Co se děje v trávě

Autor: Martin <martin(at)vevetecky.cz>, Téma: Ostatní texty, Vydáno dne: 22. 05. 2009

O útocích z internetu se mluví pořád. Nedávno třeba proběhla tiskem zprávička, která sdělovala, že některé státní instituce v GB mohou svévolně kontrolovat obsah soukromých počítačů. S využitím internetu a bez vědomí majitele.

Většina uživatelů PC nad takovými sděleními mávne rukou a myslí si, že se jich to netýká, zatímco mluvčí a představitelé státních institucí se blahovolně usmívají a nonverbálně naznačují, že pisatelé podobných článků jsou paranoidní a občané se nemají podobnými spikleneckými teoriemi zabývat a už vůbec ne znepokojovat. Policie přece soukromí občanů chrání, a nadto nemá čas rýpat se ve vašem pevném disku, na kterém může být uloženo ve složce „Fotky z pohřbu“ tak leda pár speciálních fotografií pro pány, v horším případě nějaký ten výhružný nebo udavačský dopis. Taková data jsou ovšem pro státního úředníka svrchu nezajímavá, takže o IP adresu vašeho tiše vrnícího komplíka ani nezavadí.

Opravdu? No, ona taková IP adresa je totiž něco jako jméno na tlačítku zvonku. Skrze ni a některý z otevřených portů si může kdokoliv číst v špatně zabezpečeném počítači jako v žurnálu. Hesla a podobné „bezpečnostní prvky“, implementované do operačního systému, jsou leda pro kočku, protože firma Microsoft nabízí národním bezpečnostním úřadům nekompilovaný programový kód svých produktů jako na tržnici.

Neoprávněné přístupy na IP adresy počítačů a skenování otevřených portů za účelem proniknutí k uloženým datům nejsou proto něčím výjimečným. Naopak. Děje se to stále, denně a se značnou frekvencí. Jenže, co oči nevidí, srdce nebolí. Jak víte, že váš počítač někdo na dálku neprohlíží dvakrát do měsíce? Nevíte, protože bez vhodného equipmentu nedokážete takovou událost zjistit, a už vůbec ne jí předejít.

Vhodné příslušenství, cenou nepřesahující částku 2000,- Kč (jsou k mání i lacinější okolo 1000 Kč), se jmenuje směrovač (Router).



Je to malá krabička, kterou vřadíte mezi síťovou kartu počítače a přívodní kabel od ADSL nebo WiFi modemu. I když většina ADSL modemů již obsahuje firewall a NAT server, je velmi vhodné směrovač přesto použít. Instalace je snadná a průměrně zdatný uživatel, zapojení bez problémů zvládne podle návodu.

Škatulka je nacpána různými bezpečnostními fíčurami, a díky tomu dokáže mnoho věcí. My si ale krátce povíme o dvou nejdůležitějších. Tou hlavní je služba NAT (Network Address Translator). Zjednodušeně řečeno, NAT server převezme IP adresu počítače, která je platná v síti internet, a přeloží ji (maskuje) na adresu nejednoznačnou, lokální, na kterou nelze z veřejné sítě přímo přistupovat, protože tyto rozsahy IP adres nemají poskytovatelé ve směrovacích tabulkách, takže je nemohou dopravovat.



Jedna z těchto adres (většinou A nebo C) je následně službou DHCP (Dynamic Host Configuration Protocol) přidělena síťové kartě chráněného počítače. Druhou, neméně důležitou funkcí je logování (zaznamenávání) všech významných akcí prováděných směrovačem, mimo jiné i zamezení pokusů o přístup na veřejnou adresu, maskovanou NAT serverem. Logger nestandardní akci zaznamená a přičiní časový údaj o události. Seznam záznamů je potom dostupný přes webový prohlížeč.

Následně si můžete prohlédnout, jak vypadá výpis zamezených a zachycených (logovaných) pokusů o neoprávněné skenování a nalezení otevřených portů:



V tomto případě služba firewallu zaznamenala útok z IP adresy 64.191.203.30. dne 12. května v 17:21.

Přibližně v tomto čase jsem prohledával stránky Ministerstva vnitřní bezpečnosti USA (http://www.dhs.gov/xlibrary...), a následně vydal článek „Nesouhlasíš s prováděním potratů? Jsi terorista!“( http://www.vevetecky.cz/view.php?nazevclanku=nesouhlasis-s-provadenim-potratu-jsi-terorista&cisloclanku=2009050004), což potvrzuje i datum vydání u uvedeného článku.

Takže. IP adresa 64.191.203.30. zapadá do registrovaného intervalu IP adres v rozsahu 64.191.192.0 až 64.191.255.255 na firmu EQUINIX :



A co je předmětem podnikání firmy EQUINIX?



Mimo jiné i „Support and Monitoring“. Totiž firma EQUINIX je známa jako dvorní dodavatel speciálních služeb v oblasti IT pro administrativu USA. (http://www.equinix.nl/equinix/news/press/na/2008/news-4350/)

Netvrdím, že je to stoprocentní zjištění. Možná je to náhoda, a možná taky ne. Každopádně je to malý důkaz o tom, že útoky ze sítě internet jsou reálnou hrozbou, a že počítač s otevřenou IP adresou rozhodně nelze považovat za bezpečné úložiště vašich dat. Trend špiclování je a bude dlouhodobě progresivní, a když slyším pana Paroubka nebo Filipa mluvit o jistotách a pocitu bezpečí pro občany, mám neodbytný dojem, že jednou přijde den (Es kommt der Tag...), kdy u vašich dveří zazvoní v půl čtvrté ráno dva policejní pacholci, aby z vás vymlátili tajný, rodinný recept na jahodový koláč.

Tak jako tak se vám směrovač určitě vyplatí. Když už ne jinak, tak alespoň proto, aby nevítaní návštěvníci zjistili, že na váš stroj jen tak nedosáhnou, a také abyste měli přehled, kdo že to má zájem o data, uložená na vašem pevném disku. Prolomení dobře nastaveného NATu a HW firewallu je téměř nemožné, takže v kombinaci s bezpečnostním software (třeba Internet Security od české firmy Grisoft) tvoří velice solidní ochrannou hráz proti šmírákům, ať už sedí za státním nebo soukromým kompem.