Dvojité jištění

1. 3. 2006

Sdílet

Nejlepší aplikace pro bezpečnost počítače i vašich dat Dobře si hlídejte své peníze. Autoři virů a hackeř...


Nejlepší aplikace pro bezpečnost počítače i vašich dat


Dobře si hlídejte své peníze. Autoři virů a hackeři si totiž našli nový cíl: váš bankovní účet. Už jim nejde o to, aby zničili data nebo vám jen tak otravovali život. Dnes chtějí získat číslo úvěrové karty, bankovní spojení a vaše heslo. A tak vyvíjejí stále nové viry a programy, které se vinou nedostatků v zabezpečení Windows dostanou zadními vrátky do počítače, uchytí se v něm a začnou slídit po osobních údajích.
Snažte se jim tedy zahradit cestu k vašemu PC a mějte se před podobnými útoky na pozoru. Ukážeme vám, jak se dají odstranit nedostatky v zabezpečení Windows a předvedeme i další ochranné nástroje.
Jak jsme již zmínili v testu antivirových aplikací, mnohé programy fungují s nežádoucím zpožděním. Abychom nové škůdce včas rozpoznali, je třeba provádět průběžné aktualizace.
Abyste dostávali aktualizace svého antivirového programu ihned, jakmile jsou k dispozici, musíte jej správně nakonfigurovat. Dobrým řešením je nastavit si počítač tak, aby se nové aktualizace vyhledávaly vždy, když se připojíte k síti. To však umožňuje jen několik programů. Je jistou ironií, že Norton Antivirus od firmy Symantec takové nastavení nabízí, ačkoli právě tato firma vykázala v našich testech vůbec nejmenší počet poskytovaných aktualizací a na nebezpečné viry reagoval Symantec ze všech nejpomaleji.
Uživatelé, kteří se připojují on-line na dlouhou dobu, by měli svého ochránce nastavit tak, aby nové aktualizace vyhledával každou hodinu.
Ani jeden způsob není ideální. Nejrychlejší ochranu by zabezpečil rázný postup, díky němuž by výrobce mohl okamžitě nainstalovat příslušnou aktualizaci na osobní počítač uživatele. Tato technika však naráží na několik překážek. Po aktualizaci by takový nástroj musel zkontrolovat, zda všechno běží bezchybně. Výrobci by tedy museli zároveň vytvořit i monitorovací software. Pokud by ten ukázal, že se něco nezdařilo, nástroj by musel vše automaticky vrátit do předchozího stavu. Je ovšem otázka, zda by uživatelé podobný invazivní postup vůbec přijali. Patrně by se obávali špionáže nebo toho, že se systém v důsledku automatické aktualizace zhroutí.

Bezpečnější Windows

Nechce se vám čekat, až se vše začne hroutit? Chcete včas předejít ztrátě kontroly nad systémem? Ukážeme vám, jak můžete pomocí základních prostředků Windows lépe zabezpečit svůj počítač. Toho lze dosáhnout přinejmenším u Windows 2000 nebo XP celkem snadno: zde totiž můžete většinu útoků odrazit pomocí administrace přístupových práv. Uživatelé starších variant Windows 95/98/ME pykají za hříchy Microsoftu. Do těchto verzí totiž výrobce kvalitní administraci přístupových práv neimplementoval.
Postarejte se o to, aby se z vašich dosud snadno napadnutelných Windows stal podstatně bezpečnější systém. Dříve než k tomu použijete nějaký doplňkový software, se podívejte, jaké prostředky vám nabízí samotný systém Windows.
Windows XP: použijte integrovaný firewall SP2
Firewall ve Windows XP je lepší než jeho pověst. Standardně se aktivuje po aktualizaci Windows XP na Service Pack 2 a nabízí řadu funkcí. Firewall ovládáte přes Centrum zabezpečení v Ovládacích panelech. Tímto nástrojem spolehlivě zabezpečíte počítač před napadením z internetu. Není to ovšem účinný prostředek proti některým útokům přicházejícím z vnitřku počítače, tedy proti některým backdoorovým programům, které se ve vašem systému již uchytily. Pokud použijete firewall Windows XP v síti, měli byste se seznámit s příručkou Microsoftu pro administrátory. V ní najdete tipy a doporučení, jak přesně veškeré nástroje nakonfigurovat.

