Ochraňte si svůj operační systém - Díl první Windows 9x/ME

1. 5. 2002

Sdílet

Tímto článkem začíná další seriál o bezpečnosti počítačových systémů. V průběhuněkolika dílů se budeme věnovat zabezpečení jednotlivých operačních systémů. Pokusíme se ...
Tímto článkem začíná další seriál o bezpečnosti počítačových systémů. V průběhu
několika dílů se budeme věnovat zabezpečení jednotlivých operačních systémů.
Pokusíme se poukázat na bezpečnostní problémy jednotlivých operačních systému,
a zároveň si povíme, jak systémy co nejlépe chránit. V dnešním dílu se budeme
věnovat operačním systémům Windows 9x/ME.


Trocha teorie

Systémy Windows 95, 98 a ME (dále jen 9x) byly od začátku konstruovány jako
jednouživatelské systémy, u kterých je kladen důraz zejména na uživatelskou
přívětivost a jednoduchost, z čehož vyplývá, že bezpečnost není u těchto
systémů prioritou. To má samozřejmě velké výhody, ale i nevýhody. Nevýhodou je,
že tyto systémy může ovládat prakticky každý, kdo k nim má fyzický přístup.
Neexistuje zde žádné rozlišení uživatelů, takže konfigurovat systém může
prakticky kdokoliv, včetně nezkušených uživatelů, kteří mohou systém ohrozit,
aniž by o tom věděli nebo to chtěli. Na druhou stranu tyto systémy nepodporují
mnoho síťových funkcí, nelze je dálkově spravovat (v základní instalaci) ani
jinak ovládat. Z toho vyplývá, že největší nebezpečí hrozí při použití softwaru
třetích stran, který může tyto funkce obsahovat.


Využití systémů 9x

Se systémy 9x se můžeme setkat prakticky všude. Používají se ve školách,
menších i větších firmách, a samozřejmě jsou velmi rozšířené i mezi domácími
uživateli. Nejčastější je nasazení těchto systémů v takzvaném kancelářském
prostředí. Obliba těchto systémů je způsobena jak jejich jednoduchostí, výše
zmíněnou uživatelskou přívětivostí, a v neposlední řadě také marketingem
společnosti Microsoft. To, jestli je to dobře nebo špatně, proč tomu tak je,
nebo jak by tomu mělo být, necháme stranou a podíváme se na bezpečnost těchto
systémů z ryze praktického hlediska.

Jelikož nejsou tyto systémy využívány jako servery, budou následující řádky
užitečné zejména běžným uživatelům. V příštích dílech se budeme věnovat dalším
operačním systémům, které lze využívat i jako servery, a na své si tedy přijdou
i správci sítí. Důležité ale je, aby povědomí o bezpečnosti měli i běžní
uživatelé. K čemu by byl extrémně zabezpečený server, kdyby uživatelé posílali
hesla a informace elektronickou poštou, nechávali svůj počítač bez dozoru nebo
neustále stahovali a instalovali rádoby užitečné programy (nejčastěji viry,
trojské koně, backdoory)? A platí to i obráceně. K čemu by uživatelům bylo,
kdyby dodržovali všechna bezpečnostní opatření, pravidelně zálohovali svá data,
šifrovali soubory, používali silná hesla, kdyby byl server, který umožňuje
vzdálenou administraci a jsou na něm uloženy citlivé soubory, přístupný
komukoliv?


Útoky na systémy 9x

Útoky na tyto systémy můžeme rozdělit na dvě skupiny (v podstatě jako všechny
útoky bez ohledu na operační systém), na síťové a lokální. Jste--li např.
připojeni k internetu z domova (nikdo kromě vás nemá fyzicky k počítači
přístup), tak pokud vás nevykradou, bude pro vás prioritní obrana před síťovými
útoky, a nutno podotknout, že ta je celkem jednoduchá. Pokud je ale váš počítač
s tímto systémem součástí nějaké LAN sítě, a nemůžete zabezpečit počítač
fyzicky, bude pro vás prioritní obrana proti lokálním útokům. Nejdříve se tedy
podíváme na to, jaké nebezpečí nám hrozí, pokud se někdo pokusí kompromitovat
náš systém, ke kterému má fyzický přístup.


