Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky. Vyšší odborná škola informačních služeb v Praze

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Vyšší odborná škola informačních služeb v Praze

Jiří Navrátil

Software pro zabezpečení pracovních stanic s operačním systémem Windows v síti LAN před útoky z internetu Bakalářská práce

2011

Prohlášení Prohlašuji, že jsem bakalářskou práci na téma „Software pro zabezpečení pracovních stanic s OS Windows v síti LAN před útoky z internetu“ zpracoval samostatně a použil pouze zdrojů, které cituji a uvádím v seznamu použité literatury.

V Praze dne 23. května 2011 Jiří Navrátil

Poděkování Na tomto místě bych rád poděkoval vedoucímu mé bakalářské práce Ing. Bc. Davidu Klimánkovi PhD. za pomoc, věnovaný čas, cenné rady a informace při psaní mé bakalářské práce.

Slovník pojmů

Slovník pojmů ActiveX

Technologie vyvinutá společností Microsoft, sloužící

DLL knihovna

(Dynamic Link Library) Dynamická knihovna je

Emulace FTP Karanténa Paket

Registry

SMTP

ke sdílení informací mezi aplikacemi.

spustitelný soubor, který pracuje jako sdílená knihovna funkcí.

Druh software, který umožňuje běh počítačových

programů na jiném operačním systému, než kde byly programy vytvořeny.

(File Transfer Protocol) Protokol pro přenos souborů mezi počítači pomocí počítačové sítě.

Izolované místo na disku, do kterého je možné uložit nalezené viry a jiné hrozby.

Blok přenášených informací počítačovou sítí. Databáze,

ve

které

se

ukládají

v operačním systému Windows. (Simple

Mail

Transfer

Protocol)

protokol pro přenos elektronické pošty.

informace

Internetový

Stealth vir

Neviditelný vir.

Firewall

Zařízení, sloužící k ochraně síťového provozu.

Virová databáze Boot

Shareware HTTP IP adresa

Seznam virů a jejich signatur. První sektor každého disku. Jiný výraz pro zapnutí PC.

Software, který je chráněn autorským právem. Lze

jej volně distribuovat, ale využívat pouze po omezenou dobu.

(HyperText Transfer Protocol) Internetový protokol, určený pro výměnu hypertextových dokumentů.

(Internet Protocol Address) Číslo, které jednoznačně identifikuje umístění počítače v síti.

TCP

(Transmission Control Protocol) Protokol pro

UDP

(User Datagram Protocol) Podobné jako TCP, je

ICMP

vytvoření spojení mezi počítači na síti. rychlejší, ale méně bezpečný.

(Internet Control Message Protocol) Protokol pro odesílání chybových zpráv z prostředí sítě.

Slovník pojmů

POP3

(Post Office Protocol) Protokol pro stahování e-

NFS

(Network File Systém) Protokol pro připojení

Telnet Proxy URL NAT VPN LAN

Aplet MAC adresa Router

mailových zpráv ze serveru.

vzdáleného systému souborů. (TELecommunication

NETwork)

Protokol

pro

spojení klient-server pomocí TCP. Umožňuje ovládat zařízení vzdáleně pomocí příkazového řádku.

Program, který zprostředkovává komunikaci mezi serverem a klientem.

(Uniform Resource Locators) Řetězec znaků, který

slouží k specifikaci umístění zdrojů informací.

(Network Address Translation) Způsob úpravy síťového provozu pomocí přepisu IP adres.

(Virtual Private Network) Virtuální síť vytvořená v rámci jiné sítě.

(Local Area Network) Lokální počítačová síť.

Softwarová komponenta, která běží v kontextu

jiného programu.

Jedinečný identifikátor síťového zařízení.

Síťové zařízení, které přeposílá datagramy k cíli.

Doména

Základní adresní jednotka webu neboli internetová

P2P

(Peer to peer) Architektura počítačových sítí, kdy

adresa.

spolu klienti komunikují přímo.

Obsah

Obsah 1

Úvod.............................................................................................................................................................. 1

3

Historie virů .............................................................................................................................................. 3

2

4

Cíle a metodika......................................................................................................................................... 2 Současné hrozby napadení stanice z internetu .......................................................................... 4

4.1

Nepřátelské programy ................................................................................................................ 4

4.1.1

4.1.1.1

4.1.1.2

4.1.1.3 4.1.2

Viry šířící se pomocí spustitelných souborů ....................................................... 4

Viry šířící se pomocí nespustitelných souborů .................................................. 5 Viry šířící se pomocí boot sektoru ........................................................................... 5

Červi .......................................................................................................................................... 5

4.1.3

Rootkity ................................................................................................................................... 6

4.1.5

Spyware ................................................................................................................................... 7

4.1.4

4.1.6

4.1.7

4.1.8 4.1.9

4.1.10

Trojský kůň ............................................................................................................................ 6

Adware ..................................................................................................................................... 7

Phishing ................................................................................................................................... 7 Hoax .......................................................................................................................................... 8

Tracking cookies .................................................................................................................. 8 Shrnutí ................................................................................................................................. 9

4.2

Hrozby z elektronické pošty ..................................................................................................... 9

4.3

Vnitřní a vnější nepřátelé........................................................................................................ 10

4.2.1

5

Viry ............................................................................................................................................ 4

4.4

Spam....................................................................................................................................... 10

Krádež hesel ................................................................................................................................. 11

Antivirové programy .......................................................................................................................... 13

5.1

Software ......................................................................................................................................... 13

5.1.1

Jednoúčelový software ................................................................................................... 13

5.1.3

Anti-malware software .................................................................................................. 13

5.1.2

Online nástroje .................................................................................................................. 13

5.1.4

Bezpečnostní balíky......................................................................................................... 14

5.2.1

Antivirový skener ............................................................................................................. 14

5.2.3

Generická analýza............................................................................................................. 16

5.2

Principy kontroly........................................................................................................................ 14

5.2.2

5.2.4

5.3

Heuristická analýza.......................................................................................................... 15

Kontrola integrity ............................................................................................................. 16

Techniky dezinfekce.................................................................................................................. 16

5.3.1

Standartní dezinfekce ..................................................................................................... 17

Obsah

5.3.2

Generické léčení ................................................................................................................ 17

5.3.4

Dezinfekce prostřednictvím kontroly integrity ................................................... 17

5.3.3

6

5.3.5

6.1

Filtrování paketů ........................................................................................................................ 19

6.1.2

6.2

6.3

6.4

6.5 6.6

Filtrování s kontrolou stavu ......................................................................................... 20

Překlad síťových adres ............................................................................................................ 20

Aplikační proxy ........................................................................................................................... 20

VPN ................................................................................................................................................... 21

Softwarové firewally ................................................................................................................. 22 Hardwarové firewally............................................................................................................... 22

7.1

Spybot - Search & Destroy ...................................................................................................... 24

CCleaner ......................................................................................................................................... 25

7.3

Ad-Aware ....................................................................................................................................... 25

8.1

Odborné firmy ............................................................................................................................. 27

Možnosti testování antivirů............................................................................................................. 27 8.1.1

AV-Comparatives .............................................................................................................. 27

8.1.3

Virus Bulletin...................................................................................................................... 29

8.1.2

8.1.4

AV-Test.................................................................................................................................. 28

AMTSO................................................................................................................................... 30

8.2

EICAR............................................................................................................................................... 30

8.4

In-the-wild..................................................................................................................................... 31

8.3 9

Bezstavové filtrování paketů ....................................................................................... 19

Další nástroje ......................................................................................................................................... 24

7.2

8

Očkování ............................................................................................................................... 17

Firewall .................................................................................................................................................... 19 6.1.1

7

Heuristické léčení ............................................................................................................. 17

Virovyradar.cz ............................................................................................................................. 31

Vlastní testy antivirového softwaru ............................................................................................. 33

9.1

Použitý hardware ....................................................................................................................... 33

9.3

Testovaný software ................................................................................................................... 34

9.2

Kolekce virů .................................................................................................................................. 34

9.3.1

Norton Antivirus ............................................................................................................... 34

9.3.3

AVG ......................................................................................................................................... 35

9.3.2

9.3.4

9.3.5 9.3.6

ESET NOD32 Antivirus 4 ............................................................................................... 35

F-Secure ................................................................................................................................ 36 AVIRA antivirus ................................................................................................................. 36

Avast! ..................................................................................................................................... 37

Obsah

9.4

9.5

9.6

9.7

Popis testování ............................................................................................................................ 38

Testovací kritéria ....................................................................................................................... 39

Výsledky testů.............................................................................................................................. 39

Vyhodnocení................................................................................................................................. 40

10

Závěr ..................................................................................................................................................... 44

12

Zdroje ................................................................................................................................................... 46

11

Seznam obrázků a tabulek........................................................................................................... 45

Úvod

1

1

Úvod Jsme v roce 2011 a osobní počítač s internetem využívá, dle Mezinárodní

telekomunikační unie, více než dvě miliardy lidí na světě [1]. Někdo ho používá pro svou potřebu, jiný zase k pracovním účelům. Na každé takové pracovní stanici je uloženo větší

či menší množství dat. Může jít o důležité dokumenty, pracovní podklady nebo hudební,

systémové a jiné soubory. Každý z nich může být kdykoli napaden, ukraden či zneužit. Jak je to možné? V dnešní době internetu je právě tato cesta nejjednodušší, jak se dá

napadnout počítač. Hackeři, podvodníci využívající důvěřivost lidí, či jiné skupiny lidí mají neuvěřitelně velké množství způsobů, jak nám počítač atakovat nebo jak se dostat k našim

citlivým údajům. Mezi nejvíce zneužívané patří: • • • •

E-mailové adresy Telefonní čísla

Čísla kreditních karet A další.

To je podle mě největší problém dnešní doby. Internet je hezká věc, která má

samozřejmě spoustu kladů, ale zároveň i záporů. Právě s použitím internetu se hrozby šíří do našich počítačů.

Existuje mnoho cest, kudy do našich počítačů. Někdy je to chybou neboli dírou

v systému, jindy uměním útočníka nebo nepřipraveností vlastníka počítače. Tím myslím

nedostatečnou ochranu počítače, kterou si může každý zařídit podle sebe. Existuje obrovské množství hrozeb, jako jsou viry, červi, spam, trojští koně apod. Na druhé straně

je ale také mnoho výrobců kvalitních antivirových programů, firewallů a dalších podpůrných programů na ochranu počítače. Obě strany jdou s dobou a neustále vylepšují

útok i obranu. Jak se ale zorientovat na trhu s obrannými programy? Od toho tu je moje

bakalářská práce, aby laikovi nastínila problematiku daného tématu, prozkoumala

možnosti řešení, porovnala výsledky testů software odborných firem a mých testů.

Nakonec vyberu řešení takové, které spolehlivě ochrání počítač při běžném používání internetu koncovým uživatelem.

Cíle a metodika

2

2

Cíle a metodika Vytyčil jsem si jeden cíl, a to navrhnout nejlepší kombinaci programů pro ochranu

počítače před hrozbami z internetu. Pro dosažení cíle budu nejdříve definovat jednotlivé

hrozby a způsoby jejich eliminace. Dále se pak k cíli dostanu takto: •

• • • • •

Vyberu nejlepší firewall na základě odborného testu

Vyberu šest nejpoužívanějších antivirových programů Otestuji je na základě kritérií, která si sám určím Zhodnotím výsledky

Vyberu nejlepší antivirový program

V závěru doporučím nejvhodnější kombinaci programů pro ochranu počítače

Historie virů

3

3

Historie virů Vůbec první záznamy o vytvořených virech pocházejí z přelomu 60. a 70. let, kdy se na

sálových počítačích začal objevovat takzvaný „králík“. Jeho činnost spočívala v tom, že se sám klonoval a tím obsazoval systémové prostředky, čímž způsoboval pokles výkonnosti systému.

První větší rozvoj nastal v 80. letech díky rozmachu programů z pera soukromých osob.

Díky tomu, že se šířily volně přes servery, měli Trojští koně, jak jsou nazýváni, volnou

cestu do počítačů uživatelů.

V roce 1986 vytvořili bratři Farooq Alviové vir, který pojmenovali Brain, přeloženo

z angličtiny jako mozek. Oba byli výrobci softwaru, a proto se rozhodli zjistit, jak je to

s pirátstvím. Virus tedy „napadal“ diskety, v jeho těle byly pouze jejich osobní informace.

