzdělán a soustavně v problematice trénován, si sám se svou vlastní hlavou leckdy nevystačí. Natož pak tak říkajíc běžný uživatel. Přestože jednotlivým rizikům naštěstí nemusí věnovat tak extrémní pozornost a nemusí být bezpečnostním paranoikem, je velice důležité, aby člověk, kterému na bezpečnosti záleží, věděl, jak bezpečný je jeho počítač, zejména je-li trvale připojen k internetu a toto připojení je čile využíváno.
Podobně jako existují antivirové programy, jejichž posláním je na základě známých informací vyhledávat možnou virovou či červovou nákazu a eliminovat ji, a jako existují antispywarové systémy, které činí totéž s nevítanými aplikacemi a komponentami, jež si kladou za cíl špehovat uživatele, případně zneužívat jeho počítač k záměrům svých tvůrců, existují stejně i speciální aplikace pro hodnocení bezpečnosti. Bezpečnostní auditování je součástí mnoha pokročilých systémů určených ke správě síťového prostředí. Abychom je mohli využívat, musíme tyto komplexní (a nutno podotknout že i drahé) systémy aktivně užívat a především je musíme vlastnit. Výsledkem jejich práce pak bude jednoznačný, rozsáhlý a především velmi komplexní obraz o tom, jak na tom s bezpečností jsme, kde se nacházejí všechna potencionální rizika a kde jsou nejslabší místa našich systémů. Opět by se mohlo zdát, k čemu to je, když se vše využije nanejvýše ve velkých společnostech nebo ve firmách, které se komunikací profesionálně zabývají či jejich systémy obsahují důležité, důvěrné informace.
Avšak i to je značná chyba, přesněji řečeno nedorozumění. Důležité a soukromé informace se nacházejí v každém počítači. Naše soubory, hesla k nim, účetnictví nebo prostý rozvrh financí. Různé projekty, studie a plody naší práce mohou být snadno zneužity nebo kompromitovány. I proto je dobré svou bezpečnost velmi podrobně znát a co nejvíce pro ni udělat.
Nyní se nebudeme zabývat jednotlivými komponentami tvořícími bezpečnost, protože ty již byly představeny mnohokrát. To, co nás zajímá, jsou pro změnu právě nástroje pro auditování bezpečnosti, a to takové, které máme šanci využít, byť jen třeba v podobě demoverze, v domácím prostředí. Existuje jich hned několik a soustředíme se převážně na dva. Jeden snadno a zadarmo dostupný, druhý profesionální. Společně s nimi si povíme, nakolik je náš počítač bezpečný a kde jsou jeho největší mezery, případně co s nimi udělat.

Jak funguje auditovací program

Princip bezpečnostního skeneru se, jak již bylo řečeno, v mnohém podobá principu antivirového systému. Jeho základem je soubor znalostí o dané problematice, v tomto případě o bezpečnosti. Skener je schopen "projít" počítač a určit, která jeho nastavení nebo které komponenty jsou potenciálním zdrojem rizika. Na rozdíl od antiviru, jenž hledá jen určité kusy kódu, je ale práce bezpečnostního auditora mnohem komplikovanější. Jeho primárním cílem je totiž najít optimální míru rizika. Některé služby jsou sice bezpečnostním problémem, nicméně se využívají a jsou zde proto, abychom je užívali. Skutečným rizikem se stávají teprve poté, když jsou spuštěny jaksi navíc a kdy je jejich jediným skutečným účelem fungovat jako ono riziko. Nemusí se přitom jednat jen o služby, které by umožnily přímý přístup k prostředkům daného zařízení, nýbrž i o ty, které mohou snadno fungovat jako prostředek sociotechnického útoku.
Podobně jako antivirus musí být i auditovací systém neustále aktuální. Tedy jeho databáze musí být neustále doplňována o poslední poznatky o bezpečnostních opravách, funkci služeb, ale také třeba o optimálních nastaveních, jejichž aplikace minimalizuje riziko potenciálního útoku, respektive jejichž špatné využití se samo stává rizikem.
Auditor je schopen analyzovat mnohem více: je schopen říci přesně, v čem se nachází problémy vzhledem k tomu, jak dané zařízení využíváme. Jeho výstupem je obvykle zpráva, která nám popíše stav a schopnost "léčit", tak nutná u antivirového softwaru zde je vlastně jen bonusem. Podstatný je totiž návod, jasná informace.

