Embed Size (px)
DESCRIPTION
Počítačová kriminalita. Informatika pro ekonomy II přednáška 7. Rozdělení počítačové kriminality. Porušování autorských práv Hacking Spam, hoax Dialer Spyware Viry, červi, trojské koně. Porušování autorských práv. Druhy licencí: - PowerPoint PPT Presentation
Citation preview
Počítačová kriminalita
Informatika pro ekonomy IIpřednáška 7
Rozdělení počítačové kriminality
Porušování autorských práv Hacking Spam, hoax Dialer Spyware Viry, červi, trojské koně
Porušování autorských práv Druhy licencí:BSD (Berkeley Sortware Distribution) – volné
šíření softwaru i komponent, uvedení jmen autorů
Cardware (postcardware) – pošli pohlednici!Demo – demonstrace vlastností, chybí
klíčové funkceFreeware – zdarma, ale autor si může
vyhradit využití pro nekomerční sféru apod.
Open Source – distribuce se zdrojovými kódy
Licence (pokračování)GNU General Public Licence – lze využít ve
vlastním SWPublic Domain – „vzdání se“ autorských
práv, avšak to nelze, proto bezúplatné libovolné využití
Shareware – lze používat a šířit, ale je potřebné respektovat autorovu specifikaci licence
Trial – zkušební verze (podobné jako Demo)Placená licence – koupě nebo pronájem
(např. Campus Agreement)
Hacking Lámání hesel (hrubá síla, slovníkový
útok) Sniffing – sledování a analýza síťového
provozu, většinou nešifrovaného Spoofing – přesměrování webové adresy
na jinou stránku Phishing – vylákání citlivých informací
podvodným dopisem s výzvou k návštěvě podvržených stránek
Cookies – podvržení identifikace prohlížeče
Spam a hoax Nevyžádaná zpráva, poplašná
zpráva Získání adresy a ochrana proti
sběru adres Filtrace spamu:Blacklisting, Graylistingpodle obsahu – pravidla (odhad, co
je typické pro spam), učení filtru (vyhodnocování skóre, označování spamů – umělá inteligence)
Spam a hoax – obrana
• V drtivé většině případů rozesílají roboti
• Jednou z možností, jak se bránit, je uvádět e-mailovou adresu v „nečitelné“ podobě• Příklad: [email protected] × novak (at) email (dot) cz
• Obrana proti poplašné zprávě: zdravý rozum, návštěva serveru www.hoax.cz
Dialer Jen pro vytáčená připojení k
internetu Přesměrování na jiný modem –
vzdálený Prudký nárůst telefonních poplatků Část poplatků je inkasována
autorem dialeru(?)
Spyware Špionáž – získávání informací bez
vědomí uživatele Adware – přidaný software obvykle
obtěžující reklamou Keylogger – snímač stisků
klávesnice, pro odchytávání hesel Remote Administration Tool –
vzdálené ovládání počítače
Počítačový virus
• Program, jehož cílem je škodit
• Inteligentně naprogramován
• S biologickým virem má společné rysy:fáze množení a napadání, fáze destrukce
• Pracuje skrytě
• Využívá nedokonalostí operačního systémua dalších programových komponent
Typy počítačových virů
• Souborové viry — napadají spustitelné soubory
• Zaváděcí (boot) viry — napadají zaváděcí sektory
• Dokumentové viry — napadají dokumenty
• Trojské koně — předstírají systémové služby
• Červi — pakety zneužívající bezpečnostní díry systému
Souborové viry
• Dělení podle metody infekce:
— přepisující — přepíší původní soubor tělem viru
— parazitické — připojují se k hostiteli, aniž by jej trvale poškodily
— doprovodné viry
• Hostitelem jsou spustitelné soubory (EXE, COM, ...)• Cílem viru je rozmnožení ihned po spuštění hostitelského souboru
Princip napadení souboru virem
Původní nenarušený soubor
Zbytek původního souboru
Startovací část viru Tělo viru
Zaváděcí (boot) viry
• Infikují boot sektory disket a MBR pevného disku
• Virus si zajistí spuštění ihned po startu počítače a je tak paměťově rezidentní
• Příznakem nákazy zaváděcím virem bývá snížení dostupné systémové paměti
Dokumentové viry (makroviry)
