MyEgo.cz „Radek Hulán - nejčtenější a nejoblíbenější publicista v ČR“

Pokud nepoužíváte na svém počítači realtime antivirovou ochranu, můžete přesto občas narazit na potřebu otestovat nějaký soubor na to, zda neobsahuje malware či virus. Příklad může být stažený patch na Windows Live Messenger, který z něj odstraňuje reklamu.

Používám na toto online scan na virusscan.jotti.org. Skvělá věc na tomto nástroji je, že proskenuje až 10MB soubor celkem 18 různými antiviry, přes Avast, NOD32 až po Kaspersky. Bezpečnost takovéhoto skenu je samozřejmě podstatně vyšší než pouhým jedním lokálním antivirem (ne, stále ale není absolutní).

online scan na visusscan.jotti.org

V dnešní době člověk používá stovky webových služeb. Existuje přitom stále obrovská spousta lidí, kteří používají stejné či velice podobné heslo na veškeré tyto služby.

Uvedená věc je ovšem extrémně nebezpečná. Osobně používám asi 500 velice složitých hesel, typu TT2oKBW5uKOwF2tNucy&^xrD, na každý web a službu samozřejmě jiné.

Problém totiž je v tom, že překvapivě velká spousta webů si hesla ukládá jako plaintext, a pokud je na takovém webu heslo ukradeno, je z toho velký problém.

A mám s tím dokonce osobní zkušenost :-)

Na tento rok hacknutém www.phpbb.com webu jsem si kdysi dávno (asi 6 roků dozadu) založil jednorázový účet (na položení jedné otázky) a to samé na 5 dalších fórech. Toto heslo (bylo triviální, na fórech o nic nejde...) bylo ukradeno a zveřejněno.

V tomto případě se nestalo nic hrozného, ale pokud bych měl to samé heslo na citlivé weby a informace, tak je obrovský problém, který kriminální živly snadno zneužijí.

Navíc vůbec nezáleží na tom, zda to heslo je složité či jednoduché, třeba SvětHardware.cz měl (a možná stále má)  hesla uložená v databázi jako plaintext. Jejich admin či obecně libovolný člověk s přístupem k této DB může teoreticky vaše heslo zneužít - pokud je máte stejné na jiné weby, snadno se s ním přihlásí kamkoliv jinam aniž to poznáte.

A protože nemůžete nikdy vědět, zda daný web ukládá hesla jako plaintext, nepomůže vám ani jedno silné heslo, strojově jinak neodhalitelné.

Nutné je mít hesla různá na každou webovou službu a navíc silná.

Protože není v lidské moci pamatovat si 500 různých silných hesel, tak  musí na scénu přijít pomoc ve formě utilit.

Osobně používám RoboForm v ceně US$ 30. Je to skvělý plugin pro Internet Explorer a Firefox, který umožňuje generování hesel o libovolné délce a jejich ukládání ke každému webu zvláť (včetně více identit k jednomu webu). Tuto databázi hesel můžete zašifrovat heslem hlavním, a toto jediné si musíte pamatovat. Oněch 500 hesel bude bezpečně uloženo pomocí AES šifry díky master heslu.

Pokud to doplníte o šifrování disku pomocí (například) BitLockeru, je to dostatečně bezpečné řešení pro libovolné použití.

Osobně si bez RoboForm nedokážu fungování na internetu představit.

Související: Miliony hacknutých účtů v ohrožení. I v Česku

Šifrování disků je jeden ze základních stavebních kamenů pro bezpečné PC. Nedávno jsem narazil na článek Optimizing Client Security by Using Windows Vista (to samé platí dnes i pro Win 7), kde Microsoft popisuje zabezpečení svých klientských stanic - klíčovou součástí je právě BitLocker, chráněný režim IE, UAC, phishing filtr v IE, Defender a Windows 7 firewall. Obecně, sám Microsoft používá na maximum nových technologií ve Windows 7 (a i proto bych mohutně doporučil upgrade z Windows XP, Windows 7 je jednoznačně současný nejbezpečnější OS).

BitLocker je řešení, které je úžasně rychlé, bezpečné (používá se AES-256 s difusorem) a dokonale integrované v jádru operačního systému. Zásadní nevýhoda je v tom, že BitLocker bohužel není obsažen v Home Premium a Professional edicích Windows 7, jen v nejvyšších Ultimate a Enterprise.

