Windows XP: Bezpečnost zblízka

Poté, co byla vypuštěna Windows XP, přichází obvyklé peklo. Okamžitě se rozpoutaly ohnivé debaty o tom, do jaké mí...


Poté, co byla vypuštěna Windows XP, přichází obvyklé peklo. Okamžitě se
rozpoutaly ohnivé debaty o tom, do jaké míry se Microsoftu povedlo zajistit
bezpečnost uživatelů.
I přes několik potenciálně slabých míst, která vyplynula na povrch v průběhu
posledních měsíců, nebyli bezpečnostní analytikové a odborníci v podstatě
schopni nalézt ve Windows XP skutečně vážné bezpečnostní hrozby. Naopak, "s
Windows XP Microsoft přinejmenším napravil hříchy minulosti, a to už je více,
než mohu říci o jiných operačních systémech," tvrdí John Pescatore, senior
analytik pro bezpečnost ve společnosti GartnerGroup. Ale nejen to, nový
operační systém obsahuje i další funkce a vlastnosti pro maximální zabezpečení,
především možnosti nastavení práv a vestavěný firewall ty by měly ochránit
zvláště nezkušené uživatele před sebou samými i vůči okolnímu světu. V případě
XP Professional mohou být tyto funkce centrálně konfigurovány, což umožňuje
jednoduše aplikovat a dodržovat firemní bezpečnostní politiku pro různé skupiny
uživatelů či pracoviště.
I přesto však někteří z odborníků nejsou zcela přesvědčeni, že Microsoft udělal
pro bezpečnost operačního systému vše. Mezi možnými slabinami uvádějí především
tzv. "raw" sokety (raw sockets) a funkci Remote assistance, obavy o zajištění
soukromí se týkají i podpory pro službu Passport personal information
management.
Steve Gibson, prezident společnosti Gibson Research, publikoval dokument
(http://grc.com/dos/winxp.htm), v němž Microsoft obviňuje z toho, že otevřel
nová zadní vrátka do Windows tím, že do verze XP zabudoval podporu raw soketů.
"Raw sokety v podstatě znamenají přímý přístup k internetu. A problém zákeřných
červů, kteří se dostanou do počítačů jiných uživatelů, aby s jejich využitím
realizovali útok typu DoS (denial of service) s pakety nesoucími falešné IP
ardesy, s použitím raw soketů dramaticky vzrůstá," říká.
Protože raw sokety obcházejí tradiční TCP/IP protokol, mohou je hackeři použít
při generování TCP paketů, přičemž sítě, do kterých směřují, nerozeznají,
jestli jsou tyto pakety "legitimní". Není možné je nijak zablokovat, neboť to
by znamenalo zablokování všech TCP paketů, jak vysvětluje Gibson.
Raw sokety vlastně nejsou nic nového. Používají je např. různé deriváty Unixu i
Linuxu. "Avšak všechny operační systémy, které tyto sokety využívají, chrání
přístup k nim pomocí nastavení nejpřísnější úrovně uživatelských práv," tvrdí
Gibson. Naproti tomu ve Windows XP mají uživatelé po instalaci defaultně
přidělena administrátorská práva, která znamenají přístup až na úroveň jádra.
Tento fakt potvrzuje i vedoucí produktový manažer divize Windows Mark Croft:
Důvody souvisejí s kompatibilitou aplikací. Podle Crofta by však pro útočníka
bylo těžké realizovat DoS útok ze stroje s Windows XP, neboť je
nepravděpodobné, že by se mu povedlo dostat do počítače potřebný škodlivý
program. To proto, že součástí XP je vestavěný firewall (Internet Connection
Firewall), který je nastaven na nejvyšší úroveň bezpečnosti, kdy odmítá všechny
spustitelné soubory. Firewall navíc skrývá IP adresu počítače. Když jsou XP
jednou nainstalována, uživatelé také mohou zrušit administrátorská práva volbou
funkce "omezený účet" v Ovládacích panelech.
H. D. Moore, analytik společnosti Digital Defense, tvrdí: "Defaultní nastavení
firewallu je omezení úplně všeho, což je chvályhodné vzhledem k tomu, že
uživatelé mnohdy nevědí, že by např. měli filtrovat spustitelné soubory."
Moore oceňuje i to, že byla eliminována defaultní administrátorská hesla. V
případě korektní implementace zablokují funkce v XP a vylepšení v oblasti hesel
většinu běžných cest, jimiž škodlivý kód získává kontrolu nad počítačem.
Firewall ve Windows XP však v žádném případě nelze považovat za nástroj pro
zabezpečení na podnikové úrovni. Je určen pro domácí uživatele se
širokopásmovým připojením, kteří si často ani neuvědomují, že tento nástroj
potřebují. Firewall v XP neumí např. filtrovat přenos směrem ven. To znamená,
že jestliže se škodlivému kódu (který např. způsobuje DoS útoky) přece jenom
podaří dostat se nějakým způsobem do počítače, nic už mu nezabrání v tom, aby
útok provedl. Pro důkladnější ochranu by se proto uživatelé měli poohlédnout po
firewallech, které filtrují i přenos ven z počítače (např. Zone Labs nebo
Symantec nabízené ve verzích pro domácí i profesionální uživatele).
Další zajímavou funkcí je Remote Assistance, s jejíž pomocí může uživatel
umožnit "návštěvníkovi" nalogovat se do jeho počítače, aby mu pomohl vyřešit
jeho problémy. Tato funkce využívá stejného kódu jako terminálový server
Microsoftu, pro který lze na webu organizace CERT Coordination Center
(www.cert.org) nalézt 251 postů informujících o slabinách, resp. opravných
patchů.
Je zde však několik bodů, které by měly přispět k tomu, aby byl uživatel
chráněn. Je to především vždy jen samotný uživatel, který může program Remote
Assistance spustit zasláním zašifrované IP adresy vzdálenému asistentovi
e-mailem nebo jako instant message. Platnost této zprávy vyprší do 24 hodin (to
je defaultní nastavení, Croft doporučuje zkrátit tuto dobu až na hodinu či
méně). Asistent poté musí požádat o povolení ke vzdálené manipulaci s počítačem
uživatel může požadavek přijmout nebo odmítnout, jakož i přerušit session
kdykoliv v průběhu připojení. "Uživatel by musel být opravdu hloupý, aby se
dostal do problémů kvůli Remote Assistance," tvrdí Croft.

