Typy infiltrací

Nejprve je nutné vysvětlit pojem „počítačová infiltrace“. Počítačovou infiltrací nazveme jakýkoliv neoprávněný vstup do počítačového systému a tím i do jeho dat (soubory, programy...). Jde o termín s velice širokým významem, my se však zaměříme pouze na infiltraci, mezi kterou patří trojské koně, červi, backdoory a v neposlední řadě viry. Je nutné poznamenat, že jmenovaná infiltrace by neměla bez přispění (tj. jeho blbosti) člověka žádnou šanci na šíření. K aktivaci trojských koňů, červů, backdoorů či virů totiž dochází pouze v případě, že je uživatel spustí. Tvrzení, že k aktivaci a následné infekci počítače dojde při pouhém vložení diskety do mechaniky (+ po případném načtení diskety) jsou tedy zcela nesmyslná.

Z předcházejícího odstavce je zřejmé, že při infekci počítače nemusí jít nutně o virus. Tento pojem se nesprávně uchytil natolik, že řada lidí označuje slovem „virus“ prakticky cokoliv, bez ohledu na to, že ve skutečnosti jde např. o červa.

V několika následujících odstavcích jsou popsány hlavní rozdíly mezi uvedenou infiltrací.

Trojské koně - Trojan Horses

  • „nejretardovanější“ forma infiltrace, uživatel se musí opravdu hodně snažit, aby se do jeho počítače dostal.
  • Trojský kůň (někdy označován jako trojan) je většinou program, který se na první pohled chová jako zcela legální program, ve skutečnosti však tajně provádí škodlivé operace. Příkladem zcela typického trojského koně (jejich éra je však nenávratně pryč) je falešná verze antiviru McAfee VirusScan. I když byl trojský kůň vzhledově podobný (stejný výstup na monitor) jmenovanému antiviru, ve skutečnosti pouze mazal bezbranné soubory na disku.
  • Důležitou skutečností je, že trojský kůň NENÍ narozdíl od viru schopen replikace (množení) a nepřipojuje se k hostiteli - souboru. Trojský kůň se tak nejčastěji vyskytuje na počítači pouze v jednom exempláři - souboru, který v sobě neobsahuje nic jiného, než jmenovaného trojana (tj. platí soubor = trojan).
  • Z předcházejícího bodu je zřejmé, že jedinou metodou, jak se trojského koně zbavit, je smazání dotyčného souborů.
  • Trojanů je sice hromada, díky nízké inteligenci se s nimi běžně nesetkáme.

    Červi - Worms

  • Červi jsou v dnešní době velice rozšířené.
  • V dnešní době se pojmem „červ“ označuje takový typ infiltrace, která do počítače dostane elektronickou poštou (e-maily). Červ má několik věcí společných s trojským koněm. Na počítači se opět vyskytuje nejčastěji pouze v jednom exempláři – souboru, který v sobě neobsahuje nic jiného, než jmenovaného červa (soubor = červ). Jak už bylo řečeno, červi k nám přicházejí v elektronické poště. „Postižený“ e-mail obsahuje většinou přílohu (často ji signalizuje symbol kancelářské sponky) se souborem. Pokud tento soubor ( = červ) uživatel spustí, dojde k aktivaci červa. Ten se pak nejčastěji ubytuje v počítači a ve vhodném okamžiku odešle další takto postižené e-maily ostatním uživatelům (přesněji na jejich e-mailové adresy), které si uživatel eviduje ve svém adresáři kontaktů.
  • Možná se ptáte, proč vlastně uživatel PC takový soubor v e-mailu spustí... je to jasné, koho by nelákal soubor s názvem Anna Kurnikovová či Pamela Anderson, který je navíc v těle zprávy podpořen textem „Koukni se do přílohy na nahatou Pamelu Anderson, nebudeš litovat !“. Běžný uživatel by se těšil na obrázek, ale ejhle, ve skutečnosti jde o červa, který jen čeká na to, až ho uživatel spustí.
  • Vzhledem k tomu, že červi se šíří prostřednictvím elektronické pošty, rychlost šíření je obrovská. Důkazem může být například červ I_Love_You (VBS/Loveletter.A), který se dokázal po celém světě rozšířit doslova za pár hodin.

    Bližší informace o červech najdete zde.

    Je to teda červ, nebo virus, nebo co ???

    Několik odstavců pro vysvětlení:

    V dnešní době se většinou pojmem "červ" (poněkud nesprávně) označuje typ infiltrace, která do počítače proniká prostřednictvím elektronické pošty. Vůči červu Code Red ("Rudý kód") je to trochu nefér, metoda šíření Code Red je totiž zcela odlišná (díra v IIS).
    Vzhledem k tomu, že prvním populárním Internetovým červem se stal (tuším, že někdy v roce 1988) tzv. "Morrisův červ", který se v některých ohledech podobá "rudému kódu", dovolil bych si "Morrisův červ" a Red Code označit za PRAVÉ ČERVY a "havěť" šířící se elektronickou poštou pouze za "červy" v uvozovkách.

