Vírusok, biztonság Bunkóczi László SZIE GTK GMI Gödöllő,
Bevezetés Mottó: „Számítógépes vírusok már pedig nincsenek” – Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írója A mai hálózatba kötött PC-s Windows (és sajnos már egyéb operációs rendszer) alapú gépek esetében szükséges ismerni/megismerni a valós veszélyeket és a megtehető biztonsági óvintézkedéseket Korábban csak vírusok fordultak elő. Manapság, már nyíltan a web felől érkező támadásokkal is találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )
Főbb témák Vírusok: – definíciók – csoportosítási lehetőségek – csoportosítások Hálózaton keresztüli fertőzések, támadások Vírusirtás „Hasznos” hálózati kommunikációs programok Hoax-ok SPAM-ek Spyware-ek, adware-ek – trójai falovak Védekezés
Valós veszélyek Vírusfertőzés esetén: – hardware tönkretétele – adatvesztés, adatok összekeveredése – szerver leállás, lebénulás (pl. levél vírusok) Spyware, trójai falovak: - Teljes gépen tárolt adathalmaz idegenek kezébe kerülhet - Titkos login/pwd párok ellopása - Adatgyűjtés Adware: - Felugró ablakok miatt lehetetlenné váló munkavégzés
Definíciók Élővilágban: olyan önálló szaporodásra és életre képtelen, örökítő-anyagot tartalmazó mikroorganizmusok, melyek élőszervezetek megfertőzésével biztosítják fennmaradásukat. „A számítógépes vírus egy olyan program, amely más programokhoz kapcsolja hozzá saját kódját, oly módon, hogy a módosított program elindításakor a vírus is lefusson.” „A vírus olyan program vagy utasítássorozat, amelyik önmagát reprodukálja.”
F-Prot definíció 1. A vírus egy szaporodni képes program, azaz képes (esetleg módosított) másolatokat készíteni magából. 2. A szaporodás a cél, nem egy mellékhatás – elvileg 3. A másolatok legalább egy része maga is vírus, ugyanezt a definíciót használva. 4. A vírusnak egy gazdához kell kapcsolódnia, abban az értelemben, hogy a gazda elindítása a vírus lefutását okozza. – van példa, hogy nincs szüksége gazdára, csak annak a jelenlétére
Csoportosítási lehetőségek Típus szerint – File vírusok (CEB) – Boot vírusok – Makró vírusok (Word, Excel, Powerpoint, Access) – Java, jscript és vb script vírusok – webes vírusok Platform szerint Visszakeresés elleni védelem szerint Kártétel szerint – destruktív – nem destruktív
Típus szerint File vírusok – végrehajtható állományt fertőznek – command, exe, bat file-okat (sys-t) – vagy az indítási sorrendet kihasználva indul el a vírus Boot vírusok: – az MBR-ben helyezkednek el, ált. TSR programok (pl.one Half) Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta ( ) (mióta VB makrók kerültek az Office mögé) Java, jscript és vb script vírusok – webes, vírusok (pl március „I love You” vbs alapú vírus – a generált levélforgalom miatt állt le minden)
További csoportosítások szerint Platform szerint: – DOS, Windows, OS/2, Linux, Java, Makró Visszakeresés elleni védelem szerint – Kódolt vírusok (vírustest kódolt, test + kibontó) – Polimorf vírusok (változó kódolás) – Lopakodó vírusok (pl. egy boot vírus ami a partíciós táblát manipulálja – így abban minden helyesnek tűnik) – Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)
Kártétel szerint Destruktív: hardware tönkretétele (HDD, FDD) tárolt anyagok törlése, lemezek formázása adatok összekeverése (pl. I love You) Partíciós tábla manipulálása (pl. One half) „Nem destruktív” Számítógép lekapcsolása (pl. Sasser) – szerverek! régen: potyogtatós vírus, cookie vírus, Yankee doodle..
Hálózattal kapcsolatos fertőzések, támadások Minden TCP/IP alapú hálózatra kötött gépnek logikai kapuja (port-ja) van – ezek mind támadási felületek lehetnek ha nincsenek lezárva (port-scan) 2001 őszén: nimdA (Admin) Win Nt-ket fertőzte 2001 nyarán: SirCam vírus ami minden Windows-os gépen egy saját kis SMTP host-ot nyitott és szórta a leveleket (önmagát), levélben terjedt – és a felhasználó okozta a fertőzést 2004 január: Sasser – Win 2000 gépeket fertőzte ha az SP2-nem volt telepítve – egyszerű gépleállás!!
„Hasznos” hálózati programok IRC – Internet Relay Chat ICQ – I seek You Skype – webes telefon és telefonrendszer Speak freely - webes telefon VoipBuster – webes telefon összes hálózatba Ezek közül talán egyedül a Speak freely, amelyik nem nyitogat port-okat kifele… Az IRC és ICQ kimondottan veszélyessé válhat
Vírusírtás Vírusirtó programmal. Működésük: - Memória és boot-szektor scan - Keresés: - program szekvencia azonosságát vizsgálják csak - vagy heurisztikát is alkalmaznak - F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file) Követelmények manapság: - napi webes frissítés, működés közbeni folyamatos védelem Vírusirtó programok: – MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32 – Virusbuster, Panda
Hoax-ok Figyelmeztető körlevelek pl. bizonyos dll-ek vírus voltáról melyek letörlése után bizonyos funkciók elvesznek Rémhírterjesztés kategória: a fölhasználók tudatlanságának kihasználása Küld tovább még legalább 20 helyre típusú levelek – akár ingyen ajándékért – SPAM SPAM: kéretlen levelek
SPAM-ek Lottót nyertél! Afrikai király özvegye vagy hagyatéki biztosa bankszámlát kér, hogy kiküldhesse a $-jait Befektetési tanácsok Gyógyszerek (Cialis, Viagra, Xanax…) Software-ek – Ezek egy részének valós háttere: címlisták gyűjtése – Másik részük a gyűjtött címekre küldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokat
Spyware, Adware, Trójai falovak Spyware: kémprogram mely általában a felhasz- náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk) Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredmény Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)
Védekezés Legfontosabb: Megelőzés! Spybot Search and Destroy, Ad-aware, MS Anti Spyware Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi frissítés! Ismeretlen küldőtől származó anyagok törlése, nem ismert anyagok elutasítása (telepítés előtt) Operációs rendszer rendszeres biztonsági frissítése cím korlátozott és ellenőrzött kiadása Hálózatban: – router és tűzfal mögé – tűzfal program – Explorer és Outlook használatának kerülése (VB script, Active- X, J script…)
Kerülendő csatolt file-ok „Vírust” tartalmazó EXE-k álcázva: – scr – képernyővédő – pif – program információs file – sys.txt txt.vbs – már ha a vbs látszik ismeretlen forrásból: exe, com, bat hasonlóan: doc, dot, xls, xlt, ppt, mdb… érdekesség: már jpg képek is ártalmasak lehetnek: az Explorer jpeg dekódoló API-jának belső hibája miatt a jpg is képessé válik ártalmas hatás kiváltására
Mit használjunk? Operációs rendszer: – Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…) – Windows 2000 SP4 – rendszeres frissítés, belső hálózaton belül vagy tűzfal mögött – Windows XP SP2 - rendszeres frissítés Web böngésző: – Mozilla 1.71 – Firefox – Opera Levelező kliensek: – Pegazus Mail – Mozilla – The Bat, vagy: Webes levelező rendszereket
Felhasznált forrás: Nagy Ferenc László: és eddigi tapasztalatok… Köszönöm a figyelmet!