Programy destrukcyjne


Adware jest to rodzaj licencji programów rozprowadzanych za darmo, pozwalający na wyświetlanie reklam.
Najczęściej używane jest w aplikacjach łączących się z Internetem ze względu na wymianę wyświetlanych bannerów. Najbardziej znanym tego typu programem jest w Polsce komunikator Gadu-Gadu. Da się je blokować za pomocą odpowiednio skonfigurowanych pośredników HTTP.

W drugim znaczeniu Adware są to programy, które bez zgody odbiorcy, w sposób utrudniający obsługę komputera, wyświetlają niechciane reklamy.

Atak słownikowy.
Atak słownikowy jest to technika używana do łamania haseł zbliżona do metody brute force. Główna różnica między tymi metodami polega na sposobie dobierania możliwości. Brute force wybiera losowe znaki i w losowej kolejności w celu odnalezienia właściwego wzoru, podczas gdy atak słownikowy korzysta z gotowych wyrazów co znacznie zmniejsza ilość opcji. Jednakże metoda ta nie jest zbyt przydatna do łamania haseł zaawansowanych użytkowników.

Backdoor
Backdoor (ang. tylne drzwi) jest to luka w zabezpieczeniach systemu utworzona umyślnie w celu późniejszego wykorzystania.
Backdoor w systemie może być pozostawiony przez crackera, który włamał się przez inną lukę w oprogramowaniu (której przydatność jest ograniczona czasowo do momentu jej usunięcia) bądź poprzez podrzucenie użytkownikowi konia trojańskiego.

Bomba logiczna.
Bomba logiczna jest to fragment kodu programu komputerowego (często wirusa zawartego w zwykłym programie lub robaka), umieszczony w nim bez wiedzy użytkownika i wykonujący pewne instrukcje po spełnieniu określonych warunków.
Głównym zagrożeniem związanym z bombami logicznymi jest ich nieaktywność, a co za tym idzie - trudna wykrywalność do czasu zaktywizowania, kiedy mogą już znajdować się na setkach milionów komputerów.
Przykładowe warunki zaktywizowania bomby logicznej:
* określona data/godzina/dzień tygodnia
* utworzenie/usunięcie danego pliku
* uruchomienie programu
* zalogowanie się danego użytkownika
* połączenie z internetem
* dana liczba uruchomień programu

Aktywowana, bomba logiczna może mieć dowolne działanie, np.:
* skasowanie danych
* zmiana haseł
* zawieszenie systemu
* dokonanie ataku typu DoS
* umożliwienie autorowi przejęcia kontroli nad komputerem.

Najczęściej spotykanym typem bomb logicznych są bomby czasowe, wykonujące się o określonym czasie. Działały w ten sposób m.in. sławne wirusy Michał Anioł oraz Czernobyl, które przed kilkoma laty spowodowały ogromne straty, atakując komputery na całym świecie.

Brute Force.
Atak Brute Force to atak, w którym wypróbowujemy wszystkie możliwe klucze, aż znajdziemy pasujący.
Atak brute-force można przeprowadzić wobec wszystkich szyfrów symetrycznych i szyfrów asymetrycznych. Dużego znaczenia nabiera metoda brute-force, jeśli z powodu wyboru niewłaściwej metody generacji klucza, przestrzeń możliwych kluczy zostaje zawężona do pewnego podzbioru, np. jeśli podczas wyboru hasła, zamiast stosować wszelkie możliwe kombinacje liter cyfr i znaków, których liczba dla 6-ciu znaków hasła wynosi ok. 6^36, ograniczymy się tylko do haseł będących zdrobnieniami nazw klubów piłkarskich, których w Polsce jest kilkadziesiąt. Jeśli atakujący potrafi ocenić jaką metodę generacji kluczy wybrał szyfrujący, nawet zastosowanie formalnie bezpiecznego algorytmu szyfrowania nie zabezpiecza przed atakiem brute-force.
Atak taki jest wykonywalny np. do:
* 32 bity i DES - ponad pół godziny
* 56 bitów i DES - około 416 dni
* 128 bitów i AES - 11 milionów miliardów lat

