Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Test: uživatelé zanedbávají zabezpečení počítačů připojených na internet!

  5:00aktualizováno  5:00
Otestovali jsme, jak jsou zabezpečené počítače lidí připojených na internet přes dial-up nebo kabelový modem. Situace je kritická. Mnoho uživatelů nemá ani základně zabezpečené počítače a proniknout do nich je až příliš jednoduché.

Internet s sebou mimo mnoha pozitiv nese také určitá rizika. Nejcitelněji se to projevuje v oblasti bezpečnostní. A na tu se zaměřil náš test trvající od počátku prosince a prověřující, jak jsou na tom se zabezpečením počítače jednotlivců připojených k internetu.

Záměrně jsme se nezaměřovali na firemní klientelu a na firemní sítě, ale na to, jakým způsobem mají zabezpečené počítače běžní uživatelé, připojovaní k internetu dial-upem, přes kabelový internet, a taktéž jsme testovali bezpečnost uživatelů připojených přes GSM společnosti Eurotel. Výsledek testu tedy přináší stručné zhodnocení, jak bezpečné jsou počítače normálních lidí. A věřte, výsledek vyvolal pouze zděšení.

Než přistoupíme k číslům, metodice a zhodnocení testu, ponořme se na chvíli do (silně zjednodušené) teorie určené začínajícím.

Skrze každý počítač, jenž je připojený do internetu, lze nejenom přistupovat do internetu, ale může na něj být také přistupováno z internetu. Ačkoliv nejčastěji se z internetu přistupuje na webové servery, vůbec to neznamená, že počítač připojený přes dial-up by byl z internetu nedostupný. Pouze na něm (zpravidla) neběží klasické služby jako web nebo ftp, ale často na něm běží jiné síťové služby, přes internet rovněž dostupné nebo napadnutelné.

U počítačů s Windows je nejvíce zneužitelný protokol NETBEUI, používaný hojně pro sdílení tiskáren nebo disků v malé síti. Pro přístup k počítači s instalovaným NETBEUI postačuje v příkazové řádce počítače zadat adresu počítače za dvěmi lomítky \\120.30.13.19 - a pokud je počítač připojen k internetu s nainstalovaným protokolem NETBEUI, můžete ihned procházet obsah jeho disku.

Hlavním problémem NETBEUI je skutečnost, že návrh tohoto síťového protokolu vychází ještě z doby, kdy počítačové sítě byly oddělené a nežádoucí živel se do nich neměl jak odkud dostat – to byla doba, kdy Microsoft propagoval sítě Lanmanager a Novel představoval vrchol počítačových sítí.

NETBEUI tedy postrádá rozlišení úrovní oprávnění a z Windows v podstatě nemáte žádnou jednoduchou možnost, jak uživatele připojeného přes NETBEUI detekovat. Jedinou obranou je spustit program Sledování sítě ze souboru Systémových nástrojů (v menu Příslušenství) - zde vidíte připojené uživatele a můžete je i odpojit. Jenže kdo to ví? A mít pořád na pozadí tento program spuštěný také není to pravé ořechové...

U systémů s Linuxem lze pro vstup do systému používat služby jako Telnet nebo SSH, v prvním případě ale musíte na síti odposlechnout heslo, kteréžto putuje nekódovaně, zatímco v případě SSH heslo putuje kódovaně a jeho odposlechnutí to téměř vylučuje. Možností je samozřejmě více, ale tyto jsou nejpopulárnější.

Samozřejmě nekódovaná hesla jsou také veliký problém.  Existují specializované utility sloužící k poslouchání na síti a ukládající nezašifrovaná hesla do souborů určených k dalšímu „použití“. U sítí, které jsou propojeny hubem namísto switchem (týká se hlavně pevných lokálních sítí), je totiž možné odposlouchávat provoz pro všechny stanice z jakékoliv stanice – provoz totiž směřuje na všechny počítače a každý počítač si vybírá to svoje. Není těžké zrušit vybírání a přijímat vše a ukládat například hesla. Pokud tedy používáte FTP, email účty jako POP3 nebo IMAP4 či Telnet a další služby, kde hesla putují nekódovaně, pamatujte na to, že lze takové heslo snadno odposlechnout a zneužít. Do jiných systémů tedy vždy používejte jiná hesla, než máte pro svoji poštu!

Odposlouchávání hesel v síti
Takto jednoduše se odposlouchávají hesla na síti. Na naší zkušební síti jsme odposlechli heslo a to je zatržené červeně. Po kliknutí na obrázek se zvětší náhled. Je to opravdu až příliš snadné na to, abyste mohli nekódovaným heslům důvěřovat...

