Skocz do zawartości




Zdjęcie

Jak wykryć atak hakera


  • Zaloguj się, aby dodać odpowiedź
4 odpowiedzi w tym temacie

Katalogi.pl

Katalogi.pl
  • Bywalec

#1 enwu

enwu

    1

  • Members
  • PipPipPip
  • 4140 postów

Napisano 07 styczeń 2010 - 14:21


Większość luk w komputerach może zostać wykorzystana na wiele różnych sposobów. Ataki hakerów mogą wykorzystywać jeden konkretny exploit, kilka exploitów równocześnie, złą konfigurację, jeden z elementów systemu lub nawet backdoora z wcześniejszego ataku.

Z tego względu wykrycie ataków hakera jest niełatwym zadaniem dla niedoświadczonego użytkownika. Artykuł ten zawiera kilka podstawowych wskazówek mających pomóc użytkownikom w rozpoznaniu, czy ich komputery są atakowane, lub czy nastąpiło włamanie do systemu. Należy jednak pamiętać, podobnie jak w przypadku wirusów, że przedstawione sposoby nie dają 100% gwarancji wykrycia ataków hakerów. Istnieje jednak duże prawdopodobieństwo, że system, do którego włamano się, będzie zachowywał się na jeden lub więcej następujących sposobów:

Komputery działające pod kontrolą systemu Windows:

* Podejrzanie duży ruch sieciowy wychodzący. Jeżeli użytkownik korzysta z połączenis Dial-Up lub ADSL i zauważy wyższe niż zazwyczaj natężenie ruchu sieciowego wychodzącego (szczególnie gdy komputer jest bezczynny lub niekoniecznie wysyła dane), może to oznaczać, że ktoś naruszył ochronę danych komputera. Komputer może zostać użyty do rozsyłania spamu lub wykorzystany przez robaka sieciowego, który tworzy i wysyła swoje własne kopie. Mniejsze znaczenie ma to w przypadku połączeń kablowych - ruch wychodzący jest wówczas zazwyczaj taki sam jak przychodzący, nawet jeśli nie robimy nic więcej poza przeglądaniem stron lub ściąganiem danych z Internetu.
* Zwiększona aktywność dysku lub podejrzanie wyglądające pliki w katalogach głównych dowolnego napędu. Po włamaniu do systemu wielu hakerów przeprowadza masowe skanowanie w poszukiwaniu interesujących dokumentów lub plików zawierających hasła lub nazwy użytkownika dla kont bankowych lub systemów płatniczych, takich jak PayPal. Analogicznie, niektóre robaki przeszukują dysk w celu znalezienia adresów e-mail i wykorzystaniu ich do rozprzestrzeniania się. Jeśli dysk główny jest aktywny, nawet gdy system jest bezczynny, a popularne foldery zawierają pliki o podejrzanych nazwach, może to oznaczać włamanie do systemu lub infekcję złośliwym programem.
* Duża liczba pakietów pochodząca z jednego adresu zatrzymana przez osobistą zaporę ogniową. Po zlokalizowaniu celu (np. zakres adresów IP firmy lub pula domowych użytkowników kablowych) hakerzy uruchamiają zazwyczaj automatyczne narzędzia sondujące próbujące wykorzystać różne exploity w celu dokonania włamania do systemu. Jeśli po uruchomieniu osobistej zapory ogniowej (podstawowy element ochrony przed atakami hakerów) użytkownik zauważy wyższą niż zazwyczaj liczbę zatrzymanych pakietów przychodzących z jednego adresu, oznacza to atak na komputer. Dobra wiadomość jest taka, że jeśli zapora ogniowa zarejestrowała te ataki, prawdopodobnie komputer jest bezpieczny. Jednak w zależności od liczby usług udostępnionych w Internecie, osobista zapora ogniowa może nie uchronić użytkownika przed atakiem skierowanym na konkretną usługę FTP uruchomioną i udostępnioną w systemie. W tym przypadku rozwiązaniem może być tymczasowe zablokowanie atakującego adresu IP do czasu ustania prób połączeń. Wiele osobistych zapór ogniowych i systemów wykrywania włamań (IDS) ma wbudowaną taką funkcję.
* Chociaż nie wykonano żadnej nietypowej czynności, rezydentny program antywirusowy zgłasza nagle wykrycie backdoora lub trojana. Ataki hakerów mogą być złożone i innowacyjne, jednak wielu włamywaczy w celu zdobycia pełnego dostępu do zaatakowanego systemu wykorzystuje znane trojany lub backdoory. Jeżeli rezydentny składnik programu antywirusowego wykrywa i zgłasza taki złośliwy program, oznacza to, że możliwe jest uzyskanie dostępu do systemu z zewnątrz.

