Malware-a, sistemen amesgaiztoa

Asurmendi Sainz, Jabier

Informatika-ingeniaria eta Bitarlan-en sortzailea

Ordenagailuetan eta beste gailu digitaletan, sistemaren azpitik sartu eta kalte egiten duen programatxoa birus izenarekin ezagutzen da nagusiki. Hala ere, eta batez ere Internet hedatu ahala, beste hitz batzuk agertzen joan dira birus hitzarekin nahastuta: phishing, troiatarra, spam, spyware, harrak, eta beste hainbat. Izan ere, horietako bakoitzak jokaera eta helburu ezberdinak ditu. Hala bada, programatxo horiek guztiak biltzeko, malware edo software maltzur izendapen orokorragoa zabaldu da.
Malware-a, sistemen amesgaiztoa
2008/05/01 | Asurmendi Sainz, Jabier | Informatika-ingeniaria eta Bitarlan-en sortzailea
(Argazkia: http://www.flickr.com/
photos/23905174@N00/1594411528/)

Lehenengo birustzat jo dena Robert Thomas Morrisek sortu zuen 1972an. Creeper izenarekin ezagutu zen, ordenagailuaren monitorean "I'm a creeper... catch me if you can!" (Aihen-belarra naiz, harrapa nazazu ahal baduzu!) mezua erakusten baitzuen noizean behin. Noski, lehenengo birusak lehenengo antibirus-programa ekarri zuen: Reaper , euskaraz, sega-makina. Hala ere, birus hitza ez zen agertu 1984ra arte.

Zer dira birusak?

Birus bat automatikoki ugaltzen den programa txiki bat da; erabiltzaileek jakin gabe eta baimenik gabe ugaltzen da, beste aplikazio batzuen iturburu-kodean bere iturburu-kodearen zati bat txertatuz. Era horretan, kutsatutako aplikazioa egikaritzen denean, birusak txertatutako iturburu-kodea ere egikaritzen da, eta iturburu-kode hori beste aplikazio edo fitxategi batzuetan txertatzen da. Eta kutsatutako fitxategi horiek beste sistemetan egikaritzen direnean, sistema hori ere kutsatu egiten da, eta birusaren iturburu-kodea sistema berriaren fitxategietan kopiatzen da. Izan ere, hori da birusaren xede nagusia: bere burua hedatzea.

Alabaina, birus anitz sisteman sortzen dituzten kalteengatik egin dira ospetsu. Hain zuzen ere, birusaren payload gisa ezagutzen da hori, alegia, birusek sisteman eragiten dituzten ondorioak. Ondorioak txantxa xumeak izan daitezke, edo kalte handiak datuetan edo sarean, esaterako. Hala ere, eta usteak uste, birus informatiko bat ahaltsua da duen ugaltzeko gaitasunagatik, eta ez sisteman sor ditzakeen kalteen larritasunagatik.

Birusek, oro har, fitxategi bat kutsatuta dagoen jakin egin behar dute, berriz ez kutsatzeko; eta, horretarako, sinadura edo marka bat uzten dute kutsatutako fitxategietan. Bada, horixe bera da birusek bizirik irauteko duten ahultasuna. Izan ere, behin marka ezagututa, antibirusek detektatu egin ditzakete birusak eta kutsatutako fitxategiak.

Zenbat eta marka zehatzagoa izan, orduan eta errazago ezagutuko eta detektatu da birusa. Hortaz, birusen programatzaileak saiatzen dira marka ahalik eta orokorrenak garatzen, eta ez erabiltzen karaktere zehatz batzuk marka gisa, baizik eta kutsatuta ez dauden fitxategiek ere izan ditzaketenak. Horrela sistemaren fitxategi guztiak ez ditu kutsatuko birusak, baina era berean zailagoa izango da harrapatzea. Sinadurarik gabeko birusak ere izan dira, Jerusalem deritzona, adibidez. Fitxategiak behin eta berriz kutsatzen zituen, eta disko gogorrak kolapsatu egiten zituen.

