Fórum '99/11-12.

ZMNE honlapra
Tartalom

INFORMATIKA
AZ EGYETEMEN



TÁMADÁSOK AZ INTERNETEN KERESZTÜL

I. rész

A VÍRUSOK

BEVEZETÉS

Az Internet használata lassan hozzátartozik hétköznapi tevékenységeinkhez. Ma már szinte mindenkinek lehetõsége van arra, hogy vagy az iskolából, vagy a munkahelyrõl, vagy nem utolsó sorban otthonról elérje a világhálót. Mindezek mellett egyre többen csatlakoznak az Internetre - naponta akár több ezren is -, ennek köszönhetõen a háló lassan mindenhová elér. A hálóra csatlakozik már minden olyan vállalat, intézmény, vállalkozás, amelyik nem akar lemaradni a fejlõdésben. Ennek köszönhetõen szinte már mindenhova el lehet jutni az Internet segítségével. Így lehetõségünk van arra, hogy otthon a karosszékünkben ülve látogatást tegyünk egy múzeumban, sétáljunk egy város utcáin, vagy elmenjünk egy áruházba és megvegyük a nekünk tetszõ árucikkeket.

Az Internet tehát kitágítja részünkre szinte az egész világot, megkönnyíti az ismeretszerzést, a tanulást és természetesen a szórakozásnak is ragyogó forrása. Az óriási elõnyök mellett a világhálóra való csatlakozásnak vannak árnyoldalai is. Az Internet használata veszélyekkel járhat, ami abból fakad, hogy a kiépített hálózaton keresztül nem csak mi tudunk eljutni akárhova, hanem akárhonnan be is léphetnek a mi hálózatba kapcsolt gépünkre.

Erre a veszélyre sokan sajnos nem is gondolnak akkor, amikor leülnek a gépük elé. Ezért fontos felhívni a figyelmet, hogy legyünk felkészülve arra, az Interneten keresztül nem csak az juthat el hozzánk, amit mi akarunk, hanem az is, amit más (nem feltétlenül jóakaratú) akar eljuttatni.

Az Internet használatának a veszélyeire és a védekezés lehetõségeire hívja fel az olvasó figyelmét ez a három részbõl álló cikksorozat.

A sorozat elsõ részének témája a számítógépes vírusok felépítése, csoportosítása és a vírusfertõzés elkerülésének lehetõségei.
A második részé a hálózati veszélyforrások, támadások, okozott károk és a védelem megvalósításának különbözõ lehetõségei.
A harmadik részben néhány adatvédelmi lehetõséget ismerhet meg az érdeklõdõ.



A VÍRUSOK TÖRTÉNETE

A számítógép-vírusok megjelenése egybeesik a számítógép megjelenésével, hiszen már a hetvenes években, a mai értelemben vett számítógép kifejlesztésének idején írtak programokat, amelyek tartalmaztak olyan utasításokat, amik szándékosan rongáltak, illetve hibákat okoztak. Az ilyen programok kifejlesztésével az volt a készítõk célja, hogy teszteljék a számítógép terhelhetõségét. A hétköznapi ember azonban sokáig nem találkozhatott, de még csak nem is hallott arról, hogy léteznek más vírusok is, mint a már megszokott és évente több millió embert ágynak döntõ influenza vírusok. Ezen nem lehet csodálkozni, hiszen sokáig a csúcs gép a ZX Spektrum, vagy a Commodore volt, amire elég nehéz lett volna vírust telepíteni. A számítástechnika azonban rohamosan fejlõdött, megjelentek az Intel x86-os processzorai, és velük a nagyobb memóriák és tároló eszközök. Ezzel felvirradt a vírusok hajnala is. Szakértõk szerint napjainkra az ismert víruscsaládok száma meghaladja a 10-20 ezret, és a parazita programok köre egyre bõvül.

Az elsõ - IBM-PC-re íródott - vírusok közé tartozott az 1986-ban megjelent Brain (magyarul: agy). Ez a számítógép boot szektorát fertõzte meg. A boot szektorban találhatók a számítógép alapbeállításai, ezért a fertõzés után elõfordult, hogy a bekapcsolást követõen a gép nem ismerte fel némelyik meghajtót, vagy megváltoztatta a fájlok neveit, azok méretét.

