Vyšší odborná škola
ABSOLVENTSKÁ PRÁCE
Zabezpečení PC a ochrana před škodlivými kódy
Vyšší odborná škola a Střední průmyslová škola elektrotechnická Plzeň, Koterovská 85
Plzeň květen 2008 Petr Netrval Děkuji vedoucímu absolventské práce, který mi pomáhal při řešení tématu a poskytoval
odborné konzultace.
“Prohlašuji, že jsem absolventskou práci vypracoval samostatně a použil jsem literárních
pramenů a informací, které cituji a uvádím v seznamu použité literatury a zdrojů
informací.”
V Plzni dne 23. května 2008 ................................
Podpis
(Originál)
Téma:
Zabezpečení PC a ochrana před škodlivými kódy
Osnova:
1. Historie a typy malware2. Druhy útoků3. Prevence a zásady bezpečnosti PC4. Účinky virů a boj proti virové nákaze5. Antivirové programy a jejich porovnání
Anotace
Tato práce se zaměřuje na zabezpečení počítačů před virovými útoky a jejich
softwarovou ochranou dat proti napadení. Dále se soustředí na prevenci, která je v této
oblasti velice důležitá. Absolventskou práci jsem vypracoval pro VOŠ a SPŠE Plzeň a
rozdělil ji na 5 základních částí.
V úvodní kapitole popisuji historii malware (virů) od úplně nejstarších typů až po
budoucnost v této problematice. Zvolil jsem popis pomocí časové osy, kde každý rok
udává nejdůležitější události, které se staly. Také jsem v této kapitole podrobně rozdělil
malware na jednotlivé typy a snažil se vysvětlit jejich principy. V úvodu druhé kapitoly,
která se jmenuje druhy útoků – DoS, DDoS, se zaměřuji na Hackery a jejich svět. Dále
vysvětluji nejčastější typy útoků a metody, které slouží k zjišťování informací.
V třetí kapitole zmiňuji základní zásady pro bezpečnost a softwarové prostředky
zabraňující útokům. Čtvrtá kapitola obsahuje projevy počítačových virů, jejich likvidaci a
také program, který je dokáže maskovat – Rootkit. V poslední kapitole se zabývám
metodami antivirových programů pro detekci virů a také jsem zvolil sedm těchto
programů, o kterých si myslím, že jsou nejlepší. Testuji jejich vlastnosti a funkce, které
vyhovují běžným uživatelům.
Cílem této absolventské práce je popsat nejen útoky, typy malware a jejich hrozby ale
také připomenout myšlenku prevence a nutného zabezpečování před napadením. Taky se
zabývá bojem proti škodlivým kódům, které znepříjemňují práci uživatelům a rady pro
jejich odstranění. Práce má přispět alespoň podnětem jako návod k lepšímu zabezpečení
počítačů.
Annotation
My diploma work is aimed at the security computers against virus infiltration and their
software data protection opposite attack. Then this work concentrated on prevention, which
is in these areas very important. I worked up diploma work for VOŠ a SPŠE Plzeň and I
divided into five parts.
In the opening chapter I described history of malware from the oldest types up to future.
I chose description by the help of time axes, where every year indicated the most important
events. Also I divided malware into individual types and I tried to explain their principles.
At the beginning of the second part, which names some sorts of attacks - DoS, DDoS, I am
aimed at hackers and their world. Next I explained the most frequent types of attacks and
methods, which are used for detection of information.
In third chapter I refer to fundamental principle for security and software programme to
prohibitive attacks. The fourth chapter contains symptoms of computer virus, their
liquidation and futhers platforms, for example Rootkit. At last chapter I deals with methods
of antivirus programmes for detection virus and I chose seven of these programmes, which
I think, that they are the best. I tested their properties and function, which are comforming
for common users.
My diploma work sums up not only types malware and their menace, but also deals
with prevention, necessary security against attack and advice for remove bad codes. To
contribute by this work for better security of computers.
ObsahÚvod ……………………………………………………………………………………......71. Historie a typy malware …………………………………………………………....8
1.1. Vznik nejstarších virů (1960 – 1989) …………………………………………...81.2. Vývoj malware v 90. letech ……………..……………………………………. 111.3. Současnost a budoucnost škodlivých programů ……………………………… 151.4. Rozdělení malware …………………………………………………………….16
1.4.1. Definice virů a různé možnosti dělení …………...………………………..171.4.2. Boot viry …………………………………………………………………. 181.4.3. Souborové viry ...………………………………………………………….191.4.4. Multiparitní viry ………………….……………………………………….191.4.5. Makroviry ..………………………………………………………………..191.4.6. Červi .….…………………………………………………………………..201.4.7. Trojské koně ..……………………………………………………………..211.4.8. Spyware ….....……………………………………………………………..211.4.9. Adware ……..……………………………………………………………..22
2. Druhy útoků ……………..….……………………………………………………..232.1. Definice hackera ……………………………………………………………… 242.2. Dělení a záměry hackerů ………………………………………………………242.3. Nejčastější typy útoků …………………………………………………………26
2.3.1. Útoky typu DoS (Denial of Service) ……………………………………...262.3.2. Útoky typu DDoS (Distributed Denial of Service) ……………………….282.3.3. Útoky typu DRDoS (Distributed Reflection Denial of Service) ………….29
2.4. Metody k získávání informací …………………………………………………302.4.1. Skenování portů ………………………………………………………….. 302.4.2. Hromadný ping …………………………………………………………... 322.4.3. Trasování ………………………………………………………………….322.4.4. WHOIS ……………………………………………………………………33
3. Prevence a zásady bezpečnosti PC ……………………………………………….343.1. Pravidla bezpečnosti a ochrana před útoky ……………………………………343.2. Zabezpečení pomocí software …………………………………………………36
3.2.1. Firewall …………………………………………………………………... 373.2.2. Antivir ……………………………………………………………………. 383.2.3. Anti-Spyware …………………………………………………………….. 383.2.4. AntiSpam ………………………………………………………………… 393.2.5. Ostatní služby (Reatogo-X-PE) ………………………………………….. 39
4. Účinky virů a boj proti virové nákaze …………………………………………...434.1. Projevy počítačových virů ……………………………………………………..444.2. Jak na havěť? ……………………………………………………......................454.3. Likvidace virů ………………………………………………………………… 464.4. Rootkit …………………………………………………………………………46
5. Antivirové programy a jejich porovnání ……………………………………….. 485.1. Metody pro detekci virů ……………………………………………………….485.2. Test antivirových programů …………………………………………………... 50
Závěr …………………………………………………………………………………….. 55
Seznam použité literatury …………………………………………………………….... 56Seznam použitých odborných výrazů …………………………………………………. 57Úvod
Jak z názvu vyplývá, tato práce se bude týkat především zabezpečením osobních
počítačů a obranou před nejrůznějšími typy malware. V dnešní době se počítače rozvíjí
velmi rychlým tempem. Jsou všude kolem nás a stávají se nedílnou součástí života. Bez
internetu by si už většina lidí nedokázala život ani představit. Nejen, že ho potřebují pro
zábavu, k vyhledávání informací, ke komunikaci s okolím a v zaměstnání, ale zároveň na
něm závisí i většina společností. Proto také stoupla hrozba virové nákazy a začalo se šířit
velké množství škodlivého počítačového kódu jako jsou spyware, trojské koně, červi a několik
dalších druhů virů. Je dobré se tedy něco dozvědět o jejich vývoji a taky pochopit, jak pracují a co
způsobují.
Také jednotlivé útoky na počítačové sítě nebo samostatné počítače, které jsou připojeni
do internetu, se stávají mnohem propracovanější a technicky náročnější než v minulosti.
Oblast hackerů se neustále rozrůstá a jejich činnost se stává nebezpečnější.. Těžiště jejich
zájmu je krádež privátních citlivých informací patřících jedinci nebo narušení
počítačových sítí. Proto je potřeba se bránit kombinací různých účinných softwarových
nástrojů a dodržovat základní pravidla bezpečnosti při práci s počítačem, aby se nenakazil
škodlivým kódem. Každý uživatel by měl mít svůj počítač zabezpečený kvalitním
firewallem a také antivirem, zároveň nepodceňovat ani adware a nevyžádanou poštu, která
se nazývá spam. Pokud se již vir objeví v počítači, tak ho rychle identifikovat, zjistit jeho
projevy a co možná nejúčinněji odstranit než napáchá nějakou škodu.
Hlavní cíl této absolventské práce je popsat a zhodnotit odkud a kam malware vlastně
kráčí a vypracovat návrh ochrany před hrozbami napadení. Dále poučit běžného uživatele,
že nejdůležitější je prevence a opatrnost při pohybu po internetu. Podat jakýsi ucelený
pohled na možnosti ochrany dat a přispět k lepší realizaci zabezpečení.
1. Historie a typy malware
Malware je počítačový program určený ke vniknutí nebo poškození počítačového
systému. Výraz malware vznikl složením anglických slov „malicious“ (zákeřný) a
„software“ (počítačový program) a popisuje záměr autora spíše než jeho specifické
vlastnosti. Pod souhrnné označení malware se zahrnují počítačové viry, trojské koně, červi,
spyware, adware a rootkity. V právní terminologii je malware někdy nazýván počítačová
nečistota. Pojem „virus“ se zapsal do podvědomí lidí nejvíce a proto jsou takto často
označovány veškeré typy infiltrací, bez ohledu na to, zda jde opravdu o virus, trojského
koně nebo červa. Ani některé pasáže této práce se tohoto univerzálního označení
nevyvarovaly.
V průběhu let autoři psali zákeřný software z různých důvodů. Mnoho dřívějších
nakažlivých programů, mezi které patří internetoví červi a velký počet virů napsaných pro
operační systém MS-DOS, vzniklo jako experiment nebo žert a většinou se záměrem
vůbec neškodit nebo pouze obtěžovat. Mladí programátoři, kteří studovali možnosti virů a
techniky jejich psaní, vytvářeli takové programy, aby ukázali, že to dovedou, nebo aby
viděli, jak dalece se mohou jejich výtvory rozšířit.
Větší hrozbu představují programy navržené tak, aby poškozovaly nebo zcela mazaly
data. Mnoho virů pro DOS bylo napsáno tak, aby smazaly soubory na pevném disku nebo
aby poškodily souborový systém zapsáním nesmyslných dat. Síťoví červi také patří do této
kategorie, protože byly napsány, aby vandalizovaly webové stránky.
1.1. Vznik nejstarších virů (1960 – 1989)60. – 70. léta
Samotná historie začíná na přelomu těchto let. V této době se na sálových počítačích
pravidelně objevoval program nazývaný "králík". Tyto programy, klonující sebe sama,
obsazovaly systémové prostředky a tak klesala výkonnost systému. Králík většinou
nekopíroval své tělo ze systému do sytému, to byly hlavně lokální úkazy. Hlavní příčinou
králíků byly chyby nebo žert systémového programátora. První incident, který může být
nazýván jako epidemie "počítačový virus", se stal na systému Univac 1108. Vir nazvaný
Pervading Animal přidával sám sebe na konec spustitelných souborů, tak jak to dělají
tisíce moderních virů.
70. léta
Pod operačním systémem Tenex se objevil nově vytvořený vir The Creeper, který k
šíření využíval globální počítačovou síť. Vir byl schopný přenášet své kopie přes modem a
síť do vzdálených stanic. Na boj proti tomuto viru byl vytvořen první známý antivirový
program Reeper.
80. léta
Počítače se staly více populární a vzrostl počet programů, které nebyly z dílen
softwarových firem, ale z klávesnic soukromých osob. Tyto programy mohly být volně
šířené přes servery se všeobecným přístupem - BBS. Nejstarší infiltrací jsou trojské koně
(trojan). Jde o programy, které se v minulosti snažily předstírat užitečnou činnost, ve
skutečnosti ale škodily.
1981
Vir Elk Cloner, šířený na počítačích Apple II, začal éru nových boot virů. Vir se
Připojil k zaváděcímu sektoru diskety. Projevoval se tím, že obracel obrazovku, zobrazoval
blikající text, nebo ukazoval různé zprávy.
1983
Nemělo by se zapomenout ani na experimenty p. Franka Cohena, který vydal článek
„Computer Viruses: Theory and Experiments“. Jeho první pokus s viry uskutečnil
10.9.1983 na počítači VAX 11/750 pod UNIXem, nad kterým ztratil po půl hodině
kontrolu.
1985
Vznikl trojský kůň EGABTR: Sliboval na tehdejších grafických adaptérech CGA lepší
grafiku, než na moderních EGA adaptérech (dokázaly zobrazit fantastických 16 barev !).
Ve skutečnosti smazal všechno na pevném disku a vypsal zprávu „Arf ! Arf ! Gotcha !“.
Ve stejném roce se objevila „hra“ NUKELA. Ač se možná opravdu dala zahrát, po vypnutí
již na disku nic nezůstalo.
1986
První vir pro PC IBM se jmenuje Brain napadal 360kB diskety a rozšířil se po světě
téměř okamžitě. Tajemstvím jeho úspěchu byla společnost nepřipravená na fenomén
počítačových virů. Vir byl vytvořen v Pákistánu bratry se jmény Basit a Amjad Farooq
Alvi. V těle viru zanechali textovou zprávu s jejich jmény, adresou a telefonním číslem.
Autoři byli prodejci softwaru a chtěli zjistit rozsah počítačového pirátství v Pákistánu.
Bohužel jejich experiment opustil hranice Pákistánu. Je také zajímavé, že vir jako první
využíval stealth techniku. Brain byl boot virus, šířící se přes disketu, zapomenutou při
startu PC v mechanice. Jestli se OS pokoušel číst z infikovaného sektoru, vir ho nahradil
čistým původním sektorem. V tomto roce také programátor Ralf Burger zjistil, že
program může vytvořit kopie sama sebe a přidat je do kódu spustitelných programů v
DOSu. Jeho první vir pojmenovaný VirDem byla demonstrace takové schopnosti. Oznámil
ho v prosinci v underground computer fóru, kde se scházejí hakeři, tehdy zaměření na
průniky do systémů VAX/VMS.
