Jsou Mac OS a Linux skuteΦn∞ bezpeΦn∞jÜφ ne₧ Windows? Otestovali jsme "pancφ°e" vÜech t°φ systΘm∙ - a takΘ vßm ukß₧eme, jak bezpeΦnostnφ dφry, kterΘ jsme v nich objevili, m∙₧ete zacelit.
U₧ jen p°i vyslovenφ tΘto otßzky odbornφci utφkajφ a u₧ivatelΘ jednotliv²ch systΘm∙ ch°estφ zbran∞mi a zaklφnajφ se nejlepÜφm (tφm sv²m) systΘmem. Kter² z nich je doopravdy "nejlepÜφ", to se objektivn∞ zjistit nedß, ale jejich ·rove≥ bezpeΦnosti se pokusφme alespo≥ naznaΦit.
Asi jsme m∞li kolegy p°edem varovat: Kdykoli n∞kdo nastolφ "hamletovskou" otßzku o nejbezpeΦn∞jÜφm operaΦnφm systΘmu, odpov∞∩ - a¥ u₧ jakßkoliv - vyvolß bou°i nevole. Dopadlo to tak i po testovßnφ v institutu pro v²zkum trhu Forrester Research (www.forrester.com). Cel² rok tam v²zkumnφci porovnßvali bezpeΦnostnφ mezery, kterΘ se ve Windows a v r∙zn²ch distribucφch Linuxu objevily, a takΘ to, jak byly zßva₧nΘ. A v²sledek? Podle zmφn∞nΘho institutu dokßzal vÜechny zjiÜt∞nΘ nedostatky odstranit pouze Microsoft - a to navφc nejrychleji. V²robci r∙zn²ch derivßt∙ Linuxu, jako nap°. systΘm∙ SuSE, Red Hat, Mandrake a Debian, to zvlßdli "jen" asi na 99 % - p°i delÜφch reakΦnφch dobßch. Sotva byla studie v b°eznu 2004 zve°ejn∞na, sneslo se na ni krupobitφ kritiky od distributor∙ a p°φznivc∙ Linuxu, kte°φ praktick² u₧itek pou₧itΘ metodiky zpochyb≥ovali.
V∞d∞li jsme tedy, do Φeho se pouÜtφme - a p°esto jsme si troufli porovnßvat "hruÜky s jablky". Z ka₧dΘho ze t°φ soupe°φcφch poΦφtaΦov²ch sv∞t∙ jsme vybrali jednoho zßstupce a poslali jsme ho do naÜφ "stanice technickΘ kontroly": Windows XP Professional, SuSE Linux (nap°φklad v N∞mecku jedna z nejrozÜφ°en∞jÜφch distribucφ) ve verzi 9.1 Professional a Mac OS X 10.3.3. VÜechny t°i operaΦnφ systΘmy proÜly stejn²mi zkuÜebnφmi stupni.
Stupe≥ 1 - BezpeΦnost na internetu:
Ka₧d² operaΦnφ systΘm jsme nejprve nainstalovali "out of the box", tedy rovnou z krabice a bez jak²chkoli zßplat, a podrobili jsme jej on-line testu na serveru Qualys vytvo°enΘmu bezpeΦnostnφmi profesionßly. Tato tvrdß zkouÜka hledß v celΘm systΘmu znßmΘ "net∞snosti" - v souΦasnΘ dob∞ jich je p°es 3500 - a d∞lφ je do p∞ti stup≥∙ nebezpeΦnosti. ╚φm vyÜÜφ je stupe≥, tφm zßva₧n∞jÜφ je bezpeΦnostnφ mezera.
Potom jsme nahrßli vÜechny (k datu testu dostupnΘ) service packy, patche a updaty; pokud nebyl firewall zapnut automaticky, aktivovali jsme ho manußln∞. VÜechny t°i takto opravenΘ systΘmy jsme pak znovu "prohnali" zmφn∞n²m testem. Kompletnφ v²sledky testovßnφ a vÜechny podrobnosti zkuÜebnφho postupu najdete na stran∞ 25.
VÜechny t°i operaΦnφ systΘmy navφc nabφzejφ r∙znΘ prohlφ₧eΦe, kterΘ jsou rozdφln∞ p°edkonfigurovßny a pou₧φvajφ jinΘ techniky; ten linuxov² nap°φklad v∙bec neznß potencißln∞ nebezpeΦnΘ programovacφ jazyky jako ActiveX a Visual Basicu Skript (VBS). Browsery, kterΘ zvlßÜt∞ inklinujφ k roli "brßny pro internet", jsme proto extra nechali projφt "prohlφ₧eΦov²m" testem bezpeΦnostnφho specialisty scanit (bcheck.scanit.be/bcheck). Tato zkouÜka mimo jinΘ odhalφ, zda program akceptuje Javu, JavaScript, ActiveX nebo p°esm∞rovßnφ na jinΘ domΘny.
Stupe≥ 2 - Manußlnφ "ucpßnφ d∞r":
Pokud vzdor zßplatßm a updat∙m bezpeΦnostnφ mezery nadßle existovaly, a¥ u₧ v prohlφ₧eΦi, Φi v operaΦnφm systΘmu, pokusili jsme se je zacelit dostupn²mi "palubnφmi" prost°edky vlastnoruΦn∞. Kde to nestaΦilo, uvßdφme pou₧itΘ nßstroje.
Stupe≥ 3 - BezpeΦnost v poΦφtaΦi:
Ne vÜechna nebezpeΦφ "p°ichßzejφ" z internetu. ╚asto sedφ Üpion takΘ vedle v kancelß°i. Proto jsme si vzali pod lupu takΘ bezpeΦnostnφ strategie naÜich t°φ operaΦnφch systΘm∙ na lokßlnφ ·rovni. Jak snadno se z nich dajφ "vypßΦit" p°ihlaÜovacφ hesla a jak dob°e jsou zaÜifrovßna? I sprßva u₧ivatel∙ a p°id∞lovßnφ p°φstupov²ch prßv hrajφ d∙le₧itou roli: jakΘ mo₧nosti majφ nap°φklad administrßto°i pro zp°φstupn∞nφ diskov²ch oblastφ jen urΦit²m skupinßm u₧ivatel∙? K zabezpeΦenφ dat takΘ p°ispφvajφ u₧ivatelsky p°φjemnΘ koncepty zßlohovßnφ.
Tφmto zp∙sobem naÜe t°φstup≥ovß "technickß prohlφdka" ukßzala silnΘ i slabΘ strßnky trojice operaΦnφch systΘm∙. Krom∞ nich vßm vÜak takΘ p°esn∞ vysv∞tlφme, jak si ze svΘho operaΦnφho systΘmu m∙₧ete vybudovat opravdovou pevnost.
Windows XP
Microsoft to s Windows opravdu nemß lehkΘ - snad denn∞ letφ po internetu zprßvy o nov²ch bezpeΦnostnφch mezerßch. Co je pravdy na p°edsudku o mßlo bezpeΦnΘm operaΦnφm systΘmu - a jak lze dφry zacelit?
Je logickΘ, ₧e nejrozÜφ°en∞jÜφ operaΦnφ systΘm p°itahuje v∞tÜinu hacker∙ a virov²ch programßtor∙. V₧dy¥ kdo se zam∞°φ na mezeru ve Windows, napßchß takΘ nejv∞tÜφ Ükody.
BEZPE╚NOST NA INTERNETU
"Out of the box" to pro Windows XP v∙bec nevypadß dob°e. Test na serveru Qualys (viz rßmeΦek) odhalφ 25 bezpeΦnostnφch d∞r, mnohem vφce ne₧ u SuSE Linuxu i Mac OS X, z toho dokonce p∞t v nejvyÜÜφch rizikov²ch stupnφch. Ale Microsoft se sv²m opravn²m balφΦkem Servis Pack 2 (SP2) a aktußlnφmi zßplatami si umφ zjednat nßpravu - po jejich instalaci projdou Windows XP testem "bez ztrßty kv∞tinky". Bez aktußlnφho updatu byste se tedy na web rad∞ji nem∞li odvß₧it.
