Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
UUNNIIVVEERRZZIITTAA MMAATTEEJJAA BBEELLAA VV BBAANNSSKKEEJJ BBYYSSTTRRIICCII
FFAAKKUULLTTAA PPRRÍÍRROODDNNÝÝCCHH VVIIEEDD...
V diplomovej práci použité názvy programových produktov, firiem a pod.
môžu byť ochrannými známkami alebo registrovanými o...
AABBSSTTRRAAKKTT
Diplomová práca je venovaná informačnej bezpečnosti z hľadiska problematiky
škodlivých kódov a antivíruso...
ÚÚVVOODD
I think computer viruses should count as life.
I think it says something about human nature
that the only form of...
a dodržiavaní informačnej bezpečnosti v praxi je najčastejšie to, že nech sa snažíme ako
chceme nikdy nebudeme schopní dos...
11 ŠŠKKOODDLLIIVVÉÉ KKÓÓDDYY
Výrazný nárast počtu používateľov počítačovej siete internet v uplynulých rokoch
(... a s tým...
11..11 HHIISSTTÓÓRRIIAA AA BBUUDDÚÚCCNNOOSSŤŤ ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
Prvé zmienky o tom, čo dnes väčšina používat...
neskôr aj v experimentoch pripúšťal, že vírus sa dokáže šíriť nielen v rámci jedného
počítača, ale aj medzi počítačmi prip...
šíriť nielen v súboroch prenášaných prostredníctvom diskiet a kompaktných diskov, ale aj
priamo prostredníctvom internetu,...
ZZÁÁVVEERR
Obsah tejto diplomovej práce je venovaný informačnej bezpečnosti z hľadiska
problematiky škodlivých kódov a AV-...
Prax nám už viackrát potvrdila, že brať v tejto dynamicky sa rozvíjajúcej oblasti sveta
informačných technológií ohľad na ...
PPOOUUŽŽIITTÁÁ LLIITTEERRAATTÚÚRRAA AA IINNFFOORRMMAAČČNNÉÉ ZZDDRROOJJEE
[1] TRNKA, M.: Počítačové infiltrácie šírené elek...
[21] GORDON, S.: Virus Writers (Part 2), Elektronická publikácia Virus Bulletin
(6/1999), Virus Bulletin Ltd, Abingdon (En...
PPRRÍÍLLOOHHYY
PPRRÍÍLLOOHHAA 11
Chronológia najvýznamnejších udalostí zo sveta škodlivých kódov
PPRRÍÍLLOOHHAA 22
Manuáln...
CCHHRROONNOOLLÓÓGGIIAA NNAAJJVVÝÝZZNNAAMMNNEEJJŠŠÍÍCCHH UUDDAALLOOSSTTÍÍ
ZZOO SSVVEETTAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
V...
červov sa však uberal iným smerom, než pôvodne zamýšľali ich tvorcovia, a skončil
nakoniec kolapsom počítačových systémov ...
Disease“, v ktorej prezentoval princíp fungovania vírusu Vienna, čím otvoril brány do sveta
počítačových vírusov stovkám p...
Objavujú sa prvé polymorfné vírusy (napríklad Chameleon), ktoré dokážu
premenlivo šifrovať celé svoje telo, pričom na jeho...
S rozvojom kompaktných diskov obsahujúcich okrem hudby aj softvér sa
čoraz viac dostávali do popredia možnosti šírenia sa ...
roka sa prostredníctvom komunikačných sietí IRC10
začali šíriť prvé počítačové červy,
ktoré využili bezpečnostnú chybu obj...
možnosť aktivácie škodlivého kódu tvoriaceho súčasť emailovej správy už pri jej zobrazení
– čítaní (... vďaka bezpečnostne...
aplikácie v rámci OS MS Windows. Jeho deštruktívna rutina dokázala za istých podmienok
poškodiť dáta uložené na disku i v ...
sledovanie aktivít v rôznych počítačových systémoch na svete. Táto informácia sa však
dodnes nepotvrdila... .
Začiatok rok...
aktívnou spoluprácou AV-spoločností, tajných služieb a prevádzkovateľov vybraných web
serverov sa podarilo tejto udalosti ...
MMAANNUUÁÁLLNNAA EELLIIMMIINNÁÁCCIIAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV
Pri objavení škodlivého kódu v počítači nie je vhodn...
PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí
...
škodlivý kód. V tomto prípade treba vychádzať z popisu konkrétneho škodlivého kódu
získaného z internetu (... zo stránok i...
PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí
...
Prochain SlideShare
Chargement dans…5
×

M.LEPIS - Diploma Thesis (2004)

395 vues

Publié le

  • Login to see the comments

M.LEPIS - Diploma Thesis (2004)

  1. 1. UUNNIIVVEERRZZIITTAA MMAATTEEJJAA BBEELLAA VV BBAANNSSKKEEJJ BBYYSSTTRRIICCII FFAAKKUULLTTAA PPRRÍÍRROODDNNÝÝCCHH VVIIEEDD KKAATTEEDDRRAA IINNFFOORRMMAATTIIKKYY ŠŠKKOODDLLIIVVÉÉ KKÓÓDDYY AA AANNTTIIVVÍÍRRUUSSOOVVÁÁ OOCCHHRRAANNAA PPRRAACCOOVVNNÝÝCCHH SSTTAANNÍÍCC SS OOSS MMSS WWIINNDDOOWWSS 99xx--22000033 DDIIPPLLOOMMOOVVÁÁ PPRRÁÁCCAA ((KKrráátteennáá uukkáážžkkaa)) BBaannsskkáá BByyssttrriiccaa,, 22000044 MMaarrttiinn LLEEPPIIŠŠ
  2. 2. V diplomovej práci použité názvy programových produktov, firiem a pod. môžu byť ochrannými známkami alebo registrovanými ochrannými známkami príslušných vlastníkov. Žiadna časť tejto diplomovej práce nesmie byť publikovaná a šírená žiadnym spôsobom a v žiadnej podobe bez výslovného povolenia autora.
  3. 3. AABBSSTTRRAAKKTT Diplomová práca je venovaná informačnej bezpečnosti z hľadiska problematiky škodlivých kódov a antivírusovej ochrany pracovných staníc s OS MS Windows 9x-2003. Prezentované sú základné formy klasifikácie škodlivých i nežiadúcich kódov, vrátane ich všeobecných vlastností a konštrukcie i princípov tvorby ich názvoslovia. Čitatelia v tejto práci nájdu sumárny pohľad na informačné zdroje venované škodlivým kódom a ochrane proti nim i pravdepodobné vyhliadky do blízkej budúcnosti. Druhá a tretia kapitola je obsahovo zameraná na AV-ochranu pracovných staníc, s dôrazom kladeným na prehľad modulov tvoriacich základ moderných AV-systémov a bezpečnostným prvkom slúžiacim pre ochranu systémov pred útokmi škodlivých kódov a hackerov, i množiacim sa spamom. V závere sú naznačené detailnejšie možnosti dodatočnej ochrany pracovných staníc na úrovni súborového systému, OS MS Windows, masovo používaných aplikácií i aplikácií slúžiacich pre sieťovú komunikáciu v reálnom čase i sieťach Peer-to-Peer. KĽÚČOVÉ SLOVÁ: Informačná bezpečnosť. Škodlivé kódy. Vírus. Červ. Trójsky kôň. Adware. Spyware. Poplašné správy. Nevyžiadaná emailová pošta. Antivírusový systém. Osobný firewall. Spamový filter. Zabezpečenie a ochrana počítačových systémov. Útoky. Kyberterorizmus. Tvorcovia škodlivých kódov. AABBSSTTRRAACCTT This thesis deals with computer system security with focus on how to protect workstations running Microsoft Windows 9x-2003 operating systems against malicious software and viruses. We present basic forms of classification of malicious and undesirable software including their general properties, composition, and principles for creating their nomenclature. In this work readers will find summary of sources of information about malicious software and protection against it, as well as a short term prognosis. The second and third chapters are focused on antiviral protection of workstations with emphasis on modules that form foundation of modern antivirus software and security features serving to protect systems against malicious software and hackers, as well as ever increasing spam. In conclusion we more specifically outline possibilities of additional protection of workstations at the level of filesystem, the operating system of Microsoft Windows, commonly used applications and applications used for real time network communication as well as peer-to-peer networks. KEYWORDS: Information security. Malicious software. Virus. Worm. Trojan horse. Adware. Spyware. Hoaxes. Unsolicited emails. Antiviral system. Personal firewall. Spam filter. Security and protection of computer systems. Attacks. Cyberterrorism. Creators of malicious software.
