Počítačový červ

Počítačový červ je škodlivý software , který reprodukuje sám na více počítačích pomocí počítačové sítě , jako je internet . Jakmile je popraven, má schopnost duplikovat se. Na rozdíl od viru se červ šíří, aniž by se musel vázat na jiné spustitelné programy.

Historický

 Poprvé byl použit termín „červ“ (v angličtině „  červ “) v roce 1975 britský romanopisec John Brunner ve svém románu Na rázovou vlnu .

The 2. listopadu 1988„ Robert Tappan Morris , student počítače, uvedl do oběhu to, čemu se později říkalo červ Morris, a způsobil zhroucení velkého počtu počítačů na internetu. Předpokládá se, že to ovlivnilo desetinu z nich. Během Morrisova soudu soud odhadl, že náklady na eliminaci viru lze odhadovat na 200 až 53 000 USD. Právě tato událost vedla k vytvoření koordinačního centra CERT a e-mailové konference Phage. Pokud jde o Morrise, je to první osoba odsouzená podle amerického zákona o počítačových podvodech a zneužití .

V roce 1997 se rozšířil první e-mailový červ , známý jako ShareFun, napsaný v makro jazyce WordBasic pro Microsoft Word 6/7. Ve stejném roce byl objeven první červ, který se mohl šířit přes IRC a používal programový soubor mIRC . script.ini

V roce 1999 se e-mailový červ Melissa rozšířil po celém světě prostřednictvím aplikace Outlook a získal pozornost médií. Objevují se složití červi, například Toadie, který infikuje soubory DOS i Windows a šíří se prostřednictvím IRC a e-mailu, a W32.Babylonia, což je první malware, který se sám aktualizuje.

V roce 2001 se objevili první červi s vlastním motorem SMTP . Od tohoto okamžiku červi již nezávisí na Microsoft Outlook (Express) . Kromě toho se objevují první červi, kteří se mohou šířit prostřednictvím sítí ICQ nebo peer-to-peer . Červ Code Red je široce rozptýlen využíváním chyby zabezpečení ve službě IIS společnosti Microsoft . Využitím zranitelnosti síťových služeb se pak může objevit první verš bez souborů , který se šíří přes bezpečnostní díry a zůstává v RAM, takže nespadají na pevný disk .

V roce 2003 se červ SQL Slammer rychle rozšířil tím, že využil chyby zabezpečení na serveru Microsoft SQL Server . První červ ovlivňující jednotlivce se objeví vsrpna 2003 s W32.Blaster, který využívá chybu zabezpečení v operačním systému Microsoft Windows.

V roce 2004 červ Sasser zneužil bezpečnostní chybu v operačních systémech Windows ( 2000 , XP , Server 2003 ) k útoku zejména na soukromé počítače. První verze červa Mydoom , který je dosud nejrychleji šířen e-mailem, se šíří po celém světě. Kromě toho SymbOS.Caribe je první mobilní telefon červ se šíří pomocí Bluetooth technologie sítě na chytrých telefonech vybavených Symbian OS operační systém .

V roce 2005 byl SymbOS.Commwarrior prvním červem, který mohl být odeslán prostřednictvím MMS . Šíření červů mobilních telefonů nyní hlásí několik výrobců antivirového softwaru .

V únoru 2006 byl Leap prvním červem ovlivňujícím operační systémy Mac OS od společnosti Apple . V březnu zveřejnila nizozemská výzkumná skupina vedená univerzitním profesorem Andrewem Tanenbaumem první počítačový červ pro rádiové čipy RFID . Vložení SQL do databázového programu Oracle umožňuje, aby se 127bajtový program šířil samostatně.

V roce 2008 šíření červa Agent.btz přimělo strategické velení Spojených států k vydání směrnice zakazující používání osobních USB disků a jiných vyměnitelných úložných zařízení v počítačové síti a používání počítače. “ AutoRun .

V roce 2010 se červ Stuxnet , který má velmi vysokou složitost, která se odráží ve zneužití čtyř zranitelností nulového dne pro Windows a velmi malé velikosti souboru, používá k převzetí kontroly nad WinCC , SCADA softwarem společnosti Siemens .

Pracovní režim

Koncept červa pochází z quinů nebo samoreplikujících se programů, které samy vycházejí z myšlenek logiků Johna von Neumanna a WV Quina .

Červ na rozdíl od počítačového viru nepotřebuje k vlastní reprodukci hostitelský program. K zajištění své reprodukce využívá různé zdroje počítače, který je jeho hostitelem.

