Bezpečnost koncových zařízení

Tento text byl zpracován jako maturitní otázka k ústní zkoušce z počítačových sítí, a tak může místy působit stručně. To však nic nemění na jeho informativní hodnotě a vzhledem k času, který jsem s jeho psaním strávil, jsem názoru, že by si zasloužil publikování.

Stejně, jako jsme se naučili žít digitálně my, naučili se tak žít i útočníci a zloději. Proto je zapotřebí vědět, jak si správně zabezpečit svá zařízení, k čemuž může napomoci i znalost konkrétních útoků.

Zabezpečení počítačů

Začneme zhurta – šifrujte a heslujte všude, kde to je možné. Ač se paranoia diagnostikuje jako duševní porucha, v oblasti počítačové bezpečnosti se jedná o vítaný prvek osobnosti. Základním kamenem bezpečnosti počítačů jsou zaheslované uživatelské účty a udržování aktuálních verzí softwaru, na škodu však není ani používání silného anti-malwaru, nebo šifrování disků.

Bezpečnost uživatelských účtů

Chránění uživatelských účtů, a to zejména administrátorských, je naprostým základem zabezpečení počítačů. Zaheslované účty vás ochrání před nahodilými a neznalými útočníky, kterým se náhodou dostal do ruky váš počítač.

Windows

Microsoft® Windows™ nabízí chránění všech účtů heslem, která jsou v zahashované podobě uložena v tzv. SAM souboru. Ten se nachází v následující cestě: %SystemRoot%\System32\config\SAM, kde proměnná %SystemRoot% míří do adresáře s Windows.

Obcházení zaheslovaného účtu

Pokud nemáte systémový disk zašifrován, hesla do Windows lze velmi snadno obejít. Útočníkovi k tomu stačí na vašem PC spustit např. live Ubuntu z CD (nebo se jinak dostat do rozhraní, kterým lze upravovat názvy souborů na disku), jít do složky System32 a přejmenovat cmd.exe třeba na Klávesnici na obrazovce. Pak mu zbývá restartovat PC, počkat si na přihlašovací obrazovku, přes nástroje pro usnadnění spustit právě onu klávesnici na obrazovce, načež se však místo zamýšleného programu spustí cmd s administrátorským oprávněním, kde útočník upraví kýženému uživatelskému účtu heslo a do systému je bez problému vpuštěn.

Linux

I ve svobodném světě Linuxu jsou uživatelská jména a hesla samozřejmostí. Za seznam uživatelských účtů zde můžeme považovat konfigurační soubor passwd. Ten dříve obsahoval i hashe hesel, které dnes již obsahuje soubor shadow. Oba tyto soubory můžeme nalézt v adresáři etc.

Udržování aktuálních verzí softwaru

Nic není bezchybné a v případě programového vybavení to platí dvojnásob. Téměř každý software obsahuje nějakou zranitelnost. Ty se postupem času odhalují a zodpovědní výrobci proto vydávají bezpečnostní aktualizace. Hrozby, pro něž dosud záplata nevyšla, nazýváme zero-day.

Windows

Systém Windows provázejí aktualizace už od dob verze 2000, pro kterou vyšly dokonce čtyři service packy. I pro současný Windows 10 vycházejí v určitých intervalech drobnější aktualizace, jednou za půl roku pak přichází aktualizace velké. Udržovat si aktuální verzi systému je zejména u Windows nesmírně důležité, jelikož už několikrát v historii došlo k masivním útokům, které cílily právě na počítače s neaktuálním Windowsem. Například, v roce 2017 vyřadil ransomware Wannacry spousty počítačů po celém světě, k čemuž zneužil velkou zranitelnost ve Windowsovské implementaci protokolu SMB.

Malware a ochrana proti němu

Jako malware označujeme takový druh kódu, který byl vytvořen k tomu, aby poškodil, nebo vnikl do počítačového systému. Malware je nadřazené slovo pro další druhy škodlivého kódu.

Používání antimalwarového programu je předmětem mnoha nekonečných debat na webových fórech. Jeden tábor tvrdí, že antivir pouze chrání uživatele před ním samotným. Druzí zastávají názor, že provozování počítače bez antiviru je nemyslitelný bezpečnostní risk. Ať už je pravda kdekoli, je jisté, že dobrý anti-malware přidává další vrstvu bezpečnosti a jeho nasazení přinejmenším není na škodu.

