H TÉMA BEZPEČNOST WI-FI Bezplatné surfovaní v cizí síti Internet na letišti, v kavárně nebo na koupališti je příjemný, ale drahý. Díky našemu návodu a programům z Chip DVD budete i zde moci surfovať zcela zadarmo. Zabezpečení totiž není v těchto případech tak silné, abyste je nepřekonali. VRATISLAV KLEGA Chat, ICQ, e-maily. zprávy, surfovaní -nic z toho nefunguje, jestliže nemáte připojení k internetu. Podle nejnovějších informací Českého statistického úřadu má připojeni k internetu 42 % domácností. 33 % domácností je připojeno k vysokorychlostnímu internetu. Není se čemu divit, vždyť nejlevnější připojení lze často pořídit od 200 Kč měsíčně. Co ale dělat, vydáte-li se mimo dosah svého access pointu? Zde se cena dramaticky zvyšuje. Ani připojení přes mobilní síť není žádnou výhrou. 3G internet je dostupný jen na vybraných místech a rychlost je oproti připojení přes Wi-Fi řádově nižší. O mnoho lepší není ani situace na veřejných místech, jako jsou třeba letiště. Připojení je předražené, a navíc se často prodává po celých hodinách. Přečtení jednoho e-mailu se tak může pořádně prodražit. Proto vám ukážeme, jak se připojit k hotspotu a nezaplatit ani haléř. A jak je to s právní problematikou takového jednání? Podrobnosti najdete v boxu na straně 45. Na závěr vám pak ještě poradíme, jak byste si měli zabezpečit svoji vlastní Wi-Fi sít, aby se do ní nikdo nedostal. DNS trik: Neprůchodný firewall Hotspot je vlastně takovou informační dálnici. Abyste mohli po dálnici jezdit, je třeba zaplatit mýto. lenže obyčejná cesta, která vede hned vedle dálnice, je zcela zadarmo. A právě této cesty využijeme. Nebudeme připojeni k běžnému proxy serveru poskytovatele internetu, ale využijeme DNS (Do- 42 HM? 07/2009 www.chip.cz main Name System) serveru. DNS server slouží standardně k tomu. aby převáděl názvy serveru na IP adresy. Pokud do svého in-ternetovčho prohlížeče zadáte www.chip.cz. DNS server prozradí, že se jedná o server s IP adresou 217.31.59.53, ke kterému se pak prohlížeč připojuje. Servery jsou totiž na internetu identifikovatelné právě podle IP adres a uživatel by si nikdy nezapamatoval desítky čísel svých oblíbených serverů. DNS servery vlastně fungují jako telefonní seznam - vy zadáte jméno a DNS najde správné číslo. DNS server je naši první cestou k bezplatnému surfovaní. Provozovatel hotspotu totiž může zakázat přístup do domén, ale ne k DNS serverům. Pokud by zakázal přístup k DNS serveru, nemohla by se zobrazit ani úvodní obrazovka, která vás nabádá k zaplacení internetu a přihlášeni se ke službě. Toho můžeme využít. Svoje pakety přidružíme k DNS paketům a oklikou je pošleme, kam budeme chtít. Tak se dostaneme na běžné webové stránky. Příchozí pakety se pak navíc správně pošlou na náš počítač. lednoduchý princip, který ale vyžaduje pečlivou přípravu: aby DNS server převáděl jména na IP adresy, musíme vytvořit objížďku. |e třeba vytvořit speciální server, který provede DNS převod. Tím vytvoříme kódované spojení, přes které je možné posílat data. Příprava serveru: Datový převáděč Pro přípravu vlastního DNS serveru neboli převáděče budete potřebovat počítač při- :■"-• . [j :;<*mr- OpnomcomDfcígpw«^ loggrg P-ravtX« »vfiomů None SOCKS* S0OCS5 M HTT- TehM • (octf 'Wm Pra*irwtrwnÉ CM jäWds. pay BO BeTmav EuUfe Mťffl Tmtation Seto&n : Cor»OW oronrg Ocd to« ccmeacni Cotoun Do DNS w tootte V pracy end le-toTKar. H> • Aao Tm Ekn l»n" p»mN Ftoflr TtMapwd «local onwooB«Btrei (tateew! 1 1 1 ehn*» cNd c-H SM ftOJ -J _ £"** _. Vlastni přenos: Pomoci nástroje PuTTY bude i obsah webu zabalený v DNS paketech, které vém hotspot rád předá. i NAJDETE NA CHIP DVD Prolomení Wi-Fi OzymanDNS »■ server pro DNS PuTTY Meinet klient Backtrack ► linuxová distribuce pro hackery I ► NA DVD: Programy k tomuto článku ijdete na DVD pod indexem PROLOMENI wi-Fl. pojeny k intemetu. Tento počítač musí mít vlastní doménové jméno, aby jej bylo možné po zadání dotazu vyhledat v DNS databázi. DYNDNS POMÔŽE: Aby bylo možné váš vlastní DNS server v intemetu najít, je třeba, aby měl veřejnou statickou IP adresu. Jen tak budete mít jistotu, že se ke svému serveru budete moci kdykoliv dostat. Používáte-li k připojení k intemetu ADSL od 02, dostanete sice veřejnou adresu, ale ne statickou. Adresa se tedy kdykoliv může změnit. Pokud byste chtěli statickou adresu, je třeba za ni připlatit. Řešením je služba DynDNS (www.dyndns. com), le-li vaše IP adresa přidělována dynamicky. DynDNS problém vyřeší. Otevřete si uvedenou webovou stránku a klikněte na »Create Account«. Zaregistrujte si službu -bude po vás vyžadován jen login a e-mail. Pro dokončení registrace je třeba otevřít e-mail, který přijde vzápětí po registraci, a dále kliknout na uvedený odkaz. Poté se ke službě znovu přihlaste. V části »My Services« klikněte na »Add Host Services«. Do řádku »Hostname« zadejte libovolné jméno své subdomény a vpravo si pak vyberte doménu. Do řádku »IP Address« zadejte současnou IP adresu svého připojení, případně můžete využít funkci pro automatickou detekci. Tu můžete použít v případě, že jste právě na internetovém připojeni, na kterém bude v provozu také váš DNS server. Kliknutím na »Create Host« je dynamický DNS záznam vytvořen. Většina domácích routerů již dnes podporuje službu DynDNS. Stačí se připojit k webovému rozhraní routeru. Pod položkou Advanced zde nejčastěji bývá Dynamic DNS nebo přímo DynDNS. Do rozhraní pak stačí vyplnit své uživatelské jméno a heslo, které jste zadávali při registraci, a doménu, kterou jste registrovali, v našem případě to bylo »chipdns«. POUŽITÍ DOMÉNOVÉHO JMÉNA: Aby mohl DNS server na straně poskytovatele hotspo-tu přistupovat k vašemu převáděcímu DNS serveru, potřebujete mít doménové jméno, které bude přesměrováno na váš server. Máte dvě možnosti: Bud máte zakoupenu vlastni doménu, a pak si sami můžete upravit DNS záznam na odpovídající hodnotu (IP adresu). Ve většině případu stačí poslat vašemu správci e-mail s novými údaji, a tím je vše zařízeno. Pokud doménu nevlastníte, je zde služba www.dnstunnel.de. Na uvedené stránce je vysvětleno, co musíte udělat. Celá stránka je bohužel v angličtině, proto přinášíme stručný popis. Poté, co máte vytvořen DynDNS záznam nebo máte pevnou IP adresu, pošle- B INFO Zbavte se spolusurfařů Náš trik se zneužitím DNS funguje jen u hot-spotů, za které chce pronajimatel zaplatit. U domácich access pointu a routerů je treba na několika frontách provést opatřeni, aby se k nim nikdo nepřipojil. ZABEZPEČENÍ routeru Když vybalíte router z krabice a připojíte kabely, většinou už funguje. I notebook se sám připoji k otevřené Wi-Fi a vše se zdá v pořádku. Většina uživatelů se proto ani nesnaží nic měnit a nechá Wi-Fi tak, jak je. To je ovšem ten nejhorší případ - Wi-Fi siť je nezabezpečená, kdokoliv se k ni může přihlásit a změnit nastaveni routeru. Je proto třeba provést potřebná zabezpečeni. Jak zabezpečeni provést, to si ukážeme na routeru AirLive WN-300R. Spusťte interneto-vý prohlížeč a zadejte adresu http.7/192.168.1.254. Výchozí adresu svého routeru najdete v návodu, někdy bývá adresa napsaná na spodní části routeru. Router bude požadovat uživatelské jméno a heslo. Jméno zadejte »admin«, heslo »airlive«. V menu poté zvolte »Password«. Router bude vyžadovat napsání starého hesla (airlive) a dvakrát budete muset zadat nové heslo. Doporučujeme zvolit délku aspoň osm znaků. SKRYTÁ SÍŤ V části »Wireless« nastavte parametry šitě. Pod položkou »Mode« zadejte název sítě. Zrušte také zatrženi u položky »Broadcast SSID«. Díky tomu nebude siť standardním způsobem viditelná, což řadu čmuchalů odradí. Pokračujte kliknutím na »Configure SSID1«. SILNÉ HESLO V části Security System vyberte »WPA2-PSK«. To je jediné šifrováni, které lze považovat za dostatečné bezpečné. Do řádku PSK pak napište své heslo. Chcete-li mít jistotu neprů-střelnosti, zvolte heslo aspoň o délce 15 znaků. Kliknutím na »Save« změny uložíte. JEN PRO VYVOLENÉ Šifrování pomůže také k tomu, aby nikdo ne-rozkódoval vaši internetovou komunikaci. Pro dokonalou bezpečnost nastavte, aby se k šiti nepřipojil nikdo cizí. Klikněte na »MAC Filter«. Dále zvolte »Trusted Wireless stations only«. Router nyni zobrazí seznam Wi-Fi klientů, kteří jsou nebo byli připojeni k routeru. Ta zařízeni, kterým chcete dovolit přistup k Wi-Fi. označte a kliknutím na »««je přesuňte do důvěryhodné zóny. Budete-li chtít přidat nové zařízeni, stačí vyplnit jeho jméno a MAC adresu. Ta je většinou zapsaná na zařizeni; jedná-li se o počítač s Windows, zjistíte ji příkazem »ipconfig -all« v příkazovém řádku. Máte-li síť skrytou, použito šifrováni WPA2 a aktivován filtr MAC adres, do vaší Wi-Fi šité se nedostane ani profesionálni hacker. WWW.CHIP.CZ 07/2009 HE? 43 H TÉMA BEZPEČNOST WI-FI Jak přelstít hotspot Bez zaplaceni se u hotspotu dostanete jen na DNS server. To vám však stačí. Nejprve je třeba vznést požadavek na webovou stránku (zelená), zabalit jej do DNS paketu (žlutý) a poté poslat na vlastni DNS server. Ten otevře požadovanou webovou stránku (červená), tu opět zabalí do DNS paketu a pošle DNS serveru v miste, kde se nacházíte. Ten vám pak data bez váháni předá, protože předpokládá, že se jedná o běžné DNS záznamy, a ne o placený web. te email na adresu request@dnstunnel.de. Do e-mailu uveďte své jméno, IP adresu, případně DynDNS záznam a také jméno sub-domény, kterou chcete používat - jakmile bude vaše žádost vyřízena, získáte záznam v podobě jmeno.dnstunneI.de. Nyní je ještě třeba doplnit CNAME záznam služby DynDNS. Ten je určen k přesměrování na subdoménu. Pokud je referenční záznam například »chipdns.chip.cz«, bude záznam ze služby DynDNS vypadat třeba jako »chipdns.gotdns.com«. Odpovídající CNAME záznam pak vypadá takto: Do »Alias Name« zadejte název subdomény, v našem případě »chipdns«. lako »Host Name« zadejte jméno včetně adresy svého DynDNS serveru, v našem případě »chipdns. gotdns.com«. Do položky »TTL« se zadává, jak dlouho má mít server uloženo připojení - standardně se zadává jedna hodina. DNS PŘEVÁDĚČ: Nyní dojde k přípravě samotného serveru. Současné verze serverů jsou dostupné jen pro operační systém Linux. Bude tedy třeba spustit Linux. Ani jej nemusíte instalovat, zcela postačí vhodná live verze, kterou stačí nabootovat. Pro spuštění tak bude stačit starý počítač, případně si vystačíte i s virtuálním počítačem pod Windows. My jsme použili Slax, který je základem záchranného Chip DVD 5/09, stejně tak ale můžete použít jakýkoliv jiný Linux. Upozornění: Ve Slaxu se místo příkazu sudo používá sulogin. Ke spuštěni serveru použijeme aplikaci OzymanDNS, kterou naprogramoval v Perlu DNS guru Dan Kaminsky. Nástroj se skládá z pěti souborů - dva slouží pro upload/ download za využiti DNS. Hezké, ale pro nás nezajímavé. Skript nomde.pl je pak samotný server. Používá port UDP 53, který je