Co ohrožuje naše data? Milan Hála SVŠES, s. r. o. v Praze

Transkript

1 Co ohrožuje naše data? Milan Hála SVŠES, s. r. o. v Praze O významu vedení účetnictví nemá jistě cenu ani hovořit. Stejně tak nebude třeba zdůrazňovat, jakou hodnotu mají shromážděná data. Málo která organizace, ale ani jednotlivec, dnes nevede účetnictví (a s ním spojené evidence) ručně a bez pomoci výpočetní techniky. Připomínat důvody nasazení prostředků ICT je zbytečné a určitě budou všichni čtenáři schopni vyjmenovat mnoho výhod, které přináší. Zapomínat ale nesmíme ani na rizika, která s přínosy souvisí a kterým se musíme bránit. Připomeňme si některá ustanovení zákona č. 563/1991 Sb. o účetnictví ve znění pozdějších předpisů: 8 (1) Účetní jednotky jsou povinny vést účetnictví správné, úplné, průkazné, srozumitelné, přehledné a způsobem zaručujícím trvalost účetních záznamů. 33 Účetní záznam (2) Účetní záznam může mít písemnou nebo technickou formu. Pro účely tohoto zákona se považuje za a) písemnou formu účetní záznam provedený rukopisem, psacím strojem, tiskařskými nebo reprografickými technikami anebo tiskovým výstupním zařízením výpočetní techniky, jehož obsah je pro fyzickou osobu čitelný, b) technickou formu účetní záznam provedený elektronickým, optickým nebo jiným způsobem nespadajícím pod písmeno a), který umožňuje jeho převedení do formy, v níž je jeho obsah pro fyzickou osobu čitelný. (8) Účetní jednotky jsou povinny zajistit ochranu účetních záznamů a jejich obsahu, použitých technických prostředků, nosičů informací a programového vybavení před jejich zneužitím, poškozením, zničením, neoprávněnou změnou či přístupem k nim, ztrátou nebo odcizením. Zvláštní důraz bych chtěl položit na odstavec osmý 33, který ukládá povinnost zajistit ochranu účetním záznamům. Mnoho organizací a účetních (a samozřejmě i vedoucích pracovníků) si tuto povinnost dostatečně neuvědomuje. A pokud ano, mnohdy nekriticky a slepě důvěřuje výpočetní technice, která přece nemůže selhat, vždyť stálá tolik peněz Rizika uloženým datům hrozí z mnoha stran, některé si proto připomeňme: lidský faktor zde především myslím záměrné poškození například zhrzeným pracovníkem, živelná katastrofa požár, povodeň, zemětřesení... závada technického zařízení i když mají pevné disky výrobci uváděné vysoké průměrné doby mezi poruchami, poškozených pevných disků jsem viděl již pěknou řádku,

2 výpadek napájení, útok škodlivého kódu na data uložená v počítači. Zde bych se chtěl velmi stručně zaměřit na poslední zmiňované riziko tedy na škodlivý kód, který po své aktivaci poškodí data v počítači uložené. Před několika měsíci se šířil po Internetu prostřednictvím elektronické pošty nebezpečný virus jménem Abdul. Byl to virus skromný, ale zahraničního původu. Jsem albánský počítačový virus ABDUL.exe. S ohledem na mizivé možnosti mé země ti nemůžu nic udělat. V rámci humanitární pomoci si smaž ve svém počítači nějaký soubor a předej mě dál! Tento virus se po českých Internetových luzích a hájích šířil poměrně rychle, využívající metod sociálního inženýrství tak, jak to podobné kódy dost často dělají. Pravděpodobně nezpůsobil příliš mnoho škod (maximálně snad poškození obsluhy vyvolané záchvaty smíchu. Byl to ale poněkud černý humor, vezmeme-li v úvahu škody, které viry a jiná havěť celosvětově působily, působí a pravděpodobně ještě dlouho působit budou. Souhrnným označením pro tyto škodlivé kódy je MALWARE. Jde o zkratku dvou slov MALICIOUS SOFTWARE. Slovo software znamená počítačový program. Slovo malicious charakterizuje vlastnosti těchto programů a lze ho přeložit jako záludný, zlomyslný, potměšilý, škodolibý, jízlivý či poťouchlý. Pokud bychom chtěli najít nějakou definici malware, mohli bychom třeba tvrdit, že jde o: software určený k tomu, aby způsobil škodu. Rozdělení malware může být např. následující: o viry o makroviry o červi o trojské koně o adware o spyware o rootkity Jednotlivé typy se mnohdy prolínají a také označují různě. Lze slyšet například výroky typu dalším druhem viru jsou červi ap.

