ROSSZINDULATÚ SZOFTVEREK VÍRUSOK
A VÍRUS • A számítógépes vírus olyan program, amely saját másolatait helyezi el más, végrehajtható programokban vagy dokumentumokban. Többnyire rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is tehet. Hatása ellen védekezni megfelelő vírusirtó szoftverrel többnyire lehetséges. Adatlopás
Tevékenység követés
Reklámok
Darkweb (pl. Pornó siteok)
Azonosítás
Hibák
Bug
A VÍRUS • A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek az internetes böngészés mellett, valamint a megbízhatatlan oldalakról történő letöltések által.
• A számítógépes vírusok működése hasonlít az élővilágban megfigyelhető vírus viselkedéséhez, mely az élő sejtekbe hatol be, hogy önmaga másolatait előállíthassa.
• Ha egy számítógépes vírus kerül egy másik programba, akkor azt fertőződésnek nevezzük. A vírus csupán egyike a rosszindulatú szoftverek (malware) számos típusának. Ez megtévesztő lehet a számítógép-felhasználók számára, mivel mára lecsökkent a szűkebb értelemben vett számítógépes vírusok gyakorisága, az egyéb rosszindulatú szoftverekhez, mint például a férgekhez képest, amivel sokszor összetévesztik őket.
A VÍRUSOK JELLEMZŐI •
A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi vírusra jellemző. Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:
• • • • • •
nagyon kis méretűek; futtatható állományokat képesek megfertőzni; általában ártó szándékkal készítették őket; gyakran akár válogatva, időzítve tönkretesznek más fájlokat; rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték; egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és aktivitásukat.
A VÍRUSOK FAJTÁI • Programvírusok
• BOOT-vírusok
• A programvírusok a klasszikus értelemben vett • A BOOT-vírusok közé szokás sorolni a vírusok. Futtatható állományokhoz (program fájlokhoz) kapcsolódnak, amiknek megnyitására aktivizálódnak.
• Alkalmazásvírusok • A fájlfertőző vírusok futtatható programokat fertőznek meg (.EXE, .COM, .SYS, stb. kiterjesztésűeket). Ha egy fertőzött program elindul, a vírus kódja bekerül a memóriába, aktivizálódik és elkezdhet más programokra átterjedni. Fertőzéskor a vírus mindig olyan programokat keres, amiket még nem fertőzött meg, így növelve másolatainak a számát.
számítógépes rendszer indulásakor aktiválódó vírusokat. A számítógép operációs rendszere valamely adathordozóról töltődik be és indul el, ezt nevezzük BOOT folyamatnak. Akad vírus jellegű károkozó, amely olyan módon kerül be a memóriába, hogy az adathordozón (pl. hajlékonylemez, fix lemez) a rendszerindító utasítássorozathoz kapcsolódik. E károkozók hatékonyságát nagyban növeli az, hogy a rendszer töltődése minden folyamatot megelőz, tehát a vírusellenes programok aktivizálódását is, ezért még a védelemre szolgáló programok indulása előtt betöltődhet és aktivizálódhat a károkozó.
A FÉREG • Egy számítógépes féreg (worm) egy számítógépes vírushoz hasonló önsokszorosító számítógépes program. Míg azonban a vírusok más végrehajtható programokhoz vagy dokumentumokhoz kapcsolódnak hozzá illetve válnak részeivé, addig a férgeknek nincs szükségük gazdaprogramra, önállóan fejtik ki működésüket. A férgek gyakran a számítógéphálózatokat használják fel terjedésükhöz.
A FÉREG • Az első férget 1978-ban készítette el a Xerox PARC két kutatója. • Az első széles körben is ismertté vált féreg a Morris-féreg volt, melyet a Cornell Egyetem egyik diákja, Robert Tappan Morris, Jr. készített el. 1988. november 2-án került ki a szabadba és a korabeli internetre kapcsolt számítógépek közül számosat megfertőzött. Terjedéséhez a BSD Unix-ban található programhibákat használta fel. Morrist az amerikai bíróság a három év felfüggesztett börtönbüntetésre, közmunkára és 10 000 dolláros pénzbírságra ítélte.
• Az önsokszorosításon kívül a féreg sokféle dologra beprogramozható, például a fájlok törlésére a gazdarendszeren, vagy önmaga elküldésére e-mailben. Az újabban megfigyelt férgek több végrehajtható állományt is visznek magukkal. Még valódi ártó szándékú kód nélkül is súlyos fennakadásokat okozhatnak, csupán azzal, hogy sokszorozódásuk kiugróan magas hálózati forgalmat generálhat. Például a Mydoom féreg terjedése csúcsán világszerte észrevehetően lelassította az internetet.
