Návrh bezpečnostní politiky pro provozování malé komunitní uživatelské sítě

Mendelova zemědělská a lesnická univerzita v Brně Provozně ekonomická fakulta

Návrh bezpečnostní politiky pro provozování malé komunitní uživatelské sítě Bakalářská práce

Vedoucí práce: Ing. Ludmila Kunderová

Michal Husták

Brno 2006

2

Prohlašuji, že jsem tuto bakalářskou práci vypracoval samostatně na základě uvedené literarůry.

V brne dne 15. května 2006

....................................................

4

Děkuji paní Ing. Ludmile Kunderové, vedoucí mé bakalářské práce, za odbornou pomoc, rady a pripomínky k této práci. Dále musím poděkovat svým rodičům za podporu při studiu.

6

Abstract Husták, M. Guideline proposal of security policy for operating of small community user net. Bachelor thesis, Brno 2006 The thesis is concentating on the proposal of gudeline security policy for small user community net. It describes the most frequent methods of atacks, common security precautions and own security proposal of comunity net.

Abstrakt Husták, M. Návrh bezpečnostní politiky pro provozování malé komunitní uživatelské sítě.Bakalářská práce, Brno 2006 Práce se zabývá navrhem bezpečnostní politiky pro malou kumunitní síť. Popisuje nejčastější metody útoku, bezpečnostní opatření a vlastní návrh zabezpečení komunitní sítě.

7

8

Obsah 1 Úvod

11

2 Cíl práce

12

3 Útoky a protiopatření 3.1 Sociální inženýrství . . . . . . . . . . . . . . 3.1.1 Obrana proti sociálnímu inženýrství . 3.2 Phishing . . . . . . . . . . . . . . . . . . . . 3.2.1 Obrana proti phishingu . . . . . . . . 3.3 Spam . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Obrana proti spamu . . . . . . . . . 3.4 DoS útoky . . . . . . . . . . . . . . . . . . . 3.4.1 Útoky hrubou silou . . . . . . . . . . 3.4.2 Útoky využívající chyby TCP//IP . 3.4.3 Útoky využívající specifikaci TCP/IP 3.4.4 DDoS útoky . . . . . . . . . . . . . . 3.4.5 Obrana proti DoS . . . . . . . . . . . 3.5 Bezpečnost bezdrátových přenosů . . . . . . 3.5.1 Zabezpečení sítí 802.11 . . . . . . . . 3.5.2 Zabezpečení sítí 802.1x . . . . . . . . 3.5.3 Ochrana bezdrátového přenosu . . . 3.6 Malware . . . . . . . . . . . . . . . . . . . . 3.6.1 Destruktivní účinky malware . . . . . 3.6.2 Obrana před malware . . . . . . . . . 3.7 Viry . . . . . . . . . . . . . . . . . . . . . . 3.7.1 Historie virů . . . . . . . . . . . . . . 3.7.2 Boot viry . . . . . . . . . . . . . . . 3.7.3 Makroviry . . . . . . . . . . . . . . . 3.7.4 Poštovní viry . . . . . . . . . . . . . 3.8 Červy . . . . . . . . . . . . . . . . . . . . . 3.8.1 Morrisnův červ . . . . . . . . . . . . 3.8.2 Moderní červy . . . . . . . . . . . . . 3.8.3 Warholův červ . . . . . . . . . . . . . 3.9 Trojské koně . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

13 13 14 14 16 17 18 19 20 20 20 21 21 22 22 23 24 24 24 25 26 26 27 27 28 29 29 30 31 33

. . . . . .

34 34 34 35 36 36 36

4 Prostředky zabezpečení 4.1 Antivirový software . . . 4.1.1 Virová databáze . 4.1.2 Kontrola integrity 4.2 Firewally . . . . . . . . . 4.2.1 Paketové filtry . . 4.2.2 Aplikační filtr . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . .

9

4.2.3

IDS a IPS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

5 Řešení bezpečnosti provozu komunitní sítě 5.1 Popis komunitní sítě . . . . . . . . . . . . . 5.2 Nebezpečí pro kumunitní síť . . . . . . . . . 5.3 Zabezpečení hraničního routeru . . . . . . . 5.3.1 Nastavení Firewallu . . . . . . . . . . 5.4 Zbezpečení WiFi přenosu . . . . . . . . . . . 5.4.1 Nastavení HostAP . . . . . . . . . . 5.4.2 Nastavení hostapd . . . . . . . . . . 5.5 Zabezpečení koncového počítače . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

. . . . . . . .

38 38 38 39 39 40 40 41 42

6 Závěr a zhodnocení použitého řešení 43 6.1 Srovnání s komerčními produkty . . . . . . . . . . . . . . . . . . . . . 43 6.2 Hodnocení řešení . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 7 Literatura

10

44

1

Úvod

Nebezpečí útoků proti informačním systémům stále roste. Kromě počtu útoků roste i jejich nebezpečnost. Existuje jasný vývoj od prosté destrukce dat ke krádežím přístupových hesel či jiných informací. Požadavky na bezpečnost se týká nejen firemních sítí, ale i malých komunitních sítí, kde jsou škody zdánlivě menší. Nesmíme zapomínat ani na škody, které mohou být způsobeny prostřednictvím zneužití naší sítě. Důležité je také si uvědomit, že bezpečnostní politika se týká nejen administrátorů, ale i všech uživatelů.

11

2

Cíl práce

Cílem této práce je návrh zabezpečení malé komunitní uživatelské sítě. Podstatou návrhu je zhodnocení bezpečnostních rizik, nástin obecných ochranných opatření a posléze konkrétní navržení celkového zabezpečení komunitní sítě.

12

3 3.1

Útoky a protiopatření Sociální inženýrství

Počítačový systém se skládá ze tří komponent. Hardwaru, softwaru a lidského faktoru. Ačkoliv ani prvně dvě jmenované součásti nejsou stoprocentní, vždy bude nejjednodušší zaútočit přímo na uživatele. Technikám, využívající lidské slabosti, se říká sociální inženýrství. Sociální inženýrství v praxi využívají téměř všechny typy útoku. Jsou to viry a trojské koně, které musí nejprve sám uživatel aktivovat, jsou to phishingové maily kradoucí hesla. A ne jen u počítačů. Různé marketingové aktivity (možnost výhry, pokud si vyberete zboží z našeho katalogu) využívají stejných principů. Účelem sociálního inženýrství je přesvědčit oběť, aby dobrovolně vykonala něco, co požaduje útočník. Zjednodušeně řečeno, se jedná zejména vyzrazení citlivých informací oběti nebo o spuštění škodlivého kódu. Přitom vám nepomohou žádné antiviry. Kromě toho, že útok může přijít po telefonu, text přesvědčující, aby uživatel klikl, je stále jen text a ne virus (ten může být samozřejmě přibalen ke správě a dobře udržovaný antivir ho pozná). Úspěšné napadení využívá především těchto metod: - Důvěryhodnost. Útočník musí vždy vypadat důvěryhodně. „Můj přítel by mi neposlal nic špatného. Banka je spolehlivá instituce.ÿ To jsou předpoklady většiny z nás, ale adresáta lze vždy podvrhnout. Ani znalost některých důvěrných informací nemusí znamenat jednoznačnou identifikaci. Také některé viry dokázaly na základě ukradených mailů poskládat poměrně hodnověrný text, včetně jazykového prostředí. Jiné se dokonce vydávaly za bezpečnostní záplaty - Autorita. Útočník se vydává za nadřízeného nebo státní instituci. Autoritativně požaduje vykonání určité činnosti a mi nejsme v postavení, kdy můžeme odmítnout. Znalost některých skutečností může zásadně ovlivnit hodnověrnost zprávy. - Spěch. Člověk jednající v časovém stresu nemusí docenit všechna bezpečnostní rizika. Proto se často v sociálním inženýrství často používá nátlaku typu „akce platí jen do . . . , prvních xyÿ. - Zisk a ztráta. Velmi účinná metoda. Jakékoliv dárky, slevy nebo jiné výhody by měli být automaticky podezřelé. Obzvláště pokud musíte vyplnit přiložené dotazníky a podobně. Stejně tak k varování před finanční ztrátou nebo nutnost stornování objednávky, kterou jste si neobjednaly, je nutno přistupovat s opatrností. - Opakující se hesla. Mnozí uživatelé si usnadňují život tím, že používají stejné hesla pro různé aplikace. Útočníkovi pak stačí najít to nejhůře zabezpečené a vyzkoušet pak ostatní účty. - Očekávaná činnost. Pokud zprávu čekáme, budeme asi poněkud méně opatrní. Posílaná novoroční přání koncem roku není nic neobvyklého a přichází z různých stran. 13

3.1.1

Obrana proti sociálnímu inženýrství

V praxi dochází ke kombinaci a meze jsou stanoveny jen fantazii útočníka. Neexistuje něco jako zaručený recept. Zde musí uživatel spoléhat jen na svou hlavu. Základní pravidlo při poskytování jakýchkoli informací je uvažovat nad následky. I nepodstatná data nohou, ve spojitosti s dalšími údaji, znamenat pro útočníka výhodu při dalším napadení. - Nikdo nemá právo znát vaše heslo, ani nadřízený, ani administrátor. - Používat různá hesla pro různé účty. Při prolomení jednoho účtu, budou ostatní v bezpečí. - Nic není zadarmo. Lákavý obsah může znamenat útok. „I krásná tenistka1 ÿ muže maskovat virus. „Platbouÿ může být i vaše e-mailová adresa, využitá poté jako cíl spamu.Ani známá adresa odesílatele nemusí znamenat bezpečí. Zaprvé, obětí a následně rozesílatelem viru může být kdokoliv, zadruhé adresa bývá zfalšovaná.

3.2

Phishing

Je zkomolenina z anglického fishing – rybaření, do češtiny se pak phishing překládá jako rhybaření. Jinak ale jde jen o krádež hesla a podobných citlivých informací. Phishing má formu e-mailu s vzávažným sdělením využívající sociální inženýrství. V podstatě se jedná o druh spamu, ale je mnohem nebezpečnější. Statisticky je prokázáno, že na phishing zareaguje plných pět procent oslovených osob. Na běžný spam se přitom objeví jedna reakce na cca dva milióny odeslaných e-mailů [12]. Navíc je nebezpečnost, respektive škody mnohem větší než spamu.Na první pohled se tváří phishingový mail jako zpráva od důvěryhodné strany, banky nebo internetového obchodu. Obsahuje běžně používanougrafiku jako imitovaná společnost, stejně tak může mít i odkaz na firemní stránky. Obsah mailu žádá po oběti vyplnění dotazníku včetně přihlašovacího jména a hesla pod záminkou doplnění dalších informací, zvýšení bezpečnosti, získání prémie a podobně. Ve skutečnosti se jedná o: - Adresa odesílatele je zfalšovaná. Z toho důvodu není možné na něj odpovědět. Pokud by byla adresa skutečná, došlo by k patrně k odezvě pravého majitele. V případě, že adresa neexistuje, by naopak došla zpráva zpět jako nedoručená a napadený by mohl zpozornět. Proto bývá v textu mailu oznámení typu „Na tento e-mail neodpovídejte, zpráva byla automaticky generována informačním systémemÿ. - Odkaz směřuje na nepravé stránky. Útočník okopíruje grafiku stránek a pojmenuje doménu podobně nebo zaměnitelně s originálním názvem. Například www.kb.cz a www.komercni banka.cz. Jiným způsobem muže být nahrazení písmene „lÿ a číslici „1ÿ a spoléhat, že si uživatel rozdílu nevšimne. Je pravda, 1

