čtvrtek 24. září 2009

Maturitní téma č. 10 - Viry a antiviry (aktualizováno 10. 2. 2010)

Rozhodl jsem se s předstihem napsat svoji "seminární" práci, která je vlastně detailněji zpracované maturitní téma. Má to být udělané tak, aby to pochopil i totální laik (holky z našeho semináře) a přitom se dozvěděl, co možná nejvíce důležitých věcí. Snad to bdue k užitku i ostatním lidem.

Práce je dostupná na adresách:

http://cejky.xf.cz/all/skola/itz/8.a8/seminarni_prace/Viry_a_antiviry_v03_Cejky_Matej_Marecek_gymroznov_blok.pdf

http://docs.google.com/fileview?id=0BzEavpv8QogcOWNjOGVkNGUtNzI5NC00NWEzLWEyZmUtZjhlZDQ2YWUxYzkz&hl=cs

http://docs.google.com/fileview?id=0BzEavpv8QogcZDM2MDcwMzQtNDA1OS00ODFjLWI4YzktMTI1NDM1ODE1ODYw&hl=cs


Obsah


Viry:

Jako počítačový virus označujeme program, který se dokáže „sám“, respektive bez vědomí uživatele šířit. Aby se tento software mohl efektivně replikovat, tak se často vkládá do spustitelných souborů, jako jsou dokumenty, či hudba. Podle tohoto chování také počítačové viry dostaly název po virech biologických. Je to analogie k biologickým virům, jež se šíří obdobně. Kus svého kódu vloží do jiného souboru (hostitele), čímž jej infikuje a tím může spustit lavinovité šíření.

Způsob šíření virů:

Viry se šíří několika možnými způsoby. Záleží na typu média, která jej přenášejí. V minulosti dominovaly diskety, později CD. V současné době se viry šíří nejvíce pomocí internetu, popřípadě flash disků nebo DVD.

Typy virů:

Viry jako takové zle dělit podle mnoha různých hledisek. Základní typy rozdělení jsou dva. Buď podle typu hostitele, nebo podle funkce viru.

Podle typu hostitele:

· Bootovací sektory u diskových oddílů a disket.
· Master boot record (MBR) na pevném disku. Zde mám nedobrou vlastní zkušenost. Virus se mi dostal do MBR a za boha nešel odstranit. A neměl jsem disketu na bootování antiviru. Nakonec problém vyřešil jednoduše až Microsoft Security Essentials.
· Spustitelné soubory - .exe soubory v Microsoft Windows, .elf soubory v UNIXu a .exe a .com soubory v DOSu.
· Dokumenty, které v sobě mohou nést makra - dokumenty v programech Open Office, Microsoft Office atp.
· Dávkové soubory a skripty - shellovské skripty na UNIXech a také bat v DOS.
· Specializované skripty některých konkrétních aplikací.

Podle svojí činnosti:

Rezidentní/nerezidentní viry:

Vir se může rozšířit dvěma základními způsoby:
1. Nerezidentní způsob, je ten, kdy se virus rozšíří v okamžiku zpuštění hostitele (to znamená v době, kdy se zpustí i kód viru) do dalších doposud neinfikovaných souborů.
2. U rezidentního způsobu se virus pouze uloží do operační paměti a napadá soubory, se kterými uživatel pracuje. Tím se může dostat například na externí disky, či flash disky. Virus se z paměti smaže až při vypnutí PC (pokud není nějak odstraněn předtím).

Stealth viry:

Tento typ virů se pokouší maskovat svojí existenci v souboru. U starších OS jako je MS-DOS tato technika fungovala bez problémů. U novějších operačních systémů je potřeba sofistikovanějších řešení v podobě rootkitů.