1987
Tento rok se objevil vir Vienna. Ralf Burger dostal kopii tohoto viru, prostudoval kód
těla viru A publikoval knihu "Computer Viruses: a High-tech Disease". Burgerova kniha
započala diskusi na psaní populárních knih o virech, vysvětlila jak na to. Mnoho jeho
nápadů bylo ve skutečnosti zrealizováno a některé další viry byly napsány nezávisle na
sobě jako Lehig, Suriv-1, April1st nebo Cascade. Ani ostatní počítače neupadly v
zapomnění. Objevilo se několik viru pro Apple Macintosh, Commodore Amiga a Atari ST.
V prosinci vznikla první síťová virová epidemie nazývaná Christmas Tree. Vir byl psán
REXX jazykem a pronikl do Bitnet sítě v jedné ze západních německých univerzit. Poté
paralyzoval celou síť, která byla přeplněna kopiemi toho viru. Při startu vir ukazoval
obrázek vánočního stromku a poslal své kopie všem uživatelům sítě, jejichž adresy byly v
souborech NAMES a NETLOG.
1988
V pátek 13. několik společností a univerzit v mnoha zemích světa chytilo vir
Jerusalem. Vir zničil soubory, které se v ten den nepodařilo spustit. Pravděpodobně toto je
jeden z prvních MS-DOS virů, který způsobil skutečnou pandemii. Objevovaly se zprávy o
infikovaných počítačích z Evropy, Ameriky a ze Středního východu. Vir dostal jméno po
jednom z míst, kde udeřil - Jeruzalémská univerzita. Jerusalem infikoval tisíce počítačů a
pořád ještě zůstal nepovšimnutý. Antivirové programy nebyly tak běžné jako jsou dnes.
Mnoho uživatelů a dokonce profesionálů nevěřilo v existenci počítačových virů. Je
zajímavé, že ve stejném roce legendární počítačový guru Peter Norton oznamoval, že
počítačové viry neexistují. Nicméně tento klam nezabránil Symantecu v uvedení jeho
vlastního antivirového projektu Norton Anti-virus. V listopadu vznikla totální epidemie
způsobená virem Morris, známý jako internetový červ, od studenta Roberta Morrise.
Tento vir infikoval více než 6000 počítačových systémů v USA (včetně výzkumného
ústavu NASA) a prakticky omráčil jejich práci. Kvůli nevyrovnanému kódu vir posílal
neomezeně kopie sama sebe k dalším sítím. Proto kompletně paralyzoval všechny síťové
zdroje. Morrisův červ způsobil ztráty odhadované na 96 milionů dolarů. Vir k
rozmnožování užíval chyby v operačních systémech Unix pro VAX a Sun microsystems.
Kromě těchto chyb v Unixu vir zužitkoval několik myšlenek, jako na příklad sbíral
uživatelská hesla. Objevily se nové antivirové programy například, Doctor Solomon's
Anti-virus Toolkit, který byl jeden z nejmocnějších antivirových nástrojů.
1989
Vyskytl se nový vir Datacrime, který byl extrémně nebezpečný. Od 13. října do 31.
prosince formátoval harddisk. Tento vir způsobil hysterii v hromadných sdělovacích
prostředcích v Holandsku a Velké Británii. V prosinci vznikl incident s trojským koněm
jménem AIDS. Bylo vytvořeno 20,000 kopií na disketách označených jako "AIDS
informační disketa verze 2.0". Po 90 restartech program zakódoval všechny jména souborů
na disku, nastavil atributy jako neviditelné soubory a nechal jediný soubor pro čtení - účet
na 189 dolarů splatný na adresu P.O. BOX 7, Panama. Všichni čtyři autoři tohoto
programu byli zatčeni a posláni do vězení. Také vzniká další antivirový program IBM
Anti-virus.
1.2. Vývoj malware v 90. letech1990
Začaly se objevovat první polymorfní viry (každý exemplář vypadá odlišně „na
venek“. Stávající antivirové společnosti musely vyvinout nové metody detekce, jelikož
dosud spolehlivý způsob vyhledávání podle řetězců znaků nezabíral. Další velkou událostí
bylo objevení bulharské "továrny na viry", kde bylo vyrobeno velké množství virů jako
Murphy, Nomenclatura, Beast. Tvůrce virů Dark Avenger se stal velice aktivní. Jeho
viry využívaly nové metody infekce a maskování. V červenci počítačový časopis "PC
Today" obsahoval disketu nakaženou virem "DiskKiller". Prodali více než 50,000 kopií.
1991
Ukázkový byl i první multipartitní virus Tequila. Dokázal napadnout systémové oblasti
disku, ale i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth.V létě se
objevil vir Dir_II. Spojoval používání podstatně nových metod infekce souborů.
1992
Téměř vůbec nevznikají viry pro jiné počítače než pro IBM PC a OS MS-DOS. Chyby
v sítí jsou opravené a síťové červy ztratily schopnost se rozšiřovat. Nejvíce se šíří
souborové a bootovací viry. Tento rok je také rokem generátorů. Běžný uživatel si tak
mohl během několika sekund vytvořit vlastní virus. Stačilo jen nastavit parametry
budoucího viru (způsob šíření, projevu apod.), stisknout tlačítko „generovat“ a nový virus
dle definovaných požadavků byl na světě. Obzvláště PS-MPC generátor se významně
rozšířil. V březnu vznikla epidemie viru Michelangelo a následující hysterie.
Pravděpodobně toto je první známý případ, kdy antivirové společnosti záměrně nechránily
uživatele před nebezpečím, ale přitahovaly pozornost k jejich produktu s cílem vytvořit
zisky. Jedna americká antivirová společnost oznámila, že 6.března budou zničeny
informace v pěti stech milionech počítačů. Následkem tohoto rozruchu vydělaly jiné
antivirové společnosti. Ve skutečnosti trpělo tímto virem jen 10,000 počítačů. Novou éru
ve tvorbě virů nastaroval ke konci roku 1992 první Windows vir, který napadá spustitelné
soubory pro Windows.
1993
Microsoft vytvořil vlastní antivirový program MSAV. Nejvýznamnější viry tohoto roku
jsou: Emmie, Metallica, Bomber, Uruguay a Cruncher - použití základních nových
technik "skrývání" jeho vlastního kódu uvnitř infikovaných souborů.
1994
Objevila se jedna z legend, virus One_Half.3544.A. Tento silně polymorfní a
multipartitní virus ze Slovenska způsobil rozruch široko daleko. Ke slávě mu napomohla i
skutečnost, že ho řada antivirů nedokázala stoprocentně detekovat. Dekryptovací
algoritmus viru One_Half byl rozdělen na několik navzájem propojených„ostrůvků“, které
byly „rozsety“ po infikovaném souboru. Tehdy velice rozšířený antivirus McAfee
VirusScan nedokázal tuto překážku překonat ani o několik měsíců později a tak zůstávala
značná část exemplářů mimo detekci. One_Half postupně kódoval obsah pevného disku
podle určitého klíče, který si s sebou nesl. Pokud byl One_Half neodborně odstraněn
(včetně tohoto klíče), znamenalo to i ztrátu zakódované části dat. Další vlna paniky byla
vytvořen zprávou o viru GoodTimes, který se měl údajně šířit pomocí Internetu a nakazit
počítač při přijímání e-mailu. Žádný takový vir opravdu neexistoval, ale za čas se objevil
obvyklý DOSový vir obsahující textový řetězec "Good Times". Byl nazýván GT-Spoof.
Zákon zvýšil své aktivity a v létě 1994 byli autoři viru SMEG zatčeni. Objevily se i nějaké
nové neobvyklé viry: Shifter - první vir, jenž napadá object modules (OBJ soubory).
SrcVir - virová rodina, která infikuje zdrojové kódy (C a Pascal).
1995
I když příchod operačního systému Windows 95 sliboval zánik počítačových virů, jako
by budoucí vývoj předznamenal boot virus Form, který byl společností Microsoft
distribuován společně s Windows 95 beta testerům na instalačních disketách. Jeden z nich
nebyl líný a disky prověřil. Jeden z přelomů v historii virů a antivirů se stal v srpnu.
Objevil se první životaschopný vir pro Microsoft Word Concept. V jediném měsíci vir
obešel svět a stal se jedničkou ve statistickém výzkumu. Objevilo se několik vtipných virů
jako Bisexual, RNMS nebo Winstart.
1996
Prvním opravdovým virem pro Windows 95 byl virus Win95/Boza.A. I když nešlo o
žádný programový zázrak (Boza se dokázala šířit pouze pod určitými verzemi Windows 95
v určitých jazykových verzích), byla Boza impulzem pro vznik dalších virů pro Windows a
vyvrátila tvrzení, že s příchodem Windows 95 skončila éra virů. V průběhu roku se objevil
i první makrovirus pro Microsoft Excel – Laroux a později ho následovaly i tzv. „cross“
makroviry, schopné šíření ve formě dokumentů Wordu, ale i sešitů Excelu. Koncem roku
se objevil i první „paměťově rezidentní“ virus pro Windows 95 – Win95/Punch, který
infikoval všechny otevírané EXE soubory. Během dvou let zopakovali způsoby , jak se
zlepšovaly viry pro DOS. Krok za krokem začali používat stejné rysy, které DOSové viry
používaly deset let před nimi, ale na jiné technologické úrovni.
1997
Objevil se první vir pro Linux - Linux.Bliss. V dubnu vznikl Homer, první síťový
červ, který používal režim pro přenos souborů FTP. Další byl Esperanto - první vir, který
se snaží nakazit spustitelné soubory nejen pro DOS a Windows32, ale také se rozšířit do
Mac OS (Macintosh). Naštěstí vir není schopný rozšířit se kvůli chybám. V prosinci se
objevil nový typ virů - "mIRC červi". V nejpopulárnějším Windows chat byla objevena
"díra" dovolující virům zapisovat na disk přes IRC-kanály.
1998
Objevovalo se mnoho trojských koní, které se snažily krást hesla k přístupu na Internet.
Bylo odhaleno několik incidentů s infikovanými CD. Také se narodil AccessiV, první
Microsoft Access vir. I souborové viry dělaly své pokroky. V únoru a v březnu byly
objeveny první polymorfní Windows32-viry Win95.HPS a Win95.Marburg. Jedna z
největších epidemií nastala v červnu. Na začátku to byla masa, pak se stala globální a pak
to lze vyjádřit jen slovy jako počítačový holocaust. Vir Win95.CIH byl poprvé
zaregistrovaný na Taiwanu, kde neznámý hacker poslal infikované soubory do místní
internetové konference. Odtud se vir rozšířil v USA a začal se šířit pomocí infikovaných
počítačových her z několik populárních serverů do celého světa. Právě tyto napadené
soubory způsobily, že tento vir dominoval počítačovému světu po celý rok. Později ho
novináři pojmenovali jako „Černobyl“. Virus „Černobyl“ byl zajímavý tím, že se každého
26. dubna (záleželo na variantě) pokusil přemazat paměť Flash BIOS na základní desce a
kromě toho i část dat na disku. Pokud se přemazání paměti Flash BIOS zadařilo, pak nebyl
počítač schopný provozu. Jinak než zásahem do hardwaru nebylo možné tento problém
vyřešit. Tento virus tak částečně narušil do té doby spolehlivé tvrzení, že hardware nelze
virem poškodit. Ve stejném roce se začínají objevovat i první skriptové viry, například
VBS/Rabbit nebo HTML/Internal.
1999
Objevil se jeden z dalších červů, který se dokázal šířit prostřednictvím emailové zprávy.
Jmenoval se Happy99 a jeho princip šíření byl jednoduchý: ke každé odesílané zprávě
připojil svoje tělo (ve formě souboru HAPPY99.EXE, který byl v příloze) a doufal, že ho
adresát spustí (pak se celý proces opakoval s tím rozdílem, že adresát byl odesílatelem). Za
pár dní dokázal Happy99 to, co ostatní viry nedokážou za několik měsíců - masivně se
rozšířit. Dalším hitem tohoto období jsou viry, které vykrádají údaje z počítače uživatele.
Jedním příkladem byl i makrovir W97M/Caligula, který manipuloval s klíči PGP a snažil
se je odeslat někomu, kdo je sbíral.
2 000
Další velkou novinkou se stal makrovir W97M/Melissa. Ten se mimo jiné dokázal šířit
opět prostřednictvím emailové zprávy. Netrvalo ale dlouho a autor makroviru byl za
pomoci organizace FBI vypátrán. Hitem se ale stal vir ILOVEYOU. Lidé ho dostali jako
e-mail s předmětem ILOVEYOU. V příloze je soubor LOVE-LETTER-FOR-
YOU.TXT.vbs. Pokud se tento soubor spustil, nastavil se vir pro spouštění při každém
startu počítače a všechny soubory na lokálních a síťových discích s příponami JPG, JPEG,
MP3, MP2, VBS, VBE, JS, JSE, CSS, WSH, SCT a HTA nahradí a přepíše svou kopií.
Dále se na všechny adresy v adresáři Outlooku odešle tatáž kopie souboru.
1.3. Současnost a budoucnost škodlivých programů2001 - ?
V tomto období vzniklo a ještě vznikne tisíce nových virů. Možností, které před sebou
autoři virů v současné době mají a i v budoucnosti mít jistě budou je obrovské množství.
Význam Internetu a počítačových sítí každým rokem velice stoupá. Pravděpodobnost
napadení dalšího počítače je několikanásobně vyšší v případě, kdy se virus umí šířit sám,
než když mu někdo musí pomoci s disketou nebo jiným způsobem. Díky rostoucímu
rozšíření produktů, které používají nějakou formu interpretovatelného jazyka (makra,
skripty), získaly počítačové viry další možné hostitele - dokumenty a jiné soubory
používané těmito aplikacemi. V tomto případě záleží bezpečnost na programátorech
daného produktu - např. umožněním zákazu vykonávání maker nebo skriptů, hlídáním
potenciálně nebezpečných akcí typu zápisu na disk, apod. Přestože převážná většina virů je
určena pro operační systém Windows, aplikace MS Windows a platformu PC, objevují se
viry i pro jiné operační systémy (např. Linux) a ostatní platformy (pro Apple nebo v
mobilech) a se stoupající oblibou těchto systémů bude tento trend pravděpodobně
pokračovat. Směr, jakým se viry budou vyvíjet je již načrtnutý.
