Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
1/1
V 1.
Zálohovanie a archivácia dát
V profesionálnej praxi sú údaje spravidla to najcennejšie na celej počítačovej zostave. Dáta je nutné chrániť pred zničením, poškodením či zneužitím.
„Už len dopíšem tieto posledné dva riadky a potom to celé dôkladne zazálohujem“. (epitaf neznámeho používateľa)
Zabezpečeniu dát na počítači je potrebné venovať dostatočnú pozornosť, pretože tam je výsledok často niekoľkoročnej práce používateľa. Software sa dá z inštalačných diskov obnoviť v priebehu niekoľkých hodín, cena jednotlivých poškodených komponentov HW počítača nepresahuje spravidla desať tisíc korún, cena celej HW zostavy predstavuje niekoľko desiatok tisíc. Hodnota dát na profesionálne používanom zariadení je spravidla mnohonásobne vyššia. Dáta môžu byť zničené chybou obsluhy, chybou SW, haváriou HW, môžu byť spolu s počítačom zničené živelnou udalosťou, môžu byť aj zničené, poškodené, pozmenené v cudzí prospech, ukradnuté a zneužité nepovolanými osobami v dôsledku hackerského útoku – neoprávneného prieniku do počítača alebo celého počítačového systému. Osobitne sa budeme zaoberať rizikom straty dát v dôsledku pôsobenia vírusu. Zabezpečenie dát pred zneužitím nepovolanými osobami a ochrana počítačových systémov pred hackerskými prienikmi presahuje rámec tejto témy. Je však potrebné mať na pamäti, že oddelovať pôsobenie vírusov a iných nedokumentovaných programov od pôsobenia hackerov nie je možné, pretože tieto programy sú dielom hackerov a mnohé majú za úlohu pripraviť pôdu na napadnutej stanici pre ďalšie prieniky po sieti. Zabezpečenie dát pred stratou (zničením) z ľubovolného dôvodu vykonávame zálohovaním. Zálohovaniu a archivácii dát sa venuje samostatná kapitola, teraz si však pripomeňme, že účinné zálohovanie musí byť: F F F
pravideľné dôsledné dáta musia byť uložené fyzicky mimo pracovného počítača, pokiaľ možno aj v inej miestnosti
Pravideľné a dôsledné zálohovanie je prvým predpokladom minimalizácie škôd aj pri napadnutí vírusom. Pre prípad straty dát v dôsledku zničenia či poškodenia pracovných súborov s dátami vytvárame záložné kópie súborov. Neaktuálne dáta, ku ktorým nepotrebujeme pravideľný prístup, ale ktoré je potrebné uchovať vzhľadom na možnú potrebu použiť ich v budúcnosti, archivujeme. Pre efektívne uchovávanie záložných súborov a archívov používame komprimáciu súborov.
1.1.
Zálohovanie ako základný prostriedok ochrany dát
Princípom zálohovania je pravideľné ukladanie záložných kópií pracovných súborov. V prípade zničenia pracovného súboru obnovíme dáta zo záložného súboru. Zmeny vykonané v pracovnom súbore od posledného zálohovania sú ovšem nenávratne stratené – túto časť práce je potrebné vykonať znova. V rôznych podmienkach a pre rôzne typy dát volíme rôzne metódy zálohovania
1.1.1. Metódy zálohovania 1.1.1.1. Podľa organizácie vytvárania záložných kópií F
jednoduché – z orginálu sa vytvára jediná záložná kópia používa sa na rýchle zálohovanie bežných pracovných súborov nepríliš veľkej dôležitosti
F
viacnásobné – z orginálu sa vytvára viacero záložných kópií, uložených na rôznych médiách používa sa na zálohovanie dôležitých dát
F
viacstupňové – z orginálu sa vytvorí záložná kópia, z pôvodnej zálohy sa vytvorí záloha druhého stupňa atď. – vzniká kaskáda záložných súborov, ktoré obsahujú projekty v rôznej fáze rozpracovanosti používa sa na zálohovanie dôležitých projektov, kde je potrebné mať odložené rôzne etapy realizácie
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
2/2
1.1.1.2. Podľa spôsobu ukladania záložnej kópie
F záloha vytvorená priamo na tom istom médiu najbežnejší spôsob rýchleho zálohovania v priebehu práce rýchle, pohotové, ale neochráni v prípade zničenia nosiča dát mnohé programy umožňujú automatické vytváranie záložných súborov typu .bak vždy pri uložení novej verzie súboru
F zálohovanie na záložnom serveri pravideľné zálohovanie väčších objemov dát rýchle, dobre chráni pred zničením, horšie chráni pred zneužitím (neoprávnené prieniky po sieti ) automatické zálohovanie obstaráva špeciálny program (často býva súčasťou operačného systému)
F
zálohovanie na vonkajšie pamäťové médiá (diskety, výmenný HD, CD, CD RW, JAZ, pásky)
dôkladné zálohovanie dôležitých údajov po ukončení väčších etáp práce najspoľahlivejšie, umožňuje veľmi bezpečné uloženie dát (napr. do trezoru), ale najmenej pohotové zálohovanie musí vykonať užívateľ, automatické zálohovanie na výmenné médiá podporujú iba špecializované prostriedky (pásové mechaniky)
1.1.2. Pravidlá pre zálohovanie Aby zálohovanie slúžilo ako spoľahlivý prostriedok na obnovu stratených dát, musí byť F
pravideľné a systematické – zálohovanie sa musí stať rutinnou súčasťou profesionálnej práce na počítači, na zálohovanie používať pravideľný interval a rovnaký systém ukladania záložných kópií, záloha musí byť dostatočne zabezpečená pred zničením, zneužitím neoprávnenými osobami apod., o zálohovaní je vhodné viesť pravideľný záznam; v prípade pravideľného zálohovania väčšieho objemu dát je vhodné používať automatické zálohovanie.
F
dostatočne časté – obnovením dát zo zálohy vždy nenávratne stratíme tu časť práce, ktorá bola vykonaná od posledného zálohovania; ak bol na súbore vykonaný veľký objem práce, treba zálohovať častejšie. Príliš časté zálohovanie však znižuje efektivitu práce
F
dôsledné – treba zálohovať všetky dôležité súbory, dodržiavať disciplínu
F
spoľahlivé – použitie nespoľahlivej zálohovacej metódy je zbytočným plytvaním energiou
1.2.
Archivovanie
Dáta, ktoré nie je potrebné ďalej udržiavať na pracovnom disku, ale zároveň je potrebné ich odložiť pre neskoršie použitie alebo archívne účely (dokončené publikácie, projekty, uzatvorené účtovníctvo za určité obdobie a pod.), archivujeme spravidla na bezpečnom mieste na vonkajších pamäťových médiách (diskety, CD, pásky).
1.3.
