Zagrożenia w internecie - czyli jak rozpoznać wirusa.

Jak najprościej rozpoznać wirusa? Kolejne generacje wirusuów, robaków i innego komputerowego paskudztwa docierające do nas emailem mają coraz sprytniejsze mechanizmy mające oszukać nas, zmusić do uruchomienia - a tym samym - zainfekowania naszego komputera. Broniąc się przed nimi nie możemy polegać wyłącznie na swoim komputerze. Musimy polegać także na swojej własnej głowie!
Większość ze złośliwych "prezentów", które lądują na naszym komputerze żeruje na naszej niefrasobliwości, najczęściej korzystając z dziur (tzw. bug-ów) programów Outlook Express, Windows, Internet Explorer, Linux oraz Opery - zwłaszcza gdy nie zainstalowaliśmy w naszym komputerze najnowszych "łat" Microsoftu. Jednak nawet systematyczne łatanie Windowsów, IE i OE nie zapewni skutecznej ochrony antywirusowej - nowy wirus jest zawsze o krok do przodu przed zabezpieczeniami. Poczucie bezpieczeństwa wynikające z przeświadczenia, że "mi wirusy nie grożą" to skrajna forma niefrasobliwości. Grożą - i jeśli używasz Windowsów, OE i IE to prawdopodobnie twój komputer już jest ofiarą wirusów, choć nie zdajesz sobie z tego sprawy. Poczucie bezpieczeństwa wynikające z zainstalowania programu antywirusowego jest już bardziej uzasadnione, ale dopóki korzystasz z ww. produktów Microsoftu, w dalszym ciągu nie możesz być pewny dnia ani godziny... Wymienione wyżej programy stworzone zostały według filozofii "wszystkie drzwi otwarte" i to, że zamknąłeś większość wirtualnych drzwi prowadzących do twojego komputera nie oznacza, że znasz wszystkie potencjalne wejścia do swojego systemu, a tym bardziej, że wejścia te są zabezpieczone.
Możesz powiedzieć: mój komputer jest bezpieczny, bo nie odbieram na nim emaili. Ale nie wszystkie wirusy przedostają się za pośrednictwem e-maila. Dawniej popularne były wirusy przenoszone na dyskietce (w tzw. boot-sektorze, niewidocznym dla użytkownika) oraz link-wirusy doczepiające się do plików programów (najczęściej tych nielegalnie kopiowanych). Obecnie częste są wirusy rozprzestrzeniające się za pośrednictwem sieci lokalnej. Jeśli korzystasz z łącza stałego, jest bardzo duże prawdopodobieństwo, że do wspólnego serwera podpięte jest kilka lub kilkadziesiąt komputerów, z których dowolny może stać się rozsiewnikiem wirusów. Przykładem takiego wirusa jest MSBlast - niepostrzeżenie bada on wszystkie komputery funkcjonujące w sieci lokalnej, korzystając z portów 135 i 445, domyślnie otwartych w Windowsach, a następnie roznosi się na kolejne komputery. Zabezpieczeniem przeciw takim robakom jest tzw. firewall, czyli program, który "strzeże" dojścia na nasz komputer, otwierając tylko te porty, które są rzeczywiście potrzebne do korzystania z internetu czy innych celów, wyraźnie przez nas zdefiniowanych. W każdym razie: jeśli nie jesteś całkowicie odizolowany od świata, jeśli kiedykolwiek wkładałeś do swojego komputera cudzą dyskietkę, czy nagrywaną przez kogoś płytę, odczytywałeś cudzy dokument czy też łączyłeś się z jakimkolwiek innym komputerem przez sieć, modem, bezpośredni kabel - twój komputer może być ofiarą wirusa. Inna sprawa to popularne "spyware", czyli programy szpiegujące, które instalują się razem z rozmaitymi programami "darmowymi". Jeśli świadomie nie oczyszczałeś z nich swojego komputera, a masz na nim jakiekolwiek darmowe programy - np. DivX 5 do oglądania filmów lub GetRight czy DownloadAcceleratorPlus przyspieszający pobieranie plików z internetu, to jest niemal pewne, że w swoim komputerze gościsz także elektronicznych "szpiegów".