Mezi základní principy, které bude nový malware využívat v budoucnosti, bude patřit:
Přenositelnost – platformová nezávislost, možnost fungovat na různých operačních
systémech
Neviditelnost – používání stealth technik, ztěžování detekovatelnosti antiviry a i
uživatelem
Nezávislost – šíření automaticky bez zásahu uživatele, třeba používáním vestavěné
databáze
Učení – možnost učit se nové věci, aktualizovat kód, používat plug-iny, komunikovat
a stahovat nové informace ze sítě od ostatních instancí
Integrita – strukturu malware a jeho komunikační sítě musí být těžké vysledovat,
upravit, rušit nebo zničit
Polymorfismus – tělo musí být plně polymorfní, každá instance musí vypadat jinak
Použitelnost – malware musí být schopen plnit zadané příkazy – například dostane
instrukce, které provede, a pak se smaže ze všech systémů
1.4. Rozdělení malware viry – kód zapsaný s výslovným záměrem šířit sám sebe. Virus připojí sám sebe k
hostitelskému programu a poté se pokusí šířit z počítače do počítače. Může poškodit
hardware, software nebo informace. Dále je lze rozdělit na:
boot viry (napadají pouze systémové oblasti)
souborové viry (napadají pouze soubory)
multiparitní viry (napadají soubory i systémové oblasti)
makroviry (napadají aplikace pomocí maker)
červi – obvykle se šíří bez účasti uživatele, přičemž distribuuje své úplné kopie
(případně pozměněné) v rámci sítí. Může spotřebovávat paměť nebo šířku pásma sítě,
což může vést ke zhroucení počítače.
trojské koně – program, který se jeví jako užitečný, ale ve skutečnosti působí škody.
Trojští koně se šíří tím, že jsou uživatelé zlákáni k otevření programu, protože si
myslí, že pochází z legitimního zdroje.
spyware – obecný pojem používaný k popisu softwaru, který se chová určitým
způsobem, například zobrazuje reklamu, shromažďuje osobní informace nebo mění
konfiguraci počítače, obvykle bez získání předchozího souhlasu
adware (advertising-supported software) – označení pro produkty znepříjemňující
práci s nějakou aplikací reklamou. Ty mohou mít různou úroveň agresivity - od
běžných bannerů až po neustále vyskakující pop-up okna nebo změnu domovské
stránky.
1.4.1. Definice virů a různé možnosti dělení Definici počítačového viru jsem si vypůjčil od Freda B. Cohena: „Počítačový virus je
počítačový program, který může infikovat jiný počítačový program takovým způsobem, že
do něj zkopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci
viru.“ Tento program je schopen se bez vědomí uživatele množit a provádět nežádoucí
operace. Protože z každého zavirovaného programu může být nakaženo mnoho dalších
programů, připomíná množení virů řetězovou reakci. Každý virus, ať už se jedná o
jakýkoliv typ, je svým způsobem nebezpečný a pochopitelně v počítači nežádoucí. K jeho
zlikvidování existují takzvané antivirové programy, které vir dokáží vyhledat a odstranit.
Je mnoho rozdílných možností jak viry dělit podle jejich vlastností.
Podle umístění v paměti:
Rezidentní - tyto viry se při spuštění infikovaného programu většinou nelegálně nebo
pomocí služeb operačního systému umístí jako běžné rezidentní programy do paměti.
Poté jsou schopny napadat každý nově spuštěný program. Souborový virus se usídlí v
paměti po prvním spuštění souboru. Virus zůstává v paměti, dokud není počítač
vypnut. Rezidentní viry byly těžko detekovatelné. Po zapnutí počítače jsou okamžitě
schopny infekce souborů či boot sektoru nebo tabulky rozdělení disku. Velkou
výhodou rezidentního viru je, že si nemusí sám hledat programy vhodné k napadení.
Stačí mu sledovat, se kterými soubory se pracuje a může na ně pak zaútočit.
Nerezidentní – nepotřebují být trvale přítomny v paměti. Aktivují se spuštěním
hostitelského programu. Pak převezmou řízení jako první, provedou svoji činnost
(replikaci) a pak vrátí řízení hostitelskému programu. Jsou to vždy souborové viry.
Podle způsobu obrany proti odhalení:
Stealth viry - pokud jsou aktivní, jsou schopny ovlivnit chování celého systému tak,
aby co nejdůkladněji zamaskovaly svou činnost v počítači. Využívají pro to několik
způsobů. Například pokud je takový virus rezidentní v paměti, vrací při pokusech o
zjištění délky souboru jeho délku před infikováním. Jiný způsob zamaskování své
činnosti je schopnost viru dočasně odstranit infikovanou část a tím zabránit správné
identifikaci. Jako stealth vir se může projevovat i bootsektorový vir, který dokáže
původní obsah tabulky uložit do některého volného sektoru a při pokusu o čtení
tabulky zajistí, aby nebyla čtena skutečná tabulka, ale její původní obsah. Velmi
dobrý nástroj pro odhalení této obrany poskytuje programu Reatogo-X-PE.
Polymorfní viry - polymorfismem mohou být vybaveny i starší viry. Zatímco
klasické viry zachovávají ve všech kopiích vždy stejný kód, polymorfní vir nemusí
mít stejný ani jeden bajt, protože v souboru se zakóduje. Před spuštěním
polymorfního viru se nejprve aktivuje jeho část, která obsahuje algoritmus pro
dekódování zbylé části. Detekce těchto virů je obtížná, protože nelze užít skenovacích
programů, které vyhledávají v souborech řetězec, který je charakteristický pro určitý
vir. Antiviry proto spíš vyhledávají určité instrukce, které jsou charakteristické pro
chování virů. U polymorfních virů si vir pro každý napadený soubor vytváří zcela
jinou dekryptovací funkci. Také makroviry mohou být polymorfní.
Základní dělení virů je odvozeno z toho, které objekty napadají.
1.4.2. Boot viry Jak již sám název kategorie virů napovídá, jedná se o viry, které mají spojitost se
zaváděním systému (bootováním). Vir napadne boot sektor nebo partition tabulku pevného
disku či diskety. Při zavádění systému je pak pohodlně aktivován a převezme kontrolu nad
funkcemi systému. Jestliže virus obsadil partition tabulku, následné její obsah bezpečně
uloží a vzhledem k systému, resp. požadavkům softwaru se partition tabulka jeví v
pořádku.
Vir se šíří prostřednictvím boot sektoru disket. Aby byl počítač takovým virem
napaden, je třeba z nakažené diskety nabootovat (např. necháme-li v disketové mechanice
nakaženou disketu a spustíme ho). Škodlivý kód je spuštěn, nahraje se do operační paměti
a začne provádět svou nekalou činnost:
„nakazí“ pevný disk, přesněji řečeno, nahraje se do systémové oblasti tohoto disku,
aby se mohl aktivovat při každém dalším spuštění
nakazí každou disketu, která je do počítače vložena
provádí další činnosti, které do něj byly programátorem vloženy – maže soubory nebo
třeba časem zformátuje pevný disk.
Virus po své aktivaci samozřejmě nahraje i operační systém tak, aby uživatel o
přítomnosti viru neměl ponětí. Jedinou metodou šíření nákazy je snaha nahrát operační
systém z nakažené diskety. Protože používání disket a zavádění systému z přenosných
médií už není časté, s boot viry se již příliš často nesetkáváme.
1.4.3. Souborové viry Druhým hostitelem pro viry jsou spustitelné soubory. Tedy soubory obecně označované
jako programy. Ty totiž mají vykonávat nějakou činnost a této vlastnosti může zákeřný kód
využít. Spustitelné soubory poznáme podle přípony, např. *.com, *.exe, *.bat, *.ovl, *.sys).
Spuštěním nakaženého souboru se virus nahraje do operační paměti počítače, stává se tzv.
rezidentním, a podle záměru svého tvůrce provádí svou činnost, Aby se mohl dále šířit,
nakazí podle různých pravidel další soubory. Možnosti má dvě: soubory prodlouží –
připojí své těla za původní soubor a vloží do něj informaci, aby se nejprve spustil virus a
teprve potom původní soubor (takové viry se dají odhalit porovnáním původní délky
souboru s aktuální), soubory přepíše – délka sice zůstane stejná, ale soubor je zničen a
nedokáže již vykonávat svou původní činnost. Podobné jsou clusterové viry - upravují
FAT tabulku, tedy neprovádějí změny v souborech, ale mění informace v adresářové
položce daného souboru tak, že přesměrují ukazatel počátku souboru na kód viru. Tím je
před spuštěním souboru aktivován vir. Kód viru je ale mimo napadený soubor.
1.4.4. Multiparitní viry Hlavní výhodou bootvirů je to, že se dostanou do paměti jako vůbec první proveditelný
kód zaváděný z disku nebo diskety. Časné zavedení je ovšem současně i jejich nevýhodou
- nemají totiž ještě k dispozici služby operačního systému a jsou tak odkázány na nejnižší
úroveň systémových služeb BIOSu, nemohou infikovat soubory a možnosti jejich rychlého
šíření jsou proto omezené. Souborové viry mohou využít služeb operačního systému a
napadají soubory - je mnohem pravděpodobnější, že se pokusíte spustit infikovaný
program, než že se pokusíte nastartovat systém z infikovaného média.
Multipartitní viry využívají výhod obou výše zmíněných postupů. Dokáží napadnout
nejen zaváděcí oblast disku nebo diskety, ale i spustitelné soubory. Při útoku na soubor
mohou multipartitní viry vyžívat libovolný postup souborové infekce a napadení
systémové oblasti je shodné s technikami používanými běžnými bootviry.
1.4.5. Makroviry
Tyto viry jsou psány v pokročilých makrojazycích současných moderních
kancelářských balíků a ve výhledu do blízkého budoucna představují jeden z
nejnebezpečnějších virových problémů vůbec. Nejoblíbenějším cílem makrovirů je zatím
Microsoft Word, který je pro vytváření maker vybaven klonem programovacího jazyka
Basic – Word Basicem, jehož schopnosti k vytvoření viru bohatě dostačují. Pro Excel
existuje zatím virů méně, ale jeho VBA (Visual Basic for Applications) je nástrojem ještě
mocnějším. Hlavním důvodem tohoto rozšíření je, že napadají dokumenty, které jsou
nejčastěji sdíleny mezi uživateli. Díky tomu je šíření makrovirů jednoduché a rychlé.
Obliba makrovirů vznikla díky ignorování bezpečnosti v produktech od Microsoftu.
Stačí vhodně pojmenovat makro a to se samo spustí při otevření infikovaného dokumentu
nebo při zvolení nějaké položky v menu ovládání programu. Tento přístup je o to
smutnější, že specialisté antivirových firem na tato nebezpečí marně upozorňovali již
dávno. U nás je situace nepatrně lepší díky používání lokalizovaných verzí kancelářských
systémů – pilní překladatelé totiž přejmenovali i některé vnitřní texty, které makroviry
používají ke svému množení. To je ovšem výhoda pouze dočasná, protože k vytvoření
úspěšného makroviru stačí pranepatrné programátorské znalosti, takže se jistě
v budoucnosti dočkáme dalších makrovirů.
1.4.6. Červi Počítačový červi (worms) jsou zvláštním typem viru, pracují na nižší síťové úrovni
nežli klasické viry. Nešíří se ve formě infikovaných souborů, ale síťových paketů.
Jmenované pakety jsou směrovány již od úspěšně infikovaného systému na další systémy v
síti Internet (ať už náhodně, nebo dle určitého klíče). Pokud takový paket dorazí k systému
se specifickou bezpečností dírou, může dojít k jeho infekci a následně i k produkci dalších
„červích“ paketů.
Šíření červa je tedy postaveno na zneužívaní konkrétních bezpečnostních děr
operačního systému, úspěšnost pak od rozšířenosti daného softwaru obsahující
zneužitelnou bezpečnostní díru. Červi na rozdíl od virů nepotřebují hostitele. Jde o
samostatné programy, které se dnes šíří samostatně pomocí počítačových sítí nebo e-mailu.
Při svém šíření využívají metod sociálního inženýrství.
Nejčastějším způsobem je šíření jako příloha elektronické pošty, často s maskovanou
příponou. Soubor má přípony dvě – např. foto.jpg.vbs. Protože Windows jsou běžně
nastaveny tak, aby příponu souboru skrývaly, vidí uživatel jen foto.jpg. A když uživatel
klikne na obrázek, tak ho svou nevědomostí spustí.
1.4.7. Trojské koně Narozdíl od virů není tento typ škodlivého kódu schopen sebe-replikace a infekce
souborů. Trojský kůň (trojan horse) nejčastěji vystupuje pod spustitelným souborem typu
EXE, který neobsahuje nic jiného (užitečného), než samotné „tělo“ trojského koně. Odtud
společně se skutečností, že trojan není připojen k žádnému hostiteli plyne, že jedinou
formou dezinfekce je odmazání dotyčného souboru.
Příklady funkcí trojských koní:
sniffer – odposlouchávání přístupových jmen a hesel, čísel kreditních karet
keylogger – sledování (záznam) znaků zadávaných z klávesnice
proxy trojan – maskuje ostatní jako infikované počítače
Security software disabler – zablokuje software pro zabezpečení PC (Firewall)
denial-of-service – trojský kůň se účastní DDoS útoku
URL trojan – přesměrovává připojení k internetu infikovaných PC na dražší tarify
backdoor – pomocí síťové služby útočník získá přístupu do systému přes síť
spam server – rozesílání nevyžádané elektronické pošty z napadeného počítače
souborový server – trojský kůň nainstaluje např. P2P program (stahování souborů)
1.4.8. Spyware Spyware je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho
uživatele. Narozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled
navštívených stránek či nainstalovaných programů. Tato činnost bývá odůvodňována
snahou zjistit potřeby nebo zájmy uživatele a tyto informace využít pro cílenou reklamu.