MORRIS-FÉREG Rsh támadás
Sendmail támadás
Behúzó
ping támadás
Féreg
Kérés
Robert Tappan Morris, Jr.
Féreg Féreg
Cél rendszer
Megfertőzött rendszer
MYDOOM
Hogyan terjed a MyDoom féreg? 1. A MyDoom akkor aktiválódik, amikor a gyanútlan címzett megnyitja az e-mailhez csatolt fájlt. 2. A csatolt fájl tartalmaz egy programot, ami átveszi az áldozat számítógépét és elküldi az összes megtalált e-mail címre a fertőzött üzenetet. 3. A fertőzés gyorsan terjed, sok PC-re, generált spam üzenetek millióival lassítva az Internetet. 4. A MyDoom.A vírus arra lett programozva, hogy támadást indítson az összes fertőzött gépről, hogy a Web siteot szoftveresen leállítsa Február elsején.
A TRÓJAI •
Számítógépes értelemben a trójai faló (röviden trójai) egy olyan rosszindulatú program, ami mást tesz a háttérben, mint amit a felhasználónak mutat. Az elnevezés a görög mitológiában szereplő trójai falóból származik, utalva Odüsszeusz cselvetésére, hogy a görögök megnyerjék a trójai háborút. A közhiedelemmel ellentétben egy trójai nem feltétlenül tartalmaz rosszindulatú programkódot, azonban a többségük tartalmazza az ún. hátsó kapu telepítését, ami a fertőzés után biztosítja a hozzáférést a célszámítógéphez. A vírusokkal ellentétben általában nem többszörözi önmagát, terjedése főként egyedi támadásoknak és az emberi hiszékenységnek köszönhető.
A TRÓJAI • Az egyszerűbb trójai programok csak kívülről tűnnek hasznos programnak, míg fejlettebb változataik a kémkedés mellett valóban képesek az ígért funkciók elvégzésére is – így csökkentve a lebukás veszélyét.
• Trójaival való megfertőződésnek forrása lehet egy e-mail üzenet csatolmánya vagy azonnali üzenetküldő program, de megkaphatjuk CD-n vagy egyéb adattárolón is. A leggyakoribb fertőzési módszert azonban a letöltések és a veszélyes honlapok jelentik.
A TRÓJAI • Rombolás
• A számítógép erőforrásainak használata
• A számítógép vagy eszköz tönkretétele
kriptovaluta bányászatra (pl. Bitcoin)
• Fájlok, adatok módosítása vagy törlése
Pénzlopás, váltságdíj
• • További malware programok telepítése, futtatása • • Kémkedés a felhasználó tevékenysége és érzékeny • adatai után • • Eszköz vagy identitás kihasználása • A megfertőzött célszemély internetkapcsolatának
Elektromos pénzlopás Ransomware telepítése (pl. CryptoLocker) Adatlopás
• Felhasználó jelszavának, bankkártyaadatainak megszerzése
használata (mint átjáró vagy proxy) illegális célokra (pl. további gépek megtámadására), vagy • Személyi adatok, privát fényképek eltulajdonítása akár a felhasználó adatainak, fájljainak megosztására • Piaci titkok felderítése
• A célszemély hálózatát használó többi eszköz feltérképezése, megtámadása
• A számítógép használata egy botnet részeként (pl. automatikus spamelések elvégzésére)
• Személyi vagy ipari kémkedés
• Kémkedés, megfigyelés, tevékenységkövetés • Gombleütések rögzítése (pl. felhasználó adatok, jelszavak lopásához)
• Felhasználó képernyőjének megfigyelése • Felhasználó webkameraképének megfigyelése • Számítógép távvezérlése
BACKDOOR.TROJAN (TRÓJAI HÁTSÓAJTÓ) • Először 1999 Február 11-én fedezték fel, nevét a Symantec adta. • Egy rosszindulatú szoftver, amely engedélyezi a támadónak a hozzáférést, illetve a különböző parancsok küldését az áldozat gépére.
• Pl: • Információ lopás • Feladatok, folyamatok leállítása • Feladatok, folyamatok futtatása
• Fájlok letöltése • Fájlok és egyéb tartalmak feltöltése • Számítógép leállítása, újraindítása • Stb.
VÍRUSÍRTÁS • Működési elvek • A vírusirtó szoftverek két alapelven működnek. Az első az úgynevezett reaktív védelem, ami az úgynevezett vírusdefiníciós adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.
