1

Lub: MALWARE (Mal-Ware) –

WIRUSY, Phishing, ROBAKI I INNE KONIE TROJAŃSKIE

Zima 16/17

2

Wirus komputerowyNazwa „wirus” powstała

prawdopodobnie w 1984 roku i pochodzi bezpośrednio od

biologicznego „protoplasty”, który jest także mały, rozmnaża się samodzielnie

i nie może funkcjonować bez organizmu tworzącego jego

środowisko.

3

Wirus

• Komputerowy program, który potrafi

sam się replikować. Termin wirus jest

używany zamiennie zarówno w

odniesieniu do wirusów, jak i robaków,

co z technicznego punkt widzenia jest

niepoprawne.

• Przenosi się przez nośniki (USB i inne),

Sieć (P2P 66%) IM i inne.

4

Wirusy i robaki (Worm’y)

Wirus podszywa się/ukrywa np. pod nazwą

podobną do znanego programu.

Jest to mały program, który nie uruchamia się

sam – robi to zawsze człowiek. „Wirus

bazuje na głupich ludzkich zachowaniach”.

5

PAŹDZIERNIK 2016CHIP.PL

Pięć wirusów, na które trzeba uważać w

2015 roku

• Retefe – niewidzialny trojan bankowy. pozwala

przechwytywać środki pieniężne zaatakowanych

internautów.

• Zeus należy do najbardziej wyrafinowanych

Trojanów bankowych w historii komputerów.

• Simplocker szyfruje pliki zgromadzone w

smartfonie. Za ich odblokowanie żąda okupu w

wysokości 300 dolarów.

• Poweliks

• Shellshock – niebezpieczeństwo w systemach

Unix i Linux 6

WWW.PCWORLD.PL MARZEC 2015

7

CZERWIEC 2014 CHIP.PL

8

KWIECIEŃ 2016 CHIP.PL

Wyciek danych

9

CHIP.PL WRZESIEŃ 2014

Programowe zagrożenia

• 2011 – wg Panda Security codziennie

pojawia się 63 tys. nowych zagrożeń

• 2010 - Symantec odkrył 285 milionów

nowych zagrożeń programowych – 9 w

każdej sekundzie

• 2009 – 240 milionów

10http://www.nytimes.com/2011/06/18/technology/18security.html?_r=1&nl=todaysheadlines&emc=tha26&pagewanted=print

Chip VI/2011

Liczba malware'u wzrasta

gwałtownie

11

Chip, MAJ 2014

Liczby zainfekowanych

użytkowników w miesiącach

12

Cisco 2015 Annual Security Report

13

CHIPPL WRZESIEŃ 201 2

14

Przebieg ataku robaków CodeRed oraz Slammer

Czas rozprzestrzeniania się: 1 dzień i jedna minuta

www.caida.org [listopad, 2003]

W 2009 roku pojawiło się 22 000 000 wirusów komputerowych,

Każdego dnia – 2000 nowych wirusów

Malware na Apple Mac OS X

• >0,5 mln komputerów zarażonych przez

dziurę w programach Javy

• Zakażenia automatyczne bez udziału

użytkownika

• Jeden z wariantów – Flashback, cel

click fraud

• Apple – 12% rynku USA

15

A New Variant of Malware Takes Aim at Mac Users, By NICOLE PERLROTH , NYT, | April 23, 2012

16

CHIP.PL STYCZEÑ 2012

17

WITRYNY ROZNOSZĄ WIRUSY

CHIP.PL MAJ 2013

18

CHIP.PL MAJ 2013

19

CHIP.PL MAJ 2013

20

Malware –

składowe

rodzaje/typy

Malware (dane dla Windowsów)

21

Za: Chip V, 2010

Wirusy - straty

22

Chip V, 2010

23

Niszczenie danych lub

programów komputerowych

- wirusy - samoreplikujące się, dołączone do nosiciela, drzemią, potem niszczą

- konie trojańskie - czekają na określoną informację, która

uruchamia ich destrukcję lub wysyłają list do właściciela,

- robaki komputerowe, podobne do wirusa, wytwarzają swoje kopie w całości bez nosiciela

- destabilizacja systemu - potok informacji blokujący maszynę-adresata

- „Blended threats” – stosują różne metody ataku i penetrowanie systemów komputerowych

24

Koń trojański

• Program dający osobie z zewnątrz

dostęp do komputera bez wiedzy i

autoryzacji prawowitego użytkownika.

• Wirus atakujący sektory startowe

dyskietek lub dysków twardych.

ZeuS i Spy Eye

• Wyspecjalizowane konie trojańskie we

włamaniach do serwisów bankowości

elektronicznej i wykradaniu danych kart

kredytowych.

• ZeuS wykradł 70 mlnUSD.

25

Zeus

• jeden z pierwszych programów, którego

podstawowym zadaniem jest nie tylko

zarażanie komputerów po to, by wyciągać z

nich poufne dane, ale także infekowanie

jak największej liczby maszyn po to,

by łączyć je w sieci komputerów-zombie.

26

Aktywność trojanów

bankowych 1Q 2013

27

WWW.PCWORLD.PL MAJ 2014

28

Wirus bootsektorowy

• Wirus atakujący sektory startowe

dyskietek lub dysków twardych.

29

Wirus drążący

• Wirus, który dopisuje się do kodów

innych programów bez zwiększania ich

długości.

30

Wirus skryptowy

• Bakcyl, który zaraża dokumenty,

używając do tego celu języka

skryptowego (wykorzystywanego np. do

tworzenia makr w arkuszach

kalkulacyjnych).

31

Wirus polimorficzny

• Wirus, który potrafi zmieniać swój kod,

dzięki czemu jest trudny do wykrycia.

32

Retrowirus

• Wirus, którego celem ataku jest

oprogramowanie antywirusowe.

33

Robaki (worm’y)• Robaki nie potrzebują interwencji człowieka by

się rozmnażać. W zasadzie robaki nie niszczą danych w komputerze. Zagrożenie tkwi w szybkim rozmnażaniu się ich, w stopniu blokującym serwery Internetowe.

• Najpopularniejsze robaki to „mass mailers”, które atakują komputery, korzystają z listy adresowej Microsoft Outlook’a (najpopularniejszy program mailowy) i przesyłają robaki na wszystkie dostępne tam adresy.

• Obecnie zanikają różnice pomiędzy wirusami i robakami. Worm przenosi wirusy.

34

Robak

• Bardzo niezależna odmiana „szkodnika”

komputerowego, Robaki potrafią same

inicjować swój proces replikacji i

przenosić się poprzez Sieć.

35

Wirus niewidziany

• Wirus, który potrafi aktywnie ukryć swoją obecność przed programami antywirusowymi. „Szkodniki” tego typu mogą przechwycić żądanie dostępu do dysku, więc kiedy oprogramowanie antywirusowe próbuje odczytać plik lub bootsektor, wirus wysyła zafałszowaną odpowiedź informującą antywirusa, że sprawdzany obszar jest „czysty".

36

Virus Creation Kit

• Narzędzie do tworzenia wirusów.