INSTALACE BEZPE╚NOSTN═CH UPDAT┘
Nenφ nutnΘ dennodenn∞ pßtrat po nov²ch updatech - jejich sbφrku vystavujφ redmondÜtφ "opravß°i" ka₧dΘ druhΘ ·ter² v m∞sφci na internetu. Odtud si ji m∙₧ete stßhnout bu∩ manußln∞ (windowsupdate.microsoft.com), nebo p°es aktualizaΦnφ modul integrovan² ve Windows XP. Jeho automatiku lze nakonfigurovat tak, ₧e si vßÜ systΘm vÜechny novΘ opravy stßhne a nainstaluje sßm.
AUTOMATICKY AKTIVOVAN▌ FIREWALL
Po instalaci SP2 je samoΦinn∞ zapnut firewall a chrßnφ tak vÜechny d∙le₧itΘ sφ¥ovΘ a telekomunikaΦnφ spoje. SystΘm pak kompletn∞ blokuje vÜechny pakety ICMP, nap°. i p°φkaz ping. Dφky tomu jste na internetu prakticky neviditelnφ: vÜechny po₧adavky potencißlnφch ·toΦnφk∙ na vßÜ poΦφtaΦ poÜle systΘm do "datovΘ nirvßny". Äßdnß dalÜφ nastavenφ nejsou nutnß, vÜe je optimßln∞ nakonfigurovßno. A pokud by ten Φi onen program, t°eba v²m∞nnß burza, p°ece jen po₧adoval n∞jak² port, Windows se automaticky zeptajφ, zda jej sm∞jφ otev°φt.
INSTALACE ZVL┴èTN═ ANTIVIROV╔ OCHRANY
Auto°i vir∙ u₧ se na Windows "zast°φleli": podle v²robce antivir∙ Sophos bylo v roce 2003 vφce vir∙ a Φerv∙ ne₧ kdykoli p°edtφm - tendence je tedy stoupajφcφ. Pon∞vad₧ "cti₧ßdostφ" virov²ch autor∙ je zasßhnout co nejvφce poΦφtaΦ∙, Windows se sv²m tr₧nφm podφlem 90 % v domßcφch PC se p°φmo nabφzejφ. Ochranu proti tΘto hrozb∞ vÜak Windows samy o sob∞ nemajφ. TakovΘ ·koly musφ proto p°evzφt p°φdavnΘ programy, v tomto p°φpad∞ virovΘ skenery. Vhodn²ch program∙ je celß °ada, ale my vßm m∙₧eme doporuΦit nap°φklad bezplatn² nßstroj AntiVir Personal Edition (www.freeav.de). Jeho nev²hodou ale je, ₧e v p°φpad∞ "zoo vir∙" (um∞lΘ viry naprogramovanΘ pro v²zkumnΘ ·Φely) nedokß₧e s placenou konkurencφ dr₧et krok.
Kdo chce mφt ·plnou jistotu, m∙₧e si nainstalovat jeÜt∞ software od PivX. Nßstroj Qwik-Fix (www.pivx.com) jde novou cestou: ochrßnφ vßÜ poΦφtaΦ jeÜt∞ d°φve, ne₧ v²robce vydß n∞jakou zßplatu. Dosßhne toho tak, ₧e nebezpeΦφ ·toku znemo₧nφ u₧ p°edem, nap°φklad zablokovßnφm napadnuteln²ch port∙. PivX je dosud v betafßzi, zato ale zadarmo.
ZABEZPE╚EN═ PROHL═ÄE╚E
Ve Windows XP slou₧φ jako prohlφ₧eΦ Internet Explorer 6. Podrobili jsme ho specißlnφmu "browser security testu" firmy scanit. Stejn∞ jako u testu Qualys se ukßzalo zcela jasn∞: bezpodmφneΦn∞ instalovat vÜechny updaty! Teprve potΘ, co jsme tak uzav°eli vÜechny bezpeΦnostnφ mezery, neohlßsil test u₧ ₧ßdnß mφsta mo₧nΘho napadenφ. Ani "problΘmovΘ d∞ti" ActiveX a VBS u₧ nep°edstavujφ ₧ßdnΘ nebezpeΦφ.
Chcete-li se obrnit i proti budoucφm ·tok∙m, m∞li byste deaktivovat ActiveX, Java a JavaScript a zapφnat je jen v p°φpad∞ pot°eby - p°es tyto slu₧by toti₧ ·toΦnφci p∙sobφ nejv∞tÜφ Ükody. Za tφm ·Φelem otev°ete Internet Explorer a pak v menu Nßstroje klikn∞te na Mo₧nosti Internetu. V nßsledujφcφm okn∞ zvolte zßlo₧ku ZabezpeΦenφ a klikn∞te na Vlastnφ ·rove≥. Nynφ pro SpouÜt∞t ovlßdacφ prvky ActiveX a moduly plug-in aktivujte volbu Dotßzat se. Windows XP se pak u ka₧dΘho prvku ActiveX budou ptßt, zde ho mß Internet Explorer spustit. TotΘ₧ platφ pro Javu; ve stejnΘm okn∞ pro ni zvolte nastavenφ VysokΘ zabezpeΦenφ.
BEZPE╚NOST V PO╚═TA╚I
Pod XP m∙₧ete ka₧dΘmu u₧ivateli z°φdit jeho vlastnφ konto (·Φet, account). Na v²b∞r jsou p°itom dv∞ varianty: bu∩ se vÜemi prßvy a pln²m p°φstupem ke vÜem funkcφm operaΦnφho systΘmu, nebo s omezen²mi prßvy. U₧ivatelΘ druhΘ kategorie pak sice majφ mφt mo₧nost p°istupovat k systΘmu, ale nikoli instalovat software nebo m∞nit systΘmovß nastavenφ. V praxi vÜak sprßva u₧ivatel∙ i p°φstup pomocφ hesel vykazujφ n∞kterΘ slabiny.
ZABEZPE╚EN═ UÄIVATELSK▌CH KONT
JeÜt∞ p°ed nastartovßnφm systΘmu m∙₧ete nastavit vy₧ßdßnφ hesla ji₧ v BIOSu. V tom p°φpad∞ budou moci s poΦφtaΦem pracovat jen ti u₧ivatelΘ, kte°φ toto heslo znajφ. To se sice dß vyjmutφm baterie zßkladnφ desky vymazat, zßkladnφ ochranu toto opat°enφ vÜak ka₧dopßdn∞ zajistφ.
Hesla u₧ivatelsk²ch kont uklßdajφ XP v podob∞ jejich tzv. haÜovacφ hodnoty (podobnΘ kontrolnφmu souΦtu). Jakmile zadßte heslo, Windows z n∞j vypoΦφtajφ haÜovacφ hodnotu a porovnajφ ji s ulo₧enou; pokud souhlasφ, je vßm povolen p°φstup k systΘmu. Tyto hodnoty Windows uklßdajφ do souboru SAM, kter² le₧φ ve slo₧ce c:\windows\system32\config. Ale tak jednoduchΘ, jak to znφ, to bohu₧el zdaleka nenφ: ·toΦnφci, kte°φ majφ lokßlnφ p°φstup k systΘmu, mohou pomocφ n∞kolika jednoduch²ch nßstroj∙ z internetu p°epsat ulo₧enou haÜovacφ hodnotu vlastnφ haÜovacφ hodnotou a tak se vet°φt na mφsto n∞kterΘho z oprßvn∞n²ch u₧ivatel∙. Tak lze zφskat p°φstup k systΘmu.
Pomoc m∙₧e zjednat EFS (Encrypting File System), pova₧ovan² za velmi bezpeΦn², kter² zaÜifruje souborov² systΘm tak, aby na pevn² disk "vid∞li" jen oprßvn∞nφ u₧ivatelΘ. Postupujte takto: Start | Spustit | syskey a stiskn∞te Enter. V nßsledujφcφm dialogovΘm okn∞ p°ejd∞te na Aktualizovat. Nejjist∞jÜφ cesta je dßt si heslo vygenerovat systΘmem a pak si ho ulo₧it na disketu; tu bude nutnΘ zaklßdat p°i ka₧dΘm startu systΘmu.