Doporučujeme: aktivujte si automatickou aktualizaci

Automatické aktualizace pro Windows existují již dlouho. Ale zejména při uvedení Windows XP byli uživatelé často odrazováni od toho, aby tento mechanismus využívali. Panovala tehdy obava, že Microsoft takto zjišťuje údaje o uživatelích.
Poté, co byly k útokům v posledních měsících stále více zneužívány mezery v zabezpečení Windows, je dnes vhodné řídit se opačnou radou: aktivujte si tuto automatiku. Máte-li se totiž rozhodnout mezi tím, zda dáte svá data raději napospas Microsoftu, nebo zda se kvůli nějakému pozdě odstraněnému nedostatku v zabezpečení citlivé informace dostanou do rukou hackerů a nenávratně zmizí, pak asi bude vaše volba jasná. Aktualizaci zapnete v Ovládacích panelech přes Systém, Automatické aktualizace.

Vypínání služeb ve Windows 2000 a XP

Ve Windows 2000 a XP se důležité systémové komponenty spouštějí nikoli jako normální programy, nýbrž jako služby. Tím jsou lépe chráněny před nežádoucí manipulací. Přispívá to také k lepšímu zabezpečení systému. V minulosti to ovšem často byly právě tyto služby, jež umožňovaly útoky na Windows přes mezery v zabezpečení. Mnohé z těchto služeb totiž otevírají přes připojení sítě bránu na internetu.
Windows 2000 a XP se bohužel vyznačují tím, že při instalaci aktivují celou řadu služeb bez ohledu na to, zda je uživatel opravdu chce.
Abyste hackerům a virům ponechali co nejmenší prostor k útoku, měli byste vypnout služby, které nejsou bezpodmínečně nutné. Ve Spustit. proto zadejte services.msc. Po dvojitém kliknutí na určitou službu ji pak deaktivujte přes Typ spouštění.

Účinná ochrana: nepracujte v režimu administrátora

Na rozdíl od verzí 95/98/ME nabízejí Windows 2000 a XP velmi účinnou ochranu před celou řadou škůdců, a to díky administraci práv. Škody, které může virus v počítači napáchat, můžete nejvíce ovlivnit vy sami. Přihlásíte-li se jako administrátor nebo přes účet, který využívá administrátorská práva, může se snadno stát, že nový software nebudete instalovat pouze vy, nýbrž spolu s vámi i nějaký rozšířený backdoorový program. Měli byste tedy, pokud je to jen trochu možné, pracovat v režimu normálního uživatele. To předpokládá, že váš pevný disk je formátován systémem NTFS. Nový účet s uživatelskými právy si nastavíte přes Ovládací panely, Uživatelské účty. U typu účtu zvolte pod možností Změnit typ účtu možnost S omezeným přístupem.