14

Virus VBS/SST.A - Anna Kurnikova

že takové stránky pravděpodobně nepůjde v České republice zaregistrovat, ale nesmíme zapomínat, že útok může přijít ze zahraničí. - Odkaz směřuje na originální stránky. Tato možnost také existuje. Zde slouží k potvrzení pravosti zprávy. Údaje pak jsou často vypisovány do vyskakujících pop-up oken. - Pharming. Je vyspělejší formou phishingu. Pouřívá technologii zvanou „DNS cache poisoningÿ, což volně přeloženo znamená „otrávení DNS pamětiÿ. Aby bylo možno adresovat stránky bez nutnosti pamatovat si dlouhé IP adresy, existuje DNS (domain name serve) služba, která překládá doménová jména na adresy IP. Aby se tento proces urychlil, ukládají si prohlížeče nejčastěji používané adresy. Pokud se ale podaří útočníkovy přepsat záznamy, může tak nasměrovat oběť i při správném napsání adresy na falešnou stránku. Rozpoznat podvod je zde opravdu obtížné, na druhou stranu i od útočníka vyžaduje pharming mnohem více schopností a práce. Oběti phishingu se dělí na dvě skupiny. Tou první jsou společnosti, u kterých měli poškození svůj účet. Jejich největší ztrátou je v tomto případě ztráta důvěryhodnosti. Ani náklady spojení se vyřizováním reklamací a vyšetřováním jednotlivých případů nejsou zanedbatelné. Proto tyto organizace začaly vydávat prostředky na osvětu mezi svými klienty a zvyšování úroveň bezpečnosti. Bohužel, ne vždy to platí. Komunikaci banky a klienta pomocí níže uvedeného e-mailu považuji za značné porušení bezpečnosti. Tentokrát opravdu pocházela zpráva od komerční banky a šlo pouze o aktualizaci Javy, ale přesně takovou by mohl použít i útočník. Vážení klienti, dne 22.9.2005 proběhnou změny v~aplikacích přímého bankovnictví Komerční banky.Pro zajištění provozu Vaší aplikace Mojebanka, věnujte prosím pozornost přiloženému důležitému upozornění.Pokud nemůžete otevřít přiložený soubor, nalezenete ho také na http://www.mojebanka.cz/file/cs/dulezite_upozorneni.html <> Komerční banka, a.s. ----------------------------------------------------------------Dear clients, certain changes will be performed in the direct banking software applications of Komerční banka on 22 September 2005. In order to provide for smooth operations of your Mojebanka software application, please note the following important message.If you can not open enclosed file, download it from http://www.mojebanka.cz/file/en/important_message.html

15

Komerční banka, a.s. <>

-----------------------------------------------------------------2 přiložené soubory Druhou postiženou skupinou jsou pochopitelně ti, kteří na phishingový mail zareagovali. Je nutno si uvědomit, že útok nemusí přijít okamžitě. Útočník si sám zvolí, kdy zcizené údaje zneužije. Uživatel si pak za půl roku neuvědomí, že vyplnil nějaký formulář. Následuje případný spor s bankou, kde obě strany se navzájem obviňují z porušení bezpečnosti. V tomto případě je na vině klient, který „naletělÿ na phishing, ale skutečným vítězem je útočník, jenž je většinou mimo nebezpečí. Největší škody spojené s krádežemi hesel vznikají pochopitelně ve Spojených státech, kde v roce 2005 phishing způsobil škody za 1,2 miliardy dolarů [12]. A i v USA, které mají obecně přísnější legislativu týkající se počítačového světa, jsou žaloby na phishingové stránky podávány v rámci porušení ochranné známky. 3.2.1

Obrana proti phishingu

Obrana před phishingem je v podstatě stejná jako u sociálního inženýrství. Dnes už nemůžeme počítat s tím, že útočník udělá chyby v gramatice nebo ve špatném používání formální a neformální řeči. V minulosti se takové případy stávaly a pomohly uživateli rozlišit útok od korektní zprávy. Dobré je považovat automatiky zprávu za možné ohrožení. Je to sice výraz paranoii, ale může zamezit nechtěným finančním ztrátám. Dalším pravidlem je, že žádná instituce nebude požadovat vyplnit osobní údaje pomocí mailu. Stejně tak je nepřípustné vypsání hesla do vyskakujícího po-pup okna. Samozřejmě může dojít i k situaci, kdy je potřeba vyplnit soukromé data. V takové případě je nutno ověřit si zprávu z jiných zdrojů. Absence zpětného kontaktu právě bývá prvním varováním. V českém prostředí máme několik výhod. Zaprvé, rozšířenost platebního styku pomocí internetu je poměrně malá. Mnohé útoky jsou prováděné pomocí jednorázového náhodného rozesílání zpráv s určitou šancí, že příjemce je klientem imitované služby. Malý český trh je z tohoto pohledu nezajímavý. Další výhodou je jazyková bariéra. Nicméně oficiálně první phishingový útok se odehrál 03. 03. 2006 stránkami napodobující služby Citybank. E-mail upozorňoval na nutnost potvrdit příjem ze zahraničí a proto odkázal uživatele přímo na originální stránky citybank.cz a navíc přidal vyskakují okno s formulářem. To pocházelo ze stránky czechrepublic-online.com registrovaná na jméno Travis Godfrey, 1630 Aliwood Way, 84010 Bountiful. Identita byla pochopitelně falešná. Samotný text 16

mailu byl poskládán z několika částí. Například logo Citybank pocházelo z oficiálních ruských stránek Citybank. Po aktualizaci detekoval antivirus NOD 32 zprávu jako „HTML/Cityfraud.NAB Trojsý kůňÿ2 .

3.3

Spam

Spam, nevyžádaná pošta, je dnes nejrozšířenější druh počítačového útoku. V porovnání s virovými epidemiemi se může zdát bezvýznamná, pouze obtěžující e-maily. Žádné ztráty dat nebo hrozba jejich vyzrazení. Nicméně, o virové kalamitě hoříme pokud je alespoň každá patnáctá zpráva infikována, jak tedy nazveme stav kdy počet spamových zdráv překročil sedmdesát procent všech odeslaných e-mailů?

Obrázek 1: Procenuální zastoupení spamu na všech odeslaných e-mailech. Zdroj: http://www.messagelabs.org

Do nevyžádané pošty můžeme zahrnout různé typy zpráv, rozdělené do tří kategorii. Zaprvé, to jsou různé vtipy, přání štěstí a řetězové dopisy. Zde je nutno uvést, že množství lidí tyto zprávy nevadí a přeposílají je svým přátelům. Jednoduchou obranou je zaslat zpět upozornění, že si takové maily nepřejeme. Celkově je počet i nebezpečnost nízká. Do druhé kategorie zařadíme zprávy vytvářené se zlým úmyslem. Zařadíme zde trojské koně, šířící v příloze e-mailu, phishingové maily, ale i různé pomluvy a hoaxy. 2

Jedna z obětí zaslala své heslo od účtu z KB, protože u Citybank neměla ani účet.

17

Pod slovem spam se nejspíš všem vybaví reklamní maily. Nabídky na takřka cokoliv, rychlý snadný zisk nebo exkluzivní zlevněné zboží. Vsoučasnoti se nejčastěji objevují nabídky na farmaceutické zboží. Možnost, jak řešit příchozí spam je neřešit nic a každý den zprávy smazat. Stojí nás to nějaký čas, obzvláště pokud si zprávu přečteme. Dále musíme započítat i náklady na „uskladněníÿ e-mailu a provoz sítě. I tyto částky lze zanedbat. Ovšem ne z globálního hlediska. V roce 2005 se škody vyšplhaly na 50 miliard dolarů (v roce 2003 to bylo „pouhýchÿ 10 miliard) [15]. Dalším nebezpečím je spolupráce mezi tvůrci počítačových virů a spamu. Přirozenou činností e-mailových červů hledat všechny dostupné e-mailové adresy. Tyto adresy pak mohou být snadno odeslány psamerům. Dále je možné pomocí backdooru vytvořit z napadeného počítače takzvanou „zombiiÿ, která trpělivě čeká na povel, tentokrát k rozeslání spamu. Nic netušící oběť se sama stává šiřitelem nevyžádané pošty a může se i ocitnout na blacklistu (viz dále). Naopak rozesílatele spamu poskytují autorům virů své databáze adres. Právě dostatečné množství startovních adres může výrazně urychlit start epidemie a celkově ovlivnit úspěšnost viru. 3.3.1

Obrana proti spamu

Skutečnost, že se spamu daří, znamená jediné. Existuje určité procento lidí, kteří na spam kladně odpovídají. I když je toto procento takřka nulové, při celkovém objemu se spam distribučním společnostem evidentně vyplácí. Důvodem jsou i nízké náklady. Objevily se proto návrhy na určité zpoplatnění e-mailu, nebo nutnost počítat matematickou úlohu, aby proces odeslání mailu prodloužil a tím se i zvýšily náklady na jednu zprávu. Tyto plány se ale nedostaly do praxe. Obrana tedy spočívá na koncovém příjemci zprávy. - Nejúčinnější obranou je udržet svou e-mailovou adresu v tajnosti. Poskytnout ji jen důvěryhodným osobám. Množství služeb zdarma požadují vyplnit právě mailovou adresu a každá taková služba může sloužit s sbírání adres („harvestingÿ). Databáze adres se pak stávají předmětem obchodu mezi spamery. Stejně tak vystavení své adresy na internetu může být nebezpečné. Naprogramovat robota, který bude vyhledávat řetězec ve formátu „řetězec@řetězec.vrcholová doménaÿ není nikterak obtížné. Je proto doporučeno nahrazovat signifikantní znak uv@ za řetězce „zavináčÿ, „naÿ nebo mezinárodním „atÿ. - Nereagovat na spam. Otevření nebo dokonce odpověď na spam znamená, že adresa je aktivní a uživatel si dokonce zprávu přečetl. Takové adresy jsou daleko atraktivnější než ty, kde je zpráva nekompromisně smazána. - Bránit se lze i softwarově, pomocí spamových filtrů. Existují v zásadě dva způsoby, jak spam rozeznat: podle obsahu zprávy nebo na základě černé listiny odesilatelů. Černé listiny neboli blacklisty jsou seznamy odesílatelů, kde bylo odesílání spamu už v minulosti prokázáno. Bohužel na takový seznam se může dostat i nevinný uživatel, jehož počítač ovládá na dálku útočník. Na Internetu existuje několik černých listin spammerů . Správce může poštovní server na18

konfigurovat tak, aby při příchodu každého dopisu vyslal dotaz, zda stroj, od kterého zprávu přijímá, nemá záznam v některé černé listině a v kladném případě poštu z daného místa odmítnout. Dotaz do černé listiny se typicky provádí jako DNS dotaz. Opakem je pak whitelist, kde je seznam povolených počítačů. Tyto seznamy si vytváří uživatel nebo administrátor sám. - Blokování podle obsahu zprávy. Pro identifikaci spamu je možno také využít některého specializovaného programu, který se pokouší odhalit spam - nejčastěji na základě výskytu určitých slov či frází v textu dopisu. Dokonalejší programy se pokouší využívat heuristické postupy a metodu „učení seÿ na základě předkládaných příkladů. Obecně se však dá říci, že spolehlivost takovýchto filtrovacích programů nemusí být vždy uspokojivá, u těch nejlepších se pohybuje kolem 60-70 - V nejhorším případě nezbývá nic jiného než založit novou e-mailovou adresu. Filtrovacích anti-spamových programů existuje velké množství, mezi ty nejznámější patří: Spam Eater Pro dostupný ve verzi freeware a shareware pro POP3 poštovní schránky, Brightmail, který dnes na svých serverech provozují i někteří nejvýznamnější američtí Internetovští připojovatelé (ATT Broadband, EarthLink či Microsoftí MSN), nebo SpamKiller. Některé filtrovací programy bývají současně provázány i s antiviry. S tím, jak trh antispamových filtrovacích nástrojů získává na objemu a důležitosti, přitahuje pozornost i těch největších firem z oblasti antivirové ochrany a bezpečnostního software: firma Network Associates (nabízející mimo jiné známý antivir McAfee) koupila v dubnu letošního roku norskou společnost Novasoft vyvíjející antispamový systém SpamKiller; společnost Symantec (obchodující s antivirem Norton AntiVirus) ohlásila svůj vlastní antispamový systém na podzim tohoto roku [3].

