Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Počítačová bezpečnost 10. Malware

ZveřejnilRadomír Kolář

Podobné prezentace

Prezentace na téma: "Počítačová bezpečnost 10. Malware"— Transkript prezentace:

1 Počítačová bezpečnost 10. Malware
Obsah: rozdělení malware antivirové programy, heuristická analýza SPAM, HAM, bayesovské filtry SPF, DKIM, DMARC IDS systémy © Milan Keršláger

2 Malware zákeřný software („malicious“, /məˈlɪʃəs/)
míněn záměr autora, než charakteristika programu ve výsledku nemusí program konat škodlivě nicméně škodí již tím, že v počítači existuje počítačový virus internetový červ trojský kůň spyware, adware rasomware back door

3 Počítačový virus dokáže se šířit bez vědomí uživatele
analogie biologického viru vkládá svůj DNA/RNA kód do živých buněk připojení kódu k existujícím souborům textové dokumenty s makry, spustitelné soubory apod. samy o sobě se nešíří (to dokáže počítačový červ) škodlivá akce žádná, okamžitá, opožděná ochrana antivirovým programem

4 Antivirový program činnost antivirového programu:
nalezení známých hrozeb (již odhalených) antivir najde jenom to, co mé v databázi databázi vytváří tvůrce antiviru analýza reálného viru, nalezení jeho charakteristických znaků rozpoznávací znaky jsou vloženy do databáze databázi si antivir musí pravidelně aktualizovat (stahovat) problém detekce z (již) infikovaného systému heuristická analýza monitorování podezřelého chování či vlastností odstranění hrozby smazat soubor, do trezoru, odstranění viru, ponechání

5 Anti-spyware, anti-malware...
antivir se zabývá jen podmnožinou malware a taky je potřeba vydělat zákazník zaplatí za 3 produkty ochotněji více, než za 1 branding jeden engine pro tři produkty s omezeným záběrem vytváření značky, asociace zákazníka, zvláštní ceny (!) jakýkoliv anti-… má omezenou účinnost nákup charakteristik ze společné databáze ví-li společnost, že se bude konat („nezávislý“) test, může nakoupit signatury různého malware na dané období, a pak už je neplatit (nepoužívat) → získané „ocenění“ však působí na zákazníky dál

6 Databáze virů v databázi jsou tzv. „signatury“
jsou to hashe (důležitých) částí malware nelze mít v databázi celé kopie virů (malware) pro dostatečné rozpoznání to stačí použit konečný deterministický automat (viz lexikální analýza) jakákoliv známá signatura rozpoznána v jednom průchodu často však false-positive (mylná detekce přítomnosti) v databázi jsou i názvy souborů, procesů atd. proto se dělá důkladná analýza činnosti viru → snadné nalezení nefunguje to však na měnící se viry (polymorfní) polymorní virus se při šíření nákazy mění vir přehazuje své jednotlivé části nebo vkládá vatu tím mění hashe → antivir ho po „mutaci“ nerozpozná

7 Omezeni antivirů funguje v nedůvěryhodném systému
systém může poskytovat falešné informace → tzv. rootkit antivir je nejmocnější program v počítači co když je sám nakažen nebo je v něm chyba? → virus se šíří a skrývá pomocí antiviru hooky do jádra OS veškerá činnost uživatele je monitorována každý otevřený soubor nejprve přečte antivir teprve po schválení jsou data poskytnuta dále

8 Heuristická analýza zkusmé řešení problému (řecky heuriskó)
neznáme přesnější metodu či algoritmus použije se přibližné řešení, intuice, zkušenosti různé heuristické postupy zde však zejména sledování systému sledování „podezřelých“ aktivit v systému typicky pomocí přesměrování systémových volání čím více sledujeme, tím větší zpomalení počítače též problém false-positive uživatel se naučí „odklepnout“ každé upozornění