Jeden a hodně

Antivirový program musí být umístěn na každém počítači, aby jej byl schopen analyzovat. Bezpečnostní auditor musí být naopak vybaven schopností analyzovat najednou nikoli jen jeden stroj, na němž se fyzicky nachází, ale klidně celou síť tvořenou mnoha počítači, mnoha komponentami s různými operačními systémy, s jejich různým nastavením a také různým prostředím. To je podstatná vlastnost pro firmy, které je používají. Jak je však tato vlastnost podstatná i pro uživatele? Mnoho domácích počítačů není izolováno. Jsou často součástí menších či větších lokálních sítí, ať již tyto sítě fungují třeba jen v rámci jedné domácnosti, jednoho domu či jednoho sídliště. I kdyby byl jeden prvek takové sítě v naprostém pořádku, pokud je pět nebo šest dalších vysoce problematických, pak se celé prostředí stává právě tak nebezpečným zdrojem potenciálního rizika, jako by žádná opatření pro zajištění bezpečnosti vůbec nebyla aplikována. Ale podívejme se, co je pro hodnocení bezpečnosti nejdůležitější: (viz rámeček).

Má to smysl?

Mají bezpečnostní audity smysl i pro "obyčejného" uživatele? Za jistých okolností ano. Je vhodné je provádět, protože následky, které plynou z nedostatečného zajištění počítače, mohou být mnohem cennější než čas a prostředky, které na bezpečnostní audit vynaložíte. Vše je ovšem samozřejmě přísně individuální otázkou, takže konečné rozhodnutí zůstává pouze na vás jako na uživateli. Je také nevhodné instalovat a provádět testy nebo administrátorské zásahy na počítačích, na nichž nejste autorizovanými administrátory. To však asi není třeba připomínat.

Základem je Microsoft
MBSA (Microsoft Baseline Security Analyser)
http://www.microsoft.com/security/default.mspx

Základní aplikace pro provedení bezpečnostního auditu MBSA (Microsoft Baseline Security Analyser) je k dispozici zdarma. MBSA je určen pro operační systémy typu Windows NT (W2K, XP). Analyzuje kromě nich také nejběžnější další produkty tohoto výrobce, jako sadu Office, SQL server a také komponenty IIS. Výsledky jsou podávány co nejpřehlednější cestou pomocí jednoduchých a srozumitelných reportů. MBSA je vhodný pro každého uživatele, podmínkou jeho použití je ovšem dostatečná znalost angličtiny. Jedná se o dobrý základní nástroj.

