Tento článok bol vytlačený zo stránky https://referaty.centrum.sk
 

Vírusy a ochrana

Počítačové vírusy a ochrana proti nimPočítačový virus je zvláštní program, který je schopný vytvářet své kopie. Aby zabezpečil své spuštění, připojuje se k souborům na disku, ukládá se do systémových oblastí apod.Počítačové viry tvoří dvě velké skupiny: boot viry souborové viry. Existují i viry kombinované nebo jiného typu ( např. adresářové ).Boot viryTělo viru je umístěno v boot sektoru diskety nebo v MBR pevného disku. Aktivuje se po zavedení systému z napadeného disku. Pokud je virus aktivní, může napadnout každou disketu, nechráněnou proti zápisu, se kterou pracujeme. Z diskety na pevný disk se virus přenese jen po zavedení systému z napadené diskety. Napadená disketa nemusí být pouze systémová.

Souborové virySouborový virus se připojuje nebo přepisuje spustitelné soubory (.COM, .EXE), nebo soubory, které obsahují spustitelný kód ( .BIN, .OVL aj.). Tento virus se aktivuje, po spuštění napadeného souboru.Zvláštní skupinu souborových virů tvoří viry, které kromě souborů napadají i MBR pevného disku, ne však boot sektor disket. Takový virus se aktivuje kromě spuštění napadeného souboru i po zavedení systému z napadeného pevného disku.Viry můžeme dále dělit na: pamě?ově rezidentní (po aktivaci jsou trvale umístěny v paměti) nerezidentní Nerezidentní virus způsobí nákazu jen po spuštění napadeného souboru. Běžně nakazí několik souborů obvykle v aktuálním adresáři.Rezidentní virus se po spuštění napadeného souboru umístí v operační paměti. Nejčastěji to bývá v konvenční paměti, pomocí přerušení INT 12 zajistí, aby nebyl přepsán jiným programem. Rezidentní virus se může nacházet v konvenční paměti, v paměti EMS a v prvním 64 kB segmentu paměti extended (tedy 0-1088 kB). Rezidentní virus může napadnou libovolně velký počet souborů.

Obecná činnost vykonávána viryViry vykonávají během svého životního cyklu mnoho akcí (pořadí bývá u každého viru individuální, nemusí být použity všechny akce): převzít kontrolu nad procesorem zkontrolovat aktuální stav prostředí nainstalovat se do paměti přesměrovat přerušení provést test na podmínku spuštění škody (datum, počet spuštění...) vykonat škodlivou činnost najít místo pro vytvoření své kopie zkontrolovat, zda místo neobsahuje kopii vložit svou kopii uskutečnit úpravy napadeného místa ( zakódování ) Způsoby přenosu virů mezi počítačiViry se šíří v rámci jednoho počítače i mezi počítači. Existuje několik možných přenosových médií mezi počítači:Běžné média diskety sí?ové linky ( při zapojení v síti ) telefonní linka ( při použití modemu ) výměnné pevné disky disky CD ROM Nepříliš častá média sériová linka ( při propojení počítačů ) uveřejněný zdrojový text viru paměti EPROM Postup při napadení počítače virem Vypneme počítač. Zavedeme systém z čisté DOS diskety chráněné proti zápisu. Z diskety spustíme antivirový program. Pokud chceme spouštět antivirový program z napadeného disku, nejprve ho zkopírujeme z diskety na pevný disk.

Antivirový program spuštěný z pevného disku poskytuje větší možnosti při léčení, jeho práce je rychlejší. Jestliže se jedná o souborový virus, napadené soubory necháme" vyléčit", pokud máme soubory zálohované, je vhodnější napadené soubory smazat a nainstalovat nové. Po vyléčení i lepším antivirovým programem ne vždy soubory pracují korektně. Jestliže jde o boot virus, necháme provést obnovu boot sektorů antivirovým programem, nebo příkazem SYS si provedeme obnovu sami (SYS spouštíme z diskety). Jestliže se jedná o virus v MBR, zálohujeme si nejprve všechny systémové oblasti a zkontrolujeme funkčnost záložních kopií. Antivirové programy občas poškodí při odstraňování tohoto viru tabulku partition, čímž způsobí ztrátu dat. Jestliže dokáže náš antivirový program virus v MBR odstranit, nebo umí sektor obnovit z diskety, provedeme jeho obnovení.

Zkontrolujeme všechny diskety. Informujeme o nákaze uživatele, se kterými si vyměňujeme diskety Ochrana před počítačovými viry softwarová hardwarová Softwarová ochranaSoftwarová ochrana je realizována antivirovými programy. Služby, které antivirové programy poskytují lze rozdělit do tří skupin: konkrétní antivirové techniky obecné antivirové techniky preventivní ochrana Konkrétní antivirové techniky vyhledávají pouze známé viry podle virové databáze, kterou je nutné aktualizovat. Většinu takto nalezených virů je možné ze souborů nebo z boot sektorů také odstranit, a to buď s použitím informací o viru, který příslušný soubor infikoval nebo s použitím původních informací o souboru, které popisují, jak vypadal před infekcí. Největší výhodou této metody je její rychlost, tato metoda se tedy používá pro pravidelné kontrolování pevného disku. Známé viry je také možné vyhledávat v každém spouštěném, kopírovaném, otevíraném souboru a v zaváděcích sektorech všech disket, které do počítače vkládáme. K tomu je určen rezidentní ovladač, který lze zavádět vždy po spuštění počítače. Tento ovladač se zavádí v config.sys a je tedy v paměti ještě dříve, než se načte command.com (což je obvyklá základna většiny virů). Samozřejmě nechybí možnost prohledat pamě? na přítomnost rezidentních virů.Obecné antivirové techniky se snaží najít a pokud je to možné i odstranit neznámý virus.První metodou, jak najít neznámý virus je tzv. srovnávací test. Při prvním spuštění tohoto testu si program zapíše důležité informace o souborech (velikost, datum, čas, atributy a kontrolní součty).

