Neuplyne týden, aby nás odborná, či populární média neinformovala o nových zkázotvorných virech, pekelnou rychlostí se internetem šířících červech, bezpečnost ohrožujících trojských koní, otravných tunách komerčního spamu, o pomoc naléhavě žádajících hoaxů, bezpečnostních dírách a nově vydávaných záplatách v masově používaných programech. Neuplyne čtrnáct dní, aby se mi někdo ze známých s trochu zmateným slovníkem nesvěřil, že se mu do počítače dostalo pár virů, trojanů, nebo červů a nepožádal mě o pomoc. Když pak chci vědět, co přesně má dotyčný za problémy, zjistím, že největším problémem je především správně se vyjádřit a ve všech těch hrůzu nahánějících pojmech se alespoň trochu orientovat.

Začněme ne v našich končinách úplně frekventovaným termínem malware (MALicious softWARE), který bychom do češtiny mohli přeložit jako škodlivý software. Pod pojem malware řadíme všechen software vytvořený za účelem poškození cizího počítačového systému. Nejčastěji jsou těmito škodlivými programy viry a červy. Dalšími velmi rozšířenými programy pak jsou trojské koně, spyware a dialery.

Když se řekne virus

Skupinou snad nejvíce skloňovanou jsou viry. Jak říká definice, vir je program, který sám sebe dokáže replikovat (množit), přičemž k tomu potřebuje hostitele, ke kterému je připojen. V 80. letech byly těmito hostiteli bootovací sektory disket, disků a spustitelné soubory. V 90. letech se pak k těmto možným nositelům přidala spustitelná makra a emailoví klienti, umožnující spouštět přílohy. Princip šíření viru je následující. Jakmile se spustí hostitel, provede se vykonání kódu viru, během kterého se virus snaží hlavně o svoji replikaci tím, že se připojí k dalším vhodným spustitelným hostitelům. Kromě snahy o svou replikaci může samozřejmě vykonávat mnoho dalších škodlivých operací.

Pokud pomineme literaturu, v níž se první virus objevuje v novele Davida Gerrolda – „When H.A.R.L.I.E. was One“ ze sedmdesátých let, nalezneme první užití termínu virus v akademické práci Freda Cohena s názvem „Experiments with Computer Viruses“ z roku 1984. První skutečné viry, i když se jim viry neříkalo, nalezneme však ještě o něco dříve. Například boot vir „Elk Cloner“ z roku 1982 pro Apple, který byl napsán mladým středoškolským studentem Richardem Skerentou.

První masově rozšířený virus pro platformu PC, byl vytvořen v roce 1986 (DOS) v Pakistánu, bratry Basitem Farooq Alvilem a Amjadem Farooq Alvilem, kteří provozovali počítačoví obchod v Lahore. Jednalo se o boot virus „Brain“, který se při zapomenuté disketě v mechanice při načítání systému rezidentně nahrál do paměti počítače, odkud se pak přehrával na každou další vloženou disketu. Jeho činností, mimo své množení byla pouhá změna popisku diskety na „(c) Brain“. Protože virus nevykonával žádnou destruktivní činnost, mohl se bez problémů celosvětově rozšířit. Možná ho i dnes někteří z pamětníků mohou nalézt na svých starých 8“ disketách.

Nyní si uvedeme jak je to s viry na Linuxu. Nejvíce virů je dnes napsáno pod operační systém Windows. Uvádí se více jak 60 000. Tyto viry, pokud nebereme v úvahu některý z emulátorů, na Linuxu nefungují, protože Linux není binárně kompatibilní s Windows. Nemohou tak způsobit žádnou škodu.

A kolik je tedy virů vytvořených přímo pro systém Linux? Prakticky žádné. Někdo argumentuje malou rozšířeností Linuxu na stanicích, jiný zase systému oprávnění, který běžným uživatelům neumožňuje měnit programy a instalovat nové aplikace. Pokud správce systému dodržuje několik základních pravidel je šíření virů v Linuxu prakticky nemožné. Podobné mechanismy má i systém Windows NT nebo vyšší (2000, XP), ale bohužel je málokterý správce nastavuje. Dalším argumentem je pak i multiplatfornost OS Linux.

