From Wikipedia, the free encyclopedia
Κακόβουλο λογισμικό (malware) είναι οποιοδήποτε λογισμικό που έχει σκόπιμα σχεδιαστεί για να προκαλέσει διαταραχή σε έναν υπολογιστή, διακομιστή, ή δίκτυο υπολογιστών, να προκαλέσει διαρροή προσωπικών πληροφοριών, να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε πληροφορίες και συστήματα, να στερεί την πρόσβαση στον χρήστη σε πληροφορίες ή να παρεμβαίνει εν αγνοία του στην ασφάλεια και το απόρρητο του υπολογιστή του. [1] [2] [3] [4] Αντίθετα, το λογισμικό που προκαλεί βλάβη λόγω κάποιας ανεπάρκειας περιγράφεται συνήθως ως σφάλμα λογισμικού . [5] Το κακόβουλο λογισμικό δημιουργεί σοβαρά προβλήματα σε ιδιώτες και επιχειρήσεις στο Διαδίκτυο. [6][7] Σύμφωνα με την Έκθεση απειλών για την Ασφάλεια στο Διαδίκτυο του 2018 (ISTR) της Symantec, ο αριθμός των παραλλαγών κακόβουλου λογισμικού έχει αυξηθεί μέχρι και 669.947.865 το 2017, διπλάσιες από ό,τι ήταν το 2016. [8] Το έγκλημα στον κυβερνοχώρο, το οποίο περιλαμβάνει επιθέσεις κακόβουλου λογισμικού καθώς και άλλα εγκλήματα που διαπράττονται μέσω υπολογιστή, προβλεπόταν ότι θα κοστίσει στην παγκόσμια οικονομία 6 τρισεκατομμύρια δολάρια το 2021 και αναμένεται να αυξηθεί με ρυθμό 15% ετησίως. [9]
Υπάρχουν πολλοί τύποι κακόβουλου λογισμικού, συμπεριλαμβανομένων των ιών υπολογιστών, των σκουληκιών, των δούρειων ίππων, του λυτρισμικού, των λογισμικών κατασκοπείας, των λογισμικών διαφημίσεων, των αδίστακτων λογισμικών, του υαλοκαθαριστήρα και των λογισμικών για προκάλεση φόβου . Οι στρατηγικές άμυνας κατά κακόβουλων λογισμικών διαφέρουν ανάλογα με τον τύπο τους, αλλά οι περισσότερες επιθέσεις μπορούν να αποτραπούν με την εγκατάσταση λογισμικού προστασίας (antivirus), τείχη προστασίας, με την εφαρμογή τακτικών ενημερώσεων κώδικα για τη μείωση των "ήμερας μηδέν" επιθέσεων , με την ασφάλεια των δικτύων από εισβολή, με την δημιουργία αντιγράφων ασφαλείας και με την απομόνωση μολυσμένων συστημάτων . Το κακόβουλο λογισμικό σχεδιάζεται τώρα για να αποφεύγει τους αλγόριθμους ανίχνευσης λογισμικού προστασίας από ιούς. [8]
Η έννοια ενός αυτοαναπαραγόμενου προγράμματος υπολογιστή μπορεί να ανιχνευθεί στις αρχικές θεωρίες σχετικά με τη λειτουργία πολύπλοκων αυτομάτων. [10] Ο Τζον φον Νόιμαν έδειξε ότι, στην θεωρεία, ένα πρόγραμμα μπορούσε να αναπαραχθεί. Αυτό αποτελούσε ένα αποτέλεσμα αληθοφάνειας στη θεωρία υπολογισιμότητας . Ο Φρεντ Κόεν πειραματίστηκε με ιούς υπολογιστών και επιβεβαίωσε το αξίωμα του Νόιμαν και ερεύνησε άλλες ιδιότητες κακόβουλου λογισμικού, όπως η ανιχνευσιμότητα και η αυτο-συσκότιση χρησιμοποιώντας στοιχειώδη κρυπτογράφηση. Η διδακτορική του διατριβή το 1987 αφορούσε τους ιούς υπολογιστών. [11] Ο συνδυασμός της κρυπτογραφικής τεχνολογίας ως μέρος του ωφέλιμου φορτίου του ιού, η εκμετάλλευσή του για σκοπούς επίθεσης αρχικοποιήθηκε και διερευνήθηκε στα μέσα της δεκαετίας του 1990 και περιλαμβάνει αρχικές ιδέες λυτρισμικό και φοροδιαφυγής. [12]