Komputery działające pod kontrolą systemu Unix:

* Pliki o podejrzanych nazwach w folderze /tmp. Wiele exploitów w świecie Uniksa tworzy tymczasowe pliki w standardowym folderze /tmp, które po włamaniu do systemu nie zawsze są usuwane. Dotyczy to niektórych robaków infekujących systemy Unix; kompilują się ponownie w folderze /tmp i używają go jako swojego katalogu domowego.
* Zmodyfikowane binaria systemu, takie jak 'login', 'telnet', 'ftp', 'finger', lub bardziej złożone demony, takie jak 'sshd', 'ftpd'. Po włamaniu do systemu haker próbuje zazwyczaj zabezpieczyć dostęp przez umieszczenie backdoora w jednym z demonów z dostępem uzyskiwanym bezpośrednio z Internetu lub poprzez modyfikację standardowych urządzeń systemu używanych do połączeń z innymi systemami. Te zmodyfikowane binaria często są częścią głównego zestawu i są "utajnione" podczas przeprowadzania bezpośredniej, prostej kontroli. W każdym przypadku zalecane jest prowadzenie bazy danych sum kontrolnych dla każdego urządzenia systemowego i ich okresowa weryfikacja w trybie off-line.
* Zmodyfikowane pliki /etc/passwd, /etc/shadow lub inne pliki systemowe w folderze /etc. Niekiedy w wyniku ataków hakerów w pliku /etc/passed dodany jest nowy użytkownik, który może zostać zdalnie zalogowany w późniejszym czasie. Należy zwracać uwagę na podejrzane nazwy użytkowników w pliku password i monitorować wszelkie zmiany, szczególnie w systemie dla wielu użytkowników.
* Podejrzane usługi dodane do /etc/. Uruchomienie backdoora w systemie Unix jest czasami kwestią dodania dwóch wierszy tekstu. Można to osiągnąć modyfikując usługi /etc, jak również /etc/ined.conf. Należy zatem dokładnie monitorować te dwa pliki, zwracając uwagę na wszelkie zmiany mogące wskazywać na przyłączenie backdoora do nieużywanego lub podejrzanego portu.

http://www.wiruspc.pl/hackers/id,118

#2 enwu

enwu

    1

  • Members
  • PipPipPip
  • 4140 postów

Napisano 07 styczeń 2010 - 14:26

Silne hasło to podstawa...
Maciej Ziarek
Analityk, Kaspersky Lab Polska

Często mówiąc o bezpieczeństwie w sieci, ma się na myśli posiadanie antywirusa, firewalla, aktualizacje systemu czy też myślenie przed, a nie po fakcie, co tyczy się klikania w nieznane odnośniki w mailach. Jednak nawet najlepsze zabezpieczenia nie pomogą, jeżeli hasło do konta pocztowego czy systemu będzie banalne. Porównać to można do mieszkania, w którym mamy wszelkiej maści alarmy, a frontowe drzwi zostawiamy zamknięte na zwykły łańcuszek...

Aby nie być gołosłownym, przytoczę badania przeprowadzone przez Roberta Grahama z firmy Errata Security, które zostały zaprezentowane przez serwis AFP (2009).

Robert Graham swoje badania oparł na analizie 28 tysięcy przypadków kradzieży hasłem z popularnych serwisów w Stanach Zjednoczonych. Niestety wyniki nie są zadowalające:

Rodzaje kradzionych haseł

* 16% poszkodowanych jako hasła używało swojego imienia lub imienia kogoś z rodziny
* 14% haseł stanowiły ciągi cyfr, np. "1234" czy "0987654321"
* 5% to imiona gwiazd seriali i nazwy filmów, np. "Matrix", "Pokemon" czy "Hannah"
* 4% haseł stanowiły hasła... "hasło", aż trudno uwierzyć, że tylko takie słowo oddziela kogoś od naszej poczty, systemu, konta bankowego czy innego serwisu wymagającego uwierzytelnienia
* 3% stanowiły zwroty typu "iloveyou" czy "qwerty" (pierwsze 6 znaków na klawiaturze)

Powyższe przykłady można złamać metodą słownikową w dosłownie kilka sekund. Słowniki posiadają bazę tysięcy słów, a imiona i ciągi znaków są na pierwszych miejscach...