Při dalších spuštěních porovnává tyto informace s aktuálním stavem. Pokud v těchto údajích došlo ke změně většího rozsahu, je pravděpodobné, že počítač byl napaden virem. Antivirový program AVG obsahuje i heuristickou analýzu. Heuristická analýza podrobně analyzuje obsah souborů na pevném disku a vyhledává v něm různé podezřelé konstrukce (přímé zápisy na disk, převzení kontroly nad operačním systémem apod.). Heuristická analýza je obecně fungující metoda, není tedy závislá na virové databázi. Automaticky se při této metodě provádí test i na známé viry. Pokud je tedy soubor označen za napadený, prohledává se v databázi virů a jméno viru je vypsáno, v opačném případě je virus označen jako neznámý. Program obsahuje tzv. plnou heuristickou analýzu (heuristická analýza s emulací kódu), kdy se antivirový program přímo pokouší emulovat činnost počítače při spuštění programu.

Nevýhoda metody je v tom, že často dochází k falešným poplachům, kdy některé soubory jsou označovány jako napadené. Avšak vzhledem k zvětšování počtu stále složitějších virů, bude v budoucnu tato metoda nejčastěji používaná. Test prostředí na souborové viry spočívá v tom, že program vygeneruje na disk soubory typu .com a .exe, potom je kopíruje a provádí s nimi různé operace, přičemž vždy kontroluje jejich obsah. Pokud se při manipulaci s nimi změní jejich obsah, je velmi pravděpodobné, že se na návnadu právě chytil virus. Obdobně je program schopen vygenerovat na disketu prázdný zaváděcí sektor a poté kontrolovat, byl-li nějak změněn.Preventivní antivirové techniky se doporučí využívat pokud možno ještě předtím, než se virus v počítači usídlí. Spočívají v zálohování některých důležitých informacích o počítači, podle nichž bude v případě potřeby možné obnovit původní stav. Pomocí programu si můžeme uložit obsah paměti CMOS, tabulku rozdělení pevného disku apod. Po napadení počítače lze tyto informace zpětně obnovit.
Jiné antivirové programy (F-PROT, SCAN) obsahují další užitečnou funkci - vkládání vlastních virových řetězců. Tato metoda se však neuplatní v případě polymorfního viru.Hardwarová ochranaKromě softwarové ochrany před viry existuje i možnost hardwarové ochrany. Ta je realizována pomocí rozšiřující karty.Karta obsahuje pamě? ROM se speciálním softwarem.Základní funkce: bezpečnost je zajištěna pomocí několikastupňového ochranného systému přístup k počítači je pomocí šifrovaného hesla uživatele je možné rozdělit podle přístupových práv, které si sami navrhneme pro pevné disky a diskety je možno nastavit přístupová práva (jen čtení, zápis apod.) dlouhodobé sledování provozu počítače včetně registrace všech pokusů o porušení přístupových práv karta obsahuje baterii zálohovanou pamě?, ve které jsou uložena všechna přístupová práva a nastaveny parametry kartu je možné doplnit o nadstavbové moduly pro zálohování, kódování apod. Automaticky je zajištěna ochrana boot sektorů proti přepsání a formátování.VírusyPrvé vírusy sa objavili začiatkom 70. rokov.

Vírus je krátky program, kt. sa sám nekontrolovateľne rozmnožuje do iných programov tým, že sa k nim pripojí a podľa určitých kritérií ( napr. dátum nar. autora vírusu, počet spustení infikovaného programu, .. ) sa aktivuje a škodí. Funkčné prejavy počítačových vírusov Bez ohľadu na použité mechanizmy šírenia, alebo druh maskovania, prípadne cieľa infekcie, počítačový vírus je naprogramovaný vždy na základe istej motivácie. Väčšinou je ňou snaha uškodiť užívateľovi, a preto pri klasifikácii vírusu je kľúčovou otázkou to, či je vírus deštruktívny, alebo nedeštruktívny. 1. Deštruktívne vírusy najčastejšie formátujú pevný disk, prepisujú náhodne vybrané sektory (náhodnými dátami, menia obsah súborov, mažú súbory, zašifrujú dáta, atď.). 2. U nedeštruktívnych vírusov majú aktivačné rutiny najčastejšie charakter vizuálnych prejavov - zobrazovanie rôznych textových správ, grafické prejavy nie sú časté) a akustických prejavov (drvivou väčšinou je nástrojom takéhoto prejavu zabudovaný reproduktor – PC -speaker).Každý z prejavov je vyvolaný podmienkou, čo väčšinou býva konkrétny časový moment, aktuálny dátum, prípadne vstup z klávesnice.

Delenie počítačových vírusov podľa umiestnenia v pamäti: 1. nerezidentné (tzv. víry priamej akcie, nezostávajú v pamäti počítača): po spustení infikovaného programu sa replikujú, najčastejšie do súborov v danom adresári, a predajú riadenie infikovanému programu 2. rezidentné ostávajú v operačnej pamäti počítača aj po ukončení vykonávania infikovaného programu použitím mechanizmu TSR (terminate and stay resident) Delenie podľa cieľa infekcie 1. bootovacie: Infikujú partition table (tabuľku rozdelenia), alebo častejšie boot sector (zavádzací sektor), čím si zabezpečia spustenie ešte pred zavedením samotného operačného systému. Originálny boot sector (ktorý musí byť zachovaný pre korektné zavedenie operačného systému) ukladajú buď na niektorý voľný sektor na 0. stope pevného disku, alebo na ľubovoľný iný sektor z dátovej oblasti pevného disku, pričom ho označia za vadný, aby nedošlo k jeho prepísaniu. 2. súborové: Je to najrozšírenejšia skupina vírov. Infikujú EXE, COM, OVL, BIN, STS, OBJ, DLL súbory a niekedy aj keď sú uložené v komprimovaných archíve.