Přepínejte kdy chcete: práce v režimu administrátora bez restartu

Práce v uživatelském režimu má ovšem jednu nevýhodu: některé programy fungují dobře pouze tehdy, jste-li přihlášen jako Administrátor (v české lokalizaci Správce). Občas to platí například pro vypalovací programy a často pro systémové nástroje. Pokud chcete takový nástroj spustit, musíte přejít na správcovský účet to lze ve Windows XP zařídit v Ovládacích panelech systému přes Uživatelské účty, Změnit způsob přihlašování a odhlašování uživatelů, Povolit rychlé přepínání uživatelů.
Rychleji to půjde s nástrojem pcwRunAs 0.1 (pro Windows 2000 a XP). Jeho pomocí můžete spouštět programy s právy administrátora, i když jste přihlášeni pouze jako obyčejný uživatel.
Spustíte ho takto: nástroj si jednoduše zkopírujte přes %windir%System32. Pak nastartujte Regedit, a pod Hkey_Classes_Rootexefileshell si vytvořte klíč pcwRunAsCommand. Jako hodnotu pro Standard zvolte řádku:
pcwrunas /u <uživatel> / p <heslo> /app "%1"
Přitom <uživatel> je administrátor nebo jiný účet s adekvátními právy, <heslo> je pak příslušné heslo. V kontextovém menu souborů EXE teď uvidíte nový vstup pcwRunAs, přes nějž spustíte program s právy administrátora.
Pozor: Jelikož nástroj ukládá heslo správce, měli byste ho používat jen na osobním počítači, jehož uživatelem jste vy sám, jinak někomu vlastně necháte své heslo.

Firefox: lepší zabezpečení díky alternativnímu prohlížeči

Velké množství napadení z internetu se zaměřuje na slabiny Internet Exploreru. Výrazně tedy riziko snížíte, budete-li používat jiný prohlížeč. Doporučujeme Firefox.

Šifrování

Šifrováním chráníte svá data dokonce i před lidmi, kteří používají váš počítač spolu s vámi. Šifrování přidá do obranného valu vašeho osobního počítače další účinnou ochrannou vrstvu. Představíme vám šifrovací nástroje pro různé účely: ochranu celé diskové jednotky, ochranu jednotlivých souborů či e-mailů. Také vás seznámíme se systémem správy hesel, abyste si všechna ta různá hesla nemuseli stále pamatovat.

Řešení ochrany objemných dat

Jestliže musíte chránit velké množství dat, uděláte nejlépe, uložíte-li je na zašifrovanou diskovou jednotku. Tohoto úkolu se dobře zhostí nástroj Archicrypt 4.0.4 (naleznete jej na CD PC WORLD 12/2005 nebo na http://
www.archicrypt-shop.com/). Jako shareware běží 10 dní, pak si ho je možné pořídit za 35 euro. Program se jednoduše ovládá a zajišťuje vysokou úroveň zabezpečení.
Vytváří virtuální diskovou jednotku s maximální kapacitou 64 GB. Data uložená na tomto disku šifruje 256bitově. Pokud by vám velikost 64 GB pro vaše soubory nestačila, můžete si ještě prostřednictvím licence od Archicryptu Live opatřit až tři další diskové jednotky, které mají rovněž 64 GB.
Navíc jako třešinku na dortu nabízí program funkci tajného úložiště. Uvnitř nové diskové jednotky můžete vytvořit neviditelný prostor pro data, která se zpřístupní až po zadání dalšího hesla. Taková tajná přihrádka se hodí k uskladnění těch nejsoukromějších a nejdůležitějších dokumentů.

Jednoduchý postup: šifrování jednotlivých souborů

Chcete před nenechavýma očima schovat jen určité soubory? Ať už jde o důvěrný text, obrázek či film, dá se to udělat zdarma díky nástroji AxCrypt 1.6.2 (http://axcrypt.sourceforge.net/). Po instalaci najdete v kontextovém menu záznam AxCrypt. Nástroj vám umožní opatřit každý soubor heslem a zašifrovat ho.
Na přání uživatele vytváří nástroj soubory EXE, které se dají šifrovat i bez přítomnosti AxCryptu na daném počítači což je ideální například pokud posíláte soubory e-mailem. AxCrypt pracuje se 128bitovým šifrováním.

