Komplexní zabezpečení PC

Bankovní institut vysoká škola Praha, a.s. Katedra matematiky, statistiky a informačních technologií

Komplexní zabezpečení PC Bakalářská práce

Autor:

Jiří Klíma, DiS. Informační technologie, Manaţer projektů IS

Vedoucí práce:

Praha

Ing. Vladimír Beneš

Leden, 2012

Prohlášení

Prohlašuji, ţe jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Milevsku, dne 1. 12. 2011

Jiří Klíma

Poděkování Děkuji vedoucímu mé bakalářské práce panu Ing. Vladimíru Benešovi za cenné rady a znalosti, které mi poskytl v průběhu zpracování. Další poděkování patří mé rodině, která mi poskytla podmínky pro práci.

Jiří Klíma

Anotace Bakalářská práce popisuje moţná napadení výpočetních systémů a to, jak vnitřní, tak vnější a moţnosti, jak se těmto útokům bránit. První kapitola je věnována vnitřním hrozbám, se kterými se můţeme setkat ve firmách, kde jsou páchány ve velké míře vlastními zaměstnanci. Další část kapitoly je zaměřena na obranu před těmito útoky a jak jim předejít. Ve druhé kapitole jsou obsaţeny útoky, které jsou prováděny na výpočetní systém z vnější sítě neboli internetu, tedy vnější napadení. Část této kapitoly je věnována i útočníkům, kteří tato napadení provádějí. Závěrečná část druhé kapitoly seznamuje se základními moţnostmi obrany proti vnějším útokům. V poslední, třetí kapitole je vytvořen návrh moţností, pro vytvoření ochrany pro domácí výpočetní systém. Klíčová slova: Bezpečnost, bezpečnostní politika IT, ochrana dat, počítačová infiltrace, hacker, virus, antivirový software.

Abstract The bachelor thesis describes possible attacks on computer systems, both internal and external, and the possible means of defence against such attacks. The first chapter addresses internal threats that may be encountered in companies where they are caused to a large degree by their own employees. The other part of the chapter is focused on the defence against such attacks and their prevention. The second chapter describes attacks on a computer system from the external network alias the Internet, i.e. external attacks. A part of this chapter addresses attackers making such attacks. The final part of the second chapter introduces basic options of defence against external attacks. The third chapter being the last one proposes possibilities of protection of a home computer system.

Keywords: security, IT security policy, data protection, computer infiltration, hacker, virus, antivirus software.

Obsah Obsah ....................................................................................................................................... 5 Úvod ........................................................................................................................................ 8 1

Vnitřní útoky a návrh opatření ..................................................................................... 9 1.2

Útok ...................................................................................................................... 10

1.2.1

Fyzické útoky ................................................................................................... 10

1.2.2

Lidské útoky ..................................................................................................... 10

1.2.3

Technické útoky ............................................................................................... 10

1.2.4

Programové útoky............................................................................................ 11

1.2.5

Komunikační útok ........................................................................................... 12

1.3

Bezpečnostní politika oblasti IT ......................................................................... 12

1.3.1

Typy bezpečnostních politik ........................................................................... 13

1.3.2

Celková a systémová bezpečnostní politika IT ............................................. 14

1.4 1.4.1

IDS ........................................................................................................................ 15 Typy IDS .......................................................................................................... 15

1.5

IPS......................................................................................................................... 16

1.6

Uţivatelská konta ................................................................................................ 17

1.7

Zálohování............................................................................................................ 19

1.7.1 1.8 1.8.1

Strategie zálohování ........................................................................................ 19 Kryptografie ......................................................................................................... 19 Šifrovací systémy............................................................................................. 20

1.9

Management přenosných médií .......................................................................... 23

1.10

Autentizace........................................................................................................... 23

1.10.1 Heslo ................................................................................................................. 23 1.10.2 Biometrická metoda......................................................................................... 25 1.10.3 Pouţití předmětu .............................................................................................. 25 2

Vnější útoky a návrh opatření .................................................................................... 26 2.1

Útočníci ................................................................................................................ 26

2.1.1

Hacker (hacking) ............................................................................................. 26

2.1.2

Lamer ................................................................................................................ 28

2.1.3

Softwarový pirát .............................................................................................. 29 5

2.1.4

Sniffer (sniffing) .............................................................................................. 29

2.1.5

Phracker ............................................................................................................ 29

2.1.6

Joyrider ............................................................................................................. 29

2.1.7

Script kiddie (kiddiot) ..................................................................................... 29

2.2

Infiltrace (neoprávněný vstup)............................................................................ 29

2.2.1

Vir (Virus) ........................................................................................................ 29

2.2.2

Trojský kůň ...................................................................................................... 39

2.2.3

Červi (worms) .................................................................................................. 39

2.2.4

Zadní vrátka (backdoor) .................................................................................. 39

2.2.5

Bot ..................................................................................................................... 40

2.2.6

URL Injection (hijacker) ................................................................................. 40

2.2.7

Časovaná bomba .............................................................................................. 40

2.2.8

Keylogger (klávesový špión) .......................................................................... 40

2.2.9 Hoax.................................................................................................................. 40 2.2.10 DoS ................................................................................................................... 41 2.2.11 Spyware ............................................................................................................ 42 2.2.12 Adware ............................................................................................................. 42 2.3

Sociální inţenýrství (sociální útoky).................................................................. 43

2.3.1

Phishing (rybaření) .......................................................................................... 43

2.3.2

Pharming (farmaření) ...................................................................................... 43

2.4

Antiviry (antivirové programy) .......................................................................... 45

2.4.1

Historie ............................................................................................................. 45

2.4.2

Rozdělení virů podle detekce antivirem ........................................................ 45

2.4.3

Očekávané funkce antiviru ............................................................................. 46

2.4.4

Sloţení antivirových programů ...................................................................... 47

2.4.5

Dělení antivirů ................................................................................................. 48

2.5

Firewall ................................................................................................................. 50

2.5.1

Softwarový firewall ......................................................................................... 50

2.5.2

Hardwarový firewall ........................................................................................ 51

2.5.3

Rozdělení firewallu podle způsobu fungování .............................................. 51

2.6

Antispyware ......................................................................................................... 53

2.7

Antispam .............................................................................................................. 53

2.8

Webový prohlíţeč (browser) .............................................................................. 54 6

2.8.1 3

Základní vlastnosti bezpečného prohlíţeče ................................................... 54

Příklad realizace zabezpečení ..................................................................................... 55 3.1

Antivirový software ............................................................................................. 55

3.1.1

Příklady antivirových programů ..................................................................... 57

3.1.2

Virový radar ..................................................................................................... 59

3.2

Chování uţivatele ................................................................................................ 60

3.3

Prohlíţeč internetových stránek ......................................................................... 62

3.3.1

Internet Explorer 9 ........................................................................................... 62

3.3.2

Mozilla Firefox 9 ............................................................................................. 63

3.3.3

Opera11 ............................................................................................................ 63

3.4

Bluetooth .............................................................................................................. 63

3.4.1

Bezpečnost ....................................................................................................... 63

3.4.2

Ochrana............................................................................................................. 64

3.4.3

Zápory ............................................................................................................... 64

3.4.4

Útoky ................................................................................................................ 65

3.4.5

Návrh zabezpečení ........................................................................................... 65

Závěr ...................................................................................................................................... 66 Seznam pouţitých pramenů a literatury.............................................................................. 67 Seznam obrázků ................................................................................................................ 68 Seznam tabulek ................................................................................................................. 68

7

Úvod Cílem bakalářské práce je popsat komplexní softwarové i hardwarové zabezpečení počítače. Zváţení všech moţných (vnějších i vnitřních) napadení výpočetního systému zařazeného do počítačové sítě. V dnešní moderní době si mnoho lidí, ale i firem nedokáţe představit svět bez počítačů, ba dokonce internetu. Díky velkému boomu informačních technologií se po celém světě začala rozšiřovat tzv. „Kybernetická kriminalita“. Proto se jakékoli zabezpečení počítače nebo sítě stává prioritou číslo jedna. Dnes si počítače nezabezpečují jen firmy, vládní organizace a banky, ale i obyčejní lidé (běţní uţivatelné), kteří se právem obávají o svá soukromá data a snaţí si je pomocí nejrůznějších vhodných i nevhodných programů chránit a to sami (laicky) nebo s pomocí dnes hojně se objevujících firem. V této bakalářské práci se čtenář seznámí s moţnými ataky systému, obranou proti nim nebo jak těmto útokům dokonce předejít. Jak jiţ oficiální název napovídá, tato práce se věnuje komplexnímu zabezpečení počítače. Avšak můţeme říct, ţe stoprocentní zabezpečení se zajistit nedá, a to ani u automobilu ani u výpočetního systému. Ochrana je vţdy několik kroků za útokem. Můţeme se jej však pokusit zabezpečit dostatečně, s ohledem na to, k čemu budeme počítač pouţívat.

8

1 Vnitřní útoky a návrh opatření Nebezpečí hrozící od vnitřního nepřítele (insider thread) tvoří více jak 80% veškerých bezpečnostních incidentů, které se týkají informačních systémů. Zaměstnanci si mnohdy uvědomují, ţe mají přístup k velice důleţitým a důvěrným firemním informacím, a proto, kdyţ se rozhodnou zaútočit, vţdy to firmu dost „bolí“. Většina vnitřních útoků není prováděna na vysoké IT úrovni. Nejen mnohými zaměstnanci, ale i laickou veřejností není útok na informační systém chápán moc váţně a mnohdy není povaţován ani za váţný trestný čin. CERT 1 udává několik příčin vnitřních útoků: 

Útok na informační systém firmy je vcelku jednoduchý



Útokům tohoto typu se těţko předchází



Napadení IS mohou uniknout pozornosti IDS/IPS systémů



Napadení informačního systému není stále povaţováno za závaţný čin



Pomsta zaměstnance (výpověď, šikana)



Ve firmě neexistuje komplexní bezpečnostní politika



Absence viditelné kontroly v rámci informačních systémů



Nedostatečné proškolení zaměstnanců

Podle výzkumu, který prováděl opět CERT, je útok: 

často dlouhodobě připravován



je prováděn standardními funkcemi informačního systému



existuje mnoho ukazatelů (přímých, nepřímých), ţe zaměstnanec něco chystá



spolupracovníci obvykle něco o záměrech útočníka tuší (mnohdy si to ale neuvědomují)

1

CERT (Computer Emergency Response Team) - Pohotovostní počítačový odezvový tým pocházející z USA, kde spolupracuje s tajnou sluţbou a zabývá se mezi jiným i problematikou útoků. Dostupné z: http://www.cert.org/insider_threat/

9

1.2

Útok

Jako útok je chápána skutečnost, osoba nebo událost, která svým působením na slabá místa můţe ohrozit informační systém. Musí docházet k analýzám slabých míst a následně k vytváření protiopatření, aby se předešlo případnému narušení bezpečného IS. Základní rozdělení útoků

1.2.1

Fyzické útoky



Přírodní katastrofy (zemětřesení, záplavy, vichřice)



Poţáry (oheň, kouř)



Voda (záplavy, prasklé potrubí)



Výpadky, nebo kolísání elektrického napětí v síti

1.2.2

Lidské útoky

Stálí zaměstnanci přicházející do styku s IS (vysoká moţnost narušení) Hrozby ze strany zaměstnanců lze dále dělit na: 

Úmyslné – jedná se o útok, který je zaměstnancem mnohdy dlouho plánován a má za následek poškození firmy (finanční, ztráta dat).



Neúmyslné – riziko vytvořené mnohdy náhodou špatně informovaným nebo nedostatečně proškoleným zaměstnancem, který nemá v plánu nijak firmu poškodit.

Externí nebo dočasní zaměstnanci, brigádníci - jejich výběr nepodléhá skoro ţádným kontrolám, protoţe se nepředpokládá styk s IS Hacker, cracker – útočí na systém spíše zvenku, ale mohou to být i profesionálové skrytí mezi vlastními zaměstnanci. Zloději – u jedinců z řad zaměstnanců se můţe jednat o krádeţe jak softwaru, tak hardwaru nebo zálohových médií.

1.2.3

Technické útoky

Komunikace (odposlouchávání přenosu) Paměťové nosiče (úloţná, zálohovací místa), můţe dojít k jejich odcizení nebo smazání Elektromagnetické vyzařování (ohroţení tajných informací) 10

Porucha nebo zničení hardwaru (nejčastěji selhání pevného disku)

1.2.4

Programové útoky

Zadní vrátka Převáţně vytvářena zhrzenými administrátory, kteří si tak nechávají moţnost budoucího poškození IS. Salámový útok Program, který vyuţívá malé zaokrouhlovací chyby na hranici přesnosti PC ve prospěch jeho stvořitele. Protoţe nepůsobí závaţné problémy, je často velmi špatně detekován. Skryté kanály Komunikační „díry“, které umoţňují únik zpracovávaných informací. Jsou vhodné pro malé úniky informací, a proto velmi špatně detekovatelné. Hladové (nenasytné) programy V kaţdém systému běţí mimo veškeré sledování několik nepodstatných programů, které provádějí jakkoli zdlouhavé výpočty. Zvýšením jejich priority (ať uţ omylem, nebo úmyslně) dojde k zahlcení a pravděpodobnému selhání systému. Škodlivé kódy Programy, kterými můţe útočník zničit, poškodit, či odcizit data obsaţená v informačním systému. Převáţně se tyto kódy řadí mezi vnější hrozby, přicházející z internetu, ale jsou i výjimky. Například neproškolený zaměstnanec zkopíruje ze svého flash disku data, která obsahují virus, nebo si v pracovní době vyřizuje soukromé emaily, které mohou obsahovat červa. Chyby programů Mohou způsobit selhání operačního systému, nebo aplikací. Útok hrubou silou Tento útok se vyuţívá především za účelem uhádnutí páru uţivatel heslo. Útočník mnohdy vyuţívá náhodného generování těchto údajů za účelem falešné autentizace. Druhou moţností je, ţe útočník získá sociálním útokem seznamy zaměstnanců a pomocí automatického slovníku se snaţí uhodnout hesla. Díky neznalým a neproškoleným uţivatelům

11

informačního systému, kteří pouţívají slabá hesla, je tento typ útoků velice úspěšný a rozšířený2. Kryptoanalytický útok Typ útoku, který se snaţí o dešifraci zašifrovaných informací bez znalosti tajných dat (klíčů).

1.2.5

Komunikační útok

Podvrţení falešných adres (útočník se vydává za oprávněného uţivatele) Odepření sluţby (DOS, DDoS útoky), mnohdy zařazovány do vnějších hrozeb.