Klíče k XP bezpečnosti
Firewall: Internet Connection Firewall zajišťuje základní paketové filtrování
či možnosti nastavení pro různé spustitelné soubory. Defaultní nastavení
filtruje všechny spustitelné soubory.
Prázdná hesla: K účtům, které jejich majitelé nezabezpečují heslem, se nelze
přihlásit ze vzdáleného počítače.
Účet Guest: Při všech vzdálených přihlášeních jsou přidělována práva na úrovni
"guest" s možností přizpůsobení.
Soukromí: XP v prohlížeči podporují Platform for Privacy Preferences (P3P) pro
nastavení týkající se soukromí.
Bezdrátové LAN: Systém podporuje autentizaci a šifrování standardu 802.11.
Možnosti autentizace: Windows XP podporují smart karty a certifikační oprávnění.
Dialogová okna bezpečnostních varování: Ta se objevují vždy, když uživatel
hodlá spustit funkci, která by mohla představovat potenciální riziko (např.
sdílení souborů).

Další funkce v XP Professional
Objekty skupinové politiky: Podpora pro nastavování bezpečnostních pravidel a
politiky uživatelských skupin s nabídkou šablon pro prostředí s různými
úrovněmi bezpečnosti Basic, Compatible, Secure a Highly secure.
Sítě VPN: Vestavěná možnost tvorby IP tunelů šifrovaných na základě protokolu
IPSec.
Síťový monitoring: Detekce a odstraňování problémů u síťových zařízení.
Automatická obnova systému: Tato možnost návratu do původního stavu nahrazuje
funkci Emergency Repair Disk ve Windows 2000 Professional.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.