ZAèIFROV┴N═ SLOÄEK
Pou₧φvßte-li XP Professional, m∙₧ete zaÜifrovat slo₧ky souborovΘho systΘmu NTFS. Klikn∞te na slo₧ku prav²m tlaΦφtkem myÜi a zvolte Vlastnosti. Pod Up°esnit jd∞te na èifrovat obsah a zabezpeΦit tak data. Nynφ jsou soubory ve slo₧ce chrßn∞ny 4096bitov²m klφΦem, a ani cel² ₧ivot by hackerovi nestaΦil na rozluÜt∞nφ jejich obsahu.
èifrovßnφ nepou₧φvß ₧ßdnΘ heslo, ale velice bezpeΦn² certifikßt, kter² musφ b²t v poΦφtaΦi instalovßn a slou₧φ jako klφΦ. Jenom s nφm se hacker m∙₧e dostat k vaÜim dat∙m. Certifikßt proto exportujte a vyma₧te jej z pevnΘho disku - teprve pak budou zaÜifrovanß data skuteΦn∞ v bezpeΦφ. Jak na to? V menu Start klikn∞te na Nastavenφ, pak na Ovlßdacφ panely a nakonec dvojit∞ klikn∞te na Mo₧nosti Internetu: Na zßlo₧ce Obsah zvolte Certifikßty. Klikn∞te na Exportovat a zvolte DalÜφ. Z voleb, kterΘ se objevily, aktivujte Ano, exportovat ko°enov² certifikßt. DalÜφ okno m∙₧ete p°eskoΦit pomocφ DalÜφ. Nynφ zadejte heslo. Jako mφsto pro ulo₧enφ klφΦe byste m∞li nejprve pou₧φt pevn² disk. DalÜφ hlßÜenφ potvr∩te. Nynφ se op∞t nachßzφte v p°ehledu certifikßt∙. Zvolte Odstranit a dotaz potvr∩te pomocφ OK. Exportovan² klφΦ p°esu≥te z pevnΘho disku na externφ pam∞¥ovΘ mΘdium - t°eba na disketu nebo na "USB disk". UrΦit∞ si vÜak po°i∩te kopii souboru, nebo¥ neexistuje ₧ßdnß mo₧nost, jak se k dat∙m dostat p°i ztrßt∞ klφΦe. Chcete-li zφskat p°φstup k dat∙m, importujte klφΦ z mΘdia (nap°φklad dvojit²m kliknutφm na ulo₧en² soubor). Je to sice zdlouhav∞jÜφ, ale bezpeΦnΘ. Po ka₧dΘ prßci s Windows nezapome≥te certifikßt z pevnΘho disku zase vymazat, nebo¥ systΘm p°φstupov² klφΦ poka₧dΘ znovu uklßdß.
AUTOMATICK╔ Z┴LOHOV┴N═
Zßlohovat kompletnφ datovΘ nosiΦe nebo jen systΘmovΘ soubory nenφ pro XP ₧ßdn² problΘm. Integrovan² zßlohovacφ program se dφky "pomocnφkovi" obsluhuje velmi snadno. Zatφmco si zßlohujete svou "Windows partition", m∙₧ete bez citelnΘ v²konnostnφ ·jmy dßle pracovat; po₧adavek na zßlohovßnφ se vÜak dß provΘst i jako naΦasovanß ·loha. Kdo se nechce zat∞₧ovat regulΘrnφm zßlohovßnφm, tomu postaΦφ zp∞tnΘ zotavenφ systΘmu. To po instalaci nastavφ "bod obnovenφ", k n∞mu₧ se m∙₧ete kdykoli vrßtit. Jestli₧e tak t°eba p°i zavßd∞nφ systΘmu zaΦne vadit nov² ovladaΦ grafickΘ karty, stiskem klßvesy m∙₧ete obnovit p∙vodnφ konfiguraci.
Z┴V╠R: JISTOTA JEN S UPDATY
P°ekvapujφcφ v²sledek naÜeho testu znφ: Windows nejsou tak mßlo bezpeΦnß, jak si mnozφ myslφ. Ale aby bezpeΦnß opravdu byla, musφte jim dop°ßt kolem 50 MB r∙zn²ch "opravn²ch prost°edk∙". Je takΘ Ükoda, ₧e u systΘmu, kter² je hlavnφm terΦem vÜech virov²ch zßÜkodnφk∙, stßle jeÜt∞ v instalaΦnφm balφku chybφ n∞jak² virov² skener.
Kdo vÜak sv∙j systΘm udr₧uje updaty v nejnov∞jÜφm stavu, provßdφ automatickΘ zßlohovßnφ a zaÜifruje souborov² systΘm, je s Windows XP v bezpeΦφ. Jen ve sprßv∞ u₧ivatel∙ je vÜak jeÜt∞ nutno "sem tam" n∞co vylepÜit.
Fabian von Keudel, autor@chip.cz
SuSE LINUX
U₧ivatelΘ Linuxu hodn∞ spolΘhajφ na jeho bezpeΦnost, nebo¥ viry ani Φervi se v tomto prost°edφ a₧ dosud nijak zvlßÜ¥ "neproslavili". Je vÜak systΘm opravdu tak bezpeΦn², nebo prost∞ jen existuje mßlo Ük∙dc∙, kte°φ by se postarali o pat°iΦn² rozruch?
V zornΘ je v Linuxu zejmΘna rozliÜenφ mezi u₧ivateli bez ÜirÜφch prßv a administrßtory, zd∞d∞nΘ z Unixu. Viry a Φervi proto mohou vyu₧φt jen omezen²ch prßv normßlnφho u₧ivatele a nezp∙sobφ v∞tÜφ Ükody.
BEZPE╚NOST NA INTERNETU
V "nahΘm" SuSE Linuxu najde on-line test Qualysu (viz rßmeΦek str. 25) daleko mΘn∞ mezer ne₧ ve Windows, v∞tÜinou v nejni₧Üφm rizikovΘm stupni. Tuto statistiku vÜak updaty nezm∞nφ; teprve potΘ, co je integrovan² firewall aktivovßn manußln∞, uzav°e se deset dalÜφch mezer. I tak jich vÜak p∞t v nejni₧Üφm rizikovΘm stupni z∙stane neodstran∞no.
INSTALACE BEZPE╚NOSTN═CH UPDAT┘
Stejn∞ jako pro Windows a Mac OS X lze updaty instalovat z internetu. Po instalaci se automatick² update deaktivuje a teprve administrßtor ho musφ znovu "uvolnit". Toto nastavenφ m∙₧ete zm∞nit: Nastartujte Yast a v modulu Software aktivujte volbu OnlineUpdate. V dalÜφm okn∞ zvolte Konfigurace AutomatickΘho Update a zaÜkrtn∞te Aktivovat automatick² update. Nastavte Φas pro ka₧dodennφ update, svΘ zadßnφ potvr∩te - a automatick² update znovu b∞₧φ.
ZAPNUT═ A NASTAVEN═ FIREWALLU
Pon∞vad₧ firewall SuSE nenφ aktivovßn automaticky, musφte to jako prvnφ akci za°φdit sami. V konfiguraΦnφm mana₧eru Yast vyvolejte BezpeΦnost a U₧ivatelΘ. Klikn∞te na Firewall a zvolte sφ¥ovΘ rozhranφ, kterΘ chcete chrßnit. Nap°φklad u jednou₧ivatelskΘho poΦφtaΦe s DSL se p°φsluÜn² interface jmenuje dsl0. Klikn∞te na Dßle a vÜechna zaÜkrtßvacφ polφΦka ponechte volnß. Znovu zvolte Dßle a pod Firewall-Features aktivujte jen polo₧ku Chrßnit vÜechny b∞₧φcφ slu₧by.
