Živý rozhovor: s Janem Strnadem o zabezpečení počítačů v domácnostech

To sem nevedel, ze bezpecnost OS se hodnoti podle poctu opravnych balicku.

Radek Hulán byl, je a asi navždy bude docela chytrej, ale namyšlenej trouba. Všechny jeho výroky je třeba filtrovat. Přestože dotaz na pana Strnada odpovídá jeho naturelu, nevěřím, že ho napsal sám. Takovej deb*l přece být nemůže.

A panáčkům, co si myslí, že pouhý firewall stačí na vše a AV je zbytečný doporučuji si přečíst minimálně tenhle článek znova. A držím jim palce.

Jak vůbec může někdo říct, že nikdy žádnou nákazu neměl? Dobrá nákaza sepoznat nedá, to není jako angína s bolením v krku. To je jako bacilonosič, taky vo tom nevíš.

Treba tak ze sem prescanoval pres prikazovovou radku pomoci mcaffe update ...

Hulán je ***** ale já s timhle souhlasim, taky nic jako firewall, antispiyware či antivir nevedu a už jsem dlouho nic nechytil = teda očem bych věděl , spywares tu asi nějako budou ale vzhledem k mému používání placení online si vyšpehujou maximálně české zamilované emaily Lucince a ty jsou stejně open source ...

a už jsem dlouho nic nechytil = teda očem bych věděl >

to bude asi ten problem ...

maximálně české zamilované emaily Lucince>

A Marta Jandová příjde zkrátka?

:o) Ano, Marty jsem se vzdal ...

RaDo je prostě RaDo. Ale věřím, že když sedí za dobrým routerem a nespousti soubory typu xxx.exe , pak je bez problémů... Je to jenom o zkušenosti uživatele.

Já osobně používám firewall a svojí halvu a už dlouho jsem neměl problémy.. ale samozřejmě zálohuju :)

Nechci startovat nejakou vasnivou diskuzi, ale me zkusenosti s McAfee jsou takove, ze jejich komplexni balik zpomaluje vetsinu PC mnohem vic, nez stado trojskych konu. Nekolikrat jsem resil opravdu pomaly beh operacniho systemu, marne hledal zavadu vsude mozne a nakonec ho vyresil odinstalaci baliku od McAfee a pouziti jineho SW.

Teda já už nejsem vůbec žádný odborník. Ale domnívám se, že přímý průnik do systému na jedné straně a viry a trojské koně a podobná havěť na straně druhé jsou dvě různé věci. Pokud se týká Linuxu, nechápu k čemu by mi byl antivir, pokud antivirák není na serveru a nekontroluje např. poštu pro stanice s Windows. Linux funguje na jiném principu než Windows a není tak úplně pravda, že by virů pro Linux bylo víc, kdyby byl mnohem víc rozšířen než je dneska. Vždyť už dneska se "útočníci" mohou zaměřit na linuxové servery, kterých je ve světě dost. Útoky na dostupnost služeb je něco jiného, tam je ochrana nutná. Ale přesto mi článek připadá jako prohlášení "jedině prášek XY nezničí vaši pračku"

Rozsireni je jiste hezka vec, ale podle me to neni nejdulezitejsi parametr podporujici snahu o vytvoreni viru. Ja si myslim, ze nejdulezitejsi je dostatek obycejnych uzivatelu, kteri o bezpecnosti vedi malo nebo nic a nejsou proto schopni se chranit. Nemam pochybnosti o tom, ze az (jestli) bude Linux pouzivat par desitek milionu obycejnych uzivatelu, tak to s nim nedopadne o moc lepe nez s Windows.

I tak to budou mít tvůrci škodlivých kódů a virů mnohem těžší. Linuxových distribucí je celá řada, některé programy fungují jen pro určité jádro atd. Pro určitou činnost existuje řada různých programů, různá grafická prostředí atd. Dále každá distribuce má své ověřené repozitáře, ze kterých se čerpají programy. Různorodost prostředí dost práci tvůrcům virů znepříjemní.