9 False-positive mylné nalezení viru antivir se při hledání „splete“
dva různé strojové kódy mohou mít stejný hash vir lze „nalézt“ i v obyčejných datech například jako část obrázku obrázky nelze při hledání přeskočit → viry by se tak maskovaly a mohly by se snadno přejmenovat zpět uživatel se naučí varování ignorovat tj. „se vším souhlasí“, i když je pak varování reálné snahou programátorů je minimalizace false- positive může vést k tomu, že skutečná hrozba není oznámena

10 Antivir v mobilních systémech
chybí hooky do jádra (a služeb systému) antivir je „obyčejná aplikace“ nemůže číst data jiných aplikací nemůže kontrolovat kód jiných aplikací nemůže kontrolovat otevírané soubory nemůže sledovat síťový provoz antivir tak nemůže plnit svoji funkci může si zjistit seznam nainstalovaných aplikací ochranu před malware nabízí sám systém instalátor Google Play kontroluje instalované APK blacklist u Googe, tichá odinstalace, ...

11 Internetový červ samošířící se nákaza
vyžaduje na cíli neopravenou kritickou hrozbu vstup do systému přes síť bez autentizace uživatele problém zero-day zranitelnosti Morrisův červ (1988) zneužíval chybu v sendmailu nakazil jeden počítač i několikrát nakazil asi 10 % počítačů připojených k Internetu vypuštěn z MIT, autor/student podmíněně odsouzen autor je nyní paradoxně profesorem na MIT :-)

12 Zero-day zranitelnost
zneužití zranitelnosti v nultý den před tím, než se autor software o problému dozví též zneužití ve stejný den, kdy šířena oprava uživatelé si ji nestihnou nainstalovat nucený restart MS Windows snaha o eliminaci zero-day zranitelností exploit je v den zveřejnění již znám v zásadě obecný problém „dělo vs. pancíř“ obrana je vždy až krok za útokem (tj. post- mortem) heuristika problém nedovede eliminovat

13 Trojský kůň obdoba Trojského koně z doby antiky
program má funkci, o které uživatel neví míněna taková funkce, se kterou by nesouhlasil vydává se za „užitečný program“ šetřiče obrazovky, tančící Madona, ... ve Windows usnadněno skrýváním přípony např. obrázek není obrázkem, ale programem instaluje rootkit, keylogger, botnet a podobně trojský kůň se sám nedokáže dále šířit

14 Spyware počítačový slídil
bez vědomí uživatele sbírá (a odesílá) informace ové adresy, stisknuté klávesy, ... využívá k tomu internetové připojení často součástí šířených programů např. jako doplněk, o kterém ví autor, ale ne uživatel

15 Adware advertising-supported software
šíří se společně s nějakým programem slouží k vytvoření zisku autorovi programu zobrazování reklamního banneru dříve Opera, též ICQ změna domácí stránky prohlížeče odstranění po zaplacení

16 Ransomware vyděračský malware
zašifruje data (textové soubory, tabulky) umožňuje k nim přístup pak požádá o výpalné (Bitcoin) když nezaplatíš, přijdeš o data když zaplatíš, stejně nemusíš dostat dešifrovací klíč u některých typů je možné dešifrování problém -> zašifruje i data na flash, síťovém disku

17 Back door zadní vrátka umožňuje obejít běžnou autentizaci uživatele
do programu nebo do systému poté skrývání tohoto přístupu speciální aplikace/heslo někdy též „servisní přístup“ rozšíření „seriózního“ programu ničí důvěru v daný program nebo firmu → nebezpečné slouží k vzdálenému ovládnutí počítače vytváření botnetů

18 Rootkit umožnění a skrývání přístupu k počítači
rozšířená verze zadních vrátek instalován typicky po úspěšném napadení zajistí přístup k počítači i po záplatování chyby aféra hudebních CD od Sony „ochrana“ proti kopírování CD kromě toho odesílal informace o činnosti uživatele v systému se tento program skrýval skrývání okopírovali běžné viry přišlo se na to kvůli chybě v programu

19 Problém s rootkitem infikovaný systém není důvěryhodný
nelze věřit žádnému programu uvnitř systému systém může poskytovat falešná data o stavu ve výpisu procesů chybí proces s malwarem délka souborů je hlášená bez viru (odečtena) problém nadřízeného hypervizoru (blue pill) důvod, proč jsou antiviry po nákaze neúčinné forenzní analýza kvůli odhalení a prozkoumání nákazy (malwarem) pomocí externího systému (boot systému z CD)

20 Forenzní analýza pro počítačové systémy
identifikace, uchování, obnovení, analýza kvůli zjištění průběhu nákazy systému nalezení slabého místa v systému, které bylo zneužito další postup útočníka (umístění backdooru, rootkitu) vytvoření záplat pro všechny nalezené chyby též získání klíče (z RAM) pro šifrované systémy případně zkopírování před vypnutím transport zapnutého systému „čekání na exploit“

21 Botnet síť řízených počítačů vzdálené ovládání počítače
skrytí ovládajícího např. přes IRC kanál nabízí vysoký výpočetní výkon původně pro distribuované síťové výpočty (clustery) jsou předmětem prodeje (výdělku) DDoS útok, šíření SPAMu, těžba Bitcoinů, ...

22 DoS Denial of service způsob útoku na vybraný počítač
způsobuje znepřístupnění služby zpomalení cílového počítače úplné zahlcením počítače falešnými požadavky protože nelze rozpoznat reálný požadavek od falešného restart cílového počítače/programu (chyba v programu) obrana: rate limit (omezíme počet odpovědí za jednotku času) zasáhneme i reálné klienty snažící se připojit → SYN cookies blokování IP adres → lze obejít IP spoofingem nutná analýza síťového provozu + nastavení firewallu

23 DDoS Distributed Denial of service nebezpečnější varianta DoS
pomsta jednotlivce, vyřazení konkurence → firmy, státy na útoku se podílí více počítačů nebo zdánlivě → více podvržených IP adres útok přichází různými směry útok je typicky masivní typicky nutná spolupráce s providerem větší provideři spolupracují celosvětově i tak je velmi obtížné se tomu vyhnout

24 SPAM nevyžádaná elektronická pošta typicky reklama na výrobky, služby
Viagra, Cialis, nigerijské y, ... reaguje zanedbatelné množství příjemců rozesílána však obrovská množství nízká cena na odeslání 1 u, proto se vyplatí antispamová ochrana administrátor MTA nebo koncový uživatel restrikce na SMTP servery filtrování zpráv spamtrap (poštovní schránky pro sbírání SPAMů)

25 Restrikce na SMTP servery
zaváděno na konci 90. let 20. století přijímá pouze od důvěryhodných IP adres tj. obsluha stanic z vlastní LAN (nebo providerův SMTP) od kohokoliv jen jako koncový příjemce MTA s ovými schránkami výjimky autentizovaní uživatelé SMTP after POP, AUTH pro SMTP MX servery spammer pak nemá přes koho rozesílat vznikají mu další náklady na rozesílání e- mailů

26 Filtrování zpráv charakteristická slova databáze slov
různé váhy na slova → bayes filtr vlastně expertní systém s umělou inteligencí musí se nejprve „naučit“ → databáze SPAMu SPAM je, když je pravděpodobnost větší než X když je ještě větší, než Y, pak samoučení charakteristické rysy špatně formátované hlavičky a podobně OCR na obrázkový SPAM

27 SPF Sender Policy Framework RFC 7208
snaha o zamezení podvržení odesílatele e- mailu správce domény odesílatele dá do DNS: SPF záznam, odkud může přijít tj. seznam počítačů (IP adres) platných odesílajících MTA způsobuje komplikace při roamujících uživatelích jsem-li na služební cestě, nemůžu odeslat z firmy → odešlu ho přes nejbližší MTA SPF nezabraňuje podvržení → neujalo se poštovní klient by to využít mohl, ale... MTA to využít nemůže, SpamAssassin může

28 DKIM DomainKeys Identified Mail tj. e-mail podepsaný doménovým klíčem
vyvíjeno od roku 2004, v roce 2007 první RFC do hlavičky u je vložen elektronický podpis, který zahrnuje „potvrzované“ položky (typicky From:, Subject:, Date:) příjemce podpis ověří pomocí veřejného klíče, který je v DNS záznamu domény odesílatele příjemce tak zjistí, zda přišel z poštovního systému odesílatele pokud podpis není nebo je špatný, je to možná SPAM (možná ale jen neprošel správnou bránou)

29 DMARC nadstavba pro SPF a DKIM
správce domény definuje chování přijemce záznam v DNS (_dmarc.domena.cz) možnost posílat souhrnné zprávy gmail.com, hotmail.com, yahoo.com, aol.com seznam.cz, outlook.com

30 HAM opak SPAMu tj. žádoucí pošta problém, že vypadá jako nežádoucí
typicky obchodní nabídky, bulletiny apod. používání whitelistů tj. seznam výjimek

31 HOAX virální zprávy spojitost s virální reklamou
těží z naivity uživatelů uživatelé si sami zprávy přeposílají daruj krev umírající holčičce, pište PIN obráceně, neotvírej se subjektem VIRUS, ... často nesmyslné ochrana: nepřeposílat, školit uživatele

32 IDS Intrusion Detection System
odhalování podezřelých aktivit, bezp. problémů výsledkem informování správce, případně aut. zásah Security Onion (Google), Snort, ... monitorování počítačového systému (HIDS) sledování systémových volání heuristika: nejprve „učení“, pak neobvyklé odchylky monitorování počítačové sítě (NIDS) monitoring na síťových prvcích (switch, router) je potřeba nastavit zrcadlení portů honeypot (falešné sítě a počítače lákající útočníka)

33 IDS systémy

Stáhnout ppt "Počítačová bezpečnost 10. Malware"

Podobné prezentace

Bezpečnost práce na Internetu

Bezpečnost práce na Internetu
Viry, trojské koně a červi

Viry, trojské koně a červi
Brána firewall a její využití

Brána firewall a její využití
Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.

Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.
Bližší informace o Spyware, adwere, spam.

Bližší informace o Spyware, adwere, spam.
Počítačové viry.

Počítačové viry.
Počítačové viry.

Počítačové viry.
POČÍTAČOVÉ VIRY Barbora ČÁPOVÁ 1.A.

POČÍTAČOVÉ VIRY Barbora ČÁPOVÁ 1.A.
Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.

Bezpečnost v Linuxu Zpracoval: Roman Danel. Balíčkovací systém Způsob distribuce SW Ošetřuje a řeší závislosti Díky „podepisování“ balíčků nehrozí podstrčení.
Škodlivé kódy Bezpečnost informačních systémů - referát

Škodlivé kódy Bezpečnost informačních systémů - referát
Elektronická pošta Elektronická pošta (e-mail) je obdobou běžné pošty a umožňuje přijímat a distribuovat dokumenty v textové podobě na jednu nebo více.

Elektronická pošta Elektronická pošta ( ) je obdobou běžné pošty a umožňuje přijímat a distribuovat dokumenty v textové podobě na jednu nebo více.
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Informační a komunikační technologie

Informační a komunikační technologie
Počítačové viry a jiné hrozby

Počítačové viry a jiné hrozby
Informační a komunikační technologie

Informační a komunikační technologie
Počítačová bezpečnost

Počítačová bezpečnost
Bezpečnostní pravidla při používání počítače a internetu

Bezpečnostní pravidla při používání počítače a internetu
Ukládání dat, e-mail a spam INTERNET Ukládání dat, e-mail a spam.

Ukládání dat, a spam INTERNET Ukládání dat, a spam.
Obchodní akademie a Střední odborná škola, gen. F. Fajtla, Louny, p.o.

Obchodní akademie a Střední odborná škola, gen. F. Fajtla, Louny, p.o.
Počítačové viry a jak se proti nim chránit

Počítačové viry a jak se proti nim chránit

Podobné prezentace

Reklamy Google