Většina současných PC používá operační systémy společnosti Microsoft, tedy Windows. Moderní počítač si již takřka nedokážeme představit bez systému Windows XP a bez kancelářské sady Office k provádění nejběžnějších úkonů. Přesto jsou právě tyto komponenty (bohužel) nejnáchylnější k útokům všeho druhu a představují nejzákladnější bezpečnostní riziko. Aby jim bylo možné předcházet, vyvinul (respektive licencoval) Microsoft jakýsi elementární, základní bezpečnostní scanner. Software nazvaný MBSA (Microsoft Baseline Security Analyser) je zdarma k dispozici na stránkách Microsoftu zabývajících se bezpečností. Jedná se o nevelkou lokální aplikaci, jejíž uživatelské rozhraní je uzpůsobeno vzhledu Windows XP, ovládání je tedy i přes komplikovanost aplikace velmi intuitivní. Pomocí analyzátoru je možné prověřit nejen vlastní počítač, ale rovnou celou místní síť. Klíčem pro identifikaci jejích prvků je typicky rozsah IP adres, v nichž se nacházejí požadované počítače.
MBSA po spuštění analýzy nejprve kontaktuje servery Microsoftu a vyzvedne si z nich informace o aktualizacích. To je nezbytný proces, nutný k tomu, aby nám celá analýza vůbec k něčemu byla podstatnou částí je totiž porovnání stavu systémů s aktuálním vývojem, s aktuálními záplatami. Následně jsou v počítači vyhledávány styčné body a právě porovnávány se znalostmi produktu. Protože jde o elementární software a možná i proto, že jeho autorem je samotný Microsoft, probíhá skenování velmi rychle. Typicky po několika desítkách sekund pro každý počítač (v závislosti na pověřeních, která k němu máte, a na průchodnosti sítě) je vytvořen report. Tedy závěrečná zpráva, která zůstává uložena v analyzátoru a která obsahuje všechny potřebné informace týkající se bezpečnosti. Jednotlivé položky jsou ve výchozím nastavení tříděny podle produktů a závažnosti. Každý typ závažnosti problému má svou ikonku, díky níž je čtení závěrečné zprávy o to jednodušší. U nalezených problémů je obvykle uveden odkaz s vysvětlením, co bylo přesně skenováno, a s jakým výsledkem, důležité je i doporučení, co s nalezeným problémem dělat dále. Report je možné vytisknout nebo zkopírovat do schránky. To je sice poněkud omezené spektrum možností, nicméně je pro většinu uživatelů plně postačující. MBSA uchovává starší verze reportů, a tak je možné se k nim kdykoliv vrátit, obvykle s cílem porovnat poslední (současný) stav s minulými zprávami a zjistit, jakým směrem se bezpečnost daných počítačů ubírá.
MBSA pracuje kromě samotných Windows i s aplikacemi sady Microsoft Office, systémem IIS (Internet Information Services), Microsoft SQL serverem a je schopen identifikovat jednak zbytečné služby, jednak nastavení hesel. V případě, že najde nesrovnalost, zahrne ji do svých výsledků.
Smůlou je, že ne vždy MBSA funguje zcela korektně. Není schopen analyzovat nedostatky Windows 98 a podobných systémů, přestože tyto jsou stále uživateli využívány. V některých případech také dochází k dosti nepochopitelným kolizím mezi aplikací a skenovanými komponentami, což vede k "nekompletním" výsledkům. Tento problém přetrvává i přesto, že nedávno byla uvolněna nová verze aplikace. A na závěr ještě jeden malý problém.
Smůlou MBSA je, že ač při každém skenování aktualizuje svůj seznam problémů a detekční databázi, aplikace v současné době neobsahuje nástroj, jímž by byla schopna aktualizovat sama sebe. MBSA vás sice upozorní na přítomnost nové verze na webu Microsoftu, nicméně ji není schopen stáhnout a tuto akci přenechá na uživateli. Jedná se sice o detail, ale o takový detail, který má vliv na uživatelský komfort ovládání programu.
Celkově však MBSA můžeme směle doporučit všem uživatelům, kteří by se rádi dozvěděli, jak na tom s bezpečností svého systému Windows a přilehlých komponent vlastně jsou. Je jednoduchý, přehledný, má všechny potřebné základní funkce a má tu hlavní přednost, že je zdarma (přesněji řečeno jste za něj zaplatili již koupí dotyčných produktů Microsoftu). Jeho aktualizace jsou díky jednotnému systému pravidelné a zřejmě naprosto dostačující. Je vhodné si jej nainstalovat a zejména pokud máte na počítači důležitá data, jednou za čas opravdu použít.

