Pod pojmem filtrování webu či URL (web filtering) si nejčastěji představujeme blokování přístupu na stránky s obsahem, který nemá souvislost s pracovní náplní. To je ale jen jeden z jeho úkolů – rozhodně však ne jediný.

Útoky z webu jsou „in“

Filtrování webu začíná hrát čím dál důležitější roli v bezpečnostní infrastruktuře firmy. Důvod je jednoduchý: současný trend útoků totiž jednoznačně preferuje napadání z webových stránek před jinými způsoby průniku. Potvrzuje to i průzkum provedený Department of Computer Science and Engineering při University of Washington v USA. Podle něho je totiž jedna ze 67 webových stránek infikovaná nějakou formou škodlivého kódu!
Zpracovány přitom byly údaje z osmnácti milionů stránek (a to ze všech oblastí včetně školství či státní správy, což je číslo bez jakékoliv diskuse statisticky významné). Jinak by se také dalo říci, že jeden a půl procenta zkoumaných stránek se pokouší zneužít chyby (nejčastěji v aplikaci Windows Internet Exploreru) k instalaci škodlivého kódu bez vědomí uživatele.
Počet infikovaných webových stránek přitom roste geometrickou řadou. Proč však tomu tak je? Proč útočníci opouštějí třeba e-mail, který měl před několika lety z hlediska šíření škodlivých kódů téměř „monopol“?
Důvodů můžeme najít několik. Prvním z nich je skutečnost, že antivirové a bezpečnostní společnosti dokázaly vypracovat velmi účinné obranné mechanismy. Jejich průměrná reakční doba se dostala pod tři hodiny, což znamená, že prakticky každá rozjíždějící se kalamita byla zastavena na samotném počátku. Právě pořádný start a následné značné rozšíření potřebuje e-mailový červ (virus, prostě jakýkoliv škodlivý kód) ze všeho nejvíce.
Dále: kontrolovat a filtrovat elektronickou poštu je relativně jednoduché. Když už nic jiného, tak stačí prostě a jednoduše „zahazovat“ potenciálně nebezpečné přípony. Kdo z běžných uživatelů potřebuje k práci elektronické posílání souborů s příponou EXE, VBS nebo PIF? Jistě, jsou profese, kde své opodstatnění mají (programátoři apod.), ale pro opravdu běžného uživatele představují buď zdroj legrácek, nebo problémů...
Dalším důvodem, proč agresoři elektronickou poštu rychle opouštějí, je skutečnost, že škodlivé kódy jí šířené si „žijí vlastním životem“. Jakmile je hacker vypustí do světa, už má jen minimální možnosti jejich vlastnosti či chování ovlivňovat. Což opět není pouze minus pro hackera, ale zároveň i plus pro uživatele a bezpečnostní firmy.
Naproti tomu škodlivý kód umístěný do webové stránky má mnoho „výhod“ (měřeno pochopitelně očima útočníka). Tím, že se nešíří, nejsou k dispozici tak jednoduše a rychle vzorky. Co si budeme namlouvat: přes všechny heuristické metody a další sofistikované technologie jsou dnešní antivirové programy z větší části stále ještě odkázané na aktualizace svých databází škodlivých kódů. A statický kód umístěný někde v hlubinách internetu mohou bezpečnostní firmy jen obtížně objevit.
A pokud se to přece jen podaří, stačí útočníkovi provést drobné změny v kódu a opět je „nedetekovatelný“. Nehledě na to, že bezpečnostním firmám přibývá práce – kromě detekování škodlivých kódů ještě zdlouhavé a obtížné jednání s provozovateli určitých webových stránek s cílem zajistit jejich odpojení (což je ale stejně boj s větrnými mlýny, protože ve světě internetu není pro agresora nic jednoduššího než „živnost“ přesunout).
Dobře, ale v případě elektronické pošty dostane uživatel virus prakticky „pod nos“ – ale v případě škodlivého kódu na internetu je potřeba jej na příslušnou stránku nějak dostat! To je sice pravda, ale není to tak těžký úkol, jak by se na první pohled mohlo zdát. Protože spamová (tj. nevyžádaná) zpráva s odkazem na příslušnou stránku se do schránky uživatele dostane snadněji než právě virus. A pak už stačí jen trocha fantazie k tomu, aby hacker naivního uživatele zlákal k návštěvě nějaké nebezpečné stránky: zpravidla mu při tom naslibuje hory doly...
Pokud si toto vše shrneme, pak je nám asi bezezbytku jasné, že je zapotřebí věnovat pozornost filtrování internetového provozu.