Buffer overflow.
Buffer overflow (przepełnienie bufora), jest to błąd oprogramowania polegający na zapisaniu do podręcznej pamięci (czyli bufora), większej ilości danych, niż jest to dozwolone. Powoduje to zamazanie danych znajdujacych się w pamieci bezpośrednio za buforam, a w rezultacie błędne działanie programu.
Błąd przepełnienia jest często wykorzystywany przez crackerów, którzy podając specjalnie przygotowane dane na wejście programu mogą spowodować wykonanie podsuniętych przez siebie instrukcji. W wyniku przepełnienia bufora mamy dostęp do uprawnień administratora.

Cache poisoning.
Cache poisoning czyli zatruwanie pamięci serwera DNS. Jest to metoda ataku na serwery DNS, dzięki odpowiednio spreparowanym zapytaniom. W wyniku tego możliwe jest przekierowanie ruchu pod inny adres IP.

DDoS.
DDoS (ang. Distributed Denial of Service) - jest to atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów. Atak DDoS jest odmianą ataku DoS polegającego na jednoczesnym atakowaniu ofiary z wielu miejsc. Służą do tego najczęściej komputery, nad którymi przejęto kontrolę przy użyciu specjalnego oprogramowania (różnego rodzaju tzw. boty i trojany). Na dany sygnał komputery zaczynają jednocześnie atakować system ofiary, zasypując go fałszywymi próbami skorzystania z usług jakie oferuje. Dla każdego takiego wywołania atakowany komputer musi przydzielić pewne zasoby (pamięć, czas procesora), co przy bardzo dużej ilości żądań prowadzi do wyczerpania dostępnych zasobów, a w efekcie do przerwy w działaniu lub nawet zawieszenia systemu.

Exploit.
Exploit jest to program, który wykorzystuje występującą w oprogramowaniu dziurę i przejmuje nad nim kontrolę - wykonując odpowiednio spreparowany kod (ang. shellcode, stworzony w C), który najczęściej wykonuje wywołanie systemowe uruchamiające powłokę systemową z uprawnieniami programu, w którym wykryto lukę w zabezpieczeniach. Najczęściej program taki wykorzystuje jedną z kilku popularnych technik, np. buffer overflow.
Cross site scripting (XSS) jest to rodzaj exploitu, gdzie specyficzny rodzaj informacji, która nie pochodzi z zaufanego systememu, może być umieszczona w innym kontekście niż przewidywany.
Z zaufanej pozycji, można uruchomić atak.
Typowym przykładem XSS jest dostarczenie parametrów do skryptu Common Gateway Interface na stronie, które spowodują wyjście nieprawdopodobnych danych.
Na przykład, użycie skryptowania po stronie klienta w języku HTML może przenieść informację do innej strony, powodując w docelowych przeglądarkach wykonanie kodu.
Można to uczynić przez wprowadzanie danych do formularza na stronie, na przykład jako część forum, lub publicznie wysyłając URL który użytkownicy klikną, na przykład w poczcie e-mail lub usenecie.
Nazwa "cross site" pochodzi od sposobu, w jaki atak jest przekazywany "w poprzek" strony, od niebezpiecznego źródła danych do atakowanej przeglądarki.
Cross site scripting czasami skraca się do "CSS", ale nie ma to nic wspólnego z kaskadowymi arkuszami stylów, która najczęściej nazywa się CSS.

IP Spoofing.
IP Spoofing to termin określający fałszowanie adresu IP w pakiecie. Zalewanie serwera tak sfałszowanymi pakietami może doprowadzić do zużycia jego zasobów, gdyż każdy z nich jest traktowany jako nowe połączenie, co bywa wykorzystywane w atakach typu DoS (ang. Denial of Service). Prawidłowo skonfigurowany firewall łatwo eliminuje podobne ataki, a obecnie są one zwykle udaremniane już przez routery dostawcy internetu.