1.3

Bezpečnostní politika oblasti IT

Bezpečnostní politika IT je nedílnou součástí bezpečnostní politiky celé firmy. Jejím cílem je ochránit informační systém a informace v něm obsaţené. Úkolem IT oddělení firmy je zajistit, aby se stal informační systém bezpečným. Proto se uvádí motto: „Informační systém je tak bezpečný jako jeho nejslabší článek“. Firma a hlavně její vrcholové vedení si musí uvědomit, ţe IS je páteří společnosti a jeho ochranou zajišťují ochranu především svých investic. Úkoly bezpečnostní politiky: 

Ochrana dat a informací (jejich zpracování, uloţení, přenos)



Zajištění komunikační bezpečnosti (přenos mezi počítači)



Fyzická bezpečnost (hrozby povodní, poţárů)



Personální bezpečnost (vnitřní útočníci)

Základní vlastnosti bezpečného IS: 

Důvěrnost – poskytnutí informací jen těm osobám, které na to mají povolení



Integrita – zajištění správnosti a úplnosti poskytované informace



Dostupnost – informace dostupná pro oprávněného uţivatele v době, kdy ji potřebuje

2

Sledování aktuálních útoků hrubou silou, dostupné z: http://stats.denyhosts.net/stats.html.

12

1.3.1

Typy bezpečnostních politik

Vrcholové vedení firmy, management a oddělení IT musí najít společnou řeč, co se týče volby bezpečnostní politiky. Rozhodujícími faktory zde jsou například výše nákladů nebo výše odolnosti moţnému útoku. Tyto faktory lze jednoduše zjistit pomocí analýzy rizik IS. Podle úrovně zabezpečení lze rozeznávat čtyři druhy bezpečnostní politiky IT [1]: 1.3.1.1 Promiskuitní bezpečnostní politika Typ politiky, která se vůbec nezaobírá bezpečností. Teoreticky zde můţe kaţdý dělat, co chce a kdy chce. Mnohdy není poţadována ani minimální autentizace (pomocí hesla). Informační systém s touto politikou není nijak nákladný a můţe tak být řešena ekonomičnost moţných nákladů. Důvodem pouţití můţe být také zajištění autentizace mimo odvětví IT. 1.3.1.2 Liberální bezpečnostní politika Její bezpečnost, oproti výše uvedené politice, je na větší úrovni. Zde je také povoleno dělat vše aţ na výjimky, které jsou výslovně zakázány. Mezi její základní vlastnosti patří pouţívání zásady volitelného řízení přístupu, které je zaloţeno na identitě subjektů. Místa vyuţití jsou tam, kde se nepočítá s častými nebo tak závaţnými hrozbami. Její výhodou je opět ekonomické nenáročnost. 1.3.1.3 Racionální (opatrná) bezpečnostní politika Princip této politiky spočívá v zákazu všeho, co není výslovně dovoleno. Příkladem jejího vyuţití je zavádění Internetu do IS. Zde se stává počáteční politikou před zavedením firewallu. Její zavedení do podniku jiţ není tak ekonomicky nenáročné, jako u dvou předchozích politik. Přesto díky svým vlastnostem jiţ dokáţe vytvořit vyšší zabezpečení IS. Při aplikaci na obecný IS je vyţadována realizace klasifikace objektů a subjektů podle jejich schopností a citlivostí. 1.3.1.4 Paranoidní bezpečnostní politika U tohoto typu politiky je vše zakázáno (i to, co není zakázáno explicitně). Díky této vlastnosti je nejbezpečnější, avšak můţe vést aţ k izolaci celého systému. Její pouţití je moţné tam, kde dochází ke zpracování tajných dat (nutná izolace systému) a kde je nezbytné monitorovat veškeré vstupy a výstupy ze systému, nebo tam, kde je umoţněna implementace ve firemním prostředí, které má nízkou systémovou reţii, v níţ je moţné dosáhnout vyšší výkonnosti při zachování nízké úrovně nákladů. 13

1.3.2

Celková a systémová bezpečnostní politika IT

1.3.2.1 Celková bezpečnostní politika IT Celková bezpečnostní politika IT slouţí ke komplexnímu zabezpečení celé firmy a její pomocí jsou zajišťovány veškeré bezpečnostní cíle podniku. Navrţenou bezpečnostní politiku musí před implementací schválit vrcholové vedení společnosti. Jde o závazný dokument, kde jsou popisovány poţadavky, které si organizace ţádá, bez něhoţ by nebylo moţné provézt případný audit v organizaci IT. Musí také zajišťovat veškerou bezpečnostní problematiku v organizaci (ochrany přístupů, autentizace, zálohování a obnovy dat). Sestavování je prováděno tak, aby nemusela být upravována následujících 5 aţ 10let. [1] 1.3.2.2 Systémová bezpečnostní politika IT Význam systémové bezpečnostní politiky je v definování konkrétních implementací zabezpečení. Organizace na základě bezpečnostní politiky vydá vnitřní stanovy, normy nebo směrnice, podle nichţ je pevně stanoveno zakázané, povolené nebo přikázané chování všech zaměstnanců v předem daných situacích a v případě potřeby i nutná opatření k zajištění dodrţování pravidel stanovených organizací. V situaci, kdy je systémová politika implementována do jiţ provozovaných systémů, vzniká stav respektování. To znamená, ţe systémovou politikou by nemělo docházet ke změnám zavedených pracovních postupů a zvyklostí, pokud však nejsou v rozporu s poţadavky bezpečnostní politiky. [1] Obrázek 1 – Příklad bezpečnostní infrastruktury v organizaci IT

Zdroj: http://aplikace.mvcr.cz/archiv2008/micr/files/479/uvis_bezpecnost_20000701.pdf [Citace: 14. 12. 2011]

14

1.4

IDS

IDS3 je zkratka pro systém detekce narušení. Tento systém můţeme definovat jako soubor nástrojů, zdrojů a metod, jehoţ úkolem je napomáhat identifikaci, zpřístupnění a hlášení nepovolených a neautorizovaných síťových aktivit. Část názvu „detekce narušení“ nelze brát zcela doslovně, neboť účelem IDS není detekovat narušení, nýbrţ pouze sledovat takové aktivity na síti, které by mohly (ale také nemusely) být narušeními. IDS samotný nemůţe ţádný systém ochránit. Musí se stát součástí celkového ochranného systému. Systém pracuje v síťové vrstvě OSI modelu 4 a pasivní sítové senzory jsou typicky umísťovány do regulačních bodů sítě. [2]

1.4.1

Typy IDS

V tabulce 1 jsou uvedeny základní rozdíly mezi NIDS 5 a HIDS6.  HIDS „Vyţaduje určitý software, který je umístěn na tomto systému a můţe skenovat aktivitu všech uzlových zdrojů. Některý skenuje aktivity systémového a událostního logu. Zapíše libovolnou událost do bezpečnostní databáze a prověří, zda se tyto události neshodují se záznamy závadných událostí obsaţených ve znalostní databázi.“ [2]  NIDS „NIDS se obyčejně zařazuje do sítě sériově a analyzuje síťové pakety, z čehoţ pak usuzuje na napadení. Přijímá všechny pakety ve zvláštním segmentu sítě, včetně přepínaných sítí (kde to není implicitní chování), pomocí jedné z metod jako například větvení nebo zrcadlení (mirroring) portů. Pečlivě rekonstruuje provozní (bitový) proud a analyzuje v něm přítomnost vzorů závadného chování. Většina systémů NIDS je vybavena schopností zaznamenávat součinnost, hlásit nebo generovat výstrahu ve sporných případech.“ [2]

3

IDS (Intrusion Detection Systém) OSI model (Open Systems Interconnection Basic Reference Model) abstraktní popis síťové komunikace a protokolů, pouţitých pro komunikaci mezi počítači, který je dělen do sedmi vrstev. 5 NIDS (network-based intrusion-detection systems) 6 HIDS (host-based-intrusion-detection systems) 4

15

 Hybridní „Hybridní IDS kombinují HIDS, které monitorují události odehrávající se na uzlovém systému, s NIDS, které monitorují síťový provoz.“ [2] Tabulka 1 – Základní rozdíly mezi NIDS a HIDS

Zdroj: ENDORF, Carl, SCHULTZ, Eugene a MELLANDER, Jim; Detekce a prevence počítačového útoku. Praha : Grada Publishing, 2005. ISBN 80-247-1035-8

1.5

IPS

IPS7 můţeme definovat jako systém prevence proti narušení. Tento systém se umisťuje do chráněné sítě a provádí její monitoring. Pokud nastane nějaký známý problém, systém přijme opatření dle předem vytvořených pravidel. IPS je v podstatě jiné neţ výše zmiňované IDS, které se neumisťuje sériově do sítě a je pasivní. Částí odborné veřejnosti je IPS povaţováno za systém IDS nové generace, ale dru há polovina odborníků povaţuje tento systém za nástroj v bezpečnostní infrastruktuře, která můţe napomáhat v prevenci proti narušení. Celkově se musí vycházet z toho, ţe IPS bylo vytvořeno z IDS, avšak jsou to odchylné bezpečností výtvory, které se liší jak v síle obrany, tak ve funkcionalitě. Oba tyto systémy se ale podobají hlavně v nastavení. IPS mohou být uzlově orientované (HIPD – pracují v ochranných aplikacích), nebo síťově orientované (NIPS). Uţivatel musí vytvářet takové činnosti, které odpovídají činnostem předem

7

IPS (Intrusion-Prevention Systém)

16

nadefinovaným do znalostních databází, protoţe v situaci, kdy by měla být provedena činnost, kterou IPS nezná, neumoţní systému její provedení. V IPS se logika aplikuje dříve, neţ je vykonána v paměti. To je podstatná změna ve srovnání s IDS. [2] Další rozdíly mezi IDS a IPS jsou uvedeny v tabulce 2. Tabulka 2 – Základní rozdíly mezi IDS a IPS

Zdroj: ENDORF, Carl; SCHULTZ, Eugene; MELLANDER, Jim; Detekce a prevence počítačového útoku. Praha : Grada Publishing, 2005. ISBN 80-247-1035-8

1.6

Uţivatelská konta

Kaţdý zaměstnanec, který pouţívá firemní síť (informační systém), musí mít k dispozici své osobní uţivatelské konto, kde má nastavená svá přístupová práva , a pod tímto účtem se vţdy hlásí do systému. Uţivatelská práva k účtům přiděluje osoba k tomu pověřená – administrátor. Mezi ním a uţivateli dochází občas k rozepřím ohledně výše uváděných práv. Kaţdý uţivatel chce, i kdyţ to mnohdy nepotřebuje, co největší práva ke svému účtu, naopak by spíše administrátor potřeboval, aby kaţdý zaměstnanec měl práva co nejmenší. Východisko by v tomto případě bylo nastavení takových práv, jaká potřebuje daný zaměstnanec k vykonávání svého povolání, avšak docílení takovéto „harmonie“ není jednoduché. Jedním z administrátorských úkolů je zřizovat nová konta, přidělovat nová práva a odstraňovat staré účty (například propuštěných zaměstnanců). Tato pozice není v mnoha firmách propojena s personalistikou nebo s vedoucím úseku, kde dochází k dělbě práce. A právě zde dochází k oné sloţitosti. Zaměstnanec, kterému byla přidělena práce, k níţ potřebuje jen minimální práva, má ale z minulosti nastavena práva zbytečně velká. V této situaci je problém v „komunikačním šumu“ mezi vedením a administrátorem. Uţivatel pouţívá stále svůj účet, protoţe mu mnoho práv vyhovuje (i kdyţ je nepotřebuje), ale pro 17

administrátora zde vzniká riziko, ţe při napadení nebo zneuţití účtu dostane útočník vyšší práva, neţ by tomu bylo při okamţité změně. Jinak je tomu v druhé situaci, kdy zaměstnanec změnil typ práce a potřebuje práva vyšší, neţ jaká měl do teď. Takový zaměstnanec bude usilovat o získání vyšších práv, přičemţ není nijak ohroţena bezpečnost. Mezi další problémy můţeme zařadit také jiţ nepotřebné účty, které ztratily význam v době, kdy zaměstnanec odešel nebo pracuje pouze externě. Pokud obdrţel zaměstnanec výpověď nebo odešel sám, je prioritou administrátora okamţitě odstranit jeho účet. Hlavním důvodem odstranění takového účtu je moţná pomsta zaměstnance v podobě zadních vrátek nebo získání firemních dat. Pokud zaměstnanec odešel, ale stále pracuje externě, měla by být práva k jeho účtům minimalizován. K tomu však mnohdy nedochází z důvodů špatné komunikace mezi vedením a adminem. Další špatný stav můţe nastat za situace, kdy administrátor provádí testování pomocí k tomu vytvořených servisních účtů, a po skončení testů nedojde k jejich odstranění. Protoţe byly vytvořeny jednorázově, bez přiřazení nějakého uţivatele, jsou často zapomenuty a nekontrolovány v systému. Toho opět můţe vyuţít útočník. Ale největším problémem, co se týče uţivatelských účtů, je zhrzený administrátor. Při jeho činnostech ve firmě ho často nikdo nekontroluje, a proto má teoreticky neomezené moţnosti v odvětví IT. Ve větší firmě, kde můţe být několik stovek aţ tisíc účtů, si administrátor vytvoří a ukryje tzv. spící účty. Ty zůstávají skryty aţ do doby administrátorské pomsty. Minimalizovat riziko ze strany administrátora můţeme prověřením jeho předchozích zaměstnání

(hodnocení), dotazníky,

ţivotopisem,

psychotesty a

hlavně

omezením

vyhrocujících se situací mezi ním a vedením, které mohou vést k nucené výpovědi admina. Po odchodu administrátora by se z důvodu bezpečnosti a moţného útoku měl provést audit sektoru IT ve firmě. I kdyţ nový administrátor odstraní veškeré účty bývalého admina, nikdy se mu nepovede odhalit případné „spící účty“, které za této situace jiţ mohou být vyuţity ke zničení systému. Z výše

uvedených

„komunikačních

šumů“

mezi

vedením,

personalistikou

a

administrátorem dochází ve velkých firmách k zavádění Identity Management 8, který navazuje na ostatní provozní informační systémy.

8

Identity Management (vedení identity) administrativní oblast, která se zabývá identifikací jednotlivců (zaměstnanců) v IS a řízení jejich přístupů ke zdrojům.

18

1.7

Zálohování

Pod tímto pojmem si představme uloţení důleţitých dat (vytvoření jejich kopie) mimo pracovní prostředí uţivatele. Vytváření záloh je důleţité z důvodu moţného selhání systému (hardware i software) nebo infiltrace útočníka. Zálohování je moţné provádět nahodile (nepravidelně), a to převáţně v domácnostech, nebo pravidelně (podle určitých rozpisů) hlavně ve velkých firmách. Pro časté vytváření záloh byl vytvořen jak software (speciální zálohovací programy), tak hardware (speciální zařízení).

