Wirus

advertisement
Wprowadzenie do architektury
komputerów
Bezpieczeństwo
Wirus
•Komputerowy program, który potrafi sam się
replikować. Termin wirus jest używany
zamiennie zarówno w odniesieniu do wirusów,
jak i robaków, co z technicznego punkt
widzenia jest niepoprawne.
•Przenosi się przez nośniki (USB i inne), Sieć
(P2P 66%) i inne.
Wirusy i robaki (Worm)
Wirus podszywa się/ukrywa np. pod nazwą
podobną do znanego programu.
Jest to mały program, który nie uruchamia się
sam –robi to zawsze człowiek.
•Robaki nie potrzebują interwencji człowieka by się
rozmnażać. W zasadzie robaki nie niszczą danych w
komputerze. Zagrożenie tkwi w szybkim rozmnażaniu
się ich, w stopniu blokującym serwery Internetowe.
•Najpopularniejsze robaki to „mass mailers”, które
atakują komputery, korzystają z listy adresowej
Microsoft Outlook’a (najpopularniejszy program
mailowy) i przesyłają robaki na wszystkie dostępne
tam adresy.
Straty
Koń trojański
•Program dający osobie z zewnątrz dostęp do
komputera bez wiedzy i autoryzacji prawowitego
użytkownika.
Wirus bootsektorowy
•Wirus atakujący sektory startowe dyskietek lub
dysków twardych.
Wirus drążący
•Wirus, który dopisuje się do kodów innych
programów bez zwiększania ich długości.
Wirus skryptowy
•Wirus, który zaraża dokumenty, używając do
tego celu języka skryptowego (wykorzystywanego
np. do tworzenia makr w arkuszach
kalkulacyjnych).
Wirus polimorficzny
•Wirus, który potrafi zmieniać swój kod,
dziękiczemu jest trudny dowykrycia.
Retrowirus
•Wirus, którego celem ataku jest oprogramowanie
antywirusowe.
Robak
•Bardzo niezależna odmiana „szkodnika” komputerowego,
Robaki potrafią same inicjować swój proces replikacji i przenosić
się poprzez Sieć.
Wirus niewidziany (stealth)
•Wirus, który potrafi aktywnie ukryć swoją obecność przed
programami antywirusowymi. „Szkodniki” tego typu mogą
przechwycić żądanie dostępu do dysku, więc kiedy
oprogramowanie antywirusowe próbuje odczytać plik lub
bootsektor, wirus wysyła zafałszowaną odpowiedź informującą
antywirusa, że sprawdzany obszar jest „czysty".
Virus Creation Kit
•Narzędzie do tworzenia wirusów. Pomaga w
sposób łatwy i szybki stworzyć wirusa. Na przykład
VCL (Virus Creation Laboratory) oraz PS-MPC
(Phalcon/Skims Mass-Produced Code Generator).
Wirus plikowy
•Wirus atakujący wykonywalne pliki programów.
Wirus rezydujący w pamięci
•Wirus pozostający w pamięci, do czasu aż
komputer nie zostanie wyłączony. Dzięki temu może
monitorować system i zarażać „interesujące" go pliki
„Spyware” –„ad ware”
•Najczęściej część freeware
•Instalują Tracking software
•Nie jest nielegalne
•Ukrywa się na dysku, rejestruje poufne informacje
(kliknięcia w klawisze klawiatury), hasła, historię
wędrówek po WWW
Hoax
•Typowy łańcuszek występujący najczęściej w
postaci wiadomości email. Zawiera fałszywe
informacje, np. ostrzeżenie przed nieistniejącymi
„szkodnikami", lub zachęca do przesłania siebie
znajomym.
„Bardzo ważne! Jeśli po przeczytaniu tego tekstu nie skasujesz z katalogu Windows, na swoim
komputerze, pliku o nazwie uninst.exe istnieje ogromne ryzyko utracenia wszystkich plików z
dokumentami .doc. Można się także liczyć z implozją monitora i licznymi kłopotami z sąsiadką.”
Ransomware
•Szyfrowanie plików na komputerze ofiary
(zlikwidowanie wirusa nie rozwiązuje problemu)
•Klucz (330 –660 znaków) po zapłaceniu okupu
•Pierwszy ransomware w 1989 roku -AIDS
Information Trojan
•Współcześnie –30 wersja GPCode
Anektowanie komputerów -zombi
•Zombi –komputer, nad którym haker przejął kontrolę,
własnym wirusem lub swoją stroną,
•Bot–program koordynujący pracę zombi, samodzielnie
tworzy sieć botnet -komputerów posłusznych hakerowi.
•Struktura rośnie automatycznie
•Ok. 12 mln komputerów zombi (wiosna 2007)
•300 000 nowych komputerów zombi każdego dnia
•„Wynajęcie” 30 tys. komputerów na godzinę –150 zł
CO SIĘ DZIEJE, GDY NASZ KOMPUTER ZOSTANIE
ZAATAKOWANY PRZEZ BOTNET?