Nepopulární, leč nutné: šifrování e-mailů

Podobně jako nenapíšete důvěrnou zprávu na pohlednici a raději jí zalepíte do obálky, měli byste před cizími zraky chránit také svou e-mailovou korespondenci. PGP (www.pgpi.org) sice již léta představuje spolehlivý software, ale mezi soukromými uživateli se šifrování e-mailů dodnes příliš neprosadilo. Jen málokdo si dá tu práci s instalováním potřebných nástrojů a generováním klíčů. Nyní to však vypadá, že zabezpečených e-mailů bude přece jen přibývat. Vždyť i někteří bezplatní poskytovatelé již šifrování nabízejí.
Za nejlepší postup se považuje využití veřejného klíče. V tomto případě vlastní každý uživatel dva klíče: jeden veřejný a jeden soukromý. Veřejný klíč pošle lidem, od nichž dostává elektronickou poštu. Ti jím zašifrují e-maily poslané příjemci. Dešifrovat je lze klíčem soukromým. Tento klíč existuje jen ve vašem počítači.
Pro jednoduché šifrování a dešifrování e-mailů lze doporučit freeware Gnu PP 1.1. Uživatelé Outlooku si k tomu navíc musejí nainstalovat bezplatný PG-Plug-in 0.91.
Obsluha je vcelku jednoduchá: během instalace vytvoří Gnu PP 1.1 pro vaši e-mailovou adresu dva klíče. Veřejný klíč pošlete jako soubor svým přátelům a známým. V nabídce Gnu PP postupujte přes příkazy Klíče, Import, Import ze souboru.
Jestliže posíláte e-maily Outlookem, bude brzy stačit kliknout na šifrovací symbol a vaše pošta bude před zvědavými zraky ochráněna. Kdo používá jiný program, musí texty zašifrovat a dešifrovat přes Windows Privacy Tray a výsledek pak zkopírovat.

Standardní heslo končí: správa mnoha hesel

Většina uživatelů užívá jediné heslo k různým příležitostem: do Windows, pro přístup k internetovému bankovnictví, do poštovní schránky, pro nákup knih na internetu atd. Důvod je srozumitelný: proč si mám pamatovávat více hesel?
Tím se však vystavujete riziku, že jakmile někdo zjistí vaše heslo, samozřejmě jej vyzkouší na všechny vámi užívané služby.
Tento problém se dá řešit správcem, který bezpečně spravuje všechna hesla v jediném zašifrovaném souboru. Doporučujeme nástroj 1Password 3.9 stojí pouhých 5 euro a nabízí řadu funkcí s kvalitní uživatelskou nápovědou. Než si tento shareware necháte zaregistrovat, mohou si do něho uložit své údaje tři uživatelé, každý vždy po deseti záznamech.

Nástroje pro všechny případy

Antivirový nástroj a firewall jsou dnes opravdovým základem ochrany počítače. Chcete-li se cítit bezpečněji, můžete použít i některé z dále zmíněných utilit. Povšimneme si také přídavného zabezpečovacího softwaru a testovacích programů, jimiž odhalíte slabá místa na vašem počítači.
Používáte-li vytáčené spojení, bude se vám hodit antidialer. Ten vás chrání před programy vytáčejícími drahá telefonní čísla. Znalci odhadují, že každý měsíc dialery vydělají miliony!
Můžete například zkusit freeware 0190 Warner 4.03. Tento cenný nástroj blokuje programy vytáčející určitou volbu a připouští jen povolená připojení.
Reklamní programy, které se na člověka nalepí při surfování nebo vinou freewaru financovaného reklamami, lze odstranit programem AdAware SE Personal 1.05. Tento freeware nenabízí žádného hlídače, který by odchytával spyware již během surfování. Nežádoucí programy odstraníte pomocí manuálně spouštěného vyhledávání. Nástroj byste měli aktivovat jednou denně až týdně to závisí na tom, jak často se pohybujete na internetu. Vyhledávání trvá několik minut.
Aby se vymazané soubory nedaly obnovit, musíte postupovat obezřetně. Freeware Eraser 5.7 nabízí k tomuto účelu vše, co potřebujete. Soubory určené k vymazání často přepisuje náhodnými znakovými sekvencemi. Tento nástroj je v angličtině a na přání pečuje o celou volnou paměťovou kapacitu pevného disku. Po instalaci se objeví záznam Erase v kontextovém menu souborů a složek, lze nastavit i automatickou činnost.

