Trojské koně, Červi, Viry, Hoaxy, Spam, Phishing, PharmingPočítačovou infiltrací se rozumí neoprávněné zavedení programového kódu do počítačového sytému za účelem nežádoucí (často skryté) činnosti. V současnosti existuje zhruba 80 tisíc druhů infiltrace (dle AEC) a každý měsíc se objeví 500 až 800 nových druhů. Problém je v nejednotné klasifikaci a odlišení druhů od mutací téhož druhu. Podle chování a konstrukce programového kódu se rozlišují níže popsané typy infiltrací.

Trojské koně

Jde většinou o zajímavý či nějak užitečný program, který kromě užitečného kódu v sobě obsahuje kód vykonávající nežádoucí činnost s těmito charakteristikami:

  • nereplikuje svůj kód a není schopen se šířit
  • škodlivá činnost směřuje často k útoku odposlechem (monitorování činnosti na sítí Internet, odposlech hesel apod.) a též k destrukci (smazání dat, formátování disku, vymazání náhodně vybraného sektoru pevného disku apod.)
  • škodlivou činnost provádí na předem definovaný uživateli neznámý impuls (počet spuštění nějakého programu, systémové datum apod.)

V posledních 2 letech jsou trojské koně šířeny v rámci jiných druhů infiltrace (červi). Dle manipulační činnosti je lze rozdělit na:

  • Spyware/Adware – programy skrytě sledující navštěvovaná místa na Internetu a následně šířící cílenou reklamu na základě profilování klienta
  • Key logger (zloděje hesel) – monitorují výstupní kódy řadiče klávesnice a zpřístupňují na dálku citlivé informace (přístupové heslo, šifrovací klíč, PIN apod.)
  • Remote Access Trojan (RAT) – umožňují vzdálený přístup
  • BOT – program reagující na příkazy řídicího serveru (robot), umožňují útok typu DDoS

Červy

Jde o samostatný program (sadu programů) nevyžadující žádný hostitelský kód s těmito charakteristikami:

  • „aktivní červ“ (active worm) je schopen replikovat a šířit své funkční kopie bez lidského přispění do jiných počítačových systémů pomocí sítě Internet – s využitím známých slabin aplikací a OS (služby e-mail, IRC, WWW a.j), nověji stejné funkce jako BOT
  • „poštovní červ“ (I-worm) se šíří jako příloha poštovní zprávy a používá většinou tzv. „sociální inženýrství“ a slabiny poštovních klientů, aby lstí a oklamáním přiměl uživatele ke své aktivaci (např. změní typ .exe souboru na .pif, .scr, .lnk, nebo zdvojí příponu na .txt.vbs, jpg.exe, .zip.exe a navíc změní ikonu v exe souboru na WinZip apod.)
  • automaticky se spouští při zavedení OS (infikuje Registry a *.ini soubory)
  • pro své šíření používají nejčastěji vlastní SMTP rutinu a adresy svých obětí vyhledávají na disku napadeného počítače ve windows address book, personal address book, v dočasně uložených webových stránkách, v ICQ databázi a v dalších souborech
  • jsou často schopné napadat soubory ve sdílených souborových systémech v lokální síti, pokud není přístup k nim dostatečně zabezpečen, nebo v peer-to-peer sítích provozovaných přes Internet
  • destruktivní činnost velmi široká, často zahrnuje i odposlech citlivých informací pomocí sítě Internet
  • velmi rozšířené

Viry

Jde o závislý programový kód připojený k hostitelské proveditelné jednotce, která je žádanou součástí počítačového systému (program, skript, příkazový soubor, makro, zavaděč OS apod.). Když je tato proveditelná jednotka spuštěna, vykoná se též kód viru s těmito dalšími charakterisitikami:

  • infikuje další dostupnou proveditelnou jednotku vložením své repliky (mutace) do této jednotky
  • je schopen se šířit do jiných počítačových systémů
  • provádí destruktivní činnost (nepovinná charakteristika)

Hoaxy

Jde o falešné poplašné e-mail zprávy, které využívají „sociální inženýrství“ (lest, lež, morální vydírání) k rozeslání této zprávy všem dostupným adresátům. Mají tyto charakteristiky:

  • oznamují šokující informace (např. o „nové“ infiltraci), nebo apelují na humanitární cítění (pomoc těžce akutně nemocným, pomoc v souvislosti se skutečnou humanitární krizí apod.)
  • odvolávají se na známé společnosti v IT průmyslu (IBM, Microsoft, apod.), uvádějí důvěryhodně vypadající kontakty
  • apelují na okamžité jednání, tj. rozeslání všem potenciálním obětem
  • jsou odesílány vědomě lidmi, které příjemce zná

Důvody vzniku hoaxů:

  • obtěžování adresátů a ochabnutí jejich pozornosti, následkem je zmatení uživatele a ignorování skutečných varovných zpráv
  • poškození systému uživatele tím, že jej přesvědčí k destruktivní akci (např. pod záminkou „odstranění infiltrace“ vymazáním součástí OS)

Ochrana spočívá ve sledování databáze „hoaxů“ např. na www.hoax.cz


SPAM

Je nevyžádaná poštovní zpráva nabízející zboží nebo služby často s nemorálním obsahem. Je posílaná prostřednictvím infiltrovaných systémů připojených na Internet (BOT) s falešnou hlavičkou odesílatele, takže je těžké najít skutečného odesílatele a blokovat příslušnou SMTP komunikaci. E-mail adresy adresátů jsou shromažďovány např. v rámci předchozí infiltrace zprostředkujícího systému červem nebo z veřejně dostupných databází (ICQ).

Motivem je „levný“ marketing, neboť zákony v mnoha zemích regulují nevyžádanou elektronickou inzerci (v Č.R. jde o zákon 480/2004 Sb., o některých službách informační společnosti – tzv. „antispamový zákon“).


Phishing, Pharming

Útok typu phishing je založen na podvržených e-mail zprávách, které využívají „sociálního inženýrství“ a technologických triků (např. přesměrování URL odkazu, infiltrace keyloggerem) k přesvědčení uživatele, aby odhalil osobní údaje a citlivé bankovní informace (přístupové heslo k internet-bankingu, informace o bankovním účtu, kreditní kartě apod.). Pharming je označení pro obdobný útok, který přesměruje uživatele na podvržené stránky internet-bankingu typicky tím, že kompromituje DNS.

Jednou z aktivit namířených proti těmto útokům je Anti-Phishing Working Group (APWG), která zaznamenává v únoru 2005 obrovský nárůst podvržených stránek (viz http://www.antiphishing.org).



Autor: Jirka Dvořák


Zákaznická
podpora

Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Více...
Souhlasím