Staci staticky slinkovana binarka a pojede bez problemu na vetsine dnesnich distribuci
Sila Linuxu je nekde jinde nez ve zbytecne velkem mnozstvi distribuci.

linux už používá pár desítek miliónů lidí, samozřejmě se stovkama miliónů, kteří používají Windows je to málo, ale zas až tak malé množství linuxových počítačů není.

Já jsem si poměrně hodně jistý tím, že i kdyby linux byl rozšířenější, tak na tom v otázce virů jako windows nebude, je to prostě jinak udělaný systém

virus na linuxu: "use@linux-desktop:> virus couldn't find library xxx.gcc; fix dependencies first"

S masovosti bude viru a cervu pro Linux jiste vic, ale v zadnem pripade to nebude tak hrozive jako ve svete Windows. Je to tim, ze zvyklosti jsou na obou OS odlisne a nektere veci proste Unixovy OS a software nad nim neumozni.
Pochopitelne proti skodlivemu kodu, ktery uzivateli prijde mailem i s navodem, jak se prihlasit jako root, kod ulozit, rozbalit a spustit, proti tomu neni pomoci (to uz je zavisle pouze na mire blbosti daneho uzivatele) - pak by samozrejme musel zafungovat i na Linuxu nejaky "rezidentni" antivir

To neni zadny problem - bude maskovan jako nejaka jednoducha hra - bude skutecne tak funkcni a zaroven bude delat veci navic.
Asi neuverite, ale prvni postovni virus byl jeste na Unixu, na jedne fakulte, kdy poslal par studentum programek "vanoce" - zobrazil vanocni stromecek a zaroven prohledal adresar jeho elektronicke poste a poslal se vsem, ktere tam nalezl. A takovy program pujde na Linuxu vzdy - proste pujde tam spoustet binarrni souboy - pro neznaleho uzivatele klidne s navodem jak to spustit... V horsim pripade jeste k tomu si pribere mazani nalezenych textovych dokumentu - par nahodne vybranych - samozrejme dle prav uzivatele (ale budou tam vzdy - proste v mode user se pisi texty).. ci je dokonce jen vhodne upravi - existoval jiz virus , ktery menil nektera nahodne vybrana y za i a naopak....

Ano, na te fakulte proskenoval postovni schranku, takze vse asi na jednom serveru, ne? A kdyz by prisel na jiny pocitac, kde budou pouzivat jinou verzi programu nebo uplne jiny program tak to bude fungovat taky? Mozna ano, ale spis ne. Klasicky problem monokultur. nerikam, ze to nejde, viz Kukacci vejce, ale rozhodne to nebude tak trivialni jako dnes v monokulture Win 5x.

"Klasicky problem monokultur. nerikam, ze to nejde, viz Kukacci vejce, ale rozhodne to nebude tak trivialni jako dnes v monokulture Win 5x."

Zase naprosta vyhoda v dostupnem SW vybaveni i pro mene obvykle lidske cinnosti - proste na takto rozsirene platforme se tech tisice lidi po celem svete precejen najde...
Proste psat SW pro vice paltforem znamena, byt na kazdou odbornik a navic program psany tak, aby byl co nejlepe upravitelny na jinou platformu nemuze vyuzivat specialni moznosti dane platformy a tak z hlediska uzivatelu se tvari mnohem hur nez program zcela prizpusobeny jedine platforme - minimalne vzdy alespon co se tyce rychlosti a vetsinou i komfortu ovladani....

to je pravda
a čo spúšťať neoverené veci v nejakom sandboxe a pod?
Novel ma myslím aplikáciu AppArmour - pokiaľ som pochopil, to je akýsi wrapper v ktorom beží aplikácia a on určuje (teda je na to konfigurácia) ktoré adresáre aplikácia môže čítať a kde môže zapisovať, prípadne dalšie veci, včítane prístupu na sieť. Stačilo by spúšťať neoverenú binárku v takomto niečom. Možno by to bolo integrované s mail klientom a keby užívateľ klikol na binárku tak by sa automaticky spustila v niečom takom.
A čo možnosť spúštať neznámu aplikáciu pod iným užívateľom, ktorý nemá právo čítať a/alebo zapisovať v adresári užívateľa?
Možností je veľa, ale absolútne zabraniť užívateľovi aby si pobabral systém nie je možné.....

