Tady by byly loga projektu a tak
Bezpečnost IT a provozu na síti Informační bezpečnost a rizika plynoucí ze softwarové kriminality: · Historické souvislosti; technické podmínky a společenské souvislosti pro vznik malware; · Prvky bezpečnosti, příklady a techniky útoků na ně; · Hrozby a následky útoků, zásady ochrany, malware a motivace; · Zranitelnost a cesty šíření; bezpečnostní politika a zásady bezpečnosti. Klíčové pojmy: Worm, virus, distributed DoS, spyware, applet, macro virus, trojan horse, dropper, rootkits, back door, pop-up adsspam, botnet, malbot, spam, key logger.
Téma č. 5 Malware a motivace k útokům
Malware a jeho účel Mnoho původních infekčních programů, včetně prvního Internetového červa (worm) a množství MS-DOS virů, bylo psáno jako pokus nebo žert s úmyslem být neškodné a víceméně obtěžující, než aby způsobovaly vážné škody PC. Mladí programátoři, kteří se dovídají o virech a postupech, jak je vytvářet, si pouze ověřují, zda-li to dokážou a nebo viděli, jak daleko se rozšíří. Koncem roku 1999 se zdálo, že široce rozšířený virus Melissa virus byl napsán jako žert. Více úmyslu však bylo těmito programy poškodit nebo zničit data. Mnoho DOS virů a také WIN červ ExploreZip bylo vytvořeno ke zničení souborů na HDD a nebo poškodit souborový systém zápisem nepoužitelných dat. Rozvoj sítí přinesl zrod červů, jako např. v roce 2001 Code Red worm nebo Ramen worm, které také patří do této kategorie. K vandalizaci Web stránek jsou určeni červi, chovající se stejně, jako grafiti, které zanechávají své „podpisy“ nebo „příslušnost“ ke skupině všude tam, kde se červ objeví. Nicméně od doby, kdy se rozšířil širokopásmový Internetový přístup, většina malware začala být navrhována ze zištných cílů. Například od roku 2003 byla většina virů a červů navržena k získání kontroly nad PC uživatelů s využitím na černém trhu. Zavirovaný "zombie computers" je využíván k rozesílání email spam, fungovat jako hostitel vpašovaných dat, jako třeba dětské pornografie a nebo pro útoky na funkčnost distributed denial-of-service násilnou formou. Další čistě ziskovou kategorií malware je spyware – programy navržené k monitorování web prohlížečů uživatelů, šíření nevyžádaných reklam nebo přesměrování příjmů z tzv. affiliate marketing na účet tvůrců spyware. Tyto programy se nešíří jako viry, jdou obvykle bezpečnostními dírami a nebo přibaleny v SW, které si uživatel instaluje (šířeno zejména peer to peer sítěmi).
Datum: 31.3.2012
Téma 5/ Obor V4.x
strana 1/ ze 5
Tady by byly loga projektu a tak
Infekční malware: viry a červy Jsou to nejznámější druhy malware, které jsou spíše známy způsobem svého šíření, než svým určitým chováním. Viry Termín computer virus je analogií biologického viru. Je používán pro program, který infikuje aplikace a způsobuje, že tato aplikace, když běží, tak šíří virus do dalších aplikací. Je to útvar uměle vytvořený člověkem se záměrem škodit počítači nebo jeho aplikacím. Viry také mohou obsahovat další data, která potom vykonávají jiné, často škodlivé činnosti. Jsou často psány v nejnižším programovacím jazyku (ASM) a skládá se zpravidla ze tří částí, spouštěcí, vlastní funkční a reprodukční. Samotná funkční část pak vykonává danou činnost, která může být od neškodné (žertovné) až po destrukční (výmaz dat na úložných médiích). Reprodukce probíhá pouze prostřednictvím běhu schopných aplikací systému nebo aplikačních programů, později i pomocí makro aplikací v datových souborech. Viry jsou často malé, čím je menší, tím je méně nápadný (max. do 4kB). Antivir Je to program, který slouží jako vakcína před nakažením. Je schopen viry detekovat, omezit jejich činnost a případně odstranit, a navíc zajistit imunitu před dalším nakažením. První antivirový SW se objevil v roce 1988, který vytvořil indonéský programátor. Ten byl schopen najít, odstranit a následné poskytnout imunitu před virem Brain. Červ Malware worm na druhé straně, je program, který aktivně sám sebe rozesílá přes síť s úmyslem infikovat PC. Často také obsahuje další data, jako virus. Je