Internetové útoky z pohledu koncového uživatele

Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií

Student

: Martin Šírek

Vedoucí bakalářské práce

: Ing. Libor Gála

Oponent bakalářské práce

: Ing. Jindřich Hlaváč

TÉMA BAKALÁŘSKÉ PRÁCE

Internetové útoky z pohledu koncového uživatele

ROK : 2009 1

Vysoká škola ekonomická v Praze Katedra informačních technologií

Fakulta informatiky a statistiky 2009/2010

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

Autor práce: Studijní program: Obor:

Název tématu:

Martin Šírek Aplikovaná informatika Informatika

Internetové útoky z pohledu koncového uživatele

Rozsah práce:

cca 35 stran

Zásady pro vypracování: 1. 2.

Informační bezpečnost z pohledu koncového uživatele Charakteristika metod útočníků a vhodná protiopatření z pohledu koncového uživatele

Seznam odborné literatury: 1. 2.

KUCHAŘ, M. Bezpečná síť : jak zajistíte bezpečnost vaší sítě. Praha: Grada, 1999. ISBN 80-7169-886-5. JIROVSKÝ, V. Kybernetická kriminalita : nejen o hackingu, crackingu, virech a trojských koních bez tajemství. Praha: Grada, 2007. ISBN 978-80-247-1561-2.

Datum zadání bakalářské práce:

březen 2009

Termín odevzdání bakalářské práce:

prosinec 2009

Martin Šírek řešitel

Ing. Libor Gála vedoucí práce

prof. Ing. Jiří Voříšek, CSc. vedoucí ústavu

prof. Ing. Jan Seger, CSc. děkan FIS VŠE 2

Prohlášení

Prohlašuji, že jsem bakalářskou práci zpracoval(a) samostatně a že jsem uvedl(a) všechny použité prameny a literaturu, ze kterých jsem čerpal(a).

V Praze dne 30.11.2009

........................... .......................... podpis

3

Poděkování

Rád bych poděkoval Ing. Liboru Gálovi za jeho přínosné rady a náměty, které mi poskytl během vedení této bakalářské práce.

4

ABSTRAKT Osobní počítač připojený k internetu je fenoménem dnešní doby. Ruku v ruce s pozitivním rozvojem možností, které internet nabízí, jde i snaha o jeho zneužívání. Počítačové útoky jsou nejhrubším způsobem takového zneužívání. Tato práce vysvětluje podstatu počítačových útoků a strukturu napadení.

Cílem je vysvětlit, co hrozí koncovému uživateli internetu ze strany počítačových útočníků a jak se proti tomu může bránit. Je to úvod do problematiky. Práce vychází z předpokladu, že čtenář je laikem v oblasti informačních technologií a tomu je přizpůsobena hloubka i rozsah výkladu. Pro hlubší studium odkazuje na prameny v bohatém seznamu použité literatury.

V úvodní části je popsána struktura rizika napadení a vzájemné vazby mezi hrozbami, aktivy (ohroženými statky) a zranitelností. Značný prostor je věnován využití sociotechniky k počítačovým útokům. Dále jsou vysvětleny metody, programové prostředky a cíle útočníků. Nechybí ani opatření proti útokům. V závěrečné části jsou vysvětleny souvislosti mezi jednotlivými nástroji útočníka.

5

ABSTRACT Personal computer connected to the Internet is a phenomenon of our time. Hand in hand with the positive development of the possibilities offered by the Internet is an effort to abuse them. Computer attacks are the crudest way of such abuse. This work explains the nature of cyber attacks and structure of the attacks.

The aim is to explain how cyber attackers threat end-users of the computer and what defence exists against it. It's an introduction to the problem. The work is based around the assumption that the reader is a beginner in the field of information technology and the depth and scope of interpretation are adapted to it. For deeper study it refers to the sources in the rich list of used literature.

The introductory section describes the structure of attacks and the interrelations between threats, assets (endangered goods) and vulnerability. Considerable space is devoted to the usage of social engineering for cyber attacks. Thereinafter methods,software and objectives of the attackers are explained. Measures against attacks are not missing too. The final section explains connections between the attacker's tools.

6

OBSAH 1 ÚVOD .................................................................................................................................... 8 2 INFORMAČNÍ BEZPEČNOST .......................................................................................... 10 3 INFORMAČNÍ BEZPEČNOST VZHLEDEM KE KONCOVÝM UŽIVATELŮM ......... 12 3.1 AKTIVA......................................................................................................................... 13 3.2 HROZBY ....................................................................................................................... 14 3.3 ZRANITELNOST .......................................................................................................... 17 3.3.1 ZRANITELNOST SOFTWARU............................................................................ 18 3.3.2 ZRANITELNOST LIDSKÉHO FAKTORU – SOCIOTECHNIKY...................... 20 3.4 PROTIOPATŘENÍ......................................................................................................... 23 4 ZÁKLADNÍ METODY ÚTOČNÍKŮ ................................................................................. 24 4.1 HACKERSKÉ PROGRAMOVÉ NÁSTROJE.............................................................. 24 4.1.1 KLASIFIKACE HACKERSKÝCH PROGRAMOVÝCH NÁSTROJŮ ............... 25 4.1.1.1 POMOCNÉ NÁSTROJE ................................................................................. 25 4.1.1.2 MALWARE ..................................................................................................... 26 4.1.2 HACKERSKÉ PROGRAMOVÉ NÁSTROJE A HROZBY.................................. 31 4.1.3 PROTIOPATŘENÍ.................................................................................................. 32 4.2 SPAM ............................................................................................................................. 35 4.2.1 KLASIFIKACE SPAMU........................................................................................ 37 4.2.2 NOVÉ TRENDY V OBLASTI SPAMU ................................................................ 42 4.2.3 SPAM A HROZBY................................................................................................. 42 4.2.4 PROTIOPATŘENÍ PROTI SPAMU ...................................................................... 43 4.3 BOTNET ........................................................................................................................ 44 4.3.1 PRINCIP BOTNETU.............................................................................................. 44 4.3.2 BOTNET A HROZBY............................................................................................ 45 4.3.3 PROTIOPATŘENÍ.................................................................................................. 46 5 PROVÁZANOST ZÁKLADNÍCH METOD A PŘÍKLAD JEJICH UŽITÍ ÚTOČNÍKY . 47 6 ZÁVĚR................................................................................................................................. 50 7 PUBLIKAČNÍ ZDROJE...................................................................................................... 51 8 SEZNAM OBRÁZKŮ A TABULEK.................................................................................. 54 9 TERMINOLOGICKÝ SLOVNÍK ....................................................................................... 54

7

1 ÚVOD Internet je v dnešní době v naší zemi již dobře zavedené a všudypřítomné médium. Využíváme ho ke komunikaci, vzdělání, zábavě i práci. Většina moderních firem se snaží nabídnout své služby prostřednictvím internetu. Škála takto nabízených, ale i poskytovaných služeb je již obrovská a stále roste. Služby se pohybují od nákupu pizzy, či rezervace místa v divadle, přes správu bankovních účtů, až po obchody s obrovskými částkami na burzách, nebo vzdálenou práci na velkých firemních projektech. Spousta věcí, které se dříve museli řešit osobním setkáním, nebo po telefonu je nyní možné vyřešit několika kliknutími na internetu. Internet nám zkrátka v mnoha věcech ulehčuje život. Čím více ale internet zasahuje do našeho života, tím větší jsou také možnosti jeho zneužití. Internet se tak stává místem častých podvodů a úniků informací, kterým říkáme internetové útoky. Každý uživatel se denně setkává s desítkami takových útoků. Ať už se jedná o nevyžádanou reklamu, finanční podvod, krádeže dat nebo přebírání kontroly nad napadeným počítačem. Obětmi útoků už dlouho nejsou jen velké firmy a jejich servery, ale nejčastěji právě koncoví uživatelé internetu.

„Koncový uživatel je člověk, který není odborník v oblasti počítačů, a proto je zcela správně bere pouze jako prostředek pro dosažení nějakých cílů.“ [1]

Koncovým uživatelem tak tedy může být jak zaměstnanec firmy s rozsáhlým informačním systémem (IS), tak někdo kdo „brouzdá“ na internetu z domácího počítače. Cílem mé práce je popsat charakter internetových útoků tak, aby se zlepšilo povědomí koncových uživatelů o těchto problémech s využitím informašních technologií. Věřím, že právě informovanost je klíčovým prvkem v boji proti internetové kriminalitě. Tématikou internetových útoků se jen v Čechách zabývá množství stránek. Příklady jsou uvedeny v následující tabulce.

8

Internetová stránka Popis www.viry.cz Stránka zabývající se viry a dalšími nebezpečnými prohrami www.hoax.cz Stránka zabývající se hoaxy, phishingem a dalšími internetovými podvody www.spamy.cz Stránka zaměřená na obranu proti nevyžádané poště www.lupa.cz Zpravodajský server obsahující obsáhlou rubriku o internetové bezpečnosti www.saferinternet.cz Národní centrum bezpečnějšího internetu podporované EU Tabulka 1 – internetové stránky o internetové bezpečnosti, zdroj – autor práce I přes snahu těchto a mnohých dalších informačních serverů je bohužel informovanost o internetové bezpečnosti poměrně nízká. To dosvědčuje i průzkum zadaný společností Eset, podle kterého si 57 % uživatelů počítačů Macintosh myslí, že se obejdou bez antiviru a 50 % respondentů neví, že existuje phishing1[32] . Prací chci přispět k zvýšení povědomí uživatelů o riziku internetových útoků. Cílem mé práce není detailní popis škodlivých kódů a technických podrobností útoků. Naopak se pokusím o co nejširší zmapování internetových útoků se zaměřením na praktické příklady, které pomohou uživateli poznat, že se stal obětí útoku. U každé metody útoku budu také uvádět rady jak jí předejít, popřípadě jak se s ní vypořádat. Vzhledem k bleskové rychlosti vývoje jak informačních technologií, tak internetových útoků se budu snažit držet krok s nejnovějšími trendy v této oblasti.

Konkrétně se ve své práci nejprve pokusím vymezit internetové útoky v rámci metodiky informační bezpečnosti. To by mělo pomoci při chápání souvislostí mezi jednotlivými internetovými útoky. V kapitole o zranitelných místech se pak zaměřím zejména na sociotechniku2, která je významnou technikou u většiny útoků na uživatele. Ve druhé polovině své práce se pak budu věnovat základním metodám útočníků, malwaru3, spamu4 a botnetům5 a pokusím se popsat jejich provázanost.

1

podvodná technika snažící se vylákat z uživatelů přihlašovací údaje k bankovním účtům způsob manipulace lidí za účelem provedení určité akce nebo získání určité informace 3 viry a jiné škodlivé programy 4 nevyžádaný hromadný email 5 ilegálně vytvořená síť z počítačů koncových uživatelů 2

9

2 INFORMAČNÍ BEZPEČNOST Zajistit informační bezpečnost znamená čelit hrozbě prozrazení, upravení, poškození nebo blokování (bránění v dostupnosti) informací. Mezinárodní organizace pro normalizaci ISO vydala v období let 2005 – 2009 řadu norem ISO/IEC 27000 - 27007, které se zabývají informační bezpečností. Úplný seznam těchto norem i jejich podrobnější popis, včetně historie a nejbližších cílů nalezne čtenář v knize Řízení bezpečnosti informací. [31]

Nyní uvedu definice některých termínů, které se mohou v této kapitole objevit na více místech. Definice vycházejí z mezinárodní normy ISO/IEC 27000 – Základy a slovník pro systém řízení bezpečnosti informací [2]: • Informační systém (IS) – soubor prvků určených pro správu (sběr, zpracování, uložení, poskytování) informací a dat. • Aktivum (asset) – cokoli, co má pro koncového uživatele nějakou cenu. • Hrozba (threat) – akce, nebo událost, která může ohrozit bezpečnost. • Zranitelnost (vulnerability) – jakékoliv slabé místo aktiva včetně bezpečnostních procedur, kontrolních míst. Slabá místa mohou vést k neautorizovanému přístupu ke zdrojům systému. • Protiopatření (countremeasure) – jakákoli aktiva, zařízení, technika, či jiný postup. který umožní snížit sílu hrozby, která na informační systém působí, nebo úplně zabrání v jejím účinku. • Důvěrnost (confidentiality) – zajištění, že informace jsou přístupné nebo sděleny pouze těm, kteří jsou k tomu oprávněni. • Integrita (integrity) – zajištění správnosti a úplnosti informací. • Dostupnost (availibility) – zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku její potřeby. • Riziko – kombinace hrozby působící na aktivum a zranitelnosti tohoto aktiva, což může mít za následek vznik škody na těchto aktivech.

