1 Προστασία από Κακόβουλο Λογισµικό

1 Προστασία από Κακόβουλο Λογισµικό 1.1 Κακόβουλο Λογισµικό (Malware) Πρόκειται για προγράµµατα (κώδικας) που αποσκοπούν σε επιθέσεις κατά της Εµπιστευτικότητας, της Ακεραιότητας ή/και της ιαθεσιµότητας των συστηµάτων. Για την εγκατάσταση (µόλυνση) ενός κακόβουλου λογισµικού σε έναν Η/Υ, συνήθως απαιτείται η ανθρώπινη συµµετοχή: άµεση (π.χ. ανταλλαγή αρχείων, άνοιγµα συνηµµένων ή προεπισκόπηση µηνυµάτων αλληλογραφίας αµφιβόλου προέλευσης) ή έµµεση (ανεπαρκής προστασία του υπολογιστή, µη λήψη ενηµερωµένων εκδόσεων updates του λογισµικού ασφαλείας και των προγραµµάτων). Το τµήµα του κώδικα που είναι υπεύθυνο για τις παρενέργειες του λογισµικού ονοµάζεται φορτίο (payload). Εκτός από τις παρενέργειες, το κακόβουλο λογισµικό περιλαµβάνει επιπλέον κώδικα µε σκοπό την: Αναπαραγωγή του: Εξάπλωση του στο σύστηµα που προσβάλλει («µόλυνση» από πρόγραµµα σε πρόγραµµα). Μετάδοση του: Εξάπλωση του από το σύστηµα που µολύνθηκε σε άλλο/άλλα συστήµατα (π.χ. από Η/Υ σε Η/Υ) Ιστορικά Στοιχεία F. Cohen, Computer Viruses, ASP Press, 1985. «program that can 'infect' other programs by modifying them to include a... version of itself» 1986: Brain 1987: Christmas Card, Jerusalem 1988: The Internet Worm 1992: Michelangelo 1994: Good times (hoax) 1995: Μακρο-ιοί 1999: Melissa 1998: Chernobyl 2000: ILOVEYOU 2003: Slammer, Blaster, http://www.f-secure.com/weblog/archives/maldal.jpg 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm Εγκατάσταση στην κατάλληλη περιοχή. Όλα τα είδη κακόβουλου λογισµικού, ανεξαρτήτως του φορτίου τους, έχουν ορισµένα κοινά χαρακτηριστικά. Για παράδειγµα, ένα κακόβουλο λογισµικό συνήθως προσπαθεί: 1. Να εγκατασταθεί στην κατάλληλη περιοχή, ώστε το φορτίο του να εκτελείται µια φορά, συχνά ή πάντα. Η πλέον συνήθης τακτική είναι η δηµιουργία µιας

εγγραφής στο µητρώο του συστήµατος, π.χ. στη θέση ΗKLM\Software\Microsoft\ Windows\CurrentVersion\Run, 2. Nα εγκατασταθεί στην κατάλληλη περιοχή ώστε η εκτέλεση του να µην είναι ανιχνεύσιµη, 3. Να εγκατασταθεί στην κατάλληλη περιοχή ώστε η αφαίρεση του να είναι δύσκολη. Όπως θα δούµε και στη συνέχεια, συχνά ένα κακόβουλο λογισµικό έχει τη δυνατότητα να πραγµατοποιεί επιθέσεις κατά της διαθεσιµότητας του λογισµικού Antivirus π.χ. αλλαγή στο αρχείο C:\WINDOWS\SYSTEM32\ DRIVERS\ETC\hosts και εισαγωγή µιας «ψεύτικης» IP διεύθυνσης στη θέση της διεύθυνσης διακοµιστή ενηµέρωσης στο Web, ώστε το πρόγραµµα να µη µπορεί να ενηµερώνεται µε τις «υπογραφές» των πιο πρόσφατων ιών. 1.1.1 Κατηγοριοποίηση & Παρενέργειες Κακόβουλων Προγραµµάτων Στην ενότητα αυτή παρουσιάζουµε µια ταξινοµία των κακόβουλων προγραµµάτων µε βάση τον τρόπο λειτουργίας τους. Ιός (virus). Κακόβουλο λογισµικό το οποίο αφού µολύνει έναν Η/Υ έχει την ικανότητα να αναπαράγεται και να µολύνει άλλα προγράµµατα στον Η/Υ-ξενιστή. Η µετάδοση του σε άλλους Η/Υ µπορεί να γίνεται αυτόµατα (να έχει δηλαδή τα χαρακτηριστικά ενός Σκουληκιού Worm) ή να απαιτεί ανθρώπινη παρέµβαση (π.χ. αντιγραφή ενός αρχείου σε USB flash disk και άνοιγµα του αρχείου σε κάποιον Η/Υ). O Fred Cohen, to 1985 (F. Cohen, Computer Viruses, ASP Press, 1985) περιέγραψε έναν ιό ως «. ένα πρόγραµµα το οποίο µολύνει άλλα προγράµµατα τροποποιώντας τον κώδικα τους ώστε να περιλαµβάνουν µια έκδοση του εαυτού του». Σηµείωση: Από τη βιολογία, γνωρίζουµε ότι ένας ιός δεν είναι αυτόνοµη οντότητα, δηλαδή δε µπορεί να επιβιώσει από µόνος του. Εποµένως, προσκολλάται σε άλλες αυτόνοµες οντότητες (προγράµµατα). Σκουλήκι (Worm). Κακόβουλο λογισµικό το οποίο, αφού µολύνει έναν Η/Υ, έχει την ικανότητα να µεταδίδεται αυτόµατα, κάνοντας χρήση της υπάρχουσας δικτυακής υποδοµής (π.χ. Τοπικά ίκτυα - ίκτυα WAN) ή/και των υπηρεσιών του Internet (IRC chat, e-mail, newsgroups, κ.λ.π). ούρειοι Ίπποι (Trojan Horses). Κακόβουλο λογισµικό στο οποίο είναι εγγενές το στοιχείο της παραπλάνησης, καθώς συνήθως µεταµφιέζεται σε µια (καθ όλα) χρήσιµη εφαρµογή, η οποία όµως περιέχει κακόβουλο κώδικα. Στην πιο κλασσική των περιπτώσεων, ένα Trojan δηµιουργεί µια κερκόπορτα (backdoor) στο σύστηµα, στην οποία ο επιτιθέµενος θα µπορέσει αργότερα να συνδεθεί ώστε να διαχειριστεί εξ αποστάσεως το σύστηµα. Τις περισσότερες φορές τα trojans δεν έχουν µολυσµατικό χαρακτήρα, δηλαδή δεν αναπαράγονται και για αυτό το λόγο δεν χαρακτηρίζονται επισήµως ως ιοί. Spyware Adware. Κακόβουλο λογισµικό µε χαρακτηριστικά που πλησιάζουνεντάσσονται στις λειτουργίες ενός ούρειου Ίππου (κυρίως ως προς τον τρόπο 2