to program, který parazituje zpravidla v jednom exempláři (jedna kompletní sada souborů) na hostiteli, využívá jeho komunikační spojení (síť, email apod.). Narozdíl od viru se dále na daném PC nešíří. Z těchto definic vyplývá, že viry vyžadují zásahy uživatele pro své šíření, zatímco červi se šíří automaticky. Z toho vyplývá, že pokud nákaza přišla emailem a nebo s nějakým dokumentem a vyžadovala zásah uživatele, potom budou klasifikovány jako viry a ne jako červi. Červ může být přímo součástí zprávy (nemusí být součástí přílohy), která může být v HTML formátu. Bývá ve formě JavaScriptu nebo jiných spustitelných appletů, který může být aktivován i samotným náhledem takové zprávy !!! Známé jsou přílohy emailů, které mají zpravidla „dvojitou příponu“. Pak při využití funkce Win pro skrytí známých přípon je viditelná pouze přípona jedna (např. *.jpg.exe bude zobrazena pouze jako *.jpg). existují i takoví červi, že se aktualizují (Hybris) obdobně, jako antivirové programy, tj. při svém šíření se může neustále a kontrolovaně „vylepšovat“. Červi mohou být na email klientovi závislí (jsou to většinou makroviry, např. Melissa, LoveLetter, AnnaKurnikova apod.) a nebo také nezávislí (Haiku- hledá email adresy a rozesílá na ně přílohy se svou kopií). Happy99 modifikuje WSOCK32.dll a při volání služeb Connect a Send připojí tělo červa ke zprávě.
Datum: 31.3.2012
Téma 5/ Obor V4.x
strana 2/ ze 5
Tady by byly loga projektu a tak
Trochu historie o virech a červech Před vznikem a rozšířením Internetu se viry šířily nakažením aplikací a nebo boot code umístěném v bootsektorech floppy disků (tzv. „kabelovým přenosem“, tj. výměna médií, které se nosily v kabelách). Viry se potom spouštěly buď se spuštěním infikované aplikace a nebo po nabootování z diskety. První viry byly napsány pro platformu Apple II a Macintosh, ale nejvíce se rozšířily na platformě IBM PC a MS-DOS systému. Viry jsou závislé na výměně uživatelských aplikací a nebo floppy medií, takže se na tom podíleli všichni PC fandové. Poprvé se o něm zmínil ve své odborné přednášce výzkumný pracovník Fred Cohen v roce 1983 a definoval jej: PC virus je program, který může infikovat jiný program takovým způsobem, že do něj zkopíruje své tělo, čímž se program infikovaný stává prostředkem pro další aktivaci viru. První známý virus byl Brain v roce 1987, který napadal boot sektory disket (tehdy 5 1/4“) a způsoboval, že počítač nebyl schopen diskety rozpoznat. Další byl virus Stoned, který modifikuje zápis v MBR a zabraňuje zavedení OS. V roce 1989 se objevil virus Dark Avenger, který rychle napadá programy, ale škody páchá velmi pomalu, čímž bývá velmi dlouho neodhalen. Přichází doba intenzivního antivirového výzkumu, který má své opodstatnění. V roce 1990 přicházejí nové rafinované formy polymorfních virů (při šíření se modifikují) a mnohostranné, které infikují různé části aplikací v PC. Jiným typem viru byl takový, který napadal velmi rozšířený typ grafického adaptéru Hercules a způsoboval „padání“ písmenek. Jedním z dalších byl virus Michelangelo, který se aktivoval automaticky v den narození, tj. 6.března a přepsal systémové části napadených HDD. Tvorba a šíření virů bylo od počátku kriminální přečin a první případ odsouzeného (na 18 měsíců) byl zaznamenán v roce 1994, kterým byl autor viru Pathogen. Výskyt prvního makroviru Concept byl zaznamenán v roce 1995 v jazyce Word Basic. Od roku 1999 například vzniká celá řada virů se jmény význačných osobností nebo událostí. Například virus Chernobyl znemožnil přístup k datům na HDD a způsobil obrovské škody, virus Melissa, který se při používání MS Outlook sám rozesílá na dalších 50 adres z uživatelova adresáře; stal se tak prvním virem, který se samostatně šíří. S největší zaznamenanou škodou téměř 9 mld USD byl Love Letter v roce 2000, který se šířil přílohou emailu s názvem „I love you“. Nejenom, že se sám šířil z adresáře evidovaných uživatelů, ale i likvidoval obrázky jpg a gif a prováděl změny v registrech WIN. První červi, síťové infekční programy, nejsou