1 / 85

Základy informatiky část 8

Základy informatiky část 8. Počítače a MALWARE MAL icious soft WARE. Motto: To, že jsem paranoidní, neznamená, že po mě nejdou…. Malware – Historie. Sci-fi literatura předpověděla již v 60. letech V reálu se malware objevil až v 80. letech

dino
Télécharger la présentation

Základy informatiky část 8

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Základy informatikyčást 8

  2. Počítače a MALWAREMALicioussoftWARE Motto: To, že jsem paranoidní, neznamená, že po mě nejdou…

  3. Malware – Historie • Sci-fi literatura předpověděla již v 60. letech • V reálu se malware objevil až v 80. letech • Nejstarší – Trojské koně, snažily se předstírat užitečnost…

  4. Malware – Historie Příklady: • 1985 EGABTRsliboval lepší grafiku, ve skutečnosti mazal a když domazal, napsal „Arf! Arf! Gotcha“ • Hra Nuklea – po dohrání na disku nic nezbylo • Přelom 80. až 90. let, trojani se vydávají za antivirové programy, místo hledání virů rovnou mažou disk

  5. Malware – Historie • První virus 1986 Brain(bratři Basit aAmjadsFarooqAlvi z Pakistánu – Lahore. Údajně ho dávali jako bonus cizincům, kteří si u nich v obchodě kupovali nelegální software. • Experimenty p. Franka. Jeho první pokus s viry 10.9.1983 na počítači VAX 11/750 pod UNIXem, nad kterým ztratil po půl hodině kontrolu. • 1987 Lehigh, Stoned, Vienna, Cascade. Posledně jmenovaný – slavná padající písmenka na obrazovce.

  6. Malware – Historie • XI.1988 Robert T. Morris vypustil do světa tzv. „Morrisův červ“. Červ napadl kolem 6000 unixových počítačů, blokoval tehdejší síť 36 hodin, červ se dostal i do LawrenceLivermoreNationalLaboratory, škody 100 miliónů dolarů. • 1988 antivirové programy. McAfeeVirusScan, Dr. Solomon AVTK. • 1990 polymorfní viryviry, u nichž vypadá každý exemplář „na venek“ odlišně. Antiviry vyhledávají podle řetězců.

  7. Malware – Historie • „Stealth“ viry, tj. viry, které se dokážou maskovat v systému. Příklad virus Frodo, který sledoval manipulaci se soubory a uživateli nebo antiviru „předhazoval“ nezávadné verze těchto, ve skutečnosti infikovaných souborů. • 1991Tequilaprvní multipartitní virus. Multipartitní viry dokážou napadnout systémové oblasti disku i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth.

  8. Malware – Historie • 1994 One_Half.3544.A • Silně polymorfní a multipartitní virus ze Slovenska. • Řada antivirů ho nedokázala stoprocentně detekovat.

  9. Malware – Historie • 1995 FormOperační systém Windows 95 sliboval zánik počítačových virů • Boot virus Form, byl společností Microsoft distribuován společně s Windows 95 beta testerům na instalačních disketách. • W 95 neznamenal konec virům

  10. Malware – Historie • 1995 makrovirusConceptšíří se v dokumentech MS Word. • Dlouhou dobu nejrozšířenější vir (tehdejší antiviry nebyly na makroviry připraveny). • Relativní klid panoval u majitelů českých verzí – pod českou verzí nefungovalo. • Od verze MS Office 97 makroviry funkční i v českých verzích…

  11. Malware – Historie • 1995Win95/Boza.APrvníopravdovývirus pro Windows 95. • 1995Win95/Punch „paměťově rezidentní“, přežíval v paměti jako VxD ovladač. • 1995Laroux – první makrovirus pro MS Excel. • 1998Win95/CIH – novináři nazvaný Černobyl Vždy 26. dubna* se pokusil přemazat paměť Flash BIOS na základní desce a část dat na disku. První popřel tezi, že virus neohrozí hardware. * záleželo na variantě

  12. Malware – Historie • 1998Skriptové viry napříkladVBS/RabbitneboHTML/Internal. • 1999Skriptové viry„mass-mailing“, W97M/Melissa.A@mm.

  13. Malware – Současnost • Vývoj virů šířících se elektronickou poštou stále pokračuje. • Nejstarší potřebovaly aplikaci Outlook, • Novější si vezou sebou vlastní SMTP server(!). • Možno zneužívat infikované PC bez vědomí jeho uživatele (stroj označován „zombie“). • Malwareje typu backdoor nebo trojanproxy.