Nikdo však nedokáže zaručit, že informace nebo tato technologie nemůže být zneužita.
Důležitým poznatkem je, že spyware se šíří společně s řadou sharewarových programů a
jejich autoři o této skutečnosti vědí.
Nejčastějších příznaky výskytu spyware:
nežádoucí domovská stránka (přesměrování na jinou webovou stránku)
pomalý start počítače a dlouhé nabíhání internetu
přesměrování telefonní linky - Dialery
padající Windows (častý restart, chyby, apod.)
nové ikony na ploše, které se záhadně objevují
1.4.9. Adware Obvykle jde o produkt, který znepříjemňuje práci s PC reklamou. Typickým příznakem
jsou „vyskakující“ pop-up reklamní okna během surfování, společně s vnucováním
stránek, o které nemá uživatel zájem. Část Adware je doprovázena tzv. „EULA“ - End
User License Agreement – licenčním ujednáním. Uživatel tak v řadě případů musí
souhlasit s instalací. Adware může být součástí některých produktů (např. DivX). Ačkoliv
nás reklama doprovází během celé činnosti s daným programem, odměnou je větší
množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné.
Obr 1. Graf četnosti malware
2. Druhy útoků Útok z webu se dá rozdělit do dvou základních skupin:
pasivní (tyto útoky pouze sledují komunikaci mezi klientem a serverem. Jedná se o
základ pro další zákeřnější útoky)
aktivní (tyto útoky mění a falšují zasílané zprávy, případně blokují službu, např.
zaplavováním serveru falešnými požadavky)
Útoky na software
Buffer overflow (BOF) - poměrně velký okruh slabin, jejichž příčinou je
programátorská chyba, kvůli níž dochází za jistých okolností k nežádoucímu přepsání
paměti, čehož lze zneužít pro spuštění vlastního kódu.
Zneužití chyb ve WWW aplikacích - nejčastěji SQL injection či podobné variace,
kdy lze, opět kvůli chybě programátora, prostřednictvím manipulace s dynamickými
parametry WWW stránek ( cookies) proniknout na server či neoprávněně získat data.
Síťové techniky:
sniffing - jedná se o techniku, při které dochází k ukládání a následnému
čtení TCP paketů. Používá se zejména při diagnostice systému (sítě) a
odposlechu datové komunikace.
spoofing - je podvržení referenční stránky, ze které jakoby přicházíte.
Využívá se toho, že mnoho stránek, v rámci jednoho hesla, umožňuje přístup
na další stránky.
Denial of service (DoS) útoky:
flooding - zahlcení linky, zahlcení systému požadavky, zahlcení emailovými
zprávami atd.
distribuované DoS (při současných technologiích prakticky není obrany).
Útoky na heslo - Staré a stále účinné metody, které využívají neschopnosti uživatelů
pamatovat si a užívat delší a složitější přístupová hesla.
Útoky na hardware
Sem patří útoky jako sniffing, keylogging a podobné, neboli odchytávání dat. Aby hacker
mohl úspěšně odchytávat data, je pro něj důležité znát o daných počítačích či sítích co
nejvíce. Zde se vyplatí investovat do bezpečnosti a používat přinejmenším šifrované
spojení. A pokud se hacker dostane do prostor s počítači, může to být úplná katastrofa.
2.1. Definice hackera Hackeři jsou počítačoví specialisté či programátoři s detailními znalostmi fungování
systému, dokážou ho výborně používat, ale především si ho i upravit podle svých potřeb.
Úmyslem hackerů nebývá ničit či zneužívat informace získané nelegálním způsobem.
V masmédiích se však tento termín začal mylně používat pro počítačové zločince a
narušitele počítačových sítí, kteří se správně označují termínem cracker. Dnes jsou oba
pojmy často nesprávně zaměňovány a jako pojem blízký původnímu významu se používá
také termín geek. Původní hackeři z velké části přispěli ke zrodu počítačové sítě Internet či
hnutí svobodného software. Za pravděpodobně nejslavnějšího hackera je považován Kevin
Mitnick.
Člověk, který si říkal „Mentor“ roku 1986 sepsal tzv. Hackerův manifest. V něm se
mimo jiné píše: …Ano, jsem zločinec. Mým zločinem je zvědavost. Mým zločinem je
posuzování lidí podle toho co říkají a co si myslí a ne podle toho, jak vypadají. Můj zločin
je to, že jsem chytřejší než ty, což je věc, kterou mi nikdy neodpustíš. Jsem Hacker a toto je
můj manifest. Můžete zastavit jednotlivce, ale nemůžete nás zastavit všechny… Dále v něm
kritizuje společnosti a firmy, které si nechávají platit za služby, které by jinak mohly být
zadarmo. Popisuje v něm také svůj vztah ke kyberprostoru. Hlavní kritice ovšem podrobuje
podle svého názoru zkostnatělou a prohnilou lidskou společnost, která je slepá a jde jí jen o
vlastní krátkodobý prospěch. Přestože s Mentorovými názory spousta lidí nesouhlasí a
považuje je za škodlivé, je tento manifest obecně uznáván hackery i crackery.
2.2. Dělení a záměry hackerů Základní rozdíl mezi dvěmi hlavními skupinami je, že hackeři věci vytvářejí a crackeři
je nabourávají.
hacker - člověk, většinou schopný programátor, který využívá bezpečnostních chyb
(tzv. bugů) a proniká do systému za účelem získávání informací ze serveru i o
serveru.
cracker - crackování je odvětví hackingu, netýká se nabourávání do systému ale tzv.
crackování programů. Prostě se hledají "bezpečnostní kódy" programů a pak se
vytvoří jiný program, který příslušný soubor (hlavní spustitelný soubor) "crackne".
Tím se odstraní omezení v podobě Shareware či Trial verze. Týká se také KeyGenů,
tj. programů, která generují čísla na základě generovacích postupů programů, takže si
program můžete zaregistrovat na vlastní jméno.
phreakři (ph=phone, freaks=podivíni) - jsou další subkulturou crackerů a jejich
činnosti jsou zaměřeny na vnikání do telekomunikačních systémů a obecněji na
krádež telefonní služby (napichování služby, hovory na účet někoho jiného nebo
telekomunikační firmy) a na sběr a využívání ukradených telefonních informací (čísla
tel. karet, domácí tel. čísla, apod.).
rhybáři (phishing) - těžiště jejich zájmu je krádež obecnějších privátních citlivých
informací patřících jedinci. Těmito údaji mohou být především údaje o platební kartě
nebo krádež přístupového jména a hesla, s jejichž pomocí lze na dálku manipulovat s
bankovním kontem. Hlavním metodou phishingu je sociální inženýrství a vzhledem k
tomu proti němu vlastně neexistuje dobře fungující automatická ochrana. Nejčastěji je
prováděn pomocí e-mailů (ale i pomocí falešných webových stránek), které vypadají
naprosto legitimně a mají snahu vypadat oficiálně – správná adresa odesílatele (na
první pohled), veškeré formální náležitosti jsou také splněny, a obsah, který žádá
např. o potvrzení nebo doplnění bankovních údajů (typickým příkladem poslední
doby je útok na Českou spořitelnu).
lamer - člověk, který ještě nemá dostatečné znalosti k hackování, a tak se pokouší
hackovat, až získá tolik zkušeností a poznatků, že se hackerem stane.
Čistokrevní hackeři šíří učení, že informace mají být dostupné všem. Proto se snaží k
chráněným informacím dostat. Dá se říci, že neškodí, na nalezené chyby dokonce
upozorňují a jsou tak ve své podstatě prospěšní. Ne všichni jsou ale takto morálně čistí a
právě tito nečistokrevní hackeři jsou „původci zla“. Někteří se mohou chtít obohatit (třeba
prodejem ukradených informací), jiným jde o prestiž (dokázat sobě i ostatním, jak jsou
schopní), další jen škodolibě škodí. Hackeři se pomocí různých cest dostávají k datům a
nastavením na cizích počítačích. Někdy jim jde jen o to server (počítač) přetížit, vyřadit z
provozu, nebo ho restartovat. Mohou získat vládu nad systémem a dělat si, co se jim zlíbí.
Mezi hlavní motivační impulsy hackerů tedy patří:
obyčejná zvědavost – napomáhají k tomu média a jejich zveličování hackerů, které
vede lidi ke zvědavosti, jak to oni dělají
pocit dokonalého programátora – chtějí se seberealizovat v tom, co nejlépe umí
finance – můžou být hlavním důvodem především pro crackery
ničit, uškodit ostatním – dělají hlavně škodolibí lidé, kteří z toho mají radost
touha po slávě – když se dostanou do velkého serveru, tak se stanou slavnými
2.3. Nejčastější typy útoků Počítačům připojeným k internetu hrozí řada různých typů útoků. Třeba DoS, Ping
of Death nebo Teardrops Attack. Nejčastějším typem útoků jsou takzvané DoS (Denial of
Service, odepření služby) nebo DDoS (Distributed DoS). Jedná se o útoky, při nichž jsou
různými způsoby zahlcovány servery, čímž dochází k jejich vyřazení z činnosti. Motivy
tohoto jednání mohou být různé od pouhé zlomyslnosti či snahy hackera o zviditelnění
až po nějaký praktický účel, jako je třeba přinucení správce restartovat
server, na nějž byl předem umístěný škodlivý kód. Faktem ale každopádně je, že
provést DoS nebo DDoS útok je výrazně jednodušší, než dotyčný server přímo
napadnout.
2.3.1. Útoky typu DoS (Denial of Service) Mezi oblíbené aktivity hackerů patří útoky, jejichž cílem je odepření služeb napadených
počítačových systémů. Takové útoky bývají obávanými nočními můrami systémových a
síťových administrátorů. Prvním typem útoků vedoucích k odepření služeb je DoS; cílem
je zpravidla naprosto si osvojit prostředky napadeného systému a následně znemožnit
serveru vykonávat standardně nabízené služby. Jako příklad lze vzít poštovní server, který
byl schopen přijímat a odesílat například 40 zpráv za sekundu. A co může udělat v tomto
případě útočník? Jednoduše se snaží překonat kapacitu serveru a zasílal například 100
zpráv za sekundu, což samozřejmě vede k požadovanému zahlcení.
Pod zkratkou DoS se ovšem skrývá celá množina útoků, jejichž společným znakem je
většinou poškození dobrého jména napadeného serveru a snížení důvěryhodnosti před
širokou veřejností. Typickým představitelem útoku DoS je tzv. SYN flooding. Jeho cílem
není poškodit data, ale znemožnit serveru poskytovat nabízené služby, například již
zmiňované přijímání a zasílaní zpráv. A právě masivním zasíláním paketů požadujících
navázání spojení a neprovedením třetí konečné fáze úvodní výměny informací se útočník
snaží zahltit server a znemožnit mu tak být k dispozici řádným uživatelům, kteří v daném
okamžiku také požadují jednotlivé služby.
Kolik existuje DoS útoků? Počet těchto útoků je číslo, které se neustále zvyšuje. Nové
DoS útoky jsou objevovány velice rychle. V současné době přibývají pouze DoS útoky
využívající chyb. Chyby umožňující DoS útok jsou nejvíce objevovány v operačním
systému a programech. Nejhorší ale je, když je chyba v něčem, co je používáno co
největším počtem počítačů, což jsou hlavně síťové protokoly (UDP, TCP, IP, HTTP atd.).
Jednotlivé typy útoků:
Smurf Attack (šmoulí útok) – jeho cílem je pomocí dalších počítačů zahltit úrčitý
server. V praxi jsou možné dva modely. Především je zde možnost poslat ICMP echa
s podvrženou adresou na velké množství počítačů. Každý z nich pak přebere pakety a
odpoví na ně. Tedy odpoví na podvrženou adresu – a protože odpoví korektním
způsobem, je výsledný tok dat vyšší než tok dat odeslaný hackerem. Druhý způsob
útoku je možné provádět proti host serveru. Útočník vytvoří velké množství
speciálních ICMP požadavků, které pošle na příslušný server. Vzhledem k tomu, že
veřejný paket nemá konkrétního adresáta, je následně přebrán všemi adresami v síti.
Fraggle – funguje v podstatě stejně, ale nepoužívá pakety ICMP, nýbrž UDP. Vlastně
se nejedná o žádnou novinku, ale o jednoduchý přepis zdrojového útoku kódu smurfu.
A oběti tohoto útoku jsou vždy dvě – je to vlastní cíl a jednak počítače použité k jeho
provedení (zesilovače).
UDP Flood – patří do kategorie těch, které útočí brutální silou. Hacker využije UDP,
normálně používaný k internímu diagnostikování systému. Pokud se mu podaří
zapnout tuto službu (která pak generuje sérii znaků pro každý paket, který přijme)
současně se službou UDP echo jiného systému (který také odpovídá na každý
obdržený znak), je výsledkem nekonečný proud nesmyslných dat mezi dvěma
systémy.
SYN attack – při této metodě útočník využívá způsob, jakým se pomocí TCP/IP
protokolu navazuje spojení. Při tomto útoku hacker zahlcuje systém neustálým
posíláním TCP SYN paketů. Na každý paket reaguje cílový systém posláním
odpovědi SYN-ACK v handshakingové sekvenci a čeká na ACK, které po něm
následuje. Dokud ho nedostane, zařadí všechny nevyřízené SYN-ACK do fronty,
která je obvykle velmi malá, a při jejím zaplnění systém začne ignorovat všechny
SYN pakety. Fronta může být vyprázdněna pouze tehdy, když přijde ACK nebo
pokud interní časovač nepřeruší celý proces navazování komunikace. Zdroj adres z
klienta je samozřejmě padělaný, takže ACK nemůže nikdy přijít a takto vytvořená
fronta se nikdy nevyprázdní. Systém se stává pro legální SYN pakety nedostupný.
Land attack - útok je jednoduchým hybridem SYN útoku, při kterém útočník
zahlcuje cílový systém pakety s padělanou IP adresou. Většina výrobců OS, přestože
se jedná o nový druh útoku, už vydala opravy, které tento útok znemožňují.
