Odolá váš počítač útoku hackerů?
22.6.2000 Technická poradna Témata: Počítače 1691 slov
Internet je džungle. Tuto větu si pamatujme. Raději si řekněme ještě jenou a s vykřičníkem: Internet je džungle! Je to prostředí divoké a dosti nepřátelské. Při současném počtu kolem 20 miliónů uživatelů je naprosto normální, že určité procento z tohoto počtu bude zaměřeno na to, jak uškodit ostatním. Existuje asi dvě stě různých forem útoků. Šikovný internetovský škůdce nejen že dokáže udělat paseku na vašem počítači a přivodit řadu nepříjemností i právního charakteru (tím, že vám ukrade adresu a zneužije ji, takže orgány v trestném řízení mohou jít po vás),ale on dokáže také po sobě zamést stopy tak, že vypátrání není vůbec možné. Proto je lépe nespoléhat se na náhodu a být připraven. Proto také (a ve světle útoku podniknutého nedávno na největší servery) vznikl tento článek.
Článek má smysl hlavně pro ty, kteří mají počítač připojen k síti řádově desítky hodin denně. Pro ty z vás, kteří se připojují jen na několik minut denně, není pravděpodobnost úspěšného napadení příliš vysoká.
Trochu teorie
K tomu, aby počítače mohly komunikovat, používají domluvenou sadu pravidel, tzv. protokol. V případě Internetu se jedná o TCP/IP protokol. Ten předepisuje, že každý účastník musí mít přiděleno unikátní identifikační číslo, IP adresu. IP adresa se zobrazuje jako čtyřmístné hexadecimální číslo, hodnota každého čísla je vyjádřena desítkově, navzájem jsou čísla od sebe oddělena tečkou. Tedy např. 211.43.12.6.
Internet ovšem není jen jedna aplikace. Mimo tzv. surfing, čili prohlížení stránek, je to také pošta, stahování souborů přes ftp, ICQ a další aplikace. Jistě víte, že můžete současně například přijímat poštu a prohlížet WEB stránky. Informace jdoucí do vašeho počítače se nesmíchají, ačkoliv každý přijatý blok dat (tzv. packet - balíček) je zpracováván jiným programem.
Jak systém pozná, který balíček zpracovat určitým programem? Jak rozliší, že toto je např. pošta a toto je WEB stránka? Jednoduše. Kromě čtyřmístné IP adresy existuje ještě jemnější dělení doručených a odesílaných dat podle toho, kam data směřují. Ke IP konci adresy se připojuje číslo portu - brány. Čísla portů jsou v rozsahu 1 až 65536. Aby se číslo portu odlišilo od IP adresy, je odděleno dvojtečkou. Např. váš WEB prohlížeč naslouchá na portu číslo 80. Plná adresa balíčku, který se má zobrazit ve vašem prohlížeči, je tedy např. 211.43.12.6:80. Pošta používá pro příjem port číslo 25, pro odesílání 110, atd. Každá aplikace "poslouchá" jen na svém portu.
Přibližně se dá říct, že hodnoty portů do 1000 jsou obsazeny známými aplikacemi a víceméně standardizovány. Pak ale zbývá ještě nejméně 64000 "volných" neobsazených portů. Podařilo-li by se hackerovi implementovat do vašeho počítače nevelký nenápadný program, může tento program přijímat příkazy z hackerova počítače právě prostřednictvím některého neobsazeného portu, aniž by tím došlo k narušení normálního provozu a aniž byste si něčeho všimli. Tomuto druhu programu se říká trojský kůň. Nemusí jít nutně o virus, program nemusí být designován k zničení vašich dat. Jeho jedinou funkcí může být naslouchání na určitém portu a v případě povelu, který na tento port dorazí, odeslat určitá data někam. Tak se může stát, že tento spící trojský kůň "sedí" několik měsíců ve vašem systému, aniž by se jakkoliv projevil.
