České vysoké učení technické v Praze Fakulta elektrotechnická

Transkript

1 Zadání práce

2

3 České vysoké učení technické v Praze Fakulta elektrotechnická Bakalářská práce Bezpečnost osobních počítačů a webových stránek Vedoucí práce Ing. Radek Dobiáš Studijní program: Elektrotechnika a informatika Obor: Výpočetní technika Červen 2007 I

4 II

5 Poděkování Na tomto místě bych chtěla poděkovat Bohu za sílu, kterou mi dal k napsání této práce, své mamince, která hlídala mou sedmiměsíční dceru a díky které jsem měla čas práci psát a v neposlední řadě svému vedoucímu, Ing. Radku Dobiášovi za jeho pomoc a podporu. III

6 IV

7 Prohlášení Prohlašuji, že jsem tuto diplomovou práci vypracovala samostatně a veškeré zdroje, ze kterých jsem čerpal, nebo z nichž je v této práci citováno, jsem řádně uvedla v seznamu použité literatury. Podpis V

8 VI

9 Abstract Tato bakalářská práce se soustředí na problematiku bezpečnosti osobních počítačů a sítí. V teoretické části jsem detailně zkoumala jednotlivá rizika spojená s používáním osobních počítačů a způsoby ochrany. V Praktické části jsem uvažovala dva případy návrhu zabezpečení a to soukromého počítače a počítačů malé neziskové organizace a to z pohledu kvality i ceny produktů. Abstract This bachelor work is concerning the problem of security of personal computers and networks. In the theoretical part I describe in details the all types of risks connected with using the personal computers and with ways of protection. In the practical part I worked on two cases, the propos ion of personal computers safety and the safety of computers non-profit small organization. From the point of view the quality and price. VII

10 VIII

11 Obsah SEZNAM OBRÁZKŮ XIII 1 ÚVOD HISTORIE HISTORIE POČÍTAČŮ Předchůdci počítačů Nultá generace První generace Druhá generace Třetí generace Čtvrtá generace HISTORIE SÍTÍ Síťový software Vznik ARPAnetu a Internetu První nebezpečí VIRY, ČERVY, TROJŠTÍ KONĚ TYPY Trojští koně Červy (worms) Viry VIROVÉ HROZBY SPECIFICKÉ PRO SÍTĚ A INTERNET Souborový virus Makrovirus USB FLASH DISKY NOVÉ TECHNOLOGIE NAHRAZUJÍCÍ DISKETY PREVENCE NAPADENÍ Rozumné chování uživatele Funkční antivirus Aktualizace programů Firewall OSTATNÍ BEZPEČNOSTNÍ KAPITOLY SPYWARE Jak se vyhnout spywaru: Pomoc nebo nebezpečí? NEVYŽÁDANÁ POŠTA (SPAM) IP blacklisting Heuristická analýza SSL VPN ANONYMITA NA INTERNETU Co všechno lze o uživateli zjistit? VNĚJŠÍ ÚTOKY HACKEŘI UHODNUTÍ POŘADOVÉHO ČÍSLA ÚNOS TCP PROTOKOLU ( AKTIVNÍ ODPOSLOUCHÁVÁNÍ ) Protokol TCP/IP SNIFFING - ODPOSLECH FALŠOVÁNÍ (SPOOFING) IP ADRESY IX