µόλυνσης), µε σκοπό την παρακολούθηση - υποκλοπή ευαίσθητων δεδοµένων (spyware), ή την αποστολή ανεπιθύµητων διαφηµιστικών µηνυµάτων (adware). Αναφέρονται ως µέλη της ίδιας κατηγορίας, καθώς συνήθως συνεργάζονται για να πετύχουν τον σκοπό τους (π.χ παρακολούθηση της αγοραστικής συµπεριφοράς κατά την περιήγηση στο Web και στη συνέχεια αποστολή-εµφάνιση διαφηµιστικών µηνυµάτων). Rootkits. Όπως φαίνεται από την ονοµασία τους, ένα rootkit είναι κακόβουλο λογισµικό το οποίο λειτουργεί σε πολύ χαµηλό επίπεδο στο Λ.Σ., και συνήθως ενσωµατώνει λειτουργίες απόκρυψης - stealth ώστε να παρακάµπτει τους µηχανισµούς πρόληψης και ανίχνευσης, όπως firewalls και antivirus. Ένα λογισµικό rootkit µπορεί να ανήκει σε οποιαδήποτε από τις ως άνω κατηγορίες, ωστόσο συνήθως ανοίγει κερκόπορτες (backdoors) που θα επιτρέψουν τη µετέπειτα αποµακρυσµένη διαχείριση του ξενιστή από κάποιον τρίτο. Βots zombies. Κακόβουλο λογισµικό που προσβάλλει Η/Υ καθιστώντας τους µέλη ενός δικτύου Η/Υ (botnet) που ελέγχεται εξ αποστάσεως από τρίτους, µε σκοπό την πραγµατοποίηση Κατανεµηµένων Επιθέσεων Άρνησης Εξυπηρέτησης (DDOS attacks), δηλαδή επιθέσεων κατά τις οποίες ένας (συνήθως µεγάλος) αριθµός µολυσµένων υπολογιστών προσπαθεί να συνδεθεί στον Η/Υ-στόχο µέσω δικτύου. Ο όρος «bot», προέρχεται από την (Τσεχικής προέλευσης) λέξη «robota» και χρησιµοποιείται για να περιγράψει κάθε είδους αυτοµατοποιηµένη διαδικασία (π.χ. τα γνωστά IRC bots). Ένας Η/Υ που έχει µολυνθεί από ένα bot συχνά αναφέρεται ως «zombie». Οι Η/Υ zombies µπορεί να χρησιµοποιηθούν για επιθέσεις DOS σε εξυπηρετητές Web, για την αποστολή µηνυµάτων spam, για την πραγµατοποίηση επιθέσεων παραπλάνησης (phishing) κ.λ.π. Σήµερα: Κακόβουλο λογισµικό It is estimated that approximately 150 to 200 viruses, Trojans, and other threats emerge every day.(πηγή: McAfee AVERT Labs, 2007) Κακόβουλο Λογισµικό Τρόποι µόλυνσης. Η διαδικασία της µόλυνσης-µετάδοσης συνήθως εκτελείται µε έναν από τους ακόλουθους τρόπους: 3

Μέσω Ηλεκτρονικής Αλληλογραφίας. Το κακόβουλο λογισµικό βρίσκεται συνηµµένο σε ένα µήνυµα ηλεκτρονικής αλληλογραφίας. Η αποστολή του µηνύµατος µπορεί να είναι είτε ηθεληµένη από κάποιον τρίτο, είτε ως αποτέλεσµα αυτόµατης µετάδοσης (π.χ. mail Worm). Μέσω αφαιρούµενων αποθηκευτικών µέσων (floppy, CD, DVD, USB disks, zip,..). Ο τρόπος αυτός µόλυνσης ήταν και είναι ο πλέον δηµοφιλής στην κατηγορία των κλασσικών ιών. Μέσω Web (εκτελέσιµος κώδικας ενσωµατωµένος σε σελίδες html). Οι κίνδυνοι στο Web (εκτελέσιµος κώδικας) θα µας απασχολήσουν στη συνέχεια της παρούσας ενότητας, καθώς και στην Ενότητα 5. Μέσω άλλων υπηρεσιών διαδικτυακής επικοινωνίας. Υπηρεσίες συνοµιλίας σε πραγµατικό χρόνο (Instant messengers, Internet telephony, video conferencing, IRC clients) υπηρεσίες Οµάδων Συζήτησης (newsgroups), προγράµµατα ανταλλαγής αρχείων (Peer to Peer) κ.λ.π Μέσω ικτύων (LAN, WAN). Το κακόβουλο λογισµικό (π.χ. τύπου Worm) εκµεταλλεύεται ευπάθειες δικτυακών πρωτοκόλλων, υπηρεσιών, εφαρµογών και δικτυακών λειτουργικών συστηµάτων ώστε να µεταδίδεται αυτόµατα µέσω τοπικών δικτύων ή ικτύων Ευρείας Περιοχής που εκτελούν την οικογένεια πρωτοκόλλων TCP/IP. Παραδείγµατα αποτελούν οι επιθέσεις υπερχείλισης καταχωρητή (buffer overflow) τις οποίες χρησιµοποιούν αρκετά Worms για να εξαπλωθούν. Επίσης, η κοινή χρήση αρχείων, εγγράφων και φακέλων σε τοπικά δίκτυα, διευκολύνει την εξάπλωση του κακόβουλου λογισµικού (όλων των κατηγοριών). Σε ένα παρεµφερές σενάριο, το κακόβουλο λογισµικό αντιγράφει τον εαυτό του στους φακέλους µε τα διαµοιραζόµενα (shared) αρχεία που χρησιµοποιούν οι εφαρµογές ανταλλαγής αρχείων (P2P). Παρενέργειες. Οι παρανέργειες του φορτίου (payload) ενός κακόβουλου λογισµικού ποικίλλουν: Eνοχλητικά µηνύµατα, διαφηµίσεις κ.λ.π (σχετική κατηγορία: adware) Επιθέσεις υποκλοπής δεδοµένων και πληροφοριών, ή κλήσης (dialers) µε υπεραστική χρέωση (σχετική κατηγορία: trojans, spyware) Επιθέσεις ιακοπής, Αλλοίωσης, Εισαγωγής (σχετικές κατηγορίες: Ιοί, worms) - ιαγραφή ή αλλοίωση δεδοµένων, εφαρµογών και αρχείων συστήµατος - Αντιγραφή αρχείων στο τοπικό δίκτυο (µετάδοση µέσω κοινής χρήσης αρχείων) ή στο Internet (για µετάδοση µέσω των προγραµµάτων P2P) - Αναστολή λειτουργίας ή δυσλειτουργία του Λ.Σ. - Καταστροφή των τοµέων εκκίνησης (boot sectors), πινάκων καταχώρησης αρχείων (FAT), και πινάκων κατατµήσεων (partition tables). 4

ηµιουργία «κερκόπορτας» (back door) µε σκοπό την (µετέπειτα) παραβίαση της ασφάλειας του συστήµατος (σχετικές κατηγορίες: trojans, rootikits, zombies) Επιθέσεις εναντίον της διαθεσιµότητας συστηµάτων (σχετικές κατηγορίες: worms, bots- zombies) - Κατανάλωση υπολογιστικών πόρων (κύρια µνήµη, αποθηκευτικός χώρος) - Κατανάλωση της χωρητικότητας (bandwidth) του δικτύου - Χρήση των ξενιστών για συγχρονισµένη επίθεση σε κάποιον τρίτο, στα πλαίσια µιας επίθεσης DDOS (Distributed DOS). 1.1.2 «Κλασσικοί» Ιοί Κλασσικοί Ιοί Παρασιτικοί Ιοί. Οι παρασιτικοί ιοί προσκολλώνται σε άλλα εκτελέσιµα προγράµµατα. Για να µολυνθεί ένας Η/Υ µε έναν παρασιτικό ιό θα πρέπει να εκτελέσει ένα πρόγραµµα που «φέρει» τον ιό. Όταν εκτελεστεί το µολυσµένο πρόγραµµα, η συνήθης συµπεριφορά του παρασιτικού ιού είναι να παραµένει στην κύρια µνήµη του συστήµατος (για αυτό και ονοµάζονται memory-resident), ώστε να «µολύνει» και άλλα προγράµµατα που εκτελεί ο χρήστης. Κάθε φορά που εκτελείται ένα πρόγραµµα, ο ιός ενσωµατώνει τον κώδικα του στον κώδικα του αρχικού προγράµµατος (συνήθως στην αρχή ή στο τέλος του για αποφυγή της ανίχνευσης από το πρόγραµµα antivirus), χωρίς (συχνά) να καταστρέφει το αρχικό αρχείο. Στη συνέχεια ο ιός καλεί το αρχικό πρόγραµµα ώστε να κρύψει την παρουσία του. Με τον τρόπο αυτό ο ιός αναπαράγεται µέσα στον ίδιο Η/Υ. Για τη µετάδοση ενός παρασιτικού ιού, συνήθως απαιτείται ανθρώπινη παρέµβαση (π.χ. ο χρήστης του Η/Υ µεταβιβάζει σε κάποιον άλλον χρήστη το µολυσµένο πρόγραµµα µέσω e-mail ή µε αφαιρούµενα αποθηκευτικά µέσα). Ιός - Ψευδοκώδικας http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/fall_2004/slides/maliciouslogic.ppt 5

