Odolá váš počítač útoku hackerů?

Vladimír Stwora

22.6.2000 Technická poradna Témata: Počítače 1691 slov

Internet je džungle. Tuto větu si pamatujme. Raději si řekněme ještě jenou a s vykřičníkem: Internet je džungle! Je to prostředí divoké a dosti nepřátelské. Při současném počtu kolem 20 miliónů uživatelů je naprosto normální, že určité procento z tohoto počtu bude zaměřeno na to, jak uškodit ostatním. Existuje asi dvě stě různých forem útoků. Šikovný internetovský škůdce nejen že dokáže udělat paseku na vašem počítači a přivodit řadu nepříjemností i právního charakteru (tím, že vám ukrade adresu a zneužije ji, takže orgány v trestném řízení mohou jít po vás),ale on dokáže také po sobě zamést stopy tak, že vypátrání není vůbec možné. Proto je lépe nespoléhat se na náhodu a být připraven. Proto také (a ve světle útoku podniknutého nedávno na největší servery) vznikl tento článek.

Článek má smysl hlavně pro ty, kteří mají počítač připojen k síti řádově desítky hodin denně. Pro ty z vás, kteří se připojují jen na několik minut denně, není pravděpodobnost úspěšného napadení příliš vysoká.

Trochu teorie

K tomu, aby počítače mohly komunikovat, používají domluvenou sadu pravidel, tzv. protokol. V případě Internetu se jedná o TCP/IP protokol. Ten předepisuje, že každý účastník musí mít přiděleno unikátní identifikační číslo, IP adresu. IP adresa se zobrazuje jako čtyřmístné hexadecimální číslo, hodnota každého čísla je vyjádřena desítkově, navzájem jsou čísla od sebe oddělena tečkou. Tedy např. 211.43.12.6.

Internet ovšem není jen jedna aplikace. Mimo tzv. surfing, čili prohlížení stránek, je to také pošta, stahování souborů přes ftp, ICQ a další aplikace. Jistě víte, že můžete současně například přijímat poštu a prohlížet WEB stránky. Informace jdoucí do vašeho počítače se nesmíchají, ačkoliv každý přijatý blok dat (tzv. packet - balíček) je zpracováván jiným programem.

Jak systém pozná, který balíček zpracovat určitým programem? Jak rozliší, že toto je např. pošta a toto je WEB stránka? Jednoduše. Kromě čtyřmístné IP adresy existuje ještě jemnější dělení doručených a odesílaných dat podle toho, kam data směřují. Ke IP konci adresy se připojuje číslo portu - brány. Čísla portů jsou v rozsahu 1 až 65536. Aby se číslo portu odlišilo od IP adresy, je odděleno dvojtečkou. Např. váš WEB prohlížeč naslouchá na portu číslo 80. Plná adresa balíčku, který se má zobrazit ve vašem prohlížeči, je tedy např. 211.43.12.6:80. Pošta používá pro příjem port číslo 25, pro odesílání 110, atd. Každá aplikace "poslouchá" jen na svém portu.

Přibližně se dá říct, že hodnoty portů do 1000 jsou obsazeny známými aplikacemi a víceméně standardizovány. Pak ale zbývá ještě nejméně 64000 "volných" neobsazených portů. Podařilo-li by se hackerovi implementovat do vašeho počítače nevelký nenápadný program, může tento program přijímat příkazy z hackerova počítače právě prostřednictvím některého neobsazeného portu, aniž by tím došlo k narušení normálního provozu a  aniž byste si něčeho všimli. Tomuto druhu programu se říká trojský kůň. Nemusí jít nutně o virus, program nemusí být designován k zničení vašich dat. Jeho jedinou funkcí může být naslouchání na určitém portu a v případě povelu, který na tento port dorazí, odeslat určitá data někam. Tak se může stát, že tento spící trojský kůň "sedí" několik měsíců ve vašem systému, aniž by se jakkoliv projevil.