Pomaga w sposób łatwy i szybki

stworzyć wirusa. Na przykład VCL

(Virus Creation Laboratory) oraz PS-

MPC (Phalcon/Skims Mass-Produced

Code Generator).

37

Wirus plikowy

• Wirus atakujący wykonywalne pliki

programów.

38

Wirus rezydujący w pamięci

• „Szkodnik" pozostający w pamięci, do

czasu aż komputer nie zostanie

wyłączony. Dzięki temu może

monitorować system i zarażać

„interesujące" go pliki

39

Wirusy wykorzystujące

Webcam

• Nowa odmiana worm’a Rbot ma możliwość kontrolować kamerę ofiary (dom, biuro) w celu jej śledzenia.

• Rbot-GR nie jest jeszcze powszechny, może okazać się pierwszą falą nowego typu malware.

Citadel• 1500 dolarów. Najbardziej wszechstronny

ale też najbardziej wyrafinowany z

dostępnych obecnie wirusów służących do

okradania klientów e-banków.

• oferowane rozszerzenia, na przykład narzędzie do

usuwania konkurencyjnych trojanów o podobnej

funkcji z komputera ofiary za 100 dolarów albo

moduł rejestrujący znaki wpisywane na

klawiaturze w serwisach e-bankowości czy

w internetowych kasynach, dostępny za tę samą

cenę. 40

STYCZEŃ 2013 CHIP.PL

Stuxnet• 2010 – uznany za najbardziej

zaawansowanego wirusa w historii, a

wymierzony w irańską infrastrukturę

atomową. Twór USA i Izraela (CHIP.PL

PAŹDZIERNIK 2012).

• Zainfekował dziesiątki tysięcy komputerów

w 155 krajach

• Stuxnet sprawił, że instalacje przemysłowe, sieci

energetyczne i wodociągowe czy systemy kontroli

ruchu kolejowego i lotniczego stały się

potencjalnym celem ataku wroga. 41

NYT, October 18, 2011, New Malicious Program by Creators of Stuxnet Is Suspected, By JOHN MARKOFF

GRUDZIEŃ 2011 CHIP.PL

Cyberszpiedzy –

Stuxnet, GhostNet• W przeciwieństwie do zwykłych wirusów, Stuxnet

nie wykrada prywatnych danych internautów.

Zamiast tego atakuje wyspecjalizowane systemy

przemysłowe, zmieniając tryb pracy komputerów

sterujących.

• Wykryty w 2009 roku GhostNet składał się z

blisko 1,3 tys. komputerów z ponad 100 krajów,

zawierających dane o dużym znaczeniu

politycznym, militarnym i handlowym. Niemal

30% tych maszyn znajdowało się w placówkach

dyplomatycznych.

PcWorld II/2010NYT, October 18, 2011, New Malicious Program by Creators of Stuxnet Is Suspected, By JOHN MARKOFF

Duqu

• Na bazie Stuxneta, projekt do sabotaży

(wykradanie danych) komputerów Siemens

Corporation wykorzystywanych do

wzbogacania uranu w Iranie (Natanz)

• Program wykrada dane przez 36 dni i usuwa

się

• Przygotowanie do ataku podobnego na Iran

43

NYT, October 18, 2011, New Malicious Program by Creators of Stuxnet Is Suspected, By JOHN MARKOFF

Firma Kaspersky została zaatako-

wana przez cyberprzestępców

• Za tą operacją stoją twórcy malware'u

Duqu, który w roku 2011 zaatakował

instalacje przemysłowe na całym świecie.

• Duqu 2.0 - Kaspersky był tylko jednym z

jego celów. Wykradziono między

innymi treść negocjacji atomowych

pomiędzy członkami Rady Bezpieczeństwa

ONZ i Niemcami z Iranem.

44

WRZESIEŃ 2015 CHIP.PL

Flame (W32.Flamer) – najbardziej

wyrafinowany wirus

• Atak na Bliski Wschód (Iran, Israel,

Lebanon, Sudan, Syria, Saudi Arabia i

Egypt). Maj 2012

• Kopiuje ekrany ofiar, IM, włącza

mikrofony, klawiatury i ruch sieciowy.

• Po stuxnecie i duqu, najgoroźniejsza broń

cyberwojny

45May 28, 2012, 3:10 pmVirus Infects Computers Across

Middle East

By NICOLE PERLROTH

46

„Spyware” – „ad ware”

• Najczęściej część freeware

• Instalują Tracking software

• Nie jest nielegalne

• Ukrywa się na dysku, rejestruje poufne

informacje (kliknięcia w klawisze

klawiatury), hasła, historię wędrówek po

WWW

47

Spyware

• Tworzenie i wykorzystywanie tego typu oprogramowania jest bardzo dochodowe.

• Firma Claria ma zainstalowane swoje programy szpiegowskie na 40 milionach komputerów, co pozwala uzyskać dochody rzędu 90 milionów USD rocznie.

• Avenue Media dysponuje dwoma milionami podsłuchiwanych komputerów – dochód 2 miliony USD rocznie

• Przeciętny dochód od jednego komputera zainfekownego spyware wynosi 2,95 USD

•[1] Spyware: 2004 Was Only the Beginning, By Richard Stiennon , January 26, 2005, http://www.cioupdate.com/trends/article.php/3464551

48

Spyware =adWare=malware=

scumware

• Podstępna cyfrowa infekcja, która gromadzi niezauważalnie informacje o osobie/firmie i przesyła do reklamodawcy lub hakera

• Przenosi się przez wirusy lub nowe programy.

49

Przykłady aplikacji ze spyware

• P2P: Kazaa, Grokster, Morpheus, Audiogalaxy,

BearShare, iMesh, Limewire

• Pobieranie plików: GetRight,Go!Zilla, FlashGet,

Download Accelerator

• Antyspyware: Spyware Nuker, WarNet,

AdProtector, SpyAssault, SpyBar

• Inne: CuteFTP, BuddyPhone, Spam Buster

• Dodatki do przeglądarek: Alexa Toolbar, EasyBar,

MySearch, Ucmore, HotBar, IEHelper, Fastseeker

50

Adware

• Adware informuje o swoim przeznaczeniu,

ma moduł do deinstalacji

• Spyware instaluje się samodzielnie i trudno

go usunąć

51

Snoopware, RAT

• Snoopware:

rejestruje: maile, IM, oglądane Strony,

naciskane klawisze (hasła). Potem wysyła

do „zleceniodawcy”

• RAT – Remote Access Trojan – zdalny

dostęp do atakowanego komputera.

52

MyDoom

• w 48 godzin spowodował straty $3 miliardy na świecie i „zalał” ponad 170 państw.

Bounty Set as MyDoom Builds Zombie ArmyBy Sharon GaudinJanuary 28, 2004, www.esecurityplanet.com/trends/article.php/3305081

53

„Bardzo ważne! Jeśli po przeczytaniu tego tekstu nie

skasujesz z katalogu Windows, na swoim komputerze,

pliku o nazwie uninst.exe istnieje ogromne ryzyko

utracenia wszystkich plików z dokumentami .doc. Można

się także liczyć z implozją monitora i licznymi kłopotami z

sąsiadką.”