  4. 4. ÚÚVVOODD I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image. Stephen W. Hawking Keď v roku 1949 americký počítačový expert John von Neumann (1903 – 1957) položil prvé základy moderných počítačových systémov a teórie samočinne fungujúcich programov určite ani v tom najhoršom sne netušil, čo za ich pomoci dokáže časom vytvoriť jeho nasledujúca generácia. Počítače sa postupne presunuli z veľkých firiem, podnikov, organizácií aj do školských výpočtových stredísk, čím sa dostali bližšie k bežným používateľom. Netrvalo dlho a spoločnosť si uvedomila, aký veľký potenciál sa skrýva v nových technických prostriedkoch, ktoré je možné vďaka ich hardvérovej i softvérovej flexibilite použiť v tých najrozmanitejších oblastiach ľudského života. Čas pomaly plynul a nové technológie umožnili, aby sa z veľkorozmerných a energeticky i finančne náročných zariadení stali systémy pre každodenné použitie. Tie dnes má väčšina z nás v zamestnaní alebo doma, používa ich pre prácu, oddych i zábavu a tiež nevyhnutnú komunikáciu s inými ľuďmi. Tá bola v minulosti možná len pri osobnom kontakte, prostredníctvom listov či telefónu, avšak len do okamihu, kým sa neobjavil počítač a počítačová sieť internet. Priestor a možnosti pre vlastnú prácu, sebarealizáciu, vzdelávanie i zábavu, ktoré so sebou priniesol internet boli do tej doby niečím, čo sme mohli vidieť len na hollywoodskych filmových plátnach či stránkach sci-fiction literatúry. Počítač a počítačová sieť internet sa postupne stali novým fenoménom druhej polovice 20. storočia. Rozvoj nových technológií vo veľmi krátkej dobe prispel k tomu, že sa naša pôvodne priemyselná spoločnosť transformuje postupne na spoločnosť informačnú. V nej sa hlavným obchodným artiklom stávajú informácie, ktoré je možné zaznamenávať už nielen v papierovej, fotografickej či magnetickej podobe, ale aj omnoho efektívnejšej digitálnej forme. Informácie sa tak razom premenili na to najcennejšie, čím disponuje naša spoločnosť i každý jej jednotlivec. Objavil sa tu však nový problém. Počítače, obsahujúce cenné firemné, tajné i osobné informácie, sa začlenili do rozmáhajúcej sa infraštruktúry internetu. Tak ako v celej histórii ľudstva aj teraz sa začali medzi používateľmi počítačov objavovať takí jedinci, ktorí okrem svojich informácií mali záujem aj o informácie svojich konkurentov, firiem, organizácií či cudzích osôb, a pod.. Často ich zámerom nebolo získať informácie, ale skôr sa postarať o ich poškodenie či úplné znehodnotenie. Ďalším sprievodným fenoménom informačnej spoločnosti sa tak stáva počítačová kriminalita, ktorá sa za posledné roky vyprofilovala do viacerých podôb – hackermi počnúc a tvorcami škodlivých či nežiadúcich kódov končiac. Zatiaľ čo v minulosti boli informácie o útokoch na informačné systémy firiem, organizácií, štátnych a vojenských inštitúcií len ojedinelým javom, vývoj a nové technologické možnosti v oblasti komunikácie a výmeny dát prostredníctvom internetu prispeli žiaľ k tomu, že dnes patria ku každodenným správam, s ktorými sa stretávame v médiách i na stránkach informačných serverov. Reakciou spoločnosti na tieto udalosti bolo vytvorenie istých noriem, štandardov a ochranných prostriedkov, ktoré dnes poznáme ako všadeprítomnú informačnú bezpečnosť. Hlavným problémom pri presadzovaní
  5. 5. a dodržiavaní informačnej bezpečnosti v praxi je najčastejšie to, že nech sa snažíme ako chceme nikdy nebudeme schopní dosiahnuť dokonalú ochranu našich informačných systémov. Dôvod je pritom dosť prostý. Na jednej strane v tomto „začarovanom kruhu“ stoja softvérové spoločnosti, ktoré hoci o bezpečnosti hovoria viac než treba, stále vo svojich vyvíjaných programoch uprednostňujú kvantitu pred kvalitou. Na strane druhej sa nachádza používateľ, ktorý pri kúpe softvérových produktov dúfa, že za svoje nemalé finančné prostriedky získa to čo potrebuje – funkčný, flexibilný a bezpečný nástroj pre prácu, oddych či zábavu. Žiaľ, nie vždy je tomu tak... . Bezpečnostné diery a programátorské chyby sa stali bežnou súčasťou dnešných masovo používaných produktov a zároveň aj voľnou priepustkou pre hackerov, tvorcov škodlivých kódov i spamerov do našich nedostatočne chránených systémov. Najhoršie na tom je však to, že nás práve chyby spôsobené človekom pri tvorbe softvérových produktov radia tesne za tých, ktorí sa snažia našej spoločnosti škodiť. Našťastie na „každú chorobu existuje liek“. A tak vďaka novým operačným systémom1 , bezpečnostným aplikáciám ako sú antivírusové systémy2 , osobné firewally a spamové filtre dokázala spoločnosť vždy nájsť dostatočne účinné prostriedky, ktorými tento nerovný boj zvrátila vo svoj prospech a v konečnom dôsledku ho vyhrala. Otázkou zostáva, ako dlho vydržíme hrať takúto únavnú a nie práve povzbudivú hru? Ako bolo naznačené v predchádzajúcom texte, táto diplomová práca je venovaná problematike informačnej bezpečnosti. Vzhľadom na to, že sa jedná o rozsiahlu a všestranne orientovanú tematickú oblasť, nahliadne iba do jedného z jej najživších a najaktuálnejších zákutí, ktorým sú škodlivé kódy a ochrana počítačových staníc s operačnými systémami MS Windows 9x-2003 proti nim. V nasledujúcich troch kapitolách sú zosumarizované informácie o škodlivých a nežiadúcich kódoch z pohľadu ich dvadsaťročnej histórie, informácie o ich klasifikácii, prejavoch, princípoch fungovania i šírenia, o ich tvorcoch i vyhliadkach do blízkej budúcnosti. Pozornosť je venovaná aj pálčivej otázke akou sú príčiny výrazného rozšírenia sa škodlivých kódov za posledných päť rokov a s tým spojený rozvoj kyberterorizmus. Ďalšia časť práce je venovaná AV-systémom ako základným prostriedkom pre účinnú ochranu a boju proti rozmáhajúcim sa škodlivým i nežiadúcim kódom. Okrem AV-riešení je dôraz kladený aj na celkovú bezpečnosť používaných softvérových produktov, ako na úrovni súborového systému, OS MS Windows, masovo používaných kancelárskych i komunikačných aplikácií. Záver práce v krátkosti pojednáva o otázkach zálohovania dôležitých nastavení OS MS Windows a dát vytvorených samotným používateľom. Pevne verím, že nasledujúca publikácia bude tvoriť základ nielen pre moju diplomovú prácu, ale bude aj vhodným študijným a informačným materiálom pre mnohých používateľov počítačov a počítačovej siete internet, ktorý im pomôže prekonať strach z doposiaľ neznámeho a nepoznaného – strach zo všade prítomných škodlivých kódov. Na tomto mieste by som chcel poďakovať Ing. Ľudovítovi TRAJTEĽOVI, PhD. za podnetné pripomienky pri tvorbe diplomovej práce. 1 V ďalšej časti bude tento pojem nahradený skratkou OS. 2 V ďalšej časti bude tento pojem nahradený výrazom AV-systémy.
  6. 6. 11 ŠŠKKOODDLLIIVVÉÉ KKÓÓDDYY Výrazný nárast počtu používateľov počítačovej siete internet v uplynulých rokoch (... a s tým úzko súvisiaci nárast počtu prenášaných dát medzi nimi) zvyšuje čoraz razantnejšie riziko vzniku incidentov spôsobených škodlivými kódmi3 , ktorých výsledkom môže byť strata dôležitých dát i informácií. Vzhľadom na možnosť hroziaceho rizika, ktoré sa dnes týka takmer každého používateľa je vhodné porozumieť tejto zložitej problematike. Jej pochopenie by malo prispieť výraznou mierou k tomu, aby používatelia boli schopní permanentne a vždy účinne chrániť svoje systémy pred existujúcimi i novo vznikajúcimi škodlivými kódmi. Skôr, než sa však dostaneme k detailnej charakteristike väčšiny existujúcich digitálnych nástrah, s ktorými sa môžu stretnúť používatelia pri práci s počítačovou sieťou internet a jej vybranými službami, objasnime si aspoň vo všeobecnej rovine pojem škodlivé kódy. Škodlivými kódmi budeme rozumieť akékoľvek počítačové programy, dokumenty alebo správy, ktoré môžu pri svojom priamom i sprostredkovanom použití zapríčiniť ohrozenie počítačového systému, dôsledkom čoho môže dôjsť k poškodeniu, strate, prípadne odcudzeniu dát, zníženiu výkonu samotného systému i produktivity používateľa. Súhrnným pojmom škodlivé kódy budeme v ďalšom texte označovať počítačové vírusy, počítačové červy a trójske kone. Za istú špecifickú podskupinu škodlivých kódov sme sa rozhodli zaradiť nežiadúce kódy, ako sú žartovné programy, generátory vírusov, adware a spyware, dialers, hacktools a tiež (hoci to nebude celkom správne) poplašné správy. Ich prítomnosť v akomkoľvek počítačovom systéme zvyšuje riziko straty, prípadne odcudzenia súkromných informácií. Preto je potrebné, aby používatelia o ich existencii boli informovaní a vedeli sa proti nim chrániť. Vzhľadom na to, že vyššie uvedená charakteristika pojmu škodlivé kódy je dosť všeobecná budeme sa v niekoľkých nasledujúcich podkapitolách podrobne venovať jednotlivým typom škodlivých i nežiadúcich kódov. Predtým, než sa dostaneme k ich zložitejšej klasifikácii, považujeme za vhodné upriamiť pozornosť aspoň na stručný prehľad udalostí, ktoré predchádzali a súviseli s objavením sa i ďalším rozvojom škodlivých kódov až do takej podoby v akej ich poznáme dnes. 3 Pojem škodlivé kódy sa v anglickej literatúre označuje ako MALicious SoftWARE alebo skrátene MALWARE.
  7. 7. 11..11 HHIISSTTÓÓRRIIAA AA BBUUDDÚÚCCNNOOSSŤŤ ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV Prvé zmienky o tom, čo dnes väčšina používateľov zvykne označovať pojmom počítačové vírusy sa objavili už v období 60. a 70. rokov minulého storočia v literárnych dielach rôznych autorov4 . Medzi najznámejšie z nich patrí dielo The Shockwave Rider (1975) od Johna Brunnera [1], v ktorom sa po prvý raz objavil opis programu TapeWorm pripomínajúceho počítačový červ. Uvedenie týchto predstáv o existencii malých skryte pracujúcich programov, ktoré by dokázali kradnúť dôležité informácie, poškodzovať či dokonca ničiť údaje, do reálneho sveta počítačov však trvalo ešte nejaký čas. Až v roku 1983 sa rozhodol pán Fred Cohen venovať bližšie tejto problematike na teoretickej i praktickej úrovni počas svojho pôsobenia – štúdia na Lehigh University of Pennsylvania [3]. Pri experimentoch so samoreplikujúcimi sa kódmi na OS Unix bol vtedy po prvý raz použitý pojem vírus5 , ktorý sa v tejto oblasti sveta počítačov zachoval až dodnes... . „Počítačový vírus je počítačový program, ktorý môže infikovať iný počítačový program takým spôsobom, že k nemu pripojí alebo do neho skopíruje svoje telo, čím sa infikovaný program stáva prostriedkom pre ďalšiu aktiváciu vírusu.“ [2, s.4] Zaoberať sa na tomto mieste detailne doterajšou – dvadsaťročnou históriou škodlivých kódov by nebolo práve najšťastnejším riešením vzhľadom na množstvo rôznych udalostí, ktoré sa počas nej udiali. Pozrime sa na uplynulé obdobie ich existencie len „telegraficky“ a vyberme z neho tie najpodstatnejšie okamihy. Ako už bolo spomenuté v úvode, prvým priekopníkom v oblasti počítačových vírusov sa stal Američan Fred Cohen, ktorý sformuloval definíciu toho, čo je to vírus, čím sa vyznačuje, čo potrebuje pre svoju existenciu a ako vôbec dokáže koexistovať vo svete digitálnych informácií. Zároveň svojimi experimentmi aplikovanými v laboratórnych podmienkach dokázal, že vhodne navrhnutý – naprogramovaný samoreplikujúci sa programový kód, či inak povedané počítačový vírus, sa dokáže šíriť v systéme veľmi rýchlo. Svoje prvé výsledky verejne prezentoval na seminári zameranom na otázky bezpečnosti, ktorý sa konal 10. novembra 1983 [3]. Už vtedy Fred Cohen vo svojich úvahách a 4 V roku 1984 vydal William Gibbson román nazvaný „Neuromancer“, ktorý sa stal základným stavebným kameňom cyberpunku a v nadväznosti na to aj kultúry hackerov. Prvým dielom, ktoré sa v bývalom Československu venovalo problematike vírusov bola poviedka „Troglodyt a maska“ od Josefa Pecinovského, ktorá vznikla po umelo vyvolanej hystérii súvisiacej s vírusom Michelangelo. Zverejnená bola v časopise PC World (11/1992) [4]. 5 Niektoré zdroje pritom uvádzajú, že prvou osobou, ktorá počas prebiehajúcich experimentov pomenovala ukážkový program pojmom vírus bol Len Adleman (... neskôr jeden z tvorcov šifrovacieho algoritmu RSA, kde písmeno A = Adleman). Dôvodom vraj bola analógia s biologickým vírusom, ktorý sa rovnako ako vírus počítačový pri svojom množení snaží pripojiť k inému hostiteľovi [3]. Obrázok 2 Fred Cohen Obrázok 1 Obálka knihy The Shockware Rider