privile- govaný, proto je třeba skript spustit jako root. Také se ujistěte, že port 53 je dostupný zvenku - aby jej neblokoval firewall. Poté spusťte server tímto příkazem: sudo- ./nomde.pl- -i- 0.0.0.0- vaše- doména Místo „vaše doména" zadejte doménu, kterou jste registrovali jako CNAME-DNS záznam. Server je hotový, ted je třeba přichystat klienta. Klient: Vše ve Windows 1 klient funguje standardně jen pod Linu-xem, už se však objevily první verze, které klienta zprovozní i pod Windows. Vlastní spojeni mezi klientem a vaším DNS serverem je chráněno a šifrováno pomocí SSH. Takto se vytvoří DNS tunel až k vašemu serveru. Pro tunelováni použijeme program PuT-TY, který protokol SSH podporuje. Spusťte PuTTY - najdete jej na Chip DVD. Zvolte »Connection | Proxy« a »Proxy Type« nastavte na »Local«. )ako »Proxy hostname« zadejte »proxy« a port »80«. Poté aktivujte volbu »Consider proxying local host connections« a do »Telnet command« zadejte: droute.exe--r l.l.l.l-vaše-doména V menu »SSH« ještě zatrhněte položku »Enable compression«. To zrychlí komunikaci. Dále v menu »Session« jako »Host Name« zadejte libovolný název. Bez jména by PuTTY nefungovalo. Port ponechejte na hodnotě »22«. Kliknutím na tlačítko »Open« provedete připojení. Nyní je vše nastaveno. Abyste se však mohli třeba z Internet Explorern připojit do sítě, je ještě třeba provést úpravu v konfiguraci připojení. Spusťte Internet Explorer, zvolte »Nástroje | Možnosti Internetu | Připojení«, klikněte na »Nastavení místní sítě« a zatrhněte položku »Použít pro síť LAN server proxy«. Pokračujte kliknutím na »Upřesnit« a do řádku »Socks« zadejte »localhost« a port »5000«. Po kliknutí na »OK« můžete nyní surfovat ve všech placených hotspot sítích zcela zdarma. Vloupejte se k sousedovi: Prolomení WEP Hotspoty využívají poskytovatelé připojení k internetu. Co když se ale chcete podívat třeba do Wi-Fi sítě svého souseda? Pokud nečte Chip a neprovedl preventivní opatřeni před možným zneužitím, můžete se pomoci našeho postupu do jeho sítě dostat. BACKTRACK: Abychom mohli si t rozlousk-nout, budeme potřebovat profesionální výzbroj, kterou používají hackeři po celém světě. Na Chip DVD najdete image bootovacího Linuxu Backtrack. Tím, čím je pro kuchaře vařečka, je pro hackera Backtrack. )e třeba, aby měl Linux plný přístup k hardwaru, proto nemá smysl jej pouštět ve virtuálním počítači. Pomoci vhodného vypalovacího programu vypalte image na CD a nabootujte z něj počítač. Zhruba po třech minutách vás přivítá grafické rozhraní systému. Tip: Na webové stránce http://backtrack. offensive-security.com/index.php/HCL:Wire-less je seznam podporovaných Wi-Fi karet. U některých je také poznámka, jak pomoci několika jednoduchých příkazů upravit ovladače, aby návod fungoval. WI-FI OVLADAČE: Vedle tlačítka »K«, které je na stejném místě jako tlačítko »Start« ve Windows a které má i stejnou funkci, najde- 44 ľl.JIr1 07/2009 WWW.CHIP.CZ SPRÁVO Je to vlastně legální? Je treba se na letišti schovávat do temného koutku a neustále se divat, nepřijde-li policejní kontrola? Nebo se neni čeho bát? PRÁVNÍ PROBLEMATIKU JEDNÁNI NÁM OBJASNIL ADVOKÁT. Povoli-li provozovatel připojeni omezený přístup na svůj hotspot, nedává tím sám o sobě najevo možnost jeho volného užíváni. Pokud je dostupná jen některá neklí-čová služba, využiti takové služby k jinému účelu (např. služby tunelováni HTTP pomocí DNS) v naprosté většině případů také není provozovatelem povoleno. Uživatel tak bude nejspíše porušovat obchodní podmínky provozovatele a způsobovat mu zejména neoprávněným vytížením přenosové kapacity škodu a dále ušlý zisk. Stejné je to s neoprávněným přístupem k cizí šifrované Wi-Fi síti. Navic neoprávněné připojeni k takové síti bude od příštího roku trestné. Chip dodává: Ušlý zisk je v takovém případě v řádu desetikorun. Je tedy nepravděpodobné, že se v kavárně objeví zásahová skupina mužů v černém. Zkrátka: Kde neni žalobce, tam neni soudce. Každopádně ale platí, že vás Chip nenabádá k tomu, abyste se takto prolomili do sítě, u které nemáte od jejího provozovatele svolení. Veškerou popsanou činnost PROVÁDÍTE NA SVÉ VLASTNÍ RIZIKO. -Network List—(SSID) Naie T W Ch Packts Flag l-Netvork Details------------------------ ISSID : testovací ■G!X1IiV>44>msI I8SSID : 00:4F:74:38:23:OB Hanu f : Unknown Ha« Rate: 54.8 |8SS Tiie: 13b5c5a8f5_ Häx Seen: 1088 kbps First : Hon Jun 109:42:16 2089 Latest : Hon Jun 1 09:43:26 2809 Clients : 8 ■Type : Access Point (infrastructure) Itncrvpt : wpi .Beacon : 8 (8.880000 Mermace o síti: Nastroj Kismet poskytne podrobné informace o šiti, do které se chcete dostat. te ikonu s černou obrazovkou - spuštění terminálu. Klikněte na ni, otevře se černé okno. Zadejte příkaz iwconfig a potvrďte klávesou [Enter]. Program vypíše, které síťové karty jsou v počítači dostupné. Distribuce Backtrack obsahuje ovladače pro množství Wi-Fi karet, takže je vysoká pravděpodobnost, že najde i tu vaši. Na našem počítači našel Backtrack dvě karty. elhO a ethl. U ethO je poznámka »no wireless extensions«, u ethl je správně popsaná konfigurace. Víme tedy, že ethl je správná karta, se kterou budeme laborovat. Pokud je u vašeho počítače Wi-Fi ethO, ve všech příkazech zadávejte ethO. Dále zadejte příkaz macchanger--s-ethl Tím se vypíše MAC adresa vaši síťové karty. Tu si poznamenejte, budete ji potřebovat. QKOLNl SÍTĚ: Nyní je čas podívat se, jaké sítě jsou v okolí. Zvolte »K | Backtrack | Radio Network Analysis | 80211 | Analyser | Kismet«. Během několika sekund se spustí aplikace, která zobrazí dostupné Wi-Fi sítě. Na klávesnici stiskněte [s] a znovu [s]. Tím se sítě seřadí podle názvu. Šipkami si vyberte síť, do které se chcete nabourat, a stiskněte klávesu [Enter]. Zobrazí se podrobnosti o síti, tak jak vidíte na obrázku. Najděte řádek »Encrypt« a podívejte se, zda je v něm uvedeno »WEP«. ledna se o typ šifrování. WEP lze relativně jednoduše prolomil, na rozdíl od WPA. kde je postup složitější. Pokud je nastaveno šifrováni WEP a síť nemá omezený přístup podle MAC adres, máte téměř vyhráno. Ze zobrazeného okna si ještě poznamenejte hodnoty »SSID« (název Wi-Fi sítě), »BSSID« (MAC adresa přístupového bodu) a »Channel« (číslo kanálu). Stisknutím [q] a [Q] (velikost písmen hraje roli) aplikaci Kismet ukončíte. SBĚR DAT: Aby bylo možné heslo najít, je třeba nejprve začít sbírat data. která svišti vzduchem. Z nich se pak heslo rozkóduje. Spusťte Terminál a zadejte dva následující příkazy cd-Desktop airodump-ng-ethl -wmojedata---channel 5—ivs Za příkazem »channel« se zadává číslo (v našem případě 5), podle čísla kanálu sítě. do které se snažíte dostat. Toto číslo jste si zapsali v minulém kroku. Po potvrzení se spustí ukládání - nemusíte mu věnovat pozornost, do okna se vrátíme až na konci tohoto návodu. PŘISTUP NA AP: Ted je třeba začít „oťukávat access point. K tomu poslouži utilita aire-play. Spusťte nové okno terminálu a zajdete následující příkaz: aireplay-ng-l-O-e testovací-a 00:4F:74:3O:23:0B-h-O0:ll:22:33:44:55-ethl Tím přesné definujete, co je terčem vašeho útoku. Hodnota -1 říká, jaká je forma útoku, O je pak prodleva mezi útoky. Hodnotu »testovací« zaměňte za SSID sítě, do které se chcete dostat. MAC adresu za parametrem -a zaměňte za MAC adresu AP. Oboje jste si zapsali v okně s příkazem kismet. MAC adresa za parametrem -h je MAC adresa vaší sílové karty. Také ji tedy změňte, je to první hodnota, kterou jste si poznamenali. Příkaz ještě nepotvrzujte a spusťte další okno terminálu. INJEKCE PAKET0: Nyní začneme na access point posílat pakety a zjišťovat, co nám odpoví. Zadejte tedy příkaz aireplay-ng-3-b-00:4F:74:30:23:0B-h 00:ll:22:33:44:55-ethl První MAC adresa je opět vzdálený AP, druhá je opět vaše síťová karta. Příkaz potvrďte, vraťte se do předchozího okna terminálu a příkaz také potvrďte. Nejlepší bude, když si okna dáte vedle sebe. abyste je mohli sledovat. V prvním okně se budou posílat žádosti o autentizaci, ve druhém uvidíte, jak se in-jektují pakety. Zde je důležité sledoval hodnotu ARP. která se postupně zvyšuje. Čím větší je provoz na síti, tím rychleji hodnota roste. Aby bylo možné heslo určit, je třeba, aby ARP mělo aspoň hodnotu ÍOOO. Někdy to trvá pět minut, jindy to může být hodina. Pokud se stane, že v prvním okně příkaz skončí, spusťte jej znovu. |iž jej nemusíte celý opisovat, stačí na klávesnici stisknout šipku nahoru a potvrdit, lakmile dosáhne ARP hodnoty 6000, můžete obě terminálová okna zavřít. Vraťte se do terminálového okna, které jste otevřeli v bodě „sběr dat". NALEZENÍ HESLA: Sběr dat ukončete klávesovou zkratkou |Ctrl]+[c]. Mezitím na ploše systému uvidíte nové soubory, které ukládaly informace potřebné k rozluštění hesla. Zadejte příkaz aircrack-ng-s-mojedata-01.ivs Soubor mojedata-Ol.ivs vidíte na ploše systému. Pokud je název souboru odlišný, přizpůsobte jej. Po potvrzeni se zobrazí tabulka s informacemi, co je v souboru uloženo. V prvním sloupci je číselný identifikátor sítí. Vyberte tu, do které jste se vlámali. Nyní dojde k hledání hesla - to může několik minut trval. Nakonec vás přivitá hláška »KEY FOUND«. S VRATISLAV.KLECA@CHIP.CZ WWW.CHIP.CZ 07/2009 \M1\W 45 H AKTUALITY BEZPEČNOST KAŠPERSKY LAB Kašpersky Mobile Security 8.0 Společnost PCS, oficiálni distributor Kašpersky Lab pro ČR a SR, oznámila vydáni Kašpersky Mobile Security 8.0. Toto řešení je navrženo pro ochranu mobilních telefonů (smartphonů) před všemi typy softwarových a síťových hrozeb stejné jako před rizikem úniku citlivých dat v případě krádeže nebo ztráty přístroje. Nový produkt ocení zejména lidé, kteří mají ve smart-phonech uložena citlivá data. „Nová verze řešení Kašpersky Mobile Security obsahuje množství nových funkcí, které jsou mezi dalšími řešeními na trhu zcela unikátní. Jedná se například o SMS Find, rodičovskou kontrolu či rozšířené možnosti blokováni SIM karty," říká Bohdan Vrabec, Kašpersky Distribution Manager. Služ- ba SMS Find dokáže v případě zařízeni s navigaci GPS odhalit přesnou pozici ztraceného telefonu. Služba funguje tak, že uživatel pošle na ztracené zařízeni SMS zprávu s předem určeným heslem a jako odpověď obdrží odkaz do systému Google Maps s přesnými souřadnicemi polohy. Modul proti krádežím v řešeni Kašpersky Mobile Security 8,0 umožňuje vlastníkovi ztraceného nebo odcizeného smartphonů vzdáleně zablokovat přístup k zařízeni nebo zcela vymazat jeho paměť pouze tím. že pošle na číslo telefonu SMS zprávu obsahující kódové slovo. Pro případ, že je ze ztraceného nebo ukradeného telefonu vyjmuta SIM karta, je v řešeni Kašpersky Mobile Security 8.0 obsažen modul SIM Watch, který skrytě odešle zprávu, oznamující vlastníkovi telefonu nové telefonní číslo přístroje. Tato funkce zajišťuje, že vlastník bude moci bez ohledu na okolnosti smazat svá data nebo telefon zablokovat. Policie může nové číslo použít