.. Výpočetní technika I Ing. Pavel Haluza, Ph.D. ústav informatiky PEF MENDELU v Brně pavel.haluza@mendelu.cz
Oblasti s výskytem počítačové kriminality Neoprávněné pronikání do zabezpečených systémů Přesměrování komutovaného připojení Obtěžování nevyžádanými zprávami Získávání neoprávněných informací Napadání virovými programy, síťovými červy a trojskými koňmi Výpočetní technika I Přednáška 9: 2 / 30
Druhy licencí Ochrany proti pirátství Proč licence? software není rohlík software doopravdy nevlastníme software je věčný software používáme ve shodě s licencí K čemu tedy slouží? uzavírá se mezi autorem a uživatelem autor určuje, jak nakládat s jeho dílem omezuje určitým způsobem užití díla chrání intelektuální vlastnictví autora chrání vydavatele softwaru Výpočetní technika I Přednáška 9: 3 / 30
Druhy licencí k softwarovým produktům Druhy licencí Ochrany proti pirátství BSD licence (Berkeley Software Distribution) umožňuje volné použití daného softwaru i použití některých komponent v jiném i komerčně šířeném softwaru s podmínkou uvedení jmen autorů Cardware (postcardware) volné použití díla s podmínkou, že uživatel pošle pohlednici Demo omezená verze obvykle komerčního softwaru šířená bezplatně jako ukázka funkcí plné verze Freeware produkt šířen zdarma, autor si obvykle vyhrazuje omezení šíření na nekomerční sféru GNU General Public Licence licence pro svobodný software, součástí jsou zdrojové kódy, které lze libovolně upravovat, další šíření povoleno jen pod licencí GNU GPL, obvykle bezplatně nebo za cenu médií a kopírovacích nákladů Výpočetní technika I Přednáška 9: 4 / 30
Druhy licencí Ochrany proti pirátství Druhy licencí k softwarovým produktům Open Source Software produkt dostupný i se zdrojovými kódy, uživatel může do jisté míry zdrojové kódy užívat ve svém softwaru, obvykle šířeno zdarma Public Domain bezplatné užívání díla bez nároku na autorská práva, z pohledu českého právního systému bezúplatná licence na libovolné použití díla s předpokladem, že autor se nebude práv domáhat Shareware produkt lze volně šířit a zdarma vyzkoušet, při používání je nutné se řídit autorovou specifikací licence (zakoupit, registrovat apod.) Trial verze určená k vyzkoušení funkce, časově omezeno Komerční verze koupě nebo pronájem, nelze užívat bezplatně Výpočetní technika I Přednáška 9: 5 / 30
Druhy licencí Ochrany proti pirátství Ochrany proti nelegálnímu použití SW kopie je za normálních podmínek od originálu nerozeznatelná a má všechny vlastnosti originálu včetně kvality Registrace uživatelů a následná vzdálená kontrola licenčního čísla produktu a uživatele např. při každé aktualizaci Přístupový kód zaznamenaný na trvalou paměť, která musí být v okamžiku startu programu připojena k počítači (HW klíč) Speciální druh záznamu na distribuovaném médiu, který se při kopii nepřenese v původní podobě, nebo jej běžné kopírovací služby nevidí Každé technické řešení lze obejít, jen je zapotřebí určitých znalostí, prostředků a úsilí Výpočetní technika I Přednáška 9: 6 / 30
Formy crackingu Hacking změna, přeprogramování nebo úprava systému, kterou původní výrobce nezamýšlel, často také řešení různých chyb a nedostatků softwaru bez oficiálního zásahu do zdrojových kódu, bez úmyslu škodit nebo získávat neoprávněné výhody nedovolené vniknutí do chráněného systému s cílem získat pro sebe nějakou neoprávněnou výhodu či poškodit majitele a legální uživatele systému Získávání údajů pomocí trojských koní, technik souvisejících s dešifrováním komunikace, odposlechem v bezdrátové síti aj. Cracker využívá bezpečnostních děr operačního systému a programů pro podporu síťového spojení Cílem útoku zpravidla finanční instituce nebo jiné subjekty disponující informacemi vysoké ceny Výpočetní technika I Přednáška 9: 7 / 30
