12 OSOBNÍ POČÍTAČ BEZ ČERVŮ, VIRŮ, SPYWARE A PROBLÉMŮ

BEZPEČNÁ POČÍTAČOVÁ SÍŤ

část 8, díl 12, str. 1 díl 12, Osobní počítač bez červů, virů, spyware a problémů

8/12 OSOBNÍ POČÍTAČ BEZ ČERVŮ, VIRŮ, SPYWARE A PROBLÉMŮ 8/12.1 8/12.2 8/12.3 8/12.4

Úvod Vy a váš počítač máte hodnotu Majoritní a alternativní software Začínáme s bezproblémovým PC 8/12.4.1 Domácí PC poprvé - firewall 8/12.4.2 Domácí PC podruhé - prohlížeč 8/12.4.3 Domácí PC potřetí - E-mail

kvûten 2007

část 8, díl 12, str. 2 díl 12, Osobní počítač bez červů, virů, spyware a problémů

kvûten 2007



část 8, díl 12, kap. 1, str. 1 díl 12, Osobní počítač bez červů, virů, spyware a problémů

8/12.1 ÚVOD

Začněme tuto kapitolu krátkou citací, pocházející z jednoho z nejčtenějších českých blogů. Článek „Antivirus a antispyware je věc pro amatéry“, http://radekhulan.cz/ item/antivirus-a-antispyware-je-vec-pro-amatery. „Je tomu už více než 5 let, co na počítači s Windows nepoužívám antivirus ani antispyware. [...] Všechny tyto programy drasticky zpomalují počítač, a já nevidím jediný důvod je používat, neboť na to, aby člověk neměl s virovou a spywarovou nákazou pod upravenými Windows jediný problém, stačí mírné technické znalosti a dodržování několika základních pravidel.“ Článek jako takový je psaný poměrně striktním a „diskusi nepřipouštějícím“ tónem, který ovšem stojí za oblíbeností a obrovskou čteností webu autora (dnes i v IT platí, že vše musí mít alespoň nějaký kontroverzní nádech, jinak věc upadne v zapomnění).

kvûten 2007

část 8, díl 12, kap. 1, str. 2


díl 12, Osobní počítač bez červů, virů, spyware a problémů

Dále se podívejme na server The PC Spy (http://www.thepcspy.com), který publikoval rozsáhlý test programů, které běží na pozadí Windows s účelem zjistit, jak moc zpomalují chod počítače. Test byl relativně komplexní, zahrnoval desítky produktů a měl relativně dobrou metodiku měření. Autor dokonce po prvním článku získal od komentujících uživatelů zkušenosti a celou akci zopakoval se zpřesněnými metodami časování programů. Testovaly se celkem tři aspekty výkonu PC, a to: doba startu PC, rychlost procesoru při generování velkých prvočísel a rychlost zápisu na disk. Tabulka tak má velkou vypovídající hodnotu pro informační bezpečnost, že z ní uvádíme velkou část. T

Jak je vidět v záhlaví, všechny údaje jsou v procentech oproti původním, referenčním hodnotám.

Software % Boot Delay % Prime Delay % FileIO Delay Norton Internet Security 2006 46 20 2369 McAfee VirusScan Enterprise 8 7 20 2246 Norton Internet Security 2007 45 8 1515 Trend Micro PC-cillin AV 2006 2 0 1288 ZoneAlarm ISS 16 0 992 Norton Antivirus 2002 11 8 658 Windows Live OneCare 11 8 512 Webroot Spy Sweeper 6 8 369 Nod32 v2.5 7 8 177 avast! 4.7 Home 4 8 115 Windows Defender 5 8 54 Panda Antivirus 2007 20 4 15 AVG 7.1 Free 15 0 19 Internet Explorer 7 RC1 14 4 0 Zdroj: http://www.thepcspy.com/articles/other/what_really_slows_windows_ down/5

kvûten 2007



Než se pustíme do komentování výsledků, je třeba uvést, že ve dvou ze tří případech testování se jedná o takzvané syntetické testy. Tedy o testy, při kterých se zkoumá prodleva nějaké elementární operace počítače, třeba otevření, přečtení a uzavření souboru či série nějakých matematických úkonů. Tyto testy nelze jen tak jednoduše aplikovat na skutečné viditelné zpomalení PC. Při skutečné práci jsou úkony, které počítač provádí, natolik rozličné, že se prodlevy u jednotlivých operací projevují podstatně méně, respektive se tak „skládají“. Tu se čeká na disk, tu na procesor, tu na odpověď serveru, tu na uživatele atd. Syntetické výsledky by odpovídaly skutečným jen při takovém způsobu práce, který odpovídá naprogramovaným testům. Hodnoty by se tak blížily tabulkovým například při čtení velkého počtu souborů rychle za sebou, počítání složitých grafických scén procesorem atd. Minulý odstavec ale rozhodně neubírá na vážnosti tomu, že zde skutečně jistý problém existuje. První sloupec, ukazující zpomalení PC při startu, není syntetický, ale reálný test - PC skutečně startovalo téměř dvakrát tak déle. A syntetická hodnota 2369 % se rozhodně musí přenést do takové reálné hodnoty, kterou uživatel nutně musí poctít. Vždyť nám produkt zpomalil operace se soubory 23krát! To je opravdu velmi moc. Již na první pohled vidíme, že v čele tabulky (seřazené podle FileIO Delay - prodlevy při čtení souborů) máme víceméně kompletní plejádu antivirových programů, které jsou na trhu k dispozici. To není nikterak pozoruhodný závěr - tyto programy zkrátka ze svého principu fungují tak, že běží na pozadí při práci, a pokud se jakýkoliv program pokusí například otevřít soubor, převezmou kontrolu, soubor otestují na příkvûten 2007




tomnost virů a v případě, že je vše v pořádku, předají řízení zpět. Zpomalení je tedy nevyhnutelné. Mimo to dělají mnoho dalších kontrol na pozadí, které ovlivňují některé další operace s disky, pamětí, procesorem atd. Tedy běžné, při práci takřka nepozorovatelné zpomalení nelze mít antivirům za zlé. Nicméně mnoho IT odborníků při vyřknutí některých jmen z čela tabulky opravdu „zrudne“, protože zkušenosti s těmito produkty jsou u administrátorů stejné. Za všechny musíme jmenovat sadu Norton Internet Security firmy Symantec, speciálně již zmíněnou verzi 2006. Firma Symantec má mnoho dobrých produktů a řadu špičkových utilit pro práci s PC, které mohou administrátorům zachránit dny práce a nakonec i Norton Internet Security dobře funguje, co se požadovaných funkčností týče. Nicméně to, co po instalaci udělá s uživatelovým počítačem, je z hlediska rychlosti a pohodlnosti práce doslova „k pláči“. Uživatel se tak se svým hardwarem přesune o několik let zpět, operační systém „běhá“ jako Windows XP s 256MB RAM, spouštění programů je záležitostí desítek sekund a celková uživatelská použitelnost počítač jde razantně dolů, mimo jiné vlivem neustálých „důležitých“ hlášení programu, že něco vyžaduje uživatelovu pozornost. Tyto zkušenosti čtenářům potvrdí mnoho odborníků. Co se týče verze 2007, zde je patrné opravdu velké zlepšení. Měřeno tedy oproti verzi 2006, v celkovém kontextu se samozřejmě jedná stále o řekněme „diskutabilní“ hodnoty. McAfee VirusScan Enterprise bohužel nemůže autor tohoto textu blíže komentovat, neboť tento produkt nepatří v našich končinách k těm výrazně rozšířeným. kvûten 2007



Čím se budeme blížit nižším příčkám v tabulce, tím bude práce s počítačem příjemnější. Není třeba mít strach z většiny trojčíselných údajů z pravé části tabulky, protože takovéto hodnoty syntetických testů nebudou mít na reálnou práci uživatele žádný subjektivně měřitelný vliv. Například známá česko-slovenská trojice NOD32, Avast a AVG jsou naprosto bezproblémové produkty a většinou představují pro uživatele dobré řešení. Jako poslední poznámku k tabulce dodejme, že by ji rozhodně čtenáři neměli brát doslova, jedná se o test prováděný jednotlivcem, jiná metodika by rozhodně přinesla i lehce odlišné pořadí. Dále se v testu například neobjevily produty od F-Secure a Kaspersky Lab, které bývají v antivirových magazínech označovány co do schopnosti detekce taktéž za špičkové. Zkrátka veškeré podobné údaje jsou vždy do jisté míry orientační. Již ale zpět k citátu, který evokuje, že mnoho profesionálů v oblasti informačních technologií se antivirům a anispyware programům vyhýbá a přesto nemají s viry a podobnou „havětí“ žádné problémy. Laik by řekl, že v dnešní době není možné se bez programu na ochranu před všemožnými internetovými nebezpečími defakto obejít a nechráněný počítač musí být různých škodlivých programů plný. Častější je ovšem takováto situace: A. Běžný uživatel Běžný uživatel má v antivirovém programu jistou „modlu“ a považuje ho za nástroj zásadní důležitosti. Bojí se veškerého alespoň trochu podezřelého obsahu na internetu či ve své poště a webovým stránkám s problematickými tématy (nástroje na crackování softkvûten 2007