ProvozovatelΘ serveru by m∞li navφc uvß₧it mo₧nost filtrovßnφ po₧adavk∙ ping. Za tφm ·Φelem je t°eba upravit konfiguraΦnφ soubor SuSEFirewall2 v adresß°i /etc/sysconfig. Jako administrßtor "Root" otev°ete soubor n∞jak²m editorem a hodnotu prom∞nnΘ FW_ALLOW_PING_FW nastavte na No. Tak svΘ "ochrannΘ zdi" zakß₧ete odpovφdat na p°φkazy ping.
KONFIGURACE PROHL═ÄE╚E
V SuSE Linuxu se jako webov² browser standardn∞ instaluje Konqueror, kter² takΘ pracuje jako souborov² mana₧er a FTP klient. Zaznamenali jsme u n∞j jednu kuriozitu - nßÜ bezpeΦnostnφ test prohlφ₧eΦ∙ p°i prvnφm pokusu odep°el slu₧bu. P°φΦinou byla skuteΦnost, ₧e Konqueror se hlßsφ jako Netscape 5. To lze zm∞nit pomocφ Nastavenφ / Konqueror - nastavenφ / Identifikace Browseru tak, ₧e zruÜφte zaÜkrtnutφ u Zasφlßnφ znaΦky.
Test nenaÜel v Konqueroru ani jedinou bezpeΦnostnφ mezeru. ZkouÜka "CrossSite-Scripting" (vynucenΘ p°esm∞rovßnφ na jinou webovou strßnku pomocφ skriptu) vÜak byla s chybov²m hlßÜenφm p°edΦasn∞ ukonΦena.
Java a JavaScript jsou aktivovßny automaticky. Pokud se bez nich obejdete, bude nejlΘpe je vypnout: Jd∞te na Nastavenφ / Konqueror / Java&Javascript a zruÜte zaÜkrtnutφ u Java global a u Javascript global. "NejistΘ" techniky Microsoftu ActiveX tento KDE prohlφ₧eΦ neovlßdß. NaÜφm tipem je nahradit standardnφ prohlφ₧eΦ za Mozilla Firefox, kter² je stejn∞ bezpeΦn², ale mnohem komfortn∞jÜφ.
AKTIVACE ANTIVIROV╔ OCHRANY
Pod Linuxem jsou digitßlnφ Ük∙dci jen okrajovß zßle₧itost; rusk² bezpeΦnostnφ expert Eugene Kaspersky je si vÜak jist, ₧e tomu tak je jen dφky malΘ rozÜφ°enosti tohoto systΘmu. A¥ tak Φi onak, skuteΦnostφ je, ₧e nebezpeΦnΘ linuxovΘ viry se prakticky nevyskytujφ.
Virov² skener ve standardnφ instalaci sice chybφ, na rozdφl od Windows je vÜak alespo≥ souΦßstφ dodßvky. Na instalaΦnφch CD, resp. DVD od SuSE najdete antivirov² program firmy H+BEDV. Po instalaci zadejte v "rootshellu" p°φkaz antivir - update. Software si pak aktußlnφ virovΘ signatury obstarß na internetu.
BEZPE╚NOST V PO╚═TA╚I
P°i instalaci SuSE Linuxu musφte jako administrßtor zalo₧it nejen "root account", ale takΘ alespo≥ jeden ·Φet normßlnφho u₧ivatele. Kdo se v grafickΘm u₧ivatelskΘm rozhranφ p°ihlßsφ jako "Admin", spat°φ pro v²strahu ost°e Φervenou pracovnφ plochu proÜpikovanou bombami. Nejpozd∞ji te∩ musφ b²t jasno: hrajete si s ohn∞m! V roli administrßtora toti₧ pod Linuxem smφte skoro vÜechno m∞nit. SuSE odd∞luje "root" od u₧ivatele velmi striktn∞ -jakmile se normßlnφ u₧ivatel pokusφ v systΘmu n∞co m∞nit, okam₧it∞ vyskoΦivÜφ okno u₧ po n∞m chce p°φsluÜnΘ heslo.
ZABEZPE╚EN═ UÄIVATELSK▌CH KONT
Linux je vφceu₧ivatelsk² systΘm, co₧ mj. znamenß, ₧e se ka₧d² z u₧ivatel∙ musφ explicitn∞ p°ihlßsit. Alespo≥ teoreticky, nebo¥ pro prvnφho u₧ivatele SuSE p°ichystal automatickΘ p°ihlßÜenφ. Ka₧d², kdo poΦφtaΦ zapne, se tak ke sv²m dat∙m dostane - mΘn∞ bezpeΦn∞ u₧ to snad ani nejde. AutomatickΘ p°ihlßÜenφ proto deaktivujte v modulu U₧ivatelskß nastavenφ pod BezpeΦnost a u₧ivatelΘ. Zvolte automaticky zalo₧enΘho u₧ivatele a klikn∞te na Nastavenφ pro experty. PotΘ klikn∞te na Prvnφ p°ihlßÜenφ a zruÜte zaÜkrtnutφ u AutomatickΘ p°ihlßÜenφ. A nem∞lo by b²t aktivnφ ani P°ihlßÜenφ bez hesla.
ZAèIFROV┴N═ HESEL
ZabezpeΦenφ pomocφ hesel pod Linuxem se osv∞dΦilo: hesla jsou k≤dovßna bezpeΦnostnφm algoritmem a ulo₧ena v souboru /etc/shadow, kter² je Φiteln² jen pro u₧ivatele "Root". TakΘ SuSE nabφzφ zaÜifrovßnφ hesel: Otev°ete Yast modul BezpeΦnost a u₧ivatelΘ a p°ejd∞te do submenu Nastavenφ bezpeΦnosti. Pro jednou₧ivatelskΘ poΦφtaΦe s p°φstupem k internetu je vhodnß bezpeΦnostnφ ·rove≥ Level 1. ZaÜkrtn∞te p°φsluÜnΘ polφΦko a klikn∞te na UkonΦit.
ZAèIFROV┴N═ SOUBOROV╔HO SYST╔MU
èifrovßnφ pat°φ u SuSE k v∞ci. U₧ p°i instalaci se dajφ celΘ diskovΘ oddφly vybavit souborov²m kryptosystΘmem.
Chcete-li pou₧φvat souborov² kryptosystΘm, musφte ho explicitn∞ zapnout ji₧ p°i instalaci. Pozd∞jÜφ Üifrovßnφ p∙sobφ jako novΘ formßtovßnφ a mß za nßsledek kompletnφ ztrßtu dat!
Soubory a adresß°e m∙₧ete pod KDE zaÜifrovat pomocφ KGpg (analogie PGP ve sv∞t∞ Windows). V kontextovΘm menu Konqueroru zvolte pod Akce polo₧ku Slo₧ky komprimovat a Üifrovat. Jestli₧e jste dosud nezalo₧ili pot°ebnou dvojici klφΦ∙, budete nynφ automaticky vyzvßni, abyste tak uΦinili; cel²m procesem vßs provede asistent. Pokud jste platnΘ klφΦe u₧ p°edem definovali, m∙₧ete je vybrat pomocφ sprßvy klφΦ∙ v KGpg. K deÜifrovßnφ pou₧ijte heslo, kterΘ jste stanovili p°i definovßnφ klφΦ∙.
Z┴LOHOV┴N═
Funkce pro zßlohovßnφ a obnovenφ systΘmu najdete v programu Yast pod nabφdkou System. Zßlohovacφ asistent uklßdß systΘmovΘ soubory podle p°ßnφ bu∩ lokßln∞ na pevn² disk, nebo na NTFS server. P°i obnovovßnφ systΘmu musφte jen zvolit zßlo₧nφ soubor, vÜe dalÜφ za°φdφ systΘm. P°φkladnΘ je, ₧e SuSE jednou denn∞ automaticky uklßdß kopii centrßlnφho konfiguraΦnφho souboru RC.CONFIG.
