Oprogramowanie i działania przeciw malware Spam

Najbardziej zauważalnym problemem użytkowników poczty elektro-nicznej jest zaśmiecanie ich skrzynek spamem, czyli niezamówionymi ofer-tami handlowymi. Z danych przedstawionych przez Barracuda Networks – w 2008 roku spam stanowił nawet 95% całej poczty elektronicznej, a według raportu Symantec w lutym 2011 roku aż 80%.

Rozsyłanie spamu z pozoru nie stanowi dużego zagrożenia, jednak jego ilość jest w stanie zablokować konto pocztowe. Użytkownicy poczty elektro-nicznej spędzają bardzo dużo czasu na kasowaniu śmieciowych informacji – bardzo często przy tej okazji tracą ważne wiadomości. Rozsyłanie spamu jest karalne w Polsce od marca 2003 roku.

93 3. Podaż i popyt na usługi cyfrowe w kluczowych obszarach życia

Złośliwe oprogramowanie

Złośliwe oprogramowanie (malware) to programy stworzone z myślą o wyrządzaniu szkód. Ich działanie może nieść ze sobą różne skutki, opisa-ne dalej. Rozprzestrzeniają się na wiele sposobów. Czasem instalowaopisa-ne są samodzielnie przez właściciela komputera poprzez podrzucenie mu linków lub plików udających interesujące użytkownika aplikacje albo programów posiadających ukryte funkcje. Mogą również zostać zainstalowane przez intruza, który włamał się do systemu i przejął nad nim kontrolę. Złośliwe oprogramowanie pojawia się również na komputerach jako załącznik do wia-domości poczty elektronicznej. Istnieje możliwość zainstalowania malware w momencie pobierania strony WWW, najczęściej w wyniku błędów prze-glądarki. Dlatego ważne jest nie tylko instalowanie programów antywiruso-wych, ale też pro ilaktyka.

Wśród programów o charakterze destrukcyjnym można wyróżnić wiru-sy, robaki, konie trojańskie i wiele innych. Wirus to program celowo powie-lający się bez zgody i wiedzy użytkownika, wymagający do tego celu obecno-ści nosiciela (np. programu albo nośnika, jak dysk lub pendrive). Robak jest także samopowielającym się programem, ale różni się od wirusa sposobem rozprzestrzeniania się: nie potrzebuje nosiciela. Koń trojański (popularnie trojan) to program, który oprócz funkcji przydatnych dla użytkownika wy-konuje pewne niepożądane czynności „w tle”, których skutki użytkownik za-uważy dopiero, gdy zaczną powodować dyskomfort pracy. Często jest uży-tecznym programem, jednak obok zaoferowanej posiada dodatkowo ukrytą funkcjonalność. Może nią być zainstalowanie innego złośliwego oprogramo-wania, np. spyware, lub przejęcie kontroli nad komputerem o iary. Tego typu złośliwym oprogramowaniem może okazać się każdy darmowy i zamknięty program (czyli freeware), nawet antywirusowy, wykonujący bardzo dobrze zadania, dla których zdecydowano się go zainstalować. Z tego powodu po-winno się wybierać sprawdzone programy darmowe, czyli używane od bar-dzo dawna, lub programy open source, których kod jest dostępny i dlatego ewentualne dodatkowe funkcje zostałyby zauważone.

Exploit to program (np. wirus) szukający i wykorzystujący luki w opro-gramowaniu, czyli błędy, które odkryto po dopuszczeniu oprogramowania na rynek. Gdy istnienie luki jest nagłośnione, może chcieć z niej skorzystać wielu zainteresowanych tym amatorów lub przestępców. Informacja o takiej okazji skłania do pisania programów, które z niej skorzystają, czyli exploitów. Według raportu irmy Symantec, czas od odkrycia luki do pojawienia się wy-korzystującego ją exploitu jest bardzo krótki, w 2006 roku szacowano go tyl-ko na 3 dni. Z innego raportu Symantec wynika, że w Interencie handluje się numerami IP komputerów, na których jeszcze nie zainstalowano programów naprawiających błędy.