Lokální útoky

Je-li váš systém součástí nějaké, ať již větší či menší sítě (LAN),
pravděpodobně nebudete jediní, kdo k němu mají přístup. Typicky je tento
počítač umístěn v nějaké kanceláři či učebně a pracuje na něm vícero uživatelů.
I kdybyste byli jedinými uživateli tohoto systému, pravděpodobně nemůžete
zajistit, aby se k němu někdo nedostal v době vaší nepřítomnosti. Musíte tedy
vymyslet, jak takový počítač zabezpečit. Nyní si probereme slabá místa systému
od okamžiku jeho spuštění. Budeme předpokládat, že na disku jsou nějaká data, o
která stojíte, a že útočník se je snaží zcizit nebo alespoň poškodit.


BIOS

Po zapnutí počítače je jako první aktivuje BIOS. BIOS (Basic Input Ouput
System) tvoří rozhraní mezi hardwarem počítače a vyššími vrstvami programového
vybavení. BIOSem je vybaven každý počítač třídy PC. Jak jistě všichni víte, lze
v BIOSu nastavovat základní parametry počítače počítač je bohužel zranitelný
již v této úvodní fázi. V BIOSu se dá napáchat velká škoda, a nemusí jít často
ani o úmysl. Útočník může například změnit rychlost procesoru, může deaktivovat
pevný disk, znemožnit používání CD mechaniky a mnoho dalších, pro běžného
uživatele velmi nepříjemných věcí. Jednou z vůbec nejhorších věcí, která mě
napadá, je nahrání BIOSu, jenž není určen pro typ vaší základní desky. Poté by
vám pravděpodobně nezbývalo nic jiného, než návštěva servisu. BIOS lze
samozřejmě zaheslovat. Možná si říkáte, že tím se vše vyřeší, ale není to
zdaleka pravda. Toto heslo lze totiž snadno překonat. Za prvé mají některé
BIOSy univerzální hesla, například nejpoužívanější AWARD má univerzální hesla
jako AWARD_SW, BIOSTAR, j262, AW a další. AMI BIOSy používají například AMI,
AMIDECODE, AMI?SW. Z vlastní zkušenosti mohu potvrdit, že univerzální hesla
fungují spolehlivě. Pokud BIOS univerzální heslo nemá, lze jej resetovat pomocí
jumperu, což jsou přepínače na základní desce. Některé desky obsahují jumpery,
jež slouží kromě jiného i k resetu BIOSu, tedy i případného hesla, které jej
chrání. Pokud si nejste jisti, podívejte se do dokumentace k vaší základní
desce. Třetí možnost, jak toto heslo obejít, je nadmíru jednoduchá. Podobně
jako u jumperů sice vyžaduje přístup k základní desce (tedy otevření počítače).
Prakticky každý BIOS je napájen malou baterií umístěnou na základní desce.
Pokud ji vyjmeme, dojde k resetu BIOSu. No, a nakonec je tady ještě jedna
možnost, ta ale vyžaduje podporu operačního systému, takže pro nás není v této
chvíli podstatná. Z této první části si tedy zapamatujeme, že zaheslovat BIOS
je dobrý nápad, ale prakticky nic neřeší.

V neposlední řadě spouští BIOS také operační systém. Součástí BIOSu je MBR
(Master Boot Record), do kterého je při instalaci nahrán zavaděč operačního
systému a který se stará o správné zavedení operačního systému(ů). Existuje
několik speciálních zavaděčů, jako například Lilo nebo Grub, jež jsou součástí
Linuxu, ale existují i jiné. Zmínil bych například XOSL (Extended Operating
System Loader), který si můžete stáhnout z www.xosl.org. Tento zavaděč je velmi
komplexní a bez problémů zvládne zavést téměř jakýkoliv operační systém. Co je
pro nás ale důležitější, lze ho zaheslovat, takže operační systém bude moci
spustit jen ten, kdo zná správné heslo. Nevyskytují se zde rovněž žádná
univerzální hesla a reset BIOSu zavaděč nezničí. Na druhou stranu je třeba
říci, že útočník může v BIOSu změnit pořadí médií, ze kterých je systém
zaváděn, a může klidně zavést systém z diskety nebo CD-ROMu.