Zbývá dořešit, jak dostat trojského koně do cizího počítače. Metod je několik. Ty jednodušší spočívají v tom, že vám někdo pošle e-mail s EXE programem, na který omylem nebo z bezvědomky kliknete. Ty více sofistikované se mohou dostat dovnitř prostřednictvím některé otevřeného portu. Porty totiž jsou - stejně jako brány - buďto otevřeny nebo zavřeny. Internetovský standard vyžaduje, aby port, pokud se nepoužívá, byla zavřen. Bohužel, některé ne příliš dobře napsané aplikace prostě po sobě "neuklízejí" a může se stát, že nechají port otevřen. Nebo je váš počítač napojen na dvě sítě současně, vnější (internetovskou) a  vnitřní, přičemž účastníci vnitřní sítě komunikují na internetu prostřednictvím jediného poskytovatele služeb a jediné IP adresy. Na hlavním počítači (tzv. gate) běží aplikace jako WINPROXY, popř. WINGATE, nebo něco podobného, co má za úkol umožnot uživatelům vnitřní sítě přístup na Internet. Jsou-li tyto aplikace špatně nakonfigurovány, dovolí vnějším účastníkům (z Internetu) chovat se tak, jako by byly vnitřními účastníky vaší "domácí" sítě, včetně instalace programů do vašeho systému, nebo např. "ukradení" vaší IP adresy a její následné použití k nekalým účelům. Nebo máte nastartován internetovský server, aniž byste to věděli. Zkrátka možností je několik.

Snahou hackerů je nalézt někde otevřený port. Dělají to tak, že skanují náhodně vybrané adresy, často v rozsahu desetitisíců a statisíců počítačů v  internetovské síti, aniž by jejich majitelé o tom věděli. Ke skanování používají programy, které se dají najít na internetu (jména úmyslně neuvádím, abych neinspiroval), ti schopnější si je můžou napsat i sami. Není to nic těžkého. Typicky mladý aspirant na příslušnost k hackerům (těch je většina, skutečných hackerů-odborníků je relativně málo) si stáhne někde z Internetu skanovací program a rozjede jej třeba na školním počítači přes noc. Ráno si jen prohlédne záznam (log), kde jsou poznamenány IP adresy a čísla otevřených portů, které program v průběhu noci nalezl. Většinou hacker na takovéto adresy neútočí okamžitě. Vyčká několik dnů a skan zopakuje. Teprve je-li port pořád ještě otevřen, může se pokusit proniknout do takto nezajištěného počítače.

Tímto způsobem se zřejmě dostali hackeři na nechráněné počítače, kde pak umístili trojského koně, které na určitý povel začaly před dvěma týdny zahlcovat stránky nejznámějších serverů takovým množstvím dat, že úplně ucpali průchod a zamezili tak ostatním uživatelům v přístupu. Útok, kterému se říká DoS (Denial of Service).

Jak se lze bránit.

Obranu lze rozdělit na pasívní a aktivní.

Pasívní obrana. Některé rady pro pasívní obranu jsou podobny těm, které používáme proti virům. Dvě nejdůležitější věci, které byste měli udělat, jsou shrnuty pod body (1) a (2).