Bezpečnost informací je definována výše uvedenou normou ISO/IEC 27000 jako stav, ve kterém informace a data spravovaná IS splňují kritéria důvěrnosti, integrity a dostupnosti. 10

Tyto tři klíčové atributy bezpečnosti jsou přehledně znázorněny v modelu CIA triáda (CIA triad).

Obrázek 1 - CIA TRIAD, zdroj – [3] Pro lepší pochopení uvedu u každého atributu příklady internetových útoků, které jej porušují: •

Důvěrnost – prolomení hesla, nebo krádež bankovních údajů.

•

Integrita – malware, který změní domovskou stránku prohlížeče na jinou, nebo virus, který zformátuje disk uživatele (zničí data).

• Dostupnost – DoS útoky6 (Denial of Service attacks, útoky potlačením služby) jsou typickým příkladem porušení dostupnosti.

CIA model se v oblasti informační bezpečnosti používá už dobrých 20 let. [4] V dnešní době se k těmto třem atributům někdy přiřazují další, jako například autentičnost (authenticity). Ta znamená, že systém kontroluje subjekty pohybující se v systému, zda jsou to skutečně těmi, kým se zdají.

Informační bezpečností, rozumějme dodržení všech atributů bezpečnosti, je dosahováno skrz implementaci vhodné sady opatření, vybrané pomocí analýzy rizik. Opatření zahrnují například organizační strukturu, pracovní postupy, firemní politiku a vhodné softwarové a hardwarové nástroje.

6

úmyslné vytvoření vysoké zátěže systému nelegitimními žádostmi vede k neúspěšným pokusům o přístup legálního subjektu

11

3 INFORMAČNÍ BEZPEČNOST VZHLEDEM KE KONCOVÝM UŽIVATELŮM Bezpečnost informací je pojem obvykle využívaný v souvislosti s informačními systémy firem a organizací. Ale i většina počítačů koncových uživatelů obsahuje data, která mohou být pro útočníky nějakým způsobem zajímavá. Mnohé uživatele přitom ani nenapadne, že by se citlivá data mohla na jejich počítači vyskytovat. Příkladem může být třeba prostý adresář emailových adres. Zcela běžná věc, která se v rukou spamera stává mocnou zbraní. Informační bezpečnost je tedy důležitá i pro koncové uživatele. Účinná opatření ke zvýšení informační bezpečnosti vyplývají z analýzy rizik7

Obrázek 2 - Průběh analýzy rizik, zdroj – [1]

Z obrázku 2 je vidět, že riziko se skládá z aktiva, hrozeb, které na něj působí a zranitelných míst aktiva. Čím drahocennější aktivum, čím nebezpečnější hrozby a čím větší slabiny, tím větší riziko. Podle velikosti rizika je nutno přijmout odpovídající protiopatření. Analýza rizik je technikou, která se používá k rozložení zdrojů na obranu IS mezi jednotlivá rizika tak, aby se maximalizoval užitek. Každý útok lze popsat pomocí těchto tří atributů, které tvoří riziko. Samotný útok je praktickou realizací hrozby vůči slabině určitého aktiva. Pro snazší pochopení opět uvádím několik příkladů(viz Tabulka 2).

7

Analýza rizik je systematické používání informací k odhadu míry rizika a k určení jeho zdrojů [31]

12

Útok Phishing Vir

Aktivum Bankovní informace Bankovní informace

Hrozba Únik informace Únik informace

DoS útok na internetovou stránku

Internetová stránka

Potlačení služby

Zranitelnost Uživatel Softwarové zabezpečení počítače Server, na kterém je stránka uložena

Tabulka 2 – příklady útoků, zdroj – autor práce

Vyhodnocením a řízením rizika se zaobírá několik různých metodik (metoda analýzy přínosů a nákladů, vybudování registru rizik ap.) Podrobný popis těchto metodik přesahuje rámec této práce.

3.1 AKTIVA Aktiva jsme si definovali jako hmotné a nehmotné statky, které mají pro majitele určitou cenu. Každý koncový uživatel vlastní pro útočníky dva typy zajímavých aktiv. Citlivé informace ve formě dat a počítačové zdroje, které představuje počítač a internetové připojení. Pojďme se nejprve podívat na citlivé informace – jaká data jsou nejčastěji terčem útočníků. Vycházím ze studie o nezákonné ekonomii, kterou zpracovala společnost Symantec v roce 2008 [6]. V této studii byly po dobu jednoho roku od 1. 7. 2007 do 30. 6. 2008 sledovány servery, na kterých útočníci nabízí vzorky kradených dat. Každý vzorek představuje přibližně 10 % kradených dat. Nabídka takového vzorku zdarma je v černé ekonomice běžnou praxí. Útočníci tím dokazují, že skutečně vlastní daná data, zvyšují svou důvěryhodnost a dávají kupcům možnost ověřit kvalitu dat. Celkově bylo nasbíráno 44 752 různých dat. Výsledek průzkumu shrnuje níže uvedená tabulka.

13

Tabulka 3 – vzorky citlivých dat , zdroj [6] Z tabulky je vidět, že terčem útočníků jsou nejčastěji čísla kreditních karet a data potřebná pro manipulaci s nimi. Dále pak osobní údaje všeho druhu.

Druhým typem aktiv, které útočníky zajímají, jsou samotné počítače. Útočníci nahrají do počítače malware, který jim umožní je na dálku ovládat a využívat k dalším útokům. Více se touto problematikou budu zabývat v druhé části práce v kapitole 4.3 Botnet.

3.2 HROZBY Hrozby jsou potenciální příčiny nežádoucí události, které můžou způsobit újmu informačnímu systému, organizaci nebo koncovému uživateli. Podle [7] rozeznáváme čtyři skupiny základních hrozeb: • Únik informace – případ, kdy informace důvěrného charakteru je prozrazena neautorizovanému subjektu nebo je jím odhalena. Únik informace pak může vést k přímým útokům se značným dopadem.

14

• Narušení integrity – porušení konzistence dat, při kterém dochází ke smazání, či změně stávajících dat nebo vytvoření nových dat neautorizovaným subjektem. • Potlačení služby – stav, ve kterém je legitimním subjektům bráněno k přístupu k informacím, nebo jiným systémovým zdrojům. • Nelegitimní použití – informační zdroj je používán neautorizovaným subjektem, nebo neadekvátním způsobem.

Tyto základní hrozby vycházejí z klíčových atributů informační bezpečnosti – důvěrnosti, integrity, dostupnosti a autentičnosti, jak jsme si je popsali výše. Kromě základních hrozeb rozeznáváme ještě hrozby aktivační, jejichž realizace vede k bezprostřednímu vytvoření základní hrozby. Mezi aktivačními hrozbami dále rozeznáváme dvě speciální skupiny, hrozby implantační a penetrační. Penetrační jsou hrozby, při kterých dojde k přímému průniku do systému. Implantační jsou takové hrozby, kdy je do systému vsazena (implantována) komponenta, která následně ohrožuje bezpečnost systému. Vztahy mezi základními a aktivačními hrozbami jsou přehledně znázorněny v diagramu na obrázku 3. Tabulka 3. pak obsahuje legendu k jednotlivým hrozbám.

Obrázek 3 - Vztah základních a aktivačních hrozeb, zdroj – [7]

15

Aktivační hrozba Ilegální odposlech Analýza provozu Emisní/VF odposlech Indiskrece Vytěžení médií z odpadu Odposlech/změna informace Odmítnutí Maškaráda Obejití řízení Porušení autorizace Fyzický průnik Trojský kůň Zadní dvířka Podvržení služby Vyčerpání zdrojů Krádež Replay

Charakteristika Informace je získávána monitorováním přenosového kanálu Informace je neautorizovanou entitou8 získána sledováním provozu a výběrem jeho podstatných částí Informace je extrahována z vysokofrekvenčního vyzařování či jiných elektromagnetických jevů, ke kterým dochází při provozu elektronického zařízení Autorizovaná osoba prozradí důvěrnou informaci neautorizované osobě z neopatrnosti nebo za úplatu Informace je získávána z médií, vyhozených do odpadu Přenášená data jsou během přenosu informačním kanálem změněna, odstraněna nebo zcela vyměněna Strana zúčastněná ve vzájemné komunikaci později popře, že k takové komunikaci došlo Jedna entita se představuje jako jiná entita Útočník využije zranitelnosti systému k získání neautorizovaných práv, nebo privilegií Osoba, která je autorizována k použití zdroje pro jistý účel jej použije k jinému, neautorizovanému účelu Útočník získá kontrolu nad systémem fyzickým proniknutím k jeho ovládacím prvkům Software obsahuje zdánlivě nevinnou, nebo neviditelnou část kódů, který (pakliže je spuštěn) ohrozí bezpečnost uživatele Do systému je zabudována vlastnost, nebo vložená součást, která při jisté konstelaci vstupních dat umožní obejít bezpečnostní mechanismy Podvržený systém, nebo systémová komponenta Jistý zdroj je úmyslně natolik zatížen, že je znemožněno používání služby, která je na něj vázána, řádnými uživateli Kritický prvek bezpečnostního systému (např. přístupová karta) je fyzicky zcizen Zachycená kopie legitimní transakce je využita pro opětovný přenos s nelegitimním úmyslem

Tabulka 4 – aktivační hrozby, zdroj – [7]

Je potřeba si uvědomit, že tabulka není výčtem všech metod útoků. Těm se budu věnovat v druhé části mé práce. Je pouze výčtem hrozeb, které mohou jednotlivé útoky představovat pro bezpečnost informací. Samotné útoky pak mohou představovat nejen jednu, ale i více hrozeb. Phishingový útok například současně patří do kategorie indiskrece a maškaráda. 8

osoba nebo systém

16

Povšimněme si, že některé hrozby mohou kromě aktivace základních hrozeb také podporovat jiné aktivační hrozby a že základní hrozby mohou sloužit zároveň i jako hrozby aktivační. Např. úspěšně provedená základní hrozba - únik informace (získání hesla ) pomůže aktivovat hrozbu maškaráda (vydávání se za jinou entitu) a tím následně spustit další základní hrozbu. Tabulka pro úplnost obsahuje všechny možné hrozby pro informační systém. Některé z těchto hrozeb např. vytěžení medií z odpadu, nebo krádež není pomocí internetových útoků vůbec možno realizovat.

Hrozby můžeme také dělit na úmyslné, tedy ty, za kterými stojí útočník a neúmyslné, kdy ohrožení vzniká chybou uživatele nebo samotného systému. Téma mé práce jsou internetové útoky, takže hrozby útoků, kterými se v ní budu zabývat, jsou vždy úmyslného charakteru. Neúmyslné hrozby na internetu nicméně také existují. Vznikají třeba, když nerozvážný uživatel umístí citlivá aktiva tak, že jsou volně přístupná veřejnosti. Například soukromé fotky na volně přístupný server. Úmyslné hrozby můžeme dále dělit na pasivní a aktivní. Pasivní hrozba je hrozba, při které nedochází ke změně napadeného aktiva. Data jsou monitorována, ale nemění se jejich hodnota, ani umístění. Aktivní hrozba je naopak hrozba, při které je s umístěním nebo hodnotou dat manipulováno. Pokud toto dělení vztáhneme na základní hrozby, pak únik informací je pasivní hrozbou, narušení integrity a potlačení služeb je aktivní hrozbou a nelegitimní použití může být jak pasivní, tak aktivní (neligitimní použití placeného zpravodajského serveru je příkladem pasivní hrozby, využití počítače k zařazení do botnetu a následným útokům je aktivní hrozbou).