Historie virů:

Zde myslím stačí jen pár slov. Vše začalo v 80. letech, kdy se začal vytvářet první škodlivý software. Z počátku se jednalo a několik málo kusů, které se v některých případech nedaly ani nazývat viry. Jako první kus kódu, který dokázal uškodit, se dá považovat až Brain, který vznikl v roce 1986. Od té doby se četnost počítačové havěti zvyšuje závratným tempem, až na nynějších 50 000 kusů měsíčně.
Vzhledem k tomu, že název tématu je „Viry a antiviry“, tak si nejsem jist, zdali mám uvádět i jiný škodlivý SW, ale v rámci uvedení do kontextu této problematiky si myslím, že by bylo minimálně dobré odlišit, různé druhy a základ jejich fungování.

Trojský kůň:

Tento typ malware dostal název podle antické legendy o dobývání Tróje a následného podstrčení zákeřného daru. A jak to funguje v kybersvětě?
Uživatel si vědomě stáhne nějaký program, který se tváří velice užitečně. Ve většině případů se jedná o počítačovou hru, nějaký užitečný nástroj nebo screensaver (převážně s pornografickými a erotickými motivy). Existují již také případy, kdy trojský kůň tvářil jako software na odstraňování malware, přitom odstraňoval konkurenční škodlivý kód a sám dělal paseku. U takovýchto programů, které vypadají věrohodně a jsou užitečné si běžný uživatel ani nevšimne, že samy páchají záškodnickou činnost.
V operačním systému MS Windows mohou „trojáky“ využít vlastnosti, že spousta file browserů (prohlížečů souborů) nezobrazuje přípony souborů. Trojský kůň tak může vypadat jako audio, archivem, či obrázek, přestože ve skutečnosti je spustitelným kódem. Klikne-li tedy uživatel na daný soubor, ve skutečnosti zpustí něco, co nechtěl.
Tento malware může být také zahrnut do již stávajících ověřených aplikací, které jsou posléze šířeny skrz warez a P2P sítě. Uživateli se tak může na disk dostat kopie programu modifikovaná třetí stranou.

Funkce trojských koňů:

· spam server - rozesílá nevyžádanou elektronickou poštu (spam) z infikovaného PC
· spyware - monitoruje chování uživatele na internet a zasílá o tom informace
· zadní vrátka - trojský kůň má integrovanou síťovou službu, skrz kterou může útočník získat přístup do počítače uživatele
· sniffer - odposlouchává přístupovéhesla a jména, čísela kreditních karet atp.
· souborový server - je troják, který naistaluje file server (IRC bot, FTP, P2P program) – ten je poté použit buď pro stahování souborů daného uživatele, nebo pro ukládání souborů majitelem trojského koně (malware nebo warezu).
· URL trojan - přesměruje infikovaný počítač připojený k internetu přes vytáčené připojení na dražší tarif
· denial-of-service - kůň, který se účastní DDoS útoku (zahlcení určitých serverů)
· proxy trojan - zamaskuje jiné nakažené počítače
· keylogger - zaznamenává znaky stisknuté na klávesnici
· Security software disabler - zablokuje zabezpečovací software (antivry, firewally)

Červi:

Počítačový červ neboli worm je další z druhů malware. Podobně jako virus se kopíruje, ale na rozdíl od něj je schopen vytvářet klony sama sebe a v některých případech je i modifikovat, aby se ztížila jeho detekce bezpečnostním softwarem. Kopírování této „havěti“ probíhá tak, že worm převezme kontrolu nad službami zodpovědnými za síťovou komunikaci a ty využívá ke svému následnému šíření na jiná místa.

Činnost červa:

Mimo vlastnosti automatického šíření má červ i jiné úkoly (kód, který slouží k sekundární činnosti (náklad) se nazývá payload). Mezi ně patří některé z následujících.
· zablokování celého počítače, nebo jeho součástí
· mazání souborů uložených na disku
· šifrování souborů uživatele kryptovirálním útokem (poté je opět příslíbena dekryptace, ovšem za finanční poplatek)
· prohledávání dat, jejichž účelem je získat osobní informace, jež mohou pro autora worma znamenat profit
· vytváření „zadních vrátek“ do operačního systému (anglicky backdoor), která následně mohou složit jako cesta do počítače (může dojít k další infikaci)
· důsledkem své činnosti může červ také způsobit nestandardní chování OS.