Sítnice pro profesionály
Retina Network Security Scanner
http://www.eeye.com

Na rozdíl od MBSA je RNS (Retina Network Security Scanner) profesionálním produktem určeným bezpečnostním manažerům. Je to komplexní systém, který představuje určitý kompromis. Jeho robustní jádro je totiž zabaleno do poměrně jednoduše ovladatelného a spravovatelného hávu. Nabízí širokou škálu testování různých produktů, tedy nejen od Microsoftu, a různých součástí operačního systémů i jednotlivých aplikací. Jedná se o velmi vyspělý, a proto také finančně nákladný software určený pro správce větších sítí. Nicméně existuje verze, kterou je možné si bezplatně stáhnout a vyzkoušet. Můžete se tak alespoň podívat, jak vypadá opravdu komplexní bezpečnostní audit. A po dobu testování se jím pochopitelně můžete i řídit, což vaši bezpečnost velmi posílí. Nedostatkem jsou vyšší nároky a pomalejší chod samotné aplikace. To však vzhledem k jejímu účelu příliš nevadí.
Nyní od základních řešení určených pro jediný typ operačního systému přeskočíme k řešení profesionálnímu, postavenému pro skutečné heterogenní sítě, používající množství aplikací. Princip Retina Security Scanneru je stejný jako v předchozím případě. Uživatelské rozhraní se s nedávno uveřejněnou novou verzí začalo také podobat Windows XP, ovládání základních funkcí je velmi intuitivní. Přesto je poznat, že RNS obsahuje mnohem více funkcí a prostý uživatel se v něm zřejmě začne orientovat až po nějakém čase.
Elementární funkcí je schopnost prozkoumat stanovené počítače na základě jejich zadaných IP adres. Skenování je mnohem komplexnější než v případě MBSA. Retina není Microsoft, což znamená, že může jako problém označit i ta nastavení, komponenty a stavy, které by jinak v podání výrobce operačního systému zřejmě "prošla".
Retina podporuje či je schopna alespoň detekovat množství různých softwarových produktů různých výrobců a poukazovat nejen na jejich jednotlivé problémy, ale i na možné vzájemné interakce. Samotné testování je časově mnohem náročnější než v případě základního analyzátoru. Vyšší jsou také nároky na hardware. Skenování neprobíhá zároveň s aktualizací možností softwaru, ta se provádí samostatně prostřednictvím zvlášť dodávané aplikace. Přesto se aktualizaci doporučuje provádět co nejčastěji, pokud možno po každém spuštění RNS.
Samotné testování probíhá nevýhradním způsobem a během něj je možné s RNS dále pracovat, prakticky se to ale nedoporučuje. Je možné naplánovat a spustit více testování najednou. Jejich stav je přitom neustále zobrazován v patřičné části uživatelského rozhraní aplikace. RNS obsahuje speciální manažer přihlašovacích jmen a hesel. Ty je možné (po bezpečnostním varování) zadat a následně provádět testování s nejrůznějšími pověřeními. Díky tomu správce může provést několik náhledů na stav bezpečnosti jednotlivých strojů. Další předností tohoto řešení je možnost testování různých systémů, které mají různá přihlašovací jména a hesla.
Vypracované reporty jsou formátovány podobně jako u MBSA, jen prostředí je o něco málo méně intuitivní. Vyšší jsou ale možnosti při formátování a následném exportu jednotlivých výsledků. Bohatší je schopnost definování skupin testovaných strojů, adres a portů, stejně jako podrobnější nastavení celého procesu bezpečnostního auditu. Testy lze, což je důležitá vlastnost, plánovat velmi podrobně dopředu.
Samotné výsledky jsou mnohem podrobnější než u produktu Microsoftu. Některé z problémů je možné okamžitě opravit z prostředí RNS, avšak pozor! Některé opravy sice zvyšují bezpečnost, ale zároveň mohou snižovat kompatibilitu systému, na což ovšem systém dopředu upozorňuje. Výborně jsou zpracována i informativní hlášení o možných dodatečných problémech, o instalovaných aplikacích, možných virových infekcích a dalších důležitých jevech. K většině výsledků (ale ne ke všem) jsou podány vysvětlující informace. Tyto informace však vyžadují obvykle určité správcovské znalosti a také určitou znalost angličtiny.
Retina je profesionální produkt a tomu odpovídá i na jednotlivce vysoká cena. Není ale důvod si zoufat. Existuje plně funkční, byť časově omezená verze, kterou si můžete stáhnout ze stránek výrobce a zadarmo vyzkoušet. I výsledky této dočasné verze vám sdělí velmi cenné informace o zabezpečení vašeho počítače a nabídnou vám mnoho podstatných řešení, co dál. Nedostatkem pochopitelně je, že veškeré výsledky se po nějaké době od vypršení vaší zkušební verze stanou neaktuálními a budete nuceni využívat opět jiné, volně dostupné produkty. Přesto je ale vhodné si tento profesionální produkt vyzkoušet. Pochopitelně jedině v případě, že se o problematiku bezpečnosti skutečně zajímáte.

