Zálohovanie dát
Zálohovanie dát (archivácia dát) je vytváranie záložnej kópie (kópií) dát. Môže byť vykonávané manuálne alebo automaticky. Automatické zálohovanie môže byť priebežné alebo sa vykonáva v nejakých časových intervaloch. Niektoré operačné systémy počas zálohovania umožňujú súbežne vykonávať zmeny v zálohovaných dátach, iné umožňujú ich v tom čase prezerať, ale nemožno ich meniť a niektoré neumožňujú ani to.
Záloha (informatika)
Záloha či záložní kopie je kopie dat uložená ještě na jiném nosiči či místě pro případ ztráty v původním úložišti. Jako prevence před ztrátou dat, se data nepravidelně či pravidelně ukládají z pracovního místa (např. disky serverů) na záložní média. V domácnostech se mohou data z pevného disku kopírovat na diskety nebo vypalovat na CD. V případě ztráty či poškození dat na původním místě v důsledku například hardwarové poruchy, útoku viru či neúmyslného smazání lze soubory obnovit ze záložní kopie. U větších systémů pak bývá speciální zálohovací zařízení se zvláštním softwarem, které umožňuje ukládat velké množství dat z různých serverů v síti i s dalšími údaji (přístupová práva, umístění) velkou rychlostí na speciální výměnná média, většinou pásky. Zálohovací zařízení dokáže také data při zálohování komprimovat. Existuje více strategií zálohování dat, častý přístup předpokládá plnou zálohu všech dat jednou za týden a potom každý den zálohovat pouze změny vůči plné záloze.
• Úplná záloha - ukládá se kopie všech určených dat
• Rozdílová (diferenciální) záloha - ukládá se kopie jen těch souborů, které se změnily od poslední úplné záložní kopie
• Přírůstková (inkrementální) záloha - ukládá se kopie jen těch souborů, které se změnily od posledního zálohování (ať už úplného nebo i inkrementálního)
Při obnovování dat se pak musí provést kopie z úplné zálohy a poslední diferenciální zálohy nebo z úplné zálohy a všech přírůstkových záloh od poslední úplné zálohy.
Komprimácia a archivácia
Komprimácia a následná archivácia najrôznejších typov súborov. Existuje široké množstvo archivačno-komprimačných formátov, z ktorých sa najväčšmi ujali formáty ZIP a RAR. Len málokto však využíva aj iné druhy kompresia ako napríklad 7z, ACE, GZIP alebo BZIP2. Zálohovanie a archivácia dát.
Mimoriadne flexibilné a škálovatelné riešenie ponúka implementácia programu IBM Tivoli Storage Manager. Špecialitou je možnosť využiť popri zálohovaní aj archiváciu dát.
Princíp činnosti Tivoli Storage Managera (TSM)
TSM ukladá dáta unikátnym spôsobom. Údaje sa najprv uložia na tzv. backup pool (resp. archive pool), čo je úložný priestor vytvorený spravidla na lokálnom pevnom disku. Následne sú tieto dáta migrované na páskové zariadenie. Táto migrácia je veľmi podrobne konfigurovatelná, a tým je možné dosiahnuť presnú zhodu s požiadavkami užívateľa. Najčastejšie sa používa možnosť uložiť na diskové zariadenie (backup pool) celú dennú zálohu, a tým minimalizovať potrebnú dobu zálohy, pretože diskové zariadenia sú z princípu podstatne rýchlejšie ako páskové. Vhodnou konfiguráciou procesu migrácie a kopírovania dát je možné dosiahnuť aj generovanie niekoľko identických kópií dát, napr. pre uskladnenie kópie na bezpečnom mieste (off-site copy).