Problémy způsobené červem:

Je li činnost červa jakákoli, tak jeho přítomnost většinou můžeme rozpoznat zvýšeným zatížením sítě, což se podepíše na přenosové rychlosti dat mezi počítači a také celkové odezvě. Zahlcení sítě (i internetu) je problémem nejen pro firmy, ale i pro obyčejné uživatele, kteří tak přicházejí o svůj čas i peníze.

Antivirové programy:

Virů, wormů, trojáků, adware (nevyžádané reklamy) a spamu je v dnešní době, čím dál tím více. Neuvěřitelná kvanta SW balastu znepříjemňujícího život je tolik, že ochrana PC je více a více složitější. Navíc se škodlivé aplikace stávají zákeřnějšími a záludnějšími než kdy předtím v minulosti a v hojné míře využívá chyb samotného uživatele.
Antivirový program, zkráceně antivirus nebo slangově „antivirák“, je program, jehož primárním úkolem je rozpoznat a vymazat škodlivý kus kódu nebo celou záškodnickou aplikaci. K zajištění bezpečí na počítači, používají antiviry dvě základní metody.
1. skenování souborů na discích a jiných paměťových médiích, kde má za úkol nalézt sekvenci nějakého malware, kterého zná ze své databáze
2. detekci podezřelých aktivit určité počítačové aplikace, která může být potenciálně nebezpečná. Sledují se tedy porty, zkoumají zpracovávaná data atp.
Úspěšnost detekce malware závisí především na vlastnostech antivirového programu a také na aktuálnosti jeho databáze. Ta se aktualizuje většinou internetovým připojením na sever výrobce daného bezpečnostního software. V praxi není výjimkou update i několikrát za den.

Jak se zbavit viru:

Použité virové databáze:

Pokud při skenování přepisovatelného paměťového média detekuje antivirus nějaký z již známých malware, který má uložený ve své databázi, tak má standardně tři následující možnosti.
1. pokusit se vyléčit, nebo opravit soubor smazáním škodlivého kódu z infikovaného souboru (v některých případech tato možnost není technicky možná a tak se musí přistoupit k následujícím dvěma řešením)
2. umístit soubor do karantény (virus nelze dále požívat a tím pádem i šířit)
3. vymazat nakažený soubor i s virem (tato cesta bývá nejčastěji používaná a je asi z těchto tří nejschůdnějším řešením pro většinu případů)

Nebezpečné chování:

Tato metoda zkoumání se oproti předchozí (použití virových databází) liší v tom, že se nepokouší objevit již známé viry, ale monitoruje chování software. Pokud se tedy aplikace pokusí zapsat nějaká data do spustitelného souboru, tak antivirový program označí tento druh chování za nebezpečný a dá uživateli vědět (většinou vyskakovací okno a poplašný zvuk). Poté nám zpravidla bezpečnostní software nabídne několik možností dalšího postupu a je jen na nás, jaký si zvolíme (některé způsoby odstranění hrozby nemusí být použitelné nebo účinné, viz výše).
Předností této metodiky vyhledávání virů je, že se tak dají objevit zcela nové hrozby, které ještě nebyly aktualizovány v databázi, a tím se samozřejmě zvyšuje zabezpečení vašich dat v PC. Na druhé straně nevýhodou je, že antivirus může takto označit za hrozbu i program, který je zcela v pořádku a uživateli zbytečně přidělává starosti. V případě nadměrné falešné detekce už uživatel začne bezmyšlenkovitě klikat na tlačítko „ignorovat“ a tím může nevědomky ohrozit svůj počítač (tento problém měla především starší verze Avastu free, Avira a Kaspersky AV).

