Počítačovou infiltrací se rozumí neoprávněné zavedení programového kódu do počítačového sytému za účelem nežádoucí (často skryté) činnosti. V současnosti existuje zhruba 80 tisíc druhů infiltrace (dle AEC) a každý měsíc se objeví 500 až 800 nových druhů. Problém je v nejednotné klasifikaci a odlišení druhů od mutací téhož druhu. Podle chování a konstrukce programového kódu se rozlišují níže popsané typy infiltrací.

Trojské koně

Jde většinou o zajímavý či nějak užitečný program, který kromě užitečného kódu v sobě obsahuje kód vykonávající nežádoucí činnost s těmito charakteristikami:

• nereplikuje svůj kód a není schopen se šířit
• škodlivá činnost směřuje často k útoku odposlechem (monitorování činnosti na sítí Internet, odposlech hesel apod.) a též k destrukci (smazání dat, formátování disku, vymazání náhodně vybraného sektoru pevného disku apod.)
• škodlivou činnost provádí na předem definovaný uživateli neznámý impuls (počet spuštění nějakého programu, systémové datum apod.)

V posledních 2 letech jsou trojské koně šířeny v rámci jiných druhů infiltrace (červi). Dle manipulační činnosti je lze rozdělit na:

• Spyware/Adware – programy skrytě sledující navštěvovaná místa na Internetu a následně šířící cílenou reklamu na základě profilování klienta
• Key logger (zloděje hesel) – monitorují výstupní kódy řadiče klávesnice a zpřístupňují na dálku citlivé informace (přístupové heslo, šifrovací klíč, PIN apod.)
• Remote Access Trojan (RAT) – umožňují vzdálený přístup
• BOT – program reagující na příkazy řídicího serveru (robot), umožňují útok typu DDoS

Červy

Jde o samostatný program (sadu programů) nevyžadující žádný hostitelský kód s těmito charakteristikami:

• „aktivní červ“ (active worm) je schopen replikovat a šířit své funkční kopie bez lidského přispění do jiných počítačových systémů pomocí sítě Internet – s využitím známých slabin aplikací a OS (služby e-mail, IRC, WWW a.j), nověji stejné funkce jako BOT
• „poštovní červ“ (I-worm) se šíří jako příloha poštovní zprávy a používá většinou tzv. „sociální inženýrství“ a slabiny poštovních klientů, aby lstí a oklamáním přiměl uživatele ke své aktivaci (např. změní typ .exe souboru na .pif, .scr, .lnk, nebo zdvojí příponu na .txt.vbs, jpg.exe, .zip.exe a navíc změní ikonu v exe souboru na WinZip apod.)
• automaticky se spouští při zavedení OS (infikuje Registry a *.ini soubory)
• pro své šíření používají nejčastěji vlastní SMTP rutinu a adresy svých obětí vyhledávají na disku napadeného počítače ve windows address book, personal address book, v dočasně uložených webových stránkách, v ICQ databázi a v dalších souborech
• jsou často schopné napadat soubory ve sdílených souborových systémech v lokální síti, pokud není přístup k nim dostatečně zabezpečen, nebo v peer-to-peer sítích provozovaných přes Internet
• destruktivní činnost velmi široká, často zahrnuje i odposlech citlivých informací pomocí sítě Internet
• velmi rozšířené

Viry

Jde o závislý programový kód připojený k hostitelské proveditelné jednotce, která je žádanou součástí počítačového systému (program, skript, příkazový soubor, makro, zavaděč OS apod.). Když je tato proveditelná jednotka spuštěna, vykoná se též kód viru s těmito dalšími charakteristikami:

• infikuje další dostupnou proveditelnou jednotku vložením své repliky (mutace) do této jednotky
• je schopen se šířit do jiných počítačových systémů
• provádí destruktivní činnost (nepovinná charakteristika)

Hoaxy

Jde o falešné poplašné e-mail zprávy, které využívají „sociální inženýrství“ (lest, lež, morální vydírání) k rozeslání této zprávy všem dostupným adresátům. Mají tyto charakteristiky:

• oznamují šokující informace (např. o „nové“ infiltraci), nebo apelují na humanitární cítění (pomoc těžce akutně nemocným, pomoc v souvislosti se skutečnou humanitární krizí apod.)
• odvolávají se na známé společnosti v IT průmyslu (IBM, Microsoft, apod.), uvádějí důvěryhodně vypadající kontakty
• apelují na okamžité jednání, tj. rozeslání všem potenciálním obětem
• jsou odesílány vědomě lidmi, které příjemce zná

Důvody vzniku hoaxů:

• obtěžování adresátů a ochabnutí jejich pozornosti, následkem je zmatení uživatele a ignorování skutečných varovných zpráv
• poškození systému uživatele tím, že jej přesvědčí k destruktivní akci (např. pod záminkou „odstranění infiltrace“ vymazáním součástí OS)

Ochrana spočívá ve sledování databáze „hoaxů“ např. na www.hoax.cz

SPAM

Je nevyžádaná poštovní zpráva nabízející zboží nebo služby často s nemorálním obsahem. Je posílaná prostřednictvím infiltrovaných systémů připojených na Internet (BOT) s falešnou hlavičkou odesílatele, takže je těžké najít skutečného odesílatele a blokovat příslušnou SMTP komunikaci. E-mail adresy adresátů jsou shromažďovány např. v rámci předchozí infiltrace zprostředkujícího systému červem nebo z veřejně dostupných databází (ICQ).

Motivem je „levný“ marketing, neboť zákony v mnoha zemích regulují nevyžádanou elektronickou inzerci (v Č.R. jde o zákon 480/2004 Sb., o některých službách informační společnosti – tzv. „antispamový zákon“).

Phishing, Pharming

Útok typu phishing je založen na podvržených e-mail zprávách, které využívají „sociálního inženýrství“ a technologických triků (např. přesměrování URL odkazu, infiltrace keyloggerem) k přesvědčení uživatele, aby odhalil osobní údaje a citlivé bankovní informace (přístupové heslo k internet-bankingu, informace o bankovním účtu, kreditní kartě apod.). Pharming je označení pro obdobný útok, který přesměruje uživatele na podvržené stránky internet-bankingu typicky tím, že kompromituje DNS.

Jednou z aktivit namířených proti těmto útokům je Anti-Phishing Working Group (APWG), která zaznamenává v únoru 2005 obrovský nárůst podvržených stránek (viz https://apwg.org/).

Autor: Jirka Dvořák