Počítačové sítě a viry

Počítačové viry a sítě jsou kapitolou samy pro sebe. Ne snad proto, že by viry nějak speciálně síť využívaly či narušovaly, ale prostě proto, že v prostředí, sdíleném mnoha uživateli, může dojít k daleko rychlejší nákaze viry a její odstranění je mnohem komplikovanější než u samostatných počítačů. Také možnost reinfekce - opětovného napadení sítě - je mnohem větší.
Koncepce ochrany v počítačové síti je založena na ověření totožnosti uživatele (definovaného například pomocí jména a hesla) a na tom, že tomuto uživateli jsou přiděleny určité pravomoci. Problém, před kterým ovšem taková síť stojí, je v tom, že je sice prověřen (a předpokládejme, že správně) uživatel, ovšem zdaleka nemusí být prověřeny programy, které spouští. Přitom tyto programy automaticky získavají všechna přístupová práva daného uživatele. Pokud například uživatel s minimálními pravomocemi nahraje do jediného adresáře, který má přístupný, nějaký program a spustí ho, pak tento program nemá přístup do jiných oblastí, spravovaných sítí. Jestliže ale tentýž program později spustí uživatel s právy Supervisora, má tentýž program rázem obrovské pramovoci.
V praxi je proto nutné důsledně využívat ty typy ochran, které síť nabízí. Které to jsou ? Soubory mohou mít například nastaveny (podobně jako v DOSu) určité atributy. Rozdíl je v tom, že atributů je více, a není zdaleka tak jednoduché je změnit. Navíc oproti DOSu existuje například atribut "pouze pro spuštění" (execute only), který umožňuje takto chráněné programy spouštět, ale již ne číst, kopírovat či modifikovat. Podobné atributy mohou být specifikovány pro přístup uživatele k adresářům či souborům. Tato koncepce však pro některé programy bohužel nevyhovuje. Řada programů nemůže být chráněna proti zápisu, protože například zapisuje svoji konfiguraci sama do sebe, a toho není v uvedeném případě schopna. I atribut "pouze pro spuštění" je potřeba používat uváženě. Může totiž být dvousečný: je pravda, že takto chráněné programy nemohou být viry napadeny, nemohou však být ani kotrolovány antivirovými prostředky, a pokud by byly infikovány již při své instalaci, virus by se poměrně špatně hledal. Navíc jsou zde často opět problémy s určitými programy: pokud takový program obsahuje overlay, kterou sám načítá, nebude fungovat. A takové programy skutečně existují - zářným příkladem může být T602. S tím souvisí i další věci: například nastavení proměnné PATH. Ta určuje adresáře, ve kterých se hledají spouštěné programy. Síť by v žádném případě neměla obsahovat "veřejné" adresáře, do kterých může nahrávat kdokoli cokoli. Na druhou stranu doporučujeme správci sítě, aby zřídil uživatele s právy supervizora bez práv zápisu. Tohoto uživatele může správce využít pro testování bez nebezpečí infekce dalších souborů. V každém případě musí správce sítě této problematice věnovat dostatečnou pozornost.
Jak se viry po sítích vůbec šíří ? Ve světě jsou čas od času prováděny experimenty, které zkoumají, jak jsou konkrétní viry schopny se šířit v prostředí sítí a do jaké míry jsou sítě proti nim odolné. Ukazuje se, že často záleží na tom, v jakém okamžiku zavádění sítě je virus aktivován (např. pro Novell před, po či mezi programy IPX, NETx a LOGIN).
V zásadě je možno viry rozdělit podle jejich vztahu k sítím do čtyř skupin:

na viry, které pracují celkem normálně,
na viry, které nepracují v síti vůbec,
na viry, které jsou se sítí v konfliktu,
na viry, které jsou speciálně pro sítě vytvořeny.

První skupinu tvoří většina virů. Právě pro ně je důležité správná konfigurace všech ochran sítě.
Do druhé skupiny patří bezesporu všechny klasické boot viry. Ty sice mohou napadat jednotlivé stanice sítě, za určitých podmínek dokonce i server, ale nejsou schopny se šířit po síti z jednoho počítače na druhý, jednoduše proto, že síť služby tak nízké úrovně (BIOS) neposkytuje. Dále je možno sem zařadit i některé další viry, které jsou příliš spjaty s DOSem, takže opět nejsou schopny pracovat se vzdálenými zařízeními. To je i případ virů, které používají "tunelování", tj. techniku, pomocí které hledají vstupní bod pro svoji činnost hluboko v operačním systému, aby tak obešly použité antivirové ochrany. Často však současně obejdou i síťový software.
Do třetí skupiny patří viry, které jsou s počítačovou sítí v konfliktu. Pokud jsou aktivovány, buď nepracují ony nebo síť. Nejčastějším případem je to, že virus pro svoje rozpoznání v paměti volá nějakou nepoužívanou funkci operačního systému, kterou však ve skutečnosti používá právě síť.
Do čtvrté skupiny můžeme zařadit viry, které přímo obsahují prostředky, využívající možnosti sítě. Vytvoření takového viru je nepoměrně težší než vytvoření viru pro DOS.