Efektívne ukladanie súborov
Zálohovať a archivovať súbory je možné buď jednoduchým kopírovaním, alebo s použitím špeciálnych zálohovacích utilít (napr. BACKUP, FASTBACK, automatické zálohovanie vo Windows a pod, .), alebo s využitím komprimácie. Ukladanie záložných kópií a archívov je náročné na kapacitu médií. Preto sa používa komprimácia (nazýva sa tiež kompresia, balenie, pakovanie, zipovanie...) Princípom komprimácie je prekódovanie súboru tak, aby sa zmenšil objem uchovávaných dát bez straty informácie. (Veľmi zjednodušene: Namiesto informácie „5,5,5,5,5,5,2,2,2“ zapíše „6x5, 3x2“) V skutočnosti ide o veľmi zložité matematické algoritmy, ktoré v súbore vyhľadávajú možnosti najefektívnejšieho zakódovania dát. Dáta v komprimovanom súbore zaberajú menej pamäťovej kapacity, je ľahšie ich uskladniť a prenášať, ale nie sú prístupné na spracovanie. Aby bolo možné komprimované dáta normálne používať, je nutné ich opäť dekomprimovať (rozbaliť). Dôležitým parametrom komprimácie je kompresný pomer: Udáva pomer v zkomprimovanom a nezkomprimovanom tvare, vyjadrený v percentách.
medzi objemom dát
Hodnota kompresného pomeru závisí jednak od účinnosti použitej kompresnej metódy, jednak od typu komprimovaných dát. Dosahovaný kompresný pomer je najdôležitejšou charakteristikou každého komprimačného programu.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
3/3
Komprimácia sa veľmi často používa aj na účely prenosu veľkých súborov pomocou diskiet. V takom prípade je však potrebné zabezpečiť, aby aj na cieľovom počítači bol nainštalovaný kompaktibilný komprimačný program.
1.3.1. Komprimačné programy sú programy, spravidla distribuované ako shareware, špecializované na komprimáciu. Je to napr. PKZIP, LHARC, ARJ, RAR,,WinZIP, WinRAR, a mnoho ďalších. Komprimáciu umožňujú aj niektoré súborové manažery, kompresné utility sú súčasťou aj mnohých iných programov. Komprimovaným súborom sú priradené koncovky podľa typu komprimačného programu (napr *.arj, *.rar, *.zip atď.) Všetky komprimačné programy však v zásade obsahujú nasledovné funkcie: NEW – vytvorenie nového archívneho súboru ADD - pripojenie súborov do archívu, (niekedy vytvorenie nového archívu) MOVE - presun súborov do archívu DELETE - vymazanie súborov z archívu UPDATE, FRESH - aktualizácia archívu EXTRACT - dekompresia (obnovenie súborov z archívu) VIEW – prezeranie obsahu súborov v archíve TEST, CHECK - kontrola celistvosti archívu 1.3.1.1. Postup pri vytváraní archívneho súboru Pri vytváraní archívu, bez ohľadu na použitý program, musíme špecifikovať: F ako sa má volať archívny súbor a kde má byť uložený (cesta) F ktoré súbory z ktorých adresárov majú byť do archívu komprimované F druh výstupného súboru F kompresnú metódu
Komprimačný program môže vytvoriť niekoľko druhov výstupných súborov: bežný archívny súbor - kapacita výstupného súboru nie je obmedzená Používa sa pri ukladaní archívu na HD, alebo keď veľkosť komprimovaného súboru nepresahuje kapacitu diskety archívny súbor na viac diskiet – použijeme, ak potrebujeme na diskety umiestniť archívny súbor, ktorý aj po komprimácii má väčšiu veľkosť, ako je kapacita jednej diskety (spravidla 1,44 MB). samorozbaliteľný archívny súbor – výsledkom je spustiteľný (*.exe) súbor, ktorý sám vykoná dekompresiu do aktuálneho adesára
Komprimačné programy umožňujú spravidla nastaviť kompresnú metódu. Na výber je zvyčajne niekoľko možností: BEST (MAXIMUM) – najlepší kompresný pomer, ale najpomalšia FAST (SPEED) – kompresia je najrýchlejšia, ale najmenej účinná OPTIMUM – kompromis medzi kvalitou a rýchlosťou kompresie Po nastavení všetkých uvedených parametrov môže prebehnúť vlastná kompresia Pri dekomprimácii musíme postupovať analogicky: F Otvoriť archív pomocou kompresného programu F Vybrať súbory na dekomprimáciu F Určiť cielový adresár F Vykonať dekompresiu Prostredie programov sa líši podľa operačného systému, jednotlivé programy danej skupiny sú si však prostredím, príkazmi aj možnosťami veľmi podobné.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
2.
4/4
Počítačové vírusy a zabezpečenie dát pred pôsobením vírusu
Dnes už asi neexistuje užívateľ, ktorý by sa s problematikou počítačových vírusov nestretol. Prístup užívateľov je však rôzny, často v dôsledku nedostatočného poznania problematiky neprimeraný: Prvým extrémom je totálna ignorácia - užívatelia vôbec neberú problém vírusov do úvahy. Typické skupiny: Študenti, užívatelia pre zábavu (hry, voľný čas). Útok vírusu pre nich neznamená vážne nebezpečenstvo, ak nie sú postihnutí virusom ničiacim hardware (vzácne prípady), nemajú veľmi čo stratiť. Opačným extrémom je hysterická zábrana akejkoľvek komunikácie s inými počítačmi - užívatelia odmietajú vložiť do počítača akúkoľvek disketu s výnimkou orginálneho systémového SW a namiesto jednoduchého skopírovania súboru radšej obsiahle dátové súbory ručne prepisujú, len aby si do vlastného počítača nezaniesli virus. Ďalším chybným prístupom je nekritické spoliehanie sa na antivírusové programy. Nesprávne používanie často zastaralého AV programu spolu s bezhraničnou dôverčivosťou je často oveľa nebezpečnejšie, ako nepoužívanie žiadneho AV programu, pretože užívateľ presvedčený o čistote a spoľahlivosti svojich súborov nedodržiava ani elementárne zásady opatrnosti a ak sa k tomu pridá ešte aj autoritársky postoj voči opatrnejším kolegom („...predsa si nemyslíš, že na mojich disketách by mohol byť vírus!“) predstavuje pre svoje okolie značné nebezpečenstvo. Absolovent predmetu Informatika by mal byť schopný zhodnotiť reálne nebezpečenstvo, ktoré od vírusovej infekcie hrozí, ale mal by byť schopný aj primerane sa brániť tak, aby neutrpela efektivita využívania výpočtovej techniky. To je možné po dokonalom oboznámení sa s problematikou vírusov, ich šírenia a ochrany proti nim.
2.1.