Pro vlastní uložení klíčů máte několik možností. Na business noteboocích a lepších desktopových základních deskách máte k dispozici TPM chipset ve verzi 1.2, většinou od Infineonu či od Sinosunu.

TPM se používá pro dvě základní činnosti - uložení privátních šifrovacích klíčů a pro kontrolu, že systém jako celek nebyl změněn. TPM se při startu podívá na konfiguraci počítače (sleduje cca 20 ukazatelů, můžete je nastavit v gpedit.msc - Šablony pro správu) a pokud je hardware odlišný, TPM chipset klíč odmítne vydat.

ovládací panel Infineon TPM

Je o mě poměrně dobře známo, že nemám rád antivirové programy. Zpomalují totiž většinou zcela zásadně PC, způsobují jeho nestabilitu a různé falešné poplachy. Nicméně vypadá to, že se objevil první antivirus, který tyto problémy nemá (asi i proto, že jej programuje výrobce Windows samotných), a navíc je zdarma - Microsoft Security Essentials.

Osobně nevím, co bude od dnešního dne prodávat takový Eset (NOD32) či Symantec, protože se rychlostí, nezpomalováním počítače a stabilitou nemohou dle mých subjektivních testů s Microsoft Security Essentials měřit a jen těžko za ně bude dále někdo ochoten platit.

Microsoft Security Essentials

Dosud se mělo za to, že zabezpečení Wifi pomocí WPA-PSK s TKIP šifrováním by mělo být pro domácí podmínky relativně dostatečné. Některá starší zařízení totiž nepodporuji WPA2 s AES, a tak TKIP byla často jediná možnost (považována za poněkud lepší než tragický WEP).

Dle článku dnes zveřejněného na ComputerWorld.com je ovšem TKIP nově prolomitelné také během jedné minuty, takže je to dobrý důvod, proč případná starší zařízení upgradovat a používat jen a pouze WPA2-PSK / AES (to je stále bezpečné).

Související: Jak zabezpečit domácí Wifi router / síť - WPA / WEP

O tom, že místo antivirového balíčku používám raději mozek jsem psal už několikrát. Přesto se k tomu ještě vrátím. Myslím si totiž, že je načase, aby někdo přišel s anti-antivirovým řešením, které bude mazat veškeré existující antivirové programy. Proč?

Antivirus je totiž software, který:

• zásadně zpomaluje výkon vašeho počítače (dle této recenze je přístup na disk při použití antiviru až 26x pomalejší, takže z vašeho quadcore na 3GHz s rychlým RAID-5 polem vám antivirus udělá ten nejpomalejší netbook),
• způsobuje nestabilitu operačního systému a aplikací (v každém programu je minimálně jedna chyba, a balík, který zasahuje do chování celého operačního systému není výjimkou, právě naopak),
• způsobuje falešné poplachy díky nedokonalé heuristické analýze,
• neustále zpomaluje síťovou komunikaci jejím monitorováním,
• nepomůže vám proti neznámým či příliš novým rizikům (mám kamaráda, který používá zakoupený a aktualizovaný NOD32, a stejně pořád řeší nějaké viry),
• uvádí vás do zcela falešného pocitu bezpečí.

Antivirové firmy spoléhají na desítky let utvářenou atmosféru strachu. Přitom AV balíček samotný může za spoustu extrémně pomalých systémů, chybných algoritmů a zcela falešného pocitu bezpečí.

Na mém notebooku s hromadou RAM a rychlým procesorem se po instalaci Norton 2009 antiviru spouštěl Firefox 47 sekund namísto 10 sekund a kopírování 26MB velkého instalačního EXE souboru zabralo 12 sekund namísto jednotek milisekund. Po tomto zjištění bylo jasné, že vir zvaný "antivir" na mé PC nikdy nesmí.

Pokud tedy antivirový balíček není dobré řešení, co jiného používat?

Odpověď není tak přímočará. Pokud nechcete používat cosi tak strašného jako je AV balíček a máte rádi výkon svého PC, budete muset aplikovat nejen správné zásady práce na počítači, ale hlavně začít používat vlastní mozek. A to může bolet :-)

1. Kupte si legální Windows Vista x64

Windows Vista x64 jsou v současnosti nejbezpečnější a nejvýkonnější operační systém. Pokud stále používáte Windows XP či "řešeto" zvané OS X, bude dobré provést upgrade vašeho operačního systému.

