Základy informatiky
část 8
1
8
Počítače a MALWARE
MALicious softWARE
2
Motto: To, že jsem paranoidní, neznamená, že po mě nejdou…
Malware – Historie
Sci-fi literatura předpověděla již v 60. letech
V reálu se malware objevil až v 80. letech
Nejstarší – Trojské koně, snažily se předstírat užitečnost…
Malware – Historie
Příklady: 1985 EGABTR
sliboval lepší grafiku, ve skutečnosti mazal a když domazal, napsal „Arf! Arf! Gotcha“
Hra Nuklea – po dohrání na disku nic nezbylo
Přelom 80. až 90. let, trojani se vydávají za antivirové programy, místo hledání virů rovnou mažou disk
Malware – Historie
První virus 1986 Brain (bratři Basit a Amjads Farooq Alvi z Pakistánu – Lahore. Údajně ho dávali jako bonus cizincům, kteří si u nich v obchodě kupovali nelegální software.
Experimenty p. Franka. Jeho první pokus s viry 10.9.1983 na počítači VAX 11/750 pod UNIXem, nad kterým ztratil po půl hodině kontrolu.
Malware – Historie
1987 Lehigh, Stoned, Vienna, Cascade. Posledně jmenovaný – slavná padající písmenka na obrazovce.
XI.1988 Robert T. Morris vypustil do světa tzv. „Morrisův červ“. Červ napadl kolem 6000 unixových počítačů, blokoval tehdejší síť 36 hodin, červ se dostal i do Lawrence Livermore National Laboratory, škody 100 miliónů dolarů.
1988 antivirové programy. McAfee VirusScan, Dr. Solomon AVTK.
1990 polymorfní viryviry, u nichž vypadá každý exemplář „na venek“ odlišně. Antiviry vyhledávají podle řetězců.
Malware – Historie
„Stealth“ viry, tj. viry, které se dokážou maskovat v systému. Příklad virus Frodo, který sledoval manipulaci se soubory a uživateli nebo antiviru „předhazoval“ nezávadné verze těchto, ve skutečnosti infikovaných souborů.
1991 Tequila první multipartitní virus. Multipartitní viry dokážou napadnout systémové oblasti disku i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth.
Malware – Historie
1994 One_Half.3544.A
Silně polymorfní a multipartitní virus ze Slovenska.
Řada antivirů ho nedokázala stoprocentně detekovat.
Malware – Historie
1995 FormOperační systém Windows 95 sliboval zánik počítačových virů
Boot virus Form, byl společností Microsoft distribuován společně s Windows 95 beta testerům na instalačních disketách.
W 95 neznamenal konec virům
Malware – Historie
1995 makrovirus Conceptšíří se v dokumentech MS Word.
Dlouhou dobu nejrozšířenější vir (tehdejší antiviry nebyly na makroviry připraveny).
Relativní klid panoval u majitelů českých verzí – pod českou verzí nefungovalo.
Od verze MS Office 97 makroviry funkční i v českých verzích…
Malware – Historie
1995 Win95/Boza.APrvní opravdový virus pro Windows 95.
1995 Win95/Punch „paměťově rezidentní“, přežíval v paměti jako VxD ovladač.
1995 Laroux – první makrovirus pro MS Excel.
1998 Win95/CIH – novináři nazvaný Černobyl Vždy 26. dubna* se pokusil přemazat paměť Flash BIOS na základní desce a část dat na disku. První popřel tezi, že virus neohrozí hardware.* záleželo na variantě
Malware – Historie
1998 Skriptové viry například VBS/Rabbit nebo HTML/Internal.
1999 Skriptové viry „mass-mailing“, W97M/Melissa.A@mm.
Malware – Historie
Vývoj virů šířících se elektronickou poštou stále pokračuje.
Nejstarší potřebovaly aplikaci Outlook, Novější si vezou sebou vlastní SMTP server(!). Možno zneužívat infikované PC bez vědomí
jeho uživatele (stroj označován „zombie“). Malware je typu backdoor nebo trojanproxy.