For one glorious hour Sunday night, it looked as though Brooklyn Technical High

School’s 4,900 students would not have to drag themselves out of bed at 7 a.m.

for the first day of school after the long winter break. An e-mail message,

purportedly from a school administrator, was sent to student government

leaders saying that a construction accident had forced the building to close.4/1/10, NYT

„hoax’y” (dowcipy, kawały)

54

Hoax

• Typowy łańcuszek występujący

najczęściej w postaci wiadomości e-

mail. Zawiera fałszywe informacje, np.

ostrzeżenie przed nieistniejącymi

„szkodnikami", lub zachęca do

przesłania siebie znajomym.

55

Ransomware

• Szyfrowanie plików na komputerze ofiary (zlikwidowanie wirusa nie rozwiązuje problemu)

• Klucz (330 – 660 znaków) po zapłaceniu okupu

• Pierwszy ransomware w 1989 roku - AIDS Information Trojan

• Współcześnie – 30 wersja GPCode

56

2013• Hakerzy, podszywając się pod policję, za

odblokowanie żądają 500 złotych lub 1 00

euro.

• Wirus o nazwie Urausy wykorzystuje

wizerunek Prezydenta RP Bronisława

Komorowskiego.

• W zainfekowanym komputerze wyświetlona

zostaje informacja w języku polskim, że komputer

został zablokowany i że nastąpiło to, ponieważ był

on używany do pobierania pirackich plików,

powielania nielegalnych treści oraz oglądania

zabronionych stron internetowych. 57

CHIP.PL PAŹDZIERNIK 2013

W 2013 roku liczba ransomware'u na całym świecie

wzrosła o 500 proc. - tak wynika z aktualnego badania

Symanteca

58

CHIP.PL WRZESIEŃ 2014

Nowa fala Ransomware

59

MARZEC 2016 CHIP.PL

• tylko w 2015 roku wykryto 362 tysiące

złośliwych ataków przeprowadzanych za

pomocą programów z kategorii ransomware.

• Zasada działania tych szkodników jest

zawsze taka sama - skłonić użytkownika do

uruchomienia złośliwego kodu, w wyniku

czego następuje zaszyfrowanie danych• ofiary oraz wyświetlenie żądania okupu za odzyskanie

dostępu do nich. 60

ID Ransomware

• Pozwala on na identyfikację ransomware,

który zaszyfrował twoje pliki oraz

niekiedy nawet skorzystanie z rozwiązań

pozwalających na odblokowanie do

nich dostępu bez potrzeby płacenia

przestępcom.

61

PC WORLD | CZERWIEC | 2016

BEZPŁATNE NARZĘDZIE

DO ZWALCZANIA ZAGROŻEŃ

RANSOMWARE

• Bitdefender Anti-Ransomware

unieszkodliwia takie programy szyfrujące

dane, jak Locky, TeslaCrypt i CTB-Locker.

• AppRiver CipherPost Pro; DataMotion

Securemail; HP/Voltage SecureMail

• Hushmail for Business;

• ProtonMail, Tutao Tutanota,Virtru Pro

62

PC WRLD | CZERWIEC | 2016

Bitcoin

• Zaplecze kryminalnego podziemia

• Np. w szantażu i opłatach za nielegalne

usługi/towary

63

DDoS(distributed denial of service,

rozproszona odmowa usługi)

• atak na system komputerowy lub usługę

sieciową w celu uniemożliwienia działania

poprzez zajęcie wszystkich wolnych

zasobów, przeprowadzany równocześnie z

wielu komputerów (np. zombie).

64

https://pl.wikipedia.org/wiki/DDoS

denial-of-service/DDoS ataki

• Groźba ataku DDoS bywa czasami używana

do szantażowania firm, np. serwisów

aukcyjnych, firm brokerskich i podobnych,

• Np. żądanie opłaty $300 w Bitcoinach. Po

czterech minutach blokada przepływu

informacji w firmie.

• NP. Opłata za „dodatkową opiekę” – 20 –

2000 USD miesięcznie

65Tech Start-Ups Are Targets of Ransom Cyberattacks

By NICOLE PERLROTH and JENNA WORTHAM April 3, 2014, 4:00 pm

Największy atak DDoS (X.2016)

• Ofiary: Netflix, Amazon, PayPal, Imgur, Pinterest,

Twitter, Airbnb, Spotify, a także strony takie jak New

York Times, HBO przestały działać.

• Przestępcy uderzyli w jeden z najbardziej czułych punktów

internetowej infrastruktury: serwery DNS.

• Odgrywają kluczową rolę w działaniu sieci, bo tłumaczą

adresy stron internetowych na adresy IP. Dzięki nim

możemy wpisać w przeglądarkę nazwę gazeta.pl

zamiast adresu 80.252.0.145. Paraliż serwerów DNS

uniemożliwia więc działanie stron i aplikacji.

66

DDoS (X.2016)

• część ataku DDoS nastąpiła za pomocą

urządzeń połączonych z siecią (IoT).

• Potencjał kamer, czujników, kontrolerów

nazywany ogólnie "internetem rzeczy"

został użyty jako botnet - sieć maszyn-

zombie. Do tej pory taką rolę pełniły

głównie komputery

67

68

Anektowanie komputerów - zombi

• Zombi – komputer, nad którym haker przejął kontrolę, własnym wirusem lub swoją stroną,

• Bot – program koordynujący pracę zombi, samodzielnie tworzy sieć botnet - komputerów posłusznych hakerowi za pośrednictwem C&C.

• Serwer C&C (lub "bot master") - maszyna w

sieci Internet (np. ircgalaxy.pl), z którą

komunikują się komputery Zombie. Jej celem jest

wydawanie rozkazów zainfekowanym

komputerom oraz gromadzenie wykradzionych

danych.

• Struktura rośnie automatycznie (dziesiątki milionów komputerów)

69

http://www.secure.edu.pl/pdf/2013/D1_1715_A_Kijewski.pdf

70

http://www.secure.edu.pl/pdf/2013/D1_1715_A_Kijewski.pdf

Inne struktury

• Multi – serwer

• Hierarchiczna

• Struktura Hybrydowa P2P

71

http://www.secure.edu.pl/pdf/2013/D1_1715_A_Kijewski.pdf

Botnety

72

Ataki z wykorzystaniem

botnetów

• są jednymi z najtrudniejszych do powstrzymania, ze

względu na skalę działania oraz rozproszenie

geograficzne botów.

• Najczęściej botnety wykorzystuje się do:

– ataków DDoS, czyli zablokowaniu dostępu do usług w sieci

Internet poprzez generowanie sztucznego ruchu,

– rozsyłania niechcianej poczty email -SPAM

– kradzieży poufnych danych,

– Wyprowadzania środków z kont bankowości elektronicznej,

– wstrzykiwania reklam na strony WWW odwiedzane przez

użytkownika

73

http://www.secure.edu.pl/pdf/2013/D1_1715_A_Kijewski.pdf

Niski koszt

zakupu lub wynajęcia Botneta

• całodniowy atak DDoS: $30 - $70

• email SPAM: $10/1 min wiadomości

• zakup 2000 botów: $200

• zakup botnetu zdolnego wykonać fektywny

atak DDoS: $700

• zakup 1000 odwiedzin na stronie WWW:

$7 - $15

74

http://www.secure.edu.pl/pdf/2013/D1_1715_A_Kijewski.pdf

75

DROGI

PRZENIKANIA

WIRUSÓW

SIECI BOTÓW

CZERWIEC 2014 CHIP.PL

76

CHIP.PL KWIECIEŃ 2012

CO SIĘ DZIEJE, GDY NASZ PECET ZOSTANIE

ZAATAKOWANY PRZEZ BOTNET?