také k tomu, aby ukradené zařízeni vysledovala a vrátila právoplatnému majiteli. Další bezpečnostní funkce Pro uložení citlivých nebo důvěrných informací do mobilního telefonu umožňuje řešeni Kašpersky Mobile Security 8.0 přidat další úroveň zabezpečeni. Ve smartphonů je vytvořena zabezpečená složka, jejíž obsah je neustále zašifrován a je přístupný pouze po zadáni uživatelem definovaného hesla. Po zadáni hesla složka kvůli zvýšeni komfortu práce zůstává přístupná, dokud systém nedetekuje určitou dobu bez uživatelovy aktivity; pak složku opět uzamkne. Novinkou v řešeni Kašpersky Mobile Security 8.0 je rodičovská kontrola. Tato komponenta umožňuje rodičům omezit na mobilním telefonu dítěte zasíláni nebo přijímáni určitých zpráv (například na čísla se speciální tarifikaci, na čísla se službami pro dospělé apod.). Pomocí funkce SMS Find mohou rodiče v případě, že telefon podporuje GPS, své děti také najit. Řešení Kašpersky Mobile Security 8.0 obsahuje rovněž vylepšený antispamový modul, antivirový skener a firewall. Aplikace je kompatibilní s operačními systémy Symbian 9.1.9.2 a 9.3 a Windows Mobile 5.0,6.0 a 6.1. INFO: www.kaspersky.com TIPY KAŠPERSKY LAB Nárůst útoků na Facebooku 15. května zasáhl web Facebooku další phishingový útok. David Emm, člen týmu Global Research and Analysis Team společnosti Kašpersky Lab, popisuje současnou situaci takto: „Fenomenální úspěch Facebooku, Twitteru a dalších oblíbených serverů sociálních sítí vyvolal samozřejmě zájem počítačových zločinců. Tato skutečnost není nijak překvapivá a neobjevují se žádné známky toho, že by se situace měla zlepšit. Phishingové podvody jsou založeny na tom, že útočnici obětem předhodí návnadu, předstírají něco, co se na první pohled může zdát legitimní. Nechcete-li spadnout do této pasti, je klíčové používat určité obranné prostředky a zachovávat ostražitost." Škodlivý kód distribuovaný pomocí serverů sociálních síti je podle odhadu z hlediska počtu úspěšných infekcí lOkrát účinnější než malware šířený e-mailem. Uživatelé internetu s daleko větší pravděpodobnosti kliknou na odkaz, který dostali od důvěryhodného „přítele" (kontakt v sociální síti), než na odkaz v náhodném spamovém e-mailu. Společnost Kašpersky Lab v poslední dobé zaznamenala masivní nárůst phis-hingových útoků na přihlašovací stránku Facebooku. Počítačoví zločinci používali interní systém Facebooku pro zasíláni zpráv k rozesíláni krátkých textů, které po kliknutí na odkaz přivedou uživatele na stránku záměrně navrženou tak, aby vypadala jako přihlašovací stránka Facebooku. Společnost Kašpersky Lab nabídla praktický návod a informace určené pro minimalizaci rizika, že se uživatel stane obětí phishin-gových podvodu a dalších útoků počítačových podvodníků. Your Guide To Stopping Cybercrime (Průvodce pro zastaveni počítačové kriminality) je zdarma k dispozici na webu www.kaspersky. com/downloads/pdf/stopcyber-crime_guide.pdf. Hlavni tipy společnosti Kašpersky Lab pro ochranu proti phishingovým útokům: ► U serverů, jako je Facebook, si přihlašovací stránku uložte do oblíbených položek (záložek) we-bového prohlížeče nebo zadávejte URL přímo do adresního řádku prohlížeče. *■ Nekukejte na odkazy v e-mailo-vých zprávách. ► Důvěrná data zadávejte pouze na bezpečných webových serverech. ► Kontrolujte si pravidelně svůj bankovní účet a ihned kontaktujte banku v případě čehokoliv podezřelého. ► Sledujte, zda určitá zpráva ne-nese znaky phishingového e-mailu. Mezi takové znaky patří například to, že není adresována přímo vám, že nejste jediným příjemcem, že zpráva obsahuje pravopisné, gramatické nebo syntaktic- 33 Wekon*. OrMttfT. r—. '-*-»""'—"»■- .— •Ml *> .*.' ~*• O"-""»—— *•« MlMaa QnaalMte - I 'W.(H ■•> 1 *M»-»lllr*»»»H»Yfc»C*".««*»»** Mwttlf» » — Daň za popularitu: Facebook se stává stále častějšim cílem útoků. Velká komunita uživatelů láká i internetovou mafii... ké chyby nebo jinak nesprávné používá jazyk. *■ Nepřihlašujte se zbytečně s oprávněními správce. * Zálohujte svá data. David Emm své varování zakončuje následujícími slovy: „Velký počet zpráv o probíhajících podvodech, jejichž příkladem je poslední útok proti Facebooku, zvyšuje povědomí o rizicích počítačové kriminality. Je ale důležité si ujasnit, že se nejedná o izolovaný incident. Každý den zaznamenáváme více než 17 000 no-' vých internetových hrozeb." Komentář redakce: Uživatelé sociálních šiti jsou lákavým cílem. nejen proto, že mezi nimi panuje ..větši důvěra", ale z toho důvodu, že zde lze narazit na velké procento méně zkušených uživatelů. Popularita sítí tohoto typu vzrostla natolik, že v nich najdete i naprosté začátečníky, kteří mají s hrozbami z internetu jen malé, neDo dokonce žádné zkušenosti. Dobrá zpráva na závěr: Uživatelé českých „alternativ" mohou být prozatím klidni - diky naši „velikosti" jsou jako čile phishin-gových útoků pro internetové zločince nezajímavě. INFO: www.kaspersky.com 26 EGEL? 07/2009 www.chip.cz H AKTUALITY BEZPEČNOST íesHyfr chrAnimeval« digitálni svétv SPONZOR RUBRIKY BEZPEČNOST DATA A FAKTA Barometr nebezpečí v květnu: vysoké riziko stŕedni riziko Poté, co lovci virů dostali pod kontrolu červa Conf icker, nastalo trochu klidu. Spammeŕi a „phisheŕi" však nikdy nespi, a proto budte i nadále opatrní. Crimeware 2008 o N in M 10 10 m m m n m CO lO L-l 01/08 03/08 05/08 7/08 10/08 12/08 Zdroj: Anli-Phishtng Working Group Počet podvržených stránek (phishing) stoupl v roce 2008 celosvětově o 927 %. na 31173. Spyware boom 1.59%DIALERY 6.48% SPYWARE 11,64% ČERVI 31.51% TROJSKÉ KONE 21.14% ADWARE 27,64% JINÉ Zdroj: Panda Security, ítirnletni (isla Trend: Četnost infekci spywarovými nástroji vzrostla z 2,93 na 6.48 %. Číslo měsíce o y o k r eura stoji platná kreditní karta s odpovidajicim kontrolním číslem na ilegálních hackerských webových stránkách. Průlom do Wi-Fi silou grafiky Ruský nástroj prorazí během několika minut bezpečná hesla pro WLAN. Využívá k tomu výpočetní výkon grafického čipu. FABIAN VON KEUDELL Sítě WLAN chráněné standardem WPA a WPA2 až dosud platily za bezpečné. Nyní však program Wireless Security Auditor od ElcomSoftu dokáže jejich hesla prolomit. A stačí mu na to pár minut - má-li ovšem k dispozici výkonnou grafickou kartu. Oba typy šifrováni používají k výměně dat TKIP (Temporal Key Integrity Protocol). Vlastní šifrováni zajišťuje u WPA algoritmus RC4. u WPA2 postup AES. Slabým místem je v obou případech au- tentifikace. Dříve než si dva WLAN moduly mohou mezi sebou vyměnit data. musí si navzájem důvěřovat. Za tím účelem každá ze stran vypočítá z hesla WLAN, názvu sítě (SSID) a délky SSID klič PMK (Pairwise Master Key). S ním pak oba partneři vypočítají další klič, tzv. PTK (Pairwise Transient Key). Na základě PTK, MAC adres obou přístrojů a náhodných čísel vygeneruji komponenty příslušným šifrovacím postupem RC4 nebo AES konečné zašifrováni. 4§ EWSAProj« í - Elcomsoft Wireless Security Auditor | File Action Options Help Create new project 5* A Open project Save current project Start attack Pause attack Check for updates I Time elapsed: 1 Current speed: 1 Last password OyOd 0h:6m:44s 20493 decalobale Tim left Average speed: Processor load: OyOd 0h:2l 13228 lOOX 1 *^HH il Ssid Hash Password Status !j g) Chiptea 3 CWptest2 6ceMlde64acc6f7f4c7l6b■ chráni soubory a složky heslem PG ► šifruje a podepisuje emaily lila Thunderbird ►■ llteir li Ml poštovní klient i ►■ nabízí pokročilou konfiguraci cookies kMeNot»- nástroj na mazáni stop eCrypt Portable ►• ífruje přenosné disky ano32 ► skrývá dokumenty do multimediálních souboru Steganos Shredder»- trvale odstraňuje data musíte doplněk nejprve nakonfigurovat v nabídce »Nástroje | Nastavení Customize-Google«. Zde můžete například odstranit sledování myši, zbavit se otravných reklam nebo vypnout nápovědu Googlu. Další dvě volby důležité pro ochranu dal najdete v sekci »Soukromí«. Zde lze skrýt před Googlem svou identitu, stejně jako zakázat zasílání cookies serveru Google Analytics. APLIKACE: ještě mocnějším nástrojem z hlediska anonymního surfovaní je TOR. Zjednodušeně řečeno jde o „proxy", maskující vaše stopy na síti a tím i vaši identitu. Použi-váte-li jej při surfovaní, ani správci webo-vých stránek nebudou nikdy schopni vystopovat vaši opravdovou IP adresu, protože „od Toru" dostanete novou. Nejkomplexnějším způsobem maskováni je zahalení se do neviditelného pláště pomocí kombinace programu Tor. Privoxy a Vidalia. To jsou nejdůležitější nástroje pro váš pobyt na internetu „beze stop" - pokud je zkombinujete s Firefoxem, získáte snadný přístup k anonymnímu surfovaní. Baliček programů navíc k Firefoxu přidává tlačítko Tor. jehož pomocí lze jednoduše zapnout či vypnout proxy přímo z lišty pro- • e ©, NA DVD: Programy k tomuto článku najdete na DVD pod indexem ANONVM. Jste skryti: Na tomto webu si můžete ověřit, zda je vaše IP adresa skutečně změněna» hlížeče. Při přištim spuštění už v pravém dolním rohu uvidíte, zda je Tor aktivován, nebo ne. Stav můžete změnit pomoci kliknutí pravým tlačítkem na ikonu Toru, čímž si rychle zajistíte anonymitu během surfovaní. Pokud chcete mít stoprocentní jistotu, navštivte například web www.mojeip.cz. kde se dozvíte svou současnou „identitu" (například IP adresu a další informace o používaném softwaru). A protože proxy tuto informaci v nepravidelných intervalech „upravuje", je téměř nemožné vystopovat vaše aktivity na síti. Cena za anonymitu však není zrovna malá: rychlost při surfovaní na webu je podstatně nižší. Podrobný návod na anonymní surfovaní najdete na našem webu na adrese www.chip.cz Další alternativou je nástroj CyberGhost. Přestože Tor zakryje vaše stopy lépe. aplikace CyberGhost nabídne jinou, pro celou řadu uživatelů důležitější výhodu: můžete surf ova t podstatně rychleji. Po nainstalování a spuštění programu si vytvořte na webu firmy (www.cyber-ghostvpn.com) zdarma účet a přihlaste se. V rámci bezplatného anonymního provozu máte k dispozici 10 GB dat na měsíc, což je pro běžné surfovaní více než dostatečné. Drobnou nevýhodou je ještě automatické odpojení po šesti hodinách provozu a negarantovaná rychlost. Ti, kteří potřebují více, si mohou objednat prémiové konto za přibliž ně 10 eur měsíčně (s datovým tokem 40 GB, minimální garantovanou rychlostí 2 000 Kb/s a 2GB online šifrovaným úložištěm). Avšak CyberGhost neumí jen „anonymní surfovaní" - dokáže skrýt i váš „poštovní provoz". Neprůstřelná pošta: Komunikujte s Thunderbirdem Fxistuje někdo, kdo má rád cizí lidi čmuchající v jeho soukromé poště? Většina běžných uživatelů se musí WWW.CHIP.CZ 07/2009 DŠCH? 105 H PRAXE SURFOVANÍ BEZE STOP u mailü spoléhat na fakt, že poskytovatelé freemailovýeh kont osobní maily obvykle nekontrolují. Existuje ale jiné riziko: vzhledem k tomu, že většina komunikace po in-ternetu probíhá nešifrovaně, stačí, aby někdo „vyzkoušel'' zachytáváni paketu na lokální síti příjemce nebo odesílatele, a cestu k obsahu vašich dopisů má volnou... S Mozillou Thunderbird a novým rozhraním se můžete přestat tohoto rizika bát. Použijte nástroj GnuPG. který s Thunder-birdem bezproblémově spolupracuje. Stačí jen zařídit šifrování vašich mailů tak, aby zprávy mohl číst jen příjemce, a naopak abyste vám určené dopisy rozšifrovali jen vy. Kódování je asynchronní a funguje následovně: Pomocí GnuPG vytvořte sadu dvou klíčů; jeden bude osobní a ten druhý veřejný. Předejte veřejný klíč všem. od koho čekáte důležité e-maily. Zároveň si musíte dávat dobrý pozor na osobní klíč - nikdy byste ho neměli zveřejnit. To proto, že kódované maily odesilatelů můžete dekódovat pouze pomoci tohoto klíče. Podrobnější teoretické informace o této technologii najdete v minulém Chipu. V praxi to funguje takto: Na svůj počítač si nainstalujte GnuPG a k Thunderbirdu si přidejte doplněk Eni-gmail. V menu hlavního klienta klikněte na »OpenPGP | Key management«. V okně. které se objeví, přejděte na nabídku » Generate | New key pair« a zvolte ID (identifikaci e-mailového konta v Thunderbirdu). Poté zadejte tzv. passphrase, což je (zjednodušeně řečeno) heslo, pomocí kterého se bude komunikace šifrovat (ideálně by se mělo skládat jak z čísel, tak z písmen). Toto „heslo" si dobře zapamatujte, protože ho budete potřebovat k dekódování mailů. Profesionálové mohou ještě definovat sílu klíče v sekci „Advanced" nebo -yberGhosť Status | Ste-tatKS ScttM v. Expires on: Hilling month: Your anonymous IP address: Status: •*▼ Account adrrnntstrqbon Neviditelný plást: Tento nástroj vám nabidne nejen skryti adresy... zvolit speciální algoritmus. Nyní můžete vygenerovat samotné klíče (příkaz »Generate key pair«), což si ale vyžádá několik minut. Poté je váš poštovní klient připraven posílat utajené zprávy. GnuPG vám nabízí dvě verze „lepší pošty". První jen vylepšuje identifikaci: můžete zprávy podepsat digitálně. Díky tomu se může příjemce přesvědčit, zda byla zpráva opravdu zaslána vámi. Není to zbytečná práce, protože existuje celá řada metod, jak poslat mail vaším jménem (tuto technologii velmi často používají spammeři). Tomuto riziku se můžete vyhnout podepsáním svých e-mailů (v programu příkaz »OpenPGP | Sign message«). Jestliže příjemce vlastní váš veřejný klič, Thunderbird potvrdí správného odesilatele a označí ho zeleným proužkem v horní části mailů. Pozor: Tento postup zprávu jen podepíše, ne zašifruje! Druhá, bezpečnější a zároveň „nijak náročná" varianta je zakódování odchozi pošty. Opravdu to není nic složitého - vyzkoušejte si to: Nejprve klikněte na »Compose«, poté klikněte na »OpenPGP | Encode message« a pošlete si mail. Zpráva by měla za nějakou dobu dorazit do vaší schránky. Zároveň by měl Thunderbird zeleným pruhem upozornit, že jde o „bezpečný e-maiľ. GnuPG toho ale umí mnohem více - pomůže vám nejenom při kódování vašich mailů, ale i při šifrováni lokálních souborů. Podrobnější informace najdete v programu v sekci „Secret". Tajný: Šifrování pomocí open-source Ať už jde o telefonní účet, nebo o bankovní výpis stažený z portálu banky, papír postupně mizí z našeho běžného života, v současné době jsou důležité dokumenty stále častěj i zasílány ve formátu PDF. Často pak leží nechráněné v počítači a kdokoliv, kdo má k vašemu počítači přístup, si je může prohlédnout, lak se tomu bránit? OCHRANA DOKUMENTU: Chraňte jednotlivé soubory jednoduše hesly pomoci softwaru GnuPG, který jsme již popsali v sekci o šifrování pošty. Libovolný soubor lze jednoduše zašifrovat pomocí aplikace Gpg-4win přes kontextové menu Windows. Po instalaci programu stačí na soubor klik- ( 14:38::? - 0S.03.2O» 1433:27 You a« not «nonym Server nout pravým tlačítkem. Nejprve je ale nutne nástroj v nabídce »GPGee | Configure« nakonfigurovat. Zde musite například určit cestu k programu („Path of the program")-zadat cestu k souboru „gpg.exe" (ten se většinou nachází ve složce „C:\Program Files\ GNU)". Poté je software připraven k použiti. Nyní lze pomocí jednoduchého kliknutí pravým tlačítkem šifrovat vybraný soubor či celou složku. ALTERNATIVNÍ METODA: Zvolte příkaz »GP-1 Gee | Encrypt (symmetrical)«, lakmile vložíte již zmiňovanou „passphrase". nástroj vaše: data zašifruje. ŠIFROVÁNI DISKO: Komplexnějším nástrojem] vhodným pro šifrování většího objemu dat; je TrueCrypt Portable, který najdete na našem DVD. Ten dokáže chránit i přenosná pa-í měťová média. Nyní vám ukážeme, jak lze! pomocí tohoto nástroje šifrovat USB. Rozbalte si program na svém počítači a jeho kompletní složku zkopírujte na USB.: Poté program TrueCrypt spusťte a klikněte na »Create volume«. Nyní zvolte možnost umístěnou v horní části nabídky a vytvořte virtuální, zakódovaný disk. V dalším okně vyberte variantu „standardn TrueCrypt volume" a klikněte na »Next« a poté na| »File«. Poté zvolte svůj USB, upřesněte název „kontejneru", do kterého si přejete ukládat důvěrné informace v kódované formě, a volbu potvrďte pomocí »Save«. Dále určete velikost kontejneru a zadejte „passphrase". Nakonec vše potvrďte pomocí příkazu »Format«, který kontejner připraví k použití. Pokud si nepřejete vytvořit dalši „skrýše", klikněte na »End«. Váš USB nyní obsahuje šifrovaný datový kontejner, k jehož obsahu se bez programu TrueCrypt a vaší „pass-j phrase" nikdo nedostane... Abyste mohli kontejner otevřít a soubor použít, otevřete tento soubor v programu TrueCrypt v nabídce »File | Integrate« a zadejte „heslo". Poté se v okně „Tento počítač" objeví virtuální disk s vašimi daty. Pozor: lakmile jednou uložíte všechny soubory do] kontejneru, zavřete je tak, že zvolený „virtuální disk" označíte a zvolíte příkaz »Disconnect«. Nyní jsou vaše data chráněná, i po-] kud svůj USB disk ztratíte. PERMANENTNÍ SMAZÁNÍ: Hrozili nebezpečí že se USB disk dostane do nepovolaných rukou, doporučujeme alternativní opatření. „Nálezce" totiž může poměrně snadno na disku obnovit i soubory, které jste vymazali. Tomu se nyní můžete bránit například pomocí programu Steganos Shredder, který] dokáže data z příslušného média odstranit natrvalo... H AUTORgCHIpCZ 106 SUD* 07/2009 WWW.CHIP.CZ Znepokojuje vás rostoucí množství spamu ve vaši e-mai lové schránce? Představíme vám pomocníky, kteří umí dotěrné SPAMY odpálkovat. RADEK KUBEŠ vnero Podíl spamu na celosvětové e-mai-lové komunikaci se v současné době pohybuje mezi 70 a 80 procenty. Kromě spamu s nabídkami zboží (nejčastéji se jedná o léky, repliky značkových produktu, software, akcie atd.) vám prostřednictvím hromadně rozesílané, nevyžádané pošty hrozí také útoky virů a pokusy o odcizení vašich osobních údajů (phishing). Přestože existují zákony postihující odesílatele nevyžádané elektronické pošty, jsou na stále agresivnější spammery krátké. Jejich útokům je tedy třeba čelit jinými prostředky. Filtry nevyžádané pošty nasazují na své servery provozovatelé freemailů. nechybějí samozřejmě na firemních poštovních serverech a je možné jimi vybavit i váš počítač a používaného emailového klienta. Přestože e-mai-loví klienti bývají často vybaveni vlastním filtrem nevyžádané pošty, vždy můžete udělat něco navíc - v tomto případě instalací specializovaného nástroje na odhalování spamu. Představíme si nejlepší filtry nevyžádané pošty pro běžně používané e-mailové klienty, které očistí vaši schránku od spamu zcela zdarma. MailWasher: Kontrola před převzetím Princip fungování antispamového programu MailWasher je velmi jednoduchý, a právě proto může tento program spolupracovat téměř s jakýmkoliv e-mailovým klien- tem a poštovním serverem. MailWasher zkontroluje poštu ještě před jejím stažením do počítače a pomůže vám s identifikací spamu. Teprve po vyčištění schránky na poštovním serveru si do svého e-mailového klienta stáhnete nové zprávy a nebudete si zanášet počítač sparném. MailWasher startuje po instalaci průvodcem, který bud identifikuje e-mailové účty v Outlooku či jiném e-mailovém klientovi, nebo vám umožni nastavit parametry účtů ručně. Podstatou nastavení je, aby se MailWasher dostal k vaší poště ještě dříve, než si ji stáhne e-mailový klient. Podporo? ván je P0P3 i IMAP pro přístup k poště, stačí jen zadat adresu poštovního serveru (zjistíte v nastavení svého účtu na freemai 110 WWW 07/2009 WWW.CHIP.CZ B KNOW-HOW B NA DVD Nevyžádaná pošta MailWasher Free ►• antispam SPAMfighter»-uspaní Spamihilator CZ >■ antispam Spam Terrier ►• ait spam \ Plna verze: PC internet Security 2009 ► ochrana počítače NA DVD: Programy k tomuto článku najdete na DVD pod indexem antispam. lech typu Seznam, Gmail atp.) a přihlašovací jméno (nejčastěji e-mailová adresa a přístupové heslo). Po výběru nebo ručním nastavení účtu si ještě zvolíte instalovaného e-mailového klienta (z běžně používaných je podporován Outlook, Outlook Express a Windows Live Mail), se kterým bude MailWasher spolupracovat. Tím základní nastavení končí. Další použití programu je velmi snadné, MailWasher jej navíc demonstruje pomocí krátké animace, přehrávané při spuštění programu. Tlačítkem »Check Mail« zkontrolujete novou poštu na serveru. MailWasher roztřídí poštu na spam, na bezpečné zprávy a na e-maily, u kterých nemůže jednoznačně rozhodnout. Kliknutím na ikon- Techniky boje se sparném Filtry nevyžádané pošty pracují se dvěma základními technologiemi, založenými na způsobu přenosu spamu po síti a nebo jeho obsahu. Filtrováni spamu podle způsobu přenosu je založeno na existenci tzv. blacklistů, greylistú a whitelistů. Blacklisty jsou seznamy e-mailo-vých adres (nejčastěji falešných) a především IP adres, ze kterých bylo zaznamenáno rozesíláni nevyžádané pošty. Zprávy ze serverů zařazených na některý z blacklistů jsou antispa-movými filtry automaticky odmítány, připadne je výskyt odesilatele na blacklistů použiván jako jeden z indikátorů při posuzováni zprávy spamovým filtrem. Protikladem blacklistů jsou tzv. whitelisty, což jsou pro změnu seznamy bezpečných adres, ze kterých bude pošta bez problému přijímána. V rámci uživatelských nastaveni antispamových filtrů si můžete blacklisty i whitelisty doplňovat sami. Pokročilejší alternativou blacklistů jsou tzv. greylisty, které rozhodují na základě stejných vstupních informaci (adresa odesilatele), ale přidávají ještě faktor času, konkrétně v podobě dočasného odmítnuti doručeni podezřelé zprávy. Spam-meři využívající roboty pro rychlé odesíláni zpráv na obrovské množství adres se nedoručitelnosti zpráv zpravidla vůbec nezabývají a ani nezkoušejí nedoručené zprávy opakovaně odeslat. Na svůj útok totiž mají málo času, než je jejich adresa zařazena na některý z blacklistů. Seriózni poštovní servery se oproti tomu pokoušejí zprávu doručit opakovaně a jsou filtry po určité době (řádově desítky minut) odblokovány. Samostatnou vědeckou disciplinu by mohly tvořit způsoby filtrováni