Kontrola systému: zisťujeme, či došlo k útoku

Ak sa Vám podarilo vypracovať bezpečnostnú politiku, v tejto etape sa pravidelne (denne!) snažíte zistiť, či je všetko v poriadku. Hľadáte náznaky útoku: podozrivé hlásenia v logoch, zmenené alebo novovytvorené súbory na disku, podozrivú aktivitu na sieti a podobne. Ak pri kontrole systému nič nenájdete, je to dobre, ale neznamená to, že je všetko v poriadku. Naopak, ak niečo nájdete, máte síce problém, ale - prinajmenšom viete, že ho máte!

Analýza útoku: ako došlo k útoku?

Ak ste pri kontrole systému našli čokoľvek podozrivé, treba si výsledky overiť a podozrenia potvrdiť. Vo všeobecnosti platí princíp zdravej dávky paranoje, takže ak nájdete niekoľko podozrivých údajov súčasne, pravdepodobnosť, že útočník prenikol na Váš server, je vyššia.

Ak ste našli neklamné známky "cudzej aktivity", je predovšetkým potrebné:

1.nespanikáriť: nevykonajte nič nevratné, nereštartujte server, nepodnikajte recipročné útoky proti serverom, z ktorých podľa Vás prišiel útok
2.nezahladiť stopy: nevypínajte server, ale zabráňte znehodnoteniu stôp. Odpojte káble zo sieťových kariet a pracujte s konzolou. Treba prezrieť, či v zozname procesov nie je proces, ktorý tam nepatrí, či nie je prihlásený používateľ, ktorý prihlásený byť nemá, resp. je prihlásený z nejakej neznámej adresy.
3.zálohovať stopy: pre neskoršiu analýzu alebo pre analýzu na inom počítači si skopírujte logy z adresára "/var/log" na disketu alebo aspoň do iného adresára.
4.analyzovať spôsob preniknutia na server: analýza útoku nie je ani trochu jednoduchá a myslím si, že neexistuje "používateľská príručka" na tento proces. Odporúčania však existujú a sú publikované a linky.

Využite:

-logovacie súbory: sú neoceniteľné zdroje informácií, pravda, len v prípade, že ich útočník nevymazal. Je skvelé, ak sa logovanie uskutočňuje na samostatnom serveri, na ktorom nebežia žiadne služby.
-kontrolné súčty programov: umožnia detekovať zmeny a odhaliť trójske kone (podozrivé sú najmä zmenené setuid súbory). Je skvelé, ak máte program, ktorý pravidelne sleduje tieto zmeny, napr. "Tripwire", "Nabou" alebo aj jednoduchý skript,

Ochrana systému

Firewall

Firewall je sieťové zariadenie/a alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Internet a Intranet) a kontrolovať tok dát medzi týmito sieťami.

Kontrola údajov prebieha na základe aplikovania pravidiel, ktoré určujú podmienky a akcie. Podmienky sa stanovujú pre údaje, ktoré možno získať z dátového toku (napr. zdrojová, cieľová adresa, zdrojový alebo cieľový port a rôzne iné). Úlohou firewallu je vyhodnotiť podmienky a ak je podmienka splnená, vykoná sa akcia. Dve základné akcie sú "povoliť dátový tok" a "zamietnuť dátový tok". Po vykonaní takejto akcie firewall prestane paket spracovávať. Existujú však aj iné akcie, ktoré neurčujú osud paketu a slúžia napr. na logovanie hlavičiek paketu, zmenu hlavičiek paketu a podobne.

Ďalšou vlastnosťou firewallu, ktorá sa často používa, i keď nejde o filtrovanie, je schopnosť prekladu adries (Network Address Translation - NAT). NAT umožňuje zmeniť zdrojové a cieľové adresy v paketoch, čím sa najčastejšie umožňuje komunikácia so sieťami s privátnymi adresami (napr. 10.0.0.0/8). Aj preklad adries prebieha pomocou pravidiel.

Podľa toho, na ktorej vrstve firewall analyzuje sieťovú prevádzku, rozlišujeme v zásade dva firewally: Aplikačný proxy server a Paketový filter.

Firewally na ochranu (jedného) počítača

Firewally určené na ochranu jediného počítača sú jednoduché: ich úlohou je chrániť jeden jediný počítač (väčšinou s jedinou sieťovou kartou), nepotrebujú sa zaoberať routovaním paketov ani prekladom adries. Sú nakonfigurované na tom počítači, ktorý majú chrániť, a tak môžu ich pravidlá byť veľmi špecifické a umožňovať len tú sieťovú prevádzku, ktorá je potrebná na zabezpečenie služby na danom počítači.

Takéto firewally sa často používajú na doplnkovú ochranu servera, ktorý je umiestnený za nejakým už existujúcim firewallom, napríklad (ale nie výlučne) vo webhostingovom centre.

Firewally na ochranu siete

Vo väčšine prípadov je úlohou firewallu oddeliť dve alebo viacero sietí s rôznymi prístupovými právami alebo obsahom. Naďalej sa budem držať príkladu, v ktorom firewall oddeľuje Internet a Intranet. Z toho celkom logicky vyplýva, že cez firewall musia "tiecť" všetky informácie prúdiace medzi sieťami - v opačnom prípade ich firewall nemôže kontrolovať. Firewall funguje pre siete ako brána (v skutočnosti vykonáva aj routovanie paketov, takže táto analógia vlastne vôbec nie je od veci).