12 5.5 FALŠOVÁNÍ ODKAZŮ (HYPERLING SPOOFING) FALŠOVÁNÍ WEBU (WEB SPOOFING) WEBOVÉ STRÁNKY SQL INJECTION Příklad SQL injektion Prevence SQL injektion CROSS SITE SCRIPTING Příklad XSS Ochrana XSS ÚTOK CRLF INJECTION Příklad Příklad Ochrana před útoky CRLF DIRECTORY TRAVERSAL (PRŮCHOD ADRESÁŘI) Příklad útoku pomocí Directory Traversal přes zdrojový kód webové aplikace Příklad útoku pomocí Directory Traversal přes chybu ve web serveru Ochrana před útoky Directory Traversal ÚTOK NA PŘIHLAŠOVACÍ FORMULÁŘE A DIALOGY (AUTHENTICATION HACKING) Ochrana před útoky na přihlašovací formulář GOOGLE HACKING Ochrana před útoky typu Google hacking VYTVOŘENÍ BEZPEČNOSTNÍ POLITIKY SÍTĚ ZÁKLADNÍ PŘÍSTUP K VYTVOŘENÍ BEZPEČNOSTNÍ POLITIKY HODNOCENÍ RIZIK Identifikace aktiv Identifikace hrozeb FIREWALL Sunbelt Kerio Personal Firewall Zone Alarm PRO Jetico Personal Firewall ANTIVIRY Kaspersky AntiVirus Eset NOD32 Antivirus System Avira AntiVir PersonalEdition Classic Grisoft AVG Anti-Virus plus Firewall Alwil avast! 4 home edition Norman Virus Control ANTISPYWARE Ad-Aware AVG Anti-Spyware Spyware Terminator Jiné (detekce, odhalovače hesel) BEZPEČNOSTNÍ BALÍKY Norton BitDefender 9 Internet Security Build AVG Internet Security SBS Edition...61 X

13 7.6.4 Kerio WinRoute Firewall PŘÍPADOVÁ STUDIE A ZABEZPEČENÍ OSOBNÍHO POČÍTAČE PŘIPOJENÉHO K INTERNETU CHARAKTERISTIKA PROBLÉMU: POŽADAVKY ZABEZPEČENÍ CHARAKTERISTIKA RIZIK: ZABEZPEČENÍ: Fyzické zabezpečení: Bezpečné chování: Programové vybavení PŘÍPADOVÁ STUDIE B ZABEZPEČENÍ MALÉ SPOLEČNOSTI CHARAKTERISTIKA PROBLÉMU: POŽADAVKY ZABEZPEČENÍ CHARAKTERISTIKA RIZIK: ZABEZPEČENÍ: Fyzické zabezpečení: Bezpečné chování: Prgramové vybavení Zabezpečení webových stránek ZÁVĚR SEZNAM POUŽITÉ LITERATURY VYSVĚTLIVKY PŘÍLOHA XI

14 XII

15 Seznam obrázků Obrázek 1: Kmenový adresář...45 Obrázek 2: Příklad náhodného řetězce ve formuláři XIII

16 XIV

17 1 Úvod Otázka bezpečnosti osobních počítačů se dnes objevuje stále častěji. Už snad ani nelze najít obor, ve kterém by se prosperující firma obešla bez počítačů či prezentace na internetu a pro stále více podnikatelů se stává internet a počítač obchodním místem, kde se virtuálně setkávají se zákazníky, kde nabízejí a prodávají své zboží aniž by se kdy reálně se zákazníkem střetli. A čím je toto prostředí širší a bohatší, tím více je třeba soustředit se i na jeho ochranu. Každému člověku je jasné, že když odchází z domu, musí zavřít a zamknout dveře. Obchodníci investují nemalé částky do různých bezpečnostních opatření chránících jejich obchody a provozy. Najímají si strážné, nakupují bezpečnostní dveře, zámky, kamery, platí velké sumy různým bezpečnostním agenturám, ale když přijde na jejich počítače, pak je jim líto každé koruny kterou by měli investovat navíc. Jak se ale rozvíjí virtuální prostor, jak se stále další a další lidé a firmy připojují k internetu, jeho prostřednictvím prezentují sebe a své firmy a případně přes internet prodávají své zboží a služby, dostává se otázka bezpečnosti stále více do popředí. Lidé si začínají uvědomovat potřebu zabezpečení jejich počítačů a firmy investují i do počítačových zabezpečovacích systémů a najímají si odborníky v oblasti zabezpečení počítačů, sítí a webových stránek. Cílem této bakalářské práce je shrnout hlavní rizika spojená s využitím počítačů a webových stránek a ukázat možná řešení jejich zabezpečení. Práce má dvě části. Rešeršní část se bude zabývat teoretickým popsáním bezpečnostních problémů a základních principů ochrany. Druhá část případová studie bude hledat konkrétní produkty realizující ochranu počítačů z hlediska soukromých osob a podniků s přihlédnutím k ceně a kvalitě jednotlivých produktů. Úvod 1