Hasło musi być nie tylko skomplikowane, ale i regularnie zmieniane. Serwis IDG przeprowadził sondę wśród użytkowników: http://www.idg.pl/so...woje.hasla.html i jej wyniki również nie są zadowalające. Pytanie brzmiało: jak często zmieniasz swoje hasło? ( .... )

Jak często użytkownicy zmieniają hasła?

Optymalnym rozwiązaniem jest zmiana hasła raz na 3 miesiące, zatem tylko 16,55% ankietowanych mieściło się w tej normie. Co do samego hasła i stopnia jego skomplikowania, to zaleca się aby składało się minimum z 7 znaków i zawierało małe i duże litery, znaki specjalne i cyfry. Stosując taką kombinację i zmieniając regularnie hasła zmniejszamy do minimum ryzyko przejęcia naszego konta przez kogoś nieuprawnionego. Aby łatwiej zapamiętać hasło, możemy wplatać wyżej wymienione elementy nawet w banalne zwroty. "iloveyou" jest łatwe do odgadnięcia, jeżeli jednak zmienimy to na "I+L0v3_y0u", hasło posiada już cechy silnego zabezpieczenia.

http://www.wiruspc.pl/articles/id,18755

Wirus.PC

#3 enwu

enwu

    1

  • Members
  • PipPipPip
  • 4140 postów

Napisano 07 styczeń 2010 - 14:30

Główne osobowości z kręgu hakerów

Sekcja ta zawiera krótkie opisy najbardziej znanych hakerów, zarówno czarnych, jaki i białych kapeluszy. Postaci te zyskały sławę z różnorodnych powodów: ze względu na ich działania, zarówno pozytywne, jak i negatywne, wkład do rozwoju oprogramowania i technologii, czy też innowacyjne podejście, umiejętności lub nietuzinkowe pomysły.

Richard Stallman uważany jest za ojca darmowego oprogramowania. Po rozpoczęciu pracy w 1971 roku w Laboratorium Sztucznej Inteligencji instytutu MIT Stallman zetknął się z "klauzulą o nieujawnianiu informacji" i programem z niedostępnym publicznie kodem źródłowym, gdy włamywał się do sterownika systemowego w celu usprawnienia go w "tradycyjny sposób". Po interesującej batalii o zdobycie kodu źródłowego wadliwej drukarki Stallman porzucił swoją pracę i został najzagorzalszym zwolennikiem darmowego oprogramowania komputerowego, tworząc GNU i Free Software Foundation.

Dennis Ritchie i Ken Thompson znani są w związku z dwoma dziełami: systemem operacyjnym UNIX i językiem programowania C. Obydwaj rozpoczęli swoje kariery w latach 60. w laboratorium Bell Labs, a ich pomysły na zawsze zrewolucjonizowały świat komputerowy. Ken Thompson wycofał się ze świata komputerowego, Dennis Ritchie natomiast jest wciąż zatrudniony w Lucent Technology, pracując nad nowym systemem operacyjnym opartym na Uniksie, zwanym 'Plan9'.

John Draper, znany jako "Cap'n Crunch", zdobył sławę dzięki swym umiejętnościom włamywania do systemów telefonicznych, używając do tego tylko gwizdka znalezionego w pudełku płatków zbożowych "Cap'n Crunch" (stąd jego ksywa). Oprócz miana ojca uzyskiwania nielegalnych połączeń telefonicznych, John Draper znany jest również z powodu stworzenia pierwszego edytora tekstu dla IBM PC. Obecnie prowadzi on własną działalność w branży bezpieczeństwa komputerowego, zajmuje się opracowywaniem rozwiązań antyspamowych, zapobieganiem ataków hakerów i zabezpieczeniami komputerów typu PC.

Robert Morris rozsławił się stworzeniem w roku 1988 pierwszego robaka internetowego. Zainfekował on tysiące systemów paraliżując Internet na 12 godzin. Robak Morris był prawdopodobnie pierwszym całkowicie automatycznym narzędziem hakerskim, wykorzystującym kilka niezałatanych luk w komputerach Vax i Sun.