3 Počítačové viry Definici počítačového viru jsem si vypůjčil od Freda B. Cohena: Počítačový virus je počítačový program, který může infikovat jiný počítačový program takovým způsobem, že do něj zkopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci viru. Z této definice je možné odvodit základní vlastnosti o viry vyžadují hostitele, nemohou existovat samy o sobě, hostiteli jsou: o systémové oblasti disku (boot viry) o spustitelné soubory (souborové viry) o viry mají malou velikost o programováno v jazyce symbolických adres (assembleru, strojovém kódu) V případě bootovacích (boot) virů je hostitelem systémová oblast disku (diskety) a jedině pomocí nich se vir může dál šířit. Vložíme-li do počítače nakaženou disketu a pokusíme se z ní zavést operační systém (při zapnutí počítače je hledán operační systém na pevném disku či disketě) škodlivý kód (virus) je spuštěn, nahraje se do operační paměti a začne provádět svou nekalou činnost: o nakazí pevný disk, přesněji řečeno, nahraje se do systémové oblasti tohoto disku, aby se mohl aktivovat při každém dalším spuštění, o nakazí každou disketu, která je do počítače vložena, o provádí další činnosti, které do něj byly programátorem vloženy maže soubory nebo třeba časem zformátuje pevný disk. Virus po své aktivaci samozřejmě nahraje i operační systém tak, aby uživatel o přítomnosti viru neměl ponětí. Jedinou metodou šíření nákazy je snaha nahrát operační systém z nakažené diskety. Protože používání disket a zavádění systému z přenosných médií není časté, s boot viry se již příliš často nesetkáváme. Druhým hostitelem pro viry jsou spustitelné soubory. Tedy soubory obecně označované jako programy. Ty totiž mají vykonávat nějakou činnost a této vlastnosti může zákeřný kód využít. Spustitelné soubory poznáme podle přípony (tedy té časti jména souboru za tečkou) např. *.com, *.exe, *.bat, *.ovl, *.sys). Spuštěním nakaženého souboru se virus nahraje do operační paměti počítače, stává se tzv. rezidentním, a podle záměru svého tvůrce provádí svou činnost, Aby se mohl dále šířit, nakazí podle různých pravidel další soubory. Možnosti má dvě: o soubory prodlouží připojí své těla za původní soubor a vloží do něj informaci, aby se nejprve spustil virus a teprve potom původní soubor (takové viry se dají odhalit porovnáním původní délky souboru s aktuální) o soubory přepíše délka sice zůstane stejná, ale soubor je zničen a nedokáže již vykonávat svou původní činnost. Dalším typem škodlivého kódu jsou tzv. makroviry. Ty narušují zažité pravidlo o nulovém riziku, které pro systém představuje textový (nebo třeba databázový) soubor. Vždyť viry se přece šíří jen spustitelnými soubory (viz předchozí část). To vše je pravda. Pokud by soubor (vybereme si pro jednoduchost textový) skutečně obsahoval jen text, riziko by opravdu bylo nulové. Ale výrobci programů se nám snaží ulehčit práci, a proto umožňují do původně textových souborů ukládat i