94 Usługi cyfrowe. Perspektywy wdrożenia i akceptacji...

Sniffer, czyli tzw. węszyciel, to program analizujący ruch w sieci. Nie jest zainteresowany zawartością wszystkich przesyłanych porcji informacji, ale ich parametrami: rozmiarem, adresatem, nadawcą – na poziomie usług sieciowych. W ten sposób może być elementem systemu identy ikującego zagrożenia (systemu wykrywania intruzów), ale może też szukać słabych punktów w systemie, by je wykorzystać do włamania. Spyware natomiast to programy komputerowe, których celem jest śledzenie działań użytkow-nika: zapamiętują adresy odwiedzanych stron internetowych, dane osobo-we, numery kart płatniczych, hasła, dane o komputerze (system operacyjny, przeglądarka internetowa), zainteresowania użytkownika (np. na podstawie wpisywanych słów w oknie wyszukiwarki) lub informacje handlowe przy-datne dla konkurencji. Zgromadzone dane wysyłają bez wiedzy i zgody ich użytkownika. Z kolei keyloggery, szczególny rodzaj spyware, kontrolują kla-wiaturę i rejestrują każde naciśnięcie klawisza; najczęściej pozyskują hasła. Keyloggery mogą być programami albo układami elektronicznymi montowa-nymi w klawiaturach.

Rootkit to mechanizmy i techniki, dzięki którym złośliwe oprogramo-wanie może ukryć swoją obecność przed narzędziami naprawczymi. Odby-wa się to najczęściej przez przejęcie wybranych funkcji systemu operacyjne-go. Rootkit infekuje jądro systemu operacyjnego i np. usuwa programy z listy procesów. Może w ten sposób ukryć siebie lub inny złośliwy program przed administratorem oraz oprogramowaniem antywirusowym.

Skutki działania złośliwego oprogramowania

Wszystkie złośliwe programy mogą działać podobnie: niszczyć lub ko-piować dane, otwierać porty, czyli tworzyć tzw. tylne wejścia (backdoor), in-stalować inne złośliwe oprogramowanie lub przejmować kontrolę nad sys-temem o iary. Bardzo często skutkiem ich działania jest zainstalowanie na zainfekowanym komputerze oprogramowania serwera, który rozpocznie np. rozsyłanie spamu, próby łamania hasła, wysyłanie zapytań systemowych do serwera znanej irmy, wysłanie plików wyprodukowanych przez spyware bądź zarządzanie grupą zainfekowanych komputerów.

Wirusy i robaki na początku służyły do robienia żartów, np. włączenia utworu muzycznego lub wywołania efektu spadających liter z ekranu. Były też cele dydaktyczne: twórcy pierwszego zarejestrowanego wirusa Brain na PC (w 1987 roku), bracia Basita i Amjada Farooq Alvi z Pakistanu, zamie-rzali przy jego użyciu ukarać wszystkich użytkowników nielegalnego opro-gramowania. Jednak od pewnego momentu malware stało się narzędziem przestępczości cybernetycznej. Złośliwy kod zaczął być pisany w celu zdo-bywania wrażliwych danych. Coraz częściej w kontekście robaków i wiru-sów mówi się o kradzieży przemysłowej i cyberterroryzmie, szczególnie gdy

95 3. Podaż i popyt na usługi cyfrowe w kluczowych obszarach życia

pojawiają się tak zagadkowe przypadki, jak robak Stuxnet wykryty w 2010 roku w irańskiej elektrowni atomowej, który przeprogramowywał instalacje; czy odkryty w maju 2012 roku Flame, potra iący kolekcjonować ogromne ilości danych; lub zidenty ikowany w czerwcu 2012 roku Gauss, infekujący urządzenia połączone bezprzewodowo za pomocą adapterów USB. Wszyst-kie wykorzystywały tę samą lukę. Według ekspertów z Kaspersky Lab, Flame działał od 4 lat, a kontrolująca go infrastruktura była przenoszona między kilkoma krajami i działała m.in. w Polsce. Serwery sterujące zarówno Flame, jak i Gaussem zostały wyłączone zaraz po wykryciu ich obecności. Złośliwe oprogramowanie bowiem często jest nadzorowane przez aplikacje serwero-we, decydujące np. kiedy i gdzie przesłać zbierane dane.

Denial of Service (DoS) to atak polegający na przeciążeniu aplikacji WWW, która w wyniku zbyt dużej liczby zgłoszeń nie może odpowiedzieć i odmawia wykonania usługi, czyli staje się niemożliwe wyświetlenie zawar-tości strony WWW. Distributed DoS (DDoS) to natomiast rozproszona od-mowa usługi, czyli atak ogromnej liczby zainfekowanych komputerów, które często z różnych stron świata wysyłają automatycznie żądanie. Do przepro-wadzenia takiego ataku zaangażowane są najczęściej komputery, nad który-mi przejęto kontrolę przy użyciu np. wirusa lub trojana. Atak wymaga koor-dynacji działania, zwykle na dany sygnał komputery zaczynają jednocześnie atakować system o iary, jaką najczęściej jest znana irma świadcząca usługi cyfrowe: bank, wydawca gazety lub właściciel znanej marki. Dwa razy w hi-storii celem ataku były główne serwery DNS.

Efektem przejęcia kontroli nad komputerem może być uczynienie z nie-go tzw. zombi. To komputer, na którym bez wiedzy jenie-go właściciela został zainstalowany program sterowany z zewnątrz przez inną osobę lub pro-gram. Celem jest zazwyczaj wykorzystanie komputera do działań sprzecz-nych z prawem, jak masowe wysyłanie spamu, łamanie hasła czy atak DDoS na serwer znanej irmy.

Według Security Threat Report, Polska zajmowała w 2007 roku 2 miejsce (11%) wśród krajów regionu EMEA (Europa, Bliski Wschód i Afryka) o naj-większej liczbie komputerów-zombie, wyprzedziły nas Niemcy (17%). Trzy polskie ośrodki: Warszawa, Katowice oraz Poznań, zajmowały kolejno 8, 9 i 10 miejsce wśród miast z największą liczbą komputerów-zombie. Pierwsze przypadło wtedy Madrytowi. W najnowszej wersji raportu (Internet Security Threat Report, 2013) Polska pojawiła się na dalszych pozycjach.

Oprogramowanie wykrywające i usuwające malware

Rozprzestrzenianie się zagrożenia sieciowego staje się tak szybkie, że co-raz mniej czasu pozostaje na jego wykrycie oco-raz znalezienie i rozpowszech-nienie szczepionki (Lech, Podgórski, 2008). Na świecie istnieje wiele irm

96 Usługi cyfrowe. Perspektywy wdrożenia i akceptacji...

oferujących oprogramowanie, które wyszukuje i usuwa malware oraz skutki jego działania. Są to często instytucje specjalizujące się w tym kierunku, jak Symantec, Eset czy Kaspersky, ale także znani producenci oprogramowania, jak Microsoft.

Produktami pomagającymi poradzić sobie ze skutkami złośliwego opro-gramowania są programy antywirusowe, zapory ogniowe ( irewall), antyspy-ware czy antyrootkit. Coraz częściej tworzy się pakiety zintegrowane łączące więcej funkcji. Im większa irma, tym szybciej jej produkt reaguje na ciągle pojawiające się zagrożenia. Z tego powodu pakiety oprogramowania anty-malware powinny być bardzo często aktualizowane, dotyczy to także baz zawierających de inicje (sygnatury) zagrożeń. Te ostatnie uaktualniane są nawet co kilka godzin.

Przed zagrożeniem związanym z rozsyłaniem zawirusowanych załączni-ków i spamu ochronić może iltr niedopuszczający maili podejrzanych o nie-bezpieczny załącznik lub treść. Problem spamu od pewnego czasu starają się zminimalizować dostawcy kont pocztowych, którzy zatrzymują wiadomo-ści z sekwencjami typowymi dla spamu. Firma Blue Security wprowadziła w 2006 roku innowacyjną metodę walki ze spamem, polegającą na śledzeniu jego źródeł i wysyłaniu do nadawców wiadomości z prośbą o zaprzestanie spamowania. Niestety, irma została zaatakowana i przestała istnieć – podej-rzewa się, że wskutek szantażu spamerów.

Działania pro ilaktyczne

Użytkowników usług cyfrowych od wielu kłopotów uchronić może nie tylko specjalne oprogramowanie, ale też wiedza o potencjalnych zagroże-niach, której efektem będzie unikanie pewnych zachowań. Ważne jest, by używać zawsze sprawdzonych produktów antymalware, które nie okażą się tzw. trojanami. Działania pro ilaktyczne mogą uchronić przed włamaniem do komputera i wynikającymi z tego konsekwencjami.

