POČÍTAČOVÉ INFILTRACE A PREVENCE

POČÍTAČOVÉ INFILTRACE A PREVENCE
K pochopení problematiky týkající se počítačových infiltrací je nutná znalost těchto
základních pojmů: fyzický disk, logický disk, MBR, partition table, BOOT, FAT a ROOT
sektor, disketa, operační paměť, internet, www, email, zavádění operačního systému.
Definice:
Počítačovou infiltrací nazýváme jakýkoliv neoprávněný vstup do počítačového systému.
Vžité označení pro počítačové infiltrace je počítačový vir. Počítačové viry jsou programy
úmyslně vyvinuté za účelem nějaké destrukční akce na PC (např.zformátování harddisku,
poškození partition table, infikování dalších souborů, získávání osobních informací atd.)
Rozdělení:
1. Trojské koně – samostatné spustitelné programy, které se nerozmnožují. Čekají na
aktivaci a potom uškodí. Jejich odstranění je snadné, pokud se rozpoznají, stačí se
smazat.
2. Červi – sebereplikující programy, nepotřebují hostitele, červ sám vytváří své kopie a
spouští je.Šíří se formou paketů v počítačové síti. Ke svému šíření nejčastěji využívají
konkrétní bezpečnostní díry v operačním systému. Nejčastěji využívají Internet.
3. Viry – programy samostatně se šířící, ale ke svému šíření potřebují hostitele, jiný
vhodný soubor. Podle místa jejich výskytu je možno viry rozdělit na:
Boot viry - napadají pouze systémové oblasti
Souborové viry – napadají soubory (přepisující, rezidentní, stealth, polymorfní…)
Multiparitní viry – napadají systémové oblasti i soubory
Makroviry – šíří se prostřednictvím datových souborů v kancelářských balících
4. Zadní dvířka (backdoor): představují škodlivý kód, který v infikovaném počítači
otevírá určitý komunikační kanál. Ten pak může být zneužit autorem škodlivého kódu
nebo někým jiným (hackerem) k ovládání infikovaného systému.
Speciální druhy infiltrací:
5. Spyware – je program, který využívá internetu k odesílání dat z počítače bez vědomí
jeho uživatele. Jsou odcizována statistická data (navštěvované stránky, nainstalované
programy). Spyware bývají běžnou součástí sharewarových programů.
6. Adware - Obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým
příznakem jsou „vyskakující“ pop-up reklamní okna během surfování, společně s
vnucováním stránek (např. výchozí stránka Internet Exploreru), o které nemá uživatel
zájem. Adware může být součástí některých produktů (např. DivX).
7. Hoax - slovem Hoax označujeme poplašnou zprávu, která obvykle varuje před
neexistujícím nebezpečným virem. Šíření je zcela závislé na uživatelích, kteří takovou
zprávu e-mailem obdrží. Někteří se mohou pokusit varovat další kamarády či
spolupracovníky a jednoduše jim poplašnou zprávu přeposlat (forwardovat).
8. Phishing - podvodné e-maily, kdy jsou na velké množství adres rozeslány podvodné
dopisy, které na první pohled vypadají jako informace z významné instituce (nejčastěji
banky). Tyto dopisy plně využívají tzv. sociální inženýrství. Příjemce je informován o
údajné nutnosti vyplnit údaje v připraveném formuláři, jinak mu může být zablokován
účet (v případě banky), popřípadě může být jinak znevýhodněn. V emailu bývá
Ing.Petr Bouchala
strana 1
uveden odkaz na připravené stránky s formulářem, které jakoby odkazovaly na server
této významné instituce. Ve skutečnosti je uživatel přesměrován na cizí server, ale
vytvořený ve stejném designu, jako jsou stránky "pravé" instituce. Chycený uživatel
nemusí poznat rozdíl a může vyplnit předvolená políčka, kde jsou po něm požadovány
důvěrné informace - čísla účtu, kódy k internetovému bankovnictví, pin pro platbu atd.
Takto získané údaje mohou podvodníci velice snadno zneužít.
9. Dialer - dialer je program, který změní způsob přístupu na Internet prostřednictvím
modemu. Místo běžného telefonního čísla pro Internetové připojení přesměruje
vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. „žluté linky“).
Šíření virů
Šíření je základní a nutnou vlastností programu označovaný jako počítačový virus. Základní
způsoby šíření souvisí s názvy virů.
Bootviry: šiří se pomocí bootování z diskety, vir napadne boot sektor nebo partition table. Po
každém zavedení operačního systému je ihned zaveden do operační paměti, kde se stává
aktivní, kontroluje diskové operace a v okamžiku práce s disketou napadne její boot sektor.