Z výše uvedeného tedy vyplývá, že za použití standardních prostředků útočníkovi
nezabráníme systém spustit, můžeme mu to jen zkomplikovat. To může být užitečné
v prostředí, kdy má útočník málo času, a musel by například otevřít skříň
počítače a resetovat BIOS. Jestliže tedy nemůžeme útočníkovi zabránit ve
spuštění operačního systému, musíme systém zabezpečit jinak.


Spuštění z diskety

Zde je jedna z velkých slabin systémů 9x. Útočník může spustit operační systém
z diskety a má pak nad systémem neomezenou kontrolu. Může libovolně procházet
pevný disk, mazat nebo kopírovat soubory atd. Nemůže ale spouštět a instalovat
aplikace určené pro systém Windows, neboť se pohybuje v systému MS-DOS. Pokud
zapne systém Windows (příkazem win), spustí se systém Windows, který však již
může mít implementovány nějaké bezpečnostní prvky. Proti spuštění systému z
diskety tedy v podstatě neexistuje účinná obrana, snad jen šifrování souborů na
pevném disku nebo odpojení disketových mechanik (což ale nezaručuje, že útočník
nemůže mít vlastní). Ztrátě nezabráníme, a proto je dobré udržovat si
pravidelné zálohy, ze kterých by pro nás neměl být problém systém obnovit.
Dejme ale tomu, že útočník nestojí o to vymazat nám obsah pevného disku, ale
chce na náš systém nainstalovat nějakou škodlivou utilitku, například trojského
koně nebo backdoor. K tomu bude třeba spustit systém Windows. A nyní se
dostáváme k otázce zabezpečení samotného systému. Ještě si ale uveďme stručnou
tabulku, ve které shrneme předchozí řádky.


Přihlášení

Pokud počítač používá více uživatelů, pravděpodobně bude mít každý z nich
zřízen nějaký profil a bude se muset systému před použitím identifikovat.
Bohužel je to jen jakási parodie na skutečnou autentizaci, kterou známe
například z prostředí systémů UNIX/Linux nebo Windows NT, 2000, XP. Stačí
jednoduše stisknout ESC, popřípadě vložit libovolné jméno a heslo, a systém se
nám otevře dokořán. Máme pro vás dobrou zprávu. Systém Windows lze nastavit
tak, aby se k němu nemohl přihlásit nikdo neoprávněný (alespoň částečně).
Bohužel má tento postup několik podmínek, a v důsledku bude u počítače sedět
stejně kdo chce a bude si dělat co chce. Ale myslím, že ze standardních
prostředků, které nám Windows nabízejí, je tento způsob asi nejúčinnější. Nyní
však se vraťme k oněm podmínkám. Za prvé je třeba, aby byl počítač součástí
nějaké sítě typu klient-server. To je v prostředí podniků či škol celkem běžný
jev. Za druhé server musí provádět autentizaci pro domény, musí tedy fungovat
jako PDC (Primary Domain Controller). Za třetí klienty je nutno nakonfigurovat
tak, aby se přihlašovaly do domény Windows NT (Ovládací panely Síť, Klient sítě
Microsoft Vlastnosti). Dobrá zpráva je, že jako PDC může fungovat jak server s
operačním systémem Windows NT, tak UNIX, na kterém běží Samba server. Více o
konfiguraci Samby jako PDC naleznete v dokumentaci. Pokud tedy splňuje náš
systém všechny uvedené podmínky, stačí do registrů na klientských počítačích
přidat následující položku: Spusťte editor registru a přejděte na položku
HKEY_LOCAL_MACHINE\Network\Logon. Zde pak vytvořte novou položku typu DWORD s
názvem MustBeValidated a změňte její hodnotu na 1. Poté počítač restartujte.
Pokud se teď někdo pokusí přihlásit do systému a zadá neplatné jméno či heslo,
případně se pokusí přihlašovací dialog stornovat (česky zrušit), bude mu
přístup odepřen. Bohužel i tento mechanismus lze obejít. Jak? Naprosto
jednoduše. Stačí spustit Windows v nouzovém režimu, a všechny autentizační
metody jsou k ničemu. Útočník pak může v klidu nainstalovat potřebný software a
klidně odejít. Naštěstí ale tímto postupem znemožníme útočníkovi přístup k
síti, kde by se mohl pokusit napáchat další škody.

Existuje ještě jedna možnost, jak případnému útočníkovi ztížit poškození
systému, a tou je Policy editor. Je to malá utilitka, která nám umožňuje
definovat pravidla pro jednotlivé uživatele. Lze pomocí ní například definovat,
které aplikace budou moci jednotliví uživatelé spouštět nebo které položky jim
budou přístupné v Ovládacích panelech. Bohužel i tato utilitka je imunní vůči
nouzovému režimu. Naleznete ji na instalačním CD (tools\reskit\poledit) vašeho
systému nebo si ji můžete stáhnout ze stránek www.microsoft.com.


Spořič obrazovky

U spořiče obrazovky lze nastavit heslo. To je dobré bezpečnostní opatření pouze
v případě, že opouštíte počítač jen na malou chvilku, neboť útočník může kromě
jiného systém vždy restartovat.


Další pomůcky

Existuje i software třetích stran, který slouží k autorizaci uživatelů, či k
definici jejich oprávnění. Některé takovéto aplikace jsou celkem propracované,
ale všechny bez výjimky mají jeden společný nedostatek. Jsou spouštěny spolu s
operačním systémem, často ale až po jeho spuštění. Nepřijde vám na tom nic
divného? V systémech 9x může bohužel útočník ovlivňovat, které aplikace se po
startu systému nahrají. Může to provést přepsáním registrů ze systému MS-DOS
vymazáním zástupců ze složky Po spuštění ze stejného prostředí nebo prostým
zakázáním jejich natažení, pokud startuje systém v nouzovém režimu a zvolí, že
chce potvrzovat jednotlivé kroky.

Z výše uvedeného tedy vyplývá, že systémy 9x nelze zabezpečit před lokálními
útoky. Poslední a nejdůležitější obranou linií, a to jak proti lokálním tak
síťovým útokům, je šifrování. K němu se vrátíme poté, co probereme nebezpečí,
která nám hrozí po síti.


Síťové útoky

Dobrá zpráva pro uživatele systémů 9x je, že tyto systémy síťovými funkcemi
příliš neoplývají, a nejsou tedy tolik náchylné k útokům po síti. Mluvíme teď
samozřejmě o výchozí konfiguraci systému. Problém vzniká ve chvíli, kdy
používáme produkty třetích stran nebo se rozhodne zpřístupnit svoje soubory
ostatním uživatelům pomocí sdílení. Pokud se i přesto pokusí někdo na váš
systém zaútočit, bude o něm nejprve potřebovat získat nějaké informace.


Zkoumání systému

Potenciální útočník bude nejdříve potřebovat zjistit, jaký operační systém na
vašem počítači běží, a které aplikace a v jaké verzi provozujete. Nejdříve však
bude chtít zjistit, zdali je váš systém vůbec aktivní. To zjistí pomocí utility
ping, která je součástí snad každého operačního systému. Existují však i
sofistikovanější verze tohoto programu, jež nabízejí rozšířené funkce. V
tabulce je uveden přehled několika z nich. Pokud útočník zjistí, že je váš
systém aktivní, bude se snažit zjistit druh a verzi operačního systému.
Naneštěstí jsou systémy 9x velice sdílné, pokud jde o identifikaci systému. S
použitím nástroje jako je například unixový nmap dokáže útočník cílový systém
velice snadno identifikovat. Pokud navštívíte nějakou webovou stránku, která
obsahuje příslušný Javascript, lze operační systém identifikovat rovněž. Další
věcí, kterou bude chtít útočník zjistit, je jaké aplikace používáte. To není
tak jednoduché, zejména pokud jde o "čistokrevný" útok po síti. Prvním krokem
bude zřejmě skenování portů, protože každá síťová služba musí naslouchat na
nějakém portu. To, jaké služby na jakých portech naslouchají, zjistíte jak
jinak, než skenováním. Zde je přehled několika port scannerů, pomocí kterých to
můžete zkusit. Skenujte však pouze svůj systém, a pokud nevíte, co děláte,
raději se tomu vyhněte. Všechny zde zmíněné programy jsou zdarma a je jich
zastoupen jen zlomek. Podobných nástrojů existují stovky a můžete je nalézt na
velkých webech, jako například www.packetstormsecurity.org, kde se nalézá
zřejmě největší archiv bezpečnostních utilit pro všechny operační systémy.

