Informačná a počítačová bezpečnosť, počítačové vírusy a antivírusová ochrana

 

Počítačová bezpečnosť je oblasť vedy o počítačoch, ktorá sa zaoberá odhaľovaním a eliminovaním rizík spojených s používaním počítača. Pojem počítačová bezpečnosť označovala v čase vzniku počítačov, ktoré boli v malom množstve a pre špecialistov, ochranu celých počítačových systémov z hľadiska fyzickej ochrany zariadení počítačového systému (hardvér). Informačná bezpečnosť zahŕňa okrem počítačovej bezpečnosti aj ochranu dát. Hlavne ochranu pred neoprávnenou manipuláciou, pred nelegálnou tvorbou kópií, bezpečnú komunikáciu a prenos, bezpečné uloženie, integritu a nepodvrhnuteľnosť.

Mimoriadne rýchly rozvoj informačných technológií priniesol zo sebou aj problematiku informačnej bezpečnosti, ktorá označuje nielen ochranu výpočtovej techniky, ale aj ochranu samotných dát pred poškodením, stratou alebo možným zneužitím. Informačná bezpečnosť je v súčasnosti aktuálna nielen pre firmy a organizácie, ale s rozvojom pripojenia na sieť Internet aj pre domáce počítače.

 

Informačná a počítačová bezpečnosť

Prvé prejavy úsilia o systematické riešenie bezpečnosti sa objavili v druhej polovici 60. rokov, s rýchlym rozvojom informačných technológií – prepojenie prvých počítačov do siete ARPANET. V tomto čase sa objavili aj prví hackeri a diaľkové ovládanie počítačov.

Vo februári 1970 bola v USA publikovaná prvá odborná práca venovaná otázkam bezpečnosti počítačových systémov - vznik samostatnej disciplíny počítačovej bezpečnosti. V septembri 1971 sa v USA objavili prvé personálne počítače. 70. roky sa stali významnými vďaka koncepcii šifrovacích systémov s verejnými kľúčmi (1976), ako aj prvý návrh šifrovacieho systému s verejným kľúčom, aj v dnešnej dobe známy RSA (1978). Zároveň bol navrhnutý koncept digitálneho podpisu, ako aj jeho realizácia pomocou RSA. Taktiež sa objavili prvé odborné práce na tému hodnotenia bezpečnosti počítačových systémov.

80. roky odrážajú nárast aktivity komunity počítačovej bezpečnosti – prvé kryptologické konferencie, prvé číslo odborného časopisu (Computers & Security). Vznik medzinárodnej asociácie kryptológov a Technical Committee on Security and Protection in Information Processing Systems. Vznikol aj Chaos Computer Club (organizácia hackerov v Európe), ktorý v r. 1984 zorganizoval prvý ročník konferencie – Chaos Communications Congress. V USA vznikol aj hackerský časopis 2600: The Hacker Quarterly.

Vnímanie informačnej bezpečnosti (resp. súvisiacich problémov) sa začalo šíriť aj mimo odbornú komunitu – “Captain Zap” sa stal prvým hackerom, ktorý bol súdený a odsúdený. V r. 1984 úspešný prvoaprílový žartík v podobe emailovej správy naznačil bezpečnostné úskalia tohto komunikačného média. V tomto období boli tiež publikované prvé oficiálne kritéria hodnotenia bezpečnosti počítačových systémov, známe ako Orange Book a prvá vedecká definícia počítačového vírusu. Začiatky v oblasti legislatívnej, americký Kongres prijal Computer Fraud and Abuse Act (1986).

Medializácia počítačovej bezpečnosti, predovšetkým vďaka niekoľkým významným prípadom, keď aktivisti Chaos Computer Club prenikli do počítačov vládnych inštitúcií Nemeckej spolkovej republiky a získali z nich informácie o programe nukleárnych elektrární (1986), mediálne sa zviditeľnili prienikom do celosvetovej počítačovej siete NASA (1987). Clifford Stoll sa v USA preslávil odhalením a vystopovaním skupiny nemeckých hackerov, ktorí na objednávku KGB prostredníctvom siete prenikali do amerických vojenských počítačov a hľadali na nich citlivé informácie.

Prvý počítačový vírus Brain, (1986) bol určený pre personálne počítače kompatibilné s IBM PC, ktorý čoskoro nasledovali ďalšie. Mediálne sa zviditeľnil aj vírus Vienna ako prvá skoro celosvetová epidémia vírusu pre PC. V októbri 1988 sa objavil prvý “vírus hoax”, falošná poplašná správa, popisujúca údajný nebezpečný vírus a spôsob ochrany proti nemu a v r 1989 sa zrodil Virus Bulletin, prvý časopis venovaný informáciám o počítačových vírusoch.

Zvláštnu zmienku si zaslúži mediálne mimoriadne úspešný prvý Internetový červ, ktorý sa pričinil o to, že Software Engineering Institute na Carnegie Mellon University vznikol prvý Computer Emergency Response Team/Coordination Center (CERT/CC) ako priama reakcia na nedostatky v schopnosti komunity a inštitúcií rýchlo reagovať na nové hrozby a bezpečnostné incidenty.

Využitie Internetu na komerčné účely začiatkom 90. rokov znamenal novú éru rozvoja tejto komunikačnej technológie, ktorá mala vplyv aj rozvoj informačnej bezpečnosti. Phil Zimmerman svojim programom Pretty Good Privacy (PGP) vytvoril predpoklady pre zabezpečenie elektronickej pošty pre používateľov Internetu. Pokračoval prudký rozvoj v oblasti počítačových vírusov. Marec 1992 vírus Michelangelo, august 1995 prvý makrovírus pre dokumenty Word, r. 1996 prvý makrovírus pre dokumenty Excel.

Nezaháľala ani hackeri, v roku 1993 zorganizovali prvý DEFCON, označovaný za „the largest underground hacking event in the world“. Kevin Mitnick sa ako prvý počítačový hacker dostal na zoznam 10 najhľadanejších osôb FBI. Podľa správy amerického General Accounting Office len na počítačoch amerického Ministerstva obrany bolo v roku 1995 zistených vyše 250 000 útokov – okolo 65% z nich bolo pritom úspešných.

Európske kritéria hodnotenia bezpečnosti – Information Technology Security Evaluation Criteria (ITSEC). V USA bola publikovaná komplexná analýza o rizikách závislosti fungovania spoločnosti na IT („Computers at Risk – Safe Computing in the Information Age“).


Ochrana dát, počítačové vírusy a antivírusová ochrana

Ochrana dát a informácií v počítači sa zabezpečuje na dvoch stupňoch. Prvý stupeň chráni samotný prístup k počítačom len pre určené osoby, ktorá sa zabezpečuje obmedzením vstupu do priestorov s počítačmi, ako aj fyzickú autorizáciu užívateľa osobnou prístupovou kartou alebo otlačkom prsta (IBM Lenovo). Sem môžeme zaradiť aj počítačové systémy a siete, kde je potrebné sa prihlasovať a správca nastavil pre jednotlivých užívateľov ich prístupové práva, ktoré určujú ku ktorým dátam má prihlásený prístup a aké operácie a nimi môže vykonávať. Druhý stupeň je ochrana počítačov pred počítačovými vírusmi. Hrozba počítačových vírusov je stále aktuálna, aj keď prvé útoky takýmto spôsobom začali v roku 1986.

