rosszindulatú szoftverekkaron.hu/rosszindulatu szoftverek.pdf · •a második –és napjainkban...
TRANSCRIPT
ROSSZINDULATÚ SZOFTVEREKVÍRUSOK
A VÍRUS
• A számítógépes vírus olyan program, amely saját másolatait helyezi el más,
végrehajtható programokban vagy dokumentumokban. Többnyire
rosszindulatú, más állományokat használhatatlanná, sőt teljesen tönkre is
tehet. Hatása ellen védekezni megfelelő vírusirtó szoftverrel többnyire
lehetséges.
A VÍRUS
• A vírusok manapság jellemzően pendrive vagy e-mail segítségével terjednek az
internetes böngészés mellett, valamint a megbízhatatlan oldalakról történő letöltések
által.
• A számítógépes vírusok működése hasonlít az élővilágban
megfigyelhető vírus viselkedéséhez, mely az élő sejtekbe hatol be, hogy önmaga
másolatait előállíthassa.
• Ha egy számítógépes vírus kerül egy másik programba, akkor azt fertőződésnek
nevezzük. A vírus csupán egyike a rosszindulatú szoftverek (malware) számos típusának.
Ez megtévesztő lehet a számítógép-felhasználók számára, mivel mára lecsökkent a
szűkebb értelemben vett számítógépes vírusok gyakorisága, az egyéb rosszindulatú
szoftverekhez, mint például a férgekhez képest, amivel sokszor összetévesztik őket.
A VÍRUSOK JELLEMZŐI
• A gazdaprogramok megfertőzése és az önsokszorosító viselkedés valamennyi vírusra jellemző.
Ezenkívül gyakran rendelkeznek a következő tulajdonságokkal:
• nagyon kis méretűek;
• futtatható állományokat képesek megfertőzni;
• általában ártó szándékkal készítették őket;
• gyakran akár válogatva, időzítve tönkretesznek más fájlokat;
• rejtetten működnek, esetleg akkor fedik fel magukat, ha feladatukat elvégezték;
• egyre fejlettebb intelligenciával rendelkeznek, például változtathatják saját kódjukat és
aktivitásukat.
A VÍRUSOK FAJTÁI
• Programvírusok
• A programvírusok a klasszikus értelemben vett
vírusok. Futtatható állományokhoz (program
fájlokhoz) kapcsolódnak, amiknek megnyitására
aktivizálódnak.
• Alkalmazásvírusok
• A fájlfertőző vírusok futtatható programokat
fertőznek meg (.EXE, .COM, .SYS, stb.
kiterjesztésűeket). Ha egy fertőzött program
elindul, a vírus kódja bekerül a memóriába,
aktivizálódik és elkezdhet más programokra
átterjedni. Fertőzéskor a vírus mindig olyan
programokat keres, amiket még nem fertőzött
meg, így növelve másolatainak a számát.
• BOOT-vírusok
• A BOOT-vírusok közé szokás sorolni a
számítógépes rendszer indulásakor aktiválódó
vírusokat. A számítógép operációs
rendszere valamely adathordozóról töltődik be
és indul el, ezt nevezzük BOOT folyamatnak.
Akad vírus jellegű károkozó, amely olyan
módon kerül be a memóriába, hogy az
adathordozón (pl. hajlékonylemez, fix lemez) a
rendszerindító utasítássorozathoz kapcsolódik. E
károkozók hatékonyságát nagyban növeli az,
hogy a rendszer töltődése minden folyamatot
megelőz, tehát a vírusellenes programok
aktivizálódását is, ezért még a védelemre
szolgáló programok indulása előtt betöltődhet
és aktivizálódhat a károkozó.
A FÉREG
• Egy számítógépes féreg (worm) egy számítógépes vírushoz hasonló
önsokszorosító számítógépes program. Míg azonban a vírusok más
végrehajtható programokhoz vagy dokumentumokhoz kapcsolódnak hozzá
illetve válnak részeivé, addig a férgeknek nincs szükségük gazdaprogramra,
önállóan fejtik ki működésüket. A férgek gyakran a számítógép-
hálózatokat használják fel terjedésükhöz.
A FÉREG
• Az első férget 1978-ban készítette el a Xerox PARC két kutatója.
• Az első széles körben is ismertté vált féreg a Morris-féreg volt, melyet a Cornell Egyetem egyik
diákja, Robert Tappan Morris, Jr. készített el. 1988. november 2-án került ki a szabadba és a
korabeli internetre kapcsolt számítógépek közül számosat megfertőzött. Terjedéséhez a BSD Unix-ban
található programhibákat használta fel. Morrist az amerikai bíróság a három év felfüggesztett
börtönbüntetésre, közmunkára és 10 000 dolláros pénzbírságra ítélte.
