BIOS - 4. díl: Advanced CMOS Setup - s větrem v zádech

V BIOSu lze také provést několik velmi důležitých opatření, díky kterým bude váš počítač opět o něco bezpečnější. Pojďte se s námi podívat, jaké všechny možnosti nám nabízí.

Pamětníci jistě ještě s hrůzou vzpomínají na tzv. boot viry, které se velmi těšily na chvíli, kdy zapomenete jimi infikovanou disketu v mechanice, spustíte počítač a oni budou moci pozměnit Hlavní spouštěcí záznam (MBR) ke své spokojenosti. V této chvíli totiž nebyl a ve své podstatě ani nemohl být spuštěn žádný z antivirových programů, protože ty se spouštějí až se startem operačního systému. Viru tedy vůbec nic nebránilo k páchání nekalé činnosti.

Takový byl také téměř neškodný Pieck (jinak znám také pod označením Kaczor), který každý rok 3. března nedovolil nikomu spustit počítač, dokud uživatel neodpověděl na jeho záludnou otázku "Podaj haslo? " a nezadal správné heslo, které znělo "PIECK". Pokud se vám to podařilo, virus jako správný gentleman odpověděl sekvencí "Pozdrowieniadla wynchowankow Pieck". V opačné případě se vám dostalo všeříkajícího odmítnutí "Blad", a vaše práce musela o den počkat. Největší škody tak tento virus napáchal v lidské psychice. Den strávený strachem o svá data, nebo nedejbože naprosto zbytečným formátováním pevných disků, dá prostě jednomu zabrat a docela pořádně.

V naší republice byl zcela bezpochyby nejznámějším škůdcem tohoto typu virus One-Half, který šifroval datové stopy pevného disku a jeho odstranění nebylo vůbec jednoduché, protože pokud jste během této operace udělali jakoukoliv chybu, byl obsah vaše disku, a tím i všechna cenná data na něm uložená, nenávratně pryč.

Podobným byl také velice obávaný virus ICH (alias Černobyl), který poprvé udeřil přesně v den výročí tragické ukrajinské jaderné havárie, 26. dubna 1999. Do světa jeho autor vypustil hned několik verzí, které se lišily právě datem jejich spuštění. První dvě z nich se aktivovaly pravidelně každý měsíc, třetí vždy napřesrok. Za jeho velkým rozšířením stál především fakt, že se v té době CD přílohy tištěných časopisů moc nekontrolovaly (ICH byl často šířen jako součást vydaných aktualizací k ovladačům).

Pole působnosti Černobylu bylo hned dvojího druhu. Nejprve se snažil přepsat obsah vaší flash paměti nesmyslnými daty a pokud neuspěl, například z důvodu, že zapisování do flash bylo u některých základních desek chráněno a blokováno hardwarově nějakým přepínačem, přistoupil na devastaci dat uložených na pevném disku. V takovém případě ICH obcházel standardní ochrany BIOSu a přepisoval MBR a boot sektory. Jeho autoru Chen Ing-Hau (odtud název viru ICH) se ale nedá upřít jedno - dokázal vytvořit virus, jehož klony se rozšířily na počítače v počtu statisíců, ne-li zrovna miliónů.

Problém v odstranění takových virů představovala především skutečnost, že se daný zlotřilec dokázal maskovat. Na určité místo pevného disku si virus dokázal zazálohovat původní kopii zaváděcího boot sektoru, a pokud nějaká aplikace žádala o přístup do této oblasti, nebylo pro něj vůbec žádný problémem podsunout původní data, a antivirus se mohl jít klouzat. Tato záludná technika dostala příznačný název Stealth, tedy přesně ten, který využívá armáda spojených států k označení technologií, které mají oklamat pozorovací systémy nepřítele, a zajistit jim tak potřebný moment překvapení.

