Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
Accompanying slides for Chapter 8 "Malicious Software" of the book "Information Systems Security" (http://www.papasotiriou.gr/product/asfaleia-pliroforiakon-sistimaton-237775), March 2004
Η παρουσίαση που ετοίμασε η Ε ομάδα για το πρόγραμμα Υιοθεσία Βυζαντινού "Άγιος Γεώργιος Ομορφοκκλησιάς". Συνεντεύξεις για τη συντήρηση και τη λειτουργία του ιερού Ναού.
1. Κακόβουλο Λογισμικό
Είδη, λειτουργίες και μέτρα αντιμετώπισης
Μαθητές που πήραν μέρος στην εργασία:
Άγγελος Σερπεζούδης
Αρίστος Χριστοφορίδης
Παντελής Ξανθός
2. Κακόβουλο Λογισμικό
Τι είναι το κακόβουλο Λογισμικό;
Κακόβουλο λογισμικό η malware, ονομάζεται οποιοδήποτε λογισμικό που
έχει ως σκοπό να προκαλέσει ζημίες σε υπολογιστικά συστήματα. Για την
εγκατάσταση κακόβουλου λογισμικού σε έναν Η/Υ είναι συνήθως
προϋπόθεση η ανθρώπινη συμμετοχή, είτε άμεση (ανταλλαγή αρχείων,
άνοιγμα/ προεπισκόπιση e-mail αγνώστου προέλευσης), είτε έμμεση
(ανεπαρκής προστασία του υπολογιστή, μη λήψη ενημερωμένων εκδόσεων
του ΛΣ η προγραμμάτων). Το κακόβουλο λογισμικό χωρίζεται σε πολλές
κατηγορίες, αλλά όλες έχουν ορισμένα κοινά χαρακτηριστικά:
Εκτέλεση φορτίου. Φορτίο (payload) λέγεται το κομμάτι του κακόβουλου
λογισμικού το οποίο είναι υπεύθυνο για τις παρενέργειες που προκαλεί.
Συνήθως εκτελείται μια συγκεκριμένη ημερομηνία ή ένα συγκεκριμένο χρονικό
διάστημα αφού γίνει η εγκατάσταση του κακόβουλου λογισμικού.
Εγκατάσταση στην κατάλληλη περιοχή. Το κακόβουλο λογισμικό
εγκαθίσταται συχνά σε συγκεκριμένα σημεία (π.χ στο μητρώο του
συστήματος ή στον φάκελο system32). Αυτό γίνεται για πολλούς λόγους,
κυρίως για να εκτελεί το φορτίο του μια φορά, συχνά ή πάντα, να μπορεί το
κακόβουλο λογισμικό να ξεκινάει μαζί με τον Η/Υ και να μην είναι εύκολα
ανιχνεύσιμο.
Αναπαραγωγή και εξάπλωση. Όλα τα είδη κακόβουλου λογισμικού, (με
εξαίρεση τον δούρειο ίππο) περιλαμβάνουν επιπλέον κώδικα με τον σκοπό
αυτό, καθώς προσπαθούν να εξαπλωθούν και μέσα στο ίδιο το σύστημα που
προσέβαλλαν, και σε άλλα συστήματα αντίστοιχα.
● Τρόποι μόλυνσης.Το κακόβουλο λογισμικό μπορεί να προσβάλει
έναν υπολογιστή:
3. ● Μέσω Ηλεκτρονικής Αλληλογραφίας, δηλαδή μπορεί το κακόβουλο
λογισμικό είναι συνημμένο σε ηλεκτρονικό μήνυμα. Αυτό μπορεί να γίνει
είτε από τον χρήστη, είτε από το ίδιο το λογισμικό.
● Μέσω CD, DVD, USB Discs.
● Μέσω Web, δηλαδή να υπάρχει κώδικας σε σελίδες που
χρησιμοποιούν HTML.