3.4

DoS útoky

V případě, že je cíl útoku příliš dobře chráněn, může útočník použít takzvané Denial of Service (odepření služby) útoky. Principem je zahltit oběť takovým množstvím požadavků, že skutečné, korektní žádosti zůstanou nevyřízeny. Útočník, aniž by musel proniknout do dobře střežené sítě, způsobí zhroucení služby nebo i restart systému. Jak je vidět z předchozího textu, hlavním cílem DoS útoků není koncový uživatel, ale většinou firmy, které jsou na Internetu životně závislé (Google, eBay, Yahoo!). Pro tyto společnosti znamená každé odstavení od sítě ohromné finanční ztráty a neméně důležitá je také ztráta důvěry a prestiže. Dalšími „oblíbenýmiÿ cíly jsou instituce americké vlády, stránky Microsoft nebo antivirových společností. Útoky na posledně jmenované mohou využít viry k znemožnění updatu antivirových databází.

19

3.4.1

Útoky hrubou silou

První typy DoS útoků využívají hrubou sílu. Podstatou je obsazení maximální přenosové kapacity nebo systémových zdrojů. Jedním z nich je takzvaný Surf útok, zaměřený na vlastnost v IP specifikaci, která je známá jako všeobecné adresování („direct broadcast addressingÿ). Hacker zaplaví router ICMP pakety tzv. „pingÿ. Poněvadž cílové IP adresy každého paketu jsou broadcast adresou napadené sítě, router bude šířit uvping všem počítačům sítě. Pokud máte mnoho stanic, dojde k velkému nárůstu zatížení sítě. Celý útok se dá znásobit ještě tím, že hacker může zfalšovat zdrojovou IP adresu pingů, a odpovědi na tyto pingy mohou zahltit síť odkud pochází předstíraná zdrojová adresa. Tomuto typu útoku také říká amplifiers, zesilovače. Vaše síť se pak stane pouze prostředníkem útoku. Jiný útok hrubou silou UPD food. Spočívá ve zneužití služby, která pro testovací účely dokáže generovat pro každý přijatý paket sérii znaků. Pokud dokáže útočník připojit UPD echo i jiného systému, nastane nepřetržitý proud dat mezi oběma systémy. 3.4.2

Útoky využívající chyby TCP//IP

Útoky, které využívají chyb v implementaci TCP//IP je například Ping of Death. Příkaz (utilita) ping se běžně používá pro zjištění toho zda vzdálený server pracuje. Útočník použije příkaz Ping pro vytvoření IP paketu, který je větší než maximum povolené ve specifikaci IP protokolu (65 536 bajtů). Tento abnormálně velký paket je pak poslán do cizí sítě. To může způsobit havárii, zamrznutí nebo restart celého systému. Tento útok je poměrně starý a všichni výrobci operačních systémů poskytují opravy, záplaty, které si s tímto typem útoku poradí. Teardrops Attacks je jiný typ útoku, který využívá slabosti při opětovném sestavovování fragmentů IP paketu. Během své cesty po Internetu může být IP datagram rozdělen do menších kusů. Teardrop program vytváří sérii IP fragmentů s překrývajícími se položkami ofsetů. Když jsou tyto fragmenty opětovně sestavovány na cílovém počítači některé systémy zhavarují, „zamrznouÿ nebo se restartují. Opět se jedná o straší záležitost a příslušné záplaty s tímto typem útoku snadno vypořádají. 3.4.3

Útoky využívající specifikaci TCP/IP

Třetí typy útoku využívají nedokonalostí a nedostatků ve specifikaci TCP/IP. Příkladem je SYN attack. Tento útok využívá toho, jakým způsobem se pomocí protokolu TCP/IP navazuje spojení. Proces navazování spojení se označuje jako takzvaný „třífázové potřesení rukouÿ („three way handshakeÿ). Aplikace, která inicializuje spojení, posílá příjemci synchronizační paket SYN. Příjemce posílá zpátky potvrzovací paket TCP SYN-ACK, na který iniciátor odpovídá potvrzovacím paketem ACK. Po takovémto navázání komunikace jsou aplikace připraveny posílat a přijímat data. Při SYN útoku zaplavuje útočník cílový systém sérii TCP SYN paketů. Každý paket způsobuje to, že cílový systém pošle odpověď SYN ACK. Zatímco cílový sys20

tém čeká na ACK které následují za SYN-ACK, zařadí všechny nevyřízené SYNACK odpovědi do fronty („backlog queueÿ). Tato fronta má omezenou délku, obvykle docela malou. Jakmile je fronta plná, systém začne ignorovat všechny příchozí SYN požadavky. Pakety SYN-ACK jsou vyřazeny z fronty pouze když přijde zpět ACK nebo když interní časovač (který bývá nastaven na relativně dlouhé intervaly) ukončí celý proces navazování komunikace. Celý útok je podpořen tím, že v záhlaví příchozích SYN paketů je uvedena špatná nebo neplatná IP adresa. Všechny odpovědi SYN-ACK jsou posílány na tuto adresu, což zaručuje , že odpověď na SYN-ACK nikdy zpátky nepřijde. Tak se tedy vytvoří fronta objednávek, která je vždycky plná, což téměř znemožní se legitimním TCP SYN požadavkům dostat do systému. Nová forma SYN flood útoku nazvaná DRDoS („Distributed Reflection DoSÿ) funguje tak, že útočník posílá na spoustu serverů v internetu pakety s příznakem SYN, přičemž jako cílová je nastavena adresa „obětníhoÿ serveru, tedy serveru, na který je útok směrován. Servery přijmou SYN paket a odešlou paket s příznakem SYN-ACK na podvrženou adresu cílového serveru jako potvrzení inicializace spojení. Ten si ale žádné spojení nevyžádal, a tak paket zahodí, takže útočníkem využívané servery nedostanou zpět ACK potvrzení a v domnění, že se paket někde ztratil, ho pošlou znovu. To se opakuje stále dokola. Tak se velmi zvýší intenzita útoku a cílový server nakonec zahltí SYN-ACK pakety. Variantou SYN attacku je Land attack. Hackeři zaplaví SYN pakety do sítě s předstíranou (zfalšovanou) zdrojovou IP adresou cílového systému. Ten poté posílá SYN-ACK sám sobě, a protože komunikaci neinicioval, tak na ně neodpovídá. Výsledkem je opět přeplněná fronta a nemožnost standardní komunikace. 3.4.4

DDoS útoky

V předchozím textu jsme zmiňovali útoky vedené z jednoho nebo malé skupiny počítačů. V případě, že útočník použil několik tisíc až desítek tisíc počítačů, hovoříme o DDoS („Distributed DOSÿ). Tento způsob napadení je samozřejmě mnohem efektivnější a obrana je složitější. Prvním krokem, k úspěšnému DDos útoku, je potřeba vytvořit si síť útočících počítačů. K tomu účelu slouží dobře zejména červy, kteří nainstalují u svých obětí příslušný backdoor. Napadený počítač se stane „zombiiÿ. Ta, po povelu útočníka, provede klasický DoS útok. Tuto techniku už použil známý CodeRed, útočící na stánku www.whitehouse.gow. 3.4.5

Obrana proti DoS

Obrana proti DoS, respektive DDoS je krajně obtížná. Základním problémem je, že množství útoků probíhá stejně jako standardní komunikace. Pomáhá různé filtrování paketů, ale nic není stoprocentní. U zmiňovaného CodeRed se musely stránky Bílého domu včas přestěhovat na jinou IP adresu. CodeRed totiž měl ve svém těle pevně stanovenou IP adresu cíle. Tento fakt byl znám dostatečně včas, aby mohlo být uskutečněno protiopatření. Jindy podnikal Červ Blaster DDoS 21

útok proti doméně www.windowsupdate.com. Tentokrát napadal červ ne IP adresu, ale samotné doménové jméno. Aktualizace bylo proto nutno přesunut na stránku www.windowsupdate.microsoft.com. Obranná linie vede přes firewall: - Nastavit na routeru, aby každý první paket z jakékoliv IP adresy byl zahozen. TCP protokol zajistí, aby komunikace probíhala korektně, ale DoS útoky, které často falšují odesílatelovu adresu, použijí jedno IP zpravidla jen jednou - Proti DRDoS Cílový server (oběť) pakety SYN-ACK nemusí zahazovat, ale na zdrojové adresy (nevyžádaných spojení) může poslat RST paket. Po obdržení RST paketu (reset – žádost o vynulování spojení) se ukončí plánovaná relace a komunikace se ukončí. Přeruší se tak nárůst požadavků a tím zvýšení intenzity útoku. - Proti SYN útoku lze snížit dobu čekání na ACK příznak nebo prodloužit velikost fronty. - Odfiltrovat všechny příchozí pakety s neplatnými IP adresami. Pakety které přicházejí do vašeho systému se zdrojovými IP adresami která je identifikuje jako že jsou generované z interního systému jsou zřejmě špatné. Filtrování paketů výrazně neutralizuje vystavení sítě tomuto typu útoku. - Průběžné aktualizace. Množství problémů s implementací TCP/IP bylo úspěšně vyřešeno a včasná záplata může předejít nebezpečnému útoku.

3.5

Bezpečnost bezdrátových přenosů

Bezdrátový provoz má oproti klasickému kabelovému připojení nevýhodu v zabezpečení. S příslušným hardwarem není problém připojit se do nezabezpečené sítě a „surfovatÿ zadarmo, v horším případě odposlechnout hesla. Při pasivním odposlechu je nemožné útočníka odhalit. 3.5.1

Zabezpečení sítí 802.11

Pro zvýšení zabezpečení byly vyvinut protokol WEB („Wired Equivalent Privacyÿ) určený k šifrování toku dat proudovou symetrickou na základě algoritmu RC4. Proudová šifra generuje pseudonáhodný stream o stejné délce jakou má zpráva. Šifrování probíhá jednoduchou operací XOR mezi zprávou a klíčovým streamem a dešifrování probíhá reverzně. Odesílatel i příjemce musí mít uložený statický klíč, kterým šifruje a zároveň dešifruje komunikaci. Pro vyšší bezpečnost je nutné klíč průběžně obměňovat. Zašifrování stejné zprávy symetrickou šifrou je pokaždé generuje stejnou šifrovanou zprávu a tím pádem je mnohem jednoduší klíč uhodnout. Proto je součástí WEP ještě inicializační vektor (IV), který se mění s každým paketem a doplňuje klíč o dalších 24 bitů. Při použití WEPu s klíčem dlouhým 128 bitů má klíč pouze 104 bitů a dalších 24 bitů IV. Generování IV zajišťuje vysílací strana, která ho nejenom použije k sestavení šifrovaného streamu, ale přidá ho v otevřené podobě i do záhlaví rámce. Tím by se mohlo zdát, že se pokaždé použije jiný klíč a šifra je tím

22

bezpečnější, ale není tomu tak. Unikátních IV je pouze 224 a pokud se tedy odešle 224 paketů, začne se IV opakovat [14]. Jedním ze způsobů autentizace uživatele je Shared Key Authentication. Pokud se chce klient připojit, tak mu AP odešle náhodně vygenerovaný text. Klient ho zašifruje svým klíčem a odešle zpět. AP text zašifruje také a pokud se shoduje s tím, co dostal od klienta, tak mu je povolen přístup. Tato metoda není nejvhodnější, protože dokážeme-li odposlechnout vygenerovaný text a poté jeho zašifrovanou podobu, derivovat klíč, pokud známe původní a šifrovanou podobu zprávy, je mnohem snazší. 3.5.2