1.7.1

Strategie zálohování

Nejčastěji jsou vyuţívány různé kombinace níţe uvedených strategií. Pokud existuje rozpis záloh, jsou v předurčených časech prováděny kompletní zálohy a mezi těmito časy jsou prováděny zálohy inkrementální. 1.7.1.1 Celková strategie Celkovou strategií dojde k vytvoření komplexní zálohy. Velkou výhodou v případě selhání je rychlá obnova zálohovaných dat. Nevýhodou je velké vyuţití výkonu systému při vytváření zálohy, dlouhá doba zálohování a velký objem zálohovaných dat, pro která bude potřeba mnoho záznamových médií nebo velká kapacita na úloţném místě. 1.7.1.2 Inkrementální strategie Tato strategie vytváří zálohy pouze těch dat, které se změnily od posledního zálohování. To znamená, ţe vytváří posloupný sled datových záloh. Při selhání systému a následné obnově se data obnovují od nejstarší zálohy aţ po nejmladší (současný stav). [3] Úloţná místa 

Pevné disky (HDD)



Datové pásky



Optické disky (CD, DVD, Blu-ray Disc)



Diskety (dnes se jiţ nepouţívají)

1.8

Kryptografie

Věda, která se zabývá šifrováním dat za pomoci matematických metod. Úkolem kryptografie je zašifrovat osobní, soukromá nebo důvěrná data do takové podoby, aby nebyla

19

čitelná pro ty, kterým nejsou určena. Naopak osoba, které jsou data určena, si je za pomoci „klíčů“ (tajných informací) dešifruje - to znamená, transformuje se do srozumitelné podoby. Kryptoanalýza – luštění zašifrovaných zpráv neboli získání utajovaných dat bez znalostí klíče.

1.8.1

Šifrovací systémy

1.8.1.1 Asymetrické šifrování Při tomto druhu šifrování jsou pouţity dva šifrovací klíče, které tvoří tzv. klíčový pár (key pair). První, veřejný (public), slouţí k zašifrování zprávy a druhý, soukromý (private), je pro dešifrování. Soukromý klíč je tajný, proto nesmí dojít k jeho krádeţi či dokonce prozrazení, a proto by ho uţivatel měl chránit. Princip klíčového páru spočívá v tom, ţe co bylo zašifrováno veřejným, můţe být dešifrováno pouze soukromým klíčem a naopak. Délky klíčů mají jiný význam neţ u symetrických šifer.

Asymetrické šifry jsou

zaloţeny na speciálních číslech. V dnešní době se obyčejně pracuje s délkou klíče 1024 bitů. Pokud se ale jedná o dlouhodobější pouţití nebo uloţení dat, doporučuje se délka klíče 2048 bitů nebo delší. [4] Asymetrické šifrovací algoritmy jsou v porovnání se symetrickými celkově výrazně pomalejší. Některé asymetrické šifry [4]: RSA – bezpečný asymetrický kryptosystém, který se pouţívá pro šifrování nebo pro digitální podpis. Minimální délka klíče je 512 bitů, ideální však 1024 bitů. Pro situace vysokého zabezpečení je doporučeno pouţít klíč dlouhý 2048 bitů. ECC – eliptické kryptosystémy neboli moderní algoritmy, které jsou zaměřené na řešení úlohy diskrétního logaritmu v grupách9 na eliptických křivkách. Mezi jejich výhody patří vysoká bezpečnost, a to i za pouţití krátkého šifrovacího klíče.

9

Grupa – algebraická struktura, která popisuje a formalizuje koncept symetrie.

20

Obrázek 2 – Příklad asymetrického šifrování

Zdroj: http://www.svetsiti.cz/clanek.asp?cid=2577 [Citace: 14. 12. 2011]

1.8.1.2 Symetrické šifrování Tento způsob šifrování vyuţívá stejných šifrovacích klíčů jak pro zašifrování, tak pro dešifrování. Výhodou při pouţití této metody je vysoká rychlost, se kterou jsou všechna data s tímto šifrováním zpracovávána. Nevýhodou je situace, kdy dojde k prolomení nebo prozrazení tohoto hesla. Všechna takto zašifrovaná data jsou odkryta a můţou být zneuţita, ukradena nebo pozměněna. Symetrické šifrování se pouţívá ve firmách a jejich systémech především k ochraně zálohovaných dat. Minimální délka klíče by měla být 40 bitů. Při této velikosti bude vygenerováno 240 různých zašifrovacích funkcí. To znamená, ţe na průměrném počítači budou probíhat výpočty několik týdnů. Délka tohoto klíče se doporučuje pro malé a středně velké firmy. Pro velké společnosti se doporučuje pouţít klíč o délce minimálně 56 bitů. Doba těchto výpočtů na průměrném počítači bude trvat stovky let. Nejznámější aplikací symetrické šifry je Caesarova šifra. Její princip je v tom, ţe je vytvořeno abecední posunutí a klíčem je číslo, které určuje toto posunutí. Některé symetrické šifry [4]: DES – vytvořen v laboratořích IBM v 70. letech minulého století a do roku 2000 slouţil jako americká vládní norma pro šifrování. K jeho rozbití došlo za vyuţití obrovských kapacit počítačů při hrubém útoku. 3DES – jedná se o zesílenou variantu předchozího standardu. Při jeho pouţití jsou data za pomoci algoritmu DES třikrát přešifrována. Tato šifra pracuje s klíčem o délce 112 bitů 21

nebo 168 bitů, přitom původní DES měl délku klíče pouhých 56 bitů. Algoritmus je sice pomalý, ale zato bezpečný. IDEA – perspektivní algoritmus, který má poměrně vysokou rychlost při zpracovávání uţivatelem (například v porovnání s výše uvedenými DES, 3DES). Délka jeho šifrovacího klíče je 128 bitů, tím se dostává do vyššího stupně bezpečnosti. Tento algoritmus nebyl zatím prolomen. Obrázek 3 – Příklad symetrického šifrování

Zdroj: http://www.svetsiti.cz/clanek.asp?cid=2577 [Citace: 14. 12. 2011]

1.8.1.3 Hash algoritmy Po symetrických a asymetrických algoritmech je to poslední moţnost šifrování. Pouţívá se v situaci, kdyţ potřebujeme data pouze zašifrovat, ale nikdy dešifrovat. Příkladem mů ţe být ukládání hesel do systému UNIX. [4]

22

1.9

Management přenosných médií

Jedná se o řízení a manipulaci s veškerými médii, která jsou v organizaci pouţívána pro přenos dat. Vnitřními předpisy ve firmě musí předem dojít ke stanovení základních podmínek pro manipulaci s daty zaměstnanci. Například zda mohou záznamová média s uloţenými daty vynášet mimo firmu. [3] Záznamová média organizace 

Externí pevné disky,



CD, DVD, Blu-Ray disky,



Flash disky,



JAZZ disky,



Tištěné údaje.

1.10 Autentizace Autentizace je předem přesně definovaný proces, který zajišťuje kontrolu identity subjektu. Jinak řečeno uţivatel v systému za pomoci určených prostředků prokáţe, ţe je to opravdu on. [4]

1.10.1

Heslo

Základním prostředkem pro ochranu klientského počítače zařazeného do sítě jsou hesla. Heslo je řetězec znaků, který má obvykle délku 6-16 bitů. Přihlašování do systému pomocí hesel je stále nejpouţívanější. Napomáhá tomu hlavně nízká cena a flexibilnost. Nevýhodou pouţívání hesel je fakt, ţe je uţivatelé často vymýšlejí aţ nesmyslně lehká10, a kvůli tomu můţe dojít k jejich prolomení útočníkem. V tabulce 1 jsou jako příklad uvedeny časy, které stačí průměrnému útočníkovi ke zjištění hesla.

10

Společnost SplashData vytvořila v listopadu 2011 ţebříček 25 nejhorších hesel, které hackeři získali a umístili na internet. Dostupné z: http://mashable.com/2011/11/17/worst-internet-passwords/

23

Tabulka 3 – Odhady doby pro prolomení hesel

Zdroj: JIROVSKÝ, Václav; Kibernetická kriminalita. Praha : 2007. ISBN 978-80-247-1561-2. str.63

1.10.1.1 Rozdělení uţivatelů podle uţívaných hesel Uţivatel laik Mezi tyto uţivatele můţeme zařadit skupinu lidí, která se výpočetní technice moc nevěnuje (vyuţívá ji náhodně), nebo uţivatele začátečníky. Další skupinou jsou například neproškolení zaměstnanci. Jimi pouţívaná hesla jsou velmi jednoduše rozluštitelná (například: 123456, abcdef). Uţivatel průměrný Tito uţivatelé jiţ pracují s výpočetní technikou častěji a vědí, ţe bezpečnost patří na první místa, proto pouţívají jiţ sloţitější hesla. Nejsou to hesla nerozluštitelná, spíše jsou pouţívána jména manţelek, milenek, domácích mazlíčků a podobně. Pokud útočník nezná přímo osobu, na kterou útočí, jeho šance na rozluštění těchto hesel jsou mizivé. Uţivatel profesionál Na počítači je jako doma, jeho zkušenosti jsou na vysoké úrovni, s prolamováním hesel se jiţ setkal. Hesla pouţívaná touto skupinou (například: Wg89d$) jsou pro útočníka nerozluštitelná.

24

1.10.2

Biometrická metoda

Tato metoda je známá ze sci-fi filmů minulého století. Jejímţ základem je získání, porovnávání a vyhodnocení jedinečných biologických vlastností člověka (uţivatele). Biometrická autentizace se vyuţívá u docházkového systému, k povolení vstupu. V době ne moc vzdálené se začíná uvaţovat o vyuţití biometriky i ve veřejném sektoru (vyplácení sociálních dávek, výběry z bankomatů). Mezi velké nevýhody patří určitá diskriminace tělesně postiţených a indisponovaných a především vysoká cena jak pořizovacích, tak servisních nákladů. Za výhodu můţeme povaţovat to, ţe uţivatelé nepotřebují k autentizaci ţádné prostředky. Biometrické charakteristiky: 

Otisky prstů



Obraz oční sítnice



Obraz oční duhovky



Tvar obličeje



Tvar ruky



Obraz/tvar hlasu

1.10.3

Pouţití předmětu

Autentizace za pomoci předmětu je v dnešní době asi nejpouţívanější. Jedná se o přihlášení uţivatele do systému například čipovou, magnetickou kartou nebo dotykovou pamětí11. Z pohledu bezpečnosti je toto přihlašování bezpečnější neţ samotné zadávání hesel. Mezi výhody patří vcelku dobrý poměr mezi cenou a bezpečností nebo fakt, ţe bez speciálních prostředků není moţné vytvořit kopie za účelem zneuţití. Nevýhodou je, ţe se autentizace provádí předmětem. To znamená, ţe ho můţe uţivatel ztratit, poškodit, zapomenout atd.

11

Dotyková paměť (touch memory) – Paměťové čipy, chráněné ocelovou schránkou a voděodolně zalité v plastovém tělu. Kaţdý čip obsahuje jedinečné ID číslo, které je v systému přiděleno určitému zaměstnanci.

25

2 Vnější útoky a návrh opatření 2.1

Útočníci

Útočníkem je osoba, která se z jakéhokoli důvodu snaţí proniknout do uţivatelského počítače.

2.1.1

Hacker (hacking)

V dnešní době je pojem „hacker“ v médiích často špatně vysvětlován a zkreslován. Je to člověk, kterého baví zkoumat detaily programovatelných systémů a hledat metody, jak je vylepšit. Hackeři se často hlásí ke globálním komunitám v kyberprostoru 12 nebo obecně na síti. V tomto případě dané osoby veřejně souhlasí s dodrţováním některých z verzí hackerské etiky. Původní hackeři z velké části přispěli ke zrodu Internetu. Asi nejslavnějším hacker je Kevin David Mitnick. Policejní definice hackera Definuje hackera jako osobu pronikající do chráněných systémů, kde je jeho cílem ukázat vlastní kvality bez toho, aby měl zájem na získání nebo zničení informací obsaţených v systému. Nejdůleţitější je pro něj překonání ochrany systému, coţ je pokládáno za zábavu nebo dobrodruţství. Hackerovi ke spokojenosti stačí to, kdyţ se o jeho činu hovoří alespoň ve vlastní komunitě. Hacking je jeho koníčkem, u počítače vysedává dlouhé hodiny a získaná data nebo programy vyuţívá pro svou potřebu nebo pro potřebu kolegů nebo přátel. [5] 2.1.1.1 Typy hackerů [5] a) „White hats“ (bílé klobouky) Typičtí hackeři, kteří uznávají hackerskou etiku. Mnohdy jsou zaměstnáni ve firmách, které se zabývají bezpečností systémů. Tito hackeři jsou mnohdy najímáni firmami také jako externisté, jehoţ úkolem je napadnout systém firmy, prolomit jeho obranu, aby bezpečnostní technici mohli odstranit slabiny systému.

12

Kyberprostor - virtuální svět, který je vytvářen moderními technologiemi (počítači, sítěmi,…)

26

b) „Black hats“ (černé klobouky) Vytváří podobnou činnost jako bílé klobouky, ale s cílem systém napadnout a prolomit ochranné prvky. Prolomením ochrany se snaţí získat různé výhody pro sebe nebo pro svého zaměstnavatele, kterým je často nějaká nelegální organizace (v horších případech také extrémistické skupiny nebo teroristé). Do této skupiny se řadí i hackeři, kteří slouţí průmyslové špionáţi mezi dvěma konkurenty. Takový hacker se nechá zaměstnat v počítačovém centru konkurenta, kde shromaţďuje důvěrné informace a přes nenápadnou internetovou adresu je přeposílá svému skutečnému zaměstnavateli. c) „Grey hats“ (Šedé klobouky) Pohybují se na hranici obou skupin. Tato skupina byla vytvořena proto, ţe se předcházející skupiny spolu na mnoha místech prolínají a rozdíl je pouze v přístupu k problému. Do této skupiny se řadí také rodící se hackeři, kteří nemají ujasněnou svoji budoucí roli. 2.1.1.2 Hackerská etika 1.

Přístup k počítačové technologii je pro všechny a zdarma.

2.

Všechny informace jsou zdarma.

3.

Nedůvěřuj vládě a všem mocenským autoritám, podporuj decentralizaci.

4.

Hacker má být posuzován podle jeho dovedností a to jinými hackery a ne nějakou formální institucí, nebo jinými nerelevantními měřítky.

5.

Na počítači můţeš vytvořit i umění a krásu.

6.

Počítače mohou změnit ţivot k lepšímu.

7.

Hacker nikdy nesmí poškodit systém.

8.

Hacker se nikdy neprolamuje do státních počítačů.