Birusak ez dira arrisku bakarra

Iturburu-kodea. Hor txertatzen du birusak berea.
J. Asurmendi

Arestian aipatu dugun bezala, ordenagailuetan sar daitezkeen programa kaltegarri guztiak ez dira birusak, eta hainbat malware-ren mehatxupean daude sistemak gaur egun. Haien artean, ospe handi samarra dute troiatarrek. Birusek ez bezala, ez dute automatikoki ugaltzeko gaitasuna. Izan ere, bere izen historikoak aditzera ematen duenez, aplikazio kaltegarria da, baina kaltegabeko aplikazio bat izango balitz bezala sartzen da sisteman. Hau da, normalki erabil daitekeen aplikazio arrunt batean iturburu-kode kaltegarria sartzen da, eta eraso egiten du: aplikazio erabilgarria da erabiltzailearentzat, baina, azpitik, beste funtzio batzuk egikaritzen ari da, erabiltzailea konturatu gabe.

Lehenengo troiatarra 1980. urtean agertu zen; baina Internet hedatu baino lehenago ez ziren asko erabiltzen, eskuz banatu behar zirelako. Orain, ordea, errazagoa da haiek banatzea, eta nahiko arriskutsuak dira, birusak baino nekezago suntsitzen direlako. Hain zuzen, hori da troiatarren helburu nagusia: sisteman oharkabean irautea, beren atazak bete ahal izateko. Ataza horiek hainbat izan daitezke: datuak ezabatu edo ordeztea, erabiltzailearen informazioa jasotzea, erabiltzailearen pantaila monitorizatzea, ordenagailurako sarbidea ematea eta beste hainbat.

Troiatarren atazetariko bat spyware-ak edo aplikazio espioiak sartzea da. Spyware-ak euren kabuz egikaritzen dira sisteman, eta haien xede nagusia da sistemaren eta erabiltzailearen informazioa lortzea: datuak, eragiketak, bisitaturiko web guneak, irakurritako informazioa eta abar. Eta aplikazio horien informazioa Interneten bidez bidaltzen denez, spyware-en albo-ondorioa da Interneterako konexioaren abiadura moteltzea.

Spyware-ak bezala, backdoor-ak edo atzeko ateak ere troiatarren bidez sar daitezke sistemetan. Troiatarrek eurek izan dezakete atzeko atea irekirik, eta hala sistemarako sarbidea eman, edo erabiltzaileak Internetetik jaitsi eta instalatu duen fitxategi bat izan daiteke backdoor-a, bera jabetu gabe. Kutsatzen dituzten sistemetarako sarbidea ematen duten iturburu-kode zatiak besterik ez dira backdoor horiek, eta, haien bidez, sistemara sartzeko autentifikazio-bide zuzenak saihestea lor dezake erasotzaileak. Behin barnean, hainbat eragiketa egin ahal dira kutsatutako ordenagailuan: erabiltzailearen eragiketak monitorizatzea, inprimatzea, DVDen edo CD-ROMen irakurgailuak irekitzea, fitxategiak eskuratu edo gordetzea, eta abar.

Beste malware ezagun bat harrak dira. Birusak bezala, automatikoki ugaltzen dira, baina, birusek ez bezala, ugaltzeko ez dituzte beste fitxategi batzuk kutsatu behar; sistemarekin batera abiarazten dira automatikoki. Horrela, erabiltzailea konturatu gabe, memorian kokatzea lortzen dute, sistemaren prozesuen artean. Haien helburua da hedatzea Interneten edo sare lokalaren bitartez, eta beste ordenagailuetan sartzea. Harren ugalketa-prozesuaren lan-kargak sistema eta Interneterako konexioa moteltzea ekartzen du, jakina.

Ezagunenetarikoa Blaster izan da. MS Windows sistemek bere garaian zuten segurtasun-akats baten ondorioz oso azkar hedatzen zen sare lokalean edo Interneten bidez; minutu batean berrabiarazten zuen sistema.