Pharming.
Pharming jest to bardziej niebezpieczna dla użytkownika oraz trudniejsza do wykrycia forma phishingu. Oszust wykorzystuje dodatkowo serwer DNS celem ukrycia prawdziwego adresu IP podrobionej strony internetowej.

Physhing lub Spoofing.
Phishing lub Spoofing (łowienie haseł) - jest to pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania.
Jest to rodzaj ataku opartego na inżynierii społecznej, którego celem są banki czy aukcje internetowe.
Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest:
* informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji. Strona przechwytująca informacje jest łudząco podobna do prawdziwej, a zamieszanie było często potęgowane przez błąd w Internet Explorerze, który pozwalał zamaskować także rzeczywisty adres fałszywej strony.
* innym sposobem było tworzenie fałszywych stron pod adresami bardzo przypominającymi oryginalny, a więc łatwymi do przeoczenia dla niedoświadczonych osób - na przykład www.paypai.com zamiast www.paypal.com.

Ping flood.
Ping flood jest to popularny sposób ataku na serwer internetowy polegający na przeciążeniu łącza pakietami PING. Przeprowadza się go za pomocą komputera posiadającego łącze o przepustowości większej niż przepustowość łącza atakowanej maszyny, lub za pomocą wielu niezależnych komputerów. Atakowany serwer otrzymuje bardzo dużą ilość zapytań ping (ICMP Echo Request), odpowiadając na każde za pomocą (ICMP Echo Reply), co może doprowadzić do przeciążenia jego łącza do internetu i w konsekwencji niedostępności oferowanych serwisów. Jednym ze sposobów obrony przed tego typu atakiem jest firewall, który filtruje pakiety ICMP Echo Request.

Ping of death.
Ping of death jest sposobem ataku na serwer internetowy za pomocą wysłania zapytania ping (ICMP Echo Request), w pakiecie IP o rozmiarze większym niż 65535 bajtów.
Sposób ataku jest bardzo prosty:
ping -l 65510
Do 65510 bajtów dodany zostanie nagłowek IP (20 bajtów) i zapytanie ICMP Echo Request (8 bajtów). Może spowodować to awarię atakowanego systemu lub zawieszenie działającej na nim aplikacji.
Na ten rodzaj ataku narażone były starsze systemy, takie jak:
* Microsoft Windows 3.1, 95, NT
* Novell NetWare w wersji 3*.
Obecnie, tworzone systemy są odporne na ten rodzaj ataku.

Ransomware.
Ransomware czyli okup, to rodzaj oprogramowania używanego w przestępczości internetowej. Działanie ransomware polega na wniknięciu do wnętrza atakowanego komputera i zaszyfrowaniu danych należących do użytkownika.
Potem program umieszcza w komputerze notatkę. Przestępca pisze w niej, co musi zrobić właściciel cennych plików, aby je odzyskać. Zwykle internetowy bandyta domaga się przelania pieniędzy na konto w banku elektronicznym i obiecuje, że w zamian wyśle klucz oraz instrukcje jak odszyfrować dane.

Robaki sieciowe.
Robak sieciowy jest to samoreplikujący się program, podobny do wirusa komputerowego, który jest samowystarczalny i nie potrzebuje dopisywać się do innego pliku nosiciela.
Oprócz replikacji, robak może mieć wbudowane procedury dodatkowe:
* niszczenie plików
* wysyłanie poczty
* pełnienie roli backdoora lub konia trojańskiego.

Rootkity.
Rootkit (program maskujący), jest to narzędzie pomocne we włamaniach do systemów informatycznych. Ukrywa on niebezpieczne pliki i procesy, które umożliwiają utrzymanie kontroli nad systemem.
Rootkit infekuje jądro i usuwa ukrywane programy z listy procesów oraz plików zwracanych do programów. Rootkit może np. ukryć siebie oraz trojana przed administratorem oraz oprogramowaniem antywirusowym.
Istnieją rootkity dla różnych systemów operacyjnych m.in. Linuksa, Solarisa i Microsoft Windows. Rootkit może się dostać do komputera użytkownika wraz z aplikacją będącą trojanem.
Rotkity sa bardzo niebezpieczne i mogą się ukrywać nawet w układzie scalonym biosu, przez co nie można ich usunąć przez formatowanie dysku.