Πριν την ευρέως διαδεδομένη πρόσβαση στο Διαδίκτυο, οι ιοί εξαπλώνονταν σε προσωπικούς υπολογιστές μολύνοντας εκτελέσιμα προγράμματα ή τομείς εκκίνησης δισκέτας. Με την εισαγωγή ενός αντιγράφου του ιού στις οδηγίες κώδικα μηχανής σε αυτά τα προγράμματα ή στους τομείς εκκίνησης, ένας ιός προκαλεί την εκτέλεσή του κάθε φορά που εκτελείται το πρόγραμμα ή εκκινείται ο δίσκος. Οι πρώτοι ιοί υπολογιστών γράφτηκαν για το Apple II και το Macintosh, αλλά έγιναν πιο διαδεδομένοι με την κυριαρχία του IBM PC και του συστήματος MS-DOS . Ο πρώτος ιός υπολογιστή της IBM ήταν ένας ιός τομέα εκκίνησης ονομαζόμενος ως (c)Brain, [13] που δημιουργήθηκε το 1986 από τους αδελφούς Farooq Alvi στο Πακιστάν. [14] Οι διανομείς κακόβουλου λογισμικού θα ξεγελούσαν τον χρήστη ώστε να εκκινήσει ή να τρέξει από μια μολυσμένη συσκευή ή μέσο. Για παράδειγμα, ένας ιός θα μπορούσε να κάνει έναν μολυσμένο υπολογιστή να προσθέσει αυτο κώδικα που έτρεχε αυτόματα σε οποιοδήποτε USB στικάκι που ήταν συνδεδεμένο σε αυτόν. Όποιος στη συνέχεια προσάρτησε το μοχλό σε άλλον υπολογιστή που έχει οριστεί για αυτόματη εκτέλεση από USB θα μολυνόταν με τη σειρά του και θα μεταδώσει επίσης τη μόλυνση με τον ίδιο τρόπο. [15]
Παλαιότερα λογισμικά email θα άνοιγαν αυτόματα email HTML που περιείχαν πιθανώς κακόβουλο κώδικα JavaScript . Οι χρήστες μπορούν επίσης να εκτελέσουν συγκαλυμμένα κακόβουλα συνημμένα email. Η Έκθεση Έρευνας Παραβίασης Δεδομένων 2018 από τη Verizon, αναφερόμενη από το CSO Online, παρέθεσαν ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι η κύρια μέθοδος παράδοσης κακόβουλου λογισμικού, αντιπροσωπεύοντας το 92% της παράδοσης κακόβουλου λογισμικού σε όλο τον κόσμο. [16][17]
Τα πρώτα σκουλήκια, μολυσματικά προγράμματα μεταδιδόμενα μέσω δικτύου, δεν προέρχονται από προσωπικούς υπολογιστές, αλλά από συστήματα Unix πολλαπλών εργασιών. Το πρώτο πολύ γνωστό worm ήταν το Internet Worm του 1988, το οποίο μόλυνε τα συστήματα SunOS και VAX BSD . Σε αντίθεση με έναν ιό, αυτό το σκουλήκι δεν εισήχθη σε άλλα προγράμματα. Αντίθετα, εκμεταλλεύτηκε τρύπες ασφαλείας ( ευπάθειες ) σε προγράμματα διακομιστή δικτύου και ξεκίνησε να εκτελείται ως ξεχωριστή διαδικασία . [18] Η ίδια συμπεριφορά χρησιμοποιείται και από τα σημερινά σκουλήκια. [19]
Με την άνοδο της πλατφόρμας των Windows της Microsoft και των ευέλικτων macros, την περίοδο της δεκαετίας του 1990, έγινε δυνάτο να γραφτούν μολυσμένοι ιοί στην γλώσσα macro του Microsoft Word και άλλα παρόμοια προγράμματα. Αυτοί οι ιοί macro μολύνουν έγγραφα και δείγματα αντί για προγράμματα, αλλά στηρίζονται στο γεγονός οτι τα macros σε ενα αρχείο Word θεωρούνται ως μια μορφή εκτελέσιμου κώδικα.[20]
Πολλά πρώιμα μολυσματικά προγράμματα, συμπεριλαμβανομένου του Morris Worm, του πρώτου τύπου worm στο Διαδίκτυο, θεωρήθηκαν ως πειράματα ή φάρσες. [21] Σήμερα, το κακόβουλο λογισμικό χρησιμοποιείται τόσο από χάκερ με μαύρο καπέλο όσο και από κυβερνήσεις για την κλοπή προσωπικών, οικονομικών ή επιχειρηματικών πληροφοριών. [22][23] Σήμερα, οποιαδήποτε συσκευή συνδέεται σε θύρα USB –ακόμα και φώτα, ανεμιστήρες, ηχεία, παιχνίδια ή περιφερειακά όπως ψηφιακό μικροσκόπιο– μπορεί να χρησιμοποιηθεί για τη διάδοση κακόβουλου λογισμικού. Οι συσκευές μπορεί να μολυνθούν κατά την κατασκευή ή την προμήθεια τους εάν ο ποιοτικός έλεγχος είναι ανεπαρκής. [15]
Το κακόβουλο λογισμικό χρησιμοποιείται μερικές φορές ευρέως ενάντια σε κυβερνητικούς ή εταιρικούς ιστότοπους για τη συλλογή προστατευμένων πληροφοριών [24] ή για να διαταράξει τη λειτουργία τους γενικά. Ωστόσο, το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί εναντίον ατόμων για την απόκτηση πληροφοριών όπως προσωπικούς αριθμούς ή στοιχεία αναγνώρισης, αριθμούς τραπεζών ή πιστωτικών καρτών και κωδικούς πρόσβασης.
