Počítačová kriminalita. Výpočetní technika I. Ing. Pavel Haluza, Ph.D. ústav informatiky PEF MENDELU v Brně

. .

Počítačová kriminalita Výpočetní technika I Ing. Pavel Haluza, Ph.D. ústav informatiky PEF MENDELU v Brně [email protected]

Přednáška 9:

Počítačová kriminalita

Porušování autorských práv

Oblasti s výskytem počítačové kriminality • Porušování autorských práv

Cracking

• Neoprávněné pronikání do zabezpečených systémů

Spam

• Přesměrování komutovaného připojení

Spyware Malware

• Obtěžování nevyžádanými zprávami

Antivirové programy

• Získávání neoprávněných informací • Napadání virovými programy, síťovými červy

a trojskými koňmi

Výpočetní technika I

Přednáška 9: Počítačová kriminalita

2 / 30

Přednáška 9:


Porušování autorských práv Druhy licencí Ochrany proti pirátství

Cracking Spam Spyware Malware Antivirové programy


Porušování autorských práv • Proč licence? — software není rohlík — software doopravdy nevlastníme — software je věčný — software používáme ve shodě s licencí • K čemu tedy slouží? — uzavírá se mezi autorem a uživatelem — autor určuje, jak nakládat s jeho dílem — omezuje určitým způsobem užití díla — chrání intelektuální vlastnictví autora — chrání vydavatele softwaru


3 / 30

Přednáška 9:



Druhy licencí k softwarovým produktům • BSD licence (Berkeley Software Distribution) –

Druhy licencí Ochrany proti pirátství

Cracking Spam Spyware

•

Malware Antivirové programy

• • •


umožňuje volné použití daného softwaru i použití některých komponent v jiném i komerčně šířeném softwaru s podmínkou uvedení jmen autorů Cardware (postcardware) – volné použití díla s podmínkou, že uživatel pošle pohlednici Demo – omezená verze obvykle komerčního softwaru šířená bezplatně jako ukázka funkcí plné verze Freeware – produkt šířen zdarma, autor si obvykle vyhrazuje omezení šíření na nekomerční sféru GNU General Public Licence – licence pro svobodný software, součástí jsou zdrojové kódy, které lze libovolně upravovat, další šíření povoleno jen pod licencí GNU GPL, obvykle bezplatně nebo za cenu médií a kopírovacích nákladů Přednáška 9: Počítačová kriminalita

4 / 30

Přednáška 9:



Druhy licencí k softwarovým produktům • Open Source Software – produkt dostupný i se


Cracking Spam

•

Spyware Malware Antivirové programy

•

• • Výpočetní technika I

zdrojovými kódy, uživatel může do jisté míry zdrojové kódy užívat ve svém softwaru, obvykle šířeno zdarma Public Domain – bezplatné užívání díla bez nároku na autorská práva, z pohledu českého právního systému bezúplatná licence na libovolné použití díla s předpokladem, že autor se nebude práv domáhat Shareware – produkt lze volně šířit a zdarma vyzkoušet, při používání je nutné se řídit autorovou specifikací licence (zakoupit, registrovat apod.) Trial – verze určená k vyzkoušení funkce, časově omezeno Komerční verze – koupě nebo pronájem, nelze užívat bezplatně Přednáška 9: Počítačová kriminalita

5 / 30

Přednáška 9:

Ochrany proti nelegálnímu použití SW



• Počítačová kopie je za normálních podmínek od


Cracking Spam

•


•

•

• Výpočetní technika I

originálu nerozeznatelná a má všechny vlastnosti originálu včetně kvality Registrace uživatelů a následná vzdálená kontrola licenčního čísla produktu a uživatele např. při každé aktualizaci Přístupový kód zaznamenaný na trvalou paměť, která musí být v okamžiku startu programu připojena k počítači (HW klíč) Speciální druh záznamu na distribuovaném médiu, který se při kopii nepřenese v původní podobě, nebo jej běžné kopírovací služby „nevidí“ Každé technické řešení lze obejít, jen je zapotřebí určitých znalostí, prostředků a úsilí Přednáška 9: Počítačová kriminalita

6 / 30

Přednáška 9:

Cracking



• Hacking – změna, přeprogramování nebo úprava

Cracking Formy crackingu

Spam Spyware Malware Antivirové programy

•

•

• • Výpočetní technika I

systému, kterou původní výrobce nezamýšlel, často také řešení různých chyb a nedostatků softwaru bez oficiálního zásahu do zdrojových kódu, bez úmyslu škodit nebo získávat neoprávněné výhody Cracking – nedovolené vniknutí do chráněného systému s cílem získat pro sebe nějakou neoprávněnou výhodu či poškodit majitele a legální uživatele systému Získávání údajů pomocí trojských koní, technik souvisejících s dešifrováním komunikace, odposlechem v bezdrátové síti aj. Cracker využívá bezpečnostních děr operačního systému a programů pro podporu síťového spojení Cílem útoku zpravidla finanční instituce nebo jiné subjekty disponující informacemi vysoké ceny Přednáška 9: Počítačová kriminalita

7 / 30

Přednáška 9:

Formy crackingu


Porušování autorských práv Cracking Formy crackingu


• Možnost ochrany – důsledné šifrování všech přenosů

dostatečně dlouhými hesly, monitorování veškerého provozu a činnosti uživatelů, nepoužívání bezdrátových spojení pro citlivé přenosy • Lámání hesel — hrubá síla – systematické testování všech slov nad zvolenou abecedou znaků — slovníkový útok – systematické testování všech srozumitelných a smysluplných slov daného jazyka • Čmuchání na síti (sniffing) — sledování a analýza síťového provozu v nešifrované síti — síťová karta pomocí snifferu uvedena do promiskuitního módu



8 / 30

Přednáška 9:

Formy crackingu




• DNS spoofing — překlad doménových jmen na falešné IP adresy — kanadské žertíky – přesměrování vyhledávače na pornostránky — nebezpečné případy – podvržení užitečného webového formuláře — pharming – využívá techniky podvržení DNS, těžko odhalitelné • Rhybaření (phishing) — fishing (rybaření) — phreaking (nabourávání telefonních linek) — podvodník se snaží z uživatele vylákat důvěrné informace pomocí falešné poštovní zprávy (zfalšovaný odesilatel)



9 / 30

Přednáška 9:

Formy crackingu





• Cookies — řetězec identifikující uživatele, typicky v elektronických obchodech (díky tomu není nutné přihlášení při každém kliku) — cracker, který se zmocní cookies, se může vydávat za cizího člověka a využívat jeho účet • Dialer — dříve připojení do sítě pomocí telefonní linky a modemu — telefonní poplatky účtovány za pouze místní připojení, tj. v nejlevnější hladině — dialer (z angl. dial = vytáčet číslo) přesměruje místní volání na dálkové s vyšší tarifikací — s rostoucím podílem pevných připojení klesají možnosti uplatnění dialeru Přednáška 9: Počítačová kriminalita

10 / 30

Přednáška 9:

Spam


Porušování autorských práv Cracking Spam Získání adresy Antispam

• Někdy chápáno jako zkratka z anglického jazyka — shoulder pork and ham — spiced ham — Monty Python’s Flying Circus

Spyware

• Podle jiných zdrojů název pochází ze značky amerických

Malware

konzerv lančmítu vyráběných od 30. let 20. století • Dnes pod pojmem spam rozumíme masové šíření nevyžádaného sdělení


— obchodní nabídky, nahotinky, … — tvoří odhadem asi polovinu všech zpráv — existuje i v reálné poště – reklamní letáky • Hoax – poplašná zpráva, nebezpečnější než spam,

cílem je šíření lží nebo zprávy samotné, rozesílají lidé, kteří jim uvěří Výpočetní technika I


11 / 30

Přednáška 9:





Získání e-mailové adresy • Robot — speciální program, který systematicky prohledává webové stránky a ukládá nalezené adresy — sbírá všechno, co byť i vzdáleně připomíná e-mailovou adresu (tedy vše, co obsahuje zavináč) • Obrana proti robotům — nezveřejňování e-mailové adresy na webových stránkách — uvedení adresy v „nečitelném tvaru“ — zabezpečení proti virům, které mohou vyhledávat adresy v počítači — antispamový software


12 / 30

Přednáška 9:

Antispam




• Restriktivní nastavení poštovního serveru, testování

pošty na přítomnost spamu a jeho následné filtrování • Software lze dnes pořídit zdarma, kvalitní správci e-mailových serverů již mají antispam implementován • Filtrace podle způsobu dopravy — blacklisting – seznam IP adres, které posílají spam — greylisting – první pokus o doručení je odmítnut, další pokusy jsou přijaty (robot nikdy neposílá opakovaně) • Filtrace podle obsahu dopisu — filtry založené na pravidlech – četnost slov, slovních spojení a chyb typických pro spam — filtry založené na učení – bayesovské filtry, umělá inteligence, učení individuální metodou „správně–špatně“



13 / 30

Přednáška 9:

Spyware


Porušování autorských práv Cracking Spam Spyware Šíření a obrana


• Nechtěné technologie, které se instalují bez

výslovného povolení uživatelem (špionážní software) • Technologie, které jsou implementovány tak, že nějakým způsobem poškozují uživatele — ovlivňují soukromí uživatele nebo bezpečnost systému — využívají systémových zdrojů včetně již instalovaných programů — sbírají a odesílají osobní nebo jinak citlivé informace o uživatelích • Druhy spywaru — Adware – obtěžování reklamou, obvykle v oknech — Keylogger – sledování každého zmáčknutí klávesy, zasílání informací třetím osobám — Remote Administration Tool (RAT) – umožní vzdálené ovládání napadeného stroje neoprávněnému uživateli



14 / 30

Přednáška 9:


Porušování autorských práv Cracking Spam Spyware Šíření a obrana



Šíření a obrana proti spyware • Šíření často během instalace jiného softwaru • Typicky při instalaci programů pro přehrávání,

zpracování nebo sdílení multimediálních či jiných souborů, které lze zdarma stáhnout z Internetu • Spolehlivým zdrojem spywaru jsou rizikové webové stránky (pornografie, warez) • Nástroje snažící se skrytě nainstalovat spyware však mohou být zakomponovány prakticky do jakéhokoli webu • Antispywarové služby jsou přidávány do komplexních antivirových systémů, nebo jsou realizovány jako samostatný specializovaný software


15 / 30

Přednáška 9:

Malware



• Složenina slov „malicious“ (záludný, zákeřný, lstivý)

Cracking Spam

•

Spyware Malware Počítačové viry

•

Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru

•


•


a „software“ Zahrnuje všechny typy škodlivého softwaru, zejména viry, červy a trojské koně Počátek v roce 1986, kdy se zrodil Brain (první virus pro osobní počítače IBM PC), původ v Pákistánu Viry ukrývající se před antivirovými programy (stealth), modifikující svůj vlastní kód (polymorfní viry) apod. S příchodem nových operačních systémů se objeví nové viry, které budou využívat jejich specifických vlastností


16 / 30

Přednáška 9:

Počítačový virus


Porušování autorských práv Cracking Spam Spyware Malware Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru


• Program, jehož cílem je škodit • Inteligentně naprogramován • Pracuje skrytě • S biologickým virem má společné rysy — fáze množení a napadání — fáze destrukce • Využívá nedokonalostí operačního systému a dalších

programových komponent • K šíření virů je zapotřebí „vhodné“ prostředí — počítač s operačním systémem, který virus zná — objekty, které virus dokáže napadnout a které jsou nějakým způsobem šířeny (spustitelné soubory s příponami EXE, COM, SYS, DLL, …)



17 / 30

Přednáška 9:





Typy počítačových virů • Souborové viry — přidávány ke spustitelným souborům — cílem viru je rozmnožení ihned po spuštění souboru — při spuštění napadeného souboru se nejdříve aktivuje virus, pak se teprve spustí původní program • Přepisující souborové viry — nejprimitivnější forma počítačových virů — virus přepíše původní obsah souboru sám sebou a tím jej zničí — bývají okamžitě zpozorovány, šance na šíření je téměř nulová — nemožnost spouštění napadeného programu bývá maskována chybovým hlášením • Multipartitní viry — mohou pracovat jako souborové i jako zaváděcí viry Přednáška 9: Počítačová kriminalita

18 / 30

Přednáška 9:





Typy počítačových virů • Zaváděcí (boot) viry — napadají zaváděcí sektor disku čtený po spuštění stroje — virus si zajistí spuštění ihned po startu počítače, stává se paměťově rezidentním a bez větší námahy kontroluje nejnižší úroveň diskových služeb — poškozením zaváděcího sektoru je možné například ve vteřině zničit obsah celého disku — příznakem nákazy zaváděcím virem bývá snížení dostupné systémové paměti — typickým zdrojem nákazy je „zapomenutá“ disketa v mechanice — stealth technika – maskování před antivirovým softwarem, při pokusu o čtení tabulky oblastí pevného disku (která obsahuje virový kód) je vydána falešná informace Přednáška 9: Počítačová kriminalita

19 / 30

Přednáška 9:




Typy počítačových virů • Dokumentové viry (makroviry) — napadají dokumenty kancelářského balíku, v nichž mohou být tzv. makropříkazy — první výskyt v roce 1995 – WM/Concept.A pro Word 6 — některá makra spouští Word sám, aniž by jej o to uživatel požádal — makra v Excelu nabízejí stejné možnosti jako ve Wordu, navíc možnost vkládat makra do buněk vlastního sešitu • Objevují se ale už i viry, které se pokoušejí infikovat

Java applety, případně VBScripty nebo Jscripty obsažené v HTML stránkách • Virus rozhodně nenajdeme v textových souborech (jsou přímo čitelné a kontrolovatelné člověkem a nejsou spustitelné) a obvykle ani v datových souborech (obrázky, zvuky, videa aj.) Výpočetní technika I


20 / 30

Přednáška 9:

Mýty o virech




• „Zlý virus napadá hardware“ — v dřívějších dobách v ojedinělých situacích — způsobeno konstrukční nedokonalostí technického vybavení — zničení čtecí hlavy disku, teplotní kolaps procesoru, přetížení monitoru vlivem nevhodného nastavení frekvence apod. • „Virus zaútočí z napadaného média, i když se na něj

pouze podíváme“ — aby se virus stal aktivní, musí být spuštěn, tj. procesor musí vykonat jeho instrukce — pouhým přečtením jakýchkoli dat (i virových) nelze počítač v žádném případě infikovat — totéž platí o dalších operacích využívajících čtení (kopírování ze vzdáleného počítače, tisk apod.)



21 / 30

Přednáška 9:

Počítačový červ



• Program, který je na rozdíl od běžného viru schopen

Cracking Spam Spyware

•

Malware Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem

•

Projevy viru


• • •


automatického rozesílání kopií sebe sama na jiné počítače Poté, co napadne operační systém, převezme kontrolu nad síťovou komunikací a využívá ji ke svému vlastnímu šíření Zneužívají konkrétní bezpečnostní dírky operačního systému či softwaru Nelze detekovat klasickou formou antivirového systému Vedlejším efektem činnosti červů bývá zahlcení sítě Jedním z nejznámějších červů je patrně I Love You, který zaplavil Internet v roce 2000, způsobil škody za několik desítek miliónů amerických dolarů a ochromil provoz některých internetových služeb Přednáška 9: Počítačová kriminalita

22 / 30

Přednáška 9:




Trojský kůň (trojan) • Není schopen sebereplikace a infekce souborů • Vystupuje nejčastěji jako spustitelný soubor, který

neobsahuje nic jiného než samotné tělo trojského koně, jedinou formou dezinfekce je pak smazání dotyčného souboru • Destruktivní trojani — jednoduché programy předstírající užitečnou činnost (např. antivirový program) — ve skutečnosti však mažou soubory, přepisují konfiguraci počítače nebo provádějí jiné destruktivní akce • Password-stealing trojani — hlavní funkcí je sledování jednotlivých stisků kláves, jejich ukládání a odesílání na dané e-mailové adresy — tento typ infiltrace se spíše klasifikuje jako spyware



23 / 30

Přednáška 9:




Trojský kůň (trojan) • Downloader — do PC vypouští „škodnou“, další škodlivé programy si však nenese s sebou, ale snaží se je stáhnout z Internetu z pevně definovaných URL — namísto stažení pouze jednoho dalšího kusu škodlivého softwaru stáhne downloader často hned několik programů, které ve své finální fázi způsobí téměř vyřazení počítače z činnosti • Backdoor — aplikace typu klient–server, kterou lze přirovnat ke vzdálenému terminálu — vystupuje anonymně, uživatel není schopen jeho přítomnost běžným způsobem vypozorovat • Řada moderních virů si nese trojského koně s sebou



24 / 30

Přednáška 9:




Techniky virů šířících se elektronickou poštou • Maskovací techniky – dvojitá přípona souboru – bílé znaky (odsunutí druhé přípony z obrazovky) • Zneužívání bezpečnostních děr – MS Outlook, MS Outlook Express • Aktualizace prostřednictvím Internetu – využívání sítí peer-to-peer • Likvidace antivirových programů • Falšování skutečného odesílatele (spoofing) • Ukončení vlastní činnosti – po nějaké době se virus přestane šířit a vyčkává na další „pokyny“



25 / 30

Přednáška 9:

Projevy viru





• Efekty — načasování je velmi důležité, autor se chce zviditelnit — manipulace s obrazovkou (padání písmen, různá objevná sdělení) — propagace hudebních skupin, komentáře k aktuálním politickým událostem, … — výhrůžky destrukcí disku nebo neškodné představení • Obtěžující chování — občasná záměna klávesy za sousední — hrátky se systémovým časem počítače • Krádeže — schopnost ukrást libovolné údaje z počítače a kamkoli je přenést třeba pomocí elektronické pošty • Destrukce — snaha zničit data na pevném disku Přednáška 9: Počítačová kriminalita

26 / 30

Přednáška 9:


Porušování autorských práv Cracking Spam Spyware Malware Antivirové programy Metody vyhledávání virů Prevence

Antivirový program • Software, který slouží k identifikaci a odstraňování

počítačových virů a jiného škodlivého softwaru • Techniky pro identifikaci virů — prohlížení souborů na lokálním disku, které má za cíl nalézt v databázi sekvenci odpovídající vzorku některého známého počítačového viru — detekce podezřelé aktivity počítačového programu, což může znamenat infekci • Úspěšnost závisí na schopnost antivirového programu

a zejména na aktuálnosti databáze počítačových virů, kterou si programy pravidelně stahují z Internetu



27 / 30

Přednáška 9:



Metody vyhledávání virů • Databáze vzorků (signatury) — předpoklad, že virus v sobě nese určitý jedinečný řetězec bajtů, díky kterému jej lze identifikovat — seznam všech známých signatur je uložen v databázi, kterou si antivirový program neustále aktualizuje — nový virus, pro který nebyly dosud vytvořeny signatury, nelze touto metodou odhalit • Heuristická analýza — vychází z předpokladu, že podezřelé jevy programů mají na svědomí viry — dokáže odhalit i neznámý virus, pro který nebyly dosud vytvořeny signatury — v případě mohutného napadení je dostatečně účinná — testování je velmi náročné a pomalé, občas může dojít k planému poplachu



28 / 30

Přednáška 9:



Metody vyhledávání virů • Test kontrolního součtu — pro všechny ohrožené soubory na disku je preventivně spočítán kontrolní součet — při každém použití těchto souborů je opět spočítání kontrolní součet a je porovnán s minulým výsledkem — nelze použít v případě, kdy se soubor při práci mění (např. když si spustitelný soubor do těla ukládá uživatelské konfigurace) • Antivirové štíty a scannery — programové moduly antivirového systému, které testují všechny otevírané soubory (i e-maily) na přítomnost virů, navíc analyzují chování spuštěných souborů — je-li zjištěna podezřelá činnost, štít činnost zastaví a vyzve uživatele k potvrzení dalšího kroku



29 / 30

Přednáška 9:

Prevence



• Používání originálního softwaru, zejména legálního

Cracking Spam Spyware Malware

•

Antivirové programy Metody vyhledávání virů Prevence

• • • • • Výpočetní technika I

operačního systému, u něhož je neustále zajišťována detekce možných bezpečnostních děr a jsou pravidelně vydávány aktualizace Pravidelná aktualizace běžně používaných zejména síťových produktů (komunikátory, ovladače aj.), které by mohly být z Internetu zneužity Užití zdravého rozumu zejména při práci s e-mailem Nepoužívání neověřených médií, zejména „zapomenutých“ disket Omezení klikání na vše, co se jeví zajímavé Pravidelná záloha dat na různá datová média Sledování relevantních webových stránek (http://www.viry.cz, http://www.hoax.cz aj.) Přednáška 9: Počítačová kriminalita

30 / 30

Počítačová kriminalita. Výpočetní technika I. Ing. Pavel Haluza, Ph.D. ústav informatiky PEF MENDELU v Brně

Recommend Documents