Vírusok, biztonság Bunkóczi László SZIE GTK GMI Gödöllő, 2005.09.19.

Az előadások a következő témára: "Vírusok, biztonság Bunkóczi László SZIE GTK GMI Gödöllő, 2005.09.19."— Előadás másolata:

1 Vírusok, biztonság Bunkóczi László SZIE GTK GMI Gödöllő, 2005.09.19.

2 Bevezetés  Mottó: „Számítógépes vírusok már pedig nincsenek” – Peter Norton, 1984 (?) – a Symantec A.V. alapjául szolgáló Norton Antivirus írója  A mai hálózatba kötött PC-s Windows (és sajnos már egyéb operációs rendszer) alapú gépek esetében szükséges ismerni/megismerni a valós veszélyeket és a megtehető biztonsági óvintézkedéseket  Korábban csak vírusok fordultak elő. Manapság, már nyíltan a web felől érkező támadásokkal is találkozhatunk (pl.Sasser, nimdA, Code Red, SirCam )

3 Főbb témák  Vírusok: – definíciók – csoportosítási lehetőségek – csoportosítások  Hálózaton keresztüli fertőzések, támadások  Vírusirtás  „Hasznos” hálózati kommunikációs programok  Hoax-ok  SPAM-ek  Spyware-ek, adware-ek – trójai falovak  Védekezés

4 Valós veszélyek Vírusfertőzés esetén: – hardware tönkretétele – adatvesztés, adatok összekeveredése – szerver leállás, lebénulás (pl. levél vírusok) Spyware, trójai falovak: - Teljes gépen tárolt adathalmaz idegenek kezébe kerülhet - Titkos login/pwd párok ellopása - Adatgyűjtés Adware: - Felugró ablakok miatt lehetetlenné váló munkavégzés

5 Definíciók  Élővilágban: olyan önálló szaporodásra és életre képtelen, örökítő-anyagot tartalmazó mikroorganizmusok, melyek élőszervezetek megfertőzésével biztosítják fennmaradásukat.  „A számítógépes vírus egy olyan program, amely más programokhoz kapcsolja hozzá saját kódját, oly módon, hogy a módosított program elindításakor a vírus is lefusson.”  „A vírus olyan program vagy utasítássorozat, amelyik önmagát reprodukálja.”

6 F-Prot definíció 1. A vírus egy szaporodni képes program, azaz képes (esetleg módosított) másolatokat készíteni magából. 2. A szaporodás a cél, nem egy mellékhatás – elvileg 3. A másolatok legalább egy része maga is vírus, ugyanezt a definíciót használva. 4. A vírusnak egy gazdához kell kapcsolódnia, abban az értelemben, hogy a gazda elindítása a vírus lefutását okozza. – van példa, hogy nincs szüksége gazdára, csak annak a jelenlétére

7 Csoportosítási lehetőségek  Típus szerint – File vírusok (CEB) – Boot vírusok – Makró vírusok (Word, Excel, Powerpoint, Access) – Java, jscript és vb script vírusok – webes vírusok  Platform szerint  Visszakeresés elleni védelem szerint  Kártétel szerint – destruktív – nem destruktív

8 Típus szerint  File vírusok – végrehajtható állományt fertőznek – command, exe, bat file-okat (sys-t) – vagy az indítási sorrendet kihasználva indul el a vírus  Boot vírusok: – az MBR-ben helyezkednek el, ált. TSR programok (pl.one Half)  Makró vírusok (Word, Excel, Powerpoint, Access) – Office 4 óta (1994-95) (mióta VB makrók kerültek az Office mögé)  Java, jscript és vb script vírusok – webes, e-mail vírusok (pl. 2000.március „I love You” vbs alapú vírus – a generált levélforgalom miatt állt le minden)

9 További csoportosítások szerint  Platform szerint: – DOS, Windows, OS/2, Linux, Java, Makró  Visszakeresés elleni védelem szerint – Kódolt vírusok (vírustest kódolt, test + kibontó) – Polimorf vírusok (változó kódolás) – Lopakodó vírusok (pl. egy boot vírus ami a partíciós táblát manipulálja – így abban minden helyesnek tűnik) – Visszafejtés elleni vírusok (többszörös ugrások a kódban, nyomkövetés figyelése…)

10 Kártétel szerint  Destruktív:  hardware tönkretétele (HDD, FDD)  tárolt anyagok törlése, lemezek formázása  adatok összekeverése (pl. I love You)  Partíciós tábla manipulálása (pl. One half)  „Nem destruktív”  Számítógép lekapcsolása (pl. Sasser) – szerverek!  régen: potyogtatós vírus, cookie vírus, Yankee doodle..