Zabezpečení sítí 802.1x

Bohužel, algoritmus RC4 je poměrně slabý a existují nástroje, které po odposlechnutí určitého množství paketů dokáží šifru prolomit. Protokol WPA („WiFi Protected Accessÿ) je novější bezpečnostní mechanizmus. WPA používá pro šifrování komunikace protokol TKIP („Temporal Key Integrity Protocolÿ), ten využívá stejný šifrovací algoritmus jako WEP, ale používá standardně 128-mi bitový klíč, a na rozdíl od WEPu obsahuje dynamické dočasné klíče. TKIP pracuje s automatickým klíčovým mechanismem, jenž mění dočasný klíč každých 10 000 packetů. Další výhodou TKIP je MIC („Message Integrity Checkÿ) - kontrola integrity zpráv. MIC je podstatně lepší než dosud užívaný jednoduchý kontrolní součet CRC. Autentizaci uživatelů provádí přístupový bod na základě výzvy klienta pomocí externího autentizačního systému RADIUS („Remote Authentication Dial-in User Serviceÿ). Obecný postup autentizace podle IEEE 802.1x je následující: - AP vyšle klientovi na základě detekce jeho přítomnosti zprávu EAP REQUESTID. - Klient odpoví zprávou, která obsahuje identifikační údaje uživatele; přístupový server zapouzdří celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS REQUEST a vyšle ji serveru RADIUS. - Server RADIUS odpoví zprávou obsahujícím povolení/zákaz přístupu pro daného klienta - V případě povolení (SUCCESS) je příslušný port přístupu do sítě (přes nějž autentizační komunikace probíhala) otevřen pro data daného uživatele, který je na základě úspěšného výše popsaného procesu považován za autentizovaného. Už se ovšem prokázalo, že ani 802.1x není dostatečně odolný vůči některým útokům. Jedním z úspěšných typů útoku je „Man in the Middleÿ. Anténa vysílající na stejném kanále a se stejným SSID („Stands for Service Set Identifierÿ), jako pravý AP, s vyšším ziskem způsobí, že se uživatel, místo na pravé AP, připojí k útočníkovi. V podstatě jde o to, že útočník hraje roli prostředníka mezi klientem a cílovým serverem, tím pádem může odposlouchávat a v případě zabezpečného přenosu i dešifrovat data.

23

Zahltit bezdrátové sítě pomocí DoS útoku je mnohem jednoduší než u ethernetových sítí. K odepření služby stačí například neustálé posílat RTS („Request To Sendÿ) paketů, takže AP bude útočníkovi pořád přidělovat právo k vysílání a ostatní budou muset čekat. Tato chyba byla již u některých AP vyřešena. Jiným způsobem je rušení pásma 2,4 GHz na kterém WiFi běží. Pásmo 2,4 GHz může rušit spousta přístrojů, např. bezdrátové domácí telefony, mikrovlnky, dálkové odemykání apod. Pokud pásmo budeme záměrně nějakým zařízením či anténou rušit, tak uživatelé nebudou schopni komunikovatsp. 3.5.3

Ochrana bezdrátového přenosu

V současné době není možné zaručit bezpečné fungování WiFi sítě. Nicméně důsledným využitím bezpečnostních mechanizmů můžeme zabránit amatérskému útoku a odradit profesionálního útočníka. - Změnit administrátorské jméno a heslo. Množství útoků je úspěšných jenom proto, že není změněno výchozí heslo. - Vypnutím vysílání SSID je možno ukrýt AP. Pro zkušenějšího útočníka není problém sice AP odhalit, ale i tak se skrytí sítě vyplácí. - Zapnout šifrování WEP na nejvyšší možnou úroveň, kterou podporují všechny klientské WiFi karty. Distribuci klíče mezi uživatele je nutno zajistit bezpečným způsobem. V případě možnosti použít protokol WPA. - Filtrování MAC adres je účinnou možností ochrany. V rozsáhlejších sítích ale narážíme na problémy s udržování seznamu aktivních MAC adres. - V případě, že je to účelné, nepoužívat všesměrové vysílání. Pro útočníka je pak složitější napojit se na přenos.

3.6

Malware

Pod pojmem počítačová „nebezpečnostÿ je nevíce o obecném povědomí výraz počítačový virus. Používá se pro označení jakéhokoliv škodlivého kódu, který je přítomen na počítači, bez ohledu jestli se skutečně jedná o virus, trojského koně nebo červa. Skutečným správným slovem pro „virÿ je malware, zkratka z anglického malicious software - škodlivý software. Nicméně i tomto dokumentu bude používáno rozšířeného označení vir, kromě případů kdy se právě poukazuje na rozdíly v kategoriích malware. 3.6.1

Destruktivní účinky malware

Malware má obvykle schopnost škodit i jinak než jen svým prostým šířením. Záleží jen na fantazii a schopnostech útočníka. Z počátku to byly různé žertíky (v lepším případě) nebo v horším smazání dat z disku. Dnes se trend vyvíjí ne přímo k destrukci dat, ale spíš k dalšímu zneužití napadeného počítače. Podle statistik je dnes přes čtyřicet procent malwaru slouží k instalaci backdooru, o několik procent méně

24

se snaží stahovat další aplikace z webových stránek. Asi třicet procent obsahuje spyware a šestina škodlivých kódu deaktivuje antivirový program nebo firewall [15]. Backdoor, neboli zadní vrátka, je aplikace, sloužící pro vzdálenou správu PC. Princip fungování backdooru je následující. Klientská část vysílá požadavky útočníka serverové části, ta tyto požadavky plní, popřípadě odesílá zpět klientu požadované informace. Z předchozího je zřejmé, že klientskou část aplikace by měl vlastnit útočník a serverová by měla být umístěna na počítači, kde lze očekávat kupříkladu důležitá data. Pokud je serverová část backdooru vypouštěna úspěšně se šířícím virem, má vzdálený útočník k dispozici tisíce počítačů, ke kterým může vzdáleně přistupovat. Celá komunikace probíhá ve většině případů na bází TCP/IP, která ve spojení s celosvětovou sítí Internet umožňuje, aby útočník byl vzdálen tisíce kilometrů od serverové části backdooru. Napadený počítač („zombieÿ nebo také „botÿ) může útočník použít k rozesílání spamu, dalších virů, k DDos útokům nebo získávání „kliknutíÿ na určenou stránku, kde dochází k umělému zvyšování návštěvnosti. Cekoví počet počítačů-zombii se odhaduje v řádech milionů. Volně přeloženo jako „vypouščečÿ a „stahovačÿ. Oba tyto tyty virů vypouštějí na počítač další škodlivé kódy. Zatímco dropper je nese uvnitř svého těla, downloadr se je snaží stáhnou z internetu. Zde naráží útočník na problém, protože při zjištění adresy na kterou se virus dotazuje, bývá dotyčná stránka odstraněna. Variantou downloaderu jsou viry, které požívají určité stránky jako zdroj up-datu. Spyware je program určený pro krádeže dat. Sbírá informace o vašich navštívených stránkách, instalovaných programech, e-mailové adresy. Tyto data pak slouží pro cílenou reklamu, cíle útoků. Do kategorie spyware můžeme zařadit i keylogger. Jde o programy sledující stisky klávesnice. Jsou využitelné pro nelegální získání přístupového hesla. Spyware lze nainstalovat jednak bez vědomí uživatele, tak i s jeho „požehnánímÿ. Mnoho sharewarových a freewarových programů obsahují v EULA („End User License Agreementÿ) – licenčním ujednáním informaci o existenci spyware, ale nikdo z uživatelů tento text nikdy nečte. Adware je produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem jsou „vyskakujícíÿ pop-up reklamní okna během surfování, společně s vnucováním stránek (např. výchozí stránka), o které nemá uživatel zájem. V tomto případě mluvíme o našem prohlížeči jako o „hijackedÿ. 3.6.2

Obrana před malware

Jak už název napovídá, proti virům je nejlépe nasadit antivirový program. Principy antivirů jsou rozebrány v příslušné kapitole. Taktéž firewally, které využijeme spíše proti červům mají svou část. 25

3.7 3.7.1

Viry Historie virů

První viry vznikly v scifi tak, když se první škodlivé programy v osmdesátých letech skutečně objevily, nikdo tomu nevěnoval pozornost. První „viryÿ byly jednoduché trojské koně a jako způsob šíření používaly diskety. Ze skutečných virů prvního období si připomeňme Brain (používal na svou dobu vyspělé stealth techniky) nebo známí Cascade, který způsoboval padání písmenek na monitoru [3]. Už na začátku devadesátých let se objevují první polymorfní viry. V roce 1994 se objevil slovenský vir OneHalf3 , který kromě toho, že byl těžce odhalitelný, kódoval obsah pevného disku a při neodborné dezinfekci tohoto viru došlo k ztrátě dat. Při přechodu na Windows 95 byl ohlašován konec virů. Bohužel tomu tak nebylo. Téhož roku se objevil i první makrovirus. V roce 1998 vznikl známí virus Win95/CIH, který byl později novináři pojmenován jako „Černobylÿ. Virus „Černobylÿ byl zajímavý tím, že se každého 26. dubna pokusil přemazat paměť Flash BIOS na základní desce. Pokud se přemazání paměti Flash BIOS zdařilo, pak nebyl počítač schopný provozu. Jinak než zásahem do hardwaru nebylo možné tento problém vyřešit. Virus Win95/CIH tak částečně narušil do té doby spolehlivé tvrzení, že hardware nelze virem poškodit [3]. O rok později, tedy v roce 1999 se podobné skripty začínají objevovat v provedení „mass-mailingÿ. Začíná tak nová éra virů, šířících se elektronickou poštou. V posledních letech zažil počítačoví svět několik epidemii. V roce 2004 proběhla „válkaÿ virů rodiny Netsky a Bagle, kde si autoři posílaly v těle virů urážlivé vzkazy a instalovali si navzájem proti konkurenci antivirové záplaty. Největší škodu měl pochopitelně uživatel. Rok 2005 znamenal ústup virů ze slávy. Z nových bezpečnostních hrozeb na ně během roku připadlo méně než procento. Na druhou stranu, „starší záležitostiÿ se i nadále dokáží šířit. Obecný vir Program viru je specifický tím, že potřebuje ke své existenci jiný soubor. Virus se při aktivaci snaží překopírovat do jiných souborů typu exe, com popřípadě i typu bat. V případě přepisujících (owerwrite) virů dochází smazání původního kódu, to znamená nevykonání původního účelu programu, což může vyvolat pozornost a reakci uživatele. Existují tedy i parazitické viry, které umístí své tělo před (prepend), dovnitř (insert) nebo za (append) kód napadeného souboru. Typický vir vykoná tyto úkony: - Po spuštění infikovaného souboru dojde k aktivaci viru. - Virus převezme kontrolu a vyhledá vhodné soubory do nichž se nakopíruje. Může vykonat svou destruktivní činnost. Činnost viru se ukončí. - V případe owerwrite virů se program ukončí, často s hlášením o chybě - U parazitických dojde i k spuštění infikovaného souboru a uživatel nic nepozná 3

26

Mimochodem podle www.virovyradar.cz je ještě v roce 2005 aktivní

3.7.2

Boot viry

Jedna z nejstarších skupin virů jsou takzvané boot viry. Boot viry se usazují v boot sektoru disket nebo MBR (Master Boot Record) pevného disku. Napadením nějaké z těchto oblastí si boot virus zajistí svoje spuštění hned po startu počítače. Uvedené viry se chovají tak, že obvykle přepíší svým vlastním kódem boot sektor a původní přepsanou část boot sektoru uschovají na jiné místo disku. Boot viry spolu s nástupem virů šířících se elektronickou poštou prakticky zanikly. Typické chování boot viru: - Po spuštění počítač „nabootujeÿ skrz virus. Virus se natáhne do paměti a změní příslušné adresy diskových systémových služeb. - Zkontroluje, zda už obsadil boot sektor pevného disku, v negativním případě jej nakazí. - Při požadavcích na práci s disketou se virus aktivuje a přenese se na boot sektor diskety. Nakažení dalšího počítače pak stačí zapomenout při startu takovou disketu v mechanice. 3.7.3