4 další informace, například posloupnosti příkazů, tzv. makra. A právě tato makra lze zneužít a umožnit tak bezpečným textům například mazat soubory. První taková makra se objevila v produktech LOTUS AmiPro. Jejich nebezpečnost nebyla velká, protože byla ukládaná do jiného souboru než text a možnost jejich šíření tak byla omezena. Společnost Microsoft ale ve snaze ulehčit uživateli jeho práci spojila jak obsah (text) tak i programy (makra) do jednoho souboru a nebezpečí bylo mezi námi. Navíc jsou některá makra spuštěna automaticky např. při otevírání souboru a tak nemají problém se šířit. Akce prováděné makroviry jsou různé a protože jazyk dnešních maker (u Microsoftu jde o Visual basic for Application) je velmi mocný jde například o: o šifrování dokumentů, o odesílání dat z počítače pomocí FTP nebo u, o odesílání IP adres napadeného počítače, o rozesílání infikovaných souborů pomocí u na adresy ze seznamu kontaktů, o atd. Velkou výhodou pro české uživatele produktů Microsoft Office je skutečnost, že Microsoft lokalizoval (převedl do českého jazyka) i příslušný makrojazyk a proto jsou anglické makroviry v českém prostředí nefunkční. Počítačové červy (nebo snad počítačoví červi?) Červi na rozdíl od virů nepotřebují hostitele. Jde o samostatné programy, které se dnes šíří samostatně pomocí počítačových sítí nebo u. Při svém šíření využívají metod sociálního inženýrství (tedy využitím inteligence obsluhy počítače, kterou přesvědčí vykonávat činnosti, kterou by jinak nedělala ani pod nátlakem). Nejčastějším způsobem je šíření jako příloha elektronické pošty, často s maskovanou příponou. Soubor má přípony dvě např. foto.jpg.vbs. Protože Windows jsou běžně nastaveny tak, aby příponu souboru skrývaly, vidí uživatel jen foto. jpg. A protože v textu je mu vysvětleno, že jde o velmi lákavou fotku, rád na ní poklepe myší (přece v obrázku viry nejsou). A pak místo vnadné ženy (či vnadného muže) jen vidí (nebo spíš nevidí) jak mu v počítači mizí soubory, ve kterých má třeba několik let práce. Některé červi se šíří sami prostřednictvím Internetu nebo lokální počítačové sítě. Nakažený počítač postupně testuje všechny počítače ve svém dosahu (a ten je u Internetu dosti široký) a zkoumá, zda by je nemohl nakazit. Pokud takový najde, pronikne do něj a postup se dále opakuje. Příkladem takových velmi úspěšných červů je CodeRed nebo Nimda, které napadaly a stále ještě napadají systémy Microsoft Windows 2000/NT. Trojské koně Jako trojské koně označujeme programy, které bez vědomí uživatele provádějí svou, zpravidla škodlivou, činnost. Do počítače se dostávají několika možnými cestami: přímo z počítačové sítě (např. Internetu) zneužitím chyby v provozovaných službách (například IIS u serveru Microsoft Windows 2000),