Cílem červa není jen reprodukovat se. Červ má také obvykle zlý účel, například:

• špehovat počítač, kde je umístěn;
• poskytuje zadní vrátka pro hackery  ;
• zničit data v počítači, kde se nacházejí, nebo způsobit jejich jiné poškození;
• odeslat více požadavků na web za účelem jeho nasycení ( útok odmítnutí služby ).

Aktivita červa má často vedlejší účinky, jako například:

• zpomalení nasycením infikovaného stroje;
• zpomalení nasycením sítě používané infikovaným strojem;
• crash služeb nebo operační systém infikovaného počítače.

Červi napsaní ve formě skriptu mohou být vloženi do e -mailu nebo na stránku HTML ( trojské koně ). Tito červi jsou aktivováni akcemi uživatele, který se domnívá, že má přístup k informacím pro něj určeným.

Červ lze také naprogramovat v C , C ++ , Delphi , assembleru nebo jiném programovacím jazyce . Většinu času červi používají k šíření chyby zabezpečení v softwaru. Tyto chyby jsou obvykle opraveny prodejci softwaru, jakmile se červi objeví. Stažením nejnovějších verzí takového softwaru, jakmile se objeví, lze výrazně snížit pravděpodobnost infekce červy.

Data, která jsou poškozena nebo zničena červem počítače, jsou obvykle neobnovitelná.

Vlastnosti

Červ se často přenáší do počítačů různými způsoby, například e-mailem, nejasnými zdrojovými programy, stránkami fóra, pirátskými DVD a CD s hrami, jednotkami USB.

Červ je navržen tak, aby se automaticky kopíroval z jednoho počítače do druhého. Nejprve převezme kontrolu nad vlastnostmi, které přenášejí soubory nebo informace do počítače. Jakmile červ vstoupí do vašeho systému, může sám odejít. To může mít za následek silný síťový provoz v důsledku domino efektu, který zpomaluje sítě na pracovišti a celý internet. Nové červy se velmi rychle šíří, jakmile se objeví. Červ je podtřída viru. Červ se obvykle šíří bez zásahu uživatele a distribuuje úplné (případně upravené) kopie sebe sama ze sítě do sítě. Červ může spotřebovávat paměť nebo šířku pásma sítě, což může způsobit selhání počítače.

Jelikož červi k šíření nepotřebují „podpůrný“ program nebo soubor, mohou tunelovat váš systém a umožnit někomu jinému dálkově ovládat váš počítač. Mezi příklady nedávných červů patří červi Sasser a Blaster .

Třídy červů

To peer-to-peer (P2P)

Peer-to-peer je forma sítě, která spojuje počítače v síti bez serveru, to znamená, že navazuje přímé spojení mezi jednotlivými uživateli. Většina sítí pro sdílení souborů na internetu, jako jsou systémy Kazaa , Morpheus nebo BitTorrent, používá technologii P2P. Červ se v síti pro sdílení souborů může šířit třemi různými způsoby:

• Prvním způsobem je, aby se červ zkopíroval do sdílené složky, ze které mohou ostatní uživatelé stahovat soubory. U tohoto typu červa je důležité správné pojmenování souboru obsahujícího červa, protože více uživatelů si stáhne soubor se zajímavým názvem než soubor s náhodně vygenerovaným názvem. Tento typ distribuce v sítích pro sdílení souborů je jednoduchý, ale ne příliš efektivní, protože sítě pro sdílení souborů si obvykle vyměňují spíše velké soubory a téměř všechny programy pro sdílení souborů mají nyní účinné filtry, které vylučují určité formáty .
• Druhá metoda šíření červa využívá protokol P2P k nabízení infikovaného souboru jako výsledku hledání ( například soubor .torrent ) ostatním uživatelům v síti P2P pokaždé, když provedou vyhledávání. Uživatel poté zkopíruje červa do svého počítače a infikuje jej při otevření souboru. Tato metoda šíření je velmi účinná, pokud je velikost souboru červa přibližně stejná jako velikost prohledávaného souboru.
• Třetí metodou je, že červ zaútočí na zranitelnost svých sousedů v síti P2P. Tato metoda může dosáhnout velmi vysoké rychlosti šíření, když není vyžadována žádná akce uživatele (například stahování souboru a jeho spuštění v počítači). Červ pak tyto systémy infikuje plně automaticky. Jakmile je červ schopen zobrazit seznam sousedů každého infikovaného klienta v síti P2P, může na ně cílit. To umožňuje červu vyhnout se detekci, protože nemusí provádět nadměrný počet připojení k jiným systémům na internetu, což je ochrannými systémy považováno za neobvyklé chování. Síť P2P je založena na skutečnosti, že každý uživatel naváže mnoho spojení s ostatními účastníky, což ztěžuje detekci červa v závislosti na provozu, který generuje.