Wróćmy jednak do początkowego pytania: jak rozpoznać wirusa? Może po zgubnych skutkach jego działania? Większość użytkowników niestety dopiero wtedy zauważa wirusa, gdy już coś się stanie. Na pewno lepiej jednak dostrzec go przed zakażeniem własnego komputera, niż po. Zabezpieczenie się przed wirusami docierającymi ukradkiem (przez sieć lokalną lub doczepione do programu) wymaga stale działającego w tle programu antywirusowego oraz firewalla (co bardzo znacznie spowalnia komputer) i nie możemy tu liczyć na własny spryt i spostrzegawczość. Jednak te wirusy, które przychodzą do nas w mailu, w zasadzie powinny dać się rozpoznać natychmiastowo i nie stanowić zagrożenia, jeśli tylko spełnimy 2 warunki:
1. Nie pozwolimy, by nasz klient emailowy (np. Outlook Express, Mozilla Mail) otwierał za nas cokolwiek doczepionego do emaila. Wirus może być ukryty nawet w pozornie niewinnym obrazku czy ślicznej animacji. Możesz nawet nie zdawać sobie sprawy, że do maila zostało cokolwiek doczepione. Między innymi z tego powodu bezpieczniej jest czytać i redagować emaile jako czysty tekst, a nie jako tekst sformatowany, czyli html. Jeśli odczytując lub pisząc emaile masz możliwość korzystania z czcionek różnej wielkości, pogrubienia, kursywy itp. - to znaczy, że korzystasz z html, a nie czystego tekstu.
2. Nie będziemy samodzielnie otwierać żadnych attachmentów (czyli "doczepek", przesyłek doczepionych do emaila), co do których nie jesteśmy w 100% pewni, że są bezpieczne.
Skąd wziąć tę 100-procentową pewność? Przede wszystkim każdy otrzymany plik należy przed otwarciem zapisać na dysk i sprawdzić programem antywirusowym. Czy trzeba przypominać, że program antywirusowy jest wart cokolwiek tylko wtedy, gdy właśnie uaktualniliśmy jego bazę danych wirusów? Mam nadzieję, że nie trzeba ... a jednak przypominam, bo większość z nas cieszy się, że ma zainstalowany program antywirusowy, całkowicie zapominając o jego uaktualnieniach. Po drugie - istnieje niewielkie prawdopodobieństwo, że wirus jest tak świeży, że jeszcze nie ma go w bazach antywirusowych albo tak sprytny, że zdołał obejść zabezpieczenia. Dlatego należy zastosować dodatkowe środki bezpieczeństwa:
· Zastanów się, czy wiesz, czego spodziewasz się po tej konkretnej "doczepce". Jeśli twoi znajomi przysyłają ci pliki z informacją: "otwórz to", "zobacz jakie super", "na pewno ci się spodoba", to zmień znajomych. Niewiele stracisz, bo ich postępowanie jest dowodem bezmyślności, a po co ci bezmyślni znajomi? Jeśli nie chcesz ich zmieniać, to odpisz im, że nie życzysz sobie emaili z "doczepkami", co do których nie ma jasnej informacji, co zawierają i czemu służą.
Bardzo często wirusy usiłują nas skusić zachętami takimi jak wyżej wymienione, żerując na naszej ciekawości i łatwowierności. Potrafią także podrobić adres osoby wysyłającej: email wygląda, jakby wysłał go twój najlepszy przyjaciel, tymczasem w rzeczywistości pochodzi z zainfekowanego komputera osoby trzeciej, która przypadkowo miała gdzieś na swoim dysku adres Twój i Twojego znajomego.
· Jeśli jest to plik graficzny, muzyczny tekstowy itp., nie klikaj na niego, tylko zapisz na dysk. Otwórz go za pomocą polecenia "otwórz za pomocą" we właściwym edytorze/odtwarzaczu (ACDSee, IrfanView, Winamp itd.). Nierzadko wirusy usypiają naszą czujność maskując program komputerowy ikonką i rozszerzeniem właściwym dla innego typu pliku. Klikając na takim programie uruchamiasz go, a nie wczytujesz do programu-odtwarzacza.
· Na im więcej pozwolisz Windowsom, tym mniej jesteś bezpieczny. Szczególnie niebezpieczne jest "ukrywanie rozszerzeń znanych typów plików" i "niepokazywanie plików ukrytych". Jeśli pozwolisz na ukrywanie rozszerzeń, to ułatwiasz wirusom podszywanie się pod niegroźne pliki: np. program wykonywalny lub groźny skrypt VBS będzie w twoich Windowsach wyglądał jak zwykły dokument Worda lub plik graficzny. Lepiej więc, żebyś myślał sam, niż żeby Windowsy myślały za ciebie. Jeśli nie wiesz, jak ustawić wyświetlanie wszystkich typów plików, stosowna informacja znajduje się w ramce obok tekstu.