Vzhledem k tomu, že počítačové pirátství kvetlo už tenkrát, brzy se virus rozšířil do celého

světa.

Od té doby byla vytvořena celá řada virů, některé pro zábavu, jiné za jiným účelem. Jistě

není nezajímavé, že tenkrát to měly viry mnohem jednodušší než dnes, nabídka antivirových programů byla velmi omezená, ne-li žádná. Je totiž pravda, že dlouhou dobu výrobci softwarů popírali, že vůbec nějaké viry existují.

K první velké zkáze došlo v listopadu 1988. Tehdy Robert Tappan Morris, student

americké univerzity, vytvořil červa, který se měl pouze šířit mezi počítači. Paradoxně, díky chybě v kódu, poškodil řadu systémů a v podstatě vyřadil z provozu tehdejší internet.

Následně na to se na trhu objevil legendární antivirový software VirusScan od McAfee.

Do roku 1992 bylo vyvinuto několik stovek virů, dokud se neobjevil první Windows

virus, který napadal spustitelné soubory pro Windows. Objevily se také viry, které

poškozovaly počítače postupně nebo takzvané stealth viry. Ty se dovedly maskovat v systému, tudíž bylo složité je vystopovat. Vznikl také generátor virů, díky kterému si

v podstatě skoro každý mohl naprogramovat svůj virus.

Od té doby postupuje vývoj virů stále kupředu, a do budoucna je jisté, že nastolený

trend bude pokračovat. Samozřejmě díky internetu a děravosti produktů od firmy Microsoft bude jejich šíření čím dál jednodušší. Nejznámější výrobce operačních systému

rozhodně nespí a neustále vyvíjí záplaty na díry, ale co naplat, výrobci virů jsou vždy o krok napřed. [6]

Současné hrozby napadení stanice z internetu

4

4

Současné hrozby napadení stanice z internetu V této kapitole se seznámíme s hrozbami, které na nás čekají, pokud si pořídíme

počítač. Rozhodně nejde jenom o nejrůznější viry, červy, trojské koně, nevyžádané odkazy

a podobně. Útok totiž může přijít i z naprosto nečekaného směru, jako například z vlastní kanceláře.

4.1 Nepřátelské programy V této skupině jsou všechny druhy škodících programů, dohromady se označují jako

malware, spojením anglických slov malicious a software (škodlivý software). Dělí se většinou na viry, červy, trojské koně, spyware a adware. Toto dělení je ale sporné, protože jednotlivé kategorie se velmi často prolínají a překrývají. Proto se v různých publikacích můžeme setkat s rozdílným dělením.

4.1.1 Viry

Virus definoval Dr. Frederick Cohen: „Počítačový virus je počítačový program, který

může infikovat jiný počítačový program takovým způsobem, že do něj zkopíruje své tělo,

čímž se infikovaný program stává prostředkem pro další aktivaci viru.“[5] Tato definice se ale postupem času mění, protože v dnešní době už ne všechny viry upravují data jiných

programů. Přesněji by se tedy dalo říci, že virus je program, který rekurzivně a explicitně kopíruje potencionálně se vyvíjející kopii sebe sama [3]. Takže abychom něco mohli

označit jako virus, musí se šířit proti vůli uživatele a chovat naprosto automaticky. Virus je

nejrozšířenější obdoba škodlivého softwaru. Jeho název koresponduje v podobě

s biologickými viry. Stejně jako lidský virus potřebuje ke svému šíření hostitele. Většinou

se jedná o spustitelný soubor nebo soubor, který obsahuje alespoň z části spustitelný kód. Rozeznáváme několik druhů virů jako souborové, boot viry, nespustitelné souborové viry a viry kombinované, oblíbené jsou boot + spustitelné soubory. [3]

4.1.1.1

Viry šířící se pomocí spustitelných souborů

Je to asi nejpoužívanější typ viru. Pro samotný vir je totiž výhodné, když je soubor

spustitelný. Je docela pravděpodobné, že uživatel infikovaný soubor buď otevře, nebo

rozšíří dál. V poslední době ale těmto virům vývoj příliš nepřeje, dnešní instalace jsou tak

složité, že nebývají kopírovány mezi počítači.

Hlavní skupinou jsou soubory typu executable, tedy s příponou EXE, pro systém

Windows nebo soubory využívající třeba překrývání modulů. Na začátku souboru je

klasická hlavička a po ní teprve samotný program. V tomto případě totiž virus musí nahrát


5

své tělo do některé sekce samotného programu a upravit údaje o této sekci v hlavičce,

nebo do hlavičky přidat novou sekci a nahrát se přímo do ní. [3]

4.1.1.2

Viry šířící se pomocí nespustitelných souborů

Viry napadající spustitelné soubory v poslední době ustupují do pozadí díky vývoji

programových balíků, které ukládají soubory na nejrůznější místa na disku. Jelikož

spustitelné soubory málokdo přenáší mezi počítači, autoři virů dlouho hledali cestu, jak infikovat soubory, které přenášeny jsou.

Nakonec se dočkali nečekané pomoci od firmy Microsoft. Vývoj jejich produktů byl

vykoupen přítomností programovacího jazyka, používaného pro tvorbu krátkých

programů na opakující se činnosti. Říká se jim „Makro“. Ty se distribuují společně

s dokumenty a zároveň se nahrávají do šablon, které jsou přidávány do každého dokumentu. Tímto způsobem tedy útočník dostane virus do nespustitelných souborů,

použitím šablon. V případě, že se podaří dostat virus do takovéto šablony, musí být

vyřešen ještě jeden problém, a to aktivace viru. Makra se spouští například klávesovou zkratkou. V takovém případě může uživatel nevědomky zmáčknout klávesu a spustit virus.

Dalším způsobem je, že makru může být přiřazena položka v menu aplikace, a zase stačí

jeden nevinný klik a virus je spuštěn. No a nejvíce používaný způsob jsou makra automatická. Ta se spouští při nějaké události, jako třeba Autoopen nebo Autoclose.

V tomto případě uživatel nemusí ani nic mačkat a nepříjemná událost je na světě. Dnes už

se tyto viry nepoužívají. Já jich však mám několik ve své kolekci, a do testů je zahrnu.[2]

4.1.1.3

Viry šířící se pomocí boot sektoru

Nejdříve si musíme říct, co to vlastně boot sektor je. Jedná se o oblast na začátku disku,

kde je uložen zavaděč systému. Vždy po startu počítač načte program z těchto sektorů,

uloží si ho do operační paměti a spustí. Pokud je vše správně, uživatel o tom ani neví.

Virus, šířící se tímto způsobem udělá malý trik. Z boot sektoru odstraní standartní

zavaděč a uloží ho někam jinam. Poté na ono původního místo nahraje část svého kódu a i jeho zbytek uloží jinam. Při startu počítače se tedy nejdřív načte virus a hned po něm

původní boot sektor. Uživatel nic neví a zpoždění je minimální. Virus se do počítače

dostane pomocí jakéhokoli infikovaného vyměnitelného média, ze kterého se pokusíme nabootovat počítač. [3]

4.1.2 Červi

Podobnost mezi červy a viry je veliká, ale přitom rozdíl mezi nimi je zásadní. Viry se

aktivně nezapojují do svého šíření, většinou čekají, až to za ně uživatel udělá. Kdežto červ


6

využívá počítačovou síť k napadení dalších stanic a nepotřebuje k tomu hostitelský

soubor. Tím ale ztrácí možnost napadnout libovolný soubor. Existuje mnoho cest, kudy se červi šíří. •

• •

E-mailoví červi

Internetoví červi IM a IRC červi

Nejrozšířenější je červ e-mailový. Používá bezpečnostní chyby nebo pokročilé funkce,

které dovolují hromadné odesílání mailů. Poté, co se červi dostanou do počítače, začnou

odesílat svoje kopie na e-mailové adresy uložené v adresáři. Taková zpráva obvykle

obsahuje červa jako přílohu. Internetový červ pomocí síťových prostředků prohledává počítače, a když najde nějakou díru, zaútočí a nainstaluje se do systému. IRC červi

používají komunikaci v reálném čase pro rozesílání odkazů na webové stránky nebo svůj

program, jako soubor EXE. [32]

Dvojitá přípona je trik červa, jak donutit uživatele počítače ke spuštění sebe samého.

V podstatě jde o to, že příloha v e-mailu má dvě přípony. V některých e-mailových

klientech (Microsoft Outlook) je primárně nastaveno zobrazování pouze jedné přípony.

Tím je docíleno toho, že uživatel si myslí, že si prohlédne obrázek. Ve skutečnosti může jít ale o EXE soubor, jenže tato přípona není vidět. Po otevření souboru se aplikace spustí, červ se rozšíří a má volnou cestu šířit se dále.

4.1.3 Rootkity

Tímto pojmem můžeme označit prostředek, který skrývá svou vlastní činnost

prováděnou na operačním systému. Můžou to být třeba běžné systémové programy upravené do takové podoby, aby nebyly vidět a útočník měl přístup do systému. Jako

zajímavost uvedu, že firma Sony BMG Music Entertainment implementovala na svá CD

nosiče rootkit, který při vložení do počítače s operačním systémem Windows okamžitě nainstaloval aplikaci, která znemožňovala kopírování disku nebo vytváření souborů mp3. Samozřejmě to bylo bez vědomí lidí kupujících CD nosiče, takže po čase byla firma nucena rootkit stáhnout a všem vyměnit CD za jiná. [33]

4.1.4 Trojský kůň

Název pochází z řecké mytologie. V boji o Troju bylo použito trojského koně, jako lsti.

Dřevěný kůň, darovaný na důkaz míru a konce boje byl dutý a schovávalo se v něm mnoho bojovníků. Když byl vtažen za obranu Troji, v noci z něj vylezli bojovníci a otevřeli bránu

svým kolegům, čímž získali rozhodující výhodu v boji. Podobnou funkci má trojský kůň

i zde.


7

Abychom si nainstalovali nepřátelský program, je zaobalen do takové podoby, že

vypadá zdánlivě neškodně. Může to být od hry cokoli až po aktualizaci Microsoft Windows

nebo Internet Exploreru. On sice může nainstalovat to, za co se skrývá, ale zároveň se

instaluje i škodlivý software sám, provede změny v registrech nebo jinak zasáhne náš

systém. Pokud se tak stane, může provádět činnosti, ke kterým je uživatel oprávněn. Může tedy měnit nebo odstraňovat soubory, instalovat jiné programy atd. [2] Mezi možné škody patří: •

• • •

Odstranění důležitých souborů

Krádež osobních dat, hesel nebo obchodních dokumentů Získání přístupu k dalším počítačům v síti

Možnost získat oprávnění správce sítě

4.1.5 Spyware

Jde o program, který využívá Internet k odesílání dat bez vědomí uživatele. Většinou se

jedná o statistická data jako například údaje o prohlížených stránkách či nainstalovaných programech. Často se to odůvodňuje snahou zjistit údaje pro potřeby a zájmy uživatele nebo cílenou reklamu. Spyware je legální, nikdo totiž nedokáže, že je jeho činnost zneužita.

Hlavním problémem je, že se šíří společně se sharewary a autoři o tom vědí. Jak i z názvu vyplývá (spy = agent), jde o špehovací program. [34]

4.1.6 Adware

V tomto případě se jedná o reklamní sdělení, hlavně o pop-up okna. Ta se zobrazují

během používání internetu a většinou nám vnucují něco, co nechceme. Název je opět výstižný (ad = reklama). Stejně jako spyware může být distribuován společně s instalací

jiných programů, kdy se tváří jako přídavné funkce. Hlavní rozdíl je ale v tom, že se na

adware vztahuje licenční ujednání EULA (End User License Agreement), kdy při instalaci

uživatel může nebo nemusí souhlasit s touto instalací. Na druhou stranu, pokud má program bezplatnou licenci, nemá často uživatel na výběr. [3]

4.1.7 Phishing

Rybaření, jak zní počeštělý výraz, je způsob, jak mámit z lidí citlivé údaje. Většinou se

jedná o vytvoření podvodné zprávy využívající důvěřivost lidí. Takový e-mail může

vypadat stejně jako jiný od opravdové instituce, pouze s tím rozdílem, že pokud kliknete

na odkaz zde uvedený, budete přesměrování na stránky podvodníka. Příkladem phishingu může být:

8


Vážený zákazníku, omlouváme se za výpadek naší služby v průběhu posledních 48 hodin. Pro ověření

obnovy

funkce

Vašeho

přístupu

Vás

žádáme

o

jeho

ověření

na

stránce http://www.securbanka.com vložením vašeho hesla do příslušného pole. S úctou... [35]

Pro získání citlivých dat jsou tři cesty: •

• •

Sociální inženýrství Keyloggery

Man-in-the-middle

V prvním případě je oběť nějakým způsobem přesvědčena, aby podvodníkovi poskytla

přihlašovací údaje, třeba do internetového bankovnictví.