Yast vÜak bohu₧el neumo₧≥uje p°izp∙sobit automatickΘ zßlohy vaÜim pot°ebßm. Kdo chce sv∙j systΘm zßlohovat v pravideln²ch intervalech, musφ si k tomu vytvo°it tzv. cron-job - tak se oznaΦujφ procesy, kterΘ definujφ ·lohy provßd∞nΘ nap°. denn∞ Φi t²dn∞ a kterΘ systΘm automaticky spouÜtφ. Chcete-li takovou ·lohu provßd∞t denn∞, ulo₧te pot°ebn² shell-skript do adresß°e /etc/cron.daily - pak bude ka₧d² den automaticky zpracovßn. Kdy se tak stane, urΦuje soubor /etc/crontab.
#!/bin/sh #Backup Artikel rsync av /home/joerg/artikel/ /backup/artikel/
Z┴V╠R: BEZPE╚NOST ZA N╠KOLIK TRIK┘
SouΦasnΘ dilema Linuxu znφ: B²t dostateΦn∞ jednoduch², aby p°ilßkal zaΦßteΦnφky, a nebo b²t zcela "nepr∙st°eln²". V p°φpad∞ SuSE jde u₧ivatelsk² komfort na n∞kolika mφstech p°φliÜ daleko, standardnφ instalace nenφ perfektn∞ zabezpeΦena. Automatick² "login" nebo p°edkonfigurace slu₧by SSH (velmi bezpeΦn² internetov² nßstroj v re₧imu p°φkazovΘ °ßdky) majφ v jinak bezpeΦnΘm operaΦnφm systΘmu za nßsledek vznik napadnuteln²ch mφst. Podobn∞ to platφ pro vypnut² firewall. Updat∙m zase naopak trochu komfortu schßzφ, nap°. automatick² update je nutno nejprve zapnout. P°ednostφ SuSE je, ₧e dodanΘ CD obsahujφ vÜechny pot°ebnΘ bezpeΦnostnφ nßstroje. Ani "Φervφ" epidemie nenφ pod Linuxem ₧ßdnΘ zvlßÜtnφ tΘma - p°edevÜφm dφky d∙slednΘmu odd∞lenφ administrßtora od b∞₧nΘho u₧ivatele.
Joerg Geiger, autor@chip.cz
MAC OS X
U₧ivatelΘ Applu majφ jednu jistotu: OS X je bezpeΦn². Docela to tak vypadß i podle v²sledk∙ naÜich test∙. Ale tak°ka "v poslednφ vte°in∞" k nßm dorazila zprßva, kterß pot°ebu rychl²ch zßplat p°inese i "mekist∙m".
Zßkladem Mac OS X je "Darwin", upraven² Unix. A₧ dosud byl pova₧ovßn za bezpeΦn², avÜak od tΘ doby, co byl uveden "Panther" a novΘ jßdro, vÜe m∙₧e b²t jinak. Virovß problematika se mac∙ p°φliÜ net²kß - n∞jak²ch p∞t procent tr₧nφho podφlu Mac OS z°ejm∞ hacker∙m nestojφ za nßmahu. Dodnes je znßmo pouh²ch 30 vir∙, kterΘ tuto platformu a₧ do verze 9.2.2 napadly, p°iΦem₧ ani jeden pro verze s "X".
BEZPE╚NOST NA INTERNETU
P°φznivci nakousnutΘho jablφΦka se mohou radovat: U₧ v nezßplatovanΘ instalaci najde nßÜ test nejmΘn∞ skulinek, vÜechny nejni₧Üφho rizikovΘho stupn∞. Po p°izp∙sobenφ firewallu u₧ z nich p°etrvajφ jen dv∞, prakticky nevinnΘ.
INSTALACE BEZPE╚NOSTN═CH UPDAT┘
Stejn∞ jako Windows XP a SuSE Linux zavedl i Mac OS X automatickou aktualizaci softwaru. Ta pravideln∞ prov∞°uje, zda na applovsk²ch serverech existujφ updaty. Ty m∙₧ete p°φmo nainstalovat, nebo jen ulo₧it; nepot°ebnΘ ·pravy lze vynechat. Updaty instalovanΘ p°es SoftwarovΘ Aktualizace jsou spravovßny v centrßlnφm log souboru.
KONFIGURACE FIREWALLU
Firewall je aktivovßn automaticky, co₧ dokazujφ i dobrΘ v²sledky prvnφho testu. Bohu₧el se p°es volbu Firewall tak°ka v∙bec nedajφ zm∞nit jeho nastavenφ: P°eddefinovanß pravidla nem∙₧ete dßle p°izp∙sobovat, ani vlastnφmi pravidly omezit slu₧by firewallu na urΦit²ch poΦφtaΦφch a sφtφch (to lze pouze z p°φkazovΘ °ßdky nebo pomocφ 3rd party software.) Krom∞ toho z∙stanou nepovÜimnuty vÜechny UDP porty. èkoda, nebo¥ BSD Packet Filter pro TCP, UDP, ICMP a IGMP je u₧ prost°ednictvφm "ipfw" v Mac OS X obsa₧en. Apple vÜak z°ejm∞ chce zßkaznφk∙m nabφdnout jen snadno konfigurovateln² firewall, kter² p°i vyvolßnφ slu₧eb jako Apple File Sharing a Windows Sharing automaticky zajistφ p°φstup.
Abyste mohli jednoduÜe prost°ednictvφm grafickΘho u₧ivatelskΘho rozhranφ konfigurovat takΘ ipfw, pot°ebujete shareware BrickHouse (personalpages.tds.net/ ~brian_hill/brickhouse.html). Prost°ednictvφm n∞j takΘ uzav°ete Φty°i z Üesti mezer nalezen²ch testem Qualys. Postup je snadn², po startu vßs celou procedurou provede asistent. Kliknutφm na "zßmek" se musφte identifikovat jako administrßtor. Zadejte typ svΘho p°ipojenφ k internetu (Ethernet, DSL modem, normßlnφ modem) a zp∙sob, jak²m "p°ebφrßte" svΘ IP. V∞tÜinou se tak d∞je prost°ednictvφm poskytovatele dynamicky. Nßsledujφcφ dialogovß pole p°eskoΦte a na zßv∞r klikn∞te na Done.
Nynφ m∙₧ete firewall aktivovat a doplnit pravidla, nap°. pro uzav°enφ obou dosud otev°en²ch port∙ 514 a 1434. Za tφm ·Φelem klikn∞te na Add Filter a jako pravidlo Deny pro p°φchozφ spojenφ dopl≥te UDP port 514. TotΘ₧ platφ pro port 1434. Abyste systΘm ochrßnili p°ed po₧adavky ping a traceroute, musφte tomu p°izp∙sobit p°φsluÜnß pravidla. Klikn∞te na Advanced a deaktivujte Allow All ICMP Traffic a Allow FTP Data Port. Rovn∞₧ Allow Network Time deaktivujte. Uva₧te vÜak, ₧e ·pravy pravidel v oblasti ICMP mohou, v zßvislosti na poskytovateli, zp∙sobit problΘmy p°i navazovßnφ spojenφ. Chcete-li nastavenφ zafixovat, klikn∞te na Apply, potom na Install a koneΦn∞ na Save.
ZABEZPE╚EN═ PROHL═ÄE╚E
Apple dodßvß v rßmci OS X internetov² prohlφ₧eΦ Safari, Internet Explorer od Microsoftu se u₧ neinstaluje. V principu sßzφ Apple na striktnφ deaktivaci vÜech nebezpeΦn²ch slu₧eb a povoluje je pouze tehdy, jestli₧e s tφm u₧ivatel v²slovn∞ souhlasφ. Pon∞vad₧ pod Mac OS "nehrozφ" ActiveX, v Safari byste pod BezpeΦnost m∞li deaktivovat jeÜt∞ Java a JavaScript. V naÜφ zkouÜce jsme Safari podrobili on-line testu p°i standardnφch nastavenφch. V²sledek: bez zßvad - alespo≥ tomu tak bylo do kv∞tna 2004. Pak byly objeveny zßva₧nΘ mezery.
