| Název: | Co skrývají vaše data? (aneb content security) |
| Autor: | Tomáš Jurák |
| Publikováno: | IT NET 05/2002 |
Zabezpečit počítačovou síť neznamená jen postavit nedobytný firewall. Nebezpečí se může zjevit i ve formě zdánlivě běžné poštovní zprávy, zajímavé webové stránky nebo třeba užitečného souboru, stahovaného z Internetu.
Pojem content security můžeme přeložit jako "bezpečnost datového obsahu". Znamená to, že nestačí zamezit přístupu nepovolaných subjektů do chráněné oblasti. Je třeba též myslet na nebezpečí ukrytá mezi daty, která potřebujeme přenášet, a proto jim umožňujeme přístup do naší sítě. Můžeme sem zařadit následující oblasti:
- ochranu proti virům v souborovém systému,
- ochranu proti virům v elektronické poště,
- ochranu dat, přenášených protokoly http a ftp,
- blokování nežádoucího obsahu www stránek a pošty
Ochrana proti virům v souborovém systému
Historicky nejstarší je problematika ochrany spustitelných souborů před napadením viry. Tato oblast je pokryta mnoha produkty různých výrobců, které se příliš neliší ve způsobu své činnosti, jen svým zaměřením. Některé antiviry jsou určeny pro pracovní stanice, jiné se specializují na ochranu souborových serverů. V obou případech se antivirový program usídlí v paměti počítače a sleduje, které soubory jsou otevírány nebo přenášeny. Než je soubor zaveden do paměti nebo zkopírován, je prohlédnut, zda neobsahuje určité sekvence ze známých virů. Tady číhá největší úskalí "klasických" antivirových technik. Máte-li tu smůlu, že k vám zavítá zbrusu nový virus, který ještě není prozkoumán či ještě není zaveden v databázi vašeho antivirového programu, nemáte šanci. Díky Internetu se doba od rozeznání nového viru k aktualizaci virové databáze značně zkrátila, ale vždy nějakou dobu trvá, než se vůbec výrobce softwaru o viru dozví. Další prodlevu představuje perioda, se kterou si váš program nové definice od něj stahuje. Může to být každý den, ale při dnešních veleúspěšných e-mailových červech je doslova každá hodina či dokonce minuta drahá. Často velmi drahá.
Proto k tradičním technikám prohledávání dat na známé řetězce přibyla metoda heuristické analýzy. Spoléhá na to, že každý virus obsahuje kód, jež by se v "normálním" programu neměl vyskytovat. Heuristický program například hledá kód, který zapisuje do registru Windows nebo otevírá spustitelné soubory pro zápis. Tato metoda je účinná při odhalování nových, dosud neznámých virů. Může však také selhat, neboť programátoři virů jsou nesmírně vynalézaví, často však spíše vyvolává falešné poplachy. Kupříkladu nějaký systém pro správu počítače disponuje legálními funkcemi, které však antivir vyhodnotí jako nákazu. Heuristická analýza bývá nastavena na určitou míru spolehlivosti, kdy šance odhalení viru je v co nejlepším poměru k falešným poplachům.
Tvůrci antivirového softwaru často kombinují metodu virových sekvencí s heuristickou analýzou. Šance na odhalení starých, již známých virů, je vysoká a k ní se ještě přidává rozpoznávání virů nových.
Některé firmy se vydaly čistě směrem heuristického software. Zde existují tři způsoby detekce. Jedna z metod je známá jako filtrace obsahu. Při ní se kontroluje celý soubor proti daným pravidlům, podobně jako při hledání známých sekvencí. Druhá metoda, označovaná sandboxing, spustí soubor ve virtuálním stroji (jako např. Java aplety). Třetí metoda, analýza chování, neskenuje jen vlastní kód, nýbrž sleduje celkové chování systému a snaží se detekovat činnost, typickou pro záškodnický program.
Ochrana proti virům v elektronické poště
Nebezpečná příloha elektronické pošty je dnes asi nejčastější příčinou virové nákazy. Abychom byli přesní, ve většině případů z poslední doby se nejedná o virem nakažený užitečný soubor, ale o skript. Nejčastěji bývá napsaný v Microsoft Visual Basicu a pojmenovaný tak, aby jej příjemce zaručeně otevřel. Díky přirozené lidské zvědavosti se tak spustí program, který si zjistí adresy v jeho adresáři a těm se dále rozesílá. Naštěstí existují specializované antivirové produkty pro poštovní servery, které odchytí podezřelé zprávy ještě před tím, než se dostanou k uživateli. Jinou možností je zajištění kontroly procházejících zpráv firewallem. Nejčastěji je mail odkloněn k antivirovému serveru, který zajistí kontrolu. Pokud je ale ve firmě povoleno stahování zpráv z poštovních serverů v Internetu, například protokolem POP3, tyto zprávy se kontrole mohou vyhnout. Poslední šancí na jejich odchycení zůstává antivirový software na koncové stanici.