Makroviry

Specifickým druhem virů jsou makroviry. Makroviry se nereplikují do klasických spustitelných souborů jako klasické viry. Jak naznačuje samotný název skupiny, jsou tvořeny makry. Již první kancelářské aplikace umožňovaly práci s takzvanými makry. Postupem dobz se způsob práce s makry měnil, takže dnes jsou makra vytvářena ve speciálních vyšších programovacích jazycích. Makro, které je schopno zkopírovat sebe sama z jednoho dokumentu do druhého (a to opakovaně), je nazýváno makrovirem. Je zřejmé, že úspěšné šíření viru vyžaduje několik podmínek. Používaná aplikace musí být široce používána a musí docházet k výměně dat včetně maker mezi jednotlivými uživateli a počítači. Všechny tyto podmínky splňují hlavně programy Microsoft Word a Excel, a proto jsou zdaleka nejrozšířenější právě makroviry pro tyto dva programy. Zajímavostí je, že markroviry jsou multiplatformní. Mohou fungovat jak na klasických PC tak i na strojích Macintosh. Stačí, aby na dané stanici běžel program z balíku MS Office. Dále se vyskytovaly takzvané „cross-infectoryÿ: viry, které mohly fungovat jak na programu Word, tak i na Excel a PowerPoint současně [3]. Princip činnosti makroviru: - Makrovirus je uložen v napadeném dokumentu. Pokud je takový dokument otevřen a načten danou aplikací, může být za určitých podmínek virus spuštěn například pomocí automaker. - Virus pak zkopíruje sebe sama do nějakého globálního dokumentu, který mu zajistí aktivaci při každém následujícím spuštění aplikačního programu. - Při dalších spuštěních aplikace se tak znovu zaktivuje a může napadat všechny vytvářené, modifikované či jen čtené dokumenty. Automakra jsou o makra se speciálními jmény, která jsou za určitých podmínek automaticky vykonána. Příkladem mohou být makra AutoExec (automaticky spuštěno

27

při startu programu), AutoOpen (při otevření dokumentu), AutoClose (při uzavření dokumentu) a AutoExit (při skončení aplikace). 3.7.4

Poštovní viry

V dnešní době si už snad ani nedokážeme představit vir, který by šířil pomocí disket. Přitom to po dlouhou dobu byl nerozšířenější a spolehlivý způsob. Nástup internetu v devadesátých letech znamenal převrat i v šíření virů. Zatímco diskety se přestávají používat, převzal „štafetuÿ nejoblíbenějšího způsobů šíření virů e-mail. Pomocí pošty lze poslat jakýkoliv druh viru a to na velký počet adres v krátkém čase. Mnohdy se takto šířící se viry nazývají „červyÿ, ale v tomto dokutu bude toto označení použito pro jiný druh malwaru. Nejčastější metoda šíření virů je v podobě binárních souborů v příloze mailu. Takto rozesílané viry pracují takto: - Uživatel sám otevře a spustí virus. - Aktivovaný virus hledá další e-mailové adresy na které se bude šířit. Pátrá zejména po určitých řetězcích v souborech na pevném disku. Jiný způsob je prohledat samotné složky pošty. Výsledky hledání je dále možno kombinovat (prohození a kombinace jmen a domén) a získávat tak další možné adresy. Pošta zaslaná na takto získané adresy, kromě toho, že se některé skutečně mohou „trefitÿ, způsobují zahlcení poštovních serverů. - Proces replikace. Obecně existují dva způsoby replikace. Mass-mailer, které rozesílají co možná největší množství zpráv v co možná nejmenším čase. Opakem je Slow-mailer, kdy se virus snaží o nenápadné rozesílání v menším rozsahu.Příkladem mohou být některé viry, které odpovídají (reply) na čerstvě došlé e-maily. Je pravděpodobné, že uživatel nebude ochoten spouštět EXE soubory, které mu přijdou poštou. Jednoduchým řešením je pro útočníka využít dvojité přípony (virus.jgp.exe). Výchozí nastavení operačních systémů Windows umožňuje skrytí známých přípon, proto se bude příloha v tomto případě jevit jako neškodný obrázek. Variantou dvojité přípony je velký počet mezer mezi „ jpgÿ a „exeÿ, aby se pravá přípona vizuálně skryla. I viry využívají ve svůj prospěch metod sociálního inženýrství. Je nutné aby text mailu vzbuzoval zájem uživatele. Měl by být lákavý nebo ještě lépe tajný. Z toho důvodu může být zkomprimovaná příloha zaheslovaná, jako v případě viru Win32/Bagle. Ke spuštění infikovaného souboru a tím i zahájení dalšího šíření je tak potřeba během rozbalování souboru zadat přesně dané heslo, které je uvedeno v textu e-mailu a poté spustit vnořený binární soubor. K aktivaci viru nemusí dojít vždy pouze otevřením přílohy. Díky přítomnosti celé řady bezpečnostních děr („security holesÿ) v e-mailových klientech. Pokud nejsou opatřeny příslušnými záplatami, které vydává výrobce daného produktu, pak je virus může zneužít například k svojí vlastní automatické aktivaci pouhým náhledem na infikovaný e-mail. 28

Většina dnešních virů šířících se elektronickou poštou využívá e-mail spoofingu, tedy falšování adresy skutečného odesílatele. Na místo adresy skutečného odesílatele bývá dosazena zcela odlišná adresa, ať už fixní (virus Win32/Sobig.B dosazoval adresu [email protected]) či proměnlivá (prohlídkou knihy adres). Nepříjemným efektem mohou být rozhořčené dopisy uživatelů, rozesílané na nesprávnou adresu odesílatele. Bohužel tím, že je adresa skutečného odesílatele podvržena, dostane toto upozornění zcela nevinný uživatel. Pokud jde zároveň o nezkušeného uživatele, může celá situace dojít tak daleko, že přestane věřit vlastnímu antivirovému systému a celý svůj operační systém kompletně přeinstaluje jen na základně těchto falešných zpráv.

3.8

Červy

Další významnou skupinou malwaru jsou internetoví červy (worms). Zde nejsou na mysli viry rozesílané elektronickou poštou i když jsou takto často nazývány. Existují určité rozdíly: - Pravý červ nepotřebuje infikovat další soubor. - Červ nepracuje na aplikační úrovni. Šíří se pomocí paketů na úrovni TCP/IP popřípadě UDP protokolem. - Využívá bezpečnostních děr k proniknutí do systému. - Po infekci produkuje ohromné množství „červíchÿ paketů a napadá další počítače. Z uvedeného vyplývá, že proces napadení červem probíhá naprosto a automaticky (pokud není instalovaná záplata, kterou červ využívá) a dosahuje neobyčejných rychlostí šíření a to i v celosvětovém měřítku. Záplavou „červíchÿ paketů dochází k zahlcení sítí a jejich nefunkčnosti i bez toho, aby samotný červ obsahoval škodlivou rutinu. Samozřejmě červ může sebou nést backdoor, spyware nebo jinak poškozovat počítač. Antivirové programy nedokáží v podstatě s červy účinně bojovat. Dokáží sice červa detekovat a poté jej zneškodnit, ale bezpečnostní chybu, které útočník využívá, neodstraní. Dojde tedy znovu k infekci. Poté se cyklus vyléčení a nakažení znovu zopakuje. 3.8.1

Morrisnův červ

2. listopadu 1988, se objevil bezpečnostní incident, který dal červům jméno. Robert Tappan Morris, tehdy dvaceti tříletý student Cornell University, pracoval na výzkumném úkolu, v rámci kterého vytvořil program (pojmenoval ho Worm), schopný šířit se a replikovat v prostředí sítě. Jeho zdrojový kód měl 99 řádek, a přeložený program fungoval jen na počítačích operačními systémy na bázi Unixu. Obsahoval však jednu chybu, která se naplno projevila v okamžiku, kdy začal Robert Morris s programem experimentovat. Jakmile jej spustil, začal se program nekontrolovatelně šířit

29

prostředím tehdejšího Internetu, a napadat další počítače. Zmiňovaná chyba spočívala v tom, že tento program napadal každý počítač nikoli jen jednou, ale opakovaně - tak dlouho, dokud nevyčerpal všechny jeho zdroje. Výsledkem byla lavina, která zaplavila na 6000 počítačů, což bylo osm procent všech tehdy připojených počítačů. Dodnes nepřekonaný rekord [15]. Napadené stroje byly velmi rychle zahlceny, a tím efektivně vyřazeny z provozu. Jejich správci je většinou museli fyzicky odpojit od Internetu a vypnout, resp. resetovat, a pak jejich chod nějak obnovit. Následně byly škody vyčísleny na 100 000 USD až 10 000 000 USD. Robert Morris byl pohnán před soud a ten jej odsoudil k tříletému podmíněnému trestu, pokutě 10 050 USD, a k tomu ještě 400 hodin veřejně prospěšných prací. Byl také vyloučen ze školy. 3.8.2

Moderní červy

Během devadesátých let došlo sice k několika „červímÿ útokům, ale nevzbudily větší ohlas. Slávu si vyložil červ CodeRed. 18. června 2001 byla zveřejněna první zpráva o bezpečnostní chybě v podobě buffer-owerflow v IIS (Internet Information Server). 20. června byla vydána příslušná záplata. 12. července přišel červ CodeRed, zneužívající tuto chybu. Není překvapující, že během dvaceti dní nebyly zabezpečeny všechny servery, ale naprosto neuvěřitelné je, že dnes šest let po svém zrodu CodeRed je stále (i když minimálně) aktivní. Červ CodeRed nebyl příliš dobře naprogramován. Jeho první verze měla chybný algoritmus šíření. Ten začínal vždy od stejné IP adresy a proto CodeRed napadal hlavně již infikované stroje. Teprve za týden byla tato chyba „odstraněnaÿ a nová verze CodeRed úspěšně zaútočila na 359 000 počítačů na celém světě. Šířením životní cyklus tohoto červa neskončil jedním rozšířením. Vždy v rozmezí od 1. do 19. každého měsíce se snaží šířit dál. Dále mezi 20. a 27. dnem podnikal DDoS útok proti oficiální doméně americké vlády www.whitehouse.com. Díky včasnému varování první verzi CodeRed bylo možno útoku předejít přemístěním stránek na jinou IP adresu. Až do roku 2002 napadaly červy pouze serverové stanice. Koncového uživatele obtěžovali minimálně. To ale změnil červ Opasoft ze října 2002. Napadal totiž stroje s operačním systémem Windows 9x. Na tomto škodlivém kódu je bezesporu nejzajímavější způsob šíření. K lokalizaci potencionálních obětí skenuje okolní dostupné sítě, přičemž používá port 137 (NETBIOS Name Service). Dochází přitom ke „kontroleÿ následujících sítí: Sítě, kterou sdílí současný (infikovaný) počítač (aaa.bbb.ccc.???). Poté dvou sousedních sítí (aaa.bbb.ccc+1.???, aaa.bbb.ccc-1,???) a nakonec náhodně vybraných sítí pomocí generátoru čísel kromě několika, které jsou v programovém kódu červa „zakázanéÿ ke skenování. Pokud se červu z některé IP adresy dostane odpovědi (na této adrese je reálný a fungující počítač), okamžitě začne skenovat i dvě sousední sítě k té, v níž se dotyčný stroj nachází. Jakmile přijde na infikovaný počítač odpověď, je tento paket informací podroben analýze [3]. 30