Funkce

Téměř každý antimalwarový program nabízí i ve své základní verzi (která často bývá dostupná zdarma) alespoň ochranu souborů. Pokročilejší, placené verze, pak nabízejí spousty funkcí, jako například:

  • Vlastní firewall,
  • VPN připojení přes koncentrátory poskytovatele antimalwarového řešení,
  • Vyhledání počítače v případě ztráty…

Výrobci

Obzvláště českoslovenští výrobci těchto programů se mohou řadit ke světovým špičkám, např. slovenský ESET, nebo české AVG a AVAST. Ze zahraničních výrobců má renomé např. ruský Kaspersky.

Šifrování disku

Ve chvíli, kdy se někdo zmocní vašeho počítače, má dostatek času na to, aby vytáhl pevný disk, načetl jej v jiném počítači a zmocnil se vašich dat, nebo si dle výše zmíněného postupu změnil heslo a pohyboval se po celém počítači vaším jménem – dostal by tak např. i uložená hesla z prohlížečů. Tomu můžete zabránit šifrováním disků. Ve chvíli, kdy je disk zašifrován, data na něm uložená není bez znalosti dešifrovacího klíče možné přečíst.

Služby

zašifrování celého systémového disku (en – full disk encryption) lze využít systémového nástroje Windows BitLocker, který do pokročilejších verzí svého OS zavedl redmondský gigant již ve verzi Vista. BitLocker nabízí zabezpečení jak systémových, tak ostatních jednotek na dobré úrovni, přičemž může využívat TPM.

Za zmínku stojí však i VeraCrypt. Tento open-source šifrovací nástroj s velmi obsáhlou dokumentací vychází z pověstného TrueCryptu a nabízí jak šifrování všech jednotek, tak také pokročilé funkce, jako např. skryté oddíly. (k disku máte dvě hesla, každé z nich dešifruje jiný oddíl)

Pokud potřebujete šifrovaně pod heslem uložit jen několik souborů, rozhodně přicházejí v úvahu i zabezpečené ZIP, či RAR archivy. RAR umožňuje i šifrování názvů souborů (dokud útočník nezná heslo, neví ani, jak se soubory v archivu jmenují, nebo kolik jich tam je), ZIP šifruje pouze obsah. To však lze řešit zabalením dvou šifrovaných archivů do sebe. Šifrovaný archiv je dobrou metodou zabezpečení souborů proti přečtení třetí stranou při jejich uložení do cloudu.

Běžné typy útoků na počítače

Obecně můžeme útoky rozdělit na aktivní a pasivní. Zatímco pasivní útok nijak funkčně neovlivňuje systém, na který útočí a snaží se např. jen odposlechnout nějakou komunikaci, aktivní útok jasně něco mění, ovlivňuje systémové prostředky.

Seznam typů útoků

  • Pasivní
    • Síťové
      • odposlouchávání (sniffing)
      • skenování portů (port scanning)
      • idle scan
  • Aktivní
    • Lokální
      • Infikování počítače malwarem
    • síťové
      • muž uprostřed (man in the middle)
      • ARP poisoning
      • denial of service attack
      • ping flood
      • ping smrti
      • smurf attack

Zdroj seznamu: Wikipedie, upraveno.

Obranná opatření

Před většinou síťových útoků z Internetu vás může ochránit správně dimenzovaný firewall, případně dobrý antivirový program s rozšířenou síťovou ochranou. (např. ESET) K ochraně počítače před malwarem můžete jako uživatel přispět:

  • Zodpovědným chováním
    • Neotevírejte přílohy neznámých emailů, už vůbec ne ty podezřelé, nebo ty, co mají koncovku exe.
      • To platí i pro soubory stažené z Internetu.
      • Pokud už musíte nějaký soubor s neznámým původem spustit, je dobré jej alespoň před tím nahrát na Virustotal, který poskytne online analýzu daného souboru v několika anti-malwarech a sdělí vám, zda byl shledán jako škodlivý.
    • Nedůvěřujte crackůma keygenům na pirátské kopie her a programů.
  • Používáním dobrého anti-malwarového řešení

Popis vybraného útoku – (D)DOS

Za Denial Of Service označujeme takový útok, při němž dochází k zahlcení cílového hostitele vyšším množstvím požadavků, než je schopen zpracovat. To má za důsledek nedostupnost služby, kterou cílový hostitel poskytuje, jíž doba je závislá na délce trvání DOS útoku.