• Zero sekund - infekcja: użytkownik odwiedza

zarażoną stronę lub otwiera nieznany załącznik emaila

zawierający kod wirusa botnetu.

• 1 sekunda: zainfekowany komputer samoczynnie loguje

się do serwera IRC, stając się od razu częścią botnetu

• 10 sekund: kryminalista kupuje na przestępczym

forum dane dostępowe do sterowania botnetem.

• 18 sekund: przestępstwo: Bandyta loguje się do botnetu i

wysyła polecenie - na przykład masowego rozsyłania

spamu

• 20 sekund: Razem z innymi botami zainfekowany

komputer wysyła w świat denerwujące reklamy.77

Chip XI.2010

78

Niektóre zadania botnetów

• Spam (jeden komputer wysyła 400 000/doba)

• Sabotaż – „ochrona” za obronę przed DDoS

• Inwigilacja – dane osobowe, hasła

• Oszustwo – manipulacja liczbą odwiedzin

• Ataki – bot przeciwko botowi

• Click Fraud

Chip 1/2008

Click fraud

https://www.clickz.com/clickz/news/2385935/brands-will-lose-billions-to-bots-in-2015-study

Click fraud

• Sztuczne (nieprzypadkowe) zwiększanie liczby kliknięć w określony link (np. reklamę), wymuszające w ten sposób większe koszty reklamodawcy - płacącego proporcjonalnie do liczby kliknięć w ten link.

• Średni koszt jednego kliknięcia to pół USD (ale może on wynosić nawet sto USD za jedno kiliknięcie, np. w reklamę związaną z mesothelioma, w Overture).

Typy click fraud

• Konkurencja klika w reklamy by podnieść koszty (głównie w wyszukiwarkach).

• Publikujący lub sieci, w kontekstualnych, linkowanych reklamach, nabijają kliknięcia – w celu zwiększenia ich wpływów z pay-per-click.

Boty - straty

• Advertisers around the world will lose $6.3

(2015 r.) billion to bots next year, 7,2 mld

USD w 2016 r.

• bots account for 11 percent of display ad

impressions and 23 percent of video ad

impressions.

• Bots are also particularly prevalent in

programmatic (17 percent) and retargeted

(19 percent) ads, https://www.clickz.com/clickz/news/2385935/brands-will-lose-billions-to-bots-in-2015-study

Walka z botnetami

• Wyłączenie >100 serwerów C&C (ang.

command and control), zarządzających

ogólnoświatowym botnetem.

• Cyberprzestępcy rozpowszechniali złośliwe

oprogramowanie, znane jako DNSChanger,

które zgodnie z nazwą modyfikowało

ustawienia DNS atakowanych maszyn.

• Uzyskiwane zyski > 14 mln USD83

styczeń 2012 www.pcworld.pl

BotHunter

• Za pomocą aplikacji BotHunter i maszyny

wirtualnej MetaFlows jesteś w stanie w

łatwy sposób badać całe sieci lokalne pod

kątem podejrzanych zachowań, które mogą

być oznaką zainfekowania złośliwym

kodem.

• Usługa dynamicznego aktualizowania

wyposaża narzędzie w najświeższe wersje

czarnych list, aby umożliwić demaskowanie

najnowszych botow. 84

WWW.PCWORLD.PL CZERWIEC 2015

Sieć - Mariposa

• 13 milionów zainfekowanych komputerów

z całego świata.

• Za jej pomocą wykradziono dane osobiste i

bankowe 800 000 osób ze 190 krajów

85Chip XI.2010

Wirusy przez wyszukiwarkę

• Groźne wtyczki – odtwarzacze

• SERP wskazuje zainfekowane strony

• Google blokuje 60 000 takich stron każdego

tygodnia

86

Spam

87

88

Szczególnie PAskudne Maile

• Spam to skrót, który ma swoją historię sięgającą 1937 roku, kiedy to Hormel Foods Corporation nazwała swój produkt – puszki z mielonką (mieszanym mięsem) spiced meat – spam. Inna interpretacja, bardziej swobodna, podkreślająca wątpliwą wartość (nonsens) tego produktu, to: spiced pork and meat – „mieszanina wieprzowiny i mięsa”.

• Mutacją niechcianej poczty jest SPIM (spimowanie) – niechciane komercyjne informacje przekazywane za pośrednictwem IM (np. Gadu-Gadu).

Spam 2012/213

CHIP.PL PAŹDZIERNIK 2012

CHIP.PL KWIECIEŃ 2013

90

SPAM

• Początek – zaproszenie na urodziny, które

w 1978 roku Einar Strefferud wysłał do

1000 użytkowników sieci Arpanet

• 15 zł – koszt wysłania przez spamera

miliona spamów (Chip XI/09)

• Harvester – spamerskie narzędzie do

szukania dresów mailowych

Konsekwencje

• W 2009 roku spamerzy zarobili na swoich

Śmieciowych reklamach 780 min dolarów.

• Profesjonalnie przeprowadzone ataki DDoS

przyniosły kolejnych 20 min dolarów.

• Cena kompletnego profilu mieszkańca UE

waha się od 7 do 17 dolarów.

• Wykorzystując wykradzione dane bankowe,

brazylijscy gangsterzy ukradli 474 mln

dolarów. 91Chip XI.2010

92

93Za: Chip V, 2010

Więcej emaili - ale dużo więcej

spamu

94

CHIP.PL KWIECIEŃ 2014

95

Przykłady SPAMu

• Rozpowszechnianie fałszywych informacji,

plotek, w celu zaniżenia lub podniesienia

notowań na giełdzie

• Manipulacja informacjami o HBOS (UK)

spowodowała zmianę (w czasie jednej

godziny) o 20% - 3,8 mld € – „zarobek”

100 mln €

Crapware = Adware

• typ oprogramowania preinstalowanego na

komputerze lub urządzeniu mobilnym przez

dostawcę sprzętu.

• Do tej grupy aplikacji zaliczamy różnego

rodzaju narzędzia, które pozwalają w pełni

wykorzystać możliwości dostarczonego

sprzętu, m.in. w zakresie obsługi grafiki,

sieci Wi-Fi, i innych

96

97

Crapware c.d.

• Oprogramowanie spowalniające działanie

komputera:

– Paski narzędziowe,

– Wersje demo,

– Narzędzia dostępowe do ISP.