3.3 ZRANITELNOST Zranitelnost je slabé místo aktiva, které může být využito hrozbou. Místo termínu zranitelnost se užívá také výraz bezpečnostní díra. Podle [1] mohou zranitelným místy IS být: • Záležitosti fyzické podstaty – nezabezpečený vstup do budovy, nespolehlivé napájení, slabá ochrana proti požáru. • Lidský faktor – zaměstnanci, koncový uživatel. • Hardware – nečekaná selhání, přetížení. • Software – špatný návrh, možnosti zneužití některých funkcí. 17

Bezpečnostní díry fyzické podstaty je pomocí internetových útoků prakticky nemožné zneužívat a hardwarové slabiny se zneužívají jen velmi zřídka. Z hlediska ohrožení koncového uživatele internetovými útoky je zajímavá především zranitelnost lidí a softwaru. Zranitelností lidí se zabývá sociotechnika, viz kapitola 3.3.2.

3.3.1 ZRANITELNOST SOFTWARU Zranitelnosti softwaru jsou chyby v naprogramování softwaru, které ho umožňují ho zneužít k nelegitimním účelům. Nejčastějším zneužitím je vložení kódu útočníka, který následně nějakým způsobem ohrozí uživatele napadeného programu. Vložení kódu útočníka obvykle probíhá prostřednictvím datového souboru, s kterým daný software běžně pracuje. Útoky skrz tyto bezpečnostní díry jsou extrémně zákeřné, protože se obvykle týkají známých a často používaných aplikací, které uživatel považuje za bezpečné. Programy, které se používají k zneužití bezpečnostních děr, se nazývají exploity9. Exploit nemá příliš dlouhou životnost a prochází vlastním životním cyklem, viz Obrázek 4. Po objevení bezpečnostní díry je ta následně detailně analyzována hackery10 a začíná se na vývoji exploitu. Ten se nejprve používá jen v úzké hackerské komunitě, je testován a zdokonaluje se. Jeho použití je omezené. Následuje vydání automatické verze exploitu, kterou už dokáže používat široké spektrum útočníků. Exploity jsou na černém trhu ceněnou komoditou. Využití exploitu začne růst, až si ho nakonec všimnou výrobci aplikace a vydají na exploit patch11. Zodpovědní uživatelé patch nainstalují a exploit je tak postupně těžší a těžší využívat a postupně mizí z hackerského světa. Hacker, který přišel o nástroj útoku je nucen hledat novou slabinu. Po objevení nové slabiny se životní cyklus exploitu opakuje. Tento cyklus hrozby a protiopatření je charakteristický pro boj s internetovými útoky. Útočník je v něm, ale vždy o krok napřed a nic nenasvědčuje, že by se to mělo v dohledné době změnit.

9

Termín exploit nemá český ekvivalent. V angličtině znamená využít, zneužít. Hackeři jsou počítačoví specialisté či programátoři s detailními znalostmi fungování IS, dokážou ho výborně používat, ale především si ho i upravit podle svých potřeb 11 bezpečnostní záplata 10

18

Obrázek 4 - Životní cyklus exploitu, zdroj – [7]

Dle [8] byla nejčastější bezpečnostní dírou zneužívanou v roce 2008 tzv. Microsoft Internet Explorer ADODB. Stream Object File Installation Weakness. Umožnila útočníkům využívat chyby v prohlížeči Internet Explorer k instalaci malware na počítač napadeného uživatele. Zneužívání této jediné chyby tvoří celých 30 % veškerých bezpečnostních chyb zneužívaných útočníky v roce 2008. Zajímavé je, že se tato chyba drží na první příčce, přestože na ni byla vydána opravná záplata už v roce 2004. To naznačuje, že většina uživatelů používající Internet Explorer si aplikaci neaktualizuje. Dalším důvodem tak velkého počtu zneužití je celková oblíbenost Internet Exploreru, který je dlouhodobě nejpoužívanějším internetovým prohlížečem. Používá ho necelých 72 % uživatelů [9]. Druhou nejčastěji zneužívanou bezpečnostní dírou v roce 2008 byly útoky využívající soubory typu pdf (portable document file – typ textového souboru používaný celosvětově rozšířenou aplikaci Adobe Reader). Za masivním zneužíváním této chyby stojí popularita PDF formátu na internetu. Vzhledem k častému použití pdf souborů jsou prohlížeče často nastaveny na automatické otevření PDF dokumentu a tím přispívají k nebezpečnosti této bezpečnostní díry. Tabulka 5 znázorňuje nejčastěji zneužívané bezpečnostní díry na internetu.

19

Tabulka 5 – nejčastěji zneužívané bezpečnostní díry na internetu, zdroj [8]

3.3.2 ZRANITELNOST LIDSKÉHO FAKTORU – SOCIOTECHNIKY12 „Sociotechnika používá autority, přesvědčování a manipulaci k oklamání lidí. Sociotechnik se vydává za někoho, kým není. Jeho cílem je využít lidi k získání informací a to jak s použitím technologie tak i bez ní.“ [10] Termín byl definován celosvětově proslulým hackerem Kevinem Mitnickem, který byl ve své době jednou z nejhledanějších osob v historii FBI. Podle jeho vlastních slov bylo právě sociální inženýrství jeho nejefektivnější technikou. Proč se snažit o prolomení systému, který je dobře zabezpečen, pokud existují desítky oprávněných uživatelů. Je mnohem jednodušší přesvědčit některého z nich k vyzrazení přihlašovacího jména a hesla.

Úspěšnost sociotechniky vychází ze sociální psychologie, což je věda zabývající se lidským myšlením, pocity a chováním pod vlivem sociálních podnětů [33]. Další věcí, která nahrává sociotechnikům je, že se oběť často i po odhalení útoku nikomu nesvěřuje. Útok považuje za osobní selhání, bere ho jako útok na svou inteligenci a cítí se zahanben, že “nalítl“. To samozřejmě ztěžuje vyšetřování takových zločinů.

12

pro tuto metodu se užívá také termín „sociální inženýrství“, jedná se o synonyma

20

Využívání emocí Jednou z technik sociotechniky je využívání lidských emocí. Nejvíce využívanými emocemi jsou strach, zvědavost, touha a soucit [11], které patří do skupiny takzvaných univerzálních emocí. Univerzální emoce jsou emoce, které čas od času prožívá každý člověk. Pod vlivem emocí často jednáme zkratovitě. Emoce přebijí racionální stránku našeho myšlení a donutí nás jednat impulzivně. Takové jednání není vždy na škodu. Pokud se ocitneme v nebezpečí, pak je to právě strach, který nás donutí rychle zareagovat a nebezpečí uniknout. Zvědavost nás nutí k prozkoumávání nových věcí a dává nám možnost, abychom překonali sami sebe. Vyvolat v někom silnou emociální reakci je často nejlepší způsob jak ho ovlivnit. Používání emocí pro nečestné účely není žádná novinka. Mnozí slavní řečníci a vládci využívali právě emocí (strachu, nenávisti), aby přesvědčili lid o své pravdě.

Příklady využití emocí při internetových útocích sociálního inženýrství: • Strach – Falešné hlášení o virech. Uživatel pod vlivem strachu stáhne nabízený antivir, který je ve skutečnosti virem. • Soucit – Email popisující hromadnou nehodu odkazuje na stránku pro pomoc obětem, na které dojde k automatické nákaze počítače nebezpečným kódem . • Touha – Uživateli je nabídnuta značná finanční odměna. Dalším příkladem může být případ, kdy nadržený uživatel stáhne falešné kodeky pro údajný přístup k pornografickému materiálu • Zvědavost – Zajímavý email s přílohou, kterou uživatel pod vlivem zvědavosti stáhne • Pocit viny – Každý se snaží vyhnout pocitu viny. Sociotechnik vytvoří scénář, kterým navodí u oběti pocit viny a ta následně udělá, co je třeba, aby se ho zbavila.

Využívání stereotypů Stereotyp je ve své podstatě vzorec myšlení, který si člověk osvojuje v průběhu vývoje své osobnosti [34]. Vzniká v důsledku zjednodušování a generalizování objektivní skutečnosti. Je jakousi mentální zkratkou. Použití slova stereotyp je často vnímáno v negativním důsledku. Běžně si lidé tvoří negativní stereotypy o příslušnících nějakého národa či barvy pleti. Typickým příkladem takového stereotypu jsou předsudky typu: Američani jsou hloupí a tlustí, Němci jsou pečliví, cikáni kradou. Vytváření podobných stereotypů a předsudků nám 21

většinou jen způsobuje problémy. Často se jejich tvorbě pod vlivem společnosti neubráníme, proto je velmi důležité brát je s rezervou. Existuje ale i spousta pozitivních stereotypů, které nám život výrazně ulehčují. Stereotypem je např. uniforma, podle které snadno poznáme hasiče nebo příslušníka policie. Díky stereotypům je člověk mnohdy schopen fungovat rychleji a efektivněji. Svým způsobem je pro nás používání stereotypů nezbytné. Není v lidských silách analyzovat všechny aspekty situací, se kterými se během dne setkáváme. A v tom spočívá nebezpečí stereotypu. Sociotechnik oblečený v uniformě údržbáře je za něj okolím automaticky považován. Ten, kdo se chová autoritativně, je automaticky považován za autoritu. Analogií zneužití uniforem na internetu je například použití loga známé společnosti. Zpráva, či stránka označená logem známé společnosti je uživatelem podvědomě automaticky zaškatulkovaná jako seriózní a to i přesto, že ostatní bezpečnostní znaky často přímo křičí, že jde o podvod.

Kognitivní13 chyby úsudku (Cognitive biases) Kognitivní chyby úsudku jsou přirozené tendence lidského mozku, které vedou k chybnému vnímání a posouzení objektivní skutečnosti [11]. Zabývá se jimi jak již zmíněná sociální psychologie, tak i další kognitivní vědy. Kognitivních chyb úsudku existuje celá řada. Uvedu tedy jen dva příklady [11] těchto chyb, které se dají využít v internetových útocích.

Chyba v závislosti na předchozím rozhodování – Při rozhodovacím procesu automaticky porovnáváme volby, které máme, s volbami našich předchozích rozhodnutí. Pokud se v současném rozhodování objevuje volba, pro kterou jsme se rozhodli v minulosti, je naší přirozenou tendencí k ní opět inklinovat nezávisle na tom, že spolu jinak oba rozhodovací procesy vůbec nesouvisí. To platí i naopak. Volby, které jsme zamítli automaticky vnímáme více negativně. Praktickým příkladem využití je podvod, během kterého postaví sociální inženýr oběť před několik snadných rozhodnutí, které následně podpoří hlavní volbu. Podvodník předstírající jednatele banky, například nejprve požádá oběť o názor na služby banky a až v dalším emailu po ní vyžaduje zaslání čísla účtu. Chyba v důsledku lpění na kotevním bodu - Tato chyba spočívá v nerovnoměrném hodnocení informací, které člověk používá při rozhodovacím procesu. Lidé si tvoří tzv. 13

Kognitivní věda je víceoborové vědní odvětví, které zkoumá lidské myšlení a inteligenci.

22

kotevní body – informace, kterým dávají při rozhodování vyšší význam, ačkoli objektivně nemají nutně větší důležitost, něž jiné informace. Někteří lidé například při koupi dávají nepřiměřený význam ceně, nehledě na kvalitativní charakteristiky výrobku. Jiní automaticky snáze uvěří dobře oblečeným lidem. Pokud podvodník zjistí jaké jsou kotevní body oběti, dokáže s ní následně lépe manipulovat. Kotevní body může útočník na internetu získat například odhadem ze stránek, které oběť navštěvuje.