Síťové útoky na systémy 9x můžeme v podstatě rozdělit do dvou hlavních skupin.
Za prvé jde o útoky na sdílené prostředky, a za druhé o využití chyby v
aplikacích.


Sdílení

Aby bylo možno na sdílené prostředky zaútočit, je třeba je nejdříve vyhledat a
identifikovat. K tomu můžeme použít několik utilit. Jedním z takových nástrojů
je například NBTscan. Tato utilitka zkoumá síť a zjišťuje u klientů IP adresu,
jméno počítače, uživatelské jméno přihlášeného uživatele a MAC adresu síťové
karty. Můžete jí získat na adrese www.inetcat.org. Existuje verze pro UNIX i
Windows. Dalším nástrojem může být například smbclient, který je součástí Samba
serveru. Dále existují utilitky, jež se pokouší připojovat ke sdíleným
prostředkům a hádat hesla pomocí brute force attack nebo pomocí slovníkového
útoku. Jedním z takovýchto nástrojů je Legion, vytvořený skupinou Rhino9. Tento
program umí kromě skenování určitého intervalu IP adres a vyhledávání systémů
se sdílenými prostředky i útok na sdílené prostředky právě pomocí výše
uvedených metod. Tento nástroj můžete získat na serveru
www.packetstormsecurity.org.

Jaká je tedy nejlepší obrana? Patrně nejbezpečnější je sdílení vůbec
nepoužívat. Pokud se ale bez něj neobejdete, každý sdílený prostředek řádně
zakódujte. Bohužel délka hesla je maximálně 8 znaků. Přesto se snažte heslo
vybrat co nejlépe. Můžete používat i speciální znaky jako * $ # atd. Dobrým
nápadem je umístit na konec sdílného prostředku znak dolaru $. Sdílený
prostředek se pak ostatním klientů nezobrazí v okně Okolní počítače a funguje i
proti nástroji Legion. Ale pozor, například vůči utilitě smbclient je to
neúčinné. Dále také dobře zvažte, které adresáře či soubory nabízíte ke
sdílení. Je jistě velkou chybou poskytnout ke sdílení celý disk. Lepší je
vytvořit speciální adresář a do něj umístit věci, které potřebujete sdílet.


Útoky na síťové aplikace

Tento druh útoků je patrně nejrozšířenější. Útočit lze prakticky na všechny
aplikace, jež ke své činnosti používají síť. My si ukážeme ty nejčastěji
napadané a pokusíme se o jejich zabezpečení. Na úvod je však třeba říct, že
proti těmto útokům moc dělat nemůžeme, snad jen sledovat vývoj a instalovat
opravy.


Internet Explorer

O chybách v tomto oblíbeném webovém browseru by se daly psát romány. Během
posledního zhruba půl roku neuplyne týden, aby se v aplikaci neobjevila alespoň
jedna chyba, která umožňuje číst soubory z lokálního disku nebo by neumožňovala
spuštění libovolného programu na cílovém systému.

Většina těchto chyb vychází z technologie ActiveX, mnohé ale ne. Pokud chcete
mít přehled o všech chybách IE, navštivte stránky www.www.guninski.com Tyto
stránky provozuje Georgi Guninski, který stojí za odhalením většiny
bezpečnostních chyb IE. Princip těchto chyb je pro běžného uživatele často
nepochopitelný a nemá cenu je zde ani popisovat. Důležitější je zaměřit se
obranu.