5 po spuštění přílohy elektronické pošty jako součást legálně získaného programu (zpravidla jde o freeware nebo shareware) Pokud se napadení povede, program modifikuje systémové informace (například registry systému Windows), aby si zajistil spuštění po každém zapnutí počítače a dále zpravidla čeká na své využití. K tomu dochází zpravidla na pokyn zvenčí (po Internetu) a může pak sloužit jako ideální nástroj pro šíření jiné nákazy a SPAMu. Jeden z nejnebezpečnějších a nejznámějších má název BackOrifice (Backdoor), který slouží k otevření zadních vrátek pro útočníka a umožní mu ovládnutí napadeného systému V souvislosti s trojskými koni se užívá výraz zombie což označuje napadený a na dálku ovládaný počítač. Adware Slovo vzniklé jako zkratka z advertising software bylo původně označením pro program, který je sice zdarma, ale pouze za podmínky zobrazování reklamy (např. ICQ). Tento program se v případě svého užívání staral o nepřetržitý přísun inzerátů a upoutávek na produkty či služby inzerentů, kteří tak umožnili financovat vývoj programu. Ve slušném programu jste ale na tuto skutečnost upozorněni a s tímto vědomím ho používáte. Bohužel mnohé dnešní adware se něčím takovým, jako upozornění uživatele neunavují a naopak pronikají skrytě a modifikují systémové informace a brání se tak své likvidaci. V počítači se Vám objevují reklamní proužky v různých aplikacích, nové ikony v internetovém prohlížeči, nastavují výchozí stránku v prohlížeči či se otevírají různá reklamní pop-up okna Spyware Mnohem nebezpečnější než Adware je Spyware. Název, vycházející z anglického výraz pro špióna (Spy) se dostane nepozorovaně do počítače nejčastěji při prohlížení Internetu. Mnohdy je uživatelem instalován dobrovolně (např. jako nová utilitu zdarma). Při své činnosti pak odesílá informace (třeba jaké webovské stránky navštěvujete) na určený server. Bohužel existuje i spyware, která odesílá svému majiteli důvěrnější informace hesla čísla kreditních karet seznam souborů na Vašem počítači adresy navštívených webových serverů aktivity s multimediálními soubory Jednou z variant jsou tzv. keyloggery, které zachycují jednotlivé stisky kláves a ukládají je pro další použití autorem programu (nebo také zvědavým zaměstnavatelem). Jednou z možných ochran jsou například grafické klávesnice zobrazené na obrazovce (např. na www. servis24.cz).

6 Rootkity Mezi uživateli málo známá hrozba, ale určitě jedna z nejnebezpečnějších. Rootkit je program, který maskuje vlastní přítomnost v PC (souborů, změn v registru Windows...), popř. přítomnost jiných aplikací v PC. Detekce rootkitů je velmi obtížná, protože se samy aktivně snaží jakýmkoliv dotazům na svou přítomnost bránit. Většina např. antivirových programů (a ostatních anti... ) využívá pro svou činnost služeb API systému Windows. Rootkit pracuje (zjednodušeně) tak, že se vloží mezi aplikaci (třeba antivirový program) a API Windows a upravuje odpovědi systému. Proto lze mnohé z rootkitů detekovat jen tehdy, pokud je systém Windows nastartován z bezpečného zdroje. Smutné je, že i velké a legální firmy tuto technologii využívají. Asi nejznámější je rootkit, který použila pro ochranu svých autorských práv firma Sony BMG. Zde se po vložení chráněného CD se do počítače bez vědomí uživatele nainstaloval rootkit, který maskoval složky, soubory a zápisy v registru začínající $sys$. Této skutečnosti pak využili autoři škodlivých červů, kteří svůj kód podstrčili do počítače pod jménem začínajícím $sys$ a rootkit od Sony BMG ho zdarma skryl. Závěrem krátkého výhružného příspěvku nebylo strašit uživatele a nutit ho, aby se vrátil k vedení účetnictví na papíře, to by jistě nebylo správné. Účelem bylo upozornit na rizika a naznačit také cesty obrany, které by se daly sepsat asi takto: přemýšlet neotevírat pokud možno žádné přílohy ů, pokud to jer nezbytně nutné, raději si i ověřit, zda uvedený pisatel přílohu skutečně odeslal nainstalovat do počítače (a pravidelně aktualizovat) antivirový (a antispamový, antiadwareový, antispywareový...) program, nejlépe komplexní programový balík od renomovaného výrobce instalovat (a naučit se používat) firewall ochrannou zeď mezi počítač a okolní svět zálohovat důležitá data neustále se vzdělávat v oblasti počítačové bezpečnosti. Literatura: [1] Zákon č. 563/1991 Sb. o účetnictví ve znění pozdějších předpisů [2] internetové zdroje Ing. Milan Hála, SVŠES, s. r. o. v Praze milan.hala@svses.cz