Formy crackingu Formy crackingu Možnost ochrany důsledné šifrování všech přenosů dostatečně dlouhými hesly, monitorování veškerého provozu a činnosti uživatelů, nepoužívání bezdrátových spojení pro citlivé přenosy Lámání hesel hrubá síla systematické testování všech slov nad zvolenou abecedou znaků slovníkový útok systematické testování všech srozumitelných a smysluplných slov daného jazyka Čmuchání na síti (sniffing) sledování a analýza síťového provozu v nešifrované síti síťová karta pomocí snifferu uvedena do promiskuitního módu Výpočetní technika I Přednáška 9: 8 / 30
Formy crackingu Formy crackingu DNS spoofing překlad doménových jmen na falešné IP adresy kanadské žertíky přesměrování vyhledávače na pornostránky nebezpečné případy podvržení užitečného webového formuláře pharming využívá techniky podvržení DNS, těžko odhalitelné Rhybaření (phishing) fishing (rybaření) phreaking (nabourávání telefonních linek) podvodník se snaží z uživatele vylákat důvěrné informace pomocí falešné poštovní zprávy (zfalšovaný odesilatel) Výpočetní technika I Přednáška 9: 9 / 30
Formy crackingu Formy crackingu Cookies řetězec identifikující uživatele, typicky v elektronických obchodech (díky tomu není nutné přihlášení při každém kliku) cracker, který se zmocní cookies, se může vydávat za cizího člověka a využívat jeho účet Dialer dříve připojení do sítě pomocí telefonní linky a modemu telefonní poplatky účtovány za pouze místní připojení, tj. v nejlevnější hladině dialer (z angl. dial = vytáčet číslo) přesměruje místní volání na dálkové s vyšší tarifikací s rostoucím podílem pevných připojení klesají možnosti uplatnění dialeru Výpočetní technika I Přednáška 9: 10 / 30
Získání adresy Antispam Někdy chápáno jako zkratka z anglického jazyka shoulder pork and ham spiced ham Monty Python s Flying Circus Podle jiných zdrojů název pochází ze značky amerických konzerv lančmítu vyráběných od 30. let 20. století Dnes pod pojmem spam rozumíme masové šíření nevyžádaného sdělení obchodní nabídky, nahotinky, tvoří odhadem asi polovinu všech zpráv existuje i v reálné poště reklamní letáky Hoax poplašná zpráva, nebezpečnější než spam, cílem je šíření lží nebo zprávy samotné, rozesílají lidé, kteří jim uvěří Výpočetní technika I Přednáška 9: 11 / 30
Získání adresy Antispam Získání e-mailové adresy Robot speciální program, který systematicky prohledává webové stránky a ukládá nalezené adresy sbírá všechno, co byť i vzdáleně připomíná e-mailovou adresu (tedy vše, co obsahuje zavináč) Obrana proti robotům nezveřejňování e-mailové adresy na webových stránkách uvedení adresy v nečitelném tvaru zabezpečení proti virům, které mohou vyhledávat adresy v počítači antispamový software Výpočetní technika I Přednáška 9: 12 / 30
Získání adresy Antispam Antispam Restriktivní nastavení poštovního serveru, testování pošty na přítomnost spamu a jeho následné filtrování Software lze dnes pořídit zdarma, kvalitní správci e-mailových serverů již mají antispam implementován Filtrace podle způsobu dopravy blacklisting seznam IP adres, které posílají spam greylisting první pokus o doručení je odmítnut, další pokusy jsou přijaty (robot nikdy neposílá opakovaně) Filtrace podle obsahu dopisu filtry založené na pravidlech četnost slov, slovních spojení a chyb typických pro spam filtry založené na učení bayesovské filtry, umělá inteligence, učení individuální metodou správně špatně Výpočetní technika I Přednáška 9: 13 / 30