Pokud se ale vrátíme k počítačovým virům, dojde nám, že definitivním způsobem, jak se zbavit boot viru, zůstává často až obnovení původní podoby boot sektoru včetně obnovy samotného Master Boot Recordu. Toto lze v operačních systémech, které náleží do rodiny NT (2000, XP a další) provést pomocí dvou po sobě následujících příkazů, které je třeba spustit ze záchranné konzole instalačního CD. Jedná se o příkazy fixboot (obnova boot sektoru) a fixmbr (obnova MBR). Ve Windows 9x bylo pro tento účel třeba použít nástroje fdisk s parametrem /mbr.

Další možnost představuje použití speciální záchranné verze antivirového programu spuštěného přímo v DOSu, a tedy ještě před startem operačního systému. Tímto způsobem se mi s pomocí AVG kdysi podařilo odstranit virus Pieck z MBR mého tehdejšího počítače.

Dnes se ale diskety téměř nepoužívají, což má také jedno veliké pozitivum - s jejich odchodem do křemíkového nebe odcházejí tyto záludné bestie do jisté míry též.

V Setupu lze zapnout jednoduchou, ale ve své podstatě také velmi účinnou ochranu bootovacího sektoru, která nedovolí žádnému programu do těchto softwarových končin zapisovat, což může být velmi výhodné. Po její aktivaci, kterou provedete nejčastěji v řádku Virus Warning nebo také Antivirus Protection budete moci rozhodovat o každém přístupu do této oblasti.

Když sem pak nějaký program bude chtít přistupovat, a něco při té příležitosti i měnit, budete o této události informováni hlášením typu: Boot Sector Write!!! Possible VIRUS: Continue (Y/N)? a na vás pak bude rozhodnout, zda se jedná o korektní a vyžádanou změnu, či zda ji způsobil nějaký záškodník. V závislosti na tom bude třeba určit, zda zápis povolíte (Y) či zakážete (N).

A jak zní doporučení? Ochranu je dobré mít asi i dnes zapnutu, můžete si tím v budoucnu ušetřit nejedno trápení. Při instalaci operačních systémů nebo tzv. bootovacích manažerů ji ale pro klid své vlastní duše určitě vypněte. Ty mají totiž v oblibě provádět zápis a různé úpravy v bootovacím sektoru, a vy byste tak v opačném případě museli neustále potvrzovat, že se jedná o autorizovanou operaci.

Jelikož je možné bootovat pouze z disketové mechaniky, která je z historických důvodů vždy označena písmenem A, je možné v BIOSu využít další "vychytávky". Vy tak nejste nuceni lézt složitě pod stůl, rozdělávat skříň vašeho počítače a přepojovat mechaniky, aby z A bylo B a naopak.

A v čem tedy spočívá řešení, s kterým přichází váš chytrý BIOS? V konfiguračním řádku Swap Floppy Drive (ev. Floppy Drive Swap). Po jeho nastavení na Enabled dojde k softwarovému prohození značení obou disketovek.

V dřívějších dobách bylo třeba také kontrolovat počet stop instalovaných disketových mechanik, protože na trhu se vyskytovaly dva typy, z nichž jedna měla celkem 40, a druhá dokonce 80 stop. Proto bylo v BIOSu nejčastěji nastaveno Enabled v položce Floppy Drive Seek či Boot Up Floppy Seek, která tuto kontrolu zajišťovala. V dnešní době se už ale setkáte pouze s druhou variantou, a proto si můžete to otravné chroustání disketové mechaniky během testu společně s určitým časovým zdržením rádi odpustit.

Pro práci s disketami je u některých BIOSů dále přítomna další z konfiguračních voleb - Removable Media Write. Jejím primárním účelem je povolit (a nebo zakázat) zápis na vloženou disketu, což se hodí především v internetových kavárnách, kde se pořád ještě diskety někde používají. Jen díky této volbě, nemusíte lézt pod stůj a vypojovat z disketové mechaniky datový kabel. Stačí na pár sekund skočit do Setupu a provést jednu malou úpravičku.