Tieto súborové sa ďalej delia podľa spôsobu infekcie na: predlžujúce - pripoja sa na koniec súboru a na začiatok pridajú inštrukciu skoku na telo vírusu.prepisujúce - nenávratne prepíšu úvod súboru, ktorý sa potom ako program stáva nefunkčný. adresárové - na disku sú uložené len raz, infikujú prepísaním odkazov priamo vo FAT tabuľke, pričom vzniká tzv. cross - referencing (prekrývanie súborov), ktorý však zväčša maskujú. multipartitné: Častá skupina vírusov - infikujú boot sector a zároveň aj súbory. Najčastejšie koncepcie návrhu a prejavy chovania: vírusy typu stealth: Názov pochádza z mena známeho• amerického bombardéra, ktorý sa stáva pre radary "neviditeľný". Vírus skrýva akúkoľvek zmenu komponentov systému, napr. dĺžku súborov,dátum a čas vytvorenia, zmena boot sectora. Vírus je schopný dezinfikovať programy on-the-fly ("za letu") najčastejšie monitorovaním prerušenia int 21h). V praxi po požiadavke na otvorenie súboru vírus prevezme kontrolu ako prvý, odvíri súbor, predá ho programu, ktorý oň žiadal a po požiadavke na uzavretie ho najprv infikuje a až polymorfné (meniace sa): Základnou myšlienkou je, že•potom skutočne uloží. žiadne z 2 kópií vírového tela nie sú totožné. Vírus sa teda skladá z dekódovacej rutiny a zakódovaného tela. Ak je dekódovacia rutina statická (nemenná), ide o tzv. semi- polymorfné vírusy.
Ak je dekódovacia rutina generovaná, ide o tzv. plne polymorfné vírusy. tunelujúce: Tieto vírusy sa• "pretunelujú" reťazcami ovládačov zariadení, pripoja sa na koniec reťazca a ovládajú priamo napr. radič pevného disku. Pri ich detekcii kontrola vektorov prerušení neuspeje. Ďalšie vírom podobné hrozby: Trójsky kôň:(tento vírus• nepotrebuje hostiteľa, existuje ako samostatný súbor) Tento program najčastejšie okamžite po svojom spustení prevádza deštrukčnú rutinu. Častokrát trójske kone slúžia na vypustenie nového vírusu, alebo na “špionáž” vzdialeného počítača. Často majú trójske kone názvy antivírových programov (nap. SCAN) Makro -• víry: Ide o programy naprogramované v jazyku na tvorbu makier v textovom procesore, alebo tabuľkovom kalkulátore a vložené do takého dokumentu (prvýkrát v roku 1989 v kalkulátore (Lotus 1-2-3). Väčšinou ide o makrá programu Microsoft Word, ktoré systém vykonáva pri každom otvorení dokumentu (tzv. auto makrá), AutoExec, AutoOpen, FileSaveAs, FilePrint, FileExit. Infikovaná je najčastejšie šablóna NORMAL.DOT.

Kvalitný programovací jazyk im umožňuje replikáciu, ale je diskutabilné, či ich radiť medzi vírusy, pretože neobsahujú inštrukcie Červy - worms: Takýto program neinfikuje spustiteľné súbory, ale•procesora. rozširuje sa počítačovou sieťou. červ nepotrebuje hostiteľa.Bomby: Programy,•Morrisov červ v novembri 1988 nakazil 6000 počítačov UNIX. ktoré po spustení čakajú na aktivačný podnet (tzv. rozbuška), zväčša kľúč z klávesnice, zmena nejakého súboru, aktuálny dátum, alebo čas, a prevedú deštrukčnú rutinu. Šírenie vírusov v počítači. Vírus sa môže aktivovať: 1. spustením infikovaného programu 2. boot vírus sa môže aktivovať pri resete, ak je napadnutý boot sektor systémového disku, alebo ak sme pri resete zabudli napadnutú disketu v mechanike, vtedy sa vírus s boot sektoru uloží do OP a je tam stále počas behu počítača.

V pamäti sa môže stať aj rezidentným a vtedy je veľmi nebezpečný, lebo môže infikovať programy a disky kedykoľvek - používaním príkazov OS, lebo aj systémové súbory bývajú často napadnuté Vírusy vykonávajú behom svojho životného cyklu mnoho akcií (poradie býva u každého vírusu individuálne, nemusia byť použité všetky akcie): a) prevziať kontrolu nad procesorom b) skontrolovať aktuálny stav prostredia c) nainštalovať sa do pamäti d) presmerovať prerušenie e) previesť test na podmienku spustenia škody (dátum, počet spustení...) f) vykonať škodlivú činnosť g) nájsť miesto pre vytvorenie svojej kópie h) vložiť svoju kópiu i) zakódovať napadnuté miesta Spôsoby prenosu vírusov medzi počítačmi Vírusy sa šíria v rámci jedného počítača a aj medzi počítačmi. Zvyčajne sa infikujú prenosovými médiami ako je disketa, vymeniteľné pevné disky a internetom.

Zdrojom vírusov najčastejšie sú hry a nelegálne kopírovaný software, software ktorého pôvod nie je dôveryhodný (poslaný cez IRC nejakým anonymným užívateľom, software kopírovaný z BBS (je to server, kde akýkoľvek užívateľ môže umiestniť svoj software a ponúknuť ho ostatným na kopírovanie) , alebo najaktuálnejšie vírus môžete obdržať cez mail vo forme správy alebo attachmentu. Ochrana pred počítačovými vírusmi softwarová• hardwarová• Softwarová ochrana je realizovaná antivírovými programami. Antivírusové programy majú rôzne metódy odhaľovanie vírusov. 1. Porovnávací test. Pri prvom spustení tohto testu si program zapíše dôležité informácie o súboroch (veľkosť, dátum, čas, atribúty a kontrolné súčty). Pri ďalších spusteniach porovnáva tieto informácie s aktuálnym stavom. Pokiaľ v týchto údajoch došlo k zmenám, je pravdepodobné, že počítač bol napadnutý vírusom. 2. Antivírový program AVG obsahuje i heuristickú analýzu.Heuristická analýza podrobne analyzuje obsah súborov na pevnom disku a vyhľadáva v ňom rôzne podozrivé inštrukcie, priamy zápis na disk alebo prevzatie kontroly nad procesorom a pod. Heuristická analýza skúma programy a hľadiska ich algoritmu. Je nezávislá na databáze vírusov. 3. Test na súborové a rezidentné vírusy (tzv. udička) spočíva v tom, že program vygeneruje na disk súbory typu .com a .exe, potom ich kopíruje a prevádza s nimi rôzne operácie, pričom vždy kontroluje ich obsah.

Pokiaľ sa pri manipulácií s nimi zmení ich obsah, je veľmi pravdepodobné, že sa na návnadu práve chytil vírus. Obdobný je program schopný vygenerovať na disketu prázdny zavádzací sektor a potom kontrolovať, či sa zmenil. Hardwarová ochrana je realizovaná pomocou rozširujúcej karty. Karta obsahuje pamäť ROM so špeciálnym softwarom, ktorý umožní použitie šifrovaného hesla pre prístup k počítaču, užívateľov umožňuje rozdeliť do skupín podľa prístupových práv, ktoré si sami navrhneme, umožňuje registráciu všetkých pokusov o zmenu týchto práv, autoamticky nastavená ochrana proti prepísaniu boot sektora . Postup pri napadnutí počítača vírusom - vypneme počítač. - zavedieme systém z čistej DOS diskety chránenej proti zápisu. - z diskety spustíme antivirový program. Niekedy môžeme spustiť antivirový program z napadnutého disku, najprv ho skopírujeme z diskety na pevný disk. Antivirový program spustený z pevného disku poskytuje väčšie možnosti pri liečenie, je rýchlejší. - ak sa jedná o súborový vírus, napadnuté súbory necháme "vyliečiť", pokiaľ máme súbory zálohované, je vhodnejšie napadnuté súbory zmazať a nainštalovať nové.

Po vyliečení i lepším antivirovým programom nie vždy súbory pracujú korektne. - ak ide o boot vírus, necháme previesť obnovu boot sektorov antivírovým programom, alebo príkazom SYS si prevedieme obnovu sami (SYS spúšťame z diskety). - ak sa jedná o vírus v MBR, zálohujeme si najskôr všetky systémové oblasti a skontrolujeme funkčnosť záložných kópií. Antivírové programy občas poškodia pri odstraňovaní tohoto vírusu tabuľku partition, čím spôsobia stratu dát. Ak dokáže náš antivírový program vírus v MBR odstrániť, alebo dokáže sektor obnoviť z diskety, urobíme to. - skontrolujeme všetky diskety. - Informujeme o nákaze užívateľa, ktorý používal naše diskety.Počítačova kriminalita, vírusy a antivírusyNajstaršie činy spadajúce pod pojem počítačová kriminalita (computer crime) majú najmenej 25 rokov. Termínom počítačová kriminalita sa zvyknú označovať trestné činy zamerané proti počítačom ako aj trestné činy páchané pomocou počítača. Táto trestná činnosť predstavuje veľké finančné straty, často presahuje hranice jedného štátu a stáva sa medzinárodným trestným činom.

Štáty Európskej únie a Európskeho parlamentu sa dohodli na definícii počítačovej kriminality: nelegálne, nemorálne a neoprávnené konanie, ktoré zahŕňa zneužitie údajov získaných prostredníctvom výpočtovej techniky alebo ich zmenu. Počítače v podstate neumožňujú páchať novú neetickú a trestnú činnosť, poskytujú len novú technológiu a nové spôsoby na páchanie už známych trestných činov ako je sabotáž, krádež, zneužitie, neoprávnené užívanie cudzej veci, vydieranie alebo špionáž. 1.1 Motivácie počítačovej kriminality Vyšetrovania ukázali, že medzi najčastejšie motívy páchania počítačovej kriminality patria: nedostatočný služobný postup (zamestnanci sa cítia byť podhodnotení a to ich vedie niekedy až k prejavom vandalizmu), hnev na nadriadených, žarty a experimenty, príležitostné činy (zamestnanci využívajú bezpečnostné slabiny počítačových systémov svojich zamestnávateľov), ideologické dôvody. Motívacie počítačových kriminálnych činov sa odlišujú od motivácií aktivít počítačového undergroundu. 1.2 Počítačový Underground Týmto termínom sa označujú aktivity a príslušníci neoficiálnych a neformálnych skupín, ktorí sa zo záujmu venujú počítačovým problematikám ležiacim aj na hranici alebo za hranicou zákona, prípadne v oblastiach, ktoré sú zatiaľ zákonom nepostihované. Približne do roku 1986 boli v undergrounde dominantní prienikári (hackers), v súčastnosti hrajú významnú rolu aj autori a šíritelia vírusov. Relatívnym novým prvkom je produkcia a šírenie počítačovej pornografie, pri čom počítače slúžia ako produkčné prostriedky aj ako médium na jej šírenie. Čo sa týka prienikárov, vedú sa spory o tom, čo z ich činnosti je nelegálne, čo len neetické a čo prípadne akceptovateľné.

Nie je úplne jasné ani to, kto sú vlastne hackeri. V minulosti bol tento termín vyjadrením vysokého stupňa odbornosti a šikovnosti počítačového experta. Dnes má verejnosť tendenciu za hackerov označovať všetkých tých, ktorí neoprávnene prenikajú do cudzích počítačových systémov a sietí.Samotní hackeri tento fakt priznávajú, zdôrazňujú však, že do systémov prenikajú len zo zvedavosti a nie s cieľom škodiť a tí, ktorí škodiť chcú, si vraj nezaslúžia meno hacker, ale cracker. 1.3 Motivácie Undergroundových aktivít Základný dôvod, prečo ľudia vytvárajú napr. počítačové vírusy, je jednoduchý: pretože sa to dá. Motivácií na zhotovenie infiltračného prostriedku je veľa, oveľa viac než by človek očakával, a nie všetky majú pôvod v abnormálnej psychike (ako sa niektorí domnievajú): zvedavosť, výzva (napr. pre programátora s nižším sebavedomím), nesplnené ambície, recesia, provokácia (napr. ponechať bývalému zamestnancovi v počítači trpaslíka), politické motivácie, pomsta, deštrukcia (kedy je cieľom urobiť čo najväčšiu škodu), vydieranie, umelý trh (vypustenie vírusu a vzápätí na to “lieku”), ochrana záujmov (počítačová bomba, ktorá sa spustí pri pokuse o neautorizované používanie), konkurenčný boj, strata kontroly, sebainfiltrácia a predstieranie sebainfiltrácie (dôvod žiadosti o odloženie termínu odovzdania softvérového produktu), získavanie údajov.