Šíření a obrana Nechtěné technologie, které se instalují bez výslovného povolení uživatelem (špionážní software) Technologie, které jsou implementovány tak, že nějakým způsobem poškozují uživatele ovlivňují soukromí uživatele nebo bezpečnost systému využívají systémových zdrojů včetně již instalovaných programů sbírají a odesílají osobní nebo jinak citlivé informace o uživatelích Druhy spywaru Adware obtěžování reklamou, obvykle v oknech Keylogger sledování každého zmáčknutí klávesy, zasílání informací třetím osobám Remote Administration Tool (RAT) umožní vzdálené ovládání napadeného stroje neoprávněnému uživateli Výpočetní technika I Přednáška 9: 14 / 30
Šíření a obrana Šíření a obrana proti spyware Šíření často během instalace jiného softwaru Typicky při instalaci programů pro přehrávání, zpracování nebo sdílení multimediálních či jiných souborů, které lze zdarma stáhnout z Internetu Spolehlivým zdrojem spywaru jsou rizikové webové stránky (pornografie, warez) Nástroje snažící se skrytě nainstalovat spyware však mohou být zakomponovány prakticky do jakéhokoli webu Antispywarové služby jsou přidávány do komplexních antivirových systémů, nebo jsou realizovány jako samostatný specializovaný software Výpočetní technika I Přednáška 9: 15 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Složenina slov malicious (záludný, zákeřný, lstivý) a software Zahrnuje všechny typy škodlivého softwaru, zejména viry, červy a trojské koně Počátek v roce 1986, kdy se zrodil Brain (první virus pro osobní počítače IBM PC), původ v Pákistánu Viry ukrývající se před antivirovými programy (stealth), modifikující svůj vlastní kód (polymorfní viry) apod. S příchodem nových operačních systémů se objeví nové viry, které budou využívat jejich specifických vlastností Výpočetní technika I Přednáška 9: 16 / 30
Počítačový virus Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Program, jehož cílem je škodit Inteligentně naprogramován Pracuje skrytě S biologickým virem má společné rysy fáze množení a napadání fáze destrukce Využívá nedokonalostí operačního systému a dalších programových komponent K šíření virů je zapotřebí vhodné prostředí počítač s operačním systémem, který virus zná objekty, které virus dokáže napadnout a které jsou nějakým způsobem šířeny (spustitelné soubory s příponami EXE, COM, SYS, DLL, ) Výpočetní technika I Přednáška 9: 17 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Typy počítačových virů Souborové viry přidávány ke spustitelným souborům cílem viru je rozmnožení ihned po spuštění souboru při spuštění napadeného souboru se nejdříve aktivuje virus, pak se teprve spustí původní program Přepisující souborové viry nejprimitivnější forma počítačových virů virus přepíše původní obsah souboru sám sebou a tím jej zničí bývají okamžitě zpozorovány, šance na šíření je téměř nulová nemožnost spouštění napadeného programu bývá maskována chybovým hlášením Multipartitní viry mohou pracovat jako souborové i jako zaváděcí viry Výpočetní technika I Přednáška 9: 18 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Typy počítačových virů Zaváděcí (boot) viry napadají zaváděcí sektor disku čtený po spuštění stroje virus si zajistí spuštění ihned po startu počítače, stává se paměťově rezidentním a bez větší námahy kontroluje nejnižší úroveň diskových služeb poškozením zaváděcího sektoru je možné například ve vteřině zničit obsah celého disku příznakem nákazy zaváděcím virem bývá snížení dostupné systémové paměti typickým zdrojem nákazy je zapomenutá disketa v mechanice stealth technika maskování před antivirovým softwarem, při pokusu o čtení tabulky oblastí pevného disku (která obsahuje virový kód) je vydána falešná informace Výpočetní technika I Přednáška 9: 19 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Typy