nevyžádané pošty podle obsahu. Posouzeni obsahu zprávy je totiž velmi individuálni záležitosti každého příjemce a nelze jej snadno zobecnit. Filtry založené na pravidlech vyhledávají typické znaky nevyžádané pošty. Může přitom jít o konkrétní slova a slovni spojení (např. Viagra aid.), ale i o běžnému uživateli skryté vlastnosti, jako je chybně označený typ zprávy, nekorektní hlavička atd. Filtr pridelí každému indikátoru spamu bodové hodnoceni a podle celkového výsledku a nastavené hranice citlivosti je zpráva předána dále, nebo naopak zablokována, úskalím této metody je především nutnost neustálé aktualizace pravidel filtru v reakci na stále se měniči techniky spammerů, Z tohoto důvodu byly také vyvinuty tzv. bayesovské filtry (podle matematika Bayese), založené na učeni se. Inteligentnímu filtru se v režimu učení předkládají zprávy označené jako spam a nespam a filtr si do vlastní databáze ukládá informace charakteristické pro oba druhy elektronické pošty. Filtr pak funguje na základě statistiky a pravděpodobnosti, že zpráva s určitými vlastnostmi je nebo není spam. Bayesovské filtry mohou učit samotni uživatelé ve svých e-mailo-vých klientech (např. Mozilla Thunderbird), nebo mohou fungovat zcela automaticky na poštovních serverech a studovat všechny přicházející e-maily. WWW.CHIP.CZ 07/2009 Míli? 111 H PRAXE B INFO Proč se rozesílá spam? Jisté vás napadne logická otázka, jaký cil vlastně rozesilatelé spamu sleduji, jaký užitek ze zahlcováni schránek nevyžádanými zprávami máji. K pochopeni smyslu rozesíláni spamu s nabídkami na zakoupeni léku, softwaru a jakéhokoliv dalšího zboži je třeba si uvědomit, že rozesláni e-mailu na miliony adres téměř nic nestojí. I při zcela zanedbatelné úspěšnosti lze říci, že každá kladná odpověď a pořízeni nabízeného 2boži jsou pro spammera ziskem. Přesto lze s úspěchem pochybovat o úspěšnosti tohoto obchodního modelu, u nás je známý případ hotelu U Lípy, propagujícího své služby prostřednictvím nevyžádané pošty. Provozovatel hotelu dostal nejdříve od Úřadu na ochranu osobních údajů pokutu ve výši čtvrt milionu korun za rozesíláni spamu, a nyni je dokonce v insol-venčním řízeni. Ani obrovské množství rozeslaného spamu asi nepřilákalo hotelu nové hosty. Jinou kategorii jsou spamy slibující úžasné výhry, převody majetku a jiný prospěch za sděleni důležitých osobních údajů (číslo bankovního účtu, kreditní karty atd.). Zde se již toči zajímavé peníze za prodej údajů získaných od důvěřivých příjemců spamu a z vykradených bankovních účtů. Dalším „posláním" nevyžádané pošty je také siřeni virů a dalšího škodlivého softwaru, který pak například sleduje aktivitu uživatele a vynáší z počítače citlivá data. V každém případě, neutuchající aktivita spammerů pohání celé odvětvi věnujici se vývoji technik pro filtrování nevyžádané pošty. ky označující spaní či bezpečnou poštu můžete klasifikaci změnit, MailWasher si přitom vaše rozhodnutí zapamatuje. Kliknutím na tlačítko »Process Mail« spustíte vyčištění pošty a pomocí tlačítka »Mail Program« spustíte svého e-mailového klienta, do kterého si pošlu stáhnete a kde s ní můžete dále pracovat. Došlou poštu umí MailWasher samozřejmě kontrolovat i automaticky, podle zadaných intervalů a pravidel. Potřebná nastavení najdete pod tlačítkem »Settings«. MailWasher používá několik způsobů identifikace a filtrování nevyžádané pošly. Imenujme především použití blacklists a whitelistů, filtrování na základě adresy příjemce, použité znakové sady textu, analýzu obsahu nebo učící se filtr, rozhodující na základě klasifikace e-mailů uživatelem. Možnosti nastavení filtrování pošty najdete v okně »Settings« pod nabídkou »Spam Tools«. Vedle bezplatně použitelné verze Free existuje také placený MailWasher Pro, který umožňuje pracovat s více uživatelskými účty, zobrazuje náhled textu zprávy před jejím stažením z poštovního serveru a neobsahuje reklamní banner. Pro jeden e-mailový účet je ovšem plně použitelná i bezplatná verze. SPAMfighter: Neohrožený bojovník liž během instalace se vás bude SPAMfighter ptát na adresu a heslo k e-mailovému účtu, který chcete očistit od nevyžádané pošty. Následně je třeba vypnout všechny e-mailo-vé klienty v počítači a dokončit instalaci. SPAMfighter přitom integruje své funkce přímo do e-mailového klienta - například Outlooku nebo Thunderbirdu. Po instalaci najdete jeho ovládací prvky v hlavním panelu nástrojů e-mailového klienta. Program komunikuje česky a je velmi snadné jej nastavit a používat. O osudu doručených zpráv rozhodujete pomocí tlačítek »Blokovat« a »Odblokovat«, přímo v prostředí Outlooku nebo jiného e-mailového klienta. S filtrováním pošty vám pomůže především systém blacklistů a whitelistů a nastavitelná úroveň důkladnosti kontroly příchozích e-mailů. SPAMfighter se zároveň učí z vašich rozhodnutí a sdílí informace pro blokování nevyžádané pošty se všemi dalšími uživateli programu. Funkce SPAMfighteru se neomezují na jeden e-mailový účet. záleží jen na nastaveni vašeho e-mailového klienta. Bezplatná verze funguje v plném modu po dobu 30 dní, poté jsou některé funkce omezeny. Do blacklistů nebo whitelistů můžete například přidat jen 100 adres, přijdete o funkci filtrování pošty podle použitého jazyka zprávy, nemůžete odstranit informační patičku o používání SPAMfighteru z odesílaných e-mailů a musíte se také smířit se zobrazováním reklamy na placenou verzi programu. Bezplatnou verzi SPAMfighteru můžete používat pouze k soukromým účelům. Po zaplacení registrace komerční verze SPAMfighter Pro můžete dále bez omezení využívat všechny funkce antispamového programu - na domácím počítači i v práci. Spam Terrier: Roztrhá spam na kusy Také funkce antispamového filtru Spam Terrier se integrují přímo do poštovního klienta. Během instalace programu je třeba provést bezplatnou registraci a získat licenční klíč. Když dojdete v instalačním průvodci do okna »Free Registration«, ponechte označenou volbu »Get free license now« a do dvou volných řádků zadejte své jméno a e-mailo-vou adresu. Jakmile kliknete na tlačítko Sf^lfighter üb sřssr ■ Mtontnm* ®>° _. _? _ j 1 Bojovník se spamem: SPAMfighter se integruje do prostředí Outlooku a podle nastavených pravidel identifikuje nevyžádanou poštu. »Další«, bude vám v e-mailu odeslán potřebný registrační klíč, který použijete hned j v následujícím okně průvodce. Pak už stačí jen dokončit instalaci a spustit e-mailového klienta. Podporován je Outlook v různých | verzích, Windows Mail nebo The Bati. Po spuštění e-mailového klienta se na hlavním panelu funkcí objeví nové ovládací prvky - tlačítka »Mark as Spam« a »Mark as Not Spam« pro označeni spamu a toho, co spamem není. Kromě automatické identifi- • Zakázaná slova: Důležitým vodítkem k rozpoznání nevyžádané pošty je také kontrola textového obsahu zpráv, jako to dělá například i Spami-hilata SPAMfighter Blacklisty a whitelisty: Základním prostředkem pro boj s nevyžádanou poštou jsou seznamy povolených a zakázaných odesílatelů zpráv. 112 HOBS' 07/2003 WWW.CHIP.CZ kace nevyžádané pošty je klíčovou funkcí programu schopnost naučit se rozpoznávat spam podle vašich preferencí. Průvodce učením spustíte kliknutím na nabídku »Train« v menu »Agni tu m Spam Terrier«. V prvním kroku si můžete zvolit, zda budete rozšiřovat stávající znalostní bázi antispamového filtru, nebo zda si začnete tvořit úplně novou. Doporučujeme vám ponechat první volbu a prohlubovat znalosti programu. Dále si vyberte složku, ve které jsou uloženy nevyžádané zprávy, na kterých se má Spam Terrier učit. V Outlooku jde zpravidla o složku »Nevyžádaná pošta«. Následně označte jednu nebo více složek s poštou, kterou nepovažujete za spam. Spam Terrier prozkoumá zprávy ve vybraných složkách a zapamatuje si vlastnosti pošty podle vaší klasifikace na spam a „nespam". Proces učeni je samozřejmě vhodné průběžně opakovat a rozšiřovat tak znalosti programu Spam Terrier pro rozpoznávání nevyžádané pošty. Spamihilator: Prohlídka na hranicích Antispamový program Spamihilator sice také spolupracuje s e-mailovými klienty, ale přímo se do nich neintegruje. Výhodou Odhad swnxj • anteed 30% ro». ' «-uaxtg JOS *n M* -v»3eos td 90 * 70% - 'ar*ia'.v vyhledává zakázaná sova a poôtá M-eŕpodobnost spamv. E -rt*i je považován za spam Mud je dosažen nastavený Práh pravdepodobnosti («staveni •> Agresivit«). Elobraal předdefinované vyrary Phctat.. J=zz Ifouiené poita - Thufideifcifd Úpravy Zob»«« PitjA i Zotav« Nástro;e Nápověda / Napsat Aureal Odpovědět Odp.viem Piepoilat - 4ttak i ■■ :!.- Delil nastavení nevyiadane potty lie provést v dialogu Nastaveni Ovtu J "cluďuťneoinetini.pravyjakonevyíádane # Přesunout je do sloifcy "Nevyžádaná" Smazat L: Qinaíit zprávy rotpoinané jako nevyíad ana poita jato plečtené V. Povolit logovani nevyžádaní patry Bez další instalace: Open-source poštovní klient Thunderbird nabízí kromě kompletní nabídky funkci pro příjem, odesíláni, tříděni a dalši zpracováni pošty i inteligentní antispamový filtr. takového přístupu je široká podpora různých e-mailových klientů. Spamihilator pracuje na pozadí operačního systému a o své činností dá vědět, pokaždé když e-mailový klient začne stahovat zprávy z poštovního serveru. Spamihilator během stahování zprávy zkontroluje a zablokuje spam. Instalaci a použití Spamihilaloru zvládne i běžný uživatel. Během instalačního průvodce není třeba měnit žádná nastavení, stačí pouze vybrat používaného e-mai-lového klienta a označit e-mailové účty. jejichž zprávy bude Spamihilator kontrolovat. Spamihilator podporuje protokoly POP3 a 1MAP, prostřednictvím kterých se stahuje pošta do vašeho počítače. Češtinu doinstalujete pomocí jazykového balíčku a uživatelské rozhraní se automaticky přepne při spuštění. Ikona aplikace se usídlí v oznamovací oblasti hlavního panelu Windows (vedle hodin). Po kliknuti pravým tlačítkem myši můžete vybrat zobrazení koše se zablokovanými zprávami, statistku filtrování pošty, funkci učeni automatického rozpoznávání spamu a samozřejmě nastavení Spamihilatoru. Spamihilator používá pro kontrolu přicházející pošty bayesovský filtr, blacklisty a whitelisty. Velmi důležitá je samozřejmě schopnost Spamihilatoru učil se dalším pravidlům na základě klasifikace pošty uživatelem. Výuka rozpoznávání spamu probíhá velmi jednoduše. Pokud zvolíte nabídku »Škola«, zobrazí se vám seznam zablokované pošty s vysvětlením, proč k označeni za spam došlo (»Důvod«), a pravděpodobnost, na základě které Spamihilator rozhodl (»Probability«). Pomocí tlačítek »Spam« a »Ne-spam« můžete sami určit klasifikaci zprávy a pak kliknutím na tlačítko »Uč se!