Løsning
De fleste af de trusler, som ESET's sikkerhedsprodukter er designet til at forsvare sig imod, kan klassificeres som virus, malware eller fjernangreb. Bortset fra de programmer, du installerer på din computer, kan din computer blive angrebet af ondsindede programmer (malware) eller endda blive udsat for angreb via et netværk af en person, der betjener en computer fra et fjernt sted. Ondsindet software og fjernangreb kan forårsage følelsesmæssige tab, koste dig tid og også føre til økonomiske tab. Nedenfor finder du beskrivelser af nogle af de mest almindelige typer computertrusler, klik på linkene nedenfor for at springe til det tilsvarende afsnit.
Virus | Malware | Fjernangreb
Virus
En virus er et program, der aktiveres ved at knytte kopier af sig selv til eksekverbare objekter. Virus kan nå din computer fra andre inficerede computere, via datamedier (cd, dvd osv.) eller via et netværk (lokalt eller internet). Der findes flere typer virus:
Fil-vira: Filinficerende vira angriber eksekverbare programmer, f.eks. alle filer med filtypenavnene ".exe" og ".com".
Script-vira: Scriptvira er en undergruppe af filvira, der er skrevet i forskellige scriptsprog (VBS, JavaScript, BAT, PHP osv.). De inficerer enten andre scripts (f.eks. Windows- eller Linux-kommando- og servicefiler) eller udgør en del af vira med flere komponenter. Scriptvira kan inficere andre filformater, f.eks. HTML, hvis filformatet tillader udførelse af scripts.
Boot-vira: Boot-vira angriber boot-sektorer (boot-sektoren på flytbare medier eller harddiskens master boot-sektor) og indstiller deres egne indlæsningsrutiner ved opstart
Makrovirusser: Makrovira angriber dokumenter, hvor der kan indsættes andre kommandoer (makroer). Disse vira er ofte indlejret i tekstbehandlings- eller regnearksprogrammer, da makroer nemt kan indsættes i disse typer filer.
Vira kan også klassificeres efter den måde, de udfører deres handling på. Mens direkte virkende vira udfører en handling umiddelbart efter, at det inficerede objekt er aktiveret, forbliver residente vira og arbejder i computerens hukommelse.
Malware
Malware er betegnelsen for ondsindede programmer og teknikker, som ikke er vira, men som stadig udgør en trussel mod dit system.
Orm: En orm er et selvstændigt program, der kopierer sig selv på tværs af et netværk. I modsætning til en virus (som har brug for, at den inficerede fil kopieres for at kunne kopiere sig selv), spreder ormen sig aktivt ved at sende kopier af sig selv via LAN eller internet, e-mailkommunikation eller gennem sikkerhedsbugs i operativsystemet.
De kan også bringe yderligere malware med sig (som f.eks. installation af bagdørsprogrammer - senedenfor), selvom denne adfærd ikke er strengt begrænset til orme. Orme kan forårsage stor skade - ofte bruges de til at "jamme" kommunikationskanaler ved hjælp af et DoS-angreb. En orm er i stand til at sprede sig over hele verden via internettet på få minutter.
Trojaner: En trojaner er et malware-program, som i modsætning til virus og orme ikke kan kopiere sig selv og inficere filer. Det findes normalt i form af en eksekverbar fil (.exe, .com) og indeholder ikke andet end selve den trojanske kode. Derfor er den eneste løsning at slette den.
Trojanske heste har forskellige funktioner, lige fra keylogging (de logger og sender alle tastetryk) til sletning af filer eller diskformatering. Nogle indeholder en særlig funktion, der installerer et bagdørsprogram (en klient-server-applikation, der giver udvikleren fjernadgang til din computer). I modsætning til almindelig (legitim) software med lignende funktioner installerer det sig selv uden samtykke fra klientcomputeren.
Adware: Adware er en forkortelse for reklameunderstøttet software, som er software, der er dedikeret til at vise reklamer. Adware fungerer ved at vise pop op-vinduer under internetsurfing, ved at indstille forskellige websteder som din startside eller ved at åbne et særligt programgrænsefladevindue.
Adware leveres ofte sammen med programmer, der kan downloades gratis, og kunden informeres normalt om dette i slutbrugerlicensaftalen. Adware-reklamer giver freeware-udviklere mulighed for at tjene penge ved at tilbyde programfunktioner, der kun er tilgængelige i den betalte version. I de fleste tilfælde falder installation af adware inden for de juridiske retningslinjer - der er mange legitime reklameunderstøttede programmer. Men spørgsmål som reklamernes selvsikkerhed og deres indhold kan gøre lovligheden af visse former for adware tvivlsom.