Kontrolę nad komputerem można przejąć poprzez wykorzystanie istnie-jących dziur, np. w systemach operacyjnych (służą do tego opisane exploity), albo poprzez zdobycie lub złamanie hasła użytkownika. Do zdobycia hasła czasami wystarczy odpowiednie prowadzenie rozmowy lub właściwie zre-dagowany e-mail, czyli zastosowanie inżynierii społecznej. Polega ona na na-kłonieniu nieświadomego użytkownika do podania wrażliwych lub tajnych informacji, np. hasła. Przykładem takiego działania jest phishing23, czyli kra-dzież tożsamości poprzez pozyskanie poufnej informacji osobistej, jak

ha-23 Sformułowanie powstało ze skrzyżowania słowa ishing (wędkowanie) z frazą

personal data (dane personalne). Inne źródła tłumaczą ten termin jako password harvesting ishing (łowienie haseł).

97 3. Podaż i popyt na usługi cyfrowe w kluczowych obszarach życia

sła do kont na komputerach lub serwisach internetowych, kodów dostępu do systemu bankowego czy numerów kart kredytowych wraz z wszelkimi informacjami potrzebnymi do przeprowadzania operacji inansowych. Pier-wotnie, w latach 90. XX wieku phiszerzy włamywali się na konta AOL tylko po to, aby surfować za darmo w sieci. Obecnie skutkiem jest podszywanie się pod właściciela konta lub karty w celu zakupu towaru lub usługi, sprzedania na e-aukcji nieistniejącego towaru, a także dokonania e-przelewu.

Jedna z form phishingu polega na tworzeniu fałszywych wiadomości e-mail i witryn WWW, które wyglądają identycznie jak serwisy internetowe irm znanych marek (często banków), aby skłonić klientów do podania nu-meru karty kredytowej lub informacji o koncie bankowym. Często ich adres sugeruje, że strona nie jest właściwa, ale możliwe okazuje się też ukrycie go przez stosowanie technik spoo ingu, czyli fałszowania podstawowych usług oraz protokołów sieciowych. IP spoo ing polega na fałszowaniu źródłowego adresu IP w wysyłanym przez komputer pakiecie sieciowym, np. w przypad-ku ataków DoS, w celu ukrycia ataprzypad-kującego. DNS spoo ing (pharming) to pod-miana odpowiedzi serwera DNS, a URL spoo ing – sfałszowanie adresu URL w pasku adresu przeglądarki internetowej, czyli w tych wypadkach o iara wi-dzi adres oryginalnej strony, choć się na niej nie znajduje.

Do złamania hasła wykorzystywane są także specjalne programy (crac-kery) dokonujące ataku słownikowego lub brutalnego. Atak słownikowy po-lega na podawaniu wyrazów w danym języku, z tego powodu hasłem nigdy nie powinno być słowo z jakiegokolwiek słownika. Atak brutalny lub siłowy to próby podawania ciągów znaków w dowolnych kombinacjach. Istnieją 728

możliwości hasła 8-znakowego mogącego składać się z małych i wielkich li-ter, cyfr oraz 10 znaków specjalnych. System łamiący, działający na szybkim komputerze, jest w stanie sprawdzić w czasie jednej sekundy nawet kilkaset tysięcy kombinacji, ale zamierzony efekt może osiągnąć po kilkudziesięciu la-tach. Realne okazuje się wykorzystanie do tego celu wielu komputerów two-rzących grid obliczeniowy (czasem bez wiedzy ich właścicieli), co znacznie skróci czas potrzebny na odkrycie hasła.

Włamania można uniknąć poprzez zakładanie kont użytkownika na każ-dym komputerze, także domowym, i ustalanie haseł trudnych do złamania. Ważne jest uaktualnianie przede wszystkim systemu operacyjnego, jak rów-nież innych programów oraz instalowanie łat, szczególnie gdy istnienie dziu-ry zostało nagłośnione w mediach. Pożyteczne staje się też odinstalowywa-nie odinstalowywa-nieużywanych dawno programów, bo potencjalodinstalowywa-nie mogą być w nich luki, których już nikt nie naprawia. Można także obserwować pracę sieci i proce-sora, by zareagować, gdy mimo bezruchu procesor działa na 90%. Najważ-niejsze pliki z wrażliwymi danymi powinno się szyfrować, aby uniemożliwić do nich dostęp obcym osobom w wypadku włamania do komputera. Wszyscy dostawcy usług cyfrowych powinni informować o tym swoich klientów.

98 Usługi cyfrowe. Perspektywy wdrożenia i akceptacji...