Από την άνοδο της ευρείας ευρυζωνικής πρόσβασης στο Διαδίκτυο, το κακόβουλο λογισμικό έχει σχεδιαστεί πιο συχνά με σκοπό το κέρδος. Από το 2003, η πλειονότητα των ευρέως διαδεδομένων ιών και σκουληκιών έχουν σχεδιαστεί για να αναλαμβάνουν τον έλεγχο των υπολογιστών των χρηστών για παράνομους σκοπούς. [25] Οι μολυσμένοι " υπολογιστές ζόμπι " μπορούν να χρησιμοποιηθούν για την αποστολή ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, για τη φιλοξενία δεδομένων λαθρεμπορίου, όπως παιδική πορνογραφία, [26] ή για τη συμμετοχή σε κατανεμημένες επιθέσεις άρνησης-παροχής-υπηρεσιών ως μορφή εκβιασμού . [27]
Τα προγράμματα που έχουν σχεδιαστεί για την παρακολούθηση της περιήγησης των χρηστών στον ιστό, την εμφάνιση ανεπιθύμητων διαφημίσεων ή την ανακατεύθυνση σχετιζόμενων εσόδων μάρκετινγκ ονομάζονται λογισμικά υποκλοπής spyware . Τα προγράμματα spyware δεν εξαπλώνονται σαν ιοί. Αντίθετα, εγκαθιστούνται συνήθως με την εκμετάλλευση τρυπών ασφαλείας. Μπορούν επίσης να κρυφτούν και να συσκευαστούν μαζί με άσχετο λογισμικό εγκατεστημένο από τον χρήστη. [28] Το rootkit Sony BMG είχε σκοπό να αποτρέψει την παράνομη αντιγραφή. Δυστυχώς, καταγέγραφε και στις συνήθειες ακρόασης των χρηστών και ακούσια δημιούργησε επιπλέον ευπάθειες ασφαλείας. [29]
Το Ransomware (λυτρισμικο) εμποδίζει έναν χρήστη από το να αποκτήσει πρόσβαση στα αρχεία του έως ότου να πληρωθούν τα λύτρα. Υπάρχουν δύο παραλλαγές του ransomware, το crypto ransomware και το locker ransomware. [30] Το Locker ransomware απλώς κλειδώνει ένα σύστημα υπολογιστή χωρίς να κρυπτογραφεί το περιεχόμενό του, ενώ το crypto ransomware κλειδώνει ένα σύστημα και κρυπτογραφεί το περιεχόμενό του. Για παράδειγμα, προγράμματα όπως το CryptoLocker κρυπτογραφούν αρχεία με ασφάλεια και τα αποκρυπτογραφούν μόνο με την πληρωμή ενός σημαντικού χρηματικού ποσού. [31]
Κάποια κακόβουλα λογισμικά χρησιμοποιούνται για τη δημιουργία χρημάτων μέσω απάτης κλικ, με αποτέλεσμα να φαίνεται ότι ο υπολογιστής του χρήστη έχει κάνει κλικ σε έναν διαφημιστικό σύνδεσμο σε έναν ιστότοπο, δημιουργώντας μια πληρωμή από τον διαφημιζόμενο. Υπολογίστηκε το 2012 ότι περίπου το 60 με 70% του ενεργού κακόβουλου λογισμικού χρησιμοποιούσε κάποιο είδος απάτης με κλικ και το 22% όλων των κλικ σε διαφημίσεις ήταν δόλια. [32]
Εκτός από την εγκληματική παραγωγή χρημάτων, το κακόβουλο λογισμικό μπορεί να χρησιμοποιηθεί για δολιοφθορά, συχνά για πολιτικά κίνητρα. Το Stuxnet, για παράδειγμα, σχεδιάστηκε για να διακόπτει πολύ συγκεκριμένο βιομηχανικό εξοπλισμό. Υπήρξαν επιθέσεις με πολιτικά κίνητρα που εξαπλώθηκαν και έκλεισαν μεγάλα δίκτυα υπολογιστών, συμπεριλαμβανομένης της μαζικής διαγραφής αρχείων και της καταστροφής των βασικών εγγραφών εκκίνησης, που περιγράφθηκε ως "δολοφονία υπολογιστών". Τέτοιες επιθέσεις έγιναν στη Sony Pictures Entertainment (25 Νοεμβρίου 2014, χρησιμοποιώντας κακόβουλο λογισμικό γνωστό ως Shamoon ή W32.Disttrack) και Saudi Aramco (Αύγουστος 2012). [33] [34]
Αυτές οι κατηγορίες δεν αλληλοαποκλείονται, επομένως το κακόβουλο λογισμικό μπορεί να χρησιμοποιεί πολλαπλές τεχνικές. [35]
Ο Δούρειος ίππος είναι ένα επιβλαβές πρόγραμμα που παραποιείται ότι μεταμφιέζεται ως κανονικό, καλοήθη πρόγραμμα ή βοηθητικό πρόγραμμα προκειμένου να πείσει ένα θύμα να το εγκαταστήσει. Ένας δούρειος ίππος συνήθως φέρει μια κρυφή καταστροφική λειτουργία που ενεργοποιείται κατά την εκκίνηση της εφαρμογής. Ο όρος προέρχεται από την αρχαία ελληνική ιστορία του δούρειου ίππου που χρησιμοποιήθηκε για την κρυφή εισβολή στην πόλη της Τροίας . [36][37][38][39][40]
Οι δούρειοι ίπποι γενικά διαδίδονται μέσω κάποιας μορφής κοινωνικής μηχανικής, για παράδειγμα, όταν ένας χρήστης παραπλανάται να εκτελέσει ένα συνημμένο email μεταμφιεσμένο ως ανύποπτο, (π.χ. μια φόρμα ρουτίνας που πρέπει να συμπληρωθεί) ή drive-by λήψης (λήψη χωρίς την γνώση του χρήστη). Αν και το ωφέλιμο φορτίο τους μπορεί να είναι οτιδήποτε, πολλές σύγχρονες φόρμες λειτουργούν ως κερκόπορτα, επικοινωνώντας με έναν ελεγκτή (τηλεφωνώντας στο σπίτι) ο οποίος μπορεί στη συνέχεια να έχει μη εξουσιοδοτημένη πρόσβαση στον επηρεαζόμενο υπολογιστή, εγκαθιστώντας ενδεχομένως πρόσθετο λογισμικό όπως έναν keylogger για την κλοπή εμπιστευτικών πληροφοριών, λογισμικό κρυπτογράφησης ή adware με σκοπό την δημιουργία εσόδων στον χειριστή του trojan. [41] Αν και οι δούρειοι ίπποι και οι κερκόπορτες δεν είναι εύκολα ανιχνεύσιμα από μόνα τους, οι υπολογιστές μπορεί να φαίνεται ότι λειτουργούν πιο αργά, να εκπέμπουν περισσότερη θερμότητα ή θόρυβο από τον ανεμιστήρα λόγω μεγάλης χρήσης του επεξεργαστή ή του δικτύου, όπως μπορεί να συμβεί κατά την εγκατάσταση λογισμικού κρυπτοεξόρυξης. Τα Cryptominers ενδέχεται να περιορίσουν τη χρήση πόρων και/ή να εκτελούνται μόνο κατά τη διάρκεια των χρόνων αδράνειας σε μια προσπάθεια να αποφύγουν τον εντοπισμό.