waru, erotika, gambling...) se zásadně vyhýbá z bezpečnostních důvodů. Tentýž uživatel ale při bližším zkoumání sice na svém počítači nemusí mít přímo virus, ale několik známek různého spywaru či obecně „badwaru“ najdeme. Typicky: - nechtěné „lišty“ v Internet Exploreru, - IE implicitně vyhledávající v divných vyhledávačích, - občas znenadání vyskakující okna, - programy, které mimo své funkce nabízejí reklamu, - odkazy v menu Start > Programy na různé „zaručené“, „zdarma“ nabídky (mp3, downloads), - ikonky běžících programů vpravo dole u hodin, o kterých zkrátka „nevíme, k čemu jsou“, - s různými multimediálními soubory jsou asociovány aplikace, které sice daný formát přehrávají, ale vypadají spíše jako elektronický reklamní leták, - v prohlížeči se nacházejí sledovací soubory cookies, - v kontextové nabídce (po kliknutí pravým tlačítkem na soubor) se v nabídce objeví řádky neznámých programů, - v programu msconfig můžeme ve složce Spuštění systému nalézt položky, u kterých opět nevíme „co jsou zač“. B. Profesionál Na druhou stranu má mnoho profesionálních uživatelů všechny výše uvedené položky buď křišťálově čisté a prázdné, nebo pod kontrolou, kdy jsou veškeré obsažené věci na místě úmyslně. Antivirový ani antispywarový program se na PC nenachází (možná snad jen antispam, ale i to nemusí být třeba), pošta je plná relevantních mailů od kolegů, počítač je svižný a reklamy jsou vidět možná tak na webových stránkách, pokud zůstaly neodfiltrovány. kvûten 2007



Realita bezpečného používání internetu těch, kteří mají s IT zkušenosti, je tedy oproti běžným uživatelům jiná. Cílem této kapitolky by mělo být přiblížení profesionální „bezpečnosti práce“ těm, kteří na takové úrovni ještě nejsou.

kvûten 2007


kvûten 2007




8/12.2 VY A VÁŠ POČÍTAČ MÁTE HODNOTU

Začněme tím, proč vůbec takový badware neboli software (ve vzácném případě data), který (která) na svém počítači nechceme, existuje (existují). Existují dva základní důvody. První z nich bychom mohli označit za „ideologický“. V tomto případě se „havěť“ šíří z prostého účelu „co nejvíce se rozšířit“, popřípadě způsobit co největší škodu. Sem bychom zařadili běžné počítačové viry, internetové či e-mailové červy a falešné „poplašné zprávy“, takzvané hoaxy. Autoři těchto programů či dopisů svůj výtvor konstruují právě tak, aby měl co největší možnost a pravděpodobnost masového šíření po celé zemi. Čas od času je v kódu naprogramován úmysl škodit, což ale není to, co odlišuje tuto skupinu od skupiny následující. Tvůrce druhé skupiny softwaru bychom mohli nazvat „bezpečnostními kapitalisty“. Účelem jejich prograkvûten 2007




mování je vytvořit aplikaci, která se sice stejně jako „havěť“ v předchozím odstavci více či méně ilegálně instaluje do uživatelova počítače, nicméně další činnost je směřována takřka výhradně k obohacení autora (či autorské společnosti - nedomnívejme se, že různý spyware si na kolenou programují drobní jednotlivci, aby vytěžili pár desítek dolarů...). Uvažování těchto tvůrců je založeno na faktu, že vy, jakožto uživatelé, a váš počítač (myšleno stroj připojený k internetu jako takový) máte hodnotu, kterou lze zpeněžit. Z důvodů, které si vysvětlíme, je boj proti druhé skupině nechtěných programů těžší. Dalo by se v principu říci, že viry a červi jsou spíše technickou záležitostí, ostatní badware tak trochu znalostní či psychologickou. Zatímco viry lze jednoznačně považovat za škodlivé, například u spywaru, adwaru a podobných „radostí“ tomu tak není. Vždy teoreticky existuje situace, kdy si uživatel tyto diskutabilní programy nainstaluje z nějakého důvodu úmyslně. Pokud program má alespoň nějakou funkci, těžko může antivirový software uživatelovi zakazovat si ho přes varování nainstalovat. K tomu se ještě vrátíme. Uživatel jako takový má hodnotu především jako potenciální spotřebitel. Podívejme se na nejčastější témata z nevyžádané pošty: viagra, levný pirátský software, levné repliky drahých hodinek atd. Je nasnadě úvaha, že kdyby lidé všechny tyto věci nechtěli, ve spamu by se asi těžko objevovaly... Toto je tedy největší hodnota uživatele, kterou bychom mohli v principu označit za legální. Dále samozřejmě přicházejí v úvahu čísla kreditních karet, přihlašovací údaje do elektronických platebních systémů atd., popřípadě různé jiné zpeněžitelné informace.

kvûten 2007



Jakou hodnotu má ale váš počítač samotný? Možná větší, než si myslíte. Jeden drobný počítač běžného uživatele násobený několika sty je totiž úžasný prostředek anonymity. Situace se má totiž tak, že v kontextu bezpečnosti se dá relativně dobře bránit nebezpečí, které má nějaké společné znamení, typicky známý tvar hackerského útoku či ještě lépe přichází z jednoho místa. V tomto případě může oběť rychle zavést opatření, které útoky dle tohoto společného znaku odfiltruje. Zde si prosím všimněte, že za „útok“ můžeme stejně dobře považovat nevyžádanou poštu typické dopisy „CHEAP VIAGRA“ program lehce pozná, stejně tak ty, co pocházejí ze známé spammerské IP adresy. Na čem však selže, jsou drobné, v čase a místě rozptýlené útoky, v případě spamu pokud možno každý lehce odlišný a co nejvíce podobný běžnému dopisu. Z tisíce míst na světě, od tisíce skutečných existujících uživatelů a e-mailových adres. Hodnota počítače je možná ještě lépe využitelná než hodnota člověka. Situace se má tak, že hackeři, kteří pro své undergroundové „chlebodárce“ zajišťují cizí počítače, vyvinuli pro svou činnost relativně komplexní metody. Pokud na počítači běží program, který umožňuje hackerovi na dálku ho ovládat, říkáme takovému PC zombie, popřípadě bot. Aby byla pro hackera koordinace následných ilegálních útoků efektivní, nespravuje jednotlivé stroje, ale celou síť najednou. Programy hackerů, běžící v zombies na pozadí mají totiž mechanismy, které jim umožňují se navzájem organizovat a dorozumívat v sítích, takzvaných botnetech. Pomocí botnetů může hacker ovládat tisíce počítačů najednou. Stejně tak může svoje ovládací programy na dálku aktualizovat či do počítače vložit jakýkoliv jiný program. kvûten 2007




Uvažme, k čemu je takový botnet užitečný. Předně je zde obrovský spamový potenciál. Opět není vhodné mít o organizaci spamerů nějaké amatérské představy - mají desítky legálně pořízených antispamových programů, pomocí kterých hledají ty správné kombinace obsahu zprávy, které mají co nejlepší šanci na projití do cílové schránky. Před každým „nájezdem“ provádějí exaktní měření na testovacích strojích a do světa pak pustí jen tu nejúspěšnější variantu. Pokud je ke spamování použit botnet, není možné jednu ze zbraní antispamů - blacklisty - vůbec použít. Dále je zde potenciál DoS, respektive DDoS útoku. Při Denial of Service hacker zahltí cílový server tolika požadavky, že stroj přestane stíhat i ty regulérní, dojde k vyčerpání systémových prostředků a server defakto „spadne“. Pro vlastníka to může znamenat velkou finanční ztrátu. Distributed Denial od Service je totéž, ale - jak jistě čtenář tuší - požadavky nepřicházejí z jednoho místa (tj. z nějakého rozsahu IP adres), ale od tisícovek drobných uživatelů. Tu ADSL, tu mobilní připojení, Wi-Fi poskytovatel, telefonní linka... Ztížení obrany je takřka stejného principiálního charakteru jako v případě spamů. Zatímco běžný DoS lze snadno odfiltrovat již na firewallu, DDoS má opět probém. I když výrobci pochopitelně přišli s různými metodami, jak se DDoS alespoň trochu bránit (lépe řečeno se alespoň pokusit problémy trochu snížit), situace provozovatele serveru je podstatně horší... Jsou známy i případy, kdy byl DDoS použit v rámci konkurenčního boje. Pokud si spočítáme rychlosti dnešních připojení k internetu, zjistíme, že na efektivní botnet není třeba zase tak velká síť. Dnes poskytovatelé běžně nabízejí kvûten 2007



512kbit/s linky, kterých nám do 100MBit/s připojení stačí pouhých 200 a do 1Gbit/s tedy pouhých 2000. Přitom mohou mít dnešní botnety bez problémů nikoliv tisíce, ale desetitisíce až statisíce počítačů, nebo může mít spamer/hacker k takové kombinaci přístup. Skutečné velikosti bohužel nejsou nijak veřejně známy a různé hodnoty se v průběhu času mění. Druhým zajímavým údajem by byla cena botnetu či jednoho botu. Na internetu lze nalézt údaje hovořící minimálně o 1 dolaru za jeden bot se slušně rychlým připojením, popřípadě při „pronájmu“ o několika centech za týden (především pro spamování). Skutečné hodnoty však znají opravdu jen majitelé... Drtivá většina bezpečnostních chyb aplikací má svůj kořen v jednom jediném problému - v míchání dat, tedy statických informací s kódem, tedy instrukcemi, které lze spustit, tj. počítač vykoná, „co se v nich nachází za příkazy“. Ať se podíváme do klasických problémů při programování, typu buffer overflow či do webových děr typu SQL injection či do spywaru, takřka všude lze nalézt problém stále stejného vzoru: programátor programoval manipulaci s daty, ale hacker nějak přišel na to, jak na tato data počítač „nasměrovat“, tj. přinutit ho k jejich „vykonání“.