Cesty, ktorými sa vírus dostane do počítača
„Infikovanie“ počítača vírusom znamená vždy nakopírovanie vírusu (resp. vírusom napadnutého súboru) do niektorej jeho pamäti z pamäťového média iného počítača. V praxi sa teda vírus prenáša buď po sieti (pripojením sa na infikovaný HD vzdialeného počítača), alebo výmenným pamäťovým médiom (disketa, výmenný HD, ZIP, JAZ či ktorékoľvek iné výmenné pamäťové médium). Veľmi frekventovaným sa stalo v posledných rokoch rozširovanie vírusov, červov a trojských koňov prostredníctvom Internetu, kde sa tieto infiltrácie objavujú ako prílohy e-mailov, alebo sú rozširované prostredníctvom aktívnych zložiek niektorých WWW stránok – appletov Java scriptu alebo prvkami Direct-X. Špecifická je situácia u CD ROM: Keďže CD ROM mechanika nemôže na CD údaje zapisovať, nemôže sa pochopiteľne CDčko prostredníctvom CD ROM mechaniky infikovať. Vírus sa však na CDčko môže dostať v priebehu vypalovania (príp. lisovania), takže CD disk vírus môže obsahovať a načítaním infikovaného súboru z CDčka samozrejme je možné počítač „nakaziť“. Pre úplnosť treba dodať, že vírus môže do počítača zaniesť vedomo aj užívateľ pomocou klávesnice - napísaním a spustením zdrojového kódu vírusu.
2.2.
Základné pravidlá predchádzania infekcii
Predchádzať infekcii vírusom môžeme predovšetkým zodpovedným prístupom ku komunikácii s ďalšími užívateľmi: Vyhýbame sa komunikácii s lokalitami, ktoré sú známe vysokou úrovňou vírusovej infekcie (podozrivou lokalitou môže byť kamarátov počítač, verejne prístupná počítačová učebňa, alebo internetová lokalita ponúkajúca neautorizovaný software). Neotvárame prílohy podozrivých e-mailov, vôbec neotvárame e-maily od neznámeho odosielateľa. Vyhýbame sa používaniu e-mailových klientov, o ktorých je známe, že sú mimoriadne zraniteľné vírusmi (Outlook Express), nepovolíme automatické spúšťanie príloh ani automatické otváranie náhľadu e-mailu pri nastavení kurzoru na hlavičku e-mailu. Zásadne nevypíname zobrazovanie prípon (koncoviek) známych typov súborov, abysme mali kontrolu nad prípadnou dvojitou koncovkou súboru. Moderné prehliadače internetových stránok umožňujú zakázať spúšťanie appletov a prvkov Active-X a tým zamedziť riziku zavlečenia infekcie do počítača touto cestou, mnohé WWW stránky sa však potom nezobrazujú správne. Ani pri inštalácii software alebo nahrávaní dát z bezpečného zdroja nepodceňujeme antivírusovú kontrolu; médiá z neznámeho či podozrivého zdroja skontrolujeme radšej viacerými AV programami skôr, kým dáta prenesieme na náš počítač. Špeciálnu pozornosť venujeme skomprimovaným („zipovaným“, „pakovaným“) súborom. Náhodnému zavlečeniu vírusu z boot sektoru diskety najlepšie predídeme nastavením bootovacej sekvencie v CMOS Setup-e v poradí C:, A:
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
5/5
Náhodnému zavlečeniu vírusu na disketu, z ktorej iba čítame a nemáme v úmysle na ňu zapisovať, predídeme zabezpečením diskety príslušným protektorovacím prvkom. Ak pracujeme v sieti, či často komunikujeme s okolím prostredníctvom diskiet, využíváme rezidentný štít, ktorý je dnes bežnou súčasťou mnohých AV programov. Častá a pravidelná hĺbková AV kontrola počítača čo najčerstvejším AV programom nám potom umožní aj v prípade infekcie odhaliť vírus včas - vo fáze ukrývania, teda skôr, kým stihne napáchať vážnejšie škody. Vysporiadať sa so včas odhaleným vírusom je spravidla záležitosť desiatok minút, odstránenie škôd po tom, čo sa už vírus zaktivizoval, môže trvať niekoľko dní.
2.3.
Čo to je počítačový vírus
Je to program, zámerne vytvorený za účelom poškodiť užívateľa počítača. Akým spôsobom môže škodiť vírus: F
rozptyluje a zdržuje pri práci, blokuje počítač, znemožňuje kľudnú a plynulú prácu. Aj žartíky, ktoré spočiatku môžu pripadať vtipné, sa po mnohých opakovaniach stávajú neznesiteľné. Zníženie reálneho výkonu počítača a znižovanie kapacity záznamových médií je nepríjemným dôsledkom pôsobenia aj nedeštruktívnych vírusov.
F
poškodzuje a vymazáva súbory - programy aj dáta. Nie sú zriedkavé vírusy, ktoré preformátujú diskety či HD a tým zničia všetky dáta na nich uložené. Niektoré vírusy iba pozmenia dáta v súboroch tak, že uložené informácie sa stanú nezmyseľnými (napr. prepíšu hodnoty v Excelovskej tabuľke). Kódovacie vírusy dáta na disku zakódujú a tým ich urobia pre užívateľa nečitateľnými, odkódovanie dát vykoná vírus až po splnení určitých podmienok.
F
zvlášť agresívne vírusy poškodzujú aj HW - monitor, HD, procesor, príp. iné časti počítača
Menej skúsení používatelia považujú niekedy za vírusy aj chyby a nedokonalosti programov. V programoch sa totiž niekedy objavujú nechcené chyby, ktoré spôsobujú obdobné efekty, ako vírus - zacyklenie programu a „zamrznutie“ počítača, vymazanie dát, poruchy HW. Tieto chyby, slangovo medzi programátormi označované ako „bug“, sa od vírusov odlišujú predovšetkým tým, že vznikli nechcene a sú viazané na určitý konkrétny program nemôžu sa prenášať na iné programy a „napádať“ prostredníctvom infekcií ďalšie počítače. Aj porucha niektorej časti HW môže vyvolávať dojem, že ide o pôsobenie vírusu a rozhodnúť, či ide o vírus, alebo „obyčajnú“ poruchu HW, má niekedy problém rozpoznať aj odborník. Okrem vyššie opísanej charakteristiky sú pre
2.3.1. Vírus typické nasledovné vlastnosti: F
je schopný samostatne sa množiť (t.j. vytvárať svoje funkčné kópie, ktoré prostredníctvom siete alebo výmenných pamäťových médií napádajú iné programy),
F
nemôže existovať ako samostatný súbor, ale na svoju existenciu potrebuje .hostiteľský program, ktorý napadne, ukryje sa v ňom a využíva ho na svoje spustenie v operačnej pamäti. Ukrýva sa do súborov, alebo do systémových oblastí diskov a diskiet („boot sektory“).
V praxi sa stretávame aj s ďalšími formami počítačových infiltrácií, ktoré síce vykazujú s vírusmi mnohé spoločné znaky a často bývajú s vírusmi zamieňané, ale svojimi niektorými vlastnosťami a prejavmi sa od vírusov odlišujú:
2.3.2. Trojský kôň Je to program, ktorý v sebe ukrýva okrem legálnej a viditeľnej časti aj tajnú časť, ktorá vykonáva utajenú činnosť. Utajená činnosť môže mať deštruktívny charakter, alebo charakter nelegálneho získávania informácií z napadnutého počítača. Moderné trojské kone sa rozširujú Internetom a sprístupnia napadnutý počítač útočníkovi. Trojské kone však nemajú schopnosť samostatného kopírovania sa a šírenia sa v systéme. Fungujú ako samostatné programy vo forme samostatného súboru (neukrývajú sa v iných súboroch ani sa s ich pomocou nerozširujú).