OCHRANA PROTI VIR┘M
Je OS X v bezpeΦφ p°ed viry, Φervy a trojsk²mi ko≥mi? JeÜt∞ ano. AvÜak 8. dubna 2004 upozornila bezpeΦnostnφ firma Intego na jedno nebezpeΦφ. Podle jejφho vyjßd°enφ vyvinul jeden z programßtor∙ pro testovacφ ·Φely trojskΘho kon∞ "MP3Concept". V programu "iTunes", applovskΘm "jukeboxu", nezp∙sobφ naka₧en² soubor ₧ßdnΘ Ükody. Pokud ho vÜak otev°e Finder, virus odstartuje fingovan² ·tok. Jde p°itom o "Proof of Concept" - tedy s neÜkodn²m pr∙b∞hem. P°φklad vÜak ukazuje, ₧e ani OS X nenφ zcela mimo ohro₧enφ.
Za zmφnku stojφ jedin∞ makroviry, kterΘ mohou napßchat Ükody takΘ u "Office:mac". StaΦφ vÜak jednoduÜe aktivovat makrovirovou ochranu ve "Wordu & Co". Pokud byste svΘmu macu cht∞li dop°ßt skuteΦn² virov² skener, nabφzφ se VirusBarrier firmy Intego. Vφce informacφ najdete na adrese www.intego.com/virusbarrier.
BEZPE╚NOST V PO╚═TA╚I
ZruÜit lokßlnφ p°ihlaÜovacφ hesla je v OS X bohu₧el jeÜt∞ snadn∞jÜφ ne₧ ve Windows XP. StaΦφ zalo₧it instalaΦnφ CD, poΦφtaΦ nastartovat a dr₧et stisknutou klßvesu "C" - a u₧ m∙₧e zlomysln² kolega vÜechna hesla "vynulovat".
NASTAVEN═ FIRMWAROV╔HO HESLA
Proto si pro jistotu z°i∩te firmwarovΘ heslo (analogie hesla pro BIOS ve sv∞t∞ "PC"). P°edpokladem vÜak je, ₧e vßÜ poΦφtaΦ mß aktußlnφ firmware (od verze 4.1.7). Chcete-li se o tom p°esv∞dΦit, klepn∞te v "jablφΦkovΘm" menu na Tento Mac a potom na DalÜφ informace, Φφm₧ vyvolßte System-Profiler. V p°ehledu hardwaru najdete verzi firmwaru pod Verze Boot-ROM. Nynφ zalo₧te prvnφ instalaΦnφ CD a p°epn∞te se do adresß°e Applications/Utilities, vyvolejte nßstroj "Open Firmware Password" a klikn∞te na Zm∞nit. Autentizujte se sv²m administrßtorsk²m heslem, pak aktivujte Po₧adovat heslo a zadejte heslo firmwarovΘ.
POUÄIT═ BEZPE╚N▌CH HESEL
Lokßlnφ hesla uklßdal Mac OS X a₧ do verze 10.2 v adresß°ovΘ slu₧b∞ Netinfo. Prost°ednictvφm nφ bylo rozluÜt∞nφ hesel technicky mo₧nΘ, nikoliv vÜak velmi snadnΘ. Od verze 10.3 uklßdß OS X hesla v²hradn∞ ve tvaru "Shadow-Password", tak₧e jsou viditelnß jen jako hv∞zdiΦky. Jejich naΦtenφ p°φkazem nidump passwd u₧ tedy nenφ mo₧nΘ. Ve verzi 10.3 jsou dovolena hesla o vφce ne₧ osmi znacφch. SystΘmy, kterΘ byly z 10.2 na aktußlnφ verzi "pov²Üeny" zßplatami, mohou jeÜt∞ obsahovat starß haÜovanß hesla. VyzkouÜφte si to rovn∞₧ pomocφ nidump passwd. Pokud byste haÜovanΘ polo₧ky naÜli, zm∞≥te vÜechna hesla v systΘmovΘm nastavenφ U₧ivatelΘ.
ZABEZPE╚EN═ SPR┴VY UÄIVATEL┘
OS X p°id∞luje p°φstupovß prßva t°em typ∙m u₧ivatel∙. Jsou jimi "standardnφ u₧ivatel", "administrßtor" a "Root". Standardnφ u₧ivatel mß p°id∞lena individußlnφ omezenφ a nem∙₧e Φφst ani mazat domßcφ adresß°e jin²ch u₧ivatel∙. Administrßtor nesmφ mazat ₧ßdnΘ systΘmovΘ soubory - to si smφ dovolit pouze "Root". Dφky tomu je sprßva u₧ivatel∙ p°inejmenÜφm stejn∞ bezpeΦnß jako pod Linuxem. Prvnφ u₧ivatel, kter² je zalo₧en p°i instalaci, je automaticky administrßtorem. Sprßva u₧ivatel∙ se provßdφ centrßln∞ prost°ednictvφm systΘmovΘho nastavenφ U₧ivatelΘ. Pokud by byl symbol zßmku zav°en², p°ihlaste se jako Administrßtor. Aby vÜak mφstnφ ·toΦnφk nemohl poznat, kte°φ u₧ivatelΘ jsou v systΘmu zalo₧eni, vypn∞te takΘ automatickΘ p°ihlaÜovßnφ. Postupujte takto: Klikn∞te na P°ihlaÜovßnφ - Vlastnosti, deaktivujte automatickΘ p°ihlaÜovßnφ a p°ihlaÜovacφ dialogovΘ pole zm∞≥te na JmΘno a Heslo. Deaktivujte takΘ volby Uspßnφ, Restart a Vypnutφ; to zabrßnφ mo₧nosti nov∞ nastartovat poΦφtaΦ ve stavu p°ihlaÜovßnφ. DalÜφ nastavenφ prove∩te pod SystΘmovß nastavenφ / BezpeΦnost. Zde zapnete ochranu heslem pro Üet°iΦ obrazovky a p°φstup administrßtora ke vÜem systΘmov²m nastavenφm, Φφm₧ vynutφte automatickΘ odhlßÜenφ od systΘmu v p°φpad∞ neΦinnosti.
ZAèIFROV┴N═ SOUBOR┘ A SLOÄEK
Pro zaÜifrovßnφ soubor∙ nabφzφ OS X algoritmus OpenSSL. Aby se vßm pracovalo snßze, m∙₧ete nasadit shareware "PuzzlePalace" (personalpages.tds.net/~brian_hill/puzzlepalace.html), jφm₧ nakonfigurujete Üifrovacφ algoritmy Blowfish Cipher, Triple DES, DEA, CAST nebo RC5, pova₧ovanΘ za zcela bezpeΦnΘ. Zvolte tedy algoritmus, p°φsluÜn² soubor p°etßhn∞te na otev°en² program a zadejte heslo.
Pro mobilnφ poΦφtaΦe bude optimßlnφ program File Vault, kter² najdete pod SystΘmovß nastavenφ / BezpeΦnost. Symbol trezoru zde zastupuje 128bitovΘ zaÜifrovßnφ home adresß°e. P°i p°ihlßÜenφ oprßvn∞nΘho u₧ivatele je zaÜifrovan² home adresß° otev°en a z∙stane k dispozici po celou dobu "prßce". Ostatnφ p°ihlßÜenφ u₧ivatelΘ k tΘto oblasti p°φstup nemajφ. P°ed pou₧itφm File Vault musφte nejprve nastavit hlavnφ heslo. Pak File Vault aktivujte, co₧ zp∙sobφ automatickΘ zaÜifrovßnφ home adresß°e. Kopφrovßnφ velk²ch datov²ch objem∙ z home adresß°e ovÜem m∙₧e vzhledem k jeho zaÜifrovßnφ trvat dosti dlouho.
