Který operační systém nejlépe chrání váš počítač? Jsou Mac OS a Linux skutečně bezpečnější než Windows? Otestovali jsme "pancíře" všech tří systémů - a také vám ukážeme, jak bezpečnostní díry, které jsme v nich objevili, můžete zacelit. Už jen při vyslovení této otázky odborníci utíkají a uživatelé jednotlivých systémů chřestí zbraněmi a zaklínají se nejlepším (tím svým) systémem. Který z nich je doopravdy "nejlepší", to se objektivně zjistit nedá, ale jejich úroveň bezpečnosti se pokusíme alespoň naznačit. Asi jsme měli kolegy předem varovat: Kdykoli někdo nastolí "hamletovskou" otázku o nejbezpečnějším operačním systému, odpověď - ať už jakákoliv - vyvolá bouři nevole. Dopadlo to tak i po testování v institutu pro výzkum trhu Forrester Research (www.forrester.com). Celý rok tam výzkumníci porovnávali bezpečnostní mezery, které se ve Windows a v různých distribucích Linuxu objevily, a také to, jak byly závažné. A výsledek? Podle zmíněného institutu dokázal všechny zjištěné nedostatky odstranit pouze Microsoft - a to navíc nejrychleji. Výrobci různých derivátů Linuxu, jako např. systémů SuSE, Red Hat, Mandrake a Debian, to zvládli "jen" asi na 99 % - při delších reakčních dobách. Sotva byla studie v březnu 2004 zveřejněna, sneslo se na ni krupobití kritiky od distributorů a příznivců Linuxu, kteří praktický užitek použité metodiky zpochybňovali. Věděli jsme tedy, do čeho se pouštíme - a přesto jsme si troufli porovnávat "hrušky s jablky". Z každého ze tří soupeřících počítačových světů jsme vybrali jednoho zástupce a poslali jsme ho do naší "stanice technické kontroly": Windows XP Professional, SuSE Linux (například v Německu jedna z nejrozšířenějších distribucí) ve verzi 9.1 Professional a Mac OS X 10.3.3. Všechny tři operační systémy prošly stejnými zkušebními stupni. Stupeň 1 - Bezpečnost na internetu: Každý operační systém jsme nejprve nainstalovali "out of the box", tedy rovnou z krabice a bez jakýchkoli záplat, a podrobili jsme jej on-line testu na serveru Qualys vytvořenému bezpečnostními profesionály. Tato tvrdá zkouška hledá v celém systému známé "netěsnosti" - v současné době jich je přes 3500 - a dělí je do pěti stupňů nebezpečnosti. Čím vyšší je stupeň, tím závažnější je bezpečnostní mezera. Potom jsme nahráli všechny (k datu testu dostupné) service packy, patche a updaty; pokud nebyl firewall zapnut automaticky, aktivovali jsme ho manuálně. Všechny tři takto opravené systémy jsme pak znovu "prohnali" zmíněným testem. Kompletní výsledky testování a všechny podrobnosti zkušebního postupu najdete na straně 25. Všechny tři operační systémy navíc nabízejí různé prohlížeče, které jsou rozdílně předkonfigurovány a používají jiné techniky; ten linuxový například vůbec nezná potenciálně nebezpečné programovací jazyky jako ActiveX a Visual Basicu Skript (VBS). Browsery, které zvláště inklinují k roli "brány pro internet", jsme proto extra nechali projít "prohlížečovým" testem bezpečnostního specialisty scanit (bcheck.scanit.be/bcheck). Tato zkouška mimo jiné odhalí, zda program akceptuje Javu, JavaScript, ActiveX nebo přesměrování na jiné domény. Stupeň 2 - Manuální "ucpání děr": Pokud vzdor záplatám a updatům bezpečnostní mezery nadále existovaly, ať už v prohlížeči, či v operačním systému, pokusili jsme se je zacelit dostupnými "palubními" prostředky vlastnoručně. Kde to nestačilo, uvádíme použité nástroje. Stupeň 3 - Bezpečnost v počítači: Ne všechna nebezpečí "přicházejí" z internetu. Často sedí špion také vedle v kanceláři. Proto jsme si vzali pod lupu také bezpečnostní strategie našich tří operačních systémů na lokální úrovni. Jak snadno se z nich dají "vypáčit" přihlašovací hesla a jak dobře jsou zašifrována? I správa uživatelů a přidělování přístupových práv hrají důležitou roli: jaké možnosti mají například administrátoři pro zpřístupnění diskových oblastí jen určitým skupinám uživatelů? K zabezpečení dat také přispívají uživatelsky příjemné koncepty zálohování. Tímto způsobem naše třístupňová "technická prohlídka" ukázala silné i slabé stránky trojice operačních systémů. Kromě nich vám však také přesně vysvětlíme, jak si ze svého operačního systému můžete vybudovat opravdovou pevnost. Windows XP Microsoft to s Windows opravdu nemá lehké - snad denně letí po internetu zprávy o nových bezpečnostních mezerách. Co je pravdy na předsudku o málo bezpečném operačním systému - a jak lze díry zacelit? Je logické, že nejrozšířenější operační systém přitahuje většinu hackerů a virových programátorů. Vždyť kdo se zaměří na mezeru ve Windows, napáchá také největší škody. BEZPEČNOST NA INTERNETU "Out of the box" to pro Windows XP vůbec nevypadá dobře. Test na serveru Qualys (viz rámeček) odhalí 25 bezpečnostních děr, mnohem více než u SuSE Linuxu i Mac OS X, z toho dokonce pět v nejvyšších rizikových stupních. Ale Microsoft se svým opravným balíčkem Servis Pack 2 (SP2) a aktuálními záplatami si umí zjednat nápravu - po jejich instalaci projdou