Test: uživatelé zanedbávají zabezpečení počítačů připojených na internet!

  5:00
Otestovali jsme, jak jsou zabezpečené počítače lidí připojených na internet přes dial-up nebo kabelový modem. Situace je kritická. Mnoho uživatelů nemá ani základně zabezpečené počítače a proniknout do nich je až příliš jednoduché.

Internet s sebou mimo mnoha pozitiv nese také určitá rizika. Nejcitelněji se to projevuje v oblasti bezpečnostní. A na tu se zaměřil náš test trvající od počátku prosince a prověřující, jak jsou na tom se zabezpečením počítače jednotlivců připojených k internetu.

Záměrně jsme se nezaměřovali na firemní klientelu a na firemní sítě, ale na to, jakým způsobem mají zabezpečené počítače běžní uživatelé, připojovaní k internetu dial-upem, přes kabelový internet, a taktéž jsme testovali bezpečnost uživatelů připojených přes GSM společnosti Eurotel. Výsledek testu tedy přináší stručné zhodnocení, jak bezpečné jsou počítače normálních lidí. A věřte, výsledek vyvolal pouze zděšení.

Než přistoupíme k číslům, metodice a zhodnocení testu, ponořme se na chvíli do (silně zjednodušené) teorie určené začínajícím.

Skrze každý počítač, jenž je připojený do internetu, lze nejenom přistupovat do internetu, ale může na něj být také přistupováno z internetu. Ačkoliv nejčastěji se z internetu přistupuje na webové servery, vůbec to neznamená, že počítač připojený přes dial-up by byl z internetu nedostupný. Pouze na něm (zpravidla) neběží klasické služby jako web nebo ftp, ale často na něm běží jiné síťové služby, přes internet rovněž dostupné nebo napadnutelné.

U počítačů s Windows je nejvíce zneužitelný protokol NETBEUI, používaný hojně pro sdílení tiskáren nebo disků v malé síti. Pro přístup k počítači s instalovaným NETBEUI postačuje v příkazové řádce počítače zadat adresu počítače za dvěmi lomítky \\120.30.13.19 - a pokud je počítač připojen k internetu s nainstalovaným protokolem NETBEUI, můžete ihned procházet obsah jeho disku.

Hlavním problémem NETBEUI je skutečnost, že návrh tohoto síťového protokolu vychází ještě z doby, kdy počítačové sítě byly oddělené a nežádoucí živel se do nich neměl jak odkud dostat – to byla doba, kdy Microsoft propagoval sítě Lanmanager a Novel představoval vrchol počítačových sítí.

NETBEUI tedy postrádá rozlišení úrovní oprávnění a z Windows v podstatě nemáte žádnou jednoduchou možnost, jak uživatele připojeného přes NETBEUI detekovat. Jedinou obranou je spustit program Sledování sítě ze souboru Systémových nástrojů (v menu Příslušenství) - zde vidíte připojené uživatele a můžete je i odpojit. Jenže kdo to ví? A mít pořád na pozadí tento program spuštěný také není to pravé ořechové...

U systémů s Linuxem lze pro vstup do systému používat služby jako Telnet nebo SSH, v prvním případě ale musíte na síti odposlechnout heslo, kteréžto putuje nekódovaně, zatímco v případě SSH heslo putuje kódovaně a jeho odposlechnutí to téměř vylučuje. Možností je samozřejmě více, ale tyto jsou nejpopulárnější.

Samozřejmě nekódovaná hesla jsou také veliký problém.  Existují specializované utility sloužící k poslouchání na síti a ukládající nezašifrovaná hesla do souborů určených k dalšímu „použití“. U sítí, které jsou propojeny hubem namísto switchem (týká se hlavně pevných lokálních sítí), je totiž možné odposlouchávat provoz pro všechny stanice z jakékoliv stanice – provoz totiž směřuje na všechny počítače a každý počítač si vybírá to svoje. Není těžké zrušit vybírání a přijímat vše a ukládat například hesla. Pokud tedy používáte FTP, email účty jako POP3 nebo IMAP4 či Telnet a další služby, kde hesla putují nekódovaně, pamatujte na to, že lze takové heslo snadno odposlechnout a zneužít. Do jiných systémů tedy vždy používejte jiná hesla, než máte pro svoji poštu!