Σε αντίθεση με τους ιούς υπολογιστών και τα σκουλήκια, οι δούρειοι ίπποι γενικά δεν επιχειρούν να εγχυθούν σε άλλα αρχεία ή να διαδοθούν με άλλο τρόπο. [42]
Την άνοιξη του 2017, οι χρήστες Mac χτυπήθηκαν από τη νέα έκδοση του Proton Remote Access Trojan (RAT) [43] που εκπαιδεύτηκε να εξάγει δεδομένα κωδικού πρόσβασης από διάφορες πηγές, όπως δεδομένα αυτόματης συμπλήρωσης προγράμματος περιήγησης, το κλειδί Mac-OS και τα θησαυροφυλάκια κωδικών πρόσβασης. [44]
Μόλις εγκατασταθεί κακόβουλο λογισμικό σε ένα σύστημα, είναι απαραίτητο να παραμείνει κρυφό, για να αποφευχθεί ο εντοπισμός. Τα πακέτα λογισμικού γνωστά ως rootkits επιτρέπουν αυτήν την απόκρυψη, τροποποιώντας το λειτουργικό σύστημα του κεντρικού υπολογιστή έτσι ώστε το κακόβουλο λογισμικό να είναι κρυφό από τον χρήστη. Τα Rootkit μπορούν να εμποδίσουν μια επιβλαβή διαδικασία από το να είναι ορατή στη λίστα διεργασιών του συστήματος ή να εμποδίσουν την ανάγνωση των αρχείων της. [45]
Ορισμένοι τύποι επιβλαβούς λογισμικού περιέχουν ρουτίνες για την αποφυγή προσπαθειών αναγνώρισης ή/και αφαίρεσης, όχι απλώς για να κρυφτούν. Ένα πρώιμο παράδειγμα αυτής της συμπεριφοράς καταγράφεται στην ιστορία του αρχείου Jargon ενός ζεύγους προγραμμάτων που μόλυναν ένα σύστημα κοινής χρήσης χρόνου Xerox CP-V.
Το backdoor είναι μια μέθοδος παράκαμψης των κανονικών διαδικασιών ελέγχου ταυτότητας, συνήθως μέσω μιας σύνδεσης σε ένα δίκτυο όπως το Διαδίκτυο. Μόλις ένα σύστημα έχει παραβιαστεί, μία ή περισσότερες κερκόπορτες μπόρει να εγκατασταθούν προκειμένου να επιτρέπεται η πρόσβαση στο μέλλον, [46] αόρατα στον χρήστη.
Συχνά έχει προταθεί η ιδέα ότι οι κατασκευαστές υπολογιστών προεγκαθιστούν backdoors στα συστήματά τους για να παρέχουν τεχνική υποστήριξη στους πελάτες, αλλά αυτό δεν έχει επαληθευτεί ποτέ με αξιοπιστία. Είχε αναφερθεί το 2014 ότι οι κυβερνητικές υπηρεσίες των ΗΠΑ είχαν εκτρέψει υπολογιστές που αγοράστηκαν από αυτούς που θεωρούνταν «στόχοι» σε μυστικά εργαστήρια όπου είχε εγκατασταθεί λογισμικό ή υλικό που επέτρεπε την απομακρυσμένη πρόσβαση από την υπηρεσία, που θεωρούνταν από τις πιο παραγωγικές λειτουργίες για την απόκτηση πρόσβασης σε δίκτυα γύρω από ο κόσμος. [47] Τα backdoors μπορούν να εγκατασταθούν με δούρειους ίππους, σκουλήκια, εμφυτεύματα ή άλλες μεθόδους. [48] [49]
Οι πιο γνωστοί τύποι κακόβουλου λογισμικού, οι ιοί και τα σκουλήκια, είναι γνωστοί για τον τρόπο με τον οποίο εξαπλώνονται και όχι για συγκεκριμένους τύπους συμπεριφοράς και έχουν παρομοιαστεί με βιολογικούς ιούς . [3]
Το σκουλήκι (worm) είναι ένα αυτόνομο λογισμικό κακόβουλου λογισμικού που μεταδίδεται ενεργά μέσω ενός δικτύου με σκοπό να μολύνει άλλους υπολογιστές και μπορεί ταυτόχρονα να αντιγράψει τον εαυτό του χωρίς να μολύνει αρχεία. Αυτοί οι ορισμοί οδηγούν στην παρατήρηση ότι ένας ιός απαιτεί από τον χρήστη να τρέξει ένα μολυσμένο λογισμικό ή λειτουργικό σύστημα για να εξαπλωθεί ο ιός, ενώ ένα σκουλήκι εξαπλώνεται ο ίδιος.
Ένας ιός υπολογιστή είναι ένα λογισμικό που συνήθως κρύβεται μέσα σε ένα άλλο φαινομενικά αβλαβές πρόγραμμα που μπορεί να παράγει αντίγραφα του εαυτού του και να τα εισάγει σε άλλα προγράμματα ή αρχεία και που συνήθως εκτελεί μια επιβλαβή ενέργεια (όπως καταστροφή δεδομένων). [50] Ένα παράδειγμα αυτού είναι μια μόλυνση από φορητή εκτέλεση, μια τεχνική που χρησιμοποιείται συνήθως για τη διάδοση κακόβουλου λογισμικού, η οποία εισάγει επιπλέον δεδομένα ή εκτελέσιμο κώδικα σε αρχεία PE . [51] Ένας ιός υπολογιστή είναι λογισμικό που ενσωματώνεται σε κάποιο άλλο εκτελέσιμο λογισμικό (συμπεριλαμβανομένου του ίδιου του λειτουργικού συστήματος) στο σύστημα προορισμού χωρίς τη γνώση και τη συγκατάθεση του χρήστη και όταν εκτελείται, ο ιός εξαπλώνεται σε άλλα εκτελέσιμα αρχεία.