Malware – Současnost
Typický průběh "spamování" havěti (v tomto případě jde o dropper viru Win32/Bagle.BI) – dvě vlny a pak klid (svislá osa – počet infikovaných e-mailů zachycených na poštovním
serveru, vodorovná osa – čas).Igor Hák Moderní počítačové viry
Malware – útok
Malware – základní dělení
1. Viry – virus je schopen sebereplikace, tedy množení sebe sama
Potřebuje hostitele k němuž je připojen Rychle se šíří Snaha se ukrýt
Malware – základní dělení
2. Trojské koně (Trojan) – tento typ škodlivého kódu není schopen sebereplikace a infekce souborů
Cílený útok Snaha na sebe neupozornit Sofistikované maskování
Malware – základní dělení
3. Červi (worms) – infikace počítače Šíří se elektronickou poštou Formě síťových paketů. Počítač infikují otevřením přílohy.
Malware – základní dělení
4. Backdoor – zadní vrátka Otevírá přístup do počítače Schovává se v počítači uživatele Čeká až se útočník se připojí přes internet na
postižený počítač. Počítač je plně v moci útočníka Kopírování a získávání dat, manipulace s OS,
DVD, HDD…
5. Spyware – sledování uživatele Program využívá Internet odesílá data z počítače bez vědomí
uživatele Sledování chování Pro účely marketingu Nízká nebezpečnost, ale otravný.
Malware – základní dělení
6. Adware – reklamní sdělení a okna Spolupráce se Spywarem Otravuje Neškodí
Malware – základní dělení
7. Hoax – poplašná zpráva, Obvykle varuje před neexistujícím
nebezpečným virem Využívá lidské důvěřivosti Účelem je zahltit poštu
Malware – základní dělení
8. Phishing – podvodné e-maily, Podvodné zprávy Na první pohled informace z významné
instituce (nejčastěji banky) Snaha vylákat důvěrné informace Spolupráce s lidskou hloupostí a naivitou
Malware – základní dělení
9. Dialer – přesměrování hovoru Pro vytáčené připojení Přesměruje přes drahé linky Předpokládá analogovou telefonní síť Dnes prakticky vymizel
Malware – základní dělení
10. Makroviry – zaměřují se na makra kancelářských programů
Cílem především MS Office Využívá Visual Basic Důsledek: vypnutá makra
Malware – základní dělení
11. Rootkit – velmi nebezpečný Programy a technologie umožňující maskovat
přítomnost malware v počítači Skrývá běžící procesy, soubory a systémové
údaje. Obtížná detekce Obtížný boj
Malware – základní dělení
ViryProgram „infikující“ jiné programy a pomocí nich se šíří
a) Bootviry – napadají systémové oblasti, šíří se datovými nosiči (při
bootování)
b) Souborové viry – napadají programové soubory (dělíme do 3 skupin)
Hostitelem mohou být • spustitelné (exe, com) soubory• systémové oblasti disku, • soubory, které lze spustit za použití
specifických aplikací (dokumenty Microsoft Wordu, skripty Visual Basicu apod.)
Viry
Boot Viry• Napadají systémové oblasti:
– boot sektory disket (flash disků…) – MBR (Master Boot Record) pevného
disku.• Obvykle přepíší svým vlastním kódem
boot sektor a původní přepsanou část boot sektoru uschovají na jiné místo disku.
Boot Viry
Najdeme je:– v nevyužitých klastrech– v použitých klastrech (hrozí poškození
původního obsahu)– v systémových oblastech– ve stopách, které se nacházejí mimo
aktivní oblast disku
Souborové viry přepisující
• Vyhledá spustitelný soubor a přepíše jej
• Původní obsah programu je přepsán novým kódem
• Původní program je od této chvíle nespustitelným
Parazitické viry (link)• Připojí se k hostiteli
(spustitelnému souboru) bez toho, aby ho poškodily
• Připojení• prepend (před)• insert (v)• append (za)
• Při infekci je původní soubor upraven tak, aby po jeho následné aktivaci došlo jak k aktivaci viru, tak i původního programu
Doprovodné viry
• Nezapisují se do původního kódu programu
• Vytváří stínový soubor stejného jména s příponou .COM (ten je OS preferován)
– Příklad: Máme soubor SPUST.EXE, virus vytvoří SPUST.COM. Podle priorit DOS dojde při volání daného souboru bez uvedení přípony nejprve k aktivaci toho s příponou COM a tím i k aktivaci viru.