● Μέσω άλλων υπηρεσιών διαδικτυακής συνομιλίας (forum, υπηρεσίες
συνομιλίας σε πραγματικό χρόνο, υπηρεσίες ανταλλαγής αρχείων Peer
to Peer).
● Μέσω δικτύων LAN και WAN, το κακόβουλο λογισμικό εκμεταλλεύεται
τις αδυναμίες του δικτύου και πιο συγκεκριμένα τις υπηρεσίες και τις
εφαρμογές του ώστε να μεταδοθεί αυτόματα σε άλλα συστήματα στο
δίκτυο.
Παρενέργειες: Οι παρενέργειες του φορτίου (payload) ενός κακόβουλου
λογισμικού μπορούν να είναι μια από τις παρακάτω.
● Ενοχλητικά μηνύματα και διαφημίσεις(adware).
● Υποκλοπή δεδομένων και πληροφοριών(trojans, spyware) ή κλήσης, με
υπεραστική χρέωση (dialers).
● Διαγραφή ή αλλοίωση δεδομένων, αρχείων και εφαρμογών του
συστήματος.(Ιοί, Σκουλήκια)
● Αντιγραφή αρχείων στο τοπικό δίκτυο.
● Αναστολή του λειτουργικού συστήματος ή δυσλειτουργία του.(Ιοί,
Σκουλήκια)
● Καταστροφή των τομέων εκκίνησης,πινάκων καταχώρησης αρχείων
FAT και πινάκων κατατμήσεων.
Ποιές είναι οι κατηγορίες του Κακόβουλου Λογισμικού;
● Ιός (virus).Κακόβουλο λογισμικό το οποίο αφού μολύνει έναν Η/Υ έχει
την ικανότητα να “μολύνει” και άλλα προγράμματα αντιγράφοντας τον
κωδικά του σε αυτά. Αυτό συνήθως γίνεται αυτόματα, με το απλό
4. άνοιγμα του αρχείου. Ένας ιός δεν μεταδίδεται μόνος του σε άλλους
υπολογιστές, καθώς αυτό είναι χαρακτηριστικό ενός σκουληκιού.
● Σκουλήκι (worm). Κακόβουλο λογισμικό το οποίο έχει την ικανότητα να
μεταδίδεται αυτόματα χρησιμοποιώντας την δικτυακή υποδομή (Τοπικά
δίκτυα, δίκτυα WAN) και τις υπηρεσίες του internet (π.χ. e-mail).
● Δούρειος Ίππος (Trojan horse).Κακόβουλο λογισμικό το οποίο
βασίζεται στο στοιχείο της παραπλάνησης, αφού μεταμφιέζεται σε μια
χρήσιμη εφαρμογή, η οποία ωστόσο περιέχει το κακόβουλο κώδικα.
Ένα trojan δημιουργεί μια πίσω πόρτα (backdoor) στο σύστημα ώστε
αυτός που έκανε την επίθεση να μπορέσει να επιστρέψει αργότερα και
να διαχειριστεί το σύστημα από απόσταση. Επίσης το trojan δεν μπορεί
να αναπαραχθεί.
● Spyware-Adware. Κακόβουλο λογισμικό με χαρακτηριστικά παρόμοια
του Δούρειου Ίππου (προσπάθεια παραπλάνησης του χρήστη,
“μεταμφίεση” σαν χρήσιμο πρόγραμμα) που συχνά υποκλέπτει
προσωπικά στοιχεία(π.χ.όνομα χρήστη, κωδικοί πρόσβασης, κλειδιά,
κ.α.)και στην περίπτωση του adware εμφανίζει διαφημιστικά μηνύματα
ανάλογα με την δραστηριότητα του χρήστη στο διαδίκτυο.