Keyloggery mapují stisky klávesnice. Do počítače se dostávají pomocí trojského koně.

Man-in-the-middle fungují na principu skrytí útočníka. Figurují mezi podvedeným

a bankou, kteří nemají o něm ani tušení. V této pozici odchytí údaje, které potřebují. [35]

4.1.8 Hoax Tímto termínem se označují nebezpečné, poplašné a hlavně zbytečné řetězové zprávy.

Vlastně pokaždé je v nich uvedena žádost o rozeslání svým přátelům. Díky lidské důvěřivosti to plní účel. Přeposláním takové zprávy můžeme lidi jak obtěžovat, tak zatěžovat jejich mailové schránky. Důležité je vědět, že takové zprávy většinou obsahují

absurdní informace. V takových případech existuje web http://www.hoax.cz, kde je

vytvořena databáze zpráv typu hoax a kde si může každý ověřit pravost zprávy. Jako

aktuální případ, který vypovídá o všem, uvedu toto:

Předmět: I n f o - o OCHRANĚ před radiací - / - šiřme v MÍRU informaci - ne paniku

Ahojte,

tak podle posledních info už máme radiaci na cestě a bude to pořádná nálož ( odhady, že více než Černobyl ) . Z pochopitelných důvodů tyto informace opravdu ve večerních zprávách nebudou ... takže, nešiřme paniku, ale posílejme mezi lidi informaci o PREVENTIVNÍ ochraně před zářením. Kupte sobě a svým blízkým megacéčko ( má Vitaland nebo i lékárny) 1000 mg - toho dvě až tři tablety denně a mořskou řasu Kelp ( obsahuje jód a umí ochránit štítnou žlázu, která zářením dostane zabrat ) toho stačí jedna tabletka denně, zato dlouhodobě, MUDr. Korman doporučuje v tomto případě až jeden rok!! Na kom vám záleží, tomu to dejte snad i příkazem Jinak předejte info co největšímu počtu lidí, ať se můžou chránit. - - … Jo, a nezapomeňte na detoxikační schopnost chlorelly a enzymy a antioxidanty ječmena. [36]

4.1.9 Tracking cookies

V protokolu http se takto označují malá množství dat, která jsou posílána www

serverem našemu počítači, kde se uloží na pevný disk. Při následných návštěvách těchto


9

serverů se odešlou zpět. Odesílaná data jsou třeba přihlašovací jméno a heslo. V tomto případě není cookie tolik nebezpečný. Pak jsou tu ale případy, kdy přijdeme na nějakou stránku, třeba abc.cz a na ní je mnoho reklamních bannerů. Ty fungují samozřejmě také na

nějakém serveru, a tím se tedy do našeho počítače dostane cookie i z těchto nežádaných

serverů. Když poté přijdeme na jiný web se stejnými reklamami, ty se podívají do našeho

počítače po svých cookies a zapíše si o tom poznámku. Tím je tedy monitorován náš pohyb na internetu, a naplní se tedy název tracking cookie – sledovací cookie. V tomto případě se

tedy nejedná přímo o zásadní hrozbu, spíš to narušuje naše soukromí a zjišťuje o nás informace, které nechceme. [3]

4.1.10 Shrnutí

Tabulka 1: Zhodnocení hrozeb z hlediska nebezpečnosti

V tabulce jsem provedl srovnání hrozeb podle mého názoru. Vypsal jsem možnosti

jejich přenášení a pak je posoudil na stupnici od jedné do desíti podle velikosti hrozby. Jednička je nejmenší riziko, desítka nejvyšší. Jak je v tabulce vidět, nejvyššího hodnocení

10 bodů nedosáhla žádná hrozba. Je to z důvodu, že největší hrozbou nejsou programy, nýbrž lidé, kteří za hrozbami stojí.

4.2 Hrozby z elektronické pošty V podstatě se dá říct, že každé otevření e-mailového klienta představuje potencionální

hrozbu. Při dnešní frekvenci využití elektronické pošty je to ideální médium pro přenos virů. Bohužel, nejenom virů. Další hrozby, které nejsou vidět, mohou být neméně nepříjemné.

Každý e-mail putuje po předem neznámé cestě. Cestou projde nešifrován velkým

množstvím počítačů a směrovačů, přičemž na každém může být odchycen a přečten, navíc

i upraven. Je tedy důležité, neposílat touto cestou žádné důležité údaje, čísla bankovních účtů už vůbec ne.


10

Dnes už ale máme možnosti, jako takovýmto nepříjemnostem zabránit. Můžeme

například e-mail šifrovat či opatřit digitálním podpisem. Tím zaručíme příjemci, že zpráva přišla neporušená a skutečně od nás. [2]

4.2.1 Spam

Spam je masově se šířící nevyžádané sdělení pomocí internetu. Zpočátku se do kolonky

spam řadily pouze akce reklamního charakteru, neskutečné výhry, zájezdy, zázračné léky

pro pánskou potenci nebo odkazy na pornografické stránky. V poslední době se ale tento

problém rozšířil i do komunikačních programů, instantních messengerů či diskusních fór jako ICQ, IRC, MSN, QIP apod.

Zajímavostí je, že dnes je spam uveden i ve státních legislativách. V České republice

platí od roku 2004 zákon 480/2004 o některých službách informační společnosti, který upravuje tuto problematiku a byl vytvořen podle norem Evropské Unie.

Jak se vlastně dostane moje e-mailová adresa do nesprávných rukou? Na webových

stránkách bývají umístěni roboti, kteří shromažďují zadávané e-maily do formulářů. Tomu

se dá bránit záměnou zavináče: • • •

zaměněním @ za „(zavináč)“

zaměněním @ za obrázek zavináče

zaměněním @ za jakýkoli text naznačující, že jde o zavináč.

Pokud často nakupujeme v neznámých e-shopech, je lepší si na to založit nový e-mail,

který budeme používat pouze pro tyto účely. Jedná se samozřejmě i o různé chaty apod.

Pokud už nějaký spam přijde, rozhodně není vhodně klikat na jakýkoli odkaz v něm

uvedený. Mezi další způsoby obrany proti spamu patří bezesporu takzvaný Blacklist nebo

Graylist. Je to vlastně seznam e-mailů a IP adres. Pokud na náš SMTP server přijde e-mail z registrované IP adresy, bude automaticky zabráněno doručení nebo bude přesunut do

složky SPAM. Nakonec existuje ještě možnost filtrovat si zprávy v e-mailovém klientovi

sám. Stačí si v nastavení určit klíčová slova, která bývají obsažena ve spamech. V takovém případě bude e-mail okamžitě přemístěn do složky SPAM. [37]

4.3 Vnitřní a vnější nepřátelé

Každý, kdo hodlá nějak zaútočit na náš počítač, je náš nepřítel. Tito nepřátelé mohou

být děleni několika způsoby do několika skupin. Například podle toho, jestli se snaží

napadnout systém prostřednictvím internetu nebo se snaží dekódovat a prolomit programy. •

Útočník zevnitř organizace


11

Takto definujeme osobu, která je připojena do vnitřní počítačové sítě. Může to

být například nespokojený zaměstnanec firmy nebo někdo, kdo k tomu byl •

donucen.

Útočník vně organizace

Tato osoba nemá přístup přímo k počítačové síti. Musí při svém útoku překonat

všechny nástrahy, jako například firewally a bezpečnostní protokoly. Problémem

je menší pravděpodobnost vystopování, protože my můžeme mít kontrolu nad sítí,

•

ale nad celým internetem ne. Svět

Tento útočník je asi nejnebezpečnější. Používá totiž ke své infiltraci veliké

množství počítačů, tudíž v podstatě není vystopovatelný a proti jeho útokům není skoro žádná obrana.

Útočníci jsou děleni podle svých schopností neboli nebezpečnosti. •

Amatéři

Zvědavci, kteří se pokouší dostat se do nějaké již specifikované bezpečnostní

•

díry. Ty jsou většinou již publikovány na internetu. Hackeři

Poměrně hodně vzdělaní lidé v dané problematice, kteří to dělají za účelem

dokázání si kvality nebo pro radost. Většinou nemají prostředky na nějaký velký •

útok, ale i tak dokáží udělat celkem nepříjemný útok.

Profesionálové

Počítačoví profesionálové, kteří mají dostatek prostředků, času i znalostí pro

nebezpečné útoky. Většinou se pokouší o nové způsoby útoků, často ještě neregistrované, čímž mají nemalou výhodu. Nedá se jim skoro bránit, proto uživatelé většinou doufají, že se jim takový útok vyhne. [2]

4.4 Krádež hesel

Při množství registrací na internetu jsou dnes hesla jedinou možnou variantou jak

zjistit, jestli přihlašující se člověk je opravdu ten, za kterého se vydává. V případě krádeže nebo uhodnutí hesla jsou naše data a informace téměř neubránitelná. Aby k tomu nedošlo, je třeba mít silné heslo. Pro to je potřeba splnit některé podmínky. Je vhodné: •

•

Nepoužívat významná jména, data narození či svátků

Pamatovat si heslo, napsané na monitoru totiž není moc bezpečné


• • •

12

Mít pro každou službu jiné heslo

Střídat malá a velká písmena s číslicemi

Aby délka hesla byla delší než šest znaků

V následující tabulce je vidět doba prolomení ochrany podle složitosti hesla. Vyplývá

z ní, že sedmimístné heslo s kombinací malých písmen, velkých písmen a číslic se rozluští za 1000 let. [7]

Tabulka 2: Přehled doby potřebné k prolomení hesla [7]

Antivirové programy

5

13

Antivirové programy Jedná se o software, který je vyvíjen pro potřeby uživatelů bránit se útokům a hrozbám

zvenčí sítě. V dnešní době, kdy se možnosti virů a podobných hrozeb vyvíjejí vysokou

rychlostí, se také antivirové systémy musí rychle vyvíjet. To se naštěstí děje. [3]

5.1 Software

Informovanost uživatelů je dnes již na takové úrovni, že v podstatě každý má nějaký

software pro svou obranu. Samozřejmě záleží na tom, jaký uživatel si software pořizuje. Pro velké firmy jsou vyvíjeny draze placené programy, pro menší uživatele jsou free verze antivirových programů. V případě placených verzí nabízejí výrobci možnost stáhnout si

zdarma zkušební verzi, většinou na třicet dní. Během té doby můžeme software vyzkoušet

a rozhodnout se, jestli jsme s daným programem spokojeni a zakoupíme ho.

Antivirové programy můžeme dělit taktéž podle velikosti a funkčnosti softwaru.

Některé jsou jednoduché internetové aplikace, jiné jsou obrovské komplexní balíky. Více v následujících podkapitolách. [3]

5.1.1 Jednoúčelový software

Jedná se o jednoduché nástroje, které jsou vyvíjeny za účelem detekce a dezinfekce

jednotlivých virů či dalších hrozeb, nebo na jejich menší uskupení. V podstatě se tyto

programy využívají až v době, kdy uživatel zjistí nákazu a potřebuje se jí urychleně zbavit. Nejedná se tedy o plně hodnotný program, je to jen nástroj. Jako příklad mohu uvést ESET

Conficker Removal Tool – sloužící k likvidaci červa Conficker. Z tohoto příkladu je vidět, že

software slouží opravdu pouze proti jednomu druhu nákazy. [3]

5.1.2 Online nástroje

I dnes se najdou lidé, kteří z nějakého důvodu odmítají si nainstalovat nějaký antivirový

software. Pro takovéto případy slouží nástroje, které lze použít online, bez instalace. Dalo

by se říci, že se jedná o jednoúčelový skener. K dispozici je má většina velkých výrobců

antivirových programů (ESET Online scanner, Symantec Security Check). Tyto utility dokáží otestovat počítač na přítomnost malware či bezpečnost portů apod. Některé z nich nabízejí i možnost léčení. [3]

5.1.3 Anti-malware software Tyto programy jsou nejčastější formou ochrany počítačů. Jde o systémy zahrnující

všeobecnou ochranu počítače. Provádí ji tak, že kontrolují všechna vstupní a výstupní

místa, kudy se nákazy mohou dostat do počítače. Mezi ně patří:


• • • •

14

E-mail

CD, DVD

webové stránky dříve diskety

K základním funkcím samozřejmě patří možnost aktualizace virové databáze

z internetu nebo léčení a dezinfekce malware.