Μελέτη περίπτωσης. (Πηγή: McAfee Inc. AVERT library). Ο ιός Vienna ήταν ένας παρασιτικός ιός, ο οποίος όµως δεν παρέµενε στην κύρια µνήµη του συστήµατος. Ο Vienna µόλυνε αρχεία µε κατάληξη.com. Όταν εκτελούνταν ένα πρόγραµµα µολυσµένο µε τον Vienna, ο ιός επέλεγε τυχαία και µόλυνε ένα πρόγραµµα.com στον τρέχοντα κατάλογο (που δεν είχε ακόµα µολυνθεί). Ο ιός αυτός ήταν δύσκολο να ανιχνευθεί, αφού δεν µόλυνε όλα τα προγράµµατα, και δεν παρέµενε στη µνήµη του συστήµατος. «Κλασσικοί Ιοί» -Παρασιτικοί Ιοί (parasitic, file-infecting) H διαδικασία της Αναπαραγωγής http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/fall_2004/slides/maliciouslogic.ppt integrate A V A V A V A V A Pre-pend Append Overwrite Μελέτη Περίπτωσης: To φορτίο του ιού Jerusalem (1987) περιείχε µια αποκαλούµενη και ως λογική βόµβα (logic bomb). Οι λογικές βόµβες ενεργοποιούνται όταν παρέλθει µια συγκεκριµένη χρονική στιγµή, π.χ. στις 18.00, 13 Σεπτέµβρη. Συνήθως επιτελούν καταστροφικό έργο, ή (συγχρονισµένες) επιθέσεις DDOS σε τρίτους µέσω του δικτύου. Ο Jerusalem για παράδειγµα, έσβηνε όλα τα προγράµµατα που εκτελούσε ο χρήστης, εφόσον η ηµεροµηνία του συστήµατος ήταν η Παρασκευή και 13. Σηµείωση: Οι παρασιτικοί ιοί υπήρξαν δηµοφιλείς για πολλά χρόνια. Σήµερα ωστόσο δεν αποτελούν απειλή. Κλασσικοί Ιοί Ιοί boot sector. Οι ιοί αυτού του είδους µολύνουν τον τοµέα εκκίνησης (boot sector) ενός αποθηκευτικού µέσου ή µιας κατάτµησης (partition). Ο τοµέας εκκίνησης περιέχει ένα πρόγραµµα µικρού µεγέθους το οποίο το Λ.Σ. εντοπίζει και «φορτώνει» στη κύρια µνήµη. Ένας ιός boot sector µπορεί επίσης να µολύνει την περιοχή MBR (Master Boot Record) που περιέχει τον πίνακα κατατµήσεων του δίσκου. Τρόπος µόλυνσης & µετάδοσης: Ο Η/Υ προσπαθεί να πραγµατοποιήσει εκκίνηση από π.χ. µία µολυσµένη δισκέτα και ο ιός µετακινείται από τη δισκέτα στο σύστηµα. 6

Αναπαραγωγή: Αφού ενεργοποιηθεί, ο ιός µολύνει όλους τους δίσκους καθώς και τις δισκέτες που θα τοποθετηθούν στον οδηγό δισκετών. Ένας ιός boot sector µε καταστροφικές παρενέργειες µπορεί να έχει ως αποτέλεσµα την αδυναµία εκκίνησης ενός συστήµατος. Μελέτη Περίπτωσης (Πηγή - McAfee Inc. AVERT library) : ο ιός Michelangelo ήταν προγραµµατισµένος να απενεργοποιήσει τους µολυσµένους Η/Υ στις 6 Μαρτίου 1992 («λογική βόµβα»). Σε ένα άλλο παράδειγµα, ο Ιός Brain (1986) ήταν ο πρώτος που εµφάνιζε χαρακτηριστικά stealth: Σε περίπτωση που ένα πρόγραµµα antivirus εξέταζε τον τοµέα εκκίνησης, ο Brain (ο οποίος ήταν «φορτωµένος» στη µνήµη memory resident) προωθούσε το αίτηµα στον αυθεντικό τοµέα εκκίνησης ώστε να «ξεγελάσει» το λογισµικό antivirus. Σηµείωση: Σήµερα οι ιοί Boot Sector δεν αποτελούν µεγάλη απειλή εφόσον έχει περιοριστεί η χρήση δισκετών εκκίνησης (bootable). Ωστόσο, εφόσον τα σύγχρονα BIOS επιτρέπουν την εκκίνηση από δίσκους USB, στο µέλλον µπορεί να αναζωπυρωθεί το ενδιαφέρον για τους ιούς αυτής της κατηγορίας. Κλασσικοί ιοί Υβριδικοί ή πολυµερείς Ιοί (Multi-partite, ή Hybrid). Ιοί που συνδυάζουν χαρακτηριστικά δύο ή περισσότερων κατηγοριών. Κατά το παρελθόν, οι ιοί αυτού του τύπου συνδύαζαν χαρακτηριστικά ιών boot sector και παρασιτικών ιών. Ένας Η/Υ µολύνεται αν χρησιµοποιήσει µια «µολυσµένη» δισκέτα εκκίνησης ή αν εκτελέσει ένα µολυσµένο πρόγραµµα. O ιός αποτελείται από κώδικα που καλύπτει και τις δύο περιπτώσεις: Ανάλογα µε την περίσταση, εκτελείται το αντίστοιχο τµήµα. Το γεγονός αυτό αυξάνει τις πιθανότητες αναπαραγωγής ή/και µόλυνσης. Για να αφαιρεθεί ο ιός από το σύστηµα, θα πρέπει να αφαιρεθούν και τα δύο µέρη του, διαφορετικά το ένα µέρος µπορεί να επανενεργοποιήσει το άλλο. Μελέτη περίπτωσης: ο ιός Melissa (1999) µπορεί να θεωρηθεί ως ιός multipartite (µακρο-ιός & worm). Όταν το «θύµα» άνοιγε το αρχείο word που λάµβανε µέσω e- mail, ο ιός (ρόλος: µακρο-ιός) ενεργοποιούνταν και µόλυνε το πρότυπο normal.dot της εφαρµογής Word. Αυτό είχε ως συνέπεια να µολύνονται όλα τα έγγραφα.doc που θα δηµιουργούσε στο µέλλον ο χρήστης. Στη συνέχεια ο ιός έστελνε τον εαυτό του (ρόλος: worm) µέσω e-mail στις πρώτες 50 διευθύνσεις από το βιβλίο διευθύνσεων (address book) του χρήστη. Ο ιός είχε ως στόχο µια επίθεση Άρνησης Εξυπηρέτησης (DOS) στους διακοµιστές αλληλογραφίας (mail servers). O ιός δεν µόλυνε προγράµµατα (όπως οι παρασιτικοί ιοί) αλλά µόνον έγγραφα και πρότυπα (templates). Σηµείωση: Σήµερα οι περισσότερες περιπτώσεις κακόβουλου λογισµικού συνδυάζουν στοιχεία από διαφορετικές κατηγορίες. Έτσι, ένα κακόβουλο λογισµικό που α) µεταµφιέζεται σε χρήσιµο λογισµικό, ενεργοποιείται από τον ανυποψίαστο χρήστη, και κατόπιν β) στέλνει τον εαυτό του µε e-mail σε παραλήπτες που βρίσκονται στο βιβλίο διευθύνσεων του χρήστη, θα µπορούσε να χαρακτηριστεί ως multipartite λογισµικό (στοιχεία trojan και worm). Συχνά επίσης συναντούµε περιπτώσεις συνδυασµών spyware & adware, virus και Trojan, virus και worm κ.λ.π. Κλασσικοί Ιοί Ιοί Συστήµατος Αρχείων (File System). Οι ιοί τύπου Link, γνωστοί και ως Cluster, FAT, ή ιοί «file system», δεν συµπεριφέρονται όπως οι 7