Kevin Mitnick, prawdopodobnie najbardziej znany przypadek "czarnego kapelusza", został namierzony przez eksperta komputerowego Tsutomu Shimomura'ego w roku 1995.

Kevin Poulsen zyskał sławę, gdy w roku 1990 dokonał włamania do systemu telefonicznego w Los Angeles, co pozwoliło mu dodzwonić się jako stodruga osoba w konkursie radiowym i wygrać Porsche 944. Kevin Poulsen został w końcu złapany i skazany na trzy lata więzienia. Obecnie pisze artykuły do magazynu online poświęconemu bezpieczeństwu "SecurityFocus".

Vladimir Levin, rosyjski ekspert komputerowy, włamał się do Citibanku kradnąc 10 milionów dolarów. W 1995 roku został aresztowany w Wielkiej Brytanii przez Interpol oraz skazany na trzyletni pobyt w więzieniu oraz zapłatę 240 015 dolarów jako zadośćuczynienie.

Tsutomu Shimomura jest dobrym przykładem "białego kapelusza". Pracował w San Diego Supercomputing Center, gdy Kevin Mitnick włamał się do jego sieci kradnąc informacje o technologii telefonów komórkowych i inne tajne dane. Tsutomu rozpoczął pościg za Mitnickiem doprowadzając do jego aresztowania.

Linus Torvalds znany jest jako ojciec Linuksa, najpopularniejszego obecnie systemu operacyjnego opartego na Uniksie. Linus rozpoczął pracę nad nowym systemem operacyjnym w roku 1991, wykorzystując do swojego projektu kilka kontrowersyjnych technologii, takich jak ideę Free Software i Gnu's Public Licence System. Znany jest również dzięki swoim wcześniejszym sporom z Andrewem Tannenbaumem, autorem Miniksa, który był źródłem inspiracji dla Linusa w jego projekcie systemu operacyjnego.

Wirus.PC

http://www.wiruspc.pl/hackers/id,125

#4 enwu

enwu

    1

  • Members
  • PipPipPip
  • 4140 postów

Napisano 07 styczeń 2010 - 14:32

Analiza mentalności hakera

Wiele dyskusji toczy się wokół pytania: "dlaczego ludzie włamują się do systemów komputerowych?". Niektórzy twierdzą, że to tak jakby zapytać kogoś, dlaczego wspina się po górach i usłyszeć odpowiedź: "bo istnieją". Inni natomiast uważają, że włamania do systemów komputerowych przyczyniają się do zwiększenia bezpieczeństwa związanego z użytkowaniem komputerów, ponieważ uwydatniają luki w zabezpieczeniach. Jednak najczęściej podawanym powodem jest zamiar przestępczy.

Niezależnie od powodu, tak długo, jak będą istniały komputery, istnieć będą również hakerzy - "białe kapelusze", "czarne kapelusze", czy nawet szare. Ponieważ nie sposób przewidzieć, jaki rodzaj ataku uderzy w użytkowany komputer, dobrze jest przygotować się na najgorsze.

Prawda wygląda tak, że w przeciągu godzin od momentu podłączenia komputera do Interneu znajdzie się jakaś osoba, która będzie go skanowała za pomocą automatycznego narzędzia do wykrywania luk, aby znaleźć sposoby na przeniknięcie go. Może to być ktoś, kto jest po prostu ciekaw jego zawartości lub "biały kapelusz" znajdujący się po drugiej stronie świata, który sprawdza, jak zabezpieczony jest komputer. W realnym życiu nikt z nas nie chciałby, żeby jakieś obce osoby zatrzymywały się przed naszym domem albo samochodem sprawdzając, czy są zamknięte, a jeśli nie, wchodziły do środka, rozglądały się, przetrząsały nasze rzeczy osobiste i zostawiały wiadomość o treści "Cześć, byłem tu, nie zamknąłeś drzwi, ale nie przejmuj się mną, a przy okazji napraw sobie zamek". Jeśli nie chcielibyśmy, aby ktoś zrobił coś takiego w naszym domu, z pewnością nie chcielibyśmy, aby zrobił to samo z naszym komputerem. Nie możemy również usprawiedliwiać samych siebie, jeżeli dopuszczamy się podobnych czynów wobec komputera jakiejś innej osoby.