Windows XP testem "bez ztráty květinky". Bez aktuálního updatu byste se tedy na web raději neměli odvážit. INSTALACE BEZPEČNOSTNÍCH UPDATŮ Není nutné dennodenně pátrat po nových updatech - jejich sbírku vystavují redmondští "opraváři" každé druhé úterý v měsíci na internetu. Odtud si ji můžete stáhnout buď manuálně (windowsupdate.microsoft.com), nebo přes aktualizační modul integrovaný ve Windows XP. Jeho automatiku lze nakonfigurovat tak, že si váš systém všechny nové opravy stáhne a nainstaluje sám. AUTOMATICKY AKTIVOVANÝ FIREWALL Po instalaci SP2 je samočinně zapnut firewall a chrání tak všechny důležité síťové a telekomunikační spoje. Systém pak kompletně blokuje všechny pakety ICMP, např. i příkaz ping. Díky tomu jste na internetu prakticky neviditelní: všechny požadavky potenciálních útočníků na váš počítač pošle systém do "datové nirvány". Žádná další nastavení nejsou nutná, vše je optimálně nakonfigurováno. A pokud by ten či onen program, třeba výměnná burza, přece jen požadoval nějaký port, Windows se automaticky zeptají, zda jej smějí otevřít. INSTALACE ZVLÁŠTNÍ ANTIVIROVÉ OCHRANY Autoři virů už se na Windows "zastříleli": podle výrobce antivirů Sophos bylo v roce 2003 více virů a červů než kdykoli předtím - tendence je tedy stoupající. Poněvadž "ctižádostí" virových autorů je zasáhnout co nejvíce počítačů, Windows se svým tržním podílem 90 % v domácích PC se přímo nabízejí. Ochranu proti této hrozbě však Windows samy o sobě nemají. Takové úkoly musí proto převzít přídavné programy, v tomto případě virové skenery. Vhodných programů je celá řada, ale my vám můžeme doporučit například bezplatný nástroj AntiVir Personal Edition (www.freeav.de). Jeho nevýhodou ale je, že v případě "zoo virů" (umělé viry naprogramované pro výzkumné účely) nedokáže s placenou konkurencí držet krok. Kdo chce mít úplnou jistotu, může si nainstalovat ještě software od PivX. Nástroj Qwik-Fix (www.pivx.com) jde novou cestou: ochrání váš počítač ještě dříve, než výrobce vydá nějakou záplatu. Dosáhne toho tak, že nebezpečí útoku znemožní už předem, například zablokováním napadnutelných portů. PivX je dosud v betafázi, zato ale zadarmo. ZABEZPEČENÍ PROHLÍŽEČE Ve Windows XP slouží jako prohlížeč Internet Explorer 6. Podrobili jsme ho speciálnímu "browser security testu" firmy scanit. Stejně jako u testu Qualys se ukázalo zcela jasně: bezpodmínečně instalovat všechny updaty! Teprve poté, co jsme tak uzavřeli všechny bezpečnostní mezery, neohlásil test už žádná místa možného napadení. Ani "problémové děti" ActiveX a VBS už nepředstavují žádné nebezpečí. Chcete-li se obrnit i proti budoucím útokům, měli byste deaktivovat ActiveX, Java a JavaScript a zapínat je jen v případě potřeby - přes tyto služby totiž útočníci působí největší škody. Za tím účelem otevřete Internet Explorer a pak v menu Nástroje klikněte na Možnosti Internetu. V následujícím okně zvolte záložku Zabezpečení a klikněte na Vlastní úroveň. Nyní pro Spouštět ovládací prvky ActiveX a moduly plug-in aktivujte volbu Dotázat se. Windows XP se pak u každého prvku ActiveX budou ptát, zde ho má Internet Explorer spustit. Totéž platí pro Javu; ve stejném okně pro ni zvolte nastavení Vysoké zabezpečení. BEZPEČNOST V POČÍTAČI Pod XP můžete každému uživateli zřídit jeho vlastní konto (účet, account). Na výběr jsou přitom dvě varianty: buď se všemi právy a plným přístupem ke všem funkcím operačního systému, nebo s omezenými právy. Uživatelé druhé kategorie pak sice mají mít možnost přistupovat k systému, ale nikoli instalovat software nebo měnit systémová nastavení. V praxi však správa uživatelů i přístup pomocí hesel vykazují některé slabiny. ZABEZPEČENÍ UŽIVATELSKÝCH KONT Ještě před nastartováním systému můžete nastavit vyžádání hesla již v BIOSu. V tom případě budou moci s počítačem pracovat jen ti uživatelé, kteří toto heslo znají. To se sice dá vyjmutím baterie základní desky vymazat, základní ochranu toto opatření však každopádně zajistí. Hesla uživatelských kont ukládají XP v podobě jejich tzv. hašovací hodnoty (podobné kontrolnímu součtu). Jakmile zadáte heslo, Windows z něj vypočítají hašovací hodnotu a porovnají ji s uloženou; pokud souhlasí, je vám povolen přístup k systému. Tyto hodnoty Windows ukládají do souboru SAM, který leží ve složce c:\windows\system32\config. Ale tak jednoduché, jak to zní, to bohužel zdaleka není: útočníci, kteří mají lokální přístup k systému, mohou pomocí několika jednoduchých nástrojů z internetu přepsat uloženou hašovací hodnotu vlastní hašovací hodnotou a tak se vetřít na místo některého z oprávněných uživatelů. Tak lze získat přístup k systému. Pomoc může zjednat EFS (Encrypting File System), považovaný za velmi bezpečný, který zašifruje souborový systém tak, aby na pevný disk "viděli" jen oprávnění uživatelé. Postupujte takto: Start | Spustit | syskey a stiskněte Enter. V následujícím dialogovém okně přejděte na Aktualizovat. Nejjistější cesta je dát si heslo vygenerovat