Każdy z nas słyszał o zagrożeniach związanych z wykorzystywaniem sprzętów elektronicznych, a w szczególności o zagrożeniach wynikających z korzystania z Internetu i pobierania niebezpiecznych plików pochodzących z nieznanych źródeł. Powszechnie stosowanym określeniem na niebezpieczne aplikacje stosowane w urządzeniach teleinformatycznych jest “malware”. Dlaczego malware jest tak niebezpieczny? Czy zagrożony jest każdy komputer? Czy malware i wirus to pojęcia tożsame?
CO TO JEST MALWARE?
Szkodliwe/złośliwe oprogramowanie (ang. malware) – połączenie słów od słowa malicious „złośliwy” i software „oprogramowanie” – tak nazywamy różnego rodzaju szkodliwe programy, których celem jest wywołanie szkody dla użytkownika urządzenia elektronicznego. Malware to rodzaj oprogramowania stworzonego umyślnie, aby działać wbrew oczekiwaniom użytkownika oraz powodować jak największe zniszczenia i straty, wyłuskiwać i przekazywać informacje z zarażonego urządzenia, otwierać możliwość zdalnego nim zarządzania, uruchamiać niewidoczne procesy, czy atakować inne urządzenia.
Najczęściej dzieje się to bez wiedzy użytkownika, a szkoda może być wywołana poprzez uzyskanie dostępu do danych lub systemów informatycznych. Obecnie w Internecie istnieje ogromna liczba malware, które mogą wywoływać szeroki wachlarz skutków dla użytkownika – mniej lub bardziej szkodliwych, takich jak: sabotaż przemysłowy, szantaż, phishing lub sprzedaż danych. Ze względu na ciągłe zmiany technologiczne jak i sposoby zabezpieczenia danych, nie istnieje jednolita klasyfikacja rodzajów malware. W niniejszym artykule chciałbym Państwu przedstawić klasyfikację stworzoną w oparciu o jeden z poradników wydanych przez wówczas Generalnego Inspektora Ochrony Danych Osobowych (GIODO) pt. “ABC zagrożeń bezpieczeństwa danych osobowych w systemach teleinformatycznych”. W dzisiejszych czasach programy malware często wywołują kilka skutków jednocześnie, dlatego podane poniżej przykłady malware mogą zostać uznawane także za inny rodzaj malware.
WIRUS – Najbardziej znany rodzaj malware. Wirusem nazywamy takie programy malware które infekują system poprzez “przyklejanie się” do innych plików, modyfikując je. Wirus to program pasożyt, który rozprzestrzenia złośliwy kod i do jego „działania” potrzebne jest działanie użytkownika.
Jednym z najbardziej znanych w Polsce wirusów był “CIH” zwany też potocznie “Czarnobyl”. Powstał w 1998 r. i dotyczył głównie systemów operacyjnych Win 95 i 98. Nazwa potoczna wynika z “momentu aktywacji” wirusa. W momencie zmiany daty w komputerze na rocznicę katastrofy elektrowni w Czarnobylu dochodziło do usunięcia całej zawartości dysku twardego, a w niektórych przypadkach do uszkodzenia systemu operacyjnego komputera, uniemożliwiając jego włączenie.
ROBAK – analogicznie do wirusów potrafią z łatwością rozprzestrzeniać się, jednakże w odróżnieniu do wirusów nie dokonują tego poprzez modyfikację innych plików. Robak działa samodzielnie poprzez samopowielanie. Może tego dokonywać np. ściągając za pośrednictwem urządzenia zainfekowanego inne szkodliwe programy malware.