· Jeśli email zawiera ostrzeżenie przed wirusem lub informację, że twoje konto emailowe zostanie zamknięte jeśli szybko nie klikniesz na "doczepkę", to prawie na pewno został wysłany przez wirusa i zawiera wirusa! Wróć do zasady nr 2 i zastanów się. Czy masz 100% pewność, że to co właśnie trafiło do Twojej skrzynki emailowej zostało przysłane w dobrej wierze? Możesz przyjąć taki sprawdzian: im bardziej email domaga się otwarcia "doczepki", im bardziej do tego zachęca, tym bardziej prawdopodobne, że jest to wirus lub inna złośliwość.
Jeden z najnowszych wirusów, Bagle, nie miałby tak wielkiej siły rażenia, gdyby nie niefrasobliwość użytkowników komputerów. Mój znajomy, pracujący na etacie informatyka, zajmujący się m.in. sporymi serwerami na systemach AS-200 dostał niedawno ode mnie maila o treści "Find the white rabbit. For security purposes the attached file is password protected. The password is 20405", co tłumaczy się na polski "znajdź białego króliczka. Ze względów bezpieczeństwa doczepka zabezpieczona jest hasłem. Hasło to: 20405". Otworzył plik, wpisał hasło i ... nic. W czym problem? Ano w tym, że ja wcale nie wysyłałem mu tego emaila. Po pierwsze, dlaczego miałbym pisać do niego po angielsku? Po drugie, czemu miałbym mu kazać szukać białych królików? Dzięki Bogu, jestem jeszcze zdrów na umyśle. Po trzecie, dlaczego miałbym wysyłać mu plik zabezpieczony hasłem, nie informując jednocześnie, co się znajduje w tym pliku? Zazwyczaj hasłem zabezpiecza się ważne informacje - biały królik nie jest jednak chyba ważną informacją...
Co więc stało się naprawdę? Otóż wirus Bagle ma taki brzydki zwyczaj, że wysyła się z zainfekowanego komputera, pobierając zupełnie przypadkowy adres nadawcy i odbiorcy z zainfekowanego dysku. Znam sytuację, gdy jedna szkoła językowa pisała zażalenia do drugiej, jakoby ta "specjalnie przysyłała jej wirusy", tymczasem wirus (rezydujący gdziekolwiek, może na komputerze osoby, która akurat szukała szkół językowych) przypadkowo pobrał adres pierwszej, wstawił go w pole "do:", potem drugiej wstawił w pole "od:" i wysłał się. Także mój przyjaciel dostał emaila z wirusem z niewiadomego źródła, a to, że w pole "od:" wpisany był mój adres - to czysty zbieg okoliczności. Bagle ma jednak jeszcze dwa dodatkowe "haki". Po pierwsze - plik zabezpieczony hasłem nie daje się odczytać automatycznie, czyli program antywirusowy nie może go "rozgryźć" (tylko najnowsze wersje antywirusów, uaktualnione po pojawieniu się Bagle'a, umieją sobie z tym poradzić). Dopiero naiwny użytkownik komputera wpisując hasło rozpakowuje wirusa i ... sam sobie jest winny. Po drugie - Bagle w mailu wypisuje rozmaite teksty mające wymusić na użytkowniku natychmiastową reakcję, zanim zdąży pomyśleć, na przykład ostrzeżenie, że jego konto emailowe zostanie zamknięte, jeśli natychmiast nie kliknie na "doczepkę". W tym przypadku adres "od:" nie jest dobierany przypadkowo, ale tak, żeby wyglądało, że email przyszedł od administratora serwera.
Co stało się z komputerem mojego przyjaciela? Prawdopodobnie nic, ponieważ wykazał się on przytomnością umysłu na tyle, że odesłał do mnie emaila z zapytaniem, co właściwie mu przysłałem. Ja natychmiast poinformowałem go, że ja - nic, ale wirus - owszem, tak więc niemal natychmiast po zainfekowaniu komputer został sprawdzony programem antywirusowym i oczyszczony z wirusa. W twoim przypadku może być jednak znacznie gorzej. To, że nie widzisz żadnych objawów zainfekowania nie oznacza, że nie masz wirusów. Wiele wirusów działa w tle i ujawnia się dopiero po długim czasie, albo nie ujawnia się nigdy. Czy to dobrze? Jak najgorzej! Spróbuj sobie wyobrazić kilka następujących scenariuszy:



1. Kończysz właśnie doktorat, po 4 latach intensywnej pracy i poszukiwań. Komputer, na którym piszesz, nigdy nie był podłączany do internetu - bo wiesz, że wirusy są niebezpieczne. Dzień przed oddaniem pracy włączasz komputer ... i nie ma nic. Co się stało? Pisząc doktorat skorzystałeś z fragmentu bibliografii, który przyniósł ci na dyskietce kolega. Kolega pewny, bibliografia była w Wordzie... a jednak właśnie wtedy zainfekowałeś swój komputer. Dokumenty Worda mogą zawierać wirusy! Nie wiedziałeś? Teraz już wiesz..
