Kártevők célkeresztjében
Az elektronikus és nyomtatott sajtó olyan fogalmakkal bombázza nap mint nap az olvasót, amelyeket a felmérések szerint az olvasók 70-80 százaléka nem is ért. Mindennapi fogalmaink közé már beépült a számítógépvírus fogalma, de mit kezdjünk az olyan angol eredetű kifejezésekkel, mint phishing, pharming, scam, hoax, spam, spyware, backdoor, keylogger – és még sorolhatnánk a végtelenségig. Ne feledjük, ez nem játék, nem félretolható mellékes probléma. Adataink kiszivárgása, számítógépeink biztonsága már kőkeményen zsebre megy.
Sajnálatos módon a (nem szakmai) napisajtóban megjelenő írásokban gyakran olyan programokat is vírusként aposztrofálnak, amelyeknek csak két közös tulajdonsága egyezik meg a számítógépvírusokkal: mindannyian programok, valamint kárt okoznak, rombolnak. E kártékony programok nem vírus típusú képviselőit mindenképp érdemes a vírusoktól különválasztva, ám azok mellett ismertetni, hiszen terjedési módszerük és az elterjesztésükkel megcélzott felhasználókör ezt egyértelműen indokolja.
A rosszindulatú programokat összefoglalóan malware vagy vandál programokként is emlegetik. A mindennapi gyakorlatban az alábbi, egymástól sokszor nehezen megkülönböztethető malware-kategóriákat különböztetjük meg:
Program típusú malware:
- számítógépvírusok és programférgek
- vírusfejlesztő kitek
- trójai és backdoor programok
- dialerek
- dropperek
- kémprogramok
- keyloggerek
- egyéb kártékony programok
Szöveg típusú malware:
- spam
- hoax
- holland és spanyol lottónyeremény levelek
- nigériai csalások
- phishing, pharming
- egyéb, szöveges típusú kártékony tartalmak
Mit keres a támadó?
A számítógép nem csupán játék vagy munkaeszköz, de egyben adattár is, amelyben értékes magánjellegű és céges adataink is megtalálhatók, még ha nincs is mindenki tisztában azzal, mi minden deríthető ki egy évek óta használt számítógép merevlemezéről.
A számítógépen tárolt adatokat, fájlokat három - nem is mindig jól elválasztható - csoportra oszthatjuk. Az első csoport a programfájloké, beleértve az operációs rendszer és a különböző felhasználói programok fájljait. Egy támadó számára látszólag érdektelenek, ám ha mélyebben belegondolunk, rájövünk, ez nem így van. A támadások sikerességét jelentősen megnöveli, ha a támadó tudja, mi az, amit támad, hisz így fel tud készülni ellene, megkeresheti az ismert és kevésbé ismert sérülékenységeket, és nem fecsérli erejét olyan célpontokra, amelyek túl erősen védettek, vagy nem eléggé értékesek számára.
A második csoport a konfigurációs fájloké, amelyek azokat a beállítási adatokat őrzik, amelyek gépünknek saját eszközeivel és a külvilággal való kapcsolattartását szabályozzák. Bár az előbbi funkció is „hasznos” lehet egy támadó számára, igazi értéknek a külvilággal való kapcsolattartás paraméterei – különböző felhasználói azonosítók, jelszavak, PIN kódok, bankszámlák adatai, behívószámok stb. – jelentenek. Ha egy támadó ezekhez hozzáfér, akkor vagy közvetlenül maga a visszaélhet az adatokkal, vagy úgy módosíthatja beállításainkat, hogy a megbízható és hiteles weboldalak helyett hamisított weblapokra irányít.
A harmadik adattípus – a felhasználói adatfájlok – értelmezése annyira triviális, hogy ne is pazaroljunk további energiát a magyarázgatásra.
Milyen információt nyerhet ki a támadó abból, hogy megismeri milyen szoftverek vannak gépünkön telepítve? Részint marketinginformációt, hisz így tudja, mit szoktunk használni, milyen szoftveres, hardveres és fogyóeszköz jellegű kiegészítőkre lehet szükségünk Gondoljanak csak bele, mennyire megszaporodtak a kéretlen reklámlevelek. Ezek jelentős részét – tagadhatatlanul – olyan módszerekkel indították útnak, amelyben illegális úton szerzett információk alapján válogatták ki egy vagy több címlistáról a címzetteket.
