MALWARE
MALWARE • = Malicious Software, škodlivý software, škodlivé kódy • Často chybn označováno „viry“
• Tento problém spojen výhradn s IT • Vysoké, ale často nep esné pov domí ve ejnosti
ZDROJE INFIKOVÁNÍ - WEB •
Nevhodný a nelegální obsah, hl. pornografie a nelegáln ší ená díla - „t etina nelegálních program umíst ných na internetu je infikovaná“ ĚP ibyl, Základní pravidla bezpečného pohybu na internetuě
•
Korektní stránky - Podle bezpečnostní společnosti Sophos se denn objevuje 1617ň nakažlivých webových stránek, z nichž ř0 % p estavují stránky s jinak nezávadným obsahem ĚP ibyl, Sophos varujeě
ZDROJE INFIKOVÁNÍ – E-MAIL • Nákazu zp sobí: • Text v HTML, možná infikace již zobrazením náhledu • P íloha, často nezbytné otev ít, starší metoda
• Častý spoofing => d v ivost
DALŠÍ ZDROJE INFEKCE • Jakýkoli komunikační kanál Ěk dopravení malwaru k ob tiě • Klasické nap . IM, PŇP sít • Elektronické sociální sít , mobilní komunikační služby…
• P ipojitelné k r zným typ m soubor – od spustitelných p es dokumenty po MPň
ČINNOST MALWARU PO INFIKOVÁNÍ • M že d lat vše, na co naprogramován • Obvykle se snaží: • Skrýt: nap . vytvo ením mnoha i upravených kopií, vypnutím ochranných prvk … • Dále se ší it: u moderních kód už obvykle bez pomoci uživatele
• V současnosti minimum destrukce, více špionáž – dáno zm nou pohnutek tv rc
UKÁZKY NEJČASTĚJŠÍCH ČINNOSTÍ • • •
• •
Manipulace s OS, programy a soubory na disku, ale t eba i CD/DVD mechanikou, vč. zm ny lokálního záznamu DNS Získávání konkrétních či všech informací o uživateli a jejich odesílání, vč. pohybu myši a signálu z mikrofonu či kamery Vydírání uživatele Ěransomware) – zaplať a dostaneš zp t svoje data Stahování a instalace dalšího malwaru (dropper) Zneužití k nelegálním činnostem Ěuložení dat, rozesílání spamu…ě, až plné ovládnutí počítače, často používáno k dDoS či jako proxy serveru
MOŽNOST ODHALENÍ – NEOBVYKLÉ CHOVÁNÍ • Zm na velikosti, názv nebo obsahu soubor • Zmenšování volného místa na disku
• Zpomalení výkonu počítače nebo p ipojení k internetu • Nečekan vysoká aktivita na disku nebo na internetu • Samospoušt ní neznámých program • Poruchy program a OS
VIRY • • • • •
První typ malwaru, dnes se tém nevyskytují „Historicky je počítačový virus program, který napadne spustitelný nebo p eložený Ěobjectě soubor.“ ĚKlander, s. ňŘ5ě - HOSTITEL Termín poprvé použil Fred Cohen v roce 1řŘň a p edvedl ukázku Další možné člen ní: bootovací, souborové, stealth, polymorfní, generické…, makroviry Ěs OS Win95) První virus v ob hu = bootovací virus Brain v r. 1řŘ7, o rok pozd ji pro n j vydán antivir
DĚLENÍ VIRŮ •
boot viry (Boot Viruses) – napadají boot sektor, MBR a tím si zajistí své spušt ní hned p i startu počítače
•
souborové viry (File Viruses) – jejich hostitelem jsou soubory, podle zp sobu infekce se d lí souborové viry na p episující, parazitické a doprovodné
•
multipartitní viry (Multipartite Viruses) – napadají více částí Ěboot sektor i soubory)
•
makroviry (Macroviruses) – ší í se v prost edí aplikací podporujících makra (MS Word, MS Excel)
VLASTNOSTI VIRŮ •
současné počítačové viry nemohou poškodit technické vybavení počítače, mohou však smazat obsah pam ti
•
existují „mýty“ o poškozování FDD, HDD, monitor apod., v tšinou však jde o chybn navržená za ízení
•
formátováním pevného disku se virus nemusí vždy odstranit, neboť kód viru m že být zapsán ješt v Master Boot Recordu (MBR)
PROJEVY POČÍTAČOVÝCH VIRŮ •
destrukce dat
•
zobrazování r zných zpráv na obrazovce
•
vyluzování r zných zvuk a melodií (Yankee Doodle)
•
vtipkování s uživatelem (vkládání vtipných komentá do textových soubor , r zné animace, ...)