Włamanie do systemu komputerowego popełnione z premedytacją, z wyraźnym celem popełnienia przestępstwa jest oczywiście jeszcze gorsze. Wyobraźmy sobie następującą sytuację w realnym życiu: ktoś łamie nasze zamki, dostaje się do domu, wyłącza system alarmowy, kradnie jakąś rzecz albo instaluje podsłuch w naszym telefonie, czy też umieszcza w salonie sprzęt do śledzenia. Jeśli coś takiego zdarzyłoby się w rzeczywistości, miałby miejsce następujący ciąg wydarzeń: wzywamy policję, policja dokonuje oględzin miejsca i spisuje protokół, a my później czekamy, na schwytanie sprawców. Niestety w świecie komputerowym taki scenariusz jest niezwykle rzadki; sprawca może być oddalony o setki kilometrów i pobierać nasze poufne pliki siedząc w swojej willi lub opalając się przy basenie, a wszystko to za ukradzione pieniądze. Wiele dużych korporacji woli nie zgłaszać przypadków włamania do systemów komputerowych, chcąc w ten sposób chronić wizerunek firmy. Oznacza to, że przestępcy unikają kary.

Innymi motywami działań hakera może być chuligaństwo lub cyfrowe grafitti. W obu przypadkach chodzi o chęć wyrządzenia szkody. Popularną formą cyfrowego grafitti jest atakowanie stron WWW. Niektóre grupy hakerów koncentrują się tylko na tej czynności. Podobnie jak w fizycznym, niecybernetycznym świecie, złapanie chuliganów jest żmudnym zadaniem, które zazwyczaj nie zwraca włożonych wysiłków czy środków.

Niezależnie od motywów: "chęć pomocy innym", "chuligaństwo", czy "zamiar przestępczy", włamywanie do systemów komputerowych jest zjawiskiem głęboko zakorzenionym w świecie komputerowym i prawdopodobnie nigdy nie zostanie wyeliminowane. Zawsze znajdą się niedojrzali ludzie, którzy postanowią zniszczyć zasoby publiczne, samozwańczy Janosikowie lub przestępcy ukrywający się w ciemnych zaułkach cyberprzestrzeni.

Wirus.PC

http://www.wiruspc.pl/hackers/id,124



#5 enwu

enwu

    1

  • Members
  • PipPipPip
  • 4140 postów

Napisano 07 styczeń 2010 - 14:34

10 twarzy zagrożeń malware

Michael Kassner

Złożoność dzisiejszych środowisk IT ułatwia rozkwit oprogramowania typu malware. Znajomość zagrożeń sieciowych to pierwszy krok do uniknięcia problemów.

Z uwagi na różne określenia, definicje i terminologię, próba określenia co jest co, jeśli chodzi o malware, może być trudna. Na początek spróbujmy zdefiniować kilka kluczowych terminów, których będziemy używać w tym artykule:

* Malware: to złośliwe oprogramowanie (malicious software), które jest stworzone specjalnie do infiltracji lub uszkadzania systemów komputerowych bez wiedzy i zezwolenia ich właścicieli.

* Malcode: to złośliwy kod programistyczny (malicious programming code), który jest wprowadzany podczas fazy tworzenia programu i jest najczęściej umieszczany w ładunku malware.

* Anty-malware: obejmuje programy, które walczą z malware niezależnie od tego czy stanowią ochronę w czasie rzeczywistym, wykrywają czy usuwają istniejące programy malware. Programy antywirusowe, anty-spyware i skanery malware są przykładami programów anty-malware.

Jedną z rzeczy, które trzeba zapamiętać na temat malware jest to, że tak jak u jego biologicznego odpowiednika, celem numer jeden jest reprodukcja. Uszkadzanie systemów komputerowych, niszczenie danych i kradzież poufnych informacji to cele drugorzędne.

Mając na uwadze powyższe definicje, rzućmy okiem na 10 różnych rodzajów malware.

1: Okryty złą sławą wirus komputerowy

Wirus komputerowy to program typu malware, który infekuje komputer i może się rozprzestrzeniać jedynie z zainfekowanego komputera do niezainfekowanego komputera poprzez dołączanie się do pewnych form kodu wykonywalnego, który jest przesyłany pomiędzy nimi. Na przykład, wirus może być ukryty w pliku PDF załączonym do wiadomości e-mail. Większość wirusów składa się z trzech następujących części:

* Replikator: Jeśli program gościa jest uruchomiony, uruchomiony jest także wirus i jego priorytetem jest rozmnażanie się.

