Kompiuterių diagnostika

Malware yra žodžių malicious software trumpinys. Malicicious software = kenkėjiškos programos. Kenkėjiškos programos (KP) tai programos,

kurios veikia kompiuteryje be jo savininko leidimo, plinta iš vieno kompiuterio į kitą ir kliudo normaliam kompiuterio darbui.

KP tikslas gali būti tiesiog savęs platinimas, piktybiškas kenkimas aukai (pvz. duomenų ištrynimas), slaptas poveikis (pvz. svarbių duomenų rinkimas ir persiuntimas KP savininkams) arba tiesioginės naudos siekimas (išpirkos reikalavimas)

2

Užkrečiamos KP: Virus – virusai (ne bendrinis pavadinimas) Worm – kirminai

Maskuojančios KP: Virus Trojan horse - trojos arkliai Rootkit – „rūtkitai“

Kitos KP: Spyware – šnipinėjimo programos Adware – reklamavimo programos Bot – botai Scareware – vartotojų gasdinimu užsiimančios programos Ransomware – išpirkos reikalaujančios programos Kitos nepaminėtos programos

3

Klasikiniai virusai yra KP kurios save platina tam, kad: įvykdytų savo kodą kai tik vartotojas atlieka tam tikrą

veiksmą; užimtų kitus vartotojo sistemos resursus savęs

platinimo tikslais. Virusai nesinaudoja kompiuterių tinklais savęs

platinimui. Jų plitimo būdai yra šie: failų esančių tinklo kataloguose užkrėtimas; išorinių laikmenų užkrėtimas; vartotojai savarankiškai gali persiųsti juos elektroniniu

paštu.

4

5

Tinklo kirminai (worms) yra tokios kenkėjiškos programos, kurios savarankiškaiplinta vietiniuose kompiuterių tinkluose arba internete. Kirmino tikslai yra šie:

nutolusių kompiuterių užkrėtimas per tinklą;

savo kodo vykdymas užkrėstuose aukų kompiuteriuose;

savarankiškas plitimas į vis kitus neužkrėstus kompiuterius.

6

Kirminai plinta įvairiais skirtingais metodais: el. paštu; pokalbių programomis, IRC tinkluose; failų apsikeitimo programomis; vietiniuose (LAN) ir globaliuose (WAN) tinkluose per

pažeidžiamus OS servisus ar programas; Dažniausiai platinimas vyksta persiunčiant kirmino

kodą failo pavidalu, tačiau egzistuoja ir “befailiai” kirminai, kurie save persiunčia tiktai tinklo paketų pavidalu.

Kirminai papildomai gali perduoti savo užkratą ir kaip paprasti virusai, kuomet vartotojas pats persiunčia ar perneša ir aktyvuoja kodą išorinėse laikmenose.

7

8

Sasser (2004) Stuxnet (2010)

Turbūt pats garsiausias kirminas yra Stuxnet.

Labai sudėtingas, tikslingai suprojektuotas ir nutaikytas kodas.

Tai konkrečiam tikslui sukurtas kirminas.

Tikslas: sutrikdyti tam tikrų urano sodrinimo įrenginių darbą.

Kitas Stuxnet autorių darbas: Duqu

Flame: dar vienas tikslingai suprojektuotas kirminas, atrastas 2012 m.

9

CountryInfectedcomputers

Iran 62,867

Indonesia 13,336

India 6,552

United States 2,913

Australia 2,436

United Kingdom 1,038

Malaysia 1,013

Pakistan 993

Trojos arkliai (trojan horse, backdoor) yra tokios kenkėjiškos programos, kurios patenka į kompiuterį užmaskuotos kaip naudingos programos, tačiau atlieka tam tikrus veiksmus be vartotojo žinios ar sutikimo: duomenų rinkimą ir persiuntimą KP savininkui; duomenų naikinimą arba keitimą kenkėjiškais tikslais; kompiuterio darbo trikdymą; kompiuterio panaudojimą kenkėjiškais arba

nusikalstamais tikslais, pvz. pavyzdžiui pašto šiukšlių (brukalų) siuntimui.

Trojos arkliai gali būti tinklo kirminų arba paprastų virusų sudėtinė dalis.

10

11Beast

Rootkit’ai - tai KP, kurių paskirtis yra tam tikrų objektų maskavimas užkrėstame kompiuteryje.

Maskuojami įvairūs objektai: procesai; failai ir katalogai; registro įrašai; tinklo jungtys (connections); failų turinys ir kt.

Dažniausiai kitos rūšies KP naudoja rootkit’ustam, kad paslėptų savo egzistavimą aukos kompiuteryje.

12

13Sony rootkit (2005)

Internete egzistuoja sudėtingomis specialiomis kenkėjiškomis programomis (botais) užkrėstų kompiuterių tinklai, vadinami botnetais.

Botnetus gali sudaryti nuo kelių vienetų iki kelių milijonų kompiuterių-zombių.