18 2.1 Historie počítačů Bezpečnost osobních počítačů a webových stránek 2 Historie Předchůdci počítačů Za prvního předchůdce moderních počítačů můžeme zařadit stroj zvaný abakus, který se poprvé objevil pravděpodobně před 5000 lety kdesi v Malé Asii. Byla to počítací pomůcka založená na systému korálků (v Římě zvaných calculli odtud název kalkulačka), které na tyčkách kloužou nahoru a dolů. S dalším pokrokem si lidstvo počkalo až do 17. století, kdy John Napier v roce 1614 zveřejnil vůbec první logaritmické tabulky. Poté se objevilo i logaritmické pravítko a začaly i první počítací stroje, které pracovaly na principu ozubených kol. Byly to různé pokladny a mechanické kalkulátory, které přetrvaly až do dvacátého století (pracovali s nimi například i američtí vědci při vývoji atomové pumy) a udržely se ve výrobě i v praxi až do šedesátých let, kdy byly nejdříve nahrazeny elektrickými kalkulačkami a posléze elektronickými počítači. Historii počítačů stupňujeme do tzv. generací, kde každá generace je charakteristická svou konfigurací, rychlostí počítače a základním stavebním prvkem Nultá generace Období druhé světové války přálo kromě vývoje zbraní také vývoji samočiných počítacích strojů ale především strojům dšifrovacím a dešifrovacím, z nich nejznámější je asi stroj Enigma. V roce 1941 konstruuje v Německu Konrad Zuse malý reléový samočinný počítač Z4. Nedaří se mu však vzbudit pozornost armády, proto tento počítač upadá v zapomnění a je později při jednom z náletů zničen. Rovněž v USA se pracovalo na takovém zařízení. V lednu 1943 Howard H. Aiken a jeho spolupracovníci na Harvardské universitě uvedli do provozu přístroj zvaný Harvard Mark I. Byl dlouhý téměř šestnáct metrů, vážil pět tun a celkem obsahoval tři čtvrtě milionů součástek a přes 800 kilometrů drátových spojů. Byl to elektronický reléový počítač, který používal elektrických impulsů k pohybu s mechanickými součástmi. Byl pravděpodobně použit k výpočtům při vývoji první atomové bomby. 2 Historie

19 2.1.3 První generace Bezpečnost osobních počítačů a webových stránek První generace počítačů přichází s objevem elektronky, jejímž vynálezcem byl Lee De Forest a která dovoluje odstranění pomalých a nespolehlivých mechanických relé. Tyto počítače jsou vybudovány prakticky podle von Neumannova schématu a je pro ně charakteristický diskrétní režim práce. Při tomto zpracování je do paměti počítače zaveden vždy jeden program a data, s kterými pracuje. Poté je spuštěn výpočet, v jehož průběhu již není možné s počítačem interaktivně komunikovat. Po skončení výpočtu musí operátor do počítače zavést další program a jeho data. Diskrétní režim práce se v budoucnu ukazuje jako nevhodný, protože velmi plýtvá strojovým časem. Důvodem tohoto jevu je "pomalý" operátor, který zavádí do počítače zpracovávané programy a data. V tomto okamžiku počítač nepracuje a čeká na operátora. ENIAC (Electronic Numerator Integrator And Computer) 1944, Pensylvánská universita, Filadelfie. John W. Mauchly, John Presper Eckert, John von Neumann. MANIAC (Mathematical Analyser Numerical Integrator And Computer) John von Neumann.Tento počítač byl mimo jiné použit k vývoji vodíkové bomby. UNIVAC Eckert a Mauchly, firma Remington - první sériový elektronkový počítače Druhá generace Druhá generace počítačů nastupuje s tranzistorem, jehož objevitelem byl John Barden a který dovolil díky svým vlastnostem zmenšení rozměrů celého počítače, zvýšení jeho rychlosti a spolehlivosti a snížení energetických nároků počítače. Pro tuto generaci je charakteristický dávkový režim práce. Při dávkovém režimu práce je snaha nahradit pomalého operátora tím, že jednotlivé programy a data, která se budou zpracovávat, jsou umístěna do tzv. dávky a celá tato dávka je dána počítači na zpracování. Počítač po skončení jednoho programu okamžitě z dávky zavádí program další a pokračuje v práci. Objevují se také první programovací jazyky.ten úplně první vytvořil roku 1949 John Mauchly, nazýval se Short code. Dále to byl například Fortan roku 1957, Algol roku 1958 nebo Basic v roce Tradic 1955, H. Felker., Bell Laboratories tranzistory - první samočinný počítač osazený Historie 3