Fogalmak: programok
S ha már itt tartunk, nem árt némi rövid fogalmi tisztázás, hogy a későbbiekben ne legyen a leírtakkal kapcsolatban semmi félreértés. Első lépésben vegyük sorra a nap mint nap olvasott, ám legtöbbször meg nem magyarázott angol elnevezéseket és mozaikszavakat.
Vírus, számítógépvírus
A legismertebb fogalom a vírus, illetve hosszabb alakjában a számítógépvírus. E fogalom olyan programokat rejt, amelyek számukra megfelelő hardver- és szoftverkörnyezetben képesek saját kódjuk szaporítására az operációs rendszer és/vagy a futtatási környezet különféle automatizmusait kihasználva, a felhasználó tevékeny és tudatos közreműködése nélkül. Ez a víruskód más programokhoz való bármiféle hozzáfűzését jelenti, ami lehet a programfájlba való direkt beírás, a FAT rendszer meghekkelése, a végrehajtási sorrend (COM, EXE, BAT) kihasználása.
Egy vírus csak a megfelelő hardver- és szoftverkörnyezetben életképes, bár egyes romboló rutinjai ha a szaporodást nem is, de a pusztítást, károkozást lehetővé teszik. Általánosságban elmondható (bár kivételek adódhatnak), hogy egy adott platformra készített vírus más környezetben nem vagy nem teljesen életképes, szaporodási és egyéb funkcióit részben vagy teljesen elvesztheti. A számítógépvírus fő elemei: szaporító modul (ez kötelező elem), feltételvizsgálat és effektek (ez vagy van vagy nincs), egy vagy több büntetőrutin (ez is opcionális) és a rejtőzködés érdekében beépített további elemek. Ez utóbbi mindössze abban áll, ha egyáltalán van, hogy a víruskód mérete kicsi, a hordozó gazdaprogramhoz képest elhanyagolható.
Programféreg, féreg, worm, internetféreg
A férgek régi és komoly rokonságban állnak a számítógépvírusokkal. A klasszikus meghatározás szerint a programférgek nem módosítanak közvetlenül más programokat, és szaporodásuk a hordozó programfájlok különböző meghajtókra, folderekbe és más számítógépekbe való átmásolását jelenti.
Az internet használatával és a levelező- és egyéb programférgek elszaporodásával ez a meghatározás kezd idejét múlttá válni, ráadásul a sajtóban sokszor találkozhatunk a megtévesztő „féregvírus” elnevezéssel is. A klasszikus definíciók szerint a két kártevőcsalád (fájlfertőző vírusok és programférgek) között az az alapvető különbség, hogy a vírusok túlnyomó többsége – eltekintve a bootvírusoktól, a FAT-fertőzőktől és a maroknyi companion (társ) és makróvírusoktól és igazi szkriptvírusoktól – a megtámadott programfájl kódját módosítja, a féregprogramok pedig nem.
Az utóbbi időben számos olyan programférget figyelhettünk meg, amelyek kifejezetten vírusszerű tulajdonságokkal is rendelkeznek, és így képesek programkódjukat más programok belsejében (is) elrejteni, s a gazdaprogram lefuttatásakor vezérléshez jutni.
Trójai programok
A trójai programok elnevezése egyértelmű, olyan programokat takar, amelyek látszólag valami, a felhasználó számára hasznos funkciót látnak el, ám e mellett vagy helyett mást (is) végeznek. Ilyen „melléktevékenység” lehet fájl- és levélküldés, különböző romboló utasítások végrehajtása, a számítógép vezérlése fölötti uralom átadása a támadó(k)nak, vagy akár más számítógépek, rendszerek támadása, további programkártevők útnak indítása egy rejtett helyről.
Dropper
A vírus- és féregprogramokat ma már igen hatékony módszerrel képesek megtalálni az antivírus programok. Sok vírus(szerző) olyan módszerrel is védi teremtményeit a felfedeztetés ellen, hogy speciálisan kódolt formában tárolja a vírusprogramot és attól különválasztva őrzi az azt kicsomagoló rutinokat. Így sokkal nehezebb felfedezni a fertőző gócot, hiszen aktív formájában nem mutatható ki a kártevő a dropper programok belsejében.