Zdroj: AVAST 7.70 - manuál

Počítačové viry v lokálních sítích (LAN)

Doposud jsme mlčky stále předpokládali, že se vždy jedná o samostatně stojící počítač. Jenže počítače spojené do lokálních sítí (LAN) mohou být stejně tak vhodným prostředím pro počítačové viry jako samostatně stojící počítače. Z hlediska ochrany je tu však přeci jenom zapotřebí jiný pohled, proto alespoň krátce si povězme něco o možnostech virů a ochraně proti nim v lokálních sítích osobních počítačů.

Napadnutelnost LAN sítí

Abychom pochopili napadnutelnost lokálních sítí (LAN) počítačovými viry, je třeba si připomenout, že viry jsou počítačovými programy, které byly napsány tak, aby se šířily a prováděly v určitém prostředí. Viry, navržené pro jedno prostředí, nebudou schopny své činnosti v prostředí jiném. Stále hovoříme o virech a prostředí, které je dáno kombinací IBM osobních počítačů (a kompatibilních) a operačního systému MS-DOS.
Situace v sítích LAN je však komplikovaná tím, že taková síť může obsahovat několik takových různých prostředí. Většina LAN systémů používá koncept sítě, založený na souborovém serveru a pracovních stanicích. Jeden z těchto počítačů, označený jako souborový server, pak používá síťový operační systém. Tímto operačním systémem působí jako jakýsi prostředník mezi pracovními stanicemi a LAN zdroji jako jsou např. mechaniky pevných disků souborového serveru. Tento operační systém také převádí fyzické umístění dat na logické umístění, které je přijatelné pro jednotlivé pracovní stanice. Tento software také kontroluje přístupy k adresářům, podadresářům a souborům, a to podle pravidel, která mu zadává systémový administrátor. Síťový operační systém není výkonným programem v pravém slova smyslu, a pokud není kompatibilní s DOSem, nemůže být napaden MS-DOS viry.
Konkrétní uživatel pracovní stanice však ve většině případů spouští na svém systému obvykle spustitelné programy, a proto prostředí každé pracovní stanice musí být kompatibilní s prostředím takového spustitelného programu. Proto pracovní stanice velmi často pracují v prostředí PC-DOS a mají ve své paměti instalovány dva LAN programy jako TSR. První z těchto programů je tzv. LAN shell program a představuje interface mezi DOSovskými aplikačními programy, běžícími na stanici, a zdroji z LAN. Druhý program pak představuje interface mezi LAN shell programem a samotnou síťovou interface kartou, instalovanou na pracovní stanici.
DOSovské spustitelné programy na pracovní stanici pak provádějí přístupy na jednotlivé mechaniky. Ne vždy však jsou tyto mechaniky skutečně fyzicky umístěny v pracovní stanici, velmi často jsou to logické disky, fyzicky umístěné na pevném disku souborového serveru. Toho si však tyto programy nejsou vědomy. Pro ně se všechny mechaniky jeví být přítomny v pracovní stanici. Jinými slovy, pokud je LAN software kompatibilní s DOS prostředím výkonných programů, pak si tyto programy vůbec nejsou vědomy přítomnosti LAN softwaru.
Co tato skutečnost znamená pro počítačové viry ? Jestliže výkonný program z pracovní stanice může modifikovat soubor proveditelného programu na logickém disku, definovaném LAN softwarem, pak virus může udělat totéž - tedy může infikovat DOSovský program, uložený na souborovém serveru. To je nevýhoda skrývající se v tom, že virus je vlastně takovým obyčejným DOSovským spustitelným programem.
Na druhé straně právě tato skutečnost může ale sloužit i k obraně proti virům. Neboť v síti bývá obvyklé, že každý uživatel (a s ním i jeho spustitelné programy) má jistá práva a omezení.
Jestliže např.: uživatel nemá právo zápisu ani tvorby nového souboru na logickém disku, definovaném LAN softwarem, pak ani jeho programy, a tedy ani virus aktivovaný spuštěním hostitelského programu, nemohou uskutečnit ani zápis ani vytvoření nového souboru na souborovém serveru. A tudíž k infekci nemůže dojít.
Podobně platí, že DOSovské spustitelné programy z pracovních stanic nemají právo přístupu a modifikace síťového operačního systému souborového serveru, a proto nebude mít toto právo, a tím ani možnost, ani počítačový virus.
V případě virů, napadajících tabulku rozdělení disku a boot sektory, je třeba si uvědomit, že tyto oblasti nejsou soubory, ke kterým by byl prováděn přístup prostřednictvím DOS adresářových služeb. Tyto oblasti jsou definovány jako fyzické pozice na fyzických diskových mechanikách. A protože LAN softwarem navržené mechaniky mohou být částí pouze fyzických mechanik na souborovém serveru, LAN shell program z pracovní stanice nemůže připojit volání po načítání např. zaváděcího programu boot sektoru k fyzickému sektoru na pevném disku souborového serveru. Proto PC-DOS bootový virus z pracovní stanice nemůže infikovat tyto oblasti na pevném disku souborového serveru.
Kdybychom to tedy chtěli shrnout a odpovědět si tímto shrnutím na často se vyskytující otázku, zda LAN sítě napomáhají zastavit viry v jejich šíření a nebo, zda jsou naopak vhodnějším prostředím pro jejich šíření než samostatné počítače, museli bychom odpovědět šalamounsky: ano i ne.
Skupina počítačů propojená do dobře řízené LAN sítě s pečlivě stanovenými a dodržovanými bezpečnostními opatřeními a minimálními právy jednotlivých uživatelů, bez nějaké tranzitivní cesty toku informací mezi uživateli (tj. objekty zapisovatelné kterýmkoliv uživatelem už jsou čitelné pro kteréhokoliv uživatele), je mnohem odolnější proti virovému útoku než sada stejných PC nepropojených do sítě. Důvod je ten, že jestliže uživatelé jednotlivých PC mají obecný (read only) přístup ke společnému systému proveditelných programů, není zde tak velká potřeba výměny softwaru na disketách a tedy ani pravděpodobnost přenosu viru.
Na druhou stranu, jestliže síť LAN není dobře řízená a její bezpečnostní zajištění je laxní, bude taková síť šíření virů napomáhat.