20 2.1.5 Třetí generace Bezpečnost osobních počítačů a webových stránek Počítače třetí a vyšších generací jsou vybudovány na integrovaných obvodech, které na svých čipech integrují velké množství tranzistorů. U této generace se začíná objevovat paralelní zpracování více programů, které má opět za úkol zvýšit využití strojového času počítače. Je totiž charakteristické, že jeden program při své práci buď intenzivně využívá CPU (provádí složitý výpočet), nebo např. spíše využívá V/V zařízení (zavádí data do operační paměti, popř. provádí tisk výstupních dat). Takové programy pak mohou pracovat na počítači společně, čímž se lépe využije kapacit počítače. Roku 1967 Angličan Norman Kitz realizoval Anita Mark 8 první elektronický osobní počítač (v angličtině PC personal computer). Umožnila mu to novinka z USA. Firma IBM tam postavila první elektronický počítač (System 360) s využitím integrovaných obvodů. Tím byla otevřena cesta ke stavbě malých výkonných počítačů. S vynálezem systému LED, tj. zobrazování čísel pomocí světelných diod tu byl k dispozici způsob displeje, který se stal běžným i u kapesních kalkulátorů Čtvrtá generace Začala v sedmdesátých a osmdesátých letech a trvá do dneška. V roce 1971 zavedla americká firma Texas Instruments poprvé výrobu mikroprocesorů. V počítači plní funkci centrální jednotky (CPU Central Processing Unit), která je centrem celého počítače. Můžeme říci, že to je tato součást počítače, která opravdu počítá. Ostatní součástky do ní vysílají různé informace, které vyhodnocuje a řídí potom chod celého počítače. První inkoustová tiskárna byla vyvinuta roku 1976 firmou IBM. O rok později Bill Gates a Paul Allen oficiálně zakládají společnost Microsoft, která je dnes největší společností vyrábějící operační systémy, tzn. programy, pomocí kterých se ovládá počítač. Prvním operačním systémem byl MS-DOS, který byl velkým skokem kupředu ve vývoji počítačů, neboť počítač se již nemusel složitě programovat, ale ovládal se pomocí mnohem jednodušších příkazů. První PC s operačním systémem MS-DOS uvádí v roce 1981 společnost IBM. Roku 1983 se začíná používat disketa, která úspěšně nahradila dříve používanou magnetickou pásku. 4 Historie

21 V roce 1985 Microsoft pro IBM PC Windows 1.0, což bylo zdokonalená verze MS- DOS. Roku 1984 začíná Hewlett-Packard prodávat LaserJet první osobní laserovou tiskárnu. Laserové tiskárny měli oproti inkoustovým mnohem lepší kvalitu tisku. V roce 1986 National Science Foundation schvaluje investici do páteřní sítě Internetu, obrovské celosvětové sítě, na kterou jsou v dnešní době napojeny už miliony počítačů. Roku 1989 Tim Bernes-Lee vynalézá World Wide Web, programovací jazyk, pomocí kterého jsou tvořeny webové stránky na Internetu. 2.2 Historie sítí S rozvojem počítačů v 60. letech vznikla potřeba rychlého přenosu informací mezi počítači jejich propojením. Před návrháři tedy stála otázka jak z pomalých, těžkopádných a osamocených strojů vytvořit technologii, která by umožňovala současnou komunikaci mnoha počítačů. Od konce 60. let se pro předávání zpráv využívá model přepojování paketů (packet switching), který položil základ vzniku sítí Síťový software Síťový software data rozdělí na části tj. pakety. Každý paket obsahuje kromě dat i dvě adresy: adresu původce (vysílače) a adresu cílovou (příjemce). Síťový software přenese paket k přijímajícímu počítači. Každý počítač v této síti si prohlédne paket a určí, zda je adresátem zprávy či nikoliv. Pokud tento počítač nebyl cílovým, pokračuje paket k dalším počítačům sítě. Pakety jsou předávány po nejlepší volné cestě. Tyto cesty se mohou při jednom přenosu i lišit, a tak někdy dochází k časovému nesouladu. Jakmile pakety najdou svůj cílový počítač, složí síťový software cílového počítače pakety opět do jednoho datového souboru. K zpětnému složení původní zprávy dochází v paketovém sdružovacím uzlu (PAD). K řízení toku paketů a vyhledávání nejdostupnějšího spojení v síti slouží síťový software. V případě, že dojde ke kolizi (poškození vedení), vyhledá nejlepší alternativní vedení. V sítích se nejčastěji vyčlení jeden počítač, který spravuje řízení provozu sítě, nazýváme ho zpravidla server (přepojovač paketů, Interface Message Processor). Historie 5