Zbývá dořešit, jak dostat trojského koně do cizího počítače. Metod je několik. Ty jednodušší spočívají v tom, že vám někdo pošle e-mail s EXE programem, na který omylem nebo z bezvědomky kliknete. Ty více sofistikované se mohou dostat dovnitř prostřednictvím některé otevřeného portu. Porty totiž jsou - stejně jako brány - buďto otevřeny nebo zavřeny. Internetovský standard vyžaduje, aby port, pokud se nepoužívá, byla zavřen. Bohužel, některé ne příliš dobře napsané aplikace prostě po sobě "neuklízejí" a může se stát, že nechají port otevřen. Nebo je váš počítač napojen na dvě sítě současně, vnější (internetovskou) a vnitřní, přičemž účastníci vnitřní sítě komunikují na internetu prostřednictvím jediného poskytovatele služeb a jediné IP adresy. Na hlavním počítači (tzv. gate) běží aplikace jako WINPROXY, popř. WINGATE, nebo něco podobného, co má za úkol umožnot uživatelům vnitřní sítě přístup na Internet. Jsou-li tyto aplikace špatně nakonfigurovány, dovolí vnějším účastníkům (z Internetu) chovat se tak, jako by byly vnitřními účastníky vaší "domácí" sítě, včetně instalace programů do vašeho systému, nebo např. "ukradení" vaší IP adresy a její následné použití k nekalým účelům. Nebo máte nastartován internetovský server, aniž byste to věděli. Zkrátka možností je několik.
Snahou hackerů je nalézt někde otevřený port. Dělají to tak, že skanují náhodně vybrané adresy, často v rozsahu desetitisíců a statisíců počítačů v internetovské síti, aniž by jejich majitelé o tom věděli. Ke skanování používají programy, které se dají najít na internetu (jména úmyslně neuvádím, abych neinspiroval), ti schopnější si je můžou napsat i sami. Není to nic těžkého. Typicky mladý aspirant na příslušnost k hackerům (těch je většina, skutečných hackerů-odborníků je relativně málo) si stáhne někde z Internetu skanovací program a rozjede jej třeba na školním počítači přes noc. Ráno si jen prohlédne záznam (log), kde jsou poznamenány IP adresy a čísla otevřených portů, které program v průběhu noci nalezl. Většinou hacker na takovéto adresy neútočí okamžitě. Vyčká několik dnů a skan zopakuje. Teprve je-li port pořád ještě otevřen, může se pokusit proniknout do takto nezajištěného počítače.
Tímto způsobem se zřejmě dostali hackeři na nechráněné počítače, kde pak umístili trojského koně, které na určitý povel začaly před dvěma týdny zahlcovat stránky nejznámějších serverů takovým množstvím dat, že úplně ucpali průchod a zamezili tak ostatním uživatelům v přístupu. Útok, kterému se říká DoS (Denial of Service).
Jak se lze bránit.
Obranu lze rozdělit na pasívní a aktivní.
Pasívní obrana. Některé rady pro pasívní obranu jsou podobny těm, které používáme proti virům. Dvě nejdůležitější věci, které byste měli udělat, jsou shrnuty pod body (1) a (2).
- Ujistíme se, že nemáme nastaveno sdílení tiskárny a souborů. Jak? Klikneme pravým knoflíčkem myši na ikonku Network Neighborhood/Okolní počítače na pracovní ploše. V otevřeném okně klikneme na Properties/Vlastnosti. Na kartě Configuration/Nastavení klikneme na File and Printer Sharing/Sdílení souborů a tiskáren. Obě políčka pro I want to be able to give others access to my files and to print to my printer(s) musí být odkliknuta. Jestliže musíme mít nastaveno sdílení tiskáren a souborů (např. tehdy, máme-li doma vlastní počítačovou síť), je nezbytně nutno chránit přístup těžko uhodnutelným heslem.