Dažniausi būdai, kuriais užsikrečiama botais: Saugumo spragos naršyklėse: naršant užkrėstus arba

specialiai sukurtus tinklalapius į kompiuterį be vartotojo žinios parsiunčiama ir paleidžiama boto programa

Kirminai: boto programa automatiškai plinta internetu kaip kirminas, pasinaudodama spragomis OS servisuose

Trojos arkliai: boto programą vartotojas pats parsisiunčia iš interneto ir paleidžia. Pvz.: crackai, keygenai ir kt. programos

14

Šiais laikais botnetai kuriami nelegaliais komerciniais tikslais.

Botų programos pastoviai tobulinamos plečiant jų galimybes ir vengiant antivirusinių programų.

Užkrėstų kompiuterių tinklai nuomojami arba parduodami „pirkėjams“, kurie juos gali naudoti savo tikslais: DDoS atakos Reklamų rodymas (pakeitimas) Šnipinėjimas Spamo siuntimas Tinklalapių naršymas ir spragtelėjimų generavimas

15

A botnet operator sends out viruses or worms, infecting ordinary users' computers, whose payload is a malicious application—the bot.

The bot on the infected PC logs into a particular C&C server (often an IRC server, but, in some cases a web server).

A spammer purchases the services of the botnet from the operator.

The spammer provides the spam messages to the operator, who instructs the compromised machines via the IRC server, causing them to send out spam messages.

16

Šaltinis: wikipedia.com

Užkrėsti kompiuteriai (botai) jungiasi prie kontroliuojančio serverio

Botų „valdovas“ serveryje palieka botų programų atnaujinimus ir/arba veiksmų nurodymus

Vienas iš galimų veiksmų gali būti DDoS (Distributes Denialos Service): visi botai vienu metu kreipiasi į vieną tinklalapį ar kitą kompiuterį ir tokiu būdu užkemša jo interneto ryši arba perkrauna procesorių. Rezultatas –„auka“ serveris arba kompiuteris tampa nebepasiekiamas

17

Žymiausia šio tipo kenkėjiška programa turbūt yra CryptoLocker.

Veikimo principas: platina save elektroniniu paštu (kirminas) kaip EXE supakuotą į ZIP.

Paleidimo metu įsirašo į sistemą, susiekia su valdymo serveriu internete (panašu į botnetą) ir viešo rakto kriptografiniu algoritmu (RSA) užšifruoja vartotojo Word, Excel, Autocad ir kt. dokumentus.

Tuomet programa paprašo vartotojo sumokėti 100-400 USD/EUR arba atitinkamą kiekį bitcoinų už originalių failų atstatymą.

Išpirkai sumokėti duodama 3-4 dienos. Nesumokėjus išpirkos slaptas duomenų iššifravimui skirtas

raktas, kurį turi tik valdymo serverio operatorius, sunaikinamas ir duomenys prarandami.

18

Spyware, hijackers – programos, renkančios informaciją apie vartotoją ir rodančios jam reklamą arba keičiančios naršyklės nustatymus. Tikslas – užsidirbti pinigų iš reklamos tiesiogiai arba pvz. pakeitus jo paieškos puslapį.

Adware – “legalios” programos, įdiegiamos su kitomis nemokamomis programomis. Rodo reklamas naršyklėje arba pačioje programoje, šalia kurios buvo įdiegta.

Scareware – programos, kurios apsimeta antivirusais arba antispyware ir gasdindamos vartotoją nebūtais dalykais prašo susimokėti už kompiuterio išvalymą.

Skriptai – VB script, JavaScript, BAT, ActiveX, Java Applets. Dialers – programos, kurios naudoja kompiuterio modemą

skambinimui į brangaus tarifo telefono numerius, taip nešdamos pelną tų telefono linijų savininkams.

19

20

Daemon Tools toolbar...

21

22

23

24

25

Pats geriausias būdas: suprasti grėsmes ir į jas atsižvelgti naudojantis kompiuteriais

Tam reikia: Žinoti naudojamos OS silpnas vietas Žinoti atidarytus ugniasienės portus ir per juos

pasiekiamus servisus bei sekti jų saugumo spragas Žinoti naudojamos naršyklės silpnas vietas Žinoti antivirusinės programos silpnas vietas Žinoti galimas apsaugos nuo kenkėjiškų programų

priemones Nelįsti kur nereikia ir nesiųsti ko nereikia internete Nepaleidinėti neaiškių skriptų ir programų, arba tai daryti

virtualiame kompiuteryje, kurį vėliau galima atstatyti į saugią žinomą būseną.

26

Pats paprasčiausias būdas: pasitikėti savo OS, programomis ir antivirusine programa

Pasitikėjimui reikia:

Naudoti palaikomas OS versijas su naujausiais atnaujinimais

Internete naršyti tik su patikima, naujausia naršyklės versija

Pastoviai atnaujinti visas programas kompiuteryje, nes jose gali būti atrastų saugumo spragų

Naudoti patikimą antivirusinę programą

27

Saugiausios yra tos OS, kurių (beveik) niekas nenaudoja:

Linux. Saugi? Gal, tačiau neužmirškite OS branduolio ir programų nuolat atnaujinti, nes juose nuolat surandama saugumo spragų.