Počítačový vírus

Počítačové vírusy sa objavujú v sci-fi literatúre už v šesťdesiatych rokoch vo fantázii spisovateľov. Až v osemdesiatych rokoch rozvoj techniky dovolil ich reálnu existenciu. Dr. Frederick Cohen experimentuje na Pennsylvánskej univerzite so “samomnožiacim” sa kódom a v súvislosti s ním začína používať označenie “vírus” (1983). V tej dobe ešte neexistovali počítače typu PC v ich dnešnej podobe a hlavne neboli rozšírené medzi užívateľmi.

Skutočným počiatkom existencie počítačových vírusov, je rok 1986, keď sa začal rozširovať prvý vírus pre osobné počítače Brain, pôvodom z Pakistanu. Nastal začiatok vzájomného súboja počítačových vírusov a vírusovej ochrany (antivírusových programov).

Vývoj sa nezastavil a objavili sa stealth vírusy (podľa mena amerického bombardéra, ktorý je pre radary "neviditeľný"), ktoré sa ukrývajú (maskujú) pred antivírovým programom. Polymorfné vírusy (meniace sa), ktoré modifikujú svoj vlastný kód (každá kópia vírusu má iný kód), aby antivírus nenašiel priamo kód vírusu, alebo správu, ktorou sa vírus prejavuje. Makro vírusy, ktoré napádajú dokumenty a nie spustiteľné programy. Vývoj vo svete počítačových vírusov sa nekončí. Nové operačné systémy umožnia vznik nových vírusov, ktoré budú využívať ich špecifické vlastnosti a budú vybavené novými schopnosťami. Nezastaví sa ani vývoj v oblasti antivírusových programov, ktoré budú musieť zvládnuť nové vírusy. Nezabúdajme, že každý vírus (aj starý), môže spôsobiť zavírenie počítača a preto je potrebná ochrana pred každým vírusom!

Počítačový vírus označuje program alebo prídavné inštrukcie, ktorý sa po vniknutí do systému množí bez vedomia užívateľa. Okrem samotného šírenia sa, môže vírus meniť činnosť programu alebo vykonať nejakú činnosť s časovým oneskorením (tzv. časová alebo logická bomba). Vírus môže preniknúť do systému aj pomocou zdanlivo nevinných programov (tzv. trójske kone). Ak je počítač zapojený do siete, hrozí riziko napadnutia zvonku.

V súčasnosti sa odhaduje, že existuje zhruba 10.000 základných vírových tvarov.

Užívateľské hľadisko: Počítačový vírus je jedna z hrozieb bezpečnosti a integrity počítačových systémov.

Programátorské hľadisko: Počítačový vírus je počítačový program, ktorý môže infikovať iný počítačový program takým spôsobom, že do neho skopíruje svoje telo, čím sa infikovaný program stáva prostriedkom pre ďalšiu aktiváciu víru.

(Fred B. Cohen, antivírový priekopník)

Definície:

Počítačový vírus je formálne program, ktorý môže infikovať ostatné programy (alebo diskety) tak, že do napadnutého programu (diskety) zapisuje svoju (možno modifikovanú) kópiu, pričom tejto kópii je ponechaná možnosť ďalšieho množenia sa.

Počítačový vírus je spustiteľný alebo interpretovaný program, ktorý je schopný sám seba pripájať k iným programom a ďalej sa z nich (bez vedomia užívateľa) šíriť.

Počítačový vírus je “Program, ktorý pripája svoju kópiu k iným programom a zabezpečí aj jej aktiváciu. Kópia je pritom funkčne zhodná s originálom.”

Počítačový vírus je program, ktorý zahrňuje v svojom kóde funkciu prikopírovať sám seba k inému spustiteľnému programu a jeho pôvodnú funkciu zachovať a z nej sa šíriť ďalej.

Počítačový vírus je charakterizovaný ako nežiaduci kus programového kódu, ktorý infikuje určité dáta (spustiteľné súbory, dokumenty alebo napr. boot sektory diskiet) a týmto spôsobom sa dokáže prostredníctvom hostiteľskej aplikácie replikovať a šíriť ďalej.

Všeobecné princípy fungovania počítačových vírusov

Pri infikovaní programov (diskiet) sa vírusy môžu šíriť tranzitívne, tzn. od jedného programu k druhému. Nakazené programy sa môžu šíriť prostredníctvom diskiet, prípadne počítačovými sieťami (e-mail alebo sťahovanie súborov) čo môže viesť až k „epidémiám“.

Vírusy môžu infikovať všetky súbory (aj dátové) a urobiť ich nepoužiteľnými. Napríklad vírus OneHalf po každom spustení odzadu zakóduje časť disku, čím spôsobuje nenapraviteľné škody na súboroch. Pôvod vírusov sa väčšinou nedá dodatočne rekonštruovať, a preto je zdroj nákazy len ťažko zistiteľný. Ak je na disku uložený čo len jediný infikovaný program, sú ohrozené všetky súbory v počítači. V sieti sa môže vírus šíriť aj na iné počítače. Vírusy sa vyskytujú hlavne v spúšťateľných (vykonávateľných) súboroch (typ EXE, COM, BAT), ale sú aj vírusy, ktoré napádajú dokumenty (DOC a XLS), tzv. makrovírusy.

Vírusy poznáme aj deštrukčné, ktoré svojou činnosťou môžu poškodiť hardvér hlavne starších typov počítačov. Napríklad vírus ničil rozkmitaním hlavičiek pevný disk, či dokonca grafickú kartu alebo monitor vysielaním chybných signálov.

Vlastnosti počítačového vírusu:

Potreba hostiteľa (systémová oblasť disku alebo spustiteľné programy).

Malá veľkosť zdrojového kódu vírového programu (naprogramované v assembleri).

Symbióza s hostiteľom (vo svojom vlastnom záujme zabezpečuje po vykonaní vírových inštrukcií aj vykonanie pôvodného infikovaného programu).

 

Počítačový vírus a operačné systémy

Windows 9x (32-bitová architektúre) a pracujúci v chránenom režime procesora nepatrí k bezpečným operačným systémom. Najhlavnejšou príčinou je spätná kompatibilita s MS-DOS a podpora 16-bitových Windows aplikácií.

Windows NT (4 úrovne ochrany na úrovni jadra OS, servisných a aplikačných programov), nie je odolnosť proti počítačovým vírom veľká. V DOSovskom okne môžu víry prevádzať svoju činnosť bez väčších problémov.

Viacužívateľský a viacúlohový operačný systém UNIX svojou architektúrou de facto znemožňuje klasický mechanizmus počítačových vírusov DOSovského typu. Distribúcie UNIXu disponujú vstavanými kontrolami na úrovni jadra operačného systému a definujú užívateľské úrovne prístupu dané vstupným prihlasovacím systémom užívateľské meno/heslo. Jadro UNIX (kernel) je z hľadiska bezpečnosti pomerne odolné.

Vírové infekcie zažívajú počítačov rady Macintosh. Proti infekcii nie je dostatočne zabezpečený ani operačný systém Novell Netware.

Prejavy vírusov

Počítačový vírus je naprogramovaný väčšinou so snahou uškodiť užívateľovi a preto pri klasifikácii vírusu určujeme, či je vírus deštruktívny, alebo nedeštruktívny.

Deštruktívny vírus iba výnimočne poškodzuje technické zariadenie počítača (hardvér), najčastejšie mení obsah súborov, maže súbory, zašifruje dáta, prepisuje náhodne vybrané sektory náhodnými dátami, formátuje pevný disk, a podobne.

Nedeštruktívny vírus má neškodný, najčastejšie vizuálny prejav (textové správy, grafické prejavy) alebo akustický prejav (pomocou zabudovaného reproduktora PC-speaker).

