Škodlivý kód, “fast money” a něco o Secure Boot V - TopicsExpress



          

Škodlivý kód, “fast money” a něco o Secure Boot V poslední době s nástupem secure boot a Windows 8 lze pozorovat velkou změnu v chování virů (toto nepřesné označení budu dále používat pro označení veškerého škodlivého kódu). Viry za dobu své existence prošly poměrně bouřlivým vývojem od jednoduchých programů, které nezpůsobovaly téměř nic. Po programy zaměřené na obtěžování uživatele, případně ničení jeho dat. Autoři hledali vždy nějakou vhodnou a nepozorovanou cestu do systému. Ovšem od virů majících za primární cíl likvidovat data v počítači nebo rovnou celé počítače se přešlo na techniku získávání údajů. Stále poměrně oblíbené jsou různé podvodné stránky (což asi nelze samo o sobě nazývat virem), zvlášť ve spojení s odesláním podvodného mailu. Jenže na odhalení takové věci stačí být prostě pozorný. Dalším článkem tohoto řetězce jsou různé “šmírovací” programy mající jediný úkol, zaznamenávat vaši činnost na počítači a data poté někam odeslat. Tyhle viry mají obvykle dost jepičí život, obvykle infikují počítač a do pár dnů nebo dokonce hodin se sami odstraní. Jenže hledat další a další díry do systému je těžké a využití různých sledovacích programů nepřináší obvykle požadované výsledky v nějaké rozumné době. Kolem roku 2009 se tak rozšířila poměrně populární technika falešných antivirů. Nápad to byl dobrý, ale případný profit stále není takový aby se to vyplatilo. Program se totiž musí chvilku tvářit opravdu jako antivir (aby nebudil podezření), pak musí uživatele dostatečnou dobu otravovat hláškami o zaplacení, ale především nesmí požadovat vyšší sumu, než je u takových programů obvyklé, aby nevzbudil pochybnosti uživatele. Pokud se totiž uživateli něco nezdá, obvykle přijde jako další na řadu spíš pokus se toho zbavit, než zaplatit. Většina tvůrců virů se tak pomalým kolečkem vrátila k uživatelským datům. Dnes nejde ani tak o to uživatele o data připravit, ale vzít si jeho soubory jako rukojmí. Poslední dobou se stále častěji objevují viry mající za úkol jediné, zablokovat pokud možno všechny účty v počítači. Díky jejich velmi snadné modifikovatelnosti a faktu, že zabezpečení účtu ve Windows je na úrovni čínského visacího zámku z tržnice za 20 korun, je velmi těžké se jim bránit. Obzvláště proto, že k infekci prostě stačí navštívit stránku kde je vir umístěn. Díky tomu, že reklamy na většině webech se načítají jako objekty distribuované třetí stranou, může být takový vir prakticky kdekoli a díky jeho snadné modifikovatelnosti ho váš antivir obvykle nezachytí. Další postup už je potom poměrně jednoduchý, vir vám zablokuje účty a nabídne jejich uvolnění pokud zaplatíte určitou částkou. Zde už si tvůrce může říct kolik chce. Výhod to má hned několik, v poměrně krátké době infikujete bez většího úsilí velké množství počítačů. Nemusíte čekat jestli váš vir sežene a odešle nějaké použitelné údaje a hlavně, částka kterou můžete požadovat je prakticky libovolná. Takže v poměrně krátké době můžete s minimálním úsilím inkasovat poměrně slušné peníze. Má to ovšem jeden háček, zbavit se vašeho viru je poměrně lehké, stačí ve Windows přejít do “Nouzového režimu” a pomocí nějakého sofistikovanějšího nástroje takový vir odstranit. Někdy na to stačí prostě jen jiný antivir spuštěný v nouzovém režimu. Jenže tohle platí do verze Windows 7, díky secure boot už ve Windows 8 nic takového jako “Nouzový režim” není. To samo o sobě dost komplikuje odstranění takového viru. Navíc díky secure boot a tomu, že si to opět většina výrobců udělala po svém, můžete poměrně rychle skončit i s možností spustit na infikovaném stroji systém jiný, který by vám pomohl vir odstranit. Navíc pokud bude autor viru jen trochu škodolibý, může vám připravit pár dalších nepříjemných překvapení. Tím prvním bude fakt, že při pokusu jeho dílko odstranit vám to poškodí zavaděč (stačí přepsat kontrolní součet) a jste v háji, systém už nenaběhne. Tou další a poměrně sofistikovanější metodou je prakticky zničení počítače, na noteboocích značky Samsung a některých modelech Toshiba se zmršeným UEFI, lze spuštěním modulu jádra umrtvit celý notebook. Původně se problém týkal Linuxu a modula jádra samsung-laptop, ale nic nebrání tomu aby podobnou “srandičku” spustil někdo nebo něco přímo z Windows. Pověst Secure Boot, dostává pěkně na frak a spíše se ukazuje, že systém zabezpečeného bootování je dobrý ke všemu, jen ne k tomu aby zvýšil bezpečnost systému. Otázkou tak zůstává proč Microsoft tak tvrdošíjně požaduje jeho používání k získání certifikace, odpověď máme zatím jedinou, kvůli zvýšení bezpečnosti systému to rozhodně není. Doplnění: Vím o možnosti obnovení Windows 8, ovšem tato procedura má jeden háček. Obnovení pouze systému vás problému se zablokovaným účtem (účty) nezbaví a kompletní obnovení systému pro změnu zlikviduje i vaše data. Prakticky jediné možné řešení (bez použití “externího” systému) je nouzový režim Windows, při kterém je aktivován speciální administrátorský účet systému, ale nouzový režim ve Windows 8 prostě nemáte a secure boot (zejména u OEM instalací) vám poměrně dobře brání v tom spustit si jiný systém a počítač odvirovat z něj. Uživatelé předinstalovaných Windows 8 jsou tak obvykle velmi “vděčnou” cílovou skupinou, protože jakmile se viru povede zablokovat všechny účty v počítači, nemají už moc možností jak danou situaci řešit (zvlášť pokud nejde secure boot vypnout). Lze tedy celkem logicky předpokládat, že se stoupajícím podílem Windows 8 se bude procento útoků zvyšovat. Je až úsměvné, že s každým dalším opatřením které nadnárodní korporace vymyslí ke zvýšení bezpečnosti (obvykle pouze záminka proč něco zavést) nebo omezení práv uživatelů (DRM a podobné). Tím prakticky dávají do ruky těm co tato pravidla umějí porušovat velmi účinnou zbraň jak vydělat na koncovém uživateli. Který obvykle nemá znalosti aby si sám odviroval počítač a tak raději zaplatí autorovi viru nebo sám nedokáže odstranit DRM ze svého zakoupeného DVD a tak si raději stáhne za poplatek film z nějakého share-serveru kde tu ochranu za něj už někdo jiný odstranil.
Posted on: Wed, 31 Jul 2013 09:14:16 +0000

Trending Topics



Recently Viewed Topics




© 2015