παραδοσιακοί ιοί, δηλαδή δε µολύνουν τον κώδικα εκτελέσιµων ή άλλων αρχείων. Έχουν ωστόσο τη δυνατότητα να παρεµβάλλονται κατά την κλήση ενός προγράµµατος και να εκτελούν τον καταστρεπτικό τους κώδικα. Για να το επιτύχουν αυτό, τροποποιούν τον πίνακα FAT του Η/Υ. Ο πίνακας FAT είναι ένας πίνακας, στο σκληρό δίσκο του Η/Υ, όπου είναι καταχωρηµένη η ακριβής θέση (διεύθυνση) του κάθε αρχείου στο δίσκο. Το Λ.Σ. χρησιµοποιεί τον πίνακα FAT για να οργανώσει τα αρχεία στο δίσκο, καθώς και κάθε φορά που γίνεται κλήση ενός αρχείου. Ο ιός αλλάζει τον πίνακα διευθύνσεων ώστε όταν ζητείται η εκτέλεση του «µολυσµένου» προγράµµατος Χ, το Λ.Σ. παραπέµπεται στη θέση Υ όπου βρίσκεται ο κώδικας του ιού, που στη συνέχεια φορτώνεται στη µνήµη και εκτελείται. Πέρα από τις όποιες άλλες παρενέργειες, από τη θέση αυτή ο ιός έχει τη δυνατότητα να µολύνει όλα τα προγράµµατα που θα εκτελεστούν στη συνέχεια από τον χρήστη. Συνήθως οι ιοί αυτής της κατηγορίας εµφανίζουν χαρακτηριστικά ιών stealth: αφού παρεµβληθούν κατά την εκτέλεση ενός προγράµµατος και απελευθερώσουν το φορτίο τους, στη συνέχεια φορτώνουν και εκτελούν το νόµιµο πρόγραµµα που είχε ζητηθεί αρχικά (Μελέτη περίπτωσης: Ο ιός DIR-II). Επειδή εκτελούνται σε «χαµηλό» επίπεδο, θα λέγαµε πως ενσωµατώνουν χαρακτηριστικά λογισµικού τύπου rootkit. Ιοί Flash Bios. Οι κατασκευαστές µητρικών αποθηκεύουν το πρόγραµµα BIOS σε ένα ολοκληρωµένο (chip) µνήµης flash ROM. Η µνήµη αυτή είναι επανεγγράψιµη (rewritable). Οι ιοί flash BIOS επανεγγράφουν (ovewriting) το λογισµικό BIOS στην µητρική πλακέτα. To αποτέλεσµα της «µόλυνσης» είναι καταστρεπτικό (π.χ. διαγραφή των περιεχοµένων του σκληρού δίσκου). O ιός CIH ή Chernobyl (1999 Πηγή: McAfee Inc. AVERT library) αποτελεί ένα χαρακτηριστικό παράδειγµα ιού που τροποποιούσε τον κώδικα του προγράµµατος BIOS. Σε µια από (τις αρκετές) εκδόσεις του ο ιός περιείχε µια «λογική βόµβα»: στις 26 Απριλίου ενεργοποιούνταν το φορτίο και δεν µπορούσε να γίνει εκκίνηση του συστήµατος. Σε ορισµένες περιπτώσεις κρίθηκε απαραίτητη η αντικατάσταση του chip ή της µητρικής πλακέτας (motherboard) του συστήµατος. O ιός Melissa (1999) http://www.heise.de/ct/99/08/017/bild.gif 8

Κλασσικοί Ιοί - Μακρο-Ιοί. Οι ιοί αυτής της κατηγορίας προσβάλλουν αρχεία δεδοµένων που περιέχουν µακροεντολές (macros). Οι µακρο-εντολές είναι κώδικας εντολών, γραµµένος µε γλώσσες συγγραφής σεναρίων π.χ. VBA (Visual Basic for Applications) και χρησιµοποιούνται κυρίως σε προγράµµατα εφαρµογών γραφείου (π.χ. Word, Excel, PowerPoint, Access) για την αυτοµατοποίηση ορισµένων από τις λειτουργίες που εκτελεί ο χρήστης. Για παράδειγµα, µπορούµε να δηµιουργήσουµε µια µακροεντολή στο Word ώστε µε το πάτηµα ενός πλήκτρου, να εκτελεί ταυτόχρονα τις ακόλουθες λειτουργίες: α) Επιλογή κειµένου, β) µορφοποίηση µε γραµµατοσειρά Arial, γ) αλλαγή µεγέθους γραµµατοσειράς σε 14. Οι µακροεντολές αποθηκεύονται µαζί µε το αρχείο δεδοµένων στο δίσκο. Οι µακρο-ιοί λοιπόν είναι µακροεντολές που αυτοµατοποιούν ένα σύνολο από καταστροφικές ενέργειες: όταν π.χ. σε έναν επεξεργαστή κειµένου εκτελεστεί η µακροεντολή ενός µολυσµένου εγγράφου, ο ιός ενεργοποιείται και απελευθερώνει το καταστροφικό του φορτίο. Η δηµοτικότητα των εφαρµογών γραφείου, έχει συνεισφέρει στην εξάπλωση αυτού του είδους των ιών. Επίσης, ο κώδικας που δηµιουργείται από µια γλώσσα συγγραφής σεναρίων, µπορεί να εκτελεστεί σε όλες τις πλατφόρµες: ένας µακρο-ιός µπορεί να εκτελεστεί σε ένα PC και σε ένα MAC. Τρόπος µόλυνσης: Λήψη και άνοιγµα εγγράφου που περιέχει µακρο-εντολές. Οι περισσότερες µακρο-εντολές ενεργοποιούνται µε το άνοιγµα ενός εγγράφου (π.χ. λειτουργία Auto-open). Στις τελευταίες εκδόσεις των εφαρµογών γραφείου, ο χρήστης προειδοποιείται για την ύπαρξη τέτοιων εντολών. Τρόπος αναπαραγωγής: Ο µακρο-ιός συνήθως είναι προγραµµατισµένος να µετατρέπει τα µολυσµένα έγγραφα σε πρότυπα (templates) ώστε να µολυνθούν όλα τα έγγραφα που θα δηµιουργήσει µελλοντικά ο χρήστης. Τρόπος µετάδοσης: Με αφαιρούµενα αποθηκευτικά µέσα ή µέσω δικτύου (Μελέτη περίπτωσης: ο ιός Melissa έστελνε τον εαυτό του µέσω e-mail, µε τη µορφή ενός εγγράφου Word που είχε ενσωµατωµένες µακροεντολές. Μελέτη Περίπτωσης: «Σκουλήκι» ILOVEYOU Μόλυνση: εκτέλεση συνηµµένου αρχείου Μετάδοση: Το worm στέλνει τον εαυτό του σε όλες τις επαφές του βιβλίου διευθύνσεων του Outlook www.caj.co.jp/tec/ tec_n/f_il0005iloveyou.htm Επίσης χρησιµοποιεί λογισµικό IRC client (εάν είναι εγκατεστηµένο) Φορτίο: Πηγή: McAfee Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήµατος HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\ Win32DLL=WINDOWS\Win32DLL.vbs (ώστε να εκτελείται πάντα) Εντοπίζει αρχεία µε κατάληξη: JPG, JPEG, MP3, MP2, VBS, JS,,.. τα αντικαθιστά µε αντίγραφο του προσθέτοντας κατάληξη.vbs Εξάπλωση: 45 εκ. χρήστες έλαβαν το email σε µία ηµέρα (2000) 9

