Viry, které umějí šifrovat

Šifry (a šifrování vůbec) jsou tradičně považovány za záležitost defenzivní, jejíž použití přináší uživat...


Šifry (a šifrování vůbec) jsou tradičně považovány za záležitost defenzivní,
jejíž použití přináší uživatelům počítačů soukromí, bezpečí dat a také
autenticitu. Ovšem historie nám přinesla již několik případů, kdy se použití
šifer stalo záležitostí ofenzivní a nejinak je tomu i v oblasti počítačových
virů.
Představme si modelový příklad. Do počítačového systému nějaké významné banky
se dostane (vtuto chvíli je jedno jakým způsobem) program, který má za úkol
zašifrovat vybranou část dat. Pokud za sebou "zamete stopy" (např. smaže
šifrovací klíč), je výše uvedená banka postavena před rozhodnutí: Buď vydá
autorovi viru požadované (jistě nemalé) výkupné výměnou za dešifrovací klíč,
anebo celou záležitost oznámí příslušným orgánům. V takovém případě se ovšem
rovnou může rozloučit s daty a stejně tak s dobrou pověstí a o tu jde v
uvedeném bankovním sektoru nejvíce.
Dosud bylo šifer použito pouze v několika málo počítačových virech jedná se
totiž o poměrně náročnou záležitost. A vždy zatím mělo toto použití jeden
jediný cíl: Učinit počítač (a tedy i jeho uživatele) na viru závislým. Pokud se
viru podaří zašifrovat data na pevném disku či některé klíčové soubory
operačního systému, uživatel se bez něj neobejde. Nemůže tak "beztrestně" virus
ze systému odstranit, neboť spolu se škodlivým kódem by do věčných lovišť
poslal i šifrovací klíč, za nímž jsou uložena cenná data.
To ukazuje, že viry mohou být použity také jako nástroje vydírání, potenciální
kriminální aktivity, a jako munice v kontextu informační války, a nikoliv pouze
tak, jak jsou tradičně chápány, tedy jako zdroj nepříjemností, vyrušování a
finanční újmy.
Co nás čeká
Možné útoky, které lze očekávat, spojují unikátní použití silných
kryptografických technik s technologií počítačového viru a trojského koně. Tato
nová technologie umožní nepřátelskému pisateli virů získat explicitní kontrolu
přístupu k datům, ke kterým se jeho virus dostane. V minulosti se objevilo
několik škodlivých kódů využívajících šifrování:
Virus One_Half pracuje se zašifrováním pevného disku počínaje posledním
cylindrem a pomalu se pohybuje dopředu o dva cylindry s každým resetem. To
znamená, že po určitém počtu resetů je zašifrován již téměř celý disk. Používá
symetrické šifrování a ukládá tajný klíč do sebe sama. Chcete-li se zbavit
vlivu viru na hostitele, můžete získat klíč z virového kódu a bez poškození
virus odstranit a data obnovit.
Virus KOH šifruje data hostitele algoritmem IDEA.
Virus LZR přebírá kontrolu nad čtením a zápisy na pevný disk použitím relativně
neznámého systémového volání. Zapisuje informace o opravě chyb na disk spolu s
daty, i když ve skutečnosti není oprava chyb operačním systémem provedena.
Všechny informace zapsané na disk jsou doprovázeny daty o opravě chyb, která
zvolil virus. Jestliže je virus odstraněn, virová rutina nebude aktivována a
informace na disku nebudou pro uživatele použitelné. Poškození způsobené virem
LZR je možné obejít zkopírováním všech poškozených souborů na diskety. Potom
lze virus odstranit příslušným antivirovým programem beze ztráty dat. Rutina
pro opravu chyb není v okamžiku zápisu na diskety aktivována, a proto lze virus
takto obelstít. Se znalostí funkce systému a se znalostí práce viru se dá
napsat specializovaný program, který by data opravil a virus odstranil.
Trojský kůň AIDS Information má vlastnosti podobné vlastnostem viru. Poskytuje
informace o riziku setkání se s nositelem AIDS a zhruba po devadesáti
restartech zašifruje uživatelův pevný disk. Uživatel je pak informován, že musí
zaplatit poplatek za dešifrovací klíč. Tento trojský kůň představuje jeden z
prvních vyděračských pokusů.
Virus Crypto šifruje některé klíčové soubory (např. knihovny dll) v operačním
systému. Crypto pracuje s velice silným kryptografickým algoritmem, přičemž
obnova dat je bez záloh poměrně obtížná. Přitom všechny napadané knihovny dll
jsou šifrované "za letu", stejně tak se děje i jejich dekódování. Jinak řečeno
na pevném disku jsou trvale uložené v zašifrované podobě, ale jakmile je
operační systém nebo jakýkoliv jiný program volá, virus je v reálném čase
převádí do čitelné podoby. Není-li virus v paměti, není možné číst ze
zašifrovaných knihoven a systém "tuhne". Ochrana před těmito škodlivými kódy
není jednoduchá a také není jednoznačná (nedá se ukázat prstem a říci: toto je
metoda, která spolehlivě ochrání jakýkoliv systém). V heslech se dá ochrana
shrnout do následujících bodů: Digitálně podepisujte, chraňte data šifrováním,
používejte pouze legální software, certifikujte, ověřujte. Jedno čínské
přísloví praví: Důvěřuj všem, ale karty snímej sám.
Jak vidno, použití šifrovacích metod se do počítačových virů postupně, leč
nezadržitelně vkrádá. Je zřejmě jen otázkou času, kdy se objeví (nebo spíše
"provalí") první vyděračské útoky využívající těchto moderních technologií.
0 1880 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.