Počítačové viry a antivirové technologie Ing. Tomáš PŘIBYL AEC, spol. s r.o.
Obsah přednášky • Definice počítačového viru • Další škodlivé kódy • Historie počítačových virů • Projevy počítačových virů • Mýty kolem počítačových virů • Trendy v oblasti počítačových virů • Desatero antivirové ochrany
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Počítačový virus Počítačový virus je kus programového kódu, který je prostřednictvím hostitelské aplikace schopen se replikovat bez vědomí uživatele, a to více než jednou.
Virus či nevirus? * Počítačový virus * E-mailový červ * Trojský kůň * „Zadní dvířka“ (backdoor) * Dialery * Žertovné prográmky * Regulérní programy
Začalo to v roce 1986 Katastrofa raketoplánu Challenger. Havárie v jaderné elektrárně Černobyl. První počítačový virus.
1986 Bratři Basit a Amjad zjistili, že boot sektor každé diskety obsahuje spustitelný kód. Ralf Burger - Zjistil, že je možné vytvořit kus programového kódu, který je schopen připojovat se k dalším a dalším souborům.
1987 - virus Brain University of Delaware - diskety s pozměněnými boot sektory, všechny jméno „(c)Brain“. Charlie/Vienna - Virus, který s pravděpodobností jedna ku osmi rebootoval počítač.
Počet virů narůstá • Leigh • Suriv-01, 02 a 03 • Jerusalem (ne Command.com) • Stoned • Italian (PingPong, Bouncing Ball)
1988 „Klid zbraní“ na poli virových technologií. Epidemie Jerusalemu, čímž lidé začali brát viry vážně. Worm - autor Morris.
1989 Datacrime/Columbus Day Virus Březen 1989, Nizozemí. Aktivace vždy od 12. října do 31. prosince, napadal FAT tabulku. AIDS Information - šifroval data.
1990 První polymorfní viry - Celé tělo proměnlivě šifrované, na počátku je dešifrovací smyčka. Původem z Vienny: 1260, V2P1, V2P2 a V2P6. Vývoj nových AV algoritmů, nestačí vyhledávací řetězce.
1991 Počet virů vzrostl z 250 na 1000 (nepřesně se počítá). Dark Avenger - „Virus“, který může mít čtyři miliardy podob. Commander Bomber - virus mohl být kdekoliv v souboru.
1991 Michelangelo - jeden americký výrobce předpověděl, že by 6. března mohlo být zasaženo až šest miliónů počítačů. (Nakonec 5000 až 10000 napadeno.)
Snaha o komercionalizaci virů John Buchanan (USA) nabízel kolekci virů za 100 USD. Virus Clinic Unit - balíčky od 25 USD. Vše „řešeno“ policií.
1995 Makrovirus Concept - První makrovirus, ale nebyl se schopen šířit pod českou či slovenskou verzí Windows. Zanedlouho ovšem přišel „Bertík“, který to uměl.
1996 První virus pro Windows 95 - Boza. První makrovirus pro Excel - Laroux. První rezidentní pro Windows 95 - Punch.
1997 První virus pro Linux - Bliss. První multiplatformní virus - Esperanto (pro PE.EXE soubory i pro Mac OS).
1998 První makrovirus pro MS Access. První cross-makroviry (Tristate…). Objeven virus CIH. První viry v HTML a VBS.
1999 Melissa - první „massmailing“ virus. CIH - alias Černobyl. Zipped Files - druhá masová epidemie.
Trend roku 2000: e-mailové nebezpečí
Trend roku 2001: Sociální inženýrství
Trend roku 2002: Bezpečnostní nedostatky
Projevy počítačových virů
Blokování místa v paměti či na pevném disku. Zpomalení práce systému.
Vypsání textu či zvukový projev.
Nestabilita systému.
Krádež dat.
Šifrování dat.
Zničení dat.
Projevy počítačových virů Pozor! Toto MOHOU, ale NEMUSÍ být projevy počítačových virů.
Počítačové viry - mýty
Počítačové viry mohou poškodit počítač.
Virus mohu „chytit“ jen z neznámého zdroje.
Mohu být klidný, mám antivirový program.
Počítačový virus mi smaže všechna data.
Nové viry mi AV program nechytne. A starší už „vymřely“...
Počítačové viry píší firmy, které prodávají antivirové programy...