2. Pracujesz w poważnej instytucji. Kuria diecezjalna, seminarium duchowne, może szkoła, muzeum, archiwum. Twój komputer podłączony jest do sieci komputerowej. Niestety w waszej instytucji zabrakło pieniędzy na administratora albo administrator to ktoś wprawdzie niesprawdzony pod względem kompetencji, ale za to dobry znajomy. Odbierasz emaile, załatwiasz sprawy, dwoisz się i troisz. Pewnego dnia wybucha skandal - tajne dane dotyczące księży z twojej diecezji albo kandydatów na kapłanów pojawiają się w Faktach i Mitach. Do tych danych dostęp miało tylko kilka osób. Zaczynają się wzajemne podejrzenia, śledztwo - winnych jednak nie widać. Co się stało? Dawno temu kliknąłeś na jakąś doczepkę. Miało być fajnie - ładny obrazek, ciekawy tekst, zabawna animacja. Nic się jednak nie pokazało, albo pokazało się i już o tym zapomniałeś. Jednak w tym samym momencie zainstalowałeś na swoim komputerze wirusa, robaka lub trojana. Działalność takich programów jest niewyobrażalna, a przy tym całkowicie niewidoczna dla użytkownika komputera. Potrafią przenieść się na inne komputery w sieci. Potrafią przesłać dowolne dane z twojego (lub każdego innego zakażonego) dysku do hackera. Potrafią zainstalować rozmaite backdoory, czyli tylne wejścia pozwalające ominąć zabezpieczenia. Potrafią zainstalować keyloggery, śledzące wszystko, cokolwiek wpisałeś na klawiaturze. Wszystkie te dane są dla hackera jak otwarta księga. Może je dowolnie wykorzystać, sprzedać, opublikować, szantażować nimi. Czy teraz już rozumiesz, jak bardzo korzystanie z Outlook Expressa czy bezmyślne klikanie na "doczepki" do emaili naraża na szwank instytucję, w której pracujesz? A także, że w instytucji posiadającej sieć komputerową konieczny jest jej administrator, potrafiący wykryć atak hackera - a jeszcze lepiej - zapobiec mu?
3. Zrozumiałeś już, że w poważnej instytucji nie można korzystać z Outlook Expressa i klikać na "doczepki". Ale na twoim domowym komputerze dalej z przyzwyczajenia używasz Outlook Expressa. Nie klikasz wprawdzie na "doczepki", ale nie jesteś pewien, czy twój program pocztowy nie otwiera niektórych doczepek za ciebie oraz, czy oglądając strony internetowe nie ściągasz na swój komputer czegoś, czego byś sobie nie życzył. A w rzeczy samej: ściągasz, a Outlook Express istotnie otwiera rozmaite nieznane tobie skrypty lub wyświetla obrazki, w których ukryty jest mały, ale złośliwy programik. Skutkiem tego w Twoim systemie zagościł nieproszony trojan, backdoor albo keylogger. Któregoś dnia spotyka cię któraś z poniższych niespodzianek:
i. przychodzi do ciebie komornik i zawiadamia cię, że z powodu niespłaconych zobowiązań zajmuje całe twoje mienie. "Jakich zobowiązań?!" - krzyczysz. Komornik pokazuje dokumenty, z których wynika, że zaciągnąłeś w kilku bankach kredyt na sporą kwotę i nie spłaciłeś go.
ii. twoje nazwisko pojawia się w SuperExpressie czy Fakcie, razem z informacją, że posiadasz pornograficzną witrynę internetową, albo że rozpowszechniasz masowo pornografię dziecięcą.
iii. do twoich drzwi puka policja, informując cię, że zostajesz aresztowany pod zarzutem dokonania oszustw i wyłudzeń na dużą skalę - np. za pośrednictwem aukcji internetowych, ogłoszeń prasowych itp.
