6.5.2
Počítačové viry a jiný škodlivý software – malware (Malicious software)
RNDr. Dagmar Brechlerová, Ph.D.
V současné době je jedním z významných nebezpečí při práci s počítačem či jiným IT zařízením možnost napadení některým ze škodlivých kódů. Většinou jsou tyto kódy nazývány viry, ale jedná se o více kategorií kódů, přičemž počítačové viry jsou jen jedním z nich. Následující text nejprve představí jednotlivé druhy těchto škodlivých kódů, tzv. malware, jejich projevy a krátkou historii. Poté popíše základní kroky v boji proti nim. Vzhledem k nižšímu zabezpečení mobilních zařízení začínají útočníci v poslední době cílit hodně i na ně, nicméně počítače stále představují velmi oblíbený cíl. Velmi podstatnou skupinou zařízení, na která útočníci cílí, pak začíná být tzv. internet věcí, tedy zařízení, vybavená různými IT prvky (miniaturní počítač pro vzdálené připojení například pomocí WiFi apod.). Vzhledem k často velmi nízké úrovni zabezpečení těchto zařízení se jedná o problém, který by v budoucnu mohl působit vážné komplikace mnoha uživatelům podobných přístrojů.
NahoruPrincip virů
Jako virus je obvykle označován způsob infiltrace počítače či jiného IT zařízení, který se velmi podobá svému biologickému jmenovci – dokáže replikovat sám sebe, avšak potřebuje k tomu hostitele – spustitelné soubory, systémové oblasti disku a jiné. Mezi označení viry se však obvykle zahrnují škodlivé kódy typu trojan, adware či spyware, které sebereprodukující schopnosti obvykle nemají. Pokud je hostitelský soubor spuštěn, je zároveň proveden kód viru a virus se snaží sebereplikovat přenosem na další hostitele.
V roce 1983 použil Fred Cohen při své přednášce poprvé termín počítačový virus, který zároveň i definoval: "Počítačový virus je počítačový program, který může infikovat jiný počítačový program takovým způsobem, že do něj nakopíruje své tělo, čímž se infikovaný program stává prostředkem pro další aktivaci viru."
Viry jsou obvykle doprovázeny škodlivými projevy v přístroji – od odesílání hesel a dalších citlivých informací mimo napadený přístroj, zapojení napadeného přístroje do na dálku ovládané sítě jiných napadených zařízení (botnet) až po napadení operační paměti, znemožnění spuštění některých aplikací či jejich znefunkčnění a dalších nepříjemných efektů.
NahoruČerv (worm)
Červ (worm) – prvním červem byl označen v roce 1989 tzv. Morrisův červ, který dokázal napadnout část tehdejší sítě Arpanet. Tento typ malwaru se vyskytuje v jednom exempláři na hostitelském přístroji a ke svému šíření využívá síťovou komunikaci s jinými zařízeními. Nešíří se ve formě infikovaných souborů, ale pouze síťových paketů, které jsou směřovány z napadeného počítače náhodně nebo podle určitého klíče na další počítače připojené k napadenému. Někteří červi se dokážou šířit i po lokálních a síťových discích, čímž se více podobají svými vlastnostmi virům. Může mít celou řadu efektů na napadené přístroje (které jsou ovšem obvyklé i pro jiné typy malwaru): uzamknout počítač a požadovat zaplacení "pokuty", po jejímž zaplacení bude počítač možná odemknut (ransomware), šifrovat soubory na discích a znehodnocovat je tak, krást uživatelská data, ovládnout počítač na dálku otevřením zadních vrátek (viz níže) a množství dalších potíží.