Ping of Death – využívá příkazu Ping, kterým se běžně zjišťuje, zda vzdálený server
pracuje. Útočník vytvoří abnormálně velký Ping IP paket, který může způsobit
havárii, zamrznutí nebo restart celého systému. Tímto útokem jsou zranitelné také
routery a tiskárny.
Teardrops attack – využívá známé chyby v TCP/IP nástrojích, přesněji řečeno
slabostí v opětovném sestavování IP paketů. Během cesty Internetem může být IP
paket rozdělen do menších kusů. Každý paket vyhlíží jako původní IP paket jenom s
tím rozdílem, že obsahuje položku offset. Teardrop program vytváří sérii IP paketů,
ve kterých se ovšem offsety překrývají. Takže při opětovném sestavování na cílovém
počítači mohou některé počítače havarovat, zamrznout nebo se restartovat.
2.3.2. Útoky typu DDoS (Distributed Denial of Service) Vylepšeným následníkem DoS útoků je distribuovaný typ útoku, vedoucí ke stejnému
cíli, tj. k odepření služeb. Právě tento typ útoku vzbudil v roce 1999 do té doby nebývalý
zájem sdělovacích prostředků o dění prostředí počítačových sítí, neboť svými požadavky
úspěšně zahlcoval nejznámější servery (například na známý vyhledávač Yahoo -
www.yahoo.com - byly zasílány stovky MB dat za sekundu). Jak je patrné z názvu útoku,
využívá se během jeho vedení větší počet napadených stanic, do kterých dříve pronikl
hacker a do kterých nainstaloval potřebný software.
Celý proces útoku lze zjednodušeně popsat takto: útočník (případně útočníci) nejprve
zahájí takzvanou prohledávací fázi, ve které se automaticky skenuje velké množství
připojených počítačových systémů (tisíce, statisíce), a snaží se odhalit jejich zranitelná
místa. Poté, co získal seznam relativně snadno napadnutelných systémů, do nich pronikne
a nainstaluje potřebné nástroje pro budoucí hromadný útok na vytypovaný server.
Mezi nejznámější, a tedy i nejpoužívanější "nástroje" hromadného útoku lze zařadit:
Trin00 - také starší a poněkud jednodušší DDoS útok. Oproti starší generaci, ve které
byla užívána autentizace pomocí jednoduše zašifrovaných a zkompilovaných hesel,
podle nichž pak užitím určitých technik bylo možné odhalit útočníky, je ovšem
vylepšen. Trinoo používá nezašifrovanou komunikaci.
TFN (Tribe Flood Network) - byl napsán z velké části německým hackerem s cílem
poukázat na to, jak zranitelné jsou sítě. Útok s úspěchem využíval klient/server
přistup. TFN bohužel vedl k masivním útokům proti nejznámějším e-commerce
serverům.
Stacheldraht - v překladu "ostnatý drát" je pokračovatelem útoků Trinoo a TFN. Pro
kontrolu zpráv mezi články napadajícího řetězce používá protokoly TCP a ICMP.
Hlavní výhodou je schopnost upgradovat program vzdáleně Stacheldraht smaže
současné soubory a nové¨si stahuje ze vzdáleného systému přes rcp.
TFN2K (Tribal Flood Network 2000) - jeden z nejpokročilejších DDoS softwarových
nástrojů. Podporuje větší množství útoků (SYN flooding, UDP floods, broadcast ping
floods a ping floods), přičemž komunikace mezi všemi komponentami v řetězci
napadení je šifrována algoritmem CAST - 256 a pak zakódována prostřednictvím
Base 64, takže obsah kontrolních paketů jednoduše vypadá jako náhodné ASCII
znaky. Dříve tento program běžel na unixových strojích, nyní byl však předělán i do
prostředí Windows, což ho činí ještě nebezpečnějším a hrozí tak široké rozšíření.
Shaft - částečně navazuje na Trinoo, Stacheldraht a TFN, obsahuje však navíc řadu
vylepšení. Mimo jiné umožňuje přepínat tzv. handler servery a porty, což činí
útočníka obtížněji detekovatelným.
2.3.3. Útoky typu DRDoS (Distributed Reflection Denial of Service) DRDos funguje tak, že útočník posílá na spoustu serverů v Internetu pakety s
příznakem SYN (pro inicializaci spojení), přičemž jako zdrojová adresa je nastavena
adresa serveru, na který je útok směrován. Servery přijmou SYN paket a odešlou paket s
příznakem SYN a ACK na podvrženou adresu cílového serveru jako potvrzení inicializace
spojení. Ten si ale žádné spojení nevyžádal, a tak paket zahodí.
Tento nový útok byl před časem použit proti serverům společnosti Gibson Research.
Útok trval čtyři hodiny a přidělal vedení firmy nemálo starostí. Útok typu DRDoS je podle
Steva Gibsona, prezidenta společnosti GRC, do jisté míry opakem útoku typu syn flood.
Gibson sám razí tento nový název právě od doby, kdy útok zažil na vlastní kůži. Tenkrát
útočníci zahlcovali množství počítačů na internetu pakety, které měly tyto stroje
přesvědčit, že se snaží iniciovat spojení. A tato zařízení masově odeslala na GRC.com
odpověď. Server GRC.com věděl, že neodeslal žádnou žádost o inicializaci spojení, a tak
příchozí zprávy ack prostě zahodil. Odesílací zařízení se však domnívala, že se jejich
zprávy ztratily, a tak poslala zprávy znovu tak, až se intenzita útoku zečtyřnásobila.
Ochrana před různými typy DoS útoků:
na routeru nastavit pravidlo, že žádný první paket z jakékoliv IP adresy není vpuštěn
aktivovat na firewallu službu filtrující všechny UDP požadavky
vypnout npoužívaní nebo nepotřebné služby
implementovat filtry směrování
znemožnit zápis na disk a zavést kvóty (časové, velikostní)
nastavit kontrolu nezvykle vysokého využití procesoru, disku, atd.
2.4. Metody k získávání informací Mezi nejběžnější útoky, které vedou k zjišťování informací o daném serveru patří:
Skenování portů (port scanning) je průzkumná technika, hojně využívaná
přínosnými servery, ale také hackery jako příprava k útokům. Dodnes se vedou spory
o tom, zda je skenování legální, nelegální nebo neslušné.
Hromadný ping slouží ke zjištění, který systém je připojený k internetu. Zadáme
interval IP adres a posíláme na ně ICMP ECHO pakety a pokud dostaneme odpověd
ve formě ICMP ECHO_REPLY paketu, tak lze předpokládat, že systém je živý.
Trasování nám slouží k tomu, abychom zjitili cestu IP paketu ke svému cíly, tedy
jakými směrovači tento IP paket prochází.
WHOIS - tahle metoda slouží k zjišťování informací o doménách.
2.4.1 Skenování portů Skenování portů je proces, kdy se připojujeme k TCP nebo UDP portům systému s
cílem identifikovat běžící služby. Někdy se také používá termín naslouchajících nebo
otevřených portů. Identifikace otevřených portů na cílovém počítači nám pomůže zjistit typ
operačního systému počítače a typ provozovaných aplikací. Pokud jsou běžící aplikace
chybně nakonfigurovány, nebo obsahují programové chyby, je možné jich využít k průniku
do systému.
Jednotlivé typy scanování:
TCP spojení - dochází ke kompletnímu trojcestnému (SYN,SYN/ACK,ACK)
spojení. Tento postup je cílovým počítačem jednoduše odhalitelný.
TCP SYN scan - nedochází k úplnému navázání spojení. Nejdříve je odeslán paket
SYN na cílový port. Pokud je zpět přijat paket SYN/ACK, tak je cílový port
pravděpodobně otevřený. Pokud se vrátí paket RST/ACK, tak je port uzavřený.
TCP FIN scan - na cílový počítač je zaslán paket FIN a cílový systém by měl
odpovědět paketem RST, pokud je port uzavřen.
TCP Null scan - na cílový systém je odeslán paket s vynulovaným návěstími (flags).
Cílový systém by zase měl odpovědět paketem RST, pokud je port uzavřený.
TCP ACK scan - tato technika slouží k mapování filtrů na firewallu.
UDP scan - na cílový systém je odeslán paket UDP. Pokud cílový port odpoví ICMP
zprávou PORT UNREACHABLE (nedostupný port), je port uzavřen. Jestliže tuto
zprávu zpět nedostaneme, můžeme předpokládat, že je cílový port otevřen.
Nejúčinnějším nástrojem pro scanování portů pro příkazový řádek je určitě NMAP.
Takže pro příklad chceme scanovat porty na IP adrese 192.168.0.247 a chceme všechny
porty od 1‒65000 : nmap -sS -vv -P0 192.168.0.247 -p 1-65000. A zde k tomu jsou
vysvětlivky: nmap -> spustí NMAP, -sS -> TCP SYN scan, -vv -> bude vypisovat
podrobný report,-P0 -> nmap nebude pingovat daný počítač. Nutné pokud je tam firewall,
který blokuje ICMP pakety, -p -> definice, které porty se budou scanovat.
Další program pro skenování portů se jmenuje SuperScan.
Obr 2. tlačítko View HTML Results umožní prohlížet přehledný report o scanování2.4.2. Hromadný ping Hromadného pingu se můžou obávat, zejména síě menší nebo střední velikosti. Pro
větší by byl příliš zdlouhavý. Program ping zasílá cílovému systému hromadně na interval
IP adres ICMP pakety ECHO, a dostane-li odpověď ICMP ECHO_REPLY paket,
předpokládá, že testovaný systém je funkční. Programů na hromadný ping existuje velké
množství pro Unix:
Ping - klasický prográmek, který se hodi maximálně k prohledávání malých sítí, jinak
to trvá hrozně dlouho.
Fping - prověřený a rychlý prográmek (rychlejší než obyčejný ping). Nečeká, až
dostane odpověd (ECHO_REPLY paket), ale pošle na testované adresy více paketů
současně, čímž se celá práce značně urychlí.
Hping2 – má spoustu funkcí, jednou z důležitých věcí je i hromadný ping, pro který
má dobré přpínače a také výstup je celkem působivý.
Icmpenum - nezasílá jenom ICMP ECHO pakety, ale také ICMP TIME STAMP
pakety a ICMP INFO pakety, takže pokud filtr filtruje jenom ICMP ECHO pakety,
ostatní můžou projít. Také umí posílat podvržené pakety, což je užitečné.
Pinger - freeware program, který je rychlý, má spoustu funkcí, je grafický a asi jediný
kvalitní pro Windows.
2.4.3. Trasování Využívá se při tom TTL (Time to life) pole v IP paketu, které se při průchodu
směrovačem zmenší o 1 a až dojde na nulu, vrátí ICMP zprávu TIME_EXCEED. Program
nejdříve vyšle IP paket o TTL hodnotě 1, tento paket dorazí k prvnímu směřovači, TTL se
zmenší o 1, tedy na nulu, vrátí ICMP zprávu TIME_EXCEED a vypíše směřovač (IP
adresu nebo dokonce i DNS jméno).
Program pak vyšle znovu IP paket, tentokrát však o TTL hodnotě 2, který dorazí až k
druhému směrovači, vráti ICMP zprávu TIME_EXCEED (neboť hodnota TTL je
zmenšena na nulu) a vypíše směrovač. Tak to je pořád dokola dokud IP paket nedorazí až k
cílovému zařízení. Někdy však můžeme narazit na směrovač, který je aplikačním
firewallem nebo filtrem. Pozná se to podle toho, když vám na obrazovce místo IP adresy
směřovače začnou běhat hvězdičky. Z toho plyne, že poslední směřovač, který je před
hvězdičkama, je firewall nebo filtr.
Programy pro trasování:
traceroute (pro Linux) – dobrou kombinací přepínačů může být dost dobrý, vetšinou
posílá defaultně UDP packety.
tracert (pro Windows) - posílá defaultně ICMP pakety, takže je dobré si zkontrolovat,
které pakety se posílají a pokud narazí na firewall nebo filtr, který je filtruje, zkusit
poslat jiný typ paketů.
ping plotter – je také freeware a pro Windows. Bohužel však nijak nepomůže, pokud
se narazí na filtr.
2.4.4. WHOIS Tahle metoda slouží k zjišťování informací o oběti. Lze se dozvědět něco o doméně,
registrátorovi, síti, od koho má daná oběť připojení atd. Jsou různé whois servery, každý
pro jinou oblast. Pro Evropu je to www.ripe.net, který je asi nejlepší. Tuto stránku taky jde
použít místo všech programů, neboť se informace dají zobrazit na této stránce v pěkném
výstupu.
Programy pro WHOIS:
whois (pro Linux) - tak toto je zase pro Linux, jednoduše se zadá whois IP adresa cíle
a je to, výstup je hezčí než u telnetu.
telnet (pro Windows) - výpis z databáze whois lze udělat tak, že se zadá telnet
whois.ripe.net 43, připojí se k whois databázi a pak už jen se zadá IP adresu cíle.
Velmi snadné, ovšem výstup nic moc.
3. Prevence a zásady bezpečnosti PC Jednou z nejdůležitějších rad pro bezpečnou práci na počítači je prevence. Mnoho lidí
není poučeno o rizikách, které mohou nastat, pokud nebudou dodržovat zásady
bezpečnosti. S rozšiřováním internetu a s tím, jak jde dopředu vývoj počítačů a jejich
programové vybavení, zvyšuje se (zejména v poslední době) i množství hrozeb. Jedním z
největších nebezpečí pro uživatele jsou počítačové viry, které mohou v jednom okamžiku
zlikvidovat výsledek dlouhodobé práce. Samotné zakoupení antivirového programu a jeho
instalace na chráněný počítač však nestačí. Může se jednat o sebelepší program od
světového či domácího výrobce, a přesto se může stát, že nebude schopen počítač uchránit,
pokud nebude uživatel respektovat některá základní pravidla antivirové ochrany.