Alchymie jménem filtrování

Dnešní filtry webového provozu používají zpravidla větší množství metod, podle nichž jednotlivé weby, protokoly, dotazy apod. hodnotí. Někdy je možné nežádoucí obsah jednoznačně identifikovat už dle jistého znaku (jednoznačně kontroverzní web), jindy je provoz nutné posoudit z mnoha hledisek a až na základě tohoto posudku se s vysokou mírou pravděpodobnosti (ale nikoliv s jistotou) rozhodnout, zdali jde o korektní, či nekorektní provoz. Nesmíme zapomínat, že filtrování dělají pouze tupé nástroje a že vykonají pouze práci, kterou přesně nadefinujeme. Chybí jim zdravý selský rozum, tedy jakási „umělá inteligence“.
K základní filtrační metodě patří seznamy blacklistů – jakési „černé seznamy“ nevhodných adres. Tedy adres nebo domén automaticky zakázaných. Opakem blacklistu jsou whitelisty – seznamy povolených (žádaných) domén. Zatímco na internetu lze nalézt několik více či méně kvalitních blacklistů, v případě whitelistů tomu tak není – a pokud se je někdo historicky pokusil vytvořit, okamžitě byly plné nekorektních záznamů. Navíc whitelist je pro každý počítač či síť jiný: každý navštěvuje jinou skupinou webů, služeb apod. Tyto seznamy si tak musíme vytvářet sami, nebo si je vytváří filtr na základě našich zvyklostí. Což jde třeba u počítače využívaného jedním člověkem, ale ne u stroje, k němuž zasedají desítky uživatelů s rozličnými návyky a zlozvyky.
Obsahové filtry zase hodnotí obsah komunikace. Tedy klíčová slova, slovní spojení, v lepším případě jsou schopné s vysokou mírou pravděpodobnosti rozhodovat i o obsahu obrázků...

Co děláme v práci?

Podle IDC plných třicet až čtyřicet procent brouzdání po internetu v pracovní době nemá žádný vztah k vykonávané práci. Podle serveru sextracker.com je plných sedmdesát procent přístupů k on-line pornografickým stránkám realizováno v pracovní době. Pro dvacet procent mužů a deset procent žen jsou pracovní počítače hlavním spojením s pornografií (dle MSNBC). A 25 procent dotazů na internetové vyhledávače nějak souvisí s pornografií...

Filtrování URL

Nejčastěji používanou metodou filtrace je ovšem filtrování URL (uniform resource locators) odkazů, tzv. URL filtering. Asi si docela dobře dokážeme představit třeba filtrování webů s tematikou pro dospělé, nicméně celá technologie má v praxi mnohem širší využití.
Kontrola přístupu k webu může mít podobu buď nějaké bezpečnostní směrnice (těžko si ale dělat iluze o její funkčnosti, navíc velmi špatně budete definovat, co ještě možné je, a co už není žádoucí) nebo specializované aplikace. Nejčastěji se v této souvislosti lze setkat s označením „software pro kontrolu obsahu“, méně častěji se „software pro filtrování webu“ nebo kontroverzním censorware. Hlavně poslední ironické označení přitom nerady vidí firmy, které se vývojem a prodejem podobných nástrojů zabývají (software principiálně nic necenzuruje, ale pochopitelně může být zneužitý k prosazování určitých zájmů).
Pozor, celá záležitost se může velmi jednoduše stát problematickou. A to zvláště v případě, kdy je třeba URL filtrace aplikována bez vědomí uživatelů nebo bez absence jasných pravidel (v zahraničí už bylo mnoho soudních sporů, protože zaměstnavatel blokoval weby nejen v návaznosti na produktivitu práce, ale třeba i v souvislosti se svým náboženským přesvědčením). Otázka filtračního softwaru tak vždy záleží na mnoha okolnostech a způsobech použití, těžko se vytvoří jednotný univerzální mustr.
Mějme každopádně na paměti, že filtrování obsahu webu vůbec není procházkou růžovým sadem. Software lze poměrně snadno překonávat: třeba použitím protokolu FTP nebo telnetu. Stejně tak lze (někdy) hlídače obejít použitím méně obvyklého jazyka. A pro obcházení nebo vypínání aplikací lze na webu najít různé tipy, triky a tzv. work-arounds („obezličky“).