Umístění virů
BAUDIŠ, Pavel; ZELENKA Josef; Antivirová ochrana. Praha : únor, 1996. ISBN. str.28
Doprovodný
Parazitický
Multiparitní viry
• Napadají systémové oblasti• Napadají spustitelné soubory• Kombinují vlastnosti boot a
souborového viru• Velké škody („One Half“)
One_Half Postupně kódoval obsah pevného
disku Šifrování pomocí klíče, který si sebou
nesl. Neodborné odstranění (včetně tohoto
klíče), znamenalo to i ztrátu zakódované části dat.
One_Half Dekryptovací algoritmus viru byl
rozdělen na několik navzájem propojených „ostrůvků“, které byly „rozsety“ po infikovaném souboru.
Polymorfní Stealth
Makroviry
• Vytvářeny v makrojazycích kancelářských programů
• Napadají dokumenty (Word, Excel, … )
• Šíří se v dokumentech – velké nebezpečí, neboť s nimi uživatelé nepočítají
Jak virus poznat?• Obecně obtížně, obvykle se
skrývají• Chlubí se sám, že je (dříve):
– Pouze efekty (padající znaky na obrazovce)
– Přehazuje klávesy, zaměňuje soubory• Ničí data na HDD• Dnes: získávání informací
zablokování systémů
Trojské koně• Sniffer – odposlouchávání
přístupových jmen a hesel, čísel kreditních karet
• Keylogger – sledování (záznam) znaků zadávaných z klávesnice
• Spyware – sleduje uživatele a jeho zvyklosti při surfování na Internetu a posílá o tom zprávy
Trojské koně• Zadní vrátka – trojský kůň obsahuje
síťovou službu, kterou může útočník použít pro získání přístupu do systému přes počítačovou síť
• Spam server – rozesílání nevyžádané elektronické pošty (e-mail) z napadeného počítače
Trojské koně• Souborový server – trojský kůň
nainstaluje souborový server – např. FTP, IRC bota nebo nějaký P2P
program• server je poté použit:
– pro stahování souborů uživatele, – pro ukládání souborů majitelem
trojského koně (např. warezu nebo malware)
Trojské koně• Proxy trojan – umožňuje použít
napadený počítač jako proxy server. • Security software disabler –
zablokuje software pro zabezpečení PC (Firewall,Antivir)
Trojské koně• Denial-of-service – trojský kůň se
účastní DDoS útoku (zahlcení požadavky)
• URL trojan – přesměrovává infikované počítače připojené přes vytáčené připojení k Internetu na dražší tarify (URL injection, hijacker)
Ransomware• Trojský kůň• Požaduje výkupné 100 až 3000 EUR• Cryptolocker, Win32/Filecoder.BQ• Šifruje soubory na počítači• Okno s odpočtem 72 hodin• Zaplatit, nebo se smaže dešifrovací
klíč• Sofistikovaná asymetrická šifra (AES-
2048) 45
Obrana před Cryptolockerem
• Zálohování – lepší je alespoň nějaká záloha než žádná
• Instalujte záplaty operačního systému, MS Office, Java, Adobe
• Používejte nejaktuálnější verze internetových prohlížečů
• Samozřejmostí je aktuální verze antiviru a virových databází
46
Tracking cookie• Cookie (anglicky koláček, oplatka,
sušenka) v protokolu HTTP označuje malé množství dat, která WWW server pošle prohlížeči, který je uloží na počítači uživatele.
• Tracking cookie – „sledovací sušenka“, slouží k monitorován našeho pohybu po Internetu.