Pokud je zde informace, že dotyčný počítač má „File and Print Sharingÿ (Sdílení pro soubory a tisk), aktivuje infekční rutinu. Ta posílá na dotyčnou IP adresu specifický SMB paket na portu 139. Tento paket se pokusí vytvořit spojení mezi již infikovaným a nově vyhlédnutým počítačem. Pokud je chráněn heslem, Opasoft vyzkouší všechny jednosymbolové znaky, jedná se tedy o útok hrubou silou. V případě složitějšího hesla využije červ bezpečnostní chybu „Share Level Password Vulnerabilityÿ a opět se může dostat na disk. Opasoft využívá také backdoor a pokouší se spojit se stránkou www.opasoft.com (stránka byla krátce po objevení kódu uzavřena), odkud dochází k pokusu o stažení a spuštění jeho nové verze. Také stahuje a spouští skripty umístěné na této stránce. Zatím nejrychleji šířícím se červem byl Slammer ze začátku roku 2003. Zatímco CodeRed dokázal v počátku zdvojnásobit svůj počet během třiceti sedm minut, tak Slammer toho dosáhl během osm a půl sekundy. Během deseti minut tak dokázal napadnout devadesát procent všech napadnutelných počítačů. Za svou rychlost vděčil své velikosti, pouhých 376 znaků, a také díky tomu, že používal k šíření UDP pakety, které jsou mnohem rychlejší. Jen pro úplnost: Slammer využíval chyby Windows 2000 SQL servery, Šířil se na portu 1434 a po instalaci do počítače spustil nekonečnou smyčku produkující záplavu „červíchÿ UPD paketů. Zajímavý styl útoku předvedl červ DoomJuice. Nejprve se totiž šířil Internetem e-milový virus MyDoom, které na infikované počítači otevřel port 3127. Samotný červ pak hledal tato zadní vrátka a v případě úspěchu se pokoušel provést DDos útok na www.microsoft .com. V březnu 2004 se objevil červ Witty. Jeho zajímavostí je, že přišel pouhý den po zveřejnění bezpečnostní díry, kterou využíval. Zanedlouho začala nevětší infekce roku – červ Sasser. Odhad jeho rozšíření je okolo sedmi set tisíc strojů. Konec roku stihl ještě červ Santy, psaný v perlu. 3.8.3

Warholův červ

Warholův červ nebyl zatím vytvořen. Jde totiž o prototyp ideálního červa. Před potenciálem červů varovalo již několik studií podložených praktickými zkušenostmi, statistikami a simulacemi. Trojice výzkumníků Stuart Staniford, Vern Paxson a Nicholas Weaver vydala studii „Jak ve volném čase ovládnout Internet,ÿ kde probírají techniky, jak stlačit dobu potřebnou k rozšíření červa pod 15 minut4 . Alarmující je na tom fakt, že celý koncept je velmi jednoduchý. Abychom jako autoři červa udeřili co nejvíce, musíme se snažit minimalizovat trvání celého cyklu od uvolnění červa až po jeho úplné rozšíření na téměř všechny počítače (stav nasycení), aby neměli administrátoři čas reagovat. Křivka šíření takového červa je v druhé fázi exponenciální. Většina času bývá ale potřeba k překonání 4

Warholův červ podle výroku Andyho Warhola, že každý jednou zažije svých 15 minut slávy

31

první fáze po vypuštění, kdy je ještě infikováno velmi málo strojů. Po překonání této fáze nastane velmi rychlý růst. Weaver navrhuje využít tzv. hit–listu - předem připraveného seznamu vhodných cílů útoku. Útočník provede v předstihu scan a vytipuje si stroje s danou verzí operačního systému, příslušného software a dobrou konektivitou. Takové scany jsou natolik běžné, že téměř není možné to zaznamenat. Pokusy se simulátorem údajně ukázaly, že pro Warhol worm postačí seznam 10 000 - 40 000 IP adres. Při vypuštění červ nese seznam celý, ale v dalších generacích ho již dělí mezi své potomky na nově napadených strojích, čímž dojde k jeho rychlému prohledání a infikování napadnutelných adres. Druhou fázi rychlého exponenciálního růstu můžeme dále podpořit odstraněním problému s duplikovaným testováním již napadených strojů. Code Red zkoušel volit nové adresy k testování náhodně. To je velmi neefektivní, protože se „sondamiÿ plýtvá i na již napadené/testované stroje. To by měla odstranit technika permutativního scanování. Každý červ má k dispozici jakousi pseudonáhodnou posloupnost všech 232 IP adres v adresném prostoru. Tento seznam je pro všechny červy stejný (není nutné ho přenášet celý, k vygenerování permutace postačí šifrovací algoritmus s předem zvoleným klíčem). Na začátku si červ náhodně zvolí místo, ze kterého bude po seznamu postupovat a zkouší všechny adresy v řadě. Pokud nalezne již napadený stroj, ví, že na následující sekvenci již nějaký jiný červ pracuje (posloupnost je pro všechny stejná, takže ji již musí vykonávat někdo jiný) a začne z nového náhodného místa seznamu. Celý mechanismus se tak chová jako náhodný scan, ale omezuje se opakování. V případě, že červ několikrát po sobě narazí na již infikovaný stroj, došlo zřejmě již k nasycení - infikování všech počítačů. V takovém případě se může červ nejen uspat a vyčkávat dalších příkazů, ale může také provést destrukční aktivitu. Všimněme si, že u klasických virů je problémem zvolit laťku mezi destrukcí a replikací. Virus, který bude ničit brzy po napadení, nebude mít dost času dále se šířit. Naopak virus, který se specializuje na šíření, může být zničen dříve, než se dostane k samotné destrukci. Toto ale u Warhol wormů odpadá, protože červ se dozví, kdy došlo ke stavu nasycení. Může tedy zahájit destrukci v okamžiku, kdy již v podstatě není co infikovat. A tato doba může být mnohem kratší než oněch 15 minut. Počet cílů však nemusí být omezen pouze na počítače přímo dostupné z Internetu či na jednu konkrétní chybu. Navíc dnešní červy využívají chyb už nalezených a zpravidla také zaplátovaných.V praxi se může spíše osvědčit červ využívající několika různých chyb a komunikačních kanálů. Tím způsobem může snadno přeskočit firewall pomocí kódu zabaleného v mailu a dále se šířit pomocí topologicky orientovaného scanování (prohledávání blízkých adres) i ve vnitřních sítích. Koncept flash wormu předpokládá, že cracker provede předem kompletní scan celého internetu. Není to tak nereálné, jak by se mohlo zdát. Pokud jej navíc budete provádět náhodně, rozložený na další časový úsek, téměř nikdo si vás nemůže všim32

nout. Seznam údajně bude mít přibližně 50 MB nekomprimovaný, což se dá vhodnou kompresí snížit na pouhých 13 MB. Toto množství dat se ale v červu nachází pouze při vypuštění. V dalších generacích se opět bude dělit mezi potomky. Vypuštění by na rychlé lince nemělo trvat déle než 2-3 sekundy, poté je již nastartován exponenciální růst, který by měl vrcholit nasycením kolem 30. sekundy. Mohli jsme již pozorovat několik červů využívajících poměrně jednoduchých technik aktualizace. Vždy se snažily připojit na webovou stránku či IRC kanál, které byly po odhalení červa rychle odhaleny a zlikvidovány. Wormnet je ale promyšlenější struktura, kde každý červ zná několik svých „sousedůÿ a s těmi může komunikovat. Útočníkovi pak postačí vložit do sítě digitálně podepsaný update, který se již sám rozšíří. Ve výše zmiňované studii se jednalo hlavně o nové moduly s exploity bezpečnostních děr, o moduly pro práci červa na nových platformách a o příkazy k činnosti (červ se šíří neškodný a až později přes wormnet dostává úkoly). Weaver na simulátoru zjistil, že při jednom permutativním scanu získá červ průměrně 5 kontaktů, při každém dalším pak 2. Tím je vytvořena dostatečně rychlá síť.

3.9

Trojské koně

Trojské koně jsou dalším samostatným druhem malwaru a v dnešní době nejrozšířenější ze všech druhů škodlivých kódů. Jejich princip je prostý. Uživatel si sám stáhne program, který se vydává za nějakou neškodnou aplikaci. Ve skutečnosti takový program obsahuje backdoor, spyware nebo podobnou rutinu. Může samozřejmě obsahovat i část užitečnou, aby si uživatel ničeho nevšiml. Z hlediska programování má útočník ulehčenou práci. Trojský kůň je samostatně existující program, nemusí tedy infikovat žádný jiný soubor. Dále neobsahuje žádný algoritmus šíření. Z pohledu antivirů je tu opět výhoda. Antivirové systémy sice dokáží známý „trojanÿ detekovat, ale celková podstata trojských koní zvýhodňuje útočníka. Při virové epidemii dokáží antivirové společnosti zpravidla včas zareagovat a vhodně upravit virovou databázi. Trojské koně ale nejsou masovou záležitostí. Jde o jednotlivé útoky a není tak na co reagovat.

33

4 4.1

Prostředky zabezpečení Antivirový software

Antiviry si našly místo na disku už asi každého uživatele. Instalace antiviru je jedno z hlavních bezpečnostních opatření. Dnes můžeme hovořit spíše o celých bezpečnostních balících, které kromě antiviru obsahují i antispyware nebo firewall. Na druhé straně existují i jednoúčelové antiviry, které jsou zaměřeny na detekci popřípadě dezinfekci jednoho konkrétního viru. Jednoúčelové antiviry lze bezplatně stáhnout z internetu. Potěšující zprávou pro domácího uživatele je, že celková antivirová řešení na profesionální úrovni jsou k dostání zdarma. Kritériem pro hodnocení antivirových programů je samozřejmě nejdůležitější schopnost detekce virů. Ta je ovlivněna existencí několika faktorů. Současné antiviry splňují všechna tato kritéria: - On-acces scanner. Nepřetržitá kontrola. Cílem tohoto sledování jsou soubory s nimiž uživatel pracuje. Jedná se o operace otevírání, ukládání, čtení nebo spouštění. K testování je provedeno ještě před samotnou operací. Je-li zjištěna přítomnost viru, antivirus zablokuje k danému souboru přístup a upozorní na něj uživatele. - On-demand scanner. Kontrola na požádání. On-demand skener je takový, který vyhledává viry (skenuje) až po vydání požadavku uživatelem. Požadavek je často vydáván manuálně, obvykle vybráním požadované oblasti pro test (adresáře, pevný disk, disketa atd). Některé on-demand skenery je možné aktivovat na základě plánovače (scheduler) v časovém období, které předem definuje uživatel. - Automatická aktualizace. „Zastaralýÿ antivirový systém je v celku k ničemu. Aktualizace se týkají buď samotného antivirového programu nebo, častěji, virové databáze. Je také důležitý čas, za který jednotlivé antivirové společnosti vydávají. Pro uživatele s pomalým připojením je podstatná i velikost jednotlivé aktualizace. 4.1.1

Virová databáze

Antivirový skener dokáže na základě informací z virové databáze detekovat většinu známých virů, které vznikly před datem vydání virové databáze. Pravidelnou aktualizací lze zajistit, že rozdíl mezi současným datem a datem vydání bude co nejmenší a budou tak detekovány i nejnovější přírůstky mezi viry informace, na základě kterých lze virus detekovat. Například: signatury, tj. sekvence znaků stabilně se vyskytující v těle jednotlivých virů (popř. sekvence vyjádřené kontrolním součtem). Skener tyto sekvence vyhledává v jednotlivých souborech, popřípadě systémových oblastech disku. Pokud byla sekvence z virové databáze totožná se sekvencí v souboru, skener ho považoval za infikovaný.