Spyware: Spyware er software, der bruger internettet til at indsamle forskellige følsomme oplysninger om brugeren, uden at han/hun er klar over det. Nogle Spyware-programmer søger efter oplysninger som f.eks. aktuelt installerede programmer og en historik over besøgte hjemmesider. Andre Spyware-programmer er skabt med et langt farligere formål: indsamling af finansielle eller personlige data med henblik på identitetstyveri.
Riskware: Denne type malware omfatter alle programmer, der øger brugerens sikkerhedsrisiko, når de kører. Ligesom ved installation af spyware og adware kan installation af riskware bekræftes af en licensaftale. "Dialers" er et almindeligt eksempel på Riskware-programmer, der omdirigerer forbindelsen til et forudindstillet betalt nummer. Sådanne programmer kan lovligt bruges til betaling af internettjenester, men de misbruges ofte, og viderestillingen sker uden brugerens viden.
Farlige applikationer: En farlig applikation er betegnelsen for lovlige programmer, der, selvom de er installeret af brugeren, kan udsætte ham/hende for sikkerhedsrisici. Eksempler er kommerciel keylogging eller screen capture, værktøjer til fjernadgang, password-cracking og programmer til sikkerhedstestning.
Fupnumre: Et fupnummer er bevidst misinformation, der sendes via e-mail og spredes ved hjælp af en intetanende eller uinformeret offentlighed. Hoaxes er typisk designet til at få en bruger til at gøre noget, de ikke bør gøre. Ondsindede hoax råder ofte brugere til at slette gyldige operativsystemfiler og hævder, at filen er en farlig virus.
I mange tilfælde henviser hoaxes til en troværdig institution/virksomhed for at få læserens opmærksomhed. For eksempel "Microsoft advarer om, at..." eller "CNN annoncerer". Disse meddelelser advarer ofte om katastrofale eller endda katastrofale konsekvenser. Advarslerne har én ting til fælles - de opfordrer brugerne til at sende beskederne til alle, de kender, hvilket viderefører fupnummerets livscyklus. 99.9 % af denne type beskeder er fup.
Fupnumre kan ikke sprede sig af sig selv, og den eneste måde at beskytte sig selv på er at kontrollere ægtheden af en e-mailmeddelelses påstande, før man foretager sig noget.
Svindel: Bredt defineret er svindel bedrageri over for computerbrugere med henblik på økonomisk gevinst eller identitetstyveri. Et af de mest almindelige svindelnumre involverer en uopfordret fax, e-mail eller brev fra Nigeria eller en anden vestafrikansk nation. Brevet ser ud til at være et legitimt forretningsforslag, men kræver et forudbetalt gebyr fra modtageren. Tilbuddet er selvfølgelig falsk, og eventuelle gebyrer, der er betalt af målet, bliver straks stjålet.
En anden almindelig form for svindel er phishing-mails og -hjemmesider. Formålet med disse svindelnumre er at få adgang til følsomme data som bankkontonumre, PIN-koder osv. Adgang opnås normalt ved at sende en e-mail, der udgiver sig for at være en troværdig person eller virksomhed (pengeinstitut, forsikringsselskab).
E-mailen (eller hjemmesiden, som brugeren sendes til) kan se meget ægte ud og indeholde grafik og indhold, som måske oprindeligt kommer fra den kilde, som den udgiver sig for at være. Brugeren vil blive bedt om at indtaste personlige data som bankkontonumre eller brugernavne og adgangskoder. Alle disse data kan nemt stjæles og misbruges, hvis de indsendes.
Det skal bemærkes, at banker, forsikringsselskaber og andre legitime virksomheder aldrig vil bede om brugernavne og adgangskoder i en uopfordret e-mail. For mere information om hoaxes, scamming og phishing, click here.
Fjernangreb
Særlige teknikker, som giver angribere mulighed for at kompromittere eksterne systemer. Disse er inddelt i flere kategorier:
DoS-angreb: DoS, eller Denial of Service, er et forsøg på at gøre en computer eller et netværk utilgængeligt for de tiltænkte brugere. DoS-angreb blokerer kommunikationen mellem de berørte brugere og forhindrer dem i at fortsætte på en funktionel måde. En almindelig angrebsmetode går ud på at mætte målmaskinen med eksterne kommunikationsanmodninger, så målmaskinen ikke kan reagere på legitim trafik eller reagerer så langsomt, at den reelt bliver utilgængelig. Sådanne angreb fører normalt til en overbelastning af serveren. Computere, der udsættes for DoS-angreb, skal normalt genstartes for at kunne fungere korrekt.
Målene for DoS-angreb er webservere, og målet er at gøre dem utilgængelige for brugerne i et bestemt tidsrum.