  14. Malware – útok Typický průběh "spamování" havěti (v tomto případě jde o dropper viru Win32/Bagle.BI) – dvě vlny a pak klid (svislá osa – počet infikovaných e-mailů zachycených na poštovním serveru, vodorovná osa – čas). Igor Hák Moderní počítačové viry

  15. Malware – základní dělení • Viry– virus je schopen sebereplikace, tedy množení sebe sama, ovšem za přítomnosti hostitele k němuž je připojen • Trojské koně (Trojan) – tento typ škodlivého kódu není schopen sebereplikacea infekce souborů

  16. Malware – základní dělení • Backdoor– schovává se v počítači uživatele a čeká až se útočník se připojí přes internet na postižený počítač. Pak si s ním může dělat „co chce“ – kopírovat a získávat data, manipulovat s OS, ale i s mechanikou DVD. • Červi (worms) – šíří se elektronickou poštou ve formě síťových paketů. Umí počítač infikovat otevřením přílohy.

  17. Spyware– program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Adware– otravuje s reklamou Hoax– poplašná zpráva, která obvykle varuje před neexistujícím nebezpečným virem Malware – základní dělení

  18. Phishing– podvodné e-maily, kdy jsou na velké množství adres rozeslány podvodné zprávy, které na první pohled vypadají jako informace z významné instituce (nejčastěji banky) Dialer– je program, který změní způsob přístupu na Internet prostřednictvím modemu Malware – základní dělení

  19. Makroviry–zaměřují se na makra kancelářských programů (MS Office) Rootkit– sada počítačových programů a technologií, pomocí kterých lze maskovat přítomnost malware v počítači. Umožňuje skrývat běžící procesy, soubory a systémové údaje. Malware – základní dělení

  20. Viry Program „infikující“ jiné programy a pomocí nich se šíří a) Bootviry– napadají systémové oblasti, šíří se datovými nosiči (při bootování) b) Souborové viry – napadají programové soubory (dělíme do 3 skupin) Hostitelem mohou být například spustitelné (exe, com) soubory, systémové oblasti disku, popřípadě soubory, které lze spustit za použití specifických aplikací (dokumenty Microsoft Wordu, skripty VisualBasicu apod.).

  21. Boot Viry Napadají systémové oblasti: boot sektory disket (flash disků…) MBR (Master BootRecord) pevného disku. Obvykle přepíší svým vlastním kódem boot sektor a původní přepsanou část boot sektoru uschovají na jiné místo disku. Najdeme je: v nevyužitých klastrech v použitých klastrech (hrozí poškození původního obsahu) v systémových oblastech ve stopách, které se nacházejí mimo aktivní oblast disku

  22. Souborové viry přepisující • Vyhledá spustitelný soubor a přepíše jej • Původní obsah programu je přepsán novým kódem • Původní program je od této chvíle nespustitelným

  23. Parazitické viry (link) Připojí se k hostiteli (spustitelnému souboru) bez toho, aby ho poškodily Připojení prepend (před) insert (v) append (za) Při infekci je původní soubor upraven tak, aby po jeho následné aktivaci došlo jak k aktivaci viru, tak i původního programu

  24. Doprovodné viry • Nezapisují se do původního kódu programu • Vytváří stínový soubor stejného jména s příponou .COM(ten je OS preferován) • Příklad: Máme soubor SPUST.EXE, virus vytvoří SPUST.COM. Podle priorit DOS dojde při volání daného souboru bez uvedení přípony nejprve k aktivaci toho s příponou COM a tím i k aktivaci viru.

  25. Umístění virů Parazitický Doprovodný BAUDIŠ, Pavel; ZELENKA Josef; Antivirová ochrana. Praha : únor, 1996. ISBN. str.28

  26. Multiparitní viry • Napadají systémové oblasti • Napadají spustitelné soubory • Kombinují vlastnosti boot a souborového viru • Velké škody („One Half“)

  27. One_Half • One_Half postupně kódoval obsah pevného disku • Šifrování pomocí klíče, který si sebou nesl. • Pokud byl One_Half neodborně odstraněn (včetně tohoto klíče), znamenalo to i ztrátu zakódované části dat. • Dekryptovací algoritmus viru One_Half byl rozdělen na několik navzájem propojených„ostrůvků“, které byly „rozsety“ po infikovaném souboru. • Polymorfní, Stealth

  28. Makroviry • Vytvářeny vmakrojazycíchkancelářských programů • Napadají dokumenty (Word, Excel, … ) • Šíří se v dokumentech – velké nebezpečí, neboť s nimi uživatelé nepočítají

  29. Jak virus poznat? • Obecně obtížně, obvykle se skrývají • Chlubí se sám, že je (dříve): • Pouze efekty (padající znaky na obrazovce) • Přehazuje klávesy, zaměňuje soubory • Ničí data na HDD • Dnes: získávání informací zablokování systémů