2.3.3. Červ Je to program, ktorý je schopný rozširovať svoje kópie do iných počítačových systémov, k čomu využíva najmä rôzne sieťové služby (napr. e-mail). Je samostatný, neukrýva sa do žiadnych iných hostiteľských programov.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
2.4.
6/6
Druhy vírusov
Vírusy majú množstvo rôznych podôb. Aby sme sa proti vírusom dokázali úspešne brániť a v prípade infekcie sme dokázali predvídať, čo vírus urobí, musíme pochopiť aké rôzne techniky na oklamanie užívateľa vírusy používajú.
2.4.1. Rozdelenie na rezidentné a nerezidentné Rezidentné – ak sa dostanú do OP spolu s hostiteľským programom, prevezmú riadenie počítača a ostávajú natrvalo v OP, teda aj po ukončení behu hostiteľského programu. Počas svojho pôsobenia napádajú ďalšie spúšťané programy a vykonávajú rôzne akcie akcie (viď. „Fázy pôsobenia vírusu v počítači“). Nerezidentné – po preniknutí do OP okamžite vykonajú činnosť – kopírovanie, príp. inú akciu a odovzdajú riadenie hostiteľskému programu. Neostávajú aktívne v OP. Nie sú veľmi rozšírené.
2.4.2. Rozdelenie podľa napádaných oblastí 2.4.2.1. Súborové Napádajú a infikujú súbory, ktoré potom slúžia ako „hostiteľ“, poskytujú vírusu úkryt a umožňujú vírusu spúšťať sa v OP. Vždy musí ísť o spustiteľné súbory, najčastejšie typov .com, .exe, .ovl, .bin, .obj, .prg atď. Podľa spôsobu, akým vírusy napádajú hostiteľské súbory, ich ďalej delíme na Predlžujúce – vírus sa umiestni buď celý na začiatok súboru, alebo na začiatok umiestni svoju hlavičku a telo uloží na koneic súboru. Hostiteľský program nie je vírusom zničený, normálne sa dokáže spustiť, ale spolu s ním sa spúšťa aj vírus. Zväčšenie veľkosti súboru je možné za normálnych okolností zistiť jednoduchým pohľadom cez Prieskumníka, Norton Commanderom, príkazom DIR a pod., ak však vírus používa techniku Stealth, dokáže všetky zmeny vykonané na súboroch ukryť. Medzerové – pre svoje ukrytie využívajú medzery v niektorých spustiteľných súboroch (napr. command.com), potom nedôjde k predlženiu hostiteľského súboru. Prepisujúce vírusy – nepredlžujú veľkosť súboru, ale hostiteľský program priamo prepíšu vlastným kódom („telom“). Potom sa hostiteľský program stáva nefunčným, pokus o spustenie programu vyvolá len aktivovanie vírusu. Pôsobenie takého druhu vírusu v počítači rýchlo znefunkční väčšinu programov, čím sa ovšem vírus stáva nápadným a je rýchlo odhalený a zničený. Preto sa veľmi nerozširujú. Duplikujúce – hostiteľský program nezničia, ale vytvoria si jeho kópiu a tú napadnú. Zabezpečia, že nie je spúšťaný „orginálny“ program, ale jeho infikovaná kópia. Makrovírusy – sú vírusy napísané v jazyku Visual Basic ako makro niektorej aplikácie (Word, Excel, AmiPro, AutoCAD). Využívajú schopnosť spomínaných aplikácií uchovávať makrá jako súčasť dokumentu a takto dokážu napádať ďalšie dokumenty a šíriť sa pomocou nich. Mnohé makrovírusy majú schopnosť napádať dokumenty aj spustiteľné súbory – tým sa ich nebezpečnosť ešte zvyšuje. Nebezpečenstvo zo strany makrovírusov je umocnené ešte ďalšími efektami: Dokumenty patria k najviac vymieňaným súborom; bez možnosti výmeny dokumentov stráca pre väčšinu užívateľov použitie výpočtovej techniky zmysel Dokumenty jako „nespustiteľné súbory“ stále ešte pre mnohých užívateľov predstavujú „bezpečné súbory“, ktoré netreba kontrolovať na prítomnosť vírusov. Najviac sa makrovírusy rozširujú prostredníctvom dokumentov MS Wordu, uložených vo formáte .doc. Pritom ochrana před makrovírusmi práve v prostredí Wordu je úplne jednoduchá – stačí dokumenty ukladať vo formáte, ktorý spolu s dokumentom neukladá makrá, teda .rtf, prípadne .txt. Formát .rtf zachová formátovanie textu, a to že makrá neukladá, v absolútnej väčšine prípadov nikomu nevadí, pretože makrá aj tak využíva nepatrná skupina užívateľov. Existujú ďalšie špeciálne druhy súborových vírusov – Kernel-vírusy, Retrovírusy a Klástrové vírusy, ich podrobný opis pôsobenia už vyžaduje špeciálne znalosti z oblasti programovania vírusov a z hľadiska užívatela nemá ich opis valný význam. 2.4.2.2. Bootovacie vírusy Tieto vírusy napádajú bootovacie oblasti diskiet a pevných diskov. Oproti súborovým vírusom sú v mnohých ohľadoch účinnejšie: Boot sektor je bežnými prostriedkami užívateľovi neprístupný, má ho každá disketa aj disk formátované MS DOSom, resp. Windows, sú tu umiestnené štartovacie súbory operačného systému, takže okamžite po štarte počítača sa obsah boot sektoru načíta do operačnej pamäti. Vírusy využívajúce boot sektor sú „agresívnejšie“
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
7/7
– vďaka umiestneniu sa dostávajú do operačnej pamäti okamžite po spustení počítača. Prostredníctvom boot sektorov sa infekcia ľahko šíri – infikovať je možné aj diskety, ktoré obsahujú iba jednoduché dátové, prípadne neobsahujú vôbec žiadne súbory. Odhalenie vírusov v boot sektore je obtiažnejšie, ako detekovanie súborového vírusu. Ďalšie nebezpečenstvo týchto vírusov spočíva v tom, že niekedy „omylom“ – chybou práce samotného vírusu - prepíšu FAT tabuľku či inú dôležitú oblasť, obsahujúcu údaje o uložených súboroch na disku a tým dôjde k nevratnej strate všetkých dát uložených na disku.
2.5.