  8. 8. neskôr aj v experimentoch pripúšťal, že vírus sa dokáže šíriť nielen v rámci jedného počítača, ale aj medzi počítačmi pripojenými do počítačovej siete. To však ešte netušil, aké následky bude mať pre našu spoločnosť ďalší vývoj ním definovaných a verejne prezentovaných počítačových vírusov. Krátko po prvotných experimentoch so samoreplikujúcimi kódmi uzrel (v roku 1986) svetlo sveta prvý funkčný počítačový vírus nazvaný Brain, ktorý vytvorili bratia Basit a Amjad Farooq Alviovci v pakistanskom Lahore za účelom propagácie svojho malého obchodu so softvérom. Postupne sa problematika tvorby a šírenia počítačových vírusov dostala do celého sveta vďaka čomu začali pribúdať stále nové a nové vírusy. Všeobecný základ v oblasti tvorby počítačových vírusov položil (v roku 1987) Ralph Burger, ktorý vo svojej knihe nazvanej Computer Viruses: A High-tech Disease popísal princíp fungovania vtedy dosť dobre známeho vírusu Vienna [5]. Tým otvoril brány do sveta počítačových vírusov stovkám až tisícom ďalších ľudí – často tvorcom nových počítačových vírusov a neskôr aj červov. Podľa dnes dostupných informácií a odhadov boli koncom roka 1986 známe len tri vírusy, o rok neskôr ich bolo už dvanásť, v roku 1991 sa ich počet blížil k hranici štyristo exemplárov a stále rapídne vzrastal [4]. Každým rokom bol medziročný nárast počtu novovytvorených počítačových vírusov a ich nových mutácií výraznejší. Najintenzívnejší nárast nastal za posledných päť rokov (t.j. od roku 1999 do roku 2004). Dnes sa odhaduje, že na svete existuje približne 75 000 až 85 000 škodlivých kódov (t.j. počítačových vírusov, červov a trójskych koní dohromady, vrátane ich jednotlivých variantov). Ďalší vývoj v oblasti škodlivých kódov sa postupne menil v závislosti od napredovania možností operačných systémov a masovo používaných aplikácií pochádzajúcich od spoločnosti Microsoft. Zatiaľ čo na počiatku existovali len boot a súborové vírusy, neskôr sa do popredia začali dostávať aj dokonalejšie – rezidentné, polymorfné, stealth, multiparitné a mnohé iné škodlivé kódy. Dosť výrazným medzníkom medzi klasickými počítačovými vírusmi písanými pre OS MS DOS a vírusmi modernými sa stal svojho času nový OS MS Windows 95. Jeho tvorcovia síce sľubovali veľkú odolnosť a ochranu proti škodlivým kódom, ale ako už iste každý dnes dobre vie, ostalo iba pri sľuboch. Operačný systém MS Windows 95 priniesol so sebou obrovské množstvo nových funkcií pre používateľov, pre ich pohodlie i prácu. Tvorcovia počítačových vírusov vďaka tomu získali nové možnosti na rýchlejšie a efektívnejšie šírenie svojich výtvorov medzi desiatky i stovky tisíc používateľov. V tomto prípade nemožno zabúdať ani na to, že s nástupom nového systému sa do popredia začal čoraz viac dostávať aj internet a jeho služby. Skôr než však internet ukázal svetu svoje temné stránky, prezentoval sa opäť Microsoft so svojim vylepšeným produktom MS Office. Ten so sebou priniesol integrovaný, odľahčený programovací jazyk Visual Basic for Applications, ktorý sa vo veľmi krátkom čase stal ďalším silným nástrojom pre tvorcov vírusov, resp. makrovírusov. Softvérový gigant Microsoft samozrejme nezaháľal a v každej novej verzii OS MS Windows takpovediac nevedome prinášal niečo nové – zaujímavé pre tvorcov škodlivých kódov. Iste mnohí používatelia poznajú pojmy ako sú Visual Basic Script alebo Windows Scripting Host. Samozrejme, boli to dva hlavné nástroje, vďaka ktorým po ére makrovírusov nastúpila (... a ešte aj dnes doznieva) éra skript vírusov. Tie sa rovnako ako makrovírusy už dokázali
  9. 9. šíriť nielen v súboroch prenášaných prostredníctvom diskiet a kompaktných diskov, ale aj priamo prostredníctvom internetu, najmä elektronickej pošty. Doba potrebná pre masové rozšírenie škodlivých kódov v celosvetovom meradle práve vďaka internetu a jeho relatívne neobmedzeným možnostiam klesla z pôvodných týždňov a dní na hodiny a neskôr až minúty. Hlavné slovo nakoniec získal internet, čoho výsledkom sú dnes všadeprítomné počítačové červy. Tie na rozdiel od počítačových vírusov nepotrebujú pre svoju existenciu hostiteľa (t.j. iný program, ktorý by infikovali), ale bohato im postačuje počítač s OS MS Windows 9x-2003, ktorý je nedostatočne zabezpečený, neaktualizovaný a je pripojený na lokálnu alebo globálnu počítačovú sieť. Moderné červy sa dokážu šíriť ako skryté samoaktivujúce sa prílohy emailových správ, ako spustiteľné súbory prostredníctvom sieťovo zdieľaných jednotiek a pod.. Škodlivé kódy sa snažia toho času zneužiť, či skôr vo svoj prospech využiť každú nepozornosť zo strany používateľa a všetky nedostatky zo strany AV-systému i samotného OS MS Windows. Ako sa zvykne hovoriť, „dobre už bolo a lepšie už byť nemôže...“. Do budúcna treba očakávať, že škodlivé kódy nám všetkým budú znepríjemňovať život čoraz viac a čoraz intenzívnejšie. Nebude trvať dlho a moderné škodlivé kódy budú schopné útočiť nielen na najnovšie OS a masovo používané aplikácie, ale aj na mobilné zariadenie, ktoré dnes zažívajú výrazný rozmach. Využívanie nových počítačových vírusov, červov alebo trójskych koní pri činnosti hackerov tiež nie je vylúčené a dokonca stretnúť sa s takýmito aktivitami môžeme už dnes. Rovnako treba počítať aj s tým, že čoraz viac škodlivých kódov bude vo svete používaných pre rozvoj spamu, či inak povedané nevyžiadanej – najčastejšie reklamne ladenej emailovej pošty. Alarmujúce sú pritom aj odhady mnohých zahraničných odborníkov, ktorí tvrdia, že už onedlho bude práve spam tvoriť viac ako 50 % celosvetovej emailovej komunikácie a bude výraznejšie prispievať k „spomaľovaniu a zdražovaniu“ vybraných služieb siete internet. S ohľadom na budúcnosť musíme brať do úvahy aj nové techniky v oblasti programovania škodlivých kódov, ktoré im budú možno už čoskoro umožňovať vzájomnú efektívnu a rýchlu komunikáciu prostredníctvom rozsiahlych a početných wormnetov6 , ochranu vlastných zdrojov prostredníctvom asymetrického šifrovania, ... . Prekvapením by určite nemali byť ani počítačové vírusy, či skôr červy využívajúce pri svojej činnosti princípy genetického programovania. Nepríjemnou novinkou, ktorá bude v budúcnosti vo výraznej miere ohrozovať používateľov počítačov je existencia internetových červov (... ako napríklad: CodeRed, Slammer, Blaster či Welchia). Ich doménou na rozdiel od emailových červov je to, že sa nešíria medzi počítačmi na úrovni súborov, ale priamo na úrovni dát zasielaných z jedného počítača na druhý prostredníctvom počítačovej siete. Hlavným rizikom pre našu spoločnosť je v tomto ohľade práve všadeprítomná počítačová sieť, do ktorej by za pár rokov podľa predstáv mnohých „IT vizionárov“ mohli byť pripojené nielen počítače, ale aj moderné zariadenia, prístroje a možno aj inteligentné domáce spotrebiče. Chronologický prehľad udalostí od roku 1945 do 2004, ktoré priamo i sprostredkovane súvisia s vývojom smerujúcim k vzniku prvých počítačových vírusov a neskôr aj ďalších škodlivých kódov je dostupný v závere tejto publikácie – Príloha 1. 6 Wormnet predstavuje privátnu komunikačnú sieť vytvorenú medzi aktívnymi škodlivými kódmi [24, 38].
  10. 10. ZZÁÁVVEERR Obsah tejto diplomovej práce je venovaný informačnej bezpečnosti z hľadiska problematiky škodlivých kódov a AV-ochrany pracovných staníc s OS MS Windows 9x- 200x. Výber tejto témy nebol v žiadnom prípade náhodný. Udalosti odohrávajúce sa v uplynulých dvoch až troch rokoch na scéne škodlivých kódov nám jasne prezentovali, akú hrozbu pre spoločnosť predstavujú masovo sa šíriace emailové a internetové červy, ktoré dokážu v priebehu niekoľkých hodín infikovať státisíce počítačových systémov po celom svete. To je jeden z dôvodov, ktorý ma viedol k napísaniu práce, ktorá poskytuje detailnejší pohľad na túto pálčivú problematiku a zároveň ponúka používateľom počítačov aj isté východiská, ako sa účinne chrániť proti existujúcim hrozbám modernej informačnej doby. Doby, kedy sú najdôležitejším artiklom informácie, ktoré si každý jednotlivec i spoločnosť musí vedieť dokonale chrániť a vedieť ich náležite zúročiť. Mojou snahou bolo vytvoriť relatívne systematický pohľad na históriu škodlivých kódov, na možné spôsoby ich klasifikácie i na nepríjemné dôsledky, ktoré môžu byť spojené s ich útokom na počítačové systémy. Okrem teoretických informácií majú čitatelia k dispozícií prehľad niektorých informačných zdrojov, ktoré môžu dlhodobo a efektívne používať pri získavaní nových poznatkov o škodlivých kódoch i v boji proti nim. Poukázané je tiež na reálne hrozby, ktoré škodlivé kódy predstavujú pre jednotlivcov i celú spoločnosť. Nevyhol som sa ani problematike kyberterorizmu, či inak povedané cieleným alebo náhodným útokom škodlivých kódov na strategické armádne, politické, finančné a iné ciele. V ďalšej časti práce som venoval pozornosť rozdeleniu prostriedkov použiteľných pre účinnú ochranu proti škodlivým kódom. Mojim cieľom bolo poukázať na to, z akých modulov pozostávajú moderné AV-systémy, ako približne fungujú a aké formy ochrany a zabezpečenia poskytujú svojim používateľom. Je dôležité, aby si používatelia uvedomili, že o ochranu počítačových systémov sa musia zaujímať neustále a nie len v čase masových epidémií spôsobených škodlivými kódmi. Musia sa naučiť rozlišovať skutočné útoky spôsobené škodlivými kódmi alebo inými narušiteľmi, od nepríjemných falošných poplachov. Zároveň nemožno prehliadať ani tú skutočnosť, že súčasnú AV-ochranu už nie je možné vytvárať len použitím AV-systémov, ale aj prostredníctvom doplnkových foriem ochrany. V neposlednom rade je poukázané na možnosti eliminácie jednotlivých typov škodlivých kódov a problémy i škody, ktoré pri tejto aktivite môžu vzniknúť či už činnosťou AV-systémov alebo samotných používateľov. Pochopenie vzájomných súvislostí medzi fungovaním škodlivých kódov, AV-systémov i OS MS Windows, by malo používateľom napomôcť pri ochrane ich počítačových systémov a prispieť k minimalizácii strát z hľadiska času i finančných prostriedkov potrebných na obnovu napadnutých a poškodených dát. V tejto oblasti navyše treba neustále počítať s tým, že každý softvér, ktorý vytvoril človek môže okrem svojich požadovaných funkcií skrývať vo svojom kóde viaceré nedostatky. Tie môžu útočníkom umožniť jeho narušenie a prípadný prienik do systému, ktorý môže byť spojený s poškodením či odcudzením dôležitých dát používateľov. Všetci používatelia by preto svojim konaním a tiež starostlivosťou o používané počítačové systémy (... najmä na softvérovej úrovni), mali prispievať k tomu, aby škodlivé kódy nemali príliš veľkú šancu na „prežitie“.