Hulan, metelesku blesku!

kdo Vám tvoří Váš web, že ani nevíte, že Vaším jménem tam někdo propagoval firewall Tiny, doporučoval proskenovat PC Ad-Aware a NODem, používat sandbox.
Asi toho o PC víte hodně, ale nebuďte tak nadutý a přezíravý k nám zaostalým, kteří používáme PC k běžné práci a nemáme čas (a já asi ani schopnosti) vyhodnocovat při práci desítky vyskakujících hlášení a dotazů firewallu zda to či ono povolit či zakázat v případě, že jsem si nastavil firewall podle Vašeho návodu. Pro mně je to opravdu nepoužitelné.
Ladislav Zaostalý

Prosím Vás, kdo je to "IT GURU" :???
Jak může někdo napsat, že 7 let nepoužívá "ANTI" aplikace a neví co je to vir, trojan, červ apod.? Samozřejmě, že neví, protože je nedokáže rozeznat! Každý den se zabývám "čištěním" systémů od všeho možného i nemožného odpadu a "GURU" nejsem. Jenom debil nemá antivir, a jenom debil spoléhá na svou dalekosáhlou "IT GURU" inteligenci. Chtěl bych vidět systém pana Hulána ( tedy pokud nepůjde o novou, čistou instalaci). Víte ono nelze standartního uživatele naučit znát používaný systém nazpaměť a nutit ho k permanentní kontrole systémových procesů, aktivitách na portech atd. Proto je dobře, že zástupné aplikace v podobě antivirů, firewallů, antispywareů existují. Jinak by totiž "normální uživatel" byl v prd...

Já už nepoužívám žádný ANTI více jak dva roky a problémy nemám žádné... používám Linux

tak tim se moc nechlub, na Linuxu mas mit taky antivir a spoustu dalsich podobnych pytchovin - viz odpoved toho experta z clanku

a tvoje mlada taky nepouziva nic anti- ?

Ten expert z článku není nezávislý. Je zaměstnancem firmy, která vyrábí ono "anti". Myslíš si, že by napsal něco, co by ohrozilo byznys jeho firmy? Odpovídá opatrně, rádoby nezávisle, ale neustále "mele jak kafemlejnek", že bez "svaté trojice" si provoz počítače nedovede představit a že nejlepší je používat sladěné programy od jednoho výrobce. No a protože kromě McA nikdo nic takového "kompexního" nedělá, je zřejmé "za koho kope"...

no chcel by som vidieť, tu virovú databazu na ten antivir na linux, resp aspon koľko položiek v nej je a koľko z toho sú windowsácke virusi a koľko linuxove. Samozrejme že existujú linuxove antiviry ale tie skenujú windowsácke virusi, napríklad na poštovom servery alebo možno sa to používa pri dualboote a pod.

S takovým tvrzením jdi do ω.
No na Linuxu stačí mít účty s uhodnutelným jménem a heslem, zapnuté ssh a za nedlouho se tam nějaká breberka určitě objeví. Několikrát za den zkouší automatické scannery takový účet odhalit. Pak stačí, aby se někdo namáhal, zalogoval se na takový počítač, stáhl staticky slinkovanou breberku a připojil ji do sítě botnetů. Další účel takového počítače muže být rozesílání spamu, DoS útok proti nějaké oběti, scanování dalších počítačů, IRC bot, ....