 

Jaké jsou výsledky testu

Linuxové počítače byly v našem testu zastoupeny málo a neměly snadno odhalitelné slabiny. To bylo dáno především tím, že samy sloužily jako router nebo firewall, a tedy byly instalovány odborněji a se zřetelem k bezpečnosti.

Nejvíce problémů podle očekávání měli v našem testu uživatelé Windows, především starších verzí jako Windows 95 nebo 98, ti ale také byli nejhojněji zastoupeni, protože Win2000 nejsou určeny pro domácí použití a XP se teprve na počítače dostávají.

Problémy s protokolem NETBEUI se ukázaly být tím nejčastějším pochybením bezpečnostních zásad a zpravidla také největší a nejsnáze zneužitelnou dírou do systému. Nejběžnějším případem bylo, když uživatel měl nainstalovanou podporu NETBEUI a sdílel i skrze internet obsah svých disků nebo tiskáren.

Uživatelé UPC Mistral

Asi jako nejtristnější lze označit situaci u uživatelů služby UPC Mistral. Vzhledem k tomu, že tato služba poskytuje relativně laciné trvalé připojení do internetu, jsou počítače jejích uživatelů dostupné velmi dlouhou dobu a nemění příliš často své IP adresy. Tyto IP adresy jsou navíc veřejné, nekryté žádným firewallem nebo proxy instalované od UPC. Pro útoky jsou také uživatelé tohoto typu nejvhodnější obětí: jde povětšinou o domácí uživatele, a jak náš test ukazuje, mnoho z nich na bezpečnost svých počítačů vůbec nedbá.

Celkem 6 procent z 2000 otestovaných počítačů připojených skrze UPC Mistral mělo povolené sdílení svých disků a tiskáren BEZ použití hesla – k přístupu do těchto systémů nebylo zapotřebí vůbec žádné snahy.

Dalších 32% uživatelů používalo naprosto nedostatečné zabezpečení pro své systémy. Nebylo sice možné na disky vstoupit bez hesla, ale díky nedostatečnému zabezpečení ze strany NETBEUI bylo možno velmi rychle (v řádu minut) odhalit jejich hesla pro sdílení a opět nerušeně přistupovat k jejich diskům a tiskárnám.

Více než polovina uživatelů (55%) UPC Mistral neměla nainstalovaný vůbec žádný firewall a port 139 používaný NETBEUI byl otevřený a tedy přístupný  potenciálním pokusům o útok. Pokud od tohoto počtu odečteme oněch 38 procent počítačů, jejichž zabezpečení jsme již označili za fatálně nedostatečné, zbývá nám dalších zhruba 15 procentů počítačů, kde je nainstalovaná podpora NETBEUI, ovšem počítač naštěstí nesdílí žádné disky nebo tiskárny a tedy přístup do systému přes tento protokol by útočníkovi mnoho tak snadno nepřinesl. I tak jde ale o zbytečnou díru do systému.

Volný 

U uživatelů diap-up přístupu Volný byla situace ještě o něco horší. Vyzkoušeli jsme zhruba 1000 připojených počítačů v různých večerních časech a zjistili jsme, že používání firewallů je u této služby na podstatně nižší úrovni než u uživatelů UPC Mistral – jen zhruba 8 procent počítačů bylo vybaveno firewallem. Je to logické, uživatelé dial-upu tolik s útoky nepočítají a nejsou ani tak snadný a konkrétní terč, jako uživatelé kabelových sítí. Více jak 63 procent uživatelů mělo otevřený port s NETBEUI, ale naštěstí naprostá většina z nich neměla nainstalované sdílení ať již s heslem, nebo bez, takže snadno napadnutelných počítačů jsme napočítali 18 procent.

GSM Eurotel

U uživatelů připojení přes GSM v síti Eurotel jsme zjistili, že rychlost 9,6 či 14,4 kbps, jíž je většina uživatelů připojena, je pro jakékoliv pokusy o nepovolený vstup do systému natolik nepříjemným a obtěžujícím faktorem, že skoro spolehlivě odradí. Pouze uživatelé připojení přes HSCSD nebo GPRS byli připojeni natolik rychle, aby odezva jejich systému měla rezervu postačující pro nepozorované připojení k nim. Ovšem mnoho uživatelů Eurotel GSM bylo připojeno přes svá PDA, kde bezpečnost je zajištěna hlavně tím, že prostředky pro sdílení počítače zde v podstatě neexistují. I tak jsme ale byli schopni u téměř jednoho procenta uživatelů dialup připojení přes GSM Eurotel odhalit vážné bezpečnostní díry, jež umožňují přístup do systému.

Jak jsme testovali?