  11. 11. Prax nám už viackrát potvrdila, že brať v tejto dynamicky sa rozvíjajúcej oblasti sveta informačných technológií ohľad na vek a dosiahnuté vzdelanie používateľov nie je podstatné. Dôležité je skôr hľadieť na to, aby čo najväčší počet používateľov počítačov dodržiaval aspoň základné princípy bezpečnosti pri sieťovej komunikácii. Počítačová sieť internet patrí nám všetkým a preto sme sami zodpovední za to, aké výhody nám bude v budúcnosti poskytovať a aké riziká budú spojené s jej používaním. Myšlienky a poznatky uvedené v tejto diplomovej práci by mali napomôcť používateľom počítačových systémov pochopiť, že škodlivé kódy predstavujú pre nich istú hrozbu. Netreba sa jej však báť a vnímať prípadnú prítomnosť škodlivých kódov v systéme ako neriešiteľný problém, ktorý musí končiť stratou dát, novou inštaláciou systému, či dokonca poškodením dobrého mena osoby alebo firmy. Škodlivé kódy sú skôr „chorobou“ modernej informačnej doby, proti ktorej poznáme dostatočne účinné formy prevencie i ochrany, len sme sa ich zatiaľ nenaučili správne aplikovať v globálnom meradle. Do budúcnosti by malo byť našou spoločnou snahou venovať pozornosť otázkam týkajúcim sa tejto problematiky a vytvárať také prostredie a informačno-komunikačné systémy, ktorých prítomnosť v reálom svete nedá škodlivým kódom a ich tvorcom šancu na prežitie či uplatnenie. „Vo svete ktorého základ tvoria informačno-komunikačné systémy je najväčšou hrozbou pre celú spoločnosť práve človek. Ten dokáže tvoriť i ničiť to, čo vytvorili iní bez ohľadu na to, aké následky to bude mať na existenciu jeho samotného.“ Autor
  12. 12. PPOOUUŽŽIITTÁÁ LLIITTEERRAATTÚÚRRAA AA IINNFFOORRMMAAČČNNÉÉ ZZDDRROOJJEE [1] TRNKA, M.: Počítačové infiltrácie šírené elektronickou poštou a ochrana proti nim, Bezpečnosť dát 2002 (Zborník), AEC, Bratislava 2002. [2] JALŮVKA, J.: Moderní počítačové viry, Computer Press, Praha 2000. [3] COHEN, F.: Computer Viruses – Theory and Experiments, Fred Cohen, 1984. [4] KOVÁČ, P.: Vírusový underground, 5.seminár Počítačové vírusy, Bratislava 1998. [5] KASPERSKY, E.: Computer Viruses – What are they and how to fight them?, VirusList.com (www.viruslist.com). [6] LUDWIG, Mark A.: The Little Black Book of Computer Viruses, American Eagle Publications, Inc., Arizona 1996. [7] HAK, I.: Moderní počítačové viry (Bakalářská práce), Univerzita Hradec Králové, Fakulta informatiky a managementu, Katedra informatiky a kvantitatívních metod, Hradec Králové 2003. [8] CIEPŁY, M. – SKŁADZIEŃ, K.: Wirusy komputerowe – architektura komputerów, Wrocław 2001-2002. [9] NÁDENÍČEK, P. – PŘIKRYLOVÁ, O. – PŘIBYL, T. – VOBRUBA, T.: CHIP Speciál – Jak na počítačové viry, Vogel Publishing, Praha 2002. [10] TUHÁRSKY, P.: Vírusy a antivírusy (Bakalárska práca), Univerzita Mateja Bela, Fakulta prírodných vied, Katedra informatiky, Banská Bystrica 2000. [11] SOLOMON, A.: A Brief History of PC Viruses, S&S International, VDAT (The Computer Virus “Scene“ Database) – Cicatrix, 2000. [12] HRUSKA, J.: The Future of Computer Viruses, Sophos, Oxford (England) 1998. [13] CICATRIX: VDAT (The Computer Virus “Scene“ Database), Microsoft Word document macro virus (dokument), Data Fellows, 1996. [14] AITKEN, Peter G.: Windows Script Host 2.0 dávkové soubory pro Windows, Grada, Praha 2001. [15] VOBRUBA, T.: Červi – Noční můra internetu?, Bezpečnosť dát 2003 (Zborník), AEC, Bratislava 2003. [16] DŽUBÁK, J.: Hoax.cz (www.hoax.cz), 2001. [17] FITZGERALD, N.: A Virus by Any Other Name – Virus Naming Updated, Elektronická publikácia Virus Bulletin (1/2003), Virus Bulletin Ltd, Abingdon (England) 2003. [18] BAUDIŠ, P.: Chip: Antivirový koutek, Časopis CHIP (9/2003), Vogel Publishing, Praha 2003. [19] BENNY/29A: Situation in VX scene by Benny/29A, 29A e-Zine 6, 29A Labs 2003. [20] GORDON, S.: Virus Writers (Part 1), Elektronická publikácia Virus Bulletin (5/1999), Virus Bulletin Ltd, Abingdon (England) 1999.
  13. 13. [21] GORDON, S.: Virus Writers (Part 2), Elektronická publikácia Virus Bulletin (6/1999), Virus Bulletin Ltd, Abingdon (England) 1999. [22] GORDON, S.: Virus Writers (Part 3), Elektronická publikácia Virus Bulletin (7/1999), Virus Bulletin Ltd, Abingdon (England) 1999. [23] KOVÁČ, P.: Právne aspekty vírusových infiltrácií, Bezpečnosť dát 2003 (Zborník), AEC, Bratislava 2003. [24] ZALEWSKI, M.: I don`t think I really love you (lcamtuf.coredump.cx/worm.txt), California, U.S.A. 1998-2000. [25] LEPIŠ, M.: I-Worm.Serotonin (www.virusy.sk/clanok.ltc?ID=316), Informačný web server Vírusy.sk, 2003. [26] PŘIBYL, T.: Kyberterorismus, Bezpečnosť dát 2003 (Zborník), AEC, Bratislava 2003. [27] VELDMAN, F.: Heuristics Anti-Virus Compatibility, ESaSS B.V., 1994-1995. [28] LOHNISKÝ, J.: Rakovina internetu, Časopis Computer (1/2004), Computer Press, Praha 2004. [29] DILLARD, K. – MALDONADO, J. – WARRENDER, B.: Windows Server 2003 Security Guide (elektronická príručka), Microsoft Corporation, 2003. [30] ESENKOLB, K. – GÖKHAM, M. – WEICKARDT, H.: Bezpečnost Windows 2000/XP, Computer Press, Praha 2003. [31] CAFOUREK, B. – BŘEHOVSKÁ, J.: 1001 tipů a triků pro Microsoft Windows 2000 Server a Professional, Computer Press, Praha 2001. [32] Microsoft Corporation: Microsoft Windows 2000 Professional Resource Kit, Computer Press, Praha 2000. [33] BEGNALL, B. – BROOMES, O. Chris – RUSSELL, R.: E-mail Virus Protection HandBook, Syngress Publishing Inc., 2000. [34] LEPIŠ, M.: Informačný web server Vírusy.sk (www.virusy.sk), 2001-2004. [35] BENNY/29A: I-Worm.Serotonin, 29A e-Zine 6, 29A Labs 2003. [36] BENNY/29A: Wormz in 21st century by Benny/29A, 29A e-Zine 5, 29A Labs 2000. [37] KERBS, B.: A Short History of Computer Viruses and Attacks, Washington Post (14/02/2003). [38] NAZARIO, J.: The Future of Internet Worms (www.crimelabs.net), CrimeLabs Research, 2001. [39] KASPERSKY, E.: AVP Virus Encyclopedia – Computer Virus Classification, Kaspersky Lab, 1999. [40] MULVENON, J.: Taiwan and the Revolutions in Military Affairs, The RAND Corporation, 2003. [41] TRNKA, M.: Nové trendy v heuristickej analýze, Bezpečnosť dát 2001 (Zborník), AEC, Bratislava 2001.
