Jsou internetové prohlížeče vašich zaměstnanců dostatečně chráněné? Uživatelské počítače mohou mít firewall s blokováním určitých portů, antivirovou ochranu a pravidla, která zakazují zaměstnancům navštěvovat nevhodné, například pornografické stránky. Ale taková opatření často nestačí: kriminální aktivity na internetu mají různé podoby, které běžné uživatele překvapí a zaskočí. Například je v dnešní době zcela nerealistické důvěřovat webovým stránkám, i když se tváří jako solidní informační kanál.

Filtrování URL adres je z historického hlediska tím nejúčinnějším způsobem, jak chránit uživatele před škodlivým útokem. Taková ochrana kontroluje adresy webových stránek (nebo jejich IP adresy) a porovnává je se seznamem známých škodlivých stránek. Taková ochrana má tu výhodu, že zákazník může na seznam blokovaných stránek přidat i jiné stránky, které z nějakého důvodu nechce zaměstnancům zpřístupnit (např. Facebook, MySpace nebo Twitter). Seznam škodlivých stránek se pravidelně aktualizuje, jak se objevují nové stránky se škodlivým obsahem.

Mezi nebezpečné stránky se řadí ty, které se snaží od uživatelů podvodným způsobem vylákat citlivé osobní údaje (této aktivitě se říká phishing). Dále se blokují stránky s nevhodným obsahem (např. pornografie). Bezpečnostní produkty pro filtrování URL adres jsou dnes velmi rozvinuté a nabízí pokročilé funkce (mimo jiné možnost blokovat určité stránky jen v určitých hodinách: lze zakázat přístup k Twitteru v pracovní době, ale povolit o polední přestávce). Mezi další pokročilé funkce patří možnost rozlišit omezení přístupu k stránkám podle uživatelů nebo skupin. Například přístup k Facebooku může mít jen marketingové oddělení, protože ho potřebuje k plánování kampaní a akcí, ale ostatní oddělení přístup mít nebudou.

Filtrování URL adres však není jediný způsob, jak chránit počítačovou síť. V dnešní době je stále obtížnější rozpoznat škodlivý web. V minulosti stačilo se vyhýbat některým z principu podezřelým stránkám (např. pornografie nebo stránky pro nelegální stahování programů), které měly „v popisu práce“ automaticky spouštět škodlivé skripty a nabourávat se do prohlížečů.

Dnes už není stoprocentní spolehnutí na žádný web: BusinessWeek, CNet a UN obsahovaly v posledních letech škodlivé skripty. Dokonce i stránka Paul McCartneyho svého času dávala počítačům návštěvníků instrukce, které z nich dělaly automatické agenty operující bez kontroly uživatele (botnet). Určitě to ale nebyl sir McCartney, kdo tento škodlivý skript na svou stránku přidal. Tak jak se to tedy stalo?

Hackeři jsou čím dál tím chytřejší v tom, jak získat kontrolu nad cizí webovou stránkou, aby mohli pozměnit její obsah. Někdy stačí použít FTP heslo zcizené z již napadeného počítače. Jindy lze využít techniku SQL injection, což je vsunutí škodlivého kódu přes neošetřený vstup a provedení neoprávněného SQL dotazu. Neoprávněný SQL dotaz dokáže změnit databázi běžící za webovou stránkou tak, že nyní obsahuje škodlivé skripty nebo vnořené rámce (iframe tag), odkazující na nebezpečný server. Tak může útočník ovládnout jinak legitimní web a využít důvěry uživatele.

Pakliže není možné a priori věřit žádné stránce, je klíčové být schopen analyzovat obsah na stránce. URL filtr může povolit přístup k nějaké legitimní stránce, protože nemůže vědět, že je stránka napadena útočníkem. Analýza obsahu stránky však často dokáže odhalit škodlivý kód.

Zyxel zahrnuje ochranu před riziky z webu do svého unifikovaného bezpečnostního systému (UTM), spolupracuje přitom se společností Blue Coat, která dodává specializované skenery webového obsahu

Kvalitní produkty pro analýzu obsahu stránky (skenery webového obsahu) nejenom kontrolují klíčová slova, která by mohla ukazovat na škodlivý nebo nelegitimní obsah, ale také sledují, zda stránka neobsahuje neviditelné části (např. skripty nebo vnořené rámce s odkazy na jinou URL), které mohou být potenciálně nebezpečné. Dále skener provádí analýzu dynamických linků, při které prohledá obsah stránky, zda neobsahuje interní linky na škodlivé stránky. V neposlední řadě skener dokáže monitorovat a vyčistit výsledky vyhledávacích serverů a odstranit odkazy, které vedou ke škodlivým stránkám.

Analýza dynamických linků, vyhledávání škodlivého softwaru a využívání kolektivních informací („cloud-based“) jsou důležité techniky, které při správném použití a realizaci odhalí nebezpečný obsah na internetu.

Aby nám přístup k webu přinášel užitek a ne škodu, je třeba se chránit před jeho riziky. Investice do filtrování URL adres a skenování obsahu je proto důležitým prvkem IT infrastruktury společnosti.

Petr Koudelka
Autor působí jako security product manager a technical specialist společnosti Zyxel Communications Czech.