Οι οθόνες κλειδώματος ή οι θυρίδες οθόνης είναι ένας τύπος ransomware που μπλοκάρει οθόνες σε συσκευές Windows ή Android με ψευδή κατηγορία για συλλογή παράνομου περιεχομένου, προσπαθώντας να τρομάξει τα θύματα να πληρώσουν χρήματα. [52] Το Jisut και το SLocker επηρεάζουν τις συσκευές Android περισσότερο από άλλες οθόνες κλειδώματος, με το Jisut να αποτελεί σχεδόν το 60 τοις εκατό όλων των ανιχνεύσεων ransomware στο Android. [53]
Το ransomware που βασίζεται σε κρυπτογράφηση είναι ένας τύπος ransomware που κρυπτογραφεί όλα τα αρχεία σε ένα μολυσμένο μηχάνημα. Αυτοί οι τύποι κακόβουλου λογισμικού εμφανίζουν στη συνέχεια ένα αναδυόμενο παράθυρο που ενημερώνει τον χρήστη ότι τα αρχεία του έχουν κρυπτογραφηθεί και ότι πρέπει να πληρώσει (συνήθως σε Bitcoin) για να τα ανακτήσει. Μερικά παραδείγματα ransomware που βασίζεται σε κρυπτογράφηση είναι το CryptoLocker και το WannaCry . [54]
Το Grayware (μερικές φορές γράφεται ως greyware ) είναι ένας όρος, που τέθηκε σε χρήση γύρω στο 2004, που χρησιμοποιείται ως όρος για οποιαδήποτε ανεπιθύμητη εφαρμογή ή αρχείο που μπορεί να επιδεινώσει την απόδοση ενός υπολογιστή και μπορεί να προκαλέσει κινδύνους ασφαλείας, αλλά που συνήθως δεν θεωρείται κακόβουλο λογισμικό. [55] [56]. Grayware είναι εφαρμογές που συμπεριφέρονται με ενοχλητικό ή ανεπιθύμητο τρόπο, και ωστόσο είναι λιγότερο σοβαρές ή ενοχλητικές από το κακόβουλο λογισμικό. Το Grayware περιλαμβάνει λογισμικό υποκλοπής spyware, adware, δόλιους τηλεφωνητές, προγράμματα αστείων ("jokeware"), εργαλεία απομακρυσμένης πρόσβασης και άλλα ανεπιθύμητα προγράμματα που μπορεί να βλάψουν την απόδοση των υπολογιστών ή να προκαλέσουν ταλαιπωρία. Για παράδειγμα, σε ένα σημείο, οι συμπαγείς δίσκοι Sony BMG εγκατέστησαν αθόρυβα ένα rootkit στους υπολογιστές των αγοραστών με σκοπό να αποτρέψουν την παράνομη αντιγραφή. [29]
Τα πιθανώς ανεπιθύμητα προγράμματα (PUP) ή οι πιθανώς ανεπιθύμητες εφαρμογές (PUA) είναι εφαρμογές που θα θεωρούνταν ανεπιθύμητες, παρόλο που τις κατεβάζει συχνά ο χρήστης, πιθανώς μετά την αποτυχία ανάγνωσης μιας συμφωνίας λήψης. [57] Τα PUP περιλαμβάνουν λογισμικό υποκλοπής spyware, adware και δόλιους τηλεφωνητές. Πολλά προϊόντα ασφαλείας ταξινομούν τις μη εξουσιοδοτημένες γεννήτριες κλειδιών ως grayware, αν και συχνά φέρουν πραγματικό κακόβουλο λογισμικό εκτός από τον υποτιθέμενο σκοπό τους. Το Malwarebytes παραθέτει διάφορα κριτήρια για την ταξινόμηση ενός προγράμματος ως PUP. [58] Ορισμένοι τύποι adware (χρησιμοποιώντας κλεμμένα πιστοποιητικά) απενεργοποιούν την προστασία από κακόβουλα λογισμικά και ιούς. [59]
Από τις αρχές του 2015, ένα μεγάλο μέρος του κακόβουλου λογισμικού χρησιμοποιεί έναν συνδυασμό πολλών τεχνικών που έχουν σχεδιαστεί για να αποφεύγουν τον εντοπισμό και την ανάλυση. [60] Από το πιο κοινό, στο λιγότερο κοινό είναι:
Μια ολοένα και πιο κοινή τεχνική (2015) είναι το adware που χρησιμοποιεί κλεμμένα πιστοποιητικά για να απενεργοποιήσει την προστασία από κακόβουλο λογισμικό και ιούς. Σημειώνεται ότι υπάρχουν διαθέσιμα τεχνικά μέσα για την αντιμετώπιση του adware. [59]
Σήμερα, ένας από τους πιο εξελιγμένους και κρυφούς τρόπους φοροδιαφυγής είναι η χρήση τεχνικών απόκρυψης πληροφοριών, δηλαδή στεγανά κακόβουλα λογισμικά (stegomalware). Μια έρευνα για τα στεγανά κακόβουλα λογισμικά δημοσιεύτηκε από τους Cabaj et al. το 2018. [64]