Infiltračné počítačové prostriedky Infiltračné prostriedky sú napríklad: červík, trójsky kôň, trpaslík, bomba.. Tieto je nutné odlišovať od softwérových chýb (bug) vzniknutých omylom, chybou alebo náhodou, pretože zhotovenie samotného vírusu je dosť náročnou programátorskou činnosťou. V porovnaní sa zhotovením originálneho vírusu je oveľa ľahšie zhotoviť odvodeninu či napodobeninu existujúceho vírusu, čím sa zaoberá veľa plagiátorov. Autor vírusu nemusí ale môže byť aj jeho šíriteľom. Niektorí svoju tvorbu doslova propagujú (Mark Washburn, ktorý tvrdí, že pomáha protivírusovému výskumu), iní vystupujú pod pseudonymom (Dark Avenger). Vírus je sotvérový modul, nie nevyhnutne samostatný program, ktorý sa dokáže rozmnožovať a ktorý sa priživuje na programoch tým, že im kradne riadenie, okrem toho môže vykonávať aj ďaľšie činnosti, napríklad deštruktívne. Článok červíka je softvérový prostriedok, ktorý sa rozmnožuje špecifickým spôsobom - prostredníctvom počítačovej siete. Článok, ktorý získa riadenie, zistí, či sa v susedných počítačoch siete nachádzajú jeho kópie.

Ak nie, postará sa, aby sa tam dostali. Články červíka tvoria dohromady vyšší celok - akýsi softvérový organizmus, ktorý sa drží pri živote obzvlášť silno. Trójsky kôň, ako to vyplýva aj z jeho názvu, skrýva v sebe niečo nepríjemné. Prísľubom nejakej atraktívnej služby alebo efektu sa votrie používateľovi do pozornosti tak, že si ho sám zavedie do počítača. Po odštartovaní však vykoná aj niečo nečakané, obvykle nejakú škodu. Trpaslík existuje preto, aby si urobil z používateľa vtip alebo ho trochu podpichol.Iba v krajnom prípade, ak s ním používateľ odmieta vychádzať po dobrom, môže mu vyviesť drobnú neplechu. Bomby sú najstaršími prostriedkami počítačovej kriminality. Časovaná (alebo logická) bomba je kód, ktorý páchateľ vloží do programu alebo do operačného systému, ktorý si vybral ako cieľ útoku. Po uplynutí nejakého času, alebo splnení nejakej inej podmienky, kód bomby vykoná nejakú deštruktívnu akciu, napríklad vymazanie dát, znehodnotenie programu alebo odstavenie operačného systému. 1.5 Najvýraznejšie prejavy počítačovej kriminality 1. útok na počítač, program, údaje, komunikačné zariadenie: fyzické útoky na zariadenie výpočtovej techniky, magnetické médiá, vedenie počítačovej siete alebo elektrického rozvodu a pod., vymazanie alebo pozmenenie dát, formátovanie pamäťových médií nesúcich dáta, pôsobenie počítačových infiltrácií, nelegálna tvorba a rozširovanie kópií programov, získanie kópie hospodárskych dát, databáz zákazníkov, v štátnych orgánoch únik informícií o občanoch a pod.

Významnou vlastnosťou tohto druhu počítačovej kriminality je veľmi obťažné dokazovanie, pretože často nie je možné zaistiť stopy, z ktorých by bolo možné identifikovať páchateľa alebo zistiť iné skutočnosti pre dokazovanie. Z hľadiska rozsahu najväčších škôd pravdepodobne najväčší podiel patrí nelegálnej tvorbe a predaju autorsky chráneného programového vybavenia. 2. neoprávnené úžívanie počítača alebo komunikačného zariadenia: využívanie počítačovej techniky, faxov, prostriedkov počítačových sietí, databáz a programov zamestnancami firiem a organizácií na vlastnú zárobkovú činnosť. Veľmi ťažko sa dá zistiť napr. neoprávnené užívanie osobného počítača, najmä takého, ktorý nie je zapojený do počítačovej siete a je používaný len jedným užívateľom. 3. neoprávnený prístup k údajom, získanie utajovaných informácií (počítačová špionáž) alebo iných informácií o osobách, činnosti a pod.: prenikanie do bankových systémov, systémov národnej obrany, do počítačových sietí dôležitých inštitúcií a pod. Niekedy táto činnosť spôsobuje priame škody veľkého rozsahu, napr. nelegálne bankové operácie, ako aj nepriame škody spôsobené únikom informácií. V súvislosti s týmto trestným činom môže byť aj súbežný trestný čin ako napr. vydieranie, nekalá súťaž, ohrozenie hospodárskeho tajomstva, vyzvedačstvo, ohrozenie štátneho tajomstva.
Tento druh počítačovej kriminality je takmer bezprostredne podmienený existenciou veľkých počítačových sietí. 4. krádež počítača, programu, údajov, komunikačného zariadenia: logická krádež spočívajúca v skopírovaní programu alebo údajov je veľmi ťažko právne kvalifikovateľná, keďže pôvodné predmety zostávajú na mieste, páchateľ si odnáša ich kópie (prípadne je to naopak) a vo väčšine prípadov digitálnych záznamov nie je možné zistiť, čo je originál a čo kópia. 5. zmena v programoch a údajoch (okrajovo i v technickom zapojení počítača resp. komunikačného zariadenia): zmena programov a údajov inými programami alebo priamymi zásahmi programátora, úprava v zapojení alebo inom atribúte technického vybavenia počítača. 6. zneužívanie počítačových prostriedkov k páchaniu inej trestnej činnosti: manipulácia s údajmi ako napr. zostavy v skladoch, tržby, nemocenské poistenie, stavy pracovníkov, stav účtov a pod., patria sem aj krádeže motorových vozidiel, falšovanie technickej dokumentácie, priekupníctvo, daňové podvody, falšovanie a pozmeňovanie cenín, úradných listín a dokladov, dokonca aj peňazí.