Mac OS X. Saugi? Turbūt saugiausia OS vartotojui. Šiai OS egzistuoja nemažai kenkėjiškų programų, tačiau (kol kas) daug kartų mažiau nei Windows. Taip pat yra antivirusinės programos. Bet:

▪ „It is of the opinion of Charlie Miller, a well known Mac security guru, that even Snow Leopard isn't as safe as Windows.“ (t.y. Windows 7) http://news.techworld.com/security/3201863/snow-leopard-less-secure-than-windows-says-hacker/

▪ Windows 8.1 ir OS X 10.10 Yosemite techninis saugumo lygis yra vienodas. Praktikoje absoliučiais skaičiais daugiau neatsargių vartotojų ir daugiau KP egzistuoja Windows terpėje.

Praktikoje dar saugesnės mažiau žinomos OS: FreeBSD, Solaris, OpenBSD, NetBSD ir t.t. 28

Saugiausios Microsoft Windows OS: Windows 8.1 (7) su įjungtu pačiu griežčiausiu UAC režimu. Standartinis UAC nustatytas režimas – nepakankamai saugus. Windows 8 ir 7 taip pat naudoja pažangias apsaugos nuo pažeidimų priemones.

Windows XP – nerekomenduojama naudoti saugumo atžvilgiu, ypač be SP3 (Service Pack 3) papildymo. Windows XP be jokio papildymo arba tik su SP1 yra labaipažeidžiama (tiek standartinis jose įdiegtas Internet Explorer, tiek kiti sistemos komponentai).

Jei turite 2GB ar daugiau RAM ir procesorių palaikantį 64 bitų instrukcijas – naudokite 64 bitų operacinę sistemą ir programas. Jos suteikia papildomą apsaugą.

Geriau jokių Windows negu seni ir neatnaujinti Windows prijungti prie tinklo/interneto.

29

30

31

Visos šiuolaikinės operacinės sistemos turi integruotas ugniasienes.

Ugniasienė turi būti aktyvuota ir tik būtiniausi servisai gali būti atviri tinklui ir/arba internetui.

Windows integruota ugniasienė yra pakankamai saugi. Nebūtina diegti „geresnę“ ugniasienę, kad jaustis saugiau, dirbti lėčiau ir gauti nereikalingus pranešimus apie programas besijungiančias prie interneto serverių.

Saugiausias būdas jungtis prie interneto - per maršrutizatorių („routerį“), kuris atriboja už jo esančius kompiuterius nuo tiesioginio prisijungimo iš interneto.

32

Šiuo metu saugiausios naudoti naršyklės: Windows 7 ir 8.1 aplinkoje: Google Chrome ir

Internet Explorer 10 (IE šiose OS naudoja protected mode, kuris žymiai padidina saugumą).

Windows XP aplinkoje: Google Chrome (vienintelė naršyklė Windows XP naudojanti sandbox)

33

Antivirusinės programos:

Nemokamos:

▪ Microsoft Security Essentials

▪ Avast (Free)

▪ Avira Antivir

▪ Kitos. Tema pristatymui ir namų darbui.

Antispyware programos:

Spybot Kill&Destroy

LavaSoft AdAware

34

Antirootkit programos Rootkit Unhooker RootkitRevealer

Konkrečioms kenkėjiškoms programoms šalinti skirti įrankiai: Windows Malicious Software Removal Tool

Antivirusų firmų spec. įrankiai Kiti įrankiai:

Process Explorer HijackThis FileMon, RegMon LiveCD su įvairiais įrankiais, pvz. Hirens Boot CD Antivirusinių programų Rescue CD

35

36

Tikrinti antivirusinėmis ir antispyware programomis nepamirštant atnaujinti jų duomenų bazių.

Jeigu toliau kyla įtarimų – tikrinti antirootkitprogramomis. Bandyti antivirusinių programų AK užkraunančius Rescue CD.

Ieškoti konkrečių kenkėjiškų programų šalinimo įrankių.

Ieškoti rankinių kenkėjiškų programų šalinimo instrukcijų ir peržiūrėti jose nurodytas failų sistemos, registro ir procesų sąrašo vietas.

Perinstaliavimas arba Windows 8 (ir vėlesnių) resetOS state funkcija.

37

http://www.viruslist.com/ http://en.wikipedia.org/wiki/Malware http://en.wikipedia.org/wiki/Trojan_horse_(computing) http://en.wikipedia.org/wiki/Rootkit http://en.wikipedia.org/wiki/Computer_worm http://en.wikipedia.org/wiki/Spyware http://support.microsoft.com/kb/129972 http://av-comparatives.org/ http://www.secunia.com/ Malware: Fighting Malicious Code. Ed Skoudis,

Lenny Zeltser. Trečia knyga puslapyje.

38