34

Pokud ale budou jednotlivé sekvence příliš krátké může dojít k falešnému poplachu, označení korektního souboru jako viru. Pro snížení tohoto rizika je naopak možné vytvořit pro jeden virus více kontrolních řetězců. Problém nastává s polymorfními viry, kde je každý „ jedinecÿ odlišný. Moderní skenery proto obsahují emulátor strojového kódu, kterým se pokouší emulovat provedení dekryptovací smyčky, a pak mohou hledat sekvence až v těle viru. Emulátor kódu znamenal i příchod heuristické analýzy [3]. Variantou virové databáze je takzvaná generické detekce. Obvykle jde o signaturu, která se vyskytuje v podobné, nebo v nezměněné formě ve více virech současně. Může jít například o některé typické replikační mechanismy virů, které se již z jejich povahy musí nutně objevit. Generická detekce se tak často uplatňuje při detekci mnohých variant virů, které vznikají z původní verze jen drobnými úpravami. Heuristická analýza Při heuristické analýze jde o rozbor kódu hledající postupy pro činnost virů typické nebo nějak podezřelé. Tímto způsobem lze odhalit i dosud neznámé viry. V dnešní době je ve většině případů využita „aktivníÿ heuristická analýza. Základem je emulátor kódu a s ním spojená existence virtuálního prostředí počítače. Emulátor kódu dokáže spustit soubor a jeho část od-emulovat podobně, jako by ho spustil sám uživatel. Emulátor kódu ovšem veškerou činnost provádí ve virtuálním prostředí a skutečný počítač uživatele tak v případě „spuštěníÿ infikovaného souboru nemůže ohrozit. Pokud by byl zpracovávaný soubor infikován, emulátor v podstatě vykoná i činnost viru. Během emulace sbírány informace o aktivitách programu a na základě získaných informací vyhodnotí, zda se jedná o virus. 4.1.2

Kontrola integrity

Kontrola integrity je založena na porovnávání aktuálního stavu souborů a oblastí na disku s informacemi, které si kontrolní program (integrity checker) uschoval při posledním spuštění, popřípadě při jeho instalaci. Jestliže se do takto chráněného počítače dostane virus, upozorní na sebe změnou některého z kontrolovaných objektů a může být zachycen kontrolou integrity. Spolehlivě tak lze zachytit i nové, doposud neznámé viry pro skener či dokonce heuristickou analýzu. Nasbírané informace lze často využít i k velice účinnému léčení. Nevýhodou kontroly integrity je skutečnost, že musí být nainstalovaná na „čistýÿ počítač. Jinak je zaznamenán stav infekce a virus není rozpoznán. Dále je také nutné rozlišit od změn, které byly provedeny korektně a které byly způsobeny virem. Dalším negativem je, že kontrola integrity nedokáže zabránit vstupu škodlivého kódu na počítač. Je totiž spouštěna v rámci on-demand scanneru.

-

Co dokáže antivirový program: Detekovat známé viry a trojské koně Odhalit i dosud neznámé viry (pouze v určitých případech) Zabránit stažení, spuštění nebo zkopírování viru Detekovaný malware zneškodnit a obnovit poškozený soubor, pokud je to možné 35

Co nedokáže antivirový program - Odhalit spam, phishing (v rámci bezpečnostních balíků můžou antiviry obsahovat i antispamware) - Zničit útočící červy - Zabránit DoS útoku

4.2

Firewally

Firewall je úplně první obranná linie dělící počítač od internetu. Úkolem je oddělit cílový počítač nebo síť od útoku nebo naopak držet komunikaci zevnitř sítě do Internetu pod kontrolou. Kromě toho může mít firewall i další využití. Pokročilejší systémy dokáží provádět takzvanou IP maškarádu anebo lze třeba nastavit pravidla pro zákaz některých druhů stránek. 4.2.1

Paketové filtry

Firewally fungující na úrovni síťové a transportní vrstvy se obvykle označují jako paketové filtry. Firewall pracující na této úrovni zkoumá hlavičky paketů - IP adresy odesilatele a příjemce, a podle nich se rozhoduje zda je propustí dál, směrem k jejich příjemci, nebo zda je nepropustí a zahodí. Již na základě takovéhoto zkoumání IP adres dokáže paketový filtr povolit či zakázat veškerý tok dat od určitého vnějšího uzlu (na základě adresy odesilatele) či k některému uzlu v připojené síti (na základě adresy příjemce). Analogicky to samozřejmě platí i pro opačný směr přenosu. Další způsob filtrování na úrovni paketových filtrů je podle síťových služeb. Jde konkrétně o tzv. čísla portů, podle kterých jsou služby identifikovány v rámci odesílajících či přijímajících uzlů. V podstatě existují dvě politiky nastavení pravidel pro paketové filtrování. Je to zaprvé implicitní zahazování všech paketů kromě povolených nebo zadruhé přijímání všech kromě zakázaných. Výhodou paketových filtrů je jejich rychlost a nenáročnost na zdroje. 4.2.2

Aplikační filtr

Schopnosti firewallů charakteru paketových filtrů jsou principiálně omezeny tím, co je možné vydedukovat ze síťových IP adres a čísel portů. Takovéto firewally nemají schopnost analyzovat přenášená data tak detailně, aby mohly vyhodnocovat data odpovídající aplikační vrstvě - nerozumí například formátu přenášených zpráv, nepozná oprávnění uživatele, použitým poštovním adresám, i když podle čísla portu poznají že jde o elektronickou poštu. Kvůli tomuto handicapu nedokáží paketové firewally z principu rozpoznat některé možné útoky, „rozpoznatelnéÿ až na aplikační úrovni podrobnou analýzou vycházející ze znalosti příslušné služby Proto vedle paketových filtrů existuje další druh firewallů, označovaných jako aplikační filtry (brány), pracující na úrovni aplikační vrstvy.

36

Nejčastěji se však používá řešení zvané proxy gateway. Celý proces komunikace uživatele s internetem skrze proxy gateway probíhá poněkud složitěji. Při použití proxy nemůže uživatel vznést svoji žádost přímo na požadovaný server, ale musí jej odeslat skrze prostředníka jimž je právě proxy. Brána požadavek příjme, sama vygeneruje požadavek svým jménem a odešle jej příslušnému serveru. Když pak příjme zpět výsledek, tak jej pošle zájemci. Hlavní výhodou firewallu používajícího proxy je ta, že již nemůže zůstat pro koncového uživatele transparentní. To znamená, že při kliknutí na odkaz se informace neodešle přímo na cílový server, ale na proxy bránu, která teprve zajistí vše, co je třeba. Jelikož tedy data procházejí skrze proxy gateway, je možné je zaznamenávat, monitorovat či různě blokovat. K dalším efektivním nástrojům, které se využívají, můžeme zařadit SMTP ověřování uživatele nebo IP adresy, kontrolu došlých e-mailů s veřejnými seznamy odesílatelů spamu, prověřování existence domény odesílatele, kontrolu průměrného počtu odeslaných e-mailů za hodinu. Firewally dokáží informovat o dění v síti, které podrobně monitorují. 4.2.3

IDS a IPS

Paketový i aplikační filtr mají každý jinou funkci. K zajištění bezpečnosti se oba způsoby kombinují, přičemž „v první linii obranyÿ stojí paketový filtr, následovaný proxy gateway. Toto uspořádání je výkonově výhodnější, protože náročnější aplikační filtr se zabývá pouze jíž jednou odfiltrovanými pakety. Moderní firewally obsahují navíc další bezpečnostní funkce - starší systémy detekce průniku (IDS - Intrusion Detection System) a novější systémy prevence průniku (IPS - Intrusion Prevention System). IDS je pasivní zařízení, naslouchá provozu a vyhledává příznaky útoků. Pokud je detekován útok, IDS informuje firewall o probíhajícím útoku (firewall signaling),a ten zablokuje provoz z dané zdrojové adresy. Druhá možnost, kterou IDS může využít, je vyslat TCP reset. To je pochopitelně omezeno pouze na TCP provoz. Platí, že útok je detekován až v jeho průběhu a je tudíž nutno prošetřit škody. Základní metodou IPS je packet signatures, neboli vyhledávání známého řetězce znaků v toku dat. De facto stejně funguje antivir. Tato metoda má nevýhodu rizika falešných alarmů. Dalším řešením je detekce protokolových anomálií. Tok dat je porovnán s definicí daného protokolu a pokud se liší například délka odpovědi při navazování spojení, může takto být detekován i neznámý útok. Tato činnost je mimořádně náročná na výkon zařízení. Je nutné z jednotlivých paketů sestavit spojení, poradit si s defragmentací paketů, s duplikací a překryvem paketů. Dále provést normalizaci a zajistit jednoznačnou prezentaci dat. Následně porovnat s definicí protokolu (RFC) a rozdělit vše do jednotlivých částí - například adresy v mailu, subject, tělo mailu a příloha, Jinými slovy je potřeba, aby data byla „pochopenaÿ stejným způsobem jako u cíle respektive adresáta.

37

5 5.1

Řešení bezpečnosti provozu komunitní sítě Popis komunitní sítě

Malá komunitní síť je chápana jako síť v rámci jedné budovy nebo propojením několika budov. Větší komunitní sítě pak dosahují velikosti MAN. Účelem komunitních sítí je umožnit uživatelům společný přístup na Internet, sdílení souborů popřípadě hraní síťových her. Z hlediska konstrukce se navrhovaná komunitní síť skládá z hraničního routeru připojeného na Internet. K němu je připojen WiFi Access Point a popřípadě místní LAN. Na straně klienta je připojena WiFi karta k jeho PC (nejčastěji s operačním systémem Windows), popřípadě jako brána do další LAN. V případě větší sítě je vytvořená páteřní síť s připojenými AP. Vlastní router může být tvořen softwarově nebo hardwarově. Pro softwarový způsob se používá nejčastěji Linuxový router. V tomto případě lze vytvořit pomocí modulu Hostap a Wifi karty ze směrovače vlastní AP. Běžně zde bývají umístěny také DNS, www a ftp servery. Nevýhodou je složitější administrace, vyšší provozní náklady a také ne všechny WiFi karty podporují Hostap. WiFi broadband router představuje hardwarové řešení. Obsahuje několik ethernetových portů a vlastní AP. Firmware bývá také převážně založen na Linuxovém jádře. Toto zařízení samozřejmě může sloužit pouze jako router, nicméně v současnosti obsahují firewally a standardně podporují šifrování. Výhodou je rychlá a jednoduchá administrace přes webové rozhraní a nízké provozní náklady.

5.2

Nebezpečí pro kumunitní síť

Vzhledem k významu popisované sítě pravděpodobně nedojde k soustředěnému útoku (DDoS) z Internetu. Nicméně pořád hrozí nebezpečí náhodných scanů nebo automatického hledání nezabezpečených počítačů. Odpovědí na tyto hrozby by mělo být nastavení firewallu na routeru na blokování jakéhokoliv nevyžádaného spojení. Na druhou stranu uživatelům by měl být umožněn neomezený přístup na Internet. To sebou přináší možnost nakažení počítače virem nebo trojským koněm. Toto nebezpečí limituje osobní firewall a antivirový software instalovaný na jednotlivých stanicích. Zde by měly být také filtrovány URL adresy a odchozí komunikace. Další možností je útok zevnitř sítě. Pokud pomineme úmyslný útok nějakého z uživatelů (takové útoky jsou velmi špatně blokovatelné) připadá v úvahu napadení pomocí virem infikovaného počítače. Zde je nejdůležitější rychlost detekce. Je nutné předejít například záznamu v blacklistů spamerů. Poslední nebezpečí skýtá odposlech bezdrátových datových spojů nebo připojení a využívání sítě útočníkem. Kromě „surfováníÿ zadarmo, vystupuje pod IP sítě může dojít ke ztrátě důvěryhodnosti. Obranou linii je zde šifrování a autentizace.