Z╪═ZEN═ AUTOMATICK╔HO Z┴LOHOV┴N═
OS X nemß ₧ßdn² nßstroj, kter² by vytvß°el zßlo₧nφ soubory automaticky. M∙₧ete si vÜak po°φdit cron-job, kter² provßdφ v Φase naplßnovanΘ povely. K tomu se hodφ freeware CronX 2.1. Po jeho nastartovßnφ klikn∞te v titulnφ liÜt∞ na NovΘ. Zvolte JednorßzovΘ a pod nabφdkou Minuta, Hodina a Den stanovte Φasov² okam₧ik startu. Backup nastartujete nap°. takto: ditto -rsrc /Users/admin/Volumes/HD2/BU/admin.
V tomto p°φpad∞ bude home adresß° u₧ivatele admin ulo₧en v partition HD2 do adresß°e BU.
ZAèIFROV┴N═ Z┴LOÄN═CH SOUBOR┘
Programy slou₧φcφ pro zßlohu pevn²ch disk∙ umφ zßlohovat jejich oddφly (partitions), adresß°e a soubory ve form∞ jejich "obrazu", tzv. image. Mß to mj. tu v²hodu, ₧e image se dß 128bitov∞ zaÜifrovat. Nßstroj nastartujte pomocφ /Programy/ Slu₧by. Zvolte Images / NovΘ / Image. Pomocφ prohlφ₧eΦe soubor∙ nynφ oznaΦte adresß°, kter² mß b²t zßlohovßn, a klikn∞te na Otev°φt. Zadejte n∞jakΘ jmΘno a urΦete pam∞¥ovΘ mφsto. Pak aktivujte zvolen² image formßt a Üifrovßnφ. Klikn∞te na Zajistit, a proces se odstartuje. Image se takΘ dß dvojit²m kliknutφm zahrnout do systΘmu jako "mechanika".
Z┴V╠R: AÄ DOSUD VELICE BEZPE╚N▌
V "surovΘm stavu" je OS X zvenku skoro nenapadnuteln². Zato v lokßlnφ oblasti zejφ otev°enß vrata. èkoda, ₧e zde Apple d∞lß p°φliÜ mßlo pro informovßnφ sv²ch zßkaznφk∙ o ochrann²ch opat°enφch. V₧dy¥ v∞tÜina bezpeΦnostnφch "dφrek" se dß zalßtat bez v∞tÜφho ·silφ. K tomu Apple dodßvß nov² Mac OS X "Panther" se smyslupln²mi bezpeΦnostnφmi prost°edky, mezi nimi software kategorie open-source. Kdo tou₧φ po jeÜt∞ v∞tÜφ bezpeΦnosti, m∙₧e si nahrßt i n∞kolik freewarov²ch nebo sharewarov²ch nßstroj∙. Profesionßlem tedy b²t nemusφte, znalosti Unixu se vÜak hodit budou.
Daniel Schmid, autor@chip.cz
CELKOV╔ SHRNUT═
WINDOWS, LINUX, APPLE: KTER▌ OS JE NEJBEZPE╚N╠Jè═?
TakΘ se domnφvßte, ₧e Windows nejsou bezpeΦnß? Myslφ si to mnozφ - a m²lφ se. Velk²m p°ekvapenφm naÜeho testu bylo, ₧e tolik han∞n² operaΦnφ systΘm Microsoftu dokßzal, ₧e je lepÜφ ne₧ jeho pov∞st. Ale - a to znovu relativizuje nßÜ v²sledek - pot°ebuje k tomu hodn∞ zßplat a aktußlnφ Service Pack 2. Bez nich Windows vykazujφ nejen nejvφce bezpeΦnostnφch mezer, ale takΘ t∞ch nejhorÜφch; po updatech vÜak vÜechny zmizφ. Linux a Apple jsou sice "v krabicφch" mΘn∞ zranitelnΘ, zato i po updatech v nich z∙stane jeÜt∞ pßr mezφrek otev°en²ch.
V Φem tedy spoΦφvajφ rozdφly? Pokud jde o viry, Φervy a trojskΘ kon∞, jsou na tom nejh∙°e Windows XP. A p°φΦina? SystΘm nemß vlastnφ virov² skener a navφc je vzhledem ke svΘ mimo°ßdnΘ rozÜφ°enosti (na stolnφch poΦφtaΦφch kolem 90 %) primßrnφm terΦem vÜech hacker∙.
TakΘ v oblasti lokßlnφ bezpeΦnosti Windows pokulhßvajφ - zde se toti₧ tΘm∞° nedajφ konfigurovat. Jinak je tomu u Mac OS a SuSE Linuxu: u obou je sice zapot°ebφ trochu "ruΦnφ prßce", ale pak jsou proti lokßlnφm ·tok∙m chrßn∞ny z°eteln∞ lΘpe. Dopl≥kovou ochranu zajistφ zaÜifrovateln² souborov² systΘm, ten vÜak poskytuje pouze Linux. Apple i Windows mohou bez p°φdavnΘho softwaru zaÜifrovat jenom slo₧ky a jednotlivΘ soubory.
VÜechny t°i systΘmy p°esv∞dΦily propracovan²mi postupy aktualizace (updaty). Dφky nim lze systΘm stßle dr₧et na nejnov∞jÜφm stavu v²voje. V p°φpad∞ Windows je to dokonce nezbytn∞ nutnΘ, nebo¥ redmondsk² systΘm z∙stßvß hlavnφm cφlem hacker∙. Ale takΘ Apple u₧ m∞l starosti: nejnov∞ji objevenΘ bezpeΦnostnφ mezery jsou zßva₧nΘ a rychl² patch byl velmi nutn². Apple a Microsoft (jen s SP2) dnes sßzejφ na standardn∞ aktivovan² firewall, u SuSE Linuxu je ho nejd°φve nutnΘ aktivovat manußln∞.
V POSLEDN═ VTE╪IN╠
NOV┴ MEZERA V OS X
Po uzav°enφ naÜich test∙ byla objevena zßva₧nß bezpeΦnostnφ mezera v OS X, kterß pod tφmto systΘmem postihuje krom∞ Safari i vÜechny dalÜφ prohlφ₧eΦe. S touto mezerou dokß₧e ·toΦnφk prost°ednictvφm "preparovanΘ" URL nahrßt na pozadφ image disku, kter² nap°φklad m∙₧e prost°ednictvφm skriptu vymazat kompletnφ home adresß°, ani₧ by to u₧ivatel zpozoroval. Apple sice dal k dispozici patch, ten vÜak neodstranil vÜechny potφ₧e. SkuteΦnΘ bezpeΦφ vßm zajistφ a₧ nov² systΘmov² update. ╚ßsteΦn∞ pomoci m∙₧e i nßstroj "Paranoid Android". Tento freeware se postarß i o tzv. Help Viewer, kter² p∙sobφ podobnΘ problΘmy. DalÜφ informace najdete na www.unsanity.com/haxies/pa.
V▌SLEDKY TESTU QUALYS-GUARD
PROFESION┴LN═ BEZPE╚NOSTN═ TEST
Aby Chip zajistil d∙kladnΘ odzkouÜenφ bezpeΦnosti operaΦnφch systΘm∙, podrobil je ve spoluprßci s experty americkΘho podniku Qualys obsßhlΘmu online testu. Qualys je jednou z p°ednφch sv∞tov²ch bezpeΦnostnφch firem ("Best Security Service 2004", SC Magazine Global Award) a Φtvrtletn∞ vypracuje kolem jednoho milionu bezpeΦnostnφch anal²z; k zßkaznφk∙m firmy Qualys pat°φ mimo jinΘ i vlßda USA. Soukrom²m zßkaznφk∙m nabφzφ Qualys otestovßnφ zdarma (freescan.qualys.com), zam∞°enΘ na deset nejzßva₧n∞jÜφch bezpeΦnostnφch d∞r. Profesionßlnφ testy jsou urΦeny jen pro podniky a jejich ceny p°edstavujφ p∞ticifern² obnos.
Nßmi nasazenß podnikovß verze testovacφho programu od Qualysu hledß v systΘmu poΦφtaΦe p°es 3500 souΦasn∞ znßm²ch zßva₧n²ch bezpeΦnostnφch mezer.