1.1.3 Σκουλήκια (Worms) Μελέτη Περίπτωσης: MyDoom (worm) - 2004 vil.nai.com/vil/ content/v_131868.htm Σκουλήκια- Worms. Τα λογισµικά τύπου Worm δεν προσκολλώνται σε άλλα αρχεία για να επιβιώσουν, αλλά λειτουργούν ως αυτόνοµα προγράµµατα. Το κύριο χαρακτηριστικό τους είναι ότι ενσωµατώνουν κώδικα για τον πολλαπλασιασµό µετάδοση τους σε άλλους Η/Υ, σε αντίθεση µε τους παραδοσιακούς ιούς που απαιτούν την ανθρώπινη συµµετοχή για τη µετάδοση τους. Για τη µετάδοση τους χρησιµοποιούν είτε συµβατικές µεθόδους (π.χ. e-mail, IRC, αντιγραφή του ιού στον κοινόχρηστο φάκελο του δικτύου LAN ή του δικτύου P2P), είτε, στην πιο επικίνδυνη τους µορφή, εκµεταλλεύονται ευπάθειες των λειτουργικών συστηµάτων ή/και των δικτυακών εφαρµογών που εκτελούνται σε δικτυωµένους Η/Υ. Τα πλέον ταχύτερα εξαπλούµενα Worms, γνωστά και ως Scanning Worms, εξαπλώνονται µέσω επιθέσεων υπερχείλισης καταχωρητή (π.χ. Code Red, Slammer, Blaster κ.λ.π) σε δικτυακές εφαρµογές: το worm στέλνει πακέτα κατάλληλου µεγέθους και περιεχοµένου στη θύρα της ευπαθούς εφαρµογής, προκαλεί υπερχείλιση, µε αποτέλεσµα την εκτέλεση, στον Η/Υ του θύµατος. κώδικα που περιέχει αντίγραφο του εαυτού του. ANNAKOURNIKOVA.JPG.VBS (2001), http://www.f-secure.co.jp/v-descs/v-descs2/onthefly.htm 10

Παρενέργειες: Οι παρενέργειες των worms ποικίλλουν, ωστόσο στην πλειονότητα τους, όπως φαίνεται και από τις περισσότερες µελέτες περιπτώσεων, στοχεύουν σε επιθέσεις κατά της διαθεσιµότητας των συστηµάτων. Μελέτη Περίπτωσης: The code red worm (2001) www.ciac.org/ciac/ bulletins/l-117.shtml 250.000 µολύνσεις- 9 ώρες (Πηγή: CERT) Φορτίο: επίθεση DDOS στο www.whitehouse.gov Σηµείωση: Υπερχείλιση Καταχωρητή. Η υπερχείλιση καταχωρητών (buffer overflow) µπορεί να έχει ποικίλα αποτελέσµατα: την κατάρρευση µιας εφαρµογής (DOS), ή την εκτέλεση κακόβουλου κώδικα µε δικαιώµατα που είναι ίδια µε τα δικαιώµατα της εφαρµογής που υπέστη την υπερχείλιση. Οι επιθέσεις αυτές οφείλονται στη λανθασµένη διαχείριση µνήµης από τους προγραµµατιστές εφαρµογών. Όταν µια ποσότητα πληροφορίας δίνεται ως είσοδος (input) σε ένα πρόγραµµα, το πρόγραµµα θα πρέπει να ελέγξει αν το µέγεθος της τιµής εισόδου είναι µικρότερο ή ίσο από το µέγεθος της µνήµης που έχει δεσµευτεί για συγκεκριµένη µεταβλητή. H Eπίθεση Εάν η υπερχείλιση γίνει µε «τυχαία» δεδοµένα, τότε το πεδίο EIP πιθανώς θα παραπέµπει σε περιοχή µνήµης που δεν έχει δεσµευτεί για το πρόγραµµα: Κατάρρευση (DoS) 1. Υπερχείλιση καταχωρητή κατά την εκτέλεση εδοµένα υπερχείλισης + εκτελέσιµος κώδικας 2. Επικάλυψη της µνήµης EIP http://www.usenix.org/events/sec03/tech/full_pa pers/cowan/cowan_html/pointguard-1.gif Ώστε να παραπέµπει στην αρχή του εκτελέσιµου κώδικα 3. Ο κώδικας εκτελείται µε τα δικαιώµατα του προγράµµατος Βέλτιστο σενάριο: το πρόγραµµα έχειυψηλάδικαιώµατα (privileged) return address buffer for variable A write to A: value1 value2 my_address my_address value2 value1 11

Εάν, λόγω κακής συγγραφής του κώδικα, κάτι τέτοιο δεν είναι εφικτό, τότε ένας εισβολέας µπορεί να εκτελέσει, µέσω δικτύου, τον κώδικα της αρεσκείας του. Αυτό γίνεται δίνοντας ως είσοδο (input) µια ποσότητα πληροφορίας (δεδοµένα επικάλυψης & εκτελέσιµος κώδικας) που υπερβαίνει τη µέγιστη ποσότητα που µπορεί να διαχειριστεί το πρόγραµµα. Το Λ.Σ. τότε µεταφέρει την «περισσευούµενη» πληροφορία σε γειτονικές θέσεις µνήµης, επικαλύπτοντας (overwriting) εκτός των άλλων τα περιεχόµενα του δείκτη EIP της στοίβας (stack), ο οποίος κανονικά περιέχει τη διεύθυνση της επόµενης εντολής του κυρίως προγράµµατος που θα εκτελεστεί. Αν η διεύθυνση αυτή παραπέµπει στον κακόβουλο εκτελέσιµο κώδικα του εισβολέα, τότε η επίθεση είναι επιτυχής. Αν ο EIP δείχνει σε περιοχή µνήµης που δεν περιέχει εκτελέσιµο κώδικα, τότε η εφαρµογή απλώς καταρρέει (επίθεση DOS). Μελέτη περίπτωσης: Τo σκουλήκι Blaster. Προκειµένου να µεταδοθεί, το worm εξαπέλυε µια επίθεση υπερχείλισης καταχωρητή στην υπηρεσία DCOM RPC σε λειτουργικά συστήµατα Windows XP Και Windows 2000. Ένας µολυσµένος Η/Υ (HOST) στέλνει πακέτα δεδοµένων στη θύρα 135 (TCP) σε έναν Η/Υ ΣΤΟΧΟ, προκαλώντας υπερχείλιση καταχωρητή. Το αποτέλεσµα της υπερχείλισης είναι η δηµιουργία µιας «κερκόπορτας» (remote shell) στη θύρα 4444 του ΣΤΟΧΟΥ. Ο HOST στέλνει µια εντολή «tftp get» στον ΣΤΟΧΟ µέσω της διαθέσιµης κερκόπορτας. Ο ΣΤΟΧΟΣ συνδέεται µέσω της υπηρεσίας tftp (trivial file transfer service) στη θύρα 69 (TCP) του HOST, και µεταφέρει το αρχείο msblast.exe. Παράλληλα, τροποποιείται το Μητρώο (registry) του ΣΤΟΧΟΥ ώστε το msblast.exe να εκτελείται κατά την εκκίνηση του συστήµατος. Ο Η/Υ έχει µολυνθεί: όταν επανεκκινηθεί, θα αναλάβει το ρόλο του HOST ώστε ο ιός να πολλαπλασιαστεί µέσα στο δίκτυο. Μελέτη Περίπτωσης: Blaster (worm) Αύγουστος 2003 http://www.upenn.edu/computing/virus/03/w32.blaster.worm.html Σηµείωση: Η υπηρεσία RPC. Η υπηρεσία RPC (Remote Procedure Call) χρησιµοποιείται από κατανεµηµένες δικτυακές εφαρµογές client-server που επιθυµούν να ανταλλάξουν δεδοµένα. Μια διαδικασία (process) Α που εκτελείται ως 12