•0 sekund -infekcja: użytkownik odwiedza zarażoną stronę lub
otwiera nieznany załącznik emaila zawierający kod wirusa botnetu.
•1 sekunda: zainfekowany komputer samoczynnie loguje się do
serwera IRC, stając się od razu częścią botnetu
•10 sekund: kryminalista kupuje na przestępczym forum dane
dostępowe do sterowania botnetem.
•18 sekund: przestępstwo: Bandyta loguje się do botnetu i wysyła
polecenie - na przykład masowego rozsyłania spamu
•20 sekund: Razem z innymi botami zainfekowany komputer wysyła
w świat denerwujące reklamy.
Phishing
•Termin powstał 10 lat temu gdy America Online pobierała
opłaty za godziny. Nastolatki mailami i IM wysyłanymi do
klientów AOL udawali, podszywali się pod agentów AOL by
„złowić” (fish —or phish) identyfikatory innych użytkowników i
na ich konto korzystać z Internetu.
•Po wprowadzeniu stałej opłaty –ta sama metoda jest
wykorzystywana do kradzieży numerów kart kredytowych.
Przykłady:
28.01.2004 klienci Citibanku otrzymali zaproszenie do
odwiedzenia Strony (podstawionej) w celu podsłuchania ID
•Podobnie Inteligo, Polska Online
•Liderzy ataków: Citibank, Ebay, PayPal
•Miesięcznie 2,5 mld phishingu
•Phishing doskonalony szybciej niż spam –bardziej lukratywny
Nowoczesne skanery antywirusowe korzystają z
dwóch metod rozpoznawania szkodliwego
oprogramowania
•porównywanie z sygnaturami
–kody każdego z uruchamianych programów są
porównywane z bazą danych zawierającą kody wirusów.
•System wyszukiwania heurystycznego
–stosuje się przeciw groźnym programom, dla których nie
opracowano jeszcze sygnatury. Skaner antywirusowy
nadzorujący uruchamianie programów wychwytuje wzorce
zachowań nietypowe dla normalnej pracy aplikacji
Budowa
systemu
antywirusowego
Skanery antywirusowe on-line
Rady
•Używaj programu antywirusowego,
•Uaktualniaj bazę wirusów,
•Wykonuj regularnie pełne skanowanie
•Unikaj otwierania/uruchamiania załączników
poczty,
•Uaktualniaj oprogramowanie, szczególnie
system operacyjny
•Wyłącz automatyczny podgląd listów
Pakiet bezpieczeństwa
•Antywirus
•Firewall
•Ochrona tożsamości
•Antyspam
•Ochrona rodzicielska
•Badanie reputacji (chmura)
•Dodatkowe moduły
Oprogramowanie antywirusowe zadania
●
●
●
Sprawdź jaki program antywirusowy jest
zainstalowany na komputerze
Zapoznaj się z jego możliwościami i
ustawieniami
Spróbuj uruchomić jeden ze skanerów
antywirusowych online
Zapora sieciowa Firewall
Zapora sieciowa (ang. firewall – ściana ogniowa) – jeden ze
sposobów zabezpieczania sieci i systemów przed intruzami.
Termin ten może odnosić się zarówno do dedykowanego
sprzętu komputerowego wraz ze specjalnym
oprogramowaniem, jak i do samego oprogramowania
blokującego niepowołany dostęp do komputera, na którego
straży stoi.
Pełni rolę połączenia ochrony sprzętowej i programowej sieci
wewnętrznej LAN przed dostępem z zewnątrz tzn. sieci
publicznych, Internetu, chroni też przed nieuprawnionym
wypływem danych z sieci lokalnej na zewnątrz.
Do jego podstawowych zadań należy filtrowanie połączeń
wchodzących i wychodzących oraz tym samym odmawianie
żądań dostępu uznanych za niebezpieczne.
Techniki obrony
Najczęściej używanymi technikami obrony są:
Filtrowanie pakietów, czyli sprawdzanie pochodzenia pakietów i
akceptowanie pożądanych (np. SPI).
Stosowanie algorytmów identyfikacji użytkownika (hasła, cyfrowe certyfikaty).
Zabezpieczanie programów obsługujących niektóre protokoły (np. FTP,
TELNET).
Bardzo ważną funkcją zapory sieciowej jest monitorowanie ruchu sieciowego
i zapisywanie najważniejszych zdarzeń do dziennika (logu).
Umożliwia to administratorowi wczesne dokonywanie zmian konfiguracji.
Na zaporze można zdefiniować strefę ograniczonego zaufania – podsieć,
która izoluje od wewnętrznej sieci lokalne serwery udostępniające usługi na
zewnątrz.
Konfiguracja zapory Windows
Aby sprawdzić i skonfigurować ustawienia zapory, wykonaj następujące kroki:
1.Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie wscui.cpl,
a następnie kliknij przycisk OK.
2. W oknie Centrum zabezpieczeń systemu Windows kliknij przycisk Zapora
systemu Windows.