V době, kdy vznikal hacking, vytvořili jedni z prvních hackerů listinu, která byla později známa pod názvem hackerská etika. Byla to sbírka pravidel a doporučení, kterými by se měl hacker řídit. Dodrţování těchto pravidel však nikdo nikdy nekontroloval, ale ti „správní“ hackeři je vţdy dodrţovali a šířili mezi ostatní. Dnes ale tato pravidla jiţ mnoho hackerů neuznává. Další skupinou, která se však nijak nespojuje s výše uvedenými, je skupina „brilantních programátorů“. Jsou to hackeři, kteří jsou ostatními skupinami značně respektováni. Mají hluboké znalosti o systémech a jejich bezpečnostních bariérách. Přesto jsou to stále hackeři, 27

kteří programují bez jakéhokoli plánování, coţ jim umoţňuje měnit libovolně specifikace během své práce na projektu. Firma, která zaměstnává takového hackera, je z něj mnohdy nešťastná, neboť volně přizpůsobuje specifikaci k obrazu svému. K jeho programům neexistuje ţádná dokumentace, protoţe on program vytváří svým přirozeným jazykem, a tedy je mu všechno jasné a dokumentaci nepotřebuje. Tito programátoři jsou velmi produktivní, ale jejich zaměstnání v týmu je obtíţné. Proto se raději stávají ţivnostníky, nebo se nechávají zaměstnat v jiném odvětví, neţ je programování. Skupina brilantních programátorů se dělí na dvě podskupiny, které se odlišují svým přístupem k problému[5]: „GURU“ – Hacker s dlouholetými zkušenostmi. Vyzná se v problémech programování do podrobností. Vše dokáţe zúročit při řešení problémů a dokáţe zvolit vhodný postup vedoucí k řešení zadané práce. „WIZARD“ (kouzelník) – Jeho excelentní znalosti specifických problémů mu pomáhají řešit problémy takovým způsobem, který je pro ostatní nepochopitelný. Tímto řešením však vzniká nebezpečí, ţe výsledek nemusí vţdy fungovat v krajních stavech. 2.1.1.3 Cracker (cracking) Člověk, který vyuţívá hackerských metod k prolomení ochrany počítačů za účelem vlastních finančních zisků. Vniká také do informačních systémů, kde můţe způsobovat na ţádost například konkurence neţádoucí nebo ničivou činnost. Mezi crackery patří i lidé, kteří se pohybují ve světě úprav programů - crack 13, warezu 14, nebo zneuţívají informačních technologií a internetu k finančním podvodům, vandalismu nebo dokonce terorismu.

2.1.2

Lamer

Útočník, který si netroufá na velké firmy, servery, ale na obyčejné uţivatele. Proto od něj hrozí pro běţného uţivatele větší nebezpečí neţ např. od hackera. Také ho můţeme definovat jako méně schopného jedince, snaţícího se proniknout do počítačů jiných uţivatelů.

13

Crack - je malý program, který slouţí k odstranění nebo omezení funkčnosti ochranných prvků jiného programu či softwarového balíku. 14 Warez - termín v počítačovém slangu, označující autorská díla, se kterými je nakládáno nelegálně, především v rozporu s autorským zákonem.

28

2.1.3

Softwarový pirát

Osoba, která nelegálně (neoprávněně) pouţívá, kopíruje, vytváří nebo šíří software.

2.1.4

Sniffer (sniffing)

„Čmuchal“, který pozoruje a poté analyzuje komunikaci na síti, nebo síťový provoz. Jeho cílem je získání citlivých dat uţivatele, jako jsou např. telefonní čísla, hesla a čísla účtů při bankovních transakcích pomocí internetu (internet banking).

2.1.5

Phracker

Jeho cílem je napadání a vkrádání se do programů, které nabízejí zdarma telefonní sluţby. Druh hackera, který vyuţívá počítače jiných uţivatelů a databáze telefonních společností.

2.1.6

Joyrider

Většinou student, který útočí na cizí počítače pouze za účelem zábavy, nebo aby vyzkoušel nové technologie.

2.1.7

Script kiddie (kiddiot)

Teprve začínající útočníci zkoumající a hledající škodlivé kódy. Tyto kódy buď hned pouţívají, nebo si je drobně upravují.

2.2

Infiltrace (neoprávněný vstup)

Pod pojmem infiltrace (samozřejmě počítačová) si lze představit jakýkoli neoprávněný vstup do počítače a tím i do jeho dat. Hlavním „spouštěčem“ infiltrace je člověk – uţivatel. Škodlivý software, který proniká do počítače bez vědomí uţivatele, se nazývá malware.

2.2.1

Vir (Virus)

Jedná se o nejčastější a nejznámější moţnost počítačové infiltrace. Jejich vlastností je mnoţení sama sebe a „nakaţení“ dalších souborů bez jakéhokoli vědomí uţivatele, coţ můţe vést aţ ke zničení systému. Virus se připojuje k hostitelské jednotce – spustitelným souborům, například *.EXE, *. COM, boot sektory.

29

V podkapitolách dochází k rozdělení virů do skupin. Přesné rozdělení je však problémové a nepřesné, protoţe mnoho virů přesahuje do dalších skupin, nebo se tyto skupiny postupem času dále rozčleňují. 2.2.1.1 Viry podle nebezpečnosti Destruktivní Napadnou uţivatelský počítač, a to buď záměrně, nebo nezáměrně. Záměrně destruktivní viry mají za úkol likvidovat (mazat soubory, poškozovat data,…). Nezáměrně destruktivní škodlivé kódy provádějí poškozování jen jako vedlejší úkol (chyba vzniklá v programovém kódu). Avšak pro napadeného uţivatele to v obou případech znamená ztrátu dat. Nedestruktivní Nejsou určeny k ničení uţivatelského systému. Mohou být pouze ţertovného charakteru. V dnešní době do této skupiny patří většina virů, protoţe jsou klasické škodlivé kódy na vymření a moderní viry si jiţ vytváří soubory vlastní. Druhou skutečností je to, ţe útočníci se snaţí o to, aby jejich výtvory na sebe nijak neupozorňovaly. 2.2.1.2 Viry podle projevů Bez projevů Základní vlastností viru je co nejméně na sebe upozorňovat. Proto se většina virů infiltruje bez jakéhokoli projevu. Můţe to být chápáno jako pud „sebezáchovy“, protoţe jakmile se vir projeví, začne s ním uţivatel ať uţ úspěšně, či neúspěšně bojovat a to ţádný útočník, který vir vypustil, nechce. S grafickými projevy Kdyţ uţ se útočník rozhodne do viru nainstalovat nějaký projev, převáţně se jedná o obrázek, fotografii, čili o projev grafický. Takové vyjádření má dva moţné úkoly. V prvním se jedná o to, ţe pomocí obrázku, útočník maskuje instalaci viru nebo jeho pomocí zobrazuje nějaké smyšlené hlášení windows, aby odvrátil uţivatelovu pozornost jinam. U druhé moţnosti se jedná o zobrazení nějakého poselství, jako je například varování před nějakou hrozbou, nějaké informace ze společenského hnutí nebo nastavení pracovní plochy.

30

Se speciálními projevy Útočníkům, kteří vytváří takovéto škodlivé kódy, nelze upřít smysl pro humor. Jedná se o to, ţe instalaci škodlivého viru doprovází nějaká humorná situace, například pohyb systémových hodin pozpátku. Pak ale nastává pro napadeného uţivatele problém při obnově systému ze záloh, jaké to zálohy jsou vlastně novější. 2.2.1.3 Viry podle času projevu Aktivující se okamţitě Viry tohoto typu se aktivují okamţitě při vstupu do infikovaného počítače. Infikace je tak rychlá proto, ţe má vir pouze několik hodin na vlastní šíření. Skoro kaţdý uţivatel má nastavenou preventivní antivirovou kontrolu, která napadení odhalí a okamţitě zareaguje. Aktivující se k určitému datu Tento druh se v dnešní době jiţ moc nevyskytuje. Zlatá léta zaţíval na počátku devadesátých let, kdy byl celý informační svět a hlavně antivirová ochrana ještě v plenkách. Pokud chtěl útočník způsobit opravdu epidemii, nastavil datum takový, aby byl dostačující pro rozšíření viru do světa, ale i krátký na to, aby ho odhalily tehdejší antivirové firmy. Aktivující se při určitém výkonu Infikace se spustí například při stisknutí určité kombinace kláves, při kaţdém třetím spuštění počítače, nebo pří pátém restartování systému. 2.2.1.4 Viry podle napadaných oblastí Boot viry Je to jedna z nejstarších skupin virů, která infikuje části nacházející se v systémových oblastech disku, jako jsou například boot sektory a MBR 15. Napadením takovéto oblasti si boot virus zajišťuje své spuštění hned po startu počítače. Původní napadené části uschovává na jiném místě na disku. Protoţe se jedná o jednu z nejstarších skupin škodlivých kódů, jejich šíření se provádělo za pomoci operačního systému MS – DOS, který byl pro ně vhodný hlavně díky vysokým

15

MBR - (Master Boot Record) hlavní spouštěcí záznam, který se nacházel v prvním sektoru pevného disku v kompatibilních počítačích IBM PC.

31

frekvencím pouţívání nejjednodušších povelů (zápis, čtení, kopírování) vzhledem k nízké moţnosti kontrol. Jak se takový vir vlastně šířil? Vyuţíval k tomu boot sektory disket. Aby se mohl vir do počítače dostat, bylo zapotřebí z nakaţené diskety nabootovat 16 operační systém. Při spuštění systému se pak vir aktivoval, zapsal se do operační paměti a mohl začít provádět činnost, pro kterou byl stvořen. O infiltraci neměl uţivatel ani ponětí. Další nekalou činností tohoto škodlivého kódu můţe být nakaţení všech disket, které se kdy dostanou do počítače, postupné mazání uţivatelských dat nebo pozdější kompletní smazání pevného disku. Souborové viry Pro ně se stává hostitelem spustitelný soubor neboli program. Program je určen k vykonání nějaké činnosti, které vyuţívá vir ke své infiltraci a rozmnoţení. Jedny z nejvíce napadaných spustitelných souborů jsou *.exe, *.com, *.bin, *.sys. Nákaza souborovými viry má dvě moţnosti. Při první moţnosti se vir připíše na začátek programu, nebo tam vytvoří tzv. „skok na své tělo“. Obě tyto verze však vedou k tomu, ţe kdyţ uţivatel bude chtít spustit program, nejprve aktivuje vir a teprve poté zahájí funkci program. V druhém případě se jedná o přepisující viry. Dochází k tomu, ţe uţivatel spustí program, ale místo toho se aktivuje virus, který jiţ dříve spustitelný soubor napadl a ten pak jiţ není schopen další činnosti. Nevýhodou druhé moţnosti je fakt, ţe při spuštění napadeného programu uţivatel zjistí nákazu, a proto jsou útočníky vyuţívány spíše viry nepřepisující. Makroviry Jsou jedny z nejmladších virů, které se začaly objevovat aţ kolem roku 1995. Makroviry jsou oproti boot a souborovým virům nezávislé na platformě17 a operačním systému. Tyto škodlivé kódy jsou tvořeny v dnešních kancelářských balících pomocí makrojazyků a představují jednu z nejnebezpečnějších infiltrací dnešní doby. K jejich rychlému a jednoduchému rozšíření vedlo hlavně napadání dokumentů, které byly sdíleny mezi několika uţivateli, a fakt, ţe k vytvoření makroviru stačí jen malé programátorské zkušenosti.

16

Bootování - je proces zavádění operačního systému při zapnutí nebo restartování počítače.

17

Platforma – v informatice pracovní prostředí (software i hardware), které umoţňuje bezproblémovou činnost programů.

32

Rozmach těchto virů z části zapříčinil i Microsoft, kdyţ ignoroval bezpečnost svých produktů. Nejvíce je těmito viry napadán Microsoft Word (pro tvorbu maker je vybaven programovacím jazykem Word Basic) Útočníkovi stačí vhodně pojmenovat makro, které se samo spustí při otevření napadeného datového souboru nebo při volbě nějaké poloţky v menu ovládání programu. Oproti Wordu je na tom trochu lépe Excel, pro který ještě tolik virů není, ale jeho nástroj VBA18 je ještě mocnější, proto tato situace nebude trvat dlouho a Excel se stane středem pozornosti moţného napadání. Skriptové viry Jsou to viry, které se pokoušely útočit pomocí škodlivých skriptů v podobě souborů *.bat (dávkových souborů). Ty ale dnes nejsou reálnou hrozbou. Dnešní uţivatele napadají skriptové viry, které jsou vytvořeny pomocí skriptového jazyka, a to buď VBS (Visual Basic Script), nebo JS (Java Script). Jejich šíření je převáţně za pomoci prohlíţeče Inter net Explorer, kde vyuţívají jeho „továrního“ nastavení. Pomocí Visual Basic dokáţe průměrně znalý útočník

vytvořit

virus dobře se šířící, prostřednictvím elektronické pošty.

Pravděpodobně nejslavnějším skript virem se stal v roce 2000 VBS/Loveletter.A („I love you“). Adresářové viry Adresářový, neboli linkovací vir je na pevném disku napadeného počítače přítomen pouze v jediném exempláři. Jeho úkolem je napadání jiných spustitelných souborů, kde v jejich adresáři (adresářových tabulkách) upravuje směrník tak, aby ukazoval na začátek viru. Vir si však původní hodnoty směrníku ukládá na jiné místo na disku, a pokud je virus paměťově rezidentní, dokáţe ještě po vlastním spuštění spustit i infikovaný program, aby byla maskována jeho činnost.

18

VBA (Visual Basic for Applications) Visual Basic pro aplikace - programovací jazyk, jehoţ základy jsou společné hned u několika aplikací balíku MS Office.

33

Obrázek 4 – Moţné polohy viru v souboru

Zdroj: BAUDIŠ, Pavel; ZELENKA Josef; Antivirová ochrana. Praha : únor, 1996. ISBN. str.28

2.2.1.5 Viry podle chování Stealth a substealth Název této skupiny můţeme přeloţit do češtiny jako neviditelný, skrytý nebo tajný. Jak uţ jméno napovídá, jedná se o viry, které se svou přítomnost snaţí před uţivatelem utajit a to tím, ţe ukrývají změny, které na souborech nebo boot sektorech vytvořily. Funkci neviditelnosti mají tyto viry pouze za předpokladu, ţe jsou rezidentní a aktivní v paměti. Vir zpravidla infikuje programy v okamţiku, kdy jsou otvírány, nebo spuštěny. Další jejich vlastností je monitoring systémových funkcí, které pouţívá operační systém pro čtení souborů nebo sektorů z paměťového média, a následné simulace výsledků volání těchto funkcí. Z toho vyplývá, ţe program, který se pokouší číst napadený soubor, vidí místo něj jeho originální, tedy neupravený tvar. Ochranou takového viru před odhalením je zavedení sama sebe v průběhu provádění kontroly do operační paměti. Avšak průměrný antivirový program by měl infekci tohoto typu poměrně snadno rozeznat, a to v okamţiku, kdy se škodlivý kód zavádí do paměti. Jedinou podmínkou k odhalení neviditelných virů je to, ţe i průměrný antivirový program musí být spuštěn na neinfikovaném systému 19. Jak jsem uvedl výše, mezi schopnosti těchto virů patří také maskování velikosti infikovaných souborů nebo jejich obsahu při čtení. Vyuţívají toho při infikaci souborů, ke kterým se replikují, a tím zvětšují celkovou velikost napadeného souboru. Proto při tomto typu napadení si uţivatel za běţného provozu ničeno nevšimne.

19

To je takový systém, který není napaden virem. Spuštění „čistého“ systému je prováděno nabootováním operačního systému ze zabezpečeného záznamového média.

