Új Szó, 2008. február (61. évfolyam, 27-51. szám)

2008-02-13 / 37. szám, szerda

14 DlGUÁLlA ÚJ SZÓ 2008. FEBRUÁR 13. www.ujszo.com A legtöbb kémprogram addig gyűjti az adatokat, amíg egy ütemezett időpontban, adott jelre vagy gazdája utasítására el nem küldi e-mailbe ágyazottan a támadónak A vírusok jelene és jövője Míg néhány évvel ezelőtt el­sősorban a számítógépvíru­sok támadásától kellett óv­ni gépeinket, manapság újabb és esetenként veszé­lyesebb kártevő- és táma­dástípusok dominálnak. Ké­szítőik célja ma elsősorban a pénz és a hatalom. FELDOLGOZÁS Vírus és egyéb rosszindulatú program nem keletkezik csak úgy, véletlenül. Mögötte mindig van egy (vagy több) ember, akinek van megfelelő programozói tudása vagy az ezt pótló vírusgenerátor programjai. Jóindulatú vírusokról sem beszélhetünk, hiszen a bünte­tő rutinok hiánya önmagában még nem igazolja a vírus- vagy féreg­program létjogosultságát. Akik ezt vitatják, azok megfeledkeznek ar­ról, hogy a sérülékenységek kihasz­nálása még akkor is veszélyes és előbb-utóbb kárt okoz, ha az adott programkód alkotója (egyelőre) nem épített be a programjába köz­vetlenül pusztító elemeket. Az első számítógépvírusok a ’80- as évek végén jelentek meg. Eleinte flopilemezeken keresztül, a prog­ramok csereberélése során jutottak el újabb és újabb számítógépekre, de a hálózatok elterjedése és az internet kiépülése alapjában vál­toztatta meg a terjedés módját. A flopi mmt adathordozó kikopásá­val a bootvírusok szinte teljesen el­tűntek és a flopilemezeken keresz­tüli terjedés is kihalóban. A ma kár­tevői a helyi hálózatokon és az internet különböző csatornám (le­velezés, IRC, chat, fájlmegosztá­sok, p2p fájlcserélők stb.) keresztül terjednek, ám emellett a cserélhető adathordozók (optikai lemezek, pendrive, memóriakártya, külső cserélhető merevlemez stb.) is ve­szélyt jelentenek, mivel a flopi he­lyett ma már ezeken folyik az offline adat- és programcsere. A hajtóerő és az eszközök Kezdetben csak képzett progra­mozók írtak vírusokat, ám a keve­sek kiváltsága hamarosan sokaké lett. A kevésbé képzettek belépése a piacra az első vírusgyártó kitek megjelenésével kezdődött, majd az előképzettség nélkül is átszerkeszt­hető makrovírusok és a szintén könnyen átszerkeszthető szkript kártevők megjelenésével számuk megsokszorozódott. Eleinte tréfából, társaik bosz- szantására készítettek programfér­geket és vírusokat, de hamar kide­rült, hogy vírustechnológiák a má­solásvédelemben is alkalmazha­tók. A vírusírást kezdetben elektro­nikus grafútinek, az önkifejezés egyik modem formájának tekintet­ték. Egyesek azzal mentegetik ma is víruskészítő tevékenységüket, hogy programjuk egy speciális mesterséges intelligenciát képvisel, s annak bizony élnie kell. Ezzel persze még közel sincs vé­ge. A vírusírók között találunk munkaadójukkal elégededen, sőt elbocsátott programozókat, kato­nai és hírszerző laborok kutatóit és természetesen terroristákat. A spam (kéreden reklámok és egyéb levélszemét) elektronikus formái­nak teijedésével új szereplők is színre léptek. A spammereknek há­rom dolog kell: a potenciális vásár­lók e-mail címe, a vásárlói szoká­sok (profil) ismerete és hatékony terjesztő csatornák. Az igényt ki (Képarchívum) kell elégíteni - és lön. Számos spammer- és víruskészítő csapat bí­rósági ítélete és az újabb spam- küldő rendszerek is bizonyítják, hogy a spammerek az adatgyűjtés­ben és a teijesztésben vírustechno­lógiákat alkalmaznak, sőt a vírus­készítők is