Antivirový software se skládá z několika částí. On-access skener slouží k nepřetržitému

dohledu nad daty jejich testováním. On-demand skener je zase nástroj, kdy si uživatel

zvolí, co chce nechat otestovat. Může tedy prověřit třeba celý systémový disk. Mezi další

funkce patří: •

• • •

Kontrola odchozí a příchozí pošty Plánovač událostí Karanténa

Kontrola integrity

Tyto funkce však nejsou obsaženy ve všech antivirových softwarech, bez nich může

program také dobře fungovat. [3]

5.1.4 Bezpečnostní balíky

Jak už název napovídá, jde o komplexní řešení ochrany počítače. Většinou jsou

označovány jako „Internet Security“. To znamená, že nechrání jenom před virovou nákazou, ale například i před phishingem, spamem nebo krádeží identity. Jejich součástí

bývá také osobní firewall a kontrola síťového připojení. Samozřejmě mají také řadu funkcí,

které usnadňují práci správcům sítě. Mezi ně se může řadit správa přihlašovacích údajů,

záloha a obnova dat, skartace dokumentů apod. [3]

5.2 Principy kontroly

Protože existuje tolik hrozeb a fungují na několika již popsaných principech, musí

zákonitě existovat i více principů k jejich odhalování. Dnes již skoro každý antivirový program obsahuje tyto principy kontroly, díky čemuž jsou schopny odhalit drtivou většinu

hrozeb. Tyto techniky popíši v následující podkapitole.

5.2.1 Antivirový skener

Jak už název skener napovídá, tato kontrola probíhá na principu skenování. To

znamená, že antivirus vyhledává virové hrozby na základě virové databáze. V případě, že

virová databáze neobsahuje nějaký virus, je možné ho dohledat na základě jiné analýzy.

K těm se dostanu později. Jak jsem ale již dříve naznačil, tyto skenery se dají rozdělit na

on-access a on-demand.


•

15

On-demand

Tento skener vyhledává viry na základě požadavku uživatele počítače. Požadavek je

často vydán ručně a je vydán na určitou část uživatelova disku. To ale neplatí výlučně,

požadavek může být zadán také pomocí plánovače událostí. Lze tedy nastavit kontrolu na

určitou hodinu nebo v určitém časovém rozmezí. Ne každý ale má čas nebo chuť testovat

vybrané části disku, proto existuje i následující skener. •

On-access

Tento skener je ve vyhledávacím režimu v podstatě neustále. Něž spustíte nějaký

soubor, antivirový program ho stihne otestovat na přítomnost viru. Provádí analýzu zase

na základě virové databáze a v případě, kdy nalezne podezřelý soubor, zablokuje jeho

spuštění, vyzve uživatele k provedení nějaké akce a následně akci provede. Tato funkce

anti-malwarového software se hodnotí na základě dvou kritérií. •

Podle detekčních schopností o Úspěšnost

•

o Falešné poplachy

Podle rychlosti [2]

5.2.2 Heuristická analýza Patří mezi nejvíce používané metody dnešní doby a to pro svou schopnost detekovat do

té doby neznámý škodlivý kód. Funguje to tak, že zanalyzuje kód testovaného souboru

a v něm hledá postupy, které jsou pro viry typické, nebo jsou podezřelé. Bohužel tato analýza má i svou nevýhodu, a tou je velká míra falešných poplachů. To se v poslední době ale výrazně mění, a nyní už se falešné poplachy nestávají.

Základem heuristické analýzy je emulátor kódu a existence virtuálního počítače.

Emulátor dokáže spustit soubor virtuálně, ale vypadá to jako by ho spustil sám uživatel.

Díky tomu je počítač i při testování v bezpečí. V případě že je testovaný soubor infikován, emulátor se dostane do viru a díky tomu pak může vyhledávat podle sekvencí a určit typ viru.

Ani tato analýza ale není dokonalá. Problémem je hlavně emulace DLL knihoven, které

nejsou součástí virtuálního stroje, tudíž se při testování pravděpodobně emulace zasekne. Dalším problémem je přizpůsobivost virů proti emulaci. [2]


16

5.2.3 Generická analýza Tato analýza skenuje prostý řetězec a je uplatňována u typů virů, které jsou vyvíjeny na

základě již známých virů. Jejich řetězec je jen lehce upravován a tato analýza je schopna ho

odhalit.

Hlavní funkce této analýzy je ve schopnosti odhalit viry využívající díry v produktech

Microsoft Outlook a Internet Explorer, protože zde jsou právě využívány modifikované viry. [2]

5.2.4 Kontrola integrity Zde se porovnávají aktuální stavy souborů a oblasti na disku s informacemi, které si

integrity checker uložil při instalaci nebo při jeho posledním spuštění. Virus, totiž, když se

dostane do počítače, na sebe upozorní změnou některého kontrolovaného souboru. Díky tomu lze zachytit i viry pro skenování nebo heuristickou analýzu nové. Je to ale ustupující

řešení, protože je velice složité ji správně nainstalovat a správně se o ni starat.

Je spouštěna ručně uživatelem. Při nalezení nějaké rozdílnosti se musí ale rozhodnout,

jestli změnu provedl uživatel sám, nebo byla způsobena virem. To znamená, že každý omyl

může způsobit velký problém. Jakmile jednou soubor označíme za zdravý, zůstane tak napořád a my přijdeme o možnost objevit novou virovou nákazu. Kontrola integrity musí

být nainstalována dokud je počítač čistý, protože využívá informace získané v době

instalace. Pokud by zde již byl nějaký aktivní virus, nemůže ho zaznamenat.

V kombinaci s on-demand skenerem může být kontrola integrity velkým pozitivem.

Urychlí totiž proces ověřování.

O souborech bývá zaznamenáno: •

• • •

Délka

Datum

Atributy

Kontrolní součty [2]

5.3 Techniky dezinfekce Ruku v ruce s vyhledáváním nákaz mají antivirové programy i funkci na léčení takto

napadených souborů. Jakmile je nalezen vir nebo jiná hrozba, je napadený soubor přesunut do karantény, odkud není možné nákazu šířit. Při nalezení viru je uživatel vyzván

k provedení příslušné akce s nakaženým souborem. Mezi možnosti patří smazaní souboru,

vyléčení nebo povolení – pokud jsme si jisti neškodností souboru. V případě mazání

souborů musíme dát pozor na to, co vlastně mažeme. Může se stát, že je napaden důležitý


17

systémový soubor a jeho smazáním bychom způsobili větší škodu, než kdybychom jej nechali tak jak je. V těchto případech je lepší soubor zkusit léčit, a to následujícími

způsoby. [3]

5.3.1 Standartní dezinfekce Algoritmické léčení je základ. Pokud je antivirus schopný v souboru vypátrat virus,

dokáže najít jeho začátek, začátek původního souboru a ten nakopírovat tam kam patří. Dále zmenší velikost souboru na původní a virus odstraní.

V případě makrovirů v dokumentech Microsoft Office, respektive v jejich šablonách je

virus rozpoznán jednoduše. Pokud však antivirus nepozná, ve které šabloně virus je, smaže všechny a dokument zůstane neporušen. [3]

5.3.2 Generické léčení

Tato dezinfekce je využívána zvláště pro jednodušší viry. Napadený soubor je načten

a emulován, dokud virus neobnoví soubor do původního stavu. To je možné díky tomu, že

si virus ukládá začátek původního souboru a pak už stačí nakopírovat původní program

zpátky do souboru. Má to však dvě úskalí. Prvním je fakt, že se při nápravě může vymazat

větší část souboru než je záhodno, a soubor pak není plně funkční. Druhým úskalím je

možnost, že naopak je vymazána moc malá část souboru. Virus tudíž není plně odstraněn. Zůstane ho tolik, že je sice neškodný, ale antivirový software ho odhalí a posoudí jako hrozbu. Jedná se ale již pouze o falešný poplach. [3]

5.3.3 Heuristické léčení

Toto léčení spoléhá na to, že se virus pokusí předat řízení zpátky napadenému

programu. Tato metoda simuluje běh viru až k bodu, kdy se pokusí o předání, pak

napadený soubor zkrátí na pravou míru a vše by mělo být v pořádku. V dnešní době už

není toto léčení tak aktuální, protože i když dokáže někdy vyléčit, do té doby neznámé, viry, není možné zaručit nepoškození souboru. [3]

5.3.4 Dezinfekce prostřednictvím kontroly integrity Touto cestou lze také léčit soubory. Díky tomu, že si kontrola integrity ukládá

informace o souborech před napadením, je pak pro ni snadné vrátit je do původní podoby.

Díky kontrolnímu součtu je pak ověřeno, zda bude soubor plně funkční. [3]

5.3.5 Očkování

Tato zastaralá metoda dezinfekce, jak už název vypovídá, předchází problémům

s léčením souborů. Dosud neinfikovaný soubor byl prodloužen o krátký program. Pokud je


18

v budoucnu soubor infikován, je uživateli nabídnuto léčení daného souboru. To znamená,

že virus byl odhalen okamžitě po spuštění. Navíc nebyl problém napadený soubor opravit do původního stavu. [3]

Firewall

6

19

Firewall V překladu to znamená doslova protipožární zeď. V přeneseném významu se to dá

považovat jako zeď proti proniknutí požáru do našich archivů dat. Zatímco antivirový program slouží pro ochranu samotného počítače, firewall má za úkol zabraňovat nákazám

a špionům dostat se už do naší sítě. Můžeme si položit otázku „Copak antivir není dostatečná ochrana?“. Odpověď je jednoduchá. Není. Firewall potřebuje každý, kdo se chce

připojit k internetu. Zvlášť díky trendům poslední doby, tím myslím trvalé připojení k internetu. A co vlastně firewall dělá?

Kontroluje provoz na síti pomocí daných pravidel. Podle nich buď provoz přijme, nebo

odmítne. Nejedná se ale pouze o příchozí provoz, ale i o odchozí. Děje se tak podle IP adres

zdroje i cíle, podle protokolu nebo podle stavu spojení. Firewall má i další funkce a možnosti o kterých se zmíním později.

Stejně tak jako antivirový software, i firewally se dají seskupovat do nějakých kategorií.

Mezi ně patří firewally osobní, pro malé a střední firmy, podnikové firewally a pak také

integrovaný firewall. Osobní firewall je většinou určen pro ochranu jednoho konkrétního

počítače, je to software a bývá na pracovní stanici nainstalován. Firemní firewally jsou

většinou distribuovány velkými softwarovými společnostmi a mají daleko větší náročnost. Další možností je hardwarový firewall, tedy takové vše v jednom. Může být totiž

integrován do jednoho kusu hardwaru společně se směrovačem, přepínačem nebo přístupovým bodem pro internet. No a nesmíme zapomenout ani na integrovanou bránu

firewall systému Windows. Ta by mohla spadat do kategorie osobní firewall, ale má svoje specifika. [27]

6.1 Filtrování paketů Zpočátku byly firewally v podstatě jenom paketové filtry. V dnešní době už se pod

pojmem firewall rozumí více funkcí, ale nutno dodat, že ty by bez filtrování paketů nefungovaly tak dobře jak fungují. [27]

6.1.1 Bezstavové filtrování paketů Tato metoda je využívána hlavně ve směrovačích nebo operačních systémech. Tato

kontrola funguje na hranici mezi naší privátní sítí a veřejnou sítí, kde rozhoduje podle

informací v hlavičce, jestli paket přeposlat dál, nebo ne. Kontrolovány mohou být

v podstatě všechny části hlavičky, ale většinou jde hlavně o typ protokolu, IP adresu, port TCP/IP, číslo fragmentu a informace o směrování. Protokoly jsou filtrovány podle údajů

v poli IP Protokol každého paketu, čímž se odlišují služby jako UDP, TCP, ICMP atd.

