POČÍTAČOVÉ INFILTRACE A PREVENCE
Transkript
POČÍTAČOVÉ INFILTRACE A PREVENCE
POČÍTAČOVÉ INFILTRACE A PREVENCE K pochopení problematiky týkající se počítačových infiltrací je nutná znalost těchto základních pojmů: fyzický disk, logický disk, MBR, partition table, BOOT, FAT a ROOT sektor, disketa, operační paměť, internet, www, email, zavádění operačního systému. Definice: Počítačovou infiltrací nazýváme jakýkoliv neoprávněný vstup do počítačového systému. Vžité označení pro počítačové infiltrace je počítačový vir. Počítačové viry jsou programy úmyslně vyvinuté za účelem nějaké destrukční akce na PC (např.zformátování harddisku, poškození partition table, infikování dalších souborů, získávání osobních informací atd.) Rozdělení: 1. Trojské koně – samostatné spustitelné programy, které se nerozmnožují. Čekají na aktivaci a potom uškodí. Jejich odstranění je snadné, pokud se rozpoznají, stačí se smazat. 2. Červi – sebereplikující programy, nepotřebují hostitele, červ sám vytváří své kopie a spouští je.Šíří se formou paketů v počítačové síti. Ke svému šíření nejčastěji využívají konkrétní bezpečnostní díry v operačním systému. Nejčastěji využívají Internet. 3. Viry – programy samostatně se šířící, ale ke svému šíření potřebují hostitele, jiný vhodný soubor. Podle místa jejich výskytu je možno viry rozdělit na: Boot viry - napadají pouze systémové oblasti Souborové viry – napadají soubory (přepisující, rezidentní, stealth, polymorfní…) Multiparitní viry – napadají systémové oblasti i soubory Makroviry – šíří se prostřednictvím datových souborů v kancelářských balících 4. Zadní dvířka (backdoor): představují škodlivý kód, který v infikovaném počítači otevírá určitý komunikační kanál. Ten pak může být zneužit autorem škodlivého kódu nebo někým jiným (hackerem) k ovládání infikovaného systému. Speciální druhy infiltrací: 5. Spyware – je program, který využívá internetu k odesílání dat z počítače bez vědomí jeho uživatele. Jsou odcizována statistická data (navštěvované stránky, nainstalované programy). Spyware bývají běžnou součástí sharewarových programů. 6. Adware - Obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem jsou „vyskakující“ pop-up reklamní okna během surfování, společně s vnucováním stránek (např. výchozí stránka Internet Exploreru), o které nemá uživatel zájem. Adware může být součástí některých produktů (např. DivX). 7. Hoax - slovem Hoax označujeme poplašnou zprávu, která obvykle varuje před neexistujícím nebezpečným virem. Šíření je zcela závislé na uživatelích, kteří takovou zprávu e-mailem obdrží. Někteří se mohou pokusit varovat další kamarády či spolupracovníky a jednoduše jim poplašnou zprávu přeposlat (forwardovat). 8. Phishing - podvodné e-maily, kdy jsou na velké množství adres rozeslány podvodné dopisy, které na první pohled vypadají jako informace z významné instituce (nejčastěji banky). Tyto dopisy plně využívají tzv. sociální inženýrství. Příjemce je informován o údajné nutnosti vyplnit údaje v připraveném formuláři, jinak mu může být zablokován účet (v případě banky), popřípadě může být jinak znevýhodněn. V emailu bývá Ing.Petr Bouchala strana 1 uveden odkaz na připravené stránky s formulářem, které jakoby odkazovaly na server této významné instituce. Ve skutečnosti je uživatel přesměrován na cizí server, ale vytvořený ve stejném designu, jako jsou stránky "pravé" instituce. Chycený uživatel nemusí poznat rozdíl a může vyplnit předvolená políčka, kde jsou po něm požadovány důvěrné informace - čísla účtu, kódy k internetovému bankovnictví, pin pro platbu atd. Takto získané údaje mohou podvodníci velice snadno zneužít. 9. Dialer - dialer je program, který změní způsob přístupu na Internet prostřednictvím modemu. Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. „žluté linky“). Šíření virů Šíření je základní a nutnou vlastností programu označovaný jako počítačový virus. Základní způsoby šíření souvisí s názvy virů. Bootviry: šiří se pomocí bootování z diskety, vir napadne boot sektor nebo partition table. Po každém zavedení operačního systému je ihned zaveden do operační paměti, kde se stává aktivní, kontroluje diskové operace a v okamžiku práce s disketou napadne její boot sektor. Souborové viry: do počítače se dostávají prostřednictvím infikovaných souborů, Pokud se infikovaný soubor spustí, dostává se vir do operační paměti, kde se usadí (rezidentní vir). Tady čeká na spuštění dalších vhodných souborů, které postupně napadá a tím se šíří po datové oblasti disku. Multiparitní viry: spojují v sobě „výhody“ bootvirů a souborových virů. Šíří se jedním nebo druhým způsobem. Světově známým multiparitním virem byl One_Half. Makroviry – šíří se prostřednictvím datových souborů, které byly vytvořeny v prostředí kancelářských balíků. Programy jako jsou word, excel, a další mají programové nástroje k programování maker a makrovirus používá tento tzv. makrojazyk ke své existenci a šíření. Viry šířené elektronickou poštou: dnes nejrozšířenější a nejrychlejší způsob šíření. Nejčastěji přicházejí elektronickou poštou ve formě souborů s EXE příponou. K maskování používají zdvojené přípony (soubor.jpeg.exe) pro zmatení uživatele. Po spuštění takového souboru dojde k „vypuštění“ dalších souborů do operačního sytému., které se starají o replikaci virů pomocí elektronické pošty. Prevence 1. Používat antivirové programy – u nich provádět pravidelný upgrade samotného programu a virové databáze. 2. Pravidelně aktualizovat používaný software – tzv. záplaty bezpečnostních děr 3. Správně nastavit úrovně bezpečnosti používaného software (explorer, poštovní klient, operační systém, MS Oficce, Firewally…) 4. Nenavštěvovat webové stránky s podezřelým obsahem. 5. Být informován o aktuálních virových hrozbách (www.viry.cz, stránky výrobců antivirových programů) 6. Používat vlastní inteligenci a zkušenost – neklikat na všechno co dojde emailem. 7. Pokud dojde k nejhoršímu, mít zálohována data. Ing.Petr Bouchala strana 2 Techniky antivirových programů 1. Scanování Antivirové systémy používají pro detekci virů metody scanování, při které porovnávají kódy své interní virové databáze s kódy virů. Je-li kód v databázi shodný s nalezeným kódem viru v nějakém souboru či jinde, ohlásí, že je nalezen vir a jeho jméno. Tato metoda je velmi spolehlivá, nevýhodou je závislost na aktuálnosti virové databáze. 2.Heuristická analýza Při této technice se provádí rozbor obsahu a naprogramování souboru . Může být podezřelé to, když se program bude snažit otvírat a zapisovat do jiných spustitelných souborů. Tato metoda hledání virů dokáže odhalit nejnovější a dosud neznámý vir, tedy takový, který není ještě v databázi antivirového programu. Nevýhodou této metody může být chybné označení souborů, jejichž vnitřní kódování může být podobné kódování virů. 3.Test integrity (kontrola změn) Za třetí metodu hledání virů lze označit činnost antiviru, kdy porovnává informace o souborech s informacemi databáze, porovnává především velikost souboru s velikosti souboru naposledy zapsané v databázi. Pokud se např. změní velikost spustitelného souboru, lze předpokládat, že může být infikován virem. I tato metoda má svou nevýhodu. Autor viru mohl znát jméno souboru (databáze), kam se informace ukládají a mohl toho zneužít. 4.Rezidentní sledování Při startu počítače se do jeho operační paměti zavede rezidentní antivir, který neustále sleduje probíhající činnosti. Měl by být nastaven tak, aby v reálném čase odhalil změny chování systému. Tyto programy zabraňují nelegálním akcím a signalizují, kdykoliv se cokoliv v systému pokouší o nějakou podezřelou akci, která má charakteristiky chování viru, popř. jinak škodlivého, ilegálního chování, např. pokus o zápis do chráněných souborů, pokus o formátování disku atd. Nevýhodou této metody je možné zpomalení počítače, zejména tehda, je-li nedostatečně velká operační paměť. Každý antivirový systém by měl obsahovat min. 2-3 ze čtyř uvedených metod hledání virů. Je třeba si uvědomit, že antivirová ochrana se dnes netýká jen jednotlivých PC. Díky nutnosti vytváření počítačových sítí se oblast antivirové ochrany rozšiřuje na ochranu stanic, ochranu groupware a souborových serverů a ochranu na vstupních branách do Internetu. Ing.Petr Bouchala strana 3