• Tracking cookies nepředstavují žádnou hrozbu, „pouze“ narušují soukromí.
Spyware• Spyware využívá Internetu k odesílání
dat z počítače bez vědomí jeho uživatele.
• Na rozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled navštívených stránek či nainstalovaných programů.
• Nelze zaručit, že informace nebo technologie nemůže být zneužita.
• Spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí.
Adware• Znepříjemňuje práci s PC
reklamou. • Typickým příznakem jsou "vyskakující"
pop-up reklamní okna společně s vnucováním stránek.
• Adware může být součástí některých produktů (např. BSPlayer). – Reklama doprovází během celé činnosti s
daným programem výměnou za větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné – něco za něco.
(Dialer)• Dialer je program, který změní způsob
přístupu na Internet prostřednictvím modemu.
• Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. "žluté linky").
• Dialery jsou nebezpečné pouze u analogových telefonních linek (dial-up).
• Netýká se ISDN, ADSL a jiných moderních technologií
• Pozn.: pouze pro vytáčené připojení k internetu, u digitálních linek
nehrozí.
Antivirové programy• Metoda vyhledávání (známé viry)• Heuristická analýza, srovnávací
test (lze hledat i dosud neznámé viry)
• Rezidentní antivirové programy (neustále v RAM)
• AVG, AVAST, Nod 32, F-secure, Scan, Norton Antivir, Kaspersky, McAfee...
Antivirové programy
Antivirové programy
Antivirové programy
Antivirové programy
červen 2013
Odborné časopisy sestavují žebříček
nejlepších antivirových programů
Produkt HodnoceníKaspersky 100,0
Trend Micro 100,0BitDefender 99,8
F-Secure 99,5avast! 99,3ESET 99,3
Fortinet 99,3McAfee 99,1Tencent 99,1Qihoo 98,8G DATA 98,6eScan 98,4
BullGuard 97,9Panda 97,7
Sophos 97,0Avira 96,1
ThreatTrack Vipre 96,1Kingsoft 95,8
AVG 94,2AhnLab 93,3
! POZOR !
Důrazně se nedoporučuje provozovat SOUČASNĚ
více antivirových či antispywarových řešení
(především jejich rezidentní části).
Hrozí problémy s chodem Windows a ve výsledku i problémy s detekcí
havěti!
Antivirové systémy• Nepřetržitý dohled – antivirovou
kontrolu nad daty, se kterými uživatel pracuje (tzv. on-access skener).
• Provádějí antivirový test na vybrané oblasti počítače.
• Test je vyvolán uživatelem (on-demand): on-demand skener.
Antivirové systémy• Udržování antivirového systému
v aktuální podobě • Pravidelné stahování aktualizací
antivirového systému.• Automatická antivirová kontrola
elektronické pošty (příchozí a odchozí)
Antivirové systémy bonus
• Plánovač událostí (scheduler): automatické vyvolání antivirové kontroly důležitých dokumentů.
• Kontrola integrity.• Karanténa (quarantine).• Monitorovací programy.• AV plug-in pro aplikaci Microsoft
Office.
Počet Malware
Kontrola a prevence spyware
• Spyware terminator, umí detekovat, ale i chránit
• Součástí je i "štít", který brání ve vykonání podezřelých operací.
• Česká verze, freeware, vývoj v Brně)
Kontrola a prevence spyware
Kontrola a prevence spyware
• Spybot S&D, umí detekovat, ale i chránit
• Součástí je i "štít", který brání ve vykonání podezřelých operací.
• Česká verze, freeware
Kontrola a prevence
Kontrola a prevence
• Ad-Aware, umí detekovat, ale i chránit
• Součástí je i "štít", který brání ve vykonání podezřelých operací.
• Česká verze, freeware
Kontrola a prevence
Kontrola a prevence
Detekce a likvidace havěti• UPM – vytvoří protokol o všem, co se v
PC vyskytuje.• ComboFix – alternativa k UPM s
trochu odlišnou strategií tvorby protokolu. Velice populární celosvětově.