NahoruTrojský kůň
Trojský kůň (trojan horse) se navenek tváří jako užitečný program, například slibuje nějakou činnost vedoucí ke zlepšení chodu zařízení, při svém pozdějším chodu však tuto činnost buď vůbec nevykonává, nebo ji vykonává, ale maskuje jí nějaký druh škodlivých projevů – maže soubory, formátuje pevný disk, odesílá data přes síť a provádí jiné "nepříjemné" operace. Do počítače se dostává souborem typu .EXE, který kromě samotného těla koně neobsahuje vůbec nic jiného. Může však vypadat i jako obrázek, video, zvukový záznam a jiné typy souborů, neboť například pod systémem MS Windows není při běžném prohlížení ve správci souborů běžně možné poznat koncovky souborů. Trojan se také nepřipojuje k žádnému hostiteli a není schopen sebereplikace, takže jedinou cestou, jak ho odstranit z počítače, je vymazání zavirovaného .EXE souboru. Pokud je však ovládán či naprogramován zkušenou osobou, trojan může docílit naprostého ovládnutí počítače na dálku.
Trojských koňů je více druhů.
-
PWS (Password stealing trojan – trojan kradoucí hesla) či Keylogger/Keygrabber ("zachytávač kláves") sleduje opakovaně mačkané kombinace na klávesnici a ty potom odesílá mimo počítač, dochází tak k úniku hesel, e-mailových adres a jiných důležitých údajů.
-
Dropper (Vypouštěč) v sobě přenáší jiný virus a po proniknutí do přístroje ho zde vypustí.
-
Destruktivní trojan po proniknutí do zařízení formátuje buď rovnou celý disk, nebo ničí vybrané soubory.
-
Stahovač (Trojan downloader) se po proniknutí do přístroje postará o to, aby se z internetu do počítače dostaly další viry nebo programy vhodné pro napadení počítače.
-
Proxy trojan využije po napadení zařízení k odesílání nevyžádané pošty – spamu. Přitom u spamu je velmi těžké zjistit, kdo je jeho skutečný autor.
-
Zadní vrátka (Backdoor trojan) viz část Backdoor.
-
Ransomware (nemusí být však nutně jen trojan) po spuštění uzamkne přístroj a vyžaduje po uživateli zaplacení výkupného.
Je nutné si uvědomit, že v dnešní době pokročilých technologií se malware nepoužívá pouze k útokům na nic netušící koncové uživatele, kterým jsou pak prohlíženy fotky z dovolené či jim je z účtu odcizena značná finanční částka. Malwary (a především pak trojany) se používají i k vedení kybernetické války a infiltraci přísně střežených sítí, ke kradení obchodních tajemství a zajišťování potenciálně zneužitelných informací, které je možné použít například k vydírání či očerňování politických oponentů apod. Stejně tak některé vlády účelově vypouštějí škodlivé kódy, jejichž pomocí pak mohou sledovat například osoby s nežádoucími názory či osoby podezřelé ze zapletení do různých protistátních aktivit.
NahoruHoax
Hoax je poplašná zpráva informující nejčastěji o výskytu neexistujícího viru, snažící se vyvolat rozruch v počítačovém světě. Obvykle se šíří formou mailu, který si lidé posílají stylem "varuji svého kamaráda, ten varuje někoho jiného", až vznikne domino efekt, kde každý uživatel ví obvykle jen to, od koho mail dostal a komu ho poslal. Důsledkem je dezinformace, zahlcení sítě, obavy uživatelů.
Hoax má obvykle několik jasných charakteristik:
- Stručný popis viru i jeho šíření.
- Popis fiktivních ničivých účinků, a to od "serióznějších" jako např. ztráta souborů až po nesmysly typu shoření klávesnice.
- Varování většinou od "důvěryhodných" zdrojů jako Microsoft apod.
- Výzva, aby uživatel přeposílal toto varování (hoax) svým známým – tento bod hoax VŽDY obsahuje.
V širším slova smyslu se pak jedná o jakoukoliv poplašnou zprávu šířící se tímto "řetězovým" způsobem například po sociálních sítích.