Bezpečný download: přezkoumejte integritu souborů

Na některých downloadovacích serverech je vedle nabízených programů uveden kontrolní součet MD5. Jeho pomocí lze zjistit, zda soubor, který jste si stáhli na váš počítač, opravdu odpovídá originálu.
MD5 (Message Digest 5) je algoritmus, který u každé libovolně dlouhé znakové sekvence, jakou může představovat například instalační soubor, spočítá její celkovou pevnou délku. Tuto možnost kontroly v uživatelsky přívětivé podobě nabízí freeware MD5 Fingerprint 1.1. V tomto nástroji otevřete pod číslem 1 požadovaný soubor a pod číslem 3 se ihned objeví kontrolní součet. Abyste předem daný součet mohli porovnat, zkopírujte ho pod číslem 2 do programu a klikněte na ikonu kouzelnické hůlky. MD5 potvrdí pod číslem 4, že délka testovaného souboru souhlasí s originálem, a to zelenou barvou; pokud nesouhlasí, objeví se barva červená. Další informace o MD5 najdete na http://en.wikipedia.org/wiki/MD5.

Kontrolní nástroje a služby: ucpěte díry v zabezpečení

Díky uvedeným nástrojům a průběžným aktualizacím Windows bude váš osobní počítač bezpečný. Ale ani nejlepší nástroje nepomohou, pokud se něco nepodaří správně nakonfigurovat. Zda je v důsledku špatného nastavení vašeho firewallu nějaký port volný, můžete vyzkoušet pomocí bezpečnostních služeb nabízených on-line. Vhodná je služba nabízená na http://webscan.security-check.ch. Testuje, zda jsou všechny porty uzamčené, i to, jak je váš prohlížeč nakonfigurován. Vyskytnou-li se nedostatky v zabezpečení, služba vám poradí, jak je odstranit.
Uživatelé, kteří pracují s více než jedním osobním počítačem, mohou zjistit přes svou síť pomocí skeneru portů, jak jsou zabezpečeni při práci on-line. K tomu se dá použít třeba software Superscan 4.0. Tento bezplatný program je v angličtině a vyhledává slabá místa na jiných osobních počítačích. Po rozbalení je okamžitě provozuschopný. IP adresu svého druhého počítače zadejte pod Hostname/IP a tento údaj přeneste na symbol šipky vpravo vedle. Skenování se spustí kliknutím na šipku vpravo dole. Pod registrační kartou Host and Service Discovery si stanovíte, které porty má nástroj zkontrolovat. Přednastavení vyhledává okolo 60 podezřelých portů. Je však možné přidat další. V nabídce Tools je k dispozici 13 informačních utilit pro zasíťované počítače.

Nevyzraďte žádnou informaci: použití freewaru bez udání identity

Nyní jste v zásadě ochránili svůj počítač před všemožnými útoky přicházejícími z internetu. A přece při surfování je pár informací o vaší osobě volně napospas třetím osobám. Nejdůležitější z nich je vaše adresa IP. Abyste se mohli připojit nepoznáni, potřebujete nástroj na anonymizaci. Doporučujeme vám JAP 00.02.004. O tomto programu jsme již dříve několikrát psali.6 0125/OK o

Bezpečnostní očkování: aby byl po každém startu systém čistý

Pomocí poměrně drobného nástroje se můžete bránit nežádoucím zásahům do vašeho počítače. Jak? Software Winnrollback Privat 2.0 při každém novém spuštění počítače uvádí vše do původního stavu. Start se přitom prodlouží jen o pár vteřin.
Byl by to téměř ideální nástroj až na dva drobné háčky. Jednak je třeba, abyste systém před instalací čistě seřídili. Dála pak je nutné, abyste i nadále používali antivirový software. V době, která uplyne od napadení virem do restartu bývají totiž škůdci velmi aktivní.

