Počítačová bezpečnost 10. Malware Obsah: rozdělení malware antivirové programy, heuristická analýza SPAM, HAM, bayesovské filtry SPF, DKIM, DMARC IDS systémy © Milan Keršláger http://www.pslib.cz/ke/slajdy 15. 12. 2016 http://creativecommons.org/licenses/by-nc-sa/4.0/

Malware zákeřný software („malicious“, /məˈlɪʃəs/) míněn záměr autora, než charakteristika programu ve výsledku nemusí program konat škodlivě nicméně škodí již tím, že v počítači existuje počítačový virus internetový červ trojský kůň spyware, adware rasomware back door

Počítačový virus dokáže se šířit bez vědomí uživatele analogie biologického viru vkládá svůj DNA/RNA kód do živých buněk připojení kódu k existujícím souborům textové dokumenty s makry, spustitelné soubory apod. samy o sobě se nešíří (to dokáže počítačový červ) škodlivá akce žádná, okamžitá, opožděná ochrana antivirovým programem

Antivirový program činnost antivirového programu: nalezení známých hrozeb (již odhalených) antivir najde jenom to, co mé v databázi databázi vytváří tvůrce antiviru analýza reálného viru, nalezení jeho charakteristických znaků rozpoznávací znaky jsou vloženy do databáze databázi si antivir musí pravidelně aktualizovat (stahovat) problém detekce z (již) infikovaného systému heuristická analýza monitorování podezřelého chování či vlastností odstranění hrozby smazat soubor, do trezoru, odstranění viru, ponechání

Anti-spyware, anti-malware... antivir se zabývá jen podmnožinou malware a taky je potřeba vydělat zákazník zaplatí za 3 produkty ochotněji více, než za 1 branding jeden engine pro tři produkty s omezeným záběrem vytváření značky, asociace zákazníka, zvláštní ceny (!) jakýkoliv anti-… má omezenou účinnost nákup charakteristik ze společné databáze ví-li společnost, že se bude konat („nezávislý“) test, může nakoupit signatury různého malware na dané období, a pak už je neplatit (nepoužívat) → získané „ocenění“ však působí na zákazníky dál

Databáze virů v databázi jsou tzv. „signatury“ jsou to hashe (důležitých) částí malware nelze mít v databázi celé kopie virů (malware) pro dostatečné rozpoznání to stačí použit konečný deterministický automat (viz lexikální analýza) jakákoliv známá signatura rozpoznána v jednom průchodu často však false-positive (mylná detekce přítomnosti) v databázi jsou i názvy souborů, procesů atd. proto se dělá důkladná analýza činnosti viru → snadné nalezení nefunguje to však na měnící se viry (polymorfní) polymorní virus se při šíření nákazy mění vir přehazuje své jednotlivé části nebo vkládá vatu tím mění hashe → antivir ho po „mutaci“ nerozpozná

Omezeni antivirů funguje v nedůvěryhodném systému systém může poskytovat falešné informace → tzv. rootkit antivir je nejmocnější program v počítači co když je sám nakažen nebo je v něm chyba? → virus se šíří a skrývá pomocí antiviru hooky do jádra OS veškerá činnost uživatele je monitorována každý otevřený soubor nejprve přečte antivir teprve po schválení jsou data poskytnuta dále

Heuristická analýza zkusmé řešení problému (řecky heuriskó) neznáme přesnější metodu či algoritmus použije se přibližné řešení, intuice, zkušenosti různé heuristické postupy zde však zejména sledování systému sledování „podezřelých“ aktivit v systému typicky pomocí přesměrování systémových volání čím více sledujeme, tím větší zpomalení počítače též problém false-positive uživatel se naučí „odklepnout“ každé upozornění

False-positive mylné nalezení viru antivir se při hledání „splete“ dva různé strojové kódy mohou mít stejný hash vir lze „nalézt“ i v obyčejných datech například jako část obrázku obrázky nelze při hledání přeskočit → viry by se tak maskovaly a mohly by se snadno přejmenovat zpět uživatel se naučí varování ignorovat tj. „se vším souhlasí“, i když je pak varování reálné snahou programátorů je minimalizace false- positive může vést k tomu, že skutečná hrozba není oznámena

Antivir v mobilních systémech chybí hooky do jádra (a služeb systému) antivir je „obyčejná aplikace“ nemůže číst data jiných aplikací nemůže kontrolovat kód jiných aplikací nemůže kontrolovat otevírané soubory nemůže sledovat síťový provoz antivir tak nemůže plnit svoji funkci může si zjistit seznam nainstalovaných aplikací ochranu před malware nabízí sám systém instalátor Google Play kontroluje instalované APK blacklist u Googe, tichá odinstalace, ...

Internetový červ samošířící se nákaza vyžaduje na cíli neopravenou kritickou hrozbu vstup do systému přes síť bez autentizace uživatele problém zero-day zranitelnosti Morrisův červ (1988) zneužíval chybu v sendmailu nakazil jeden počítač i několikrát nakazil asi 10 % počítačů připojených k Internetu vypuštěn z MIT, autor/student podmíněně odsouzen autor je nyní paradoxně profesorem na MIT :-)

Zero-day zranitelnost zneužití zranitelnosti v nultý den před tím, než se autor software o problému dozví též zneužití ve stejný den, kdy šířena oprava uživatelé si ji nestihnou nainstalovat nucený restart MS Windows snaha o eliminaci zero-day zranitelností exploit je v den zveřejnění již znám v zásadě obecný problém „dělo vs. pancíř“ obrana je vždy až krok za útokem (tj. post- mortem) heuristika problém nedovede eliminovat

Trojský kůň obdoba Trojského koně z doby antiky program má funkci, o které uživatel neví míněna taková funkce, se kterou by nesouhlasil vydává se za „užitečný program“ šetřiče obrazovky, tančící Madona, ... ve Windows usnadněno skrýváním přípony např. obrázek není obrázkem, ale programem instaluje rootkit, keylogger, botnet a podobně trojský kůň se sám nedokáže dále šířit

Spyware počítačový slídil bez vědomí uživatele sbírá (a odesílá) informace e-mailové adresy, stisknuté klávesy, ... využívá k tomu internetové připojení často součástí šířených programů např. jako doplněk, o kterém ví autor, ale ne uživatel

Adware advertising-supported software šíří se společně s nějakým programem slouží k vytvoření zisku autorovi programu zobrazování reklamního banneru dříve Opera, též ICQ změna domácí stránky prohlížeče odstranění po zaplacení

Ransomware vyděračský malware zašifruje data (textové soubory, tabulky) umožňuje k nim přístup pak požádá o výpalné (Bitcoin) když nezaplatíš, přijdeš o data když zaplatíš, stejně nemusíš dostat dešifrovací klíč u některých typů je možné dešifrování problém -> zašifruje i data na flash, síťovém disku

Back door zadní vrátka umožňuje obejít běžnou autentizaci uživatele do programu nebo do systému poté skrývání tohoto přístupu speciální aplikace/heslo někdy též „servisní přístup“ rozšíření „seriózního“ programu ničí důvěru v daný program nebo firmu → nebezpečné slouží k vzdálenému ovládnutí počítače vytváření botnetů

Rootkit umožnění a skrývání přístupu k počítači rozšířená verze zadních vrátek instalován typicky po úspěšném napadení zajistí přístup k počítači i po záplatování chyby aféra hudebních CD od Sony „ochrana“ proti kopírování CD kromě toho odesílal informace o činnosti uživatele v systému se tento program skrýval skrývání okopírovali běžné viry přišlo se na to kvůli chybě v programu

Problém s rootkitem infikovaný systém není důvěryhodný nelze věřit žádnému programu uvnitř systému systém může poskytovat falešná data o stavu ve výpisu procesů chybí proces s malwarem délka souborů je hlášená bez viru (odečtena) problém nadřízeného hypervizoru (blue pill) důvod, proč jsou antiviry po nákaze neúčinné forenzní analýza kvůli odhalení a prozkoumání nákazy (malwarem) pomocí externího systému (boot systému z CD)

Forenzní analýza pro počítačové systémy identifikace, uchování, obnovení, analýza kvůli zjištění průběhu nákazy systému nalezení slabého místa v systému, které bylo zneužito další postup útočníka (umístění backdooru, rootkitu) vytvoření záplat pro všechny nalezené chyby též získání klíče (z RAM) pro šifrované systémy případně zkopírování před vypnutím transport zapnutého systému „čekání na exploit“

Botnet síť řízených počítačů vzdálené ovládání počítače skrytí ovládajícího např. přes IRC kanál nabízí vysoký výpočetní výkon původně pro distribuované síťové výpočty (clustery) jsou předmětem prodeje (výdělku) DDoS útok, šíření SPAMu, těžba Bitcoinů, ...

DoS Denial of service způsob útoku na vybraný počítač způsobuje znepřístupnění služby zpomalení cílového počítače úplné zahlcením počítače falešnými požadavky protože nelze rozpoznat reálný požadavek od falešného restart cílového počítače/programu (chyba v programu) obrana: rate limit (omezíme počet odpovědí za jednotku času) zasáhneme i reálné klienty snažící se připojit → SYN cookies blokování IP adres → lze obejít IP spoofingem nutná analýza síťového provozu + nastavení firewallu

DDoS Distributed Denial of service nebezpečnější varianta DoS pomsta jednotlivce, vyřazení konkurence → firmy, státy na útoku se podílí více počítačů nebo zdánlivě → více podvržených IP adres útok přichází různými směry útok je typicky masivní typicky nutná spolupráce s providerem větší provideři spolupracují celosvětově i tak je velmi obtížné se tomu vyhnout http://www.digitalattackmap.com

SPAM nevyžádaná elektronická pošta typicky reklama na výrobky, služby Viagra, Cialis, nigerijské e-maily, ... reaguje zanedbatelné množství příjemců rozesílána však obrovská množství nízká cena na odeslání 1 e-mailu, proto se vyplatí antispamová ochrana administrátor MTA nebo koncový uživatel restrikce na SMTP servery filtrování zpráv spamtrap (poštovní schránky pro sbírání SPAMů)

Restrikce na SMTP servery zaváděno na konci 90. let 20. století přijímá e-mail pouze od důvěryhodných IP adres tj. obsluha stanic z vlastní LAN (nebo providerův SMTP) od kohokoliv jen jako koncový příjemce MTA s e-mailovými schránkami výjimky autentizovaní uživatelé SMTP after POP, AUTH pro SMTP MX servery spammer pak nemá přes koho rozesílat vznikají mu další náklady na rozesílání e- mailů

Filtrování zpráv charakteristická slova databáze slov různé váhy na slova → bayes filtr vlastně expertní systém s umělou inteligencí musí se nejprve „naučit“ → databáze SPAMu SPAM je, když je pravděpodobnost větší než X když je ještě větší, než Y, pak samoučení charakteristické rysy špatně formátované hlavičky a podobně OCR na obrázkový SPAM

SPF Sender Policy Framework RFC 7208 snaha o zamezení podvržení odesílatele e- mailu správce domény odesílatele dá do DNS: SPF záznam, odkud může e-mail přijít tj. seznam počítačů (IP adres) platných odesílajících MTA způsobuje komplikace při roamujících uživatelích jsem-li na služební cestě, nemůžu odeslat e-mail z firmy → odešlu ho přes nejbližší MTA SPF nezabraňuje podvržení → neujalo se poštovní klient by to využít mohl, ale... MTA to využít nemůže, SpamAssassin může

DKIM DomainKeys Identified Mail tj. e-mail podepsaný doménovým klíčem vyvíjeno od roku 2004, v roce 2007 první RFC do hlavičky e-mailu je vložen elektronický podpis, který zahrnuje „potvrzované“ položky (typicky From:, Subject:, Date:) příjemce podpis ověří pomocí veřejného klíče, který je v DNS záznamu domény odesílatele příjemce tak zjistí, zda e-mail přišel z poštovního systému odesílatele pokud podpis není nebo je špatný, je to možná SPAM (možná ale jen e-mail neprošel správnou bránou)

DMARC nadstavba pro SPF a DKIM správce domény definuje chování přijemce záznam v DNS (_dmarc.domena.cz) možnost posílat souhrnné zprávy gmail.com, hotmail.com, yahoo.com, aol.com seznam.cz, outlook.com

HAM opak SPAMu tj. žádoucí pošta problém, že vypadá jako nežádoucí typicky obchodní nabídky, bulletiny apod. používání whitelistů tj. seznam výjimek

HOAX virální zprávy spojitost s virální reklamou těží z naivity uživatelů uživatelé si sami zprávy přeposílají daruj krev umírající holčičce, pište PIN obráceně, neotvírej e-mail se subjektem VIRUS, ... často nesmyslné ochrana: nepřeposílat, školit uživatele

IDS Intrusion Detection System odhalování podezřelých aktivit, bezp. problémů výsledkem informování správce, případně aut. zásah Security Onion (Google), Snort, ... monitorování počítačového systému (HIDS) sledování systémových volání heuristika: nejprve „učení“, pak neobvyklé odchylky monitorování počítačové sítě (NIDS) monitoring na síťových prvcích (switch, router) je potřeba nastavit zrcadlení portů honeypot (falešné sítě a počítače lákající útočníka)

IDS systémy