« ovlivnit budoucí chování filtru. Další nastavení Spamihilatoru nabízejí například určeni priority použitých filtru (filtr newsletterů, příloh, obrázků, odkazů, zakázaných slov atd.). úrovně ochrany (označeno jako »Agresivita«) a samozřejmě i seznamů blokovaných a povolených odesílatelů zpráv. Mož- x 6 Smaiat Není nevyijdaoa Zobrajit log soubor Vytrguat naučena pravidla | ností nastavení je opravdu mnoho, což dává uživatelům značné možnosti při experimentování s optimálním nastavením Spamihilatoru, tak aby propouštěl skutečně jen korektní zprávy a neblokoval jinou než nevyžádanou poštu. Popisky možností nastavení nejsou přeloženy do češtiny ve všech případech, nicméně pro bezproblémovou orientaci v nastaveni antispamu bez problému vystačí i méně zkušeným uživatelům. Velkou výhodou Spamihilatoru je podpora plug-inů, pomocí kterých můžete roE-šířit funkce programu při odhalování stále nových druhů nevyžádané nebo nebezpečné pošty. Spam tvoří až 80 % emailů Thunderbird: Antispam v základní výbavě Zatímco Outlook zůstává i v době záplavy nevyžádané pošty nadmíru konzervativní a filtrování spamu se příliš nevěnuje, open-source e-mailový klient Thunderbird obsahuje bayesovský filtr nevyžádané pošty. Thunderbird automaticky posuzuje příchozí poštu a označuje nevyžádané zprávy. Pomocí tlačítka »Nevyžádané« můžete sami ovlivňovat klasifikaci zpráv a doplňovat tak znalosti Thunderbirdu pro filtrováni další pošty. Dalši volby nastavení najdete pod nabídkou »Možnosti« v menu »Nástroje«, na záložce »Soukromí«. Vestavěná antispa-mová kontrola nicméně vůbec nebrání použití dalších filtrů nevyžádané pošty, které jsme představili. Nejlepší filtr?: Pro každého něco Bezplatně použitelné antispamové filtry z našeho přehledu nabízejí ideální příležitost k experimentování s nastavením kontroly nevyžádané pošty. Antispamovou aplikaci volte především podle počtu e-mailových účtů, jejichž zprávy potřebujete kontrolovat, používaného e-mailového klienta nebo třeba i dostupnosti české verze uživatelského rozhraní programu. Současné použití více filtrů nevyžádané pošty vám ovšem nedoporučujeme. Omezili byste tím především schopnost automatického prohlubování znalostí antispamu na rozpoznáváni nevyžádané pošty podle klasifikace obsahu zpráv uživatelem, a RADEK.KUBES@CHIP.CZ WWW.CHIP.CZ 07/2009 H5D51 113 H AKTUALITY BEZPEČNOST DATA A FAKTA Barometr nebezpečí v srpnu vysoké riziko Celosvětová recese snad postihla i hackery - útoků na počítače ubylo. Malwarujeméně 150000 120000 901X111 60000 30000 duben květen temen Nebezpečí trvá: I přes pokles je výskyt malwaru děsivě vysoký. Útoky na browsery .=, .mm. * * WINDOWS EX%SoLNSMED,APLAVER 4% ACROBAT 4% FLASH 69% ACTIVEX 10% QUICKTIME 11% JAVA Nebezpeč! z webu: Hackeři nejraději využívají mezer v plug-inech Microsoftu. Číslo měsíce eur stoji přístupová data k „hacknu-tému" on-line účtu s vkladem přes 10 000 eur. Nejhorší hesla všech dob Chrání vás kvalitní firewall, máte nejnovější updaty operačního systému, používáte výborný antivir, a přesto byl váš počítač úspěšně napaden hackerem? Problém může být ve špatné zvoleném hesle. PETR KRATOCHVÍL r Útoky hackerů se vždy snaží zamířit na nejslabší článek řetězu - pokud má váš počítač kvalitní softwarovou výbavu, mohou se hackeři pokusit zaútočit na vaše přístupová hesla. Ačkoliv mezi nejčastější varováni v článcích o počítačové bezpečnosti patří „zásada bezpečného hesla" (varující před používáním jednoduchých hesel), jen málokdo se ji drží. To pravidelně potvrzuji průzkumy bezpečnostních firem i vlastni zkušenosti uživatelů. První hesla, vytvářená ve snaze o maximální zabezpečeni nového počítače, bývají komplikovaná a opravdu bezpečná. Po čase ale ostražitost klesá a s ni se snižuje i komplikovanost hesel. To je nebezpečné riskování. Metod, jak uhodnout vaše heslo, je celá řada a většinu uživatelů určitě napadne „slovníkové metoda". Při ni hacker zkouši kombinace a variace slov ze slovníku daného jazyka - v ohroženi jsou tedy hesla typu „reflektor" nebo „laparoskopie". V praxi ale mají hackeři situaci ještě snadnější. 500 nejhloupějších hesel Při vytvářeni knihy o heslech zjišťoval jeji autor Mark Burnett (na vzorku více než milionu uživatelů), jaká hesla uživatelé používají. Výsledky jeho výzkumu překonaly i ty nejhorší předpoklady: neuvěřitelné množství lidí používá stále se opakující primitívni hesla, která dokáže uhodnout i cvičená opice. K demon- fti mitiinmi ■inTiii'iiiniimrrinriiii ■,; •fina «f» J/Mim Qua Iltf" S""» ""T*"» ta P-KiwotdSofAIITIme ■■■ rr*t-w rwtu-M *•»•» T«*tl-*90 TW #01-WC 1 lí>«i CO..IM *-«hrt •re. .»t—« ■ •.«ta- Mb> '.<>"■ IM-«- ■ MMMN <**H— mém ■"«•«. y.r < II* jCiM* |lOT» mm» má i *".. •.---- «,*. iitfM t«c^ ■ UM hmm »■»n, .-'.,, IM» i *M*- .,.,- .«** — MMW 1 wmn «-*- »<•..* ■..'. j "-onu» > 1HS#»» Mh«Ml i-wtM M'.M :: MM KUF4« «... '.i . .,.,, ••: mmM «.« *tf MM* ww II m*» ........ *M»< ■!•-» n**n - -"■-.. mmm MM M(Ml MM ■ uiíi. '-•*.-* ■SM^éti— ji<«a — D -H<(>l »■••I. ar* r...«i-. Tabule hanby: Najdete i vy své heslo v seznamu těch nejhorších, nebo si svých dat a soukromí vážíte více? Straci lidské hlouposti sestavil Mark Burnett seznam 500 nejhloupějších hesel, která používá více než desetina uživatelů! Pojďme se podívat na některá z nich: ► 123456 - klasika, „náročnější" uživatelé pokračují až k devítce, líni konči na čtyřce či pětce; ►- password - „heslo" jako heslo má být trik k ošáleni hackerů, opak je bohužel pravda; ►• 666666 - s alternativami v podobě sedmi sedmiček, pěti pětek, kreativitě se meze nekladou; ►■ zxcvbn - heslo „qwerty" se uživatelům nezdá bezpečné, tak to zkouši v dolní části klávesnice; ►• qazwsx - pokročilejší kreace předchozí metody, ovšem se stejnou bezpečnostní úrovní; ►• nccl70i - oblíbené heslo „ner-dů", skrývající označeni kosmické lodi ze seriálu Star Trek; +■ porsche - s alternativou v podobě značky vašeho vysněného vozu (ano, v seznamu je i ferrari). S těmito znalostmi tedy může být práce hackerů snadná a efektivní - zkuste si sami odhadnout, kolik počítačů tvoří zmiňovanou desetinu se snadno „odhalitelnými" hesly. A jak jsou na tom vaše účty? Najdete i vy své heslo v seznamu 500 nejhloupějších hesel na adrese www.whatsmypass.com/the-top-500-worst-passwords-of-all-time? LINUXOVÉ WEBSERVERY ÚTOČÍ Nové triky malwaru Ruský nezávislý bezpečnostní výzkumník a analytik Denis Sine-gubko objevil skupinu infikovaných linuxových serveru, na kterých běží speciální druh botnetů. Ty poté rozesílají malware nic netušícím uživatelům surfujicim po webu. Takto postižené stroje sice na prvni pohled funguji zcela normálně a pracuji na standardním TCP portu (80), vzápětí však využiji pro „tajný provoz" port 8080. Sinegubko ve své zprávě uvádí, že už dva poskytovatelé dynamického hostingu, DynDNS.com a No-IP.com, jejichž služby útočníci využívali, stihli na danou situaci zareagovat, a to aktivním vypínáním domén, které jsou k těmto útokům zneužívány. Dále však dodává, že to určitě není naposledy, co se s tímto fenoménem setkáváme , když každou hodinu přibývají dvě nové IP adresy... Detailnější informace o dané problematice najdete na stránkách serveru The Register (www.the-register.co.uk/2009/09/12/linux. zombies_push_malware/). Tento nález také poukazuje na neustály vývoj „záškodného" softwaru, jehož oběťmi se už mohou snadno stát i velikáni jako Twitter, nebo dokonce Google Groups. INFO: zpravy.actinet.cz 22 HS!? 10/2009 www.chip.cz F H AKTUALITY BEZPEČNOST VÝZKUM AVC mm • i I v • vf v • . ■# Zranitelnější uživatele sociálních sítí Společnost AVG Technologies uvolnila ve spolupráci s CMO výsledky ankety Jak přinést bezpečnost na sociální sítě" (Bringing Social Security to the On-line Community), Z výzkumu vyplynulo, že uživatelé sociálních síti mají sice obavy o bezpečnost při komunikaci, málokdo však podniká alespoň základní kroky k ochraně před on-line hrozbami. Jen necelá třetina respondentů se jim aktivně brání, téměř polovina se obává krádeži identity v on-line komunitách a také rostoucího množství phishingu, spamu i virových útoků. Anketa na internetu shromáždila ve druhém čtvrtletí 2009 odpovědi náhodného vzorku více než 250 uživatelů. I přes masivní používání nejrůznějších sociálních šiti doma nebo v práci (86%) nedodržuje většina uživatelů pravidelně ani následující základní bezpečnostní pravidla: ►■ změny hesel (64 procent zřídka nebo vůbec); ► úpravu nastavení soukromí (57 procent zřídka nebo vůbec); ►• informováni administrátora sociálni šité (90 procent zřídka nebo vůbec). Respondenti zmiňovaného výzkumu definovali několik obvyklých praktik, které provádí navzdory zřejmým bezpečnostním rizikům při zapojeni do sociálních síti (tyto praktiky mohou nechráněné uživatele poškodit): ► 21 procent respondentů přijme nabídku na kontakt od členů sítě, které osobně nezná; ► 51 procent nechá známé či spolubydlící navštěvovat sociální šitě na svém osobnim počítači; ►■ 64 procent respondentů klika na odkazy od dalších členů sítě; ► 26 procent dotázaných sdílí prostřednictvím sociálních sítí soubory. Výsledkem šířeni odkazů, souborů a nevyžádaných kontaktů je, že se uživatelé sociálních síti velmi často setkávají s nejrůznějšími hrozbami a narušením soukromí: ►• téměř 20 procent již zažilo krádež identity; *• 47 procent se stalo obětí nákazy nějakým typem škodlivého kódu; ►■ 55 procent dotazovaných se setkalo s phishingovým útokem. Ředitelka komunikace a vztahů s investory AVC Technologies Siobhan MacDermottová doufá, že se AVC podaří tento trend zvrátit na známých sítích, jako je Facebook nebo Twitter. „Naše kampaň Data Snatchers je virál-nim prostředkem, který by měl přimět uživatele přemýšlet o své osobni bezpečnosti. Poskytne jim také jednoduché nástroje, pomoci nichž mohou pro svou bezpečnost něco udělat, a zvláště pokud se pohybují v místech, kde se cítí zranitelní." AVC Technologies také doporučuje šest jednoduchých kroků, které uživatelům pomohou zajistit bezpečí: 1. Nepotvrzujte pop-up okna či výzvy ke staženi softwaru, dokud váš počítač neni vyzbrojen webovým štítem, jakým je například AVC LinkScanner (http://free.avg.cz/ linkscanner). Pomocí něj si zkontrolujte každou stránku ještě předtím, než na ni vstoupíte. 2. V sociálni síti nikdy neuvádět-1 te, neposílejte ani nepřikládejte žádná soukromá osobni data (například rodné číslo, údaje k bankovnímu účtu či zdravotní I záznamy). Sociální sítě nevyžaduji informace podobného typu k tomu, abyste se mohli stát je- | jich členem. 3. Měňte své heslo pravidelně, alespoň jednou za měsic. Nemeňte ho, když jste k tomu vyzváni. Mohlo by jit o trik třetí strany, která z vás chce heslo vylákat. 4. Nenechávejte své přátele, spolužáky, kolegy atd.. aby navštěvovali sociální sítě z vašeho počítače, a ani vy je nenavštěvujte z cizího. Další osoby by svým neopatrným chováním mohly zanést do | vašeho počítače infekci, případně by vaše přihlašovací údaje mohly být ohroženy prostřednictvím cookies, uložených na váš počítač. 5. Nikdy nevyužívejte automatického uloženi vašich hesel a pravidelně mažte historii, alespoň jednou za týden. 