původem z PC, ale z multitaskingového Unix systému. První nejznámější červ byl Internet Worm z roku 1988, který nakazil SunOS a VAX BSD systémy. Narozdíl od virů se červ sám nevkládá do jiných aplikací, ale využívá bezpečnostních děr v programech síťových serverů a sám se spouští jako samostatný proces. Dalším příkladem červa např. Happy99. Z rozšířením MS WIN OS v roce 1990 a přizpůsobitelnými aplikacemi pomocí maker, se stalo možným psát infekční kód i v tomto macro jazyku. Tyto macro viruses infikují dokumenty a nebo jejich předlohy, takže se mohou vlastně šířit i samotnými daty. V současnosti jsou červi nejčastěji psány pro Windows OS, ačkoli malý počet je také psán pro Linux a Unix systémy. Jejich činnost je na stejném principu, jako v roce 1988: skenují
Datum: 31.3.2012
Téma 5/ Obor V4.x
strana 3/ ze 5
Tady by byly loga projektu a tak
síť a hledají počítače se zranitelnými síťovými službami, vniknou do PC a sami sebe kopírují dále. Červí průlomy se staly pravidelným problémem pro individuální uživatele i firmy často vedoucí ke ztrátám a nebo poškození dat. Trojské koně, rootkits, a zadní vrátka Aby škodlivý program mohl vykonávat svůj úkol, nesmí být vypnutelný nebo odstranitelný uživatelem nebo administrátorem PC, na kterém běží. Skrytí malware umožňuje jeho instalace na 1. místě. Pokud je škodlivý program prověřen jako žádoucí, pak jej uživatel instaluje bez vědomí toho, co vlastně dělá. Tato technika se nazývá Trojan horse nebo trojan. Obecně řečeno, Trojan horse je program, který vyzývá uživatele, aby jej spustil, ale skrývá svá škodící data. Tato škodlivá data (program) mohou účinkovat okamžitě a vést k nežádoucím účinkům, jako například k výmazu uživatelských dat, nebo běžněji může instalovat další škodlivý program do uživatelského systému, který pak slouží k dlouhodobým cílům jejího tvůrce. Trojan horses známé jako droppers (kapátko) se používají ke vlámání červa do uživatelské lokální sítě. Jeden z nejběžnějších způsobů přenosu Trojan horse je jeho přibalení do SW, který si uživatel stáhnul z Internetu. Pokud si jej uživatel nainstaluje, tak se i tento spyware současně nainstaluje. Autoři spyware, kteří se pokoušejí jednat jako legální, mohou vydávat end-user license agreement, které konstatuje, že v případě chování jako spyware ztrácí automaticky záruku, což uživatelé často neradi čtou nebo nechápou. Pokud je malware nainstalován, je často užitečné, když jeho tvůrce zůstane utajený. Totéž platí i v případě přímého vlámání útočníka-člověka do PC. Technika známá jako rootkits dovoluje toto utajení tím, že pozmění OS hostitele tak, že malware zůstane uživateli utajen. Rootkits může ochránit škodlivý proces (skrýt) v přehledu systémových procesů a nebo zabránit čtení jeho souborů. Původně rootkit byl sadou nástrojů instalovaných útočníkem-člověkem do Unix systému, kde útočník měl přístup administrátora (root). V současnosti je tento termín používán více obecněji pro ukrytí činností škodlivého SW. Některé škodlivé programy obsahují rutiny, které jej chrání proti vymazání; ne, že by se samy ukrývaly, ale aby bránily tomuto výmazu. Jedním z prvních případů tohoto chování byl zaznamenán u několika programů napadajících Xerox CP-V systém: Každý malware detekuje, že byla zničena některá z jeho kopií a okamžitě generuje v čase ms kopii novou. Jediným způsobem je nutnost zničit tyto kopie současně, což je velmi obtížné, anebo natvrdo přeinstalovat zavirovaný systém. Podobný ale modernější způsob je, že malware spustí řadu procesů, které se navzájem monitorují a restartují ten proces, který byl operátorem zastaven. Zadní vrátka (backdoor) je metoda, která obchází běžný authentication proces. Když byl systém úspěšně napaden (jedním z předchozích způsobů) nebo jinak, pak se nainstalují jedna nebo více zadních vrátek, aby v budoucnu útočníkovi umožnily útok. Tato myšlenka je často založena na tom, že výrobci OS tato vrátka do systému předinstalují z důvodu budoucí vzdálené technické podpory jejich uživatelů, ale doposud to nebylo spolehlivě dokázáno.