 

Základným prejavom je schopnosť šíriť sa. Prejavuje sa zmenou obsahu systémových oblastí alebo súborov, v prípade rezidentných vírusov úbytkom voľnej pamäte. Tieto prejavy sú nutné.

Ostatné prejavy vírusov možno považovať za nadštandartné. Jedná sa o žartíky pre užívateľa a úmyselné alebo neúmyselné deštrukcie dát. Prejav je aktivovaný splnením podmienky, väčšinou konkrétny čas, dátum, prípadne vstup z klávesnice.

 

Delenie počítačových vírusov

Podľa umiestnenia v pamäti:

Nerezidentné (tzv. víry priamej akcie): po spustení infikovaného programu sa replikujú, najčastejšie do súborov v danom adresári, a predajú riadenie infikovanému programu.

Rezidentné ostávajú v operačnej pamäti počítača aj po ukončení vykonávania infikovaného programu použitím mechanizmu TSR (terminate and stay resident).

 

Podľa cieľa infekcie:

Bootovacie infikujú tabuľku rozdelenia (partition table), alebo častejšie zavádzací sektor (boot sector), čím si zabezpečia spustenie pred zavedením samotného operačného systému.

Súborové infikujú spustiteľné (EXE, COM, OVL, BIN, STS, OBJ, DLL) súbory a niekedy aj keď sú uložené v komprimovaných archíve. Najrozšírenejšia skupina vírusov.

 

Podľa spôsobu infekcie:

predlžujúce -   pripoja sa na koniec súboru (na začiatok dajú inštrukciu skoku na telo vírusu)

prepisujúce -   prepíšu začiatok súboru, (ako program sa stáva nefunkčný)

adresárové -   sú uložené len raz, infikujú prepísaním odkazov priamo vo FAT tabuľke

multipartitné - infikujú boot sector a zároveň aj súbory.

doprovodné - vytvárajú spustiteľné súbory s príponou COM v tých adresároch, kde už existuje súbor rovnakého mena s príponou EXE.

Typy vírusov - klasifikácia

Prostredie, v ktorom počítačové vírusy môžu trvalo existovať a vykonávať činnosť je obmedzené a počítačové vírusy na počítačoch označovaných PC využívajú tri typy objektov, ktoré môžu byť napadnuté vírusom. Potom ich rozdeľujeme do skupín:

·         Boot vírusy a Multipartitné vírusy,

·         Makro vírusy.

Boot vírusy – infikujú tabuľku rozdelenia alebo častejšie sa infikuje boot sektor disku, čím si vírus zabezpečí spustenie ešte pred zavedením systému a originálny boot sektor premiestni na voľné miesto na nultej stope disku, alebo na ľubovolné miesto v pamäti disku, ktoré označí ako chybné, aby zabránil jeho prepísaniu. Na šírenie využíva boot sektor diskety v floppy mechanike A: (B:), kde vymenil originálny boot sektor. Aktivuje sa iba v prípade štartu počítača a prítomnosti napadnutej diskety v mechanike. Pri práci s takto zavírenou disketou nedochádza k šíreniu sa vírusu a teda ani zavíreniu počítača. Multipartitné vírusy infikujú súbory a systémové oblasti.

Súborové vírusy – programy infikujú súbory so špecifickou príponou alebo veľkosťou, hlavne spustiteľné súbory na záznamových médiách. Vírus sa aktivuje vždy len pri aktivovaní jeho hostiteľa (spustení programu), nie pri jeho prezeraní, kopírovaní alebo editácii.

Makro vírusy - programy naprogramované v makrojazyku konkrétnej aplikácie a pre určitý druh dokumentov a teda nezávislé od operačného systému. Vložené do dokumentu infikujú iné dokumenty alebo šablóny aplikácií (textový alebo tabuľkový editor). Dokumenty MS Word a Excel napríklad, tak že do nich zapíšu automaticky spustiteľné makro (súbor normal.dot šablóna MS WORD, ktorá sa spúšťa pri každom otvorení dokumentu), a tým zabezpečí ich šírenie na všetky ďalšie editované dokumenty. Nejedná sa o klasický vírus, pretože neobsahuje inštrukcie procesora. V prípade infekcie týmto typom vírusu dokument liečime antivírovým programom alebo zmazaním makra (pokiaľ nie sú dôležité).

Napadnutie iných typov objektov z praktického hľadiska nepredstavuje veľké nebezpečenstvo. Vírus by napadnúť takýto súbor mohol, ale už by sa asi nemohol šíriť ďalej.

Proces infikácie súborov a množenie

Šírenie je základnou a nutnou vlastnosťou programu označovaného ako počítačový vírus. K tomu aby sa vírus mohol šíriť, potrebuje vhodné prostredie (počítač s operačným systémom, ktorý program pozná a je schopný ho používať) a objekty, ktoré dokáže napadnúť (a ktoré sú nejakým spôsobom šírené).

Vírusy sa zvyčajne rozmnožujú tak, že infikujú program prepisom alebo vsunutím vlastného tela vírusu do hostiteľského programu. Toto platí pre väčšinu známych súborových vírusov. Niektoré vírusy prepisujú úplne kód hostiteľského súboru a likvidujú jeho pôvodnú funkciu.

1.      Kód nainfikovaného programu sa zmení tak, aby vírus získal riadenie ako prvý, pred hostiteľským programom.

2.      Po prebratí riadenia vyhľadáva vírus nový program a zapisuje svoju kópiu do tohto nenainfikovaného programu.

3.      Takto prebiehajúca infekcia je charakteristická pre každý vírus napádajúci súbory. Vírusy však môžu okrem množiacich sa častí obsahovať časť deštruktívnu, označovanú ako časovaná bomba.

 

Pri infikácii súboru vírus môže do nakazeného programu alebo do záznamu v adresári umiestňiť svoj identifikátor, ktorým si „označuje“ infikovanie súboru. Hlavne preto, aby sa vyhol prípadnému nakazeniu toho istého súboru druhýkrát (napr. C648 mení čas modifikácie na 62.sekundu, Yankee Doodle zapisuje identifikáciu priamo do súboru). Skutočnosť, že program obsahuje identifikátor vírusu, nezabezpečuje ochranu proti iným vírusom.

U osobných počítačov nachádzame aj druhú kategóriu vírusov, a to tzv. boot vírusy, ktoré napádajú zavádzacie oblasti na magnetických médiách: disketách a pevných diskoch. Koncepcia takéhoto vírusu využíva skutočnosť, že základný vstupno-výstupný systém (BIOS) vykonáva z týchto oblastí zavádzanie operačného systému do pamäti počítača. Ak obsahuje zavádzací sektor diskety alebo disku (boot sektor) resp. rozdeľovacia tabuľka pevného disku (partition table) vykonávateľný kód, je tento kód zavedený do pamäti. Ak obsahuje táto tabuľka kód vírusu, je do pamäti zavedený vírus, ktorý zostáva v pamäti rezidentne a tento vírus potom sám zavádza operačný systém. Infekcia sa potom väčšinou šíri nie pomocou súborov, ale nainfikovanými sektormi pružných diskov. Väčšina vírusov infikuje boot sektor, ale niektoré infikujú rozdeľovaciu tabuľku.

