úterý 1. listopadu 2011

Little Snitch - ochrana před trojany

Při pročítání zpráv o nových trojských koních pro Mac OS X jsem narazil na zmínku o programu, kterého se údajně jeden trojský kůň tak bojí, že když zjistí jeho existenci v počítači, raději počítač vůbec nenapadne. Zaujalo mě to natolik, že jsem si ho vyzkoušel.

Little Snitch firmy Objective Development hlídá běžící procesy a když se některý z nich pokusí komunikovat po síti, upozorní na to. Například když spustíte známého FTP klienta Cyberduck a zkusíte se s ním připojit na FTP server wuarchive.wustl.edu, vyskočí na obrazovce toto dialogové okno:


Little Snitch hlásí, že program Cyberduck se snaží otevřít TCP spojení na port 21 serveru wuarchive.wustl.edu a táže se, zda mu to má povolit nebo ne. Pokud kliknete na ano, přidá si vaše rozhodnutí do své tabulky pravidel a příště se bude řídit podle ní. Např. pokud zaškrtnete, že programu Cyberduck povolíte tcp spojení na port 21 kamkoliv a kdykoliv, přidá se do pravidel tato řádka:


Dále si přes ikonu na stavové liště můžete vyvolat průhledné okno s přehledem procesů, které právě komunikují po síti:


K čemu je to dobré? Pokud se do počítače dostane trojský kůň, bude se snažit navázat přes Internet spojení se svým "pánem" (serverem, který přes něj chce ovládat váš počítač). Program Little Snitch ho může odhalit. Pokud dvakrát kliknete na ikonu zdánlivě neškodné přílohy mailu a místo očekávaného zobrazení PDF dokumentu na vás vybafne Little Snitch s tím, že příloha se snaží po síti komunikovat s něčím v Číně, bude vám jasné, že je něco špatně.

Má to ovšem jeden háček. Program je určený pro lidi, kteří mají dobré znalosti o počítačových sítích. Vědí, co jsou zkratky IP, TCP, FTP, HTTP, HTTPS.... a vědí, jak který program komunikuje, co mu mají povolit a co naopak je podezřelé. Little Snitch obsahuje pravidla pro běžně používané programy (Mail, Safari, iTunes...), ale vytvoření pravidel pro ostatní aplikace už je na uživateli. Pokud nemá dostatečné znalosti, je pro něj Little Snitch jen podivná aplikace, co neustále s něčím otravuje. Ve světě Windows bývá funkčnost tohoto programu často zahrnuta do firewallu.
Pro síťaře jde ale minimálně o zajímavou věc. Naklikat vyhovující pravidla pro určitou aplikaci je věcí chvilky po jejím prvním spuštění a od té doby už nebude otravovat, jen o ní časem zjistíte pár dalších věcí (třeba jak často si zjišťuje aktualizace, jak a kde).

Během několika denního testování program běžel pěkně, nepůsobil žádné problémy, konfigurace a všechny výpisy jsou jasné a přehledné, nezpomaluje počítač.

Little Snitch je placený program a licence pro jednoho uživatele (může ho mít nainstalovaný na všech strojích, které používá sám, tj. např. na stolní Mac a na notebook) stojí necelých 30 Euro. Dá se ale nainstalovat a vyzkoušet v Demo modu, kdy je plně funkční po dobu tří hodin. Po třech hodinách se ale jen objeví dialogové okno, je nutné třikrát kliknout a běží další tři hodiny... Na důkladné vyzkoušení a zvážení, zda za 30Euro stojí, je tedy dost času.

Žádné komentáře: