uživatel eliminován | 17. 02. 2008, 17:26:49 |

1. Počítačová infiltrace
2. Počítačovou infiltrací nazveme neoprávněný vstup do počítačového systému.
3. Jde o termín s velice širokým významem, proto se tato publikace omezím jen na některé typy.
4. Výše uvedené typy lze označit i názvem MALWARE – MALicious software, škodlivý software.
5. Pojem „virus“ se zapsal do podvědomí lidí nejvíce a proto jsou takto často označovány veškeré typy infiltrací, bez ohledu na to, zda jde opravdu o virus, trojského koně nebo červa.
6. Viry
7. Název je odvozen díky jistým podobnostem od biologických originálů.
8. Virus je schopen sebe-replikace, tedy množení sebe sama, za přítomnosti hostitele, k němuž je připojen a na němž parazituje.
9. Hostitelem mohou být například spustitelné (executable) soubory, systémové oblasti disku, popřípadě soubory, které nelze vykonat přímo, ale za použití specifických aplikací dokumenty Microsoft Wordu, skripty Visual Basicu apod.).
10. Jakmile je hostitel spuštěn (vykonán), provede se rovněž kód viru.
11. Během tohoto okamžiku se obvykle virus pokouší zajistit další sebe-replikaci a to připojením k dalším vhodným vykonatelným hostitelům.
12. Párkrát se již stalo, že novináři jásali nad objevením prvního viru na světě, který dokáže infikovat soubory formátu JPEG3 či MP3.
13. V tomto případě nelze mluvit o infekci, ale o prostém připojení zcela nepoužitelného kódu (tělo viru) k výše uvedenému formátu.
14. Jelikož tělo viru nedrží s původním kódem žádnou společnou strukturu, přehrávač (v případě MP3) či prohlížeč (JPEG) považují tělo viru za „smetí“.
15. Navíc, JPEG i MP3 jsou datové formáty, kdežto tělo viru binární kód.
16. Souvisejícím tématem je pochopení rozdílu mezi formátem souboru a jeho příponou.
17. Pokud hovoříme o formátu, pak hovoříme o vnitřní struktuře souboru a zvolená přípona mu nemusí ve skutečnosti odpovídat.
18. Proto mohou být k vidění případy, kdy je infikován například soubor s příponou .DAT (jinak zcela nezajímavý ze strany virů), ale to jen z důvodu, že jeho vnitřní struktura odpovídá specifikaci formátu EXE souboru.
19. Podle typu hostitele a způsobů infekce lze viry rozdělovat do dalších skupin.
Trojské koně (Trojan)
20. Na rozdíl od virů není tento typ škodlivého kódu schopen sebe-replikace a infekce souborů. Trojský kůň nejčastěji vystupuje pod spustitelným souborem typu EXE, který neobsahuje nic jiného (užitečného), než samotné „tělo“ trojského koně.
21. Odtud společně 3 V současnosti existuje bezpečnostní chyba v jisté části produktu Microsoft, která umožňuje formát JPEG zneužít pro spuštění škodlivého kódu pouhým zobrazení obrázku.
22. Pozn.: nejde o obecný problém formátu JPEG, ale o problém MS. Popsáno v Microsoft Security Bulletinu MS04-28.
23. Moderní počítačové viry se skutečností, že trojan není připojen k žádnému hostiteli plyne, že jedinou formou dezinfekce je odmazání dotyčného souboru.
24. Starší definice říkají, že trojan je program, vizuálně vypadající jako užitečný, ve skutečnosti však škodlivý.
25. V daleké minulosti se tak několikrát objevil trojský kůň vydávající se za antivirový program McAfee VirusScan, ve skutečnosti likvidující soubory na pevném disku.
26. Jako jeden z posledních dodržujících tuto tradici byl trojan Telefoon, který se vydával za komprimační program RAR 3.0 (jehož oficiální verze 3.0 mimochodem vyšla až za několik let).
27. V současnosti se tak můžeme setkat nejčastěji s následující formou trojanů:
28. Password-stealing trojani (PWS)
29. Skupina trojských koní, která obvykle sleduje jednotlivé stisky kláves4 (keyloggers) a tyto ukládá a následně i odesílá na dané e-mailové adresy.
30. Majitelé těchto emailových adres (nejčastěji samotní autoři trojského koně) tak mohou získat i velice důležitá hesla.
31. Tento typ infiltrace lze klasifikovat i jako spyware.
Destruktivní trojani
Klasická forma, pod kterou je pojem trojských koní obecně chápán.
32. Pokud je takový trojský kůň spuštěn, pak likviduje soubory na disku, nebo ho rovnou kompletně zformátuje.
33. Do této kategorie můžeme zařadit i většinu BAT trojanů, tj. škodlivých dávkových souborů s příponou BAT.
34. V tomto případě může překvapit snad jen občasné jednoduché kódování obsahu, díky čemuž není na první pohled zřejmé, co takový kód provádí.