Ako sa správa vírus

Počítačové vírusy majú zvyčajne dve fázy svojej činnosti. Ide o obdobie latencie, kedy sa vírus neprejavuje ale sa množí (infekcia) a o obdobie akcie, kedy spúšťa časovanú bombu. Toto rozlíšenie nie je striktné. Veľa vírusov sa už od začiatku aj rozmnožuje, aj podniká svoju akciu. Akcia nemusí byť vždy deštruktívna - napr. vírus CR1701 pôsobí tak, že z obrazovky začínajú padať písmenká, Yankee Doodle zahrá o 17.hodine melódiu. Väčšina vírusov však v období akcie vykonáva činnosť veľmi nepríjemnú, zmazanie súborov, označovaniu dobrých sektorov za chybné, modifikácia používateľských údajov, prepísanie boot sektoru či Master Boot Record, formátovaniu disku, či dokonca poškodenie až zničenie hardvéru. Aj obdobie latencie sa môže prejavovať rôzne. Niektoré vírusy sú nebezpečné hneď od začiatku a infikujú takmer všetko. Toto obdobie môže trvať rôzne dlho a obdobie akcie je potom viazané na istú situáciu - splnenie podmienky.

Počítačové siete

Ani počítačové siete (LAN a WAN) nie sú ušetrené od napadnutia počítačovými vírusmi, ktoré môžu infikovať systém z prílohy emailu alebo pri návšteve nedôveryhodných internetových www stránok. Ďalším typom činnosti internetových pirátov je tzv. nabúravanie serverov. Túto činnosť vykonávajú skupiny alebo jednotlivci, ktorí sú nazývaní hackeri. Ich činnosť má viacero podôb, ako napríklad odpočúvanie paketov a ich prípadná zmena, dôsledkom čoho môžeme dostať úplne iný email a pod. Ďalšia obdoba je Denial of Service, ktorý spôsobí ochromenie servera, alebo niektorých jeho služieb, preťaží ho, čo môže hacker spôsobiť zvnútra alebo zvonku, väčšinu takýchto útokov vykonávajú zvonku.

Označovanie počítačových vírusov

Označovanie vírusu menom používajú antivírusové firmy na označenie počítačových vírusov, ale rôzne antivírusové systémy môžu ten istý vírus označiť rôzne. Aj keď sa konkrétne meno vírusu vzťahuje k prejavu daného vírusu (napr. Letterfall -  padanie písmen), môže byť názorné pre expertov, nie však pre užívateľa počítača. V prípade, že potrebujeme zistiť informácie o vlastnostiach a prejavoch konkrétneho vírusu môžeme využiť online databázy na www stránkach antivírusových spoločností a špecializovaných www serverov.

WWW stránky o vírusoch a antivírusových spoločnostiach

http://www.virusy.sk, http://www.viry.cz,

AVG http://www.grisoft.cz, http://www.ciglersw.sk/avg/

NOD http://www.eset.sk

Panda http://www.pandasoftware.sk,

McAfee http://www.mcafee.com

Norton antivirus http://www.symantec.com

Online scan    Panda ActiveScan http://www.pandasoftware.sk/activescan/activescan.asp

Online databázy antivírusových systémov

http://www.grisoft.cz/doc/virbase/

http://www.pandasoftware.com/virus_info/encyclopedia/

http://vil.nai.com/vil/

Efekty – prejavy vírusov

Vírus (resp. jeho tvorca) nechce, aby sa skoro spoznalo, že počítač je napadnutý (lebo by sa nestihol prejaviť), ale súčasne by sa autor rád nejako zviditeľnil, preto načasuje efekt na konkrétny dobu (čas či dátum) alebo podmienku (hodnota systémového času v okamihu spustenia, vygenerované náhodné číslo, x-té spustenie a pod.). Vlastný efekt sa prejavuje hlavne vypísaním nejakej správy a lebo vykonaním naprogramovanej činnosti, ktorá môže byť aj deštrukčná.

Obťažujúce chovanie

Prejavom vírusov môže byť aj obťažovanie užívateľa. Napríklad vírus prevezme kontrolu klávesnice a občas zmení stlačenú klávesu za inú. Podobným efektom je “hltanie” stlačených kláves. Zaujímavé sú zmeny so systémovým časom počítača. Hodiny počítača, ktoré idú dozadu vedia prekvapiť.

Aj prípadnú prítomnosť modemu dokážu niektoré vírusy (tzv. dialery) využiť a zmenou telefónneho čísla (s vyššou cenou) pripojenia k sieti Vám zvýšia účet za telefón.

Deštrukcia

Častým prejavom vírusov býva snaha zničiť alebo poškodiť dáta na pevnom disku. Medzi kvalitou kódu vírusu (a teda programátorskými schopnosťami autora) a medzi mierou deštrukcie, ktorou vírus pôsobí je obvykle nepriama úmernosť.

Triviálne vírusy bez varovania prepíšu obsah celého disku. Neostáva nič iné, len použiť pravidelne vykonávané zálohy a obnoviť z nich pôvodný stav. Ak existujú aktuálne zálohy, tak sa nejedná o nič tragické. Pokiaľ žiadne zálohy neexistujú, tak je to problém.

Existuje však i ďaleko zákernejšia forma deštrukcie – pomalé a nenápadné prepisovanie dát. Pokiaľ je vírus v počítači už nejaký čas, pričom kontroluje zápis na disk a raz za čas nejaké dáta zmení, tak je veľmi pravdepodobné, že aj záložné kópie sú poškodené a neexistuje spôsob, ako zistiť, čo je a čo nie je v poškodené.

Ochrana

Netreba zabúdať, že samotná ochrana pred počítačovým vírusom je jednoduchšia a aj lacnejšia ako následné liečenie či záchrana a obnova dôsledkov jeho činnosti. Doporučené je zabezpečenie na viacerých úrovniach:

Fyzický prístup len povolaných osôb k častiam počítačového systému. Používajú sa bezpečnostné prvky pridelením rozdielnych práv zamestnancom, elektronické zámky, autorizačné systémy chránené heslami, čipovými kartami, autentizačné systémy na snímanie otlačkov prstov, očnej dúhovky, rozpoznania hlasu a podobne.

Zabezpečenie počítačového systému pred útokom hackerov, škodlivých programov (vírusy, červy, trójske kone, spyware, adware…). Ako aj zaškolenie zamestnancov, aby sa správali v súlade s počítačovou bezpečnosťou.

Zabezpečenie informácií bezpečným zálohovaní dát, ktoré má byť vytvorené tak, aby ju neohrozil útočník ani prírodná živelná pohroma (požiar, záplavy …). Zálohované dáta chrániť proti neoprávnenej manipulácii, napr. šifrovaním.

 

Správaním – prevencia, pravidelné zálohovanie, nepoužívať programy z neoverených zdrojov či neznáme a neskontrolované programy bez vykonanie kontroly na prítomnosť vírusov

Hardwarová ochrana – zabezpečenie technickými prostriedkami. Realizované pomocou rozširujúcej karty, ktorá obsahuje pamäť ROM sa špeciálnym softvérom. Prístup k počítaču je pomocou šifrovaného hesla, užívatelia majú rôzne prístupové práva (napríklad pre pevné disky a diskety je možné nastaviť práva (len čítanie, zápis apod.)

Softwarová ochrana -  používať antivírusový program alebo systém, prípadne firewall

 

1.      Prevencia pred stratou údajov a programov pravidelne vykonávaním zálohovaním.

2.      Využívať aktívny antivírusový systém, ktorý monitoruje všetky činnosti a súbory počítača.

3.      Používať aktuálne databázové súbory (pravidelne aktualizovať databázu vírusov) aby bol schopný nájsť, rozpoznať a odstrániť aj najnovšie vírusy.