Na tomto místě je třeba zdůraznit, že žádný systém není nikdy stoprocentně spolehlivý. Důležitou součástí počítačové bezpečnosti je vzdělávání uživatelů. Poučený a uvědomnělý uživatel dokáže odchytit 80-90 procent potenciálních hrozeb. Zbytek připadá na bezpečnostní chyby v software. Kvůli nim například poštovní software uživatele předběhne tak, že spustí infikovaný soubor jako součást html stránky, nebo nesprávně interpretuje typ přílohy a spustí místo zvukového souboru soubor programový.
Ochrana dat, přenášených protokoly http a ftp
Nebezpečí se může do počítače dostat také při přenosu souborů z různých serverů, nad nimiž nemáme kontrolu. Typicky z www a ftp serverů v Internetu. Metody ochrany jsou stejné jako u jiné antivirové kontroly, liší se jen způsobem nasazení. Kontrolu může provádět specializovaná proxy, antivirový server spolupracující s firewallem nebo vyhrazené zařízení.
Použití antivirového proxy serveru má výhodu v jednoduchosti nasazení. Server se zapojí do sítě a uživatelé si jej nastaví jako proxy ve svých internetových prohlížečích. Obvykle se takový počítač konfiguruje jako nadřazená cache pro jeden nebo více proxy serverů, které pracují jako cache. Každý soubor, stahovaný z Internetu, prochází přes antivirovou kontrolu a poté může být uložen v cache a vícekrát poskytnut klientům. Metodu proxy serveru používá např. produkt Symantec Web Security.
Další používanou metodou je soustava antivirového serveru s firewallem. Firewall veškerou komunikaci v rámci svého nastavení posílá na odbočku s antivirovým serverem, umístěným například v demilitarizované zóně. Ten data zkontroluje a dá signál firewallu, že jsou buď v pořádku a mohou být předána dále uživateli, nebo že jsou infikována. V druhém případě nákazu umí odstranit a poslat čistý soubor dále, či nežádoucí soubor pouze odstraní a uživatel dostane místo svých dat jen informační hlášku.
Popsaný systém má výhodu v průhlednosti komunikace, neboť není třeba zásahu do konfigurace ani uživatelských stanic, ani vnitřního síťového prostředí. Je však třeba úzké spolupráce firewallu a antiviru. Na tomto poli aktivně vystupuje firma CheckPoint, výrobce firewallu Firewall-1, která se snaží svoje řešení (např. protokol CVP - content vectoring protocol) prosadit jako standardy. K tomuto účelu vytvořila alianci OPSEC (Open Platform for Security), která dobrovolně sdružuje přes 300 partnerských firem, zabývajících se počítačovou bezpečností. Certifikované produkty partnerů OPSEC by měly bez potíží mezi sebou spolupracovat.
Stejně jako v případě použití proxy serveru, vyvstává při použití firewallové "vyhýbky" problém s přenosem větších souborů. O co jde? Při stahování velkého souboru, nebo na pomalé lince, potřebuje antivir celý soubor, aby jej mohl prohlásit za bezpečný. Jenže než se celý objem dat načte, uživatelský program (prohlížeč nebo ftp klient) zahlásí timeout, neboť neobdržel za delší dobu žádná data. Nastalou komplikaci řeší výrobci metodami, při kterých antivirový server dodává klientovi malé části dat, které jej nemohou ohrozit, ale zajistí udržení spojení po potřebnou dobu.
Zajímavé řešení kompletní antivirové kontroly nabízí např. firma OSITIS. Jejich AVStripper je hardwarové zařízení, které se připojí mezi vnitřní sít a firewall a chová se zcela transparentně. Nepotřebuje ani IP adresu. Kontroluje všechny potenciálně nebepečné protokoly (kromě http a ftp i poštu, news apod.), které jím protékají. Vestavěný antivirový software je od Trend Micro.
Nebezpečí nepředstavují jen zavirované soubory. Velmi často se můžeme setkat i s jinými druhy nepřátelských dat. Jedná se nejčastěji o ActiveX komponenty www stránek, Java a Java aplety, VBSkripty. Tato rizika mohou být kontrolována stejným způsobem jako soubory. Stále častěji proxy servery a firewally přímo obsahují funkce, které z procházející html stránky odstraní definovaný typ skriptu.