Odposlouchávání hesel v síti
Takto jednoduše se odposlouchávají hesla na síti. Na naší zkušební síti jsme odposlechli heslo a to je zatržené červeně. Po kliknutí na obrázek se zvětší náhled. Je to opravdu až příliš snadné na to, abyste mohli nekódovaným heslům důvěřovat...

 

Jaké jsou výsledky testu

Linuxové počítače byly v našem testu zastoupeny málo a neměly snadno odhalitelné slabiny. To bylo dáno především tím, že samy sloužily jako router nebo firewall, a tedy byly instalovány odborněji a se zřetelem k bezpečnosti.

Nejvíce problémů podle očekávání měli v našem testu uživatelé Windows, především starších verzí jako Windows 95 nebo 98, ti ale také byli nejhojněji zastoupeni, protože Win2000 nejsou určeny pro domácí použití a XP se teprve na počítače dostávají.

Problémy s protokolem NETBEUI se ukázaly být tím nejčastějším pochybením bezpečnostních zásad a zpravidla také největší a nejsnáze zneužitelnou dírou do systému. Nejběžnějším případem bylo, když uživatel měl nainstalovanou podporu NETBEUI a sdílel i skrze internet obsah svých disků nebo tiskáren.

Uživatelé UPC Mistral

Asi jako nejtristnější lze označit situaci u uživatelů služby UPC Mistral. Vzhledem k tomu, že tato služba poskytuje relativně laciné trvalé připojení do internetu, jsou počítače jejích uživatelů dostupné velmi dlouhou dobu a nemění příliš často své IP adresy. Tyto IP adresy jsou navíc veřejné, nekryté žádným firewallem nebo proxy instalované od UPC. Pro útoky jsou také uživatelé tohoto typu nejvhodnější obětí: jde povětšinou o domácí uživatele, a jak náš test ukazuje, mnoho z nich na bezpečnost svých počítačů vůbec nedbá.

Celkem 6 procent z 2000 otestovaných počítačů připojených skrze UPC Mistral mělo povolené sdílení svých disků a tiskáren BEZ použití hesla – k přístupu do těchto systémů nebylo zapotřebí vůbec žádné snahy.

Dalších 32% uživatelů používalo naprosto nedostatečné zabezpečení pro své systémy. Nebylo sice možné na disky vstoupit bez hesla, ale díky nedostatečnému zabezpečení ze strany NETBEUI bylo možno velmi rychle (v řádu minut) odhalit jejich hesla pro sdílení a opět nerušeně přistupovat k jejich diskům a tiskárnám.

Více než polovina uživatelů (55%) UPC Mistral neměla nainstalovaný vůbec žádný firewall a port 139 používaný NETBEUI byl otevřený a tedy přístupný  potenciálním pokusům o útok. Pokud od tohoto počtu odečteme oněch 38 procent počítačů, jejichž zabezpečení jsme již označili za fatálně nedostatečné, zbývá nám dalších zhruba 15 procentů počítačů, kde je nainstalovaná podpora NETBEUI, ovšem počítač naštěstí nesdílí žádné disky nebo tiskárny a tedy přístup do systému přes tento protokol by útočníkovi mnoho tak snadno nepřinesl. I tak jde ale o zbytečnou díru do systému.

Volný 

U uživatelů diap-up přístupu Volný byla situace ještě o něco horší. Vyzkoušeli jsme zhruba 1000 připojených počítačů v různých večerních časech a zjistili jsme, že používání firewallů je u této služby na podstatně nižší úrovni než u uživatelů UPC Mistral – jen zhruba 8 procent počítačů bylo vybaveno firewallem. Je to logické, uživatelé dial-upu tolik s útoky nepočítají a nejsou ani tak snadný a konkrétní terč, jako uživatelé kabelových sítí. Více jak 63 procent uživatelů mělo otevřený port s NETBEUI, ale naštěstí naprostá většina z nich neměla nainstalované sdílení ať již s heslem, nebo bez, takže snadno napadnutelných počítačů jsme napočítali 18 procent.