4.      Mať nainštalované bezpečnostné záplaty operačného systému a jednotlivých programov. (Pokusy ukázali, že ak pripojíte novo nainštalovaný počítač s Windows, ktorý nie je ošetrený príslušnými bezpečnostnými záplatami a chránený antivírusovým programom, do internetu, môže byť do dvadsiatich minút spoľahlivo infikovaný škodlivým kódom).

5.      Kontrolovať integritu spúšťateľných súborov, či sa nemení veľkosť alebo obsah.

6.      Prinesené a nové programy a súbory kontrolovať antivírusovým programom. Kontrolovať nielen EXE súbory, pretože infikované môžu byť aj dokumenty (napr. MS Word a Excel), alebo obsah skomprimovaného súboru.

7.      Neotvárať prílohy emailov bez kontroly a hlavne, keď ich neočakávame. Pred otvorením prílohy (hlavne typu EXE, COM, BAT, VBS, SRC ako aj DOC a XLS) si ich uložte na disk a hlavne skontrolujte antivírusovým programom. Pozor, aký typ súboru otvárate, súbor môže vypadať ako obrázok (napr. foto.jpg), ale pretože máte v počítači nastavené nezobrazovanie prípon, súbor môže v skutočnosti byť vírus! !! (foto.jpg.vbs, foto.jpg.scr a pod.). Pozor hlavne na súbory s rozšírením EXE a COM z neznámych aj známych emailových adries.

8.      Nenavštevovať nedôveryhodné Internetové www stránky.

Prevencia - zálohovanie

Prevention is better than cure. (Prevencia je lepšia ako liečenie). Ak nemáte istotu, že zdroj súborov je bezpečný, nepoužívajte ho. Ale ani prevencia nie je 100%. Tvorca vírusu je totiž vždy o krok vpredu, pretože pozná antivírové programy, ich vlastnosti a skúša na nich nový vírus. Až keď sa vírus dostane do obehu, získajú ho aj tvorcovia antivírusových programov, ktorí vírus preskúmajú a doplnia vzorku do databázy, aby antivírusový program nový vírus spoznal a našiel, a následne vedel aj vyliečiť. Nezabudnite, že ani s najnovším antivírovým programom si nikdy nemôžte byť istí, že zistí a odstráni každý vírus a vylieči napadnuté súbory.

Aj keď je kontrola proti počítačovým vírom dôkladná, je hazardom nerobiť si zálohy a kópie dôležitých súborov. Nikdy neviete, čo sa môže stať. Dôsledkom činnosti vírusu môže byť strata dôležitých dát.

Programy, dokumenty a konfiguráciu, ktoré sú dôležité a na ktorých mi záleží, zálohujeme na iné médium, napr. na diskety alebo externý disk, pásky alebo na CD či DVD. Vhodné je zálohu uschovávať na inom mieste ako je počítač. Záloha slúži nielen ako ochrana pred poškodením alebo zničením vírusom, ale aj pri poruche pevného disku, či zničení alebo strate celého PC.

Pri vytváraní kópie používaných dát, hovoríme o zálohovaní dát. Zálohovanie vykonávame zálohovacím zariadením na zálohovacie médiá s využitím zálohovacích softvérov, programov ktoré môžu okrem kopírovania dát z počítača na zálohovanie médium v zálohovacom zariadení:

-         šifrovať a dešifrovať dáta, ako ochrana pred zneužitím údajov v prípade, ak sa zálohovacie médium dostane k nepovolaným osobám,

-         kontrolovať správnosť prenosu a uložených dát, pre použiteľnosť na prípadnú obnovu,

-         zálohovať dáta aj počas plnej prevádzky počítačov, na ktorých sa dáta nachádzajú,

-         odolnosť v prípade poruchy alebo havárie zálohujúcich počítačov.

Detekcia

Antivírusový program

Jednoúčelový antivírusový program je naprogramovaný na jeden konkrétny vírus alebo skupinu podobných vírusov, ktorý ochraňuje počítač. Vie zistiť jeho prítomnosť a väčšinou ho aj odstrániť a liečiť napadnuté súbory. Využíva dve hlavné činnosti SCAN – hľadanie a CLEAN – čistenie (liečenie).

 

SCANovanie

Antivírusový program scaner má databázu vzoriek kódov vírusov s ich charakteristickými znakmi, ktoré porovnáva s obsahom kontrolovaných (scanovaných) súborov v pamäti alebo na disku. Databáza obsahuje mená a základnú charakteristiku vírusov. Spoľahlivá metóda, ale účinná iba na vírusy popísané v databáze vírusov.

 

Problematiku detekcie nových vírusov čiastočne rieši tzv. heuristická analýza, ktorá vykonáva rozbor obsahu súborov a hľadá v nich charakteristické prvky a znaky vírusov (napríklad program otvára a zapisuje alebo mení obsah iných spúšťateľných súborov). Informuje o tom zobrazením textu: "Súbor c:\abc.exe“ môže byť napadnutý neznámym vírusom”. Táto metóda dokáže odhaliť aj neznámy vírus (ktorý sa nenachádza v databáze antivírusového programu) a rieši tým aj problematiku vzniku nových vírusov, ktoré boli odvodené z niektorého už zo známych vírusov (tzv. mutácia vírusov). Ale pozor táto metóda môže označiť aj súbory, ktoré nie sú zavírené!!! Výsledky heuristickej analýzy nie sú 100%, ale môžu poukázať na nový neznámy vírus.

 

CLEANovanie

Antivírusový program s využitím databázy vzoriek kódov vírusov (ich charakteristickými znakmi a popisom spôsobu odstránenia) vyčistí (lieči) napadnuté súbory. Metóda je použiteľná len na vírusy popísané v databáze vírusov.

Antivírusový systém

Antivírusový systém, slúži na komplexnú ochranu celého počítača. Antivírusové systémy v sebe integrujú viaceré služby (Scan, heuristickú analýzu, Clean, rezidentný štít) a po skončení vyhľadávania vírusov, v prípade nákazy ponúknu vyliečenie. Známe antivírusové systémy: AVG, NOD, AVAST!, F-PROT, McAfee VirusScan, Norton antivirus. Ak antivírusový program nevie vírus vyliečiť, môže ponúknuť premenovanie napadnutého súboru (napríklad zmenu prípony na „VIR“). Ďalšia možnosť je umiestnenie napadnutého súboru do karantény „vírusového trezoru“ (AVG) či do „truhly“ (NOD), kde môže počkať, kým ho antivírus nebude vedieť úspešne vyliečiť. Antivírus môže k súboru zablokovať prístup alebo ponúknuť jeho vymazanie (vhodné napr. pri emailových červoch).

 

Antivírusové systémy ponúkajú aj rezidentné sledovanie a kontrolu integrity.

Rezidentný štít slúži na tzv. rezidentné sledovanie činnosti počítača. Pri štarte počítača antivírus automaticky do operačnej pamäti umiestni rezidentnú časť, ktorá monitoruje (sleduje v reálnom čase) činnosť počítača a upozorní užívateľa na neobvyklé chovanie. Je to program typu scanner, ktorý kontroluje práve spracovávané dáta (každý súbor, ktorý chceme spustiť alebo otvoriť), ešte pred ich použitím, ako aj pred zápisom na disk a môže zakázať skopírovanie zavírených súborov alebo spustenie infikovaného programu.