Filtrováním IP adres lze omezit komunikaci s konkrétními počítači. Dělá se to tak, že filtr

Firewall

20

rozhoduje buď podle seznamu povolených nebo zakázaných IP. Dá se ale říci, že seznam

povolených IP je směrodatnější, protože se nedají evidovat všechny IP, že kterých hrozí nebezpečí. Takže pro útočníka zbývá jediná možnost jak se dostat do našeho počítače, a to být na seznamu povolených IP, což je skoro nemožné. Dále je možné filtrovat na základě

čísla portů TCP nebo UDP. Port označuje přesně službu, na kterou paket směřuje. Funguje to stejně jako u adres IP, je možnost filtrovat na základě povolených nebo zakázaných

portů. Mezi ty, které by se měly zakazovat, jsou porty pro služby Telnet, POP, NFS apod.

Hlavičky paketů obsahují další informace, podle kterých se dají filtrovat jako přímé směrování nebo fragmentace. [27]

6.1.2 Filtrování s kontrolou stavu Žádný datový přenos se neskládá z jednoho paketu, ale z více. To je největší nevýhoda

filtrování bez kontroly stavu. Naopak filtrování s kontrolou stavu si uchovává informace o

stavu z každého kontrolovaného paketu a následně po kontrole všech paketů firewall

rozhodne, jestli je propustit, nebo ne. Je to vlastně vylepšená verze předchozího typu

filtrování. Zásadní je, že pokud vyprovokujeme akci, například odešleme data na FTP

server, nebude firewall dělat problémy. Pokud by akci vyprovokoval FTP server, budou všechny pakety kontrolovány. [27]

6.2 Překlad síťových adres Touto činností se převádějí IP adresy v privátní síti na jedinečné veřejné IP fungující

v internetu. Dříve byla tato činnost oblíbena hackery, ale dnes se využívá pro skrytí

soukromých sítí před volným přístupem z internetu. Celý provoz v soukromé síti vypadá

v internetu jako by pocházel z jedné IP adresy. Další výhodou je, že díky tomu je možné

v soukromé síti použít celé rozpětí IP adres, které je možné. A to i v případě, že se využité

IP již používají někde jinde na internetu. Když paket cestuje ze sítě do internetu, firewall

přepíše jeho IP uživatele na veřejnou, a díky tomu jsou soukromé IP skryty veřejnosti. Pro

překlad existuje několik režimů, ale to již není předmětem bakalářské práce. Tato činnost dobře funguje pouze na transportní vrstvě. Pro bezpečnost vyšších vrstev se používá následující funkce. [27]

6.3 Aplikační proxy V prvopočátku sloužil proxy pro ukládání často navštěvovaných www stránek do

vyrovnávací paměti. Díky tomu bylo jednoduché připojit se ke statickým webovým

stránkám. Dnes už jsou stránky většinou dynamické, a proto se tato funkce už k tomuto

účelu nepoužívá. Díky tomu, že proxy umí skrýt uživatele sítě za jedno zařízení, filtrovat URL a vyhodnocovat a zahazovat podezřelý obsah se z proxy stala funkce firewallu.

Firewall

21

Fungují tak, že naslouchají požadavkům uživatelů na veřejný obsah internetu, ale

požadavek předají pod svojí adresou. Tím jsou tedy uživatelé bráněni. Odpověď pak vrátí původnímu žadateli. Mezi funkce proxy patří především skrývání uživatelů, blokování

podezřelých URL, nebezpečného obsahu apod. Skrývání uživatelů probíhá v podstatě

stejně jako u NAT. Rozdílem je fakt, že to nefunguje pouze na transportní vrstvě. Díky tomu, že generuje nové požadavky uživatelů místo úprav hlaviček paketů, touto službou

prochází pouze HTTP, nikoli TCP/IP. V proxy serveru se dají nastavit blokované www

stránky. To umožňuje administrátorům zablokovat, například zaměstnancům, některé

stránky. Těm tedy nepošle ani požadavek k zobrazení. Tento postup se dá ale poměrně jednoduše obejít. Ono je totiž možné zadat URL v podobě IP adresy serveru, na které je

webová stránka uložena. Dále můžeme na proxy serveru nastavit požadavek na filtrování

obsahu stránek. Tím myslím, že třeba zablokujeme prvek ActiveX nebo aplety jazyka JAVA či obrázky. Proxy může také kontrolovat kompatibilitu obsahu protokolu, čímž zabraňuje napadnutí ze sítě Internet. [27]

6.4 VPN

Neboli virtuální privátní sítě, z anglického „Virtual Private Network“, jsou levným

způsobem, jak rozšířit LAN síť o vzdálené počítače v jiné síti přes Internet. Využívají

k tomu technologii šifrovaných paketů. Říká se tomu zapouzdřené pakety. Díky šifrování

není možné je kdekoli cestou při odchycení číst nebo měnit. Lze je nastavit pomocí

serverů, firewallů nebo směrovačů. Dříve to byla samostatná služba, dnes jsou již

obsaženy ve firewallech. Pro bezpečné posílání paketů jsou k dispozici tyto nástroje:

Zapouzdření IP, šifrování autentizace a šifrování datové oblasti. IP paket může obsahovat jakýkoliv druh informací včetně dalších IP paketů. Tomu se říká zapouzdření IP. Využívá

se v případech, kdy není možné vytvořit přímé síťové spojení. Šifrování autentizace se používá pro ověření identity vzdáleného uživatele. Existují dva druhy, a to šifrování

pomocí tajných klíčů a šifrování pomocí veřejných klíčů. Co se týče tajných klíčů, je to vcelku jednoduché. Pro úspěšnou autentizaci musí příjemce i odesílatel znát klíč pro rozšifrování paketů. Ve druhém případě se autentizace spoléhá na výměnu jednosměrných

klíčů. To znamená klíče buď pro zašifrování, nebo k dešifrování. Nikoli oboje. Dešifrovací

klíč je uložen pouze na počítači příjemce a spolu s paketem je odesílán pouze šifrovací klíč. V případě odchycení paketu je tedy možné ho jen šifrovat, ne dešifrovat. Šifrování datové

části pouze zamlžuje data, nikoli však informace z hlavičky, takže je možné je zjistit útočníkem. [27]

Firewall

22

6.5 Softwarové firewally Stejně jako antivirový software můžeme i firewally stáhnout jako program ze stránek

jejich výrobců. I v této kategorii ochrany počítače je velký výběr jak výrobců, tak produktů.

V předchozích kapitolách je popsáno, jak firewally fungují. V této kapitole využiji testu

Firewall Challenge od Davida Matouška pro porovnání osobních firewallů.

Na svých stránkách www.matousec.com zveřejnil v roce 2010 test, ve kterém hodnotil

30 programů v deseti stupních ochrany. V tomto, zatím posledním, testu byly následující výsledky:

Tabulka 3: Pořadí firewallů v testu [31]

Z obrázku vyplývá, že pouze jedna třetina ze třiceti testovaných firewallů dostala

doporučení. Nejlepší hodnocení získal Comodo Internet Security verze 5.3, který je navíc volně dostupný pro všechny uživatele počítačů. [31]

6.6 Hardwarové firewally

Tyto firewally poskytují zabezpečení na opravdu vysoké úrovni. Na rozdíl od SW

firewallů nejsou ohrožovány útoky z internetu, protože zde není možné využívat

bezpečnostní díry v softwaru. Dalším plusem je možnost chránit několik počítačů najednou jedním firewallem. Nejsou závislé na operačním systému. Hlavní nevýhodou je ale cena, ta se pohybuje výš než v případě softwarových firewallů. Dalšími funkcemi jsou: •

• • • • •

Doménové filtry

Filtry na příchozí/odchozí spojení Blokování URL

Kontrola MAC adres

Vzdálená administrace routeru A další.

Firewall

23

Hardwarové firewally se dělí podle ceny a tím pádem i podle funkčnosti. Čím více

funkcí, tím dražší. Ty levnější se dají pořídit kolem tisíce korun, ty nejdražší stojí

desetitisíce až statisíce. Nejdražší jsou určeny pro velké firmy k ochraně mnoha počítačů,

levnější pouze pro pár pracovních stanic, nebo dokonce pouze pro jednu. [27]

Další nástroje

7

24

Další nástroje Kromě antivirových programů a firewallů existuje i řada dalších produktů, které jsou

více či méně užitečné v boji proti počítačovým nákazám. Některé jsou k dispozici zdarma,

jiné jsou placené a zdarma jsou distribuovány jejich omezené verze. Většinou se jedná

o jednoduché programy zaměřené pouze proti jedné hrozbě. Například TrojanRemover je jednoznačně určen pro odstranění již nalezeného trojského koně.

Kromě odstraňování virů a podobných hrozeb existují i programy, které slouží k čištění

počítače na místech, kam se obvykle nedíváme, jako jsou například registry. Vybral jsem tři programy, které sám užívám a popíši zde jejich funkce a využití.

7.1 Spybot - Search & Destroy

Jak již název napovídá, jedná se o ochranu před spywarem. Kvůli tomu, že program má

velké množství funkcí, vytvořil autor dva režimy, a to pro začátečníky a pro pokročilé. Obrázek 1: Dialogové okno Spybot Search&Destroy

Začátečnická varianta obsahuje pouze základní možnosti, které může využít úplně každý.

Naproti tomu pokročilá varianta nabízí funkce, u kterých, při neopatrné manipulaci, může

dojít k neštěstí. Program pro začátečníky nabízí funkce jako Search & Destroy, obnova,

imunizace, aktualizace a darování. Jako první při testování počítače je vhodné zvolit Vyhledat aktualizace, Search & Destroy a pak tlačítko „zkontrolovat“. Tím se spustí

samotné testování. Po jeho skončení nám program nabídne možnosti, jak naložit s nalezenými chybami. Funkce obnovit slouží pro případ, že bychom zjistili zhoršené

25

Další nástroje

vlastnosti systému po takto opravených problémech. Volba imunizace je zde pro

kontrolování programu Internet Explorer. Tento software je plný bezpečnostních děr a Spybot je na základě aktualizací dokáže opravit - imunizovat.

7.2 CCleaner

Ne každý si uvědomí, že pouhým užíváním počítače se nám v něm hromadí

„elektronický odpad“. Na našem pevném disku se ukládají dočasné soubory, zůstávají zde Obrázek 3: Dialogové okno CCleaner

zbytky

odinstalovaných

programů nebo log soubory Windows. Dále se nám neustále

zapisují informace do registrů,

čímž se zpomaluje počítač. Pro

čištění a mazání těchto souborů existuje hodně programů. Já používám program

CCleaner,

který je jako spousta jiných nabízen zdarma. Svou historií a zkušenostmi

vývojářů

má

slušný náskok před dalšími. Je

naprogramovaný v jazyce C++

a proto je kompatibilní s 32 i 64 bitovými Windows. Jeho velkou

výhodou je také možnost vyčištění dalších programů, jako jsou Winrar, Winamp, Firefox, Google Chrome apod. Je celý v češtině. CCleaner umožňuje uložit zálohu registrů pro

případ, že bychom vyčištěním přišli o důležité záznamy. Orientace v dialogovém okně je

velice intuitivní a jednoduchá. Jak je vidět na obrázku, můžeme si vybrat, co chceme

vyčistit, to znamená, že pokud nechceme přijít o historii v internetovém prohlížeči, prostě

ho odškrtneme.

Obrázek 2: Dialogové okno Ad-Aware

7.3 Ad-Aware Firma Lavasoft přišla mezi prvními

s programem, který je zaměřen na vyhledávání

škodlivých

programů

v uživatelově počítači. Již dlouho patří

mezi špičku mezi takto zaměřenými

programy. V nezávislých testech se

Další nástroje

26

tento produkt pravidelně umisťuje na předních pozicích. K dispozici je jak verze placená, tak verze zdarma využitelná. Ta má pouze omezené možnosti ale i tak si myslím, že jsou

dostatečné. Mezi ně patří testování disku on-demand. Testovat se dá dvěma způsoby a to

chytrým skenerem nebo plným skenerem. Druhý jmenovaný zkontroluje důkladně

všechno, první testuje běžící procesy, registry a cookies. Program objevené hrozby vypíše a my se můžeme rozhodnout, jak s nimi naložíme. Každopádně ty, které jsou označené jako

kritické, smažme hned.