22 Přepojování paketů je nejen základem mnoha počítačových spojení, ale také mnoha problémů se zabezpečením. Pakety v síti procházejí přes několik počítačů a bylo by asi nepříjemné, aby si mohl každý obsah zprávy složit. K zabránění odposlechu přenosu se využívá zejména šifrování. [1] Vznik ARPAnetu a Internetu 60. léta byla zlomem ve vývoji počítačové technologie. Na konci tohoto desetiletí se zrodil i předchůdce v současnosti největší sítě světa Internetu - ARPAnet. V 70. letech ARPAnet nabývá na svém významu. K vývoji takovéhoto projektu bylo potřeba mnoho finančních zdrojů. Tyto zdroje vlastnily především vědecké kruhy pod patronátem vlády. Vládní projekt Spojených států ARPA (Advance Research Projects Agency tj. Agentura pro pokročilé výzkumné projekty) chtěl vytvořit strategickou síť, která by v případě nukleární katastrofy dokázala zajistit určitou stabilní datovou základnu. Síť musela být funkční, a tak bylo jasné, že počítače v ní zapojené nemohou být umístěné v jedné oblasti. V případě, že by došlo k poškození jedné ze zapojených jednotek, přenos mezi ostatními počítači musel zůstat stále funkční. ARPAnet, jak se této síti začalo říkat, v sobě měl zabudované množství redundancí, které bez ohledu na počet zasažených nebo zničených počítačů, umožnil nezasaženým počítačům pokračovat v komunikaci mezi sebou. V roce 1969 byl nainstalován první přepojovatel paketů na Kalifornské univerzitě v Los Angeles a poté byla připojena i Santa Barbara, Stanfordský výzkumný institut a Utažská univerzita. ARPAnet obživl po telefonickém přenosu mezi těmito institucemi. I když tato síť měla sloužit výhradně jako obranný systém v případě studené války, stala se základem největší sítě světa. Původním protokolem ARPAnetu byl NPC (Network Control Protocol řídící protokol sítě). S přibývajícím počtem uživatelů a rozvojem nových počítačových technologií vzniká potřeba připojit nestandardní konfigurace. NPC vyžaduje, aby byl každý paket v předdefinované velikosti a struktuře, a proto v roce 1983 vzniká nový protokol TCP/IP (Transmission Control Protocol / Internet Protocol), který umožňuje přepojovat pakety různých tvarů, velikostí a rozličných sítí. Dovoluje také pracovat v sítích s libovolným operačním systémem. TCP/IP je páteří Internetu a jeho komunikací se sítěmi LAN a WAN. Původní návrháři nenavrhli ARPAnet ani Internet pro přenos grafického nebo komplexního grafického rozhraní. Původně byl Internet použit pouze pro přenos 6 Historie