Sociotechnika na internetu Na internetu se sociálního inženýrství dá využít kdekoli, kde dochází ke komunikaci s uživatelem a to jak aktivní (email, skype, instant massangery, internetová fóra), tak pasivní (text na falešné stránce). Typickým příkladem takových aktivit je phishing, falešné loterie a nigerijské dopisy. Blíže se těmto aktivitám věnuji níže v kapitole 4.2 o Spamu. Všechny tyto techniky totiž využívají spamu jako hlavní útočné metody.

3.4 PROTIOPATŘENÍ Protiopatření jsme si definovali jako jakýkoli postup, který umožní snížit sílu hrozby, nebo úplně zabránit účinku útoku. Podle [31] rozdělujeme protiopatření na ta, jež mají charakter: • Administrativní – mezi tato opatření patří zejména různé směrnice a doporučení. • Fyzický – mezi ně patří např. zámky a trezory pro ukládání dat. • Technický a technologický – hardware a software využívaný k ochraně dat. Např. antiviry nebo ochrana přístupu do informačního systému pomocí hesel.

Podle stejné publikace je můžeme dále dělit podle cíle na: • Prevenční – zajištění minimalizace rizik předem. • Detekční – zajištění odhalování potenciálních problémů a hrozeb. • Korekční – zajištění minimalizace dopadů poté co se hrozba naplnila. Blíže se protiopatřením budu věnovat v kapitole 4 Základní metody útočníků, kde uvedu konkrétní praktická opatření proti jednotlivým metodám.

23

4 ZÁKLADNÍ METODY ÚTOČNÍKŮ V této části práce se budu věnovat jednotlivým metodám a útočníkům a řadit je do struktury, kterou jsem definoval v části první. Metody jsem vybíral vzhledem k nebezpečnosti a rozšířenosti mezi útočníky. Vybrané metody jsou: • Hackerské programové nástroje – software využívaný hackery při útocích. • Spam – nevyžádaná hromadná elektronická zpráva. • Botnety – sítě počítačů ovládané útočníky. U každé metody se nejprve zaměřím na klasifikaci v rámci jednotlivých typů metody, potom na hrozby, které metoda představuje pro bezpečnost informací a nakonec na možnosti obrany koncového uživatele proti nim.

Nejvíce se budu věnovat metodě spamu. Důvodem je jeho bezprostřední vliv na koncového uživatele. Existenci malware ve svém počítači si mnohý uživatel ani neuvědomí a hrozby jím způsobené se dlouho neprojeví. Problém spamu si ale uvědomuje každý okamžitě po otevření poštovní schránky. Spam je navíc průvodní technikou mnohých jiných nebezpečných útoků jako jest např phishing.

4.1 HACKERSKÉ PROGRAMOVÉ NÁSTROJE Hackerské programové nástroje představují software využívaný hackery nějakým způsobem při útocích. Hackerských nástrojů je tolik, že je z technických důvodů nemožné popsat je v mé práci všechny. Zaměřím se na ty, z mého pohledu nejdůležitější.

24

4.1.1 KLASIFIKACE HACKERSKÝCH PROGRAMOVÝCH NÁSTROJŮ Programové nástroje můžeme rozdělit do dvou skupin: • Pomocné nástroje – software, který hacker spustí na svém počítači (popřípadě z důvodu obtížnějšího vystopování na cizím) a ten mu pak pomáhá v jeho další činnosti. • Malware – programy, které jsou implantovány na počítač oběti a tam následně vykonávají nekalou činnost. Podrobněji se touto problematikou zabývají publikace [7] [12] a internetové stránky [13] [14] [15].

4.1.1.1 POMOCNÉ NÁSTROJE Pomocné nástroje, kterými se budu v práci věnovat, jsou prolamovače hesel, nástroje průzkumu sítě a exploty. Ke každému jsem přiřadil aktivační a základní hrozbu, kterou představuje pro bezpečnost informací.

Prolamovače hesel

Prolamovače hesel jsou jedním z nejstarších hackerských pomocných nástrojů. Slouží k odhalení statického hesla14. Samotný program funguje na principu pokusu a omylu. Zkouší různé kombinace znaků, dokuď se netrefí do požadovaného hesla. Prolamovače fungují buď na slovníkovém základu – zkouší různá slova z vlastní databáze hesel, anebo zkouší veškeré kombinace znaků, což je označované jako útok hrubou silou. Útok hrubou silou je závislý na počítačových zdrojích útočníka. Čím výkonnější počítač, tím rychlejší je výsledek. Hackeři občas využívají i propojení několika počítačů, které na prolomení pracují společně. Moderní autorizační aplikace často povolují pouze několik pokusů zadání hesla za určitý časový úsek a tím práci prolamovačů hesel ztěžují, až znemožňují. Prolamovače hesel jsou využívány v rámci aktivační hrozby (maškaráda, obejití řízení) a také základní hrozby (únik informace, narušení integrity, potlačení služby, nelegitimní použití). Nástroje průzkumu sítě

14

moderní bezpečnostní techniky používají dynamických hesel, které jsou závislé na času přístupu, k vygenerování hesla je potřeba speciální kalkulátor, který vlastní pouze autorizovaný uživatel

25

Nástroje průzkumu sítě jsou nástroje, které hackerovi pomáhají najít vhodné cíle pro své útoky. Celou řadu informací lze získat z volně dostupných zdrojů. Automatizované nástroje pak například otevírají zdrojové kódy náhodných stránek a vybírají z nich ty, u kterých najdou nějakou bezpečnostní díru. Nebo využívají jednoduché příkazy, jako např. ping15 k zjištění základních informací o cílové síti. Nástroje průzkumu sítě jsou využívány v rámci aktivační hrozby (analýza provozu) a také základní hrozby (únik informace).

Exploity

Exploity jsme si již popsali v kapitole o zranitelnosti softwaru. Jedná se o programy umožňující automatické zneužití bezpečnostní díry, nějakého jiného software. Toho bývá nejčastěji využíváno k vložení malware na solventní stránku, nebo k vytvoření malware typu trojský kůň. Exploity jsou využívány v rámci aktivační hrozby (obejití řízení) a také základní hrozby (narušení integrity).

4.1.1.2 MALWARE Malware je slovo vzniklé kombinací anglických slov malicious (záludný, zákeřný, lstivý) a software. Je definován jako program určený k vniknuti, nebo poškození počítačového systému bez vědomí vlastníka [16]. Lidově bývá malware označován jako virus. Pravé viry jsou ale pouze jednou z mnoha kategorií malwaru.

15

Slouží k zjištění základních informací jako IP a odezvy serveru

26

Obrázek 5 - Výskyt nových druhů malware, zdroj – [8] Počet Malwaru na internetu se zvyšuje exponenciální rychlostí. Z grafu(viz Obrázek 5 můžeme vysledovat obrovský nárůst malware v posledních dvou letech V roce 2008 zaregistrovala společnost Symantec 1656227 nových případů malware.. Podle Symantec je příčinou ilegální ekonomika. To je 265 % zvýšení oproti roku 2007. Nutno říci, že přes obrovskou absolutní sumu se relativní nárůst malware snížil. Mezi léty 2006-2007 byl nárůst 445 %. Malware sloužící k získání citlivých dat je na černém trhu cennou komoditou. Vývojáři těchto programů pracují v týmech programátorů s podobnou strukturou a profesionálním přístupem jako mají klasické vývojářské firmy. Velká čísla pak nejsou ničím jiným, než odpovědí na velkou poptávku.

Podle účelu a způsobu šíření lze malware rozdělit na množství druhů. Podle způsobu šíření na viry, červy a trojské koně. Podle účelu, kterému slouží pak na adware, spyware, rootkit, backdoor, dialer, scareware a klasický virus (což je určitý typ malware, který jsem takto označil pro nedostatek terminologie). Považuji za důležité rozdělení podle těchto dvou charakteristik navzájem nemíchat. Často jsem se na internetu setkával se studiemi, které dělily malware na viry, trojany, spyware atd. Viry, červi i trojani mohou být nositelem spyware, adware, nebo jakéhokoli jiného typu malware. Porovnávat v jednom rozdělení, či grafu spyware s trojským koněm, nebo adware s virusem je pak jako srovnávat hrušky a jablka. 27

Trendem dnešní doby je stírání hranic mezi typy malware dle účelu. Často se například setkáme s trojským koněm, který je zároveň nositelem spyware i adware, nebo s virem který obsahuje jak backdoor, tak rootkit aplikace. Při dělení malwaru jsem ke každému typu opět přiřazoval jaké aktivační nebo základní hrozby představuje. Při tom jsem došel k zajímavému poznatku, že rozdělení podle způsobu šíření nákazy určuje zpravidla aktivační hrozby. Rozdělení podle účelu pak různé hrozby základní. Např. červ představuje aktivační hrozby maškaráda a obejití řízení. Je-li tento červ současně spyware představuje základní hrozby únik informací a narušení integrity

Rozdělení malwaru podle způsobu šíření nákazy Viry

Název je odvozen od jeho podoby s biologickými viry. Stejně jako biologický vir totiž potřebuje hostitele a je schopen se rozmnožovat. Hostitelem jsou data ve formě spustitelného souboru. Tyto soubory jsou schopny samo-spuštění. K nákaze tedy stačí pouhý přenos hostitelského souboru na neinfikovaný počítač. Toho je docíleno přenosem skrz počítačovou síť, externí medium (USB disk, CD, DVD), nebo dnes nejčastěji právě skrz internet. Viry jsou využívány v rámci aktivační hrozby (obejití řízení, maškaráda).

Červy

Červ je škodlivý program schopný replikace. Bývá často zaměňován s viry. Na rozdíl od nich nepotřebuje k šíření přenos hostitelského souboru. Je schopný se sám rozmnožovat i rozesílat bez zásahu uživatele. Je schopen se například sám rozeslat do všech počítačů v síti, nebo emailem ke všem vaším kontaktům. V nakažených počítačích následně proces zopakuje, což vede k exponenciálnímu šíření nákazy. Červy jsou využívány v rámci aktivační hrozby (obejití řízení, maškaráda).

Trojské koně

Trojský kůň, často nazýván jen zkráceně trojan (z anglického trojan horse). Trojan je program, nebo datový soubor, který se tváří jako užitečný, ale místo toho je nositelem škodlivého kódu. Často je také pouze „přídavkem“ skutečně fungujících programů. Většina 28

cracků (krátkých programů umožňujících obejít licenční podmínky programů - spustit pirátské verze) jsou zároveň trojany. Na rozdíl od předchozích typů je až do okamžiku spuštění neškodný. Trojské koně jsou využívány v rámci aktivační hrozby (trojský kůň).

Rozdělení malwaru podle účelu Klasické viry

Klasické viry jsou malware s účinky virů tak, jak je známe z minulosti. Pohybují se od poměrně neškodných (zobrazování textových, či zvukových zpráv) až po ničivé (poškození programů, formátování disků). Dnes už se viry tohoto typu příliš neobjevují. Souvisí to se změnou motivací útočníků. Většina z nich nemá potřebu uživatelům škodit jen tak z principu, pokud na tom nemůžou sami vydělat. Klasické viry jsou využívány v rámci základní hrozby (narušení integrity, potlačení služby).

Adware

Adware je označení pro aplikace obtěžující uživatele reklamou. Reklama pak může nabývat různých podob – od klasických bannerů, přes automatickou změnu domovské stránky v prohlížeči (adware měnící domovskou stránku bývá označován také jako Hijacker ), až po velmi nepříjemná vyskakující pop-up okna. Často bývají také součástí freeware programů. V tom případě se vlastně nejedná o malware, ale o jakýsi druh poplatku za používání programu. Podobně jako například reklamy ve veřejnoprávní televizi. Adware je využíván v rámci základní hrozby (narušení integrity, potlačení služby).

