Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
Adam Czarnecki
Wirusy i hakerzy a dziaáalnoĞü w sieci.
Metody zabezpieczeĔ.
nternet, przed latami 90. wykorzystywany gáównie jako droga wymiany wiedzy pomiĊdzy oĞrodkami naukowymi, w miarĊ upowszechniania zacząá budziü nadziejĊ na Izrealizowanie, choü tylko w sferze wirtualnej, utopi. WyobraĪano sobie bowiem, Īe nowe medium stworzy spoáecznoĞü ludzi chcących nawiązywaü kontakty i podtrzymywaü je niezaleĪnie od miejsca pobytu. Jednak utopie istnieją tylko w ksiąĪkach – Sieü wkrótce zaczĊáa obfitowaü, prócz mnóstwa uĪytecznych informacji, w gigabajty stron-Ğmieci. Miejsce wymiany myĞli, jakim byá IRC, staá siĊ forum wymiany epitetów, w porównaniu z którymi jĊzyk magla przejawia oznaki wyrafinowania. Prócz tego pojawili siĊ chĊtni wykorzystaü Internet do mniej lub bardziej celowych ataków na komputery innych uĪytkowników –
twórcy wirusów i hakerzy.
Wirusy
OkreĞlenie „wirus komputerowy”, zapoĪyczone z biologii, trafnie oddaje istotĊ zjawiska.
Bowiem oba rodzaje wirusów nie mogą Īyü ani namnaĪaü siĊ samodzielnie, bez nosiciela.
RóĪne mogą byü takĪe ich sposoby wnikania do organizmu, którego komputerowym odpowiednikiem jest system operacyjny. I, co najwaĪniejsze, obecnoĞü wirusa jest szkodliwa.
Wirusy komputerowe nie są jednak dzieáem przyrody - to programistyczne twory napisane przez ludzi. Ich „przodków” moĪna siĊ doszukiwaü w tzw. wojnach rdzeniowych (ang. Core Wars). Są to „zawody” programów, które na „arenie” napisanej w tym celu aplikacji miaáy
„walczyü”, póki na „polu walki” nie pozostanie program-zwyciĊzca. Te swoiste rozgrywki programistów opisano w 1984 r. w miesiĊczniku „Scientific American” , co przyczyniáo siĊ do ich rozpropagowania na caáym Ğwiecie, takĪe w Polsce.
Odpowiedzią na wspomniany artykuá byá list dwóch wáoskich programistów – R. Cerrutiego i K. Morricuttiego: "(...) Zamiast walczyü na sztucznej arenie, spróbowaliĞmy stworzyü program zdolny przeĪyü w "naturalnym" Ğrodowisku komputera Apple II. Nie wiedzieliĞmy, jak tego dokonaü, póki nie zrozumieliĞmy, Īe nasza aplikacja musi mieü zdolnoĞü samodzielnego powielania siĊ i wykorzystywania dyskietek w celu przeniesienia wáasnych Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
1
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
kopii na inne komputery. (...) Dyskietki komputerów Apple zawierają kopie systemu operacyjnego. PostanowiliĞmy zatem, Īe nasz program bĊdzie do niego doáączony i uruchomi siĊ podczas startu maszyny. PóĨniej, w czasie kaĪdej próby zapisu na dysk, aplikacja sprawdzi, czy znajduje siĊ na nim zmodyfikowana wersja systemu. Gdyby jej nie byáo, program umieĞci na dyskietce wáasną kopiĊ. AplikacjĊ zamierzaliĞmy niepostrzeĪenie zainstalowaü na kilku dyskach uĪywanych w najwiĊkszym salonie komputerowym naszego miasta [Brescii]. ZdecydowaliĞmy teĪ, Īe nasz program po szesnastu cyklach reprodukcji bĊdzie formatowaá zawierającą go dyskietkĊ zaraz po uruchomieniu komputera. Ale po opracowaniu tak precyzyjnego planu w ostatniej chwili postanowiliĞmy jednak nie wprowadzaü go w Īycie" .