Infiltrácie šíriace sa e-mailom
V súčasnosti je tento spôsob šírenia vírusov a iných SW infiltrácií najrozšírenejší zo všetkých spôsobov. Infiltrácie dnes predstavujú často pomerne komplikovaný systém viacerých vzájomne spolupracujúcich komponentov – príloha e-mailu obsahuje škodlivý kód, ktorý za určitých podmienok dokáže vygenerovať vírus, ten napadá počítač a prípadne generuje červa, ktorý sa šíri v lokálnej sieti s využitím zdielaných objektov. Infiltrácia je zvyčajne poistená tak, že po objavení a vymazaní (resp. preliečení) napadnutých súborov sa vírus vygeneruje z uložených sprievodných súborov opätovne, prípadne je vyčistený počítač v krátkom čase infikovaný opäť červami s využitím lokálnej siete. Úspešné odstránenie infekcie je často značne komplikované aj s využitím najnovších verzií AV programov a býva potrebné uskutočniť niekoľko postupných krokov liečenia, pričom býva potrebné dodržať presný postup (spravidla býva zverejnený na Internete na stránkach AV firiem). Techniky používané e-mailovými vírusmi:
2.5.1. Infikovaná príloha Príloha obsahuje škodlivý spustiteľný kód, ktorý po pokusu o otvorenie prílohy sa načíta do RAM – spustí sa mechanizmus infekcie počítača. Obrana – neotvárať prílohy neznámych e-mailov.
2.5.2. Infikovaná príloha s dvojitou koncovkou Predchádzajúca technika je „vylepšená“ o použitie dvojitej prípony súboru v prílohe. Využíva sa skutočnosť, že Windows sú štandardne nakonfigurované tak, že ukrývajú príponu (voľba sa dá jednoducho vypnúť, ale väčšina užívateľov necháva z pohodlnosti ukrývanie prípon zapnuté). Príloha s dvojitou príponou potom vyzerá napr. ako súbor „babusky.jpg.vbs“. Vďaka ukrývaniu koncovky sa zobrazí iba „babusky.jpg“ – pre užívateľa príloha vyzerá ako atraktívny obrázok, po jej spustení sa ale spustí v skutočnosti script napísaný vo Visula Basic – koncovka .vbs.
2.5.3. Infikovaná príloha spúšťaná kódom z tela e-mailu Predchádzajúce techniky sa spoliehali na neskúsenosť používateľa, ktorý „naletí“ na lákadlo a spustí si škodlivú prílohu sám. Bez spolupráce používateľa sa infekcia nespustí. Nová technika spočíva v tom, že samotné telo emailovej správy je napísané v kóde .html a obsahuje utilitu, ktorá aktivizuje spustenie prílohy okamžite po otvorení správy vo vhodnom prehliadači. Infekcia prebehne už jednoduchým otvorením správy na čítanie – bez otvárania prílohy užívateľom. Uvedenú techniku podporuje aj skutočnosť, že Outlook Express štandardne zobrazuje každú správu automaticky v okne náhľadu, takže škodlivý kód sa spustí automaticky iba pri nastavení kurzoru na hlavičku infikovanej správy. Obrana spočíva v neotváraní podozrivých e-mailov a zákaze používania náhľadového okna.
2.5.4. Technika automatického rozposielania e-mailov zo zavíreného počítača Aby vírus zabezpečil svoje efektívne množenie, nespolieha sa na neopatrnosť užívateľa, ale sám aktivne priamo vyhľadá a prečíta adresár s e-mailovými adresami na danom počítači a na objavené adresy rozpošle sám seba, pričom ako telo správy použije náhodné texty zo súborov na lokálnom disku. Ku vírusovej infiltrácii tak pribúda významné a nebezpečné narušenie súkromia, čo je kritické najmä v profesionálnej sfére. Na dokonalé zamaskovanie navyše vírus často sfalšuje aj adresu odosielateľa (čiže v hlavičke zavírenej správy figuruje falošná, ale skutočná, podstrčená adresa odosielateľa - vírus použije náhodne adresu z adresára napadnutého počítača.
2.5.5. Súvislosť uvedených techník s bezpečnostnými dierami užívateľského SW Uvedené techniky využívajú iba nedokonalostí – tzv. bezpečnostných dier – používaného SW. Na zníženie rizika je nutné pravideľne sledovať bezpečnostnú problematiku a inštalovať bezpečnostné záplaty – tzv. patche, ktoré sú zverejnené na Internete. Druhou alternatívou je používať SW, ktorý nie je náchylný na uvedené chyby.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
2.6.
8/8
Mechanizmus pôsobenia vírusu v počítači
Aby vírus mohol pôsobiť, musí sa dostať do operačnej pamäti počítača. Tam vírus môže preniknúť buď spustením infikovaného súboru priamo zo zdroja infekcie (vzdialeného počítača, z diskety a pod.), alebo po nakopírovaní infikovaného súboru na lokálny HD a spustením súboru odtiaľ. Ak vírus prenikol do operačnej pamäte zo vzdialeného počítača, alebo z výmenného média, a nie je na lokálnom HD, stačilo by na odstránenie vírusu jednoducho vypnúť počítač a s vymazaním obsahu OP by zanikol aj vírus. Preto je pre vírus nezbytné, aby čím skôr infikoval aj vhodné oblasti na HD a tým si zabezpečil „prežitie“ v počítači aj počas vypnutia. Preto vírus infikuje na HD prakticky všetky spustiteľné súbory, ktoré sa nachádzajú v OP. Pre vírus je najvýhodnejšie, ak infikuje také súbory, ktoré sa spúšťajú okamžite po zapnutí počítača - spolu s nimi sa dostane ihneď po spustení počítača do OP a môže okamžite počítač ovládať. To je dôležité najmä pre vírusy, ktoré používajú špeciálne maskovacie techniky. Z týchto dôvodov je pre vírusy najlepšie infikovať systémové súbory; mnohé vírusy infikujú bootovacie oblasti disku či diskety. Aby vírus mohol infikovať ďalšie počítače, musí napadnúť akékoľvek výmenné pamäte, ktoré sú v jeho „dosahu“. To znamená, že pri spustení súboru z výmenného média alebo pri kopírovaní súboru na toto médium sa vírus skopíruje z operačnej pamäti v infikovanom počítači do súboru na výmennom médiu.
2.7.
Fázy pôsobenia vírusov
1.
Vírus sa pri spustení infikovaného programu dostane do OP, ovládne a kontroluje hlavné činnosti počítača.
2.
Ukryje sa na HD (do súboru, do bootsektoru atď.) tak, aby sa vždy po spustení počítača v čo najkratšom čase dostal opäť do operačnej pamäti. V tejto fáze sa vírus neprejavuje žiadnymi deštrukčnými ani žartovnými akciami; užívateľ môže v tejto fáze prítomnosť vírusu zbadať iba na základe nechcených prejavov (spomalenia činnosti počítača, neštandardnom správaní sa programov či rôznych jednotiek v počítači). Prejavy vírusu v tejto fáze sú skôr dôsledkom nedokonalosti vírusu ako jeho zámerného pôsobenia. Výnimku tvoria kryptovírusy, ktoré v tejto fáze utajene postupne kódujú obsah disku. V tomto čase sa vírus intenzívne rozširuje - v prípade akejkoľvek možnosti napadá ďalšie súbory na HD, napadá ďalšie diskety a iné výmenné médiá a tým sa šíri do ďalších počítačov.