34

Viry typu sub-stealth jsou viry, které mají třeba jen jednu vlastnost z výše uvedených, avšak pro antivirové programy představují skoro stejné riziko jako stealth viry. Retroviry Někdy jsou označovány jako odvetné 20 viry. Činnost retroviru spočívá v tom, ţe se snaţí zabránit nebo pozměnit operace antivirového programu tím, ţe ho napadne, a tak unikne odhalení. Další skupina retrovirů také dokáţe identifikovat spuštění antivirového programu, aby se před případným odhalením mohla včas ukrýt, nebo alespoň spustit destruktivní rutinu. Proto heslem těchto virů zní: Nejlepší obrana je útok. Vytvořit takový retrovirus není pro útočníka aţ tak těţké, stačí si vyhlédnout antivirus, který chce napadnout, a prostudovat ho (najít slabé místo, a vymyslet jak ho zneuţít). Útočníci, kteří vytvářejí tyto viry, jsou převáţně ze skupin programátorů, kteří mají všeobecný přehled o všech antivirových programech na trhu, nebo k jejich vývoji nemají daleko. Princip funkce retroviru spočívá v nalezení datového souboru, kam si antivir ukládá signatury virů, a začne je mazat. Tím klesá schopnost antivirového programu detekovat viry. „Chytřejší“ retrovirus vyhledává databáze s informacemi o integritě a smaţe ji, to má opět stejné následky jako u datových souborů. Známějším příkladem skupiny retrovirů, který se objevil v roce 1991, byl virus Tequila. Tunelující Tyto viry se brání nejznámější technikou, která je známa pod pojem tunelování. Tato technika spočívá ve vyhledávání původních vektorů přerušení v DOSu a BIOSu, které volá přímo a obchází tím kontrolu antivirového programu, který by mohl tyto pokusy zrušit. Tunelující techniku však nepouţívají jen viry, ale i antivirové systémy, které obsahují rezidentní část. Ta se totiţ uloţí do paměti a monitoruje dění v systému. Kdyţ se objeví nějaký neznámý virus, antivir se ho snaţí obejít, protoţe uţ mohl být aktivní před spuštěním ochranného systému a nemusel by být detekován. Multiparitní Jak uţ jejich název napovídá, jedná se o skupinu virů, která není omezena pouze na jeden druh infiltrace. Při napadení infikují spustitelné soubory, ale i boot sektory disků.

20

Mnohdy jsou retroviry označovány také jako anti-antiviry.

35

Spustí-li uţivatel zavirovaný soubor typu *.EXE, škodlivý kód se přesune do boot sektoru pevného disku. Potom vir potřebuje, aby došlo k nabootování systému z infikovaného disku (například vypnutím, restartem systému). Tak si virus zajistí instalaci do paměti a tím i paměťovou rezidentnost. Při další šíření pak napadá spustitelné soubory (jako vir souborový). Jako jeden příklad za všechny bych uvedl virus OneHalf21. Polymorfní Kaţdý exemplář tohoto typu má rozdílný kód, protoţe polymorfní virus si své tělo šifruje. Snaţí se tak ukrýt svoji identitu před antivirovým programem. Tyto viry se šíří tak, ţe při vniknutí do počítače nejdříve dešifrují svou úvodní zašifrovanou část pomocí dešifrovací rutiny, která v této situaci přebírá na okamţik řízení uţivatelského počítače, aby extrahovala zbytek viru. Jakmile je extrahován celý virus, přebírá kontrolu po dešifrovací rutině. Odhalit virus tohoto typu je pro antivirové programy docela obtíţné, protoţe při kaţdém napadení vygeneruje novou dešifrovací rutinu. To znamená, ţe se signatura mění s kaţdou novou instalací viru. Pro změny své signatury pouţívá polymorfní virus tzv. mutátor 22. Takţe i začínající útočník, si můţe pomocí mutátoru vytvořit z obyčejného viru vir polymorfní. Základní skenovací metody antiviru nemohou polymorfní viry odhalit. Proto byly vytvořeny speciální vyhledávací stroje, které jsou na tuto problematiku speciálně zaměřeny, a tak by je detekovat měly. Kvůli této skupině virů museli začít zařazovat výrobci antivirů do svých programů i výše uvedené vyhledávající stroje. To celkově vytvořilo z detekce těchto virů draţší a těţší úkol. Prvními šifrovanými viry byly viry nepolymorfní. Ty také pouţívaly dešifrovací rutiny, které se ale neměnily z infekce na infekci. Proto byl tento typ přece jenom lépe identifikovatelný pro antivirové programy, které je odhalily pomocí neměnné signatury dešifrovací rutiny. [6] Armored Doslovně přeloţeno, jedná se o obrněné viry. Jsou chráněny speciálními programovými kódy. Ty mají za úkol komplikovat antivirovým programům hledání trasy k viru a pochopení jeho kódu. Další obranou pancéřového viru je schopnost skrýt se za pomoci zaváděcího kódu.

21

http://www.viry.cz/go.php?p=viry&t=popis&id=81 Mutátor (Mutation Engine) jednoduchý generátor strojového kódu, který mění signaturu pouţitím generátoru náhodných čísel a poměrně jednoduchého matematického algoritmu.

22

36

To znamená, ţe vir ukazuje na „falešné“ místo svého uloţení, ale ve skutečnosti se nachází někde jinde. Poslední moţností obrany tohoto viru je pomocí tzv. „obalového kódu“, který má za úkol odvrátit pohled monitoringu od operačního kódu viru. 2.2.1.6 Viry podle umístění v paměti Rezidentní Virus, který se ilegálně ukládá do paměti uţivatelského počítače. Má dvě základní moţnosti, jak se stát rezidentním v paměti a začít škodit uţivateli. První moţností je, ţe uţivatel otevře infikovaný soubor (v případě souborového viru), druhou moţností je nabootování operačního systému z infikovaného boot sektoru pevného disku uţivatele (jednáli se o boot virus). Tyto viry začaly ustupovat po zavádění 32 bitových operačních systémů. Můţeme říct, ţe čím je virus sofistikovanější a pouţívá neobvyklejších příkazů, tím si ho po startu 32 bitového operačního systému snadněji všimne antivirový program a nenechá vir aktivní. [6] Nerezidentní Mnohdy označovány jako viry přímé reakce, to znamená, ţe nevyuţívají operační paměť pro své šíření, neboli pro svou škodlivou činnost nepotřebují trvalé umístění v paměti. Většina nerezidentních virů je souborovými viry. Tomuto typu virů stačí, ţe jsou aktivovány uţivatelem společně s hostitelským programem. Poté převezmou řízení a provádějí svou činnost (replikaci, a to buď postupnou, nebo naráz) a potom vracejí řízení zpět hostitelskému programu. Avšak tato skupina virů není ve světě moc rozšířená a to proto, ţe díky nepřítomnosti v paměti, nejsou schopny sloţitějších technik (stealth) a také nemohou provádět monitorování funkcí vedoucích k jejich dopadení. [6] Rezidentní – TSR Tento typ virů je určen pro MS-DOS. Určité souborové viry se mohou do operační paměti nainstalovat pomocí sluţeb MS-DOS poměrně legálně, a to jako rezidentní TSR 23, a tajně tam provozovat škodlivou činnost (replikovat se). S trochou nadsázky je můţeme jako podskupinu přiřadit k rezidentním virům. Rezidentní TSR virus lze teoreticky velmi rychle odhalit. [7]

23

http://cs.wikipedia.org/wiki/Terminate_and_Stay_Resident

37

2.2.1.7 Viry podle rychlosti šíření Rychlé Rychlé infektory jsou souborové viry, které napadají jak spuštěné soubory, tak i soubory, které jsou otvírány při kopírování nebo přesouvání. Pomalé Viry této skupiny je těţké detekovat, protoţe napadají jen soubory, s kterými manipuluje uţivatel. Jinak řečeno, tento virus napadá soubory, které operační systém upravuje nebo kopíruje. Vir tohoto typu můţe nakazit kopii souboru, ne však originál. Při hledání tohoto viru by si měl kontrolor integrity 24 všimnout nového souboru, který nemá ţádný kontrolní účet, a ohlásit ho uţivateli. I kdyţ je uţivatel upozorněn, stejně na chybném součtu patrně nespatří nic podezřelého, protoţe instrukci pro vznik nového souboru zadal sám. [6] Sparse Jak uţ napovídá jejich název, jedná se o viry, které infikují uţivatelské počítače příleţitostně, nebo při splnění podmínek s malou pravděpodobností. Výsledkem jejich chování je minimalizace rizika jejich odhalení uţivatelem. [7] ZOO Tento termín je pouţíván pro viry, které se vůbec nešíří, a šance obyčejného uţivatele se s nimi setkat je nulová. Jsou to pouze experimenty, které se pouţívají pro testování a nejsou schopny „ţivota“. Tyto viry vznikají i za situace, kdy nějaký programátor chce získat prvenství (například první virus roku 2012), a to i za cenu vytvoření ZOO viru (tedy viru neschopného čehokoliv).

24

Kontrolor integrity (integrity checker) - je program, který monitoruje obsah diskových zařízení, velikost všech souborů a jejich kontrolní součty. Na případné nesrovnalosti upozorňuje uţivatele.

38

2.2.2

Trojský kůň

Je to dnes jiţ nedokonalá infiltrace. Program, který se chová a vypadá jako legální software. Pod tímto pozlátkem však provádí škodlivé operace. Trojský kůň není schopen replikace ani připojení k jinému hostiteli. Najdeme ho převáţně v nějakém spustitelném souboru (*.exe, *.com). K infiltraci trojským koněm poslouţí nic netušící uţivatel, který nakaţený program spustí, a tím je zahájena operace jak chtěná, tak destrukční.

2.2.3

Červi (worms)

Po roce 2000 se začaly hojně objevovat, protoţe tato infiltrace zneuţívala pro své šíření elektronickou poštu, která se od té doby hojně pouţívá. Uţivatel můţe svůj počítač infikovat jen tím, ţe si otevře přílohu emailu, která mu přišla od neznámého nebo známého, ale uţ infikovaného uţivatele. Často tyto přílohy bývají pojmenovány tak, aby přilákaly pozornost (např. jméno známe herečky, herce). Jakmile je příloha otevřena, červ se aktivuje, a aniţ by uţivatel něco tušil, začne infiltrace. Červ se z převáţné většiny nabourá do emailového adresáře uţivatele a získá kontakty, na které se dále po síti přeposílá. Jakou rychlostí se červi dokáţou šířit, jsme mohli vidět v roce 2000, kdyţ se objevil červ I Love You25, který údajně napadl více neţ 45 miliónů počítačů na celém světě.

2.2.4

Zadní vrátka (backdoor)

Druh trojských koní, který na sebe vůbec nepřitahuje pozornost, schovává se v počítači uţivatele a čeká, aţ se útočník pomocí sítě internet připojí na postiţený počítač. Po připojení si útočník s uţivatelským počítačem můţe dělat „co chce“ – kopírovat a získávat data, manipulovat s operačním systémem, ale i s mechanikou DVD. Backdoor se dělí na dvě části: 

Klientskou – ta část backdooru, kterou vlastní útočník a jíţ ovládá serverovou část



Serverovou - část, která se usadí v zasaţeném počítači

25

http://cs.wikipedia.org/wiki/I_Love_You nebo http://www.dvojklik.cz/2010-08/historie-viru-i-love-you

39

2.2.5

Bot

Malware, který z napadeného počítače vytvoří „zombie“. Útočník pomocí vzdáleného přístupu ovládne napadený systém a ten pak vykonává veškeré útočníkovy úkoly, mezi které patří například rozesílání nevyţádané pošty – Spamu.

2.2.6

URL Injection (hijacker)

Program měnící URL adresy webových stránek, které si uţivatel zadal. Ten je poté přesměrován na úplně jiné stránky.

2.2.7

Časovaná bomba

Typ malwaru, jehoţ první část (náloţ) je schována v počítači a čeká na druhou část - spouštěcí signál (spoušť). Pod tímto signálem si můţeme představit např. hodinu, datum nebo přihlášení do systému. Po spuštění má tato bomba za úkol zahájit ničení, škodlivou činnost. Nejčastější pouţívání těchto programů je vnitřní prostředí, např. firma nebo instituce. Útočníkem se můţe stát nespokojený, nebo propuštěný zaměstnanec. Nebezpečí útoku spočívá v tom, ţe se neočekává útok zevnitř podniku a ţe útok provádí člověk, který prostředí velmi dobře zná. 2.2.8

Keylogger (klávesový špión)

Speciální spywarový program, jehoţ úkolem je snímat stisky kláves a přeposílat je útočníkovi. Ten se tímto způsobem dovídá např. uţivatelská hesla, jména, piny, přihlašovací údaje.

2.2.9

Hoax

Není to klasický škodlivý program. Hoaxem 26 můţeme nazvat nechtěnou, nevyţádanou převáţně emailovou zprávu, která uţivatele upozorňuje na nějaké nebezpečí, jakým je vir, nebo se ho snaţí pobavit či prosit o pomoc. Šíření hoaxu je především závislé na uţivatelích, kteří takovou zprávu obdrţí. Kaţdý neznalý uţivatel povaţuje hoax za důleţitý a okamţitě se snaţí varovat přátele, kamarády, kolegy, a tím podporuje jeho šíření.

26

Databáze hoaxů jiţ kolujících na internetu - http://www.hoax.cz/hoax/databaze/

40

Kaţdé tělo hoaxu se skládá z několika bodů: 

Popis – stručně vysvětluje, jaké to nebezpečí se vlastně šíří.



Účinky – autor hoaxu popisuje, jaké ničivé účinky můţe mít nebezpečí, před kterým varuje.



Zdroje - vţdy jsou uváděny důvěryhodné zdroje, aby uţivatel uvěřil (např. BIS, FBI, CIA, PČR,…).



Výzva – Je vţdy součástí. Díky přístupu některých uţivatelů se díky tomuto bodu velmi rychle šíří.

2.2.10

DoS

Jedná se o zkratku spojení Denial of Service, coţ můţeme přeloţit jako odmítnutí sluţby. Takto se označují útoky, které se snaţí zamezit regulérním uţivatelům přístup k nějaké sluţbě, počítači nebo síti. DoS útoky jsou stále aktuální, i kdyţ se časem trochu pozměnily. Dříve byly prováděny útoky na celé počítače, ale dnes se dostávají do popředí DoS útoky, které vyuţívají zranitelnosti v jednotlivých programech. DoS útoky se mohou dělit podle mnoha parametrů, ale základní je rozdělení na dva typy. Při lokálním útoku musí mít útočník přístup k počítači, na který chce zaútočit. Vzdálený útok znamená, ţe útočník nepotřebuje přímý přístup k počítači. [8] Při těchto útocích není napaden skutečný cíl, ale jeho přístupový zdroj, takţe uţivatel nezíská přístup ke sluţbě, na kterou by měl mít nárok. Takovým příkladem je obsazení přenosové kapacity větším mnoţstvím poţadavků, neţ je schopna zvládnout (přirovnání k dopravní zácpě), přivlastnění systémových zdrojů (zabrání procesorového času, paměti serveru, kapacity disků) nebo zneuţití chyb v programech (počítače bez bezpečnostních aktualizací). [7] Podmnoţinou DoS jsou DDoS útoky. Je to zkratka pro distribuovaný DoS útok, coţ znamená, ţe se útoku účastní více počítačů.