Jednak kolejni fascynaci wirusów komputerowych nie mieli skrupuáów, by swój zamysá wprowadziü w Īycie. W 1986 r. wirus Brain zainfekowaá kilka dyskietek na amerykaĔskim uniwersytecie Delaware. Pod koniec 1988 roku pojawiá siĊ pierwszy z nowej rodziny wirusów, zdolny do rozpowszechniania siĊ w sieciach komputerowych. Program Morris unieruchomiá wówczas kilka komputerów poáączonych ze sobą za poĞrednictwem Internetu.
Od tego czasu liczba znanych wirusów wzrosáa wielokrotnie.
NaleĪy zaznaczyü, Īe w zdecydowanej wiĊkszoĞci przypadków twórcy wirusów nie piszą ich w celu zaatakowania konkretnej osoby czy organizacji, ale wyzwaniem jest zaraĪenie jak najwiĊkszej iloĞci komputerów, a – w przypadku wirusów zawierających procedury destrukcyjne – wyrządzenie jak najwiĊkszych szkód w systemie. MoĪna chyba przyjąü, Īe gáównym powodem tworzenia wirusów jest ambicja autorów i test ich umiejĊtnoĞci programistycznych. Jednak tego typu próby samodowartoĞciowania są nieetyczne, a w wielu krajach równieĪ traktowane są one jako przestĊpstwo.
Wirusy komputerowe moĪna klasyfikowaü wedáug róĪnych kluczy. Tutaj przedstawiony zostanie podziaá wedáug sposobów przenoszenia oraz objawów dziaáania.
Sposoby przenoszenia
Jak wspomniano we wstĊpie, wirusy komputerowe nie mogą siĊ rozprzestrzeniaü samoistnie.
Potrzebne jest medium, które przetransportuje wirusa z jednego systemu do innego i jednoczeĞnie pozwoli na jego replikacjĊ.
Zestawienie dokonane w tabeli 1. pokazuje rodzaje wirusów ze wzglĊdu na sposoby infekowania.
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
2
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
Tabela 1. Sposoby przenoszenia wirusów. ħródáo: [oprac. wáasne]
Rodzaj
Charakterystyka
wirusów
plikowe
DoãĎczajĎ siē one najczēħciej do plików wykonywalnych (COM i EXE), wsadowych (BAT) oraz zbiorów zawierajĎcych wykonywalne fragmenty kodu (np. BIN, DLL, DRV, LIB, OBJ, OVL, SYS, VXD). W ich przypadku wirus zazwyczaj modyfikuje poczĎtek zbioru i dopisuje swój kod wewnĎtrz lub na jego koĝcu. Zaãadowanie zainfekowanego pliku do pamiēci jest równoznaczne z uaktywnieniem wirusa.
Wiele mikrobów nie niszczy zaatakowanego pliku, dziēki czemu moije póıniej wykonaĄ program nosiciela, tak ije uijytkownik niczego nie podejrzewa.
sektora
Nosicielem moije byĄ sektor startowy dysku twardego (MBR - Master Boot Record) startowego
lub dyskietki ( Boot sector). Wynika to z faktu, ije komputer próbujĎc po uruchomieniu wczytaĄ system, wykonuje program zawarty w pierwszym sektorze dysku lub dyskietki (w zaleijnoħci od ustawieĝ w BIOS-ie). Wirus moije ulokowaĄ
siē w MBR, np. niszczĎc jego zawartoħĄ i uniemoijliwiajĎc dostēp do dysku.
W innym przypadku wirus najpierw przenosi kod inicjujĎcy system z sektora startowego w inny obszar dysku, a potem zajmuje jego miejsce. Jest on o tyle groıny, ije ãaduje siē przed startem systemu, czyli równieij zanim zacznie dziaãaĄ
jakiekolwiek oprogramowanie antywirusowe i moije przejĎĄ nad nim kontrolē.
