До момента в PCGuide.bg сме разглеждали в детайли същността на повечето от най-разпространените видове заплахи в мрежата. В този материал обаче ще се опитаме да дефинираме кратко, ясно и точно двадесет от най-използваните понятия в сферата на това, което наричаме киберсигурност. Включили сме някои основни понятия в антивирусната защита, основните видове злонамерен софтуер и по-популярните начини за атака през интернет.
Но преди да започнем нека отговорим на въпроса какво е киберсигурност. Според Закона за киберсигурността „Киберсигурност е състояние на обществото и държавата, при което чрез прилагане на комплекс от мерки и действия киберпространството е защитено от заплахи, свързани с неговите независими мрежи и информационна инфраструктура или които могат да нарушат работата им.“
Ще поставим акцент върху една по-разбираема дефиниция на компанията Лирекс за това понятие: киберсигурността се осигурява чрез използване на подходяща мрежова архитектура, софтуер и други технологии за защита от кибератаки. Целта на киберсигурността е да предотврати или смекчи увреждането или унищожаването на компютърните мрежи, приложения, устройства и данни.
И така, нека преминем към някои от най-използваните понятия в защитата от зловреден софтуер и различни атаки на киберпрестъпниците:
Антивирусен софтуер
Понятието антивирус е софтуер (програма, приложение), създадено от легитимен източник, за да защитава системата от злонамерен софтуер и да го неутрализира, ако такъв бъде открит.
По принцип, повечето антивирусни програми предлагат защита в реално време – модули, които работят на фонов режим и следят какво се случва в системата по всяко време. С други думи казано, това са антивирусни програми, които пазят вашата система докато я използвате.
Други антивирусни приложения предлагат единствено скенер, който проверява файловата система, когато потребителят сам инициира сканиране. Обикновено това са малки инструменти за „почистване“ на определени видове зловреден софтуер или някои безплатни версии на популярни антивирусни продукти.
Антивирусните програми са предназначени да се борят срещу широк спектър от зловреден код. Функциите им далеч не се ограничават до защита на системата от вируси (които са една малка част от злонамерените програми). Антивирусните приложения би следвало да откриват повечето разпространени форми на малуера – червеи, троянци, спайуер, руткити, криптовируси, потенциално опасни програми и т.н.
Много от съвременните антивирусни продукти на пазара предлагат и допълнителни възможности за защита, като защитна стена, приставки за уеб браузър, модул за родителски контрол, мениджър на пароли, а дори някои версии разполагат с пакет инструменти за оптимизация на системата.
Антималуер
Антималуер е софтуерен инструмент (програма, приложение), предназначен да идентифицира и неутрализира злонамерени програми, попаднали в системата.
Вероятно си задавате въпроса, каква е разликата между антивирусните и антималуер програмите?! Принципно, такава няма – и двете понятия се използват за назоваване на някакъв легитимен софтуер, който се бори срещу определен спектър от зловредни програми. Разлика евентуално може да идва от комплекса предлагани функции от дадени продукти, наричащи себе си „антималуер“ и такива носещи търговско име „антивирус“. Все пак и в двата случая идеята е една – да защитават вашето устройство от зловреден код.
Защитна стена (firewall)
Защитната стена или файъруол е специализиран софтуер или хардуер, който следи входящия и изходящия мрежови трафик. Защитната стена определя кои вътрешни услуги могат да са достъпни от външната към вътрешната мрежа и обратно. Това, разбира се, става по определени правила.
Според Уикипедия, три са основните функции на защитната стена:
– да блокира данните, за които има вероятност да прикриват хакерски атаки,
– да скрива информация за мрежата, като за изходящия трафик маскира IP адреса на мрежата с IP адреса на защитната стена,
– да води дневници (logs) за информационния поток със записи на определени събития.
Черен списък (Blacklist)
Черният списък обикновено е модул към даден вид защита (антивирусна програма, защитна стена, имейл защита), който позволява да изброите различни уебсайтове (URL адреси), имейл адреси, IP адреси, потребители или приложения, които смятате за несигурни и искате те да бъдат блокирани.
Обикновено черните списъци се използват като мярка за безопасност в интернет от родителите, за да гарантират, че децата им няма да имат достъп до неподходящо съдържание за възрастни.
Тук е момента да споменем и понятието „бял списък (whitelist)„, което в общи линии е обратното на черния списък. Белият списък позволява да бъдат изброени определени URL адреси, имейл адреси, домейни, IP адреси, потребители, приложения, файлове и т.н., на които ще им бъде позволен специален достъп или привилегии. Това са елементи, които сме сметнали за благонадеждни и не желаем да бъдат проверявани или блокирани от даден компонент на защитата (антивирус, СПАМ филтър, защитна стена и т.н.).
Шифроване (криптиране)
Шифроването или криптирането (от англ. encryption) се използва за защита на чувствителни данни – съобщения, пароли, информация за кредитни карти и онлайн транзакции. Криптирането работи, като превръща обикновения текст в неразбираеми числа. Това се прави с цел да се осъществи безопасното съхранение или предаване на тези данни по незащитен информационен път.
