[pappas]

A web gonoszai

Azokat vàrom ide akik tanàcsot kérnek és akik tudnak segiteni ezek leküzdésében.

A számítógépes vírusok már régóta nem az egyetemisták erõfitogtatásának eszközei, hanem egy olyan iparág termékei, amely milliárdos károkat okoz. Cyber nyomozók kergetik õket világszerte, de a tudatosság is nagyon fontos. Többnyire a felhasználók számára sem világos, mivel szemben kellene megvédeniük gépüket. Néhány ilyen gonoszságot gyûjtöttünk csokorba.
Jelenleg a legjellemzõbb kártevõk egyike a kéretlen reklámablak az adware. Ezek a viszonylag ártatlan kémprogramok olyan változatai, amelyek beágyazódva a gépünkbe, analizálják internetes böngészõ szokásainkat és jellemzõen idegesítõ, felugró reklámablakokkal (pop-up) bombáznak. Fontos különbség, hogy míg a legális reklámablakokért a cégek fizetnek szerzõdések alapján a szolgáltatóknak, addig ezek többségéért nem.

A másik probléma ezekkel, hogy alkalmasak a jelszavaink, a személyes jellemzõink – amiket sokszor használunk különbözõ regisztrációnál vagy termékkeresésnél –, megfigyelésére, vagyis ezek a részletek nincsenek biztonságban, és adhatók-vehetõk netszerte.

Átirányítók

A böngészõátirányítók (hijackwarek), mint nevükben rejlik átirányítanak egy olyan weboldalra, amelyre egyáltalán nem szándékoztunk ellátogatni. Ezek többnyire felnõtt tartalmú vagy játékszájtok. Az alkalmazás ráadásul olyan könyvjelzõket (bookmarkokat) hagy maga után, amelyek alapján még több ilyen találhat ránk.

Sok ezek közül azt a megtévesztõ politikát követi, hogy megjeleníti: a gépünk fertõzött és felkínál egy szoftvert a megoldásra. Más esetben csak a honlapok látogatottságának növeléséért mûködtetik, hogy a mesterségesen feltornázott nézettségi adatok alapján már értékesíteni lehessen az oldalt reklámozók számára.

De érdemes végig böngészni az ingyenesen letöltött szoftverek licenceit is, mert ezek gyakran deklaráltan tartalmaznak ilyen kódokat is. Mint például az egyik elsõ ilyen program, a kevéssé rosszindulatú, de annál idegesítõbb CWS (Cool Web Search).

Billentyûvadászok

Jóllehet az elsõ billentyûzet-adatrögzítõt (keyloggert) még maga az FBI fejlesztette ki, amikor egy illegális játékoldalt akart felszámolni, vélhetõen nem az volt a cél, hogy módszerük ilyen népszerû legyen. Márpedig az lett, sok vállalat is ezzel a módszerrel felügyeli dolgozói internetes szokásait.

Csak a szokásos, egy spam Jokertõl, egy vírusos levél a Pingvintõl és egy idióta láncposta a Macskanõtõl...

Csak a szokásos, egy spam Jokertõl, egy vírusos levél a Pingvintõl és egy borzasztó láncposta a Macskanõtõl...




Sajnos elmondható, hogy a keyloggerek igen könnyen válnak veszélyes fegyverekké, mivel szemmel tartják a felhasználók jelszavait, e-mail címeit, banki számait. Az üzleti világban a nagyobb támadások egyik hatékony fegyvere is, amit kombinálnak más kártékony programokkal, amelyek kiiktatják a tûzfalakat, amíg például egy mini FTP-szerver települ a gépünkre. Ami azután további kártékony programok elhelyezését segíti.

Az egyik klasszikus módszer egy keyloggerprogram „beszerzésére” az elektronikus üdvözlõkártya. Amikor egy ilyet megnyitunk, hogy elolvassuk, ez kapcsolatba lép azzal a szerverrel, ami feltérképezi rendszerünk sebezhetõ pontjait. Ezt követõen a program telepíti a megfelelõ rootkitet és keyloggert. Innentõl kezdve megfigyelés alatt állunk. Mindezt úgy, hogy a levél teljesíti eredeti küldetését is, tehát megkaptuk az üdvözletet. Persze a fent leírtakat a kártya estleges továbbításával újabb felhasználók számára terjesztjük tovább.