• Narzędzia do usuwania:

www.pcdecrapplications.com;

goo.gl/ROcjAL

98

Obrona przeciwko spamowi przebiega w

czterech płaszczyznach:

• antyspamowe filtrujące oprogramowanie, które wyszukuje odpowiednie (wcześniej określone) ciągi znaków lub inne identyfikatory wskazujące charakter maila,

• oprogramowanie z elementami sztucznej inteligencji wspomagającej podejmowanie decyzji, czy jest to już spam, czy nie,

• programy korzystające z tzw. czarnych list miejsc -RBLów (domen), z których wysyłane są spamy,

• legitymizacja nadawcy poczty elektronicznej – np. SPF (Sender Policy Framework, wcześniej nazywana: sender permitted form).

99

Domyślne filtry antyspamowe

• Po adresie nadawcy,

• Po temacie i treści,

• Z określonych krajów,

• Z określonych serwerów

100

Przykład reklamy-spamu omijającej

filtry antyspamowe

Treść reklamy w formie obrazu

101

Chip 9/09

25%

20%

15%

10%

5%

0%

Źródło: Symantec

102

Realtime blocking list –

RBL/DNSRBL

• Listy antyspamowe/listy

blokowania/stoplisty/czarne listy (SCBL, SORBS, abuse.ch, Spamhaus).

• 80% wyciętych spamów dzięki RBL

• Istnieje zagrożenie, iż poczta

elektroniczna z Polski nie będzie

przyjmowana przez sporą część

odbiorców za granicą

103

Filtry, po co?

• Troska o produktywność pracowników (niechciana poczta, spam, prywatne zakupy, ściąganie muzyki, oglądanie video),

• Troska o sieciowe resursy firmy - prywatna multimedialna aktywność- blokowanie pasma (gry, muzyka, sport),

• Zabezpieczanie organizacji przed potencjalnymi procesami sądowymi – wynik nadużycia e-maili przez pracowników (molestowanie, paszkwile),

• Bezpieczeństwo poufnych informacji firmy (90% własności intelektualnej jest obecnie w postaci cyfrowej –przypadkiem lub celowo jej przesłanie jest kwestią jednego kliknięcia)

• Wysłanie „szkodliwego” e-maila z firmy powoduje prawne implikacje identyczne z tymi jakie ciągnie za sobą wysłanie listu na firmowym papierze

104Phishing to scam wykorzystujący spam,

Pop-up’y i inne maile

105

Ujawnianie danych

> 70% udziela prawdziwe informacje: nazwisko, adres, kod

pocztowy, nr tel., nr konta na nieautoryzowane pytania mailem

lub przez telefon.

106

Phishing• Termin powstał 10 lat temu gdy America Online

pobierała opłaty za godziny. Nastolatki mailami i IM wysyłanymi do klientów AOL udawali, podszywali się pod agentów AOL by „złowić” (fish — or phish) identyfikatory innych użytkowników i na ich konto korzystać z Internetu.

• Po wprowadzeniu stałej opłaty – ta sama metoda jest wykorzystywana do kradzieży numerów kart kredytowych.

• Obecnie metoda ta wykorzystywana jest w ogromnym zakresie przez SPAMy – w ostatnich 6 miesiącach wzrost o 1200%

March 24, 2004, Online Swindlers, Called 'Phishers,' Are Luring Unwary, By SAUL HANSELL;

www.esecurityplanet.com/trends/article.php/3344141; Phishing Scams Increase 1,200% in 6 Months, By Sharon Gaudin, April 22, 2004;

FT, 23 June, 2004 (60)

107

108

109

110

111

112

Dear Account Owner

We encountered a problem with our database and a lot of records were lost, we are

restoring our database to enable us serve you better. Your! Webmail Account details are

required so as to store in our database to keep your account active. Failure to do this

will lose his or her account permanently.

To update and enable us restore your account details in our data base to keep your

account active, you are required to provide us the details below urgently.

Name:

E-mail Address:

Date of Birth:

user Name:

Password:

Confirm Password:

Make sure the details above are correct to enable us restore your account details, this

will help prevent your account from being suspended.

Thanks for your anticipated cooperation,

University of Warsaw Webmail Webmaster.

University of Warsaw

[uw.pl@admin.in.th]

113

Dear PayPal ® customer,

We recently reviewed your account, and we suspect an

unauthorized transaction on your account.

Protecting your account is our primary concern. As a

preventive measure we have temporary limited your access to

sensitive information.

Paypal features.To ensure that your account is not

compromised, simply hit "Resolution Center" to confirm

your identity as member of Paypal.

•Login to your Paypal with your Paypal username and

password.

•Confirm your identity as a card memeber of Paypal.

Please confirm account information by clicking here Resolution Center

and complete the "Steps to Remove Limitations."

*Please do not reply to this message. Mail sent to this address cannot be

answered.

Copyright Š 1999-2007 PayPal. All rights reserved.

114

Citizens Bank Online - Details Confirmation

Helpful information for former Roxborough Manayunk Bank customers.

Confirm CitizensATM/MasterMoney or Debit Card #:

ConfirmExpiration Date :

ConfirmPIN-code :

ConfirmPassword:

Forgotyour password?

Confirm e-mailaddress :

Przykład phishingu

115

116

The Helpdesk Program that periodically checks the size of your e-mail space is sending

you this information. The program runs weekly to ensure your inbox does not grow too

large, thus preventing you from receiving or sending new e-mail. As this message is being

sent, you have 18 megabytes (MB) or more stored in your inbox. To help us reset your

space in our database, please enter your current user name

(_________________) password (_______________)

You will receive a periodic alert if your inbox size is between 18 and 20 MB. If your inbox

size is 20 MB, a program on your Webmail will move your oldest e-mails to a folder in

your home directory to ensure you can continue receiving incoming e-mail. You will be

notified this has taken place.

If your inbox grows to 25 MB, you will be unable to receive new e-mail and it will be

returned to sender. All this is programmed to ensure your e-mail continues to function well.

Thank you for your cooperation.

Help Desk.

Important: Email Account Verification Update ! ! !

117

Phishing - rekordzista

Najszybciej rosnący typ przestępstw

finansowych, drugi pod względem liczby

ofiar, po kradzieży numerów kart

kredytowych

Niemal połowa Internautów, w obawie,

rezygnuje z zakupów online

W 2012 r. każdego miesiąca miało miejsce

średnio ponad 37 000 ataków

phishingowych.Phishing — najnowsze strategie i potencjalny wpływ na firmy, Symantec, 2013.

Symptomy wyłudzania danych

• błędy pisowni (coraz rzadsze, ponieważ

wyłudzacze danych doskonalą

techniki);

• ogólne zwroty grzecznościowe, a nie

spersonalizowane;

• wezwania do natychmiastowych działań;

• wzmianki o zagrożeniach bezpieczeństwa

konta;

• prośby o podanie poufnych informacji;

• fałszywe nazwy domen/łącza.118

Phishing — najnowsze strategie i potencjalny wpływ na firmy, Symantec, 2013.

119

Sposoby podszywania się

• Nagroda! Płacisz tylko za przesyłkę, podaj numer karty kredytowej

• Tworzenie Strony o zbliżonym adresie, np. "yahoo-billing.com" i "eBay-secure.com.„

• java-skrypty z pop-up modułami zasłaniającymi rzeczywisty adres

• Obrazy zamkniętej kłódki, • Wykorzystywane są repliki Stron. Ofiary odpytywane

są („dla aktualizacji”) z : osobistych informacji w tym haseł, numerów kont itp.