Jak se hackeři a spameři vašeho počítače zmocní

Pokud se chcete bezpečně pohybovat po dnešním internetu, je bezpodmínečně nutné používat takové technické prostředky, které výše uvedené riziko minimalizují či úplně vyloučí. Zformulujme to ještě takto: pokud v příručkách o bezpečném používání internetu čtenář nalezne různé informace o tom, že ten či onen program (poštovní klient, prohlížeč) je méně bezpečný, z odborného hlediska to znamená to, že obsahuje více možností (potenciálních či reálných, tj. objevených), jak smíchat data, se kterými tento program kvûten 2007




pracuje (maily, webové stránky) s programy, které k nim může hacker „přidat“ - nebezpečné mailové přílohy, ActiveX objekty na webové stránce atd. Toto je víceméně jediná znalost a dovednost, kterou profesionálové velmi dobře umí, a proto z práce na „divokém“ internetu nemají žádný strach. Používají nástroje, které samy míchání dat a kódu nedovolí a v situacích, kdy je pro infikování potřeba nějaká jejich „součinnost“ s chladnou hlavou zhodnotí, o co se jedná.

kvûten 2007



8/12.3 MAJORITNÍ A ALTERNATIVNÍ SOFTWARE

Ještě se zastavme u termínu „méně bezpečná aplikace“. Mnoho uživatelů se dnes domnívá, že nejen běžné chyby jsou nedílnou součástí vývoje softwaru, ale i bezpečnostní. Zkrátka lidský mozek není stavěn na strojově přesné logické myšlení při psaní aplikací a bezpečnostní chyby nebudou z procesu vývoje nikdy vyloučeny. Je proto bláhové se domnívat, že programy, které bývají označovány za bezpečné (například prohlížeč Firefox) žádné chyby neobsahují. Názor autora je takový, že vezmeme-li v úvahu funkce, které Firefox oproti Internet Exploreru nabízí, dobu vývoje obou konkurentů (IE je více než deset let starý), dojdeme k názoru, že programátoři obou stran budou buď přibližně stejně bezpečnostně zdatní, nebo bude mít Microsoft dokonce navrch. Pomůžeme si, pokud místo o počtu bezpečnostních děr budeme mluvit o „reálné zneužitelnosti“, tedy o tom, jak obtížné je daný program překonat. Jde tokvûten 2007




tiž o to, že zneužít lze jen tu chybu, o které hacker ví. Aby o ní věděl, musí ji nejdřív někdo objevit. A aby ji někdo vůbec začal hledat, musí to „stát za to“. Což je, upřímně řečeno, velký díl tolik proklamované „bezpečnosti“ alternativních internetových aplikací. Budete-li chtít návštěvníkům svého erotického webu nahrát do počítače škodlivý software, zaměříte se na prohlížeč, který používá 20 % lidí, nebo na ten, který používá 75 %? Mohlo by se zdát, že „bezpečnost alternativou“ zavrhujeme. To není pravda, jen poukazujeme na skutečné příčiny. Skutečné poselství těchto odstavců je, že tato metoda funguje a je jedním z nejlepších opatření, která může uživatel pro svou bezpečnost udělat. Z čistě statistického důvodu musí fungovat. Alternativní internetové programy jsou méně náchylné ke zneužití, přestože mohou být napsány se stejným počtem chyb. Ale těchto chyb se v nich méně hledá, méně najde a méně zneužívá. Použití alternativních programů přináší i další výhody. Do již zmíněné „zneužitelnosti“ se totiž také počítá to, jak rychle je schopen výrobce reagovat na vzniklý problém vydáním opravy. Zde se Microsoft oproti situaci před několika lety podstatně zlepšil, ale pro alternativní výrobce je toto přesně nika, ve které vynikají. Je to stejná situace jako v ostatních oborech - menší hráči jsou nejvíce flexibilní, updaty si můžete stahovat téměř denně (například u skvělého prohlížeče Opera), nové funkcionality a implementace právě schválených standardů máte k dispozici doslova několik let před Microsoftem (typicky FireFox) atd. Do množství bezpečnostních chyb také promlouvá historie, kterou daný produkt prošel. Bohužel v tomto případě mluví v neprospěch Internet Exploreru. kvûten 2007



Ve druhé polovině devadesátých let 20. století prošel obor informačních technologií jednou z několika „bublin“, tedy hyperzájmu o technologii, která později zkrachovala. Byl jím způsob distribuce softwaru v prohlížeči. Tedy že již nebudeme mít nainstalované kancelářské sady přímo na našem PC, ale že budou hostované u výrobce či prodejce a my je jen budeme používat, a to přes internet. Ústřední doménou něčeho takového je prohlížeč. Toto očekávání se v podobě, jak ho tehdejší analytici navrhovali, absolutně nesplnilo. Nicméně pro Internet Explorer, který byl v té době technologicky i tržně na vrchu, to znamenalo obrovskou zátěž. Musel totiž obsáhnout tisíce řádků kódu pro možnost zmíněného softwaru-online. Dále se stalo to, že Microsoft některé tyto technologie společně s jádrem IE svázal se svou vlajkovou lodí - operačním systémem Windows. Podíváme-li se do ovládacích panelů na uživatelské účty (2000, XP), vidíme, že celé okno, kde se správa děje, se od ostatních oken v systému nějak liší. Není trochu podobné webové stránce? A to je přesně ono. Jistá softwarová kombinace webového a běžného programování je zadrátována přímo ve Windows a Internet Explorer, včetně výše zmíněných tisíců řádků kódu pro již nikde jinde nepoužívanou technologii, je třeba udržovat při životě, jinak by se některé produkty Microsoftu dostaly do vážných problémů. Dnes byly dokonce v Internet Exploreru 7 nejprve ohlášeny opravy některých (nikoliv bezpečnostních) chyb, aby pak nebyly do finální verze zahrnuty z důvodu byť sebemenších problémů se zpětnou kompatibilitou. (Vývojáři se pak diví, jak je možné, že je správná funkce některých produktů závislá na existenci chyby...(!))

kvûten 2007




Prohlížeče jako Mozilla Firefox či Opera zmiňovanou érou neprošly a žádné takovéto funkce implementovány nemají. Proto se nepotýkají s bezpečnostními problémy, které tyto na systém navázané funkce představují. Na obhajobu Microsoftu tedy můžeme říci, že u alternativních prohlížečů se tyto chyby nevyskytují, protože nic takového jako Explorer neumí. Na obhajobu alternativ ale podotkněme, že z dnešního pohledu je propojení těchto funkcí se zobrazováním běžných cizích webových stránek koncept rozhodně překonaný. Hranice mezi dobrým a špatným softwarem

Ještě se na chvíli vraťme ke škodlivému softwaru. Máme-li na jedné straně pomyslného spektra vir a na druhé straně perfektně fungující program, někde mezi se nachází široké spektrum do různé míry nechtěného softwaru. V případě viru je situace zřejmá. O trochu blíže použitelnému programu jsou takzvané dialery, tedy prográmky, které změní číslo vytáčeného připojení k internetu na jiného poskytovatele, který pak dostane za vaše připojení provizi. V našich končinách jsou známé tyto případy především díky tomu, že cílové číslo se typicky nacházelo na druhé straně polokoule, čímž telefonní účet podstatně narostl. Méně známý fakt je ale ten, že tato metoda původně vznikla jako regulérní platební mechanismus především na erotických stránkách pro případy, že návštěvník neměl, nebo nechtěl použít kreditní kartu. V tom případě použil jiné telefonní číslo a provozovatel webu tak získal peníze jinak. Problém nastal až v momentu, kdy ISP takto začali připojovat osoby bez jejich souhlasu. Další kategorií jsou různé druhy malwaru, badwaru či graywaru. Poslední termín napovídá, že zde situace

kvûten 2007



může být vnímána různě - gray je anglicky šedý, tedy ani bílý, ani černý. Typický malware se usídlí ve vašem počítači a mnoha způsoby dělá svou „reklamní činnost“. Ta se skládá z měnění domovské stránky prohlížeče, náhodného otvírání nesouvisejících nových oken (v prohlížeči i mimo něj), přesměrování implicitního serveru pro vyhledávání v prohlížeči, instalace různých „užitečných“ lišt nástrojů do prohlížeče atd. Většina těchto akcí má jediný účel - ukazovat uživateli reklamy, popřípadě ho přímo přesměrovávat na cílové webové stránky. Programy, které fungují za účelem získávání údajů uživatele, nazýváme spyware (spy - špión). Typicky monitorují vaše zobrazené stránky, nákupy atd. a tyto údaje buď odesílají, nebo vám na jejich základě nabízejí další produkty. Nejhorším případem jsou sběrači čísel kreditních karet, která tak mohou být ihned odeslána ke zneužití. Tyto programy jsou svou nebezpečností patrně horší než viry. Tyto kategorie jsou základní a nakonec se jim věnuje i jiná oblast této knihy. Nicméně oblast „mezi šedou a bílou“ (která je dle názoru autora pro profesionála takřka výhradně šedá) je nejvíce diskutabilní. Existují nejen mnohé programy, které se na této pomezní hranici nacházejí, ale i defakto slavné „kauzy“, kdy výrobce diskutabilního programu bojoval o své neumístění na seznam malwaru, neboť to by pro něj znamenalo z obchodního hlediska definitivní konec. Známé jsou také některé justiční případy v této oblasti. Ukázkovým zástupcem problematického softwaru je antivirové a anti-spywarové komunitě dobře známá fialová opička Bonzi Buddy. Pokud něco symbolizuje kvûten 2007