23 souborů a posílání ů. S rozvojem diskusních skupin (Newsgroups) se Internet rozšiřuje především mezi studenty a vědce a vzniká tak všeobecná kategorie Usenet. I když se Internet stává rychlejším a snadnějším pro komunikaci, je stále založen na textovém základě. V 1989 je předložen první návrh koncepce WWW jakožto grafického uživatelského rozhraní (GUI Graphical User Interface), jehož snahou je rozšířit původní koncepci o vizuální přístup. V roce 1990 se původní implementace zdokonaluje o multimediální prvky, čímž umožňuje vytvářet, upravovat, prohlížet a přenášet hypertextové dokumenty na Internetu. Od roku 1992 je využíván na Internetu projekt World Wide Web (www). V roce 1993 je registrováno kolem 100 webových serverů. V současnosti se již dají počítat na desítky milionů (vývoj jde geometrickou řadou). Hypertextový přenosový protokol (HTTP Hypertext Transport Protocol) umožňuje počítačům přenášet a rozpoznávat hypertextové informace při přístupu na Web. Hypertext přispěl k masivnímu rozšíření Internetu mezi uživatele, především díky snadnějšímu ovládání a zkvalitnění prezentace informací na Internetu. Vytvoření podpory pro zobrazení GUI na straně serveru byl pro Internet významným mezníkem, přesto stále zůstává nutnost alespoň dvou počítačů ke sdílení dat (jeden vysílající a jeden přijímající). Teprve rozvoj webových klientů (prohlížečů) pro řadu počítačových systémů dotváří úplnou výbavu Internetu. Jedinečnost Webu spočívá především v jeho jednoduchosti při přechodu z jednoho odkazu na následující, pomocí nichž jsou propojeny hostitelské počítače na celém světě. Na obrazovce se objevují dokumenty (grafické, animační, videa i zvukové), které nejsou uloženy na klientském počítači, ale na webovém serveru. Pro přenos paketů Web stále užívá množinu protokolů TCP/IP. Zavedením skriptovacích jazyků,např. JavaScriptu, je začlenění multimédií do Webu téměř kompletní. [1] První nebezpečí 2. září 1988 byl vypuštěn síťový program Worm (červ) první významný virus, který zasáhl Internet. Tento červ napadl do hodiny mnoho hlavních mezinárodních výzkumných ústavů. Naštěstí se na zbylých nenapadených stanicích zmobilizovaly skupiny, které červa do 24 hodin zastavily a do týdne odstranily všechny následky. I Historie 7

24 když tento virus nenapáchal velké škody, upozornil především na reálná a opravdová nebezpečí Internetu. Počítače byly viry napadeny i dříve, jednalo se však vždy o napadení jednotlivého stroje např. z infikované diskety. V nejhorším případě bylo potřeba zformátovat tento jediný disk. Červ na Internetu však ukázal možnost zlikvidovat většinu světových řídících institucí. Tento první červ byl velmi jednoduchý program. Poté, co vstoupil do operačního systému, vytvořila se jeho kopie. Červ nejdříve hledal připojení na síť, kam poslal kopii sama sebe. Poté vytvořil další proces, který byl přesnou kopií původního. Červ pokračoval ve svém rozmnožování pokaždé, když byl spravován operačním systémem. Nakonec operační systém obsluhoval pouze duplikace červa a posléze odřízl uživatele a zamrzl sám z důvodu nedostatku paměti. Od této doby se zabezpečení počítačů zlepšilo, bohužel se také zvýšilo množství hrozeb, které na Internetu číhají. Hacker Původně pojem hacker označoval talentované tvořivé programátory, kteří jsou fascinováni řešením problémů a hledáním řešení pomocí použití nových technologií. V minulých letech se však toto označení stále více vztahovalo na programátory nové třídy, jejichž cílem je spíše trhliny počítačových a jiných (např. komunikačních) systémech vytvářet, než je odstraňovat. Crackeři jsou programátoři specializující se na nabourání cizích systémů za účelem získání nebo porušení dat. Phackeři jsou podskupinou hakerů specializující se na nabourávání programů poskytujících zdarma telefonní služby nebo jinak zneužívající počítače a databáze telefonních společností. Phackeři používají ukradené telefonní informace pro přístup k dalším počítačům. Ačkoliv většina Crackerů a Phackerů podniká tuto nelegální činnost především pro svůj osobní požitek, existuje zde i skupina zabývající se průmyslovou a špionážní sabotáží. V následujícím textu budu pro zjednodušení používat pouze označení hacker jako osoby vytvářející nebo využívající trhlin v systémech.[1] 8 Historie