  30. Trojské koně • Sniffer– odposlouchávání přístupových jmen a hesel, čísel kreditních karet • Keylogger– sledování (záznam) znaků zadávaných z klávesnice • Spyware– sleduje uživatele a jeho zvyklosti při surfování na Internetu a posílá o tom zprávy

  31. Trojské koně • Zadní vrátka – trojský kůň obsahuje síťovou službu, kterou může útočník použít pro získání přístupu do systému přes počítačovou síť • Spam server – rozesílání nevyžádané elektronické pošty (e-mail) z napadeného počítače

  32. Trojské koně • Souborový server – trojský kůň nainstaluje souborový server • např. FTP, IRC bota nebo nějaký P2P program • server je poté použit: • pro stahování souborů uživatele, • pro ukládání souborů majitelem trojského koně (např. warezu nebo malware)

  33. Trojské koně • Proxy trojan– umožňuje použít napadený počítač jako proxy server. • Security software disabler– zablokuje software pro zabezpečení PC (Firewall,Antivir) • Denial-of-service– trojský kůň se účastní DDoS útoku (zahlcení požadavky) • URLtrojan– přesměrovává infikované počítače připojené přes vytáčené připojení k Internetu na dražší tarify (URLinjection, hijacker)

  34. Tracking cookie • Cookie(anglicky koláček, oplatka, sušenka) v protokolu HTTP označuje malé množství dat, která WWW server pošle prohlížeči, který je uloží na počítači uživatele. • Trackingcookie– „sledovací sušenka“, slouží k monitorován našeho pohybu po Internetu. • Trackingcookies nepředstavují žádnou hrozbu, „pouze“ narušují soukromí.

  35. Spyware • Spyware využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. • Na rozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled navštívených stránek či nainstalovaných programů. • Nelze zaručit, že informace nebo technologie nemůže být zneužita. • Spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí.

  36. Adware • Znepříjemňuje práci s PC reklamou. • Typickým příznakem jsou "vyskakující" pop-up reklamní okna společně s vnucováním stránek. • Adware může být součástí některých produktů (např. BSPlayer). • Reklama doprovází během celé činnosti s daným programem výměnou za větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné – něco za něco.

  37. (Dialer) • Dialer je program, který změní způsob přístupu na Internet prostřednictvím modemu. • Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. "žluté linky"). • Dialery jsou nebezpečné pouze u analogových telefonních linek (dial-up). • Netýká se ISDN, ADSL a jiných moderních technologií • Pozn.: pouze pro vytáčené připojení k internetu, u digitálních linek nehrozí.

  38. Antivirové programy • Metoda vyhledávání (známé viry) • Heuristická analýza, srovnávací test (lze hledat i dosud neznámé viry) • Rezidentní antivirové programy (neustále v RAM) • AVG, AVAST, Nod 32, F-secure, Scan, Norton Antivir, Kaspersky, McAfee...

  39. Antivirové programy

  40. Antivirové programy

  41. Antivirové programy

  42. Antivirové programy Odborné časopisy sestavují žebříček nejlepších antivirových programů

  43. ! POZOR ! Důrazně se nedoporučuje provozovat SOUČASNĚ více antivirových či antispywarových řešení (především jejich rezidentní části). Hrozí problémy s chodem Windows a ve výsledku i problémy s detekcí havěti!

  44. Antivirové systémy • Nepřetržitý dohled – antivirovou kontrolu nad daty, se kterými uživatel pracuje (tzv. on-access skener). • Provádějí antivirový test na vybrané oblasti počítače. Test je vyvolán uživatelem (on-demand): on-demand skener.

  45. Antivirové systémy • Udržování antivirového systému v aktuální podobě • Pravidelné stahování aktualizací antivirového systému. • Automatická antivirová kontrola elektronické pošty (příchozí a odchozí)

  46. Antivirové systémy bonus • Plánovač událostí (scheduler): automatické vyvolání antivirové kontroly důležitých dokumentů. • Kontrola integrity. • Karanténa (quarantine). • Monitorovací programy. • AVplug-in pro aplikaci Microsoft Office.

  47. Počet Malware

  48. Kontrola a prevence spyware • Spywareterminator, umí detekovat, ale i chránit • Součástí je i "štít", který brání ve vykonání podezřelých operací. • Česká verze, freeware, vývoj v Brně)

  49. Kontrola a prevence

  50. Kontrola a prevence • Spybot S&D, umí detekovat, ale i chránit • Součástí je i "štít", který brání ve vykonání podezřelých operací. • Česká verze, freeware

More Related