GSM Eurotel

U uživatelů připojení přes GSM v síti Eurotel jsme zjistili, že rychlost 9,6 či 14,4 kbps, jíž je většina uživatelů připojena, je pro jakékoliv pokusy o nepovolený vstup do systému natolik nepříjemným a obtěžujícím faktorem, že skoro spolehlivě odradí. Pouze uživatelé připojení přes HSCSD nebo GPRS byli připojeni natolik rychle, aby odezva jejich systému měla rezervu postačující pro nepozorované připojení k nim. Ovšem mnoho uživatelů Eurotel GSM bylo připojeno přes svá PDA, kde bezpečnost je zajištěna hlavně tím, že prostředky pro sdílení počítače zde v podstatě neexistují. I tak jsme ale byli schopni u téměř jednoho procenta uživatelů dialup připojení přes GSM Eurotel odhalit vážné bezpečnostní díry, jež umožňují přístup do systému.

Jak jsme testovali?

Pro otestování bezpečnosti systémů existují specializované utility – na to jsme ani nepotřebovali žádné sofistikované znalosti. Počítače jsme prověřovali na známé díry v NETBEUI a SMB, tedy zaměřovali jsme se speciálně na Windows počítače – ostatně na jinou platformu jsme narazili spíše výjimečně. Testovali jsme především rizika spojená se získáním přístup do systému a na disky, neprověřovali jsme bezpečnostní chyby vyvolávající například pády Windows.

Hackování a průniky do cizích systému bohužel už dávno nejsou doménou „opravdových hackerů“, nejčastěji se jimi baví takzvaní scripties, nebo scriptkiddies, čili skripteři. Na to, aby bylo možno proniknout do cizích systémů, dnes nejsou potřeba rozsáhlé znalosti, ale obstojnější knihovna specializovaného software, jenž lze najít na téměř každé web stránce věnované hackingu. Existují totiž nejenom programy díry hledající, ale i díry využívající. Vyzkoušeli jsme několik z nich, abychom prověřili, jak jednoduché je například rozluštění hesla na sdílený disk, a překvapilo nás, že většinu hesel byl schopen po internetu rozluštit do dvou minut, zbytek potom do deseti minut – přitom šlo o velmi uživatelsky přívětivý program pod Windows. Stejně tak existují utility, rovněž pod Windows, které proscanují vámi zadanou část sítě a navrhnou metody útoků na počítače spolu s bohatou nápovědou, jak útoky učinit realitou.

Zabezpečení počítačů uživatelů připojených k internetu je opravdu bídné
Tento program oscanoval zadaný síťový rozsah a automaticky nalezl počítače, které jsou přístupné. Po klepnutí myší navrhne i metodu průniku, a pokud je sdílení zabezpečeno heslem, pokusí se s velkou úspěšností heslo dekódovat.

 

Záměrně neuvádíme jména těchto programů, ale snadnost jejich používání a získání je dostatečně varující na to, aby bylo možno zabezpečení i soukromých počítačů připojených do internetu zlehčovat. Jestli si myslíte, že jste natolik nezajímaví, abyste nebyli pro někoho potenciální oběť, pak tento předpoklad možná platí u „opravdových hackerů“ – ale náctiletý školáček, který si instaloval pár prográmků, jistě bude dlouho vzpomínat na svůj první „průnik“, při němž vymazal právě váš pevný disk.

Zabezpečení počítačů uživatelů připojených k internetu je opravdu bídné
Takto probíhá scanování sítě. Červená tečka znamená nepřipojeného uživatele, zelená tečka je špatně zabepečený počítače s otevřeným portem pro NETBEUI a modrá tečka je počítač s uzavřeným portem pro sdílení skrze NETBEUI. Jak vidíte, počet zelených a modrých teček je dosti vyrovnaný.

Vzhledem k tomu, že uživatelé Windows 95/98 (a částečně i 2000) v podstatě nemají v systému žádnou podporu pro svoji ochranu a implicitní instalace systému patří mezi velmi bezpečnostně hazardní nastavení systému, uživatel napadeného počítače si ani nevšimne, že byl napaden – vesele jsme stahovali data z počítače kolegy, aniž by zjistil, že jsme se mu připojili na počítač, a jedinou pro něj viditelnou změnou bylo zdánlivé zpomalení připojení.  Velikou výhodou pro průnikáře je hlavně fakt, že použití NETBEUI se nikam neloguje a o průniku tedy po odhlášení z počítače nebude jediný důkaz.