41

Obrázek 5 – Příklad útoku DDoS

Zdroj: http://www.comguard.cz/novinky/komentar-jak-ucinne-celit-ddos-utokum/, [cit. 14. 12. 2011]

2.2.11

Spyware

Špionáţní programy, které sledují, sbírají a následně odesílají informace o napadeném uţivateli svému tvůrci. Pod odesílanými informacemi si můţeme představit přístupová jména, hesla, jaká uţivatel pouţívá, programy, nebo jaké navštěvuje webové stránky.

2.2.12

Adware

Software, který automaticky přehrává, stahuje nebo zobrazuje reklamní materiál do počítače a tím znepříjemňuje práci uţivateli. Adware je převáţně dodáván společně s volně šiřitelným softwarem (freewarem), aby byl zajištěn příjem z reklam, proto je část adwaru doprovázena licenčním ujednáním EULA 27, kde musí uţivatel souhlasit s instalací. Příznakem adware v počítači jsou například vyskakující reklamní okna (pop-up) nebo vnucující se webové stránky, o které nemá uţivatel při práci na internetu zájem.

27

(End User License Agreement) Licence pro koncového uţivatele softwaru určující, co uţivatel smí a nesmí provádět.

42

2.3

Sociální inţenýrství (sociální útoky)

Metoda, která představuje způsob průniku do uţivatelského počítače nebo alespoň získání dat od uţivatele. Sociální inţenýrství vyuţívá uţivatelských slabin nebo dobrosrdečnosti lidské povahy. Obvyklým prostředkem sociálního útoku bývá elektronická pošta (email), telefonní hovor nebo televizní reklama. Za pravděpodobně nejslavnějšího hackera pouţívajícího tuto metodiku je povaţován Kevin David Mitnick. S přibývajícími peněţními transakcemi na internetu přibývá i mnoţství sociálních útoků a s nimi i nové výrazy.

2.3.1

Phishing (rybaření)

Jde o v České republice zatím neznámé odvětví sociálního inţenýrství, které se rozmáhá na internetu. V USA, kde je phishing pravděpodobně nejrozšířenější, se udávají ztráty kolem 1 miliardy dolarů ročně. Cílem phishingu je za pomoci falešných emailů nebo webových stránek získat nebo vylákat z oběti citlivá data např. rodná čísla, čísla účtů a hesla. Za tímto účelem jsou nejčastěji falšovány webové stránky bank, spořitelen, pojišťoven. Cílem phishingových útoků se stávají lidé, kteří vyuţívají internet ke spravování svých bankovních účtů, placení či nakupování např. pomocí eBay, nebo PayPal. Při takovém útoku dochází k tomu, ţe útočník si pomocí odeslaného emailu získá důvěru uţivatele. Ten pod záminkou např. doplnění informací ke svému účtu vyuţije odkazu v emailu, jímţ je však přesměrován na stránky podvodníka, který tak získá citlivá data. Aby uţivatelé viděli, jak takový útok vypadá, a mohli mu předejít, začaly se vytvářet databáze phishingových útoků 28.

2.3.2

Pharming (farmaření)

Sloţitější a náročnější forma phishingu. Pharming má dvě podoby napadení. První moţností je, ţe si útočník vybere pro útok uţivatelský počítač, kde uţivatel navštěvuje za pomoci internetu webové stránky. Kaţdá webová stránka má svoji IP adresu 29 a jako

28 29

http://www.hoax.cz/phishing/databaze/ IP adresa - číslo, jednoznačně identifikující síťové rozhraní v počítačové síti (např. 192.168.1.2)

43

takových si jich člověk mnoho nezapamatuje. Proto je vyuţívána sluţba DNS30. Uţivatel si zadá adresu webové stránky pomocí jejího jména a sluţba DNS uţ provede převod na adresu IP. Počítač, tedy lépe řečeno webový prohlíţeč, si vytváří seznamy navštěvovaných IP adres pro budoucí rychlejší načítání stránek. A právě tato data jsou pharmingem upravována. Útočník přepíše původní IP adresy na ty, které vyuţívá on, a uţivatel je nevědomky přesměrován na jiný server nebo webové stránky. Druhou moţností útoku je DNS cache poisoning 31. Útoky nesměřují na domácí počítač, ale na DNS server. Toto napadení je mnohem nebezpečnější, protoţe ho obyčejný uţivatel skoro nemá moţnost poznat. Útočník napadne DNS server, kde přepíše nebo upraví IP adresy, a ty jsou potom na vyţádání uţivatelů rozesílány. Uţivatelé jsou poté přesměrováni na falešné webové stránky útočníka, kde můţe dojít k získání jejich citlivých dat. Protoţe phishing i pharming patří do kategorie sociálního inţenýrství, je důleţité, aby kaţdý uţivatel vţdy důkladně přemýšlel nad svými činy. A to především při manipulaci s penězi na internetu. Obrázek 4 – DNS cache poisoning (otrávení paměti DNS záznamů)

Zdroj: http://www.petervaldivia.com/technology/networks/dns.php [cit. 14. 12. 2011]

[10] 30DNS (Domain Name System) hierarchický systém doménových jmen. 31

DNS cache poisoning - otrávení paměti DNS záznamů

44

2.4

Antiviry (antivirové programy)

Hlavní funkcí antivirových programů je detekce virů. Mohou detekovat vstup virů do systému, uloţené i aktivované viry nebo jejich funkční projevy.

2.4.1

Historie

Zřejmě první veřejně známé neutralizování rozšířeného viru bylo provedeno Evropanem Berntem Fixem na začátku roku 1987, kdy neutralizoval takzvaný Vienna virus. Na podzim roku 1988 vznikl první antivirový program se jménem „Solomons's Anti-Virus Toolkit“. V prosinci 1990 se objevilo na trhu jiţ devatenáct jednotlivých produktů, mezi nimi Norton AntiVirus a VirusScan od McAfee. [9]

2.4.2

Rozdělení virů podle detekce antivirem

Vstupující viry Jsou detekovány na základně porovnání signatur s kódem viru, analýzou kódu spuštěného programu. Uloţené viry Detekují se porovnáním části řetězce kódu viru, analýzou kódu spuštěného programu a zjištěním přítomnosti změn spustitelných souborů. Aktivované viry Jsou nainstalovány v paměti, kde se můţe vyhledat jejich kód pomocí signatur a analyzovat tak jejich způsob instalace do paměti. Funkční projevy virů Souvisí s jejich obnovou (replikací) a případnou destrukční činností. Proto se v moţnostech antivirových programů nachází moţnost blokování neobvyklých příkazů (formátování HDD, nevyţádané přístupy,…)

45

2.4.3

Očekávané funkce antiviru

Komplexnost antiviru Více různých moţností detekce v jednom balíku. Aktualizace Časté update a upgrade od výrobce, aby mohl antivir reagovat na nově vzniklé vlastnosti virů a na viry v jiných operačních systémech. Komunikace s uţivatelem Při velké komplexnosti antiviru musí být vhodně uzpůsobena komunikace s uţivatelem (jednoduchost, přehlednost, on-line nápověda, ovládání programu pomocí ikon, rozdělení funkcí pro běţného a pokročilého uţivatele). Detekce virů Známých i neznámých. Moţnost detekce několika způsoby a moţnost jednoduchého doplnění signatur nových virů. Odstraňování virů Výběr moţnosti likvidace napadeného souboru (mazání, léčení, přemístění). Ochrana proti zápisu Brání jakémukoli zápisu (na část HDD nebo do souboru). Flexibilita Moţnost vyuţití antiviru pro jiné operační systémy, lokální počítače i pro sítě. Flexibilita poukazuje na programátorské schopnosti firmy. Komplexní vlastní samokontrola Kontrola integrity spustitelných i datových souborů. Záchrana Moţnost programu vytvořit tzv. záchranné médium (CD, DVD, flashdisk,…) a následně jej pouţít při selhání systému.

46

Flexibilní nastavení detekce Určení místa vyhledávání virů (v souboru, adresáři, na disku), nastavení citlivosti detekce (heuristické analýzy, v předem určený čas,…)

2.4.4

Sloţení antivirových programů

Kaţdý antivir nebo antivirový balíček, který vyhledává, detekuje a odstraňuje viry, obsahuje některé, nebo všechny základní části: 2.4.4.1 Scanner (kontrola, vyhledávání, detekce) Program, který slouţí k vyhledávání a případné identifikaci známých virů podle charakteristických řetězců a algoritmické detekce. Nejprve dochází k prohledávání pamětí a poté pevných disků. Takový postup je prováděn proto, aby se při kontrole disků nenakazily veškeré kontrolované programy virem, který se nachází v paměti. 2.4.4.2 Cleaner (dezinfekce) Základní funkcí tohoto programu je odstraňování virů z napadených souborů, MBR nebo boot sektoru. Cleanery vyuţívají znalosti virů a pokouší se obnovit soubory do původních stavů tím, ţe „vyříznou“ vir, nebo přepíší soubor pomocí vytvořené záloţní kopie.) 2.4.4.3 Paměťově rezidentní scanner Jako základní část antivirových balíků, provádí automatické kontroly spuštěných programů nebo kopírovaných souborů. Při nálezu infekce neumoţní vykonat udanou činnost. Tyto scannery však zabírají značnou část paměti, a tím zpomalují PC. Některé z nich mají také sloţitou instalaci či pouţití. Také se mohou dostávat do kolizí s jinými nainstalovanými programy (při testech). 2.4.4.4 Kontrolor integrity dat (checksummer) Vytváří a kontroluje databáze kontrolních součtů pro spustitelné soubory, MBR nebo boot sektory (tyto části disků by neměly být za normálních okolností uţivatelem vůbec modifikovány, při napadení změnu v těchto souborech provádí virus). Při vytváření databáze musí být splněna hlavní podmínka - paměťové médium, na které je databáze vytvářena, není zavirované, protoţe při antivirové kontrole je porovnáván stav aktuální se srovnávací databází. Pokud je nalezen rozdíl, je to detekováno jako moţné napadení virem. Některé

47

programy vytvářejí databázi kontrolních součtů jako jeden celek (soubor) pro celý disk, jiné pro kaţdý podadresář, či dokonce pro kaţdý soubor. 2.4.4.5 Monitor podezřelých činností Rezidentní program, který kontroluje podezřelé operace (například nevyţádaný zápis na disk, pokus o formátování HDD). V případě takto nepovolené operace je její provádění zastaveno. Monitor můţe vyvolávat často falešné poplachy, protoţe kromě virů vyuţívají často „podezřelých operací“ i běţné programy. 2.4.4.6 Paměťově rezidentní protokol integrity dat Dochází k počítání a porovnávání kontrolních součtů u spuštěných programů. V situaci, kdy dojde k nějakému rozdílu v kontrolním součtu (např. při nainstalování nových programů), není povoleno další pokračování programu. Nevýhodou je zpomalení veškerých programů při spuštění, výhodou průběţná kontrola programů. 2.4.4.7 Prohlíţeč disků a souborů Slouţí k prohlíţení a editaci pevných disků po sektorech (boot sektory, vadné sektory, MBR, neobsazené sektory).

2.4.5

Dělení antivirů

Antiviry lze dělit podle mnoha kritérií, například podle sloţitosti, na: 2.4.5.1 Jednoúčelové antiviry Antivirové programy, které jsou určeny pro detekci, eventuelně i dezinfekci konkrétního viru nebo menší skupiny virů. Jednoúčelové antiviry nelze chápat jako plnohodnotnou antivirovou ochranu systému. Jde pouze o jakousi „krabičku poslední záchrany“, kterou uţivatel pouţije v případě, ţe sám zjistí (popřípadě ho někdo upozorní), ţe je jeho počítač napaden určitým virem. Jednoúčelové antiviry jsou k dispozici zdarma (shareware) a slouţí k likvidaci pouze konkrétního viru rozšířeného v dané době. [10] 2.4.5.2 On-demand skenery Jedná se o jednu ze součástí antivirových systémů. On-demand skener je nabízen některými antivirovými společnostmi zdarma nebo jako shareware (volně šiřitelný software). Tyto antivirové programy se uplatní především při léčení (cleaner, nebo dezinfekci) počítačů, ve kterých není operační systém schopen provozu. Jednou z alternativ jsou internetové on-line 48

skenery, které někteří výrobci antivirových programů nabízejí na svých stránkách. Obvykle jde o skript, který je spojen s internetovým browserem (webový prohlíţeč např. Internet Explorer) a dokáţe spolehlivě prohledat pevný disk uţivatele se zaměřením na výskyt virů bez toho, aby tento antiviru získal natrvalo. [11] 2.4.5.3 Antivirové systémy V dnešní době se jedná o nejznámější formu antivirových programů. Antivirový systém se skládá z částí, které sledují veškerá hlavní vstupní a výstupní místa, kterými by bylo moţné provést napadení výpočetního systému. Mezi vstupní a výstupní místa patří přenosová a záznamová média (CD, DVD, flashdisk), elektronická pošta a WWW stránky. Nedílnou součástí dnešních antivirových systémů je získávání aktualizací prostřednictvím internetu. V některých případech lze toto řešení rozšířit i o osobní firewall (kontrola internetové komunikace). [11] 2.4.5.4 Antivirová ochrana sítí Dnes, kdy skoro kaţdá firma má vlastní počítačovou síť, je její ochrana velmi důleţitá. Při selhání nebo napadení sítě mohou nastat ve firmě velké potíţe. Pod pojmem antivirová ochrana firemní sítě si nepředstavujme pouze antivirový software, ale také určitou bezpečnostní politiku firmy, zkušeného, zodpovědného a prověřeného správce (administrátora) a především poučené zaměstnance. Z pohledu ochrany sítí můţeme dělit antivirový software na: 

antivirovou ochranu stanic,



antivirovou ochranu groupware 32 a souborových serverů,



antivirovou ochranu na vstupních branách do Internetu.

Některé antivirové společnosti nabízejí všechna výše uvedená řešení v jednom „balíku“. Síťové verze antivirových systémů jsou licencovány podle počtu stanic v síti, v některých případech pak podle počtu serverů nebo domén. Protoţe cena takovéto ochrany není zrovna nejniţší, dochází k tomu, ţe firmy tyto produkty nakupují postupně. V takovéto situaci musí dojít k nákupům ochrany od nejniţších vrstev, coţ jsou stanice aţ servery.

32

Groupware - programové vybavení, umoţňující dvěma a více lidem navzájem komunikova t na společném díle.

49

2.5

Firewall

Firewall je jedna ze základních ochran počítače. Je to nástroj, který odděluje chráněnou síť od nechráněné, nebo chráněnou část sítě od části nechráněné. Při připojení počítače s internetem je dnes jiţ firewall samozřejmostí. Obrázek 6 – Princip práce firewallu

Zdroj: KRÁL, Mojmír; Bezpečnost domácího počítače; Grada, 2006; ISBN 80-247-1408-6, str. 154

Základem celého firewallu je NAT 33, jehoţ úkoly jsou: 

Do lokální sítě nepouštět ţádné pakety přicházející z internetu. Výjimku tvoří povolení uţivatele, který otevře některý z portů.



Dovoluje navázání spojení lokální sítě do internetu.