Kémprogram, spyware
Kémprogramnak tekintünk minden olyan alkalmazást, amely a felhasználó tudta és engedélye nélkül adatokat gyűjt és továbbít a rendszeren kívülre a számítógépen futó szoftverekről a beállításokról, a felhasználói adatokról, a felhasználói szokásokról, azonosítókról, jelszavakról és egyéb bizalmas természetű információkról. A kémprogramok között vannak önállóan és más programokkal eltávolítható vagy csak a gazdaprogrammal együtt eltávolítható módon beépített változatok.
Milyen adatainkra vadásznak a kémprogramok? Senki ne gondoljon e kérdés hallatán James Bondra, a 007-es ügynökre. Csupán olyan információkról van szó, amelyeket a támadók fel tudnak használni arra, hogy a helyi hálózaton vagy az interneten keresztül bejuthassanak a számítógépre és átvehessék a vezérlést. Ilyenek a felhasználói és egyéb azonosítók, jelszavak, tanúsítványok, a hálózati beállítások paraméterei, a számítógépen telepített programok, a háttérben futó védelmi, biztonsági programok stb.
Dialer
A behívó, betárcsázó vagy közkeletű nevén dialer programok kezdetben a modemes kapcsolattartás megkönnyítését szolgáló programok voltak. Mára azonban ezt az elnevezést elsősorban az olyan agresszív és rosszindulatú programokra használjuk, amelyek a háttérben, a felhasználó elől rejtve megbontják a modemes internetkapcsolatot és különféle emelt díjas (külföldi, műholdas vagy egyéb) telefonos betárcsázó szerverhez csatlakoznak. Ha sikerrel járnak, az eredmény akár százezres vagy milliós havi telefonszámla is lehet. Az utóbbi két-három évben mind Európában, mind Magyarországon számos áldozata volt az ilyen támadásoknak. A dialer programok ma már nem csak „felnőtt” és illegális tartalmakat kínáló warez oldalakról igyekeznek befurakodni a számítógépekre, ezért az ellenük való védekezés mindenkinek zsebbevágó kérdés, aki modemmel internetezik, vagy széles sávú internetkapcsolata mellett – faxolásra, közvetlen banki ügyintézéshez, céges hálózat RAS szerveréhez történő kapcsolódáshoz stb. – egy élő telefonvonalhoz kapcsolt modemmel rendelkezik. A dialerek ellen speciális antidialer programokkal, antispyware programokkal, megfelelő tűzfalprogrammal, illetve a használt telefonvonal szolgáltatói vagy felhasználó oldali védelmével (tiltás, jelszavas hozzáférés stb.) védekezhetünk.
Backdoor
A szó szerinti fordításban hátsó ajtó jelentésű programcsalád a számítógép védelmi rendszerén keresztül nyit kiskapukat, és ad hozzáférést a rendszer erőforrásaihoz a támadóknak. Backdoor funkciói azonban legális programoknak is lehetnek, hiszen egy vállalati rendszerben a munkaállomások távmenedzseléséhez elengedhetetlen, hogy az arra felhatalmazott rendszergazda távolból is elvégezhessen bizonyos beállításokat, módosításokat. Az internet felől direkt támadással, elektronikus levelezésben vagy egyéb módon érkező backdoor programok azonban semmiképp nem rendelkeznek ilyen jellegű hivatalos felhatalmazással.
Az ismertebb backdoor programok mellesleg kiváló rendszeradminisztrációs és hackereszközök is egyben. Akit részletesebben érdekel a téma, az a BackOrifice, BO, BO2000, NetBus, SubSeven névre keressen rá az interneten.