Do wykrywania zainstalowanych w systemie rootkitów służą programy takie jak:
* chkrootkit
* rkhunter
* Sysinternals Rootkit Revealer
* F-Secure BlackLight
* IceSword
* GhostBuster
* System Virginity Verifier.
Smurf Attack.
Smurf Attack jest następcą ataku sieciowego o nazwie Ping flood, który polega na przeciążeniu łącza atakowanego systemu pakietami ping.
Smurf Atack umożliwia skuteczną akcję użytkownikom łącza o słabszych parametrach niż to należące do atakowanego systemu.
Polega on na technice fałszowania zapytań ping (ICMP Echo Request), poprzez zamiane adresu źródła tych zapytań na adres atakowanego serwera. Tak spreparowane pakiety ping, wysyłane są na adres rozgłoszeniowy sieci zawierającej wiele komputerów. Pakiety zostają rozesłane do wszystkich aktywnych systemów w sieci, co powoduje przesłanie przez nie pakietów ICMP Echo Reply na sfałszowany wcześniej adres źródłowy atakowanej ofiary.
Posługując się techniką wzmocnienia ruchu sieciowego intruz może wysyłać mały strumień pakietów, a ofiara otrzymuje ich zwielokrotnioną ilość. Może to zablokować jej łącze do Internetu. Smurf Attack można również przeprowadzić za pośrednictwem pakietów UDP.

Sniffer.
Sniffer czyli wąchacz, jest to program komputerowy, którego zadaniem jest przechwytywanie i ewentualne analizowanie danych przepływających w sieci.
Wspólną cechą większości węszycieli jest przełączenie karty sieciowej w tryb bezładny (ang. promiscous), by umożliwić przechwytywanie danych adresowanych nie tylko do niej.
Sniffer stanowi nieodzowne narzędzie diagnostyczne większości administratorów sieci. Bywa również używany (nielegalnie) do wykradania haseł - niektóre protokoły sieciowe w ramach uwierzytelniania i/lub autoryzacji wymagają przesyłania haseł w postaci jawnej, dzięki temu możliwe jest ich przechwycenie.
Najczęściej używanymi programami - węszycielami są:
* tcpdump
* sniffit
* ettercap
* dsniff
* ethereal
* snort, który pełni rolę sieciowego systemu wykrywania intruzów.

Spyware.
Spyware są to programy komputerowe, których celem jest szpiegowanie działań użytkownika.
Programy te gromadzą informacje o użytkowniku i wysyłają je często bez jego wiedzy i zgody autorowi programu. Dotyczy to:
* adresy www stron internetowych odwiedzanych przez użytkownika
* dane osobowe
* numery kart płatniczych - Stealware to rodzaj programu komputerowego, którego celem jest okradanie użytkownika. Programy tego typu w przypadku próby płatności za pośrednictwem internetu podmieniają numer konta, na które zostaną wpłacone pieniądze.
* hasła
* dane o komputerze (system operacyjny, przeglądarka internetowa)
* zainteresowania użytkownika (np. na podstawie wpisywanych słów w oknie wyszukiwarki)
* adresy email
* wciśniętych klawiszy - keyloggery
* mogą też wyświetlać reklamy lub rozsyłać spam

Do najbardziej znanych programów tego typu należą:
* Alexa
* Aureate
* Cydoor
* Gator
* Promulgate
* SaveNow
* Ad-aware
* Spybot Search & Destroy

SQL/URL injection.
SQL/URL injection - forma ataku na bazę danych poprzez stronę WWW i komendy języka SQL. Służy wyciąganiu informacji z bazy danych niedostępnych dla zwykłego użytkownika. Atakujący może zmodyfikować zapytanie kierowane do bazy danych poprzez modyfikację adresu URL o nieautoryzowane polecenia języka SQL.