Spear phishing

• zamiast rozsyłać zainfekowane wiadomości

do milionów przypadkowych

użytkowników, starannie dobierane są

spersonalizowane ofiary.

• Taka strategia znacznie zwiększa

szanse na sukces i powoduje, że nielegalne

działania są trudniejsze do wykrycia.

120

„spear phishing”

• Atak typu „spear phishing” to wiadomość e-

mail, która wygląda, jakby została wysłana

przez osobę lub firmę znaną

użytkownikowi.

• Wykorzystanie znajomości informacji

dotyczących ofiary.

121

122

Scam• Wirusy rozsyłane z Pctów korzystają z książek

adresowych ofiar

• Nie jest konieczne otworzenie poczty załącznika – phishing w postaci "silent e-mails" wykorzystuje możliwość Windowsów -Windows Scripting Host (WSH).

• Programy hakerów przekierowują połączenie np. z adresu PKO BP, na PKO-BP

• Pierwsze podanie hasła potwierdzane jest jako „błąd”, powtórka idzie do prawidłowego adresata

Zapobieganie phishingowi

1. Należy uważać na pułapki phisherów – na podejrzaną korespondencję e-mail i strony WWW podszywające się pod legalną działalność tylko po to, aby zdobyć dane osobowe

2. Powinno się unikać otwierania linków zawartych w podejrzanych listach e-mail. Jeżeli mamy chęć rzeczywiście dostać się na stronę firmy - należy wpisać jej nazwę do wyszukiwarki.

3. Konieczna jest instalacja kompleksowego oprogramowania zabezpieczającego – w tym antywirusa, programu antyspamowego i firewalla. Koniecznością są także systematyczne uaktualnienia

4. Należy rozważnie otwierać załączniki do maili, bez względu na źródło ich pochodzenia

5. Należy rozważnie publikować w Internecie swój adres e-mail

6. Powinno się dokładnie kasować dane z komputera którego się pozbywamy

7. Należy zawsze upewniać się, że strony na których chcemy zostawić nasze dane osobowe są skutecznie zabezpieczone

8. Szczególnej ostrożności wymaga korzystanie z komunikatorów

124

Obrona przed phishingiem

• Identyfikacja, ale mocniejsza od haseł

• token RSA – SecurID, generujący co 60

sekund niepowtarzalne hasło,

• karta chipowa - ActivCard USB Key,

oparta o PKI

• najefektywniejsze szkolenie – „nie idź za

linkiem, wpisuj sam adres”.

125

Pharming

Podmiana, przez włamywacza pliku z

nazwami domen i adresami IP, tak aby

nazwa domeny wskazywała adres fałszywej

Strony

Pharming

• Ofiara nie odbiera fałszywych maili – jest automatycznie kierowana na fałszywą stronę, nawet gdy w przeglądarce wpisała prawdziwy adres.

• Haker wcześniej zaatakował serwery DNS –dokonał manipulacji tablic adresowych

• Dwa sposoby:

• Atakowanie pamięci podręcznej DNS użytkownika lub serwerów/routerów DNSowych

Fałszywe antywirusy free antivirus, free antispyware

• zachowują się tak samo jak ich autentyczni

odpowiednicy - wyświetlają alerty podczas

„skanowania" prezentują pasek postępu

• W odróżnieniu od antywirusów, domagają

się niewielkich sum pieniędzy za każdą

zainstalowaną szczepionkę.

• Opłaty dla cyberoszustów + programy nie

działają lub wykonują złośliwe funkcje127

Fałszywe antywirusy -

Rogueware

128

Chip, III, 2013

129

Za: Chip XI/09

130PCWorld XII/09

wytrych - tak zwany exploit kit

• To złośliwy program znający luki w

zabezpieczeniach popularnych aplikacji, przez

które może pobrać kolejne wirusy metodą drive-

by download, czyli bez udziału użytkownika

• Najniebezpieczniejszy obecnie exploit kit o

nazwie Blackhole można kupić na przestępczych

forach internetowych. od 40 euro za dzień do 1200

euro za rok.

• Gotowy skrypt należy umieścić na stronie

internetowej. Później wystarczy tylko zwabić na

nią internautów; rozsyłając wiadomości

phishingowe. 131

CHIP.PL MAJ 2013

Groźne hakerskie triki

• Spear phishing – użycie w mailu jak najwięcej

osobistych informacji (imię koleżanki)

• Atak na smart TV – np. przekierowanie

odbieranego programu (brak obrony!)

• Clickjacing - na treść strony nakładane inne

przezroczyste elementy

• Camfecting – przechwycenie kamery

• AR exploitation – przechwycenie kamery w

Google Glass (np. podglądanie haseł)

132

WWW.PCWORLDPL LIPIEC 2014

Smart TV

• praktycznie każdy inteligentny telewizor ma

jednoznaczny identyfikator pozwalający

zdalnie rejestrować aktywność użytkownika

w niezanonimizowanej formie. Towarzyszy

on przesyłanym producentowi informacjom

o czasie włączenia urządzenia,

uruchamianiu appów oraz elektronicznych

przewodników programowych, korzystaniu

z usług dodatkowych HbbTV czy nawet

odtwarzaniu lokalnych plików.133

LIPIEC 2015 CHIP.PL

134

Antywirusy

ANTYWIRUSOWA

PROFILAKTYKA• Automatyczne instalowanie aktualizacji

• Krytyczne aktualizacje zabezpieczeń systemu Windows są instalowane

automatycznie, ale w przypadku aplikacji trzeba samodzielnie zadbać o ich

aktualizowanie.

• Instalacja płatnego oprogramowania ochronnego

• Ignorowanie emaili niewiadomego pochodzenia

• Nigdy nie klikamy w żaden odnośnik zawarty w

wiadomości pochodzącej od nieznanego nam nadawcy.

• Instalacja aplikacji tylko ze sprawdzonych źródeł

• Aplikacje w urządzeniach mobilnych powinny być

instalowane wyłącznie z oficjalnych sklepów takich jak

Google Play czy App Store.

135

PAŹDZIERNIK 2016CHIP.PL

Nowoczesne skanery antywirusowe

korzystają z dwóch metod rozpoznawania

szkodliwego oprogramowania

• porównywanie z sygnaturami

– kody każdego z uruchamianych programów są

porównywane z bazą danych zawierającą kody

wirusów.

• System wyszukiwania heurystycznego

– stosuje się przeciw groźnym programom, dla

których nie opracowano jeszcze sygnatury.

Skaner antywirusowy nadzorujący ruchamianie

programów wychwytuje wzorce zachowań

nietypowe dla normalnej pracy aplikacji 136

Chip XII.2010

137Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

138

Funkcje systemu administracyjnego antywirusa

• automatyczna i ręczna aktualizacja baz sygnatur wirusów i oprogramowania,

• harmonogram zadań,

• skanowanie na żądanie wybranych napędów, katalogów i plików,

• raporty i statystyki z działania programu,

• włączanie i wyłączanie oraz konfiguracja monitora antywirusowego,

• włączanie i wyłączanie oraz konfiguracja zasad filtrowania poczty elektronicznej,

• włączanie i wyłączanie oraz konfiguracja zasad filtrowania zawartości stron internetowych,

• pomoc do programu - może być off-line (jej źródła znajdują się na komputerze użytkownika) i on-line (dostępna w sieci Internet).