• The Avenger – zlikviduje soubory, záznamy v registrech apod., přesně tak, jak ho předem naučíte. Smrtící kombinace pro jakoukoliv havěť spolu s UPM nebo jinou alternativou!
Firewall• Řízení a zabezpečení síťového
provozu
Firewall• Umisťuje se mezi sítěmi s různou
úrovní důvěryhodnosti a zabezpečení.• Definuje pravidla pro komunikaci mezi
sítěmi, které od sebe odděluje. – identifikace zdroje cíle dat
(zdrojovou a cílovou IP adresu) – zdrojový a cílový port
Firewall• Moderní firewally navíc sledují
– informace o stavu spojení, – znalost kontrolovaných protokolů – prvky IDS
Firewall vs. běžný uživatel• Personální firewall
je součástí komplexních bezpečnostních balíků (spolu s antivirem, antispyware či antispamem).
Firewall vs. běžný uživatel• Vlastnosti dobrého Firewallu:
oNeotravuje dotazy při zahájení komunikace, případně při jiné časté činnosti.
oNení známa bezpečnostní chyba ve firewallu či atypické chování firewallu oproti jiným řešením.
o Personální firewall má funkce, které nevyžadují interakci/zásah uživatele.
HOAXPoplašná zpráva,
která obvykle varuje před
neexistujícím nebezpečným
virem.Jediným úkolem je (trochu víc) zahltit poštovní servery.
www.hoax.cz
Sociální inženýrství aneb nenechte se oblbnout!
• Úkolem je „oblbnutí“ uživatele za využití přesvědčivě vypadající grafiky či textu
• Výsledkem je, že uživatel dobrovolně udělá bezpečnostní chybu
Sociální inženýrství aneb nenechte se oblbnout!
• Výskyt– „Šedá“ zóna Internetu – Stránky warezu – nelegálního
softwaru, s pornem…, které přemlouvají k nainstalování „perfektního antiviru“, „perfektního video kodeku“, popřípadě ke stažení žhavého videa s nějakou nahou celebritou...
Sociální inženýrství aneb nenechte se oblbnout!
• Grafika i text působí legitimně, ale věřte, že to je tak všechno...
• Ve skutečnosti se takto do PC dostane jen další havěť nebo falešné (rogue/suspect) antispywarové a jiné bezpečnostní produkty.
Sociální inženýrství aneb nenechte se oblbnout!
• Ty často a rády produkují falešné poplachy a PC označí za infikované bez ohledu na reálnou situaci.
• Zároveň nabízejí řešení tohoto NEEXISTUJÍCÍHO problému – za řádově desítky dolarů – zakoupením „plné“ verze.
• Ve skutečnosti je jediným problémem právě podvodný software...
Podvodné antivirové stránky
http://www.youtube.com/watch?v=Kf_3WqGIqeQ&feature=player_embedded
•Sample
Phishing• Phishing – e-mailové zprávy, vydávající
se za např.bankovní instituci
• Snaží se z uživatele vydolovat citlivé informace (číslo kreditní karty, jméno/heslo elektronického bankovnictví…).
Phishing – Citibank 2006
Phishing – Česká spořitelna
Phishing – ING – 2011
Phishing – došlo 27-11-2012Webmail Administrator [[email protected]]Vážení webmail uživatelé Naše údržbářská jednotka běží digitálního programu na e-mailových účtů, abyste zjistili, 100% jistotu kvůli výraznému nárůstu nevyžádaných e-mailů, které dostáváme každý den, v současné době modernizace naší databázi nejlepší on-line služby.Aby bylo zajištěno, nemáte zkušenosti servis stávku, budete muset znovu potvrdit svůj účet vyplněním své Přihlašovací detail níže po kliknutí na tlačítko Odpovědět,* Login I.D:* Heslo:* Datum narození:* Země:Po pokynů váš účet bude pokračovat jako obvykle, účet uživatele, které odmítají upgrade po sedmi dnů od obdržení tohoto upozornění stojí riziko ztráty jeho / její e-mailový účet trvale.Omlouváme se za případné nepříjemnosti.Díky,Webmail AdministratorTechnická podpora týmu.