Poslat e-mail

Mnoho červů používá k šíření e-maily a zasílá buď spustitelný soubor obsahující červa, nebo hypertextový odkaz na něj. E-maily lze odesílat buď vzdáleným převzetím předinstalovaných e-mailových programů, jako je Microsoft Outlook , nebo rutinou SMTP specifickou pro červy. E-mailová adresa příjemce se často nachází v předinstalovaných adresářích . Červ však může použít i jiné soubory na pevných discích (například dočasné internetové soubory ), nebo mohou být pro počáteční distribuci použity e-mailové adresy speciálních webových stránek (například online knihy návštěv). Pozoruhodné příklady této metody šíření jsou Loveletter (také známý jako ILOVEYOU), který explodoval do šíření e-mailůKvěten 2000nebo Netsky .

Instant messaging červy

Programy pro zasílání rychlých zpráv, jako jsou WhatsApp , ICQ , Windows Live Messenger nebo Skype, jsou také zranitelné vůči malwaru kvůli jejich připojení k internetu. Takový červ se šíří zasláním odkazu na webovou stránku obsahujícího červa. Pokud uživatel klikne na odkaz, pak je červ nainstalován a spuštěn v počítači uživatele, aplikace pro rychlé zasílání zpráv nemají vlastní analyzátor HTML a místo toho používají ten ve výchozím prohlížeči . Po instalaci se červ rozšíří odesláním odkazu na všechny kontakty uložené v infikovaném počítači.

Vyměnitelní červi médií

Vyměnitelná úložná zařízení jsou vyměnitelná datová média pro počítače, například USB flash disky . Tito červi jsou nezávisle kopírováni na datová média, aby se mohli šířit z jednoho počítače do druhého. Na rozdíl od dosud diskutovaných typů červů tento k šíření nepoužívá síť. Může využít automatické spuštění datového nosiče.

Do IRC

Klienti IRC jsou programy, které umožňují jakémukoli uživateli vyměňovat si textové zprávy s ostatními uživateli téměř v reálném čase prostřednictvím služby Internet Relay Chat . Většina IRC programy používají se speciální skript pro připojení k IRC serveru , který je spuštěn při spuštění programu. Tento skript obsahuje příkazy, které program IRC provádí. Mezi tyto příkazy patří připojení ke kanálu , vytváření zpráv a také odesílání souborů. Červ IRC, který infikoval počítač, hledá programy IRC, které může použít k šíření: když takový program najde, upraví skript, který se automaticky načte. Při příštím spuštění programu IRC červ automaticky odešle skript všem uživatelům v chatovací místnosti . Pokud uživatel stáhnutí přijme a stažený soubor otevře, celý proces se opakuje. V současné době existují červi IRC pro nejméně pět programů IRC ( mIRC , pIRCh, vIRC, dIRC a Xircon).

Bezpečnostní opatření

Opatření, která mají být provedena, aby se zabránilo infekci informačního systému počítačovým červem, jsou množná:

Prevence proti sociálnímu inženýrství

Technické prostředky dosahují svých limitů, pokud jde o ochranu před psychologickým vlivem na uživatele ( sociální inženýrství ), například prostřednictvím zjevně legitimního e-mailu s výzvou ke stažení části infikované pečeti. Je však vhodné informovat uživatele o rizicích, například během anti- phishingových kampaní . Vzdělávání uživatelů znesnadňuje odesílateli červa přesvědčit uživatele, aby otevřel kompromitovaný soubor, například přílohu e-mailu.

Zpracování příloh e-mailů a dalších souborů z externích zdrojů

Doporučujeme neotevírat nevyžádané soubory z příloh e-mailů nebo z jiných zdrojů, i když pocházejí od odesílatele známého příjemci. Skutečnost, že je odesílatel znám, nepředstavuje záruku bezpečnosti:

• odesílatel může mít velmi podobnou e-mailovou adresu (až jeden znak , někdy dokonce na základě podobnosti mezi určitými znaky ,: O / 0, I / l / 1, - / _ atd.), při pokusu o krádež identity od známého odesílatele;
• útočník mohl narušit e-mailovou adresu známého odesílatele, například odcizením jeho pověření;
• známý odesílatel může být sám obětí červa, který používá svou poštovní schránku jako prostředek šíření.