Naleijy mieĄ ħwiadomoħĄ, ije boot sektor znajduje siē na kaijdej sformatowanej dyskietce, takije w przypadku gdy nie zawiera ona plików systemowych. Wobec tego czysta dyskietka znajdujĎca siē w napēdzie w chwili uruchamiania systemu równieij moije byĄ przyczynĎ kãopotów, nawet jeijeli zobaczymy na ekranie tylko komunikat „Non-System disk or disk terror” .
jednostki
Do replikacji wirusy mogĎ wykorzystywaĄ jednostki alokacji plików (JAP), na jakie alokacji
tablica FAT dzieli DOS-owĎ partycjē dysku twardego. Aby uzyskaĄ dostēp do pliku, plików
DOS odszukuje w katalogu dyskowym numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) czyta wszystkie jednostki zajmowane przez plik.
Oczywiħcie jednostki mogĎ byĄ bezãadnie rozrzucone po caãym dysku. Wirus atakujĎcy JAP (ang. Link Virus) zmienia w katalogu wartoħĄ pierwszej JA dla jednego lub wielu plików na numer wskazujĎcy JA zawierajĎcĎ kod wirusa.
Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejnoħci moije, ale nie musi, zaãadowaĄ wãaħciwy program, jeħli pamiēta oryginalny numer jego pierwszej JAP.
skrypty
Do przenoszenia wykorzystywane sĎ makropolecenia popularnych aplikacji, i makra
gãównie pakietu MS Office, ale takije np. programu mIRC czy skrypty Visual Basica, Java Script lub aplety Javy.
kontrolki
Te niewielkie aplikacje umieszczane na stronach WWW i uruchamiane na ActiveX
komputerze lokalnym, powinny sãuijyĄ wzbogaceniu strony. Jednak taka aplikacja moije byĄ w rzeczywistoħci wirusem.
poczta
Wirusy, zwane w tym przypadku robakami, przenoszĎ siē jako zaãĎczniki do elektroniczna,
wiadomoħci. MogĎ to byĄ wczeħniej wspomniane skrypty i makra, a takije pliki grupy
wykonywalne, które uijytkownik uruchamia sam (zazwyczaj z „podwójnym”
dyskusyjne
rozszerzeniem, np. *.jpg.vbs), bĎdı teij specjalnie spreparowana strona, która inicjuje wirusa w momencie otwarcia samej wiadomoħci.
Jest to obecnie gãówny sposób przenoszenia wirusów, a to ze wzglēdu na fakt, ije popularny klient poczty elektronicznej, Outlook Express, do niedawna domyħlnie uruchamiaã doãĎczone skrypty lub nie ostrzegaã przed otwieraniem podejrzanych zaãĎczników.
JeĞli wierzyü niektórym opracowaniom na temat Internetu i zagroĪeĔ ze strony wirusów, najdalej za 5 lat ok. 80% wszystkich listów elektronicznych stanowiü bĊdą robaki internetowe.
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
3
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
Objawy dziaãania wirusów
Jeszcze waĪniejsze od sposobu przenoszenia są, z punktu widzenia osoby korzystającej z
Internetu, skutki dziaáania wirusa. MoĪna wymieniü nastĊpujące gáówne dziaáania podejmowane przez wirusy:
x
Replikacja – gáównym zadaniem wirusów jest zainfekowanie jak najwiĊkszej iloĞci komputerów. W interesującym nas przypadku Internetu, wirusy tworzy siĊ tak, aby rozsyáaáy siĊ pod wszystkie adresy umieszczone w ksiąĪce aplikacji pocztowej. Ze wzglĊdu na duĪą popularnoĞü i dziury w systemie zabezpieczeĔ, „wylĊgarnią”
wirusów jest czĊsto Outlook Express firmy Microsoft. JeĞli wiĊc wirus zaatakuje komputer w firmie, która posiada adresy e-mailowe kilkuset swoich klientów lub dostawców, to moĪe nieĞwiadomie rozesáaü do nich wirusy. Reputacja takiej firmy w tym momencie drastycznie spada, co przekáada siĊ na utratĊ zysków, a moĪe i, w najgorszym wypadku, bankructwo.
