Security labs
Cyberbezpieczeństwo

Cyberbezpieczeństwo

Często w mediach słyszy się o kolejnych kradzieżach kart kredytowych, opróżnionych kontach internetowych oraz innych zagrożeniach płynących z Internetu. Możliwe, że sam padłeś ofiarą takiej katastrofy. By zapewnić sobie optymalną ochronę, nie zaszkodzi być świadomym istnienia zagrożeń i posiadać ogólną wiedzę, aby móc zachować pewne środki bezpieczeństwa.

Trudno wyobrazić sobie dziś świat bez komputerów. Wszystkie dziedziny naszego życia spotykają się z obecnością komputerów. Z tego powodu, cyberbezpieczeństwo wpływa na nas wszystkich, nawet jeżeli nie każdy zdaje sobie z tego sprawę. Idea cyberbezpieczeństwa obejmuje ochronę prywatnych informacji, jak również ostrzeganie, wykrywanie i reakcje na ataki przeprowadzane w celu ich kradzieży.

Zagrożenia

Wachlarz zagrożeń jest bardzo szeroki. Zaczynając od złośliwego oprogramowania malware mogącym bezpowrotnie zniszczyć system, poprzez skierowane włamania do systemów komputerowych, w których Twoje dane mogą zostać dowolnie zmanipulowane, do nielegalnego wykorzystania twojego PCta jako narzędzia ataku do innych systemów, a także kradzieży prywatnych danych i skutkujących nimi szkód. Mimo, że nie ma możliwości w 100% się zabezpieczyć, można łatwo zbliżyć do ideału podejmując niewielkie środki ochronne i tym samym wyraźnie ograniczyć ryzyko.

W pierwszej kolejności chcemy przedstawić zagrożenia i wyjaśnić występującą w tle terminologię.

Hakerzy / atakujący

Jest to określenie odnoszące się do nieproszonych gości, którzy nie niszczą niczego na Twoim komputerze. Wykorzystują luki bezpieczeństwa oraz słabe punkty i używają nielegalnie przejęty system komputerowy do własnych działań.

Złośliwe oprogramowanie (Malware)

Termin ten oznacza każde oprogramowanie pełniące niepożądane funkcje na danym komputerze, działające bez świadomości użytkownika. Ogólnie, złośliwe oprogramowanie można podzielić na podkategorie:

  • Koń trojański (Trojan horse) – Konie trojańskie, często niepoprawnie odnoszone do Trojanów, różnią się od robaków i wirusów, przez to, że nie replikują się samodzielnie. Na przykładzie historycznego imiennika, nazwa “koń trojański” odnosi się do programu, który udaje działanie pożądane przez użytkownika. Dodatkowo, zawiera ukryty fragment programu, który w tym samym czasie otwiera drzwi do zainfekowanego komputera i umożliwia tym samym niemal pełny dostęp do systemu bez informowania użytkownika. Ilość metod jakimi konie trojańskie ukrywają swoje prawdziwe zamiary jest niemal nieograniczona. Mogą się ukrywać w liniach komend systemów UNIX administratorów, jak passwd, ps, czy netstat (proste rootkity), lub okazywać się jako “Remote Access Trojans” (znane szerzej jako RATy lub backdoory). Te podstępne programy są także wysyłane jako wygaszacze ekranów, gry , a także w mailach. Jedno uruchomienie wystarcza do zainfekowania systemu złośliwym oprogramowaniem.
  • Robaki (Worms) – W przeciwieństwie do wirusów, robaki nie dołączają się do plików wykonywalnych. Roznoszą się przez przesyłanie przez sieci lub połączenia pomiędzy komputerami.
  • Robaki Sieciowe (Network worms) – Kilkanaście portów jest skanowanych w losowo wybranych sieciach komputerowych i jeżeli atak jest możliwy, robaki są rozsyłane i trafiają w słabe punkty protokołów (np. IIS) lub ich implementacje. Niesławnymi reprezentantami tego rodzaju malware są “Lovsan/Blaster” i “CodeRed”. Sasser wykorzystuje błąd przepełnienia bufora w serwisie lokalnego podsystemu autoryzacji bezpieczeństwa (LSASS) i infekuje komputery, kiedy są podłączone do Internetu.
  • Robaki mailowe (Email worms) – Robak przeniesiony drogą mailową, może użyć dostępne programy pocztowe (np. Outlook, Outlook Express) albo wykorzystać własny silnik poczty SMTP. Obok zwiększenia ruchu sieciowego i użycia zasobów systemowych, może zawierać inne, szkodliwe ładunki. Znane robaki mailowe zawierają szkodliwe programy “Beagle” i “Sober”.
  • Robaki P2P (P2P worms) – Robaki P2P kopiują się do współdzielonych plików serwisów P2P, jak “Emule”, “Kazaa”, itd., po czym oczekują na potencjalną ofiarę, z przyciągającą uwagę nazwą rynkowego oprogramowania lub nazw celebrytów.
  • Robaki komunikatorów internetowych (Instant messaging worms) – Robaki IM do rozpowszechniania się wykorzystują komunikatory internetowe. Nie opierają się wyłącznie na funkcji przesyłania plików w procesie. O wiele częściej rozsyłają linki do szkodliwych stron. Wiele robaków IM potrafi nawet prowadzić rozmowę z potencjalna ofiarą.
  • Wirusy (Viruses) – Podobnie wirusy starają się replikować i przenosić na inne komputery. Aby to osiągnąć, dołączają się do innych plików lub osadzają w sektorach ładujących nośników danych. Są często niezauważenie przemycane na wymiennych nośnikach danych (np. dyskietkach), przez sieci (w tym P2P),maile, bądź Internet. Wirusy są zdolne do dołączania się do wielu różnych części systemu operacyjnego i działania z wykorzystaniem wielu różnych kanałów. Mogą być podzielone na kategorie:
    - Wirusy sektorów ładujących (Boot sector viruses) – Wirusy sektorów ładujących lub wirusy MBR (master boot record) wstawiają się na początku sektorów ładujących danych mediów, aby zapewnić odczytanie kodu wirusa w pierwszej kolejności, a następnie oryginalnego sektora ładującego. Umożliwia to wirusowi pozostanie w pamięci po zainfekowaniu systemu.
    - Wirusy plikowe (File viruses) – Wiele wirusów wykorzystuje okazję by ukryć się w plikach wykonywanych. Dokonują tego przez usunięcie lub nadpisanie pliku gospodarza, bądź dołączenie się do niego. W ostatnim przypadku, plik zachowuje swoją funkcję. Jeżeli zostanie uruchomiony, kod wirusa, zwykle pisany w języku asemblera, rozpoczyna działanie jako pierwszy, po czym włącza się oryginalny program (jeżeli nie został usunięty).
    - Wirusy wielostronne (Multipartile viruses) – Ten rodzaj wirusa jest szczególnie niebezpieczny, ponieważ jego składniki nie tylko infekują pliki wykonywalne, ale także zamieszczają się w sektorach ładujących (lub w tablicach partycji).
    - Wirusy towarzyszące (Companion wiruses) – W systemach DOS, pliki COM są uruchamiane przed plikami EXE, mającymi tą samą nazwę. W czasach, gdy komputery były często obsługiwane z wiersza linii poleceń, było to bardzo efektywną metodą wyzwalania szkodliwego kodu w sposób niezauważalny.
    - Makrowirusy (Macro viruses) – Makrowirusy również przyłączają się do plików, ale same nie są wykonywalne. Ponadto, nie są pisane w języku asemblera, ale w językach makr, jak Visual Basic. Dlatego, do ich działania konieczny jest interpreter makrojęzyka, jaki znaleźć można w programach Word, Excell, Access i Power Point. Następnie makrowirusy działają w taki sam sposób jak wirusy plikowe. Ponadto są zdolne do ukrywania się, infekowania sektorów ładujących lub tworzenia wirusów towarzyszących.
    - Wirusy stealth i rootkity – Niektóre zagrożenia wyposażone są w mechanizmy umożliwiające ukrywanie się przed programami antywirusowymi. W tym celu przejmują kontrolę nad różnymi funkcjami systemowymi. W takich przypadkach standardowe skanowanie systemu plików i obszarów systemowych napędów nie wykryje zagrożenia. Mechanizmy ukrywające działanie szkodników uruchamiane są po zainfekowaniu przez wirusa pamięci operacyjnej.
    - Wirusy polimorficzne (Polymorphic viruses) – Wirusy polimorficzne posiadają mechanizmy pozwalające im na zmianę postaci z każdą nową infekcją. Osiągają to przez szyfrowanie części kodu. Dodana funkcja kodująca generuje nowy szyfr dla każdej kopii, a czasem nawet nowe funkcje kodujące. Sekwencje komend zbędne do działania wirusa również mogą zostać zastąpione bądź losowo przestawione. W ten sposób łatwo wytworzyć miliardy wersji wirusa. Aby wykryć i usunąć zakodowane i polimorficzne wirusy, konieczne jest stosowanie bardziej wyrafinowanych metod, niż klasyczne sygnatury wirusów. W większości przypadków należy stworzyć specjalne programy. Koszty analizowania i przygotowania właściwych środków zaradczych mogą być niezwykle wysokie. Dlatego w kategoriach złośliwego oprogramowania, wirusy polimorficzne stanowią najwyższe wyzwanie.
    - Wirusy zamierzone (Intended virus) – Termin wirusów zamierzonych odnosi się do wadliwych wirusów, które zarażają plik, ale nie są zdolne do dalszej replikacji.
    - Wirusy mailowe (Email viruses) – Wirusy mailowe należą do tzw. kategorii “mieszanych zagrożeń”. Malware tego rodzaju łączy cechy koni trojańskich, robaków i wirusów. Kiedy wirus “BubbleBoy” zadebiutował na scenie nowych zagrożeń, zauważona została możliwość infekowania komputerów osobistych przez funkcję podglądu HTML-owych wiadomości przez wykorzystanie luki bezpieczeństwa w Microsoft Internet Explorer. Zagrożenie jakie powodują wspomniane “kombinacyjne wirusy” nie powinno być niedoceniane.