3.
Vírusy, ktoré disponujú maskovacími technikami, v tejto fáze aktivizujú svoje maskovacie rutiny, aby znemožnili svoju identifikáciu antivírusovým programom.
4.
Každý vírus si musí kontrolovať čas, po ktorý sa ukrýva a vhodne si načasovať spustenie deštrukčnej akcie. Príliš krátky čas fázy ukrývania neumožní vírusu dostatočne sa rozšíriť, príliš dlhý čas tejto fázy spravidla spôsobí predčasné odhalenie vírusu ešte pred spustením deštrukčnej akcie. Spôsob kontroly času býva rôzny: Najčastejšie sa viaže na systémový čas počítača, pričom deštrukčná fáza býva aktivizovaná určitým dátumom (vírusy Michelangelo, Piatok trinásteho a mnohé ďalšie), iné jednoducho počítajú čas od infikovania daného počítača a aktivizujú sa po uplynutí určitého času. Často si vírusy počítajú vykonanie určitej akcie (počet nahrávaní na disketu, reštartov počítača, stlačení určitej klávesy...).
5.
Následuje fáza demaskovania, v ktorej vírus upozorní užívateľa na svoju prítomnosť rôznymi hláseniami, efektami alebo jednoducho spustením deštrukčnej akcie.
2.8.
Ako sa prejavuje vírus v počítači vo fáze ukrývania
Pre úspešné vysporiadanie sa s vírusovou infiltráciou je nutné odhaliť prítomnosť vírusu čím skôr – vo fáze ukrývania. Ak vírus nebol zachytený AV programom, môže užívateľa na prítomnosť vírusu v systéme upozorniť niektorý z nasledovných javov: F
Zmena vlastností infikovaných súborov (dátum a čas – často znamená čas infekcie súboru; veľkosť súboru – u napadeného súboru sa veľkosť zväčší. Vírusy však často tieto údaje úmyseľne pozmeňujú na pôvodné hodnoty tak, aby obsluha žiadnu zmenu nepostrehla)
F
Úbytok kapacity HD – ak je vírus už veľmi na disku rozšírený, zaberajú jeho kópie toľko priestoru, že sa to prejaví úbytkom kapacity HD.
F
Nedostatok operačnej pamäti – aktívny vírus v OP spotrebováva značnú časť jej kapacity, takže pri menšej kapacite OP sa aj spustenie nenáročnej aplikácie prejaví pretečením OP.
F
Náhodné poruchy – kolízie aktivít vírusu s akciami aplikačného programu sa môže prejavovať zdanlivo nevysvetliteľnými chybami pri chode týchto aplikácií.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
9/9
Ktorýkoľvek z uvedených javov, najmä ak sa prejavuje častejšie, by mal byť pre užívateľa alarmujúcim signálom, že je potrebné vykonať dôkladnú hĺbkovú kontrolu celého systému antivírusovým programom.
2.9.
Metódy detekcie vírusov 2.9.1. Kontrola zmeny atribútov súborov
t.j. zmena veľkosti, dátumu a času poslednej modifikácie. Dá sa uskutočniť aj primitívnymi prostriedkami (poznačenie si týchto vlastností nenapadnutých programov na papier a neskoršie porovnanie dát v prípade podozrenia na vírusovú infekciu), neskôr boli na tomto princípe založené prvé testovacie antivírusové programy, dnes väčšina antivírusových programov ponúka toto porovnanie ako doplnkovú službu. Nie je účinné u vírusov, ktoré dokážu maskovať stopy svojho pôsobenia. Na druhej strane u niektorých spustiteľných súborov môže dochádzať k ich modifikácii aj v rámci normálnej činnosti, bez vplyvu vírusu. Takto zmenený program sa však bude pri kontrole atribútov javiť ako napadnutý.
2.9.2. Vyhľadávanie charakteristických reťazcov („skenovanie“). Každý programový kód, teda aj telo vírusu, obsahuje určitú charakteristickú nezameniteľnú sekvenciu znakov, podľa ktorej sa dá daný program jednoznačne identifikovať. Antivírusový program má k dispozícii databázu charakteristických reťazcov všetkých známych vírusov a porovnáva, či sa v kontrolovaných programoch nenachádza niektorý z hľadaných reťazcov. Nevýhody tejto metódy: Je účinná iba na známe vírusy. Pre zachovanie účinnosti vyžaduje časté a pravideľné update databázy vírusov. Veľké množstvo známych vírusov a veľké kapacity kontrolovaných diskov neúmerne predlžujú čas kontroly. Výkonný HW aj stále sa zlepšujúca účinnosť AV SW dokáže sčasti tieto nepriaznivé vplyvy eliminovať. Výhodou je, že známe vírusy zistí spoľahlivo.
2.9.3. Heuristická analýza Dokáže vyhľadať aj neznáme vírusy. Nevyhľadáva charakteristické reťazce známych vírusov, ale dokáže analyzovať, čo ktorý príkaz programu spôsobí. Pozná, ktoré akcie sú neštandardné a podozrivé a ak u programu objaví podozrivú akciu, upozorní na podozrenie na vírusovú infekciu. Môže sa však stať, že za podozrivý označí aj normálny program, ktorý v rámci svojej činnosti používa niektoré neštandardné techniky (napr. program na zefektívnenie využívania operačnej pamäti). Na druhej strane neodhalí vírus, ktorý nepoužíva podozrivé alebo zakázané techniky.
2.9.4. Rezidentný monitoring Program je spustený stále, na pozadí, a priebežne kontroluje stav celého systému počítača. Každý pokus o podozrivú akciu hlási, príp. zabráni jej uskutočneniu. Problém je obdobný, ako u heuristickej analýzy: Vystihnúť, čo je legálna akcia a čo je ilegálny pokus. Citlivosť monitoringu sa dá nastaviť, ale užívateľ sa tak dostáva pred ďalšiu dilemu: Príliš citlivé nastavenie vyvoláva poplach aj pri legálnych akciách, príliš hrubé nastavenie ponechá bez zásahu aj pôsobenie vírusu.
2.10. Techniky, ktorými sa vírusy bránia svôjmu odhaleniu Ak je vírus aktívny v operačnej pamäti, dokáže donútiť operačný systém, aby zahladzoval stopy pôsobenia vírusu pred obsluhou počítača aj pred antivírusovým programom. Tvorcovia vírusov vyvinuli aj ďalšie techniky, ktorými sa usilujú prelstiť známe mechanizmy detekcie vírusov. Tieto techniky súhrnne nazývame maskovanie a sú využívané mnohými vírusmi, často aj viac techník súčasne jediným vírusom.