3.1. Pravidla bezpečnosti a ochrana před útoky1) Provádět pravidelný update svého antivirového programu
Sebelepší antivir se zastaralou virovou databází je k ničemu. Takřka každý den se objevují
nové škodlivé kódy, ze kterých navíc mohou vznikat různé mutace. Pouze aktuální datové
soubory poskytované výrobcem konkrétního antivirového programu obsahují údaje
umožňující spolehlivou detekci a odstranění i nejnovějších virů. U mnohých antivirů lze
nastavit tzv. "live update", po připojení se k internetu program sám zjistí, zda je k dispozici
aktualizace, a pokud ano, stáhne ji. Uživatel se tak nemusí starat vůbec o nic a jeho počítač
je dobře chráněn proti novým přírůstkům na virové scéně.
2) Nikdy neotvírat e-mailovou přílohu, která je nevyžádaná
Škodlivých kódů šířících se pomocí elektronické pošty v poslední době stále přibývá. Brát
tento způsob šíření virů v úvahu nás přinutil například případ lavinovitého šíření viru
Iloveyou, který způsobil nemalé ekonomické škody. Programování těchto virů je poměrné
jednoduché a jejich efekt rozsáhlý. Typický virus obsažený v příloze e-mailu, pokud na něj
uživatel klikne a tím jej otevře, nemusí zůstat pouze u svého šíření na adresy, které najde v
poštovním programu. Může obsahovat i další škodlivé rutiny.
3) Mít kontrolu nad svým počítačem a nad tím, kdo jej používá
Riziko virové nákazy a ztráty dat vzrůstá úměrně s počtem lidí, kteří mají ke konkrétnímu
počítači přístup. Stačí jediný nezodpovědný člověk, který přinese z domova zavirovanou
disketu nebo otevře e-mailovou přílohu s virem, a práce všech ostatních přichází vniveč. V
současné době se je důležité ochránit počítač pomocí programu, který zajistí přístup pouze
definovaným uživatelům. Nejde pouze o zamezení virové nákazy, ale i o ochranu
informací uchovávaných v počítači. Je třeba si uvědomit, že informace mají také svoji
cenu. S připojením počítače na internet vyvstává potřeba chránit se i proti nežádoucím
průnikům ze sítě.
4) Instalovat včas všechny „záplaty“ na používaný software
Existují viry, které používají tzv. bezpečnostní díry v operačních systémech a aplikacích.
Pokud je taková chyba v programu zjištěna, jeho výrobce zpravidla připraví tzv. záplatu
(patch), kterou lze na daný program aplikovat (nainstalovat), a tím chybu odstranit. Tyto
soubory jsou zpravidla k dispozici ke stažení na stránkách jednotlivých výrobců software.
Je v zájmu uživatele sledovat aktuální situaci a nové záplaty co nejdříve aplikovat. Toto
pravidlo platí zejména pro operační systémy.
5) Vždy prověřovat diskety a CD média předtím, než se použijí
Přestože podle dostupných údajů asi 85 % zaznamenaných virových útoků přichází
prostřednictvím e-mailu, nelze podceňovat ani „tradiční“ způsoby šíření škodlivých kódů.
Proto je bezpečnější investovat několik minut času a médium otestovat, než se potom
několik hodin trápit nad zavirovaným počítačem.
6) S každým novým i důvěryhodným souborem nakládat s největší opatrností
Uvedené pravidlo platí nejen pro pirátský software. Existují dokonce i případy, kdy
instalační CD od známého výrobce tiskáren obsahovalo virus. Mnohonásobně větší je
riziko v případě souborů stahovaných z internetu. Nezáleží na tom, komu stránky patří, i na
stránkách renomované firmy mohou být soubory infikované viry. Ještě větší obezřetnost by
měla být dodržována při stahování souborů z P2P sítí, které mohou být zavirované.
7) Využívat více než jen jeden způsob antivirové ochrany
Z hlediska celkové bezpečnosti není dostačující použití pouze jednoduchého antivirového
programu, který umí na požádání prověřit daný soubor či adresář. Je žádoucí, aby
antivirový program uměl kombinovat několik druhů ochrany (antivirový monitor, integrity
checker a heuristická analýza). Kombinace těchto několika technologií může efektivně
ochránit počítač před většinou škodlivých kódů.
8) Vytvořit si bootovací disketu a uschovat ji
Může nastat případ, že na počítači, který byl napaden virem, nelze spustit operační systém.
Nemusí to však nutně znamenat, že by virus data na pevném disku počítače smazal. V
takovém případě je vhodné mít k dispozici předem vytvořenu tzv. bootovací disketu
(samozřejmě nezavirovanou), která současně obsahuje antivirový program. Pomocí této
diskety lze napadený počítač spustit a infikované soubory vyléčit či přinejhorším smazat.
9) Pravidelně zálohovat
Jeho dodržování umožňuje minimalizovat případné škody způsobené agresivním virem,
nespolehlivým hardwarem apod. V porovnání s cenou ztracených dat je čas strávený
zálohováním zcela zanedbatelný. Vytvořené zálohy je vhodné uložit na bezpečném místě.
10) Uživatelská rozvaha
Počítačové viry jsou ve své podstatě jen obyčejné programy. Jediným rozdílem, který je
činí nebezpečnými, je to, že svoji činnost provozují nezávisle na vůli uživatele. Mnoho
škod zpravidla napáchá nezkušený uživatel, který se ze strachu, že na jeho počítači je vir,
snaží napadený počítač „vyléčit“. Ze všeho nejdůležitější je nepodléhat panice a ke všem
případným zásahům do infikovaného počítače přistupovat s rozvahou. Základem všeho
však byla, je a bude instalace kvalitního antivirového řešení, jeho správné nastavení a
dodržování základních pravidel.
3.2. Zabezpeční pomocí software Je důležité si uvědomit, že pouze nainstalovaný antivirový program (v lepším případě i
pravidelně aktualizovaný a správně nastavený) je sám o sobě nedostatečnou prevencí.
Příliš nepomůže ani osobní firewall (obzvlášť pokud uživatel nepozná, co je legální a co
ilegální síťová komunikace), popřípadě software pro odstraňování havěti, která uživatele
otravuje vyskakující reklamou na ploše Windows či během surfování po Internetu. Většina
uživatelů se na výše uvedené programy plně spoléhá a nechává celou tíhu osudu na nich.
Takže ano bezpečnostní software a jeho správné používání je velmi podstatnou věcí při
obraně před škodlivými kódy, ale nejdůležitější je poučený uživatel, který ví, co dělá,
protože viry jsou vždy o něco rychlejší než antivirové firmy.
3.2.1. Firewall Firewall je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi
sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Zjednodušeně se dá říct, že
slouží jako kontrolní bod, který definuje pravidla pro komunikaci mezi sítěmi, které od
sebe odděluje. Tato pravidla historicky vždy zahrnovala identifikaci zdroje a cíle dat a
zdrojový a cílový port, což je však pro dnešní firewally už poměrně nedostatečné –
modernější firewally se opírají přinejmenším o informace o stavu spojení, znalost
kontrolovaných protokolů a případně prvky IDS (systémy detekce narušení).
Firewally se během svého vývoje řadily zhruba do následujících kategorií:
Paketové filtry - nejjednodušší a nejstarší forma firewallování, která spočívá v tom,
že pravidla přesně uvádějí, z jaké adresy a portu na jakou adresu a port může být
doručen procházející paket, tj. kontrola se provádí na třetí a čtvrté vrstvě modelu
síťové komunikace OSI. Výhodou tohoto řešení je vysoká rychlost zpracování, proto
se ještě i dnes používají na místech, kde není potřebná přesnost nebo důkladnější
analýza procházejících dat, ale spíš jde o vysokorychlostní přenosy velkých množství
dat. Nevýhodou je nízká úroveň kontroly procházejících spojení, která zejména u
složitějších protokolů nejen nedostačuje ke kontrole vlastního spojení, ale pro
umožnění takového spojení vyžaduje otevřít i porty a směry spojení, které mohou být
využity jinými protokoly, než bezpečnostní správce zamýšlel povolit.
Aplikační brány - na rozdíl od paketových filtrů zcela oddělily sítě, mezi které byly
postaveny. Někdy se také nazývají Proxy firewally. Veškerá komunikace přes
aplikační bránu probíhá formou dvou spojení – klient (iniciátor spojení) se připojí na
aplikační bránu (proxy), ta příchozí spojení zpracuje a na základě požadavku klienta
otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační
brána dostane od serveru pak zase v původním spojení předá klientovi. Výhodou
tohoto řešení je poměrně vysoké zabezpečení známých protokolů a nevýhodou je
zejména vysoká náročnost na použitý hardware.
Stavové paketové filtry - provádějí kontrolu a navíc si však ukládají informace o
povolených spojeních, které pak mohou využít při rozhodování, zda procházející
pakety patří do již povoleného spojení a mohou být propuštěny, nebo zda musí znovu
projít rozhodovacím procesem. K největším výhodám patří jejich vysoká rychlost,
poměrně slušná úroveň zabezpečení a ve srovnání s výše zmíněnými aplikačními
branami a jednoduchými paketovými filtry řádově mnohonásobně snazší konfigurace.
Nevýhodou je obecně nižší bezpečnost, než poskytují aplikační brány.
3.2.2. Antivir Jedná se o jeden z nejstarších a nejdůležitějších bezpečnostních programů. Za léta svého
vývoje se objevily nové funkce i nové detekční praktiky, které jsou neustále
zdokonalovány. Antivirový program je počítačový software, který slouží k identifikaci,
odstraňování a eliminaci počítačových virů a jiného škodlivého software (malware).
Antivirový systém obsahuje několik štítů, zaručující kontrolu veškerých aktivních služeb,
dat či komunikací v počítači.
Standardní práce těchto štítů je::
kontrola odchozí/příchozí pošty
filtrace webových stránek
kontrola souborů, ke kterým je právě přistupováno
Tyto štíty pracují na pozadí, takže nijak neobtěžují při práci, dají o sobě vědět v případě, že
nalezly soubor infikovaný škodlivým kódem.
3.3.3. Anti-Spyware Anti-spyware je speciální program určený k odhalení a odstranění spyware (špionážní
program) havěti, která může zpomalovat počítač nebo krást citlivé osobní i obchodní
informace. Hlavním důvodem, proč být spywarem znepokojen, je uživatelovo soukromí.
Tyto programy zaznamenávají každý krok, který se na Internetu provedou. Mohou to být
seznamy webových stránek, nebo citlivější informace, jako jsou uživatelská jména a hesla.
AntiSpyware by si měl poradit se spywarem, který může způsobovat:
Stahování a instalaci dalšího škodlivého softwaru bez vědomí uživatele (backdoory,
trojské koně, viry, "vykrádače hesel"...).
Změně chování internetového prohlížeče (běží pomaleji, odkazuje na jiné stránky,
mění startovací stránku nebo položky v oblíbených).
Vyvolání spojení přes draze zpoplatňované telefonní linky (tuto činnost provádí
speciální program, kterému se obecně říká dialer).
Jelikož se nejedná přímo o viry, jejich přítomnost v PC zpravidla neodhalí přítomný
antivir. K detekci a k vyčištění je třeba mít nainstalovaný AntiSpyware, který vyhledává
spyware na základě databáze, kterou aktualizuje výrobce.
3.3.4. AntiSpam Je to inteligentní systém, který se snaží identifikovat spam, případně ho mazat. Spam je
nevyžádaná pošta, která je hromadně rozesílána uživateli nebo roboty z většinou
neexistujících adres. Jedná se o různé komerční nabídky výjímkou nejsou ani viry a
podvodné nástroje na získaní osobních údajů nebo čísel kreditních karet.
AntiSpam lze rozdělit do dvou kategorií:
aplikace koncipovaná (určená) pro konkrétního e-mailového klienta
aplikace univerzální, využitelná na jakoukoli poštovní aplikaci
Samotný spam nikdy nezmizí, ale jde jej do určité míry eliminovat. AntiSpam dosahuje
vysoké účinnosti pokud se umí učit rozeznávat spam. V některých případech ale potřebuje
pomoc uživatelů - označení nevyžádaných zpráv, které nebyly rozpoznány, jako spam. Boj
se spamem se může jevit jako „nekonečný příběh“, ale kvalitním antispamovým
produktem se dá docílit dobrých výsledků a mimo jiné uspoří čas, který se jinak musí
věnovat spamu. Míra spamu ve světě na začátku roku stoupla na 78,5 %, což je více jak
třičtvrtě odeslaných emailů. Proto je důležité používat nějaký AntiSpam.
3.2.5. Ostatní služby (Reatogo-X-PE) Reatogo-X-PE
Dnes je možnost vytvořit si vlastní CD či DVD disk, který bude obsahovat jakousi
ořezanou verzi operačního systému Windows XP. Díky tomu tak systém lze mít kdykoliv u
sebe a nejednou může pomoci při zhroucení nainstalovaných Windows nebo pro kontrolu
pomocí antivirových programů. Lze ho používat i v jiných počítačích. Hodit se jistě bude
při pádu operačního systému, když bude potřeba zálohovat důležitá data. Samozřejmě však
nelze počítat s tím, že by šlo o plnohodnotnou náhradu (jeho start trvá mnohem déle).
Připojit se jde i do sítě a tak využívat možnosti internetu nebo diagnostikovat systém atd.
Reatogo-X-PE se díky svému vzhledu blíží k tomu, který je znám z Windows XP.
Postaven je na PE Builder, ale je více konfigurovatelný, přidává průzkumníka Windows,
nechybí plocha, klasická Start nabídka a ještě více.
Postup k tvorbě spouštěcího CD (nejprve je nutné do optické mechaniky vložit
instalační disk Windows XP s SP2):
Reatogo-X-PE - Stačí kliknout na tlačítko Start the configuration a proces bude
nějakou dobu trvat. Občas uživatel bude vyzván k potvrzení nějakého dialogového
okna či ke stažení chybějící části. Na konci se objeví informace o dodatečném
nastavení – zapnutí sdílení PC v síti, zapojení firewallu Outpost atd. Pak se klikne na
tlačítko Start PE Builder.