Robakiem, który wywołał szkody na całym świecie i znacząco rozszerzył świadomość spółek w zakresie cyberbezpieczeństwa był robak “ILOVEYOU” zwany także “Loveletter”. Szacuje się, iż zainfekował ponad 50 milionów systemów informatycznych i wywołał szkodę na kwotę 5.5 miliarda dolarów. Robak za pośrednictwem zainfekowanego komputera, wysyłał do wszystkich adresów w skrzynce pocztowej wyznanie miłosne, którego pełna treść znajdowała się w załączeniu. Załączony plik był zainfekowany, a jego otworzenie powodowało zarażenie kolejnego komputera. Oprócz wysłania wiadomości, robak zbierał informacje o wszystkich hasłach na komputerze i przesyłał je do hakera, a także niszczył część plików znajdujących się na dysku
TROJAN – to malware który “podszywa się” pod inną aplikację w celu uśpienia czujności użytkownika. Sam w sobie nie wywołuje większych szkód dla użytkownika lub spółki. Ze względu na ograniczone możliwości, jego głównym celem jest zainstalowanie lub pobranie za pośrednictwem Internetu innych szkodliwych malware. Ze względu na metodę działania robak “ILOVEYOU” także może zostać zakwalifikowany jako trojan.
BACKDOOR – malware/działanie polegające na celowym pozostawieniu “luki bezpieczeństwa”, która pozwoli na uzyskanie kontroli nad systemem. Bardzo często jest on pobierany przez trojana zagnieżdżonego już w systemie. W niektórych przypadkach backdoor jest tworzony przez administratorów systemu informatycznego w celu utrzymania kontroli nad systemem bez wiedzy właściciela, np. poprzez stworzenie konta “tajnego administratora”, które może wykorzystywać w ramach złośliwego działania.
Backdoor to nie tylko program informatyczny. Coraz głośniejszym zjawiskiem jest także fizyczne umieszczanie szkodliwych części jako komponentów do urządzenia, np. umieszczanie chipów w telefonach lub na dyskach twardych. Oburzenie w mediach wywołała informacja o żądaniach służb amerykańskich skierowanych do producenta telefonów komórkowych o wbudowanie do każdego telefonu backdoora, który umożliwiłby służbom ominięcie wszystkich blokad i haseł zawartych w telefonie.
EXPLOIT – to malware który wykorzystuje błędy w systemach zabezpieczeń systemu informatycznego. Backdoor tworzy “luki” w bezpieczeństwie zaś exploit je wykorzystuje. Skutek dla użytkownika, jak i dla systemu, w większości przypadków jest taki sam. Szczególnym rodzajem exploitów jest 0-day exploit – czyli wykorzystanie wcześniej nieznanej luki w bezpieczeństwie
Wśród najsłynniejszych malware wykorzystujących exploity można uznać “WANNACRY”oraz “PETYA”. Wykorzystywały one lukę w systemie Windows, po zainfekowaniu urządzenia, po czym cała zawartość dysku została szyfrowana, a użytkownik zobaczył wyświetlony komunikat z żądaniem zapłacenia okupu. Takie działanie malware określane jest jako RANSOMWARE (program szyfrujący, blokujący). Najbardziej podatne były komputery z systemami operacyjnymi, które nie były już oficjalnie wspierane, np. Windows XP lub Windows Server 2003, gdyż nie było dla nich aktualizacji bezpieczeństwa systemu. W chwili obecnej, wspierane systemy operacyjne posiadają łatkę, która niweluje niniejsze ryzyko.
Backdoory i exploity mogą wystąpić nie tylko w systemie informatycznym spółki, ale także u dostawców usług informatycznych, np. CRM lub aplikacji. Główną metodą zabezpieczania się przed niniejszym zagrożeniem jest bieżące aktualizowanie stosowanych programów i systemów, a także wybieranie tylko zaufanych kontrahentów poprzez przeprowadzanie audytów w celu weryfikacji jakości stosowanych zabezpieczeń.
ROOTKIT – rodzaj malware, który zagnieżdża się w “jądrze systemu” najczęściej za pośrednictwem backdoora, jest szczególnie niebezpieczny dla systemów, ze względu na to, iż uzyskuje kontrolę nad działaniem komputerów/systemów informatycznych. Posiadanie kontroli oznacza, iż może stać się “niewidzialny” dla programów antywirusowych, skutecznie oszukując system.
