Előadást letölteni
Az előadás letöltése folymat van. Kérjük, várjon
KiadtaAlíz Fábiánné Megváltozta több, mint 10 éve
1
Rejtett kommunikációs csatornát használó spyware Készítette: Együd Dániel Konzulens: Pásztor Miklós 2007.
2
Áttekintés - Mi az a spyware? - Hogyan kerül a számítógépre? - A spyware-ekkel kapcsolatos weblap - Covert channel-ek - Mi az a HTTP? - Hogyan lehet információt kicsempészni a legális forgalom „farvizén”
3
Mi az a spyware? A spyware szó szerint kémprogramot jelent, de pontosabban egy olyan programot értünk rajta, mely a felhasználó tudta nélkül fut a rendszeren, és onnan adatokat továbbít egy (vagy több) külső, ismeretlen számítógép felé.
4
Hogyan működik? A kémprogramot ahhoz hogy működjön, valamiképp el kell juttatni a célpont számítógépre, és ott valahogyan futtatni kell. Mindezekre számos módszer és trükk áll a kémkedni vágyók rendelkezésére. De szerencsére minél többen tudnak róla, annál nagyobb a lebukás veszélye is…
5
Telepítési mechanizmusok Alapjában véve ötféle módot különböztethetünk meg: 1. Felugró (pop- up) ablakokon keresztül települő, avagy Drive by:
6
Telepítési mechanizmusok 2. Bannereken keresztül települő: ez a fajta hasonlít a fent tárgyalt felugró ablakokon keresztül települő kémprogramokhoz, azzal a különbséggel, hogy itt egy banner-re kell kattintani a telepítéshez.
7
Telepítési mechanizmusok 3. Biztonsági réseken (exploit) keresztül terjedő: a kémprogramok gyakran a rendszerünk hiányosságait kihasználva telepítik fel önmagukat. Ezek a biztonsági rések bármely, a rendszerünkön futó programban előfordulhatnak.
8
Telepítési mechanizmusok 4. Más programok mellett települő (bundleware):
9
Telepítési mechanizmusok 5. Betörő (cracker) által telepített: ha egy rendszerbe beférkőzött egy cracker, akkor fenn áll a veszélye, hogy valamilyen backdoor, vagy valamilyen spyware programot hagy hátra, hogy a rendszert később is „felügyelhesse”.
10
Mit csinálhatnak a spyware-ek a rendszerünkkel? Amennyiben egy kémprogram beférkőzik a rendszerünkbe, onnantól kezdve már teljesen a programot létrehozó tudása, illetve rossz szándéka szab határt, hogy mit tesz rendszerünkkel. Ezek közé tartozhatnak a következők:
11
Működési mechanizmusok Billentyűzet-figyelés (sniffing, keylogging) Rendszerinformációk lopása Hatalomátvétel Böngésző-átirányítás (hijack) stb
12
Honlap digitus.itk.ppke.hu/~egyda/spyware Témák: •Telepítési módok •Működési módok •Példák spyware-ekre •Tippek •Linkek •Szószedet
13
Mi az a HTTP? IETF: 1999 RFC 2616 v1.1 - Kérés-válasz alapú protokoll - mindig a kliens kezdeményez (request), a szerver válaszol (response) - a kliens általában egy böngésző - általában TCP/IP van alatta, de lehet más is - fejléc + üzenettörzs (header + body) - metódusok (GET, POST...)
14
„Sűrű bozót elefántot is elrejt” - szomáli bölcsesség - általános csatornákat használ (zajos / zajtalan) - észrevehetetlenek (külső megfigyelő számára) - a két fél által ismert kódokat használnak Rejtett csatornák – covert channels
15
Rejtett csatornák – covert channels Megvalósítás A protokollok fejléceinek mezőit felhasználva kommunikálunk! (HTTP, ARP, ICMP, DNS...) HTTP: - szinte minden internetre kötött gépen engedélyezett. - A tűzfalak általában nem szűrik a forgalmat - használjunk olyan mezőt, ami benne van a szabványban, és szabadon feltölthető (pl Pragma, warning, vary stb)
16
A példa spyware – covert channel + spyware Újdonság vagy mégsem?! Alapötlet: kommunikáljunk úgy, hogy a meglévő forgalmat használjuk ki! Cél: észrevehetetlen kémprogram Megvalósítás: 1 szoftver - 2 program: - kliens oldal – ahonnan kijuttatjuk - szerver oldal – ahová kijuttatjuk
17
A példa spyware – a kliens oldal - telepítés (bundleware) - futás a háttérben szolgáltatásként, automatikus indítás a rendszerindításkor (svchost.exe) - információgyűjtés (keylogger, fájl kereső, stb) - tárolás (kódolt fájlok a rendszer könyvtárakban) - kódolás, tömörítés, darabolás (karakter kód eltolás, Base64, ZIP) - információküldés (If-None-Match) (akár interaktív is lehetne)
18
A példa spyware – a szerver oldal TCP dump-ból: - összeillesztés - kitömörítés - dekódolás - megjelenítés (akár kéréseket is küldhetne)
19
A példa spyware – hogy is néz ki? Kliens oldal Felület nincs, de mégis...
20
A példa spyware – hogy is néz ki? A küldött információ
21
A példa spyware – hogy is néz ki? Szerver oldal
22
Összegzés Nagyon fontos a védelem! - Ha internetre kötjük számítógépünket, potenciális veszélyben vagyunk - naiv gondolat: „úgysem akar tőlem senki semmit.” „eddig sem volt semmi baj a gépemmel” „én...-t használok, hozzám nem törhet be senki!”
23
Összegzés Otthoni számítógépeken - is használjunk: - tűzfalat - antivírus programot - spyware irtót - lehetőleg nyílt forráskódú rendszereket - internetre kötött gépen ne tároljunk értékes információt!
24
Összegzés Hálózatok védelménél: - szeparáljunk! - használjunk nyílt forráskódú rendszereket - folyamatos monitoring - aktív forgalomszűrés - bevasalt konfigok - up to date frissítések - ne legyen „inkább rés, mint bástya” alkalmazás (pontatlanul beállított WiFi, stb)
25
Köszönöm a figyelmet!
Hasonló előadás
© 2024 SlidePlayer.hu Inc.
All rights reserved.