2.10.1. Technika STEALTH Vírus využívajúci túto techniku dokáže dokonale zamaskovať svoju prítomnosť na počítači ak je aktívny v OP. Zamaskuje zmeny veľkostí a časov zmien súborov, zamaskuje skutočnosť, že niektoré súbory sú infikované, „prinúti“ anitvírusový program, aby neidentifikoval jeho charakteristický reťazec a navyše vykazuje schopnosť infikovať akýkoľvek program, ktorý je otvorený v OP (teda nielen spúšťané súbory, ale napríklad aj len súbory kopírované). Vírus využívajúci túto techniku je možné detekovať a zničiť iba vtedy, ak zabránime jeho preniknutiu do operačnej pamäti počítača. Znamená to štartovať počítač z preverenej systémovej diskety, prípadne iného prevereného média (servisný HD, ktorý pripojíme ako Primare Master, alebo počítač naštartujeme zo systémovej CD ROM. Z bezpečného média spustíme aj AV program, pričom z podozrivého disku nesmieme spustiť ani otvoriť žiadny súbor. Tak zabezpečíme, že v OP nebude vírus. Spustíme kontrolu podozrivého disku a všetky infikované súbory
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
10/10
dezinfikujeme alebo vymažeme. Nakoniec nesmieme zabudnúť resetovať počítač, aby sa vírus nemohol uchovať ani v OP, ak sa do nej v priebehu testovania náhodou dostal.
2.10.2. Technika polymorfných vírusov Touto technikou sa vírusy bránia identifikácii skenovaním. Princíp skenovania spočíva v tom, že pri skenovaní AV program vyhľadáva charakteristické reťazce vírusu. Polymorfné vírusy preto vytvárajú pre každú svoju novú kópiu nový reťazec, ktorý sa od pôvodného značne líši, pričom funkcia vírusu ostáva nezmenená. Inak povedané, metamorfovaná kópia vírusu predstavuje po stránke funkčnosti ten istý program, ale úplne inak napísaný. Možností, ako to dosiahnúť, je veľa: Zámena poradia inštrukcií, u ktorých na poradí nezáleží, náhodné vkladanie nadbytočných a nefunkčných príkazov, používanie rôznych inštrukcií s rovnakým účinkom. Výsledkom je, že jediný vírus môže byť v praxi predstavovaný celou sériou vírusov s rôznymi chrakteristickými reťazcami a AV skenovací program musí mať vo svojej databanke všetky možné varianty jeho reťazca. Identifikácia vírusu sa tak veľmi komplikuje.
2.10.3. Technika kryptovírusov Zákernosť tejto metódy spočíva v tom, že vírus spustí svoju deštrukčnú činnosť okamžite po aktivovaní – už vo fáze ukrývania sa. Postupne zakóduje súbory na disku tak, aby užívateľ nič nespoznal: Pri pokuse o čítanie súboru ho vírus v OP bleskovo dekóduje, takže užívateľovi sa javí byť v poriadku. Po zakódovaní určitej časti disku sa potom demaskuje a deštrukciu dokončí „obvyklými“ prostriedkami – formátovaním disku, vymazaním dátových oblastí na disku a pod. V čom je záludnosť tohto vírusu v porovnaní s vírusmi, ktoré túto techniku nepoužívajú: Ak je detekovaný a odstránený ešte vo fáze ukrývania - teda pred spustením deštrukčnej akcie - klasický vírus, nič sa nestane; jediné nebezpečenstvo predstavujú prípadne neobjavené kópie. Ak však zničíme kryptovírus, zostanú všetky zašifrované súbory pre nás neprístupné, pretože kľúč na ich odkódovanie „pozná“ iba vírus. Odstráňenie kryptovírusu je veľmi komplikované, pretože najskôr treba zistiť kód, ktorým vírus data zašifroval (a tento kód sa dá zistiť iba analýzou konkrétneho vírusu), potom vírus zničiť a nakoniec pomocou získaného kódu obnoviť zašifrované dáta.
2.10.4. Technika tunelovania Obchádzajú služby operačného systému a obracajú sa priamo na základné prerušenia DOSu a BIOSu. Obídením operačného systému obíde vírus aj riziko odhalenia AV programom, ktorý štandardne využíva práve služby operačného systému.
2.11. Antivírusové programy Dnes existuje množstvo AV programov, ktoré ponúkajú obdobné služby a možnosti. Metódy, ktoré prakticky využívajú AV programy na zisťovanie vírusov, boli opísané v kapitole „Metódy detekcie vírusov. Užívateľské prostredie sa líši grafickým spracovaním, ale použitie programov je spravidla obdobné ako . poskytovanými službami, tak ovládaním programov. Jednotlivé programy sa líšia skôr prepracovanosťou diagnostických metód – skenovania aj heuristickej analýzy, z čoho sa odvíja ako schopnosť zachytiť aj čerstvé a neznáme vírusy, varianty polymorfných vírusov atď., tak aj rýchlosť kontroly. Odlišnosti sú aj v podpore práce v sieti – schopnosť kontrolovať sieťové disky či vzdialené počítače; prípadne v rozsahu a citlivosti rezidentného štítu (schopnosť kontrolovať prijímané e-maily, applety Java skriptu či Active-X). Výrazné rozdiely sa objavujú v schopnosti liečiť infikované súbory a dezinfikovať napadnuté systémy – problémy nastávajú najmä pri napadnutí kryptovírusom.
2.11.1. Každý antivírusový program má nasledovné funkcie Nastavenie parametrov - či sa má pred spustením vlastného testovania kontrolovať operačná pamäť, či sa má kontrolovať bootovací proces pri štarte počítača, či používať okrem skenovania aj kontrolu integrity súborov, či sa má používať heuristická analýza, prípadne citlivosť heuristickej analýzy, aké typy súborov majú byť kontrolované, či má byť spustená aj kontrola na makrovírusy, či sa majú testovať boot sektory diskov, čo robiť v prípade odhalenej infekcie – či automaticky infikovaný súbor mazať, alebo liečiť, alebo len uložiť informáciu o infekcii a pokračovať ďalej, alebo či počkať na rozhodnutie obsluhy počítača. Nastavujú sa lokality, odkial automaticky získať update vírusovej databázy, prípadne možnosť automatického update v určitých časových intervaloch bez vyžiadania obsluhou počítača. Kontrola integrity súborov – program uloží o každom súbore základné údaje, aby v prípade potreby mohol porovnať uložené a aktuálne dáta a rozhodnúť, či nedošlo k modifikácii súboru. Túto službu ponúkajú AV programy okamžitepo nainštalovaní.