NahoruBackdoor
Backdoor (zadní vrátka) je aplikace, která slouží ke vzdálené správě přístroje a nemusí být nijak nebezpečná, ovšem pokud osoba, která zařízení poté na dálku prostřednictvím zadních vrátek spravuje, nemá v úmyslu toho zneužít. Aplikace se dělí na část ovládanou útočníkem a část, která v hostitelském počítači vykonává různé operace. Jedná se tedy o aplikaci, která otevře zařízení vnějšímu útočníkovi. Přístroj je buď zneužit pro další útok nebo jsou z něj odcizena data, případně útočník prostě může sledovat aktivitu oběti. Není neobvyklé, že se může jednat o zaměstnavatele sledujícího zaměstnance či rodinného příslušníka, který sleduje například svého partnera apod. Uživatel nemusí o tom, že byl napaden, dlouhou dobu vůbec tušit, mohou mu však napovědět různé indicie:
Ztráta výkonu (přístroj může být zapojen do botnet sítě a jeho výpočetní kapacita je využívána například pro DDoS útoky (distributed denial of servise – distribuované zamítnutí služby: opakované zahlcování cílového serveru až do naprostého odstavení).
Rozesílání spamu či škodlivých odkazů například po komunikačních programech typu Skype nebo Facebook chatu (začnou se množit dotazy, proč od uživatele chodí zvláštní zprávy apod.).
V extrémních případech může dojít i k tomu, že je skutečně vidět, jak je počítač spontánně ovládán, a například se na obrazovce otevírají okna a pohybuje myš.
Stejně tak jako stolní počítač či notebook může dnes být napaden i tablet nebo mobilní telefon (obvykle smartphone – chytrý telefon s přístupem na internet). Tyto přístroje mají již dostatečnou výpočetní kapacitu, aby se útočníkům vyplatilo je napadnout, navíc bývají často hůře chráněné než běžné počítače.
NahoruSouborový virus
Souborový virus napadá spustitelné soubory jako EXE nebo soubory se spustitelným kódem, např. BIN. K aktivaci viru pak stačí, aby byl napadený soubor jednoduše spuštěn.
NahoruMakrovirus
Z pohledu historie virů novější typ (1995), který se zaměřuje na programy využívané co největším počtem uživatelů, nejlépe produkty kancelářského typu (Microsoft Word, Microsoft Excel), je makrovirus. Makroviry využívají nejen některých vlastností těchto programů, ale i nedokonale řešeného zabezpečení. Makrovirus využívá toho, že v kancelářském balíku je přidán programovací jazyk. Jeho původním záměrem bylo zautomatizovat opakující se činnosti tvorbou tzv. maker. Bohužel tento princip je zneužit právě k tvorbě makrovirů. Navíc řada uživatelů ani netuší, že jejich dokument v sobě obsahuje nějaká makra.
NahoruPolymorfní virus
Polymorfní (mutační) virus dokáže během replikace vytvářet kopie sebe sama, které jsou však od původního viru odlišné. Docílí toho použitím různých kódovacích schémat nebo náhodným vkládáním různých přebytečných instrukcí či částí kódu. Tím se stane velmi těžko zjistitelný, a tudíž i odstranitelný. Je někdy obtížné detekovat ho obyčejným antivirovým softwarem.
NahoruSpyware a Adware
Mezi škodlivý software zahrnujeme také tzv. spyware ("špionážní software") a adware ("reklamní software") Adware je většinou určen k reklamním účelům, například anonymnímu sběru marketingových informací či zobrazováním bannerů, zatímco spyware je obvykle určen k cílenému kradení informací pro nelegální účely.
U obou typů může jít o součást legálního programu, o trojského koně či o jinou škodlivou aplikaci, která sleduje naši činnost v zařízení. Monitoruje, jaké prohlížíme internetové stránky, a podle toho nám může například zobrazovat reklamu, sbírat marketingové údaje apod. nebo může někomu zasílat informace o námi používaných programech, ale i krást hesla a osobní informace. Byť se u adwaru může zdát, že se o nic škodlivého nejedná, je nutno jej pokud možno odstraňovat, resp. nedopustit jeho šíření do počítače. Spyware pak představuje ještě daleko větší nebezpečí a je nutné proti němu zakročovat mnohem razantněji. Spyware navíc často umí i vypínat obranné mechanismy zařízení, například antivirový software či firewall.