- Ověříme si, jak dalece je naše IP adresa otevřena případnému útoku. Stáhneme si program IP_Agent.exe (pouze 17 kBy) a rozjedeme jej. Tento miniaturní program zjistí všechny naše IP adresy a přesměruje nás na stránku Shields UP!. Stránku vede Steve Gibson, skutečný odborník na vše,co se týká počítačových sítí a bezpečnosti. Můžeme si zde nechat otestovat, zda všechny naše porty jsou skutečně zavřeny a zda náš počítač náhodou nefunguje jako skrytý server (otevřen Internet port 139 nebo pokus připojit se přes NetBIOS). Doporučuji přečíst další informace na této stránce. Je to bohužel v angličtině.
- Je-li náš počítač v režimu PROXY serveru (máme-li nainstalován program jako WINGATE nebo WINPROXY), dbáme na správnou konfiguraci tohoto serveru. Nejsme-li si jisti, necháme si nastavení ověřit odborníkem.
- Tento bod bude pro vás v tomto okamžiku zřejmě zcela nesrozumitelný. V konfiguraci pro Network Neighborhood instalujeme MS Virtual Private Networking Adapter a svážeme jej (bind) se všemi WINS funkcemi. Podrobný popis včetně vysvětlení přesahuje svým rozsahem tento článek, najdete jej zde: Shields UP! - Explain Networking Jde stále o stránku Steve Gibsona, pouze jsem zde vybral pasáž, která se přímo týká bezpečné konfigurace TCP/IP protokolu.
- Nerozjížídme na našem počítači žádnou aplikaci nebo program z podezřelých zdrojů.
- Zásadně neklikáme na přílohu - program, který nám někdo neznámý poslal emailem (poznáte podle koncovky EXE).
- Pozor také na dokumenty MS Word a MS Excel - ty mohou obsahovat makra, která trojského koně do systému zavlečou.
- Nespoléhejme na to, že protivirové programy tyto trojské koně zachytí. Nemusí, protože nejde o viry v pravém slova smyslu.
Aktivní obrana. Bude nutno instalovat zvláštní software, kterému se říká Personal Firewalls - osobní protipožární stěnu. Na trhu je několik firem dodávajících programy typu firewalls. Některé, zvláště ty levné bohužel, dělají váš počítač zranitelnější, než byl před instalací protipožární stěny. Nejlepší firewalls je takový, který nejen že kontroluje uzavření všech vstupů, ale navíc implementuje Stealth Technology - technologii, která učiní počítač neviditelným. Termín je zřejmě ne náhodou podobný tomu, jaký se používá v letectví. Po instalaci takového software to bude zvenčí vypadat tak, že na vaší IP adrese vůbec žádný počítač není! Sáhnete-li po aktivní obraně, nemusíte se zdržovat konfiguraci vaší sítě jako popsáno v předchozích bodech. Přesto váš počítač bude neprůstřelný.
Steve Gibson (už o něm byla v článku řeč) nedávno dokončil a nabízí zdarma jeho vlastní firewall - program ZoneAlarm verze 2.0. Stáhnout si jej můžete buďto z jeho stránek ShieldUp! nebo přímo ze Zvědavce v rubrice Doporučený software.
Osobně používám a doporučuji freeware program ZoneAlarm. Jde o firewalls s použitou stealth technologií. Nemusíte u něj téměř nic nastavovat, program sám zajistí, že všechny vaše porty a možné vstupy přejdou do neviditelného režimu. Jako bonus vás navíc bude informovat o každém provedeném útoku, včetně pravděpodobné adresy hackera. Instalována stealth technologie má ještě jednu vhodnou vlastnost, kterou vy nezaznamenáte, ale hacker ano. Citelně zpomalí skan. Skan, který normálně trvá několik vteřin, bude u "neviditelného" počítače trvat několik minut. Přesto bude výsledek pro hackera žalostný.