35. Backdoor
36. Speciální skupina trojských koní, detailněji popsána níže v samostatné kapitole (záleží z jakého pohledu na backdoory nahlížíme a proto je lze rozdílně zařadit).
37. Ačkoliv by se dle výše uvedeného mohlo zdát, že setkání s trojským koněm je píše náhodou, není tomu tak.
38. Pravděpodobnost setkání je vyšší od chvíle, kdy řada virů začala nést takové trojské koně s sebou a během svého šíření je vypouští na jednotlivé počítače.
39. Pokud je virus úspěšný, dojde jak k masivnímu rozšíření viru, tak i k vypuštění velké spousty trojských koní.
40. Nejčastěji jsou vypouštěni password-stealing trojani a backdoory.
41. Potom už záleží jen na autorovi daného viru, jak dokáže získané možnosti využít.
42. Klasifikovat jako trojské koně můžeme i všelijaké škodlivé kódy umístěné na pochybných internetových stránkách.
43. A konec konců, proč ne, můžeme sem zařadit i spyware, adware, dialery atd.
44. Záleží pouze na tom, jak na celou problematiku nahlížíme.
45. Dropper
46. Škodlivý program, nejčastěji typu EXE, který po spuštění vypustí do PC další škodlivou havěť, kterou si nese s sebou ve vlastních „útrobách“.
47. Downloader (TrojanDownloader)
48. Význam tohoto škodlivého programu je podobný jako v předchozím případě – vypustit „škodnou“ do PC.
49. Downloader si ovšem další škodlivé programy nenese s sebou, ale snaží se je stáhnout z Internetu z pevně definovaných adres (URL).
50. Různé skripty mají v řadě případů problémy s českým jazykem a vedlejším efektem bývá, že například při pokusu napsat velké písmeno s háčkem dostáváme následující výsledek: chceme napsat „Č“, dostáváme: „ˇˇC“.
51. Moderní počítačové viry mohou způsobit, že tentýž downloader může nakonec stahovat rozdílný software.
52. V reálné situaci to navíc může vypadat tak, že není stažen / vypuštěn pouze jeden kus dalšího škodlivého softwaru, ale hned několik, které vypustí nebo stáhnou další vlnu havěti.
53. V konečné fázi tak může spuštění jednoho nenápadného souboru vyvolat reakci, kdy je PC téměř nepoužitelné pro svou pomalost a chování.
54. Proxy Trojan (TrojanProxy)
55. Některé trojské koně se postarají o to, že infikovaný počítač může být zneužit například pro odesílání spamu – nevyžádané pošty.
56. Právě o tuto činnost se stará tento typ infiltrace.
57. Při využití proxy je téměř nulová šance, že bude vypátrán skutečný autor nevyžádané pošty. Je to způsobeno samotným principem proxy.
58. Backdoor
59. Jde o aplikace typu klient-server, které jsou schopnostmi velice podobné komerčním produktům jako pcAnyWhere, VNC či Remote Administrator.
60. Na rozdíl od nich ovšem vystupují anonymně, uživatel není schopen jejich přítomnost běžným způsobem vypozorovat a to je důvodem, proč jsou preventivně detekovány antiviry jako jeden z typů infiltrace.
61. Mluvíme o neautorizovaném vstupu. Backdoor je tak aplikace, sloužící pro vzdálenou správu PC a sama osobě nemusí být škodlivá.
62. Záleží pouze na osobě, která tuto vzdálenou správu vykonává.
63. Pokud půjde o činnost škodlivou, pak tuto osobu nazýváme vzdáleným útočníkem.
64. Princip fungování backdooru je následující.
65. Klientská část vysílá požadavky útočníka serverové části, ta tyto požadavky plní, popřípadě odesílá zpět klientu požadované informace.
66. Z předchozího je zřejmé, že klientskou část aplikace by měl vlastnit útočník a serverová by měla být umístěna na počítači, kde lze očekávat kupříkladu důležitá data.
67. Pokud je serverová část backdooru vypouštěna úspěšně se šířícím virem, má vzdálený útočník k dispozici tisíce počítačů, ke kterým může vzdáleně přistupovat.
68. Celá komunikace probíhá ve většině případů na bází TCP/IP, která ve spojení s celosvětovou sítí Internet umožňuje, aby útočník byl vzdálen tisíce kilometrů od serverové části backdooru.
IRC
Zvláštní skupinou jsou pak backdoory (nemusí jít nutně o ně), komunikující s útočníkem skrze domluvený kanál v síti IRC.
69. Jako příklad jmenujme virus Win32/Anarxy, který se snaží z infikovaného PC připojit ke kanálu #iworm_anarxy_channel.
70. V něm vystupuje jako „bot“, na první pohled jevící se jako skutečná osoba, chatující na IRC.
71. Útočník tak má teoreticky pohromadě všechny instance viru běžících ve světě a k libovolné z nich se může zalogovat a domluvenými rozkazy ji vzdáleně ovládat.