  1. Ujistíme se, že nemáme nastaveno sdílení tiskárny a souborů. Jak? Klikneme pravým knoflíčkem myši na ikonku Network Neighborhood/Okolní počítače na pracovní ploše. V otevřeném okně klikneme na Properties/Vlastnosti. Na kartě Configuration/Nastavení klikneme na File and Printer Sharing/Sdílení souborů a tiskáren. Obě políčka pro I want to be able to give others access to my files and to print to my printer(s) musí být odkliknuta. Jestliže musíme mít nastaveno sdílení tiskáren a souborů (např. tehdy, máme-li doma vlastní počítačovou síť), je nezbytně nutno chránit přístup těžko uhodnutelným heslem.
  2. Ověříme si, jak dalece je naše IP adresa otevřena případnému útoku. Stáhneme si program IP_Agent.exe (pouze 17 kBy) a rozjedeme jej. Tento miniaturní program zjistí všechny naše IP adresy a přesměruje nás na stránku Shields UP!. Stránku vede Steve Gibson, skutečný odborník na vše,co se týká počítačových sítí a bezpečnosti. Můžeme si zde nechat otestovat, zda všechny naše porty jsou skutečně zavřeny a zda náš počítač náhodou nefunguje jako skrytý server (otevřen Internet port 139 nebo pokus připojit se přes NetBIOS). Doporučuji přečíst další informace na této stránce. Je to bohužel v angličtině.
  3. Je-li náš počítač v režimu PROXY serveru (máme-li nainstalován program jako WINGATE nebo WINPROXY), dbáme na správnou konfiguraci tohoto serveru. Nejsme-li si jisti, necháme si nastavení ověřit odborníkem.
  4. Tento bod bude pro vás v tomto okamžiku zřejmě zcela nesrozumitelný. V konfiguraci pro Network Neighborhood instalujeme MS Virtual Private Networking Adapter a svážeme jej (bind) se všemi WINS funkcemi. Podrobný popis včetně vysvětlení přesahuje svým rozsahem tento článek, najdete jej zde: Shields UP! - Explain Networking Jde stále o stránku Steve Gibsona, pouze jsem zde vybral pasáž, která se přímo týká bezpečné konfigurace TCP/IP protokolu.
  5. Nerozjížídme na našem počítači žádnou aplikaci nebo program z podezřelých zdrojů.
  6. Zásadně neklikáme na přílohu - program, který nám někdo neznámý poslal emailem (poznáte podle koncovky EXE).
  7. Pozor také na dokumenty MS Word a MS Excel - ty mohou obsahovat makra, která trojského koně do systému zavlečou.
  8. Nespoléhejme na to, že protivirové programy tyto trojské koně zachytí. Nemusí, protože nejde o viry v pravém slova smyslu.

Aktivní obrana. Bude nutno instalovat zvláštní software, kterému se říká Personal Firewalls - osobní protipožární stěnu. Na trhu je několik firem dodávajících programy typu firewalls. Některé, zvláště ty levné bohužel, dělají váš počítač zranitelnější, než byl před instalací protipožární stěny. Nejlepší firewalls je takový, který nejen že kontroluje uzavření všech vstupů, ale navíc implementuje Stealth Technology - technologii, která učiní počítač neviditelným. Termín je zřejmě ne náhodou podobný tomu, jaký se používá v letectví. Po instalaci takového software to bude zvenčí vypadat tak, že na vaší IP adrese vůbec žádný počítač není! Sáhnete-li po aktivní obraně, nemusíte se zdržovat konfiguraci vaší sítě jako popsáno v předchozích bodech. Přesto váš počítač bude neprůstřelný.

Steve Gibson (už o něm byla v článku řeč) nedávno dokončil a nabízí zdarma jeho vlastní firewall - program ZoneAlarm verze 2.0. Stáhnout si jej můžete buďto z jeho stránek ShieldUp! nebo přímo ze Zvědavce v rubrice Doporučený software.

Osobně používám a doporučuji freeware program ZoneAlarm. Jde o firewalls s použitou stealth technologií. Nemusíte u něj téměř nic nastavovat, program sám zajistí, že všechny vaše porty a možné vstupy přejdou do neviditelného režimu. Jako bonus vás navíc bude informovat o každém provedeném útoku, včetně pravděpodobné adresy hackera. Instalována stealth technologie má ještě jednu vhodnou vlastnost, kterou vy nezaznamenáte, ale hacker ano. Citelně zpomalí skan. Skan, který normálně trvá několik vteřin, bude u "neviditelného" počítače trvat několik minut. Přesto bude výsledek pro hackera žalostný.

Známka 1.0 (hodnotilo 6)

Oznámkujte kvalitu článku jako ve škole
(1-výborný, 5-hrozný)

1  2  3  4  5 

Káva pro Zvědavce

30

Být v obraze něco stojí.
Připojte se k ostatním a staňte se
také sponzorem Zvědavce, stačí
částka v hodnotě jedné kávy měsíčně.