Gyökérség

A rootkitek (gyökérmenübe beépülõ kódok) szintén az egyik leggyakoribb kártékony alkalmazások. Ezek a programok azok, amelyek révén könnyen elveszíthetjük irányításunkat a gépünk felett. Beépülnek az operációs rendszerbe, lebénítják a biztonsági funkciókat, vírusmentesítõket. Rosszindulatú kódokat építenek be, megváltoztatják a DNS beállításokat és rendszerkonfigurációkat, privát fájlokhoz férnek hozzá, és általában is általánosan érintik a rendszer teljesítményét. Többnyire ilyenkor történik felfedezésük is.

Fajták és Fenyegetések

Évente mintegy 50 ezer új faját detektálják a malware-eknek.
Ezek: 1. bejelentkeznek másik gépre (remote controll) 2. Adatot gyûjtenek (spyware) 3. Kéretlen reklámokat közölnek (adware) 4. Billentyûleütést figyelnek (keylogger) 5. Vezérlésátvételt, titkolt mûveleteket hajtanak végre (rootkit)
Hasonlóan a keyloggerekhez, ezeket is a hatóságok vetették be elõször . A Sony BMG ilyenek segítségével próbálta megóvni termékeinek szerzõi jogait. Ezért amikor egy jogtiszta terméket játszottunk le, az telepített egy ilyen rootkitet. Ez aztán sebezhetõvé tette a gépet más kártékony rendszerek számára is. Megtalálásuk és megelõzésük sem egyszerû, ugyanis a fejlettebbek megússzák a direkt törlést és azonnal visszatelepítik magukat. Egyre több rootkit pedig saját rootkitet generál, amely jócskán megnehezíti a kiirtást.

Trójaiak

Mondhatjuk, hogy a rejtõzködés mesterei. Legfontosabb jellemzõjük, hogy olyanok mintha ártalmatlan beépülõ modulok volnának, vagy egy multimédiás termék kiegészítõi. A trójaiak fejlesztõi gyakran saját oldalt is építenek terméküknek, hogy még inkább azt a látszatot keltsék, egy ártatlan szoftverrel van dolgunk. A terjedésüket nagyban segítik a web 2.0-ás alkalmazások, videomegosztók, amelyeken keresztül a letöltésekkor akadálytalanul jutnak be a gépeinkre.

A számtalan trójai egyike például PDA-kon, személyi szervezõkön fut és WAP-oldalakhoz enged hozzáférést úgy, hogy közben emelt árú sms-üzeneteket küld egy a jogosulatlan számra a mi költségünkön.

Férgek

A férgek lényege a gyors szaporodás. A férgek képesek például elküldeni magukat az e-mail címjegyzékben szereplõ összes címre, és a címzettek számítógépein szintén megteszik ugyanezt, dominóhatást hozva így létre, ami megnöveli a hálózati forgalmat, és emiatt lelassítja az üzleti célú hálózatot és az internetet. Egy fertõzött gép pillanatok alatt képes végigpusztítani az egész hálózatot. Bár a férgek nem tartoznak az újszerû fenyegetések közé, számtalan variációjuk révén igen kártékonyak. Mivel a férgeknek nincs szükségük „gazdaprogramra, lehetõséget adnak arra is, hogy a távolból irányítsák a gépünket.

Vírusok

A vírus kifejezést meglehetõsen általánosan használják még a mai napig is, miközben ez az olyan programokat illeti, amelyek rosszindulatú kódokat helyeznek el dokumentumokban vagy kódban. Amelyeknek az egyes terjedési módját, hívjuk a fentiek közül az éppen a hatása szerint illetékesnek.

A "legnagyobbak"

A legnagyobb malware gazdák:
USA 34.2%, Kína 31%,Oroszország 9.5%, Hollandia 4.7%, Ukrajna 3.2% (forrás:bbc.co.uk)
Jelenleg még mindig az elektronikus levelezés felelõs a vírusok körülbelül 90 százalékért. A vírusok rengeteg alakban mutatkozhatnak meg (makroutasításos, betöltõszektoros, hálózati, e-mail, stb.) sokukat manapság arra hozzák létre, hogy úgynevezett zombigépeket fertõzzenek meg. A zombigépeket hálózatokba szervezve már virtuális bûnözõként hajthatók végre olyan nagyszabású támadások, mint a bankok ügyfeleinek adathalászata.