malware rádoby skrytý do regulérního hávu, pak je to právě tento program. Program byl poprvé „uveden na trh“ v roce 1999. Bonzi Buddy je malý roztomilý zvířecí pomocník na plochu. Přináší uživateli některé funkce pro „lepší“ použití internetu. Umí pracovat s e-mailem, vyhledávat na internetu (v „nejlepších“ vyhledávačích), umí se s vámi bavit, zpívat atd. Bonzi se s vámi zdravila, když jste přišli k počítači a ptala se, jak jste se měli celý den. Přála vám dobrou noc při vypínání PC. Zkrátka samé „užitečné“ věci, které jinak dělat rozhodně nejdou... Opička Bonzi ale byla populární i jako regulérní program. Pro amatérské uživatele mladšího věku představovala hezké zpestření jinak nudného PC, nakonec grafické ztvárnění je svým způsobem hezké a roztomilé. Mnoho uživatelů s ní bylo spokojeno, neboť program nebyl ve své komerční činnosti nijak agresivní. Také by se dalo říci, že běžný uživatel na internetu stejně používá průměrné nástroje (průměrné znalosti - průměrné nástroje), a tak pokud si Bonzi čas od času něco přesměrovala na tutéž službu ve svém podání, laik se nemusel cítit nijak dotčen. Opravdu jeden z nejhezčích a nejúspěšnějších malwarů internetové historie.

kvûten 2007




O

Zdroj: http://en.wikipedia.org/wiki/BONZI_Software

Jenže Bonzi měla i svou stinnou stránku. Neustále měnila startovací stránku Exploreru na Bonzi.com bez povolení uživatele, sbírala a odesílala různé informace o uživateli včetně jeho IP adresy (právě to se pak firmě Bonzi Software stalo osudným). Navíc instalovala do systému další své ActiveX komponenty, což představovalo další zaplevelení systému a zhoršení bezpečnosti. Ke své propagaci na internetu používal program mnoho diskutabilních praktik. Program byl označen za spyware americkým časopisem Consumer Report, výrobce toto označení důrazně odmítl. Postupně se program začal dostávat na stále více blacklistů firem, které se zabývají vývojem antispyware programů. Bonzi.exe také začal plnit různé internetové „Removal guide“, tedy weby obsahující návody na odstranění škodlivých programů. Dne 18. února 2004 Federální úřad pro obchod (Federal Trade Commission) ve Spojených státech naříkvûten 2007




dil Bonzi Software zaplatit pokudu 75 000 dolarů za porušení zákona o ochraně soukromí dětí v online sítích (Children’s Online Privacy Protection Act). Firma definitivně zanikla, web Bonzi.com byl zrušen v září 2006. Jakožto autor bych jen podotkl, že znám ve svém blízkém okolí minimálně jednu osobu, která si na svém počítači tuto krásou opičku chovala s nadšením - Bonzi byla na ploše skutečně vítaným hostem. Spor, vyvolaný mým nekompromisním požadavkem, že opice zmizí, pak vyústil v ultimátum, že se zkrátka o bezproblémový chod Windows budu starat buď já, nebo ona. Crapware aneb subjektivní hodnocení softwaru

Posuneme-li se ještě blíže skutečně hodnotnému softwaru, ale zůstaneme-li zároveň ještě jednou nohou v šedých vodách, dostáváme se do lehce kontroverzní oblasti. Je třeba říci, že tato kapitolka může zčásti obsahovat subjektivní hodnocení autora. To je ale shodné s mnoha jinými odborníky a podložené roky praxe. Jakožto autor se domnívám, že i software zahrnutý v této části je vhodné eliminovat ze skutečně důležitých počítačů, typicky v kanceláři. Co je to tedy crapware, či někdy poněkud vulgárněji „shitware“? Softwaru je dnes obrovské množství. Často se ale stává, že pět programů o sobě prohlašuje, že dělají totéž, ale jen jeden je opravdu dobře použitelný, vhodný, rychlý, spotřebovává minimum systémových zdrojů, nezobrazuje reklamu atd. Slovo „crap“ znamená v angličtině něco jako prevít, šmejd atd. Zkusme použít tuto definici: crapware je program, který vedle vlastní funkcionality jakýmko-

kvûten 2007



liv způsobem narušuje či ztěžuje práci uživatele. Jedná se tedy o programy, které správně dělají to, co mají, ale vybírají si za to od uživatele svou daň, čímž pomalu snižují uživatelovu produktivitu. Typické znaky crapwaru: - Program sice dobře dělá to, co má, ale po instalaci najdete jeho stopy tam, kde byste je nečekali. - Program na sebe převede vykonávání funkcí, ve kterých evidentně není nejlepší (různé přehrávače hudby např. začnou přehrávat i video). - Program není jeden ze dvou či tří dané kategorie, které spotřebovávají nejméně systémových prostředků a/nebo zabírají nejméně místa. - Program zobrazuje jakoukoliv reklamu. Pro důležité produkční prostředí software kupujeme či používáme dobrou opensource alternativu, bannery do práce nepatří. - Program přerostl v kolos, který nabízí snad všechny funkce, které kdy uživatel na počítači dělal. Vyhledávání, chat, prohlížení obrázků, přehrávání audia a videa, screensaver... Původní účel jako by se ztratil. - Program nabízí až přehnaně mnoho registrací na zasílání „zajímavých“ novinek na e-mail. - Program se až příliš často dodává s jiným programem, či dokonce jeho požadovaná instalace působí jako forma „platby“ za nějaký jiný program, který je „zdarma“. - Program má jakékoliv problémy s odstraněním. - Program používá různé pro uživatele limitující a evidentně obtěžující metody ochrany obsahu (různé přehrávače multimédií).

kvûten 2007




- Program využívá uzavřenost formátu či protokolu, který používá (či umí přehrát, použít) k instalci většího balíku, než je nezbytně nutné. - Program zpomaluje PC. Je evidentní, že svět „crapwaru“ není jednoznačný. Můžeme nalézt mnoho dobrých programů, které ale sem tam použijí nějakou tu nečistou „crapware“ funkci. Pojem vlastnost „bytí crapwarem“ je silně závislá na prostředí, ve kterém se program používá. Něco jiného je důležitá kancelář, něco jiného počítač dcery. Nedělejme soud nad programem jako celkem, ale ukažme si jen typické problematické funkce, nicméně u známých programů: - ICQ - komunikační program ICQ přerostl do obrovského kolosu. Pomalý start. Zabírá zbytečně mnoho paměti. Uživatelské rozhraní přeplněné. Reklamy v každém okně. Hry, obtěžující zvuky a další nesmysly. Přitom existují pro stejnou komunikační síť výborné alternativy. Například opensource Miranda - naprosto minimalistický, lehký a „dietní“ program, který umí to, co má, a dobře. Nové funkce možno dodat pomocí plug-inů. Ještě lepší alternativou je Trillian. Špičkový vzhled, několik komunikačních sítí najednou, plug-iny - výborný software. A 500 Kč za Pro verzi by nás nemělo vytrhnout, jsme profesionálové, ne teenageři. - QuickTime + iTunes - ve formátu Apple QuickTime se na internetu (v prostředí Windows) šíří jen jeden jediný druh video obsahu a tím jsou trailery na nové filmy. Pokud nejste filmový fanoušek, QuickTime patrně nebudete na Windows potřebovat. Ale pokud ano, stáváte se obětí crapware-funkcionality. Apple

kvûten 2007



totiž QuickTime distribuuje standardně jen s kolosem iTunes, který je defakto k ničemu, pokud nemáte iPod. Balík má 36 MB. QuickTime následně nainstaluje do systémové lišty vedle hodin nějaký svůj skutečně „důležitý“ ovládací program, asociuje se s mnoha soubory atd. Pokud potřebujete QT pro profesionální práci s videem, rozhodně neváhejte sáhnout do peněženky a koupit Pro verzi. Možností je také program QuickTime Alternative, který ovšem čas od času nezvládne přehrát nějaký soubor, pokud Apple vydá novou verzi formátu. - BSPlayer - BSPlayer byl svého času naprosto špičkový program na přehrávání videa. Tvůrci bohužel marketingově nezvládli jeho úspěch a do free verze přibalili zobrazovač reklam s názvem „WhenUSave“. Antivirové programy ho detekují jako malware. Doporučujeme PRO verzi. - Real Player - Real je dalším ukázkovým příkladem problematického programu. Obdobně jako QuickTime těží ze znalosti Real Media formátu, který umí jako jediný přehrát a který se na internetu někde používá. Mimo toho nenabízí integrace s minoritním audio obchodem Rhapsody.com nic zajímavého, snad jen některé jeho verze, které jsou opět „balíkem zbytečností“. V Real Playeru můžeme nalézt třeba i download manager pro „pohodlné“ stahování souborů z internetu atd. Existuje i Real Alternative, který má stejný problém jako již zmíněný QuickTime Alternative. Shrňme si tedy obsah této kapitoly až do tohoto bodu do několika základních bodů: - Na internetovém uživateli se dá (nejčastěji) pomocí reklamy velmi dobře vydělat.