Soubory lze předem zkontrolovat, zda neobsahují obecně známý malware (viz část o antivirových programech níže).

Soubory určené pro konkrétní aplikaci (například hudební soubory s příponou .mp3 nebo soubory obrázků .jpga .jpeg) by neměly být prohlíženy jednoduše pomocí možnosti „otevřít“, ale prostřednictvím možnosti „otevřít pomocí“ v místní nabídce. , Výběrem odpovídající program. Účelem tohoto preventivního opatření je zabránit tomu, aby byl uveden v omyl dvojitou příponou souboru , která využívá skrytí známých přípon souborů (standardně povolených v operačních systémech Microsoft po Windows 95 ) k předstírání uživatele, že infikovaný soubor vacances.jpeg.exe, který je ve skutečnosti spustitelným souborem , je prostě fotografie ve formátu JPEG, protože se zdá, že je to jen vacances.jpegjeho očima.

Zejména dokumenty Office (včetně .doc/ .docx, .xls/ .xlsx, .ppt/ .pptxa souborů .rtf) z externích zdrojů by se neměly otevírat s nainstalovaným programem Office pro jednoduchou konzultaci: ve skutečnosti to zbytečně riskuje makro (malý program) uložené v dokumentu je proveden. Nejlepší je použít aplikaci, která takový soubor dokáže zobrazit a vytisknout, aniž by nabídla možnost spuštění makra.

Ochrana softwaru

Antivirová kontrola

Účelem antivirové kontroly je detekovat notoricky známé viry , červy a trojské koně a pokusit se je blokovat a eliminovat.

Argumenty ve prospěch použití antivirových skenů

Účinnost antivirového řešení je největší, když je malware detekován antivirovou kontrolou před prvním spuštěním škodlivého souboru v počítači, který chrání. Proto je vhodné před spuštěním nebo přečtením zkontrolovat každý nový soubor z externího zdroje ( vyměnitelné médium , webová stránka, e-mailová příloha) s aktualizovaným antivirovým softwarem.

Aby se vyloučily další cesty infekce, také se doporučuje provést kontrolu souborů ze sdílené sítě v případě, že nelze vyloučit střední infekci jedním z ostatních systémů.

Omezení antivirových skenů

Antivirový software používá k detekci malwaru vyhledávací metodu „porovnání podpisů“: prohledává soubory, které mu byly zaslány, na přítomnost známých virových podpisů . Ve skutečnosti nedokáže detekovat malware, který mu (zatím) není znám, a antivirový program tedy nemůže s jistotou určit, zda soubor neobsahuje všechny viry, ale pouze viry, které jsou mu známy . Proto probíhá „rasa“ mezi červovými programátory, kteří se snaží červa co nejvíce skrýt nebo upravit známou variantu tak, aby již nebyla detekována, a návrhář antivirového softwaru, který se snaží zachovat jeho aktuální databáze podpisů.

Protože antivirový software přirozeně vždy zaostává za hrozbami, obsahuje také komponenty, které monitorují procesy používané v počítačovém systému, aby detekovaly podezřelou aktivitu, která potenciálně zradila malware, i když ano. Tyto virové kontroly neznají. Metody detekce a skrytí škodlivých aktivit virů a červů jsou proto předmětem podobné „rasy“.

Jakmile se škodlivý program spustí, může deaktivovat antivirový software nebo manipulovat se systémem tak, aby škodlivé programy již nebyly detekovány antivirovým programem (viz rootkit ).

Příklady červů na internetu

Červy lze zavádět prostřednictvím malých oken s chytlavými zprávami, které se objevují při procházení internetu. V okamžiku kliknutí na odkaz červ vstoupí do počítače. Příklady položek v některých oknech:

• Gratulujeme, právě jste byli vylosováni na pobyt ve Spojených státech.
• Na kartu Visa jste dostali bonus.
• Jste 1 000 000 návštěvníků !! Právě jste vyhráli smartphone.

Červ SAMY ( in ), vytvořený Samy kankarem, infikoval více než milion uživatelů Myspace za pouhých 20 hodin. Na obrazovce infikovaných uživatelů se červ zobrazil takto: „ ale především je Samy můj hrdina “. Každá osoba navštěvující infikovaný profil byla zase infikována.