Pro otestování bezpečnosti systémů existují specializované utility – na to jsme ani nepotřebovali žádné sofistikované znalosti. Počítače jsme prověřovali na známé díry v NETBEUI a SMB, tedy zaměřovali jsme se speciálně na Windows počítače – ostatně na jinou platformu jsme narazili spíše výjimečně. Testovali jsme především rizika spojená se získáním přístup do systému a na disky, neprověřovali jsme bezpečnostní chyby vyvolávající například pády Windows.

Hackování a průniky do cizích systému bohužel už dávno nejsou doménou „opravdových hackerů“, nejčastěji se jimi baví takzvaní scripties, nebo scriptkiddies, čili skripteři. Na to, aby bylo možno proniknout do cizích systémů, dnes nejsou potřeba rozsáhlé znalosti, ale obstojnější knihovna specializovaného software, jenž lze najít na téměř každé web stránce věnované hackingu. Existují totiž nejenom programy díry hledající, ale i díry využívající. Vyzkoušeli jsme několik z nich, abychom prověřili, jak jednoduché je například rozluštění hesla na sdílený disk, a překvapilo nás, že většinu hesel byl schopen po internetu rozluštit do dvou minut, zbytek potom do deseti minut – přitom šlo o velmi uživatelsky přívětivý program pod Windows. Stejně tak existují utility, rovněž pod Windows, které proscanují vámi zadanou část sítě a navrhnou metody útoků na počítače spolu s bohatou nápovědou, jak útoky učinit realitou.

Zabezpečení počítačů uživatelů připojených k internetu je opravdu bídné
Tento program oscanoval zadaný síťový rozsah a automaticky nalezl počítače, které jsou přístupné. Po klepnutí myší navrhne i metodu průniku, a pokud je sdílení zabezpečeno heslem, pokusí se s velkou úspěšností heslo dekódovat.

 

Záměrně neuvádíme jména těchto programů, ale snadnost jejich používání a získání je dostatečně varující na to, aby bylo možno zabezpečení i soukromých počítačů připojených do internetu zlehčovat. Jestli si myslíte, že jste natolik nezajímaví, abyste nebyli pro někoho potenciální oběť, pak tento předpoklad možná platí u „opravdových hackerů“ – ale náctiletý školáček, který si instaloval pár prográmků, jistě bude dlouho vzpomínat na svůj první „průnik“, při němž vymazal právě váš pevný disk.

Zabezpečení počítačů uživatelů připojených k internetu je opravdu bídné
Takto probíhá scanování sítě. Červená tečka znamená nepřipojeného uživatele, zelená tečka je špatně zabepečený počítače s otevřeným portem pro NETBEUI a modrá tečka je počítač s uzavřeným portem pro sdílení skrze NETBEUI. Jak vidíte, počet zelených a modrých teček je dosti vyrovnaný.

Vzhledem k tomu, že uživatelé Windows 95/98 (a částečně i 2000) v podstatě nemají v systému žádnou podporu pro svoji ochranu a implicitní instalace systému patří mezi velmi bezpečnostně hazardní nastavení systému, uživatel napadeného počítače si ani nevšimne, že byl napaden – vesele jsme stahovali data z počítače kolegy, aniž by zjistil, že jsme se mu připojili na počítač, a jedinou pro něj viditelnou změnou bylo zdánlivé zpomalení připojení.  Velikou výhodou pro průnikáře je hlavně fakt, že použití NETBEUI se nikam neloguje a o průniku tedy po odhlášení z počítače nebude jediný důkaz.

Někteří odborníci jsou dokonce toho názoru, že Windows 95/98 jsou z bezpečnostního hlediska pro připojení k internetu naprosto nevhodná. „Minimem by měly být  Windows 2000, ale i u nich je implicitní instalace nepříliš silně zabezpečená a mnohé úpravy musí provádět již zkušený administrátor. Rozhodně není ani tento systém po implicitní instalaci bezpečný pro provoz na internetu a doplnění o firewall je jen žádoucí,“ řekl nám jeden z odborníků na průniky do počítačů, který si nepřál být jmenován.

Naštěstí není tak zle a je tu pár jednoduchých pravidel, jak se podobnému riziku vyhnout.

Odstraňte sdílení disků a podporu NETBEUI 

Především je vhodné odstranit sdílení disků – kdo to provedete v Nastavení sítě tím, že zrušíte zatržení Sdílení disků a tiskáren, případně vymažete podporu protokolu NETBEUI ve vašem systému. Pokud máte v domácnosti dva či více počítačů a chcete přesto své disky sdílet, je naprosto nezbytná instalace firewallu, programu umožňujícího hlídat, monitorovat a blokovat přístupy na vaše počítače z internetu.

Pořiďte si osobní firewall 

Pokud firewally znáte jako velké a drahé programy pro rozsáhlé počítačové sítě, pak vězte, že již existují i takzvané osobní, personální firwally, tedy programy určené pro ochranu několika málo počítačů či jednoho počítače.