25 3 Viry, červy, trojští koně Počítačové viry patří mezi nejstarší, ovšem stále aktuální ohrožení počítačů a sítí. Ovšem na rozdíl od jiných nebezpečí zde existuje účinná a jednoduchá obrana. Virus většinou vkládá svůj kód do již existujících programů tak, aby byl jeho kód proveden ještě před hostitelským programem. Většina virů se šíří napadením souboru nebo napadením boot sektoru. Datové soubory obecně viry přenášet nemohou. Soubory obsahující šablony (templates) však mohou přenášet tzv. makroviry. Mnohdy větší škody než vir však může způsobit šíření falešných virových poplachů (virus hoax pravdivost poplašné zprávy lze ověřit na Na světě existuje přes 1000 virových kmenů, pokud budeme započítávat i jejich modifikace, budeme se pohybovat spíše v řádech statisíc (dle virové asociace The Wildlist). Zcela obecně lze říci, že virus je jakýkoliv program, který se sám bez uživatelova souhlasu zkopíruje. Typické je, že se připojí do souboru tak, aby byl kdykoliv při spuštění tohoto napadeného souboru aktivován. Virus vloží kopii sama sebe do každého možného souboru od boot sektoru pevného disku až po disketu. Z důvodu rozšířenosti a kvality antivirových programů, chránící počítač před těmito útoky, se snaží tvůrci virů modifikovat každou kopii, a tím tvořit nový druh. Na virech je neuvěřitelné, že jsou malé. Virus One Hlaf byl šifrovací algoritmus na zašifrování disku v délce 5044 Bytů. Příklad postupu u infikovaného systému (jednoduchý virus): 1. nejdříve musí být uveden virus v činnost, což se podaří nahráním souboru do paměti a jeho následným spuštěním; 2. virus čeká v paměti na spuštění dalších programů, které se stanou jeho následnými hostiteli; 3. při spuštění programu se virus připojí ke zdrojovému kódu v paměti i ke kopii na disku; 4. virus takto pokračuje, dokud nejsou nakaženy všechny programy a nebo není počítač vypnut (při vypnutí počítače je virus z paměti odstraněn, nikoliv však z infikovaných souborů); 5. když je počítač opět zapnut, nahraje se virus do paměti a opět může pokračovat v nakažení dalších programů. Viry, červi, trojští koně 9

26 Určitou modifikací jsou i viry, které se nahrají na harddisk a po zapnutí počítače se automaticky spustí. Jiné viry se ukládají v komprimovaných souborech. Zvláštní skupinou jsou makra, což jsou viry působící prostřednictvím aplikačních programovacích jazyků (nemusí byt napsán jen v jazyce MS Visual Basic for Applications). Virus dokáže infikovat počítač pouze v případě, že je spuštěn nějaký proces (např. zaváděč operačního systému). [1] Způsob rozpoznání viru Ani sebedokonalejší antivirový program není neomylný a tak je bezesporu účinné rozpoznat určitá specifika, která provázejí infikování systému virem: 1. zavádění programu trvá déle než je obvyklé; 2. soubory mizí nebo se objevují jiné; 3. mění se velikost programů nebo souborů; 4. disk je často aktivní; 5. volná disková kapacita se bez vysvětlení snižuje; 6. příkazy CHKDSK nebo SCANDISK vracejí nesprávné hodnoty; 7. bezdůvodně se mění jména souborů; 8. pevný disk je nepřístupný. Pokud systém vykazuje určité znaky výše uvedené, nemusí se vždy jednat o napadení virem, ale například jen o chybu v systému. Způsob činnosti antivirových programů při odhalování viru Jak již bylo řečeno, virus napadá kromě jiného spustitelné soubory. Virus sám je často spustitelný soubor6. Aby nedocházelo k poškození vlastního kódu, je obdařen každý virus signaturou. Tato ochrana viru sama před sebou je i základem k jeho odstranění, neboť na principu odhalení signatury viru jsou založeny i všechny antivirové programy. Znakové signatury využívají standardní viry např. makroviry, algoritmické signatury spíše viry složitější např. polymorfní. Zvláště obtížné je zachycení trojského koně a polymorfního viru. Trojský kůň se integruje přímo do napadeného programu tj. není k němu pouze připojen. Polymorfní virus mění s každou infekcí i svou signaturu (viz dále). [1] 10 Viry, červi, trojští koně