27

Možnosti testování antivirů

8

Možnosti testování antivirů Kromě softwarové a hardwarové podpory v boji proti počítačovým hrozbám je důležité

získat informace anebo si nechat poradit.

Informovanost je v tomto boji velice důležitá. Ať už se jedná o to, jak a jaký antivirový

program si vybrat, nebo jestli je náš počítač dostatečně chráněn, mámě několik možností, jak informace získat.

8.1 Odborné firmy Zdaleka ne všichni uživatelé počítače dokáží posoudit, který antivirový program je ten

pravý pro jejich systém. Naštěstí tu na to nejsme sami. Existuje několik odborných firem

nebo časopisů, které pravidelně zveřejňují testy jednotlivých funkcí antivirových programů. Tyto společnosti nefungují kvůli zisku, nýbrž pro pomoc a ochranu našich

počítačů. Všechny organizace testující antivirové programy pracují na stejném principu. Testují antiviry na detekci škodlivých kódů a na falešné poplachy. Detekci testují v režimu

on-access i on-demand. Na rozsáhlé sbírce malware (až miliony souborů) testují

antivirový software také na rychlost. Samozřejmě, i tyto testy mají svá proti. Jejich

vypovídací hodnota není příliš vysoká, protože testovány jsou i infikované soubory, které nejsou hrozbou nebo se ve skutečnosti nešíří. Podstatný je i fakt, že nikdo nemá v počítači

v jednom okamžiku několik milionů infikovaných souborů.

Další vlastnosti takových

programů testují spíše odborné časopisy, protože ty už tolik neukazují na kvalitu softwaru. Mezi tyto vlastnosti patří uživatelské rozhraní nebo instalace. [2]

8.1.1 AV-Comparatives

Jednou z organizací provádějící nezávislé antivirové testy je rakouská nezisková

společnost AV Comparatives. Jejich hlavní předností je množství testů jednotlivých

antivirů. Netestují totiž jenom klasickým testem, ale i retrospective či proactive testem, který zkoumá účinnost detekčních metod jako je heuristická analýza.

Samotný test probíhá tak, že každé tři měsíce jsou zaktualizovány virové databáze

jednotlivých výrobců antivirových softwarů a následně jsou takzvaně zmrazeny. Po určitou dobu jsou sbírány škodlivé kódy a následně jsou testovány. Význam tohoto testu je

ve skutečnosti, že antivirový software testuje soubory na viry, které nezná.

Vyhodnocovány jsou následně ve třech kategoriích a to Standard, Advanced a Advanced+.

Za poznamenání stojí informace, že úspěšnost v těchto testech se pohybuje okolo 75 procent.

Organizace i nadále rozšiřuje množství testů, nyní už testuje i výkon antivirů nebo

schopnosti v odstraňování malware.


28

Tabulka 4: Výsledky za rok 2010 [8]

Na tomto obrázku můžeme vidět souhrn za rok 2010 ze všech testů, které AV-

Comparatives provádí. Společnost testuje 2O hlavních antivirových programů. Z obrázku

vyplývá, že pouze AVIRA antivirus a F-Secure antivirus prošly všemi testy s maximálním

hodnocením Advanced+. Český software avast! měl nejvyšší hodnocení jen ve třech

testech, v dalších čtyřech uspěl jen částečně. Slovenský ESET dopadl podobně. Můžeme to

tedy brát jako ústup z předních pozic, protože o rok dříve patřily oba softwary na čelní pozice. [8]

8.1.2 AV-Test Tato německá společnost komplexně testuje antivirové programy pro obchodní

partnery, jako jsou mezinárodní časopisy nebo dodavatelé bezpečnostního softwaru.

Testuje programy na detekci malware, schopnost léčení infikovaných souborů, rozpoznání

rootkitů, heuristickou analýzu nebo na spyware. Na následujícím obrázku jsem vybral


29

výsledek programu F-Secure Internet Security. Je zde patrné, že software uspěl stejně jako

v testu AV-Comparatives. Oproti jiným programům dosáhl výrazně lepších výsledků

u možnosti odstranění malware a použitelnosti, což můžeme vidět na následujícím

obrázku. [11]

Obrázek 4: Výsledky F-secure 2010 [11]

8.1.3 Virus Bulletin Tento britský magazín se považuje za nejznámější firmu v tomto oboru. Provádí testy

antivirových programů každé dva měsíce. Jako ohodnocení rozdává programům známku

VB100. Tu dostane pouze takový program, který má stoprocentní detekci škodlivého programu v režimech on-access i on-demand a nedetekuje žádný falešný poplach.

Donedávna VB testoval pouze viry, díky čemuž neměly testy vypovídající hodnotu. Od

roku 2009 ale časopis používá nový testovací koncept, kdy testuje už i na přítomnost červů, trojských koňů či spyware. Díky tomu zase stoupla jeho oblíbenost veřejnosti.

Kompletní výsledky testů jsou dostupně pouze předplatitelům časopisu. Po registraci na webových stránkách je ale možné získat přístup alespoň ke stručným výsledkům.


30

Na následujícím obrázku můžeme vidět vybrané programy testované na různých

operačních systémech a jejich úspěšnost. Z obrázku vyplývá, že nejznámější softwary neměly problém splnit podmínky. Mezi nimi zase figuruje AVIRA, F-Secure tentokrát neobstál na jedničku. [9]

Tabulka 5: Poslední výsledky [9]

8.1.4 AMTSO V květnu roku 2008 byla založena organizace Anti-Malware Testing Standard

Organization. Je to mezinárodní nezisková organizace, která se zaměřuje na zlepšování

kvality a relevance metodik antivirového testování. Do této organizace mohou vstoupit

výrobci, testeři či recenzenti. Tato organizace vydala normy, na kterých se shodlo 40 nejvýznamnějších odborníků v oblasti bezpečnosti, pro testování antivirových programů,

čímž přispěla k objektivnějším testům. Na webových stránkách společnosti je možnost stáhnout dokumenty s normami a předpisy pro testování. Příslibem do budoucna je fakt, že AMTSO hodlá sjednotit pojmenování pro všechny viry a hrozby, pro přehlednost. [13]

8.2 EICAR

Evropský institut pro počítačové antivirové vyhledávání byl založen v roce 1991. Tuto

organizaci zde popisuji, protože nám umožňuje otestovat náš antivirový program na

škodlivý kód, který ale ve skutečnosti není pro nás počítač hrozbou. Na jejich stránkách je soubor, který dokáže otestovat naši rezidentní ochranu počítače. Tento soubor simuluje

chování viru. Stačí kliknout na soubor eicar.com a stáhnout ho do počítače. Náš antivirový program by nám to neměl dovolit, měl by zabránit stažení souboru do počítače. [15]


31

8.3 Virovyradar.cz Tento projekt je vytvořen společností ESET pro monitoring a statistickou analýzu

počítačových hrozeb, které se šíří pomocí e-mailu. U jednotlivých virů poté definuje míru rizika. Ta je určena podle procenta rozšíření daného viru v den, kdy byl nejaktivnější. Na

následujících dvou obrázcích vidíme současný stav a největší hrozbu za posledních 24 hodin ze dne 17. 4. 2011. [14]

Obrázek 5: Nejrozšířenější viry [14]

Obrázek 6: Statistiky [14]

8.4 In-the-wild Tato mezinárodní organizace byla založena roku 1996 Joe Wellsem a Sarah Gordon.

Jejím smyslem je poskytovat informace o virech a jiných hrozbách. Je to vlastně seznam všech virů, které se momentálně pohybují po internetu. Na seznamu pracuje 55 lidí.


32

V podstatě všechny testy antivirových programů fungující v režimech on-demand a on-

access fungují na základě vyhledávání virů podle informací z Wildlistu. A to je seznam

vytvořený touto organizací. [10]

Vlastní testy antivirového softwaru

9

33

Vlastní testy antivirového softwaru V tomto okamžiku se dostávám k hlavní části této bakalářské práce. Jak jsem již dříve

zmínil, budu porovnávat testy odborných firem, jmenovitě AV-Comparatives a moje testy. Účelem této činnosti je zjistit, jestli pořadí antivirových programů odpovídá pořadí v odborných testech a na základě těchto výsledků doporučit nejlepší antivirový program.

9.1 Použitý hardware

Pro testování je důležité definovat, na jakém počítači budu testy provádět, protože

výsledky na nových (hardwarově lépe vybavených) počítačích a starších počítačích se musí zákonitě lišit. Vybral jsem pro tuto činnost svůj náhradní notebook značky IBM typ

A31p. Jedná se o asi deset let starý počítač, který je pro moje účely nejvhodnější. Jedním

důvodem pro tento výběr je fakt, že ne každý má nový počítač. Druhým důvodem je vyrovnanost antivirových programů. Na takto starém počítači budou lépe vidět rozdíly, budou větší. Zde jsou podrobné informace o tomto počítači: Řada/volná konfigurace

IBM ThinkPad A31

Rozměry

271 x 196 x 48 mm

Hmotnost

3.22 kg

Chipset

Intel (neznámý)

Frekvence procesoru

1.7 GHz

Řada procesorů

Mobile Intel Pentium 4

Velikost paměti

640 MB

Druh pamětí

PC2100 SO-DIMM 200pin (DDR266)

Velikost grafické paměti

64 MB

Grafická karta

ATI Mobility Fire GL 7800

Hard disk

60 GB

Úhlopříčka

15.0

Rozlišení

1600x1200 (UXGA, 4:3)

Síťová zařízení

LAN 10/100 Mbit (RJ-45), modem (RJ-11), WiFi 802.11b

Rozhraní

FireWire, infraport, mikrofon/line-in, paralelní port, PCMCIA typ II, sériový port, sluchátka/line-out, USB,

Standardně

DVD/CD-RW, FDD

Pro popis jsem využil informace ze stránek obchodu katalognotebooku.cz. [30]


34

9.2 Kolekce virů Pro moje testy bylo nejdůležitější sehnat přiměřenou kolekci virů, na které bych mohl

testovat dané antivirové programy. Jelikož nikdo z mých přátel se o danou problematiku

nezajímal, musel jsem hledat na internetu. Zpočátku jsem si myslel, že to bude lehké, ale přepočítal jsem se. Trvalo mi týden, než jsem objevil první dostupné kolekce virů, které se hodily pro moje účely. Dalším problémem byl samotný proces stažení, protože jsem stahoval s omezenými právy. Pro rychlé stahování bych si musel zaplatit exklusivní

přístup, a to nebylo v mých možnostech. Stahování tedy zabralo více času, ale nakonec se mi podařilo sehnat potřebné množství virů.

9.3 Testovaný software

Stejně jako hardware je důležité popsat i software, který budu testovat na jeho

schopnosti a možnosti. Vybral jsem programy od šesti výrobců, které považuji za největší hráče na českém trhu. Dva z nich jsou dostupné zdarma, další čtyři jsou placené produkty.

Všechny tyto produkty jsem stáhl z internetových stránek výrobců, kde jsem vybral buď

free verze, nebo zkušební třicetidenní verze. U všech jsem zvolil nejnovější produkt z jejich nabídky. Jejich virovou databázi jsem se rozhodl neaktualizovat, protože bude zajímavé, jak rozsáhlá databáze je implementována do produktu při instalaci.

9.3.1 Norton Antivirus Na

tento

zvědavý,

společností

produkt

protože

dlouhodobě

je

jsem

Symantec,

patří

mezi

byl

vyvinut

Obrázek 7: Dialogové okno Norton AntiVirus

která

špičku

v tomto oboru. Již při instalaci bylo zřejmé, že se jedná o jednoduše

uživatelný produkt. Tato domněnka se

mi

potvrdila

po

otevření

ale

potřebné

dialogového okna. To může vypadat složitě,

vše

je

v úvodním zobrazení, nemusí se

tedy klikat nikam jinam a hledat, co potřebujeme. Práce s tímto antivirem je velice

intuitivní, rychlá a spolehlivá. V mém testu předvedl velice rychlý výkon, který ale brzy degradoval fakt, že během něj smazal některé potenciální hrozby. V tomto případě si myslím, že je to špatná volba, uživatel totiž nemá na výběr. Mezi jeho hlavní funkce patří

antivirová ochrana, ochrana proti spamu, před rootkity, boty a sledování sítě. V podstatě

35


se jedná o stejné funkce jako u jiných antivirů. Nutno říci, že ale zde jsou dotaženy do

detailů. Pro mě hlavní výhodou tohoto produktu je jeho absolutně nejmenší spotřeba paměti a výkonu procesoru. V tomto ohledu nemá konkurenci.