Červi, žížaly a brouci

Červi na rozdíl od virů nepotřebují pro své šíření hostitele, ale šíří se ve formě síťových paketů. Pakety s červem jsou pak směřovány od nakaženého systému na další systémy v síti. Pro úspěšné šíření červů je potřeba specifické bezpečnostní díry v serverovém software. První červ se jmenoval „Morris“ a světlo počítačového světa spatřil v roce 1988. Šířil se velmi rychle a během několika hodin zahltil značnou část tehdejší sítě.

Daleko horších chvil si uživatelé sítě internet užili s červem „Lovsan/Blaster“, který se začal šířit v první polovině srpna roku 2003. Během několika hodin se tento vir dostal ke všem uživatelům připojeným v tu chvíli k Internetu. V závislosti na tom, jaký operační systém pak používali a v jakém stavu ho měli byl průnik do systému úspěšný či nikoliv. Úspěšný byl u systému Windows 2000/XP, u nichž nebyly instalovány nejnovější bezpečnostní záplaty. Posledním velmi úspěšným červem o kterém se mnoho v minulém roce psalo byl červ „Sasser“, který se velmi podobal červu „Lovsan/Blaster“.

Pro Linux se v minulosti objevili asi tři významnější červi: Bliss, Slapper a Linux/Ramen, kterých se však uživatelé Linuxu nemuseli nijak zvlášť obávat. Bliss byl pouze laboratorním experimentem firmy McAfee, a tak nedoznal žádného rozšíření. Slapper napadal některé verze webovského serveru Apache. Používal zranitelnou verzi šifrovací knihovny OpenSSL a systém mohl napadnout pouze tehdy, byl-li na serveru přítomen kompilátor GCC. Tento kompilátor pak ke všemu musel být spustitelný uživatelem, pod kterým Apache běžel. Linux/Ramen napadal jen některé nezabezpečené systémy distribuce Red Hat.

K dalším druhům škodlivého software už jen velmi krátce. Trojský kůň je program předstírající užitečnou činnost, ale ve skutečnosti škodí. Spyware využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Dialer zase mění způsob přístupu na Internet prostřednictvím modemu, aby tak poškodil uživatele. Místo běžného telefonního čísla pro internetové spojení přesměruje vytáčení na čísla se zvláštní zvýšenou tarifikací.
Jako obranu proti malware, lze především kromě použití pravidelně aktualizovaného antivirového programu a firewallu doporučit jistou disciplinovanost samotných uživatelů. Uživatelé systému by neměli bez rozmyslu spouštět vše co se jim ke spouštění nabízí. Dále by pak měli dbát na pravidelné aktualizování svého systému.

Spam

Ač v současné době ještě žádná obecně uznávaná definice pro spaming neexistuje, mohli bychom jej definovat jako hromadné rozesílání nevyžádaných zpráv. Tyto nevyžádané zprávy pak nazýváme spam. Spam může být komerčního i nekomerčního charakteru a kromě počítačů se se spamem můžeme setkat i na mobilních telefonech. Naštěstí tento druh mobilního spamingu není v našich končinách častý.

Pro mnohé, nejvíce však příznivce britské komediální skupiny Monty Python, bude jistě zajímavý a překvapivý původ slova spam. SPAM (Spiced Pork And Ham) je označení konzerv lančmítu amerického výrobce Hormel Foods, které se vyrábějí od 30. let minulého století. Na adrese www.spam.com byste tedy marně hledali informace o počítačovém spamu.