Navíc po každé bezpečnostní aktualizaci se může v systému objevit další zranitelnost, kterou nemusí znát ani R. Hulán, ani jiný "IT GURU".

Ano si debil, ja sem IT guru, jinak uz se znovacovat ani nemuzu, musim se od vas lam nejak odlisit.

seš akorát looser a ne guru

sám jsi loser, woe!

A looser is a loser who can't spell "loser".

k tomu W bych dodal asi tolik a opravdu to na tebe sedí

Musím ti říct, že mě značně irituje tento moderní trend - psát W do slovíček kam nepatří. Stejně jako psaní hrubek a jiných disproporcionálních chyb, a při tom to považovat za znak sociální nadřazenosti. Ergo tě musím požádat, abys zanechala tohoto hanebného ničení českého jazyka, jinak budu nucen urazit tvůj původ a přidat hanlivý přívlastek.

Co to melesh ty woe????

a zbytek toho rozhovoru je dokončen zde: http://www.lamer.cz/quotes/show/3719

Looser znamená něco jako "volnější". Asi tím autor chtěl říci, že jsi mu volnej

Pokud sedite za routerem, coz uz je dneska vcelku bezne, tak si zajiste vystacite bez antiviru, bez antispyware i bez firewallu. Obycejnemu uzivateli bych to urcite nedoporucil a sam jsem prilis paranoidni na to, abych se bal jen malware (nevidim az tak velky rozdil mezi tim, jestli komunikuje virus nebo sice "hodny" program, ktery ale ke komunikaci nema duvod - rekneme neco jako Word nebo treba Open Office [to jsou jen priklady programu, ktere komunikovat nepotrebuji; nevim, jestli ve skutecnosti komunikuji nebo ne]), ale skutecnost je takova, ze se bez nich obejit da a to dokonce i bez nejakych skodlivych vedlejsich efektu:

1) Antivirus neni potreba, pokud pouzivate vyhradne duveryhodne programy, tj. treba si je sam kompilujete. Navzdory tomu, ze i u kupovanych programu uz se v minulosti vyskytly pripady, ze byla distribucni disketa (CD) zavirovana, se daji i kupovane programy oznacit za vcelku bezpecne. Krome toho, i kdyby zavirovane skutecne byly, staci bezet pod uzivatelskym uctem (coz ani ve Windows XP neni problem, prestoze se tak casto tvrdi opak) a virus nemuze nic moc udelat (pocinaje instalaci a konce skodami).

2) Antispyware neni potreba, pokud nemate zalibu se stahovani a testovani desitek az stovek nejruznejsich freeware a shareware a pokud nestahujete cracky. Pokud si drzite svoji osvedcenou sestavu programu, ktere nanejvys udrzujete v kondici, tak se nemate spyware proc bat.

3) Firewall je jedina aplikace, kterou povazuji za podstatnou. Ale pokud nejste paranoidni a/nebo jste dostatecne sebevedomy/hloupy, abyste veril, ze kontrolu odchozich packetu nepotrebujete, tak si bohate vystacite s routerem.

ad uživatelský účet:

bohatě bude stačit, když nějaký virus smaže všechna data v dokumentech, to jestli mi zhavaruje systém je mi pak už celkem jedno. Bavíme se o domácích počítačích, ne serverech.

Jakou hodnotu maji asi data, ktera nepovazujete za nutne zalohovat?

ono záleží, jak často zálohuji, např. fotky, které mám v počítači pro mě mají určitě velkou hodnotu, nicméně je dávám na DVD až v okamžiku, kdy jich nafotím kolem 4GB. Do té doby je mám na disku. Virů se nebojím, protože Windows nepoužívám, ale dovedu si představit, že spoustě uživatelů by mohlo vadit i kdyby stratili data která vytvořili před 2 hodinama a ještě je nestihli zálohovat - např. když někdo dělá na diplomové práci - nemusí přijít o celou práci, ale určitě naštvě, když přijde o to co vytvořil za poslední 2 hodiny.