kvûten 2007




- Komerční hodnotu má i samotný počítač připojený k internetu. - Především první výše uvedený bod někteří „šedí“ výrobci používají jako alternativní způsob získávání finanční odměny za software, který poskytují zdarma. - Aby vás mohl ziskuchtivý subjekt takto využívat, potřebuje si na váš počítač nainstalovat svůj „reklamní“ program. Bez toho žádné velké obtěžování není možné, snad jen s výjimkou reklamy na webových stránkách, které jsou pryč, jakmile zavřeme prohlížeč. - Takřka každý program obsahuje chyby, i bezpečnostní. Programy komunikující po internetu (prohlížeče, e-mailoví klienti) obsahují chyby také. Některé chyby umožňují místo čisté práce s daty „přitáhnout“ na uživatelův počítač program „inzerenta“ a spustit ho. - Stejného spuštění lze docílit i za větší či menší asistence uživatele. Tyto programy se různě maskují (například jmény jiných, známých programů) ve snaze podvést uživatele. Pokud máte na svém počítači spyware, malware či jinou podobnou havěť, pro každý jednotlivý kus tohoto softwaru platí, že jednou v minulosti muselo dojít ke spuštění tohoto programu buď přímo vámi (vědomě či nevědomě), nebo pomocí chyby v jiném programu. To byl zlomový okamžik, před kterým byl váš počítač „čistý“ a po kterém mohl malware váš počítač neomezeně ovládnout (u většiny uživatelů mají všechny programy všechna systémová oprávnění). Realita běžného uživatele, respektive především jeho domácího počítače, by se dala shrnout větou „reinstalace jednou ročně“. Tím se myslí, že operační systém kvûten 2007



se za nějakou dobu stane nepoužitelným, především pod tíhou velkého množství škodlivých programů všeho druhu. Na závěr této první, teoretičtější části kapitoly se vrátíme na její samý začátek a čtenářům, kteří tuto realitu znají ze své zkušenosti či ze zkušenosti někoho blízkého, řekneme, že něco takového je absolutně zbytečné. IT profesionálové si užívají pohodlí několika let bez jediné reinstalace Windows z důvodů virů, červů či spyware.

kvûten 2007


kvûten 2007




8/12.4 ZAČÍNÁME S BEZPROBLÉMOVÝM PC

Jak se tedy začít k počítači chovat, pokud nechceme být otroky nefunkčností? Čtenář od nás dostane nejprve zdarma jednu či dvě rady, které s bezpečností přímo nesouvisejí. Rada první: kupte si značkové PC. Bezproblémové PC začíná u kvalitních komponent s kvalitními ovladači. Porovnejme situaci značkového a na objednávku sestaveného PC. V druhém případě si po konzultaci s dodavatelem zvolíte jednotlivé komponenty. Firma PC sestaví, otestuje pomocí svých testovacích nástrojů a předá. Znakem takovéhoto PC je krabice, kde je ke každé komponentě nějaký manuál a CD s ovladači. Pokud máte někde doma takovouto krabici plnou „cédéček k počítači“, je to ono. Pokud si ovšem koupíte značkové PC (HP, IBM, Fujitsu-Siemens), nemáte takový výběr v případě komkvûten 2007




ponent. Značková PC se prodávají tak, jak jsou sestavená v ceníku. Změny jsou možné jen drobné, např. přidání RAM. Jakékoliv úpravy mohou být problematické - např. i banality typu přidání větráků k diskům. Díky tomu, že výrobce třeba používá jiné skříně a jiný systém montování disků (špičkové manuální sloty, šroubovák léta nebudete potřebovat), na další větrák nebude místo. Z toho ovšem plyne obrovská výhoda v tom, že máte stejný počítač jako několik desítek tisíc lidí na celém světě. Nakonec, tato publikace je určena pro profesionály, ne pro kutily. Instalace značkového PC probíhá následujícím způsobem: zapnete počítač a přesně nakonfigurovaný instalátor nainstaluje Windows takřka bez vašeho jediného zásahu. Jakýkoliv problém s hardwarem je nemožný. Neexistuje, aby byť jen jediné zařízení nebylo rozpoznáno a nemělo nainstalovaný perfektně funkční ovladač. Instalace navíc probíhá z disku, je tedy hotova za deset, maximálně dvacet minut. Pokud byste v budoucnu instalovali systém z instalačního CD/DVD, máte ke značkovému počítači typicky druhé (nikoliv druhé, třetí, čtvrté, desáté) CD se všemi ovladači, které nejsou na instalačním CD Windows od Microsoftu (jsou na instančním CD Windows, které jste dostali k počítači). Například Fujitsu-Siemens má na tomto druhém CD instalační utilitu, která přehledně zobrazí, jaké ovladače v systému chybí, a umožní je všechny nainstalovat jedním kliknutím. Rada druhá: používejte legální software. Zavedením Windows Genuine Advantage Microsoft velmi znepříjemnil život všem, kteří mají na svém počítači nelegální kopii Windows. WGA vyžaduje ověření pravosti při stažení každé důležitější aktualizace či utility

kvûten 2007



z webu Microsoftu, bez legální kopie budete ochuzeni o důležité bezpečností záplaty a jiné nástroje. S Windows, které jsou co se aktualizací týče ve stavu zavedení WGA, nelze nijak produktivně řešit jejich zabezpečení. Mimochodem Windows dodané na značkových počítačích jsou často předem ověřeny a žádnou takovou akci po uživateli nevyžadují. Ve skutečnosti ani nemusíte při instalaci zadávat licenční číslo produktu.

kvûten 2007


kvûten 2007



část 8, díl 12, kap. 4.1, str. 1 díl 12, Osobní počítač bez červů, virů, spyware a problémů

8/12.4.1 DOMÁCÍ PC POPRVÉ - FIREWALL

Právě jsme doinstalovali Windows včetně veškerých dostupných ovladačů, popřípadě bezpečnostních aktualizací dodaných na CD. Nyní je třeba se připojit k internetu a doinstalovat ostatní aktualizace. Než připojíte síťový kabel, podívejte se do Ovládacích panelů - Brána firewall, zda je zapnutý Firewall (ve Windows XP, kterými se zabýváme). Pokud z nějakého důvodu není, zapněte jej. Až nyní připojte PC. Důvodem je, že pokud se v době instalace pohybuje na internetu ve zvýšené míře nějaký červ, může trvat i jen pár minut, než bude váš počítač napaden. Zapnutím alespoň standardního firewallu ve Windows se tato možnost silně minimalizuje. Poté můžete pustit Windows Update a doinstalovat bezpečnostní a jiné aktualizace systému. Při této příležitosti se zmiňme o síti, ke které se připojujete. Tato část je míněna především pro domácí uživatele. Je pravda, že často nejlepší možností, jak se kvûten 2007

část 8, díl 12, kap. 4.1, str. 2



chránit proti útokům zvenčí, je nemít veřejnou IP adresu. Tedy být za routerem a mít pro svůj počítač pouze lokální IP adresu. Pro uživatele sice přibývají starosti s routerem, ale když někdo na druhé straně země napíše do prohlížeče (telnetu) IP adresu, pod kterou se jevíte okolnímu internetu, připojí se na router, nikoliv na váš počítač. Smutnou pravdou bývá, že spojení „IT laik“ a „veřejná IP“ často znamená bezpečnostní pohromu. Většina routerů pro použití v domácnostech či malých kancelářích obsahuje (přes všechny své problémy) nastavení pro jednoduchý firewall a router implementující NAT (překlad IP adres) sám způsobí vaši nedostupnost zvenčí. Pokud se připojujete k internetu tímto způsobem, svůj počítač často nepřenášíte a důvěřujete své lokální síti, můžete zapomenout na veškeré softwarové firewally na svém počítači. Můžete vypnout tak či onak problematický firewall a zrušit upozorňování na tuto skutečnost. Je třeba ale říci, že tato rada je čistě subjektivním názorem autora na základě zkušeností. Většina IT profesionálů by rozhodně volila router s NAT a PC bez firewallu než veřejnou IP počítače jako takového a jakýkoliv softwarový firewall. Dnes existuje mnoho zařízení, která kombinují jak modem pro dané připojení, tak router pro připojený počítač. Každý odborník ví, že kvalita těchto domácích zařízení není nikterak oslnivá, nicméně pro méně či středně náročnou práci s internetem se dají použít. Tato kombinovaná zařízení je občas nutné jako router nastavit, tj. typicky zapnout DHCP server. Je třeba upozornit čtenáře, kteří by to nevěděli, že NAT bude vyžadovat, abyste funkčnost některých internetových služeb na routeru speciálně nakonfigurovali (typicky různé P2P sítě). Pak je třeba manuálně nakvûten 2007



stavit přesměrování portů. To způsobí, že router propustí provoz na některých portech na váš počítač. Bez softwarového firewallu na svém počítači se neobejdete, pokud hrozí nebezpečí nákazy ze sítě, ke které se připojujete. Například při cestování s notebookem, nebo pokud stejný router používá „nezbeda“ s počítačem prolezlým malwarem. Dalo by se říci, že jsme touto kapitolou „sprovodili“ ze světa nutnost používat firewall. Samozřejmě tomu tak není. Tato kapitola rozhodně není kapitolou o firewallech příručky BPS, tento oddíl najdete jinde. Co se dočtete zde, jsou jen základní jednoduché rady, pomocí kterých si každý může užívat bezproblémové práce s PC, bez strachu z bezpečnostních problémů. Specializované technické informace o probíraných tématech jsou v příslušných kapitolách na jiných místech.