11 Hálózattal kapcsolatos fertőzések, támadások  Minden TCP/IP alapú hálózatra kötött gépnek 64.000 logikai kapuja (port-ja) van – ezek mind támadási felületek lehetnek ha nincsenek lezárva (port-scan)  2001 őszén: nimdA (Admin) Win Nt-ket fertőzte  2001 nyarán: SirCam vírus ami minden Windows-os gépen egy saját kis SMTP host-ot nyitott és szórta a leveleket (önmagát), levélben terjedt – és a felhasználó okozta a fertőzést  2004 január: Sasser – Win 2000 gépeket fertőzte ha az SP2-nem volt telepítve – egyszerű gépleállás!!

12 „Hasznos” hálózati programok  IRC – Internet Relay Chat  ICQ – I seek You  Skype – webes telefon és telefonrendszer  Speak freely - webes telefon  VoipBuster – webes telefon összes hálózatba  Ezek közül talán egyedül a Speak freely, amelyik nem nyitogat port-okat kifele… Az IRC és ICQ kimondottan veszélyessé válhat

13 Vírusírtás Vírusirtó programmal. Működésük: - Memória és boot-szektor scan - Keresés: - program szekvencia azonosságát vizsgálják csak - vagy heurisztikát is alkalmaznak - F-Prot esetében: irtás (vírus), törlés (file), átnevezés (file) Követelmények manapság: - napi webes frissítés, működés közbeni folyamatos védelem Vírusirtó programok: – MSAV, Scan (McAfee), F-Prot (F-Secure), Norton Antivirus (Symantec), Thunderbyte (TBAV), Kaspersky Lab, AVG, NOD32 – Virusbuster, Panda

14

15 Hoax-ok  Figyelmeztető körlevelek pl. bizonyos dll-ek vírus voltáról melyek letörlése után bizonyos funkciók elvesznek  Rémhírterjesztés kategória: a fölhasználók tudatlanságának kihasználása  Küld tovább még legalább 20 helyre típusú levelek – akár ingyen ajándékért – SPAM  SPAM: kéretlen levelek

16 SPAM-ek  Lottót nyertél!  Afrikai király özvegye vagy hagyatéki biztosa bankszámlát kér, hogy kiküldhesse a $-jait  Befektetési tanácsok  Gyógyszerek (Cialis, Viagra, Xanax…)  Software-ek – Ezek egy részének valós háttere: e-mail címlisták gyűjtése – Másik részük a gyűjtött e-mail címekre küldözgeti a leveleket és csalásra, visszaélésre használja majd fel a kapott adatokat

17 Spyware, Adware, Trójai falovak  Spyware: kémprogram mely általában a felhasz- náló „aktív, de nem tudatos” közreműködése révén kerül a gépre. Onnantól kezdve adatokat gyűjt és küld megfelelő helyekre (pl. bankkártya információk, login/pwd, szoftver információk)  Adware: hasonló módon kerül a gépre (DirectX, Active-X, telepedő exe….) és egyre gyakoribb pop up reklámablakok az eredmény  Trójai falovak: gépre kerülés után port-okat nyit külső behatolók számára (korábban kicsit hasonlók voltak a cookie-k – vírusok is vannak)

18 Védekezés Legfontosabb: Megelőzés!  Spybot Search and Destroy, Ad-aware, MS Anti Spyware  Vírusirtó (F-Prot, Norton S.A., NOD32, Virusbuster…) – napi frissítés!  Ismeretlen küldőtől származó anyagok törlése, nem ismert anyagok elutasítása (telepítés előtt)  Operációs rendszer rendszeres biztonsági frissítése  e-mail cím korlátozott és ellenőrzött kiadása  Hálózatban: – router és tűzfal mögé – tűzfal program – Explorer és Outlook használatának kerülése (VB script, Active- X, J script…)

19 Kerülendő csatolt file-ok  „Vírust” tartalmazó EXE-k álcázva: – scr – képernyővédő – pif – program információs file – sys.txt  txt.vbs – már ha a vbs látszik  ismeretlen forrásból: exe, com, bat  hasonlóan: doc, dot, xls, xlt, ppt, mdb…  érdekesség: már jpg képek is ártalmasak lehetnek: az Explorer jpeg dekódoló API-jának belső hibája miatt a jpg is képessé válik ártalmas hatás kiváltására

20 Mit használjunk?  Operációs rendszer: – Linux disztribúciók (Redhat, Debian, SUSE, Mandrake…) – Windows 2000 SP4 – rendszeres frissítés, belső hálózaton belül vagy tűzfal mögött – Windows XP SP2 - rendszeres frissítés  Web böngésző: – Mozilla 1.71 – Firefox – Opera  Levelező kliensek: – Pegazus Mail – Mozilla – The Bat, vagy:  Webes levelező rendszereket

21 Felhasznált forrás: Nagy Ferenc László: http://www.nfllab.com/szakdoli/ és eddigi tapasztalatok… Köszönöm a figyelmet!