Navrhované riešenie umožňuje:
• zálohu a archiváciu (a samozrejme následnú obnovu) dát z ktoréhokoľvek servera alebo pracovnej stanice v sieti
• centrálnu správu z ktoréhokoľvek počítača v sieti
• správa systému vykonáva neobmedzený počet správcov s presne definovanými právami, čo umožňuje delegovať právomoci pri rozsiahlych systémoch
• vytvárať ľubovoľný počet identických kópií dát pre uloženie na rôznych miestach
• podporu veľkého počtu platforiem a programového vybavenia
• široké možnosti škálovania
Princíp zálohovania a archivácie
Vírusy
Jako virus se v oblasti počítačové bezpečnosti označuje program, který se dokáže sám šířit bez vědomí uživatele. Pro množení se vkládá do jiných spustitelných souborů či dokumentů. Takový program se tedy chová obdobně jako biologický virus
Zatímco některé viry mohou být cíleně ničivé (např. mazat soubory na disku), mnoho jiných virů je relativně neškodných popřípadě pouze obtěžujících. U některých virů se ničivý kód spouští až se zpožděním (např. v určité datum či po nakažení určitého počtu jiných hostitelů), což se někdy označuje jako (logická) bomba. Nejdůležitějším negativním důsledkem šíření virů je však samotný fakt jejich reprodukce, která zatěžuje počítačové systémy a plýtvá jejich zdroji.
Definícia
Virus je typ programu, který se dokáže sám šířit tím, že vytváří (někdy upravené) kopie sebe sama. Hlavním kritériem pro posouzení programu jako viru je fakt, že k šíření využívá jiné soubory – hostitele. Virus se mezi dvěma počítači může přenést jedině tím, že někdo přenese celého hostitele, např. nějaký uživatel (obvykle neúmyslně) přenese soubor na disketě či CD-ROM nebo ho pošle prostřednictvím počítačové sítě.
Druhy podľa hostiteľa
Podle toho, prostřednictvím jakých hostitelů se virus šíří, je možné je dělit na několik druhů. Základními typy hostitelů jsou:
• Spustitelné soubory – COM a EXE programy v prostředí DOSu, EXE soubory v Microsoft Windows, ELF soubory v UNIXu atd.
• Boot sektory disket a diskových oddílů
• Master boot sektor (MBR) pevného disku
• Dávkové soubory a skripty – BAT v DOSu, shellovské skripty na UNIXech
• Dokumenty, které mohou obsahovat makra – např. dokumenty programů Microsoft Office
• Specializované skripty některých konkrétních aplikací
Druhy podľa spôsobu činnosti
Podle různých aspektů způsobu činnosti se některé viry označují specializovanými termíny:
Rezidentní/nerezidentní viry
Vir se může šířit dvěma základními způsoby: buď se ve chvíli spuštění hostitele (tzn. ve chvíli, kdy se při spouštění hostitele spustí kód viru) rozšíří do nalezených nenakažených souborů, nebo se pouze uloží do operační paměti počítače, ve které zůstane až do doby vypnutí počítače, a mezitím infikuje soubory (nebo např. diskety), se kterými uživatel pracuje. První typ se označuje jako nerezidentní vir, druhý jako rezidentní vir.
Stealth viry
Stealth viry se snaží zamaskovat svou přítomnost v souboru tím, že se zachytí na přerušení, kudy prochází veškeré požadavky na čtení dat ze souboru (tedy i požadavky antiviru). Vir si pak kontroluje, zda se požadavek týká i infikovaného souboru, v tomto případě pak vrátí aplikaci data původního neinfikovaného souboru. Poměrně rychle se ale na tento způsob maskování objevila obrana - antivirus si buď kontroluje, zda není adresa přerušení přepsána, případně na čtení používá přímo služby diskového řadiče. Tato technika krytí se převážně týkala operačního systému MS-DOS.
Trójske kone
Trojské koně (Trojan)
Narozdíl od virů není tento typ škodlivého kódu schopen sebe-replikace a infekce souborů. Trojský kůň nejčastěji vystupuje pod spustitelným souborem typu EXE, který neobsahuje nic jiného (užitečného), než samotné „tělo“ trojského koně. Odtud společně se skutečností, že trojan není připojen k žádnému hostiteli plyne, že jedinou formou dezinfekce je odmazání dotyčného souboru.
Password-stealing trojani (PWS)
Skupina trojských koní, která obvykle sleduje jednotlivé stisky kláves4 (keyloggers) a tyto ukládá a následně i odesílá na dané e-mailové adresy. Majitelé těchto emailových adres (nejčastěji samotní autoři trojského koně) tak mohou získat i velice důležitá hesla. Tento typ infiltrace lze klasifikovat i jako spyware.