τµήµα µιας εφαρµογής ενός Η/Υ µπορεί να επικοινωνήσει µε µια άλλη διαδικασία Β µιας διαφορετικής εφαρµογής ενός άλλου Η/Υ χρησιµοποιώντας την υπηρεσία RPC. υσκολία καταπολέµησης του Blaster. H δυσκολία καταπολέµησης του Blaster έγκειται στο γεγονός ότι ο µολυσµένος Η/Υ δεν µπορεί να συνδεθεί στο Internet προκειµένου να λάβει την επιδιόρθωση (patch) από το δικτυακό τόπο της Microsoft. Μόλις ο µολυσµένος Η/Υ συνδέεται στο δίκτυο, γειτονικοί κόµβοι που είχαν µολυνθεί προσπαθούν να τον µολύνουν ξανά, προκαλώντας υπερχείλιση και κατάρρευση της υπηρεσίας RPC, κάτι που προκαλεί επανεκκίνηση του συστήµατος. Για να αντιµετωπιστεί η κατάσταση, θα πρέπει να ακολουθηθούν τα εξής βήµατα (Πηγή: CERT): O H/Y αποσυνδέεται µε φυσικό τρόπο από το δίκτυο Από τη ιαχείριση Εργασιών (Task Manager) των Windows, γίνεται τερµατισµός της εφαρµογής msblast.exe Απενεργοποίηση της υπηρεσίας RPC, ή Ενεργοποίηση του firewall του συστήµατος, ώστε να φιλτράρει τα αιτήµατα σύνδεσης στη θύρα (port) 135/TCP Σύνδεση του συστήµατος στο δίκτυο, και λήψη της επιδιόρθωσης από το δικτυακό τόπο της Microsoft Σηµείωση: Προγράµµατα antivirus µε ανανεωµένη (update) τη βάση δεδοµένων τους ανίχνευαν τον ιό (εµποδίζοντας έτσι την εγκατάσταση του msblast.exe) ωστόσο, εάν η επιδιόρθωση (patch) των windows δεν ήταν εγκατεστηµένη, τότε το σύστηµα ήταν ευάλωτο στην επίθεση υπερχείλισης καταχωρητή (µε αποτέλεσµα τις συνεχείς επανεκκινήσεις). Εξάπλωση του «σκουληκιού» Slammer.. (2003) Figure 1: The geographic spread of Sapphire in the 30 minutes after release. http://www.cs.berkeley.edu/~nweaver/sapphire/ 1.1.4 ούρειοι Ίπποι (Trojan Horses). H ονοµασία παραπέµπει στον ούρειο Ίππο που χρησιµοποίησαν οι αρχαίοι Έλληνες για να παραπλανήσουν τους Τρώες, κατά τον Τρωικό πόλεµο. Οι σύγχρονοι ούρειοι 13

Ίπποι στον κλάδο της Ασφάλειας Η/Υ οφείλουν την ονοµασία τους στο γεγονός ότι συχνά µεταµφιέζονται σε χρήσιµα προγράµµατα, που όµως ενσωµατώνουν (εκτός των άλλων) και κακόβουλο κώδικα. Για παράδειγµα ο χρήστης παροτρύνεται να δει µια φωτογραφία, ή να κατεβάσει ένα δωρεάν εργαλείο που ωστόσο περιέχει κακόβουλο κώδικα. ούρειοι Ίπποι (Trojan Horses) Αρχική µόλυνση Τρόπος Α: το «φορτίο» περιέχεται σε ένα χρήσιµο πρόγραµµα Τρόπος Β: Οι χρήστες εξαπατώνται νοµίζοντας ότι είναι το εν λόγω πρόγραµµα είναι χρήσιµο, και το εκτελούν http://cse.stanford.edu/class/sophomore-college/projects-01/distributed-computing/assets/images/trojan-horse.gif ηµοφιλής κατηγορία: backdoors Tini Στέλνει «γραµµή εντολών» όταν κάποιος συνδέεται (telnet) στη θύρα 7777 Netbus, Netcat Back Orifice 2000, Subseven Τρόπος µόλυνσης: Ανθρώπινη παρέµβαση. Σηµείωση: Οι ούρειοι Ίπποι δεν έχουν µολυσµατικό χαρακτήρα, δηλαδή δεν αναπαράγονται ούτε µεταδίδονται αυτόµατα. Αυτό σηµαίνει πως δεν εµφανίζουν το ρυθµό εξάπλωσης άλλων κατηγοριών (π.χ. Ιοί, σκουλήκια). Ωστόσο, συχνά αναφέρονται και αντιµετωπίζονται ως ιοί. Πρέπει επίσης να λάβουµε υπ όψιν µας το γεγονός πως σήµερα οι ούρειοι Ίπποι χρησιµοποιούνται (και) ως µέσο µεταφοράς για spyware, adware, dialers, Rootkits, ιούς ή σκουλήκια (εµπίπτουν δηλαδή στην κατηγορία του πολυµερούς multipartite κακόβουλου λογισµικού). 1.1.5 Spyware Adware και Hoax Συχνά ο ένας εκ των δύο όρων (Spyware ή Adware) χρησιµοποιείται για να περιγράψει και τις δύο κατηγορίες κακόβουλου λογισµικού. Όπως γίνεται σαφές και από την ονοµασία τους, οι παρενέργειες τους δίνουν έµφαση στην υποκλοπή (spyware) ή τη µη ζητηθείσα (ανεπιθύµητη) διαφήµιση. Συχνά εντάσσονται στην ευρύτερη κατηγορία των δούρειων ίππων (trojans), αφού η απελευθέρωση του φορτίου τους είναι συνήθως αποτέλεσµα εξαπάτησης των χρηστών. Τρόποι Μόλυνσης: Ένα spyware / adware εγκαθίσταται µε ποικίλους τρόπους: Αποτελεί τµήµα του κώδικα freeware, shareware ή άλλων προγραµµάτων Αποτελεί το φορτίο ενός δούρειου ίππου (trojan) 14

Εγκαθίσταται ως αποτέλεσµα της εκτέλεσης κινητού κώδικα (π.χ. ActiveX) σε σελίδες Web. Spyware - Adware http://en.wikipedia.org/wiki/image:benedelman-spyware-blogspot-2a.png Αρµοδιότητες Spyware: Λογισµικό που συγκεντρώνει-υποκλέπτει πληροφορίες που αφορούν το χρήστη. Οι πληροφορίες αυτές περιλαµβάνουν (χωρίς να περιορίζονται από) προσωπικά στοιχεία, ονόµατα χρήστη (Usernames), κωδικούς πρόσβασης (passwords), κωδικούς TAN (Transaction Authorization Number), κλειδιά, αριθµούς πιστωτικής κάρτας, λεπτοµέρειες συναλλαγών. Στη χείριστη του µορφή παίρνει τη µορφή λογισµικού keylogger που υποκλέπτει κάθε χαρακτήρα που πληκτρολογεί ο χρήστης και τα προωθεί (στο παρασκήνιο) π.χ. µέσω e-mail σε τρίτους. Συνήθως τα spyware συνεργάζονται µε λογισµικά adware ή/και µε διαφηµιστικές εταιρείες στο Internet, µε σκοπό τη δηµιουργία ενός προφίλ χρήστη και την αποστολή στοχευµένων διαφηµίσεων. Σηµείωση: Τα λογισµικά τύπου dialer θεωρούνται υποκατηγορία των λογισµικών τύπου spyware. Πρόκειται για κακόβουλο λογισµικό, το οποίο όταν ενεργοποιηθεί, µπορεί να πραγµατοποιεί υπεραστικές κλήσεις µακρινής απόστασης µε σκοπό τη χρέωση του τηλεφωνικού λογαριασµού του χρήστη. Αρµοδιότητες Adware. Ως λογισµικό adware (advertising-supported software) θεωρείται κάθε είδους λογισµικού το οποίο, µε αυτόµατο τρόπο, εκτελεί, επιδεικνύει, ή λαµβάνει διαφηµιστικό υλικό µέσω Internet. Η εκτέλεση αυτού του λογισµικού µπορεί να γίνεται νόµιµα, στα πλαίσια µιας εφαρµογής που το ορίζει ρητώς στους Όρους Χρήσης της, ή µε τρόπο µη φανερό. Στη δεύτερη περίπτωση τα λογισµικά τύπου adware θεωρούνται κακόβουλο λογισµικό. To λογισµικό adware συνήθως συνεργάζεται µε λογισµικό spyware (η λειτουργία του βασίζεται στα αποτελέσµατα της λειτουργίας του spyware). Οι παρενέργειες ενός λογισµικού adware ποικίλουν: εµφάνιση ανεπιθύµητων µηνυµάτων στον browser, ή στην επιφάνεια εργασίας (desktop), αλλαγή της αρχικής σελίδας του browser (µια επίθεση γνωστή και ως 15