Elõnylesõk

A nemkívánatos programoknak ez a típusa szintén rosszindulatú kódot helyez el egy különben ártatlan állományon belül. Piggybacknak hívják õket angolul, mert egy másik programot „meglovagolva” jutnak be a rendszerbe. Egy felmérés szerint a honlapok 4 százaléka, míg a szabadon elérhetõ szoftverek 5 százaléka hordoz ilyen kódot. Ez azt is jelenti, hogy hiába feltételezzük egy szájtról, hogy megbízható, ha õk maguk az oldal üzemelttõi nem elég óvatosak. Tipikusan fertõzésgyanúsak azok az oldalak, amelyek játékletöltéseket, zenéket, háttérképeket kínálnak. Újabb trend, hogy ezeket a kódokat a nyílt forrásokban helyezik el, illetve VoiP, vagyis internettelefonos rendszerekben terjesztik.

(A cikk az IT Security egy tanulmánya alapján készült) D.P.

Szerkesztette: pappas 2008. 03. 20. 00:56 -kor

[pappas]

Hogyan lehet megállapítani, hogy a számítógépet megfertõzte valamilyen féreg vagy vírus?

Amikor egy fertõzött programot elindít, talán nem is tudja, hogy vírust kapott. A számítógép lelassulhat, lefagyhat vagy összeomolhat, illetve pár percenként újraindulhat. Néha a vírus azokat a fájlokat támadja meg, amelyek a számítógép újraindításához szükségesek. Ebben az esetben a bekapcsológombot megnyomva nem lát mást, csak a fekete képernyõt.

Ezek a tünetek mind azt jelzik, hogy a számítógép vírussal fertõzött (bár mindezen jelenségeket okozhatja hardver- vagy szoftverhiba is, amelynek semmi köze semmilyen vírushoz).

Óvakodjon azoktól a levelektõl, amelyek azt jelzik, hogy vírust tartalmazó e-mailt küldött. Ez jelentheti azt is, hogy a vírus felvette az Ön e-mail címét a listájára, mint fertõzött e-mail feladójáét. Ez nem feltétlenül jelenti azt, hogy Ön meg is van fertõzve a vírussal. Néhány vírus képes e-mail címeket hamisítani. Talán már hallott is errõl, ennek angol neve „spoofing”.

Annak, hogy megtudja, van-e vírus a számítógépén, csak egyetlen biztos módja van: ha naprakész víruskeresõ program van telepítve a számítógépre.

[pappas]

Mit tegyünk, ha vírusunk van?


Vírustámadást már szinte mindenki élt át. Azt azonban, hogy ilyen esetben mi a teendõ, nem mindenki tudja pontosan. Az alábbi sorokban egy egyszerû áttekintést szeretnénk adni arra az esetre, amit nem kívánunk senkinek...

Az alábbi teendõlista nem lehet teljes, hiszen a vírusok hihetetlenül sokfélék, nem lehet minden esetben tökéletesen használható receptet adni. Azonban megpróbálunk olyan lépéseket leírni, amelyek a lehetõ legtöbb esetben segítenek elkerülni a vírus továbbterjedését, és megakadályozni a károkozást.

Az elsõ számítógép-vírus (bár ez nem bizonyított) az elsõ számítógéppel készült el. Komoly gondot azonban csak a személyi számítógépek tömeges elterjedése óta jelentenek ezek a károkozók. A számítógép-vírusok (az élõvilágban megszokottól eltérõen) nem véletlenül jelennek meg, hanem a gépeket jól ismerõ programozók munkájaként születnek. A vírusok valójában olyan programok, melyek képesek saját maguk sokszorosítására, és egyik számítógéprõl a másikra terjedni a gépet használók tudta nélkül.

A vírusoknak két hagyományos típusuk van: a file-fertõzõ és bootszektor-fertõzõ vírusok. A kettõ közötti különbség az, hogy hogyan kerülnek a számítógép memóriájába, hogyan "veszik rá" a gépet, hogy az futtassa õket. A file-fertõzõ vírusok olyan állományokat keresnek, amelyeket a gép használója nagy valószínûséggel magától el fog indítani. Ezeket azután "megfertõzik", azaz a saját maguk programkódját beleírják, vagy hozzácsatolják a gazdaprogramhoz. Ezután, ha egy ilyen programot elindít valaki, akkor a vírus aktivizálódni fog.