Jestliţe přijde odpověď z internetu, která byla podnícena jiţ dříve navázaným spojením (z lokální sítě ven), je tato odpověď puštěna k počítači, který toto spojení navázal.

2.5.1

Softwarový firewall

Mnohdy je označován jako serverový. Jsou to vlastně speciální softwarové aplikace nainstalované na existujících serverových operačních systémech. Mezi jejich hlavní výhody patří niţší počáteční náklady (malé sítě) a moţnost kombinování firewallu s dalšími aplikacemi (FTP). V dnešní době se na trhu vyskytuje mnoho druhů softwarových firewallů určených jak pro malé, tak pro velké sítě. U jednotlivých počítačů mohou být pouţity osobní

33

NAT – (Network Address Translation), Překlad síťových adres

50

firewally. Takovýto firewall se instaluje u koncové stanice a pouţívá se především tam, kde není síť chráněna vyhrazeným firewallem. Proto jsou často kombinovány s antivirovými programy. K předním výrobcům patří: McAfee, Symantec.

2.5.2

Hardwarový firewall

Hardwarové firewally jsou samostatné produkty, které jsou v poslední době typické pro širokopásmové směrovače. Jsou povaţovány za důleţitou součást systému nebo nastavení sítě, a to zejména pro kaţdého, kdo širokopásmové připojení pouţívá (zprostředkovává). Hardwarové firewally jsou efektivní i s malou nebo ţádnou konfigurací a mohou chránit kaţdý počítač v místní síti. Většina hardwarových firewallů má minimálně čtyři síťové porty pro připojení dalších počítačů. Hardwarový firewall pouţívá filtrování paketů, aby mohl zkoumat hlavičku balíku a tím zjistil jeho zdroj a cíl. Tato informace je srovnána se sadou předdefinovaných uţivatelských pravidel a tím zjistí, jestli balíček můţe být předán uţivateli. Obrázek 7 – Juniper SRX 650 servisní gateway firewall

Zdroj: http://www.64bit.cz/popupgallery/juniper-srx-650-servisni-gateway-firewall-2-gb-propustnost-7gbits/2455/?ms=3 [cit. 20. 12. 2011]

2.5.3

Rozdělení firewallu podle způsobu fungování

2.5.3.1 Paketový filtr Je to nejstarší a nejpouţívanější metoda řízení přístupu k sítím. Podle určitých identifikačních údajů (přesně uvádějících pravidel) v hlavičce paketu je stanoveno, zda můţe paket do sítě vstoupit nebo z ní vystoupit. Tyto filtry se pouţívají jiţ několik let, ale stále mají své místo. Například tam, kde vyuţijeme velmi dobrou rychlost zpracování, neboli vysokorychlostní přenos velkého mnoţství dat, a nepotřebujeme nijak zvlášť jejich hloubkovou analýzu. Tato technologie je součástí například operačních systémů, hardwarových a softwarových firewallů.

51

Tato technologie má však i záporné vlastnosti, ke kterým bezesporu patří neschopnost rozlišování typů síťového provozu a to především u sloţitějších protokolů typu FTP 34. 2.5.3.2 Proxy firewall Mnohdy je označován také jako aplikační brána. Je to aplikace, která zajišťuje komunikaci internetových protokolů mezi vnitřní a vnější sítí, neboli mezi sítí chráněnou a nechráněnou (Internetem). Proxy server přistupuje jménem klienta (iniciátora) k určité síťové sluţbě a fakticky tím zakrývá přímé spojení mezi oběma partnery. Uţivatel naváţe potřebná spojení s proxy serverem a ten se spojí s cílovým serverem. Poté jsou přes proxy předávána data od uţivatele dále k cílovému serveru. Data, která aplikační brána dostane od cílového serveru, pak opět v původním spojení předává uţivateli. Při pouţití proxy firewallů tak vzniká situace, kdy cílový server nevidí adresu uţivatele, který ţádost vyslal, ale pouze adresu vnější aplikační brány (tyto brány vlastně slouţí jako automatické nástroje pro překlad adresy). Mezi jejich výhody můţeme zařadit kvalitní zabezpečení známějších protokolů, mezi nevýhody zase vysoké nároky na hardware. Dnešní vyuţití aplikačních bran je pouze ve specifických případech. 2.5.3.3 Stavový firewall Speciální typ firewallu, který provádí kontrolu paketů podobným způsobem jako obyčejný paketový filtr, ale navíc ještě sleduje stavy síťových spojení. Informace o povolených spojeních poté ukládá a vyuţívá je při dalším rozhodování (patří-li procházející paket do jiţ povolených spojení nebo se jedná o jiné spojení, a proto musí projít novým rozhodovacím procesem). Touto vlastností se urychluje vyřízení paketů jiţ kdysi povolených spojení. Vlastnostmi a moţnostmi se stavový firewall dostává mezi paketové filtry a proxy firewall. Výhodami stavových firewallů je vcelku vysoká rychlost přenosu a dobré zabezpečení.

34

FTP (File Transfer Protocol) Protokol pro přenos souborů

52

2.6

Antispyware

Antispyware je program, který je vytvořen pouze k odhalení a následně moţné likvidaci spywaru 35. Dnes ho společnosti zabývající se ochranou systémů sdruţují do „balíků“ s antivirem, protoţe ten sám o sobě nedokáţe spyware odhalit. Antispyware pracuje skoro na stejném principu jako antivirový program. Po připojení k firemní síti nebo internetu je spuštěna ochrana a ta brání jakékoli zjištěné hrozbě ve vstupu do chráněného počítače. Druhou moţností odhalení spywaru je scanner. Ten si uţivatel můţe spustit kdykoliv, nebo si nastaví automatické kontroly (například kaţdý den, v určitou hodinu). Scanner prověřuje ta místa na disku uţivatelského počítače, kam se spyware mohl nainstalovat. Mezi tato místa patří registry, soubory OS, cookie 36. Po dokončení kontroly disku se zobrazuje seznam napadení a moţného řešení. Samozřejmostí, tak jako u antiviru, je provádění častých aktualizací. Společnosti, které se zabývají antispywarem, jsou například Lavasoft 37 (Ad-Aware), AVG38 (AVG AntiSpyware). Kompletní balíček zabezpečení nabízí také firma ESET 39 (Eset Smart Security 5).

2.7

Antispam

Nejedná se přímo o software k odstraňování spammu, ale spíše o soubor technik, jejichţ pouţíváním by se mělo předejít nebo úplně zamezit jakémukoli šíření spammu a nebo zajistit případné odstraňování z uţivatelského počítače. Jednou z technik je filtrace emailů označených jako spam, kterou nabízí skoro kaţdý poskytovatel emailových účtů. Mezi známé poskytovatele, kteří tuto funkci nabízejí, patří www.seznam.cz, www.centrum.cz, www.volny.cz. Ke správné funkci antispamové ochrany musí přispět i samotný uţivatel, který by si měl provést nastavení svého emailového účtu.

35

Spyware – viz kapitola 2. 2. 11 Cookie (koláček), malé mnoţství dat, které WWW server posílá prohlíţeči a ten je následně ukládá na pe vný disk uţivatele. 37 http://www.lavasoft.com/ 38 http://www.avg.com/cz-cs/uvod 39 http://www.eset.cz/cz/ 36

53

2.8

Webový prohlíţeč (browser)

Jde o program, který se spouští v rámci nějakého operačního systému na uţivatelském počítači. Je to vlastně rozhraní, které zobrazuje webový obsah uţivateli. Prohlíţeč dostává od webových serverů kódované informace, jeţ musí přeloţit do podoby, kterou obyčejný uţivatel pochopí, a to podoby grafické nebo textové. Historie Počátek webových prohlíţečů můţeme vidět v roce 1977, kdy Neil Larson vytvořil program TRS-80. Ten umoţňoval přecházet v dokumentech na jiné úrovně díky hypertextovým odkazům. Mezi první skutečné webové prohlíţeče lze povaţovat MidasWWW a ViolaWWW, které vznikly v roce 1992. V roce 1994 se na trhu objevil webový prohlíţeč Netscape Navigátor, který si získal obrovskou popularitu. Největší boom ale nastal v roce 1995, kdy Microsoft vydal nový operační systém Windows95, jehoţ součástí byl i webový prohlíţeč Internet Explorer. [12]

2.8.1

Základní vlastnosti bezpečného prohlíţeče

Automatické aktualizace Prohlíţeč si po připojení k internetu vyhledá na domovských stránkách své aktualizace. Pokud zjistí, ţe je jeho stávající verze starší neţ poslední vydaná, vyhodí uţivateli hlášení o moţné bezpečnostní aktualizaci. Po potvrzení uţivatelem se jiţ prohlíţeč postará jak o staţení, tak o instalaci. Tento bod je velice důleţitý, protoţe časté provádění aktualizací dokáţe předcházet hrozbám napadení z internetu. Ochrana proti spyware Webový prohlíţeč nesmí bez výslovného svolení uţivatele stáhnout, spustit, či nainstalovat ţádný program. Ochrana proti phishingu Pokud uţivatel třeba i nechtěně navštíví falešnou webovou stránku, kde by bylo moţné získat jeho soukromá data, prohlíţeč ho okamţitě upozorní a pokusí se ho přesměrovat na originální stránku.

54

Mazání důvěrných dat V nástrojích prohlíţeče by měla být moţnost „smazání důvěrných dat“, jakými jsou například hesla, cookie, uţivatelská jména. Tato funkce se nejvíce pouţívá na veřejných místech s připojením k internetu, jako jsou třeba internetové kavárny, počítačové herny. Blokování POP-UP Jinak řečeno blokování vyskakovacích oken. Jsou to vizuální elementy, dnes hojně pouţívány pro reklamu. Funkci blokování těchto okem má snad kaţdý moderní webový prohlíţeč.

3 Příklad realizace zabezpečení 3.1

Antivirový software

Kaţdý antivirový software by měl disponovat několika základními vlastnostmi pro zajištění bezpečnosti domácího počítače a pro snadnou obsluhu uţivatelem. Monitor (rezidentní skener) Pracuje nepřetrţitě od spuštění PC, úkolem je kontrola přístupu k souborům. Nerezidentní skener Spuštěn příkazem uţivatele (test připojeného flash disku) Heuristická analýza Za pomoci rozboru kódů dochází k hledání typických činností virů. Uţivatel by měl provést správné nastavení, aby nedocházelo k moţným falešným poplachům. Většina dnešních antivirů pouţívá tuto analýzu i pro kontrolu maker (office). Elektronická pošta Pomocí antiviru by mělo docházet i ke kontrolám emailů. To znamená moţnost antiviru spolupracovat s elektronickou poštou. Léčba Uţivatel se za pomoci antiviru můţe pokusit napadený soubor „vyléčit“. Záleţí však na typu a způsobu napadení.

55

Trezor (karanténa) Prostor, kam umisťuje napadený soubor nejen antivir, ale také uţivatel. Trezor neumoţňuje viru další šíření a soubor tam můţe zůstat do doby, neţ ho bude moţné vyléčit. Záchranný disk Dnes běţná funkce. Při instalaci se antivir dotáţe uţivatele, zda má vytvořit záchranné médium (cd, flash disk). V případě selhání systému tak můţe dojít k jeho obnovení. Aktualizace Velice podstatná část, bez které je vlastně antivir k ničemu. Bez aktuální aktualizace je antivir proti novým virům bezbranný. V dnešní době je veškerá aktualizace prováděna okamţitě při připojení k internetu. Cena Mnoho uţivatelů přemýšlí, kde na vybavení PC ušetřit. Rozhodně by se to nemělo týkat bezpečnosti. Některé antiviry je moţné pouţívat zdarma (freeware), hlavně pro domácnosti a některé antivirové systémy vyjdou na několik tisíc korun (většinou pro firmy).

56

3.1.1

Příklady antivirových programů

V této kapitole jsou uvedeny tři základní antivirové systémy, které připadají v úvahu při výběru vhodného zabezpečení domácího počítače. 3.1.1.1 Avast! Antivirus 6 Antivirus od společnosti Alwil Software, která patří mezi nejstarší tuzemské výrobce zabývající se touto problematikou. V minulých letech vzbudil rozruch mezi odbornou veřejností, kdyţ dokázal porazit v několika kategoriích srovnávacích testů i plně placené verze ostatních antivirů. Dnes nabízí pro domácí pouţití tři verze antiviru. Nejpouţívanější je verze free. Avast! Antivirus 6 free40 zajišťuje základní ochranu uţivatelského počítače před škodlivými kódy a spyware. Ve verzi Internet Security je jeho jádro ještě rozšířeno o, antispamový modul, firewall nebo zajištění ochrany při on-line nakupování. Klasicky antivirový program provádí automatickou aktualizaci. Obrázek 8 – Avast! Antivirus 6

Zdroj: vlastní

40

Více informací nebo moţnost staţení free verze - http://www.avast.com/cs-cz/free-antivirus-download

57

3.1.1.2 ESET NOD32 Antivirus 5 Antivirový systém od slovenské společnosti ESET 41, který se dostal do podvědomí zkušených uţivatelů díky drţení rekordních počtů ocenění Virus Bulletin 100% Award 42 nebo špičkovou kvalitou heuristické analýzy. Uţivatel má moţnost si na oficiálních stránkách společnosti stáhnout zkušební verzi. Pro plnohodnotné pouţívání si však musí zakoupit licenci. Instalace produktu je velice jednoduchá a nabízí moţnosti scénářů od začátečníka aţ po profesionála. Ovládání antivirového systému je jednoduché pomocí ESET CONTROL CENTER. Veškeré antivirové kontroly zatěţují výkon počítače jen minimálně, snaţí se vyuţívat inteligentní dynamickou cache a sníţit veškeré diskové operace. Mezi další funkce patří vyuţívání rezidentních štítů a moţnost aktualizací i několikrát denně. Obrázek 9 – ESET NOD32 Antivirus 5

Zdroj: vlastní

41

http://www.eset.cz/cz/ http://www.virusbtn.com/vb100/index

42

58

3.1.1.3 AVG Internet Security 2012 Grisoft 43 je další tuzemskou společností zabývající se ochranou počítačů, avšak termín „tuzemská“ je dnes jiţ nepřesný. V roce 2005 bylo 65% společnosti prodáno do zahraničí. I kdyţ tento antivir nezískává mnoho ocenění, našel zalíbení u mnoha uţivatelů. AVG zajišťuje ochranu před viry, ale také před riziky on-line nakupování nebo on-line bankovními převody. Další vlastností je vylepšení brány firewall, která obsahuje inteligentní detekci narušení. AVG Internet Security 2012 je samozřejmě vybaven i ochranou proti spyware, adware a za zmínku stojí také kvalitní rezidentní štít. Obrázek 10 – AVG Internet Security 2012

Zdroj: vlastní

3.1.2

Virový radar

Společnost ESET a seznam.cz vyvinuli v roce 2004 tzv. virový radar 44. Jedná se o statistiku nejrozšířenějších virů v daný den, týden, měsíc, rok, které ohroţují emaily uţivatelů. V případě poplašných zpráv ohledně šíření virů si tak uţivatel můţe jednoduše situaci ověřit.