  14. 14. PPRRÍÍLLOOHHYY PPRRÍÍLLOOHHAA 11 Chronológia najvýznamnejších udalostí zo sveta škodlivých kódov PPRRÍÍLLOOHHAA 22 Manuálna eliminácia škodlivých kódov
  15. 15. CCHHRROONNOOLLÓÓGGIIAA NNAAJJVVÝÝZZNNAAMMNNEEJJŠŠÍÍCCHH UUDDAALLOOSSTTÍÍ ZZOO SSVVEETTAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV Vzhľadom na to, že toho času neexistuje v žiadnej dostupnej slovenskej a českej literatúre detailnejší pohľad na významné udalosti – medzníky zo sveta škodlivých kódov rozhodli sme sa v samostatnej prílohe venovať pozornosť chronológii udalostí, ktoré sa v tejto oblasti udiali za posledných viac ako tridsaťpäť rokov. [1, 5, 11, 12, 34, 37] Admirál Grace Murray Hopper objavil v počítačových systémoch amerického námorníctva medzi reléovými prvkami moľu, ktorú označil pojmom „bug“. Toto označenie sa zachovalo až do dnešných dní, pričom charakterizuje chybu objavenú v elektronických zariadeniach i softvérových aplikáciách. Hooper zaviedol tiež pojem „debugging“ pre označenie procesu, pri ktorom dochádza k odstráneniu chyby objavenej v počítačovom systéme. Americký vedec (... maďarského pôvodu) John von Neumann prezentoval teóriu o samočinne fungujúcich programoch, ktoré pri svojej činnosti využívali pre dočasné uloženie informácií pamäť. Táto teória sa neskôr stala odrazovým mostíkom pri tvorbe prvých pokusných a následne aj moderných počítačových programov a samozrejme aj vírusov. V týchto rokoch, kedy svetu dominovali veľké sálové systémy sa stretávame s programami označovanými pojmom „králiky“ (the rabbits). Ich úlohou bolo vytvárať nové kópie seba samých výlučne v lokálnom systéme (t.j. nedokázali sa šíriť na iné počítače), čím zmenšovali jeho dostupné voľné prostriedky. Prvý incident podobný počítačovému vírusu prezentoval program nazvaný „Pervading Animal“, ktorý sa dokázal šíriť na systémoch Univax 1108 takým spôsobom, že pripájal svoj vlastný kód na koniec spustiteľných súborov. Výskumníci z Bellových laboratórií (Victor Vyssotsky, Douglas McIlroy a Robert Morris Sr.) pokusne vytvorili hru nazvanú „Darwin“. Tá inšpirovaná skutočnou evolučnou teóriou simulovala boj medzi malými programami, ktorých úlohou bolo získať dominanciu vo vymedzenom digitálnom priestore. Zaujímavé na tejto hre bolo to, že práve pán Morris rozšíril jej kód natoľko, že každý novo vznikajúci a vyvíjajúci sa program neskôr útočil nielen na konkurentov, ale aj svojich vlastných potomkov. Hra bola koncipovaná pre systémy IBM 7090. Bobom Thomasom bol vytvorený vírus „The Creeper“ fungujúci v rámci OS Tenex, ktorý sa šíril prostredníctvom v tom čase existujúcej globálnej počítačovej siete. Dokázal pristupovať k modemu a prenášať kópie seba samého na vzdialené systémy. Pre odstránenie tohto vírusu bol po prvý raz použitý špecializovaný „antivírusový“ program. Výskumníci John Shock a John Hepps zo spoločnosti Xerox pokusne vytvorili niekoľko počítačových červov, t.j. krátkych programov, ktoré im mali napomôcť pri vykonávaní rutinných operácií v počítačovej sieti. Postupný vývoj 1945 1949 1960 – 1970 1961 1971 1979
  16. 16. červov sa však uberal iným smerom, než pôvodne zamýšľali ich tvorcovia, a skončil nakoniec kolapsom počítačových systémov a výpadkom počítačovej siete. I napriek tomu sadu experimentálnych červov od Johna Shocka a Johna Heppsa mnohí až dodnes považujú za akýchsi praotcov moderných počítačových červov, ktoré sa začali objavovať v neskoršom období. Popularizácia počítačov priniesla vývoj aj na strane počítačových aplikácií, ktoré tvorili už nielen softvérové firmy, ale aj jednotlivci z radov používateľov. Zaznamenaný bol nárast voľne šíriteľných programov pomocou sietí typu BBS (Bulletin Board System). Medzi poskytovanými programami sa začali objavovať také exempláre – podobné trójskym koňom, ktoré okrem prezentovaných činností vykonávali aj skryté operácie. Na počítačových systémoch Apple II bol objavený boot vírus „Alk Clener“, ktorý vkladal svoje telo do boot sektoru pružných diskov, odkiaľ sa dokázal aktivovať pri každom štarte OS. Jeho sprievodnými prejavmi bolo vypínanie obrazovky, zobrazovanie rôznych správ i blikanie a padanie písmen. Američan Fred Cohen položil všeobecné teoretické i praktické základy v oblasti samoreplikujúcich sa programových kódov. Definoval podstatu i význam pojmu počítačový vírus a zároveň na počítači VAX 11/750 s OS Unix prezentoval praktickým pokusom7 výsledky dosiahnuté vo výskume samoreplikujúcich sa kódov. Na svete sa objavil prvý moderný počítačový boot vírus nazvaný Brain, ktorého tvorcami boli Basit a Amjad Farooq Alviovci z pakistanského Lahoru. Veľkosť tohto nedeštruktívneho vírusu bola podľa dostupných zdrojov necelý 3 kB, pričom implementovaná v ňom bola aj maskovacia (tzv. stealth) technológia, ktorá mala sťažiť jeho priamu identifikáciu. Vírus dokázal infikovať výlučne boot sektory nízko kapacitných pružných diskov, pričom ich názov menil na „@BRAIN“ alebo „(c)BRAIN“. Jedinečnosť tohto vírusu spočívala navyše v tom, že jeho tvorcovia boli známi nielen pod svojimi prezývkami, ale aj pod skutočnými menami, vrátane miesta ich pôsobiska. Nasleduje ukážka textu, ktorý bol súčasťou kódu tohto vírusu [4]: Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE : 430791, 443248, 280530. Beware of this VIRUS.... Contact us for vaccination............ Programátor Ralph Burger vytvoril demonštračný program nazvaný „VirDem“, ktorý dokázal pripájať svoje vlastné telo do kódu spustiteľných programov v OS MS DOS. O rok neskôr napísal knihu „Computer Viruses: A High-tech 7 Niektoré informačné zdroje uvádzajú, že vytvorenie prvého pokusného samoreplikujúceho sa kódu trvalo F. Cohenovi približne 8 hodín. 1980 1981 1983 1986 1986
  17. 17. Disease“, v ktorej prezentoval princíp fungovania vírusu Vienna, čím otvoril brány do sveta počítačových vírusov stovkám používateľov počítačov – najmä programátorom. V októbri bola objavená prvá kópia vírusu Brain na diskete so záverečnou prácou jedného zo študentov na americkej University of Dalaware. Následne sa zistilo, že tento vírus je rozšírený v celosvetovom meradle, v relatívne veľkom počte kópií. Vo svete sa podarilo odhaliť viaceré ďalšie počítačové vírusy, ako napríklad Vienna (... s pravdepodobnosťou 1:8 reštartoval počítač), Lehigh (... infikoval výlučne súbor COMMAND.COM), Suriv-1 (... infikoval všetky .COM súbory), Suriv-2 (... infikoval ako prvý všetky .EXE súbory) a Suriv-3 (... infikoval .COM aj .EXE súbory). V rôznych častiach sveta boli identifikované nové boot vírusy, ako napríklad Stoned na Novom Zélande, PingPong v Taliansku a Yale v Spojených štátoch amerických. Istým prevratom v oblasti tvorby škodlivých kódov bol prvý šifrovaný súborový vírus Cascade. Na pôde významných svetových firiem a univerzít sa dosť nečakane v piatok trinásteho8 prezentoval počítačový vírus Jerusalem. Podstata jeho činnosti spočívala v ničení súborov, ktoré sa používatelia pokúsili v osudný deň spustiť na infikovanom počítači. Bol to prvý okamih, kedy si spoločnosť uvedomila skutočné riziko, ktoré pre počítačové systémy predstavujú škodlivé kódy. Zároveň sa ukázala potreba vývoja softvérových produktov určených pre vyhľadávania a odstraňovanie existujúcich počítačových vírusov, červov a trójskych koní – t.j. aplikácií, ktoré dnes väčšina pozná pod označením AV-systémy. Po prvý raz v histórii sa začal šíriť počítačovou sieťou ARPANET skutočný internetový červ známy ako Morrisov červ, ktorého autorom bol 23-ročný Robert Morris Jr.. Tento červ dokázal v priebehu krátkeho času infikovať viac ako 6 000 počítačových systémov v Spojených štátoch amerických a doslova paralyzovať vtedajšiu počítačovú sieť na desiatky hodín. Medzi systémami, ktoré v tom čase „padli za obeť“ boli aj počítače výskumného inštitútu NASA. Celkové odhadované škody, ktoré vznikli jeho činnosťou boli vyčíslené na 96 miliónov amerických dolárov. Mladý pán Morris bol ako tvorca tohto červa identifikovaný a potrestaný – zaplatiť musel pokutu vo výške 10 000 dolárov a dostal trest v dĺžke trvania troch rokov. Počítačový vírus Datacrime prišiel s novinkou, ktorou bola časovo podmienená aktivácia prebiehajúca od 12. októbra do 31. decembra. Počas uvedeného obdobia sa vírus snažil formátovať pevné disky infikovaných systémov. Jeho existencia spôsobila najmä v krajinách ako Holandsko a Veľká Británia nemalú hystériu a strach z počítačových vírusov. Koncom roka sa na scéne objavil trójsky kôň AIDS, ktorý bol rozdistribuovaný medzi 20 000 používateľov ako informačná disketa o chorobe AIDS. V skutočnosti sa trójsky kôň po 90 reštartoch systému postaral o zašifrovanie všetkých uložených súborov na pevnom disku a nastavil im atribút skryté. Jediným viditeľným súborom bol odkaz, ktorý nútil používateľov poslať takmer 200 dolárov na adresu v Paname, ako poplatok za obnovenie zašifrovaných dát. Autor tohto škodlivého kódu bol identifikovaný, uznaný vinným a nakoniec aj odsúdený. 8 Bez ohľadu na aktuálny mesiac dochádzalo v piatok trinásteho k aktivácii deštruktívnej rutiny počítačového vírusu Jerusalem. 1987 1988 1988 1989