browser hijacking), αλλαγή της αρχικής σελίδας αναζήτησης στο Web, αναδροµολόγηση σε λανθασµένο (πλαστό) δικτυακό τόπο (web spoofing), κ.λ.π. Hoax - Φάρσες Subject: FW: VIRUS http://securityresponse.symantec.com/avcenter/venc/data/watching.hoax.html IMPORTANT, URGENT - ALL SEEING EYE VIRUS! PASS THIS ON TO ANYONE YOU HAVE AN E-MAIL ADDRESS FOR. If you receive an email titled "We Are Watching You!" DO NOT OPEN IT! It will erase everything on your hard drive. This information was announced yesterday morning from IBM, FBI and Microsoft states that this is a very dangerous and malicious virus, much worse than the "I Love You," virus and that there is NO remedy for it at this time. Some very sick individual has succeeded in using the reformat function from Norton Utilities causing it to completely erase all documents on the hard drive. It has been designed to work with Netscape Navigator and Microsoft Internet Explorer. It destroys Macintosh and IBM compatible computers. This is a new, very malicious virus and not many people on your address book will know about it. Pass this warning along to EVERYONE in it and please share it with all your online friendsasap so that this threat may be stopped. Φήµες (Hoax). Πρόκειται για «ψευδείς» προειδοποιήσεις για ιούς που στην πραγµατικότητα δεν υπάρχουν. Τα αποτελέσµατα αυτών των ψευδών προειδοποιήσεων ποικίλλουν: α) Κατανάλωση χωρητικότητας (bandwidth) του δικτύου, β) Ταυτόχρονη αποστολή e-mail από/σε πλήθος χρηστών, µε αποτέλεσµα Επιθέσεις Άρνησης Eξυπηρέτησης (DOS) στους εξυπηρετητές ηλεκτρονικής αλληλογραφίας (mail servers), ή/και υπερβολικές αντιδράσεις χρηστών. Για παράδειγµα, ένα Hoax µπορεί να προειδοποιεί για την ύπαρξη ενός καταστρεπτικού ιού και να προτρέπει τους χρήστες να διαγράψουν το αρχείο command.com. Το αποτέλεσµα θα είναι η αδυναµία εκκίνησης του συστήµατος. 1.1.6 Σύγχρονο Κακόβουλο Λογισµικό Η διάδοση του Internet. Η διείσδυση του Internet και των υπηρεσιών του, κυρίως από τα µέσα της δεκαετίας του 90 και µετά, είχε ως συνέπεια την δηµιουργία και την αλµατώδη εξάπλωση καινούριων και πιο ισχυρών ιών. Το έτος 1999 ο ιός Melissa εξαπλώθηκε ταχύτητα µέσω µηνυµάτων ηλεκτρονικής αλληλογραφίας και ήταν µεταξύ των πρώτων ιών που χρησιµοποίησαν την υπηρεσία της ηλεκτρονικής αλληλογραφίας για τη µετάδοση τους. Έκτοτε, και ιδίως κατά τα τελευταία χρόνια, η κατηγορία που κυριαρχεί είναι τα λογισµικά τύπου Worm. Tα worms χρησιµοποιούν την υπηρεσία ηλεκτρονικής αλληλογραφίας, καθώς και υπηρεσίες chat, instant messaging, και ανταλλαγής αρχείων P2P για την (αυτόµατη) µετάδοση τους. Σηµείωση: Το worm Nimda (2001, Πηγή CERT). Το worm εκµεταλλευόταν µια ευπάθεια στο λογισµικό Outlook Express η οποία έδινε την δυνατότητα αυτόµατης εκτέλεσης του συνηµµένου αρχείου που περιέχεται σε ένα e-mail, εφόσον η λειτουργία προ-επισκόπησης ήταν ενεργοποιηµένη. Το Outlook Express 16

προσπαθούσε να εκτελέσει ένα αρχείο ήχου wav, το οποίο όµως στην πραγµατικότητα ήταν κακόβουλος κώδικας. Γλώσσες Συγγραφής σεναρίων (scripting languages). Σήµερα, οι περισσότεροι δικτυακοί τόποι, ξεφεύγουν από το παραδοσιακό µοντέλο των στατικών σελίδων και διαθέτουν πλήθος δυνατοτήτων και αλληλεπίδρασης µε το χρήστη. Η λειτουργικότητα µιας δυναµικής σελίδας οφείλεται στη χρήση γλωσσών συγγραφής σεναρίων (scripting language) µε σκοπό τη δηµιουργία κώδικα που εκτελείται στην πλευρά του server (π.χ. PHP, ASP, κ.λ.π) ή του client. Στην δεύτερη περίπτωση ο κώδικας ονοµάζεται κινητός κώδικας (mobile code): Οι πιο ευρέως γνωστές τεχνολογίες κινητού κώδικα είναι το Javascript, τα Java Applets και το ActiveX. Οι τεχνολογίες αυτές, πέρα από τη λειτουργικότητα που προσφέρουν, µπορούν να χρησιµοποιηθούν και για την εκτέλεση κακόβουλου λογισµικού στον Η/Υ του χρήστη. Επίσης οι µακρο-εντολές σε προγράµµατα εφαρµογών γραφείου δηµιουργούνται µε γλώσσες συγγραφής σεναρίων. Η έννοια του Αρθρωτού Κώδικα. Σήµερα, οι περισσότερες εφαρµογές συνίστανται σε ένα πλήθος από ανεξάρτητα τµήµατα (components) κώδικα. Η λειτουργικότητα της εφαρµογής είναι αποτέλεσµα της συνεργασίας µεταξύ των τµηµάτων αυτών. Στα συστήµατα µε Λ.Σ. Windows, οι βιβλιοθήκες δυναµικών συνδέσεων (dll dynamic link libraries) αποτελούν χαρακτηριστικό παράδειγµα αρθρωτού κώδικα (αντίστοιχη ορολογία στο UNIX: ιαµοιραζόµενες βιβλιοθήκες shared libraries). Τα αρχεία αυτά χρησιµοποιούνται από το Λ.Σ. για την εκτέλεση (περισσότερων της µίας) εφαρµογών. Άλλα παραδείγµατα αρθρωτού κώδικα είναι τα προγράµµατα τύπου plug-in που λαµβάνουµε και εγκαθιστούµε µέσω Internet για να αυξήσουµε τη λειτουργικότητα των εφαρµογών µας, καθώς και οι τεχνολογίες κινητού κώδικα. Για την αντιµετώπιση κακόβουλου κώδικα που διακινείται µέσω Internet ή εκτελείται σε ένα σύστηµα Η/Υ, έχουν προταθεί τεχνικές όπως: Αποµόνωση Κώδικα (Code Isolation π.χ. σε περιβάλλον Java), εκτέλεση υπογεγραµµένου κώδικα (π.χ. τεχνολογία ActiveX), κ.λ.π. Οι τεχνικές αυτές θα εξεταστούν στην Ενότητα 5. «Σύγχρονο» κακόβουλο Λογισµικό Αρθρωτό Λογισµικό Schneier, (Schneier 2001) 17