Blokování nežádoucího obsahu www stránek a pošty
V zájmu každého podniku je přimět zaměstnance, aby trávili pracovní dobu skutečně prací a ne brouzdáním po Internetu. S tím souvisí i náklady na pevnou linku, které přes stále klesající ceny tvoří nezanedbatelnou část rozpočtu firmy na vybavení informační technikou. Zákazy mají své opodstatnění, ale skutečné zamezení přístupu k nepracovním stránkám je nejúčinnější. Jak se takové omezení provádí?
Nejjednodušší by bylo prostě nepovolit uživatelům vůbec se do Internetu připojit. Jenže dnes mnoho z nich pro svou práci tento přístup potřebuje. Musíme tedy rozlišit, kam je možné zabrouzdat a kam ne. Běžným způsobem je omezení dle jména domény. Tuto metodu lze rozšířit na konkrétní adresář či webovou stránku. Buď se filtrují pouze klíčová slova, která se v URL nesmějí vyskytnout, nebo přímo konkrétní adresy. Definice klíčových slov je univerzální, ale má svá omezení. Dokonce může způsobit problémy - je-li definováno jako jedno ze zakázaných slov sex, nedostane se uživatel například ke stránkám s popisem MSexchange. Takto též nelze zabránit přístupu ke všem mysliteným stránkám, které nesouvisí s náplní práce uživatele.
Seznamy povolených (nebo též zakázaných) URL či slov se definuje na proxy serveru nebo firewallu. S obrovským množstvím nejrůznějších www stránek se rozrůstají i jejich seznamy a není v silách žádného správce, aby je neustále udržoval a doplňoval. Zda nastupují specializované firmy, které s pomocí spolupracovníků na celém světě prohledávají a kategorizují Internet. Výstupem jejich činnosti jsou programy, umožňující definovat přístup k vybraným zdrojům na základě určité kategorie (zábava, zprávy, software....). Kategorií bývá několik desítek a lze přidávat další. Databáze obsahují kolem šestnácti milionů nejrůznějších adres a jsou denně aktualizovány. Potom stačí jen roztřídit uživatele a každému přiřadit patřičná oprávnění. Příkladem je software firmy WebTrends.
Uvedené servery se spojují opět buď s proxy nebo s firewally. Jejich výkon se tím mírně snižuje. Jinou alternativu řešení představuje server, umístěný na síťovém segmentu, přes něhož procházejí komunikace klientů do Internetu. Stroj má nastavenu síťovou kartu do promiskuitního režimu a přečte každý procházející http paket. Najde-li v něm nedovolenou adresu, vyšle uživatelskému počítači TCP paket s příznakem reset, čímž komunikaci ukončí. Výhodou popsaného řešení je minimalizace zásahu do síťové infrastruktury a nezvýšení zátěže již existujících strojů.
Kromě budování rozsáhlé databáze konkrétních stránek existuje již popsaná varianta filtrace dle klíčových slov. Specializované programy disponují databází termínů, roztříděných do kategorií. Obsahuje-li www stránka významné procento slov určitého typu, je zařazena do příslušné kategorie. Předností této techniky je jistá univerzálnost, na druhou stranu je značně omezena její použitelnost vzhledem k různým jazykům. K výhodám můžeme započítat možnost hlídání obsahu zpráv elektronické pošty. Software rozpozná, zda je e-mail soukromý nebo pracovní a podle toho s ním naloží. Uživatel tak nejenže dopis neodešle, ale ještě třeba bude uvědoměn jeho nadřízený.
Nasazení podobného systému s sebou vždy nese riziko selhání. Budete-li třeba posílat pozvánku obchodním partnerům na večírek, může být zpráva rozpoznána jako soukromá a zadržena. Do negativních vlastnosti podobných aplikací lze přiřadit i potenciálně zhoršenou atmosféru ve firmě. Je na rozhodnutí každého vedení firmy, zda podobný systém přijme či nikoliv.
Shrnutí
Popsali jsme si některé z nepříjemností, které jsou daní za elektronickou komunikaci s okolním světem. Jednotlivá témata nelze od sebe oddělovat, protože spolu navzájem souvisí. Nestačí hlídat jen jednu oblast. Pořídíme-li si dokonalý antivirový software a obsah filtrující servery s největší databází, vždy se může objevit skulinka, s níž nepočítáme. Ať již ji objeví vousatý hacker v černých brýlích nebo usměvavý kolega. Největší výhrou je zkušený a maximálně loajální uživatel. Bohužel, takových je pomálu a proto nezbývá, než investovat do stále dokonalejších a dražších produktů. Existuje samozřejmě i kvalitní software poskytovaný zdarma, ale i jeho implementace něco stojí. Vynaložené prostředky se však vyplatí. Náklady na kvalitní ochranu jsou vždy řádově nižší než hodnota dat, o která bychom mohli přijít.
