MALWARE
MALWARE = Malicious Software, škodlivý software, škodlivé kódy Často chybn označováno viry Tento problém spojen výhradn s IT Vysoké, ale často nep esné pov domí ve ejnosti
ZDROJE INFIKOVÁNÍ - WEB Nevhodný a nelegální obsah, hl. pornografie a nelegáln ší ená díla - t etina nelegálních program umíst ných na internetu je infikovaná ĚP ibyl, Základní pravidla bezpečného pohybu na internetuě Korektní stránky - Podle bezpečnostní společnosti Sophos se denn objevuje 1617ň nakažlivých webových stránek, z nichž ř0 % p estavují stránky s jinak nezávadným obsahem ĚP ibyl, Sophos varujeě
ZDROJE INFIKOVÁNÍ E-MAIL Nákazu zp sobí: Text v HTML, možná infikace již zobrazením náhledu P íloha, často nezbytné otev ít, starší metoda Častý spoofing => d v ivost
DALŠÍ ZDROJE INFEKCE Jakýkoli komunikační kanál Ěk dopravení malwaru k ob tiě Klasické nap. IM, PŇP sít Elektronické sociální sít, mobilní komunikační služby P ipojitelné k r zným typ m soubor od spustitelných p es dokumenty po MPň
ČINNOST MALWARU PO INFIKOVÁNÍ M že d lat vše, na co naprogramován Obvykle se snaží: Skrýt: nap. vytvo ením mnoha i upravených kopií, vypnutím ochranných prvk Dále se ší it: u moderních kód už obvykle bez pomoci uživatele V současnosti minimum destrukce, více špionáž dáno zm nou pohnutek tv rc
UKÁZKY NEJČASTĚJŠÍCH ČINNOSTÍ Manipulace s OS, programy a soubory na disku, ale t eba i CD/DVD mechanikou, vč. zm ny lokálního záznamu DNS Získávání konkrétních či všech informací o uživateli a jejich odesílání, vč. pohybu myši a signálu z mikrofonu či kamery Vydírání uživatele Ěransomware) zaplať a dostaneš zp t svoje data Stahování a instalace dalšího malwaru (dropper) Zneužití k nelegálním činnostem Ěuložení dat, rozesílání spamu ě, až plné ovládnutí počítače, často používáno k ddos či jako proxy serveru
MOŽNOST ODHALENÍ NEOBVYKLÉ CHOVÁNÍ Zm na velikosti, názv nebo obsahu soubor Zmenšování volného místa na disku Zpomalení výkonu počítače nebo p ipojení k internetu Nečekan vysoká aktivita na disku nebo na internetu Samospoušt ní neznámých program Poruchy program a OS
VIRY První typ malwaru, dnes se tém nevyskytují Historicky je počítačový virus program, který napadne spustitelný nebo p eložený Ěobjectě soubor. ĚKlander, s. ňř5ě - HOSTITEL Termín poprvé použil Fred Cohen v roce 1řŘň a p edvedl ukázku Další možné člen ní: bootovací, souborové, stealth, polymorfní, generické, makroviry Ěs OS Win95) První virus v ob hu = bootovací virus Brain v r. 1řŘ7, o rok pozd ji pro n j vydán antivir
DĚLENÍ VIRŮ boot viry (Boot Viruses) napadají boot sektor, MBR a tím si zajistí své spušt ní hned p i startu počítače souborové viry (File Viruses) jejich hostitelem jsou soubory, podle zp sobu infekce se d lí souborové viry na p episující, parazitické a doprovodné multipartitní viry (Multipartite Viruses) napadají více částí Ěboot sektor i soubory) makroviry (Macroviruses) ší í se v prost edí aplikací podporujících makra (MS Word, MS Excel)
VLASTNOSTI VIRŮ současné počítačové viry nemohou poškodit technické vybavení počítače, mohou však smazat obsah pam ti existují mýty o poškozování FDD, HDD, monitor apod., v tšinou však jde o chybn navržená za ízení formátováním pevného disku se virus nemusí vždy odstranit, neboť kód viru m že být zapsán ješt v Master Boot Recordu (MBR)
PROJEVY POČÍTAČOVÝCH VIRŮ destrukce dat zobrazování r zných zpráv na obrazovce vyluzování r zných zvuk a melodií (Yankee Doodle) vtipkování s uživatelem (vkládání vtipných komentá do textových soubor, r zné animace,...) simulace selhání technického vybavení zpomalování činnosti počítače
ČERVI Dnes mnohem čast jší než viry ší í se rychleji, mohou mít více funkcí (spojení kategorií) Mohou se ší it samostatn, vždy ale v síťovém prost edí Kontakty z adresá, uložené, stanovené IP adresy, kombinace doménových jmen Další d lení: e-mailové, síťové Často SI, spooofing 1. Worm (R. T. Morris) 2.11.1988 v napadeném počítači se množil a rozesílal, až počítač zamrzl
TROJSKÉ KONĚ Nereplikují se, ale umož ují ovládnutí systému se na první pohled chová jako zcela legální program, ve skutečnosti však tajn provádí škodlivé operace Nejčast ji spojeny se zadními vrátky (backdoor)
opassword STEALING - TROJANI (PWS) oskupina TROJSKÝCH KONÍ, KTERÁ OBVYKLE SLEDUJE JEDNOTLIVÉ STISKY KLÁVES ĚKEYLOGGERSě ů TYTO UKLÁDÁ ů NÁSLEDN I ODESÍLÁ Nů DůNÉ E- MAILOVÉ ADRESY. MůJITELÉ T CHTO EMůILOVÝCH ůdres ĚNEJČůST JI SůMOTNÍ ůuto I TROJSKÉHO KON ě TůK MOHOU ZÍSKůT I VELICE D LEŽITÁ HESLA. TENTO TYP INFILTRACE LZE KLASIFIKOVAT I JAKO SPYWARE. odestruktivní TROJAN oklůsická FORMů, POD KTEROU JE POJEM TROJSKÝCH KONÍ OBECN CHÁPÁN. POKUD JE TůKOVÝ TROJSKÝ K SPUŠT N, PůK LIKVIDUJE SOUBORY Nů DISKU, NEBO HO ROVNOU KOMPLETN ZFORMÁTUJE. DO TÉTO KůTEGORIE M ŽEME Zů ůdit I V TŠINU BůT TROJůN, TJ. ŠKODLIVÝCH DÁVKOVÝCH SOUBOR S P ÍPONOU BůT. V TOMTO P ÍPůD M ŽE P EKVůPIT SNůD JEN OBČůSNÉ JEDNODUCHÉ KÓDOVÁNÍ OBSůHU, DÍKY ČEMUŽ NENÍ Nů PRVNÍ POHLED Z EJMÉ, CO TůKOVÝ KÓD PROVÁDÍ.
