Počítačovou infiltrací se rozumí neoprávněné zavedení programového kódu do počítačového sytému za účelem nežádoucí (často skryté) činnosti. V současnosti existuje zhruba 80 tisíc druhů infiltrace (dle AEC) a každý měsíc se objeví 500 až 800 nových druhů. Problém je v nejednotné klasifikaci a odlišení druhů od mutací téhož druhu. Podle chování a konstrukce programového kódu se rozlišují níže popsané typy infiltrací.
Trojské koně
Jde většinou o zajímavý či nějak užitečný program, který kromě užitečného kódu v sobě obsahuje kód vykonávající nežádoucí činnost s těmito charakteristikami:
- nereplikuje svůj kód a není schopen se šířit
- škodlivá činnost směřuje často k útoku odposlechem (monitorování činnosti na sítí Internet, odposlech hesel apod.) a též k destrukci (smazání dat, formátování disku, vymazání náhodně vybraného sektoru pevného disku apod.)
- škodlivou činnost provádí na předem definovaný uživateli neznámý impuls (počet spuštění nějakého programu, systémové datum apod.)
V posledních 2 letech jsou trojské koně šířeny v rámci jiných druhů infiltrace (červi). Dle manipulační činnosti je lze rozdělit na:
- Spyware/Adware – programy skrytě sledující navštěvovaná místa na Internetu a následně šířící cílenou reklamu na základě profilování klienta
- Key logger (zloděje hesel) – monitorují výstupní kódy řadiče klávesnice a zpřístupňují na dálku citlivé informace (přístupové heslo, šifrovací klíč, PIN apod.)
- Remote Access Trojan (RAT) – umožňují vzdálený přístup
- BOT – program reagující na příkazy řídicího serveru (robot), umožňují útok typu DDoS
Červy
Jde o samostatný program (sadu programů) nevyžadující žádný hostitelský kód s těmito charakteristikami:
- „aktivní červ“ (active worm) je schopen replikovat a šířit své funkční kopie bez lidského přispění do jiných počítačových systémů pomocí sítě Internet – s využitím známých slabin aplikací a OS (služby e-mail, IRC, WWW a.j), nověji stejné funkce jako BOT
- „poštovní červ“ (I-worm) se šíří jako příloha poštovní zprávy a používá většinou tzv. „sociální inženýrství“ a slabiny poštovních klientů, aby lstí a oklamáním přiměl uživatele ke své aktivaci (např. změní typ .exe souboru na .pif, .scr, .lnk, nebo zdvojí příponu na .txt.vbs, jpg.exe, .zip.exe a navíc změní ikonu v exe souboru na WinZip apod.)
- automaticky se spouští při zavedení OS (infikuje Registry a *.ini soubory)
- pro své šíření používají nejčastěji vlastní SMTP rutinu a adresy svých obětí vyhledávají na disku napadeného počítače ve windows address book, personal address book, v dočasně uložených webových stránkách, v ICQ databázi a v dalších souborech
- jsou často schopné napadat soubory ve sdílených souborových systémech v lokální síti, pokud není přístup k nim dostatečně zabezpečen, nebo v peer-to-peer sítích provozovaných přes Internet
- destruktivní činnost velmi široká, často zahrnuje i odposlech citlivých informací pomocí sítě Internet
- velmi rozšířené
Viry
Jde o závislý programový kód připojený k hostitelské proveditelné jednotce, která je žádanou součástí počítačového systému (program, skript, příkazový soubor, makro, zavaděč OS apod.). Když je tato proveditelná jednotka spuštěna, vykoná se též kód viru s těmito dalšími charakteristikami:
- infikuje další dostupnou proveditelnou jednotku vložením své repliky (mutace) do této jednotky
- je schopen se šířit do jiných počítačových systémů
- provádí destruktivní činnost (nepovinná charakteristika)
Hoaxy
Jde o falešné poplašné e-mail zprávy, které využívají „sociální inženýrství“ (lest, lež, morální vydírání) k rozeslání této zprávy všem dostupným adresátům. Mají tyto charakteristiky:
- oznamují šokující informace (např. o „nové“ infiltraci), nebo apelují na humanitární cítění (pomoc těžce akutně nemocným, pomoc v souvislosti se skutečnou humanitární krizí apod.)
- odvolávají se na známé společnosti v IT průmyslu (IBM, Microsoft, apod.), uvádějí důvěryhodně vypadající kontakty
- apelují na okamžité jednání, tj. rozeslání všem potenciálním obětem
- jsou odesílány vědomě lidmi, které příjemce zná
Důvody vzniku hoaxů:
- obtěžování adresátů a ochabnutí jejich pozornosti, následkem je zmatení uživatele a ignorování skutečných varovných zpráv
- poškození systému uživatele tím, že jej přesvědčí k destruktivní akci (např. pod záminkou „odstranění infiltrace“ vymazáním součástí OS)
Ochrana spočívá ve sledování databáze „hoaxů“ např. na www.hoax.cz
SPAM
Je nevyžádaná poštovní zpráva nabízející zboží nebo služby často s nemorálním obsahem. Je posílaná prostřednictvím infiltrovaných systémů připojených na Internet (BOT) s falešnou hlavičkou odesílatele, takže je těžké najít skutečného odesílatele a blokovat příslušnou SMTP komunikaci. E-mail adresy adresátů jsou shromažďovány např. v rámci předchozí infiltrace zprostředkujícího systému červem nebo z veřejně dostupných databází (ICQ).
Motivem je „levný“ marketing, neboť zákony v mnoha zemích regulují nevyžádanou elektronickou inzerci (v Č.R. jde o zákon 480/2004 Sb., o některých službách informační společnosti – tzv. „antispamový zákon“).
Phishing, Pharming
Útok typu phishing je založen na podvržených e-mail zprávách, které využívají „sociálního inženýrství“ a technologických triků (např. přesměrování URL odkazu, infiltrace keyloggerem) k přesvědčení uživatele, aby odhalil osobní údaje a citlivé bankovní informace (přístupové heslo k internet-bankingu, informace o bankovním účtu, kreditní kartě apod.). Pharming je označení pro obdobný útok, který přesměruje uživatele na podvržené stránky internet-bankingu typicky tím, že kompromituje DNS.
Jednou z aktivit namířených proti těmto útokům je Anti-Phishing Working Group (APWG), která zaznamenává v únoru 2005 obrovský nárůst podvržených stránek (viz https://apwg.org/).
Autor: Jirka Dvořák