x
Procedury destrukcyjne – są niemal standardowym „wyposaĪeniem” kaĪdego wirusa. Ich celem jest spowodowanie jak najwiĊkszych strat w systemie. MoĪe to byü: skasowanie okreĞlonych plików, sformatowanie dysku, zapisanie do BIOS-u báĊdnych informacji.
x
Efekty wizualne – zazwyczaj chodzi o komunikaty, które mają poinformowaü uĪytkownika, Īe w jego systemie dziaáa wirus. W Ğrodowisku DOS znany byá m.in.
wirus DotEater, który powodowaá, Īe kaĪde naciĞniĊcie kropki wywoáywaáo na ekranie buĨkĊ, która tĊ kropkĊ natychmiast zjadaáa. Inny wirus posiadający efekty wizualne powodowaá losowe spadanie liter na dóá ekranu.
x
Efekty dĨwiĊkowe – obecnie raczej nie spotykane. W systemie MS-DOS zazwyczaj odgrywaáy one melodyjki. Bodaj najpopularniejszym byá YankeeDoodle, który o godz.
17:00 odgrywaá wáaĞnie tĊ melodiĊ. Prócz tej amerykaĔskiej piosenki popularne byáy utwory klasyczne, m.in. „Nad piĊknym modrym Dunajem” Straussa.
OczywiĞcie jeden wirus moĪe manifestowaü swoją obecnoĞü na wiĊcej niĪ jeden sposób.
CzĊsto równieĪ zdarza siĊ, Īe jego aktywacja nastĊpuje tylko w sytuacji, gdy pojawią siĊ
okreĞlone okolicznoĞci, np. nadejdzie okreĞlony dzieĔ. W ten sposób uruchamiaá siĊ wirus Michaá Anioá (6 marca 1992).
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
4
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
Zapobieganie atakom wirusów
MądroĞü ludowa gáosi, Īe lepiej zapobiegaü niĪ leczyü. Odnosi siĊ to takĪe do wirusów.
Zachowanie ostroĪnoĞci w kontaktach z obcymi plikami i uprawianie wyáącznie bezpiecznego surfowania po Internecie powinny byü ĞciĞle przestrzegane.
W praktyce zalecenia te moĪna streĞciü w nastĊpujących punktach: 1. Przed uĪyciem wáasnych dyskietek na obcym komputerze zabezpieczaü je przed zapisem.
2. Nie uruchamiaü komputera z dyskietką w stacji dyskietek.
3. W BIOS-ie komputera ustawiü kolejnoĞü poszukiwania plików systemowych na C, A.
4. Przed skopiowaniem plików z dyskietki sprawdzaü ją skanerem antywirusowym.
5. Instalowaü oprogramowanie tylko z oryginalnych noĞników zabezpieczonych przed zapisem.
6. Nie korzystaü z pirackich kopii programów i gier.
7. Uaktywniü rezydentny monitor antywirusowy.
8. Jak najczĊĞciej uaktualniaü bazĊ wirusów wykrywanych przez program antywirusowy.
9. Raz w tygodniu kontrolowaü skanerem antywirusowym caáą zawartoĞü dysku.
10. Skanowaü pliki pobierane z Internetu i sieci lokalnej.
11. Dekompresowaü archiwa przed ich sprawdzeniem.
12. Sporządziü czystą dyskietkĊ startową i ratunkową, zawierającą kopiĊ najwaĪniejszych plików systemowych.
13. Regularnie sporządzaü kopiĊ bezpieczeĔstwa najwaĪniejszych danych.
MoĪna zauwaĪyü, Īe punkty 4., 7., 8., 9., 10. i 11. odwoáują siĊ do programu (skanera, monitora, pakietu) antywirusowego. Co to takiego? W skrócie, jest to aplikacja sáuĪąca wykrywaniu i usuwaniu wirusów.