43

http://www.avg.com/cz-cs/uvod

44

http://virovyradar.seznam.cz/

59

Obrázek 11 – Virový radar

Zdroj: http://virovyradar.seznam.cz/

Chování uţivatele

3.2

Hlavní zásadou, kterou by měl kaţdý uţivatel dodrţovat, je prevence. Je potřeba si uvědomit, ţe s rychlým rozvojem všech informačních technologií a internetu stoupají i moţné hrozby, které číhají na nepozorné a neopatrné uţivatele. Doporučení a rady, jak se vyhnout moţným napadením můţeme shrnout do deseti bodů. 1. Rozvaha Předejít jakýmkoli problémům lze jednoduše – nainstalovat antivirový software. Uţivatel tím zabrání případné panice, která nastane při infikaci jeho počítače. Mnoho virů je závislých na spuštění od uţivatele, to znamená, ţe k práci na počítači musí přistupovat s rozvahou. 2. Aktualizace Jak uţ bylo několikrát zmíněno, antivirový software bez aktuální virové databáze nemůţe náš počítač nijak ochránit. Rada zní jasně – aktualizovat a to nejenom antivir, ale také operační systém. Teoreticky kaţdý den se objevují nové hrozby, kterým musí počítač čelit, a pomocí aktualizací můţeme docílit kvalitní ochrany. Operační systém pouţívá, pokud ji uţivatel nevypne, automatickou aktualizaci a dnešní antiviry tuto moţnost obsahují také.

60

3. Kontrola Musíme si uvědomit, kdo má přístup k našemu počítači. Je známo, ţe riziko infiltrace je úměrné počtu lidí s přístupem. To znamená, ţe čím víc lidí pracuje na jednom počítači, tím větší je riziko, ţe někdo z nich způsobí nákazu. Řešením by mohlo být vytvoření účtů osobám, které mají k počítači přístup, popřípadě provést nastavení jejich práv. V situaci s domácím počítačem musí dojít k „proškolení“ členů domácnosti ohledně bezpečnosti. Pro kontrolu práce dětí na domácím PC lze pomocí antiviru nastavit rodičovskou kontrolu. 4. Elektronická pošta Pomocí elektronické pošty dnes dochází k šíření červů nebo podvodných dopisů. Nejznámějším červem, který se lavinově rozšířil, byl Iloveyou, který způsobil poměrně velké škody. Podvodnými texty se útočník snaţí vymámit z uţivatele důvěrné informace, které můţe následně zneuţít. Ochranou před tímto rizikem je opět prevence. Doručené emaily, u kterých nejsme schopni určit původ nebo odesílatele, neotvíráme a okamţitě maţeme. Pomocníkem by nám měl být také antivirový software, která obsahuje antispamovou kontrolu. 5. Antivirová ochrana Pro celkovou antivirovou ochranu počítače je nutné zvolit takový antivirus, který je schopen vyuţívat více druhů kontrol (monitor, heuristická analýza). Programy, které obsahují jen jednu z mnoha moţných kontrol, jsou pro dnešní ochranu nevyhovující. Také se nedoporučuje instalace několika antivirů na jeden operační systém, protoţe můţe docházet ke kolizím. 6. Nové soubory Kopírování, přesouvání nebo stahování nových souborů sebou nese vysoké riziko moţné nákazy. Dalším velkým rizikem je také stahování a instalace nelegálního softwaru. Rada je jednoduchá – nestahovat a neinstalovat pirátský software a dbát zvýšené opatrnosti při stahování, kopírování a přesouvání. Vţdy si ověřovat zdroje původu souboru a uvědomovat si, ţe vir se můţe nacházet i na oficiálních stránkách organizace nebo firmy. 7. Zálohy Vytváření záloh a jejich pečlivé uschování je velmi důleţité. Uţivatel si musí uvědomit, ţe data, která můţe ztratit, jsou mnohem cennější, neţ čas strávený zálohováním. Zálohování

61

by mělo být prováděno pravidelně, aby v případě selhání, či napadení byla obnova co nejjednodušší a nejrychlejší. 8. Bootovací médium Toto médium můţe být CD, DVD, flash disk a mělo by obsahovat spustitelný operační systém a antivirový program. V případě napadení nebo selhání počítače, můţeme pomocí tohoto média opět obnovit windows a pokusit se vyléčit případně infikované soubory. 9. Média Dnes je to jiţ málo pravděpodobná infiltrace, ale nesmí se podcenit. Zásadou je, ţe všechna média, která vkládáme nebo připojujeme k našemu počítači, musíme nechat prověřit antivirovou kontrolou. Doba kontroly není nijak dlouhá v poměru s problémy, které by přišly s případnou infiltrací. 10. Patch Jednoduše řečeno „záplata“, jejímţ úkolem je zacelit bezpečnostní díry v programu, které můţe vyuţít například virus. Vţdy jsou vydávány firmami, které daný program vytvořily a na chybu byly upozorněny nebo na ni přišly. Kaţdý uţivatel by tak měl alespoň občas navštěvovat stránky výrobců svého softwaru a případné patche instalovat.

3.3

Prohlíţeč internetových stránek

Výběr prohlíţeče je uţivateli velmi často podceňovaná část bezpečnosti operačního systému. Pro OS Windows si můţe kaţdý uţivatel vybrat z několika moţností, a to buď integrovaný prohlíţeč Internet Explorer, nebo další volně šiřitelné programy.

3.3.1

Internet Explorer 9

Poměrně nová verze prohlíţeče, která je přeinstalovaná v kaţdém novém operačním systému windows. Oproti starším verzím přinesla vítané změny, jako například větší rychlost prohlíţení, rozsáhlé podpory webových standardů a především zvýšených bezpečnostních funkcí. Přesto ţe došlo ke zlepšení mnoha funkcí, stále se stává tento prohlíţeč terčem mnoha útoků, které občas končí úspěchem. Důvod je jednoduchý, mezi uţivateli je Internet Explorer nejrozšířenější.

62

3.3.2

Mozilla Firefox 9

Dnes patří mezi bezpečné prohlíţeče, i kdyţ v minulosti tomu tak nebylo. U některých předchozích verzí byly zjevné bezpečnostní díry, o kterých věděla celá počítačová komunita. Mnohdy byly tyto díry terčem útočníků. Zajímavou vlastností je obrovská přizpůsobitelnost. Díky velké škále doplňků, si můţe uţivatel Mozillu přizpůsobit k obrazu svému. Mezi kladné vlastnosti patří rodičovská kontrola, ochrana proti podvodným stránkám a samozřejmě bezpečností aktualizace.

3.3.3

Opera11

Poslední, i kdyţ nijak méně schopný prohlíţeč se nazývá Opera. Velmi často povaţován za nejbezpečnější prohlíţeč, díky velmi častým bezpečnostním aktualizacím. Mezi vlastnosti můţeme zařadit moţnost změny skinů, rychlé přístupy a především schopnost turbo. Zjednodušeně řečeno, je to způsob sníţení přenášených dat a urychlení tak celkového načítání stránek. Další kladnou vlastností je funkce Speed dial, neboli stránka, která se zobrazí při spuštění opery, kde si uţivatel můţe nadefinovat svoje nejnavštěvovanější webové stránky.

3.4

Bluetooth

V dnešní době se Bluetooth stal populární technologií pro komunikaci a synchronizaci dat mezi zařízeními na velmi krátkou vzdálenost. Bluetooth je nejstarší bezdrátová ad hoc komunikace s malým dosahem maximálně 10 metrů, ale v bezdrátových k omunikacích je Bluetooth nejbezpečnější. Její nejčastějším pouţitím je propojení PC s periferiemi (myš, klávesnice, tiskárna,…), nebo vytvoření podnikové či domácí sítě.

3.4.1

Bezpečnost

Bluetooth poskytuje tři bezpečnostní sluţby: 

Autentizaci – ověření totoţnosti stran, které budou komunikovat



Autorizaci – povolení přístupu ke sluţbám



Důvěrnost – ochrana před odposloucháváním

63

Obrázek 12 – Bezpečnostní reţimy bluetooth

Zdroj: PUŢMANOVÁ, Rita; Bezpečnost bezdrátové komunikace, 1. Vydání; Computer Press, 2005; ISBN 80 251-0791-4, str. 162

Na

obrázku

je

vidět,

jak

bluetooth

pracuje

ve

třech

základních

reţimech bezpečnosti [9]: 

Bez zabezpečení (můţe se navazovat jakékoli spojení)



Bezpečnost na úrovni sluţeb (pomocí autorizace zajištěn přístup ke sluţbám nebo zařízením)



Bezpečnost na úrovni spoje (před samotným spojením je iniciována autentizace a šifrování)

3.4.2

Ochrana



Pro spojení jedinečná adresa zařízení



Rychlé frekvenční skoky



Klíče odvozené z PIN



Autentizace pomocí klíčů (veřejné 48bitů, soukromé 128bitů)



Proudová šifra (konfigurovatelné délky (8 aţ 128bitů)

3.4.3 

Zápory Šifrovací klíč – jeho délku si uţivatelé domluví na počátku přenosu, mnohdy se volí minimální délka.



Zabezpečení – je omezené pouze na spojení Bluetooth, není zabezpečení koncové komunikace.

64



Krátké PIN – Pouţívání minimálního počtu znaků (4 znaky). Pro útočníka snadno uhodnutelné.



3.4.4

Autentizace – při spojení se autentizuje zařízení, ne uţivatel.

Útoky

Zadní vrátka – Vyuţívá párování komunikačních zařízení, kdy uţ bylo důvěryhodné zařízení vyjmuto ze seznamu, ale stále můţe navázat anonymní komunikaci. Tím získává útočník neautorizovaný přístup. Můţe tak získat osobní data, ale také přístup k placeným sluţbám (internet, WAP,…) Bluesnarf – Toto napadení hrozí pouze mobilním telefonům, obchází proces párování před vlastní komunikací a připojuje se k cizím zařízením. Tak se útočník můţe dostat k osobním údajům uţivatele.

3.4.5

Návrh zabezpečení



PIN – změna implicitního PINu (nastavení co moţná nejdelšího).



Autentizace – pouţívat kombinovaný klíč, nikoli klíč zařízení.



Předávání PINu mimo komunikaci sítě.



Sdílené adresáře – neuchovávat v nich soukromá a citlivá data.



Pouţívat heslo pro přístup k Bluetooth.



Viditelnost – upravovat vůči prostředí.



Párování – pokud moţno nepouţívat na veřejnosti (snadné odposlouchávání)

65

Závěr V práci jsou uvedené a stručně popsané moţnosti vnitřních a vnějších útoků na výpočetní systém, typy útočníků a moţnosti obrany počítače. Část práce se také zabývá doporučením při volbě moţných bezpečnostních opatření. Jak jiţ bylo nastíněno v úvodu, nikdy se nemůţe podařit ochránit systém naplno a nastálo. Během vzniku této práce se na světě objevil nespočet dalších moţných napadení a tak vytvořit proti nim včasnou obranu je teoreticky nemoţné. Uţivatel musí vycházet z faktu, ţe v kaţdém systému nebo jeho zabezpečení se můţe objevit bezpečnostní díra, kterou můţe útočník snadno zneuţít. Je známo, ţe nejslabší částí v bezpečnosti jakéhokoli počítače je samotný uţivatel. Kaţdý by si měl uvědomit, ţe se jedná o jeho bezpečnost, popřípadě bezpečnost jeho dat a věnovat tomu náleţitou pozornost. Například průběţně se vzdělávat, informovat a co nejvíce se snaţit zabezpečit svůj výpočetní systém pomocí dostupných prostředků. Závěrem lze dodat jen to, ţe bude záleţet vţdy na uţivateli, jak se k bezpečnosti postaví, protoţe systém je tak bezpečný, jako jeho nejslabší článek.

66

Seznam pouţitých pramenů a literatury [1] HANÁČEK, Petr; STAUDEK, Jan; Bezpečnost informačních systémů. [Online] 2000. [Citace: 12. 14 2011.] Dostupný z: [2] ENDORF, Carl, SCHULTZ, Eugene a MELLANDER, Jim; Detekce a prevence počítačového útoku. Praha : Grada Publishing, 2005. ISBN 80-247-1035-8. [3] ŠENOVSKÝ, Pavel; Počítače a ochrana dat. [Dokument] Ostrava : VŠB - TU Ostrava, 2006. [4] JAŠEK, Roman; Ochrana znalostí a dat v podnikových informačních systémech. Zlín : Univerzita Tomáše Bati ve Zlíně, 2002. ISBN 80-7318-095-2. [5] JIROVSKÝ, Václav; Kybernetická kriminalita. Praha : Grada Publishing, 2007. ISBN 978-80-247-1561-2. [6] Úvod do antivirové problematiky; [Online] 2010. [Citace: 14. 12 2011.] Dostupný z: [7] KRÁL, Mojmír; Bezpečnost domácího počítače. Praha : Grada Publishing, 2006. ISBN 80-247-1408-6. [8] Denial of Service; [Online] 5. 9 2006. [Citace: 14. 12 2011.] Dostupný z: [9] Antivirový program; Wikipedia. [Online] 21. 12 2011. [Citace: 28. 12 2011.] Dostupný z: [10] HÁK, Igor; Viry. [Online] 15. 9 2005. [Citace: 14. 12 2011.] Dostupný z: [11] ZELENÝ, Karel; BEAN4YOU. [Online] 2010. [Citace: 14. 12 2011.] Dostupný z: [12] HARABIŠ, Vratislav; Webové prohlíţeče - okna do světa informací. rychlost.cz. [Online] 22. 1 2008. [Citace: 14. 12 2011.] Dostupný z: [13] PUŢMANOVÁ, Rita. Bezpečnost bezdrátové komunikace. Brno : CP Books, 2005. ISBN 80-251-0791-4. 67

Seznam obrázků Obrázek 1 – Příklad bezpečnostní infrastruktury v organizaci IT .................................... 14 Obrázek 2 – Příklad asymetrického šifrování .................................................................... 21 Obrázek 3 – Příklad symetrického šifrování ...................................................................... 22 Obrázek 4 – Moţné polohy viru v souboru ........................................................................ 34 Obrázek 5 – Příklad útoku DDoS ........................................................................................ 42 Obrázek 6 – Princip práce firewallu.................................................................................... 50 Obrázek 7 – Juniper SRX 650 servisní gateway firewall .................................................. 51 Obrázek 8 – Avast! Antivirus 6 ........................................................................................... 57 Obrázek 9 – ESET NOD32 Antivirus 5.............................................................................. 58 Obrázek 10 – AVG Internet Security 2012 ........................................................................ 59 Obrázek 11 – Virový radar .................................................................................................. 60 Obrázek 12 – Bezpečnostní reţimy bluetooth .................................................................... 64

Seznam tabulek Tabulka 1 – Základní rozdíly mezi NIDS a HIDS ............................................................. 16 Tabulka 2 – Základní rozdíly mezi IDS a IPS.................................................................... 17 Tabulka 3 – Odhady doby pro prolomení hesel ................................................................. 24

68