* Moduł maskujący: Wirus komputerowy może stosować jedną lub kilka metod ukrywania się przed programami anty-malware

* Ładunek: Ładunek malcode wirusa może mieć jakiekolwiek zadanie, od wyłączania funkcji komputera, po niszczenie danych.

Przykładowe wirusy komputerowe będące aktualnie na wolności to W32.Sens.A, W32.Sality.AM, and W32.Dizan.F. Większość programów antywirusowych usunie wirusy komputerowe jeśli posiadają w swojej bazie sygnaturę wirusa.

2: Ciągle popularny robak komputerowy

Robaki komputerowe są bardziej wyrafinowane od wirusów. Potrafią się replikować bez ingerencji użytkownika. Jeśli malware używa sieci (Internetu) do rozprzestrzeniania się, to jest to raczej robak a nie wirus. Główne elementy robaka komputerowego to:

* Narzędzie penetracji: Malcode, który wykorzystuje słabą stronę komputera ofiary aby uzyskać do niego dostęp.

* Instalator: Narzędzie penetracji pozwala robakowi na przejście przez mechanizm obronny komputera. W tym momencie instalator przejmuje kontrolę i przesyła do ofiary główną część malcode.

* Narzędzie wykrywające: Gdy robak się już zasiedli, używa kilku różnych metod wykrywania innych komputerów w sieci, włączając w to adresy e-mail, listy hostów i zapytania DNS.

* Skaner: Robak wykorzystuje skaner do określenia czy którykolwiek z nowo odkrytych celów jest podatny na metody stosowane przez narzędzie penetracji.

* Ładunek: Malcode, który rezyduje na każdym komputerze-ofierze. Może być czymkolwiek, od aplikacji zdalnego dostępu po keylogger mający za zadanie przechwycenie nazw użytkowników i haseł.

Ten typ malware jest niestety najbardziej efektywny, zaczynając od robaka Morris'a z 1988 i kontynuując po dziś dzień z robakiem Conficker. Większość robaków komputerowych może byc usunięta przez skanery malware takie, jak np. MBAM lub GMER.

3: Nieznane backdoor'y

Backdoor'y są podobne do programów dostępu zdalnego, których często używa wielu z nas. Są uznawane za malware gdy są zainstalowane bez pozwolenia użytkownika, czego właśnie chce napastnik używając następujących metod instalacji:

* Jedną z metod instalacji jest wykorzystanie słabości komputera-celu.

* Inne podejście to podstępne zainstalowanie backdoor'a z wykorzystaniem technik inżynierii społecznej.

Gdy backdoor zostanie zainstalowany, daje on napastnikowi pełen dostęp zdalny do atakowanego komputera. SubSeven, NetBus, Deep Throat, Back Orifice, i Bionet to backdoor'y które zyskały sławę. Skanery malware takie, jak MBAM i GMER, zwykle skutecznie usuwają backdoor'y.

4: Tajemnicze konie trojańskie

Ciężko znaleźć lepszą definicję oprogramowania malware typu koń trojański niż ta, którą Ed Skoudis i Lenny Zelter umieścili w swojej książce Malware: Fighting Malicious Code:

"Koń trojański to program, który wydaje się mieć przydatne funkcje ale w rzeczywistości ukrywa jakąś złośliwą funkcjonalność."

Koń trojański maskuje destrukcyjny ładunek podczas instalacji i uruchamiania programu tak, że oprogramowanie anty-malware nie jest w stanie rozpoznać malcode. Niektóre z technik maskowania to:

* Zmiana nazwy malware na nazwę pliku przypominającą nazwę zwykle obecną w systemie.

* Uszkodzenie zainstalowanego oprogramowania anty-malware, aby nie reagowało na wykrycie malware.

* Kod polimorficzny jest używany w celu modyfikacji sygnatury malware zanim system obronny pobierze nowe bazy sygnatur.

Vundo to doskonały przykład; tworzy on reklamy pop-up programów rogue anty-spyware, obniża wydajność systemu i zakłóca przeglądanie internetu. Zwykle, aby wykryć i usunąć Vundo, wymagany jest skaner malware zainstalowany na LiveCD.