Keylogger
Szó szerint billentyűleütés-naplózót jelent. Attól függően minősíthetjük hasznos vagy rosszindulatú programnak, hogy ki telepítette, milyen céllal, ki vezérli és mi lesz a naplózott adatok sorsa. Az „innenső oldalon” a keyloggerek arra használhatók, hogy megkönnyítsék az ismétlődő feladatok automatizálását az adott feladat elvégzéséhez szükséges billentyűleütések naplózásával. Amikor hackereszközről beszélünk, akkor a keylogger olyan használatáról van szó, amikor a rendszeren kívülre, illetéktelen kézbe kerülnek adataink, amelyek között azonosítók és jelszavak is lehetnek.
Fogalmak: szöveges malware
Spam, kéretlen reklámlevelek, levélszemét
Nagyjából 2000 körül kezdett tömegessé válni a kéretlen reklám- és egyéb levelek áradata. Amíg egy hagyományos reklámlevél elküldésének forintban is jól mérhető költségei vannak, az elektronikus levelek költségei – főleg a milliós tételekben történő összehasonlításkor – elenyészőek. A levélszemét szétválogatása időigényes, tárhelyet foglal a szerveren és a helyi merevlemezen, a levelek letöltése a sávszélességet felemésztheti, különösen modemes vagy egyéb lassú, vagy nagyszámú felhasználó által egyszerre használt kapcsolatok esetén.
Holland vagy spanyol lottó levelek
Amerikában a szerencsejáték szigorú szabályozás alatt áll, és a törvény szigorúan bünteti a nem amerikai lottójátékok Amerikán belüli használatát. Ennek ellenére sokan dőlnek be a kéretlen levelekben érkező értesítésnek, amelyben azt közlik a címzettel, hogy nyert egy olyan lottósorsoláson, amelyen részt sem vett. Az átverés igazából ezután következik, hiszen az eredeti értesítő levél önmagában csak közönséges levélszemét lenne. Ha a címzett felveszi a kapcsolatot a megadott kapcsolattartóval, az csodák csodájára elérhető is lesz, és néhány levélváltás után kiderül, hogy először nyitni kell mondjuk 470 font elhelyezésével egy bankszámlát, és a nyeremény átutalásához az összes számlaadatot meg kell adni a kapcsolattartónak. Aki ezt is meglépi, az keresztet vethet a bent levő pénzre, és akár ítéletnapig várhat nyereményére. A presztízsveszteségen túl így a számlán levő összeg és a számlanyitás költségei is az áldozatot terhelik.
Nigériai levelek
A nigériai levelek a fenti lottós levelekhez hasonlóan eltérnek a hoaxok többségétől. Közös jellemzőjük, hogy a levélíró közli, hogy egy nemrég elhunyt rokona/felmenője egy hatalmas, több száz millió dolláros összeget hagyott rá (készpénzben, gyémántokban, értékpapírokban stb.), amelyhez csak akkor juthat hozzá, ha néhány száz dollárt rááldoz az ügyintézésre, viszont jelenleg – átmenetileg – erre nincs anyagi fedezete. Ha tehát címzettünk némi anyagiakkal kisegíti a szomorú örököst, akkor a visszaszerzendő vagyonból tetemes részt kaphat maga is.
Ilyen levelek papíron, sőt faxüzenetekben is érkezhetnek, sőt érkeznek még ma is, de a csalás fő területe ma az e-mail. Kérünk mindenkit, ne ugorjon be! Egy Debrecenben tanuló egyetemista honfitársunknak 10 millió forintja bánta a próbálkozást, és még boldog lehet, hogy ép bőrrel és élve haza tudott jönni Nigériából, ahol az állam éves bevételeinek mintegy 30 százalékát adják az ilyen csalások. Nem volt ilyen szerencsés egy háromfős ausztrál csoport, mivel közülük csak egynek sikerült élve kiszabadulnia, miután azt kezdték firtatni, hova is tűnt a „befektetett” pénzük.
Hoax, scam
A szemétlevelek egy speciális csoportja, amelynek egyik közös jellemzője a „küldd tovább xxxx példányban” vagy „küldd tovább minden ismerősödnek” szövegrész. Ezek között igen sokféle típust különböztethetünk meg az egyszerű átveréslevelektől a klasszikus lánclevelek elektronikus megfelelőin keresztül a holland vagy spanyol lottó levelekig és a nigériai csalások néven elhíresült levelekig. Ezek többsége ma (még) angol nyelvű, de már számos hoaxlevelet magyar változatban is köröztetnek. Általános tanácsunk az, hogy csak olyan levelet küldjenek tovább, amelynek hitelességéről kétséget kizárólag sikerült meggyőződnünk.