kvûten 2007


kvûten 2007




8/12.4.2 DOMÁCÍ PC PODRUHÉ - PROHLÍŽEČ

Abyste mohli slavit pěti- či desetiletá jubilea počítače bez škodlivých programů, je třeba udělat několik nepopulárních opatření. Hlavním z nich je odstavení Internet Exploreru jakožto vašeho standardního prohlížeče. Tento krok není absolutně nutný, Internet Explorer lze používat bez bezpečnostních rizik. Jde o to, že čtenář, který není absolutním odborníkem, bude s jiným prohlížečem vždy alespoň o trochu klidnější. Důvody jsme uvedli v první části kapitoly. V drtivé většině případů budete moci s Operou či Mozillou bez nejmenších obav dělat věci jako: - hledat cracky a jiné ilegální programy na serverech jako mscracks.com, - procházet jakékoliv erotické stránky, - hrát v internetovém kasinu.

kvûten 2007




Jak již čtenář odtušil, z alternativních prohlížečů máme na výběr Operu (http://www.opera.com) a Firefox (http://www.getfirefox.com). Firefox je populárnější především v komunitě počítačových fandů, programátorů atd. Jeho výhodou je obrovské množství doplňků, pomocí kterých si do programu můžete nainstalovat nepřeberné množství funkcí. Nevýhodou Firefoxu jsou jeho paměťové nároky a oproti Exploreru a Opeře viditelně menší rychlost - nikoliv stahování stránek, ale uživatelského rozhraní obecně. Takřka u všeho jsou reakce v řádu desetin sekund, tedy pozorovatelné zpoždění. Je to dáno technologií, jakou je Firefox naprogramován. Opera má mezi prohlížeči pro Windows nejmenší zastoupení (kolem tří až čtyř procent), nicméně kvalitativně se minimálně vyrovná Firefoxu. Navíc standardní instalace Opery obsahuje mnoho funkcí, které najdeme u Firefoxu jen daleko hůře implementované v doplňcích (ty je třeba najít a nainstalovat). Opera je celkově uživatelsky přívětivější, na funkce bohatší a hlavně se jedná o nejrychlejší prohlížeč vůbec. Nevýhodou je absence jakýchkoliv lepších doplňků, proto programátoři tak často používají Firefox. Z hlediska bezpečnosti nabízejí obě alternativy v principu totéž - především nízké množství (hledaných a) objevených bezpečnostních chyb, různé další standardně zapnuté bezpečnostní funkce, které Internet Explorer implementoval až později (např. blokování vyskakujících oken). Druhý pilíř bezpečnosti je samozřejmě v aktualizacích - nový build Opery si čistě teoreticky můžete stahovat několikrát týdně (http://my.opera.com/desktopteam/blog/), Firefox víceméně také, ale tam nejsou nové vývojářské verze tak jednoduše dostupné uživatelům ke stažení (vývojovou kvûten 2007



větev 3.0, která je v době psané této kapitoly v alfa verzi, zatím nelze pro běžnou práci doporučit). Nicméně co se týče bezpečnostních oprav, ani jeden z prohlížečů není poslední dobou (duben 2007) nucen vydávat nějaké urychlené opravy, stačí běžné aktualizace s jistým časovým odstupem, opravujícím jen potenciální problémy. Oba prohlížeče vám dovolí ze svého prostředí zjistit dostupnost nové verze (Firefox i nových verzí všech nainstalovaných doplňků). Ještě předtím, než se podíváme, jaké zásady dodržovat při vlastním surfování, odpovězme si na otázku, co s Internet Explorerem.

Co dále s prohlížeči

Explorer je nedílnou součástí Windows a sami jej potřebujeme. Minimálně pro ty případy, kdy potřebujeme na webové stránce spustit ActiveX prvek (pouze IE podporuje tuto Microsoftí technologii). To se stává ve dvou případech: - Potřebujeme systém manuálně aktualizovat pomocí Windows Update (aktualizace se nám nestahují automaticky). WU v tomto případě běží v prohlížeči pomocí ActiveX prvku. - Potřebujeme využít nějakou jinou ActiveX komponentu, např. v rámci nějaké firemní infrastruktury. Může se jednat například o webový Terminal Services klient. Tedy s IE není třeba nic dělat, jen si pro naši bezpečnost (a pohodlí) zvykněme na Operu nebo Firefox. Otázka, která možná mnohé napadne, zní, zda nemůžeme čekat nějaké problémy s webovými stránkami, které jsou „optimalizovány“ pro IE. Odpovědí je, že jestli takováto situace nastane, bude to v tak mizivém případu, že celkové výhody alternativního prohlížeče kvûten 2007




vysoce převáží nad jednou či dvěma stránkami ročně, které vždy můžeme „spravit“ použitím Exploreru. Speciálně Firefox je v programátorské komunitě považován za prohlížeč, na kterém je nutné web otestovat. Ve skutečnosti skupina takzvaných „A-grade“ prohlížečů (prohlížečů první třídy) obsahuje Internet Explorer 6 a 7, Operu 9+, Firefox 1.5+ a Safari. Obecně je označení „alternativní“ v tomto smyslu lehce nevyhovující. Jak již bylo řečeno, doslova zde platí zákony menší, dravé, inovující konkurence. Firefox je absolutní jedničkou v implementaci nových technologií a standardů a programátory je považován v tomto ohledu za referenční prohlížeč, Opera vyniká úžasnou rychlostí a velkým množstvím implicitně obsažených funkcí. Poté, co jsme si v Exploreru stáhli nový prohlížeč a nainstalovali jej, je dobré jednou provždy vyřídit jeho plug-iny. Tím se zde myslí rozšíření třetích stran, např. pro přehrávání videa a různých animací, nikoli doplňky uživatelského rozhraní. Typický uživatel potřebuje, aby jeho prohlížeč: - bez problémů zobrazoval flashové objekty, - bez problémů přehrával video pomocí do stránky vloženého Windows Media Playeru. Oba tyto plug-iny lehce doinstalujete po jejich stažení z webu výrobce. Mezi další plug-iny, které někteří uživatelé potřebují, patří Shockwave a QuickTime přehrávače. Shockwave umožní zobrazovat ve webové stránce (mj.) pokročilou 3D grafiku, o QuickTime již byla řeč. Výše uvedená čtveřice je víceméně vším, co je běžně po prohlížečích požadováno. To je důležité z důvodu, kvûten 2007



kterým se budeme brzy zabývat. Pokud se totziž webová stránka snaží nabídnout cokoliv jiného, patrně se jedná o podvod. Bezpečné prohlížení i těch nejproblematičtějších webových stránek není zase tak obtížné. Stačí pochopit základní koncepty z teoretické části této kapitoly, tj. uvědomit si, jak se může malware do počítače dostat. Jedině spuštěním nějakého programu. Zneužití chyby jsme již minimalizovali prohlížečem, zbývají tedy situace, kdy je třeba většího či menšího povolení uživatele. Bez ohledu na prohlížeč připadají v úvahu následující možnosti spuštění cizího programu: - jako ActiveX, - jako „skvělý“ doplněk prohlížeče či systému. - Stránka normálně zobrazí dialog „souboru ke stažení“ a vyzve vás k jeho spuštění. - Stránka vám jakoby odmítne zobrazit obsah s tím, že nemáte nainstalován příslušný plug-in, kodek atd. Typicky různé „narůžovělé“ servery. - Stránka vám podstrčí ke stažení malware před jiným souborem, který skutečně chcete. Typicky různé cracky softwaru.