Pri tomto druhu počítačovej kriminality býva dostatok využiteľných stôp, podmienkou je však prekvapivé zaistenie počítačovej techniky. 7. podvody páchané v súvislosti s výpočtovou technikou: využitie niečieho omylu vo svoj prospech (hry s vkladom finančnej čiastky a rozosielaním listov “následníkom” so sľubom zaručeného zisku). Tento druh trestnej činnosti možno vykonávať aj bez použitia výpočtovej techniky, ale s jej použitím je táto činnosť efektívnejšia. Vo všetkých prípadoch je objasňovanie a dokazovanie takejto trestnej činnosti tak zložité, že bez včasného zaistenia dôkazov v tejto oblasti môžeme očakávať len veľmi malú úspešnosť v zaistení páchateľov a ich odsúdení. Je to najmä preto, lebo používané metódy a prostriedky sú na veľmi vysokej technickej a intelektuálnej úrovni. 1.6 História hackerstva Praví programátori: Na začiatku boli praví programátori. Oni si však tak nehovorili a nehovorili si ani hackeri. Tento termín „praví programátor“ sa objavil až po r. 1980. Od r. 1945 však výpočtová technika priťahovala veľa ľudí. Neskôr tí najmúdrejší začali tvoriť softvéry pre svoje potešenie a používali ich. Písali v assembleri, fortrane a v iných strojových jazykoch. Boli to predchodcovia hackerskej kultúry.

Niektorí ľudia, ktorí vyrástlli v kultúre pravých programátorov zostali naďalej aktívny aj v deväťdesiatych rokoch. Napríklad o Seymourovi Crayovi, tvorcovi superpočítačov triedy Cray sa tvrdí, že sám vymyslel program a napísal ho do počítača vlastnej výroby bez jednej chyby. Kultúru pravých programátorov vytvoril vzostup interaktívnej práce s počítačom, univerzity a siete. Toto umožnilo vznik kontinuálnej inžinierskej tradície, ktorá sa nskoniec vyvinula v dnešnú open source hackerskú kultúru. Prví hackeri: Počiatky hackerskej kultúry sa datujú do r. 1961, kedy MIT získal svoj prvý PDP – 1. Bellove laboratória, laboratória, kde pracoval Thompson, zrušili projekt, keď zistili, že Multics je nepoužiteľný. Ďalší hacker menom Denais Ritchie vytvoril pre Thompsonove embryo UNIXu programovací jazyk C. Okrem portability mali UNIX a C aj iné silní stránky. Obidva boli založené na filozofii „Nech je to jednoduché a primitívne“.

Na rozdiel programovacích jazykov sa užívatelia nemuseli stále pozerať do manuálov a pamätať si celú logickú štruktúru programovacieho jazyka C. Do r. 1980 sa UNIX a C rozšírili do veľkého množstva univerzít a výskumných centier. UNIX sa spočiatku používal na PDP – 11 a neskôr na VAXoch. V takmer nezmenej podobe bežal UNIX na väčšom množstve počítačov. UNIX mal vlastnú podporu sietí (UUCP). Ľubovoľné dva UNIXy si mohli prostredníctvom obyčajných telefónych liniek vymieňať elektrickú poštu. Unixové systémy začali vytvárať vlastný sieťový národ a sprievodnú hackerskú kultúru. Niekoľko UNIXových počítačov však bolo pripojených aj k ARPAnetu. UNIXové a PDP – 10 kultúry začali splývať. Spočiatku, pretože PDP – 10 hackeri mysleli, že UNIXový hackeri sú len banda karieristov, ktorí používajú primitívne nástroje sa im to nedarilo. Bol tu ešte aj tretí smer. V r. 1975 sa objavil prvý osobný počítač. Apple bol založený v r. 1977 a v nasledujúcich rokoch nastal rýchly pokrok. Potenciál mikropočítačov prilákal mladých hackerov, ktorí používali programovací jazyk BASIC.

Bol taký primitívny, že pre prívržencov PDP – 10 a UNIXových nadšencov ani nestál za opovrhnutie. Koniec starých čias: V roku 1980 existovali tri kultúry, ktoré sa na okrajoch prekrývali, boli však založené na odlišných technológiách. Kultúra ARPAnetu a PDP – 10 oddaná LISPu a ITS. UNIXová a C partia s PDP – 11 a VAXami a malými tlefónnymi prepojeniami a anarchická horda prvých mikropočítačových nadšencov. Technológia PDP – 10 začala starnúť. Smrteľný úder prišiel v r. 1983, keď DEC ukončil podporu PDP – 10, aby mihli začať podporovať PDP – 11 a VAXy. ITS nemal budúcnosť, pretože nebol portabilný. A preto Berkeleyovský variant UNIXu, bežiaci na VAXoch sa stal hackerským programom číslo 1. Budúcnosť však bola v mikropočítačoch. Éra súkromného UNIXu: V r. 1984, keď bol AT & T rozdelené a UNIX sa stal komerčným produktom, vznikla najvážnejšia trhlina medzi relatívne súdržným „sieťovým národom“ sústredeným okolo Internetu a USEnetu a obrovským množstvom neprepojených mikropočítačových nadšencov. Pracovné stanice, ktoré vyrábal Sun prostredníctvom svojej výkonnosti otvorili hackerom nové obrazy. Počas osemdesiatych rokov bolo hackerstvo zaujaté výzvou vytvoriť softvér , ktorý by vyťažil čo najviac z týchto vlastností.

Počítačové vírusyPočítačový vírus Užívateľské hľadisko: Počítačový vírus je jednou z mnohých hrozieb bezpečnosti a integrity počítačových systémov. Programátorské hľadisko: Počítačový vírus je počítačový program, ktorý môže infikovať iný počítačový program takým spôsobom, že do neho skopíruje svoje telo, čím sa infikovaný program stáva prostriedkom pre ďalšiu aktiváciu víru.(Autor definície: Fred B. Cohen, antivírový priekopník) Prvé publikácie v oblasti vírovej problematiky sa datujú do rokov 1984-85.V súčasnosti sa odhaduje, že existuje zhruba 10.000 základných vírových tvarov. Vlastnosti počítačového vírusu Nutnosť hostiteľa: a) systémová oblasť disku (zväčša boot sector)b) spustiteľné programy (väčšina vírusov) Malá veľkosť vírového programu (jeden z najväčších vírusov je vírus MiniMax a má 32 kB) Naprogramované priamo v assembleri (vírusy vytvorené v Pascale, napr. Sentinel, RNA, alebo v jazyku C sú zriedkavé) Symbióza s hostiteľom vírus najmä vo svojom vlastnom záujme zabezpečuje po vykonaní vírových inštrukcií aj vykonanie tela pôvodného infikovaného programu Počítačový vírus a operačné systémy MS-DOS, OS/2, PC-DOS a iné, ktoré sú svojím spôsobom primitívne a patrili medzi najrozšírenejšie operačné systémy, sú svojou konštrukciou (napr. monoužívateľskosť, podpora rezidentných mechanizmov) najvhodnejšie na tvorbu počítačových vírusov.