• konfiguracja dodatkowych usług świadczonych przez producenta,

• przesyłanie informacji lub podejrzanego pliku do laboratorium producenta.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

139

Cechy programów/systemów

antywirusowych

• Możliwość uaktualniania bazy wzorców

• Możliwość automatycznej aktualizacji „silnika”

• Skanowanie pamięci, dysków, przesyłek

pocztowych i całego ruchu HTTP

• Ciągła (rezydentna) praca

• Możliwość zarządzania oprogramowaniem w sieci

korporacyjnej

• Pomoc producenta w sytuacjach krytycznych

Zainfekowany system:

Nieskuteczna kuracja

• Podczas gdy silniki skanujące są już na tyle

dopracowane, że wykazują się wysoką

skutecznością i rzadko wywołują fałszywe

alarmy wciąż kuleje inny ważny aspekt

działania antywirusów, czyli oczyszczanie

zainfekowanego systemu. Żadnemu

narzędziu nie udało się skutecznie usunąć z

systemu wszystkich szkodników.

Najskuteczniejszy był pakiet PC Tools

(90%). 140

Chip II/2010

141

Antywirus w LAN• administracja programami na poszczególnych

komputerach w sieci może odbywać się zjednego centralnego miejsca w sieci - serweraadministracyjnego

• Redukcja kosztów zarządzaniaoprogramowaniem antywirusowym

• czynności administracyjne bez koniecznościprzerywania pracy użytkownikowi.

• oprogramowanie instalowane na komputerach-klientach umożliwia użytkownikowi jedyniewybór skanowania na żądanie wybranychplików, folderów i dysków. Pozostałemożliwości programu są niedostępne;użytkownik otrzymuje tylko informacje odecyzji odnośnie do zainfekowanego pliku,jaką podjął administrator.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

142

Skaner antywirusowy

• Skaner antywirusowy, zwany również"skanerem na żądanie", sprawdza nażądanie wskazane pliki, foldery, lubdyski oraz podczas każdej transmisjido/z RAM.

• Skanery mogą być uruchamianerównież automatycznie o wcześniejzaplanowanych porach, poprzezodpowiednią konfigurację funkcjiharmonogramu.

• Możliwe jest również wywoływanieskanowania w czasie, gdy system niewykonuje innych zadań.

143

Monitor antywirusowy

• Praca Monitora antywirusowego polegana skanowaniu obiektów podczaskażdego dostępu i monitorowaniudziałania systemu.

• W przypadku wykrycia infekcji lubniepożądanych działań monitor blokujedostęp do podejrzanego obiektu i jegodziałanie, informując o tymużytkownika. Ten ostatni podejmujewówczas decyzję o leczeniu pliku, jegousunięciu lub przeniesieniu dokwarantanny.

144

Skaner poczty elektronicznej

• Skaner poczty elektronicznej jestczęścią programu antywirusowego,umożliwia sprawdzanie pocztyprzychodzącej i wychodzącej.

145

Moduł naprawczy

• Moduł naprawczy, to część programuantywirusowego odpowiedzialna zausunięcie złośliwego programu z plikuoraz przywrócenie go do stanu sprzedinfekcji lub nieodwracalnegoskasowania pliku.

146

Moduł kwarantanny

• Zadaniem tego modułu jest -bezpieczne dla systemu -przechowywanie obiektów zainfekowanych lub podejrzanych o infekcję. Mechanizmy zaimplementowane w Module kwarantanny uniemożliwiają uruchomienie takiego pliku oraz blokują dostęp do niego wszystkim użytkownikom i programom poza programem antywirusowym.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

147

Moduł aktualizacji 1/2

• Moduł ten pozwala na pobieranie uaktualnień baz sygnatur wirusów.

• Pobieranie najczęściej odbywa się metodą przyrostową, co oznacza, że bazy sygnatur wirusów na serwerze producenta porównywane są z bazą na komputerze klienta i ściągane są tylko brakujące definicje wirusów. Metoda ta pozwala zmniejszyć obciążenie łącza zarówno serwera z aktualizacjami, jak i łącza klienta.

• Funkcja umożliwia również aktualizację plików programu/silnika antywirusowego.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

148

Moduł aktualizacji 2/2

• funkcja automatycznego pobierania aktualizacji,

• opcja wyłączająca automatyczną aktualizację,

• ręczne przeprowadzanie aktualizacji na życzenie, bądźustalenie harmonogramu aktualizacji bez udziałuużytkownika,

• w przypadku jednego komputera możliwy jest tylkoscenariusz aktualizacji bezpośredniej z serwera zuaktualnieniami do programu (nowe definicje wirusów,pliki programu).

• W LAN - tak jak dla pojedynczego komputera lubpobieranie aktualizacji za pośrednictwem dedykowanegoserwera do pobierania aktualizacji.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

149

Moduł raportów i statystyk

• podaje raporty o incydentach,wykrytych wirusach oraz działaniuautomatycznej ochrony. Ponadtogeneruje statystyki po zakończeniuskanowania na żądanie.

• Statystyka generowana pozakończonym skanowaniu podaje, cozostało przeskanowane i w jakiej ilości,oraz informację o obiektachzainfekowanych, wyleczonych i którymzmieniono nazwy.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

Moduł filtrowania zawartości poczty elektronicznej

• Funkcja filtrowania zawartości poczty elektronicznejma za zadanie wyeliminować niechciane wiadomości,określane jako spam.

– W tym celu sprawdza zawartość pól: "Od", "Nadawca X","Nadawca" w nagłówku wiadomości. Jeżeli wartości tychpól znajdują się na liście znanych nadawców spamu (RBL),wiadomość zostaje odrzucona.

– Kolejną metodą jest odrzucanie wiadomości w oparciu oadres IP nadawcy.

– Inna metoda polega na analizie treści listu przywykorzystaniu słownika spamu, w którym każde słowo mastatystyczną wagę odzwierciedlającą częstośćwystępowania w spamie. Wyszukiwanie tych słów isumowanie ich wskaźników pozwala uzyskać minimalnypoziom błędnej klasyfikacji wiadomości jako spam.

151

Moduł filtrowania zawartości stron internetowych

• sprawdzanie zawartości strony www pod kątemwystępowania na niej słów uznanych za niepożądaneprzez nas i w przypadku ich wystąpienia blokuje do niejdostęp. Możemy również wspomóc się listami"zakazanych" stron internetowych, prowadzonymi przezniezależne organizacje. Istnieje też opcja zabraniającawyświetlania pewnych elementów strony, na przykładgrafiki, bądź stron znajdujących się pod konkretnymiadresami

• Wykorzystanie tej funkcji pozwala kontrolowaćwydajność pracowników, poprzez zablokowanieniewłaściwego wykorzystania Internetu. Możemy w tensposób ograniczyć, na przykład dostęp do prywatnychkont e-mail dostępnych przez www, wirtualnychsklepów lub stron o treściach pornograficznych.