systémem a pak si ho uložit na disketu; tu bude nutné zakládat při každém startu systému. ZAŠIFROVÁNÍ SLOŽEK Používáte-li XP Professional, můžete zašifrovat složky souborového systému NTFS. Klikněte na složku pravým tlačítkem myši a zvolte Vlastnosti. Pod Upřesnit jděte na Šifrovat obsah a zabezpečit tak data. Nyní jsou soubory ve složce chráněny 4096bitovým klíčem, a ani celý život by hackerovi nestačil na rozluštění jejich obsahu. Šifrování nepoužívá žádné heslo, ale velice bezpečný certifikát, který musí být v počítači instalován a slouží jako klíč. Jenom s ním se hacker může dostat k vašim datům. Certifikát proto exportujte a vymažte jej z pevného disku - teprve pak budou zašifrovaná data skutečně v bezpečí. Jak na to? V menu Start klikněte na Nastavení, pak na Ovládací panely a nakonec dvojitě klikněte na Možnosti Internetu: Na záložce Obsah zvolte Certifikáty. Klikněte na Exportovat a zvolte Další. Z voleb, které se objevily, aktivujte Ano, exportovat kořenový certifikát. Další okno můžete přeskočit pomocí Další. Nyní zadejte heslo. Jako místo pro uložení klíče byste měli nejprve použít pevný disk. Další hlášení potvrďte. Nyní se opět nacházíte v přehledu certifikátů. Zvolte Odstranit a dotaz potvrďte pomocí OK. Exportovaný klíč přesuňte z pevného disku na externí paměťové médium - třeba na disketu nebo na "USB disk". Určitě si však pořiďte kopii souboru, neboť neexistuje žádná možnost, jak se k datům dostat při ztrátě klíče. Chcete-li získat přístup k datům, importujte klíč z média (například dvojitým kliknutím na uložený soubor). Je to sice zdlouhavější, ale bezpečné. Po každé práci s Windows nezapomeňte certifikát z pevného disku zase vymazat, neboť systém přístupový klíč pokaždé znovu ukládá. AUTOMATICKÉ ZÁLOHOVÁNÍ Zálohovat kompletní datové nosiče nebo jen systémové soubory není pro XP žádný problém. Integrovaný zálohovací program se díky "pomocníkovi" obsluhuje velmi snadno. Zatímco si zálohujete svou "Windows partition", můžete bez citelné výkonnostní újmy dále pracovat; požadavek na zálohování se však dá provést i jako načasovaná úloha. Kdo se nechce zatěžovat regulérním zálohováním, tomu postačí zpětné zotavení systému. To po instalaci nastaví "bod obnovení", k němuž se můžete kdykoli vrátit. Jestliže tak třeba při zavádění systému začne vadit nový ovladač grafické karty, stiskem klávesy můžete obnovit původní konfiguraci. ZÁVĚR: JISTOTA JEN S UPDATY Překvapující výsledek našeho testu zní: Windows nejsou tak málo bezpečná, jak si mnozí myslí. Ale aby bezpečná opravdu byla, musíte jim dopřát kolem 50 MB různých "opravných prostředků". Je také škoda, že u systému, který je hlavním terčem všech virových záškodníků, stále ještě v instalačním balíku chybí nějaký virový skener. Kdo však svůj systém udržuje updaty v nejnovějším stavu, provádí automatické zálohování a zašifruje souborový systém, je s Windows XP v bezpečí. Jen ve správě uživatelů je však ještě nutno "sem tam" něco vylepšit. Fabian von Keudel, autor@chip.cz SuSE LINUX Uživatelé Linuxu hodně spoléhají na jeho bezpečnost, neboť viry ani červi se v tomto prostředí až dosud nijak zvlášť "neproslavili". Je však systém opravdu tak bezpečný, nebo prostě jen existuje málo škůdců, kteří by se postarali o patřičný rozruch? V zorné je v Linuxu zejména rozlišení mezi uživateli bez širších práv a administrátory, zděděné z Unixu. Viry a červi proto mohou využít jen omezených práv normálního uživatele a nezpůsobí větší škody. BEZPEČNOST NA INTERNETU V "nahém" SuSE Linuxu najde on-line test Qualysu (viz rámeček str. 25) daleko méně mezer než ve Windows, většinou v nejnižším rizikovém stupni. Tuto statistiku však updaty nezmění; teprve poté, co je integrovaný firewall aktivován manuálně, uzavře se deset dalších mezer. I tak jich však pět v nejnižším rizikovém stupni zůstane neodstraněno. INSTALACE BEZPEČNOSTNÍCH UPDATŮ Stejně jako pro Windows a Mac OS X lze updaty instalovat z internetu. Po instalaci se automatický update deaktivuje a teprve administrátor ho musí znovu "uvolnit". Toto nastavení můžete změnit: Nastartujte Yast a v modulu Software aktivujte volbu OnlineUpdate. V dalším okně zvolte Konfigurace Automatického Update a zaškrtněte Aktivovat automatický update. Nastavte čas pro každodenní update, své zadání potvrďte - a automatický update znovu běží. ZAPNUTÍ A NASTAVENÍ FIREWALLU Poněvadž firewall SuSE není aktivován automaticky, musíte to jako první akci zařídit sami. V konfiguračním manažeru Yast vyvolejte Bezpečnost a Uživatelé. Klikněte na Firewall a zvolte síťové rozhraní, které chcete chránit. Například u jednouživatelského počítače s DSL se příslušný interface jmenuje dsl0. Klikněte na Dále a všechna zaškrtávací políčka ponechte volná. Znovu zvolte Dále a pod Firewall-Features aktivujte jen položku Chránit všechny běžící služby. Provozovatelé serveru by měli navíc uvážit možnost filtrování požadavků ping. Za tím účelem je třeba upravit konfigurační soubor SuSEFirewall2 v