Za měsíc listopad přispělo 58 čtenářů částkou 10 333 korun, což je 30 % měsíčních nákladů provozu Zvědavce.

Bankovní spojení: 2000368066/2010

IBAN: CZ4720100000002000368066
Ze Slovenska 2000368066/8330
IBAN: SK5883300000002000368066
BIC/SWIFT: FIOBCZPPXXX

[PayPal]

Bitcoin:
bc1q40mwpus89teua4ruhxrtal6v45lc3ye5a9ttud

Další možnosti platby ›

Ve zkratce

Británie ve válečné pohotovosti: "Očekáváme útok z Ruska i dnes večer" 22.11.24 07:40 Británie 0

Ukrajinci opět zasahují raketami a drony ruské území na jihu Ruska22.11.24 06:58 Rusko 0

Na operace můžeme létat do Řecka, varuje ekonomka před kolapsem nemocnic22.11.24 04:50 Česká republika 0

Politico - Západ nakupuje plyn od Ázerbájdžánu, ale Rusko z toho těží 21.11.24 19:24 Neurčeno 0

Protestující policisté a hasiči vypískali Rakušana. Jeho sliby označili za pohádky21.11.24 17:43 Česká republika 0

Mezinárodní trestní soud vydal zatykač na Netanjahua. Viní ho z válečných zločinů v Gaze21.11.24 17:25 Neurčeno 1

V bažinách Washingtonu začíná být rušno 21.11.24 15:15 USA 0

Po nás potopa21.11.24 08:13 USA 0

Vláda zvýšila dědickou daň pro britské zemědělce 21.11.24 07:24 Británie 0

Česká republika koupí 14 tanků Leopard 2A4 za čtyři miliardy. Nahradí sovětské stroje21.11.24 07:13 Česká republika 0

Markov: Toto rozhodnutí Spojených států, Británie a Francie není krokem k jaderné válce, je to velký skok k jaderné válce, jaderné destrukci21.11.24 00:45 Rusko 0

Kyjev: "Bombardovali jsme ruský Krasnodar pomocí British Storm Shadows" - Zasáhne Rusko Británii? 21.11.24 00:35 Ukrajina 1

Zelenský se porušením Ottawské smlouvy stává válečným zločincem20.11.24 23:02 Ukrajina 0

52 % Ukrajinců si přeje, aby vedení země vyjednalo co nejdříve mír20.11.24 22:45 Ukrajina 1

Evropští lídři byli zděšeni brzkým zveřejněním komuniké G20, aby se účastníci vyhnuli diskusi o ruské válce 20.11.24 22:04 Brazilie 0

Dánsko dodalo Ukrajině šest F-16, dalších 13 bude následovat 20.11.24 21:50 Dánsko 1

USA oznámily balíček vojenské pomoci pro Ukrajinu ve výši 275 milionů dolarů20.11.24 21:46 USA 0

Evropské země, včetně Polska, jsou připraveny převzít odpovědnost za podporu Ukrajiny, pokud Spojené státy omezí svou pomoc20.11.24 21:43 Evropská unie 0

Skupiny pro lidská práva kritizují Bidenovo rozhodnutí poslat Ukrajině nášlapné miny20.11.24 20:44 USA 0

Bloomberg: "Ukrajina vypálila 12 britských řízených střel Storm Shadow na cíle na ruské půdě" 20.11.24 20:10 Rusko 5

Měnové kurzy

USD
24,20 Kč
Euro
25,37 Kč
Libra
30,50 Kč
Kanadský dolar
17,33 Kč
Australský dolar
15,77 Kč
Švýcarský frank
27,31 Kč
100 japonských jenů
15,66 Kč
Čínský juan
3,34 Kč
Polský zloty
5,84 Kč
100 maď. forintů
6,17 Kč
Ukrajinská hřivna
0,59 Kč
100 rublů
23,89 Kč
1 unce (31,1g) zlata
64 604,03 Kč
1 unce stříbra
744,82 Kč
Bitcoin
2 370 291,64 Kč

Poslední aktualizace: 21.11.2024 22:00 SEČ

Tuto stránku navštívilo 18 990