Dostanete nejenom nové funkce, ale především výborné zabezpečení. Zvolte si rovnou 64bitovou variantu, která přichází s lepším zabezpečením než 32bitová Windows Vista.

2. Vytvořte si neprivilegovaného uživatele a vypněte UAC

Windows Vista přichází s konceptem nazvaným UAC. To je věc, kdy jste přihlášen jako administrátor na PC, ale vlastně nejste tak docela administrátor. Na UAC se vykašlete, osobně je to první věc, kterou na Windows Vista vypínám. UAC jen zpomaluje veškeré operace a nic zásadního neřeší.

Windows přitom mají od počátku implementované rozlišení mezi skupinou Users a Administrators, jen prostě toho prvotního  uživatele automaticky vytváří v té privilegované skupině.

Ihned po instalaci si tedy vytvořte běžného uživatele a pod ním pracujte. Takto to od pradávno dělá Linux či UNIX a funguje to opravdu dobře.

Na hlavním PC s ultrarychlým diskovým polem s Adaptec SAS/SATA-3405 řadičem jsem přešel na BitLocker. BitLocker zde šifruje zhruba 3.5TB dat pomocí AES-256 s difuzorem, a po více než měsíci používání je zde mimořádná spokojenost s rychlostí i spolehlivostí.

Dříve jsem používal PGP Whole Disk Encryption 9.x a TrueCrypt 6.0a, to jsou jednoznačně horší řešení.

BitLocker na HP 6710b notebooku

Protože jsem s BitLockerem spokojen, chtěl jsem jej nasadit i na notebook. Je to HP 6710b s T7300 CPU (2.0GHz), 4GB RAM a rychlým 200GB Seagate 7200rpm diskem. Jako operační systém používám Vista Business x64 SP1 CZ (OEM).

HP k tomuto notebooku dodává šifrování bootovacího disku, dokonce využívající pro uložení šifrovacího klíče vestavěný TPM chipset, a to pod názvem HP SafeBoot. Veškeré potřebné drivery a instalační sady si můžete v nejnovější verzi stáhnout z webu HP Support.

HP je mimochodem jedna z nemnoha společností, které od počátku podporují 64bitovou verzi Windows Vista, ostatní výrobci se teprve nyní pomalu přidávají.

Předpokládal jsem, že upgrade Business x64 (OEM) SP1 CZ -> Ultimate x64 SP1 CZ bude triviální, zadám nové licenční číslo, systém se přes internet aktivuje, doinstaluje pár komponent, které tvoří rozdíl mezi Business a Ultimate edicí, a bude hotovo.

Bohužel, tak jednoduché to není.

Po zadání licenčního čísla Ultimate edice (retail balení) systém nahlásí, že toto číslo nejde použít. To samé nastane, když spustím setup.exe z instalačního DVD z Windows, a to samé pokud z tohoto DVD nabootuji. Možná je pouze čistá instalace. Bohužel jediná možnost jak provést upgrade Business -> Ultimate je za pomoci speciálního Anytime Upgrade DVD.

Pokud nemáte k dispozici toto speciální DVD, není možné provést upgrade, jen čistou instalaci Windows a následně všech programů :-(

Před pár dny jsem odstranil ze svého diskového pole TrueCrypt 6.0a, protože to mělo nepěkný dopad na výkon při praktickém používání více aplikací a dal tam Microsoft Bitlocker, který je ve Vista Ultimate x64 SP1. K mému velkému překvapení je BitLocker výrazně rychlejší při drasticky nižší zátěži CPU. Vše na Q6600@3GHz, 8GB RAM, 4x500GB HDD na Adaptec 3405 RAID-5.

Takto vypadá BitLocker s AES-256 + diffusor:

Microsoft BitLocker je rychlý a nezatěžuje CPU

Otestoval jsem nasazení TrueCrypt 6.0a šifrování na svém diskovém poli tvořeném ze 4x Hitachi 500GB pevných disků v RAID-5 zapojení (výsledná kapacita je tedy 1.5TB), na dedikovaném Adaptec 3405 SAS/SATA PCIe řadiči.