•
simulace selhání technického vybavení
•
zpomalování činnosti počítače
ČERVI •
Dnes mnohem čast jší než viry – ší í se rychleji, mohou mít více funkcí (spojení kategorií)
•
Mohou se ší it samostatn , vždy ale v síťovém prost edí
•
Kontakty z adresá , uložené, stanovené IP adresy, kombinace doménových jmen…
•
Další d lení: e-mailové, síťové
•
Často SI, spooofing
•
1. Worm (R. T. Morris) 2.11.1988 – v napadeném počítači se množil a rozesílal, až počítač „zamrzl“
TROJSKÉ KONĚ • Nereplikují se, ale umož ují ovládnutí systému • „…se na první pohled chová jako zcela legální program, ve skutečnosti však tajn provádí škodlivé operace“ • Nejčast ji spojeny se zadními vrátky (backdoor)
oPASSWORD STEALING - TROJANI (PWS) oSKUPINA TROJSKÝCH KONÍ, KTERÁ OBVYKLE SLEDUJE JEDNOTLIVÉ STISKY KLÁVES ĚKEYLOGGERSě ů TYTO UKLÁDÁ ů NÁSLEDN I ODESÍLÁ Nů DůNÉ EMAILOVÉ ADRESY. MůJITELÉ T CHTO EMůILOVÝCH ůDRES ĚNEJČůST JI SůMOTNÍ ůUTO I TROJSKÉHO KON ě TůK MOHOU ZÍSKůT I VELICE D LEŽITÁ HESLA. TENTO TYP INFILTRACE LZE KLASIFIKOVAT I JAKO SPYWARE.
oDESTRUKTIVNÍ TROJAN oKLůSICKÁ FORMů, POD KTEROU JE POJEM TROJSKÝCH KONÍ OBECN CHÁPÁN. POKUD JE TůKOVÝ TROJSKÝ K SPUŠT N, PůK LIKVIDUJE SOUBORY Nů DISKU, NEBO HO ROVNOU KOMPLETN ZFORMÁTUJE. DO TÉTO KůTEGORIE M ŽEME Zů ůDIT I V TŠINU BůT TROJůN , TJ. ŠKODLIVÝCH DÁVKOVÝCH SOUBOR S P ÍPONOU BůT. V TOMTO P ÍPůD M ŽE P EKVůPIT SNůD JEN OBČůSNÉ JEDNODUCHÉ KÓDOVÁNÍ OBSůHU, DÍKY ČEMUŽ NENÍ Nů PRVNÍ POHLED Z EJMÉ, CO TůKOVÝ KÓD PROVÁDÍ.
SPYWARE • •
• • •
„Špehovací“ software – informace ukládá a v tšinou odesílá Často t žké odhalit – vznik z korektních d vod Ěd ti, zam stnanci…ě Problém rozlišení využití a zneužití Ěmarketing, pomoc uživateli, licence za informace…ě – podstatné seznámení uživatele se špehováním Reáln Ěnelegáln ě lze i dnes umístit na ve ejn dostupné počítače – problém d v ryhodnosti správc „Legální“ placené aplikace
ADWARE -Jde o produkt, který znep íjem uje práci s PC reklamou - Typickým p íznakem jsou „vyskakující“ pop-up reklamní okna b hem surfování, společn s vnucováním stránek Ěnap . výchozí stránka internet exploreruě, o které nemá uživatel zájem. část adware je doprovázena tzv. „eula“ - end user license agreement – licenčním ujednáním. uživatel tak v ad p ípad musí souhlasit s instalací.