  18. 18. Objavujú sa prvé polymorfné vírusy (napríklad Chameleon), ktoré dokážu premenlivo šifrovať celé svoje telo, pričom na jeho počiatku obsahujú dôležitú dešifrovaciu rutinu. Vzhľadom na neustálu premenlivosť výsledných infikovaných súborov bolo potrebné výrazne rozšíriť existujúce skenovacie technológie v AV-systémoch. Najproduktívnejšou krajinou v tvorbe škodlivých kódov sa stalo Bulharsko, v ktorom vznikla aj prvá sieť typu BBS zameraná na výmenu počítačových vírusov a s nimi súvisiacich informácií. Značnú aktivitu vykazoval tiež bulharský pisateľ vírusov známy ako Dark Avenger. Veľmi často sa začína objavovať tendencia tvorcov vírusov integrovať ich nové výtvory do voľne šíriteľných programov. Vo Veľkej Británii bolo po prvý raz predaných približne 50 000 kusov počítačového magazínu PC Today s priloženou disketou, ktorá bola infikovaná vírusom DiskKiller. Počet škodlivých kódov výraznejšie stúpol na takmer 1000 exemplárov. Na softvérovom trhu sa začali predávať viaceré AV-systémy. V apríli svet zachvátila epidémia, ktorú spôsobil multiparitný, plne polymorfný vírus Tequila. V letných mesiacoch sa o horúce chvíle používateľom počítačov postaral prvý adresárový9 vírus Dir- II. V septembri sa v Európe objavil ďalší polymorfný vírus Maltese Amoeba. Dark Avenger prezentoval „vírus“, ktorý dokázal nadobudnúť až 4 000 000 000 rôznych podôb. Nakoniec sa ukázalo, že nejde ani tak o vírus ako o prvý polymorfný generátor vírusov MtE (tzv. Mutation Engine). Vírus Michelangelo vyvolal vlnu hystérie hneď potom ako jedna nemenovaná americká spoločnosť predpovedala, že infikuje počas svojej aktivity približne 5 000 000 počítačov. Realita bola našťastie taká, že infikovaných bolo menej ako 10 000 systémov. Bulharský tvorca vírusov Dark Avenger prichádza v tomto roku s ďalšou pozoruhodnou novinkou nazvanou Commander Bomber, ktorá umožňuje umiestniť kód počítačového vírusu kamkoľvek do spustiteľných súborov. AV-spoločnosti boli v mnohých prípadoch nútené opäť výraznejšie prepracovať svoje AV-systémy, iné naopak nezvládli situáciu a boli nútené časom ukončiť svoje pôsobenie na trhu. V druhej polovici roka sa na internete objavili nové generátory vírusov, ako napríklad VCL (Virus Creation Laboratory) a PS-MPC (Phalcom/Skism Mass-Produced Code Generator). V Spojených štátoch amerických a Európe sa objavujú jednotlivci, ktorí začínajú za peniaze ponúkať zbierky počítačových vírusov. Tento rok by sa dal nazvať obdobím, kedy sa tvorcovia škodlivých kódov snažili prezentovať svoje nové najčastejšie polymorfné vírusy a generátory podporujúce ich rýchlu a hromadnú produkciu. Typickými príkladmi generátorov vírusov sú TPE (Trident Polymorphic Engine), NED (Nuke Encryption Device) alebo DAME (Dark Angel’s Multiple Encryptor). Výsledkom aktivít tvorcov škodlivých kódov bol rastúci počet škodlivých kódov i vírusových incidentov v rôznych krajinách. 9 V anglickej literatúre sa označuje pojmom Link Virus alebo Cluster Virus. Podstata jeho činnosti spočíva v tom, že neinfikuje konkrétny súbor, ale presmeruje ukazovateľ prvej alokačnej jednotky daného súboru v rámci FAT na telo vírusu. Pri spustení takto „upraveného súboru“ sa najprv aktivuje a umiestni do pamäte vírus, ktorý následne zabezpečí aktiváciu „infikovaného súboru“. 1990 1991 1992 1993
  19. 19. S rozvojom kompaktných diskov obsahujúcich okrem hudby aj softvér sa čoraz viac dostávali do popredia možnosti šírenia sa škodlivých kódov na novom type vysokokapacitných médií. Vo Veľkej Británii sa objavili dva komplikované polymorfné počítačové vírusy nazvané SMEG.Pathogen a SMEG.Queeg, ktoré sa rozšírili medzi širšie masy používateľov sieťou BBS. V lete bol autor polymorfného generátora vírusov SMEG (Simulated Metamorphic Encryption Generator), skrývajúci sa pod prezývkou Black Baron, zadržaný políciou. Postupne sa objavovali aj vírusy ako Shifter a SrcVir, ktoré dokázali infikovať objektové moduly a súbory obsahujúce zdrojové kódy jazykov C a Pascal. Jednu z najväčších epidémií v histórii odštartovali vírusy OneHalf (... postupne šifroval obsah disku od poslednej alokačnej jednotky a pri každom reštarte sa posunul o dve alokačné jednotky ďalej, až kým nezašifroval celý disk) a neskôr aj 3APA3A. Vo februári sa jednému beta testerovi podarilo objaviť na jednej z diskiet obsahujúcich demonštračnú verziu novo vyvíjaného OS MS Windows 95 vírus Form. Najvýznamnejším obdobím v tomto roku sa však stal mesiac august, kedy sa na svete objavil prvý makrovírus nazvaný Concept. Ten bol schopný infikovať dokumenty vytvorené v aplikácii MS Word a odštartoval tým novú éru. Éru makrovírusov, ktoré v krátkom čase vytlačili z celosvetových štatistík škodlivých kódov staré počítačové vírusy a červy. Tvorbou makrovírusov sa začalo zaoberať veľké množstvo používateľov, nakoľko ich hlavný programovací jazyk Visual Basic for Applications bol priamou súčasťou každej inštalácie kancelárskeho balíka MS Office. AV-spoločnostiam sa poradilo identifikovať prvý počítačový vírus Win95/Boza schopný infikovať súbory v OS MS Windows 95 a zároveň aj prvý makrovírus Laroux pre aplikáciu MS Excel. Bezpečnostné nedostatky nového OS MS Windows 95 využil koncom roka pri svojom šírení prvý pamäťovo-rezidentný vírus Win95/Punch, fungujúci na princípe systémového virtuálneho ovládača, ktorý dokázal infikovať spustiteľné súbory počas ich aktivácie. Nárast počtu škodlivých kódov bol v tomto období výrazný. Podľa odhadov AV-spoločností bolo dokumentovaných takmer 8 000 exemplárov rôznych typov škodlivých kódov. Spomenuté udalosti opäť donútili tvorcov AV-systémov vylepšiť skenovacie algoritmy jednotlivých AV-skenerov a doplniť do nich množstvo nových funkcií. Okrem nedostatkov OS MS Windows 95 a následne aj MS Windows NT sa čoskoro ukázalo, že ani OS Linux nie je úplne bezpečným systémom. Objavený bol prvý vírus pre OS Linux nazvaný Bliss. Na softvérový trh prišiel kancelársky balík MS Office 97, ktorý rozšíril možnosti spracovania dokumentov a rovnako aj možnosti tvorby dokonalejších a komplexnejších makrovírusov. Umožnil dokonca konverziu starých makrovírusov do nového prostredia, čím razantne vzrástol počet ich rôznych variantov. Pozornosť si v tomto smere zaslúži aj červ Homer, ktorý sa dokázal šíriť prostredníctvom počítačovej siete, resp. protokolu FTP a vírus Esperanto, ktorý ako prvý na svete dokázal infikovať spustiteľné súbory v rámci OS MS DOS, MS Windows a tiež MacOS. Koncom 1994 1995 1996 1997
  20. 20. roka sa prostredníctvom komunikačných sietí IRC10 začali šíriť prvé počítačové červy, ktoré využili bezpečnostnú chybu objavenú v aplikácii mIRC. Stabilná pozícia softvérovej spoločnosti Microsoft na trhu, masová obľúbenosť jej produktov a postupne sa rozmáhajúci internet obrovskou mierou napomohli k rozvoju všetkých dovtedy existujúcich typov škodlivých kódov (... ich počet sa odhaduje na necelých 20 000 exemplárov). K slovu sa po dlhšej odmlke prihlásili aj niektoré trójske kone, prostredníctvom ktorých sa ich tvorcovia snažili získať dôležité prístupové kódy, heslá a iné informácie (príkladom sú BackOrifice a NetBus). Rozvoj makrovírusov pokračoval ďalej, pričom objavený bol prvý makrovírus nazvaný AccessiV pre databázový systém MS Access a následne aj univerzálny makrovírus Tristate, ktorý dokázal infikovať dokumenty aplikácií MS Word, MS Excel a MS PowerPoint. Polymorfné vírusy Win95/HPS a Win95/Marburg do istej miery „prekvapili“ AV-spoločnosti, ktoré neboli na takto koncipované škodlivé kódy pripravené a museli opäť inovovať skenovacie algoritmy implementované vo svojich AV-systémoch. V júni sa objavil vírus Win95/CIH11 , ktorý infikoval spustiteľné súbory v rámci OS MS Windows 9x-NT a každý 26. deň v mesiaci aktivoval svoju deštruktívnu rutinu, ktorá dokázala prepísať pôvodný obsah Flash BIOSu. Výsledkom, najmä na novších počítačoch, bolo poškodenie matičnej dosky a úplné znefunkčnenie počítača. K masovému rozšíreniu tohto vírusu prispel značný počet vo svete rozšírených a žiaľ infikovaných kópií niektorých populárnych počítačových hier. V druhej polovici roka bol objavený prvý vírus schopný infikovať spustiteľné súbory jazyka Java, ktorý získal označenie Java.StangeBrew. November priniesol ďalšie dve novinky v podobe prvého skript vírusu VBScript.Rabbit, ktorý dokázal infikovať súbory obsahujúce Visual Basic Script kódy a následne aj vírusu HTML.Internal, ktorý ako prvý na svete dokázal infikovať HTML stránky. Po uplynulom roku bohatom na technologické novinky svet dúfal, že zažije konečne jeden pokojný a škodlivými kódmi minimálne poznačený rok. Opak bol pravdou, nakoľko rok 1999 sa niesol v znamení škodlivých kódov šíriacich sa prostredníctvom príloh emailových správ. Začiatkom roka sa o „zábavu“ postaral červ Win32/SKA12 , ktorý na pozadí pekného farebného ohňostroja infikoval jeden počítač za druhým. Netrvalo dlho a prvú vlnu celosvetovej epidémie odštartoval 26. marca makrovírus Melissa, ktorý využil prílišnú dôverčivosť a zvedavosť používateľov elektronickej pošty. Šíril sa ako dokument vytvorený v aplikácii MS Word tvoriaci prílohu emailových správ s textom, nabádajúcim používateľov k jeho otvoreniu. Tí, čo podľahli a dokument otvorili aktivovali zároveň aj skryté makro obsahujúce vírus. Jeho úlohou bolo rozposlať kópiu dokumentu aj s makrovírusom na 50 ďalších emailových adries. Autor tohto makrovírusu David Lee Smith bol zadržaný a neskôr odsúdený. Prehliadnuť sa nedala ani aktivita vírusu Win32/CIH a masová epidémia spôsobená červom Win32/ExploreZIP, ktorý vyhľadával na pevných diskoch niekoľko najpoužívanejších súborov ( na základe ich prípony) a skracoval ich na nulovú veľkosť (t.j. nenávratne odstránil ich pôvodný obsah). Za zmienku ešte stojí spomenúť objavenie červov VBS/BubbleBoy a VBS/Kakworm, ktoré v praxi prezentovali 10 Skratka IRC znamená Internet Relay Chat. Jedná sa o on-line komunikáciu väčšieho počtu používateľov zoskupených do tzv. diskusných skupín – kanálov. 11 Známy tiež pod označením Chernobyl (Černobyl). 12 Občas prezývaný aj ako Happy99. 1998 1999