5: Adware/Spyware, więcej niż irytacja

Adware to oprogramowanie, które tworzy reklamy pop-up bez zgody użytkownika. Zwykle adware jest instalowane jako część darmowego oprogramowania. Poza tym, że adware jest bardzo irytujące, może też znacząco obniżyć wydajność systemu.

Spyware to oprogramowanie, które zbiera informacje z komputera bez wiedzy użytkownika. Darmowe oprogramowanie notorycznie zawiera w sobie spyware tak więc czytanie umowy licencyjnej podczas instalacji jest bardzo istotne. Znanym przykładem spyware jest skandal związany z zabezpieczeniem przed kopiowaniem CD Sony BMG.

Najlepsze programy anty-spyware bez problemu znajdą niechciane aplikacje adware/spyware i usuną je z komputera. Dobrym środkiem zapobiegawczym jest regularne usuwanie plików tymczasowych, ciasteczek i historii przeglądania internetu.

Potrawka z malware

Do tej pory, wszystkie omówione rodzaje malware miały wyraźną charakterystykę, przez co łatwo można było określić każdy typ. Niestety nie można tak powiedzieć o kolejnych odmianach. Twórcy malware wpadli na pomysł jak połączyć najlepsze funkcje różnych rodzajów malware w celu poprawy ich skuteczności.

Przykładem tego są rootkit'y, łączące w sobie konia trojańskiego i backdoor'a. Dzięki tej kombinacji, atakujący może zdalnie uzyskać dostęp do komputera bez wzbudzania jakichkolwiek podejrzeń. Rootkit'y są jednymi z ważniejszych zagrożeń więc przyjrzyjmy im się z bliska:

Rootkit'y

Rootkit'y są klasą samą dla siebie. Wybrały modyfikację istniejącego systemu operacyjnego zamiast instalowania oprogramowania na poziomie aplikacji jak większość malware. Jest to istotne ponieważ sprawia, że wykrycie ich przez oprogramowanie anty-malware jest znacznie trudniejsze.

Istnieje kilka różnych rodzajów rootkit'ów ale tylko trzy z nich stanowią większość obecnych w sieci. Są to rootkit'y trybu użytkownika (user-mode), trybu jądra systemu (kernel-mode) i firmware'owe. Rootkit'y trybu użytkownika i trybu jądra systemu mogą wymagać objaśnienia:

* Tryb użytkownika: Kod ma ograniczony dostęp zasobów oprogramowania i sprzętu komputera. Większość kodu działającego na komputerze będzie wykonywana w trybie użytkownika. W związku z ograniczeniami dostępu, awarie w trybie użytkownika są do naprawienia.

* Tryb jądra systemu: Kod ma nieograniczony dostęp do wszystkich zasobów oprogramowania i sprzętu komputera. Tryb jądra jest zarezerwowany dla najbardziej zaufanych funkcji systemu operacyjnego. Awarie w trybie jądra systemu są nie do naprawienia.

6: Rootkit'y trybu użytkownika

Jest teraz jasne, że rootkit'y trybu użytkownika działające na komputerze mają te same przywileje, które są zarezerwowane dla administratorów systemu. Oznacza to, że:

* Rootkit'y trybu użytkownika mogą modyfikować procesy, pliki, sterowniki systemowe, porty sieciowe a nawet usługi systemowe.

* Rootkit'y trybu użytkownika są instalowane poprzez skopiowanie określonych plików na dysk twardy komputera i są uruchamiane automatycznie podczas każdego startu systemu.

Przykładem rootkit'a trybu użytkownika jest Hacker Defender. Dobrze znany program Rootkit Revealer Marka Russinovich'a jest w stanie wykryć go, jak i większość innych rootkit'ów trybu użytkownika.

7: Rootkit'y trybu jądra systemu

Z uwagi na to, że rootkit'y działające w trybie użytkownika można wykryć i usunąć, twórcy rootkit'ów zmienili myślenie i opracowali rootkit'y trybu jądra systemu:

* Tryb jądra systemu oznacza, że rootkit jest zainstalowany na tym samym poziomie co system operacyjny i oprogramowanie wykrywające rootkit'y.

* Pozwala to na manipulację systemem operacyjnym do tego stopnia, że nie można ufać systemowi operacyjnemu.