Destruktivní trojani
Klasická forma, pod kterou je pojem trojských koní obecně chápán. Pokud je takový trojský kůň spuštěn, pak likviduje soubory na disku, nebo ho rovnou kompletně zformátuje. Do této kategorie můžeme zařadit i většinu BAT trojanů, tj. škodlivých dávkových souborů s příponou BAT. V tomto případě může překvapit snad jen občasné jednoduché kódování obsahu, díky čemuž není na první pohled zřejmé, co takový kód provádí.
Backdoor
Speciální skupina trojských koní, detailněji popsána níže. Z výše uvedené charakteristiky je zřejmé, že setkání s trojským koněm není běžnou záležitostí. Pravděpodobnost setkání je ovšem vyšší od chvíle, kdy řada virů začala nést takové trojské koně s sebou a během svého šíření je vypouští na jednotlivé počítače. Pokud je virus úspěšný, dojde jak k masivnímu rozšíření viru, tak i k vypuštění velké spousty trojských koní. Nejčastěji jsou vypouštěni password-stealing trojani a backdoory. Potom už záleží jen na autorovi daného viru, jak dokáže získané možnosti využít.
Dropper
Škodlivý program, nejčastěji typu EXE, který po spuštění vypustí do PC další škodlivou havěť, kterou si nese s sebou ve vlastních „útrobách“.
Downloader (TrojanDownloader)
Význam tohoto škodlivého programu je podobný jako v předchozím případě – vypustit „škodnou“ do PC. Downloader si ovšem další škodlivé programy nenese s sebou, ale snaží se je stáhnout z Internetu z pevně definovaných adres (url). Různé skripty na straně serveru mohou způsobit, že tentýž downloader může nakonec stahovat rozdílný software. V reálné situaci to navíc může vypadat tak, že není stažen / vypuštěn pouze jeden kus dalšího škodlivého softwaru, ale hned několik, které vypustí nebo stáhnou další vlnu havěti. V konečné fázi tak může spuštění jednoho nenápadného souboru vyvolat reakci, kdy je PC téměř nepoužitelné pro svou pomalost a chování. Špatné je to následně i s samotnými uživateli...
Proxy Trojan (TrojanProxy)
Některé trojské koně se postarají o to, že infikovaný počítač může být zneužit například pro odesílání spamu – nevyžádané pošty. Právě o tuto činnost se stará tento typ infiltrace. Při využití proxy je téměř nulová šance, že bude vypátrán skutečný autor nevyžádané pošty. Je to způsobeno samotným principem proxy.
Backdoor
Jde o aplikace typu klient-server, které jsou schopnostmi velice podobné komerčním produktům jako pcAnyWhere, VNC či Remote Administrator. Narozdíl od nich ovšem vystupují anonymně, uživatel není schopen jejich přítomnost běžným způsobem vypozorovat a to je důvodem, proč jsou preventivně detekovány antiviry jako jeden z typů infiltrace. Mluvíme o neautorizovaném vstupu. Backdoor je tak aplikace, sloužící pro vzdálenou správu PC a sama osobě nemusí být škodlivá. Záleží pouze na osobě, která tuto vzdálenou správu vykonává. Pokud půjde o činnost škodlivou, pak tuto osobu nazýváme vzdáleným útočníkem. Princip fungování backdooru je následující. Klientská část vysílá požadavky útočníka serverové části, ta tyto požadavky plní, popřípadě odesílá zpět klientu požadované informace. Z předchozího je zřejmé, že klientskou část aplikace by měl vlastnit útočník a serverová by měla být umístěna na počítači, kde lze očekávat kupříkladu důležitá data. Pokud je serverová část backdooru vypouštěna úspěšně se šířícím virem, má vzdálený útočník k dispozici tisíce počítačů, ke kterým môže vzdáleně přistupovat. Celá komunikace probíhá ve většině případů na bází TCP/IP, která ve spojení s celosvětovou sítí Internet umožňuje, aby útočník byl vzdálen tisíce kilometrů od serverové části backdooru.