За да бъдат прочетени тези данни, е необходим ключ за дешифриране.
Прокси сървър
Прокси сървърите (Proxy server) изпълняват ролята на посредник между интернет потребители и уебсайтове. Те позволяват на потребителите достъп до уебсайтове и онлайн услуги чрез различен IP адрес. Това позволява на хората да заобикалят географските ограничения и да скриват самоличността си, въпреки че прокситата не криптират вашия интернет трафик, както прави VPN.
VPN
Виртуална частна мрежа (VPN) е услуга, която създава защитен тунел между потребителя и интернет пространството. Иначе казано, виртуалната частна мрежа позволява на потребителите да сърфират в интернет анонимно.
VPN услугата се реализира чрез различни приложения. Виртуалната частна мрежа използва технология за криптиране на обменяните данни, а също така позволява да скриете определени данни, с които могат да ви идентифицират, напр. VPN използва неистински IP адрес и променено географско местоположение.
Малуер
Малуерът, наричан още „злонамерен софтуер“ съчетава в себе си всяка зловредна програма (код), която е способна да компрометира системата и/или потребителските данни, включително и да осъществи кражба на такива. Понятието „малуер“ се използва като събирателно за повечето зловредни програми, много от които ще разгледаме малко по-надолу в този материал.
Виж Какво е малуер и как да се защитим
Компютърен вирус
Компютърният вирус е злонамерен код, който обикновено се прикачва към здрав файл (приемник) и след като бъде изпълнен, заразява други такива. Най-често вирусите се прикачват към изпълними файлове. Поразяват системата, ако съдържащите ги файлове бъдат стартирани. С други думи казано, повечето типове вируси изискват някакъв вид потребителска намеса, за да се изпълнят.
Вирусите са направени така, че да се възпроизвеждат и разпространяват. Компютърните вируси могат да навредят сериозно на функционалността на системата, като изтриват и повреждат важни системни файлове или компроментират работата на определен софтуер.
Виж Какво е компютърен вирус. Видове вируси и как да се защитим
Компютърен червей
Компютърните червеи са вид самовъзпроизвеждащи се злонамерени програми. Te атакуват мрежи и компютри, използвайки различни уязвимости в тях. Защо самовъпзроизвеждащи се?! Червеите са самостоятелни програми, програмирани да създават свои копия (реплики), които да се разпространяват до други, не заразени компютри в мрежата. По-интересното е, че това обикновено става на фонов режим, без знанието и намесата на потребителя.
За разлика от компютърните вируси, червеите могат да съществуват като самостоятелен софтуер. Те не се нуждаят от хост файл, към който да се прикрепят, за да инфектират системата.
Виж Какво е компютърен червей и как се разпространява
Троянски кон (троянец)
Троянските коне са вид злонамерени програми, които обикновено се представят за безопасен и съвсем легитимен софтуер. Троянците са създадени от хакерите с цел получаване на достъп до целевата система, в т.ч. събиране и изпращане на лична информация от нея до други компютри.
Троянските коне спадат към така наречения злонамерен софтуер, за когото наскоро писахме. Това е така, защото тези програми по един или друг начин причиняват вреда на системата и потребителските данни. Тази вреда освен кражба на информация може да включва и изтриване или модифициране на данни, блокиране на определен софтуер или компрометиране на стабилността на системата. Често пъти троянските коне служат за „осигуряване на коридор“ за инсталиране и на друг вид злонамерен софтуер в засегнатите системи. След като са попаднали в системата, много троянци могат да работят скрити на заден план, без да дават никакви съществени индикации за нередност.
Виж Какво е троянски кон и как да се предпазим
Адуер (рекламен софтуер)
Адуерът (adware) представлява нежелан, а понякога дори потенциално опасен код, който генерира рекламно съдържание към потребителите. Най-често това става през интернет браузъра.
Целта на този „софтуер“ е да промотира различни уеб страници или продукти, но също така той може да бъде използван и за генериране на доход на определени лица. Рекламният софтуер генерира доход на своите създатели чрез показване на определен брой онлайн реклами в потребителския интерфейс и/или чрез генериране на определен брой кликове върху рекламите.
Виж Какво е адуер и доколко е опасен за системата
Шпионски софтуер (спайуер)
Шпионският софтуер (от англ. „spyware“, произнася се „спайуер“) е вид злонамерен софтуер, който е създаден да следи поведението на потребителя и да изпраща негова лична информация до трети страни. Всичко това става на фонов режим без знанието и съгласието на потребителя.
Какво може да включва тази лична информация?! Това може да са данни за поведението и навиците на потребителя в интернет – посещавани уеб страници, използвани потребителски имена и пароли, търсени ключови думи или разглеждани продукти; данни използвани при онлайн банкиране и разплащания – номера на кредитни карти, пароли, PIN кодове, потребителски имена и банкови сметки.
Виж Какво е шпионски софтуер и как да се защитим
Руткит
Под руткит се разбира вид злонамерен софтуер (малуер), който е създаден да осигури нерегламентиран привилигерован достъп до засегнатата система.