  21. 21. možnosť aktivácie škodlivého kódu tvoriaceho súčasť emailovej správy už pri jej zobrazení – čítaní (... vďaka bezpečnostnej chybe v aplikácií MS Internet Explorer, MS Outlook a MS Outoolk Express). AV-spoločnostiam sa podarilo identifikovať prvý makrovírus pre aplikáciu AutoCAD, nazvaný ACAD.Star a rovnako aj vírus Win2000/Installer13 , ktorý si získal pozornosť najmä preto, že predstavoval prvý škodlivý kód určený pre nový OS MS Windows 200014 . Zatiaľ čo tieto dva škodlivé kódy používateľov počítačov príliš neohrozovali, úplne iná situácia nastala v prípade červa ILoveYou15 , ktorý sa začal šíriť 4. mája 2000. Jednalo sa o epidémiu dovtedy nevídaných rozmerov, ktorá postihla v priebehu niekoľkých desiatok hodín milióny počítačových systémov po celom svete. Zároveň donútila tvorcov AV-systémov zamyslieť sa nad koncepciou AV-bezpečnosti, ktorá sa postupne okrem kontroly spustiteľných súborov musela rozšíriť, aj na kontrolu súborov obsahujúcich rôznorodé skript kódy a prijímané emailové správy, vrátane ich príloh. Postupom času sa objavilo ešte takmer tridsať modifikovaných variantov tohto červa, ktoré však nezaznamenali taký výrazný úspech ako prvý variant červa ILoveYou. Tento rok priniesol aj ďalší komplexne navrhnutý škodlivý kód nazvaný Win32/MTX, ktorý pozostával z vírusu, červa, zadných vrátok simulujúcich jednoduchý FTP server a skriptu pre IRC klient aplikácie. Na prelome rokov 2000 a 2001 sa začali objavovať červy založené na technológii plug-in modulov. Typickým príkladom je červ Win32/Hybris, ktorý sa šíril ako spustiteľná príloha emailových správ, schopná len infiltrácie do systému. Všetky ďalšie moduly a tým aj možnosti svojho pôsobenia v infikovanom systéme si musel Win32/Hybris dodatočne, bez vedomia používateľa, stiahnuť z internetu. Rozmach počítačov i siete internet a ich postupný prienik do všetkých sfér spoločenského života vo výraznej miere „nahrával do kariet“ tvorcom škodlivých kódov, ktorí mohli v čoraz väčšej miere využívať pri svojich vírusoch a červoch nedostatky masovo používaných aplikácií i sociálneho inžinierstva. Objavovať sa postupne začali prvé vírusy naprogramované v jazyku PHP, určenom pre tvorbu dynamického obsahu HTML stránok. Zaujímavou českou novinkou sa stal multiplatformový vírus Win32/Linux.Winux schopný infikovať súbory ako v OS MS Windows, tak aj v OS Linux. Značný rozruch spôsobil skript vírus VBS/SST, ktorý sa mediálne zvykne označovať ako Anna Kurnikovova. Ten v priloženom súbore, tvoriacom súčasť masovo rozposielaných emailových správ, mal obsahovať obrázok mladej a príťažlivej ruskej tenistky. Namiesto obrázku bol však v súbore prítomný relatívne dosť chybový skript kód vytvorený pomocou známeho generátora skript vírusov nazvaného Kalamar VBSWG. Ďalší podobný trik sa snažil použiť červ Naked Wife, ktorý namiesto „nahej ženy“ ukázal používateľom len to, ako môžu prísť kvôli svojej dôverčivosti a ľahkovážnosti o dôležité systémové súbory. Extrémne nebezpečným škodlivým kódom sa stal Win32/Magistr, t.j. počítačový vírus a červ v jednom. Šíriť sa dokázal ako spustiteľná príloha emailových správ, ako spustiteľný súbor prostredníctvom sieťovo zdieľaných diskov a navyše dokázal infikovať aj spustiteľné 13 Jeho tvorcami bola dvojica mladíkov skrývajúcich sa pod prezývkami Benny/29A a Darkman/29A. Obidvaja boli toho času členmi španielskeho zoskupenia tvorcov škodlivých kódov nazvaného 29A Labs. 14 V tom čase spoločnosť Microsoft ešte len pripravovala jeho uvedenie na softvérový trh. 15 Neskoršie vyšetrovanie ukázalo, že autorom spomenutého červa bol Filipínec Onel de Guzman. Ten chcel veľmi podobnej koncipovaný škodlivý kód prezentovať vo svojej diplomovej práci, čo mu však 24. februára 2000 zamietol pracovník filipínskej AMA Computer College. 2000 2001
  22. 22. aplikácie v rámci OS MS Windows. Jeho deštruktívna rutina dokázala za istých podmienok poškodiť dáta uložené na disku i v pamäti typu CMOS a Flash BIOS. Ďalším masovo rozšíreným červom sa stal Win32/Sircam, ktorý sa rovnako ako jeho predchodcovia šíril vo forme príloh emailových správ. Navyše však z infikovaných systémov odosielal na získané adresy okrem svojho tela aj niektoré typy súborov a dokumentov, čo malo za následok početné úniky dôležitých súkromných i firemných informácií. Do histórie sa zapísal výrazne aj červ Win32/Badtrans (najmä jeho druhý variant). Internetový červ CodeRed po prvý raz v praxi prezentoval spôsob šírenia sa škodlivého kódu výlučne prostredníctvom počítačovej siete internet a jeho integráciu do vzdialeného systému bez nutnosti vytvorenia akéhokoľvek súboru na pevnom disku infikovaného počítača. V sieti sa snažil vyhľadávať a infikovať výlučne počítače s aktívnou službou Microsoft Internet Information Service, ktorá obsahovala vážnu bezpečnostnú dieru. Epidémia, ktorú svet v tom čase zažil bola natoľko masívna, že AV-spoločnosti na jednej strane a používatelia na strane druhej nestačili adekvátne zareagovať na prítomnosť tohto červa. Výsledkom boli desaťtisíce infikovaných systémov po celom svete. Jedným z najkomplexnejších škodlivých kódov sa stal červ Win32/Nimda, ktorý sa dokázal šíriť prostredníctvom príloh emailových správ, lokálnej počítačovej siete a v neposlednom rade aj pomocou HTML stránok umiestnených na infikovaných HTTP serveroch. Za zmienku navyše stojí aj červ Win32/Klez, ktorý sa šíril prostredníctvom emailových správ i sieťovo zdieľaných diskov a navyše vo svojom tele obsahoval ukrytý polymorfný parazitický vírus Win32/Elkern napádajúci spustiteľné aplikácie. Hneď v prvých dňoch roka 2002 sa na internete objavila správa o škodlivom kóde SWF/LFM.926, ktorý ako prvý na svete dokázal infikovať animácie vytvorené aplikáciou Macromedia Flash. Vzápätí z Čiech dorazila ďalšia novinka v podobe vírusu Win32/Donut, ktorý bol schopný infikovať súbory/aplikácie naprogramované v jazyku C#16 . Masového rozšírenia sa dočkali niektoré nové varianty červa Win32/Klez. K sviatku zamilovaných (t.j. na Valentína) používatelia dostali malý darček v podobe emailového červa Win32/Yaha. Experimentálnou ukážkou toho, ako možno infikovať informačný systém SAP R/3 sa stal vírus ABAP/RivPAS. Objavil sa tiež multiplatformový počítačový vírus Win32.Linux/Simile schopný infikovať spustiteľné súbory v OS Linux i OS MS Windows. Vírus nazvaný Win32/Perun ako prvý na svete infikoval súbory formátu JPEG – a to takým spôsobom, že na ich koniec pripojil svoj vlastný kód. S využitím bezpečnostnej diery objavenej v HTTP serveri Apache pre Linux sa sieťou internet začal šíriť internetový červ Linux/Slapper. Koncom roka prezentovali svoju silu dva nové červy Win32/BugBear a Win32/Opasoft, ktoré sa začali medzi používateľmi masovo šíriť prostredníctvom emailových správ so spustiteľnou prílohou. Prvý z nich okrem bežných činností obsahoval vo svojom kóde integrovaného trójskeho koňa určeného pre získavanie hesiel a zadné vrátka pre vzdialený prístup k zdrojom infikovaného systému. Druhý červ používal pri vyhľadávaní svojich nových obetí dosť účinný systém skenovania okolitých počítačových sietí, pričom sa dokázal šíriť za použitia systémovej služby NETBIOS medzi nedostatočne zabezpečenými počítačmi umiestnenými v lokálnej sieti. Najzaujímavejšou poplašnou správou roku 2002 bola informácia o tom, že americká FBI vyvíja softvér nazvaný Magic Lantern (tzv. kúzelná lampa), ktorý má záujem použiť na 16 V tom čase programovací jazyk C# (súčasť MS Visual Studio .NET) čakal na oficiálne uvedenie na trh. 2002
  23. 23. sledovanie aktivít v rôznych počítačových systémoch na svete. Táto informácia sa však dodnes nepotvrdila... . Začiatok roka odštartoval vcelku obyčajný červ Win32/Lirva, ktorý zneužil dočasnú popularitu mladej speváčky Avril Lavigne. Následne si istú mieru pozornosti vyslúžil český vírus Win32/Che, ktorý dokázal ako prvý rezidentný škodlivý kód na svete infikovať súbory s príponou .SYS (... tvoriace ovládače zariadení ako sú zvuková karta, sieťová karta, grafická karta a iné) v rámci OS MS Windows 2000/XP. Januárovou jednotkou sa i napriek spomenutým udalostiam stal internetový červ Win32/SQL.Slammer. Ten sa šíril sieťou internet „od počítača k počítaču“ prostredníctvom špeciálne upraveného UDP paketu o veľkosti 434 bajtov. Na počítačoch sa snažil identifikovať aktívny MS SQL Server 2000 a MS Desktop Engine 2000 (... bez nainštalovaného Service Packu 3) a v prípade jeho dostupnosti preniknúť do daného systému za použitia jednej z objavených bezpečnostných dier. V čase jeho najintenzívnejšieho šírenia boli vyradené z činnosti viaceré informačné systémy a dokonca aj celé časti počítačových sietí. Tomuto červovi sa podarilo preniknúť aj do privátnej počítačovej siete jadrovej elektrárne v Spojených štátoch amerických, kde infikoval existujúci MS SQL Server a následne vyradil z činnosti bezpečnostný monitorovací systém na približne 5 hodín. Pozoruhodnou technologickou novinkou sa stal ďalší český červ nazvaný I-Worm.Serotonin, ktorý využíval pri svojej činnosti princípy genetického programovania, komunikácie prostredníctvom decentralizovaného wormnetu, dokázal infikovať spustiteľné súbory určené pre platformu Microsoft .NET, šíriť sa prostredníctvom špeciálne upravených emailových správ a deaktivovať bezpečnostné i AV-systémy. V letných mesiacoch sa objavil červ Win32/BugBear.B, ktorý mal vo svojom tele zabudovaný jednoduchý keylogger a backdoor (... ktorých úlohou bolo kradnúť dôležité dáta, prístupové heslá a vybrané informácie zo systémov lokalizovaných vo významných bankách a bankových inštitúciách). Detailná analýza červa nakoniec potvrdila, že ide o polymorfný škodlivý kód s integrovaným, miniatúrnym HTTP server (... umožňujúcim priamy prístup k jednotlivým súborom uloženým v infikovanom počítači za použitia klasického prehliadača web stránok). Koncom leta sa pozornosť všetkých odborníkov i používateľov počítačov upierala na internetový červ Win32/Blaster. Ten sa šíril medzi počítačmi s nezabezpečeným OS MS Windows NT-2003 pomocou siete internet, bez priameho zásahu zo strany používateľov. Využíval pritom bezpečnostnú dieru v rozhraní Distributed Component Object Model (DCOM) Remote Procedure Call (RPC), ktorá bola objavená 26 dní pred jeho masovým rozšírením. Navyše červ Win32/Blaster predstavoval hrozbu nielen pre serverové stanice, ale aj systémy bežných používateľov. O značnú medializáciu tohto červa sa postarali hlavne informácie týkajúce sa pripravovaného (... avšak neúspešného) útoku na aktualizačný web server spoločnosti Microsoft. Druhú „ranu pod pás“ uštedril používateľom počítačov koncom leta červ Win32/Sobig.F, ktorý sa podľa mnohých AV-odborníkov zapíše do histórie ako jeden z najaktívnejších škodlivých kódov, ktorý dokázal počas svojej aktivity na infikovaných počítačoch vygenerovať a rozposlať viac ako 300-miliónov „infikovaných“ emailových správ. AV-spoločnostiam sa detailnou analýzou tohto škodlivého kódu podarilo v jeho kóde identifikovať skrytý mechanizmus, ktorý sa mal aktivovať vo všetkých aktívnych kópiách červa Win32/Sobig.F po celom svete v jeden okamih – t.j. 22.8.2003 o 19:00 UTC. Jeho úlohou bolo kontaktovať 20 preddefinovaných styčných serverov, z ktorých mal červ získať určité informácie pre svoje ďalšie fungovanie. Žiaľ dodnes nevedno, o aké informácie sa presne jednalo, nakoľko 2003