DNS-forgiftning: Ved hjælp af DNS-forgiftning (Domain Name Server) kan hackere narre DNS-serveren på en hvilken som helst computer til at tro, at falske data er legitime og autentiske. De falske oplysninger cachelagres i en vis periode, så angriberne kan omskrive IP-adressernes DNS-svar. Resultatet er, at brugere, der forsøger at få adgang til DNS-forgiftede hjemmesider, vil downloade computervirus eller orme i stedet for hjemmesidens oprindelige indhold.
Portscanning: Portscanning bruges til at finde ud af, hvilke computerporte der er åbne på en netværkshost. En portscanner er software, der er designet til at finde sådanne porte.
En computerport er et virtuelt punkt, som håndterer indgående og udgående data - det er afgørende ud fra et sikkerhedssynspunkt. I et stort netværk kan de oplysninger, der indsamles af portscannere, hjælpe med at identificere potentielle sårbarheder. En sådan brug er legitim.
Alligevel bruges portscanning ofte af hackere, der forsøger at kompromittere sikkerheden. Deres første skridt er at sende pakker til hver port. Afhængigt af svartypen er det muligt at afgøre, hvilke porte der er i brug. Selve scanningen forårsager ingen skade, men vær opmærksom på, at denne aktivitet kan afsløre potentielle sårbarheder og give angribere mulighed for at tage kontrol over fjerncomputere.
Netværksadministratorer rådes til at blokere alle ubrugte porte og beskytte dem, der er i brug, mod uautoriseret adgang.
TCP-desynkronisering: TCP-desynkronisering er en teknik, der bruges i TCP-hijacking-angreb. Den udløses af en proces, hvor det sekventielle nummer i indgående pakker afviger fra det forventede sekventielle nummer. Pakker med et uventet løbenummer afvises (eller gemmes i bufferlageret, hvis de er til stede i det aktuelle kommunikationsvindue).
Ved desynkronisering afviser begge kommunikationsslutpunkter modtagne pakker, og på det tidspunkt kan fjernangribere infiltrere og levere pakker med et korrekt løbenummer. Angriberne kan endda manipulere eller ændre kommunikationen.
TCP Hijacking-angreb har til formål at afbryde server-klient- og/eller peer-to-peer-kommunikation. Mange angreb kan undgås ved at bruge autentificering for hvert TCP-segment. Det anbefales også at bruge de anbefalede konfigurationer til dine netværksenheder.
SMB-relæ: SMBRelay og SMBRelay2 er særlige programmer, der er i stand til at udføre angreb mod fjerncomputere. Programmerne udnytter Server Message Block-fildelingsprotokollen, som er indlejret i NetBIOS. En bruger, der deler en mappe eller et bibliotek inden for LAN, bruger sandsynligvis denne fildelingsprotokol. Inden for lokal netværkskommunikation udveksles password-hashes.
SMBRelay modtager en forbindelse på UDP-port 139 og 445, videresender de pakker, der udveksles af klienten og serveren, og ændrer dem. Efter tilslutning og godkendelse afbrydes forbindelsen til klienten. SMBRelay opretter en ny virtuel IP-adresse. Man kan få adgang til den nye adresse med kommandoen "net use \192.168.1.1". Adressen kan derefter bruges af alle Windows' netværksfunktioner. SMBRelay videresender SMB-protokollens kommunikation med undtagelse af forhandling og godkendelse. Fjernangribere kan bruge IP-adressen, så længe klientcomputeren er tilsluttet.
SMBRelay2 fungerer efter samme princip som SMBRelay, bortset fra at den bruger NetBIOS-navne i stedet for IP-adresser. Begge kan udføre "man-in-the- middle"-angreb. Disse angreb gør det muligt for fjernangribere at læse, indsætte og ændre beskeder, der udveksles mellem to kommunikationsslutpunkter, uden at det bliver bemærket. Computere, der udsættes for sådanne angreb, holder ofte op med at reagere eller genstarter uventet. For at undgå angreb anbefaler vi, at du bruger adgangskoder eller nøgler til autentificering.
ICMP-angreb: ICMP (Internet Control Message Protocol) er en populær og meget brugt internetprotokol. Den bruges primært af netværkscomputere til at sende forskellige fejlmeddelelser.
Fjernangribere forsøger at udnytte svaghederne i ICMP-protokollen. ICMP-protokollen er designet til envejskommunikation, der ikke kræver autentificering. Det gør det muligt for fjernangribere at udløse DoS-angreb (Denial of Service) eller angreb, der giver uautoriserede personer adgang til indgående og udgående pakker.
Typiske eksempler på ICMP-angreb er ping flood, ICMP_ECHO flood og smurf-angreb. Computere, der udsættes for et ICMP-angreb, vil opleve en betydeligt langsommere ydeevne i applikationer, der bruger internettet, og have problemer med at oprette forbindelse til internettet.
Hvis du vil vide mere om trusler, fjernangreb og malware, kan du besøge vores trusselsleksikon.