    Červi lze obecně považovat za jistou podskupinu virů, nikoliv však opačně.

    Backdoory - Backdoors

  • V překladu něco jako „zadní vrátka“.
  • Chování je opět velice podobné trojanu, proto se nebudu opakovat. Narozdíl od trojanu se na sebe nesnaží vůbec upozorňovat. Tiše po aktivaci/spuštění postiženého souboru „zaleze“ do systému a čeká. Čeká na to až se někdo (nejčastěji osoba, která se snažila backdoora na bezmocného uživatele nastražit) z druhé strany zeměkoule prostřednictvím sítě Internet „napíchne“ na postižený počítač a začne s něj vymlácet duši. Hacker (nebo jak chcete označit tu „zlou“ osobu, která útočí na uživatelův počítač) může provádět z druhé strany zeměkoule prakticky cokoliv.
  • Od postiženého uživatele může hacker snadno získávat data, vymazávat mu soubory/programy, vypínat mu operační systém Windows, hrát si se „šuplíkem“ CD-ROM mechaniky.
  • Protože se nebudu o backdoory již blíže zabývat, uvedu vše podstatné již tady. Backdoory lze rozdělit na dvě části, klientskou a serverovou. Serverová je ta část, která se usadí v PC postiženého uživatele.
  • Pomocí klientské části, kterou vlastní hacker lze serverovou část a tak zároveň i PC postiženého uživatele na dálku ovládat.
  • Klient naváže nejčastěji spojení se serverem prostřednictvím protokolu TCP/IP, na kterém je založena síť Internet. Každý počítač má v této síti přiděleno jedinečné číslo – IP adresu (v praxi to lze přirovnat k poštovní adrese). Pokud zná hacker IP adresu počítače, na kterém běží serverová část, už mu nic nebrání, aby mohl tento počítač ovládat.
  • Obecně však platí, že nejvíce šancí má u počítačů, které jsou připojeny k Internetu statickou IP adresou (pevná linka, bezdrátové spojení...). Při připojení do Internetu prostřednictvím modemu je IP adresa přidělována poskytovatelem dynamicky, což znamená, že je pokaždé jiná a to stěžuje hackerům práci... Alespoň jedno pozitivum modemového připojení :)

    Viry

    Nejznámější a nejčastější formou infiltrací jsou však počítačové viry. Název je odvozen z podobnosti chování těchto programátorských produktů s biologickými originály. Počítačový virus je taková forma počítačové infiltrace, která má schopnost vlastního množení a infikování dalších systémů bez vědomí uživatele.
    Podstatné je, že virus, aby byl schopen sebereplikace, musí být připojen k hostitelské proveditelné jednotce (spustitelné soubory s příponou COM, EXE, SCR, VBS..., boot sektory atd.). Když je tato hostitelská proveditelná jednotka spuštěna (spuštění programu spustitelným souborem, start počítače - zavedení programu z boot sektoru), provede se rovněž kód viru. Jestliže je to možné, virus se přitom bude replikovat připojením své vlastní kopie k jiným dalším takovým objektům. Virus je tedy program, který je schopen zapisovat sám sebe do nejrůznějších míst systému.

    Škála destruktivní činnosti je samozřejmě velmi široká a bude záviset nejen na skupinovém typu viru, ale i na jeho konkrétním typu, mnohdy variantě či mutaci. Takovými nejobvyklejšími níčivými akcemi virů je vymazání souborů, přeformátování disku, modifikace dat, přepis tabulky rozdělení disku (PaT), zníčení této tabulky, označování sektorů za vadné, přepsání boot sektoru atd. Na druhé straně existují i viry "hodné", které jen vyhrožují texty apod.

    Protože chce virus setrvat v systému co nejdéle nepozorován, využívá některé techniky, které mu to umožňují. Jednou z těchto technik je i "technika sebeidentifikace". Technika sebeidentifikace je postup, kterým virus určuje, zda proveditelná jednotka (boot sektor, spustitelné soubory COM, EXE, SCR...) jím byla či nebyla již napadena. Tato procedura obvykle zahrnuje vyhledávání určité hodnoty na známém místě v proveditelné jednotce. Schopnost sebeidentifikace je nutná, jestliže se virus chce vyhnout několikanásobnému infikování jednotlivých proveditelných jednotek (to má pak za následek neustále prodlužování souboru). Bližší informace o "technice sebeidentifikace" lze najít zde.

    Bližší informace o virech lze najít v článcích:
    Dělení podle umístění v paměti
    Dělení podle oblastí, které jsou napadeny