Bezpečné prohlížení internetu

První případ by měl nastat jen v případě používání Internet Exploreru, který je špatně nakonfigurován (spouštění cizích ActiveX lze zakázat). V druhém případě se může jednat o program na první pohled neškodný. Existuje například známý malware, který ukazuje vpravo dole u hodin aktuální počasí a venkovní teplotu ze serveru Weather.com. Stejně tak různé „zdarma“ screensavery, sady smajlíků do e-mailů atd. Typickým malwarem jsou také lišty do prohlížečů, které vám vedle tlačítek Vpřed, Zpět, Domů kvûten 2007




atd. přidají další panel s „úžasnými“ funkcemi. Důvěryhodné jsou lišty od hlavních vyhledávačů a portálů (Seznam Lištička, Google Toolbar atd.). V třetím případě platí, že žádné přehrávače, kodeky atd. nikdy neinstalujeme na vyžádání nějaké webové stránky, respektive ne z adresy, kterou nám stránka nabídne. Pokud zjistíme, že se nám nějaké video nepřehrává, zjistíme si technické informace o daném formátu a nainstalujeme kodek či plug-in z oficiální stránky jeho výrobce. Čtvrtý případ je lstivý. Pokud budete surfovat po „problematických“ stránkách a občas něco stáhnete, provozovatel se vás čas od času bude snažit přelstít a místo chtěného souboru vám podstrčit malware. Typicky to bývá na serverech obsahujících cracky, umožňující plnohodnotně používat ilegální kopie programů. Mimo jiné z tohoto důvodu opět doporučujeme ilegální software opustit. Po kliknutí na „Download“ se často zobrazí nová stránka s dialogem vyzývajícím ke stažení, nějaký obecný „crack.exe“. Ale tento crack je jen spyware a skutečný odkaz je až na této nové stránce. Laikům rozhodně nelze doporučit stahovat nic ze stránek s problematickými tématy. Jak již bylo řečeno, ilegálnímu softwaru se vyhněme. Jak je vidět, všechny vyjmenované způsoby jsou defakto stejné: podvodná stránka nabídne uživateli něco ke stažení a on z nevědomosti souhlasí. Dá se říci, že 99 % bezpečnosti je skryto v kliknutí na tlačítko „Storno“ v těchto situacích. Právě proto jsme po instalaci prohlížeče ověřovali, zda máme k dispozici veškeré potřebné plug-iny, abychom si později mohli být jisti, že žádný jiný stahovat nebudeme.

kvûten 2007



Čas od času se může stát, že se některá videa v prohlížeči nepřehrají, vždy ale nezapomeňme stahovat jen dobře známé kodeky a plug-iny z jejich originálních umístění. Mnoho mohou také vyřešit balíky kodeků (ale pozor, některé z nich jsou rozhodně crapware!). Dá se říci, že s dobrým prohlížečem si malware z internetu stahujete vždy sami. Prohlížeč jako takový je podstatně komplikovanější program, než by se mohlo jeho běžným uživatelům zdát.

Skriptování v prostředí prohlížeče

V prvních počátcích éry world wide webu byl browser jednoduchý „formátovač textů“. Vstupem byl HTML kód, výstupem zformátovaný dokument, doplněný o obrázky, barvy, písma atd. Jak požadavky rostly, jazyk HTML se stále rozšiřoval o nové a nové vlastnosti, což ale nic neměnilo na tomto jednoduchém schématu. Zlom vznikl v momentě, kdy prohlížeče implementovaly skriptování. Tedy defakto programování. V té chvíli totiž přestalo jít jen o jednoduchý interpret dat - prohlížeč se znenadání stal platformou pro běh jiných aplikací a v dnešní době můžeme říci, že vedle Windows, Linuxu, Mac OS platformou velmi úspěšnou (mnoho programů, které jsme kdysi používali v desktopové verzi, dnes běžně najdeme na webu, kde je můžeme používat stejně dobře právě prostřednictvím prohlížeče). Málokdo z ne-programátorů si dokáže představit, jak složitý a komplexní software takový operační systém - tedy „rámec“ pro běh jiných programů - je. Impelmentace toho všeho „v malém“ do prohlížeče zcela převrací jeho původní myšlenku. Jednoduchá úloha kvûten 2007




„přečti data, rozvrhni elementy na stránce a pak to vykresli“ dnes tvoří jen úplný základ - prohlížeče spravují události, skripty, objekty, které programátor naprogramoval, AJAXová volání, funkce, proměnné, vzájemné interakce prvků (oken, knihoven...). Jestliže můžeme (javascriptové) programování označit za jednu větev platformy, pak možnost vložit do stránky defakto jakýkoliv jiný program - Windows Media Player pro přehrávání videa, Flash Player, obsluhu ActiveX a Javy - druhou. Skutečně, napíše-li webový kodér do zdrojového kódu webové stránky , popřípadě již ztastaralé a proprietální <embed>..., může specifikovat jakýkoliv externí zdroj (video, audio, flash...), a pokud má prohlížeč v sobě nainstalované plug-iny pro zobrazení tohoto formátu, uživatel jej uvidí (uslyší). Co se týče bezpečnosti, s lehkou nadsázkou by se dalo říci, že mnoho problémů, speciálně v Internet Exploreru, vzniklo, tím „jak se to všechno trochu přehnalo“. Na začátku této kapitoly jsme mluvili v historických souvislostech o masivním „pumpování“ megalomanských ActiveX a Java apletů do prohlížečů a mnoho bezpečnostních chyb IE má své kořeny v tom, že to tenkrát muselo být na tyto technologie připraveno. Operační systém Windows byl najednou plný ActiveX komponent, které byly protlačovány i do běžného desktopového programování, naopak skriptovací jazyky JavaScript a VBScript, v té době určené pro web, se začaly šířit mimo prohlížeč, ve Windows. Každý takovýto skript může využít jakýkoliv ActiveX objekt, který má v počítači k dispozici, a jelikož ActiveX není vlastně nic jiného než jistým způsobem sestavený kvûten 2007



běžný program, tento skript má k dispozici obrovské možnosti (ActiveX na práci s filesystémem, s poštou, s Registry...). Hráz mezi regulérním použitím této technologie v lokálních skriptech a podvodným ve webové stránce byla všehovšudy v nedokonalé implementaci bezpečnostních zón, které můžete vidět v nastavení Internet Exploreru. Postupem času se objevily desítky, možná až stovky různých triků, jak spustit svůj kód s ActiveX v kontextu jiné, volnější zóny. V dnešní době je situace Internet Exploreru podstatně lepší. Především service pack šesté verze přinesl radikální bezpečnostní změny (mnoho odborníků říká, že tento SP byl defakto IE 6.5) a především lze prohlížeč „odolně“ nastavit. Z hlediska Microsoftu je ale škoda, že se tehdy nepovedlo nějakým zásadnějším způsobem oddělit „lokální web“ a internet jako takový, aby ActiveX, když už tedy tato technologie musela být tenkrát zavedena, byla dostupná pro lokální použití, ale s (cizím) webem neměla vůbec nic společného. I kdyby měly existovat třeba prohlížeče dva. Zkrátka tento koncept „jen tak“ dostupný pro široký, otevřený web byl chybou. Konkurence IE dnes v oblasti bezpečnosti těží z faktu, že ActiveX nepodporovaly, nepodporují a podporovat nebudou.

kvûten 2007


kvûten 2007




8/12.4.3 DOMÁCÍ PC POTŘETÍ - E-MAIL

Třetím styčným bodem našeho PC s okolním světem je e-mailová schránka, kde se mimo regulérní pošty hromadí viry a různá jiná havěť. Stejně jako v minulých případech se zde budeme snažit vhodným chováním uživatele minimalizovat nejen bezpečnostní problémy, ale i nutnost se zabývat externími programy pro ochranu před nechtěnými vetřelci. Není žádným velkým překvapením, že způsob našeho přístupu bude v tomto případě obdobný jako u prohlížečů. E-mailový klient má jakožto program takřka stejné problémy jako webový prohlížeč. Pracuje s daty, soubory v přílohách a obsahuje chyby. Pokud se chceme obejít bez co možná největšího množství bezpečnostního softwaru, musíme dodržovat zásady opět velmi podobné těm, o kterých jsme mluvili u prohlížečů: - Pokud můžeme, zkusme alternativního e-mailového klienta. kvûten 2007




- Podívejme se, zda nám nemůže poskytnout ochranu někdo jiný, třeba provozovatel naší e-mailové schránky. - Inteligentně a se znalostmi přistupujme k e-mailům, které nám do schránky dorazí (konečné rozhodnutí, zda otevřít přílohu, je stejně na nás). Nejznámější poštovní klienti v dnešní době jsou Microsoft Outlook a Microsoft Outlook Express. Mezi těmito dvěma programy existuje ale propastný rozdíl. Microsoft Outlook je patrně nejpropracovanější systém na správu osobní agendy a komunikaci, který lze pod Windows vůbec najít. Je defakto nenahraditelný. Pokud vaše firma používá Microsoft Exchange, budou vám Outlooky všeho druhu (desktopový, mobilní, webový) dohromady fungovat špičkově. Pokud jste ale běžný uživatel, jehož schránka není „napojena“ na žádný další systém a zkrátka jen chcete „odesílat a přijímat e-maily“, můžete si vybírat z mnoha klientů. Micorosft Outlook Expres patří k nejznámějším z nich, neboť je k dispozici zdarma ve standardní instalaci Windows. Jeho nástupce ve Windows Vista se jmenuje Mail či Windows Mail. Outlook Express patří k bezproblémovým klientům. Nenabídne nějaké velké množství funkcí, na druhou stranu také nepostrádá nic skutečně zásadního, bez čehož by běžný uživatel nemohl poštu používat. Co se bezpečnosti týče, obdobně jako u prohlížečů můžeme téma jednoduše shrnout do již známých bodů: - v minulosti měl vážné bezpečností problémy,