Okno Zapora systemu Windows zawiera następujące karty:
Ogólne
Wyjątki
Zaawansowane
Konfiguracja zapory - ogólne
Karta Ogólne zawiera następujące ustawienia:
Włącz (zalecane)
Nie zezwalaj na wyjątki
Wyłącz (nie zalecane)
Po zaznaczeniu pola wyboru Nie zezwalaj na wyjątki Zapora systemu Windows
blokuje wszystkie żądania połączenia z komputerem, w tym żądania pochodzące
od programów i usług wymienionych na karcie Wyjątki. Zapora blokuje również
odnajdowanie urządzeń sieciowych, udostępnianie plików i udostępnianie
drukarek.
Opcja Nie zezwalaj na wyjątki jest przydatna w przypadku łączenia się z siecią
publiczną, na przykład na lotnisku lub w hotelu. To ustawienie pomaga chronić
komputer przez blokowanie wszystkich prób połączeń z komputerem.
W przypadku używania Zapory systemu Windows bez wyjątków nadal można
wyświetlać strony sieci Web, wysyłać i odbierać pocztę e-mail lub korzystać z
programu do obsługi wiadomości błyskawicznych.
Konfiguracja zapory - wyjątki
Karta Wyjątki pozwala na dodawanie wyjątków dla programów i portów,
aby zezwolić na pewne typy ruchu przychodzącego. Dla każdego wyjątku
można ustawić zakres.
W przypadku sieci w domu i w małym biurze zaleca się, aby jako zakres
ustawić, jeśli to możliwe, tylko sieć lokalną. Ta konfiguracja pozwala
komputerom w tej samej podsieci na łączenie się z programem na danym
komputerze, ale odrzuca ruch pochodzący z sieci zdalnej.
Konfiguracja zapory zaawansowane
Karta Zaawansowane pozwala skonfigurować następujące elementy:
Reguły właściwe dla połączenia, które stosują się do każdego interfejsu
sieciowego.
Konfiguracja rejestrowania zabezpieczeń.
Globalne reguły ICMP (Internet Control Message Protocol), które stosują
się do ruchu ICMP. (Ten ruch jest używany do transmisji informacji o
błędach i o stanie).
Ustawienia domyślne.
Uwierzytelnianie
●
Identyfikator i hasło (statyczne i jednorazowe)
●
Przedmiot identyfikujący (karta)
●
Techniki biometryczne
Szyfrowanie
●
Szyfry symetryczne
●
Szyfry asymetryczne
Szyfrowanie symetryczne
Szyfrowanie symetryczne (szyfr z jednym/pojedynczym kluczem) –
nadawca i odbiorca wiadomości używają tego samego prywatnego
klucza.
Inaczej mówiąc, każdy kto jest w posiadaniu tego klucza symetrycznego,
może zarówno zaszyfrować jak i odszyfrować wiadomość.
Szyfrowanie symetryczne będzie skuteczne tylko wówczas jeżeli ten
klucz nie wpadnie w niepowołane ręce – kluczem tym powinny
dysponować tylko nadawca i odbiorca.
Szyfry symetryczne przykłady
Do szyfrów symetrycznych zaliczamy takie algorytmy jak:
DES,
●AES (WPA2),
●IDEA
●Blowfish,
●Triple DES,
●Twofish,
●Serpent,
●RC4 (na tym oparty jest WEP i WPA),
●RC5.
●Proste szyfry podstawieniowe i przestawieniowe np. Cezara,
Vigenere'a,
●rotorowy (Enigma)
●
Szyfrowanie asymetryczne
Szyfrowanie asymetryczne (szyfrowanie z kluczem publicznym) jest nieco
bardziej skomplikowane od szyfrowania symetrycznego. Podstawowa
różnica polega na tym, że tutaj wyróżniamy dwa klucze - prywatny i
publiczny. Oba klucze generowane są przez odbiorcę.
Przykłady:
●RSA,
●ElGamal,
●DSA,
●ECC,
●Diffy-Hellman,
●Cramer-Shoup
Szyfrowanie asymetryczne
1. Odbiorca za pomocą specjalnego algorytmu (szyfru) asymetrycznego generuje
oba klucze. Klucz publiczny odbiorca przekazuję nadawcy. Ponieważ jest on
publiczny odbiorca nie musi martwić się o jego przekazanie nadawcy - może to
zrobić np. za pomocą Internetu, umieścić na stronie czy forum (istnieją nawet
specjalne serwery kluczy publicznych). To że wszyscy mogą zdobyć ten klucz nie
stanowi żadnego problemu.
2. Nadawca korzystając z przekazanego mu klucza publicznego szyfruje
wiadomość.
3. Odbiorca odszyfrowuje wiadomość za pomocą prywatnego klucza.
Szyfrowanie - zadanie
●
Spróbuj zaimplementować prosty szyfr
symetryczny np. szyfr Cezara w języku C lub
Assembler
Download