Důležitou, kritickou práci, která není přitom objemná si občas pošlu na e-mail. To je docela dobrá záloha

tak to se mi právě stalo psal sem diplomku, asi tak půl hodiny 2 stránky A4 a ve wordu a co čert nechtěl, dám to uložit jako vždy a Word se zasekl, nešlo s tím nic dělat (věřte mi nešlo), vir to nebyl byl to word co to neustál, sem se rozzuřil a už sem nikdy tak pěkně ty 2 stránky nenapsal :) (s těma fotkama to dělám stejně, ještě tak jednou za 2 roky to znovu přepálit)

Co automaticke ukladani po 5 minutach... Nenabidlo to moznost obnovy posledni verze?

Nechápu, jak může někdo tohle napsat...

Už jsem dával dohromady hodně zavšivených počítačů, všechny měly funkční antivirus (většinou Avast zdarma) i zapnutý personalní firewall (součást Windows) - tedy obojí nic moc, a na všech se používalo ICQ. Protože puberťáci si potřebují posílat mraky všeho možnýho se všema ze třídy stačí aby alewspon jeden třídní trouba měl na počítači nějaký breberky a už je tam mají všichni. Nevím, jak je to možné, ale antivir (nechápu) ani firewall (jak by mohl) je nezastavil.

Dobrou kombinaci jsem ověřil - a průšvihy se už neopakovaly - antibreberkovač "Spybot - Search & Destroy" - není sice na živé breberky moc účinný, ale jeho funkce "inokulace" tedy naočkování před novejma breberkama je opravdu úžasně funkční, zvláště pak, když se to občas zaktualizuje, databáze činí necelých 20.000 breberek!!! A k tomu jako antivirus nejlépe NOD32 - nebo alespoň něco jinýho zadarmo + pochopitelně zapnutý alespoň ten firewall ve Windows a nejlépe ještě jeden externí na vstupu z Internetu do domácího počítače nebo celé sítě (máte-li ADSL, kupte si raději modem s routerem a připojením přes Ethernet, je to sice dražší, ale lepší, výkonnější, a se zabudovaným jednoduchým firewallem, než ten USB, který je sice zadarmo ale docela zatěžuje PC).
Potom si můžete dovolit jít i na podezřelé stránky, hlavně ale koukejte, jak vám Antivir nadává (pokud máte nadávání zapnuté) a nepovolujte, co je podezřelé. Dokonce i cracky, jejichž stažení bývá podmiňováno instalací podivného software, se nakonec podaří stáhnout i bez něj, jenom to musíte párkrát zakázat...

Pokud chcete dost dobrej externí firewall, zapomeňte na servery s instalovaným "geniálním" softwarem od Mrkvosoftu, či "nejlepším" řešením na Linuxu, zapomeňte i na hodně dobrá Cisca a kupte si raději ZyWall. Budete to mít za zlomek ceny.

Souhlasím, Spybot je mnohem lepší nežli MS-WinDefender.!
Na PC kde je aktualizovaný SpyBot najde spousty "vší" z internetu
a také je většinou odstraní.
Dále je dobré používat ke kontrole program StatUp Control Panel 2.8,
který vypíše (vetšinou) všechgny porogramy, které startují při startu PC + NOD.
A nebo kontrola vynikajícím programem Micro Word Antivirus & Spyware Toolkit Utility,
který se nemusí instalovat ale jde aktualizovat stojí za použití
engin "Kaspersky"!!): http://www.mwti.net/download/tools/mwav.exe
a nebo i DrWeb-cureIt (také bez instalace)
je dobrý: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Pepak: ... staci bezet pod uzivatelskym uctem ...
oh: to je sice hezké, ale defragmentace, různé instalace, Windows update, a další aktualizace jako user neprovedete a ne vždy lze využít "spustit jako". Takže to zase tak růžové není