Klik egiteak diru-galtzea dakarrenean

Lehenengo troiatarra 1980. urtean agertu zen; baina Internet hedatu baino lehenago ez ziren asko erabiltzen, eskuz banatu behar zirelako.
(Argazkia: http://www.flickr.com/
photos/mount_otz/217833766/)

Interneten gertatzen diren iruzurrak ere arrisku garrantzitsu bilakatu dira azkenaldian, eta arazo kezkagarria da, iruzur horietan erortzeak diru-galera handia ekar baitezake. Beharbada, entzunena Phishing izenekoa da (arrantzan, euskaraz). Orain arte aipaturiko malware-ak ez bezala, ez dira sistemetan instalatzen, eta ez dira automatikoki ugaltzen. Interneteko zerbitzari batean kokatuta daude, eta dagokien web gunean sartu behar da nabigatzailearen bitartez.

Helbide horretara heltzeko erarik arruntena mezu elektroniko bat da: mezua, ustez, finantza-entitate batek edo enpresa ezagun batek idatzia da, eta esteka baten bidez haren web gunean sartzeko eskatzen dio irakurleari. Web gune horren domeinua zein diseinua egiazko entitatearen web gunearen ahalik eta antzekoenak izaten dira, erabiltzaileari ziria sartzeko. Eta, edozein aitzakiaren bitartez, erabiltzaileari bere datu batzuk eskatzen dizkio, finantza-entitatearekin Internet bidez eragiketak egiteko beharrezkoak diren datuak, oro har. Era horretan, erasotzaileak erabiltzailearen datuak lor ditzake haren kontuan eragiketak egin ahal izateko.

Interneten bidez ziria sartzen duen beste malware bat dialer-a da, baina hori ez dago hain hedatuta. Izan ere, ziria sartzeko dei bat egin behar dute modemaren bitartez, eta ADSL zein kable modem eta bideratzaileen bitartez ez da deirik egiten. Dialer-ak, berez, web guneetan eskegitzen diren programa txikiak dira. Erabiltzaileari programa jaitsi eta egikaritzea eskatzen diote, zerbitzuren batera sartzeko bidea emateko. Baina beste gauza bat gertatzen da: programatxo horiek urrunerako deiak egiten dituzte, erabiltzaileak jakin gabe. Horren ondorioz, telefonoaren faktura itzela jasotzen du erabiltzaileak, eta erasotzaileak etekin ekonomikoa lor dezake. Legalki babesteko, programaren zein web gunearen ohar batean aipatu ohi dute; letra txikian, noski.

Sistemen ahultasunak

Malware-en aurrean, ahultasun nagusia ez dago sisteman, baizik eta erabiltzailearen jokaeran, aipaturiko malware gehienak gizarte-ingeniaritza deritzonaz baliatzen baitira sistemak kutsatzeko edo ziria sartzeko. Hau da, manipulazio-tekniken eta azpijokoen bitartez lortzen dute erabiltzaileak aplikazio bat egikaritzea, edo klik egitea esteka batean.

Hala ere, sistemetan badaude malware-en erasoen aurrean ahulago bihurtzen dituzten ezaugarriak. Esaterako, buffer overflow edo bufferraren gainezkatzea delakoa da malware-ek maiz erabiltzen duten ahultasun bat. Akats hori gertatzen da memoriaren gune batean datuak gordetzeko diseinatutako egiturak ahalbidetzen duenean haren edukieran sartzen diren baino datu gehiago gordetzea. Malware batzuk horretaz baliatzen dira iturburu-kodea egikaritzeko.

Beste ahultasun bat gerta daiteke sare bateko ordenagailu guztietan sistema eragile berdina erabiltzen bada, sistema horretan sartzea lortzen badute sareko ordenagailu guztietan sartzea ere lortuko dutelako.

Interneteko iruzurrek diru-galera handia ekar dezakete kontu-korronteen datuak eskuratzea lortzen badute.
Artxibokoa

Era berean, bai programei eta bai sistemaren erabiltzaileei behar duten baino baimen gehiago ematea kaltegarria izan daiteke. Askotan ematen zaizkio sistemaren administratzaileak ez diren erabiltzaileari sistema kudeatzeko baimenak, sistema batzuen konfigurazioan horrela datorrelako lehenetsita.