● Rootkits. Ένα rootkit είναι κακόβουλο λογισμικό το οποίο λειτουργεί σε
πολύ χαμηλό επίπεδο στο Λ.Σ. και συνήθως ενσωματώνει λειτουργίες
απόκρυψης - stealth ώστε παρακάμπτει τους μηχανισμούς πρόληψης
και ανίχνευσης, όπως firewall και antivirus. Συνήθως ανοίγει πίσω
πόρτες (backdoors), που θα επιτρέψουν την αργότερη απομακρυσμένη
διαχείριση του ξενιστή από κάποιον άλλο χρήστη.
● Bots-Zombies. Κακόβουλο λογισμικό το οποίο αφού προσβάλλει Η/Υ
τους καθιστά μέρος ενός δικτύου Η/Υ (botnet) που ελέγχεται εξ’
αποστάσεως από τρίτους, με σκοπό την πραγματοποίηση
Κατανεμημένων Επιθέσεων Άρνησης Εξυπηρέτησης (DDOS),
επιθέσεις στις οποίες ένας μεγάλος αριθμός Βot συνδέεται
επανειλημμένα στον Η/Υ-στόχο μέσω του διαδικτύου. Τα Bots μπορούν
επίσης να χρησιμοποιηθούν για άλλους σκοπούς, π.χ. την αποστολή
μηνυμάτων spam, την πραγματοποίηση επιθέσεων παραπλάνησης
(phishing) κ.λ.π.
5. Μέτρα Αντιμετώπισης
Τα Μέτρα Αντιμετώπισης των ιών έχουν ως σκοπό την πρόληψη, την
ανίχνευση, την αντιμετώπιση και την ανάληψη από παραβιάσεις ασφάλειας.
Χωρίζονται σε: Antivirus, Firewalls, Εφαρμογές Αντιγράφων Ασφαλείας
(backup), Συστήματα Ανίχνευσης Εισβολών και Ανιχνευτές ευπαθειών.
Antivirus. Η αντιμετώπιση των ιών περιέχει δύο σκέλη: την εύρεση των
αρχείων ενός Η/Υ για τον εντοπισμό και την κατάργηση τους.
Τα προγράμματα Antivirus πραγματοποιούν έλεγχο των αρχείων ενός Η/Υ
για τον εντοπισμό τυχόν μολυσματικών αρχείων. Αφού βρούνε τον ιό των
απομονώνουν και υστέρα τον διαγράφουν. Τα Antivirus έχουν πολλούς
τρόπους προστασίας από κινδύνους ασφάλειας:
● Ανίχνευση κώδικα ιού.Κάθε ιός έχει ένα κομμάτι κώδικα το οποίο τον
ξεχωρίζει από έναν άλλο ιό ή μια κανονική εφαρμογή. Αυτό το κομμάτι
κώδικα ονομάζεται υπογραφή ή αποτύπωμα του Ιού. Ένα
πρόγραμμα Antivirus διαθέτει μια συνεχώς ενημερωμένη Βάση
Δεδομένων με τις υπογραφές όλων των γνωστών ιών. Το πρόγραμμα
Antivirus κάνει συχνούς ελέγχους στα αρχεία του Η/Υ στον οποίο έχει
εγκατασταθεί και εάν βρει ένα αρχείο που περιέχει μια υπογραφή που
έχει στη Βάση Δεδομένων, δίνει στον χρήστη την επιλογή να διαγράψει,
απομονώσει ή επιδιορθώσει το αρχείο. Ωστόσο, αυτή η μέθοδος δεν
μπορεί να ανιχνεύσει έναν καινούργιο ιό που δεν υπάρχει στην βάση
δεδομένων και μπορεί επίσης σε κάποιες περιπτώσεις να ανιχνεύσει
φυσιολογικές εφαρμογές ως ιούς (λάθος συναγερμός).
● Προστασία σε πραγματικό χρόνο. Τα προγράμματα Antivirus
συνήθως διαθέτουν ένα υποσύστημα διάγνωσης και προστασίας σε
πραγματικό χρόνο (real-time protection). Αυτό λειτουργεί στο
παρασκήνιο, ελέγχοντας τα αρχεία και τις εφαρμογές που εκτελούνται
για την ύπαρξη κακόβουλου λογισμικού.