De mik is azok a számítógépvírusok? Olyan parazita programok, amelyek önállóan képesek szaporodni, azaz magukat sokszorosítani. Létezésük sohasem a véletlen mûve, hanem egy elõre megfontolt programozói tevékenységnek a végeredménye. Általában az alapvetõ tevékenységük saját maguk elterjesztése, de némelyikben van olyan kódrészlet, amit valamilyen jelenség elõidézésére programoznak. Léteznek olyan vírusok, amelyek csak valamilyen ártalmatlan csínyt követnek el, de vannak olyanok is - sajnos elég sokan - amelyek feladata a teljes adatmegsemmisítés. Egy biztos, akármilyen ártalmatlan is egy vírus, valamilyen kárt mindenképpen okoz.



A VÍRUSOK FELÉPÍTÉSE

Minden vírus általában három alapvetõ részbõl áll:

1) reprodukciós rész;

2) mûködésbe lépés feltétele;

3) utasítás sorozat (objektív rutin).

A reprodukciós rész a vírus legfontosabb része, mert ez az, ami terjed, azaz megkeres olyan programokat vagy alkalmazásokat, amelyekbe be tudja írni magát.

A mûködésbe lépés feltétele számos dolog lehet. Például: az év megadott napja, minden hónap egy konkrét napja, a nap valamelyik órája, valamilyen alkalmazás elindítása, esetleg egy billentyûkombináció, stb.

Az utasítás sorozat, az ún. objektív rutin határozza meg azt, hogy hogyan rongáljon a vírus.



A VÍRUSOK CSOPORTOSÍTÁSA

A számítógépes vírusokat a szakemberek többféle szempont szerint szokták csoportosítani. Az egyik ilyen szempont lehet, hogy milyen a vírusok terjedési típusa, vagyis az, hogy a rendszerünk melyik elemét szemelik ki szaporodásuk közegének. A másik szempont a vírusok a tulajdonságainak milyensége, vagyis az, hogy hogyan képesek magukat elrejteni, megnehezíteni azonosításukat.

A vírusok csoportosítása a fertõzésközvetítõ

elem szerint

A megtámadott rendszerelemeket figyelembe véve négy vírustípust szokás megkülönböztetni:

- boot szektor vírus;

- állományvírus (file vírusok);

- társult (companion) vírus;

- makróvírus.

Ezeken kívül egyes médiákban már hírül adták, hogy megjelentek a Windows scripteket fertõzõ vírusok, és az Interneten fertõzõ munkát kifejtõ úgynevezett html férgek (worm). Ezek valószínûleg a számítógépes paraziták új csoportját fogják majd alkotni.

Boot szektor vírusok

Mint azt márt fentebb említettük, az elsõk közé számító számítógépvírus, a Brain is ehhez a csoporthoz tartozott. Ezek a vírusok a hajlékony- és a merevlemeznek azt a szektorát támadják, amely az operációs rendszerre, illetve az állományokra vonatkozó információkat tartalmazza. Csak akkor aktivizálódnak, amikor az operációs rendszert (DOS, OS/2, Windows), a számítógép elindulásakor, a boot szektorból betöltjük, kiolvasni az alapbeállításokat. Fertõzött rendszer indulásakor a vírus a memóriába kerül, majd mikor hajlékony lemezt (floppy) teszünk a meghajtóba, megfertõzi annak boot szektorát.

Manapság ezek ellen a vírusok ellen elég jól tudunk védekezni, mert már csak nagyon ritkán indítjuk a számítógépünket hajlékonylemezrõl, vagy a legtöbb esetben ezt ki is kapcsoljuk. Emellett a számítógép BIOS-ában beállítható a boot szektor írásvédelme is, így a fertõzõdés veszélye is kisebb.

Állományvírusok

A vírusoknak ez a csoportja a programfájlokat fertõzi meg, de elsõsorban a COM, EXE és BAT kiterjesztésû programokat veszik célba. Ezekbõl a vírusokból van a legtöbb, ezek a legelterjedtebbek. A fertõzött program futtatásakor átmásolják önmagukat, és képesek akár merevlemezünk tartalmának megsemmisítésére is.

Kezdetben csak a COM fájlokat fertõzték, de hamarosan megjelentek az EXE és a BAT fájlokat fertõzõk is. Két fajtájuk van. Az egyik egyszerûen felülírja az eredeti programot, vagyis tönkreteszi azt, a másik - az intelligensebb változat - a program végéhez fûzi hozzá magát, és a fájl elején található utasításokat módosítja. Így a program indításakor õrá kerül a vezérlés. Ezek ellen tudunk a legnehezebben védekezni.

Társult vírusok

A társult (companion) vírusok a DOS parancs-végrehajtási láncának egyik speciális részletét használják fel. Abban az esetben, amikor egy programot el akarunk indítani, a legtöbb esetben csak a nevét gépeljük be, a kiterjesztést csak nagyon ritkán. Ekkor az operációs rendszer egy, a paranccsal azonos nevû és COM kiterjesztésû programot keres. Amennyiben ilyent nem talál, akkor elõször EXE, majd BAT kiterjesztésûekkel folytatja a keresést. Amelyiket elõbb találja meg, azt futtatja le. Ezt használja ki a vírus azzal, hogy COM kiterjesztéssel odamásolja magát a megfertõzendõ - általában EXE kiterjesztésû - program elé, így az eredeti program elõtt aktivizálódik.

A társult vírusok másik típusa a PATH környezeti változóban megadott könyvtárak közül valamelyikbe - a megfertõzendõ program könyvtáránál elõbb szereplõbe - másolja be magát. A DOS ugyanis abban az esetben, amikor a megadott parancs szerinti programot nem találja az aktuális könyvtárban, akkor a PATH-ban megadott könyvtárak sorrendjében kezdi el a keresést. Ha a vírus elõbb van, mint a programunk, akkor az fog lefutni.

Ezekkel a módszerekkel a megfertõzni kívánt programhoz hozzá sem kell nyúlni, ezért sokkal tovább észrevétlen tud maradni a vírus, ami nagyon megnehezíti az ellenük való védekezést.

Makróvírusok

A Windows '95 megjelenéséig már több ezer COM és EXE fájlt megtámadó vírus szabadult rá a számítógépekre. A DOS használatának fokozatos visszaszorulásával azonban már azt képzelték az optimistábbak, hogy a számítógépvírusok ki fognak halni. Ekkor derült égbõl villámcsapásként ért mindenkit a Microsoft Word és Excel dokumentumokat megfertõzõ, és az ott alkalmazott utasítássorozatokkal terjedõ makróvírus.

Népszerûségüket annak köszönhetik, hogy a Microsoft a programjaiba beépített egy, a felhasználókat segítõ programozási nyelvet az un. makró nyelvet. Ezzel a programozási nyelvvel könnyen tud a felhasználó valamilyen hasznos programot írni, de sajnos ez kiváló környezet a makróvírusok fejlesztésére is, sõt még egyszerûbb is, mint a hagyományos programozási nyelveken. A makróvírusok az adatfájlokat fertõzik meg, és ez eddig ismeretlen jelenség volt. Mindezek mellet nem csak a PC-ken, hanem a Macintoshon is képesek voltak terjedni. A gyors elterjedésüket segíti az a tény, hogy a dokumentumok cseréje napjainkban sokkal gyakoribb, mint a programállományoké, másrészt a Microsoft presztízs okokból sokáig nem merte elismerni, sõt tagadta a makróvírusok létének tényét. Veszélyességüket növeli, hogy manapság rengeteg anyag készül Word vagy Excel formátumban, amiknek az elvesztése komoly veszélyeket rejt magában.

Ezek a vírusok egy vagy több makróból állnak, legtöbbször tartalmaznak egy autómakrót, ami arra kell, hogy aktivizálódhassanak a fertõzött állomány megnyitásakor. Az elsõ generációs makróvírusok kihasználták azt a lehetõséget, hogy a Normal.dot nevû sablonállomány korlátlanul módosítható. A megváltoztatott sablonú dokumentumot egy másik gépen megnyitva, ott is módosul a Normal.dot, ezzel beépül a vírust terjesztõ mechanizmus. Készültek már trójai faló makróvírusok is, ezek a fertõzött dokumentum megnyitásakor DOS parancsokat próbálnak meg végrehajtani, alkalmasint nekilátnak leformázni a merevlemezt.

A makróvírusok függetlenek a Word verziójától, mert a 6.0 óta a makrónyelv szinte változatlan. Az Excel dokumentumokkal is terjedhetnek a makróvírusok. Ezek hasonlóan mûködnek, mint a Word vírusai.

Az igazi problémát azonban az jelenti, hogy megszülettek az elsõ olyan szoftvercsomagok, amelyek futószalagon képesek makróvírusokat gyártani. E programok kétszeresen is veszélyesek. Egyszer azért, mert bármiféle programozási tudás nélkül nagyüzemileg onthatók az új vírusok. Másodszor azért, mert az így elkészített vírusok alapos elemzésnek vethetõk alá, ami sok segítséget nyújthat egy kezdõ vírusíró számára.