Ένας άλλος τύπος τεχνικής αποφυγής είναι το κακόβουλο λογισμικό χωρίς αρχεία ή οι προηγμένες πτητικές απειλές (Advanced Volatile Threats ή AVTs). Το κακόβουλο λογισμικό χωρίς αρχεία εκτελείται στη μνήμη και χρησιμοποιεί υπάρχοντα εργαλεία συστήματος για την εκτέλεση κακόβουλων ενεργειών. Επειδή δεν υπάρχουν αρχεία στο σύστημα, δεν υπάρχουν εκτελέσιμα αρχεία για εργαλεία προστασίας από ιούς και εγκληματολογικά εργαλεία για ανάλυση, γεγονός που καθιστά σχεδόν αδύνατο τον εντοπισμό τέτοιου κακόβουλου λογισμικού. Ο μόνος τρόπος για να εντοπιστεί κακόβουλο λογισμικό χωρίς αρχεία είναι να εντοπιστεί να λειτουργεί σε πραγματικό χρόνο. Πρόσφατα, αυτοί οι τύποι επιθέσεων έχουν γίνει πιο συχνοί, με αύξηση 432% το 2017, και αποτελούν το 35% των επιθέσεων το 2018. Τέτοιες επιθέσεις δεν είναι εύκολο να εκτελεστούν, αλλά γίνονται όλο και πιο διαδεδομένες με τη βοήθεια κιτ εκμετάλλευσης (exploit kits). [65] [66]
Μια ευπάθεια είναι μια αδυναμία, ελάττωμα ή σφάλμα λογισμικού σε μια εφαρμογή, έναν πλήρη υπολογιστή, ένα λειτουργικό σύστημα ή ένα δίκτυο υπολογιστών που εκμεταλλεύεται κακόβουλο λογισμικό για να παρακάμψει τις άμυνες ή να αποκτήσει προνόμια που απαιτούνται για την εκτέλεση του. Για παράδειγμα, το TestDisk 6.4 και οι παλαιότερες έκδοσες του περιείχαβ μια ευπάθεια που επέτρεπε στους εισβολείς να εισάγουν κώδικα στα Windows. [67] Το κακόβουλο λογισμικό μπορεί να εκμεταλλευτεί ελαττώματα ασφαλείας ( bugs ή vulnerabilities ) στο λειτουργικό σύστημα, σε εφαρμογές (όπως προγράμματα περιήγησης, π.χ. παλαιότερες εκδόσεις του Microsoft Internet Explorer που υποστηρίζονται από τα Windows XP [68] ) ή σε ευάλωτες εκδόσεις προσθηκών προγράμματος περιήγησης (plugins) όπως το Adobe Flash Player, Adobe Acrobat ή Reader ή Java SE . [69] [70] Για παράδειγμα, μια κοινή μέθοδος είναι η εκμετάλλευση μιας ευπάθειας υπέρβασης buffer, όπου το λογισμικό που έχει σχεδιαστεί για την αποθήκευση δεδομένων σε μια καθορισμένη περιοχή της μνήμης δεν εμποδίζει την παροχή περισσότερων δεδομένων από αυτά που μπορεί να φιλοξενήσει η προσωρινή μνήμη. Το κακόβουλο λογισμικό μπορεί να παρέχει δεδομένα που ξεχειλίζουν το buffer, με κακόβουλο εκτελέσιμο κώδικα ή δεδομένα μετά το τέλος. Όταν γίνεται πρόσβαση σε αυτό το ωφέλιμο φορτίο, εκτελείται αυτό που καθορίζει ο εισβολέας και όχι το νόμιμο λογισμικό.
Το κακόβουλο λογισμικό μπορεί να εκμεταλλευτεί πρόσφατα τρωτά σημεία προτού οι προγραμματιστές προλάβουν να κυκλοφορήσουν μια κατάλληλη ενημέρωση κώδικα (patch) .[71] Ακόμη και όταν έχουν κυκλοφορήσει νέες ενημερώσεις κώδικα που αντιμετωπίζουν την ευπάθεια, ενδέχεται να μην εγκατασταθούν απαραίτητα αμέσως, επιτρέποντας στο κακόβουλο λογισμικό να εκμεταλλευτεί τα συστήματα που δεν διαθέτουν τις ενημερώσεις κώδικα. Μερικές φορές, ακόμη και η εφαρμογή ενημερώσεων κώδικα ή η εγκατάσταση νέων εκδόσεων δεν απεγκαθιστά αυτόματα τις παλιές εκδόσεις. Συμβουλές ασφαλείας από παρόχους προσθηκών (plug-in) ανακοινώνουν ενημερώσεις που σχετίζονται με την ασφάλεια. [72] Στα κοινά τρωτά σημεία εκχωρούνται αναγνωριστικά CVE (Κοινές Αδυναμίες και Εκθέσεις) και παρατίθενται στην Εθνική βάση δεδομένων ευπάθειας των ΗΠΑ. Το Secunia PSI είναι ένα παράδειγμα λογισμικού, δωρεάν για προσωπική χρήση, που θα ελέγχει έναν υπολογιστή για ευάλωτο μη ενημερωμένο λογισμικό και θα επιχειρεί να το ενημερώσει. Άλλες προσεγγίσεις περιλαμβάνουν τη χρήση τείχους προστασίας και συστημάτων αποτροπής εισβολής για την παρακολούθηση ασυνήθιστων μοτίβων κυκλοφορίας στο τοπικό δίκτυο υπολογιστών. [73]