Specifickou skupinu adwaru pak tvoří reklamní cookies a různé marketingové nástroje, jejichž pomocí mohou některé servery sledovat cestu uživatele po internetu a podle témat webů, které sleduje, mu podstrkovat cílenou reklamu. Obvykle se přitom jedná o legální přístup, neboť uživatel dobrovolně souhlasí s použitím těchto nástrojů při návštěvě webů, přes jehož cookies je pak uživatel sledován.
NahoruSoučasné hrozby
V současné době dochází ke značnému komerčnímu využití škodlivých kódů, kterými se útočníci zaměřují například na kradení citlivých a snadno zpeněžitelných informací či na kradení peněz z účtů pomocí odchytávání hesel apod. Stejně tak se dá poměrně snadno i pronajmout napadená síť počítačů například k rozesílání e-mailových spamů nebo útokům zahlcováním (DDoS – distributed denial of service – distribuované zamítnutí služby: zahlcení cílového serveru mnoha požadavky tak, že je přestane zvládat plnit a je odstaven).
K napadení přístroje může dojít celou řadou způsobů, nicméně nejobvyklejšími jsou dnes stažení a spuštění infikovaného souboru – mailové přílohy, "užitečného" programu či například mobilní aplikace z neoficiálního zdroje (jsou však případy, kdy i oficiální obchody výrobců nabízely škodlivou aplikaci). Velkým rizikem je také napadání různých součástí aplikací, například zásuvných modulů webových prohlížečů: Adobe FlashPlayer (pro spouštění flash videí např. na YouTube), Adobe Acrobat Reader (pro čtení PDF), Java (vizuální prostředí používající se často v online bankovnictví). Pokud tyto zásuvné moduly a jiné aplikace, například webové prohlížeče či i samotný operační systém, nejsou aktualizovány co nejdříve po uvolnění dané aktualizace, vznikají bezpečnostní trhliny, které mohou útočníci využít. Mohou například vytvořit neoficiální aktualizaci obsahující škodlivou součást a následně přimět počítač po navštívení napadené stránky k tomu, aby si danou aktualizaci stáhl (pokud ji ještě nemá). Uživatel o tom nemusí vůbec vědět, vše se odehraje automaticky na pozadí a počítač je takto jednoduše infikován. Tato metoda se nazývá drive-by (volně přeložitelné jako jízda okolo, neboť stačí jen navštívit napadenou stránku a pokračovat dále).
Dnes si za poměrně nízké částky může i laik dovolit pronajmout nástroje k vytvoření celé řady škodlivých aplikací, ke kterým jejich tvůrci často nabízejí i služby, jako jsou pomoc či kompletní servis, podobně jako u komerčních aplikací. Je tak možné i pro méně zdatného uživatele napáchat poměrně rozsáhlé škody.
Často je však chyba i na straně uživatelů, neboť podceňují nebezpečí a ignorují například doporučení jednotlivých programů, že si mají nainstalovat důležitou bezpečnostní záplatu apod.
Velmi podstatnou skupinou zařízení, na něž se útočníci počínají orientovat ve větším měřítku, je již výše zmíněný internet věcí – zařízení obsahující prvky IT, díky nimž mohou provádět různé pokročilé operace. Součástí bývá také internetové připojení, obvykle přes Wi-Fi. Tato zařízení, pokud jsou na dálku zapojena do botnet sítě, mohou představovat nezanedbatelnou výpočetní sílu – v dnešní době nejsou neobvyklé i sítě čítající tisíce jednotlivých napadených zařízení. Podobné botnety pak mohou být využívány k těm nejnáročnějším činnostem, neboť součet jejich výkonu je enormní. Pomocí vzdálených příkazů pak mohou provádět například zmíněné DDoS útoky, šířit další malware,…