● Προστασία Ηλεκτρονικής Αλληλογραφίας. Τα προγράμματα
Antivirus ελέγχουν τα εισερχόμενα και εξερχόμενα μηνύματα
ηλεκτρονικής αλληλογραφίας για την ύπαρξη ιών και την μαζική
αποστολή e-mail από σκουλήκια. Για να γίνει αυτό είναι προϋπόθεση η
6. συνεργασία του Antivirus με τις πλέον δημοφιλή υπηρεσίες
ηλεκτρονικής αλληλογραφίας.
Firewall. Τα συστήματα firewall προστατεύουν τους πληροφοριακούς
πόρους του Η/Υ ή ενός δικτύου Η/Υ από επιθέσεις μη εξουσιοδοτημένης
πρόσβασης. Αποτελούν έναν μηχανισμό ελέγχου πρόσβασης και δίνουν
έμφαση στην προστασία του εσωτερικού περιβάλλοντος από εξωτερικές
επιθέσεις. Αναλυτικότερα ελέγχει αν τα εισερχόμενα ή εξερχόμενα αρχεία
τηρούν κάποια κριτήρια. Αν το αρχείο δεν τηρεί κάποιον κανόνα τότε αυτό
απορρίπτεται και η λήψη του δεν πραγματοποιείται.
Backup.(Αντίγραφα ασφάλειας)
Τα αντίγραφα ασφάλειας είναι πολύ σημαντικά διότι σε περίπτωση που
υπάρξει καμία βλάβη στον Η/Υ ή έχουν διαγραφεί σημαντικά αρχεία -
δεδομένα, ακόμα και προγράμματα. Βοηθάνε να εγκατασταθούν και να πάει
σε μια “παλαιότερη” έκδοση του συστήματος όπου αρχικά τα σφάλματα αυτά
του Η/Υ δεν υπήρχαν και έτσι μπορούν να φτιαχτούν τα προβλήματα που είχε
βγάλει ή απλά να επανεγκατασταθούν τα προγράμματα που αφαιρέθηκαν.
Επίσης το αποθηκευμένο αντίγραφο ονομάζεται αντίγραφο ασφάλειας ή
εφεδρείας (backup data).
Σύστημα Ανίχνευσης Εισβολών.Επίσης γνωστό ως Intrusion Detection
System (IDS), ο σκοπός του είναι να προστατέψει ένα σύστημα από
εισβολές αναλύοντας τα αρχεία καταγραφής και ελέγχου, προσπαθώντας να
να εντοπίσει “ίχνη” από γνωστές επιθέσεις (π.χ. εγγραφές στο μητρώο,
απόπειρες σύνδεσης από τρίτους, δυσλειτουργία ή τροποποίηση
προγραμμάτων, απόπειρες DOS κ.λ.π.). Χωρίζονται σε Παθητικά,τα οποία
απλά “ψάχνουν” για ύποπτες ενέργειες και ενημερώνουν τον χρήστη, και σε
Ενεργητικά, τα οποία έχουν ενσωματωμένες και λειτουργίες αντιμετώπισης
κινδύνων.
Ανιχνευτής ευπαθειών (Vulnerability scanner).
Είναι ένα εργαλείο που μπορεί να χρησιμοποιηθεί από διαχειριστές Η/Υ,
δικτύων, αλλά και hackers για την ανίχνευση ευπαθειών/αδυναμιών ενός
προγράμματος, αρχείου, Η/Υ ή και δικτύου Η/Υ. Ο έλεγχος μπορεί να είναι
7. συνεχής ή ανά τακτικά χρονικά διαστήματα. Επιπλέον ένας scanner δεν
μπορεί από μονός του να επιλύνει τα προβλήματα γι΄αυτό πρέπει να
συνεργάζεται με ένα σύστημα ανίχνευσης εισβολών.