Spyware

Spyware je program, který využívá internet k odesílání dat z počítače bez vědomí jeho uživatele. Odesílaná data nabývají většinou podoby navštívených webových stránek, seznamu nainstalovaných programů a jiných hodnotných dat. Statistická data jsou následně využita v přímém marketingu. Obzvláště nebezpečným typem spywaru jsou tzv. keyloggery – programy, které zaznamenávají všechna stisknutí kláves na počítači a ukládají je do textového souboru. Tyto soubory jsou pak obvykle využívány pro krádež citlivých přihlašovacích údajů, 29

čísel kreditních karet a hesel. Keyloggery se občas také využívají ve firmách k měření výkonnosti zaměstnanců. Spyware bývá podobně jako adware součástí freeware a shareware programů, do kterých je úmyslně vložen. Přítomnost spywaru v těchto programech bývá dokonce zmíněna v licenční smlouvě – samozřejmě zamaskována a miniaturním písmem, tak aby si toho běžný uživatel nevšiml. Spyware je využíván v rámci základní hrozby (narušení integrity, únik informace).

Rootkit

Rootkit je program využívaný v kombinaci s dalšími typy malware. Jeho účelem je zamaskovat přítomnost ostatních škodlivých programů i sebe sama. Programy jsou maskovány tak aby se nedaly objevit běžnými uživatelskými prostředky. Maskované soubory jsou přesouvány do skrytých adresářů a mazány ze seznamu běžících procesů. Propracované rootkity dokážou pak svou přítomnost zamaskovat i před některými antiviry, zvláště pak pokud byli na počítači spuštěny již před instalací antiviru. Dříve byly rootkity používány výhradně pro operační systém unix. Dnes už ale existují rootkity pro všechny operační systémy. Rootkit je využíván v rámci základní hrozby (narušení integrity).

Backdoor

Backdoor je aplikace typu klient-server, která umožňuje útočníkovi převzít vzdáleně kontrolu nad infikovaným systémem. Počítač se pak většinou stane součástí botnetu a je dále využíván v kriminální činnosti. Více se dovíte v kapitole 4.3 o botnetech. Backdoor je využíván v rámci aktivační hrozby (zadní vrátka) a také základní hrozby (narušení integrity, nelegitimní použití).

Dialery

Dialery vznikly v době, kdy bylo k připojení k internetu nejčastěji využívané vytáčené připojení (modem). Cílem dealerů je donutit uživatele, aby k připojení použil telefonní linky se speciálním (obvykle přemrštěným) cenovým tarifem. Program přesměruje připojení na placená internetová telefonní připojení. Uživatel tak platí jak svému internetovému

30

providerovi, tak nějaké další firmě. Uživatel se pak často o existenci dialeru dozvěděl, až když mu přišel statisícový účet za telefon. V dnešní době již, z důvodu ústupu od používání modemového připojení, dialery nepředstavují takovou hrozbu. Širokopásmová připojení (ASDL/Wi-Fi) k připojení vytáčení nepoužívá a je tak vůči dialerům imunní. V zemích, kde se telefonní připojení stále používá, ale představují dialery stále jedno z nejzávažnějších rizik. Prostředek je využíván v rámci základní hrozby (narušení integrity).

Scareware

Za scareware je označován software tvářící se jako funkční antivir, či jiný bezpečnostní software. Je tedy vlastně rafinovaným typem trojského koně. Po nainstalování nahlásí výskyt neexistujícího viru, jehož odstranění je podmíněno koupí „plné verze“ programu. Stránky scarewaru většinou vypadají profesionálně, k nerozeznání od podobných stránek skutečných bezpečnostních programů. Spolu s instalací scarewaru si uživatel často nainstaluje i další malware, který zpomaluje běh počítače a činí tak nákazu věrohodnější. Prostředek je využíván v rámci základní hrozby (narušení integrity).

4.1.2 HACKERSKÉ PROGRAMOVÉ NÁSTROJE A HROZBY V Tabulce 6 jsou shrnuty hrozby, které představují hackerské programové nástroje vzhledem k bezpečnosti informací. “X“ znamená, že útok představuje danou hrozbu. “(X)“ znamená, že může, ale nemusí představovat příslušnou hrozbu. Z tabulky můžeme vypozorovat, že jediná hrozba společná pro všechen malware je narušení integrity. Tou je totiž už samotná existence nechtěného souboru v systému. Všechny ostatní hrozby jsou závislé na konkrétním typu malware.

31

Metody Prolamovače Nástroje Hrozby

hesel

Exploity

Malware

průzkumu sítě

Základní hrozby Potlačení služby

X

-

-

(X)

Únik informací

X

X

-

(X)

Narušení integrity

X

-

X

X

Nelegitimní použití

X

-

-

(X)

Trojský kůň

-

-

-

(X)

Analýza provozu

-

X

-

-

Zadní vrátka

-

-

-

(X)

Maškaráda

X

-

-

(X)

Obejití řízení

X

-

X

(X)

Aktivační hrozby

Tabulka 6 – hrozby vyvolané programovými nástroji – autor práce

4.1.3 PROTIOPATŘENÍ V této kapitole se podrobněji podíváme na možnosti obrany koncového uživatele proti hackerským programovým nástrojům.

Obrana proti prolomení hesla Obranou je jednoduše zadat dostatečně složité a dlouhé heslo. Prolomení šestimístného hesla tvořeného pouze čísly trvá na průměrně výkonném počítači pouze několik minut. Zato prolomení desítimístného hesla tvořeného nejen čísly, ale i velkými a malými znaky, trvá celých 5 let [7]. Vhodné je také zvolit jako heslo zcela náhodnou posloupnost znaků. Nepoužívat konkrétní slova. Tím znemožníme použití prolamovače hesel fungujícího na slovníkovém základu.

32

Obrana proti exploitům Z hlediska koncového uživatele se lze proti zneužití exploitu bránit několika způsoby

Updatovat aplikace - U dobrých aplikací obvykle trvá jen několik dnů, než se na bezpečnostní díru přijde a vydá se na ni oprava. Včasné updatování používaných internetových aplikací je tak pro zabezpečení rozhodujícím opatřením. Nejdůležitější aplikací je internetový prohlížeč. Na Obrázku 6 je vidět průměrná doba vývoje záplaty bezpečnostní díry u jednotlivých prohlížečů.

Obrázek 6 - Průměrná doba vývoje záplaty, zdroj – [8]

Používat správné aplikace – Hackeři se rádi zaměřují na oblíbené a špatně napsané programy. Je proto důležité sledovat bezpečnostní trendy a používat jen bezpečné aplikace. V rámci internetových prohlížečů se nedoporučuje používat Internet Explorer, protože je nejčastěji používaným (viz kapitola 3.3.1) a z toho důvodu i nejčastěji napadaným prohlížečem. Tato rada se dostává lidem pomalu do podvědomí

33

a hackeři se tak začínají přeorientovávat i na ostatní prohlížeče. To je vidět z obrázku 7, který ukazuje počet nových bezpečnostních děr objevených v letech 2007 a 2008.

Obrázek 7 - Počet nově objevených bezpečnostních děr, zdroj – [8]

Vyhýbat se rizikovým datům – Zneužití bezpečnostní díry dochází obvykle při otevření datového souboru, který obsahuje kód zneužívající bezpečnostní díru. Je tedy vhodné omezit stahování souborů z neověřených zdrojů na nejmenší možnou míru. S tím souvisí vyhnutí se rizikovým internetovým stránkám. Webová stránka totiž není nic jiného, než datový soubor formátu HTML16 otvíraný internetovým prohlížečem. Rizikové stránky jsou zejména stránky s warez17 a pornografickou tématikou. Tato rada bohužel nefunguje na 100 %. Existují techniky jako například SQL injection, které umožní hackerovi vložit kód i do stránek zcela legitimních společností.

16 17

HyperText Markup Language – programovací jazyk, který umožňuje publikaci dokumentů na internetu autorská díla, se kterými je nakládáno v rozporu s autorským právem, např. pirátské kopie filmů a software

34

Obrana proti malware Základem obrany proti malware je použití kvalitního antivirového software a firewallu. Antivirový software je software zaměřený, jak už název napovídá, na detekci a odstraňování virů18. Obsahuje rozsáhlou databázi virů, s kterou porovnává jednotlivá data na počítači. Vzhledem k rychlosti tvorby nového malware je potřeba virovou databázi často updatovat. Kromě kompletního zkontrolování systému jsou moderní antiviry schopny kontrolovat i veškeré soubory, s kterými uživatel aktuálně pracuje. Firewall je program, který kontroluje veškerou síťovou komunikaci. Zjednodušeně řečeno upozorňuje na veškerou příchozí i odchozí komunikaci programů. Dokáže např. zaznamenat pokus o odeslání dat spywarem útočníkovi. Komunikaci pak blokuje, dokud ji uživatel sám nepovolí. Antiviry, ani firewally ale nepředstavují stoprocentní obranu. Spolu s jejich používáním je potřeba vyhýbat se situacím vedoucím k styku s malwarem, to jest dodržovat výše uvedená pravidla pro obranu proti explitům a nestahovat datové soubory z neznámých emailových zpráv.

4.2 SPAM Lze najít mnoho definic spamu.

„Pod pojmem spamming se rozumí zasílání nevyžádané elektronické pošty obvykle s reklamním obsahem.“ [7]

„Spam je nevyžádaný email. Jedná se o hromadně rozesílanou zprávu, která vám nabízí něco, co nechcete.“ [12]

„Spam je nevyžádané sdělení, masově se šířící, a to nejčastěji pomocí internetu.“ [13]

Základ definice je u všech stejný. Spam bych obecně definoval jako hromadný nevyžádaný email. Důležité je, že musí být zároveň hromadný i nevyžádaný. Seriózní nabídka zaměstnání od neznámého subjektu může být příkladem nevyžádaného emailu, který není spam.

18

viry je v tomto případě myšlen veškerý malware, navzdory názvu se antiviry nezaměřují jen na malware virového typu

35

Klasickým příkladem hromadného emailu, který není spam, je zasílání novinek od společností, u kterých jsme nějakým způsobem zapsaní.19

Historie spamu První doložená masově rozšířená zpráva byla poslána 3. května roku 1978. Spam už je tu s námi tedy více než 30 let, ačkoli v té době se ani zdaleka nejednalo o spam, tak jak ho známe dnes. Ve výše uvedený den se zaměstnanec společnosti Digital Equipment Corporation pokusil rozeslat zprávy na všechny adresy Arpanetu (síť, která dala základ dnešnímu internetu). Vzhledem k omezeným hardwarovým zdrojům tehdejší výpočetní techniky byla nakonec oslovena jen menší část adres, než bylo původně v plánu. Další významný spam proběhl až o 8 let později, v roce 1986. Jistý student, Dave Rhodes, napsal zprávy do několika diskusních skupin Usenetu.20 Všechny zprávy měli jednotný předmět „Vydělej rychle peníze“. Samotný obsah pak nebyl nic jiného, než jen přepsaný text různých čínských modliteb štěstí. Nápadu se chytli další lidé a zpráva se začala šířit ve velkém. Dalším důležitým spamerem byl jistý Clarence L. Thomas IV, který se v roce 1994 stal se prvním hromadným rozesílatelem zpráv na Usenetu. Kudy prošel, tam zanechával zprávu „Globální varování pro každého: Ježíš brzy přijde“. Stále byl však hlavním důvodem jen žert a ne poškození uživatelů. V ten samý rok (1994) se poprvé objevil spam, tak jak ho známe. Právníci Cantor a Siegel společnými silami rozeslal inzerát do šesti tisíc diskusních skupin. Tím se nesmazatelně zapsali mezi jedny z nenáviděnějších lidí v historii internetu. Spam se následně rozjel ve velké míře a jeho množství rok od roku roste. Samotný pojem spam je vlastně zkratkou z angličtiny. V originále znamená SPiced hAM ( kořeněná šunka). Do spojitosti s hromadnými zprávami se dostala díky legendárnímu skeči komediální skupiny Monty Python Flying Circus. Ve skeči je restaurace, v které každé jídlo obsahuje trochu spamu. Ať si chtějí dát hosté cokoli, vždy se v jídle aspoň troška spamu najde.