počítačových virů Dokumentové viry (makroviry) napadají dokumenty kancelářského balíku, v nichž mohou být tzv. makropříkazy první výskyt v roce 1995 WM/Concept.A pro Word 6 některá makra spouští Word sám, aniž by jej o to uživatel požádal makra v Excelu nabízejí stejné možnosti jako ve Wordu, navíc možnost vkládat makra do buněk vlastního sešitu Objevují se ale už i viry, které se pokoušejí infikovat Java applety, případně VBScripty nebo Jscripty obsažené v HTML stránkách Virus rozhodně nenajdeme v textových souborech (jsou přímo čitelné a kontrolovatelné člověkem a nejsou spustitelné) a obvykle ani v datových souborech (obrázky, zvuky, videa aj.) Výpočetní technika I Přednáška 9: 20 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Mýty o virech Zlý virus napadá hardware v dřívějších dobách v ojedinělých situacích způsobeno konstrukční nedokonalostí technického vybavení zničení čtecí hlavy disku, teplotní kolaps procesoru, přetížení monitoru vlivem nevhodného nastavení frekvence apod. Virus zaútočí z napadaného média, i když se na něj pouze podíváme aby se virus stal aktivní, musí být spuštěn, tj. procesor musí vykonat jeho instrukce pouhým přečtením jakýchkoli dat (i virových) nelze počítač v žádném případě infikovat totéž platí o dalších operacích využívajících čtení (kopírování ze vzdáleného počítače, tisk apod.) Výpočetní technika I Přednáška 9: 21 / 30
Počítačový červ Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Program, který je na rozdíl od běžného viru schopen automatického rozesílání kopií sebe sama na jiné počítače Poté, co napadne operační systém, převezme kontrolu nad síťovou komunikací a využívá ji ke svému vlastnímu šíření Zneužívají konkrétní bezpečnostní dírky operačního systému či softwaru Nelze detekovat klasickou formou antivirového systému Vedlejším efektem činnosti červů bývá zahlcení sítě Jedním z nejznámějších červů je patrně I Love You, který zaplavil Internet v roce 2000, způsobil škody za několik desítek miliónů amerických dolarů a ochromil provoz některých internetových služeb Výpočetní technika I Přednáška 9: 22 / 30
Trojský kůň (trojan) Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Není schopen sebereplikace a infekce souborů Vystupuje nejčastěji jako spustitelný soubor, který neobsahuje nic jiného než samotné tělo trojského koně, jedinou formou dezinfekce je pak smazání dotyčného souboru Destruktivní trojani jednoduché programy předstírající užitečnou činnost (např. antivirový program) ve skutečnosti však mažou soubory, přepisují konfiguraci počítače nebo provádějí jiné destruktivní akce Password-stealing trojani hlavní funkcí je sledování jednotlivých stisků kláves, jejich ukládání a odesílání na dané e-mailové adresy tento typ infiltrace se spíše klasifikuje jako spyware Výpočetní technika I Přednáška 9: 23 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Trojský kůň (trojan) Downloader do PC vypouští škodnou, další škodlivé programy si však nenese s sebou, ale snaží se je stáhnout z Internetu z pevně definovaných URL namísto stažení pouze jednoho dalšího kusu škodlivého softwaru stáhne downloader často hned několik programů, které ve své finální fázi způsobí téměř vyřazení počítače z činnosti Backdoor aplikace typu klient server, kterou lze přirovnat ke vzdálenému terminálu vystupuje anonymně, uživatel není schopen jeho přítomnost běžným způsobem vypozorovat Řada moderních virů si nese trojského koně s sebou Výpočetní technika I Přednáška 9: 24 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Techniky virů šířících se elektronickou poštou Maskovací techniky dvojitá přípona souboru bílé znaky (odsunutí druhé přípony z obrazovky) Zneužívání bezpečnostních děr MS Outlook, MS Outlook Express Aktualizace prostřednictvím Internetu využívání sítí peer-to-peer Likvidace antivirových programů Falšování skutečného odesílatele (spoofing) Ukončení vlastní činnosti po nějaké době se virus přestane šířit a vyčkává na další pokyny Výpočetní technika I Přednáška 9: 25 / 30