Spyware
Spyware je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Narozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled navštívených stránek či nainstalovaných programů. Tato činnost bývá odůvodňována snahou zjistit potřeby nebo zájmy uživatele a tyto informace využít pro cílenou reklamu. Nikdo však nedokáže zaručit, že informace nebo tato technologie nemůže být zneužita. Proto je spousta uživatelů rozhořčena samotnou existencí a legálností spyware. Důležitým poznatkem je, že spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí.
Hoax
Slovem Hoax označujeme poplašnou zprávu, která obvykle varuje před neexistujícím nebezpečným virem. Šíření je zcela závislé na uživatelích, kteří takovou zprávu e-mailem obdrží. Někteří se mohou pokusit varovat další kamarády či spolupracovníky a jednoduše jim poplašnou zprávu přeposlat (forwardovat). Tím vzniká proces šíření. Pokud budeme hovořit o poplašných zprávách týkajících se virů, pak je můžeme charakterizovat následně:
• Popis nebezpečí (viru) - Smyšlené nebezpečí (virus) bývá stručně popsané, v případě viru bývá uváděn i způsob šíření.
• Ničivé účinky viru - Zde záleží převážně na autorově fantazii. Ničivé účinky mohou být celkem obyčejné, třeba zformátování disku nebo už míň důvěryhodné - zběsilý útěk myši do ledničky, roztočení HDD opačným směrem, výbuch počítače... Autoři hororů zde mohou hledat inspiraci.
• Důvěryhodné zdroje varují - Ve většině případů se pisatel poplašné zprávy snaží přesvědčit, že varování přišlo od důvěryhodných zdrojů ("IBM a FBI varují" nebo "Microsoft upozorňuje" atd...)
• Výzva k dalšímu rozeslání - Tento bod HOAX vždy obsahuje! Mnoho nezkušených uživatelů se nechá zprávou napálit a bez přemýšlení výzvu uposlechnou. Díky tomu se tyto nesmysly lavinovitě šíří.
Dialer
Dialer je program, který změní způsob přístupu na Internet prostřednictvím modemu. Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. „žluté linky“). V některých případech se tak děje zcela nenápadně nebo dokonce automaticky, zvlášť když oběť používá špatně nastavený, popř. „děravý“ internetový prohlížeč. Dialer může být na PC vypuštěn návštěvou „nevhodné stránky“ (např. pornografické), například za využití technologie ActiveX, takže problémy mohou nastat především uživatelům Internet Exploreru. V jiném případě může jít o nenápadný spustitelný soubor (.EXE), který je nic netušícímu uživateli vnucován ke stažení klasickým dialogem (mluvíme-li o prohlížeči Internet Explorer).
Červ (worm)
Počítačový červ sa zaraďuje medzi počítačové infiltrácie a v poslednom období sa stáva rozšírenejší ako počítačové vírusy. Je to program so škodlivým kódom, ktorý sa usadí na hostiteľskom počítači, využíva jeho prepojenie cez sieť s ďalšími počítačmi a cezne sa šíri ďalej. Obsahuje rutiny, pomocou ktorých sa sám kopíruje a šíri neuveriteľnou rýchlosťou. Úspěšně infikovaný systém červ využije k odeslání své kopie na další systémy v síti Internet a velmi rychle se tak rozšiřuje. Dominový efekt může mít za následek až zahlcení počítačové sítě.
Podstata šíření červů – stejně jako klasických virů – je zneužívání konkrétních bezpečnostních děr operačního systému či softwaru. Úspěšnost je závislá na rozšíření konkrétního programového vybavení.
Podľa povahy šírenia a typov útoku sa červy delia na:
• e-mailové červy šíří se jako soubory v přílohách elektronické pošty a napadají adresy, ktreré naleznou v adresáři napadeného počítače. Většinou je nutné spustit infikovaný program, který je v příloze e-mailu.
• sieťový červ šíri sa po sieti využívajúc chyby v serverových častiach programov, pričom sám aktívne vyhľadáva ďaľšie servery vhodné na napadnutie.