Obr 3. Úvodní dialogové okno programu Reatogo-X-PE
PE Builder - V políčku Zdroj se zadá cesta k instalačním souborům. Pokud chce
uživatel k tomuto spouštěcímu disku přidat vlastní data, zadá k nim cestu v poli
Uživatelský adresář. Dále zvolí výstupní médium – nejlépe vytvořit ISO obraz (ten lze
kdykoliv později vypálit na CD či DVD). Jestliže klikne uživatel na tlačítko Pluginy,
má možnost do Live disku přidat některé další programy. Seznam dostupných pluginů
tam nalezne včetně vysvětlení, jak je nainstalovat. K tomu však bude potřebovat
samotné tyto programy. Po vložení v okně Plugins ještě musí kliknout na tlačítko
Povolit/Zakázat. Po dokončení instalace stačí pouze CD vypálit a nastavit v BIOSU,
aby počítač bootoval systém z CD.
Obr 4. Seznam jednotlivých pluginů a okno pro jejich přidání na live CD
Internetový prohlížeč
Důležitý a často podceňovaný program. Pro operační systém Windows jich kromě
integrovaného prohlížeče (Internet Explorer) existuje několik, které se vyznačují vyšší
úrovní zabezpečení i celkového pohodlí. Nutno však dodat, že se zabezpečení s příchodem
sedmé verze Internet Exploreru značně zlepšilo.
Aktualizace operačního systému
Neméně důležité je průběžně navštěvovat stránky Windows Update (jedná-li se jedná o
operační systém Windows) pro případné „záplaty“ bezpečnostních děr, které dokáže
dnešní moderní havěť bleskurychle využít a infikovat takto nezaplátovaný systém.
Aktualizace se objevují na stránkách v pravidelných intervalech.
On-line preventivní služby
Je dobré, nechat si systém občas proskenovat některým z on-line bezpečnostních testů,
které otestují systém na přítomnost nějakých mezer v zabezpečení. Testují reakce firewallu
a scanují i porty počítače, které obvykle bývají zneužity pro infikování nebo převzetí
kontroly nad počítačem.
avast! BART CD
Ve zkratce jde o bootovací CD, pomocí něhož lze rychle a hlavně spolehlivě
detekovat/čistit virové infekce přítomné na daném počítači (samozřejmě aniž by hrozilo
jejich další šíření). Tím však možnosti BART CD zdaleka nekončí. Obsahuje též nástroje
pro pohodlnou editaci registry-souborů nebo například utilitu pro kontrolu a odstraňování
chyb na discích. Avast! BART podporuje i práci v sítích. Po spuštění podpory práce v síti
by měly být k dispozici protokoly NETBIOS a TCP/IP. Pro pohodlnější práci je možné
namapovat síťové disky.
Obr 5. Úvodní dialogové okno shareware programu avast! BART CD
4. Účinky virů a boj proti virové nákaze Jak se viry prakticky projevují?
Počítačový vir je program a jako program se projevuje podle toho, jak byl naprogramován.
Existují stovky způsobů, jak se viry projevují, počínaje výpisem nejrůznějších humorných
hlášení na obrazovku až po destrukční viry.
Obecně účinky virů můžeme rozdělit na:
Obtěžující - příznaky obtěžujících virů spočívají například ve výpisech nesmyslných
hlášení na obrazovku nebo neustále vyskakujících reklam na internetu. Viry mohou
obtěžovat také záměnou kláves na klávesnici. Některé obtěžující viry chtějí neustále
připojovat na draze placené linky.
Destrukční - základním úkolem takových virů je zlikvidovat data. Chytré viry pracují
tak, že nezničí všechna data na disku, ale postupně zaměňují pouze určité byty nebo
řetězce. Takový vir uživatel těžko odhalí a při jeho dlouhodobém působení nakazí i
záložní kopie. Jednoduché viry zničí okamžitě po napadení například obsah disku a
tím vlastně zničí samy sebe.
Špionážní – tento druh virů chce neustále získávat různé informace o uživateli a
zneuživat je. Tento způsob je možná nejtěžší objevit, protože na první pohled si jich
běžný uživatel nemusí vůbec všimnout, protože jsou velmi dobře maskované.
Ostatní - zde se řadí ostatní typy virů. Často se stává, že viry nejsou kvalitně napsané
a že se dostávají do kolizi s jinými programy. Pak se z původně neškodného viru
klidně může stát destrukční - a to vlastně náhodou.
4.1. Projevy počítačových virů Blokování místa – vir musí být někde uložen, a to buď v paměti nebo na pevném
disku (nebo na obou místech).
Zpomalení práce systému – vir pro svou činnost potřebuje část pracovních
systémů počítače, které tak bere jiným programům.
Nestabilita systému – viry nejsou testované pro různé počítače a konfigurace
hardware a software, a tak systém může často bez zjevné příčiny přestat pracovat.
Krádež dat – oblíbená kratochvíle především e-mailových virů, které čas od času
odešlou elektronickou poštou náhodnému či předem určenému příjemci data z
počítače.
Šifrování dat – některé viry se projevují tak, že zašifrují data na pevném disku,
která berou jako “rukojmí” a za šifrovací klíč mohou požadovat finanční obnos na
příslušné konto, nebo jen svoje nesmazání ze systému.
Zničení dat – to je snad jedna z nejhorších věcí, která vás může potkat, pokud
pravidelně nezálohujete data.
Příklad účinku počítačového viru:
Například Červ Lovsan / Blaster pronikl zcela jistě ke všem uživatelům této planety, kteří
jsou připojeni k Internetu a u nichž je to technicky možné. Úspěšný byl tam, kde byl
používán OS Windows 2000/XP bez pravidelné instalace bezpečnostních záplat. Uvedený
červ se objevil 11.8.2003 v odpoledních hodinách, kdy byly pozvolna hlášeny anomálie v
podobě restartujících se Windows s minutovým odpočtem, popřípadě chyb ve spojitosti s
procesem SVCHOST.EXE.
Obr 6. Typická situace pod MS Windows XP bez příslušné bezpečnostní záplaty po napadení červem Lovsan / Blaster
Červ by se proslavil ještě více, kdyby mu vyšel úmysl s hromadným DDoS útokem na
server windowsupdate.com. Všechny červem infikované stanice měly 16.8.2003 zahájit
společné "bombardování" tohoto serveru obrovským množstvím síťových paketů (dat) a
tak ho učinit nepoužitelným pro běžného návštěvníka. Microsoft ovšem celou situaci
lišácky vyřešil tak, že odstranil server windowsupdate.com z DNS záznamů a stanice tak
nedokázali cíl lokalizovat. Útok se tak nekonal.
4.2. Jak na havěť? S jakou havětí se může uživatel setkat?
Rozdělení havěti je v dnešní době opravdu komplikované. Možná, že následující dělení je
momentálně nejrozumnější pro kapitolu likvidace. Lze tedy říci, že existuje havěť, kterou
odstraníme:
smazáním infikovaného souboru
vyléčením infikovaného souboru
Úklid
I likvidace má co dočinění s prevencí. V zájmu určité formy prevence lze pravidelně
kontrolovat systém na přítomnost nějakých stop po havěti. V principu je likvidace
jednoduchý úkon, záleží jen na tom, proti jaké hrozbě počítač čelí. Avšak i na opravdu
zákeřnou havěť existují speciální programy pro její odstranění. Nejdříve je potřeba zbavit
se dočasných, tedy nepotřebných souborů, ve kterých se může ukrývat i různá havěť. Pro
tuto akci je velice dobrý program CCleaner. Ten dokáže vymazat nepotřebné soubory ve
všech dočasných složkách a k tomu si rovnou lze nechat prohledat systémové registry na
výskyt nepotřebných klíčů, které jsou také naprosto zbytečné.
Obr 7. Program CCleaner pro rychlý úklid nepotřebných souborů
4.3. Likvidace virů Nejčastější problém je s konečným odstraněním viru, který se neustále po restartu vrací.
Nejlepší příležitost je v nouzovém režimu systému Windows. V tomto režimu budou
zavedeny do paměti jen základní části Windows, takže je pravděpodobné, že havěť bude v
tomto režimu "mrtvá" a nebude nijak komplikovat proces léčení - mazání. Existenci
nouzového režimu si v poslední době uvědomuje i samotná havěť. Některé exempláře
havěti tak během infekce počítače provedou takovou změnu ve Windows, která vede k
nemožnosti spoustit nouzový režim!
Infikovaný soubor nelze odstranit:
soubor je v archivu (vnořený objekt) - řada antivirů nedokáže léčit/mazat soubory v
archivech. Infikovaný soubor v archivu je nutno ručně odmazat pomocí archivačního
programu (WinRAR, WinZIP apod.), popřípadě smazat celý archiv. Typickým
případem je havěť v adresáři Internet Temporary Files.
soubor je "v držení" viru - v tomto případě je dobré zkusit nastartovat v tzv.
nouzovém režimu Windows. Z tohoto režimu opět spustit antivirovou kontrolu
pevného disku a infikované soubory dle potřeby odmazat / dát vyléčit. Pokud nelze
soubor smazat ani v nouzovém režimu, pak lze zkusit soubor nejprve přejmenovat a
následně ho smazat pomocí například "Průzkumníka" (povolit zobrazení skrytých
souborů / adresářů).
soubor je v adresáři _RESTORE - vypnout funkci Obnova systému (jakmile bude
vypnuta, nebude již infekce z tohoto adresáře hlášena).
4.4. Rootkit Rootkit je sada počítačových programů a technologií, pomocí kterých lze maskovat
přítomnost zákeřného software v počítači. Rootkit technologie maskuje přítomnost
zákeřných programů skrýváním adresářů, v nichž jsou instalovány, API volání, položek
registru Windows, procesů, síťových spojení a systémových služeb tak, aby přítomnost
zákeřného software nebyla běžně dostupnými systémovými prostředky odhalitelná. Tyto
programy jsou nástroje, které umožňují skrývat běžící procesy, soubory a systémové údaje,
takže pomáhají útočníkovi zůstat skrytý. V nedávné době rootkity „proslavila“ společnost
Sony BMG, která je dávala na audio CD za účelem bránit uživateli kopírovat obsah.
Rootkit měl závažné bezpečnostní chyby, které umožňovaly navázání virů. Navíc rootkit
odesílal firmě zprávy o činnosti uživatele.
Pod Windows lze najít dvě hlavní skupiny rootkitů, které využívají k maskování:
modifikaci cest
modifikaci systémových struktur
Tyto metody slouží především k maskování změn v registrech, v procesech, popř. k
maskování zvýšené síťové aktivity. Typickou ukázkou „modifikace cest“ může být
„podchycení“ některých důležitých API funkcí operačního systému, kdy se rootkit nachází
mezi aplikací uživatele a DLL knihovnou, která danou API funkci obsahuje. Oproti tomu
druhá metoda je specialitou rootkitů, které beží v režimu jádra. Tyto aplikace obvykle
modifikují často né příliš dokumentované systémové struktury. Toto může nakonec vést
například k tomu, že rootkit dokáže zcela zakrýt libovolný proces před jiným softwarem.
Rootkity lze jiak rozdělit do dvou základních kategorií podle vrstvy systému, a sice
„user-mode“ a „kernel-mode“ varianty. Jejich označení vychází z toho, zda běží v
uživatelském režimu, nebo režimu jádra. Rootkity například zachytávají systémové
požadavky a uživateli je prezentují v záměrně pozměněné podobě. Pokud tedy uživatel
požádá například o výpis adresáře, daný rootkit filtruje výsledek a vybrané soubory
nezobrazí. "User-mode" rootkity běží jako samostatná aplikace, případně mohou být do
některého existujícího programu vloženy. Mezi nejznámější představitele těchto rootkitů
patří například Hacker Defender. Hůře odstranitelné „kernel-mode“ rootkity nezasahují
pouze do některých aplikačních souborů, nýbrž modifikují přímo části operačního systému.
Proto mohou způsobit výraznou nestabilitu a časté, na první pohled bezdůvodné pády
systému. Mezi nejznámější zástupce t=to varianty rootkitů patří například FU.
5. Antivirové programy a jejich porovnání
Co by měl mít dobrý antivir:
rezidentní skener (monitor) - běží stále za provozu počítače a kontroluje přístupy k
vybraným souborům
nerezidentní skener - spouští se na přímý příkaz obsluhy (například test
vyměnitelného média) nebo na základě určitého plánu
heuristická analýza - rozbor kódu. Hledají se postupy typické pro činnost virů.
Jestliže je heuristika špatně nastavená, může hlásit mnoho falešných poplachů.
Některé antiviry používají heuristiku i pro kontrolu maker.
karanténa (virový trezor) - prostor kam je možné přesunout napadený soubor v
takovém tvaru, aby se v něm obsažený virus nemohl aktivovat. Toho lze využít např.
u důležitých souborů napadených virem, které současná verze antiviru neumí léčit.
Jestliže nová verze antiviru bude schopná soubor vyléčit, bude možné na soubor v
karanténě spustit léčbu.
kontrola elektronické pošty - možnost spolupráce antiviru se správci pošty
léčení - některé soubory napadené virem lze vyléčit, záleží ale na způsobu napadení
záchranné diskety - většinou při instalaci nebo na základě příkazu bývá možné
vytvořit tzv. záchrannou disketu, na kterou se zkopírují důležité systémové oblasti
disku
aktualizace z internetu - většina antivirů má možnost automaticky stahovat nové
aktualizace přímo z internetu
cena - některé se dají pořídit pro domácí využití zdarma (freeware), ostatní
(profesionální) se pohybují v řádech pár tisíců
5.1. Metody pro detekci virů1) Scanování
Antivirové systémy používají pro detekci virů současně několik metod. Jednou je
scanování, při které porovnávají kódy své interní databáze programu s kódy viru. Je-li kód
v databázi shodný s nalezeným kódem viru v nějakém souboru či jinde, ohlásí, že je
nalezen vir a jeho jméno. Jednodušeji řečeno, antivirový program má jeden soubor (či
více), obsahující v sobě kódy virů a obsah tohoto souboru porovnává s obsahem souborů.
Kontrolovat se dá jak celý obsah nějakého souboru, tak jen jeho část, nejčastěji začátek a
konec souboru. Nevýhoda této metody: je to spolehlivá antivirová ochrana, je však závislá
na aktuálnosti virové databáze.