Takisto v prostredí Windows 3.11, keďže je len nadstavbou MS-DOSu, sa vírusy šíria bez veľkých problémov. Windows 9x založené na 32-bitovej architektúre a pracujúci v chránenom režime procesora napriek tomu, že obsahuje podstatné vylepšenia, nepatrí k bezpečným operačným systémom. Najhlavnejšou príčinou je spätná kompatibilita s MS-DOS a podpora 16-bitových Windows aplikácií. U Windows NT, ktorý rozoznáva štyri úrovne ochrany rozčlenené na úrovni jadra operačného systému, servisných programov a programov aplikačných, nie je odolnosť proti počítačovým vírom veľká. V DOSovskom okne môžu víry prevádzať svoju činnosť bez väčších problémov. Viacužívateľský a viacúlohový operačný systém UNIX svojou architektúrou de facto znemožňuje klasický mechanizmus počítačových vírusov DOSovského typu. Distribúcie UNIXu disponujú vstavanými kontrolami na úrovni jadra operačného systému a definujú užívateľské úrovne prístupu dané vstupným prihlasovacím systémom užívateľské meno/heslo. Jadro UNIX (kernel) je z hľadiska bezpečnosti pomerne odolné. Jedinou známou formou užívateľom neasistovaného útoku a šírenia je Morrisov červ (1988), ktorý však využíval chybné naprogramovanie niektorých súčastí systému, čo sa ale vďaka prístupnosti zdrojových tvarov širokej verejnosti odstraňuje prakticky okamžite po vypustení distribúcie.

Vírové infekcie zažívajú aj počítače rady Amiga a System x počítačov rady Macintosh. Proti infekcii nie je dostatočne zabezpečený ani operačný systém Novell Netware. Funkčné prejavy počítačových vírusov Bez ohľadu na použité mechanizmy šírenia, alebo druh maskovania, prípadne cieľa infekcie, počítačový vírus je naprogramovaný vždy na základe istej motivácie. Väčšinou je ňou snaha uškodiť užívateľovi, a preto pri klasifikácii vírusu je kľúčovou otázkou to, či je vírus deštruktívny, alebo nedeštruktívny. Deštruktívne vírusy najčastejšie formátujú pevný disk, prepisujú náhodne vybrané sektory náhodnými dátami, menia obsah súborov, mažú súbory, zašifrujú dáta, atď.). U nedeštruktívnych vírusov majú aktivačné rutiny najčastejšie charakter vizuálnych prejavov (zobrazovanie rôznych textových správ, grafické prejavy nie sú časté) a akustických prejavov (drvivou väčšinou je nástrojom takéhoto prejavu zabudovaný reproduktor - PC-speaker). Každý z prejavov je vyvolaný podmienkou, čo väčšinou býva konkrétny časový moment, aktuálny dátum, prípadne vstup z klávesnice.

Delenie počítačových vírusov Podľa umiestnenia v pamäti: nerezidentné (tzv. víry priamej akcie): po spustení infikovaného programu sa replikujú, najčastejšie do súborov v danom adresári, a predajú riadenie infikovanému programu rezidentné programu: ostávajú v operačnej pamäti počítača aj po ukončení vykonávania infiko-vaného programu použitím mechanizmu TSR (terminate and stay resident) Podľa cieľa infekcie: bootovacie: Infikujú partition table (tabuľku rozdelenia), alebo častejšie boot sector (zavádzací sektor), čím si zabezpečia spustenie ešte pred zavedením samotného operačného systému. Originálny boot sector (ktorý musí byť zachovaný pre korektné zavedenie operačného systému) ukladajú buď na niektorý voľný sektor na 0. stope pevného disku, alebo na ľubovoľný iný sektor z dátovej oblasti pevného disku, pričom ho označia za vadný, aby nedošlo k jeho prepísaniu. súborové: Je to najrozšírenejšia skupina vírov. Infikujú EXE, COM, OVL, BIN, STS, OBJ, DLL súbory a niekedy aj keď sú uložené v komprimovaných archíve.

Podľa spôsobu infekcie sa delia na: predlžujúce - pripoja sa na koniec súboru a na začiatok pridajú inštrukciu skoku na telo vírusu. prepisujúce - nenávratne prepíšu úvod súboru, ktorý sa potom ako program stáva nefunkčný. adresárové - na disku sú uložené len raz, infikujú prepísaním odkazov priamo vo FAT tabuľke, pričom vzniká tzv. cross-referencing (prekrývanie súborov), ktorý však zväčša maskujú multipartitné: Častá skupina vírusov - infikujú boot sector a zároveň aj súbory. Najčastejšie koncepcie návrhu a prejavy chovania: stealth: Názov pochádza z mena známeho amerického bombardéra, ktorý sa stáva pre radary "neviditeľný". Vírus skrýva akúkoľvek zmenu komponentov systému, napr. dĺžku súborov, dátum a čas vytvorenia, zmena boot sectora. Vírus je schopný dezinfikovať programy on-the-fly ("za letu") najčastejšie monitorovaním prerušenia int 21h). V praxi po požiadavke na otvorenie súboru vírus prevezme kontrolu ako prvý, odvíri súbor, predá ho programu, ktorý oň žiadal a po požiadavke na uzavretie ho najprv infikuje a až potom skutočne uloží. polymorfné (meniace sa): Základnou myšlienkou je, že žiadne z 2 kópií vírového tela nie sú totožné. Vírus sa teda skladá z dekódovacej rutiny a zakódovaného tela. Ak je dekódovacia rutina statická (nemenná), ide o tzv. semi-polymorfné vírusy. Ak je dekódovacia rutina generovaná, ide o tzv. plne polymorfné vírusy. tunelujúce: Tieto vírusy sa "pretunelujú" reťazcami ovládačov zariadení, pripoja sa na koniec reťazca a ovládajú priamo napr. radič pevného disku.
Pri ich detekcii kontrola vektorov prerušení neuspeje. Ďalšie vírom podobné hrozby: Trójsky kôň: Tento program najčastejšie okamžite po svojom spustení prevádza deštrukčnú rutinu. Častokrát trójske kone slúžia na vypustenie nového vírusu. Makro-víry: Ide o programy naprogramované v jazyku na tvorbu makier v textovom procesore, alebo tabuľkovom kalkulátore a vložené do takého dokumentu (prvýkrát v roku 1989 v kalkulátore Lotus 1-2-3). Väčšinou ide o makrá programu Microsoft Word, ktoré systém vykonáva pri každom otvorení dokumentu (tzv. auto makrá), AutoExec, AutoOpen, FileSaveAs, FilePrint, FileExit. Infikovaná je najčastejšie šablóna NORMAL.DOT. Kvalitný programovací jazyk im umožňuje replikáciu, ale je diskutabilné, či ich radiť medzi vírusy, pretože neobsahujú inštrukcie procesora. Červi-worms: Takýto program neinfikuje spustiteľné súbory, ale rozširuje sa počítačovou sieťou. červ nepotrebuje hostiteľa. Morrisov červ v novembri 1988 nakazil 6000 počítačov UNIX. Bomby: Programy, ktoré po spustení čakajú na aktivačný podnet (tzv. rozbuška), zväčša kľúč z klávesnice, zmena nejakého súboru, aktuálny dátum, alebo čas, a prevedú deštrukčnú rutinu. Antivírové prostriedky a mechanizmy prevencie a liečby

