Viry a jejich příbuzní aneb poznej svého nepřítele

Není virus jako virus

Každý člověk, i jen mírně poučený v IT záležitostech, ví, že existuje škodlivý software, který je označován jako virus. A naopak, software, který pomáhá bránit se proti virům, se označuje jako antivirus. V průběhu času vznikly nové varianty škodlivého software, které se chovají jinak než klasický virus. Mají například jiný způsob šíření. Aby bylo jasné, o čem se IT profesionálové zabývající se bezpečností baví, začaly být nové varianty rozdělovány do kategorií a tyto kategorie pojmenovány. Je to jako mezi zoology nebo botaniky, kteří používají taxonomické kategorie, ale zjednodušené. Známe např. trojan, worm, adware, ransomware, crimeware, spyware a další. Obecné označení škodlivého software je malware (malicious software). A například ransomware není virus, ale něco jako jeho bratranec. Pokud to převedeme do taxonomie, máme tu například třídu Malware, řád Ransomware, čeleď Exploit, druh WannaCry. A věřte, že zrovna tento typ nás skutečně může přivést až k pláči…

Jak se nám malware dostane do počítače

V dřevních dobách výpočetní techniky se viry šířily na disketách. Chytit ho z diskety je dnes už prakticky i technicky nemožné, ale princip tohoto způsobu šíření pomocí přenosného média zůstává stále stejný. V dobré víře do počítače vložíte DVD, které jste od někoho dostali, zapojíte externí disk nebo flash paměť a máte ho tam. V některých případech ani nemusíte na nic klikat. S rozvojem internetu se rozšířily i možnosti, jak virus „chytit“. Soubor se škodlivým obsahem vám přijde elektronickou poštou nebo si ho přímo stáhnete z internetu, případně ze sdíleného úložiště ve firmě, kam ho nevědomky uložil některý z kolegů nebo kde si jeho kopii chytrý malware vytvořil sám.

Několik podstatných skutečností

Malware již není záležitostí pouze přímo spustitelných souborů typu .com nebo .exe, jak tomu bývalo ještě v nedávné minulosti. Škodlivý kód může být součástí jakéhokoliv souboru, který používá programový kód, např. ve formě maker (např. Excel nebo Word soubory). Může být i součástí jiných souborů (např. multimediálních souborů), u kterých využívá chyby v programech pro jejich použití (v uvedeném případě jde o přehrávače). Každý software obsahuje chyby, obsahuje je i operační systém počítače. V případě, kdy tyto chyby vedou k tomu, že například lze software, ale i samotný operační systém ovládnout (např. dostat se k datům, vkládat nové záznamy nebo data měnit – třeba i jejich zašifrováním), jsou tyto chyby nazývány exploit. Například již zmíněný ransomware WannaCry využíval chybu v protokolu SMB, což je základní protokol pro sdílení prostředků a dat ve světě Windows.

Aktualizace bez legrace

Zhruba jednou týdně na ty z nás, kteří používáme Windows, vykoukne hláška, že jsou k dispozici nové aktualizace. Čím déle jejich instalaci odkládáme, tím větší je pravděpodobnost průšvihu. Nikdy totiž nevíte, jestli vámi odkládaná aktualizace náhodou neřeší závažný exploit, kterým se třeba ještě dnes odpoledne bude šířit nový malware… Když už nyní víme, co je exploit, doplňme si kategorii zero day exploit, tedy exploit nultého dne. Jde o zranitelnost, o níž kromě autora malware zatím nikdo neví, a tudíž ještě neexistuje záplata, která by problém řešila.     Kromě exploitů, které jsou do systému vneseny programátorskou chybou (nemusí jít vyloženě o chybu programátora, ale i o nevhodně navržený mechanismus řešení nějakého úkolu), existují i exploity vnesené cíleně. Tyto pak nazýváme backdoor – neboli zadní vrátka, a jako zadní vrátka i slouží. Asi vás nepřekvapí, že některá z nich má údajně na svědomí např. americká bezpečnostní agentura NSA – vlády jsou velmi zvědavé a informace jsou dnes tou nejdůležitější komoditou. Nejčastěji se s tímto problémem setkáme u software, který jsme někde „podloudně“ získali. Podloudně nemusí nutně znamenat činnost v rozporu s právem autorským, může zde jít o obcházení podnikových pravidel – na firemním počítači nemají co dělat aplikace, které nejsou firemním IT oddělením prověřené a schválené.

Braňme se účinně a včas

Standardní antivirus funguje na základě signatur – tedy příznaků známých řetězců v souborech. Těmi řetězci je představován softwarový kód – pro zjednodušení si to lze představit tak, že instrukce „zašifruj všechny soubory typu .doc“ bude v kódu představována určitou sekvencí nul a jedniček a pokud antivirus v souboru narazí na toto uskupení, vyvolá poplach a obrannou reakci. Kromě klasických antivirových programů existují „obranné“ systémy další generace, jejichž je antivir podmnožinou. Nazývají se Universal Threat Management (UTM) a jde o komplexní ochranu koncových zařízení a serverů před všemi možnými typy útoku. Dnes se pomalu rozšiřují systémy, které s podezřelými soubory pracují např. tak, že je před otevřením na počítači odešlou do centra kontroly příslušného ochranného aparátu, který soubory prověří z hlediska bezpečnosti a následně povolí nebo nepovolí jejich spuštění. To vše na pozadí, bez nutnosti zásahu uživatele. Pokud s námi souhlasíte, že bezpečné IT prostředí je jedním z nejdůležitějších aktiv vaší firmy, nabízíme vám spolupráci se specialisty RSM CZ. Máme téměř 30 let zkušeností v oblasti IT, široké kompetence a partnerství s významnými poskytovateli v oblasti zabezpečení informačních technologií a rádi se postaráme o maximální zabezpečení i vašich dat.