Jak ověřit zabezpečení počítače

24. 2. 2006

Sdílet

Je to jeden z nejobtížnějších úkolů - jak zjistit, že můj počítač či síť jsou dostatečně bezpečné?

Vzhledem k tomu, že jde o neměřitelnou hodnotu, v praxi se relevantní kritéria stanovují velmi těžko. Zpravidla můžeme po nějakém incidentu říci, že síť nebyla bezpečná nebo že jsme nebyli připraveni.
Jenomže takto testovat bezpečnost nechceme - je zapotřebí vědět, zda přijatá opatření byla účinná nebo dostatečná dříve, než máme zavirovanou síť nebo hackerem odcizená data. Prostředků jak toto zjistit není mnoho a žádný není stoprocentní, nicméně nám o stavu informační bezpečnosti mohou ledacos přinejmenším napovědět.


Funguje AV ochrana?
Můžeme začít třeba kontrolou "propustnosti" antivirového programu. Kdysi dávno byl vytvořen mezinárodně uznávaný testovací soubor EICAR, který je zcela neškodný, ale který každý (resp. skoro každý) antivirový program detekuje podobně jako běžné viry.
EICAR (European Institute for Computer Antivirus Research) je vlastně institutem pořádajícím různé konference a akce, týkající se antivirové bezpečnosti. Tato instituce přitom již dávno řešila problém jednoduchého a spolehlivého testování antivirových programů. Přední světoví producenti antivirových programů řešili stejný problém jako my: jak jednoduše prověřit funkčnost svých řešení. Proto se dohodli na speciálním testovacím řetězci dlouhém 68 bajtů (znaků), který všechny antivirové programy budou detekovat, jako by šlo o škodlivý kód.
Soubor EICAR můžete získat buď tak, že si jej stáhnete z internetu (např. http://www.eicar.org/anti_virus_test_file.htm) nebo si jej sami vytvoříte. Pokud jej chcete vytvořit svépomocí, napište do jinak prázdného souboru (s příponou COM) následující text (pozor na přesnost, jediný překlep znamená, že "váš" soubor bude k ničemu):
X5O!P%@AP[4PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Pokud vám správně funguje antivirový program, měl by "křičet" už při pokusu o uložení souboru EICAR na disk počítače nebo při pokusu o jeho přímé spuštění. Stejná reakce by měla následovat v okamžiku, kdy se pokusíte uložit svépomocí vytvořený soubor s výše uvedeným 68znakovým řetězcem.
Pokud se ovšem stane, že dojde k zobrazení textového řetězce "EICAR-STANDARD-ANTIVIRUS-TEST-FILE" (soubor s koncovkou COM je standardním DOSovým programem), tak pozor! Něco není s vaší antivirovou ochranou v pořádku, protože došlo ke spuštění souboru, který by měl bezpečnostní program blokovat. Kdyby byl na místě testovacího souboru skutečný virus nebo jiný škodlivý kód, už by byl spuštěný...
Několik upozornění: EICAR je pouze zkušební soubor. Pokud je detekován, neznamená to, že bude detekován KAŽDÝ virus - ale jen to, že je antivirový program funkční. V pravidlech používání je vysloveně uvedeno, že antivirový program nemusí (ale může!) soubor detekovat, pokud je zabalený v nějakém archívu. Takže pokud si bez problémů dokážete na počítač nahrát soubor EICAR zapouzdřený ve formátu ZIP, neznamená to ještě, že váš antivirový program je nefunkční. Stejně tak pokud používáte jiný prohlížeč než Internet Explorer, nemusí při stahování z internetu dojít k varovnému hlášení - to by se mělo ozvat až ve chvíli, kdy soubor uložíte třeba na plochu nebo přímo na pevný disk.
Jinak doporučujeme si se souborem EICAR chvíli "pohrát". Toto vám umožní lépe pochopit funkci vašeho antivirového programu. Zkuste různě antivirový program vypínat (před další prací ho pak nezapomeňte zapnout!), soubor EICAR kopírovat, archivovat, stahovat z internetu, posílat elektronickou poštou apod. Pozor - pokud ho antivirový program jednou odhalí, může soubor automaticky vyčistit (jeho velikost je pak nulová) a vy dále manipulujete s prázdným souborem, na který samozřejmě antivirová ochrana nemá důvod reagovat.