• Vyvinuly se z masivního rozšíření kancelářských aplikací MS Office a jejich možností vytvářet makra
• Makrovirus = makro (soubor maker), které je schopno samo sebe kopírovat a různě škodit
• Často napadaným souborem bývá šablona NORMAL.DOT, virus je tak kopírován do každého nového dokumentu
Trojské koně (Trojani)
• Na rozdíl od „pravých“ virů nedochází k sebereplikaci a infekci souborů
• Jedinou formou desinfekce je smazání napadeného souboru
• Vyskytují se v několika formách — vypouštěče (droppery), password-stealing trojani (PSW), destruktivní trojani, zadní vrátka (backdoor)
Červi (Worms)
• Pracují na nižší úrovni než klasické viry
• Nešíří se v podobě infikovaných souborů, ale v podobě síťových paketů
• Zneužívají konkrétní bezpečnostní díry operačního systému či softwaru
• Nelze je detekovat klasickou formou antivirového systému
• Vedlejším efektem činnosti červů bývá zahlcení sítě
Možnosti šíření virů
• Kopírováním — zejména souborové a dokumentové viry, jsou „využity“ kopie na diskety, archivní média, po síti• Formátováním — zaváděcí viry
• Elektronickou poštou — všechny typy
Techniky virů šířících seelektronickou poštou
• Maskovací techniky — dvojitá přípona souboru, bílé znaky (odsunutí druhé přípony z obrazovky)
• Zneužívání bezpečnostních chyb — Outlook• Aktualizace prostřednictvím internetu — využívání sítí peer-to-peer• Likvidace antivirových programů
• Falšování skutečného odesílatele (spoofing)• Ukončení vlastní činnosti — po nějaké době se virus přestane šířit a vyčkává na další „pokyny“
Fáze množení
• Začíná napadením — napadený soubor může být kopírován
• Spuštěním napadeného souboru — virus se stává aktivním a může se množit pomocí běžných systémových služeb
Škodicí fáze
• „Neškodné“ případy — efekty na obrazovce, se zvukem
• Mírně destruktivní — restart stroje, zabrání místa na disku, poškození funkce programu• Velmi destruktivní — mazání souborů na discích, zrušení adresářů, napadení FAT, MBR, CMOS
Prevence (I)
• Archivace — bezpečné zálohy mimo stroj
• Originální software — jednak neobsahuje virus od výrobce, jednak při napadení lze reinstalovat z originálních médií• Nepoužívání neověřených médií — možnost infekce ze „zapomenuté“ diskety• Pravidelná detekce — použití antivirových programů
• Sledování webu — www.hoax.cz, www.viry.cz
Prevence (II)
• Správná práce s klientem elektronické pošty:— nestěhovat zprávy na lokální stroj
— neotvírat automaticky přílohy
— používat transparentní software
— instalovat antivirový program pro poštovní zprávy
Odstranění viru
• Antivirový systém — detekce viru, v některých případech i odstranění; imunizace
• Obnova boot (MBR) — u zaváděcích virů; systémové oblasti je nutné pravidelně zálohovat• Smazání (přeformátování) — souborové viry
• Kopírování dat přes schránku — dokumentové viry
• Detekce a odstranění — pro back door, je nutné mít k dispozici žurnály (system log)
Princip detekce viru
• Databáze vzorků — charakteristické skupiny instrukcí, délka v bytech, způsob napadení.Detekční program je schopen prohledávat soubory a sledovat přítomnost vzorků známých virů. Nevýhoda: nelze detekovat nový virus.• Heuristická analýza — sledování projevů virů; detekční program hledá charakteristické virózní projevy (citlivé instrukce, jejich posloupnosti). Nevýhoda: virus nemusí být objeven, „planý poplach“
Antivirové programy
• Poskytují kombinované služby — detekce, odstranění, imunizace, ochrana• Detekce na požádání — program se spustí ve vhodné době (lze naplánovat například na noc), provede se hromadné prohlédnutí souborového systému, paměti, MBR, CMOS. Nevýhoda: virus se v mezidobí již může namnožit.• Rezidentní štít — program je trvale spuštěn, monitoruje veškeré spuštěné procesy. Nevýhoda: nadbytečná zátěž procesoru.