Kontrola integrity je metóda, ktorá vírusy nevyhľadáva, ale kontroluje, či súbor nemá známky napadnutia vírusom (zmena veľkosti alebo obsahu spúšťateľných súborov). Porovnáva či informácie o kontrolovanom súbore sú totožné s informáciami naposledy zapísanými a uloženými do databázy (veľkosť súboru a kontrolná suma). Pozor neplatí to v prípade inštalácie novej verzie (UpDate alebo UpGrade) programu, kde je zmena z dôvodu nového programu.

Firewall

Antivírusové programy a systémy sú vhodné na klasické a hlavne súborové vírusy, ale na zabezpečenie účinnej ochrany počítača v sieti nestačia. Hlavne šírenie moderných sieťových červov, pokusy o prienik do počítačov „zvonku“ a ich následné možné zneužitie si vynútilo nasadenie tzv. firewallov. Firewall je hardvérové riešenie alebo program, ktorý chráni počítač pripojený k sieti tak, že vytvorí bezpečnú bránu, ktorá v oboch smeroch prepustí len tú a takú komunikáciu, ktorá je žiaduca a teda povolená. Komunikáciu, ktorá je nežiaduca alebo inak podozrivá, táto brána automaticky blokuje. Eliminujú sa čiastočne aj prípadné bezpečnostné diery operačného systému a aplikácií. Stupeň ochrany firewallu nastaví správca siete na vstupe. Personálny firewall si môže používateľ na svojom počítači nastaviť podľa svojej individuálnej potreby.

Postup pri napadnutí počítača vírusom

Pri vírusovej nákaze netreba prepadnúť panike, ale najprv zistiť čo najviac informácii o víruse pred podniknutím ďalších krokov a v prípade neistoty prenechať odvírenie skúsenejšiemu antivírovému odborníkovi.

 

·        Ak nemáme aktívnu antivírusovú ochranu, spustíme antivírusový program.

·        Skontrolujeme celý počítač (všetky pevné disky a diskety) službou podrobný alebo kompletný test.

 

Ak program nájde známy súborový vírus, napadnuté súbory necháme "vyliečiť". Ak sa súbory nedajú vyliečiť, je možné napadnuté súbory vymazať a programy opäť nainštalovať, dokumenty obnoviť prekopírovaním zo zálohy, alebo uložiť do trezoru na ochranu pred aktivovaním vírusu s možnosťou neskoršieho vyliečenia.

Informujeme o nákaze:

·        správcu počítača

·        užívateľov, s ktorými si vymieňame údaje.

 

Ukážka nevyžiadanej pošty s vírusom v prílohe

 

Ukážka nevyžiadaného emailu, ktorý oznamuje, že firewall poštového servera zistil vírus (worm červ) odoslaný z môjho počítača emailom. Upozorňuje, že sa jedná o nový typ vírusu (sieťový červ). A žiada o inštaláciu „updates“ z prílohy. Zdôrazňujem, že žiadny email na uvedenú adresu z počítača nebol odoslaný!

 

 

Po uložení na disk a kontrole AVG systémom:

 

  

 

Vírusová encyklopédia AVG uvádza:

I-Worm/Stration

Jedná se o červa šířícího se jako příloha e-mailové zprávy nebo formou odkazu ve zprávě ICQ.

Instalace: Po spuštění se nakopíruje do adresáře System32 a vytvoří několik knihoven. Odkaz na hlavní spustitelný soubor přidá do klíče HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run aby se virus spustil při každém spuštění počítače. Knihovny zaregistruje do klíče HKLM\...\CurrentVersion\Windows, položka "AppInit_DLLs" a v některých variantách i do klíče HKLM\...\CurrentVersion\Winlogon\Notify.

Šíření: E-mail: Odesílá zprávy s falešným odesílatelem, předmět zprávy býva nejčastěji (podle dané varianty viru): Error, Good Day, hello, Mail Delivery System, Mail server report, Mail Transaction Failed, picture, Server Report, Status, test

Zpráva obsahuje spustitelnou přílohu s názvy např.: body.*, test.*, text.*, Update-KB*-x86.*

Šíření: ICQ: Virus rozesílá bez vědomí uživatele zprávy osobám z contact listu, které obsahují odkaz na spustitelný soubor. Po spuštění souboru dojde k infekci počítače.

Payload: Blokuje některé bezpečnostní programy, jako jsou firewally od různých společností, antivirové programy a podobně. V případě AVG tento virus blokuje aktualizace. Některé verze viru mohou způsobit také pády Exploreru, může zakázat ukládání v Poznámkovém bloku, využívat Editor registrů nebo může stahovat z internetu další škodlivé aplikace.

Odstranění: Všechny soubory detekované jako I-Worm/Stration vymažte. K odstranění mužete take použít odstraňovací utilitu Vcleaner.

Virusová encyklopédia NOD 32 uvádza:

 

Popis: Win32/Stration,          Alternativní názvy: Warezov

 

Stration je označení pro velice rychle se rozrůstající rodinku virů, šířících se elektronickou poštou, ale i přes instant messengery jako ICQ apod. (záleží na variantě). Tomuto napomáhá fakt, že Stration stahuje z pevně daných URL adres další havěť, tedy i další případné varianty z rodiny Stration. Známé jsou případy, kdy Stration stojí i za rozesíláním typického spamu. Obsah souborů na zmiňovaných URL adresách může být proměnlivý a zřejmě se tak autor snaží nenechat antivirové společnosti na pokoji. Ty tak musejí vydávat stále nové a nové aktualizace zajišťující detekci nových a nových variant.

Stration může blokovat přístup k Internetu (modifikace hosts souboru v adresáři s instalací Windows), popřípadě zcela sestřelit antivirovou ochranu, která není schopná provozu během přítomnosti zmiňované havěti.

Pro varianty Strationu je typické zneužití klíče HKLM \ SOFTWARE \...\ CurrentVersion \ Windows a konkrétně položky AppInit_DLLs, odkud zavádí několik vlastních .DLL knihoven, které bývají v adresáři Windows\System32. Díky tomuto se stává Stration aktivním v momentě, kdy je inicializována systémová knihovna user32.dll (tedy relativně brzo). Podobně jako adware spadající do rodiny Look2Me "šahá" i do větve ... \ Winlogon \ Notify, kam vkládá celý další klíč a odchytává tak systémová volání při startu a vypínání Windows.

Co se týká léčení, je vhodné použít aplikaci HijackThis pro lokalizaci a upřesnění výše uvedených informací (přesné umístění škodlivých souborů v adresáři s Windows...) a následně aplikovat "mstitele" The Avenger, který zajistí fyzickou likvidaci havěti (smazání souborů, odstranění položek a klíčů z registrů). Oba programy lze včetně popisu najít na stránkách www.spyware.cz. Pro odstranění varianty Win32/Stration, která se šířila 7.10.2006 přes odkaz ve zprávě z ICQ sítě posloužil v souvislosti s The Avenger tento skript. Je pravděpodobné, že díky podobnosti dalších variant bude působit úspěšně i proti jiným.


