Počítačové sítě a viry
Počítačové viry a sítě jsou kapitolou samy pro sebe. Ne snad proto, že by viry
nějak speciálně síť využívaly či narušovaly, ale prostě proto, že v prostředí,
sdíleném mnoha uživateli, může dojít k daleko rychlejší nákaze viry a její odstranění je
mnohem komplikovanější než u samostatných počítačů. Také možnost reinfekce -
opětovného napadení sítě - je mnohem větší.
Koncepce ochrany v počítačové síti je založena na ověření totožnosti uživatele (definovaného
například pomocí jména a hesla) a na tom, že tomuto uživateli jsou přiděleny určité pravomoci.
Problém, před kterým ovšem taková síť stojí, je v tom, že je sice prověřen (a předpokládejme, že správně)
uživatel, ovšem zdaleka nemusí být prověřeny programy, které spouští. Přitom tyto programy automaticky
získavají všechna přístupová práva daného uživatele. Pokud například uživatel s minimálními pravomocemi nahraje
do jediného adresáře, který má přístupný, nějaký program a spustí ho, pak tento program
nemá přístup do jiných oblastí, spravovaných sítí. Jestliže ale tentýž program později
spustí uživatel s právy Supervisora, má tentýž program rázem obrovské pramovoci.
V praxi je proto nutné důsledně využívat ty typy ochran, které síť nabízí. Které to jsou ?
Soubory mohou mít například nastaveny (podobně jako v DOSu) určité atributy. Rozdíl je v tom,
že atributů je více, a není zdaleka tak jednoduché je změnit. Navíc oproti DOSu existuje například
atribut "pouze pro spuštění" (execute only), který umožňuje takto chráněné programy spouštět, ale
již ne číst, kopírovat či modifikovat. Podobné atributy mohou být specifikovány pro přístup uživatele
k adresářům či souborům. Tato koncepce však pro některé programy bohužel nevyhovuje. Řada programů nemůže být
chráněna proti zápisu, protože například zapisuje svoji konfiguraci sama do sebe, a toho není
v uvedeném případě schopna. I atribut "pouze pro spuštění" je potřeba používat uváženě. Může totiž být dvousečný:
je pravda, že takto chráněné programy nemohou být viry napadeny, nemohou však být ani kotrolovány antivirovými
prostředky, a pokud by byly infikovány již při své instalaci, virus by se poměrně špatně hledal. Navíc jsou zde
často opět problémy s určitými programy: pokud takový program obsahuje overlay, kterou sám načítá, nebude fungovat.
A takové programy skutečně existují - zářným příkladem může být T602. S tím souvisí i další věci:
například nastavení proměnné PATH. Ta určuje adresáře, ve kterých se hledají spouštěné programy. Síť by v žádném
případě neměla obsahovat "veřejné" adresáře, do kterých může nahrávat kdokoli cokoli. Na druhou stranu
doporučujeme správci sítě, aby zřídil uživatele s právy supervizora bez práv zápisu. Tohoto uživatele může správce
využít pro testování bez nebezpečí infekce dalších souborů. V každém případě musí správce sítě této problematice věnovat
dostatečnou pozornost.
Jak se viry po sítích vůbec šíří ? Ve světě jsou čas od času prováděny experimenty, které zkoumají, jak jsou
konkrétní viry schopny se šířit v prostředí sítí a do jaké míry jsou sítě proti nim odolné.
Ukazuje se, že často záleží na tom, v jakém okamžiku zavádění sítě je virus aktivován
(např. pro Novell před, po či mezi programy IPX, NETx a LOGIN).
V zásadě je možno viry rozdělit podle jejich vztahu k sítím do čtyř skupin:
- na viry, které pracují celkem normálně,
- na viry, které nepracují v síti vůbec,
- na viry, které jsou se sítí v konfliktu,
- na viry, které jsou speciálně pro sítě vytvořeny.
První skupinu tvoří většina virů. Právě pro ně je důležité správná konfigurace všech ochran sítě.
Do druhé skupiny patří bezesporu všechny klasické boot viry. Ty sice mohou napadat jednotlivé stanice sítě,
za určitých podmínek dokonce i server, ale nejsou schopny se šířit po síti z jednoho počítače na druhý, jednoduše
proto, že síť služby tak nízké úrovně (BIOS) neposkytuje. Dále je možno sem zařadit i některé další viry, které
jsou příliš spjaty s DOSem, takže opět nejsou schopny pracovat se vzdálenými zařízeními. To je i případ virů,
které používají "tunelování", tj. techniku, pomocí které hledají vstupní bod pro svoji činnost hluboko
v operačním systému, aby tak obešly použité antivirové ochrany. Často však současně obejdou i síťový software.
Do třetí skupiny patří viry, které jsou s počítačovou sítí v konfliktu. Pokud jsou aktivovány, buď nepracují ony nebo
síť. Nejčastějším případem je to, že virus pro svoje rozpoznání v paměti volá nějakou
nepoužívanou funkci operačního systému, kterou však ve skutečnosti používá právě síť.
Do čtvrté skupiny můžeme zařadit viry, které přímo obsahují prostředky, využívající možnosti sítě.
Vytvoření takového viru je nepoměrně težší než vytvoření viru pro DOS.
Zdroj: AVAST 7.70 - manuál