hasznosítják a spam­merek által kidolgozott technológi­ákat. A mai programférgek mint­egy 90 százaléka az e-mail címeken kívül marketinginformációt is gyűjt, és az ismertté vált botnetek többsége spammerek és adathalá­szok számára dolgozik. Botnetek és kémprogramok Bármilyen meglepő, léteznek hasznos, pontosabban legális kém­programok. Ezeket hivatalosan vá­sárolja meg, vagy szerzi be a számítógép (hálózat) üzemeltetője, hogy monitorozza számítógépe (i) tevékenységét. Ez kiteijedhet az in­dított programok naplózására, a billentyűleütések és a felkeresett weboldalak rögzítésére, egyéb fel­használói tevékenységek és adat- forgalmak rögzítésére. A malware kémprogramok is ezt teszik, de persze a gép(ek) üzemel­tetőjének és felhasználóinak tudta és engedélye nélkül. Mint ebből is látható, a két oldal között a különb­ség nem technikai, hanem jogi és erkölcsi természetű. A továbbiak­ban csak az engedélyünk nélkül ér­kező és működő kémprogramokkal foglalkozunk. A kémprogramok és készítőik nem atomtitkokra vadásznak. Szá­mukra fontos: ♦ a felhasználók személyes és login adatai (felhasználónevek, jel­szavak, PIN kódok stb.), ♦ a helyi hálózat IP címei és egyéb adatai (gépnevek, tartomá­nyok, megosztások stb.), ♦ marketing adatok (telepített és használt szoftverek, rendszere­sen látogatott weboldalak, keresett szoftverek, termékek, szolgáltatá­sok - profil -, e-mail címek, levele­zési beállítások stb.), ♦ banki, pénzügyi adatok (számlaszámok, jelszavak, PIN kó­dok stb.), ♦ regisztrációs, aktivációs kul­csok, kódok, játék cheatek stb., ♦ bizalmas és titkos dokumentu­mok. A legtöbb kémprogram addig gyűjti az adatokat, amíg egy üte­mezett időpontban, adott jelre vagy gazdájának utasítására el nem küldi a támadónak. Küldheti e-mail üzenetbe ágyazva, FTP szer­verre feltöltéssel, backdoor progra­mon keresztül a program által kí­nált módokon és még számos egyéb megoldással. Mivel a backdoorok kezelése nem elég hatékony, a víruskészítők botnet hálózatokat alakítottak ki. A megtámadott gépeken egy-egy kis­méretű, kevés erőforrást igénylő program (modul) fut, és váija/fi- gyeli a botmester utasításait. A bot­mester a bothálózatok akár több tízmillió gépét utasíthatja a saját számítógépéről. Ezek hálózatok az információgyűjtés mellett elosztott DoS (DDoS) támadásokra is fel­használhatók, valamint tömeges levélküldésre, egy-egy gépről csak pár tucatnyi levelet kiküldve. A botnetek így nagy kereskedelmi ér­téket képeznek a spammerek és az adathalászok számára. Spam A nem program típusú malware jellegzetes képviselője a spam. A kéreden reklám- és egyéb levelek tömege nem csupán a vállalati le­velező rendszereket terheli, de a privát e-mail fiókokat is. Szeren­csére a spam elleni védelem ma már nem gond. Az internet- szolgáltatók spamszűrést is kínál­nak előfizetőiknek (ingyen vagy minimális felárral), és vállalati vagy magánlevelező szerverekhez is telepíthetünk jó hatásfokú spamszűrőket. Az ügyféloldalon az ingyenes Thunderbird és a jobb le­velező kliensek szintén kínálnak spamszűrést, és az Antivirus, In­ternet Security és Client Security típusú biztonsági szoftvereknek kötelező része valamilyen spam szűrés. Komplett védelem Bármilyen feleslegesnek tűnhet, mégis foglalkoznunk kell a spam kérdésével. A felesleges levelek tö­mege terheli a levelezőszervert, foglalja a sávszélességet, leköti időnket a levelek szétválogatása, feleslegesen fogyasztja a tárkapaci­tást, lassítja az archiválást. Egy al­kalmas spamszűrő