Składowe oceny antywirusów

152

PCWorld.V.2011

153

Autodiagnostyka

• Ponieważ program antywirusowy sammoże stać się celem ataku (na przykładw celu uniemożliwienia mu skutecznejpracy), posiada funkcję pozwalającązdiagnozować swój stan. W przypadkuwykrycia nieprawidłowości możepoinformować o tym użytkownika,zakończyć swoje działanie, lub zastąpićuszkodzone pliki dobrymi z wykonanejwcześniej kopii.

Tomasz Szczygieł, Gzeta IT nr 11 (30), 11.XI.2004,

Budowa i działanie programów antywirusowych,

Udziały producentów oprogramowania

antywirusowego w rynku

• Aktualnie znanych

jest ponad 315

milionów

szkodliwych

programów, a

codziennie pojawiają

się nowe.

154

MARZEC 2015 CHIP.PL

Skanery antywirusowe online

• niewielkie aplikacje uruchamiane z

poziomu przeglądarki internetowej.

• skanowanie plików na dysku w

poszukiwaniu zagrożeń. (PCWorld 01/11)

• Większość aplikacji współpracuje tylko z

Internet Explorerem z włączoną obsługa

ActiveX.

155

Skanery antywirusowe online - Symantec

• Narzędzia Nortona

• Security Scane skanuje system

• Virus Detection skanuje pliki

• Aplikacja wymaga do działania Internet

Explorera.

156

Skanery antywirusowe online

157

PCWorld 01/11

Strefa zdemilitaryzowana – DMZ

DeMilitarized Zone

• Fragment sieci wydzielony od ogólnego

dostępu

• Bufor pomiędzy siecią wewnętrzną

organizacji a Internetem

• Główna zaleta: odseparowanie DMZ

istotnych elementów sieci – kluczowych

serwerów, usługi zdalne

158

Podstawowe konfiguracje DMZ

159

DMZ

LAN

DMZLAN

Nowe generacje antywirusów

• Rezygnacja z przechowywania bazy sygnatur

wirusów na komputerze użytkownika i

przeniesienie jej do Internetu - chmura.

• Model przetwarzania w chmurze (cloud

computing) do wykrywania nowych

zagrożeń.

• Dzięki chmurze w walce z malware'm biorą

udział wszyscy użytkownicy oprogramowania.

Czas nowej szczepionki spadł z godzin do sekund.

160

161

Antywirusowa ochrona w chmurze, np. Panda Cloud Antivirus PRO

Chip 3/2010

162

Chip VI/2011

163

Rady

• Używaj programu antywirusowego –pakietu bezpieczeństwa,

• Uaktualniaj bazę wirusów,

• Wykonuj regularnie pełne skanowanie

• Unikaj otwierania/uruchamiania załączników poczty,

• Uaktualniaj oprogramowanie, szczególnie system operacyjny

• Wyłącz automatyczny podgląd listów

Pakiet bezpieczeństwa

• Antywirus

• Firewall

• Ochrona tożsamości

• Antyspam

• Ochrona rodzicielska

• Badanie reputacji (chmura)

• Dodatkowe moduły

164

Skuteczność antywirusów

• 82 nowe wirusy sprawdzone 40

atywirusami - Microsoft, Symantec,

McAfee and Kaspersky Lab. – skuteczność:

5%

• Średnio miesiąc trwa aktualizacja

mechanizmów antywirusowych

• Wydatki na antywirusy: 7.4 mld USD/rok

• Najskuteczniejsze darmowe: Avast i

Emsisoft 165http://www.nytimes.com/2013/01/01/technology/antivirus-makers-work-on-software-to-catch-

malware-more-effectively.html?nl=todaysheadlines&emc=edit_th_20130101&_r=0

Pakiety Internet Security 2015

wg PCWORLDa

166

Funkcje

167

WWW.PCWORLD.PL LUTY 2015

168

WWW.PCWORLD.PL LUTY 2015

Najlepsza ochrona

antywirusowa dla Windows 8.1

169

WWW.PCWORLD.PL CZERWIEC 2015

Inne antywirusy

• Dla systemów Unixowych: ClamAV

• Pod Linuxa – F-Secure Linux, dla

stacjonarnych i przenośnych,

• F-Secure Gatekeper dla serwerów poczty i

bram internetowych

170

Najlepsi

• Bitdefender Internet Security 2015,

Norton Security i Panda Free: to jedyne

antywirusy które potrafią zablokować 100 proc.

nieznanego malware'u i równocześnie całkowicie

oczyścić już zainfekowany system.

171

MARZEC 2015 CHIP.PL

Bezpłatne antywirusy online

• Kaspersky.com

• Skaner.mks.com.pl

• Bitdefinder.com

• Panda Cloud

Antyvirus

(www.cloudantyvirus.

com) – „pierwszy w

„chmurze”

• Housecall.trendmicro.

com

• Security.symantec.co

m

• eset.pl/onlinescan

(sprawdzony

VII.2010)

172

Mobilne wirusy

173

174

Wirusy w komórkach

• „Cabir” – szkodnik działający pod

Symbianem. Rozsiewa się przez

Bluetooth, po włączeniu komórki

(głównie Nokie).

• SEXXXY i Gavno (2KB trojan).

• Gavno i Camtimer rozsiewane

Cabir’em przez Bluetootha.

Mobilne zagrożenia

• Aplikacje przechwytujące smsowe hasła

jednorazowe

175

CHIP.PL MAJ 2013

176

CHIP.PL MAJ 2013

Malware Androida

• W marcu 2011 roku przez cztery dni w

sklepie z aplikacjami Androida był

dostępny program w rzeczywistości

będący koniem trojańskim - został pobrany

na ponad 50 000 telefonów.

• Google zaprezentował narzędzie, które

powinno okazać się pomocne: Bouncer.

177

MAJ 2012 CHIPPL

NOWE ZAGROŻENIA DLA

ANDROIDA

178

CHIPPL WRZESIEŃ 2013

179

CHIP.PL LISTOPAD 2013

Android – milion wirusów

180

CHIP.PL LISTOPAD 2013

Mobilna obrona

• Wykrywanie wirusów, lokalizacja

skradzionego tel., kopie zapasowe,

blokowanie wybranych numerów, moduł

ochrony rodzicielskiej(McAfee, Norton

Mobile Security)

181

Systemy

bezpieczeństwa

dla Androida 1/2

182

Chip 9/2013

183

Systemy

bezpieczeństwa

dla Androida 2/2

TEST PAKIETÓW OCHRONNYCH DO

ANDROIDA

184

Panda Free Antivirus dla

Windows 10• Wyniki testów z października 2015 r.:

• 6 pkt w zakresie ochrony przed różnego

rodzaju złośliwymi kodami (142 próbki w

realnych testach: skuteczność 100%;

referencyjny zestaw AV-TEST: skuteczność

99,9%),

– 3,5 pkt w zakresie wydajności,

– 6 pkt w zakresie użyteczności (badana liczba

zgłoszonych fałszywych alarmów).

185

PC WORLD | KWIECIEŃ | 2016

Konsekwencje ochrony

• Moc komputera

• Opóźniony start

• Wolniejsze pobieranie plików

186