72. Některé viry pak IRC využívají přímo pro zasílání kopií.
73. V praxi jsou tyto hodnoty nižší, například díky přítomnosti firewallů, popřípadě díky omezením plynoucích z použití privátních IP adres v rámci sítě LAN.
74. Červi (worms)
75. Pojmem červ (worm) byl prvně označen tzv. Morrisův červ, který v roce 1989 dokázal zahltit značnou část tehdejší sítě, ze které později vznikl Internet.
76. Tento a další červi (z poslední doby třeba populární Code Red, SQL Slammer, Lovsan / Blaster, Sasser) pracují na nižší síťové úrovni nežli klasické viry.
77. Nešíří se ve formě infikovaných souborů, ale síťových paketů.
78. Jmenované pakety jsou směrovány již od úspěšně infikovaného systému na další systémy v síti Internet (ať už náhodně, nebo dle určitého klíče).
79. Pokud takový paket dorazí k systému se specifickou bezpečností dírou, může dojít k jeho infekci a následně i k produkci dalších „červích“ paketů.
80. Šíření červa je tedy postaveno na zneužívaní konkrétních bezpečnostních děr operačního systému, úspěšnost pak od rozšířenosti daného softwaru obsahující zneužitelnou bezpečnostní díru.
81. Z výše uvedených charakteristik plyne, že červy nelze detekovat klasickou formou antivirového softwaru.
82. Vedlejším efektem může být kompletní zahlcení sítě, podnikové LAN nevyjímaje.
83. Pojem „červ“ je často spojován i s typem infiltrace šířící se elektronickou poštou.
84. Zde tak mohou pojmy „virus“ a „červ“ splývat v jeden.
85. SQLSlammer
86. Praktickým příkladem může být červ SQLSlammer, který zneužíval bezpečností díru v aplikaci Microsoft SQL Server.
87. Pokud UDP pakety na portu 1433 o délce 376 bajtů (což je zároveň velikost celého červa SQLSlammer) dorazily k MS SQL Serveru s nezáplatovanou bezpečnostní dírou („Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution“), došlo díky podtečení zásobníku (buffer underrun)
88. V některých případech lze detekovat již aktivního červa (což je pozdě) a to díky infikovanému souboru, který musí být na infikovaném PC vytvořen z čistě technických důvodů.
89. SQLSlammer se usadil rezidentně v paměti a začal generovat a následně i
rozesílat další spoustu UDP paketů na náhodné IP adresy.
90. Jmenovaný červ se masově rozšířil a bylo jen štěstí, že neprováděl žádnou destruktivní činnost.
91. Jedinou viditelnou nepříjemností byla schopnost 100% zahltit celou LAN díky obrovské produkci UDP paketů – za 12 hodin bylo dokonce jedno infikované PC s dostatečně dobrým připojením schopno proskenrovat všechny veřejné IP adresy celé sítě Internet!
92. Zajímavostí je, že záplata pro zneužitou bezpečnostní díru byla ze strany Microsoftu uvolněna již několik měsíců před incidentem, ale i tak došlo k úspěšnému rozšíření.
Lovsan / Blaster
93. Pokud se mluvilo o štěstí, že červ SQLSlammer zneužíval aplikaci MS SQL Server, která není běžnou výbavou každého uživatele, pak příchodem červa Lovsan / Blaster nastal zásadní zlom.
94. Červ Lovsan / Blaster pronikl zcela jistě ke všem uživatelům této planety, kteří jsou připojeni k Internetu a u nichž je to technicky možné (hlavně co do struktury zapojení lokálních sítí apod.).
95. V závislosti na tom, jaký operační systém uživatel používal (a v jakém stavu ho měl), byl průnik úspěšný nebo neúspěšný.
96. Úspěšný byl tam, kde byl používán OS Windows 2000/XP bez pravidelné instalace bezpečnostních záplat.
97. Uvedený červ se objevil 11.8.2003 v odpoledních hodinách, kdy byly pozvolna hlášeny anomálie v podobě restartujících se Windows s minutovým odpočtem, popřípadě chyb ve spojitosti s procesem SVCHOST.EXE.
98. Oficiální vyjádření se začala objevovat ještě před půlnocí téhož dne a již ve stejném okamžiku bylo zřejmé, že jde o největší incident v celé historii Internetu!
99. Červ Lovsan / Blaster byl prostě všude a hned!
100.I když je dnes SQLSlammer pro zkušenější správce mrtvou záležitostí, pohledem do reportu firewallů lze snadno zjistit, že pakety o délce 376 bajtů na portu 1433 příslušející červu, se stále šíří Internetem.
http://software-cz.blogspot.com/
!1394!

reagovat