Στους χρήστες και τα προγράμματα μπορούν να εκχωρηθούν περισσότερα προνόμια από αυτά που απαιτούν κάτι που το κακόβουλο λογισμικό μπορεί να εκμεταλλευτεί. Για παράδειγμα, από 940 εφαρμογές Android που εξετάστηκαν, το ένα τρίτο από αυτές ζήτησε περισσότερα προνόμια από όσα χρειαζόντουσαν. [74] Οι εφαρμογές που στοχεύουν την πλατφόρμα Android μπορεί να είναι μια σημαντική πηγή μόλυνσης από κακόβουλο λογισμικό, αλλά μια λύση είναι η χρήση λογισμικού τρίτων για τον εντοπισμό εφαρμογών στις οποίες έχουν εκχωρηθεί υπερβολικά προνόμια. [75]
Ορισμένα συστήματα επιτρέπουν σε όλους τους χρήστες να τροποποιούν τις εσωτερικές τους δομές και αυτοί οι χρήστες σήμερα θα θεωρούνταν υπερπρονομιούχοι χρήστες. Αυτή ήταν η τυπική διαδικασία λειτουργίας για πρώιμους μικροϋπολογιστές και συστήματα οικιακών υπολογιστών, όπου δεν υπήρχε διάκριση μεταξύ διαχειριστή ή ρίζας και τακτικού χρήστη του συστήματος. Σε ορισμένα συστήματα, οι χρήστες που δεν είναι διαχειριστές έχουν υπερβολικά προνόμια από κατασκευής, με την έννοια ότι τους επιτρέπεται να τροποποιούν τις εσωτερικές δομές του συστήματος. Σε ορισμένα περιβάλλοντα, οι χρήστες έχουν υπερβολικά προνόμια επειδή τους έχει εκχωρηθεί ακατάλληλα κατάσταση διαχειριστή ή κάτι ισοδύναμο. [76] Αυτό μπορεί να οφείλεται στο ότι οι χρήστες τείνουν να απαιτούν περισσότερα προνόμια από αυτά που χρειάζονται, επομένως συχνά καταλήγουν να τους εκχωρούνται περιττά προνόμια. [77]
Ορισμένα συστήματα επιτρέπουν σε κώδικα που εκτελείται από έναν χρήστη να έχει πρόσβαση σε όλα τα δικαιώματα αυτού του χρήστη, ο οποίος είναι γνωστός ως υπερπρονομιακός κώδικας. Αυτή ήταν επίσης η τυπική διαδικασία λειτουργίας για πρώιμους μικροϋπολογιστές και συστήματα οικιακών υπολογιστών. Το κακόβουλο λογισμικό, που εκτελείται ως υπερπρονομιακός κώδικας, μπορεί να χρησιμοποιήσει αυτό το προνόμιο για να ανατρέψει το σύστημα. Σχεδόν όλα τα επί του παρόντος δημοφιλή λειτουργικά συστήματα, καθώς και πολλές εφαρμογές δέσμης ενεργειών επιτρέπουν σε κώδικα πάρα πολλά προνόμια, συνήθως με την έννοια ότι όταν ένας χρήστης εκτελεί κώδικα, το σύστημα επιτρέπει σε αυτόν τον κώδικα όλα τα δικαιώματα αυτού του χρήστη.
Μια επίθεση διαπιστευτηρίων λαμβάνει χώρα όταν ένας λογαριασμός χρήστη με δικαιώματα διαχειριστή σπάσει και αυτός ο λογαριασμός χρησιμοποιείται για την παροχή κακόβουλου λογισμικού με τα κατάλληλα δικαιώματα. [78] Συνήθως, η επίθεση πετυχαίνει επειδή χρησιμοποιείται η πιο αδύναμη μορφή ασφάλειας λογαριασμού, η οποία είναι συνήθως ένας σύντομος κωδικός πρόσβασης που μπορεί να σπάσει χρησιμοποιώντας ένα λεξικό ή επίθεση ωμής βίας (brute force attack). Η χρήση ισχυρών κωδικών πρόσβασης και η ενεργοποίηση του ελέγχου ταυτότητας δύο παραγόντων μπορεί να μειώσει αυτόν τον κίνδυνο. Με το τελευταίο ενεργοποιημένο, ακόμα κι αν ένας εισβολέας μπορεί να σπάσει τον κωδικό πρόσβασης, δεν μπορεί να χρησιμοποιήσει τον λογαριασμό χωρίς επίσης να έχει το τεκμήριο (token) που κατέχει ο νόμιμος χρήστης αυτού του λογαριασμού.