adresáři /etc/sysconfig. Jako administrátor "Root" otevřete soubor nějakým editorem a hodnotu proměnné FW_ALLOW_PING_FW nastavte na No. Tak své "ochranné zdi" zakážete odpovídat na příkazy ping. KONFIGURACE PROHLÍŽEČE V SuSE Linuxu se jako webový browser standardně instaluje Konqueror, který také pracuje jako souborový manažer a FTP klient. Zaznamenali jsme u něj jednu kuriozitu - náš bezpečnostní test prohlížečů při prvním pokusu odepřel službu. Příčinou byla skutečnost, že Konqueror se hlásí jako Netscape 5. To lze změnit pomocí Nastavení / Konqueror - nastavení / Identifikace Browseru tak, že zrušíte zaškrtnutí u Zasílání značky. Test nenašel v Konqueroru ani jedinou bezpečnostní mezeru. Zkouška "CrossSite-Scripting" (vynucené přesměrování na jinou webovou stránku pomocí skriptu) však byla s chybovým hlášením předčasně ukončena. Java a JavaScript jsou aktivovány automaticky. Pokud se bez nich obejdete, bude nejlépe je vypnout: Jděte na Nastavení / Konqueror / Java&Javascript a zrušte zaškrtnutí u Java global a u Javascript global. "Nejisté" techniky Microsoftu ActiveX tento KDE prohlížeč neovládá. Naším tipem je nahradit standardní prohlížeč za Mozilla Firefox, který je stejně bezpečný, ale mnohem komfortnější. AKTIVACE ANTIVIROVÉ OCHRANY Pod Linuxem jsou digitální škůdci jen okrajová záležitost; ruský bezpečnostní expert Eugene Kaspersky je si však jist, že tomu tak je jen díky malé rozšířenosti tohoto systému. Ať tak či onak, skutečností je, že nebezpečné linuxové viry se prakticky nevyskytují. Virový skener ve standardní instalaci sice chybí, na rozdíl od Windows je však alespoň součástí dodávky. Na instalačních CD, resp. DVD od SuSE najdete antivirový program firmy H+BEDV. Po instalaci zadejte v "rootshellu" příkaz antivir - update. Software si pak aktuální virové signatury obstará na internetu. BEZPEČNOST V POČÍTAČI Při instalaci SuSE Linuxu musíte jako administrátor založit nejen "root account", ale také alespoň jeden účet normálního uživatele. Kdo se v grafickém uživatelském rozhraní přihlásí jako "Admin", spatří pro výstrahu ostře červenou pracovní plochu prošpikovanou bombami. Nejpozději teď musí být jasno: hrajete si s ohněm! V roli administrátora totiž pod Linuxem smíte skoro všechno měnit. SuSE odděluje "root" od uživatele velmi striktně -jakmile se normální uživatel pokusí v systému něco měnit, okamžitě vyskočivší okno už po něm chce příslušné heslo. ZABEZPEČENÍ UŽIVATELSKÝCH KONT Linux je víceuživatelský systém, což mj. znamená, že se každý z uživatelů musí explicitně přihlásit. Alespoň teoreticky, neboť pro prvního uživatele SuSE přichystal automatické přihlášení. Každý, kdo počítač zapne, se tak ke svým datům dostane - méně bezpečně už to snad ani nejde. Automatické přihlášení proto deaktivujte v modulu Uživatelská nastavení pod Bezpečnost a uživatelé. Zvolte automaticky založeného uživatele a klikněte na Nastavení pro experty. Poté klikněte na První přihlášení a zrušte zaškrtnutí u Automatické přihlášení. A nemělo by být aktivní ani Přihlášení bez hesla. ZAŠIFROVÁNÍ HESEL Zabezpečení pomocí hesel pod Linuxem se osvědčilo: hesla jsou kódována bezpečnostním algoritmem a uložena v souboru /etc/shadow, který je čitelný jen pro uživatele "Root". Také SuSE nabízí zašifrování hesel: Otevřete Yast modul Bezpečnost a uživatelé a přejděte do submenu Nastavení bezpečnosti. Pro jednouživatelské počítače s přístupem k internetu je vhodná bezpečnostní úroveň Level 1. Zaškrtněte příslušné políčko a klikněte na Ukončit. ZAŠIFROVÁNÍ SOUBOROVÉHO SYSTÉMU Šifrování patří u SuSE k věci. Už při instalaci se dají celé diskové oddíly vybavit souborovým kryptosystémem. Chcete-li používat souborový kryptosystém, musíte ho explicitně zapnout již při instalaci. Pozdější šifrování působí jako nové formátování a má za následek kompletní ztrátu dat! Soubory a adresáře můžete pod KDE zašifrovat pomocí KGpg (analogie PGP ve světě Windows). V kontextovém menu Konqueroru zvolte pod Akce položku Složky komprimovat a šifrovat. Jestliže jste dosud nezaložili potřebnou dvojici klíčů, budete nyní automaticky vyzváni, abyste tak učinili; celým procesem vás provede asistent. Pokud jste platné klíče už předem definovali, můžete je vybrat pomocí správy klíčů v KGpg. K dešifrování použijte heslo, které jste stanovili při definování klíčů. ZÁLOHOVÁNÍ Funkce pro zálohování a obnovení systému najdete v programu Yast pod nabídkou System. Zálohovací asistent ukládá systémové soubory podle přání buď lokálně na pevný disk, nebo na NTFS server. Při obnovování systému musíte jen zvolit záložní soubor, vše další zařídí systém. Příkladné je, že SuSE jednou denně automaticky ukládá kopii centrálního konfiguračního souboru RC.CONFIG. Yast však bohužel neumožňuje přizpůsobit automatické zálohy vašim potřebám. Kdo chce svůj systém zálohovat v pravidelných intervalech, musí si k tomu vytvořit tzv. cron-job - tak se označují procesy, které definují úlohy prováděné např. denně či týdně a které systém automaticky spouští. Chcete-li takovou úlohu provádět denně, uložte potřebný shell-skript do adresáře /etc/cron.daily - pak bude každý den automaticky zpracován. Kdy se tak stane, určuje soubor /etc/crontab. #!