Scanner: Scanner zisťuje prítomnosť víru v pamäti, alebo na disku pomocou vírových identifikačných reťazcov. Vírový identifikačný reťazec je jednoznačne definovaná postupnosť bytov reprezentujúcich daný vírus. Na zvýšenie účinnosti sa používa viac reťazcov na jeden vírus naraz (F-PROT používa dva), prípadne kombinácia nájdenia reťazca s jusov je chúlostivé hlavne preto, že môže dôjsť k poškodeniu súboru. Toto riziko sa zvyšuje u mutácií vírusov, t.j. vírusov, ktoré boli odvodené z niektorého zo známych vírusov. V prípade nesprávnej identifikácie vírusu nebude tento dôkladne odstránený a môže sa poškodiť funkčnosť pôvodného programu. Čiastočné riešenie prináša tzv. univerzálny clean (prvýkrát u systému AVAST!), ktorý si uchováva pôvodný dátum, dĺžku, atribúty, čas súboru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru. Rezidentný štít: Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovávaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu a pod. Monitor disru a hlavičku EXE súboru, resp. úvodné inštrukcie u COM súboru.

Rezidentný štít: Rezidentný štít je program, ktorý beží v reálnom čase. Najčastejšie je to program typu scanner, ktorý prevádza antivírovú kontrolu práve spracovávaných dát. Môže tak zakázať skopírovanie zavírených súborov z diskety na pevný disk, či zakázať spustenie infikovaného programu a pod. Monitor diskových zmien: Monitor sa zameriava na sledovanie zmien stavu v počítači, najmä spustiteľných súborov. Uchováva databázu popisov základných vlastností súborov, najmä dĺžku, dátum a čas poslednej aktualizácie a hlavne kontrolný súčet (CRC). Slabinou je prípad vírusov zameraných na zmazanie kontrolnej databáze. Softwarové antivírové vybavenie Jednoúčelové programy: Tieto programy sú zamerané špeciálne proti konkrétnemu vírusu, či vírusovej skupine. Iným častým použitím je v prípade komplikovaných vírusov, ako napr. Disk Killer, alebo známy One Half, ktorý pri nesprávnom odstránení ponechá dáta na disku zakódované a bez prítomnosti vírusu nečitateľné. Programové balíky: Sú to komplexné súhrny antivírových programov danej firmy.

Kvalitný antivírový produkt by mal obsahovať: rýchly scanner s rozsiahlou databázou, kvalitnú heuristickú analýzu, bežný i univerzálny clean, rýchly rezidentný štít, možnosti úschovy/obnovy kritických systémových oblastí (CMOS, partition table, boot sector), kontrolu komprimovaných súborov, dostatočnú odolnosť proti falošným poplachom, databázu popisov detekovateľných vírusov. Známe programové balíky: NOD, AVG, AVAST!, F-PROT, McAfee VirusScan. Prevencia a liečba zo strany užívateľa Základnou a spoľahlivou metódou prevencie je zálohovanie. Najvhodnejšie je zálohovanie viacerých verzií na viac médií naraz. Keďže sú málo rozšírené vírusy napádajúce komprimované archívy, je vhodné do takýchto archívov svoje zálohované údaje ukladať. Zásadou pri výmene dát medzi počítačmi je používať mechanickú ochranu diskety write-protection všade tam, kde to situácia dovoľuje (kde sa nepredpokladá sa zápis na disketu).

Dnešné BIOSy podporujú ochranu na najnižšej úrovni proti prepisu master boot record (tabuľky rozdelenia disku) a boot sectora, čo je spoľahlivá ochrana systémových oblastí pevného disku. Dôležitá je aj možnosť BIOSov nastaviť tzv. boot-up sequence, teda postupnosť diskov, kde sa má po poradí hľadať operačný systém, na "C:, A:", namiesto "A:, C:", aby sa zamedzilo nežiadúcemu naštartovaniu počítača z diskety zabudnutej v disketovej mechanike. Pri liečbe je vhodné používať viac druhov softwaru naraz, najlepšie domáci i zahraničný produkt. Vždy treba mať k dispozícii nezavírenú systémovú disketu obsahujúcu základné vybavenie pre čistenie master boot record (FDISK s prepínačom /MBR), boot sectora (SYS C:) spolu so sannerom, heuristickým analyzátorom a cleanerom. V každom prípade netreba pri nákaze prepadnúť panike, ale zistiť čo najviac informácii o víruse pred podniknutím ďalších krokov a v prípade neistoty prenechať odvírenie skúsenejšiemu antivírovému odborníkovi. .
Koniec vytlačenej stránky z https://referaty.centrum.sk