V roce 1970 pak britská skupina Monty Python použila SPAM do svého „SPAMového“ skeče v seriálu. Celý skeč trval pouhé dvě minuty a pojednával o manželech Burnových, kteří si v restauraci objednávali jídlo. Jediné, co jim však číšník nabízel byl SPAM, s čímž byli značně nespokojeni. Závěr skeče pak zakončil hlasitý zpěv Vikingů, ktěří zpívali: „Spam, lovely spam, wonderful spam.“

Jak tedy z celé scénky vyplývá, zákazníkům bylo stále do kola nabízeno něco, co vůbec nechtěli a co je otravovalo. Stejně tak se cítili i adresáti nevyžádaných zpráv a mailů, které se v síti USENET a ARPANET začali objevovat na konci 70. let. Tehdy ještě nikdo slovo spam oficiálně pro nevyžádané zprávy nepoužíval. Komerční SPAM se poprvé objevil v roce 1994, kdy si právníci Laurence Canter a Martha Siegel najali programátora, který vytvořil skript, jenž všem uživatelům USENETU zaslal zprávu obsahující nabídku vyplnění přihlášky do loterie o zelenou kartu.

Dnes to ze spamingem nevypadá o nic lichotivěji než ve zmiňovaném roce 1994. Udává se, že až 50% e-mailu je dnes tvořeno spamem. Den co den jsou naše emailové schránky, diskuzní fóra, IM klienti, bombardovány mnoha spamy denně. Což stojí nejen náš čas jako uživatelů, ale i finanční prostředky provozovatelů internetových serverů.

Jak se tedy proti spamu bránit? Jedinou prevencí je nezveřejňovat svou adresu v kdejakém fóru a neregistrovat se do podezřelých služeb. A když už spam obdržíme, tak na něj v žádném případě neodpovídat. Pokud spam nabízí možnost odhlášení spamu, tak tuto možnost raději nevyužít. Většinou tak odesilatele spamu ujistíme, že je naše schránka aktivní.

Další možností obrany je použití greylistingu, nebo bayesova filtrování. Princip greylistingu je založen na principu sledování serverů, z kterých e-maily přijímáme. Při důvěryhodném serveru (např. to může být známý či zákazník) je email doručen k adresátovi ihned. Při nedůvěryhodném serveru je na poprvé zpráva odmítnuta. Jelikož protokol SMTP nařizuje, že se při nedoručení (z důvodů např. zaplněné schránky) má odesílající server pokusit e-mail doručit (podle nastavení např. každou hodinu po dobu 36 hodin) a díky tomu, že spameři používají v drtivé většině pouze jednorázové skripty (odešlou a ihned zametají stopy), tak se dopis zkrátka nedoručí. Pravý SMTP server se jej pokusí doručit po určité době znovu – a to již server s graylistingem dopis doručí do uživatelovy schránky. U greylistingu se úspěšnost uvádí kolem 95%.

Bayesovo filtrování je založeno na učícím algoritmu, který je schopen se naučit z předem rozdělených zpráv (spam, ne-spam) určité znaky (na základě statistiky), a ty pak aplikovat. Dokáže tak poměrně přesně rozdělit (klasifikovat) příchozí poštu na spam a normální komunikaci. Velmi přitom však záleží na vybraných vzorcích.

A jak proti spamu bojovat aby ho bylo méně? Jednodušše, neprojevovat o jeho obsah zájem a zboží či nabídky v něm uvedené neobjednávat a kategoricky neakceptovat. Pokud spam bude mít kladnou odezvu byť u nepatrného počtu příjemců (uvádí se řádově procenta), bude se vynaložená snaha jeho odesílatelům vyplácet.

Tolik ze světa škodlivého software a spamu. Doufám že vám informace zmíněné v článku pomohou v další orientaci mezi škodlivým softwarem a spamem.

Odkazy:

Computer Viruses – Theory and Experiments

Igiho stránka o virech

Článek vyšel původně v časopisu LinuxEXPRES. Autor článku Lukáš Faltýnek.

Článek je uveřejněn s GNU FDL licencí (anglicky).