Někteří odborníci jsou dokonce toho názoru, že Windows 95/98 jsou z bezpečnostního hlediska pro připojení k internetu naprosto nevhodná. „Minimem by měly být  Windows 2000, ale i u nich je implicitní instalace nepříliš silně zabezpečená a mnohé úpravy musí provádět již zkušený administrátor. Rozhodně není ani tento systém po implicitní instalaci bezpečný pro provoz na internetu a doplnění o firewall je jen žádoucí,“ řekl nám jeden z odborníků na průniky do počítačů, který si nepřál být jmenován.

Naštěstí není tak zle a je tu pár jednoduchých pravidel, jak se podobnému riziku vyhnout.

Odstraňte sdílení disků a podporu NETBEUI 

Především je vhodné odstranit sdílení disků – kdo to provedete v Nastavení sítě tím, že zrušíte zatržení Sdílení disků a tiskáren, případně vymažete podporu protokolu NETBEUI ve vašem systému. Pokud máte v domácnosti dva či více počítačů a chcete přesto své disky sdílet, je naprosto nezbytná instalace firewallu, programu umožňujícího hlídat, monitorovat a blokovat přístupy na vaše počítače z internetu.

Pořiďte si osobní firewall 

Pokud firewally znáte jako velké a drahé programy pro rozsáhlé počítačové sítě, pak vězte, že již existují i takzvané osobní, personální firwally, tedy programy určené pro ochranu několika málo počítačů či jednoho počítače.

Jak se chrání uživatelé, pokud vůbec 

Mezi uživateli UPC Mistral jsme vyzvídali, jakému firewallu dávají přenost. Na Windows systémech byly nejrozšířenější dva – Personal Firewall od české společnosti Tiny Software a americký Zone Alarm. Nejdůležitější výhodou obou systémů byla cena: pro osobní použití na jednom počítači jdou zdarma a hlavní odlišnosti byly uživateli spatřovány zejména v ovládání. Srovnání jednotlivých firewallů pro Windows se ale budeme věnovat příště, právě je testujeme – zatím můžeme potvrdit, že oba systémy jsou příjemně použitelné a hlavní úkol ochránit váš počítač opravdu naplňují.

Instalace firwallu vám umožní hlídat přístupy k vašemu počítači – firewall vám oznámí, že se někdo pokoušel o průnik, a případného útočníka i zastaví. Pokud se připojujete k internetu, nebo dokonce používáte u svého počítače trvalé připojení, instalaci osobního firewallu můžeme jen doporučit.

Zabezpečení počítačů je aktuální problém!

Že je problematika zabezpečení počítačů připojených do internetu žhavá a aktuální, o tom přesvědčuje nejenom snadnost získání a používání software pro průnik do cizích počítačů, ale také četnost těchto pokusů. Například právě na UPC Mistral jsme zaznamenali až dvě desítky pokusů o průnik či scanování portů (což se běžně považuje za předehru k pokusu o průnik) za den (z logů firewallu). Přitom podle IP adres šlo o zájemce doslova z celého světa.

Situaci totiž komplikují takzvané trojské koně – soubory, které po  jednom spuštění se automaticky zavedou do systému Windows a čekají na příkazy z internetu. Ten, kdo takového trojského koně vypustil, pak může skrze jejich instalace po internetu útočit utajeně na cizí počítače nebo provozovat jiná alotria. Likvidací trojských koňů se již neúčastní pouze firewall, ale také antivirus – a to je další program, který by na vašem počítači neměl chybět.

Po novém roce vám nepřineseme jen sérii testů osobních firewallů, ale zaměříme se také na osvětu v oblasti bezpečnosti, v prvé řadě pak přineseme podrobnější praktické rady, jak zabezpečit svoje počítače na dostatečnou úroveň a vyhnout se přitom zbytečným investicím. Konečným řešením by byl ale přechod na zabezpečený systém – například na Linux. Jak ale odborníci upozorňují, ani některé, zejména uživatelsky přítulnější distribuce, nejsou v implicitní instalaci přehnaně dobře zabezpečené. K Linuxu ale přistupují lidé s již pokročilejší znalostí problematiky a zpravidla jsou schopni si systém donastavit.