A co poštovní klient?
Pokud si chcete ověřit (ne)bezpečnost svého e-mailového prostředí, navštivte stránku www.windowsecurity.com/emailsecuritytest/. Zde si budete moci "zatrhnout" volby, které chcete prověřit v závislosti na tom, jaké prostředí pro elektronickou poštu používáte. Jsou zde testovány nejčastější bezpečnostní chyby, jež škodlivé kódy či útočníci v případě elektronické pošty zneužívají. Pokud si potřebou otestování některého problému v případě vašeho počítače nejste jisti, doporučujeme ji zkontrolovat.
Na závěr testu musíte uvést svoji e-mailovou adresu, kterou je zapotřebí zkontrolovat. Protože s e-mailovou adresou je kvůli možnému "znečištění" spamem zapotřebí nakládat uváženě, doporučujeme si před testem založit jinou adresu a z ní nastavit přesměrování veškeré pošty na skutečnou schránku.
Test probíhá tak, že vám přijde e-mail obsahující příslušnou chybu - nicméně samozřejmě bez jakéhokoliv škodlivého obsahu.
Pokud vám žádný e-mail nepřišel, může to znamenat mj. i to, že jste před dotyčnou chybou chráněni, protože potenciálně nebezpečná zpráva byla zablokována.
Pokud naproti tomu zjistíte nějaký problém, je nejvyšší čas záplatovat počítač - ostatně zkontrolovat si počítač (nebo nastavit automatickou kontrolu disponibilních záplat) se vyplatí vždy. V případě nejrozšířenějšího operačního systému a souvisejících aplikací hledejte na stránce windowsupdate.microsoft.com.


Pozor na útoky z internetu!
Jedním z nejčastějších problémů na počítačích je nedostatečná ochrana portů, jimiž se do nich dostávají třeba internetoví červi nebo které slouží k realizaci hackerských útoků (zvláště ve spojení s různými bezpečnostními chybami a nedostatky). Přitom i úroveň zabezpečení portů je možné ověřit. Stačí např. navštívit stránku http://gamma.hackerwhacker.com/freetools.php a zde hned nahoře spustit rychlý test "Are you wide open to hackers?" (Jste doširoka otevření hackerům?). Následně se zobrazí okno zabezpečeného SSL připojení - zvolte Yes/Ano a na nově otevřené stránce prohlížeče můžete sledovat probíhající skenování jednotlivých portů. Na závěr testu si stránku dobře prohlédněte a zajímejte se o položku "Scan Results for IP Address" (Výsledky skenování pro IP adresu). Na stránce s výstupy se totiž občas objevuje placená reklama ve stylu "Máte vážné potíže atd." To může zmást i uživatele jinak velmi slušně zabezpečených systémů.
Pokud vás zajímá, zda jste zranitelní vůči internetovému červu CodeRed (napadal výhradně servery s Internet Information Server, domácí uživatelé mohou být v klidu), navštivte stránku http://www.securityspace.com/smysecure/code_red.html a zvolte "Test me now!" (Otestovat nyní). Podobný test, ale na škodlivý kód Nimda, je na zase stránce http://www.securityspace.com/smysecure/w32_nmda_amm.html.
Provést kvalitní test svého webového prohlížeče můžete rovněž na http://bcheck.scanit.be/bcheck/. Milým zjištěním je, že se tento test neorientuje pouze na nejrozšířenější prohlížeč Internet Explorer, ale že s jeho pomocí můžete prověřit i stav dalších browserů. Jejich uživatelé totiž často problém bezpečnosti podceňují právě proto, že používají "bezpečný" prohlížeč a že se jim nemůže nic stát. To ale není pravda a vůči útokům a chybám jsou stejně náchylní jako uživatelé IE.
Můžete si přitom vybrat ze dvou variant testů: "Only test for bugs specific to my type of browser" (Testovat pouze na chyby obvyklé pro můj typ prohlížeče) nebo "Run all available tests" (Spustit všechny dostupné testy). Následně klikněte na ikonku "Start the test" (Spustit test). A nyní pozor - v průběhu testu se vám mohou objevit různá vyskakovací okna nebo může dojít i ke spuštění některých programů (např. Media Player, FrontPage). To je v pořádku, protože tento test zkoumá, co všechno je možné na vašem počítači prostřednictvím prohlížeče ovládat (a do jaké hloubky). Všechna otevřená okna nebo spuštěné programy po dokončení testu klidně zavřete. A pak se podívejte na výsledky - pokud byly nějaké nedostatky odhalené, je vám automaticky nabídnut i návod k jejich odstranění (obvykle odkaz na webovou stránku s příslušnou záplatou).
Pro kontrolu portů lze vyzkoušet také free-warový program CurrPorts (http://www.nirsoft.net/utils/cports.zip), který umožňuje provést "inventuru" portů na daném počítači. Jinými slovy: zjistí, které TCP/IP a UDP porty jsou otevřené. Pro každý otevřený port se přitom zobrazí informace o procesu, který jej otevřel. Tedy procesové jméno, plná cesta procesu, čas i uživatele spuštění apod.
K dalším funkcím programu CurrPorts patří možnost uzavření neoprávněně otevřených portů (včetně upozornění na podezřelé porty), uzavírání procesů, které tyto porty neoprávněně otevřely nebo výstup dat do některého ze tří formátů (HTML, XML a TXT).
Různým aplikacím a službám na zjištění úrovně bezpečnosti od největšího světového dodavatele operačních systémů se pak věnoval článek "Bezpečnost z dílny Microsoftu" v minulém vydání PC World Security.
Cílem tohoto materiálu nebylo v žádném případě přinést kompletní přehled všech testovacích nástrojů nebo jejich vyčerpávající popis. Chtěli jsme ukázat, že i tak abstraktní faktor jako bezpečnost je možné testovat - a to i poměrně jednoduchými způsoby.

Autor článku