Jak dziaáa? NajwaĪniejszym elementem programu antywirusowego jest skaner i baza danych, w której zawarte są informacje o znanych wirusach. Na jej podstawie skaner sprawdza, czy analizowany plik, dysk, e-mail jest zaraĪony. JeĞli wynik jest pozytywny (tzn. w pliku zostanie znaleziona sygnatura wirusa), istnieje czĊsto moĪliwoĞü usuniĊcia wirusa wraz z naprawieniem bĊdącego nosicielem pliku, bądĨ skasowania.
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
5
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
MoĪna przyjąü, Īe codziennie powstaje kilka nowych wirusów, które mają szansĊ na masowe rozprzestrzenienie siĊ. Stąd teĪ laboratoria producentów pakietów antywirusowych codziennie, bądĨ co kilka dni aktualizują bazĊ wirusów. Stąd teĪ zalecenie nr 8 jest takie waĪne – stara baza danych o wirusach nie zabezpieczy przed nowymi atakami.
Prócz wirusów, których kod siĊ nie zmienia, istnieje grupa wirusów polimorficznych, czyli takich, które szyfrując swój kod, nie posiadają staáej sygnatury, po której moĪna je rozpoznaü.
Do ich wykrycia stosuje siĊ metody heurystyczne. Polegają one na symulacji wykonywania podejrzanego kodu i analizie, czy wykonywane są operacje charakterystyczne dla wirusów.
Metody heurystyczne są doĞü skuteczne, niemniej mogą powodowaü równieĪ faászywe alarmy.
Innym waĪnym elementem pakietu antywirusowego jest rezydentny monitor, czyli aplikacja pracująca w tle i sprawdzająca uruchamiane i kopiowane pliki pod kątem ewentualnego zainfekowania.
Popularne pakiety antywirusowe to:
Tabela 2. Firmy antywirusowe w Internecie. ħródáo: [Egler 2001, s. 65]
Nazwa firmy
Nazwa programu
Adres internetowy
Computer Associates
Innoculate Personal Edition www.antivirus.cai.com
Computer Associates
McAfee
www.dagma.pl
Cybec
VET
www.vet.com.au
Datafellows
F-Secure
www.datafellows.fi
DialogueScience
Dr.Web
www.dials.ru
DrWeb Polska
Dr.Web
www.drweb.com.pl
ESET s.r.o.
NOD
www.eset.sk
FRESK Software International
F-Prot
www.complex.is
G DATA Software
AntiVirenKit
www.gdata.com.pl
GeCAD The Software Company
RAV Antivirus
www.rav.ro
Kaspersky Lab Polska
Kaspersky Anti-Virus
www.kaspersky.com.pl
Kaspersky Labs.
AVP AntiViral Toolkit Pro
www.avp.com.pl
Kaspersky Labs.
AntiViral Toolkit Pro
www.avp.ru
Kaspersky Labs.
AVX AntiVirus Export
www.avx.ro
MkS sp. z o.o.
MkS_Vir
www.mks.com.pl
Omegas Software
Doctor Turbo AntiVirus
www.e-ocean.pl
Panda Software Polska
Panda Platinium
www.pandasoftware.com
Symantec Antivirus Research Center Norton AV
www.symantec.com/avcenter
Trend Micro, Incorporated
PC-cillin
www.trend.com
Przy wyborze programu naleĪy kierowaü siĊ nie tylko ceną, ale teĪ liczbą wykrywanych wirusów, czĊstoĞcią aktualizacji bazy wirusów, skutecznoĞcią zastosowanych heurystyk.