Τεχνικές Απόκρυψης. Οι δηµιουργοί κακόβουλου λογισµικού χρησιµοποιούν και ενσωµατώνουν στον κώδικα των προγραµµάτων τους κατάλληλες διαδικασίες ώστε να είναι δύσκολη η ανίχνευση των συµπτωµάτων τους. Ανάλογα µε το είδος των τεχνικών που χρησιµοποιούνται, διακρίνουµε τα λογισµικά τύπου Stealth, καθώς και τους πολυµορφικούς ιούς. Ιοί (ή Λογισµικό) Stealth. Σκοπός ενός λογισµικού τύπου stealth είναι να κρύψει την παρουσία του, δηλαδή να εξαφανίσει τα ίχνη του καθώς και τα συµπτώµατα του. Ο πρώτος ιός που εµφάνισε χαρακτηριστικά stealth ήταν ο ιός Brain (π.χ. όταν το πρόγραµµα antivirus εξέταζε τον τοµέα εκκίνησης, ο Brain προωθούσε το αίτηµα στον αυθεντικό τοµέα εκκίνησης ώστε να «ξεγελάσει» το πρόγραµµα antivirus). Ο ιός αυτός υλοποιούσε µια (συνήθη) τακτική: παρεµβάλλόταν στις κλήσεις του antivirus προς ένα αρχείο και επέστρεφε την «καθαρή» έκδοση του, επαναφέροντας την µολυσµένη «εκδοση» του αρχείου λίγο αργότερα. Παράδειγµα Ιού Stealth. Ορισµένα προγράµµατα antivirus πραγµατοποιούν έλεγχο ακεραιότητας (integrity checking) σε όλες τις εφαρµογές του συστήµατος. Αυτό σηµαίνει πως, όταν τροποποιείται ο κώδικας µιας εφαρµογής το πρόγραµµα antivirus ζητάει από το χρήστη να επιβεβαιώσει την τροποποίηση (π.χ. όταν ο χρήστης λαµβάνει από το Internet και εγκαθιστά µια επιδιόρθωση (patch) για µια εφαρµογή). Ένας ιός stealth παραµένει ενεργός στη µνήµη (memory resident) και µολύνει όσα προγράµµατα τροποποιούν τον κώδικα τους κατόπιν µιας καθ όλα νόµιµης εντολής του χρήστη ή του προγράµµατος (π.χ. εγκατάσταση ενός patch). Κατ αυτόν τον τρόπο ο ιός «ξεγελάει» τα προγράµµατα anti-virus που εκτελούν τον έλεγχο ακεραιότητας. Σύγχρονο λογισµικό Stealth. Για να «αποκρύψει» τον εαυτό του, ένα κακόβουλο λογισµικό θα πρέπει να εργάζεται σε πολύ «χαµηλό» επίπεδο, συνήθως στο επίπεδο του πυρήνα (Kernel) του Λ.Σ. (Μελέτη περίπτωσης: λογισµικό Hacker Defender). Για παράδειγµα, τα σύγχρονα λογισµικά τύπου rootkit ενσωµατώνουν λειτουργίες όπως: Απόκρυψη process (process hiding). Το rootkit αποκρύπτει µια διαδικασία αφαιρώντας την από τον πίνακα ιαχείρισης Εργασιών (Task Manager). Ή, υλοποιεί µια διαδικασία ως ένα σύνολο υποπρογραµµάτων (νήµατα -threads), των οποίων η ανίχνευση είναι δύσκολη. Απόκρυψη θύρας (port). To rootkit αποκρύπτει τη λίστα µε τις θύρες (ports) που θα χρησιµεύσουν ως «κερκόπορτα» για την αποµακρυσµένη διαχείριση του συστήµατος. Απόκρυψη κλειδιού στο µητρώο (registry): Το rootkit χρησιµοποιεί ονόµατα κλειδιών που δεν εγείρουν υποψίες (π.χ. που παραπέµπουν σε «ακίνδυνες» ή χρήσιµες εφαρµογές, για παράδειγµα: firewall-service.exe») 18

Τεχνικές απόκρυψης Λογισµικό Stealth Σύγχρονο λογισµικό Stealth (Rootkits) Rootkits. Προγράµµατα που αξιοποιούν προνόµια ιαχειριστή (Administrator) µε σκοπό την απόκρυψη της παρουσίας τους στο σύστηµα. Συνήθως χρησιµοποιούνται για να αποκρύπτουν λογισµικό όπως spyware, backdoors, bots, FTP servers κ.λ.π. Τροποποίηση Kernel ήσυναρτήσεωνapi Απόκρυψη ή µεταµφίεση αρχείων - φακέλων Απόκρυψη process ή service, θύρας (port), Απόκρυψη κλειδιού στο Μητρώο (registry) Απόκρυψη χρηστών οµάδας χρηστών Άρνηση δικαιώµατος ανάγνωσης σε αρχεία Εφαρµογή Χρήστη R o o t k i t Λειτουργικό Σύστηµα Σηµείωση: Υπάρχουν περιπτώσεις όπου δεν είναι απαραίτητη η απόκρυψη των «ιχνών» του ιού. Για παράδειγµα, όταν ο στόχος είναι απλά η υποκλοπή ενός πληροφορικού πόρου (κάτι δηλαδή που ολοκληρώνεται σε πολύ σύντοµο χρονικό διάστηµα), ή σε περιπτώσεις επιθέσεων κατά της διαθεσιµότητας του συστήµατος (π.χ. system crash). Ειδική περίπτωση ιού Stealth Ρετρο-ιοί. Κακόβουλο λογισµικό που στοχεύει στην απενεργοποίηση ή υπονόµευση ενός προγράµµατος antivirus π.χ. σβήσιµο των αρχείων υπογραφών (definition files). Παράδειγµα Πολυµορφικής Συµπεριφοράς- 1 http://www.cc.gatech.edu/classes/ay2003/cs6265_fall/polymorph_final.ppt 19

Πολυµορφικοί Ιοί. Οι ιοί αυτοί δηµιουργούν πολλαπλούς κλώνους-αντίγραφα του εαυτού τους µε σκοπό να «ξεγελάσουν» τις εφαρµογές antivirus. Έτσι, η υπογραφή του ιού, δηλαδή το τµήµα κώδικα που χρησιµοποιούν τα προγράµµατα antivirus για να ανιχνεύσουν έναν ιό, δεν µπορεί να εντοπιστεί. Για να το επιτύχουν αυτό, οι πολυµορφικοί ιοί χρησιµοποιούν τεχνικές συµπίεσης ή κρυπτογράφησης του κώδικά τους µε ένα συµµετρικό κλειδί που συνεχώς αλλάζει. Εναλλακτικά, ο ιός µπορεί να εισάγει «θόρυβο», π.χ. αλλαγή της σειράς των εντολών ή εισαγωγή εντολών που ουσιαστικά δεν έχουν καµία σκοπιµότητα (π.χ. Εκτύπωσε - δηλαδή τον κενό χαρακτήρα). Οι εντολές αυτές δεν είναι ποτέ ίδιες: για παράδειγµα, ο ιός µπορεί να χρησιµοποιεί έναν γεννήτορα ψευδο-τυχαίων αριθµών (pseudorandom number generator), και να χρησιµοποιεί την έξοδο του γεννήτορα ως «θόρυβο» για τον κώδικα του. Σηµείωση: Σήµερα υπάρχουν έτοιµες ρουτίνες µετάλλαξης (Mutation Engines) ενός ιού. Μια απλή αναζήτηση στο Internet αποδεικνύει του λόγου το αληθες (Μελέτη περίπτωσης: Trident Polymorphic Engine) Προστασία από Κακόβουλο Λογισµικό Συστήµατα Ανίχνευσης Εισβολών Αρχεία Καταγραφής και Ελέγχου Πολιτικές Ασφάλειας Πολιτικές Εξουσιοδότησης Εκπαίδευση χρηστών Ανίχνευση Πρόληψη Ασφάλεια ιαχείριση Αντιµετώπιση Ανίχνευση Ευπαθειών Φυσική ασφάλεια Έλεγχος πρόσβασης Προγράµµατα Antivirus, AntiSpyware Firewalls Patch, Updates Ανάνηψη από καταστροφή (Disaster Recovery) Αντίγραφα ασφάλειας Fault Tolerance 1.2 Μέτρα Αντιµετώπισης Στην Ενότητα 1, στα «Κρίσιµα Ερωτήµατα κατά το Σχεδιασµό της Ασφάλειας του Συστήµατος» αναφερθήκαµε στους τρεις βασικούς άξονες στους οποίους πρέπει να επικεντρώνεται, σε µικρό ή µεγάλο βαθµό, η Πολιτική Ασφάλειας ενός συστήµατος. Αναρωτηθήκαµε για το αν πρέπει να δoθεί έµφαση στην πρόληψη (prevention), την ανίχνευση (detection), ή την ανάνηψη (recovery) από παραβιάσεις ασφάλειας. Στην Ενότητα 2 αναφερθήκαµε σε τεχνικές πρόληψης όπως κωδικοί πρόσβασης και ταυτοποίηση χρηστών, ενώ στην Ενότητα 3 περιγράψαµε τα βασικά µοντέλα εξουσιοδότησης που µπορούν να χρησιµοποιηθούν σε ένα σύστηµα. Με τον όρο σύστηµα, εννοούµε έναν Η/Υ, ένα πληροφοριακό σύστηµα, ή µια Επιχείρηση / Οργανισµό (φυσικοί και πληροφοριακοί πόροι, δικτυακή υποδοµή, χρήστες κ.λ.π). Στο παρόν δίνουµε έµφαση στους µηχανισµούς, και τις τεχνικές πρόληψης, 20