• A második – és napjainkban egyre fontosabb – védelmi módszer az úgynevezett heurisztikus vírusvédelem. Ebben az esetben a vírusirtó a beépített analizáló algoritmusok (mesterséges intelligencia) segítségével azonosítja a vírusokat. A módszer azért nagyon fontos, mert sokszor több nap telik el egy új vírus megjelenésétől addig, amíg a vírusirtó program gyártója az ellenszert elkészíti és beépíti a vírusdefiníciós adatbázisba. A reaktív vírusirtó szoftvernek ilyenkor frissítenie kell magát az internetről, és csak ezután nyújt védelmet az új vírusok ellen.
• A heurisztikus módszereket is alkalmazó modern vírusirtók viszont addig is védelmet nyújtanak a legtöbb kártevő ellen, amíg az ellenszer elkészül.
• Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.
VÍRUSÍRTÁS •
Fajtái
•
Egyedi számítógépek védelmére szolgáló megoldások
•
Egyedi számítógépek védelmére optimalizált megoldások. Általában a rendszerkövetelmények csak egyedi gépes operációs rendszereket támogatnak, és nincs felkészítve a távoli menedzselhetőségre és a hálózatos környezetre.
•
Rendelkezik minden olyan szükséges grafikus kezelőfelülettel, amelyen keresztül felhasználószintű ismeretekkel kezelhető a szoftver.
•
Egyszerű vírusirtó
•
Kizárólag antivírus megoldást tartalmazó szoftver. Bár egyre több funkciót zsúfolnak bele a gyártók, az egyes megoldásokban mégis megkülönböztethető, hogy ez a megoldás nem tartalmaz tűzfalat, webtartalom-szűrőt, adatmentést. Egyes gyártók a kémprogramvédelmet már integrálták az egyszerűbb megoldásban.
•
Komplex internetbiztonsági megoldások
•
Egyedi számítógépekre kifejlesztett, teljes körű biztonsági megoldást kínáló megoldások. Az általánosan elfogadott, hogy antivírus, tűzfal minimálisan legyen a megoldásban, de webtartalomszűrőt, adatmentést, SPAM szűrést, adathalászat elleni védelmet stb. kínálnak gyártótól függően a komplex kategóriába sorolható megoldások.
•
Felhőalapú vírusírtók (Pl.: Comodo)
TŰZFAL •
A tűzfal (angolul firewall) célja a számítástechnikában annak biztosítása, hogy a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen behatolás. Szoftver- és hardverkomponensekből áll.
•
Hardverkomponensei olyan hálózatfelosztó eszközök, mint a router vagy a proxy. A szoftverkomponensek ezeknek az alkalmazási rendszerei tűzfalszoftverekkel, beleértve ezek csomag- vagy proxyszűrőit is. A tűzfalak általában folyamatosan jegyzik a forgalom bizonyos adatait, a bejelentkező gépek és felhasználók azonosítóit, a rendkívüli és kétes eseményeket, továbbá riasztásokat is adhatnak.
•
Szoftveres Tűzfalak pl. Kaspersky, Norton
HARDVERES TŰZFAL • Működése •
A tűzfal megpróbálja a privát hálózatot ill. a hálózati szegmenst a nemkívánt támadásoktól • megóvni. Szabályozza a különböző megbízhatósági szintekkel rendelkező számítógép-hálózatok közti forgalmat. Tipikus példa erre az internet, ami semmilyen megbízhatósággal nem rendelkezik és egy belső hálózat, ami egy magasabb megbízhatósági szintű zóna. Egy közepes megbízhatósági szintű zóna az ún. „határhálózat” vagy demilitarizált zóna (DMZ), amit az internet és a megbízható belső hálózat között alakítanak ki. Megfelelő beállítás nélkül egy tűzfal gyakran értelmetlenné válik. A biztonsági szabványok „alapértelmezett-letiltás” tűzfal-szabálycsoportot határoznak meg,
amelyben csakis azok a hálózatok vannak engedélyezve, amiket már külsőleg engedélyeztünk.
A szabálymegszegéseket leszámítva, egy tűzfal funkciója nem abból áll, hogy veszélyeket felismerjen és akadályozzon. Főleg abból áll, hogy a meghatározott kommunikációs kapcsolatokat engedélyezze, a forrás- vagy célcímek és a használt szolgáltatások alapján. A támadások felkutatásáért az ún. behatolásfelismerő rendszerek a felelősek, amelyet akár a tűzfalra is lehet telepíteni, de ezek nem tartoznak a tűzfalhoz.
SZOFTVERES TŰZFAL
Sandbox, Tűzfal
FORRÁSOK • • • • • • •
Wikipedia – Vírusok Wikipedia – Férgek Wikipedia – Trójai Symantec - Backdoor.trojan Wikipedia – Vírusírtó Wikipedia - Tűzfal Google képek