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
6
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
Konie trojaĝskie
Grupą szkodników zbliĪonych do wirusów są konie trojaĔskie. Nawiązanie do mitologii greckiej jest o tyle sáuszne, Īe w tym przypadku wirus ukrywa siĊ pod postacią niewinnie wyglądającego programu. Zatem nosiciel nie jest juĪ przypadkowy, lecz jest równieĪ
spreparowany przez autora wirusa.
Niekiedy koĔ trojaĔski wykonuje rzeczywiĞcie funkcje, jakie deklarowaá (np. sáuĪy jako wygaszacz ekranu), co utrudnia szybkie ustalenie, z czym ma siĊ do czynienia. CzĊĞciej jednak jego uruchomienie koĔczy siĊ wyĞwietleniem komunikatu o báĊdzie, co ma przekonaü uĪytkownika, Īe program nie dziaáa. W rzeczywistoĞci w tym czasie instalowany jest wirus.
Do wykrywania i usuwania koni trojaĔskich uĪywa siĊ, podobnie jak w przypadku wirusów, programów antywirusowych.
Hakerzy
Termin „haker” rozumiane byáa w sposób dwojaki. Sáownik ortograficzny i poprawnej polszczyzny Wydawnictwa Naukowego PWN z 2001 roku táumaczy sáowo „haker” (ew.
„hacker” ) jako „pirat komputerowy” . Natomiast angielski sáownik The New Hacker’s Dictionary – The Jargon File (www.ccil.org/jargon/jargon.html) definiuje hakera jako osobĊ
mającą duĪe umiejĊtnoĞci programistyczne i bardzo bogatą wiedzĊ o komputerach oraz systemach operacyjnych, aplikacjach i lukach w nich wystĊpujących. NaleĪy teĪ na początku odróĪniü „dobrych” hakerów, których praca sáuĪy poprawie systemu zabezpieczeĔ od „záych”
hakerów, zwanych krakerami, a którzy wspomnianą wiedzĊ wykorzystują do wáamaĔ.
Ten rozdziaá poĞwiĊcony jest tej drugiej grupie – sposobom dziaáania krakerów i sposobom obrony przed atakami z ich strony.
Aby potwierdziü, Īe serwer Īadnej firmy nie moĪe byü uznany za „nieciekawy” dla wáamywaczy, maáy przykáad eksperymentu o nazwie Honeynet: W pewnej odlegáej podsieci bez wiĊkszego znaczenia uruchomiono kilka serwerów.
Zainstalowano na nich caákowicie typowe wersje popularnych systemów operacyjnych (...): Windows 98, Linux, solaria i kilka innych, z domyĞlną konfiguracją i bez Īadnych poprawek zalecanych przez producentów.(...)
Cel opisywanego eksperymentu byá prosty – stwierdziü, jak szybko serwery te zostaną zauwaĪone przez wáamywaczy.(...) OtóĪ wszystkie serwery linuksowe (...) poddaáy siĊ
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
7
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
najpóĨniej w trzy dni po uruchomieniu, przy czym absolutnym rekordem byáo wáamanie w czasie... 15 minut od wáączenia! Do komputera z zainstalowanym Windows 98 tylko podczas pierwszej doby wáamano siĊ piĊü razy, a w caáym roku 2001 porty kaĪdej z maszyn biorących udziaá w eksperymencie byáy skanowane ponad 200 razy na miesiąc.”
[Krawczyk 2002, s. 38]
Co takiego moĪe zainteresowaü hakerów w komputerze firmy (i nie tylko)? Bardzo wiele: dane adresowa, numery kart kredytowych i daty ich wygaĞniĊcia, informacje o kontach w baku, listy páac, bazy danych o klientach, dostawcach, pracownikach, hasáa dostĊpu do kolejnych komputerów i programów, sáuĪbowe i prywatne listy, wszelkie dokumenty i fotografie. W przypadku wáamania wszystkie te informacje mogą zostaü przejrzane, pobrane, zmienione, uszkodzone, a nawet usuniĊte.
