Rejtett kommunikációs csatornát használó spyware Készítette: Együd Dániel Konzulens: Pásztor Miklós 2007.

Áttekintés - Mi az a spyware? - Hogyan kerül a számítógépre? - A spyware-ekkel kapcsolatos weblap - Covert channel-ek - Mi az a HTTP? - Hogyan lehet információt kicsempészni a legális forgalom „farvizén”

Mi az a spyware?  A spyware szó szerint kémprogramot jelent, de pontosabban egy olyan programot értünk rajta, mely a felhasználó tudta nélkül fut a rendszeren, és onnan adatokat továbbít egy (vagy több) külső, ismeretlen számítógép felé.

Hogyan működik?  A kémprogramot ahhoz hogy működjön, valamiképp el kell juttatni a célpont számítógépre, és ott valahogyan futtatni kell. Mindezekre számos módszer és trükk áll a kémkedni vágyók rendelkezésére. De szerencsére minél többen tudnak róla, annál nagyobb a lebukás veszélye is…

Telepítési mechanizmusok Alapjában véve ötféle módot különböztethetünk meg:  1. Felugró (pop- up) ablakokon keresztül települő, avagy Drive by:

Telepítési mechanizmusok  2. Bannereken keresztül települő: ez a fajta hasonlít a fent tárgyalt felugró ablakokon keresztül települő kémprogramokhoz, azzal a különbséggel, hogy itt egy banner-re kell kattintani a telepítéshez.

Telepítési mechanizmusok  3. Biztonsági réseken (exploit) keresztül terjedő: a kémprogramok gyakran a rendszerünk hiányosságait kihasználva telepítik fel önmagukat. Ezek a biztonsági rések bármely, a rendszerünkön futó programban előfordulhatnak.

Telepítési mechanizmusok  4. Más programok mellett települő (bundleware):

Telepítési mechanizmusok  5. Betörő (cracker) által telepített: ha egy rendszerbe beférkőzött egy cracker, akkor fenn áll a veszélye, hogy valamilyen backdoor, vagy valamilyen spyware programot hagy hátra, hogy a rendszert később is „felügyelhesse”.

Mit csinálhatnak a spyware-ek a rendszerünkkel?  Amennyiben egy kémprogram beférkőzik a rendszerünkbe, onnantól kezdve már teljesen a programot létrehozó tudása, illetve rossz szándéka szab határt, hogy mit tesz rendszerünkkel. Ezek közé tartozhatnak a következők:

Működési mechanizmusok  Billentyűzet-figyelés (sniffing, keylogging)  Rendszerinformációk lopása  Hatalomátvétel  Böngésző-átirányítás (hijack)  stb

Honlap digitus.itk.ppke.hu/~egyda/spyware  Témák: •Telepítési módok •Működési módok •Példák spyware-ekre •Tippek •Linkek •Szószedet

Mi az a HTTP? IETF: 1999 RFC 2616 v1.1 - Kérés-válasz alapú protokoll - mindig a kliens kezdeményez (request), a szerver válaszol (response) - a kliens általában egy böngésző - általában TCP/IP van alatta, de lehet más is - fejléc + üzenettörzs (header + body) - metódusok (GET, POST...)

„Sűrű bozót elefántot is elrejt” - szomáli bölcsesség - általános csatornákat használ (zajos / zajtalan) - észrevehetetlenek (külső megfigyelő számára) - a két fél által ismert kódokat használnak Rejtett csatornák – covert channels

Rejtett csatornák – covert channels Megvalósítás A protokollok fejléceinek mezőit felhasználva kommunikálunk! (HTTP, ARP, ICMP, DNS...) HTTP: - szinte minden internetre kötött gépen engedélyezett. - A tűzfalak általában nem szűrik a forgalmat - használjunk olyan mezőt, ami benne van a szabványban, és szabadon feltölthető (pl Pragma, warning, vary stb)

A példa spyware – covert channel + spyware Újdonság vagy mégsem?! Alapötlet: kommunikáljunk úgy, hogy a meglévő forgalmat használjuk ki! Cél: észrevehetetlen kémprogram Megvalósítás: 1 szoftver - 2 program: - kliens oldal – ahonnan kijuttatjuk - szerver oldal – ahová kijuttatjuk

A példa spyware – a kliens oldal - telepítés (bundleware) - futás a háttérben szolgáltatásként, automatikus indítás a rendszerindításkor (svchost.exe) - információgyűjtés (keylogger, fájl kereső, stb) - tárolás (kódolt fájlok a rendszer könyvtárakban) - kódolás, tömörítés, darabolás (karakter kód eltolás, Base64, ZIP) - információküldés (If-None-Match) (akár interaktív is lehetne)

A példa spyware – a szerver oldal TCP dump-ból: - összeillesztés - kitömörítés - dekódolás - megjelenítés (akár kéréseket is küldhetne)

A példa spyware – hogy is néz ki? Kliens oldal Felület nincs, de mégis...

A példa spyware – hogy is néz ki? A küldött információ

A példa spyware – hogy is néz ki? Szerver oldal

Összegzés Nagyon fontos a védelem! - Ha internetre kötjük számítógépünket, potenciális veszélyben vagyunk - naiv gondolat: „úgysem akar tőlem senki semmit.” „eddig sem volt semmi baj a gépemmel” „én...-t használok, hozzám nem törhet be senki!”

Összegzés Otthoni számítógépeken - is használjunk: - tűzfalat - antivírus programot - spyware irtót - lehetőleg nyílt forráskódú rendszereket - internetre kötött gépen ne tároljunk értékes információt!

Összegzés Hálózatok védelménél: - szeparáljunk! - használjunk nyílt forráskódú rendszereket - folyamatos monitoring - aktív forgalomszűrés - bevasalt konfigok - up to date frissítések - ne legyen „inkább rés, mint bástya” alkalmazás (pontatlanul beállított WiFi, stb)

Köszönöm a figyelmet!