Test p°itom pracuje s vynikajφcφ p°esnostφ - jeho chybovost je menÜφ ne₧ 0,003 %. Testuje vÜechny relevantnφ bezpeΦnostnφ atributy poΦφtaΦe v oblasti internetovΘ a on-line bezpeΦnosti. Mezery, kterΘ Qualys odhalφ, rozd∞luje do p∞ti bezpeΦnostnφch stup≥∙: stupe≥ jedna znaΦφ nejmenÜφ nebezpeΦφ, stupe≥ p∞t znamenß zßva₧nΘ bezpeΦnostnφ nedostatky systΘmu. Zßkladnφ test si m∙₧ete vyzkouÜet sami na www strßnkßch firmy. Info: www.qualys.com
Windows XP Prof.
Podle Microsoftu si "nahß" Windows bez bezpeΦnostnφch oprav nainstalovalo jen minimum u₧ivatel∙ - a to je dob°e. Test Qualysu toti₧ odhalil cel²ch 25 bezpeΦnostnφch trhlin, z toho p∞t dokonce v nejvyÜÜφm rizikovΘm stupni. CelkovΘ riziko tak bezpeΦnostnφ firma hodnotφ jako "extrΘmnφ ohro₧enφ" (stupe≥ 5).
Za nalezenΘ nedostatky mohou p°evß₧n∞ programßtorskΘ chyby v urΦit²ch slu₧bßch Windows. Test tak nap°φklad ukßzal bezpeΦnostnφ mezeru v programu Windows Messenger, skrze n∞ho₧ si ·toΦnφk m∙₧e zjednat p°φstup k systΘmu.
Seznam zßvad v testovacφm protokolu vÜak hodn∞ zapl≥ujφ i ΦetnΘ bezpeΦnostnφ "drobnosti", zp∙sobenΘ pov∞stn²m p°eteΦenφm buffer∙. T∞chto d∞r s oblibou vyu₧φvajφ takΘ souΦasnφ Φervi jako Blaster nebo Sasser. Zb²vajφcφ mezery se t²kajφ - stejn∞ jako v Linuxu - slu₧eb, kterΘ vydßvajφ "napospas" informace o poΦφtaΦi, t°eba ICMP (Internet Control Message Protocol), p°es n∞j₧ ·toΦnφk mimo jinΘ m∙₧e zjistit vaÜeho poskytovatele.
P°i tolika potencißlnφch mo₧nostech napadenφ bylo po nahrßnφ updat∙ a SP2 naÜe p°ekvapenφ opravdu velikΘ: vÜechny doposud znßmΘ mezery jsou uzav°eny, ₧ßdnß informace o poΦφtaΦi se ven nedostane - pro Microsoft zase po Φase velik² plusov² bod.
SuSE LINUX 9.1 Prof.
RozÜφ°enΘ p°esv∞dΦenφ o naprostΘ bezpeΦnosti Linuxu trochu relativizuje standardnφ instalace od SuSE: Qualys objevil patnßct mezer, ovÜem zdaleka ne tak riskantnφch jako ve Windows. CelkovΘ riziko ·toku ve stupni 3 pova₧uje Qualys za st°edn∞ t∞₧kΘ.
Trhliny se t²kajφ v∞tÜinou jen slu₧eb viditeln²ch zvenΦφ. Jako body napadenφ p°ipadajφ v ·vahu pouze tehdy, kdy₧ se chyby vyskytujφ v t∞chto slu₧bßch. Jedinß mezera stupn∞ 3 postihla "Secure Shell" (SSH), kter² mß na starosti bezpeΦnΘ spojenφ. Tato verze OpenSSH obsahuje chybu, kterß ·toΦnφk∙m umo₧≥uje p°φstup v p°φpad∞ p°eteΦenφ bufferu. Za dv∞ dalÜφ mezery (stupe≥ 2) mohou slu₧ba RPC a zprßvy ICMP. Navenek viditeln² je "Portmapper", kter² po₧adavky RPC dßle p°edßvß systΘmov²m slu₧bßm. Pokud se ·toΦnφkovi poda°φ obejφt ho a n∞jakou slu₧bu nastartovat, m∙₧e zφskat p°φstup k systΘmu Linux p°es n∞kter² privilegovan² port.
Nic na tom nezm∞nφ ani on-line update - teprve po manußlnφ aktivaci firewallu se uzav°e deset mezer. Stejn∞ jako d°φve reaguje SuSE na p°φkaz ping, jφm₧ lze testovat, zda je poΦφtaΦ dosa₧iteln². SouΦasn∞ je mo₧nΘ pomocφ p°φkazu traceroute sledovat cestu datov²ch paket∙. A koneΦn∞ ·toΦnφk dokß₧e prost°ednictvφm dotazu whois pod www.ripe.net/perl/whois zjistit, u kterΘho poskytovatele jste p°ihlßÜeni.
MacOS 10.3.3.
Po standardnφ instalaci Mac OS X nahlßsφ Qualys Üest mezer v nejni₧Üφm rizikovΘm stupni - operaΦnφ systΘm od Applu, alespo≥ "out of the box", je tak nejbezpeΦn∞jÜφm systΘmem.
╚ty°i mezery se t²kajφ oblasti zφskßvßnφ informacφ. Stejn∞ jako Linux a Windows propouÜtφ i Mac OS po₧adavky ICMP, tedy i p°φkaz ping a odpov∞∩, ₧e n∞kterΘ porty jsou uzav°eny. Navφc je zvenΦφ mo₧nΘ p°φkazem traceroute zjistit cestu datovΘho paketu a analyzovat informace p°φkazem whois. V oblasti TCP a UDP mß Qualys nßmitky proti dv∞ma otev°en²m UDP port∙m: 514 (syslog) a 1434 (ms-sql-m). Syslog se v∞tÜinou pou₧φvß pro sφ¥ovß za°φzenφ (rozboΦovaΦe, sm∞rovaΦe), port 1434 p°i autentizaci SQL. Ani jeden z nich vÜak nenφ nijak nebezpeΦn². Celkov∞ tedy lze u₧ se zßkladnφ konfiguracφ surfovat na webu bez obav.
TakΘ tady updaty nic nezm∞nφ, nebo¥ se t²kajφ mj. oblastφ AFP (Apple Filesharing Protocol), CUPS (tiskov² systΘm), Mail, IPSec a OpenSSL. Teprve po p°izp∙sobenφ pravidel firewallu internφmu BSD paketovΘmu filtru "ipfw" ukß₧e Qualys u₧ jen dva "proh°eÜky" stupn∞ 1 - nap°. "Reachable Hostlist". Tak se lze dov∞d∞t, ₧e vßÜ mac je u poskytovatele zaregistrovßn prost°ednictvφm IP adresy a DNS jmen.
SLOVN═╚EK
NEBEZPE╚N╔ SLUÄBY
╪ada bezpeΦnostnφch mezer souvisφ se slu₧bami a protokoly. Zde jsou ty nejd∙le₧it∞jÜφ:
ICMP: Internet Control Message Protocol p°enßÜφ °φdicφ a chybovΘ zprßvy pro sφ¥ovΘ protokoly IP, UDP a TCP; nejznßm∞jÜφ ICMP zprßvou je p°φkaz ping. Rozmanitost ICMP zprßv (cca 20) umo₧≥uje ·toΦnφk∙m shroma₧∩ovat informace o systΘmu prost²m vysφlßnφm odpovφdajφcφch paket∙ ICMP.
RPC: Protokol Remote Procedure Call mß za ·kol spouÜt∞t funkce na jin²ch poΦφtaΦφch, nap°. p°i "Remote Computingu".
UDP: Users Datagram Protocol je, stejn∞ jako TCP, protokol pro komunikaci mezi poΦφtaΦi. A stejn∞ jako TCP komunikuje i UDP p°es internetov² protokol (IP).
TCP/IP: Internet Protocol (IP) data fragmentuje, adresuje a p°edßvß je. Na tomto protokolu je postaven Transmission Control Protocol (TCP), kter² se starß o °azenφ paket∙ ve sprßvnΘ posloupnosti a zajiÜ¥uje bezporuchovou komunikaci.