Techniki hakerów
Oto krótkie charakterystyki stosowanych obecnie metod wáamaĔ: x
Buffer Overflow (BO) – najpopularniejsza metoda ataku w Internecie.
Wykorzystywane są báĊdy logiczne w oprogramowaniu komputera do wysyáania áaĔcuchów danych o rozmiarach przekraczających bufor wejĞciowy. Haker uzyskuje uprawnienia i instaluje wáasne programy w zaatakowanej maszynie. Przed atakiem wyszukuje komputery i aplikacje najbardziej podatne na tego typu ingerencjĊ.
Poszukiwanie polega na skanowaniu portów w celu znalezienia luki w zabezpieczeniach.
x
Denial of Service (DOS) – polega na blokowaniu dziaáania serwerów sieciowych poprzez wysyáanie mnóstwa pakietów IP, czĊsto mających zmodyfikowaną, nieprawidáową konstrukcjĊ. Serwer jest bardzo przeciąĪony obsáugą nadchodzących pakietów, a w skrajnych przypadkach moĪe odmówiü Ğwiadczenia usáug.
x
Wirusy, robaki i konie trojaĔskie – patrz poprzednie rozdziaáy. Mogą one tworzyü tzw. tylną furtkĊ (ang. backdoor) i z zaraĪonego komputera wysyáaü informacje o jego zawartoĞci do hakera. Prócz tego mogą zawieraü klasyczne procedury destrukcyjne.
x
Przechwytywanie haseá – czĊsto odbywa siĊ to metodą „podsáuchiwania” sieci, korzystając np. z routera sterującego ruchem pakietów lub komputera poĞredniczącego. Ten rodzaj techniki zwany jest sniffingiem i oprócz zdobycia haseá Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
8
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
umoĪliwia m.in. przechwycenie wszelkiej komunikacji przesyáanej za pomocą tego urządzenia. Do przechwytywania haseá moĪna teĪ wykorzystaü trojany.
x
Spoofing – polega na podszywaniu siĊ pod cudze adresy IP. W ten sposób moĪna na przykáad nawiązaü poáączenie z (pozornie) zabezpieczonym serwerem firmy, udając jej pracownika, i uzyskaü dostĊp do poufnych baz danych.
Sposoby ochrony
Podstawową metodą zabezpieczenia komputerów w firmie przed atakami hakerów jest posiadanie odpowiedzialnego administratora systemu komputerowego, który bĊdzie na bieĪąco reagowaá na wszelkie informacje o lukach w systemie oraz bĊdzie je natychmiast usuwaá.
Wydaje siĊ, Īe bardziej skuteczną ochroną przed atakami z Sieci jest tylko... caákowite odáączenie siĊ od Internetu. Jest to jednak obecnie nierealne. Dlatego zawsze staje siĊ przed kompromisem miĊdzy duĪą dostĊpnoĞcią do Internetu a wysokim stopniem bezpieczeĔstwa.
Jednym z rozwiązaĔ są, zwane z angielska, firewalle, czyli táumacząc doĞü dokáadnie na jĊzyk polski – zapory ogniowe. Są to programy lub urządzenia, które ograniczają dostĊp do komputerów, ich zasobów poprzez Internet. Reagują one na „dziwne” pakiety przychodzące, a czĊsto i wychodzące z komputera i ostrzegają uĪytkownika o potencjalnym zagroĪeniu z ich strony. Zaawansowane firewalle potrafią wykryü i zapobiec wiĊkszoĞci technik stosowanych przez hakerów (patrz podrozdziaá Techniki hakerów).