Pharming• Webový prohlížeč, si vytváří
seznamy navštěvovaných IP adres• Tato data jsou pharmingem
upravována.– Útočník přepíše původní IP adresy na ty,
které využívá on– Uživatel je nevědomky přesměrován
na jiný server nebo webové stránky.
Pharming• DNS cache poisoning. • Útok směřuje na DNS server. • Uživatel to nemá možnost poznat. • Na DNS serveru jsou přepsány IP adresy• Uživatelé jsou přesměrováni na falešné
webové stránky• Zde může dojít k získání citlivých dat.
Pharming
GSM Locator• Slibuje najít
kde je přítel s mobilem, zadáte číslo a uvidíte představení:
• „Hledám mobil“
• „Našel jsem mobil“
GSM Locator• Teď už jen
několik SMS za 79 Kč
• Pak už jen čekat na zázrak
• Protože se zatím nikomu nic neobjevilo
Falešný antivirus uživatele!
• Facebook: místo videa odkaz na stažení kodeku nebo Flash-Player.exe
• Zobrazí se falešná hlášení• Po dalším zapnutí počítače
se automaticky nastartuje nouzový režim Windows
• Malware vypne uživatelův antivirus (!)
Falešný antivirus uživatele!
• Následně nastartují Windows v klasickém režimu.
• Malware simujluje práci antiviru, ačkoli ten už nepracuje
Viry v mobilu• Pro mobily s OS Android• Trojan Spitmo• Kooperace s malwarem v PC
Viry v mobiluJak se nakazí• Uživatel vstoupí na nesprávnou
webovou stránku • Bez vědomí uživatele dojde ke
spuštění škodlivého kódu • Zavede se malware do PC uživatele
(tzv. exploit)• Malware vyvolá dojem, že je nutno
něco doinstalovat. (Počítá se s oblbnutím)
Viry v mobilu• Aplikace v mobilu monitoruje SMS a
odesílá je na server útočníka• Malware ukradl z PC přihlašovací
údaje• Malware krade z mobilu SMS
• A teď má vše pro vytunelování účtu
• V ČR zhruba před měsícem
Schéma nakaženíInternet
Nakažení
počítače BANKA
Přihlášení se do banky
Info o přihlášení
Podvržená výzva k upgrade
Podvržená SMS s linkem
Info o dokončení
• Server útoční
ka
Nakažení mobilu
Zadané číslo telefonu
• Ilustrační foto – Alza.cz
• Server útočníka
Schéma útoku
BANKA
Zákazník se hlásí k účtu
Eurograber připravuje falešnou transakci
Banka posílá TAN kód
TAN uložen do
databáze
TAN je tiše přeposlán
na jiné číslo Server pomocí
TAN potvrzuje transakci
Peníze odchází na účet bílého
koně
• Telefonní linka
útočníka
• Ilustrační foto – Alza.cz
Mimořádně hloupá heslaPořadí Heslo Pořadí Heslo1. Password 14. master 2. 123456 15. sunshine 3. 12345678 16. ashley 4. qwerty 17. bailey 5. abc123 18. passw0rd 6. monkey 19. shadow 7. 1234567 20. 123123 8. letmein 21. 654321 9. trustno1 22. superman 10. dragon 23. qazwsx 11. baseball 24. michael 12. 111111 25. football13. iloveyou
Prevence je lepší než léčba1.Provádět pravidelný update
antivirového programu a operačního systému!
2.Nikdy neotvírat e-mailovou přílohu, která nebyla požadovana!
3.Mít kontrolu nad počítačem a nad tím, kdo jej používá!
4.Instalovat včas všechny „záplaty“ na používaný software!
Prevence je lepší než léčba5. Vždy prověřovat diskety, Flash disky
a CD média před použitím! 6.S každým novým souborem
(i z důvěryhodného zdroje) nakládat s největší opatrností!
7.Využívat více než jen jeden způsob antivirové ochrany!
8.Pravidelně zálohovat!