Phishing
2004 nagy dobása számítógépes bűnelkövetők részéről a phishing megjelenése volt. Magyarul gyakran adathalászatként említik ezt a lefordíthatatlan kifejezést. Mindenki jól teszi, ha felkészül a számítógépes csalások és átverések e legújabb változatára.
A phishing levelek áldozatai rendszerint angol nyelvű levelet kapnak, amely udvariasan felkéri a címzettet, hogy az XXX banknál vezetett számlájával kapcsolatban keresse fel a levélben megadott hivatkozási címen található banki oldalt, ahol meg kell adnia személyes azonosító- és bankszámlaadatait. Erre a lépésre a levél szerint adatkarbantartás miatt van szükség. Néha még az is olvasható, hogy a kedves ügyfél az adategyeztetés után lehetőleg még két napig ne bolygassa a számlát, elkerülendő a karbantartással járó átmeneti problémákat. Aki ezt megteszi, és a levélben hivatkozott weboldalon valós adatokat ad meg, az számíthat számlája – jó esetben – tetemes apadására, vagy teljes kiürülésére.
A bankok sem e-mail üzenetekben, sem weboldalaikon nem kérnek ilyen adatkarbantartást. Bankszámlával kapcsolatos adatainkat csak személyesen, valamelyik bankfiókban vagy hivatalos levélben módosíthatjuk.
A phishing levelek küldői igen sokat tesznek a meggyőzésért. A kiszemelt bank logójával ellátott leveleiket igen gondosan alakítják ki, és általában a hivatalos stílusra is ügyelnek. A megadott link egy előre elkészített – és csupán néhány napig működő – oldalra mutat, amit szintén a hivatkozott pénzintézet stílusában alakítottak ki. Az elkövetők általában még arra is ügyelnek, hogy a hamisított weboldal címét megjelenítő címsorba a bank webcíme kerüljön az oldal tényleges címe helyett.
Magyarországon eddig szerencsére nem nagyon volt még áldozata a phishingnek. A célpontként kiszemelt, többnyire amerikai és nyugat-európai bankoknak kevés magyar ügyfele van, és a magyar bankok közül eddig az OTP volt az egyetlen, amely ellen hasonló, ám sikertelen támadást indítottak 2004. őszén.
Aki további érdekességekre is kíváncsi, az a www.antiphishing.org címen – ez az Anti-Phishing Working Group hivatalos weboldala – még további érdekfeszítő részleteket is talál. A csoport archívum oldalán pedig a szervezet gyűjteményének díszpéldányait tekinthetik meg az odalátogatók. Készüljünk fel, a lista igen hosszú, és folyamatosan gyarapszik. És igen-igen tanulságos.
Pharming
A kártevő programok egy új válfaja a számítógépeken található hosts fájlba írja bele a meghamisított banki oldalak címét, s így a megtámadott számítógépen a felhasználó hiába írja be webböngésző programja címsorába bankja webcímét, a címfeloldás nem a megszokott DNS-szerveren történik, hanem helyben, a megpatkolt hosts fájl segítségével, és az ügyfél a hamis banki oldalon találja magát. A nevezett hosts fájl módosítást e-mailben, csevegő- vagy IRC-csatornákon érkező rosszindulatú szkriptprogramokkal, trójai vagy backdoor programokkal tudják elérni a támadók.
Cikkünk hamarosan megjelenő következő részében azzal foglalkozunk majd, hogy miként lehet megelőzni a phishing levelek, a többi szöveges és program típusú malware, valamint a számítógépes betörők okozta veszteségeket, hogyan ismerhetjük fel az átveréseket, milyen eszközök állnak mindehhez rendelkezésünkre, mire valók az egyes programtípusok, mire terjed ki használhatóságuk, melyek a korlátaik és hol találni magyar, esetleg angol nyelvű segítséget, leírásokat, esetleg ingyenes vagy próbaváltozatú szoftvereket a kellő szintű és hatékonyságú védelem biztosítására.
dr. Nagy Gábor