Trojany.
Trojan jest to program podszywający się pod program użyteczny (zapory sieciowe, wygaszacze ekranu, itp...), zawierający szkodliwy kod i wykonujący bez wiedzy użytkownika szkodliwe czynności.
Koń trojański nie replikuje się i jest trudno wykrywalny, co może być poważnym zagrożeniem dla bezpieczeństwa systemu.
Zagrożenia:
* instalowanie w systemie "tylnych drzwi", umożliwiających zdalne przejęcie kontroli nad systemem
* szpiegowanie poufnych informacji jak np. hasła
* rozsyłanie spamu
* przeprowadzanie włamań lub ataku DDoS
* utrudnianie pracy programom antywirusowym
* zmienianie strony startowej przeglądarki
* kontrola nad zainfekowanym systemem
* dostęp do plików zakażonego komputera

Szczegónie groźny dla użytkownika jest fakt, że nielegalne działania są rejestrowane jako pochodzące z jego numeru IP, a jego komputer służy w tym przypadku jako proxy dla komputerowego przestępcy.
Profilaktyka polega na:
* nie odbieraniu załączników z podejrzanych wiadomości e-mail
* nie ściąganiu nieznanych plików wykonywalnych *.exe, *.com, *.scr oraz skryptów *.vbs
* używaniu oprogramowania antywirusowego
* używaniu zapory sieciowej - firewall'a
* systematycznym uaktualnianiu systemu operacyjnego.

Wirusy komputerowe.
Wirus komputerowy jest to najczęściej prosty program komputerowy, który w sposób celowy powiela się bez zgody użytkownika. Wirus do swojej działalności wymaga nosiciela w postaci programu komputerowego, poczty elektronicznej itp.
Wirusy powodują:
* kasowanie i niszczenie danych
* rozsyłanie spamu
* dokonywanie ataków na serwery internetowe
* kradzież danych (hasła, numery kart płatniczych, dane osobowe)
* wyłączenie lub restartowanie komputera
* wyświetlanie grafiki lub odgrywanie dźwięków
* uniemożliwienie pracy na komputerze
* umożliwienie przejęcia kontroli nad komputerem osobie nieupoważnionej
Wirusy można podzielić według wielu kryteriów. Przykładowy podział ze względu na infekowany obiekt:
* wirusy dyskowe, infekujące sektory startowe dyskietek i dysków twardych (Brain, Stoned, Michelangelo)
* wirusy plikowe, które infekują pliki wykonywalne danego systemu operacyjnego (Frodo, W95.CIH, W32.Magistr). Odmianą są wirusy towarzyszące, które nie modyfikują atakowanego pliku, ale tworzą jego kopię zawierającą wirusa (może nastąpić zmiana nazwy). Podczas uruchamiania pliku, aktywna jest zawirusowana kopia.
* wirusy skryptowe (Bat.Rous, VBS.LoveLetter, SH.Sizer)
* makrowirusy, czyli programy wykorzystujące słabe punkty systemu operacyjnego. Ich kod składa się z instrukcji w języku wysokiego poziomu, wykonywane przez interpreter (W95M.Concept, W97M.Melissa, W97M.Laroux)
* wirusy komórkowe (Cabir, FlexiSpy)

Pozostałe programy typu Malware.
Do pozostałych można zaliczyć:
* scam - przestępstwa finansowe (okradanie banków internetowych)
* spam - niechciana poczta
* pop-upy - wyskakujące okienka z niechcianą treścią
* tracking cookies - ciasteczka zapisujące dane o użytkowniku
* dialery - programy łączące się z siecią przez inny numer dostępowy niż wybrany przez użytkownika. Najczęściej są to numery o początku 0-700 lub numery zagraniczne. Dialery szkodzą tylko posiadaczom modemów
* fałszywe alarmy o rzekomo nowych i groźnych wirusach
* fałszywe hostpoty (w sieciach bezprzewodowych), w celu zdobycia haseł i numerów kont

do góry