/bin/sh #Backup Artikel rsync av /home/joerg/artikel/ /backup/artikel/ ZÁVĚR: BEZPEČNOST ZA NĚKOLIK TRIKŮ Současné dilema Linuxu zní: Být dostatečně jednoduchý, aby přilákal začátečníky, a nebo být zcela "neprůstřelný". V případě SuSE jde uživatelský komfort na několika místech příliš daleko, standardní instalace není perfektně zabezpečena. Automatický "login" nebo předkonfigurace služby SSH (velmi bezpečný internetový nástroj v režimu příkazové řádky) mají v jinak bezpečném operačním systému za následek vznik napadnutelných míst. Podobně to platí pro vypnutý firewall. Updatům zase naopak trochu komfortu schází, např. automatický update je nutno nejprve zapnout. Předností SuSE je, že dodané CD obsahují všechny potřebné bezpečnostní nástroje. Ani "červí" epidemie není pod Linuxem žádné zvláštní téma - především díky důslednému oddělení administrátora od běžného uživatele. Joerg Geiger, autor@chip.cz MAC OS X Uživatelé Applu mají jednu jistotu: OS X je bezpečný. Docela to tak vypadá i podle výsledků našich testů. Ale takřka "v poslední vteřině" k nám dorazila zpráva, která potřebu rychlých záplat přinese i "mekistům". Základem Mac OS X je "Darwin", upravený Unix. Až dosud byl považován za bezpečný, avšak od té doby, co byl uveden "Panther" a nové jádro, vše může být jinak. Virová problematika se maců příliš netýká - nějakých pět procent tržního podílu Mac OS zřejmě hackerům nestojí za námahu. Dodnes je známo pouhých 30 virů, které tuto platformu až do verze 9.2.2 napadly, přičemž ani jeden pro verze s "X". BEZPEČNOST NA INTERNETU Příznivci nakousnutého jablíčka se mohou radovat: Už v nezáplatované instalaci najde náš test nejméně skulinek, všechny nejnižšího rizikového stupně. Po přizpůsobení firewallu už z nich přetrvají jen dvě, prakticky nevinné. INSTALACE BEZPEČNOSTNÍCH UPDATŮ Stejně jako Windows XP a SuSE Linux zavedl i Mac OS X automatickou aktualizaci softwaru. Ta pravidelně prověřuje, zda na applovských serverech existují updaty. Ty můžete přímo nainstalovat, nebo jen uložit; nepotřebné úpravy lze vynechat. Updaty instalované přes Softwarové Aktualizace jsou spravovány v centrálním log souboru. KONFIGURACE FIREWALLU Firewall je aktivován automaticky, což dokazují i dobré výsledky prvního testu. Bohužel se přes volbu Firewall takřka vůbec nedají změnit jeho nastavení: Předdefinovaná pravidla nemůžete dále přizpůsobovat, ani vlastními pravidly omezit služby firewallu na určitých počítačích a sítích (to lze pouze z příkazové řádky nebo pomocí 3rd party software.) Kromě toho zůstanou nepovšimnuty všechny UDP porty. Škoda, neboť BSD Packet Filter pro TCP, UDP, ICMP a IGMP je už prostřednictvím "ipfw" v Mac OS X obsažen. Apple však zřejmě chce zákazníkům nabídnout jen snadno konfigurovatelný firewall, který při vyvolání služeb jako Apple File Sharing a Windows Sharing automaticky zajistí přístup. Abyste mohli jednoduše prostřednictvím grafického uživatelského rozhraní konfigurovat také ipfw, potřebujete shareware BrickHouse (personalpages.tds.net/ ~brian_hill/brickhouse.html). Prostřednictvím něj také uzavřete čtyři z šesti mezer nalezených testem Qualys. Postup je snadný, po startu vás celou procedurou provede asistent. Kliknutím na "zámek" se musíte identifikovat jako administrátor. Zadejte typ svého připojení k internetu (Ethernet, DSL modem, normální modem) a způsob, jakým "přebíráte" své IP. Většinou se tak děje prostřednictvím poskytovatele dynamicky. Následující dialogová pole přeskočte a na závěr klikněte na Done. Nyní můžete firewall aktivovat a doplnit pravidla, např. pro uzavření obou dosud otevřených portů 514 a 1434. Za tím účelem klikněte na Add Filter a jako pravidlo Deny pro příchozí spojení doplňte UDP port 514. Totéž platí pro port 1434. Abyste systém ochránili před požadavky ping a traceroute, musíte tomu přizpůsobit příslušná pravidla. Klikněte na Advanced a deaktivujte Allow All ICMP Traffic a Allow FTP Data Port. Rovněž Allow Network Time deaktivujte. Uvažte však, že úpravy pravidel v oblasti ICMP mohou, v závislosti na poskytovateli, způsobit problémy při navazování spojení. Chcete-li nastavení zafixovat, klikněte na Apply, potom na Install a konečně na Save. ZABEZPEČENÍ PROHLÍŽEČE Apple dodává v rámci OS X internetový prohlížeč Safari, Internet Explorer od Microsoftu se už neinstaluje. V principu sází Apple na striktní deaktivaci všech nebezpečných služeb a povoluje je pouze tehdy, jestliže s tím uživatel výslovně souhlasí. Poněvadž pod Mac OS "nehrozí" ActiveX, v Safari byste pod Bezpečnost měli deaktivovat ještě Java a JavaScript. V naší zkoušce jsme Safari podrobili on-line testu při standardních nastaveních. Výsledek: bez závad - alespoň tomu tak bylo do května 2004. Pak byly objeveny závažné