27 3.1 Typy Trojští koně Trojský kůň je samostatný program, který nepotřebuje žádného hostitele. Často se tváří jako korektní a užitečný program. Nedokáže se sám šířit. Uživatel ho buď uloží sám (tak to bývalo především v minulosti, dnes se tento způsob tolik nevyskytuje) a nebo je jeho nositelem některý klasický virus. Klasičtí trojští koně dovolující útočníkovi vzdáleně ovládat napadený počítač, k čemuž využívají komunikace na některém z nechráněných portů. Kůň může předat ovládání různých funkcí počítače svému tvůrci, nebo může vyhledat a odeslat na určenou ovou adresu určité informace dokumenty, hesla Červy (worms) Morisův červ byl vůbec první virus, který napadl Internet a obrátil pozornost veřejnosti na problém zabezpečení. Červ vytvoří velké množství svých kopií v paměti počítače, čímž všechny ostatní programy vytlačí. Tento program tedy spotřebovává paměť dokud nezahltí operační systém, který se pod tímto náporem zhroutí. U tohoto napadení je důležitý především přenos na další hostitelské počítače, neboť napadený systém je vyřazen z provozu. V tomto případě se červu daří na operačních systémech poskytujících služby vzdáleného provádění programů tj. operační systém, kde se příchozí program může automaticky sám spustit. V 80. letech byla díky této specifičnosti působnost červa omezena především na unixové stroje, neboť operační systémy DOS a Windows 95 tyto služby neposkytovaly v dostatečném rozsahu. Windows NT a následující se však již terčem útoku stát mohou. Hlavní nevýhodou standardních auditních a integritu kontrolujících nástrojů je nebezpečí napadení i těchto zařízení. Užitečný nástroj pro boj s červem je optická paměťová jednotka WORM (také červ ). Jedná se o zařízení umožňující write-once, read-many tedy uchování bezpečnostních informací a softwaru na neměnném médiu. [1] Viry, červi, trojští koně 11

28 3.1.3 Viry Polymorfní viry Aby nebylo možné virus naleznout podle signatury, pokouší se polymorfní virus vyhnout této kontrole pomocí zašifrování kódu svého těla. Šíří se postupným dešifrováním zašifrované části pomocí speciální dešifrovací rutiny. Dešifrovací rutina převede šifrovací soubor zpátky do původního stavu, čímž předá řízení nad počítačem tomuto viru. Původní typy těchto virů nebyly polymorfní tzn. neměnily svoji signaturu, čímž byly stále viditelné a lehce rozpoznatelné antivirovými programy. Mutátor pomocí generátoru náhodných čísel a jednoduchého algoritmu způsobuje při napadení souboru mutaci signatury. Tímto procesem se změní virus na polymorfní a ztíží antivirovému programu svou detekci. Šancí na odhalení jsou mechanizmy pracující s šifrováním, které se zabudují do antivirových programů. Nehledá se dle identifikace signatury, ale podle šifrovací rutiny, neboť ta se nemění. Neviditelné viry (stealth) Neviditelný virus sleduje systémové funkce pro čtení souborů nebo sektorů z paměťového média. Požadavky těchto funkcí pozmění a provede přesměrování na jím vytvořenou modifikaci souboru nebo boot sektoru. Aplikace (editor disku nebo antivirový program) provádějící čtení napadeného sektoru nebo souboru vidí místo něho jeho původní nepozměněný tvar, a tak ztěžuje detekci viru v systému. Virus je schopen maskovat velikost souboru nebo jeho obsah při čtení, čímž se řadí do skupiny virů napadajících soubory. Základním předpokladem obrany proti neviditelným virům je aktivace antivirového programu na zdravém systému (start z čisté systémové diskety). Virus je nebezpečný, pokud je rezidentní a aktivní v paměti. Další možností detekce těchto virů je fiktivní napadení souboru samotným antivirovým programem. Antivirový program provede stejnou akci jako samotný virus a následně zjistí, zda-li je tento soubor napaden. Pokud byl soubor maskován virem, nedetekuje-li napadení. 12 Viry, červi, trojští koně