Zastanawiasz się, jak to możliwe? Otóż stałeś się ofiarą tzw. kradzieży tożsamości. Jeśli nie chronisz dostatecznie swoich danych osobowych, tzn. trzymasz jakiekolwiek osobiste informacje na swoim dysku (a któż ich nie trzyma?), a jednocześnie nie zabezpieczyłeś swojego komputera skutecznie przed atakiem wirusów i hackerów, to miej świadomość, że każdy hacker ma otwarte drzwi do twoich danych (a w przypadku gdy udało mu się podrzucić ci tzw. keyloggera - także do wszystkiego, cokolwiek wpisujesz na swojej klawiaturze). Co może z tym zrobić? Może np. korzystając z twoich danych zamieścić w prasie ogłoszenie. Może wystawić na aukcje internetowe rozmaite nieistniejące towary, zgarnąć kasę ... a poszkodowani trafią do ciebie. Może uwodzić nieletnich, udając że jest szanowanym kapłanem. Może zaciągnąć kredyt w banku. Sfałszowanie dowodu osobistego (starego typu), gdy posiada się pełne dane osobowe delikwenta nie jest szczególnie trudne. Kredyt można zaciągać kartą kredytową, można też znając jej dane kupować przez internet. Wiele banków pozwala na ograniczony debet, a procedury bankowe i zabezpieczenia elektroniczne są zawsze tak słabe, jak ich najsłabsze ogniwo: często tym najsłabszym ogniwem jesteś właśnie Ty i twoje dane udostępnione hackerowi. Nie będę się tu rozpisywał, żeby nie pobudzać wyobraźni przestępców. Mam nadzieję, że Twoją już wystarczająco pobudziłem. Jeśli znasz angielski, wiele możesz się dowiedzieć tu: http://www.carbuyingtips.com/fraud.htm. Myślisz może: kradzież tożsamości to tak rzadkie przestępstwo, że na pewno mi się to nie zdarzy. Obecnie w USA notowane jest rocznie 700.000 przypadków kradzieży tożsamości. W Polsce niestety nikt takich statystyk nie udostępnia, ale można spodziewać się, że proporcjonalna liczba ofiar będzie podobna lub nawet większa ze względu na opieszałość naszych organów ścigania - ok. 2 osób na 1000. Jeśli masz komputer, korzystasz z internetu, posiadasz konto w banku, to już znajdujesz się w grupie podwyższonego ryzyka!
4. Być może nie spotka Cię żaden z powyższych scenariuszy. Być może zostanie tylko skasowany twój twardy dysk albo część znajdujących się na nim plików. Ale nawet utrata kilku ważnych plików - np. dokumentów zawierających twoje notatki lub przemyślenia, twojej własnej twórczości - np. zdjęć lub muzyki, archiwum emailowego czy książki adresowej jest sporym kłopotem. Jeśli byłeś wystarczająco przezorny i robiłeś systematycznie kopie bezpieczeństwa na dyskietki czy CDR-y - pół biedy. Ale jakoś tak dziwnie się składa, że najczęściej osoby lekceważące zagrożenie wirusowe lekceważą jednocześnie robienie kopii bezpieczeństwa...


Istnieje takie przysłowie: mądry Polak po szkodzie. Istnieje również anglo-języczne: "better safe than sorry" (lepiej się zabezpieczyć niż żałować). Zrozumiałe jest, że uczciwy i życzliwy człowiek chciałby, aby wszyscy inni także byli uczciwi i życzliwi i trudno mu pogodzić się z faktem, że tak nie jest. Dopóki jednak na świecie istnieje choćby jeden nieżyczliwy i nieuczciwy człowiek mający dostęp do komputera i trochę wiedzy z dziedziny programowania, dopóty istnieć będą wirusy i inne złośliwe programy. Często to, co dla twórcy wirusa jest zwykłą zabawą lub wyładowaniem frustracji, dla Ciebie może stać się powodem poważnych problemów, utraty dorobku życia, a także dobrego imienia instytucji, w której pracujesz. Wirusa rozpoznasz wtedy, gdy będziesz czujny i przewidujący. Dlatego nie czekaj. Sprawdź, czy Twój komputer jest bezpieczny. A jego bezpieczeństwo w dużej mierze zależy od twojej wiedzy informatycznej, od umiejętności przewidywania oraz od tego, czy będziesz unikał programów, które wprawdzie są łatwe w obsłudze, ale nie zapewniają bezpieczeństwa.