mezery. OCHRANA PROTI VIRŮM Je OS X v bezpečí před viry, červy a trojskými koňmi? Ještě ano. Avšak 8. dubna 2004 upozornila bezpečnostní firma Intego na jedno nebezpečí. Podle jejího vyjádření vyvinul jeden z programátorů pro testovací účely trojského koně "MP3Concept". V programu "iTunes", applovském "jukeboxu", nezpůsobí nakažený soubor žádné škody. Pokud ho však otevře Finder, virus odstartuje fingovaný útok. Jde přitom o "Proof of Concept" - tedy s neškodným průběhem. Příklad však ukazuje, že ani OS X není zcela mimo ohrožení. Za zmínku stojí jedině makroviry, které mohou napáchat škody také u "Office:mac". Stačí však jednoduše aktivovat makrovirovou ochranu ve "Wordu & Co". Pokud byste svému macu chtěli dopřát skutečný virový skener, nabízí se VirusBarrier firmy Intego. Více informací najdete na adrese www.intego.com/virusbarrier. BEZPEČNOST V POČÍTAČI Zrušit lokální přihlašovací hesla je v OS X bohužel ještě snadnější než ve Windows XP. Stačí založit instalační CD, počítač nastartovat a držet stisknutou klávesu "C" - a už může zlomyslný kolega všechna hesla "vynulovat". NASTAVENÍ FIRMWAROVÉHO HESLA Proto si pro jistotu zřiďte firmwarové heslo (analogie hesla pro BIOS ve světě "PC"). Předpokladem však je, že váš počítač má aktuální firmware (od verze 4.1.7). Chcete-li se o tom přesvědčit, klepněte v "jablíčkovém" menu na Tento Mac a potom na Další informace, čímž vyvoláte System-Profiler. V přehledu hardwaru najdete verzi firmwaru pod Verze Boot-ROM. Nyní založte první instalační CD a přepněte se do adresáře Applications/Utilities, vyvolejte nástroj "Open Firmware Password" a klikněte na Změnit. Autentizujte se svým administrátorským heslem, pak aktivujte Požadovat heslo a zadejte heslo firmwarové. POUŽITÍ BEZPEČNÝCH HESEL Lokální hesla ukládal Mac OS X až do verze 10.2 v adresářové službě Netinfo. Prostřednictvím ní bylo rozluštění hesel technicky možné, nikoliv však velmi snadné. Od verze 10.3 ukládá OS X hesla výhradně ve tvaru "Shadow-Password", takže jsou viditelná jen jako hvězdičky. Jejich načtení příkazem nidump passwd už tedy není možné. Ve verzi 10.3 jsou dovolena hesla o více než osmi znacích. Systémy, které byly z 10.2 na aktuální verzi "povýšeny" záplatami, mohou ještě obsahovat stará hašovaná hesla. Vyzkoušíte si to rovněž pomocí nidump passwd. Pokud byste hašované položky našli, změňte všechna hesla v systémovém nastavení Uživatelé. ZABEZPEČENÍ SPRÁVY UŽIVATELŮ OS X přiděluje přístupová práva třem typům uživatelů. Jsou jimi "standardní uživatel", "administrátor" a "Root". Standardní uživatel má přidělena individuální omezení a nemůže číst ani mazat domácí adresáře jiných uživatelů. Administrátor nesmí mazat žádné systémové soubory - to si smí dovolit pouze "Root". Díky tomu je správa uživatelů přinejmenším stejně bezpečná jako pod Linuxem. První uživatel, který je založen při instalaci, je automaticky administrátorem. Správa uživatelů se provádí centrálně prostřednictvím systémového nastavení Uživatelé. Pokud by byl symbol zámku zavřený, přihlaste se jako Administrátor. Aby však místní útočník nemohl poznat, kteří uživatelé jsou v systému založeni, vypněte také automatické přihlašování. Postupujte takto: Klikněte na Přihlašování - Vlastnosti, deaktivujte automatické přihlašování a přihlašovací dialogové pole změňte na Jméno a Heslo. Deaktivujte také volby Uspání, Restart a Vypnutí; to zabrání možnosti nově nastartovat počítač ve stavu přihlašování. Další nastavení proveďte pod Systémová nastavení / Bezpečnost. Zde zapnete ochranu heslem pro šetřič obrazovky a přístup administrátora ke všem systémovým nastavením, čímž vynutíte automatické odhlášení od systému v případě nečinnosti. ZAŠIFROVÁNÍ SOUBORŮ A SLOŽEK Pro zašifrování souborů nabízí OS X algoritmus OpenSSL. Aby se vám pracovalo snáze, můžete nasadit shareware "PuzzlePalace" (personalpages.tds.net/~brian_hill/puzzlepalace.html), jímž nakonfigurujete šifrovací algoritmy Blowfish Cipher, Triple DES, DEA, CAST nebo RC5, považované za zcela bezpečné. Zvolte tedy algoritmus, příslušný soubor přetáhněte na otevřený program a zadejte heslo. Pro mobilní počítače bude optimální program File Vault, který najdete pod Systémová nastavení / Bezpečnost. Symbol trezoru zde zastupuje 128bitové zašifrování home adresáře. Při přihlášení oprávněného uživatele je zašifrovaný home adresář otevřen a zůstane k dispozici po celou dobu "práce". Ostatní přihlášení uživatelé k této oblasti přístup nemají. Před použitím File Vault musíte nejprve nastavit hlavní heslo. Pak File Vault aktivujte, což způsobí automatické zašifrování home adresáře. Kopírování velkých datových objemů z home adresáře ovšem může vzhledem k jeho zašifrování trvat dosti dlouho. ZŘÍZENÍ AUTOMATICKÉHO ZÁLOHOVÁNÍ OS X nemá žádný nástroj, který by vytvářel záložní soubory automaticky. Můžete si však pořídit cron-job, který provádí v čase naplánované povely. K tomu se hodí freeware CronX 2.1. Po jeho nastartování klikněte v titulní