6. Nikdy nepřijímejte nabídky na přátelství nebo o néj nežádejte osoby, které sami neznáte. STATISTIKA FIRMY ESET Počítačové hrozby: Conficker mírně na ústupu, roste podíl trojských koní V celé východní Evropě Conficker konečně oslabuje. S podílem 8,56% byl sice i v srpnu globálně nejrozšířenějším typem malwaru ze všech světově detekovaných hrozeb, ve srovnáni s červencovými statistikami však zaznamenal pokles o více než dvě procenta. Silnější globální pozici naopak získala směs hrozeb sestávající převážně z trojanů útočících na hráče on-line her - Win32/PSW. OnLinegames (8,28 %). Nejrůznější trojské koně, které ke svému spuštění využívají funkci souboru autorun.inf, jsou stále rovněž v první trojici celosvětových hrozeb - v srpnu byla infiltrace INF/ Autorun zaznamenána na 7,80% počítačů. Varianty malwaru z rodiny Agent, schopné vykrádat informace z počítače, pak byly na čtvrtém místě, s výrazným odstupem za první trojicí a celkovým podílem 3,57%. První pětku uzavírá INF/Conficker, který stejně jako INF/Autorun využívá autorun.inf v operačních systémech Windows k šířeni infiltrace - konkrétně červa Conficker. Desítku celosvětově nejrozšířenějších počítačových hrozeb podle ESET ThreatSense. Net doplnily v srpnu škodlivé kódy Win32/ TrojanDown-loader.Swiz-zor (1,39%) a Win32/ TrojanDown-loader.Bre-dolab (0,89 %). Cílem obou uvedených infiltraci je především stáhnout dalši malware a nainstalovat jej do infikovaného počítače. Evropa a zbytek světa Stejně jako v červenci i v srpnu byl Win32/TrojanDownloader. WtnU/nwiwmt««-« j mU9 UM Um «J» WB\ í MU n !*••* m u*« HMB um y1wr.,„í»«a.ífí*• CHIP 10/2009 WWW.CHIRCZ * < a NA DVD ■k la počátku tohoto roku vystrašil ce-Wk I lou řadu uživateli] vir Conficker. Iml Tato hrozba, šířící se prostřednic- I ^H lvím stare mezery ve Windows li (Microsoft nabízí záplatu už téměř bok) jako lesní požár, napadla miliony uživatelů po celém světě. Již během řádění Con- ckeru se po intemetu začal nenápadně šířit lnový vir - Gumblar. Ten je podle bezpečnostních expertů mnohem nebezpečnější aež Conflicker: od března do června dokázal napadnout více než sto tisíc britských webů, wetně známých „lifestyle" portálů (například www.variety.com). Gumblar je extrémně nebezpečnou ukázkou nové zbraně počítačových zločin-Iců.Trend je zřejmý: malware útočí tak, aby nepoškodil nebo nesmazal data uživatelů, a zároveň pátrá po citlivých a zpeněžitel-ných informacích. V hledáčku má čísla kreditních karet, přístupové údaje na weby a osobní informace. Zároveň hackeři neustále vylepšují techniky šíření virů a jejich ukrývání v počítači. Nový malware (jako například Gumblar) a jeho metody útoku naznačují ještě jeden trend: ještě nikdy nebylo surfovaní po intemetu tak nebezpečné jako letos. My jsme pro vás na DVD připravili nástroje, které toto riziko [ sníží a které vám v případě napadení pomohou s obranou. Gumblar: Dynamický kód viru Tím, co dělá vir jménem Gumblar tak nebezpečným, je rafinovaný způsob budová-| ni svého „hnízda" na napadených stránkách: nikdy nepoužívá stejný kód znovu a mění „scénář" u každého napadeného webu. Tento dynamicky generovaný kód ztěžuje internetovým firmám detekci jednotlivých útoků. Když uživatel navštíví napadený web, Gumblar zaútočí na prohlížeč a pomocí mezery ve flash/pdf plug-inu se pokusí proniknout do počítače. V případě úspěchu zaznamená historii surfovaní uživatele a na disku pátrá po přihlašovacích údajích a heslech. V Internet Explorern navíc manipuluje s výsledky vyhledáváni pomocí Googlu. Pokud uživatel klikne na některý z těchto „vyhledaných" odkazů, je přesměrován na jeden z dalších napadených webů s další dávkou malwaru. Jako „bonus" pak Gumblar vytváří zadní vrátka, prostřednictvím kterých mohou hackeři počítač připojit do sítě botu a zneužívat například k rozesílání spamu. Obrana před Gumblarem není prozatím nijak extrémně obtížná - jeho útoku dokáže zabránit většina kvalitních bezpečnostních balíků. Podstatně nepříjemnější je jeho odstranění z infikovaného počítače. V době vzniku tohoto článku byla známa pouze jediná, radikální metoda - naformátování disku a reinstalace Windows. Plug-iny v browserech: Brány do počítače Rozšíření a plug-iny se dnes využívají na většině webů - přehrávají filmy a hudbu, nabízejí animace, zobrazují dokumenty, a dokonce i spouští aplikace. Jejich deaktivace je tak pro většinu uživatelů téměř nemožná. Zdá se tedy, že jedinou cestou je mít všechny tyto „doplňky" v nejnovějších verzích... K podobné situaci již v minulosti došlo -před několika lety byly nejčastějším cílem hackerů ActiveX komponenty, které podporoval tehdy jednoznačně dominantní Internet Explorer. V operačních systémech před Windows Vista nabízí ActiveX rozsáhlá přístupová práva k systému, a tak hackerům usnadňuje čtení dat. nebo dokonce samotné ovládnutí systému. Kvůli vylepšenému řízení uživatelských práv ve Viste a rostoucí popularitě alternativních prohlížečů (například Firefoxu a Google Chrome) si hackeři začali všímat i těchto aplikací. Po určité době však kyberzločinci zjistili, že nejsnáze zneužitelnou slabinou budou doplňky rozšiřující schopnosti prohlížečů. Právě proto dnes malware do počítačů proniká pomocí komponent pro Javu, QuickTime. PDF rozšíření a Flash plug-inů. FTP server: Nové metody šířeni Aby hackeři zajistili co nejlepší šíření malwaru mezi uživatele, obvykle používají jako „základny" známé a často navštěvované we-by. Tyto weby ale mívají poměrně kvalitní ochranu, která rychle zasáhne a ukončí šíření malwaru. Tvůrci Gumblaru našli jinou cestu, jak škůdce rychle rozšířit mezi maximální počet uživatelů. Pokud je vir umístěn na počítači obsahujícím přístupová data na FTP server, infikuje škůdce všechny webové stránky připojující se k serveru. V hledáčku škůdců jsou především stránky nabízející velké objemy dat - například stránky výzkumných ústavů nebo „stahovacích" portálů, které často na FTP serverech ukládají data. Triky s FTP však používají i jiní hackeři. V červnu tohoto roku hackeři infikovali pomoci ukradených přístupových údajů k FTP serverům více než 40 tisíc stránek. Pokud uživatel otevře jednu z těchto stránek a spustí se škodlivý „javascript", je uživatel automaticky přesměrován na falešné stránky Google Analytics. Tam už proběhne známý proces: prostřednictví mezer v prohlížeči a jeho doplňcích je do počítače nahrán příslušný malware... AVG 8.5 CHIP EDITION Plná verze Na Chip DVD najdete i plnou verze bezpečnostního balíku od AVG, která nabízí komplexní zabezpečení počítače před škodlivým softwarem a útoky z intemetu. Více informaci o programu a zabezpečení počítače najdete na Chip DVD. H INFO Pět nejaktivnějších virových hrozeb JLSIUH Trojský kůň z rodiny Stuh nahrává stisky klávesnice a pátrá po heslech. Zároveň vypíná systém automatického nahráváni oprav (Windows Update), čimž připravuje cestu pro pozdější útoky, 2. FRAUDLOAD Tento typ virů je také označován jako falešné antiviry (Rogue AV). Pomoci bezpečnostních mezer proniknou tyto viry do počítače, začnou uživatele zahlcovat hlášeními o nalezených virech a snaží se ho donutit ke koupi „bezpečnostního produktu", během které zneužiji informace o použité kreditní kartě. 3. MONDER Také Monder patří do rodiny „falešných antivirů". Navíc ale „upravuje" bezpečnostní nastaveni operačního systému a do počítače nahrává další malware. 4. AUTORUN Tato virová hrozba se vždy šiří stejným způsobem: škůdce při vložení/připojeni externích datových nosičů zneužije funkci autostart a spustí exe soubor s malwarem. 5. BUZUS Škůdce jménem Buzus patří mezi klasický spyware. Prohledává napadený počítač a pátrá po číslech kreditních karet a přístupových datech k bankovním účtům. Nepohrdne ani přístupovými údaji k e-mailovým kontům a FTP serverům. V minulosti platilo pravidlo, že pokud nesurfujete po pornografických a nebezpečných stránkách, útoků virů se bát nemusíte. Dnes ale moderní malware nestaví svá „hnízda" jen na pochybných stránkách. Odhaduje se, že v současnosti se 85 procent malwaru šíři přes populární a na první pohled bezpečné weby. Typickou ukázkou je napadení známého amerického „tech- WWW.CHIP.CZ 10/2009 HHI? 57 ■ 01 H TESTY A TECHNIKA NOVÉ nologického" webu „Gadget Advisor", který se ve spárech internetová mafie ocitl letos v květnu. Tato taktika přináší hackerům celou řadu výhod: těmto populárním webům uživatelé obvykle důvěřují a stahuji z nich cokoliv bez větších obav. U webu Gadget Advisor byla použita zranitelnost při zpracování PDF (www.f-secure.com/vulnerabili-ties/SA29773) a pomocí škodlivého kódu v „iframe" se do počítače dostal malware (Trojan-Downloader.Win32.Agent.brxr), který nakazil obrovské množství počítačů... BlackHat-SEO: Zneužití Googlu K přilákáni co největšího počtu uživatelů však počítačoví zločinci používají i další triky. Pomocí analytických nástrojů Googlu najdou nejvíce vyhledávané pojmy a vytvoří weby, které budou přesně odpovídat těmto pojmům. Ty také dokáží prosadit do čela vyhledaných výsledků. Tato forma optimalizace pro vyhledávače (Search optimization -SEO) je také označována jako Blackhat SEO a funguje následujícím způsobem: hackeři zvolí nejpopulárnější pojmy, jako například „YouTube" nebo „TV on-line", případně aktuální témata (zřícení letadla AirFrance, herní veletrh E3). Na takové téma pak vytvoří speciálně upravené stránky, které umístí na servery freewebhostingových firem. Tyto stránky ale nejsou zavirované - pouze obsahují skript, který vás přesměruje na jiné weby, které se pokusí na počítač oběti nainstalovat malware. Pokud nemáte kvalitní softwarovou ochranu, během chvíle se váš počítač hemží malwarem... Sociální sítě: Cíl hackeři) Kromě odkazů „vyhledaných" Googlem existuje celá řada jiných metod využívaných hackery k lákání uživatelů na nakažené weby. Oblíbeným trikem je šíření odkazů ve velkých sociálních sítích - například ve Faee-booku, který má přibližně 200 milionů re- V utajeni: Malware na vás může zaútočit i ze zdánlivě bezpečného webu. Útokům hackerú neodolal ani populárni portál Gadget Advisor. gistrovaných uživatelů. Hackeři používají specializované nástroje, kterými automaticky zakládají uživatelské profily. Tyto nástroje také dokáží detekovat a překonat ochrany typu „captcha". Falešné profily jsou poté použity k odesílaní zpráv ostatním uživatelům. Tyto zprávy obsahují odkazy na weby, ze kterých uživatelé mohou „získat" malware, aniž by na cokoliv klikli. Stejný trik používají hackeři pro microblogovací službu Twitter. I zde jsou pro šířeni odkazů na infikované stránky vytvářeny falešné profily. S cílem odlišit se od běžných zpráv (Tweets) zde ale hackeři využívají aktuální nejpopulárnější výrazy (Hashtags). Vzhledem k limitu 140 znaků na jednu zprávu musí hackeři často zkracovat a „šifrovat" dlouhé odkazy pomocí služeb, jako je například TinyURL - tak