Najgłośniejszym atakiem z użyciem rootkita był “STUXNET”. Był to sabotaż przemysłowy zastosowany wobec elektrowni atomowej w Iranie. Rootkit został umiejscowiony w systemie za pośrednictwem pendrive. Powodował on nieprawidłowe działanie systemu – komputery przestawały działać, sprzęty mechaniczne wykonywały swoje prace na nieprawidłowych ustawieniach co powodowało ich szybsze zużycie etc. W większości przypadków, w celu wykrycia rootkitu konieczne jest stosowanie bardziej zaawansowanych programów antywirusowych, które dokonują całkowitego skanu systemu lub przywrócenie systemu do wersji fabrycznej.
KEYLOGGER/SPYWARE – malware, których głównym celem jest pozyskanie jak największej informacji o działaniach użytkowników systemu. Są szczególnie niebezpieczne dla osób prywatnych i osób pełniących funkcje kierownicze w spółkach. Zakres danych zbieranych może być różny od poziomu inwazyjności malware: zapisywanie i przesyłanie do hakera informacji o wciskanych klawiszach na klawiaturze, odwiedzanych stronach, włączenie kamery, mikrofonu lub rejestrowanie samego czasu przebywania na komputerze. Głównym celem używania spyware jest uzyskanie loginu i hasła do konta bankowego lub innych systemów, phishing, szantaż. Spyware nie zawsze są utożsamiane jako negatywne programy. Bardzo częstą praktyką jest kupno programów spyware w celu śledzenia aktywności pracownika lub własnego dziecka. Niezależnie od możliwości kupna, ze względu na ingerencję w cudzą prywatność, konieczne jest posiadanie podstawy prawnej do wykorzystywania takich programów.
JAK PRZECIWDZIAŁAĆ?
W celu przeciwdziałania, istotne jest posiadanie na bieżąco aktualizowanego programu antywirusowego. Należy uniemożliwić dostęp do konta za pomocą samego loginu i hasła. Tam, gdzie jest to możliwe, należy wprowadzić dodatkowe formy weryfikacji, np. dwu-składnikowe uwierzytelnianie, VPN, token, firewall etc. Dwuskładnikowe uwierzytelnienie zminimalizuje potencjalne skutki w przypadku kradzieży loginu do konta.
Źródłem zagrożenia jest otwieranie plików pochodzących z nieznanych źródeł lub ataków phishingowych, np. otwieranie plików znajdujących się w załączniku do maila phishingowego lub otwieranie plików ze stron uznanych przez przeglądarkę internetową za niebezpieczne. Wiele skrzynek pocztowych dostarczanych przez serwisy posiada obecnie rozbudowane filtry antyspamowe, które filtrują treści niebezpieczne dla użytkownika.
Najczęstszym źródłem ataku były nośniki danych takie jak dyskietki, pendrive, płyty CD i DVD. Obecnie z powodu rozprzestrzenienia się sieciowej metody transferu danych i zwiększenia powszechności programów antywirusowych, ryzyko użycia takiej formy ataku uległo zmniejszeniu. Należy jednak zwrócić uwagę, że mniejsze ryzyko wystąpienia nie oznacza, iż niebezpieczeństwo z nim związane jest mniejsze. Nie należy wykorzystywać zewnętrznych nośników danych osobowych, co do których nie mamy pewności, że są bezpieczne.
Jedną z metod weryfikacji bezpieczeństwa pliku jest sprawdzenie jego rozszerzenia – większość malware posiada rozszerzenie „.exe” wskazujące, iż jest to program. Pliki do “czytania” przez użytkownika powinny mieć inne rozszerzenie, np. „.doc”, „.pdf”, „.odt”, zaś obrazy np. „.jpg”. Malware bardzo często próbują zmylić użytkownika poprzez wpisanie fałszywego rozszerzenia na końcu pliku, np. “faktura.doc”. Jeżeli ustawimy w komputerze opcję “pokaż rozszerzenia plików”, to zobaczymy informację o “rodzaju” pliku. W ten sposób ujrzymy plik malware “faktura.doc.exe”. Ze względu na dużą ilość rodzajów malware, niniejsza metoda nie zawsze będzie skuteczna.