Η ομοιογένεια μπορεί να είναι μια ευπάθεια. Για παράδειγμα, όταν όλοι οι υπολογιστές σε ένα δίκτυο εκτελούν το ίδιο λειτουργικό σύστημα, όταν εκμεταλλευτεί ευπάθεια σε έναν, ένας ιός τύπου worm μπορεί να τους εκμεταλλευτεί όλους: [79] Ειδικότερα, τα Microsoft Windows ή Mac OS X έχουν τόσο μεγάλο μερίδιο στην αγορά που μια ευπάθεια που εστιάζει σε ένα από τα λειτουργικά συστήματα θα μπορούσε να ανατρέψει μεγάλο αριθμό συστημάτων. Υπολογίζεται ότι περίπου το 83% των μολύνσεων από κακόβουλο λογισμικό μεταξύ Ιανουαρίου και Μαρτίου 2020 διαδόθηκαν μέσω συστημάτων που εκτελούσαν Windows 10 . [80] Αυτός ο κίνδυνος μετριάζεται τμηματοποιώντας τα δίκτυα σε διαφορετικά υποδίκτυα και δημιουργώντας τείχη προστασίας για να εμποδίζουν την κυκλοφορία μεταξύ τους. [81] [82]
Τα προγράμματα κατά του κακόβουλου λογισμικού (anti-malware ή antivirus ) αποκλείουν και αφαιρούν ορισμένους ή όλους τους τύπους κακόβουλου λογισμικού. Για παράδειγμα, το Microsoft Security Essentials (για Windows XP, Vista και Windows 7) και το Windows Defender (για Windows 8, 10 και 11 ) παρέχουν προστασία σε πραγματικό χρόνο. Το Εργαλείο κατάργησης κακόβουλου λογισμικού των Windows αφαιρεί κακόβουλο λογισμικό από το σύστημα. [83] Επιπλέον, πολλά ικανά προγράμματα λογισμικού προστασίας από ιούς είναι διαθέσιμα για δωρεάν λήψη από το Διαδίκτυο (συνήθως περιορίζονται σε μη εμπορική χρήση). [84] Οι δοκιμές διαπίστωσαν ότι ορισμένα δωρεάν προγράμματα είναι ανταγωνιστικά με τα εμπορικά. [84] [85] [86]
Συνήθως, το λογισμικό προστασίας από ιούς μπορεί να καταπολεμήσει κακόβουλο λογισμικό με τους ακόλουθους τρόπους:
Ένα συγκεκριμένο στοιχείο λογισμικού κατά του κακόβουλου λογισμικού, που συνήθως αναφέρεται ως σαρωτής on-access ή real-time, αγκιστρώνεται βαθιά στον πυρήνα του λειτουργικού συστήματος και λειτουργεί με τρόπο παρόμοιο με τον τρόπο με τον οποίο θα προσπαθούσε να λειτουργήσει ένα συγκεκριμένο κακόβουλο λογισμικό, αν και με ενημερωμένη άδεια του χρήστη για την προστασία του συστήματος. Κάθε φορά που το λειτουργικό σύστημα αποκτά πρόσβαση σε ένα αρχείο, ο σαρωτής πρόσβασης ελέγχει εάν το αρχείο έχει μολυνθεί ή όχι. Συνήθως, όταν εντοπίζεται ένα μολυσμένο αρχείο, η εκτέλεση διακόπτεται και το αρχείο τίθεται σε καραντίνα για να αποτραπεί περαιτέρω ζημιά με σκοπό την αποφυγή μη αναστρέψιμης βλάβης του συστήματος. Τα περισσότερα AV επιτρέπουν στους χρήστες να παρακάμψουν αυτήν τη συμπεριφορά. Αυτό μπορεί να έχει σημαντικό αντίκτυπο στην απόδοση του λειτουργικού συστήματος, αν και ο βαθμός του αντίκτυπου εξαρτάται από το πόσες σελίδες δημιουργεί στην εικονική μνήμη . [89]
Επειδή πολλά στοιχεία κακόβουλου λογισμικού εγκαθίστανται εξαιτίας εκμεταλλεύσεων προγραμμάτων περιήγησης ή σφαλμάτων χρήστη, γίνεται χρήση λογισμικών ασφάλειας (ορισμένα από τα οποία είναι anti-malware, αν και πολλά όχι) τα "βαζουν σε sandbox" τα προγράμματα περιήγησης επιτυγχάνοντας μερικές φορές τον περιορισμό οποιασδήποτε ζημίας που θα μπορούσε να προκληθεί. [90]
Οι σαρώσεις ευπάθειας ιστότοπου ελέγχουν τον ιστότοπο, εντοπίζουν κακόβουλο λογισμικό, ενδέχεται να σημειώσουν απαρχαιωμένο λογισμικό και ενδέχεται να αναφέρουν γνωστά ζητήματα ασφάλειας, προκειμένου να μειωθεί ο κίνδυνος παραβίασης του ιστότοπου.
Η δόμηση ενός δικτύου ως ένα σύνολο μικρότερων δικτύων και ο περιορισμός της ροής της κίνησης μεταξύ τους σε αυτό που είναι γνωστό ότι είναι έγκυρο, μπορεί να εμποδίσει την ικανότητα του μολυσματικού κακόβουλου λογισμικού να αναπαραχθεί σε όλο το ευρύτερο δίκτυο. Το Software Defined Networking παρέχει τεχνικές για την εφαρμογή τέτοιων ελέγχων.
Ως έσχατη λύση, οι υπολογιστές μπορούν να προστατεύονται από κακόβουλο λογισμικό και ο κίνδυνος μολυσμένων υπολογιστών να διαδίδουν αξιόπιστες πληροφορίες μπορεί να μειωθεί σημαντικά επιβάλλοντας ένα "κενό αέρα" (δηλ. αποσυνδέοντάς τους εντελώς από όλα τα άλλα δίκτυα) και εφαρμόζοντας βελτιωμένους ελέγχους στην είσοδο και έξοδος λογισμικού και δεδομένων από τον έξω κόσμο. Ωστόσο, το κακόβουλο λογισμικό μπορεί να διασχίσει το χάσμα αέρα σε ορισμένες περιπτώσεις, κυρίως λόγω της ανάγκης εισαγωγής λογισμικού στο δίκτυο με διάκενο αέρα και μπορεί να βλάψει τη διαθεσιμότητα ή την ακεραιότητα των στοιχείων σε αυτό. Το Stuxnet είναι ένα παράδειγμα κακόβουλου λογισμικού που εισάγεται στο περιβάλλον-στόχο μέσω μιας μονάδας USB, προκαλώντας ζημιά στις διαδικασίες που υποστηρίζονται στο περιβάλλον χωρίς την ανάγκη εξαγωγής δεδομένων.
Οι AirHopper, [91] BitWhisper, [92] GSMem [93] και Fansmitter [94] είναι τέσσερις τεχνικές που εισήχθησαν από ερευνητές που μπορούν να διαρρεύσουν δεδομένα από υπολογιστές με διάκενο αέρα χρησιμοποιώντας ηλεκτρομαγνητικές, θερμικές και ακουστικές εκπομπές.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.