Další metody:

Některé antivirové programy využívají i jiné typy heuristické analýzy. Například můžou zkusit napodobit počátek kódu u každého spustitelného souboru tím, že jej systém vyvolá před přenosem do daného souboru. Chová-li se tedy program tak, že se pokusí použít samo-modifikační kód nebo vypadá jako virus, předpokládá se, že virus nakazil další soubory schopné spuštění. Problémem u této metody ve většině případů je falešná detekce.
Další používanou metodou je použití sandboxu (pískoviště). Ten se pokouší napodobit systém a spustí .exe soubor v simulaci, po jejímž ukončení se program pokouší zjistit, jaké změny spuštěná aplikace provedla a právě ty mohou poukázat na přítomnost virů. Nevýhodou u této metody zjišťování virů je to, že detekce viru nemusí být možná po prvním spuštění podezřelé aplikace a to pokud jsou viry nedeterministické.
Byly napsány také antiviry, které varují před hrozbou na základě typu souboru. Této techniky se ovšem v praxi moc nepožívá.

Výrobci antivirů:

AVG (antivirový program) -antivirový systém od české firmy Grisoft
Norton AntiVirus - produkt firmy Symantec pro domácí uživatele
avast! - český antivirový program od firmy ALWIL Software. Pro domácí nekomerční použití freeware
ESET NOD32 Antivirus - slovenský komerční antivirový program
Microsoft Security Essentials - Antivirus od MS, který je stále ve fázi beta testování. Objevit by se měl za pár týdnů spolu s vydáním Windows 7 a měl by být zdarma. Výhodou tohoto antiviru je malá náročnost na HW, protože podezřelé soubory (kromě kontroly disku) se posílají na servery MS, kde jsou porovnány a poté je navrácen výsledek.
Ať už máte na PC komerční, či nekomerční antivirové řešení (od ověřené firmy či programátora), tak máte téměř 100% jistotu, že je váš počítač v bezpečí. Tedy alespoň za předpokladu, že máte zapnutý rezidentní štít, firewall a aktuální databázi v antiviru. Pokud se chcete o virech atp. dozvědět více, doporučuji shlédnout video s Davidem Perrym na adrese: http://www.zive.cz/clanky/tyden-zive-special-rozhovor-se-softwarovym-virologem/sc-3-a-148892/default.aspx
Je jasné, že o virech a malware obecně se toho dá napsat spoustu. Stejně tak bezpečností software je jedno velké téma, které se bude v budoucnosti stále rozšiřovat. Už v dnešní době můžeme vidět, že viry nejsou pouze na Windows, ale pomalu začínají dostávat na Linux a Mac OS. Tím ovšem hranice nekončí. Naopak pouze začínají. První viry na mobilní telefony již existují a bezpečnostní experti varují, že se brzy rozšíří také do automobilů a další techniky, která je schopná „přemýšlet“. A stejně tak, jak se budou měnit a šířit viry, bude se modifikovat i ochrana. Již dnes můžeme vidět, jak jednotlivé prvky ochrany oddělují od jednoho celku a samostatně plní funkci tam, kde to je potřeba a takovým způsobem, aby zbytečně neplýtvaly výpočetním výkonem. Takovým jasným příkladem můžou být anti-spamové filtry na web mailu, které šetří nejen výkon našeho PC, ale také náš čas.
Tato „seminární“ práce, jež měla přiblížit, osvěžit či doplnit vědomosti a byla koncipovaná tak, aby podala co nejobecnější pohled o nejnebezpečnějších druzích malware. Zároveň jsem se snažil popsat alespoň základní specifikace jednotlivých metod heuristiky, odstraňování hrozeb a základy uživatelské bezpečnosti, jež je spolu s pravidelnou aktualizací antivirů stěžejní při ochraně PC.
Zpracoval: Cejky – Matěj Mareček
Škola: Gymnázium Rožnov pod Radhoštěm
Třída: 8.A8
Datum: 24.9.2009

1 komentář:

Anonymní řekl(a)...

Ano, asi tak to je