Script vírusok

Ez egy új nemzetsége a vírusok törzsfejlõdésének. A HTML oldalak nézegetésével szabadulhatnak a gépünkre. A JavaScriptek, AktivX alkalmazások, amiket HTML oldalakba szúrnak be, azért hogy a web lapokat vonzóbbá, látványosabbá tegyék (térhatású grafikák, egyéb meghökkentõ megoldások). Ezek a gépünkön futnak, és hozzáférnek merevlemezünkhöz, így alkalmasak arra, hogy rongáljanak, letöröljenek adatokat gépünkrõl, elküldjenek állományokat bizonyos címekre, stb. a tudtunkon kívül.

Internet férgek

Az elektronikus levelezéseink (e-mail) során gyakran elõfordul, hogy csatolunk a levelünkhöz valamilyen állományt. A féreg is így egy e-mail-hez csatolt fájlként érkezik hozzánk úgy, hogy a levél küldõje nem tud arról, hogy a féreg is csatolta magát a levélhez. A levélhez csatolt fertõzõ melléklet végrehajtása után telepíti magát a rendszerbe. Ezután elfogja az Internetre küldött elektronikus leveleinket, és mellékletként hozzájuk csatolódik, így megfertõzi mindazokat a rendszereket, amelyekkel levelezésben állunk.

Az elektronikus levélben létezik még egy vírusfajta, vagy inkább álvírus. Az álvírusokat tréfáskedvû Internetezõk indítják el a hálózaton. Ez nem más, mint egy kitalált vírusra való figyelmeztetés. A vírus maga nem létezik, de a felhasználók, akinek tehetik, figyelmeztetõ levelet küldenek, így maga a levél válik vírussá. Hiszen vírusnak az számít, ami önmagát tudja sokszorosítani, és terjedni képes. Ennek a károkozó hatása abban rejlik, hogy a rengeteg feleslegesen elküldött levél terheli a levelezõ rendszert, a legrosszabb esetben azok le is állhatnak.


A vírusok csoportosítása a fertõzési módszerek szerint

Memóriában elrejtõzõ

A fertõzött program lefutásakor a vírus a memóriába írja be magát, és ott is marad, míg a gép be van kapcsolva. Ezután minden olyan állományt megfertõz, amit a memóriába való befészkelése után elindítanak. Az ilyen parazitákat hívjuk rezidens vírusoknak.

Közvetlen tevékenységû

Az ebbe a körbe tartozó vírusok az aktiválásuk után adott számú állományt fertõznek meg, majd visszaadják a vezérlést a gazdaprogramnak.

Idõzített bombák

A vírusoknak van olyan típusa, amely csak egy bizonyos lappangási idõ után kezdi el a fertõzést. Hogy mennyi ideig tart ez az inaktív idõszak, azt a vírus programozója határozza meg. Általában valamilyen feltétel hatására aktivizálódik a vírus. Az ilyen feltétel sokféle dolog lehet: egy konkrét idõpont, dátum (pl. a csernobili tragédia évfordulója, április 26-a), valamilyen esemény (pl. egy konkrét program elindítása), indítási szám, stb. Ha a feltétel teljesül, a vírus aktivizálódik, és különbözõ tevékenységet folytat, ez lehet valamilyen "jópofa" program lefuttatása (pl. tûzijáték a monitorunkon), adatmegsemmisítés, adatmegrongálás, a merevlemez formázása, stb.

Lopakodó vírus

A vírusok számára a legfontosabb, hogy el tudjanak rejtõzni a felhasználó és a víruskeresõ programok elõl. A felhasználó a programok méretváltozását, és az új állományok jelenlétét észlelheti. Ez ellen a DOS könyvtárlistázó megszakításának lecserélésével lehet védekezni. Egy víruskeresõ program az állomány tartalmának megváltozását, vagy benne a vírust észlelheti. Egy lopakodó vírus képes akár egy fertõzött fájlt eredetinek feltüntetni azzal, hogy lemezolvasási kéréseket figyel és fog el, majd hamis információkat szolgáltat a rendszerrõl. Ezzel a módszerrel el lehet tüntetni a lezajlott változásokat, a fertõzés tényét és mértékét.

