Počítačová bezpečnost 9. Malware © Milan Keršlágerhttp:// Obsah: ● rozdělení malware ● antivirové programy, heuristická analýza ● SPAM, HAM, bayesovské filtry ● IDS systémy

Malware ● zákeřný software („malicious“) ● míněn záměr autora, než charakteristika programu – ve výsledku nemusí program konat škodlivě – nicméně škodí již tím, že v počítači existuje ● počítačový virus ● internetový červ ● trojský kůň ● spyware ● adware ● back door

Virus ● dokáže se šířit bez vědomí uživatele ● analogie biologického viru – vkládá svůj DNA/RNA kód do živých buněk ● připojení kódu k existujícím souborům – textové dokumenty s makry, spustitelné soubory apod. ● samy o sobě se nešíří (to dokáže červ) ● škodlivá akce – žádná, okamžitá, opožděná ● ochrana antivirovým programem

Antivirový program ● identifikace a odstranění (malware) ● detekce známých hrozeb – podle známých sekvencí (např. MD5, SHA) ● obsaženy ve virových databázích ● databáze se pravidelně aktualizují ● nefunguje na polymorfní viry (měnící se) – často false-positive (mylná detekce přítomnosti) ● heuristická analýza – monitorování podezřelého chování či vlastností ● odstranění hrozby – smazat soubor, do trezoru, odstranění viru, ponechání ● problém detekce z (již) infikovaného systému

Heuristická analýza ● zkusmé řešení problému (řecky heuriskó) ● neznáme přesnější metodu či algoritmus – použije se přibližné řešení, intuice, zkušenosti – různé heuristické postupy ● zde však zejména sledování systému – sledování „podezřelých“ aktivit v systému – typicky pomocí přesměrování systémových volání – čím více sledujeme, tím větší zpomalení počítače ● též problém false-positive – uživatel se naučí „odklepnout“ každé upozornění

Internetový červ ● samošířící se nákaza ● vyžaduje na cíli neopravenou kritickou hrozbu – vstup do systému přes síť bez autentizace uživatele – problém zero-day zranitelnosti ● Morrisův červ (1988) – zneužíval chybu v sendmailu – nakazil jeden počítač i několikrát – nakazil asi 10 % počítačů připojených k Internetu – vypuštěn z MIT, autor/student podmíněně odsouzen ● autor je nyní paradoxně profesorem na MIT :-)

Zero-day zranitelnost ● zneužití zranitelnosti v nultý den ● před tím, než se autor software o problému dozví ● též zneužití ve stejný den, kdy šířena oprava – uživatelé si ji nestihnou nainstalovat ● nucený restart MS Windows – snaha o eliminaci zero-day zranitelností – exploit je v den zveřejnění již znám ● v zásadě obecný problém „dělo vs. pancíř“ – obrana je vždy až krok za útokem (tj. post-mortem) – heuristika problém nedovede eliminovat

Trojský kůň ● obdoba Trojského koně z doby antiky ● program má funkci, o které uživatel neví – míněna taková funkce, se kterou by nesouhlasil ● vydává se za „užitečný program“ – šetřiče obrazovky, tančící Madona,... – ve Windows usnadněno skrýváním přípony – např. obrázek není obrázkem, ale programem – instakluje rootkit, keylogger, botnet a podobně ● trojský kůň se sám nedokáže dále šířit

Spyware ● počítačový slídil ● bez vědomí uživatele sbírá (a odesílá) informace – ové adresy, stisknuté klávesy,... – využívá k tomu internetové připojení ● často součástí šířených programů – např. jako doplněk, o kterém ví autor, ale ne uživatel

Adware ● advertising-supported software ● šíří se společně s nějakým programem ● slouží k vytvoření zisku autorovi programu – zobrazování reklamního banneru ● dříve Opera, též ICQ – změna domácí stránky prohlížeče – odstranění po zaplacení

Back door ● zadní vrátka ● umožňuje obejít běžnou autentizaci uživatele – do programu nebo do systému – poté skrývání tohoto přístupu – speciální aplikace/heslo – někdy též „servisní přístup“ ● slouží k vzdálenému ovládnutí počítače – vytváření botnetů

Rootkit ● umožnění a skrývání přístupu k počítači ● rozšířená verze zadních vrátek ● instalován typicky po úspěšném napadení – zajistí přístup k počítači i po záplatování chyby ● aféra hudebních CD od Sony – „ochrana“ proti kopírování CD – kromě toho odesílal informace o činnosti uživatele

Botnet ● síť řízených počítačů ● vzdálené ovládání počítače – skrytí ovládajícího např. přes IRC kanál ● nabízí vysoký výpočetní výkon – původně pro distribuované síťové výpočty (clustery) ● jsou předmětem prodeje (výdělku) – DDoS útok, šíření SPAMu apod.

SPAM ● nevyžádaná elektronická pošta ● typicky reklama na výrobky, služby – Viagra, Cialis, nigerijské y – reaguje zanedbatelné množství příjemců – rozesílána však obrovská množství ● nízká cena na odeslání 1 u, proto se vyplatí ● antispamová ochrana – administrátor MTA nebo koncový uživatel – restrikce na SMTP servery – filtrování zpráv

Restrikce na SMTP servery ● zaváděno na konci 90. let 20. století ● přijímá pouze od důvěryhodných IP adres ● od kohokoliv jen jako koncový příjemce – MTA s ovými schránkami – výjimky ● autentizovaní uživatelé – SMTP after POP, AUTH pro SMTP ● MX servery ● spammer pak nemá přes koho rozesílat – vznikají mu další náklady na rozesílání ů

Filtrování zpráv ● charakteristická slova ● databáze slov ● různé váhy na slova → bayes filtr – vlastně expertní systém s umělou inteligencí – musí se nejprve „naučit“ → databáze SPAMu – SPAM je, když je pravděpodobnost větší než X – když je ještě větší, než Y, pak samoučení ● charakteristické rysy ● špatně formátované hlavičky a podobně ● OCR na obrázkový SPAM

HAM ● opak SPAMu ● tj. žádoucí pošta ● problém, že vypadá jako nežádoucí ● typicky obchodní nabídky, bulletiny apod. ● používání whitelistů – tj. seznam výjimek

HOAX ● virální zprávy ● spojitost s virální reklamou ● těží z naivity uživatelů – uživatelé si sami zprávy přeposílají – daruj krev umírající holčičce, pište PIN obráceně, neotvírej se subjektem VIRUS,... – často nesmyslné ● často nesmyslné ● ochrana: nepřeposílat, školit uživatele