Troufám si ale tvrdit, že tyto možnosti dnes již asi jen těžko někdo ke své práci využije. Disketové mechaniky již prostě nejsou v módě a většina uživatelů nemá ve svém počítači ani jednu, natož pak dvě mechaniky. Někdy se ale výjimka najde, a to nejčastěji u uživatelů historiků, kteří mají doma podobné muzeum jako zde nejmenovaný jedinec (já).

Svoje PC můžete také chránit před oprávněným přístupem. Přístupová hesla k ochraně buď BIOSu nebo rovnou celého počítače (Set Supervisor Password a Set User Password) můžete nastavovat již v hlavním menu programu Setup. V systému tedy existují dvě na sobě nezávislá hesla a počítač spustíte zadáním kteréhokoliv z nich. Rozdíl je až pokud heslo nastavíte pro přístup do programu Setup. Uživatelské heslo totiž nedovoluje provádět žádná nastavení, kromě vytvoření nové podoby tohoto hesla. S využitím hesla "Supervisor" obdržíte plný přístup ke všem konfiguračním položkám.

Pokud si tato hesla nastavíte, můžete pak v Advanced BIOS Features v řádku Security Option specifikovat, zda se bude využívat pro ochranu BIOSu a programu Setup (volba Setup) nebo celého počítače (volba System). Pokud by se náhodou stalo, že heslo zapomenete, není třeba zoufat - Stačí vymazat paměť CMOS a heslo bude zapomenuto. Jak na to jste si mohli přečíst už v prvním díle tohoto seriálu v kapitole "Když se něco nepovede". Mimo jiné je zde zmíněna i další možnost vymazání hesla beze ztráty všech nastavení, které je možné provést u některých počítačů HP/Compaq (pomocí propojky CLPWD1).

Softwarové vymazání hesla je také možné. V odpovídajícím dialogovém okně potom pouze nezadáte heslo žádné, příp. může být v menu přítomna k tomu určená volba Clear User Password. Některé BIOSy (typicky desek Asus) dovolují také nastavit patřičná přístupová oprávnění, která dostane uživatel po zadání uživatelského hesla. Možnosti jsou: No Access (do Setupu nebude uživatel vůbec vpuštěn), View Only (všechny volby bude možné pouze prohlížet, ale již ne na ně zapisovat), Limited (bude možné měnit pouze některá nastavení, typicky Datum a čas) a Full Access (uživatel bude mít všechna práva ke čtení i zápisu a bude moci měnit všechny volby v Setupu podle jeho libosti). Toto je s různým úspěchem možné provádět také pomocí různých utilit, např. CMOS Password Recovery Tools.

Pozn: V případě svislých typů programu Setup, budou všechny výše zmíněné konfigurační doložky přítomné ve speciálním menu Security.

Na tomto místě se hodí ještě zmínit novinku ve světě kryptografie - skenování tváře, se kterou se můžete v některých počítačích setkat již dnes. Touto pokrokovou technologií disponuje například špička mezi notebooky Asus M70, a to s pomocí firemní funkce Asus SmartLogon. Dále u tohoto přístroje zcela jistě využijete i (dnes již standardní) přihlašování pomocí snímače otisku prstů.

V souvislosti s bezpečností můžeme zmínit také konfigurační řádek Case Open Warning, který zajistí, že budete během startu počítače vždy informováni o předchozím otevření krytu počítačové skříně. Pokud jste jej otevřeli schválně, nebo o otevření již víte, můžete událost vymazat z paměti Setupu tak, že zde nastavíte hodnotu Enabled.

K využití této funkce musíte do hry zapojit také speciální senzor umístěný v odpovídající počítačové skříni. Jeho konektor potom zapojíte do 4pinového (1 pin je volný) vývodu základní desky. Po otevření skříně pak dojde k vygenerování signálu vysoké úrovně, který vaše deska zaznamená a zmínku o něm uchová.

Pozn: Standardně jsou piny tohoto vývodu Ground (zem) a signálový Chassis Signal chráněny a zkratovány malou čepičkou, jumperem. Ten byste měli odstraňovat pouze v případě, že chcete této funkce opravdu využívat!