Понятието „rootkit“ произлиза от „root“ (термин от Unix-средите, който се използва за назоваване на потребител с пълни права, както е администратора в Windows) и „kit“ (комплект инструменти). Следователно руткитовете са съвкупност от софтуерни инструменти, които целят да предоставят пълни (администраторски) права на своите създатели върху целевата система.
Много често руткитовете се внедряват в самата операционна система, „прихващайки“ определени нейни функции и по този начин осъществяват контрол. Те успяват да маскират своето присъствие в системата, за да могат да функционират необезпокоявано.
Рансъмуер
Рансъмуер (ransomware) е вид злонамерен софтуер (малуер), който може да блокира достъпа до системата или да криптира потребителските файлове. Това обикновено е придружено от съобщение с искане на откуп – единственият начин според хакерите, за да получите достъп до системата си или ключ за декриптиране. Именно оттук идва и наименованието на този зловреден код – „ransom“, което от английски език буквално означава откуп.
Рансъмуерът може да бъде криптиращ данните или не, може да засегне цялата система или само определени файлове. При всички случаи целта е изнудване на засегнатия.
Виж Какво е рансъмуер и как да се предпазим
Backdoor („Задни вратички“)
Вероятно името им подсказва за какво служат. Те осигуряват на хакерите „вратичка“ за осъществяване на нерегламентиран достъп до целевата система. Това им позволява да получат отдалечен контрол върху нея – да изпращат, получават, изпълняват, местят, копират или изтриват файлове; да модифицират настройки и дори да рестартират системата. Този тип зловредни скриптове осигуряват на хакерите „поле“ за инсталирането и на други видове злонамерен софтуер в системата.
Фишинг (Phishing)
Фишинг атаките или просто фишинг (на англ. се изписва Phishing и не бива да се бърка с Fishing) е начин киберпрестъпниците да получат от потребителите някакви техни лични или финансови данни – потребителски имена и пароли, данни за банкови карти, PIN кодове и т.н.
Фишинг атаките обикновено се осъществяват чрез изпращане на подвеждащи електронни писма, съобщения, а понякога дори с телефонни обаждания. Измамниците често пъти се представят за банкови институции, фирми и дори за държавни структури. Използват доверчивостта и прибързаността на потребителите.
При този вид интернет измама потребителите биват умело подлъгани да предоставят някакви силно чувствителни данни чрез изпращането им по имейл, SMS или чрез вход във фалшив уеб сайт.
DDoS атаки
DDoS атаки или „дистрибутирани атаки за отказ на услуга“ целят спиране на достъпа на потребителите до определени уеб адреси (онлайн услуги). Те са една от най-големите заплахи за уебсайтовете за онлайн търговия, информационните сайтове и онлайн услугите на държавните институции, банките и т.н.
Как работят DDoS атаките за отказ от услуга? Обикновено се използва т.нар. „мрежа от ботове“ (bot-net). Това е съвкупност от компрометирани машини, наречени ботове. Те изпращат стотици хиляди заявки към даден целеви сървър (обикновено по едно и също време), което в един момент води неработоспособност на хостваната услуга.
Атаки от нулев ден (Zero-Day attacks)
Вече споменахме, че уязвимостите от нулев ден (атаки от нулев ден или експлойти от нулев ден) са едно от най-големите предизвикателства в киберсигурността. Ако трябва да го обясним на кратко, това са новооткритите дупки в сигурността, за които все още не е открито решение от експертите по киберсигурност/софтуерните разработчици.
След като дадена уязвимост в софтуера стане известна, софтуерните разработчици трябва да изработят поправка, за да защитят своите потребители. Ако хакерите ги изпреварят и използват тази уязвимост, то това е атака от нулев ден.
Експлойт
Експлойтът е програмен код, създаден да се възползва от някаква софтуерна уязвимост или пропуск в сигурността. Целта на експлойта, разбира се е користна и в повечето случаи е свързана с инсталирането на някакъв вид зловреден софтуер. Иначе казано, експлойтът сам по себе си не е самостоятелна злонамерена програма, но е основен инструмент на хакерите за разпространение на различни видове злонамерен софтуер.
Експлойтите могат да бъдат разграничени на такива, които вече са познати и непознати (експлойти от нулев ден).
В първата група попадат тези дупки в сигурността, за които софтуерните инженери са осигурили решение под формата на софтуерни актуализации, поправки в програмния код и т.н. Вторите пък са най-опасни, защото са вид нови уязвимости, за които софтуерните разработчици нямат готово решение.
В заключение…
С горните неща далеч не изчерпваме обширния и сложен свят на киберсигурността. Тези базови понятия са основата, която всеки напреднал IT потребител трябва да усвои, за да умее да защитава себе си и данните, с които работи в интернет пространството.
© PCGuide.bg. Автор: Светослав Миронов.
Казвам се Светослав Миронов и съм администратор на PCGuide.bg. Автор съм на материалите, публикувани тук. Интересите ми са преди всичко в областта на информационните технологии и по-конкретно операционни системи Microsoft Windows, софтуер и антивирусна защита.