Základní kritéria bezpečnostního auditu

Aktualizovaný systém
Aktualizace je základem péče o bezpečnost operačního systému. Aby byl systém bezpečný, měl by být aktualizován na nejvyšší možnou úroveň. Ale je zde jeden problém. Díky složitosti moderního operačního prostředí se stává, že samotné aktualizace se stávají za určitých okolností zdrojem problému. Jsou všechny aktualizace ve vašem počítači skutečně "aktuální"? Jsou instalovány ve správné návaznosti a nejsou třeba poškozené? Nedošlo mezitím, co jste je instalovali, ke kompromitaci některé z nich? To je první a základní otázka.

Kontrola přítomnosti základních nákaz
Ačkoliv bezpečnostní auditování primárně neznamená hledání například malwaru či červů, může být ve vyspělých nástrojích přítomno. Je to proto, že někteří červi se, i přestože je konvenční antivirové produkty bez problému identifikují a likvidují, mohou masově rozšířit, stát se prakticky nezvladatelnými a mohou se šířit dlouho poté, co dosáhli svého kulminačního bodu. Tak se stávají rizikem, které hranici rizika "obvyklých" červů dalece převyšuje a musí mu být věnována náležitá pozornost.

Potřebujeme vše, co máme?
Především některé síťové služby, které jsou v operačních systémech latentně přítomny, se mohou stát zdrojem problému, pokud je nepotřebujeme a přesto běží. Využívají se opravdu všechny věci, které jsou spuštěny? Patří sem zejména služby typu webových serverů, systémy vzdáleného přístupu (telnet) a dále ty funkce, které jsou určeny pro správu a řízení serverů, nemluvě obecně o serverových komponentách jako takových. Některé z nich je vhodné přitom co nejvíce omezit nebo úplně vypnout, jestliže je nepotřebujeme. Nejen, že se tím zvýší úroveň zabezpečení, ale stoupne i výkon vašeho systému. To se často týká například použití moderních skriptovacích technologií, systému ActiveX, DCOM a podobně. Kromě technologií mohou riziko vytvářet i některé aplikace. Pochopitelně ty, které jsou bundlovány s nejrůznějším dodatečným softwarem, ale také například klienti výměnných sítí, některé komunikační programy a překvapivě třeba také část systémů pro distribuované počítání.

Funguje to, co máme, bezpečně?
Široce rozšířené komunikační aplikace, jako třeba Internet Explorer, Mozilla, ICQ a podobně obsahují mnoho různých nastavení. Některá z nich mohou velmi silně ovlivňovat bezpečnost. Jde především o schopnost pamatovat si hesla a další osobní údaje a vysílat je pryč, dále pak o nastavení bezpečnostních zón, jejichž nekorektní využití se může velmi snadno stát terčem útoku (zejména u Internet Exploreru). Totéž se ovšem týká například technologie Java, již uvedeného ActiveX a několika dalších.

Používáme náš systém bezpečně?
Co vše člověk neudělá, aby si zjednodušil práci. Nicméně existuje i silně riskantní zjednodušení práce. Patří mezi ně zejména používání počítače bez patřičného hesla, které by mělo být navíc dostatečně komplikované a dostatečně často obměňované. Počítač lze zkompromitovat například díky nekorektnímu nastavení mezipaměti přihlašování, ale také internetové cache, souboru virtuální paměti (pagefile) a díky dalším podobným komponentám. Přestože zde jde z pohledu mnoha domácích uživatelů o vyloženě okrajovou záležitost, ve skutečnosti není ani zdaleka tolik okrajová, jak by se na první pohled mohlo zdát a s celkovou bezpečností velmi silně souvisí.










Komentáře