Výsledek v HD Tune je poměrně zajímavý, pokles průměrné rychlosti čtení je z 163 MB/s na 122 MB/s, což je velice dobré, ovšem za cenu zvýšení zátěže CPU z 3.5% na 43%. Při testu se mimochodem procesor nedostal ze snížené frekvence 2.0GHz (Intel Speedstep), jeho maximální takt je jinak 3.0GHz, a ani TrueCrypt 6.0a jej tedy neumí zatížit na 100%.

Ale to je nakonec dobře, při frekvenci procesoru 3.0GHz by zatížení samotným TrueCryptem dosáhlo na zhruba 28%, a 72% zůstává stále pro ostatní procesy, při rychlosti čtení ze šifrovaného disku 122 MB/s.

Troufnu si tvrdit, že toto zdržení nemáte při běžných operacích (kromě editování HD videa, ale to není nutné šifrovat) poznat.

Jen si uvědomte, že celá bezpečnost zde stojí a padá na složitém hesle, neexistuje bohužel podpora pro TPM či eToken.

Update: Microsoft BitLocker je mnohem rychlejší než TrueCrypt

Adaptec 3405 + 4x HDD bez TrueCryptu

Sehnat nejnovější ovladače pro Aladdin eToken je na první pohled docela problém. Výrobce je nemá na webu, odkáže vás jen na prodejce, a autorizovaní prodejci nemají veřejně také nic.

Troška hledání na Google ovšem odhalí veřejně přístupné FTP ftp.ealaddin.com, kde je dostupný PKI klient pro Vista x86 i Vista x64. Jenže veškeré soubory používají heslo :-) Bezvadný servis klientům...

Naštěstí existují dobří lidé, kteří nabízejí drivery i bez hesla, na rozdíl od debilů z Aladdinu:

• PKIClient-x32-4.55.zip
• PKIClient-x64-4.55.zip

Druhá možnost je stáhnout si ovladače z ruského zastoupení Aladdin.ru, tam už nepracují debilové a ovladače neheslují.

Starší články

• 30.06.2008 BitLocker - snadné šifrování disků ve Windows Vista [komentáře: 6] 02.07.08 08:46
• 28.04.2008 Jak zabezpečit domácí Wifi router / síť - WPA / WEP [komentáře: 16] 26.09.08 14:15
• 17.12.2007 BitLocker - šifrování externích disků [komentáře: 10] 18.12.07 15:57
• 11.09.2007 Bezpečnost osobních dat je o rozložení rizika
• 10.06.2007 Vista Transformation Pack - chcete spyware?
• 21.05.2007 Má dnes ještě vůbec smysl antivirus?
• 15.05.2007 Asus WL-500gP - výborný router
• 30.12.2006 Příkazová řádka a GnuPG na telefonu [komentáře: 5] 01.01.07 23:53
• 26.12.2006 Dešifrování FTP hesel v Total Commanderu [komentáře: 31] 16.01.07 22:23
• 29.11.2006 Otevřený dopis pro Cenega.cz [komentáře: 82] 03.02.07 16:58
• 13.09.2006 Nejlepší antivirus je nyní dostupný zdarma [komentáře: 64] 05.02.07 01:45
• 07.09.2006 Virová nákaza? [komentáře: 14] 12.09.06 00:14
• 12.08.2006 Rychlejší start Windows s AutoRuns [komentáře: 11] 07.11.08 23:04
• 22.12.2005 Lepší adresáře a disky ve Windows (update) [komentáře: 20] 08.11.05 12:47
• 14.11.2005 Jsem imunní proti spamu [komentáře: 8] 08.12.05 11:09
• 08.11.2005 NTFS umí nativně symlinky jako Linux [komentáře: 25] 27.01.10 18:26
• 07.11.2005 Změna lokace adresáře „Moje dokumenty“ [komentáře: 13] 07.11.05 18:15
• 28.09.2005 VMware Workstation nebo VirtualPC 2004? [komentáře: 21] 30.11.05 22:12
• 31.08.2005 Aladdin eToken 64K PRO - startovací klíč pro počítač [komentáře: 16] 23.02.08 07:22
• 07.08.2005 Antivirus a antispyware je věc pro amatéry [komentáře: 72] 03.01.07 18:06