sokat segít, de ne feledjük, hogy megfelelő ellen­őrzés nélkül a védelem fontos, tü- relmetíenül várt leveleinktől is megszabadíthat. A jobb rendszerek tehát először egy átmeneti szemetesbe küldik a spamnek minősített leveleket, és ezzel lehetőséget adnak részint a tévedésből ide került fontos levelek visszahozására, másrészt a véde­lem további finomhangolására. Vállalati szinten a spamszűrés kevés, mivel ez általában csak a be­jövő forgalmat ellenőrzi. Ha a kife­lé menő forgalmat is ellenőrizni kell, akkor inkább egy tartalomszű­rést célszerű választani, amelynek csak egyik eleme a spamszűrés, és nem enged ki például számlaszá­mokat, jelszavakat, bizalmas ada­tokat és dokumentumokat. A meg­figyelhető trendek azt mutatják, hogy bármennyire szeretnénk is, a spamáradat nem csökken, sőt egyesek arról számolnak be, hogy a levélforgalom 90 százalékát is meghaladja. Ezért elengedheteden valamiféle védekezés kialakítása. Rootkitek A Sony rootkit botránya hívta fel a figyelmet erre a kártevőtípusra, amely a trójai programokhoz ha­sonlóan nem szaporodik, ellenben elrejti a jelenlétét. A rootkitek azért veszélyesek, mert a saját kódjukon kívül tetszőleges malware kód el­rejtésére is képesek, és egy beépí­tett backdoor vagy botnet modulon keresztül távirányíthatóvá tehetik a rendszert. A legújabb híradások szerint már megszületett a boot­vírusok és a rootkitek első kombi­nációja, amely XP és Vista alatt is képes életben maradni. S ki tudja, hogy hány ilyen követi még... Cross-site scripting (XSS) A trükk: egy publikus webol- dalon mutat egy rosszindulatú link egy olyan webhelyre, ami már fel van véve a megbízható helyek közé. Ezen támadástípus ellen már van védelem az XP SP2-ben, s ha egy, az internetzónában levő weblap olyan hivatkozást tartal­maz, ami berepít minket a Trusted Sites zónába, figyelmeztetést ka­punk. Az XSS technika segítségével a felhasználó átveheti az irányítást a megjelenés, a tartalom vagy akár a webalkalmazás teljes biz­tonsági rendszere felett. Nem a PHP az egyetien nyelv, amely sebezhető e módszerrel, hiszen nem nyelvi hiba, hanem a webal­kalmazás tervezésének bizonyos hiányossága. A Cross-site scripting sok formá­ban létezik. Az egyik népszerű megoldásban HTML vagy Java­Script kódot helyeznek az űrlapok mezőibe, így kényszerítve az alkal­mazást valami olyan megjeleníté­sére, amit egyébként nem tenne. Ez az eljárás ékesen bizonyítja, mennyire fontos minden bemenet megszrése, érkezzen az a felhasz­nálótól, másik honlaptól vagy adat­bázisból. A legújabb trükkök segít­ségével nem csupán alkalmazáso­kat indíthatnak, de a hálózati nyomtatókra is küldhetnek nyom- tatnivalót az XSS technikát alkal­mazó rosszindulatú kódok, sőt a hálózat modemjéül keresztül faxo­kat is küldhetnek, és ezekkel egy- egy új spam megjelenési lehetősé­get nyírnak meg. WiFi-sperifikus kártevők Már a WiFi első megjelenésekor várható volt, hogy a gyenge vagy mellőzött titkosítás elősegíti a rosszindulatú támadások és kódok szaporodását. Ez eddig szeren­csénkre késik, de a kutatók már je­lezték, hogy sikeresen modelleztek olyan támadásokat, amelyek nem a számítógépeket, hanem az olcsó WiFi routereket célozzák. Nagyvá­rosokban gyakori, hogy akár több tízezer router is „látótávolságon” belül van, s mivel az otthon hasz­nált routerek közel felén nem vál­toztatják meg az alapértelmezett admin jelszót, nyitva állnak a tá­madások előtt. Ugyancsak növeli a támadók esélyeit, hogy a routerek egyharmadán nem használják