9.3.2 ESET NOD32 Antivirus 4 Tento produkt jsem donedávna používal i já. Jedná se o spolehlivý antivirový program,

který se ale neumí rychle vypořádat s archivy formátu RAR a ZIP. Respektive on je Obrázek 8: Dialogové okno NOD32 Antivirus

zkontroluje, ale trvá to dlouho. okno

je

Dialogové

přehledné

a jednoduché

ovládání,

na

což

je

výhoda oproti jiným programům.

Tento

produkt se mi testoval dobře, protože jsem věděl

co

od

hlavní

funkce

něj

očekávat. Mezi jeho hlavně

patří

Antivirus

a Antispyware. Samozřejmě to není všechno. Ochrana proti phishingu, před stealth viry

nebo SysInspector jsou jeho nedílnou a důležitou součástí. Oproti jiným programům má

NOD32 velkou výhodu, a to je funkce ThreatSense. Díky ní je program schopný odhalit až 70% nových virových hrozeb, které ještě nejsou implementovány do virové databáze. Mezi jeho další přednosti patří malá náročnost na paměť a procesor. Tyto nároky se pohybují na nízkých číslech oproti jiným programům. Kdyby nebylo účelem této bakalářské práce doporučit vhodný antivirový program na základě testů, nejspíš bych doporučil NOD32.

9.3.3 AVG

Produkt AVG Anti-Virus Free Edition 2011 je nejnovější produkt české společnosti AVG

Technologies. V celosvětovém měřítku ho vlastní a používá více než 110 milionů uživatelů.

Při instalaci je na první pohled vidět rozdíl oproti jiným obdobným programům. Instalátor totiž není přímo aplikace, nýbrž pouze průvodce, který si potřebná data stáhne během

instalace z internetu. Důležité je pozorně číst dialogová okna při instalaci, protože tím

můžeme zabránit nainstalování součástí, které nechceme. Například AVG Security Toolbar. Jinak je ale instalace velice jednoduchá a zvládne ji opravdu každý. Free verze programu

36


obsahuje kromě antiviru také antispyware a antirootkit. Tyto funkce by měly postačit k dostatečné ochraně počítače. Tento program se prezentuje také přídavnými funkcemi,

jako Link Scanner, Identity Protection, PC Analyzer a PC TuneUP. Další a neposlední funkce

jsou Aktualizace a Scanner. První z nich slouží pro novelizaci virové databáze, druhá pro testování počítače. Novinkou v této verzi je ochrana sociálních sítí a vašeho pohybu po

nich. Při mém testování jsem ale narazil na zásadní problém, a to je celková pomalost

systému jak antivirového, tak operačního. Okamžitě po deinstalaci AVG běžely Windows stejně rychle jako před instalací.

9.3.4 F-Secure

Tento testovaný produkt byl pro mě velkou neznámou. Byl vyvinut společností Data

Fellows Ltd. V počátcích této problematiky patřil mezi nejlépe vybavené programy pro Obrázek 9: Dialogové okno F-Secure Anti-Virus 2011

vyhledávání

a odstraňování

hrozeb.

Od

té

doby se ale po něm slehla zem

a až v posledních

letech

se

umisťovat

začal

na

předních místech v odborných

testech, jak jsem

uvedl výše. Co do

počtu funkcí je srovnatelný

se

všemi

testovanými

produkty. Při testování jsem ale narazil na několik skutečností, které jeho dobrou pověst trochu kazí. Pro obyčejného uživatele je úvodní dialogové okno poněkud nepřehledné,

k jednotlivým funkcím se musí uživatel složitě proklikat. Dalším problémem jsou složitě

dohledatelné výsledky proběhlých testů počítače. Po chvilce hledání ale zjistíme, že se nám

otevřou v internetovém prohlížeči jako dokument formátu HTM. Jako plus ale beru velice

snadnou instalaci a českou lokalizaci.

9.3.5 AVIRA antivirus

37


Dalším testovaným produktem je AVIRA AntiVir Personal Free Antivirus. Jedná se Obrázek 10: Dialogové okno AVIRA AntiVir

o poměrně rychlý a

nenáročný software, který

celkem

s přehledem

likviduje

zjištěné

hrozby. Daní za jeho cenu

je

míra

falešných poplachů, ta může být větší než u

antivirů.

ostatních

testovaných

program během

Tento

dokáže

chvilky

otestovat požadované umístění na disku a vypořádat se s nálezy. Ovládání je přehledné

a jednoduché, jen mi chybí možnost otestovat nějakou složku samostatně. Tato možnost je

pouze, když na danou složku klikneme pravým tlačítkem myši a dáme otestovat antivirovým programem. Aktualizace probíhají na pozadí a pravidelně. Nevýhodami jsou

jednoznačně nepřítomnost českého jazyka, vyskakování reklam při stahování aktualizací a chybějící ochrana elektronické pošty.

9.3.6 Avast! Posledním

produktem

je

testovaným

software

od

společnosti Alwil Software. Tento produkt pochází z českých krajin a

již několik let se umisťuje mezi nejlepšími svého druhu. Jak je na

obrázku patrné, úvodní obrazovka tohoto

programu

jednoduchá.

je

Nalezneme

poměrně na

ní

všechny potřebné funkce. Je zde na

výběr několik testů, takže volba je

Obrázek 11: Dialogové okno Avast!


38

vcelku variabilní. Dále je zde, pod položkou rezidentní štíty, velké množství dalších funkcí

jako:

• • • • • •

Štít souborového systému Mailový štít

Webový štít P2P štít

Skriptový štít

Behaviorální štít a další.

Aktualizace a další funkce jsou pod položkou „Údržba“. Dá se tedy říci, že avast! patří

k nejlépe vybaveným softwarům svého druhu. Navíc, jako bonus, patří i k těm rychlejším

a méně náročným na paměť a procesor. Při testu měl avast nejpřehlednější okno, byly

v něm všechny potřebné informace pro vyhodnocení. U jiných programů jsem si musel

nechat výsledky exportovat do textového dokumentu, zde ne.

9.4 Popis testování

Všechny antivirové programy jsem testoval v prostředí

operačního systému

MS Windows XP Pro se service

packem 2. Jejich nastavení bylo tovární, tedy základní

uživatelské. • •

Do počítače jsem nahrál složku virů, soubor test.txt, instalace programů

Vytvořil jsem obraz disku a zálohoval ho na externí disk

Postup byl ve všech dalších případech následující: •

•

Z externího disku jsem nahrál obraz operačního systému

•

Nainstaloval jsem antivirový program

•

startování operačního systému

• •

Restartoval jsem počítač a změřil jsem dobu Nechal jsem vyhledat soubor test.txt a změřil jsem dobu trvání vyhledání

Otestoval jsem počítač antivirovým programem

Z výsledku testu jsem zjistil počet nalezených hrozeb a dobu trvání testu

Obrázek 12: Postup testování


39

9.5 Testovací kritéria Pro vyhodnocení srovnávacího testu antivirových programů jsem si stanovil kritéria, ve

kterých programy soutěžily.

Jako hlavní kritérium z pohledu obyčejného uživatele je počet nalezených hrozeb.

Dalšími kritérii jsou: •

• • • •

Rozdíl mezi dobou startu operačního systému bez antivirového programu a s ním Rozdíl mezi dobou trvání vyhledání souboru bez antivirového programu a s ním Doba trvání samotného skenování disku

Zatížení procesoru a paměti v průběhu testu Doba instalace programu

Tato kritéria jsem následně hodnotil pomocí matice párového srovnávání pro

jednotlivá kritéria. To znamená, že jsem softwaru, který porazil jiný v daném kritériu, přiřadil bod. Tyto body jsem sečetl, a na základě součtů určil pořadí. Dále jsem ohodnotil

první tři příčky body v rozmezí 1-3. Po součtu takto dosažených bodů ze všech kritérií

jsem vyhodnotil finální pořadí programů. Jako samostatné kritérium jsem vyhodnotil, dle mého názoru, pořadí programů v kategorii ovladatelnost a složitost pro běžného uživatele.

9.6 Výsledky testů

Po dvou dnech testování jsem se dobral těchto závěrů. V následující tabulce jsou vidět

výsledky antivirových programů ve všech kritériích pohromadě. Zároveň jsem vložil ještě

kritérium „Počet testovaných souborů“ navíc, protože údaje jsou to velmi zajímavé. Testy proběhly na komprimované složce virů o velikosti 3,5 GB.

Tabulka 6: Souhrnné výsledky testů

•

Ve sloupci Restart jsou výsledky restartování operačního systému s daným

antivirovým programem v minutách, pro zajímavost je zde i údaj z OS bez AV

•

software

Sloupec Hledání obsahuje hodnoty změřeného času při vyhledávání souboru test.txt, v minutách, včetně hodnoty bez antivirového programu


• • •

40

Ve sloupci Infiltrace jsou počty vyhledaných hrozeb jednotlivými antiviry v jednotkách kusů

Ve čtvrtém sloupci jsou časové hodnoty dob trvání testů v hodinách

Ve sloupci Zatížení jsou hodnoty zatížení procesoru a náročnosti na paměť. První číslo se týká výkonu procesoru, druhé je vypočítáno z hodnot zjištěných během

•

testu a jejich poměru k maximální velikosti paměti (640MB RAM)

V posledním sloupci jsou počty prozkoumaných souborů jednotlivými antiviry.

S přehledem nejvíce souborů zkontroloval Avast!, zato Norton oproti tomu

zkontroloval pouze necelé 3000 souborů. To může být způsobeno továrním nastavením.

V případě pokročilého nastavování je možné dosáhnout lepších výsledků, ale pro

obyčejného uživatele internetu by bylo lepší, kdyby měl automaticky nastaven větší záběr testovaných souborů. To je podle mě problém, a ukazuje to na kvalitu, protože, jak později prokážu, nejvíce zkontrolovaných souborů znamená i nejlepší výsledky.

Další zajímavostí je, že s programem NOD32 Antivirus byl nalezen hledaný soubor

test.txt rychleji, než při vyhledávání bez nainstalovaného antivirového systému. To si

vysvětluji tím, že tento program umí dobře posoudit, které soubory je třeba testovat a které ne.

Nejvíce mě zarazila doba restartování počítače s programem AVG, protože oproti jiným

programům, kromě Nortona, je to doba dvojnásobná.

9.7 Vyhodnocení

Zde jsou mnou vytvořené tabulky s dílčími výsledky testů podle zadaných kritérií

a následně vypočítané bodové ohodnocení testovaných programů a jejich konečné

umístění.

Tabulka 7: Doba restartování operačního systému

V této tabulce vidíme, že z údajů z tabulky 6 jsem metodou párového srovnávání

vytvořil pořadí: NOD32, F-Secure a Avast!. Tyto programy měly nejmenší vliv na restartování operačního systému. Naproti tomu AVG bylo úplně nejpomalejší.


41

Tabulka 8: Doba vyhledání zadaného souboru

Zde je vidět, že vyhledávání souborů jde ruku v ruce s restartem operačního systému.

Výsledky jsou téměř totožné, ty nejrychlejší antiviry opět zvítězily a to ve stejném pořadí. Tabulka 9: Zatížení procesoru a paměti

Z této tabulky vyplývá, že předešlé výsledky mají co dočinění s nároky antivirového

programu na procesor a pamět. Ty programy, které zatěžují počítač nejméně, jsou stejné

jako v předešlých případech, pouze pořadí je jiné. To ale nehraje tak velkou roli, spíše jde

o to, že programy AVG a F-Secure zatěžují počítač enormně. V mém případě, na deset let starém notebooku, to znamená, že jakákoli další práce je téměř nemožná. Tabulka 10: Doba instalace programu

V tomto přehledu můžeme vidět, že nejrychleji ze všech byl nainstalován NOD32, po

něm AVIRA a Avast!. Tyto programy mají nenáročnou instalaci, bez zbytečných průtahů

(instalace dodatečných toolbarů apod.). Opět zde nejhůře dopadlo AVG, doba jeho instalace se rovná době instalace všech ostatních programů dohromady.


42

Tabulka 11: Doba trvání testu

I zde se promítl problém, který jsem dříve nastínil. Tedy, že každý antivirový program

testoval jiný počet souborů. Ale je zajímavě, že Avast!, který otestoval s přehledem nejvíc souborů, se umístil na třetí pozici. Je tedy zřejmé, že jeho schopnost detekovat hrozby je na vysoké úrovni.