Ochranné očkování

Nástroj Winrollback Privat 2.0 funguje jako ochranné očkování vašeho počítače. Demoverze má bohužel pouze silně omezené funkce, těch je k dispozici mnohem více v plné verzi ale rozhodně stojí za to ji vyzkoušet. Lze jí stáhnout ze stránek http://www.winrollback.com/.

Winrollback: umožní, aby se každá změna v systému dala vrátit

Winrollback chrání váš osobní počítač před problémy všeho druhu. Protože nijak neomezuje každodenní práci, můžete v době, kdy běží Windows, provést jakoukoli změnu, například vytvořit soubory nebo je mazat. Jakmile ovšem Windows znovu spustíte, změny zmizí. Velkou předností Winrollbacku je, že zabraňuje tomu, aby se v systému trvale usídlil nechtěný kód nebo aby se systém pokazil v důsledku uživatelské chyby.

Jsou s tím spojeny ovšem i dvě nevýhody:
Za prvé: abyste mohli provést žádoucí změny, například vytvořit nové dokumenty nebo přidat stránku mezi oblíbené položky, musíte systém příslušným způsobem nastavit.
Za druhé: vloudí-li se do vašeho systému virus, může si až do dalšího restartu dělat, co chce. Antivirový program je v každém případě nezbytný.

Konfigurace: jak nastavit systém pro Winrollback

Winrollback dohlíží nad jednotlivými oddíly pevného disku. V našem případě půjde o systémovou partition C:. Abyste i přes přítomnost Winrollbacku mohli vytvářet dokumenty, přijímat e-maily nebo si třeba nahrát aktualizaci antivirového programu, musíte příslušná data uložit na jiném oddíle (D:).
Soubory: složku Dokumenty přemístíte pomocí kontextového menu. Zvolte Vlastnosti, Přesunout.
E-mail: pracujete-li s programem Outlook Express, přesuňte archiv svých zpráv v menu Nástroje, Možnosti, Údržba, Složka úložiště.
Outlook Express používá adresář Windows. Abyste ho dostali na jednotku D:, musíte přesunout soubor s adresami a změnit spojení v registru. Aktuální umístění uloženého souboru najdete přes vlastnosti jednotlivé složky. Novou cestu zadáte v registru: Hkey_Current_UserSoftwareMicrosoftWAB4Wab File Name.
Oblíbené: menu Oblíbené v Internet Exploreru přemístíte snadno. Najdete ho na C:Dokumenty a nastavení<Uživatel>Oblíbené. Poté, co složku Oblíbené úplně přemístíte na D:, změňte cestu i v obou klíčích Registru: Hkey_Current_UserSoftwareExplorerUser Shell Folder.
Antivirové programy: aktualizované virové signatury by se po restartu neměly ztratit. U většiny antivirových programů stačí, když je nainstalujete na disk D:.
Pro realizaci změn všech dalších dat, která jsou umístěna na oddílu C:, musíte pro příště na chvíli deaktivovat Winrollback. To platí rovněž pro aktualizace Windows. Aby vás Windows vždy informovaly před instalováním nové aktualizace, zvolte v ovládání systému (Vlastnosti systému, Automatické aktualizace) nastavení Stáhnout aktualizace, ale čas instalace zvolím ručně.

Pro profesionály: proti virům a dalším škůdcům nasaďte Winsecure

Prodejce Winrollbacku připravuje ještě další nástroj: Winsecure 3 Professional (stojí kolem 115 euro, demoverze má některé funkce omezeny a lze ji stáhnout například ze stránek výrobce: www.datapol-technologies.com). Antivirový program by se pak měl stát nadbytečným. Touto utilitou totiž můžete určit, která aplikace smí být spuštěna a tím se uzavřou dveře virům. Tento nápad nám připadá dobrý. Funguje ovšem jen za předpokladu, že je nástroj nakonfigurován naprosto profesionálně. Na to je třeba dát dobrý pozor, neboť při špatném nastavení se Windows nenastartují.