Jak se chrání uživatelé, pokud vůbec 

Mezi uživateli UPC Mistral jsme vyzvídali, jakému firewallu dávají přenost. Na Windows systémech byly nejrozšířenější dva – Personal Firewall od české společnosti Tiny Software a americký Zone Alarm. Nejdůležitější výhodou obou systémů byla cena: pro osobní použití na jednom počítači jdou zdarma a hlavní odlišnosti byly uživateli spatřovány zejména v ovládání. Srovnání jednotlivých firewallů pro Windows se ale budeme věnovat příště, právě je testujeme – zatím můžeme potvrdit, že oba systémy jsou příjemně použitelné a hlavní úkol ochránit váš počítač opravdu naplňují.

Instalace firwallu vám umožní hlídat přístupy k vašemu počítači – firewall vám oznámí, že se někdo pokoušel o průnik, a případného útočníka i zastaví. Pokud se připojujete k internetu, nebo dokonce používáte u svého počítače trvalé připojení, instalaci osobního firewallu můžeme jen doporučit.

Zabezpečení počítačů je aktuální problém!

Že je problematika zabezpečení počítačů připojených do internetu žhavá a aktuální, o tom přesvědčuje nejenom snadnost získání a používání software pro průnik do cizích počítačů, ale také četnost těchto pokusů. Například právě na UPC Mistral jsme zaznamenali až dvě desítky pokusů o průnik či scanování portů (což se běžně považuje za předehru k pokusu o průnik) za den (z logů firewallu). Přitom podle IP adres šlo o zájemce doslova z celého světa.

Situaci totiž komplikují takzvané trojské koně – soubory, které po  jednom spuštění se automaticky zavedou do systému Windows a čekají na příkazy z internetu. Ten, kdo takového trojského koně vypustil, pak může skrze jejich instalace po internetu útočit utajeně na cizí počítače nebo provozovat jiná alotria. Likvidací trojských koňů se již neúčastní pouze firewall, ale také antivirus – a to je další program, který by na vašem počítači neměl chybět.

Po novém roce vám nepřineseme jen sérii testů osobních firewallů, ale zaměříme se také na osvětu v oblasti bezpečnosti, v prvé řadě pak přineseme podrobnější praktické rady, jak zabezpečit svoje počítače na dostatečnou úroveň a vyhnout se přitom zbytečným investicím. Konečným řešením by byl ale přechod na zabezpečený systém – například na Linux. Jak ale odborníci upozorňují, ani některé, zejména uživatelsky přítulnější distribuce, nejsou v implicitní instalaci přehnaně dobře zabezpečené. K Linuxu ale přistupují lidé s již pokročilejší znalostí problematiky a zpravidla jsou schopni si systém donastavit.

Není se také čemu divit, že mnozí poskytovatelé domácího připojení k internetu vnucují svým zákazníkům takzvané proxy cache. V tom případě totiž uživatelé nejsou připojeni internetově viditelnými adresami a útoky na ně jsou z internetu přeci jen obtížnější. Tak jsou chráněni například uživatelé TESmedia internetu, zatímco uživatelé UPC Mistral mají veřejnou IP adresu. Obojí přístup má své výhody i nevýhody a podle některých informací z UPC se rovněž uvažuje o zavedení proxy cache už proto, že dochází volný prostor s veřejnými IP adresami. Běžné dial-up služby ovšem za žádnou proxy cache nejsou a o ochranu se tedy musí postarat sami uživatelé.





Hlavní zprávy

Další z rubriky

Příchod sítí 5G je plánován na rok 2020
Nástup sítí 5G je zase o něco blíže. První vysílače jsou už postavené

Berlín Příchod sítí 5G je plánován až na rok 2020, ale k důležitým milníkům dochází už teď. Společnost Deutsche Telekom spustila první evropské vysílače umožňující...  celý článek

Pivníci.cz
Tipy na zajímavé weby: Se stránkou plnou piv se vám bude hodit hlídání

Hodnocení piv, kam na ně zajít a kde jsou u nás pivovary, najdete na Pivníci.cz. Na hodinu, na dvě či celý den. Potřebujete pohlídat děti prověřenou chůvou?...  celý článek

Ukázka podvodné soutěže na Facebooku.
Útočníci lákají na Facebooku uživatele na výhru i slevu na brýle Ray-Ban

Dostat z uživatelů citlivé informace o jejich soukromí zkouší podvodníci různými způsoby. V poslední době jsou to například různé soutěže na Facebooku nebo...  celý článek

Grafton Recruitment Praha
STOLÁŘ / TRUHLÁŘ - ZÁBŘEH 25000 Kč

Grafton Recruitment Praha
Olomoucký kraj
nabízený plat: 23 000 - 25 000 Kč

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.