Souborové viry: do počítače se dostávají prostřednictvím infikovaných souborů, Pokud se
infikovaný soubor spustí, dostává se vir do operační paměti, kde se usadí (rezidentní vir).
Tady čeká na spuštění dalších vhodných souborů, které postupně napadá a tím se šíří po
datové oblasti disku.
Multiparitní viry: spojují v sobě „výhody“ bootvirů a souborových virů. Šíří se jedním nebo
druhým způsobem. Světově známým multiparitním virem byl One_Half.
Makroviry – šíří se prostřednictvím datových souborů, které byly vytvořeny v prostředí
kancelářských balíků. Programy jako jsou word, excel, a další mají programové nástroje
k programování maker a makrovirus používá tento tzv. makrojazyk ke své existenci a šíření.
Viry šířené elektronickou poštou: dnes nejrozšířenější a nejrychlejší způsob šíření. Nejčastěji
přicházejí elektronickou poštou ve formě souborů s EXE příponou. K maskování používají
zdvojené přípony (soubor.jpeg.exe) pro zmatení uživatele. Po spuštění takového souboru
dojde k „vypuštění“ dalších souborů do operačního sytému., které se starají o replikaci virů
pomocí elektronické pošty.
Prevence
1. Používat antivirové programy – u nich provádět pravidelný upgrade samotného
programu a virové databáze.
2. Pravidelně aktualizovat používaný software – tzv. záplaty bezpečnostních děr
3. Správně nastavit úrovně bezpečnosti používaného software (explorer, poštovní klient,
operační systém, MS Oficce, Firewally…)
4. Nenavštěvovat webové stránky s podezřelým obsahem.
5. Být informován o aktuálních virových hrozbách (www.viry.cz, stránky výrobců
antivirových programů)
6. Používat vlastní inteligenci a zkušenost – neklikat na všechno co dojde emailem.
7. Pokud dojde k nejhoršímu, mít zálohována data.
Ing.Petr Bouchala
strana 2
Techniky antivirových programů
1. Scanování
Antivirové systémy používají pro detekci virů metody scanování, při které porovnávají kódy
své interní virové databáze s kódy virů. Je-li kód v databázi shodný s nalezeným kódem viru
v nějakém souboru či jinde, ohlásí, že je nalezen vir a jeho jméno. Tato metoda je velmi
spolehlivá, nevýhodou je závislost na aktuálnosti virové databáze.
2.Heuristická analýza
Při této technice se provádí rozbor obsahu a naprogramování souboru . Může být podezřelé to,
když se program bude snažit otvírat a zapisovat do jiných spustitelných souborů. Tato metoda
hledání virů dokáže odhalit nejnovější a dosud neznámý vir, tedy takový, který není ještě
v databázi antivirového programu. Nevýhodou této metody může být chybné označení
souborů, jejichž vnitřní kódování může být podobné kódování virů.
3.Test integrity (kontrola změn)
Za třetí metodu hledání virů lze označit činnost antiviru, kdy porovnává informace o
souborech s informacemi databáze, porovnává především velikost souboru s velikosti souboru
naposledy zapsané v databázi. Pokud se např. změní velikost spustitelného souboru, lze
předpokládat, že může být infikován virem. I tato metoda má svou nevýhodu. Autor viru mohl
znát jméno souboru (databáze), kam se informace ukládají a mohl toho zneužít.
4.Rezidentní sledování
Při startu počítače se do jeho operační paměti zavede rezidentní antivir, který neustále sleduje
probíhající činnosti. Měl by být nastaven tak, aby v reálném čase odhalil změny chování
systému. Tyto programy zabraňují nelegálním akcím a signalizují, kdykoliv se cokoliv v
systému pokouší o nějakou podezřelou akci, která má charakteristiky chování viru, popř. jinak
škodlivého, ilegálního chování, např. pokus o zápis do chráněných souborů, pokus o
formátování disku atd.
Nevýhodou této metody je možné zpomalení počítače, zejména tehda, je-li nedostatečně velká
operační paměť.
Každý antivirový systém by měl obsahovat min. 2-3 ze čtyř uvedených metod hledání virů.
Je třeba si uvědomit, že antivirová ochrana se dnes netýká jen jednotlivých PC. Díky nutnosti
vytváření počítačových sítí se oblast antivirové ochrany rozšiřuje na ochranu stanic, ochranu
groupware a souborových serverů a ochranu na vstupních branách do Internetu.
Ing.Petr Bouchala
strana 3