Hrozby pre PC

Trójsky kôň

Trójsky kôň je program, v ktorom sa skrýva zákerný alebo škodlivý kód napohľad neškodného programu. V jednom známom prípade, trójsky kôň bol program, ktorý mal nájsť a zničiť počítačové vírusy. Trójsky kôň môže byť široko redistribuovaný ako časť počítačového vírusu. Termín pochádza z Homérovej Iliady. V Trójskej vojne Gréci obdarovali obyvateľov Tróje veľkým dreveným koňom, v ktorom tajne skryli svojich bojovníkov. Počas noci bojovníci opustili koňa a premohli mesto.

Adware

Adware je akákoľvek softwarová aplikácia, v ktorej sa zobrazujú reklamy počas používania programu. Autori týchto aplikácii zahŕňajú aj prídavný kód doručujúci reklamy, ktoré môžu byť zobrazené cez automaticky sa otvárajúce pop-up okna, alebo cez okienko, ktoré sa objaví na obrazovke počítača (môže to byť napríklad okienko v dolnej časti obrazovky). Zdôvodnenie pre adware je to, že pomáha obnoviť náklady spojené s programovacím rozvojom a pomáha udržiavať výdavky užívateľa na minimálnej úrovni.

Adware bol kritizovaný kvôli kódu, ktorý vyhľadáva užívateľove osobné informácie a podáva ich ďalej tretej strane bez jeho oprávnenia alebo vedomia. Táto činnosť je menovaná ako spyware a vyvoláva protest počítačovej bezpečnosti a súkromných advokátov. Známy súkromný softwarový expert Steve Gibson z Gibson Research vysvetľuje:

Spyware je akýkoľvek software, ktorý využíva užívateľove internetové spojenie v pozadí (takzvaný backchannel) bez jeho vedomia alebo výslovného povolenia. Nečinné využitie pozadia internetového spojenia musí byť predchádzané kompletným a dôveryhodným uzatvorením ponúknutých spojení používateľov, nasledované kompletným príjmom a dovoleným súhlasom pre takéto využitie. Akákoľvek softwarová komunikácia cez internet, ktorej chýbajú tieto prvky, je obvinená z kradnutia informácií a správne a pravdivo nazvaná: Spyware. Niekedy sa nazýva aj Spybot alebo Tracking software. Spyware je programovaný tak, že sa usídli v počítači, kde tajne zhromažďuje informácie o jeho používateľovi a podáva ich ďalej inzerentom alebo iným zainteresovaným skupinám.

Spyware a ako sa brániť

Spyware sa môže dostať do počítača ako softwarový vírus alebo ako výsledok inštalácie nového programu. Dáta zhromažďujúce programy inštalované s vedomím užívateľa, nie sú priamo povedané spyware, v prípade, ak užívateľ plne rozumie, aké dáta sú zhromaždené a kým sú používané. Spyware je často inštalovaný bez užívateľovho súhlasu ako automaticky stiahnutý program, alebo ako výsledok kliknutia na automaticky sa otvárajúcich pop-up oknách.

Spyware je internetový slang for Advertising supported software (Adware).

Je to spôsob pre ich autorov ako zarobiť peniaze z produktov inou cestou, než ich predávaním užívateľom. Existuje viacero spoločností, ktoré im ponúkajú miesto na zverejnenie reklám výmenou za časť z ich príjmu. Takto nemusíte platiť za software a programátori sú stále platení za ich prácu. Ak Vás stále prichádzajúce reklamy znervózňujú, môžete ich odstrániť tak, že budete pravidelne platiť licenčné poplatky.

Čo sa označuje ako SPYWARE?

Zatiaľ čo to môže byť považované za skvelú myšlienku, temnou stránkou je, že spoločnosti môžu taktiež nainštalovať prídavný stopovací software vo Vašom systéme, ktorý sa Vám plynule dovoláva používaním internetového spojenia a hlási štatistické údaje “materskej základni". Podľa pravidiel na ochranu súkromia spoločnosti tam nebudú citlivé ani identifikačné údaje zozbierané z vášho systému a vy by ste mali zostať v anonymite. Ostáva tu však fakt, že máte “živý” server sídliaci vo vašom počítači, ktorý ďalej posiela informácie o vás a vašich surfovacích zvykoch.

Je spyware ilegálny?

Napriek tomu, že názov môže tomu naznačovať, spyware nie je ilegálnym typom softwaru v žiadnom slova zmysle. Sú tam isté otázky, kedy používateľ chrániaci si svoje súkromie môže namietať a z tohto dôvodu radšej tento produkt nepoužiť. To zvyčajne zahŕňa sledovanie a posielanie údajov a štatistík cez server inštalovaný v užívateľovom počítači a využitia internetového spojenia v pozadí.

Ako sa brániť proti spyware

Existuje veľa kontrolovacích nástrojov, ktoré umožňujú užívateľovi sledovať všetky druhy aktivít na počítači v rozsahu od úderov na klávesnici, momentiek, prihlásenia na e-mail, chat alebo čokoľvek iné. Tieto nástroje sú taktiež navrhnute pre rodičov, obchodne spoločnosti alebo podobne prostredie, ale môžu byť ľahko zneužité, ak sú nainštalovane v počítači bez ich vedomia.