A bootszektor-fertõzõ vírusok a számítógépeknek azt a tulajdonságát használják ki, hogy az operációs rendszert is lemezrõl töltik be. Ezek a vírusok arra a lemezterületre írják magukat, ahol normális esetben az operációs rendszert betöltõ rész van, ezért amikor a gép megpróbálja betölteni a rendszert, helyette a vírust fogja elindítani, ami aztán a rendszert is betölti.

Ezután lássuk, mit is kell tenni, ha gépünkön vírus van, vagy gyanakszunk, hogy esetleg vírus lehet. Semmi pánik! Ha eddig nem történt baj, és nem kapkodunk, akkor nem is fog. Ha pedig már megvan a baj, a helyzetünk legfeljebb jobbra fordulhat...

Amikor gépünkön vírust feltételezünk, általában az elsõ dolgunk az, hogy megpróbáljuk leállítani a mûködését. Ez, ha a vírus már a memóriában van, csak a gép kikapcsolásával és újraindításával lehetséges. Ilyenkor viszont figyelnünk kell, nehogy a vírus esetleg ismét aktivizálódni tudjon. Ezt a legegyszerûbben úgy érhetjük el, hogy egy vírusmentes gépen vírusmentes indító- (boot-) lemezt készítünk, bekapcsoljuk a lemez írásvédelmét, és arról indítjuk be gépünket. Így el tudjuk kerülni, hogy egy boot vírus aktivizálódjon.

Meg kell gyõzõdnünk róla, hogy gépünk fertõzött-e, avagy sem, és ha igen, mely file-ok fertõzöttek (illetve van-e boot szektor fertõzésünk). Erre egy víruskeresõ program használata ajánlott. (F-Secure Anti-Virus, Kaspersky Anti-Virus... stb.) Ilyenkor célszerû minden fájlra kiterjedõ keresést elindítani, mely a víruskeresõ szoftver keresési paraméterei között állítható be. A szoftver által fertõzöttnek talált fájlok nevét és elérési útvonalát mentesítés elõtt jól nézzük meg, mert ezek az információk segíthetnek annak felderítésében, hogy honnan kaptuk a vírust.

A víruskeresõ programok csak akkor kísérelnek meg eltávolítani egy vírust, ha biztosak benne, hogy képesek azt maradéktalanul, károkozás nélkül úgy eltávolítani, hogy a fertõzés elõtti állapot álljon vissza. Ha erre nem képesek, akkor meg sem kísérlik eltávolítani a vírust, hanem felhívják a figyelmet, hogy itt fertõzés történt, a kár nem gyógyítható, ezért a fertõzött programot mentésbõl vissza kell állítani, vagy újra kell telepíteni. Ha a vírus eltávolítható, és beállítottuk a vírusok eltávolítását, akkor a programok ezt meg is teszik. Ezzel a vírusfertõzéstõl megszabadultunk.

Utoljára, ellenõrzésképpen indítsuk el még egyszer a víruskeresõ programot, és gyõzõdjünk meg róla, hogy gépünkön nem maradt fertõzött file vagy boot szektor.

Következõ feladatunk, az újabb fertõzések elkerülése érdekében, a vírus kiindulópontjának meghatározása. A károkozó, amikor megfertõzte gépünket, valamilyen médián keresztül jutott be a rendszerbe.

Ez leggyakrabban egy fertõzött e-mail melléklet, másolt program lehet, de floppyn vagy akár gyári CD-n(!) is kaphatunk vírust. Ha megvan a forrás, figyelmeztessük az illetõt, hogy vírus van/volt.

Ezen felül ajánlott egy rezidens, állandóan mûködõ vírusvédelmi szoftver beszerzése is, melyet lehetõleg naponta frissítsünk.

Amennyiben valószínûnek tartja, hogy a gépe vírusos, de a legfrissebb adatbázissal rendelkezõ anti-virus szoftvere ennek ellenére nem talált fertõzést, akkor elõfordulhat, hogy még nem ismert kártevõvel találkozott. Ilyenkor az a legfontosabb, hogy az új kártevõre mielõbb kifejlesszék a védekezést, ezért küldjön vírusmintát valamelyik adatbiztonsággal foglalkozó cégnek.

[FCs]

egyrészt van egy információvédelem szekció, ami nagyjából csak errõl szól, másrészt kisebb lelkesedéssel kellene kopipésztelni más oldalak írásait. katt..