Trendy počítačových virů: Počítačové viry nejsou statickou záležitostí, ale dynamicky se vyvíjejí. Jediným dogmatem je, že žádná dogmata neexistují.
Přežitá dogmata 1) Dokumenty nemohou obsahovat viry. 2) Otevřením e-mailu nemohu spustit virus. 3) Stačí mít antivirový program.
Trend č. 1: roste rychlost
Vývoj: 1990: několik měsíců „distribuce“. 1999: Melissa (jeden jediný den). 2001: CodeRed (hodiny). 2003: Slammer (10 minut).
Slammer (Sapphire, Helkern) Slammer je internetový červ, který se šíří po serverech Windows 2000 s nezáplatovanými Microsoft SQL servery. Objevil se v ranních hodinách v sobotu 25. ledna 2003 (5:30 GMT) a při svém šíření generoval masivní množství paketů, které zpomalilo nebo zcela zahltilo některé servery a směrovače (např. pět ze třinácti root serverů internetu).
Něco málo statistiky… • Během první minuty šíření se počet infikovaných strojů zdvojnásobil každých 8,5 sekundy! • Asi po třech minutách působení dosáhl plné skenovací rychlosti: 55 000 000 skenů/sekundu!!! • Většina (90 procent) infikovatelných strojů byla nakažena do deseti minut od vypuštění červa. Celkem asi 75 000. • Velikost: 376 bytů!!!
Trend č. 2: útoky mají hlavu a patu
Cíl dříve: • Vytvořit škodlivý kód, o kterém se bude psát. • Vytvořit škodlivý kód, který zanechá co největší paseku. • Vytvořit škodlivý kód, který bude něčím unikátní/nový.
Cíl nyní: • Mít z napsání škodlivého kódu nějaký prospěch/užitek. (Mimochodem, podobným vývojem prošel i hacking – od nadšenců k počítačové kriminalitě.)
Bugbear Keylogger – sledování stisknutých kláves, odesílání hesel na emailové adresy. (Kolize s českými a slovenskými ovladači – např. místo „Č“ napsáno „Cˇˇ“.)
BugBear.B Červen 2003. Žádná nová technologie, žádné nové triky, žádné nové nápady… A přesto byl veleúspěšný. Zcizoval hesla z počítače, v případě bankovní sítě otevíral pro hackery.
Sobig.F Do napadených strojů se pokoušel instalovat „motor“ pro rozesílání spamu.
Trend č. 3: jsme zranitelnější
Bezpečnostní nedostatky Málokdy jsou včas a kvalifikovaně odstraňovány. (Co je to „včas“?) Příkladem budiž Codered nebo tzv. I-Frame Trick.
Útoky na atraktivní doménu Dosud nebyl podniknutý velký útok na skutečně významnou/atraktivní doménu (nebo root servery internetu). Co se stane, až se tak stane?
Sofistikované prostředí = sofistikované útoky. I když naštěstí stále ještě platí, že „v jednoduchosti je síla“ (viz Iloveyou).
Trend č. 4: hůře se bráníme
Stále méně času na reakci… …a když už máme čas, nemusíme mít síť. A jak distribuovat záplaty/aktualizace/návody?
Trend č. 5: nové triky
Falšování adresy odesílatele
Co tím virus získává? Přece anonymitu!
Infikovaný obrázek nebo „infikovaný“ obrázek? Škodlivý kód, který se může „skrývat“ v obrázku formátu JPEG/JPG.
Nejsem virus, jsem antivirus
Tady by virus neměl být!
Co z toho vyplývá?
Dotaz na rádio Jerevan: „Kdy bude líp?“ Odpověď: „Už bylo…“
Desatero AV sebeobrany
Přikázání první
Používejte antivirový program!
Přikázání druhé
Pozor na přílohy u elektronické pošty!
Přikázání třetí
Pravidelně získávejte informace!
Přikázání čtvrté
Pravidelně aktualizujte a „záplatujte“!
Přikázání páté
Ovlivňujte, co ovlivnit můžete!
Přikázání šesté
Šifrujte a elektronicky podepisujte!
Přikázání sedmé
Pravidelně zálohujte!
Přikázání osmé
V případě potřeby se obraťte na odborníky!
Přikázání deváté
Nedůvěřujte nikdy, nikomu a ničemu!
Přikázání desáté
Dodržujte tato pravidla!
Děkuji za pozornost!
Ing. Tomáš Přibyl
[email protected]
