Phishing – prosty i prymitywny

Phishing to tylko jeden ze sposobów na wyciągnięcie danych z komputera. W gruncie rzeczy dość prymitywny, bo zakłada współpracę użytkownika komputera, który sam podaje poufne dane w odpowiedzi na prośbę hakera. Na phishing jedyną metodą jest ostrożność i rozwaga człowieka, a na to żaden program ani żaden producent nie daje gwarancji. Oczywiście, są programy, które blokują e-maile, które wg nich mogą pochodzić od cyberoszustów, ale mają one tę wadę, że blokują również część poczty interesującej dla użytkownika. Dopiero trojany stanowią istotnie duże wyzwanie.

Kto wpuścił tego (trojańskiego) konia?

SkÄ…d siÄ™ biorÄ… trojany, a raczej – w jaki sposób mogÄ… siÄ™ dostać do naszego komputera i zacząć swojÄ… podstÄ™pnÄ… dziaÅ‚alność? Metod jest kilka - mogÄ… zostać aktywowane po otwarciu przez użytkownika zaÅ‚Ä…cznika do wiadomoÅ›ci e-mail lub klikniÄ™ciu odnoÅ›nika wysÅ‚anego za poÅ›rednictwem komunikatora internetowego. MogÄ… zostać uruchomione po otwarciu pliku z foldera w sieci P2P lub przez użycie na stronie internetowej skryptów, które wykorzystujÄ… bÅ‚Ä™dy i luki w przeglÄ…darkach internetowych. Programy takie mogÄ… również być rozprzestrzeniane przez inne wczeÅ›niej zainstalowane szkodliwe programy, które potrafiÄ… pobierać i instalować je w systemie.

Jak koń wznieca pożar?

Trojany mają przede wszystkim wyciągnąć informacje o użytkowniku oraz hasła do programów i usług systemów operacyjnych. W tym celu skanują wszystkie obszary pamięci zawierające istotne dane: obszar chroniony systemu Windows, klucze rejestru oraz pliki niektórych programów, które mogą być interesujące dla hakerów (komunikatory internetowe, systemy pocztowe i przeglądarki internetowe).

Po zebraniu danych trojan szyfruje je i kompresuje do niewielkiego pliku binarnego. Plik ten może być wysłany za pośrednictwem poczty elektronicznej lub umieszczony na serwerze FTP szkodliwego użytkownika.

Jak siÄ™ chronić przed pożarem – podejÅ›cie tradycyjne

Prawie wszystkie dzisiejsze rozwiązania bezpieczeństwa (typu Security Suite) zawierają komponent, który chroni poufne dane i zwykle nosi nazwę Kontrola Prywatności. Kluczową funkcją tego składnika jest zabezpieczanie poufnych danych na komputerze użytkownika przed nieautoryzowanym dostępem i transmisją. Jednak tradycyjne rozwiązania antywirusowe opierają swoje podejście na założeniu, że użytkownik zdefiniuje dane, które uważa za poufne, a program będzie następnie analizował cały ruch wychodzący z komputera i albo "potnie" wszystkie wychodzące poufne dane, albo je zastąpi.

Problem polega jednak na tym, że 80 proc. trojanów nie wyciąga nam tajnych danych w czystej postaci ekstraktu . A jeżeli dane będą zaszyfrowane, system ochronny zwyczajnie ich nie rozpozna i ani nie zablokuje, ani nie potnie. Dodatkowo konieczność zdefiniowania przez użytkownika poufnych danych znakomicie ułatwia pracę trojanowi, który nie musi już przeszukiwać całego systemu w poszukiwaniu informacji.

Koń (trojański) musi być śledzony przed...wznieceniem ognia

Trojany można też blokować na wcześniejszych etapach, zanim dane zostaną przesłane i będzie za późno. Aby ukraść poufne informacje, taki szkodliwy program musi wykonać dwie czynności: znaleźć informacje i wydobyć je z miejsca, w którym są przechowywane, a następnie przesłać autorowi. Przed niekontrolowanym wysyłaniem danych w pewnym stopniu chronią zapory, które kontrolują aktywność sieciową aplikacji znajdujących się na komputerze. Z tego powodu wiele trojanów próbuje w rozmaity sposób je obejść.

Dlatego dobrym rozwiązaniem jest śledzenie aktywności aplikacji, której zachowanie wskazuje na potencjalną próbę kradzieży (np. uruchomienie przeglądarki i próba przesyłania za jej pośrednictwem). Wtedy szyfrowanie skradzionych danych nie stanowi problemu, ponieważ szkodliwa funkcja zostanie zablokowana zanim informacje będą mogły zostać przesłane.

Na kłopoty - KIS

Nowe rozwiązanie zostało zaimplementowane m.in. w oprogramowaniu Kaspersky Internet Security 7.0. Moduł ochrony poufnych danych analizuje zachowanie wszystkich procesów w systemie użytkownika i jeśli wykryje próby obejścia zapory oraz pobierania i wysyłania poufnych danych, albo ostrzeże użytkownika, albo automatycznie zablokuje te czynności.

Dzięki temu ryzyko, że informacje niepostrzeżenie wyciekną nam z komputera jest znacznie mniejsze niż jeżeli zdalibyśmy się na tradycyjny sposób ochrony.

I tak wzrasta bezpieczeństwo naszych danych o co przecież zabiegamy.