• Az önsokszorosításon kívül a féreg sokféle dologra beprogramozható, például a fájlok törlésére a
gazdarendszeren, vagy önmaga elküldésére e-mailben. Az újabban megfigyelt férgek több végrehajtható
állományt is visznek magukkal. Még valódi ártó szándékú kód nélkül is súlyos fennakadásokat okozhatnak,
csupán azzal, hogy sokszorozódásuk kiugróan magas hálózati forgalmat generálhat. Például
a Mydoom féreg terjedése csúcsán világszerte észrevehetően lelassította az internetet.
A TRÓJAI
• Számítógépes értelemben a trójai faló (röviden trójai) egy olyan
rosszindulatú program, ami mást tesz a háttérben, mint amit a felhasználónak mutat.
Az elnevezés a görög mitológiában szereplő trójai falóból származik,
utalva Odüsszeusz cselvetésére, hogy a görögök megnyerjék a trójai háborút. A
közhiedelemmel ellentétben egy trójai nem feltétlenül tartalmaz rosszindulatú
programkódot, azonban a többségük tartalmazza az ún. hátsó kapu telepítését, ami
a fertőzés után biztosítja a hozzáférést a célszámítógéphez. A vírusokkal ellentétben
általában nem többszörözi önmagát, terjedése főként egyedi támadásoknak és az
emberi hiszékenységnek köszönhető.
A TRÓJAI
• Az egyszerűbb trójai programok csak kívülről tűnnek hasznos programnak,
míg fejlettebb változataik a kémkedés mellett valóban képesek az ígért
funkciók elvégzésére is – így csökkentve a lebukás veszélyét.
• Trójaival való megfertőződésnek forrása lehet egy e-mail üzenet csatolmánya
vagy azonnali üzenetküldő program, de megkaphatjuk CD-n vagy egyéb
adattárolón is. A leggyakoribb fertőzési módszert azonban a letöltések és a
veszélyes honlapok jelentik.
A TRÓJAI
• Rombolás
• A számítógép vagy eszköz tönkretétele
• Fájlok, adatok módosítása vagy törlése
• További malware programok telepítése, futtatása
• Kémkedés a felhasználó tevékenysége és érzékeny
adatai után
• Eszköz vagy identitás kihasználása
• A megfertőzött célszemély internetkapcsolatának
használata (mint átjáró vagy proxy) illegális célokra
(pl. további gépek megtámadására), vagy akár a
felhasználó adatainak, fájljainak megosztására
• A célszemély hálózatát használó többi eszköz
feltérképezése, megtámadása
• A számítógép használata egy botnet részeként (pl.
automatikus spamelések elvégzésére)
• A számítógép erőforrásainak használata kriptovaluta
bányászatra (pl. Bitcoin)
• Pénzlopás, váltságdíj
• Elektromos pénzlopás
• Ransomware telepítése (pl. CryptoLocker)
• Adatlopás
• Felhasználó jelszavának, bankkártyaadatainak
megszerzése
• Személyi adatok, privát fényképek eltulajdonítása
• Piaci titkok felderítése
• Személyi vagy ipari kémkedés
• Kémkedés, megfigyelés, tevékenységkövetés
• Gombleütések rögzítése (pl. felhasználó adatok,
jelszavak lopásához)
• Felhasználó képernyőjének megfigyelése
• Felhasználó webkameraképének megfigyelése
• Számítógép távvezérlése
VÍRUSÍRTÁS
• Működési elvek
• A vírusirtó szoftverek két alapelven működnek. Az első az úgynevezett reaktív védelem, ami az úgynevezett vírusdefiníciós
adatbázison alapszik. Ebben az esetben a vírusirtó szoftver egy adatbázisból azonosítja a kártevőket. Az adatbázist a vírusirtó
szoftver gyártója rendszeresen frissíti, a frissítéseket a legtöbb vírusirtó szoftver automatikusan letölti az internetről.
• A második – és napjainkban egyre fontosabb – védelmi módszer az úgynevezett heurisztikus vírusvédelem. Ebben az esetben a
vírusirtó a beépített analizáló algoritmusok (mesterséges intelligencia) segítségével azonosítja a vírusokat. A módszer azért nagyon
fontos, mert sokszor több nap telik el egy új vírus megjelenésétől addig, amíg a vírusirtó program gyártója az ellenszert elkészíti és
beépíti a vírusdefiníciós adatbázisba. A reaktív vírusirtó szoftvernek ilyenkor frissítenie kell magát az internetről, és csak ezután nyújt
védelmet az új vírusok ellen.