Asi nejjednodušší by bylo říci, nepoužívejte IE. Bohužel z vlastních zkušeností
mohu potvrdit, že s takovouto radou příliš nepochodíte. Mnoho uživatelů nemá
chuť zkoušet a instalovat nové produkty, ať již z pohodlnosti nebo kvůli oblibě
IE. Přesto bych doporučit spíše jiné prohlížeče jako například Mozillu nebo
Operu. Jde o velmi podařené produkty, jsou dostupné zdarma a také můžete sehnat
verze pro většinou operačních systémů. V rámci objektivity je však třeba
upozornit i na některé nedostatky, jimiž tyto produkty trpí. U Mozilly je to
především velká náročnost na systémové zdroje, takže pokud máte 32MB nebo méně
RAM, budete potřebovat i značnou dávku trpělivosti. U Opery, která je
mimochodem nejméně náročná na systémové zdroje, se občas vyskytnou problémy s
podporou novějších standardů a funkcí, a také s podporou češtiny.

Pokud se tedy rozhodnete používat i nadále IE, je třeba jej správně
nakonfigurovat. Především zakažte všechny ActiveX, chcete-li mít klidný spánek.
Doporučuje se co možná nejvíce paranoidní konfigurace. Dále také nestahujte a
neinstalujte nejrůznější plug-iny a "udělátka", kterých je na síti k dispozici
velké množství. Ve většině případů půjde minimálně o spyware. Nejdůležitější je
však včasná instalace oprav vydaných společností Microsoft.


Outlook

Z hlediska bezpečnosti je na tom Outlook podobně jako IE. Bezpečnostních děr je
také požehnaně a dají se celkem snadno zneužít. Asi nejvážnější chybou těchto
produktů je automatické spouštění příloh elektronické pošty. Tato chyba také
umožnila šíření nejrůznějších virů a červů. V poslední záplatě firmy Microsoft
už by mělo být vše odstraněno, ale je jen otázka času, kdy se objeví něco
podobného. Pokud tedy nechcete používat jiné produkty jako je Eudora, The Bat a
další, řiďte se stejnou radou, jaká platí pro IE.


Další produkty

Mezi nejpoužívanější produkty patří různé komunikační prográmky jako je ICQ,
AIM nebo mIRC. V každém z těchto programů byly objeveny nejrůznější chyby,
které ve svém důsledku vedly až ke kompromitaci celého systému. Chyby se mohou
vyskytnout prakticky v jakémkoliv softwaru. Proto vždy moudře zvažte, jaké
programy na systému instalujete a není-li to občas na úkor bezpečnosti,
stability a kvality. Jak se říká: "není všechno zlato, co se třpytí".


Cíle na systému

Důležité je také, jaké cíle na systému útočník sleduje. Pokud se snaží na váš
počítač útočit cíleně, pravděpodobně bude vědět, co se na něm ukrývá, a měli
byste to tušit i vy. Pokud budete náhodným cílem, půjde pravděpodobně po
souboru .PWL, kde jsou uložena všechna systémová hesla. Ukládání hesel můžete
zakázat použitím Policy editoru nebo změnou následující položky v
registru\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current\Version\Policies\
NetworkDisablePwdCaching na hodnotu 1. Útočníka mohou zajímat i jiné soubory,
zejména ty zaheslované. O prolamování hesel si však povíme někdy jindy.


Zálohování

Ať již se o svůj systém staráte sebelíp, vždy může nastat situace, kdy bude váš
systém někým ovládnut čí poškozen. Aby mohl být poté systém uveden do původního
stavu, musí být odkud. Proto je tak důležité data zálohovat. Pokud ale
používáte svůj počítač jen pro brouzdání po internetu, občas si zahrajete
nějakou hru a nic jiného na počítači neděláte, nemají pro vás zálohy příliš
velký význam, neboť systém můžete obnovit jednoduše novou instalací. Pokud ale
například vytváříte webové stránky, grafiku, programujete nebo píšete texty, je
třeba zálohovat. A to pravidelně. Nemůžeme vám dát univerzální návod, jak
zálohovat, to záleží na konkrétní situaci. Pokud například denně vytvoříte
několik grafických návrhů nebo napíšete několik stovek řádků zdrojových kódů,
měli byste vždy na konci pracovní doby provést zálohu svých dat. Na druhou
stranu, vytvoříte-li jeden dopis nebo jiný text za týden, bylo by pro vás denní
zálohování celkem zbytečné. Důležité je také postup a médium, které na
zálohování používáte. Pokud píšete již výše zmíněné texty, vystačí vám na
zálohy prostá disketa. Potřebujete-li ale zálohovat velké množství dat, budete
potřebovat jiné médium, například CD-R. Pokud nemáte vypalovačku či jiné
záznamové zařízení o velké kapacitě, máte problém. Řešení je několik.