2) Heuristická analýza
Tato technika spočívá v procházení programového kódu (jeho emulování) a vyhledávání
podezřelých činností. Takto se obvykle prochází určitý úsek od počátku programu. Viry se
této technice často brání tak, že obsahují určité části kódu, které není jednoduché emulovat
např. cykly, které se při emulaci jeví jako nekonečné. Problémy také dělají viry psané ve
vyšších programovacích jazycích, neboť ty s sebou přinášejí také velké množství relativně
zbytečného kódu. Heuristickou analýzu je možné uplatnit i na MBR, boot sektory, na
obsah paměti, programy a dokumenty. Tato metoda je schopna najít viry jak známé, tak
neznámé. Velkým problémem této techniky je, že není schopna nalézt všechny viry a že
občas způsobuje plané poplachy. U této techniky je velice důležité její přesné vyladění, jak
má být citlivá a do jaké hloubky má programový kód procházet.
3) Test integrity (kontrola změn)
Za třetí metodu hledání virů lze označit činnost antiviru, kdy porovnává informace o
souborech s informacemi databáze, porovnává především velikost souboru s velikostí
souboru naposledy zapsané v databázi. Pokud se např. změní velikost spustitelného
souboru, lze předpokládat, že může být infikován virem, pokud nebyla například
instalována novější verze programu. Jedním ze způsobů jeho využití antivirem je, že
kontroluje soubory a označí si všechny změněné soubory. Nevýhoda této metody: Autor
viru mohl znát jméno databáze, souboru, kam se informace ukládají a mohl toho zneužít.
Tato metoda sama o sobě viry nehledá, ale zkoumá, zda nějaký vir nezačal na disku
působit.
4) Rezidentní sledování
Některé antiviry dále mohou zahrnovat techniku rezidentního sledování činnosti počítače,
při startu počítače se automaticky do operační paměti počítače RAM umístí rezidentní
antivir a sleduje probíhající činnost. Při malé operační paměti počítače může umístění
rezidentního driveru v základní paměti částečně zpomalit rychlost práce počítače a dále
tato technika rezidentního sledování nekontroluje tolik virů jako klasický test scanováním.
Každý dnešní antivirový systém obsahuje několik těchto uvedených metod hledání virů.
Některé systémy nabízí různé kombinace těchto metod, aby byly co nejúčinější.
5.2. Test antivirových programů Antivirových aplikací je na trhu velké množství, a proto je někdy těžké se v nich
vyznat. Každý program má určitě své výhody i nevýhody. Já jsem jich tady několik vybral,
o kterých si myslím, že jsou nejlepší a byly by vhodné pro běžné uživatele.
Avast! 4 Home
Avast! je králem mezi antiviry používaných zdarma v domácím prostředí. Z pohledu
množství nabízených funkcí často překonává i komerční antiviry. Především zaujme
obecný modul pro kontrolu pošty se šiřší podporou protokolů. Nezáleží přitom, jaký
poštovní program uživatel používá. Další dobrou fukcí je paketový skener, který spolehlivě
likviduje škodlivou síťovou komunikaci vyprodukovanou červy. Při likvidaci případné
infekce jsou využívány dříve sesbírané informace o jednotlivých souborech, ale i kontrola
pevného disku, která se spouští v momentě, kdy je případná havěť jen stěží aktivní.
AVG Anti-Virus
AVG je legendou minimálně na území ČR Kromě ochrany před viry a spywarem v
reálném čase je nově k dispozici i kontrolu cookies z webu a především nová technologie
AVG Search-Shield. Tato nová technologie spolupracuje s prohlížeči a vyhledávači a již
během surfování odhaluje potenciální nebezpečí na internetu. Přepracováno bylo i
uživatelské rozhraní a mezi podporovanými operačními systémy nechybí Windows Vista.
Eset NOD32 Antivirus System
Slovenský antivirus NOD32 se stal velice oblíbeným antivirem jednak díky výborným
výsledkům v různých srovnávacích testech, ale i díky pozitivním ohlasům většiny
uživatelů. Kvalitní detekci umocňuje špičková heuristická analýza se schopností emulace
32-bitového kódu. NOD32 tak má ty nejlepší předpoklady k odchytu vysokého procenta
dosud neznámé havěti. Zajímavostí je skutečnost, že NOD32 je nejrychlejším antivirem na
trhu. Bohužel nejednotné ovládání a grafický vzhled jednotlivých částí kazí celkový dojem
Kaspersky AntiVirus
Zatímco před lety byl Kaspersky AntiVirus neznámým produktem, dnes patří k
nejuznávanějšímu antivirům na trhu. Tato řada se konečně zbavila nemožně složitého a
nepružně reagujícího grafického prostředí a kromě toho klesly i nároky na paměť. Kvůli
zrychlení byla pátá řada obohacena o technologie iChecker a iStream. První kontrola
pevného disku tak trvá dlouho, ale všechny další mohou být až několikrát rychlejší (díky
inteligentnímu spojení skeneru a kontroly integrity). Výhodou je také široká podpora
komprimovaných formátů.
McAfee VirusScan
Program byl rozšířen např. o zálohu Safe&Sound k zajištění dat. Prohledávání počítače
se však dosti zpomalilo (dokonce platí, že čím déle prohledává, tím více se zpomaluje).
Antivir prohledává velmi spolehlivě s vysokou mírou odhalených virů. Zajímavý je tento
program především díky funkcím pro stahování souborů z internetu a používání
elektronické pošty. Během instalace lze vytvořit záchrannou disketu a schémata pro
prohledávání. Automatická aktualizace z internetu proběhne ihned po instalaci.
Samozřejmostí jsou pravidelné aktualizace virové báze.
Norton AntiVirus
Celý bezpečnostní balík Norton Internet Security je ukázkovým dílem co do ovládání,
způsobu komunikace s uživatelem a integrace do systému. Na druhé straně je to systém,
který dokáže maximálně vytížit CPU a pevné disky při sebemenší činnosti. Potešila
přítomnost paketového filtru, který spolehlivě odhalil např. útok červa Blaster (DCOM
exploit). Škoda je, že tento filtr není předsazen před firewall. Produkt se snaží co možná
minimálně obtěžovat uživatele, takže problémy s havětí řeší automaticky.
F-Secure Internet Security
Kompletní bezpečnostní balík finské společnosti F-Secure patří k tomu nejlepšímu, co
je na trhu. Konfiguraci celého produktu lze provádět z jednoho místa, přičemž začátečník
má na výběr z několika předdefinovaných konfigurací (úrovní zabezpečení) a odborník
může přejít přímo na jednotlivé větve několika stromových struktur. Potěšující je
antivirová kontrola pošty i v případě protokolu IMAP (bez ohledu na použitý poštovní
program). Velkou výhodou je také hlídání významných částí registrů. Přímo od F-Secure
je pak součást pro detekci aktivních rootkitů, vycházející z produktu BlackLight.
Závěr
S obrovským rozšířením internetu vzniká mnoho škodlivých kódů, a tak proto je
rozumné si zabezpečit počítač pomocí nějakého antivirového programu. Protože se na trhu
vyskytuje veliké množství softwaru pro obranu počítače, tak jsem vybral, podle mého
názoru, sedm nejlepších těchto programů. Jsou to: Avast! 4 Home, AVG, Eset NOD32,
Kaspersky AntiVirus, McAfee VirusScan, Norton AntiVirus, F-Secure Internet Security.
Pro domácí uživatele doporučuji Avast! 4 Home, který je zcela zdarma a nabízí
nepřeberné množství jednotlivých funkcí, které zcela jistě vystačí pro běžné použití. Má
kvalitní rezidentní ochranu s několika přednastavenými štíty. Další alternativou je již velmi
rozšířený AVG Anti-Virus, který obsahuje pohodlné a jednoduché rozhraní pro odstranění
virů nebo Eset NOD32 Antivirus Systém, jenž má velice kvalitní heuristickou analýzu s
prokazatelnou úspěšností a je nejrychlejším na trhu. Pro menší sítě je velice vhodný F-
Secure Internet Security, kde může odborník nastavovat přímo jednotlivé možnosti tohoto
programu. Potěšující je modul pro detekci aktivních rootkitů. Dále lze doporučit také
Norton AntiVirus, který dokáže plně zabezpečit počítač před hrozbou na internetu a
počítačových sítí. Bohužel jeho nároky na systém jsou vysoké.
Jedno je ale jisté viry jsou vždy o krok dopředu před antivirovými programy. Je jasné,
že žádný antivirový program není a ani nemůže být dokonalý tak, aby nalezl všechny viry,
které v daném okamžiku existuji. Každý antivirový program je za novými viry pozadu,
protože aby mohla existovat antivirová ochrana, musí vir nejprve vzniknout a rozšířit se.
V současně době lze říci, že zatím na každý vir byla nalezena metoda, jak jej odstranit.
K práci je přiložen disk, na kterém je nahrán program Reatogo-X-PE. Toto vlastní CD
jsem vytvořil, aby sloužilo uživateli jako záchrana před zhroucením systému, protože je na
něm jakýsi ořezaný Windows XP, pomocí kterého je možné zachránit data, spustit kontrolu
antivirového programu nebo ho používat jako cestovní Live CD. Práce byla zpracována
jako komplexní pohled na počítačové hrozby šířící se z vnějších prostředí. Popisuje
jednotlivé typy virů, útoků a infiltrací a má sloužit jako návod k zabezpečení hlavně
osobních počítačů pomocí jednotlivých programů k tomu určených. Zabezpečení počítačů
je velice zajímavý obor a já jsem velice rád, že jsem mohl díky absolventské práci hlouběji
proniknout do této široké problematiky. Jednotlivé kapitoly by měli posloužit k získání
potřebných infomací a naučit běžné uživatele prevenci a ochraně před virovými útoky.
Seznam použité literatury
[1] Josef Jalůvka. Moderní počítačové viry. Brno: Computer Press, 1996. 217 s. ISBN
80-85896-64-8, s. 25-33, 44-48, 58, 74, 88, 143
[2] Stuart McClure, Joel Scambray, George Kurtz. Hacking bez tajemství 3.
aktualizované vydání. Brno: Computer Press, 2004. 623 s. ISBN 80-7226-948-8, s.
14-16, 23-28, 34, 42, 49
[3] Igor Hák. Moderní počítačové viry 3. aktualizované vydání. Praha 2005 s. 8, 9-16,
18-24, 28, 35, 43, 56, 58, 64
Jiné zdroje informací
[4] http://www.viry.cz
[5] http://www.pcsvet.cz
[6] http://www.zive.cz
[7] http://www.computerworld.cz
[8] http://www.antivirovecentrum.cz
[9] http://www.skodlivysoftware.cz
[10] http://www.hacking-vision.wz.cz
Seznam použitých odborných výrazů
Boot record – zaváděcí sektor, jehož obsahem je program, který provádí zavedení
operačního systému
Cookies – speciální textový soubor, který si navštívená internetová stránka uloží na pevný
disk a zapamatuje pro budoucí zneužití. Mohou být zneužívány pro sledování navštívených
stránek
FAT – File Allocation Table – systémová datová struktura mapující rozložení jednotlivých
souborů na disku
Firewall – ochranná počítačová zeď zajišťující bezpečnost vnitřního výpočetního systému
zejména proti útokům z vnějšího okolí.
Freeware – volně šiřitelný program, který je zadarmo
Hacker – jde o označení člověka snažícího se získat neoprávněný vstup do počítačového
systému. Obecnou snahou hackerů je detailně poznat slabiny zkoumaného objektu
HTTP – HyperText Transfer Protocol – jednoduchý aplikační protokol sloužící k přenosu
webových dokumentů
ICMP – Internet Control Message Protocol – součást IP sloužící převážně ke zjištění stavu
a dostupnosti síťových zažízení
ICMP ECHO_REPLY zpráva – odpověď na echo
ICMP TIME_EXCEED zpráva – překročení času, je generována směrovačem
v překročení TTL, generováno uzlem v případě, že se nepodaří defragmentace
IDS – Intrusion Detection Systém – systém detekce narušení, který rozpozná současně
známé útoky a na podle nastavených pravidel varuje administrátora, aby se útok nešířil dál
IP adresa - jednoznačná identifikace konkrétního počítače v prostředí Internetu. Zkratka
IP znamená Internet Protocol, což je protokol, pomocí kterého spolu komunikují všechna
zařízení v Internetu
Paket – paket neboli IP datagram je základní jednotkou dat v síti IP
Pop-up – tento výraz se používá především pro samostatná vyskakovací okna, které často
otevírají různé webové stránky k zobrazování nežádoucí reklamy
Port – dalo by se přeložit jako kanál nebo služba. Podle čísla portu server pozná, jaká
služba se požaduje a na požadavek pak spustí patřičný program
Proxy server - funguje jako prostředník mezi klientem a serverem, překládá klientské
požadavky a vůči cílovému počítači vystupuje sám jako klient. Přijatou odpověď následně
odesílá zpět na klienta
Shareware - software, který je možné volně distribuovat. Každý má možnost ho zdarma
vyzkoušet, zda mu vyhovuje nebo ne. Pokud ho ale nadále používá, je povinen se řídit
podle autorovy licence a zpravidla zaplatit cenu programu
TCP - Transmission Control Protocol - jejedním ze základních protokolů, konkrétně
představuje transportní vrstvu. Použitím TCP mohou aplikace na sesíťovaných počítačích
vytvořit mezi sebou spojení, přes které mohou přenášet data. Protokol garantuje spolehlivé
doručování a doručování ve správném pořadí
TCP flagy – kontrolní bity (příznaky): ACK – Acknowledgement (potvrzení), PSH – Push
funkce (paket je poslán ihned), RST – Reset spojení, SYN – Synchronize (indikuje žádost
o začátek spojení), FIN – Finish (konec spojení)
URL - Uniform Resource Locator - je řetězec znaků s definovanou strukturou, který slouží
k přesné specifikaci umístění zdrojů informací na Internetu
UDP – User Datagram Protocol – je to nespojovaný protokol, tedy nevytváří žádný kanál a
data jsou přenášena v jednotlivých zprávách