Polimorf vírus

A polimorf vírus minden fertõzése különbözõ, ezzel azt akarja elérni, hogy a vírusazonosító keresõkód alkalmazásával keresõ vírusirtókat kijátsza. Generációról generációra képesek a végrehajtási kódjukat, de sokszor még a mûködésüket is megváltoztatni. Nem ritka az sem, hogy akár fertõzésrõl fertõzésre is megváltozik a megjelenési kódjuk. Létezik olyan kódolást végzõ ún. generátor, ami képes a vírus megjelenését annyira átkódolni két elõfordulás között, hogy csak egy byte marad változatlan. Ezzel eléri azt, hogy nem lehet keresõmintát készíteni a felderítésére, hanem valamilyen más módszert kell alkalmazni.

Retrovírus

A retrovírus valamilyen konkrét alkalmazásra, vagy alkalmazásokra specializálódott vírus. Az ilyen alkalmazások általában az ismert vírusirtó programok lehetnek. A vírus azt a módszert használja, hogy megsemmisíti a kiválasztott programot, esetleg lefagyasztással, vagy más módszerrel megakadályozza annak mûködését, de gyakran átírja az antivírus programot úgy, hogy az ne ismerje fel õt.

A vírusoknak a fenti csoportosítása nem jelenti azt, hogy egy vírust csak az egyik csoportba lehet besorolni. A vírusok saját védelmük és a mi életünk megkeserítése érdekében a különbözõ elemek kombinációit alkalmazhatják, azaz egyszerre fertõzhetik a boot szektort és az állományokat, miközben rejtõzködnek, lopakodnak és mutálódhatnak is.



ÖSSZEGZÉS

A sok vírustípus számbavétele után felvetõdik az a kérdés, hogy van-e egyáltalán ellenük biztos védelem. Erre a válaszunk az, hogy nem létezik abszolút biztonság a vírusok ellen, de a fertõzés valószínûségét sikerülhet elfogadhatóan alacsony szinten tartani. Ehhez feltétlenül védekezésre van szükség, mert a védekezés elhanyagolása esetén szinte teljesen biztos, hogy a rendszerünk károkat fog szenvedni.

A védekezésben az elsõ számú akadálynak az operációs rendszernek kellene lennie. Sajnos a Microsoft DOS, Windos'95 és Windows'98-as operációs rendszere ezen a téren még elég fejletlen. A másik ismert, és az ingyenes terjesztése miatt egyre népszerûbb operációs rendszer a Linux, valamivel jobban ellátja ezt a feladatát. Sokáig nem is lehetett hallani olyan vírusról, ami a Linuxban terjedt volna, de most, hogy már olyan sokan használják, már vették a fáradtságot a víruskészítõk, hogy erre az operációs rendszerre is elkészítsék az elsõ vírusokat.

A vírusfertõzés elkerülésének alapszabályai

1. Legyen megbízható mentési (backup) rendszerünk, amely rendszeresen elmenti az állományokat.

2. Lássunk el írásvédelemmel minden floppy lemezt. Így a vírus nem tudja megfertõzni a lemezt, illetve vírus fertõzés esetén képesek leszünk arról újra installálni a programjainkat.

3. Minden hozzánk érkezett új fájlt ellenõrizzünk vírus ellen. Az ellenõrzés terjedjen ki az Internetrõl letöltött, illetve újságmellékletben szereplõ szoftverekre is.

4. Még akkor is szakítsunk idõt vírusellenõrzésre, ha biztosak vagyunk abban, hogy a forrás megbízható.

5. Vásároljunk, vagy ha tehetjük, töltsünk le az Internetrõl jó antivírus szoftvercsomagot, és azt rendszeresen frissítsük.

Felhasznált irodalom

Pulai, Sziklássy, Tóth, Udvaros: Védd magad az Interneten
Kossuth Kiadó RT., 1997.

Pozsár Erika: Internet és társadalmi viszonyok
Budapest, 1997. április
http://chiara.csoma.elte.hu/~pera/internet/ossze.html

Pásztor Miklós: Fenyegetettség és védekezés a hálózaton
http://www.iif.hu/~pasztor/feny.html

eNTi Szoft: Vírusvédelem
http://entiszoft.vac.hu/vvframe.htm

K.I.: Vírusok a számítógépen (2.)
Computer Technika, 1998. december 15.
http://www.comptech.hu/V40/muhely.htm

Philip Zimmermann: Pretty Good Privacy Nyilvános kulcson alapuló titkosítás a tömegek számára
http://www.mek.iif.hu/porta/szint/muszaki/szamtech/wan/biztonsa/pgp.hun

Ferenczy Gábor