liště na Nové. Zvolte Jednorázové a pod nabídkou Minuta, Hodina a Den stanovte časový okamžik startu. Backup nastartujete např. takto: ditto -rsrc /Users/admin/Volumes/HD2/BU/admin. V tomto případě bude home adresář uživatele admin uložen v partition HD2 do adresáře BU. ZAŠIFROVÁNÍ ZÁLOŽNÍCH SOUBORŮ Programy sloužící pro zálohu pevných disků umí zálohovat jejich oddíly (partitions), adresáře a soubory ve formě jejich "obrazu", tzv. image. Má to mj. tu výhodu, že image se dá 128bitově zašifrovat. Nástroj nastartujte pomocí /Programy/ Služby. Zvolte Images / Nové / Image. Pomocí prohlížeče souborů nyní označte adresář, který má být zálohován, a klikněte na Otevřít. Zadejte nějaké jméno a určete paměťové místo. Pak aktivujte zvolený image formát a šifrování. Klikněte na Zajistit, a proces se odstartuje. Image se také dá dvojitým kliknutím zahrnout do systému jako "mechanika". ZÁVĚR: AŽ DOSUD VELICE BEZPEČNÝ V "surovém stavu" je OS X zvenku skoro nenapadnutelný. Zato v lokální oblasti zejí otevřená vrata. Škoda, že zde Apple dělá příliš málo pro informování svých zákazníků o ochranných opatřeních. Vždyť většina bezpečnostních "dírek" se dá zalátat bez většího úsilí. K tomu Apple dodává nový Mac OS X "Panther" se smysluplnými bezpečnostními prostředky, mezi nimi software kategorie open-source. Kdo touží po ještě větší bezpečnosti, může si nahrát i několik freewarových nebo sharewarových nástrojů. Profesionálem tedy být nemusíte, znalosti Unixu se však hodit budou. Daniel Schmid, autor@chip.cz CELKOVÉ SHRNUTÍ WINDOWS, LINUX, APPLE: KTERÝ OS JE NEJBEZPEČNĚJŠÍ? Také se domníváte, že Windows nejsou bezpečná? Myslí si to mnozí - a mýlí se. Velkým překvapením našeho testu bylo, že tolik haněný operační systém Microsoftu dokázal, že je lepší než jeho pověst. Ale - a to znovu relativizuje náš výsledek - potřebuje k tomu hodně záplat a aktuální Service Pack 2. Bez nich Windows vykazují nejen nejvíce bezpečnostních mezer, ale také těch nejhorších; po updatech však všechny zmizí. Linux a Apple jsou sice "v krabicích" méně zranitelné, zato i po updatech v nich zůstane ještě pár mezírek otevřených. V čem tedy spočívají rozdíly? Pokud jde o viry, červy a trojské koně, jsou na tom nejhůře Windows XP. A příčina? Systém nemá vlastní virový skener a navíc je vzhledem ke své mimořádné rozšířenosti (na stolních počítačích kolem 90 %) primárním terčem všech hackerů. Také v oblasti lokální bezpečnosti Windows pokulhávají - zde se totiž téměř nedají konfigurovat. Jinak je tomu u Mac OS a SuSE Linuxu: u obou je sice zapotřebí trochu "ruční práce", ale pak jsou proti lokálním útokům chráněny zřetelně lépe. Doplňkovou ochranu zajistí zašifrovatelný souborový systém, ten však poskytuje pouze Linux. Apple i Windows mohou bez přídavného softwaru zašifrovat jenom složky a jednotlivé soubory. Všechny tři systémy přesvědčily propracovanými postupy aktualizace (updaty). Díky nim lze systém stále držet na nejnovějším stavu vývoje. V případě Windows je to dokonce nezbytně nutné, neboť redmondský systém zůstává hlavním cílem hackerů. Ale také Apple už měl starosti: nejnověji objevené bezpečnostní mezery jsou závažné a rychlý patch byl velmi nutný. Apple a Microsoft (jen s SP2) dnes sázejí na standardně aktivovaný firewall, u SuSE Linuxu je ho nejdříve nutné aktivovat manuálně. V POSLEDNÍ VTEŘINĚ NOVÁ MEZERA V OS X Po uzavření našich testů byla objevena závažná bezpečnostní mezera v OS X, která pod tímto systémem postihuje kromě Safari i všechny další prohlížeče. S touto mezerou dokáže útočník prostřednictvím "preparované" URL nahrát na pozadí image disku, který například může prostřednictvím skriptu vymazat kompletní home adresář, aniž by to uživatel zpozoroval. Apple sice dal k dispozici patch, ten však neodstranil všechny potíže. Skutečné bezpečí vám zajistí až nový systémový update. Částečně pomoci může i nástroj "Paranoid Android". Tento freeware se postará i o tzv. Help Viewer, který působí podobné problémy. Další informace najdete na www.unsanity.com/haxies/pa. VÝSLEDKY TESTU QUALYS-GUARD PROFESIONÁLNÍ BEZPEČNOSTNÍ TEST Aby Chip zajistil důkladné odzkoušení bezpečnosti operačních systémů, podrobil je ve spolupráci s experty amerického podniku Qualys obsáhlému online testu. Qualys je jednou z předních světových bezpečnostních firem ("Best Security Service 2004", SC Magazine Global Award) a čtvrtletně vypracuje kolem jednoho milionu bezpečnostních analýz; k zákazníkům firmy Qualys patří mimo jiné i vláda USA. Soukromým zákazníkům nabízí Qualys otestování zdarma (freescan.qualys.com), zaměřené na deset nejzávažnějších bezpečnostních děr. Profesionální testy jsou určeny jen pro podniky a jejich ceny představují pěticiferný obnos. Námi nasazená podniková verze testovacího programu od Qualysu hledá v systému počítače přes 3500 současně známých závažných bezpečnostních mezer. Test přitom pracuje s vynikající přesností - jeho chybovost je menší než 0,003 %. Testuje všechny relevantní