Za prvé můžete svá data zálohovat na server, jste-li součástí nějaké sítě typu
klient-server. Pokud máte rychlé připojení k internetu, můžete si zřídit
prostor na nějakém serveru a data ukládat tam. Pokud máte rozdělen disk na
několik oblastí a na jedné oblasti vám běží dejme tomu Linux, můžete data
zálohovat tam, neboť neexistuje způsob, jak z prostředí systémů 9x zapisovat na
linuxové diskové oddíly. Pozor ale, aby útočník na vašem systému nespustil
nějaký program, který přepíše tabulku oddílů.


Šifrování

Pokud tedy máte vyřešen problém se zálohováním, jistě nebudete chtít, aby si
data mohl kdokoliv číst. A zde přichází ke slovu šifrování. O šifrách a
algoritmech jste si mohli přečíst v minulých číslech PC WORLDu. Nebudeme se
jimi tedy již více zabývat a vrhneme se rovnou na věc. Za prvé pro vás máme
dobrou zprávu. Nemusíte pracně shánět nějaký program, který šifruje, a lámat si
hlavu s jeho ovládáním nebo s tím, jaký algoritmus používá. Na všechno nám bude
bohatě stačit PGP, které máte jistě všichni po přečtení minulého čísla PC
WORLDu nainstalované.

PGP ve verzi pro Windows 9x zvládá kromě šifrování elektronické pošty rovněž
šifrování souborů na pevném disku nebo rovnou celých diskových oblastí. Jistě
jste si všimli, že po instalaci programu se vám v kontextové nabídce objevila
nová položka PGP, která nabízí několik možností. Pokud kliknete pravým
tlačítkem na nějaký soubor, složku či disk, a najedete na PGP, otevře se vám
další nabídka, jež nabízí několik možností. Předně můžete soubor zaheslovat
(Encrypt), podepsat (Sign) zašifrovat a podepsat (Encrypt and Sign), bezpečně
vymazat (Wipe) a nakonec vytvořit spustitelný zašifrovaný soubor (Create SDA).
První tři možnosti jsou nejpoužívanější. Ke své činnosti však takto zašifrované
soubory potřebují PGP. Pokud chcete soubor zaheslovat a poté jej spustit na
systému, který PGP neobsahuje, zvolte poslední možnost (Create SDA).

Existují i jiné programy, jež umožňují šifrovat soubory, ale PGP je více než
dostatečné. Navíc je zdarma, což se o ostatních kvalitních produktech tohoto
typu říci nedá. Rozhodně však svoje soubory neheslujte pomocí Winzipu, Wordu,
Excelu a podobných programů. Tato hesla jsou poměrně slabá a lehce prolomitelná
pomocí brute force attack. K tématu prolamování hesel se ještě v budoucnu
vrátíme.

Na závěr si ještě uveďme jakousi bezpečnostní kuchařku, do které shrneme
všechny nezbytné body pro správné zabezpečení počítače se systémem 9x. Pokud
některý bod nemůžete z nejrůznějších důvodů aplikovat, naleznete odpověď v
článku.


Správně zabezpečený systém

1. Zaheslovaný BIOS
2. Zaheslovaný zavaděč operačního systému
3. Vyžaduje autentizaci domény
4. Nainstalovaný Poledit
5. Aplikované záplaty
6. Nemožnost vzdálené administrace
7. Neobsahuje zbytečné aplikace
8. Kvalitní firewall
9. Pravidelně zálohovaný
10. Citlivá data šifrována

V příštím dílu seriálu začne ta "opravdová zábava", protože se podíváme na
bezpečnost systémů Windows NT/2000. Jelikož se tyto systémy používají i jako
servery a běží na nich spousta služeb, existuje zde nepřeberně více možností,
jak tyto systémy napadnout a tím pádem i více věcí, které je třeba udělat pro
jejich zabezpečení.

Všechny vaše rady, náměty na další články nebo seriál, názory a prosby opět rád
uvítám na adrese igm@centrum.cz.