az adott védelmi lehetőségeket, és a támadó könnyen alakíthat ki a WiFi routerek segítségével egy spe­ciális botnet hálózatot. Phishing (adathalászat) Az adathalászat a szó szoros ér­telmében zsebbe vágó kérdés. A nyilvánosságra került eseteket vizs­gálva egyre ijesztőbb próbálkozá­sokkal is találkozhatunk, ám min­dig vannak, akik a figyelmezteté­sek ellenére még nem biztonságos helyeken is megadják személyes és számlaadataikat. A phishing ellen elsősorban a szabályok betartásával védekezhe­tünk, de jó tudni, hogy a böngé­szőnket is felkészíthetjük például egy anti-phishing toolbar telepíté­sével (toolbar.netcraft. com), és az Internet Security szoftverünk kap­csolódó szolgáltatásainak igénybe vételével.' Kártevők kislexikona Vírusok: számítógépprogramok, amelyek a számukra megfelelő környezetben - a felhasználó tudta és engedélye nélkül - más progra­mokhoz fűzik a kódjukat, és vezér­léshez jutva gondoskodnak saját kódjuk más gépekre való bejuttatá­sáról, és további programok, rend­szerek megfertőzéséről. Amelyik rosszindulatú program sem egy adott számítógépen belül, sem számítógépek között nem ké­pes saját erőbőr teijedni, azt a rosszindulatú programok (mal­ware) egyre népesedő családjának egyéb osztályaiba soroljuk. Igazi ví­russal ma már egyre ritkában talál­kozhatunk, a jövő - és már a jelen is - az összetett, több változó kompo­nensből álló malware rendszereké. A programférgek nem fertőznek legális programfájlokat, legalábbis nem a vírusoknál megszokott mó­don, vagyis a malware kódnak a gazdaprogram kódjába való bein- jektálásával, hanem önálló fájlba kerül a féregkód. Nem bináris prog­ramkódok megváltoztatásával, ha­nem más trükkökkel éri el, hogy rendszeresen és biztosan vezérlés­hez jusson. Emiatt a megtervezé­sükhöz kevesebb programozói fur- fang is elegendő. Windows (és Linux) környezetben sokkal életké­pesebbek, s ezért hatékonyabbak, múlt a valódi vírusok. Windowsos vírusok száma folyamatosan növekszik A programféreg-változatok szá­ma több mint százezerre rúg. Még olyanok is akadnak köztük, melyek működésük egyes fázisaiban prog­ramféregként fertőznek, de alkal­mas környezetben, megfelelő hor­dozó gazdafájlokat találva vírus­ként is képesek fertőzni, s az így megfertőzött programon keresztül vezérléshez és szaporodási lehető­ségekhez jutni. A trójai programokból hiányzik a szaporodási képesség. Tévedésük­höz tevékeny emberi, felhasználói közreműködés szükséges. Készítő­ik meglevő - hasznos vagy annak látszó - programokba építenek rej­tett elemeket, funkciókat. Elneve­zésük (lásd a trójai faló történetét) is innen származik. A trójai programok speciális tí­pusát képviselik a backdoor prog­ramok. Szélsőséges esetben a tá­madók a kisméretű szerver-modult valamilyen hasznos vagy érdekes programnak álcázva juttatják be a kiszemelt számítógépekre, s ez a program a felhasználó tudta nélkül nyit hátsó ajtót (innen a backdoor név) a támadó számára, és váija készítőjének, gazdájának utasítá­sait. Napjainkra inkább az olyan megoldások jellemzőek, amelyek nem (csak) egy önálló backdoor szerver programfájlt telepítenek, hanem a malware programkódnak csak egy töredék része nyit egy kis­kaput és lát el backdoor jellegű funkciókat, (tech) DIGITALIA A mellékletet a LINKPRESS készíti. Felelős szerkesztő: Szabó László tel: 02/59 233 441; e-mail: digitalia@ujszo.com, Levélcím: Digitália, Lazaretská 12, 811 08 Bratislava

Next

/
  • Elrendezés
  • Igazítás
  • Forgatás
Oldalképek
Tartalom