bezpečnostní atributy počítače v oblasti internetové a on-line bezpečnosti. Mezery, které Qualys odhalí, rozděluje do pěti bezpečnostních stupňů: stupeň jedna značí nejmenší nebezpečí, stupeň pět znamená závažné bezpečnostní nedostatky systému. Základní test si můžete vyzkoušet sami na www stránkách firmy. Info: www.qualys.com Windows XP Prof. Podle Microsoftu si "nahá" Windows bez bezpečnostních oprav nainstalovalo jen minimum uživatelů - a to je dobře. Test Qualysu totiž odhalil celých 25 bezpečnostních trhlin, z toho pět dokonce v nejvyšším rizikovém stupni. Celkové riziko tak bezpečnostní firma hodnotí jako "extrémní ohrožení" (stupeň 5). Za nalezené nedostatky mohou převážně programátorské chyby v určitých službách Windows. Test tak například ukázal bezpečnostní mezeru v programu Windows Messenger, skrze něhož si útočník může zjednat přístup k systému. Seznam závad v testovacím protokolu však hodně zaplňují i četné bezpečnostní "drobnosti", způsobené pověstným přetečením bufferů. Těchto děr s oblibou využívají také současní červi jako Blaster nebo Sasser. Zbývající mezery se týkají - stejně jako v Linuxu - služeb, které vydávají "napospas" informace o počítači, třeba ICMP (Internet Control Message Protocol), přes nějž útočník mimo jiné může zjistit vašeho poskytovatele. Při tolika potenciálních možnostech napadení bylo po nahrání updatů a SP2 naše překvapení opravdu veliké: všechny doposud známé mezery jsou uzavřeny, žádná informace o počítači se ven nedostane - pro Microsoft zase po čase veliký plusový bod. SuSE LINUX 9.1 Prof. Rozšířené přesvědčení o naprosté bezpečnosti Linuxu trochu relativizuje standardní instalace od SuSE: Qualys objevil patnáct mezer, ovšem zdaleka ne tak riskantních jako ve Windows. Celkové riziko útoku ve stupni 3 považuje Qualys za středně těžké. Trhliny se týkají většinou jen služeb viditelných zvenčí. Jako body napadení připadají v úvahu pouze tehdy, když se chyby vyskytují v těchto službách. Jediná mezera stupně 3 postihla "Secure Shell" (SSH), který má na starosti bezpečné spojení. Tato verze OpenSSH obsahuje chybu, která útočníkům umožňuje přístup v případě přetečení bufferu. Za dvě další mezery (stupeň 2) mohou služba RPC a zprávy ICMP. Navenek viditelný je "Portmapper", který požadavky RPC dále předává systémovým službám. Pokud se útočníkovi podaří obejít ho a nějakou službu nastartovat, může získat přístup k systému Linux přes některý privilegovaný port. Nic na tom nezmění ani on-line update - teprve po manuální aktivaci firewallu se uzavře deset mezer. Stejně jako dříve reaguje SuSE na příkaz ping, jímž lze testovat, zda je počítač dosažitelný. Současně je možné pomocí příkazu traceroute sledovat cestu datových paketů. A konečně útočník dokáže prostřednictvím dotazu whois pod www.ripe.net/perl/whois zjistit, u kterého poskytovatele jste přihlášeni. MacOS 10.3.3. Po standardní instalaci Mac OS X nahlásí Qualys šest mezer v nejnižším rizikovém stupni - operační systém od Applu, alespoň "out of the box", je tak nejbezpečnějším systémem. Čtyři mezery se týkají oblasti získávání informací. Stejně jako Linux a Windows propouští i Mac OS požadavky ICMP, tedy i příkaz ping a odpověď, že některé porty jsou uzavřeny. Navíc je zvenčí možné příkazem traceroute zjistit cestu datového paketu a analyzovat informace příkazem whois. V oblasti TCP a UDP má Qualys námitky proti dvěma otevřeným UDP portům: 514 (syslog) a 1434 (ms-sql-m). Syslog se většinou používá pro síťová zařízení (rozbočovače, směrovače), port 1434 při autentizaci SQL. Ani jeden z nich však není nijak nebezpečný. Celkově tedy lze už se základní konfigurací surfovat na webu bez obav. Také tady updaty nic nezmění, neboť se týkají mj. oblastí AFP (Apple Filesharing Protocol), CUPS (tiskový systém), Mail, IPSec a OpenSSL. Teprve po přizpůsobení pravidel firewallu internímu BSD paketovému filtru "ipfw" ukáže Qualys už jen dva "prohřešky" stupně 1 - např. "Reachable Hostlist". Tak se lze dovědět, že váš mac je u poskytovatele zaregistrován prostřednictvím IP adresy a DNS jmen. SLOVNÍČEK NEBEZPEČNÉ SLUŽBY Řada bezpečnostních mezer souvisí se službami a protokoly. Zde jsou ty nejdůležitější: ICMP: Internet Control Message Protocol přenáší řídicí a chybové zprávy pro síťové protokoly IP, UDP a TCP; nejznámější ICMP zprávou je příkaz ping. Rozmanitost ICMP zpráv (cca 20) umožňuje útočníkům shromažďovat informace o systému prostým vysíláním odpovídajících paketů ICMP. RPC: Protokol Remote Procedure Call má za úkol spouštět funkce na jiných počítačích, např. při "Remote Computingu". UDP: Users Datagram Protocol je, stejně jako TCP, protokol pro komunikaci mezi počítači. A stejně jako TCP komunikuje i UDP přes internetový protokol (IP). TCP/IP: Internet Protocol (IP) data fragmentuje, adresuje a předává je. Na tomto protokolu je postaven Transmission Control Protocol (TCP), který se stará o řazení paketů ve správné posloupnosti a zajišťuje bezporuchovou komunikaci.