Objem spamu Dle nejnovější studie Microsoftu tvoří nevyžádaná pošta neuvěřitelných 97 % z celkového objemu internetové korespondence [17]. Objem spamu se rok od roku zvyšuje a zatím nic 19

viz § 7 odst. 3 zákon č. 480/2004 Sb. o některých službách informační společnosti Usenet je síť, která slouží k diskuzím na různá, převážně odborná a společenská témata. V dnešní době se už příliš nepoužívá. 20

36

nenasvědčuje, že by se to mělo v nejbližší době zastavit. Níže uvedená tabulka uvádí celkový odhadovaný celosvětový příjem spamu v miliardách za den. Všimněme si, že růst je takřka exponenciální. Růst spamu souvisí zejména s rozvojem IT. Díky výkonnějším počítačům a rychlejšímu připojení mohou dnes spameři rozesílat množství spamu o kterém se jim před několika lety ani nesnilo.

Rok SPAM

2002

2004

2005

2006

2007

2008

2.4

11

30

55

100

200

Tabulka 7 – celosvětový denní příjem spamu v miliardách, zdroj - [18] a [19] Jedním z hlavních důvodů extrémního rozšíření spamu jsou jeho nízké náklady. Na rozdíl od jiných marketingových technik (např. podomní rozesílání letáků) jsou jeho náklady takřka nulové. Díky nízkým nákladům pak nevadí ani jeho nízká úspěšnost. Spam bude útočníkům ekonomicky vyhovovat, i když splní účel jen u jedné oběti ze sta tisíc. V klasickém podnikání s takovou úspěšností nelze přežít. Spam lze tedy vlastně považovat za určitý paradox.

Růst spamu potvrdil i experiment společnosti McAfee [20]. Padesát dobrovolníků z celého světa (různých národností, zvyků, věků, odlišné úrovně počítačové gramotnosti, rozličných profesí atd.) měsíc používalo zcela nechráněný (leč zabezpečený) počítač, přičemž se měli chovat stejně jako za normálních okolností. Vlivem absence jakýchkoli bezpečnostních mechanizmů každý z nich dostal v průměru 2 100 spamových e-mailů (cca 70 denně – muži 76,6 a ženy 60,6 spamu – evidentně si muži více libují v návštěvách „rizikových“ stránek). Mnoho nechráněných počítačů se postupně velmi citelně zpomalovalo tím, jak se na ně instalovaly různé škodlivé kódy a jak je útočníci zneužívali.

4.2.1 KLASIFIKACE SPAMU Podle odesilatele a účelu můžeme rozdělit spam do 4 základních kategorií [21]. První dvě kategorie jsou příkladem komerčního spamu. Nejsou ani tak útokem, jako příkladem nevhodné a otravné reklamy.

37

1. Nevyžádaná obchodní elektronická pošta (UCE - Unsolicited Commercial Email): Druh spamu zasílaný skutečnými firmami, které se snaží oslovit stávající, nebo potencionální zákazníky. Emaily bývají zdvořilé a dodržují jistou úroveň etiky. Nenabádají například k přeposílání emailu. Pravé UCE se objevuje velmi zřídka. Pouze 0,1 % spamu je pravé UCE.

2. Neodpovídající obchodní elektronická pošta ( NCE – Non-responsive Commercial Email) NCE zasílají skutečné firmy, které se snaží oslovit stávající zákazníky i poté co je zákazník požádal o ukončení. Po obsahové stránce je stejná jako UCE. Hlavní rozdíly mezi UCE a NCE jsou:

1.

První kontakt je ze strany uživatele (firma neoslovuje náhodné e-mailové adresy)

2. Firma oslovuje uživatele i poté co ji vysloveně požádal, aby posílání emailu zanechala.

3. Producenti seznamů Tento spam vytvářejí spamerské skupiny, které vydělávají peníze vytvářením seznamů emailových adres a jejich následným komerčním využitím. Seznamy prodávají jiným spamerským skupinám, nebo marketingovým agenturám. Běžnou metodou je posílání mailů na náhodné adresy a následné zařazení do tří skupin.

1. Vrácený email – mail je nefunkční 2. Email bez odpovědi – pravděpodobně funkční 3. Email s odpovědí – určitě funkční

4. Podvodné emaily Nejrozšířenější a zároveň nejnebezpečnější kategorie spamu. Podvodných emailů existuje několik různých typů. Jejich společným znakem je využívání sociotechniky k manipulaci uživatele. Patří k nim především neseriózní obchodní elektronická pošta, e-maily obsahující malware, řetězové emaily a hoax, loterie, SCAM 419 a phishing.

Neseriózní obchodní elektronická pošta Je pomyslným přechodem mezi komerčním spamem a čistým podvodem. Tyto spamy nabízejí nefunkční, či pochybné výrobky. Patří sem všechny ty nabídky rolexek, 38

viagry a magických pilulek na zvětšení penisu. Nejsou úplným podvodem, protože případným kupcům daný výrobek obvykle skutečně přijde. Ale kvalita jaksi není taková, jaká byla slibována.

E-maily obsahující malware Většinou obsahují spustitelnou přílohu se škodlivým kódem. Uživatel je manipulován k spuštění této přílohy, což vede k infikování počítače malwarem.

Řetězové emaily a hoax Řetězové emaily jsou netradičním typem spamu. Na rozdíl od klasického spamu se nerozesílají ve velkém z výkonných serverů a botnetů, ale šíří se sami skrz ochotné uživatele. Jejich společným znakem je výzva k rozeslání co nejvíce dalším lidem. Toto rozeslání se často snaží podpořit lidskou pověrčivostí. Uživateli, který email pošle alespoň dalším 10 lidem je slíbena životní láska a věčné štěstí. Naopak nešťastníkovi, který mail nepřepošle nikomu, je vyhrožováno nekonečnou smůlou. Obsah řetězových emailů se kus od kusu liší. Někdy se jedná o vtipy, informační maily, nebo zábavné prezentace. Speciálním typem řetězových emailu jsou pak poplašné maily, neboli hoaxy. Dle [22] lze za hoax označit „šířenou zprávu, která obsahuje nepřesné, zkreslující informace, účelově upravené polopravdy, nebo směsku polopravd a lží .“ Klasickými příklady hoaxů jsou varování před smyšlenými viry, falešné prosby o pomoc, fámy o komunikačních zařízeních (mobilních telefonech, ICQ atd.) a smyšlené petice. Nebezpečí hoaxu a řetězových emailů je kromě obtěžování příjemce a zatěžování serverů, které má společné s klasickým spamem, zejména vyzrazení důvěrných informací. Přeposláním emailu se vystavujete nebezpečí, že se vaše emailová adresa snáze dostane do nepovolených rukou spamerů, kteří ji využijí pro tvorbu svých emailových seznamů. Nebezpečím navíc nevystavujete jen sebe, ale i e-mailové adresy vašich známých, kterým mail přepošlete. Nejčastějším způsobem přeposílání je totiž klasické přeposílání, které ve zprávě uchovává hlavičku mailu s adresami, kterým byl mail poslán. Nejnebezpečnějším jsou v tomto směru právě petiční hoaxy, které z uživatele pod záminkou dobré věci vylákávají i další údaje jako jméno, adresu a telefonní číslo. S rozesíláním řetězových emailů je také spojena ztráta důvěryhodnosti. Pokud svému zákazníkovi pošlete hromadný email, či hoax tak vám to na prestiži zcela jistě nepřidá. 39

Loterie Uživateli dojde e-mail informující ho o výhře pohádkové, šesti i vícemístné, sumy. Email zpravidla obsahuje gratulaci a vyzvání ke kontaktu manažera loterie. K podvodu bývají využívána jména skutečných loterijních organizací. Pokud se uživatel o svou „výhru“ přihlásí, je požádán o zaplacení manipulačního poplatku souvisejícího s vypsáním výhry. Výška poplatku se pohybuje mezi 1000$ až 5000$ [23], což je oproti obrovské výhře samozřejmě zanedbatelná částka. Pokud zaplatí, je požádán o další a další poplatky, tak dlouho, dokud je ochoten platit. Slibovanou výhru, ale výherce pochopitelně nikdy neuvidí. Další možnou variantou této techniky je zneužití placených linek. Podvedený výherce je nucen z důvodu získání kontaktních údajů zavolat na linku se speciálním tarifem. Podobně jako phishing využívá k rozesílání emailů spamu.

SCAM 419 Bývá také označován jako nigerijské dopisy. Název je odvozen od sekce 419 nigerijského zákoníku [23], který se tímto způsobem podvodu zabývá. Jedná se o poměrně starý typ podvodu, dříve k němu byly využívány klasické dopisy, telefony a faxy. Podvodník pošle uživateli e-mail, v kterém se představí zpravidla jako dědic, či správce velké finanční sumy v Nigérii, nebo jiné exotické zemi. Příjemci je nabídnut procentuální podíl z celkové částky, pokud pomůže podvodníkovi dostat majetek ze země. Následně jsou z oběti podvodu vymáhány peníze údajně nutné pro převod peněz. Častými záminkami bývá uplácení úředníků, daně a poplatky. Výdaje mu budou údajně vráceny po úspěšném převodu ze země. Stejně jako podvodné loterii jsou poplatky vymáhány tak dlouho, jak je oběť ochotná platit.

Phishing Phishing patří mezi nejrafinovanější a nejnebezpečnější podvodné techniky. Cílem phishingu je vylákat z uživatelů přihlašovací údaje k bankovním účtům. Oběti je poslán e-mail, který se tváří, že je poslán z banky oběti. Email obsahuje odkaz na falešné stránky útočníka. Ke kliknutí na odkaz je oběť motivována nějakou poplašnou zprávou, např. varováním o zablokování účtu, pokud rychle na stránkách něco nepotvrdí, nebo je naopak informována o nečekaném převodu peněz (viz Obrázek 8). Falešné stránky útočníka jsou kopií originálních stránek banky. Pokud se skrz ně oběť zaloguje, nedostane se ale do internetového bankovnictví banky, nýbrž pošle svá 40

bankovní data útočníkovi. Obdobou tohoto útoku je email, který rovnou v těle zprávy obsahuje formulář pro zalogování se. Pokud se oběť zaloguje, pošle opět data útočníkovi, ale zároveň je i přesměrována na stránku společnosti, kde se opravdu zaloguje do skutečného systému. Útok působí velmi plynule a oběť většinou nemá šanci poznat, že byla phishingu vystavena. První metoda se nazývá metodou falešné identity, druhá pak metodou přesměrování [24]. Další metodou phishingu je pharming, při které útočníci napadnou DNS server21 a přepíšou adresu. Když pak uživatel zadá do vyhledávače adresu své bankym, je přesměrován na falešné stránky. Nemá tak šanci vůbec pojmout podezření, že se stal obětí útoku.

Obrázek 8 - Příklad phishingového spamu, zdroj – [22]

21

Systém, ve kterém jsou doménová jména přiřazována k IP adresám

41

4.2.2 NOVÉ TRENDY V OBLASTI SPAMU K spamu se stále více využívá nejen email, ale i ostatní komunikační nástroje jako AIM (AOL Instant Messenger) a ICQ(I Seek You). Útoky se také zaměřují na uživatele Web 2.0 aplikací typu Myspace, nebo Facebook. Právě tyto dvě aplikace byly zneužity k spamovému útoku v srpnu 2008 [25]. K útoku byl využit červ znám pod označením W21/Koobface.worm. Červ nejprve ověřil, zda je napadený počítač členem sítě Myspace, nebo Facebook. Poté všem přátelům v kontaktním listě rozeslal spam typu „To musíte vidět!“ s odkazem na video. Odkaz pak uživatele přesměroval na falešné YouTube stránky, které požadovali pro spuštění videa stažení nové verze flashe. Místo nové verze si uživatelé infikovali počítač červem, který následně proces zopakoval. Útok byl poměrně úspěšný zejména díky podobným zprávám, které se často mezi účastníky těchto sítí navzájem posílají.