SLEDOVANÉ INFORMACE •
Informace o za ízení i uživateli
•
Již bylo shromažďováno: p ehled nainstalovaných program Ěvč. registračních údaj ě, historie navštívených stránek, využité odkazy, založené weby, časové období používání počítače/internetu, hesla a uživatelská jména, text e-mail atd.
•
Ohrozitelná jakákoli digitální stopa
•
I korektn získané bylo zneužito ĚToysmartě
MÉNĚ ZNÁMÉ KATEGORIE •
Keylogger: monitorují stisknuté klávesy
•
Cookie a webbug: spyware na webu, i legální
•
Backdoor/bot: otvírá skrytou cestu pro ovládnutí za ízení, vytvá í zombie
•
Browser Hijacker: m ní nastavení webového prohlížeče
•
Dropper: po infikaci nainstalují množství neseného malwaru
•
Downloader: další malware stahují z definovaných web
•
Logická bomba: má určen spoušt cí pokyn pro škodlivou rutinu
•
Password Stealer: určený speciáln k odcizování hesel
•
Rootkit: pracuje na nízké úrovni OS, takže umí skrýt sebe i další aplikace a m ní zp sob práce systému, proto jej bezpečnostní programy špatn detekují a odstra ují
•
Ransomware: blokuje p ístup k dat m a vydírá
PŘÍKLADY •
1řŘř „ůIDS Information Diskette Incident“ – Ň0 tis. dopis s infikovanou disketou, která m la obsahovat informace o ůIDS, ale zašifroval soubory na disku, klíč m l být doručen po finanční úhrad
•
2000 ILoveYou - „bližší informace o vysoké finanční transakci na Vašem účtu najdete v p íloze“ Ěinfikoval 10 % počítač p ipojených k internetu)
•
2000 United Bank of Switzerland – zam stnanc m e-mail „žádost o zam stnání“ – šel po heslech
•
2001 Anna Kournikova – jeden z prvních z generátoru
•
2001 Code Red – jeden z prvních hacktivism Ětvá il se z Čínyě
•
Ň005 Sony BMG prodávala CD obsahující rootkit, který m l sloužit jako ochrana p ed nelegálními kopiemi
•
2009 Ikee – cílem odblokované iPhone (instalace neautorizovaného)
•
2010 – Stuxnet
OCHRANA - DŮVODY • Ochrana vlastních dat i identity • Ochrana vlastní bezúhonnosti – zneužití počítače na dálku k nelegálním činnostem
• Úspora času a nerv
OCHRANA – CHOVÁNÍ UŽIVATELŮ • Pozor na problematický obsah • Vše stažené prov it • Opatrná práce s e-maily a jejich p ílohami (dle odesilatele, pak obsahu, problematické hned smazat)
• Stahování a instalace jen toho, co uživatel opravdu pot ebuje • Číst varování, hlášení, certifikáty…
OCHRANA – BEZPEČNOSTNÍ APLIKACE • • • • • •
ůntiviry = první bezpečnostní aplikace Od té doby se zm nily ony i hrozby, proti kterým stojí Velmi r znorodé Ěspecializované X všeobecné, r zné techniky, nástroje, nastavení…ě Obecn chrání nejen proti vir m Specializované – antirootkit, antispyware Firewall – ochrana proti necht nému transferu dat Ěkontrola pakt , uzav ení port , odhalení skenování port …ě
FUNKCE „ANTIMALWARU“ • Porovnávání signatur Ěnejstaršíě • Heuristická analýza (najde i nový malware) • Analýza chování • Kontrola integrity • Sledování veškeré komunikace Ěhl. e-mail a p ílohě • Rezidentní a nerezidentní ochrana • Automatické aktualizace