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
11/11
Vytvorenie záchrannej diskety – program sem uloží dôležité dáta, ktoré v prípade havárie operačného systému z dôvodu deštrukcie vírusom umožnia spustiť počítač a dáta zachrániť. Ovšem pravdepodobnosť, že sa podarí všetky dáta zachrániť, je pomerne malá. Vlastné testovanie – tu je možnosť vybrať disky, prípadne adresáre, ktoré majú byť kontrolované; väčšina dnešných AV programov umožňuje aj kontrolu pripojených sieťových diskov, prípadne diskov na iných počítačoch v sieti. Programy majú rôzne plánovače a manažery testov, kde je možné nadefinovať rôzne varianty testovania (napr. test konkrétneho disku, test všetkých lokálnych diskov, test vybraných diskov, test vybraných adresárov, test s priečinkami elektronickej pošty a pod.) Manažery umožňujú aj naplánovať automatické spúšťanie vybraných druhov testov v zadaných časových intervaloch. Súčasťou AV programov sú aj AV rezidentné štíty (real-time monitory). Tieto programy priebežne a neustále od spustenia počítača až po jeho vypnutie kontrolujú všetky akcie vykonávané operačným systémom, aj kopírované a po sieti prenášané súbory, väčšina umožňuje aj kontrolu elektronickej pošty. Výhody sú zrejmé na prvý pohľad – vysoká šanca odhaliť vírus už pri pokuse preniknúť do počítača. Nevýhodou je značné spomalenie chodu počítača, pretože každý prenášaný súbor je priebežne kontrolovaný. Na menej výkonnom počítači je spomalovanie práce v dôsledku rezidentného štítu často neúnosné, preto je potrebné používať túto službu s rozvahou. Súčasné nainštalovanie viacerých rezidentných štítov na jedinom počítači potom predstavuje veľkú záťaž aj pre výkonné zostavy. Zoznam vírusov a ich charakteristika – je veľmi užitočná pomôcka ak zistíme, že náš počítač bol infikovaný a poznáme aj druh vírusu. Naštudovanie charakteristiky vírusu nám môže pomôcť pri jeho odstráňovaní, aj neskôr pri odstráňovaní spôsobených škôd. Ak používáme bezplatnú (ukážkovú, trial, shareware) verziu AV programu, musíme si byť vedomí, že mnohé funkcie – spravidla je medzi nimi aj schopnosť liečiť infikované súbory a možnosť upgrade vírusovej databázy – sú vyblokované. Plná funkčnosť sa dá dosiahnúť splnením registračných podmienok a zaregistrovaním programu.
2.11.2. Problematika kontroly komprimovaných súborov Z mechanizmu komprimácie je zrejmé, že pri nej dochádza k úplnej zmene kódu každého súboru. Ak komprimovaný súbor obsahuje program napadnutý vírusom, nie je možné klasickým skenovaním takto „ukrytý“ vírus odhaliť, pretože komprimáciou bol spoločne s programom úplne zmenený charakteristický reťazec vírusu. Niektoré antivírusové programy dokážu kontrolovať aj komprimované súbory. Pri kontrole dokážu súbor priebežne v operačnej pamäti dekomprimovať a následne skenovať. Zodpovedajúce AV programy obsahujú voľbu, či skenovať aj komprimované súbory. Ak nami používaný AV program nedokáže kontrolovať komprimované súbory, treba postupovať nasledovne: F Skopírovať podozrivý komprimovaný súbor do samostatného adresára F Dekomprimovať súbor (príp. súbory) F Skontrolovať adresár s dekomprimovanými súbormi. Nikdy nemôžeme považovať za bezpečný komprimovaný súbor, ktorý bol skontrolovaný AV programom, ak nebola použitá špeciálna rutina na kontrolu komprimovaných súborov! Nikdy nesmieme pracovať s dekomprimovanými súbormi skôr, kým ich neskontrolujeme!
Bezpečnosť dát, AV ochrana, zálohovanie a archivovanie
12/12
2.11.3. V súčasnosti najpoužívanejšie antivírusové programy A kde ich možno získať, resp. kde možno získať ich upgrade:
Názov antivírusového programu
Adresa WWW firmy
Avast!
http://www.alwil.cz, http://www.avast.com
Grisoft AVG
http://www.grisoft.cz, http://www.avg.sk
Eset NOD
http://www.eset.sk
Norton Antivirus
http://www.symantec.com
PC Cillin
http://www.pccillin.com
Inoculate IT PE
http://antivirus.cai.com
Mc Affees Antivirus
http://www.mcafee.com
F-Prot
http://www.commandcom.com
2.12. Praktická práca s AV programami Nech už použijeme ktorýkoľvek z AV programov, použijeme pri AV teste principiálne rovnaký postup: 1.
Skontrolujeme, či je program dostatočne aktuálny, prípadne zabezpečíme jeho aktualizáciu
2.
Pri kontrole diskiet alebo bežnej kontrole lokálnych HD spúšťame AV program z lokálneho disku kontrolovaného počítača, ale musíme si byť vedomí, že ak je kontrolovaný počítač napadnutý vírusom používajúcim STEALTH techniku, nemusí byť vírus zistený. Pri hĺbkovej kontrole teda zabezpečíme spustenie operačného systému aj AV programu z bezpečne čistého disku (disketa, druhý HD, CD ROM, iný počítač v sieti).
3.
Nastavíme parametre AV programu tak, aby čo najlepšie vyhovovali zamýšľanej činnosti (použité metódy, kontrolované oblasti, preverované typy súborov...)
4.
Zvolíme disky alebo adresáre, ktoré sa budú kontrolovať.
5.
Spustíme test. V priebehu testu by na kontrolovanom počítači nemali byť spustené žiadne aplikácie a nemali by byť otvorené žiadne užívateľské súbory. Test trvá spravidla desiatky minút.
6.
Ak bola odhalená infekcia, napadnuté súbory buď liečime (ak to AV program umožňuje), príp. izolujeme alebo vymažeme. Mnohé vírusy sa nedajú odstrániť jednoducho liečením alebo vymazaním, ale vyžadujú špeciálny postup odstraňovania. Užitočné informácie o vírusu, jeho pôsobení aj rady na jeho úspešné odstránenie získame vo vírusovej databáze.
7.
Po odstránení vírusu počítač vždy okamžite reštartujeme. (Ak totiž išlo o rezidentný vírus a zabudneme reštartovať počítač, aj keď sa nám podarilo vírus odstrániť z HD, po spustení prvého programu z disku bude tento okamžite opäť infikovaný!)
8.
Zopakujeme AV kontrolu, aby sme sa presvedčili, že vírus bol skutočne odstránený. Reštart počítača a opakovaná kontrola po odstránení infekcie by sa vždy mali uskutočniť z bezpečného disku ( a to aj vtedy, ak prvá kontrola sa vykonala spustením testu priamo z kontrolovaného disku).
9.
Uložíme, príp. vytlačíme výsledky kontroly (protokol o kontrole).
10. Podľa výkonu HW, zaťaženia počítača najčastejšie používanými aplikáciami a podľa charakteru práce zvážime možnosť používať rezidentný štít a zvolíme, ktoré akcie by mal rezident monitorovať. Ak sa infekcia v krátkom čase opakovala, aj pri používaní priebežného testovania rezidentom, treba urobiť organizačné opatrenia a prípadne zmeniť nastavenia rezidentného štítu