Tabela 3. Popularne firewalle programowe. ħródáo: [Egler 2001, s. 65]
Nazwa firmy
Nazwa programu
Adres internetowy
Tiny Software
Tiny Personal Firewall
www.tinysoftware.com
Zone Labs
ZoneAlarm
www.zonelabs.com
Moonlight Software
NetWatcher 2000
www.monlight-software.com
ConSeal
ConSeal PC Firewall
www.consealfirewall.com
Sygate Technologies
Sygate Personal Firewall
www.sygate.com
Symantec
Norton Personal Firewall 2002
www.symantec.pl
Agnitum
Outpost Firewall 1.0 Pro
www.agnitum.com
Computer Associates
McAfee Personal Firewall 3.02
www.macafee.com
DroĪszym, ale lepszym dla ochrony sieci komputerowych, są firewalle sprzĊtowe, które jednak, ze wzglĊdu na cenĊ (od 500 do 10 000 zá) stanowią takĪe dobrą zaporĊ przed ich zakupem. WĞród producentów tego typu urządzeĔ moĪna wymieniü NokiĊ, 3Com, Sonicwall, Lucent Technologies, D-link czy Surecom.
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
9
Adam Czarnecki, Wirusy i hakerzy a dziaãalnoħĄ sieci. Metody zabezpieczeĝ.
NaleĪy zaznaczyü, Īe samo zainstalowanie zapór ogniowych nie wystarcza. NaleĪy je równieĪ
odpowiednio skonfigurowaü. I tu znów wracamy do początku, czyli do kompetentnego administratora sieci.
Zresztą czynnik ludzki jest istotny w caáym aspekcie ochrony komputerów przed zagroĪeniami páynącymi z Sieci. To w koĔcu ludzie piszą wirusy lub usiáują siĊ wáamaü, a jedynym (póki co) mogącym stawiü opór tym szkodliwym zakusom jest równieĪ czáowiek.
Przedstawione w niniejszym opracowaniu Ĩródáa zagroĪeĔ páynących z Internetu i sposoby obrony przed nimi miaáy równieĪ uĞwiadomiü, jak waĪne jest zabezpieczenie kaĪdej firmy, która w dziaáalnoĞci wykorzystuje systemy informatyczne. W czasach, gdy wiĊkszoĞü dokumentacji (umowy, ksiĊgowoĞü, kadry, rozliczenia z ZUS-em) znajdują siĊ w postaci elektronicznej, ryzyko i koszt ich utraty moĪe decydowaü o byü albo nie byü firmy.
A, parafrazując hasáo reklamy Ğrodka przeciw kieákowaniu ziemniaków, lepiej byü niĪ nie byü.
Literatura
Barszczewski K. ZaradziĄ zarazie w: Chip 5/1997
Beherens D., Daszkiewicz K., Hajduk R., Sengstack J., Szpieg w pececie w: PC World Komputer 11/2000, s. 124-138
Duchniewicz A. Byã sobie wirus w: Chip 11/1998.
Duchniewicz A. ZabiĄ wirusa! w: Chip 11/1998.
Ekler M. Obroĝcy komputerów w: Enter12/2001, s. 58-65
Hajduk R., Kornaszewski J. Twoja twierdza PC w: PC World Komputer 7-8/2001, s. 138-146
Krawczyk P. Licho nie ħpi! w: Chip 4/2002, s. 38-40
Kuniszewski S. Straijnicy z piekãa rodem w: Chip 4/2002, s. 26-30
Michalczyk J. Potēga ijelastwa w: Chip 4.2002, s. 42-43
Pawlak M. Bezpieczeĝstwo przede wszystkim w: Chip 5/1998
Pawlak M. Mikroby w sieci w: Chip 4/2000.
Rudziĝski A., Kuniszewski S. Potomkowie elektrycerzy w: Chip 10/2000
Wyrzykowski P., Trzaskaãa W. Caãa prawda o activex™ w: Chip 6/1997
IJmudziĝski J. Przestēpcy i filantropi w: Chip 6/1997
Electronic Commerce, Wydziaã ZarzĎdzania i Ekonomii PG, MSU I sem.
10