Wirus

Wprowadzenie do architektury komputerów

Bezpieczeństwo

Wirus •Komputerowy program, który potrafi sam się replikować. Termin wirus jest używany zamiennie zarówno w odniesieniu do wirusów, jak i robaków, co z technicznego punkt widzenia jest niepoprawne. •Przenosi się przez nośniki (USB i inne), Sieć (P2P 66%) i inne.

Wirusy i robaki (Worm) Wirus podszywa się/ukrywa np. pod nazwą podobną do znanego programu. Jest to mały program, który nie uruchamia się sam –robi to zawsze człowiek. •Robaki nie potrzebują interwencji człowieka by się rozmnażać. W zasadzie robaki nie niszczą danych w komputerze. Zagrożenie tkwi w szybkim rozmnażaniu się ich, w stopniu blokującym serwery Internetowe. •Najpopularniejsze robaki to „mass mailers”, które atakują komputery, korzystają z listy adresowej Microsoft Outlook’a (najpopularniejszy program mailowy) i przesyłają robaki na wszystkie dostępne tam adresy.

Straty

Koń trojański •Program dający osobie z zewnątrz dostęp do komputera bez wiedzy i autoryzacji prawowitego użytkownika.

Wirus bootsektorowy •Wirus atakujący sektory startowe dyskietek lub dysków twardych.

Wirus drążący •Wirus, który dopisuje się do kodów innych programów bez zwiększania ich długości.

Wirus skryptowy •Wirus, który zaraża dokumenty, używając do tego celu języka skryptowego (wykorzystywanego np. do tworzenia makr w arkuszach kalkulacyjnych).

Wirus polimorficzny •Wirus, który potrafi zmieniać swój kod, dziękiczemu jest trudny dowykrycia.

Retrowirus •Wirus, którego celem ataku jest oprogramowanie antywirusowe. Robak •Bardzo niezależna odmiana „szkodnika” komputerowego, Robaki potrafią same inicjować swój proces replikacji i przenosić się poprzez Sieć. Wirus niewidziany (stealth) •Wirus, który potrafi aktywnie ukryć swoją obecność przed programami antywirusowymi. „Szkodniki” tego typu mogą przechwycić żądanie dostępu do dysku, więc kiedy oprogramowanie antywirusowe próbuje odczytać plik lub bootsektor, wirus wysyła zafałszowaną odpowiedź informującą antywirusa, że sprawdzany obszar jest „czysty".

Virus Creation Kit •Narzędzie do tworzenia wirusów. Pomaga w sposób łatwy i szybki stworzyć wirusa. Na przykład VCL (Virus Creation Laboratory) oraz PS-MPC (Phalcon/Skims Mass-Produced Code Generator).

Wirus plikowy •Wirus atakujący wykonywalne pliki programów.

Wirus rezydujący w pamięci •Wirus pozostający w pamięci, do czasu aż komputer nie zostanie wyłączony. Dzięki temu może monitorować system i zarażać „interesujące" go pliki

„Spyware” –„ad ware” •Najczęściej część freeware •Instalują Tracking software •Nie jest nielegalne •Ukrywa się na dysku, rejestruje poufne informacje (kliknięcia w klawisze klawiatury), hasła, historię wędrówek po WWW

Hoax •Typowy łańcuszek występujący najczęściej w postaci wiadomości email. Zawiera fałszywe informacje, np. ostrzeżenie przed nieistniejącymi „szkodnikami", lub zachęca do przesłania siebie znajomym. „Bardzo ważne! Jeśli po przeczytaniu tego tekstu nie skasujesz z katalogu Windows, na swoim komputerze, pliku o nazwie uninst.exe istnieje ogromne ryzyko utracenia wszystkich plików z dokumentami .doc. Można się także liczyć z implozją monitora i licznymi kłopotami z sąsiadką.”

Ransomware •Szyfrowanie plików na komputerze ofiary (zlikwidowanie wirusa nie rozwiązuje problemu) •Klucz (330 –660 znaków) po zapłaceniu okupu •Pierwszy ransomware w 1989 roku -AIDS Information Trojan •Współcześnie –30 wersja GPCode

Anektowanie komputerów -zombi •Zombi –komputer, nad którym haker przejął kontrolę, własnym wirusem lub swoją stroną, •Bot–program koordynujący pracę zombi, samodzielnie tworzy sieć botnet -komputerów posłusznych hakerowi. •Struktura rośnie automatycznie •Ok. 12 mln komputerów zombi (wiosna 2007) •300 000 nowych komputerów zombi każdego dnia •„Wynajęcie” 30 tys. komputerów na godzinę –150 zł

CO SIĘ DZIEJE, GDY NASZ KOMPUTER ZOSTANIE ZAATAKOWANY PRZEZ BOTNET? •0 sekund -infekcja: użytkownik odwiedza zarażoną stronę lub otwiera nieznany załącznik emaila zawierający kod wirusa botnetu. •1 sekunda: zainfekowany komputer samoczynnie loguje się do serwera IRC, stając się od razu częścią botnetu •10 sekund: kryminalista kupuje na przestępczym forum dane dostępowe do sterowania botnetem. •18 sekund: przestępstwo: Bandyta loguje się do botnetu i wysyła polecenie - na przykład masowego rozsyłania spamu •20 sekund: Razem z innymi botami zainfekowany komputer wysyła w świat denerwujące reklamy.

Phishing

•Termin powstał 10 lat temu gdy America Online pobierała opłaty za godziny. Nastolatki mailami i IM wysyłanymi do klientów AOL udawali, podszywali się pod agentów AOL by „złowić” (fish —or phish) identyfikatory innych użytkowników i na ich konto korzystać z Internetu. •Po wprowadzeniu stałej opłaty –ta sama metoda jest wykorzystywana do kradzieży numerów kart kredytowych. Przykłady: 28.01.2004 klienci Citibanku otrzymali zaproszenie do odwiedzenia Strony (podstawionej) w celu podsłuchania ID •Podobnie Inteligo, Polska Online •Liderzy ataków: Citibank, Ebay, PayPal •Miesięcznie 2,5 mld phishingu •Phishing doskonalony szybciej niż spam –bardziej lukratywny

Nowoczesne skanery antywirusowe korzystają z dwóch metod rozpoznawania szkodliwego oprogramowania •porównywanie z sygnaturami

–kody każdego z uruchamianych programów są porównywane z bazą danych zawierającą kody wirusów.

•System wyszukiwania heurystycznego

–stosuje się przeciw groźnym programom, dla których nie opracowano jeszcze sygnatury. Skaner antywirusowy nadzorujący uruchamianie programów wychwytuje wzorce zachowań nietypowe dla normalnej pracy aplikacji

Budowa systemu antywirusowego

Skanery antywirusowe on-line

Rady •Używaj programu antywirusowego, •Uaktualniaj bazę wirusów, •Wykonuj regularnie pełne skanowanie •Unikaj otwierania/uruchamiania załączników poczty, •Uaktualniaj oprogramowanie, szczególnie system operacyjny •Wyłącz automatyczny podgląd listów

Pakiet bezpieczeństwa •Antywirus •Firewall •Ochrona tożsamości •Antyspam •Ochrona rodzicielska •Badanie reputacji (chmura) •Dodatkowe moduły

Oprogramowanie antywirusowe zadania ●

●

●

Sprawdź jaki program antywirusowy jest zainstalowany na komputerze Zapoznaj się z jego możliwościami i ustawieniami Spróbuj uruchomić jeden ze skanerów antywirusowych online

Zapora sieciowa Firewall Zapora sieciowa (ang. firewall – ściana ogniowa) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do dedykowanego sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi. Pełni rolę połączenia ochrony sprzętowej i programowej sieci wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci publicznych, Internetu, chroni też przed nieuprawnionym wypływem danych z sieci lokalnej na zewnątrz. Do jego podstawowych zadań należy filtrowanie połączeń wchodzących i wychodzących oraz tym samym odmawianie żądań dostępu uznanych za niebezpieczne.

Techniki obrony Najczęściej używanymi technikami obrony są: Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i akceptowanie pożądanych (np. SPI). Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty). Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP, TELNET). Bardzo ważną funkcją zapory sieciowej jest monitorowanie ruchu sieciowego i zapisywanie najważniejszych zdarzeń do dziennika (logu). Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji. Na zaporze można zdefiniować strefę ograniczonego zaufania – podsieć, która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na zewnątrz.

Konfiguracja zapory Windows Aby sprawdzić i skonfigurować ustawienia zapory, wykonaj następujące kroki: 1.Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie wscui.cpl, a następnie kliknij przycisk OK. 2. W oknie Centrum zabezpieczeń systemu Windows kliknij przycisk Zapora systemu Windows. Okno Zapora systemu Windows zawiera następujące karty: Ogólne Wyjątki Zaawansowane

Konfiguracja zapory - ogólne Karta Ogólne zawiera następujące ustawienia: Włącz (zalecane) Nie zezwalaj na wyjątki Wyłącz (nie zalecane) Po zaznaczeniu pola wyboru Nie zezwalaj na wyjątki Zapora systemu Windows blokuje wszystkie żądania połączenia z komputerem, w tym żądania pochodzące od programów i usług wymienionych na karcie Wyjątki. Zapora blokuje również odnajdowanie urządzeń sieciowych, udostępnianie plików i udostępnianie drukarek. Opcja Nie zezwalaj na wyjątki jest przydatna w przypadku łączenia się z siecią publiczną, na przykład na lotnisku lub w hotelu. To ustawienie pomaga chronić komputer przez blokowanie wszystkich prób połączeń z komputerem. W przypadku używania Zapory systemu Windows bez wyjątków nadal można wyświetlać strony sieci Web, wysyłać i odbierać pocztę e-mail lub korzystać z programu do obsługi wiadomości błyskawicznych.

Konfiguracja zapory - wyjątki Karta Wyjątki pozwala na dodawanie wyjątków dla programów i portów, aby zezwolić na pewne typy ruchu przychodzącego. Dla każdego wyjątku można ustawić zakres. W przypadku sieci w domu i w małym biurze zaleca się, aby jako zakres ustawić, jeśli to możliwe, tylko sieć lokalną. Ta konfiguracja pozwala komputerom w tej samej podsieci na łączenie się z programem na danym komputerze, ale odrzuca ruch pochodzący z sieci zdalnej.

Konfiguracja zapory zaawansowane Karta Zaawansowane pozwala skonfigurować następujące elementy: Reguły właściwe dla połączenia, które stosują się do każdego interfejsu sieciowego. Konfiguracja rejestrowania zabezpieczeń. Globalne reguły ICMP (Internet Control Message Protocol), które stosują się do ruchu ICMP. (Ten ruch jest używany do transmisji informacji o błędach i o stanie). Ustawienia domyślne.

Uwierzytelnianie ●

Identyfikator i hasło (statyczne i jednorazowe)

●

Przedmiot identyfikujący (karta)

●

Techniki biometryczne

Szyfrowanie ●

Szyfry symetryczne

●

Szyfry asymetryczne

Szyfrowanie symetryczne Szyfrowanie symetryczne (szyfr z jednym/pojedynczym kluczem) – nadawca i odbiorca wiadomości używają tego samego prywatnego klucza. Inaczej mówiąc, każdy kto jest w posiadaniu tego klucza symetrycznego, może zarówno zaszyfrować jak i odszyfrować wiadomość. Szyfrowanie symetryczne będzie skuteczne tylko wówczas jeżeli ten klucz nie wpadnie w niepowołane ręce – kluczem tym powinny dysponować tylko nadawca i odbiorca.

Szyfry symetryczne przykłady Do szyfrów symetrycznych zaliczamy takie algorytmy jak: DES, ●AES (WPA2), ●IDEA ●Blowfish, ●Triple DES, ●Twofish, ●Serpent, ●RC4 (na tym oparty jest WEP i WPA), ●RC5. ●Proste szyfry podstawieniowe i przestawieniowe np. Cezara, Vigenere'a, ●rotorowy (Enigma) ●

Szyfrowanie asymetryczne Szyfrowanie asymetryczne (szyfrowanie z kluczem publicznym) jest nieco bardziej skomplikowane od szyfrowania symetrycznego. Podstawowa różnica polega na tym, że tutaj wyróżniamy dwa klucze - prywatny i publiczny. Oba klucze generowane są przez odbiorcę. Przykłady: ●RSA, ●ElGamal, ●DSA, ●ECC, ●Diffy-Hellman, ●Cramer-Shoup

Szyfrowanie asymetryczne 1. Odbiorca za pomocą specjalnego algorytmu (szyfru) asymetrycznego generuje oba klucze. Klucz publiczny odbiorca przekazuję nadawcy. Ponieważ jest on publiczny odbiorca nie musi martwić się o jego przekazanie nadawcy - może to zrobić np. za pomocą Internetu, umieścić na stronie czy forum (istnieją nawet specjalne serwery kluczy publicznych). To że wszyscy mogą zdobyć ten klucz nie stanowi żadnego problemu. 2. Nadawca korzystając z przekazanego mu klucza publicznego szyfruje wiadomość. 3. Odbiorca odszyfrowuje wiadomość za pomocą prywatnego klucza.

Szyfrowanie - zadanie ●

Spróbuj zaimplementować prosty szyfr symetryczny np. szyfr Cezara w języku C lub Assembler