Dalším trendem je zvýšení personalizace útoků. Byl zjištěn vysoký růst útoků v jiném, než anglickém jazyku. Dosud bylo k většině útoků používáno striktně angličtiny. Případně byly využívány lehce odhalitelné automatické překladače. A nejedná se jen o jazyk. Útočníci čtou ty samé zprávy jako my uživatelé a využívají je ve svých podvodech. Právě vznik spamu přizpůsobujícího se lokaci příjemce byl asi největším „pokrokem“ v oblasti spamu v roce 2009 [26]. Spam si automaticky zjistí zeměpisnou polohu příjemce dle jeho IP adresy a změní údaje tak, aby odpovídaly jeho okolí. Spam informující o smyšlené katastrofě například změní název města na nějaké z blízkosti příjemce, což zvýší zájem o novinku a s tím související úspěšnost spamu.

4.2.3 SPAM A HROZBY Nepříjemnou schopností spamu je zatěžovat linky a servery, zabírat místo v emailové schránce a okrádat uživatele o drahocenný čas, který musí věnovat probírání mailů a třídění zrna od plev. To představuje pro IS základní hrozbu potlačení služby. Tuto hrozbu představuje veškerý spam, nehledě na typ. Různé typy spamu pak představují různé další hrozby. To je přehledně znázorněno v tabulce 8.“X“ opět znamená, že útok představuje danou hrozbu. “(X)“ znamená, že může, ale nemusí představovat příslušnou hrozbu.

42

Zvláštním případem jsou pak spamy obsahující malware, které navíc představují hrozby dané typem malware, který přenášejí. Loterie, SCAM419 a neseriózní obchodní elektronická pošta navíc představují hrozbu nejen pro bezpečnost informací, ale i pro peněženku uživatele.

Typ spamu Producenti seznamů Hrozby

Hoax Phishing

Loterie, SCAM419

Rozšiřující Ostatní malware

Základní hrozby Potlačení služby

X

X

X

X

X

X

Únik informací

X

(X)

X

X

-

-

Narušení integrity

-

-

-

-

X

-

Vyčerpání zdrojů

X

X

X

X

X

X

Analýza provozu

X

-

-

-

-

-

Indiskrece

-

(X)

X

X

-

-

Maškaráda

-

-

X

X

(X)

-

Podvržení služby

-

-

X

-

-

-

Aktivační hrozby

Tabulka 8 – hrozby pro IS vzhledem k typu spamu – autor práce

4.2.4 PROTIOPATŘENÍ PROTI SPAMU Příjmu spamu se nelze vyhnout, ale lze jeho příjem minimalizovat. Obrana proti spamu ze strany uživatele spočívá v dodržování několika jednoduchých pravidel: • Snažit se držet emailovou adresu v tajnosti – dávat ji pouze lidem a společnostem, kterým důvěřujete. Pokud po vás nějaká internetová stránka chce zadat email při registraci a vy si nejste jisti její seriózností, je lepší si na tyto účely vytvořit nový email, u kterého vám případný spam nebude vadit. • Ignorovat neznámou poštu – pokud na spam odpovíte, jediné čeho můžete dosáhnout, je potvrzení vaší adresy a následující zvýšení spamu. • Využívání dobrého mailového klienta22 podporujícího blokaci spamu – je možné si vytvářet seznamy emailových adres, které vám bude klient automaticky blokovat, nebo naopak nastavit přijímání emailu pouze ze seznamu povolených adres.

22

program využívaný pro správu emailů

43

• Jednoduše používat rozum – nevěřit všemu, co vám do e-mailové schránky přijde a rozmyslet se, než na nějaký mail odepíšete, nebo otevřete přílohu.

4.3 BOTNET

Pokud zařadíte adresu odesilatele spamu do seznamu nevyžádané pošty, zajistíte si tím automatické odmítnutí každého dalšího spamu poslaného z této adresy. Jestliže vám však útočník pošle z jednoho počítače spam pouze jednou, tak vám toto opatření vůbec nepomůže. Útočníci jsou si toho vědomi a proto se snaží vytvořit síť počítačů. Takové síti říkáme botnet.

4.3.1 PRINCIP BOTNETU Botnet je síť počítačů nakažených tzv. backdoorovým malwarem, který je umožňuje na dálku ovládat. Nakažené počítače bývají také označovány jako zombie23 počítače. Majitel takového nakaženého počítače vůbec netuší, že z jeho počítače jsou rozesílány spamy na tisíce různých adres. Velikost botnetů se pohybuje od desítek po desetitisíce počítačů. Samotné vytváření botnetů je velmi výnosná činnost. Průměrná cena botnetu se pohybuje okolo 0,5$ za jeden počítač. Shadow botnet, jeden z největších botnetů, který byl vytvořen devatenáctiletým Holanďanem a skládal se z více než 100 000 počítačů, byl prodán za 36 000$ [27]. Počet botnetů se rok od roku zvyšuje. Podle studie společnosti GTISC [28] bylo v roce 2007 10 % všech počítačů připojených k internetu součástí botnetu. V roce 2008 počet stoupl na celých 15 %. Lee Wenke , vedoucí výzkumu GTISC v oblasti botnetů, odůvodňuje rychlý růst třemi faktory: •

Počítače se mohou nakazit i skrz seriózní stránky.

•

Uživatel se nemusí dopustit ničeho špatného, a přesto se nakazí. Pouhé zobrazení stránky často stačí k nainstalování backdooru a připojení počítače k botnetu.

•

23

Techniky útoků se stávají sofistikovanějšími a nenápadnějšími.

oživlá mrtvola

44

4.3.2 BOTNET A HROZBY Nejčastější využití botnetů je pro spam. Využívání botnetů je pro spamery velkou výhodou. Jednotlivé počítače nejsou tak podezřelé a je jich tolik, že jejich odfiltrování je velmi obtížně proveditelné. Podle studie o bezpečnosti zpracované společností Symantec je 80 % veškerého spamu rozesláno právě z Botnetů. To můžeme vidět na grafu na obrázku 9. Podle studie Panda Labs z roku 2008 je k tomuto účelu každý den využíváno 10 miliónů počítačů [29].

Obrázek 9 - Objem spamu rozeslaný z botnetů, zdroj – [8]

Tato studie také zjistila jeden zajímavý trend. Botnety jsou nyní využívány k rozeslání menších objemů spamu po kratší dobu. Dosud platilo pravidlo, že útočníci využívali napadené počítače „na plnou rychlost“, tedy s cílem rozesílat z počítače co nejvíce spamu tak dlouho, než bude adresa blokována, nebo dokud na to uživatel nepřijde a nevyřadí počítač z botnetu. Spameři ale přišli na to, že pravděpodobnost, že někdo na nezabezpečeném počítači škodlivý kód odstraní je poměrně malá. Vyplatí se jim tedy více na sebe příliš neupozorňovat, což jim umožní zombie počítač využívat po mnohem delší dobu.

45

Dalším typickým použitím jsou DoS útoky (Denial of Service), neboli útoky na dostupnost služeb. Botnet se zaměří na vytipovaný server, který následně zahltí tolika požadavky, že se buď zhroutí, nebo zpomalí natolik, že je pro uživatele prakticky nedostupný. Takový útok je nebezpečný zejména pro společnosti, které generují profit převážně z internetové činnosti, jako například internetové obchody, nebo velké zpravodajské servery. DoS útoky jsou prováděny buď na objednávku od konkurenční společnosti, nebo za účelem vydírání. Právě tento typ útoku se považuje na poli internetové kriminality za nejvýnosnější. Pro společnost je často méně nákladné zaplatit výkupné, než útoku čelit a riskovat ztrátu dostupnosti a s tím spojených zákazníků. Nejznámější obětí takových vyděračů se stal student Alex Tew, provozovatel stránky Milion Dollar Page. Internetová komunita ho ale podržela a pomohla mu tak, že nemusel zaplatit ani cent [30].

Netradičním využitím botnetu je zneužití tzv. Pay per Click reklamy. Reklama, která je placená fixní platbou za každé kliknutí na reklamní banner. Počítačům, které jsou součástí botnetu, je zadán příkaz klikat na takové bannery, čímž generují majitelům banneru nemalé zisky. Díky flexibilitě botnetu lze počítačům nastavit prodlevy mezi klikáním a omezený počet kliknutí z jednoho počítače. To činí podvod méně nápadným.

4.3.3 PROTIOPATŘENÍ Z pohledu koncového uživatele nepředstavují botnety přímé nebezpečí. DoS útoky se zaměřují na velké organizace a ne na počítače jednotlivců. Není tedy třeba se bránit proti nim, ale bránit se tomu, aby se váš počítač nestal součástí botnetu [35]. Obrana je v tomto případě stejná, jako proti malware. Instalace kvalitního antiviru, firewallu a vyhýbání se rizikovým stránkám a datům.

46

5 PROVÁZANOST ZÁKLADNÍCH METOD A PŘÍKLAD JEJICH UŽITÍ ÚTOČNÍKY V této kapitole jsem původně chtěl porovnávat výše popsané útoky z hlediska rizika pro koncového uživatele. Během psaní jsem od toho ale upustil. K tomu mě vedlo několik důvodů. Ze struktury útoku (vzpomeňme si na Obrázek 2 - analýzu rizik) totiž vyplývá, že nelze obecně určit, jaká metoda je nebezpečnější při srovnání s jinou. Riziko není závislé jen na nástrojích a technikách používaných útočníky, ale také na hodnotě aktiv, která ohrožují. Zejména pak na hodnotě, kterou aktivu přisuzuje uživatel. Phishing například představuje velké riziko pro uživatele, kteří používají internetové bankovnictví. Pro někoho, kdo internetové bankovnictví nevyužívá, je ale zcela neškodný. Ztráta času způsobená spamem může mít jiný význam pro někoho se spoustou volného času a jiný význam pro manažera pracujícího 60 hodin týdně. Každý uživatel sám za sebe musí vyhodnotit, jaké riziko pro něj útoky představují a kolik úsilí bude věnovat obraně proti nim. Dalším důvodem, proč nemá cenu porovnávat jednotlivé metody útoků, je jejich provázanost. Nástroje útočníků jsou jako orgány lidského těla. Každý má svoji samostatnou funkci, ale zároveň se navzájem podporují a jeden se bez druhého obejde jen stěží. Podívejme se na Obrázek 10 a uvažujme. Malware je nejvíce šířen spamem. Spam tedy označíme za nejnebezpečnější nástroj útočníků. Většina spamových útoků je ale rozesílána z botnetů. Nebýt botnetů bude spamových útoků podstatně méně. Je tedy nebezpečnějším nástrojem spam, nebo botnety, které se nejvíce podílejí na jeho vzniku? Ale botnety by nikdy nevznikly, nebýt malware, který udělá z jednotlivých počítačů zombie. Je to tedy malware, který to všechno způsobuje? Ale k šíření malware se využívá především spamu. Kruh na obrázku 10 se uzavřel.

47

BOTNET

MALWARE

SPAM

Obrázek 10 - Provázanost metod útočníků, zdroj – autor práce

Na závěr popíšu příklad internetového útoku. Chtěl bych na něm znovu poukázat na zmiňovanou provázanost jednotlivých nástrojů a zejména pak komplexnost internetové kriminality. Útok je zobrazen na Obrázku 11. Skupina kriminálníků znázorněna na obrázku jako Fig. 1, se rozhodne vydělat nějaké peníze internetovými útoky. Nejprve na černém trhu (Fig. 2) zakoupí malware – spyware typu trojský kůň, sloužící ke kradení citlivých informací o bankovních účtech a pronajme si botnet. Botnet následně využije ke spamovému útoku, pomocí kterého rozšíří spyware mezi uživatele po celém světě (Fig. 3). Získané údaje k bankovním účtům ale nevyužijí ke krádeži peněz uživatelů, jak by se dalo předpokládat. Místo toho je prodají na černém trhu (Fig. 4). Ani kupci dat je ale nevyužijí na přímou krádež peněz. Pokud by si jednoduše připsali peníze z kradeného účtu na svůj vlastní, měli by policii za dveřmi, jen co by oběť přišla na to, že jí peníze schází. Místo toho peníze vyperou skrz tzv. muly (Fig. 5). Po nahlášení krádeže policii (Fig. 6) jsou to právě muly, ke komu vedou stopy z kradených účtů.