Počítačové viry Červi Trojské koně Techniky virů šířících se e-mailem Projevy viru Projevy viru Efekty načasování je velmi důležité, autor se chce zviditelnit manipulace s obrazovkou (padání písmen, různá objevná sdělení) propagace hudebních skupin, komentáře k aktuálním politickým událostem, výhrůžky destrukcí disku nebo neškodné představení Obtěžující chování občasná záměna klávesy za sousední hrátky se systémovým časem počítače Krádeže schopnost ukrást libovolné údaje z počítače a kamkoli je přenést třeba pomocí elektronické pošty Destrukce snaha zničit data na pevném disku Výpočetní technika I Přednáška 9: 26 / 30
Metody vyhledávání virů Prevence Antivirový program Software, který slouží k identifikaci a odstraňování počítačových virů a jiného škodlivého softwaru Techniky pro identifikaci virů prohlížení souborů na lokálním disku, které má za cíl nalézt v databázi sekvenci odpovídající vzorku některého známého počítačového viru detekce podezřelé aktivity počítačového programu, což může znamenat infekci Úspěšnost závisí na schopnost antivirového programu a zejména na aktuálnosti databáze počítačových virů, kterou si programy pravidelně stahují z Internetu Výpočetní technika I Přednáška 9: 27 / 30
Metody vyhledávání virů Prevence Metody vyhledávání virů Databáze vzorků (signatury) předpoklad, že virus v sobě nese určitý jedinečný řetězec bajtů, díky kterému jej lze identifikovat seznam všech známých signatur je uložen v databázi, kterou si antivirový program neustále aktualizuje nový virus, pro který nebyly dosud vytvořeny signatury, nelze touto metodou odhalit Heuristická analýza vychází z předpokladu, že podezřelé jevy programů mají na svědomí viry dokáže odhalit i neznámý virus, pro který nebyly dosud vytvořeny signatury v případě mohutného napadení je dostatečně účinná testování je velmi náročné a pomalé, občas může dojít k planému poplachu Výpočetní technika I Přednáška 9: 28 / 30
Metody vyhledávání virů Prevence Metody vyhledávání virů Test kontrolního součtu pro všechny ohrožené soubory na disku je preventivně spočítán kontrolní součet při každém použití těchto souborů je opět spočítání kontrolní součet a je porovnán s minulým výsledkem nelze použít v případě, kdy se soubor při práci mění (např. když si spustitelný soubor do těla ukládá uživatelské konfigurace) Antivirové štíty a scannery programové moduly antivirového systému, které testují všechny otevírané soubory (i e-maily) na přítomnost virů, navíc analyzují chování spuštěných souborů je-li zjištěna podezřelá činnost, štít činnost zastaví a vyzve uživatele k potvrzení dalšího kroku Výpočetní technika I Přednáška 9: 29 / 30
Metody vyhledávání virů Prevence Prevence Používání originálního softwaru, zejména legálního operačního systému, u něhož je neustále zajišťována detekce možných bezpečnostních děr a jsou pravidelně vydávány aktualizace Pravidelná aktualizace běžně používaných zejména síťových produktů (komunikátory, ovladače aj.), které by mohly být z Internetu zneužity Užití zdravého rozumu zejména při práci s e-mailem Nepoužívání neověřených médií, zejména zapomenutých disket Omezení klikání na vše, co se jeví zajímavé Pravidelná záloha dat na různá datová média Sledování relevantních webových stránek (http://www.viry.cz, http://www.hoax.cz aj.) Výpočetní technika I Přednáška 9: 30 / 30