Infekce souborových serverů

Obecně se na souborovém serveru vyskytují dva typy programů. První typ představují programy, které jsou určeny pro pracovní stanice, a na souborovém serveru nejsou spouštěny. Nejčastějším způsobem infekce souborového serveru v tomto případě je situace, kdy je virem infikovaný program neúmysleně nahrán na pevný disk souborového serveru. Základem takové situace je většinou infekce pracovní stanice systémového administrátora.
Stačí, aby systémový administrátor vložil infikovanou disketu do mechaniky své pracovní stanice a třeba jen na zkoušku spustil infikovaný program. Výsledkem je infekce jeho programů na lokálním pevném disku. Nyní systémový administrátor uploaduje jeden z těchto infikovaných programů do souborového serveru s cílem dát ho k dispozici uživatelům připojených pracovních stanic. Jakmile je takový infikovaný program spuštěn na pracovní stanici, jsou nakaženy programy na jejím pevném disku.
Všimněte si toho, že instalace infikovaného programu na pevný disk LAN souborového serveru nemusí ještě znamenat nakažení jiných programových souborů. Dokud není infikovaný program souborovým serverem spuštěn (a to by v tomto případě neměl být, protože se jedná o programy, které se na serveru nespouštějí), nemá virus možnost nakazit ostatní soubory na serveru. Ale po každé, kdy je infikovaný program downloadován a spustěn z pracovní stanice, virus hledá adepty pro infekci, a to jak na vlastních pevných discích pracovní stanice, tak i na jiných (sítí definovaných) logických discích pracovní stanice.
Existuje i jiný způsob - mohli bychom říci opačný postup, který se uplatňuje především pro rozšíření infekce mezi jednotlivými pracovními stanicemi. Tentokrát je cílem základní infekce obecná pracovní stanice. Její uživatel může kdykoliv po infekci uploadovat infikovaný program do síťové mechaniky, na níž má právo zápisu a tvorby. Jestliže má jiný uživatel jiné pracovní stanice právo přístupu na tuto mechaniku, může si zkopírovat a spustit infikovaný program, a tím nakazit svoji pracovní stanici.
Druhým typem programů, vyskytujících se na souborovém serveru, jsou programy, které se zde spouštějí. V tomto případě je situace složitější. Bude totiž záležet na tom, jaké prostředí LAN software vytvoří. Jestliže LAN software pracuje jako DOSovský shell, pak je naprosto kompatibilní s DOS prostředím, a tedy umožňuje volné šíření jakéhokoliv MS-DOS viru. V tomto případě bude ochrana takového souborového serveru obdobná jako pro kterýkoliv jiný samostatně stojící DOS PC. LAN software však může využít vlastního zaváděcího procesu a vytvořit si vlastní prostředí, které pak není kompatibilní s DOS prostředím. Zde je velmi pravděpodobné, že DOSovský virus nebude schopen korektního přežití a šíření se v takovémto prostředí. Poslední možností je, že souborový server může pro zavedení systému využít DOS rozdělení, ale potom si vytvoří opět své vlastní prostředí. V tomto případě je situace nejsložitější, protože DOS tabulka rozdělení disku, boot sektory i soubory mohou být infikovány MS-DOS virem. A proto je třeba to první DOSovské prostředí, použité k zavedení systému chránit. Po převzetí kontroly LAN prostředím pak může dojít buď ke zníčení viru, a nebo za určitých okolností může virus přežít (např. jsou-li služby LAN a DOS operačního systému podobné).