Vírusom podobné hrozby

Trójsky kôň

Trójske kone - podobné programy, ktoré sú často nesprávne označované ako vírus. Nespĺňajú však tú najpodstatnejšiu vlastnosť počítačových vírusov a tou je schopnosť šírenia sa. Až vtedy môžeme hovoriť o počítačových vírusoch. Trójsky kôň navonok vykonáva nejakú užitočnú činnosť alebo službu, ktorú od neho očakávame, ale súčasne obsahuje aj skrytú funkciu. Sú to teda programy, ktoré okrem očakávanej funkcie, obsahujú skrytú časť, ktorá sa aktivizuje po splnení určitej podmienky, tzv. logická alebo časová bomba (zvyčajne ide o viazanosť na určitý dátum - napr. 1.apríl, piatok trinásteho, dátum narodenia Michelangela 6.marca, Nový rok alebo Vianoce). Táto ukrytá časť spravidla vykonáva činnosť deštrukčného charakteru - modifikácia údajov, vymazanie súborov, formátovanie disku alebo slúži na vypustenie nového vírusu. Môže aj vyhľadávať a následne odosielať dôverné dáta používateľa na iný počítač, monitorovať jeho činnosť až po možnosť vzdialeného ovládania počítača. Menej škodlivú variantu predstavujú rôzne žartovné programy vykonávajúce animácie (padanie písmen na obrazovke), nežiadúce zvuky počítača a pod. S týmto typom škodlivého kódu sa môžete často stretnúť pri bezplatných programoch stiahnutých z nedôveryhodných internetových stránok.

Často slúži ako backdoor (zadné vrátka) do počítača. Ide o škodlivý kód, ktorý nemá schopnosť šíriť sa. Jeho úlohou je otvoriť na infikovanom počítači “zadné vrátka”, ktorými môže nepozorovane a bez vedomia užívateľa komunikovať so serverom. alebo útočník získa prístup do počítača a vykonávať na ňom činnosť či až na diaľku ho ovládať. Zadné vrátka sa samostatne nevyskytujú, väčšinou sú súčasťou napr. trójskeho koňa či emailového červa.

Červ (worm)

Červ na rozdiel od vírusu nepotrebuje na svoje šírenie hostiteľský program a nachádza sa v počítači len v jednom súbore a na lokálnych diskoch sa ďalej nešíri. Program sa šíri s využitím komunikačného spojenia na ďalšie počítače v sieti.

Emailový červ sa šíri internetom prostredníctvom infikovaných správ elektronickej pošty. Nachádza sa v prílohe správy, ktorej text vyzýva používateľa k spusteniu prílohy. Často využíva bezpečnostné diery (chyby) operačných systémov, emailových programov a aplikácií, ktoré im umožňujú preniknúť do cieľového počítača. Program - vírus môže spustiť sám užívateľ, ako bežnú prílohu elektronického dopisu. Ak sa červ z emailu spustí, napadne počítač, a sám rozošle vlastnú kópiu ako prílohu na adresy v kontaktoch alebo adresy zo starých emailov. Adresát email zvyčajne otvorí, pretože adresa odosielateľa patrí známemu.

Spyware

Spyware (z angl. špehovací tovar) je špehovací program, ktorý sa nainštaluje spolu s iným programom (bez vedomia užívateľa) a potom posiela vyšpehované informácie o činnosti na počítači, heslách a ďalšie informácie z Vášho počítača.

Je to škodlivý kód, ktorý sa do počítača dostane nainštalovaním užívateľom napríklad aj pri návšteve niektorých internetových stránok a následne svojou činnosťou znepríjemňujú užívateľovi prácu. Môže napríklad svojvoľne zmeniť štartovaciu (domovskú) stránku internetového prehliadača. Nepríjemné na nich je hlavne to, že sa dokážu dostať do systému a nie je jednoduché ich odstrániť.

eTrust PestPatrol používa na definovanie spyware presný zoznam (nazývaný Spyware Scorecard), ktorý pozostáva z 21 bodov. Zjednodušene ako spyware sú označené aplikácie, ktoré sa inštalujú alebo aktualizujú bez vedomia užívateľa, modifikujú nastavenia užívateľského počítača (napríklad nastavenia internetového prehliadača, hosts súbor, parametre pripojenia a pod.), nedajú sa správne odinštalovať alebo spĺňajú akýkoľvek zo znakov „škodlivého programu“ definovaného v zozname.

Lepšou cestou sa zdá byť stanovenie vlastností a činností, pomocou ktorých sa dá určiť, či daná aplikácie je alebo nie je spyware. Organizácie sa pokúšajú spoločne s Microsoftom vytvoriť novú presnejšiu definíciu ako aj pravidlá v odhaľovaní spyware.

Microsoft má v zozname vlastností, podľa ktorých (ale nie len nich) určuje spyware, aj zmienku o tom, že ak aplikácia viditeľne zhoršuje použitie počítača (napríklad znižuje jeho výkon) je to spyware.

Kontrolu na prítomnosť spyware a následné liečenie umožňuje skupina programov, napríklad Microsoft AntiSpyware, Spybot - Search & Destroy, Spysweeper, Spybot a Ad-Aware.

Adware

Adware je akýkoľvek program, ktorý automaticky zobrazuje, prehráva alebo sťahuje reklamný materiál na počítači po svojej inštalácii alebo pri používaní tohto softvéru. V praxi sa jedná hlavne o program, ktorý možno používať zdarma, podobne ako freeware. Rozdiel je v tom, že ak je adware aktívny, sťahuje zo siete reklamu, ktorú zobrazuje na monitore. Výdavky na vývoj programou sa autorovi vrátia v podobe poplatkov od inzerentov.

HOAX – poplašné správy

HOAX je emailová správa, ktorá dôrazne varuje pred nebezpečným vírusom, ktorý v skutočnosti vôbec neexistuje, alebo obsahuje inú „dôležitú“ informáciu. Správa sa snaží presvedčiť, že varovanie prišlo z dôveryhodných zdrojov (IBM, FBI varujú nebo Microsoft upozorňuje atď.) a žiada rozoslanie informácie ďalej. Takto dochádza k dezinformácii množstva užívateľov a zaťažovaniu siete. (http://www.hoax.cz)

Reťazové emaily

Reťazový list je emailová správa, ktorá je „hromadne“ odoslaná na viac adries a obsahuje nejakú „dôležitú“ informáciu. Dochádza k plnemiu emalových schránok užívateľov a zaťažovaniu poštových serverov siete.

Počítačová krádež

Stretávame sa aj so škodlivými kódmi, ktoré sa snažia z ľudí vylákať konkrétne údaje, ktoré sa môžu použiť na skutočnú krádež. Najnázornejším príkladom je vylákanie údajov pre on-line prístup k bankovému účtu užívateľa. Užívateľovi je zaslaný email, žiadajúci z dôvodu zmien či aktualizácie systému o jeho údaje. Iná možnosť je užívateľovi ponúknuť falošný on-line formulár, prípadne podvrhnúť Internetové stránky, ktoré vyzerajú presne ako tie pravé on-line bankového systému, ktoré používa.

Všetky zadané údaje, ako sú prihlasovacie mená, heslá, PIN alebo čísla kreditných kariet, sa tak dostávajú do nepravých rúk a môžu byť zneužité.

Spamery

Spamery sú programy, šíriace sa ako vírusy. Rozosielajú spam, nevyžiadanú poštu, ktorá obsahuje reklamu. Každý napadnutý počítač sa stáva odosielateľom nevyžiadanej pošty.

Spam

Spam označuje nevyžiadanú elektronickú komunikáciu. Jedná sa hlavne o nevyžiadané emaily, ktoré zaťažujú sieť a zapĺňajú poštové kontá. Prečo nevyžiadané správy dostali meno spam? Vraj podľa populárneho „Monty Python`s Flying Circus“, kde v jednej z príhod bol spam hlavnou ingredienciou všetkých jedál v reštaurácii.