kvûten 2007



- současný stav je daleko lepší, dá se bezpečně používat, - ale stále byl, je a bude cílem hledání děr, - některé alternativy jsou funkčně daleko, vybavenější. Konkurenci OE nemusíme dlouho hledat, jeden program je takřka ihned k dispozici - Thunderbird, sesterský produkt Firefoxu. Možná by čtenáři čekali, že na tomto místě bude program vychvalován - není tomu tak. Jedná se o naprosto stejného „OK“ klienta jako OE, který má nějaké funkce navíc, v jiných zas vyniká OE. Obdobně jako Firefox mohl těžit z nejhorších dob e-mailové bezpečnosti (automatické otvírání příloh v OE před mnoha lety...), což mu se štíhlostí a technologickou jednoduchostí dává solidní bezpečnostní základ. Je zdarma a česky. Stahovat jej můžete na adrese http://thunderbird.czilla.cz/. Podívejme se ale na e-mailového klienta trochu většího kalibru, kterým je velmi známý The Bat. The Bat se drží jedné zásady: funkce. Je až k nevíře, co všechno lze v tomto programu nastavit či upravit, a pokud s ním začne pracovat uživatel-amatér, patrně nikdy nevyužije více než dvacet procent funkcí, přičemž i tu druhou desítku bude objevovat postupně rok, možná dva. The Bat je velmi oblíbený mezi profesionály, kteří často pracují s internetem a jejichž denním chlebem jsou vysoké dávky e-mailové komunikace. Tento program bohužel (tedy vlastně „pochopitelně“) není zdarma, jedna licence uživatele přijde na 1500 Kč bez DPH. Vše potřebné ke stažení a nákupu najdete na http://www.thebat.cz/. Ještě zbývá dodat, že si program můžete zdarma po dobu třiceti dnů vyzkoušet. Pokud je objem vaší e-mailové komunikace řekněme „střední“, jste pány svého PC a rádi si užíváte svobodu kvûten 2007




a nezávislost, můžete zkusit čistě webové řešení. Tedy žádného e-mailového klienta nepoužívat a spravovat poštu přes webový prohlížeč. Ukážeme si, jaké jsou varianty a výhody. Mnoho čtenářů může v této chvíli „kroutit hlavou“ s tím, že webový program přeci v žádném případě nemůže nahradit klasickou, solidní desktopovou aplikaci. To je ale pravda jen částečně. Pokud hledáte webovou náhradu Outlooku, skutečně neuspějete (nepočítáme-li Micorosoftí Outlook Web Access, který použijete jen s MS Exchange). Pokud vám ale stačí Thunderbird či The Bat a nemáte vysloveně stovky (skutečných) mailů denně, dejte webovému řešení šanci. Ještě před pár lety by nikdo neodhadl, že jednou budou uživatelé pro webovou alternativu opouštět desktopovou aplikaci. Dnes je to realitou a zmíněnými cíly jsou webová e-mailová rozhranní GMail (který tuto revoluci vlastně celou začal) a Yahoo Mail. Na paty jim šlape ambiciózní Microsoft Live Mail, který pomalu vzniká z původního Hotmailu. Všechny tyto projekty těží z AJAXové technologie, kterou popisujeme v jiné kapitole této publikace. Díky tomu poskytují takové pohodlí při práci se zprávami, že produktivita uživatele touto platformou neutrpí. Jak již bylo řečeno, existují tisíce uživatelů, kteří opouštějí své Outlook Expressy a Thunderbirdy, aby přešli na famózní webový GMail (Google Mail). Druhým ze tří bodů je potenciální možnost využití bezpečnostních ochran někoho jiného. Tak například drobné firmy, které využívají e-mailový prostor na své doméně a POP servery hostingové společnosti se mohou zeptat, zda tento provozovatel na své straně imkvûten 2007



plementuje nějaké antivirové řešení. Klasikou je antivirový systém ClamAV, který je zdarma a vyniká právě při scanování elektronické pošty na straně serveru. Toto je opatření číslo jedna, které zabrání vpádu virů do vaší e-mailové schránky. Není lepšího způsobu řešení problému než zdarma využívat tu službu, která v sobě řešení již obsahuje. Ještě o stupeň lepší služby nabízejí právě tři zmínění velcí weboví hráči. Speciálně GMail je znám jak nekompromisním filtrováním příchozích virů, tak jedním z nejlepších antispamových řešení. Uživatelé často říkají, že poté, co si přesměrovali poštu na GMail, doslova neznají pojem spam, neboť ho ve schránce nacházejí i méně než předtím na desktopu, kde používali komerční antispamové řešení. Konkurenční výhoda firem Google, Yahoo a Microsoft je v tom, že mohou miliony spamů, které do všech schránek uživatelů jejich služeb chodí, využít k dalšímu zlepšení svých automatických filtrů („učení“). Aplikace samozřejmě obsahují také tlačítka „Report spam“ a „Není spam“, takže i když se software náhodou splete (což se stává několikrát do roka), můžou ho uživatelé „opravit“ tak rychle, že se tato chyba projeví jen několika desítkám či stovkám uživatelů. Co se týče antivirového řešení, GMail standardně kontroluje všechny přílohy, ve kterých by se mohl vir vyskytovat. Konkrétně při zobrazení zprávy vám nejprve vůbec nedovolí přílohu stáhnout a na místě odkazu zobrazí text „Probíhá antivirová kontrola“. Teprve po dvou třech sekundách se zobrazí odkaz ke stažení. Konkrétně GMail můžete použít ke správě již existující schránky - není třeba tedy měnit e-mail. Jen musíte zajistit, aby se vám na současném serveru veškeré kvûten 2007




zprávy přeposílaly na nově založenou schránku na GMailu a na něm si založit alternativní účet s názvem vaší původní schránky (e-mailu) a nastavit ho jako výchozí. Zprávy pak budete psát pod svou původní adresou a budou vám docházet na původní adresu. Jen k jejich čtení budete používat bezpečný GMail. Vsuvka: odesílatel a příjemce e-mailu

Píšeme-li kapitolu, která má být obsahově blíže běžnému uživateli, nelze vynechat známý „fenomén“, který je programátorům zřejmý, ale běžný uživatel jej považuje takřka za zázrak. Tím je mechanismus funkce e-mailových „hlaviček“ From: a To: v elektronických zprávách. Slovo hlaviček je zde úmyslně v uvozovkách, protože nehledě na všeobecné povědomí tyto údaje žádnými řídicími informacemi nejsou, a než se zpráva dostane k adresátovi, nemají na celé dění takřka žádný vliv. Ukažme si příklad, jak e-mailový klient komunikuje se serverem odchozí pošty (SMTP server). Celá situace je zjednodušená, vlivem různých autentizačních rozšíření protokolu se může lehce měnit pořadí a mohou přibýt nějaké řádky, zásadní kostra ale přesně odpovídá původnímu duchu a návrhu SMTP protokolu. Tedy po připojení k němu si oba dva stroje vymění přibližně následující sadu „vět“ (příklad z http://en.wikipedia.org/wiki/SMTP): S: 220 www.example.com ESMTP Postfix C: HELO mydomain.com S: 250 Hello mydomain.com C: MAIL FROM:<[email protected]> S: 250 Ok C: RCPT TO: S: 250 Ok C: DATA

kvûten 2007




S: 354 End data with . C: Subject: test message C: From: [email protected] C: To: [email protected] C: C: Hello, C: This is a test. C: Goodbye. C: . S: 250 Ok: queued as 12345 C: QUIT S: 221 Bye Údaje, které „říká“ server (klient), jsou označeny písmenem S (C). Projděme si komunikaci. Po připojení se komunikující strany identifikují a pozdraví (HEL(L)O). Následně klient uvede, kdo je odesílatelem dané zprávy (MAIL FROM). Poté zadá adresáta či adresáty. To jsou skutečně důležité parametry celé zprávy. Především adresáti - adresát je totiž jediný údaj, který při posílání zprávy nelze vynechat. Všechny ostatní jsou do jisté míry „postradatelné“. Za řádkou „DATA“ se nachází data, tedy obsah zprávy. Teprve zde ale vidíme ty „naše hlavičky“, které tak dobře známe z poštovních programů - Form, To a Subject neboli Od, Komu a Předmět. Skutečnost je taková, že tyto údaje mají asi takovou váhu ve vztahu ke skutečnému odesílateli a adresátovi, jako kdyby e-mail začínal slovy: „Tento dopis napsal [email protected] a je určen kamarádovi [email protected]“. Nemají žádnou skutečnou hodnotu v systému posílání zpráv. Například správce e-mailové konference může nastavit, že do schránek účastníků budou chodit zprávy v takovém tvaru, kdy bude v poli To: uvedeno „Účastníci konference“. Stejně tak lze změnit pole From. kvûten 2007




To je tedy elementární důvod, proč nejenže žádným údajům v e-mailu nelze věřit, ale dokonce bychom se nad možností jejich zfalšování neměli nijak podivovat. Fakt, že takto elektronická pošta prostě funguje, by se měl stát elementární znalostí každého, kdo ji používá. Pokud si naše čtenáři chtějí zahrát na malé podvodníky, prozradíme, že v mnoha poštovních programech lze běžně zadávat dané „From“ pole v nastavení účtu. Především v souvislosti s bojem proti spamu existuje několik technologií (možná spíše „náhražek“), jakým způsobem u každé zprávy ověřit jejího skutečného odesílatele (MAIL FROM), např. jakožto klienta nějakého internetového providera nebo hostingové firmy. Nicméně From: a To: budou vždy fungovat takto. Zkrátka, protokol SMTP - Simple Mail Transfer Protocol - je simple.

kvûten 2007

12 OSOBNÍ POČÍTAČ BEZ ČERVŮ, VIRŮ, SPYWARE A PROBLÉMŮ

Recommend Documents