Není se také čemu divit, že mnozí poskytovatelé domácího připojení k internetu vnucují svým zákazníkům takzvané proxy cache. V tom případě totiž uživatelé nejsou připojeni internetově viditelnými adresami a útoky na ně jsou z internetu přeci jen obtížnější. Tak jsou chráněni například uživatelé TESmedia internetu, zatímco uživatelé UPC Mistral mají veřejnou IP adresu. Obojí přístup má své výhody i nevýhody a podle některých informací z UPC se rovněž uvažuje o zavedení proxy cache už proto, že dochází volný prostor s veřejnými IP adresami. Běžné dial-up služby ovšem za žádnou proxy cache nejsou a o ochranu se tedy musí postarat sami uživatelé.

  • Nejčtenější

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

v diskusi je 125 příspěvků

26. března 2024

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo...

Z jaderné triády zbyly Britům už jen ponorky. A ty musejí posílit

v diskusi je 76 příspěvků

27. března 2024

Jadernou triádu tvoří strategické bombardéry s jadernými zbraněmi, mezikontinentální balistické...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 30 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Rusko zastavilo odlet na ISS s první Běloruskou, letět měla i Američanka

v diskusi je 50 příspěvků

21. března 2024  10:23,  aktualizováno  14:26

Ve čtvrtek 21. března se necelých deset minut před půl třetí odpoledne měla vydat na Mezinárodní...

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Načapali jsme otesánka, který se velkého sousta nezalekne. Boeing 747-400F

v diskusi je 8 příspěvků

21. března 2024

Poté, co na Letiště Václava Havla Praha přestaly v barvách Qatar Airways létat nákladní Boeingy...

Dočasná raketa se po téměř 70 letech loučí. Nyní startuje naposledy

v diskusi jsou 3 příspěvky

28. března 2024  15:36

Přímý přenos Tento čtvrtek stojí na startovací rampě mysu Canaveral poslední potomek raket Thor, nosič Delta IV...

Američané odepsali modul, který je vrátil po půl století na Měsíc

v diskusi je 20 příspěvků

28. března 2024,  aktualizováno  11:41

Od začátku letošního roku je na Měsíci a kolem něj poměrně rušno. Vedle řady sond, které zamířily...

Hlučínsko patří nám. Před 100 lety byl podepsán definitivní protokol o hranici

v diskusi je 30 příspěvků

28. března 2024

Před 100 lety definitivně skončily tahanice o československo-německé hranice. 28. března 1924 byl...

Úspěšný let prototypu XB-1 vrací do hry cestování nadzvukovou rychlostí

v diskusi je 34 příspěvků

27. března 2024  17:17

Po více než dvaceti letech, od ukončení provozu letounu Concorde, se možná opět dočkáme nadzvukové...

Akční letáky
Akční letáky

Prohlédněte si akční letáky všech obchodů hezky na jednom místě!

Rána pro britskou monarchii. Princezna Kate má rakovinu, chodí na chemoterapii

Britská princezna z Walesu Kate (42) se léčí s rakovinou. Oznámila to sama ve videu na sociálních sítích poté, co se...

Smoljak nechtěl Sobotu v Jáchymovi. Zničil jsi nám film, řekl mu

Příběh naivního vesnického mladíka Františka, který získá v Praze díky kondiciogramu nejen pracovní místo, ale i...

Rejžo, jdu do naha! Balzerová vzpomínala na nahou scénu v Zlatých úhořích

Eliška Balzerová (74) v 7 pádech Honzy Dědka přiznala, že dodnes neví, ve který den se narodila. Kromě toho, že...

Pliveme vám do piva. Centrum Málagy zaplavily nenávistné vzkazy turistům

Mezi turisticky oblíbené destinace se dlouhá léta řadí i španělská Málaga. Přístavní město na jihu země láká na...

Kam pro filmy bez Ulož.to? Přinášíme další várku streamovacích služeb do TV

S vhodnou aplikací na vás mohou v televizoru na stisk tlačítka čekat tisíce filmů, seriálů nebo divadelních...