SPYWARE Špehovací software informace ukládá a v tšinou odesílá Často t žké odhalit vznik z korektních d vod Ěd ti, zam stnanci ě Problém rozlišení využití a zneužití Ěmarketing, pomoc uživateli, licence za informace ě podstatné seznámení uživatele se špehováním Reáln Ěnelegáln ě lze i dnes umístit na ve ejn dostupné počítače problém d v ryhodnosti správc Legální placené aplikace
ADWARE -Jde o produkt, který znep íjem uje práci s PC reklamou - Typickým p íznakem jsou vyskakující pop-up reklamní okna b hem surfování, společn s vnucováním stránek Ěnap. výchozí stránka internet exploreruě, o které nemá uživatel zájem. část adware je doprovázena tzv. eula - end user license agreement licenčním ujednáním. uživatel tak v ad p ípad musí souhlasit s instalací.
SLEDOVANÉ INFORMACE Informace o za ízení i uživateli Již bylo shromažďováno: p ehled nainstalovaných program Ěvč. registračních údaj ě, historie navštívených stránek, využité odkazy, založené weby, časové období používání počítače/internetu, hesla a uživatelská jména, text e-mail atd. Ohrozitelná jakákoli digitální stopa I korektn získané bylo zneužito ĚToysmartě
MÉNĚ ZNÁMÉ KATEGORIE Keylogger: monitorují stisknuté klávesy Cookie a webbug: spyware na webu, i legální Backdoor/bot: otvírá skrytou cestu pro ovládnutí za ízení, vytvá í zombie Browser Hijacker: m ní nastavení webového prohlížeče Dropper: po infikaci nainstalují množství neseného malwaru Downloader: další malware stahují z definovaných web Logická bomba: má určen spoušt cí pokyn pro škodlivou rutinu Password Stealer: určený speciáln k odcizování hesel Rootkit: pracuje na nízké úrovni OS, takže umí skrýt sebe i další aplikace a m ní zp sob práce systému, proto jej bezpečnostní programy špatn detekují a odstra ují Ransomware: blokuje p ístup k dat m a vydírá
PŘÍKLADY 1řŘř ůids Information Diskette Incident Ň0 tis. dopis s infikovanou disketou, která m la obsahovat informace o ůids, ale zašifroval soubory na disku, klíč m l být doručen po finanční úhrad 2000 ILoveYou - bližší informace o vysoké finanční transakci na Vašem účtu najdete v p íloze Ěinfikoval 10 % počítač p ipojených k internetu) 2000 United Bank of Switzerland zam stnanc m e-mail žádost o zam stnání šel po heslech 2001 Anna Kournikova jeden z prvních z generátoru 2001 Code Red jeden z prvních hacktivism Ětvá il se z Čínyě Ň005 Sony BMG prodávala CD obsahující rootkit, který m l sloužit jako ochrana p ed nelegálními kopiemi 2009 Ikee cílem odblokované iphone (instalace neautorizovaného) 2010 Stuxnet
OCHRANA - DŮVODY Ochrana vlastních dat i identity Ochrana vlastní bezúhonnosti zneužití počítače na dálku k nelegálním činnostem Úspora času a nerv
OCHRANA CHOVÁNÍ UŽIVATELŮ Pozor na problematický obsah Vše stažené prov it Opatrná práce s e-maily a jejich p ílohami (dle odesilatele, pak obsahu, problematické hned smazat) Stahování a instalace jen toho, co uživatel opravdu pot ebuje Číst varování, hlášení, certifikáty
OCHRANA BEZPEČNOSTNÍ APLIKACE ůntiviry = první bezpečnostní aplikace Od té doby se zm nily ony i hrozby, proti kterým stojí Velmi r znorodé Ěspecializované X všeobecné, r zné techniky, nástroje, nastavení ě Obecn chrání nejen proti vir m Specializované antirootkit, antispyware Firewall ochrana proti necht nému transferu dat Ěkontrola pakt, uzav ení port, odhalení skenování port ě
FUNKCE ANTIMALWARU Porovnávání signatur Ěnejstaršíě Heuristická analýza (najde i nový malware) Analýza chování Kontrola integrity Sledování veškeré komunikace Ěhl. e-mail a p ílohě Rezidentní a nerezidentní ochrana Automatické aktualizace