Tabulka 12: Počet nalezených hrozeb

Z tabulky šestého kritéria

můžeme vidět, že zde existuje jakási přímá úměra. Ty

programy, které otestovaly nejvíce souborů zároveň nalezly nejvíce hrozeb. Zajímavé na

tom ale je, že testována byla pokaždé stejná složka a výsledky se tolik liší. Můžu tedy,

z tohoto hlediska, tvrdit, že pečlivá práce některých programů přináší ovoce. Samozřejmě tyto výsledky nejsou aplikovatelné do běžného prostředí. Většina lidí má aktualizované Windows i antivirový program, ale myslím si, že fakt, že některé antiviry bez aktualizací jsou v podstatě k ničemu, je dost zarážející.

Tabulka 13: Výsledné pořadí

Body do této tabulky jsem přiřazoval na základě pořadí v dílčích kritériích. Za první místo

byly tři body, za druhé dva a za třetí jeden. Ostatní programy dostaly nulu. Body jsem poté

sečetl a vyšlo mi, že nejlépe si vedl NOD32, po něm následoval v těsném závěsu Avast!


43

a dále AVIRA a Norton. Toto zhodnocení nemá úplnou vypovídací hodnotu, protože všechna kritéria mají stejnou váhu, mnohem důležitější jsou výsledky dílčí.

Nyní je tedy na místě zhodnotit komplexně celý proces mého testování. Testování

probíhalo bez komplikací a až na NOD32 i rychle. Největší váhu bych přisoudil kritériu v poměru doba testování/počet kontrolovaných souborů/počet nalezených hrozeb.

V takovémto souboji antivirových programů tedy vzešli vítězové Avira a Avast! V těsném

závěsu je NOD32, který prohrál kvůli době testování. I když je to asi vykoupeno kvalitou testu, která byla na velmi vysoké úrovni.

Pokud bych měl hodnotit Norton Antivirus svými slovy, tak se umístil na tak dobré

pozici jenom díky tomu, že zkontroloval nejméně souborů. Takže z tohoto důvodu jsou

jeho výsledky v kritériích jako doba skenování a zatížení procesoru skvělé, zatímco počet testovaných souborů je naprosto nedostatečný.

Programy AVG a F-Secure propadly na celé čáře ve všech kategoriích. Zvláště u F-secure

je to překvapující po posledních testech AV-Comparatives a Virus Bulletin. Je tedy zřejmé, že tyto zveřejňované testy nemusí být tak objektivní, jak jsou prezentovány.

Jako extra kritérium jsem zvolil ovladatelnost a účelnost programu pro obyčejného

uživatele. Při testování všech produktů jsem měl možnost vyzkoušet všechny možné funkce a možnosti daných programů. Z vlastní zkušenosti tedy můžu říci, že všechny

programy jsou přibližně na stejné úrovni. Rozdíly jsou někdy ve složitosti základního

zobrazení, jindy zase v možnostech testování. Všeobecně se dá ale říci, že všechny testované programy jsou použitelné.

Závěr

44

10 Závěr V teoretické části jsem popsal typy hrozeb, jejich fungování, možnosti detekce hrozeb

a jejich likvidace. Toto téma je velice obsáhlé, proto jsem pouze nastínil některé informace,

na základě kterých je možné identifikovat schopnosti antivirových programů.

Praktickou částí bakalářské práce bylo doporučit nejlepší kombinaci softwarů pro

obranu počítače před hrozbami, převážně z internetu. Na základě testu firewallů jsem tedy vybral firewal Comodo Internet Security, protože se umístil na prvním místě a navíc je k dostání zdarma. To je tedy jedna možnost, druhou je nechat funkční Bránu firewall Windows, protože ta zase nejlépe spolupracuje s operačním systémem Windows, její nastavení je jednoduché a běží v tichosti na pozadí počítače.

Na základě mých testů vyšlo pořadí antivirových programů takto: 1. ESET NOD32 Antivirus 4 2. Avast! Antivirus 6

3. Norton AntiVirus + AVIRA AntiVir 4. F-Secure Antivirus 5. AVG Antivirus

Z tohoto pořadí lze doporučit jakýkoli produkt z prvních tří příček. Já ale považuji za

úplně nejlepší varianty Avira AntiVir a Avast!. Tyto dva antiviry svou funkčností

a schopností detekce převýšily ostatní a jenom díky „podřadnějším“ kritériím skončily až

za NOD32.

Seznam obrázků a tabulek

45

11 Seznam obrázků a tabulek Obrázek 1: Dialogové okno Spybot Search&Destroy .................................................................... 24 Obrázek 2: Dialogové okno Ad-Aware................................................................................................. 25 Obrázek 3: Dialogové okno CCleaner ................................................................................................... 25 Obrázek 4: Výsledky F-secure 2010 [11] ........................................................................................... 29

Obrázek 5: Nejrozšířenější viry [14] .................................................................................................... 31 Obrázek 6: Statistiky [14] ......................................................................................................................... 31 Obrázek 7: Dialogové okno Norton AntiVirus .................................................................................. 34 Obrázek 8: Dialogové okno NOD32 Antivirus .................................................................................. 35 Obrázek 9: Dialogové okno F-Secure Anti-Virus 2011 ................................................................. 36

Obrázek 10: Dialogové okno AVIRA AntiVir ..................................................................................... 37 Obrázek 11: Dialogové okno Avast! ...................................................................................................... 37 Obrázek 12: Postup testování ................................................................................................................. 38 Tabulka 1: Zhodnocení hrozeb z hlediska nebezpečnosti.............................................................. 9 Tabulka 2: Přehled doby potřebné k prolomení hesla [7] .......................................................... 12

Tabulka 3: Pořadí firewallů v testu [31] ............................................................................................. 22 Tabulka 4: Výsledky za rok 2010 [8] ................................................................................................... 28 Tabulka 5: Poslední výsledky [9]........................................................................................................... 30

Tabulka 6: Souhrnné výsledky testů .................................................................................................... 39 Tabulka 7: Doba restartování operačního systému ....................................................................... 40

Tabulka 8: Doba vyhledání zadaného souboru................................................................................ 41 Tabulka 9: Zatížení procesoru a paměti ............................................................................................. 41

Tabulka 10: Doba instalace programu ................................................................................................ 41 Tabulka 11: Doba trvání testu ................................................................................................................ 42

Tabulka 12: Počet nalezených hrozeb ................................................................................................. 42 Tabulka 13: Výsledné pořadí................................................................................................................... 42

Zdroje

46

12 Zdroje [1] POŠVIC, Kamil. Root.cz [online]. 2011 [cit. 2011-04-13]. Počet uživatelů internetu v roce 2010 překročil 2 miliardy. Dostupné z WWW: http://www.root.cz/zpravicky/pocet-uzivateluinternetu-v-roce-2010-prekrocil-2-miliardy/.

[2] DŘÍZHAL, Dušan. Programy pro zabezpečení počítače, použití, výsledky. Praha, 2009. 39 s. Bakalářská práce. Česká zemědělská universita, Provozně ekonomická fakulta.

[3] PEŠEK, Jiří. Srovnávací analýza bezpečnostního softwaru pro ochranu počítačových dat. Praha, 2009. 77 s. Bakalářská práce. Vysoká škola ekonomická, fakulta informatiky a statistiky.

[4] HÁK, Igor. Viry.cz [online]. 2005 [cit. 2011-04-13]. Moderní počítačové viry. Dostupné z WWW: .

[5] Strnad, Neznámý. Ivt.wz.cz/strnad/ [online]. ???? [cit. 2011-04-13]. Počítačové viry. Dostupné z WWW: .

[6] Http://www.fi.muni.cz/usr/jkucera/pv109/2001/xmichal1.html [online]. [cit. 2011-04-13]. Historie počítačových virů. Dostupné z WWW: .

[7] Bezpečné heslo. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, , last modified on 27.3.2011 [cit. 2011-04-13]. Dostupné z WWW: . [8] AV-Comparatives [online]. 2010 [cit. 2011-04-13]. AV-Comparatives. Dostupné z WWW: .

[9] Virus Bulletin [online]. 2011 [cit. 2011-04-13]. Virus Bulletin. Dostupné z WWW: .

[10] The Wildlist Organization International [online]. 2002 [cit. 2011-04-13]. The Wildlist Organization International. Dostupné z WWW: .

[11] AV-Test.org [online]. 2011 [cit. 2011-04-13]. AV-Test.org. Dostupné z WWW: .

[12] ICSA Labs [online]. 2011 [cit. 2011-04-13]. ICSA Labs. Dostupné z WWW: .

[13] AMTSO [online]. 2011 [cit. 2011-04-13]. AMTSO. Dostupné z WWW: .

[14] Virový radar [online]. 2004 [cit. 2011-04-13]. Nejrozšířenější viry a analýzy. Dostupné z WWW: .

[15] Eicar.org [online]. 2011 [cit. 2011-04-13]. Eicar - Home. Dostupné z WWW: .

[16] West Coast Labs [online]. 2011 [cit. 2011-04-13]. West Coast Labs. Dostupné z WWW: .

[17] Microsoft.com [online]. 2011 [cit. 2011-04-13]. Ochrana před viry, spywarem a škodlivým softwarem. Dostupné z WWW: .

[18] Kaspersky.com [online]. 2011 [cit. 2011-04-13]. Kaspersky AntiVirus. Dostupné z WWW: .

47

Zdroje

[19] Avast.com [online]. 2011 [cit. 2011-04-13]. Avast.com/cs-cz/index. Dostupné z WWW: .

[20] Cz.norton.com [online]. 2011 [cit. 2011-04-13]. Norton Antivirus. Dostupné z WWW: .

[21] Eset.cz [online]. 2011 [cit. 2011-04-13]. ESET Antivirus. Dostupné z WWW: .

[22] Avg.com [online]. 2011 [cit. 2011-04-13]. Antivir AVG. Dostupné z WWW: .

[23] Spyware.cz [online]. 2007 [cit. 2011-04-13]. Spyware.cz-Úvod. Dostupné z WWW: .

[24] Malware. In Wikipedia : the free encyclopedia [online]. St. Petersburg (Florida) : Wikipedia Foundation, [cit. 2011-04-13]. Dostupné z WWW: .

[25] BITTO, Ondřej. Jak zabezpečit domácí a malou síť Windows XP. Brno : Computer Press, a.s., 2006. 216 s. ISBN 80-251-1098-2.

[26] M. THOMAS, Thomas. Zabezpečení počítačových sítí bez předchozích znalostí. Brno : CP Books, a.s., 2005. 338 s. ISBN 80-251-0417-6.

[27] STREBE, Matthew; PERKINS, Charles. Firewally a proxy-servery praktický průvodce. Brno : Computer Press, a.s., 2003. 450 s. ISBN 80-7226-983-6. [28] ZEMÁNEK, Jakub. Slabá místa Windows aneb jak se bránit hackerům. Kralice na Hané : Computer Media, s.r.o., 2004. 155 s. ISBN 80-86686-11-6.

[29] Vyvial.cz [online]. ???? [cit. 2011-04-16]. IT Consulting and Solutions. Dostupné z WWW: .

[30] Katalognotebooku.cz [online]. c2003 [cit. 2011-04-22]. Notebook IBM ThinkPad A31p. Dostupné z WWW: . [31] Matousek.com [online]. 2009 [cit. 2011-04-17]. Results and comments. Dostupné z WWW: .

[32]Počítačový

červ [online].

2011

[cit.

2011-04-26].

[cit.

2011-04-26].

Wikipedia.

[cit.

2011-04-26].

Spyware.

.

[33]Rootkit [online].

2011

.

[34]Pojmy [online].

2007

Wikipedia.

.

Dostupné

Dostupné Dostupné

z

WWW:

z

WWW:

z

WWW:

[35]Phishing aneb rhybaření [online]. [cit. 2011-04-26]. Interval.cz. Dostupné z WWW: .

[36]Varování z Fukušimy [online]. 2011 [cit. 2011-04-26]. Hoax.cz. Dostupné z WWW: .

[37]Spam [online].

2011

[cit.

2011-04-26].

Wikipedia.

Dostupné

z

WWW:

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky. Vyšší odborná škola informačních služeb v Praze

Recommend Documents