DOS útok může být proveden mnoha způsoby, nejznámějším je pravděpodobně zahlcení ICMP ECHO requesty (PING) s velkým počtem bajtů. Pokud je zdrojem útoku více, než jedna stanice, jedná se o útok distribuovaný, který nazýváme DDOS.

Identifikace a hodnocení zranitelností

Žádný systém není bezchybný, a proto by se zkoumání zranitelností daného systému mělo věnovat nemálo času. Identifikace a hodnocení zranitelností je cyklický proces, který by ve společnosti měl být prováděn neustále.

Identifikace zranitelnosti může být provedena různými způsoby:

  • Zkoumáním systému,
  • Čtením dokumentací k používaným prostředkům,
  • Penetračním testováním,

Při hodnocení zranitelnosti je potřeba přihlédnout k následujícím aspektům:

  1. Míra zranitelnosti – Jak moc nás může ohrozit, když ji někdo zneužije?
  2. Případný útočník – Má vůbec někdo motivaci na nás útočit, získal by tím něco?
  3. Cena – Nebude záplatování zranitelnosti dražší, než případná ztráta?

Podle uvážení je pak na místě vytvořit plán, jak bude se zranitelností naloženo.

CVSS

Pro hodnocení zranitelností můžete použít CVSS kalkulátor, který se nachází na stránkách organizace First. Výhoda hodnocení zranitelností pomocí této celosvětově uznávané metodiky spočívá v tom, že hodnocení závažnosti dané zranitelnosti není založeno na nějakém subjektivním hodnocení, nýbrž na zodpovězení několika vcelku jednoduchých otázek.

Jedná se o otázky typu, odkud je možné útok vést, zda je možné jej kdykoliv zopakovat, zda je nutné disponovat nějakými právy v systému, zda je vyžadovaná nějaká součinnost ze strany uživatele…

Vector String

Při vyplnění formuláře v CVSS kalkulátoru dochází k sestavení tzv. Vector String, což je řetězec, který obsahuje informaci o tom, jak jste odpověděli na jednotlivé otázky. Každé otázce a odpovědi je totiž přiřazen určitý kód, takže ve výsledku vznikne např. následující řetězec CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L.

Analýza stringu

Nejprve je uvedeno, že je použita metodika hodnocení CVSS ve verzi 3.0 a dále pak vždy za lomítkem následuje zkrácený název daného faktoru a za dvojtečkou pak jaká byla zvolena odpověď na danou otázku.

V okamžiku, kdy daný řetězec znáte, si můžete i snadno zobrazit, jak se k výsledné hodnotě zranitelnosti dospělo. Stačí jen do adresního řádku prohlížeče za https://www.first.org/cvss/calculator/3.0# doplnit daný řetězec, v našem případě např. CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L.

Base Score

Tímto způsobem pak můžete hodnotit i zranitelnosti ve vašich systémech, které jste identifikovali např. pomocí penetračních testů. Hodnocení zranitelností dle CVSS se provádí ve třech sekcích, přičemž stačí vyplnit jen tu první, která je označena jako Base Score. To se v průběhu životního cyklu zranitelnosti nemění a zůstává stejné. Tohle je ostatně hodnota, která je uváděna u nově objevených zranitelností.

Temporal Score

Jinak tomu však je u hodnoty Temporal Score, která se mění v závislosti na tom, zda je např. k dispozici plně funkční exploit, existuje nějaký fix, nebo existence dané zranitelnosti byla potvrzena nějakou důvěryhodnou autoritou. Tato hodnota se může v čase měnit oběma směry. Ze začátku může růst až na hodnotu Base Score, ale pak by měla s vydáním fixu mírně klesnout.

Environmental Score

Environmental Score se týká přímo vašeho prostředí a vaší organizace. Jeho hodnota může být vyšší, nebo i nižší, než je oficiální Base Score, protože vy můžete mít implementovány určité ochrany snižující danou zranitelnost anebo můžete mít jiné požadavky na důvěrnost, integritu a dostupnost.

Zdroj: Hodnocení zranitelností – 5. díl, www.cleverandsmart.cz, upraveno.