skrývají odkazy na zavirované weby. Ukázkou této zákeřné metody v praxi byla série útoků z konce května letošního roku, kdy Twitter zavalila lavina zpráv s odkazy na weby s videem. Po jejich navštívení byli uživatelé vyzváni k nainstalováni „videokodeku" pro korektní zobrazení filmů. Místo kodeku se ale na disk uživatele stáhl PrivacyCenter, známý falešný antivirový nástroj (označovaný jako Rouge AV). Po nainstalování začal program předstírat kontrolu systému a varovat před „nalezenými" viry. Po neúspěšném „pokusu" o odstraněni virů přesměroval nástroj PrivacyCenter vyděšeného uživatele na WWW stránku, kde si mohl zakoupit „plnou verzi" bezpečnostního nástroje, která si s viry určitě poradí. Co se dělo s účtem, ke kterému neznalý uživatel při nákupu fiktivního bezpečnostního nástroje prozradil informace o kreditní kaně. si jistě dokáže čtenář Chipu představit... Uživatelé Facebooku se také mohli setkat s několika nepříjemnými viry v neuvěřitelném počtu variací. Například červ Boface, který se objevil na počátku roku 2008, zaútočil na uživatele hned v 56 různých variantách. Zajímavé je, že tento škůdce je nebezpečný pouze pro uživatele Facebooku - na počítači se stává aktivním teprve poté, co se POČET NOVĚ DETEKOVANÉHO MALWARU Od té doby, co se viry dokáži samy modifikovat, počet jejich variant rapidně stoupá. _^_^_ 1.5 mil. UlltrU l.o mil. 0.5 mil. WílÝM 2002 2003 2004 2005 2006 2007 2008 TREND: FALEŠNÉ ANTIVIRY Jen za prvni čtvrtletí letošního roku bylo odhaleno více 453 392 falešných antivirů než za celý loňský rok... 2009 1. řtvrtleti 2009 2. čtvrtletí* 'odhad 2009 3. čtvrtletí- 58 H3H? to/2009 www.chip.cz H TESTY A TECHNIKA H INFO Hnízdo virů: Hackeři stále častěji využívají pro distribuci svých „nástrojů" také služby pro úschovu souborů. přihlásíte ke svému účtu na této komunitní síti. Pak začne všem kontaktům uživatele rozesílat krátké e-maily obsahující odkaz na „zajímavé videostránky". Tyto stránky také obsahují vir Boface a jako bonus přidávají „falešný antivir". Ten je na napadený počítač nainstalován a okamžitě začne bombardovat uživatele falešnými virovými varováními. Opět je cílem získat údaje o kreditní kartě, a to poté, co se uživatel rozhodne zakoupit „plnou verzi" bezpečnostního nástroje. Odhaduje se, že škůdce s označením Boface napadl již téměř dva miliony uživatelů, a jejich počet se neustále zvyšuje. PDF: Vnímavý Office formát Za největší hrozbu současnosti považuji experti falešné antivirové programy, které mají za cil zjistit informace o vašem kontu a číslech kreditních karet, případně „zkontrolovat" váš počítač na přítomnost citlivých dat. Odhaduje se, že počet „falešných AV programů" za čtvrtletí se ještě v tomto roce zdvojnásobí (viz graf dole). Dalším nepříjemným Útoky pomocí USB disků Zpátky ke kořenům - to je nejnovější heslo hackerů při šířeni malwaru. V dobách před masovým rozvojem internetu byly hlavním médiem pro šíření virů diskety, v současnosti se tato taktika znovu začíná využívat, a to na základě obrovského nárůstu popularity přenosných datových médií - USB flash disků nebo datových karet (např. SD). Tímto způsobem se vir šiří od počítače k počítači. Ochrana je však relativně snadná: kvalitní antivirový nástroj, nebo alespoň deaktivace funkce autostart... trendem je nárůst útoků za použití zmanipulovaných PDF souborů. Až doposud byly považovány za nejoblíbenější cíl hackerů formáty kancelářských programů od Micro-softu. V současnosti je však překvapivě polovina všech napadených dokumentů ve formátu PDF. V tomto trendu hrají roli tři důležité faktory. Především hackeři často identifikovali bezpečnostní mezery v programech Adobe (například Acrobat a Reader), které jim umožňovaly převzít kontrolu nad systémem a infiltrovat do počítače další malware. Pro ilustraci stačí uvést odkaz na statistiku serveru Secunia pro produkty Adobe Acrobat 8.x a 9.x - se 40 a 22 zranitelnostmi (http:// secunia.com/advisories/product/12256/). Druhým faktorem je skutečnost, že dokumenty ve formátu PDF mohou být zmanipulovaný relativně snadno, např. implementací zákeřného lavaScriptu. Posledním faktorem je podceňováni tohoto problému uživateli - mnoho uživatelů nemá o těchto hrozbách ani tušení, a tudíž si ani bezpečnostní aktualizace těchto programů nestahují. Základním krokem k bezpečnějšímu surfovaní tedy může být i pravidelná aktualiza-, ce produktů pro zobrazení souborů PDF] a zakázáni lavaScriptu. Například v Adobe Readeru/Acrobatu toho dosáhnete pomocí odstranění zatržítka v nabídce »Úpravy Předvolby | Všeobecné | JavaScript«. Sdílení souborů: Obvyklý zdroj virů Infikované PDF soubory se šíří dvěma cesta-j mi: přes webové stránky, které přímo nahraJ ji PDF do okna prohlížeče, případně přes pft| lohy e-mailů. Protože PDF je jed nim z obvyklých formátů pro dokumenty na webuj a má (stále ještě) dobrou pověst, nevěří těl* to souborům pouze zlomek uživatelů, a j: málokdo tedy očekává v přílohách ve forma-1 tu PDF zákeřný malware. Jiné formáty souborů, které slouží jaknl nositelé virů. preferují cestu šíření pomodf služeb sdílení souborů a služeb pro „úscho4 vu" souborů (typickým příkladem je služba! Rapidshare). Podle Symantecu byly v roce 2008 rozšířeny pomocí „sdílení souborů* přibližně dvě třetiny virem infikovaných EXB souboru, liž zmiňované „úschovny" jako Ra-pidShare nebo MediaFire jsou také stále čas-; těji cílem útoků kyberzločinců. Stále oblíbe-j nější taktikou je rozšířeni odkazů na staženi souboru pomocí diskusních fór a sociálních) sítí. Do karet hackerům hraje i fakt, že většina! podobných serverů není na „černém seznamu" nebezpečných stránek, a nezanedbateH nou výhodou je i naprostá anonymita... I Všechny tyto nové metody mají jedno spo-1 léčné - jsou mnohem efektivnější než šifem nebezpečných linku přes spamové e-maily. Vb] chvíli, kdy tempo růstu spamu a phishingo-vých mailů v elektronických schránkách kles! měli by se uživatelé připravit na nové taktik kyberzločinců. Jejich útoky totiž budou stal efektivnější a nebezpečnější... S autorschipq! ÚTOKY NA KANCELÁŘSKÉ DOKUMENTY V roce 2008 se hackeři zaměřili na formáty Microsoftu a šířili viry pomocí typů souborů z kancelářského balíku MS Office. Letos trend ukazuje větší počet upravených PDF souborů... QDDOQQODDDDQDDQDDODDDDQDDQDDODDDDD 34% doc E M'KW^IMiMhrMalx^vW.nw-iHiBrauKuu'jii » • «H *•#* [»-«Sort-MlI-IPiesT"« Raitfv"** tW«**-* Saiw»*X»M*»ť H - f»OJI ><* t«*: CB»«Kar **—<] "í v»o»"i ■»i*»o»o'l >MM*»*ur M■ iMKÖ-vniv vfar. [cmKMíAKWWO-WwrttósK™***«(U— 5rtTO*l «■ «MSUb« »oob* *u«ur(»- CVW». N«V«b«Ui«M ? 0 tW"*0V,»o3'F«|.«.« >•. Aea Mr« Mom* Cm m -1 >p.gy«i> "*W"db»íi CatOTulcACta.OE * - t*>« - n.JKtfW*»*.lWC«OWtofc» <-:»*.' SE3G'-. 4M M,, | G»» | "' -'»- ■X-n-fl | ---- Snadná pomoc: Po kliknuti na tlačítko »Do a system scan...« provede program prohlídku systému a vytvorí záznam s nejdůležitějšími údaji. HOQNOCENjfc Pomalejší nástroj na kontrolu počítače pro méně zkušené uživatele. Kontroverzní funkcí je automatické odstranění nebezpečných souborů. TIP PRO ZKUŠENĚJŠÍ UŽIVATELE; lednou z praktických „perliček", které lze v logu programu ComboFix najít, jsou naposledy vytvořené soubory. Z nich lze poměrně snadno poznat, kde a jak malware řádil... Bez virů a bez internetu Některé typy malwaru jsou natolik zákeřné, že razantně modifikují nastavení připojeni k síti. Pokud jsou v systému, obvykle připojení pouze zpomalují a omezují, po jejich odstranění však přestane připojení k internetu fungovat zcela. Typickým příkladem je adware New.Net (někdy také označovaný jako Newdotnet). Ten se obvykle do počítače dostane „legálně" s dalším softwarem - jeho autoři totiž počítají s tím, že většina uživatelů podmínky užívání jen „od-kliká" - a poté začne řádit. Nejprve se zpomalí internet, poté se začnou objevovat vyskakovací okna a lišty a končí to bizarními problémy typu „nefunguje kopírování do/ze schránky". Pokud adware odstraníte klasickým antivirem, přestane fungovat připojení k internetu - obvykle se objeví hlášení „omezené nebo žádné připojení". Na vině je adwarem modifikovaný Winsock, který nefunguje tak, jak by měl. Řešení tohoto a podobných problému je několik. Microsoft na svých stránkách nabízí poněkud komplikovanější návod, jak problémy s Winsockem řešit (http://support.micro-soft.com/kb/811259) Pro méně zkušené uživatele a operační systém Windows XP lze doporučit nástroj WinSock XP Fix (www.snapfiles.com/get/ winsockxpfix.html), který dokáže pomoci při většině problémů. Pokročilí uživatelé mohou využit program LSP Fix (najdete ho na http://download. chip.eu/cz/download.cz J520896.html). a PETR.KRATOCHVlL@CHIP.CZ Postup při „čištění" počítače l Nepropadejte panice. 21 Připravte si na disk všechny důležité nástroje. 3| Spusťte HijackThis a jeho log si nechte automaticky zkontrolovat na webu. Odstraňte označený malware. 4| Spusťte Ultimate Process Manager, vytvořte log a nechte si ho zkontrolovali odborníky. 5| Odstraňte označený malware. 6 Nainstalujte kvalitní firewall (například Outpost z našeho DVD, rubrika Plné 1 verze). 7| Zkontrolujte počitač pomocí on-line antiviru (například od Esetu). 8| Zbývajících škůdců se zbavte pomoci aplikaci KillBox a Avenger (viz niže). KDYŽ JE SPINA ZAŽRANÁ U některých zvláště odolných typů malwaru je úspěšnost klasického smazáni I poměrně nízká - obranné systémy ho dokáži neustále obnovovat. Zde tedy | musi nastoupit specializované nástrcie. které dokáží vybrané soubory od: při restartu počítače. K nim pari napr.kiadl již několikrát zmiňované programy PocKetl Killbox a The Avenger. V jednodušším Kill-1 boxu stači jen označit požadovaný soubon (či soubory) a zvolit metodu odstraněni- I doporučujeme »Delete on reboot« nebo I »Replace on reboot (Use Dummy)«. Složí- j tější Avenger vyžaduje vytvořeni skriptu I s popsáním požadovaných operaci. Na ] rozdil od svého jednoduššího kolegy si I ale poradi i s rootkity. Potřebujete okamžitě smazat soubory, I které si malware úzkostlivě chráni1 Vy- I zkoušejte FileAssasin, který si poradí i s vícenásobným blokováním. Aktuální verzi najdete na adrese www.malwareby-1 tes.org/fileassassin.php. Poznámka: Všechny výše uvedené „opera-1 ce" zvládne i profesionálni Ultimate Pro- I cess Manager. Pravda ovšem je, že nalezen« těchto funkci a práce s nimi je podstatné složitější než u zmiňovaných „jednoúčelo-1 vých" nástrojů. NIJST£SJLJJSII2 Je to malware, nebo neškodný systémov» soubor? Toto dilema patři k nejčastějším J problémům při čištěni počítače od škúdcůj V případě nejistoty doporučujeme využiti on-line souborové virové skenery. Mezi nejlepší patři www.virustotal.com a http://virscan.org/. j Oba nástroje dokáži dilema „mazat. . nebo nemazat" jednoznačně vyřešit... I Nezapomeňte před jakoukoliv podobné! rizikovou operací zazálohovat všechna dii-l ležitá data.. 114 H5D31 to/2009 www.chip.cz