  24. 24. aktívnou spoluprácou AV-spoločností, tajných služieb a prevádzkovateľov vybraných web serverov sa podarilo tejto udalosti zabrániť. Približne necelých 15 minút pred aktiváciou spomenutej, skrytej rutiny boli vyradené z činnosti všetky preddefinované servery. Posledné mesiace roka 2003 sa niesli v znamení červa Win32/Swen, ktorého prvá kópia bola objavená17 na Slovensku! Spomedzi ostatných škodlivých kódov by sme ešte nemali prehliadnuť internetový červ Win32/Welchia, ktorý počas svojho šírenia dokázal na 9 hodín vyradiť z činnosti americký federálny systém pre kontrolu víz a emailový červ Win32/Mimail označovaný ako červ mnohých „tvárí“, ktorý sa do povedomia dostal najmä tým, že vykonával cielené DDoS (Distributed Denial of Service) útoky proti vybraným web serverom. Za istú novinku uplynulého roka môžeme považovať spoluprácu, ktorá vznikla medzi tvorcami škodlivých kódov a spamermi. Jej výsledkom sú trójske kone označované ako TrojanProxy, ktorých len za rok 2003 vzniklo približne 30 exemplárov. Ich úlohou je vytvorenie efektívnej a spätne neidentifikovateľnej distribúcie spamu, t.j. nevyžiadaných emailových správ, bez možnosti určiť skutočného odosielateľa. Zaujímavým prírastkom do rodiny škodlivých kódov sa stal koncom januára emailový červ Win32/Mydoom, ktorý za niekoľko hodín infikoval státisíce počítačových systémov na celom svete, čím spôsobil vznik novej masovej epidémie. Jeho prvý variant navyše zahájil začiatkom februára masový DDoS útok proti web serveru spoločnosti The SCO Group, ktorá za jeho autora vypísala odmenu vo výške 250 000 USD. O niekoľko dní neskôr zahájil aj druhý variant červa Win32/Mydoom DDoS útok proti web serveru spoločnosti Microsoft, ktorá za informácie vedúce k identifikácii jeho autora ponúkla ďalších 250 000 USD. Udalosti, ktoré nás čakajú v nasledujúcich mesiacoch18 roku 2004 nie je možné jednoznačne predpovedať. Dá sa však predpokladať, že „nikdy nie je tak zle, aby nemohlo byť ešte horšie“. 17 Podľa informácií zverejnených spoločnosťou MessageLabs na stránkach http://www.messagelabs.com. 18 Aktuálny prehľad najnovších udalostí zo sveta škodlivých kódov, činnosti AV-spoločností i vývoja AV- systémov môžete nájsť na stránkach slovenského informačného web servera Vírusy.sk (www.virusy.sk). 2004
  25. 25. MMAANNUUÁÁLLNNAA EELLIIMMIINNÁÁCCIIAA ŠŠKKOODDLLIIVVÝÝCCHH KKÓÓDDOOVV Pri objavení škodlivého kódu v počítači nie je vhodné podľahnúť počiatočnej panike. Treba postupovať skôr uvážene krok za krokom, s cieľom eliminovať konkrétny počítačový červ alebo trójsky kôň zo systému, bez rizika straty dôležitých dát či poškodenia systému ako celku. V tejto prílohe sa vynasnažíme načrtnúť základný spôsob manuálnej eliminácie bežných počítačových červov a trójskych koní. Jedná sa o tie typy infiltrácií, s ktorými sa používatelia stretávajú v praxi najčastejšie. Neraz pritom zisťujú, že nimi používaný AV- systém dané škodlivé kódy dokáže len identifikovať, nie však eliminovať. Pre detailnejšie návody a odporúčania ako odstrániť mnohé iné škodlivé kódy, adware a spyware programy odporúčame čitateľom nahliadnuť na priložené CD19 – konkrétne do diskusie venovanej počítačovým vírusom. Používatelia najčastejšie odhalia prítomnosť škodlivého kódu v systéme na základe toho, že počítač pri bežných činnostiach nereaguje tak, ako sú zvyknutí alebo vykonáva operácie, s ktorými sa nikdy predtým nestretli. Na začiatku je vhodné uistiť sa, že zmeny vo fungovaní systému nemohli byť spôsobené inštaláciou nejakej novej aplikácie v posledných dňoch alebo aktualizáciou OS MS Windows, prípadne jeho vybraných častí. Ak je možné takúto alternatívu vylúčiť zostáva tu ešte možnosť, že systém bol infikovaný nejakým škodlivým kódom. Ten treba v prvom rade identifikovať a lokalizovať ním používané súbory. Za týmto účelom používatelia musia vykonať aktualizáciu AV-systému (... stačí len na úrovni databázy vírusových reťazcov) a kompletnú AV-kontrolu systému. Po jej ukončení by mali získať informácie o názve škodlivého kódu, ktorý infikoval ich systém a údaje o umiestnení a názvoch súborov, ktoré AV-systém označil za infikované. V druhej fáze je potrebné, aby sa používatelia pokúsili eliminovať daný škodlivý kód za použitia AV-systému, prípadne jedno/viacúčelového AV-programu, ktorý môžu bezplatne získať na web stránkach vybraných informačných serverov alebo AV-spoločností. V tom najhoršom prípade by mali pristúpiť k manuálnej eliminácii škodlivého kódu (... pokiaľ ide o počítačový červ alebo trójsky kôň), pričom si musia uvedomiť, že neodborný zásah do systému môže mať za následok jeho poškodenie. Pri manuálnej eliminácii je potrebné poznať...  názov identifikovaného škodlivého kódu,  názvy a umiestnenie súborov, ktoré škodlivý kód v systéme vytvoril, (... vychádzajúc z informácií poskytnutých AV-systémom a získaných z internetu)  zmeny v systémových registroch, ktoré vykonal škodlivý kód,  približný princíp fungovania škodlivého kódu,  škody, ktoré môže spôsobiť,  riziká, ktoré predstavuje pre používateľa a jeho systém počas svojej aktivity. 19 Priložený CD disk, ktorý je súčasťou tejto diplomovej práce obsahuje kompletnú kópiu informačného web servera Vírusy.sk (www.virusy.sk), ktorá bola vytvorená ku dňu 15.3.2004. Poskytnuté materiály majú napomôcť používateľom počítačov získať informácie o vybraných škodlivých kódoch a AV- systémoch. Bez predchádzajúceho písomného oprávnenia udeleného autorom tejto publikácie a zároveň aj tvorcom informačného servera Vírusy.sk nesmú byť žiadne informácie uverejnené na priloženom CD disku, či už celé alebo ich časti, reprodukované v akejkoľvek inej podobe, ako pre osobné nekomerčné využitie.
  26. 26. PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí ((OOSS MMSS WWiinnddoowwss 9988//MMee//XXPP//22000033)) Najdôležitejšou úlohou je odstrániť nežiadúce hodnoty doplnené škodlivým kódom do systémových registrov, ktoré mu umožňujú aktivovať jeho výkonný kód pri každom štarte OS MS Windows. Treba si uvedomiť, že pokiaľ je škodlivý kód aktívny v operačnej pamäti nie je možné vykonať elimináciu ním používaných súborov uložených na pevnom disku. Namiesto priamej editácie systémových registrov, ktorá nie je vhodná pre neskúsených používateľov je lepšie použiť jednoduchšiu alternatívu. V hlavnom menu Štart vyberieme položku Spustiť..., do zobrazeného dialógového okna20 zadáme názov súboru msconfig.exe21 a klikneme na tlačidlo OK. Zobraziť by sa malo aplikačné okno s titulkom Nástroj pre konfiguráciu systému, pomocou ktorého je možné prekontrolovať aké programy a systémové služby sa spúšťajú pri štarte OS MS Windows. Nastavenia v záložke nazvanej Obecné nie je vhodné meniť. V záložke SYSTEM.INI je potrebné zistiť, či sa náhodou dostupné hodnoty neodkazujú na niektorý zo súborov, ktorý AV-systém pri kontrole označil za infikovaný. V prípade, že by sa takýto odkaz medzi hodnotami nachádzal, je potrebné označiť ho a kliknutím na tlačidlo Zakázať deaktivovať. Rovnako treba postupovať aj pri záložke nazvanej WIN.INI. V ďalšej záložke nazvanej Služby (... dostupná je len pri OS MS Windows XP/2003), je potrebné najprv zaškrtnúť políčko Skryť všetky služby spoločnosti Microsoft a medzi zostávajúcimi službami sa pokúsiť nájsť názov služby, ktorú pri svojej aktivácii používa 20 Obrázky nachádzajúce sa v Prílohe 2 nie sú číslované, nakoľko ich opis je súčasťou predkladaného textu. 21 Táto praktická aplikácia je súčasťou výlučne OS MS Windows 98/98 SE/Me/XP/2003.
  27. 27. škodlivý kód. V tomto prípade treba vychádzať z popisu konkrétneho škodlivého kódu získaného z internetu (... zo stránok informačného web servera alebo web encyklopédie). Nájdenú službu je potrebné deaktivovať zrušením zaškrtávacieho políčka pred jej názvom. V poslednej záložke nazvanej Po spustení je zobrazený zoznam všetkých aplikácií, ktoré sa aktivujú pri štarte OS MS Windows prostredníctvom systémových registrov alebo odkazov umiestnených v menu: Štart  Programy  Po spustení. V zozname je potrebné vyhľadať názvy všetkých súborov, ktoré AV-systém pri kontrole označil za infikované a deaktivovať ich (t.j. zrušiť zaškrtávacie políčko na začiatku toho- ktorého riadku). Po ukončení týchto operácií je nutné vykonať reštart systému. Po opätovnom nabehnutí OS MS Windows by sa už škodlivý kód nemal nachádzať aktívny v operačnej pamäti počítača, vďaka čomu je možné počas kompletnej AV-kontroly systému (... vykonanej za použitia klasického AV-skenera) odstrániť z disku všetky podozrivé a infikované súbory. Pokiaľ bol systém infikovaný takými škodlivými kódmi, ktoré sa doňho dostali za použitia známych bezpečnostných dier, je potrebné okamžite navštíviť web stránky aktualizačného servera spoločnosti Microsoft – Microsoft Windows Update a nainštalovať do počítača potrebné záplaty.
  28. 28. PPoossttuupp mmaannuuáállnneejj eelliimmiinnáácciiee ppooččííttaaččoovvýýcchh ččeerrvvoovv aa ttrróójjsskkyycchh kkoonníí ((OOSS MMSS WWiinnddoowwss 99xx--22000033)) Vykonávať elimináciu zložitejších škodlivých kódov, ktoré vo väčšom rozsahu modifikujú systémové registre alebo dôležité systémové súbory, by mali výlučne skúsení používatelia a správcovia sieťových systémov. V opačnom prípade používatelia riskujú poškodenie OS MS Windows a v ňom uložených dát. V hlavnom menu Štart vyberieme položku Spustiť..., do zobrazeného dialógového okna zadáme názov súboru regedit.exe a klikneme na tlačidlo OK. Zobraziť by sa malo aplikačné okno s titulkom Editor registrov, ktoré umožňuje pridávať, editovať a odstraňovať hodnoty uložené v systémových registroch. Väčšina škodlivých kódov sa snaží aktivovať svoj kód počas štartu OS MS Windows. Za týmto účelom pridávajú nové hodnoty do viacerých kľúčov: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices Pri každom z vyššie uvedených kľúčov je potrebné označiť jeho poslednú vetvu (... nazvanú: Run alebo RunServices) a v zobrazenom zozname (... v pravej časti okna) nájsť položku, ktorá sa odkazuje na niektorý z infikovaných súborov identifikovaných AV- systémom pri kontrole systému. Nežiadúcu položku je potrebné kliknutím označiť a následne odstrániť zo zoznamu. Po ukončení uvedených operácií je nutné vykonať reštart systému. Po nabehnutí OS MS Windows, by sa už škodlivý kód nemal nachádzať aktívny v operačnej pamäti počítača, vďaka čomu je možné počas kompletnej AV-kontroly systému vykonanej klasickým AV- skenerom odstrániť z disku všetky podozrivé a infikované súbory.

×