38

5.3

Zabezpečení hraničního routeru

V prvé řadě je nutno rozhodnout, zda bude řešen hardwarově nebo softwarově. Z hlediska bezpečnosti je asi nejvýhodnější profesionální broadband router, který obsahuje všechny obvyklé bezpečnostní prvky jako firewally, IDS, IPS nebo nástroje detekce DoS útoků. Podstatnou nevýhodou je vysoká cena. U levnějších strojů jsou naopak možnosti zabezpečení omezené. Softwarové řešení pomocí systému Lunux je flexibilnější, ale klade vyšší nároky na administrátora. Je nutno veškeré komponenty nainstalovat zvlášť, na druhou stranu administrátor sám nastaví požadovanou úroveň bezpečnosti. V této práci byl vybrán jako Internetová gateway Linuxový router. Máme dvě síťová rozhraní eth0 (Internet) a eth1 (vnitřní síť). Jádro Lunuxu obsahuje také firewall. Nastavení firewallu je základní bezpečnostní opatření. Pomocí modulu HostAP funguje router také přímo jako AP. 5.3.1

Nastavení Firewallu

iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP Základní politika firewallu je nepřijímat nic, kromě vyžádaného spojení. modprobe ip\_conntrack\_ftp Pro povolení aktivního FTP je nutno použít modul ip conntarack ftp. iptables -A INPUT -p tcp --dport 80 -j ACCEPT iptables -A INPUT -p udp --dport 80 -j ACCEPT V případě, že router funguje jako www server povolíme port 80. Obdobně povolíme i ostatní služby. iptables -A INPUT -p ALL -i lo -j ACCEPT iptables -A OUTPUT -p ALL -i lo -j ACCEPT Povolíme také loopback iptables -N IN_LAN ipetables -A IN_LAN -s xxx.xxx.xxx.xxx -j ACCEPT iptables -A FORWARD -i eth1 -j IN_LAN iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT Z vnitřní sítě povolíme jakoukoli komunikaci a zároveň umožníme odpovídat z Internetu.

39

iptables -N syn_flood iptables -A INPUT -p tcp --syn -j syn_flood iptables -A syn_flood -m limit --limit 1/s --limit-burst 5 -j RETURN iptables -A syn_flood -j LOGDROP Obrana proti DoS útoku může vypadat takto. iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s --limit-burst 5 -j ACCEPT Umožníme ICMP ping, ale maximálně pět za vteřinu. iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j LOG -m limit --limit 10/m --log-prefix="bogus packet: " iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP Logování scanování portů. iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE Na úrovni firewalu dochází také k překladu IP adres.

5.4

Zbezpečení WiFi přenosu

Zabezpečení bezdrátových přenosů probíhá standardně na AP. Pomocí ovladače HostAP přepneme WiFi kartu s chipsetem Prism do režimu access point (master). 5.4.1

Nastavení HostAP

iwpriv eth1 addmac xx:xx:xx:xx:xx:xx iwpriv eth1 delmac xx:xx:xx:xx:xx:xx iwpriv eth1 maccmd 1 Filtrování MAC adres. První a druhý řádek přidává a odebírá MAC adresy v seznamu. Poslední příkaz povolí přístup k AP jen MAC adresám v seznamu. iwconfig eth1 key xxxx-xxxx-xxxx-xxxx-xxxx-xxxx-xx WEP šifrování pomocí 124 bitového klíče. iwpriv eth1 enh_sec 3 Vypnutí broadcast vysílání SSID.

40

5.4.2

Nastavení hostapd

Pro vyšší bezpečnost existuje nástroj Hostapd. Jde o rozšíření HostAP. Obsahuje podporu standartu WPA, dynamickou změnu WEP klíčů, vytvoření nebo používání RADIUS serveru a vlastní filtraci MAC. Nastavení probíhá v souboru hostapd.conf. macaddr_acl=1 accept_mac_file=/etc/hostapd.accept Filtrování MAC adres pomocí hostapd. Zakáží se všechny MAC adresy, kromě povolených. Povolené adresy jsou umístěny v souboru hostapd.accept, ve formátu jedna MAC adresa na řádek. wep_key_len_broadcast=13 wep_key_len_unicast=13 wep_rekey_period=300 Obnovování 124 bitových WEP klíčů. wpa=1 wpa_passphrase=ASCII heslo nebo wpa_psk=heslo hexadecimálně nebo ze souboru ve formátu: psk, MAC adresa, lze požít pro různé psk wpa_psk_file=/etc/hostapd.wpa_psk wpa_key_mgmt=WPA-PSK wpa_pairwise=TKIP CCMP wpa_group_rekey=300 wpa_gmk_rekey=640 Pro spuštění WPA-PSK (Pre-shared key) nastavíme následující. Heslo by mělo mít více než dvacet znaků. own_ip_addr=127.0.0.1 auth_server_addr=127.0.0.1 auth_server_port=1812 auth_server_shared_secret=heslo acct_server_addr=127.0.0.1 acct_server_port=1813 acct_server_shared_secret=heslo wpa_key_mgmt=WPA-EAP Pro WPA-RADIUS (předpokládáme použití FreeRADIUS a OpenSSL) autentizaci použijeme uvedené:

41

5.5

Zabezpečení koncového počítače

Jelikož, hraniční router funguje jako poskytovatel Internetu, jsou restrikce vůči síťovým uživatelům minimální. Je žádoucí, aby klienti neměli omezený přístup k jakýmkoli službám Internetu. Na druhou stranu to přináší svá rizika. Systémy ochrany na routeru nechrání proti činnosti, kterou uživatel sám požaduje. Proto další, důležitá obraná linie na koncových uživatelských počítačích. Základními prvky zabezpečení koncových stanic jsou antivirus, osobní firewall, včasné aktualizace a určité znalosti bezpečnostní problematiky. Antivirový program s potřebnou aktualizací dokáže odhalit většinu virů, které se snaží proniknout do systému pomocí On-acces scanneru. Je vhodné také používat čas od času On-demand scanner pro celkovou kontrolu počítače. Jedním z projevů viru může být odesílání různých informací útočníkovi. Tomu lze zabránit na úrovni firewallu. Kromě blokování aplikacím k přístupu k Internetu, dokáží firewally omezit reklamu na stránkách nebo zablokovat otevírání pop-up oken. Kromě bezpečnosti se tak i omezí nároky na síť. Uživatele potěší, že množství produktů lze stáhnout z Internetu zadarmo. Oproti komerčním verzím postrádají freewarové některé služby, přesto je lze požívat na profesionální úrovni. Včasná aktualizace patří zásadním bezpečnostním pravidlům. Naštěstí mnoho programu se stará o svoji aktualizaci automaticky a uživatel nemusí nic řešit. Přesto útoky využívající bezpečnostní díry („exploitÿ) bývají úspěšné nejen měsíce, ale i roky po zveřejnění záplaty. Mnohé problémy s bezpečností si uživatel způsobí sám. Firewall nezabrání stáhnutí trojského koně (pokud není stahování úplně zakázáno) a antivir jej také nemusí znát. Otázka je proč došlo k pokynu uživatele škodlivý program stáhnout? Pokud vynecháme bezpečnostní chyby tak jsou téměř veškerá rizika způsobená „klikánímÿ uživatele. Kromě zásah pro přístup k Internetu je důležité také nastavení samotné pracovní stanice. Jednou z nejčastějších bezpečnostních chyb je přihlašování uživatelů na svoje PC jako administrátor. Virus, který dokáže infikovat PC, má pak přístup k celému systému a může například vypnout firewall nebo antvir. Poškození nebo úplné zničení dat může nastat z mnoha příčin: lidská chyba, virus, kriminální čin, živelní pohroma, výpadky napájení nebo poruchy pevných disků. Obnova dat, je-li vůbec možná, stojí čas a peníze a způsobuje prostoje. Jediným způsobem, jak těmto problémům čelit, je zálohování. Zálohování by se mělo provádět pravidelně, v souvislosti s cenou dat. Platí, že zálohy by měly být skladovány jiné místnosti, popřípadě budově, než jsou pracovní stanice z důvodu fyzické bezpečnosti.

42

6 6.1

Závěr a zhodnocení použitého řešení Srovnání s komerčními produkty

V popisované komunitní síti bylo zvoleno řešení routeru a přístupového bodu na bázi systému Linux. Síť je zabezpečena firewallem na vstupu do Internetu, stejně tak zabezpečení bezdrátového provozu (MAC filrtace, WEP, WPA-PSK, WPA-RADIUS, RADIUS server) je umístěno na jednou stroji. Zabezpečení koncových stanic je ponecháno na uživateli, přičemž se klienti musí řídit bezpečnostními doporučeními, které jsou dané podmínkami připojení. Použitý software je volně dostupný z Internetu. Výhodou je možnost flexibilita řešení a možnost upgrade. Pro srovnání uvedeme možnost hardwarového řešení routeru firmy Linksys model WRT54GL. Jako AP umožňuje veškerou ochranu WiFi sítě, kromě vytvoření vlastního RADIUS serveru. Je také implementován firewall umožňující blokovat přístup z internetu, filtrování IP adres, portů. Bezpečnostní politiky lze určovat pro jednotlivé počítače i na určitý čas. Tato funkce ale není v našem případě použitelná. Stejně jako filtrace podle klíčových slov. Chybí naopak obrana proti DoS útokům, zaznamenávání pokusů o útok nebo propouštění z LAN navázaného spojení. Výhodou je především snadná a přehledná administrace. Cena přístroje je okolo 2500 Kč včetně DPH. Existují AP routery, s vyspělým firewallwem, ochranou IPS, ale vzhledem k ceně nejsou určeny pro malé komunitní sítě.

6.2

Hodnocení řešení

Navrhované zabezpečení komunitní sítě není zcela bezpečné. Zejména u část WiFi se nedá vyhnout některým typům útoku. Na druhou stranu nelze vzhledem k povaze sítě očekávat dlouhodobý soustředěný útok. Na vstupu do internetu je uplatňováno pravidlo filtrace všeho kromě výjimek. Tento způsob by měl zaručit vysoký stupeň bezpečnosti pro linuxový router, přičemž LAN za ním není vidět. Ochrana koncového uživatele je založena na dostatečné informovanosti o potenciálním nebezpečí, následcích a protiopatřeních. Cílem práce bylo navrhnou bezpečnostní politiku pro provozování malé komunitní sítě. Byly uvedeny techniky používané nejčastějšími počítačovými útoky a obecné bezpečnostní opatření proti jednotlivým útokům. Po posouzení uvedených rizik a metod obrany bylo navrženo komplexní řešení ochrany malé komunitní sítě. Bezpečnost sítí není stav, kterého by bylo možno dosáhnout, ale cíl ke kterému je nutno směřovat. Počítačové útoky nabývají na intenzitě a jen pozornost věnovaná těmto nebezpečím umožňuje držet krok s utočníky.

43

7

Literatura

[1] Dostálek, L. Velký průvodce protokoly TCP/IP. Bezpečnost Computer Press, 2003. ISBN 80-7226-849-x. [2] Garfinjel, S. - Spafford, G.Bezpečnost v UNIXu a Internetu v praxi Computer Press, 1998. ISBN 80-7226-082-0. [3] Hák, I. Moderní počítačóvé viry [online] 2006 http://www.viry.cz. [4] ABC Linuxu [online] 2006 http://www.abclinuxu.cz. [5] Alwil Software [online] 2006 http://www.avast.com. [6] Cisco Systemc Inc. [online] 2006 http://www.cisco.com. [7] Host AP driver for Intersil Prism2/2.5/3, hostapd, and WPA Supplicant [online] 2006 http://hostap.epitest.fi. [8] Kerio Technologies Inc. [online] http://www.kerio.com. [9] Linksys [online] 2006 http://www.linksys.com. [10] Messagelabs [online] 2005 http://www.messagelabs.com. [11] Nejrozšířenějí viry a anlýzi [online] 2006 http://www.virovyradar.cz. [12] PC World Security IDG CZECH, Praha 2005. [13] ROOT.CZ [online] 2006 http://www.root.cz/. [14] Security portal [online] 2006 http://www.securyti-portal.cz. [15] The Global ecomic inpact of spam 2005, Ferris research Inc [online] 2006 http://www.ferris.com/. [16] Trend Micro Enterprice [online] 2006 http://www.trendmicro.com.

44