Datum: 31.3.2012
Téma 5/ Obor V4.x
strana 4/ ze 5
Tady by byly loga projektu a tak
Crackers obvykle používají backdoors pro vytvoření vzdáleného přístupu na PC pro případy nenadálé kontroly tak, aby zůstali kryti. K instalaci backdoors crackers mohou používat Trojan horses, worms, nebo jiné způsoby.
Malware za účelem zisku: spyware, botnets, keystroke loggers, a dialers V 80-tých a 90-tých letech minulého století bylo obvyklé, že malware byl formou vandalismu a žertů (ačkoli některé viry byly šířeny s cílem odradit od ilegálního stahování SW). Později většina malware byla psána s motivem finančního prospěchu. Je to dáno tím, že autoři malware chtěli zpeněžit to, že mají kontrolu nad infikovanými systémy. Od roku 2003 nejvíce zpeněžených forem malware (měřeno penězi vynaloženými na obnovu systému) bylo z kategorie spyware. Spyware programy jsou vytvářeny na objednávku (komerčně) za účelem sběru informací o uživatelích; ukazují vyskakovací okna pop-up ads, nebo pozměňují chování prohlížečů z finančních výhod pro tvůrce spyware. Např. některé programy přesměrovávají search engine na placené reklamy, jiné často nazývané "stealware" přepisují kód affiliate marketing tak, aby podíl na zisku připsal na své konto. Spyware je někdy instalován jako Trojan horse. Navzájem se liší v tom, že jejich tvůrci jsou otevřeně účastni na obchodech, například prodejem reklamní plochy na pop-ups generovaných jejich malware. Většina takových programů nabízí uživateli smluvní ujednání, které chrání tvůrce před postihy za kontaminaci PC. Dosud také nebyla EULA spyware soudně napadena. Další finanční motivací tvůrců malware může být využití infikovaných PC k práci pro jejich tvůrce. Spam virusy, jako třeba z rodin Sobig a Mydoom virů, jsou zpoplatňovány skupinami s e-mail spam. Infikované PC jsou využity jako proxy k rozesílání spamových zpráv. Výhoda pro spamery je použití infikovaných PC, že je k dispozici široká podpora (právě díky virům) a zajišťují anonymitu a chrání spamera před postihem. Spameři mají také infikované PC, které je zaměřeno proti anti-spam organizacím útokem právě na DoS. Aby útočníci koordinovali aktivitu mnoha nakažených PC, používají koordinační systém známý jako „podzemní síť“ botnets. V botnet se malware nebo malbot hlásí na Internet Relay Chat kanálu nebo jiném diskusním systému. Útočník tak může udělovat instrukce všem infikovaným systémům najednou. Botnets mohou být také využity k aktualizaci malware na infikovaných systémech, aby je udrželi odolnými proti antivirovým programům nebo jiným bezpečnostním opatřením. Nakonec je také možné pro tvůrce malware využít jednoduše kradených osobních dat uživatele. Některé malware programy instalují key logger, které kopírují uživatelovy klávesové stisky, když vkládá heslo, číslo kreditní karty nebo jiné informace, které mohou být užitečné jeho tvůrci. Ty jsou potom odesílány automaticky tvůrci, což následně umožní defraudaci bankovních účtů, kreditních karet a nebo jiných krádeží. Podobně může malware kopírovat CD kód nebo hesla on-line her, umožňující tvůrci krádež kont a virtuálních položek. Jiný způsob krádeže peněz je získání kontroly nad modemy a vytáčeným spojením s přesměrováním přes drahé a placené linky. Takový Dialer program vytáčí automaticky drahé linky a nechá spojení otevřené, čímž finančně zatěžuje uživatele.
Datum: 31.3.2012
Téma 5/ Obor V4.x
strana 5/ ze 5