Začiatky spamu v elektronickej komunikácii siahajú do čias, keď ešte Internet v dnešnej podobe neexistoval. Z potreby spoločnej elektronickej diskusie na rôzne témy, sa užívatelia siete USENET združovali v diskusných skupinách - tzv. newsgroups. V tejto sieti sa rozposiela rovnaká správa patriaca k predmetu diskusie všetkým odberateľom diskusných príspevkov. Spam označoval rozosielanie príspevkov (väčšinou nepatriacej k predmetu diskusie) do viacerých diskusných skupín súčasne. Časom (s rozvojom internetu) sa rozšíril a začal zasahovať ďalšie sieťové služby, hlavne e-mail. V súčasnosti je „spam“ problémom pre prevádzkovateľov a aj užívateľov internetu. Zaťažuje prenosové trasy, zahlcuje poštové servre a obťažuje užívateľov.

Spam je vlastne reklama, najčastejšie šíri „reklamné ponuky“ na tovar alebo služby rôzneho druhu. Spam sú aj tzv. reťazové listy a poplašné správy (príklad o zvyšovaní ceny nových vodičských preukazov po 1.1.2005). Prostredníctvom spamu sa dokonca ponúkajú samotné spamové služby - na masové rozosielanie emailov, ako i databázy ukradnutých emailových adries.

Škodlivosť spamu nespočíva len v tom, že obťažuje prevádzkovateľov a užívateľov internetu. Oveľa horšie je zneužívanie osobných údajov (elektronickej adresy) na činnosti, ktoré postihujú užívateľa zaťažovaním linky a zaberaním diskového priestoru.

Prevencia proti spamu, spam filter

Ochrana proti spamu je možná:

Poskytovateľ emailových služieb (mail server), ktorý by mal aplikovať účinný antispamový filter na poštových serveroch. Antispamový filter je nástroj, ktorý pri príchode správy na poštový server vyhodnotí, či ide o spam alebo nie. Na vyhodnotenie obsahu správy sa používajú rôzne spôsoby, napríklad testovanie správy na určité slová a slovné spojenia, hľadanie rozporov v adrese odosielateľa, zle napísaný dátum v hlavičke, prípadne porovnanie adresy odosielateľa s databázou serverov, ktoré sú označené ako zdroje spamu.

Klientské počítače. Väčšina emailových klientov (napr. Outlook) má tiež integrovaný nástroj na ochranu proti spamu.

 

Na Internete sa tiež dajú nájsť desiatky nástrojov na ochranu, Bezplatný freeware až po platené verzie.

Ochranou je aj ostražitosť pri zverejňovaní emailovej adresy na verejne prístupných serveroch, odkiaľ ju spameri vedia získať. Doporučuje sa vytvoriť si emailové konto na verejnom poštovom serveri a pri požiadavke na zaregistrovanie na rôznych stránkach použiť práve túto adresu.

 

Spam a zákon

V USA 16.12.2003 podpísal prezident federálny zákon (CAN-SPAM Act of 2003), podľa ktorého môže byť udelený trest väzenia až na 5 rokov. Zákon vstúpil do platnosti 1.1.2004. Jednotlivé štáty USA majú problematiku spamu riešenú aj vlastnými zákonmi – okrem štátov Florida a Kentucky, ktoré majú vypracované len špeciálne pravidlá na označovanie nevyžiadaných reklamných správ.

Európska únia vydala direktívu 2002/58/EC (Concerning the Processing of Personal Data and the Protection of Privacy in the Electronic Communications Sector). Smernica o súkromí a elektronickej komunikácii zakazuje nevyžiadanú komerčnú komunikáciu jednotlivcom, okrem obmedzeného počtu výnimiek, ktoré tvoria existujúce odberateľské vzťahy. Členské štáty mali smernicu implementovať do svojich národných legislatív do 31. októbra 2003.

Smernica obsahuje tri hlavné pravidlá, podľa ktorých môže elektronická pošta marketingového charakteru prebiehať:

 

1.      Posielanie elektronickej pošty marketingového charakteru len s predchádzajúcim súhlasom („Opt in“),

2.      Zákaz maskovania identity

3.      podmienku, že všetky priame marketingové správy musia obsahovať platnú adresu („Opt out“).

 

Z členských štátov EÚ má pravidlo „Opt in“ implementované v národnej legislatíve len 10 krajín (Rakúsko, Belgicko, Dánsko, Fínsko, Nemecko, Grécko, Maďarsko, Taliansko, Slovinsko a Španielsko), pripravuje sa aj vo Francúzsku a Švédsku. Samozrejme, že tak ako v iných oblastiach života, vydanie zákona alebo smernice vôbec neznamená, že sa nebude páchať trestná činnosť. Preto sa stále viac dostáva do pozornosti problematika ochrany užívateľov internetu.

Spam vznikol a asi tu ešte dlho bude. Je teda potrebné sa dôkladne chrániť, zabezpečiť a byť opatrný pri zverejňovaní svojej emailovej adresy na Internete, kým sa nepodarí nájsť riešenie, ktoré by sieť pred spam chránilo.

 


Bezpečnosť na Internete je čoraz vážnejšou otázkou a hlavne v poslednom období, keď je presun bezpečnostných útokov a ohrození z priamych útokov (cez TCP/IP protokol po nasadzovaní firewallov) a útokov emailovými vírusmi (po nasadzovaní antivírusových riešení u emailových služieb) na útoky a ohrozenia cez nedôveryhodné web stránky. Až doteraz nebol k dispozícii jednotný nástroj na zabezpečenie užívateľov pred nedôveryhodnými stránkami.

Site Advisor

Zaujímavé a pokrokové riešenie v boji proti takýmto bezpečnostným ohrozeniam, predstavila pod názvom Site Advisor rovnomenná spoločnosť založená skupinou inžinierov zo známeho Massachusetts Institute of Technology (MIT). Site Advisor hodnotí prípadnú nebezpečnosť www stránky z viacerých hľadísk a užívateľa upozorňuje jednak pri návšteve samotnej stránky, ale tiež už pred jej návštevou v prípade hľadania na viacerých svetových vyhľadávačoch.

Zväčšiť                                             Zväčšiť

Upozornenia vo výsledkoch vyhľadávania Google                                     Sumarizácia bezpečnosti stránky
(zelené a červené ikonky)                                                                                              

Ako to funguje?

Site Advisor je založený na podobnej technológii ako Google a iné vyhľadávače, keď roboty spoločnosti neustále samé aktívne prehľadávajú všetky na Internete dostupné web stránky a hodnotia ich bezpečnosť. Roboty vyhodnocujú napríklad všetky pokusy stránky o spustenie akéhokoľvek kódu a automatické otváranie popupov, sťahujú si všetky downloady nachádzajúce sa na stránkach a podrobia ich antivírusovému testu, registrujú sa vo formulároch s jedinečnou emailovou adresou a vedia tak vyhodnotiť, či na túto adresu začnú chodiť spamy.

Roboty Site Advisora v súčasnosti už preverili stránky, ktoré generujú 95% webovej prevádzky, preverili takmer pol milióna rozličných downloadov a preverili na spam viac ako 1.3 milióna formulárov s vyžadovaním zadania emailovej adresy. Pre každú www stránku Site Advisor vo svojej databáze zosumarizuje tieto informácie a stránku ohodnotí jedným z troch stupňov - zeleným (bezpečná), žltým (menšie bezpečnostné upozornenia) alebo červeným (vážne bezpečnostné nedostatky alebo ohrozenia). Užívateľ má zároveň kedykoľvek k dispozícii podrobné informácie o detailoch a konkrétnych ohrozeniach danej stránky.