• A heurisztikus módszereket is alkalmazó modern vírusirtók viszont addig is védelmet nyújtanak a legtöbb kártevő ellen, amíg az
ellenszer elkészül.
• Ezek a modern vírusirtók kombinálják tehát a hagyományos (vírusdefiníciós adatbázison alapuló) védelmet a modern heurisztikus
védelemmel, és így nagyobb biztonságot adnak a felhasználóknak.
VÍRUSÍRTÁS
• Fajtái
• Egyedi számítógépek védelmére szolgáló megoldások
• Egyedi számítógépek védelmére optimalizált megoldások. Általában a rendszerkövetelmények csak egyedi gépes operációs rendszereket
támogatnak, és nincs felkészítve a távoli menedzselhetőségre és a hálózatos környezetre.
• Rendelkezik minden olyan szükséges grafikus kezelőfelülettel, amelyen keresztül felhasználószintű ismeretekkel kezelhető a szoftver.
• Egyszerű vírusirtó
• Kizárólag antivírus megoldást tartalmazó szoftver. Bár egyre több funkciót zsúfolnak bele a gyártók, az egyes megoldásokban mégis
megkülönböztethető, hogy ez a megoldás nem tartalmaz tűzfalat, webtartalom-szűrőt, adatmentést. Egyes gyártók
a kémprogramvédelmet már integrálták az egyszerűbb megoldásban.
• Komplex internetbiztonsági megoldások
• Egyedi számítógépekre kifejlesztett, teljes körű biztonsági megoldást kínáló megoldások. Az általánosan elfogadott, hogy antivírus, tűzfal
minimálisan legyen a megoldásban, de webtartalomszűrőt, adatmentést, SPAM szűrést, adathalászat elleni védelmet stb. kínálnak gyártótól
függően a komplex kategóriába sorolható megoldások.
TŰZFAL
• A tűzfal (angolul firewall) célja a számítástechnikában annak biztosítása, hogy
a hálózaton keresztül egy adott számítógépbe ne történhessen illetéktelen
behatolás. Szoftver- és hardverkomponensekből áll. Hardverkomponensei olyan
hálózatfelosztó eszközök, mint a router vagy a proxy. A szoftverkomponensek
ezeknek az alkalmazási rendszerei tűzfalszoftverekkel, beleértve ezek csomag-
vagy proxyszűrőit is. A tűzfalak általában folyamatosan jegyzik a forgalom
bizonyos adatait, a bejelentkező gépek és felhasználók azonosítóit, a rendkívüli és
kétes eseményeket, továbbá riasztásokat is adhatnak.
TŰZFAL• Működése
• A tűzfal megpróbálja a privát hálózatot ill. a
hálózati szegmenst a nemkívánt támadásoktól
megóvni. Szabályozza a különböző
megbízhatósági szintekkel
rendelkező számítógép-hálózatok közti
forgalmat. Tipikus példa erre az internet, ami
semmilyen megbízhatósággal nem
rendelkezik és egy belső hálózat, ami egy
magasabb megbízhatósági szintű zóna. Egy
közepes megbízhatósági szintű zóna az ún.
„határhálózat” vagy demilitarizált zóna
(DMZ), amit az internet és a megbízható
belső hálózat között alakítanak ki. Megfelelő
beállítás nélkül egy tűzfal gyakran
értelmetlenné válik. A biztonsági szabványok
„alapértelmezett-letiltás” tűzfal-
szabálycsoportot határoznak meg, amelyben
csakis azok a hálózatok vannak
engedélyezve, amiket már külsőleg
engedélyeztünk.
• A szabálymegszegéseket leszámítva, egy
tűzfal funkciója nem abból áll, hogy
veszélyeket felismerjen és akadályozzon.
Főleg abból áll, hogy a meghatározott
kommunikációs kapcsolatokat engedélyezze,
a forrás- vagy célcímek és a használt
szolgáltatások alapján. A támadások
felkutatásáért az ún. behatolás-felismerő
rendszerek a felelősek, amelyet akár a
tűzfalra is lehet telepíteni, de ezek nem
tartoznak a tűzfalhoz.
FORRÁSOK
• Wikipedia – Vírusok
• Wikipedia – Férgek
• Wikipedia – Trójai
• Wikipedia – Vírusírtó
• Wikipedia - Tűzfal
• Google képek