Phishing
Slovo phishing vzniklo kombináciou slov fishing (rybárčenie) a phreaking (označuje osoby zneužívajúce telefónne linky). Phishing spočíva v krádeži (resp. získaní) citlivých informácií, napr. údajov o platobnej karte alebo mená a heslá k nejakej službe. K nalákaniu sú zneužívané metódy sociálneho inžinierstva. Typickým súčasným phishingom je podvodný email, ktorý vyzerá ako by bol odoslaný z banky užívateľa. V takomto emaily banka pod nejakou zámienkou (hroziaca zrušením účtu apod.) žiada o overenie totožnosti a ďalších údajov (napr. číslo kreditnej karty, prístupové údaje). Po kliknutí na odkaz v emaily je užívateľovi zobrazená falošná webová stránka, kde vyplní požadované údaje. Následne užívateľ príde o svoje peniaze prevedené z jeho účtu alebo odčerpané z jeho kreditnej karty.
Spoofing
Chcel by som Vám popísať jednu z najnebezpečnejších hackerských techník - IP spoofing. Táto technika využíva prílišnú dôverčivosť niektorých služieb (hlavne rlogin). Dovoľuje obísť TCP wrappingom zakázané služby a dokonca získať užívateľské kontá. Služba rlogin dovoľuje mať v home directory súbor .rhosts, ktorým dovoľuje vstup z niektorých usernames/host kombinácíí. Služba bola vytvorená kvoli lenivosti užívateľov. Tí nemuseli pri prihlasovaní z jedného svojho konta na druhé udávať heslo. Povedzme, že počítač Cieľ dovolí užívateľom z počítača Trusted hlásiť sa bez hesla. Útočník toho môže využiť a pomocou služby IP source routing zasielať balíky dát. Source routing je časť IP packetu, kde je explicitne definovaná cesta, ktorou sa má odpoveď u berať. Takto je možné zaslať packet z počítača Hacker na Cieľ s tým, že bude v IP hlavičke definovaný odosielateľ Trusted a nastavená spätná cesta k počítaču cieľ.
Ochrana proti vírusom
Antivírusové techniky:
• nepoužívať súbory z pochybných zdrojov
• použitie antivírusových programov
• nepodliehať panike
• znalosť a sledovanie podozrivého chovania systému
Antivírusové programy:
• Scanner- ručne spustený uživateľom alebo zapnutý ako rezidentný štít
• Liečenie- vymazať vírus, opraviť program, zničenie hostiteľa alebo pou6itie virového TREZORA – nevyliečiteľný vírus, ktorý sa neskôr môže vyliečiť
Čo robí scanner
• sledovanie zmien(velkosť,dátum,CRC)
• hľadanie známych vírusov – dôležití aktualizácia antivírusového systému
Čo robí heuristická analýza
• Hľadanie neznámych vírusov-antivírus sa spustí vo vlastnom virtuálnom počítači v chránenej časti OS, krokuje ho, čím môže odhaliť potenciálne podozrivé chovanie, nevýhoda – veľa planých poplachov
Ochrana proti iným škodlivým veciam
Ochrana proti spamu
• Filtre, ktoré spam zničia – server/klient
• Bayesianske filtre-inteligentné, učia sa od uživateľa
Ochrana proti hoax
• neveriť všetkému a informovať sa, pozrieť sa napr. na www.hoax.cz
Ochrana proti spyware
• použitie špecializovaných programov na vyhľadávanie a odstraňovanie SPYWARu a imunizáciu systému, niektoré programy sú aj rezidentné
Ochrana proti dialer
• dajú sa vyhľadávať a odstraňovať špecializovaným softwarom, často antispywareovým, je dobré tiež občas skontrolovať systém, hlavne parametre pripojenia, zoznam automaticky spúšťaných programov a služieb po štarte systému
Ochrana pred ďlšími problémami napr. BACKDOOR v programoch, otvorené porty pre komunikáciu siete je veľmi náročná, vyžaduje hlbokú znalosť systému a sieťovej komunikácie.
Debugger – program, ktorý sleduje činnosť programu a kontroluje ho
Sniffer – (sliedič) – sleduje prevádzku v počítačovej sieti