48

Obrázek 11 - Příklad kybernetického zločinu – zdroj [29] Muly jsou lidé, kterým jsou poslány peníze z kradených účtů, aby je následně přeposlali na účet útočníka. K přeposlání jsou nuceny využít nějakou anonymní platební službu (např. PayPal). Výše peněžních částek, přeposílaných mulám je poměrně nízká, průměrně 400$5000$. Důvodem je obcházení limitu finančních transakcí. Na vykradení jednoho účtu se tak podílejí desítky až stovky mul. Muly má na starosti obvykle jeden člen ze skupiny útočníků, kterému se říká jezdec na mulách. Jezdec na mule pak s mulou těsně spolupracuje a oznamuje, kdy mu budou převedeny peníze na účet. Po obdržení peněz je mula vystavena tlaku na co nejrychlejší přeposlání peněz dál. Za transakci dostanou muly odměnu v řádu jednotek procent z přeposlané částky. Obvykle se pohybuje okolo 3-10 %. Samotné muly často vůbec netuší, že se účastní kriminální činnosti. Jsou nevinnými oběťmi, které se jen snaží přivydělat si trochu peněz. Muly získává jezdec pomocí falešných stránek, na kterých nabízí velmi výnosnou práci z domova týkající se transakcí peněz. Jen ve Velké Británii bylo v první polovině loňského roku odhaleno téměř tisíc webů a inzerátů, které nabízeli takovou „práci“ [25]. Stránky jsou opět profesionálně udělané a na první pohled vypadají jako stránky seriózní firmy. Útočníci dokonce často investují nemalé peníze, aby si zajistili přední pozice 49

ve vyhledávačích. Jediné, co zaměstnanec potřebuje, je účet u dané banky a komunikační prostředek typu ICQ. Nevědomost mul ale nic nemění na skutečnosti, že pracují nezákonně a často jsou za své jednání voláni k odpovědnosti.

6 ZÁVĚR Romantická představa o hackerech, nabourávajících se do systémů pouze za účelem vyzkoušení vlastních dovedností a získání informací, zatajovaných mocnými korporacemi, už dávno neplatí (pokud vůbec někdy platila). Současná internetová kriminalita je byznys. Velmi výnosný byznys, který může ohrozit každého z nás a jehož rozsah dramaticky roste. Neznalost a podceňování bezpečnostních opatření ze strany koncového uživatele usnadňuje útočníkům práci a zvyšuje riziko vzniku škod v napadených počítačích. Tato práce by měla koncovému uživateli internetu pomoci orientovat se v obsáhlé problematice internetových útoků.

Hlavní přínos práce je v přehledném seskupení nejdůležitějších metod útočníků. Čtenář se dozví všechny základní informace z jednoho zdroje a nemusí prohledávat desítky knížek a internetových stránek. Dalším přínosem je zařazení jednotlivých metod útočníků do kontextu bezpečnosti informací. Práce se tím stává zajímavou nejen z praktického, ale i teoretického hlediska.

V první polovině práce jsou popsány základy bezpečnosti informací, která stojí na zachování důvěrnosti, integrity a dostupnosti. Jsou vymezeny pojmy aktiva, hrozby, zranitelnosti a protiopatření. Na konci kapitoly o zranitelnostech je čtenář obeznámen s termínem sociotechniky, jakožto techniky pro využití zranitelnosti lidského faktoru. V druhé polovině práce jsou pak popsány základní metody útočníků a vztahy mezi nimi.

Nabízí se hned několik námětů na rozšíření či pokračování této práce. Jednotlivým metodám útočníků by mohly být věnovány samostatné monografie. Dále by bylo možné rozpracovat obranu proti nim. Zajímavé by bylo porovnat různé softwarové nástroje sloužící k obraně proti útokům. Dalším směrem by mohlo být zaměření na útočníky, strukturu kriminálních organizací a ekonomii internetového černého trhu. 50

7 PUBLIKAČNÍ ZDROJE [1] Kuchař M., Bezpečná síť – Jak zajistíte bezpečnost vaší sítě, Grada Publishing, 1999, ISBN 80-7169-886-5

[2] International Standart IS/IEC 2700 [online] [cit. 19.11.2009] http://standards.iso.org/ittf/licence.html

[3] The CIA Triad [online] http://iseeker.wordpress.com/2007/08/10/the-cia-triad/

[4] Wikipedia, Information security [online] http://en.wikipedia.org/wiki/Information_security

[5] Smejkal V., Rais K., Řízení rizik ve firmách a jiných organizacích, Grada Publishing,2009 ISBN 978-80-247-3051-6

[6] Symantec report on the underground economy [online] [cit. 20.11.2009] http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_underground_economy_report_11-2008-14525717.en-us.pdf

[7] Jirovský V.,Kybernetická kriminalita – nejen o hackingu, crackingu, virech a trojských koních bez tajemství, Grada Publishing,2007 ISBN 978-80-247-1561-2

[8] Symantec Global Internet Security Threat Report - Trends for 2008 [online] [cit. 20.11.2009] http://eval.symantec.com/mktginfo/enterprise/white_papers/bwhitepaper_internet_security_threat_report_xiii_04-2008.en-us.pdf

[9] Browser Market Share [online] http://marketshare.hitslink.com/browser-marketshare.aspx?qprid=0&qpmr=100&qpdt=1&qpct=3&qptimeframe=Y&qpsp=2008&qpnp=2

[10] Kevin D.Mitnick, The Art of Deception - Controlling the Human Element of Security Wiley,2002 ISBN 978-0471237129

51

[11] Raman. K. Ask and You Will Receive [online] [cit. 20.11.2009] [cit. 21.11.2009] http://www.mcafee.com/us/local_content/misc/threat_center/msj_ask_and_you_will_receive. pdf

[12] Střihavka.M, Bezpečnost a anonymita na internetu, Computer Press,2001,ISBN 80-7226586-5

[13] Internetová stránka nejen o virech[online] http://www.viry.cz

[14] What is the difference between viruses, worms, and Trojans? [online] http://service1.symantec.com/support/nav.nsf/docid/1999041209131106

[15] The Difference Between a Computer Virus, Worm and Trojan Horse [online] http://www.webopedia.com/didyouknow/Internet/2004/virus.asp

[16]Wikipedia, Malware http://en.wikipedia.org/wiki/Malware [cit. 21.11.2009]

[17] Darren Waters, Spam overwhelms e-mail messages [online] http://news.bbc.co.uk/2/hi/technology/7988579.stm

[18] Spam Peaked at 200 Billion per Day in 2008, Botnets Nexus of Criminal Activity, Says Cisco [online] http://www.circleid.com/posts/20081217_spam_200_billion_per_day_2008_cisco/

[19] Wikipedia, Spam(electronic) [online] [cit. 21.11.2009] http://en.wikipedia.org/wiki/Spam_(electronic)

[20] McAfee Global S.P.A.M. Diaries [online] http://us.mcafee.com/enus/local/docs/Spam_Report_July08.pdf

[21] Kret C., Nobody´s Anonymous – Tracking Spam [online] http://www.blackhat.com/presentations/win-usa-04/bh-win-04-kret.pdf

52

[22] Co je to hoax [online] [cit. 21.11.2009] http://www.hoax.cz/hoax/co-je-to-hoax

[23] Internet Crime Schemes [online] [cit. 21.11.2009] http://www.ic3.gov/crimeschemes.aspx

[24]Lance J., Phishing bez záhad, Grada Publishing, 2007, ISBN 978-80-247-1766-1

[25] Kutálek D., Nové směry v odhalování malware , Security World 3/2009

[26] Spam data and trends: Q1 2009 [online] [cit. 21.11.2009] http://googleenterprise.blogspot.com/2009/03/spam-data-and-trends-q1-2009.html /

[27] Namestnikov Y., The economics of Botnets [online] [cit. 22.11.2009] http://www.viruslist.com/en/analysis?pubid=204792068

[28] Georgia tech, Emerging Cyber Threats Report for 2009, [online] http://www.gtisc.gatech.edu/pdf/CyberThreatsReport2009.pdf

[29] Panda Security, Annual report Pandalabs 2008 [online] [cit. 22.11.2009] http://pandalabs.pandasecurity.com/blogs/images/PandaLabs/2008/12/31/Annual_Report_Pan dalabs_2008_ENG.pdf

[30] Johnson B., Million dollar student faces web blackmail [online] [cit. 22.11.2009] http://www.guardian.co.uk/technology/2006/jan/19/hacking.security

[31]Doucek P.,Novák L.,Svatá V., Řízení bezpečnosti informací, Professional Publishing,2008, ISBN 978-80-86946-88-7

[32] Nezáleží na platformě, phishing je stejně nebezpečný pro Mac i PC [online] [cit.1.12.2009] http://www.eset.cz/phishing-apple-kradez [33] Štěpánek Z., Úvod do sociální psychologie [online] [cit.1.12.2009] http://andragogika.ff.cuni.cz/files/stepanekBC [34] Stereotypy a předsudky [online] [cit.1.12.2009] http://www.czechkid.cz/si1230.html 53

[35] Recommendations for the Protection against Distributed Denial-of-Service Attacks in the Internet [online] [cit.1.12.2009] http://www.iwar.org.uk/comsec/resources/dos/ddos_en.htm

8 SEZNAM OBRÁZKŮ A TABULEK Obrázek 1 - CIA TRIAD, zdroj – [3] ..................................................................................... 11 Obrázek 2 - Průběh analýzy rizik, zdroj – [1] ........................................................................ 12 Obrázek 3 - Vztah základních a aktivačních hrozeb, zdroj – [7] ........................................... 15 Obrázek 4 - Životní cyklus exploitu, zdroj – [7].................................................................... 19 Obrázek 5 - Výskyt nových druhů malware, zdroj – [8]........................................................ 27 Obrázek 6 - Průměrná doba vývoje záplaty, zdroj – [8] ........................................................ 33 Obrázek 7 - Počet nově objevených bezpečnostních děr, zdroj – [8] .................................... 34 Obrázek 8 - Příklad phishingového spamu, zdroj – [22]........................................................ 41 Obrázek 9 - Objem spamu rozeslaný z botnetů, zdroj – [8]................................................... 45 Obrázek 10 - Provázanost metod útočníků, zdroj – autor práce .............................................. 48 Obrázek 11 - Příklad kybernetického zločinu – zdroj [29] ...................................................... 49

Tabulka 1 – internetové stránky o internetové bezpečnosti, zdroj – autor práce ....................... 9 Tabulka 2 – příklady útoků, zdroj – autor práce ...................................................................... 13 Tabulka 3 – vzorky citlivých dat , zdroj [6]............................................................................. 14 Tabulka 4 – aktivační hrozby, zdroj – [7] ................................................................................ 16 Tabulka 5 – nejčastěji zneužívané bezpečnostní díry na internetu, zdroj [8]........................... 20 Tabulka 6 – hrozby vyvolané programovými nástroji – autor práce ....................................... 32 Tabulka 7 – celosvětový denní příjem spamu v miliardách, zdroj - [18] a [19] ...................... 37 Tabulka 8 – hrozby pro IS vzhledem k typu spamu – autor práce........................................... 43

9 TERMINOLOGICKÝ SLOVNÍK Termín Koncový uživatel Informační bezpečnost Sociotechnika

Význam [zdroj] člověk, který není odborník v oblasti počítačů, a proto je zcela správně bere pouze jako prostředek pro dosažení nějakých cílů [1]. vlastnost či kvalita informačního systému, která zajišťuje důvěrnost a integritu informací, ale i jejich dostupnost [31]. technika, která používá autority, přesvědčování a manipulaci k oklamání lidí. Sociotechnik se vydává za někoho, kým není. Jeho cílem je využít lidi k získání informací a to jak s použitím technologie tak i bez ní [10].

54