Červ na Facebooku , který se šíří přes Facebook Messenger , což je systém okamžitých zpráv začleněný do sociální sítě Facebook . Infikovaná osoba automaticky odešle zprávu všem svým kontaktům s odkazem na web, kde lze červa stáhnout.

Červi v beletristických dílech

• V románu Na rázovou vlnu ( 1975 ) John Brunner , Nick Haflinger, počítačový vědec a vzpurný duch, používá počítačového červa (nazývaného had) k zamoření všech sítí a automatickému odhalení jakékoli kompromitující informace.
• V epizodě 13 třetí sezóny série 24 heures chrono vypustila Nina Myersová virus v počítačových systémech protiteroristické buňky.
• V novém Pevnost Digital z Dana Browna se NSA obdrží počítačový červ, který zničí jeho ochranu a hrozí odhalit světu jeho dokumenty klasifikovány obranné tajemství .
• Ve filmu Terminátor 3 je Skynet odhalen jako počítačový červ.
• Ve filmu Operace Mečoun se červ používá ke zpronevěře peněz.
• Ve filmu Film Die Hard 4 napadá počítačový červ hackerské počítače a slouží jako detonátor, který je odpálí, když stisknete klávesu Delete .
• Ve filmu Hackeři se červ používá ke sběru peněz.
• Ve filmu Mission Mission-G ( G-Force ) umístí Krtek červ do digitálního asistenta, aby mohl vstoupit do počítače, který obsahuje ClunterStorm .
• V knize německého autora Karla Olsberga  (de) „Das System“ infikuje internet červ jménem Pandora (umělá inteligence). V Hackerově filmu Chen Dawai odhalil viníka počítačového útoku.
• Ve videohře Metal Gear Solid 2, publikované a vyvinuté společností Konami, používá Emma Emmerich počítačového červa k zabránění spuštění bojové platformy GW.

Poznámky a odkazy

1. Brunner, John (1975). Jezdec Shockwave. New York: Ballantine Books. ( ISBN  978-0-06-010559-4 ) .
2. (in) „  The Submarine  “ , PaulGraham.com,Duben 2005
3. (in) „  Zabezpečení internetu  “ , divize CERT ,Prosinec 1986
4. (in) „  Seznam fágů  “ , SecurityDigest.org
5. (in) J. Dressler , Případy a materiály o trestním právu , St. Paul, MN, Thomson / West,2007, 1044  s. ( ISBN  978-0-314-17719-3 ) , „United States v. Morris '
6. „  Kaspersky Threats - ShareFun  “ , na threats.kaspersky.com (přístup 28. července 2020 )
7. „  Kaspersky Threats - Septic  “ , na threats.kaspersky.com (přístup 28. července 2020 )
8. (in) „  Popis ropuchy | F-Secure Labs  ” , na www.f-secure.com (přístup 28. července 2020 )
9. (in) „  Babylonia Popis | F-Secure Labs  ” , na www.f-secure.com (přístup 28. července 2020 )
10. CAIDA: Centrum pro aplikovanou internetovou analýzu dat , „  CAIDA Analysis of Code-Red  “ , na CAIDA (přístup 28. července 2020 )
11. „  CNN.com - Bezpečnostní firma: Červ MyDoom dosud nejrychlejší - leden 28, 2004  “ , na edition.cnn.com (přístup 20. října 2020 )
12. „  Jak napsat červ RFID,  “ na www.rfidvirus.org (přístup 20. října 2020 )
13. Noah Shachtman , „  Insiders Doubt 2008 Pentagon Hack was Foreign Spy Attack (aktualizováno)  “, Wired ,25. srpna 2010( ISSN  1059-1028 , číst online , konzultováno 20. října 2020 )
14. (en-US) William J. Lynn III , „  Defending a New Domain  “ , zahraniční věci ,16. října 2020( ISSN  0015-7120 , číst online , konzultováno 20. října 2020 )
15. „  Je Stuxnet„ nejlepším “malwarem vůbec?  » , Na archive.vn ,5. prosince 2012(zpřístupněno 20. října 2020 )
16. „  Novinky z archivu laboratoře: leden 2004 až září 2015  “ , na archive.f-secure.com (přístup 27. července 2020 )

Podívejte se také

Související články

• Malware
• Skener zranitelnosti
• Tady máš
• Quine (IT)

externí odkazy

• Počítačový červ - Jak to funguje
• RFC1135 - Helmintiáza internetu