Niestabilność to jedyna z wad rootkit'ów jądra systemu, prowadząca zwykle do niewyjaśnionych awarii i blue screen'ów. Na tym etapie dobrym pomysłem jest wypróbowanie GMER'a. To jeden w kilku zaufanych narzędzi do usuwania rootkit'ów, który ma szanse przeciw rootkit'om jądra systemu takim, jak np. Rustock

8: Rootkit'y firmware'owe

Rootkit'y firmware'owe są bardziej wyrafinowane, ponieważ ich twórcy wpadli na pomysł aby umieścić malcode w firmware. Zmodyfikowany firmware może być czymkolwiek, od kodu mikroprocesora po firmware karty PCI. Oznacza to, że:

* Kiedy komputer jest wyłączany, rootkit zapisuje aktualny malcode w określonym firmware.

* Po ponownym uruchomieniu komputera sam się reinstaluje.

Nawet jeśli narzędzie usuwające rootkit'y wykryje i usunie rootkit'a firmware'owego, przy następnym starcie komputera rootkit pojawia się ponownie.

9: Złośliwy kod mobilny

W czasach względnej anonimowości, złośliwy kod mobilny szybko staje się najskuteczniejszym sposobem na zainstalowanie malware na komputerze. Po pierwsze, zdefiniujmy kod mobilny jako oprogramowanie, które:

* Może być ściągnięte ze zdalnych serwerów.

* Może być przesłane przez sieć.

* Może być pobrane i uruchomione w lokalnym systemie.

Przykłady kodu mobilnego obejmują JavaScript, VBScript, kontrolki ActiveX i animacje Flash. Główną ideą kodu mobilnego jest aktywna zawartość przez co jest łatwy do rozpoznania. To dynamiczna treść strony internetowej, która sprawia, że surfowanie po internecie może być interaktywnym przeżyciem.

Co sprawia, że kod mobilny jest złośliwy? Instalowanie go bez zgody użytkownika lub wprowadzenie użytkownika w błąd w kwestii funkcji tego oprogramowania. Na domiar złego, zazwyczaj jest to pierwsza faza złożonego ataku, podobna w działaniu do narzędzia penetracji używanego przez konie trojańskie. Atakujący może następnie zainstalować dodatkowe oprogramowanie malware.

Najlepszym sposobem walki ze złośliwym kodem mobilnym jest uaktualnianie na bieżąco systemu operacyjnego i oprogramowania.

10: Mieszane zagrożenia

Malware jest postrzegane jako mieszane zagrożenie jeśli dąży do maksymalizacji szkód i efektywnego rozmnażania poprzez łączenie funkcjonalności kilku typów malware. O mieszanych zagrożeniach należy wspomnieć ponieważ eksperci od bezpieczeństwa niechętnie przyznają, że są one najlepsze w tym co robią. Mieszane zagrożenia posiadają zwykle następujące możliwości:

* Wykorzystują znane słabe punkty a nawet potrafią tworzyć słabe punkty.

* Wykorzystują alternatywne metody replikacji.

* Automatyzują wykonywanie kodu co eliminuje interakcję użytkownika.

Malware jako mieszane zagrożenie może, na przykład, wysłać wiadomość e-mail z osadzonym koniem trojańskim wraz z załączonym plikiem PDF zawierającym różne rodzaje koni trojańskich. Niektóre z lepiej znanych mieszanych zagrożeń to Nimda, CodeRed i Bugbear. Usunięcie z komputera mieszanego zagrożenia może wymagać kilku różnych rodzajów anty-malware a także użycia skanerów malware zamieszczonych na LiveCD.

Wnioski

Malware: czy jest możliwe ograniczenie szkód jakie wyrządza? Poniżej kilka wniosków na ten temat:

* Malware nie zaniknie w najbliższym czasie, zwłaszcza jeżeli jest możliwość zarobienia na tym niemałych pieniędzy.

* Ponieważ wszystkie aplikacje anty-malware działają w reakcji na zagrożenie, są skazane na porażkę.

* Twórcy systemów operacyjnych i aplikacji muszą okazać zero tolerancji dla słabych punktów ich oprogramowania.

* Każdy użytkownik komputera musi nauczyć się jak reagować na ciągle zmieniające się środowisko malware.

* Bardzo ważne jest to, aby na bieżąco dbać o aktualizacje systemu operacyjnego i aplikacji.

Źródło:
TechRepublic

Wirus.PC






Similar Topics Collapse

  Temat Forum Autor Podsumowanie Ostatni post


Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych


Inne serwisy: IFD