Babes-neurriak

Sistema babesteko har daitezkeen neurri asko arestian esandakotik ondoriozta daitezke. Nagusia da ez egikaritzea ongi ezagutzen ez den aplikaziorik, eta ez ematea daturik ziurtatu gabe nori ari zaizkion ematen; eta, jakina, ez eman behar baino datu gehiago. Kontuan hartu behar da finantza-entitateek inoiz ez dituztela mezu elektroniko bidez eskatzen beren web guneetara sartzeko datuak.

Horretaz aparte, beste segurtasun-neurri erraz batzuk har daitezke; adibide gisa, lan egitea soilik egiten ari garenak eskatzen dituen baimenekin, eta baimen gehiago dituzten erabiltzaileekin saioa hastea soilik aplikazio bat instalatu edo sistemaren konfigurazioren bat aldatu behar denean. Internetetik edo beste bide batetik fitxategiren bat jasotzen denean, berriz, birusik ez daukala ziurtatu behar da, eta datu garrantzitsuen segurtasun-kopiak egin behar dira. Era berean, nahiko garrantzitsua izaten da sistema eragilea eguneratuta edukitzea.

Birusen teknika erraz batzuk
Overwrite (Gainidaztea) : Birusaren iturburu-kodea kutsatu nahi diren fitxategietan txertatzeko erarik sinpleena da, eta harrapatzeko errazena. Birusak helburu-fitxategiaren hasieraren edukiaren gainean kopiatzen du bere iturburu-kodea. Kutsatutako fitxategia erabili ezin dela gelditzen da; beraz, oso erraz suma daiteke birusa hor dagoela.
Prepending (Kopia hasieran) : Birusaren iturburu-kodea helburu-fitxategiaren hasieran txertatzen da. Teknika honekin lortzen da birusaren iturburu-kodea egikaritzea kutsatutako fitxategia egikaritzen denean, eta azken hori erabilgarri izaten jarraitzea.
(Argazkia: Stock.Xchng)
Appending (Kopia amaieran) : Aurreko adibidearen ideia bera da, baina ez da aurrekoa bezain astuna denboraren aldetik. Programazioaren bidez, fitxategiaren hasieran jauzi bat txertatzen da, birusa egikaritzeko, eta birusaren amaieran beste jauzi bat, kutsatutako fitxategiaren jatorrizko iturburu-kodera.
Conpanion (Laguna) : Teknika honek kutsatu nahi den fitxategiari, aldatu beharrean, lagundu egiten dio. Horretarako, oro har, jatorrizko fitxategia ezkutuko fitxategi batean kopiatzen da eta, birusa, jatorrizko fitxategian.
Nahi ez den publizitatea
Publizitateari zerbaitek zabaldu badio bidea azken urte hauetan, Internetek zabaldu dio, eta horretaz baliatu dira hainbat iragarle, publizitate-entitate eta norbanako, iragarkiak samaldan eta merke hedatzeko. Eta, horretarako ere, produktuak sortu dituzte malware-garatzailek. Adware motakoak dira nekagarrienetarikoak, sisteman instalatu eta iragarki-leihoak zabaltzen baitituzte. Eta, iragarki-leihoak ikusi beharra nahikoa astuna ez, eta adware-en erruz Interneterako konexioa zein sistemaren errendimendua motel samar ibiltzen dira. Interneten nabigatzen den bitartean automatikoki zabaltzen diren leihoak, berriz, deserosoak izan badaitezke ere, ez dira besteak bezain gogaikarriak, eta, gainera, ez dira sisteman instalatzen.
Talde honetan, ezin zuen huts egin spam delakoak; postontzi elektronikoak neurri gabe betetzen dituzte zabor-mezu elektroniko horiek. Gaur egun, spam-ak sortutako trafikoa askoz handiagoa da zabor-mezuak ez direnek sortutakoa baino. Egunero jasotzen diren mezuen artean, portzentaje erraldoia dagokie nahi ez diren iragarki-mezu horiei. Hala bada, posta elektronikoaren zerbitzariak behartuta daude spam-en kontrako baliabideak instalatzera, erabiltzaileak nahi ez dituen mezu gutxiago jasotzeko.
Asurmendi Sainz, Jabier
3
242
2008
5
039
Softwarea; Internet
Artikulua
50
Babesleak
Eusko Jaurlaritzako Industria, Merkataritza eta Turismo Saila